Ein dt. Arbeitsgericht sprach einer betroffenen Person
EUR 5.000,-- an Schadenersatz für eine verspätete und unvollständige Auskunft zu. Die Entscheidung ist nicht rechtskräftig.
Das ArbG Düsseldorf (5.3.2020, 9 Ca 6557/18) hat einer betroffenen Person, die von ihrem Arbeitgeber verspätet und unvollständige Auskunft erhalten hat, EUR 5.000,-- an Schadenersatz zugesprochen.
Die Verletzung des Auskunftsrechts als zentralem Recht und Grundrecht beeinträchtigt die Ausübung von Rechten iSd DSGVO und diese Beeinträchtigung stellt einen immateriellen Schaden dar.
Eine monatelang verspätete Auskunft lässt betroffene Personen im Ungewissen und verwehrt ihnen die Prüfung, ob und wie die Beklagte seine personenbezogenen Daten verarbeitet. Bei einer unvollständigen bzw. unzureichenden Auskunft ist die Prüfung, und damit die Ausübung der eigenen Rechte nur eingeschränkt möglich.
Der Sachverhalt:
Ein Betroffener, ein ehemaliger Mitarbeiter des Verantwortlichen, verlangte von Auskunft am 7.6.2018 iSd Art 15 DSGVO. Die Auskunft wurde nicht erteilt und der Verantwortliche bestritt den Zugang des Auskunftsersuchens, wobei das Gericht jedoch von einem Zugang ausging (Ergebnis des Beweisverfahrens).
Daraufhin hat der Betroffene am 19.11.2018 eine Klage bei Gericht wegen der Nichterteilung der Auskunft überreicht
Am 9.12.2018 wurde die Auskunft unvollständig erteilt, und am 10.12.2018 in einer Verhandlung vor Gericht wurde dem Kläger auch ein Zugang zu seinen Daten über ein Internet-Portal gegeben.
Am 9.10.2019 erweiterte der Betroffene seine Klage um einen Schadenersatzanspruch auf Basis des Art 82 DSGVO in Höhe von EUR 143.482,81, weil der Verantwortliche mehrere Vorgaben der DSGVO verletzt habe, und zB die Auskunft verspätet erteilt hätte und auch lückenhaft sei.
„Durch die Verletzungen der E. [Anm.: DSGVO] sei ein immaterieller Schaden entstanden, eine Mindestschwelle sehe das neue Datenschutzrecht nicht vor. Nach den Vorstellungen des europäischen Verordnungsgebers müsse der resultierende Anspruch einen vollständigen, wirksamen Schadensersatz für den erlittenen Schaden bewirken und abschreckend wirken. Er verlange 12 Bruttomonatsgehälter.“ (Auszug aus der Entscheidung)
Die Entscheidung des ArbG Düsseldorf
„Der Kläger hat gegen die Beklagte Anspruch auf Schadensersatz iHv. 5.000 € aus Art. 82 Abs. 1 E. nebst Zinsen.
aa) Auch Art. 82 Abs. 1 E. findet im nationalen Recht unmittelbar Anwendung (LG Karlsruhe 2. August 2019 - 8 O 26/19 -).
bb) Die Beklagte als für die Verarbeitung der personenbezogenen Daten des Klägers iSd. Art. 4 Ziff. 7 E. Verantwortliche hat gegen die E. verstoßen. Nach Art. 82 Abs. 1 E. kann jeder "Verstoß gegen die Verordnung" eine Schadensersatzpflicht begründen (Wybitul/Haß/Albrecht, NJW 2018, 113).
(1) Die Beklagte hat zum einen gegen die Vorgabe aus Art. 12 Abs. 3 S. 1-3 E. verstoßen, wonach ua. ein Auskunftsantrag nach Art. 15 E. binnen einen Monats nach Eingang, nach einer Unterrichtung über eine Fristverlängerung binnen zwei weiteren Monaten zu beantworten ist. Die Kammer ist davon überzeugt, dass das Auskunftsgesuch des Klägers der Beklagten am 07.06.2018 zugegangen ist (s. oben I. 2. b) aa) (2) (b) der Entscheidungsgründe). Die Auskunft war am 07.07.2018, spätestens am 07.09.2018 zur Erteilung fällig, wurde aber erstmals am 10.12.2018 mit Übergabe des für die Einsicht in die elektronisch hinterlegten Unterlagen notwendigen Passwortes erbracht.
