Schadensersatz für falsche und verspätete Datenschutzauskunft

06.07.2020  — Rolf Becker.  Quelle: Verlag Dashöfer GmbH.

Das Arbeitsgericht Düsseldorf hat gerade 5.000 Euro Schadensersatz für eine unpräzise und um Monate verspätete Datenschutzauskunft an einen Arbeitnehmer ausgeurteilt (Arbeitsgericht Düsseldorf, Urt. v. 05.03.2020 - Az.: 9 Ca 6557/18). Rechtsanwalt Rolf Becker, Partner bei WIENKE & BECKER – KÖLN, erläutert die Folgen.

Er hat bereits jetzt erste Abmahnungen zu Negativauskünften vorliegen, bei denen der E-Mail-Newsletter vergessen wurde und nun 1.000 Euro Schadensersatz verlangt werden. Wie immer in arbeitsgerichtlichen Verfahren saßen sich hier ein Unternehmen und die Arbeitnehmerseite gegenüber. Allerdings sind die Grundfragen zur Auskunft und den Schadensersatz für den Betroffenen auch auf andere Auskunftssachverhalte übertragbar. Wie eingangs aufgeführt trudeln bereits erste Schadensersatzverlangen in anderen Auskunftsfällen ein, die sich auf das Urteil berufen.

Der Kläger im Verfahren verlangte zunächst (vor dem Ende des Arbeitsverhältnisses) Auskunft und Information zu der Verarbeitung personenbezogener Daten durch die Beklagte und andere Unternehmen und begehrte Kopien dieser Daten. Über die sodann teilweise erteilte Auskunft ergaben sich weitere Streitigkeiten zur Vollständigkeit und es kam zur Klage. Insbesondere machte der Kläger geltend, die Auskunft sei jedenfalls verspätet erteilt worden. Durch die Verspätung sei ihm, dem Kläger, ein immaterieller Schaden entstanden.

12 Monatsgehälter Schadensersatzverlangenen

Nach den Vorstellungen des europäischen Verordnungsgebers müsse der resultierende Anspruch einen vollständigen, wirksamen Schadensersatz für den erlittenen Schaden bewirken und abschreckend wirken. Er verlange 12 Bruttomonatsgehälter als Schadensersatz. Das waren immerhin 143.482,81 Euro nebst Zinsen.

Zeitpunkt des Auskunftsersuchens ist entscheidend

Das Arbeitsgericht sah sich trotz Auslandsbezugs zuständig. Das Unternehmen müsse noch bestimmte Auskünfte erteilen (u.a. Verarbeitungszwecke). Dabei sei in zeitlicher Hinsicht zu berücksichtigen, dass der Verantwortliche grundsätzlich keine Auskunft über Daten erteilen müsse, die er zwar in der Vergangenheit einmal hatte, über die er aber im Zeitpunkt des Auskunftsverlangens nicht mehr verfüge. Allerdings seien in die Auskunft auch Verarbeitungen einzubeziehen, die sich nach Eingang des Auskunftsverlangens ergeben. Dies gelte zumindest, wenn die Fristen zur Auskunftserteilung versäumt würden.

Auskunftsangaben müssen konkret sein

Die Angaben zum Zweck müssen vollständig und so konkret und detailliert sein, dass sich der Betroffene ein Bild davon machen kann, welche Datenverarbeitungen zu welchen Zwecken erfolgen. Das Gericht sah diese Vorgaben in bestimmten Auskünften nicht als erfüllt an, die lediglich eine „Datenverarbeitung zum Zwecke des Beschäftigungsverhältnisses, namentlich zu dessen Abwicklung und Beendigung, zur Erfüllung bestehender rechtlicher Verpflichtungen und zur Wahrnehmung berechtigter Interessen nach § 26 BDSG bzw. Art. 6 Abs. 1 lit. (b,) c und f. E.“ angaben.

Auskunft ist unverzüglich zu erteilen

Nach Art. 15 Abs. 3 Satz 1 DSGVO sind die Auskünfte unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung zu stellen. Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist.

Das Arbeitsgericht sah die Auskunft als verspätet an und erteilte Auskünfte in bestimmten Fällen als nicht hinreichend klar und präzise.

Immaterieller Schadensersatz 5.000 Euro

Nach Art. 82. Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, [..] Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Damit ging es um den Schadensersatz. Das Gericht folgte der Ansicht eines weiten Ansatzes zur Gewährung von Schadensersatz und beruft sich auf die Erwägungsgründe:

„Ein immaterieller Schaden entsteht nicht nur in den "auf der Hand liegenden Fällen", wenn die datenschutzwidrige Verarbeitung zu einer Diskriminierung, einem Verlust der Vertraulichkeit, einer Rufschädigung oder anderen gesellschaftlichen Nachteilen führt, sondern auch, wenn die betroffene Person um ihre Rechte und Freiheiten gebracht oder daran gehindert wird, die sie betreffenden personenbezogenen Daten zu kontrollieren (EG 75).“

Das Auskunftsrecht sei ein zentrales Betroffenenrecht, welches auch als Grundrecht der Grundrechtecharta (Art. 8 Abs. 2 S. 2) hier verletzt sei.

„Durch die monatelang verspätete, dann unzureichende Auskunft war der Kläger im Ungewissen und ihm die Prüfung verwehrt, dann nur eingeschränkt möglich, ob und wie die Beklagte seine personenbezogenen Daten verarbeitet….Zum Ersatz dieses immateriellen Schadens hält die Kammer einen Betrag iHv. 5.000 € für geboten, aber auch ausreichend.“

Bislang kein Schadensersatz bei Bagatellen

In Österreich hatte zunächst das LG Feldkirch (LG Feldkirch Beschl. v. 07.08.2019 - Az.: 57 Cg 30/19b - 15) 800 Euro Schadensersatz für eine Datenschutzverletzung der Post ausgeurteilt. In der zweiten Instanz verlangte das OLG Innsbruck (OLG Innsbruck, Urt. v. 13.02.2020 - Az.: 1 R 182/19 b) die Darlegung eines konkreten Schadens. Einen immateriellen Schaden („Ungemach“, „Ungewissheit, „Nachteil“) ließen die Richter dort nicht ausreichen.

Auch das LG Karlsruhe (LG Karlsruhe, Urt. v. 02.08.2019 - Az.: 8 O 26/19) ließ die Ablehnung eines Kreditvertrages, die möglicherweise auf Basis eines falschen Basisscores beruhte, nicht ausreichen, um Schadensersatz zuzubilligen. Vorbeugende („generalpräventive“) Gründe reichen nicht aus. Schließlich sah auch das OLG Dresden keinen Schadensersatzanspruch bei bloßen Bagatellverstößen (OLG Dresden, Beschl. v. 11.06.2019 - Az.: 4 U 760/19 zu unberechtigter Sperrung eines Posts durch Facebook).

Fazit:

Das Urteil des Arbeitsgerichts Düsseldorf ist nicht rechtskräftig. Die Berufung bleibt abzuwarten. Bei Persönlichkeitsrechtsverletzungen gab es in Deutschland bislang nur dann einen Anspruch auf Geldentschädigung, wenn es sich um einen schwerwiegenden Eingriff handelte. Der Streit, ab welcher Schwelle im Datenschutzrecht ein „erlittener Schaden“ ersetzt werden muss, bleibt noch offen. Unternehmen sind gut beraten, wenn sie ihre Prozesse zur Auskunft prüfen lassen und im Griff haben.

Bild: Pixabay (Pexels, Pexels Lizenz)

nach oben