Datenschutzrecht im Arbeitsverhältnis: Auskunftsverlangen (ehemaliger) Arbeitnehmer

Das Hessische Landesarbeitsgericht (14 Sa 359/22) hat entschieden, dass allein der Umstand, dass der Arbeitgeber dem Auskunftsverlangen der (ehemaligen) Arbeitnehmerin nach Art. 15 Abs. 1 DSGVO nicht innerhalb der Frist des Art. 12 Abs. 3 DSGVO nachkommt, einen Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO begründet, ohne dass es auf den Nachweis eines „konkreten“ Schadens ankommt. Dem Schadensersatzanspruch steht nicht entgegen, dass es sich insoweit nicht um einen Schaden aus der Datenverarbeitung handelt:

Wie das zutreffend feststellt, unterliegt dieses nach Art. 12 DSGVO keinen besonderen Anforderungen an Form und Inhalt, sondern es reicht aus, dass der Verantwortliche als Anspruchsgegner erkennen kann, welche Auskünfte der Betroffene begehrt (LAG Hamm 11. Mai 2021 – 6 Sa 1260/20 – juris). Dies war hier durch die wörtliche Wiedergabe des Art. 15 Abs. 1 DSGVO im Antrag ohne weiteres gewährleistet. Aus der Entscheidung des Bundesarbeitsgerichts vom 16. Dezember 2021 (– 2 AZR 235/21- NZA 2022, 362) ergibt sich keine andere Bewertung. Gegenstand der dort offengelassenen Frage war, ob ein Klageantrag, der lediglich den Gesetzestext wiederholt, den Anforderungen des § 253 Abs. 2 Nr. 2 ZPO genügt, ob nämlich die Reichweite der materiellen Rechtskraft des begehrten Urteils feststünde. Darum geht es jedoch bei dem außergerichtlichen Auskunftsbegehren nicht. Zudem weist das Bundesarbeitsgericht in der genannten Entscheidung ausdrücklich auf die unionsrechtliche Determiniertheit des Anspruchs hin, der in besondere Weise die Erforderlichkeit der prozessualen Durchsetzbarkeit bedingt.

Aus dem 63. Erwägungsgrund geht hervor, dass eine betroffene Person das Auskunftsrecht zu ihren personenbezogenen Daten problemlos und ohne Schwierigkeiten wahrnehmen können sollte und dem Verantwortlichen zugebilligt wird, er solle bei umfangreichen Datenverarbeitungen verlangen können, dass die betroffene Person präzisiert, auf welche Information oder welche Verarbeitungsvorgänge sich ihr Auskunftsersuchen bezieht. Dementsprechend kann das außergerichtliche Auskunftsbegehren, das sich am Wortlaut des Art. 15 Abs. 1 DSGVO orientiert, nicht als unzureichend angesehen werden. (…)

Mit der Verletzung des Auskunftsrechts der Klägerin hat der Beklagte iSd. Art. 82 Abs. 1 DSGVO gegen diese Verordnung verstoßen. Dem steht aus Sicht der Kammer nicht entgegen, dass der Erwägungsgrund 146 Satz 1 DSGVO nur von solchen Schäden spricht, „die einer Person aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht“ (so aber LG Essen 10. November 2022 – 6 O 111/22 –juris; offengelassen BAG 5. Mai 2022 – 2 AZR 363/21 –juris, im Ergebnis wie hier LAG Hamm 11. Mai 2021 – 6 Sa 1260/20 – juris; LAG Niedersachsen 22. Oktober 2021 – 16 Sa 761/20 – juris; LAG Berlin-Brandenburg 18. November 2021 – 10 Sa 443/21 – juris). Zwar ist unter Verarbeitung im Sinne der DSGVO nach ihrem Art. 4 Nr. 2 „jede(r) mit oder ohne Hilfe automatisierter Verfahren ausgeführte(r) Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, der Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung“ zu verstehen. Die Nichterfüllung oder nicht vollständige Erfüllung des Auskunftsanspruchs nach Art. 15 Abs. 1 DSGVO muss danach für sich genommen nicht gleichbedeutend sein mit einer verordnungswidrigen „Verarbeitung“ (ebenso BAG 5. Mai 2022 – 2 AZR 363/21NZA 2022, 1191). Nach Auffassung der Kammer kann der Erwägungsgrund 146 DSGVO aber nicht dazu führen, Art. 82 DSGVO hinsichtlich der Tatbestandsmerkmale dergestalt einzuschränken, dass gerade nicht jeder Verstoß gegen die Verordnung zu Schadensersatzansprüchen führen kann, sondern nur solche, die eine Datenverarbeitung zum Gegenstand haben. Der Zweck der Erwägungsgründe liegt in der Veranschaulichung, Begründung und Rechtfertigung der ihnen nachfolgenden gesetzlichen Regelungen. Sie dienen daher zwar als Kriterien der Auslegung und stellen für diese wichtige Orientierungshilfen dar, sie entfalten aber gerade keine originäre Bindungswirkung und nehmen die eigentliche Auslegung weder vorweg noch schränken sie diese über Gebühr ein (vgl. Paal/Pauly, DS-GVO Einleitung Rz. 10). Angesichts des Wortlauts des Art. 82 Abs. 1 DSGVO und der Bedeutung des Auskunftsanspruchs insofern, als dieser häufig dem Betroffenen erst diejenigen Informationen verschafft, die ihm sodann die Geltendmachung weiter Ansprüche ermöglichen, ist Art. 82 Abs. 1 DSGVO dahingehend auszulegen, dass ein Verstoß gegen die Auskunftspflichten den Tatbestand des Art. 82 Abs. 1 DSGVO erfüllt und grundsätzlich geeignet ist, Schadensersatzpflichten zu begründen. Hierfür spricht auch, dass der Erwägungsgrund 75 DSGVO ausdrücklich anerkennt, dass gerade die fehlende Möglichkeit des Betroffenen, die verarbeiteten Daten zur kontrollieren, Risiken für seine Rechte und Freiheiten begründet.

Dem Anspruch der Klägerin steht auch nicht entgegen, dass sie keinen konkreten Nachweis eines Schadens erbracht hätte. Der Rechtsanspruch auf immateriellen Schadenersatz nach Art. 82 Abs. 1 DSGVO erfordert über eine Verletzung der DSGVO hinaus nicht zusätzlich, dass die verletzte Person einen (weiteren) von ihr erlittenen immateriellen Schaden darlegt (vgl. BAG, EuGH-Vorlage vom 26. August 2021 – 8 AZR 253/20 (A) – NZA 2021, 1713). Ein die Zusprechung von Schadensersatz bedingender Schaden ist, wie das Arbeitsgericht zutreffend annimmt, bereits deshalb zu bejahen, weil die Klägerin im Ungewissen ist, welche personenbezogenen Daten der Beklagte von ihr im Einzelnen in welcher Weise verarbeitet. Es bedarf auch nicht eines bestimmten Gewichts des eingetretenen Schadens- dieses ist vielmehr bei der Schadenshöhe zu berücksichtigen (LAG Hamm 11. Mai 2021 – 6 Sa 1260/20 –juris; LAG Niedersachsen 22. Oktober 2021 – 16 Sa 761/20 –, juris; LAG Berlin-Brandenburg 18. November 2021 – 10 Sa 443/21 – juris). Die Kammer schließt sich insofern der Auffassung an, dass eine Erheblichkeitsschwelle von Verstößen gegen die DSGVO als Voraussetzung für die Entstehung eines Schadensersatzanspruchs nicht besteht, weil sich eine solche weder aus der DSGVO selbst noch aus den Erwägungsgründen ergibt und der Erwägungsgrund 146 DSGVO gegen die Annahme einer solchen spricht (BVerfG 14. Januar 2021 – 1 BvR 2853/19NJW 2021, 1005; LAG Hamm 11. Mai 2021 – 6 Sa 1260/20 –juris). Auch insoweit ist zu berücksichtigen, dass der Erwägungsgrund 75 DSGVO der Möglichkeit der Betroffenen, ihre personenbezogenen Daten zur kontrollieren, ein besonderes Gewicht beimisst (vgl. LAG Hamm 11. Mai 2021 – 6 Sa 1260/20 –juris).

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)
Letzte Artikel von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht) (Alle anzeigen)
Benutzerbild von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht. Vor meinem Leben als Anwalt war ich Softwareentwickler. Ich bin Autor sowohl in einem renommierten StPO-Kommentar als auch in Fachzeitschriften.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht, Arbeitsrecht und IT-Recht / Technologierecht. Beachten Sie unsere Tätigkeit im Steuerstrafrecht, digitaler gewerblicher Rechtsschutz, IT-Sicherheitsrecht sowie Softwarerecht.