Das Oberlandesgericht Dresden (OLG Dresden) hat mit Urteil vom 14. März 2023 (Az. 4 U 1377/22) eine wegweisende Entscheidung im Datenschutzrecht für Unternehmen gefällt.
Demnach können juristische Personen – etwa GmbHs, AGs oder Vereine – grundsätzlich keine Schadensersatzansprüche nach Art. 82 DSGVO geltend machen, wenn es um die Verarbeitung personenbezogener Daten geht.
Kernaussage des Gerichts – OLG Dresden zur DSGVO:
Die DSGVO schützt ausschließlich natürliche Personen, nicht jedoch Unternehmen als solche.
Sachverhalt: Streit um interne Mitarbeiterdaten und Datenschutzrecht für Unternehmen
Der Rechtsstreit begann, als eine juristische Person des Privatrechts – konkret ein Unternehmen – gerichtlich gegen die Verwendung interner Mitarbeiterinformationen vorging. Der Beklagte hatte im Rahmen eines anderen Verfahrens Urlaubslisten, Angaben zu krankheitsbedingten Fehlzeiten und Prämienzahlungen vorgelegt. Diese Daten stammten aus der internen Lohnbuchhaltung der Klägerin.
Das Unternehmen sah darin einen unzulässigen Eingriff in den Datenschutz und stützte seine Klage auf mehrere Rechtsgrundlagen: die Datenschutz-Grundverordnung (DSGVO), das Bundesdatenschutzgesetz (BDSG) sowie allgemeine zivilrechtliche Ansprüche nach §§ 823, 1004 BGB.
Die Klägerin argumentierte, dass bereits die Weitergabe und Nutzung dieser internen Listen eine Verletzung des Datenschutzrechts darstelle, unabhängig davon, ob die betroffenen Personen – hier die Mitarbeiter – selbst geklagt hätten. Sie sah sich als Inhaberin der Daten berechtigt, Unterlassung, Auskunft über die Datenverwendung sowie Herausgabe der übermittelten Informationen zu verlangen.
Der Fall bot dem Gericht die Gelegenheit, zentrale Fragen zur Anwendbarkeit der DSGVO auf Unternehmen, zur Reichweite des BDSG und zum Schutzumfang des Geschäftsgeheimnisrechts zu klären. Die Entscheidung des OLG Dresden sollte schließlich deutlich machen, welche rechtlichen Grenzen für Unternehmen bei der Berufung auf Datenschutz bestehen.
Rechtliche Begründung des OLG Dresden – Warum Unternehmen keinen Schadensersatz nach Art. 82 DSGVO erhalten
Das OLG Dresden nutzte den Fall, um zentrale Grundsatzfragen zur Reichweite des Datenschutzrechts für juristische Personen zu klären. Ausgangspunkt war Art. 4 Nr. 1 DSGVO, der den Schutz personenbezogener Daten ausdrücklich nur für natürliche Personen vorsieht. Juristische Personen – wie GmbHs, AGs oder Vereine – fallen nicht darunter. Folglich können Unternehmen keinen Schadensersatz nach Art. 82 DSGVO beanspruchen.
Das Gericht prüfte zudem das Bundesdatenschutzgesetz (BDSG). Ergebnis: Das BDSG schafft keine eigenständigen Ansprüche für Unternehmen, sondern dient der Umsetzung und Ergänzung der DSGVO, insbesondere im Bereich des Beschäftigtendatenschutzes. Nationale Gesetze dürfen laut OLG Dresden nicht genutzt werden, um über die DSGVO hinaus Ansprüche zu konstruieren. Dies folgt aus dem Anwendungsvorrang des EU-Rechts.
Besondere Bedeutung hat die Feststellung, dass datenschutzrechtliche Ansprüche höchstpersönlicher Natur sind. Das heißt: Sie können nicht übertragen werden und stehen ausschließlich den unmittelbar betroffenen Personen zu. Unternehmen müssen daher alternative rechtliche Instrumente nutzen, um ihre Interessen zu schützen – etwa vertragliche Vereinbarungen, das Geschäftsgeheimnisrecht oder andere spezialgesetzliche Regelungen.
Zu unterscheiden sind daher Fälle, in denen entsprechende Verträge mit Dienstleistern verletzt werden. Dann ergeben sich die Ansprüche natürlich aus dem Vertrag, was aber nichts mit Datenschutzrecht zu tun hat.
In Fällen, in denen kein Vertrag besteht, haben die Ansprüche nur die Betroffenen, deren Daten tatsächlich verarbeitet werden. Dies könnten beispielsweise Arbeitnehmer der juristischen Person sein.
Auswirkungen des OLG-Dresden-Urteils auf den Datenschutz im Unternehmenskontext
Der Datenschutz im Unternehmenskontext sollte als strategische Daueraufgabe verstanden werden, die über die reine Anwendung der DSGVO hinausgeht. Unternehmen sind gut beraten, ihre Datenschutzkonzepte um ergänzende rechtliche Instrumente – wie vertragliche Regelungen, branchenspezifische Vorschriften und das Geschäftsgeheimnisrecht – zu erweitern. Das Urteil des OLG Dresden trägt zwar zu mehr Rechtssicherheit bei, zieht jedoch zugleich eine klare Grenze: Juristische Personen können sich nicht auf Schadensersatzansprüche nach Art. 82 DSGVO stützen.
Urlaubslisten, Krankheitszeiten und Prämienzahlungen – Grenzen des Geschäftsgeheimnisrechts
Ein zentrales Element der Entscheidung des OLG Dresden war die Frage, ob Urlaubslisten, Krankheitszeiten und Prämienzahlungen von Mitarbeitern als Geschäftsgeheimnisse im Sinne des Gesetzes zum Schutz von Geschäftsgeheimnissen (GeschGehG) gelten. Das Gericht verneinte dies eindeutig. Der Grund: Solche personenbezogenen Daten haben in der Regel keinen wirtschaftlichen Wert im wettbewerbsrechtlichen Sinne.
Nach § 2 Nr. 1 GeschGehG gilt eine Information als Geschäftsgeheimnis, wenn folgende Voraussetzungen erfüllt sind:
Geheimhaltung: Die Information ist weder insgesamt noch in ihrer konkreten Zusammensetzung und Anordnung allgemein bekannt oder für Fachkreise ohne Weiteres zugänglich.
Wirtschaftlicher Wert: Sie besitzt aufgrund ihrer Geheimhaltung einen wirtschaftlichen Wert.
Schutzmaßnahmen: Der rechtmäßige Inhaber hat unter Berücksichtigung der Umstände angemessene Maßnahmen ergriffen, um die Information geheim zu halten.
Berechtigtes Geheimhaltungsinteresse: Es besteht ein nachvollziehbares Interesse daran, dass die Information nicht öffentlich wird.
Im vorliegenden Fall konnte das Unternehmen nicht darlegen, dass die Offenlegung der Urlaubslisten seine Wettbewerbsposition beeinträchtigen würde. Damit fehlte das entscheidende Kriterium des wirtschaftlichen Nutzens. Das OLG Dresden stellte klar: Auch wenn Arbeitgeber ein berechtigtes Interesse am Schutz solcher Listen haben, reicht dies allein nicht für den gesetzlichen Geheimnisschutz aus.
Wann interne Unternehmensdaten als Geschäftsgeheimnis gelten
Für Unternehmen bedeutet dies: Nicht jede interne Information fällt automatisch unter das Geschäftsgeheimnisrecht. Sensible Unternehmensdaten sollten deshalb gezielt klassifiziert, dokumentiert und – falls wirtschaftlich relevant – durch vertragliche und technische Maßnahmen abgesichert werden. Nur so ist ein wirksamer Schutz nach dem GeschGehG gewährleistet.
Kein Rückgriff auf das Allgemeine Persönlichkeitsrecht im Unternehmensdatenschutz
Das OLG Dresden stellte in seinem Urteil klar, dass sich juristische Personen nicht auf das Allgemeine Persönlichkeitsrecht oder das daraus abgeleitete Recht auf informationelle Selbstbestimmung berufen können, um datenschutzrechtliche Unterlassungsansprüche durchzusetzen. Diese Grundrechte sind ausschließlich zum Schutz natürlicher Personen konzipiert und dienen der Wahrung ihrer persönlichen Entfaltung.
