Im Mai 2021 verurteilte das Landesarbeitsgericht Hamm einen Arbeitgeber dazu, einer gekündigten Mitarbeiterin ein Schmerzensgeld in Höhe von 1.000 Euro zu zahlen, weil sie ihr Auskunftsrecht nach Art. 15 DSGVO durch den Arbeitgeber verletzt wurde.

Was hier vorgefallen ist und was zu beachten ist, um solche Vorfälle zu vermeiden, finden Sie hier.

Was ist passiert?

Einer Arbeitnehmerin wurde gekündigt. Daraufhin reichte sie nicht nur eine Kündigungsschutzklage ein, sondern machte auch geltend, dass ihr Arbeitgeber verspätet und unvollständig auf ihr Auskunftsersuchen (Art. 15 DSGVO) reagiert habe und ihr deshalb ein Schadensersatzanspruch aus Art. 82 DSGVO zustehe.

Die Arbeitnehmerin hatte beim Arbeitgeber insbesondere Auskunft über die Daten zur Arbeitszeiterfassung angefragt. Diese Daten hatte der Arbeitgeber im Laufe des Arbeitsverhältnisses gespeichert.

Erst sieben Monate nach der Anfrage erhielt die Arbeitnehmerin eine Antwort in Form von Arbeitszeitnachweisen. Allerdings fehlten die datenschutzrechtlich erforderlichen Angaben zum Verarbeitungszweck (Art. 15 I lit. a DSGVO) und der Kategorie der verarbeiteten Daten (Art. 15 I lit. b DSGVO).

Was sagt das Gericht dazu?

In erster Instanz hielt das Arbeitsgericht Herne die Klage noch für unbegründet. Das Gericht nahm zwar einen Verstoß gegen Art. 12 III und IV DSGVO an, sah darin aber noch keine Begründung für einen Schadensersatzanspruch der Arbeitnehmerin.

In der Berufung vor dem Landesarbeitsgericht Hamm wendete sich allerdings das Blatt: Der Arbeitnehmerin wurde ein Schadensersatzanspruch in Höhe von 1.000 Euro zugesprochen.

Der Anspruch auf Schadensersatz wurde mit dem Verstoß gegen Art. 12 und 15 DSGVO durch den Arbeitgeber begründet. Weil der Arbeitgeber verspätet und unvollständig geantwortet hatte, entstand der Arbeitnehmerin ein immaterieller Schaden, der über Art. 82 I DSGVO zu ersetzen sei. Die DSGVO macht nach Ansicht des Gerichtes bei einem Schadensersatzanspruch gerade keinen Unterschied zwischen „qualifizierten Verstößen“ und „Bagatellfällen“, sodass jeder Verstoß zu einer Schadensersatzpflicht führen könne.

Die Höhe des Schadensersatzanspruchs wurde durch das Gericht festgelegt. Dieses berücksichtigte dabei die in Art. 83 II DSGVO aufgelisteten Kriterien für die Verhängung von Bußgeldern durch Aufsichtsbehörden.

Zulasten der Arbeitnehmerin bemerkte das Gericht aber auch, dass sie ihr Auskunftsbegehren nicht dringlicher verfolgte und der Grad der persönlichen Betroffenheit noch ziemlich gering sei. Ansonsten hätte die Anspruchshöhe höher ausfallen können.

Folgen für die Praxis

In der Entwicklung der Rechtsprechung der Arbeitsgerichte lässt sich ein deutlicher Trend hin zu Entschädigungen wegen Verletzungen von Datenschutzrecht im Zusammenhang mit Kündigungsschutzklagen erkennen. In der ordentlichen Gerichtsbarkeit gibt es diesen Trend dagegen (noch) nicht.

Der Art. 82 DSGVO wird von Gericht zu Gericht noch sehr unterschiedlich ausgelegt. Dies wird auch so bleiben, bis es eine höchstrichterliche Rechtsprechung dazu gibt. Damit ist in nächster Zeit aber nicht zu rechnen.

In der Praxis ist man nichtsdestotrotz dazu angehalten, funktionale Organisationsprozesse aufzubauen, um solche Vorfälle gänzlich zu vermeiden. Auch die datenschutzrechtliche Schulung der eigenen Mitarbeiter spielt bei der Vorbeugung eine große Rolle. Um diese beiden Faktoren optimal auszubilden, empfiehlt sich professionelle Beratung.

%d Bloggern gefällt das: