EuGH: Unternehmen können sich nicht auf datenschutzrechtliches Fehlverhalten ihrer Mitarbeiter berufen, um ihrer Verantwortung zu entgehen.

In einer richtungsweisenden Entscheidung vom 11. April 2024 hat der Europäische Gerichtshof (EuGH) wesentliche Fragen zum Datenschutz und zur Haftung von Unternehmen bei Datenschutzverletzungen geklärt. Die Urteilsfindung im Fall C-741/21, bei dem es um Ansprüche auf Schadenersatz nach Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) ging, birgt weitreichende Konsequenzen für Unternehmen in der EU.

Der Fall im Überblick

Gegenstand der Entscheidung war eine Klage gegen die juris GmbH, eine deutsche Firma, die trotz ausdrücklichen Widerspruchs des Klägers dessen personenbezogene Daten für Direktwerbung verwendete. Der Kläger forderte aufgrund mehrfacher unzulässiger Datenverarbeitungsvorgänge Schadenersatz für immateriellen Schaden, insbesondere den Verlust der Kontrolle über seine Daten.

Kernfragen und Entscheidungen des EuGH

  1. Immaterieller Schaden: Der EuGH stellte klar, dass ein Verstoß gegen die DSGVO allein nicht automatisch einen immateriellen Schaden darstellt. Vielmehr muss konkret nachgewiesen werden, dass durch den Verstoß ein immaterieller Schaden, wie z.B. der Verlust der Kontrolle über die eigenen Daten, entstanden ist. Eine Besonderheit des Falls war, dass der Gerichtshof betonte, dass sogar geringfügige Schäden anspruchsberechtigt sein können.
  2. Haftung des Unternehmens: Interessant für Unternehmen ist die Feststellung des Gerichts, dass sich eine Organisation nicht einfach dadurch von der Haftung befreien kann, dass sie das Fehlverhalten einzelner Mitarbeiter geltend macht. Unternehmen sind verpflichtet, die Einhaltung der DSGVO-Vorschriften sicherzustellen, und können sich nicht auf das Fehlverhalten ihrer Mitarbeiter berufen, um ihrer Verantwortung zu entgehen.
  3. Bemessung des Schadenersatzes: Der EuGH hat zudem klargestellt, dass die für Geldbußen in Art. 83 DSGVO festgelegten Kriterien nicht für die Bemessung des Schadenersatzes nach Art. 82 DSGVO herangezogen werden können. Dies bedeutet, dass der Schadenersatz ausschließlich den tatsächlichen Schaden abdecken soll und keine Straffunktion erfüllt.

Auswirkungen auf Unternehmen

Diese Entscheidung unterstreicht die Notwendigkeit für Unternehmen, robuste Datenschutzmaßnahmen zu implementieren und sicherzustellen, dass alle Mitarbeiter diese Vorgaben verstehen und einhalten. Die Unmöglichkeit, sich auf Mitarbeiterfehler zu berufen, erhöht die Verantwortung von Unternehmen erheblich. Zudem macht das Urteil deutlich, dass Betroffene bei jedem noch so kleinen Verlust der Kontrolle über ihre Daten Schadenersatzansprüche geltend machen können.

Fazit

Die Entscheidung des EuGH betont die zentrale Bedeutung des Datenschutzes in der EU und stellt klar, dass Unternehmen für Verstöße gegen die DSGVO zur Rechenschaft gezogen werden können, selbst wenn diese auf Fehler von Mitarbeitern zurückzuführen sind. Unternehmen müssen daher ihre Datenschutzpraktiken und -prozesse sorgfältig überprüfen und gegebenenfalls anpassen, um sich vor möglichen Schadenersatzforderungen zu schützen.

Stefan Lutz, LL.M.

Rechtsanwalt und Fachanwalt für IT-Recht
externer Datenschutzbeauftragter
Lehrbeauftragter für IT-Recht an der RWU

Rechtsanwalt und Fachanwalt für IT-Recht Stefan Lutz, LL.M. berät Firmen und private Mandanten in den Rechtsgebieten des IT-Rechts, wozu unter anderem das Datenschutzrecht (BDSG, DSGVO, TTDSG...), Urheberrecht, Wettbewerbsrecht, Markenrecht, E-Commerce-Recht, Social Media Recht und das Recht der Künstlichen Intelligenz gehören.

Telefon: 0751 / 27 088 530

 lutz@datenschutz-rv.de  https://www.datenschutz-rv.de