Urteil Arbeitsgericht Düsseldorf.

Kann Schadensersatz nach der Datenschutzgrundverordnung (DSGVO) wegen verletzter Auskunftspflicht verlangt werden? Diese Frage beantwortet, dass ArbG Düsseldorf v. 5.3.2020 – 9 Ca 6557/18 in seinem Urteil mit: „Ja und zwar 5.000 EUR“. Auf den ersten Blick ist das ein „Paukenschlag“. Auf den zweiten Blick relativiert sich diese Aussage. Worum geht es?

Schadensersatz DSGVO wegen unterbliebener Auskunft

Ein Arbeitnehmer forderte von seinem Arbeitgeber Auskunft über seine personenbezogenen Daten. Der Arbeitgeber reagierte angeblich verzögert und unzureichend. Der Sachverhalt ist in unserem Beitrag sehr verkürzt dargestellt. Oben wurde das Urteil verlinkt. So gab es schon Probleme hinsichtlich der Frage, ob das Auskunftsersuchen wirksam zugegangen ist. Wir wollen uns aber auf die datenschutzrechtlichen Themen fokussieren und haben daher die weiteren Einzelprobleme nicht dargestellt. Es geht um die Frage, ob Schadensersatz nach DSGVO verlangt werden kann.

In Art. 82 DSGVO heißt es:

„Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.“

In Art. 12 und 15 DSGVO wird im weitesten Sinne das Auskunftsrecht geregelt. Verletzt jemand also diese Pflichten, dann verstößt er gegen die Verordnung. Nach dem Wortlaut von Art. 82 DSGVO müsste dann ein materieller oder immateriellerSchaden entstanden sein.

Schadensbegriff der DSGVO

Was ist materieller und immaterieller Schaden? Materielle Beeinträchtigung können Vermögensschäden sein, wenn z.B. aufgrund einer Datenschutzverletzung ein Kredit nicht gewährt wird. Im obigen Fall wurde hingegen ein immaterieller Schaden festgestellt. Das sind Beeinträchtigungen des Persönlichkeitsrechts, etwa in Form von psychischen Auswirkungen, der betroffenen Person durch den Datenschutzverstoß. Nach der Rechtsprechung in Deutschland zu Persönlichkeitsverletzungen ist aber in solchen Fällen ein Geldersatzanspruch nur bei schwerwiegenden Eingriffen möglich und wenn die Beeinträchtigung nicht anderweitig ausgeglichen werden kann. Es gibt also nur Geld, wenn der Eingriff schwer wiegt. Ob dies auch für einen Schadensersatz nach DSGVO gilt, ist zumindest umstritten. Der Erwägungsgrund 146 Abs. 6 DSGVO sieht vor, dass die betroffenen Personen einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten. Das spricht gegen ein Kriterium des schwerwiegenden Eingriffs. Es bleibt also spannend, da im Rahmen von Datenschutzverletzungen bei jedem Eingriff in das allgemeine Persönlichkeitsrecht Geldersatz verlangt werden könnte.

Schadenshöhe

Im Hinblick auf die Schadenshöhe ist die Entscheidung des Arbeitsgerichts Düsseldorf bemerkenswert. Es will einen abschreckenden Schadensersatz verhängen. Juristen kennen das eigentlich aus dem anglo-amerikanischen recht. In Deutschland ist ein solches System nicht möglich. Aber es ist auch eine europäische Verordnung, an der zumindest Großbritannien mitgewirkt hat. Es stell sich also die Frage, ob ein deutsches Arbeitsgericht einen Strafschadensersatz im Zivilrecht verhängen darf.

Das Arbeitsgericht Düsseldorf begründet seine Entscheidung damit, dass in Art. 83 Abs .1 DSGVO die Geldbußen abschreckend wirken müssen. Aus unserer Sicht ist diese Auffassung zumindest diskutabel. Zum einen sollen die Geldbußen der Behörden abschreckend sein und nicht der Schadensersatz gegen Verantwortliche. Eine entsprechende Regelung zum Schadensersatz fehlt gerade. Zum anderen sollen diese Geldbußen auch verhältnismäßig sein. Das bedeutet, dass eine Prüfung der Verhältnismäßigkeit erfolgen muss. Das hat das Arbeitsgericht nicht gemacht. Auch stellt sich die Frage, was passiert, wenn nun die Behörde eine Geldbuße gegen den Arbeitgeber verhängt. Muss sie die gerichtliche Entscheidung des Arbeitsgerichts Düsseldorf in diesem konkreten Fall berücksichtigen? Was ist, wenn divergierende Beurteilungen herauskommen? In dem Fall war schon streitig, ob ausreichend Auskunft erteilt wurde. Die Behörde könnte das anders beurteilen.

