Immaterieller Schadensersatz wegen Datenschutzverstößen

Das Arbeitsgericht Düsseldorf hat einem Arbeitnehmer nun den Anspruch auf Ersatz seines immateriellen Schadens nach Art. 82 Abs. 1 DSGVO nebst Zinsen zugesprochen, nachdem sein ehemaliger Arbeitgeber ihm keine rechtzeitige und vollständige Auskunft nach Art. 15 DSGVO erteilt hat (ArbG Düsseldorf, Urteil vom 05.03.2020 – 9 Ca 6557/18).

Wie hat das Arbeitsgericht Düsseldorf seine Entscheidung begründet?

Nach Art. 82 Abs. 1 DSGVO kann jeder „Verstoß gegen die Verordnung“ einen Schadensersatz begründen. Das Arbeitsgericht hat dabei folgende Verstöße zugrunde gelegt. Zum einen habe der ehemalige Arbeitgeber gegen die Vorgabe aus Art. 12 Abs. 3 S. 1-3 DSGVO verstoßen, wonach ein Auskunftsantrag nach Art. 15 DSGVO binnen eines Monats nach Eingang, nach Unterrichtung über eine Fristverlängerung binnen zwei weiterer Monate zu beantworten sei. Zum anderen habe dieser gegen Art. 15 Abs. 1 lit. a und lit. b iVm. Art. 12 Abs. 1 S. 1 DSGVO verstoßen, weil er nicht hinreichend über die Verarbeitungszwecke und die Kategorien personenbezogener Daten, die verarbeitet werden, unterrichtet habe. Der ehemalige Arbeitgeber konnte sich auch nicht entlasten.

Dadurch ist dem ehemaligen Arbeitnehmer ein immaterieller Schaden entstanden. Dieser entstehe nicht nur in den „auf der Hand liegenden Fällen“, wenn die datenschutzwidrige Verarbeitung zu einer Diskriminierung, einem Verlust der Vertraulichkeit, einer Rufschädigung oder anderen gesellschaftlichen Nachteilen führte, sondern auch, wenn die betroffene Person um ihre Rechte und Freiheiten gebracht oder daran gehindert würden, die sie betreffenden personenbezogenen Daten zu kontrollieren. Durch die Verstöße habe der Arbeitgeber das Auskunftsrecht als zentrales Betroffenheitsrecht beeinträchtigt und gleichzeitig das europäische Grundrecht Art. 8 Abs. 2 S. 2 GRCh verletzt. Er habe die Auskunft erst mehrere Monate zu spät und dazu noch unzureichend erteilt. Das Arbeitsgericht ist der Ansicht, dass die Schwere des immateriellen Schadens für die Begründung der Haftung nach Art. 82 Abs. 1 DSGVO irrelevant sei und sich nur noch bei der Höhe des Anspruchs auswirke. Somit seien auch Bagatellschäden grundsätzlich ersatzpflichtig.

Zur Höhe des Schadensersatzes führt das Arbeitsgericht aus, dass die betroffenen Personen nach EG 146 DGSVO einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten sollten. Eine effektive Sanktionierung werde selbstverständlich durch eine abschreckende Höhe des Schadensersatzes erreicht, allerdings könnten sich Gerichte auch an Art. 83 Abs. 2 DSGVO orientieren, sodass verschiedene Zumessungskriterien einfließen müssten. Solche können bspw. sein: Art, Schwere, Dauer des Verstoßes, Grad des Verschuldens, Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens, frühere einschlägige Verstöße sowie die Kategorien der betroffenen personenbezogenen Daten. Einige dieser Kriterien hat das Arbeitsgericht herangezogen und daher einen Schadensersatzanspruch in Höhe von 5.000,00 EUR angenommen. Auch stellte das Gericht fest, dass bei der Verantwortlichkeit des Arbeitgebers immer die Finanzkraft mit einbezogen werden müsse und folglich eine Verletzung der Auskunftspflicht durch einen finanzschwächeren Verantwortlichen zu einem geringeren Schadensersatz führen würde. Das Arbeitsgericht hat sich damit für eine weite Auslegung des Schadensbegriffs entschieden.

Wie standen andere Gerichte bisher zu dieser Auffassung?

Das Landgericht Karlsruhe hat hingegen die Ansicht vertreten, dass ein Kläger, der einen immateriellen Schaden geltend macht, auch einen materiellen Schaden darlegen und beweisen müsse (LG Karlsruhe, Urteil vom 02.08.2019 – 8 O 26/19). Die Annahme, dass nunmehr jeder Verstoß gegen die DSGVO allein aus generalpräventiven Gründen zu einer Ausgleichspflicht führe, sei gerade unzutreffend, denn der Verpflichtung zum Ausgleich eines immateriellen Schadens müsse eine benennbar und insoweit tatsächliche Persönlichkeitsverletzung gegenüberstehen, die beispielsweise in der mit einer unrechtmäßigen Zugänglichmachung von Daten liegenden „Bloßstellung“ liegen könne. Allein ein möglicher Verstoß gegen datenschutzrechtliche Vorgaben solle demnach für sich genommen noch keinen ersatzfähigen Schaden darstellen.

Auch das Oberlandesgericht Dresden hatte sich gegen den Ausgleich von immateriellen Bagatellschäden im Rahmen des Schadensersatzanspruchs nach Art. 82 Abs. 1 DSGVO ausgesprochen (OLG Dresden, Hinweisbeschluss vom 11.06.2019 – 4 U 760/19). Gegen solche Bagatellschäden würde besonders das Risiko des Missbrauchs im Bereich des Datenschutzrechts sprechen.

Was könnte das Urteil für künftige Entscheidungen bedeuten?

Das Arbeitsgericht Düsseldorf legt hier erstmals den Schadensbegriff sehr extensiv aus. Ein hohes Datenschutzniveau lasse sich ansonsten für natürliche Personen nicht erreichen. Die Entscheidung ist noch nicht rechtkräftig und kann in der nächsten Instanz durchaus korrigiert werden. Allerdings sind die Ausführungen des Arbeitsgerichts Düsseldorf anlässlich des immer wichtiger werdenden Verständnisses vom Datenschutz personenbezogener Daten erste Wegweiser in eine von den Gerichten bisher noch nicht erörterte Richtung.

Der Schadensersatz beinhaltet im Grundsatz zwar weniger ein Sanktions- als vielmehr ein Ausgleichelement, denn er soll einen tatsächlichen oder rechtlichen Verlust, den eine Person erlitten hat, kompensieren. Allerdings trägt der Schadensersatz im Begriffsverständnis einer Rechtsnorm auch immer gewisse Sanktionsmerkmale in sich. Dazu, inwieweit ein Strafschadensersatz bei dem Art. 82 DSGVO zu tragen kommen soll, schweigt die Norm selber und in Art. 83 DSGVO sind die Sanktionen in Form von Bußgeldern explizit geregelt. Jedenfalls will der Unionsgesetzgeber den Begriff des Schadens, wie auch das Arbeitsgericht Düsseldorf angenommen hat, nach EG 146 S. 3 DSGVO so weit auslegen, dass es mit den Zielen dieser Verordnung übereinkommt. Das Ziel der Verordnung ist es dabei nach EG 10 S. 1 DSGVO, ein gleichmäßiges und hohes Datenschutzniveau für natürliche Personen zu schaffen. Damit ist der Strafschadensersatz jedenfalls kompatibel. Eine abschreckend hohe Schadensersatzzahlung kann die Verantwortlichen dazu anhalten, personenbezogene Daten unionskonform zu verarbeiten und somit zum Ziel des hohen Datenschutzniveaus beitragen.

Der wichtigste Anwendungsfall für einen immateriellen Schaden im deutschen Recht ist das Schmerzensgeld, eine schuldhafte Urheberrechtsverletzung oder auch eine gravierende Persönlichkeitsverletzung. Die Höhe richtet sich dabei besonders nach Art, Umfang und Dauer der erlittenen Schäden. Es müssen folglich alle für die Bemessung maßgeblichen Umstände berücksichtigt werden. Vermögensverhältnisse dürfen dabei nur eine Rolle spielen, wenn sie im Einzelfall ein besonderes Gepräge geben. Dabei lässt sich generell eine Parallele zu den vom Arbeitsgericht Düsseldorf erwähnten Kriterien zur Bestimmung der Höhe des immateriellen Schadens ziehen. Dieser hat die Höhe unter Einbeziehung verschiedener Umstände somit auch hinreichend bestimmt und genügt damit den Anforderungen an einen immateriellen Schadensersatz. Fraglich ist allerdings, ob die Annahme, dass je mehr Vermögen ein Arbeitgeber hat, desto höher müsse der Schadensersatz ausfallen, auf Grundlage der Anforderungen des BGH an den immateriellen Schadensersatz standhalten kann.

Es ist somit durchaus anzunehmen, dass sich weitere Gerichte dieser Entscheidung anschließen werden.

Haben Sie noch weitere Fragen rund um das Thema Datenschutz und IT-Recht? Wir beraten Sie gern!