Eine Thematik welche in der Datenschutzpraxis in Unternehmen und öffentlichen Stellen bei der Verarbeitung von personenbezogenen Daten immer wieder auftritt ist der sogenannte Mitarbeiterexzess. Was hierunter zu verstehen ist und wie die Aufsichtsbehörden zum Teil mit derartigen Fallkonstellationen umgehen haben wir bereits in einem Beitrag näher dargestellt. Nunmehr hat der Europäische Gerichtshof (EuGH) in seinem Urteil vom 11. April 2024 (Rs. C-741/21) sich unter anderem mit der Frage des Exzesses der Beschäftigten im Rahmen des Schadenersatzanspruchs des Art. 82 DS-GVO befasst. Worum es in diesem Urteil geht, welche Entscheidung der EuGH im Detail trifft und welche Auswirkungen diese womöglich für die Praxis mit sich bringen, soll der nachfolgende Beitrag einmal näher beleuchten.

Das Verfahren und die Frage nach der Entlastung

Gegenstand des Ausgangsverfahren vor dem Landgericht Saarbrücken war der Streit zwischen einem Rechtsanwalt und dem juristischen Informationsdienst JURIS (Juristisches Informationssystem für die Bundesrepublik Deutschland), in welchem der Anwalt auf Schadenersatz nach Art. 82 DS-GVO aufgrund des datenschutzwidrigen Umgangs mit seinen personenbezogenen Daten zu Werbezwecken klagt. JURIS brachte unter anderem vor, dass aufgrund eines weisungswidrigen Verhaltens seitens eines Beschäftigten bezüglich des internen Prozesses zum Umgang mit Werbewidersprüchen kein Verschulden zur Begründung eines entsprechenden Schadenersatzanspruches vorläge.

Neben Fragen rund um den Schadensbegriff im Rahmen des Art. 82 DS-GVO befasste sich der EuGH auch mit einer in Betracht kommenden Exkulpationsmöglichkeit seitens des Unternehmens, wenn sich Beschäftigte bei der Verarbeitung personenbezogener Daten weisungswidrig verhalten. Unter Exkulpation wird in der Rechtswissenschaft die Selbstentlastungsfreiheit vom Vorwurf des Verschuldens im Rahmen eines Schadenersatzanspruchs verstanden, also ein Entlastungsbeweis.

Zum besseren Verständnis, Art. 82 Abs. 3 DS-GVO enthält folgende Regelung: „Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.“

Ein in Anspruch genommener Beteiligter einer Datenverarbeitung muss für seine Entlastung gemäß Art. 82 Abs. 3 DS-GVO nachweisen, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. Dies gelingt in der Regel dann, wenn er nachweisen kann, dass er sämtlichen an ihn gestellten Sorgfaltsanforderungen der Datenschutz-Grundverordnung nachgekommen ist. Soweit der Vorrede, nun zum Inhalt des Urteils.

AnforderungEN an die Exkulpation

Konkret bestand unter anderem folgende Vorlagefrage: „[…] das vorlegende Gericht [wollte] im Wesentlichen wissen, ob Art. 82 DS-GVO dahin auszulegen ist, dass es für eine Befreiung des Verantwortlichen von seiner Haftung nach Art. 82 Abs. 3 [DS-GVO] ausreicht, dass er geltend macht, dass der in Rede stehende Schaden durch ein Fehlverhalten einer ihm im Sinne von Art. 29 der [DS-GVO] unterstellten Person verursacht wurde.“

Hierzu führt der EuGH wie folgt aus: „[…] [es] geht zum einen aus diesem Art. 29 [DS-GVO] hervor, dass dem Verantwortlichen unterstellte Personen, wie z. B. seine Mitarbeiter, die Zugang zu personenbezogenen Daten haben, diese Daten grundsätzlich nur auf der Grundlage von Weisungen des Verantwortlichen und im Einklang mit diesen Weisungen verarbeiten dürfen.“ Und weiter: „Zum anderen sieht Art. 32 Abs. 4 DS-GVO über die Sicherheit der Verarbeitung personenbezogener Daten vor, dass der Verantwortliche Schritte unternimmt, um sicherzustellen, dass ihm unterstellte natürliche Personen, die Zugang zu solchen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.“

Unter Zugrundelegung dieser Ausführungen kommt er EuGH zum Zwischenfazit: „Bei einem Arbeitnehmer des Verantwortlichen handelt es sich fraglos um eine natürliche Person, die dem Verantwortlichen unterstellt ist. Es ist somit Sache des Verantwortlichen, sich zu vergewissern, dass seine Weisungen von seinen Arbeitnehmern korrekt ausgeführt werden. Daher kann sich der Verantwortliche nicht einfach dadurch nach Art. 82 Abs. 3 DSGVO von seiner Haftung befreien, dass er sich auf Fahrlässigkeit oder Fehlverhalten einer ihm unterstellten Person beruft.“

