Die internationale EY-Organisation besteht aus den Mitgliedsunternehmen von Ernst & Young Global Limited (EYG). Jedes EYG-Mitgliedsunternehmen ist rechtlich selbstständig und unabhängig und haftet nicht für das Handeln und Unterlassen der jeweils anderen Mitgliedsunternehmen. Ernst & Young Global Limited ist eine Gesellschaft mit beschränkter Haftung nach englischem Recht und erbringt keine Leistungen für Mandanten.
Recent Searches
Am 11. April 2024 veröffentlichte der Europäische Gerichtshof (EuGH) in der Rechtssache C-741/21 eine höchst praxisrelevante Entscheidung, die unter anderem die Anforderungen an eine mögliche Haftungsbefreiung von Unternehmen bei durch Mitarbeitende begangene Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) präzisiert hat.
Der EuGH stellte fest, dass Unternehmen für eine Haftungsbefreiung nachweisen müssen, dass sie in keinerlei Weise für den Umstand, durch den der Schaden beim Betroffen eingetreten ist, verantwortlich sind. Außerdem beantwortete der EuGH zentrale Fragen zu den Voraussetzungen und der Bemessung des Schadensersatzanspruches.
Hintergrund
Die DSGVO regelt den Umgang mit personenbezogenen Daten und stellt vielfältige Anforderungen an die Verarbeitung dieser Daten. Jeder für die Verarbeitung personenbezogener Daten Verantwortliche haftet für den Schaden, der durch eine nicht DSGVO-konforme Verarbeitung entsteht. Juristische Personen haften für DSGVO-Verstöße jeder Person, die „im Rahmen der unternehmerischen Tätigkeit und im Namen der juristischen Person handelt“. Dem Verantwortlichen unterstellte Personen, wie zum Beispiel Mitarbeitende, dürfen personenbezogene Daten grundsätzlich nur auf der Grundlage von Weisungen und entsprechend dieser verarbeiten.
Wenn einer betroffenen Person wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, hat sie einen Anspruch auf Schadensersatz gegen den Verantwortlichen. Gemäß Art. 82 Absatz 3 DSGVO kann der Verantwortliche von dieser Haftung auf Schadensersatz befreit werden, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. In der Entscheidung des EuGH geht es um die Anforderungen an diese Exkulpationsmöglichkeit.
Der Fall, der zur Entscheidung des EuGH führte, betrifft einen Rechtsstreit vor dem Landgericht Saarbrücken zwischen einem Rechtsanwalt und der juristischen Datenbank Juris. Nachdem die Beklagte auf ein Auskunftsersuchen des Klägers mitteilte, dass seine personenbezogenen Daten auch für Direktwerbung genutzt werden, hat der Kläger der Verarbeitung seiner Daten zu Werbezwecken mehrfach widersprochen. Nach dem er weitere Werbeschreiben erhielt, klagte der Rechtsanwalt auf Ersatz des Schadens, der durch die Verarbeitungen seiner personenbezogenen Daten für Werbezwecke entstanden ist. Er meint, er habe durch den Verlust der Kontrolle über seine personenbezogenen Daten einen immateriellen Schaden erlitten. Die Beklagte trägt vor, dass ein Verstoß gegen die DSGVO noch keinen Anspruch auf Schadensersatz begründet. Außerdem hafte sie nicht für den Verstoß, weil Mitarbeitende in diesem Fall betriebliche Weisungen zum Umgang mit Widersprüchen nicht beachtet hätten.
Das Landgericht Saarbrücken ersuchte daraufhin den EuGH um die Beantwortung vierer zentraler Fragen:
- Ist ein Verstoß gegen die DSGVO für sich genommen ein immaterieller Schaden, unabhängig von deren sonstigen Auswirkungen und dem Schweregrad des Verstoßes?
- Reicht es für die Haftungsbefreiung aus, wenn der Verantwortliche geltend macht, dass der vom Betroffenen erlittene Schaden auf menschliches Versagen einer ihm unterstellten Person zurückgeführt werden kann?
- Können für die Bemessung der Höhe des Schadensersatzes die in Art. 83 Abs. 2 und 5 DSGVO festgelegten Kriterien herangezogen werden?
- Ist der Schadensersatz für jeden einzelnen Verstoß zu bestimmen oder werden mehrere gleich gelagerte Verstöße mit einer Gesamtentschädigung sanktioniert?
Die Hauptaussagen des EuGH
Der EuGH hat in seinem Urteil bestätigt, dass für die Geltendmachung eines Schadenersatzanspruches nach Art. 82 DSGVO drei Bedingungen kumulativ vorliegen müssen: Ein Verstoß gegen die DSGVO, das Vorliegen eines Schadens und ein kausaler Zusammenhang zwischen dem Verstoß und dem Schaden. Der EuGH betonte, dass ein bloßer Verstoß gegen die DSGVO, selbst wenn die Regelung dem Betroffenen ein subjektives Recht verleiht, für sich genommen noch keinen Schadenersatzanspruch begründet. Allerdings muss der Verstoß auch keinen bestimmten Schweregrad erreichen. Der Betroffene muss also nachweißen, dass gegen die DSGVO verstoßen wurde und er dadurch einen Schaden erlitten hat. Der EuGH hat nochmals darauf hingewiesen, dass der „Verlust der Kontrolle“ über die Daten ein solcher immaterieller Schaden sein kann.
Hinsichtlich der Haftung des Verantwortlichen stellte der EuGH fest, dass dieser nicht automatisch von der Haftung befreit ist, wenn der Schaden durch das Fehlverhalten eines Mitarbeitenden verursacht wurde.
