In Zusammenarbeit mit einer anderen, arbeitsrechtlich ausgerichteten, Kanzlei wurden von mir nun die ersten Klagen auf immateriellen Schadensersatz zum Arbeitsgericht München erhoben. Unter anderem geht es dabei um das Bloßstellen von Arbeitnehmern im Zusammenspiel mit einem Verstoß gegen die DSGVO.
Dies ist insofern spannend, weil es – zumindest soweit ersichtlich – bisher noch kaum Entscheidungen zu diesem Thema gibt und erst recht keine gefestigte Rechtsprechung.
Bereits vorgerichtlich wurde deutlich, dass sich die beteiligten Arbeitgeber noch immer schwer damit tun, überhaupt und abstrakt einen Schaden als solchen anzuerkennen, welcher unmittelbar mit einem Verstoß gegen datenschutzrechtliche Normen zusammenhängt. Die Haltung kann zwar nicht – als „laisser-faire“ qualifiziert werden, sehr wohl aber als Unwilligkeit, sich mit der tatsächlichen Tragweite von erheblichen Datenschutzverstößen näher auseinanderzusetzen.
Als relativ schwierig stellte sich erwartungsgemäß die Frage der Bemessungshöhe des Schadens heraus, der zum einen natürlich den spezifischen Umständen und der „Schmerzhaftigkeit“ des Verstoßes Rechnung tragen muss, zum anderen aber auch das Unternehmen, und da nicht zuletzt die sonstige Behandlung des Datenschutz-Themas im Hause, berücksichtigen sollte.
Hier böte es sich an – nur als grobe Richtschnur und ohne die Behauptung einer 1 : 1 – Vergleichbarkeit! – die Überlegungen der Datenschutzkonferenz der Länder und des Bundes (DSK) vom Oktober vergangenen Jahres bei der Frage der Schadenshöhe mit einzubeziehen.
Zum einen stellen diese auf die wirtschaftliche Leistungsfähigkeit des Unternehmens ab – was dem weitverbreiteten Mythos, durch die Regularien der DSGVO würden Unternehmen gleichsam an die Grenze ihrer wirtschaftlichen Existenz gebracht, entgegen wirkt.
Zum anderen könnte dabei die Ernsthaftigkeit, mit der das Thema DSGVO jeweils behandelt wird, die Höhe des Betrages zumindest mit beeinflussen.
Freilich muss zuvorderst dargetan werden, dass eine Verletzung der DSGVO-Normen vorliegt und wie diese sich auf denjenigen, dessen Rechte verletzt wurden, konkret auswirkt. Denn eine bloße generalpräventive Wirkung soll weder die Verhängung von Bußgeldern gemäß der DSK-Überlegungen, noch die Zahlung eines Schmerzensgeldbetrages an den Betroffenen haben.
Vor allem wird dabei aber deutlich, wie komplex die Materie in ihrer konkreten Umsetzung noch immer ist und wie „systemfremd“ der hier entscheidende Art. 82 DSGVO im Vergleich zu anderen Schmerzensgeld-Bestimmungen offenbar empfunden wird.
Ganz offensichtlich gibt es hier noch erheblichen Informationsbedarf.