Der Europäische Gerichtshof (EuGH) hat in seinem Urteil vom 11. April 2024 (C-741/21 – juris GmbH) seine Rechtsprechung zum Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO weiterentwickelt. Dabei hat er auch die Anforderungen an eine Haftungsbefreiung nach Art. 82 Abs. 3 DSGVO präzisiert. Insbesondere kann sich der Verantwortliche nicht einfach auf das Fehlverhalten einer ihm unterstellten Person berufen, da dies der praktischen Durchsetzbarkeit des Schadensersatzanspruchs entgegenstünde. Diese Entscheidung ist von besonderer Bedeutung für Arbeitgeber, die aufgrund des Fehlverhaltens ihrer Mitarbeitenden haftbar gemacht werden.
Der Kläger verlangt Schadensersatz wegen der unrechtmäßigen Verarbeitung seiner personenbezogenen Daten für Direktwerbung. Im November 2018 widerrief er schriftlich alle Einwilligungen für Werbemitteilungen und widersprach der Verarbeitung seiner Daten, mit Ausnahme des Newsletterversands. Trotzdem erhielt er im Januar 2019 zwei Werbeschreiben. Im April 2019 erinnerte der Kläger die Beklagte an seinen Widerspruch und forderte Schadensersatz nach Art. 82 Abs. 1 DSGVO. Daraufhin erhielt er ein weiteres Werbeschreiben, was ihn zu einer erneuten Erklärung seines Widerspruchs veranlasste. In den Werbeschreiben war ein persönlicher Testcode enthalten, der auf der Website der Beklagten zu einer vorab ausgefüllten Bestellmaske führte. Die Klage bezog sich sowohl auf materielle Schäden (z.B. Gerichtsvollzieher- und Notarkosten) als auch auf immaterielle Schäden, die durch den Kontrollverlust über seine Daten entstanden seien. Die Beklagte argumentierte, dass der Anspruch nicht bestehe, da der Verstoß auf ein weisungswidriges Verhalten eines Mitarbeiters zurückzuführen sei. Der bloße Verstoß gegen das Widerspruchsrecht bei Direktwerbung sei außerdem kein „Schaden“ im Sinne von Art. 82 Abs. 1 DSGVO.
Das Landgericht Saarbrücken legte dem EuGH mehrere Fragen vor, unter anderem zum Vorliegen eines Schadens allein durch den DSGVO-Verstoß sowie zur Haftungsbefreiung nach Art. 82 Abs. 3 DSGVO.
Der EuGH stellte klar, dass ein Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO nur besteht, wenn ein materieller oder immaterieller Schaden und ein kausaler Zusammenhang zwischen dem DSGVO-Verstoß und dem Schaden nachgewiesen werden. Der bloße Verstoß gegen die DSGVO reicht nicht aus. Der „Verlust der Kontrolle“ über personenbezogene Daten zählt laut Erwägungsgrund 85 der DSGVO zu den immateriellen Schäden, selbst wenn dieser nur kurzzeitig war. Allerdings muss der Betroffene auch in solchen Fällen den Eintritt eines Schadens, wenn auch nur geringfügig, nachweisen können.
Zur Haftungsbefreiung nach Art. 82 Abs. 3 DSGVO entschied der EuGH, dass diese eng auszulegen sei. Der Verantwortliche kann sich nicht allein durch den Hinweis auf das Fehlverhalten eines unterstellten Mitarbeiters entlasten. Es genügt nicht, nachzuweisen, dass dem Mitarbeiter datenschutzkonforme Anweisungen gegeben wurden, er aber dennoch weisungswidrig handelte. Um sich zu exkulpieren, muss der Verantwortliche belegen, dass kein Kausalzusammenhang zwischen seiner Pflichtverletzung und dem entstandenen Schaden besteht.
Der EuGH stellte zudem fest, dass die Kriterien zur Bemessung von Bußgeldern nach Art. 83 DSGVO nicht auf die Bemessung des Schadensersatzes nach Art. 82 DSGVO übertragbar sind. Während Bußgelder eine strafende Funktion haben, dient der Schadensersatz allein der Kompensation.
Das Urteil betont die strengen Anforderungen an die Haftungsbefreiung von Arbeitgebern bei Datenschutzverstößen ihrer Mitarbeitenden. Arbeitgeber sollten ihre Datenschutz-Compliance daher konsequent umsetzen, indem sie klare und dokumentierte Weisungen erteilen und deren Einhaltung überwachen. Regelmäßige Schulungen sowie technische und organisatorische Maßnahmen tragen dazu bei, Haftungsrisiken zu minimieren und eine erfolgreiche Verteidigung im Schadensersatzprozess zu ermöglichen. Welche konkreten Folgen dies im Gesundheitsbereich haben wird, bleibt abzuwarten. Die strengen Anforderungen dürften jedoch zu einer weiterhin steigenden Präsenz und Relevanz des Themas Datenschutz und Datenverarbeitung – auch im Gesundheitsbereich – führen.