Verstoß gegen die DSGVO: Arbeitgeber muss Strafe in Höhe von 5.000,00 EUR an ehemaligen Arbeitnehmer zahlen

(Beitgag vom 26.11.2020)

Der Datenschutz steht auch in einem Arbeitsverhältnis an oberster Priorität. Jeder Verstoß gegen die DSGVO kann einen Schadensersatz für den Geschädigten, in diesem Fall für den Arbeitnehmer, begründen. So regelt es Art. 82 Abs. 1 DSGVO.

Das Arbeitsgericht Düsseldorf hat einem Arbeitnehmer nun diesen Anspruch auf Ersatz seines immateriellen Schadens nach Art. 82 Abs. 1 DSGVO nebst Zinsen zugesprochen, nachdem sein ehemaliger Arbeitgeber ihm keine rechtzeitige und vollständige Auskunft nach Art. 15 DSGVO erteilt hat (ArbG Düsseldorf, Urteil vom 05.03.2020 - 9 Ca 6557/18).

Arbeitnehmer und Arbeitgeber haben um die Erteilung von Auskünften sowie um eine Entschädigung nach der DSGVO gestritten. Im Fall des Arbeitsverhältnisses hat der Arbeitnehmer nach Art. 15 DSGVO ein Recht darauf, zu erfahren, ob seine personenbezogenen Daten verarbeitet werden und verschiedenste Auskunftsrechte. Verstößt der Arbeitgeber gegen beispielsweise dieses Auskunftsrecht, steht dem Arbeitnehmer ein Schadensersatz nach Art. 82 Abs. 1 DSGVO zu.

 

Wie hat das Arbeitsgericht Düsseldorf seine Entscheidung begründet?

Im vorliegenden Fall hat das Arbeitsgericht folgende Verstöße festgestellt: zum einen habe der ehemalige Arbeitgeber gegen die Vorgabe aus Art. 12 Abs. 3 S. 1-3 DSGVO verstoßen, wonach ein Auskunftsantrag nach Art. 15 DSGVO binnen eines Monats nach Eingang, nach Unterrichtung über eine Fristverlängerung binnen zwei weiterer Monate zu beantworten sei. Zum anderen habe dieser gegen Art. 15 Abs. 1 lit. a und lit. b iVm. Art. 12 Abs. 1 S. 1 DSGVO verstoßen, weil er nicht hinreichend über die Verarbeitungszwecke und die Kategorien personenbezogener Daten, die verarbeitet werden, unterrichtet habe. Er habe die Auskunft erst mehrere Monate zu spät und dazu noch unzureichend erteilt.

Dem ehemaligen Arbeitnehmer ist durch diese Verstöße ein immaterieller Schaden entstanden. Dieser entstehe gerade nicht nur, wenn die datenschutzwidrige Verarbeitung zu einer Diskriminierung, einem Verlust der Vertraulichkeit, einer Rufschädigung oder anderen gesellschaftlichen Nachteilen führte, sondern auch, wenn die betroffene Person um ihre Rechte und Freiheiten gebracht oder daran gehindert würden, die sie betreffenden personenbezogenen Daten zu kontrollieren. Durch die Verstöße habe der Arbeitgeber das Auskunftsrecht als zentrales Betroffenheitsrecht beeinträchtigt und gleichzeitig das europäische Grundrecht Art. 8 Abs. 2 S. 2 GRCh verletzt. Zudem sei eine Haftung grundsätzlich begründet, egal wie hoch der Schaden sei, somit seien auch Bagatellschäden ersatzpflichtig.

Zur Höhe des Schadensersatzes sollten nachfolgende Kriterien herangezogen werden: Art, Schwere, Dauer des Verstoßes, Grad des Verschuldens, Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens, frühere einschlägige Verstöße sowie die Kategorien der betroffenen personenbezogenen Daten. Das Arbeitsgericht hat danach einen Schadensersatzanspruch in Höhe von 5.000,00 EUR angenommen. Auch stellte das Gericht fest, dass bei der Verantwortlichkeit des Arbeitgebers immer die Finanzkraft mit einbezogen werden müsse und folglich eine Verletzung der Auskunftspflicht durch einen finanzschwächeren Verantwortlichen zu einem geringeren Schadensersatz führen würde. Wichtig ist auch, dass der Schaden eine abschreckende Wirkung habe, damit von künftigen Verstößen abgesehen würde. Das Arbeitsgericht hat sich damit für eine weite Auslegung des Schadensbegriffs entschieden.

 

Wie wurde bisher entscheiden?

Das Landgericht Karlsruhe hat hingegen die Ansicht vertreten, dass ein Kläger, der einen immateriellen Schaden geltend macht, auch einen materiellen Schaden darlegen und beweisen müsse (LG Karlsruhe, Urteil vom 02.08.2019 – 8 O 26/19). Die Annahme, dass nunmehr jeder Verstoß gegen die DSGVO allein aus generalpräventiven Gründen zu einer Ausgleichspflicht führe, sei gerade unzutreffend, denn der Verpflichtung zum Ausgleich eines immateriellen Schadens müsse eine benennbar und insoweit tatsächliche Persönlichkeitsverletzung gegenüberstehen, die beispielsweise in der mit einer unrechtmäßigen Zugänglichmachung von Daten liegenden "Bloßstellung" liegen könne. Allein ein möglicher Verstoß gegen datenschutzrechtliche Vorgaben solle demnach für sich genommen noch keinen ersatzfähigen Schaden darstellen.

Auch das Oberlandesgericht Dresden hatte sich gegen den Ausgleich von immateriellen Bagatellschäden im Rahmen des Schadensersatzanspruchs nach Art. 82 Abs. 1 DSGVO ausgesprochen (OLG Dresden, Hinweisbeschluss vom 11.06.2019 – 4 U 760/19). Gegen solche Bagatellschäden würde besonders das Risiko des Missbrauchs im Bereich des Datenschutzrechts sprechen.

 

Was bedeutet das für die Zukunft?

Für Arbeitsgericht Düsseldorf steht ein hohes Datenschutzniveau auch für natürliche Personen, wie der einfache Arbeitnehmer, an oberster Stelle. Die Entscheidung ist noch nicht rechtkräftig und kann in der nächsten Instanz durchaus korrigiert werden. Allerdings sind die Ausführungen des Arbeitsgerichts Düsseldorf anlässlich des immer wichtiger werdenden Verständnisses vom Datenschutz personenbezogener Daten erste Wegweiser in eine von den Gerichten bisher noch nicht erörterte Richtung.

Der Schadensersatz beinhaltet im Grundsatz zwar weniger ein Sanktions- als vielmehr ein Ausgleichelement, denn er soll einen tatsächlichen oder rechtlichen Verlust, den eine Person erlitten hat, kompensieren. Allerdings trägt der Schadensersatz im Begriffsverständnis einer Rechtsnorm auch immer gewisse Sanktionsmerkmale in sich. Dazu, inwieweit ein Strafschadensersatz bei dem Art. 82 DSGVO zu tragen kommen soll, schweigt die Norm selber und in Art. 83 DSGVO sind die Sanktionen in Form von Bußgeldern explizit geregelt. Jedenfalls will der Unionsgesetzgeber den Begriff des Schadens, wie auch das Arbeitsgericht Düsseldorf angenommen hat, nach EG 146 S. 3 DSGVO so weit auslegen, dass es mit den Zielen dieser Verordnung übereinkommt. Das Ziel der Verordnung ist es dabei nach EG 10 S. 1 DSGVO, ein gleichmäßiges und hohes Datenschutzniveau für natürliche Personen zu schaffen. Damit ist der Strafschadensersatz jedenfalls kompatibel. Eine abschreckend hohe Schadensersatzzahlung kann die Verantwortlichen dazu anhalten, personenbezogene Daten unionskonform zu verarbeiten und somit zum Ziel des hohen Datenschutzniveaus beitragen.

Der wichtigste Anwendungsfall für einen immateriellen Schaden im deutschen Recht ist das Schmerzensgeld, eine schuldhafte Urheberrechtsverletzung oder auch eine gravierende Persönlichkeitsverletzung. Die Höhe richtet sich dabei besonders nach Art, Umfang und Dauer der erlittenen Schäden. Es müssen folglich alle für die Bemessung maßgeblichen Umstände berücksichtigt werden. Vermögensverhältnisse dürfen dabei nur eine Rolle spielen, wenn sie im Einzelfall ein besonderes Gepräge geben. Dabei lässt sich generell eine Parallele zu den vom Arbeitsgericht Düsseldorf erwähnten Kriterien zur Bestimmung der Höhe des immateriellen Schadens ziehen. Dieser hat die Höhe unter Einbeziehung verschiedener Umstände somit auch hinreichend bestimmt und genügt damit den Anforderungen an einen immateriellen Schadensersatz. Fraglich ist allerdings, ob die Annahme, dass je mehr Vermögen ein Arbeitgeber hat, desto höher müsse der Schadensersatz ausfallen, auf Grundlage der Anforderungen des BGH an den immateriellen Schadensersatz standhalten kann.

Es ist somit durchaus anzunehmen, dass sich weitere Gerichte dieser Entscheidung anschließen werden.