LAG Düsseldorf: keine übertriebenen DSGVO-Schadensersatzansprüche im Arbeitsverhältnis

Das Landesarbeitsgericht (LAG) Düsseldorf hat in seiner Entscheidung vom 28. November 2023 (Aktenzeichen: 3 Sa 285/23) das Urteil des Arbeitsgerichts Duisburg (Aktenzeichen: 3 Ca 44/23) aufgehoben und die eines ehemaligen Arbeitnehmers auf Zahlung einer Entschädigung wegen verspäteter und unvollständiger Auskunftserteilung nach der -Grundverordnung () abgewiesen.

Dieses Urteil hat in der rechtlichen Diskussion bereits einige Wellen geschlagen, insbesondere hinsichtlich der Frage, inwieweit die DSGVO als Werkzeug zur Monetarisierung durch unzufriedene missbraucht werden kann.

Sachverhalt

Der Kläger war im Dezember 2016 für einen Monat bei der Rechtsvorgängerin der Beklagten beschäftigt. Im September 2020 und erneut im Oktober 2022 forderte der Kläger von der Beklagten Auskunft über die Verarbeitung seiner personenbezogenen Daten gemäß Art. 15 DSGVO.

Nachdem die Beklagte verspätet und unvollständig reagierte, klagte der Kläger vor dem Duisburg auf Zahlung einer Entschädigung in Höhe von 10.000 Euro wegen der angeblich erlittenen immateriellen Schäden durch Kontrollverlust über seine Daten. Das Arbeitsgericht Duisburg gab der Klage statt und verurteilte die Beklagte noch zur Zahlung.

Rechtliche Analyse

Arbeitsgericht Duisburg: Strenge Auslegung der DSGVO

Das Arbeitsgericht Duisburg stellte fest, dass die Beklagte mehrfach gegen Art. 12 Abs. 3 und Art. 15 Abs. 1 DSGVO verstoßen habe. Diese Verstöße sah das Gericht als ausreichend an, um einen immateriellen Schaden im Sinne von Art. 82 Abs. 1 DSGVO anzunehmen und sprach dem Kläger eine Entschädigung von 10.000 Euro zu. Diese Entscheidung wurde als äußerst streng gegenüber dem Arbeitgeber wahrgenommen, da das Gericht keinen hohen Nachweis für den entstandenen immateriellen Schaden verlangte.

Landesarbeitsgericht Düsseldorf: Einschränkung der DSGVO-Monetarisierung

Das LAG Düsseldorf hob das Urteil des Arbeitsgerichts Duisburg auf und entschied, dass verspätete oder unvollständige Auskünfte nach Art. 12 Abs. 3 und Art. 15 DSGVO keinen Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO begründen. Das Gericht argumentierte, dass eine solche Auskunft keine Datenverarbeitung im Sinne von Art. 4 Nr. 2 DSGVO darstellt und somit auch nicht die Voraussetzungen für einen Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO erfüllt sind. Diese Entscheidung hebt hervor, dass nicht jede Verzögerung oder Unvollständigkeit in der Auskunftserteilung automatisch einen immateriellen Schaden begründet.

Kritische Betrachtung

Missbrauch der DSGVO zur Einnahmengenerierung

Die Entscheidung des LAG Düsseldorf setzt ein wichtiges Signal gegen den potenziellen Missbrauch der DSGVO als Einnahmequelle für unzufriedene Mitarbeiter. Das Arbeitsgericht Duisburg ging in seiner strengen Auslegung der DSGVO möglicherweise zu weit, indem es eine hohe Entschädigung zusprach, ohne dass der Kläger konkrete und erhebliche immaterielle Schäden nachweisen musste.

Dies könnte dazu führen, dass Mitarbeiter systematisch Auskunftsanfragen stellen, um bei Verzögerungen oder Unvollständigkeiten finanzielle Entschädigungen zu erhalten, selbst wenn kein tatsächlicher Schaden entstanden ist.

Angemessene Anforderungen an den Nachweis immaterieller Schäden

Das LAG Düsseldorf betont, dass immaterielle Schäden konkret nachgewiesen werden müssen und pauschale Behauptungen nicht ausreichen. Diese Sichtweise schützt Arbeitgeber vor unbegründeten Schadensersatzforderungen und stellt sicher, dass die DSGVO nicht zur Generierung ungerechtfertigter Ansprüche missbraucht wird. Gleichzeitig wird dadurch der eigentliche Zweck der DSGVO – der Schutz vor missbräuchlicher und rechtswidriger Datenverarbeitung – nicht verwässert.


Wesentliche Aspekte auf einen Blick

Rechtsmissbrauch beim Auskunftsverlangen

Das LAG betonte, dass der Vorwurf des Rechtsmissbrauchs nur unter bestimmten Bedingungen gerechtfertigt sei. Ein Rechtsmissbrauch liege dann vor, wenn trotz formaler Einhaltung der rechtlichen Vorschriften das eigentliche Ziel der Regelung nicht erreicht werde. Im konkreten Fall sah das Gericht keine ausreichenden Anhaltspunkte dafür, dass das Auskunftsersuchen des Klägers rechtsmissbräuchlich war. Es stellte fest, dass:

  • Art. 15 DSGVO kein besonderes rechtliches Interesse an der begehrten Auskunft voraussetzt, sondern per se der Durchsetzung des Grundrechts aus Art. 8 Abs. 1, Abs. 2 Satz 2 der Charta der Grundrechte der Europäischen Union dient.
  • Das Ziel der DSGVO, dem Kläger die Überprüfung einer rechtskonformen Datenverarbeitung zu ermöglichen, erreicht werden kann und auch nach zwei Jahren eine neuerliche Auskunft erfordern kann, wenn Daten weiterhin verarbeitet werden.
  • Das professionell wirkende Vorgehen des Klägers allein nicht ausreiche, um einen Rechtsmissbrauch zu begründen, solange die gesetzlichen Vorgaben eingehalten werden​​.

