Liebe Nutzer,

für ein optimales und schnelleres Benutzererlebnis wird als Alternative zum von Ihnen verwendeten Internet Explorer der Browser Microsoft Edge empfohlen. Microsoft stellt den Support für den Internet Explorer aus Sicherheitsgründen zum 15. Juni 2022 ein. Für weitere Informationen können Sie sich auf der Seite von -> Microsoft informieren.

Liebe Grüße,
Ihr ifb-Team

EuGH: Beim Datenschutzverstoß ist der Verweis auf Arbeitnehmer keine Entschuldigung

Verstößt ein Arbeitgeber gegen Bestimmungen der Datenschutzgrundverordnung, kann er sich nicht damit entschuldigen, dass sich seine Angestellten nicht an seine Weisungen gehalten hatten. Vielmehr muss er sich vergewissern, dass seine Weisungen von den Arbeitnehmern korrekt ausgeführt werden.

Europäischer Gerichtshof, Urteil vom 11. April 2024, C-741/21

ifb-Logo
Redaktion
Stand:  4.6.2024
Lesezeit:  01:30 min
Teilen: 

Das ist passiert

Ein Kunde einer juristischen Plattform erhielt trotz eines mehrfachen Werbewiderspruches nach Art. 21 Abs. 2 Datenschutzgrundverordnung (DSGVO) wiederholt Werbeschreiben. Er wies den Betreiber darauf hin, dass er keine Werbung außer einen Newsletter erhalten wolle und erneuerte dieses Verlangen nach einiger Zeit schriftlich. Nachdem er jedoch weiterhin postalische Werbung erhielt, ließ er den Werbewiderspruch per Gerichtsvollzieher zustellen und erhob anschließend Klage auf Schadenersatz. Das zuständige Landgericht Saarbrücken legte anschließend dem Europäischen Gerichtshof (EuGH) vier Fragen zur Auslegung von Art. 82 Abs. 1 DSGVO vor.

Das entschied das Gericht

Der EuGH beantworte u.a. die Frage, ob sich ein Arbeitgeber mit Verweis darauf, dass Mitarbeiter sich nicht an seine Weisungen gehalten hätten, gem. Art. 82 Abs. 3 DSGVO von der Haftung befreien kann. Die verklagte Plattform argumentierte, der Verstoß gegen die DSGVO sei durch Mitarbeiter unter Missachtung von betrieblichen Weisungen erfolgt. Es gäbe im Unternehmen Bestimmungen zum Umgang mit Werbewidersprüchen, die offensichtlich missachtet wurden. Nach Art. 82 Abs. 3 DSGVO sei der Arbeitgeber damit von der Haftung befreit, da dieser nicht für den eingetretenen Schaden verantwortlich sei.
Der EuGH kam jedoch zu dem Ergebnis, dass diese Ansicht zu kurz greife. Vielmehr müsse der Arbeitgeber dafür sorgen, dass seine Weisungen von seinen Angestellten auch tatsächlich ausgeführt werden. Nach Art. 32 Abs. 4 DSGVO sei der Arbeitgeber verpflichtet Maßnahmen zu ergreifen, um sicherzustellen, dass ihm unterstellte Personen personenbezogene Daten auch nur auf Anweisung des Verantwortlichen verarbeiten. Damit sei Art. 82 Abs. 3 DSGVO im vorliegenden Fall nicht anwendbar.

Hintergrund und Bedeutung für die Praxis

Hätte der EuGH hier anders entschieden, wäre es für Arbeitgeber relativ leicht gewesen, sich Haftungsfragen zu entziehen, indem er auf einen Weisungskatalog verweist. Diesem Vorgehen schob der EuGH einen Riegel vor. 
Für Arbeitgeber bedeutet die Entscheidung, dass es nicht ausreicht, bloße Weisungen an seine Mitarbeiter zu erteilen. Arbeitgeber müssen durch technische und organisatorische Maßnahmen (Art. 32 DSGVO) sicherstellen bzw. „sich vergewissern“, dass ihre Weisungen auch tatsächlich umgesetzt werden. Sinnvoll ist hier beispielsweise ein Datenschutzmanagementsystem, das u.a. klare Verantwortlichkeiten und Prozesse definiert, um die Vorgaben des Datenschutzes sicherzustellen.
(sts)

Diese Artikel könnten Sie auch interessieren

Seminarvorschlag