Nach Ansicht des ArbG Düsseldorf hat ein Arbeitnehmer einen DSGVO-Schadensersatzanspruch iHv. 5.000,- EUR gegen seinen ehemaligen Arbeitgeber, wenn dieser ihm keine vollständige Datenauskunft nach Art. 15 DSGVO erteilt (ArbG Düsseldorf, Urt. v. 05.03.2020 - Az.: 9 Ca 6557/18).
In einer arbeitsgerichtlichen Auseinandersetzung stritt ein Arbeitnehmer mit seiner ehemaligen Firma. Es ging dabei um nicht vollständige Auskünfte nach Art. 15 DSGVO.
Der Kläger machte daraufhin einen Schadensersatzanspruch iHv. mehr als 140.000,- EUR geltend für den erlittenen immateriellen Schaden aufgrund der fehlerhaften Rückmeldung seines Chefs. Der europäische Gesetzgeber habe einen wirksamen Schadensersatz bewirken wollen, sodass ein Anspruch iHv. 12 Monatsgehältern angemessen sei.
Das ArbG Düsseldorf lehnte das Begehren größtenteils ab, bejahte aber einen Schadensersatz iHv.. 5.000,- EUR.
Zum Anspruch grundsätzlich führt es aus:
"Verursacht durch die genannten Verstöße hat der Kläger, der keinen materiellen Schaden vorgetragen hat, einen immateriellen Schaden iSd. Art. 82 Abs. 1 E. erlitten.
Der Begriff des Schadens ist weit auf eine Art und Weise auszulegen, die den Zielen der E. in vollem Umfang entspricht (...). Ein immaterieller Schaden entsteht nicht nur in den "auf der Hand liegenden Fällen", wenn die datenschutzwidrige Verarbeitung zu einer Diskriminierung, einem Verlust der Vertraulichkeit, einer Rufschädigung oder anderen gesellschaftlichen Nachteilen führt, sondern auch, wenn die betroffene Person um ihre Rechte und Freiheiten gebracht oder daran gehindert wird, die sie betreffenden personenbezogenen Daten zu kontrollieren (...).
Indem die Beklagte die Vorgaben aus Art. 15 Abs. 1 Hs. 1, Hs. 2 lit. a, b iVm. Art. 12 Abs. 1, 3 E. verletzt hat, hat sie das Auskunftsrecht des Klägers - das zentrale Betroffenenrecht - beeinträchtigt (...). Verletzt ist zugleich ein europäisches Grundrecht des Klägers; Art. 8 Abs. 2 S. 2 GRCh gewährleistet das Auskunftsrecht ausdrücklich.
Durch die monatelang verspätete, dann unzureichende Auskunft war der Kläger im Ungewissen und ihm die Prüfung verwehrt, dann nur eingeschränkt möglich, ob und wie die Beklagte seine personenbezogenen Daten verarbeitet. Die Schwere des immateriellen Schadens ist für die Begründung der Haftung nach Art. 82 Abs. 1 E. irrelevant und wirkt sich nur noch bei der Höhe des Anspruchs aus (...)."
Und hinsichtlich der Höhe des Schadens iHv. 5.000,- EUR führt es aus:
"Die betroffene Person soll einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten (EG 146). Verstöße müssen effektiv sanktioniert werden, damit die E. wirken kann, was vor allem durch Schadensersatz in abschreckender Höhe erreicht wird (...).
Gerichte können sich bei der Bemessung des immateriellen Schadensersatzes auch an Art. 83 Abs. 2 E. orientieren, sodass als Zumessungskriterien unter anderem Art, Schwere, Dauer des Verstoßes, Grad des Verschuldens, Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens, frühere einschlägige Verstöße sowie die Kategorien der betroffenen personenbezogenen Daten betrachtet werden können (...).
Den Grundsätzen entsprechend muss die Beklagte einen Schadensersatz iHv. insgesamt 5.000 € zahlen. Dabei hat die Kammer berücksichtigt, dass der europäische Verordnungsgeber das verletzte Recht als bedeutsam einordnet, wie sich neben Art. 8 Abs. 2 S. 2 GRCh auch an der Zuordnung der Art. 12 ff. E. zu dem Katalog des § 83 Abs. 5 E. zeigt. Es handelt sich eben nicht nur um ein einfaches Arbeitspapier.
Weiter hielt der Verstoß einige Monate an, in denen der Kläger über die Datenverarbeitung durch die Beklagte im Ungewissen war. Der Zeitraum vom 08.07. bis 07.09.2018 fiel dabei weniger stark ins Gewicht als die etwa drei Monate bis zum 10.12.2018, da Art. 12 Abs. 3 S. 2 E. dem Antragssteller - wenn auch nach Unterrichtung über eine Fristverlängerung - zumutet, bis zu drei Monate auf die Auskunft zu warten.
Außerdem sind die Anforderungen an die zu erteilende Auskunft nicht nur zeitlich, sondern auch inhaltlich verletzt. Überdies war der nach Vortrag des Klägers beträchtliche Umsatz der Beklagten zu berücksichtigen. (Der Vortrag ist unstreitig, doch ist fraglich, ob es sich um den Umsatz der Beklagten oder der I. insgesamt handelt.) Da der Schadensersatz eine angemessene Wirkung erzielen soll, hängt dessen Höhe nicht nur vom eingetretenen immateriellen Schaden, sondern auch von dem nach Art. 4 Ziff. 7 E. Verantwortlichen und dessen Finanzkraft ab.
Mit anderen Worten: Die Verletzung der Auskunftspflicht aus Art. 15 E. durch einen finanzschwächeren Verantwortlichen würde zu geringerem Schadensersatz führen."
Und weiter:
"Zu Gunsten der Beklagten wird berücksichtigt, dass von fahrlässigen Verstößen auszugehen ist. Anhaltspunkte für Vorsatz, mithin die bewusste und gewollte verspätete, dann intransparente Reaktion auf das Auskunftsgesuch, sind nicht ersichtlich. Auch sind keine anderen Verstöße der Beklagten gegen die E. dargetan. Des Weiteren erschließt sich der Kammer nicht, warum die Höhe der Vergütung des Klägers in die Bemessung des Schadensersatzes einfließen sollte.
Die Schwere des entstandenen immateriellen Schadens, der vor allem in der Ungewissheit über die Verarbeitung seiner Daten besteht, hängt nicht davon ab, wieviel er verdient. Auch sind besondere Kategorien personenbezogener Daten iSd. Art. 9 E. nicht substantiell betroffen. Endlich ist trotz der Bedeutung des Auskunftsrechts des Art. 15 E. nicht zu verkennen, dass mit dem vom Kläger herangezogenen Bußgeldrahmen des § 83 Abs. 5 E. auch noch weit gravierende Persönlichkeitsrechtsverletzungen sanktioniert werden sollen und die Verhältnismäßigkeit zu wahren ist. Der dem Kläger entstandene immaterielle Schaden ist nicht erheblich.
Unter Berücksichtigung all dessen hat die Kammer für die ersten zwei Monate der Verspätung jeweils 500 €, für die weiteren etwa drei Monate jeweils 1.000 € und für die beiden inhaltlichen Mängel der Auskunft jeweils 500 € angesetzt."