Das Thema
Die Zahl der Gerichtsentscheidungen zu Schadensersatzklagen nach Art. 82 DSGVO nimmt stetig zu. Und gerade die Arbeitsgerichtsbarkeit spricht bei Datenschutzverstößen vergleichsweise hohe Schadenssummen zu, wie die Entscheidungen des LAG Niedersachsen (Urt. v. 22.10.2021 – 16 Sa 761/20 = 1.250,00 EUR), des Hess. LAG (Urt. v. 18.10.2021 – 16 Sa 380/20 = 1.500,00 EUR), des LAG Hamm (Urt. v. 11.05.2021 – 6 Sa 1260/20 = 1.000,00 EUR), des ArbG Münster (Urt. v. 25.3.2021 – 3 Ca 391/20 = 5.000,00 EUR) oder des ArbG Düsseldorf (Urt. v. 05.03.2020 – 9 Ca 6557/18 = 5.000,00 EUR) deutlich zeigen. Für Unternehmen bedeutet jeder Datenschutzverstoß somit nicht nur einen potenziellen Imageschaden, sondern auch und vor allem ein enormes wirtschaftliches Risiko. Dieses wird umso größer, je mehr Personen von einer Datenschutzverletzung betroffen sind; denn jede einzelne kann ihren Schaden bei der Gesellschaft geltend machen.
Bislang noch nicht gerichtlich geklärt ist die Frage, wie Geschäftsführer neben der Gesellschaft datenschutzrechtlich von Betroffenen auf Schadensersatz in Anspruch genommen werden können. Für Geschäftsführer ist die Beantwortung dieser Frage jedoch besonders praxisrelevant, denn auch diese stünden einem kaum zu kontrollierenden Haftungsrisiko gegenüber, wenn eine Außenhaftung bereits aus ihrer bloßen Organstellung folgen würde. Genau das hat allerdings das OLG Dresden in einem aktuell veröffentlichten Urteil vom 30.11.2021 (4 U 1158/21) festgestellt.
Allgemeiner Hintergrund zur Entscheidung
Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen die DSGVO einen materiellen oder immateriellen Schaden entstanden ist, einen Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Der Wortlaut der Vorschrift begrenzt den Kreis der Anspruchsverpflichteten somit auf den Verantwortlichen im Sinne von Art. 4 Nr. 7 DSGVO und den Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 DSGVO. Weitere Anspruchsverpflichtete kennt der Wortlaut der Vorschrift nicht.
Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO ist jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Bei juristischen Personen wird diesen das Handeln der dort beschäftigten Personen zugerechnet, wenn und soweit das Handeln dieser Personen für die Zwecke der juristischen Person erfolgte und sich nicht als Exzess darstellt. Auch das Handeln der Organe wird der juristischen Person als eigenes Handeln zugerechnet, mit der Folge, dass im Außenverhältnis die juristische Person für die Datenverarbeitung verantwortlich bleibt (Arning/Rothkegel in Taeger/Gabel, DSGVO, BDSG, TTDSG, 4. Aufl. 2022, Art. 4 Rn. 177; i.E. auch König AG 2017, 262 ff.). Nimmt also der Geschäftsführer im Rahmen seiner Funktion als Organ datenverarbeitende Handlungen vor, macht er dies in aller Regel für die Gesellschaft. Die Gesellschaft muss sich diese Handlung zurechnen lassen. Umgekehrt qualifiziert ein solches Handeln den Geschäftsführer noch nicht zum Verantwortlichen. Mit Blick auf die EuGH-Entscheidung „Zeugen Jehovas“ (Urt. v. 10.07.2018 – C-25/17) wird teilweise vertreten, dass dieser jedenfalls dann Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO sein soll, wenn er weisungsfrei selbst über Mittel und Zweck der Verarbeitung entscheiden kann, selbst dann, wenn die Verarbeitung letztlich für die Gesellschaft erfolgt. Das würde allerdings zu einem enormen Haftungsrisiko für den Geschäftsführer führen. Erst wenn dieser daher die personenbezogenen Daten für eigene (private) Zwecke verarbeitet, kann er persönlich als Verantwortlicher angesehen werden (Arning/Rothkegel, a.a.O., Rn. 176). Ausgangspunkt einer Haftung nach Art. 82 DSGVO ist folglich stets zunächst die Gesellschaft. Nur im Ausnahmefall haftet der Geschäftsführer persönlich und zwar nur dann, wenn er für den konkreten Verarbeitungsvorgang aufgrund der Verfolgung eigener Zwecke als Verantwortlicher zu qualifizieren ist.
