Seit Geltung der DSGVO können Fehler im Rahmen eines datenschutzrechtlichen Auskunftsverlangens auch immaterielle Schadensersatzansprüche des Betroffenen nach sich ziehen. Nach einer neuen Entscheidung des Arbeitsgerichts Düsseldorf (ArbG Düsseldorf, Urt. v. 05.03.2020 – 9 Ca 6557/18) kann dem Betroffenen schon bei kleinsten Auskunftsfehlern ein immaterieller Schadenersatzanspruch aus Art. 82 Abs. 1 DSGVO zustehen. Sollte die noch nicht rechtskräftige Entscheidung des Arbeitsgerichts Düsseldorf bestand haben, könnte dies für datenverarbeitende Unternehmen und auch für Unternehmen mit vielen (häufig wechselnden) Mitarbeitern schwerwiegendere Folgen nach sich ziehen, als es die zugesprochene Schadensersatzsumme von „nur“ 5.000,- € auf den ersten Blick vermuten lässt. Da sich die Betroffenenansprüche nach DSGVO mit vergleichsweise wenig Aufwand geltend machen und durchsetzen lassen, müssen Unternehmen künftig damit rechnen, vermehrt mit immateriellen Schadenersatzforderungen wegen (angeblicher) Auskunftsverstöße konfrontiert zu werden.
Rechtslage seit Geltung der DSGVO
Art. 15 DSGVO regelt den datenschutzrechtlichen Auskunftsanspruch. Danach hat jede betroffene Person zum einen den Anspruch, eine Bestätigung darüber zu erlangen, ob personenbezogene Daten über sie verarbeitet werden. Zum anderen hat die betroffene
Person den Anspruch – sofern eine Verarbeitung bestätigt wird – auf Auskunft über die verarbeiteten Daten sowie über weitere damit im Zusammenhang stehender Informationen. Unter anderem müssen folgende Informationen erteilt werden:
- Verarbeitungszwecke
- Kategorien personenbezogener Daten, die verarbeitet wurden
- Empfänger und Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt wurden oder noch offengelegt werden
- Dauer der Datenspeicherung oder – falls dies nicht möglich – die Kriterien für die Festlegung dieser Dauer
- Beschwerderecht bei einer Aufsichtsbehörde
- Recht auf Berichtigung, Löschung oder Einschränkung der Verarbeitung sowie auf Widerspruch gegen die Verarbeitung
Über den Anspruch auf Auskunft hinaus besteht nach Art. 15 Abs. 3 DSGVO auch ein Anspruch auf Zurverfügungstellung einer Kopie der personenbezogenen Daten, die Gegenstand einer Verarbeitung waren.
Des Weiteren regelt die DSGVO auch Form und Frist der Auskunftserteilung. Gemäß Art. 12 Abs. 1 DSGVO kann die Information schriftlich, elektronisch und auch mündlich erteilt werden. Jedoch muss die Auskunft in präziser, transparenter, verständlicher und leicht zugänglicher Form sowie in einer klaren und einfachen Sprache erfolgen (Transparenzgebot). Gemäß Art. 12 Abs. 3 DSGVO muss die Auskunft unverzüglich, in jedem Fall innerhalb eines Monats nach Eingang des Antrags erteilt werden. Die Frist kann um maximal zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist. Die betroffene Person ist über die Fristverlängerung und die Gründe hierfür aber binnen eines Monats ab Eingang zu unterrichten.
Nach Art. 82 Abs. 1 DSGVO hat jede Person einen Anspruch auf Schadenersatz, wenn ihr wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist. Eine Verletzungshandlung im Sinne dieser Vorschrift liegt daher bereits vor, wenn die Rechte der betroffenen Person nicht ausreichend beachtet wurden. Eine mögliche Pflichtverletzung des Verantwortlichen kann daher nicht nur in einer rechtswidrigen Verarbeitung, sondern bereits in zu späten, falschen oder sonst unzureichenden Datenauskünften zu sehen sein. Die Haftung zum Schadenersatz ist nur ausgeschlossen, wenn sich der Verantwortliche bzw. der Auftragsverarbeiter entsprechend Art. 82 Abs. 3 DSGVO exkulpieren kann.
Immaterieller Schadenersatz im deutschen Schadensrecht
Eine Besonderheit gegenüber der alten Rechtslage nach BDSG-alt besteht insbesondere darin, dass bei jeder Rechtsverletzung nicht nur materiellere, sondern auch immaterielle Schäden ersatzfähig sind. Früher waren sogenannte Nichtvermögensschäden infolge von Datenschutzverstößen nur im dann ersatzfähig, wenn das Persönlichkeitsrecht des Betroffenen schwer verletzt wurde (vgl. § 8 Abs. 2 BDSG-alt).
Grundsätzlich ist der immaterielle Schadensersatz im nationalen deutschen Schadensrecht ein Fremdkörper. Im Gegensatz zu Vermögensschäden kann eine Entschädigung für immaterielle Schäden grundsätzlich nur verlangt werden, wenn dies gesetzlich ausdrücklich angeordnet ist (vgl. § 253 Abs. 1 BGB). Bei Verletzungen des allgemeinen Persönlichkeitsrechts kommt ein Anspruch auf Entschädigung nach der Rechtsprechung des BGH nur in Betracht, wenn es sich um einen schwerwiegenden Eingriff handelt und die Beeinträchtigung nicht in anderer Weise befriedigend ausgeglichen werden kann (BGH, Urt. v. 05.10.2004 – VI ZR 255/03).
Zudem kennt das deutsche Schadensrecht – anders als das US-amerikanische Rechtssystem – grundsätzlich keine pönalen Zumessungskriterien. Nach den Grundsätzen der Naturalrestitution und des Verbots der Überkompensation soll der Schaden nur ausgeglichen werden; es soll also nur der Normalzustand vor der Rechtsverletzung hergestellt werden. Der Geschädigte soll nicht schlechter, aber auch nicht besser stehen, als er ohne die Verletzung stünde.
Von diesen Rechtsgrundsätzen weicht der immaterielle Schadensbegriff des europäischen Gesetzgebers nicht unerheblich ab. Da der immaterielle Schadenersatzanspruch nicht nur als Ausnahme, sondern viel mehr als Regelfall in der Verordnung gesetzlich verankert ist, stellt sich im Einzelnen die Frage, welche datenschutzrechtlichen Verletzungen einen immateriellen Schadenersatzanspruch begründen können. Die DSGVO selbst gibt keine Kriterien hierfür vor und eine höchstrichterliche Festlegung des EuGH existiert noch nicht. Jedenfalls spricht vieles dafür, den europarechtlichen Schadensbegriff nicht im Lichte der strengen Grundsätze der Naturalrestitution auszulegen. Viel mehr ist der europarechtliche Schadensbegriff weit und im Sinne einer effektiven Durchsetzung der mit der DSGVO verfolgten Ziele zu verstehen (vgl. Erwägungsgrund 146). Dies kann auch die Verfolgung abschreckender Sanktionen mit pönalem Charakter zur Folge haben.
Was sagt das Arbeitsgericht Düsseldorf?
Auch das Arbeitsgericht Düsseldorf hat sich einer weiten Auslegung des Schadensbegriffs angeschlossen. Ein Anspruch auf Kompensation immaterieller Schäden bestehe daher nicht nur bei Vorliegen schwerer und „auf der Hand liegender Fälle“, sondern bereits dann, wenn die betroffene Person um ihre Rechte und Freiheiten sowie die Ausübung ihrer datenschutzrechtlichen Kontrollrechte gebracht werde. Dies soll jedenfalls dann anzunehmen sein, wenn der betroffenen Person zu spät und unzureichend Auskunft über
die Verarbeitung ihrer personenbezogenen Daten erteilt wird. Eine Bagatellschwelle verneinten die Düsseldorfer Richter hingegen ausdrücklich, da Art. 82 DSGVO auch das Ziel verfolge, einer effektiven Durchsetzung der Verordnung zu verhelfen.
Für die Bemessung der Schadenshöhe orientierte sich das Gericht an den Kriterien des Art. 83 Abs. 2 DSGVO (unter anderem Art, Schwere, Dauer des Verstoßes, Grad des Verschuldens, Maßnahmen zur Minderung des entstandenen Schadens, frühere einschlägige Verstöße und die Kategorien der betroffenen personenbezogenen Daten). Die Richter waren der Auffassung, dass der Anspruch eine abschreckende Höhe haben müsse. Unter der Annahme eines fahrlässigen Verstoßes sprach das Gericht für die ersten zwei Monate der Verspätung jeweils 500,- € und für die weiteren drei Monate jeweils 1.000,- € zu. Für die zwei festgestellten inhaltlichen Auskunftsmängel wurden je 500,- € zugesprochen.
Worum ging es noch?
Das Arbeitsgericht ging unter anderem auch der Frage nach der gebotenen Transparenz der Auskunft nach. Diesbezüglich entschieden sie, dass die Angaben zum Verarbeitungszweck vollständig und so konkret und detailliert sein müssen, dass sich der Betroffene tatsächlich selbst ein Bild über die verfolgten Zwecke machen kann. Die Angabe, dass die Verarbeitung „zum Zwecke des Beschäftigungsverhältnisses, namentlich dessen Abwicklung und Beendigung, zur Erfüllung bestehender rechtlicher Verpflichtungen und zur Wahrnehmung berechtigter Interessen nach § 26 BDSG bzw. Art. 6 Abs. 1 lit. (b), c und f DSGVO“ erfolge, genügt nach Auffassung des Gerichts nicht. Diese Angabe sei zu pauschal und teile keine konkreten sowie detaillierten Zwecksetzungen mit.
Kein Auskunftsanspruch soll hingegen darüber bestehen, ob andere Personen oder Unternehmen personenbezogene Daten des Betroffenen verarbeiten. Aus Art. 15 Abs. 1 DSGVO folge nur ein Anspruch auf Auskunft über Dritte, denen Daten offengelegt wurden. Weitergehende Auskunftsansprüche müssten aber gegenüber den Empfängern selbst geltend gemacht werden.
Auch entschied das Gericht, dass gegen den Anspruch auf Erteilung einer Datenkopie gemäß Art. 15 Abs. 3 DSGVO der Grundsatz von Treu und Glauben entgegengehalten werden kann, wenn Aufwand des Verantwortlichen und Auskunftsinteresse des Betroffenen in einem groben Missverhältnis zueinanderstehen.
Hinweise für die Praxis
Die Düsseldorfer Entscheidung ist noch nicht rechtskräftig. Sollten sich deren Entscheidungsgründe in der Rechtspraxis jedoch durchsetzen, hätte dies durchaus eine Sprengkraft für den Umgang von Unternehmen mit Betroffenenrechten. Die immateriellen Schäden wären deutlich leichter durchzusetzen, da bereits die fahrlässige Falschauskunft oder der Verzug mit der Auskunft Schadensersatzansprüche auslösen kann. Das Absehen von einer Bagatelleschwelle wird die Anforderungen an eine schlüssige Darlegung eines Anspruchs auf immateriellen Schadenersatz erheblich erleichtern. Auch eine mögliche Beweislastumkehr zu Lasten der verarbeitenden Unternehmen könnte neue Klagewellen nach sich ziehen.
Betroffen sind nicht nur Unternehmen, deren wesentliche Tätigkeit in der Verarbeitung personenbezogener Daten liegt, sondern vor allem auch Unternehmen mit einer größeren Zahl an Mitarbeitern. Unternehmen müssen künftig damit rechnen, nach der Beendigung von Arbeitsverhältnissen vermehrt mit Auskunftsverlangen ausgeschiedener Mitarbeiter konfrontiert zu werden. Vor allem Unternehmen mit einer hohen Fluktuation von Mitarbeitern sollten vorsichtig sein und Auskünfte rechtzeitig innerhalb der gesetzlichen Fristen erteilen. Auch sollten die Auskünfte keinesfalls zu pauschal sein. Abstrakte, floskelhafte Formulierungen oder bloße Verweise auf die einschlägigen datenschutzrechtlichen Rechtsgrundlagen können einen Verstoß gegen das Transparenzgebot zur Folge haben.