Der Europäische Gerichtshof (EuGH) hat kürzlich entschieden, dass ein Unternehmen grundsätzlich für Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) haftet. Das gilt auch, wenn der Verstoß von Beschäftigten verursacht wurde, die sich nicht an interne Regelungen gehalten haben. Denn: Unternehmen müssen nicht nur nachweisen, dass sie die Beschäftigten zu datenschutzkonformem Verhalten angewiesen haben. Vielmehr müssen sich Unternehmen auch vergewissern, dass die Weisungen von den Beschäftigten auch korrekt ausgeführt werden (Aktenzeichen C-741/21).
In dem Fall hatte ein Kunde von Juris, einer Gesellschaft, die eine juristische Datenbank betreibt, bei Juris angefragt, welche Daten sie von ihm verarbeiten. Aufgrund der Angabe, dass Juris seine Daten zur Direktwerbung nutzt, widerrief er im November 2018 schriftlich alle seine Einwilligungen, von diesem Unternehmen per E‑Mail oder per Telefon Informationen zu erhalten, und widersprach jeglicher Verarbeitung dieser Daten mit Ausnahme des Versands von „Newslettern“, die er weiterhin beziehen wollte. Trotz dieses Vorgehens erhielt er im Januar 2019 zwei Werbeschreiben, die ihm an seine Geschäftsadresse geschickt wurden. Er wies Juris auf seinen früheren Widerspruch gegen jegliche Werbung hin, teilte mit, dass die Werbeschreiben zu einer rechtswidrigen Verarbeitung seiner Daten geführt haben, und verlangte Schadenersatz nach Art. 82 DSGVO. Nachdem er im Mai 2019 ein neues Werbeschreiben erhalten hatte, erklärte er abermals seinen Widerspruch.
Beim Landgericht Saarbrücken erhob er Klage auf Ersatz seines materiellen Schadens. Worin sein Schaden lag, wie der EuGH entschied und was das Urteil für HR bedeuten könnte, haben wir Dr. Lea Stegemann, Senior Associate der Kanzlei Noerr, und Sebastian Dienst, Associated Partner auch bei der Kanzlei Noerr, gefragt.
Personalwirtschaft: Was entgegnen sich die beiden Parteien, also der Kunde und Kläger sowie Juris als beklagtes Unternehmen?
Lea Stegemann: Der Kunde von Juris macht geltend, dass er die Kontrolle über seine Daten verloren hat. Deshalb verlangt er einen Schadensersatz. Denn trotz seiner mehrmaligen Aufforderung, die Werbemailings einzustellen, bekam er weiterhin Werbung. Juris argumentierte wiederum, dass einer ihrer Mitarbeitenden den Widerspruch weisungswidrig nicht berücksichtigt habe oder die Berücksichtigung der Widersprüche übermäßig kostspielig gewesen sei. Da der Kläger aber auch ein halbes Jahr nach dem ersten Widerruf wieder ein Werbeschreiben erhalten hatte, scheint es eher ein systematisches Problem bei der Datenverarbeitung gewesen zu sein.
Der Kunde, der selbst auch Anwalt ist, hat sehr akribisch und schriftlich seine Einwilligung widerrufen. Was sind die Anforderungen an so einen Vorgang?
Stegemann: Grundsätzlich muss es jedem und jeder jederzeit möglich sein, etwaige Werbeeinwilligungen zu widerrufen und der Verwendung personenbezogener Daten für Direktwerbung zu widersprechen. Für die Art und Weise, wie eine Person Widerspruch einlegt oder eine Einwilligung widerruft, gibt es keine zwingenden gesetzlichen Vorgaben. Es muss nicht zwingend schriftlich erfolgen, und die Person muss dem Unternehmen auch keine Anweisung geben, welche Daten genau aus welchen Verteilern genommen werden sollen. Das ist Aufgabe des Unternehmens. Ein pauschales Abbestellen jeglicher Werbung seitens der Nutzer und Nutzerinnen ist vollkommen ausreichend.
Wieso ging es bei dem Verfahren auch um die Mitarbeiterin von Juris?
