Ein Gastbeitrag unserer Praktikantin Mariya Popova
Das OLG Dresden verurteilte vor kurzem einen Verein sowie interessanterweise auch dessen Geschäftsführer persönlich zur Zahlung von Schadensersatz gemäß Art. 82 Abs. 1 DSGVO, weil dieser eine Person im Rahmen des Bewerbungsprozesses durch einen Dritten ausspähen ließ. Das Ausspähen stellte eine unrechtmäßige Verarbeitung personenbezogener Daten dar.
Sachverhalt
Der Kläger bewarb sich um die Mitgliedschaft in einem Verein. Im Wege des Bewerbungsprozesses beauftragte der Geschäftsführer des Vereins ein Detektivbüro mit der Durchführung einer Recherche. Dabei wurden Erkenntnisse über den Kläger aus seinem Privatleben im Zusammenhang mit strafrechtlich relevanten Sachverhalten gewonnen. Diese Daten wurden anschließend an die anderen Vorstandsmitglieder des Vereins weitergeleitet. Mit Hinblick auf die Ergebnisse der Recherche wurde die beantragte Mitgliedschaft abgelehnt.
Daraufhin erhob der Bewerber Klage beim LG Dresden auf immateriellen Schadensersatz gemäß Art. 82 Abs. 1 DSGVO sowohl gegen den Geschäftsführer persönlich, als auch gegen den Verein. Diese Entscheidung wurde später durch das OLG Dresden (Urteil vom 30.11.2021, Az.: 4 U 1158/21) bestätigt.
Entscheidung
Das OLG Dresden stellte einen jeweils selbstständigen Verstoß gegen die Vorschriften der DSGVO durch die Beklagten fest:
“Sowohl der Beklagte zu 1) [der Verein] als auch der Beklagte zu 2) [der Geschäftsführer] sind verantwortlich im Sinne von Art. 4 Nr. 7 DSGVO, denn Anknüpfungspunkt für einen Anspruch aus Art. 82 Abs. 1 DSGVO ist zunächst die „Verantwortlichkeit“, die immer dann zu bejahen ist, wenn eine natürliche oder juristische Person alleine oder gemeinsam mit anderen über die Zwecke und die Mittel der Verarbeitung von personenbezogenen Daten entscheiden kann und entscheidet […]. Damit entfällt zwar in aller Regel die Verantwortlichkeit weisungsgebundener Angestellter oder sonstiger Beschäftigter, für den Geschäftsführer, wie es der Beklagte zu 2) zum Zeitpunkt der Beauftragung des Streithelfers war, gilt dies allerdings nicht.”
Aufgrund von Verstößen gegen die DSGVO verurteilte das Gericht die Beklagten gesamtschuldnerisch zu der Zahlung eines immateriellen Schadensersatzes in Höhe von EUR 5.000,00.
Zu den Verstößen aufgrund der Datenverarbeitung führte das Gericht folgendes aus:
Nach der DSGVO ist jede Verarbeitung personenbezogener Daten ohne aktiv erteilte Einwilligung rechtswidrig, außer es greift ausnahmsweise einer der Rechtfertigungsgründe gemäß Art. 6 DSGVO. Vorliegend waren für das Gericht keine Rechtfertigungsgründe ersichtlich, weshalb die durchgeführte Datenverarbeitung unrechtmäßig war.
Insbesondere war die Datenverarbeitung, die bereits im Ausspähen des Klägers lag, nicht erforderlich. Es hätten auch mildere Mittel wie eine ergänzende Selbstauskunft und die Vorlage eines polizeilichen Führungszeugnisses ergriffen werden können.
Darüber hinaus ist gemäß Art. 10 DSGVO die Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten nur unter behördlicher Aufsicht zulässig.
Des Weiteren führte das Gericht aus, dass die Datenweitergabe an die anderen Vorstandsmitglieder über das Privatverhältnis zwischen dem Kläger und dem Geschäftsführer weit hinaus ging. Der Verstoß wiege allein schon deshalb so schwer, weil es sich bei den erhobenen Daten mit Strafrechtsbezug um besonders sensible Daten handelte.