Allein die Tatsache, dass ein Arbeitgeber gegen die Vorgaben der Datenschutzgrundverordnung (DSGVO) verstößt, indem er eine nach Art. 15 Abs. 1 geforderte Auskunft verspätet erteilt, begründet noch keinen immateriellen Schadensersatzanspruch. Dafür reicht es nach Ansicht des Landesarbeitsgerichts Baden-Württemberg auch nicht aus, die Kontrolle über die eigenen Daten zu verlieren (LAG Baden-Württemberg, Urteil vom 27.07.2023, Az.: 3 Sa 33/22).
Ausgangsfall
Wie in unserem Beitrag zur unerlaubten Verwendung von Mitarbeiterfotos und Auskunftserteilung nach Art. 15 DSGVO – Teil I bereits dargestellt, hatte ein Werbetechniker gegen seinen früheren Arbeitgeber geklagt, da dieser Foto- und Videomaterial von ihm auch nach seinem Ausscheiden weiterhin verwendete. Erst als der Arbeitgeber ein anwaltliches Schreiben erhielt, reagierte dieser und entfernte das Bildmaterial.
Der Kläger machte Geldentschädigung und immateriellen Schadensersatz geltend, weil sein früherer Arbeitgeber Bildmaterial ohne seine Zustimmung auch nach seinem Ausscheiden aus dem Arbeitsverhältnis weiterhin für Werbezwecke auf verschiedenen social-media-Kanälen nutzte und auch seinem Auskunftsverlangen nach Art 15 Abs.1 DSGVO nicht innerhalb der Monatsfrist des Art. 12 Abs.3 Satz 1 DSGVO nachgekommen sei.
Kein Schadensersatz ohne konkreten Nachweis für das Vorliegen eines Schadens
Das Gericht hatte im vorliegenden Verfahren über mehrere Ansprüche des Arbeitnehmers zu entscheiden. So urteilte es, dass die unerlaubte Nutzung der Fotos durch den ehemaligen Arbeitgeber Schadensersatzansprüche des Arbeitnehmers auslösen (siehe Teil I).
Hingegen wies das Landesarbeitsgericht Baden-Württemberg den Anspruch auf immateriellen Schadensersatz ab, da der Arbeitnehmer nicht darlegen konnte, dass ihm aufgrund der verspäteten Auskunftserteilung ein immaterieller Schaden gemäß Art. 82 Abs.1 DSGVO entstanden ist. Das Gericht verwies zur Begründung auf die ergangene Entscheidung des EuGH vom 04.05.2023 (siehe Beitrag „Schadensersatz bei Datenschutzverstößen“), in welcher dieser die Voraussetzungen auf Schadensersatz nach Art. 82 DSGVO wie folgt benennt:
- das Vorliegen eines Schadens
- das Vorliegen eines Verstoßes gegen die DSGVO und
- ein Kausalzusammenhang zwischen dem Schaden und dem Verstoß (EuGH vom 04.05.2023, Rn. 32, 36)
Der Kläger hatte lediglich das Vorliegen eines Verstoßes gegen die DSGVO dargelegt, nicht jedoch das Vorliegen eines ersatzfähigen Schadens. Wenn der Kläger nur vorträgt, dass er um seine Rechte und Freiheiten gebracht wurde, die ihn betreffenden personenbezogenen Daten zu kontrollieren, reiche dies nicht aus. Allein der Verstoß gegen die DSGVO begründe noch keinen Schadenersatzanspruch. „Bloßer Ärger“ genüge hierbei genauso wenig wie „das bloße Zuwarten auf die Auskunft“.
Das Gericht stellte klar, dass Art. 82 Abs. 1 DSGVO keine Vermutung dahingehend enthalte, dass der mit einem Verstoß gegen die Datenschutzgrundverordnung einhergehende Kontrollverlust über die eigenen Daten als solcher zu einem ersatzfähigen immateriellen Schaden führt. Erst das Vorliegen eines konkreten, durch den Verstoß gegen die DSGVO ausgelösten Schadens löst einen in Art. 82 DSGVO vorgesehenen Schadensersatzanspruch aus. Dabei kann der Schaden auch gering sein, da er keine gewisse Erheblichkeitsschwelle überschreiten muss.
Aufgabe der bisherigen Rechtsprechung zum immateriellen Schadensersatz
Die vorliegende Entscheidung widerspricht in Teilen der bisherigen Rechtsprechung. So sah das Landesarbeitsgericht Niedersachsen in seiner Entscheidung vom 22.10.2021 (Az. 16 Sa 761/20) zwar auch einen Verstoß gegen die DSGVO unabhängig von dem Erreichen einer Erheblichkeitsschwelle als Anspruchsgrundlage für einen immateriellen Schadensersatzanspruch an. Allerdings erachtete es die Darlegung des konkreten Schadens nicht als erforderlich. Das LAG Niedersachsen ging in seiner Entscheidung davon aus, dass außer bei reinen Formfehlern mit der Verletzung datenschutzrechtlicher Normen letztlich immer ein immaterieller Schaden des Betroffenen einhergehen würde (LAG Niedersachsen vom 22.10.2021, Ziff. C. II. (5)(a) der Entscheidungsgründe).
Dem schloss sich unter anderem das Landesarbeitsgericht Berlin-Brandenburg in seiner Entscheidung vom 18.11.2021 (Az. 10 Sa 443/21) an, indem es für die Feststellung eines Schadens nur darauf abstellte, dass bei dem Kläger durch die inhaltlich nicht hinreichend erfüllte Auskunftspflicht ein Kontrollverlust eingetreten sei und ihm die Möglichkeit der Überprüfung der Rechtmäßigkeit der Verarbeitung seiner personenbezogenen Daten unmöglich gemacht oder erschwert wurde.
Durch die Entscheidungen des LAG Baden-Württemberg und des EuGH wurde nunmehr klargestellt, dass auch wenn der Schaden keine gewisse Erheblichkeitsschwelle überschreiten muss, der Betroffene dennoch nachweisen muss, dass der Verstoß gegen die DSGVO überhaupt einen immateriellen Schaden verursacht hat.
Praxistipp:
Auch wenn durch die Entscheidungen des EuGH sowie des LAG Baden-Württemberg klargestellt ist, dass der betroffenen Person durch den Verstoß gegen die DSGVO auch tatsächlich ein Schaden entstanden sein muss, um Schadensersatzansprüche auszulösen, sollten sich Datenverarbeiter nicht entspannt zurücklehnen. Denn so enthalten beispielsweise Art. 77 und 78 DSGVO keinen Hinweis darauf, dass der betroffenen Person ein Schaden entstanden sein muss, um Rechtsbehelfe bei einer Aufsichtsbehörde einlegen zu können. Diese wiederum können entsprechend Art. 83 und 84 DSGVO zu Strafzwecken Geldbußen und anderen Sanktionen verhängen, um die Einhaltung der Bestimmungen der DSGVO durchzusetzen und von der Wiederholung rechtswidriger Verhaltensweisen abzuschrecken.
Stand: 22.02.2024
Ansprechpartner:
Sabine Stölzel (Rechtsanwältin / Fachanwältin für Arbeitsrecht)
Kontaktdaten:
+49 (0)351 486 70 70