In einem Urteil, das bisher eher unbemerkt blieb, hat das Oberlandesgericht (OLG) Dresden (Urteil vom 30.11.2021 – Az. 4 U 1158/21) eine äußerst wichtige Entscheidung für die persönliche Haftung von Geschäftsführern von Kapitalgesellschaften für Datenschutzverstöße gegenüber Geschädigten getroffen. Anlässlich des für die Praxis bedeutsamen Urteils soll in diesem Beitrag die Frage behandelt werden, unter welchen Umständen ein Geschäftsführer für Datenschutzverstöße im Unternehmen persönlich haftet.
Das Wichtigste in Kürze
- Geschäftsführer sind auch Verantwortliche i. S. d. der DSGVO. Sie haften neben dem Unternehmen persönlich für Datenschutzverletzungen gegenüber Betroffenen.
- „Verantwortlichkeit“ i. S. d. DSGVO liegt immer dann vor, sobald der Geschäftsführer über die Zwecke und die Mittel der Datenverarbeitung (mit)entscheidet.
- Nach Art. 10 DSGVO ist die Verarbeitung personenbezogener Daten im Zusammenhang mit Vorstrafen nur unter behördlicher Aufsicht gestattet.
- Um Datenschutzverletzungen zu vermeiden, muss der Geschäftsführer sicherstellen, dass das Unternehmen über ein funktionierendes Datenschutzmanagementsystem verfügt.
Sachverhalt
Der Kläger verlangte von einem Unternehmen sowie dessen Geschäftsführer gesamtschuldnerisch die Zahlung von ursprünglich 21 Mio. Euro Schadensersatz wegen einer Verletzung seiner Rechte aus der Datenschutzgrundverordnung.
Der Geschäftsführer ließ eine Recherche über den Kläger durchführen, die Aufschluss über strafrechtlich relevantes Verhalten des Klägers geben sollte. Im Zuge dessen nahm das Unternehmen die gewonnenen Erkenntnisse zum Anlass, eine vom Kläger beantragte Mitgliedschaft abzulehnen. Das Gericht stellte fest, dass die durchgeführte Datenverarbeitung unrechtmäßig war, sprach dem Kläger einen Schadensersatz zu, jedoch lediglich in Höhe von 5.000 Euro.
Unrechtmäßige Datenverarbeitung
Die DSGVO schreibt vor, dass jede Verarbeitung personenbezogener Daten rechtswidrig ist, wenn nicht einer der in Art. 6 DSGVO normierten Rechtfertigungsgründe eingreift. Beides war in dem zu entscheidenden Fall nicht gegeben. Eine Rechtfertigung über Art. 6 Abs. 1 S. 1 lit. f) DSGVO kam nicht Betracht, denn auch ohne die dafür erforderliche Interessenabwägung war die Datenverarbeitung, die im Ausspähen des Klägers sowie der Weitergabe der gewonnenen Erkenntnisse an das Unternehmen lag, zur Wahrung berechtigter Interessen nicht erforderlich. Stattdessen hätte das Unternehmen den Kläger zunächst zur Selbstauskunft und gegebenenfalls zur Vorlage eines Führungszeugnisses auffordern können.
Darüber hinaus verstieß die Veranlassung der Ausspähung des Klägers zum Zwecke der Aufklärung etwaiger Vorstrafen gegen Art. 10 DSGVO. Dieser gestattet die Verarbeitung personenbezogener Daten im Zusammenhang mit Vorstrafen nur unter behördlicher Aufsicht.
Grundsatz: Haftung des Verantwortlichen
Grundsätzlich ergibt sich unmittelbar aus der Datenschutzgrundverordnung, dass allein der sogenannte „Verantwortliche“ für Verletzungen der DSGVO haftet. Dabei ist der in der DSGVO vorgesehene Haftungsumfang beachtlich.
Nach Art. 82 Abs. 1 DSGVO hat derjenige, der einen immateriellen Schaden infolge der Verletzung einer Pflicht aus der DSGVO erleidet, einen Ersatzanspruch. Demnach sind nicht nur materielle Schäden, die eindeutig beziffert werden können, zu ersetzen, sondern viel mehr auch solche Schäden, die nicht vermögensrechtlicher Natur sind.
Daneben ist die Datenschutzaufsichtsbehörde unter den Voraussetzungen des Art. 83 DSGVO ermächtigt, gegen die Verantwortlichen empfindliche Bußgelder zu verhängen. Diese können bis zu 20 Millionen Euro oder bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vergangenen Jahres betragen.
„Verantwortlicher“ i. S. d. DSGVO
Bisher war weitestgehend unklar, ob der Geschäftsführer einer Kapitalgesellschaft generell „Verantwortlicher“ im Sinne der DSGVO sein kann.
Nach der Datenschutzgrundverordnung ist als Verantwortlicher jede „natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle anzusehen, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“.
