So das Gericht in seinem Urteil vom 11. April 2024 (Az.: C-741/21) in einer Entscheidung zu einem Vorabentscheidungsersuchen des LG Saarbrücken. Das Gericht führt in den Entscheidungsgründen unter anderem aus:
„…Was die Frage betrifft, ob der Verantwortliche nach Art. 82 Abs. 3 DSGVO von seiner Haftung allein deshalb befreit werden kann, weil der betreffende Schaden durch das Fehlverhalten einer ihm im Sinne von Art. 29 DSGVO unterstellten Person verursacht wurde, geht zum einen aus diesem Art. 29 hervor, dass dem Verantwortlichen unterstellte Personen, wie z. B. seine Mitarbeiter, die Zugang zu personenbezogenen Daten haben, diese Daten grundsätzlich nur auf der Grundlage von Weisungen des Verantwortlichen und im Einklang mit diesen Weisungen verarbeiten dürfen (vgl. in diesem Sinne Urteil vom 22. Juni 2023, Pankki S, C‑579/21, EU:C:2023:501, Rn. 73 und 74).
Zum anderen sieht Art. 32 Abs. 4 DSGVO über die Sicherheit der Verarbeitung personenbezogener Daten vor, dass der Verantwortliche Schritte unternimmt, um sicherzustellen, dass ihm unterstellte natürliche Personen, die Zugang zu solchen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.
Bei einem Arbeitnehmer des Verantwortlichen handelt es sich fraglos um eine natürliche Person, die dem Verantwortlichen unterstellt ist. Es ist somit Sache des Verantwortlichen, sich zu vergewissern, dass seine Weisungen von seinen Arbeitnehmern korrekt ausgeführt werden. Daher kann sich der Verantwortliche nicht einfach dadurch nach Art. 82 Abs. 3 DSGVO von seiner Haftung befreien, dass er sich auf Fahrlässigkeit oder Fehlverhalten einer ihm unterstellten Person beruft.
Im vorliegenden Fall macht juris in ihren schriftlichen Erklärungen vor dem Gerichtshof im Wesentlichen geltend, dass der Verantwortliche nach Art. 82 Abs. 3 DSGVO von seiner Haftung befreit werden müsse, wenn der Verstoß, der den betreffenden Schaden verursacht habe, dem Verhalten eines seiner Mitarbeiter zuzurechnen sei, der die Weisungen des Verantwortlichen nicht befolgt habe, und soweit dieser Verstoß nicht auf eine Verletzung der insbesondere in den Art. 24, 25 und 32 dieser Verordnung genannten Pflichten des Verantwortlichen zurückzuführen sei.
Insoweit ist hervorzuheben, dass die Umstände der in Art. 82 Abs. 3 DSGVO vorgesehenen Befreiung streng auf solche beschränkt werden müssen, unter denen der Verantwortliche nachweisen kann, dass er selbst nicht für den Schaden verantwortlich ist (vgl. in diesem Sinne Urteil vom 14. Dezember 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, Rn. 70). Daher kann dem Verantwortlichen bei einer Verletzung des Schutzes personenbezogener Daten durch eine ihm unterstellte Person diese Befreiung nur zugutekommen, wenn er nachweist, dass es keinen Kausalzusammenhang zwischen der etwaigen Verletzung der ihm gemäß den Art. 5, 24 und 32 dieser Verordnung obliegenden Verpflichtung zum Datenschutz und dem der betroffenen Person entstandenen Schaden gibt (vgl. entsprechend Urteil vom 14. Dezember 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, Rn. 72).
Für eine mögliche Befreiung des Verantwortlichen – nach Art. 82 Abs. 3 DSGVO – von seiner Haftung kann es daher nicht ausreichen, dass er nachweist, dass er den ihm im Sinne von Art. 29 dieser Verordnung unterstellten Personen Weisungen erteilt hat und dass eine dieser Personen ihrer Verpflichtung, diese Weisungen zu befolgen, nicht nachgekommen ist und sie damit zum Eintritt des in Rede stehenden Schadens beigetragen hat.
Könnte sich der Verantwortliche von seiner Haftung befreien, indem er sich lediglich auf das Fehlverhalten einer ihm unterstellten Person beruft, würde dies nämlich, wie das vorlegende Gericht im Wesentlichen ausgeführt hat, die praktische Wirksamkeit des in Art. 82 Abs. 1 DSGVO verankerten Anspruchs auf Schadenersatz beeinträchtigen, was nicht im Einklang mit dem Ziel dieser Verordnung stünde, ein hohes Schutzniveau für natürliche Personen bei der Verarbeitung ihrer personenbezogenen Daten zu gewährleisten…“