Seit Mai 2018 gilt die DSGVO und seitdem sind bereits viele Entscheidungen zur zivilrechtlichen Haftung des Verantwortlichen auf Schadenersatz nach Art. 82 DSGVO ergangen und veröffentlicht worden. Ein roter Faden bei der Auslegung von Art. 82 DSGVO ist bislang nicht wirklich zu erkennen, sodass mit Spannung auf die erste Entscheidung des EuGH zur verbindlichen Auslegung gewartet wird.
| Einen ausführlichen Beitrag zum DSGVO-Schadenersatz finden Sie hier: Der DSGVO-Schadensersatz nach Art. 82 DSGVO beschäftigt deutsche Unternehmen und Gerichte |
Als sei die Unsicherheit bei der richtigen Anwendung der neuen Haftungsnorm aus Art. 82 DSGVO noch nicht groß genug, da hat das OLG Dresden (Urt. v. 30.11.2021 – 4 U 1158/21) Ende 2021 eine Entscheidung veröffentlicht, die wahrscheinlich vielen GmbH-Geschäftsführern die Schweißperlen auf die Stirn getrieben haben dürfte. Danach soll der GmbH-Geschäftsführer allein aus seiner Organstellung heraus nicht nur „Verantwortlicher“ im Sinne von Art. 4 Nr. 7 DSGVO sein, sondern konsequenterweise auch für Datenschutzverstöße neben der Gesellschaft haften. Damit bricht das OLG Dresden auf den ersten Blick mit den allgemeinen Grundsätzen zur Außenhaftung von Geschäftsleitern. Die Entscheidungsgründe zur OLG-Entscheidung sind dabei recht dünn und lassen nur den Schluss zu, dass dem Geschäftsführer aufgrund seiner Organstellung neben der Gesellschaft eine datenschutzrechtliche Verantwortlichkeit nach Art. 4 Nr. 7 DSGVO zugesprochen wird. Diese Zuordnung ist erforderlich, um auch den Geschäftsführer nach Art. 82 DSGVO in die Haftung zu nehmen, denn der Wortlaut ist in diesem Punkt recht eindeutig: nur Verantwortliche und Auftragsverarbeiter können zum Schadenersatz verpflichtet werden. Ob der Geschäftsführer tatsächlich Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO war, lässt sich den Entscheidungsgründen nicht entnehmen. Auch die Entscheidungsgründe der Vorinstanz sind insoweit unergiebig, auch wenn sich dort zumindest leise Ansätze dafür finden lassen können, warum im vorliegenden Fall ausnahmsweise eine eigene Verantwortlichkeit in Betracht kommen könnte (LG Dresden, Urt. v. 26.5.2021 – 8 O 1286/19). So wird dem Geschäftsführer dort unter anderem unterstellt, er habe die betroffene Person aus privaten Motiven von einem Privatdetektiven observieren lassen. Als gehörnter Ehemann wolle er tiefgreifende Erkenntnisse über seinen Nebenbuhler in Erfahrung bringen. Aber diese persönliche Motivationslage konnte dem Geschäftsführer nicht nachgewiesen werden. Im Gegenteil, die übrigen Geschäftsführer hatten dem Einsatz des Privatdetektivs zugestimmt und die Rechnung wurde von der Gesellschaft beglichen. Hintergrund war ein Background-Check der betroffenen Person im Rahmen der Prüfung eines Aufnahmeantrages. Auf Basis dieser Erkenntnisse hätte schon das Landgericht Dresden nicht eine eigene Verantwortlichkeit des Geschäftsführers annehmen dürfen.
Auch wenn der Fall voraussichtlich (oder besser hoffentlich) ein Einzelfall bleiben wird, lohnt es sich einmal anzusehen, ob und wenn ja, wann ein Geschäftsführer denn ganz generell auf Schadenersatz nach Art. 82 DSGVO in Anspruch genommen werden kann.
Rechtsberatung vom Anwalt für DatenschutzrechtUnsere Rechtsanwälte für Datenschutzrecht aus Düsseldorf unterstützen Unternehmen jeder Größenordnung in allen rechtlichen Fragen zum Datenschutzrecht. Wir beraten unsere Mandanten unter anderem bei der Durchsetzung von und der Verteidigung gegen datenschutzrechtliche Ansprüche. Unsere Leistungen im Überblick:
Sie möchten einen Beitrag im Internet löschen lassen? Ihr Unternehmen wurde auf Unterlassung und Löschung in Anspruch genommen? Gerne bringe ich Ihnen im Rahmen eines unverbindlichen Erstgesprächs die Rechtslage näher und unterstütze Sie dabei, Rechtsklarheit zu gewinnen. Kontaktieren Sie mich jederzeit für ein Kennenlerngespräch. |
Wer haftet nach Art. 82 DSGVO auf Schadenersatz?
Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung einen materiellen oder immateriellen Schaden entstanden ist, einen Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Der Wortlaut der Vorschrift begrenzt den Kreis der Anspruchsverpflichteten somit auf den Verantwortlichen im Sinne von Art. 4 Nr. 7 DSGVO und den Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 DSGVO. Weitere Anspruchsverpflichtete kennt der Wortlaut der Vorschrift nicht.
Von diesem Wortlaut ausgehend kommt eine eigene Haftung des Geschäftsleiters nur in Betracht, wenn er entweder als Verantwortlicher oder als Auftragsverarbeiters für einen Verantwortlichen gehandelt hat. Tritt der Geschäftsleiter als Verantwortlicher im datenschutzrechtlichen Sinne auf, stellt sich die Folgefrage, ob er dann noch in seiner Funktion als Organ tätig wird oder ob er sich vielmehr außerhalb der Gesellschaft bewegt, mit der Folge, dass sein Handeln auch nicht der Gesellschaft zugerechnet werden kann.
Kann der Geschäftsführer Auftragsverarbeiter sein?
Weniger problematisch dürfte die Feststellung sein, ob der Geschäftsleiter als Auftragsverarbeiter für die Gesellschaft tätig geworden ist. Auftragsverarbeiter ist nach Art. 4 Nr. 8 DSGVO eine natürliche Person, Behörde, Einrichtung oder Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Allerdings ist Voraussetzung, dass die Person rechtlich außerhalb des Verantwortlichen steht (Arning/Rothkegel in Taeger/Gabel, DSGVO, BDSG, TTDSG, 4. Aufl. 2022, Art. 4, Rn. 246). Damit scheiden Organe einer Gesellschaft als Auftragsverarbeiter nach Art. 4 Nr. 8 DSGVO aus, sofern die Verarbeitung im Rahmen der Ausführung der Organfunktion erfolgt. Handelt der Geschäftsleiter also in seiner Funktion als Organ, ist er nicht Auftragsverarbeiter und seine Haftung nach Art. 82 DSGVO kommt erneut nur in Betracht, wenn er als Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO zu qualifizieren ist.
Wie sieht es aus mit der Einordnung als Verantwortlichen?
Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO ist jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Bei juristischen Personen wird diesen das Handeln der dort beschäftigten Personen zugerechnet, wenn und soweit das Handeln dieser Personen für die Zwecke der juristischen Person erfolgte und sich nicht als Exzess darstellt (Arning/Rothkegel in Taeger/Gabel, DSGVO, BDSG, TTDSG, 4. Aufl. 2022, Art. 4, Rn. 177). Auch das Handeln der Organe wird der juristischen Person als eigenes Handeln zugerechnet, mit der Folge, dass im Außenverhältnis die juristische Person für die Datenverarbeitung verantwortlich bleibt (Arning/Rothkegel in Taeger/Gabel, DSGVO, BDSG, TTDSG, 4. Aufl. 2022, Art. 4 Rn. 177; i.E. auch König AG 2017, 262 ff.). Nach der Organtheorie aus § 31 BGB folgt, dass ein Organwalter nicht für eigene Rechnung handelt, sondern vielmehr für bzw. als die hinter ihm stehende Körperschaft, solange er in Ausführung der ihm zustehenden Verrichtungen tätig wird (Reichert/Groh, NZG 2022, 307, 307). Hieraus folgt entsprechend, dass ausschließlich die Gesellschaft, für die der Organwalter bzw. Geschäftsleiters handelt, nach außen haftet. Für eine persönliche Außenhaftung des Geschäftsleiters neben der Gesellschaft muss sich dieser durch sein Verhalten besonders hervorgetan haben und etwa ein besonderes persönliches Vertrauen in Anspruch genommen haben oder eine unerlaubte Handlung vorgenommen haben (Reichert/Groh, NZG 2022, 307, 307). Die Außenhaftung des Geschäftsleiters stellt danach die Ausnahme dar.
