Geschäftsführer einer GmbH ist „Verantwortlicher“ im Sinne der DSGVO

Das OLG Dresden hat entschieden, dass ein Geschäftsführer einer GmbH neben der Gesellschaft „Verantwortlicher“ im Sinne der DSGVO ist und persönlich für Datenschutzverstöße der GmbH haftet.

Der Kläger hatte bei der beklagten GmbH eine Mitgliedsanfrage gestellt. Der Geschäftsführer dieser GmbH beauftragte im Namen der beklagten Gesellschaft einen Detektiv mit der Durchführung einer Recherche zu möglichen strafrechtlich relevanten Handlungen des Klägers. Hierbei wurden u. a. Erkenntnisse über den Beklagten im Zusammenhang mit strafrechtlich relevanten Sachverhalten gewonnen. Die Gesellschafter der GmbH lehnten daraufhin den Mitgliedsantrag des Klägers ab.

Der Kläger verlangt daraufhin vor dem Landgericht Dresden gesamtschuldnerisch von den Beklagten (GmbH und deren Geschäftsführer) die Zahlung von Schadensersatz wegen Verletzung seiner Rechte aus der DSGVO. Das Landgericht hat mit Urteil vom 26.05.2021 – 8 O 1286/19 einen Schadensersatz in Höhe von 5.000,00 € wegen des Verstoßes gegen die DSGVO durch die Beklagten für angemessen erachtet. Während der Kläger mit seiner Berufung weiterhin die Zahlung des ursprünglich verlangten Schmerzensgeldes in Höhe von insgesamt 21.000,00 € weiterverfolgte, hatten die Beklagten Berufungen mit dem Ziel der Klageabweisung eingelegt.

Nach Hinweisen des zuständigen Senats des OLG Dresden in der mündlichen Verhandlung haben allerdings die Beklagten ihre Berufungen zurückgenommen, der Kläger jedoch nicht. Die Berufung des Klägers gegen das Urteil des Landgerichts Dresden wurde jedoch vom OLG Dresden zurückgewiesen.

Aus der Urteilsbegründung

Nach Rücknahme der Berufungen durch die Beklagten steht für das OLG ein jeweils selbstständiger Verstoß gegen die Vorschriften der DSGVO durch die Beklagten rechtskräftig fest. Sowohl die GmbH als auch deren Geschäftsführer sind verantwortlich im Sinne von Art. 4 Nr. 7 DSGVO, denn Anknüpfungspunkt für einen Anspruch aus Art. 82 Abs. 1 DSGVO ist zunächst die „Verantwortlichkeit“, die immer dann zu bejahen ist, wenn eine natürliche oder juristische Person alleine oder gemeinsam mit anderen über die Zwecke und die Mittel der Verarbeitung von personenbezogenen Daten entscheiden kann und entscheidet. Damit entfällt zwar in aller Regel die Verantwortlichkeit weisungsgebundener Angestellter oder sonstiger Beschäftigter, für den Geschäftsführer, wie es der Beklagte zum Zeitpunkt der Beauftragung des Streithelfers war, gilt dies allerdings nicht.

Die Beklagten haben personenbezogene Daten im Sinne des Art. 4 Ziff. 1 DSGVO verarbeitet. Denn nach Art. 4 Ziff. 2 DSGVO fällt hierunter das Erheben und Erfassen von Daten ebenso wie die Offenlegung durch Übermittlung oder das Abfragen sowie die Verbreitung oder eine andere Form der Bereitstellung.

Die in dieser Weise durch die Beklagten als Verantwortliche durchgeführte Datenverarbeitung war unrechtmäßig. Dabei ist unerheblich, dass der Kläger seine Einwilligung nur im Hinblick auf die Weitergabe seiner Daten zu werblichen Zwecken ausdrücklich untersagt hat. Nach der Regelungsstruktur der DSGVO ist jede Verarbeitung personenbezogener Daten ohne aktiv erteilte Einwilligung rechtswidrig, es sei denn, es greift einer der in Art. 6 DSGVO genannten Rechtfertigungsgründe. Allerdings ist auch dies vorliegend nicht der Fall, wie das Landgericht zutreffend erkannt hat. Eine Rechtfertigung nach Art. 6 Abs. 1 f DSGVO kommt vorliegend nicht in Betracht. Dabei bedarf es noch nicht einmal der bei Vorliegen der Tatbestandsvoraussetzungen nach Art. 6 Abs. 1 f DSGVO erforderlichen Interessenabwägung, denn die im Ausspähen des Klägers liegende und dem Beklagten zuzurechnende Datenverarbeitung war bereits nicht erforderlich. Der Erforderlichkeitsgrundsatz ist ein Ausfluss des Zweckbindungsgrundsatzes im Sinne von Art. 5 Abs. 1 b DSGVO, der der Ausfüllung und Konkretisierung im Einzelfall bedarf. Er darf zwar nicht im Sinne einer zwingenden Notwendigkeit überinterpretiert werden, verlangt werden muss indessen, dass die Datenverarbeitung zur Erreichung des Zweckes nicht nur objektiv tauglich ist, sondern dass eine für die betroffene Person weniger invasive Alternative entweder nicht vorliegt oder für den Verantwortlichen nicht zumutbar ist. Dies war hier nicht der Fall. Dabei kann offenbleiben, ob nach § 2 Abs. 2 der Satzung der GmbH grundsätzlich nicht auch ehemaligen Straftätern oder nicht einwandfrei beleumundeten Personen die Möglichkeit einer Vereinsmitgliedschaft – in Abhängigkeit von der Art der zuvor begangenen Verfehlungen – zu gewähren wäre. Auch wenn es danach gerechtfertigt wäre, extremistische politische Gesinnungen aus dem Verein fernzuhalten oder Personen allein wegen eines gegen diese geführten Ermittlungsverfahrens von vornherein auszuschließen, so hätte es vorliegend genügt, den Kläger zunächst zur ergänzenden Selbstauskunft, gegebenenfalls Vorlage eines polizeilichen Führungszeugnisses aufzufordern. Die durch den beauftragten Detektiv abzuklärenden etwaigen Vorstrafen des Klägers verstoßen darüber hinaus auch gegen Art. 10 DSGVO, der die Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln grundsätzlich nur unter behördlicher Aufsicht gestattet.

Die unzulässige Datenverarbeitung durch die Beklagten rechtfertigt einen immateriellen Schadensersatz nach Art. 82 DSVGO allerdings lediglich in der vom Landgericht ausgeurteilten Höhe.

Fundstelle: Urteil des OLG Dresden vom 30.11.2021 – 4 U 1158/21 – abrufbar im Internet u.a. unter https://openjur.de/u/2381765.html (https://oj.is/2381765)