Ein weiteres Urteil, das bei Betroffenen und Unternehmen unterschiedliche Reaktionen auslösen wird: Das Arbeitsgericht Duisburg sprach einem ehemaligen Bewerber Schadensersatz in Höhe von 750 Euro zu, weil das Unternehmen sein Auskunftsverlangen nach Art. 15 DSGVO verspätet beantwortet hatte. Das Unternehmen habe gegen Art. 12 Abs. 3 DSGVO verstoßen, weil es die Auskunft nicht "unverzüglich" erteilt habe. Unverzüglich sei nur ein Handeln "ohne schuldhaftes Zögern". Eine Auskunft nach mehr als einer Woche genüge nicht.
Was war geschehen?
Der Kläger, ein Bewerber, hatte sich am 14. März 2017 auf eine Stelle bei der Beklagten, einem Inkassounternehmen, beworben. Am 18. Mai 2023 verlangte er von der Beklagten Auskunft darüber, ob und welche personenbezogenen Daten über ihn gespeichert seien. Hierfür setzte er eine Frist bis zum 2. Juni 2023. Die Beklagte reagierte zunächst nicht, erst auf eine Erinnerung des Klägers vom 3. Juni erhielt er am 5. Juni die Auskunft, dass keine Daten gespeichert seien. Der Kläger verlangte daraufhin Schadensersatz wegen Verstoßes gegen Art. 12 DSGVO, da die Auskunft seiner Ansicht nach nicht unverzüglich erteilt worden sei.
Forderung: Schadensersatz wegen verspäteter Auskunft
Der Kläger bezifferte die Geldentschädigung außergerichtlich auf 1.000 Euro. Nachdem die Beklagte diese Forderung zurückgewiesen hatte, erhob der Kläger Klage beim Arbeitsgericht und verlangte eine Geldentschädigung, deren konkrete Höhe er in das Ermessen des Gerichts stellte, die jedoch nicht unter 2.000 Euro liegen sollte.
Argumente vor Gericht
Argumentation des Klägers: Der Kläger machte geltend, dass die Beklagte gegen das Unverzüglichkeitsgebot aus Artikel 12 Absatz 3 DSGVO verstoßen habe. Er argumentierte, dass die in Artikel 12 DSGVO festgelegte Frist von einem Monat eine Höchstfrist sei und nicht routinemäßig ausgeschöpft werden dürfe. Er habe einen immateriellen Schaden erlitten, da er die Kontrolle über seine Daten verloren und emotionale Unannehmlichkeiten erlitten habe; er sei bereits Opfer eines Hackerangriffs gewesen.
Argumentation der Beklagten: Die Beklagte verteidigte sich damit, dass sie die Auskunft innerhalb der Monatsfrist erteilt habe. Sie argumentierte, dass die Vielzahl der Auskunftsersuchen bei ihrer Tätigkeit als Wirtschaftsauskunftei einen erheblichen Aufwand erfordere und die Auskunftserteilung daher eine angemessene Zeit in Anspruch nehme.
Urteil: Schadensersatz ja, aber weniger
Das Gericht gab dem Kläger in der Sache Recht, sprach ihm aber „nur“ eine Geldentschädigung in Höhe von 750 Euro zu.
DSGVO-Verstoß: Auskunft nach mehr als einer Woche zu spät
Das Gericht stellte zunächst fest, dass die Beklagte gegen Art. 12 Abs. 3 DSGVO verstoßen habe, da sie dem Kläger die Auskunft nicht "unverzüglich" erteilt habe. Den Begriff "unverzüglich" legte das Gericht in Anlehnung an § 121 BGB als Handeln "ohne schuldhaftes Zögern" aus. Bei einer Auskunftserteilung erst nach mehr als einer Woche sei - so das Gericht - grundsätzlich keine Unverzüglichkeit mehr gegeben. Besondere Umstände, die eine längere Frist geboten hätten, sah das Gericht im vorliegenden Fall nicht als gegeben an.
Immaterieller Schaden durch Kontrollverlust
Nach Ansicht des Gerichts hat der Kläger auch einen immateriellen Schaden im Sinne von Art. 82 DSGVO erlitten.
Das Gericht wies zunächst darauf hin, dass der Begriff des immateriellen Schadens nach der Rechtsprechung des EuGH weit auszulegen sei und für die Anerkennung eines immateriellen Schadens nicht unbedingt eine erhebliche Beeinträchtigung erforderlich sei. Vielmehr reiche bereits eine gewisse Beeinträchtigung oder Einschränkung aus, um einen Schaden anzunehmen. Ein immaterieller Schaden sei daher nicht auf offensichtliche Fälle wie Diskriminierung oder Rufschädigung beschränkt, sondern umfasse auch Situationen, in denen eine Person in ihren Rechten eingeschränkt sei oder die Kontrolle über ihre personenbezogenen Daten verloren habe.
