Ich hatte schon über zwei Urteile des Europäischen Gerichtshofes berichtet, nach dem es beim Schaden des Betroffenen ausreicht, dass er einen Missbrauch fürchte. Und: Das Unternehmen müsse nachweisen, dass es für den Schaden nicht verantwortlich sei.
Heute hat der EuGH noch einen draufgesetzt:
Ein deutscher Rechtsanwalt hatte eine Plattform verklagt, von der er Werbemails erhalten hatte – obwohl er sich vom Newsletter abgemeldet hatte. Der Plattformbetreiber erklärte diesen Fehler mit einem Versehen eines Mitarbeiters, den man aber ordnungsgemäß angewiesen habe.
Der EuGH hat nun entschieden, dass das nicht ausreiche.
Das bedeutet: Ein Unternehmen kann sich bei Verstößen gegen die DSGVO gegen eine Mitarbeiter nicht darauf berufen, man hätte diesen Mitarbeiter unterwiesen und hätte darauf vertrauen dürfen, dass er ordnungsgemäß arbeite.
Für Unternehmen, Verbände, Kommunen usw., die personenbezogene Daten verarbeiten, hat das eine Konsequenz:
- Mitarbeiter sind zu schulen und zu unterweisen.
- Der Arbeitgeber muss Kontrollen durchführen, um sicherzustellen, dass die Mitarbeiter korrekt arbeiten.
Übrigens: Diese Kontrollen muss der Arbeitgeber nachweisen können!
Wir kennen das bereits aus einer anderen Konstellation, dem sog. Auswahlverschulden: Wer Dritte beauftragt, muss sie einerseits sorgfältig auswählen, und dann aber auch überwachen. Beides muss nachgewiesen werden können – nur dann hat man als Verantwortlicher überhaupt die Chance, je nach Konstellation nicht mehr für die Fehler seines Mitarbeiters zu haften.