Urteile über Schadensersatzansprüche nach der DS-GVO erfreuen sich großer Aufmerksamkeit. Die potentielle Höhe dieser Ansprüche sowie der bisweilen geforderte „abschreckende Charakter“ tragen hierzu bei. Nun hat das OLG Dresden einen weiteren Grund geliefert: Nach einem aktuellen Urteil (30.11.2021 – 4 U 1158/21) haften die Organe von Gesellschaften neben der Gesellschaft als Gesamtschuldner. Setzt sich diese Auffassung durch, kann dies erhebliche praktische Auswirkungen haben.
Ausgangsfall und arbeitsrechtliche Bedeutung
Im Sachverhalt des OLG Dresden sah die Satzung einer juristischen Person vor, die Aufnahme ehemaliger Straftäter oder nicht einwandfrei beleumundeter Personen einzuschränken. Anlässlich des Aufnahmegesuchs des Klägers wurde vor diesem Hintergrund ein Privatdetektiv mit Ermittlungen zu etwaigen strafrechtlich relevanten Sachverhalten beauftragt – natürlich ohne Einwilligung des Klägers und damit ohne datenschutzrechtlichen Erlaubnistatbestand. Dies geschah durch den Geschäftsführer, der diese Ermittlungen im Namen der juristischen Person veranlasste. Damit wurde der Geschäftsführer zum Gesamtschuldner des Schadensersatzanspruchs. Denn das OLG Dresden sah den Geschäftsführer neben der juristischen Person als eigenständigen datenschutzrechtlichen Verantwortlichen an.
Eine ähnliche Situation kann sich in arbeitsrechtlichen Untersuchungen leicht ergeben. Auch hier werden nicht selten Privatdetektive zur Aufklärung von Fehlverhalten von Mitarbeitenden mit potentiellem strafrechtlichen Bezug durch die Geschäftsführung beauftragt. Nicht immer werden dabei die datenschutzrechtlichen Voraussetzungen streng eingehalten.
Die Begründung für die Haftung des Geschäftsführers
Die Begründung des OLG Dresden für die datenschutzrechtliche Verantwortlichkeit des Geschäftsführers fällt denkbar knapp aus: Sowohl die juristische Person als auch der Geschäftsführer seien nebeneinander verantwortlich im Sinne von Art. 4 Nr. 7 und Art. 82 Abs. 1 DS-GVO. Diese Verantwortlichkeit sei immer dann zu bejahen, wenn eine natürliche oder juristische Person alleine oder gemeinsam mit anderen über die Zwecke und die Mittel der Verarbeitung von personenbezogenen Daten entscheiden kann und entscheidet. Damit entfalle zwar in aller Regel die Verantwortlichkeit weisungsgebundener Beschäftigter, für den Geschäftsführer gelte dies allerdings nicht.
Argumente gegen eine Verantwortlichkeit des Geschäftsführers
Die Argumentation des OLG Dresden knüpft zutreffend an Art. 4 Nr. 7 DS-GVO an. Danach können in der Tat sowohl natürliche als auch juristische Personen datenschutzrechtlich Verantwortliche sein. Das OLG berücksichtigt jedoch nicht, dass ein Unternehmen nur durch natürliche Personen – und in erster Linie durch das Organ Geschäftsführer – handlungsfähig ist. Die potentielle Haftung von natürlichen Personen führt mithin nicht stets zu ihrer Haftung, wenn sie in Organfunktion tätig sind. Daher hat auch die Datenschutzkonferenz in einer Entschließung am 3. April 2019 festgestellt, dass Unternehmen – zumindest grundsätzlich – für Datenschutzverstöße Ihrer Arbeitnehmer haften. Dies gilt zumindest solange die Handlungen der unternehmerischen Tätigkeit zugerechnet werden können. Diese Erwägung lässt sich dabei auch auf Geschäftsführer übertragen. Denn auch die Handlungen des Geschäftsführers sind im Regelfall der Unternehmenstätigkeit zuzurechnen. Zudem hat der Europäische Datenschutzausschuss („EDSA“) in den „Leitlinien zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DS-GVO“ (Version 2.0, v. 7. Juli 2022, Rz 17 f.) klargestellt, dass Handlungen natürlicher Personen (einschließlich Geschäftsführern) innerhalb einer Organisation grundsätzlich der Organisation zuzurechnen sind.
Verfolgung eigener Zwecke
Diese Erwägungen haben allerdings nicht zur Folge, dass der Geschäftsführer in keinem Fall als datenschutzrechtlich verantwortlich einzustufen sein kann. Sind seine Handlungen bei verständiger Würdigung nicht mehr dem Kreis der unternehmerischen Tätigkeit des Unternehmens zuzurechnen und verwendet er personenbezogene Daten für eigene Zwecke, ändert sich die Sachlage. Der Geschäftsführer entscheidet dann selbst und in eigenem Interesse über Mittel und Zwecke der Verarbeitung. Dies ist aber nicht der Regelfall, sondern die Ausnahme.
Folgen des Urteils für die Praxis
Sollte sich die Auffassung des OLG Dresden durchsetzen, hätte dies weitreichende Folgen für die Praxis. Denn nicht nur Geschäftsführer, sondern auch andere Organe und „weisungsfrei“ handelnde Unternehmenszugehörige, müssten mit Schadensersatzforderungen von betroffenen Personen rechnen. Zudem gilt es zu beachten, dass die datenschutzrechtliche Verantwortlichkeit nicht nur für Schadensersatzansprüche Bedeutung hat. An die Stellung des Verantwortlichen im Sinne der DS-GVO knüpfen zahlreiche weitere Folgen an. Nur die Informationspflichten nach Art. 13 und 14 DS-GVO seien hier genannt. Daher bleibt zu hoffen, dass sich die Gerichte zukünftig tiefergehend mit der Frage auseinandersetzen und zu einer abweichenden Auffassung gelangen. Die Qualität des Datenschutzschutzes wächst nicht mit der Anzahl der datenschutzrechtlich Verantwortlichen.