Schadensersatzanspruch bei unzureichender oder fehlender Auskunft

Das Recht auf Auskunft nach Art. 15 DSGVO gibt den betroffenen Personen das Recht, von Unternehmen und Organisationen Informationen über die Verarbeitung ihrer personenbezogenen Daten zu erhalten. Dies umfasst unter anderem das Recht, zu erfahren, welche Daten zu welchem Zweck verarbeitet, an wen sie übermittelt und wie lange sie gespeichert werden. Diese Informationen müssen in klarer und verständlicher Form bereitgestellt werden, in der Regel spätestens innerhalb eines Monats nach Eingang des Auskunftsersuchens.

Mit diesem wohl am häufigsten geltend gemachten Betroffenenrecht haben wir uns bereits mehrfach auseinandergesetzt, zuletzt unter anderem in unserer Serie zu den Betroffenenrechten sowie in den Artikeln zur Reichweite des Auskunftsanspruchs und zum Begriff der Kopie bei der Auskunft? Doch das Thema ist und bleibt aktuell und es gibt immer wieder Neues zu berichten.

Unzureichende oder keine Auskunft

Immer wieder kommt es vor, dass Auskunftsersuchen betroffener Personen entweder nicht richtig, nicht vollständig oder auch gar nicht beantwortet werden. Dies kann daran liegen, dass die Anfragen der betroffenen Personen von den Unternehmen nicht ernst genommen werden oder dass diese Anfragen im Unternehmen „versickern“. Es stellt sich die Frage, welche Möglichkeiten die betroffenen Personen in einem solchen Fall haben.

Was tun?

Sofern ein Unternehmen keine oder eine unzureichende Auskunft erteilt, können Schadensersatzansprüche entstehen. Nach Art. 82 DSGVO haben betroffene Personen das Recht, Schadensersatz zu verlangen, wenn ihnen durch einen Verstoß gegen die DSGVO ein materieller oder auch ein immaterieller Schaden entstanden ist. Dies kann beispielsweise der Fall sein, wenn ein Unternehmen unvollständige oder falsche Informationen über die Verarbeitung personenbezogener Daten erteilt und der betroffenen Person dadurch ein finanzieller oder auch immaterieller Schaden entstanden ist.

Besteht automatisch ein Schadensersatzanspruch?

Damit ein Anspruch auf Schadensersatz vorliegt, müssen bestimmte Voraussetzungen vorliegen:

Um einen Schadensersatzanspruch geltend machen zu können, muss zunächst eine Verletzung der Rechte gemäß Art. 15 DSGVO nachgewiesen werden. Dies kann der Fall sein, wenn Unternehmen keine oder unvollständige Auskunft über die Verarbeitung personenbezogener Daten geben, indem sie beispielsweise relevante Informationen zurückhalten oder falsche Informationen bereitstellen.

Es muss ein kausaler Zusammenhang zwischen der unzureichenden Auskunft und einem nachweisbaren Schaden bestehen. Das heißt, der Schaden muss direkt auf die fehlende oder unzureichende Information zurückzuführen sein.

Es muss nachgewiesen werden, dass das Unternehmen schuldhaft gehandelt hat, also fahrlässig oder vorsätzlich. Kann das Unternehmen jedoch nachweisen, dass es alle zumutbaren Maßnahmen ergriffen hat, um seiner Auskunftspflicht nachzukommen, kann der Schadensersatzanspruch in Frage gestellt werden.

Es muss ein tatsächlicher Schaden nachgewiesen oder zumindest glaubhaft begründet werden, der aufgrund der unzureichenden Auskunft entstanden ist. Dies kann zum Beispiel ein finanzieller Verlust, ein Reputationsschaden oder ein immaterieller Schaden, wie ein „individuelles Unwohlsein“ sein.

Grenzen und Einschränkungen des Auskunftsanspruchs

Das Recht auf Auskunft gilt nicht uneingeschränkt. So sind Verantwortliche nach Art. 15 Abs. 4 DSGVO nicht zur Auskunft verpflichtet, wenn dadurch die Rechte und Freiheiten anderer Personen beeinträchtigt würden. Dazu gehören auch Geschäftsgeheimnisse oder Rechte des geistigen Eigentums und insbesondere auch das Urheberrecht an Texten oder auch Software.

