EuGH-Urteil: Keine Exkulpation durch Mitarbeiterverweis

Der Europäische Gerichtshof (EuGH) hat in einer wichtigen Entscheidung am 11. April 2024 wichtige Klarstellungen zum Schadensersatzanspruch gemäß Art. 82 der Datenschutz-Grundverordnung (DSGVO) vorgenommen. Diese Entscheidung beleuchtet wesentliche Aspekte der Haftung für Verstöße gegen Datenschutzvorschriften durch einen Mitarbeiter und die Bemessung von Schadenersatz.

Inhalte Anzeigen

Kernpunkte der Entscheidung

Im Mittelpunkt des Urteils stand die Frage, inwiefern Verstöße gegen die DSGVO einen immateriellen Schadensersatzanspruch begründen können. Der EuGH legte fest, dass ein Verstoß allein nicht ausreichend ist, um einen Anspruch auf Schadenersatz zu rechtfertigen. Vielmehr muss die betroffene Person sowohl den Verstoß gegen die DSGVO als auch den dadurch entstandenen immateriellen Schaden nachweisen. Hierbei ist es unerheblich, wie schwerwiegend der Schaden ist.

Die Entscheidung klärt auch die Haftungsfrage: Ein Verantwortlicher für die Datenverarbeitung kann sich nicht allein dadurch von der Haftung befreien, dass er auf das Fehlverhalten eines Mitarbeiters verweist. Dies stellt eine erhebliche Stärkung des Schutzes natürlicher Personen im Datenschutzrecht dar.

Des Weiteren stellte der EuGH klar, dass die Kriterien für die Bemessung von Geldbußen gemäß Art. 83 DSGVO nicht auf die Bemessung des Schadenersatzes nach Art. 82 DSGVO anwendbar sind. Dies unterstreicht den Unterschied zwischen dem sanktionierenden Charakter der Geldbußen und dem ausgleichenden Charakter des Schadenersatzes. Insgesamt stellt der EUGH fest, dass die DSGVO so zu verstehen ist, dass

ein Verstoß gegen Bestimmungen dieser Verordnung, die der betroffenen Person Rechte verleihen, für sich genommen nicht ausreicht, um unabhängig vom Schweregrad des von dieser Person erlittenen Schadens einen „immateriellen Schaden“ im Sinne dieser Bestimmung darzustellen;
es für eine Befreiung des Verantwortlichen von seiner Haftung nach Art. 82 Abs. 3 dieser Verordnung nicht ausreicht, dass er geltend macht, dass der in Rede stehende Schaden durch ein Fehlverhalten einer ihm im Sinne von Art. 29 der Verordnung unterstellten Person verursacht wurde;
zur Bemessung des Betrags des auf diese Bestimmung gestützten Anspruchs auf Schadenersatz zum einen die in Art. 83 dieser Verordnung vorgesehenen Kriterien für die Festsetzung des Betrags von Geldbußen nicht entsprechend anzuwenden sind und zum anderen nicht zu berücksichtigen ist, dass die Person, die Schadenersatz verlangt, von mehreren Verstößen gegen die Verordnung betroffen ist, die sich auf denselben Verarbeitungsvorgang beziehen.

Bedeutung der Entscheidung

Dieses Urteil hat weitreichende Auswirkungen für den Datenschutz in der Europäischen Union. Es betont die Notwendigkeit eines wirksamen Datenschutzmanagements in Unternehmen und stärkt die Rechte von Einzelpersonen. Die Entscheidung unterstreicht, dass die Verantwortung für die Einhaltung der Datenschutzvorschriften bei den datenverarbeitenden Stellen liegt und dass diese nicht durch den Verweis auf Fehler von Mitarbeitern abgewälzt werden kann.

Für betroffene Personen bedeutet das Urteil, dass sie bei Datenschutzverletzungen Schadenersatzansprüche geltend machen können, auch wenn der entstandene Schaden nicht schwerwiegend ist. Dies könnte zu einer Zunahme von Klagen im Bereich des Datenschutzrechts führen und Unternehmen dazu anregen, ihre Datenschutzpraktiken zu überprüfen und zu verbessern.

Fazit

Das EuGH-Urteil stärkt den Datenschutz innerhalb der EU, indem es klare Leitlinien für die Haftung bei Datenschutzverstößen und die Bemessung von Schadenersatzansprüchen bietet. Es ist ein klares Signal an Unternehmen, die Bedeutung des Datenschutzes ernst zu nehmen und effektive Maßnahmen zur Vermeidung von Datenschutzverletzungen zu ergreifen.