Schadensersatz wegen verspäteter Auskunft nach der DSGVO

Die Datenschutzgrundverordnung (DSGVO) gewährt jedem Betroffenen einen Anspruch auf Auskunft, ob seine Daten verarbeitet werden. Dass Unternehmen derartige Anfragen ernst nehmen sollten und ihre Prozesse auf eine zügige, vollständige und detaillierte Beantwortung einrichten sollten, zeigt ein aktuelles Urteil des Arbeitsgerichts Düsseldorf.

Was war geschehen? Ein ehemaliger Arbeitnehmer verlangte von seinem früheren Arbeitgeber wegen einer verspäteten und inhaltlich mangelhaften Auskunft die Zahlung von Schadensersatz. Die Düsseldorfer Richter sprachen ihm 5.000,00 € zu (ArbG Düsseldorf, Urteil vom 05.03.2020 – 9 Ca 6557/18).

Auskünfte sind zügig zu erteilen

Das Auskunftsrecht des Betroffenen ist das zentrale Betroffenenrecht. Denn nur wer weiß, ob Daten über ihn verarbeitet werden, kann sich gegen Datenschutzverletzungen wehren. Nach Art. 15 DSGVO muss der Verantwortliche unter anderem über die Verarbeitungszwecke, die Kategorien personenbezogener Daten, die verarbeitet werden und die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind, in transparenter Art und Weise informieren.

Die Frist für die Beantwortung einer Anfrage sind nach Art. 12 DSGVO eher kurz bemessen: In der Regel hat der Verantwortliche nur einen Monat, um die Auskunft zu erteilen. Nur ausnahmsweise kann diese Frist um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist.

Im Falle des klagenden Arbeitnehmers hatte das beklagte Unternehmen mehr als drei Monate verstreichen lassen. Damit hatte es das Auskunftsrecht des Klägers verletzt.

Schadensersatz bei Verstößen gegen die DSGVO

Diese Verletzung der DSGVO zog einen Schadensersatzanspruch des Betroffenen nach sich. Nach Art. 82 Abs. 1 DSGVO ist ein Verantwortlicher, der gegen die Vorgaben der DSGVO verstößt, zum Schadensersatz verpflichtet. Dabei kann der Betroffene nicht nur Schäden ersetzt verlangen, die ihm real entstanden sind, sondern auch einen immateriellen Schaden.

Dabei braucht es keine schwerwiegende Verletzung der Rechte des Betroffenen. Auch kleinere Verstöße können einen Anspruch auf Schadensersatz begründen, so das Arbeitsgericht Düsseldorf:

„Ein immaterieller Schaden entsteht nicht nur in den „auf der Hand liegenden Fällen“, wenn die datenschutzwidrige Verarbeitung zu einer Diskriminierung, einem Verlust der Vertraulichkeit, einer Rufschädigung oder anderen gesellschaftlichen Nachteilen führt, sondern auch, wenn die betroffene Person um ihre Rechte und Freiheiten gebracht oder daran gehindert wird, die sie betreffenden personenbezogenen Daten zu kontrollieren. […] Durch die monatelang verspätete, dann unzureichende Auskunft war der Kläger im Ungewissen und ihm die Prüfung verwehrt, dann nur eingeschränkt möglich, ob und wie die Beklagte seine personenbezogenen Daten verarbeitet. Die Schwere des immateriellen Schadens ist für die Begründung der Haftung nach Art. 82 Abs. 1 DSGVO irrelevant und wirkt sich nur noch bei der Höhe des Anspruchs aus“.

Hohe Finanzkraft, hoher Schadensersatz

Die Höhe des Schadensersatzes hat das Arbeitsgericht mit 5.000,00 € beziffert. Eine durchaus stattliche Summe, die nach Auffassung des Gerichts auch gerechtfertigt ist, um die DSGVO effektiv durchzusetzen. Zudem berücksichtigte das Gericht, dass das Unternehmen einen großen Umsatz erzielte.

„Da der Schadensersatz eine angemessene Wirkung erzielen soll, hängt dessen Höhe nicht nur vom eingetretenen immateriellen Schaden, sondern auch von dem nach Art. 4 Ziff. 7 DSGVO Verantwortlichen und dessen Finanzkraft ab. Mit anderen Worten: Die Verletzung der Auskunftspflicht aus Art. 15 DSGVO durch einen finanzschwächeren Verantwortlichen würde zu geringerem Schadensersatz führen.“

Aus diesem Grunde ist davor zu warnen, die Entscheidung auf die Formel „die Verletzung von Auskunftsrechten kosten 5.000,00 €“ zu reduzieren. Sie zeichnet sich vielmehr durch eine umfassende Abwägung aller für und gegen das Unternehmen sprechenden Tatsachen aus.

Dennoch ist nicht zu verkennen, dass Unternehmen hohe Risiken eingehen, wenn sie den Datenschutz auf die leichte Schulter nehmen. Jedes Unternehmen sollte spätestens jetzt damit beginnen, einen Prozess für die Beantwortung von Auskünften aufzusetzen. Das vermeidet Stress und auch Kosten, wenn die ersten Anfragen eintrudeln und die Uhr tickt.


Über den Autor

Dr. Jasper Prigge ist Rechtsanwalt in Düsseldorf. Er berät kleine und mittelständische Unternehmen im Medienrecht, IT-Recht und Wettbewerbsrecht. Mehr zu den Tätigkeitsbereichen erfahren Sie hier.

Hinterlassen Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht.