Schadenersatz wegen verspäteter und unvollständiger Datenschutzauskunft
Das Arbeitsgericht Düsseldorf (ArbG) hat in seinem Urteil vom 5. März 2020 – 9 Ca 6557/18 – entschieden: Ein Arbeitnehmer kann von seinem Arbeitgeber Auskunft über die über ihn gespeicherten Daten verlangen. Bei einer verspäteten und/oder unvollständigen Datenauskunft stehe ihm Schadenersatz nach der Datenschutz-Grundverordnung (DS-GVO) zu. Für eine um Monate verspätete und unvollständige Auskunft sei der Schadenersatz auf 5.000 € zu beziffern.
Dem Betroffenen steht nach Art. 15 DS-GVO und den korrespondierenden § 17 KDG/KDR-OG / § 19 DSG-EKD ein Auskunftsanspruch gegen den Verantwortlichen zu, der grundsätzlich innerhalb von vier Wochen, notfalls zwölf Wochen, zu beantworten ist. Diese Auskunft hat zusammengefasst Informationen über sämtliche im Zusammenhang mit dem Beschäftigungsverhältnis stehenden Datenverarbeitungen für die gesamte Dauer des Beschäftigungsverhältnisses zu enthalten. Dementsprechend besteht die Herausforderung für den verantwortlichen Arbeitgeber darin, die Auskunft vollständig und richtig zu erteilen, andernfalls droht ein Schadenersatzanspruch des Betroffenen nach Art. 82 Abs. 1 DS-GVO.
Hintergrund der Klage vor dem ArbG war das Auskunftsersuchen eines Arbeitnehmers gegen seinen früheren Arbeitgeber, das verspätet und unvollständig beantwortet wurde. Die Düsseldorfer Richter waren der Ansicht, dass eine unvollständige Auskunftserteilung dem Kläger die Kontrolle über seine personenbezogenen Daten erschwere und daher einen zu ersetzenden Schaden im Sinne von Art. 82 Abs. 1 DS-GVO darstelle. Der Schadenersatz habe darüber hinaus nach der DS-GVO abschreckend zu wirken. Bei der Bemessung des Schadenersatzes müsse darüber hinaus auch die Leistungsfähigkeit des Unternehmens berücksichtigt werden, um abschreckende Wirkung zu entfalten.
Kleine Justiz-Revolution zum Thema Schadenersatz
Diese Auffassung ist fast als Justiz-Revolution zu bezeichnen und dem deutschen Recht in dieser Form noch weitgehend fremd. Das deutsche Schadensrecht geht nämlich grundsätzlich davon aus, dass nur der tatsächlich entstandene Schaden dem Geschädigten zu ersetzen ist, und hält eine Überkompensation – wie im anglo-amerikanischen Recht unter dem Begriff „punitive damages“ üblich – für unzulässig. Die Wertungen des Arbeitsgerichts sind aber auch aus einem anderen Grund revolutionär, denn an sich ist lediglich für Bußgelder nach Art. 83 Abs. 1 DS-GVO eine ausdrückliche abschreckende Wirkung vorgesehen, dem Wortlaut des Art. 82 Abs. 1 DS-GVO nach aber gerade nicht für den Schadenersatzanspruch des Betroffenen.
Schadensrecht: Düsseldorfer Richter befinden sich in guter Gesellschaft
Trotzdem stehen die Düsseldorfer Richter mit ihrer Auffassung nicht allein da. Ähnliches ließ die Berliner Beauftragte für den Datenschutz und die Informationsfreiheit (BlnBDI) – bekannt durch das Millionenbußgeld gegen die Deutsche Wohnen SE im vergangenen Jahr – in ihrer Pressemitteilung vom 17. Juli 2020 verlautbaren. Darin riet sie den betroffenen Personen dazu, Schadenersatz einzuklagen, sofern ihre Daten trotz Unwirksamkeit des EU-US Privacy Shields aufgrund der Schrems II-Entscheidung des Europäischen Gerichtshofs vom 16. Juli 2020 – C 311/18 – in die USA übermittelt würden. „Dieser dürfte insbesondere den immateriellen Schaden (‚Schmerzensgeld‘) umfassen und muss nach dem europäischen Recht eine abschreckende Höhe aufweisen“, heißt es wörtlich in der Pressemitteilung.
Diese Argumentation stützt sich im Wesentlichen auf den Erwägungsgrund 146 der DS-GVO, der betroffenen Personen einen vollständigen und wirksamen Schadenersatz zuspricht, der auf eine Art und Weise ausgelegt werden solle, die den Zielen der Verordnung in vollem Umfang entspricht. Hieraus folgern die Befürworter dieser Auffassung, dass die DS-GVO bei Verstößen hohe immaterielle Schadenersatzansprüche gewähre, denn nur durch eine weite Auslegung des Art. 82 DS-GVO würde die DS-GVO dem europäischen Effektivitätsgrundsatz – dem sogenannten „effet utile“ – gerecht werden.
Auswirkungen auf den kirchlichen Datenschutz wahrscheinlich
Zwar ist das Urteil des ArbG Düsseldorf nur für das weltliche Datenschutzrecht ergangen, aber vor dem Hintergrund des Einklanggebots aus Art. 91 DS-GVO ist es nicht unwahrscheinlich, dass diese Argumentation auch im kirchlichen Datenschutzrecht (KDG/KDR-OG und DSG-EKD) Widerhall findet.
Schadenersatz für Datenschutzverstoß Fazit
Verantwortliche sind gut beraten, den Auskunftsanspruch des Betroffenen ernst zu nehmen und fristgerecht sowie vollständig zu erfüllen. Gefährlich kann dieser Anspruch dann werden, wenn eine Kündigungsschutzklage mit einem Auskunftsanspruch kombiniert wird. Aus prozesstaktischer Sicht soll damit der Druck auf den Arbeitgeber erhöht werden, um so die Chancen für eine (bessere) Abfindung zu steigern. Präventiv sollte der Verantwortliche daher bereits zwecks Erfüllung des Auskunftsrechts, aber auch der anderen Rechte des Betroffenen (unter anderem Berichtigung, Einschränkung oder Löschung) einen entsprechenden Prozess implementiert haben, der dann optimalerweise nur noch abzuspulen ist. Die Herausforderung besteht allerdings darin, sämtliche relevanten Verarbeitungsvorgänge, in denen personenbezogenen Daten des Arbeitsnehmers eine Rolle spielen, und auch die entsprechenden Speicherorte zu identifizieren. Bei einer solchen Bestandsaufnahme unterstützen wir Sie gern.