Das Thema
Im März hat das Arbeitsgericht Düsseldorf ein Unternehmen zu Schadensersatz verurteilt. Die Richter waren zu der Auffassung gelangt, dass das Unternehmen einem ehemaligen Mitarbeiter zu spät und zu intransparent über die Verarbeitung seiner Daten informiert hatte. Bereits diese Verletzung einer datenschutzrechtlichen Auskunftspflicht führe nach Ansicht des Arbeitsgerichts zu einem erstattungsfähigen immateriellen Schaden in Höhe von 5.000 Euro.
Erste Stimmen nehmen das Urteil bereits zum Anlass, Arbeitnehmern aus taktischen Gründen dazu zu raten, Auskunftsansprüche zu stellen, um spätere Schadensersatzforderungen vorzubereiten. Der vorliegende Überblick zeigt, welche Risiken drohen und wie Unternehmen diese effektiv vermeiden oder jedenfalls vermindern können.
Datenschutzrechtliche Auskünfte als Herausforderung für Unternehmen
Die EU-Datenschutz-Grundverordnung (DSGVO) erlaubt es Arbeitnehmern und anderen betroffenen Personen, umfassende Auskünfte über die Verarbeitung ihrer personenbezogenen Daten zu fordern. Der genaue Umfang dieses Auskunftsrechts ist in Art. 15 DSGVO nur sehr vage geregelt. Das Bundesarbeitsgericht sollte hierzu am 2. September 2020 eine Grundsatzentscheidung treffen. Leider hat das BAG den anberaumten Termin aufgrund einer außergerichtlichen Einigung der Parteien aufgehoben.
In seiner Entscheidung vom 5. März 2020 urteilte das Arbeitsgericht Düsseldorf (Aktenzeichen 9 Ca 6557/18), dass ein Unternehmen eine nach Art. 15 DSGVO geforderte Auskunft eines ehemaligen Arbeitnehmers unrichtig beantwortet habe. Zunächst habe es die Auskunft zu spät erteilt. Datenschutzrechtlich Verantwortliche müssen auf einen Auskunftsantrag grundsätzlich innerhalb von einem Monat reagieren, Art. 12 Abs. 3 DSGVO. Im hier entschiedenen Fall gelangten die Richter zu dem Schluss, dass der von einem Dienstleister betriebene Empfang des Arbeitgebers den Auskunftsantrag vermutlich nicht weitergegeben hatte. Der Arbeitgeber erteilte die Auskunft daher erste mehrere Monate später, nachdem der Arbeitnehmer Klage erhoben hatte.
Hohe inhaltliche Anforderungen an Datenschutzinformationen
Zudem bewertete das Arbeitsgericht Düsseldorf die vom beklagten Unternehmen erteilten Auskünfte als nicht hinreichend transparent. Es habe in der Auskunft die Zwecke der Datenverarbeitungen und die Kategorien der verarbeiteten Daten des Klägers nicht hinreichend klar und verständlich beschrieben. Nach Art. 12 Abs. 1 Satz 1 DSGVO musste das Unternehmen geeignete Maßnahmen treffen, um die Auskunft in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln. Die DSGVO ziele auf Transparenz der Datenverarbeitung ab, insbesondere bei Informationen und Auskünften über die Zwecke der Verarbeitung. Die Angaben zum Zweck müssten daher vollständig und so konkret und detailliert sein, dass sich der Betroffene ein Bild davon machen kann, welche Datenverarbeitungen zu welchen Zwecken erfolgen.
Die in Art. 15 DSGVO geforderten Angaben müssten sich bereits aus dem eigentlichen Text der erteilten Auskunft ergeben. Die Beklagte hatte im Text der erteilten Auskunft erklärt, dass die Datenverarbeitung zum Zwecke des Beschäftigungsverhältnisses, namentlich zu dessen Abwicklung und Beendigung, zur Erfüllung bestehender rechtlicher Verpflichtungen und zur Wahrnehmung berechtigter Interessen nach § 26 BDSG bzw. Art. 6 Abs. 1 lit. b, lit. c und lit. f DSGVO erfolgten. Die genannten Normen beziehen sich auf Zwecke des Beschäftigungsverhältnisses, Vertragserfüllung, Befolgung gesetzlicher Vorschriften und die Wahrnehmung berechtigter Interessen des Unternehmens und Dritter. Damit gab das beklagte Unternehmen nach Ansicht des Arbeitsgerichts Düsseldorf pauschal fast die ganze Bandbreite im Privatrechtsverkehr nahe liegender Zwecke an, ohne konkret und detailliert die Zwecksetzungen mitzuteilen.
