Ein Autohändler, der spätere Kläger, stellte bei der später beklagten GmbH eine Mitgliederanfrage. Der Geschäftsführer der GmbH beauftragte daraufhin eine Detektei mit der Recherche nach möglichen Straftaten des Autohändlers. Dabei handelte der Geschäftsführer im Namen der beklagten Gesellschaft. Die Recherchen ergaben sodann, dass der Kläger in der Vergangenheit in strafbare Handlungen verwickelt gewesen ist. Die Gesellschafter der Beklagten erfuhren davon und lehnten daraufhin den Aufnahmeantrag des Klägers ab.
Bespitzelung durch Detektiv als DSGVO-Verstoß?
Der betroffene Händler nahm diesen Sachverhalt zum Anlass, vor Gericht Schadensersatz zu fordern. Die Grundlage für diesen Anspruch sollte die DSGVO sein. Das zuerst angerufene Gericht – das Landgericht Dresden – sprach dem Autohaus einen Schadensersatz in Höhe von 5.000 Euro zu. Der Autohändler ging daraufhin in Berufung vor dem Oberlandesgericht Dresden. Dieses schloss sich jedoch in seinem Urteil vom 30. November 2021 (Az.: 4 U 1158/21) der Auffassung des Landgerichts an.
Das Oberlandesgericht Dresden stellte zunächst fest, dass die Bespitzelung des Klägers durch den vom Geschäftsführer beauftragten Detektiv einen Datenschutzverstoß darstellte. Insbesondere liege ein Verstoß gegen Artikel 10 der DSGVO vor, wonach die Verarbeitung personenbezogener Daten über Verurteilungen oder Straftaten grundsätzlich nur unter behördlicher Aufsicht zulässig ist. Der Geschäftsführer hätte die Detektei also von vornherein nicht beauftragen dürfen.
Geschäftsführer haftet persönlich für DSGVO-Verstoß
Das Oberlandesgericht ging in seinem Urteil zudem davon aus, dass nicht nur die beklagte Gesellschaft, sondern auch ihr Geschäftsführer persönlich für den Datenschutzverstoß hafte. Denn der Geschäftsführer ist als datenschutzrechtlich Verantwortlicher einzustufen. Nach Art. 4 Nr. 7 DSGVO ist eine solche Eigenschaft zu bejahen, wenn eine Person allein oder gemeinsam mit anderen über die Zwecke und Mittel der Datenverarbeitung entscheiden kann oder tut, was auf den GmbH-Geschäftsführer zutrifft.
Das Gericht ging auch davon aus, dass die Bespitzelung des Klägers einen ersatzfähigen Schaden im Sinne der DSGVO darstellt. Denn der Geschäftsführer hatte sensible Informationen über das strafbare Verhalten des Klägers unbefugt an die Gesellschafter der GmbH weitergegeben. Der Kläger musste auch damit rechnen, dass seine Daten in einem weiteren Umfeld bekannt geworden waren. Zudem habe der Datenschutzverstoß dazu geführt, dass dem Kläger die Mitgliedschaft in der Gesellschaft verwehrt worden sei.
Folgen für Datenschutz-Praxis
Sollten sich andere Gerichte der hier vertretenen Auffassung anschließen, hätte dies weitreichende Folgen für die Datenschutz-Praxis. Geschäftsführer müssten dann damit rechnen, für Datenschutzverstöße persönlich haftbar gemacht zu werden – ein durchaus hohes Haftungsrisiko, dessen Umgehung gegebenenfalls umfangreiche Compliance-Maßnahmen erforderlich macht.