(2) Zum anderen hat die Beklagte gegen Art. 15 Abs. 1 lit. a und lit b iVm. Art. 12 Abs. 1 S. 1 E. verstoßen, indem sie nicht hinreichend über die Verarbeitungszwecke und die Kategorien personenbezogener Daten, die verarbeitet werden, unterrichtet hat (s. oben I. 2. b) aa) (3) und cc) der Entscheidungsgründe). […]
dd) Verursacht durch die genannten Verstöße hat der Kläger, der keinen materiellen Schaden vorgetragen hat, einen immateriellen Schaden iSd. Art. 82 Abs. 1 E. erlitten. Der Begriff des Schadens ist weit auf eine Art und Weise auszulegen, die den Zielen der E. in vollem Umfang entspricht (EG 146; Bergt, in Kühling/Buchner, E./BDSG, 2. Aufl., Art. 82 Rn. 17; Frenzel, in Paal/Pauly, E./BDSG, 2. Aufl., Art. 82 Rn. 10 mwN.). Ein immaterieller Schaden entsteht nicht nur in den "auf der Hand liegenden Fällen", wenn die datenschutzwidrige Verarbeitung zu einer Diskriminierung, einem Verlust der Vertraulichkeit, einer Rufschädigung oder anderen gesellschaftlichen Nachteilen führt, sondern auch, wenn die betroffene Person um ihre Rechte und Freiheiten gebracht oder daran gehindert wird, die sie betreffenden personenbezogenen Daten zu kontrollieren (EG 75). Indem die Beklagte die Vorgaben aus Art. 15 Abs. 1 Hs. 1, Hs. 2 lit. a, b iVm. Art. 12 Abs. 1, 3 E. verletzt hat, hat sie das Auskunftsrecht des Klägers - das zentrale Betroffenenrecht - beeinträchtigt (vgl. Ehmann, in Ehmann/Selmayr, E., 2. Aufl., Art. 15 Rn. 1 mwN.; Bäcker, in Kühling/Buchner, E./BDSG, 2. Aufl., Art. 5 Rn. 1). Verletzt ist zugleich ein europäisches Grundrecht des Klägers; Art. 8 Abs. 2 S. 2 GRCh gewährleistet das Auskunftsrecht ausdrücklich. Durch die monatelang verspätete, dann unzureichende Auskunft war der Kläger im Ungewissen und ihm die Prüfung verwehrt, dann nur eingeschränkt möglich, ob und wie die Beklagte seine personenbezogenen Daten verarbeitet. Die Schwere des immateriellen Schadens ist für die Begründung der Haftung nach Art. 82 Abs. 1 E. irrelevant und wirkt sich nur noch bei der Höhe des Anspruchs aus (LG Karlsruhe 2. August 2019 - 8 O 26/19 -; Gola/Pitz, in Gola, E., 2. Aufl., Art. 82 Rn. 13 mwN. der restriktiveren Rspr. zu § 823 Abs. 1 BGB iVm. Art. 1 Abs. 1, Art. 2 Abs. 1 GG).
ee) Zum Ersatz dieses immateriellen Schadens hält die Kammer einen Betrag iHv. 5.000 € für geboten, aber auch ausreichend.
(1) Die betroffene Person soll einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten (EG 146). Verstöße müssen effektiv sanktioniert werden, damit die E. wirken kann, was vor allem durch Schadensersatz in abschreckender Höhe erreicht wird (Wybitul/Haß/Albrecht, NJW 2018, 113, 115; Bergt, in Kühling/Buchner, E./BDSG, 2. Aufl., Art. 82 Rn. 18; Frenzel, in Paal/Pauly, E./BDSG, 2. Aufl., Art. 82 Rn. 10 mwN.). Gerichte können sich bei der Bemessung des immateriellen Schadensersatzes auch an Art. 83 Abs. 2 E. orientieren, sodass als Zumessungskriterien unter anderem Art, Schwere, Dauer des Verstoßes, Grad des Verschuldens, Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens, frühere einschlägige Verstöße sowie die Kategorien der betroffenen personenbezogenen Daten betrachtet werden können (Quaas, in BeckOK Datenschutzrecht, 31. Edition, Art. 31; Wybitul/Haß/Albrecht, NJW 2018, 113, 115). Die Mitgliedsstaaten - auch die erkennende Kammer - sind nach dem Gedanken des Art. 4 Abs. 3 EUV verpflichtet, der E. zur Wirkung zu verhelfen.
(2) Den Grundsätzen entsprechend muss die Beklagte einen Schadensersatz iHv. insgesamt 5.000 € zahlen. Dabei hat die Kammer berücksichtigt, dass der europäische Verordnungsgeber das verletzte Recht als bedeutsam einordnet, wie sich neben Art. 8 Abs. 2 S. 2 GRCh auch an der Zuordnung der Art. 12 ff. E. zu dem Katalog des § 83 Abs. 5 E. zeigt. Es handelt sich eben nicht nur um ein einfaches Arbeitspapier. Weiter hielt der Verstoß einige Monate an, in denen der Kläger über die Datenverarbeitung durch die Beklagte im Ungewissen war. Der Zeitraum vom 08.07. bis 07.09.2018 fiel dabei weniger stark ins Gewicht als die etwa drei Monate bis zum 10.12.2018, da Art. 12 Abs. 3 S. 2 E. dem Antragssteller - wenn auch nach Unterrichtung über eine Fristverlängerung - zumutet, bis zu drei Monate auf die Auskunft zu warten. Außerdem sind die Anforderungen an die zu erteilende Auskunft nicht nur zeitlich, sondern auch inhaltlich verletzt. Überdies war der nach Vortrag des Klägers beträchtliche Umsatz der Beklagten zu berücksichtigen. (Der Vortrag ist unstreitig, doch ist fraglich, ob es sich um den Umsatz der Beklagten oder der I. insgesamt handelt.) Da der Schadensersatz eine angemessene Wirkung erzielen soll, hängt dessen Höhe nicht nur vom eingetretenen immateriellen Schaden, sondern auch von dem nach Art. 4 Ziff. 7 E. Verantwortlichen und dessen Finanzkraft ab. Mit anderen Worten: Die Verletzung der Auskunftspflicht aus Art. 15 E. durch einen finanzschwächeren Verantwortlichen würde zu geringerem Schadensersatz führen.
Zu Gunsten der Beklagten wird berücksichtigt, dass von fahrlässigen Verstößen auszugehen ist. Anhaltspunkte für Vorsatz, mithin die bewusste und gewollte verspätete, dann intransparente Reaktion auf das Auskunftsgesuch, sind nicht ersichtlich. Auch sind keine anderen Verstöße der Beklagten gegen die E. dargetan. Des Weiteren erschließt sich der Kammer nicht, warum die Höhe der Vergütung des Klägers in die Bemessung des Schadensersatzes einfließen sollte. Die Schwere des entstandenen immateriellen Schadens, der vor allem in der Ungewissheit über die Verarbeitung seiner Daten besteht, hängt nicht davon ab, wieviel er verdient. Auch sind besondere Kategorien personenbezogener Daten iSd. Art. 9 E. nicht substantiell betroffen. Endlich ist trotz der Bedeutung des Auskunftsrechts des Art. 15 E. nicht zu verkennen, dass mit dem vom Kläger herangezogenen Bußgeldrahmen des § 83 Abs. 5 E. auch noch weit gravierende Persönlichkeitsrechtsverletzungen sanktioniert werden sollen und die Verhältnismäßigkeit zu wahren ist. Der dem Kläger entstandene immaterielle Schaden ist nicht erheblich.
Unter Berücksichtigung all dessen hat die Kammer für die ersten zwei Monate der Verspätung jeweils 500 €, für die weiteren etwa drei Monate jeweils 1.000 € und für die beiden inhaltlichen Mängel der Auskunft jeweils 500 € angesetzt.
Kritik an der Entscheidung:
a) Rechtsverletzung per se ist kein Schaden, den eine betroffene Person erleidet
Mit jeder Rechtsverletzung, die eine Person erleidet, ist auch eine gewisse Ungewissheit oder eine Beeinträchtigung verbunden. Dies führt jedoch nicht unweigerlich zu einem Schaden, den die Person erleidet.
