Urteile zur Verantwortlichkeit von Geschäftsführern, Arbeitnehmern und Privatpersonen

Bei Datenschutzverstößen wurde bisher immer von den Verstößen durch Unternehmen geredet, nicht aber davon, welche Personen innerhalb des Unternehmens dafür haften. Vielen ist völlig unbekannt, dass es auch einzelne Personen treffen kann. Denn grundsätzlich müssen auch Privatpersonen, die personenbezogene Daten erheben und verarbeiten, die DS-GVO beachten. Dies kann Geschäftsführer oder Arbeitnehmer treffen, die in ihrer Arbeit für das Unternehmen unrechtmäßig personenbezogene Daten verarbeiten. Privatpersonen können allerdings ebenfalls für Datenschutzverstöße verantwortlich gemacht werden, z. B. wenn man personenbezogene Daten online veröffentlich und diese somit einer breiten Öffentlichkeit zugänglich macht.

In der folgenden Aufzählung finden Sie alle Urteile, die bisher Geschäftsführer, Arbeitnehmer oder Privatpersonen zur Verantwortung gezogen haben.

Fallbeschreibung

Der Geschäftsführer beauftragte eine Recherche zum Einholen von Informationen zu einem Betroffenen, die auch Erkenntnisse über strafrechtlich relevante Sachverhalte umfasste. Nachdem der GmbH-Vorstand über diese Ergebnisse informiert wurde, führte dies zur Ablehnung der Vereinsmitgliedschaft für den Betroffenen. Dieser reichte daraufhin Klage ein und forderte von der GmbH und deren Geschäftsführer gesamtschuldnerisch Schadensersatz in Höhe von 21.000 Euro wegen unzulässiger Datenverarbeitung. Die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten ist nach Art. 10 DS-GVO grundsätzlich nur unter behördlicher Aufsicht gestattet.

Entscheidung des OLG Dresden

Das Oberlandesgericht (OLG) Dresden bestätigte das Urteil des Landgerichts (LG) Dresden als Vorinstanz (LG Dresden, Urteil v. 26.05.2021, Az. 8 O 1486/19) und sprach den Kläger Schadensersatz in Höhe von 5.000 Euro zu, wobei die GmbH und ihr Geschäftsführer hierfür als Gesamtschuldner haften. Anknüpfungspunkt für Schadensersatzansprüche nach Art. 82 Abs. 1 DS-GVO ist die „Verantwortlichkeit“ nach Art. 4 Nr. 7 DS-GVO. Sie ist zu bejahen, wenn eine natürliche oder juristische Person alleine oder gemeinsam mit anderen über die Zwecke und die Mittel der Verarbeitung von personenbezogenen Daten entscheiden kann und entscheidet. Im Gegensatz zu weisungsgebundenen Mitarbeitern trifft dies nach Ansicht des Gerichts für Geschäftsführer zu. Die Datenverarbeitung sei auch rechtswidrig, da das „Ausspähen“ des Betroffenen weder erforderlich war noch eine Einwilligung vorlag. Zwar kann satzungsgemäß eine Mitgliedschaft aufgrund von Vorstrafen o. ä. verweigert werden, eine ergänzende Selbstauskunft oder die Vorlage eines polizeilichen Führungszeugnisses wäre hierfür allerdings ebenfalls zielführend gewesen. Die eigene Recherche verstoße gegen Art. 10 DS-GVO.

(OLG Dresden, Urteil v. 30.11.2021, Az.: 4 U 1158/21)

Bußgelder

Es wurden bereits einige Bußgelder gegen Arbeitnehmer und Privatpersonen verhängt. Eine Auflistung aller Bußgelder dazu finden Sie in unserer Bußgeldübersicht.