Über die Autoren
Stefan Evertz M.Sc.
Geschäftsführer
Datenschutzbeauftragter TÜV
Florian Decker
Fachanwalt für gewerblichen Rechtsschutz
Angestellter Rechtsanwalt
Kanzlei Rechtsanwälte Dr. Schultheiß
Grundsätzlich ist es die GmbH, die als „Verantwortliche“ im Sinne der DSGVO für die rechtmäßige Verarbeitung von Daten gerade stehen muss. Der Geschäftsführer ist als Organ der GmbH tätig, aber nicht mit dieser personenidentisch, sodass man bisher überwiegend davon ausging, dass er vor einer direkten Haftung für Datenschutz-Verstöße sicher sei, die der GmbH zuzurechnen sind.
Diese scheinbare Sicherheit, zumindest was die persönliche Haftung angeht, besteht nun spätestens seit dem aktuellen Urteil des OLG Dresden (Urteil vom 30.11.2021 – Az.: 4 U 1158/21) nicht mehr. Das Oberlandesgericht entschied, dass der Geschäftsführer einer GmbH persönlich als Gesamtschuldner neben der GmbH haftet. Das OLG geht davon aus, dass der Geschäftsführer selbst, neben der GmbH, auch Verantwortlicher im Sinne der DSGVO ist.
Neues Urteil zur Geschäftsführerhaftung bei Datenschutzverstößen
Die Darstellung des konkreten Sachverhalts innerhalb des Urteils des OLG Dresden ist äußerst knapp gehalten. Im Wesentlichen wird auf die entsprechende Darstellung der Vorinstanz (LG Dresden, Urteil vom 26.05.2021 – Az.: 8 O 1286/19) verwiesen. Dieses Urteil wurde allerdings nicht veröffentlicht. Somit steht zum Sachverhalt lediglich fest, dass es sich bei dem Kläger um einen Autohändler handelte, welcher Mitglied in einem Verein werden wollte, der Oldtimer-Ausfahrten organisierte.
Der Kläger stellt bei der beklagten GmbH eine Mitgliedsanfrage, worauf der mitangeklagte GmbH-Geschäftsführer (im Namen der beklagten GmbH) einen Detektiv beauftragte, zu möglichen strafrechtlich relevanten Handlungen, die dem Kläger zuzuordnen sind, zu recherchieren. Das Ergebnis der Recherche, nämlich dass der Kläger in der Vergangenheit Beteiligter strafrechtlich relevanter Sachverhalte war, war für die Gesellschafter der GmbH (nachdem diese von dem Ergebnis des Detektives erfahren haben) Grund, den Mitgliedsantrag des Klägers abzulehnen.
Der Kläger verlangte daraufhin einen immateriellen Schadensersatz nach der DSGVO i.H.v. 21.000 Euro. Das LG Dresden als auch das OLG Dresden sahen die Forderung nach Schadensersatz als berechtigt an, reduzierten den Betrag jedoch auf 5.000 Euro. Dies begründete das Gericht damit, dass die veranlasste Datenverarbeitung (die Beauftragung des Detektives) insbesondere nicht zur Wahrung der berechtigten Interessen nach Art. 6 Abs. 1 lit. f DSGVO erforderlich gewesen ist. Zudem ist die Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen oder Straftaten nach Art. 10 DSGVO grundsätzlich nur unter behördlicher Aufsicht vorzunehmen, sodass der Detektiv nicht befugt gewesen war und hierin ein weiterer Verstoß gegen die DSGVO vorlag. Das bejahte auch einen ersatzfähigen Schaden im Sinne von Art. 82 Abs. 1 DSGVO, das Gericht bewertete diesen, wie gesagt, jedoch nicht so hoch wie der Kläger.
Geschäftsführer haftet mit Privatvermögen
Im Prinzip hat das bisher alles nichts mit unserem täglichen Geschäft, der rechtlichen Absicherung von Websites zu tun… Ein GmbH-Geschäftsführer beauftragt einen Detektiv, um herauszufinden, ob jemand, der in seinen Verein eintreten möchte, strafrechtlich in Erscheinung getreten ist…aber das Folgende trifft auf alle Bereiche, in dem die DSGVO gilt zu und das ist von sehr hoher Relevanz:
Das Gericht geht nämlich davon aus, dass neben der GmbH, auch der Geschäftsführer der GmbH persönlich (um es klarer zu sagen mit seinem Privatvermögen) für den DSGVO-Verstoß haftet, da er ebenso datenschutzrechtlich Verantwortlicher nach Art. 4 Nr. 7 DSGVO ist.
Was bedeutet das Urteil für Geschäftsführer?
Sollten sich diese Rechtsprechung durchsetzen, müssen Geschäftsführer mit der persönlichen Inanspruchnahme auf Grund von DSGVO-Verstößen rechnen. Dieses Haftungsrisiko besteht insbesondere dann, wenn sie die dem Datenschutzverstoß zugrundeliegende Datenverarbeitung selbst initiiert oder an entsprechenden Entscheidungen oder Beauftragungen mitgewirkt haben.
Der EuGH legt den Begriff des „Verantwortlichen“ zum Teil sehr weit aus. Bedeutet, der Geschäftsführer könnte auch haften, wenn von der Verarbeitung der Daten profitiert und diese in irgendeiner Art und Weise veranlasst bzw. geduldet hat (bspw. Nutzung von Google Analytics oder anderer Tools auf einer Unternehmens-Website).
Geschäftsführerhaftung bei fehlerhafter Datenschutzerklärung
Datenschutzverstöße auf der eigenen Website, sind wegen ihrer Sichtbarkeit im Internet besonders problematisch. Der Datenschutzerklärung kommt beim Website-Datenschutz eine besondere Rolle zu. Als Geschäftsführer sollten Sie zu Ihrer eigenen Sicherheit wissen, wie bei der Erstellung vorgegangen wurde. Zwei Fragen sind hier besonders wichtig:
1. Wer hat Ihre Datenschutzerklärung erstellt? Ein spezialisierter Jurist, Sie selbst mit einem Internetgenerator, Ihr Webdesigner (der kein Jurist ist)?
2. Wann wurde Ihre Datenschutzerklärung erstellt? Seit Dezember 2021 gilt parallel zur DSGVO das deutsche Datenschutzgesetz TTDSG. Gerade bei den Themen Cookies und US-Datentransfer kam es zu einigen Verschärfungen.
Wir machen Sie abmahnsicher
Jetzt Angebot für Ihre Website anfordern.
Unverbindlich und kostenfrei.