• Skip to primary navigation
  • Skip to main content
  • Skip to primary sidebar
  • Skip to footer
Expertenforum Arbeitsrecht (#EFAR)
Expertenforum
Arbeitsrecht (#EFAR)

Expertenforum Arbeitsrecht (#EFAR)

Themen der arbeitsrechtlichen Blogosphäre

  • #EFAR-Beiträge
    • #EFAR-News
    • ArbeitsRecht Kurios
    • #EFAR–Suche
  • Live–Log
    • Registrierte Blogs
    • Blog registrieren
  • #EFAR-Stellenmarkt
  • Arbeitsrechts-Experten
    • #EFAR–Autoren
    • #EFAR–Fokusseiten
    • #EFAR-Webinare
LinkedIn
Twitter
Xing
Facebook
  • Auf die Plätze! Fertig! Urlaub! – FAQ zum Urlaubsrecht (Teil 3)
    Quelle : Vangard 30.06.2022 - 09:34 Von Svenja Gaida, Kim Kleinert
  • Transformation erfolgreich gestalten: Wem hilft ein Freiwilligenprogramm? (Video)
    Quelle : KLIEMT.blog 30.06.2022 - 07:30 Von Dr. Markus Janko 
  • Tilgungsreihenfolge bei konkurrierenden Urlaubsansprüchen
    Quelle : Beck-Blog 30.06.2022 - 06:00 Von Christian.Rolfs
  • Auf die Plätze! Fertig! Urlaub! – FAQ zum Urlaubsrecht (Teil 2)
    Quelle : Vangard 29.06.2022 - 10:14 Von Svenja Gaida, Kim Kleinert
  • Faktoren eines nachhaltigen Human Resources Managements (Teil I)
    Quelle : Küttner Feed 29.06.2022 - 09:00
  • Whistleblowing: Vorwürfe gegen die Geschäftsführung
    Quelle : KLIEMT.blog 29.06.2022 - 08:08 Von Dr. Jan Heuer
  • Auf die Plätze! Fertig! Urlaub! – FAQ zum Urlaubsrecht (Teil 1)
    Quelle : Vangard 28.06.2022 - 11:28 Von Svenja Gaida, Kim Kleinert
  • Wann verjähren Ansprüche auf Urlaubsabgeltung?
    Quelle : KLIEMT.blog 28.06.2022 - 08:00 Von Martin Wörle
  • Urlaub ohne Ende? Acht To Dos für Arbeitgeber beim Thema Vertrauensurlaub.
    Quelle : Buse 28.06.2022 - 08:00 Von Dr. Julia Bruck
  • Immer noch: Örtlich zuständige Arbeitsagentur (Air Berlin)
    Quelle : Beck-Blog 28.06.2022 - 06:00 Von Christian.Rolfs
  • Augen auf beim Abschluss von Betriebsvereinbarungen
    Quelle : KLIEMT.blog 27.06.2022 - 08:00 Von Dr. Jan L. Teusch 
  • BAG: Keine wirksame BV bei fehlendem Betriebsratsbeschluss
    Quelle : Beck-Blog 27.06.2022 - 06:00 Von Christian.Rolfs
  • Update: Gesetzliche Neuregelungen zur Anpassung von Arbeitsverträgen unverändert beschlossen
    Quelle : Vangard 24.06.2022 - 10:35 Von Christoph Kaul
  • Update: Gesetzliche Neuregelungen zur Anpassung von Arbeitsverträgen unverändert beschlossen
    Quelle : Vangard 24.06.2022 - 10:35 Von Christoph Kaul
  • Employers ‘of record’ – Are they allowed? What are the risks?
    Quelle : KLIEMT.blog 24.06.2022 - 08:00 Von Ius Laboris
  • Neufassung des Nachweisgesetzes: Handlungsbedarf bei Muster-Arbeitsverträgen ab dem 01.08.2022
    Quelle : Esche 24.06.2022 - 00:00
  • Bundestag verabschiedet Gesetz zur Änderung des Nachweisgesetzes – was Unternehmen jetzt beachten müssen
    Quelle : Küttner Feed 23.06.2022 - 19:57
  • Die Zwangsvollstreckung des Weiterbeschäftigungsanspruchs in der Praxis
    Quelle : Beck-Blog 23.06.2022 - 10:48 Von Gastbeitrag
  • Streik! Und jetzt? – Vier Tipps für Arbeitgeber zum Umgang mit Streikaufrufen
    Quelle : KLIEMT.blog 23.06.2022 - 08:04 Von Lena Fersch
  • Wer zu spät kommt ...
    Quelle : Beck-Blog 23.06.2022 - 06:00 Von Christian.Rolfs

Wann haften Geschäftsführer persönlich für DSGVO-Verstöße?

