Geschäftsführerhaftung DSGVO

Ein Urteil des OLG Dresden ist derzeit in aller Munde. Im Urteil des Oberlandesgerichts vom 30.11. 2021 – 4 U 1158/21 wurde eine Geschäftsführer neben der Gesellschaft, hier eine GmbH, als Gesamtschuldner verurteilt.

Es erfolgte eine Einstufung des Geschäftsführers als eigener datenschutzrechtlich Verantwortlicher.

Hintergrund zum Fall

Zur Entscheidung im vorliegenden Fall kam es, nachdem der Geschäftsführer einen Detektiv beauftragte, um den Kläger hinsichtlich strafrechtlicher Handlungen zu prüfen.  Diese Informationen waren allerdings nicht von Relevanz für den Beklagten. Es handelte sich bei den beschafften Informationen um besonders sensible Daten.

Der Kläger forderte daraufhin Schadenersatz in Höhe von 21.000 €.

Gründe für die Entscheidung

Grundlage für die Verurteilung und damit zur Zahlung eines Schadensersatzes als Gesamtschuldner, war die fehlende Rechtsgrundlage, für die Datenverarbeitung. Das Ausspähen des Hintergrundes des Klägers in Bezug auf strafrechtliche Handlungen, war nicht nötig für eine Mitgliedschaft des Klägers beim Beklagten. Dies lässt sich auch nicht auf das berechtigte Interesse nach Art. 6 I lit. f DSGVO stützen. Bei strafrechtlichen Handlungen handelt es sich um besonders sensible Daten.

Nach der Ansicht des Gerichts war hierin auch ein Verstoß gegen Art. 10 DSGVO zu sehen.

Ausblick durch die Entscheidung

Das Gericht entschied aus den vorliegenden Gründe, dass der Geschäftsführer nach Art. 4 Nr. 7 DSGVO datenschutzrechtlich Verantwortlicher ist. Da die Gesellschaft und der Geschäftsführer gemeinsam über die Zwecke und Mittel entscheiden.

Durch die Ausspähung wurde dem Kläger ein ersatzfähiger Schaden nach Art. 82 DSGVO in Höhe von € zugesprochen.

Die Entscheidung des Gerichts könnte weitreichende folgen für Geschäftsführer haben, sollten sich weitere Gerichte der Ansicht anschließen.

Dennoch ist die Begründung des OLG sehr schwach und hätte näherer Betrachtung erfordert.

Lässt man die Entscheidung so stehen, müssen Geschäftsführer in Zukunft damit rechnen, dass eine gesamtschuldnerische Haftung bei Datenschutzverstößen droht. Gerade dann, wenn der Verstoß durch eine initiierte Handlung zur Verarbeitung geführt hat.

Zukünftige Entscheidungen im Hinblick auf die Geschäftsführerhaftung nach der DSGVO werden damit sehr interessant.