von Tim WybitulDr. Isabelle Brams

Das Oberlandesgericht Dresden (Urt. v. 30.11.2021 – 4 U 1158/21) hat eine Gesellschaft und ihren Geschäftsführer als Gesamtschuldner zur Zahlung von 5.000 Euro DSGVO-Schadensersatz verurteilt. Das Gericht ging dabei davon aus, dass neben der Gesellschaft auch der Geschäftsführer als eigener datenschutzrechtlich Verantwortlicher einzustufen sei und daher für den Datenschutzverstoß persönlich hafte. Sollten weitere Gerichte dieser Auffassung folgen, hätte dies weitreichende Folgen für die Praxis. Der vorliegende Überblick fasst die wichtigsten Aspekte des Urteils zusammen und gibt einen ersten Überblick über mögliche Verteidigungsstrategien.

A.                Überblick

Die Sachverhaltsdarstellung im Urteil des Oberlandesgerichts Dresden ist denkbar knapp. Das Oberlandesgericht verweist im Wesentlichen auf die entsprechende Schilderung im Urteil des Landgerichts Dresden als Vorinstanz – welches allerdings nicht veröffentlicht wurde. Aus den vom Oberlandesgericht mitgeteilten Informationen ergibt sich lediglich, dass der Kläger, ein Autohändler, bei der beklagten GmbH eine Mitgliedsanfrage stellte. Der Geschäftsführer der Beklagten beauftragte daraufhin einen Detektiv mit der Durchführung von Recherchen zu möglichen strafrechtlich relevanten Handlungen des Klägers. Der Geschäftsführer handelte bei der Beauftragung im Namen der beklagten Gesellschaft. Die Recherche ergab, dass der Kläger in der Vergangenheit an strafrechtlich relevanten Sachverhalten beteiligt gewesen war. Die Gesellschafter der Beklagten erlangten hiervon Kenntnis und lehnten daraufhin den Mitgliedsantrag des Klägers ab.

Der Kläger nahm das Verhalten der Beklagten zum Anlass, immateriellen DSGVO-Schadensersatz in Höhe von 21.000 Euro zu fordern. Das Landgericht Dresden (Urt. v. 26.5.2021 – 8 O 1286/19) sprach dem Kläger Schadensersatz in Höhe von 5.000 Euro zu. Dieser Entscheidung hat sich auch das Oberlandesgericht Dresden als Berufungsgericht angeschlossen.

B.                Entscheidungsgründe

Das Oberlandesgericht Dresden sah in der Ausspähung des Klägers durch den von dem Geschäftsführer beauftragten Detektiv einen Datenschutzverstoß. Die von der Beklagten veranlasste Datenverarbeitung sei insbesondere nicht zur Wahrung ihrer berechtigten Interessen im Sinne von Art. 6 Abs. 1 lit. f DSGVO erforderlich gewesen. Die Datenverarbeitung verstoße zudem gegen Art. 10 DSGVO. Danach ist die Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen oder Straftaten grundsätzlich nur unter behördlicher Aufsicht gestattet. Der Detektiv sei daher nicht befugt gewesen, Informationen über etwaige strafrechtlich relevante Handlungen des Klägers einzuholen.

Das Oberlandesgericht geht zudem davon aus, dass nicht nur die Gesellschaft, sondern auch der beklagte Geschäftsführer persönlich für den Datenschutzverstoß hafte. Der Geschäftsführer sei als eigener datenschutzrechtlich Verantwortlicher einzustufen. Nach Art. 4 Nr. 7 DSGVO sei eine eigene datenschutzrechtliche Verantwortlichkeit immer dann zu bejahen, wenn eine natürliche oder juristische Person alleine oder gemeinsam mit anderen über die Zwecke und Mittel der Datenverarbeitung entscheiden könne oder entscheide. Nach dieser Maßgabe entfalle zwar die Verantwortlichkeit weisungsgebundener Angestellter. Dies gelte aber gerade nicht für Geschäftsführer.

