Das Arbeitsgericht Düsseldorf hat kürzlich ein Unternehmen dazu verurteilt, einem ehemaligen Mitarbeiter 5.000 Euro Schadensersatz zu zahlen (Urteil vom 5. März 2020 – 9 Ca 6557/18), eine Kurzfassung finden Sie hier. Sollten andere Gerichte ähnliche Positionen einnehmen, kann das für Arbeitgeber, aber auch für andere Unternehmen erhebliche Probleme nach sich ziehen. Nach den Feststellungen des Arbeitsgerichts hatte das Unternehmen verspätet und nicht vollständig auf einen Auskunftsantrag nach Art. 15 DSGVO geantwortet.. Das Arbeitsgericht nahm in dem Fall einen erstattungsfähigen Nichtvermögensschaden im sinne von Art. 82 DSGVO an. Sollten sich Gerichte künftig an dieser Rechtsprechung orientieren, so dürften auf Unternehmen erhebliche Schadensersatzforderungen zukommen. Der vorliegende Ãœberblick bewertet die Entscheidung und zeigt ihre Folgen für die Praxis.Â
Unklare Voraussetzungen von Auskunftspflichten und von Schadensersatzansprüchen nach der DSGVO
Art. 15 DSGVO verpflichtet datenschutzrechtlich nach Art. 4 Nr. 7 DSGVO Verantwortliche dazu, Auskünfte über die Verarbeitung personenbezogener Daten zu erteilen. Der genaue Umfang dieser Auskunftspflicht ist umstritten, insbesondere in Bezug darauf, in welchem Umfang der Verantwortliche eine Kopie zur Verfügung stellen muss. Einen Überblick zu der hierzu ergangenen Rechtsprechung kann man hier abrufen. Nach einem viel beachteten Urteil des Landesarbeitsgerichts Stuttgart ist diese Frage nun in der Revision beim Bundesarbeitsgericht anhängig und soll am 2. September 2020 entschieden werden.
Auch die konkreten Voraussetzungen von Schadensersatzansprüchen nach Art. 82 DSGVO, aber auch die Kriterien für die Bemessung der Höhe solcher Ansprüche sind noch weitgehend ungeklärt. Diese Frage ist für die Praxis von besonderer Bedeutung. Denn Datenschutzverstöße haben ihre Ursache häufig in den beim Verantwortlichen eingerichteten Prozessen und Strukturen. Kommt es zu Übertretungen der DSGVO, betreffen diese oftmals nicht nur einzelne betroffene Personen, sondern eine Vielzahl von möglichen Klägern.
Bislang haben ordentliche Gerichte bei der Beurteilung mögliche Schadensersatzansprüchen nach Art. 82 DSGVO eine gewisse Zurückhaltung an den Tag gelegt. Einen entsprechenden Überblick zu der bisherigen Rechtsprechung hierzu können Sie hier abrufen. Allerdings waren Arbeitsgerichte bereits in der Vergangenheit eher als ordentliche Gerichte dazu bereit, Anspruchstellern wegen der Verletzung ihrer Persönlichkeitsrechte Entschädigungen oder Schadensersatz zuzubilligen. Daher hatten Fachleute mit Spannung darauf gewartet, wie sich die Arbeitsgerichte zu dem Ersatz von immateriellen Schäden nach Art. 82 DSGVO positionieren würden. Das Urteil des Arbeitsgerichts Düsseldorf vom 5. März 2020 ist hier abrufbar. Sie ist eine der ersten Entscheidungen, die sich mit wesentlichen Rechtsfragen solcher Nichtvermögensschäden ausführlich befasst. Der vorliegende Überblick beschreibt vertretenen die vom Arbeitsgericht Düsseldorf entwickelten Rechtspositionen und zeigt, welche Folgen eine entsprechende Rechtsprechung für die Praxis hätte. Zudem bewertet er die genannten Positionen in Bezug auf Ihre datenschutzrechtliche Einordnung.
Bewertung der Entscheidung des Arbeitsgerichts Düsseldorf
Das Urteil stellt datenschutzrechtlich Verantwortliche vor einige Herausforderungen. Sollten auch andere Gerichte den rechtlichen Wertungen des Arbeitsgerichts Düsseldorf folgen, wird es für Unternehmen und Behörden nicht leicht, Auskunftsansprüche richtig zu erfüllen. Zudem drohen Risiken durch missbräuchliche oder massenhafte Geltendmachung von Schadensersatzforderungen nach Art. 82 DSGVO.
Hohe Anforderungen bei der Erfüllung von Auskunftsansprüchen
Das Arbeitsgericht Düsseldorf legt bei der Erfüllung von Auskunftsansprüchen nach Art. 15 DSGVO übermäßig hohe Maßstäbe an. Es ist unbestritten, dass der Transparenzgrundsatz eine der tragenden Säulen der DSGVO ist. Solange es aber keine klaren Vorgaben der Rechtsprechung gibt, in welcher Detailtiefe Verarbeitungszwecke und Datenkategorien anzugeben sind, ist es schwer zu rechtfertigen, auf einer solchen Rechtsgrundlage Schadensersatzansprüche zuzusprechen. Dabei ist auch zu berücksichtigen, dass bei dem Anlegen überzogene Maßstäbe flächendeckende Schadensersatzansprüche nicht nur gegen Arbeitgeber und auch erhebliche Bußgeldrisiken für die datenschutzrechtlich Verantwortlichen drohen.
