Der EuGH entwickelt in seiner Entscheidung vom 11. April 2024 (C-741/21 – juris GmbH) seine Rechtsprechung zu den Voraussetzungen des Schadenersatzanspruchs nach Art. 82 Abs. 1 DSGVO weiter. Zudem nimmt er zu den Anforderungen an die Haftungsbefreiung nach Art. 82 Abs. 3 DSGVO Stellung: Der Verantwortliche könne sich nicht lediglich auf ein Fehlverhalten einer ihm unterstellten Person berufen; dies stehe der praktischen Wirksamkeit des Schadenersatzanspruchs entgegen. Die Entscheidung hat damit Bedeutung für Arbeitgeber, die wegen eines Fehlverhaltens ihrer Mitarbeiter in Anspruch genommen werden.
Sachverhalt
Der Kläger macht Schadenersatzansprüche wegen rechtswidriger Verarbeitung seiner personenbezogenen Daten zum Zweck der Direktwerbung geltend. Der Kläger hatte im November 2018 schriftlich sämtliche Einwilligungen, Informationen von der Beklagten per E-Mail oder per Telefon zu erhalten, widerrufen. Zudem hatte er jeglicher Verarbeitung seiner Daten mit Ausnahme des Versands von Newslettern widersprochen. Dennoch erhielt der Kläger im Januar 2019 zwei Werbeschreiben, die ihn namentlich ansprachen. Im April 2019 wies der Kläger die Beklagte auf seinen Widerspruch hin und verlangte Schadenersatz gem. Art. 82 Abs. 1 DSGVO. In der Folge erhielt der Kläger ein weiteres Werbeschreiben. Daraufhin erklärte er erneut gegenüber der Beklagten seinen Widerspruch. Sämtliche Werbeschreiben enthielten einen „persönlichen Testcode“, mit dem auf der Website der Beklagten auf eine Bestellmaske zugegriffen werden konnte und die mit Angaben zum Kläger vorausgefüllt war. Die Werbeschreiben verfolgten (anders als die Newsletter) kommerzielle Zwecke. Daraufhin erhob der Kläger Klage auf Ersatz seines materiellen (Gerichtsvollzieher- und Notarkosten) sowie immateriellen Schadens gem. Art. 82 Abs. 1 DSGVO. Er machte insbesondere geltend, er habe einen Kontrollverlust über seine personenbezogenen Daten erlitten, weil die Beklagte die Verarbeitungen trotz seiner Widersprüche durchgeführt habe. Die Beklagte entgegnete, der Anspruch bestehe nicht. Sie habe einen Prozess zur Bearbeitung von Werbewidersprüchen aufgesetzt. Die verspätete Berücksichtigung der Widersprüche sei auf ein weisungswidriges Verhalten eines ihrer Mitarbeiter zurückzuführen. Allein der Verstoß gegen das Widerspruchsrecht bei Direktwerbung (Art. 21 Abs. 3 DSGVO) sei kein „Schaden“ im Sinne von Art. 82 Abs. 1 DSGVO. Das LG Saarbrücken legte dem EuGH mit Beschluss vom 22. November 2021 (5 O 151/19) mehrere Fragen zum Vorliegen eines Schadens bereits durch den Verstoß gegen die DSGVO, zu den Anforderungen an die Haftungsbefreiung nach Art. 82 Abs. 3 DSGVO sowie zur Bemessung des Schadenersatzes vor.
Die Entscheidung
Der EuGH nahm zu den Vorlagefragen wie folgt Stellung:
- Nach Art. 82 Abs. 1 DSGVO stehe jeder Person, der aufgrund eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, ein Anspruch auf Schadenersatz zu. Der Verstoß gegen Bestimmungen der DSGVO allein reiche nicht aus, um einen Schadenersatzanspruch nach Art. 82 DSGVO zu begründen (EuGH, Urteil vom 25. Januar 2024, C-687/21 – MediaMarktSaturn). Erforderlich sei das Vorliegen eines materiellen oder immateriellen Schadens sowie eines Kausalzusammenhangs zwischen dem DSGVO-Verstoß und dem eingetretenen Schaden. Insofern müsse die Person, die auf der Grundlage des Art. 82 Abs. 1 DSGVO den Ersatz eines immateriellen Schadens verlange, nicht nur den Verstoß gegen die DSGVO, sondern auch diesen Kausalzusammenhang nachweisen.
- Der EuGH ergänzte unter Hinweis auf Erwägungsgrund 85 der DSGVO, dass der „Verlust der Kontrolle“ zu denjenigen Schäden zähle, die durch eine Verletzung personenbezogener Daten verursacht würden. Selbst der kurzzeitige Verlust der Daten könne einen immateriellen Schaden i.S.v. Art. 82 Abs. 1 DSGVO begründen. Zwingende Voraussetzung sei aber, dass der Betroffene den Eintritt eines – noch so geringfügigen – Schadens nachweisen könne.
- Nach Art. 82 Abs. 3 DSGVO werde der Verantwortliche von der Haftung befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. Nach dem EuGH müsse die Haftungsbefreiung „streng“ auf solche Fälle beschränkt werden. Verletze eine dem Verantwortlichen nach Art. 29 DSGVO unterstellte Person den Schutz personenbezogener Daten, könne sich der Verantwortliche nur dadurch exkulpieren, dass er nachweise, zwischen der Verletzung ihm obliegender Pflichten zum Datenschutz gemäß Art. 5, 24 und 32 der DSGVO und dem der betroffenen Person entstandenen Schaden bestehe kein Kausalzusammenhang. Hierfür reiche es nach dem EuGH nicht aus, wenn der Verantwortliche bloß nachweisen könne, dass er der unterstellten Person Weisungen erteilt, diese Person gleichwohl weisungswidrig gehandelt und sie damit zum Eintritt des Schadens beigetragen habe. Der Verantwortliche könne sich nicht lediglich auf ein Fehlverhalten einer ihm unterstellten Person berufen; dies stehe der praktischen Wirksamkeit des Schadenersatzanspruchs entgegen.
- Schließlich kommt der EuGH zu dem Ergebnis, dass die Kriterien für die Bemessung der Bußgeldhöhe nach Art. 83 DSGVO nicht für die Bemessung des Schadenersatzanspruchs nach Art. 82 DSGVO herangezogen werden können. Beide Normen seien hinsichtlich ihres Wortlauts und ihrer Zielsetzung so unterschiedlich, dass eine entsprechende Anwendung ausscheide. Während Art. 83 DSGVO einen Strafzweck erfülle, habe Art. 82 DSGVO bloße Ausgleichsfunktion (so bereits EuGH, Urteil vom 25. Januar 2024, C-687/21 – MediaMarktSaturn). Mehrere Verstöße gegen die DSGVO ließen sich deshalb auch nicht (anders als bei der Bußgeldbemessung) zusammenfassen, da der Schadenersatzanspruch auf den Ersatz des konkret durch den Verstoß erlittenen Schadens abziele.
Gleiss Lutz kommentiert
Das Urteil des EuGHs enthält zahlreiche Verweise auf die in jüngerer Vergangenheit zum Schadenersatzanspruch nach Art. 82 Abs. 1 DSGVO getroffenen Entscheidungen. So hatte der EuGH bereits darüber entschieden, dass der bloße Verstoß gegen die DSGVO-Vorschriften nicht ausreicht, um einen Schadenersatzanspruch zu begründen. Zwingende Voraussetzung ist, dass es durch den Verstoß zu einem kausalen Schaden gekommen ist (EuGH, Urteil vom 4. Mai 2023, C-300/21 – Österreichische Post). Die Darlegungs- und Beweislast trägt der betroffene Anspruchsteller. In Bezug auf immaterielle Schäden hatte der EuGH zudem entschieden, dass bereits der Umstand, die betroffene Person müsse einen Missbrauch ihrer Daten befürchten, einen immateriellen Schaden begründen könne (EuGH, Urteil vom 14. Dezember 2023, C-340/21 – natsionalna agentsia za prihodite), auch bei einem nur kurzfristigen Kontrollverlust (EuGH, Urteil vom 25. Januar 2024, C-687/21 – MediaMarktSaturn; vgl. hierzu auch den Beitrag unserer Experten Moritz Stilz und Simon Wegmann, zuletzt abgerufen am 15. Mai 2024).
Besondere Relevanz für die arbeitsrechtliche Praxis haben die Ausführungen des EuGHs zu der Möglichkeit der Haftungsbefreiung bei Verstößen durch dem Verantwortlichen unterstellte Personen gemäß Art. 29 DSGVO (z.B. Arbeitnehmer). Insoweit unterließ es der EuGH, über die oben dargestellten allgemeinen Ausführungen hinaus konkret darzulegen, ab wann sich Arbeitgeber bei Datenschutzverstößen ihrer Mitarbeiter exkulpieren können. Zu beachten gilt, dass Mitarbeiter durch weisungswidriges Verhalten selbst zum Verantwortlichen werden können, wenn sie personenbezogene Daten für eigene Zwecke verarbeiten (sog. Exzessfälle, z.B. Missbrauch von Kundenemailadressen zur Privatansprache). Handeln sie jedoch (wie im vorliegenden Sachverhalt) grundsätzlich im Rahmen ihrer Tätigkeit für den Arbeitgeber, obliegt es diesem, die Gründe für eine Enthaftung darzulegen. Es bleibt zu hoffen, dass der EuGH seine Vorgaben hierzu weiter präzisiert.
In jedem Fall ist Arbeitgebern dringend zu empfehlen, ihre Datenschutz-Compliance sicherzustellen und technische und organisatorische Maßnahmen zu treffen, um Schadenersatzprozesse bestenfalls im Vorfeld zu vermeiden sowie im Prozess die Argumentationsgrundlagen zu verbessern. Kommt es zum Prozess, können neben dem Erteilen klarer, datenschutzkonformer Weisungen (z.B. durch interne Richtlinien) und dem Überwachen ihrer Einhaltung (einschließlich der Ahndung von Verstößen) insbesondere Schulungen zur Exkulpation beitragen. All diese Maßnahmen sind sorgfältig zu dokumentieren, um sie im Zweifelsfall belegen zu können.
Weiterleiten