Bei der Einstellung neuer Beschäftigter stellt sich für Entscheidungstragende immer eine entscheidende Frage: Ist diejenige Person geeignet? Nicht gering ist das Interesse an einem aussagekräftigen Bild der Bewerbenden bereits vor Ladung zu einem Vorstellungsgespräch, sodass eine vorangestellte Recherche über die Person eine Regelmäßigkeit ist. Das vorliegende Urteil des 4. Zivilsenats des OLG Dresden vom 30.11.2021 – 4 U 1158/21 beschäftigt sich gleichzeitig mit den zulässigen Grenzen einer solchen Recherche – jedoch auch in aller Deutlichkeit mit der direkten Haftung eines Vorstandsmitglieds.

Nehmen, nicht bitten

Der Kläger bewarb sich um eine Mitgliedschaft im beklagten Verein (Beklagter zu 1). Im Wege des Bewerbungsprozesses entschied sich ein Vorstandsmitglied (Beklagter zu 2), ein Detektivbüro mit umfassenden Recherchen zur Person des Klägers zu beauftragen. Dabei gewann besagtes Vorstandsmitglied aussagekräftige Erkenntnisse über den Kläger aus dessen Privatleben, insbesondere Daten über vergangene Straftaten des Klägers. Diese Daten leitete das Vorstandsmitglied an die restlichen Vorstandsmitglieder weiter, woraufhin dem Kläger die Mitgliedschaft im Verein versagt wurde.

Das Landgericht Dresden bewertete dies als Verstoß gegen die DSGVO und verurteilte die Beklagten gesamtschuldnerisch zur Zahlung eines Schadensersatzes in Höhe von 5.000€. Zunächst sei das „Ausspähen“ des Klägers eine Verarbeitung personenbezogener Daten, indem Informationen aus seiner Privatsphäre gesammelt und schließlich an sämtliche Vorstandsmitglieder übermittelt wurden. Eine einschlägige Rechtsgrundlage – insbesondere ein berechtigtes Interesse an der Erhebung dieser Informationen durch Eingriff in die Privatsphäre des Betroffenen – bestand nach Ansicht des Gerichts nicht. Hierfür mangelte es an der Erforderlichkeit des Ausspähens durch Dritte: den Beklagten wären weniger invasive Maßnahmen zumutbar gewesen, etwa eine ergänzende Selbstauskunft und die Vorlage eines polizeilichen Führungszeugnisses. Die durch das Ausspähen hervorgebrachten Informationen zum Strafhintergrund des Klägers hätten darüber hinaus nur unter den besonderen Maßgaben des Art. 10 DSGVO verarbeitet werden dürfen.

Verantwortlichkeit der Geschäftsführenden

Das Oberlandesgericht Dresden bestätigte das Urteil des LG und wies die Berufung u. a. hinsichtlich einer fehlenden Haftung des handelnden Vorstandsmitglieds (Beklagter zu 2) ab. Adressat eines Bußgelds sei gem. Art. 82 DSGVO der „Verantwortliche“ der Datenverarbeitung. „Verantwortlicher“ gem. Art. 4 Nr. 7 DSGVO ist diejenige (natürliche oder juristische) Person, Behörde, Einrichtung oder andere Stelle, die über die Mittel und Zwecke einer Datenverarbeitung alleine oder gemeinsam mit anderen bestimmt. Verantwortliche seien nach Wertung des Gerichts sowohl das Vorstandsmitglied als auch der Verein selbst.

Das beklagte Vorstandsmitglied (Beklagter zu 2) agierte mit Handlungsvollmacht für den gesamten Verein (Beklagter zu 1). Die Entscheidung über die Beauftragung des Detektivbüros und die Übermittlung der Ergebnisse an die übrigen Vorstandsmitglieder habe zwar nachweislich das beklagte Vorstandsmitglied getroffen. Als vertretungsbefugtes Organ bedeute dies eine gleichzeitige Verantwortlichkeit von Vorstandsmitglied und Verein.

Mehr Verantwortungsbewusstsein für alle?

Nach bisheriger Auffassung wurden regelmäßig Unternehmen, die keine Personengesellschaften sind, in ihrer Verantwortlichkeit von gesetzlichen Vertretern als Bußgeldadressaten differenziert. Bußgelder sollten gegen Unternehmen als zentrales Element der Datenverarbeitung verhangen werden, sofern der Geschäftsführer nicht gleichzeitig Inhaber des Unternehmens war oder ein Geschäftsführer die Daten zu eigenen, rechtswidrigen Zwecken verarbeitete.

Vorliegend handelte das beklagte Vorstandsmitglied nicht zu gänzlich eigenen Zwecken, wenngleich die Entscheidung von diesem selbstständig getroffen wurde.

Interessen der Geschäftsführung an rechtswidrigen Verarbeitungen können deckungsgleich mit denen des Unternehmens sein, sogar abseits von Gewinnorientierung. Denn vor allem die Geschäftsführung statuiert mit Ihrem Handeln die Interessen des Unternehmens. Die Bewertung des Gerichts zeigt, dass auch bei einem koordinierten Handeln des Vorstands eine individuelle Haftung sämtlicher Vorstandsmitglieder infrage gekommen wäre.

Nicht ungewöhnlich, aber konsequent

Im Bereich des konkreten Datenschutzrechts scheint dies einen gewissen Paradigmenwechsel darzustellen. Dabei fügt sich das Urteil lediglich in das „bigger Picture“ der Compliance-Rechtsprechung ein: die Regelmäßigkeit einer personell orientierten Haftung im Unternehmenskontext wird ausdefiniert.

So haften Geschäftsführer grundsätzlich gem. § 43 Abs. 2 GmbHG im Innenverhältnis für alle Schäden, die aufgrund von Verfehlungen ihm obliegender Pflichten schuldhaft verursacht wurden und im Außenverhältnis nach Schadenersatzvorschriften. Für jeden Compliance-Bereich bestehen nebst allgemeinen strafrechtlichen Risiken auch spezialgesetzliche Sanktionierungsmöglichkeiten.

Datenschutz ist ein Compliance-Thema und Art. 82 DSGVO sieht hier einen eigenen Schadensersatztatbestand vor. Nach ErwG. 146 S. 6 ist dieser Schadensersatz auch „vollständig“ und „wirksam“ für den erlittenen Schaden zu gewähren. Die Wertung einer Gesamtschuldnerschaft zwischen handelnden Organen und den Unternehmen trägt im Wege der Prozessökonomie zu diesem Ziel bei und erleichtert erfolgreich klagenden Personen die Vollstreckung ihrer Ansprüche.

Fazit

Die Compliance-Pflichten und die damit einhergehenden Überwachungs- und Schutzfunktionen des Geschäftsführers sind bekanntermaßen vielfältig. Sie dürfen (und sollten) delegiert und damit dezentralisiert werden, um eine angemessene Pflichtenwahrnehmung zu gewährleisten. Diese Feststellung gewinnt an Gewicht, je weiter die Sorgfaltspflichten der Geschäftsführung gem. § 43 GmbHG konkretisiert werden.

Nicht zu vernachlässigen sind jedoch auch die Auswirkungen auf das gesamte Unternehmen, wie das vorliegende Urteil zeigt. Sogar bei nachträglicher Entbindung aus dem Vorstand bleibt das Unternehmen „Verantwortlicher“ im Sinne der DSGVO. Um zurechenbaren Alleingängen vertretungsberechtigter Personen vorzubeugen, müssen daher relevante Prozesse etabliert werden – bestenfalls durch ein umfängliches Compliance-Management-System, mindestens jedoch durch notwendige Sensibilisierung auch der höchsten Ebenen.