Hohe Risiken durch Schadensersatzforderungen nach Art. 82 DSGVO
Im Ergebnis hat das Arbeitsrecht Düsseldorf für die erfolgreiche Geltendmachung immaterieller Schadensersatzansprüche nach Art. 82 Abs. 1 DSGVO sehr niedrige Maßstäbe angelegt. Die Richter gehen von einem ausgesprochen weiten Schadensbegriff aus. Sie lehnen eine sogenannte Bagatellschwelle für ersatzfähige immaterielle Schäden ab. Zudem urteilen Sie, dass Schadensersatz nach Art. 82 DSGVO abschreckend wirken müsse, was sich mit unserem deutschen Schadensrecht kaum in Einklang bringen lässt. Auch die vertretene Auffassung, dass die Höhe des Schadens von der Finanzkraft des Beklagten abhängen soll, muss man zumindest als Systembruch bewerten.
Weiter Schadensbegriff
Das Arbeitsgericht Düsseldorf wendet einen ausgesprochen weiten Schadensbegriff an. Bislang hatten deutsche und andere europäische Gerichte (etwa das OLG Innsbruck) den Nachweis eines konkreten und spürbaren immateriellen Schadens gefordert. Hier liegt das Arbeitsgericht erkennbar niedrigere Maßstäbe an, ohne dies im Einzelnen zu begründen.
Kein Ausschluss von Bagatellschäden
Auch die Ausführungen des Arbeitsgerichts dazu, dass die Intensität der Beeinträchtigung nur für die Höhe eines möglichen Schadensersatzes relevant sei, ist problematisch. Deutlich überzeugender sind zu dieser Frage die Ausführungen des OLG Dresden, das für einen Anspruch nach Art. 82 DSGVO eine gewisse Erheblichkeit des Schadens fordert (vgl. hierzu etwa Wybitul, NJW 2019, 3265 m.w.N., gratis hier abrufbar).
Schadensersatz soll abschreckend wirken
Besondere Aufmerksamkeit verdient die Aussage des Arbeitsgerichts Düsseldorf, dass ein im Sinne des europarechtlichen Effektivitätsgrundsatzes wirksamer Anspruch auf Schadensersatz voraussetze, dass dieser abschreckend wirke. Hier scheint das Arbeitsgericht den Wirksamkeitsgrundsatz vielleicht etwas überspannt zu haben. Dies zeigt sich beispielsweise auch daran, dass Art. 83 Abs. 1 DSGVO ausdrücklich vorsieht, dass Geldbußen abschreckend wirken sollen. Eine vergleichbare Regelung zum Schadensersatz fehlt hingegen in Art. 82 DSGVO. Zwar sieht Erwägungsgrund 146 Abs. 6 DSGVO vor, dass die betroffenen Personen einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten. Von einem abschreckenden Schadensersatz ist dort jedoch keine Rede. Zudem käme eine solche Einordnung als abschreckende Schadensersatz einem Strafschaden nach US-amerikanische Prägung sehr nahe.
Berufung beim Landesarbeitsgericht Düsseldorf
Die hier genannte Entscheidung ist nicht rechtskräftig. Wegen der grundsätzlichen Bedeutung der entscheidungserheblichen Fragen hat das Arbeitsgericht Düsseldorf die Berufung gesondert zugelassen. Das Landesarbeitsgericht Düsseldorf führt das Berufungsverfahren unter dem Aktenzeichen 14 Sa 294/20.
Fazit: Für Unternehmen (noch) kein Grund zur Panik
Um dies ganz deutlich zu sagen, die Entscheidung gibt keinen Anlass zur Panik. Die Positionen des Arbeitsgerichts Düsseldorf sind zwar vertretbar, aber im Ergebnis weitgehend angreifbar. Vor allem handelt es sich hier um eine erstinstanzliche Entscheidung. Es bleibt zunächst abzuwarten, wie sich das Landesarbeitsgericht Düsseldorf hierzu positioniert. Die vom Arbeitsgericht aufgestellten Thesen sind es allemal wert, dass man sie intensiv diskutiert. Gerade bei der Frage möglicher Schadensersatzansprüche nach Art. 82 DSGVO gibt es viele ungeklärte Fragen, die die Fachliteratur und die Gerichte noch intensiv beschäftigen werden. Dabei ist im Übrigen auch die Frage zu klären, ob sich aus dem in Art. 5 Abs. 2 DSGVO geregelten Rechenschaftsprinzip eine Beweiszumessungsregel zu Lasten datenschutzrechtlich Verantwortlicher ergibt. Einen Überblick zu dieser prozessual wichtigen Frage finden Sie hier.
