Haftung auf Schadensersatz ohne Haftungsbeschränkung für Geschäftsführer und Vorstände bei weisungswidrigen Handlungen von Angestellten

Mit einem Urteil des EuGH vom 11.04.2024 (Az. C—741/21) wurde erneut hinsichtlich eines Schadensersatzanspruches gem. Art. 82 Abs. 1 und 3 DSGVO Recht gesprochen. Sowohl die Voraussetzungen als auch der Haftungsumfang sind hierbei angesprochen. Im Ergebnis kann sich der verantwortliche Geschäftsführer/ Vorstand demnach nicht auf ein Fehlverhalten einer ihm unterstellten Person berufen, selbst wenn diese weisungswidrig gehandelt hat.

Sachverhalt:

Der Kläger macht Schadenersatzansprüche wegen rechtswidriger Verarbeitung seiner personenbezogenen Daten geltend. Der Kläger hatte im November 2018 schriftlich sämtliche Einwilligungen zur Datenübertragung widerrufen. Zudem hatte er im Wesentlichen jeglicher Verarbeitung seiner Daten widersprochen. Gleichwohl gingen dem Kläger im Januar 2019 zwei Werbeschreiben der Beklagten zu, die ihn auch direkt personifiziert ansprachen. Der Kläger wies die Beklagte auf den Widerspruch hin und begehrte Schadenersatz nach Art. 82 Abs. 1 DSGVO. Die Beklagte ignorierte dies und warb erneut personifiziert.

Die Werbeanschreiben der Beklagten verfolgten ausdrücklich kommerzielle Zwecke. Daraufhin erhob der Kläger Klage auf Schadensersatz nach Art. 82 Abs. 1 DSGVO. Er argumentierte, er habe den Verlust der Kontrolle über seine personenbezogenen Daten erlitten, da die Beklagte die Datenverarbeitungen trotz seiner Widersprüche realisiert habe. Die Beklagte entgegnete, der Anspruch bestehe nicht, da es im Unternehmen im Übrigen auch einen Prozess zur Bearbeitung von Werbewidersprüchen gebe. Die verspätete Berücksichtigung des Widerspruchs sei dabei auf ein weisungswidriges Verhalten ihres zuständigen Mitarbeiters zurückzuführen. Das Landgericht Saarbrücken legte dem EuGH daraufhin gleich mehrere Fragen zum Vorliegen eines Schadens schon allein durch Verstöße gegen die DSGVO sowie zu den Anforderungen an die Haftungsbefreiung gemäß Art. 82 Abs. 3 DSGVO sowie zur Höhe des Schadenersatzes vor. 

Entscheidung:

Der EuGH entschied folgende Leitlinien: 

Nach Art. 82 Abs. 1 DSGVO steht jeder Person, welcher aufgrund eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, ein Schadensersatzanspruch zu. Der Verstoß gegen Bestimmungen der DSGVO allein reicht aber allein für sich nicht aus, um einen solchen Anspruch nach Art. 82 DSGVO zu begründen. Erforderlich sei das Vorliegen eines materiellen oder immateriellen Schadens sowie eines kausalen Zusammenhanges zwischen dem Verstoß und dem eingetretenen Schaden. Daher müsse der Mensch, der auf der Grundlage von Art. 82 Abs. 1 DSGVO den Ersatz eines immateriellen Schadens verlangt, nicht nur den Verstoß gegen die DSGVO, sondern auch diesen Zusammenhang belegen.

Der EuGH ergänzte, dass der Kontrollverlust des Arbeitgebers auch zu denjenigen Schäden zählt, die durch eine Verletzung personenbezogener Daten verursacht würden. Die unabdingbare Voraussetzung sei aber, dass der Geschädigte den Eintritt eines Schadens auch nachweisen könne. 
Nach Art. 82 Abs. 3 DSGVO werde der Verantwortliche von seiner Haftung befreit, wenn er nachweisen kann, dass er in keinerlei Hinsicht für den Verletzungs-Umstand verantwortlich ist, hierbei sei die Haftungsbefreiung aber streng zu beschränken. Verletzt eine dem Arbeitgeber gemäß Art. 29 DSGVO unterstellte Person den Schutz von personenbezogenen Daten, kann sich der Arbeitgeber dann nur dadurch befreien, wenn er belegt, dass zwischen der Verletzung ihm obliegender Pflichten zum Datenschutz gemäß DSGVO und dem des Betroffenen entstandenen Schaden kein kausaler Zusammenhang besteht. Hierfür reicht es nach dem EuGH aber nicht aus, dass der Arbeitgeber der unterstellten Person Weisungen erteilt, diese Person aber trotzdem weisungswidrig gehandelt und somit zum Schaden beigetragen hat. Der Arbeitgeber kann sich mithin nicht nur auf ein Fehlverhalten einer ihm unterstellten Person berufen. 

Sebastian Tempel
Rechtsanwalt