Eine betroffene Person hatte mehrfach beim Verantwortlichen ihren Werbewiderspruch hinterlassen und auch die Einwilligung zum Erhalt des Newsletters widerrufen. Gleichwohl wurde sie immer wieder werblich angesprochen. Sie begehrte daher Schadensersatz nach Art. 82 DSGVO. Zunächst bekräftigt der EuGH in seiner Entscheidung vom 11. April 2024 seine inzwischen als gefestigt anzusehende Rechtsprechung, dass die betroffene Person nachweisen muss, dassein Verstoß gegen die DSGVO stattgefunden hat,ein Schaden entstanden istder DSGV-Verstoß für den Schaden kausal war.Einen gewissen Schwergrad braucht der Schaden nicht erreicht zu haben. Unter ausdrücklichen Bezug auf EG 85 betont der EuGH jedoch, dass “Verlust der Kontrolle“ einen immateriellen Schaden darstellen kann. Das Gericht führt dann aus, dass es für eine Haftung auf Schadensersatz des Verschuldens des Verantwortlichen ankomme und eine Haftung nur dann entfällt, wenn ein entsprechender Entlastungsbeweis ginge. Im vorliegenden Fall wollte sich der Verantwortliche damit entlasten, dass der mit der Verarbeitung personenbezogener Daten betraute Mitarbeiter entsprechende Weisungen erteilt hätte. Diesen Einwand hat aber der EuGH nicht gelten lassen. Der Verantwortliche können sich nicht von seiner Haftung befreien, indem er sich lediglich auf das Fehlverhalten einer ihm unterstellten Personen beruft. Für eine mögliche Befreiung des Verantwortlichen – nach Art. 82 Abs. 3 DSGVO – von seiner Haftung kann es daher nicht ausreichen, dass er nachweist, dass er den ihm im Sinne von Art. 29 dieser Verordnung unterstellten Personen Weisungen erteilt hat und dass eine dieser Personen ihrer Verpflichtung, diese Weisungen zu befolgen, nicht nachgekommen ist und sie damit zum Eintritt des in Rede stehenden Schadens beigetragen hat (Rn. 52f). Offenbar ist der EuGH der Ansicht, dass sich der Verantwortliche vielmehr auch der Einhaltung seiner Weisungen „zu vergewissern“ habe (Rn. 49). Im Ergebnis werden damit seitens des EuGH die Anforderungen an eine interne Datenschutzorganisation weiter angehoben. Um überhaupt noch Entlastungsbeweise führen zu können, haben die Verantwortlichen offenbar nicht nur eine angemessene Datenschutzorganisation einschließlich entsprechender Arbeitsanweisungen aufzusetzen. Sie sind auch gehalten, diese zu kontrollieren. Regelmäßige interne Audits sind daher dringend anzuraten. |