Persönliche Geschäftsführerhaftung bei Datenschutzverstößen

Eine Entscheidung des OLG Dresden aus dem November 2021 lässt aufhorchen. Konkret wurde das grundsätzlich auf das Innenverhältnis zwischen dem Geschäftsführer und der GmbH beschränkte Haftungsregime um den Fall der persönlichen Haftung des Geschäftsführers bei Datenschutzverstößen nach Art. 82 Datenschutzgrundverordnung („DSGVO“) erweitert.

Das Urteil

In dem der Entscheidung zugrunde liegenden Sachverhalt hatte der Kläger, ein KfZ-Händler, bei der Beklagten, einer GmbH, einen Mitgliedsantrag gestellt. Vor der Entscheidung über den Antrag beauftragte der Geschäftsführer der Beklagten, in deren Namen, einen Dritten damit zu eruieren, ob der Kläger in der Vergangenheit strafrechtlich in Erscheinung getreten war, sowie bei positivem Rechercheergebnis darüber Bericht zu erstatten. Die Recherche ergab, dass der Kläger in der Vergangenheit mit strafrechtlich relevanten Sachverhalten in Verbindung stand. Nachdem der Geschäftsführer der Beklagten durch den Dritten über diesen Umstand informiert worden war, leitete er die Erkenntnisse an die Vorstandsmitglieder der Beklagten weiter, woraufhin der Mitgliedsantrag des Klägers abgelehnt wurde. Das OLG Dresden bestätigt in seiner Entscheidung einen Schadensersatzanspruch des Klägers und führt aus, dass das Vorgehen der Beklagten bzw. deren Geschäftsführers keine rechtliche Legitimation besessen habe und darüber hinaus eine Verarbeitung personenbezogener Daten zu strafrechtlichen Verurteilungen oder Straftaten durch die GmbH verboten gewesen sei. Weiter stellte das Gericht fest, dass neben der GmbH auch der Geschäftsführer als eigenständiger Verantwortlicher (gesamtschuldnerisch mit der Gesellschaft) für die begangenen Datenschutzverstöße hafte. Hierzu führt das Gericht aus:

Sowohl der Beklagte zu 1) [GmbH] als auch der Beklagte zu 2) [Geschäftsführer] sind verantwortlich im Sinne von Art. 4 Nr. 7 DS-GVO, denn Anknüpfungspunkt für einen Anspruch aus Art. 82 Abs. 1 DS-GVO ist zunächst die „Verantwortlichkeit“, die immer dann zu bejahen ist, wenn eine natürliche oder juristische Person alleine oder gemeinsam mit anderen über die Zwecke und die Mittel der Verarbeitung von personenbezogenen Daten entscheiden kann und entscheidet […].

Auswirkungen auf die Praxis

Die Aussagen des Urteils können für die Praxis weitreichende Folgen haben. Denn im Kern statuiert das Urteil des OLG Dresden eine umfassende, persönliche Haftung für Geschäftsführer und Vorstände juristischer Personen bei Datenschutzverstößen, ohne dass es auf die Rechtsträgerschaft der Gesellschaft ankommt. Rechtlich zwingend ist die Ansicht des OLG Dresden allerdings nicht. So spricht § 4 Nr. 7 DSGVO, der den Begriff des Verantwortlichen definiert, von einer natürlichen oder einer juristischen Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung entscheidet. Aus dem Alternativverhältnis von natürlichen Personen und juristischen Personen („oder“) wird in Teilen der Literatur geschlussfolgert, dass es im Verhältnis einer juristischen Person zu ihren Leitungsorganen nur die juristische Person als Verantwortlichen geben kann (sog. Rechtsträgerprinzip).

Dieser Ansicht erteilt das OLG Dresden nun eine klare Absage, mit der Folge, dass eine persönliche Haftung von Geschäftsführern nicht mehr auf Fälle beschränkt bleibt, in denen der Geschäftsführer personenbezogene Daten des Unternehmens zu eigenen (gesellschaftsfremden) Zwecken verarbeitet, sondern auch auf die Fälle ausweitet, in denen der Geschäftsführer die Daten in Übereinstimmung mit der Tätigkeit der Gesellschaft verarbeitet. Zudem ist anders als in den datenschutzrechtlichen Vorgängervorschriften die Haftung für immaterielle Schäden nicht auf schwere Verletzungen des Persönlichkeitsrechts beschränkt, sondern – so von mehreren deutschen Gerichten vertreten – unabhängig von einer Erheblichkeitsschwelle möglich. Ebenso besteht für Geschäftsführer das Risiko der Verhängung datenschutzaufsichtsbehördlicher Bußgelder (Art. 83 DSGVO) sowie die Frage der Versicherbarkeit hiergegen.