DSGVO: Schadenersatz für verspätete Auskunfterteilung

Listen to this article

Die DSGVO schreibt dem Betroffenen eine Reihe von Rechten zu, darunter auch das Recht auf Auskunft. Bei Verstößen gegen diese Rechte drohen nicht nur Bußgelder, sondern auch die Geltendmachung von Schadenersatzansprüchen durch die Betroffenen. Das ArbG Neumünster hat aktuell entschieden: 500 Euro pro Monat Verspätung muss das Unternehmen zahlen.

Der beste Arbeitnehmer von heute kann zum schlimmsten Ex-Arbeitnehmer von morgen werden. Dieser Leitspruch gilt seit Inkrafttreten der DSGVO wohl doppelt, denn durch die Rechte, die die DSGVO Betroffenen gibt, haben auch (Ex-)Mitarbeiter ein scharfes Schwert in der Hand, um sich bei einer Trennung, die nicht unbedingt im Einvernehmen geschieht, am Unternehmen zu „rächen“. So war es wohl auch in dem Verfahren vor dem ArbG Neumünster (Urt. v. 11.08.2020 – 1 Ca 247 c/20).

Fristlose Kündigung

Ein Unternehmen hatte einen Mitarbeiter nach rund 17 Jahren Betriebszugehörigkeit fristlos gekündigt. Zuvor erfolgte eine Abmahnung, weil man den Mitarbeiter „im Heizungsraum des Bürogebäudes „versteckt“ hinter den Wasserkesseln Zeitung lesend“ antraf.

Rund 10 Monate nach der Abmahnung traf man den Mitarbeiter erneut „heimlich“ Zeitung lesend an.

Nach diesem zweiten Vorfall wurde der Arbeitnehmer freigestellt, anschließend wurde ihm gegenüber die außerordentliche, fristlose Kündigung ausgesprochen.

Der Arbeitnehmer verteidigt sich damit, dass er nicht irgendeine Zeitung gelesen habe, sondern ein seiner Eigenschaft als Sicherheitsbeauftragter ein entsprechendes sicherheitsrelevantes Fachmagazin.

Der Mitarbeiter reichte Kündigungsschutzklage ein und forderte seinen Arbeitgeber (außergerichtlich) am 9. März 2020 zur Erteilung von Auskunft nach Art. 15 DSGVO auf.

Diese Auskunft erteile der beklagte Arbeitgeber am 16. Juni 2020.

Verspätete Auskunft

Im Weiteren soll ausschließlich auf die Problematik der Auskunftserteilung eingegangen werden und nicht weiter auf die arbeitsrechtlichen Problemstellungen.

Dass die Auskunft verspätet erfolgte, war unstreitig und ersichtlich. Die DSGVO schreibt vor, dass die Auskunft unverzüglich, spätestens jedoch innerhalb eines Monats zu erteilen ist (Art. 12 Abs. 3 DSGVO). Eine Verlängerung dieser Frist um zwei Monate ist möglich, wenn es die Komplexität der Anfrage oder die Anzahl von Anträgen erfordert.

Schadenersatz wegen Verspätung

Aufgrund dieser Verspätung macht der Mitarbeiter neben den arbeitsrechtlichen Ansprüchen auch Schadenersatzansprüche wegen verspäteter Auskunfterteilung geltend.

Kein Rechtsmissbrauch

Das Gericht entschied zunächst, dass die Geltendmachung von Schadenersatz nach der DSGVO wegen verspäteter Auskunfterteilung hier nicht rechtsmissbräuchlich erfolgte.

So wäre z.B. die Geltendmachung rechtsmissbräuchlich, wenn der Kläger den DSGVO-Schadenersatz quasi als Ersatz für eine ordentliche Abfindung geltend machen würde. Dies war hier aber nicht der Fall.

Vorliegend war es auch für das Gericht offensichtlich, dass der Arbeitgeber erst nach über drei Monaten die Auskunft erteilte und daher die Voraussetzungen für die Zahlung von Schadenersatz nach Art. 82 Abs. 1 DSGVO vorlagen.

500 Euro pro Monat

Das Gericht sprach dem Kläger einen DSGVO-Schadenersatz von 500 Euro pro Monat zu. Dieser Betrag sei angemessen, aber auch erforderlich.

Die betroffene Person soll einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten (EG 146 zur DSGVO).

Verstöße müssen effektiv sanktioniert werden, damit die DSGVO wirken kann, was vor allem durch Schadensersatz in abschreckender Höhe erreicht wird.

Gerichte können sich bei der Bemessung des immateriellen Schadensersatzes auch an Art. 83 Abs. 2 DSGVO orientieren, so dass als Zumessungskriterien u.a. Art, Schwere, Dauer des Verstoßes, Grad des Verschuldens, Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens, frühere einschlägige Verstöße sowie die Kategorien der betroffenen personenbezogenen Daten betrachtet werden können.

Dabei berücksichtigte das Gericht, dass hier zwar die Verspätung drei Monate betrug, aber nicht von einem Vorsatz auszugehen war. Auch lagen keine weiteren Verstöße gegen die DSGVO vor.

Bei der Höhe des zugesprochenen Schadenersatzes verfolgte die Kammer den Ansatz, dass die Höhe des Gehalts des Mitarbeiters kein geeigneter Anhaltspunkt sei, um den Schadenersatz zu ermitteln.

Die Schwere des entstandenen immateriellen Schadens, der vor allem in der Ungewissheit über die Verarbeitung seiner Daten besteht, hängt nicht davon ab, wieviel der betroffene Arbeitnehmer verdient.

Dies ist nachvollziehbar.

Fazit

Das Gericht war hier noch recht „milde“, was die Höhe des Schadenersatzanspruches angeht. Dies ist sehr zu begrüßen. Betroffene haben die Schadenersatzansprüche aus der DSGVO längst als Erpressungspotenzial erkannt. In deren Auftrag versenden Anwälte Schreiben, in denen sie abenteuerlich hohe Schadenersatzsummen fordern. Unternehmen sollten sich von solchen Schreiben nicht erpressen lassen. Eine detaillierte datenschutzrechtliche Beratung zeigt in solchen Fällen oft Wege, wie man aus solchen Situationen wieder herauskommt. (mr)

Martin Rätze