Geschäftsführender Direktor Institut wida, LfDI Baden-Württemberg aD Dr. Stefan Brink, Berlin
Heft 10/2023
Der Beschäftigten-Datenschutz ist in aller Munde: Arbeitnehmer richten unliebsame Auskunftsanträge nach Art. 15 DS-GVO an ihren Arbeitgeber, der wegen der knappen Antwortfristen und des kaum fassbaren Anspruchsumfangs (inkl. Mail-Kommunikation der vergangenen Jahre, Back-Ups, Logfiles und Surf-Protokollen) ins Schwitzen gerät. Dass es hier (und an vielen anderen Stellen der sehr betroffenenfreundlichen DS-GVO) zu Rechtsverstößen des Arbeitgebers kommt, ist naheliegend. Doppelt unschön also, dass die Verordnung nicht nur anspruchsvolle Regeln setzt, sondern deren Verletzung zugleich hart ahndet – sei es in Gestalt eines Bußgeldes der Datenschutz-Aufsichtsbehörde in Millionenhöhe, sei es durch die Zuerkennung von Schadenersatzansprüchen der in ihren Rechten Verletzten.
Genau an dieser Stelle taten sich besonders die deutschen Arbeits- und Zivilgerichte schwer, einen (immateriellen) Schaden bei den Betroffenen (an) zu erkennen: Man schaute verwundert auf die steigende Zahl der Auskunftsklagen, häufig auch im Verbund mit Kündigungsschutzklagen, und schwankte zwischen der munteren Zuerkennung von Schadenersatzansprüchen (ja, laut DS-GVO hat da das Fugen-S zu fehlen) in Höhe von im Schnitt 1.500 EUR wegen verspäteter oder unvollständiger Auskunft und sich anschließender Sorgen des Beschäftigten, ob seine personenbezogenen Daten denn nun beim Arbeitgeber in guten Händen seien und der missmutigen Abweisung nach dem Motto: „Besorgnis wegen fehlerhafter Behandlung von persönlichen Daten? Habt Euch nicht so, das sind doch reine Bagatellen!“ Letzteres hatte zudem den sicherlich völlig unmaßgeblichen Vorteil für das entscheidende Gericht, dass man nicht allzu tief in die Materie einsteigen musste und das Vorliegen eines Verstoßes gegen die DS-GVO getrost „offen lassen“ konnte. Dass die Figur „Bagatellschaden“ dabei nicht etwa dem geltenden europäischen Recht, sondern der eigenen Rechtsprechungstradition zur Verletzung des Allgemeinen Persönlichkeitsrechts entliehen wurde, scherte da wenig, bis der EuGH kam.
Der EuGH hat sich mit ebendieser Frage nun eingehend befasst (4.5.2023 – C-300/21, NZA 2023, 621, in diesem Heft), er wurde im Rahmen einer Richtervorlage tätig und räumte ab: Ähnlich wie bei seinen richtungsweisenden Entscheidungen zum Umfang des Auskunftsanspruchs (ebenfalls v. 4.5.2023 – C-487/21, BeckRS 2023, 008971: Der Betroffene kann eine originalgetreue und verständliche Reproduktion seiner Daten samt Kontext verlangen) hat auch hier der EuGH klar gemacht, wie datenschutzfreundlich er die DS-GVO auslegt: Eine Erheblichkeitsgrenze gibt es für immaterielle Schäden nicht, diese „Erfindung“ nationaler Gerichte findet keine Grundlage im europäischen Recht. Allerdings betont er auch, dass DS-GVO-Verstoß und Schaden kausal verbunden sein müssen und verweigert sich damit einer Gleichbehandlung von Schadenersatz und Bußgeld, das ja auch ohne jeden individuellen Schaden verhängt werden kann.
Damit bekräftigt der EuGH erneut das „Highlander-Prinzip“, das er mit seiner furiosen Entscheidung zu den nationalen Vorschriften zum Beschäftigtendatenschutz (30.3.2023 – C-34/21, NZA 2023, 487, mAnm Meinecke) und der klaren Ansage, dass Öffnungsklauseln der DS-GVO wie Art. 88 eben keine nationalen Selbstbedienungsläden sind, untermauerte: Es kann nur einen geben!