Eine Arbeitnehmerin hatte ihren Arbeitgeber aufgefordert, ihr Auskunft über die Verarbeitung ihrer personenbezogenen Daten zu erteilen. Dem kam der Arbeitgeber nur zögerlich und zunächst auch nur unvollständig nach. Daraufhin verlange die Arbeitnehmerin eine Entschädigung (übrigens iHv über EUR 143.000,-) verlangt.
Wie hat das Gericht (Arbeitsgericht Düsseldorf, Urteil vom 5. März 2020 – 9 Ca 6557/18) entschieden?
Das Gericht hat der Arbeitnehmerin eine Entschädigung iHv EUR 5.000,00 zugesprochen. Und das waren die Gründe:
Der Arbeitgeber hat als für die Verarbeitung der personenbezogenen Daten der Arbeitnehmerin iSd. Art. 4 Ziff. 7 DS-GVO Verantwortlicher gegen die DS-GVO verstoßen. Nach Art. 82 Abs. 1 DS-GVO kann jeder „Verstoß gegen die Verordnung“ eine Schadensersatzpflicht begründen.
Der Arbeitgeber hat zum einen gegen die Vorgabe aus Art. 12 Abs. 3 S. 1-3 DS-GVO verstoßen, wonach ein Auskunftsantrag nach Art. 15 DS-GVO binnen einen Monats nach Eingang, nach einer Unterrichtung über eine Fristverlängerung binnen zwei weiteren Monaten zu beantworten ist.
Zum anderen hat der Arbeitgeber gegen Art. 15 Abs. 1 lit. a und lit b iVm. Art. 12 Abs. 1 S. 1 DS-GVO verstoßen, indem ernicht hinreichend über die Verarbeitungszwecke und die Kategorien personenbezogener Daten, die verarbeitet werden, unterrichtet hat.
Sodann leitet das Gericht her, dass die Arbeitnehmerin durch diese Verstöße einen immateriellen Schaden iSd. Art. 82 Abs. 1 DS-GVO erlitten hat. Interessant ist, dass es dabei nicht darauf ankommt, ob man womöglich diskriminiert wurde oder eine Rufschädigung, etc. erlitten hat. Es stellt bereits dann einen Schaden dar, wenn die betroffene Person (hier also die Arbeitnehmerin) um ihre Rechte und Freiheiten gebracht oder daran gehindert wird, die sie betreffenden personenbezogenen Daten zu kontrollieren. Verletzt ist dann übrigens zugleich ein europäisches Grundrecht.
Die Schwere des immateriellen Schadens ist für die Begründung der Haftung nach Art. 82 Abs. 1 DS-GVO irrelevant und wirkt sich nur noch bei der Höhe des Anspruchs aus.
Zur Höhe des Schadenersatzes hat das Gericht folgende Erwägungen angestellt:
1.) Die betroffene Person soll einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten (EG 146). Verstöße müssen effektiv sanktioniert werden, damit die DS-GVO wirken kann, was vor allem durch Schadensersatz in abschreckender Höhe erreicht wird.
2.) Gerichte können sich bei der Bemessung des immateriellen Schadensersatzes auch an Art. 83 Abs. 2 DS-GVO orientieren, sodass als Zumessungskriterien unter anderem Art, Schwere, Dauer des Verstoßes, Grad des Verschuldens, Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens, frühere einschlägige Verstöße sowie die Kategorien der betroffenen personenbezogenen Daten betrachtet werden können.
3.) Der “beträchtliche” Umsatz des Arbeitgebers ist zu berücksichtigen. In dem Urteil heißt es wörtlich:
<<< Da der Schadensersatz eine angemessene Wirkung erzielen soll, hängt dessen Höhe nicht nur vom eingetretenen immateriellen Schaden, sondern auch von dem nach Art. 4 Ziff. 7 DSGVO Verantwortlichen und dessen Finanzkraft ab. Mit anderen Worten: Die Verletzung der Auskunftspflicht aus Art. 15 DSGVO durch einen finanzschwächeren Verantwortlichen würde zu geringerem Schadensersatz führen.>>>
4.) Zu Gunsten des Arbeitgebers hat das Gericht gewertet, dass der Verstoß lediglich fahrlässig begangen wurde und besondere Kategorien personenbezogener Daten iSd. Art. 9 DS-GVO nicht substantiell betroffen waren. Außerdem sei – so das Gericht – die Verhältnismäßigkeit zu wahren.
5.) Unter Berücksichtigung all dessen hat das Gericht für die ersten zwei Monate der Verspätung jeweils 500 €, für die weiteren etwa drei Monate jeweils 1.000 € und für die beiden inhaltlichen Mängel der Auskunft jeweils 500 € angesetzt.
Fazit:
Soweit ersichtlich hat das Arbeitsgericht Düsseldorf als erstes deutsches Arbeitsgericht eine relativ hohe Summe als Entschädigung für einen Verstoß gegen Auskunftsplichten ausgeurteilt. Wichtig ist, dass es nicht darauf ankommt, ob “Schindluder” mit den personenbezogenen Daten getrieben wurde. Bereits die Verletzung des Auskunftsrechts eines Menschen führt zu einem Schadenersatzanspruch. Und der soll hoch ausfallen, weil Verstöße effektiv sanktioniert werden müssen, damit die DS-GVO wirken kann, was vor allem durch Schadensersatz in abschreckender Höhe erreicht wird.
Sie haben dazu eine Frage? Gerne: 040-32809780 oder Sie schreiben mir eine Email