Verspätete Auskunft: 10.000 Euro Schadensersatz

Gemäß Art. 15 DSGVO kann jede betroffene Person vom Verantwortlichen darüber Auskunft verlangen, welche personenbezogenen Daten dort über die betroffene Person gespeichert bzw. generell verarbeitet werden. Das können im Einzelfall sehr viele Daten sein, zum Beispiel bei einem langjährigen Arbeitsverhältnis. Die Begeisterung hält sich daher bei Unternehmen normalerweise in Grenzen, wenn sie mit einem Auskunftsbegehren konfrontiert werden. Aber warum ist das eigentlich so schwierig?

Reichweite des Auskunftsanspruchs

Bis heute ist vor allem die Reichweite des Auskunftsanspruchs umstritten. Wie präzise muss die Auskunft erteilt werden? Muss ich als Verantwortlicher Kopien herausgeben? Und sind damit Fotokopien im klassischen Sinne gemeint oder einfach nur Kopien der Daten? Fragen über Fragen, die immer wieder die Gerichte beschäftigten.

In der Praxis ist die richtige Auskunftserteilung deutlicher komplizierter, als es auf den ersten Blick in Art. 15 DSGVO aussieht. Denn der Wortlaut ist nicht ganz eindeutig, so dass viele Unklarheiten bestehen. Eine weitere spannende Frage ist zudem, ob auch Datensätze herausgegeben werden müssen, über welche die betroffene Person bereits verfügt, z. B. E-Mail-Verläufe.

Hinzu kommt, dass der Auskunftsanspruch sehr praxisrelevant ist. Nur mit einer umfassenden Auskunft kann die betroffene Person feststellen, ob ihre Daten rechtmäßig verarbeitet werden. Gegebenenfalls kann die Person dann noch weitergehende Ansprüche wie beispielsweise das Recht auf Berichtigung geltend machen oder Löschung der Daten verlangen. Auch im Arbeitsrecht spielt die datenschutzrechtliche Auskunft eine große Rolle. Nicht selten wird der Auskunftsanspruch durch den Arbeitnehmer als Druckmittel eingesetzt. Mit einem solchen Fall hatte sich kürzlich das Arbeitsgericht Oldenburg zu beschäftigen (Teilurteil vom 09.02.2023, Az. 3 Ca 150/21, siehe Pressemitteilung vom 14.03.2023).

Arbeitnehmer verlangt umfassende Auskunft

Was war passiert? Der Kläger war bei seiner ehemaligen Arbeitgeberin zunächst als Geschäftsführer und später als Vertriebsleiter angestellt. Rein arbeitsrechtlich stritten die Parteien u. a. um Karenzentschädigungsansprüche aufgrund eines nachvertraglichen Wettbewerbsverbots sowie um Auskunftsansprüche zur Berechnung von noch zu beziffernden Tantiemen. Daneben verlangte der Kläger Auskunft nach Art. 15 DSGVO einschließlich der Herausgabe einer Kopie seiner bei der Beklagten gespeicherten personenbezogenen Daten. Im Rahmen der gerichtlichen Auseinandersetzung hat der Kläger zudem Schadensersatz nach Art. 82 DSGVO wegen der nicht erteilten Auskunft verlangt.

Die Beklagte hat das Auskunftsersuchen des Klägers bereits außergerichtlich zurückgewiesen. Sie war der Auffassung, dass der Anspruch nicht bestehe, weil der Kläger kein Recht auf Kopien sämtlicher Arbeits-E-Mails habe. Die Beklagte berief sich hier auf das Urteil des Bundesarbeitsgerichts vom 27.04.2021 (Az. 2 AZR 342/20). Zudem habe der Kläger der Speicherung und Verarbeitung seiner Daten zugestimmt und kenne die mit der Beklagten und Dritten geführte Korrespondenz. Ein Rechtsschutzbedürfnis des Klägers sei nicht ersichtlich, da er sich in seiner Funktion als Geschäftsführer der Beklagten die Daten selbst verschafft habe und der Kläger Umfang und Zeitraum der Datenverarbeitung selbst bestimmt und verantwortet habe. Daher könne der Kläger auch keinen Schadensersatz verlangen.

Auskunftsanspruch nicht erfüllt

Das Arbeitsgericht Oldenburg kam hingegen zu der Einschätzung, dass die Beklagte verpflichtet gewesen ist, das Auskunftsbegehren zu erfüllen. Der Kläger habe völlig zu Recht Auskunft über sämtliche seiner bei der Beklagten verarbeiteten personenbezogenen Daten sowie zu den sich aus Artikel 15 Abs. 1 Hs. 2, Abs. 2 DSGVO ergebenden Informationen verlangt. Das Begehren sei auch nicht zu unbestimmt gewesen. Auf die Frage, inwiefern der Verantwortliche auch Auskunft über Informationen erteilen müsse, die dem Betroffenen bereits bekannt sind, geht das Gericht allerdings nicht ein.

