Förutom företaget är även chefer ansvariga för brott mot GDPR och kan hållas ansvariga för skadestånd. Detta framgår av en dom från OLG Dresden (Ärende: 4 U 1158/21).
Det är rättsligt omstritt huruvida även chefer, förutom företaget, kan hållas ansvariga gentemot de berörda vid överträdelser av dataskydd. OLG Dresden har nu i en anmärkningsvärd dom från den 30 november 2021 bekräftat detta ansvar, enligt advokatbyrån MTR Rechtsanwälte.
Oberlandesgericht Dresden’s redogörelse för fallet är knapp. Så vitt det kan ses, ville käranden bli medlem i en registrerad förening. Chefen lät därför en detektiv göra efterforskningar om kärandens bakgrund. Det framkom tydligen att denne redan hade blivit brottslig. Chefen delgav resultaten av efterforskningarna till styrelsen, som därefter avslog medlemsansökan.
Käranden framställde skadeståndsanspråk för brott mot dataskydd enligt Art. 82 GDPR. LG Dresden beviljade honom i första instans inte skadestånd i den begärda summan av 21 000 euro, men ändå 5 000 euro. Skadeståndet skulle bäras solidariskt av föreningen och chefen. OLG Dresden bekräftade denna dom i överklagandet. Den otillåtna databehandlingen av svarandena rättfärdigade anspråket på skadestånd för en icke-materiell skada. Att spionera och vidarebefordra resultaten hade dessutom överstigit en bagatellgräns.
Enligt artikel 82 punkt 1 GDPR har varje person, till vilken på grund av ett brott mot denna förordning en materiell eller icke-materiell skada har uppstått, rätt till skadestånd från den ansvarige eller uppdragstagaren.
OLG Dresden konstaterade att en chef för ett GmbH förutom företaget är en ansvarig person i den mening som avses i GDPR. Därmed är även chefen ansvarig för skadeståndsanspråk. OLG tillät inte överklagande.
Om andra domstolar ansluter sig till OLG Dresdens jurisdiktion, kan det få betydande konsekvenser för chefers ansvarsrisker.
Erfarna advokater kan ge råd om dataskyddsöverträdelser.
