Fehler von Mitarbeitern keine Entschuldigung bei Datenschutzverstoß

Der Gerichtshof der Europäischen Union hat kürzlich in der Rechtsache C‑741/21 (JURIS) wichtige Fragen bezüglich der Haftung bei Datenschutzverletzungen, der Bemessung von Schadenersatz sowie des Einflusses menschlichen Versagens auf die Haftung beantwortet. Die Entscheidung bestätigt die bisherige Rechtsprechung der jüngeren Vergangenheit und führt diese fort. Dennoch bietet die Entscheidung eine Gelegenheit, das Verständnis des immateriellen Schadens zu präzisieren und die Anforderungen an den Nachweis solcher Schäden sowie die Haftung der Verantwortlichen zu klären. 

Die Vorlagefragen 

Frage 1: Voraussetzungen des immateriellen Schadensersatzes bei DSGVO-Verstoß  

Frage: Das vorlegende Gericht fragte, ob ein Verstoß gegen den Betroffenen begünstigende Bestimmungen der DSGVO ausreicht, um einen Anspruch auf „immateriellen Schadensersatz“ im Sinne des Art. 82 Abs. 1 DSGVO zu begründen. 

Antwort des Gerichtshofs: Ein Verstoß gegen die DSGVO allein reicht nicht aus, um einen immateriellen Schaden zu begründen. Vielmehr müssen drei Voraussetzungen kumulativ erfüllt sein:  

• der Verstoß gegen die DSGVO, 
• das Vorliegen eines Schadens und
• ein Kausalzusammenhang zwischen Verstoß und Schaden. 

Diese Voraussetzungen wurden vom EuGH bereits klar benannt (z.B. im Urteil vom 25. Januar 2024, MediaMarktSaturn, C-687/21, EU:C:2024:72, Rn. 58). Die betroffene Person muss also den Nachweis erbringen, dass ihr durch den Verstoß ein immaterieller Schaden entstanden ist, ohne dass dieser Schaden einen bestimmten Schweregrad erreichen muss. Betont wird also erneut, dass es bei Schadensersatzansprüchen nach DSGVO keine Bagatellschwelle gibt. Das ist ein wesentlicher Unterschied zu Ansprüchen nach nationalem deutschen Recht, wo immaterieller Schaden regelmäßig nur gewährt wird, wenn eine Bagatellschwelle überschritten ist. 

Frage 2: Haftungsausschluss bei menschlichem Versagen 

Frage: Das vorlegende Gericht wollte wissen, ob die Haftung auf Schadenersatz gemäß Art. 82 Abs. 3 DSGVO dadurch ausgeschlossen wird, dass der Rechtsverstoß auf menschliches Versagen einer dem Verantwortlichen unterstellten Person zurückgeführt wird.

Antwort des Gerichtshofs: Der Verantwortliche kann sich nicht dadurch von seiner Haftung befreien,  indem er auf das Fehlverhalten einer ihm unterstellten Person verweist. Vielmehr muss der Verantwortliche nachweisen, dass er selbst nicht für den Schaden verantwortlich ist. Ein bloßes Berufen auf menschliches Versagen einer unterstellten Person reicht nicht aus, um die Haftung zu vermeiden. Allenfalls darf der Verantwortliche anführen, dass die handelnde Person außerhalb seiner unternehmerischen Tätigkeit und auf eigene Rechnung tätig geworden ist, auch wenn das im vorliegenden Fall nicht thematisiert worden ist (vgl. Urteil vom 5. Dezember 2023, Deutsche Wohnen, C-807/21, EU:C:2023:1022, Rn. 44, ECLI:EU:C:2023:950). 

Denn den Verantwortlichen trifft die Pflicht aus Artikeln 24 und 32 DSGVO unter anderem seine Mitarbeiter so zu schulen und anzuweisen, dass personenbezogene Daten angemessen geschützt sind (vgl. Urteil vom 25. Januar 2024, MediaMarktSaturn, C-687/21, EU:C:2024:72, Rn. 58). Ein Fehler von Mitarbeitern, etwa die Weitergabe sensibler Daten an Unbefugte, kann danach ein Indiz für unzureichende Sicherheitsmaßnahmen sein, die der Verantwortliche gemäß Art. 24 und 32 DSGVO hätte ergreifen müssen. Der Verantwortliche muss also darlegen, dass er nicht fahrlässig gehandelt hat und keine Organisationsmängel vorliegen. Die Entscheidung wird damit begründet, dass den Verantwortlichen die Beweislast für die Einhaltung der DSGVO trifft, nicht den Geschädigten (vgl. Urteil vom 21. Dezember 2023, Krankenversicherung Nordrhein, C-667/21, EU:C:2023:1022, Rn. 92-94).  