Im Rahmen des Gerichtsverfahrens hatte die Beklagte zumindest Auskunft über die bei ihr gespeicherten Daten des Klägers erteilt. Dies geschah allerdings erst 20 Monate nach dem erstmaligen Auskunftsverlangens des Klägers. Das Gericht hat ausdrücklich darauf hingewiesen, dass sich das Auskunftsersuchen generell auf die verarbeiteten Daten erstreckt. Der Anspruch sei daher nicht vollständig erfüllt worden. Das Gericht kam insgesamt zum Ergebnis, dass auch ein Anspruch auf Schadensersatz dem Grunde nach besteht.

Reicht die bloße Verletzung der DSGVO aus?

Aber woraus besteht der Schaden und wie muss der Schaden konkret dargelegt werden? Das Bundesarbeitsgericht vertritt dazu die Meinung, dass

„der Rechtsanspruch auf immateriellen Schadensersatz nach 82 Abs. 1 DSGVO über eine solche Verletzung der DSGVO hinaus nicht zusätzlich erfordert, dass die verletzte Person einen (weiteren) von ihr erlittenen immateriellen Schaden darlegt.“

Dies würde bedeuten, dass die betroffene Person grundsätzlich keine konkreten Auswirkungen durch die Datenschutzverletzung vorbringen muss. Diese Ansicht ist allerdings stark umstritten und aktuell Gegenstand von zwei Vorabentscheidungsverfahren, welche beim EuGH anhängig sind. Das BAG scheint aber an seiner Auffassung festzuhalten.

Erst im Mai 2022 hat das BAG geäußert, dass zugunsten der betroffenen Person unterstellt werden könne, dass dem Anspruch nach Art. 82 Abs. 1 DSGVO Präventionscharakter und eine Abschreckungsfunktion zukomme. Auch das Bundesverfassungsgericht hatte festgestellt, dass es keine Anhaltspunkte dafür gebe, eine Erheblichkeitsschwelle beim datenschutzrechtlichen Schadensersatzanspruch zu verlangen.

Wie hoch ist der Schaden?

Unter Berücksichtigung des Erwägungsgrundes 146 S. 3 zur DSGVO ist der Begriff des Schadens im Lichte der Rechtsprechung des Europäischen Gerichtshofes weit und auf eine Weise auszulegen, die den Zielen der Verordnung in vollem Umfang entspricht. Der Schutz von betroffenen Personen genießt also höchste Priorität. Prävention und Abschreckung hat daher auch das Arbeitsgericht Oldenburg zur Bemessung der Höhe des Schadensersatzes herangezogen. Der Kläger hatte einen Betrag von 500 Euro pro Monat der verspäteten Auskunft beantragt. Das Arbeitsgericht hat diese Berechnung ebenfalls für angemessen erachtet. So hatte kürzlich auch das Arbeitsgericht Düsseldorf entschieden (Urteil vom 05.03.2020, Az. 9 Ca 6557/18). Dort heißt es:

„Dabei hat die Kammer berücksichtigt, dass der Verstoß hier ca. 3 Monate andauerte, in denen der Kläger über die Datenverarbeitung durch die Beklagte im Ungewissen war.“

Und weiter:

„Außerdem sind die Anforderungen an die zu erteilende Auskunft nicht nur zeitlich, sondern auch inhaltlich verletzt, da die Beklagte die beantragte Auskunft – zunächst – gänzlich unterließ.“

Der letztgenannte Punkt kann gänzlich auf den Rechtsstreit vor dem Arbeitsgericht Oldenburg übertragen. Das Gericht hat diese Argumentation offenbar dankbar aufgegriffen. Bei 20 Monaten Verspätung kommt am Ende eine Summe von 10.000 Euro heraus.

Konsequente Anwendung von Art. 82 DSGVO?

Welche Lehren kann man nun aus dem Urteil ziehen? Auf den ersten Blick trägt das Urteil zur Rechtssicherheit bei, da die Argumente des Gerichts bezüglich der Anwendung des Art. 82 DSGVO durchaus überzeugen und in sich konsequent sind. Es setzt sich offenbar immer mehr der Trend durch, dass sowohl im Hinblick auf den Schaden selbst als auch im Hinblick auf die Schadenshöhe die Belange der betroffenen Personen überwiegen.

Aus datenschutzrechtlicher Sicht ist das sicherlich erfreulich. Aus Sicht der Datenverantwortlichen bedeutet das umso mehr, Vorsicht walten zu lassen, nicht nur bei der Bearbeitung von Auskunftsersuchen. Auf den zweiten Blick ist die Wirkung des Urteils natürlich nicht abschließend einzuschätzen, da die weitere Entwicklung sicherlich auch von den aktuell anhängigen Vorabentscheidungsverfahren abhängt.