Ist der Geschäftsführer allerdings weder Verantwortlicher noch Auftragsverarbeiter, scheidet eine eigene Haftung auf Schadensersatz nach Art. 82 DSGVO bereits nach dem Wortlaut der Vorschrift aus (so auch Bergt in Kühling/Buchner, DSGVO, BDSG, 3. Aufl. 2020, Art. 82, Rn. 16; Boehm in Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 1. Aufl. 2019, Art. 82, Rn. 15; Paal MMR 2020, 14, 15; Gola/Piltz in Gola DSGVO, 2. Aufl. 2018, Art. 82, Rn. 3; König AG 2017, 262, 268f.).
Eine eigene Haftung kommt dann entweder nur nach nationalem Datenschutz- oder Deliktsrecht in Betracht oder, wenn der Geschäftsführer im konkreten Fall ausnahmsweise persönlich als Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO anzusehen ist. Das nationale Datenschutzrecht kennt in den §§ 42, 43 BDSG Straf- bzw. Bußgeldvorschriften, welche nur an den Handelnden anknüpfen und nicht ausdrücklich an den Verantwortlichen. Eine Haftung des Geschäftsführers nach diesen Vorschriften ist somit möglich. Diese Vorschriften begründen allerdings für sich keine zivilrechtliche Außenhaftung gegenüber dem Betroffenen. Sofern diese jedoch als Schutzgesetze im Sinne von § 823 Abs. 2 BGB zu qualifizieren sind, kann sich hieraus eine zivilrechtliche Außenhaftung des Geschäftsführers ableiten. Anders als bei Art. 82 DSGVO kommt diese nur bei einem Verschulden in Betracht.
Als nationale deliktische Vorschrift käme § 823 Abs. 1 BGB in Verbindung mit der Verletzung des Rechts auf informationelle Selbstbestimmung oder im Falle von Vorsatz § 826 BGB (vgl. Löschhorn/Fuhrmann, NZG 2019, 161, 169) in Betracht. Ein Anspruch auf Ersatz des immateriellen Schadens könnte allerdings wegen § 253 Abs. 2 BGB ausgeschlossen sein, da das Recht auf informelle Selbstbestimmung nicht in der Aufzählung der Rechtsgüter enthalten ist, bei deren Verletzung eine Geldentschädigung in Betracht kommt. In der nationalen Rechtsprechung hat sich allerdings etabliert, dass Verletzungen des allgemeinen Persönlichkeitsrechts trotz der Regelung in § 253 Abs. 2 BGB einen Anspruch auf Geldentschädigung rechtfertigen (BGH, Urt. v. 17.12.2013 – VI ZR 211/12, NJW 2014, 2029). Begründet wird das damit, dass es sich bei der Entschädigung wegen einer Verletzung des allgemeinen Persönlichkeitsrechts nicht um ein Schmerzensgeld im Sinne von § 253 Abs. 2 BGB handelt. Wäre ein Anspruch auf Geldentschädigung deswegen ausgeschlossen, blieben Verletzungen der Würde und Ehre häufig sanktionslos mit der Folge, dass der Rechtsschutz der Persönlichkeit verkümmert (BGH v. 17.12.2013, a.a.O., m.w.N.). Bei dem Recht auf informationelle Selbstbestimmung handelt es sich um eine besondere Ausprägung des allgemeinen Persönlichkeitsrechts. Auch hier blieben Verletzungen sanktionslos, wenn eine Durchsetzung wegen § 253 Abs. 2 BGB ausgeschlossen wären.
Der Geschäftsführer im Exzess?
Eine eigene Haftung des Geschäftsführers unmittelbar aus Art. 82 DSGVO kommt nach dessen Wortlaut in der Regel nur dann in Frage, wenn er für den Datenverarbeitungsvorgang allein oder neben der Gesellschaft verantwortlich ist. Eine eigene Verantwortlichkeit kann sich zum Beispiel daraus ergeben, dass der Geschäftsführer im sog. Exzess gehandelt hat. Ein solcher liegt in jeder Handlung von Mitarbeiter oder auch Organen, die bei verständiger Würdigung nicht dem Kreis der jeweiligen unternehmerischen Tätigkeit zugerechnet werden kann. Maßgeblich ist eine objektive Betrachtungsweise, bei der es nicht darauf ankommt, dass der Mitarbeiter subjektiv eigene Zwecke verfolgt. Denn bei der subjektiven Verfolgung eigener Zwecke ist er bereits deswegen als Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO anzusehen. Durch den Exzess schwingt sich der Beschäftigte zum Verantwortlichen im Sinne von Art. 4 Nr. 7 DSGVO auf und kann im Falle eines Datenschutzverstoßes dem Betroffenen zum Schadensersatz nach Art. 82 DSGVO verpflichtet sein (zu allem Vorstehenden: Ambrock, ZD, 492, 493, 496).