Gericht setzt hohe Messlatte für Unternehmen
Besondere Sprengkraft hat eine weitere Aussage der Richter. Sie urteilten, dass die unzureichende Transparenz noch durch einen Verweis auf eine Anlage zu der erteilten Auskunft verstärkt werde. Die Bezugnahme auf einen Anhang, erst recht wenn er Hunderte Seiten umfasst, ersetze keine Mitteilung in Form und Sprache gemäß Art. 12 Abs. 1 Satz 1 DSGVO. Damit bewerteten die Richter die umfassende Information durch das Beifügen einer erläuternden Anlage eher als intransparentes Vorgehen.
Ähnlich hohe Anforderungen legte das Arbeitsgericht auch in Bezug auf die in der Auskunft geforderte Beschreibung der Kategorien verarbeiteter Daten an. Die Wertungen der Richter scheinen allerdings wenig praxisgerecht. Denn beispielsweise legt die DSGVO selbst nicht genau fest, in welcher Detailtiefe datenschutzrechtlich Verantwortliche die Zwecke einzelner Datenverarbeitungen festlegen (und hierüber informieren) müssen. Auch die Aussage, dass das Beifügen erläuternder Anlagen die gebotene Transparenz nicht erhöhe, sondern mindere, kann Unternehmen vor unverhältnismäßige Anforderungen stellen.
Offene Punkte beim Schadensersatz nach Art. 82 DSGVO
Seit dem 25. Mai 2018 können Arbeitnehmer und andere Verbraucher wegen Verstößen gegen die DSGVO Schadensersatz fordern. Die Ersatzpflicht für die unzulässige Verarbeitung personenbezogener Daten umfasst auch immaterielle Schäden. Diese Regelung erhöht mögliche Schadensersatzrisiken für Arbeitgeber und Unternehmen erheblich. Denn gerade bei Datenschutzverstößen kommt es oft eher zur Verletzung von Persönlichkeitsrechten als von Vermögenswerten. Und wie das Urteil des Arbeitsgerichts Düsseldorf zeigt, kann es vorkommen, dass Arbeitsrichter bereits verspätete und inhaltlich nicht ihren Anforderungen genügende Auskünfte als ersatzfähigen Schaden beurteilen.
Das Urteil des Arbeitsgerichts Düsseldorf entspricht im Übrigen auch nicht der bisherigen deutschen Rechtsprechung zu Schadensersatzansprüchen nach Art. 82 DSGVO. Bislang waren gerade die ordentlichen Gerichte eher zurückhaltend bei der Bewertung immaterieller Schadensersatzansprüche wegen (tatsächlichen oder vermeintlichen) Datenschutzverstößen. Zum einen forderten sie einen spürbaren und nachweislichen Schaden. Bagatellschäden wurden daher teilweise als nicht erstattungsfähig bewertet. Zudem musse der Schaden kausal auf einer Verletzung beruhen, was Kläger auch beweisen müssten. Teilweise hatten Kläger in diesen Verfahren argumentiert, dass sich aus dem datenschutzrechtlichen Rechenschaftsgrundsatz des Art. 5 Abs. 2 DSGVO auch eine Beweislastregel zu Lasten datenverarbeitender Unternehmen ergebe (Ein weiterer Überblick über die bisherige Rechtsprechung HIER ).
Großzügige Rechtsprechung der Arbeitsgerichte zum DSGVO-Schadensersatz?
Bereits vor der Geltung der DSGVO waren Arbeitsgerichte bei der Bewertung von Entschädigungen wegen unzulässiger Datenverarbeitung großzügiger als die ordentlichen Zivilgerichte, etwa bei unzulässigen Kontrollmaßnahmen. Insofern hatten viele Datenschutzexperten mit Spannung darauf gewartet, wie Arbeitsgerichte zu Schadensersatzansprüchen nach Art. 82 DSGVO urteilen würden. Und in der Tat hat das Arbeitsgericht Düsseldorf wesentliche Fragen gänzlich anders beurteilt als bislang mit derartigen Ansprüchen befasste Gerichte.
Jeder Schaden sei zu erstatten
Der Begriff des Schadens sei nach Erwägungsgrund 146 DSGVO weit und auf eine Art und Weise auszulegen, die den Zielen der DSGVO in vollem Umfang entspricht. Ein immaterieller Schaden entstehe daher nicht nur in den „auf der Hand liegenden Fällen“., wenn die datenschutzwidrige Verarbeitung zu einer Diskriminierung, einem Verlust der Vertraulichkeit, einer Rufschädigung oder anderen gesellschaftlichen Nachteilen führe. Vielmehr liege ein erstattungsfähiger Schaden auch dann vor, wenn die betroffene Person um ihre Rechte und Freiheiten gebracht oder daran gehindert werde, die sie betreffenden personenbezogenen Daten zu kontrollieren. Dies ergebe sich aus Erwägungsgrund 75 DSGVO. Durch die monatelang verspätete und dann nur unzureichend erteilte Auskunft sei der Kläger im Ungewissen und ihm die Prüfung verwehrt gewesen, ob und wie die Beklagte seine personenbezogenen Daten verarbeitet. Die Schwere des immateriellen Schadens sei für die Begründung der Haftung nach Art. 82 Abs. 1 DSGVO irrelevant und wirke sich nur noch bei der Höhe des Anspruchs aus. Damit sprach sich das Arbeitsgericht Düsseldorf ausdrücklich gegen eine Bagatellschwelle beim Schadensersatz aus. Vielmehr bewertete es bereits Fehler bei der Auslegung der DSGVO beziehungsweise der dort geregelten Fristen als erstattungsfähigen Schaden.
Schadensersatzforderungen müssen eine abschreckende Höhe erreichen
Auch die stattliche Höhe des zugesprochenen Schadensersatzes bedarf natürlich einer Begründung. Hier stößt man in dem Urteil auf eine ausgesprochen überraschende Aussage. Nach Auffassung der Richter ist offenbar nur ein abschreckender Schadensersatz auch hinreichend wirksam. Daher müsse sich die Höhe des zu erstattenden Schadens nach der wirtschaftlichen Leistungsfähigkeit des beklagten Unternehmens richten: „Überdies war der nach Vortrag des Klägers beträchtliche Umsatz der Beklagten zu berücksichtigen.“ Da der Schadensersatz eine angemessene Wirkung erzielen solle, hänge dessen Höhe nicht nur vom eingetretenen immateriellen Schaden, sondern auch von der Finanzkraft des beklagten Unternehmens ab. „Mit anderen Worten: Die Verletzung der Auskunftspflicht aus Art. 15 DSGVO durch einen finanzschwächeren Verantwortlichen würde zu geringerem Schadensersatz führen.“
Diese Aussagen erwecken den Anschein als wolle das Arbeitsgericht hier bei Datenschutzverstößen eine Art Strafschadensersatz mit abschreckendem Charakter einführen. Diese Wertung widerspricht nicht nur dem deutschen Schadensersatzrecht,sondern sie ist auch datenschutzrechtlich nicht geboten. Zwar kennt die DSGVO durchaus Mechanismen, die eine abschreckende Wirkung erzielen sollen. Dies gilt aber nicht für den Schadensersatz. So sieht Art. 83 Abs. 1 DSGVO vor, dass Datenschutzbehörden Bußgelder in wirksamer, abschreckender und verhältnismäßiger Höhe verhängen sollen. Eine ähnliche Regelung fehlt in Art. 82 DSGVO aber gerade, was gegen eine Abschreckungsfunktion des Schadensersatzes spricht.
Allerdings steht das Arbeitsgericht Düsseldorf mit seiner Meinung nicht allein. Auch die Berliner Beauftragte für den Datenschutz und die Informationsfreiheit (BlnBDI) geht offenbar in anderem Kontext von einer ähnlichen Rechtslage aus. So ermunterte sie betroffene Personen, deren Daten unrechtmäßig aus der EU heraus übermittelt würden, immateriellen Schadensersatz nach Art. 82 DSGVO zu fordern. Danach soll „Schadensersatz für unzulässige Datenexporte (…) insbesondere den immateriellen Schaden („Schmerzensgeld“) umfassen und muss nach dem europäischen Recht eine abschreckende Höhe aufweisen.“
Schadensersatzansprüche als Druckmittel gegen Arbeitgeber?
