Skip to content

OLG Köln: 500 EURO immaterieller Schadensersatz aus Art. 82 DSGVO wegen verspäteter Auskunft nach Art. 15 DSGVO kann gerechtfertigt sein

OLG Köln
Urteil vom 14.07.2022
15 U 137/21


Das OLG Köln hat entschieden, dass 500 EURO immaterieller Schadensersatz aus Art. 82 DSGVO wegen verspäteter Auskunft nach Art. 15 DSGVO gerechtfertigt sein kann.

LAG Berlin-Brandenburg: 2.000 EURO Schadensersatz aus Art. 82 DSGVO wegen verspäteter oder unvollständiger Auskunft nach Art. 15 DSGVO

LAG Berlin-Brandenburg
Urteil vom 18.11.2021
10 Sa 443/21

Das LAG Berlin-Brandenburg hat dem Betroffenen in diesem Fall 2.000 EURO Schadensersatz aus Art. 82 DSGVO wegen verspäteter bzw. unvollständiger Auskunft nach Art. 15 DSGVO zugesprochen.

Aus den Entscheidungsgründen:
Die Berufung des Klägers ist aber nur teilweise begründet.

Zutreffend hat die Beklagte in der Berufungserwiderung die jeweiligen Prüffragen für den geltend gemachten Anspruch aufgeworfen.

1. Liegt ein Verstoß gegen Art. 15 DSGVO vor?
2. Ist die Beklagte für einen etwaigen Verstoß verantwortlich?
3. Ist beim Kläger ein Schaden entstanden?
4. Gibt es eine Kausalität zwischen einem etwaigen Verstoß der Beklagten gegen Art. 15 Abs. 1 DSGVO und einem etwaigen beim Kläger eingetretenen Schaden?
5. Trifft den Kläger ein etwaiges Mitverschulden bzw. ist der etwaige Anspruch verwirkt oder rechtsmissbräuchlich geltend gemacht?
6. Ist ggf. die geltend gemachte Entschädigungssumme angemessen?

1. Nach Art. 15 Abs. 1 DSGVO hat der Kläger grundsätzlich das Recht, von der Beklagten eine Bestätigung darüber zu verlangen, ob sie ihn betreffende personenbezogene Daten verarbeitet und ggf. auf Auskunft über diese personenbezogenen Daten und u.a. auf folgende Informationen:

a) die Verarbeitungszwecke;
b) die Kategorien personenbezogener Daten, die verarbeitet werden;
c) die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;
d) falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
e) das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
f) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
g) wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;

Diese Informationen hat die Beklagte dem Kläger nur teilweise erteilt.

2. Es mag sein, dass die Beklagte große Mengen Daten über den Kläger verarbeitet hat. Konkrete Angaben dazu hat die Beklagte nicht gemacht. Anders als das Arbeitsgericht meint, ist das in diesem Fall aber auch unerheblich, da der Kläger keine generelle Auskunft hinsichtlich der von der Beklagten über ihn gespeicherten Daten verlangt hat, sondern beschränkt auf zwei Sachverhalte.

2.1 Zum einen ging es um die Anhörung des Betriebsrates und dessen Zustimmung. Durch die Bezugnahme auf Art. 15 DSGVO war aber in jedem Fall klar und eindeutig, dass der Kläger nicht nur um das Anhörungsschreiben der Arbeitgeberin und das Antwortschreiben des Betriebsrates ging, sondern zugleich auch um die in der Vorschrift genannten weiteren Aspekte. Mit der erteilten Auskunft durch Übersendung der beiden Schreiben hat die Beklagte allenfalls die Auskunftspflicht nach Art. 15 Abs. 1 a) und b) DSGVO erfüllt. Den weitergehenden Anspruch nach Buchst. c) bis g) hat die Beklagte mit ihrer Antwort vom 23. August 2019 offensichtlich nicht erfüllt.

Weder hat die Beklagte mitgeteilt, ob und ggf. gegenüber welchen Personen oder Stellen sie den Versetzungsvorgang offengelegt hat oder noch offenlegen werde noch wann bzw. nach welchen Kriterien eine Löschung der Daten erfolgen werde. Auch auf das Bestehen eines Rechts auf Berichtigung oder Löschung der den Kläger betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch die Beklagte oder eines Widerspruchsrechts gegen diese Verarbeitung und das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde hat die Beklagte nicht hingewiesen. Da die Daten offenbar nicht beim Kläger erhoben worden waren, hätte es auch einer Information über die Herkunft der Daten bedurft, also wer jeweils an dem Vorgang beteiligt war.

2.2 Zum anderen ging es um die Abmahnung vom 29. Mai 2019. Auch hier hat die Beklagte durch die Übersendung des Antrags des Herrn A auf Erteilung einer Abmahnung und dem sogenannten Logbuch-Eintrag allenfalls die Auskunftspflicht nach Art. 15 Abs. 1 a) und b) DSGVO erfüllt. Den weitergehenden Anspruch nach Buchst. c) bis g) hat die Beklagte mit ihrer Antwort vom 23. August 2019 auch zu diesem Vorgang offensichtlich nicht erfüllt.

Weder hat die Beklagte mitgeteilt, ob und ggf. gegenüber welchen Personen oder Stellen sie den Abmahnungsvorgang offengelegt hat oder noch offenlegen werde noch wann bzw. nach welchen Kriterien eine Löschung der Daten erfolgen werde. Auch auf das Bestehen eines Rechts auf Berichtigung oder Löschung der den Kläger betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch die Beklagte oder eines Widerspruchsrechts gegen diese Verarbeitung und das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde hat die Beklagte den Kläger nicht hingewiesen. Da die Daten offenbar nicht beim Kläger erhoben worden waren, hätte es auch einer Information über die Herkunft der Daten bedurft, also wer jeweils an dem Vorgang beteiligt war.

3. Dass diese Informationen fehlen, ist offensichtlich. Denn durch einen einfachen Blick in den Text des Art. 15 Abs. 1 DSGVO hätte die Beklagte feststellen können, was der Kläger von ihr verlangt. Insofern ist die Beklagte auch für die unzureichende Information und damit den Verstoß gegen Art. 15 Abs. 1 DSGVO verantwortlich.

4. Wie der Kläger zutreffend ausgeführt hat, liegt bei ihm ein Schaden vor. Unter Bezugnahme auf eine Entscheidung des LAG Niedersachsen vom 22. Oktober 2021 – 16 Sa 761/20 besteht unabhängig von dem Erreichen einer Erheblichkeitsschwelle bei Verstößen gegen Regelungen der DSGVO ein immaterieller Schadensersatzanspruch. Hierbei ist zu berücksichtigen, dass gerade ausgehend von Erwägungsgrund 146 Satz 3 zur DSGVO eine weite Auslegung geboten ist, um den Zielen der Verordnung in vollem Umfang zu entsprechen. Hiermit wäre es unvereinbar, würde eine Schadensersatzpflicht nur bei erheblichen Rechtsverstößen eintreten, da dann eine Vielzahl von Fallgestaltungen denkbar wäre, in denen Betroffene trotz Verstößen gegen die Regelungen der DSGVO keine Kompensation erhielten. Ferner kann, um die Regelungen der DSGVO effektiv durchzusetzen, auch auf eine abschreckende Wirkung des Schadensersatzes abgestellt werden (vgl. EuGH 17. Dezember 2015 – C-407/14 – Rn. 44). Zudem sollen die betroffenen Personen nach Erwägungsgrund 146 Satz 3 einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten. Dass ein Schaden erlitten ist, ergibt sich nicht erst bei Überschreiten einer gewissen Erheblichkeitsschwelle - der Schwere der Pflichtverstöße und damit einhergehenden Beeinträchtigungen kann vielmehr effektiv auf Ebene der Höhe des Schadensersatzes begegnet werden.

Indem die Beklagte ihrer Auskunftsverpflichtung inhaltlich nicht hinreichend nachgekommen ist, hat der Kläger keine ausreichenden Kenntnisse über die Verarbeitung seiner personenbezogenen Daten erlangt. Insofern ist ein Kontrollverlust eingetreten und ihm wurde die Möglichkeit der Überprüfung der Rechtmäßigkeit der Verarbeitung seiner personenbezogenen Daten unmöglich gemacht oder erschwert.

5. Die Kausalität zwischen der unzureichenden Auskunft der Beklagten und der Ungewissheit beim Kläger, welche Daten bei der Beklagten bezüglich der zwei konkret benannten Sachverhalte verarbeitet worden sind, liegt auf der Hand. Es bedurfte keines ergänzenden Auskunftsverlangens, da allein der Blick in den Verordnungstext ausreicht, um die Unvollständigkeit der Auskunft zu erkennen.

6. Der Anspruch des Klägers ist auch nicht verwirkt oder aus anderem Grunde rechtsmissbräuchlich geltend gemacht worden. Zwar ist es ungewöhnlich, dass der Kläger bereits mit der Klageschrift sein Schreiben vom 22. Juli 2019 und das Antwortschreiben der Beklagten vom 23. August 2019 eingereicht hat, ohne diesbezüglich einen Streitgegenstand hinsichtlich Art. 15 DSGVO zu eröffnen. Dadurch mag ein für die Verwirkung erforderliches Zeitmoment zwischen dem 23. August 2019 und dem 21. Dezember 2020 entstanden sein. Ein darüber hinaus erforderliches Umstandsmoment ist jedoch weder vorgetragen noch ersichtlich. Da sich die beiden Schreiben nicht nur mit Art. 15 DSGVO, sondern auch mit der Rückgängigmachung der Versetzung und der Entfernung der Abmahnung aus der Personalakte des Klägers beschäftigten, war es für eine vollständige Sachverhaltsdarstellung erforderlich, diese der Klageschrift beizufügen. Denn in der Klageschrift ging es zunächst (nur) um diese beiden Sachverhalte.

Angesichts des offensichtlich nicht vollständig erfüllten Auskunftsanspruchs bedurfte es entgegen der Ansicht der Beklagten auch keines Hinweises des Klägers, dass der Anspruch mit dem Schreiben vom 23. August 2019 nicht erfüllt sei.

7. Dem Kläger ist in Anbetracht der Pflichtverstöße der Beklagten nach richterlichem Ermessen gem. § 287 Abs. 1 ZPO ein immaterieller Schadensersatz in Höhe von 2.000,-- Euro zuzusprechen.

Die Schadensersatzansprüche sollen, worauf auch das LAG Niedersachsen in dem Urteil vom 22. Oktober 2021 – 16 Sa 761/20 unter Bezugnahme auf Entscheidungen anderer Gerichte hingewiesen hat, generell eine Abschreckungswirkung haben. Unter Berücksichtigung des Erwägungsgrundes 146 Satz 6 zur DSGVO soll die betroffene Person einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten. Verstöße müssen effektiv sanktioniert werden. Schadenersatz bei Datenschutzverstößen sollen eine abschreckende Wirkung haben, um der Datenschutzgrundverordnung zum Durchbruch zu verhelfen.

Gemessen an der Zweckrichtung des Schadensersatzes hält die Kammer unter Berücksichtigung und Abwägung der Umstände des vorliegenden Falls einen immateriellen Schadensersatz in Höhe von 1.000,-- Euro je unvollständig beantwortetem Auskunftsverlangen für angemessen. Hierbei ist zu berücksichtigen, dass die Auskunft der Beklagten offensichtlich unvollständig erfolgte. Auch nach der Klageerweiterung vom 21. Dezember 2020 hat die Beklagte die Auskunft nicht vervollständigt. Durch die unzureichende Auskunft hatte der Kläger keine umfassende Kenntnis über die Verarbeitung seiner personenbezogenen Daten durch die Beklagte bei zwei für ihn nachteiligen Sachverhalten (Versetzung und Abmahnung).

Durch einen Schadenersatz von jeweils 1.000,-- EUR wird ausreichend sichergestellt, dass durch die Zahlung eines spürbaren Betrages der Regelung des Art. 15 DSGVO zur Geltung verholfen wird und die Verpflichteten angehalten werden, die entsprechenden Maßgaben einzuhalten.


Den Volltext der Entscheidung finden Sie hier: