open search
close
Datenschutz Neueste Beiträge

Geschäftsführer-Haftung nach der DS-GVO?

Print Friendly, PDF & Email

Urteile über Schadensersatzansprüche nach der DS-GVO erfreuen sich großer Aufmerksamkeit. Die potentielle Höhe dieser Ansprüche sowie der bisweilen geforderte „abschreckende Charakter“ tragen hierzu bei. Nun hat das OLG Dresden einen weiteren Grund geliefert: Nach einem aktuellen Urteil (30.11.2021 – 4 U 1158/21) haften die Organe von Gesellschaften neben der Gesellschaft als Gesamtschuldner. Setzt sich diese Auffassung durch, kann dies erhebliche praktische Auswirkungen haben.

Ausgangsfall und arbeitsrechtliche Bedeutung

Im Sachverhalt des OLG Dresden sah die Satzung einer juristischen Person vor, die Aufnahme ehemaliger Straftäter oder nicht einwandfrei beleumundeter Personen einzuschränken. Anlässlich des Aufnahmegesuchs des Klägers wurde vor diesem Hintergrund ein Privatdetektiv mit Ermittlungen zu etwaigen strafrechtlich relevanten Sachverhalten beauftragt – natürlich ohne Einwilligung des Klägers und damit ohne datenschutzrechtlichen Erlaubnistatbestand. Dies geschah durch den Geschäftsführer, der diese Ermittlungen im Namen der juristischen Person veranlasste. Damit wurde der Geschäftsführer zum Gesamtschuldner des Schadensersatzanspruchs. Denn das OLG Dresden sah den Geschäftsführer neben der juristischen Person als eigenständigen datenschutzrechtlichen Verantwortlichen an.

Eine ähnliche Situation kann sich in arbeitsrechtlichen Untersuchungen leicht ergeben. Auch hier werden nicht selten Privatdetektive zur Aufklärung von Fehlverhalten von Mitarbeitenden mit potentiellem strafrechtlichen Bezug durch die Geschäftsführung beauftragt. Nicht immer werden dabei die datenschutzrechtlichen Voraussetzungen streng eingehalten.

Die Begründung für die Haftung des Geschäftsführers

Die Begründung des OLG Dresden für die datenschutzrechtliche Verantwortlichkeit des Geschäftsführers fällt denkbar knapp aus: Sowohl die juristische Person als auch der Geschäftsführer seien nebeneinander verantwortlich im Sinne von Art. 4 Nr. 7 und Art. 82 Abs. 1 DS-GVO. Diese Verantwortlichkeit sei immer dann zu bejahen, wenn eine natürliche oder juristische Person alleine oder gemeinsam mit anderen über die Zwecke und die Mittel der Verarbeitung von personenbezogenen Daten entscheiden kann und entscheidet. Damit entfalle zwar in aller Regel die Verantwortlichkeit weisungsgebundener Beschäftigter, für den Geschäftsführer gelte dies allerdings nicht.

Argumente gegen eine Verantwortlichkeit des Geschäftsführers

Die Argumentation des OLG Dresden knüpft zutreffend an Art. 4 Nr. 7 DS-GVO an. Danach können in der Tat sowohl natürliche als auch juristische Personen datenschutzrechtlich Verantwortliche sein. Das OLG berücksichtigt jedoch nicht, dass ein Unternehmen nur durch natürliche Personen – und in erster Linie durch das Organ Geschäftsführer – handlungsfähig ist. Die potentielle Haftung von natürlichen Personen führt mithin nicht stets zu ihrer Haftung, wenn sie in Organfunktion tätig sind. Daher hat auch die Datenschutzkonferenz in einer Entschließung am 3. April 2019 festgestellt, dass Unternehmen – zumindest grundsätzlich – für Datenschutzverstöße Ihrer Arbeitnehmer haften. Dies gilt zumindest solange die Handlungen der unternehmerischen Tätigkeit zugerechnet werden können. Diese Erwägung lässt sich dabei auch auf Geschäftsführer übertragen. Denn auch die Handlungen des Geschäftsführers sind im Regelfall der Unternehmenstätigkeit zuzurechnen. Zudem hat der Europäische Datenschutzausschuss („EDSA“) in den „Leitlinien zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DS-GVO“ (Version 2.0, v. 7. Juli 2022, Rz 17 f.) klargestellt, dass Handlungen natürlicher Personen (einschließlich Geschäftsführern) innerhalb einer Organisation grundsätzlich der Organisation zuzurechnen sind.

Verfolgung eigener Zwecke

Diese Erwägungen haben allerdings nicht zur Folge, dass der Geschäftsführer in keinem Fall als datenschutzrechtlich verantwortlich einzustufen sein kann. Sind seine Handlungen bei verständiger Würdigung nicht mehr dem Kreis der unternehmerischen Tätigkeit des Unternehmens zuzurechnen und verwendet er personenbezogene Daten für eigene Zwecke, ändert sich die Sachlage. Der Geschäftsführer entscheidet dann selbst und in eigenem Interesse über Mittel und Zwecke der Verarbeitung. Dies ist aber nicht der Regelfall, sondern die Ausnahme.

