Die Zahl der Schadensersatzklagen von Betroffenen wegen Datenschutzverstößen auf Grundlage von Art. 82 der Datenschutz-Grundverordnung (DSGVO) nimmt stetig zu und beschäftigt die Rechtsprechung. Bislang war noch nicht geklärt, ob Geschäftsführer gemeinsam mit der Gesellschaft von Betroffenen auf Schadensersatz nach der DSGVO aufgrund einer datenschutzrechtlichen Verantwortlichkeit im Sinne des Art. 4 Nr. 7 DSGVO in Anspruch genommen werden können. Während Großteile der Literatur eine datenschutzrechtliche Verantwortlichkeit des Geschäftsführers im allgemeinen Geschäftsbetrieb und damit auch eine persönliche Außenhaftung des Geschäftsführers gegenüber Betroffenen ablehnen, schlägt das OLG Dresden nun einen anderen Weg ein.
Das Gericht hat eine GmbH und ihren Geschäftsführer als Gesamtschuldner zur Zahlung von 5.000 Euro Schadensersatz an einen Betroffenen nach Art. 82 DSGVO wegen eines Datenschutzverstoßes verurteilt. Das Gericht ging dabei davon aus, dass neben der Gesellschaft auch der Geschäftsführer als datenschutzrechtlich Verantwortlicher einzustufen sei und für den Datenschutzverstoß persönlich hafte. Die Haftung als Gesamtschuldner bedeutet, dass der Kläger sich aussuchen kann, ob er den zugesprochenen Schadensersatz von der Gesellschaft oder dem Geschäftsführer fordert.
Zum Sachverhalt
Die gerichtlichen Angaben zum Sachverhalt sind knapp und bestehen im Wesentlichen in dem Verweis auf die Schilderungen des nicht veröffentlichten erstinstanzlichen Urteils.
Aus den Ausführungen ergibt sich, dass vermutlich ein Detektiv im Auftrag des Geschäftsführers eine Recherche zu dem Kläger durchgeführt und hierbei Erkenntnisse im Zusammenhang mit strafrechtlich relevanten Sachverhalten über ihn gewonnen hatte. Nachdem die Geschäftsleitung über das Ergebnis der Recherche unterrichtet worden war, lehnte sie einen Mitgliedsantrag des Klägers ab.
Der Kläger sah in dem Verhalten der GmbH und des Geschäftsführers einen Datenschutzverstoß und forderte Schadensersatz Höhe von 21.000 Euro nach Art. 82 DSGVO. Das LG Dresden (Urt. v. 26.5.2021, Az.: 8 O 1286/19) sprach dem Kläger einen Schadensersatz in Höhe von 5.000 Euro zu, da es keine Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten des Klägers sah. Der Schadensersatz war gesamtschuldnerisch von der GmbH und dem Geschäftsführer zu tragen. Dieses Urteil bestätigte nun das OLG Dresden.
KONTEXT der Entscheidung
Gemäß Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, einen Anspruch auf Schadensersatz. Dieser Anspruch richtet sich in erster Linie gegen den datenschutzrechtlich „Verantwortlichen“ im Sinne von Art. 4 Nr. 7 DSGVO. Datenschutzrechtlich verantwortlich ist jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Im Unternehmenskontext ist dies zumeist die jeweilige juristische Person bzw. Gesellschaft, die Daten von Mitarbeitern, Geschäftspartnern oder Kunden verarbeitet. Das Urteil des OLG Dresden erweitert diese Haftung des Verantwortlichen nun auch auf die Geschäftsführer. Dort heißt es:
„[…] denn Anknüpfungspunkt für einen Anspruch aus Art. 82 Abs. 1 DS-GVO ist zunächst die „Verantwortlichkeit“, die immer dann zu bejahen ist, wenn eine natürliche oder juristische Person alleine oder gemeinsam mit anderen über die Zwecke und die Mittel der Verarbeitung von personenbezogenen Daten entscheiden kann und entscheidet […]. Damit entfällt zwar in aller Regel die Verantwortlichkeit weisungsgebundener Angestellter oder sonstiger Beschäftigter, für den Geschäftsführer […] gilt dies allerdings nicht“.
Auf eine weitere Begründung oder Herleitung dieser Auffassung verzichten die Dresdener Richter. Sie setzen sich insbesondere nicht mit der Thematik auseinander, wann und unter welchen Voraussetzungen Geschäftsführer eigenständig über die Zwecke und Mittel von Datenverarbeitungen entscheiden oder ob eine Verantwortlichkeit bereits aus ihrer Organstellung selbst herrührt. Letzteres würde zu enormen Haftungsrisiken für Geschäftsführer führen und die für die Bestimmung der Verantwortlichkeit im Sinne des Art. 4 Nr. 7 DSGVO anzuwendenden Kriterien außer Acht lassen.
