ArbG Düsseldorf: 5.000 EUR Schadenersatz wegen mangelhafter DSGVO-Auskunft

Dr. Carlo Piltz

Nach dem vom AG Wertheim ausgeurteilten Zwangsgeld i. H. v. 15.000 EUR wegen einer unterbliebenen Auskunft entschied jüngst das Arbeitsgericht Düsseldorf (ArbG) in einem konkreten Fall, dass eine unvollständige, inkorrekte und zu spät erteilte Auskunft einen immateriellen Schadenersatzanspruch i. H. v. 5.000 EUR rechtfertigt.

Der Kläger hatte vor der begehrten Auskunft für die Beklagte gearbeitet. Als die Auskunft nicht in der seiner Ansicht nach erforderlichen Weise erteilt wurde, verlangte er von der Beklagten ein Schmerzensgeld i. H. v. 143.482,81 EUR, was 12 Bruttomonatsgehältern aus dem ehemaligen Arbeitsverhältnis entsprach. Das ArbG entschied hierbei einige spannende datenschutzrechtliche Fragen wie folgt:

  • Übergibt der Betroffene seinen Auskunftsantrag an irgendeine Empfangsstelle im Unternehmen, z. B. beim Pförtner (auch wenn dieser über einen externen Dienstleister bereitgestellt wird), setzt dies den Fristenlauf für die Auskunftserteilung nach Art. 12 Abs. 3 S. 1 DSGVO in Gang. Unternehmen müssen also nicht nur einen „speziellen Datenschutzkanal“, sondern alle in Betracht kommenden Kanäle auf eingehende Anfragen beachten.
  • Hinsichtlich des Umfangs der zu erteilenden Auskunft entscheidend sei der Datenbestand zum Zeitpunkt des Auskunftsantrags. Werden nach diesem Zeitpunkt in Bezug auf den Betroffenen weitere personenbezogene Daten verarbeitet, so müssen diese im Rahmen der Auskunft mit berücksichtigt werden, wenn die Auskunft nicht fristgerecht (grundsätzlich innerhalb eines Monats) erteilt wird. Früher im Unternehmen über den Betroffenen vorhandene, aber gelöschte Daten sind bei der Auskunft jedoch nicht zu berücksichtigen.
  • Übermittelt das beklagte Unternehmen Daten an andere datenschutzrechtlich Verantwortliche (z. B. an eine andere Gesellschaft aus einer Unternehmensgruppe), müsse es nicht die eigenverantwortlichen Datenverarbeitungen dieser Dritten beauskunften. Stattdessen müsse das Unternehmen nur darüber Auskunft erteilen, wem gegenüber die Daten offengelegt wurden. Dass das Unternehmen auch über ggf. eingesetzte Auftragsverarbeiter Auskunft erteilen muss, ist nach Ansicht des ArbG Düsseldorf möglich, muss nach dem Urteil aber scheinbar ausdrücklich vom Auskunftssteller gefordert werden.
  • Für die Auskunftserteilung hinsichtlich der Datenverarbeitungszwecke genügt es nach Ansicht des Gerichts nicht, wenn das Unternehmen pauschal als Zweck das Beschäftigungsverhältnis, „namentlich dessen Abwicklung und Beendigung, zur Erfüllung bestehender rechtlicher Verpflichtungen und zur Wahrnehmung berechtigter Interessen nach § 26 BDSG bzw. Art. 6 Abs. 1 lit. (b,) c und f DSGVO“, benennt. Dies widerspreche der erforderlichen Transparenz. Es sollte im Rahmen der Beauskunftung also darauf geachtet werden, jeder Datenverarbeitung einen konkreten Verarbeitungszweck zuzuordnen, und die Pauschalität von Verarbeitungszwecken vermieden werden. Hierbei kann ein ordentlich geführtes Verzeichnis der Verarbeitungstätigkeiten helfen.
  • Auch hinsichtlich der Beauskunftung über interne Empfänger, also z. B. von Mitarbeitern bestimmter Abteilungen o. Ä., sieht das Gericht keine Pflicht des Unternehmens. Abteilungen oder konkrete Mitarbeiter muss der Auskunftspflichtige also nicht ausdrücklich benennen.
  • Zudem hatte der Kläger eine Kopie sämtlicher über ihn beim Unternehmen gespeicherten Daten verlangt, also auch z. B. ihn betreffende E-Mails in den IT-Systemen der Beklagten. Unter Berufung auf Treu und Glauben und aufgrund des groben Missverhältnisses zum Leistungsinteresse des Klägers erteilte das ArbG Düsseldorf diesem Begehren eine Absage. In dieser Weise hatte das LG Heidelberg bereits in einem vergleichbaren Fall entschieden.

Für die festgestellten DSGVO-Verstöße sprach das ArbG dem Kläger einen immateriellen Schadenersatz i. H. v. 5.000 EUR (für die ersten zwei Monate der verspäteten Auskunft jeweils 500 EUR, für die weiteren etwa drei Monate jeweils 1.000 EUR und für die beiden inhaltlichen Mängel der Auskunft jeweils 500 EUR) auf der Grundlage von Art. 82 DSGVO zu. Das Gericht rechtfertigte die Höhe des Schadenersatzes zusammengefasst damit, dass es sich „nur“ um einen fahrlässigen Verstoß des Unternehmens handele und gravierendere (Auskunfts-)Verletzungen mit einer noch höheren Schadenssumme sanktioniert werden können müssen. Bemerkenswert ist, dass das Gericht die Finanzkraft des Verantwortlichen (= Unternehmen) bei der Bemessung der Schadenshöhe ebenfalls mit berücksichtigt. Kann der Auskunftspflichtige nachweisen, dass er nur über geringe Mittel verfügt, kann sich dies also nach Ansicht des ArbG auf die Schadenshöhe in einem Rechtsstreit auswirken.

Spannend ist, ob es bei diesen Ergebnissen bleibt, denn das ArbG hat die Berufung zugelassen.

[Juni 2020]