Schadensersatz wegen nicht erteilter Datenschutzauskünfte

Erteilt ein Arbeitgeber auf ein Auskunftsverlangen eines oder einer Arbeitnehmenden keine oder nur eine unvollständige Auskunft, so hat der oder die Mitarbeitende einen Schadensersatzanspruch. Das Landesarbeitsgericht Hamm bezifferte diesen im entschiedenen Fall auf 1.000 Euro.

Eine bei einem ambulanten Pflegedienst beschäftigte Hauswirtschafterin war am 30. Januar 2020 zum 29. Februar 2020 gekündigt worden. Die gekündigte Arbeitnehmerin machte noch am Tag des Kündigungszugangs unter Fristsetzung bis zum 13. Februar 2020 einen "Auskunftsanspruch nach der Datenschutzgrundverordnung (DSGVO) im Hinblick auf sämtliche bei Ihnen gespeicherten Daten, insbesondere die Daten der Arbeitszeiterfassung" geltend und erhob einen Tag später Kündigungsschutzklage, wobei sie im Rahmen des Kündigungsschutzprozesses im August 2020 wegen bis dahin immer noch nicht erteilter Auskunft auch die Zahlung eines in das Ermessen des Gerichts gestellten immateriellen Schadensersatzanspruchs auf der Grundlage von Art. 15 DSGVO beanspruchte.

DSGVO-Auskunft zu spät und nur rudimentär gegeben

Nachdem der Arbeitgeber ein halbes Jahr lang auf das Auskunftsverlangen gar nicht reagiert hatte, übersandte er der Arbeitnehmerin im August 2020 ihre Arbeitszeitnachweise. Das Landesarbeitsgericht (LAG) Hamm erkannte darin einen Verstoß gegen die DSGVO. Zuvor hatten einige Gerichte - nicht nur Arbeitsgerichte – keine Schadensersatzansprüche zugebilligt, weil wegen der Nichterteilung der Auskünfte keine "ernsthafte Beeinträchtigungen" gegeben seien (es sich also nur um Bagatellverstöße handele). Die Gerichte hatten verlangt, dass für die Gewährung eines Schmerzensgeldes "eine nicht bloß individuell empfundene Unannehmlichkeit" eingetreten sein müsse. Das Bundesverfassungsgericht hatte daraufhin in einem anderen Fall im Januar 2021 einer Verfassungsbeschwerde gegen die Ablehnung eines Schadensersatzes wegen fehlender Erheblichkeit eines Rechtsverstoßes stattgegeben (BVerfG, Beschluss vom 14. Januar 2021 - 1 BvR 2853/19). Die obersten Verfassungsrichter hatten ausgeführt, dass das Merkmal einer "Erheblichkeit" des Rechtsverstoßes so weder unmittelbar in der DSGVO angelegt sei noch von der Rechtsliteratur befürwortet oder vom Gerichtshof der Europäischen Union verwendet werde. Von daher sei es nicht zulässig, einen Schadensersatzanspruch zu verneinen, weil es an der Erheblichkeit des Rechtsverstoßes mangele.

Keine Erheblichkeit des Rechtsverstoßes nötig

Diese Rechtsauffassung des BVerfG berücksichtigte das LAG Hamm in seinem Urteil. Es begründetet den Schadensersatzanspruch damit, dass sich der DSGVO nicht entnehmen lasse, dass der Anspruch einen qualifizierten Verstoß gegen die DSGVO voraussetzt. Für die Annahme einer Erheblichkeitsschwelle oder – andersherum formuliert – die Ausnahme von Bagatellfällen, gebe es keinen Anhaltspunkt. Der Schadensbegriff müsse im Lichte der Rechtsprechung des Europäischen Gerichtshofes weit und auf eine Weise ausgelegt werden, die den Zielen der DSGVO in vollem Umfang entspricht.

In jedem Arbeitsverhältnis verarbeite der Arbeitgeber zwangsläufig personenbezogene Daten seiner Mitarbeitenden. Jeder Arbeitgeber würde mindestens die Kontaktdaten, die Bankdaten zwecks Überweisung des Entgelts sowie die Anwesenheits- und Fehlzeitendaten seiner Mitarbeitenden erheben, speichern und verwenden. In welchem Umfang und in welchen Kategorien eine solche Verwendung erfolge, sei Arbeitnehmenden nicht ohne Weiteres ersichtlich. Ebenso könnten Arbeitnehmende nicht von sich aus erkennen, ob Daten auch Dritten zur Verfügung gestellt und für welche Dauer – gegebenenfalls auch nach Beendigung des Arbeitsverhältnisses – diese Daten gespeichert bleiben.

LAG-Urteil: Schadensersatz wegen mangelhafter DSGVO-Auskunft

Der Arbeitgeber habe nur im August 2020 Arbeitszeitnachweise übersandt, aber keine Informationen über weitere personenbezogene Daten der Arbeitnehmerin. Eine Kontrolle über diese Daten habe die Arbeitnehmerin jedoch nicht, solange der Arbeitgeber seiner Auskunftspflicht – in erster Stufe zumindest hinsichtlich der Bestätigung des "Ob" der Verarbeitung personenbezogener Daten – nicht nachkomme. Der Beschäftigten fehle dabei nicht nur die Kenntnis, welche Kategorien von Daten der Arbeitgeber formalisiert oder nicht formalisiert verarbeite. Sie könne ebenso nicht beurteilen, wie lange solche Daten nach Beendigung des Arbeitsverhältnisses weiter gespeichert blieben und an welche Dritte der Arbeitgeber solche Daten gegebenenfalls weiterreiche.

Die Schwere des immateriellen Schadens, mithin das Gewicht der Beeinträchtigung, das die Arbeitnehmerin – subjektiv – wegen der bestehenden Unsicherheit und des Kontrollverlustes empfinden mag, sei für die Begründung der Haftung nach Art. 82 Abs. 1 DSGVO und mithin für die Frage des "Ob" eines entstandenen Schadens nicht erheblich, urteilten die Richter des LAG Hamm. Diese bezifferten den Schaden auf 1.000 Euro.

Hinweis: Landesarbeitsgericht Hamm, Urteil vom 11. Mai 2021, Az: 6 Sa 1260/20


Das könnte Sie auch interessieren:

Mitarbeiterfotos: Arbeitgeber muss Schmerzensgeld wegen Datenschutzverstoß zahlen

Neue Regelung zum Datenschutz im Betriebsverfassungsgesetz – und nun?

EuGH soll Voraussetzungen für Abberufung von Datenschutzbeauftragten klären