Muss der Chef zahlen, wenn Mitarbeiter beim Datenschutz schludern?
Arbeitgeber haften, wenn Beschäftigte ihre Vorgaben missachten und gegen den Datenschutz verstoßen. Der Europäische Gerichtshof hat klare Regeln aufgestellt. Welche das sind, lesen Sie hier.
Dieser Artikel gehört zum Themen-Special Das aktuelle Datenschutzrecht
Arbeitgeber müssen ihre Anweisungen zum korrekten Umgang mit personenbezogenen Daten kontrollieren und etwaige Verstöße von Mitarbeitern sanktionieren. Sonst tragen sie die Verantwortung für deren Fehler, urteilte der Europäische Gerichtshof (EuGH). Allerdings muss dabei auch tatsächlich ein Schaden entstanden sein, den der Betroffene nachweisen muss. Die trotz Widerspruchs verlorene Kontrolle über die eigenen Daten ist laut EuGH ein solcher immaterieller Schaden, seine Höhe ist nicht relevant.
Der Fall
Ein Rechtsanwalt verklagte einen Onlinedienst auf Schadensersatz wegen Datenschutzverstößen. Er hatte seine Einwilligung in die Datenverarbeitung zum Zwecke der Direktwerbung widerrufen. Trotzdem erhielt er weiterhin Werbeschreiben. Diese Schreiben enthielten jeweils einen individuellen Produktcode, bei dessen Eingabe auf der Unternehmens-Website personenbezogene Daten automatisch in die Bestellmaske übernommen wurden. Der Anwalt verlangte Ersatz des immateriellen Schadens, welcher ihm durch den Verlust der Kontrolle über seine persönlichen Daten entstanden sei.
Das Unternehmen weigerte sich und argumentierte, dass es seine Beschäftigten zum rechtssicheren Umgang mit Daten angewiesen habe. Dass der Anwalt weiter Werbeschreiben erhalten habe, sei entweder darauf zurückzuführen, dass ein Mitarbeiter entgegen der Weisung gehandelt habe oder dass eine Berücksichtigung des Widerspruchs nur zu unverhältnismäßig hohen Kosten hätte erfolgen können.
Das Landgericht Saarbrücken war mit dem Fall befasst und hat die Fragen zum Art. 82 Abs. 1 DSGVO dem EuGH vorgelegt.
Das Urteil
Ein immaterieller Schaden liegt nicht schon im bloßen Verstoß gegen die DSGVO, stellte der EuGH klar. Vielmehr müsse daraus auch ein konkreter Schaden entstehen, den der Betroffene darlegen und nachweisen müsse. Der Verlust der Kontrolle über die trotz Widerspruchs verarbeiteten personenbezogenen Daten stelle einen solchen immateriellen Schaden dar, so die Europarichter. Der Schaden müsse auch nicht einen gewissen Schweregrad erreichen.
Chef trägt Verantwortung für Umsetzung seiner Anweisungen
Der Arbeitgeber werde nicht nach Art. 82 Abs. 3 DSGVO wegen Fahrlässigkeit oder des Fehlverhaltens seines Arbeitnehmers aus der Haftung entlassen. Vielmehr müsse der Chef gewährleisten, dass seine Weisungen korrekt ausgeführt würden, erklärten die EU-Richter. Ihn treffe die Beweislast dafür, dass er "in keinerlei Hinsicht" für den Schaden verantwortlich sei. Dies gelinge nur, wenn er nachweisen könne, dass kein Zusammenhang zwischen der Verletzung und dem Schaden bestehe.
Für die Bemessung des Schadensersatzes können nicht die Kriterien des Art. 83 DSGVO für die Festsetzung von Geldbußen herangezogen werden, so das Urteil. Der Schadensersatznorm Art. 82 Abs. 1 DSGVO komme keine Straf- sondern eine Ausgleichsfunktion zu. Zu ersetzen sei daher allein der konkret entstandene Schaden. Hier seien die im Mitgliedstaat entwickelten Bemessungskriterien anzuwenden.
Mehrere Verstöße sind nicht teurer
Der Schadensersatz könne aber nicht höher ausfallen, wenn der Verstoß mehrfach begangen werde, betonte der EuGH mit derselben Begründung: Die Norm habe keinen Sanktionscharakter. Deshalb seien mehrere Verstöße nicht relevant für die Höhe des Anspruchs. Es gehe allein darum, den entstandenen Schaden auszugleichen.
Europäischer Gerichtshof, Urteil vom 11. April 2024, Az. C-741/21
Die Berater in den Handwerkskammern helfen Ihnen bei Rechtsfragen gerne weiter!
DHB jetzt auch digital!Einfach hier klicken und für das digitale Deutsche Handwerksblatt (DHB) registrieren!
Text:
Anne Kieserling /
handwerksblatt.de
Kommentar schreiben