Geschäftsführerhaftung im Datenschutzrecht
Die Haftung eines Geschäftsführers ist primär als eine „Innenhaftung“ ausgestaltet. Dies ergibt sich insbesondere aus § 61 Abs 2 GmbHG, wonach für die Verbindlichkeiten der Gesellschaft nur das Gesellschaftsvermögen haftet.
Der Geschäftsführer ist grundsätzlich nur der Gesellschaft gegenüber verpflichtet, gegenüber Dritten hingegen, haftet er nur in Ausnahmefällen. Diese „Außenhaftung“ wird schlagend, wenn der Geschäftsführer einen Dritten vorsätzlich sittenwidrig schädigt, ein Schutzgesetz verletzt oder in absolut geschützte Rechtsgüter eingreift, sowie aufgrund spezieller Haftungsregelungen.1 Eine Schutzgesetzverletzung ergibt sich beispielswiese aus sondergesetzlichen Regelungen wie der Insolvenzordnung, wonach Insolvenzgläubiger Schadenersatzansprüche gegen den Geschäftsführer geltend machen können, wenn dieser nicht rechtzeitig einen Antrag auf Eröffnung eines Insolvenzverfahrens stellt.
Dass sich die Haftungstatbestände für Geschäftsführer nicht nur mehr auf rein gesellschaftsrechtliche Aspekte beschränken können, wurde in Deutschland kürzlich wieder durch eine richtungsweisende Entscheidung des OLG Dresden zum Ausdruck gebracht.
OLG Dresden, Urteil von 30.11.2021 – 4 U 1158/21
- Im zugrundeliegenden Sachverhalt wurden durch den Geschäftsführer der beklagten GmbH Hintergrundrecherchen zu einem Werber für eine Mitgliedschaft bei besagter GmbH durchgeführt. Im Zuge derer wurde der Geschäftsführer über strafrechtlich relevante Vorkommnisse in Kenntnis gesetzt, die er der GmbH mitteilte, woraufhin die Gesellschaft dem Werber die Mitgliedschaft versagte. Der Kläger machte anschließend gegen die GmbH als auch gegen den Geschäftsführer Schadenersatzansprüche aufgrund einer Verletzung der DSGVO geltend.2
- Die deutsche ist mit der österreichischen Rechtslage vergleichbar, hiernach haftet der Geschäftsführer grundsätzlich nur gegenüber der GmbH und nur ausnahmsweise gegenüber Dritten (§ 43 dGmbHG).
- Im vorliegenden Fall stellte das OLG Dresden genau so eine Ausnahme fest, da es den Geschäftsführer als „Verantwortlichen“ iSd der DSGVO qualifizierte. Art 4 Z 7 definiert den „Verantwortlichen“ als „natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet“. Nach Ansicht des OLG Dresden fallen hierbei zwar weisungsgebundene Angestellte und sonstige Beschäftigte grundsätzlich nicht unter diese Definition, die Verantwortlichkeit von Geschäftsführern hingegen sei hiervon erfasst.
- Im Ergebnis haften demnach der Geschäftsführer und die GmbH nebeneinander für den Verstoß gegen die Bestimmungen der DSGVO (siehe Art 83 Abs 1 zum Anspruch auf Schadenersatz gegen den Verantwortlichen bei Verstoß gegen die Verordnung). Eine genauere Begründung der Haftungserweiterung des Geschäftsführers neben der Gesellschaft lässt die Entscheidung missen.
Fazit
- Die Ausführungen des deutschen Gerichts ergeben eine zusätzliche persönliche Haftungskomponente eines Geschäftsführers gegenüber Dritten, wodurch diese umso mehr dazu aufgerufen sind, der Einhaltung der Vorschriften der DSGVO Rechnung zu tragen. Auch wenn fraglich bleibt, ob eine zusätzliche Verantwortlichkeit des Geschäftsführers tatsächlich notwendig bzw. gerechtfertigt erscheint. In der Literatur wird überwiegend die Meinung vertreten, dass bei einer juristischen Person nur die Gesellschaft als Verantwortliche im Sinne der DSGVO gesehen wird.