  • 24. Februar 2022 |
  • Sebastian Laoutoumai, LL.M.

Haften Geschäftsführer persönlich für Datenschutzverstöße der GmbH? Zu dieser wichtigen Frage hat das OLG Dresden jüngst eine überraschende Entscheidung getroffen.

  • twittern 
  • teilen 
  • mitteilen 
  • teilen 
  • E-Mail 

Das Thema

Die Zahl der Gerichtsentscheidungen zu Schadensersatzklagen nach Art. 82 DSGVO nimmt stetig zu. Und gerade die Arbeitsgerichtsbarkeit spricht bei Datenschutzverstößen vergleichsweise hohe Schadenssummen zu, wie die Entscheidungen des LAG Niedersachsen (Urt. v. 22.10.2021 – 16 Sa 761/20 = 1.250,00 EUR), des Hess. LAG (Urt. v. 18.10.2021 – 16 Sa 380/20 = 1.500,00 EUR), des LAG Hamm (Urt. v. 11.05.2021 – 6 Sa 1260/20 = 1.000,00 EUR), des ArbG Münster (Urt. v. 25.3.2021 – 3 Ca 391/20 = 5.000,00 EUR) oder des ArbG Düsseldorf (Urt. v. 05.03.2020 – 9 Ca 6557/18 = 5.000,00 EUR) deutlich zeigen. Für Unternehmen bedeutet jeder Datenschutzverstoß somit nicht nur einen potenziellen Imageschaden, sondern auch und vor allem ein enormes wirtschaftliches Risiko. Dieses wird umso größer, je mehr Personen von einer Datenschutzverletzung betroffen sind; denn jede einzelne kann ihren Schaden bei der Gesellschaft geltend machen.

Bislang noch nicht gerichtlich geklärt ist die Frage, wie Geschäftsführer neben der Gesellschaft datenschutzrechtlich von Betroffenen auf Schadensersatz in Anspruch genommen werden können. Für Geschäftsführer ist die Beantwortung dieser Frage jedoch besonders praxisrelevant, denn auch diese stünden einem kaum zu kontrollierenden Haftungsrisiko gegenüber, wenn eine Außenhaftung bereits aus ihrer bloßen Organstellung folgen würde. Genau das hat allerdings das OLG Dresden in einem aktuell veröffentlichten Urteil vom 30.11.2021 (4 U 1158/21) festgestellt.

Allgemeiner Hintergrund zur Entscheidung

Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen die DSGVO einen materiellen oder immateriellen Schaden entstanden ist, einen Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Der Wortlaut der Vorschrift begrenzt den Kreis der Anspruchsverpflichteten somit auf den Verantwortlichen im Sinne von Art. 4 Nr. 7 DSGVO und den Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 DSGVO. Weitere Anspruchsverpflichtete kennt der Wortlaut der Vorschrift nicht.

Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO ist jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Bei juristischen Personen wird diesen das Handeln der dort beschäftigten Personen zugerechnet, wenn und soweit das Handeln dieser Personen für die Zwecke der juristischen Person erfolgte und sich nicht als Exzess darstellt. Auch das Handeln der Organe wird der juristischen Person als eigenes Handeln zugerechnet, mit der Folge, dass im Außenverhältnis die juristische Person für die Datenverarbeitung verantwortlich bleibt (Arning/Rothkegel in Taeger/Gabel, DSGVO, BDSG, TTDSG, 4. Aufl. 2022, Art. 4 Rn. 177; i.E. auch König AG 2017, 262 ff.). Nimmt also der Geschäftsführer im Rahmen seiner Funktion als Organ datenverarbeitende Handlungen vor, macht er dies in aller Regel für die Gesellschaft. Die Gesellschaft muss sich diese Handlung zurechnen lassen. Umgekehrt qualifiziert ein solches Handeln den Geschäftsführer noch nicht zum Verantwortlichen. Mit Blick auf die EuGH-Entscheidung „Zeugen Jehovas“ (Urt. v. 10.07.2018 – C-25/17) wird teilweise vertreten, dass dieser jedenfalls dann Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO sein soll, wenn er weisungsfrei selbst über Mittel und Zweck der Verarbeitung entscheiden kann, selbst dann, wenn die Verarbeitung letztlich für die Gesellschaft erfolgt. Das würde allerdings zu einem enormen Haftungsrisiko für den Geschäftsführer führen. Erst wenn dieser daher die personenbezogenen Daten für eigene (private) Zwecke verarbeitet, kann er persönlich als Verantwortlicher angesehen werden (Arning/Rothkegel, a.a.O., Rn. 176). Ausgangspunkt einer Haftung nach Art. 82 DSGVO ist folglich stets zunächst die Gesellschaft. Nur im Ausnahmefall haftet der Geschäftsführer persönlich und zwar nur dann, wenn er für den konkreten Verarbeitungsvorgang aufgrund der Verfolgung eigener Zwecke als Verantwortlicher zu qualifizieren ist.

