Auch wenn in dieser Hinsicht noch einige Fragen offen sind, nehmen die Verfahren zu Schadensersatzansprüchen nach der Datenschutzgrundverordnung (DSGVO) zu. Wir hatten hierzu auch bereits berichtet (siehe Blog "Datenschutz Bußgelder Anfang 2021"). Hier soll ein kurzer Überblick über die rechtliche Grundlage in § 82 DSGVO gegeben und diese anhand von Beispielen veranschaulicht werden.
Rechtliche Grundlage
Nach § 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, einen Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.
Zu einem solchen Schaden können beispielsweise führen: Diskriminierung, Identitätsdiebstahl oder -betrug, Rufschädigung, Verlust der Kontrolle über die personenbezogenen Daten oder Einschränkung der Rechte der betroffenen Personen, Verlust der Vertraulichkeit vom Berufsgeheimnis unterliegenden Daten oder finanzieller Verlust.
Unrechtmäßige Datenübermittlung an die Schufa
Das Landgericht Lüneburg hat einem Kläger wegen einer unrechtmäßigen Datenübermittlung an die Schufa Schmerzensgeld in Höhe von 1.000€ zugesprochen. Der Kläger hatte ein Bankkonto mit einem Dispokredit von 1.000€, den er um 20€ überschritt. Nachdem er von der Bank hierüber informiert wurde, glich er die überzogenen 20€ aus. Die Bank meldete der Schufa danach trotzdem die Überziehung des Kontos.
Damit verstieß die Bank gegen die DSGVO, da sie kein berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) an der Datenübermittlung hatte. Für den Schaden ließ es das LG Lüneburg – im Gegensatz zu anderen Gerichten, die eine schwerwiegende Persönlichkeitsverletzung fordern – schon ausreichen, dass die unrichtige Meldung an die Schufa negativen Einfluss auf die wirtschaftliche Handlungsfreiheit des Kunden haben könnte, auch wenn die Falschmeldung bis zur Berichtigung nur 2 Wochen bestanden habe.
Falscher E-Mail-Empfänger
Das Landgericht Darmstadt hat einem Kläger 1.000€ Schmerzensgeld wegen einer falsch versandten Nachricht zugesprochen. Die Beklagte wollte dem Kläger, der sich bei ihr beworben hatte, eine Nachricht über Xing schicken, in der es um die Gehaltsvorstellungen des Klägers ging, versandte sie aber an eine dritte Person. Für diese Datenverarbeitung (= Versand der Nachricht) bestand jedoch keine Rechtsgrundlage, sodass ein Datenschutzverstoß vorlag. Zusätzlich lag ein Verstoß gegen Art. 34 DSGVO vor, da ein hohes Risiko für die persönlichen Rechte und Freiheiten des Klägers bestand und die Beklagte den Kläger nicht unverzüglich benachrichtigte.
Unberechtigter Versand von Gesundheitsdaten
Das Arbeitsgericht Dresden hat einem Kläger 1.500€ Schmerzensgeld zugesprochen, weil die Prokuristin des Unternehmens der Ausländerbehörde und der Arbeitsagentur in einer E-Mail mitteilte, dass ein ausländischer Beschäftigter des Unternehmens arbeitsunfähig erkrankt sei und listete die Krankheitszeiten auf. Dabei handelt es sich um Gesundheitsdaten, sodass ein Verstoß gegen Art. 9 Abs. 1 DSGVO vorlag. Der immaterielle Schaden lag in der Rufschädigung des Beschäftigten und im Kontrollverlust über seine personenbezogenen Daten.
Fazit
Anhand dieser Fälle lässt sich gut erkennen, dass alltägliche Vorkommnisse, die von einigen bestimmt als „nicht so schlimm“ bewertet werden würden, durchaus (erhebliche) Auswirkungen auf die betroffenen Personen haben und somit auch einen Schadensersatzanspruch nach der DSGVO begründen können.
Seien Sie deshalb vorsichtig bei Datenverarbeitungen und prüfen Sie vor einer Datenübermittlung gewissenhaft, ob sie hierzu berechtigt sind und es sich auch um den richtigen Empfänger handelt.
Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz
Das Landesgericht Köln hat mit seinem Urteil vom 14.09.2020 (2 Sa 358/20) entschieden, dass die Kostenregelung aus § 12a ArbGG auch für Schadensersatzansprüche sowie Beseitigungsansprüche aus der DSGVO gilt.
§12a ArbGG regelt die Kostentragungspflicht im ersten Rechtszug vor dem Arbeitsgericht und sieht vor, dass kein Anspruch der obsiegenden Partei auf Entschädigung wegen Zeitversäumnis und auf Erstattung der Kosten für die Zuziehung eines Prozessbevollmächtigten oder Beistandes besteht.
