Man möchte meinen, dass ein Arbeitgeber nicht für Schäden haftet, die entstanden sind, weil ein Arbeitnehmer gegen Weisungen des Arbeitgebers verstoßen und deshalb Daten rechtswidrig verarbeitet hat. Dass ein Arbeitgeber für den Arbeitnehmer unter Umständen „den Kopf hinhalten“ muss, ist jedoch nichts Neues. Die Datenschutz-Grundverordnung (DS-GVO) nimmt hier jedoch den Arbeitgeber – wie jeden „Verantwortlichen“ im Sinne der DS-GVO – besonders in die Pflicht. Hierzu ist der Europäische Gerichtshof (EuGH) jüngst zu einem praxisrelevanten Urteil gekommen.
Die Fragestellung und Hintergrund
Der EuGH hatte mit dem Urteil vom 11.04.2024 (Az. C-741/21) unter anderem die Frage zu beantworten, ob die Haftung des Verantwortlichen dadurch ausgeschlossen wird, dass ein Rechtsverstoß auf ein Fehlverhalten einer „unterstellten Person“ im Sinne des Art. 29 DS-GVO zurückzuführen ist. Zu den „unterstellten Personen“ im Sinne des Art. 29 DS-GVO zählen Arbeitnehmer, da diese personenbezogene Daten nicht für eigene Zwecke, sondern ausschließlich nach Weisung des Arbeitgebers verarbeiten (sollten).
Damit zielte die Vorlagefrage des Landgerichts Saarbrücken auf die Regelungen des Art. 82 Abs. 2 und 3 DS-GVO. Art. 82 Abs. 2 DS-GVO regelt, dass jeder an einer Verarbeitung beteiligte Verantwortliche für den Schaden haftet, der durch eine nicht der DS-GVO entsprechende Verarbeitung verursacht wurde. Der Verantwortliche (z.B. ein Arbeitgeber) wird nach Art. 82 Abs. 3 DS-GVO nur von der Haftung befreit, wenn er nachweist, dass er „in keinerlei Hinsicht“ für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.
Die Entscheidung
Hinter dieser Regelung steht – wie der EuGH erneut herausstellt – eine Beweislastregel. Es wird vermutet, dass den Verantwortlichen ein Verschulden für den Datenschutzverstoß der unterstellten Person trifft.
Man könnte meinen, dass einem Arbeitgeber, der nachweisen kann, dass er den Arbeitnehmer konkret zu einem anderen Verhalten angewiesen hat, damit der Nachweis gelingt, in keinerlei Hinsicht für den Schaden verantwortlich zu sein und er sich dadurch nach Art. 82 Abs. 3 DS-GVO von der Haftung befreien kann. Dies jedenfalls – so wird aus den Urteilsgründen des EuGH deutlich – reicht nicht aus. Wäre dies so, würde nach Auffassung des EuGH „die praktische Wirksamkeit“ des Schadensersatzanspruchs einer betroffenen Person nach Art. 82 Abs. 1 DS-GVO zu stark beeinträchtigt.
Mit der Frage, was ein Arbeitgeber aber genau getan haben muss, damit ihm der Nachweis gelingt, in keinerlei Hinsicht für einen Schaden verantwortlich zu sein, lässt uns der EuGH allerdings allein. Wenn allein die Anweisung der Arbeitnehmer, eine Datenverarbeitung zu unterlassen, nicht ausreicht, kann wohl nur gemeint sein, dass der Arbeitgeber auch zusätzlich nachweist, dass er die Arbeitnehmer ausreichend überwacht hat. Die Überwachung dürfte demnach zumindest nachweisbar so intensiv sein müssen, dass sich die tatsächlichen Datenschutzrechtverletzung als nicht vorhersehbar und grundsätzlich nicht vermeidbar darstellt. Hier wird noch viel über das für beide Parteien des Arbeitsverhältnisses zumutbare Maß der Überwachung zu diskutieren sein.
Arbeitnehmer sollten in diesem Zusammenhang nicht übersehen, dass der Arbeitgeber sie ggf. unter Berücksichtigung der Regelungen über den innerbetrieblichen Schadensausgleich in Regress nehmen kann.
Weitere praxisrelevante Aussagen des EuGH
Weiterhin führt der EuGH in der angegebenen Entscheidung erneut aus, dass nicht jeder Verstoß gegen eine Datenschutzbestimmung ausreicht, um einen „immateriellen Schaden“ einer betroffenen Person anzunehmen. Es müsse stets von der betroffenen Person nachgewiesen werden, dass ihr durch den Verstoß tatsächlichen ein Schaden entstanden ist.
Wichtig ist zudem die Aussage, dass bei der Bemessung der Höhe eines immateriellen Schadens nicht die Kriterien, die für die Festsetzung von Geldbußen nach Art. 83 DS-GVO gelten, entsprechend anzuwenden sind. Dies betrifft insbesondere die Straffunktion von Geldbußen. Der EuGH betont, dass der Schadensersatz keine Straf-, sondern eine Ausgleichsfunktion habe.
Fazit und Praxistipp:
Um Haftungsrisiken zu begrenzen, reicht es nicht aus Arbeitnehmer nachweisbar und konkret zur Verarbeitung personenbezogener Daten anzuweisen und die Arbeitnehmer datenschutzrechtlich zu schulen. Arbeitgeber müssen dokumentierte Kontrollen durchführen, um zumindest die Chance zu haben, der eigenen Haftung für weisungswidriges Verhalten der Arbeitnehmer zu entgehen.
Weiterführender Link: