Bußgeld gegen notebooksbilliger.de wegen Videoüberwachung!

Bußgeld gegen notebooksbilliger.de wegen Videoüberwachung!

LFD Niedersachsen

Die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen hat ein Bußgeld von über 10,4 Millionen Euro gegenüber der notebooksbilliger.de AG verhängt wegen unzulässiger Videoüberwachung. Ein Paukenschlag aus datenschutzrechtlicher Sicht gleich zu Beginn des Jahres. Die meisten Unternehmer sind noch im Lockdown und überlegen sich, wie sie die Coronaepidemie meistern. In der Zwischenzeit hat die Datenschutzbehörde in Niedersachsen für Schlagzeilen gesorgt. Worum geht es?

Videoüberwachung und DSGVO

Es geht um die Videoüberwachung in einem Unternehmen und den Datenschutz. Bislang liegt nur eine Pressemitteilung des LFD vor, aus der wir, wie folgt zitieren:

„Das Unternehmen hatte über mindestens zwei Jahre seine Beschäftigten per Video überwacht, ohne dass dafür eine Rechtsgrundlage vorlag. Die unzulässigen Kameras erfassten unter anderem Arbeitsplätze, Verkaufsräume, Lager und Aufenthaltsbereiche.“ …

„Bei notebooksbilliger.de war die Videoüberwachung aber weder auf einen bestimmten Zeitraum noch auf konkrete Beschäftigte beschränkt. Hinzu kam, dass die Aufzeichnungen in vielen Fällen 60 Tage gespeichert wurden und damit deutlich länger als erforderlich.“

LfD Pressemitteilung vom 08.01.2021

Die Notebooksbilliger AG hat damit gegen die Datenschutzgrundverordnung (DSGVO) verstoßen. Die Videoüberwachung ist aus Sicht des Datenschutzes nicht einfach zu konstruieren. Die Zulässigkeitshürden sind recht hoch und das zu Recht. Die DSGVO sieht für die Videoüberwachung durch private Unternehmer keine gesonderte Rechtsgrundlage. Eine nationale Regelung für die privaten Unternehmer fehlt. Daher ist Maßstab der Art. 6 Abs. 1 S. 1 f) DSGVO. Dieser verlangt ein berechtigtes Interesse.

Generalverdacht als berechtigtes Interesse

Wie hat Notebooksbilliger AG sich verteidigt? Das wissen wir konkret nicht. In der Pressemitteilung steht dazu:

Das Unternehmen hatte sich darauf berufen, dass es Ziel der installierten Videokameras gewesen sei, Straftaten zu verhindern und aufzuklären sowie den Warenfluss in den Lagern nachzuverfolgen. Zur Verhinderung von Diebstählen muss eine Firma aber zunächst mildere Mittel prüfen (z. B. stichprobenartige Taschenkontrollen beim Verlassen der Betriebsstätte). 

LfD Pressemitteilung vom 08.01.2021

Diese Verteidigung ist natürlich nicht ganz einfach. Die Argumentation passt im Prinzip zu jedem Unternehmen. Dann wäre die anlasslose Überwachung von Mitarbeiter mittels Video (Videoüberwachung) stets zulässig. Die Rechtslage war und ist aber in diesem Punkt recht eindeutig. Eine permanante Überwachung ist nicht gerechtfertigt. Wir gehen davon aus, dass die meisten Unternehmer dies auch wissen. Das LfD wollte aus unserer Sicht ein Zeichen setzen, dass Verstöße geahndet werden.

 „Unternehmen müssen verstehen, dass sie mit einer solch intensiven Videoüberwachung massiv gegen die Rechte ihrer Mitarbeiterinnen und Mitarbeiter verstoßen“. 

LfD Pressemitteilung vom 08.01.2021

Das ist eine klare Ansage im Hinblick auf Unternehmer, die eine Videoüberwachung nutzen.. Gespannt dürfen wir sein, ob Notebooksbilliger AG die Höhe des Bußgeldes akzeptiert oder dagegen Einspruch einlegen wird. Die Videoüberwachung wurde jedenfalls abgestellt.

Zur Videoüberwachung haben wir hier und hier schon Artikel veröffentlicht. Sofern Sie ein weitergehendes Interesse haben, empfehlen wir Ihnen ein Blick zu riskieren.

Datenschutz DSGVO

Wenn Sie Fragen zum Datenschutz und Videoüberwachung haben, dann können Sie uns telefonisch unter 069 405 64 282 telefonisch erreichen oder per E-Mail an info@rechtsanwalt-dsgvo.de

Ihr Rechtsanwalt für Datenschutz und Datenschutzbeuaftragter in Frankfurt am Main und bundesweit

Rufen Sie uns an!

Beitragsbild: Nathan Guzman

Cookies (Hinweise oder Banner) auf der Homepage und DSGVO!

Cookies (Hinweise oder Banner) auf der Homepage und DSGVO!

Cookies

Cookies sind in aller Munde und haben zuletzt aber nicht durch ihren Geschmack Aufmerksamkeit erlangt, sondern wegen der Datenschutzgrundverordnung (DSGVO). Cookies können als Datenpakete definiert werden, die zwischen Computerprogrammen ausgetauscht werden. Es gibt zudem auch Session-Cookies, Cookies für LogIns oder Warenkörbe, die keine Daten weitergeben. Sie sind nützlich, weil sie den Besuch einer Webseite erleichtern oder das Verhalten von Nutzer festhalten können.

Cookiehinweise DSGVO

Es gibt nun eine eigene Cookie-Richtlinie, die Vorgaben zu den Cookies macht. Sie ist aber eine europäische Richtlinie, die in Deutschland nicht umgesetzt wurde. In Deutschland gilt der § 15 Abs. 3 TMG, der eine Informationspflicht und ein Widerspruchsrecht vorsieht. Das bedeutet: Nutze ich Cookies, muss ich darüber informieren und ein Widerspruchsrecht einräumen. Die DSGVO hat die Cookies nicht expliziert geregelt, da die E-Privacy Verordnung dies machen sollte. Sie ist aber nicht in Kraft und daher liegt eine derzeit für die Rechtssicherheit unbefriedigend Situation vor. In jedem Fall muss informiert werden und ein Widerspruchsrecht vorgesehen werden.

Trackingcookies

Cookies bzw Trackingcookies sind solche, die ein Nutzerverhalten verfolgen. Sie dienen der Reichweitenmessung. Hier sind die Datenschutzkonferenz (DSK), ein Zusammenschluss der deutschen Datenschutzbehörden, der Europäische Gerichtshof (EuGH Planet 49, C‑673/17 1. Oktober 2019) und nunmehr der Bundesgerichtshof (BGH Az.: I ZR 7/16, Urteil 28. Mai 2020) einig, dass eine Einwilligung notwendig ist. Sie muss proaktiv erteilt werden und nicht in einem voreingestellten Kästchen erzwungen werden. Dann muss auch über den Umfang der Einwilligung informiert werden. Ansonsten liegt ein Datenschutzverstoß vor. Klingt einfach, ist es nicht immer.

Cookiebanner oder Cookiehinweise

Viele Mandanten fragen uns, ob sie beim Einsatz von Cookies einen sogenannten Cookiebanner oder Cookiehinweise nutzen müssen. Nutzen sie Trackingcookies, so muss vor dem Datenaustausch, zwingend eine Einwilligung eingeholt werden. Da hat sich der Cookiebanner oder die Cookiehinweise etabliert. Bei einfachen Cookies kann ebenfalls einen Hinweis aufgenommen werden. Meist werden die Angaben dazu in der Datenschutzerklärung aufgenommen. Es ist noch nicht ganz klar, ob das ausreicht oder an anderer Stelle -meist zu Beginn mit Banner oder Hinweise- informiert werden muss.

Fazit

Wir denken, dass letztlich die Entscheidung des EuGH eine Einwilligung vorher einzuholen, nicht ganz unproblematisch ist. Die meisten Nutzer berichten, dass sie genervt und gedankenlos alle Cookies akzeptieren. Das ist natürlich ein Argument, dass man aus den Allgemeinen Geschäftsbedingungen bei Fitnessverträgen und Handyverträgen kennt. Keiner außer Juristen lesen diese, und die lesen es meist auch nur für Mandanten. Fakt ist aber, dass sich die Unternehmen mehr Gedanken zum Datenschutz machen und damit auch für etwaiges Fehlverhalten sensibilisiert sind. Insofern ist das Erfordernis einer Einwilligung für Cookies zweckmäßig und dient dem Datenschutz. Es ist im Übrigen auch für die Behörde ein, einfach zu ermittelnder Verstoß. Daher raten wir, hier besondere Aufmerksamkeit zu widmen.

Anwalt für Datenschutz

Wenn Sie Fragen zum Datenschutz und Cookies haben, dann können Sie uns telefonisch unter 069 405 64 282 telefonisch erreichen oder per E-Mail an info@rechtsanwalt-dsgvo.de

Ihr Rechtsanwalt für Datenschutz in Frankfurt am Main und bundesweit

Rufen Sie uns an!

Beitragsbild: Dex Ezekiel

LG Bonn senkt Bußgeld gegen 1&1!

LG Bonn senkt Bußgeld gegen 1&1!

Bußgeld

Das Landgericht (LG) Bonn hat in einem Urteil vom 11.11.2020 Az. 29 OWi 1/20 LG das Bußgeld gegen den Telekommunikationsanbieter 1&1 von 9,55 Millionen EUR auf 900.000 EUR abgesenkt. Was war geschehen?

Sachverhalt

Uns liegt derzeit nur die Pressemitteilung des Landgerichts Bonn vor. Aus dieser geht folgender Sachverhalt hervor. Eine Stalkerin ihren Ex-Partner gestalkt hat und dafür bedarf es unter anderem der Kommunikationsdaten des Stalkingopfers. Diese kannte die Stalkerin offenbar nicht. Sie rief kurzerhand bei 1&1 an und erfragte die nämliche Telefonnummer. Dabei gab sie sich als die Ehefrau des Stalkingopfers aus. 1&1 fragte nach ihrer Legitimation und wandte dafür ein jahrelang erprobtes und von anderen Unternehmen weiterhin genutztes Verfahren. Es fragte nach Geburtsdatum und Name des Kunden. Schon hatte die Stalkerin die Telefonnummer. Führt das zu einem Bußgeld?

Datenschutzverstoß

Ein Bußgeld wird verhängt, wenn ein Datenschutzverstoß nach Datenschutzgrundverordnung (DSGVO) vorliegt. Die Behörde sah ein nicht ausreichend sicheres Authentifizierungsverfahren durch 1&1. Es reiche nicht aus, nur nach Namen und Geburtsdatum zu fragen. Das würde nicht Art. 32 Abs. 1 DSGVO entsprechen. Wir kennen leider noch nicht die Urteilsgründe, um das nachzuprüfen. Art. 32 Abs. 1 DSGVO ist aber eine -nach unserer Auffassung- zentrale Norm des Datenschutzrechts. Hier geht es ans Eingemachte. Muss jeder Unternehmer ein Standard-Datenschutzmodell implementieren oder reicht etwas weniger? Laut Gericht und Behörde war jedenfalls das Authentifizierungsverfahren nicht ausreichend.