Ist der Geschäftsführer allerdings weder Verantwortlicher noch Auftragsverarbeiter, scheidet eine eigene Haftung auf Schadensersatz nach Art. 82 DSGVO bereits nach dem Wortlaut der Vorschrift aus (so auch Bergt in Kühling/Buchner, DSGVO, BDSG, 3. Aufl. 2020, Art. 82, Rn. 16; Boehm in Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 1. Aufl. 2019, Art. 82, Rn. 15; Paal MMR 2020, 14, 15; Gola/Piltz in Gola DSGVO, 2. Aufl. 2018, Art. 82, Rn. 3; König AG 2017, 262, 268f.).
Eine eigene Haftung kommt dann entweder nur nach nationalem Datenschutz- oder Deliktsrecht in Betracht oder, wenn der Geschäftsführer im konkreten Fall ausnahmsweise persönlich als Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO anzusehen ist. Das nationale Datenschutzrecht kennt in den §§ 42, 43 BDSG Straf- bzw. Bußgeldvorschriften, welche nur an den Handelnden anknüpfen und nicht ausdrücklich an den Verantwortlichen. Eine Haftung des Geschäftsführers nach diesen Vorschriften ist somit möglich. Diese Vorschriften begründen allerdings für sich keine zivilrechtliche Außenhaftung gegenüber dem Betroffenen. Sofern diese jedoch als Schutzgesetze im Sinne von § 823 Abs. 2 BGB zu qualifizieren sind, kann sich hieraus eine zivilrechtliche Außenhaftung des Geschäftsführers ableiten. Anders als bei Art. 82 DSGVO kommt diese nur bei einem Verschulden in Betracht.

Als nationale deliktische Vorschrift käme § 823 Abs. 1 BGB in Verbindung mit der Verletzung des Rechts auf informationelle Selbstbestimmung oder im Falle von Vorsatz § 826 BGB (vgl. Löschhorn/Fuhrmann, NZG 2019, 161, 169) in Betracht. Ein Anspruch auf Ersatz des immateriellen Schadens könnte allerdings wegen § 253 Abs. 2 BGB ausgeschlossen sein, da das Recht auf informelle Selbstbestimmung nicht in der Aufzählung der Rechtsgüter enthalten ist, bei deren Verletzung eine Geldentschädigung in Betracht kommt. In der nationalen Rechtsprechung hat sich allerdings etabliert, dass Verletzungen des allgemeinen Persönlichkeitsrechts trotz der Regelung in § 253 Abs. 2 BGB einen Anspruch auf Geldentschädigung rechtfertigen (BGH, Urt. v. 17.12.2013 – VI ZR 211/12, NJW 2014, 2029). Begründet wird das damit, dass es sich bei der Entschädigung wegen einer Verletzung des allgemeinen Persönlichkeitsrechts nicht um ein Schmerzensgeld im Sinne von § 253 Abs. 2 BGB handelt. Wäre ein Anspruch auf Geldentschädigung deswegen ausgeschlossen, blieben Verletzungen der Würde und Ehre häufig sanktionslos mit der Folge, dass der Rechtsschutz der Persönlichkeit verkümmert (BGH v. 17.12.2013, a.a.O., m.w.N.). Bei dem Recht auf informationelle Selbstbestimmung handelt es sich um eine besondere Ausprägung des allgemeinen Persönlichkeitsrechts. Auch hier blieben Verletzungen sanktionslos, wenn eine Durchsetzung wegen § 253 Abs. 2 BGB ausgeschlossen wären.

Der Geschäftsführer im Exzess?

