GmbH-Geschäftsführer ist neben der Gesellschaft Verantwortlicher i.S.d. DSVGO

Die Erhebung von Daten bei Dritten ist auch unter Geltung der DSGVO subsidiär zu einer Erhebung beim Betroffenen, sofern dies für den Verantwortlichen nicht ausnahmsweise unzumutbar ist. Die Datenerhebung von Vorstrafen des Betroffenen ist nur unter den Voraussetzungen des Art. 10 DSGVO zulässig. Der immaterielle Schadensersatz nach den DSGVO hat keinen Strafcharakter.

Der Sachverhalt:
Der Kläger verlangt gesamtschuldnerisch von den Beklagten die Zahlung von Schadensersatz wegen Verletzung seiner Rechte aus der DSGVO. Der Streithelfer hatte im Auftrag des Beklagten zu 2), dieser wiederum handelnd namens des Beklagten zu 1) eine Recherche durchgeführt und hierbei u.a. Erkenntnisse über den Beklagten im Zusammenhang mit strafrechtlich relevanten Sachverhalten gewonnen. Der Beklagte zu 1) nahm dies zum Anlass, die vom Kläger beantragte Mitgliedschaft beim Beklagten zu 1) abzulehnen, nachdem dessen Vorstandsmitglieder durch den Beklagten zu 2) über das Ergebnis der Recherche unterrichtet worden waren.

Das LG gab der Klage teilweise statt und verurteilte die Beklagten zur Zahlung von Schadensersatz i.H.v. 5.000 € wegen des Verstoßes gegen die DSGVO. Die Berufung des Klägers, der die Zahlung des ursprünglich verlangten Schmerzensgeldes i.H.v. 21.000 € weiterverfolgt, hatte vor dem OLG keinen Erfolg. Die Revision zum BGH wurde nicht zugelassen.

Die Gründe:
Sowohl der Beklagte zu 1) als auch der Beklagte zu 2) sind verantwortlich i.S.v. Art. 4 Nr. 7 DSGVO, denn Anknüpfungspunkt für einen Anspruch aus Art. 82 Abs. 1 DSGVO ist zunächst die "Verantwortlichkeit", die immer dann zu bejahen ist, wenn eine natürliche oder juristische Person alleine oder gemeinsam mit anderen über die Zwecke und die Mittel der Verarbeitung von personenbezogenen Daten entscheiden kann und entscheidet. Damit entfällt zwar in aller Regel die Verantwortlichkeit weisungsgebundener Angestellter oder sonstiger Beschäftigter, für den Geschäftsführer, wie es der Beklagte zu 2) zum Zeitpunkt der Beauftragung des Streithelfers war, gilt dies allerdings nicht.

Die Beklagten haben auch personenbezogene Daten i.S.d. Art. 4 Ziff. 1 DSGVO verarbeitet. Nach der Regelungsstruktur der DSGVO ist jede Verarbeitung personenbezogener Daten ohne aktiv erteilte Einwilligung rechtswidrig, es sei denn, es greift einer der in Art. 6 DSGVO genannten Rechtfertigungsgründe. Allerdings ist auch dies vorliegend nicht der Fall. Eine Rechtfertigung nach Art. 6 Abs. 1f DSGVO kommt vorliegend nicht in Betracht. Dabei bedarf es noch nicht einmal der bei Vorliegen der Tatbestandsvoraussetzungen nach Art. 6 Abs. 1 f DSGVO erforderlichen Interessenabwägung, denn die im Ausspähen des Klägers liegende und dem Beklagten zuzurechnende Datenverarbeitung war bereits nicht erforderlich.

