Jede Datenschutzverletzung kann einen Schadensersatzanspruch begründen. Praxisrelevant ist vor allem ein Ausgleich für immaterielle Schäden, also eine Art „Schmerzensgeld“. Wer das Datenschutzrecht kennt, weiß, dass Perfektion in seiner Umsetzung schwer zu erreichen ist. Muss es dann für Datenschutzverletzungen nicht eine „Bagatellgrenze“ geben, unterhalb derer kein Schadensersatz verlangt werden kann? Das Landesarbeitsgericht Niedersachsen meint: „Nein.“

Die Entscheidung: Keine Erheblichkeitsschwelle

Das Landesarbeitsgericht Niedersachsen hatte über den Anspruch eines Arbeitnehmers gegen seinen Arbeitgeber zu entscheiden (LAG Niedersachsen, Urteil vom 22.10.2021, Az. 16 Sa 761/20). Der Anspruch wurde von dem Arbeitnehmer damit begründet, dass der Arbeitgeber einen Auskunftsanspruch nach Art. 15 Datenschutz-Grundverordnung (DS-GVO) nicht vollständig und nicht rechtzeitig erfüllt habe. Das Gericht kam zu dem Ergebnis, dass der Auskunftsanspruch zwar weitgehend, aber eben doch nicht vollständig erfüllt worden sei und dass der Arbeitgeber es versäumt hatte, eine vertretbare Fristverlängerung rechtzeitig zu begründen. Die Beeinträchtigung des Persönlichkeitsrechts des Arbeitnehmers sah es als eher gering an, so dass es sich mit der Frage auseinandersetze, ob es für Datenschutzrechtsverletzungen eine „Erheblichkeitsschwelle“ geben müsse und nur bei deren Überschreiten ein Schadensersatzanspruch in Betracht käme. 

Das Landesarbeitsgericht Niedersachsen kam zu dem Ergebnis, dass der Anspruch auf Ersatz immateriellen Schadens (nach Art. 82 DS-GVO) nicht das Überschreiten einer „Erheblichkeitsschwelle“ erfordert. Es sei eine weite Auslegung des Art. 82 DS-GVO geboten. Dies folge u. a. aus Erwägungsgrund 146 zur DS-GVO, der vorsieht, dass der Begriff des Schadens weit und auf eine Art und Weise auszulegen sei, die den Zielen der DS-GVO in vollem Umfang entspreche. Hiermit wäre es unvereinbar, wenn nur bei erheblichen Rechtsverstößen eine Schadensersatzpflicht eintreten werde. Der Schadensersatz solle vollständig und wirksam sein. Die Schwere der Rechtsverletzung sei vielmehr auf der Ebene der Höhe des Schadensersatzanspruchs zu berücksichtigen. Das LAG hielt aufgrund der relativen Geringfügigkeit der Datenschutzrechtsverletzung einen Schadensersatz in Höhe von EUR 1.250 für angemessen. 

Konsequenzen für die Praxis

Die Entscheidung zeigt auf, dass Arbeitgeber und andere Verantwortliche im Sinne des DS-GVO gerade dann, wenn sie personenbezogene Daten von zahlreichen betroffenen Personen verarbeiten, eine vollständige Umsetzung datenschutzrechtlicher Bestimmungen anstreben sollten. Anderenfalls drohen schon bei „Bagatellverstößen“ durchsetzbare immaterielle Schadensersatzansprüche. Selbst wenn die Beträge bei geringfügigen Datenschutzverletzungen im Einzelfall nicht sehr hoch sein mögen, kann eine Vielzahl von Fällen oder der damit verbundene Verwaltungsaufwand zu erheblichen finanziellen Belastungen führen. 

So wenig, wie man sich bei Entscheidungen von Datenschutzaufsichtsbehörden darauf verlassen kann, dass diese im Rahmen des Opportunitätsprinzips bei geringfügigen Datenschutzverletzungen auf einen Bußgeldbescheid verzichten, kann man sich darauf verlassen, dass Gerichte wegen der Geringfügigkeit einer Verletzung des Datenschutzrechts Anträge auf Verurteilung zur Zahlung eines immateriellen Schadensersatzes abweisen.

Weiterführende Links: