Rechtsanwalt & Fachanwalt für gewerblichen Rechtsschutz
T (+49) 040 / 7344 086-0
Rechtsanwältin, Fachanwältin für Informationstechnologierecht & Zertifizierte Datenschutzbeauftragte (TÜV)
T (+49) 040 / 7344 086-0
Fachanwalt für Urheber- und Medienrecht und Spezialist für Arbeitsrecht, Zertifizierter Datenschutzbeauftragter (TÜV)
T (+49) 040 / 7344 086-0
Blog News
Im folgenden präsentieren wir Ihnen neue Entscheidungen im Datenschutzrecht.
Erteilt ein Arbeitgeber verspätet oder unvollständige Auskünfte nach Art. 15 DSGVO, so kann der Mitarbeiter einen Schadensersatz iHv. 1.000,- EUR nach Art. 82 DSGVO geltend machen (LAG Berlin-Brandenburg, Urt. v. 18.11.2021 - Az.: 10 Sa 443/21).
Nach Art. 15 DSGVO muss der Verantwortliche der betroffenen Person eine Bestätigung erteilen, wenn personenbezogene Daten verarbeitet werden. Der Betroffene hat daraufhin ein Auskunftsrecht hinsichtlich der verarbeiteten Daten. Art. 82 DSGVO besagt, dass die Betroffenen einen Schadensersatzanspruch gegen den Verantwortlichen haben, wenn ein Verstoß gegen die DSGVO vorliegt. Im vorliegenden Fall machte der Arbeitnehmer gegen den Arbeitgeber sein Recht aus Art. 15 DSGVO geltend. Letzterer ließ sich Zeit und und kam seiner Verpflichtung nur verspätet bzw. unvollständig nach, sodass der Arbeitnehmer Schadensersatz verlangte.
Das Landesarbeitsgericht (LAG) Berlin-Brandenburg entschied für den Arbeitnehmer. Es bestünde ein immaterieller Schadensersatzanspruch bei Verstößen gegen die DSGVO, egal ob eine Erheblichkeitsschwelle erreicht wird, oder nicht. Das LAG Berlin bezog sich hier auf die Entscheidung des LAG Niedersachsen vom LAG Niedersachsen vom 22. Oktober 2021 – 16 Sa 761/20. Wegen der Abschreckungswirkung und der effektiven Sanktionierung hielt das Gericht in Berlin 1.000 Euro pro unvollständig beantwortetem Auskunftsverlangen für angemessen. Das Gericht begründete die Entscheidung folgendermaßen: „Durch einen Schadenersatz von jeweils 1.000,-- EUR wird ausreichend sichergestellt, dass durch die Zahlung eines spürbaren Betrages der Regelung des Art. 15 DSGVO zur Geltung verholfen wird und die Verpflichteten angehalten werden, die entsprechenden Maßgaben einzuhalten.“
Ein Generalunternehmer hat ein berechtigtes Interesse nach Art. 6 Abs.1 f) DSGVO, von seinem Subunternehmer Nachweise zur Einhaltung des Mindestlohns seiner Mitarbeiter zu verlangen (OLG Brandenburg, Urt. v. 23.02.2022 - Az.: 4 U 111/21). Hiernach ist eine Verarbeitung unrechtmäßig, wenn Grundrechte Dritter, die den Schutz personenbezogener Daten erfordern, überwiegen.
Im folgenden Fall geht es darum, dass die klagende Firma vom Subunternehmer eine namentliche Auflistung der von ihm eingesetzten Mitarbeiter verlangt, weil sie überprüfen musste, ob das Subunternehmen den Mindestlohn für die Angestellten bezahlt hat. Es stellt sich also die Frage, ob ein solches Auskunftsrecht möglich ist. Das OLG Brandenburg entschied, dass der Generalunternehmer ein berechtigtes Interesse daran hat, dass der Subunternehmer einen Nachweis zur Einhaltung des Mindestlohns darlegt.
