OLG Dresden verschärft Geschäftsführerhaftung im Datenschutzrecht

Das Oberlandesgericht (OLG) Dresden hat den Ausnahmekatalog für die persönliche Haftung des Geschäftsführers auf den Bereich des Datenschutzrechts erweitert. Demzufolge soll der Geschäftsführer einer GmbH neben der Gesellschaft für einen Verstoß gegen Art. 82 Abs. 1 DS-GVO haften.

Das Oberlandesgericht (OLG) Dresden hat mit seinem Urteil vom 30. November 2021 – 4 U 1158/21 den Ausnahmekatalog für die persönliche Haftung des Geschäftsführers auf den Bereich des Datenschutzrechts erweitert. Danach soll der Geschäftsführer einer GmbH neben der Gesellschaft für einen Verstoß gegen Art. 82 Abs. 1 DS-GVO haften.

Der Fall

Der Entscheidung lag folgender Sachverhalt zugrunde: Der Kläger beantragte die Mitgliedschaft in einer Gesellschaft. Deren Geschäftsführer stellte nun mithilfe eines Detektivs Nachforschungen über den Kläger an und teilte der GmbH seine strafrechtlich relevanten Erkenntnisse mit, woraufhin diese den Antrag auf Mitgliedschaft ablehnte. Der Kläger machte nun seinen Schadensersatzanspruch gegen die GmbH und auch gegen den Geschäftsführer selbst wegen Verstoßes gegen die DS-GVO geltend und forderte einen immateriellen Schadensersatz in Höhe von 21 TEUR.

Die Entscheidung

Das OLG war der Ansicht, dass die von der Beklagten veranlasste Datenverarbeitung insbesondere nicht zur Wahrung ihrer berechtigten Interessen im Sinne von Art. 6 Abs. 1 lit. f DS-GVO erforderlich gewesen ist. Die Datenverarbeitung habe zudem gegen Art. 10 DS-GVO verstoßen. Danach sei die Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen oder Straftaten grundsätzlich nur unter behördlicher Aufsicht gestattet. Der Detektiv sei daher nicht befugt gewesen, Informationen über etwaige strafrechtlich relevante Handlungen des Klägers einzuholen. Der Geschäftsführer der GmbH sei für die Datenerhebung mitverantwortlich. Das OLG verurteilte die GmbH und ihren Geschäftsführer als Gesamtschuldner zur Zahlung von 5 TEUR.

Nach Art. 4 Nr. 7 DS-GVO wird im Datenschutzrecht der „Verantwortliche“ definiert als „die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“. Der Großteile der Literatur lehnt eine datenschutzrechtliche Verantwortlichkeit des Geschäftsführers im allgemeinen Geschäftsbetrieb und damit auch seine persönliche Außenhaftung gegenüber Betroffenen ab. Das Urteil des OLG Dresden ist daher nicht unumstritten. Kritisiert wird vor allem eine fehlende weitere Begründung der Herleitung dieser Auffassung. Die Richter setzen sich insbesondere nicht mit der Thematik auseinander, wann und unter welchen Voraussetzungen Geschäftsführer eigenständig über die Zwecke und Mittel von Datenverarbeitungen entscheiden oder ob eine Verantwortlichkeit bereits aus ihrer Organstellung selbst herrührt. Letzteres würde zu enormen Haftungsrisiken für Geschäftsführer führen und die für die Bestimmung der Verantwortlichkeit im Sinne des Art. 4 Nr. 7 DS-GVO anzuwendenden Kriterien außer Acht lassen.

Es bleibt also abzuwarten, wie die Rechtsprechung mit dieser Entscheidung umgehen wird. Sollte sich die Auffassung des OLG Dresden durchsetzen, würde das Haftungsrisiko für Organmitglieder deutlich steigen. Wir empfehlen, dies bei künftigen Abschlüssen einer D&O-Versicherung zu berücksichtigen.

Autor
Autorin

Weitere Artikel, die Sie interessieren könnten

phone
mail Pfeil weiß