Urteil zur persönlichen Haftung von GmbH-Geschäftsführern bei Datenschutz-Verstößen

von Redaktion
Allgemein, Nachrichten Datenschutz und Datensicherheit
HUBIT Datenschutz

Das Oberlandesgericht Dresden hat in seinem Urteil 4 U 1158/21 vom 30.11.2021 erstmalig auf der Ebene der oberen Landesgerichte in zweiter Instanz den Geschäftsführer eines Unternehmens als eigenen datenschutzrechtlichen Verantwortlichen eingestuft und damit seine persönliche Haftung für einen Datenschutzverstoß begründet. Das Gericht bezog sich dabei auf Art. 4 Nr. 7 DSGVO. Eine Gleichstellung von Geschäftsführern mit weisungsgebundenen Angestellten wurde hier ausgeschlossen. Das OLG Dresden verurteilte deshalb die Gesellschaft und ihren Geschäftsführer als Gesamtschuldner zu einer Zahlung in Höhe von 5.000 Euro immateriellen DSGVO-Schadenersatz (Schmerzensgeld).

Ein neues Risiko für Geschäftsführer
Bisher war es herrschende Meinung, dass Verantwortlicher im Sinne der DSGVO nur das Unternehmen selbst ist. Mit diesem Urteil wird der Begriff „Verantwortlicher“ anders interpretiert und um die Geschäftsführung erweitert. Voraussetzung dafür ist, dass der Geschäftsführer oder die Geschäftsführerin, die Datenverarbeitung, die ausschlaggebend für einen Datenschutzverstoß war, selbst veranlasst oder zumindest daran mitgewirkt hat. Es haften also beide Beteiligte: das Unternehmen und die Geschäftsführung als handelndes Organ.

Ein Urteil, das Signalwirkung haben könnte
Auch wenn dieses Urteil aus mehreren Gründen rechtlich angreifbar erscheint, ist es dennoch möglich, dass andere Gerichte zukünftig eine ähnliche Auffassung vertreten. Deshalb ist es für Geschäftsführer und Geschäftsführerinnen in jedem Fall ratsam, ihre Anweisungen und Handlungen, die den Datenschutz betreffen, sorgfältig auf eventuelle Verstöße zu überprüfen. Außerdem sollten sie dem Bereich Datenschutz in ihrem Unternehmen die erforderliche Aufmerksamkeit schenken und notwendige Maßnahmen vorantreiben. Denn wenn ein Unternehmen datenschutzkonform arbeitet, haben weder die Gesellschaft noch deren Geschäftsführer derartige Konsequenzen zu befürchten. Dieses Urteil sollte also als Weckruf verstanden werden, um das Engagement im Bereich Datenschutz zu überprüfen und ggf. zu verstärken.