Das OLG Innsbruck (bereits im dataprotect-blog eingehend behandelt) hat im Verfahren gegen die Österreichische Post AG dazu festgehalten, dass „für einen Zuspruch von immateriellem Schadenersatz zu fordern [ist], dass eine tatsächliche Beeinträchtigung in der Gefühlswelt des Geschädigten eingetreten ist“, und fordert ein „Mindestmaß an persönlicher Beeinträchtigung“, die sich vom üblichen Ärger, der mit einer Rechtsverletzung verbunden ist, unterscheiden muss.
Wenn in der U-Bahn eine Person eine andere anstupst oder drängelt und diese schubst, aber wird auch in die „Sozialsphäre“ eingegriffen, da es „nicht erlaubt“ ist, andere Personen ohne deren Einwilligung (oder ohne andere Gründe) zu berühren. Die körperliche Integrität der Person ist beeinträchtigt, und es ist wohl davon auszugehen, dass die gestupste oder beim Drängeln angerempelte Person sich beeinträchtigt oder gestört fühlt. Dies stellt aber mE noch keinen (messbaren) immateriellen Schaden dar.
Wenn ein Schuldner seinem Gläubiger den offenen Rechnungsbetrag nicht bezahlt, dann macht sich dieser auch Sorgen, den Betrag gar nicht mehr zu erhalten, weil uU die Insolvenz des Schuldners droht. Der Gläubiger erhält dafür, dass er den Betrag, den er nicht erhält, nicht verwenden kann, Zinsen als Schaden, aber keinen Ersatz im Sinne eines immateriellen Schadens, weil er im Ungewissen ist, ob er sein Geld erhält oder nicht.
b) Die „Finanzkraft“ des Schädiger als Bemessungsgrundlage für die Höhe
Die Finanzkraft des Rechtsverletzers wird für die Bemessung der Geldbuße nach Art 83 DSGVO herangezogen. Diese in eine Bemessung der Höhe eines (immateriellen) Schadens, den eine betroffene Person erleidet, einzubeziehen, bedeutet die Einführung von Elementen eines „Strafschadenersatzes“ („punitive damages“).
Grundlage für die Ausmessung des Schadens ist immer die Sphäre der geschädigten Person. Niemand käme auf die Idee bei einer Körperverletzung dem Verletzen abhängig vom Einkommen des Schädigers unterschiedliche Schadenersatzbeträge zuzusprechen.
c) ErwG 75 bezieht sich nicht auf den „Schadenersatz“
Das Gericht verweist in der Entscheidung auf ErwG 75, der mE um die „Risiken für die betroffenen Personen“ behandelt, die mit der Verarbeitung ihrer Daten verbunden sind, nicht aber um den Schaden, den eine Person erleiden kann. Das Risiko für die Rechte und Freiheiten spielt in der DSGVO eine zentrale Rolle, ist aber nicht per se mit dem Schaden iSd Art 82 DSGVO gleichzusetzen, den eine betroffene Person „erleidet“.
Die Verhinderung der Ausübung oder die Beeinträchtigung der Rechte der betroffenen Person bzw. die damit einhergehende Ungewissheit, ob bzw. in welchem Umfang Daten vom Verantwortlichen verarbeitet werden, werden vom Gericht als „Schaden“ angesehen, da diese möglichen Folgen einer Verarbeitung von personenbezogenen Daten in Erw 75 genannt sind.
Jede Verarbeitung von personenbezogenen Daten durch einen Verantwortlichen ist mit einem (unterschiedlichen) Risiko für die betroffenen Personen verbunden, aber nicht aus jeder Verarbeitung von Daten kann ein (immaterieller) Schaden resultieren, wenn Vorgaben der DSGVO verletzt werden.
Wenn eine Wirtschauskunftei Daten von betroffenen Personen verarbeitet, ist damit ein Risiko für diese verbunden, wenn die Daten an unberechtigte Personen übermittelt werden. Wenn eine betroffene Person jedoch ein AAA+Rating hat, und damit beste Bonität geniest, dann wird dieser kein Schaden dadurch entstehen, wenn eine Übermittlung aus bestimmten Gründen unzulässig ist. Anders kann dies sein, wenn die Bonität als unterdurchschnittlich beurteilt wird. In beiden Fällen liegt eine Rechtsverletzung vor, aber aus schadenersatzrechtlicher Sicht wird eine unterschiedliche Beurteilung vorzunehmen sein.
14.06.2020, Autor:
Michael Schweiger, zert DSBA
Kommentar schreiben