Update Datenschutz Nr. 110 | Update Compliance 7/2022 | Update China Desk 3/2022
Außenhaftung des Geschäftsführers für Datenschutzverstöße einer Gesellschaft?
Gemäß Art. 82 Abs. 1 DSGVO hat ein Betroffener Anspruch auf materiellen und immateriellen Schadensersatz gegen den dafür haftenden Verantwortlichen oder Auftragsverarbeiter. Art. 82 Abs. 2 erweitert diese Schadensersatzhaftung auf jeden an einer rechtswidrigen Verarbeitung beteiligten Verantwortlichen, sprich sieht eine gesamtschuldnerische Haftung u.a. gemeinsam Verantwortlicher vor.
Aber richtet sich dieser Anspruch des Betroffenen auch gegen den Geschäftsführer oder Vorstand einer Gesellschaft, die den Datenschutzverstoß begangen hat? Das OLG Dresden ist in einer kürzlich veröffentlichten Entscheidung der Auffassung, dass dies der Fall sei (OLG Dresden, Urteil vom 30.11.2021, Az. 4 U 1158/21). In seiner Entscheidung sah das OLG Dresden den Geschäftsführer als gemeinsam verantwortlich mit einer GmbH und daher als Gesamtschuldner gemäß Art. 82 Abs. 2 Satz 1 DSGVO.
Diese Entscheidung ist so bemerkenswert wie inhaltlich falsch. Dazu im Einzelnen:
Sachverhalt
Im zugrundeliegenden Fall hatte die ebenfalls beklagte GmbH Hintergrundrecherchen zum Kläger angestellt und dabei unstreitig in datenschutzwidriger Weise gehandelt. Der Kläger verklagte sowohl die GmbH als originär Verantwortliche als auch den Geschäftsführer der GmbH auf Schadensersatz gemäß Art. 82 Abs. 1, 2 DSGVO. Sowohl das erstinstanzliche Gericht als auch das OLG Dresden sahen den Datenschutzverstoß als gegeben an und sahen auch eine gemeinsame Haftung gemäß Art. 82 Abs. 2 DSGVO der GmbH und ihres Geschäftsführers als gemeinsame Verantwortliche gemäß Art. 4 Nr. 7 DSGVO.
Eine Begründung, warum der Geschäftsführer mit der GmbH gemeinsam verantwortlich gemäß Art. 4 Nr. 7, Art. 26 DSGVO sei, nimmt das OLG Dresden in seiner Entscheidung nicht vor.
Bewertung
Die Einordnung des Geschäftsführers als gemeinsamer Verantwortlicher mit der eigentlich verantwortlichen GmbH erfolgt soweit erkennbar erstmals in der Rechtsprechung und lässt sich weder dem Gesetz noch der Literatur als korrekt entnehmen. Denn gemeinsam verantwortlich kann nur sein, wer gemeinsam über die Zwecke und Mittel der Verarbeitung entscheidet, Art. 4 Nr. 7 DSGVO. Im vom OLG Dresden entscheidenden Fall wäre dies aber richtigerweise allein die GmbH. Diese legt die Zwecke und Mittel der Verarbeitung personenbezogener Daten fest. Sie hat auch als alleinige juristische Person entsprechende Interessen an der Festlegung der Zwecke, da diese dazu dienen, ihre beabsichtigten Zwecke zu erreichen.
Der Geschäftsführer dagegen hat keine eigenen Interessen an der Verarbeitung personenbezogener Daten, verfolgt also keinen eigenen Zweck mit der Verarbeitung, weswegen eine Haftung als gemeinsamer Verantwortlicher von vornherein ausscheidet. Eine solche gemeinsame Verantwortlichkeit lässt sich auch nicht aus den vom EuGH zu der Frage der gemeinsamen Verantwortlichkeit entschiedenen Fällen (Rs. C-210/16, C-25/17 und C-40/17) (siehe auch Update Datenschutz Nr. 39 und Nr. 63) herleiten. In diesen diente das Instrument der gemeinsamen Verantwortlichkeit stets nur der Transparenz und der Ermöglichung einer Inanspruchnahme überhaupt einer Partei durch einen Betroffenen innerhalb der Europäischen Union. Die Entscheidungen waren daher von Vollstreckbarkeitserwägungen getragen. Bei einer Konstellation, in der eine deutsche GmbH als Verantwortliche in Anspruch genommen werden kann, ist aber eine solche Transparenz- und Vollstreckbarkeitserwägung fehl am Platz. Es bedarf nicht des zusätzlichen Haftungssubjekts des Geschäftsführers, um dem Betroffenen die Durchsetzung seiner Rechte zu ermöglichen.
Darüber hinaus ist zu berücksichtigen, dass der Geschäftsführer selbst lediglich als Organ der Gesellschaft tätig wird. Aus dieser Stellung erwächst aber kein eigenes Interesse an der Verarbeitung personenbezogener Daten, weswegen der Geschäftsführer der GmbH nicht als Verantwortlicher i.S.v. Art. 4 Nr. 7 DSGVO und damit auch nicht von Art. 82 Abs. 2 DSGVO angesehen werden kann (vgl. Backhaus/Schneidereit, jurisPR-HaGesR 2/2022 Anm. 3).
Das OLG Dresden hat in keiner Weise ausgeführt, welche eigenen Zwecke der Geschäftsführer in dem entschiedenen Fall verfolgt haben solle und wieso allein aus seiner Organstellung eine gemeinsame Verantwortlichkeit entstehen solle. Die Entscheidung ist als inhaltlich falsch abzulehnen. Es ist zu hoffen, dass es eine Einzelfallentscheidung bleibt.
Auswirkungen für die Praxis
Das Urteil des OLG Dresden hat erhebliche Publizität erfahren. Angesichts der Tatsache, dass insbesondere in arbeitsrechtlichen Streitigkeiten, aber ansonsten auch in Auseinandersetzungen zwischen Privatpersonen und Unternehmen immer häufiger datenschutzrechtliche Verstöße geltend gemacht und Schadensersatzansprüche gefordert werden, ist zu erwarten, dass diese Praxis zukünftig von Klägeranwälten auch auf die Organe der jeweiligen Gesellschaften ausgeweitet wird. Das bedeutet für die Unternehmen zusätzlichen Aufwand und für die Organe zusätzliche Risiken, die erst recht durch D&O-Versicherungen und andere Maßnahmen abgefangen werden sollten.
Der beste Schutz ist aber stets, eine gute Compliance, denn wenn mit dem Argument der Rechtmäßigkeit der Verarbeitung dem Schadensersatz schon dem Grunde nach der Boden entzogen werden kann, besteht auch kein Raum für eine möglicherweise weiterhin von Gerichten fälschlich angenommene gesamtschuldnerische Haftung der Geschäftsführung oder Vorstände von Unternehmen.
Chinesische Version:
董事总经理对于公司违反数据保护是否应承担外部责任?
根据欧盟《通用数据保护条例》第82条第1款,遭受物质或非物质损害的当事人有权向数据控制者或数据处理者主张相应的损害赔偿。第82条第2款将该损害赔偿责任扩大到任何参与非法处理的数据控制者,即规定了连带责任,包括连带控制者。
但是,当事人的这一主张是否也能向违反数据保护的公司的董事总经理(又称为执行董事)或董事会提出呢?德累斯顿高等地区法院在最近公布的一项判决中对此做出了裁决(参见案例OLG Dresden, Urteil vom 30.11.2021, Az. 4 U 1158/21)。在该判决中,德累斯顿高等地区法院认定董事总经理与有限责任公司承担连带责任,因此根据欧盟《通用数据保护条例》第82条第2款第1句,董事总经理应作为连带债务人。
这一判决非常值得关注,因为它究其内容是错误的。具体分析如下:
案情介绍
在本案件中,同为被告的有限责任公司对原告进行了背景调查,但调查方式违反了数据保护的规定,这一事实认定是毫无争议的。根据欧盟《通用数据保护条例》第82条第1款和第2款,原告不仅起诉了最初的数据控制者即有限责任公司,还同时起诉了该公司的董事总经理,并据此主张损害赔偿。一审法院和德累斯顿高等地区法院均认定违反数据保护的事实成立,并且根据《通用数据保护条例》第4条第7项,认定该有限责任公司及其董事总经理为共同控制者,根据《通用数据保护条例》第82条第2款,认定二者应承担连带责任。
德累斯顿高等地区法院根据欧盟《通用数据保护条例》第4条第7项和第26条,认定董事总经理应与有限责任公司承担连带责任。然而,其判决中并没有给出认定理由。
案例分析
这是首次在法院判决中出现这种将有限责任公司作为实际控制者而董事总经理作为共同控制者的分类。然而,无论是根据欧盟《通用数据保护条例》还是根据相关法律文献,这种分类都不能说是正确的。理由是:根据《通用数据保护条例》第4条第7项,只有就个人数据的处理目的和方式共同做出决定的人或组织,才能被视为共同控制者。但是在本案中,正确的认定本应是有限责任公司是唯一的控制者。该有限责任公司决定个人数据的处理目的和方式。另外,作为唯一的法人,该公司对于处理目的的确定是有相应的利益的,因为这有助于实现其预期目的。
与之相反,董事总经理对于个人数据的处理是没有任何个人利益的,对于数据处理也毫无个人目的,这就是为什么从一开始就要排除将董事总经理视为联合控制者而承担责任的原因。另外,这种连带责任也无法从欧洲法院就连带责任问题作出判决的案例中推导出来,参见案例C-210/16、C-25/17和C-40/17。在这些案例中,“连带责任”的这一概念仅用于确保透明度,并允许欧盟境内当事人可以向任何一方提出诉求。因此,欧洲法院的这些判决是基于可执行性的考量。然而,在一家德国有限责任公司作为控制者可以被追究责任的情况下,这种对于透明度和可执行性的考量是不合适的。为了使当事人能够行使其权利,是无需将董事总经理作为附加责任主体的。
此外还必须考虑到,董事总经理本人仅仅是作为公司的一个职能部门而已。该职位并不会产生对于个人数据处理的任何个人利益,这就是为什么不能将有限责任公司的董事总经理视为欧盟《通用数据保护条例》第4条第7项意义上的控制者,且不能由此将其视为《通用数据保护条例》第82条第2款的控制者。
德累斯顿高等地区法院在其判决中并没有说明,董事总经理在该案中追求何种个人目的,以及如何仅仅从总经理这一职位而产生了连带责任。鉴于实质内容错误,该法院判决有必要被撤销。希望该案件判决仅仅是个案情形。
对实践的影响
德累斯顿地区高等法院这一判决受到了广泛的关注。鉴于个人与公司之间的纠纷,特别是劳动法纠纷,越来越多地涉及到违反数据保护并提出损害赔偿请求,预计原告律师今后也会将这种做法扩展到各个公司的职能部门。这意味着,公司要承担额外的成本,公司的职能部门要承担额外的风险,该风险应由董事及高级经理人员责任保险和其他措施来予以降低。
然而,最好的保护始终是公司实践良好的合规性。因为如果数据处理是合法的,那么损害赔偿请求就没有依据,也就继而避免了法院要求公司的管理层或董事会成员承担连带责任这种错误判决出现的可能性。