Das Arbeitsgericht Köln hat einer Klägerin alleine deshalb einen Schadensersatzanspruch von 300,00 EUR zugesprochen, da der verklagte Arbeitgeber nach dem Ausscheiden der Klägerin aus dem Unternehmen ein PDF mit personenbezogenen Daten versehentlich nicht gelöscht hatte. Das Landesarbeitsgericht hat die Entscheidung bestätigt, wenngleich es in seiner Urteilsbegründung die Intensität der Rechtsverletzung als marginal bezeichnete. Nichtsdestoweniger blieb es beim Zuspruch eines immateriellen Schadensersatzes für diese vermeintliche Banalität. Art. 82 DSGVO gibt Betroffenen eine eigene normative Anspruchsgrundlage. Jeder Person, der aufgrund eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, hat hiernach einen Anspruch auf Ersatz dieses Schadens gegen das datenverarbeitende Unternehmen. Mögliche anspruchsrelevante Verstöße sind z.B.: „Positiv“ ist die bisherige Rechtsprechung für rechtswidrig agierende Unternehmen nur insoweit, als dass die bloße Behauptung eines Betroffenen, durch den DSGVO-Verstoß geschädigt worden zu sein, als nicht ausreichend angesehen wird. Vielmehr muss ein konkreter Schaden nachgewiesen werden. Bei immateriellen Schäden müssen diese zwar nicht in schweren persönlichen Folgen liegen. Allerdings muss der Betroffene darlegen, objektiv nachvollziehbare, erhebliche und spürbare gesellschaftliche oder persönliche Nachteile erlitten zu haben (so LG Karlsruhe, Urteil vom 19. August 2019, Az. 8 O 26/19, wobei es hier um eine öffentliche Bloßstellung ging). Mögen die verhängten 300,00 EUR Schadensersatz schlussendlich noch verhältnismäßig verkraftbar erscheinen, tat der in einer Entscheidung des ArbG Düsseldorf vom 5. März 2020 (vgl. Sie hierzu unseren Artikel hier) verhängte Anspruch von 5.000,00 EUR für eine verspätete und mangelhafte Auskunftserteilung dem betroffenen Unternehmen sicher schon deutlich mehr „weh“. Zumal Auskunftsanfragen von Betroffenen in der Praxis zum Alltag gehören, aber immer noch nicht von jedem Unternehmen im Rahmen eines festen Prozesses ernst genommen und abgearbeitet werden. Das führt zu Risiken, die sehr schnell teuer werden können. Fazit: Noch existieren keine höchstrichterlichen Entscheidungen zum Thema Schadensersatz nach Art. 82 DSGVO. Gleichwohl sollte das Thema nicht auf die leichte Schulter genommen werden. Denn auch wenn die Gerichte bislang bei der Bemessung von Schadensersatz unter Berücksichtigung des allgemeinen deutschen Schadensersatzrechts Art. 82 DSGVO eher restriktiv angewandt haben, so liegt hier ein zusätzliches Risiko von Datenschutzverstößen. Um nicht darauf hoffen zu müssen, dass die Gerichte Schadensersatz auch zukünftig mit einer gewissen Zurückhaltung anfassen, gilt es für Sie als Unternehmen, Verstöße gegen die DSGVO bestmöglich zu vermeiden. Mit einem schlüssigen unternehmensinternen Datenschutzkonzept, transparenten datenschutzrechtlichen Prozessen und einer sorgfältigen Dokumentation sichern Sie sich als Unternehmen dabei gegen mögliche Risiken ab. Autor: Sebastian Keilholz, LL.M. Haben Sie Fragen zum Thema Schadensersatz? Benötigen Sie Hilfe bei der Optimierung Ihrer datenschutzrechtlichen Prozesse? Wir stehen Ihnen jederzeit gerne zur Verfügung.
Schadensersatz bei DSGVO-Verstößen: Unternehmen droht Ungemach nicht nur durch behördliche Bußgelder
Geht es um mögliche Rechtsfolgen von Verstößen gegen die DSGVO, so liegt der Fokus in der allgemeinen Wahrnehmung stets vor allem auf möglichen Sanktionen durch die Aufsichtsbehörden und entsprechend drohenden Bußgeldern. Vergessen wird hierbei oft, dass Zuwiderhandlungen gegen die Vorgaben der DSGVO auch Schadensersatzansprüche des von einer (rechtswidrigen) Verarbeitung Betroffenen nach sich ziehen können. Dass dieser Aspekt keineswegs außer Acht gelassen werden sollte, zeigt sich an der stetig wachsenden Anzahl entsprechender Urteile, die sich mit dem Thema Schadensersatz und hierbei auch mit der Bezifferung immaterieller Schäden auseinanderzusetzen hatten.