Nach dem Arbeitsgericht Oldenburg (Teilurteil vom 9.2.2023 - 3 Ca 150/21) hat nun auch das Arbeitsgericht Duisburg (Urt. v. 23.3.2023 - 3 Ca 44/23) einem ehemaligen Arbeitnehmer einen Anspruch auf Ersatz eines immateriellen Schadens in Höhe von 10.000,00 EUR wegen einer fehlerhaften Auskunft nach Art. 15 DSGVO zugesprochen. Damit setzt sich der Trend vorerst durch, dass Gerichte Fehler bei der Auskunftserteilung hart sanktionieren. Für Unternehmen bedeutet das, dass diese umso mehr auf eine gute Datenschutzorganisation achten sollten, die insbesondere auch die zeitnahe und vor allem korrekte Beantwortung von Auskunftsersuchen nach Art. 15 DSGVO gewährleistet.
Worum ging es vor dem Arbeitsgericht Duisburg?
Der Kläger hatte bei der Beklagten außergerichtlich ein Auskunftsersuchen nach Art. 15 DSGVO gestellt und auch die Übersendung einer Kopie seiner Daten verlangt. Auf dieses Auskunftsersuchen reagierte die Beklagte zunächst nicht, sodass der Kläger diese hieran mit einem weiteren außergerichtlichen Schreiben erinnerte. Nachdem die Beklagte die Auskunft erteilte, wies der Kläger diese darauf hin, dass die Auskunft aus seiner Sicht zum einen verspätet erfolgte und zum anderen inhaltlich mangelhaft war. Es fehle an konkreten Angaben zur Dauer der Speicherung der Daten, die Empfänger der Daten seien nicht namentlich genannt worden und die Datenkopie sei unvollständig.
Die Beklagte reagierte hierauf und konkretisierte ihre Angaben hinsichtlich der Dauer der Speicherung und zur Datenkopie. Bezüglich der Empfänger der Daten teilte sie jedoch mit, dass diese den Kläger nicht zu interessieren brauche. Der Kläger wies in der Folge darauf hin, dass die Auskunft auch weiterhin unvollständig sei. Nachdem die Beklagte ihre Angaben weiter konkretisierte, verlangte der Kläger neben der weiteren Erfüllung des Auskunftsanspruches auch die Zahlung einer Geldentschädigung in Höhe von 2.000,00 EUR. Hierauf reagierte die Beklagte nicht mehr, sodass der Kläger wegen seiner offenen Ansprüche Klage beim Arbeitsgericht Duisburg erhob.
Rechtsberatung vom Anwalt für DatenschutzrechtUnsere Rechtsanwälte für Datenschutzrecht aus Düsseldorf unterstützen Unternehmen jeder Größenordnung in allen rechtlichen Fragen zum Datenschutzrecht. Wir beraten unsere Mandanten unter anderem bei der Durchsetzung von und der Verteidigung gegen datenschutzrechtliche Ansprüche. Wir beraten auch Agenturen bei datenschutzrechtlichen Fragestellungen ihrer Kunden. Unsere Leistungen im Überblick:
Gerne bringe ich Ihnen im Rahmen eines unverbindlichen Erstgesprächs die Rechtslage näher und unterstütze Sie dabei, Rechtsklarheit zu gewinnen. Kontaktieren Sie mich jederzeit für ein Kennenlerngespräch. |
Was hat das Arbeitsgericht Duisburg (3 Ca 44/23) entschieden?
Das Arbeitsgericht Duisburg (3 Ca 44/23) hatte sich zunächst mit der Frage befasst, innerhalb welcher Frist ein Auskunftsbegehren beantwortet werden muss. Dabei hat es zunächst festgestellt, dass eine Auskunft nach Art. 12 Abs. 3 DSGVO stets unverzüglich zu erteilen ist. Die Monatsfrist stellt dabei lediglich eine Höchstfrist dar. Diese dürfe allerdings nicht routinemäßig, sondern nur in schwierigen Fällen ausgeschöpft werden. Anderenfalls hätte das Gebot der "Unverzüglichkeit" keinen eigenen Anwendungsbereich und würde letztlich leer laufen.
