[pinguin]

Vorabhinweis:
Diese Entscheidung ist Folge eines Vorabentscheidungsersuchens des Landgerichtes Saarbrücken, betrifft letztlich also Deutschland. Der EuGH stellt klar, daß der Verantwortliche im Sinne des Art 82 Abs 3 DSGVO nicht geltend machen kann, daß ein nicht DSGVO-konformes Verhalten von einer ihm gemäß Art 29 DSGVO unterstellten Person verursacht worden ist; d.h., ein entsprechend Verantwortlicher hat ein entsprechendes Fehlverhalten ihm unterstellter Personen wirksam zu unterbinden. Hierzu siehe Leitsatz 2 der Entscheidung.

URTEIL DES GERICHTSHOFS (Dritte Kammer)
11. April 2024(*)

„Vorlage zur Vorabentscheidung – Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Verordnung (EU) 2016/679 – Art. 82 – Anspruch auf Ersatz des Schadens, der durch eine unter Verstoß gegen diese Verordnung erfolgte Datenverarbeitung verursacht worden ist – Begriff des immateriellen Schadens – Auswirkung der Schwere des erlittenen Schadens – Haftung des Verantwortlichen – Möglichkeit der Befreiung im Fall des Fehlverhaltens einer ihm im Sinne von Art. 29 unterstellten Person – Bemessung des Schadenersatzbetrags – Unanwendbarkeit der in Art. 83 für Geldbußen vorgesehenen Kriterien – Bemessung im Fall mehrfacher Verstöße gegen diese Verordnung“

In der Rechtssache C-741/21
https://curia.europa.eu/juris/document/document.jsf?text=&docid=284641&pageIndex=0&doclang=de&mode=lst&dir=&occ=first&part=1&cid=8618539

Aus diesen Gründen hat der Gerichtshof (Dritte Kammer) für Recht erkannt:

1.      Art. 82 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)

ist dahin auszulegen, dass

ein Verstoß gegen Bestimmungen dieser Verordnung, die der betroffenen Person Rechte verleihen, für sich genommen nicht ausreicht, um unabhängig vom Schweregrad des von dieser Person erlittenen Schadens einen „immateriellen Schaden“ im Sinne dieser Bestimmung darzustellen.

2.      Art. 82 der Verordnung 2016/679

ist dahin auszulegen, dass

es für eine Befreiung des Verantwortlichen von seiner Haftung nach Art. 82 Abs. 3 dieser Verordnung nicht ausreicht, dass er geltend macht, dass der in Rede stehende Schaden durch ein Fehlverhalten einer ihm im Sinne von Art. 29 der Verordnung unterstellten Person verursacht wurde.

3.      Art. 82 Abs. 1 der Verordnung 2016/679

ist dahin auszulegen, dass

zur Bemessung des Betrags des auf diese Bestimmung gestützten Anspruchs auf Schadenersatz zum einen die in Art. 83 dieser Verordnung vorgesehenen Kriterien für die Festsetzung des Betrags von Geldbußen nicht entsprechend anzuwenden sind und zum anderen nicht zu berücksichtigen ist, dass die Person, die Schadenersatz verlangt, von mehreren Verstößen gegen die Verordnung betroffen ist, die sich auf denselben Verarbeitungsvorgang beziehen.

Zur zweiten Frage

44      Mit seiner zweiten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 82 DSGVO dahin auszulegen ist, dass es für eine Befreiung des Verantwortlichen von seiner Haftung nach Art. 82 Abs. 3 dieser Verordnung ausreicht, dass er geltend macht, dass der in Rede stehende Schaden durch ein Fehlverhalten einer ihm im Sinne von Art. 29 der Verordnung unterstellten Person verursacht wurde.

45      Insoweit ist darauf hinzuweisen, dass nach Art. 82 Abs. 2 DSGVO jeder an der Verarbeitung Verantwortliche für den Schaden haftet, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde, und dass nach Art. 82 Abs. 3 DSGVO ein Verantwortlicher von der Haftung gemäß Art. 82 Abs. 2 DSGVO befreit wird, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.

46      Der Gerichtshof hat bereits festgestellt, dass einer kombinierten Analyse der Abs. 2 und 3 von Art. 82 DSGVO zu entnehmen ist, dass dieser Artikel ein Haftungsregime für Verschulden vorsieht, bei dem davon ausgegangen wird, dass der Verantwortliche an der Verarbeitung, die den fraglichen Verstoß gegen die DSGVO darstellt, beteiligt war, so dass die Beweislast nicht der Person obliegt, der ein Schaden entstanden ist, sondern dem Verantwortlichen (vgl. in diesem Sinne Urteil vom 21. Dezember 2023, Krankenversicherung Nordrhein, C-667/21, EU:C:2023:1022, Rn. 92 bis 94).

