Allgemein

€ 5.000 Schadensersatz für verspätete und unvollständige Auskunft

Das Arbeitsgericht Düsseldorf hat einen Arbeitgeber zur Zahlung von € 5.000 Schadensersatz verurteilt, nachdem dieser seiner Auskunftspflicht gemäß Art. 15 DSGVO nicht ordnungsgemäß nachgekommen ist. Die Entscheidung ist nichts rechtskräftig.

Der datenschutzrechtliche Auskunftsanspruch hat in Arbeitsverhältnissen eine ganz besondere Relevanz, da für die korrekte Erfassung des Arbeitnehmers und die ordnungsgemäße Durchführung des Arbeitsvertrags nicht nur allgemeine Personendaten verarbeitet werden müssen, sondern auch steuer- und sozialrechtlich relevante Informationen. Daher ist eine genau aufgeschlüsselte Information über alle diese Daten inklusive der jeweiligen Verarbeitungszwecke, der Empfänger der Daten und die Speicherdauer für eine ordnungsgemäße Datenauskunft unerlässlich.

Wie das Urteil (9 Ca 6557/18) vom 5.März 2020 zeigt, kann eine unzureichende Datenauskunft für Unternehmen allerdings auch empfindliche wirtschaftliche Folgen haben! So hat das ArbG Düsseldorf einer betroffenen Person, die von ihrem Arbeitgeber eine verspätete und unvollständige Auskunft erhalten hat, € 5.000 an Schadenersatz zugesprochen. 

Wie und warum kam es zum Urteil?

Der Betroffene – ein früherer Mitarbeiter des Verantwortlichen – verlangte von seinem ehemaligen Arbeitsgeber per Einschreiben Auskunft über seine personenbezogenen Daten, die im Rahmen des Arbeitsverhältnisses verarbeitet und an Dritte weitergegeben wurden. Dieses schriftliche Auskunftsbegehren blieb jedoch zunächst 6 Monate unbeantwortet. Und als der Betroffenen schlussendlich eine Auskunft bekam war dieses auch noch lückenhaft – konkret fehlten wesentliche Informationen über die verarbeiteten Datenkategorien und die Verarbeitungszwecke. Da sich der Arbeitnehmer in seinem Auskunftsrecht verletzt sah, verklagte er den Arbeitgeber auf Schadensersatz nach Art. 82 DSGVO und berief sich auf einen immateriellen Schaden.

Daraufhin sprach das ArbG Düsseldorf dem Betroffenen einen Schadensersatz in der Höhe von € 5.000 zu.

“Unter Berücksichtigung all dessen hat die Kammer für die ersten zwei Monate der Verspätung jeweils 500 €, für die weiteren etwa drei Monate jeweils 1.000 € und für die beiden inhaltlichen Mängel der Auskunft jeweils 500 € angesetzt.“

Laut dem Urteil sei der Begriff des immateriellen Schadens weit auszulegen. Daher sei der immaterielle Schaden auch ohne konkreten Schadensnachweis bei einer Verletzung der Auskunftspflicht als Ausprägung des zentralen Betroffenenrechts der DSGVO anzunehmen.

Den Einwand des Arbeitgebers, dass dem Arbeitgeber jedoch kein schwerer Schaden entstanden sei, wies das Gericht zurück. Die Schwere des Schadens sei nur für die Anspruchshöhe, nicht aber für die Anspruchsentstehung relevant. Zur Höhe des Schadens bei inhaltlicher Verletzung der Auskunftspflicht führte das Arbeitsgericht aus, dass hierbei vor allem die Finanzkraft des Auskunftspflichtigen zu berücksichtigen sei.

Welche Auskunftspflichten hat man nun als Unternehmen?

Gemäß Art. 15/ 16/ 17/ 18/ 19 müssen die Rechte der betroffenen Personen (i.d.R. Kunden und MItarbeiter) beachtet und eingehalten werden. Das heißt, dass Sie als Verantwortlicher dazu verpflichtet sind anfragenden Personen binnen 30 Tagen auf Anfragen zu Auskunft, Berichtigung und Löschung ihrer Daten gesetzeskonform zu antworten. Sie kümmern sich also um alle Betroffenenrechte, die Beantwortung aller Anfragen, Beschwerden und löschen die jeweiligen persönlichen Daten.

Die Information über die Verarbeitung der personenbezogenen Daten muss folgendes enthalten:

  • Namen und Kontaktdaten des Verantwortlichen
  • Verarbeitungszwecke und Rechtsgrundlage der Verarbeitung
  • Empfänger der Daten oder Kategorien der Empfänger
  • Ob die Daten in ein Drittland übermittelt werden
  • Dauer der Datenspeicherung bzw. wenn unmöglich die Kriterien für die Festlegung der Dauer
  • Betroffenenrechte
  • Die Möglichkeit des Widerrufs der Einwilligung
  • Aufklärung über das Beschwerderecht bei einer Datenschutzbehörde
  • Informationen darüber, ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen und welche mögliche Folgen die Nichtbereitstellung hätte.
  • Gegebenenfalls Information über das Bestehen „automatisierter Entscheidungsfindung“

Was passiert, wenn ich meinen DSGVO Pflichten nicht nachkomme?

Tja, dann riskieren Sie unter Umständen sehr hohe Strafen! Denn die Verletzung der Betroffenenrechte ist mit bis zu EUR 20 Mio: oder 4% des letztjährigen Jahresumsatzes sanktioniert. Und wie das vorhin genannte Urteil zeigt, kann es schneller gehen als man vielleicht vorher annimmt.

Gehen Sie also lieber auf Nummer sicher und holen Sie sich den DSGVO Schutzbrief!

Im Rahmen des DSGVO Schutzbriefes unterstützen Sie zertifizierte Datenschutzbeauftragte bei der Beantwortung von Anfragen Betroffener (z.B. Mitarbeiter, Kunden) bezüglich Auskunft, Berichtigung und Löschung von Daten.

Tags: ,

Die fertige DSGVO Lösung für JEDE Branche und JEDEN Verein! Schützen Sie sich und alle Personen in Ihrem Unternehmen oder Ihrem Verein.

Bereits ab € 9 pro Monat – Und schon sind Ihre DSGVO-Sorgen verflogen!

Menü