Ein zentrales Element des Datenschutzrechts ist das Auskunftsrecht, das den betroffenen Personen zusteht. Um dieses Recht zu gewährleisten, unterliegen Verantwortliche strengen Anforderungen. Kommen sie einer Auskunftsanfrage nicht nach, kann dies zu einem Datenschutzverstoß führen, der mit erheblichen Bußgeldern geahndet werden kann (vgl. 82 Abs. 5 lit. b DSGVO).
Auch im Arbeitsrecht ist der datenschutzrechtliche Auskunftsanspruch wichtig und wird immer öfter als Druckmittel von Arbeitnehmern genutzt.
Das Arbeitsgericht Oldenburg hatte kürzlich einen Fall von Verletzung des Auskunftsrechts zu entscheiden (Teilurteil vom 09.02.2023, Az. 3 Ca 150/21, siehe Pressemitteilung vom 14.03.2023).
Auskunftsrecht
Nach Art. 15 Abs. 1 DSGVO hat eine betroffene Person das Recht, eine Bestätigung vom Verantwortlichen darüber zu verlangen, ob personenbezogene Daten des oder der Betroffenen verarbeitet werden. Bei positiver Antwort hat die betroffene Person das Recht detaillierte Auskunft über die verarbeiteten Daten zu erhalten. Der Verantwortliche hat unverzüglich, jedoch spätestens innerhalb eines Monats zu antworten. Die Frist kann auf zwei Monate verlängert werden, wenn dies aufgrund der Komplexität und Anzahl von Anträgen erforderlich ist (Art. 12 Abs. 3 DSGVO). Hält der Verantwortliche die Anforderungen für eine berechtigte Auskunft nicht ein, stellt dies einen Datenverstoß dar.
Sachverhalt
Im vorliegenden Fall hat der Kläger, als ehemaliger Geschäftsführer und späterer Vertriebsleiter einer Firma für Feuerwerkskörper, seine ehemalige Arbeitgeberin auf Auskunft nach Art. 15 Abs. 1 DS-GVO über von der Firma verarbeitete, ihn betreffende personenbezogene Daten sowie eine Kopie der Daten gemäß Art. 15 Abs. 3 DS-GVO verklagt. Trotz des Anspruchs auf Auskunftserteilung hat die Arbeitgeberin die Auskunft verweigert und erst nach etwa 20 Monaten im Prozess einzelne Unterlagen vorgelegt. Der Kläger hat daher neben der Auskunft aus Art. 82 Abs. 1 DS-GVO auch einen Anspruch auf immateriellen Schadensersatz in Höhe von monatlich 500 Euro für den Zeitraum der Nichterfüllung der Auskunftspflicht geltend gemacht.
Uneinheitliche Rechtsprechung
In der Vergangenheit hatten Gerichte auch anders entschieden. Die meisten Ablehnungen von Schadenersatz wurden damit begründet, dass den Betroffenen kein “Schaden” entstanden sei, bzw. nicht konkret belegt wurde. Es stellt sich also die Frage: Reicht eine Verletzung der DSGVO aus oder muss der Betroffe einen Schaden darlegen?
Das Bundesarbeitsgericht (BAG) vertritt dazu die Meinung, dass „der Rechtsanspruch auf immateriellen Schadensersatz nach 82 Abs. 1 DSGVO über eine solche Verletzung der DSGVO hinaus nicht zusätzlich erfordert, dass die verletzte Person einen (weiteren) von ihr erlittenen immateriellen Schaden darlegt.“ Außerdem äußerte das BAG, dass zugunsten der betroffenen Personen unterstellt werden könne, dass dem Anspruch nach Art. 82 Abs. 1 DSGVO Präventionscharakter und eine Abschreckungsfunktion zukomme. Auch das Bundesverfassungsgericht hatte festgestellt, dass es keine Anhaltspunkte dafür gebe, Merkmale für eine Erheblichleit zu berücksichtigen (Beschluss vom 14. Januar 2021 – 1 BvR 2853/19).
Praktisch bedeutet dies, dass eine betroffene Person grundsätzlich keine konkreten Auswirkungen durch die Datenschutzverletzung vorbringen muss, um Schadensersatz zugesprochen zu bekommen.
Allerdings sind aktuell zwei Vorlageentscheidungsverfahren zu diesem Sachverhalt vor den EuGH anhängig.
Urteil des Arbeitsgerichts Oldenburg
Das Arbeitsgericht hat entschieden, dass die Beklagte dem Kläger einen immateriellen Schadensersatz in Höhe von 10.000 Euro zahlen muss, da sie ihrer Auskunftspflicht gemäß Art. 12 Abs. 3 der Datenschutz-Grundverordnung (DS-GVO) nicht innerhalb eines Monats nachgekommen ist. Der Kläger musste den Schaden nicht näher darlegen, da die Verletzung der DS-GVO an sich zu einem auszugleichenden immateriellen Schaden führt. Das Arbeitsgericht stützt seine Entscheidung auf Urteile des Bundesarbeitsgerichts (BeckRS 2021, 29622 und BeckRS 2022, 20229) und betont, dass der Schadenersatzanspruch nach Art. 82 Abs. 1 DS-GVO präventiven Charakter hat und der Abschreckung dient.
Erkenntnis aus dem Urteil – Praxistipp
Obwohl die Entscheidung des EuGH noch aussteht, empfiehlt es sich für Unternehmen, sich bereits jetzt auf die zu erwartenden Änderungen einzustellen. Die Ansicht des BAG und die datenschutzfreundliche Rechtsprechung des EuGH sprechen dafür, dass andere Gerichte dem BAG folgen werden und Auskunftsansprüche ernster genommen werden müssen. Das Wegfallen der Darlegungspflicht erleichtert die Geltendmachung des Schadensersatzanspruchs aus Art. 82 Abs. 1 DS-GVO erheblich und erhöht das Risiko für Unternehmen, Schadensersatzforderungen ausgesetzt zu sein. Das bisher stärkste Verteidigungsargument gegen solche Forderungen – nämlich dass kein immaterieller Schaden entstanden ist – entfällt nun mit der neuesten Rechtsprechung. Dabei ist zu beachten, dass die Schadenshöhe in Einzelfällen höher als die bisher angenommenen EUR 5.000 ausfallen kann. So kann das Gericht aufgrund der Umstände des Einzelfalls auch höhere Geldbußen wie im vorliegenden Urteil i.H.v. EUR 10.000 verhängen. Diese Geldbußen sollen abschreckend wirken und dem präventiven Charakter des Schadensersatzanspruchs zugutekommen. Daher sollten Unternehmen bei der Verweigerung von Auskunftsansprüchen darauf achten, dass eine solche mit guten Gründen gerechtfertigt ist, um die Bußgeldhöhe im Rahmen der Verhältnismäßigkeit zu mindern. Dies gilt für Unternehmen jeder Größe und kann zu schmerzhaften Strafen führen.