Während sich bisher vor allem bei Gericht die Frage gestellt hatte, wer die Beweislast bei Schäden durch einen DSGVO Verstoß trägt (wir berichteten hier und hier), stellt sich mehr und mehr vor allem im arbeitsrechtlichen Bereich die Frage, wie hoch solch ein Anspruch auf Schadensersatz zu beziffern ist (dazu berichteten wir bereits hier und hier).
Pdf-Datei vergessen
Vor dem Landesarbeitsgericht Köln ging es dabei um ein Profil einer ehemaligen Beschäftigten, das im Internet als pdf-Datei auch nach Ende des Beschäftigtenverhältnisses verfügbar war, wenn der Name der Beschäftigten gegoogelt wurde. Zwar wurde bei Ende des Beschäftigtenverhältnisses vereinbart, dass das Profil von der Homepage der Arbeitgeberin genommen wird, was für die Homepage selbst auch zutraf, die pdf-Datei dabei aber übersehen wurde. Nachdem die Arbeitgeberin durch die ehemalige Beschäftigte darauf aufmerksam gemacht wurde, löschte diese auch die pdf-Datei.
Die Beschäftigte strengte eine Klage an und verlangte Schmerzensgeld in Höhe von 1.000 € für die Dauer der unberechtigten Vorhaltung der pdf-Datei auf dem Server der Arbeitgeberin.
Datenschutzverstoß ja, aber kein hohes Schmerzensgeld
Das Landesarbeitsgericht sah, wie die Vorinstanz, das Arbeitsgericht Köln, im Grundsatz durch das unberechtigte Vorhalten der Datei einen Datenschutzverstoß als gegeben und erkannte einen Schadensersatzanspruch nach Art. 82 DSGVO dem Grunde nach an. Allerdings wurde die Höhe des Anspruchs auf 300 € begrenzt.
Das Gericht begründete die Höhe damit, dass der Verschuldensgrad der Arbeitgeberin sehr gering und die Intensität der Rechtsverletzung marginal war. Es wurde von der Beschäftigten auch nicht nachgewiesen, wie oft die pdf-Datei tatsächlich von anderen Usern angeklickt wurde, um die Intensität der Rechtsverletzung zu untermauern. Das Gericht geht eher davon aus, dass die pdf-Datei, selbst wenn sie über Google auffindbar war, für andere User uninteressant war, da niemand sich bei der Beschäftigten auf Grund dieser Datei gemeldet hätte. Auch schloss sich das Gericht der von der Beschäftigten zur Berechnung des Anspruchs ins Spiel gebrachte Lizenz-Analogie nicht an. Die Analogie besagt, dass zu berücksichtigen sei, zu welchem Preis die Beschäftigte der Arbeitgeberin die Nutzung der pdf- Datei eingeräumt hätte. Das Gericht sah keinen Mehrwert für die Arbeitgeberin durch die Vorhaltung der Datei und einen hypothetischen „Verkaufswert“ für nicht feststellbar.
Ebenso berücksichtigte das Gericht bei der Höhe, dass bereits die Rüge des Landesdatenschutzbeauftragten und das arbeitsrechtliche Verfahren selbst einen erzieherischen Effekt hätte und daher gegen eine höhere Summe spräche.
Fazit
Auch eine nicht vollständige Löschung von nicht mehr erforderlichen Daten kann dem Grunde nach einen Schadensersatzanspruch der betroffenen Personen entstehen lassen. Daher sollte insbesondere bei Inhalten auf Homepages besonderes Augenmerk darauf gelenkt werden, dass personenbezogene Daten gelöscht werden, sobald diese nicht mehr erforderlich sind. Klassisch sind hier Angaben zu Beschäftigten, die das Unternehmen verlassen haben.
Sollte dennoch der Fall eingetreten sein, dann hilft eine möglichst kooperative Verhaltensweise, um zumindest die Höhe solcher Ansprüche zu minimieren.