Haftung von Unternehmen für Datenschutzverstöße ihrer Beschäftigten

Unternehmen haften grundsätzlich für Datenschutzverstöße ihrer Beschäftigten, auch wenn diese gegen anderslautende Weisung gehandelt haben.

Die Datenschutz-Grundverordnung (DSGVO) sorgt nicht nur für den Schutz personenbezogener Daten, sondern bietet auch Betroffenen die Möglichkeit, Schadensersatz bei Verstößen zu fordern. Ein aktuelles Urteil des Europäischen Gerichtshofs (EuGH) beleuchtet wichtige Fragen zur Haftung von Verantwortlichen, speziell von Arbeitgebern* bei Fehlern von Beschäftigten.

Immaterieller Schaden: Anforderungen und Nachweis

Nach Art. 82 DSGVO hat eine Person Anspruch auf Schadensersatz, wenn sie durch einen Verstoß gegen die DSGVO einen materiellen oder immateriellen Schaden erlitten hat. Doch reicht der Verstoß allein nicht aus, um automatisch Schadensersatz zu erhalten. Der EuGH stellte klar, dass ein immaterieller Schaden vorliegen und von der betroffenen Person nachgewiesen werden muss. Ein bloßer Verstoß gegen die DSGVO genügt nicht, um ohne Nachweis eines konkreten Schadens einen Anspruch geltend zu machen.

Besonders relevant ist dies für Unternehmen, die durch Verarbeitung von Kundendaten häufig in die DSGVO-Bewertung fallen. Unternehmer sollten sicherstellen, dass Prozesse und Dokumentationen zur Einhaltung der DSGVO vorhanden sind und angewendet werden, um Rechtsstreitigkeiten zu vermeiden.

Unternehmen haften grundsätzlich für Datenschutzverstöße von Beschäftigten

Ein weiterer zentraler Punkt im Urteil betrifft die Frage der Haftungsbefreiung für den Verantwortlichen. Art. 82 Abs. 3 DSGVO erlaubt Verantwortlichen eine Befreiung von der Haftung, wenn sie beweisen können, dass sie für den Schaden „in keinerlei Hinsicht verantwortlich“ sind. Der EuGH urteilte, dass die Berufung auf das Fehlverhalten von Mitarbeitern oder anderen unterstellten Personen (gemäß Art. 29 DSGVO) nicht ausreicht, um die Haftung abzuwenden. Unternehmer müssen daher sicherstellen, dass interne Anweisungen klar und umfassend dokumentiert sind und regelmäßig überprüft werden.

Für die Praxis bedeutet dies: Unternehmen müssen nicht nur Schulungen und Sicherheitsvorkehrungen implementieren, sondern auch den Nachweis erbringen können, dass sie alle geeigneten Maßnahmen ergriffen haben, um DSGVO-Verstöße zu verhindern.

Bemessung des Schadensersatzes: Kriterien aus der DSGVO für Geldbußen nicht anwendbar

Unternehmer fragen sich oft, nach welchen Kriterien die Höhe des Schadensersatzes bemessen wird. Art. 83 DSGVO enthält Kriterien für die Festsetzung von Geldbußen bei DSGVO-Verstößen. Das Gericht stellte jedoch klar, dass diese Kriterien nicht zur Bemessung des DSGVO-Schadensersatzes verwendet werden dürfen. Die Berechnung richtet sich nach nationalem Recht und soll einen vollständigen Ausgleich des tatsächlich erlittenen Schadens sicherstellen, ohne dabei Strafcharakter zu haben.

Damit sind Unternehmen gut beraten, im Falle von Verstößen frühzeitig zu prüfen, ob Schadensersatzforderungen in voller Höhe gerechtfertigt sind oder ob diese im Rahmen des tatsächlichen Schadens reduziert werden können.

Mehrfache Verstöße: Einzelfälle und keine Summierung von Strafen

Ein weiterer interessanter Aspekt betrifft die Frage, ob mehrere Verstöße im gleichen Verarbeitungsvorgang zur Erhöhung des Schadensersatzes führen können. Der EuGH entschied, dass in Fällen von mehreren Verstößen gegen die DSGVO keine automatische Erhöhung des Schadensersatzes erfolgt. Stattdessen wird der konkrete Schaden bewertet, unabhängig von der Anzahl der Verstöße.

Für Unternehmer bedeutet dies, dass bei Verstößen auf ein umfassendes Risikomanagement gesetzt werden sollte, das möglichst jede Art von potenziellem Schaden abdeckt. Insbesondere sollten Prozesse zur sofortigen Schadensbegrenzung eingerichtet werden, um spätere Streitigkeiten zur Höhe des Schadensersatzes zu minimieren.

Fazit für Unternehmen: Prävention und klare Prozesse sind entscheidend

Das Urteil des EuGH verdeutlicht die Anforderungen und Nachweise, die Unternehmen im Hinblick auf DSGVO-Verstöße und mögliche Schadensersatzforderungen beachten müssen. Ein gut aufgestelltes Datenschutzmanagementsystem, klare interne Vorgaben sowie regelmäßige Schulungen für Mitarbeiter sind entscheidend, um Haftungsrisiken zu minimieren. Gerade im Umgang mit immateriellen Schäden und der Haftung bei Verstößen zeigt das Urteil, dass eine präventive und umfassende Strategie zum Datenschutz nicht nur gesetzliche Anforderungen erfüllt, sondern auch wirtschaftliche Schäden verhindert.

* Gemeint sind Personen jeder Geschlechtsidentität. Lediglich aus Gründen der Lesbarkeit wird auf andere Schreibweisen verzichtet.

491ac0ad03444b38be596f24d8034147 Haftung Unternehmen Datenschutzverstoß Beschäftigte

AnsprechpartnerIn

Picture of Florian Wagenknecht

Florian Wagenknecht

Fachanwalt für Urheber- und Medienrecht

Picture of Hanna Schellberg

Hanna Schellberg

Rechtsanwältin

Kostenloser Newsletter

Passende Beiträge

Suche

Anfrage