Voraussetzungen für einen Schadensersatz nach Art. 82 Abs.1 DSGV
ArbG Suhl v. 20.12.2023 - 6 Ca 704/23
Der Sachverhalt:
Der Kläger war von Oktober 2020 bis Januar 2022 bei der Beklagten beschäftigt. Mit E-Mail vom 22.12.2021 hatte der Kläger Auskunft von der Beklagten über alle über ihn gespeicherten Daten in schriftlicher Form beantragt. Mit unverschlüsselter Antwort-E-Mail vom 23.12.2021 übersandte die Beklagte dem Kläger eine Übersicht der digital verarbeiteten Daten. Zudem wurden die gespeicherten personenbezogenen Daten des Klägers ohne dessen Zustimmung an den Betriebsrat weitergeleitet. Per Post erteilte die Beklagte dem Kläger im Frühjahr 2022 weitere Auskunft über die erhobenen und gespeicherten Daten.
Der Kläger hat daraufhin beim Thüringer Landesbeauftragen für Datenschutz und die Informationsfreiheit (TLfDI) Beschwerde über Datenschutzverletzungen erhoben. Am 25.1.2023 wurde ihm mitgeteilt, dass nach Auffassung des TLfDI die Auskunftserteilung mittels unverschlüsselter E-Mail gegen Art. 5 Abs.1 Buchst. f) DSGVO verstoße. Der Kläger war infolgedessen der Ansicht, ihm stehe ein Schadensersatzanspruch aus Art. 82 Abs. 1 DSGVO zu. Die Beklagte habe mehrfach in erheblicher Weise gegen die DSGVO verstoßen und sei daher zu einer Geldentschädigung von mind. 10.000 € netto verpflichtet.
Ersatzfähig seien alle immateriellen Schäden, welche i.d.R. aus einer Verletzung des allgemeinen Persönlichkeitsrechts heraus resultieren. Verursacht durch die Verstöße (Datenübermittlung mittels unverschlüsselter E-Mail, Weiterleitung an den Betriebsrat und unvollständige Auskunft) habe der Kläger einen immateriellen Schaden erlitten. Jedenfalls durch die unverschlüsselte und bis heute nicht vollständig erteilte Auskunft habe er einen Kontrollverlust erlitten, der als weiterer immaterieller Schaden zu qualifizieren sei. Der Kläger war der Ansicht, dass kein nachweisbarer separater kausaler Schaden erforderlich sei, sondern bereits ein Verstoß gegen die DSGVO genüge.
Das Arbeitsgericht hat die Klage abgewiesen.
Die Gründe:
Dem Kläger steht kein Anspruch aus Art. 82 DSGVO gegen die Beklagte auf Ersatz des von ihm geltend gemachten immateriellen Schadens zu. Die Voraussetzungen für einen Schadensersatzanspruch lagen hier nicht vor, da es jedenfalls an der Darlegung des Eintritts eines Schadens bei dem Kläger fehlte.
Soweit der Kläger der Auffassung war, bereits ein Verstoß gegen die DSGVO genüge für das Entstehen eines Schadensersatzanspruches, konnte dem nicht gefolgt werden. Es ist zwar zutreffend, dass die Frage, ob bereits der Datenschutzverstoß als solcher für das Entstehen eines Schadensersatzanspruchs ausreicht oder es darüber hinaus der Darlegung und des Nachweises eines konkreten (auch: immateriellen) Schadens bedarf, in Rechtsprechung und Literatur umstritten ist. Sowohl der österreichische Oberste Gerichtshof (Vorabentscheidungsersuchen vom 12.5.2021, ZD 2021, S. 631, wobei der Gerichtshof die Auffassung vertritt, es sei der Nachweis eines Schadens erforderlich) als auch das BAG (Vorabentscheidungsersuchen vom 26.8.2021, 8 AZR 253/20-A, wobei das BAG den Nachweis eines Schadens nicht für notwendig hält) haben die hiermit zusammenhängenden Fragen dem EuGH zur Vorabentscheidung vorgelegt (OLG Frankfurt, Urt. v. 2.3.2022 - 13 U 206/20).
Auf das Vorabentscheidungsersuchen des österreichischen Obersten Gerichtshofes hat der EuGH jedoch am 4.5.2023 entschieden, dass Art. 82 Abs.1 DSGVO so auszulegen ist, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadensersatzanspruch zu begründen. Die DSGVO verweist für den Sinn und die Tragweite der in ihrem Art. 82 enthaltenen Begriffe, insbesondere in Bezug auf die Begriffe "materieller oder immaterieller Schaden" und "Schadenersatz", nicht auf das Recht der Mitgliedstaaten. Daraus folgt, dass diese Begriffe für die Anwendung der DSGVO als autonome Begriffe des Unionsrechts anzusehen sind, die in allen Mitgliedstaaten einheitlich auszulegen sind.
Art. 82 Abs. 2 DSGVO, der die Haftungsregelung, deren Grundsatz in Abs. 1 dieses Artikels festgelegt ist, präzisiert, übernimmt die drei Voraussetzungen für die Entstehung des Schadenersatzanspruchs, nämlich eine Verarbeitung personenbezogener Daten unter Verstoß gegen die Bestimmungen der DSGVO, ein der betroffenen Person entstandener Schaden und ein Kausalzusammenhang zwischen der rechtswidrigen Verarbeitung und diesem Schaden. Diese Auslegung wird auch durch die Erläuterungen in den Erwägungsgründen 75, 85 und 146 der DSGVO bestätigt.
Mehr zum Thema:
Aufsatz
Henrik Hanßen
DSGVO-Schadensersatz: Neue Vorgaben des EuGH und aktuelle deutsche Rechtsprechung
DB 2023, 2997
Online-Verwaltung Thüringen
Der Kläger war von Oktober 2020 bis Januar 2022 bei der Beklagten beschäftigt. Mit E-Mail vom 22.12.2021 hatte der Kläger Auskunft von der Beklagten über alle über ihn gespeicherten Daten in schriftlicher Form beantragt. Mit unverschlüsselter Antwort-E-Mail vom 23.12.2021 übersandte die Beklagte dem Kläger eine Übersicht der digital verarbeiteten Daten. Zudem wurden die gespeicherten personenbezogenen Daten des Klägers ohne dessen Zustimmung an den Betriebsrat weitergeleitet. Per Post erteilte die Beklagte dem Kläger im Frühjahr 2022 weitere Auskunft über die erhobenen und gespeicherten Daten.
Der Kläger hat daraufhin beim Thüringer Landesbeauftragen für Datenschutz und die Informationsfreiheit (TLfDI) Beschwerde über Datenschutzverletzungen erhoben. Am 25.1.2023 wurde ihm mitgeteilt, dass nach Auffassung des TLfDI die Auskunftserteilung mittels unverschlüsselter E-Mail gegen Art. 5 Abs.1 Buchst. f) DSGVO verstoße. Der Kläger war infolgedessen der Ansicht, ihm stehe ein Schadensersatzanspruch aus Art. 82 Abs. 1 DSGVO zu. Die Beklagte habe mehrfach in erheblicher Weise gegen die DSGVO verstoßen und sei daher zu einer Geldentschädigung von mind. 10.000 € netto verpflichtet.
Ersatzfähig seien alle immateriellen Schäden, welche i.d.R. aus einer Verletzung des allgemeinen Persönlichkeitsrechts heraus resultieren. Verursacht durch die Verstöße (Datenübermittlung mittels unverschlüsselter E-Mail, Weiterleitung an den Betriebsrat und unvollständige Auskunft) habe der Kläger einen immateriellen Schaden erlitten. Jedenfalls durch die unverschlüsselte und bis heute nicht vollständig erteilte Auskunft habe er einen Kontrollverlust erlitten, der als weiterer immaterieller Schaden zu qualifizieren sei. Der Kläger war der Ansicht, dass kein nachweisbarer separater kausaler Schaden erforderlich sei, sondern bereits ein Verstoß gegen die DSGVO genüge.
