Zuletzt aktualisiert am 7. April 2026

Das OLG Dresden hat mit Urteil vom 30.11.2021 (Aktenzeichen 4 U 1158/21) neben einer Gesellschaft auch deren Geschäftsführer als Gesamtschuldner zur Zahlung eines Schadensersatzes nach DSGVO verurteilt. Das Gericht sah den Geschäftsführer ebenfalls als Verantwortlichen im Sinne der DSGVO an. Damit haftet der Gesellschafter persönlich neben der Gesellschaft.

Sollten die Gerichte diese Entscheidung weiterführen, hätte dies schwerwiegende Folgen für die Praxis.

Der Sachverhalt

Der Kläger stellte einen Mitgliedsantrag bei einem Verein. Im Namen des Vereins wurde die Gesellschaft (genauer: deren Geschäftsführer) tätig, um den strafrechtlichen Hintergrund des Klägers zu überprüfen. Hierzu beauftragte er einen Privatdetektiv, der sodann strafrechtlich relevante Ergebnisse lieferte. Letztlich klärte der Geschäftsführer den Vorstand darüber auf, der deshalb dem Kläger eine Mitgliedschaft verwehrte.

Der Kläger sah darin eine Verletzung des Datenschutzes und verklagte neben dem Verein auch die Gesellschaft mit besagtem Geschäftsführer auf einen Schadensersatz in Höhe von 5.000€ nach Art. 82 DSGVO.

Die Entscheidung des Gerichtes

In seiner Entscheidung hatte das OLG Dresden mehrere datenschutzrechtliche Fragen zu klären. Die Frage, die für die Praxis am bewegendsten ist, ist die, ob der Geschäftsführer, der den Privatdetektiv beauftragte und die Ergebnisse weiterleitete neben der Gesellschaft persönlich haftet.

Im Rahmen dieser Frage war zu klären, ob der Geschäftsführer selbst Verantwortlicher ist und ob seine Handlung eine ungerechtfertigte Verarbeitung personenbezogener Daten darstellte. Zudem stellte sich die Frage, ob das Ausspähen von Daten einen Schadensersatzanspruch nach Art. 82 DSGVO begründen kann.

Geschäftsführer als Verantwortlicher iSv Art. 4 Nr. 7 DSGVO

Das Gericht stellte zunächst fest, dass eine Verantwortlichkeit im Sinne der DSGVO „immer dann zu bejahen ist, wenn eine natürliche oder juristische Person allein oder gemeinsam mit anderen über die Zwecke und die Mittel der Verarbeitung von personenbezogenen Daten entscheiden kann und entscheidet“. Handelt ein Beschäftigter weisungsgebunden, entfalle dessen Verantwortlichkeit somit in der Regel. Der Geschäftsführer, der eben diese Entscheidungen selbst trifft, falle dagegen unter den Begriff des Verantwortlichen im Sinne der DSGVO.

Kritisiert wird hieran, dass das Gericht nur die Definitionen der DSGVO wiedergibt, ohne sich damit detaillierter auseinander zu setzen. Insbesondere hätte hier auch noch auf die Rechtsprechung des EuGH zum Thema der Auslegung des Begriffes des Verantwortlichen eingegangen werden müssen. Die pauschale Einstufung des Geschäftsführers als Verantwortlicher ohne auf dessen Tätigkeitsfeld und die Abhängigkeit von der Gesellschafterversammlung einzugehen, ist wenig überzeugend.

Ausspähen als Verarbeiten personenbezogener Daten iSv Art. 4 Nr. 1, 2 DSGVO

Mit der Frage nach der Verarbeitung personenbezogener Daten hält sich das Gericht nicht lange auf. Bei strafrechtlich relevanten Informationen handele es sich um personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO. Durch die Beauftragung einer Privatdetektives zum Ausspähen des Klägers und der Anschließenden Weitergabe der erlangten Daten an den Vorstand liegt auch eine Verarbeitung im Sinne des Art. 4 Nr. 2 DSGVO vor. Insbesondere wird auf das Erheben, Erfassen, Offenlegen durch Übermittlung und Abfragen abgestellt.

Rechtswidrigkeit der Verarbeitung

Der Kläger hatte nicht in die Verarbeitung eingewilligt. Damit ist die Verarbeitung rechtswidrig, soweit kein gesetzlicher Rechtfertigungsgrund eingreift.

Dazu führt das Gericht aus, dass auch kein berechtigtes Interesse im Sinne von Art. 6 I lit. f DSGVO vorliegt. Wägt man die Interessen von Kläger und Beklagtem ab, war das Ausspähen des Klägers gar nicht erst erforderlich. Es hätte die weniger invasive Alternative bestanden, den Kläger zur Vorlage eines polizeilichen Führungszeugnisses aufzufordern.

Außerdem stellt das Gericht fest, dass das Ausspähen durch den Privatdetektiv „auch gegen Art. 10 DS-GVO [verstößt], der die Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln grundsätzlich nur unter behördlicher Aufsicht gestattet“. Diese Ansicht wird durchaus kritisiert, da sie dem Arbeitgeber auch generell verbieten würde, Führungszeugnisse von Mitarbeitern einzufordern.

Schadensersatz nach Art. 82 DSGVO

Das Gericht stellt fest, dass das Ausspähen der Daten im vorliegenden Fall die Bagatellschwelle überschreitet und somit einen Schadensersatzanspruch zur Folge haben kann. Die ausgespähten Daten wurden zudem einem größeren Personenkreis bekannt, was die Interessen des Klägers in hohem Maße verletzt.

Unter Berücksichtigung von „Art, Schwere, Dauer des Verstoßes, Grad des Verschuldens, Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens, frühere einschlägige Verstöße sowie die Kategorien der betroffenen personenbezogenen Daten“ setzte das Gericht die Höhe des Schadensersatzes auf 5.000€ fest. Auf eine konkrete Festlegung des immateriellen Schadens geht das Gericht allerdings nicht weiter ein.

Fazit

Auch wenn die Entscheidung des OLG Dresden in dieser Sache durchaus angreifbar ist, besteht die Gefahr, dass weitere Gerichte der Auffassung folgen und einzelne Geschäftsführer mit in die persönliche Haftung nehmen. Geschäftsführer wären dann einem deutlichen Haftungsrisiko ausgesetzt. Dies steigt, wenn sie Entscheidungen, die zu Datenverarbeitungen führen, treffen müssen.

Lassen Sie sich von unserem Team an Experten zeigen, wie Datenverarbeitungen in Ihrem Unternehmen datenschutzkonform ablaufen können!

Rechtliche Grundlagen der Geschäftsführerhaftung im Datenschutz

Die persönliche Haftung von Geschäftsführern im Datenschutzrecht basiert auf dem weiten Verantwortlichkeitsbegriff der DSGVO. Nach Art. 4 Nr. 7 DSGVO ist Verantwortlicher, wer über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. Da Geschäftsführer die strategischen Entscheidungen über Datenverarbeitungsprozesse treffen oder zumindest treffen sollten, können sie neben der Gesellschaft als Verantwortliche angesehen werden. Art. 82 DSGVO gewährt betroffenen Personen einen direkten Schadensersatzanspruch gegen jeden Verantwortlichen, was die persönliche Haftung des Geschäftsführers begründen kann.

Konsequenzen der persönlichen Haftung für Geschäftsführer

Die Entscheidung des OLG Dresden zur persönlichen Haftung von Geschäftsführern hat weitreichende Folgen für die Unternehmensführung in Deutschland. Geschäftsführer können sich nicht mehr darauf verlassen, dass datenschutzrechtliche Verstöße ausschließlich der Gesellschaft zugerechnet werden. Vielmehr müssen sie aktiv dafür Sorge tragen, dass in ihrem Unternehmen ein funktionierendes Datenschutzmanagement implementiert ist.

Dies bedeutet in der Praxis, dass Geschäftsführer regelmäßig überprüfen müssen, ob die datenschutzrechtlichen Vorgaben eingehalten werden. Ein bloßes Delegieren an Mitarbeiter oder externe Dienstleister reicht nicht aus, wenn die Geschäftsführung keine angemessene Überwachung sicherstellt. Die Bestellung eines externen Datenschutzbeauftragten kann hier ein wichtiger Baustein sein, entbindet den Geschäftsführer aber nicht von seiner persönlichen Verantwortung.

Risikoabsicherung und Compliance-Maßnahmen

Angesichts der persönlichen Haftungsrisiken sollten Geschäftsführer geeignete Compliance-Maßnahmen ergreifen. Dazu gehört zunächst die Implementierung eines vollständigen Datenschutz-Management-Systems, das alle relevanten Prozesse abdeckt. Ein solches System umfasst unter anderem ein aktuelles Verarbeitungsverzeichnis, dokumentierte technisch-organisatorische Maßnahmen und regelmäßige Mitarbeiterschulungen.

Außerdem kann der Abschluss einer D&O-Versicherung (Directors and Officers Liability Insurance) sinnvoll sein, die auch datenschutzrechtliche Haftungsrisiken abdeckt. Allerdings ist zu beachten, dass viele Versicherer bei vorsätzlichen oder grob fahrlässigen Verstößen die Leistung verweigern. Eine vorausschauende Datenschutz-Compliance ist daher in jedem Fall vorzuziehen.

Aktuelle Rechtsprechungsentwicklung

Die Rechtsprechung zur persönlichen Haftung von Geschäftsführern entwickelt sich stetig weiter. Neben dem OLG Dresden haben auch andere Gerichte die Tendenz erkennen lassen, Geschäftsführer stärker in die Pflicht zu nehmen. Der EuGH hat in mehreren Entscheidungen den weiten Begriff des Verantwortlichen nach Art. 4 Nr. 7 DSGVO betont, was die Argumentation für eine persönliche Haftung zusätzlich stützt. Auch das Bundesarbeitsgericht hat in seiner Rechtsprechung betont, dass Geschäftsführer eine originäre Pflicht zur Absicherung der Rechtskonformität tragen, die nicht vollständig delegierbar ist.

Für Geschäftsführer bedeutet dies, dass sie das Thema Datenschutz nicht als lästige Pflicht, sondern als essentiellen Bestandteil ihrer Unternehmensführung begreifen sollten. Wer frühzeitig in professionelle Datenschutzberatung investiert, minimiert nicht nur die rechtlichen Risiken, sondern stärkt auch das Vertrauen von Kunden und Geschäftspartnern. Die Kosten für eine fundierte Datenschutzberatung stehen in keinem Verhältnis zu den potenziellen Schadensersatzforderungen und Bußgeldern, die bei Verstößen drohen. Zudem sollten Geschäftsführer beachten, dass auch die Gesellschafterversammlung bei nachgewiesenen Datenschutzverstößen Regressansprüche gegen die Geschäftsführung geltend machen kann, was das persönliche finanzielle Risiko zusätzlich erhöht.

Datenschutz für Ihr Unternehmen

• DSGVO-Beratung
• Verarbeitungsverzeichnis
• TOM Datenschutz
• Datenschutz-Schulung

Erstberatung anfragen

Als erfahrene Datenschutzexperten unterstützt die DATUREX GmbH aus Dresden Unternehmen bei allen Fragen rund um Datenschutz und DSGVO-Compliance. Unsere TÜV-zertifizierten Berater stehen Ihnen mit individueller Beratung, praxisnahen Lösungen und langjähriger Erfahrung zur Seite. Vereinbaren Sie jetzt Ihre kostenlose Erstberatung und profitieren Sie von unserem Expertenwissen für Ihr Unternehmen.

Benötigen Sie Unterstützung bei der Umsetzung der DSGVO in Ihrem Unternehmen? Die DATUREX GmbH aus Dresden bietet Ihnen als zertifizierter Datenschutzdienstleister vollständige Beratung — von der initialen Bestandsaufnahme über die Erstellung aller erforderlichen Dokumentationen bis hin zur kontinuierlichen Betreuung als externer Datenschutzbeauftragter. Profitieren Sie von unserer langjährigen Erfahrung und vereinbaren Sie noch heute ein kostenloses Erstgespräch unter 0351/79593513 oder per E-Mail an datenschutz@externer-datenschutzbeauftragter-dresden.de.