Bekanntlich können bei Verstößen gegen die DSGVO hohe Bußgelder drohen.

Schadenersatzansprüche des Einzelnen nach der DSGVO

Daneben besteht jedoch auch die Möglichkeit des Einzelnen – z.B. Arbeitnehmern –   Schadenersatz wegen eines Verstoßes gegen Datenschutzregeln von Verantwortlichen (z.B. Arbeitgeber) einzufordern.

Der Kollege Wybitul hat in einem Artikel eine Vielzahl drohender Schadenersatzklagen thematisiert (den Artikel finden Sie hier). Hier ging es um ein Urteil des Arbeitsgerichts Düsseldorf, in dem das Arbeitsgericht dem Kläger in weiter Auslegung des Schadenersatzrechts 5.000,- Euro für einen verspäteten und unvollständig erfüllten Auskunftsantrag durch seinen Arbeitgeber zugesprochen hat (Arbeitsgericht Düsseldorf v. 05.03.2020, Az. 9 Ca 6557/18). Gefordert hatte der Kläger weitaus mehr, nämlich 12 Bruttomonatsgehälter und damit insgesamt knapp 144.000,- Euro (siehe hier).

Eine nicht unerhebliche Zahl der im Verfahren gestellten Klageanträge wurde durch das Arbeitsgericht als unbegründet abgelehnt.

Interessanter Kern der Entscheidung:

Wie bekannt, zielt der Anspruch des Art. 15 DSGVO auf Transparenz. Als unvollständige Auskunft sah das Arbeitsgericht Düsseldorf es an, wenn der Arbeitgeber nur pauschal Zwecke der „ganzen Bandbreite des Privatrechtsverkehrs“ mitteilt und der Kläger in seinem Auskunftsbegehren auf einen Anhang von mehreren hundert Seiten verwiesen wird.

Die Beklagte konnte vorliegend nicht nachweisen, für die Verstöße nicht verantwortlich zu sein, vgl. Art. 82 Abs.3 DSGVO.

Im Ergebnis hat das Arbeitsgericht Düsseldorf das Bestehen eines immateriellen Schadens anerkannt und den Schadenersatzbegriff weit ausgelegt:

„Ein immaterieller Schaden entsteht nicht nur in den „auf der Hand liegenden Fällen“, wenn die datenschutzwidrige Verarbeitung zu einer Diskriminierung, einem Verlust der Vertraulichkeit, einer Rufschädigung oder anderen gesellschaftlichen Nachteilen führt, sondern auch, wenn die betroffene Person um ihre Rechte und Freiheiten gebracht oder daran gehindert wird, die sie betreffenden personenbezogenen Daten zu kontrollieren (EG 75).“

Das Arbeitsgericht erkennt an, dass durch die unvollständige Auskunft das Auskunftsrecht als zentrales Betroffenenrecht sowie das Grundrecht des Klägers aus Art. 8 Abs.2 S.2 GRCh durch eine monatelang verzögerte und dann unvollständige Beauskunftung beeinträchtigt wurde. Die Schwere des immateriellen Schadens sei dann für die Begründung der Haftung nach Art. 82 Abs.1 DSGVO irrelevant und wirke sich nur noch auf die Höhe des Anspruchs aus. Das Arbeitsgericht Düsseldorf bezieht sich hier auf eine Entscheidung des LG Karlsruhe vom 02.08.2019 (Az.: 8 O 26/19). Danach müssen Verstöße effektiv sanktioniert werden, was vor allem durch Schadenersatz in abschreckender Höhe erreicht werde. Auch das Arbeitsgericht Düsseldorf scheint sich damit dieser Einschätzung anzuschließen, dass eine Bagatellgrenze für die Geltendmachung von Schadenersatzansprüchen nicht bestehe. Nach dem ersatzlosen Wegfall des § 8 Abs.2 BDSG a.F. bedürfe es gerade keiner schweren Verletzung des Persönlichkeitsrechts mehr, so das Landgericht Karlsruhe. Einschränkend stellt es dann jedoch fest, dass nicht jeder Verstoß gegen die DSGVO aus generalpräventiven Gründen zum Ausgleich eines immateriellen Schadens führe. Vielmehr müsse eine benennbar und insoweit tatsächliche Persönlichkeitsverletzung vorliegen, z.B. in Form einer „Bloßstellung.“

Was ist besonders an der Entscheidung des ArbG Düsseldorf?