Das Arbeitsgericht hat die Klage abgewiesen.
Die Gründe:
Dem Kläger steht kein Anspruch aus Art. 82 DSGVO gegen die Beklagte auf Ersatz des von ihm geltend gemachten immateriellen Schadens zu. Die Voraussetzungen für einen Schadensersatzanspruch lagen hier nicht vor, da es jedenfalls an der Darlegung des Eintritts eines Schadens bei dem Kläger fehlte.
Soweit der Kläger der Auffassung war, bereits ein Verstoß gegen die DSGVO genüge für das Entstehen eines Schadensersatzanspruches, konnte dem nicht gefolgt werden. Es ist zwar zutreffend, dass die Frage, ob bereits der Datenschutzverstoß als solcher für das Entstehen eines Schadensersatzanspruchs ausreicht oder es darüber hinaus der Darlegung und des Nachweises eines konkreten (auch: immateriellen) Schadens bedarf, in Rechtsprechung und Literatur umstritten ist. Sowohl der österreichische Oberste Gerichtshof (Vorabentscheidungsersuchen vom 12.5.2021, ZD 2021, S. 631, wobei der Gerichtshof die Auffassung vertritt, es sei der Nachweis eines Schadens erforderlich) als auch das BAG (Vorabentscheidungsersuchen vom 26.8.2021, 8 AZR 253/20-A, wobei das BAG den Nachweis eines Schadens nicht für notwendig hält) haben die hiermit zusammenhängenden Fragen dem EuGH zur Vorabentscheidung vorgelegt (OLG Frankfurt, Urt. v. 2.3.2022 - 13 U 206/20).
Auf das Vorabentscheidungsersuchen des österreichischen Obersten Gerichtshofes hat der EuGH jedoch am 4.5.2023 entschieden, dass Art. 82 Abs.1 DSGVO so auszulegen ist, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadensersatzanspruch zu begründen. Die DSGVO verweist für den Sinn und die Tragweite der in ihrem Art. 82 enthaltenen Begriffe, insbesondere in Bezug auf die Begriffe "materieller oder immaterieller Schaden" und "Schadenersatz", nicht auf das Recht der Mitgliedstaaten. Daraus folgt, dass diese Begriffe für die Anwendung der DSGVO als autonome Begriffe des Unionsrechts anzusehen sind, die in allen Mitgliedstaaten einheitlich auszulegen sind.
Art. 82 Abs. 2 DSGVO, der die Haftungsregelung, deren Grundsatz in Abs. 1 dieses Artikels festgelegt ist, präzisiert, übernimmt die drei Voraussetzungen für die Entstehung des Schadenersatzanspruchs, nämlich eine Verarbeitung personenbezogener Daten unter Verstoß gegen die Bestimmungen der DSGVO, ein der betroffenen Person entstandener Schaden und ein Kausalzusammenhang zwischen der rechtswidrigen Verarbeitung und diesem Schaden. Diese Auslegung wird auch durch die Erläuterungen in den Erwägungsgründen 75, 85 und 146 der DSGVO bestätigt.
Aufsatz
Henrik Hanßen
DSGVO-Schadensersatz: Neue Vorgaben des EuGH und aktuelle deutsche Rechtsprechung
DB 2023, 2997
Das Aktionsmodul Arbeitsrecht:
Für klare Verhältnisse sorgen: Mit den Inhalten der erstklassigen Standardwerken zum Arbeitsrecht. Topaktuell mit Fachinformationen rund um die Corona-Krise. Zahlreiche bewährte Formulare auch mit LAWLIFT bearbeiten! Neuauflage HWK Arbeitsrecht Kommentar mit Rechtsstand 1.4.2022. Hier online nutzen. 4 Wochen gratis nutzen!