Demnach könnte man den Geschäftsführer als natürliche Person und gesetzlicher Vertreter der juristischen Person, also des Unternehmens, als Verantwortlichen in diesem Sinne ansehen, da in der Regel davon auszugehen ist, dass der Geschäftsführer in seiner Position als Vertreter über Zwecke und Mittel von Datenverarbeitungen (mit)entscheiden darf oder sogar muss.
Jedoch wurde bisher von Literatur und Rechtsprechung überwiegend die Ansicht vertreten, dass der Geschäftsführer als gesetzlicher Vertreter des Unternehmens nicht „Verantwortlicher“ i. S. d. DSGVO sein kann und Art. 82 DSGVO lediglich eine Haftung des Unternehmens, also der juristischen Person selbst für Schadensersatzansprüche Betroffener vorsieht.
OLG Dresden: Persönliche Haftung des Geschäftsführers auf Schadensersatz
Nach der aktuellen Rechtsprechung des Oberlandesgerichts Dresden sind sowohl die juristische Person als auch ihr gesetzlicher Vertreter „Verantwortlicher“ im Sinne von 4 Nr. 7 DSGVO, sodass beide persönlich für Datenschutzverletzungen gegenüber Betroffenen einzustehen haben.
Dies liegt darin begründet, dass eine Verantwortlichkeit, die den Anknüpfungspunkt für einen Schadensersatzanspruch aus Art. 82 Abs. 1 DSGVO darstellt, immer dann vorliegt, sobald eine „natürliche oder juristische Person allein oder gemeinsam mit anderen über die Zwecke und die Mittel der Verarbeitung von personenbezogenen Daten entscheidet (…)“. Eine solche Verantwortlichkeit entfällt dem Urteil des OLG nach nur bei weisungsgebundenen Angestellten, die von solchen DSGVO-relevanten Entscheidungsprozessen ausgeschlossen sind.
Damit wird der Haftungsumfang des Geschäftsführers so erweitert, dass er persönlich auch von Betroffenen auf Schadensersatz in Anspruch genommen werden kann.
Geschäftsführerhaftung im Allgemeinen
Randomisierung
Eine Geschäftsführerhaftung für Datenschutzverletzungen kam bisher überwiegend nur in Betracht, wenn dieser eine rechtswidrige Verarbeitung der Unternehmensdaten zu eigenen Zwecken durchgeführt hat.
Insoweit verweist Art. 84 Abs. 1 DSGVO auf § 42 Abs. 1 und 2 des Bundesdatenschutzgesetzes (BDSG), der enge Voraussetzungen für eine Strafbarkeit des Geschäftsführers wegen Verletzung des Datenschutzes normieren.
Eine Strafbarkeit nach § 42 Abs. 1 BDSG kommt insofern nur unter den engen Voraussetzungen in Betracht, dass
- eine wissentliche und unberechtigte Übermittlung oder Zugänglichmachung
- nicht allgemein zugänglicher personenbezogener Daten
- gegenüber einer großen Zahl von Personen erfolgt
- und dies gewerbsmäßig geschieht.
Nach § 42 Abs. 2 BDSG macht sich derjenige strafbar, der nicht allgemein zugängliche personenbezogenen Daten unberechtigt verarbeitet oder sich diese durch unrichtige Angaben erschleicht und dabei zusätzlich gegen Entgelt handelt oder zumindest mit Bereicherungs- und/oder Schädigungsabsicht.
Aufgrund der sehr restriktiven Auslegung dieser Voraussetzungen kommt es in der Praxis nur selten zu einer Strafbarkeit.
Persönliche Haftung des Geschäftsführers für Bußgelder
Zudem können nach § 43 BDSG Datenschutzverletzungen mit Bußgeldern geahndet werden.
Sofern nach dem BDSG die §§ 30, 130 des Ordnungswidrigkeitengesetzes (OWiG) Anwendung finden, besteht die Möglichkeit, sowohl die juristische Person als auch ihre Führungspersonen oder Organe mit Bußgeldern zu belegen. Auch wenn das Ordnungswidrigkeitsverfahren an die Verantwortung des Geschäftsführers anknüpft, wird dessen schuldhaftes Verhalten über § 30 OWiG dem Unternehmen zugerechnet, sodass das Unternehmen als juristische Person so gestellt wird, als hätte es den relevanten Datenschutzverstoß selbst begangen. Demnach wäre eine Haftung des Unternehmens für datenschutzrechtliches Fehlverhalten eines Mitarbeiters nach § 41 BDSG i.V.m. §§ 30, 130 OWiG nur möglich, wenn der jeweilige Mitarbeiter der Leitungsebene zugehörig ist. Für Verstöße von Mitarbeitern niedrigerer Hierarchieebenen würde das Unternehmen nicht haften. Dies führt im Ergebnis dazu, dass das Bußgeld gegen das Unternehmen verhängt wird. Allerdings kann unter bestimmten Voraussetzungen über § 9 Abs. 1 OWiG eine persönliche Geschäftsführerhaftung in Betracht kommen.
Die DSK (Datenschutzkonferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder) vertrat bisher die Ansicht, dass grundsätzlich nur die Unternehmen für Datenschutzverstöße eines jeden Mitarbeiters haften. Dies gelte unabhängig von der Position des jeweiligen Mitarbeiters innerhalb des Unternehmens. Auch die Rechtsprechung bestätigte bisher diese Ansicht (Urteil LG Bonn gegen 1&1, Urteil vom 11.11.2020 – 29 OWI 1/20).
Eine solche Haftung leitet die Rechtsprechung aus dem funktionalen Unternehmensbegriff ab. Dieser ergibt sich aus dem Vertrag über die Arbeitsweise der Europäischen Union (AEUV), der supranationales EU-Recht darstellt.
So forderte die DSK den Gesetzgeber schon vor einiger Zeit auf, die nationale Norm des § 41 BDSG dem europäischen Recht dahingehend anzupassen, dass die §§ 30, 130 OWiG auf Datenschutzverstöße keine Anwendung finden. LG Bonn hat diese Auffassung im Rahmen eines Bußgeldverfahrens gegen das Telekommunikationsunternehmen 1&1 bestätigt und entschieden, dass Unternehmen unabhängig von der Position des Mitarbeiters gem. Art. 83 DSGVO, der Anwendungsvorrang genießt, haften.
Haftung für Organisationsverschulden
Darüber hinaus kommt eine Haftung des Geschäftsführers in Betracht, wenn ihm der Vorwurf gemacht werden kann, dass er bei der Geschäftsführung gegen seine Aufsichtspflicht verstoßen hat. Ist dies der Fall, wäre die Aufsichtsbehörde über § 130 OWiG befugt, ihm gegenüber ein Bußgeld zu verhängen.
Um sanktionierbare Datenschutzverletzungen zu vermeiden, muss der Geschäftsführer sicherstellen, dass das von ihm geführte Unternehmen über ein hinreichendes Datenschutzmanagementsystem verfügt und dieses in regelmäßigen Abständen auf Datenschutzkonformität überprüft wird.
In diesem Zusammenhang kann sich der Geschäftsführer im Falle von Datenschutzverletzungen der ihm unterstellten Mitarbeiter im Hinblick auf ein eigenes Organisationsverschulden nur entlasten, wenn er sichergestellt hat, dass ein effektives Datenschutzmanagementsystem vorliegt und dieses ordnungsgemäß gepflegt wird.
Innenhaftung des GmbH-Geschäftsführers
Neben der Frage, ob der Geschäftsführer gegenüber Betroffenen und Aufsichtsbehörden nach außen hin persönlich haftet, ist fraglich, ob die GmbH, die er vertritt, Regress bei ihm nehmen kann, sofern es zu bußgeldbewehrten und/oder schadensersatzpflichtigen Datenschutzverletzungen im Unternehmen kommt. Eine solche Innenhaftung des Geschäftsführers wäre über § 43 Abs. 2 GmbHG denkbar. Wie bereits festgestellt, stellt die Gewährleistung und Überwachung eines DSGVO-konformen Datenschutzmanagementsystems eine der zentralen Überwachungsaufgaben des Geschäftsführers dar. Er kann sich dieser nicht mit dem Argument entziehen, dass er nicht die dafür notwendigen Fachkenntnisse besitzt. Denn in der Regel ist er in einem solchen Fall verpflichtet, externe Berater heranzuziehen oder sich das nötige Fachwissen anzueignen. Verletzt der Geschäftsführer diese Sorgfaltspflichten eines ordentlichen Geschäftsmannes, ist es denkbar, dass der Gesellschaft für daraus entstehende Datenschutzverletzungen Regressansprüche gegen ihn zustehen und er damit persönlich in Anspruch genommen wird.
Fazit
Immer mehr Betroffene machen Schadensersatzansprüche gegen Unternehmen wegen der Verletzung ihrer Rechte aus der DSGVO geltend. Bisher ging die Literatur überwiegend davon aus, dass Geschäftsführer lediglich in den Grenzen ihrer organschaftlichen Stellung für Datenschutzverletzungen gegenüber der Gesellschaft zur Haftung herangezogen werden können. Durch die aktuelle Entscheidung des OLG Dresden wird dieser Haftungshorizont dahingehend erweitert, dass Geschäftsführer neben der Gesellschaft persönlich für Datenschutzverletzungen in Anspruch genommen werden können. Aus diesem Grund sollten Geschäftsführer sicherstellen, dass ihr Unternehmen über ein passables Datenschutzmanagement verfügt und gegebenenfalls in datenschutzrechtlichen Angelegenheiten einen Experten zurate ziehen.