Eine eigene Haftung des Geschäftsführers unmittelbar aus Art. 82 DSGVO kommt nach dessen Wortlaut in der Regel nur dann in Frage, wenn er für den Datenverarbeitungsvorgang allein oder neben der Gesellschaft verantwortlich ist. Eine eigene Verantwortlichkeit kann sich zum Beispiel daraus ergeben, dass der Geschäftsführer im sog. Exzess gehandelt hat. Ein solcher liegt in jeder Handlung von Mitarbeiter oder auch Organen, die bei verständiger Würdigung nicht dem Kreis der jeweiligen unternehmerischen Tätigkeit zugerechnet werden kann. Maßgeblich ist eine objektive Betrachtungsweise, bei der es nicht darauf ankommt, dass der Mitarbeiter subjektiv eigene Zwecke verfolgt. Denn bei der subjektiven Verfolgung eigener Zwecke ist er bereits deswegen als Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO anzusehen. Durch den Exzess schwingt sich der Beschäftigte zum Verantwortlichen im Sinne von Art. 4 Nr. 7 DSGVO auf und kann im Falle eines Datenschutzverstoßes dem Betroffenen zum Schadensersatz nach Art. 82 DSGVO verpflichtet sein (zu allem Vorstehenden: Ambrock, ZD, 492, 493, 496).

Was hat das OLG Dresden entschieden?

Soweit ersichtlich musste sich das OLG Dresden in seiner Entscheidung vom 30.11.2021 als eines der ersten Oberlandesgerichte mit der Frage nach einer zivilrechtlichen Außenhaftung eines GmbH-Geschäftsführers für einen Datenschutzverstoß befassen. Der Senat stellte die Verantwortlichkeit des Geschäftsführers ohne nähere Begründung fest.
So führte es hierzu lediglich aus „Damit entfällt zwar in aller Regel die Verantwortlichkeit weisungsgebundener Angestellter oder sonstiger Beschäftigter, für den Geschäftsführer, wie es der Beklagte zu 2) zum Zeitpunkt der Beauftragung des Streithelfers war, gilt dies allerdings nicht.“. Eine nähere datenschutzrechtliche Herleitung, warum der Geschäftsführer im vorliegenden Fall als Verantwortlicher zu qualifizieren ist, findet allerdings nicht statt. Nach den Feststellungen ist davon auszugehen, dass der Senat die Organstellung hat ausreichen lassen, um den GmbH-Geschäftsführer als Verantwortlichen im Sinne von Art. 4 Nr. 7 DSGVO einzustufen. Folgerichtig fällt der GmbH-Geschäftsführer für den Senat dann auch in den Kreis der Anspruchsverpflichteten aus Art. 82 DSGVO.

Die Organstellung allein reicht jedoch gerade nicht. Der Senat hätte vielmehr darlegen müssen, ob sich die Verantwortlichkeit des Geschäftsführers aus einem festgestellten Exzess ergibt oder weil der Geschäftsführer die personenbezogenen Daten des Betroffenen (auch) für eigene Zwecke verarbeitet hat. Versteht man die Feststellungen des Senats dahingehend, dass bereits die Stellung als Organ der mitverklagten Gesellschaft für eine eigene Verantwortlichkeit ausreiche, dann sind diese Feststellungen des OLG Dresden mit den Grundsätzen zur Bestimmung der datenschutzrechtlichen Verantwortlichkeit innerhalb einer Unternehmensorganisation nicht vereinbar.

Was bedeutet die Entscheidung für die Praxis?

Die Frage nach der eigenständigen zivilrechtlichen Außenhaftung des Geschäftsführers für einen Datenschutzverstoß ist von besonderer Praxisrelevanz. Würde allein die Organstellung ausreichen, um eine eigene Verantwortlichkeit zu begründen, würde dies zu einem enormen Haftungsrisiko für ihn führen. Es bleibt daher zu hoffen, dass die Entscheidung des OLG Dresden in dieser Form ein Einzelfall bleibt.

Unabhängig von der Entscheidung des OLG Dresden sollten sich Geschäftsführer jedoch bewusst machen, dass eine persönliche Haftung auf Schadensersatz nach Art. 82 DSGVO nicht per se ausgeschlossen ist. Ist man für den konkreten Verarbeitungsvorgang zweifelsfrei Verantwortlicher, haftet man auch, wenn dabei etwas schiefgeht. Auch die Haftung wegen der Verletzung eines Schutzgesetzes nach § 823 Abs. 2 BGB bleibt im Grundsatz möglich.

