Schlagwort: Schadensersatz nach Art. 82 DSGVO

Schadensersatz für vergessenes Online-Profil nach Beendigung des Arbeitsverhältnisses

1. März 2021

Übersieht ein Arbeitgeber bei der Beendigung des Beschäftigungsverhältnisses, dass das Profil eines ehemaligen Arbeitnehmers weiterhin im Internet abrufbar ist, so liegt darin eine Persönlichkeitsrechtsverletzung, die einen Schmerzensgeldanspruch des Arbeitnehmers rechtfertigt.

Das hat das Landesarbeitsgericht Köln mit Urteil vom 14.09.2020 (Az.: 2 Sa 358/20) entschieden, als es der Klägerin, die bei der Beklagten bis August 2018 als Professorin beschäftigt war, ein Schmerzensgeld von 300 Euro zusprach.

Die Beklagte speicherte im Rahmen des Beschäftigungsverhältnisses das Profil der Klägerin als PDF auf ihrer Homepage. 2015 stellte die Beklagte ihre Homepage auf HTML um. Dabei übersah sie, dass die isolierte PDF-Datei weiterhin im Internet abrufbar blieb. Mit der Folge, dass auch bei Beendigung des Beschäftigungsverhältnisses, als die Beklagte die Löschung des Profils der Klägerin nebst Foto vornahm, diese das PDF ebenfalls übersah.

Nach Beendigung des Arbeitsverhältnisses im Februar 2019 entdeckte die Klägerin dies, als sie ihren Namen googelte und das PDF unter den ersten zehn Treffern abrufbar war. Daraufhin verlangte sie von der Beklagten die Löschung des Profils sowie von Artikeln über ihre Forschungsvorhaben. Dem kam die Beklagte unverzüglich nach. Dennoch erhob die Klägerin Klage vor dem Arbeitsgericht Köln und verlangte von der Beklagten unter anderem ein Schmerzensgeld in Höhe von 1.000 Euro aus Art. 82 DSGVO wegen der unberechtigten Vorhaltung des PDF auf dem Server der Beklagten.

Erstinstanzlich hat das Arbeitsgericht Köln der Klägerin Schadensersatz nach Art. 82 DSGVO in Höhe von 300 Euro zugesprochen, da es in der Vorhaltung des PDF eine Persönlichkeitsrechtsverletzung der Klägerin – und mithin einen immateriellen Schaden – sah. Dagegen legte die Klägerin Berufung ein. Das Landesarbeitsgericht Köln lehnte die Berufung der Klägerin ab. Dazu bestätigte es die Ausführungen der ersten Instanz nochmals:

Die Beklagte habe gegen Art. 17 DSGVO, das Recht auf Löschung, verstoßen. Danach hat die betroffene Person das Recht, von einem Verantwortlichen zu verlangen, dass die betreffenden personenbezogenen Daten unverzüglich gelöscht werden, sofern diese nicht mehr notwendig sind. Die Beklagte hätte daher nach Beendigung des Arbeitsverhältnisses das Profil der Klägerin vollständig löschen müssen. Eine vollumfängliche Löschung nahm sie, wenn auch aus einem Versehen heraus, vorliegend aber nicht vor. Darin sah das Gericht einen Verstoß. Bei diesem handelte es sich laut Gericht auch nicht um ein Bagatelldelikt, da es für Dritte ohne Weiteres möglich war, durch Eingabe der entsprechenden Suchbegriffe die zu Unrecht nicht gelöschte Seite aufzurufen.

Der Höhe nach gaben beide Instanzen der Klage jedoch nicht vollumfänglich statt. Zwar soll die Verhängung eines Schadensersatzes abschreckende Wirkung haben, um zukünftige Verstöße zu vermeiden – zu berücksichtigen sei aber ebenfalls die Schwere der Beeinträchtigung. Eine solche Schwere, die ein Schmerzensgeld von 1.000 Euro rechtfertigt, konnten beide Instanzen nicht erkennen. Insbesondere verneinten sie eine Reputationsschädigung der Klägerin. Vielmehr waren die veröffentlichten Tatsachen über die Klägerein inhaltlich richtig. Zudem sei auch nicht erkennbar, dass für die Beklagte irgendein Mehrwert mit der kurzzeitigen Aufrechterhaltung der Sichtbarkeit des PDF verbunden war. Daher – und unter Berücksichtigung, dass es sich nur um ein Versehen der Beklagten handelte – sei im vorliegenden Fall ein Schmerzensgeld von 300 Euro angemessen.

Beim Ausscheiden von Mitarbeitern sollte unter Berücksichtigung des Art. 17 Abs. 1 DSGVO daher immer geprüft werden, ob die Voraussetzung für einen Löschanspruch bzw. für eine Löschpflicht durch den Arbeitgeber vorliegt. Dies dürfte bei der Beendigung eines Arbeitsverhältnisses fast immer der Fall sein, da der primäre Zweck der Datenspeicherung bzw. -verarbeitung in Form des Beschäftigtenverhältnisses in diesem Fall nicht mehr besteht.

BVerfG: Vorlage an EuGH wegen Schadensersatz für Datenschutzverstöße

23. Februar 2021

Ein Unternehmen begeht einen Verstoß gegen datenschutzrechtliche Bestimmungen, der betroffenen Person entstehen durch den Datenschutzverstoß aber keine materiellen Schäden. Sind nun immaterielle Schäden zu ersetzen? Wie ist dieser zu bemessen? Oder muss der Schaden eine gewisse Erheblichkeit aufweisen? Letztere Frage sieht das BVerfG als nicht geklärt an, sodass mit Beschluss vom 14.01.2021 (Az. 1 BvR 2853/19) ein Urteil des Amtsgericht Goslar aufgehoben wurde. Die Frage soll dem EuGH im Wege des Vorabentscheidungsverfahrens vorgelegt werden. Dieser soll entscheiden, wie die Regelung des Art. 82 Abs. 1 DS-GVO zum Schadensersatz auszulegen ist.

Hintergrund

Das BVerfG hatte über eine Verfassungsbeschwerde wegen der Verletzung des Rechts auf den gesetzlichen Richter (Art. 101 Abs. 1 S. 2 GG) zu entscheiden. Anstoß für die Verfassungsbeschwerde war ein Urteil des AG Goslar vom 27. September 2019 (Az. 28 C 7/19). Das Amtsgericht hatte u.a. entschieden, dass dem Kläger kein Schadensersatzanspruch nach Art. 82 DS-GVO wegen einer widerrechtlich verschickten Werbe-E-Mail zustehe, weil mangels Erheblichkeit des Vorgangs kein Schaden vorliege. Diese Frage hätte – so das BVerfG – jedoch nach Art. 267 Abs. 3 AEUV dem EuGH vorgelegt werden müssen, da es sich um eine ungeklärte Frage des europäischen Rechts handelt. Indem das Amtsgericht auf diese Vorlage verzichtet hat, habe es die Grundrechte des Klägers verletzt. Somit sei das Urteil aufzuheben. Es wird nun dem AG Goslar obliegen, die offene Frage der Auslegung des Art. 82 Abs. 1 DS-GVO dem EuGH zur Entscheidung vorzulegen.

Bedeutung der Entscheidung

Die Relevanz der Vorlage an den EuGH ist aus praktischer Sicht immens. Art. 82 Abs. 1 DS-GVO gewährt von Datenschutzverstößen betroffenen Personen einen Schadensersatzanspruch, wenn diesen ein materieller oder immaterieller Schaden entstanden ist. Materielle Schäden sind vergleichsweise leicht zu beziffern, bleiben in der Praxis jedoch die Ausnahme. Immaterielle Schäden – also kein Vermögensschaden, sondern z.B. bei Verletzung der Ehre oder der Freiheit – sind wegen des Datenschutzverstoßes gewissermaßen immanent: Jeder Verstoß gegen das Datenschutzrecht verletzt die Freiheit des Betroffenen, darüber entscheiden zu können, wie mit den eigenen Daten verfahren wird. Wie jedoch der dadurch entstandene immaterielle Schaden zu bemessen ist, bleibt Gegenstand zahlreicher Entscheidungen und Diskussionen, sodass hier noch keine Gewissheit besteht. Das AG Goslar schien diese Frage offenbar umgehen zu wollen, indem durch die Bezugnahme auf ein Erheblichkeitskriterium bereits das Bestehen eines Schadens verneint wird.

Ausblick

Eine Erheblichkeitsschwelle ist jedoch weder in der DS-GVO selbst noch in ihren Erwägungsgründen vorgesehen. Im Falle eines Vorabentscheidungsverfahrens wird der EuGH dazu Stellung nehmen müssen, ob ein solches Kriterium herangezogen werden kann und diese Frage vermutlich verneinen. Spannend wird jedoch sein, ob sich der Gerichtshof darüber hinaus zur Auslegung des Art. 82 Abs. 1 DS-GVO äußert und somit die Bemessung des immateriellen Schadensersatzes erleichtert. Auszuschließen ist dies nicht, allzu große Hoffnungen auf eine Klärung dieser Frage sollte sich sowohl die Praxis als auch die Rechtswissenschaft aber wohl nicht machen.

