Das Oberlandesgericht (OLG) Dresden entschied in seinem Urteil vom 30.11.2021 (Az.: 4 U 1158/21), dass ein GmbH-Geschäftsführer und die Gesellschaft selbst als Gesamtschuldner zur Zahlung von Schadensersatz verpflichtet sind.
Sachverhalt
Der Kläger, ein Autohändler, stellte bei der beklagten GmbH eine Mitgliedsanfrage, woraufhin der Geschäftsführer der Beklagten einen Detektiv mit der Durchführung von Recherchen zu möglichen strafrechtlich relevanten Handlungen des Klägers beauftragte. Hierbei handelte der Geschäftsführer im Namen der beklagten Gesellschaft. Im Ergebnis der Detektivarbeiten erlangten die Gesellschafter der Beklagten davon Kenntnis, dass der Kläger in der Vergangenheit an strafrechtlich relevanten Sachverhalten beteiligt gewesen war. Daraufhin lehnten die Gesellschafter der Beklagten den Mitgliedsantrag des Klägers ab.
Aufgrund des Verhaltens der Beklagten fordert der Kläger immateriellen DSGVO-Schadensersatz in Höhe von 21.000 Euro. Als Vorinstanz sprach das Landgericht Dresden in seinem Urteil vom 26.05.2021 (Az.: 8 O 1286/19) dem Kläger Schadensersatz in Höhe von 5.000 Euro zu. Das Oberlandesgericht Dresden hat sich dieser Entscheidung als Berufungsgericht angeschlossen.
Entscheidung
Das Oberlandesgericht Dresden bewertet den Sachverhalt, in dem der Kläger durch einen vom GmbH-Geschäftsführer beauftragten Detektiv ausgespäht wurde, als einen Datenschutzverstoß.
Bei dieser veranlassten Datenverarbeitung fehlte es laut dem Oberlandesgericht Dresden an der Erforderlichkeit zur Wahrung der berechtigten Interessen der Beklagten im Sinne von Art. 6 Abs.1 lit.f DSGVO. Außerdem verstoße die Datenverarbeitung gegen Art. 10 DSGVO, wonach die Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen oder Straftaten grundsätzlich nur unter behördlicher Aufsicht zulässig sei. Daher sei der Detektiv nicht befugt gewesen, Informationen über etwaige strafrechtlich relevante Handlungen des Klägers einzuholen. Vorliegend hätte es genügt, den Kläger zunächst zu einer ergänzenden Selbstauskunft, gegebenenfalls zur Vorlage eines polizeilichen Führungszeugnisses aufzufordern.
Sowohl die GmbH als auch ihre Geschäftsführer seien laut OLG Dresden selbst verantwortlich im Sinne von Art. 4 Nr.7 DSGVO. Anknüpfungspunkt für Schadenersatzansprüche aus Art. 82 Abs. 1 DSGVO sei die dort im Wortlaut genannte „Verantwortlichkeit“. Nach Art. 4 Nr.7 DSGVO sei eine eigene datenschutzrechtliche Verantwortlichkeit immer dann zu bejahen, wenn eine natürliche oder juristische Person alleine oder gemeinsam mit anderen über die Zwecke und Mittel der Datenverarbeitung entscheiden könne oder entscheide. Damit entfalle zwar in aller Regel eine DSGVO-Verantwortlichkeit weisungsgebundener Angestellter oder sonstiger Beschäftigter. Dies gelte aber gerade nicht für Geschäftsführer.
Laut Gericht habe die Ausspähung des Klägers die Bagatellschwelle überschritten und begründe einen ersatzfähigen Schaden im Sinne von Art. 82 Abs.1 DSGVO. Der Kläger müsse befürchten, dass die an den Vorstand weitergereichten sensitiven Erkenntnisse über strafrechtlich relevantes Verhalten einem größeren Umfeld bekannt geworden sind. Außerdem wurde dem Kläger infolge des Datenschutzverstoßes die Mitgliedschaft in der Gesellschaft versagt.
Schadensschätzung
Im Rahmen der vorzunehmenden Schadensschätzung sei auch laut Art. 82 DSVGO allgemein die Art, Schwere, Dauer des Verstoßes, Grad des Verschuldens, Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens, frühere einschlägige Verstöße sowie die Kategorien der betroffenen personenbezogenen Daten in die Erwägung mit einzubeziehen. Außerdem sei nach Erwägungsgrund Nr. 146 der DSGVO der Begriff des Schadens im Lichte der EuGH-Rechtsprechung weit auszulegen und auf eine Weise, „die den Zielen der DSGVO in vollem Umfang entspricht“.
Laut Gericht müsse die Geldentschädigung nicht zwingend „Strafcharakter“ haben. Vielmehr solle die Höhe des Anspruchs auf der Basis des Effektivitätsprinzips eine abschreckende Wirkung haben. Es sei zu berücksichtigen, dass es sich im konkreten Fall um einen einmaligen Verstoß handle. Zu Lasten der Beklagten sei zu berücksichtigen, dass es sich bei den erhobenen Daten mit Strafrechtsbezug um besonders sensible Daten handle, so dass der Verstoß schwer wiege.
Konsequenzen für Geschäftsführer
Anhand dieses bedeutsamen Urteils wird der Haftungshorizont der Geschäftsführer erweitert. Geschäftsführer müssten somit in Zukunft damit rechnen, wegen rechtswidriger Datenverarbeitung, die sie aufgrund ihrer Position und Funktion im Unternehmen meist mitinitiiert haben, persönlich in Anspruch genommen zu werden.
Bewertung und Ausblick
Es lässt sich nicht ausschließen, dass weitere Gerichte der Auffassung des Oberlandesgerichts Dresden unter Hinweis auf die genannte EuGH-Rechtsprechung folgen könnten. Die Ausführungen des Oberlandesgerichts sind jedoch rechtlich angreifbar. Zum einen geht das Gericht davon aus, dass Geschäftsführer eigene datenschutzrechtlich Verantwortliche seien. Die Voraussetzungen hierfür werden jedoch nicht weiter erläutert. Zum anderen geht das Gericht davon aus, dass die Verarbeitung von Daten über strafrechtliche Verurteilungen stets nur unter Aufsicht einer öffentlichen Behörde erfolgen dürfe. Würde man dieser Auffassung folgen, dürften Arbeitgeber grundsätzlich keine Führungszeugnisse von Mitarbeitern einholen.
Das Oberlandesgericht verkennt außerdem, dass die DSGVO eine abschreckende Wirkung nur für Bußgelder und nicht für Schadensersatzansprüche vorsieht. Zudem begründet der bloße Verlust über die eigenen Daten für sich betrachtet gerade keinen ersatzfähigen Schaden. Vielmehr muss der Schaden über den konkreten Datenschutzverstoß hinausgehen und von einem gewissen Gewicht sein.
Insbesondere vor dem Kontext der noch ausstehenden Entscheidung des EuGH zur verschuldensunabhängigen Haftung bei Datenschutzverstößen könnte sich das Risiko der Geschäftsführer für eine etwaige Haftung erhöhen.