Haftung für Geschäftsführer bei DSGVO-Verstoß

Haftung für Geschäftsführer bei DSGVO-Verstoß

Geschäftsführer haftet als Verantwortlicher persönlich und gesamtschuldnerisch mit der GmbH bei einem Datenschutzverstoß; Für weisungsgebundene Angestellte und sonstige Beschäftigte ist eine Haftung nur in Extremfällen denkbar (z.B. bei Exzess/Vorsatz).

Das OLG Dresden hat entschieden, dass der Geschäftsführer einer GmbH neben der GmbH Verantwortlicher ist und persönlich als Gesamtschuldner mit der GmbH für Ansprüche aus Schadensersatz haftet. (KG, Beschluss vom 06.12.2021 – 3 Ws 250/21)

Das rechtskräftige Urteil hat eine gehörige Brisanz, da es bedeutet, dass auch Geschäftsführer eine unmittelbare Verantwortung bei datenschutzrechtlichen Verstößen tragen und neben dem Unternehmen zur Haftung bei Schadensersatzansprüchen herangezogen werden können. Für weisungsgebundene Angestellte oder sonstige Beschäftigte gilt dies nach Ansicht des Gerichts nicht. Eine Haftung dieser Personen ist nur in Extremfällen denkbar (z.B. bei Exzess/Vorsatz).

Geschäftsführer beauftragte Recherchen zu möglichen strafrechtlichen Handlungen

Im konkreten Fall hatte der Geschäftsführer im Zuge einer “Leumundsfeststellung” einen Detektiv mit der Durchführung von Recherchen zu möglichen strafrechtlich relevanten Handlungen eines Mitgliedwerbers, des späteren Klägers, bei einer als Verein tätigen GmbH beauftragt. Der Geschäftsführer handelte bei der Beauftragung im Namen der beklagten Gesellschaft. Die Recherche ergab, dass der Kläger in der Vergangenheit an strafrechtlich relevanten Sachverhalten beteiligt gewesen war. Die Gesellschafter der Beklagten erlangten hiervon Kenntnis und lehnten daraufhin den Mitgliedsantrag des Klägers ab.

Verarbeitung von strafrechtlich relevanten Daten nicht rechtmäßig

Das Oberlandesgericht Dresden beurteilte die, vom Geschäftsführer veranlasste Recherche als Datenschutzverstoß. Der Rechtmässigkeitsgrund “Berechtigtes Interesse” sei nicht in Betracht zu ziehen, da die erfolgte Ausspähung des Klägers aus Sicht des Gerichts gar nicht erforderlich gewesen ist. Vielmehr hätte es gelindere Mittel, zB Vorlage eines polizeilichen Führungszeugnisses, gegeben, um über eine etwaige Vereinsmitgliedschaft entscheiden zu können.

Nach Meinung des Gerichts verstößt die Datenverarbeitung auch gegen Art. 10 DSGVO. Danach ist die Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen oder Straftaten grundsätzlich nur unter behördlicher Aufsicht gestattet. Der Detektiv sei daher nicht befugt gewesen, Informationen über etwaige strafrechtlich relevante Handlungen des Klägers einzuholen.

Haftung für Geschäftsführer und GmbH für Schadensersatz

Das Gericht hat einen Schadensersatz in Höhe von 5.000,00 € wegen des Verstoßes gegen die DSGVO durch die Beklagten für angemessen erachtet.


OLG Dresden, Urteil vom 30.11.2021 – 4 U 1158/21, URL: https://openjur.de/u/2381765.html;