Datenschutzklagen als neue Gefahr für Unternehmen

Deutsch / English

Häufig mag man die nahezu buchhalterische Abarbeitung von Datenschutzvorgaben belächeln können. Sobald allerdings datenschutzrechtliche Bußgelder oder gar Schadensersatzforderungen in Rede stehen, wandelt sich das nicht selten unterschätzte Datenschutzmanagement in einen Rettungsschirm. Dieser hätte auch angesichts des neuesten Urteils des Arbeitsgerichts Düsseldorf Schadensersatzansprüche in Höhe von 5.000 € verhindert.

Rechtslage

Art. 82 der Datenschutzgrundverordnung (DSGVO) gibt jedem von einem Datenschutzverstoß Betroffenen die Möglichkeit, für Schäden Ersatz zu verlangen.

Da ein Datenschutzvorfall häufig eine Vielzahl von Menschen betrifft, kann das Haftungspotential gefährliche Ausmaße annehmen, zumal sich schon einige Anbieter darauf spezialisiert haben, Schadensersatzforderungen aus Datenschutzrecht massenhaft geltend zu machen.

Natürlich setzt ein Anspruch aus Art. 82 DSGVO voraus, dass beim Betroffenen ein Schaden entstanden ist. Umfasst sind dabei sowohl materielle Schadenspositionen (z.B. Kosten) als auch immaterielle Schadenspositionen (z.B. Schmerzensgeld), die teilweise auch pauschal vom jeweiligen Gericht festgesetzt werden. Die meisten Gerichte gehen allerdings davon aus, dass es auch eine Bagatellschwelle für vernachlässigbare Verstöße gebe. Diese Schwelle dürfte allerdings sehr niedrig liegen.

Art. 5 Abs. 2 DSGVO erlegt den datenschutzrechtlich Verantwortlichen eine Rechenschaftspflicht auf. Dies bedeutet, dass der Verantwortliche jederzeit die Rechtmäßigkeit seiner Datenverarbeitung belegen können muss. Betroffen sind hier alle Prozesse, Strukturen und Datenverarbeitungen, die konform mit der DSGVO abzulaufen haben. Der Kläger muss spiegelbildlich lediglich den Verstoß gegen Datenschutzrecht darlegen.

ArbG Düsseldorf: Schadensersatz in Höhe von 5.000 €

Das Arbeitsgericht Düsseldorf hat einem Kläger kürzlich immateriellen Schadensersatz in Höhe von beachtlichen 5.000 € zugesprochen, weil sein früherer Arbeitgeber einen Auskunftsantrag zu über ihn verarbeiteten Daten verspätet und unvollständig beantwortet habe (ArbG Düsseldorf, Urt. v. 05.03.2020, Az. 9 Ca 6557/18, Berufung beim LAG anhängig). Eine unvollständige Auskunftserteilung erschwere dem Kläger die Kontrolle über seine personenbezogenen Daten. Dieser augenscheinlich geringwertige Verstoß hat also nicht unerhebliche finanzielle Folgen für den Arbeitgeber.

Das Arbeitsgericht äußerte, dass der Schadensersatz zudem abschreckend sein müsse, um dem europarechtlichen Effektivitätsgrundsatz Rechnung zu tragen. Zwar stößt diese an den amerikanischen „Strafschadensersatz“ angelehnte Ansicht auf erheblichen Widerstand in der Literatur, dennoch stellt das Urteil zunächst einen Anhaltspunkt für die Bemessung von Schadensersatzansprüchen dar.

Gefahren für die Praxis

Für Kläger, Verbraucheranwälte und Prozessfinanzierer könnte es diese Rechtsprechung lukrativ machen, Schmerzensgeld wegen verhältnismäßig geringfügiger DSGVO-Verstöße einzuklagen. So wäre denkbar, dass Arbeitnehmer künftig im Falle einer Kündigung standardmäßig Auskunftsansprüche nach Art. 15 DSGVO geltend machen, um einen Schadensersatzanspruch gegen ihren Arbeitgeber vorzubereiten. Hier müssen sich die Unternehmen bei der Bearbeitung solcher Auskunftsverlangen eines gewissen Risikos bewusst sein und möglichst sorgsam tätig werden.

Empfehlung für die Praxis

Die teilweise sperrigen Vorgaben der Datenschutzgrundverordnung sollten keinesfalls unterschätzt werden. Immer mehr zeichnet sich nämlich ein erhöhtes Haftungsrisiko bei Fehlverhalten ab. Dies gilt insbesondere für Informations- und Rechenschaftspflichten. Diesen sollten Sie besonders sorgfältig nachgehen.

Gerne prüfen wir Ihr aktuelles Datenschutzmanagement und beraten Sie zu Ihren Pflichten als Verantwortlicher, insbesondere bezüglich Auskunftspflichten. Sprechen Sie uns gerne an.

Alexander Brittner, LL.M.
Rechtsanwalt, Datenschutzbeauftragter (TÜV)

E-Mail: alexander.brittner@bolex.de
Telefon: +49 (234) 9136189