Das Urteil des Arbeitsgerichts Düsseldorf ist nicht rechtskräftig. Es bleibt also noch zu hoffen, dass das Landesarbeitsgericht Düsseldorf diese Entscheidung in der zweiten Instanz korrigiert. Denn falls auch andere Arbeitsgerichte ähnlich wie die Düsseldorfer Richter urteilen sollten, müssten sich Arbeitgeber auf Einiges einstellen.
Und es lässt sich wohl kaum belastbar ausschließen, dass auch andere Arbeitsrichter Arbeitnehmerrechte und den europarechtlichen Effektivitätsgrundsatz über die genaue Auslegung der DSGVO und die verhältnismäßige Berücksichtigung auch der Grundrechte und sonstigen Belange von Arbeitgebern stellen werden.
Man kann schon jetzt prognostizieren, dass viele Arbeitnehmervertreter Auskunftsanträge und Schadensersatzforderungen dann als taktisches Mittel vor Gericht einsetzen werden. Bereits jetzt schreibt der gewerkschaftsnahe Bund-Verlag in einer Besprechung der genannten Entscheidung hierzu: „Schon jetzt zeigt sich, welche Bedeutung der Schadenersatzanspruch des Beschäftigten nach Art. 82 DSGVO hat. Hält das Urteil auch vor dem LAG stand, so dürfte es dazu führen, dass Arbeitnehmer – etwa im Fall einer Kündigung – in Zukunft standardmäßig den Anspruch aus Art. 15 DSGVO zur Vorbereitung eines Schadenersatzanspruchs gegen ihren Arbeitgeber geltend machen.“
Wie können sich Unternehmen vor hohen Schadensersatzforderungen schützen?
Es gibt einige Problembereiche, die sich besonders für Klagen nach Art. 82 DSGVO eignen. Wie die Entscheidung des Arbeitsgerichts Düsseldorf zeigt, sind dies insbesondere die Betroffenenrechte nach Art. 13 ff. DSGVO. Neben dem Auskunftsrecht sollten Unternehmen hier vor allem auch an die Informationspflichten nach Art. 13 und Art. 14 DSGVO, aber auch an Meldepflichten nach Datenpannen denken, Art. 33 und Art. 34 DSGVO.
Auch die Löschpflichten nach Art. 17 DSGVO sind in der Praxis nicht leicht zu erfüllen. Nach dem bereits genannten Aufruf der Berliner Datenschutzbehörde BlnBDI ist es durchaus nicht unwahrscheinlich, dass auch Datenübermittlungen aus der EU oder dem EWR heraus künftig Gegenstand von Gerichtsverfahren werden .
Bisherige Gerichtsverfahren zeigen, dass auch die Offenlegung von personenbezogenen Daten durch Cybersecurity Incidents und andere Datenpannen eine Vielzahl von Gerichtsverfahren nach sich ziehen können. Einzelne Dienstleister haben sich bereits auf die vielfache Geltendmachung von Ansprüchen nach Art. 82 DSGVO spezialisiert, wie etwa www.kleinfee.de oder www.eugd.org.
Identifikation und Datenschutzdokumentation
Für Unternehmen bietet es sich an, diejenigen Anforderungen der DSGVO zu identifizieren, bei denen mögliche Schadensersatzforderungen von Arbeitnehmern oder anderen betroffenen Personen (z.B. Kunden) wahrscheinlich sind. Gerade hier sollte man großes Augenmerk auf eine belastbare Umsetzung der geltenden Anforderungen legen. Dabei sollte man sich vor allem daran orientieren, wie Gerichte mögliche Schwachstellen später im Rahmen von Forderungen nach immateriellem Schaden bewerten werden.
Auch die zu erstellende Datenschutzdokumentation sollte dabei darauf ausgerichtet sein, dass man sie gut vor Gericht vorlegen kann, um Schadensersatzforderungen abzuwehren.