Der Europäische Gerichtshof (EuGH) hat in einem neuen Urteil die Rechte von Betroffenen im Rahmen von Datenschutzverstößen gestärkt. Dabei hat der EuGH klargestellt, dass bereits der Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden darstellen kann. Das Urteil unterstreicht damit die verbraucherfreundliche Linie des EuGH im Hinblick auf den immateriellen Schadensersatz nach Art. 82 der Datenschutz-Grundverordnung (DSGVO).
In dem vorliegenden Fall hatte ein deutscher Rechtsanwalt gegen das Onlineportal juris geklagt, weil ihm trotz des Widerrufs seiner Einwilligung weiterhin Werbenachrichten zugesandt wurden.
Zum einen war Juris der Ansicht, dass der bloße Verstoß gegen die DSGVO noch keinen Schadensersatzanspruch begründen könnte. Dazu führte der EuGH in seinem Urteil (Urt. v. 11.04.2024, Az.: C-741/21) wie folgt aus:
Insoweit ist darauf hinzuweisen, dass der 85. Erwägungsgrund der DSGVO ausdrücklich den „Verlust der Kontrolle“ zu den Schäden zählt, die durch eine Verletzung personenbezogener Daten verursacht werden können. Ferner hat der Gerichtshof entschieden, dass der – selbst kurzzeitige – Verlust der Kontrolle über solche Daten einen „immateriellen Schaden“ im Sinne von Art. 82 Abs. 1 dieser Verordnung darstellen kann, der einen Schadenersatzanspruch begründet, sofern die betroffene Person den Nachweis erbringt, dass sie tatsächlich einen solchen Schaden – so geringfügig er auch sein mag – erlitten hat (vgl. in diesem Sinne Urteil vom 25. Januar 2024, MediaMarktSaturn, C?687/21, EU:C:2024:72, Rn. 66 und die dort angeführte Rechtsprechung).
Zum anderen versuchte das Unternehmen sich damit zu verteidigen, dass ein Mitarbeiter angewiesen worden war, die Daten zu löschen. Dabei soll ihm wohl ein Fehler unterlaufen sein. Der EuGH hatte jedoch bereits in früheren Urteilen betont, dass es in der Verantwortung des Unternehmens liegt den Anforderungen der DSGVO zu entsprechen. Eine Befreiung von der Haftung i. S. v. Art. 82 Abs. 2 DSGVO kann dabei nur erfolgen, wenn der Verantwortliche nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. Im Einzelnen stellt der EuGH dazu fest:
Bei einem Arbeitnehmer des Verantwortlichen handelt es sich fraglos um eine natürliche Person, die dem Verantwortlichen unterstellt ist. Es ist somit Sache des Verantwortlichen, sich zu vergewissern, dass seine Weisungen von seinen Arbeitnehmern korrekt ausgeführt werden. Daher kann sich der Verantwortliche nicht einfach dadurch nach Art. 82 Abs. 3 DSGVO von seiner Haftung befreien, dass er sich auf Fahrlässigkeit oder Fehlverhalten einer ihm unterstellten Person beruft.
Es reicht also gerade nicht aus, Mitarbeiter Anweisungen zu erteilen. Vielmehr muss gegebenenfalls die korrekte Ausführung der Anweisung überprüft werden.
Insbesondere betonte der EuGH in seinem Urteil, dass es das Ziel der DSGVO ist, ein hohes Schutzniveau für natürliche Personen bei der Verarbeitung ihrer personenbezogenen Daten zu gewährleisten.
Foto von Tingey Injury Law Firm auf Unsplash
Weitere Beiträge:
Schreibe einen Kommentar
You must be logged in to post a comment.