Liebe Leser und Datenschutz-Interessierte,
die Anzahl der Urteile, die Betroffenen bei Datenschutzverstößen von Unternehmen Schadenersatz in teils beträchtlicher Höhe zugesprochen haben, sind extrem gestiegen. Aufgrund dessen möchten wir Sie heute über ein brisantes Urteil des Oberlandesgerichts Dresden v. 30.11.2021 (Az.: 4 U 1158/21) zur Haftung bei Datenschutzverstößen informieren.
I. Haftung bei Datenschutzverstößen – wer haftet eigentlich?
Der „Verantwortliche“, mithin das Unternehmen, ist Herr der Daten, entscheidet über Zwecke und Mittel der Datenverarbeitung und ist folglich auch der Adressat von etwaigen Bußgeldern der Aufsichtsbehörden (Art. 83 DSGVO) und Adressat von Schadensersatzansprüchen von Betroffenen (Art. 82 DSGVO). Dies führt zu der Frage, ob als Verantwortlicher „nur“ die Institution, z.B. die juristische Person, als solche oder auch die Geschäftsführung bzw. der Vorstand zu qualifizieren ist.
Das OLG Dresden urteilte, dass der Schadensersatz vom Verantwortlichen sowohl von der juristischen Person (GmbH) als auch von ihrem gesetzlicher Vertreter (Geschäftsführer) zu leisten ist; im Klartext:
- „Der Geschäftsführer ist neben der GmbH Verantwortlicher im Sinne von Art. 4 DSGVO und haftet als Gesamtschuldner mit der GmbH für Ansprüche aus Art. 82 DSGVO.“ Damit entfällt zwar in aller Regel die Verantwortlichkeit weisungsgebundener Angestellter oder sonstiger Beschäftigter, für den Geschäftsführer gilt dies allerdings nicht.“
Das bedeutet, dass auch Geschäftsführer hier eine direkte rechtliche Verantwortung bei datenschutzrechtlichen Verstößen tragen und neben der Institution in die Haftung gezogen werden können. Für weisungsgebundene Angestellte oder sonstige Beschäftigte gilt dies nach Ansicht des Gerichts nicht. Eine Haftung dieser Personen ist nur in Extremfällen denkbar (z.B. bei Exzess/Vorsatz).
II. Kann auch für sog. Bagatellverletzungen datenschutzrechtlicher Vorgaben ein Schadenersatzanspruch zugesprochen werden?
Das OLG Dresden äußerte sich auch zur viel diskutierten Frage nach einer möglichen Bagatellgrenze im Rahmen von Schadenersatzansprüchen wie folgt: „Wird ein Anspruch auf Schadensersatz nach Art. 82 DSGVO geltend gemacht, erfordert dies ein Überschreiten der erforderlichen Bagatellgrenze (OLG Dresden, Urt. v. 30.11.2021 – Az.: 4 U 1158/21).“ Das bedeutet, dass für sog. „Kleinstverstöße“ kein immaterieller Schadenersatzanspruch von Betroffenen geltend gemacht werden kann. Dies sehen einige Gerichte aber anders, sodass sich zu dieser Frage noch keine abschließende Rechtsauffassung manifestiert hat. Ab wann die Bagatellschwelle überschritten ist, muss stets im Einzelfall beurteilt werden. Ein Freibrief ist das Urteil daher keinesfalls.
Ein fachkundiger externer Datenschutzbeauftragter hilft hier bereits im Vorfeld die Risiken für das Unternehmen und den Geschäftsführer drastisch zu verringern.
Ihre externen Datenschutzbeauftragten von der GDPC GbR
Dr. Kevin Marschall und Stephan Blazy