Bußgeldkonzept der DSK

Wenn ein Verstoß vorliegt, ist der nächste Schritt bei einem Bußgeld, die Höhe des Bußgeldes und der Verschuldensgrad festzustellen. Die Datenschutzkonferenz (DSK), ein Zusammenschluss der deutschen Datenschutzbehörden hat nach Inkrafttreten der DSGVO ein Bußgeldkonzept entwickelt, dass Sie hier herunterladen können. Hauptkritik seitens Datenschutzanwälte war das rein  umsatzorientiertes Bußgeldkonzept der Behörden. Offenbar hat das LG Bonn hier eigene Erwägungen angestellt. Was letztlich dabei herauskommt müssen wir abwarten, wenn die Urteilsgründe vorliegen. Die Reduktion des Bußgeldes von 9,55 Millionen EUR auf 900.000 EUR ist aber ein deutliches Zeichen, dass auch andere Kriterien neben dem Umsatz eine Rolle gespielt haben.

Ausblick

Dieses Urteil ist ein Zeichen, dass der Gang zu Gericht lohnend sein kann. 1&1 hat im Hinblick auf die Höhe des Bußgeldes ein Erfolg erzielt. In der Datenschutzwelt werden im Hinblick auf die Bemessung des Bußgeldes mit Spannung das Urteil erwartet. Zusätzlich dürfte ach jetzt eine interessante Entscheidung zu Art. 32 DSGVO ergangen sein, insbesondere im Hinblick auf die Abfrage von Namen und Geburtsdatum bei der Authentifizierung. Hier sollten Unternehmer dringend nachbessern.

Anwalt für Datenschutz

Wenn Sie Fragen zum Datenschutz und Bußgeld haben, dann können Sie uns telefonisch unter 069 405 64 282 telefonisch erreichen oder per E-Mail an info@rechtsanwalt-dsgvo.de

Ihr Rechtsanwalt für Datenschutz in Frankfurt am Main und bundesweit

Rufen Sie uns an!

Beitragsbild: Alexander Andrews

Bußgeld nach DSGVO gegen H&M und praktische Auswirkungen!

Bußgeld nach DSGVO gegen H&M und praktische Auswirkungen!

Datenschutz und Großkonzerne

Die Pressemitteilung vom obersten Hamburger Datenschützer vom 01.10.2020 (Pressemitteilung) berichtet über einen Bußgeld nach DSGVO in Höhe von 35 Millionen gegen H&M. Wir möchten uns den Vorgang, soweit Informationen veröffentlicht sind, näher ansehen und die praktischen Auswirkungen abschätzen.

Datenschutzverstöße und Bußgeld

Was war passiert, dass ein Bußgeld nach DSGVO verhängt wurde? Wir zitieren dazu wörtlich aus der Pressemitteilung:

„Seit dem Jahr 2014 kam es bei einem Teil der Beschäftigten zu umfangreichen Erfassungen privater Lebensumstände. Entsprechende Notizen wurden auf einem Netzlaufwerk dauerhaft gespeichert. Nach Urlaubs- und Krankheitsabwesenheiten – auch kurzer Art – führten die vorgesetzten Teamleader einen sogenannten Welcome Back Talk durch. Nach diesen Gesprächen wurden in etlichen Fällen nicht nur konkrete Urlaubserlebnisse der Beschäftigten festgehalten, sondern auch Krankheitssymptome und Diagnosen. Zusätzlich eigneten sich einige Vorgesetzte über Einzel- und Flurgespräche ein breites Wissen über das Privatleben ihrer Mitarbeitenden an, das von eher harmlosen Details bis zu familiären Problemen sowie religiösen Bekenntnissen reichte. Die Erkenntnisse wurden teilweise aufgezeichnet, digital gespeichert und waren mitunter für bis zu 50 weitere Führungskräfte im ganzen Haus lesbar. Die Aufzeichnungen wurden bisweilen mit einem hohen Detailgrad vorgenommen und im zeitlichen Verlauf fortgeschrieben. Die so erhobenen Daten wurden neben einer akribischen Auswertung der individuellen Arbeitsleistung u.a. genutzt, um ein Profil der Beschäftigten für Maßnahmen und Entscheidungen im Arbeitsverhältnis zu erhalten. Die Kombination aus der Ausforschung des Privatlebens und der laufenden Erfassung, welcher Tätigkeit sie jeweils nachgingen, führte zu einem besonders intensiven Eingriff in die Rechte der Betroffenen.“

