• Skip to primary navigation
  • Skip to main content
  • Skip to primary sidebar
  • Skip to footer
Expertenforum Arbeitsrecht (#EFAR)
Expertenforum
Arbeitsrecht (#EFAR)

Expertenforum Arbeitsrecht (#EFAR)

Themen der arbeitsrechtlichen Blogosphäre

  • #EFAR-Beiträge
    • #EFAR-News
    • #ArbeitsRechtKurios
    • #EFAR–Suche
  • Live–Log
    • Registrierte Blogs
    • Blog registrieren
  • #EFAR-Stellenmarkt
  • Arbeitsrechts-Experten
    • #EFAR–Autoren
    • #EFAR–Fokusseiten
    • #EFAR-Webinare
LinkedIn
Twitter
Xing
Facebook
  • Aktuelles Urteil des Bundesarbeitsgerichts zur Betriebsratsvergütung
    Quelle : VAHLE KÜHNEL BECKER (Blog: Arbeitsrecht FreshUp) 25.03.2023 - 12:25
  • LAG Nürnberg: „flinke Frauenhände gesucht“ – männlicher Bewerber diskriminiert
    Quelle : Beck-Blog 24.03.2023 - 14:57 Von stoffels
  • Betriebsratsvergütung nach dem Volkswagen-Urteil
    Quelle : Allen & Overy 22.03.2023 - 12:27
  • Eckpunktepapier des BMBF zur Reform des Wissenschaftszeitvertragsgesetzes
    Quelle : Beck-Blog 22.03.2023 - 09:12 Von stoffels
  • Internal Investigations – und ihre Grenzen
    Quelle : Küttner Feed 22.03.2023 - 08:00
  • VG Gießen: Polizeianwärter muss Ausbildungsbezüge nicht zurückzahlen
    Quelle : Beck-Blog 20.03.2023 - 12:39 Von stoffels
  • Hohe Beitragsnachforderung wegen Schwarzarbeit
    Quelle : Beck-Blog 18.03.2023 - 08:10 Von stoffels
  • Fehlender Arbeitsantritt als sozialwidriges Verhalten?
    Quelle : Beck-Blog 16.03.2023 - 08:48 Von stoffels
  • Betriebsratsvergütung – wie geht’s richtig?
    Quelle : Küttner Feed 15.03.2023 - 14:50
  • Arbeitsrechtliche Herausforderungen bei Arbeitnehmerbefragungen im Rahmen von internen Untersuchungen
    Quelle : Allen & Overy 15.03.2023 - 10:00
  • Sozialplan: Neues zu Höchstbetragsregelungen vom BAG – Vorsicht bei Zuschlägen für Schwerbehinderte/Gleichgestellte
    Quelle : CMSHS 15.03.2023 - 06:48 Von Tobias Polloczek
  • Die unwirksame Kündigung – „Woran hat et jelegen“?
    Quelle : ADVANT Beiten 13.03.2023 - 13:00 Von Dr. Erik Schmid
  • OVG Münster: Keine Lohn-Entschädigung für Fleischindustrie
    Quelle : Beck-Blog 13.03.2023 - 12:39 Von stoffels
  • Hessisches LSG: Der Weg zum Getränkeautomaten ist unfallversichert
    Quelle : Beck-Blog 10.03.2023 - 12:39 Von stoffels
  • Algorithmisches Management – Arbeitsanweisungen durch künstliche Intelligenz
    Quelle : CMSHS 10.03.2023 - 06:41 Von Patricia Jares
  • Equal Pay in Deutschland im Jahr 2023
    Quelle : Allen & Overy 08.03.2023 - 11:50
  • Äußerungen zum Equal Pay Day (7.3.) und zum Internationalen Frauentag (8.3.)
    Quelle : Beck-Blog 08.03.2023 - 09:56 Von stoffels
  • Arbeitsrechtliche Aspekte der Energiepreisbremsen
    Quelle : CMSHS 07.03.2023 - 12:01 Von Martin Lützeler
  • LAG Niedersachsen zur Diskriminierung einer nicht-binären Person bei der Besetzung einer Stelle als einer Gleichstellungsbeauftragten
    Quelle : Beck-Blog 06.03.2023 - 10:54 Von stoffels
  • Streitthema BEM: Was schief läuft – und wie es besser geht
    Quelle : Beck-Blog 06.03.2023 - 09:19 Von Gastbeitrag

Wann haften Geschäftsführer persönlich für DSGVO-Verstöße?

  • 24. Februar 2022 |
  • Sebastian Laoutoumai, LL.M.

Haften Geschäftsführer persönlich für Datenschutzverstöße der GmbH? Zu dieser wichtigen Frage hat das OLG Dresden jüngst eine überraschende Entscheidung getroffen.

  • twittern 
  • teilen 
  • mitteilen 
  • teilen 
  • E-Mail 

Das Thema

Die Zahl der Gerichtsentscheidungen zu Schadensersatzklagen nach Art. 82 DSGVO nimmt stetig zu. Und gerade die Arbeitsgerichtsbarkeit spricht bei Datenschutzverstößen vergleichsweise hohe Schadenssummen zu, wie die Entscheidungen des LAG Niedersachsen (Urt. v. 22.10.2021 – 16 Sa 761/20 = 1.250,00 EUR), des Hess. LAG (Urt. v. 18.10.2021 – 16 Sa 380/20 = 1.500,00 EUR), des LAG Hamm (Urt. v. 11.05.2021 – 6 Sa 1260/20 = 1.000,00 EUR), des ArbG Münster (Urt. v. 25.3.2021 – 3 Ca 391/20 = 5.000,00 EUR) oder des ArbG Düsseldorf (Urt. v. 05.03.2020 – 9 Ca 6557/18 = 5.000,00 EUR) deutlich zeigen. Für Unternehmen bedeutet jeder Datenschutzverstoß somit nicht nur einen potenziellen Imageschaden, sondern auch und vor allem ein enormes wirtschaftliches Risiko. Dieses wird umso größer, je mehr Personen von einer Datenschutzverletzung betroffen sind; denn jede einzelne kann ihren Schaden bei der Gesellschaft geltend machen.

Anzeige

Bislang noch nicht gerichtlich geklärt ist die Frage, wie Geschäftsführer neben der Gesellschaft datenschutzrechtlich von Betroffenen auf Schadensersatz in Anspruch genommen werden können. Für Geschäftsführer ist die Beantwortung dieser Frage jedoch besonders praxisrelevant, denn auch diese stünden einem kaum zu kontrollierenden Haftungsrisiko gegenüber, wenn eine Außenhaftung bereits aus ihrer bloßen Organstellung folgen würde. Genau das hat allerdings das OLG Dresden in einem aktuell veröffentlichten Urteil vom 30.11.2021 (4 U 1158/21) festgestellt.

Allgemeiner Hintergrund zur Entscheidung

Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen die DSGVO einen materiellen oder immateriellen Schaden entstanden ist, einen Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Der Wortlaut der Vorschrift begrenzt den Kreis der Anspruchsverpflichteten somit auf den Verantwortlichen im Sinne von Art. 4 Nr. 7 DSGVO und den Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 DSGVO. Weitere Anspruchsverpflichtete kennt der Wortlaut der Vorschrift nicht.

Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO ist jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Bei juristischen Personen wird diesen das Handeln der dort beschäftigten Personen zugerechnet, wenn und soweit das Handeln dieser Personen für die Zwecke der juristischen Person erfolgte und sich nicht als Exzess darstellt. Auch das Handeln der Organe wird der juristischen Person als eigenes Handeln zugerechnet, mit der Folge, dass im Außenverhältnis die juristische Person für die Datenverarbeitung verantwortlich bleibt (Arning/Rothkegel in Taeger/Gabel, DSGVO, BDSG, TTDSG, 4. Aufl. 2022, Art. 4 Rn. 177; i.E. auch König AG 2017, 262 ff.). Nimmt also der Geschäftsführer im Rahmen seiner Funktion als Organ datenverarbeitende Handlungen vor, macht er dies in aller Regel für die Gesellschaft. Die Gesellschaft muss sich diese Handlung zurechnen lassen. Umgekehrt qualifiziert ein solches Handeln den Geschäftsführer noch nicht zum Verantwortlichen. Mit Blick auf die EuGH-Entscheidung „Zeugen Jehovas“ (Urt. v. 10.07.2018 – C-25/17) wird teilweise vertreten, dass dieser jedenfalls dann Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO sein soll, wenn er weisungsfrei selbst über Mittel und Zweck der Verarbeitung entscheiden kann, selbst dann, wenn die Verarbeitung letztlich für die Gesellschaft erfolgt. Das würde allerdings zu einem enormen Haftungsrisiko für den Geschäftsführer führen. Erst wenn dieser daher die personenbezogenen Daten für eigene (private) Zwecke verarbeitet, kann er persönlich als Verantwortlicher angesehen werden (Arning/Rothkegel, a.a.O., Rn. 176). Ausgangspunkt einer Haftung nach Art. 82 DSGVO ist folglich stets zunächst die Gesellschaft. Nur im Ausnahmefall haftet der Geschäftsführer persönlich und zwar nur dann, wenn er für den konkreten Verarbeitungsvorgang aufgrund der Verfolgung eigener Zwecke als Verantwortlicher zu qualifizieren ist.

Ist der Geschäftsführer allerdings weder Verantwortlicher noch Auftragsverarbeiter, scheidet eine eigene Haftung auf Schadensersatz nach Art. 82 DSGVO bereits nach dem Wortlaut der Vorschrift aus (so auch Bergt in Kühling/Buchner, DSGVO, BDSG, 3. Aufl. 2020, Art. 82, Rn. 16; Boehm in Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 1. Aufl. 2019, Art. 82, Rn. 15; Paal MMR 2020, 14, 15; Gola/Piltz in Gola DSGVO, 2. Aufl. 2018, Art. 82, Rn. 3; König AG 2017, 262, 268f.).
Eine eigene Haftung kommt dann entweder nur nach nationalem Datenschutz- oder Deliktsrecht in Betracht oder, wenn der Geschäftsführer im konkreten Fall ausnahmsweise persönlich als Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO anzusehen ist. Das nationale Datenschutzrecht kennt in den §§ 42, 43 BDSG Straf- bzw. Bußgeldvorschriften, welche nur an den Handelnden anknüpfen und nicht ausdrücklich an den Verantwortlichen. Eine Haftung des Geschäftsführers nach diesen Vorschriften ist somit möglich. Diese Vorschriften begründen allerdings für sich keine zivilrechtliche Außenhaftung gegenüber dem Betroffenen. Sofern diese jedoch als Schutzgesetze im Sinne von § 823 Abs. 2 BGB zu qualifizieren sind, kann sich hieraus eine zivilrechtliche Außenhaftung des Geschäftsführers ableiten. Anders als bei Art. 82 DSGVO kommt diese nur bei einem Verschulden in Betracht.

Als nationale deliktische Vorschrift käme § 823 Abs. 1 BGB in Verbindung mit der Verletzung des Rechts auf informationelle Selbstbestimmung oder im Falle von Vorsatz § 826 BGB (vgl. Löschhorn/Fuhrmann, NZG 2019, 161, 169) in Betracht. Ein Anspruch auf Ersatz des immateriellen Schadens könnte allerdings wegen § 253 Abs. 2 BGB ausgeschlossen sein, da das Recht auf informelle Selbstbestimmung nicht in der Aufzählung der Rechtsgüter enthalten ist, bei deren Verletzung eine Geldentschädigung in Betracht kommt. In der nationalen Rechtsprechung hat sich allerdings etabliert, dass Verletzungen des allgemeinen Persönlichkeitsrechts trotz der Regelung in § 253 Abs. 2 BGB einen Anspruch auf Geldentschädigung rechtfertigen (BGH, Urt. v. 17.12.2013 – VI ZR 211/12, NJW 2014, 2029). Begründet wird das damit, dass es sich bei der Entschädigung wegen einer Verletzung des allgemeinen Persönlichkeitsrechts nicht um ein Schmerzensgeld im Sinne von § 253 Abs. 2 BGB handelt. Wäre ein Anspruch auf Geldentschädigung deswegen ausgeschlossen, blieben Verletzungen der Würde und Ehre häufig sanktionslos mit der Folge, dass der Rechtsschutz der Persönlichkeit verkümmert (BGH v. 17.12.2013, a.a.O., m.w.N.). Bei dem Recht auf informationelle Selbstbestimmung handelt es sich um eine besondere Ausprägung des allgemeinen Persönlichkeitsrechts. Auch hier blieben Verletzungen sanktionslos, wenn eine Durchsetzung wegen § 253 Abs. 2 BGB ausgeschlossen wären.

Der Geschäftsführer im Exzess?

Eine eigene Haftung des Geschäftsführers unmittelbar aus Art. 82 DSGVO kommt nach dessen Wortlaut in der Regel nur dann in Frage, wenn er für den Datenverarbeitungsvorgang allein oder neben der Gesellschaft verantwortlich ist. Eine eigene Verantwortlichkeit kann sich zum Beispiel daraus ergeben, dass der Geschäftsführer im sog. Exzess gehandelt hat. Ein solcher liegt in jeder Handlung von Mitarbeiter oder auch Organen, die bei verständiger Würdigung nicht dem Kreis der jeweiligen unternehmerischen Tätigkeit zugerechnet werden kann. Maßgeblich ist eine objektive Betrachtungsweise, bei der es nicht darauf ankommt, dass der Mitarbeiter subjektiv eigene Zwecke verfolgt. Denn bei der subjektiven Verfolgung eigener Zwecke ist er bereits deswegen als Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO anzusehen. Durch den Exzess schwingt sich der Beschäftigte zum Verantwortlichen im Sinne von Art. 4 Nr. 7 DSGVO auf und kann im Falle eines Datenschutzverstoßes dem Betroffenen zum Schadensersatz nach Art. 82 DSGVO verpflichtet sein (zu allem Vorstehenden: Ambrock, ZD, 492, 493, 496).

Was hat das OLG Dresden entschieden?

Soweit ersichtlich musste sich das OLG Dresden in seiner Entscheidung vom 30.11.2021 als eines der ersten Oberlandesgerichte mit der Frage nach einer zivilrechtlichen Außenhaftung eines GmbH-Geschäftsführers für einen Datenschutzverstoß befassen. Der Senat stellte die Verantwortlichkeit des Geschäftsführers ohne nähere Begründung fest.
So führte es hierzu lediglich aus „Damit entfällt zwar in aller Regel die Verantwortlichkeit weisungsgebundener Angestellter oder sonstiger Beschäftigter, für den Geschäftsführer, wie es der Beklagte zu 2) zum Zeitpunkt der Beauftragung des Streithelfers war, gilt dies allerdings nicht.“. Eine nähere datenschutzrechtliche Herleitung, warum der Geschäftsführer im vorliegenden Fall als Verantwortlicher zu qualifizieren ist, findet allerdings nicht statt. Nach den Feststellungen ist davon auszugehen, dass der Senat die Organstellung hat ausreichen lassen, um den GmbH-Geschäftsführer als Verantwortlichen im Sinne von Art. 4 Nr. 7 DSGVO einzustufen. Folgerichtig fällt der GmbH-Geschäftsführer für den Senat dann auch in den Kreis der Anspruchsverpflichteten aus Art. 82 DSGVO.

Die Organstellung allein reicht jedoch gerade nicht. Der Senat hätte vielmehr darlegen müssen, ob sich die Verantwortlichkeit des Geschäftsführers aus einem festgestellten Exzess ergibt oder weil der Geschäftsführer die personenbezogenen Daten des Betroffenen (auch) für eigene Zwecke verarbeitet hat. Versteht man die Feststellungen des Senats dahingehend, dass bereits die Stellung als Organ der mitverklagten Gesellschaft für eine eigene Verantwortlichkeit ausreiche, dann sind diese Feststellungen des OLG Dresden mit den Grundsätzen zur Bestimmung der datenschutzrechtlichen Verantwortlichkeit innerhalb einer Unternehmensorganisation nicht vereinbar.

Was bedeutet die Entscheidung für die Praxis?

Die Frage nach der eigenständigen zivilrechtlichen Außenhaftung des Geschäftsführers für einen Datenschutzverstoß ist von besonderer Praxisrelevanz. Würde allein die Organstellung ausreichen, um eine eigene Verantwortlichkeit zu begründen, würde dies zu einem enormen Haftungsrisiko für ihn führen. Es bleibt daher zu hoffen, dass die Entscheidung des OLG Dresden in dieser Form ein Einzelfall bleibt.

Unabhängig von der Entscheidung des OLG Dresden sollten sich Geschäftsführer jedoch bewusst machen, dass eine persönliche Haftung auf Schadensersatz nach Art. 82 DSGVO nicht per se ausgeschlossen ist. Ist man für den konkreten Verarbeitungsvorgang zweifelsfrei Verantwortlicher, haftet man auch, wenn dabei etwas schiefgeht. Auch die Haftung wegen der Verletzung eines Schutzgesetzes nach § 823 Abs. 2 BGB bleibt im Grundsatz möglich.

Hiervon losgelöst ist freilich die Frage nach der Innenhaftung des Geschäftsführers gegenüber der Gesellschaft. Eine solche kommt insbesondere in Betracht, wenn er es versäumt hat, ein ordnungsgemäßes Datenschutz-Management-System einzurichten (z.B. einen Prozess zur ordnungsgemäßen und rechtzeitigen Erteilung von Auskünften nach Art. 15 DSGVO) und es in der Folge zu einer Haftung der Gesellschaft nach Art. 82 DSGVO kommt.

Zur Vermeidung der Haftung oder zumindest zur Reduzierung des eigenen Haftungsrisikos ist es für Geschäftsführer unerlässlich, dass diese dafür sorgen, dass die Datenverarbeitungsprozesse im eigenen Verantwortungsbereich streng nach den Vorgaben der DSGVO ausgerichtet und entsprechend dokumentiert sind. Nur wer in der Lage ist, auf eine gute Dokumentation dieser Prozesse zurückzugreifen, kann darlegen und nachweisen, dass alles erdenklich Mögliche unternommen wurde, um einen Datenschutzverstoß zu vermeiden.

Kategorien: #EFAR-Beiträge Tags: Compliance, Datenschutz

  • Sebastian Laoutoumai, LL.M.

    Rechtsanwalt und Fachanwalt für IT-Recht, Partner LÖFFEL ABRAR Rechtsanwälte PartG mbB #EFAR - Profil Twitter LinkedIn

Ähnliche Beiträge

Compliance Homeoffice
28. Februar 2023 - Dr. Maximilian Koschker, LL.M.

Schutz von Geschäftsgeheimnissen im Homeoffice und beim mobilen Arbeiten

Bei der Arbeit im Homeoffice sowie beim mobilen Arbeiten generell gelten erhöhte Anforderungen an den Schutz von Geschäftsgeheimnissen, deren Nichteinhaltung gravierende rechtliche und tatsächliche Konsequenzen für ihren Inhaber haben kann.
Lesen
Compliance
17. Februar 2023 - EFAR Redaktion

Übereinkommen gegen Belästigung in der Arbeitswelt

Die Bundesregierung hat einen Gesetzentwurf zur Ratifizierung eines Übereinkommens Nr. 190 der Internationalen Arbeitsorganisation (ILO) über die Beseitigung von Gewalt und Belästigung in der Arbeitswelt vorgelegt. Das hat der Deutsche Bundestag mitgeteilt (hib 118/2023).
Lesen
#EFAR-Basics Geheimnis
10. Februar 2023 - Jana Hassel

#EFAR-Basics: Whistleblowing

#EFAR-Basics zum Thema Whistleblowing mit aktuellen Entwicklungen und Hintergründen (Stand: 10.02.2023)
Lesen

Primary Sidebar

Mehr Informationen

  • Anzeige schalten
  • #EFAR-Beiträge
  • #EFAR-News
  • #ArbeitsRechtKurios
  • Live–Log
  • #EFAR-Stellenmarkt
  • #EFAR–Autoren
  • #EFAR–Fokusseiten
Anzeige

#EFAR–Fokusseiten

Dynamische Profilseiten namhafter Kanzleien mit Fokus Arbeitsrecht

Aktuelle Beiträge

  • Darf Beschäftigten das Tragen religiöser Symbole oder Kleidung verboten werden?
  • Kein Unfallversicherungsschutz bei Schlägerei wegen zugeparkter Betriebseinfahrt
  • Polizeianwärter muss Ausbildungsbezüge nicht zurückzahlen
  • ChatGPT und arbeitsrechtliche Aspekte
  • Uneingeschränkter Widerrufsvorbehalt bei einer Pensionszusage ist steuerschädlich

#EFAR – Jobs

  • ARQIS Wissenschaftlicher Mitarbeiter (m/w/d) in Düsseldorf Düsseldorf
  • ARQIS Referendar (m/w/d) in Düsseldorf Düsseldorf
  • ARQIS Legal Specialist (m/w/d) in Düsseldorf Düsseldorf
  • ARQIS Berufseinsteiger/Rechtsanwalt (m/w/d) für Arbeitsrecht in Düsseldorf oder München München

#EFAR – Newsletter

* indicates required

Vorherige Kampagnen ansehen.

Sie können sich jederzeit abmelden, indem Sie auf den Link in der Fußzeile unserer E-Mails klicken. Informationen zu unseren Datenschutzpraktiken finden Sie auf unserer Website.

Footer

Das #EFAR in den sozialen Medien
  • Über das #EFAR
  • Datenschutz
  • Haftungsauschluss
  • Mediadaten
  • Kontakt
  • Impressum
Blogverzeichnis - Bloggerei.de Cookie Einstellungen

Handcrafted with by Jung und Wild design.