Verurteilung zu € 5.000 Schadensersatz für verspätete und unvollständige Auskunft

Das Arbeitsgericht Düsseldorf hat einen Arbeitgeber zur Zahlung von € 5.000 Schadensersatz verurteilt, nachdem dieser seiner Auskunftspflicht gemäß Art. 15 DSGVO nicht ordnungsgemäß nachgekommen ist. Die Entscheidung ist nicht rechtskräftig.

Doch warum kam es zu diesem Urteil? Und was müssen Sie beachten um nicht auch ein Gerichtsverfahren und hohe Strafen zu riskieren?

Datenschutzrechtlicher Anspruch auf Auskunft

Der datenschutzrechtliche Auskunftsanspruch hat in Arbeitsverhältnissen eine ganz besondere Relevanz, da für die korrekte Erfassung der Daten des Arbeitnehmers und die ordnungsgemäße Erstellung des Arbeitsvertrages nicht nur allgemeine Personendaten verarbeitet werden müssen, sondern auch steuer- und sozialrechtlich relevante Informationen. Daher ist eine genau aufgeschlüsselte Information über alle diese Daten inklusive der jeweiligen Verarbeitungszwecke, der Empfänger der Daten und der Speicherdauer für eine ordnungsgemäße Datenauskunft unerlässlich.

Wie das Urteil (9 Ca 6557/18) vom 5.März 2020 zeigt, kann eine unzureichende Datenauskunft für Unternehmen allerdings auch erhebliche wirtschaftliche Folgen haben! So hat das ArbG Düsseldorf einer betroffenen Person, die von ihrem Arbeitgeber eine verspätete und unvollständige Auskunft erhalten hat, € 5.000 an Schadensersatz zugesprochen.

Wie und warum kam es zum Urteil?

Der Betroffene – ein früherer Mitarbeiter des Verantwortlichen – verlangte von seinem ehemaligen Arbeitgeber per Einschreiben Auskunft über seine personenbezogenen Daten, die im Rahmen des Arbeitsverhältnisses verarbeitet und an Dritte weitergegeben wurden. Dieses schriftliche Auskunftsbegehren blieb jedoch zunächst 6 Monate unbeantwortet. Als der Betroffenen schlussendlich eine Auskunft bekam, war dieses auch noch lückenhaft – konkret fehlten wesentliche Informationen über die verarbeiteten Datenkategorien und die Verarbeitungszwecke. Da sich der ehemalige Arbeitnehmer in seinem Auskunftsrecht verletzt sah, klagte er den Arbeitgeber auf Schadensersatz nach Art. 82 DSGVO und berief sich auf einen immateriellen Schaden.

Daraufhin sprach das ArbG Düsseldorf dem Betroffenen einen Schadensersatz in der Höhe von € 5.000 zu.

 

“Unter Berücksichtigung all dessen hat die Kammer für die ersten zwei Monate der Verspätung jeweils 500 €, für die weiteren etwa drei Monate jeweils 1.000 € und für die beiden inhaltlichen Mängel der Auskunft jeweils 500 € angesetzt.“

 

Laut Urteil sei der Begriff des immateriellen Schadens weit auszulegen. Daher sei der immaterielle Schaden auch ohne konkreten Schadensnachweis bei einer Verletzung der Auskunftspflicht als Ausprägung des zentralen Betroffenenrechts der DSGVO anzunehmen.

Den Einwand des Arbeitgebers, dass seinem ehemaligen Mitarbeiter doch gar kein schwerer Schaden entstanden sei, wies das Gericht zurück. Die Schwere des Schadens sei nur für die Anspruchshöhe, nicht aber für die Anspruchsentstehung relevant. Zur Höhe des Schadens bei inhaltlicher Verletzung der Auskunftspflicht führte das Arbeitsgericht aus, dass hierbei vor allem die Finanzkraft des Auskunftspflichtigen zu berücksichtigen sei.

Welche Auskunftspflichten habe ich also als Unternehmen?

Gemäß Art. 15/ 16/ 17/ 18/ 19 müssen die Rechte der betroffenen Personen (i.d.R. Kunden und Mitarbeiter) beachtet und eingehalten werden. Das heißt, dass Sie als Verantwortlicher dazu verpflichtet sind, Personen binnen 30 Tagen auf ihre Anfragen auf Auskunft, Berichtigung und Löschung ihrer Daten gesetzeskonform zu antworten. Sie kümmern sich also um alle Betroffenenrechte, die Beantwortung aller Anfragen und Beschwerden und löschen die jeweiligen persönlichen Daten.

Diese Punkte muss eine Auskunft mindestens enthalten:

  • Name und Kontaktdaten des Verantwortlichen
  • Verarbeitungszwecke und Rechtsgrundlage der Verarbeitung
  • Empfänger der Daten oder Kategorien der Empfänger
  • Ob die Daten in ein Drittland übermittelt werden
  • Dauer der Datenspeicherung bzw. wenn unmöglich die Kriterien für die Festlegung der Dauer
  • Betroffenenrechte
  • Die Möglichkeit des Widerrufs der Einwilligung
  • Aufklärung über das Beschwerderecht bei einer Datenschutzbehörde
  • Informationen darüber, ob die Bereitstellung der personenbezogenen Daten gesetzlich bzw. vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen und welche möglichen Folgen die Nichtbereitstellung hätte.
  • Gegebenenfalls Information über das Bestehen „automatisierter Entscheidungsfindung“

Was passiert, wenn ich meinen DSGVO Pflichten nicht nachkomme?

Dann riskieren Sie unter Umständen sehr hohe Strafen! Denn die Verletzung der Betroffenenrechte ist mit bis zu 20 Mio. EUR oder 4% des letztjährigen Jahresumsatzes sanktioniert. Außerdem können Betroffene unter Umständen Schadensersatzansprüche gegenüber dem Verantwortlichen geltend machen (sofern er schuldhaft und kausal gegen die Bestimmungen der DSGVO verstoßen hat). Und wie das vorhin genannte Urteil zeigt, kann das schneller gehen als man vielleicht vermutet.

Unser Tipp!

Mit dem DSGVO Schutzteam stehen Ihnen bei Anfragen von Betroffenen zertifizierte Datenschutzberater zur Verfügung!

  • Ihr persönlicher Datenschutzberater unterstützt Sie bei der DSGVO/ BDSG-konformen Beantwortung von Anfragen von betroffenen Personen.
  • Wir prüfen die Anfrage, nehmen allenfalls direkt Kontakt mit der Person auf und beachten alle gesetzlichen Fristen.
  • Anschließend bereiten wir die Beantwortung vor und besprechen diese mit Ihnen.
Menü