Urteil des Gerichtshofs der Europäischen Union: Zusammenfassung und Konsequenzen für Unternehmen
Zusammenfassung des Urteils
Am 11. April 2024 hat der Gerichtshof der Europäischen Union (EuGH) in der Rechtssache C-741/21 entschieden, dass ein Verstoß gegen die Datenschutz-Grundverordnung (DSGVO) allein nicht ausreicht, um einen immateriellen Schaden zu begründen. Der Kläger, ein selbständiger Rechtsanwalt, hatte gegen die juris GmbH geklagt, weil seine personenbezogenen Daten trotz Widerspruchs für Direktwerbung genutzt wurden.
Das Gericht stellte fest, dass für den Ersatz immaterieller Schäden nach Art. 82 Abs. 1 DSGVO drei Voraussetzungen kumulativ erfüllt sein müssen: ein Verstoß gegen die DSGVO, ein tatsächlicher Schaden (materiell oder immateriell) und ein Kausalzusammenhang zwischen Verstoß und Schaden. Ein Verstoß allein genügt nicht, um Schadensersatz zu begründen. Der Schaden muss nachgewiesen werden, unabhängig davon, wie geringfügig er ist.
Darüber hinaus entschied das Gericht, dass der Verantwortliche sich nicht von der Haftung befreien kann, indem er behauptet, der Schaden sei durch das Fehlverhalten einer ihm unterstellten Person verursacht worden. Schließlich dürfen bei der Bemessung des Schadensersatzes die Kriterien für die Festsetzung von Geldbußen gemäß Art. 83 DSGVO nicht herangezogen werden, und mehrere Verstöße sind in einer Gesamtbetrachtung zu berücksichtigen.
Konsequenzen für Unternehmen
- Nachweis des Schadens: Unternehmen müssen sich bewusst sein, dass ein Verstoß gegen die DSGVO allein nicht automatisch zu einer Haftung für immaterielle Schäden führt. Es muss ein tatsächlicher Schaden nachgewiesen werden, der durch den Verstoß verursacht wurde.
- Haftung und Fehlverhalten von Mitarbeitern: Unternehmen können sich nicht von der Haftung befreien, indem sie das Fehlverhalten einzelner Mitarbeiter anführen. Es liegt in der Verantwortung des Unternehmens, sicherzustellen, dass alle Mitarbeiter die Datenschutzrichtlinien einhalten.
- Kriterien zur Schadensbemessung: Bei der Bemessung des Schadenersatzes dürfen die Kriterien für Geldbußen nicht angewendet werden. Unternehmen müssen sicherstellen, dass der Schadenersatz den tatsächlich erlittenen Schaden vollständig und wirksam ausgleicht, ohne Strafschadenersatz zu gewähren.
- Dokumentation und Schulung: Unternehmen sollten ihre Datenschutzmaßnahmen und -richtlinien regelmäßig überprüfen und dokumentieren. Schulungen für Mitarbeiter sind essenziell, um sicherzustellen, dass alle Datenschutzvorschriften eingehalten werden.
Dieses Urteil unterstreicht die Notwendigkeit eines robusten Datenschutzmanagements und die Verantwortung der Unternehmen, die Rechte der betroffenen Personen zu schützen und zu respektieren. Ein hohes Maß an Sorgfalt und Transparenz ist erforderlich, um den Anforderungen der DSGVO gerecht zu werden und mögliche Haftungsrisiken zu minimieren.
Quelle: EuGH
Wir beraten Unternehmen und öffentliche Einrichtungen als externe Datenschutzbeauftragte und Informationssicherheitsbeauftragte, bevor Datenschutzverstöße passieren.
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
- Datenschutz und IT-Compliance: Das Handbuch für Admins und IT-Leiter. Alles zu IT-Betrieb, IT-Sicherheit und Administration von Websites
- Tragbarer Tresor für die Reise zum Schutz von Wertsachen
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
Dieser Absatz enthält Affiliatelinks/Werbelinks