18.02.2024 |

„Mal hüh, mal hott“ bei deutschen Gerichten.

Stellen Kunden Anträge auf Auskunft zu ihren personenbezogenen Daten muss eine Rückmeldung erfolgen. Für die Reaktionszeit sieht die DSGVO eine Frist von einem Monat ab Eingang vor. Was die Frist angeht, sind sich deutsche Gerichte aber höchst uneinig. Gleiches gilt für die Zahlung von Schadensersatz – im Raum stehen 10.000 Euro für ein Versäumnis.
Ein Dschungel? Wer einmal im Urwald war, weiß: Mit dem richtigen „Guide“ verläuft man sich höchst selten. Wir navigieren mal.

 

Transparenz als oberstes Gebot.

Die Datenschutzgrundverordnung (kurz „DSGVO“) folgt dem obersten Gebot der Transparenz. Demnach steht nach Art. 15 der DSGVO jedem Bürger das Recht gegenüber einem Unternehmen zu, dass es Auskunft darüber geben muss, ob und wenn ja, welche personenbezogenen Daten es über die anfragende Person besitzt. Für die Frist zur Antwort sieht Art. 12 Absatz 3 der DSGVO wörtlich vor, dass Firmen „unverzüglich, in jedem Fall aber innerhalb eines Monats“ Rückmeldung geben müssen. Kommt es zu Schwierigkeiten bei der Antwort, so darf die Frist um weitere zwei Monate verlängert werden und die anfragende Person ist darüber zu informieren. Aber: Ist die Monatsfrist eine „Höchstfrist“ oder indes ein zulässiger Zeitrahmen, den Unternehmen ausschöpfen dürfen? Deutsche Richter sehen es unterschiedlich. Der Streit wird maßgeblich bei Geldzahlungen wichtig, wenn Betroffene auf Schadensersatz klagen und 10.000 Euro verlangen.

 

 „Mal so, mal so“ – nicht nur bei der Frist, auch beim Schadensersatz.

Am Arbeitsgericht (ArbG) Duisburg sieht man die Monatsfrist als „Höchstfrist“ und die dürfe „nicht routinemäßig, sondern nur in schwierigeren Fällen ausgeschöpft werden“. Im entschiedenen Fall hatte das beklagte Unternehmen einem ehemaligen Bewerber, der vor rund sechs Jahren seine Unterlagen eingereicht hatte, innerhalb von 19 Kalendertagen mitgeteilt, dass man keine personenbezogenen Daten mehr über ihn habe. Das empfand der einstige Kandidat als zu lange und erhielt vom Gericht wegen der nicht „unverzüglich“ erfolgten Rückmeldung einen Geldanspruch in Höhe von 750 Euro zugesprochen (Urteil vom 03.11.2023, Az. 5 Ca 877/23). Begründung: Dem Kläger sei „durch den Verstoß auch ein immaterieller Schaden (…) durch einen temporären Kontrollverlust bezüglich seiner Daten (entstanden)“.

Für den Anspruch auf Schadensersatz sieht hingegen das Landesarbeitsgericht (LAG) Düsseldorf die Lage ganz anders (Urteil vom 28.11.2023, Az. 3 Sa 285/23, s. zur Presse etwa hier). Selbst wenn eine Verletzung der Monatsfrist vorlege, gebe es gleichwohl kein Geld, so das LAG in Düsseldorf. Im dortigen Fall hatte ein ehemaliger Mitarbeiter einen Antrag auf Auskunft gestellt, der auch beantwortet wurde, allerdings erst nach sechs Wochen nach Ablauf der vom Kläger gesetzten Frist. Da dem früheren Mitarbeiter nach seiner Meinung deshalb ein „Kontrollverlust“ seiner personenbezogenen Daten entstanden sei, verlangte er als Wiedergutmachung 10.000 Euro. Laut Landesarbeitsgericht konnte er aber keinen Schaden nachweisen und wies das Begehren trotz Überschreitung der Monatsfrist ab.

 

Wie geht es denn nun weiter?

Für Unternehmen, aber auch für Betroffene, bedeuten die divergierenden Richtersprüche mal wieder Rechtsunsicherheit. Alle sind verwirrt und fragen sich, was denn nun gilt.

Es gilt abzuwarten, was der Europäische Gerichtshof (EuGH) zu den beiden Fragen nach der Frist und dem Recht auf Schadensersatz bei Nichteinhaltung urteilen wird. Hintergrund ist, dass der EuGH und nicht deutsche Richter das letzte Wort zur Beantwortung offener Fragen nach der europäischen Datenschutzgrundverordnung hat. Aber bis dahin wird noch viel Wasser die Elbe runter laufen.

 

Was Firmenlenker jetzt zu tun haben:

Das Wirrwarr der Gerichte mag auf den ersten Blick viele Firmenlenker irritieren. Muss es aber nicht. Weiterhin gilt die Maxime, die Datenschutzorganisation im Unternehmen auf wirtschaftlich vertretbare Füße zu stellen. Erforderlich sind dazu organisatorische Prozesse, um Auskunftsanfragen schnellstmöglich nachkommen zu können. Für große Unternehmen unabdingbar sind IT-gestützte Datenschutz-Management-Systeme (kurz „DSMS“). Für Mittelständler und kleine Firmen reichen aber auch „handgestrickte“ Lösungen. Das ist kein Hexenwerk.
Geht doch mal was schief: Wo Menschen arbeiten, werden auch Fehler gemacht. Das weiß jedes Gericht und auch jede Aufsichtsbehörde.

 

Von Prof. Dr. jur. Noogie C. Kaufmann

 

 

Foto von Daniel Lloyd Blunk-Fernández auf Unsplash