Der Erforderlichkeitsgrundsatz ist ein Ausfluss des Zweckbindungsgrundsatzes i.S.v. Art. 5 Abs. 1 b DS-GVO, der der Ausfüllung und Konkretisierung im Einzelfall bedarf. Er darf zwar nicht im Sinne einer zwingenden Notwendigkeit überinterpretiert werden, verlangt werden muss indessen, dass die Datenverarbeitung zur Erreichung des Zweckes nicht nur objektiv tauglich ist, sondern dass eine für die betroffene Person weniger invasive Alternative entweder nicht vorliegt oder für den Verantwortlichen nicht zumutbar ist. Dies war hier nicht der Fall. Vorliegend hätte es etwa genügt, den Kläger zunächst zur ergänzenden Selbstauskunft, gegebenenfalls Vorlage eines polizeilichen Führungszeugnisses aufzufordern, nachdem dieser auch nach Behauptung des Beklagten zu 1) von sich aus ein gegen ihn geführtes Ermittlungsverfahren angesprochen haben soll. Die durch den Streithelfer abzuklärenden etwaigen Vorstrafen des Klägers verstoßen darüber hinaus auch gegen Art. 10 DSGVO, der die Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln grundsätzlich nur unter behördlicher Aufsicht gestattet.

Die Ausspähung des Klägers hat auch eindeutig die Bagatellschwelle überschritten. Die Datenweitergabe mit den daraus resultierenden Folgen ging über die reine Privatsphäre oder das Privatverhältnis zwischen dem Kläger und dem Beklagten zu 2) weit hinaus, denn nachdem dieser die Weitergabe der erhobenen Daten angeordnet hatte, wurden die hieraus gewonnenen Ergebnisse den übrigen Vorstandsmitgliedern des Beklagten zu 1) bekannt gegeben. Des Weiteren wurde dem Kläger die Mitgliedschaft im Verein versagt und er musste damit rechnen, dass die über ihn eingeholten Daten nicht lediglich an zwei Vorstandsmitglieder gelangt sind und damit Details aus seiner Vergangenheit möglicherweise in einem größeren Umfeld bekannt geworden sind.

Im Rahmen der nach § 287 ZPO vorzunehmenden Schadensschätzung sind auch i.R.d. Art. 82 DSVGO allgemein die Art, Schwere, Dauer des Verstoßes, Grad des Verschuldens, Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens, frühere einschlägige Verstöße sowie die Kategorien der betroffenen personenbezogenen Daten in die Erwägung mit einzubeziehen. Nach Erwägungsgrund Nr. 146 der DSGVO soll der Begriff des Schadens im Lichte der Rechtsprechung des EuGH weit und auf eine Art und Weise ausgelegt werden, "die den Zielen dieser Verordnung in vollem Umfang entspricht". Nach dem Effektivitätsprinzip (effet utile) ist insoweit - entgegen der Auffassung der Beklagten – auch eine abschreckende Sanktion nicht ausgeschlossen. Dies bedeutet aber nicht, dass die Geldentschädigung zwingend "Strafcharakter" haben muss, sondern die Höhe des Anspruchs muss auf der Basis des Effektivitätsprinzips eine abschreckende Wirkung haben. Danach rechtfertigt die unzulässige Datenverarbeitung durch die Beklagten zu 1) und 2) einen immateriellen Schadensersatz nach Art. 82 DSGVO allerdings lediglich in der vom LG ausgeurteilten Höhe.

Mehr zum Thema:

• Aufsatz: Grasmück, Schirmbacher - Datenschutz in der GmbH-Praxis – Diligences, Deals und anstrengende Gesellschafter (GmbHR 2021, R368)
• Rechtsprechung: OLG Dresden vom 30.11.2021, 4 U 1158/21 - Geschäftsführer einer GmbH als "Verantwortlicher" i.S.d. DSGVO neben der Gesellschaft (GmbHR 2021, 313)
• Praxisrelevante Lösungen für alle Fragestellungen zum Gesellschaftsrecht bietet Ihnen unser umfassendes Aktionsmodul Gesellschaftsrecht (mit den 5 Beratermodulen AG, GmbHR und ZIP sowie Kommentare Gesellschaftsrecht und Handbücher Gesellschaftsrecht) - jetzt 4 Wochen lang kostenlos testen.