Hier sind Daten von Beschäftigten, die nicht dem Vertragszweck dienen, erhoben und verarbeitet worden. Ein Verstoß gegen § 26 Abs. 1 Satz 1, Abs 3, Abs. 5 BDSG, Art. 6 DSGVO ist die Konsequenz. Das Profiling mit unter anderem sensiblem Daten, wie die religiöse Zugehörigkeit, verstößt gegen Art. 22 DSGVO. In Art 83 DSGVO sind diese Normen für die Verhängung der hohen Bußgelder enthalten.

Fehlerhafte IT

Wie hat die Behörde Wind von der Sache bekommen? Dazu die Pressemitteilung:

„Bekannt wurde die Datenerhebung dadurch, dass die Notizen infolge eines Konfigurationsfehlers im Oktober 2019 für einige Stunden unternehmensweit zugreifbar waren. Nachdem der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit über die Datensammlung durch Presseberichte informiert wurde…“

Die Presse war es also könnte man aus Sicht von H&M denken oder vielmehr die eigene IT-Verantwortlichen. Hier stellt sich die spannende Frage, ob die Konzernleitung als Verantwortliche Regressansprüche gegen die IT-Verantwortlichen hätte. Dies macht Sinn, wenn es sich um eine externe Firma handelt. Jedenfalls wird deutlich, dass Fehler in der IT vorkommen können. Daher ist es besser, man achtet auf den Datenschutz.

Praktische Auswirkungen

Ausweislich des Presseberichtes hat die Konzernleitung Schadensersatz an die Mitarbeiter gezahlt und mit der Behörde kooperiert. Andernfalls wären der Schaden bzw. das Bußgeld nach DSGVO noch höher. Jetzt gibt es vermehrt Berichte, dass die Datenschutzbehörden nur die großen Unternehmen ins Visier nehmen. Hierzu möchten wir folgendes anmerken. Zum einen ist in der Tat die Hamburger Datenschutzbehörde durch die Presse auf den Vorfall aufmerksam geworden. Im Zweifel sind kleinere Unternehmen nicht so häufig in der Presse. Damit muss man nicht viel befürchten. Das finden wir nicht. Es reicht, dass ein verärgerter Kunde, Exmitarbeiter oder anonymer Freund der Behörde ein anonymes Schreiben zusendet, um selbst überprüft zu werden. Auf der sicheren Seite ist man, wenn der Datenschutz beachtet wird.

Anwalt für Datenschutz

Wenn Sie Fragen zum Datenschutz haben, dann können Sie uns telefonisch unter 069 405 64 282 telefonisch erreichen oder per E-Mail an info@rechtsanwalt-dsgvo.de

Ihr Rechtsanwalt für Datenschutz und zertifizierter Datenschutzbeauftragter in Frankfurt am Main und bundesweit

Rufen Sie uns an!

Beitragsbild: Goh Rhy Yan

Schadensersatz nach DSGVO wegen verletzter Auskunftspflicht!

Schadensersatz nach DSGVO wegen verletzter Auskunftspflicht!

Urteil Arbeitsgericht Düsseldorf.

Kann Schadensersatz nach der Datenschutzgrundverordnung (DSGVO) wegen verletzter Auskunftspflicht verlangt werden? Diese Frage beantwortet, dass ArbG Düsseldorf v. 5.3.2020 – 9 Ca 6557/18 in seinem Urteil mit: „Ja und zwar 5.000 EUR“. Auf den ersten Blick ist das ein „Paukenschlag“. Auf den zweiten Blick relativiert sich diese Aussage. Worum geht es?

