Der Geschäftsführer einer GmbH ist neben der Gesellschaft Verantwortlicher im Sinne der Datenschutzgrundverordnung (DSGVO) und haftet als Gesamtschuldner.
Das Oberlandesgericht (OLG) Dresden hat entschieden (OLG Dresden, Urteil v. 30.11.2021, Az. 4 U 1158/21), dass bei der Datenverarbeitung durch eine GmbH nicht nur die Gesellschaft als Verantwortlicher im Sinne von § 4 Nr. 7 DSGVO gilt, sondern daneben auch der Geschäftsführer. Somit haftet der Geschäftsführer und die Gesellschaft als Gesamtschuldner für Verstöße gegen die DSGVO.
Gegenstand der Klage war folgender Sachverhalt:
Im Zuge eines Antrags auf Mitgliedschaft in einem renommierten Verein beauftragte der Geschäftsführer eine Detektei, um vermeintlich strafrechtlich relevante Informationen über den Antragsteller einzuholen. Die Ausführung des Auftrags durch die Detektei brachte tatsächlich strafrechtlich relevante Daten über den Autohändler zum Vorschein. Letztlich klärte der Geschäftsführer den Vorstand über diesen Sachverhalt auf, der daraufhin dem Autohändler die Mitgliedschaft verwehrte.
Entscheidende Fragen des Gerichts:
Bei seiner Entscheidung hatte das OLG Dresden mehrere datenschutzrechtlichen Fragen zu klären. Zwei entscheidende Fragen waren:
- Ist der Geschäftsführer, der die Detektei beauftragte und die Ergebnisse an den Vorstand weiterleitete neben der Gesellschaft persönlich haftend bzw. ist er als Verantwortlicher im Sinne der DSGVO zu sehen?
- Ist die Beauftragung der Detektei zur Erlangung strafrechtlich relevanter Daten über den Autohändler als unrechtmäßige Datenverarbeitung zu sehen?
Feststellung des Gerichts:
Das Gericht stellte fest, dass eine Verantwortlichkeit im Sinne der DSGVO immer dann zu bejahen sei, wenn eine natürliche oder juristische Person allein oder gemeinsam mit anderen die Entscheidung über Zweck und Mittel der Verarbeitung personenbezogener Daten trifft oder treffen kann.
Durch die Beauftragung einer Privatdetektives zum Ausspähen des Klägers und der anschließenden Weitergabe der erlangten Daten an den Vorstand liegt auch eine Verarbeitung im Sinne des Art. 4 Nr. 2 DSGVO vor. Die Verarbeitung der Daten des Antragstellers sei nicht nach Art. 6 DSGVO, insbesondere nicht durch eine Einwilligung oder ein berechtigtes Interesse des beklagten Vereins und des Geschäftsführers zu rechtfertigen. Das OLG Dresden ist der Ansicht, die Beklagten hätten den Autohändler als milderes Mittel vor dem Einschalten einer Detektei zunächst zur Selbstauskunft auffordern müssen.
Darüber hinaus handelt es sich bei den recherchierten Daten um personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln, die nach Art. 10 DSGVO nur unter behördlicher Aufsicht verarbeitet werden dürfen.
Schadensersatz nach Art. 82 DSGVO:
Das Gericht stellt fest, dass das Ausspähen der Daten im vorliegenden Fall die Bagatellschwelle überschreitet. Die ausgespähten Daten wurden zudem einem größeren Personenkreis bekannt, was die Interessen des Klägers in hohem Maße verletzt.
Vor diesem Hintergrund hat das OLG Dresden den Geschäftsführer und die Gesellschaft gesamtschuldnerisch zur Zahlung eines Schmerzensgeldes wegen unrechtmäßiger Datenverarbeitung in Höhe von EUR 5.000,00 verurteilt.