Skip to content

ArbG Oldenburg: 10.000 EURO immaterieller Schadensersatz aus Art. 82 DSGVO für ehemaligen Arbeitnehmer wegen unterbliebener Auskunftserteilung gemäß Art. 15 DSGVO durch Arbeitgeber

ArbG Oldenburg
Urteil 09.02.2023
3 Ca 150/21


Das Arbeitsgericht Oldenburg hat einem ehemaligen Arbeitnehmer 10.000 EURO immateriellen Schadensersatz aus Art. 82 DSGVO wegen unterbliebener Auskunftserteilung gemäß Art. 15 DSGVO durch den Arbeitgeber zugesprochen. Die Auskunftserteilung war über 20 Monate nicht erfolgt und das Gericht hielt 500 EURO pro Monat für angemessen. Das Gericht ist der Ansicht, dass Art. 82 DSGVO abschrecken und generalpräventiv wirken soll.


OLG Hamm: 100 EURO Schadensersatz aus Art. 82 DSGVO für versehentliche Weiterleitung personenbezogener Daten per E-Mail-Verteiler an 1200 Personen durch Impfzentrum

OLG Hamm
Urteil vom 20.01.2023
11 U 88/22


Das OLG Hamm hat entschieden, dass 100 EURO Schadensersatz aus Art. 82 DSGVO für die versehentliche Weiterleitung personenbezogener Daten per E-Mail-Verteiler an 1200 Personen durch ein Impfzentrum angemessen ist.

Aus den Entscheidungsgründen:
Soweit das Landgericht den dem Kläger zum Ausgleich des ihm entstandenen immateriellen Schadens zustehenden Betrag mit 100,00 Euro bemessen hat, ist hiergegen aus Sicht des Senats nichts zu erinnern.

Ausgehend von dem bereits dargestellten Schadensbegriff gelten bei der Bemessung der Schadenshöhe die im Rahmen von § 253 BGB entwickelten Grundsätze; der Schaden ist nach § 287 ZPO zu schätzen (OLG Koblenz, Urteil vom 18.05.2022 – 5 U 2141/21, juris Rn. 81). Hierbei ist der Erwägungsgrund 146 S. 3 und 6 zur DS-GVO zu berücksichtigen, wonach der Begriff des Schadens auf eine Art und Weise auszulegen ist, die den Zielen der Verordnung in vollem Umfang entspricht und die betroffene Person einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten sollen. Ergänzend können auch in Art. 83 Abs. 2 DS-GVO genannte Kriterien herangezogen werden, obwohl diese Vorschrift nicht die Geltendmachung individueller Entschädigungsansprüche sondern die Verhängung von Geldbußen betrifft; dies gilt insbesondere für Art, Schwere und Dauer des Verstoßes unter Berücksichtigung von Art, Umfang oder Zweck der betreffenden Verarbeitung, den Grad des Verschuldens, Maßnahmen zur Minderung des entstandenen Schadens, frühere Verstöße sowie die Kategorie der betroffenen personenbezogenen Daten (vgl. OLG Düsseldorf, Urteil vom 28.10.2021 – 16 U 275/20, juris Rn. 55 f.; OLG Frankfurt, Urteil vom 14.04.2022 – 3 U 21/20, juris Rn. 56; Quaas, in: Wolff/Brink, BeckOK Datenschutzrecht, 42. Edition, Stand 01.08.2022, Art. 82 DS-GVO Rn. 31).

aa) Zunächst ist zu berücksichtigen, dass die in der Excel-Datei enthaltenen personenbezogenen Daten des Klägers, nämlich vollständiger Name, Anschrift, Geburtsdatum, Telefonnummer und E-Mail-Adresse sowie der für die Impfung vorgesehene Impfstoff und das Datum der Impfung sowie Angaben zur Anzahl der Impfungen in ihrer Gesamtheit ein Datenbündel darstellen, welches problemlos die Identifizierung des Klägers ermöglicht. Auch sind hier nicht lediglich personenbezogene Daten des Klägers im Sinne von Art. 4 Nr. 1 DS-GVO betroffen, sondern auch Gesundheitsdaten im Sinne von Art. 4 Nr. 15 DS-GVO, welche grundsätzlich besonders sensibel sind, wie auch Art. 9 DS-GVO deutlich macht.

Weiter ist in den Blick zu nehmen, dass die Excel-Datei an eine Vielzahl von Personen übersandt wurde. Insoweit hat die Beklagte im Senatstermin klargestellt, dass der Versand an insgesamt 1.200 Personen erfolgte, wobei allerdings ein unmittelbar nach dem Versand erfolgter Rückruf der E-Mail in 500 Fällen Erfolg hatte. Damit haben 700 Personen die Datei erhalten und konnten deren Inhalt auch zur Kenntnis nehmen, da die Datei nicht vor einem einfachen Zugriff geschützt war. Auch ist zu berücksichtigen, dass dieser Versand und damit die Offenbarung der Daten nicht mehr rückgängig zu machen ist. Denn der Kläger hatte bzw. hat keine Möglichkeit, eine etwaige Weitergabe der Daten effektiv zu verhindern oder auch nur zu kontrollieren. Trotz des von der Beklagten unternommenen Versuches, die Empfänger der E-Mail zur Löschung der Datei zu veranlassen, kann eine Weitergabe dieser Dateien an Dritte nicht ausgeschlossen werden.

Damit besteht für den Kläger das Risiko des Erhalts unerwünschter Werbung insbesondere per E-Mail oder von Phishing-E-Mails mit dem Ziel, auf diese Art weitere Informationen vom Kläger zu erlangen. Auch die Möglichkeit eines Identitätsdiebstahls ist ebenso in Betracht zu ziehen wie die Auslösung kostenpflichtiger Bestellungen durch Dritte unter Verwendung der personenbezogenen Daten des Klägers.

Es ist aber auch zu beachten, dass es sich bei den offenbarten personenbezogenen Daten des Klägers im Sinne von Art. 4 Nr. 1 DS-GVO lediglich um solche Daten handelt, welche der Sozialsphäre des Klägers zuzuordnen sind. Die Sozialsphäre betrifft den Bereich, in dem sich die persönliche Entfaltung von vornherein im Kontakt mit der Umwelt vollzieht, also insbesondere das berufliche und politische Wirken des Individuums. Demgegenüber umfasst die Privatsphäre sowohl in räumlicher als auch in thematischer Hinsicht den Bereich, zu dem andere grundsätzlich nur Zugang haben, soweit er ihnen gestattet wird. Dies betrifft in thematischer Hinsicht Angelegenheiten, die wegen ihres Informationsinhalts typischerweise als „privat“ eingestuft werden, etwa weil ihre öffentliche Erörterung als unschicklich gilt, das Bekanntwerden als peinlich empfunden wird oder nachteilige Reaktionen in der Umwelt auslöst (BGH, Urteil vom 20.12.2011 – VI ZR 261/10, juris Rn. 16). Nach dieser Maßgabe sind jedenfalls die personenbezogenen Daten des Klägers, die zur Beschreibung seiner Person dienen, der Sozialsphäre zuzuordnen. Demgegenüber waren von dem Verstoß nicht besonders sensible Daten wie etwa Bank- oder Steuerdaten, Zugangsdaten und Kennwörter oder ähnliche Daten betroffen. Soweit Gesundheitsdaten des Klägers im Sinne von Art. 4 Nr. 15 DS-GVO offenbart wurden, sind diese zwar der Privatsphäre zuzurechnen. Allerdings darf hier nicht außer Acht gelassen werden, dass insbesondere im Hinblick auf den weiten Begriff der Gesundheitsdaten auch hier deren konkreter Inhalt zu berücksichtigen ist. Aus den offenbarten Daten lässt sich allenfalls das Fehlen einer Kontraindikation in der Person des Klägers bezüglich einer zweiten Impfung nach erfolgter Erstimpfung ableiten, nicht aber konkrete Schlüsse auf eine Erkrankung des Klägers oder eine besondere gesundheitliche Disposition. Damit stellt sich die Offenbarung der Gesundheitsdaten hier als weit weniger schwerwiegend dar, als dies etwa bei der Offenbarung spezifischer Gesundheitsdaten wie eines medizinischen Befundes oder einer ärztlichen Diagnose der Fall wäre.

Weiter ist in den Blick zu nehmen, dass der vom Kläger beanstandete Versand der die personenbezogenen Daten des Klägers enthaltenden Datei von der Beklagten zu keinem Zeitpunkt bezweckt war. Denn im Zuge des Betriebs des Impfzentrums benötigte die Beklagte die Datei einmalig für kurze Zeit zum Zwecke der Organisation des Impfzentrums, namentlich um die von der Änderung der Öffnungszeiten betroffenen Personen hierüber zu informieren. Der Versand der Datei beruhte auf einem Versäumnis der handelnden Mitarbeiter im Zug des Versands der E-Mail an die von der Änderung der Öffnungszeiten betroffenen Personen, war aber zu keinem Zeitpunkt intendiert.

Auch ist zu berücksichtigen, dass die Beklagte mit dem Betrieb des Impfzentrums und den damit im Zusammenhang stehenden Tätigkeiten eine öffentliche Aufgabe wahrgenommen hat und insbesondere nicht mit der Absicht handelte, hierbei in irgendeiner Weise Gewinne zu erzielen. Auch der Versand der E-Mail vom 00.00.2021 stand in keinerlei Zusammenhang mit einer gewinnorientierten Tätigkeit.

Ferner ist der geringe Grad des Verschuldens auf Seiten der Beklagten zu berücksichtigen. Insoweit geht der Senat lediglich von einem fahrlässigen Verhalten der Mitarbeiter der Beklagten aus, welche die E-Mail abgesandt haben. Soweit der Kläger hier von einem vorsätzlichen Verstoß ausgeht, hat er schon nicht dargelegt, welche Umstände die Annahme von Vorsatz rechtfertigen sollten. Auch soweit der Kläger meint, es greife insoweit ein Beweis des ersten Anscheins ein, vermag der Senat dem nicht zu folgen. Die Beweiswürdigungsregel des Anscheinsbeweises ist nur bei regelmäßigen (typischen) Geschehensabläufen anwendbar, die nach der Lebenserfahrung auf eine bestimmte Ursache hinweisen (vgl. Laumen, in: Baumgärtel/Laumen/Prütting, Handbuch der Beweislast, 4. Auflage 2019, Kap. 17 Rn. 10). Es ist schon nicht erkennbar, welcher typischen Geschehensablauf hier aufgrund von Erfahrungssätzen den Schluss auf ein vorsätzliches Verhalten erlauben soll. Allein der Versand einer E-Mail mit einem zuvor nicht entfernten Anhang kann zur Überzeugung des Senats jedenfalls nicht die Annahme rechtfertigen, die Übersendung der angehängten Datei sei vorsätzlich erfolgt. Im Hinblick auf die Darstellung der Beklagten von den Abläufen, die zum Versand der E-Mail nebst angehängter Excel-Datei geführt haben und die der Kläger auch im Senatstermin nicht in Abrede gestellt hat, ist die Annahme vorsätzlichen Verhaltens fernliegend. Vielmehr ist davon auszugehen, dass den betroffenen Mitarbeitern der Beklagten und damit auch der Beklagten allenfalls Fahrlässigkeit vorgeworfen werden kann.

Weiter ist zu berücksichtigen, dass nicht ersichtlich ist, dass es bereits vor dem streitgegenständlichen Vorfall zu einem vergleichbaren Verstoß gekommen ist und sich dieser anlässlich des Versands der E-Mail vom 00.00.2021 wiederholt hätte.

Schließlich zu berücksichtigen, dass die Beklagte alles in ihrer Macht Stehende unternommen hat, um den infolge des Verstoßes aufgetretenen Schaden gering zu halten. So wurde unmittelbar nach dem Versand der Mail der Versuch des Rückrufs der E-Mail unternommen, was bei insgesamt 500 Adressaten auch erfolgreich war. Ferner hat die Beklagte auch die Empfänger der E-Mail aufgerufen, die Daten zu löschen. Darüber hinaus hat die Beklagte den Kläger – sowie alle anderen Betroffenen – bereits kurz nach dem Verstoß mit Schreiben vom 05.08.2021 über diesen und über die offenbarten Daten informiert. Nachdem die Beklagte zudem Kenntnis davon erlangt hatte, dass sich eine Europäische Zentrale für Verbraucherschutz per E-Mail an den Kläger und andere Betroffene gewandt hatte, kam es nach dem unbestrittenen Vorbringen der Beklagten auf deren Betreiben auch zu einem Abschalten der Internetseite Webseite01.

Darüber hinaus hat die Beklagte sich mit Schreiben vom 05.08.2021 beim Kläger entschuldigt und den Vorfall der Aufsichtsbehörde angezeigt.

bb) Die Tatsache, dass der Kläger auf Facebook als Befürworter der Impfung aufgetreten ist und sich aus dem Profil auch Tag und Monat seines Geburtsdatums ablesen lassen, ist für die Bemessung der dem Kläger zuzusprechenden immateriellen Entschädigung demgegenüber lediglich von untergeordneter Bedeutung. Dies insbesondere deshalb, da die so durch den Kläger offenbarten Daten lediglich einen kleinen Teil der infolge des der Beklagten zuzurechnenden Datenschutzverstoßes offenbarten Daten repräsentieren, damit auch nicht ohne weiteres eine Identifizierung der Person des Klägers ermöglichen und der Kläger zudem auch eine Kontrolle über diese Daten innehat, die er jederzeit löschen kann.

cc) Im Rahmen der Genugtuungsfunktion des Ersatzanspruchs wegen immaterieller Schäden ist die an den Kläger versandte E-Mail vom 18.08.2021 von Bedeutung. Denn insoweit geht es nicht mehr nur um die bloße Sorge des Klägers vor den Folgen eines Datenschutzverstoßes und des darauf beruhenden Kontrollverlusts; vielmehr hat sich das in dem Datenschutzverstoß liegende Risiko hier bereits verwirklicht. Allerdings ist zu sehen, dass es sich lediglich um eine E-Mail handelt. Weitere konkrete Beeinträchtigungen über den eingetreten Kontrollverlust hinaus, die sich als Folge der Offenbarung der personenbezogenen Daten des Klägers darstellen, hat der Kläger im Senatstermin am 09.12.2022 verneint, sie werden angesichts der seit dem Datenverstoß bereits verstrichenen Zeit auch zunehmend weniger wahrscheinlich. Soweit der Kläger mit seinem Hinweis auf militante Impfgegner auf eine von diesen ausgehende Gefahr körperlicher oder sonstiger Übergriffe aufgrund des Umstands hinweisen will, dass der Kläger selbst eine Impfung befürwortet, hat sich insoweit kein Anhaltspunkt für eine konkrete Beeinträchtigung aufgrund des Datenschutzverstoßes ergeben.

dd) Soweit der Kläger geltend macht, der vom Landgericht zuerkannte Betrag von 100,00 Euro sei eher symbolischer Natur und habe keinerlei Abschreckungseffekt, so vermag der Senat dem nicht beizutreten.
153
Im Hinblick auf Erwägungsgrund 146 S. 3 zur DS-GVO sollen Schadenersatzforderungen zwar abschrecken und weitere Verstöße unattraktiv gemacht werden (Schaffland/Holthaus, in: Schaffland/Wiltfang, DS-GVO/BDSG, Stand: August 2022, Art. 82 DS-GVO Rn. 10b). Auch vermag sich ein Abschreckungseffekt vielleicht nicht aus dem dem Kläger zuerkannten Betrag ergeben. Allerdings ist hier in den Blick zu nehmen, dass der der Beklagten zuzurechnende Verstoß gegen die DS-GVO hier nicht lediglich den Kläger betrifft, sondern eine Vielzahl weiterer Personen, deren personenbezogene Daten ebenfalls in der übermittelten Excel-Datei enthalten waren. Insoweit gehen die Parteien übereinstimmend davon aus, dass die Datei Daten von insgesamt 13.000 Personen enthielt. Dieser Umstand bietet jedenfalls das Potenzial, das sich aus Ansprüchen vieler Betroffener ein durchaus messbarer finanzieller Schadensbetrag bei der Beklagten einstellt.

ee) Eine Erhöhung der Entschädigung ist auch nicht im Hinblick auf eine Sanktionswirkung der Entschädigung angezeigt.

Das für die konkrete Bemessung der Höhe maßgebliche deutsche Recht (vgl. Nemitz, in: Ehmann/Selmayr, DS-GVO, 2. Auflage 2018, Art. 82 Rn. 17) kennt – anders als die Rechtsordnungen anderer Staaten – keinen Strafschadensersatz. Eine wie auch immer geartete Sanktionswirkung neben dem Ausgleich eines konkret entstandenen immateriellen Schadens ist daher bei der Bemessung der dem Kläger zustehenden Entschädigung nicht in Betracht zu ziehen. Insoweit bestimmt Art. 83 DS-GVO, dass die zuständige Aufsichtsbehörde im Falle eines Verstoßes gegen die DS-GVO neben einem etwaigen individuellen Anspruch auf Schadenersatz nach Art. 82 Abs. 1 DS-GVO eine Geldbuße verhängen kann.

ff) Unter Beachtung der vorstehenden Erwägungen hält der Senat bei einer Gesamtbetrachtung des vorliegenden Falles und seiner Besonderheiten im Hinblick auf den eingetretenen dauerhaften Kontrollverlust und den Erhalt einer unerwünschten E-Mail den durch das Landgericht zuerkannten Betrag in Höhe von 100,00 Euro für angemessen, aber auch ausreichend, um den beim Kläger eingetretenen immateriellen Schaden nach Maßgabe des in der DS-GVO geregelten Schadensersatzanspruchs zu kompensieren.


Den Volltext der Entscheidung finden Sie hier:


Vorlagebeschluss liegt im Volltext vor - BAG legt EuGH Fragen zur Auslegung von Art. 82 DSGVO und Art. 88 DGSVO vor

BAG
Beschluss vom 22.09.2022
8 AZR 209/21


Wir hatten bereits in dem Beitrag "BAG legt EuGH Fragen zur Auslegung von Art. 82 DSGVO und Art. 88 DGSVO vor - Immaterieller Schadensersatz bei Verarbeitung personenbezogener Daten im Rahmen eines Beschäftigungsverhältnisses" über die Entscheidung berichtet.

Tenor der Entscheidung:

I. Der Gerichtshof der Europäischen Union wird gemäß Art. 267 AEUV um Vorabentscheidung über die Fragen ersucht:

1. Ist eine nach Art. 88 Abs. 1 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung; im Folgenden DSGVO) erlassene nationale Rechtsvorschrift – wie etwa § 26 Abs. 4 Bundesdatenschutzgesetz, im Folgenden BDSG -, in der bestimmt ist, dass die Verarbeitung personenbezogener Daten – einschließlich besonderer Kategorien personenbezogener Daten – von Beschäftigten für Zwecke des Beschäftigungsverhältnisses auf der Grundlage von Kollektivvereinbarungen unter Beachtung von Art. 88 Abs. 2 DSGVO zulässig ist, dahin auszulegen, dass stets auch die sonstigen Vorgaben der DSGVO – wie etwa Art. 5, Art. 6 Abs. 1 und Art. 9 Abs. 1 und Abs. 2 DSGVO – einzuhalten sind?

2. Sofern die Frage zu 1. bejaht wird:

Darf eine nach Art. 88 Abs. 1 DSGVO erlassene nationale Rechtsvorschrift – wie § 26 Abs. 4 BDSG – dahin ausgelegt werden, dass den Parteien einer Kollektivvereinbarung (hier den Parteien einer Betriebsvereinbarung) bei der Beurteilung der Erforderlichkeit der Datenverarbeitung im Sinne der Art. 5, Art. 6 Abs. 1 und Art. 9 Abs. 1 und Abs. 2 DSGVO ein Spielraum zusteht, der gerichtlich nur eingeschränkt überprüfbar ist?

3. Sofern die Frage zu 2. bejaht wird:

Worauf darf in einem solchen Fall die gerichtliche Kontrolle beschränkt werden?

4. Ist Art. 82 Abs. 1 DSGVO dahin auszulegen, dass Personen ein Recht auf Ersatz des immateriellen Schadens bereits dann haben, wenn ihre personenbezogenen Daten entgegen den Vorgaben der DSGVO verarbeitet wurden oder setzt der Anspruch auf Ersatz des immateriellen Schadens darüber hinaus voraus, dass die betroffene Person einen von ihr erlittenen immateriellen Schaden – von einigem Gewicht – darlegt?

5. Hat Art. 82 Abs. 1 DSGVO spezial- bzw. generalpräventiven Charakter und muss dies bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DSGVO zulasten des Verantwortlichen bzw. Auftragsverarbeiters berücksichtigt werden?

6. Kommt es bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DSGVO auf den Grad des Verschuldens des Verantwortlichen bzw. Auftragsverarbeiters an? Insbesondere, darf ein nicht vorliegendes oder geringes Verschulden auf Seiten des Verantwortlichen bzw. Auftragsverarbeiters zu dessen Gunsten berücksichtigt werden?

II. Das Revisionsverfahren wird bis zur Entscheidung des Gerichtshofs der Europäischen Union über das Vorabentscheidungsersuchen ausgesetzt.

Den Volltext der Entscheidung finden Sie hier:

BAG legt EuGH Fragen zur Auslegung von Art. 82 DSGVO und Art. 88 DGSVO vor - Immaterieller Schadensersatz bei Verarbeitung personenbezogener Daten im Rahmen eines Beschäftigungsverhältnisses

BAG
Beschluss vom 22.09.2022
8 AZR 209/21


Der BAG hat dem EuGH Fragen zur Auslegung von Art. 82 DSGVO und Art. 88 DSGVO zur Entscheidung vorgelegt. Es geht dabei um die Zulässigkeit der Verarbeitung personenbezogener Daten im Rahmen eines Beschäftigungsverhältnisses und möglichen Ansprüchen auf immateriellen Schadensersatz.

Die Vorlagefragen:

I. Der Gerichtshof der Europäischen Union wird gemäß Art. 267 AEUV um Vorabentscheidung über die Fragen ersucht:

1. Ist eine nach Art. 88 Abs. 1 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung; im Folgenden DSGVO) erlassene nationale Rechtsvorschrift – wie etwa § 26 Abs. 4 Bundesdatenschutzgesetz, im Folgenden BDSG – in der bestimmt ist, dass die Verarbeitung personenbezogener Daten – einschließlich besonderer Kategorien personenbezogener Daten – von Beschäftigten für Zwecke des Beschäftigungsverhältnisses auf der Grundlage von Kollektivvereinbarungen unter Beachtung von Art. 88 Abs. 2 DSGVO zulässig ist, dahin auszulegen, dass stets auch die sonstigen Vorgaben der DSGVO – wie etwa Art. 5, Art. 6 Abs. 1 und Art. 9 Abs. 1 und Abs. 2 DSGVO – einzuhalten sind?

2. Sofern die Frage zu 1. bejaht wird:
Darf eine nach Art. 88 Abs. 1 DSGVO erlassene nationale Rechtsvorschrift – wie § 26 Abs. 4 BDSG – dahin ausgelegt werden, dass den Parteien einer Kollektivvereinbarung (hier den Parteien einer Betriebsvereinbarung) bei der Beurteilung der Erforderlichkeit der Datenverarbeitung im Sinne der Art. 5, Art. 6 Abs. 1 und Art. 9 Abs. 1 und Abs. 2 DSGVO ein Spielraum zusteht, der gerichtlich nur eingeschränkt überprüfbar ist?

3. Sofern die Frage zu 2. bejaht wird:
Worauf darf in einem solchen Fall die gerichtliche Kontrolle beschränkt werden?

4. Ist Art. 82 Abs. 1 DSGVO dahin auszulegen, dass Personen ein Recht auf Ersatz des immateriellen Schadens bereits dann haben, wenn ihre personenbezogenen Daten entgegen den Vorgaben der DSGVO verarbeitet wurden oder setzt der Anspruch auf Ersatz des immateriellen Schadens darüber hinaus voraus, dass die betroffene Person einen von ihr erlittenen immateriellen Schaden – von einigem Gewicht – darlegt?

5. Hat Art. 82 Abs. 1 DSGVO spezial- bzw. generalpräventiven Charakter und muss dies bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DSGVO zulasten des Verantwortlichen bzw. Auftragsverarbeiters berücksichtig werden?

6. Kommt es bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DSGVO auf den Grad des Verschuldens des Verantwortlichen bzw. Auftragsverarbeiters an? Insbesondere, darf ein nicht vorliegendes oder geringes Verschulden auf Seiten des Verantwortlichen bzw. Auftragsverarbeiters zu dessen Gunsten berücksichtigt werden?

II. Das Revisionsverfahren wird bis zur Entscheidung des Gerichtshofs der Europäischen Union über das Vorabentscheidungsersuchen ausgesetzt.



BAG: 1.000 EURO immaterieller Schadensersatz aus Art. 82 DSGVO wegen verspäteter Auskunft nach Art. 15 DSGVO nicht zu niedrig

BAG
Urteil vom 05.05.2022
2 AZR 363/21

Das BAG hat entschieden, dass 1.000 EURO immaterieller Schadensersatz aus Art. 82 DSGVO wegen verspäteter Auskunft nach Art. 15 DSGVO nicht zu niedrig ist.

Aus den Entscheidungsgründen:
Das Landesarbeitsgericht hat die Höhe des immateriellen Schadenersatzes mit 1.000,00 Euro nicht ermessensfehlerhaft zu niedrig festgesetzt.

a) Bei der Bemessung der Höhe eines Schadenersatzanspruchs nach § 287 Abs. 1 ZPO steht den Tatsachengerichten ein weiter Ermessensspielraum zu, innerhalb dessen sie die Besonderheiten jedes einzelnen Falls zu berücksichtigen haben. Die Festsetzung unterliegt nur einer eingeschränkten Überprüfung durch das Revisionsgericht. Sie kann von diesem nur darauf überprüft werden, ob die Rechtsnorm zutreffend ausgelegt, ein Ermessen ausgeübt, die Ermessensgrenze nicht überschritten wurde und ob das Berufungsgericht von seinem Ermessen einen fehlerfreien Gebrauch gemacht hat, indem es sich mit allen für die Bemessung der Entschädigung maßgeblichen Umständen ausreichend auseinandergesetzt und nicht von sachfremden Erwägungen hat leiten lassen (vgl. BAG 28. Mai 2020 - 8 AZR 170/19 - Rn. 28, BAGE 170, 340; BGH 23. April 2012 - II ZR 163/10 - Rn. 68, BGHZ 193, 110).

b) Danach ist die Bemessung der Höhe des Schadenersatzes durch das Landesarbeitsgericht revisionsrechtlich nicht zu beanstanden. Ob die vom Berufungsgericht als „naheliegend“ erachtete Orientierung am Kriterienkatalog in Art. 83 Abs. 2 Satz 2 DSGVO möglich oder sogar geboten ist, kann dahinstehen. Selbst wenn dies nicht der Fall sein sollte, hätte sich das Landesarbeitsgericht nicht von sachfremden Erwägungen zulasten der Klägerin leiten lassen.

aa) Es hat zunächst zugunsten der Klägerin in Rechnung gestellt, dass die Beklagte eine vollständige Auskunft nach Art. 15 Abs. 1 DSGVO bis zuletzt nicht erteilt und ihre Verpflichtung jedenfalls grob fahrlässig verkannt habe. Selbst wenn das Berufungsgericht einen dieser Gesichtspunkte zu Unrecht in seine Erwägungen eingestellt hätte, wäre die Klägerin dadurch nicht beschwert.

bb) Das Landesarbeitsgericht hat ferner ohne Rechtsfehler in seine Würdigung einbezogen, dass die persönliche Betroffenheit der Klägerin durch die nicht vollständige Erfüllung ihres Auskunftsanspruchs in Anbetracht des maßgeblichen Anliegens ihres Auskunftsbegehrens „überschaubar“ gewesen sei.

(1) Es hat das Auskunftsbegehren dahin ausgelegt, dass es der Klägerin maßgeblich um die Arbeitszeitaufzeichnungen gegangen sei. Diese habe ihr die Beklagte mit Schreiben vom 13. August 2020 aber übersandt. Damit hat das Landesarbeitsgericht eine Gewichtung des konkreten Ausmaßes der Beeinträchtigung der Klägerin durch die nicht vollständige Erfüllung ihres Auskunftsanspruchs vorgenommen und dieser eine relativ geringere Bedeutung beigemessen, als wenn es der Klägerin ebenso maßgeblich um Auskunft über ihre übrigen bei der Beklagten gespeicherten personenbezogenen Daten gegangen wäre.

(2) Das lässt keinen Ermessensfehlgebrauch erkennen. Wenn die Erlangung von Kontrolle über ihre übrigen personenbezogenen Daten nicht das primäre Ziel der Klägerin war, wiegt auch die Beeinträchtigung durch das Vorenthalten dieses Teils der begehrten Auskunft weniger schwer. Einen Rechtsfehler zeigt insoweit auch die Revision nicht auf. Sie beanstandet zwar, das Landesarbeitsgericht habe nicht berücksichtigen dürfen, dass die Klägerin den Auskunftsanspruch gerichtlich nicht weiterverfolgt habe. Das Berufungsgericht hat dies aber nicht für sich genommen als einen die Beklagte entlastenden Umstand bewertet, wie die Klägerin meint, sondern lediglich als - weiteren - Beleg für sein Verständnis des primären Ziels des Auskunftsverlangens. Dass dieses Verständnis unzutreffend sei, macht auch die Klägerin nicht geltend.

cc) Andere Aspekte hat das Landesarbeitsgericht nicht zulasten der Klägerin gewürdigt.

dd) Soweit das Berufungsgericht bei der Anspruchsbemessung nicht ausdrücklich problematisiert hat, ob der Schadenersatzanspruch nach Art. 82 Abs. 1 DSGVO auch einen präventiven Charakter hat und damit auch eine Abschreckungsfunktion erfüllen muss (vgl. auch zu dieser Fragestellung das Vorabentscheidungsersuchen BAG 26. August 2021 - 8 AZR 253/20 (A) -, vor dem EuGH anhängig unter - C-667/21 - [Krankenversicherung Nordrhein]), ist dies im Ergebnis ebenfalls ohne Rechtsfehler. Zugunsten der Klägerin kann unterstellt werden, dass dem Anspruch ein solcher Präventionscharakter zukommt. Seine vom Berufungsgericht festgesetzte Höhe hat hinreichend abschreckende Wirkung.

(1) Der Betrag von 1.000,00 Euro ist fühlbar und hat nicht nur symbolischen Charakter (vgl. zur nicht ausreichenden Umsetzung der Richtlinien 2000/43/EG und 2000/78/EG bei einer nur symbolischen Sanktion EuGH 15. April 2021 - C-30/19 - [Braathens Regional Aviation] Rn. 39; 25. April 2013 - C-81/12 - [Asociaţia Accept] Rn. 64). Bloß symbolisch wäre es etwa, die Entschädigung einer Person, die Opfer einer Diskriminierung beim Zugang zur Beschäftigung wurde, auf die Erstattung ihrer Bewerbungskosten zu beschränken (EuGH 10. April 1984 - C-14/83 - [von Colson] Rn. 24). Darüber geht der hier zugesprochene Schadenersatz deutlich hinaus.

(2) Ebenfalls eine Präventionsfunktion hat eine wegen einer Verletzung des allgemeinen Persönlichkeitsrechts geschuldete Entschädigung; auch diese kann mit einem Betrag in Höhe von 1.000,00 Euro ausreichend bemessen sein, wie etwa im Falle einer datenschutzwidrigen Observation mit heimlichen Videoaufnahmen durch einen Detektiv (BAG 19. Februar 2015 - 8 AZR 1007/13 - Rn. 14 und 33).

(3) Der immaterielle Schaden nach Art. 82 Abs. 1 DSGVO hat - anders als eine Entschädigung nach § 15 Abs. 2 AGG (dazu BAG 28. Mai 2020 - 8 AZR 170/19 - Rn. 17 ff., BAGE 170, 340) - keinen erkennbaren Bezug zur Höhe eines dem Gläubiger zustehenden Arbeitsentgelts, so dass keine Anhaltspunkte dafür bestehen, dass es sich dabei um ein relevantes Bemessungskriterium für die Höhe des Schadenersatzes handeln könnte. Selbst wenn dies anders zu sehen sein sollte, entspräche der hier festgesetzte Betrag mehr als dem zweifachen der zwischen den Parteien vereinbarten monatlichen Vergütung. Für eine Entschädigung nach § 15 Abs. 2 AGG, die ebenfalls eine Abschreckungsfunktion erfüllen muss, ist bereits ein Betrag in Höhe des 1,5-fachen des auf einer Stelle erzielbaren Entgelts als ausreichend anzusehen, um die notwendige abschreckende Wirkung zu erzielen (BAG 28. Mai 2020 - 8 AZR 170/19 - Rn. 39, aaO).

(4) Entgegen der Auffassung der Klägerin musste das Landesarbeitsgericht dem Umstand, dass die Beklagte anwaltlich vertreten war, auch unter dem Gesichtspunkt der Prävention keine den Schadenersatzanspruch erhöhende Bedeutung beimessen. Die Abschreckungsfunktion kann sich nur auf die Vermeidung künftiger Verstöße gegen die DSGVO beziehen, nicht aber darauf, ob sich eine Partei bei der Erfüllung ihrer Verpflichtungen nach der DSGVO anwaltlich hat vertreten lassen. Die Hinzuziehung eines Rechtsanwalts ist weder allgemein noch nach der DSGVO verpönt.


Den Volltext der Entscheidung finden Sie hier:


OLG Köln: 500 EURO immaterieller Schadensersatz aus Art. 82 DSGVO wegen verspäteter Auskunft nach Art. 15 DSGVO kann gerechtfertigt sein

OLG Köln
Urteil vom 14.07.2022
15 U 137/21


Das OLG Köln hat entschieden, dass 500 EURO immaterieller Schadensersatz aus Art. 82 DSGVO wegen verspäteter Auskunft nach Art. 15 DSGVO gerechtfertigt sein kann.

LAG Berlin-Brandenburg: 2.000 EURO Schadensersatz aus Art. 82 DSGVO wegen verspäteter oder unvollständiger Auskunft nach Art. 15 DSGVO

LAG Berlin-Brandenburg
Urteil vom 18.11.2021
10 Sa 443/21

Das LAG Berlin-Brandenburg hat dem Betroffenen in diesem Fall 2.000 EURO Schadensersatz aus Art. 82 DSGVO wegen verspäteter bzw. unvollständiger Auskunft nach Art. 15 DSGVO zugesprochen.

Aus den Entscheidungsgründen:
Die Berufung des Klägers ist aber nur teilweise begründet.

Zutreffend hat die Beklagte in der Berufungserwiderung die jeweiligen Prüffragen für den geltend gemachten Anspruch aufgeworfen.

1. Liegt ein Verstoß gegen Art. 15 DSGVO vor?
2. Ist die Beklagte für einen etwaigen Verstoß verantwortlich?
3. Ist beim Kläger ein Schaden entstanden?
4. Gibt es eine Kausalität zwischen einem etwaigen Verstoß der Beklagten gegen Art. 15 Abs. 1 DSGVO und einem etwaigen beim Kläger eingetretenen Schaden?
5. Trifft den Kläger ein etwaiges Mitverschulden bzw. ist der etwaige Anspruch verwirkt oder rechtsmissbräuchlich geltend gemacht?
6. Ist ggf. die geltend gemachte Entschädigungssumme angemessen?

1. Nach Art. 15 Abs. 1 DSGVO hat der Kläger grundsätzlich das Recht, von der Beklagten eine Bestätigung darüber zu verlangen, ob sie ihn betreffende personenbezogene Daten verarbeitet und ggf. auf Auskunft über diese personenbezogenen Daten und u.a. auf folgende Informationen:

a) die Verarbeitungszwecke;
b) die Kategorien personenbezogener Daten, die verarbeitet werden;
c) die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;
d) falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
e) das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
f) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
g) wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;

Diese Informationen hat die Beklagte dem Kläger nur teilweise erteilt.

2. Es mag sein, dass die Beklagte große Mengen Daten über den Kläger verarbeitet hat. Konkrete Angaben dazu hat die Beklagte nicht gemacht. Anders als das Arbeitsgericht meint, ist das in diesem Fall aber auch unerheblich, da der Kläger keine generelle Auskunft hinsichtlich der von der Beklagten über ihn gespeicherten Daten verlangt hat, sondern beschränkt auf zwei Sachverhalte.

2.1 Zum einen ging es um die Anhörung des Betriebsrates und dessen Zustimmung. Durch die Bezugnahme auf Art. 15 DSGVO war aber in jedem Fall klar und eindeutig, dass der Kläger nicht nur um das Anhörungsschreiben der Arbeitgeberin und das Antwortschreiben des Betriebsrates ging, sondern zugleich auch um die in der Vorschrift genannten weiteren Aspekte. Mit der erteilten Auskunft durch Übersendung der beiden Schreiben hat die Beklagte allenfalls die Auskunftspflicht nach Art. 15 Abs. 1 a) und b) DSGVO erfüllt. Den weitergehenden Anspruch nach Buchst. c) bis g) hat die Beklagte mit ihrer Antwort vom 23. August 2019 offensichtlich nicht erfüllt.

Weder hat die Beklagte mitgeteilt, ob und ggf. gegenüber welchen Personen oder Stellen sie den Versetzungsvorgang offengelegt hat oder noch offenlegen werde noch wann bzw. nach welchen Kriterien eine Löschung der Daten erfolgen werde. Auch auf das Bestehen eines Rechts auf Berichtigung oder Löschung der den Kläger betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch die Beklagte oder eines Widerspruchsrechts gegen diese Verarbeitung und das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde hat die Beklagte nicht hingewiesen. Da die Daten offenbar nicht beim Kläger erhoben worden waren, hätte es auch einer Information über die Herkunft der Daten bedurft, also wer jeweils an dem Vorgang beteiligt war.

2.2 Zum anderen ging es um die Abmahnung vom 29. Mai 2019. Auch hier hat die Beklagte durch die Übersendung des Antrags des Herrn A auf Erteilung einer Abmahnung und dem sogenannten Logbuch-Eintrag allenfalls die Auskunftspflicht nach Art. 15 Abs. 1 a) und b) DSGVO erfüllt. Den weitergehenden Anspruch nach Buchst. c) bis g) hat die Beklagte mit ihrer Antwort vom 23. August 2019 auch zu diesem Vorgang offensichtlich nicht erfüllt.

Weder hat die Beklagte mitgeteilt, ob und ggf. gegenüber welchen Personen oder Stellen sie den Abmahnungsvorgang offengelegt hat oder noch offenlegen werde noch wann bzw. nach welchen Kriterien eine Löschung der Daten erfolgen werde. Auch auf das Bestehen eines Rechts auf Berichtigung oder Löschung der den Kläger betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch die Beklagte oder eines Widerspruchsrechts gegen diese Verarbeitung und das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde hat die Beklagte den Kläger nicht hingewiesen. Da die Daten offenbar nicht beim Kläger erhoben worden waren, hätte es auch einer Information über die Herkunft der Daten bedurft, also wer jeweils an dem Vorgang beteiligt war.

3. Dass diese Informationen fehlen, ist offensichtlich. Denn durch einen einfachen Blick in den Text des Art. 15 Abs. 1 DSGVO hätte die Beklagte feststellen können, was der Kläger von ihr verlangt. Insofern ist die Beklagte auch für die unzureichende Information und damit den Verstoß gegen Art. 15 Abs. 1 DSGVO verantwortlich.

4. Wie der Kläger zutreffend ausgeführt hat, liegt bei ihm ein Schaden vor. Unter Bezugnahme auf eine Entscheidung des LAG Niedersachsen vom 22. Oktober 2021 – 16 Sa 761/20 besteht unabhängig von dem Erreichen einer Erheblichkeitsschwelle bei Verstößen gegen Regelungen der DSGVO ein immaterieller Schadensersatzanspruch. Hierbei ist zu berücksichtigen, dass gerade ausgehend von Erwägungsgrund 146 Satz 3 zur DSGVO eine weite Auslegung geboten ist, um den Zielen der Verordnung in vollem Umfang zu entsprechen. Hiermit wäre es unvereinbar, würde eine Schadensersatzpflicht nur bei erheblichen Rechtsverstößen eintreten, da dann eine Vielzahl von Fallgestaltungen denkbar wäre, in denen Betroffene trotz Verstößen gegen die Regelungen der DSGVO keine Kompensation erhielten. Ferner kann, um die Regelungen der DSGVO effektiv durchzusetzen, auch auf eine abschreckende Wirkung des Schadensersatzes abgestellt werden (vgl. EuGH 17. Dezember 2015 – C-407/14 – Rn. 44). Zudem sollen die betroffenen Personen nach Erwägungsgrund 146 Satz 3 einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten. Dass ein Schaden erlitten ist, ergibt sich nicht erst bei Überschreiten einer gewissen Erheblichkeitsschwelle - der Schwere der Pflichtverstöße und damit einhergehenden Beeinträchtigungen kann vielmehr effektiv auf Ebene der Höhe des Schadensersatzes begegnet werden.

Indem die Beklagte ihrer Auskunftsverpflichtung inhaltlich nicht hinreichend nachgekommen ist, hat der Kläger keine ausreichenden Kenntnisse über die Verarbeitung seiner personenbezogenen Daten erlangt. Insofern ist ein Kontrollverlust eingetreten und ihm wurde die Möglichkeit der Überprüfung der Rechtmäßigkeit der Verarbeitung seiner personenbezogenen Daten unmöglich gemacht oder erschwert.

5. Die Kausalität zwischen der unzureichenden Auskunft der Beklagten und der Ungewissheit beim Kläger, welche Daten bei der Beklagten bezüglich der zwei konkret benannten Sachverhalte verarbeitet worden sind, liegt auf der Hand. Es bedurfte keines ergänzenden Auskunftsverlangens, da allein der Blick in den Verordnungstext ausreicht, um die Unvollständigkeit der Auskunft zu erkennen.

6. Der Anspruch des Klägers ist auch nicht verwirkt oder aus anderem Grunde rechtsmissbräuchlich geltend gemacht worden. Zwar ist es ungewöhnlich, dass der Kläger bereits mit der Klageschrift sein Schreiben vom 22. Juli 2019 und das Antwortschreiben der Beklagten vom 23. August 2019 eingereicht hat, ohne diesbezüglich einen Streitgegenstand hinsichtlich Art. 15 DSGVO zu eröffnen. Dadurch mag ein für die Verwirkung erforderliches Zeitmoment zwischen dem 23. August 2019 und dem 21. Dezember 2020 entstanden sein. Ein darüber hinaus erforderliches Umstandsmoment ist jedoch weder vorgetragen noch ersichtlich. Da sich die beiden Schreiben nicht nur mit Art. 15 DSGVO, sondern auch mit der Rückgängigmachung der Versetzung und der Entfernung der Abmahnung aus der Personalakte des Klägers beschäftigten, war es für eine vollständige Sachverhaltsdarstellung erforderlich, diese der Klageschrift beizufügen. Denn in der Klageschrift ging es zunächst (nur) um diese beiden Sachverhalte.

Angesichts des offensichtlich nicht vollständig erfüllten Auskunftsanspruchs bedurfte es entgegen der Ansicht der Beklagten auch keines Hinweises des Klägers, dass der Anspruch mit dem Schreiben vom 23. August 2019 nicht erfüllt sei.

7. Dem Kläger ist in Anbetracht der Pflichtverstöße der Beklagten nach richterlichem Ermessen gem. § 287 Abs. 1 ZPO ein immaterieller Schadensersatz in Höhe von 2.000,-- Euro zuzusprechen.

Die Schadensersatzansprüche sollen, worauf auch das LAG Niedersachsen in dem Urteil vom 22. Oktober 2021 – 16 Sa 761/20 unter Bezugnahme auf Entscheidungen anderer Gerichte hingewiesen hat, generell eine Abschreckungswirkung haben. Unter Berücksichtigung des Erwägungsgrundes 146 Satz 6 zur DSGVO soll die betroffene Person einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten. Verstöße müssen effektiv sanktioniert werden. Schadenersatz bei Datenschutzverstößen sollen eine abschreckende Wirkung haben, um der Datenschutzgrundverordnung zum Durchbruch zu verhelfen.

Gemessen an der Zweckrichtung des Schadensersatzes hält die Kammer unter Berücksichtigung und Abwägung der Umstände des vorliegenden Falls einen immateriellen Schadensersatz in Höhe von 1.000,-- Euro je unvollständig beantwortetem Auskunftsverlangen für angemessen. Hierbei ist zu berücksichtigen, dass die Auskunft der Beklagten offensichtlich unvollständig erfolgte. Auch nach der Klageerweiterung vom 21. Dezember 2020 hat die Beklagte die Auskunft nicht vervollständigt. Durch die unzureichende Auskunft hatte der Kläger keine umfassende Kenntnis über die Verarbeitung seiner personenbezogenen Daten durch die Beklagte bei zwei für ihn nachteiligen Sachverhalten (Versetzung und Abmahnung).

Durch einen Schadenersatz von jeweils 1.000,-- EUR wird ausreichend sichergestellt, dass durch die Zahlung eines spürbaren Betrages der Regelung des Art. 15 DSGVO zur Geltung verholfen wird und die Verpflichteten angehalten werden, die entsprechenden Maßgaben einzuhalten.


Den Volltext der Entscheidung finden Sie hier: