Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Cover Cover Jetzt testen
Betriebsrat ChatGPT Checklisten EuGH HinSchG Homeoffice KI KRITIS Microsoft 365 Rechenschaftspflicht Urteil Vorlagen
Menü
Aktuelle Ausgabe

Datenschutz PRAXIS 11/24

Zeitschrift - Aktuelle Ausgabe

jetzt informieren
Betriebsrat ChatGPT Checklisten EuGH HinSchG Homeoffice KI KRITIS Microsoft 365 Rechenschaftspflicht Urteil Vorlagen
14. Mai 2024

EuGH: Mehr Arbeitnehmerüberwachung!

Arbeitnehmerüberwachung
5,00 (2)
drucken
Inhalte in diesem Beitrag
Forderung des EuGH
Wenn ein Unternehmen Forderungen nach DSGVO-Schadensersatz erfolgreich abwehren will, muss es seine Arbeitnehmer konsequent überwachen. Lesen Sie, wie der EuGH zu dieser überraschenden Schlussfolgerung gelangt!

➧ Der Ausgangsfall: persönlich adressierte Direktwerbung

Juris ist eine GmbH, die eine fachlich sehr anerkannte juristische Datenbank betreibt. Um einen neuen Kunden zu gewinnen, sandte juris im Januar 2019 einem Rechtsanwalt zwei persönlich adressierte Werbeschreiben zu. Das verstieß gegen einen „Werbewiderspruch“, den der Anwalt schon am 6. November 2018 gegenüber juris erklärt hatte.

➧ Selbst ein wiederholter Werbewiderspruch half nichts

Der Anwalt wies juris auf diesen früheren Werbewiderspruch hin. Zugleich forderte er Schadensersatz nach Art. 82 DSGVO wegen einer rechtswidrigen Verarbeitung seiner Daten. Beides beeindruckte juris ersichtlich wenig. Denn am 3. Mai 2019 erhielt der Anwalt von juris ein weiteres Werbeschreiben. Nun hatte der Anwalt genug. Einen erneuten Werbewiderspruch ließ er per Gerichtsvollzieher zustellen. Seinen Anspruch auf Schadensersatz, den er schon geltend gemacht hatte, verfolgte der Anwalt jetzt natürlich erst recht weiter.

➧ Ein „Kontrollverlust“ kann einen Schaden darstellen

Vor dem zuständigen Landgericht Saarbrücken bestritt juris, dass dem Anwalt überhaupt ein Schaden entstanden ist. Daraufhin legte dieses Gericht dem EuGH sinngemäß die Frage vor, ob ein Verstoß gegen einen Werbewiderspruch zu einem Schaden führen kann. Dies hält der EuGH für möglich. Zur Begründung verweist er auf Erwägungsgrund 85 zur DSGVO. Dort ist der Verlust der Kontrolle einer Person über ihre personenbezogenen Daten ausdrücklich als Beispiel eines möglichen Schadens genannt. Ob im konkreten Fall eine solche Situation vorliegt, muss das Landgericht Saarbrücken jetzt noch entscheiden.

➧ Das Unternehmen beruft sich auf „Mitarbeiter-Versagen“

Dass die mehrfach erklärten Werbewidersprüche des Anwalts schlicht ignoriert wurden, lag auf der Hand. Juris meinte jedoch, einen Schadensersatz mit folgendem Argument abwehren zu können: Im Unternehmen sei ein Prozess zur Bearbeitung von Werbewidersprüchen implementiert. Die „verspätete Berücksichtigung“ der Werbewidersprüche des Anwalts müsse darauf beruht haben, dass ein Mitarbeiter sich weisungswidrig verhalten habe. Dafür könne das Unternehmen nichts. Das Landgericht Saarbrücken fragte den EuGH darauf hin, ob dieses Argument relevant ist oder nicht.

➧ Der EuGH sieht dieses Argument mehr als kritisch

Auf die eben geschilderte Argumentation reagiert der EuGH – bildlich gesprochen – recht allergisch. Er weist auf Folgendes hin:

  • Ein Mitarbeiter eines Unternehmens ist als „unterstellte Person“ im Sinn von Art. 29 DSGVO anzusehen. Die Vorschrift legt fest, dass solche unterstellte Personen Daten ausschließlich gemäß den Weisungen des Unternehmens verarbeiten dürfen.
  • Art. 32 Abs. 4 DSGVO wiederum legt fest, dass Unternehmen in ihrer Eigenschaft als Verantwortliche im Sinn der DSGVO Schritte unternehmen müssen, „um sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten.“
  • Beide Vorschriften müssen zusammen gesehen werden.

➧ Der EuGH zieht klare Schlussfolgerungen

Kurz und knapp formuliert zieht der EuGH aus diesen Vorgaben der DSGVO klare Konsequenzen (siehe Rn. 48-51 seiner Entscheidung):

  • Es ist Sache des Verantwortlichen, sich zu vergewissern, dass seine Weisungen von seinen Arbeitnehmern korrekt ausgeführt werden.
  • Ein Verantwortlicher kann sich nicht einfach dadurch von seiner Haftung befreien, dass er sich auf Fahrlässigkeit oder Fehlverhalten einer ihm unterstellten Person beruft.
  • Eine Befreiung von der Verpflichtung zum Schadensersatz ist strikt auf Fälle zu beschränken, in denen der Verantwortliche nachweisen kann, dass er selbst nicht für den Schaden verantwortlich ist.
  • Der Verantwortliche trägt dafür die volle Beweislast.

➧ Die Aussagen des EuGH sind von genereller Bedeutung

Die Argumentation des EuGH gilt für alle Konstellationen, bei denen Mitarbeiter eines Unternehmens mit personenbezogenen Daten umgehen. Sie betrifft also keineswegs nur Daten für Werbezwecke, sondern alle personenbezogenen Daten in einem Unternehmen. Wenn Mitarbeiter des Unternehmens bei der Verarbeitung solcher Daten gegen die DSGVO verstoßen und daraus ein Schaden entsteht, schließt der bloße Hinweis des Unternehmens auf ein Fehlverhalten von Mitarbeitern Schadensersatzansprüche nach der DSGVO nicht aus.

➧ Der EuGH zwingt zu verstärkter Überwachung

Ein Unternehmen muss sich vergewissern, dass seine Weisungen von seinen Arbeitnehmern auch korrekt ausgeführt wurden. Im Ernstfall muss es nachweisen können, was es dafür getan hat. In der Praxis gelingt das nur mit geeigneten Überwachungsmaßnahmen. Es ist Sache des Unternehmens, sich dafür etwas einfallen zu lassen. Denkbar wären etwa Stichproben im Sinn eines Vier-Augen-Prinzips. In jedem Fall müssen solche Kontrollmaßnahmen ihrerseits datenschutzkonform erfolgen.

➧ Die Brisanz für die Praxis ist erheblich

Die Überwachung von Mitarbeitern hat gerade in Deutschland ein recht negatives Image. Über Jahrzehnte wurde versucht, sie rechtlich einzuschränken. Das gilt gerade für die präventive Überwachung ohne besonderen Anlass. Die Argumentation des EuGH könnte nunmehr dazu führen, dass die Überlegungen zum Thema Überwachung nochmals umfassend auf den rechtlichen Prüfstand kommen.

➧ Dies sind die Daten der EuGH-Entscheidung

Die vorliegende Darstellung beruht auf dem Urteil des EuGH vom 11.4.2024. Bei Eingabe des Aktenzeichens C-741/21 ist sie im Internet problemlos zu finden. Eilige Leser finden die Schilderung des Ausgangsverfahrens in den Rn. 17-21 des Urteils. Das Thema des Versagens von Mitarbeitern ist vor allem in den Rn. 44-54 des Urteils behandelt.

Dr. Eugen Ehmann

Dr. Eugen Ehmann
zu den Kommentaren
Wie nützlich war dieser Beitrag für Sie?
Jetzt teilen:
EuGH Urteil
drucken
Verfasst von
Dr. Eugen Ehmann
Dr. Eugen Ehmann
Dr. Eugen Ehmann ist ausgewiesener Fachmann auf dem Gebiet des Datenschutzes in Unternehmen & Behörden. Er ist Herausgeber eines renommierten DSGVO-Kommentars und Autor zahlreicher Beiträge in der Datenschutz PRAXIS sowie in vielen weiteren Datenschutz-Veröffentlichungen. Außerdem moderiert er seit 2003 die IDACON , den renommierten Datenschutz-Kongress.
Verwandte Beiträge
20. November 2024
DP+
Ziel der KI-Verordnung ist es, Risiken der Künstlichen Intelligenz mit einem sektorübergreifenden, risikobasierten und menschzentrierten Ansatz zu reduzieren
Bild: iStock.com/style-photography

KI-VO: Das müssen Datenschutzbeauftragte wissen

Ratgeber
EuGH KI
11. November 2024
DP+
Der Europäische Gerichtshof (EuGH) hat zwei wichtige Entscheidungen getroffen. Ein Fall beschreibt das Versagen von technischen, der andere das Versagen von organisatorischen Maßnahmen.
Bild: iStock.com/Flashvector

EuGH: Risikomanagement ja, Risikofreiheit nein

Urteil
EuGH Urteil
08. November 2024
Kontaktdaten eines Datenschutzbeauftragten - hier symbolisiert durch ein @-Zeichen, einen Briefumschlag und ein Telefonhörer
Bild: peterschreiber.media/iStock/Getty Images Plus

„Kontaktdaten“ eines DSB

Urteil
Urteil
07. November 2024
DP+
Daten aus Visitenkarten für die Direktwerbung? Die Rechtsgrundsätze, um die es in diesem Urteil geht, gelten im Kern auch in Deutschland.
Bild: iStock.com/shapecharge

Daten aus Visitenkarten für die Direktwerbung

Urteil
Urteil
05. November 2024
DP+
Die DSGVO definiert den Begriff des Schadens weit und macht den Anspruch auf Schadensersatz von keiner bestimmten Schwelle abhängig. Sie beschränkt den Anspruch nicht auf Schäden von einer gewissen Erheblichkeit.
Bild: iStock.com/bymuratdeniz

Massenklagen auf Schadensersatz nach DSGVO

Urteil
EuGH Urteil
weitere Beiträge laden
0 Kommentare
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.