Mit der Geltendmachung eines Beseitigungsanspruchs nach Art. 17 DSGVO und Geltendmachung von Schadensersatz nach Art. 82 DSGVO im Rahmen einer arbeitsrechtlichen Auseinandersetzung vor dem Arbeitsgericht Köln wurde der Klägerin Schadensersatz i.H.v. 300,00 € zugesprochen. Sie ging damit gegen ihre vorherige Arbeitgeberin vor, welche unbeabsichtigt, aber auch unbefugt, eine PDF mit personenbezogenen Daten der Klägerin auf ihrer Webseite auch nach Beendigung des Arbeitsverhältnisses veröffentlicht hielt. Hinsichtlich des geltend gemachten Kostenerstattungs- und Freistellungsanspruchs verlor sie und legte Berufung ein.
Neben der Feststellung, dass die Intensität der Rechtsverletzung marginal war, bestätigte das Landgericht im Berufungsverfahren die Entscheidung des Arbeitsgerichts und lehnte ebenfalls die volle Höhe des verlangten Schadensersatzes ab.
Aus Sicht der Klägerin müsse § 12a ArbGG im Zusammenhang mit Schadensersatzansprüchen aus Art. 82 DSGVO wegen der Unabdingbarkeit der DSGVO als europäische Verordnung unangewendet bleiben. Diese verlangte neben dem primären Schadensersatz aufgrund der Rechtsverletzung der Beklagten, auch die Kosten für die Zuziehung ihrer Prozessbevollmächtigten erstattet.
Dieser Ansicht ist das Landgericht nicht gefolgt und wies die Berufung mit folgender Begründung ab.
Das Gericht legt dar, dass die Schadensersatzansprüche der DSGVO ausschließlich den primären Schadensersatz begründen. Also Ersatz des Schadens, welcher durch den Verstoß gegen die DSGVO entstanden ist. Weitere Kosten die entstehen, wie Anwalts- und Prozesskosten, werden durch Art. 82 DSGVO nicht erfasst, sondern werden durch nationales Recht geregelt (Vgl. Kommentierung von Däubler 2. Aufl. EU DSGVO, Art. 82 Rn. 14 sowie Plath Becker, 2. Aufl., BDSG/DSGVO Art. 82 Nr. 8).
Hinzu kommt, nach Auffassung des Gerichts, dass der Schadensersatzanspruch dadurch nicht eingeschränkt wird oder es zu einer Benachteiligung der Arbeitsnehmer kommt. § 12a ArbGG schützt ja gerade den Arbeitnehmer. Verlangt der Arbeitnehmer nämlich zu viel Schadensersatz im ersten Rechtszug und verliert zumindest teilweise, kommt ihm die Norm aus dem ArbGG hinsichtlich der zu erstatteten den Kosten zu Gute.
Bezüglich der Anwendbarkeit von § 12a ArbGG im Zusammenhang mit dem Beseitigungsanspruch aus Art. 17 DSGVO führt das Landgericht aus, dass die Prozessnorm den Beseitigungsanspruch nicht ausgestaltet. Er regelt lediglich die Kosten des Beseitigungsanspruch, wozu es in der DSGVO keine Regelungen gibt, sodass es bei den allgemeinen deutschen Regeln zur Kostenverteilung verbleibt.
Fazit:
Mithin stellt das Landgericht fest, dass nationale prozessrechtliche Regelungen sehr wohl bei Geltendmachung von Ansprüchen auf Grundlage der DSGVO anwendbar sind. „Das materielle deutsche Prozessrecht behalte seine Geltung“. Dieses Urteil und weitere Urteile (siehe auch Landgericht Köln, 28 O 71/20) zeigen, dass eine uferlose Haftung auf Grundlage der DSGVO vermieden werden soll.
Handlungsbedarf für das Datenschutzmanagement löst das Urteil nicht aus. Im konkreten Fall sollte es aber in die Abwägung mit einfließen, da es Folgen für die Beurteilung der Risiken im Zusammenhang mit Datenschutz und gerichtlichen Prozessen zwischen Arbeitgeber und Arbeitnehmer haben kann.
Jan Brinkmann
Consultant für Datenschutz
Volljurist
H&M wurde durch den Hamburgischen Datenschutzbeauftragten wegen der Überwachung von Mitarbeitern in einem Servicecenter in Nürnberg ein Rekordbußgeld von 35,3 Millionen Euro auferlegt.
Seit mindestens sechs Jahren wurden von einem Teil der Beschäftigten des Servicecenters umfangreich deren private Lebensumstände erfasst und auf einem Netzlaufwerk dauerhaft gespeichert. Bekannt wurde dies im Oktober 2019, weil die Notizen durch einen Konfigurationsfehler für einige Stunden unternehmensweit einsehbar waren.
