Immer wieder stehen Schadensersatzansprüche nach der DSGVO im Fokus von Rechtsprechung und Praxis. Gerade in der Schnittmenge zwischen Datenschutzrecht und Arbeitsrecht ist in den vergangenen Monaten eine bunte Spielwiese an Optionen entstanden, um die „Gegenseite“ zu ärgern – und natürlich auch, um berechtigten Forderungen nachzugehen.
Als Ausgangspunkt ist hier besonders interessant der Anspruch auf Datenauskunft nach Art. 15 DSGVO. Demnach müssen vom Verantwortlichen (häufig der Arbeitgeber) auf Verlangen gewisse Informationen über Daten mitgeteilt werden. Sobald ein Verstoß gegen diese Norm vorliegt - meist bei unrichtiger oder verspäteter Auskunft - werden in der Praxis Schadensersatzansprüche nach Art. 82 DSGVO geltend gemacht.
Immaterieller Schaden umfasst?
Heftig umstritten ist dabei, ob tatsächlich ein materieller Schaden bestehen muss oder ob auch ein immaterieller Schaden ausreichen kann, der schon durch die bloße Verletzung der DSGVO ausgelöst würde.
Mit dieser spannenden wie auch zentralen Frage beschäftigt sich nun der Europäische Gerichtshof (C-300/21). Je nach Inhalt der Entscheidung könnte dies die aktuelle Praxis erheblich beeinflussen. Zuletzt äußerte sich der Generalanwalt zu den offenen Rechtsfragen.
Stellungnahme des Generalanwalts: Nein.
Der Generalanwalt stellte zunächst klar, dass Schadensersatz im Sinne des Art. 82 DSGVO denknotwendig das Vorliegen eines Schadens voraussetze. Ohne Schaden läge kein Schadensersatz vor, sondern es handele sich vielmehr um eine Sanktion. Eine Sanktion sehe aber Art. 82 DSGVO dem Wortlaut nach nicht vor. Auch die Systematik der DSGVO spreche dagegen, denn an anderer Stelle existierten durchaus Vorschriften mit Sanktionscharakter. Diesen habe man hier bewusst nicht vorgesehen.
Folge der Bewertung des Generalanwalts wäre, dass in jedem Einzelfall ganz konkret das Vorliegen eines Schadens jeweils nachgewiesen werden müsste.
Bagatellgrenze?
Im selben Verfahren gegenständig ist die Frage, ob der Schaden einen bestimmten Schweregrad erfordere, es also eine Untergrenze für die Reaktion der betroffenen Person gebe, unterhalb derer kein Ersatz geleistet werden müsse.
Mit Bezug auf Art. 82 DSGVO positionierte sich der Generalanwalt so, dass Art. 82 Abs. 1 DSGVO nicht das geeignete Instrument ist, um gegen Verstöße bei der Verarbeitung personenbezogener Daten vorzugehen, wenn diese beim Betroffenen lediglich Zorn und Ärger verursachten. Zwar sei die Grenze zwischen nicht ersatzfähigem „Ärger“ und echtem, ersatzfähigem Schaden unscharf. Hier obliege es aber den nationalen Gesetzgebern, eine Abgrenzung zu schaffen.
Ausblick: Weitrechende Änderungen der Praxis sind nicht unwahrscheinlich.
Es ist entscheidend, wie sich der EUGH positionieren wird. Folgt er – wie häufig – den Ausführungen des Generalanwalts, könnte dies weitreichende Änderungen der gegenwärtigen Praxis nach sich ziehen, gerade im Arbeitsrecht. Schadensersatzansprüche wegen unzureichender oder verspäteter Beantwortung von Auskunftsverlangen haben hier eine hohe praktische Bedeutung. Ein ersatzfähiger Schaden, der über „bloßen Ärger“ hinausgeht, wird nur in wenigen Fällen vorliegen – müsste aber in jedem Einzelfall belegt werden.
Markus Söding ist im Arbeitsrechtsressort unserer Sozietät tätig. Er berät national sowie international tätige Unternehmen in allen Fragestellung des individuellen und kollektiven Arbeitsrechts, inklusive angrenzender Rechtsgebiete, wie denen des Sozialrechts.