Für Viele stellt es einen Alptraum dar: Wenn empfindliche persönliche Informationen dem Arbeitgeber gegenüber offenbart werden. Nach der Datenschutzgrundverordnung ("DSGVO") können derartige Offenbarungsakte mit Schadensersatzansprüchen sanktioniert werden. Mit einer solchen Konstellation beschäftigte sich das Landgericht Köln mit seinem Urteil vom 28.09.2022.
Der Kläger ist als Berater für die Vermittlung von Bankprodukten und den Verkauf von Fahrzeugen bei seinem Arbeitgeber, einem Autohaus das in Verbindung zur Volkswagen AG steht, beschäftigt. Im April 2021 wandte sich der Kläger an ein anderes Autohaus, um einen Audi Q3 zu erwerben; die Kommunikation zwischen dem Autohaus und dem Kläger sollte über das geschäftliche E-Mail-Konto des Klägers abgewickelt werden. Überdies sollte der Erwerb über eine Bank finanziert werden. Im Rahmen des Verkaufprozesses kam zu Unstimmigkeiten zwischen einem Verkäufer des Autohauses und dem späteren Kläger wegen der Qualität des Audis, allerdings wurde der Audi trotzdem an den Kläger übergeben. Im Juni 2021 wandte sich die finanzierende Bank an das verkaufende Autohaus, weil ein Nachweis über eine Selbstauskunft des Klägers über "sonstige Einkünfte in Höhe von 2.000 Euro monatlich" fehlen würde. Daher könne die Bank bis zur Klärung dieses Umstandes das Geld für den Ankauf des Audis nicht ausschütten.
Der Verkäufer des Audis trug diese Information an den Kläger weiter. Nachdem sich dieser einige Wochen nicht darauf meldete, richtete sich der Verkäufer direkt per E-Mail an den Arbeitgeber und klärte ihn über die Situation auf, dass der Kläger keinen Nachweis über seine Nebeneinkünfte erbracht hätte, die aber notwendig seien, damit die Bank an das Autohaus den Kaufpreis übermittle. Der Arbeitgeber solle die Situation mit dem Kläger klären.
Der Kläger ist der Auffassung, dass diese Vorgehensweise einem Schadensersatzanspruch in Höhe von 100.000 Euro gegen das verkaufende Autohaus auslöse und erhob entsprechend Klage. Er begründete die Klage damit, dass das Autohaus personenbezogene Daten weitergegeben habe und sich dies weitreichende Auswirkungen habe: Sein Arbeitsverhältnis sei zerrüttet, weil er ein Produkt bei der Konkurrenz erwarb und dies habe wiederum einen Effekt auf seine Psyche in Gestalt einer Depression.
Schon gewusst? Anspruch auf Einsicht in Blitzer-Messdaten
Die DSGVO sieht vor, dass jeder, der gegen die DSGVO verstößt, einen aus diesem Verstoß eventuell resultierenden Schaden zu ersetzen hat:
Artikel 82 DSGVO Haftung und Recht auf Schadenersatz
(1) Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.
(2) Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. [...]
(3) Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.(4) [...]
Damit besteht ein weitreichender Schadensersatzanspruch. Allerdings kann sich ein eventuell Schadensersatzpflichtiger nach Artikel 82 Abs. 3 DSGVO exkulpieren (also entschuldigen). Zudem muss der DSGVO Verstoß, das gibt die Vorschrift nicht ausdrücklich her, gravierend sein, damit die Schadensersatzpflicht ausgelöst werden muss.
Ferner kann prinzipiell gegen jede Bestimmung aus der DSGVO verstoßen werden, die eine Verhaltenspflicht mit Daten stipuliert, jedoch wirkt der Schadensersatzanspruch besonders mit Verstößen gegen Artikel 6 DSGVO zusammen. Dieser regelt, wann eine Datenverarbeitung von personenbezogenen Daten rechtmäßig ist. Personenbezogen sind Daten, wenn sie Rückschlüsse auf eine Person zulassen (Art. 4 Nr. 1 DSGVO). Eine Verarbeitung von ihnen ist rechtmäßig, wenn beispielsweise:
Schon gewusst? Informationen rund um allgemeine Geschäftsbedingungen
Das Landgericht Köln entschied, dass die Voraussetzungen des Schadensersatzanspruches erfüllt seien. Es liege ein ungerechtfertigter Verstoß gegen Artikel 6 DSGVO vor, insbesondere weil die Datenübermittlung an den Arbeitgeber nicht zur Erfüllung des Vertrages erforderlich gewesen sei: "Es ist nicht im Ansatz zu erkennen, warum der Gläubiger eines Schuldverhältnisses sich veranlasst sehen dürfte, sich an den Vorgesetzten seines Schuldners zu wenden um diesen dazu zu bringen, auf den Schuldner einzuwirken."
Schon gewusst? Alles zum Thema Schmerzensgeld!
Das Gericht führte weiterhin aus, dass auch ein Schaden für den Kläger entstanden sei. Dieser liege darin, dass für den Kläger wegen des Verlustes der Kontrolle über seine Daten ein "Gefühl der Scham" eingetreten sei und außerdem das Gefühl entstehen könne, er müsse sich gegenüber seinem Arbeitgeber für den Autokauf bei der Konkurrenz rechtfertigten. Es handle "sich bei den Vertragsinformationen zwar nicht um hochsensible und höchstpersönliche Daten, der Kläger hatte jedoch ein offensichtliches Geheimhaltungsinteresse."
Das Gericht betont zudem, dass es ausreicht, wenn einer anderen Person (in diesem Falle der Arbeitgeber) die Daten zugespielt werden.
Schon gewusst? Geld zurück für schlechtes Tattoo
Der vom Kläger verlangte Schadensumfang sei aber nach Ansicht des Gerichts zu hoch bemessen. Das liege vor allem daran, dass das beklagte Autohaus sich zeitnah entschuldigt habe und eine Unterlassungserklärung abgegeben habe, weitere Daten herauszugeben. Zudem müsse der Schaden tatsächlich erlitten worden sein - einen Strafschadensersatz sehe die DSGVO nicht vor. Daher sei der Schaden auf 4.000 Euro und nicht wie vom Kläger gewünscht auf 100.000 Euro festzulegen.
Schon gewusst? Warmmiete und Betriebskostenabrechnungen
Das Urteil zeigt, dass Datenschutzverstöße über die in der Presse kursierenden hochdotierten Sanktionen hinaus Schadensersatzansprüche auslösen können. Zugleich verdeutlicht die Entscheidung aber auch, wie schwierig die genaue Festlegung der Schadenshöhe sein kann, weil der Schaden im Sinne der DSGVO tatsächlich "erlitten" sein muss.
Schon gewusst? Die Kanzlei Schumacher steht Ihnen mit kompetenter Steuerberatung und Rechtsanwälten in Essen zur Seite.
Die DSGVO beschäftigt Gerichte häufig - vor allem der datenschutzrechtliche Auskunftsanspruch wird häufig zum Gegenstand richterlicher Entscheidungen; hierzu unsere Beiträge:
- DSGVO und der Auskunftsanspruch
- Kein Auskunftsanspruch für Insolvenzverwalter
Bei weiteren Fragen zum Thema IT- und Datenschutzrecht, stehen wir Ihnen gerne auch persönlich zur Seite. Terminvereinbarungen können Sie während unserer Bürozeiten unter der Telefonnummer 0201-24030 oder per Email unter info@schumacherlaw.com vornehmen.
Ihre Kanzlei Schumacher & Partner
Rechtsanwälte für IT- und Datenschutzrecht in Essen