Datenschutz: Gerichte und Behörden verhängen hohe Geldbußen

Die Datenschutz-Grundverordnung (DSGVO) ist seit 2018 in Kraft. Rechtsanwalt Dr. Philipp Byers gibt im Interview einen Überblick, wie die Behörden und Gerichte mittlerweile mit Datenschutzverstößen umgehen und erklärt, wo für Arbeitgeber die größten Fallen lauern. Problematisch ist nach wie vor insbesondere der Auskunftsanspruch nach § 15 DSGVO.

Haufe Online-Redaktion: Wie ist die Tendenz beim Auskunftsanspruch nach Art. 15 Abs.1 DSGVO? Wird das nach wie vor als "Waffe" der Arbeitnehmer und Arbeitnehmerinnen bei Kündigungsschutzverfahren eingesetzt?

Philipp Byers: Es häufen sich die Fälle, bei denen Mitarbeitende oder Bewerberinnen und Bewerber den Auskunftsanspruch nach Art. 15 DSGVO als "Waffe" gegen Unternehmen ziehen. So nutzen Arbeitnehmende Art. 15 DSGVO, um in Kündigungsschutzverfahren, die oft gar nichts mit Datenschutz zu tun haben, Druck auf Arbeitgeber auszuüben, indem die angeblich fehlerhafte Auskunftserteilung gerügt wird. Dabei wird häufig gedroht, den angeblichen Verstoß bei der Datenschutzaufsichtsbehörde zu melden und ein Bußgeldverfahren zu eröffnen. Dadurch soll das Unternehmen zur Zahlung einer höheren Abfindung "motiviert" werden.

Auch werden Auskunftsansprüche gezielt eingesetzt, um bestimmte Informationen zu erlangen, die der Mitarbeiter für eine rechtliche Auseinandersetzung zu seinen Gunsten verwerten will. Als neuer "Trend" kann beobachtet werden, dass unterlegene Bewerber öfter das Auskunftsbegehren einsetzen, um dadurch nähere Informationen über das Bewerbungsverfahren zu erlangen. Auf Grundlage dieser Informationen werden dann vermeintliche AGG-Ansprüche geltend gemacht.

Auskunftsanspruch laut DSGVO: Gerichte sind sich uneins

Haufe Online-Redaktion:  Schiebt die Rechtsprechung dieser Praxis einen Riegel vor? Wie sehen die jüngsten Urteile dazu aus? Lässt sich eine eindeutige Tendenz der Rechtsprechung erkennen?

Byers: Die Rechtsprechung ist hier sehr uneinheitlich. Das Bundesarbeitsgericht (BAG) hat in aktuellen Entscheidungen eher arbeitgeberfreundlich bezüglich des Umfangs des Auskunftsanspruchs entschieden. So kann der Mitarbeitende im Rahmen von Art. 15 DSGVO nicht pauschal die Vorlage aller Informationen verlangen. Nach dem BAG (Urteil vom 27. April 2021, Az. 2 AZR 342/20) muss sich das Auskunftsbegehren auf bestimmte Informationen eingrenzen lassen. Das BAG setzt damit Auskunftsansprüchen, die der Mitarbeiter als Druckmittel geltend macht, wirkungsvolle Grenzen. Nach dem BAG ist es nicht mehr möglich, dass der Arbeitnehmende die Vorlage aller Informationen verlangt, die seine Person betreffen. Dies würde das Unternehmen gerade in mehrjährigen Arbeitsverhältnissen vor eine unlösbare Aufgabe stellen, da Unmengen an Datensätze durchforstet werden müssten und dennoch das Risiko besteht, dass der Mitarbeitende die unvollständige Vorlage der Informationen moniert.

In der allgemeinen Zivilgerichtsbarkeit vertritt der Bundesgerichtshof (BGH) allerdings eine gegenteilige Auffassung. Nach dem BGH (Urteil vom 15. Juni 2021, Az. VI ZR 576/19) soll der Auskunftsanspruch weit ausfallen. Demnach soll der Betroffene das Recht haben, sich grundsätzlich. Kopien von allen Informationen über seine Person vorlegen lassen zu können. Eine Eingrenzung des Auskunftsbegehrens soll nicht notwendig sein. Ein derart weiter Auskunftsanspruch würde bei Arbeitgebern häufig zu erheblichen Problemen führen, da dann zur Erfüllung von Art. 15 DSGVO das Durchforsten wahrer "Datenfriedhöfe" erforderlich wäre und dennoch die Vollständigkeit der Auskunft nicht sichergestellt ist. Klarheit über den Umfang des Auskunftsanspruchs nach Art. 15 DSGVO wird letztlich erst dann geschaffen, wenn der Europäische Gerichtshof hier das letzte Wort gesprochen hat. Bis dahin bleibt erhebliche Rechtsunsicherheit bestehen.

Klarheit über den Umfang des Auskunftsanspruchs nach Art. 15 DSGVO wird erst dann geschaffen, wenn der Europäische Gerichtshof hier das letzte Wort gesprochen hat." - Rechtsanwalt Dr. Philipp Byers

EuGH soll Klarheit auch zu Schadenersatzansprüchen bringen

Haufe Online-Redaktion: Wie hoch fällt das Schmerzensgeld für Arbeitnehmende aus, wenn ein Arbeitsgericht ihnen wegen der unzulässigen Verarbeitung ihrer personenbezogenen Daten einen Schadensersatzanspruch zubilligt? Gibt es hier einen Trend zu hohen Geldbußen?

Byers: Mittlerweile liegen einige arbeitsgerichtliche Entscheidungen vor, bei denen Mitarbeitende Schadenersatzansprüche wegen DSGVO-Verstößen zugesprochen bekommen haben. Die Schadenersatzhöhe bewegte sich dabei zwischen einigen hundert Euro bis hin zu einem Betrag von 5.000 Euro. Das Arbeitsgericht Düsseldorf (ArbG Düsseldorf, Urteil vom 5. März 2020, Az. 9 Ca 6557/18) hatte einen Schadenersatz in Höhe von 5.000 Euro wegen verspäteter und unzureichender Auskunftserteilung zugesprochen. Uneinigkeit besteht bisher bei den Gerichten, ob jeder DSGVO-Verstoß – unabhängig von einem Schadensnachweis – zu einem Schadenersatzanspruch führen soll. Weiter ist es umstritten, ob die Schadenersatzhöhe ähnlich hoch wie ein durch die Datenschutzaufsichtsbehörde verhängtes Bußgeld ausfallen und damit eine abschreckende Wirkung erzielen soll.

Das BAG hat sich in einer aktuellen Entscheidung klar zugunsten der Arbeitnehmenden positioniert (BAG, Urteil vom 26. August 2021, Az. 8 AZR 253/20). Nach dem BAG soll grundsätzlich jeder Datenschutzverstoß einen Schadenersatzanspruch des Mitarbeitenden begründen können. Ein konkreter Nachweis eines Schadens soll nicht erforderlich sein. Zudem soll es auch nicht auf ein Verschulden des Unternehmens ankommen. Zudem vertritt das BAG die Ansicht, dass Schadenersatzansprüche abschreckend wirken sollen. Danach sollen sie in ähnlicher Höhe ergehen, wie dies bei Bußgeldern durch die Aufsichtsbehörden bereits der Fall ist. Die BAG-Rechtsprechung hätte gravierende Auswirkungen für Unternehmen. Es wäre davon auszugehen, dass die Geltendmachung von Schadenersatzansprüchen inflationär zunehmen würde. Auch hier wird der EuGH final darüber entscheiden, welche Voraussetzungen an die Geltendmachung von Schadenersatzansprüchen zu stellen sind.

Für Unternehmen kann es sich lohnen, Bußgeldbescheide anzufechten

Haufe Online-Redaktion: Wie sieht es mit den teilweise horrend hohen Geldbußen der Datenschutzbehörden aus? Da wurden in den Jahren 2020 und 2021 enorme Bußgelder verhängt. Haben diese hohen Strafen vor den Gerichten Bestand?

