Übersieht ein Arbeitgeber nach Ausscheiden seines Arbeitnehmers aus dem Unternehmen ein PDF mit personenbezogenen Daten, handelt es sich um eine DSGVO-Verletzung, die einen Schadensersatz von 300,- EUR rechtfertigt (LAG Köln, Urt. v. 14.09.2020 - Az.: 2 Sa 358/20).
Die Klägerin war in der Vergangenheit bei der Beklagten als Professorin beschäftigt. Im Rahmen dieses Beschäftigungsverhältnisses speicherte die Beklagte das Profil der Klägerin und verlinkte auf ihre Homepage. Dieses Profil war ursprünglich als PDF gefertigt worden. Vor einigen stellte die Beklagte ihre Homepage auf HTML um, übersah jedoch das PDF und löschte es nicht. Eine Verlinkung fand nicht statt.
Nachdem die Klägerin ausgeschieden war, machte sie u.a. einen Schadensersatzanspruch nach Art. 82 DSGVO von mindestens 1.000,- EUR geltend.
Erstinstanzlich verurteilte das ArbG Köln (Urt. v. 12.03.2020 - Az.: 5 Ca 4806/19) die Beklagte lediglich zur Zahlung von 300,- EUR. Gegen diese Entscheidung legte die Klägerin Berufung ein.
Das LAG Köln lehnte die Berufung mit deutlichen Worten ab und schloss sich der Auffassung der 1. Instanz ab:
"Die erkennende Kammer tritt den Überlegungen des Arbeitsgerichts zur Bemessung des immateriellen Schadens bei der versehentlichen Aufrechterhaltung der Sichtbarkeit des PDF mit dem Profil der Klägerin auf dem Server der Beklagten bei. Der Verschuldensgrad ist sehr gering.
Nach der Umstellung des Dateiformats des Internetauftritts im Jahr 2015 liegt eine Nachlässigkeit der Beklagten vor, nicht vollumfänglich geprüft zu haben, ob weiterhin alte Dateiformate abrufbar waren. Zum Zeitpunkt der Umstellung war zudem die Klägerin als Arbeitnehmerin und Lehrende der Beklagten nicht berechtigt, die Löschung des PDF zu verlangen, da die Darstellung der Lehrenden für eine Hochschule unverzichtbarer Inhalt eines Internetauftritts und damit der erforderlichen Datenverarbeitung war.
Richtig hat das Arbeitsgericht auch gewertet, dass die Intensität der Rechtsverletzung marginal war. Die veröffentlichen Tatsachen über die Klägerin waren inhaltlich richtig, allein das Logo der Beklagten auf dem Profil ermöglichten nach dem Ende des Arbeitsverhältnisses den fehlerhaften Rückschluss, die Klägerin sei auch im Zeitpunkt des Abrufs des PDF noch Lehrende der Beklagten. Zwar mag es sein, dass das PDF unter den ersten zehn Einträgen der Suchmaschine Google bei einer Suche nach dem Namen der Klägerin erschien. Wie viele Personen tatsächlich dann das PDF angeklickt haben, um es vollständig zu lesen (nach dem Vortrag der Beklagten, welcher nicht bestritten wurde, soll es nur zwei Zugriffe gegeben haben), ist nicht nachgewiesen."
Zwischen den Zeilen zweifelt die Richter bereits, ob die erstinstanzlich ausgeurteilten 300,- EUR überhaupt begründet sind. In den Entscheidungsgründen heißt es dazu:
"Dabei kann dahinstehen, ob der zugesprochene immaterielle Schadensersatz nicht bereits zu hoch war, da die Beklagte insoweit zur Verknappung des Prozessstoffes keine Anschlussberufung eingelegt hat."