Das Arbeitsgericht Suhl (ArbG Suhl) hat mit dem Urteil vom 20.12.2023 (Az.: 6 Ca 704/23) entschieden, dass allein ein Verstoß gegen die DSGVO nicht für das Entstehen eines Schadensersatzanspruches ausreicht. Für einen Anspruch auf Schadensersatz nach Art. 82 Abs. 1 DSGVO ist, neben dem Verstoß, auch ein Schaden sowie ein Kausalzusammenhang zwischen Verstoß und Schaden erforderlich.
Anlass der Schadensersatzklage
Der Kläger war bei der Beklagten von Oktober 2020 bis einschließlich Januar 2022 beschäftigt.
Mit einer E-Mail vom 22.12.2021 forderte der Kläger von der Beklagten Auskunft über alle über ihn gespeicherten Daten in schriftlicher Form. Mittels unverschlüsselter E-Mail vom 23.12.2021 übersandte die Beklagte dem Kläger eine Übersicht seiner digital verarbeiteten personenbezogenen Daten. Zudem wurden die gespeicherten personenbezogenen Daten des Klägers ohne dessen Zustimmung an den Betriebsrat weitergeleitet. Per Post erteilte die Beklagte dem Kläger im Frühjahr 2022 weitere Auskunft über die erhobenen und gespeicherten personenbezogenen Daten.
Der Kläger erhob, wegen der o. g. Zusendung mittels unverschlüsselter E-Mail, Beschwerde beim Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit (TLfDI). Am 25.01.2023 wurde dem Kläger seitens des TLfDI mitgeteilt, dass die Auskunftserteilung mittels unverschlüsselter E-Mail gegen Art. 5 Abs. 1 Buchst. f DSGVO verstößt. Daraufhin beantragte der Kläger beim TLfDI am 30.03.2023 eine Ergänzungsprüfung bzgl. der o. g. Übersendung seiner personenbezogenen Daten an den Betriebsrat. Ferner rügt der Kläger mit einem Beschwerdeformular vom 19.06.2023 einen weiteren Verstoß gegen die DSGVO beim TLfDI. Hier monierte der Kläger, dass die im Frühjahr 2022 postalisch erteilte Auskunft unvollständig wäre.
Eine Entscheidung bzgl. der Datenschutzverletzungen im Hinblick auf das Auskunftsersuchen traf der TLfDI mit Bescheid vom 03.08.2023.
Ein Verstoß gegen die DSGVO als Grundlage für einen Schadensersatzanspruch?
Das ging dem Kläger allerdings nicht weit genug. Er war der Auffassung, dass ihm aus Art. 82 Abs. 1 DSGVO ein Schadensersatzanspruch i. H. v. 10.000 Euro zusteht. Die Beklagte habe, seiner Ansicht nach, mehrfach in erheblicher Weise gegen die DSGVO verstoßen (Datenübermittlung mittels unverschlüsselter E-Mail, Weiterleitung an den Betriebsrat und unvollständige Auskunft) und ihm sei durch die vorgenannten Verstöße ein immaterieller Schaden entstanden. Außerdem habe er (durch die Auskunftserteilung mittels unverschlüsselter E-Mail und aufgrund der unvollständigen Auskunft) einen Kontrollverlust erlitten, welcher als weiterer immaterieller Schaden zu qualifizieren sei. Darüber hinaus, ging der Kläger davon aus, dass gerade kein nachweisbarer separater kausaler Schaden erforderlich ist, sondern vielmehr ein Verstoß gegen die DSGVO für das Bestehen eines Schadensersatzanspruchs genüge.
So interpretierte das ArbG Suhl die Rechtslage
In der Sache hat das ArbG Suhl folgende wesentliche Feststellungen getroffen, die zu o. g. Urteilsspruch führten:
Das ArbG Suhl bejahte zwar das Vorliegen eines Datenschutzverstoßes wegen des Versands einer unverschlüsselten E-Mail, aber konstatierte auch, dass es in Frage stehen könne, ob die Weiterleitung der Daten an den Betriebsrat und die unvollständige Auskunftserteilung ebenfalls Datenschutzverstöße darstellen. Dem Klägervortrag fehlt bereits die Darlegung eines entstandenen Schadens.
In Anlehnung an das Urteil des EuGH vom 04.05.2023, Az.: C-300/21 (wir berichteten), ist nach der Auffassung des ArbG Suhl der Art. 82 Abs. 1 DSGVO dahingehend auszulegen, dass der bloße Verstoß gegen die Bestimmungen der DSGVO für die Begründung eines Schadensersatzanspruches nicht ausreicht. Vielmehr muss (neben dem Datenschutzverstoß) noch ein Schaden vorliegen und es muss ein Kausalzusammenhang zwischen Datenschutzverstoß und Schaden gegeben sein.
Ein genauerer Blick auf Art. 82 DSGVO
Das ArbG Suhl begründet seine Auffassung mit dem Wortlaut des Art. 82 Abs. 1 DSGVO. Danach hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, einen Anspruch auf Schadensersatz gegen den Verantwortlichen oder den Auftragsverarbeiter. Zudem haften nach Art. 82 Abs. 2 DSGVO für einen Schaden nur diejenigen Verantwortlichen und Auftragsverarbeiter, welche an der für den Schaden ursächlichen Datenverarbeitung beteiligt waren. Nach Art. 82 Abs. 3 DSGVO werden Verantwortliche oder Auftragsverarbeiter von der Haftung befreit, wenn diese nachweisen, dass sie für den Umstand, durch den der Schaden eingetreten ist, nicht verantwortlich sind.
Somit muss der Kläger, neben dem Vorliegen eines Datenschutzverstoßes, auch einen ihm entstandenen (materiellen oder immateriellen) Schaden darlegen und ggf. beweisen. Darüber hinaus muss der Kläger darlegen und ggf. beweisen, dass der Datenschutzverstoß für den entstandenen Schaden ursächlich gewesen ist.
Nach Auffassung des Gerichts hat der Kläger bzgl. der von ihm vorgetragenen Datenschutzverstöße (Datenübermittlung mittels unverschlüsselter E-Mail, Weiterleitung an den Betriebsrat und unvollständige Auskunft) keinen konkreten immateriellen Schaden dargelegt. Daher war nicht erkennbar, inwieweit der Kläger tatsächlich einen Kontrollverlust erlitten haben will bzw. daran gehindert wurde, die ihn betreffenden personenbezogenen Daten zu kontrollieren.
Auch lehnte das ArbG Suhl einen Schadensersatzanspruch aufgrund einer Verletzung des allgemeinen Persönlichkeitsrechts (§§ 823 Abs. 1, 253 BGB in Verbindung mit Art. 1 Abs. 1, Art. 2 Abs. 1 GG) ab. Begründet wurde dies damit, dass seitens des Klägers keine schwerwiegende Verletzung des allgemeinen Persönlichkeitsrechts geschildert wurde.
Fazit
Aus dem Urteil des ArbG Suhl (sowie dem o. g. Urteil des EuGH) ist ersichtlich, dass allein das Vorliegen eines Datenschutzverstoßes für die erfolgreiche Geltendmachung eines Schadensersatzanspruches nicht genügt. Allerdings sollte diese Entscheidung auch als Warnung verstanden werden. Wenn dem Kläger (aufgrund der Datenschutzverstöße) tatsächlich ein Schaden entstanden wäre und die Datenschutzverstöße auch für den Schaden ursächlich gewesen wären, dann wäre die Beklagte höchstwahrscheinlich zur Zahlung von Schadensersatz verurteilt worden.
Daher wäre es für Unternehmen rechtssicher, wenn eine Beantwortung von Auskunftsersuchen per E-Mail nur unter Einsatz von (dem Stand der Technik entsprechenden) Verschlüsselungsalgorithmen erfolgt. Auch sollte vor der Übermittlung personenbezogener Daten an den Betriebsrat sogfältig geprüft werden, ob diesbezüglich eine datenschutzrechtliche Rechtsgrundlage vorliegt. Ist dies nicht der Fall, ist diese Datenverarbeitung rechtswidrig.
Gleiches gilt sinngemäß bei der Beantwortung eines datenschutzrechtlichen Auskunftsersuchens. Denn eine unvollständige Beantwortung stellt ebenfalls einen Verstoß gegen Art. 15 DSGVO dar.