Nach Angaben des hamburgischen Datenschutzbeauftragten führten die Vorgesetzten nach Urlaubs- und Krankheitsabwesenheiten der Mitarbeiter sog. Welcome Back Talks durch. Dadurch erlangtes Wissen wurde in etlichen Fällen festgehalten, z.B. konkrete Urlaubserlebnisse der Mitarbeiter oder Krankheitssymptome und Diagnosen. Die Vorgesetzten eigneten sich zusätzlich durch Einzel- oder Flurgespräche ein umfangreiches Wissen über das Privatleben der Mitarbeiter an, das von harmlosen Details bis zu familiären Problemen oder religiösen Bekenntnissen reichte. Diese Informationen wurden teilweise aufgezeichnet, digital gespeichert und konnten von bis zu 50 Führungskräften am Standort eingesehen werden. Die Aufzeichnungen waren zum Teil sehr detailliert und wurden laufend fortgeschrieben. Die so erhobenen Daten wurden neben einer akribischen Auswertung der individuellen Arbeitsleistung u.a. genutzt, um ein Profil der Mitarbeiter für Maßnahmen und Entscheidungen im Arbeitsverhältnis zu erhalten.
Die Kombination aus der Ausforschung des Privatlebens und der laufenden Erfassung, welcher Tätigkeit sie jeweils nachgingen, führte nach Angaben des Hamburgischen Datenschutzbeauftragten zu einem besonders intensiven Eingriff in die Rechte der betroffenen Personen und stellt eine schwere Missachtung des Beschäftigtendatenschutzes dar. Vor diesem Hintergrund sei das Bußgeld in seiner Höhe angemessen und geeignet, Unternehmen von Verletzungen der Privatsphäre ihrer Beschäftigten abzuschrecken.
Positiv bewertet wurde das Bekenntnis der Unternehmensleitung zur Unternehmensverantwortung nach einem Datenschutzverstoß. Es wurde ein umfassendes Datenschutzkonzept vorgelegt, die Unternehmensleitung hat sich ausdrücklich bei den Betroffenen entschuldigt und bemüht sich um Wiedergutmachung. In diesem Zuge soll den Betroffenen ein unbürokratischer Schadensersatz in beachtlicher Höhe ausgezahlt werden.
Dieses Bußgeld von 35,3 Millionen Euro übersteigt alle seit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) in Deutschland verhängten Bußgelder deutlich und ist trotz der transparenten Aufklärung und Kooperation des Unternehmens hoch ausgefallen. Die Aufsichtsbehörden verschärfen also scheinbar ihr Vorgehen bei Datenschutzverstößen. Die Einhaltung der Vorschriften der DSGVO ist daher zur Vermeidung von (hohen) Bußgeldern unerlässlich.
Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz
Arbeitnehmer haben nach Art. 15 Datenschutzgrundverordnung (DSGVO) ein Auskunftsrecht gegenüber ihrem Arbeitgeber. Dieser ist verpflichtet, die Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache spätestens innerhalb eines Monats nach Eingang des Antrags zur Verfügung zu stellen. Art. 82 DSGVO regelt bei Verstößen einen entsprechenden Schadensersatzanspruch.
Ein ehemaliger Arbeitnehmer hat gegenüber seinem Arbeitgeber diesen Auskunftsanspruch nach Art. 15 DSGVO geltend gemacht. Der Arbeitgeber ist diesem Auskunftsverlangen jedoch erst nach Monaten und auch nur unvollständig nachgekommen.
Das Arbeitsgericht Düsseldorf (Az.: 9 Ca 6557/18) hat das beklagte Unternehmen aus diesem Grund nun zu Schadensersatz in Höhe von 5.000 Euro verurteilt.
Die 5.000 Euro Schadensersatz setzen sich wie folgt zusammen: je 500 Euro für die ersten zwei Monate der Verspätung, je 1.000 Euro für die weiteren drei Monate und für die beiden inhaltlichen Mängel der Auskunft je 500 Euro. In die Abwägung des Gerichts floss dabei ein, dass es nur von einem fahrlässigen Verstoß des Unternehmens ausging, der entstandene immaterielle Schaden beim Kläger nur gering war, keine anderen Verstöße bekannt waren und das Unternehmen eine hohe Finanzkraft hatte.
Die Entscheidung ist noch nicht rechtskräftig, da das Gericht wegen der grundsätzlichen Bedeutung der Sache, insbesondere der fehlenden höchst- und obergerichtlichen Rechtsprechung, die Berufung zugelassen hat.
Nehmen Sie daher Auskunftsansprüche ernst und beginnen Sie unverzüglich mit deren Bearbeitung.
Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz