open search
close
Datenschutz Neueste Beiträge

Geschäftsführer-Haftung nach der DS-GVO?

Print Friendly, PDF & Email

Urteile über Schadensersatzansprüche nach der DS-GVO erfreuen sich großer Aufmerksamkeit. Die potentielle Höhe dieser Ansprüche sowie der bisweilen geforderte „abschreckende Charakter“ tragen hierzu bei. Nun hat das OLG Dresden einen weiteren Grund geliefert: Nach einem aktuellen Urteil (30.11.2021 – 4 U 1158/21) haften die Organe von Gesellschaften neben der Gesellschaft als Gesamtschuldner. Setzt sich diese Auffassung durch, kann dies erhebliche praktische Auswirkungen haben.

Ausgangsfall und arbeitsrechtliche Bedeutung

Im Sachverhalt des OLG Dresden sah die Satzung einer juristischen Person vor, die Aufnahme ehemaliger Straftäter oder nicht einwandfrei beleumundeter Personen einzuschränken. Anlässlich des Aufnahmegesuchs des Klägers wurde vor diesem Hintergrund ein Privatdetektiv mit Ermittlungen zu etwaigen strafrechtlich relevanten Sachverhalten beauftragt – natürlich ohne Einwilligung des Klägers und damit ohne datenschutzrechtlichen Erlaubnistatbestand. Dies geschah durch den Geschäftsführer, der diese Ermittlungen im Namen der juristischen Person veranlasste. Damit wurde der Geschäftsführer zum Gesamtschuldner des Schadensersatzanspruchs. Denn das OLG Dresden sah den Geschäftsführer neben der juristischen Person als eigenständigen datenschutzrechtlichen Verantwortlichen an.

Eine ähnliche Situation kann sich in arbeitsrechtlichen Untersuchungen leicht ergeben. Auch hier werden nicht selten Privatdetektive zur Aufklärung von Fehlverhalten von Mitarbeitenden mit potentiellem strafrechtlichen Bezug durch die Geschäftsführung beauftragt. Nicht immer werden dabei die datenschutzrechtlichen Voraussetzungen streng eingehalten.

Die Begründung für die Haftung des Geschäftsführers

Die Begründung des OLG Dresden für die datenschutzrechtliche Verantwortlichkeit des Geschäftsführers fällt denkbar knapp aus: Sowohl die juristische Person als auch der Geschäftsführer seien nebeneinander verantwortlich im Sinne von Art. 4 Nr. 7 und Art. 82 Abs. 1 DS-GVO. Diese Verantwortlichkeit sei immer dann zu bejahen, wenn eine natürliche oder juristische Person alleine oder gemeinsam mit anderen über die Zwecke und die Mittel der Verarbeitung von personenbezogenen Daten entscheiden kann und entscheidet. Damit entfalle zwar in aller Regel die Verantwortlichkeit weisungsgebundener Beschäftigter, für den Geschäftsführer gelte dies allerdings nicht.

Argumente gegen eine Verantwortlichkeit des Geschäftsführers

Die Argumentation des OLG Dresden knüpft zutreffend an Art. 4 Nr. 7 DS-GVO an. Danach können in der Tat sowohl natürliche als auch juristische Personen datenschutzrechtlich Verantwortliche sein. Das OLG berücksichtigt jedoch nicht, dass ein Unternehmen nur durch natürliche Personen – und in erster Linie durch das Organ Geschäftsführer – handlungsfähig ist. Die potentielle Haftung von natürlichen Personen führt mithin nicht stets zu ihrer Haftung, wenn sie in Organfunktion tätig sind. Daher hat auch die Datenschutzkonferenz in einer Entschließung am 3. April 2019 festgestellt, dass Unternehmen – zumindest grundsätzlich – für Datenschutzverstöße Ihrer Arbeitnehmer haften. Dies gilt zumindest solange die Handlungen der unternehmerischen Tätigkeit zugerechnet werden können. Diese Erwägung lässt sich dabei auch auf Geschäftsführer übertragen. Denn auch die Handlungen des Geschäftsführers sind im Regelfall der Unternehmenstätigkeit zuzurechnen. Zudem hat der Europäische Datenschutzausschuss („EDSA“) in den „Leitlinien zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DS-GVO“ (Version 2.0, v. 7. Juli 2022, Rz 17 f.) klargestellt, dass Handlungen natürlicher Personen (einschließlich Geschäftsführern) innerhalb einer Organisation grundsätzlich der Organisation zuzurechnen sind.

Verfolgung eigener Zwecke

Diese Erwägungen haben allerdings nicht zur Folge, dass der Geschäftsführer in keinem Fall als datenschutzrechtlich verantwortlich einzustufen sein kann. Sind seine Handlungen bei verständiger Würdigung nicht mehr dem Kreis der unternehmerischen Tätigkeit des Unternehmens zuzurechnen und verwendet er personenbezogene Daten für eigene Zwecke, ändert sich die Sachlage. Der Geschäftsführer entscheidet dann selbst und in eigenem Interesse über Mittel und Zwecke der Verarbeitung. Dies ist aber nicht der Regelfall, sondern die Ausnahme.

Folgen des Urteils für die Praxis

Sollte sich die Auffassung des OLG Dresden durchsetzen, hätte dies weitreichende Folgen für die Praxis. Denn nicht nur Geschäftsführer, sondern auch andere Organe und „weisungsfrei“ handelnde Unternehmenszugehörige, müssten mit Schadensersatzforderungen von betroffenen Personen rechnen. Zudem gilt es zu beachten, dass die datenschutzrechtliche Verantwortlichkeit nicht nur für Schadensersatzansprüche Bedeutung hat. An die Stellung des Verantwortlichen im Sinne der DS-GVO knüpfen zahlreiche weitere Folgen an. Nur die Informationspflichten nach Art. 13 und 14 DS-GVO seien hier genannt. Daher bleibt zu hoffen, dass sich die Gerichte zukünftig tiefergehend mit der Frage auseinandersetzen und zu einer abweichenden Auffassung gelangen. Die Qualität des Datenschutzschutzes wächst nicht mit der Anzahl der datenschutzrechtlich Verantwortlichen.

Dr. Oliver Vollstädt 

Rechtsanwalt
Fachanwalt für Arbeitsrecht
Partner
Oliver Vollstädt berät Arbeitgeber und Top-Füh­rungs­kräfte in allen Fragen des Arbeits­rechts. Sein besonderes Know-how liegt bei kol­lek­tiv­recht­li­chen Themengebieten mit den Schwer­punkten Restruk­tu­rie­rungsberatung, Ver­hand­lung von Sozi­al­plä­nen und haustariflichen Gestal­tun­gen. Ferner ist Oliver Vollstädt anerkannter Experte in arbeits- und daten­schutz­recht­li­chen Fragen zum Einsatz von IT-Systemen und neuen Medien am Arbeits­platz.
Verwandte Beiträge
Individualarbeitsrecht Neueste Beiträge Sozialversicherung

Sind Geschäftsführer abhängige Beschäftigte? Im Sozialversicherungsrecht sowohl als auch

Arbeitsrecht, Steuerrecht, Strafrecht, Sozialrecht – in vielen Rechtsgebieten stellt sich die Frage, ob ein Arbeitsverhältnis oder ein Beschäftigungsverhältnis oder ein Dienstverhältnis vorliegt. In vielen Fällen wird das Ergebnis identisch sein. Schwierigkeiten bereitet die Fremd- oder Minderheitsgeschäftsführerin, also ein Gesellschaftsorgan mit keiner oder nur geringer Beteiligung an der Gesellschaft. Auch im Sozialrecht geht es um die Abgrenzung der selbstständigen von der abhängigen Beschäftigung. Selbstständige sind in…
Neueste Beiträge Top-Management Unternehmensführung Video

Geschäftsführer-Haftung: Was müssen GmbHs und Geschäftsführer beachten? (Video)

Die Haftung von GmbH-Geschäftsführern ist ein brisantes Thema: Nicht selten nehmen Gesellschaften ihre (ehemaligen) Geschäftsführer auf erhebliche Schadensersatzsummen in Anspruch. Dabei kann es durchaus um zwei oder auch dreistellige Millionenbeträge gehen. Für Geschäftsführer ist dies potentiell existenzbedrohend. Für die Gesellschaften dagegen haben die Ansprüche einen erheblichen wirtschaftlichen Wert. Um so wichtiger ist es, Fallstricke zu vermeiden. Unser Partner Dr. Thomas Gerdom erläutert, was die Gesellschaft…
Individualarbeitsrecht Neueste Beiträge Top-Management

Besonderheiten bei der Bestellung und Abberufung von Geschäftsführern in der mitbestimmten GmbH

Bei der Bestellung und Abberufung von Geschäftsführern in der mitbestimmten GmbH sind in materieller Hinsicht einige mitbestimmungsrechtliche Besonderheiten zu beachten: Insbesondere kann die Bestellung nur für maximal fünf Jahre erfolgen und bedarf es für die Abberufung eines wichtigen Grundes. Grundsätzlich unterliegen die Bestellung und Abberufung von Geschäftsführern keinen materiellen Beschränkungen, was die Laufzeit der Bestellung und die Voraussetzungen für den Widerruf der Bestellung angeht. Anders…
Abonnieren Sie den KLIEMT-Newsletter.
Jetzt anmelden und informiert bleiben.

Die Abmeldung ist jederzeit möglich.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert