Geschäftsführer haften persönlich für Datenschutzstöße

In einigen Situationen benötigen Unternehmen oder Vereine Informationen über potentielle Beschäftigte oder Mitglieder. In einigen Fällen werden Detekteien beauftragt, Informationen über Bewerber zu sammeln. Hierbei müssen Sie jedoch zwingend die Vorgaben der DSGVO beachten. Nach Auffassung des OLG Dresden gilt dies auch und insbesondere für Geschäftsführer.

Warum wurde eine Detektei beauftragt?

Die Beklagte ist ein Verein, der sich unter anderem auf die Organisation von Oldtimerausfahrten spezialisiert hat. Nach der Satzung der Beklagten werden ehemalige Straftäter oder nicht einwandfrei beleumundete Menschen in den Verein nicht aufgenommen. Der Kläger bewarb sich um eine Mitgliedschaft. Der Geschäftsführer der Beklagten beauftragte im Namen der Beklagten einen Privatdetektiv, um Informationen über strafrechtlich relevante Sachverhalte im Zusammenhang mit dem Kläger zu beschaffen. Der Detektiv ermittelte einen derartigen Sachverhalt und informierte die Beklagte. Diese nahm den Kläger daraufhin in den Verein nicht auf.

Der Kläger erstritt ein gesamtschuldnerisches Schmerzensgeld in Höhe von 5.000,00 € gegen die Beklagte und gegen deren Geschäftsführer.

Haftet ein Geschäftsführer persönlich für Datenschutzverstöße?

Das OLG Dresden verwies zur gesamtschuldnerischen Haftung auf die Regelung in Art. 4 Nr. 7 DSGVO. Danach ist eine natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten, verantwortlich im Sinne der DSGVO.

Nach Art. 4 Nr. 7 DSGVO entfiele zwar in aller Regel die Verantwortlichkeit weisungsgebundener Angestellter oder sonstiger Beschäftigter. Für den Geschäftsführer der Beklagte galt dies bei Beauftragung des Detektivs allerdings nicht.

Darf die Detektei Daten über eine Person erheben?

Die Antwort lautet knapp: Nein!

Der Kläger hatte in die Recherche über seine Person nicht eingewilligt. Auf ein berechtigtes Interesse nach Art. Abs. 1 lit. f) DSGVO konnte sich die Beklagte nicht berufen, weil die Beschaffung von personenbezogenen Daten über den Kläger durch eine Detektei nicht erforderlich war. Das Fernhalten von Menschen mit kriminellem Hintergrund ist zwar grundsätzlich ein berechtigtes Anliegen. Vorliegend hätte es jedoch ausgereicht, den Kläger zunächst zur ergänzenden Selbstauskunft, gegebenenfalls Vorlage eines polizeilichen Führungszeugnisses aufzufordern.

Im Übrigen verstießen die Ermittlungen der Detektei gegen Art. 10 DSGVO. Danach darf die Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten nur unter behördlicher Aufsicht vorgenommen werden. Dies war hier nicht der Fall.

Wie hoch ist das Schmerzensgeld bei einem Datenschutzverstoß?

Das OLG Dresden erkannte dem Kläger 5.000,00 € Schmerzensgeld zu. Ein weitergehendes Zahlungsbegehren wies das Gericht ab. Die Art, Schwere, Dauer des Verstoßes und der Grad des Verschuldens seien bei der Bemessung des Schmerzensgeldes zu berücksichtigen. Nach dem Effektivitätsprinzip (effet utile) ist das Schmerzensgeld auch als abschreckende Sanktion nicht ausgeschlossen. Dies führe aber nicht dazu, dass ein Schmerzensgeld einen „Strafcharakter“ bekäme.

Bei den hier erhobenen Daten mit Strafrechtsbezug handele es sich um besonders sensible Daten, so dass insofern der Verstoß schwer wiegt. Zu Gunsten der Beklagten wertete das Gericht den Umstand, dass es sich lediglich um einen einmaligen Verstoß handelte und, dass die über den Kläger erhobenen Daten nur an die Beklagte übermittelt wurde.

Geschäftsführer müssen vorsichtig sein

Das OLG Dresden hat klargemacht, dass sich Unternehmen oder Vereine im Rahmen ihrer Vertragsautonomie durchaus ein Bild von potentiellen Mitarbeitern oder Mitgliedern machen dürfen. Jedoch hat dieses Informationsbedürfnis Grenzen.

Prüfen Sie daher Möglichkeiten der Informationsgewinnung, die geringer in das informationelle Selbstbestimmungsrecht potentieller Mitarbeiter und/oder Mitglieder eingreift.

Die Entscheidung des OLG Dresden ist die erste, die auch eine klare Haftung des Geschäftsführers ausspricht. Ob diese Ansicht in einer möglichen Revision vor dem BGH oder von einem anderen Gericht geteilt wird, bleibt abzuwarten.

Wir halten eine ergänzende Selbstauskunft oder die Vorlage eines polizeilichen Führungszeugnisses für probate Mittel. Sollten Kandidatinnen oder Kandidaten eine Vorlage verweigern, ist dies bereits ein Indiz für fehlendes Vertrauen. Von einer Zusammenarbeit sollten Sie dann absehen.

Gerne helfen wir Ihnen bei Fallgestaltungen in diesem Zusammenhang. Wir beraten Sie, welche Mittel der Informationsgewinnung datenschutzrechtlich zulässig sind, und formulieren entsprechende Musterschreiben für Sie. Falls Betroffene Ansprüche gegen Ihr Unternehmen oder gegen Sie als Geschäftsführer geltend machen, helfen wir Ihnen, die Angelegenheit in Ihrem Sinne beizulegen.

Quellen:  OLG Dresden, Urteil vom 30.11.2021, Az. 3 O 17493/20

                   LG Dresden, Urteil vom 26.05.2021, Az. 8 O 1286/19

Wir freuen uns auf ein Gespräch mit Ihnen. Überdies stehen wir Ihnen im gesamten Bereich des IT-/IP- und Datenschutzrechts als Berater gerne zur Verfügung.

 

GoldbergUllrich Rechtsanwälte 2022

Julius Oberste-Dommes LL.M. (Informationsrecht)

Rechtsanwalt und

Fachanwalt für Informationstechnologierecht