Der Geschäftsführer einer GmbH ist neben der Gesellschaft Verantwortlicher im Sinne der Datenschutz-Grundverordnung und haftet als Gesamtschuldner. Das hat das Oberlandesgericht Dresden entschieden (OLG Dresden, Urteil v. 30.11.2021, Az. 4 U 1158/21).
In dem ausgeurteilten Fall verlangte der Kläger von einer GmbH und deren Geschäftsführer gesamtschuldnerisch Schadenersatz wegen einer Verletzung seiner Rechte aus der Datenschutz-Grundverordnung (DS-GVO). Im Auftrag eines GmbH-Geschäftsführers hatte ein Streithelfer eine Recherche durchgeführt, die Erkenntnisse über den Beklagten im Zusammenhang mit strafrechtlich relevanten Sachverhalten erbrachte. Nachdem die Mitglieder des GmbH-Vorstands über das Ergebnis der Recherche unterrichtet wurden, weigerte diese sich, den Kläger als Mitglied aufzunehmen.
Schadenersatz wegen Verstoß gegen DS-GVO
Das Landgericht sah einen Verstoß gegen die DS-GVO und sprach dem Kläger Schadenersatz in Höhe von 5.000 Euro zu. Der Kläger verlangte ursprünglich Schmerzensgeld in Höhe von 21.000 Euro und ging in Berufung. Die Beklagte sah keinen Grund für eine Haftung und ging ebenfalls mit dem Ziel einer Klageabweisung in Berufung.
Verantwortlichkeit wegen gemeinsamer Entscheidung über Datenverarbeitung
Das OLG Dresden entschied: Sowohl die GmbH als auch ihr Geschäftsführer selbst seien verantwortlich im Sinne von Art. 4 Nr. 7 DS-GVO („Verantwortlicher“). Anknüpfungspunkt für Schadenersatzansprüche aus Art. 82 Abs. 1 DS-GVO sei die dort im Wortlaut genannte „Verantwortlichkeit“. Diese sei immer dann zu bejahen, wenn eine natürliche oder juristische Person alleine oder gemeinsam mit anderen über die Zwecke und die Mittel der Verarbeitung von personenbezogenen Daten entscheiden kann und dies auch tut.
Weisungsgebundene Angestellte nicht nach DS-GVO verantwortlich
Damit entfalle zwar in aller Regel eine DS-GVO-Verantwortlichkeit weisungsgebundener Angestellter oder sonstiger Beschäftigter. Für einen Geschäftsführer gelte dies jedoch nicht.
Rechtswidrige Datenverarbeitung ohne Einwilligung
Im konkreten Fall habe die GmbH auch personenbezogene Daten im Sinne von Art. 4 Nr. 1 DS-GVO verarbeitet. Nach Art. 4 Nr. 2 DS-GVO fällt hierunter sowohl die Erhebung und Erfassung von Daten als auch deren Offenlegung durch Übermittlung oder Abfragen, aber auch die Verarbeitung sowie andere Formen der Bereitstellung von Daten. Die Datenverarbeitung durch die GmbH sei auch unrechtmäßig gewesen, so das Gericht. Denn diese sei ohne aktiv erteilte Einwilligung des Betroffenen erfolgt. Die Datenverarbeitung ohne Einwilligung sei auch nicht nach Art. 6 Abs. 1 lit. f DS-GVO gerechtfertigt.
Die „im Ausspähen des Klägers liegende und dem Beklagten zuzurechnende Datenverarbeitung“ sei nämlich bereits nicht erforderlich gewesen. Wegen des Erforderlichkeitsgrundsatzes müsse eine Datenverarbeitung nicht nur zur Erreichung eines Zwecks objektiv tauglich sein. Vielmehr verlange der Grundsatz, dass eine für die betroffene Person weniger mit Eingriffen verbundene Alternative entweder nicht vorliegt oder für den Verantwortlichen unzumutbar ist. Beides sei nicht der Fall gewesen.
Verarbeitung von Daten zu Straftaten nur unter behördlicher Aufsicht
Zwar könne die Beklagte nach ihrer Satzung auch ehemaligen Straftätern oder nicht einwandfrei beleumundete Personen eine Vereinsmitgliedschaft verwehren. Ebenso können sie extremistische politische Gesinnungen aus dem Verein fernhalten oder Personen wegen eines gegen sie geführten Ermittlungsverfahrens von vornherein ausschließen. Doch hätte es vorliegend genügt, den Kläger zunächst zu einer ergänzenden Selbstauskunft, gegebenenfalls zur Vorlage eines polizeilichen Führungszeugnisses aufzufordern. Die Abklärung der Vorstrafen verstoße gegen Art. 10 DS-GVO, der die Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten grundsätzlich nur unter behördlicher Aufsicht gestatte.
Keine völlig unerhebliche Beeinträchtigung
Die Ausspähung des Klägers habe auch die Bagatellschwelle überschritten und gehe über die reine Privatsphäre hinaus. Die Versagung der Vereinsmitgliedschaft habe außerdem das Interesse des Klägers beeinträchtigt, als Autohändler auch durch die Mitorganisation von Oldtimer-Ausfahrten auf sich aufmerksam zu machen. Zudem müsse der Kläger befürchten, dass die an den Vorstand weitergereichten Informationen einem größeren Umfeld bekannt geworden sind.
Schadensberechnung muss Zielen der DS-GVO entsprechen
Was die Schadensberechnung betrifft, sei nach Erwägungsgrund Nr. 146 der DS-GVO der Begriff des Schadens im Lichte der EuGH-Rechtsprechung weit auszulegen und auf eine Weise, „die den Zielen der DS-GVO in vollem Umfang entspricht“. Die Höhe der Geldentschädigung müsse zwar nicht zwingend „Strafcharakter“ haben, jedoch auf der Basis des Effektivitätsprinzips zumindest eine abschreckende Wirkung haben. Es sei zu berücksichtigen, dass es sich im konkreten Fall um einen einmaligen Verstoß handle. Außerdem habe die Beklagte insoweit Konsequenzen gezogen, als sie den Geschäftsführer wegen des streitgegenständlichen Vorfalls von sämtlichen leitenden Funktionen ausgeschlossen habe. Zu Lasten der Beklagten sei zu berücksichtigen, dass es sich bei den erhobenen Daten mit Strafrechtsbezug um besonders sensible Daten handle, so dass der Verstoß schwer wiege. Das OLG bestätigte deshalb die vom Landgericht festgestellte Höhe des Schadenersatzes in Höhe von 5.000 Euro.
Ein Fall wie dieser kommt sicherlich nicht alle Tage vor Gericht. Die Ausführungen des Gerichts zur Schadensbemessung sind hilfreich für andere Fälle, in denen es zu Verstößen gegen die noch junge Datenschutz-Grundverordnung kommt.