Praxishinweis:Diese Feststellung ist für die Praxis besonders wichtig, denn regelmäßig werden für die Beantwortung von Auskunftsbegehren intern routinemäßig Monatsfristen notiert. Setzt sich diese Rechtsprechung durch, muss die interne Datenschutzorganisation bei vielen Unternehmen angepasst werden. Dies gilt insbesondere dann, wenn die Auskunftsbegehren gerade keinen schwierigen Sachverhalt betreffen. |
Unverzüglich bedeutet nach dem Arbeitsgericht Duisburg "ohne schuldhaftes Zögern. Gleichwohl bedeutet unverzüglich aber nicht "sofort". Auch wird hiermit nicht eine starre Zeitvorgabe definiert. Vor diesem Hintergrund kommt es stets auf eine Abwägung der beiderseitigen Interessen des jeweiligen Einzelfalles an. Liegen keine besonderen Umstände vor, ist allerdings ein Zeitraum von mehr als einer Woche nicht mehr "unverzüglich".
Sind Datenempfänger konkret zu benennen?
Das Arbeitsgericht Duisburg stellte nicht nur eine verspätete Auskunft fest, sondern auch inhaltliche Mängel bei der Auskunftserteilung. So genügt eine Auskunft nicht den Anforderungen aus Art. 15 Abs. 1 c) DSGVO, wenn nicht die konkreten Empfänger der Daten genannt werden. Die bezeichnung von Empfängerkategorien reicht insoweit nicht aus. Wörtlich heißt es hierzu in der Entscheidung:
Der Verantwortliche hat über die konkreten Empfänger der Daten Auskunft zu erteilen, sofern dem Verantwortlichen diese bereits bekannt sind und nur dann, wenn der Verantwortliche die konkreten Empfänger noch nicht kennt, darf er sich auf die Angabe der Kategorien von Empfängern beschränken (BeckOK zum IT-Recht, 8. Edition, Stand: 01.10.2021, DSGVO, Art. 15 Rn. 23; Simitis/Hornung/Spiecker, Datenschutzrecht, 1. Auflage 2019, DSGVO, Art. 15 Rn. 20; Ehmann/Selmayr, DSGVO, 2. Auflage 2018, Art. 15 Rn. 20).
Praxishinweis:Auch bei dieser Feststellung sollten Unternehmen hellhörig werden, denn es ist noch stark verbreitet, nur Empfängerkategorien in der Auskunft zu benennen. Das entspricht auch der Rechtsprechung des EuGH (Urteil vom 12.01.2023 - C‑154/21). Danach ist der Verantwortliche verpflichtet, die Identität der Empfänger mitzuteilen, es sei denn, dass es nicht möglich ist, die Empfänger zu identifizieren, oder dass der Verantwortliche nachweist, dass die Anträge auf Auskunft der betroffenen Person offenkundig unbegründet oder exzessiv im Sinne von Art. Abs. 5 DSGVI sind. In diesem Fall kan der Verantwortliche der betroffenen Person lediglich die Kategorien der betreffenden Empfänger mitteilen. |
Fehler bei der Auskunft rechtfertigen einen Schadenersatz in Höhe von 10.000,00 EUR
Die beschriebenen Verstöße rechtfertigen nach dem Arbeitsgericht Duisburg auch einen Anspruch auf Ersatz des erlittenen immateriellen Schadens. Hierzu führt das Gericht zunächst wörtlich aus:
Ein immaterieller Schaden entsteht nicht nur in den "auf der Hand liegenden Fällen", wenn die datenschutzwidrige Verarbeitung zu einer Diskriminierung, einem Verlust der Vertraulichkeit, einer Rufschädigung oder anderen gesellschaftlichen Nachteilen führt, sondern auch, wenn die betroffene Person um ihre Rechte und Freiheiten gebracht oder daran gehindert wird, die sie betreffenden personenbezogenen Daten zu kontrollieren (EG 75) (so auch ArbG Düsseldorf, 9 Ca 9557/19). Das erkennende Gericht teilt insofern nicht die Auffassung der Beklagten und des OLG Koblenz (Urteil vom 13.2.2023 - 12 U 2194/21), die auf die Schlussanträge des Generalanwalts beim EuGH in Sachen C-300/21 verweisen und den Nachweis eines konkreten Schadens verlangen. Vielmehr schließt sich die erkennende Kammer insoweit der überzeugenden Auffassung des BAG (Urteil v. 26.8.2021 - 8 AZR 253/20) an:
Ferner geht der Senat davon aus, dass der Rechtsanspruch auf immateriellen Schadenersatz nach Art. 82 Abs. 1 DSGVO über eine solche Verletzung der DSG VO hinaus nicht zusätzlich erfordert, dass die verletzte Person einen (weiteren) von ihr erlittenen immateriellen Schaden darlegt. Sie muss also aus Sicht des Senats keine "Konsequenz oder Folge der Rechtsverletzung von zumindest einigem Gewicht" (vgl. dazu jedoch die dritte Vorlagefrage des Vorabentscheidungsersuchens des Obersten Gerichtshofs (Österreich) - C- 300/21 -) darlegen. Nach Auffassung des Senats führt demnach bereits die Verletzung der DSGVO selbst zu einem auszugleichenden immateriellen Schaden.
