Datenschutz und Geschäftsführerhaftung

Die Entscheidung des OLG Dresden vom 30. November 2022

Die Zahl der Schadensersatzklagen wegen Datenschutzverstößen auf Grundlage von Art. 82 DSGVO steigt kontinuierlich an.

Eine Entscheidung des OLG Dresden vom 30. November 2022 (Az.: 4 U 1158/21) hat jetzt eine kontroverse Diskussion ausgelöst, da sie die persönliche Haftung von Geschäftsführern bei Datenschutzverstößen erheblich ausweitet. Das OLG Dresden verurteilte eine GmbH und ihren Geschäftsführer gesamtschuldnerisch (!) zur Zahlung von 5.000 Euro Schadensersatz an einen Betroffenen. Grund war die unrechtmäßige Verarbeitung personenbezogener Daten durch einen vom Geschäftsführer beauftragten Detektiv. Das Gericht stellte fest, dass der Geschäftsführer neben der GmbH als datenschutzrechtlich Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO anzusehen sei.

Diese Entscheidung hat es in sich: Nach Auffassung des Gerichts entscheidet ein Geschäftsführer über die Zwecke und Mittel der Datenverarbeitung und ist daher nicht nur Teil des Unternehmens, sondern auch persönlich haftbar. Diese neue Auslegung führt zu einer erheblichen Verschärfung der Haftung, da Geschäftsführer nun neben dem Unternehmen selbst vermehrt in den Fokus von Schadensersatzansprüchen geraten könnten.

Neben der möglichen Schadensersatzhaftung nach Art. 82 DSGVO gibt es aber auch weitere Risiken für Geschäftsführer:

  • Nach §§ 9, 130 OWiG können Bußgelder nicht nur gegen das Unternehmen, sondern auch direkt gegen den Geschäftsführer verhängt werden, etwa bei Organisationsverschulden oder Aufsichtspflichtverletzungen.
  • § 42 BDSG sieht bei schwerwiegenden Verstößen, etwa der absichtlichen unbefugten Verarbeitung von Daten, strafrechtliche Sanktionen vor.
  • Unternehmen können im Rahmen eines Regresses nach § 43 Abs. 2 GmbHG Schadensersatzansprüche gegen ihre Geschäftsführer geltend machen, wenn diese ihre Pflichten verletzt haben.
  • Nach § 823 Abs. 1 BGB haften Geschäftsführer persönlich, wenn ihnen eine Verletzung ihrer Organisations- oder Überwachungspflichten nachgewiesen wird.

Datenschutz und Geschäftsführerhaftung

Geschäftsführer sind verpflichtet, ein strukturiertes Datenschutzmanagementsystem einzuführen und zu überwachen, um Datenschutzverstöße zu vermeiden. Dazu gehören:

  • Klare Organisationsstrukturen im Datenschutz,
  • Regelmäßige Datenschutz-Folgenabschätzungen bei risikoreichen Verarbeitungen,
  • Sensibilisierung und Schulung der Mitarbeitenden,
  • Regelmäßige Audits und Überprüfungen der Datenschutzmaßnahmen.

Die Entscheidung des OLG Dresden vom 30. November 2022 könnte eine verschärfte Haftung für Geschäftsführer bedeuten, wenn diese allein aufgrund ihrer Organstellung als datenschutzrechtlich Verantwortliche angesehen werden. Bis zur endgültigen Klärung durch höhere Instanzen sollten Geschäftsführer besonderen Wert auf ein wirksames Datenschutzmanagement legen, um Haftungsrisiken zu minimieren. Wer hierbei Unterstützung benötigt, sollte auf spezialisierte Beratung und Datenschutzlösungen zurückgreifen.