Der EuGH hat in einem deutschen Fall am 11.04.2024 (C-741/21, Juris) entschieden, dass ein Verantwortlicher gegenüber einem (potentiell) geschädigten Betroffenen für Fehlverhalten von Mitarbeiter:innen haftet, auch wenn im Unternehmen eine Regelung besteht, sich datenschutzkonform zu verhalten.
Eine betroffene Person, die auch Kunde des Verantwortlichen ist, widerruft eine Einwilligung zur Direktwerbung. Der Verantwortliche sendet weiterhin Werbung per Post (!) an diesen Kunden (Betroffenen). Der Betroffene verlangt (unter Vorlage des Widerspruchsschreibens) Schadenersatz nach Art 82 DSGVO. Er erhält ein weiteres Mal eine Werbezusendung (per Post).
Der Kläger machte seinen Anspruch gerichtlich geltend:
4. Der Kläger ist der Ansicht, die Beklagte habe auf seine Person bezogene Daten in rechtswidriger Weise verarbeitet und ihn dadurch in seinem Grundrecht aus Art. 8 GRCh
dergestalt verletzt, dass er die Kontrolle über seine personenbezogenen Daten verloren habe. Die Beklagte schulde ihm daher nach Art. 82 Abs.
1 DSGVO sowohl materiellen Schadenersatz (Kosten des Gerichtsvollziehers und des Notars [Öffnen einer Website, die im Werbeschreiben angegeben war) als auch immateriellen
Schadenersatz, ohne dass insoweit zusätzliche Voraussetzungen (Auswirkungen oder Erheblichkeit der Rechtsbeeinträchtigung) erfüllt sein müssten. "
(Auszug aus LG Saarbrücken, Beschluss vom 22.11.2021 - 5 O 151/19)
Ein ausreichender Prozess zur Bearbeitung von Werbewidersprüchen bestehe. Die verspätete Berücksichtigung habe darauf beruht, dass ein einzelner Mitarbeiter sich weisungswidrig verhalten habe bzw. dass der Widerspruch, nachdem das Schreiben bereits in Auftrag gegeben war, nur mit unverhältnismäßigem hohem Aufwand hätte umgesetzt werden können.
Der EuGH hat - aufgrund der Vorlagefragen des LG Saarbrücken - nun entschieden, dass Art 82 (3) DSGVO so auszulegen ist, dass es für eine Befreiung des Verantwortlichen von seiner Haftung nicht ausreicht, dass der in Rede stehende Schaden durch ein Fehlverhalten einer im Sinne von Art 29 DSGVO unterstellten Person verursacht wurde.
Beurteilung der Entscheidung und Folgen für Verantwortliche und Auftragsverarbeiter.
Bei der Haftung des Verantwortlichen (sofern es sich nicht um eine:n Einzelunternehmer:in oder einen anderen Verantwortlichen handelt, der ein natürliche Person ist) kommt es zur "Haftung für fremdes Verschulden", da zB eine juristische Person nicht selbst, sondern durch andere Personen (Mitarbeiter:innen) handelt, denen Fehlverhalten unterlaufen kann.
Bei einer Vertragsbeziehung zwischen der geschädigten Person und dem Ersatzpflichtigen kommt es darauf an, ob die tatsächlich handelnde Person in Erfüllung der vertraglichen Leistungspflicht handelt und dabei einen Schaden verursacht ("Erfüllungsgehilfenhaftung") oder der/die Schädiger:in den Schaden nur "anlässlich einer Vertragserfüllung" aber außerhalb der vertraglichen Verpflichtungen verursacht (zB den PKW des Vertragspartners beim Zufahren auf den Parkplatz touchiert), wobei man dann von "Besorgungsgehilfenhaftung" spricht. Im Rahmen der Besorgungsgehilfenhaftung haftet der/die Ersatzpflichtige nur, wenn er/sie eine untüchtige oder wissentlich gefährliche Person zur Besorgung der Angelegenheiten bedient.
Denselben Haftungsmaßstab wie bei der Besorgungsgehilfenhaftung legt man auch an, wenn die Person, die beim/bei der Ersatzpflichtigen beschäftigt ist, einem Dritten, der nicht in einer Vertragsbeziehung zur/m Ersatzpflichtigen steht, einen Schaden zufügt.
Wenn daher keine vertragliche Beziehung zwischen der/dem Ersatzpflichtigen und der geschädigten Person besteht, dann kommt es nur zu einer Haftung für die Handlungen der dritten Person, die tatsächlich handelt, wenn der/die Ersatzpflichtige untüchtige oder wissentlich gefährliche Personen einsetzt. Dies ist relativ selten.
"Untüchtigkeit" liegt nicht schon dann vor, wenn eine Person Fehler in den Abläufen macht. Der OGH hat dies so ausgedrückt (RS0028885)
Bei einer Haftung nach Art 82 DSGVO kann ein Vertrag zwischen der geschädigten Person und einem Verantwortlichen vorliegen; dies muss aber nicht der Fall sein. Wenn kein Vertrag besteht, dann handelt es sich um eine sog. "deliktische Haftung".
Da es sich um einen gesetzlichen Haftungstatbestand handelt, reicht es aus, dass der Verantwortliche (oder der Auftragsverarbeiter), der in Anspruch genommen wird, die Daten des/der Anspruchstellers:in verarbeitet hat, und dabei gegen die Bestimmungen der DSGVO (des DSG - bei einer Haftung nach § 29 (1) DSG) verstößt und einen (materiellen oder immateriellen) Schaden verursacht.
Bei der schadenersatzrechtlichen Haftung nach Art 82 DSGVO kommt es daher, auch wenn kein Vertrag die Grundlage für die Haftung ist, nicht wie im österreichischen Zivilrecht zu dieser relativ seltenen Haftung dafür, dass ein Verantwortlicher (oder ein Auftragsverarbeiter) Personen einsetzt, die untüchtig oder wissentlich gefährlich sind.
Der Verantwortliche (oder Auftragsverabeiter) haftet nur dann nicht, "wenn er nachweist, dass in keinerlei Hinsicht für den Umstand durch den der Schaden eingetreten ist, verantwortlich ist" (Art 82 (3) DSGVO). Die Handlungen der für den Verantwortlichen (oder Auftragsverarbeiter) tätigen Personen, werden diesem grundsätzlich zugerechnet, und nur ausnahmsweise kommt es zu keiner Haftung.
Der "Freibeweis" iSd Art 82 (3) DSVGO umfasst auch das Handeln von Personen, die für den Verantwortlichen (oder Auftragsverarbeiter) tätig sind, und es reicht nicht aus, dass es interne Prozesse und Richtlinien gibt, sondern der Verantwortliche (oder Auftragsverarbeiter) muss entsprechende Kontrollmaßnahmen setzen und Audits durchführen, und die Einhaltung der angemessenen Vorgaben auch kontrollieren.
Nur wenn der Verantwortliche (oder Auftragsverarbeiter) bei Inanspruchnahme durch geschädigte Personen nachweisen kann, dass alles unternommen wurde, um einen derartigen Schadenseintritt zu verhindern, und der Schaden trotz dieser angemessenen technischen und organisatorischen Maßnahmen (siehe auch Art 32 DSGVO) eingetreten ist, weil zB ein:e Mitarbeiter:in in Schädigungsabsicht gehandelt hat, dann kann dies zur Exculpation und ausnahmsweise zum Entfall der Haftung führen.
Dies Haftung aus zivilrechtlicher Sicht für fremdes Verhalten, das trotz Richtlinien und Vorgaben bei einer Übertretung zur Haftung führt, erinnert an die Fahrlässigkeitshaftung im Verwaltungsstrafrecht (§ 5 VStG). Auch dort kommt es zu einer Haftung (und Bestrafung), wenn kein ausreichendes internes Kontrollsystem implementiert ist.
Ein "effektives Kontrollsystem" ist dann gegeben, wenn die Vorgaben und Richtlinien die Einhaltung der gesetzlichen Verwaltungsvorschriften unter vorhersehbaren Verhältnissen mit gutem Grund erwartet werden können. Es kommt daher auch auf den konkreten Einzelfall an, und in der Judikatur findet man ausschließlich eine nachprüfende Kontrolle. Der Verantwortlich hat zu behaupten und zu beweisen, dass das Interne Kontrollsystem ausreicht, um damit mangelndes Verschulden darzutun.
Grundlage für die Beurteilung der Effektivität eines Kontrollsystems werden die konkerten Vorgaben der DSGVO (oder des DSG) oder auch der Richtlinien der Aufsichtsbehörden oder des EDSA sein.
Erforderlich sind in jedem Fall:
- präventive Maßnahmen wie: Richtlinien, Instruktionen, Weisungen
- Schulungen und Unterweisungen der Mitarbeiter:innen
- technische Maßnahmen
- wirksame Kontrollen ("Audits") der Einhaltung der generellen Vorgaben
- ein Sanktionensystem bei Nichteinhaltung
Ein "effektives Kontrollsystem" beschränkt sich daher nicht auf Maßnahmenbeschreibungen und Schulungen, sondern auch die nachfolgende Kontrolle der Einhaltung der Prozesse sowie auch die Verhängung von Sanktionen ist nötig, um in internes Kontrollsystem zu etablieren. Diese Sanktionen können auch Maßnahmen der Verbesserung der Prozess oder Richtlinien sein, aber auch tatsächliche Disziplinarmaßnahmen. Es soll sichergestellt werden, dass die Einhaltung der DSVO (des DSG, der sonstigen datenschutzrechtlichen Normen) erwartet werden kann.
Der Verantwortliche darf nicht (blind) darauf vertrauen, dass die generellen Vorgaben und Richtlinien eingehalten werden, sondern hat die Einhaltung auch umfassend zu prüfen.
Kommentar schreiben