EuGH stärkt Betroffenenrechte beim immateriellen Datenschutz

AllgemeinUnternehmen

Werbemails können unter Umständen eine gewisse Unannehmlichkeit sein. Besonders nervig wird es dann, wenn man dagegen bereits Widerspruch eingelegt hat und trotzdem weiterhin beim Öffnen des Postfaches die unerwünschte Überraschung erlebt. Doch was passiert, wenn es die Anwältin oder den Anwalt trifft? Genau, es wird geklagt.

Anwalt klagte gegen Juris

Der Betroffene war in diesem Fall Kunde bei der juristischen Datenbank und Informationsplattform Juris, welche ihm Werbemails mit Testzugängen zu Juris-Produkten schickten. Dabei hatte er bereits schriftlich alle seine Einwilligungen, von diesem Unternehmen per E‑Mail oder per Telefon Informationen zu erhalten, widerrufen. Als dies nicht zu dem gewünschten Ergebnis führte, verwies der Betroffene auf eine rechtswidrige Datenverarbeitung und forderte Schadensersatz nach Art. 82 DSGVO. Das Unternehmen reagierte darauf mit einer weiteren Werbemail. Daraufhin erhob der Betroffene, welcher selbständiger Rechtsanwalt war, beim Landgericht Saarbrücken auf der Grundlage von Art. 82 Abs. 1 DSGVO Klage auf Ersatz seines materiellen Schadens, im Zusammenhang mit den ihm entstandenen Gerichtsvollzieher- und Notarkosten sowie seines immateriellen Schadens.

Verstoß gegen die DSGVO begründet noch keinen immateriellen Schadensersatz

Der Kläger im Verfahren war der Ansicht, dass bereits der Verlust über die Kontrolle der Daten einen immateriellen Schaden verursacht habe. Das Unternehmen Juris hielt dagegen: Ein Verstoß gegen die DSGVO begründet noch keinen immateriellen Schadensersatz. Zwar legt die DSGVO in Art. 82 Abs. 1 vor, dass bei einem durch Verstoß entstandenen materiellem und immateriellem Schaden ein Ersatzanspruch besteht, geht jedoch nicht konkreter darauf ein, welche Darlegungsanforderungen daran bestehen und was genau ein immaterieller Schaden ist.

Das LG Saarbrücken setzte das Verfahren aus und wand sich zur Auslegung von Art. 82 DSGVO an den EuGH. Im Mittelpunkt stand dabei die Frage, ob für einen Schadensersatzanspruch nach Art. 82 DSGVO ein tatsächlicher Schaden gegeben sein müsste.

Ein ungutes Gefühl reicht nicht aus

Der EuGH bezieht in seinem Urteil (C-741/21) vom 11.04.2024 dazu Stellung und bejaht die Frage im Grundsatz. Der Verstoß allein reicht gerade nicht für einen Schadensersatzanspruch aus, der Verletzte muss den Schaden auch darlegen können. Damit bestätigen die Richter ein Urteil vom 25.01.2024 (Az. C-687/21), dass das ungute Gefühl, ein Dritter könnte die Daten missbrauchen, nicht genügt.

Allerdings bleibt der EuGH bei seiner verbraucherfreundlichen Linie und macht hier noch einmal deutlich, „dass der 85. Erwägungsgrund der DSGVO ausdrücklich den „Verlust der Kontrolle“ zu den Schäden zählt, die durch eine Verletzung personenbezogener Daten verursacht werden können.“

Verantwortung auf den Arbeitnehmer übertragbar?

Eine weitere Frage des LG Saarbrücken an den EuGH war, inwieweit eine Missachtung der betrieblichen Anweisungen die Verantwortung von dem Arbeitgeber auf den Arbeitnehmer überträgt. Wäre dies der Fall, so wäre der zuständige Mitarbeiter für den Schaden verantwortlich und nicht das Unternehmen Juris. Der EuGH schiebt hier den Riegel vor und betont, dass sich Unternehmen nicht einfach aus der Verantwortung ziehen können, indem sie sich auf die betriebliche Weisung berufen. So ist es die Aufgabe des Arbeitsgebers dafür zu sorgen, dass die Mitarbeitenden die Weisungen korrekt ausführen.

Auch wenn das Gericht offen ließ, was dieses konkret für die Unternehmen bedeutet, so kann man doch davon ausgehen, dass es sich lohnen kann, die technischen und organisatorischen Maßnahmen noch einmal zu überarbeiten.

Das weltweit erste KI-Gesetz
KI-Anwendungen richtig einsetzen