€ 5.000 Schadensersatz für verspätete und unvollständige Auskunft

Das Arbeitsgericht Düsseldorf hat einen Arbeitgeber zur Zahlung von € 5.000 Schadensersatz verurteilt, nachdem dieser seiner Auskunftspflicht gemäß Art. 15 DSGVO nicht ordnungsgemäß nachgekommen ist. Die Entscheidung ist nichts rechtskräftig.

Datenschutzrechtlicher Anspruch auf Auskunft

Der datenschutzrechtliche Auskunftsanspruch hat in Arbeitsverhältnissen eine ganz besondere Relevanz, da für die korrekte Erfassung des Arbeitnehmers und die ordnungsgemäße Durchführung des Arbeitsvertrags nicht nur allgemeine Personendaten verarbeitet werden müssen, sondern auch steuer- und sozialrechtlich relevante Informationen. Daher ist eine genau aufgeschlüsselte Information über alle diese Daten inklusive der jeweiligen Verarbeitungszwecke, der Empfänger der Daten und die Speicherdauer für eine ordnungsgemäße Datenauskunft unerlässlich.

Wie das Urteil (9 Ca 6557/18) vom 5.März 2020 zeigt, kann eine unzureichende Datenauskunft für Unternehmen allerdings auch empfindliche wirtschaftliche Folgen haben! So hat das ArbG Düsseldorf einer betroffenen Person, die von ihrem Arbeitgeber eine verspätete und unvollständige Auskunft erhalten hat, € 5.000 an Schadenersatz zugesprochen.

Wie und warum kam es zum Urteil?

Der Betroffene – ein früherer Mitarbeiter des Verantwortlichen – verlangte von seinem ehemaligen Arbeitsgeber per Einschreiben Auskunft über seine personenbezogenen Daten, die im Rahmen des Arbeitsverhältnisses verarbeitet und an Dritte weitergegeben wurden. Dieses schriftliche Auskunftsbegehren blieb jedoch zunächst 6 Monate unbeantwortet. Und als der Betroffenen schlussendlich eine Auskunft bekam war dieses auch noch lückenhaft – konkret fehlten wesentliche Informationen über die verarbeiteten Datenkategorien und die Verarbeitungszwecke. Da sich der Arbeitnehmer in seinem Auskunftsrecht verletzt sah, verklagte er den Arbeitgeber auf Schadensersatz nach Art. 82 DSGVO und berief sich auf einen immateriellen Schaden.

Daraufhin sprach das ArbG Düsseldorf dem Betroffenen einen Schadensersatz in der Höhe von € 5.000 zu.

“Unter Berücksichtigung all dessen hat die Kammer für die ersten zwei Monate der Verspätung jeweils 500 €, für die weiteren etwa drei Monate jeweils 1.000 € und für die beiden inhaltlichen Mängel der Auskunft jeweils 500 € angesetzt.“

Laut dem Urteil sei der Begriff des immateriellen Schadens weit auszulegen. Daher sei der immaterielle Schaden auch ohne konkreten Schadensnachweis bei einer Verletzung der Auskunftspflicht als Ausprägung des zentralen Betroffenenrechts der DSGVO anzunehmen.

Den Einwand des Arbeitgebers, dass dem Arbeitgeber jedoch kein schwerer Schaden entstanden sei, wies das Gericht zurück. Die Schwere des Schadens sei nur für die Anspruchshöhe, nicht aber für die Anspruchsentstehung relevant. Zur Höhe des Schadens bei inhaltlicher Verletzung der Auskunftspflicht führte das Arbeitsgericht aus, dass hierbei vor allem die Finanzkraft des Auskunftspflichtigen zu berücksichtigen sei.

Welche Auskunftspflichten hat man nun als Unternehmen?

Gemäß Art. 15/ 16/ 17/ 18/ 19 müssen die Rechte der betroffenen Personen (i.d.R. Kunden und MItarbeiter) beachtet und eingehalten werden. Das heißt, dass Sie als Verantwortlicher dazu verpflichtet sind anfragenden Personen binnen 30 Tagen auf Anfragen zu Auskunft, Berichtigung und Löschung ihrer Daten gesetzeskonform zu antworten. Sie kümmern sich also um alle Betroffenenrechte, die Beantwortung aller Anfragen, Beschwerden und löschen die jeweiligen persönlichen Daten.

Diese Punkte muss die Auskunft enthalten:

  • Namen und Kontaktdaten des Verantwortlichen
  • Verarbeitungszwecke und Rechtsgrundlage der Verarbeitung
  • Empfänger der Daten oder Kategorien der Empfänger
  • Ob die Daten in ein Drittland übermittelt werden
  • Dauer der Datenspeicherung bzw. wenn unmöglich die Kriterien für die Festlegung der Dauer
  • Betroffenenrechte
  • Die Möglichkeit des Widerrufs der Einwilligung
  • Aufklärung über das Beschwerderecht bei einer Datenschutzbehörde
  • Informationen darüber, ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen und welche mögliche Folgen die Nichtbereitstellung hätte.
  • Gegebenenfalls Information über das Bestehen „automatisierter Entscheidungsfindung“

Unser Tipp!

Mit  dem DSGVO Schutzbrief stehen Ihnen bei Anfragen von Betroffenen zertifizierte Datenschutzberater zur Verfügung!

  • Ihr Datenschutz Berater unterstützt Sie bei der DSGVO/ BDSG konformen Beantwortung von Anfragen von betroffenen Personen.
  • Wir prüfen die Anfrage, nehmen allenfalls direkt Kontakt mit der Person auf und beachten alle gesetzlichen Fristen.
  • Anschließend bereiten wir die Beantwortung vor und besprechen diese mit Ihnen.

Was passiert, wenn ich meinen DSGVO Pflichten nicht nachkomme?

Tja, dann riskieren Sie unter Umständen sehr hohe Strafen! Denn die Verletzung der Betroffenenrechte ist mit bis zu EUR 20 Mio: oder 4% des letztjährigen Jahresumsatzes sanktioniert. Außerdem können Betroffene unter Umständen Schadenersatzansprüche gegenüber dem Verantwortlichen geltend machen (sofern er schuldhaft und kausal gegen die Bestimmungen der DSGVO verstoßen hat). Und wie das vorhin genannte Urteil zeigt, kann es schneller gehen als man vielleicht vorher annimmt.

Haben Sie Fragen?

Dann vereinbaren Sie noch heute Ihr kostenloses & unverbindliches Erstgespräch mit einem Datenschutzexperten. Wir beraten Sie gerne!

Ihr Walter Lukmann – Zertifizierter Datenschutzbeauftragter & Geschäftsführer

Der DSGVO Schutzbrief ist Ihr Rundum-Sorglos Paket
inklusive Datenschutzbeauftragten

Wir erledigen die lästige DSGVO Pflicht für Sie!
Inkl. zertifizierten Datenschutzbeauftragten
Kostengünstigste Lösung am Markt
Hohe Absicherung gegen Strafen
Menü