ArbG antwortet auf Auskunftsersuchen per unverschlüsselter E-Mail: Ein Problem?

Der ArbN verlangt vom ArbG die Zahlung von Schadenersatz nach Art. 82 Abs. 1 DSGVO. Von 2020 bis Anfang 2022 war er beim ArbG beschäftigt.

Mit E-Mail vom 22.12.21 begehrte er Auskunft über alle über ihn gespeicherten Daten in schriftlicher Form. Mit unverschlüsselter Antwort-E-Mail vom 23.12.21 übersandte der ArbG dem ArbN eine Übersicht der digital verarbeiteten Daten. Zudem wurden die gespeicherten personenbezogenen Daten des ArbN ohne dessen Zustimmung an den Betriebsrat weitergeleitet. Per Post erteilte der ArbG dem ArbN im Frühjahr 2022 weitere Auskunft über die erhobenen und gespeicherten Daten.

Der ArbN erhob Beschwerde über Datenschutzverletzungen beim Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit (nachfolgend TLfDI). Am 25.1.23 teilte ihm der TLfDI mit, die Auskunftserteilung mittels unverschlüsselter E-Mail verstoße gegen Art. 5 Abs. 1 lit. f DSGVO. Anschließend beantragte er beim TLfDI eine Ergänzungsprüfung wegen der Übersendung der Daten an den Betriebsrat.

In einem weiteren Verfahren vor dem Arbeitsgericht Suhl (3 Ca 63/22) begehrte er vom ArbG Auskunft nach Art. 15 DSGVO. Nachdem der ArbG ihm eine vollständige Kopie der Personalakte übermittelte, erklärten die Parteien im Berufungsverfahren vor dem LAG Thüringen (30.5.23, 1 Sa 256/22) den Auskunftsanspruch für erledigt.

Mit einer zusätzlichen Beschwerde rügte der ArbN einen weiteren Verstoß beim TLfDI. Hier monierte er die unvollständige Auskunft, die ihm im Frühjahr 2022 postalisch erteilt wurde. Der TLfDI teilte ihm mit, dass ein Verstoß gegen Art. 5 Abs. 1 lit. f DSGVO vorliege, da ihm ein Datenblatt mit personenbezogenen Daten im PDF-Format als Anhang einer unverschlüsselten E-Mail übersandt worden sei.

Der ArbN meint, ihm stehe ein Schadenersatzanspruch aus Art. 82 Abs. 1 DSGVO zu. Der ArbG habe mehrfach gegen die DSGVO verstoßen und sei daher zu einer Geldentschädigung von mindestens 10.000 EUR netto verpflichtet. Verursacht durch die Verstöße (Datenübermittlung mittels unverschlüsselter E-Mail, Weiterleitung an den Betriebsrat und unvollständige Auskunft) habe er einen immateriellen Schaden erlitten. Jedenfalls durch die unverschlüsselte und bis heute nicht vollständig erteilte Auskunft habe er einen Kontrollverlust erlitten.

Das Arbeitsgericht Suhl (20.12.23, 6 Ca 704/23, Abruf-Nr. 241012) wies die Klage zurück. Dem ArbN stehe kein Anspruch aus Art. 82 DSGVO zu. Die Voraussetzungen für einen Schadenersatzanspruch lägen nicht vor, da der ArbN jedenfalls nicht den Eintritt eines Schadens dargelegt habe.

Ein Verstoß gegen Art. 5 DSGVO wegen des Versands der unverschlüsselten E-Mail liege vor. Ob die Weiterleitung der Daten an den Betriebsrat und die monierte unvollständige Auskunftserteilung ebenfalls Verstöße gegen Regelungen der DSGVO darstellen, könne vorliegend dahinstehen. Denn der ArbN habe bereits keinen Schaden dargelegt.

Soweit der ArbN der Auffassung sei, bereits ein Verstoß gegen die DSGVO genüge für das Entstehen eines Schadenersatzanspruchs, könne dem nicht gefolgt werden. Es sei zwar zutreffend, dass die Frage, ob bereits der Datenschutzverstoß als solcher für das Entstehen eines Schadenersatzanspruchs ausreiche oder es darüber hinaus der Darlegung und des Nachweises eines konkreten (auch: immateriellen) Schadens bedürfe, in Rechtsprechung und Literatur umstritten sei. Sowohl der österreichische Oberste Gerichtshof (Vorabentscheidungsersuchen vom 12.5.21, wobei der Gerichtshof die Auffassung vertritt, es sei der Nachweis eines Schadens erforderlich) als auch das BAG (Vorabentscheidungsersuchen vom 26.8.21, 8 AZR 253/20 (A), Abruf-Nr. 225672, wobei das BAG den Nachweis eines Schadens nicht für notwendig hält) haben die hiermit zusammenhängenden Fragen dem EuGH zur Vorabentscheidung vorgelegt.

Auf das Vorabentscheidungsersuchen des österreichischen Obersten Gerichtshofes entschied der EuGH (4.5.23, C-300/21, Abruf-Nr. 236931), dass Art. 82 Abs. 1 DSGVO so auszulegen sei, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreiche, um einen Schadenersatzanspruch zu begründen. Zum einen gehe aus dem Wortlaut klar hervor, dass das Vorliegen eines „Schadens“ eine der Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadenersatzanspruch darstelle. Dies gelte ebenso für das Vorliegen eines Verstoßes gegen die DSGVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ seien.

Mit den Ausführungen des EuGH werde die Auffassung der Kammer bestätigt, dass für einen Anspruch auf Schadenersatz nach Art. 82 DSGVO neben einem Verstoß auch ein Schaden sowie ein Kausalzusammenhang zwischen Verstoß und Schaden erforderlich sei. Der ArbN müsse einen etwaigen immateriellen Schaden darlegen und ggf. nachweisen. Es sei auch der Sache nach erforderlich, einen tatsächlich erlittenen Schaden nachzuweisen. So könne ein vom Verordnungsgeber nicht gewolltes Ausufern von Schadenersatzforderungen in allen Fällen eines – tatsächlich für den Betroffenen folgenlosen – Datenschutzverstoßes vermieden werden (OLG Frankfurt a. M. 2.3.22, 13 U 206/20).

Der ArbN habe nicht ausreichend dargelegt, dass ein konkreter immaterieller Schaden vorliegt. Im vorliegenden Fall sei nicht ersichtlich, inwieweit der ArbN einen Kontrollverlust erlitten haben wolle. Es sei nicht ersichtlich, dass er daran gehindert worden sei, die ihn betreffenden personenbezogenen Daten zu kontrollieren. Darüber hinaus sei nach Auffassung der Kammer ein bloßer, abstrakter Kontrollverlust auch kein konkreter immaterieller Schaden.

Ein Anspruch des ArbN gegen den ArbG auf Zahlung eines angemessenen Schmerzensgelds unter dem Gesichtspunkt der Verletzung seines allgemeinen Persönlichkeitsrechts § 823 Abs. 1, § 253 BGB in Verbindung mit Art. 1 Abs. 1, Art. 2 Abs. 1 GG bestehe ebenfalls nicht. Soweit er eine Entschädigung begehre und argumentiere, dass alle immateriellen Schäden ersatzfähig seien, welche in der Regel aus der Verletzung des allgemeinen Persönlichkeitsrechts heraus resultieren, kämen die genannten Normen auch als Anspruchsgrundlage in Betracht.

Das allgemeine Persönlichkeitsrecht diene in erster Linie dem Schutz ideeller Interessen, insbesondere dem Schutz des Wert- und Achtungsanspruchs der Persönlichkeit. Dieser Schutz werde dadurch verwirklicht, dass bei einer schweren Persönlichkeitsrechtsverletzung – neben negatorischen Schutzansprüchen und Ansprüchen auf Ersatz des materiellen Schadens – auch Ansprüche in Betracht kommen, die auf den Ausgleich immaterieller Beeinträchtigungen durch Zahlung einer Geldentschädigung gerichtet seien. Bei schwerwiegenden Verletzungen des allgemeinen Persönlichkeitsrechts bestehe nach ständiger, mittlerweile gewohnheitsrechtlich anerkannter höchstrichterlicher, Rechtsprechung ein Anspruch auf Ausgleich der dadurch verursachten immateriellen Schäden, der unmittelbar aus dem Schutzauftrag der Art. 1 Abs. 1, 2 Abs. 1 GG abgeleitet werde (OLG Düsseldorf 16.2.21, 16 U 269/20). Ein derartiger Anspruch scheitere vorliegend bereits daran, dass keine schwerwiegende Verletzung des allgemeinen Persönlichkeitsrechts dargetan worden sei.

Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen die Vorschrift der DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht der DSGVO entsprechende Verarbeitung verursacht wurde, Art. 82 Abs. 2 S. 1 DSGVO. Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist, Art. 82 Abs. 3 DSGVO. Interessant für die Rechtsvertreter: Der Wert des Streitgegenstands wurde auf 10.000 EUR festgesetzt.