Ein Verantwortlicher kann sich nur dann exkulpieren, wenn er nachweißt, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. Verantwortlichkeit wird hier im Sinne von Verursachung bzw. Verschulden verstanden und liegt nur vor, wenn der Verantwortliche nachweist, dass es keinen Kausalzusammenhang zwischen dem DSGVO-Verstoß und dem entstandenen Schaden gibt. Dafür reicht es nicht aus, wenn der Arbeitgeber nachweist, dass er Weisungen erteilt hat und diese nicht befolgt wurden. Der Arbeitgeber muss sich vergewissern, dass diese Weisungen auch eingehalten werden (vgl. Art. 32 Abs. 4 DSGVO).
Der EuGH hat in seinem Urteil noch zwei weitere Fragen bezüglich der Bemessung des Schadensersatzes geklärt. Die Kriterien für die Verhängung von Geldbußen können nicht zur Bemessung des Schadensersatzes herangezogen werden. Die Mitgliedsstaaten müssen nationale Regelungen zur Bestimmung des Umfangs der Entschädigung anwenden. Auch die Schwere oder Häufigkeit eines Verstoßes hat keine Auswirkung auf die Höhe des Anspruchs. Insoweit ist nur der tatsächliche erlittene Schaden maßgeblich und nicht der Umstand, dass der Schädiger mehrfach gegen die DSGVO verstoßen hat.
Ausblick und Auswirkungen für die Praxis
Der EuGH hat zwar nochmals betont, dass ein Verlust über die Kontrolle der Daten einen immateriellen Schaden darstellt, aber leider erneut keine konkreten Anforderungen an den Vortrag zu den Anforderungen an die Darlegung des immateriellen Schadens aufgestellt. Die bestehenden Unsicherheiten, wann ein immaterieller Schaden in Form eines Kontrollverlusts über die eigenen Daten vorliegt, konnten mithin auch durch dieses Urteil nicht beseitigt werden. Es bleibt daher abzuwarten, ob das Landgericht Saarbrücken die klägerischen Darlegungen für die Bejahung eines schadensbegründenden Kontrollverlusts über die Daten ausreichen lässt.
Von zentraler Bedeutung sind jedoch die tendenziell strengen Anforderungen des EuGH an eine Haftungsbefreiung des Verantwortlichen bei DSGVO-Verstößen durch weisungsgebundene Mitarbeitende. Klar ist, dass die Erteilung von Weisungen an Mitarbeitende und ein späteres Berufen auf ein weisungswidriges Verhalten für eine Exkulpation nicht ausreichend ist. Unternehmen müssen vielmehr auch sicherstellen, dass ihre Mitarbeitenden entsprechend der erteilten Weisungen handeln.
Unternehmen sollten daher verbindliche Anweisungen für die Verarbeitung personenbezogener Daten etablieren und deren Einhaltung durch weitere technische und organisatorische Maßnahmen sicherstellen. Zunächst sollten die Anweisungen in dokumentierter Form im Unternehmen kommuniziert werden. Für den einzelnen Mitarbeitenden muss erkennbar sein, was grundsätzlich zu tun oder zu unterlassen ist. Flankierend sollten Mitarbeitende regelmäßig in Bezug auf ihre datenschutzrechtlichen Pflichten geschult und entsprechende Prozesse implementiert werden. So kann sichergestellt werden, dass sie ihre Pflichten kennen und ein Bewusstsein für die Wichtigkeit der Einhaltung interner Weisungen geschaffen wird. Festgestelltes weisungswidriges Verhalten sollte auch angemessen sanktioniert und zum Anlass für Verbesserungen genommen werden. Im Idealfall werden solche organisatorischen Maßnahmen durch geeignete technische Maßnahme zur Prävention typischer (fahrlässiger) weisungswidriger Datenverarbeitungen flankiert (z. B. durch Systemwarnungen; Deaktivierung bestimmter fehleranfälliger Komfort-Features etc.). All diese vertraglichen, organisatorischen und technischen Maßnahmen sollten dokumentiert werden, um im Fall eines gerichtlichen Verfahrens vorgelegt werden zu können.
Die in dieser Entscheidung getroffenen Aussagen dürften nicht nur bei der Exkulpation im Rahmen von Schadensersatzansprüchen nach Art. 82 Abs. 3 DSGVO relevant sein, sondern sich allgemein auf die Anforderungen an die Drittzurechnung an datenschutzrechtlich Verantwortliche, insbesondere Unternehmen, übertragen lassen. Es liegt insbesondere nahe, dass die vom EuGH insoweit getroffen Aussagen auch von Aufsichtsbehörden zur Begründung einer weiten (Verschuldens-)Zurechnung bei der verschuldensabhängigen Bußgeldhaftung nach Art. 83 DSGVO herangezogen werden.
Fazit
In der Praxis wird es herausfordernder für Unternehmen sich mit dem Hinweis auf ein Fehlverhalten ihrer Mitarbeitenden von der Haftung zu befreien. Deshalb sollte das EuGH-Urteil von Unternehmen zum Anlass genommen werden, ihre Datenschutz-Governance zu schärfen. Das Urteil verdeutlicht erneut den „Accountability“-Ansatz der DSGVO, der von Unternehmen ein proaktives und effektives Datenschutzmanagement fordert.
Kontaktpersonen: Tobias Schall, Sina Schurig
Direkt in Ihr E-Mail Postfach
Wir informieren Sie monatlich über aktuelle Themen insbesondere aus den Bereichen Arbeitsrecht, M&A, Gesellschaftsrecht, PE, Kartellrecht, Energierecht, Digital Law, Public Law, Public Mobility Law und Legal Process and Technology. Wenn Sie an unserem Newsletter und dem Law Quarterly Webcast interessiert sind, können Sie sich hier anmelden.