Hiervon losgelöst ist freilich die Frage nach der Innenhaftung des Geschäftsführers gegenüber der Gesellschaft. Eine solche kommt insbesondere in Betracht, wenn er es versäumt hat, ein ordnungsgemäßes Datenschutz-Management-System einzurichten (z.B. einen Prozess zur ordnungsgemäßen und rechtzeitigen Erteilung von Auskünften nach Art. 15 DSGVO) und es in der Folge zu einer Haftung der Gesellschaft nach Art. 82 DSGVO kommt.

Zur Vermeidung der Haftung oder zumindest zur Reduzierung des eigenen Haftungsrisikos ist es für Geschäftsführer unerlässlich, dass diese dafür sorgen, dass die Datenverarbeitungsprozesse im eigenen Verantwortungsbereich streng nach den Vorgaben der DSGVO ausgerichtet und entsprechend dokumentiert sind. Nur wer in der Lage ist, auf eine gute Dokumentation dieser Prozesse zurückzugreifen, kann darlegen und nachweisen, dass alles erdenklich Mögliche unternommen wurde, um einen Datenschutzverstoß zu vermeiden.

Kategorien: #EFAR-Beiträge Tags: Compliance, Datenschutz

  • Sebastian Laoutoumai, LL.M.

    Rechtsanwalt und Fachanwalt für IT-Recht, Partner LÖFFEL ABRAR Rechtsanwälte PartG mbB #EFAR - Profil Twitter LinkedIn

Ähnliche Beiträge

#EFAR-Basics Geheimnis
18. Mai 2022 - Jana Hassel

#EFAR-Basics: Whistleblowing

#EFAR-Basics zum Thema Whistleblowing mit aktuellen Entwicklungen und Hintergründen (Stand: 18.05.2022)
Lesen
Compliance
11. Februar 2022 - Michael Riedel

Altersdiskriminierung: Vorsicht mit Formulierungen wie “junges Team”

Das LAG Berlin-Brandenburg hatte sich mit einer Entschädigungsklage zu befassen, bei der das beklagte Start-up in einer Stellenausschreibung ein „junges Team“ geboten hatte.
Lesen
Arbeitsschutz
26. Januar 2022 - Kerstin Gröne

Arbeitsrecht und Arbeitsschutz in der Lieferkette

Im Sommer 2021 hat der Bundestag ein Gesetz verabschiedet, das Unternehmen und ihre Corporate Social Responsibility besonders in die Pflicht nimmt. Ab nächstem Jahr gilt es - die internen Risikomanagementsysteme müssen jetzt angepasst werden.
Lesen

Primary Sidebar

Mehr Informationen

  • Anzeige schalten
  • #EFAR-Beiträge
  • #EFAR-News
  • ArbeitsRecht kurios
  • Live–Log
  • #EFAR-Stellenmarkt
  • #EFAR–Autoren
  • #EFAR–Fokusseiten
Anzeige

#EFAR–Fokusseiten

Dynamische Profilseiten namhafter Kanzleien mit Fokus Arbeitsrecht

Aktuelle Beiträge

  • Arbeitsbedingungen: Neue (?) Nachweispflichten in der betrieblichen Altersversorgung
  • Kein Geld für nicht genommenen Erholungsurlaub über 20 Tage
  • Urlaubsanspruch bei Wechselschichttätigkeit
  • Änderung des Nachweisgesetzes beschlossen – Handlungsbedarf für alle Unternehmen
  • Kein Zwangsgeld bei fehlendem Impfnachweis

#EFAR – Jobs

  • Taylor Wessing Referendar (w/m/d) Hamburg
  • Taylor Wessing Referendar (w/m/d) München
  • Taylor Wessing Referendar (w/m/d) Berlin
  • Taylor Wessing Referendar (w/m/d) Düsseldorf

#EFAR – Newsletter

* indicates required

Vorherige Kampagnen ansehen.

Sie können sich jederzeit abmelden, indem Sie auf den Link in der Fußzeile unserer E-Mails klicken. Informationen zu unseren Datenschutzpraktiken finden Sie auf unserer Website.

Footer

Das #EFAR in den sozialen Medien
  • Über das #EFAR
  • Datenschutz
  • Haftungsauschluss
  • Mediadaten
  • Kontakt
  • Impressum
Blogverzeichnis - Bloggerei.de Cookie Einstellungen

Handcrafted with by Jung und Wild design.