Zusammenfassung
Neben einer GmbH kommt auch der Geschäftsführer als Verantwortlicher gem. der DSGVO in Betracht. Damit besteht ein weiterer Anknüpfungstatbestand für die Außenhaftung des Geschäftsführers.
Der Kläger strebte die "Mitgliedschaft" bei einer GmbH an. Vor dem Hintergrund dieser Mitgliedschaftsanfrage hatte der Geschäftsführer im Namen der GmbH – aber ohne die Einwilligung des Klägers – einen Detektiv beauftragt. Der Detektiv sollte die Verbindung des Klägers zu etwaigen Straftaten in der Vergangenheit überprüfen. Die Recherche des Detektivs hat die Beteiligung des Klägers an strafrechtlich relevanten Handlungen aufgedeckt. Die Mitgliedschaftsanfrage des Klägers wurde dementsprechend abgelehnt.
Daraufhin verklagte der Kläger sowohl die GmbH als auch den Geschäftsführer persönlich auf immateriellen Schadensersatz wegen Datenschutzverstößen. Erstinstanzlich wurden die Beklagten als Gesamtschuldner auf Zahlung von Schadensersatz wegen Verletzung der Rechte des Klägers aus der DSGVO verurteilt.
Das Urteil des OLG Dresden v. 30.11.2021 (4 U 1158/21)
Während die Beklagten ihre Berufungen zurückgenommen haben, hatte die Berufung des Klägers mit dem Ziel, eine höhere Schadensersatzsumme zu erlangen, keinen Erfolg.
Das OLG Dresden ("OLG") hielt insbesondere fest, dass ein jeweils selbständiger Verstoß gegen die Vorschriften der DSGVO durch die GmbH und den Geschäftsführer rechtskräftig feststehe. Denn die mit Blick auf das Ausspähen des Klägers vorgenommene Verarbeitung der Daten des Klägers sei mangels einer Einwilligung des Klägers rechtswidrig. Solch ein Verstoß könne zudem weder gem. Art. 6 DSGVO gerechtfertigt werden noch handele es sich hier um einen Bagatellverstoß.
Beide Beklagten seien hierfür verantwortlich im Sinne von Art. 4 Nr. 7 DSGVO. Denn maßgeblich für einen Anspruch aus Art. 82 Abs. 1 DSGVO sei, so das OLG, die datenschutzrechtliche Verantwortlichkeit, die dann zu bejahen ist, wenn eine natürliche oder juristische Person alleine oder gemeinsam mit anderen über die Zwecke und die Mittel der Verarbeitung von personenbezogenen Daten entscheiden kann und entscheidet. Vor diesem Hintergrund entfalle regelmäßig die Verantwortlichkeit weisungsgebundener Angestellter oder sonstiger Beschäftigter, die eines GmbH-Geschäftsführers allerdings nicht.
Anmerkung
Das Urteil des OLG ist für die Praxis von nicht zu unterschätzender Bedeutung. Das OLG sieht den GmbH-Geschäftsführer neben der Gesellschaft selbst als Verantwortlichen gem. der DSGVO an. Damit besteht ein weiterer Anknüpfungstatbestand für die Außenhaftung des Geschäftsführers. Zwar ist die Haftung eines GmbH-Geschäftsführers im Grundsatz als Binnenhaftung gegenüber der Gesellschaft ausgestaltet. Allerdings besteht auch die Gefahr der persönlichen Haftung des Geschäftsführers gegenüber Gesellschaftsgläubigern. So ist eine Außenhaftung des Geschäftsführers bspw. in Form der cic-Haftung (§§ 280 Abs. 1, 311 Abs. 3 BGB) im Fall der Inanspruchnahme persönlichen Vertrauens oder beim Vorliegen eines wirtschaftlichen Eigeninteresses unter bestimmten Voraussetzungen denkbar. Daneben kann eine solche Haftung gegenüber Dritten insbesondere über Deliktstatbestände (vornehmlich § 823 oder § 826 BGB), aber auch durch spezielle Tatbestände, wie bspw. aus dem Wettbewerbsrecht oder nach dem Urteil des OLG auch aus der DSGVO, begründet werden.
Ob sich auch andere Gerichte dieser Rechtsprechung des OLG anschließen werden, bleibt abzuwarten. Denn das Urteil ist insbesondere mit Blick auf die Einordnung des GmbH-Geschäftsführers als Verantwortlichen rechtlich durchaus angreifbar. Die Richter setzen sich insoweit nicht mit der Frage auseinander, unter welchen Voraussetzungen Geschäftsführer tatsächlich eigenständig über die Zwecke und Mittel von Datenverarbeitungen entscheiden. Unter Berücksichtigung der grundsätzlichen Weisungsgebundenheit gegenüber der Gesellschafterversammlung erscheint es naheliegender, Geschäftsführern nur dann eine eigene Verantwortlichkeit zuzusprechen, wenn und soweit sie sich im Einzelfall darüber hinwegsetzen.