Haftung von Geschäftsführern und Vorständen für Datenschutzverstöße   Die Datenschutzgrundverordnung kennt neben materiellen Schadensersatzansprüchen wegen Datenschutzverletzungen auch das Schmerzensgeld und Bußgelder über bis zu 20 Mio. Euro bzw. 4 Prozent des weltweiten Jahresumsatzes. Fraglich war bislang, ob auch die verantwortlichen Personen – insbesondere die Geschäftsführung – auch persönlich zur Haftung herangezogen werden können. Das Oberlandesgericht Dresden (Urteil v. 30.11.2021 – 4 U 1158/21) hat gesamtschuldnerisch neben dem Unternehmen auch dessen Geschäftsführer zur Zahlung von 5.000 Euro Schadensersatz wegen Datenschutzverstößen verurteilt. Der Geschäftsführer sei selbst datenschutzrechtlich Verantwortlicher und hafte in der Folge persönlich. Es muss daher auch im eigenen Interesse der Geschäftsführung liegen, datenschutzrechtliche Belange ernst zu nehmen und zur „Chefsache“ zu machen. Wir zeigen Ihnen die Hintergründe und Vermeidungsstrategien. I. Hintergründe der Entscheidung Bislang wurde weitestgehend vertreten, dass nur das Unternehmen selbst als „Verantwortlicher“ nach Art. 4 Nr. 7 DSGVO für Datenschutzverstöße haftet und nicht der gesetzliche Vertreter. Einzig bei Personengesellschaften wurde vertreten, dass die Haftung auf den Inhaber persönlich durchschlägt. Daneben kamen nur (datenschutzrechtliche) Strafvorschriften gegenüber handelnden Personen selbst in Betracht. Das neue Urteil des OLG Dresden bringt etwas Brisanz in diese rechtliche Bewertung. So hatte ein Geschäftsführer im Namen seiner GmbH einen Detektiv beauftragt, Recherchen über etwaige Straftaten des Klägers anzustellen. Die Recherchen deckten tatsächlich strafrechtlich relevante Vorgeschichten auf, woraufhin ein Mitgliedsantrag des Klägers zurückgewiesen wurde. Für die Recherchen als datenschutzrechtliche Verarbeitungsmaßnahme existierte jedoch kein Rechtfertigungsgrund. Die veranlasste Maßnahme sei auch nicht zur Wahrung berechtigter Interessen des Unternehmens nach Art. 6 Abs. 1 lit. f DSGVO erforderlich gewesen. Überdies verstoße die Verarbeitung von Informationen über strafrechtliche Verurteilungen ohne behördliche Mitwirkung gegen Art. 10 DSGVO. All dies führe zu einer Schadensersatzpflicht. Bis dahin war die Entscheidung wenig überraschend und im Ergebnis nicht zu beanstanden. II. Haftung des Geschäftsführers / Vorstands persönlich Weiter entschied das OLG, dass der Geschäftsführer auch persönlich für den Datenschutzverstoß hafte. Eine eigene datenschutzrechtliche Verantwortlichkeit sei immer dann zu bejahen, wenn eine natürliche oder juristische Person über die Zwecke und Mittel der Datenverarbeitung entscheiden könne. Für weisungsfrei tätige Personen wie Geschäftsführer oder Vorstände greife daher – anders als bei Angestellten – eine eigene Verantwortlichkeit. Entsprechend wurde entschieden, dass der Geschäftsführer neben dem Unternehmen verpflichtet sei, 5.000 Euro immateriellen Schadensersatz (Schmerzensgeld) an den Kläger zu zahlen. Bei der Bemessung des Schadens waren Art, Schwere und Dauer des Verstoßes zu berücksichtigen. Mit Blick auf die hier betroffenen sensiblen Daten wäre auch ein deutlich höherer Schadensersatzanspruch gerechtfertigt gewesen. III. Bewertung Verwunderlich ist zunächst, dass das Gericht eine Datenverarbeitung für das Unternehmen auch dem Geschäftsführer persönlich zugerechnet hat. Auch wenn man eine Verantwortlichkeit des Geschäftsführers für die eigene Beauftragung des Detektivs als noch verständlich werten könnte, bliebe eine gravierende Gefahr für Entscheidungsträger: Das Gericht will auch eine Verantwortlichkeit annehmen, wenn überhaupt erst eine Entscheidungsbefugnis gegeben sei. Es bedarf also überhaupt keiner aktiven Beteiligung, um dessen persönliche Haftung anzunehmen. Ähnlich hat sich auch der EuGH geäußert (Urteil vom 10.07.2018 – C-25/17). Damit scheint sich das Oberlandesgericht an Schutzrechtsverletzungskonstellationen anlehnen zu wollen: Hierbei wird widerleglich vermutet, dass der Geschäftsführer bei typischerweise auf Geschäftsführungsebene getroffenen Entscheidungen persönlich verantwortlich ist und als Gesamtschuldner neben der Gesellschaft haftet. Mit Blick auf das Urteil des OLG Dresden ist daher anzunehmen, dass die Verantwortlichkeit für Datenschutzmaßnahmen auf Geschäftsführungsebene anzusiedeln ist und daher eine erhöhte Sorgfaltspflicht besteht. Fazit Zwar mag die Entscheidung des OLG Dresden an einigen Punkten angreifbar sein, es kann jedoch nicht ausgeschlossen werden, dass auch andere Gerichte – bis hin zum BGH – dieser Entscheidung folgen. Die beste Möglichkeit, Datenschutzverstöße zu vermeiden, ist ein umfassendes und professionelles Datenschutzmanagement- und Compliance-System. Leistungsangebot Soweit Sie davon ausgehen, dass Ihr Datenschutzmanagement nicht ausreichend ist, sollten Sie sich um eine professionelle Lösung bemühen. Wir sind seit Jahren auf diesem Gebiet tätig und unterstützen Sie gerne beim Aufbau Ihres Datenschutzmanagement-Systems.