EuGH: Mehr Arbeitnehmerüberwachung!
➧ Der Ausgangsfall: persönlich adressierte Direktwerbung
Juris ist eine GmbH, die eine fachlich sehr anerkannte juristische Datenbank betreibt. Um einen neuen Kunden zu gewinnen, sandte juris im Januar 2019 einem Rechtsanwalt zwei persönlich adressierte Werbeschreiben zu. Das verstieß gegen einen „Werbewiderspruch“, den der Anwalt schon am 6. November 2018 gegenüber juris erklärt hatte.
➧ Selbst ein wiederholter Werbewiderspruch half nichts
Der Anwalt wies juris auf diesen früheren Werbewiderspruch hin. Zugleich forderte er Schadensersatz nach Art. 82 DSGVO wegen einer rechtswidrigen Verarbeitung seiner Daten. Beides beeindruckte juris ersichtlich wenig. Denn am 3. Mai 2019 erhielt der Anwalt von juris ein weiteres Werbeschreiben. Nun hatte der Anwalt genug. Einen erneuten Werbewiderspruch ließ er per Gerichtsvollzieher zustellen. Seinen Anspruch auf Schadensersatz, den er schon geltend gemacht hatte, verfolgte der Anwalt jetzt natürlich erst recht weiter.
➧ Ein „Kontrollverlust“ kann einen Schaden darstellen
Vor dem zuständigen Landgericht Saarbrücken bestritt juris, dass dem Anwalt überhaupt ein Schaden entstanden ist. Daraufhin legte dieses Gericht dem EuGH sinngemäß die Frage vor, ob ein Verstoß gegen einen Werbewiderspruch zu einem Schaden führen kann. Dies hält der EuGH für möglich. Zur Begründung verweist er auf Erwägungsgrund 85 zur DSGVO. Dort ist der Verlust der Kontrolle einer Person über ihre personenbezogenen Daten ausdrücklich als Beispiel eines möglichen Schadens genannt. Ob im konkreten Fall eine solche Situation vorliegt, muss das Landgericht Saarbrücken jetzt noch entscheiden.
➧ Das Unternehmen beruft sich auf „Mitarbeiter-Versagen“
Dass die mehrfach erklärten Werbewidersprüche des Anwalts schlicht ignoriert wurden, lag auf der Hand. Juris meinte jedoch, einen Schadensersatz mit folgendem Argument abwehren zu können: Im Unternehmen sei ein Prozess zur Bearbeitung von Werbewidersprüchen implementiert. Die „verspätete Berücksichtigung“ der Werbewidersprüche des Anwalts müsse darauf beruht haben, dass ein Mitarbeiter sich weisungswidrig verhalten habe. Dafür könne das Unternehmen nichts. Das Landgericht Saarbrücken fragte den EuGH darauf hin, ob dieses Argument relevant ist oder nicht.
➧ Der EuGH sieht dieses Argument mehr als kritisch
Auf die eben geschilderte Argumentation reagiert der EuGH – bildlich gesprochen – recht allergisch. Er weist auf Folgendes hin:
- Ein Mitarbeiter eines Unternehmens ist als „unterstellte Person“ im Sinn von Art. 29 DSGVO anzusehen. Die Vorschrift legt fest, dass solche unterstellte Personen Daten ausschließlich gemäß den Weisungen des Unternehmens verarbeiten dürfen.
- Art. 32 Abs. 4 DSGVO wiederum legt fest, dass Unternehmen in ihrer Eigenschaft als Verantwortliche im Sinn der DSGVO Schritte unternehmen müssen, „um sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten.“
- Beide Vorschriften müssen zusammen gesehen werden.
➧ Der EuGH zieht klare Schlussfolgerungen
Kurz und knapp formuliert zieht der EuGH aus diesen Vorgaben der DSGVO klare Konsequenzen (siehe Rn. 48-51 seiner Entscheidung):
- Es ist Sache des Verantwortlichen, sich zu vergewissern, dass seine Weisungen von seinen Arbeitnehmern korrekt ausgeführt werden.
- Ein Verantwortlicher kann sich nicht einfach dadurch von seiner Haftung befreien, dass er sich auf Fahrlässigkeit oder Fehlverhalten einer ihm unterstellten Person beruft.
- Eine Befreiung von der Verpflichtung zum Schadensersatz ist strikt auf Fälle zu beschränken, in denen der Verantwortliche nachweisen kann, dass er selbst nicht für den Schaden verantwortlich ist.
- Der Verantwortliche trägt dafür die volle Beweislast.
➧ Die Aussagen des EuGH sind von genereller Bedeutung
Die Argumentation des EuGH gilt für alle Konstellationen, bei denen Mitarbeiter eines Unternehmens mit personenbezogenen Daten umgehen. Sie betrifft also keineswegs nur Daten für Werbezwecke, sondern alle personenbezogenen Daten in einem Unternehmen. Wenn Mitarbeiter des Unternehmens bei der Verarbeitung solcher Daten gegen die DSGVO verstoßen und daraus ein Schaden entsteht, schließt der bloße Hinweis des Unternehmens auf ein Fehlverhalten von Mitarbeitern Schadensersatzansprüche nach der DSGVO nicht aus.
➧ Der EuGH zwingt zu verstärkter Überwachung
Ein Unternehmen muss sich vergewissern, dass seine Weisungen von seinen Arbeitnehmern auch korrekt ausgeführt wurden. Im Ernstfall muss es nachweisen können, was es dafür getan hat. In der Praxis gelingt das nur mit geeigneten Überwachungsmaßnahmen. Es ist Sache des Unternehmens, sich dafür etwas einfallen zu lassen. Denkbar wären etwa Stichproben im Sinn eines Vier-Augen-Prinzips. In jedem Fall müssen solche Kontrollmaßnahmen ihrerseits datenschutzkonform erfolgen.
➧ Die Brisanz für die Praxis ist erheblich
Die Überwachung von Mitarbeitern hat gerade in Deutschland ein recht negatives Image. Über Jahrzehnte wurde versucht, sie rechtlich einzuschränken. Das gilt gerade für die präventive Überwachung ohne besonderen Anlass. Die Argumentation des EuGH könnte nunmehr dazu führen, dass die Überlegungen zum Thema Überwachung nochmals umfassend auf den rechtlichen Prüfstand kommen.
➧ Dies sind die Daten der EuGH-Entscheidung
Die vorliegende Darstellung beruht auf dem Urteil des EuGH vom 11.4.2024. Bei Eingabe des Aktenzeichens C-741/21 ist sie im Internet problemlos zu finden. Eilige Leser finden die Schilderung des Ausgangsverfahrens in den Rn. 17-21 des Urteils. Das Thema des Versagens von Mitarbeitern ist vor allem in den Rn. 44-54 des Urteils behandelt.