Ud over selskabet er også direktører ansvarlige for overtrædelse af GDPR for erstatning. Dette fremgår af en dom fra OLG Dresden (Az.: 4 U 1158/21).
Retligt set er det omstridt, om direktører ud over selskabet også kan holdes ansvarlige over for de berørte parter i tilfælde af databrud. OLG Dresden har nu bekræftet dette ansvar i en bemærkelsesværdig dom af 30. november 2021 ifølge forretningsadvokatfirmaet MTR Rechtsanwälte.
Oberlandesgericht Dresden’s udtalelser om sagsforholdet er sparsomme. Så vidt det kan ses, ønskede sagsøgeren at blive optaget i en registreret forening. Direktøren lod derfor en detektiv undersøge sagsøgerens fortid. Det kom åbenbart frem, at sagsøgeren allerede var blevet kriminel. Direktøren videregav resultaterne af efterforskningen til bestyrelsen, som derefter afviste medlemsansøgningen.
Sagsøgeren fremsatte krav om erstatning for krænkelse af databeskyttelse i henhold til Art. 82 GDPR. LG Dresden tilkendte erstatning til sagsøgeren i første instans, dog ikke i den krævede højde på 21.000 euro, men i stedet på 5.000 euro. Erstatningen skulle bæres solidarisk af foreningen og direktøren. OLG Dresden bekræftede denne dom i ankeproceduren. Indklagedes ulovlige databehandling berettigede til et erstatningskrav for en ikke-økonomisk skade. Spionage og videregivelse af resultaterne havde desuden overskredet bagatelgrænsen.
I henhold til Art. 82 stk. 1 GDPR har enhver person, der har lidt en materiel eller ikke-materiel skade på grund af overtrædelse af denne forordning, krav på erstatning mod den dataansvarlige eller databehandleren.
OLG Dresden udtalte, at direktøren for et GmbH også er dataansvarlig i henhold til GDPR ud over selskabet. Dermed bærer direktøren også ansvaret i erstatningskrav. OLG tillod ikke revision.
Hvis andre domstole følger OLG Dresdens retspraksis, kan det få betydelige konsekvenser for direktørernes ansvarsrisici.
Erfarne advokater kan rådgive i tilfælde af databeskyttelsesovertrædelser.