LG Lüneburg: Bank muss wegen Schufa-Eintrag Schadensersatz von 1.000 Euro zahlen

3. Februar 2021

Wie nun bekannt wurde, hat das Landgericht Lüneburg mit Urteil vom 14.07.2020, Az. 9 O 145/19 eine Bank zur Zahlung von Schadensersatz in Höhe von 1.000 EUR verurteilt. Für die Richter lag ein Verstoß gegen die Datenschutzgrundverordnung (DSGVO) vor, weil die Bank eine Kontoüberziehung ihres Bankkunden in Höhe von 20 Euro zu Unrecht einer Kredit-Auskunftei, der Schufa Holding AG (nachfolgend Schufa) meldete.

Sachverhalt:

Der Kläger unterhielt bei der Beklagten, einer größeren Bank, ein Girokonto. Auf dem Konto wurde dem Kläger auch ein Dispositionskredit über 1.000 Euro zur Verfügung gestellt. Dieser Dispositionskredit wurde von der Bank unter Berufung auf die Allgemeinen Geschäftsbedingungen (AGB) aus wichtigem Grund gekündigt. Zu diesem Zeitpunkt überschritt der Kläger den ihm eingeräumten Dispokredit um 20 Euro, der Sollsaldo betrug mithin 1.020 Euro. Nach Erhalt der Kündigung glich der Kläger die überzogenen 20 Euro aus, so dass das Konto des Klägers einen Sollsaldo von 999,99 Euro auswies. Weitere Verfügungen über das Konto wurden nicht mehr zugelassen. Nachdem es in der Folge mehrere Lastschriftrückgaben gab, kündigte die Beklagte sodann auch die Kontoverbindung des Klägers aus wichtigem Grund und stütze sich dabei auf einen Kündigungsgrund innerhalb ihrer AGB. Dabei setzte sie dem Kläger eine Frist zur Rückzahlung des bestehenden Schuldsaldos inklusive Zinsen. Dieser Fristsetzung kam der Kläger nach und beglich den noch offenen Sollsaldo, vor Ablauf der Frist hatte die Bank aber bereits bei der Schufa eine Negativ-Einmeldung i.H.v. 1.020 Euro veranlasst.

Dagegen erhob der Kläger Klage vor dem Landgericht Lüneburg und beantrage unter anderem den Widerruf dieser Einmeldung sowie die Zahlung eines Schmerzensgeldes.

Entscheidung:

Das Gericht gab dem Kläger teilweise Recht und verurteilte die Beklagte zum Widerruf der von ihr veranlassten Datenübermittlung an die Schufa sowie zur Zahlung eines Schadensersatzes.

Dabei hielt es einen Anspruch auf Ersatz eines immateriellen Schadens in Gestalt eines Schmerzensgeldes nach Art. 82 Abs. 1 DSGVO in Höhe von 1.000 Euro für angemessen. Den immateriellen Schaden begründete es vorliegend mit dem Kontrollverlust des Klägers über seine personenbezogenen Daten. Durch die Übermittlung der Daten an die Schufa habe die Beklagte, so das Gericht, personenbezogene Daten an einen unbeteiligten und unberechtigten Dritten weitergegeben. Dadurch sei der Kläger bloß gestellt worden und es drohe zudem mittelbar eine potenzielle Stigmatisierung, die durch einen Eintrag bei der Schufa entstehen könne. Das Gericht führte weiter aus, dass es sich bei den an die Schufa übermittelten Daten um schützenswerte und sensible Daten des Klägers handle, die maßgeblichen negativen Einfluss auf seine Teilnahme am wirtschaftlichen Verkehr haben können, indem ihm Kredite oder Verträge aufgrund der Eintragung versagt werden können. Auch Grundrechte wie die Berufsfreiheit und die allgemeine Handlungsfreiheit können durch eine solche Eintragung beeinträchtigt werden.

Vorliegend sah das Gericht daher das Interesse des Klägers, dass seine Daten nicht an die Schufa gemeldet werden und gegebenenfalls durch unbekannte Dritte eingesehen werden können, als besonders schützenswert an. Ein berechtigtes Interesse der Beklagten an der Datenübermittlung an die Schufa, verneinte das Gericht. Im Rahmen der Interessenabwägung, stütze es seine Abwägungskriterien auf § 31 Abs. 2 Nr. 4 Bundesdatenschutzgesetz (BDSG). Die Voraussetzungen des § 31 Abs. 2 Nr. 4 BDSG, wonach der Schuldner nach Eintritt der Fälligkeit der Forderung mindestens zweimal schriftlich gemahnt worden sein; die erste Mahnung mindestens vier Wochen zurückliegen; der Schuldner zuvor, jedoch frühestens bei der ersten Mahnung, über eine mögliche Berücksichtigung durch eine Auskunftei unterrichten worden sein muss und der Schuldner die Forderung nicht bestritten haben darf, lagen nach Ansicht des Gerichts nicht vor. Damit lag für das Gericht ein Indiz für die Rechtswidrigkeit der Datenübermittlung an die Schufa vor.

Ausblick:

Die Besonderheit dieses Falles liegt wohl darin, dass obwohl das Landgericht die Beeinträchtigung des Klägers als eher gering einschätzte und die Negativeintragung nur 14 Tage bestand, es dem Kläger einen Schadensersatz in Höhe von 1.000 Euro zusprach. Zudem hielt das Gericht vorliegend – anders als viele andere Gerichte – auch eine Erheblichkeitsschwelle bei einem immateriellen Schaden im Sinne des Art. 82 Abs. 1 DSGVO für nicht geboten, sondern wollte auch einen Bagatellschäden entschädigt sehen.

Es bleibt daher abzuwarten, welche Signalwirkung dieses Urteil auf andere Gerichte hat und wie die Gerichte bei einem länger andauernden Datenschutzverstoß entscheiden werden.

Schadensersatz in Höhe von 5000 Euro für Verstoß gegen das Auskunftsrecht

30. Juli 2020

Das Arbeitsgericht Düsseldorf hat in seinem Urteil (v. 05.03.2020 – 9 Ca 6557/18) dem Kläger eine Entschädigung wegen Verstoßes seines Arbeitgebers gegen das Auskunftsrecht aus Art. 15 Abs. 1 DSGVO zugesprochen. In dem Urteil hat das Gericht unter anderem Stellung zu den Voraussetzungen und zur Bemessung eines Anspruchs auf Ersatz eines immateriellen Schadens aus Art. 82 Abs. 1 DSGVO genommen.

Die Parteien stritten über datenschutzrechtliche Auskunft und Information, die Erteilung von Kopien sowie eine Entschädigung. Zwischen der Beklagten, einem Unternehmen in Düsseldorf und dem Kläger bestand bis Anfang 2018 ein Arbeitsverhältnis. Der Kläger begehrte Auskunft über und Kopie von den über ihn verarbeiteten personenbezogenen Daten bei der Beklagten. Die daraufhin erteile Auskunft war seines Erachtens lückenhaft und verspätet. Nach einer erfolglosen Güteverhandlung verlangte der Kläger vollständige Vorlage der fehlenden Informationen und Schadensersatz nach Art. 82 Abs. 1 DSGVO.

Neben dem Umfang der Auskunftspflicht musste das Gericht entscheiden, ob allein durch den Verstoß gegen das Auskunftsrecht ein (immaterieller) Schaden entstanden ist und in welcher Höhe dieser bemessen wird.  

Dazu führt das Gericht aus: „Ein immaterieller Schaden entsteht nicht nur in den “auf der Hand liegenden Fällen”, wenn die datenschutzwidrige Verarbeitung zu einer Diskriminierung, einem Verlust der Vertraulichkeit, einer Rufschädigung oder anderen gesellschaftlichen Nachteilen führt, sondern auch, wenn die betroffene Person um ihre Rechte und Freiheiten gebracht oder daran gehindert wird, die sie betreffenden personenbezogenen Daten zu kontrollieren. […] Durch die monatelang verspätete, dann unzureichende Auskunft war der Kläger im Ungewissen und ihm die Prüfung verwehrt, dann nur eingeschränkt möglich, ob und wie die Beklagte seine personenbezogenen Daten verarbeitet. Die Schwere des immateriellen Schadens ist für die Begründung der Haftung nach Art. 82 Abs. 1 [DSGVO] irrelevant und wirkt sich nur noch bei der Höhe des Anspruchs aus. […] Verstöße müssen effektiv sanktioniert werden, damit die [DSGVO] wirken kann, was vor allem durch Schadensersatz in abschreckender Höhe erreicht wird. […] Gerichte können sich bei der Bemessung des immateriellen Schadensersatzes auch an Art. 83 Abs. 2 [DSGVO] orientieren, sodass als Zumessungskriterien unter anderem Art, Schwere, Dauer des Verstoßes, Grad des Verschuldens, Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens, frühere einschlägige Verstöße sowie die Kategorien der betroffenen personenbezogenen Daten betrachtet werden können“

Der Beklagte habe das Auskunftsrecht – das zentrale Betroffenenrecht – beeinträchtigt und zugleich das europäisches Grundrecht des Klägers aus Art. 8 Abs. 2 S. 2 GRCh verletzt, weshalb dem Kläger ein immaterieller Schaden entstanden sei. Als Ersatz dieses Schaden hielt die Kammer einen Betrag in Höhe von 5000 Euro für geboten.