Wer sich unbedarft den Artikel 12 Absatz 3 der DSGVO ansieht, der interpretiert diesen als Nicht-Jurist möglicherweise so, dass man immer eine Frist von 1 Monat für die Bearbeitung und Beantwortung einer Betroffenen-Anfrage hat.
Ist das so?
Falsch, sagt uns ein Urteil des Arbeitsgerichts Duisburg (externer Link, Justiz NRW) vom 03. November 2023 (Arbeitsgericht Duisburg, 5 Ca 877/23). Und das dürfte so manchen Datenschutzbeauftragten und Verantwortlichen wie ein Hammerschlag treffen.
Natürlich sind Urteile von Gerichten immer auf den Einzelfall bezogen und im jeweiligen Kontext zu betrachten. Dieses hat aber meiner Meinung nach erhebliche Auswirkungen auf die Datenschutz-Organisation aller Verantwortlichen.
Was war los?
- Nach über 6 Jahren begehrte ein Betroffener Auskunft nach Art. 15 DSGVO zu seinen Daten. Er hatte dem Unternehmen am 14.03.2017 seine Bewerbungsunterlagen zugesendet, war aber offenbar abgelehnt worden.
- Mit E-Mail vom 18.05.2023 verlangte er Auskunft nach der DSGVO darüber, ob und welche Daten zu seiner Person gespeichert seien und setzte eine Frist bis zum 02.06.2023.
Bis auf die Frist also der klassische Auskunftsanspruch nach Art. 15 DSGVO.
- Das Unternehmen nahm keine Stellung bis zum 03.06.2023, ließ sich ganze 17 Tage Zeit, überhaupt auf die Anfrage zu antworten, woraufhin der Betroffene per E-Mail am 03.06.2023 an seine Anfrage erinnerte.
- Am 05.06.2023 gab das Unternehmen eine Negativauskunft.
Alles soweit noch im Rahmen, spät reagiert (was in jedem Fall bei Prüfung der Datenschutz-Prozesse zu beanstanden wäre), aber innerhalb der Frist –
würde man denken wollen. Es ging aber weiter:
- Per E-Mail vom 09.06.2023 bat der Betroffene um Mitteilung, aus welchem Grund man die Auskunft nicht zuvor erteilt habe.
- Das Unternehmen teilte mit, dass die Auskunft mit Blick auf Artikel 12 DSGVO fristgerecht erteilt worden sei.
- Der Betroffene sah das nicht so und forderte das Unternehmen zur Zahlung einer Geldentschädigung in Höhe von 1.000 Euro wegen behaupteter Verletzung des Art 12 DSGVO auf.
Die ersten Gedanken, die einem da durch den Kopf gehen:
- Wieso nicht fristgerecht, das war doch innerhalb der Monatsfrist?
- Welcher Schaden sollte denn da eigentlich entstanden sein?
- Will hier jemand rechtsmissbräuchlich was rausschlagen?
Alles scheinbar legitime Gedanken, die aber durch das Urteil des Arbeitsgerichts Duisburg ganz klar ausgeräumt werden (Auszüge):
Der Schaden
„Dem Kläger ist durch den Verstoß auch ein immaterieller Schaden entstanden durch einen temporären Kontrollverlust bezüglich seiner Daten.“
Diesen Schaden bewertete das Gericht mit 750,00 Euro. Und setzte den reduzierten Betrag (gegenüber der Forderung des Klägers) in dieser Höhe an, u.a. weil das Unternehmen „…den gebotenen Zeitraum des Art 12 III DSGVO nicht in erheblichem Maße überschritten hat und die Auskunft auf die erste Erinnerung des Klägers direkt erteilt hat.“
Die nicht eingehaltene Frist
Auszüge:
„Die Beklagte hat gegen Art 12 III DSGVO verstoßen, indem Sie das Auskunftsersuchen des Klägers vom 18.05.2023 erst mit Schreiben vom 05.06.2023 beantwortete. Nach Art 12 III DSGVO stellt der Verantwortliche der betroffenen Person Informationen (…) unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung.
Diese Voraussetzung hat die Beklagte durch die Antwort am 05.06.2023 nicht erfüllt.
Die Beklagte erteilte dem Kläger mit Schreiben vom 05.06.2023 eine Negativauskunft mit dem Inhalt, dass keine Daten des Klägers bei ihr gespeichert seien.
Damit hat die Beklagte nicht „unverzüglich“ auf die Anfrage des Klägers reagiert.
Da „unverzüglich" weder „sofort" bedeutet noch damit eine starre Zeitvorgabe verbunden ist, kommt es auf eine verständige Abwägung der beiderseitigen Interessen an.