Das Gericht ging zudem davon aus, dass die Ausspähung des Klägers einen ersatzfähigen Schaden im Sinne von Art. 82 Abs. 1 DSGVO begründe. Dieser überschreite auch eine etwaige Bagatellschwelle. Der Geschäftsführer habe gegenüber den Gesellschaftern der GmbH unbefugt sensitive Erkenntnisse über strafrechtlich relevantes Verhalten des Klägers offengelegt. Der Kläger müsse zudem damit rechnen, dass seine Daten in einem größeren Umfeld bekannt geworden seien. Überdies habe der Datenschutzverstoß dazu geführt, dass dem Kläger die Mitgliedschaft in der Gesellschaft versagt wurde.

Bei der Bemessung des konkreten Schadens seien insbesondere die Art, Schwere und Dauer des Verstoßes zu berücksichtigen. Auch frühere Verstöße und die Kategorie der betroffenen Daten seien in die Erwägungen mit einzubeziehen. Nach dem Effektivitätsgrundsatz sei eine abschreckende Sanktion des Schadensersatzes nach Art. 82 DSGVO nicht grundsätzlich ausgeschlossen. Zu Lasten der Beklagten sei insbesondere zu berücksichtigen, dass es sich bei den erhobenen Daten um besonders sensible Daten gehandelt habe.

C.                Bewertung der Entscheidung und Ausblick

Sollten sich weitere Gerichte der Auffassung der Dresdner Richter anschließen, hätte dies weitreichende Folgen für die Praxis. Geschäftsführer müssten dann damit rechnen, wegen Datenschutzverstößen persönlich in Anspruch genommen zu werden. Dieses Haftungsrisiko besteht insbesondere dann, wenn sie die dem Datenschutzverstoß zugrundeliegende Datenverarbeitung selbst initiiert haben oder an entsprechenden Entscheidungen oder Beauftragungen mitgewirkt.

Die vom Oberlandesgericht angeführte Begründung fällt allerdings sehr knapp aus. Die Richter geben im Wesentlichen die in Art. 4 Nr. 7 DSGVO geregelte Definition des datenschutzrechtlich Verantwortlichen wieder, ohne sich mit den einzelnen Kriterien inhaltlich auseinander zu setzen. Insbesondere nimmt das Oberlandesgericht keinen Bezug auf die einschlägige Rechtsprechung des Europäischen Gerichtshofs (EuGH) zur Auslegung des Begriffs des datenschutzrechtlich Verantwortlichen. Der EuGH legt den Begriff teilweise sehr weit aus. Für die Annahme einer datenschutzrechtlichen Verantwortlichkeit ließ es der EuGH in der Vergangenheit teilweise bereits ausreichen, dass der Beteiligte von der Datenverarbeitung profitiere und diese in irgendeiner Art und Weise veranlasse habe oder dulde (EuGH, Urt. v. 10.7.2018 – C-25/17 (Zeugen Jehovas), ZD 2018, 469 Rn. 75). Es sei in diesem Fall auch nicht erforderlich, dass jeder der Beteiligten tatsächlich Zugang zu den betreffenden personenbezogenen Daten habe oder diese selbst verarbeite (EuGH, Urt. v. 10.7.2018 – C-25/17 (Zeugen Jehovas), ZD 2018, 469 Rn. 75).

