DS-GVO: Schadenersatz wegen verspäteter und unvollständiger Auskunft

Das Arbeitsgericht Düsseldorf (ArbG) hat in seinem Urteil vom 5. März 2020 – 9 Ca 6557/18 – entschieden: Ein Arbeitnehmer kann von seinem Arbeitgeber Auskunft über die über ihn gespeicherten Daten verlangen. Bei einer verspäteten und/oder unvollständigen Datenauskunft stehe ihm Schadenersatz nach der Datenschutz-Grundverordnung (DS-GVO) zu. Für eine um Monate verspätete und unvolls

Schadenersatz wegen verspäteter und unvollständiger Datenschutzauskunft

 

Das Arbeitsgericht Düsseldorf (ArbG) hat in seinem Urteil vom 5. März 2020 – 9 Ca 6557/18 – entschieden: Ein Arbeitnehmer kann von seinem Arbeitgeber Auskunft über die über ihn gespeicherten Daten verlangen. Bei einer verspäteten und/oder unvollständigen Datenauskunft stehe ihm Schadenersatz nach der Datenschutz-Grundverordnung (DS-GVO) zu. Für eine um Monate verspätete und unvollständige Auskunft sei der Schadenersatz auf 5.000 € zu beziffern.

Dem Betroffenen steht nach Art. 15 DS-GVO und den korrespondierenden § 17 KDG/KDR-OG / § 19 DSG-EKD ein Auskunftsanspruch gegen den Verantwortlichen zu, der grundsätzlich innerhalb von vier Wochen, notfalls zwölf Wochen, zu beantworten ist. Diese Auskunft hat zusammengefasst Informationen über sämtliche im Zusammenhang mit dem Beschäftigungsverhältnis stehenden Datenverarbeitungen für die gesamte Dauer des Beschäftigungsverhältnisses zu enthalten. Dementsprechend besteht die Herausforderung für den verantwortlichen Arbeitgeber darin, die Auskunft vollständig und richtig zu erteilen, andernfalls droht ein Schadenersatzanspruch des Betroffenen nach Art. 82 Abs. 1 DS-GVO.

Hintergrund der Klage vor dem ArbG war das Auskunftsersuchen eines Arbeitnehmers gegen seinen früheren Arbeitgeber, das verspätet und unvollständig beantwortet wurde. Die Düsseldorfer Richter waren der Ansicht, dass eine unvollständige Auskunftserteilung dem Kläger die Kontrolle über seine personenbezogenen Daten erschwere und daher einen zu ersetzenden Schaden im Sinne von Art. 82 Abs. 1 DS-GVO darstelle. Der Schadenersatz habe darüber hinaus nach der DS-GVO abschreckend zu wirken. Bei der Bemessung des Schadenersatzes müsse darüber hinaus auch die Leistungsfähigkeit des Unternehmens berücksichtigt werden, um abschreckende Wirkung zu entfalten.

Kleine Justiz-Revolution zum Thema Schadenersatz

Diese Auffassung ist fast als Justiz-Revolution zu bezeichnen und dem deutschen Recht in dieser Form noch weitgehend fremd. Das deutsche Schadensrecht geht nämlich grundsätzlich davon aus, dass nur der tatsächlich entstandene Schaden dem Geschädigten zu ersetzen ist, und hält eine Überkompensation – wie im anglo-amerikanischen Recht unter dem Begriff „punitive damages“ üblich – für unzulässig. Die Wertungen des Arbeitsgerichts sind aber auch aus einem anderen Grund revolutionär, denn an sich ist lediglich für Bußgelder nach Art. 83 Abs. 1 DS-GVO eine ausdrückliche abschreckende Wirkung vorgesehen, dem Wortlaut des Art. 82 Abs. 1 DS-GVO nach aber gerade nicht für den Schadenersatzanspruch des Betroffenen.

Schadensrecht: Düsseldorfer Richter befinden sich in guter Gesellschaft

Trotzdem stehen die Düsseldorfer Richter mit ihrer Auffassung nicht allein da. Ähnliches ließ die Berliner Beauftragte für den Datenschutz und die Informationsfreiheit (BlnBDI) – bekannt durch das Millionenbußgeld gegen die Deutsche Wohnen SE im vergangenen Jahr – in ihrer Pressemitteilung vom 17. Juli 2020 verlautbaren. Darin riet sie den betroffenen Personen dazu, Schadenersatz einzuklagen, sofern ihre Daten trotz Unwirksamkeit des EU-US Privacy Shields aufgrund der Schrems II-Entscheidung des Europäischen Gerichtshofs vom 16. Juli 2020 – C 311/18 – in die USA übermittelt würden. „Dieser dürfte insbesondere den immateriellen Schaden (‚Schmerzensgeld‘) umfassen und muss nach dem europäischen Recht eine abschreckende Höhe aufweisen“, heißt es wörtlich in der Pressemitteilung.