Nach einer Zeitspanne von mehr als einer Woche ist aber ohne das Vorliegen besonderer Umstände grundsätzlich keine Unverzüglichkeit mehr gegeben (BAG, Urteil v. 27.2.2020 — 2 AZR 390/19, beck- online).
Die Beklagte hat die Auskunft nach Ablauf von 19 Kalendertagen erteilt.
Besondere Umstände, welche diese Bearbeitungsfrist hinreichend rechtfertigen, sind nach Auffassung der Kammer nicht gegeben. Dies gilt auch, wenn man berücksichtigt, dass nach dem Vortrag der Beklagten unter Berücksichtigung von Wochenenden, Feiertagen und Brückentagen ggf. nur neun Arbeitstage zwischen der Anfrage und der Bearbeitung lagen.
Besondere Umstände, welche einen besonderen Bearbeitungsaufwand oder eine verlängerte Bearbeitungsspanne zu rechtfertigen vermögen, liegen nämlich nicht vor.“
Und noch zum anderen Thema:
Rechtsmissbräuchlich oder nicht?
„Die Klage des Klägers ist entgegen der Auffassung der Beklagten auch nicht rechtsmissbräuchlich. Anhaltpunkte hierfür liegen nicht vor.“
Fazit:
Nun mögen die ein oder anderen Datenschützer mit juristischem Hintergrund vielleicht auf den Einzelfall verweisen. Ich bin aber kein Jurist und mich hat dieses Urteil richtig erschreckt.
Klar – von außen gesehen könnte man sagen, die Antwort hat vielleicht etwas zu lange gedauert, man hätte sofort zumindest den Eingang der Anfrage bestätigen können, es wurde nicht ausreichend mit dem Betroffenen kommuniziert, etc.
Um aber immer „ohne Verzug“ auf Anfragen von Betroffenen reagieren zu können, muss der Datenschutz schon absolut hervorragend aufgestellt, straff
durchorganisiert und maximal priorisiert sein.
Und er muss praktisch fehlerlos und ohne Zeitverluste in allen Organisationsteilen funktionieren. Da darf es nicht mal (z.B. wegen Urlaub, Krankheit, etc.) irgendwo haken.
Da kann sich jetzt jeder seine eigenen Gedanken dazu machen, ob das der Realität entspricht.
Mein pragmatischer Vorschlag:
„Unverzüglich“ aus Art. 12 Abs. (3) DSGVO streichen, feste Frist von 30 Werktagen sowie maximale Verlängerung um weitere 30 Werktage bei besonders komplexen Fällen.
Update:
Das Landesarbeitsgericht Düsseldorf sah den Sachverhalt zu verspäteter und unvollständiger Auskunft anders und lehnte die Forderung eines Klägers nach Schadenersatz in einer anderen Sache aus 2 Gründen ab:
"1.) Ein Verstoß gegen Art. 15 DSGVO falle bereits nicht in den Anwendungsbereich von Art. 82 DSGVO. Die Vorschrift setzt haftungsbegründend eine gegen die DSGVO verstoßende Datenverarbeitung voraus. Daran fehle es bei der bloßen Verletzung der Auskunftspflicht aus Art. 15 DSGVO - sei es, dass diese verzögert oder anfangs unvollständig erfüllt werde.
2.) Unabhängig davon setze Art. 82 DSGVO für einen Anspruch auf eine Geldentschädigung wegen eines immateriellen Schadens mehr als einen bloßen Verstoß gegen die Vorschriften der DSGVO voraus. Der bloße vom Kläger angeführte Kontrollverlust über die Daten genüge nicht und sei mit dem Verstoß gegen Art. 15 DSGVO letztlich identisch. Zu weiterem immateriellen Schaden fehlte es an jeglichem konkreten Vortrag des Klägers."
Am 14.12.2023 hat übrigens der EuGH über ein Vorabentscheidungsersuchen des Landgerichts Ravensburg (externer Link, Curia) zur Frage, wann ein immaterieller Schadenersatz vorliegen kann, zu entscheiden. Es bleibt spannend!
Foto: CanvaPro
Quellenangabe:
Arbeitsgericht Duisburg, 5 Ca 877/23 (https://www.justiz.nrw/nrwe/arbgs/duesseldorf/arbg_duisburg/j2023/5_Ca_877_23_Urteil_20231103.html)
Landesarbeitsgericht Düsseldorf, Urteil vom 28.11.2023 - 3 Sa 285/23 (https://www.justiz.nrw/JM/Presse/presse_weitere/PresseLArbGs/Nr_29_23/index.php?cookie-agree=-1)