Fehlen einer Datenverarbeitung im Sinne von Art. 4 Nr. 2 DSGVO bei verspäteter oder unvollständiger Datenauskunft

Das LAG stellte klar, dass eine verspätete oder unvollständige Auskunft keine Datenverarbeitung im Sinne von Art. 4 Nr. 2 DSGVO darstellt. Es führte aus, dass:

  • Die Nichterteilung einer Datenauskunft keine Verarbeitung, sondern das Gegenteil – eine Nichtverarbeitung von Daten – darstellt. werden in diesem Fall weder erhoben, erfasst, organisiert, geordnet, gespeichert, angepasst, verändert, ausgelesen, abgefragt, verwendet, offengelegt noch sonst bereitgestellt.
  • Auch eine verspätete oder unvollständige Auskunftserteilung nicht als Datenverarbeitung angesehen werden kann, da diese keine Offenlegung durch Übermittlung oder Verwendung im Sinne von Art. 4 Nr. 2 DSGVO darstellt. Die Auskunftserteilung an den Betroffenen zählt nicht zur Offenlegung an Empfänger oder Dritte im Sinne der DSGVO-Definition​​.

Keine verordnungswidrige Datenverarbeitung durch verspätete und/oder unvollständige Datenauskunft

Es wurde ausgeführt, dass eine verspätete oder unvollständige Auskunft keine verordnungswidrige Datenverarbeitung darstellt, die einen Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO auslösen könnte. Es argumentierte, dass:

  • Der Begriff der Datenverarbeitung weit gefasst ist, aber eine verspätete oder unvollständige Auskunft nicht darunter fällt. Die Nichterteilung oder verspätete Erteilung von Auskünften stellt keine aktive Verarbeitung, sondern eine Unterlassung dar.
  • Der Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO auf Verstöße gegen die rechtmäßige Datenverarbeitung beschränkt ist und verspätete oder unvollständige Auskünfte nicht als solche Verstöße qualifiziert werden können.
  • Ein immaterieller Schaden nur dann geltend gemacht werden kann, wenn eine unrichtige oder fehlerhafte Verarbeitung personenbezogener Daten vorliegt, was hier nicht der Fall war​​.

Schlüssige Darlegung des Schadens und die Rechtsprechung des EuGH

Das Gericht stellte klar, dass der Kläger einen immateriellen Schaden schlüssig darlegen muss. Pauschale Behauptungen reichen nicht aus. Es betonte:

  • Der Europäische Gerichtshof (EuGH) hat entschieden, dass der Ersatz eines immateriellen Schadens nicht von einer Erheblichkeitsschwelle abhängig gemacht werden darf. Dennoch muss der Schaden konkret dargelegt werden.
  • Der Kläger konnte nicht nachvollziehbar begründen, welchen konkreten Kontrollverlust er erlitten hat. Allgemeinplätze und pauschale Behauptungen zu „Kontrollverlust“, „Angst“ und „Frust“ reichen nicht aus, um einen immateriellen Schaden im Sinne von Art. 82 Abs. 1 DSGVO zu begründen.
  • Die Darlegung muss über das Regelhafte hinausgehen und individuell begründen, wie der Schaden entstanden ist und welche konkreten Auswirkungen die verspätete oder unvollständige Auskunft auf den Betroffenen hatte. Diese Anforderungen hat der Kläger im vorliegenden Fall nicht erfüllt​​.

Fazit

Die Entscheidung des LAG Düsseldorf ist zu begrüßen, da sie klare Grenzen für die Monetarisierung von DSGVO-Verstößen setzt und sicherstellt, dass Arbeitgeber nicht schutzlos den datenschutzrechtlichen Ansprüchen der Arbeitnehmer ausgeliefert sind.

DSGVO im Arbeitsverhältnis: Rechtsanwalt Ferner zu den datenschutzrechtlichen Ansprüchen des Arbeitsnehmers im Arbeitsrecht

Das LAG Düsseldorf betonte, dass die DSGVO nicht dazu dienen soll, bei jeder geringfügigen Verzögerung oder Unvollständigkeit in der Datenauskunft massenhaft Schadensersatzansprüche zu generieren. Vielmehr soll sie vor rechtswidriger und missbräuchlicher Verarbeitung personenbezogener Daten schützen. Damit wird eine gewisse Ausgewogenheit in das datenschutzrechtliche Verhältnis zwischen Arbeitnehmer und Arbeitgeber gebracht.

Gleichzeitig wird der Schutz personenbezogener Daten gewahrt und Missbrauch verhindert. Diese Entscheidung verdeutlicht, dass die DSGVO nicht als Instrument zur Generierung von Einnahmen, sondern primär als Schutzmechanismus für personenbezogene Daten dient. Arbeitgeber sollten gleichwohl von Anfang an sicherstellen, dass sie ihre Auskunftspflichten gemäß der DSGVO zeitnah und vollständig erfüllen, um rechtliche Auseinandersetzungen und mögliche Sanktionen zu vermeiden.

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)
Benutzerbild von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht. Vor meinem Leben als Anwalt war ich Softwareentwickler. Ich bin Autor sowohl in einem renommierten StPO-Kommentar als auch in Fachzeitschriften.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht / Technologierecht - ergänzt um Arbeitsrecht.