Warum ist das relevant?

Bei Verstößen gegen das Datenschutzrecht drohen Unternehmen insbesondere zwei Konsequenzen: Maßnahmen der Datenschutzaufsichtsbehörden inkl. möglicher DSGVO-Geldbußen nach Art. 83 DSGVO sowie Schadensersatzforderungen der betroffenen Personen nach Art. 82 DSGVO.

Nachdem die Rechtsprechung des Europäischen Gerichtshofes (EuGH) zuletzt bereits die Verhängung von Geldbußen durch die zuständigen Aufsichtsbehörden erleichtert hatte , wird es Unternehmen nun deutlich erschwert, sich durch Hinweis auf weisungswidriges Verhalten von Beschäftigten den Schadensersatzforderungen betroffener Personen zu entziehen (EuGH, Urteil vom 11. April 2024 – C‑741/21).

Das Wichtigste in Kürze:

• Der EuGH ist deutlich: Eine Haftungsbefreiung kommt überhaupt nur so weit in Betracht, wie sie nicht die praktische Wirksamkeit des in Art. 82 Abs. 1 DSGVO verankerten Schadensersatzanspruchs betroffener Personen gefährdet.
• Dementsprechend stellt das Gericht klar, dass eine Haftungsbefreiung im Rahmen von Datenschutzverstößen nur dann möglich ist, wenn Unternehmen nachweisen können, dass sie in „keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich“ sind.
• Bei der Prüfung einer irgendwie gearteten Verantwortlichkeit von Unternehmen ist im Hinblick auf das weisungswidrige Verhalten von Beschäftigten zu berücksichtigen, dass es sich bei den Beschäftigten eines Unternehmens um „dem Verantwortlichen unterstellte Personen“ i.S.d. Art. 29 DSGVO handelt. Diese Personen dürfen personenbezogene Daten ausschließlich auf Weisung des Verantwortlichen verarbeiten, sodass bei weisungswidrigem Verhalten der Ausschluss einer Haftung auf den ersten Blick naheliegt.
• Unternehmen sind jedoch dazu verpflichtet, mittels technischer und organisatorischer Maßnahmen sicherzustellen, dass die Datenverarbeitung durch Beschäftigte auch wirklich nur weisungsgemäß stattfindet. Eine weisungswidrige Verarbeitung legt somit zunächst nahe, dass die Maßnahmen des Unternehmens zum Schutz gegen weisungswidriges Verhalten nicht ausreichend waren, sodass auch Haftungsausschluss nicht in Betracht kommt.
• Die Frage, wie solche Maßnahmen aussehen könnten, die im Ergebnis zu einer wirksamen Haftungsbefreiung für Unternehmen führen könnten, wurde vom EuGH nicht beantwortet.
• In der gleichen Entscheidung hat der EuGH zudem festgestellt, dass allein ein Verstoß gegen die Bestimmungen der DSGVO für sich genommen nicht ausreichend ist, um einen DSGVO-Schadensersatzanspruch zu begründen. Das Gericht hält jedoch fest, dass bereits ein kurzzeitiger „Verlust der Kontrolle“ einen „immateriellen Schaden“ i.S.d. DSGVO darstellen kann, der einen Schadensersatzanspruch begründet, sofern die betroffene Person den Nachweis erbringt, dass sie tatsächlich einen solchen Schaden – so geringfügig er auch sein mag – erlitten hat.

Handlungsempfehlung

Dies Urteil zeigt erneut: Einer guten Datenschutz-Organisation kommt ganz wesentliche Bedeutung zu. Klare Handlungs- und Organisationsanweisungen, insbesondere zum Umgang mit Betroffenenrechten (wie z.B. dem Auskunftsrecht), sind das Mindestmaß, das um regelmäßige Schulungen, Kontrollen der eigenen Compliance-Organisation und sonstige technische und organisatorische Maßnahmen zu ergänzen ist.