Es lässt sich nicht ausschließen, dass weitere Gerichte der Auffassung des Oberlandesgerichts Dresden unter Hinweis auf die genannte EuGH-Rechtsprechung folgen könnten. Die Entscheidung der Dresdner Richter ist aber rechtlich durchaus angreifbar. Das Gericht geht ohne nähere Begründung davon aus, dass Geschäftsführer eigene datenschutzrechtlich Verantwortliche seien. Die Richter setzen sich insbesondere nicht mit der Frage auseinander, unter welchen Voraussetzungen Geschäftsführer in derartigen Fallkonstellationen eigenständig über die Zwecke und Mittel von Datenverarbeitungen entscheiden. Der Hinweis, dass für Geschäftsführer andere Maßstäbe gelten müssten als für Arbeitnehmer, ist insofern nicht sonderlich zielführend. Diese Argumentation überzeugt auch schon deshalb nicht, weil Geschäftsführer aufgrund ihrer Weisungsgebundenheit gegenüber der Gesellschafterversammlung durchaus mit klassischen Arbeitnehmern vergleichbar sind. Es hätte daher nahegelegen, im Hinblick auf die datenschutzrechtliche Verantwortlichkeit ähnliche Maßstäbe wie bei Arbeitnehmern anzusetzen. Diese sind nach Auffassung der Datenschutzbehörden nur dann als eigene Verantwortliche einzustufen, wenn sie sich eigenmächtig über einschlägige Weisungen ihres Arbeitgebers hinwegsetzen (sogenannter Mitarbeiterexzess).

Auch die Ausführungen des Oberlandesgerichts zu Art. 10 DSGVO sind rechtlich durchaus angreifbar. Das Oberlandesgericht geht – auch hier ohne nähere Begründung – davon aus, dass die Verarbeitung von Daten über strafrechtliche Verurteilungen stets nur unter Aufsicht einer öffentlichen Behörde erfolgen dürfe. Würde man dieser restriktiven Auffassung folgen, dürften Arbeitgeber grundsätzlich keine Führungszeugnisse von Mitarbeitern einholen.

Ähnlich angreifbar ist die Argumentation des Gerichts zu Art. 82 DSGVO. Der Anspruch auf Schadensersatz setzt voraus, dass der Antragsteller einen konkreten und spürbaren Nachteil dargelegt hat (vgl. beispielsweise OLG Brandenburg v. 11.08.2021 – 1 U 69/20, BeckRS 2021, 24733). Zudem muss die Beeinträchtigung kausal auf den Datenschutzverstoß zurückzuführen sein. Das Oberlandesgericht geht auf diese Voraussetzungen nicht im Einzelnen ein. Insbesondere legt es nicht dar, worin der konkrete immaterielle Schaden des Klägers liegen solle. Der bloße Verlust über die eigenen Daten begründet nach zutreffender Ansicht für sich betrachtet gerade keinen ersatzfähigen Schaden. Vielmehr muss der Schaden über den konkreten Datenschutzverstoß hinausgehen und von einem gewissen Gewicht sein. (vgl. beispielsweise OGH (Österreich), Beschl. v. 15.4.2021 – 6Ob35/21x, ZD 2021, 631 Rn. 20; OLG Dresden, Urt. v. 20.8.2020 – 4 U 784/20, ZD 2021, 93 Rn. 21). Diese Auslegung wird durch Erwägungsgrund 85 Satz 1 DSGVO gestützt, wonach ein immaterieller Schaden auch in „erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen“ liegen kann. Das Wort „erheblich“ macht deutlich, dass eine Haftung nach Art. 82 DSGVO nur bei spürbaren Beeinträchtigungen in Betracht kommt.

Zudem verkennt das Oberlandesgericht, dass die DSGVO eine abschreckende Wirkung nur für Bußgelder und nicht für Schadensersatzansprüche vorsieht. Die Höhe von Schadensersatzansprüchen muss daher gerade nicht abschreckend sein. Dieser Ansatz ist auch zielführend. Denn eine abschreckende Wirkung lässt sich oftmals schon durch die Verhängung von Bußgeldern erzielen.

Für weitere Informationen zu DSGVO-Schadensersatz und Urteilsbesprechungen siehe auch unsere Blog-Beiträge:

Die Profiteure der Datenschutzverstöße: Wie sich mit Datenschutzklagen viel Geld machen lässt

Jahresrückblick zur DSGVO: Gerichte und Behörden geben Vollgas bei Bußgeldern und Schadensersatz

DSGVO-Schadensersatz: Bundesarbeitsgericht ebnet Weg für Massenklagen

Verteidigung gegen Schadensersatzklagen wegen Datenschutzverstößen

Trend zu Klagen auf immateriellen Schadensersatz wegen DSGVO-Verstößen?