Bereits seit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) müssen u.a. auch Arbeitgeber, als für die Datenverarbeitung verantwortliche Stelle, mit empfindlichen Bußgeldern rechnen, sofern Sie im Rahmen der Verarbeitung von personenbezogenen Daten nicht den Anforderungen der DSGVO und dem Bundesdatenschutzgesetz gerecht werden. Doch neben diesen empfindlichen Bußgeldern, die durch die Aufsichtsbehörden verhängt werden können, müssen Verantwortliche auch damit rechnen, dass Betroffene bei einem sie betreffenden Datenschutzverstoß einen ihnen zustehenden Schadensersatzanspruch gegenüber dem Verantwortlichen geltend machen. So sprach u.a. das Arbeitsgericht Düsseldorf mit einer Entscheidung vom 05.03.2020 (Az: 9 Ca 6557/18) einem Arbeitnehmer aufgrund einer Verletzung des Auskunftsanspruchs gemäß Art. 15 DSGVO einen Schadensersatzanspruch in Höhe von 5.000,00 € gegen seinen ehemaligen Arbeitgeber zu.
In diesem Verfahren hatte der Kläger gegenüber der Beklagten - seine ehemalige Arbeitgeberin - einen Auskunftsanspruch gemäß Art. 15 Abs. 1, 2 DSGVO geltend gemacht. Die gewünschte Auskunft erteilte die Beklagte jedoch erst rund sechs Monate nach dem zugehörigen Ersuchen. Gemäß Art. 12 Abs. 3 DSGVO hat eine begehrte Auskunft binnen eines Monats nach Eingang des Ersuchen zu erfolgen. Eine Fristverlängerung von weiteren zwei Monaten kann im Einzelfall erfolgen. Zusätzlich erfolgte die Information nicht in hinreichendem Umfang. Im Rahmen des Klageverfahrens begehrte der Kläger aufgrund dieser verspäteten und unzureichenden Auskunft einen Schadensersatzanspruch in Höhe von 143.482,81 €.
Nach Ansicht des Arbeitsgerichts Düsseldorf ist diese Forderung jedenfalls in einem geringeren Umfang von 5.000,00 € begründet. Es sah in der verspäteten und unzureichenden Auskunft Datenschutzverstöße, die einen Schadensersatzanspruch gemäß Art. 82 Abs. 1 DSGVO begründen. Das Gericht urteilte, dass dem Kläger ein immaterieller Schaden entstanden ist. Hierbei hat das Gericht den Begriff des Schadens weit ausgelegt und führte aus, dass „ein immaterieller Schaden nicht nur in den „auf der Hand liegenden Fällen“ entsteht, wenn die datenschutzwidrige Verarbeitung zu einer Diskriminierung, einem Verlust der Vertraulichkeit, einer Rufschädigung oder anderen gesellschaftlichen Nachteilen führt, sondern auch, wenn die betroffene Person um ihre Rechte und Freiheiten gebracht oder daran gehindert wird, die sie betreffenden personenbezogenen Daten zu kontrollieren.“ Weiterhin führte das Gericht in den Urteilsgründen aus, dass Verstöße „effektiv sanktioniert werden müssen, damit die DSGVO wirken kann.“
Bei der Bemessung der Höhe des Schadensersatzanspruchs orientierte sich das Gericht an Art. 83 Abs. 2 DS-GVO. Hiernach sind zu berücksichtigende Zumessungskriterien unter anderem Art, Schwere, Dauer des Verstoßes, Grad des Verschuldens, Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens, früher einschlägige Verstöße sowie die Kategorien der betroffenen personenbezogenen Daten. Zu Gunsten des Beklagten hat das Gericht berücksichtigt, dass im vorliegenden Fall lediglich von fahrlässigen Verstößen auszugehen ist.
Dieses Urteil des Arbeitsgerichts Düsseldorf ist bisher noch nicht rechtskräftig. Zurzeit ist die Berufung vor dem Landesarbeitsgerichts Düsseldorf anhängig. Es bleibt zunächst abzuwarten, ob hier eine Korrektur der Wertung des Arbeitsgerichts vorgenommen wird. Dennoch sollten Unternehmen als verantwortliche Stelle im Sinne der DSGVO neben empfindlichen Bußgeldern, die bei einem Datenschutzverstoß verhängt werden können, auch den Schadensersatzanspruch des einzelnen Betroffenen vor Augen haben und, soweit noch nicht geschehen, in die vorhandenen Datenschutzkonzepte eine schnelle Reaktion auf etwaige Auskunftsersuchen von Betroffenen integrieren, um ein daraus entstehendes Haftungsrisiko möglichst gering zu halten.