In dem ausgeurteilten Verfahren hatte der Geschäftsführer einer GmbH strafrechtlich relevante Daten des Klägers über die Beauftragung eines Privatdetektives ausgespäht und gegenüber der Gesellschaft offengelegt. Die Mitgliedsanfrage des vor dem OLG Dresden klagenden Autohändlers wurde daraufhin von der beklagten GmbH abgelehnt.
Das OLG Dresden sah in dem Ausspähen strafrechtlicher Daten und deren Offenlegung gegenüber der Gesellschaft einen Verstoß gegen Art. 6 DSGVO. Hiernach ist jegliche Verarbeitung von personenbezogenen Daten unrechtmäßig, es sei denn es greift ein Rechtfertigungsgrund. Ein solcher, liege vorliegend nicht in einem berechtigten Interesse der GmbH, denn die Ausspähung der Daten verstoße bereits gegen den Erforderlichkeitsgrundsatz.
Als milderes Mittel gegenüber der Beauftragung eines Privatdetektives, hätte die Gesellschaft etwa das potenzielle Mitglied zur Selbstauskunft über die Vorlage eines polizeilichen Führungszeugnisses auffordern können. Zudem sei ein Verstoß gegen Art. 10 DSGVO gegeben, wonach die Verarbeitung personenbezogener Daten im Zusammenhang mit Straftaten nur unter behördlicher Aufsicht erlaubt ist.
Für den aus dem Verstoß gegen die DSGVO resultierenden Schaden hat der Geschäftsführer auch persönlich zu haften. Dieser sei gemäß Art. 4 Nr. 7 DSGVO selbst datenschutzrechtlich Verantwortlicher. Eine datenschutzrechtliche Verantwortlichkeit sei immer dann zu bejahen, wenn eine natürliche oder juristische Person allein oder gemeinsam mit anderen über die Mittel und Zwecke der Datenverarbeitung entscheiden könne. Dementsprechend könne zwar die Verantwortlichkeit von weisungsgebundenen Angestellten entfallen, nicht aber die eines Geschäftsführers.
Des Weiteren bestätigte das OLG Dresden die sich mittlerweile abzeichnende erstinstanzliche Rechtsprechung, wonach der Schadensbetrag der Höhe nach auf den Verantwortlichen abschreckend zu wirken hat. Das Urteil ist daher als datenschutzfreundlich zu begrüßen und dürfte ohne Frage in Zukunft eine zunehmende Praxisrelevanz entfalten, so Rechtsanwalt Ruigrok van de Werve, von der Kanzlei CLLB, welche sich intensiv mit der datenschutzrechtlichen Rechtsprechung auseinandersetzt und Mandate in diversen DSGVO Fällen betreut.