Das folge daraus, dass das Unternehmen gem. § 14 des Arbeitnehmer-Entsendegesetzes (AEntG), welches über § 13 des Mindestlohngesetzes (MiLoG) Anwendung findet, wie ein Bürge auftritt und ebenso für diese Verpflichtungen einzustehen hat. Nur durch ein Auskunftsrecht kann eine Kontrolle des Subunternehmens erfolgen. Dass das Generalunternehmen stattdessen auch eine vertragliche Haftungsfreistellung vereinbaren kann, steht dem Anspruch nicht entgegen.
Die Haftungsfreizeichnung und andere vertragliche Maßnahmen (bspw. Beendigung von Vertriebsverhältnissen bei Verstößen gegen das MiLoG) haben nämlich zur Folge, dass der Subunternehmer von vornherein eine höhere Vergütung verlangt. Außerdem sorgt der Auskunftsanspruch für einen präventiven Schutz, wohingegen andere Vereinbarungen reaktiv wirken, und somit nicht praktikabel sind. Ist Ihr Unternehmen hinsichtlich des Datenschutzrechts auf dem neuesten Stand? Unsere Experten schaffen für Sie ein dauerhaft rechtssicheres Datenschutz-Niveau.
Das Subunternehmen muss grundsätzlich für den Schutz der Daten der Beschäftigten Sorge tragen. Durch den Auskunftsanspruch des Generalunternehmers könnten die Grundrechte der Betroffenen verletzt sein. Jedoch ist dem entgegenzuhalten, dass das Kontrollinteresse des Generalunternehmers auch im Interesse der Beschäftigten erfolgt. „Außerdem kann die Offenlegung der Daten auch 'datensparsam' erfolgen, indem die personenbezogenen Daten beispielsweise geschwärzt oder anonymisiert werden“, erklärte das Gericht.
Ein unberechtigter Negativeintrag in einer Auskunftei kann Schadenersatz in Höhe von 5.000 Euro auslösen. Das hat das Landgericht Hannover im Fall eines Telekom-Kunden entschieden (LG Hannover, Urteil v. 14.02.2022, Az. 13 O 129/21).
Der Kläger hat einen Telekom-Mobilfunkvertrag abgeschlossen unter der Meldeadresse seiner Eltern. Diesen Vertrag nutzte sein Bruder. Fällige Beträge konnten nicht abgebucht werden, sodass es zu einem Negativeintrag bei der SCHUFA (Schutzgemeinschaft der Kreditwirtschaft für allgemeine Kreditsicherung) kam.
Die offene Inkasso-Forderung hat der Kläger bezahlt und verlangte anschließend die Löschung des Schufa-Eintrags. Dies geschah nicht, sodass der Kläger nach erfolgloser anwaltlicher Aufforderung zum Widerruf des Dateneintrags bei Gericht Klage auf Löschung des Negativeintrags einreichte. Die Beklagte teilte nach Afforderung zur Abgabe eines Anerkenntnisurteils mit, dass der Eintrag gelöscht wurde. Der Kläger verlangte daraufhin 17.500 Euro Schadensersatz von der Beklagten (SCHUFA).
Das LG Hannover entschied aber, dass der Kläger nach Art. 82 Abs. 1 DSGVO Anspruch auf 5.000 Euro Schadenersatz nebst Verzugszinsen sowie auf Ersatz der Rechtsanwaltskosten hat. Die Negativeinträge, welche die Telekom veranlasst hatte, bestanden zwei Jahre lang und „verletzten den Kläger rechtswidrig in seinem allgemeinen Persönlichkeitsrecht gem. Art. 1 Abs. 1 i.V.m. 2 Abs. 1 GG“.
§ 28 a) Bundesdatenschutzgesetz (BDSG) a.F. stellt Regeln für die Datenübermittlung an Auskunfteien auf. Der Kläger erteilte keine Einwilligung und es lasse sich auch nicht feststellen, dass die Telekom zwei Abmahnungen geschickt habe. Die SCHUFA trägt hierbei die Beweislast. Wer die Daten einem anderen unrechtmäßig zugänglich macht, verletzt durch diese „Bloßstellung“ das Persönlichkeitsrecht. Es kommt für den immateriellen Schaden nicht darauf an, dass der Kläger hierdurch keinen Kredit bekam.
Nach Art. 82 Abs. 3 DSGVO kann sich der Auftragsverarbeiter von der Haftung befreien, wenn er nachweisen kann, dass er für den schadensbegründenden Umstand nicht verantwortlich ist. Die SCHUFA hätte sich nach der zweifachen Mahnung erkundigen müssen. Dies hat sie fahrlässigerweise nicht gemacht und kann sich somit nicht exkulpieren.
(1) Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.
(3) Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.
Wenn ein Unternehmen die Daten eines Bewerbers ausversehen an Dritte weiterleitet und den Bewerber über diesen Verstoß nicht unverzüglich unterrichtet, dann hat der Betroffene einen DSGVO-Schadensersatzanspruch, wenn er dadurch tatsächliche Nachteile erleidet (OLG Frankfurt a.M., Beschl. v. 02.03.2022 - Az.: 13 U 206/20). Voraussetzung für einen Schadensersatzanspruch gemäß Art. 82 Abs. 1 DSGVO ist der Nachweis eines konkreten (auch immateriellen) Schadens.
Der Kläger bewarb sich bei der verklagten Bank als neuer Mitarbeiter über das Vernetzungs-Portal XING. Die Bank leitete irrtümlich eine Nachricht, die für den Kläger bestimmt war, an einen Dritten über den Text-Messenger des Portals weiter. In dieser Nachricht stand folgendes: „Lieber Herr X, ich hoffe es geht Ihnen gut! Unser Leiter - Herr Y - findet ihr (…) Profil sehr interessant. Jedoch können wir ihre Gehaltsvorstellungen nicht erfüllen. Er kann 80k + variable Vergütung anbieten. Wäre das unter diesen Gesichtspunkten weiterhin für Sie interessant? Ich freue mich von Ihnen zu hören und wünsche Ihnen einen guten Start in den Dienstag. Viele Grüße,“
Die Beklagte teilte diesen Fehler dem Kläger nach einigen Monaten mit. Daraufhin klagte er und bekam vor dem Landgericht Darmstadt 1.000 Euro zugesprochen (LG Darmstadt, Urt. v. 26.05.2020 - Az.: 13 O 244/19).
Das OLG Frankfurt a.M. hob in der Berufungsinstanz die Entscheidung auf. Es liege zwar eine Datenschutzverletzung vor. Jedoch stünde dem Kläger kein finanzieller Ausgleichsanspruch zu, denn es fehle der konkrete Schaden. Der Schaden muss ausdrücklich „erlitten“ werden, woraus folgt, dass dieser tatsächlich entstanden sein muss und nicht lediglich befürchtet wird. Hierfür muss ein Nachweis vorliegen. Das Gericht stellt auch fest, dass der Kläger „das Vorliegen eines konkreten - immateriellen - Schadens, wozu auch Ängste, Stress sowie Komfort- und Zeiteinbußen zählen (...), nicht dargetan hat“.
Die Europäische Union hat sich mit der im Mai 2018 in Kraft getretenen Datenschutzgrundverordnung zum Ziel gesetzt, in der gesamten EU ein einheitliches Datenschutzniveau zu schaffen. Aber auch der deutsche Gesetzgeber hat mit der Reform des Bundesdatenschutzgesetzes (BDSG) das nationale Datenschutzrecht neu gefasst, um den angemessenen Schutz personenbezogener Daten sicherzustellen. Der Schutz personenbezogener Daten ist dabei Ausdruck des Grundrechts auf informationelle Selbstbestimmung.
Wir stehen auch Ihnen gern als Partner in allen Belangen des Datenschutzes zur Seite. Sehen Sie sich entsprechenden rechtlichen Fragestellungen ausgesetzt, freuen wir uns jederzeit über Ihre Kontaktaufnahme.