Was hat das OLG Dresden entschieden?
Soweit ersichtlich musste sich das OLG Dresden in seiner Entscheidung vom 30.11.2021 als eines der ersten Oberlandesgerichte mit der Frage nach einer zivilrechtlichen Außenhaftung eines GmbH-Geschäftsführers für einen Datenschutzverstoß befassen. Der Senat stellte die Verantwortlichkeit des Geschäftsführers ohne nähere Begründung fest.
So führte es hierzu lediglich aus „Damit entfällt zwar in aller Regel die Verantwortlichkeit weisungsgebundener Angestellter oder sonstiger Beschäftigter, für den Geschäftsführer, wie es der Beklagte zu 2) zum Zeitpunkt der Beauftragung des Streithelfers war, gilt dies allerdings nicht.“. Eine nähere datenschutzrechtliche Herleitung, warum der Geschäftsführer im vorliegenden Fall als Verantwortlicher zu qualifizieren ist, findet allerdings nicht statt. Nach den Feststellungen ist davon auszugehen, dass der Senat die Organstellung hat ausreichen lassen, um den GmbH-Geschäftsführer als Verantwortlichen im Sinne von Art. 4 Nr. 7 DSGVO einzustufen. Folgerichtig fällt der GmbH-Geschäftsführer für den Senat dann auch in den Kreis der Anspruchsverpflichteten aus Art. 82 DSGVO.
Die Organstellung allein reicht jedoch gerade nicht. Der Senat hätte vielmehr darlegen müssen, ob sich die Verantwortlichkeit des Geschäftsführers aus einem festgestellten Exzess ergibt oder weil der Geschäftsführer die personenbezogenen Daten des Betroffenen (auch) für eigene Zwecke verarbeitet hat. Versteht man die Feststellungen des Senats dahingehend, dass bereits die Stellung als Organ der mitverklagten Gesellschaft für eine eigene Verantwortlichkeit ausreiche, dann sind diese Feststellungen des OLG Dresden mit den Grundsätzen zur Bestimmung der datenschutzrechtlichen Verantwortlichkeit innerhalb einer Unternehmensorganisation nicht vereinbar.
Was bedeutet die Entscheidung für die Praxis?
Die Frage nach der eigenständigen zivilrechtlichen Außenhaftung des Geschäftsführers für einen Datenschutzverstoß ist von besonderer Praxisrelevanz. Würde allein die Organstellung ausreichen, um eine eigene Verantwortlichkeit zu begründen, würde dies zu einem enormen Haftungsrisiko für ihn führen. Es bleibt daher zu hoffen, dass die Entscheidung des OLG Dresden in dieser Form ein Einzelfall bleibt.
Unabhängig von der Entscheidung des OLG Dresden sollten sich Geschäftsführer jedoch bewusst machen, dass eine persönliche Haftung auf Schadensersatz nach Art. 82 DSGVO nicht per se ausgeschlossen ist. Ist man für den konkreten Verarbeitungsvorgang zweifelsfrei Verantwortlicher, haftet man auch, wenn dabei etwas schiefgeht. Auch die Haftung wegen der Verletzung eines Schutzgesetzes nach § 823 Abs. 2 BGB bleibt im Grundsatz möglich.
Hiervon losgelöst ist freilich die Frage nach der Innenhaftung des Geschäftsführers gegenüber der Gesellschaft. Eine solche kommt insbesondere in Betracht, wenn er es versäumt hat, ein ordnungsgemäßes Datenschutz-Management-System einzurichten (z.B. einen Prozess zur ordnungsgemäßen und rechtzeitigen Erteilung von Auskünften nach Art. 15 DSGVO) und es in der Folge zu einer Haftung der Gesellschaft nach Art. 82 DSGVO kommt.
Zur Vermeidung der Haftung oder zumindest zur Reduzierung des eigenen Haftungsrisikos ist es für Geschäftsführer unerlässlich, dass diese dafür sorgen, dass die Datenverarbeitungsprozesse im eigenen Verantwortungsbereich streng nach den Vorgaben der DSGVO ausgerichtet und entsprechend dokumentiert sind. Nur wer in der Lage ist, auf eine gute Dokumentation dieser Prozesse zurückzugreifen, kann darlegen und nachweisen, dass alles erdenklich Mögliche unternommen wurde, um einen Datenschutzverstoß zu vermeiden.