Die einfache Vornahme datenverarbeitender Handlungen durch den Geschäftsleiter im Rahmen seiner Aufgabenerfüllung für die Gesellschaft machen diesen somit nicht automatisch zum Verantwortlichen im Sinne von Art. 4 Nr. 7 DSGVO. Die Stellung als Organ macht den Geschäftsleiter nicht zum Verantwortlichen (a.A. offensichtlich OLG Dresden, Urt. v. 30.11.2021 – 4 U 1158/21). Erst wenn dieser die personenbezogenen Daten für eigene (private) Zwecke verarbeitet, kann dieser selber als Verantwortlicher angesehen werden (Arning/Rothkegel in Taeger/Gabel, DSGVO, BDSG, TTDSG, 4. Aufl. 2022, Art. 4 Rn. 176). Im Grundsatz gilt allerdings, dass jegliche datenschutzrechtlich relevante Entscheidung und Handlung dem Gesamtgebilde, sprich dem Unternehmen zugerechnet werden (Ambrock, ZD 2020, 492, 493), sodass im Regelfall auch die Gesellschaft Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO ist.
Keine Haftung allein aufgrund der Organstellung
Ist der Geschäftsleiter allerdings allein wegen seiner Organstellung weder Verantwortlicher noch Auftragsverarbeiter, scheidet eine eigene Haftung auf Schadensersatz nach Art. 82 DSGVO bereits nach dem Wortlaut der Vorschrift aus (so auch Bergt in Kühling/Buchner, DSGVO, BDSG, 3. Aufl. 2020, Art. 82, Rn. 16; Boehm in Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 1. Aufl. 2019, Art. 82, Rn. 15; Paal MMR 2020, 14, 15; Gola/Piltz in Gola DSGVO, 2. Aufl. 2018, Art. 82, Rn. 3; König AG 2017, 262, 268f.). Eine eigene Haftung des Geschäftsleiters kommt dann entweder nur nach nationalem Datenschutz- oder deliktsrecht in Betracht oder, wenn der Geschäftsleiter im konkreten Fall nicht in Ausführung seiner Organstellung gehandelt hat und dadurch sich originär zum Verantwortlichen im Sinne von Art. 4 Nr. 7 DSGVO aufgeschwungen hat.
Das nationale Datenschutzrecht kennt in den §§ 42, 43 BDSG Straf- bzw. Bußgeldvorschriften, welche nur an den Handelnden anknüpfen und nicht ausdrücklich an den Verantwortlichen. Eine Haftung des Geschäftsleiters nach diesen Vorschriften ist somit möglich. Diese Vorschriften begründen allerdings keine zivilrechtliche Außenhaftung gegenüber dem Betroffenen. Als nationale deliktische Vorschrift käme § 823 Abs. 1 BGB in Verbindung mit der Verletzung des Rechtes auf informationelle Selbstbestimmung oder im Falle von Vorsatz § 826 BGB (vgl. Löschhorn/Fuhrmann, NZG 2019, 161, 169) in Betracht. Ein Anspruch auf Ersatz des immateriellen Schadens könnte allerdings wegen § 253 Abs. 2 BGB ausgeschlossen sein, da das Recht auf informelle Selbstbestimmung nicht in der Aufzählung der Rechtsgüter enthalten ist, bei deren Verletzung eine Geldentschädigung in Betracht kommt. In der nationalen Rechtsprechung hat sich allerdings etabliert, dass Verletzungen des allgemeinen Persönlichkeitsrechts trotz der Regelung in § 253 Abs. 2 BGB einen Anspruch auf Geldentschädigung rechtfertigt (BGH, Urt. v. 17.12.2013 – VI ZR 211/12). Begründet wird das damit, dass es sich bei der Entschädigung wegen einer Verletzung des allgemeinen Persönlichkeitsrechts nicht um ein Schmerzensgeld im Sinne von § 253 Abs. 2 BGB handelt. Wäre ein Anspruch auf Geldentschädigung wegen § 253 Abs. 2 BGB ausgeschlossen, blieben Verletzungen der Würde und Ehre häufig sanktionslos mit der Folge, dass der Rechtsschutz der Persönlichkeit verkümmert (BGH, Urt. v. 17.12.2013 – VI ZR 211/12, m.w.N.). Bei dem Recht auf informationelle Selbstbestimmung handelt es sich um eine besondere Ausprägung des allgemeinen Persönlichkeitsrechts. Auch hier blieben Verletzungen sanktionslos, wenn eine Durchsetzung wegen § 253 Abs. 2 BGB ausgeschlossen wären.
Haftung nur bei originärer Verantwortlichkeit oder im Exzess
Eine eigene Haftung des Geschäftsleiters unmittelbar aus Art. 82 DSGVO kommt nach dessen Wortlaut in der Regel nur dann in Frage, wenn der Geschäftsleiter für den Datenverarbeitungsvorgang allein oder neben der Gesellschaft verantwortlich ist. Eine eigene Verantwortlichkeit kann sich zum Beispiel daraus ergeben, dass der Geschäftsleiter im sog. Exzess gehandelt hat. Ein solcher Exzess liegt in jeder Handlung von Mitarbeitern, die bei verständiger Würdigung nicht dem Kreis der jeweiligen unternehmerischen Tätigkeit zugerechnet werden kann (Ambrock, ZD 2020, 492, 493). Maßgeblich ist eine objektive Betrachtungsweise, bei der es nicht darauf ankommt, dass der Mitarbeiter subjektiv eigene Zwecke verfolgt. Denn bei der subjektiven Verfolgung eigener Zwecke ist der Mitarbeiter bereits deswegen als Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO anzusehen (Ambrock, ZD 2020, 492, 493). Durch den Exzess wird der Beschäftigte jedoch auch zum Verantwortlichen im Sinne von Art. 4 Nr. 7 DSGVO und kann im Falle eines Datenschutzverstoßes dem Betroffenen zum Schadensersatz nach Art. 82 DSGVO verpflichtet sein (Ambrock, ZD, 492, 496).
| Im Blogbeitrag "Drohen neue DSGVO-Abmahnung wegen Klaviyo?" berichte ich über die neuen Abmahnung wegen des Einsatzes von Klaviyo. |
Innenhaftung des Geschäftsführers bleibt
Handelt der Geschäftsführer in Erfüllung seiner Aufgaben als Organ der Gesellschaft, ist eine datenschutzrechtliche Außenhaftung nach Art. 82 DSGVO ausgeschlossen. Als Organ ist der Geschäftsführer weder Verantwortlicher oder Auftragsverarbeiter. Eine Haftung nach Art. 82 DSGVO knüpft nach seinem Wortlaut allerdings an diese datenschutzrechtlichen Funktionen an. Nur wenn der Geschäftsführer nicht als solcher, also nicht als Organ der Gesellschaft für diese gehandelt hat, sondern aus einer rein privaten Motivation heraus, kann dieser im Einzelfall als Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO angesehen werden. Dann reden wir allerdings nicht von einer „Haftung des Geschäftsführers für Datenschutzverstöße“, denn in dieser Konstellation hat der Handelnde ja gerade nicht in seiner Funktion als Geschäftsführer gehandelt – auch wenn er dabei die Ressourcen genutzt hat, die ihm als Organ zur Verfügung gestellt wurden.
Hiervon unabhängig ist allerdings die Frage, ob der Geschäftsführer im Innenverhältnis gegenüber der Gesellschaft für einen Datenschutzverstoß haftet. Beruht der Datenschutzverstoß darauf, dass die Datenschutzorganisation im Unternehmen – trotz aller Hinweise von außen – mangelhaft ist, muss der Geschäftsführer dieses Versäumnis im Innenverhältnis gegenüber der Gesellschaft verantworten. So oder so ist der Geschäftsführer gut beraten, den Datenschutz im Unternehmen ernst zu nehmen und verlässliche Datenschutzkonzepte implementieren und regelmäßig deren Einhaltung zu überwachen.
Dieser Beitrag könnte Sie auch interessieren: Die Geheimhaltungsvereinbarung (NDA) als vertragliche Schutzmaßnahme
Rechtsberatung vom Anwalt für DatenschutzrechtUnsere Rechtsanwälte für Datenschutzrecht aus Düsseldorf unterstützen Unternehmen jeder Größenordnung in allen rechtlichen Fragen zum Datenschutzrecht. Wir beraten unsere Mandanten unter anderem bei der Durchsetzung von und der Verteidigung gegen datenschutzrechtliche Ansprüche. Unsere Leistungen im Überblick:
Sie möchten einen Beitrag im Internet löschen lassen? Ihr Unternehmen wurde auf Unterlassung und Löschung in Anspruch genommen? Gerne bringe ich Ihnen im Rahmen eines unverbindlichen Erstgesprächs die Rechtslage näher und unterstütze Sie dabei, Rechtsklarheit zu gewinnen. Kontaktieren Sie mich jederzeit für ein Kennenlerngespräch. |