Zwar können Unternehmen in bestimmten Ausnahmefällen einen zivilrechtlichen Persönlichkeitsschutz genießen – etwa wenn ihre geschäftliche Reputation oder ihre Stellung als Arbeitgeber massiv bedroht ist. Im vorliegenden Verfahren lagen solche besonderen Umstände jedoch nicht vor. Die fraglichen E-Mails enthielten ausschließlich wahre Tatsachenbehauptungen, die weder rufschädigend noch ehrenrührig waren.
Trennung zwischen Persönlichkeitsrecht und DSGVO-Ansprüchen
Das Gericht betonte, dass der Anwendungsbereich des Persönlichkeitsrechts strikt von datenschutzrechtlichen Ansprüchen zu trennen ist. Unternehmen können ihre Interessen im Bereich Datenschutz daher nicht über Grundrechte absichern, sondern müssen auf vertragliche Schutzmechanismen und spezialgesetzliche Vorschriften zurückgreifen.
Praxisrelevanz und Handlungsempfehlungen – So sichern Unternehmen Daten außerhalb der DSGVO
Die Entscheidung des OLG Dresden hat erhebliche Auswirkungen auf den Umgang mit Datenschutz im Unternehmenskontext. Sie stellt klar: Schadensersatzansprüche nach Art. 82 DSGVO stehen ausschließlich natürlichen Personen zu. Unternehmen als juristische Personen können sich nicht auf diese Vorschrift stützen, selbst wenn interne Mitarbeiterdaten unbefugt verarbeitet werden. Damit entfällt ein oft vermuteter Rechtsweg, um sich gegen Datenschutzverletzungen zu wehren.
In der Praxis bedeutet dies, dass Unternehmen ihre Datenschutz- und Compliance-Strategien neu ausrichten müssen. Der Fokus sollte stärker auf der Prävention liegen, welche durch vertraglichen Schutzmechanismen, internen Richtlinien und dem gezielten Einsatz des Geschäftsgeheimnisrechts umgestezt werden kann. Der bloße Verweis auf die DSGVO reicht nicht aus, um Unternehmensinformationen zu sichern, wenn diese keinen wirtschaftlichen Wert im Sinne des GeschGehG besitzen.
Empfohlene Maßnahmen zur rechtssicheren Datenverarbeitung im B2B-Bereich
- Arbeitsverträge und Geheimhaltungsvereinbarungen regelmäßig prüfen und anpassen.
- Interne Daten nach wirtschaftlicher Relevanz und Schutzwürdigkeit klassifizieren.
- Technische Schutzmaßnahmen (z. B. Zugriffsbeschränkungen, Verschlüsselung) implementieren.
- Führungskräfte und Mitarbeiter im sicheren Umgang mit sensiblen Daten schulen.
- Dokumentation aller Datenschutz- und Geheimnisschutzmaßnahmen führen.
Langfristig stärkt dieses Urteil das Bewusstsein, dass Datenschutz im Unternehmenskontext strategisch geplant werden muss. Unternehmen sollten daher proaktiv Strukturen schaffen, um sowohl personenbezogene Daten als auch wirtschaftlich relevante Informationen rechtssicher zu schützen.
❓ FAQ zum OLG-Dresden-Urteil: Kein DSGVO-Schadensersatz für juristische Personen
Das Oberlandesgericht Dresden hatte zu entscheiden, ob ein Unternehmen (juristische Person) Schadensersatz- oder Unterlassungsansprüche nach Art. 82 DSGVO geltend machen kann, wenn Daten aus seiner internen Lohnbuchhaltung (z. B. Urlaubslisten, Krankheitszeiten, Prämienzahlungen) ohne Erlaubnis verwendet werden.
Das Gericht kam zu dem Ergebnis: Nein – die DSGVO schützt nur natürliche Personen, nicht Unternehmen.
Grundsätzlich nicht.
Art. 4 Nr. 1 DSGVO definiert „personenbezogene Daten“ nur für natürliche Personen. Das bedeutet: Nur diese haben Rechte und Ansprüche nach der DSGVO, z. B. Auskunft, Löschung oder Schadensersatz. Juristische Personen (GmbHs, AGs, Vereine) fallen nicht darunter.
Ja – aber nicht auf Grundlage der DSGVO.
- Vertragliche Ansprüche: Wenn ein Vertrag mit einem Dienstleister verletzt wird (z. B. Verstoß gegen eine NDA), können Ansprüche aus Vertragsrecht entstehen.
- Andere Rechtsgebiete: Möglich sind Ansprüche aus dem Geschäftsgeheimnisschutz, dem Wettbewerbsrecht oder speziellen Fachgesetzen – wenn die Voraussetzungen vorliegen.
In diesem Fall können grundsätzlich nur die betroffenen Arbeitnehmer selbst datenschutzrechtliche Ansprüche nach der DSGVO geltend machen – das Unternehmen als juristische Person ist nicht „betroffene Person“ im Sinne von Art. 4 Nr. 1 DSGVO.
Ausnahme: In sehr engen Grenzen erlaubt Art. 80 Abs. 2 DSGVO den Mitgliedstaaten, bestimmten Institutionen (z. B. gemeinnützigen Datenschutzverbänden) die Rechte betroffener Personen aus Art. 77–79 DSGVO auch ohne Auftrag der betroffenen Person wahrzunehmen. Dies betrifft aber nur Beschwerde- und Rechtsbehelfsrechte – nicht Schadensersatzansprüche.
Für Art. 82 DSGVO (Schadensersatz) ist immer ein Auftrag der betroffenen Person erforderlich. Ohne diesen Auftrag kann weder das Unternehmen noch eine Institution die Ansprüche stellvertretend einklagen.
Nach Ansicht des OLG Dresden nein.
Damit eine Information ein Geschäftsgeheimnis nach § 2 Nr. 1 GeschGehG ist, muss sie:
- Geheim sein (nicht allgemein bekannt oder leicht zugänglich)
- Wirtschaftlichen Wert aufgrund der Geheimhaltung haben
- Angemessen geschützt werden
- Berechtigtes Geheimhaltungsinteresse bestehen
Urlaubslisten haben nach Ansicht des Gerichts keinen wirtschaftlichen Wert im Sinne des Gesetzes, da ihre Offenlegung die Wettbewerbsposition des Unternehmens nicht beeinflusst.
Das Allgemeine Persönlichkeitsrecht schützt nur natürliche Personen in ihrer persönlichen Entfaltung.
Juristische Personen genießen zwar eingeschränkten zivilrechtlichen Persönlichkeitsschutz (z. B. bei Rufschädigung), doch das Recht auf informationelle Selbstbestimmung gilt nicht für sie.
- Unternehmen können Datenschutzverstöße nicht mit DSGVO-Schadensersatzforderungen gegen Dritte ahnden.
- Schutz sensibler Unternehmensinformationen muss strategisch geplant werden – mit vertraglichen Regelungen, Compliance-Maßnahmen und ggf. Geschäftsgeheimnisschutz.
- Intern sollten Daten, die wirtschaftlich relevant sind, besonders gekennzeichnet und technisch sowie organisatorisch geschützt werden.
- Vertragliche Geheimhaltungsklauseln in Arbeits- und Dienstverträgen
- Technische Maßnahmen wie Zugriffs- und Berechtigungskonzepte
- Geschäftsgeheimnisrecht (wenn wirtschaftlicher Wert und Geheimhaltungsmaßnahmen vorliegen)
- IT-Sicherheitsrecht und branchenspezifische Spezialgesetze
Ja. Wenn ihre personenbezogenen Daten unrechtmäßig verarbeitet oder weitergegeben wurden, können sie selbst Ansprüche nach der DSGVO (Art. 12–22, 77 ff.) geltend machen, z. B. auf Auskunft, Löschung oder Schadensersatz.