Folgen des Urteils für die Praxis

Sollte sich die Auffassung des OLG Dresden durchsetzen, hätte dies weitreichende Folgen für die Praxis. Denn nicht nur Geschäftsführer, sondern auch andere Organe und „weisungsfrei“ handelnde Unternehmenszugehörige, müssten mit Schadensersatzforderungen von betroffenen Personen rechnen. Zudem gilt es zu beachten, dass die datenschutzrechtliche Verantwortlichkeit nicht nur für Schadensersatzansprüche Bedeutung hat. An die Stellung des Verantwortlichen im Sinne der DS-GVO knüpfen zahlreiche weitere Folgen an. Nur die Informationspflichten nach Art. 13 und 14 DS-GVO seien hier genannt. Daher bleibt zu hoffen, dass sich die Gerichte zukünftig tiefergehend mit der Frage auseinandersetzen und zu einer abweichenden Auffassung gelangen. Die Qualität des Datenschutzschutzes wächst nicht mit der Anzahl der datenschutzrechtlich Verantwortlichen.

Dr. Oliver Vollstädt 

Rechtsanwalt
Fachanwalt für Arbeitsrecht
Partner
Oliver Vollstädt berät Arbeitgeber und Top-Füh­rungs­kräfte in allen Fragen des Arbeits­rechts. Sein besonderes Know-how liegt bei kol­lek­tiv­recht­li­chen Themengebieten mit den Schwer­punkten Restruk­tu­rie­rungsberatung, Ver­hand­lung von Sozi­al­plä­nen und haustariflichen Gestal­tun­gen. Ferner ist Oliver Vollstädt anerkannter Experte in arbeits- und daten­schutz­recht­li­chen Fragen zum Einsatz von IT-Systemen und neuen Medien am Arbeits­platz. Er ist Mitglied der Fokusgruppe "Datenschutz".
Verwandte Beiträge
Compliance Datenschutz Individualarbeitsrecht Kollektivarbeitsrecht Neueste Beiträge Top-Management

Arbeitsrecht im Jahr 2024: Die Top 5

Rechtzeitig zu den Silvester-Vorbereitungen lesen Sie hier unseren Jahresrückblick auf eine kleine Auswahl an beachtenswerten und für das Arbeitsrecht relevanten Urteilen. Besonders bewegt haben uns im Jahr 2024: Schadensersatzforderungen nach DSGVO-Auskunftsverlangen, Zielvereinbarungs-Boni, Überstundenvergütungen von Teilzeitkräften, die Konzernleihe sowie entschädigungsfreie Wettbewerbsverbote. Top 1 – Auskunftsverlangen nach Art. 15 DSGVO – Schadensersatzrisiko entschärft Schadensersatzforderungen des Arbeitnehmers wegen eines angeblichen Datenschutzverstoßes des Arbeitgebers waren ein beliebtes Instrument, um…
Arbeitszeit & Arbeitszeiterfassung Compliance Neueste Beiträge Unternehmensführung

Arbeitszeiterfassung – Keine Pflicht ohne Gesetz?

Die sog. Paukenschlag-Entscheidung des BAG im Jahr 2022 (Beschluss vom 13. September 2022 – 1 ABR 22/21) zur Arbeitszeit sorgte für großen Aufruhr, insbesondere bei Arbeitgebern. Darin urteilte das BAG, dass Arbeitgeber verpflichtet sind, ein System einzuführen, mit dem Beginn und Ende der täglichen Arbeitszeit einschließlich der Überstunden erfasst werden. Dies folgt nach dem BAG – bei unionsrechtskonformer Auslegung – aus § 3 Abs. 2…
Individualarbeitsrecht Neueste Beiträge Top-Management Unternehmensführung

Zum Geschäftsführer „befördert“ – doch wo ist der Geschäftsführerdienstvertrag?

Zeichnet sich ein als Führungskraft bewährter Arbeitnehmer besonders aus, kommt es nicht selten vor, dass er zum (Fremd-)Geschäftsführer „befördert“, d.h. zum Organ der Gesellschaft bestellt wird. Wir zeigen auf, welche Folgen die „Beförderung“ eines Arbeitnehmers zum Geschäftsführer für das Rechtsverhältnis zur Gesellschaft hat. Wird ein Arbeitnehmer zum (Fremd-)Geschäftsführer „befördert“, schließen der neu zu bestellende Geschäftsführer und die Gesellschaft erstaunlich häufig keinen schriftlichen Geschäftsführerdienstvertrag ab. Die…
Abonnieren Sie den kostenfreien KLIEMT-Newsletter.
Jetzt anmelden und informiert bleiben.

 

Die Abmeldung ist jederzeit möglich.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert