Empfindliche Schadensersatzansprüche der Mitarbeiter gegen ihren Arbeitgeber bei Verstößen gegen die DSGVO
Art. 82 (1) der DSGVO statuiert einen Schadensersatzanspruch für Fälle, in denen ein Datenverantwortlicher gegen seine Pflichten aus der DGSVO verstößt. Dass diese Vorschrift auch Auswirkungen auf das Arbeitsverhältnis haben und zu erheblichen Schadensersatzpflichten des Arbeitgebers führen kann, zeigt sich anhand eines Falles, über den vor kurzem das Arbeitsgericht Düsseldorf entschieden hat (ArbG Düsseldorf, Urt. v. 5. März 2020 – Az. 9 Ca 6557/18).
Ein ehemaliger Mitarbeiter hatte gegenüber seinem Arbeitgeber diverse Auskunftsverlangen zu seinen Beschäftigtendaten geltend gemacht. Diesen Auskunftsverlangen kam der Arbeitgeber nicht nur verspätet, sondern auch zum Teil nur unzureichend nach. Einen besonders schweren Verstoß stellte das Arbeitsgericht Düsseldorf jedoch nicht fest. Auch ein besonderer Schaden entstand dem Mitarbeiter nicht. Gleichwohl sprach das Arbeitsgericht Düsseldorf dem Mitarbeiter aufgrund der vergleichsweise geringfügigen Verstöße einen Schadensersatzanspruch wegen immateriellen Schadens in Höhe von 5.000 € zu.
Der Anspruch sei nicht an eine besondere Schwere des Verstoßes gebunden. Unter Berufung auf die Erwägungsgründe der DSGVO (Nr. 146) sei der Schadensbegriff vielmehr in einem Sinne auszulegen, die den Zielen der DSGVO am ehesten zugutekämen. Demnach bedürfe es keiner besonderen Erheblichkeit eines Verstoßes. Interessant ist in diesem Zusammenhang auch, dass die Höhe des Schadensersatzes mitunter auch von der konkreten Finanzkraft des Arbeitgebers abhängig gemacht wurde. Zahlungskräftige Unternehmen, die finanziell gut aufgestellt sind, dürften nach dieser Argumentation also höheren Schadensersatzsummen ausgesetzt sein, als Unternehmen, die wirtschaftlich vergleichsweise schwach dastehen.
Was aber bedeutet das Urteil für Arbeitgeber? Diese sehen sich aufgrund der Regelungsdichte und der strengen Vorgaben durch die DSGVO bereits jetzt schier unüberwindbaren Aufgaben gegenüber. Beispielsweise müssen datenschutzrechtliche Auskunftsverlangen nach Art. 15 DSGVO zeitlich nicht nur innerhalb weniger Monate erteilt werden, sie müssen darüber hinaus auch inhaltlich sämtlichen Anforderungen des Art. 15 DSGVO entsprechen.
Wird das Urteil des Arbeitsgerichts Düsseldorf bestätigt, sähen sich Arbeitgeber künftig bei jedem noch so kleinen Verstoß gegen die zeitlichen und inhaltlichen Anforderungen der DSGVO einem immateriellen Schadensersatzanspruch ausgesetzt, der im Ergebnis keinen weiteren Anforderungen mehr unterläge, da bereits jeder noch so kleine Verstoß bereits dem Grunde nach einen Schadensersatzanspruch nach Art. 82 (1) der DSGVO begründen würde.
Der Rechtsstreit befindet sich derzeit noch in zweiter Instanz vor dem LAG Düsseldorf (dort anhängig unter: 14 Sa 294/20).Es bleibt daher abzuwarten, wie das LAG Düsseldorf über den Sachverhalt entscheiden wird. Arbeitgeber sollten sich vor dem Hintergrund der Entscheidung des Arbeitsgerichts Düsseldorf aber schon jetzt überlegen, wie sie angesichts der drohenden Auskunftsverlangen ihrer Mitarbeiter automatisierte Prozesse zur zeit- und inhaltsgerechten Beantwortung dieser Anfragen einführen. Nur so können sie den andernfalls drohenden Schadensersatzansprüchen proaktiv entgegenwirken und Risiken vermeiden. Wir bleiben gespannt und werden über den weiteren Fortgang informieren …