Urteil OLG Dresden „GmbH-Geschäftsführer haften für Datenschutzverstöße“

Mandanten-information

GDPC

vom 08.02.2021

Urteil OLG Dresden „GmbH-Geschäftsführer haften für Datenschutzverstöße“

Die Anzahl der Urteile, die Betroffenen bei Datenschutzverstößen von Unternehmen Schadenersatz in teils beträchtlicher Höhe zugesprochen haben, sind extrem gestiegen. Aufgrund dessen möchten wir Sie heute über ein brisantes Urteil des Oberlandesgerichts Dresden v. 30.11.2021 (Az.: 4 U 1158/21) zur Haftung bei Datenschutzverstößen informieren.

I. Haftung bei Datenschutzverstößen – wer haftet eigentlich?

Der „Verantwortliche“, mithin das Unternehmen, ist Herr der Daten, entscheidet über Zwecke und Mittel der Datenverarbeitung und ist folglich auch der Adressat von etwaigen Bußgeldern der Aufsichtsbehörden (Art. 83 DSGVO) und Adressat von Schadensersatzansprüchen von Betroffenen (Art. 82 DSGVO). Dies führt zu der Frage, ob als Verantwortlicher „nur“ die Institution, z.B. die juristische Person, als solche oder auch die Geschäftsführung bzw. der Vorstand zu qualifizieren ist. Das OLG Dresden urteilte, dass der Schadensersatz vom Verantwortlichen sowohl von der juristischen Person (GmbH) als auch von ihrem gesetzlicher Vertreter (Geschäftsführer) zu leisten ist; im Klartext: – „Der Geschäftsführer ist neben der GmbH Verantwortlicher im Sinne von Art. 4 DSGVO und haftet als Gesamtschuldner mit der GmbH für Ansprüche aus Art. 82 DSGVO.“ Damit entfällt zwar in aller Regel die Verantwortlichkeit weisungsgebundener Angestellter oder sonstiger Beschäftigter, für den Geschäftsführer gilt dies allerdings nicht.“ Das bedeutet, dass auch Geschäftsführer hier eine direkte rechtliche Verantwortung bei datenschutzrechtlichen Verstößen tragen und neben der Institution in die Haftung gezogen werden können. Für weisungsgebundene Angestellte oder sonstige Beschäftigte gilt dies nach Ansicht des Gerichts nicht. Eine Haftung dieser Personen ist nur in Extremfällen denkbar (z.B. bei Exzess/Vorsatz).

II. Kann auch für sog. Bagatellverletzungen datenschutzrechtlicher Vorgaben ein Schadenersatzanspruch zugesprochen werden?

Das OLG Dresden äußerte sich auch zur viel diskutierten Frage nach einer möglichen Bagatellgrenze im Rahmen von Schadenersatzansprüchen wie folgt: „Wird ein Anspruch auf Schadensersatz nach Art. 82 DSGVO geltend gemacht, erfordert dies ein Überschreiten der erforderlichen Bagatellgrenze (OLG Dresden, Urt. v. 30.11.2021 – Az.: 4 U 1158/21).“ Das bedeutet, dass für sog. „Kleinstverstöße“ kein immaterieller Schadenersatzanspruch von Betroffenen geltend gemacht werden kann. Dies sehen einige Gerichte aber anders, sodass sich zu dieser Frage noch keine abschließende Rechtsauffassung manifestiert hat. Ab wann die Bagatellschwelle überschritten ist, muss stets im Einzelfall beurteilt werden. Ein Freibrief ist das Urteil daher keinesfalls.

Ihre Datenschutzexperten der GDPC

Dr. Kevin Marschall und Stephan Blazy

Starten Sie heute

Unser Netzwerk wird Lösungen schaffen! Das garantieren wir. Wir freuen uns auf Ihre Anfrage.
Sprechen Sie mit unseren Experten und finden Sie Lösungen für Ihr Unternehmen, Ihre IT-Sicherheit und Ihre Haftungssituation.

Einwilligung zur Datenverarbeitung

14 + 8 =