Der EuGH hat mit Urteil vom 11. April 2024 (Az.: C-741/21) die Rechte von Betroffenen weiter gestärkt. Einerseits betont das Gericht deutlich, dass der “Verlust der Kontrolle” über personenbezogene Daten bereits als Schaden angesehen werden kann. Andererseits erschwert es Unternehmen die Entlastung, wenn ein solcher Schaden erst einmal entstanden ist.
Verlust der Kontrolle als Schaden
Das Gericht zitiert das erste Mal Erwägungsgrund 85 der Datenschutz-Grundverordnung (DSGVO). Dieser führt u.a. den „Verlust der Kontrolle“ als einen der Schäden auf, die durch eine Verletzung personenbezogener Daten verursacht werden können. Dies bestätigt die bisherige Rechtsprechung, wonach schon der kurzzeitige Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden darstellen kann.
Keine Haftungsbefreiung bei Fehlverhalten von Beschäftigten
Unternehmen können sich grundsätzlich von der Haftung befreien, wenn sie nachweisen, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich sind (Art. 83 Abs. 3 DSGVO). Dies gelingt nach Ansicht des Gerichts aber nicht dadurch, dass sich Verantwortliche auf Fahrlässigkeit oder Fehlverhalten einer unterstellten Person berufen. Verantwortliche haben sicherzustellen, dass Mitarbeiter, die Zugang zu personenbezogenen Daten haben, diese Daten grundsätzlich nur auf der Grundlage von Weisungen des Verantwortlichen und im Einklang mit diesen Weisungen verarbeiten (Art. 29 und 32 Abs. 4 DSGVO). Es ist somit Sache des Verantwortlichen, sich zu vergewissern, dass seine Weisungen von seinen Arbeitnehmern korrekt ausgeführt werden.
Ein Haftungsbefreiung für Verantwortliche gelingt nur bei dem Nachweis, dass es keinen Kausalzusammenhang zwischen Verletzung der gemäß den Art. 5, 24 und 32 DSGVO obliegenden Verpflichtung zum Datenschutz und dem der betroffenen Person entstandenen Schaden gibt. Nicht ausreichend ist dagegen der Vortrag, dass eine unterstellte Personen erteilte Weisungen nicht befolgt hat und dies zum Eintritt des in Rede stehenden Schadens beigetragen hat.
Mitarbeiter zählen dabei nicht als Ausrede
Der immaterielle Schadensersatzanspruch soll nach dem Urteil des EuGH explizit als Anreiz zur Einhaltung der DSGVO dienen und die Durchsetzungskraft des Schutzes der DSGVO erhöhen und von der Wiederholung rechtswidriger Verhaltensweisen abschrecken. Mitarbeiter zählen dabei nicht als Ausrede. Arbeitgeber sollten dafür sorgen, dass erteilte Weisungen von den Mitarbeitenden korrekt ausgeführt werden. Dies macht ein Datenschutzmanagementsystem erforderlich, in welchem klar definierte Verantwortlichkeiten geregelt werden.