Urteil: 1.000 Euro Schadensersatz für Namen auf der Unternehmensseite

Das Arbeitsgericht Neuruppin (Az. 2 Ca 554/21) hat entscheiden, dass eine ehemalige Mitarbeiterin einen datenschutzrechtlichen Schadensersatzanspruch in Höhe von 1.000 Euro hat, wenn der Name weiterhin auf der Website des Unternehmens genannt wird.

Der Fall

Die Klägerin war in einer Firma angestellt, die sich auf den Bau und die Reinigung von Teichen spezialisiert hat. Zwar hatte sie einen akademischen Abschluss in Biologie, arbeitete jedoch in der Firma ausschließlich im Bereich des Büromanagements, als Bürokraft. Auf der Website des Arbeitsgebers wurde hingegen mit ihr als Fachkraft geworben. Es wurde wahrheitswidrig behauptet, dass sie als Biologin Wasseranalysen und Analyseprotokolle erstellen, diese mit Handlungsempfehlungen und Stellungnahmen für die Kunden aufarbeiten und die Wasserwerte regelmäßig kontrollieren würde.

Nach Beendigung des Arbeitsverhältnisses verlangte sie die Löschung der auf der Homepage über sie gemachten Angaben. Über acht Monate später war der streitgegenständliche Eintrag immer noch im Internet zu finden. Sie forderte den ehemaligen Arbeitgeber erneut auf, ihre personenbezogenen Daten zu löschen und eine Geldsummenentschädigung von 8 000 Euro zu zahlen. Das Unternehmen gab eine Unterlassungserklärung ab und zahlte einen geringeren Betrag als gefordert (150 Euro). Zur Begründung führte das Unternehmen an, dass die Löschung auf der strittigen Website bereits vorgenommen sei, nun eine ältere Version der Website aufgerufen wurde, auf der die personenbezogenen Hinweise noch nicht entfernt worden waren. Weiterhin betonte die Firma, dass es keine Vereinbarung über die Entfernung des Namens gegeben habe, lediglich eine, die sich auf die personenbezogenen Hinweise beziehe. Es sei kein Fall der Erwägungsgründe 75 und 85 zu Art. 82 DSGVO betroffen. Ohnehin wurde keine Beeinträchtigung der Persönlichkeitsrechte vorgetragen, es sei der Frau also kein Nachteil entstanden.

Die ehemalige Mitarbeiterin klagte daraufhin auf Grundlage von Art. 82 DSGVO auf Schadensersatz.

Der Schadenersatzersatzanspruch aus Art. 82 DSGVO

Sobald ein Arbeitsverhältnis beendet wird, ist der Arbeitgeber verpflichtet, sämtliche personenbezogenen Daten des früheren Arbeitnehmers auf seiner Homepage zu entfernen. Dies ergibt sich aus einer allgemeinen Nebenpflicht aus dem beendeten Arbeitsverhältnis i.S.v. § 241 Abs. 2 BGB, aber auch aus Datenschutzrecht.

Art. 82 DSGVO ist eine eigenständige, unmittelbar geltende, deliktsrechtliche Anspruchsgrundlage, die nach den Regeln des Gemeinschaftsrechts auszulegen ist. Es handelt sich dabei um einen Schadensersatzanspruch des Betroffenen gegenüber dem Verantwortlichen sowie Auftragsverarbeiter, der dann geltend gemacht werden kann, wenn datenschutzrechtliche Pflichten verletzt und dadurch materielle und immaterielle Schäden entstanden sind. Im Rahmen der Pflichtverletzung wird eine Differenzierung zwischen Verantwortlichem und Auftragsverarbeiter vorgenommen, denn die Haftung des Verantwortlichen im Sinne der Norm ist viel weiter als die des Auftragsverarbeiters.

Nach Art. 82 Abs. 3 DSGVO kann sich der Verantwortliche oder der Auftragsverarbeiter von der Haftung befreien, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. Da der Geschädigte selten einen umfassenden Einblick in die Datenverarbeitungsvorgänge erhält und somit schwer in der Lage ist, entsprechenden Beweis zu führen, wird eine Beweiserleichterung in Form einer Beweislastumkehr vorgenommen. Das heißt: Der Betroffene muss lediglich beweisen, dass der Anspruchsgegner an dem datenschutzrechtlichen Verstoß beteiligt war, dadurch ein Schaden entstanden ist und, dass die konkrete Verarbeitung der Daten dazu geeignet war, den Schaden hervorzurufen. Durch die Verletzungshandlung, die sich nicht nur unmittelbar auf die DSGVO zu beziehen braucht, sondern auch auf delegierte Rechtsakte, Durchführungsakte sowie Rechtsvorschriften der Mitgliedstaaten zur Präzisierung der Verordnung, muss ein Schaden bei dem Betroffenen entstanden sein.

Vor dem Inkrafttreten der DSGVO war ein Ersatzanspruch auf immaterielle Schäden gegen private Datenverarbeiter nur unter den Voraussetzungen von § 823 Abs. 1 BGB i.V.m. Art. 1 Abs. 1, 2 Abs. 2 GG (das Allgemeine Persönlichkeitsrecht) möglich. Nun ist in Art. 82 Abs. 1 DSGVO die Ersatzfähigkeit von immateriellen und materiellen Schäden gleichgestellt.

Der materielle Schaden lässt sich meist leicht beweisen und dessen Höhe klar beziffern. Schwieriger hingegen wird es bei den immateriellen Schäden.

