Kann ein Unternehmen – als Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) – von seiner Haftung befreit werden, wenn Mitarbeitende eigenmächtig und entgegen den internen Weisungen handeln, so dass ein Datenschutzverstoß entsteht? Der Europäische Gerichtshof (EuGH) hat dazu konkrete Voraussetzungen definiert (Urteil vom 11. April 2024, Az.: C-741/21).
Sachverhalt
Im gegenständlichen Fall verlangte der Kläger Schadensersatz, da seine personenbezogenen Daten unrechtmäßig für Direktwerbung genutzt wurden. Bereits im November 2018 widerrief er alle Einwilligungen und widersprach der weiteren Verarbeitung seiner Daten – außer des Newsletter-Versands. Allerdings erhielt er weiterhin mehrfach Werbeschreiben per Post. Trotz schriftlicher Erinnerung an seinen Widerspruch und einer Schadensersatzforderung nach Art. 82 Abs. 1 DSGVO bekam er ein weiteres Werbeschreiben. Daraufhin ließ er seinen erneuten Widerspruch gerichtlich zustellen und reichte Klage auf Schadensersatz beim Landgericht (LG) Saarbrücken ein. Der Kläger machte geltend, einen Kontrollverlust über seine Daten erlitten zu haben.
Die Beklagte bestritt den Anspruch und verwies darauf, dass ein funktionierendes Verfahren zur Bearbeitung von Werbewidersprüchen bestünde. Die verzögerte Umsetzung der Widersprüche würde auf dem Fehlverhalten eines Arbeitnehmers basieren. Zudem führte das Unternehmen an, dass ein Verstoß gegen das Widerspruchsrecht (Art. 21 Abs. 3 DSGVO) nicht als „Schaden“ im Sinne der DSGVO zu werten sei.
Daraufhin legte das LG Saarbrücken dem EuGH einige Fragen zur Auslegung von Art. 82 DSGVO vor. Im Anschluss daran beschäftigte sich der EuGH unter anderen mit den Voraussetzungen einer möglichen Haftungsbefreiung nach Art. 82 Abs. 3 DSGVO.
Aktuelle Urteile zur DSGVO
In unseren regelmäßigen Besprechungen von Urteilen zum Datenschutzrecht erklären wir Ihnen die Konsequenzen für den Unternehmensalltag.
Das Urteil
In seinem Urteil stellt der EuGH fest, dass das fehlerhafte Verhalten eines Mitarbeiters nur dann zu einer Haftungsbefreiung führen kann, wenn der Verantwortliche insgesamt nachweislich alle erforderlichen und angemessenen technischen und organisatorischen Maßnahmen getroffen hat.
Dabei betont der EuGH, dass Arbeitgeber nur unter strengen Bedingungen von Haftungsansprüchen entbunden werden können, wenn sie dafür das weisungswidrige Verhalten ihrer Mitarbeiter als Entlastungsgrund anführen.
Gemäß Art. 82 Abs. 3 DSGVO kann ein Verantwortlicher oder Auftragsverarbeiter nur dann von der Haftung entbunden werden, wenn er zweifelsfrei darlegen kann, dass er in keiner Weise für den schadenverursachenden Umstand verantwortlich war. Laut EuGH reicht es nicht aus, allein auf die Fahrlässigkeit oder das Fehlverhalten der Mitarbeiter zu verweisen. Vielmehr müssen Arbeitgeber sicherstellen, dass ihre Angestellten die vorgegebenen Anweisungen zuverlässig umsetzen. Andernfalls würde es das Ziel der DSGVO – den Schutz der Betroffenen bei der Datenverarbeitung – gefährden.
Allerdings bleibt in dem Urteil des EuGH unbestimmt, welche spezifischen Maßnahmen zur Überprüfung der korrekten Ausführung von Weisungen erforderlich sind.
Datenschutzrechtliche Einschätzung
Zwar verpflichtet Art. 32 Abs. 4 DSGVO Verantwortliche zu Maßnahmen zur Absicherung der Weisungsgebundenheit gemäß Art. 29 DSGVO, doch gibt es keine konkreten Handlungsempfehlungen oder eine detaillierte Liste vorgeschriebener Maßnahmen.
Das EuGH-Urteil liefert dazu jedoch Hinweise, indem es klarstellt, dass es nicht ausreicht, den unterstellten Personen lediglich Weisungen zur Datenverarbeitung zu erteilen. Vielmehr müssen Verantwortliche sicherstellen, dass diese Weisungen auch korrekt befolgt werden.
Für Verantwortliche, die bisher keine Maßnahmen zur Überprüfung getroffen haben, könnte dieses Urteil als Aufforderung verstanden werden, insbesondere da eine Verletzung der Pflicht aus Art. 32 Abs. 4 DSGVO einen Entlastungsnachweis zu Gunsten des Verantwortlichen gem. Art. 82 Abs. 3 DSGVO verhindern kann.
Handlungsempfehlungen für Verantwortliche
Unternehmen sind dazu angehalten, ihre Datenschutzstrategien grundlegend zu optimieren, um langfristige Haftungsrisiken zu minimieren. Es empfiehlt sich, ein ganzheitliches Datenschutz-Managementsystem (DSMS) zu implementieren, das weit über rein theoretische Vorgaben hinausgeht und die praktische Umsetzung in den Mittelpunkt stellt. Dabei sind klare interne Weisungsstrukturen sowie regelmäßige, praxisnahe Schulungen essenziell, um das Bewusstsein der Mitarbeitenden für datenschutzrelevante Belange zu schärfen.
Der EuGH betont, dass die Wirksamkeit von internen Kontrollsystemen nicht allein von vorgeschriebenen Verfahren abhängt, sondern vor allem in einem funktionierenden Risikomanagement sowie der tatsächlichen Umsetzung der Richtlinien und der kontinuierlichen Überprüfung der getroffenen Maßnahmen.
Fazit
Das Urteil des EuGH stellt klar, dass sich Arbeitgeber von einer Haftung für Datenschutzverstöße nicht allein durch das eigenmächtige und weisungswidrige Verhalten von Mitarbeitenden befreien lassen können. Vielmehr obliegt es den Verantwortlichen, durch den Aufbau und die konsequente Überwachung eines effektiven internen Datenschutz-Managementsystems sicherzustellen, dass alle relevanten Vorgaben der DSGVO erfüllt werden.
Das Urteil dient als Anstoß an alle Unternehmen und Organisationen, ihre internen Prozesse kritisch zu hinterfragen und fortlaufend zu optimieren. Daneben sollten die Maßnahmen sorgfältig dokumentiert werden, so dass den Rechenschaftspflichten aus Art. 5 Abs. 2 DSGVO genüge getan wird, um im Zweifelsfall einen eindeutigen Nachweis ihrer Umsetzung erbringen zu können.