Wie hat aber das Arbeitsgericht Düsseldorf den Schaden in Höhe von 5.000 EUR konkret berechnet? Wir haben dafür die Originalpassage zitiert.

„Den Grundsätzen entsprechend muss die Beklagte einen Schadensersatz iHv. insgesamt 5.000 € zahlen. Dabei hat die Kammer berücksichtigt, dass der europäische Verordnungsgeber das verletzte Recht als bedeutsam einordnet, wie sich neben Art. 8 Abs. 2 S. 2 GRCh auch an der Zuordnung der Art. 12 ff. E. zu dem Katalog des § 83 Abs. 5 E. zeigt. Es handelt sich eben nicht nur um ein einfaches Arbeitspapier. Weiter hielt der Verstoß einige Monate an, in denen der Kläger über die Datenverarbeitung durch die Beklagte im Ungewissen war. Der Zeitraum vom 08.07. bis 07.09.2018 fiel dabei weniger stark ins Gewicht als die etwa drei Monate bis zum 10.12.2018, da Art. 12 Abs. 3 S. 2 E. dem Antragssteller – wenn auch nach Unterrichtung über eine Fristverlängerung – zumutet, bis zu drei Monate auf die Auskunft zu warten. Außerdem sind die Anforderungen an die zu erteilende Auskunft nicht nur zeitlich, sondern auch inhaltlich verletzt. Überdies war der nach Vortrag des Klägers beträchtliche Umsatz der Beklagten zu berücksichtigen. (Der Vortrag ist unstreitig, doch ist fraglich, ob es sich um den Umsatz der Beklagten oder der I. insgesamt handelt.) Da der Schadensersatz eine angemessene Wirkung erzielen soll, hängt dessen Höhe nicht nur vom eingetretenen immateriellen Schaden, sondern auch von dem nach Art. 4 Ziff. 7 E. Verantwortlichen und dessen Finanzkraft ab. Mit anderen Worten: Die Verletzung der Auskunftspflicht aus Art. 15 E. durch einen finanzschwächeren Verantwortlichen würde zu geringerem Schadensersatz führen.

Zu Gunsten der Beklagten wird berücksichtigt, dass von fahrlässigen Verstößen auszugehen ist. Anhaltspunkte für Vorsatz, mithin die bewusste und gewollte verspätete, dann intransparente Reaktion auf das Auskunftsgesuch, sind nicht ersichtlich. Auch sind keine anderen Verstöße der Beklagten gegen die E. dargetan. Des Weiteren erschließt sich der Kammer nicht, warum die Höhe der Vergütung des Klägers in die Bemessung des Schadensersatzes einfließen sollte. Die Schwere des entstandenen immateriellen Schadens, der vor allem in der Ungewissheit über die Verarbeitung seiner Daten besteht, hängt nicht davon ab, wieviel er verdient. Auch sind besondere Kategorien personenbezogener Daten iSd. Art. 9 E. nicht substantiell betroffen. Endlich ist trotz der Bedeutung des Auskunftsrechts des Art. 15 E. nicht zu verkennen, dass mit dem vom Kläger herangezogenen Bußgeldrahmen des § 83 Abs. 5 E. auch noch weit gravierende Persönlichkeitsrechtsverletzungen sanktioniert werden sollen und die Verhältnismäßigkeit zu wahren ist. Der dem Kläger entstandene immaterielle Schaden ist nicht erheblich.

ArbG Düsseldorf, Urteil vom 05.03.2020 – 9 Ca 6557/18

Unter Berücksichtigung all dessen hat die Kammer für die ersten zwei Monate der Verspätung jeweils 500 €, für die weiteren etwa drei Monate jeweils 1.000 € und für die beiden inhaltlichen Mängel der Auskunft jeweils 500 € angesetzt.“

Letztlich hat das Gericht in der Ungewissheit über die Verarbeitung der Daten den immateriellen Schaden gesehen und für die ersten 2 Monate jeweils 500 EUR und für die weiteren 3 Monate jeweils 1000 EUR angesetzt. Der Kläger forderte im Übrigen 140.000 EUR (Jahresgehalt). Aus unserer Sicht sind diese Beträge beliebig austauschbar. Dort könnte auch 750 EUR oder 350 EUR stehen. Das Arbeitsgericht Düsseldorf hätte Bemessungskriterien erarbeiten müssen. Das ist natürlich schwer, da der Schaden in der Ungewissheit über die Daten bestehen soll. Insofern ist die Aufgabe für das Gericht nicht einfach gewesen. Gleichwohl dient es nicht der Transparenz. Ein Kriterium war, dass der Verantwortliche finanzstark gewesen sein soll. Konkrete Angabe dazu fehlen. Der Begriff ist auch unbestimmt.

Darlegungs- und Beweislast

Eine weitere Frage im Hinblick auf Schadensersatz nach DSGVO ist, wer den Schaden darlegen und beweisen muss? Diese Frage ist zugegebenermaßen sehr juristisch, aber auch in praktischer Hinsicht sehr wichtig. Die DSGVO sieht in Art. 5 Abs. 2 DSGVO eine Rechenschaftspflicht vor. Danach muss der Verantwortliche die Einhaltung der DSGVO nachweisen. Daraus wird gefolgert, dass der Verantwortliche sich im Hinblick auf zivile Anspruchsgrundlage ebenfalls in der Rolle des Darlegenden und Beweisenden befindet. Das ist problematisch, da die Rechenschaftspflicht grundsätzlich gegenüber der Behörde gilt. Andererseits ist für Datenverarbeitungsvorgänge der Verantwortliche näher dran. Er muss die Vorgänge in seinem Unternehmen kennen. Das würde für eine Darlegungs- und Beweislast des Verantwortlichen streiten. Dagegen spricht aber, dass zumindest der Vortrag, dass Auskunft begehrt wurde und keine erteilt wurde, immer noch durch den Auskunftssuchenden gebracht werden muss und kann. Im Hinblick auf einen möglichen Schaden kann auch nur er vortragen. Andererseits sieht das Arbeitsgericht Düsseldorf bereits in der Verletzungshandlung „Nichterteilung der Auskunft“ einen immateriellen Schaden. Der Vortrag dürfte also für einen Auskunftssuchenden nicht allzu schwierig sein. Man sieht das hier noch viel Argumentationsspielraum besteht.

Eine weitere Frage dürfte sich stellen, wenn vor einem Schadensersatzanspruch nach DSGVO gegen den Verantwortlichen, ein Bußgeldverfahren durch die Behörde durchgeführt wurde. Darf das Gericht dann diese Akte einsehen? Hat der Anzeigeerstattende und Auskunftssuchende auch ein Akteneinsichtsrecht? Er könnte so seinen Vortrag präzisieren. Muss er gegebenenfalls diesen Weg gehen, bevor eine sekundäre Darlegungs- und Beweislast des Verantwortlichen greift? Das sind spannende Fragen des Datenschutzrechts, da hier Zivilrecht, Ordnungswidrigkeitenrecht und europäisches Recht sich überschneiden.

Das Urteil des Arbeitsgerichts Düsseldorf ist noch nicht rechtskräftig, Insofern bleibt es spannend und wir hoffen, dass ein mögliches Urteil in der zweiten Instanz ebenfalls veröffentlicht wird. Wir bleiben am Ball für Sie und unsere Mandanten.

Anwalt für Datenschutz

Wenn Sie Fragen zum Datenschutz haben, dann können Sie uns telefonisch unter 069 405 64 282 telefonisch erreichen oder per E-Mail an info@rechtsanwalt-dsgvo.de

Ihr Rechtsanwalt für Datenschutz und zertifizierter Datenschutzbeauftragter in Frankfurt am Main und bundesweit.

Rufen Sie uns an!

Beitragsbild: Giulia May