Dies darf allerdings nicht dazu führen, dass den Betroffenen jegliche Auskunft verweigert wird. Im Zweifelsfall müssen in Dokumenten Teile entfernt oder geschwärzt werden.

Urteile zu diesem Thema

Es gibt durchaus Rechtsauffassungen und auch Urteile, nach denen ein Schadensersatzanspruch aus Art. 82 Abs. 1 DSGVO nicht besteht (zum Beispiel LArbG Nürnberg, 4 Sa 201/22, LG Bonn, 15 O 372/20 oder auch LG Düsseldorf, 16 O 128/20). Erwägungsgrund 146 sieht vor, dass es sich um Schäden handeln muss, die einer Person durch eine Verarbeitung im Sinne der DSGVO entstanden sind. Nun könnte die Erfüllung der Pflicht zur Auskunftserteilung dahingehend ausgelegt werden, dass es sich bei der Auskunftserteilung nicht um eine Datenverarbeitung im Sinne des Art. 4 Nr. 2 DSGVO in Verbindung mit Art. 82 Abs. 1 DSGVO handelt und der Schadensersatzanspruch daher bereits dem Grunde nach nicht besteht.

Allerdings gibt es auch anderslautende Ansichten und Urteile (LAG Berlin-Brandenburg, 10 Sa 443/21, LAG Hamm, 6 Sa 1260/20 oder BAG, 2 AZR 363/21 (Rz. 11)). Dort vertritt man die Meinung, Art. 82 Abs. 1 DSGVO sei nach Wortlaut und Zweck weit auszulegen und erfasse jeden Verstoß gegen die DSGVO auch außerhalb einer unzulässigen Datenverarbeitung als haftungsrelevante Verletzungshandlung.

Auch das Arbeitsgericht (ArbG) Oldenburg (Urteil vom 09.03.2023 liegt noch nicht vor) sprach einem Kläger ein Schmerzensgeld infolge eines immateriellen Schadens in Höhe von 10.000 Euro zu. Das beklagte Unternehmen hätte der Auskunftspflicht gemäß Art. 12 Abs. 3 DSGVO innerhalb eines Monats nachkommen müssen, was versäumt wurde. Der Kläger musste den Schaden auch nicht näher darlegen, da nach Ansicht des ArbG bereits die Verletzung der DSGVO selbst zu einem auszugleichenden immateriellen Schaden führt. Denn der Schadenersatzanspruch nach Art. 82 Abs. 1 DSGVO habe präventiven Charakter und diene der Abschreckung, so das ArbG unter Berufung auf das Bundesarbeitsgericht, das in seinem in seinem Urteil ein Schmerzensgeld in Höhe von 1.000 Euro zugesprochen hatte.

Wie man sieht, ist die Rechtsprechung derzeit (noch) nicht eindeutig. Somit besteht immer das Risiko, dass bei einer Schadensersatzklage das für die betroffene Person „falsche“ Gericht den Fall beurteilt und das Ergebnis daher nicht zu deren Gunsten ausfällt.

Fazit

So einfach, so gut: Verantwortliche sollten Auskunftsanfragen stets zeitnah, umfassend, inhaltlich korrekt, vollständig und sachgerecht beantworten. Dies ist die beste Maßnahme, um zu vermeiden, sich mit Schadensersatzansprüchen auseinandersetzen zu müssen.

Wir wissen aber auch, dass der Teufel bei der Auskunftserteilung – wie so oft – im Detail steckt. Was genau ist mitzuteilen? Was darf gegebenenfalls nicht beauskunften werden? In welchem Format ist das Ergebnis bereitzustellen? Es gibt viele Fallstricke, die nicht offensichtlich sind.

______________________________________

Die bITs GmbH berät Ihre Kunden zu allen Themen des Datenschutzes und stellt auf Wunsch den externen Datenschutzbeauftragten.

Haben Sie weitere Fragen an uns? Gerne können Sie sich dazu an uns wenden. Hier finden Sie unsere Kontaktdaten. Unser Team stellt sich übrigens hier vor.