Das Arbeitsgericht Oldenburg hat in seinem Urteil vom 09.02.2023 (3 Ca 150/21) einem ehemaligen Arbeitnehmer 10.000 Euro immateriellen Schadensersatz nach Art. 82 Abs. 1 DSGVO wegen unterlassener Auskunftserteilung im Sinne des Art. 15 Abs. 1 DSGVO durch seinen Arbeitgeber zugesprochen. Bereits die Verletzung der DSGVO selbst führe laut dem Arbeitsgericht zu einem auszugleichenden immateriellen Schaden, wobei es 500 Euro pro Monat als angemessen ansah.

 

Das Wichtigste in Kürze

  • Entgegen der überwiegenden Rechtsprechung geht das Arbeitsgericht von einem immateriellen Schaden aus, der bereits durch die Verletzung der DSGVO selbst entstanden sei.
  • Da der bloße Verstoß gegen die DSGVO-Pflichten einen Schaden begründe, müsse der Kläger keinen darüberhinausgehenden Schaden beweisen.
  • Das Arbeitsgericht ist der Ansicht, dass Art. 82 DSGVO abschreckend und generalpräventiv wirken soll, um die Anzahl von Verstößen klein halten zu können.

 

Hintergrund

Der Kläger war zunächst als Geschäftsführer und später als Vertriebsleiter bei einer Firma für Feuerwerkskörper angestellt. Nach Art. 15 Abs. 1 und 3 DSGVO verlangte er von seinem inzwischen ehemaligen Arbeitgeber unter anderem Auskunft über ihn betreffende personenbezogene Daten sowie Kopien dieser Daten, welche die Firma verarbeitete. Nachdem die Auskunft zunächst verweigert wurde, legte der Arbeitgeber erst zwanzig Monate später, im Rahmen des Gerichtsprozesses, einzelne Unterlagen vor.

Der Kläger machte neben der Auskunft einen Schadensersatzanspruch aus Art. 82 Abs. 1 DSGVO in Höhe von monatlich 500 Euro für den Zeitraum der Nichterfüllung der Auskunftspflicht geltend.

 

Wann besteht ein datenschutzrechtlicher Schadensersatzanspruch nach Art. 82 DSGVO?

Das deutsche Schadensersatzrecht ist primär auf den Ersatz materieller Vermögensschäden ausgerichtet, vgl. § 253 BGB. Demgegenüber regelt Art. 82 DSGVO eine Fallkonstellation, in der Verantwortliche und Auftragsverarbeiter den Betroffenen auch Nichtvermögensschäden ersetzen müssen.

Gemäß Art. 82 Abs. 1 DSGVO hat „jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, […] Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.“

Der Begriff des immateriellen Schadens wird in der DSGVO nicht weiter definiert, sodass sich eine genaue Abgrenzung des Anwendungsbereichs und der Schadensersatzhöhe häufig schwierig gestaltet.

Grundsätzlich wird ein immaterieller Schaden von den Gerichten nur dann bejaht, wenn ein Verstoß gegen das Datenschutzrecht im Einzelfall zu einer konkreten, nicht nur unerheblichen Verletzung von Persönlichkeitsrechten geführt hat. Die deutschen Gerichte waren in der Vergangenheit eher zurückhaltend, wenn es um den Ersatz immaterieller Schäden nach Art. 82 Abs. 1 DSGVO ging. Vielfach wird vertreten, dass ein Schaden erst mit einer konkreten und nicht nur individuell empfundenen Verletzung von Persönlichkeitsrechten vorliege. Dies wird unter anderem auf den Erwägungsgrund 85 der DSGVO gestützt, der als Beispiele für den Schaden den Verlust der Kontrolle über die personenbezogenen Daten oder eine Diskriminierung nennt. Daraus lässt sich eine gewisse Erheblichkeitsschwelle ableiten, sodass bloße Bagatellschäden sowie individuell empfundene Unannehmlichkeiten nicht ersatzfähig wären. Auch der Generalanwalt des EuGH hat unlängst klar gemacht, dass der abstrakte Verstoß gegen die DSGVO aus seiner Sicht nicht ausreichen kann eine Schadensersatzpflicht auszulösen (Rechtssache C‑300/21).

Die vorliegende Entscheidung des Arbeitsgerichts Oldenburg zeigt jedoch eine andere Tendenz. Dabei wird der Schadensersatzanspruch aus Art. 82 Abs. 1 DSGVO sehr weit ausgelegt. Im Prozess vor dem Arbeitsgericht musste der Kläger den ihm entstandenen immateriellen Schaden nicht näher darlegen.

Entgegen der überwiegenden Rechtsprechung ist das Arbeitsgericht Oldenburg ist der Überzeugung, dass bereits die Verletzung der DSGVO aufgrund des präventiven Charakters des Schadensersatzanspruchs nach Art. 82 Abs. 1 DSGVO selbst zu einem auszugleichenden immateriellen Schaden führe.

Auch die Bezifferung der Schadenshöhe orientiert sich an der Genugtuungs- und Abschreckungsfunktion des Schmerzensgeldes und liegt damit im Ermessen der Gerichte. Auf diese Weise soll künftigen Datenschutzverstößen entgegengewirkt werden.

 

Die Darlegungs- und Beweislast bei immateriellen Schäden nach Art. 82 Abs. 1 DSGVO

Zivilrechtliche Klagen zur Durchsetzung von Auskunfts- und Schadensersatzansprüchen nach der DSGVO nehmen stetig zu. Immer häufiger müssen sich Zivilgerichte mit der komplexen Materie der Datenschutz-Grundverordnung auseinandersetzen. Dabei sind auch prozessuale Fragen zu klären. Oftmals stellt sich im Zusammenhang mit dem Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO die Frage, wer die Darlegungs- und Beweislast trägt.

Grundsätzlich gilt, dass der Kläger die anspruchsbegründenden Tatsachen vortragen muss. Nach Art. 82 Abs. 2 DSGVO haftet jeder an einer Verarbeitung beteiligte Verantwortliche für den Schaden, der durch eine nicht DSGVO konforme Verarbeitung verursacht wurde. In diesem Sinne muss der Kläger zunächst darlegen und beweisen, dass er einen Schaden erlitten hat. Hinsichtlich des Verschuldens greift jedoch die Beweislastumkehr des Art. 82 Abs. 3 DSGVO. Demnach ist ein Verantwortlicher dann von seiner Haftung befreit, wenn er nachweist, dass er nicht für das schädigende Ereignis verantwortlich ist.

Grundsätzlich wird sein Verschulden also vermutet, weswegen eine Exkulpation in der Praxis schwer sein dürfte.

 

 

Fazit

Mit dem Urteil des Arbeitsgerichts Oldenburg vom 09.02.2023 wurde dem Kläger der Ersatz des immateriellen Schadens in Höhe von 10.000 Euro zugesprochen. Als Verantwortliche hätte die Arbeitgeberin ihre Auskunftspflicht gemäß Art. 12 Abs. 3 DSGVO unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags erfüllen müssen, um dies zu verhindern. Um die Schadensersatzpflicht zu verhindern, hätte die Arbeitgeberin darlegen und beweisen müssen, dass sie die Verspätung nicht zu verschulden hat, was regelmäßig nicht gelingen dürfte.

Art. 82 DSGVO stärkt die Rechte der Betroffenen, indem er ihnen die Möglichkeit einräumt Schadensersatzansprüche wegen angeblicher oder tatsächlicher materieller oder immaterieller Schäden geltend zu machen. Durch eine weite Auslegung des Nichtvermögensschadens besteht jedoch die Gefahr eines erhöhten Missbrauchspotentials, wenn die Gerichte einen nahezu voraussetzungslosen immateriellen Schadensersatzanspruch etablieren würden.

Das hier besprochene Urteil macht deutlich, dass die Herangehensweise der Gerichte zur Bestimmung des Vorliegen eines DSGVO-Schadensersatzanspruchs noch sehr unterschiedlich sind. Dies dürfte sich mindestens so lange nicht ändern, wie der EuGH sich nicht vollständig zu diesen Fragen positioniert hat. Die möglicherweise gerichtlich zugesprochenen Schadensersatzzahlungen lassen sich folglich nur schwer im Voraus kalkulieren. Für die Verantwortlichen ist es daher umso wichtiger, Auskunftsbegehren ernst zu nehmen und vor dem Hintergrund der knappen Frist von einem Monat schnell zu reagieren und im besten Fall anwaltliche Unterstützung zu raten zu ziehen. So lässt sich von vornherein verhindern, dass eine Auskunft verspätet oder unvollständig erteilt wird und damit Schadenersatzpflichten oder andere rechtliche Risiken entstehen

.

 

Kontakt aufnehmen