Wer haftet für die Mitarbeiter, wenn diese Datenschutz-Fehler machen?

In diesem Jahr geht es Schlag auf Schlag mit den EuGH-Entscheidungen im Datenschutz. Am 11.4.2024 wurde in Brüssel schon wieder ein wichtiges Urteil zur Haftung von Unternehmen bei Datenschutzverstößen veröffentlicht. Es ging hier um die Haftung von Unternehmen für Datenschutzverstöße – wenn ein Mitarbeiter weisungswidrig handelt. 

Hat das Unternehmen nicht alles richtiggemacht und soll jetzt doch für einen Datenschutzverstoß haften, nur, weil ein Mitarbeiter sich nicht an die Regeln hält? Das erscheint irgendwie ungerecht.

Der Fall spielt in Deutschland und die klagende bzw. betroffene Person ist ein Anwalt. Er hatte gegenüber Juris* seine Einwilligung in den Erhalt von Werbe-E-Mails widerrufen. Newsletter wollte er weiter erhalten. Nun kam es, wie es kommen musste, der Kollege wurde weiterhin werblich angeschrieben. Er hatte damit die Kontrolle über seine Daten verloren und verlangte von Juris Schadensersatz.

Dort berief man sich darauf, dass der oder die Mitarbeitende weisungswidrig gehandelt habe. Juris selbst sei also nicht schuld. Das Landgericht Saarbrücken fragte beim EuGH nach. 

Der EuGH bejahte grundsätzlich die Haftung von Juris. In Art. 32 Abs. 4 DSGVO geht es um die Sicherheit der Verarbeitung personenbezogener Daten. Dieser sieht vor, dass der Verantwortliche Schritte unternimmt, um sicherzustellen, dass seine Mitarbeiter, Daten nur auf Anweisung des Verantwortlichen verarbeiten.

„Es ist somit Sache des Verantwortlichen, sich zu vergewissern, dass seine Weisungen von seinen Arbeitnehmern korrekt ausgeführt werden. Daher kann sich der Verantwortliche nicht einfach dadurch nach Art. 82 Abs. 3 DSGVO von seiner Haftung befreien, dass er sich auf Fahrlässigkeit oder Fehlverhalten einer ihm unterstellten Person beruft.“, so der EuGH (Urteil vom 11.4.2024, C-741/21).

In dem Urteil bleibt offen, wie genau dies aussieht, „das Vergewissern, dass Weisungen korrekt ausgeführt werden.“ Der erste Schritt dürfte darin bestehen, die Mitarbeiter regelmäßig zu schulen und zu sensibilisieren. Datenschutzrichtlinien sollten – ebenso wie die Schulungen – in verständlicher Sprache und bezogen auf die konkreten Datenverarbeitungsvorgänge – verfasst werden. Auch Kontrollen sind offensichtlich wichtig. Vielleicht können hier Rollenspiele durchgeführt werden oder anhand von Testanfragen geprüft werden, wie hier tatsächlich im Unternehmen vorgegangen wird. Fakt ist: Sind Ihre Kunden gut informierte Personen und davon müssen Sie ausgehen, sollten deren Widerrufe und Äußerungen mit besonderer Aufmerksamkeit und Achtsamkeit bearbeitet werden. 

Die Verantwortlichen müssen sich vergewissern, dass ihre Mitarbeitenden die (datenschutzrechtlichen) Weisungen einhalten. Denn jede betroffene Person hat die grundrechtlich geschützten Rechte und damit das Recht Einwilligungen in Werbe-Ansprachen zu widerrufen, aber auch in den Erhalt von Newslettern. 

Ich hoffe, Sie machen davon keinen Gebrauch, dann erhalten Sie auch weiterhin Informationen zu den Themen Mietrecht, Wohnungseigentumsrecht und Datenschutz.

Autorin: Katharina Gündel, GROSS Rechtsanwaltsgesellschaft mbH

Bildnachweis: Pixabay