Werden personenbezogene Daten von Beschäftigten mit deren Ausscheiden nicht von der Unternehmenswebsite entfernt, kann dies eine Schadenersatzpflicht auslösen. Der Anspruch der Beschäftigten ergibt sich aus Art. 82 DSGVO als sogenannte ‘Basisvorschrift‘. Dieser eigenständige, unmittelbar geltende, deliktische Haftungsanspruch führt zu einer Schadenersatzpflicht, wenn auf Grund einer rechtswidrigen Datenverarbeitung ein Schaden bei der betroffenen Person entstanden ist und dieser in Kausalität zu einem Verstoß gegen die Bestimmungen der DSGVO oder sonstige Bestimmungen steht.

Die Entscheidung

Durch das Arbeitsgericht Neuruppin wurde erstmals der Beschäftigten ein Schadensersatz von 1000,00 € zugesprochen, nachdem das Unternehmen es trotz Aufforderung unterlassen hatte, nach Beendigung des Beschäftigungsverhältnisses Informationen über die Beschäftigte zu entfernen. Das Gericht begründete seine Auffassung mit der schuldhaften Verletzung – nicht nur datenschutzrechtlicher Pflichten, sondern auch – von allgemeinen Nebenpflichten aus dem Arbeitsverhältnis. Danach wären durch das Unternehmen sämtliche in Zusammenhang mit der ausgeschiedenen Beschäftigten veröffentlichte Daten mit Ende der Beschäftigung zu entfernen gewesen. In der Folge wurde der Betroffenen ein Anspruch auf Ersatz des Schadens zugesprochen, den sie durch die unrichtige bzw. unzulässige Verwendung von personenbezogenen Daten erlitten habe. Eine weitergehende immaterielle Beeinträchtigung der Beschäftigten sei auf Grund der Warn- und Abschreckfunktion von Schadenersatzansprüchen aus Art. 82 DSGVO nicht erforderlich gewesen.

Art 82 Abs. 3 DSGVO sieht für den Verantwortlichen zwar grundsätzlich die Möglichkeit der Entlastung von der Haftung (Exkulpation) vor, wenn er nachweisen kann, dass er in keinerlei Hinsicht für den Umstand, durch den der vorliegende Schaden eingetreten ist, verantwortlich ist. Bemerkenswert ist, dass nach Auffassung des Gerichts die Betroffene einen sog. immateriellen Schaden aber überhaupt nicht darlegen muss. Stichwort ist hier – wie so oft in Zusammenhang mit Art. 82 DSGVO – die Warn- und Abschreckfunktion der Haftungsregelung, sodass die bloße Verletzung der Bestimmungen der DSGVO o.ä. durch den Verantwortlichen bereits ausreicht.

Fazit

Mit dem Urteil setzt sich das Arbeitsgericht von einigen früheren Urteilen ab, die restriktiver mit der Annahme derartiger Ansprüche umgegangen sind. Allein durch den Verstoß gegen eine Regelung wurde daher noch kein immaterieller Schaden begründet, wenn nicht eine gewisse „Erheblichkeitsschwelle“ überschritten wurde. Die weitere Entwicklung rund um das Spannungsfeld des Art. 82 DSGVO bleibt abzuwarten. Verantwortlichen Unternehmen ist allerdings auf Grundlage dieses Urteils erneut zu erhöhter Aufmerksamkeit zu raten. Nach der Beendigung eines Beschäftigungsverhältnisses müssen Unternehmen mit untern nicht nur aus datenschutzrechtlichen Gründen sicherstellen, dass Daten ehemaliger Beschäftigter vom Internetauftritt des Verantwortlichen gelöscht werden.