Außerdem „[…] ist hervorzuheben, dass die Umstände der in Art. 82 Abs. 3 DS-GVO vorgesehenen Befreiung streng auf solche beschränkt werden müssen, unter denen der Verantwortliche nachweisen kann, dass er selbst nicht für den Schaden verantwortlich ist […]. Daher kann dem Verantwortlichen bei einer Verletzung des Schutzes personenbezogener Daten durch eine ihm unterstellte Person diese Befreiung nur zugutekommen, wenn er nachweist, dass es keinen Kausalzusammenhang zwischen der etwaigen Verletzung der ihm gemäß den Art. 5, 24 und 32 dieser Verordnung obliegenden Verpflichtung zum Datenschutz und dem der betroffenen Person entstandenen Schaden gibt.“

Der EuGH kommt deshalb zum Ergebnis: „Für eine mögliche Befreiung des Verantwortlichen – nach Art. 82 Abs. 3 DS-GVO – von seiner Haftung kann es daher nicht ausreichen, dass er nachweist, dass er den ihm im Sinne von Art. 29 dieser Verordnung unterstellten Personen Weisungen erteilt hat und dass eine dieser Personen ihrer Verpflichtung, diese Weisungen zu befolgen, nicht nachgekommen ist und sie damit zum Eintritt des in Rede stehenden Schadens beigetragen hat.“

Was bleibt für die Praxis?

Der EuGH formuliert mit dem Urteil strenge Anforderungen an die Möglichkeit zur Exkulpation für die verantwortlichen Stellen im Rahmen des Art. 82 Abs. 3 DS-GVO, insofern es sich um eine Konstellation eines Mitarbeiterexzesses handelt. Ein bloßer Verweis auf die gegenüber den Beschäftigten erteilten Weisungen bzw. die Weisungswidrigkeit der Handlung der betroffenen Beschäftigten genügt nicht. Dies gilt gleichwohl für einen Verweis auf bestehende Datenschutzbestimmungen innerhalb der verantwortlichen Stelle, z.B. in Form einer Policy bzw. Richtlinie zum Datenschutz. Es bedarf vielmehr des konkreten Nachweises, dass zwischen dem bestehenden Verstoß gegen die Datenschutz-Grundverordnung und dem Handeln des Mitarbeiters kein Kausalzusammenhang besteht.

Fazit

Festzuhalten bleibt, dass das Urteil des EuGH im Lichte der Datenschutz-Grundverordnung und den darin verankerten Grundsätzen zu begrüßen ist. Wie der EuGH final noch herausstellt, stände es nicht im Einklang mit der Datenschutz-Grundverordnung, wenn sich datenschutzrechtlich Verantwortliche von ihrer Haftung befreien könnten, indem sie sich lediglich auf das Fehlverhalten der ihnen unterstellten Personen berufen. Dies würde zu einer Beeinträchtigung des in Art. 82 DS-GVO verankerten Schadenersatzanspruches führen. Mithin führt das Urteil des EuGH auch zu einer Stärkung der Rechte der betroffenen Personen. Mit Blick auf die Umsetzungspflichten für die Praxis bedeutet dies gleichzeitig, dass es mit einer bloßen Erteilung von Weisungen nicht getan ist.

Von den Fragen der Haftung nach Art. 82 DS-GVO gegenüber der betroffenen Person unberührt bleiben im Innenverhältnis zwischen verantwortlicher Stelle und Beschäftigten natürlich arbeits- bzw. dienstrechtliche Ausgestaltungen sowie etwaige Maßnahmen der jeweils zuständigen Datenschutzaufsichtsbehörde.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Lange Zeit war aufgrund der abstrakten Formulierung des Art. 82 DS-GVO nicht ganz klar, was genau eigentlich unter den Schadensbegriff des Artikels fällt. Weiterhin war bislang unklar, ob der entstandene Schaden eine Mindestgrenze oder eine Bagatellgrenze überschreiten muss, um einen Schadenersatzanspruch des Betroffenen auszulösen. Der Europäische Gerichtshof (EuGH) hat nun mit zwei aktuellen Urteilen endlich Klarheit geschaffen und diese Fragen beantwortet.

