Persönliche Haftung der Geschäftsführung

Bisher gingen Verantwortliche davon aus, dass Bußgelder gegen die jeweilige Einrichtung als Verantwortliche verhängt werden. Ein Urteil des OLG Dresden (Az.: 4 U 1158/21) betraf dabei nun allerdings u. a. die persönliche Haftung der Geschäftsführung eines Unternehmens, einer GmbH.

In diesem Beitrag werden wir uns auf die Geschäftsführerhaftung konzentrieren, auch wenn das Urteil auf weitere Sachverhalte der DSGVO eingeht.

Datenschutzrechtlicher Sachverhalt

Die betroffene Person, ein Autohändler, stellte bei einer GmbH, die Mitglied in einem Verein, der u. a. Oldtimer-Ausfahrten organisiert, ist, einen Mitgliedsantrag. Vorsorglich beauftragte der Geschäftsführer der GmbH einen Detektiv, um eine Recherche zu möglichen strafrechtlich relevanten Handlungen der betroffenen Person durchzuführen. Dabei fand der Detektiv heraus, dass die betroffene Person an strafrechtlich relevanten Sachverhalten beteiligt war. Dies führte zu einer Ablehnung des Mitgliedsantrages der betroffenen Person durch den GmbH-Geschäftsführer. Zusätzlich gab er die Informationen über den Antragsteller an Vorstands- und weitere Vereinsmitglieder weiter. Wegen dieser unrechtmäßigen Datenübermittlung verklagte die betroffene Person den Verein und den Geschäftsführer als Gesamtschuldner auf immateriellen Schadensersatz nach Art. 82 DSGVO.

Ergebnis des Urteils

Das OLG Dresden entschied, dass der Geschäftsführer einer GmbH neben der GmbH gemäß der DSGVO als Verantwortlicher gilt. Gemäß Art. 4 Nr. 7 DSGVO ist ein Verantwortlicher eine „[…] natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet […]“.

Begründung für das Urteil

Demnach sieht das OLG Dresden den Geschäftsführer als eigenen datenschutzrechtlichen Verantwortlichen und nicht als einfachen Angestellten des Unternehmens. Er entschied eigenständig, den Detektiv zu beauftragen.

Daraus folgende Erkenntnis für Einrichtungen

Entsprechend der Fälle, in denen Angestellte datenschutzwidrige Verarbeitungstätigkeiten vornahmen, haftet ebenso eine Person in Ausübung der Tätigkeit als Geschäftsführer eines Unternehmens selbst für den DSGVO-Verstoß. Dies dürfte so manche Geschäftsführung zum Umdenken hinsichtlich der Einhaltung der DSGVO bewegen. Im konkreten Fall sprach das Gericht dem Kläger Schadensersatz in Höhe von 5000 Euro zu, da ein schwerer Verstoß vorlag. Der Schadensersatz müsse effektiv zur Durchsetzung des Datenschutzrechts und demzufolge abschreckend sein.

Fazit

Noch immer nehmen zu viele Einrichtungen den Datenschutz nicht ernst oder wenden nicht ausreichend personelle oder finanzielle Ressourcen auf. Wer nur pro forma einen internen oder auch externen Datenschutzbeauftragten benennt oder diesem nicht rechtzeitig die erforderlichen Informationen zur Verfügung stellt und in Änderungen bestehender Prozesse oder neue Prozesse einbindet, aber dessen Rat nicht folgt, schließt weder das Bußgeldrisiko für sein Unternehmen noch für sich persönlich aus. Auch reduziert ein Verantwortlicher es auf diese Weise nicht ausreichend.

Wir sehen unsere Aufgabe darin, Ihnen Fragen zu den Abläufen und Prozessen im Unternehmen mit Blick auf die datenschutzrechtlichen Anforderungen zu stellen und partnerschaftlich auf der Basis dieser Informationen die erforderlichen Dokumentationen zu erstellen bzw. bei der Verbesserung des Datenschutzniveaus konstruktiv, pragmatisch und partnerschaftlich zu beraten.

Bei der Umsetzung der DSGVO und des Datenschutzes in Ihrer Einrichtung beraten und unterstützen wir Sie in Abstimmung mit internen Datenschutzkoordinatoren, um eine möglichst hohe Datenschutzkonformität zu erreichen und damit Risiken aus Datenschutzverstößen für Ihr Unternehmen möglichst gering zu halten. Kontaktieren Sie uns noch heute. Wir erstellen gern ein unverbindliches Angebot.