Der Geschäftsführer einer GmbH kann neben der Gesellschaft “Verantwortlicher” im Sinne der DSGVO sein. Dies hat das OLG Dresden mit Urteil vom 30.11.2021, Az.: 4 U 1158/21, entschieden.
Sollte sich diese Rechtsauffassung durchsetzen, dann müssen Geschäftsführer künftig damit rechnen, bei Datenschutzverstößen in Anspruch genommen zu werden. Geschäftsführer haften dann persönlich.
Als „Verantwortlicher“ wird grundsätzlich die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle verstanden, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Die Frage ist also, ob man für die Verarbeitung zuständig ist. Diese Entscheidungszuständigkeit kann sich ergeben durch:
- eine ausdrücklich gesetzlich zugewiesene Zuständigkeit (z.B. Verpflichtung, bestimmte Daten vorzuhalten oder bereitzustellen).
- eine implizierte Zuständigkeit, abgeleitet aus traditionell bestehenden Rollen oder aus der Rechtspraxis (z.B. Arbeitgeber in Bezug auf Daten seiner Mitarbeiter).
- den tatsächlichen Einfluss
In der Vergangenheit wurden Abgrenzungsfragen vor allem in Hinblick auf die Gemeinsame Verantwortlichkeit gestellt. In diesem Zusammenhang hatte der EuGH bereits eine Verantwortlichkeit angenommen, selbst wenn ein Akteur gar keinen Zugang zu den betreffenden Daten hatte (Urteil des EuGH vom 10.07.2018, Az: C-25/17).
Nach dem Urteil des OLG Dresden bleibt leider offen, welcher konkrete Tatbeitrag eines Geschäftsführers für eine persönliche Haftung erforderlich ist. Im Fall hatte der Geschäftsführer einen Datenschutzverstoß selbst veranlasst. Demgegenüber grenzt das Gericht die Verantwortlichkeit weisungsgebundener Angestellter oder sonstiger Beschäftigter ein. Bei diesen entfalle in aller Regel die Verantwortlichkeit.
In jedem Fall ist es ratsam, das ohnehin schon bestehende Haftungsrisiko, mit einem Datenschutzmanagementsystem, zu minimieren. So kann der Verantwortliche ein betriebliches Organisationsverschulden vermeiden. Sowohl bei dem zivilrechtlichen Schadensersatzanspruch, als auch bei der Bescheidung von Bußgeldern gilt das Verschuldensprinzip. Ohne Verschulden kann es keine Strafe geben. Daher ist ein Verschulden in der Praxis möglichst auszuschließen bzw. zumindest stark zu minimieren. Dadurch gelingt der Nachweis, dass der Verantwortliche alles getan hat, um das Entstehen eines Schadens zu verhindern.
Update vom 24.10.2022
Nun hat auch das OLG Nürnberg eine persönliche Haftung der Geschäftsführung einer GmbH gemäß § 43 Abs. 2 GmbHG angenommen, wenn keine oder unzureichende Compliance-Maßnahmen getroffen werden (OLG Nürnberg, Endurteil v. 30.03.2022 – 12 U 1520/19). Das Gericht stellte dabei vor allem fest, dass eine gelegentliche Prüfung nicht ausreicht.
Zu den Kernaussagen:
Nach Auffassung des Gerichts sind Geschäftsführer verpflichtet, ein Compliance Management System einzurichten. Es bedarf also organisatorische Vorkehrungen, welche die Begehung von Rechtsverstößen durch die Gesellschaft oder deren Mitarbeiter verhindern. Dabei ist der Geschäftsführer nicht nur verpflichtet, den Geschäftsgang so zu überwachen oder überwachen zu lassen, dass er unter normalen Umständen mit einer ordnungsgemäßen Erledigung der Geschäfte rechnen kann; er muss vielmehr weitergehend sofort eingreifen, wenn sich Anhaltspunkte für ein Fehlverhalten zeigen.
Eine Pflichtverletzung liegt jedoch schon dann vor, wenn durch unzureichende Organisation, Anleitung bzw. Kontrolle Mitarbeitern der Gesellschaft Straftaten oder sonstige Fehlhandlungen ermöglicht oder auch nur erleichtert werden. Diesbezüglichen Verdachtsmomenten muss der Geschäftsführer unverzüglich nachgehen. Zur Überwachungspflicht gehört außerdem eine hinreichende Kontrolle, die nicht erst dann einsetzen darf, wenn Missstände entdeckt worden sind. Ihre Intensität darf sich je nach Gefahrgeneigtheit der Arbeit und Gewicht der zu beachtenden Vorschriften nicht in gelegentlichen Überprüfungen erschöpfen. Über diese allgemeine Kontrolle hinaus muss der Geschäftsführer die Aufsicht so führen, dass Unregelmäßigkeiten auch ohne ständige unmittelbare Überwachung grundsätzlich unterbleiben. Danach sind stichprobenartige, überraschende Prüfungen erforderlich und regelmäßig auch ausreichend, sofern sie den Unternehmensangehörigen vor Augen halten, dass Verstöße entdeckt und geahndet werden können
Delegiert der Geschäftsführer seine Überwachungsaufgabe, reduziert sich die effektive Überwachungspflicht des Geschäftsführers auf die ihm unmittelbar unterstellten Mitarbeiter und deren Führungs- und Überwachungsverhalten ("Überwachung der Überwacher"). Man spricht insoweit von einer Meta-Überwachung.