News + Aktuelles

aus dem Eventrecht
Schadenersatz für unvollständige Auskunft über Datenverarbeitung?

Schadenersatz für unvollständige Auskunft über Datenverarbeitung?

Von Thomas Waetke 27. Juli 2020

Das Arbeitsgericht Düsseldorf hat kürzlich einen Arbeitgeber dazu verurteilt, an einen ehemaligen Arbeitnehmer Schadenersatz in Höhe von 5.000 Euro zu bezahlen. Hintergrund war, dass der Arbeitgeber einerseits nicht schnell genug, andererseits nicht umfassend genug Auskunft über die Datenverarbeitung im Unternehmen erteilt hatte.

Dieses Urteil ist ein kleiner Kanonenschlag: Denn Gerichte waren bisher eher zurückhaltend mit Schadenersatzansprüche von Betroffenen. So musste bisher eine Art Bagatellgrenze überschritten werden, d.h. Verstöße die keine besonderen Auswirkungen auf den Betroffenen hatten, lösten auch keinen Schadenersatzanspruch aus.

Hintergrundinfo
Trennen Sie den Schadenersatzanspruch vom Bußgeld: Durch die DSGVO werden die Aufsichtsbehörden in die Lage versetzt, millionenschwere Bußgelder zu verhängen. Neben dieser Sanktionsart gibt es noch die Rechte des Betroffenen, also der Person, deren Daten verarbeitet wurden. Betroffenen haben einen Anspruch auf Auskunft (Art. 15 DSGVO), Löschung, Richtigstellung usw. – und einen Anspruch auf Schadenersatz. In den in diesem Beitrag diskutierten Fällen geht es um die Frage, ob der Betroffene Schadenersatz verlangen kann.

Das Arbeitsgericht Düsseldorf hat nun die Anforderungen an den Schadenersatz deutlich reduziert, umgekehrt die Höhe auch angehoben: Verstöße müssten sanktioniert werden und weh tun, sonst sei es uneffektiv.

Tatsächlich ist die Absicht vorhanden, bestenfalls mit Hilfe von Legal Tech massenhaft Ansprüche auf Schadenersatz geltend zu machen. Legal Tech erleichtert wenigen Anwälten massenhaft Verfahren zu bearbeiten – u.a. wurde das bisher erfolgreich im Diesel-Skandal bspw. gegen VW umgesetzt. Sollte sich die Rechtsprechung des Arbeitsgerichts Düsseldorf festigen bzw. durchsetzen, müssen Unternehmen in Zukunft damit rechnen, sich massenhaft Auskunftsansprüchen ausgesetzt zu sehen – aus denen dann Ansprüche auf Schadenersatz hergeleitet werden sollen.

Verlangt ein Betroffener Auskunft, so muss u.a. über folgende Punkte informiert werden:

  • die Verarbeitungszwecke;
  • die Kategorien personenbezogener Daten, die verarbeitet werden;
  • die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;
  • falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer.

Insbesondere nach der Europäische Gerichtshof vor wenigen Tagen das EU-US-Privacy-Shield für unwirksam erklärt hat, wird ein zusätzlicher Aspekt des Auskunftsanspruch relevant werden:

Werden personenbezogene Daten an ein Drittland oder an eine internationale Organisation übermittelt, so hat die betroffene Person das Recht, über die geeigneten Garantien gemäß Artikel 46 im Zusammenhang mit der Übermittlung unterrichtet zu werden.

Denn tatsächlich reicht es jetzt nicht mehr aus, Daten auf Basis des EU-US-Privacy-Shields in die USA zu transferieren. Hier droht also Ungemach!

1. Nutzen Sie die Zeit und gehen Sie die Änderungen an, die sich aus dem EuGH-Urteil zum Privacy-Shield ergeben! Warten Sie nicht ab, bis der erste Auskunftsanspruch da ist; auch Abmahnungen sind denkbar!

2. Stellen Sie sicher, dass Sie DSGVO-konform aufgestellt sind. Ist der erste Auskunftsanspruch im Haus, ist es zu spät, damit anzufangen.

Wenn Sie Unterstützung bei der Umsetzung der DSGVO brauchen, melden Sie sich bei uns und schicken eine E-Mail an info@eventfaq.de

Mein Kollege Timo Schutt ist unser Datenschutzrechtexperte bei EVENTFAQ!

Urheberangabe für das/die Foto(s) (Symbolfoto):

  • Brille, Daten, Bildschirm: © zapp2photo - Fotolia.com