- Aufgrund der ähnlichen Rechtslage in Österreich hat die Entscheidung des OLG Dresden auch hierzulande bereits Anklang gefunden und löste in der Literatur Diskussionen rund um die Haftungserweiterung aus: Tendenz kritisch.
- Wobei den Ausführungen des Gerichts in gewissen Punkten auch gefolgt wird, so kommt es bei dem Kriterium „der Entscheidung über die Zwecke und Mittel der Verarbeitung“ nicht nur auf die tatsächliche Durchführung an, sondern auch darauf, ob eine Person überhaupt befugt ist, eine Entscheidung über die Verarbeitung zu treffen. Weisungsgebundene Angestellte verfügen dem OLG Dresden zufolge nicht über eine solche Entscheidungsbefugnis und sind deshalb grundsätzlich auch nicht als Verantwortliche zu qualifizieren. Ihr Verhalten ist aufgrund der Weisungsgebundenheit vielmehr dem Verantwortlichen zuzurechnen. Dafür enthält die DSGVO in Art 29 eine ausdrückliche Bestimmung, nach jener dem Verantwortlichen unterstellte Personen ausschließlich auf Weisung des Verantwortlichen Datenverarbeitungen durchführen dürfen. Demnach ist die Verarbeitung auf Basis einer Weisung des Verantwortlichen, nicht der unterstellten durchführenden Person, sondern dem Verantwortlichen zuzurechnen. Betrachtet man das Argument der Weisungsgebundenheit, liegt auch im Falle eines GmbH-Geschäftsführers - sowohl nach deutschem als auch österreichischem Recht - eine weitreichende Bindung an die Weisungen der Generalversammlung, als oberstes willensbildendes Organ, vor. Demnach wird in der Literatur treffend kritisiert, dass eine genauere Auseinandersetzung in Bezug auf diesen Aspekt in der gerichtlichen Entscheidung fehle. Wäre demnach im vorliegenden Sachverhalt eine diesbezügliche Weisung der Generalversammlung vorgelegen, würde der Geschäftsführer nicht einen „Verantwortlichen“, sondern ein bloß durchführendes Organ darstellen. Hier hat er aber wohl nach Auffassung des OLG Dresden außerhalb einer Weisung gehandelt und ist demnach gleichermaßen wie ein Auftragsverarbeiter zu qualifizieren, der außerhalb seines Auftrags Daten verarbeitet und dadurch selbst verantwortlich wird.3
- In Anbetracht der Weisungsgebundenheit gegenüber der Generalversammlung der GmbH scheint eine allgemeine datenschutzrechtliche Haftung des Geschäftsführers überschießend. Hierbei wird insbesondere die fehlende sachbezogene Begründung des OLG Dresden kritisiert. Auch fehlt die Bezugnahme auf die einschlägige Rechtsprechung des Europäischen Gerichtshofs, der den Begriff des „Verantwortlichen“ wohlgemerkt eher weit auslegt.4
- In bestimmten Konstellationen scheint eine Verantwortlichkeit des Geschäftsführers bei datenschutzrechtlichen Verstößen durchaus nachvollziehbar, daraus aber auf eine allgemeine Einstufung als „Verantwortlichen“ iSd DSGVO zu schließen, scheint nicht begründbar. Spannend und offen bleibt die Frage, wie der OGH in dieser Sache entschieden hätte. Droht auch Geschäftsführern in Österreich eine derartige Haftungserweiterung?
1Habsburg-Lothringen, Geschäftsführerhaftung (Stand 30.8.2022, Lexis Briefings in lexis360.at).
2 OLG Dresden, Urteil von 30.11.2021 – 4 U 1158/21.
3OLG Dresden (Deutschland) 4 U 1158/21 = jusIT 2022/53 (Gosch).
4EuGH 29.07.2019, C-40/17, Rz 65.
Hinweis: Dieser Blog stellt lediglich eine generelle Information und keineswegs eine Rechtsberatung von Binder Grösswang Rechtsanwälte GmbH dar. Der Blog kann eine individuelle Rechtsberatung nicht ersetzen. Binder Grösswang Rechtsanwälte GmbH übernimmt keine Haftung, gleich welcher Art, für Inhalt und Richtigkeit des Blogs.