EUGH: Keine Haftungsbefreiung bei weisungswidrigem Verhalten durch Mitarbeiter 

EuGH Urteil bestätigt Anforderungen an immateriellen Schaden bei DSGVO Schadensersatz

Der Europäische Gerichtshof (EuGH) hat in seinem Urteil vom 11. April 2024 (Az. C-741/21) seine bisherige Rechtsprechung zu den Anforderungen an den immateriellen Schaden bei der Geltendmachung von Schadensersatzansprüchen infolge von Datenschutzverletzungen bestätigt. Darüber hinaus hat er zu den Bedingungen einer Haftungsbefreiung gemäß Art. 82 Abs. 3 DSGVO Stellung genommen und klargestellt, dass Verantwortliche sich nicht auf das Fehlverhalten ihrer Mitarbeitenden berufen können, um einen möglichen Schadensersatzanspruch zu umgehen.

Sachverhalt

Der Kläger macht einen Anspruch auf Schadensersatz wegen rechtswidriger Verarbeitung seiner personenbezogenen Daten zum Zweck der Direktwerbung geltend, da er trotz mehrfacher Widersprüche weiterhin Werbe-E-Mails erhalten hat. Dabei stützte er seinen Schadensersatzanspruch auf den Kontrollverlust über seine Daten. Der Beklagte wies seine Haftung mit der Begründung zurück, dass sich ein Mitarbeiter weisungswidrig verhalten habe und daher kein Anspruch seitens des Klägers bestehe. Die Beklagte habe einen funktionierenden Prozess zur Bearbeitung von Werbewidersprüchen etabliert, lediglich der Mitarbeiter habe sich nicht an diesen Prozess gehalten. Die verspätete Berücksichtigung der Widersprüche beruhe, nach Auffassung der Beklagten, allein auf dem weisungswidrigen Verhalten des Mitarbeiters. Zudem führte die Beklagte aus, dass der alleinige Verstoß gegen das Widerspruchsrecht noch keinen "Schaden" im Sinne des Art. 82 Abs. 1 DSGVO darstelle.

Der EuGH hat wie folgt Stellung genommen:  

Grundsätzlich stehe jeder Person gem. Art. 82 Abs. 1 DSGVO, die aufgrund einer Datenschutzverletzung einen materiellen oder immateriellen Schaden erlitten hat, ein Anspruch auf Schadenersatz zu. Für einen durchsetzbaren Schadensersatzanspruch ist es jedoch neben dem Vorliegen eines materiellen oder immateriellen Schadens erforderlich, dass ein Kausalzusammenhang zwischen der Datenschutzverletzung und dem eingetretenen Schaden vorliegt. Diesen Kausalzusammenhang muss der Kläger nachweisen können.

Aus dem Erwägungsgrund 85 der DSGVO lässt sich entnehmen, dass der „Verlust der Kontrolle“ über die eigenen Daten, einen immateriellen Schaden darstellt. Der EuGH bestätigte hierzu, dass auch ein kurzzeitiger Kontrollverlust hierfür genüge. Die Durchsetzung eines Anspruchs hänge aber davon ab, dass die betroffene Person den Eintritt eines tatsächlichen Schadens nachweisen müsse.  

Zudem stellt das Gericht sehr strenge Anforderungen an eine mögliche Exkulpation des Verantwortlichen. Es muss sichergestellt sein, dass der Verantwortliche sich nicht „pauschal“ auf ein Fehlverhalten eines Mitarbeiters beruft, um seiner Haftung zu umgehen. Dies stünde der praktischen Wirksamkeit des Schadenersatzanspruchs entgegen. Gem. Art. 82 Abs. 3 DSGVO haftet der Verantwortliche nur dann nicht für den eigetretenen Schaden, wenn er nachweisen kann,“ dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist“. Dem EuGH nach sei die Haftungsbefreiung „streng“ auf solche Fälle zu beschränken.  
Die Frage, welche Anforderungen Verantwortliche konkret erfüllen müssen, um sicherzustellen, dass Mitarbeiter ihre Weisungen vorschriftsgemäß ausführen und sie sich folglich gem. Art. 82 Abs. 3 DSGVO exkulpieren können, lies der EuGH unbeantwortet.