Schadensersatz für unvollständige Auskunft über Datenverarbeitung?

Das Arbeitsgericht Düsseldorf hat kürzlich einen Arbeitgeber dazu verurteilt, an einen ehemaligen Arbeitnehmer Schadensersatz in Höhe von 5.000 Euro zu bezahlen. Hintergrund war, dass der Arbeitgeber einerseits nicht schnell genug, andererseits nicht umfassend genug Auskunft über die Datenverarbeitung im Unternehmen erteilt hatte.

Dieses Urteil ist ein kleiner Kanonenschlag: Denn Gerichte waren bisher eher zurückhaltend mit Ansprüchen auf Schadensersatz von Betroffenen. So musste bisher eine Art Bagatellgrenze überschritten werden. D.h. Verstöße die keine besonderen Auswirkungen auf den Betroffenen hatten, lösten auch keinen Anspruch auf Schadensersatz aus.

Hintergrundinfo

Trennen Sie den Schadenersatzanspruch vom Bußgeld: Durch die DSGVO werden die Aufsichtsbehörden in die Lage versetzt, millionenschwere Bußgelder zu verhängen. Neben dieser Sanktionsart gibt es noch die Rechte des Betroffenen, also der Person, deren Daten verarbeitet wurden. Betroffene haben einen Anspruch auf Auskunft (Art. 15 DSGVO), Löschung, Richtigstellung usw. – und einen Anspruch auf Schadenersatz. In den in diesem Beitrag diskutierten Fällen geht es um die Frage, ob der Betroffene Schadenersatz verlangen kann.

Das Arbeitsgericht Düsseldorf hat nun die Anforderungen an den Schadenersatz deutlich reduziert, umgekehrt die Höhe auch angehoben. Verstöße müssten sanktioniert werden und weh tun, sonst sei es uneffektiv.

Tatsächlich ist die Absicht vorhanden, bestenfalls mit Hilfe von Legal Tech massenhaft Ansprüche auf Schadenersatz geltend zu machen. Legal Tech erleichtert wenigen Anwälten massenhaft Verfahren zu bearbeiten. U.a. wurde das bisher erfolgreich im Diesel-Skandal bspw. gegen VW umgesetzt. Sollte sich die Rechtsprechung des Arbeitsgerichts Düsseldorf festigen bzw. durchsetzen, müssen Unternehmen in Zukunft damit rechnen, sich massenhaft Auskunftsansprüchen ausgesetzt zu sehen. Aus denen sollen dann Ansprüche auf Schadenersatz hergeleitet werden.

Was muss beauskunftet werden?

Verlangt ein Betroffener Auskunft, so muss u.a. über folgende Punkte informiert werden:

  • die Verarbeitungszwecke;
  • die Kategorien personenbezogener Daten, die verarbeitet werden;
  • die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden. Insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;
  • falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden. Oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer.

Ein zusätzlicher Aspekt des Auskunftsanspruch wird relevant werden. Insbesondere, nachdem der Europäische Gerichtshof vor wenigen Tagen das EU-US-Privacy-Shield für unwirksam erklärt hat:

Werden personenbezogene Daten an ein Drittland oder an eine internationale Organisation übermittelt, so hat die betroffene Person das Recht, über die geeigneten Garantien gemäß Artikel 46 im Zusammenhang mit der Übermittlung unterrichtet zu werden.

Denn tatsächlich reicht es jetzt nicht mehr aus, Daten auf Basis des EU-US-Privacy-Shields in die USA zu transferieren. Hier droht also Ungemach!

1. Nutzen Sie die Zeit und gehen Sie die Änderungen an, die sich aus dem EuGH-Urteil zum Privacy-Shield ergeben! Warten Sie nicht ab, bis der erste Auskunftsanspruch da ist; auch Abmahnungen sind denkbar!

2. Stellen Sie sicher, dass Sie DSGVO-konform aufgestellt sind. Ist der erste Auskunftsanspruch im Haus, ist es zu spät, damit anzufangen.

Wenn Sie Unterstützung bei der Umsetzung der DSGVO brauchen, melden Sie sich bei uns und schicken eine E-Mail an info@eventfaq.de

Mein Kollege Timo Schutt ist unser Datenschutzrechtexperte!

Thomas Waetke
Rechtsanwalt
Fachanwalt für Urheber- und Medienrecht
Herausgeber & Autor des Themenportals www.eventfaq.de

Urheberangabe für das Foto für diesen Beitrag:

  • privacy-policy-3344455_1280: pixabay