Das Arbeitsgericht Düsseldorf hat einem ehemaligen Arbeitnehmer einen Schadensersatzanspruch in Höhe von 5.000 EUR wegen der Verletzung seines Auskunftsrechts nach der DSGVO zugesprochen (das Urteil können Sie hier abrufen). Der ehemalige Arbeitgeber hatte den Auskunftsanspruch des Klägers nach Ansicht des Gerichts verspätet und nicht umfangreich genug beantwortet. Das Urteil bietet für Unternehmen erste Anhaltspunkte, wie Gerichte künftig den Schadensersatzanspruch nach Art. 82 DSGVO interpretieren werden.

Der Zeitpunkt der Auskunft

Das Arbeitsgericht Düsseldorf sah das Auskunftsrecht des Klägers zunächst durch eine verspätete Erfüllung seines geltend gemachten Anspruchs als verletzt an. Der Antrag auf Auskunft war dem Unternehmen im Juni 2018 zugegangen und wurde erst im Dezember 2018 erfüllt, als das Unternehmen ihm die mehrere hundert Seiten umfassenden Kopien der ihn betreffenden personenbezogenen Daten zugänglich machte. Dadurch verletzte das Unternehmen die Frist von einem Monat zur Beantwortung von Anträgen nach den Art. 15 bis 22 DSGVO (vgl. Art. 12 Abs. 3 S. 1 DSGVO). Das Unternehmen hatte es insbesondere versäumt, dem Kläger die gemäß Art. 12 Abs. 3 S. 2 DSGVO mögliche Verlängerung der Frist auf drei Monate anzuzeigen.

Umfang der Auskunft

Auch inhaltlich entsprach die erteilte Auskunft nicht den Anforderungen der DSGVO. Weder die mitgeteilten Zwecke der Datenverarbeitung noch die Kategorien der verarbeiteten personenbezogenen Daten waren nach Ansicht des Arbeitsgerichts Düsseldorf konkret genug benannt.

Das Arbeitsgericht stellte besonders bei der Angabe der Zwecke der Datenverarbeitung hohe Anforderungen. Die Angabe, die Daten seien „zum Zwecke des Beschäftigungsverhältnisses, namentlich zu dessen Abwicklung und Beendigung, zur Erfüllung bestehender rechtlicher Verpflichtungen und zur Wahrnehmung berechtigter Interessen nach § 26 BDSG bzw. Art. 6 Abs. 1 lit. (b,), c und e DSGVO“ erfolgt, war dem Gericht nicht präzise genug:

„Damit gibt die Beklagte pauschal fast die ganze Bandbreite im Privatrechtsverkehr nahe liegender Zwecke an, ohne konkret und detailliert die Zwecksetzungen mitzuteilen.“ (Rn. 71)

Auch ein pauschaler Verweis auf die übermittelten Kopien der personenbezogenen Daten genüge nicht dem Erfordernis der Angabe der Zwecke und der Kategorien personenbezogener Daten. Ein Verweis auf einen hunderte Seiten umfassenden Anhang ersetze keine Mitteilung in Form und Sprache gemäß Art. 12 Abs. 1 S. 1 DSGVO.

Kopien personenbezogener Daten

Den Anspruch auf die Übermittlung einer Kopie der personenbezogenen Daten gemäß Art. 15 Abs. 3 DSGVO sah das Arbeitsgericht hingegen als erfüllt an. Das Gericht stellte dabei fest, dass keine besondere Aufbereitung dieser Daten nötig sei. Auch bestehe kein Anspruch darauf, dass bereits gelöschte Daten zur Verfügung gestellt werden. Das Arbeitsgericht sah das Unternehmen nicht als verpflichtet an, umfangreiche Nachforschungen über die personenbezogenen Daten des Klägers durchzuführen:

„Der Aufwand, nach personenbezogenen Daten des Klägers in sämtlichen Servern, Datenbanken, Web-Anwendungen, E-Mail-Postfächern, Verzeichnisstrukturen, Speichermedien, Smartphones, Notebooks und diversen anderen Endgeräten der Beklagten nebst aller Vorgesetzten und Kollegen des Klägers zu suchen, um sie in Kopie herausgeben zu können, steht in grobem Missverhältnis zum Leistungsinteresse des Klägers.“ (Rn. 97)

Höhe des Schadensersatzes

Der dem Kläger gemäß Art. 82 DSGVO zugesprochene Schadensersatz in Höhe von 5.000 EUR für immaterielle Schäden setzt sich wie folgt zusammen:

• Je 500 EUR Schadensersatz für die ersten beiden Monate der verspäteten Auskunftserteilung.
• Je 1.000 EUR Schadensersatz für die drei weiteren Monate der Verspätung.
• Je 500 EUR Schadensersatz für die Fehler in der Auskunftserteilung (betreffend Zwecke und Kategorien personenbezogener Daten).

Bemerkenswert ist, dass das Arbeitsgericht Düsseldorf bei der Zumessung der Höhe des Schadensersatzes eine Sanktionierung des Unternehmens in den Vordergrund stellte. Das Gericht bewertet somit nicht nur den eingetretenen immateriellen Schaden, sondern auch den Verantwortlichen selbst und dessen Finanzkraft. Während der beim Kläger eingetretene immaterielle Schaden nach Ansicht des Gerichts „nicht erheblich“ sei (Rn. 111), ergibt sich die Höhe des Schadensersatzes insbesondere aus dem festgestellten hohen Umsatz der Beklagten.

Ausblick und Handlungsempfehlungen

Das Arbeitsgericht Düsseldorf gibt in dem Urteil erste Anhaltspunkte für die Risikobewertung möglicher Schadensersatzforderungen. Angesichts der großen Anzahl möglicher Anspruchssteller kann ein möglicher Schadensersatz im vierstelligen Bereich ein durchaus bedeutender Risikofaktor sein.

Die konkrete Bestimmung der Höhe des Schadensersatzes kann Unternehmen zusätzliche Anhaltspunkte für die interne Risikobewertung geben. 4/5 des Schadensersatzes ergaben sich durch die verspätete Erteilung der Auskunft. Dies zeigt die hohe Bedeutung der zeitnahen Bearbeitung geltend gemachter datenschutzrechtlicher Ansprüche. Unternehmen sollten ihre Prozesse entsprechend anpassen und insbesondere eine ggf. nötige Mitteilung der Fristverlängerung gemäß Art. 12 Abs. 3 S. 2 DSGVO nicht vergessen. Im Ergebnis kann es zur Risikominimierung zudem sinnvoll sein, zunächst eine unvollständige Auskunft innerhalb der Frist zu erteilen und die restlichen Informationen nachzureichen.

Die Entscheidung des Arbeitsgerichts Düsseldorf gibt lediglich erste Hinweise, wie die Gerichte Schadenersatzforderungen nach der DSGVO bewerten werden. Abzuwarten bleibt insbesondere, ob obergerichtliche Entscheidungen das Urteil bestätigen werden. Die vorliegende Entscheidung wurde vom Arbeitsgericht Düsseldorf angesichts der grundsätzlichen Bedeutung der Sache und fehlender höchst- und obergerichtlicher Klärung der auftretenden Rechtsfragen zur Berufung zugelassen.

Selbstverständlich werden unsere Experten aus dem Arbeits- und Datenschutzrecht Sie an dieser Stelle weiterhin über alle relevanten Entscheidungen hierzu informieren.