Ein Mitarbeiter verstößt gegen die Datenschutzbestimmungen, weshalb ein Kunde auf Schadenersatz klagt. Kann sich der Arbeitgeber von der Haftung befreien?

Der Fall: Schadenersatzklage wegen Datenschutzverstößen

Ein Kunde einer Datenbankbetreiberin bekam trotz eines Widerspruchs gegen Werbung (Artikel 21 Absatz 2 DSGVO) mehrmals Werbeanschreiben. Er hatte der Datenverarbeitung für Zwecke der Direktwerbung widersprochen. Nach Zustellung weiterer Werbeschreiben klagte er die Datenbankbetreiberin auf Schadenersatz nach Artikel 82 Absatz 1 DSGVO.

Das EuGH-Urteil: Voraussetzungen für immateriellen Schadenersatz und Haftungsbefreiung

Das zuständige Landgericht Saarbrücken rief zu einigen offenen Schadenersatzfragen den EuGH an. Es war zu klären, welche Voraussetzungen vorliegen müssen, damit bei einem DSGVO-Verstoß ein Rechtsanspruch auf immateriellen Schadenersatz besteht:

  1. Datenschutzverstoß gegen eine Bestimmung der DSGVO
  2. Schaden liegt vor
  3. kausaler Zusammenhang zwischen Datenschutzverstoß und Schaden

Der EuGH bejahte die Ansicht des Klägers, wonach ein Kontrollverlust über die Verarbeitung der eigenen Daten einen Schaden hervorrufen könne.

Haftungsbefreiung bei Datenschutzverstößen der Mitarbeiter

Zudem war zu klären, ob sich Unternehmen von der Haftung für Datenschutzverletzungen ihrer Mitarbeiter befreien können, wenn sie belegen, dass sie die Mitarbeitenden zu datenschutzkonformen Handlungen angewiesen haben. Laut EuGH-Ansicht reichen interne Datenschutzrichtlinien nicht aus, um Unternehmen von der Haftung zu befreien. Arbeitgeber müssen dafür sorgen, dass die Mitarbeiter die erteilten Anweisungen in der Praxis tatsächlich korrekt umsetzen.

Demnach sind zwei Punkte wichtig, um eine Haftung zu vermeiden:

  • Datenschutzrichtlinien leicht verständlich formulieren: Unternehmen sollten ihre internen Datenschutzrichtlinien so gestalten, dass sie für die Mitarbeiter gut verständlich und in der Praxis umsetzbar sind. Im Idealfall werden die komplexen Anforderungen der Datenschutz-Grundverordnung in einfachere Worte umformuliert.
  • Einhaltung der Datenschutzrichtlinien kontrollieren: Zusätzlich ist zu kontrollieren, ob die Mitarbeiter die Datenschutzrichtlinien am Arbeitsplatz tatsächlich einhalten. Dafür bieten sich Übungsszenarien an. Dabei werden konkrete Situationen wie Widerruf, Widerspruch, Auskunftsersuchen und Datenschutzverletzung simuliert. Es geht darum, wie sich Mitarbeiter in solchen Fällen korrekt verhalten sollen.