Bundesweit kostenfreie Erstberatung per Telefon und E-Mail Erstberatung:
 info@jurando.de  0800 18 272 00

Die Datenschutzklage nach Artikel 82 DSGVO

Urteil des ArbG Düsseldorf vom 05.03.2020, Az. 9 Ca 6557/18  

Arbeitsgericht verhängt Schadens­ersatz in Höhe von 5.000 EUR wegen Verletzung des Auskunfts­rechtes

Das Arbeitsgericht Düsseldorf sprach einem Kläger einen Schadensersatzanspruch in Höhe von 5.000 EUR zu, weil sein früherer Arbeitgeber seinen Auskunftsantrag im Sinne des Artikel 15 DSGVO verspätet und unvollständig beantwortet hatte. Bisher galt, dass Kläger bei der Geltendmachung von immateriellen Schadensersatzansprüchen einen spürbaren Schaden darlegen und beweisen mussten.

Auskunftsklage im Datenschutz: Urteil des ArbG Düsseldorf
Quelle: © Tanja Esser - adobe.stock.com

Datenschutzklage im Sinne des Artikel 82 DSGVO - die bisherige gerichtliche Rechtsauffassung

Innerhalb der sogenannten Datenschutzklagen nach Art. 82 DSGVO, bei denen Kläger Schadenersatzansprüche wegen Verstößen gegen datenschutzrechtliche Vorgaben geltend machen, vertraten die Gerichte bislang die Auffassung, dass Art. 82 DSGVO eher zurückhaltend auszulegen sei. Bei der Geltendmachung von immateriellen Schadenersatzansprüchen ist es Aufgabe der Kläger, darzulegen und zu beweisen, dass sie in Folge des Verstoßes gegen datenschutzrechtliche Vorgaben einen spürbaren Schaden erlitten haben. Ein lediglich "mögicher Verstoß" gegen Vorgaben der DSGVO sei gerade nicht für den Zuspruch eines Schadenersatzes ausreichend. 

Ein Urteil das alles verändert?

Von der bisherigen Gerichtspraxis abgewichen ist nunmehr das Arbeitsgericht Düsseldorf in einem aktuellen Urteil vom 05.03.2020. Die Düsseldorfer Richter sprachen einem Kläger im Rahmen einer Datenschutzklage nach Art. 82 DSGVO einen Anspruch auf Schadensersatz in Höhe von 5.000 EURO zu, da sein ehemaliger Arbeitgeber seiner Auskunftspflicht nach Art. 15 Abs. 1 DSGVO nicht bzw. nicht vollständig und rechtzeitig nachgekommen ist. 

Der Sachverhalt

Die Parteien stritten über datenschutzrechtliche Auskunft und Information sowie eine Entschädigung in Höhe von ursprünglich 143.482,81 €. Bei der Beklagten handelte es sich um ein Unternehmen, bei dem der Kläger bis Januar 2018 beschäftigt war. Im Rahmen des bestehenden Arbeitsverhältnisses übersandte die Beklagte personenbezogene Daten des Klägers an Drittunternehmen.

Nach Beendigung des Arbeitsverhältnisses verlangte der Kläger von der Beklagten Auskunft und Informationen zu der Verarbeitung seiner personenbezogenen Daten. Die Beklagte übersandte daraufhin ein Konvolut an Anlagen, Kopien und Abdrucken personenbezogener Daten und einer Datenübermittlungsvereinbarung. Da der Kläger die Auffassung vertrat, die ihm seitens der Beklagten erteilte Auskunft sei unvollständig, bestritt er sodann den Klageweg, im Rahmen dessen er insbesondere vortrug, dass die Beklagte Auskunft über all diese Daten zu erteilen habe, die bei ihr vorhanden seien. Maßgeblich sei insoweit der Datenbestand zum Zeitpunkt des Auskunftverlangens. Darüber hinaus verlangte er von der Beklagten unter anderem Auskunft über den Verarbeitungszweck, den Umfang der Spericherdauer, Offenlegung der Empfänger sowie eine Entschädigung aufgrund des Verstoßes gegen sein datenschutzrechtliche Auskunftsersuchen.

Die Beklagte vertrat die Auffassung, dass sie das Auskunfts- und Informationsverlangen des Klägers durch die vorgerichtliche Übersendung von zahlreichen Unterlagen, vollumfänglich erfüllt habe. Sie beantragte daher Klageabweisung.

Die Entscheidungsgründe 

Die Düsseldorfer Richter kamen zu der Entscheidung, dass der klagende ehemalige Arbeitnehmer gegen die Beklagte einen Anspruch auf Ersatz des ihm infolge des Verstoßes gegen datenschutzrechtliche Vorgaben, entstandenen materiellen Schadens in Höhe von 5.000 € zustehe.

Erst einmal bestünde der vom Kläger geltend gemachte Auskunftsanspruch gemäß Art. 15 Abs. 1, 1.Halbsatz, gerichtet auf Auskunft, ob seine personenbezogenen Daten durch die Beklagte verarbeitet werden, auch im Arbeitsverhältnis. Das Betroffenenrecht auf Auskunft befindet sich im 3. Kapitel der DSGVO; die allgemeinen Bestimmungen dieses Kapitels enthalten insoweit eine Vollregelung auch zum Beschäftigtendatenschutz, (Art. 288  Abs. 2 AEUV). 

Der Kläger könne seinen Auskunftsanspruch jedoch nur im Hinblick auf die Auskunft über die Verarbeitung seiner personenbezogenen Daten durch die Beklagte als datenschutzrechtliche Verantwortliche. Er könne jedoch keine Auskunft dahingehend verlangen, welche Unternehmen/ Personen seine Daten darüber hinaus noch verarbeiten, denn eine Pflicht zur Mitteilung über eine eigenverantwortliche Datenverarbeitung durch Dritte sei in Art. 15 Abs. 1, 1. Halbsatz DSGVO gerade nicht enthalten. 

Darüber hinaus stünde dem Kläger ein vollumfängliches Auskunftsrecht in Bezug auf den jeweiligen Zweck der Verarbeitung seiner personenbezogenen Daten zu. Für den Umfang des Auskunftsverlangens sei auf den Datenbestand im Zeitpunkt der Geltendmachung des Auskunftsrechtes durch die betroffene Person abzustellen. Nur so könne man verhindern, dass sich der Verantwortliche seiner Auskunftspflicht mit dem Einwand entzieht, er habe Daten, die er in der Vergangenheit einmal verarbeitet hat, bereits gelöscht. Im Rahmen des Auskunftsverlanges über den Zweck der Verarbeitung, sei der Verantwortliche darüber hinaus verpfichtet, die hierzu getroffenen Angaben so detailliert und konkret wie möglich zu machen; der Betroffene muss sich ein eindeutiges Bild darüber machen können, welche Datenverarbeitung zu welchem Zweck erfolgt. Pauschale Angaben oder Verweise auf entsprechende Unterlagen seien nicht ausreichend und stellen insoweit eine unzureichende Transparenz dar; "die Bezugnahme auf einen Anhang, erst recht wenn er Hunderte Seiten umfasst, ersetzt keine Mitteilung in Form und Sprache gemäß Art. 12 Abs. 1 S. 1 DSGVO", (siehe ArbG Düsseldorf, 05.03.2020, 9 Ca 6557/18). Die pauschale Auskunft der Beklagten führte bei dem Kläger daher zu einem Verstoß gegen sein Betroffenenrecht im Sinne der DSGVO.

Auch hinsichtlich des vom Kläger geltend gemachten Informationsanspruches urteilten die Richter, dass die Beklagte den Informationspflichten im Sinne der Art. 13 Abs. 1 und Art. 14 Abs. 1 DSGVO, zum Zeitpunkt der Datenerhebung nachkommen muss.

So viel zu den Begründungen hinsichtlich des vom Kläger geltend gemachten Auskunfts- und Informationsbegehren gegenüber der Beklagten und deren Verletzung aufgrund unzureichender Angaben.

Doch warum ist gerade dieses Urteil so brisant und ein möglicher Vorstoß im Bereich der Datenschutzklage?

Das Vorliegen eines möglichen Schadens und die Bemessung der Entschädigungshöhe

Wirklich interessant wird das Urteil erst im Rahmen der Entscheidungsgründe in Bezug auf den vom Kläger geltend gemachten Entschädigungsanspruch. 

Die Düsseldorfer Richter legten hier eine Kehrtwende beim Schadenersatz ein. Entgegen der bisherigen Gerichtspraxis urteilten sie, dass bereits die unrichtige oder unvollständige Erteilung einer Auskunft einen ersatzfähigen Schaden im Sinne von Art. 82 Abs. 1 DSGVO darstelle, denn nach dieser Norm könne "jeder Verstoß gegen die Verordnung" (gemeint: DSGVO) eine Schadenersatzpflicht begründen.

Bei Verstößen gegen das Auskunftsverlange handele es sich um eine Beeinträchtigung des zentralsten Betroffenenrechts. Gelichzeitig würde hierdurch auch  europäisches Grundrecht (Art. 8 Abs. 2 S. 2GRCh) der betroffenen Person verletzt werden. Durch diese Vorschrift sei das Recht auf Auskunft ausdrücklich zu gewährleisten. Eine unvolständige Auskunft erschwere dem Kläger die Kontrolle über seine personenbezogene Daten. 

Zur Haftung der Beklagten führte das Gericht aus, dass diese gerade nicht vorgetragen habe, für die Verstöße gegen die unzureichende Auskunft nicht verantwortlich zu sein, sodass allein aus diesem Grunde ihre Haftung gerade nicht entfiele. 

Hinsichtlich der Höhe wich das Gericht ebenfalls von der Auffassung ab, dass Art. 82 DSGVO eine Bagatellschwelle enthalte, die - um einen Anspruch auf Schadenersatz zu haben - erst überschritten werden müsse. Die Schwere des erlittenen Schadens habe keinen Einfluss auf die Bemessung der Höhe eines Schadensersatzanspruches. Man könne sich insoweit für die Bemessung an Art. 83 Abs. 2 DSGVO orientieren, sodass "als Zumessungskriterien unter anderem Art, Schwere, Dauer des Verstoßes, Grad des Verschuldens, Maßnahmen zur Minderung des den betroffenen entstandenen Schadens sowie die Kategorien der betroffenen personenbezogenen Daten betrachtet werden", (siehe ArbG Düsseldorf, Urt. 05.03.2020, 9 Ca 6557/18).

Nur ein spürbarer Schadenersatz wirke auf die Unternehmen abschreckend. 

Die Datenschutzklage: Bald als lukratives Geschäftsmodell?

Sollte sich die übrige Rechtssprechung den Ansichten der Düsseldorfer Richter anschließen, hätten Kläger demnach gute Chancen, im Rahmen der Schadenersatzklagen nach Art. 82 DSGVO nennenswerte Berträge unter geringem Aufwand zu erstreiten.

Nach dem Urteil des ArbG Düsseldorfs haben Kläger lediglich die Art des Verstoßes gegen datenschutzrechtliche Vorgaben darzulegen und zu beweisen, ein tatsächlicher Schaden hingegen muss nicht dargelegt und bewiesen werden. Die einfache Geltendmachung von Schadenersatzansprüchen bedeutet für Unternehmen ein großes finanzielles Risiko, da der jeweilige Datenschutzvorfall in der Regel nicht nur einen einzelnen Mitarbeiter oder Kunden, sondern eine Vielzahl von Menschen betrifft.

Im Rahmen der Anwendung von Legal-Tech- Verfahren wird es daher ohne großen Aufwand möglich sein, eine Vielzahl solcher Klagen erfolgsversprechend zu verfolgen.

>> Unsere Leistungen als Datenschutzbeauftragter >> Demo-Schulung zur DSGVO starten (Dauer: 20min.)
Urteil des ArbG Düsseldorf vom 05.03.2020, Az. 9 Ca 6557/18

Dr. Dennis Werner

Fachanwalt für IT-Recht
TÜV-zertifizierter Datenschutz­beauftragter

Auskunftsklage im Datenschutz: Urteil des ArbG Düsseldorf

Fragen zum Datenschutz?

Rufen Sie uns an
0800 18 272 00
Oder schreiben Sie uns
info@jurando.de
Wie wir Sie im Datenschutz unterstützen,
erfahren Sie im Video.

Datenschutzlösungen im Vergleich

Kein Datenschutz­beauftragter Trotz Verpflichtung
  • Kein Datenschutz­beauftragter
  • Bußgelder bis 10 Mio. € auch gegenüber kleinen Unternehmen
  • Abmahnrisiko durch Mitbewerber
  • Haftung der Geschäftsführung
  • Reputationsverlust bei Geschäftspartnern
Klassischer Datenschutz­beauftragter Interner/Externer DSB vor Ort
  • Interner o. externer Datenschutz­beauftragter
  • Ansprechpartner bei allen Fragen zum Datenschutz
  • Keine moderne Softwarelösung
  • Meist höhere Kosten durch Vor-Ort-Schulungen
  • Interner DSB: Arbeitsrechtlicher Kündigungsschutz
  • Interner DSB: Zeit- und kostenaufwendige Aus-/Fortbildung
Digitaler Datenschutz­beauftragter Die Jurando-Lösung
  • Externer Datenschutz­beauftragter
  • Ansprechpartner bei allen Fragen zum Datenschutz
  • Minimaler eigener Zeitaufwand
  • Keine kostenintensiven Vor-Ort-Termine erforderlich
  • Datenschutz-Management-Software automatisiert Prozesse
  • Ständig aktuelles Datenschutz-Management-Handbuch
  • E-Learning zur Mitarbeiter­schulung

Kundenmeinungen

„Wir sind ein kleiner Betrieb, hatten mit Datenschutz bisher wenig zu tun. Die Mitarbeiter von Jurando GmbH haben uns bei den ersten Schritten geholfen und uns kompetent bei der Umsetzung der neuen Pflichten unterstützt.“

Christian K.

„Das Team von Jurando hat mich schnell mit einem Sofort-Maßnahmen-Paket zur Aktualisierung meiner Datenschutzerklärung unterstützt. Mein Ansprechpartner war gut erreichbar. Deshalb: 5 Sterne!“

Michael S.

„Ich bin viel zu spät auf die Datenschutzverordnung aufmerksam geworden. Zum Glück habe ich noch jurando gefunden, die mich kurzfristig bei der Umsetzung der wichtigsten Verpflichtungen unterstützt hat.“

Dieter W.

„Da wir über 10 Mitarbeiter sind, mussten wir im Mai den neuen Datenschutz befolgen. Wir sind dann im Web auf dieses Angebot gekommen und wurden in mehreren persönlichen Gesprächen gut von Dr. Werner unterstützt“

Ardian F.

„Bei uns war ein Datenschutzbeauftragter erforderlich. Den haben wir hier unkompliziert gefunden. Bisher alles gut.“

Daniel T.

„Als Arztpraxis hatte man uns auf die DSGVO aufmerksam gemacht. Ich bin dann bei ihrer Veranstaltung im Kulturhaus gewesen. Gut, dass wir in unserer Nähe einen Datenschutzbeauftragten als Ansprechpartner gefunden haben.“

Matthias H.

JURANDO GmbH hat 4,92 von 5 Sternen | 34 Bewertungen auf ProvenExpert.com
Externer Datenschutzbeauftragter (DSGVO & Datenschutz-Management-Software)
Erfahrungen & Bewertungen zu JURANDO GmbH