Praxishinweis:Der EuGH hat in seiner Entscheidung vom 4.5.2023 (C-300/21) klargestellt, dass der bloße Verstoß gegen eine Vorschrift der DSGVO noch nicht ausreicht, um einen Anspruch auf Schadenersatz nach Art. 82 DSGVO zu begründen. Der Kläger muss vielmehr noch einen konkret erlittenen Schaden darlegen und nachweisen. |
Hierauf kam es allerdings vorliegend nicht an, da der Kläger auch einen konkreten Schaden in der Form eines Kontrollverlustes dargelegt hatte:
Unabhängig von der Frage, ob über die bloße Rechtsverletzung hinaus ein weiterer immaterieller Schaden dargelegt werden muss oder nicht, hat der Kläger jedenfalls vorliegend durch die unzureichende und deutlich verspätete Auskunft der Beklagten einen Kontrollverlust erlitten, der als weiterer immaterieller Schaden zu qualifizieren ist und insofern einen Schaden im Sinne von Art. 82 Abs. 1 DSGVO darstellt. Indem die Beklagte die Vorgaben aus Art. 15 iVm Art. 12 DSGVO (s. oben unter Il. 1) verletzt hat, hat sie das Auskunftsrecht des Klägers — das zentrale Betroffenenrecht — beeinträchtigt (vgl. Ehmann in Ehmann/Selmayr, DS-GVO Art. 15 Rn. 1 mwN; Bäcker in Kühling/Buchner, DS-GVO Art. 5 Rn. 1). Verletzt ist zugleich ein europäisches Grundrecht des Klägers; Art. 8 Abs. 2 S. 2 GRCh gewährleistet das Auskunftsrecht ausdrücklich. Durch die monatelang verspätete, dann unzureichende Auskunft war der Kläger im Ungewissen und ihm die Prüfung verwehrt, dann nur eingeschränkt möglich, ob und wie die Beklagte seine personenbezogenen Daten verarbeitet.
Das Gericht hielt dann zum Ersatz des erlittenen immateriellen Schadens einen Betrag in Höhe von 10.000,00 EUR für geboten:
Die betroffene Person soll einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten. Verstöße müssen effektiv sanktioniert werden, damit die DSGVO wirken Kann, was vor allem durch Schadensersatz in abschreckender Höhe erreicht wird (Wybitul/Haß/Albrecht, NJW 2018, 113 [115]; Bergt in Kühling/Buchner, DS-GVO Art. 82 Rn. 18; Frenzel in Paal/Pauly, DS-GVO Art. 82 Rn. 10 mwN). Gerichte können sich bei der Bemessung des immateriellen Schadensersatzes auch an Art. 83 II DS-GVO orientieren, so dass als Zumessungskriterien ua Art, Schwere, Dauer des Verstoßes, Grad des Verschuldens, Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens, frühere einschlägige Verstöße sowie die Kategorien der betroffenen personenbezogenen Daten betrachtet werden können (BeckOK Datenschutzrecht/Quaas, 31. Ed., Art. 31; Wybitul/Haß/Albrecht, NJW 2018, 113 [115]). Die Mitgliedstaaten — auch die erkennende Kammer - sind nach dem Gedanken des Art. 4 III EUV verpflichtet, der DS-GVO zur Wirkung zu verhelfen.
Diesen Grundsätzen entsprechend muss die Beklagte einen Schadensersatz in Höhe von insgesamt 10.000,- Euro zahlen. Dabei hat die Kammer berücksichtigt, dass der europäische Verordnungsgeber das verletzte Recht als bedeutsam einordnet, wie sich neben Art. 8 Abs. 2 S. 2 GRCh auch an der Zuordnung der Art. 12 ff. DSGVO zu dem Katalog des § 83 Abs. 5 DSGVO zeigt. Es handelt sich eben nicht nur um ein einfaches Arbeitspapier. Weiter hielt der Verstoß einige Monate an, in denen der Kläger über die Datenverarbeitung durch die Beklagten im Ungewissen war. Außerdem sind die Anforderungen an die zu erteilende Auskunft nicht nur zeitlich, sondern auch inhaltlich verletzt. Überdies war der nach Vortrag des Klägers beträchtliche Umsatz der Beklagten zu berücksichtigen. Da der Schadensersatz eine angemessene Wirkung erzielen soll, hängt dessen Höhe nicht nur vom eingetretenen immateriellen Schaden, sondern auch von dem nach Art. 4 Nr. 7 DSGVO Verantwortlichen und dessen Finanzkraft ab. Mit anderen Worten: Die Verletzung der Auskunftspflicht aus Art. 15 DSGVO durch einen finanzschwächeren Verantwortlichen würde zu geringerem Schadensersatz führen (so auch ArbG Düsseldorf, 9 Ca 9557/19).
Das Arbeitsgericht Duisburg hatte bei der Bemessung zulasten der Beklagten besonders berücksichtigt, dass diese den Verstoß gegen die DSGVO nach der Überzeugung des Gerichts vorsätzlich begangen hat. Dies führte letztlich zu folgender Staffelung:
- je 2.500,00 EUR für die beiden inhaltlichen Verstöße;
- 5.000,00 EUR für die verspätete Auskunft (ohne, dass dies noch einmal nach Monaten aufgeschlüsselt wurde).
Ausblick für die Praxis
Auch diese Entscheidung zeigt noch einmal, dass der richtige Umgang mit Auskunftsersuchen nicht auf die leichte Schulter genommen werden sollte. Wer zu spät und/oder nur scheibchenweise Auskunft erteilt, weil man glaubt, der Auskunftsersuchende sei hierzu nicht berechtigt, läuft Gefahr in eine hohe Schadenersatzpflicht zu rennen. Dies gilt insbesondere, aber nicht nur im Beschäftigtenkontext. Innerhalb kürzester Zeit haben zwei Gerichte die Schallmauer von 10.000,00 EUR als Schadenersatz nach Art. 82 DSGVO durchbrochen. In beiden Fällen wurde das Auskunftsersuchen nicht in der gebotenen Zeit und/oder mit dem erforderlichen Inhalt beantwortet.
Der richtige Umgang mit einem Auskunftsersuchen ist und bleibt für Unternehmen daher eines der wichtigsten Themen der eigenen Datenschutzorganisation. Fehler bei der Auskunftserteilung, sei es inhaltlich oder in zeitlicher Hinsicht, führen nach der hier vertretenen Ansicht unweigerlich zu Folgeansprüchen auf Schadenersatz nach Art. 82 DSGVO. Die Entscheidung des Arbeitsgerichts Oldenburg zeigt dabei noch einmal deutlich auf, welches wirtschaftliches Risiko auf Unternehmen zukommt, wenn sie mit Auskunftsersuchen nachlässig umgehen.
Mehr zum Auskunftsrecht im eigenen Blogbeitrag Das datenschutzrechtliche Recht auf Auskunft - Art. 15 DSGVO |
Weitere Beiträge zum Social-Media-Recht
- Twitter muss unwahre und ehrverletzende Äußerungen löschen!
- Wenn falsche Zitate den Meinungsbildungsprozess negativ beeinflussen
- TikTok und das Urheberrecht – worauf muss man bei der Nutzung von Musik achten?
- Worauf Corporate Influencer und Unternehmen achten müssen
- Influencer Marketing und die Pflicht zur Werbekennzeichnung
- Influencer-Vertrag: Tipps zur Vertragsgestaltung
- Die Impressumspflicht auf Social Media gilt auch für Influencer
- Phänomen Finfluencer: Kennzeichnungspflichten bei Anlageempfehlungen auf Social Media
- Veranstaltung von Gewinnspielen auf Social Media Plattformen
- Was tun, wenn der Social Media Account gesperrt wurde?