Das Oberlandesgericht (OLG) Dresden hat am 30.11.2021 die Berufung gegen das Urteil des Landgerichts (LG) Dresden, Urteil vom 30.11.2021, Az.: 4 U 1158/21, abgewiesen und dieses damit bestätigt. Das Landgericht Dresden entschied zuvor, dass dem Kläger ein immaterieller Schadenersatzanspruch in Höhe von 5.000 € gegenüber den Beklagten zustehe. Dabei hafteten die Beklagten, näher ein Automobilverein und der Geschäftsführer einer GmbH, die Mitglied des Vereins ist, gesamtschuldnerisch.
Entscheidungssachverhalt
Der Kläger, ein Autohändler, begehrte die Aufnahme im Automobilverein, dessen Mitglied die GmbH war. Der Geschäftsführer der GmbH initiierte eigenständig Ermittlungen durch ein Detektivbüro. Im Zuge der Ermittlungen erfuhr der Geschäftsführer von strafrechtlich relevanten Taten des Klägers. Nach Rücksprache mit den Vorstandsmitgliedern wurde dem Kläger die Aufnahme in den Automobilverein versagt.
Der Kläger klagte daraufhin auf Zahlung eines immateriellen Schadensersatzes in Höhe von 21.000€, gem. Art. 82 Datenschutzgrundverordnung (DS-GVO) aufgrund der unrechtmäßigen Verarbeitung seiner personenbezogenen Daten.
Die Nichtaufnahme im Verein in Folge der Ausspähung behindere ihn an der Verfolgung seiner persönlichen Interessen, aber auch seiner Interessen als Autohändler an der Gestaltung von Oldtimer-Ausflügen (Aktionen des Vereins) mitzuwirken.
Er könne sich ferner nicht sicher sein, dass die Erkenntnisse nicht auch an weitere, als die Vorstandsmitglieder weitergegeben wurden. Darüber hinaus hätte die unrechtmäßige Ausspähung seiner Person ihn an in der DDR erlittene Traumata seiner Familie erinnert und ihm somit weiteren Schaden zugefügt.
Entscheidungsbegründung
Das OLG Dresden schloss sich der Entscheidung des LG Dresden an, dass die Ausspähung des Klägers unrechtmäßig erfolgt sei und führte weiter aus:
- Geschäftsführer einer GmbH als Verantwortlicher
Gem. Art. 4 Nr. 7 DS-GVOist Verantwortlichkeit im Sinne des Gesetzes immer dann gegeben, wenn eine natürliche oder juristische Person allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden kann und entscheidet. Während weisungsgebundene Angestellte regelmäßig nicht als Verantwortliche zu beurteilen seien, verhalte es sich bei einem weisungsunabhängigen Geschäftsführer anders. Diesem stehe die beschriebene Freiheit zu. Im vorliegenden Fall sei diese durch den Geschäftsführer ausgeübt worden, sodass er Verantwortlicher i.S.d. Gesetzes sei.
- Verarbeitung personenbezogener Daten
Mit dem Ausspähen des Klägers wurden personenbezogene Daten, näher seine strafrechtliche Vorgeschichte, i.S.d. Art. 4 Nr. 2 DS-GVO verarbeitet. Ferner verstoße die Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten gegen Art. 10 DS-GVO, da dies grundsätzlich nur unter behördlicher Aufsicht gestattet sei.
- Fehlende Rechtsgrundlage für die Verarbeitung
Einer zur Überprüfung des berechtigten Interesses i.S.d. Art. 6 Abs. 1 lit. f) DS-GVO erforderlichen Interessensabwägung bedürfe es nicht, da die Datenerhebung bereits im Sinne des Art. 5 Abs. 1 lit. b DS-GVO nicht erforderlich sei. Der Kläger hat auch nicht in die Verarbeitung eingewilligt, Art. 6 Abs. 1 lit. a), demnach läge keine Rechtsgrundlage für die Verarbeitung vor.
- Immaterieller Schadensersatz
Ein immaterieller Schadensersatz (auch Schmerzensgeld genannt) stünde dem Kläger in einer Höhe von 5.000€, nicht jedoch in der von ihm begehrten Summe von 21.000€, zu. Der Kläger habe einen Kontrollverlust über die eigenen Daten erlitten. Zum einen stehe fest, dass die Erkenntnisse aus der Ausspähung mit den anderen Vorstandsmitgliedern des Vereins geteilt wurden. Ferner müsse der Kläger subjektiv damit rechnen, dass eine Weitergabe an weitere als die benannten Personen möglich sei. Die Verarbeitung der Daten führe weiter zu einer Beeinträchtigung seines Interesses als Autohändler, da ihm Aufnahme in einem Automobilverein verwehrt worden sei. Bei den verarbeiteten Daten mit Strafrechtsbezug würde es sich zudem um besonders sensible Daten handeln, wodurch der Verstoß umso schwerwiegender sei. Von der Argumentation unter Hinzuziehung traumatischer DDR-Erfahrungen der Familie des Klägers zeigte sich das Gericht hingegen nicht überzeugt.
Ausblick
Allgemein lässt sich eine Tendenz deutscher Gerichte verzeichnen, bei DS-GVO Verstößen vermehrt auch immaterielle Schadenersatzansprüche zuzusprechen. (AG Pfaffenhoffen, Urteil vom 09.09.2021, Az.: 2C 133/21; Arbeitsgericht Düsseldorf, Urteil vom 05.03.2020 Az.: Ca 6557/18; LG München I, Endurteil vom 20.01.2022 – 3 O 17493/20 – openJur).
Mit Rechtsunsicherheit ist hierbei bislang die Frage verbunden, ob bei einem immateriellen Schadenersatzanspruch eine Bagatellgrenze Beachtung zu beachten ist. Eine Entscheidung in dieser Frage wird nach Vorlage des LG Saarbrücken beim EuGH erwartet.
Präzedenzfallcharakter hat das dargestellte Urteil hingegen für die Rolle des Geschäftsführers bei datenrechtlichen Verstößen. Sollten sich weitere Gerichte dieser Entscheidung anschließen, so hätte dies eine signifikante Erhöhung des Risikos der Geschäftsführer zur Folge, persönlich für Datenschutzverstöße belangt zu werden.
Fazit
Es ist festzuhalten, dass Geschäftsführer und vergleichbare, nicht weisungsgebundene Angestellte sich des Risikos bewusst sein sollten, dass im Falle einer unrechtmäßigen Verarbeitung, nicht nur die Gesellschaft, sondern auch sie als Person als Verantwortliche i.S.d. Art. 4 Nr. 7 DS-GVO angesehen und damit Schadensersatzpflichtig nach Art. 82 DS-GVO werden können. Ferner legt das Urteil nahe, dass Bußgelder nach Art. 83 DS-GVO ggf. auch unmittelbar gegen die Geschäftsführung eines Unternehmens verhängt werden können.
Es empfiehlt sich, den Abschluss einer D&O-Versicherung zu prüfen, mit einem besonderen Augenmerk auf Verstöße gegen anwendbares Datenschutzrecht.