Datenschutzverstoß – Enthaftung des Verantwortlichen durch weisungswidriges Verhalten von Arbeitnehmern?

Der EuGH hat aktuell mit Urteil vom 11. April 2024 (Az. C‑741/21) seine bisherige Rechtsprechungspraxis bezüglich der Anforderungen an den immateriellen Schaden bei der Geltendmachung von Schadensersatz aufgrund von Datenschutzverstößen bestätigt. Darüber hinaus hat er etwas mehr Gewissheit geschaffen zu der Frage, wann sich Arbeitgeber aufgrund eines Fehlverhaltens ihrer Arbeitnehmer von einer Haftung befreien können.

Insgesamt stärkt der EuGH die Betroffenenrechte weiter.

Hintergrund

In dem zugrunde liegenden Ausgangssachverhalt hatte ein Rechtsanwalt einen juristischen Datenbankanbieter vor dem Landgericht Saarbrücken auf Schadensersatz gemäß Art. 82 Abs. 1 DSGVO verklagt, da er trotz mehrfach erklärtem Widerspruch weiterhin Werbe-E-Mails erhielt. Er stützte seinen Schadensersatzanspruch auf das Argument des Kontrollverlusts über seine Daten. Der Datenbankanbieter hingegen wies die Haftung insbesondere mit der Begründung zurück, dass sich ein Mitarbeiter weisungswidrig verhalten habe.

Der EuGH hatte sodann über Fragen zur Auslegung des Art. 82 DSGVO zu entscheiden.

Entscheidungsgründe

Grundsätzlich steht gemäß Art. 82 Abs. 1 DSGVO jeder Person, der aufgrund eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, ein Schadensersatzanspruch zu. Der EuGH stellte nochmals klar, dass allein das Vorliegen eines Verstoßes gegen die DSGVO jedoch keinen Schadensersatzanspruch i.S.v. Art. 82 Abs. 1 DSGVO begründet. Vielmehr müsse neben einem Verstoß gegen die DSGVO ein materieller oder immaterieller Schaden sowie ein Kausalzusammenhang zwischen dem Datenschutzverstoß und dem entstandenen Schaden vorliegen (vgl. Urt. v. 25.01.2024, MediaMarktSaturn, C‑687/21). Der „Verlust der Kontrolle“ könne, wie sich aus dem 85. Erwägungsgrund der DSGVO ausdrücklich ergibt, einen Schaden darstellen. Hier bestätigte der EuGH nochmals, dass auch ein kurzzeitiger Kontrollverlust genüge. Erforderlich ist jedoch, dass die betroffene Person einen Nachweis dafür erbringt, dass sie tatsächlich einen solchen Schaden erlitten hat.

Der EuGH äußerte sich allerdings nicht dazu, welche Darlegungsanforderungen im Hinblick auf den Schaden an den Betroffenen gestellt werden.

Des Weiteren stellt der EuGH strenge Anforderungen an die Exkulpation von Arbeitgebern, die sich unter Berufung auf weisungswidriges Verhalten ihrer Arbeitnehmer der Haftung entziehen wollen. Nach Art. 82 Abs. 3 DSGVO, auf welchen sich der Anbieter in dem zugrunde liegenden Fall stützte, wird ein Verantwortlicher oder Auftragsverarbeiter von der Haftung befreit, wenn er nachweisen kann, „dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.“ Der EuGH stellte zunächst klar, dass sich Arbeitgeber nicht allein auf Fahrlässigkeit oder ein Fehlverhalten der ihnen unterstellten Personen berufen können. Arbeitgeber haben sich vielmehr zu vergewissern, dass die ihnen unterstellten Personen ihre Weisungen korrekt ausführen. Denn es würde die praktische Wirksamkeit des Schadensersatzanspruches des Art. 82 Abs. 1 DSGVO beeinträchtigen, wenn sich Arbeitgeber lediglich durch das Berufen auf ein Fehlverhalten der ihnen unterstellten Personen von der Haftung befreien könnten. Dies sei nicht vereinbar mit dem Ziel der DSGVO, ein hohes Schutzniveau für natürliche Personen bei der Datenverarbeitung zu gewährleisten.
Welche Anforderungen Arbeitgeber konkret zu erfüllen haben, um sich zu vergewissern, dass ihre Arbeitnehmer ihre Weisungen korrekt ausführen und sie sich somit gemäß Art. 82 Abs. 3 DSGVO exkulpieren können, lies der EuGH allerdings offen.

Auswirkungen auf die Praxis

Arbeitgeber können sich zur Haftungsbefreiung für Datenschutzverstöße nicht lediglich auf weisungswidriges Verhalten ihrer Arbeitnehmer berufen. Eine einfache Weisungserteilung zur Beachtung der Datenschutzbestimmungen durch den Arbeitgeber reicht keinesfalls aus. Zur Sicherstellung der Einhaltung der Weisungen sollten daher in jedem Fall weitere Maßnahmen ergriffen werden. Nur ein stringentes Datenschutz-Compliance-System mit eindeutigen Verantwortlichkeiten, Kontrollen und regelmäßigen Schulungen sowie weiteren technischen und organisatorischen Maßnahmen kann – wenn überhaupt – dazu führen, dass sich Verantwortliche für das Fehlverhalten einzelner Arbeitnehmer nicht haften müssen. Die Möglichkeit der Enthaftung auf diesem Wege wird aber dennoch die große Ausnahme bleiben.