47      Was die Frage betrifft, ob der Verantwortliche nach Art. 82 Abs. 3 DSGVO von seiner Haftung allein deshalb befreit werden kann, weil der betreffende Schaden durch das Fehlverhalten einer ihm im Sinne von Art. 29 DSGVO unterstellten Person verursacht wurde, geht zum einen aus diesem Art. 29 hervor, dass dem Verantwortlichen unterstellte Personen, wie z. B. seine Mitarbeiter, die Zugang zu personenbezogenen Daten haben, diese Daten grundsätzlich nur auf der Grundlage von Weisungen des Verantwortlichen und im Einklang mit diesen Weisungen verarbeiten dürfen (vgl. in diesem Sinne Urteil vom 22. Juni 2023, Pankki S, C-579/21, EU:C:2023:501, Rn. 73 und 74).

48      Zum anderen sieht Art. 32 Abs. 4 DSGVO über die Sicherheit der Verarbeitung personenbezogener Daten vor, dass der Verantwortliche Schritte unternimmt, um sicherzustellen, dass ihm unterstellte natürliche Personen, die Zugang zu solchen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.

49     Bei einem Arbeitnehmer des Verantwortlichen handelt es sich fraglos um eine natürliche Person, die dem Verantwortlichen unterstellt ist. Es ist somit Sache des Verantwortlichen, sich zu vergewissern, dass seine Weisungen von seinen Arbeitnehmern korrekt ausgeführt werden. Daher kann sich der Verantwortliche nicht einfach dadurch nach Art. 82 Abs. 3 DSGVO von seiner Haftung befreien, dass er sich auf Fahrlässigkeit oder Fehlverhalten einer ihm unterstellten Person beruft.

50      Im vorliegenden Fall macht juris in ihren schriftlichen Erklärungen vor dem Gerichtshof im Wesentlichen geltend, dass der Verantwortliche nach Art. 82 Abs. 3 DSGVO von seiner Haftung befreit werden müsse, wenn der Verstoß, der den betreffenden Schaden verursacht habe, dem Verhalten eines seiner Mitarbeiter zuzurechnen sei, der die Weisungen des Verantwortlichen nicht befolgt habe, und soweit dieser Verstoß nicht auf eine Verletzung der insbesondere in den Art. 24, 25 und 32 dieser Verordnung genannten Pflichten des Verantwortlichen zurückzuführen sei.

51      Insoweit ist hervorzuheben, dass die Umstände der in Art. 82 Abs. 3 DSGVO vorgesehenen Befreiung streng auf solche beschränkt werden müssen, unter denen der Verantwortliche nachweisen kann, dass er selbst nicht für den Schaden verantwortlich ist (vgl. in diesem Sinne Urteil vom 14. Dezember 2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, Rn. 70). Daher kann dem Verantwortlichen bei einer Verletzung des Schutzes personenbezogener Daten durch eine ihm unterstellte Person diese Befreiung nur zugutekommen, wenn er nachweist, dass es keinen Kausalzusammenhang zwischen der etwaigen Verletzung der ihm gemäß den Art. 5, 24 und 32 dieser Verordnung obliegenden Verpflichtung zum Datenschutz und dem der betroffenen Person entstandenen Schaden gibt (vgl. entsprechend Urteil vom 14. Dezember 2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, Rn. 72).

52      Für eine mögliche Befreiung des Verantwortlichen – nach Art. 82 Abs. 3 DSGVO – von seiner Haftung kann es daher nicht ausreichen, dass er nachweist, dass er den ihm im Sinne von Art. 29 dieser Verordnung unterstellten Personen Weisungen erteilt hat und dass eine dieser Personen ihrer Verpflichtung, diese Weisungen zu befolgen, nicht nachgekommen ist und sie damit zum Eintritt des in Rede stehenden Schadens beigetragen hat.

53      Könnte sich der Verantwortliche von seiner Haftung befreien, indem er sich lediglich auf das Fehlverhalten einer ihm unterstellten Person beruft, würde dies nämlich, wie das vorlegende Gericht im Wesentlichen ausgeführt hat, die praktische Wirksamkeit des in Art. 82 Abs. 1 DSGVO verankerten Anspruchs auf Schadenersatz beeinträchtigen, was nicht im Einklang mit dem Ziel dieser Verordnung stünde, ein hohes Schutzniveau für natürliche Personen bei der Verarbeitung ihrer personenbezogenen Daten zu gewährleisten.

Querverweis ob der in der zitierten Rn. 45 in Rot hervorgehobenen Aussage.

EuGH C-439/19 - DSGVO - Datenübertragung an Wirtschaftsteilnehmer unzulässig
https://gez-boykott.de/Forum/index.php?topic=35594.0