Eine Thematik welche in der Datenschutzpraxis in Unternehmen und öffentlichen Stellen bei der Verarbeitung von personenbezogenen Daten immer wieder auftritt ist der sogenannte Mitarbeiterexzess. Was hierunter zu verstehen ist und wie die Aufsichtsbehörden zum Teil mit derartigen Fallkonstellationen umgehen haben wir bereits in einem Beitrag näher dargestellt. Nunmehr hat der Europäische Gerichtshof (EuGH) in seinem Urteil vom 11. April 2024 (Rs. C-741/21) sich unter anderem mit der Frage des Exzesses der Beschäftigten im Rahmen des Schadenersatzanspruchs des Art. 82 DS-GVO befasst. Worum es in diesem Urteil geht, welche Entscheidung der EuGH im Detail trifft und welche Auswirkungen diese womöglich für die Praxis mit sich bringen, soll der nachfolgende Beitrag einmal näher beleuchten.
Das Verfahren und die Frage nach der Entlastung
Gegenstand des Ausgangsverfahren vor dem Landgericht Saarbrücken war der Streit zwischen einem Rechtsanwalt und dem juristischen Informationsdienst JURIS (Juristisches Informationssystem für die Bundesrepublik Deutschland), in welchem der Anwalt auf Schadenersatz nach Art. 82 DS-GVO aufgrund des datenschutzwidrigen Umgangs mit seinen personenbezogenen Daten zu Werbezwecken klagt. JURIS brachte unter anderem vor, dass aufgrund eines weisungswidrigen Verhaltens seitens eines Beschäftigten bezüglich des internen Prozesses zum Umgang mit Werbewidersprüchen kein Verschulden zur Begründung eines entsprechenden Schadenersatzanspruches vorläge.
Neben Fragen rund um den Schadensbegriff im Rahmen des Art. 82 DS-GVO befasste sich der EuGH auch mit einer in Betracht kommenden Exkulpationsmöglichkeit seitens des Unternehmens, wenn sich Beschäftigte bei der Verarbeitung personenbezogener Daten weisungswidrig verhalten. Unter Exkulpation wird in der Rechtswissenschaft die Selbstentlastungsfreiheit vom Vorwurf des Verschuldens im Rahmen eines Schadenersatzanspruchs verstanden, also ein Entlastungsbeweis.
Zum besseren Verständnis, Art. 82 Abs. 3 DS-GVO enthält folgende Regelung: „Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.“
Ein in Anspruch genommener Beteiligter einer Datenverarbeitung muss für seine Entlastung gemäß Art. 82 Abs. 3 DS-GVO nachweisen, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. Dies gelingt in der Regel dann, wenn er nachweisen kann, dass er sämtlichen an ihn gestellten Sorgfaltsanforderungen der Datenschutz-Grundverordnung nachgekommen ist. Soweit der Vorrede, nun zum Inhalt des Urteils.
AnforderungEN an die Exkulpation
Konkret bestand unter anderem folgende Vorlagefrage: „[…] das vorlegende Gericht [wollte] im Wesentlichen wissen, ob Art. 82 DS-GVO dahin auszulegen ist, dass es für eine Befreiung des Verantwortlichen von seiner Haftung nach Art. 82 Abs. 3 [DS-GVO] ausreicht, dass er geltend macht, dass der in Rede stehende Schaden durch ein Fehlverhalten einer ihm im Sinne von Art. 29 der [DS-GVO] unterstellten Person verursacht wurde.“
Hierzu führt der EuGH wie folgt aus: „[…] [es] geht zum einen aus diesem Art. 29 [DS-GVO] hervor, dass dem Verantwortlichen unterstellte Personen, wie z. B. seine Mitarbeiter, die Zugang zu personenbezogenen Daten haben, diese Daten grundsätzlich nur auf der Grundlage von Weisungen des Verantwortlichen und im Einklang mit diesen Weisungen verarbeiten dürfen.“ Und weiter: „Zum anderen sieht Art. 32 Abs. 4 DS-GVO über die Sicherheit der Verarbeitung personenbezogener Daten vor, dass der Verantwortliche Schritte unternimmt, um sicherzustellen, dass ihm unterstellte natürliche Personen, die Zugang zu solchen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.“
Unter Zugrundelegung dieser Ausführungen kommt er EuGH zum Zwischenfazit: „Bei einem Arbeitnehmer des Verantwortlichen handelt es sich fraglos um eine natürliche Person, die dem Verantwortlichen unterstellt ist. Es ist somit Sache des Verantwortlichen, sich zu vergewissern, dass seine Weisungen von seinen Arbeitnehmern korrekt ausgeführt werden. Daher kann sich der Verantwortliche nicht einfach dadurch nach Art. 82 Abs. 3 DSGVO von seiner Haftung befreien, dass er sich auf Fahrlässigkeit oder Fehlverhalten einer ihm unterstellten Person beruft.“
Außerdem „[…] ist hervorzuheben, dass die Umstände der in Art. 82 Abs. 3 DS-GVO vorgesehenen Befreiung streng auf solche beschränkt werden müssen, unter denen der Verantwortliche nachweisen kann, dass er selbst nicht für den Schaden verantwortlich ist […]. Daher kann dem Verantwortlichen bei einer Verletzung des Schutzes personenbezogener Daten durch eine ihm unterstellte Person diese Befreiung nur zugutekommen, wenn er nachweist, dass es keinen Kausalzusammenhang zwischen der etwaigen Verletzung der ihm gemäß den Art. 5, 24 und 32 dieser Verordnung obliegenden Verpflichtung zum Datenschutz und dem der betroffenen Person entstandenen Schaden gibt.“
Der EuGH kommt deshalb zum Ergebnis: „Für eine mögliche Befreiung des Verantwortlichen – nach Art. 82 Abs. 3 DS-GVO – von seiner Haftung kann es daher nicht ausreichen, dass er nachweist, dass er den ihm im Sinne von Art. 29 dieser Verordnung unterstellten Personen Weisungen erteilt hat und dass eine dieser Personen ihrer Verpflichtung, diese Weisungen zu befolgen, nicht nachgekommen ist und sie damit zum Eintritt des in Rede stehenden Schadens beigetragen hat.“
Was bleibt für die Praxis?
Der EuGH formuliert mit dem Urteil strenge Anforderungen an die Möglichkeit zur Exkulpation für die verantwortlichen Stellen im Rahmen des Art. 82 Abs. 3 DS-GVO, insofern es sich um eine Konstellation eines Mitarbeiterexzesses handelt. Ein bloßer Verweis auf die gegenüber den Beschäftigten erteilten Weisungen bzw. die Weisungswidrigkeit der Handlung der betroffenen Beschäftigten genügt nicht. Dies gilt gleichwohl für einen Verweis auf bestehende Datenschutzbestimmungen innerhalb der verantwortlichen Stelle, z.B. in Form einer Policy bzw. Richtlinie zum Datenschutz. Es bedarf vielmehr des konkreten Nachweises, dass zwischen dem bestehenden Verstoß gegen die Datenschutz-Grundverordnung und dem Handeln des Mitarbeiters kein Kausalzusammenhang besteht.
Fazit
Festzuhalten bleibt, dass das Urteil des EuGH im Lichte der Datenschutz-Grundverordnung und den darin verankerten Grundsätzen zu begrüßen ist. Wie der EuGH final noch herausstellt, stände es nicht im Einklang mit der Datenschutz-Grundverordnung, wenn sich datenschutzrechtlich Verantwortliche von ihrer Haftung befreien könnten, indem sie sich lediglich auf das Fehlverhalten der ihnen unterstellten Personen berufen. Dies würde zu einer Beeinträchtigung des in Art. 82 DS-GVO verankerten Schadenersatzanspruches führen. Mithin führt das Urteil des EuGH auch zu einer Stärkung der Rechte der betroffenen Personen. Mit Blick auf die Umsetzungspflichten für die Praxis bedeutet dies gleichzeitig, dass es mit einer bloßen Erteilung von Weisungen nicht getan ist.
Von den Fragen der Haftung nach Art. 82 DS-GVO gegenüber der betroffenen Person unberührt bleiben im Innenverhältnis zwischen verantwortlicher Stelle und Beschäftigten natürlich arbeits- bzw. dienstrechtliche Ausgestaltungen sowie etwaige Maßnahmen der jeweils zuständigen Datenschutzaufsichtsbehörde.
Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
