Das Oberlandesgericht (OLG) München entschied mit seinem Urteil vom 27.10.2021, dass ein externer Datenschutzbeauftragter nicht gemäß Art. 82 DSGVO für Datenschutzverletzungen seiner Kunden haftet (Az. 20 U 7051/20). Dies deshalb, weil der Datenschutzbeauftragter kein "Verantwortlicher" im Sinne der DSGVO ist. Verantwortlich für die Verarbeitung der Daten und die damit einhergehende Gewährleistung des Datenschutzes, obliege vielmehr den Auftraggebern, so das OLG München.
- Datenschutzrecht
Keine Haftung des Datenschutzbeauftragten bei DSGVO-Verletzungen des Auftraggebers
von Carl Christian Müller
OLG München: Externe Datenschutzbeauftragte sind keine "Verantwortlichen"
Namensnennung in Tagesordnung
Vor dem Oberlandesgericht München stritten Wohnungseigentümer und Hausverwaltung über die Nennung seines Namens in einer Einladung zur Eigentümerversammlung. Konkret ging es um einen Legionellen-Befall des Trinkwassers in der Wohnung des Klägers. Die Hausverwaltung wies in der Tagesordnung zur Eigentümerversammlung auf diesen Befund hin und nannte dabei auch den Namen des Klägers. Der Kläger sah darin einen Verstoß gegen Art. 6 DSGVO und leitete daraus einen Anspruch auf Schadensersatz gegen die Hausverwaltung sowie gegen den externen Datenschutzbeauftragten ab. Ein Schaden sei ihm dadurch entstanden, dass ein potenzieller Käufer seiner Wohnung vom Erwerb der Wohnung abgesehen habe, da er aus dem Kreis der anderen Eigentümer vom Befall mit Legionellen-Zellen erfahren habe, begründete der Kläger.
Keine Verantwortlichkeit, keine Schuldanerkenntnis
Das OLG München lehnte einen Schadensersatzanspruch aus Art. 82 DSGVO ab und bestätigte damit die Entscheidung der Vorinstanz (Landgericht Landshut, Urteil vom 6.11.2020, Az. 51 O 513/20). Wie auch das LG Landshut entschied das OLG München, dass der externe Datenschutzbeauftragte kein Verantwortlicher im Sinne der DSGVO sei. Verantwortlich sei vielmehr die Hausverwaltung als zuständige Stelle, die lediglich Handlungsempfehlungen des externen Datenschutzbeauftragten erhielte, begründete das OLG München. Der Kläger verwies zudem auf eine E-Mail des Datenschutzbeauftragten, in welcher diese einen Verstoß gegen die DSGVO einräumen würde. Wie das Gericht aber entschied, stelle dieser Schriftverkehr kein Schuldanerkenntnis dar, weil es am Rechtsbindungswillen des Datenschutzbeauftragten fehlen würde. Damit ließe sich auch aus einem etwaigen Schuldanerkenntnis kein Anspruch auf Schadensersatz gemäß Art. 82 DSGVO gegen den Datenschutz-Experten ableiten.
DSGVO-Verstoß ist gerechtfertigt
Die zuständige Hausverwaltung ist dagegen unproblematisch Verantwortliche gemäß Art. 4 Nr. 7 DSGVO. Jedoch sei der Schadensersatzanspruch auch gegenüber der Hausverwaltung zu verneinen, erklärte das OLG München. Nicht jeder Verstoß gegen die DSGVO berechtigt ohne Weiteres dazu Schadensersatz geltend zu machen. Unter anderem bei Bagatellverstößen oder dann, wenn die Weitergabe bzw. Bekanntgabe sachlich gerechtfertigt ist, scheidet ein solcher Anspruch aus. So liegt die Fallkonstellation hier: Die Eigentümergemeinschaft habe gerade ein berechtigtes Interesse daran über den Befall informiert zu werden (§§ 13, 14 WEG), führte das OLG München aus. Die Nennung der Eigentümer der befallenen Wohnungen sei auch erforderlich gewesen, um das Ausmaß des Befalls, die Redebeiträge der Eigentümer, die getroffenen und noch zu treffenden Maßnahmen zur Behebung korrekt beurteilen zu können.