Schadensersatz DSGVO wegen unterbliebener Auskunft

Ein Arbeitnehmer forderte von seinem Arbeitgeber Auskunft über seine personenbezogenen Daten. Der Arbeitgeber reagierte angeblich verzögert und unzureichend. Der Sachverhalt ist in unserem Beitrag sehr verkürzt dargestellt. Oben wurde das Urteil verlinkt. So gab es schon Probleme hinsichtlich der Frage, ob das Auskunftsersuchen wirksam zugegangen ist. Wir wollen uns aber auf die datenschutzrechtlichen Themen fokussieren und haben daher die weiteren Einzelprobleme nicht dargestellt. Es geht um die Frage, ob Schadensersatz nach DSGVO verlangt werden kann.

In Art. 82 DSGVO heißt es:

„Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.“

In Art. 12 und 15 DSGVO wird im weitesten Sinne das Auskunftsrecht geregelt. Verletzt jemand also diese Pflichten, dann verstößt er gegen die Verordnung. Nach dem Wortlaut von Art. 82 DSGVO müsste dann ein materieller oder immateriellerSchaden entstanden sein.

Schadensbegriff der DSGVO

Was ist materieller und immaterieller Schaden? Materielle Beeinträchtigung können Vermögensschäden sein, wenn z.B. aufgrund einer Datenschutzverletzung ein Kredit nicht gewährt wird. Im obigen Fall wurde hingegen ein immaterieller Schaden festgestellt. Das sind Beeinträchtigungen des Persönlichkeitsrechts, etwa in Form von psychischen Auswirkungen, der betroffenen Person durch den Datenschutzverstoß. Nach der Rechtsprechung in Deutschland zu Persönlichkeitsverletzungen ist aber in solchen Fällen ein Geldersatzanspruch nur bei schwerwiegenden Eingriffen möglich und wenn die Beeinträchtigung nicht anderweitig ausgeglichen werden kann. Es gibt also nur Geld, wenn der Eingriff schwer wiegt. Ob dies auch für einen Schadensersatz nach DSGVO gilt, ist zumindest umstritten. Der Erwägungsgrund 146 Abs. 6 DSGVO sieht vor, dass die betroffenen Personen einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten. Das spricht gegen ein Kriterium des schwerwiegenden Eingriffs. Es bleibt also spannend, da im Rahmen von Datenschutzverletzungen bei jedem Eingriff in das allgemeine Persönlichkeitsrecht Geldersatz verlangt werden könnte.

Schadenshöhe

Im Hinblick auf die Schadenshöhe ist die Entscheidung des Arbeitsgerichts Düsseldorf bemerkenswert. Es will einen abschreckenden Schadensersatz verhängen. Juristen kennen das eigentlich aus dem anglo-amerikanischen recht. In Deutschland ist ein solches System nicht möglich. Aber es ist auch eine europäische Verordnung, an der zumindest Großbritannien mitgewirkt hat. Es stell sich also die Frage, ob ein deutsches Arbeitsgericht einen Strafschadensersatz im Zivilrecht verhängen darf.

Das Arbeitsgericht Düsseldorf begründet seine Entscheidung damit, dass in Art. 83 Abs .1 DSGVO die Geldbußen abschreckend wirken müssen. Aus unserer Sicht ist diese Auffassung zumindest diskutabel. Zum einen sollen die Geldbußen der Behörden abschreckend sein und nicht der Schadensersatz gegen Verantwortliche. Eine entsprechende Regelung zum Schadensersatz fehlt gerade. Zum anderen sollen diese Geldbußen auch verhältnismäßig sein. Das bedeutet, dass eine Prüfung der Verhältnismäßigkeit erfolgen muss. Das hat das Arbeitsgericht nicht gemacht. Auch stellt sich die Frage, was passiert, wenn nun die Behörde eine Geldbuße gegen den Arbeitgeber verhängt. Muss sie die gerichtliche Entscheidung des Arbeitsgerichts Düsseldorf in diesem konkreten Fall berücksichtigen? Was ist, wenn divergierende Beurteilungen herauskommen? In dem Fall war schon streitig, ob ausreichend Auskunft erteilt wurde. Die Behörde könnte das anders beurteilen.

Wie hat aber das Arbeitsgericht Düsseldorf den Schaden in Höhe von 5.000 EUR konkret berechnet? Wir haben dafür die Originalpassage zitiert.

„Den Grundsätzen entsprechend muss die Beklagte einen Schadensersatz iHv. insgesamt 5.000 € zahlen. Dabei hat die Kammer berücksichtigt, dass der europäische Verordnungsgeber das verletzte Recht als bedeutsam einordnet, wie sich neben Art. 8 Abs. 2 S. 2 GRCh auch an der Zuordnung der Art. 12 ff. E. zu dem Katalog des § 83 Abs. 5 E. zeigt. Es handelt sich eben nicht nur um ein einfaches Arbeitspapier. Weiter hielt der Verstoß einige Monate an, in denen der Kläger über die Datenverarbeitung durch die Beklagte im Ungewissen war. Der Zeitraum vom 08.07. bis 07.09.2018 fiel dabei weniger stark ins Gewicht als die etwa drei Monate bis zum 10.12.2018, da Art. 12 Abs. 3 S. 2 E. dem Antragssteller – wenn auch nach Unterrichtung über eine Fristverlängerung – zumutet, bis zu drei Monate auf die Auskunft zu warten. Außerdem sind die Anforderungen an die zu erteilende Auskunft nicht nur zeitlich, sondern auch inhaltlich verletzt. Überdies war der nach Vortrag des Klägers beträchtliche Umsatz der Beklagten zu berücksichtigen. (Der Vortrag ist unstreitig, doch ist fraglich, ob es sich um den Umsatz der Beklagten oder der I. insgesamt handelt.) Da der Schadensersatz eine angemessene Wirkung erzielen soll, hängt dessen Höhe nicht nur vom eingetretenen immateriellen Schaden, sondern auch von dem nach Art. 4 Ziff. 7 E. Verantwortlichen und dessen Finanzkraft ab. Mit anderen Worten: Die Verletzung der Auskunftspflicht aus Art. 15 E. durch einen finanzschwächeren Verantwortlichen würde zu geringerem Schadensersatz führen.

Zu Gunsten der Beklagten wird berücksichtigt, dass von fahrlässigen Verstößen auszugehen ist. Anhaltspunkte für Vorsatz, mithin die bewusste und gewollte verspätete, dann intransparente Reaktion auf das Auskunftsgesuch, sind nicht ersichtlich. Auch sind keine anderen Verstöße der Beklagten gegen die E. dargetan. Des Weiteren erschließt sich der Kammer nicht, warum die Höhe der Vergütung des Klägers in die Bemessung des Schadensersatzes einfließen sollte. Die Schwere des entstandenen immateriellen Schadens, der vor allem in der Ungewissheit über die Verarbeitung seiner Daten besteht, hängt nicht davon ab, wieviel er verdient. Auch sind besondere Kategorien personenbezogener Daten iSd. Art. 9 E. nicht substantiell betroffen. Endlich ist trotz der Bedeutung des Auskunftsrechts des Art. 15 E. nicht zu verkennen, dass mit dem vom Kläger herangezogenen Bußgeldrahmen des § 83 Abs. 5 E. auch noch weit gravierende Persönlichkeitsrechtsverletzungen sanktioniert werden sollen und die Verhältnismäßigkeit zu wahren ist. Der dem Kläger entstandene immaterielle Schaden ist nicht erheblich.

