Sofern Arbeitgeber eine Anfrage gemäß Art. 15 DSGVO erreicht, sind mehrere Aspekte zu berücksichtigen.
Vermeiden von Schadensersatzansprüchen
Unternehmen ist zu raten, eine funktionierende Organisationsstruktur mit gut dokumentierten Abläufen zu schaffen, um etwaigen Schadensersatzansprüchen von vornherein entgegentreten zu können. Sodann können Auskünfte in der Regel auch zügig und vollständig erteilt werden, bzw. es gelingt der Nachweis, dass eine frühere Auskunft im konkreten Fall nicht möglich war.
2.1 Möglichst schnelle Auskunft erteilen
Am leichtesten entgeht man als Arbeitgeber einer Schadensersatzforderung, indem man möglichst rasch der Anfrage nachkommt und die Auskunft nach Art. 15 DSGVO erteilt. Hierbei ist wichtig, dass die Auskunft "unverzüglich" zu erfolgen hat.
1-Monatsfrist aus Art. 12 Abs. 3 DSGVO
Die 1-Monatsfrist darf gerade nicht routinemäßig, sondern nur in schwierigen Fällen ausgeschöpft werden.
Wann genau eine Auskunft noch unverzüglich und somit fristgemäß erteilt wurde, hängt vom Einzelfall ab und wurde noch nicht höchstrichterlich entschieden. In dem Fall vor dem ArbG Duisburg nahm das Gericht aufgrund geringer Komplexität des Sachverhalts eine Höchstdauer von 1 Woche an.
Ein Überschreiten der 1-Monatsfrist bei der Auskunftserteilung sollte um jeden Preis vermieden werden. Zwar sieht Art. 12 Abs. 3 Satz 2 DSGVO die Möglichkeit vor, die Frist zur Auskunftserteilung auf insgesamt bis zu 3 Monate zu verlängern – dies jedoch nur in engen Ausnahmefällen. Je länger die Auskunft nicht erteilt und die Frist überschritten wird, desto höher wird im Zweifel die zu entrichtende Schadenssumme angesetzt.
Schnelle Auskunftserteilung
Grundsätzlich gilt also: Je schneller die Auskunft erfolgt, desto eher bewegt sich das Unternehmen im Rahmen der gesetzlichen Vorschriften und bleibt frei von Schadensersatzforderungen.
2.2 Vollständige Auskunftserteilung
Die Auskunftserteilung sollte sorgfältig und umfassend unter Berücksichtigung der Auflistung in Art. 15 Abs. 1 Halbsatz 2 DSGVO erfolgen. Auch unvollständige Angaben können einen Schadensersatzanspruch auslösen.
Inhalt des Auskunftsausspruchs
Gemäß Art. 15 hat die auskunftsverlangende Person ein Recht auf Auskunft über die folgenden personenbezogenen Daten und Informationen:
- Die Verarbeitungszwecke;
- die Kategorien personenbezogener Daten, die verarbeitet werden;
- die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden […];
- falls möglich, die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
- das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
- das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
- wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;
- das Bestehen einer automatisierten Entscheidungsfindung, einschließlich Profiling […] und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
2.3 Bearbeitungsvorgang dokumentieren
Weiterhin empfiehlt es sich, für die datenschutzrechtlichen Auskunftsansprüche eine Organisations- und Dokumentationsstruktur mit festen Abläufen zu implementieren. Auf diese Weise ist es möglich, den konkreten Ablauf der Bearbeitungsvorgänge festzuhalten und im Streitfall nachzuweisen. Es sollte im Einzelnen dokumentiert werden, welche Schritte das Unternehmen zu welchem Zeitpunkt nach Eingang der Anfrage unternommen hat. Im etwaigen gerichtlichen Prozess ist so auch ein substanziierter Vortrag möglich, warum eine Auskunft ggf. verspätet erfolgt ist.
2.4 Nachweis eines Schadens fordern
Sofern die Frist des Art. 12 Abs. 3 DSGVO überschritten oder die Auskunft anderweitig nicht ordnungsgemäß erteilt wurde, sollte der Bewerber aufgefordert werden, genau vorzutragen, worin der geltend gemachte Schaden liegt. Denn nicht jeder Verstoß gegen die ordnungsgemäße Auskunftserteilung begründet automatisch einen Anspruch auf Schadensersatz. Dies hat auch der Europäische Gerichtshof (EuGH) so entschieden. Der EuGH hat in einer weiteren Entscheidung jedoch auch festgehalten, dass für die Annahme eines immateriellen Schadens grundsätzlich keine Erheblichkeitsschwelle überschritten worden sein muss.
Es bleibt abzuwarten, welche Maßstäbe die Rechtsprechung in Zukunft entwickeln wird.
Nicht direkt der Schadensforderung nachkommen
Unternehmen sollten einer Schadensforderung nicht allein aufgrund mangelhafter Auskunftserteilung nachkommen. Auch im Rahmen von Art. 82 DSGVO gelten die allgemeinen Grundsätze, wonach der Anspruchsteller die anspruchsbegründenden Umstände darlegen und ...