Seit Einführung der DSGVO ist das Thema Bußgelder im Falle von Verstößen bei vielen Unternehmen ein viel diskutiertes Thema. Eine aktuelle Entscheidung des Arbeitsgerichts Düsseldorf (vgl. Urteil des Arbeitsgericht Düsseldorf vom 05.03.2020, Az. 9 Ca 6557/18) hat nun ein weiteres durchaus pikantes Kapitel im Zusammenhang mit DSGVO-Verstößen geschrieben. Bereits allgemein hin bekannt ist der Umstand, dass erhebliche Verstöße auch stets das Risiko der Verhängung hoher Bußgelder bergen. Geht es nach der Ansicht des Arbeitsgerichts Düsseldorf müssen Arbeitgeber nunmehr aber auch hohe Schadensersatzansprüche fürchten und dass schon bei kleinsten Datenschutzmängeln.

Das Gericht sprach im oben genannten Verfahren einem Kläger immateriellen Schadenersatz in Höhe von 5.000 Euro zu, weil sein früherer Arbeitgeber dem Auskunftsanspruch aus Art. 15 DSGVO nicht in ausreichendem Maße nachgekommen sei, d.h. im vorliegenden Fall den Auskunftsantrag verspätet und unvollständig beantwortet habe.  Art. 82 DSGVO bietet dabei eine normative Grundlage, um immateriellen Schadensersatz durchzusetzen.  Ein Umstand, den im Markt erste „Anbieter“ für sich entdeckt haben, indem sie sich auf die massenhafte Geltendmachung solcher Ansprüche spezialisiert haben.

Typischerweise führt die unzulässige Verarbeitung personenbezogener Daten in der Praxis zwar eher zu einer Verletzung von Persönlichkeitsrechten als zu Vermögensschäden. Wenn nun aber die Geltendmachung von darauf basierenden Schadenersatzansprüchen erleichtert wird, kann dies für jeden Arbeitgeber ein großes finanzielles Risiko bedeuten, da ein Datenschutzvorfall in der Regel nicht einen einzelnen Kunden oder Mitarbeiter, sondern eine Vielzahl von Personen betrifft. Das vorliegende Urteil des Arbeitsgerichts könnte diesem Geschäftsmodell nunmehr Auftrieb geben. Falls sich weitere Gerichte dieser Linie anschließen sollten, müssten sich Unternehmen künftig auf eine Vielzahl von Schadensersatzprozessen nach Art. 82 DSGVO einstellen.

Seine Entscheidung hat das Gericht damit begründet, dass der Auskunftsanspruch betroffenen Personen Transparenz über die sie betreffenden Datenverarbeitungen verschaffen solle. Hierbei reiche bereits eine unvollständige Erteilung aus, um einen ersatzfähigen Schaden im Sinne des Art. 82 Abs. 1 DSGVO zu begründen. Nach Ansicht des Gerichts sei es zudem erforderlich, dass der Schadenersatz abschreckend sei, um dem europarechtlichen Effektivitätsgrundsatz Rechnung zu tragen. Daher müsse man bei der Bemessung seiner Höhe auch die finanzielle Leistungsfähigkeit des beklagten Unternehmens berücksichtigen und in diesem Zusammenhang zudem das Erfordernis einer Bagatellschwelle verneinen.

Fazit & Praxistipp

Die Entscheidung des Arbeitsgerichts Düsseldorf ist noch nicht rechtskräftig, die Berufung beim Landesarbeitsgericht Düsseldorf derzeit anhängig. Eine Korrektur der überraschenden Wertungen des Arbeitsgerichts ist somit noch möglich und wäre im Ergebnis auch begrüßenswert. Denn im Unterschied zu verhängten Bußgeldern nach Art. 83 Abs. 1 DSGVO (Ahndung von Verstößen durch Behörden), die entsprechend dem Wortlaut der Norm tatsächlich ausdrücklich abschreckend wirken sollen, ist für den Schadensersatzanspruch in Art. 82 DSGVO eine entsprechende Vorgabe gerade nicht vorgesehen.

Unabhängig davon sind Unternehmen dennoch gut beraten, ihre datenschutzrechtlichen Prozesse und hierbei auch die Beantwortung von Auskunftsanfragen zu überprüfen und gegebenenfalls anzupassen, um unliebsame und mitunter kostspielige Risiken in diesem Zusammenhang zu vermeiden.


Autor: Christian Schon, TIGGES Rechtsanwälte

Wenn Sie Fragen zum Thema Arbeitnehmerdatenschutz haben oder Unterstützung benötigen, stehen wir Ihnen jederzeit gerne zur Verfügung.