Urteil des Gerichts: Immaterieller Schaden muss nicht dargelegt werden

Obwohl die Klägeri keine erhebliche Beeinträchtigung in ihren Persönlichkeitsrechten vorgetragen hatte, sprach das Gericht ihr einen immateriellen Schadensersatzanspruch auf Grundlage des Art. 82 DSGVO in Höhe von 1.000 Euro abzüglich der bereits gezahlten Summe zu (Urteil vom 14.12.2021, Az. 2 Ca 554/21 – Download des Urteils unten). Es begründete seine Entscheidung damit, dass die Norm eine Warn- und Abschreckfunktion beinhalte. Die bloße Verletzung der Bestimmungen des DSGVO durch den Beklagten schien dem Gericht ausreichend.

Damit setzt sich das AG Neuruppin von einigen vergangenen Urteilen ab, die zögerlicher mit derartigen Ansprüchen umgegangen sind. Meist wurde aus einem Verstoß allein noch kein immaterieller Schaden begründet, sondern eine gewisse Erheblichkeit der Persönlichkeitsverletzung verlangt und „Bagatellschäden“ nicht ersetzt, so wie innerhalb des Schadensersatzes des § 823 Abs.1 BGB i.V.m. Art. 1 Abs. 1, 2 Abs. 2 GG (OLG Dresden 11.6.2019 – 4 U 760/19; LG Köln 7.10.2020 – 28 O 71/20).

Was das Urteil des AG Neuruppin jedoch mit dem vorangegangenen gemein hat, ist, dass Fragen zur Bemessung der Höhe des Schadensersatzes des Art. 82 DSGVO und der „Erheblichkeitschwelle“ von immateriellem Schaden nach eigenem Gutdünken in den Art. 82 DSGVO interpretiert wurden und versucht wurde, diese mit den jeweiligen Erwägungsgründen zu erklären.

Diese Praxis der nationalen Gerichte, eigenständig offene Fragen und Unklarheiten des Art. 82 DSGVO zu beantworten, ist eine unzulässige Auslegung von Unionsrecht.

Das Bundesverfassungsgericht hatte bereits mit seinem Beschluss vom 14. 1. 2021 (Az. 1 BvR 28531/19) ­ein Urteil des Amtsgerichts Goslar vom 27. September 2019 (Az. 28 C 7/19) und damit auch den Trend des Alleingangs der Gerichte bezüglich der selbstständigen Auslegung von Art. 82 DSGVO aufgehoben. Es verlangte, dass ein letztinstanzlich entscheidendes Gericht offene Fragen in Zusammenhang mit Art. 82 DSGVO dem EuGH vorlegen müsse.

Vorabentscheidungsersuchen durch die Gerichte an den EuGH

In den nächsten Monaten wird die uneinheitliche Beurteilung des datenschutzrechtlichen immateriellen Schadensersatzes durch die nationalen Gerichte beendet werden. Das österreichische OGH hat am 15.04.2021 im Wege eines Vorabentscheidungsersuchens (Art. 267 AEUV) (Az. 6Ob35/21x) dem Europäischen Gerichtshof (EuGH) wesentliche Fragen zur Auslegung von Art. 82 DSGVO vorgelegt. Darunter unter anderem die Frage bezüglich des Schadenseintritts: Muss ein nachweisbarer Schaden entstanden sein oder genügt bereits die Verletzung von Bestimmungen der DSGVO als solche für die Zuerkennung von Schadenersatz aus? Und setzt ein immaterieller Schaden voraus, dass die Rechtsverletzung Folgen von zumindest einigem Gewicht hat, die über den durch die Rechtsverletzung hervorgerufenen Ärger hinausgehen?

Und auch Fragen zur Ermittlung des zu ersetzenden Schadens werden bald beantwortet werden. Das BAG (Az. 8 AZR 253/20 (A)) hat am 26.8.2021 den EuGH um Vorabentscheidung über die folgenden Fragen ersucht: Hat Art. 82 Abs. 1 DSGVO spezial- bzw. generalpräventiven Charakter und muss dies bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DSGVO zulasten des Verantwortlichen bzw. Auftragsverarbeiters berücksichtigt werden? Kommt es bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DSGVO auf den Grad des Verschuldens des Verantwortlichen bzw. Auftragsverarbeiters an? Insbesondere, darf ein nicht vorliegendes oder geringes Verschulden auf Seiten des Verantwortlichen bzw. Auftragsverarbeiters zu dessen Gunsten berücksichtigt werden?

Fazit

Es bleiben viele Fragen bezüglich der Auslegung des Art. 82 DSGVO offen, die sich die deutschen Gerichte in der Vergangenheit meist Weise selbst beantwortet haben, so auch das AG Neuruppin.

Das Spannungsverhältnis zwischen mitunter überzogenen Zahlungs- und mißbräuchlichen Auskunftsansprüchen gegen Unternehmen und den Rechten der Personen bleibt bestehen.

Gestritten wird weiter über die Frage, ob ein Zahlungsanspruch nach DSGVO auch ohne konkrete Folgen für den Betroffenen immer einen Zahlungsanspruch auslöst. In Zeiten von unbefugter Erstellung von Verhaltensprofilen, Datenhandel und rechtswidrigen Sperrungen von Profilen in sozialen Netzwerken ist der immaterielle Schaden und die Frage inwieweit etwas erheblich ist oder nicht meist schwer zu beziffern. Die Erwägungsgründe, Ziel und Zweck des Art. 82 DSGVO sprechen gegen ein ungeschriebenes Tatbestandsmerkmal der Erheblichkeit. Die Entscheidung des EuGH bleibt abzuwarten und lässt auf eine schnelle Klärung hoffen.

Das Urteil des Arbeitsgericht Neuruppin, Az. 2 Ca 554/21, kann hier runtergeladen werden.

Schreibe einen Kommentar

Pflichtfelder sind mit * markiert.


Das Verfassen eines Kommentars ist ohne Angabe personenbezogener Daten möglich. Mehr Informationen in der Datenschutzerklärung.