Dusseldorf, 8 December 2025 – The international law firm ADVANT Beiten has provi…
Grundsätzlich gilt, dass die Gesellschaft im Außenverhältnis selbst haftet und der Geschäftsführer nur in Ausnahmefällen persönlich in Anspruch genommen werden kann. Die sog. Haftungskonzentration ergibt sich aus § 43 Abs. 2, Abs. 3 GmbHG. Danach haftet der Geschäftsführer grundsätzlich nur der GmbH gegenüber, nicht aber anderen Gesellschaftern oder Dritten.
Das OLG Dresden hat mit seinem Urteil vom 30. November 2021, Az. 4 U 1158/21, den Ausnahmekatalog für die persönliche Haftung des Geschäftsführers auf den Bereich des Datenschutzrechts erweitert. Danach soll der Geschäftsführer einer GmbH nun neben der Gesellschaft für einen Verstoß gegen Art. 82 Abs. 1 DS-GVO haften. Dies wird damit begründet, dass der Geschäftsführer ebenfalls Verantwortlicher im Sinne des Art. 4 Nr. 7 DS-GVO sei.
Dieser Entscheidung liegt folgender Sachverhalt zugrunde: Der Kläger beantragte eine Mitgliedschaft bei einer Gesellschaft, woraufhin dessen Geschäftsführer Nachforschungen über den Kläger anstellte. Der Geschäftsführer gewann dabei strafrechtlich relevante Erkenntnisse und teilte diese der GmbH mit. Die GmbH lehnte deshalb die Mitgliedschaft ab. Der Kläger machte seinen Schadensersatzanspruch sowohl gegen die GmbH als auch den Geschäftsführer wegen Verstoß gegen die DS-GVO geltend.
Nach Art. 4 Nr. 7 DS-GVO wird im Datenschutzrecht der „Verantwortliche“ definiert als „die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“. Das OLG Dresden erkennt zwar in seinem Urteil, dass die Verantwortlichkeit weisungsgebundener Angestellter oder sonstiger Beschäftigter zwar in aller Regel entfällt, allerdings würde dies beim Geschäftsführer nicht gelten. Eine Begründung für eine Ausnahme vom Grundsatz der Haftungskonzentration bleibt dabei aus.
Das OLG Dresden geht in seinen Entscheidungsgründen nicht darauf ein, weshalb der Geschäftsführer neben der Gesellschaft gesamtschuldnerisch haften soll. Zurecht wird die Entscheidung des OLG Dresden und die damit einhergehende Haftungserweiterung für den Geschäftsführer einer GmbH daher kritisiert. Der Geschäftsführer handelt in der Regel nicht persönlich, sondern in seiner Position als Geschäftsführer und im Interesse der Gesellschaft. Die persönliche Haftung des Geschäftsführers als Regelfall dürfte mithin fraglich sein.
In der Literatur wird überwiegend die Ansicht vertreten, dass bei einer juristischen Person nur die Gesellschaft als Verantwortliche im Sinne der DS-GVO gesehen werde, nicht der Geschäftsführer. Die Verantwortlichkeit von Gesellschaft und Geschäftsführer sei nicht notwendig.
Weiter wird in der Literatur vertreten, dass „Verantwortlicher“ derjenige ist, der für die Einhaltung der Datenschutzregelungen verantwortlich sei. Die vom Verstoß gegen Datenschutzrecht betroffene Person solle wissen, an wen sie sich wenden müsse. So sei die Gesellschaft eine bessere Anlaufstelle als der Geschäftsführer selbst, da dieser aus dem Unternehmen ausscheiden könne1.
Mangels Begründung kann nur vermutet werden, dass der 4. Senat des OLG Dresden bei seiner Beurteilung auf verschiedene Handlungen abgestellt hat: Einerseits auf die Nachforschungen über den Kläger durch den Geschäftsführer und die Weiterleitung der Ergebnisse an das Unternehmen, andererseits auf die Ablehnung des Unternehmens auf Grundlage der gewonnenen Erkenntnisse 2.
Das Urteil des OLG Dresden hat auch Auswirkungen für die D&O-Versicherer. Der Versicherungsschutz bei D&O-Versicherungen umfasst grundsätzlich alle Schadensersatzansprüche, die gegen ein Organ einer Gesellschaft geltend gemacht werden, also auch Schadensersatzforderungen gegen Geschäftsführer wegen datenschutzrechtlicher Verstöße. Durch die Auslegung des OLG Dresden steigt insoweit das Risiko für die Inanspruchnahme von Geschäftsführern.
Es mag dahinstehen, ob die Entscheidung des OLG Dresden, wonach Geschäftsführer bei Verstößen gegen die Datenschutzgrundverordnung neben der Gesellschaft gesamtschuldnerisch haften sollen, zutreffend ist oder nicht. Auch wenn sich die Literatur derzeit gegen die Richtigkeit dieser Entscheidung stemmt, so bewirkt die Entscheidung des OLG Dresden jedenfalls rein faktisch, dass sich das Risiko für Geschäftsführer erhöht, für Verstöße gegen die Datenschutzgrundverordnung unmittelbar gegenüber Dritten zu haften. Es bleibt abzuwarten, ob weitere Gerichte der Ansicht des OLG Dresden folgen werden oder nicht. Geschäftsführer sollten jedenfalls umso mehr für eine Einhaltung der Datenschutzgrundverordnung Sorge tragen. Sie sollten auch sicherstellen, dass sie für den „Worst-Case“ ausreichend versichert sind. Letztlich bedeutet die Entscheidung des OLG Dresden auch für D&O-Versicherer ein erhöhtes Risiko.
1 Artikel-29-Datenschutzgruppe, Stellungnahme 1/2010, WP 169, S. 6, S. 19.
2 IR 2022, 155 (156).