ArbG Düsseldorf, Urteil vom 05.03.2020 – 9 Ca 6557/18

Unter Berücksichtigung all dessen hat die Kammer für die ersten zwei Monate der Verspätung jeweils 500 €, für die weiteren etwa drei Monate jeweils 1.000 € und für die beiden inhaltlichen Mängel der Auskunft jeweils 500 € angesetzt.“

Letztlich hat das Gericht in der Ungewissheit über die Verarbeitung der Daten den immateriellen Schaden gesehen und für die ersten 2 Monate jeweils 500 EUR und für die weiteren 3 Monate jeweils 1000 EUR angesetzt. Der Kläger forderte im Übrigen 140.000 EUR (Jahresgehalt). Aus unserer Sicht sind diese Beträge beliebig austauschbar. Dort könnte auch 750 EUR oder 350 EUR stehen. Das Arbeitsgericht Düsseldorf hätte Bemessungskriterien erarbeiten müssen. Das ist natürlich schwer, da der Schaden in der Ungewissheit über die Daten bestehen soll. Insofern ist die Aufgabe für das Gericht nicht einfach gewesen. Gleichwohl dient es nicht der Transparenz. Ein Kriterium war, dass der Verantwortliche finanzstark gewesen sein soll. Konkrete Angabe dazu fehlen. Der Begriff ist auch unbestimmt.

Darlegungs- und Beweislast

Eine weitere Frage im Hinblick auf Schadensersatz nach DSGVO ist, wer den Schaden darlegen und beweisen muss? Diese Frage ist zugegebenermaßen sehr juristisch, aber auch in praktischer Hinsicht sehr wichtig. Die DSGVO sieht in Art. 5 Abs. 2 DSGVO eine Rechenschaftspflicht vor. Danach muss der Verantwortliche die Einhaltung der DSGVO nachweisen. Daraus wird gefolgert, dass der Verantwortliche sich im Hinblick auf zivile Anspruchsgrundlage ebenfalls in der Rolle des Darlegenden und Beweisenden befindet. Das ist problematisch, da die Rechenschaftspflicht grundsätzlich gegenüber der Behörde gilt. Andererseits ist für Datenverarbeitungsvorgänge der Verantwortliche näher dran. Er muss die Vorgänge in seinem Unternehmen kennen. Das würde für eine Darlegungs- und Beweislast des Verantwortlichen streiten. Dagegen spricht aber, dass zumindest der Vortrag, dass Auskunft begehrt wurde und keine erteilt wurde, immer noch durch den Auskunftssuchenden gebracht werden muss und kann. Im Hinblick auf einen möglichen Schaden kann auch nur er vortragen. Andererseits sieht das Arbeitsgericht Düsseldorf bereits in der Verletzungshandlung „Nichterteilung der Auskunft“ einen immateriellen Schaden. Der Vortrag dürfte also für einen Auskunftssuchenden nicht allzu schwierig sein. Man sieht das hier noch viel Argumentationsspielraum besteht.

Eine weitere Frage dürfte sich stellen, wenn vor einem Schadensersatzanspruch nach DSGVO gegen den Verantwortlichen, ein Bußgeldverfahren durch die Behörde durchgeführt wurde. Darf das Gericht dann diese Akte einsehen? Hat der Anzeigeerstattende und Auskunftssuchende auch ein Akteneinsichtsrecht? Er könnte so seinen Vortrag präzisieren. Muss er gegebenenfalls diesen Weg gehen, bevor eine sekundäre Darlegungs- und Beweislast des Verantwortlichen greift? Das sind spannende Fragen des Datenschutzrechts, da hier Zivilrecht, Ordnungswidrigkeitenrecht und europäisches Recht sich überschneiden.

Das Urteil des Arbeitsgerichts Düsseldorf ist noch nicht rechtskräftig, Insofern bleibt es spannend und wir hoffen, dass ein mögliches Urteil in der zweiten Instanz ebenfalls veröffentlicht wird. Wir bleiben am Ball für Sie und unsere Mandanten.

Anwalt für Datenschutz

Wenn Sie Fragen zum Datenschutz haben, dann können Sie uns telefonisch unter 069 405 64 282 telefonisch erreichen oder per E-Mail an info@rechtsanwalt-dsgvo.de

Ihr Rechtsanwalt für Datenschutz und zertifizierter Datenschutzbeauftragter in Frankfurt am Main und bundesweit.

Rufen Sie uns an!

Beitragsbild: Giulia May