Byers: Die Datenschutzbehörden waren in jüngster Zeit bei der Verhängung von Bußgeldern nicht zimperlich. So wurde gegen den Modekonzern H&M durch die Hamburger Datenschutzbehörde ein Bußgeld in Höhe von 35 Millionen Euro verhängt. Auch die Fälle gegen die "Deutsche Wohnen", bei der die Berliner Aufsichtsbehörde ein Bußgeld in Höhe von 14,5 Millionen Euro verhängte, oder gegen den Telekommunikationsdienstleister 1&1, der ein Bußgeld in Höhe von 9,55 Millionen Euro erhielt, sorgten für Aufsehen. Gerade die letztgenannten Fälle zeigen allerdings, dass die Gerichte den Aufsichtsbehörden bei einer Überprüfung der Bußgelder durchaus Grenzen aufzeigen. Das Landgericht Bonn (LG Bonn, Urteil vom 11. November 2020, Az. 29 OWi 1/20) reduzierte den Bußgeldbescheid gegen "1&1" auf 900.000 Euro. Aus Sicht des Gerichts fiel das ursprüngliche Bußgeld durch den Bundesdatenschutzbeauftragten unverhältnismäßig hoch aus. Das Landgericht Berlin hob den Bußgeldbescheid gegen die "Deutsche Wohnen" wegen gravierender Verfahrensmängel insgesamt auf (LG Berlin, Beschluss vom 18. Februar 2021, Az. (526 OWi LG) 212 Js-OWi 1/20). Die Aufsichtsbehörde Berlin hatte den Bußgeldbescheid erlassen, ohne dabei konkret festzustellen, welcher einzelnen Person im Unternehmen ein Datenschutzverstoß vorzuwerfen war. Nach dem LG Berlin kann bei Datenschutzverstößen nicht direkt gegen das Unternehmen vorgegangen werden, sondern es müsse nach den §§ 130, 30 OWiG eine Anknüpfungstat einer Leitungsperson vorliegen. Aufgrund dieses erheblichen Verfahrensmangels war der Bußgeldbescheid nach dem LG Berlin aufzuheben. Die vorgenannten Beispiele zeigen, dass es sich für Unternehmen durchaus lohnen kann, gegen behördliche Bußgeldbescheide gerichtlich vorzugehen. Die Tendenz zeigt, dass die Gerichte durchaus gewillt sind, dem Wildwuchs an behördlichen Bußgeldern Grenzen zu setzen.

Die Tendenz zeigt, dass die Gerichte durchaus gewillt sind, dem Wildwuchs an behördlichen Bußgeldern Grenzen zu setzen." - Rechtsanwalt Dr. Philipp Byers


Gerade die Frage, ob bei Datenschutzverstößen direkt gegen das Unternehmen ohne Anknüpfungstat einer Leitungsperson vorgegangen werden kann, ist sehr umstritten. Das LG Bonn hat ein direktes Vorgehen gegen Unternehmen in seiner Entscheidung bejaht. Nach dem LG Bonn gelte bei DSGVO-Verstößen ein funktionaler Unternehmensbegriff, wie man ihn bereits aus dem Kartellrecht kennt. Dies ergebe sich aus Erwägungsgrund 150 S. 3 DSGVO. Danach würden die Grundsätze aus den §§ 130, 30 OWiG, die eine Anknüpfungstat einer Führungskraft verlangen, bei der Frage nach DSGVO-Bußgeldern nicht gelten. Die Ansicht des LG Bonn würde in der Praxis deutlich zulasten der Unternehmen ausfallen. Den Aufsichtsbehörden würde es deutlich leichter fallen, Bußgelder zu verhängen, da der Nachweis einer Anknüpfungstat, der häufig schwierig ist, entfallen würde. Diese Streitfrage ist nun beim EuGH anhängig, der darüber zu entscheiden hat, ob die DSGVO einen funktionalen Unternehmensbegriff bei der Verhängung von Bußgeldern tatsächlich voraussetzt, oder ob die Grundsätze des OWiG, die zwingend auf eine Anknüpfungstat abstellen, weiterhin bei DSGVO-Bußgeldern Anwendung finden können. Die Entscheidung des EuGH wird in jedem Fall gravierende Auswirkungen auf die Bußgeldpraxis der Behörden und Gerichte haben.


Zum Interviewpartner: Dr. Philipp Byers ist Fachanwalt für Arbeitsrecht und Partner bei der Kanzlei Watson Farley & Williams LLP am Standort München. Einen Schwerpunkt seiner Tätigkeit stellt der Beschäftigtendatenschutz sowie Fragen der arbeitsrechtlichen Compliance dar.


Das könnte Sie auch interessieren:

Auch im Homeoffice ist Datenschutz wichtig

DSGVO: Was heute für Unternehmen gilt

Interview: Auskunftsanspruch kann nicht uneingeschränkt geltend gemacht werden