Dans son jugement du 30 novembre 2021 (numéro de dossier 4 U 1158/21), le tribunal régional supérieur de Dresde a condamné non seulement une société, mais aussi son gérant en tant que débiteur solidaire au paiement de dommages et intérêts conformément au RGPD. Le tribunal a également considéré le gérant comme responsable au sens du RGPD. Ainsi, l'associé est personnellement responsable aux côtés de la société.
Si les tribunaux devaient poursuivre cette décision, cela aurait de graves conséquences pour la pratique.
Les faits
Le plaignant a introduit une demande d'adhésion auprès d'une association. Au nom de l'association, la société (plus précisément son directeur) est intervenue pour vérifier le passé pénal du demandeur. Pour ce faire, elle a engagé un détective privé, qui a ensuite fourni des résultats pertinents sur le plan pénal. Finalement, le directeur a informé le conseil d'administration, qui a donc refusé l'adhésion du plaignant.
Der Kläger sah darin eine Verletzung des Datenschutzes und verklagte neben dem Verein auch die Gesellschaft mit besagtem Geschäftsführer auf einen Schadensersatz in Höhe von 5.000€ nach Art. 82 DSGVO.
La décision du tribunal
Dans sa décision, la Cour d'appel de Dresde a dû clarifier plusieurs questions relatives à la protection des données. La question la plus émouvante pour la pratique est celle de savoir si le gérant qui a engagé le détective privé et transmis les résultats est personnellement responsable à côté de la société.
Im Rahmen dieser Frage war zu klären, ob der Geschäftsführer selbst Verantwortlicher ist und ob seine Handlung eine ungerechtfertigte Verarbeitung des données à caractère personnel darstellte. Zudem stellte sich die Frage, ob das Ausspähen von Daten einen Schadensersatzanspruch nach Art. 82 DSGVO begründen kann.
Gérant en tant que responsable au sens de l'article 4, point 7, du RGPD
Das Gericht stellte zunächst fest, dass eine Verantwortlichkeit im Sinne der DSGVO „immer dann zu bejahen ist, wenn eine natürliche oder juristische Person allein oder gemeinsam mit anderen über die Zwecke und die Mittel der Verarbeitung von personenbezogenen Daten entscheiden kann und entscheidet“. Handelt ein Beschäftigter weisungsgebunden, entfalle dessen Verantwortlichkeit somit in der Regel. Der Geschäftsführer, der eben diese Entscheidungen selbst trifft, falle dagegen unter den Begriff des Verantwortlichen im Sinne der DSGVO.
La critique porte sur le fait que le tribunal ne fait que reproduire les définitions du RGPD sans s'y intéresser de manière plus détaillée. Il aurait notamment fallu se pencher sur la jurisprudence de la CJUE concernant l'interprétation de la notion de responsable. La qualification globale du gérant en tant que responsable sans aborder son domaine d'activité et sa dépendance vis-à-vis de l'assemblée des associés n'est guère convaincante.
Espionnage en tant que traitement de données à caractère personnel au sens de l'article 4, points 1 et 2, du RGPD
Mit der Frage nach der Traitement des données à caractère personnel hält sich das Gericht nicht lange auf. Bei strafrechtlich relevanten Informationen handele es sich um données à caractère personnel im Sinne von Art. 4 Nr. 1 DSGVO. Durch die Beauftragung einer Privatdetektives zum Ausspähen des Klägers und der Anschließenden Weitergabe der erlangten Daten an den Vorstand liegt auch eine Verarbeitung im Sinne des Art. 4 Nr. 2 DSGVO vor. Insbesondere wird auf das Erheben, Erfassen, Offenlegen durch Übermittlung und Abfragen abgestellt.
Illégalité du traitement
Le plaignant n'avait pas donné son consentement au traitement. Le traitement est donc illégal, dans la mesure où aucun motif justificatif légal ne s'applique.
Le tribunal explique qu'il n'y a pas non plus d'intérêt légitime au sens de l'article 6 I, lettre f du RGPD. Si l'on met en balance les intérêts du plaignant et du défendeur, l'espionnage du plaignant n'était même pas nécessaire. Il existait une alternative moins invasive, qui consistait à demander au plaignant de fournir un certificat de bonne conduite à la police.
Darüber hinaus stellt das Gericht fest, dass das Ausspähen durch den Privatdetektiv „auch gegen Art. 10 DS-GVO [verstößt], der die Verarbeitung des données à caractère personnel über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln grundsätzlich nur unter behördlicher Aufsicht gestattet“. Diese Ansicht wird durchaus kritisiert, da sie dem Arbeitgeber auch generell verbieten würde, Führungszeugnisse von Mitarbeitern einzufordern.
Dommages et intérêts en vertu de l'article 82 du RGPD
Le tribunal constate que l'espionnage des données dans le cas présent dépasse le seuil de minimisation et peut donc donner lieu à une demande de dommages et intérêts. Les données espionnées ont en outre été connues d'un plus grand nombre de personnes, ce qui porte gravement atteinte aux intérêts du plaignant.
Unter Berücksichtigung von „Art, Schwere, Dauer des Verstoßes, Grad des Verschuldens, Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens, frühere einschlägige Verstöße sowie die Kategorien der betroffenen personenbezogenen Daten“ setzte das Gericht die Höhe des Schadensersatzes auf 5.000€ fest. Auf eine konkrete Festlegung des immateriellen Schadens geht das Gericht allerdings nicht weiter ein.
Conclusion
Auch wenn die Entscheidung des OLG Dresden in dieser Sache durchaus angreifbar ist, besteht die Gefahr, dass weitere Gerichte der Auffassung folgen und einzelne Geschäftsführer mit in die persönliche Haftung nehmen. Geschäftsführer wären dann einem deutlichen Haftungsrisiko ausgesetzt. Dies steigt, wenn sie Entscheidungen, die zu Datenverarbeitungen führen, treffen müssen.
Laissez notre équipe d'experts vous montrer comment le traitement des données dans votre entreprise peut se dérouler conformément à la protection des données !