blog.esche

Aktuelles aus den Bereichen
Recht, Steuern und Wirtschaftsprüfung

22
März
2023

Compliance

Urteil des Arbeitsgerichts Oldenburg zeigt die zukünftige Tendenz bei Verletzungen der DS-GVO

Dr. Philipp Engelhoven , Dr. Philipp Engelhoven

Urteil des Arbeitsgerichts Oldenburg zeigt die zukünftige Tendenz bei Verletzungen der DS-GVO
Das Arbeitsgericht Oldenburg hat ein Unternehmen dazu verurteilt, einem ehemaligen Arbeitnehmer aus Art. 82 Abs. 1 DS-GVO immateriellen Schadensersatz in Höhe von EUR 10.000 zu zahlen, weil es einem Auskunftsanspruch nach Art. 15 Abs. 1 DS-GVO nicht nachgekommen ist. Die Verletzung der DS-GVO selbst führe zu einem immateriellen Schaden, der keiner näheren Darlegung bedarf. Das Urteil zeigt, dass Auskunftsansprüche in Zukunft noch relevanter werden. Unternehmen müssen sich den datenschutzrechtlichen Risiken bewusst sein und eine angemessene Compliance schaffen.  

Zum Urteil (ArbG Oldenburg, 09.02.2023 – 3 Ca 150/21)
Der Kläger verlangte unter anderem von seiner ehemaligen Arbeitgeberin - einer Firma für Feuerwerkskörper - Auskunft nach Art. 15 Abs. 1 DS-GVO. Im Rahmen der Tätigkeit als Geschäftsführer für das Unternehmen wurden die Daten des ehemaligen Mitarbeiters verarbeitet. Nachdem die Arbeitgeberin die Auskunft zunächst verweigerte, reichte sie diese nach 20 Monaten im Prozess nach. Der Kläger machte neben der Auskunft einen Anspruch auf immateriellen Schadensersatz i. H. v. EUR 500 pro Monat geltend, ohne dabei den entstandenen immateriellen Schaden näher darzulegen. Grund der begehrten Auskunft war, dass der Kläger mit den durch die Auskunft erlangten Informationen weitere Ansprüche i. H. v. EUR 34.000 in Form von Bonuszahlungen geltend machen wollte. Hätte die Beklagte dem Kläger nicht die von ihm begehrten Auskünfte erteilt, hätte dieser gegebenenfalls zwangsläufig auf die weiteren Zahlungsansprüche verzichten müssen.

Der Streit um Art. 82 Abs. 1 DS-GVO
Nach Art.  82 Abs. 1 DS-GVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, einen Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsgeber. Es war abzusehen, dass ein Gericht sowohl die Schadenshöhe deutlich steigern würde als auch die Anforderungen an die Geltendmachung des Anspruchs deutlich herunterschraubt. Seit mehreren Jahren sind sich Literatur und Rechtsprechung uneinig, ob für einen Schadensersatzanspruch über die Verletzung der DS-GVO hinaus ein tatsächlich entstandener Schaden vorliegen muss. Nachdem aber das Bundesverfassungsgericht auf den Klärungsbedarf der Auslegung von Art. 82 Abs. 1 DS-GVO hingewiesen hat, hat das BAG dem EuGH im August 2021 einen Vorlagebeschluss (Aktenzeichen C-667/21) zur Klärung vorgelegt. Unter anderem soll der EuGH Stellung zu den Voraussetzungen des Anspruchs und dem generalpräventiven Charakter von Art. 82 Abs. 1 DS GVO nehmen. Gleichzeitig teilte der Senat des BAG mit, dass er selbst der Ansicht ist, der Anspruch setze über die Verletzung des DS-GVO nicht voraus, dass die verletzte Person einen von ihr erlittenen immateriellen Schaden darlegen muss. Das Arbeitsgericht Oldenburg schließt sich dieser Ansicht an und verzichtete auf eine Darlegung des Klägers.  

Die zukünftige Tendenz sollte zur Vorsicht veranlassen
Die Entscheidung des EuGH bleibt weiterhin abzuwarten. Dennoch spricht die Ansicht des BAG und die datenschutzfreundliche Rechtsprechung des EuGH dafür, sich bereits jetzt als Unternehmen und auch als Rechtsanwältin oder Rechtsanwalt auf die naheliegenden Änderungen einzustellen. Es ist davon auszugehen, dass auch andere Gerichte der Ansicht des BAG folgen werden. Auskunftsansprüche müssen gezwungener Weise ernster genommen werden. Das Wegfallen der Darlegungspflicht vereinfacht die Geltendmachung des Anspruchs aus Art. 82 Abs. 1 DS-GVO vehement und bürgt die Gefahr als Verantwortlicher oder Auftragsverarbeiter deutlich mehr Schadensersatzforderungen ausgesetzt zu sein. Das stärkste Verteidigungsargument gegen diese Forderung, es sei kein immaterieller Schaden tatsächlich entstanden, entfällt mit der neuesten Rechtsprechung. Dabei ist auch die Schadenshöhe zu beachten. Während in früheren Urteilen maximal EUR 5.000 als angemessen angenommen wurden, können die Umstände des Einzelfalls das Gericht zu höheren, wie im vorliegenden Urteil i. H. v. EUR 10.000, Geldbußen veranlassen. Die Geldbußen sollen gerade abschreckend wirken und dem Präventionscharakter des Schadensersatzanspruchs zugutekommen. Das kann bei Unternehmen, unabhängig von ihrer Größe, zu schmerzhaften Strafen führen. Als Unternehmen aber auch als Rechtanwältin oder Rechtsanwalt sollte bei der Verweigerung von Auskunftsansprüchen folgend darauf geachtet werden, dass eine solche mit guten Gründen gerechtfertigt ist. Zwar verhindert man nicht die Anspruchsentstehung, mindert aber im Rahmen der Verhältnismäßigkeit die Bußgeldhöhe.

Compliance als beste Schutzmaßnahme
Die Schadenshöhe und geringeren Anforderungen sollten für Verantwortliche Grund genug sein, ein angemessenes Datenschutzmanagementsystem einzurichten. Zudem sollte dieses regelmäßig überprüft und aktualisiert werden. Kernaufgabe von Unternehmen bleibt auch weiterhin eigene Mitarbeiterinnen und Mitarbeiter dahingehend intensiv zu schulen und auf die genannten Risiken hinzuweisen.

Unter Mitarbeit: Jann Grote

Dazu passende Artikel