Der Kläger - ein Kunde des Betreibers einer juristischen Datenbank - bat die Datenbank um Information darüber, welche personenbezogenen Daten diese von ihm verarbeiten würde. Als ein Mitarbeiter des Unternehmens dem Kunden daraufhin mitteilte, dass dessen Daten für Direktwerbung genutzt werden, widerrief der Kunde schriftlich alle seine bisher erteilten Einwilligungen, von diesem Unternehmen per E-Mail oder per Telefon Informationen zu erhalten und widersprach darüber hinaus jeglicher Verarbeitung seiner Daten.

Trotz dieses Widerrufs und des Widerspruchs erhielt der Kunde Jänner des Folgejahres von einem Mitarbeiter des Unternehmens weitere Werbeschreiben, woraufhin der Kunde antwortete und auf Widerruf sowie Wiederspruch hinwies. Ergänzend teilte der Kunde mit, dass die Übermittlung der Werbeschreiben eine rechtswidrige Verarbeitung seiner Daten darstelle, und forderte infolge dessen Schadenersatz gemäß Art 82 DSGVO. Trotz dieses Vorgehens erhielt der Kunde ein weiteres Werbeschreiben im darauffolgenden Mai. Abermals erklärte er zur Datenverarbeitung seinen Widerspruch.

Der Kunde brachte in der Folge Klage beim Landgericht Saarbrücken ein. Konkret habe er die "Kontrolle seiner personenbezogenen Daten verloren", wodurch ihm ein Schaden entstanden sei. Das Verfahren ging bis vor den EuGH.

Tatsächlich hat das EU-Höchstgericht den Schadenersatzanspruch bejaht. "Der Kontrollverlust über die eigenen Daten" kann für Betroffene einen - physischen, materiellen oder immateriellen - Schaden darstellen und damit auch schadenersatzfähig sein. Wie sich nun ein solcher immaterieller Schaden errechnet, ließ der EuGH offen.

Fraglich war aber, wer nun für diesen Schadenersatz haften sollte. Der Mitarbeiter, der laufend trotz Widerrufs und Widerspruchs des Kunden weiterhin Werbung versendete, oder die Datenbank als Unternehmen und Arbeitgeber - oder gar beide?

Im konkreten Fall entschied der EuGH, dass die Haftung das Unternehmen trifft. Und zwar deshalb, weil dieses es unterlassen habe, seine Mitarbeiter im Umgang mit personenbezogenen Daten von Kunden entsprechend zu sensibilisieren und regelmäßig zu schulen. Das Unternehmen wäre verpflichtet gewesen, seinen Mitarbeitern hierzu - etwa durch interne Richtlinien - konkrete Anweisungen zu erteilen. Aber auch das reiche für sich genommen noch nicht aus: Das Unternehmen treffe auch die Pflicht, ein Kontrollsystem in dem Sinne zu schaffen, dass mit an Sicherheit grenzender Wahrscheinlichkeit festgestellt werden könne, dass die Mitarbeiter derartige Richtlinien auch befolgen würden. Andernfalls könne sich ein Unternehmen nicht von einer Haftung wegen Fehlern seiner Mitarbeiter befreien.

Datenschutzrechtliche Vorgaben sind in der Praxis für Arbeitgeber nicht immer leicht umzusetzen. Gerade in Zeiten, in denen Gerichte immer öfter Schadenersatzansprüche gegen Verantwortliche bejahen, ist Datenschutz ein echtes Compliance-Thema für Geschäftsführer. Wir unterstützen Sie hierbei gerne.