Die Entscheidungen im einzelnen

Mit Urteil vom 14.12.2023 (Rs. C-340/21) befasste sich der EuGH unter anderem mit der Frage, ob die bloße Befürchtung des Datenmissbrauchs seitens des Betroffenen durch unbefugte Offenlegung unter den Begriff des immateriellen Schadens fällt. Der EuGH hat sich in seiner Entscheidung deutlich zugunsten der Betroffenen geäußert und urteilte, dass die Auslegung des Art. 82 Abs. 1 DS-GVO auf einer Weise, nach der die Befürchtung eines künftigen Missbrauchs personenbezogener Daten des Betroffenen keinen Schadenersatz rechtfertigt, nicht mit der Gewährleistung eines hohen Schutzniveaus bei der Datenverarbeitung vereinbar wäre.

Weiterhin stellte der EuGH fest, dass wenn eine betroffene Person aufgrund eines Verstoßes gegen die DS-GVO befürchtet, dass ihre personenbezogenen Daten durch Dritte missbraucht werden können ein immaterieller Schaden vorliegt. Allerdings muss das zuständige nationale Gericht in derartigen Fällen insbesondere zunächst prüfen, ob die Befürchtungen überhaupt plausibel sind.

Mitunter stand die Frage offen, ob rein subjektive Schäden von Art. 82 Abs. 1 DS-GVO umfasst sind: Mit Urteil vom selben Tag (Rs. C-456/22) bejahte der EuGH die obenstehende Frage. Demnach umfasst Art. 82 Abs. 1 DS-GVO selbst rein subjektive Schäden von Betroffenen und eröffnet damit die Möglichkeit, Schadenersatz für subjektive Schäden des Betroffenen geltend zu machen.

In diesem Verfahren stellte das Gericht klar, dass Art. 82 Abs. 1 DS-GVO keine Mindesterheblichkeit für die Haftung verlangen darf. Neben den üblichen Voraussetzungen (Schaden, Verstoß gegen die DS-GVO, Kausalzusammenhang) dürfen somit keine zusätzlichen Voraussetzungen wie etwa Spürbarkeit des Nachteils oder objektive Beeinträchtigungen aufgestellt werden. Der EuGH spricht in diesem Zusammenhang von einer Bagatellgrenze und erklärt deutlich, dass Art. 82 Abs. 1 DS-GVO die Überschreitung einer solchen Grenze nicht voraussetzt, um einen Schaden ersatzfähig zu machen.

Die Urteile zeigen, dass Art. 82 Abs. 1 DS-GVO deutlich zugunsten der Betroffenen auszulegen ist, wodurch die Anforderungen für einen Schadenersatz recht niedrig gehalten sind. Voraussetzung dafür ist, dass Betroffene den Schaden auch nachweisen können. Diese Auslegung begründet der EuGH damit, dass so ein gleichmäßiges und hohes Schutzniveau natürlicher Personen bei der Verarbeitung ihrer Daten gewährleistet wird. Weiterhin argumentiert das Gericht mit der Harmonisierung der Betroffenenrechte: So würde nach Auffassung des EuGH eine Erheblichkeitsschwelle möglicherweise dazu führen, dass eben diese Erheblichkeitsschwelle von der individuellen Beurteilung des zuständigen Gerichts abhängen und somit zu unterschiedlich hohen Schwellen führen könnte. Dies würde der Harmonisierung des Datenschutzrechts, insbesondere der Betroffenenrechte im Wege stehen.

Fazit

Die oben genannten Erwägungen zeigen, wie weit der EuGH den Schadensbegriff formuliert. So wird bei Durchsicht der Urteile schnell klar, dass es nicht auf einen Mindestschaden oder eine Bagatellgrenze ankommt, ab der ein Schadenersatz begründbar ist, sondern viel mehr auf die Tatsache selbst, dass ein Schaden für Betroffene entstanden ist.

Ob dies nun für Betroffene wirklich hilfreich ist, bleibt fraglich, da es eindeutig in der Hand der Betroffenen liegt, den immateriellen oder subjektiven Schaden nachzuweisen. Das Gericht betont, dass ein bloßer Verstoß gegen die Bestimmungen der DS-GVO nicht ausreicht, um einen Schadenersatz zu begründen. Und selbst wenn ein Schaden nachgewiesen werden kann, stehen Betroffene und das zuständige Gericht vor der Herausforderung, den entstandenen Schaden zu beziffern. Dies dürfte bei immateriellen und vor allem subjektiven Schäden eine Herausforderung sein. 

Über den Autor: Andreas Nanos LL.M. ist Wirtschaftsjurist und als externer Datenschutzbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Unternehmen im Speditionssektor, mittelständische Unternehmen, sowie Hochschulen und Kultureinrichtungen. Neben seiner Tätigkeit als Datenschutzbeauftragter promoviert er an der juristischen Fakultät der Karls-Universität Prag im Bereich der strafrechtlichen Verantwortung für künstliche Intelligenz. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.