Sebastian Dienst: Grundsätzlich haften Unternehmen für Datenschutzverstöße ihrer Mitarbeitenden. Der EuGH hatte nun aber zu klären, ob Unternehmen von dieser Haftung befreit sind, wenn sie nachweisen können, dass sie ihre Beschäftigten eigentlich zu datenschutzkonformem Verhalten angewiesen haben. Zu klären war auch, ob der vom Kunden vorgebrachte Kontrollverlust der Daten zu einem Schadensersatz führt.
Und wie hat der EuGH entschieden?
Stegemann: Ja, laut dem EuGH kann der Kontrollverlust der eigenen Daten für die Betroffenen durchaus einen Schaden darstellen und damit auch schadensersatzfähig sein.
Dienst: Der EuGH kam außerdem zu dem Schluss, dass Anweisungen, etwa in Form interner Richtlinien zum Datenschutz, für eine Haftungsbefreiung nicht ausreichen. Unternehmen müssen vielmehr sicherstellen, dass Mitarbeitende die Weisungen tatsächlich auch korrekt ausführen. Konkreter wurde das Gericht in diesem Fall nicht. Der EuGH lässt offen, wie genau Unternehmen nun sicherstellen sollen, dass ihre Beschäftigten Anweisungen auch tatsächlich befolgen.
Stegemann: Es dürfte nahe liegen, dass künftig laut dem EuGH-Urteil neben regelmäßiger Sensibilisierung und Schulung vor allem auch Überprüfungen und Kontrollen wichtig sind.
Wie hoch ist der Schadenersatz bei einem Verstoß eines Mitarbeiters oder einer Mitarbeiterin gegen die DSGVO?
Stegemann: Genau das ist für Unternehmen derzeit noch unklar. Womit müssen sie bei Schadensersatzansprüchen rechnen und was sollten sie gegebenenfalls als Rückstellung bilden? Die Rechtsprechung spricht zwischen kleinen zweistelligen Beträgen bis zu 10.000 Euro alles zu und ist noch sehr uneinheitlich. Dies zeigt unsere Tabelle, die wir als Überblick über die aktuelle Rechtsprechung deutscher Gerichte zum immateriellen Schadensersatz erstellt haben.
Was würden Sie Unternehmen empfehlen, um den Vorgaben des EuGH gerecht zu werden?
Dienst: Anweisungen zum Datenschutz gibt es tatsächlich in den allermeisten Unternehmen schon. Sie sollten jedoch noch mehr darauf achten, dass solche Weisungen – beispielsweise interne Richtlinien zum Datenschutz – für Beschäftigte auch tatsächlich verständlich und praktisch umsetzbar sind. Wenn wir ehrlich sind, ist ein Großteil der heute in vielen Unternehmen vorhandenen internen Datenschutzrichtlinien für Beschäftigte kaum verständlich, geschweige denn praxistauglich. Häufig geben solche Richtlinien lediglich langatmig die komplexen rechtlichen Anforderungen wieder – also so, wie sie die Datenschutz-Grundverordnung formuliert.
Doch selbst mit einer guten und praxisnahen Erklärung der DSGVO hat der Arbeitgeber noch nicht kontrolliert, ob sich der oder die Angestellte auch wirklich datenschutzkonform auf der Arbeit verhält.
Dienst: Das stimmt. Um zu kontrollieren, ob Beschäftigte Weisungen zum Datenschutz in der Praxis auch tatsächlich umsetzen, sollten Unternehmen regelmäßige anlasslose Überprüfungen durchführen, vor allem sogenannte „Feuerwehrübungen“. Sprich: Konkrete Szenarien durchspielen, wie beispielsweise den Eingang eines Widerrufs von Werbeeinwilligungen oder eines Widerspruchs gegen Direktwerbung, den Eingang von Auskunftsersuchen oder konstruierte Datenschutzverletzungen. Aus solchen Übungen lassen sich dann auch konkrete Verbesserungsmaßnahmen für interne Abläufe ableiten.
Gesine Wagner betreut als Chefin vom Dienst Online die digitalen Kanäle der Personalwirtschaft und ist als Redakteurin hauptverantwortlich für die Themen Arbeitsrecht, Politik und Regulatorik. Sie ist weiterhin Ansprechpartnerin für alles, was mit HR-Start-ups zu tun hat. Zudem verantwortet sie das CHRO Panel.
