EuGH, Urt. 11.4.2024 - C-741/21
Datenschutzhaftung für Gehilfen
Autor: RA Markus Rössel, LL.M. (Informationsrecht), Köln
Aus: IT-Rechtsberater, Heft 06/2024
Aus: IT-Rechtsberater, Heft 06/2024
Dem Verantwortlichen kann eine Haftungsbefreiung gem. Art. 82 Abs. 3 DSGVO bei einer Datenschutzverletzung durch einen Gehilfen i.S.v. Art. 29 DSGVO nur zugutekommen, wenn er nachweist, dass kein Kausalzusammenhang zwischen seiner etwaigen Pflichtverletzung aus Art. 5, 24 und 32 DSGVO und dem Schaden besteht.
VO (EU) 2016/679 Art. 5, 24, 29, 32, 82 Abs. 1, Abs. 2, Abs. 3, Art. 83
Schadensfeststellung: Der DSGVO-Verstoß reiche zur Anspruchsbegründung nicht aus, da Art. 82 Abs. 1 DSGVO auch einen Schaden sowie einen Kausalzusammenhang voraussetze, wofür der Anspruchsteller die Beweislast trage. Für den Nachweis des Schadens sei dessen Gewicht unerheblich sowie die Erfüllung des Regelbeispiels eines – selbst kurzzeitig in Betracht kommenden – Verlusts der Datenkontrolle i.S.v. Erwgrd. 85 der DSGVO und die Feststellung des individualschützenden Charakters der verletzten DSGVO-Norm nicht hinreichend. Art. 79 Abs. 1 DSGVO gewähre zwar einen Rechtsbehelf bei Verletzung von dem Betroffenen „aufgrund dieser Verordnung zustehenden Rechte[n]“. Dies entbinde aber nicht vom Schadensnachweis (Rz. 34–43 m.w.N.; Ls. 1).
Haftungsbefreiung bei Gehilfen: Art. 82 Abs. 2 und 3 DSGVO sehe ein Haftungsregime für Verschulden vor, bei dem die Beteiligung des Verantwortlichen an der DSGVO-widrigen Verarbeitung widerleglich vermutet werde. Nach Art. 29 DSGVO dürften dem Verantwortlichen unterstellte Personen die ihnen zugänglichen Daten prinzipiell nur auf Grundlage und im Einklang von Weisungen des Verantwortlichen verarbeiten. Nach Art. 32 Abs. 4 DSGVO müsse der Verantwortliche sicherstellen, dass solche Personen nur auf seine Anweisung die Daten verarbeiteten (Weisungs- und Überwachungspflicht). Daher könne er sich nicht nach Art. 82 Abs. 3 DSGVO von seiner Haftung befreien, indem er sich auf Fahrlässigkeit oder Fehlverhalten eines Angestellten berufe (Rz. 45–49 m.w.N.).
Nachweis pflichtgemäßer Organisation: Dem Verantwortlichen komme eine Haftungsbefreiung bei einer Datenschutzverletzung durch einen Gehilfen nur zugute, wenn er nachweise, dass kein Kausalzusammenhang zwischen seiner etwaigen Pflichtverletzung aus Art. 5, 24 und 32 DSGVO und dem Schaden bestehe. Für eine Exkulpation könne daher der Nachweis schadenskausalen weisungswidrigen Verhaltens eines Gehilfen nicht ausreichen (Rz. 51, 53 ff.; Ls. 2).
Bußgeldbemessung und Wiederholung: Da die DSGVO die Schadensersatzbemessung nicht regele, hätten die nationalen Gerichte stattdessen nach dem Grundsatz der Verfahrensautonomie die innerstaatlichen Bemessungsregeln vorbehaltlich des Äquivalenz- und Effektivitätsgrundsatzes anzuwenden. Art. 82 DSGVO habe – im Gegensatz zu Art. 83 und 84 DSGVO für Geldbußen und andere Sanktionen – keine Straf-, sondern eine Ausgleichsfunktion. Eine Entschädigung sei als vollständig und wirksam i.S.v. Erwgrd. 146 Satz 6 der DSGVO anzusehen, wenn sie ohne Strafcharakter einen vollumfänglichen Schadensausgleich ermögliche (Rz. 56, 58 f., 61, 63 m.w.N.).
Keine Präventionsfunktion: Trotz dieser Unterschiede ergänzten sich die Art. 82–84 DSGVO bei der Motivation zur Einhaltung der DSGVO, wobei das Schadensersatzrecht die Durchsetzungskraft der in der DSGVO vorgesehenen Schutzvorschriften erhöhe und vor einer Verstoßwiederholung abschrecke. Da Art. 82 DSGVO gleichwohl keine abschreckende oder gar Straffunktion erfülle, könne sich das Verstoßgewicht nicht auf die Ersatzbemessung auswirken (Rz. 59 f. m.w.N.; vgl. EuGH v. 21.12.2023 – C-667/21 – KV Nordrhein Rz. 86, ITRB 2024, 89 [Kartheuser/Faißt]).
Keine analogen Kriterien der Bußgeldbemessung: Angesichts der Unterschiede von Art. 82, 83 DSGVO könne trotz der gegenseitigen Ergänzung nicht von der analogen Anwendung der Bemessungskriterien i.S.v. Art. 83 DSGVO auf Art. 82 DSGVO ausgegangen werden (Rz. 57, 62, 65; Ls. 3).
Irrelevanz von Verstoßwiederholungen: Mangels Straffunktion könnten mehrere Verstöße des Verantwortlichen gegenüber dem Betroffenen bei demselben Verarbeitungsvorgang nicht als relevantes Kriterium für die Ersatzbemessung herangezogen werden. Hierfür sei allein der vom Betroffenen konkret erlittene Schaden zu berücksichtigen (Rz. 64 f.; Ls. 3).
VO (EU) 2016/679 Art. 5, 24, 29, 32, 82 Abs. 1, Abs. 2, Abs. 3, Art. 83
Das Problem
Wegen der Nutzung personenbezogener Daten eines Rechtsanwalts aus seiner Geschäftsbeziehung mit der juris GmbH für ihre Direktwerbung widerrief er seine Einwilligungen und widersprach jeglicher Datenverarbeitung, mit Ausnahme für Newsletter. Trotzdem erhielt er während eines halben Jahres drei weitere Werbeschreiben, sogar nach nochmaliger Beanstandung.Die Entscheidung des Gerichts
I.R.d. Klage des Anwalts auf Schadensersatz i.S.v. Art. 82 Abs. 1 DSGVO wegen Datenkontrollverlust wurden Fragen zu Schadensbegriff, Verantwortlichkeit für Angestellte sowie Berücksichtigung von Bußgeldkriterien und Verstoßwiederholungen bei der Ersatzbemessung vorgelegt.Schadensfeststellung: Der DSGVO-Verstoß reiche zur Anspruchsbegründung nicht aus, da Art. 82 Abs. 1 DSGVO auch einen Schaden sowie einen Kausalzusammenhang voraussetze, wofür der Anspruchsteller die Beweislast trage. Für den Nachweis des Schadens sei dessen Gewicht unerheblich sowie die Erfüllung des Regelbeispiels eines – selbst kurzzeitig in Betracht kommenden – Verlusts der Datenkontrolle i.S.v. Erwgrd. 85 der DSGVO und die Feststellung des individualschützenden Charakters der verletzten DSGVO-Norm nicht hinreichend. Art. 79 Abs. 1 DSGVO gewähre zwar einen Rechtsbehelf bei Verletzung von dem Betroffenen „aufgrund dieser Verordnung zustehenden Rechte[n]“. Dies entbinde aber nicht vom Schadensnachweis (Rz. 34–43 m.w.N.; Ls. 1).
Haftungsbefreiung bei Gehilfen: Art. 82 Abs. 2 und 3 DSGVO sehe ein Haftungsregime für Verschulden vor, bei dem die Beteiligung des Verantwortlichen an der DSGVO-widrigen Verarbeitung widerleglich vermutet werde. Nach Art. 29 DSGVO dürften dem Verantwortlichen unterstellte Personen die ihnen zugänglichen Daten prinzipiell nur auf Grundlage und im Einklang von Weisungen des Verantwortlichen verarbeiten. Nach Art. 32 Abs. 4 DSGVO müsse der Verantwortliche sicherstellen, dass solche Personen nur auf seine Anweisung die Daten verarbeiteten (Weisungs- und Überwachungspflicht). Daher könne er sich nicht nach Art. 82 Abs. 3 DSGVO von seiner Haftung befreien, indem er sich auf Fahrlässigkeit oder Fehlverhalten eines Angestellten berufe (Rz. 45–49 m.w.N.).
Nachweis pflichtgemäßer Organisation: Dem Verantwortlichen komme eine Haftungsbefreiung bei einer Datenschutzverletzung durch einen Gehilfen nur zugute, wenn er nachweise, dass kein Kausalzusammenhang zwischen seiner etwaigen Pflichtverletzung aus Art. 5, 24 und 32 DSGVO und dem Schaden bestehe. Für eine Exkulpation könne daher der Nachweis schadenskausalen weisungswidrigen Verhaltens eines Gehilfen nicht ausreichen (Rz. 51, 53 ff.; Ls. 2).
Bußgeldbemessung und Wiederholung: Da die DSGVO die Schadensersatzbemessung nicht regele, hätten die nationalen Gerichte stattdessen nach dem Grundsatz der Verfahrensautonomie die innerstaatlichen Bemessungsregeln vorbehaltlich des Äquivalenz- und Effektivitätsgrundsatzes anzuwenden. Art. 82 DSGVO habe – im Gegensatz zu Art. 83 und 84 DSGVO für Geldbußen und andere Sanktionen – keine Straf-, sondern eine Ausgleichsfunktion. Eine Entschädigung sei als vollständig und wirksam i.S.v. Erwgrd. 146 Satz 6 der DSGVO anzusehen, wenn sie ohne Strafcharakter einen vollumfänglichen Schadensausgleich ermögliche (Rz. 56, 58 f., 61, 63 m.w.N.).
Keine Präventionsfunktion: Trotz dieser Unterschiede ergänzten sich die Art. 82–84 DSGVO bei der Motivation zur Einhaltung der DSGVO, wobei das Schadensersatzrecht die Durchsetzungskraft der in der DSGVO vorgesehenen Schutzvorschriften erhöhe und vor einer Verstoßwiederholung abschrecke. Da Art. 82 DSGVO gleichwohl keine abschreckende oder gar Straffunktion erfülle, könne sich das Verstoßgewicht nicht auf die Ersatzbemessung auswirken (Rz. 59 f. m.w.N.; vgl. EuGH v. 21.12.2023 – C-667/21 – KV Nordrhein Rz. 86, ITRB 2024, 89 [Kartheuser/Faißt]).
Keine analogen Kriterien der Bußgeldbemessung: Angesichts der Unterschiede von Art. 82, 83 DSGVO könne trotz der gegenseitigen Ergänzung nicht von der analogen Anwendung der Bemessungskriterien i.S.v. Art. 83 DSGVO auf Art. 82 DSGVO ausgegangen werden (Rz. 57, 62, 65; Ls. 3).
Irrelevanz von Verstoßwiederholungen: Mangels Straffunktion könnten mehrere Verstöße des Verantwortlichen gegenüber dem Betroffenen bei demselben Verarbeitungsvorgang nicht als relevantes Kriterium für die Ersatzbemessung herangezogen werden. Hierfür sei allein der vom Betroffenen konkret erlittene Schaden zu berücksichtigen (Rz. 64 f.; Ls. 3).