ArbG Suhl: DSGVO-Verstoß allein kein Grund für Schadensersatz | Compliance

Haufe Online Redaktion

ArbG Suhl: DSGVO-Verstoß allein kein Grund für Schadensersatz — Bild: pixabay

Ein Arbeitnehmer kann wegen eines Verstoßes gegen die Datenschutzgrundverordnung (DSGVO) durch den Arbeitgeber nur dann Schadensersatz verlangen, wenn ihm ein konkreter Schaden entstanden ist.

Schadensersatz kann nur bei einem konkret entstandenen Schaden verlangt werden. Das musste ein Arbeitnehmer jetzt vor Gericht hinnehmen. Allein der Umstand, dass der Arbeitgeber gegen die DSGVO verstoßen hat, indem er z. B. persönliche Daten des Arbeitnehmers unverschlüsselt per E-Mail verschickt hat, reicht dafür nicht aus. Das geht aus einem Urteil des Arbeitsgerichts Suhl hervor.

In seinem Urteil Az.: 6 Ca 704/23 hat das Arbeitsgericht (ArbG) Suhl festgestellt, dass ein DSGVO-Verstoß allein für das Entstehen eines Schadensersatzanspruchs nicht ausreicht. Für den Anspruch auf Schadensersatz nach Art. 82 DSGVO ist neben einem Verstoß auch ein Schaden sowie ein Kausalzusammenhang zwischen Verstoß und Schaden erforderlich. Es folgt damit einem Urteil des Europäischen Gerichtshofs (EuGH) vom 4. Mai 2023 (C-300/21).

Datenauskunft wird unverschlüsselt übermittelt

Im konkreten Fall verlangte ein Arbeitnehmer nach Art. 15 DSGVO bei seinem Arbeitgeber Auskunft über alle über ihn gespeicherten Daten in schriftlicher Form. Der Arbeitgeber übersandte diesem eine Übersicht der digital verarbeiteten Daten in einer unverschlüsselten E-Mail und leitete die gespeicherten personenbezogenen Daten ohne dessen Zustimmung auch an den Betriebsrat weiter. Eine weitere Auskunft über die erhobenen und gespeicherten personenbezogenen Daten wurde dem Arbeitnehmer per Post zugestellt.

Der Arbeitnehmer beschwerte sich beim Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit (TLfDI) über die unverschlüsselte Zusendung personenbezogener Daten. Der TLfDI stellte fest, dass die unverschlüsselte Datenauskunft gegen Art. 5 Abs. 1 Buchst. f DSGVO verstößt. Der Arbeitnehmer beantragte daraufhin beim TLfDI eine Ergänzungsprüfung wegen der Übersendung seiner Daten an den Betriebsrat und beschwert sich außerdem darüber, dass die postalisch erteilte Auskunft unvollständig sei. Der TLfDI bestätigte den Datenschutzvorstoß, sah aber keinen Anlass für weitere Maßnahmen.

Arbeitnehmer verlangt 10.000 EUR Schadensersatz

Der Arbeitnehmer gab sich damit nicht zufrieden und verklagte seinen Arbeitgeber auf mindestens 10.000 EUR Schadensersatz, der ihm nach Art. 82. Abs. 1 DSGVO zustünde. Zur Begründung führte er an, dass ihm ein immaterieller Schaden entstanden sein, weil der Arbeitgeber mehrfach gegen die DSGVO verstoßen habe. Auch habe er durch die Übersendung der unverschlüsselten Daten und aufgrund der unvollständigen Auskunft einen Kontrollverlust erlitten, der als weiterer immaterieller Schaden einzustufen sei.

Arbeitsgericht weist Klage wegen fehlendem Schadensnachweis ab

Das ArbG Suhl hat die zulässige Klage als unbegründet abgewiesen und festgestellt, dass dem Kläger „kein Anspruch aus Art. 82 DSGVO [...] auf Ersatz des von ihm geltend gemachten immateriellen Schadens“ zusteht.

In seiner Begründung führt das ArbG den Wortlaut des Art. 82 DSGVO an. Dort ist in Abs. 1 geregelt, dass jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, einen Schadensersatzanspruch gegen den Verantwortlichen oder den Auftragsverarbeiter hat. Nach Abs. 2 haften für einen Schaden nur die Verantwortlichen oder Auftragsverarbeiter, die an der für den Schaden ursächlichen Datenverarbeitung beteiligt waren. Nach Abs. 3 werden Verantwortliche oder Auftragsverarbeiter von der Haftung befreit, wenn sie nachweisen, dass sie für den Umstand, durch den der Schaden eingetreten ist, nicht verantwortlich sind. Das ArbG stellte im Anschluss fest, dass die Voraussetzungen für einen Schadensersatzanspruch nicht vorliegen, „da es jedenfalls an der Darlegung des Eintritts eines Schadens bei dem Kläger fehlt“.

Das ArbG schließt sich dem TLfDI an und sieht im Versand der unverschlüsselten E-Mail einen Verstoß gegen Art. 5 DSGVO. Es prüft aber die Weiterleitung der Daten an den Betriebsrat und die monierte unvollständige Auskunft nicht, weil der Kläger „keinen Schaden dargelegt“ hat. Es weist in diesem Zusammenhang ausdrücklich darauf hin, dass ein DSGVO-Verstoß allein kein Grund für Schadensersatz ist: „Soweit der Kläger der Auffassung ist, bereits ein Verstoß gegen die DSGVO genüge für das Entstehen eines Schadensersatzanspruches, kann dem nicht gefolgt werden.“

Verschlüsselte Übermittlung und Rechtsgrundlagenprüfung obligatorisch

Das Urteil des ArbG Suhl, das sich in seiner Begründung ausdrücklich auf das EuGH-Urteil C-300/21 bezieht, zeigt auch, dass der Arbeitgeber schadensersatzpflichtig geworden wäre, wenn der Arbeitnehmer einen Schadensnachweis hätte führen können. Für die Unternehmenspraxis bedeutet dies, dass personenbezogene Daten per E-Mail grundsätzlich nur verschlüsselt versendet werden sollten. Auch sollte, wie hier im Falle der Übermittlung der Daten an den Betriebsrat, immer sichergestellt sein, dass es eine gültige Rechtsgrundlage für die Übermittlung personenbezogener Daten gibt.

Meistgelesene beiträge

Neueste beiträge

DSGVO-Verstoß allein kein Grund für Schadensersatz

07.05.2024
Europäische Umweltagentur veröffentlicht erste Europäische Klimarisikobewertung

30.04.2024
32. Tätigkeitsbericht des Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI)

23.04.2024
EU-Kommission und EU-Parlament einigen sich auf neues Gesetzpaket zur Bekämpfung der Geldwäsche

16.04.2024
Faxe sind ein Datenschutzrisiko

02.04.2024
EU-Lieferketten-Richtlinie verabschiedet!

18.03.2024
Das Europäische Parlament hat den AI-Act beschlossen

14.03.2024
Europäische Kommission veröffentlicht PeP-Liste zur Geldwäscheprävention

27.02.2024
„Pay or Okay“: NOYB geht gegen das neue Bezahlmodell von Meta vor

01.02.2024
Datengesetz der EU ist in Kraft

31.01.2024