Damit alle Personen nachvollziehen können, ob und welche personenbezogenen Daten über sie verarbeitet werden, sieht die DSGVO umfangreiche Informationspflichten und auch die Betroffenenrechte, insbesondere den Anspruch auf Auskunft, vor. Nach Art. 15 Abs. 1 DSGVO kann Auskunft über die verarbeiteten personenbezogenen Daten, und nach Art. 15 Abs. 3 DSGVO zudem noch eine Kopie dieser, von dem Verantwortlichen verlangt werden.
Eine aktuelle Entscheidung des Landesarbeitsgerichts (LAG) Düsseldorf (Urteil vom 28.11.2023 – 3 Sa 285/23, bisher nur als Pressemitteilung erschienen) lässt aufhorchen: Ein in erster Instanz zu 10.000 Euro verurteilter ehemaliger Arbeitgeber konnte in der nächsten Instanz eine Aufhebung dieses Urteils erreichen. Das LAG Düsseldorf hob eine Entscheidung des Arbeitsgerichts (ArbG) Duisburg auf, nachdem es dem ehemaligen Arbeitnehmer 10.000 Euro Schadensersatz aufgrund einer verspäteten und unvollständigen Auskunft nach Art. 15 DSGVO zugesprochen hatte.
Das ArbG Duisburg hatte erst vor Kurzem in einem anderen Fall eine Entscheidung zu der Frage veröffentlicht, wie schnell ein Auskunftsersuchen vom Verantwortlichen bearbeitet werden muss (wir berichteten). Auch in der hier besprochenen Entscheidung des ArbG Duisburg (Urteil vom 23.03.2023, Az. 3 Ca 44/23) zeigt sich das Gericht offen für eine eher großzügige Anwendung der DSGVO Schutzvorschriften. Nicht nur die Höhe des Schadensersatzes ist außergewöhnlich, sondern auch die Begründung und die Ausführungen zu einem Schadensersatzanspruch nach der DSGVO.
Ob die Entscheidung des LAG Düsseldorf jetzt ein Freifahrtschein ist und der Verantwortliche in Zukunft mehr als genug Zeit hat, die gewünschten Informationen zu sammeln und den Betroffenen zu informieren, wird erst nach der Veröffentlichung der vollständigen Entscheidungsbegründung abzuschätzen sein.
Sachverhalt
Der Kläger war für einen Monat im Jahr 2016 bei dem Verantwortlichen angestellt. Nach einem beantworteten Auskunftsersuchen im Jahre 2020 stellte der ehemalige Mitarbeiter am 01.10.2022 ein neues Auskunftsersuchen mit Frist bis zum 16.10.2022. Als der Kläger keine Rückmeldung erhielt, erinnerte er am 21.10.2022 mit neuer Fristsetzung bis zum 31.10.2022. Eine am 27.10.2022 erteilte Auskunft rügte er als verspätet und als mangelhaft.
Entscheidung des ArbG Duisburg
Ausdrücklich teilt das Gericht nicht die Auffassung, dass ein konkreter Schaden nachgewiesen werden muss (Urteil vom 23.03.2023, Az. 3 Ca 44/23): „Nach Auffassung des Senats führt demnach bereits die Verletzung der DSGVO selbst zu einem auszugleichenden immateriellen Schaden“ (Rn. 63) und weiter führt das Gericht bezüglich des Vorliegens eines Schadens aus, „[…] hat der Kläger jedenfalls vorliegend durch die unzureichende und deutlich verspätete Auskunft der Beklagten einen Kontrollverlust erlitten, der als weiterer immaterieller Schaden zu qualifizieren ist und insofern einen Schaden im Sinne von Art. 82 Abs. 1 DSGVO darstellt“ (Rn. 65).
Auch bemerkenswert: Neben dem angesprochenen Verstoß gegen die Dauer der Auskunftserteilung, geht das ArbG Duisburg u. a. auch auf das wiederholende Stellen desselben Auskunftsersuchens ein: „Der Kläger hat seinen Auskunftsanspruch nach Ablauf von zwei Jahren erneut geltend gemacht, um die Verarbeitung seiner Daten durch die Beklagte erneut zu überprüfen. Das ist in zeitlicher Hinsicht unter keinem Gesichtspunkt zu häufig“ (Urteil vom 23.03.2023, Az. 3 Ca 44/23, Rn. 57).
Entscheidung des LAG Düsseldorf
Im Berufungsverfahren trifft das LAG Düsseldorf in seiner Entscheidung folgende, nicht minder bemerkenswerte, Aussagen (siehe Pressemitteilung):
- „Ein Verstoß gegen Art. 15 DSGVO falle bereits nicht in den Anwendungsbereich von Art. 82 DSGVO. Die Vorschrift setzt haftungsbegründend eine gegen die DSGVO verstoßende Datenverarbeitung voraus. Daran fehle es bei der bloßen Verletzung der Auskunftspflicht aus Art. 15 DSGVO ‑ [!] sei es, dass diese verzögert oder anfangs unvollständig erfüllt werde.“
- „Unabhängig davon setze Art. 82 DSGVO für einen Anspruch auf eine Geldentschädi-gung [!] wegen eines immateriellen Schadens mehr als einen bloßen Verstoß gegen die Vorschriften der DSGVO voraus. Der bloße vom Kläger angeführte Kontrollverlust über die Daten genüge nicht und sei mit dem Verstoß gegen Art. 15 DSGVO letztlich identisch.“
Mutmaßlich und vorbehaltlich einer Veröffentlichung der vollständigen Entscheidungsbegründung differenziert das LAG anscheinend zwischen schadensersatzpflichtigen Verstößen gegen die DSGVO und sonstigen Verstößen. Daran fehle es bei einer rein verzögerten Datenauskunft oder auch anfänglich unvollständigen Erfüllung des Auskunftsbegehrens. Denn für eine Schadensersatzpflicht sei hierfür haftungsbegründend eine gegen die DSGVO verstoßende Datenverarbeitung notwendig, die aber bei der verspäteten oder unvollständigen Auskunftsbearbeitung nicht vorläge. Weitere Erklärungen dazu sind der o. g. Presseerklärung des LAG nicht zu entnehmen.
Zudem stelle der bloße vom Kläger angeführte Kontrollverlust über die Daten keinen immateriellen Schaden dar. Warum der Kläger einen immateriellen Schaden erlitten haben soll, ergebe sich in keinerlei Weise aus seinem Vortrag. Der EuGH hat im vergangenen Jahr die Grundregeln für den Schadensersatz definiert (wir berichteten):
- Die Verarbeitung personenbezogener Daten unter Verstoß gegen die DSGVO,
- ein entstandener Schaden für die betroffene Person und
- ein Kausalzusammenhang zwischen rechtswidriger Verarbeitung und dem entstandenen Schaden.
Und in einer Entscheidung vom 14.12.2023 noch ergänzt, dass es keine Bagatellgrenze für Schäden gibt. Die reine Angst vor einem Kontrollverlust der eigenen Daten kann auch zu einem entschädigungspflichtigen Schaden führen. Das steht nicht im unmittelbaren Widerspruch zu der Entscheidung des LAG Düsseldorf, weil dem Gericht eine ausreichende Begründung fehlte, worin der immaterielle Schaden liegen sollte.
Die Entscheidung des ArbG Duisburg erging vor den Entscheidungen des EuGH. Jetzt ist klar, dass die bloße Verletzung einer Regelung der DSGVO nicht schon deswegen zu einem Schadensersatz führen muss. Neben solch einer Verletzung muss ein Kausalzusammenhang zwischen dem Verstoß und dem Schaden vorhanden sein. Der Verstoß gegen die DSGVO ist die Ursache für den eingetretenen Schaden. Gleichfalls weist der EuGH darauf hin, dass die betroffene Person den Nachweis für einen immateriellen Schaden erbringen muss.
Die Literatur hat sich mit dem Argument des LAG („Die Vorschrift setzt haftungsbegründend eine gegen die DSGVO verstoßende Datenverarbeitung voraus.“), soweit ersichtlich, noch nicht ausgehend beschäftigt und lässt den Weg zumindest zu einer Geldbuße offen (stellvertretend: Gola/Heckmann/Franck, 3. Aufl. 2022, DS-GVO Art. 15 Rn. 65, Taeger/Gabel/Mester, 4. Aufl. 2022, DS-GVO Art. 15 Rn. 23).
Es bleibt spannend, ob die Entscheidung vom Bundesarbeitsgericht (BAG) mitgetragen wird und insbesondere, ob der EuGH im Falle eines Vorabentscheidungsverfahrens diesen Weg mitgehen wird. Die Revision ist ausdrücklich zugelassen. Keinesfalls sollte jetzt ein Verantwortliche aber dieses Urteil jetzt ausnutzen, um entsprechende Anfragen nicht oder nur sehr verzögert zu bearbeiten. Dieses stelle grundsätzlich einen Verstoß dar, der seitens der Aufsichtsbehörden mit einem Bußgeld geahndet werden könnte.
Sobald sich aus der veröffentlichten Begründung Ergänzungsbedarf ergibt oder das Verfahren weitergeführt wird, erfahren Sie es hier im Blog der DSN GROUP.
26. Januar 2024 @ 9:04
Vielen Dank für den spannenden Beitrag. Die Leitsätze im gestrigen EuGH Urteil ( 25.1.2024; Az. C-687/21) stützen die Aussage zu Art. 82 DSGVO. Beste Grüße Ulysses
22. Januar 2024 @ 10:42
„Und in einer Entscheidung vom 14.12.2024 [..]“
…liegt in der Zukunft.
22. Januar 2024 @ 11:58
Vielen Dank für den Hinweis. Wir haben das Datum korrigiert.
Ihre Blogredaktion