Das LAG Hamm gesteht einer betroffenen Person Schadenersatz zu, wenn keine Auskunft erteilt wird
Auszug aus der Entscheidung, wobei ich vorausschicke, dass die ordentliche Revision an das Bundesarbeitsgericht zugelassen wurde, sodass das
letzte Wort noch nicht gesprochen ist.:
"...
73 c) Entgegen der Auffassung der Beklagten ist der Klägerin durch die fehlende Erteilung der Auskunft ein immaterieller Schaden entstanden.
74 Das zutreffende Verständnis des Schadensbegriffs ist in der Rechtsprechung des Gerichtshofs der Europäischen Union bislang nicht geklärt. Der Begriff kann auch nicht in seinen einzelnen, für die Beurteilung des vorliegenden Sachverhalts notwendigen Voraussetzungen unmittelbar aus der DSGVO bestimmt werden. Auch in der bislang vorliegenden Literatur, die sich unter Bezugnahme auf den Erwägungsgrund 146 überwiegend für ein weites Verständnis des Schadensbegriffs ausspricht, sind die Details und der genaue Umfang des Anspruchs noch unklar (vgl. dazu: BVerfG vom 14.01.2021 – 1 BvR 2853/19 – mit zahlreichen Nachweisen).
75 Weder der DSGVO noch ihren Erwägungsgründen lässt sich indes entnehmen, dass der Schadensersatzanspruch einen qualifizierten Verstoß gegen die DSGVO voraussetzt. Für die Annahme einer Erheblichkeitsschwelle oder anders - herum formuliert – die Ausnahme von Bagatellfällen, gibt es keinen Anhaltspunkt (so auch BVerfG vom 14.01.2021 – 1 BvR 2853/19 -).
76 Unter Berücksichtigung des Erwägungsgrundes 146 S. 3 zur DSGVO soll der Begriff des Schadens im Lichte der Rechtsprechung des Europäischen Gerichtshofes weit und auf eine Weise ausgelegt werden, die den Zielen der Verordnung in vollem Umfang entspricht. Die Ziele der DSGVO bestehen dabei u.a. darin, den Risiken für die Rechte und Freiheit natürlicher Personen zu begegnen, die - mit unterschiedlicher Eintrittswahrscheinlichkeit und Schwere - aus einer Verarbeitung personenbezogener Daten hervorgehen und zu einem immateriellen Schaden führen können. Dabei kann ein immaterieller Schaden nicht nur in einer Diskriminierung, einem Identitätsdiebstahl oder -betrug, einem finanziellen Verlust, einer Rufschädigung, einem Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten, der unbefugten Aufhebung der Pseudonomisierung oder anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen liegen. Er kann (bereits) entstehen, wenn die von der Verarbeitung personenbezogener Daten betroffenen Personen daran gehindert werden, die sie betreffenden personenbezogenen Daten zu kontrollieren (vgl. Erwägungsgrund 75).
77 In jedem Arbeitsverhältnis verarbeitet der Arbeitgeber zwangsläufig personenbezogene Daten seiner Mitarbeiter. Jeder Arbeitgeber wird mindestens die Kontaktdaten, die Bankdaten zwecks Überweisung des Entgelts sowie Anwesenheits- und Fehlzeitendaten seiner Mitarbeiter erheben, speichern und verwenden. In welchem Umfang und in welchen Kategorien eine solche Verwendung erfolgt, ist Arbeitnehmern nicht ohne weiteres ersichtlich. Ebenso können Arbeitnehmer nicht von sich aus erkennen, ob Daten auch Dritten zur Verfügung gestellt und für welche Dauer – ggf. auch nach Beendigung des Arbeitsverhältnisses – diese Daten gespeichert bleiben. Die Beklagte wendet vorliegend nicht ein, dass sie über die der Klägerin im August 2020 übersendeten Arbeitszeitnachweise keine Weiteren personenbezogenen Daten der Klägerin verarbeitet. Eine Kontrolle über diese Daten hat die Klägerin indes nicht, solange die Beklagte ihrer Auskunftspflicht – in erster Stufe zumindest hinsichtlich der Bestätigung des „Ob“ der Verarbeitung personenbezogener Daten - nicht nachkommt. Der Klägerin fehlt dabei nicht nur die Kenntnis, welche Kategorien von Daten die Beklagte formalisiert oder nicht formalisiert verarbeitet. Sie kann ebenso nicht beurteilen, wie lange solche Daten nach Beendigung des Arbeitsverhältnisses weiter gespeichert bleiben und an welche Dritte die Beklagte solche Daten ggf. weiterreicht. Die Schwere des immateriellen Schadens, mithin das Gewicht der Beeinträchtigung, das die Klägerin – subjektiv – wegen der bestehenden Unsicherheit und des Kontrollverlustes empfinden mag, ist für die Begründung der Haftung nach Art. 82 Abs. 1 DSGVO und mithin für die Frage des „ob“ eines entstandenen Schadens nicht erheblich (so auch ArbG Düsseldorf vom 05.03.2020 – 9 Ca 6557/18).
78 d) Die Klägerin hat die Bemessung der Höhe des immateriellen Schadensersatzes in das Ermessen des Gerichts gestellt, § 287 Abs. 1 S. 1 ZPO. Unter Würdigung aller Umstände des Einzelfalles geht die Berufungskammer davon aus, dass der Klägerin zur Abgeltung des immateriellen Schadens ein Geldanspruch in Höhe von 1.000,00 Euro zusteht.
79 (1) Unter Berücksichtigung des Erwägungsgrundes 146 (Satz 6) zur DSGVO soll die betroffene Person einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten. Insoweit erscheint eine Orientierung an dem Kriterienkatalog für die Bemessung von Bußgeldern in Art. 83 Abs. 2 S. 2 DSGVO naheliegend (so auch ArbG Düsseldorf vom 05.03.2020 – 9 Ca 6557/18 -). Danach sind für die Ermittlung der Höhe einer Geldbuße u. a. die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung, der Grad des Verschuldens, Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens, frühere einschlägige Verstöße sowie die Kategorien der betroffenen personenbezogenen Daten zu betrachten. Bei der Bemessung der Entschädigung für immaterielle Schäden kommt den Gerichten grundsätzlich ein weites Ermessen zu, § 287 Abs. 1 S. 1 ZPO. Es müssen mithin sowohl sämtliche Auswirkungen des konkreten Datenschutzverstoßes für die geschädigte Person als auch sämtliche in der Person des Schädigers liegenden, insbesondere die Tatsituation und den Verschuldensgrad betreffenden, Umstände berücksichtigt werden (vgl. Oetker in MüKoBGB, 8. Auflage 2019, § 253 ZPO Rz. 36 ff).
80 2) In Anwendung des zuvor dargestellten Maßstabs ist unter Berücksichtigung und Abwägung aller Umstände des Einzelfalls ein Schadensersatz in Höhe von 1.000,00 Euro angemessen.
81 Dabei hat die Kammer zu Lasten der Beklagten berücksichtigt, dass diese die Auskunft nach Art. 5 Abs. 1 DSGVO bis zum heutigen Tag nicht erteilt hat. Die Beklagte hat der Klägerin lediglich im August 2020 Arbeitszeitnachweise übermittelt. Damit hat die Beklagte den Auskunftsanspruch allenfalls rudimentär erfüllt. Schriftsätzlich hat sich die Beklagte auf den Standpunkt gestellt, dass die Klägerin in dem Schreiben vom 30.01.2020 zu Unrecht Auskunft über „sämtliche Daten“ gefordert habe, obgleich ein Anspruch sich allenfalls auf solche Daten beziehe könne, die die Klägerin persönlich betreffen. Soweit die Beklagte darin eine Rechtfertigung erblickt, einem aus ihrer Sicht unklaren oder überzogenen Begehren nicht nachkommen zu müssen, kann dies nur zu ihren Lasten berücksichtigt werden. Zum einen erscheint eine derart weite Auslegung des Begehrens der Klägerin im Kontext des Schreibens bereits fernliegend. So erläutert der Prozessvertreter in dem Schreiben vom 30.01.2020, dass die Beklagte nach Auskunft seiner Mandantin, die Arbeitszeit elektronisch erfasse, dass es sich bei der Erfassung dieser Daten um personenbezogene Daten handele und die Mandantin daher „ihren“ Auskunftsanspruch nach der Datenschutz-Grundverordnung geltend mache. Auch für einen unbefangenen Leser ist erkennbar, dass die Klägerin keine Auskunft über Daten begehrt, die mit ihrer Person nicht in Zusammenhang stehen. Von dieser Auslegung ist die Beklagte indes auch im Kammertermin nicht abgerückt. Ein Problembewusstsein der Beklagten im Hinblick auf die Verletzung eines Rechts, dass der Europäischen Verordnungsgeber, wie sich bereits aus Art. 8 Abs. 2 der Grundrechtscharta zeigt, als sehr bedeutsam einordnet, vermochte die Berufungskammer nicht zu erkennen. Es ist auch nicht ersichtlich, dass die Klägerin die tatsächliche Erteilung der Auskunft in der Zukunft noch außergerichtlich erreichen wird. Zugunsten der Beklagten kann insoweit nur unterstellt werden, dass einschlägige frühere Verstöße nicht vorliegen.
82 Obwohl das vorgehend dargestellte Verhalten die Annahme nahelegt, dass die Beklagte den Umfang und die Bedeutung ihrer Verpflichtung aus der Datenschutzgrundverordnung jedenfalls fahrlässig grob verkennt, ist zu Lasten der Klägerin zu berücksichtigen, dass sie die tatsächliche Erlangung der ihr nach Art. 15 Abs. 1 DSGVO zustehenden Informationen in Erkennung des Umstandes, dass die Beklagte diesem Auskunftsbegehren nicht ohne Weiteres nachkommen wird, bislang nicht konsequent verfolgt hat. Nachdem die Beklagte im August 2020 Arbeitsnachweise erteilt hat, hat die Klägerin den Auskunftsanspruch insoweit für erledigt erklärt. Sie hat aber in der Folgezeit davon abgesehen, ihr Auskunftsverlangen im Weiteren gerichtlich geltend zu machen, um eine tatsächliche Durchsetzung zu erreichen. Vielmehr hat die Klägerin sich darauf beschränkt, unter Berufung auf die fehlende Auskunft einen immateriellen Schadensersatzanspruch gerichtlich einzuklagen. Ihr Prozessverhalten deutet für die Berufungskammer darauf hin, dass die tatsächliche Erlangung einer Kontrolle über die von ihr verarbeiteten personenbezogenen Daten nicht ihr primäres Ziel ist. Es drängt sich vielmehr für die Berufungskammer der Eindruck auf, dass es ihr in dem außergerichtlichen Schreiben vom 30.01.2020 maßgeblich um die Herausgabe der Arbeitsaufzeichnungen zum Zwecke der Bezifferung einer beabsichtigten Überstundenklage ging. Obwohl sie durch die nach wie vor ausstehende Auskunft nach wie vor keine Kontrolle über ihre personenbezogenen Daten hat, die bei der Beklagten – auch nach Beendigung des Arbeitsverhältnisses – gegebenenfalls weiter verwendet werden, lässt das Verhalten der Klägerin nicht erkennen, dass dieser Umstand als solcher eine besondere Belastung für sie darstellt, die nicht jedenfalls mit der Zahlung eines Schadensersatzbetrages kompensiert werden könnte. Insbesondere ist nicht erkennbar, dass die Klägerin beabsichtigt, die tatsächliche Erteilung der Auskunft auch im Falle der Zahlung eines Schadensersatzes durch die Beklagte weiterzuverfolgen. Dies deutet darauf hin, dass ihre persönliche Betroffenheit im Hinblick auf die fehlende Möglichkeit der Kontrolle ihrer personenbezogenen Daten überschaubar ist und Zweifel an der Nachhaltigkeit des Auskunftsverlangens berechtigt erscheinen. Dieser Umstand ist bei der Bemessung der Höhe des immateriellen Schadensersatzes - anders als bei der Frage des Entstehens eines solchen - zu berücksichtigen.
83 Inwieweit die Höhe des Schadensersatzes auch von dem nach Art. 4 Ziffer 7 DSGVO Verantwortlichen und dessen Finanzkraft abhängen mag (so ArbG Düsseldorf 5. März 2020 – 9 Ca 6557/18), kann dahinstehen. Keine der Parteien hat vorliegend Angaben diesbezüglich getätigt. Der Umstand, dass es sich bei der Beklagten um einen Kleinbetrieb handelt, hat für sich genommen keine Aussagekraft hinsichtlich der Finanzkraft des Unternehmens.
84 Unter Berücksichtigung all dessen hat die Kammer für den Verstoß der Beklagten gegen Art. 15 Abs. 1 DSGVO insgesamt einen Schadensersatzanspruch in Höhe von 1.000,00 Euro angesetzt."
Anmerkung:
Diese Entscheidung ist für mich an sich überraschend, da insbes im Zusammenhang mit einem Arbeitsverhältnis die Verarbeitung von Daten für die Arbeitnehmer*Innen klar sein müsste.
Meines Erachtens ist es bedenklich, dass schon für eine Rechtsverletzung, die zwar unzweifelhaft Auswirkungen auf den Kläger hat, da er keine Auskunft über die Verarbeitung seine Daten erhält, ein Betrag von EUR 1.000,-- an Schadenersatz zugesprochen wird, wenn der Kläger an sich keinen "Schaden" erleidet.
Die Begründung der Entscheidung des LAG Hamm ist mE nicht wirklich überzeugend. Insbes. der Verweis auf ErwG 75 S 1, der von erheblichen Schäden spricht, ist für mich in der Argumentation mit dem "weiten Schadensbegriff" nicht überzeugend.
Das LAG Hamm jedenfalls lehnt eine "Erheblichkeitsschwelle" ab, und spricht auch für geringe Auswirkungen. Bemerkenswert ist jedoch, dass auch der OGH für ein "massives Nerven" durch Facebook bei einer mangelhaft erteilten Auskunft einen Betrag von EUR 500,-- an Schadenersatz zuspricht (Wir haben im Blog darüber berichtet).
Auch der EuGH wird sich in Kürze mit den Fragen des Art 82 DSGVO beschäftigen.
Der Trend in Deutschland geht daher vermutlich dazu, Schadenersatz auf Basis des Art 82 DSGVO bei Rechtsverletzungen und auch nur geringen Auswrikungen zuzusprechen. Vertreter von Klägerverbänden, Prozesssfinanzierungsunternehmen und auf die Abwicklung von Massenverfahren spezialisierte Anbieter, die auch Legal-Tech nutzen, stehen in den Startlöchern um für Verbraucher Ansprüche durchzusetzen.
Umso wichtiger ist es, auf Anfragen in Datenschutzangelegenheiten rechtzeitig zu reagieren, um Schadenersatzansprüche zu
vermeiden.