Frage 3 und 4: Bemessung des Schadenersatzes und Berücksichtigung mehrerer Verstöße 

Frage: Das vorlegende Gericht fragte, ob die Kriterien zur Bemessung von Bußgeldern (Art. 83 DSGVO) auch für die Bemessung des Schadensersatzes (Art. 82 Abs. 1 DSGVO) herangezogen werden dürfen und ob mehrere Verstöße gegen die DSGVO mit einer Gesamtentschädigung sanktioniert werden sollen.

Antwort des Gerichtshofs: Die in Art. 83 DSGVO genannten Kriterien für die Bemessung von Bußgeldern können nicht zur Bemessung des Schadenersatzes nach Art. 82 DSGVO herangezogen werden.  Beide Regelungen verfolgen unterschiedliche Ziele. Art. 82 DSGVO begründet keinen Strafschadensersatz, sondern dient ausschließlich dem finanziellen Ausgleich des erlittenen Schadens (Urteil vom 21. Dezember 2023, Krankenversicherung Nordrhein, C-667/21, EU:C:2023:1022, Rn. 86). Entsprechend ist die Schwere des Verstoßes gegen die DSGVO nicht für die Bemessung des Schadensersatzes zu berücksichtigen. 

Bestätigung und Klarstellung: Die Konsequenzen der jüngsten Gerichtsentscheidungen zur DSGVO 

Die Entscheidung bestätigt eine Reihe von EuGH-Urteilen zum Schadensersatz nach Art. 82 DSGVO. (Urteil vom 14. Dezember 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, Rn. 21 und die dort genannten Entscheidungen). Diese Urteile brachten keine großen Überraschungen, bestätigen und festigen jedoch die bisherige Rechtsprechung. 

Zu begrüßen sind dabei die enthaltenen Klarstellungen: Positiv hervorzuheben ist, dass die Maßstäbe für die Bemessung von Geldbußen gemäß Art. 83 DSGVO nicht auf Schadensersatzansprüche übertragen werden. Während Geldbußen repressiven, sanktionierenden Charakter haben, dient der Schadensersatz allein dem Ausgleich tatsächlicher Einbußen. Es erfolgt somit eine Einzelfallbetrachtung durch das zuständige Gericht. Es kommt bei der Bemessung des Schadensersatzes auf den konkret erlittenen Schaden an. Das ist nicht nur bedeutsam für den individuellen Schadensersatz. Im praktischen Ergebnis könnte dies auch dazu führen, dass DSGVO-Schadensersatzklagen nicht Gegenstand eines Masseverfahrens nach dem Verbraucherrechtedurchsetzungsgesetz (VduG) sein können. Denn dieses setzt die Gleichartigkeit der Ansprüche voraus (§ 15 VdUG). Zudem ist es von Bedeutung, dass Schadensersatzbeträge nicht einfach addiert werden müssen. Es wird also der tatsächlich entstandene Schaden ersetzt, ohne Rücksicht darauf, wie viele Verstöße gegen die DSGVO im Einzelnen vorgelegen haben mögen. 

Diese Entscheidung stärkt im Ergebnis die Ausgleichsfunktion der Schadensersatzregelungen und sorgt dafür, dass die Entschädigung wirklich dem tatsächlichen Schaden der betroffenen Person entspricht.  

Darüber hinaus wird noch einmal verdeutlicht, dass Weisungen an Mitarbeiter nicht ausreichen, um sich als Verantwortlicher von der Haftung frei zu zeichnen. Wichtig ist es daher, durch sorgfältig ausgewählte und eingeführte technische und organisatorische Maßnahmen sicherzustellen, dass Datenschutzverstöße möglichst unterbleiben.