Im vorliegenden Fall habe der Kläger einen solchen Kontrollverlust erlitten. Durch die verspätete Auskunftserteilung der Beklagten sei er über einen längeren Zeitraum über den Status seiner personenbezogenen Daten im Unklaren gelassen worden. Diesen Zustand der Unwissenheit und den damit verbundenen Verlust der Kontrolle über die Informationen bewertete das Gericht als immateriellen Schaden.
Darüber hinaus spielten (wohl) auch die persönlichen Umstände des Klägers eine Rolle. Er hatte angegeben, aufgrund eines früheren Hackerangriffs besonders sensibel für den Datenschutz zu sein.
Begründung der Höhe der Geldentschädigung
Bei der Festlegung der Höhe der Geldentschädigung berücksichtigte das Gericht die Schwere des immateriellen Schadens und die Notwendigkeit einer effektiven und abschreckenden Sanktionierung von Verstößen gegen die DSGVO. Trotz der finanziellen Situation der Beklagten wurde die Entschädigung von 750 Euro als hinreichend abschreckend und angemessen angesehen. Das Gericht nahm an, dass für die Beklagte bereits die Verurteilung wegen eines Datenschutzverstoßes an sich eine abschreckende Wirkung habe, da sie geschäftlich mit der Erteilung von Auskünften und Personendaten zu tun hat.
Arbeitsgericht Duisburg, Urteil vom 03.11.2023, 5 Ca 877/23
Fazit und Bewertung
Das Urteil unterstreicht die Bedeutung einer zügigen und sorgfältigen Bearbeitung von Anfragen nach der Datenschutz-Grundverordnung. Es zeigt, dass bereits geringfügige Verzögerungen zu Schadensersatzansprüchen führen können.
Es ist jedoch fraglich, ob andere Gerichte die Auffassung des Arbeitsgerichts teilen werden:
Die DSGVO selbst enthält keine Definition des Begriffs "unverzüglich". Die Ansicht, dass eine Bearbeitungszeit von mehr als einer Woche grundsätzlich nicht als unverzüglich gilt, könnte von anderen Gerichten als zu streng angesehen werden. Jedenfalls eine pauschale Festlegung auf eine Wochenfrist wird den unterschiedlichen Anforderungen verschiedener Auskunftsersuchen und den organisatorischen Gegebenheiten von Unternehmen sicher nicht gerecht. In der Praxis kann die Bearbeitungszeit von Auskunftsersuchen je nach Komplexität des Falles variieren. Dies sollte im Klageverfahren dann ausführlich dargelegt und bewiesen werden.
Jedenfalls im vorliegenden Fall bestand meines Erachtens kein Grund, eine derart kurze Frist anzunehmen, da sich der Kläger erst 6 Jahre nach seiner Bewerbung mit einem Auskunftsersuchen an die Beklagte gewandt hatte. So „ernst“ scheint es ihm mit dem Datenschutz dann doch nicht gewesen zu sein. Zwischen Anfrage und Auskunftserteilung in Form der Nichtauskunft lagen aufgrund von Feiertagen nur 19 Arbeitstage.
Auch die Ansicht des Arbeitsgerichts, der bloße Kontrollverlust stelle einen immateriellen Schaden dar, dürfte nicht von allen Gerichten geteilt werden. So haben bereits verschiedene Zivilgerichte (z.B. OLG Stuttgart) entschieden, dass der bloße Kontrollverlust, Unannehmlichkeiten oder Ärger keinen Schadensersatz nach Art. 82 DSGVO rechtfertigen, sondern der Betroffene konkrete nachteilige Folgen der Datenschutzverletzung nachweisen muss.
Checkliste für Unternehmen bei Auskunftsersuchen
Fristen kennen: Machen Sie sich mit den Fristen der DSGVO vertraut. "Unverzüglich" bedeutet bei sehr strenger Auslegung "ohne schuldhaftes Zögern" und in der Regel nicht länger als eine Woche.
Schnelle Reaktion: Reagieren Sie umgehend auf Auskunftsersuchen, insbesondere wenn keine komplexen Datenverarbeitungsvorgänge erforderlich sind.
Interne Prozesse: Richten Sie effiziente Prozesse für die Bearbeitung von DSGVO-Anfragen ein.
Klare Kommunikation: Informieren Sie die Anfragenden über mögliche Verzögerungen und die Gründe dafür.