Diese Argumentation stützt sich im Wesentlichen auf den Erwägungsgrund 146 der DS-GVO, der betroffenen Personen einen vollständigen und wirksamen Schadenersatz zuspricht, der auf eine Art und Weise ausgelegt werden solle, die den Zielen der Verordnung in vollem Umfang entspricht. Hieraus folgern die Befürworter dieser Auffassung, dass die DS-GVO bei Verstößen hohe immaterielle Schadenersatzansprüche gewähre, denn nur durch eine weite Auslegung des Art. 82 DS-GVO würde die DS-GVO dem europäischen Effektivitätsgrundsatz – dem sogenannten „effet utile“ – gerecht werden.

Auswirkungen auf den kirchlichen Datenschutz wahrscheinlich

Zwar ist das Urteil des ArbG Düsseldorf nur für das weltliche Datenschutzrecht ergangen, aber vor dem Hintergrund des Einklanggebots aus Art. 91 DS-GVO ist es nicht unwahrscheinlich, dass diese Argumentation auch im kirchlichen Datenschutzrecht (KDG/KDR-OG und DSG-EKD) Widerhall findet.

Schadenersatz für Datenschutzverstoß Fazit

Verantwortliche sind gut beraten, den Auskunftsanspruch des Betroffenen ernst zu nehmen und fristgerecht sowie vollständig zu erfüllen. Gefährlich kann dieser Anspruch dann werden, wenn eine Kündigungsschutzklage mit einem Auskunftsanspruch kombiniert wird. Aus prozesstaktischer Sicht soll damit der Druck auf den Arbeitgeber erhöht werden, um so die Chancen für eine (bessere) Abfindung zu steigern. Präventiv sollte der Verantwortliche daher bereits zwecks Erfüllung des Auskunftsrechts, aber auch der anderen Rechte des Betroffenen (unter anderem Berichtigung, Einschränkung oder Löschung) einen entsprechenden Prozess implementiert haben, der dann optimalerweise nur noch abzuspulen ist. Die Herausforderung besteht allerdings darin, sämtliche relevanten Verarbeitungsvorgänge, in denen personenbezogenen Daten des Arbeitsnehmers eine Rolle spielen, und auch die entsprechenden Speicherorte zu identifizieren. Bei einer solchen Bestandsaufnahme unterstützen wir Sie gern.

Weitere Artikel, die Sie interessieren könnten

02.06.2023

Lauterbach: Grundstruktur der Krankenhausreform steht

Nach dem Bund-Länder-Gespräch am 1. Juni 2023 sprach Gesundheitsminister Karl Lauterbach von einem Durchbruch und einem wichtigen Schritt nach vorn; man sei sich in 90 Prozent der Ziele einig.

26.05.2023

Neue Eckpunkte zur Krankenhausreform: Regionale Vielfalt und strukturelle Besonderheiten der Bundesländer müssen berücksichtigt werden!

Am 23. Mai 2023 traf sich Gesundheitsminister Karl Lauterbach mit den Ländervertretern zu einem vertraulichen „Kamingespräch“, um auf Grundlage eines im Vorfeld vom Bundesgesundheitsministeriums (BMG) vorgelegten, 11 Seiten langen Eckpunktepapiers über die strittigen Reformthemen zu beraten.(...)
25.05.2023

Fünf Jahre DSGVO – Datenschutz im Wandel

Am 25. Mai 2018 ist die europäische Datenschutz-Grundverordnung (DS-GVO) in Kraft getreten. Ziel war es, in der Europäischen Union die Vorschriften zur Verarbeitung personenbezogener Daten zu vereinheitlichen. Die DS-GVO gilt unmittelbar für alle EU-Mitgliedstaaten. Mit der Vereinheitlichung des(...)
16.05.2023

Nachhaltigkeitsbericht betrifft auch die Governance

Am 5. Januar 2023 ist die Richtlinie zur Nachhaltigkeitsberichterstattung (Corporate Sustainability Reporting Directive – CSRD) in Kraft getreten. Zudem wurden bereits am 23. November 2022 die Entwürfe der europäischen Berichtsstandards (European Sustainability Reporting Standards – ESRS)(...)
16.05.2023

Transparenzregister: Permanente Aktualisierungspflicht

Meldepflichtige Vereinigungen müssen ihre wirtschaftlich Berechtigten ermitteln, an das Transparenzregister melden und ihre Meldungen auf dem jeweils aktuellen Stand halten. Dass meldepflichtige Veränderungen als solche wahrgenommen und gemeldet werden, ist mittels interner Prozesse(...)
16.05.2023

Geldwäsche-Compliance: Sorgfaltspflichten

Das Geldwäschegesetz (GwG) beinhaltet Transparenz- und Sorgfaltspflichten. Über die Transparenzpflichten, insbesondere die Pflicht zur Ermittlung und Meldung der wirtschaftlich Berechtigten an das Transparenzregister, haben wir wiederholt berichtet (siehe Solidaris Information 2/2022, Newsletter der(...)
Zu allen aktuellen Meldungen
phone
mail Pfeil weiß