Aktuell in der GmbHR

Geschäftsleitungsmitglieder von GmbH und AG als datenschutzrechtlich Verantwortliche gem. Art. 4 Nr. 7 DSGVO? (Kort, GmbHR 2022, 557)

Am 30.11.2021 hat das OLG Dresden in einer lediglich auf den ersten Blick bloß datenschutzrechtlichen Entscheidung angenommen, dass der Geschäftsführer einer GmbH neben der GmbH „Verantwortlicher“ gem. Art. 4 Nr. 7 DSGVO ist. Das Urteil des OLG Dresden hat jedoch nicht nur datenschutzrechtliche Bedeutung, sondern auch zivil- und gesellschaftsrechtliche Auswirkungen. Folgte man der Auffassung des OLG Dresden, käme man zu einer erheblichen Ausweitung der Außenhaftung von Geschäftsleitungsmitgliedern von GmbH und AG bei Datenschutzverstößen. Die Entscheidung verkennt jedoch nicht bloß den Begriff des datenschutzrechtlich „Verantwortlichen“, sondern steht auch in Widerspruch zur gesellschafts- und haftungsrechtlichen Bedeutung des Handelns von Organen und deren Mitgliedern für die juristische Person und ist daher im Ergebnis abzulehnen.

I. Einleitung
II. Einordnung der „Verantwortlichkeit“ von Geschäftsleitern für Datenschutzverstöße in den datenschutzrechtlichen und in den gesellschaftsrechtlichen Kontext
III. Datenschutzrechtliche Überlegungen

1. Funktionaler Begriff des „Verantwortlichen“ i.S.v. Art. 4 Nr. 7 DSGVO
2. „Gemeinsame Verantwortung“ von Geschäftsleiter und juristischer Person?
3. Zwei separate „(Allein-)Entscheidungen“ von Geschäftsleiter und juristischer Person?
4. Grundsatz „ein Unternehmen – ein datenschutzrechtlich Verantwortlicher“ in der Rechtsprechung, Gesetzgebung und Lehre
a) Arbeitnehmer
b) Weitere Akteure im Unternehmen
aa) Betriebsrat
bb) Datenschutzbeauftragter
5. Rechtsfolgen der Stellung als Verantwortlicher gem. Art. 4 Nr. 7 DSGVO
IV. Gesellschafts- und zivilrechtliche Überlegungen zur Verantwortlichkeit von Geschäftsleitern bei der Datenverarbeitung
1. Datenschutz als Leitungs- bzw. Geschäftsführungsaufgabe
2. Delegationsmöglichkeiten
3. Pflicht zum Aufbau eines Datenschutz-Compliance-Management-Systems?
4. Allgemeiner Grundsatz der bloßen Innenhaftung von Geschäftsleitungsmitgliedern
5. Zivilrechtliche (deliktsrechtliche) Haftung von Geschäftsleitern juristischer Personen bei Datenschutzverstößen?
6. „Umschlagen“ der Innenhaftung in eine (zusätzliche) Außenhaftung bei der Verletzung von Organisationspflichten?
V. Fazit


I. Einleitung
1
In der datenschutzrechtlichen und in der gesellschaftsrechtlichen Literatur finden sich – bis auf wenige Stimmen – kaum klare Aussagen zu der Frage, ob und inwiefern Geschäftsleitungsmitglieder einer AG oder einer GmbH als datenschutzrechtlich Verantwortliche gem. Art. 4 Nr. 7 DSGVO in Betracht kommen können. Umso bemerkenswerter ist eine rechtskräftige Entscheidung des OLG Dresden vom 30.11.2021, die sich zu dieser Frage eindeutig positioniert. So heißt es im ersten Leitsatz dieses Urteils, der Geschäftsführer einer GmbH sei neben der Gesellschaft „verantwortlich“ i.S.d. DSGVO. In dem der Entscheidung zugrunde liegenden Fall ging es um einen Schadensersatz i.H.v. 5.000 € wegen eines Verstoßes gegen datenschutzrechtliche Bestimmungen der DSGVO.

2
Schadensersatzpflichtig waren nach Auffassung des OLG Dresden in gesamtschuldnerischer Weise sowohl die beklagte GmbH als auch deren Geschäftsführer. Der Schadensersatz wurde auf Art. 82 Abs. 1 DSGVO gestützt. Nach dieser – als Bestandteil der DSGVO – direkt anwendbaren Norm kommt ein Schadensersatzanspruch „gegen den Verantwortlichen“ in Betracht. Das OLG Dresden betrachtete sowohl die GmbH als auch deren Geschäftsführer als „Verantwortliche“ gem. Art. 4 Nr. 7 DSGVO. In der in dieser Hinsicht sehr knapp begründeten Entscheidung heißt es lapidar unter bloßer Wiedergabe des Norm-Wortlauts von Art. 4 Nr. 7 DSGVO, sowohl die GmbH als auch deren Geschäftsführer seien verantwortlich i.S.v. Art. 4 Nr. 7 DSGVO, denn Anknüpfungspunkt für einen Anspruch aus Art. 82 Abs. 1 DSGVO sei zunächst die „Verantwortlichkeit“, die immer dann zu bejahen sei, wenn eine natürliche oder juristische Person alleine oder gemeinsam mit anderen über die Zwecke und die Mittel der Verarbeitung von personenbezogenen Daten entscheiden könne und entscheide. Damit, so das OLG Dresden, entfalle zwar „in aller Regel“ die Verantwortlichkeit weisungsgebundener Angestellter oder sonstiger Beschäftigter, für einen Geschäftsführer gelte dies allerdings nicht.

3
Folgte man dieser knapp begründeten Auffassung, würden sich daraus erhebliche Konsequenzen ergeben: Da der Bereich des Datenschutzrechts im GmbH-Recht wie im Aktienrecht zu den Leitungs- und Geschäftsführungsaufgaben von Geschäftsleitern zählt (dazu näher unten IV., Rz. 36 ff.), würden bei einem solchen weiten Verständnis des Begriffs des datenschutzrechtlich Verantwortlichen, wie ihn das OLG Dresden vertritt, praktisch durchgängig Schadensersatzansprüche des von einer Datenschutzrechtsverletzung Betroffenen nicht nur gegenüber der AG oder der GmbH als juristischer Person, sondern zusätzlich gegenüber deren Vorstandsmitgliedern bzw. GmbH-Geschäftsführern bestehen. Es lässt sich leicht vorstellen, welche „Haftungswelle“ auf Geschäftsleitungsmitglieder von AG und GmbH bei Datenschutzverstößen zurollen könnte.

4
Der Auffassung des OLG Dresden, dass Geschäftsleitungsmitglieder datenschutzrechtlich Verantwortliche i.S.v. Art. 4 Nr. 7 DSGVO sind, ist jedoch sowohl aus datenschutzrechtlichen als auch aus gesellschaftsrechtlichen Gründen entgegenzutreten.

II. Einordnung der „Verantwortlichkeit“ von Geschäftsleitern für Datenschutzverstöße in den datenschutzrechtlichen und in den gesellschaftsrechtlichen Kontext
5
Datenschutzrechtlich folgt aus der Eigenschaft als „Verantwortlicher“ gem. Art. 4 Nr. 7 DSGVO ein bunter Strauß an datenschutzrechtlichen Pflichten und – bei deren Verletzung – Haftungsmöglichkeiten. Diese Pflichten beziehen sich – neben der Hauptpflicht zur rechtmäßigen Datenverarbeitung als solcher – u.a. auf die Rechenschaftspflicht für die Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten gem. Art. 5 DSGVO sowie auf Pflichten in Zusammenhang mit den Betroffenenrechten gem. Art. 12 ff. DSGVO, u.a. auf Informations- und Auskunftspflichten, Berichtigungspflichten, Löschungspflichten und weitere Pflichten in Zusammenhang mit den Betroffenenrechten. Ferner sind die Pflicht zur Erstellung eines...
 



Verlag Dr. Otto Schmidt vom 24.05.2022 15:57
Quelle: Verlag Dr. Otto Schmidt

zurück zur vorherigen Seite