Die weite Auslegung des Arbeitsgerichts Düsseldorf fällt besonders ins Auge, da eine abschreckende Wirkung für den Schadenersatzanspruch natürlicher Personen in der DSGVO gerade nicht vorgesehen ist. Sollte ein Schaden nicht vielmehr spürbar vorhanden sein und durch den Kläger bewiesen werden müssen?  Die Tendenz voriger Entscheidungen war, keine vollständige Beweislastumkehr zugunsten der Kläger anzuerkennen. Die Beweislast für die haftungsbegründenden Tatbestände liegt hiernach beim Kläger. Erst bei Vorliegen eines Verstoßes, besteht dann eine Exkulpationsmöglichkeit des Arbeitgebers nach Art. 82 Abs.3 DSGVO.

Im Urteil des Arbeitsgerichts Düsseldorf ist insoweit klar das Einschlagen eines anderen Weges zu erkennen.

Interessante weitere Aspekte

Die Höhe des Gehalts des Klägers hat das Arbeitsgericht bewusst nicht als Maßstab genommen. Es sei kein Zusammenhang des Gehalts mit dem Schaden erkennbar. Das Arbeitsgericht Düsseldorf orientiert sich vielmehr in Anlehnung an Art. 83 DSGVO an dessen Zumessungskriterien wie Art, Schwere, Dauer des Verstoßes, Grad des Verschuldens, etc.  Weiter wurde berücksichtigt, dass der europäische Verordnungsgeber das verletzte Recht als bedeutsam einordnet (als Grundrecht nach Art. 8 Abs.2 S.2 GRCh sowie Zuordnung der Art. 12 ff. DSGVO zum Katalog des Art. 83 Abs.5 DSGVO).

Zugunsten des Arbeitgebers berücksichtigte das Arbeitsgericht die Fahrlässigkeit der Verstöße, da keine Anhaltspunkte für Vorsatz oder andere Verstöße gegeben seien.

Im Ergebnis hat das Arbeitsgericht den Schaden wie folgt bemessen: Für die ersten zwei Monate der Verspätung jeweils 500,- Euro, für die weiteren drei Monate jeweils 1.000,- Euro und für die beiden inhaltlichen Mängel der Auskunft jeweils 500,- Euro.

Das Urteil ist allerdings noch nicht rechtskräftig, sondern beim Landesarbeitsgericht Düsseldorf zum Aktenzeichen 14 Sa 294/20 anhängig.

Ausblick für den Beschäftigtendatenschutz

Wenn das LAG das Urteil des Arbeitsgericht Düsseldorf bestätigen sollte oder weitere Gerichte diesem folgen, könnte das Urteil einschneidende Wirkung für den Beschäftigtendatenschutz haben. Die Geltendmachung von immateriellen Schadenersatzansprüchen nach Art. 82 Abs.1 DSGVO könnte dann zur Regel im Kündigungsrechtsstreit vor den Arbeitsgerichten werden.

Weitere interessante Entscheidungen aus dem Bereich des Beschäftigtendatenschutzes:

  • LAG Köln, Urteil vom 14.09.2020 – Az: 2 Sa 358/20: 300 Euro Schadenersatz für das „versehentliche Aufrechterhalten der Sichtbarkeit einer Online-PDF-Datei“ (Profil der Klägerin) auf der Webseite des ehemaligen Arbeitgebers.
  • ArbG Dresden, Urteil vom 26.08.2020 – Az: 13 Ca 1046/20: 1.500,- Euro Schadenersatz durch rechtswidrige Weitergabe von Gesundheitsdaten durch einen ehemaligen Arbeitgeber.

Für Infos zu Schadenersatz außerhalb des Beschäftigtendatenschutzes bitte ich noch um Geduld bis zum Türchen Nr. 23, dem Beitrag meiner Kollegin Hannah Zitzmann.