9. April 2024
Arbeitsrecht

Schadensersatz wegen DSGVO-Verstoß – was droht Arbeitgebern?

Bei DSGVO-Verstößen können Mitarbeiter immaterielle Schadensersatzansprüche gegen ihren Arbeitgeber geltend machen. Wie hoch ist das Risiko?

Arbeitgeber* verarbeiten eine Vielzahl personenbezogener Daten ihrer Mitarbeiter. Ohne diese Datenverarbeitung kann ein Arbeitsverhältnis praktisch nicht funktionieren.

Allerdings unterliegt jede dieser Datenverarbeitungen datenschutzrechtlichen Vorgaben, welche durch den Arbeitgeber zwingend zu beachten sind. Z.B. dürfen personenbezogene Daten mit gewisser Sensibilität (z.B. Feedbackbögen, Bewerbungsunterlagen, Arbeitszeugnisse, Bonusbeträge) nur Mitarbeitern zugänglich gemacht werden, die ein berechtigtes Interesse an der Kenntnisnahme haben. Zum Teil liegen solche Dokumente auf ungeschützten öffentlichen Laufwerken oder sie werden konzernunternehmensübergreifend großen Empfängergruppen zugänglich gemacht. Unternehmen, die solche Zustände aufrechterhalten, verletzen die Datenschutzrechte der Betroffenen.

Immaterieller Schadensersatz (Art. 82 DSGVO)

Bislang fürchten Unternehmen vor allem Bußgelder der Datenschutzbehörden (Art. 83 DSGVO). In der Praxis zeigen diese häufig Milde: Beim ersten Verstoß belassen es Behörden häufig bei einer Ermahnung und fordern Besserung für die Zukunft. Erhebungen von CMS zeigen, dass datenschutzrechtliche Bußgelder in Deutschland zwar immer häufiger verhängt werden, aber bislang nicht der Regelfall sind.

Doch auch die Mitarbeiter selbst können gegen ihren Arbeitgeber aktiv werden: Nach Art. 82 DSGVO haben sie im Falle der Verletzung ihrer personenbezogenen Daten Anspruch auf Schadensersatz. Das Besondere: Auch immaterielle Schäden sind ersatzfähig. Dies spricht sich derzeit herum: Immer häufiger machen Mitarbeiter immaterielle Schadensersatzansprüche gegen ihre Arbeitgeber wegen tatsächlicher oder vermeintlicher Datenschutzverstöße geltend.

Frage nach immateriellen Schadensersatzansprüchen bei DSGVO-Verstößen wiederholt dem EuGH vorgelegt

Mittlerweile hat der EuGH eine Reihe richtungsweisende Entscheidungen getroffen, mit denen die Anforderungen an einen immateriellen Schadensersatzanspruch und die Kriterien dessen Bemessung näher konturiert wurden (Urteil v. 25. Januar 2024 – C‑687/21; Urteil v. 21. Dezember 2023 – C-667/21;  Urteil v. 14. Dezember 2023 – C-456/22; Urt. 14. Dezember 2023 – C‑340/21; Urteil v. 4. Mai 2023 – C-300/21; eingehend hierzu unser Blog). Der EuGH hat drei zentrale Grundsätze aufgestellt:

  1. Allein ein Verstoß gegen die DSGVO begründet noch keinen immateriellen Schadensersatzanspruch. Der Arbeitnehmer muss gesondert darlegen und ggf. nachweisen, dass ihm ein immaterieller Schaden entstanden ist, der durch den Verstoß gegen die DSGVO verursacht wurde.
  • Die Anforderungen an die Darlegung eines immateriellen Schadens sind allerdings gering. Eine Erheblichkeitsschwelle oder Bagatellgrenze gibt es nicht. Eine objektive Beeinträchtigung wird ebenfalls nicht erlangt. Allein die begründete Befürchtung, dass personenbezogene Daten aufgrund eines Verstoßes missbräuchlich von Dritten verwendet werden könnten, kann einen immateriellen Schaden darstellen.

Das bedeutet: Hat der Arbeitgeber personenbezogene Daten mit gewisser Sensibilität auf unzulässige Weise offengelegt und lässt sich deshalb (wie sehr oft) nicht ausschließen, dass Dritte von diesen ggf. Kenntnis genommen und sie missbraucht haben, steht dem Arbeitnehmer ein immaterieller Schadensersatzanspruch zu.

  • Der Schadensersatz erfolgt in Form einer finanziellen Entschädigung. Diese hat allerdings keine Abschreckungs- oder Straffunktion, sondern soll lediglich so bemessen werden, dass sie als angemessene Kompensation des entstandenen Schadens erscheint und diesen ausgleicht. Das Gewicht des Schadens bestimmt die Höhe der Entschädigungszahlung.

Dies bedeutet: Solange der immaterielle Schaden des Arbeitnehmers lediglich in unguten Gefühlen und einer gewissen Verunsicherung besteht, sollen auch lediglich überschaubare Schadensersatzsummen zugesprochen werden. Die Erhebungen von CMS zeigen, dass Arbeitsgerichte in solchen Fällen bislang überwiegend drei- bis vierstellige Schadensersatzbeträge zusprechen. Höhere Schadensersatzbeträge sind bislang die Ausnahme.

Die Rechtsprechung des EuGH ist noch vergleichsweise neu. Welchen Einfluss diese auf arbeitsrechtliche Streitigkeiten und die künftige arbeitsgerichtliche Rechtsprechung haben wird, ist abzuwarten. 

Wie hoch ist derzeit das Risiko?

Auf Verstößen gegen die DSGVO können regelmäßig immaterielle Schadensersatzansprüche gestützt werden. Allein die subjektive Befürchtung, dass wegen einer unzulässigen Datenverarbeitung ggf. Dritte auf die Daten Zugriff genommen und diese missbraucht haben, kann einen Schadensersatzanspruch begründen. Mittlerweile ist geklärt, dass Arbeitnehmer den DSGVO-Verstoß mit dieser Begründung vor Gericht tragen und eine Geldentschädigung einfordern können.

Das Haftungsrisiko erscheint für Unternehmen dennoch beherrschbar. Die Höhe der Schadensersatzsummen, die bislang zugesprochen wurden, können im Regelfall wirtschaftlich verkraftet werden. Kritisch sind allerdings folgende Fälle:

  • Datenschutzverletzungen, die der Karriere oder dem Ruf eines Mitarbeiters empfindlichen Schadens zufügen, z.B. weil er gegenüber der Öffentlichkeit bloßgestellt wird.
  • Datenschutzverstöße, die eine große Zahl von Mitarbeitern betreffen, sofern Initiatoren im Unternehmen vorhanden sind, die Massenklagen anstoßen.
  • Datenschutzverstöße, die vor allem deshalb vor Gericht getragen werden, um den Arbeitgeber bloßzustellen, ggf. auch, um eine weitergehende Beschwerde gegenüber den Datenschutzbehörden vorzubereiten.

Durch den EuGH ungeklärt ist die derzeit sehr praxisrelevante Frage, ob ein immaterieller Schaden allein darin bestehen kann, dass der Arbeitgeber einen Auskunftsantrag nach Art. 15 DSGVO nicht, verspätet oder nur unvollständig erfüllt (dafür LAG Baden-Württemberg, Urteil v. 28. Juli 2023 – 9 Sa 73/21; LAG Hessen, Urteil v. 27. Januar 2023 – 14 Sa 359/22; LAG Berlin-Brandenburg, Urteil v. 18. November 2021 – 10 Sa 443/21; LAG Niedersachsen, Urteil v. 22. Oktober 2021 – 16 Sa 761/20; ArbG Duisburg, Urteil v. 3. November 2023 – 5 Ca 877/23; ArbG Oldenburg, Urteil v. 9. Februar 2023 – 3 Ca 150/21; ablehnend: LAG Baden-Württemberg, Urteil v. 27. Juli 2023 – 3 Sa 33/22; LAG Nürnberg, Urteil v. 25. Januar 2023 – 4 Sa 201/22; LAG, Urteil v. 2. Dezember 2022 – 19 Sa 756/22). Insoweit ist die weitere Rechtsprechung des EuGH abzuwarten. Anträge nach Art. 15 DSGVO sollten derzeit in der Regel ernst genommen werden, da sich nicht selten Schadensersatzklagen anschließen, wenn der Arbeitgeber nicht reagiert.

Gesamtgesellschaftliches Bewusstsein für Datenschutz wächst

Datenschutzrechtliche Haftungsrisiken steigen Jahr für Jahr kontinuierlich, je mehr die Datenschutzaufsichtsbehörden ihre personellen Kapazitäten ausbauen und je stärker das gesamtgesellschaftliche Bewusstsein für die Bedeutung des Datenschutzes wächst.

Die bestehenden Risiken sind zwar weiterhin beherrschbar. Arbeitgebern ist jedoch deutlich zu empfehlen, eine funktionierende Datenschutz-Organisation zu implementieren und den Schutz sensibler Arbeitnehmerdaten umfassend zu gewährleisten. Funktionierende Prozesse sind hier nicht nur eine Frage der rechtlichen Compliance, sondern zeigen den Mitarbeitern, dass sie für einen guten und professionell organisierten Arbeitgeber tätig sind, dem sie ihre Daten anvertrauen können.

* Gemeint sind Personen jeder Geschlechtsidentität. Um der leichteren Lesbarkeit willen wird im Beitrag die grammatikalisch männliche Form verwendet.

Tags: Arbeitgeber DSGVO Schadensersatz