Aktuelles Urteil des EuGH: Haftung des Verantwortlichen aus Art. 82 DSGVO für weisungswidrige Handlungen der Mitarbeitenden?

Mit Urteil vom 11.04.2024 hat der EuGH seine Rechtsprechung zum Schadensersatz aus Art. 82 DSGVO weiter präzisiert, im aktuellen Fall auch unter dem Aspekt des offensichtlichen Verstoßes von weisungsgebundenen Mitarbeitenden, die weisungswidrig trotz Werbewiderspruchs Werbesendungen via Newsletter versandt hatten.

Laut EuGH muss sich der Verantwortliche eine Missachtung seiner betrieblichen Weisungen zurechnen lassen, mit der Folge, dass gegebenenfalls sogar ein sog. “Exzess” eines Mitarbeitenden – beispielsweise indem er sich bewusst und absichtsvoll über interne datenschutzrechtliche Beschränkungen hinwegsetzt – auf das Unternehmen selbst durchschlägt.

Ignoriert wie im aktuellen Fall der Mitarbeitende die entsprechende Weisung, verfängt die Entlastungsnorm des Art. 82 Abs. 3 DSGVO nicht, da laut EuGH kein Fall vorliegt, in dem nachgewiesen ist, dass das Unternehmen des Verantwortlichen in keiner Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich war.

Verantwortliche stehen sonach in der organisatorischen Verantwortung sicherzustellen, dass ihre Mitarbeitenden Weisungen korrekt umsetzen. Hierzu führt der EuGH aus:

“Für eine mögliche Befreiung des Verantwortlichen – nach Art. 82 Abs. 3 DSGVO – von seiner Haftung kann es daher nicht ausreichen, dass er nachweist, dass er den ihm im Sinne von Art. 29 dieser Verordnung unterstellten Personen Weisungen erteilt hat und dass eine dieser Personen ihrer Verpflichtung, diese Weisungen zu befolgen, nicht nachgekommen ist und sie damit zum Eintritt des in Rede stehenden Schadens beigetragen hat.

Könnte sich der Verantwortliche von seiner Haftung befreien, indem er sich lediglich auf das Fehlverhalten einer ihm unterstellten Person beruft, würde dies nämlich, wie das vorlegende Gericht im Wesentlichen ausgeführt hat, die praktische Wirksamkeit des in Art. 82 Abs. 1 DSGVO verankerten Anspruchs auf Schadenersatz beeinträchtigen, was nicht im Einklang mit dem Ziel dieser Verordnung stünde, ein hohes Schutzniveau für natürliche Personen bei der Verarbeitung ihrer personenbezogenen Daten zu gewährleisten.

Nach alledem ist auf die zweite Frage zu antworten, dass Art. 82 DSGVO dahin auszulegen ist, dass es für eine Befreiung des Verantwortlichen von seiner Haftung nach Art. 82 Abs. 3 dieser Verordnung nicht ausreicht, dass er geltend macht, dass der in Rede stehende Schaden durch ein Fehlverhalten einer ihm im Sinne von Art. 29 der Verordnung unterstellten Person verursacht wurde.”

Im Übrigen präzisiert der EuGH in seiner aktuellen Entscheidung seine sich im Laufe des letzten Jahres herausprägende Rechtsprechung:

• Eine DSGVO-Verletzung führt nicht automatisch zu Schadensersatz nach Art. 82 DSGVO. Der 85. Erwägungsgrund der DSGVO zählt jedoch ausdrücklich den „Verlust der Kontrolle“ über personenbezogene Daten zu den Schäden aus Datenschutzverletzung. Die betroffene Person muss hierbei allerdings den Nachweis erbringen, dass sie tatsächlich einen solchen Schaden – so geringfügig er auch sein mag – erlitten hat.

• Zur Bestimmung der Schadensersatzhöhe kann Art. 83 DSGVO nicht herangezogen werden. Denn die dortigen Kriterien zur Verhängung von Geldbußen lassen sich nicht übertragen, zumal Geldbußen eine Straffunktion und dem Schadensersatz eine Ausgleichsfunktion zukommt. Um den Betrag der als Ausgleich geschuldeten finanziellen Entschädigung festzulegen, ist allein der von dieser Person konkret erlittene Schaden zu berücksichtigen. Auch dem im konkreten Fall gegebenen Umstand, dass die betroffene Person sogar gleich von mehreren Verstößen gegen DSGVO betroffen ist, die sich jedoch auf denselben Verarbeitungsvorgang stützten, kommt daher schadensrechtlich keine Bedeutung zu.