Beitrag teilen

Link in die Zwischenablage kopieren

Link kopieren
Suchfunktion schließen
Strategie & Personal > URTEIL DER WOCHE

Schadensersatz wegen Datenschutzverstoß: Fehler von Beschäftigten sind keine Entschuldigung

Können Unternehmen Schadensersatz wegen Datenschutzverstößen abwenden, indem sie auf weisungswidriges Fehlverhalten ihrer Beschäftigten verweisen? Der EuGH setzt hier in einem aktuellen Urteil enge Grenzen.

Verstöße gegen die Regeln des Datenschutzrechts können für Unternehmen teuer werden. Bild: Shutterstock

Verstöße gegen die Regeln des Datenschutzrechts können für Unternehmen auf zweierlei Weise teuer werden: Die Datenschutzaufsichtsbehörden können eine Geldbuße verhängen. Und die betroffenen Personen können Schadensersatz verlangen. Den Datenschutzverstoß hat aber nicht „das Unternehmen“ begangen, sondern oft haben Beschäftigte Fehler gemacht. Der Europäische Gerichtshof (EuGH) hat hierzu nun klargestellt: Ein Unternehmen kann sich den Schadensersatzforderungen betroffener Personen nicht allein durch den Hinweis auf weisungswidriges Verhalten von Mitarbeitern entziehen.

Der Fall

Ein Datenbank-Anbieter hatte einem Rechtsanwalt Werbe-E-Mails geschickt. Der Anwalt bat mehrmals darum, ihn vom Verteiler für die E-Mail-Werbung zu nehmen – ohne Erfolg. Selbst nachdem er schon Schadensersatz wegen Datenschutzverletzungen verlangt hatte, landete eine weitere Werbemail in seinem Postfach. 

Der Anwalt klagte schließlich vor dem Landgericht Saarbrücken und verlangte Schadensersatz nach Artikel 82 Absatz 1 der Datenschutzgrundverordnung (DSGVO). Das Landgericht wollte vom Europäischen Gerichtshof wissen, welche Voraussetzungen für einen immateriellen Schadensersatz nach der DSGVO erfüllt sein müssen und wie ein solcher Schaden belegt sein muss.

Die Entscheidung

Der EuGH bestätigte in seinem Urteil zunächst, dass nachweislich ein Schaden entstanden sein muss, damit überhaupt ein Schadensersatzanspruch nach der DSGVO in Betracht kommt; allein ein Verstoß gegen den Datenschutz reicht dazu nicht aus. 

Der Gerichtshof stellte darüber hinaus klar, dass sich ein Unternehmen nicht dadurch entlasten kann, dass es vorträgt, ein Mitarbeiter habe interne Weisungen missachtet. „Der EuGH ist in seinem Urteil deutlich: Eine Haftungsbefreiung kommt überhaupt nur so weit in Betracht, wie sie nicht den Schadensersatzanspruch betroffener Personen gefährdet”, sagt Dr. Philip Uecker, Rechtsanwalt in der Kanzlei McDermott Will & Emery. Nur wenn Unternehmen nachweisen können, dass sie – wie es in Artikel 82 der DSGVO heißt – „in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich“ sind, können sie eine Haftung dafür abwenden. „Eine weisungswidrige Verarbeitung von Daten legt zunächst nahe, dass die technischen und organisatorischen Maßnahmen des Unternehmens nicht ausreichend waren, um dieses Verhalten zu verhindern“, so Uecker. „Ein Haftungsausschluss kommt dann nicht in Betracht.“

Wie solche Maßnahmen aussehen könnten, die im Ergebnis zu einer wirksamen Haftungsbefreiung für Unternehmen führen können, führt der EuGH in seiner Entscheidung nicht aus. „Damit zeigt das Urteil erneut, wie wichtig eine gute Datenschutz-Organisation ist – klare Handlungs- und Organisationsanweisungen, speziell auch zum Umgang mit Betroffenenrechten wie beispielsweise dem Auskunftsrecht“, betont Philip Uecker. „Dieses Mindestmaß sollte um regelmäßige Schulungen und Kontrollen ergänzt werden, um nicht von einem Datenschutzverstoß kalt erwischt zu werden.“

EuGH, Urteil vom 11. April 2024 – C‑741/21

Ähnliche Artikel