DSGVO-Verstoß: 10.000 EUR Schadensersatz
Das Arbeitsgericht Duisburg hat einen Arbeitgeber zur Zahlung von 10.000 Euro Schadensersatz an einen Beschäftigten verurteilt. Der Grund ist ein DSGVO-Verstoß: Der Arbeitgeber hatte verspätet und unvollständig auf eine angefragte Datenauskunft reagiert.
Aus Sicht des Mitarbeiters, der von seinerm Arbeitgerber eine Datenauskunft verlangte, war diese unvollständig. Daraufhin verklagte er den Arbeitgeber vor dem Arbeitsgericht (ArbG) Duisburg zur Zahlung eines Schmerzensgeldes in Höhe von 2.000 Euro. Ob dieser zur Zahlung einer noch höheren Summe verpflichtet werden soll, überließ der Kläger dem Gericht – das so urteilte: Es setzte den zu zahlenden Schadensersatz auf eine Gesamtsumme von 10.000 Euro fest – die sich aus 5.000 Euro wegen inhaltlicher Verstöße gegen Art. 15 DSGVO und weiteren 5.000 Euro wegen einer vorsätzlich verspäteten Auskunft ergibt.
Zum Hintergrund des Falls
Der Beschäftige hatte 2020 und 2022 gegenüber seinem Arbeitgeber von seinem Recht auf Datenauskunft Gebrauch gemacht (Art. 15 DSGVO). Im Jahr 2020 erfolgte diese prompt und im angemessenen Umfang. Anders 2022: Der Arbeitgeber regierte innerhalb von zwei Wochen nicht auf die Anfrage. Erst knapp vor Ablauf der Monatsfrist legte er dem Beschäftigten eine Kopie der Daten vor, die dieser jedoch als unvollständig betrachtete, weil Angaben zu Speicherdauer und Datenempfängern fehlten. Der Mitarbeiter forderte die fehlenden Angaben ein. Die Antwort seitens des Arbeitgebers: Die Empfängerangaben hätten den Beschäftigten nicht zu interessieren. Zwar wurden unwillig zusätzliche Angaben zu Speicherdauer und personenbezogenen Daten des Beschäftigten nachgereicht, die diesen aber nicht zufriedenstellten. Er forderte seinen Arbeitgeber auf, die Daten zu vervollständigen und 2.000 Euro Schmerzensgeld zu zahlen. Doch der Arbeitgeber regierte nicht. So landete der Fall schließlich vor dem ArbG (Az. 3 Ca 44/23).
Gericht erkennt DSGVO-Verstoß
Das ArbG Duisburg gab dem Beschäftigten recht und stellte ausdrücklich fest: In der Datenauskunft hätten die konkreten Empfänger benannt werden müssen. Dem Arbeitgeber sei durchaus bekannt gewesen, dass er sich nicht auf die bloße Kategorienangabe zu den Empfängern hätte beschränken dürfen. Damit habe er inhaltlich gegen die DSGVO (Art. 15) verstoßen. Dies deckt sich auch mit einem Urteil des Europäischen Gerichtshofs (EuGH, Urt. v. 12.01.2023, C-154/21). Zudem habe es der Arbeitgeber versäumt, seinen Mitarbeiter über die konkrete Speicherdauer seiner Daten zu informieren. Seine Hinweise auf das Erfüllen von Löschpflichten sowie Fristangaben zu den allgemeinen gesetzlichen Löschpflichten ließ das ArbG Duisburg nicht als Angaben zur Speicherdauer gelten. Es hätte für den Arbeitsgeber keinen übermäßigen Aufwand bedeutet, konkreten Angaben zu Beginn und Ende der jeweiligen Speicherdauer zu liefern.
Begründung für das hoch ausgefallene Schmerzengeld
Den Schmerzensgeldanspruch begründete das Gericht, indem es auf ein BAG-Urteil (26.08.2021, Az. 8 AZR 253/20) verwies: Demnach dient bereits eine DSVGO-Verletzung als Begründung für einen auszugleichenden, immateriellen Schaden. Eine andere Rechtsauffassung vertritt der EuGH: In einem neueren Urteil fordert er für einen Schmerzensgeldanspruch einen DSVGO-Verstoß, der kausal zu einem nachweislichen Schaden führt (EuGH, Urt. v. 04.05.2023, Az. C-300/21,).
Im vorliegenden Fall erkannte das ArbG jedoch einen Schaden im Kontrollverlust des Beschäftigten aufgrund von der unzureichenden und zugleich verspäteten Auskunft seitens des Arbeitsgebers. Dass der Schadensersatz hier mit 10.000 Euro recht hoch ausgefällt, begründet das Duisburger Gericht damit, dass der DSGVO-Verstoß zum einen einige Monate anhielt und der Arbeitsgeber zum anderen über eine hohe Finanzkraft verfüge. Ausschlaggebend für die hohe Schadenersatzforderung an den Arbeitgeber sei jedoch sein unkooperatives und bewusst intransparentes Verhalten gewesen. Er habe die Datenanfrage des Beschäftigten gewollt verspätet und unvollständig beantwortet.
Quelle: Haufe