GmbH-Geschäftsführer: Verantwortlicher nach der DSGVO?

Beauftragung eines Detektivbüros: möglicher Verstoß gegen Datenschutzvorschriften

Der Kläger, ein Autohändler, stellte bei der beklagten GmbH eine „Mitgliedsanfrage“. Der Geschäftsführer der GmbH beauftragte daraufhin im Namen der GmbH einen Detektiv mit der Durchführung von Recherchen zu möglichen strafrechtlich relevanten Handlungen des Klägers. Als die Recherche ergab, dass der Kläger in der Vergangenheit an Straftaten beteiligt gewesen war und die Gesellschafter der GmbH hiervon Kenntnis erlangten, lehnten sie den „Mitgliedsantrag“ des Klägers ab. Dieser verklagte daraufhin sowohl die GmbH als auch den Geschäftsführer persönlich auf immateriellen Schadensersatz wegen Datenschutzverstößen und bekam im Ergebnis Recht.

GmbH und Geschäftsführer gleichermaßen verantwortlich

Das Dresdner Oberlandesgericht urteilte, dass jeweils selbstständige Verstöße gegen die Vorschriften der Datenschutz-Grundverordnung (DSGVO) durch die GmbH und den Geschäftsführer rechtskräftig feststünden, weil die anlässlich der Beobachtung des Klägers durch den Detektiv vorgenommene Datenverarbeitung mangels Einwilligung rechtswidrig gewesen sei. Der Verstoß könne auch nicht durch die weiteren Vorschriften der DSGVO gerechtfertigt werden und es handele sich ferner nicht um Bagatellverstöße. Zudem seien sowohl die GmbH als auch deren Geschäftsführer für die Verstöße verantwortlich; eine datenschutzrechtliche Verantwortlichkeit ist dann gegeben, wenn eine natürliche oder juristische Person alleine oder gemeinsam mit anderen über die Zwecke und die Mittel der Verarbeitung von personenbezogenen Daten entscheiden kann und entscheidet. Vor diesem Hintergrund entfalle zwar in der Regel die Verantwortlichkeit weisungsgebundener Angestellter oder sonstiger Beschäftigter, so die Richter:innen, nicht aber die eines GmbH-Geschäftsführers.

Vorsicht bei Veranlassung von Datenverarbeitung

Es ist nicht auszuschließen, dass weitere Gerichte der Auffassung des Oberlandesgerichts Dresden folgen, auch wenn das Urteil durchaus angreifbar ist. Die Richter:innen setzen sich nämlich nicht mit der Frage auseinander, unter welchen Voraussetzungen Geschäftsführer:innen tatsächlich eigenständig über die Zwecke und Mittel von Datenverarbeitungen entscheiden. Mit Blick auf die generelle Weisungsgebundenheit von Geschäftsführer:innen gegenüber der Gesellschafterversammlung hätte es daher nahegelegen, Geschäftsführer:innen nur dann eine eigene datenschutzrechtliche Verantwortlichkeit zuzusprechen, wenn und soweit sie sich im Einzelfall darüber hinwegsetzen. Nichtsdestotrotz müssen Geschäftsführer:innen zukünftig insbesondere dann damit rechnen, wegen Datenschutzverstößen persönlich in Anspruch genommen zu werden, wenn sie die dem Datenschutzverstoß zugrunde liegende Datenverarbeitung selbst veranlasst oder an entsprechenden Entscheidungen oder Beauftragungen mitgewirkt haben.