open search
close
Datenschutz Neueste Beiträge

Geschäftsführer-Haftung nach der DS-GVO?

Print Friendly, PDF & Email

Urteile über Schadensersatzansprüche nach der DS-GVO erfreuen sich großer Aufmerksamkeit. Die potentielle Höhe dieser Ansprüche sowie der bisweilen geforderte „abschreckende Charakter“ tragen hierzu bei. Nun hat das OLG Dresden einen weiteren Grund geliefert: Nach einem aktuellen Urteil (30.11.2021 – 4 U 1158/21) haften die Organe von Gesellschaften neben der Gesellschaft als Gesamtschuldner. Setzt sich diese Auffassung durch, kann dies erhebliche praktische Auswirkungen haben.

Ausgangsfall und arbeitsrechtliche Bedeutung

Im Sachverhalt des OLG Dresden sah die Satzung einer juristischen Person vor, die Aufnahme ehemaliger Straftäter oder nicht einwandfrei beleumundeter Personen einzuschränken. Anlässlich des Aufnahmegesuchs des Klägers wurde vor diesem Hintergrund ein Privatdetektiv mit Ermittlungen zu etwaigen strafrechtlich relevanten Sachverhalten beauftragt – natürlich ohne Einwilligung des Klägers und damit ohne datenschutzrechtlichen Erlaubnistatbestand. Dies geschah durch den Geschäftsführer, der diese Ermittlungen im Namen der juristischen Person veranlasste. Damit wurde der Geschäftsführer zum Gesamtschuldner des Schadensersatzanspruchs. Denn das OLG Dresden sah den Geschäftsführer neben der juristischen Person als eigenständigen datenschutzrechtlichen Verantwortlichen an.

Eine ähnliche Situation kann sich in arbeitsrechtlichen Untersuchungen leicht ergeben. Auch hier werden nicht selten Privatdetektive zur Aufklärung von Fehlverhalten von Mitarbeitenden mit potentiellem strafrechtlichen Bezug durch die Geschäftsführung beauftragt. Nicht immer werden dabei die datenschutzrechtlichen Voraussetzungen streng eingehalten.

Die Begründung für die Haftung des Geschäftsführers

Die Begründung des OLG Dresden für die datenschutzrechtliche Verantwortlichkeit des Geschäftsführers fällt denkbar knapp aus: Sowohl die juristische Person als auch der Geschäftsführer seien nebeneinander verantwortlich im Sinne von Art. 4 Nr. 7 und Art. 82 Abs. 1 DS-GVO. Diese Verantwortlichkeit sei immer dann zu bejahen, wenn eine natürliche oder juristische Person alleine oder gemeinsam mit anderen über die Zwecke und die Mittel der Verarbeitung von personenbezogenen Daten entscheiden kann und entscheidet. Damit entfalle zwar in aller Regel die Verantwortlichkeit weisungsgebundener Beschäftigter, für den Geschäftsführer gelte dies allerdings nicht.

Argumente gegen eine Verantwortlichkeit des Geschäftsführers

Die Argumentation des OLG Dresden knüpft zutreffend an Art. 4 Nr. 7 DS-GVO an. Danach können in der Tat sowohl natürliche als auch juristische Personen datenschutzrechtlich Verantwortliche sein. Das OLG berücksichtigt jedoch nicht, dass ein Unternehmen nur durch natürliche Personen – und in erster Linie durch das Organ Geschäftsführer – handlungsfähig ist. Die potentielle Haftung von natürlichen Personen führt mithin nicht stets zu ihrer Haftung, wenn sie in Organfunktion tätig sind. Daher hat auch die Datenschutzkonferenz in einer Entschließung am 3. April 2019 festgestellt, dass Unternehmen – zumindest grundsätzlich – für Datenschutzverstöße Ihrer Arbeitnehmer haften. Dies gilt zumindest solange die Handlungen der unternehmerischen Tätigkeit zugerechnet werden können. Diese Erwägung lässt sich dabei auch auf Geschäftsführer übertragen. Denn auch die Handlungen des Geschäftsführers sind im Regelfall der Unternehmenstätigkeit zuzurechnen. Zudem hat der Europäische Datenschutzausschuss („EDSA“) in den „Leitlinien zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DS-GVO“ (Version 2.0, v. 7. Juli 2022, Rz 17 f.) klargestellt, dass Handlungen natürlicher Personen (einschließlich Geschäftsführern) innerhalb einer Organisation grundsätzlich der Organisation zuzurechnen sind.

Verfolgung eigener Zwecke

Diese Erwägungen haben allerdings nicht zur Folge, dass der Geschäftsführer in keinem Fall als datenschutzrechtlich verantwortlich einzustufen sein kann. Sind seine Handlungen bei verständiger Würdigung nicht mehr dem Kreis der unternehmerischen Tätigkeit des Unternehmens zuzurechnen und verwendet er personenbezogene Daten für eigene Zwecke, ändert sich die Sachlage. Der Geschäftsführer entscheidet dann selbst und in eigenem Interesse über Mittel und Zwecke der Verarbeitung. Dies ist aber nicht der Regelfall, sondern die Ausnahme.

Folgen des Urteils für die Praxis

Sollte sich die Auffassung des OLG Dresden durchsetzen, hätte dies weitreichende Folgen für die Praxis. Denn nicht nur Geschäftsführer, sondern auch andere Organe und „weisungsfrei“ handelnde Unternehmenszugehörige, müssten mit Schadensersatzforderungen von betroffenen Personen rechnen. Zudem gilt es zu beachten, dass die datenschutzrechtliche Verantwortlichkeit nicht nur für Schadensersatzansprüche Bedeutung hat. An die Stellung des Verantwortlichen im Sinne der DS-GVO knüpfen zahlreiche weitere Folgen an. Nur die Informationspflichten nach Art. 13 und 14 DS-GVO seien hier genannt. Daher bleibt zu hoffen, dass sich die Gerichte zukünftig tiefergehend mit der Frage auseinandersetzen und zu einer abweichenden Auffassung gelangen. Die Qualität des Datenschutzschutzes wächst nicht mit der Anzahl der datenschutzrechtlich Verantwortlichen.

Dr. Oliver Vollstädt 

Rechtsanwalt
Fachanwalt für Arbeitsrecht
Partner
Oliver Vollstädt berät Arbeitgeber und Top-Füh­rungs­kräfte in allen Fragen des Arbeits­rechts. Sein besonderes Know-how liegt bei kol­lek­tiv­recht­li­chen Themengebieten mit den Schwer­punkten Restruk­tu­rie­rungsberatung, Ver­hand­lung von Sozi­al­plä­nen und haustariflichen Gestal­tun­gen. Ferner ist Oliver Vollstädt anerkannter Experte in arbeits- und daten­schutz­recht­li­chen Fragen zum Einsatz von IT-Systemen und neuen Medien am Arbeits­platz. Er ist Mitglied der Fokusgruppe "Datenschutz".
Verwandte Beiträge
Compliance Datenschutz Individualarbeitsrecht Kollektivarbeitsrecht Neueste Beiträge Restrukturierung Top-Management Vergütung

Top 6 des Jahres 2023 aus arbeitsrechtlicher Sicht

Das Jahr 2023 ist nun beinahe wieder vorbei. Zur Anheizung der weihnachtlichen Vorfreude lesen Sie hier unseren Jahresrückblick auf eine kleine Auswahl an besonders beachtenswerten und für das Arbeitsrecht relevanten Urteilen – u.a. zu den Themen Equal Pay, Beweisverwertungsverbote, Geschäftsführerhaftung, Outsourcing und Strafrecht. Wie in jedem Jahr gab es auch in 2023 wieder einige Gerichtsentscheidungen, die in einem arbeitsrechtlichen Jahresrückblick nicht fehlen dürfen. Unsere diesjährigen…
Neueste Beiträge Private Equity M&A

(Detaillierte) Geschäftsordnung für Geschäftsführer sinnvoll?

Die Investoren einer Gesellschaft plagt häufig die Sorge, dass die (Fremd-)Geschäftsführer der Gesellschaft bei der Geschäftsführung nicht in ihrem Interesse handeln. Aus Sicht der Investoren kann es daher sinnvoll sein, die Geschäftsführung durch eine detaillierte Geschäftsordnung engmaschig zu leiten und zu kontrollieren. Wie eine solche Geschäftsordnung konzipiert sein kann und was dabei zu beachten ist, zeigt dieser Beitrag. Die Geschäftsordnung trifft typischerweise Regelungen hinsichtlich der…
Datenschutz Neueste Beiträge

Datenschutzrechtlicher Anspruch auf Entfernung einer Abmahnung aus der Personalakte

Datenschutzrechtliche Fragestellungen gewinnen im Rahmen arbeitsrechtlicher Auseinandersetzungen in der Praxis weiter an Bedeutung. Gestritten wird vor allem um die Reichweite und Grenzen des Auskunftsanspruchs nach Art. 15 DS-GVO. Die Entwicklungen rund um andere im Datenschutzrecht verankerte Betroffenenrechte sollte dabei jedoch nicht aus den Augen gelassen werden. Im Zusammenhang mit dem Entfernungsanspruch einer Abmahnung aus der Personalakte wird in der Instanzgerichtsbarkeit derzeit virulent die Anwendbarkeit der…
Abonnieren Sie den KLIEMT-Newsletter.
Jetzt anmelden und informiert bleiben.

Die Abmeldung ist jederzeit möglich.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert