Immaterielle und materielle Schadensersatzansprüche infolge von Verstößen gegen Arbeitnehmerdatenschutz gewinnen zunehmend an praktischer Bedeutung!

Über Artikel 82 DSGVO steht betroffenen Personen ein eigener deliktischer Anspruch gegen datenverarbeitende Unternehmen und/oder den Unternehmenslenkern zu. Bedenkt man, dass DSGVO-Verstöße oftmals große Datenbestände und somit häufig tausende oder hunderttausende Personen betreffen, können sich Ansprüche oft kumulieren.

Unter Datenschutz wird allgemein der Schutz des Einzelnen gegen die missbräuchliche Verwendung personenbezogener Sachverhalte verstanden. Der Datenschutz ist Teil des Persönlichkeitsrechtes; dies ist verfassungsrechtlich durch Artikel 2 Abs. 1 GG gewährleistet. Der Datenschutz ist europarechtlich durch die Grundrechtscharta der EU gesichert. Mit Wirkung zum 25.05.2016 ist die EU-Datenschutzgrundverordnung (DSGVO) in Kraft getreten und ist seit dem 25.05.2018 in der gesamten EU unmittelbar geltendes Recht. Das nationale Recht, in Deutschland das Bundesdatenschutzgesetz (BDSG), hat nur Bestand, soweit es die Anforderungen der DSGVO erfüllt. Die Datenschutzgrundverordnung (nachfolgend DSGVO) und das Bundesdatenschutzgesetz (nachfolgend BDSG) regeln insofern gemeinsam die Grundsätze des Datenschutzes, d. h. den Umgang mit personenbezogenen Daten bei der automatischen und manuellen Verarbeitung.

Der Beschäftigtendatenschutz ist in einer Generalklausel in § 26 BDSG normiert. Die Vorschrift stellt damit den zentralen Erlaubnistatbestand des Arbeitnehmerdatenschutzes dar. Gerade Maßnahmen der Mitarbeiterkontrolle sind hieran zu messen. § 26 Abs. 1 BDSG ist auf jede Form der Datenverarbeitung anzuwenden. Diese Datenverarbeitung muss dabei nicht digital erfolgen. Es reicht ein händisches Datensystem aus. Das BDSG findet auch Anwendung, wenn personenbezogene Daten von Beschäftigten verarbeitet werden, ohne dass sie in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Erfasst sind alle Formen der Datenerhebung im Arbeitsverhältnis, auch tatsächliches Handeln sowie vermeintliche Belanglosigkeiten. Das BDSG sowie die DSGVO statuieren eine Reihe von Rechten der von der Datenverarbeitung betroffenen Arbeitnehmer, so wie z.B. das Recht auf Benachrichtigung in Art. 13 und 14 DSGVO und § 32 f. BDSG. Darüber hinaus hat der Betroffene nach Art. 15 DSGVO und § 34 BDSG einen Auskunftsanspruch. Es besteht ferner ein Berichtigungs- und Löschungsanspruch nach § 35 BDSG und Art 16  und 17  DSGVO und ein Widerspruchsrecht nach Art. 21 DSGVO und § 36 BDSG.

Neben dem Auskunftsanspruch gewinnt der Schadensersatzanspruch nach Art. 82 DSGVO zunehmend an Bedeutung. Grundsätzlich sind danach materielle und immaterielle Schäden ersatzfähig. Materielle Schäden sind Nachteile des Geschädigten bezüglich seines Vermögens. Ein immaterieller Schaden kann dagegen vorliegen, wenn der Geschädigte andere Nachteile als eine konkrete, in Geld messbare Einbuße erleidet.

Datenschutzrechtliche Verstöße haben selten konkret messbare Vermögensschäden zur Folge. Solche materiellen Schäden sind im arbeitsrechtlichen Kontext denkbar, wenn es durch eine rechtswidrige Datenverarbeitung, beispielsweise zu Einkommensverlusten wegen Nichteinstellung oder Entlassung kommt. Dagegen folgt aus einem Datenverlust oder einer unzulässigen Datenverarbeitung an sich nicht schon ein materieller Schaden für den Betroffenen, solange die Daten keinen nachweisbaren kommerziellen Wert hatten.

In der Regel ziehen Datenschutzverstöße eher immaterielle Schäden nach sich. Ein Verstoß gegen die DSGVO als solcher begründet allerdings noch keinen ersatzfähigen immateriellen Schaden (EuGH 11.04.2024 -C-741/21). Erforderlich ist vielmehr eine über den Verstoß hinausgehende Beeinträchtigung.

Der immaterielle Schaden kann insbesondere in einer Rufschädigung, sozialen Diskriminierung oder Hemmung der freien Persönlichkeitsentfaltung bestehen. Der Schadensersatzanspruch setzt den dem Geschädigten obliegenden Nachweis eines konkreten auch immateriellen Schadens voraus. Ein bloßer Verstoß gegen die Bestimmung der DSGVO, z. B. eine nicht vollständig erteilte Auskunft, begründet ohne Darlegung eines konkreten Schadens noch keinen Ersatzanspruch in (EuGH 14.12.2023 C-456/22).

