Was kann geschehen, wenn ein Unternehmen eine Auskunftsanfrage für personenbezogene Daten nach Artikel 15 Datenschutzgrundverordnung (DSGVO) nicht beantwortet? Dieser Frage sah sich kürzlich das Arbeitsgericht in Düsseldorf ausgesetzt. Das Gericht gestand dem Kläger einen Schadensersatzanspruch in Höhe von 5.000 € zu.
Was war im Vorfeld geschehen?
Im konkreten Fall verlangte ein Beschäftigter bei seinem ehemaligen Arbeitgeber Auskunft über seine personenbezogenen Daten, die dieser über ihn gespeichert hat. Dieser ließ nicht nur wiederholt zwei, sowie anschließend drei Monate vergehen, sondern beantwortete die Datenabfrage unzureichend und unvollständig. Da es sich bei dem Recht auf Auskunft um das zentrale Betroffenenrecht der DSGVO handelt, das auch durch das europäische Grundrecht geschützt ist, zog der Beschäftigte vor Gericht und verklagte die Firma erfolgreich auf Schadensersatz.
Können auch Kunden, Interessenten, Lieferanten etc. ein Unternehmen auf Schadensersatz verklagen?
Die Antwort lautet: Ja. Der Art.15 DSGVO gesteht jeder natürlichen Person das Recht zu, Auskunft darüber zu erhalten, ob und welche personenbezogenen Daten ein Unternehmen gespeichert hat. Kommt das Unternehmen diesem Verlangen nicht oder nur unzureichend nach, können die Betroffenen vor Gericht ziehen und dort einen „immateriellen Schaden“ geltend machen. Die DSGVO unterscheidet hierbei nicht zwischen unterschiedlichen Arten von anfragenden Personen. Ob, wie bei einem Arbeitnehmer, ein enges Vertrauensverhältnis besteht oder die anfragende Person gänzlich unbekannt ist, spielt keine Rolle. Jede Auskunftsanfrage muss beantwortet werden – selbst, wenn keine Daten vorliegen.
Wie setzt sich die Schadensersatzforderung zusammen?
Vergleichbare Fälle (AG München 155 C 1510/18; OLG Köln 20 W 10/18) zeigen, dass 5.000 € ein häufig angesetzter Klagewert sind, den die Gerichte den Klägern als Schaden nach der DSGVO zusprechen. Im vorliegenden Fall hat das Düsseldorfer Gericht die zeitliche sowie die inhaltlich mangelhafte Komponente gerügt. Demnach schlagen die ersten zwei Monate der Verspätung jeweils mit 500 € zu Buche, während die weiteren drei Monate jeweils 1.000 € kosten. Die wiederholten inhaltlichen Mängel wurden mit insgesamt 1.000 € angesetzt. Zudem kommen interne Kosten im Unternehmen hinzu, die an dieser Stelle unberücksichtigt bleiben.
Welche Lehren sind daraus zu ziehen?
Erreicht ein Unternehmen eine Bitte um Auskunft über die personenbezogenen Daten des Betroffenen, gibt es zur Beantwortung einen strengen zeitlichen und inhaltlichen Rahmen. Dabei fließt jeder „verstrichene“ Monat sowie jede inhaltlich unzureichende Antwort im Gerichtsfall dem Kläger monetär zu und erhöht den von dem Unternehmen zu zahlenden Schaden nach der DSGVO.
Wie kann sich das Unternehmen davor schützen?
Unsere Antwort hierzu lautet: Selbstschutz! Wer die Do’s und Don’ts einmal verinnerlicht hat und die Schutzrechte, die einem Unternehmen zustehen kennt, kann sich proaktiv vor dem Vorwurf schützen, die Auskunft sei unzureichend gewesen. Weiterhin gelingt es so, diejenigen Fälle zu identifizieren, in denen jemand missbräuchlich versucht durch die DSGVO, an interne Daten zu gelangen.
Daher ist unsere Empfehlung, einen eindeutigen Auskunftsprozess zu definieren. Hierbei sind folgende Punkte zu berücksichtigen und zu klären:
Wie erreicht mich der Auskunftsanspruch?
Wie stelle ich die zeitnahe Beantwortung sicher?
Wer kümmert sich im Unternehmen um das Erteilen einer Auskunft?
Wer beantwortet das Auskunftsersuchen?
Wie ist der Inhalt der Beantwortung?
In unseren diversen Kundenprojekten haben wir unterschiedliche Möglichkeiten umgesetzt.
Sie haben weitere Fragen zum Auskunftsanspruch, Schadensersatzansprüchen, personenbezogene Daten, DSGVO oder sehen Handlungsbedarf in einem anderen der genannten Felder? Kontaktieren Sie uns mit Ihrem Anliegen unkompliziert per Mail oder wenden Sie sich telefonisch an uns:
Ihr entplexit Datenschutz Team Mail: datenschutz@entplexit.com
Comments