Verstößt ein Unternehmen im Umgang mit personenbezogenen Daten gegen datenschutzrechtliche Bestimmungen, insbesondere denen der DSGVO oder des BDSG, stellt sich immer wieder die Frage, wer dafür eigentlich haftet. Auch für die Geschäftsführung ist das Thema von großer Bedeutung, da noch nicht abschließend geklärt ist, ob sie unter Umständen für Datenschutzverstöße, unabhängig von der Rechtsform des Unternehmens, persönlich haftbar gemacht werden können.
Zu dieser Frage urteilte nun jüngst das OLG Dresden und entschied, dass Geschäftsführer einer GmbH neben der Gesellschaft auch “Verantwortlicher” im Sinne der DSGVO sind und somit persönlich haften.
Was war passiert?
Im zugrundeliegenden Fall bewarb sich der Kläger um die Mitgliedschaft in einem Verein, woraufhin eines der Vorstandsmitglieder ein Detektivbüro beauftragte Informationen zu dessen Person, insbesondere zu früher etwaig begangenen Straftaten, zu sammeln. Die Detektei tat wie beauftragt und stellte dem Vorstandsmitglied die begehrten Daten zur Verfügung, woraufhin dem Kläger die Mitgliedschaft versagt wurde.
Als dieser hiervon Kenntnis erlangte, verklagte er sowohl den Verein, als auch das Vorstandsmitglied selbst, wegen Verstoßes gegen datenschutzrechtliche Vorgaben, auf Schadensersatz. Das Gericht stellt in seinem Urteil fest, dass sowohl der Verein, als auch das Vorstandsmitglied als Geschäftsführer verantwortlich seien im Sinne von Art. 4 Nr. 7 DSGVO, da eine solche Verantwortlichkeit immer dann anzunehmen sei, wenn eine natürliche oder juristische Person über die Mittel und Zwecke einer Verarbeitung personenbezogener Daten entscheide. Dies sei zwar nicht bei Angestellten oder sonstigen Beschäftigten der Fall, wohl aber bei Geschäftsführern.
Somit sei auch das beklagte Vorstandsmitglied als Geschäftsführer Adressat eines Schadenersatzanspruchs gem. Art. 82 DSGVO.
Mehr Haftungsrisiko für Geschäftsführer durch Paradigmenwechsel?
Nun mag dieses Urteil des Oberlandesgerichts nicht unbedingt auf den ersten Blick einen täglichen Praxisbezug beim Großteil der Leser erkennen lassen, die Grundaussage, unabhängig vom verhandelten Sachverhalt, dass von einer persönlichen Haftung der Geschäftsführung bei Datenschutzverstößen auszugehen sei, stellt aber jedenfalls einen nicht zu unterschätzenden Paradigmenwechsel in der Rechtsprechung dar.
Schon der EuGH hat 2018 festgestellt, dass eine persönliche Verantwortlichkeit neben der einer Organisation unter bestimmten Umständen bestehen kann. Das OLG Dresden schlägt hier nunmehr in dieselbe Kerbe.
Wurden in der Vergangenheit bei Datenschutzverstößen regelmäßig “nur” die Unternehmen selbst in Anspruch genommen, zeichnet sich nunmehr immer mehr die Tendenz ab, solcherlei Ansprüche sowohl gegen das Unternehmen, als auch die Geschäftsführung in Persona gleichzeitig durchsetzen zu wollen, in sog. “Gesamtschuldnerschaft”. Das bedeutet, dass sowohl das Unternehmen, als auch die Geschäftsführung nach außen hin für den zugrundeliegenden Verstoß haften und in Anspruch genommen werden können.
Dabei ist die Gefahr der persönlichen Haftung von Geschäftsführern nicht neu. Vielmehr ist eine solche bereits seit geraumer Zeit über den §43 Abs. 2 GmbHG vorgesehen, wonach Geschäftsführer im Falle der Verletzung von Obliegenheiten für einen dem Unternehmen entstandenen Schaden haften. Während in der Vergangenheit teilweise vertreten wurde, dass dies nicht für Datenschutzverstöße gelte, tendiert die Rechtsprechung aktuell eben in eine andere Richtung und bejaht diese Möglichkeit.
Insofern sollten Geschäftsführer unter Berücksichtigung der gezeigten Entwicklung spätestens jetzt ein ureigenes Interesse daran haben datenschutzrechtliche Vorgaben einzuhalten und dies auch gegenüber Gerichten und Behörden nachweisen zu können. Wie sonst auch gilt hier das Motto “Unwissenheit schützt vor Strafe nicht”.