Nach einem aktuellen Urteil des OLG Dresden haften Geschäftsführer auch persönlich bei einem DSGVO-Verstoß. Sie müssen sich darauf (zum Beispiel mit einer höheren Haftpflichtpolice) einstellen, weil die Schadenersatzforderungen bis 20 Millionen Euro bzw. 4 % des weltweiten Jahresumsatzes betragen können.
Inhaltsverzeichnis
DSGVO und die Haftung des Geschäftsführers
Im vorliegenden Fall hatte das beklagte Unternehmen die personenbezogenen Daten des Klägers zu Werbezwecken erhoben und verwendet, ohne eine schriftliche Einwilligung einzuholen. Der Kläger verlangte hierfür 21.000,- € Schadenersatz. Das Landgericht Dresden sprach ihm 5.000,- € zu.
Daraufhin zog der Kläger vor das OLG Dresden, welches das Urteil der Vorinstanz bestätigte (OLG Dresden, Urteil vom 30.11.2021, Az.: 4 U 1158/21). Entscheidend an dem Urteil ist die persönliche Verantwortung des Geschäftsführers des beklagten Unternehmens, die das OLG Dresden feststellte.
Dieser ist ein eigener datenschutzrechtlich Verantwortlicher i.S.d. DSGVO-Definitionen und haftet deshalb persönlich. Das OLG Dresden zitiert im Kontext ein früheres EuGH-Urteil, das die Verantwortlichkeiten von Geschäftsführern konkretisiert (EuGH, Urteil vom 10.7.2018, Az.: C-25/17).
Diese Kriterien bestehen für so eine Verantwortlichkeit und dementsprechend persönliche Haftung des Geschäftsführers:
- Er profitiert von den erhobenen Daten.
- Er hat die Datenverarbeitung veranlasst oder geduldet.
Es ist nicht nötig, dass der Geschäftsführer selbst Zugang zu den Daten hatte.
Das OLG Dresden widerspricht damit der Auffassung, dass die DSGVO eine persönliche Haftung ausschließt. Diese Auffassung war unter Fachleuten auch schon vor dem zitierten Urteil umstritten, denn Geschäftsführer haften auch in anderen Fällen persönlich, so etwa bei Pflichtverstößen, die wirtschaftlichen, technischen und/oder menschlichen Schaden verursachen (§ 43 GmbHG und § 93 Absatz 2 AktG). Warum sollten sie also nicht für DSGVO-Verstöße haften, wenn es zu ihren zentralen Aufgaben gehört, datenschutzrechtliche Vorschriften einzuhalten?
Wann haften Mitarbeiter für DSGVO-Verstöße?
Es sind Szenarien denkbar, in denen beauftragte Mitarbeiter für Datenschutzverstöße haften und den Geschäftsführer dadurch wenigstens teilweise von seiner Haftung entlasten, wenn dieser nachweislich die Verstöße nicht kennen konnte, obwohl er sich vollumfänglich an die Datenschutzvorgaben des Unternehmens gehalten hat.
Hierfür muss der betreffende Mitarbeiter einen DSGVO-Verstoß vorsätzlich begangen haben. Bei Fahrlässigkeit gelten diese Regeln:
- Bei grober Fahrlässigkeit haftet ein Mitarbeiter bis zu drei Monatsgehältern, wenn diese Haftung nicht seine wirtschaftliche Existenz bedroht.
- Bei mittelschwerer Fahrlässigkeit (oft aus Unkenntnis) teilt sich der Mitarbeiter die Strafe mit dem Arbeitgeber, die für ihn maximal eines Monatsgehalts erreichen darf.
- Bei leichter Fahrlässigkeit haftet der Arbeitnehmer gar nicht.
Nach dem Urteil des OLG Dresden kann der Geschäftsführer immer haften, wenn auch nicht immer vollständig. Dies wäre der Fall, wenn a) dem Mitarbeiter grobe Fahrlässigkeit nachzuweisen ist und b) der Geschäftsführer getäuscht wurde.
Fazit
Geschäftsführer müssen ein neues Bewusstsein für ihre Haftungsrisiken bei der Einhaltung der Vorgaben der DSGVO entwickeln, um DSGVO-Verstöße zu vermeiden. Dies gilt selbst dann, wenn die Geschäftsführer die DSGVO-Verstöße nicht persönlich zu verantworten haben. Das Dresdner Urteil intendiert genau dies.
