Liebe Nutzer,
für ein optimales und schnelleres Benutzererlebnis wird als Alternative zum von Ihnen verwendeten Internet Explorer der Browser Microsoft Edge empfohlen. Microsoft stellt den Support für den Internet Explorer aus Sicherheitsgründen zum 15. Juni 2022 ein. Für weitere Informationen können Sie sich auf der Seite von -> Microsoft informieren.
Liebe Grüße,
Ihr ifb-Team
10.000 Euro Schadensersatz – diesen Betrag hat das Arbeitsgericht Oldenburg einem ehemaligen Beschäftigten einer Feuerwerkskörperfabrik zugesprochen. Was war passiert? Statt innerhalb eines Monats erhielt der Arbeitnehmer die verlangte Auskunft zur Datenverarbeitung nach Art. 15 DSGVO erst knapp zwei Jahre später.
Arbeitsgericht Oldenburg, Urteil vom 09.02.2023, 3 Ca 150/21
Geklagt hatte ein ehemaliger Vertriebsleiter einer Firma für Feuerwerkskörper. Er hatte von seinem (ehemaligen) Arbeitgeber Auskunft nach Art. 15 Abs. 1 DSGVO über seine personenbezogenen Daten verlangt, die von der Firma verarbeitet wurden, sowie eine Kopie dieser Daten. Die Arbeitgeberin verweigerte die Auskunftserteilung und legte erst etwa 20 Monate später im Prozess einzelne Unterlagen vor.
Der Kläger verlangt Schadensersatz in Höhe von monatlich 500 Euro für den Zeitraum der Nichterfüllung der Auskunftspflicht.
Gemäß Art. 15 DSGVO kann jede betroffene Person vom Verantwortlichen darüber Auskunft verlangen, welche personenbezogenen Daten dieser über die betroffene Person gespeichert bzw. generell verarbeitet hat. Diese Auskunftspflicht habe der beklagte Arbeitgeber im vorliegenden Fall verletzt, er hätte sie gemäß Art. 12 Abs. 3 DSGVO innerhalb eines Monats erfüllen müssen. Das Arbeitsgericht sprach dem Kläger einen immateriellen Schadensersatz in Höhe von 10.000 Euro zu.
Hierzu hatte er den Schaden nicht näher darlegen müssen: Bereits die Verletzung der DSGVO selbst führe zu einem auszugleichenden immateriellen Schaden. Zudem habe der Schadenersatzanspruch nach Art. 82 Abs. 1 DSGVO präventiven Charakter und diene der Abschreckung.
Der Auskunftsanspruch in der DSGVO ist sehr wichtig und richtig. Nur mit einer umfassenden Auskunft können Betroffene feststellen, ob ihre Daten rechtmäßig verarbeitet werden und ggfs. eine Löschung verlangen.
Das Besondere in diesem Fall: Der Arbeitgeber trug vor, dass sich der Kläger in seiner Funktion in der Firma die Daten selbst verschafft habe und er zudem Umfang und Zeitraum der Datenverarbeitung selbst bestimmt und verantwortet hatte. Kann man die Heraushabe von Daten anmahnen, die man schon hat? Auf dieses Argument geht das Gericht nicht ein.
Bemerkenswert ist auch die Höhe des Schadensersatzes: 500 Euro pro verspätetem Monat, insgesamt 10.000 Euro. Deutlich weniger sprach z.B. das Bundesarbeitsgericht im Jahr 2022 dem dortigen Kläger zu: „Erteilt ein Arbeitgeber keine oder nur eine unvollständige DSGVO-Auskunft, hat der Arbeitnehmer lediglich einen DSGVO-Schadensersatzanspruch in Höhe von 1.000 EUR“ (BAG vom 05.05.2022, 2 AZR 363/21). Allerdings sprachen die Richter auch in dieser Entscheidung von einer „Abschreckungsfunktion“. Der Betrag müsse „fühlbar“ sein und dürfe nicht nur „symbolischen Charakter“ haben.
Zum Thema könnte sich noch einiges tun, denn an der Frage des Schadensersatzes ist gerade auch der EuGH dran (EuGH C-300/21). Es geht um einen Fall aus Österreich, und zwar konkret um die Frage, ob bereits die Verletzung von Bestimmungen der DSGVO als solche für den Anspruch auf Schadensersatz reicht; und ob es für die Bemessung des Schadenersatzes neben den Grundsätzen der Effektivität und Äquivalenz weitere Vorgaben des Unionsrechts gibt. Ein wichtiges Thema, denn: Einerseits leidet die Abschreckungsfunktion, sollte man die Hürden für den Anspruch auf Schadenersatz anheben. Allerdings ist nicht zu vergessen, dass ein Bußgeld von der Aufsichtsbehörde natürlich weiterhin möglich und losgelöst von einem Schadenersatz ist. Andererseits eröffnet ein Anspruch auf Schadenersatz bei der bloßen Verletzung von Bestimmungen der DSGVO Tür und Tor für Abmahnanwälte, ähnlich wie es z.B. bei AGG-Hoppern zu Beginn der Fall war. (cbo)