Der EuGH hat in einer seiner „jüngeren“ Entscheidungen  ferner klargestellt , dass der Art. 82 DSGVO  keine Erheblichkeitsschwelle beinhaltet (vgl. EUGH  zuletzt am 14.12.2023 a.a.o.). Damit sind grundsätzlich auch geringfügige Beeinträchtigungen nach Art. 82 DSGVO ersatzfähig. Gleichwohl bleibt es dabei, dass die betroffenen Personen die zu einem immateriellen Schaden führenden negativen Folgen nachweisen müssen. Anspruchsteller müssen damit substantiiert darlegen und beweisen, welche konkreten Nachteile durch einen Datenverstoß entstanden sind.

Will ein betroffener Arbeitnehmer einen Schadensersatzanspruch geltend machen, richtet er sich meistens gegen seinen Arbeitgeber als Verarbeiter der Daten  und Verantwortlicher. Zuständig für die Klage ist nach § 2 Abs. 2 ArbGG das Arbeitsgericht.

In einem vom LAG Düsseldorf am 01.07.2024 unter dem Aktenzeichen 3 Ta 85/24 entschiedenen Fall richtete sich die Klage jedoch nicht gegen den Arbeitgeber selber, sondern gegen die Organvertreterin. Der Kläger hatte von der Organvertreterin (Präsidentin bzw. Vorstandsvorsitzende eines Vereins) wegen datenschutzrechtlicher Verstöße und einer Persönlichkeitsrechtsverletzung durch Offenlegung von Gesundheitsdaten in einem Mitgliederbrief an knapp 10.000 Vereinsmitglieder, ein Schmerzensgeld i.H.v. mindestens 17.000,00 € eingefordert. Das Gericht hat mit der vorliegenden Entscheidung (noch)  nicht über die Höhe des Schmerzensgeldes entschieden. Mit vorgenannter Entscheidung wurde vielmehr über die Zuständigkeit des Arbeitsgerichts entschieden, da nicht gegen die Arbeitgeberin selber, sondern gegen den Organvertreter die Klage erhoben wurde. Das Arbeitsgericht hatte den Rechtsweg zu den Arbeitsgerichten für nicht eröffnet erklärt und den Rechtsstreit an das Landgericht verwiesen. Auf die hierauf gerichtete sofortige Beschwerde des Klägers hat das LAG Düsseldorf den Beschluss abgeändert und den Rechtsweg zu den Arbeitsgerichten für zulässig erklärt. Zur Begründung führt das LAG aus, dass für Klagen von Arbeitnehmern auch gegen Organvertreter ihres Arbeitgebers und aus „im Zusammenhang mit dem Arbeitsverhältnis stehenden unerlaubten Handlungen“ der Rechtsweg zu den Arbeitsgerichten in entsprechender Anwendung des § 2 Abs. 1, Nr. 3 lit. d ArbGG begründet ist. Auch Organvertreter wie die Beklagte sind zwar nicht Arbeitgeber im Sinne des § 2 Abs. 1 Nr. 3 ArbGG, denn Arbeitgeber kann nur sein, wer selbst Vertragspartner eines Arbeitnehmers oder eine arbeitgeberähnliche Person ist. Bei juristischen Personen entsteht dadurch eine mit System und Sinn und Zweck des § 2 ArbGG nicht in Einklang zu bringende Lücke in der Rechtswegzuweisung arbeitsrechtlicher Streitigkeiten zur Arbeitsgerichtsbarkeit. Das LAG führt in seinen Entscheidungsgründen aus, dass es mit der Systematik von § 2 ArbGG jedoch unvereinbar wäre, den selben Gegenstand nur deshalb nicht den Arbeitsgerichten zuzuweisen, weil Täter ein Organvertreter des Arbeitgebers ist. Die insoweit systemwidrige Lücke ist durch die entsprechende Anwendung von § 2 Abs. 1 Nr. 3 lit. d ArbGG zu schließen.

Mit Spannung bleibt nunmehr abzuwarten, ob und in welcher Höhe dem geltend gemachten Anspruch auf Schmerzensgeld stattgegeben wird.

In den meisten bisher von deutschen Arbeitsgerichten in erster oder zweiter Instanz entschiedenen Fällen bewegt sich die Summe für gewährte Schmerzensgeldansprüche ungefähr im Bereich von Euro 500,00 - 5.000,00. Es sind jedoch alles Einzelfallentscheidungen und der zugesprochene Anspruch hängt stark u.a. von der Schwere des Verstoßes, dem nachweisbaren Schaden und gegebenenfalls auch von der Wiederholungsgefahr ab.

Fazit

Auch immaterielle und materielle Schadensersatzansprüche infolge von Datenschutzverstößen gewinnen zunehmend an praktischer Bedeutung. Arbeitgeber sollten das Haftungsrisiko, das sich aus der Regelung des Art. 82 DSGVO ergibt, nicht unterschätzen, gleiches gilt insbesondere für die Unternehmenslenker. Datenschutzverstöße können das Resultat systemischer Defizite sein und damit eine Vielzahl von Personen betreffen.

Arbeitnehmer wie ihren Vertreter, werden sich in einem besonders problematischen oder gekündigten Arbeitsverhältnis darüber Gedanken machen, ob sie ein Auskunftsbegehren geltend machen und überprüfen, ob Datenschutzverstöße vorliegen. Sie sollten berücksichtigen, dass immaterielle Schäden die Darlegung eines konkreten Schadens erforderlich machen.