Das OLG Dresden hat mit Urteil vom 30.11.2021 (Aktenzeichen 4 U 1158/21) neben einer Gesellschaft auch deren Geschäftsführer als Gesamtschuldner zur Zahlung eines Schadensersatzes nach DSGVO verurteilt. Das Gericht sah den Geschäftsführer ebenfalls als Verantwortlichen im Sinne der DSGVO an. Damit haftet der Gesellschafter persönlich neben der Gesellschaft.

Sollten die Gerichte diese Entscheidung weiterführen, hätte dies schwerwiegende Folgen für die Praxis.

Der Sachverhalt

Der Kläger stellte einen Mitgliedsantrag bei einem Verein. Im Namen des Vereins wurde die Gesellschaft (genauer: deren Geschäftsführer) tätig, um den strafrechtlichen Hintergrund des Klägers zu überprüfen. Hierzu beauftragte er einen Privatdetektiv, der sodann strafrechtlich relevante Ergebnisse lieferte. Letztlich klärte der Geschäftsführer den Vorstand darüber auf, der deshalb dem Kläger eine Mitgliedschaft verwehrte.

Der Kläger sah darin eine Verletzung des Datenschutzes und verklagte neben dem Verein auch die Gesellschaft mit besagtem Geschäftsführer auf einen Schadensersatz in Höhe von 5.000€ nach Art. 82 DSGVO.

Die Entscheidung des Gerichtes

In seiner Entscheidung hatte das OLG Dresden mehrere datenschutzrechtliche Fragen zu klären. Die Frage, die für die Praxis am bewegendsten ist, ist die, ob der Geschäftsführer, der den Privatdetektiv beauftragte und die Ergebnisse weiterleitete neben der Gesellschaft persönlich haftet.

Im Rahmen dieser Frage war zu klären, ob der Geschäftsführer selbst Verantwortlicher ist und ob seine Handlung eine ungerechtfertigte Verarbeitung personenbezogener Daten darstellte. Zudem stellte sich die Frage, ob das Ausspähen von Daten einen Schadensersatzanspruch nach Art. 82 DSGVO begründen kann.

Geschäftsführer als Verantwortlicher iSv Art. 4 Nr. 7 DSGVO

Das Gericht stellte zunächst fest, dass eine Verantwortlichkeit im Sinne der DSGVO „immer dann zu bejahen ist, wenn eine natürliche oder juristische Person allein oder gemeinsam mit anderen über die Zwecke und die Mittel der Verarbeitung von personenbezogenen Daten entscheiden kann und entscheidet“. Handelt ein Beschäftigter weisungsgebunden, entfalle dessen Verantwortlichkeit somit in der Regel. Der Geschäftsführer, der eben diese Entscheidungen selbst trifft, falle dagegen unter den Begriff des Verantwortlichen im Sinne der DSGVO.

Kritisiert wird hieran, dass das Gericht nur die Definitionen der DSGVO wiedergibt, ohne sich damit detaillierter auseinander zu setzen. Insbesondere hätte hier auch noch auf die Rechtsprechung des EuGH zum Thema der Auslegung des Begriffes des Verantwortlichen eingegangen werden müssen. Die pauschale Einstufung des Geschäftsführers als Verantwortlicher ohne auf dessen Tätigkeitsfeld und die Abhängigkeit von der Gesellschafterversammlung einzugehen, ist wenig überzeugend.

Ausspähen als Verarbeiten personenbezogener Daten iSv Art. 4 Nr. 1, 2 DSGVO

Mit der Frage nach der Verarbeitung personenbezogener Daten hält sich das Gericht nicht lange auf. Bei strafrechtlich relevanten Informationen handele es sich um personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO. Durch die Beauftragung einer Privatdetektives zum Ausspähen des Klägers und der Anschließenden Weitergabe der erlangten Daten an den Vorstand liegt auch eine Verarbeitung im Sinne des Art. 4 Nr. 2 DSGVO vor. Insbesondere wird auf das Erheben, Erfassen, Offenlegen durch Übermittlung und Abfragen abgestellt.

Rechtswidrigkeit der Verarbeitung

Der Kläger hatte nicht in die Verarbeitung eingewilligt. Damit ist die Verarbeitung rechtswidrig, soweit kein gesetzlicher Rechtfertigungsgrund eingreift.

Dazu führt das Gericht aus, dass auch kein berechtigtes Interesse im Sinne von Art. 6 I lit. f DSGVO vorliegt. Wägt man die Interessen von Kläger und Beklagtem ab, war das Ausspähen des Klägers gar nicht erst erforderlich. Es hätte die weniger invasive Alternative bestanden, den Kläger zur Vorlage eines polizeilichen Führungszeugnisses aufzufordern.

Darüber hinaus stellt das Gericht fest, dass das Ausspähen durch den Privatdetektiv „auch gegen Art. 10 DS-GVO [verstößt], der die Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln grundsätzlich nur unter behördlicher Aufsicht gestattet“. Diese Ansicht wird durchaus kritisiert, da sie dem Arbeitgeber auch generell verbieten würde, Führungszeugnisse von Mitarbeitern einzufordern.

Schadensersatz nach Art. 82 DSGVO

Das Gericht stellt fest, dass das Ausspähen der Daten im vorliegenden Fall die Bagatellschwelle überschreitet und somit einen Schadensersatzanspruch zur Folge haben kann. Die ausgespähten Daten wurden zudem einem größeren Personenkreis bekannt, was die Interessen des Klägers in hohem Maße verletzt.

Unter Berücksichtigung von „Art, Schwere, Dauer des Verstoßes, Grad des Verschuldens, Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens, frühere einschlägige Verstöße sowie die Kategorien der betroffenen personenbezogenen Daten“ setzte das Gericht die Höhe des Schadensersatzes auf 5.000€ fest. Auf eine konkrete Festlegung des immateriellen Schadens geht das Gericht allerdings nicht weiter ein.

Fazit

Auch wenn die Entscheidung des OLG Dresden in dieser Sache durchaus angreifbar ist, besteht die Gefahr, dass weitere Gerichte der Auffassung folgen und einzelne Geschäftsführer mit in die persönliche Haftung nehmen. Geschäftsführer wären dann einem deutlichen Haftungsrisiko ausgesetzt. Dies steigt, wenn sie Entscheidungen, die zu Datenverarbeitungen führen, treffen müssen.

Lassen Sie sich von unserem Team an Experten zeigen, wie Datenverarbeitungen in Ihrem Unternehmen datenschutzkonform ablaufen können!

DSB buchen
de_DEDeutsch