Zwar wird auch in der Literatur teilweise mit Blick auf die EuGH-Entscheidung zu den Zeugen Jehovas (Urt. v. 10.7.2018, Az.: C-25/17) vertreten, dass der Geschäftsführer für die Datenverarbeitung der Gesellschaft Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO sein kann, wenn er über die Mittel und Zwecke der Verarbeitung entscheidet oder diese billigt. Eine trennscharfe Abgrenzung ist anhand dieser Kriterien in der Praxis aber kaum möglich. Einzig in den Fällen in denen Geschäftsführer personenbezogene Daten zu gesellschaftsfremden Zwecken verarbeiten, kann eine eigenständige Verantwortlichkeit der Geschäftsführer nach den geltenden Maßstäben eindeutig angenommen werden.
Welche Richtung die weitere Rechtsprechung einschlagen wird, bleibt abzuwarten. Die Entscheidung des OLG Dresden ist jedenfalls angreifbar, vor allem in Anbetracht der kargen Begründung.
Weitere Haftungsgefahren der Geschäftsführer
Aber auch abseits der Entscheidung des OLG Dresden drohen Geschäftsführern Haftungsrisiken bei Datenschutzverstößen, unabhängig davon, ob diese Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO sind oder nicht.
Ein Beispiel ist die mögliche Strafbarkeit: § 42 BDSG i.V.m. Art. 84 DSGVO knüpft nicht an den datenschutzrechtlich „Verantwortlichen“, sondern an den Handelnden an. Die Voraussetzungen für eine Strafbarkeit nach diesen Vorschriften sind jedoch sehr hoch und dürften in der Praxis allenfalls in Ausnahmefällen vorliegen. Gefordert wird einerseits die erwerbsmäßige, wissentliche und unberechtigte Übermittlung oder Zugänglichmachung von nicht allgemein zugänglichen personenbezogenen Daten gegenüber einer großen Personenzahl (§ 42 Abs. 1 BDSG) oder andererseits die rechtswidrige Verarbeitung bzw. Erschleichung von Daten in Bereicherungs- bzw. Schädigungsabsicht oder gegen Entgelt (§ 42 Abs. 2 BDSG).
Ein weiteres Risiko bergen die auf Grundlage von Datenschutzverstößen verhängten Bußgelder. Das ergänzend geltende Ordnungswidrigkeitengesetz (§§ 9, 130 OWiG) bietet die Möglichkeit, Geldbußen sowohl gegen die juristische Person als auch gegen ihre gesetzlichen Vertreter, also Geschäftsführer, zu verhängen. Im Regelfall wird das Verhalten des gesetzlichen Vertreters dem Unternehmen zugerechnet und stellt das Unternehmen damit so, als hätte es selbst den relevanten Datenverstoß begangen. Eine direkte Haftung des Geschäftsführers kann jedoch drohen, wenn den Geschäftsführer eine Aufsichtspflichtverletzung oder ein Organisationsverschulden trifft.
Geschäftsführer sollten deshalb im Rahmen ihres Pflichtenprogramms sicherstellen, dass in dem geführten Unternehmen ein strukturiertes und aktuelles Datenschutzmanagementsystem eingerichtet ist. Sie haben also dafür Sorge zu tragen, dass das Unternehmen so organsiert und strukturiert ist, dass es nicht zu Datenschutzverletzungen kommt. Anderenfalls drohen Haftungsrisiken, bei denen die meisten D&O-Versicherungen gerade nicht greifen.
Geschäftsführer haften darüber hinaus nach § 823 Abs. 1 BGB. Kann ihnen nachgewiesen werden, dass sie ihre Informations-, Organisations- und Überwachungspflichten nicht oder unzureichend ausgeübt haben, so können Geschäftsführer für einen Datenschutzverstoß persönlich im Wege des Schadensersatzes haftbar gemacht werden.
Letztlich ist neben der Außenhaftung der Geschäftsführer auch die mögliche Innenhaftung – ein Regress der in Anspruch genommenen Gesellschaft bei dem Geschäftsführer – zu beachten. Derartige Regressregelungen findet sich unter anderem in § 43 Abs. 2 GmbHG. Geschäftsführer können sich insgesamt nicht auf fehlendes Fachwissen zum Datenschutzrecht berufen. Dies würde den grundlegenden Sorgfaltspflichten eines ordentlichen Geschäftsmannes zuwiderlaufen. Vielmehr sind Geschäftsführer grundsätzlich verpflichtet, die Gesellschaft so zu organisieren, dass sie sich datenschutzkonform verhält.
Fazit
So kontrovers die Entscheidung des OLG Dresden auch sein mag, es darf nicht außer Acht gelassen werden, dass die urteilenden Richter das Rad der Geschäftsführerhaftung für Datenschutzverstöße nicht neu erfunden haben.
Bereits zuvor setzten sich Geschäftsführer Haftungsrisiken aus, wenn sie keine entsprechenden Datenschutzvorkehrungen im Unternehmen trafen. Nichtsdestotrotz käme es zu einer deutlich verschärfteren Haftung für Geschäftsführer, sollte die Entscheidung des OLG Dresden dahingehend zu verstehen sein, dass Geschäftsführer allein aufgrund ihrer Organstellung datenschutzrechtliche Verantwortliche sind. Es bleibt daher abzuwarten, wie die Rechtsprechung mit dieser Entscheidung umgehen wird.