Zum Inhalt springen

DSGVO-Schadenersatz für vergessene PDF-Datei

dsgvo

Wenn ein Arbeitgeber personenbezogene Daten zu einem Arbeitnehmer in einem Online-PDF nach dem Ausscheiden des Arbeitnehmers übersieht und nicht die vorgeschriebene Löschung vornimmt, rechtfertigt das einen Schadenersatz wegen einer DSGVO-Verletzung. Das LAG Köln sprach der Klägerin Schadensersatz von 300,- € zu (Az.: 2 Sa 358/20).

Fehlende Löschung von Daten als Verstoß gegen die DSGVO

Geklagt hatte eine Professorin, die in der Vergangenheit fest bei der Beklagten beschäftigt war. Im Rahmen des Beschäftigungsverhältnisses speicherte diese ihre Profildaten und verlinkte diese – vermutlich aus Reputationszwecken – mit der eigenen Homepage (des beklagten Unternehmens) .

Das betreffende Profil lag ursprünglich als PDF vor. Nach der Umstellung der Homepage auf HTML vor einigen Jahren löschte die Beklagte die PDF-Vorlage nicht. Es kam allerdings auch zu keiner neuen Verlinkung.

Nach dem Ausscheiden der Klägerin aus dem Unternehmen stellte sie das Versäumnis der Nichtlöschung fest. Im Anschuss machte Sie daraufhin einen Schadenersatzanspruch nach Artikel 82 DSGVO (grundsätzlicher Schadenersatzanspruch bei Datenschutzverletzungen) geltend. Sie bezifferte ihn auf mindestens 1.000,- €. 

Schadensersatz von 300,- € aufgrund der DSGVO gerechtfertigt

Erstinstanzlich folgte das ArbG Köln grundsätzlich der Argumentation der Klägerin, verurteilte aber die Beklagte nur zu 300,- € Schadenersatz (Urteil vom 12.3.2020, Az.: 5 Ca 4806/19).

Gegen dieses Urteil legte die Klägerin beim LAG Köln Berufung ein. Dieses lehnte die Berufung ab. Es folgte dem Urteil der 1. Instanz.

Zur Begründung führte es auf, dass zwar in der Tat ein Versäumnis vorliege, allerdings mit sehr geringem Verschuldensgrad und mangels erneuter Verlinkung ohne bislang erkennbaren Schaden. Das Versäumnis sei vielmehr als Nachlässigkeit nach der Neuordnung des Onlineauftritts der Beklagten inklusive neuer Dateiformate zu werten.

Die Beklagte hätte vollumfänglich prüfen müssen, ob noch alte Dateiformate vorliegen und gegebenenfalls auch abrufbar sind. Dass dies versäumt wurde, sei möglicherweise auch damit zu begründen, dass die Klägerin während der Umstellung noch bei der Beklagten beschäftigt war und daher zu diesem Zeitpunkt kein Recht auf Löschung ihrer Daten hatte. Dem stand noch das berechtigte Interesse ihres Arbeitgebers (der Beklagten) nach DSGVO entgegen.

Erst nach ihrem Ausscheiden erlosch die Berechtigung dieses Interesses. Bei angemessener Sorgfalt hätte die Beklagte nun die betreffende PDF-Datei löschen müssen. Ihr diesbezügliches Versäumnis werteten die Richter aber als marginal. Es kam zu keiner weiteren Veröffentlichung der Daten, doch selbst wenn dies geschehen wäre, hätte kein Reputationsschaden für die Klägerin entstehen können, da die Daten inhaltlich richtig waren. Daher bezifferte das Gericht den angemessenen Schadenersatz mit 300,- €.

Schadensersatz bereits in Verbindung mit Anspruch auf Auskunft

Schadensersatz und Schmerzensgeld können bereits beansprucht werden, sofern ein Auskunftsanspruch nach Art. 15 DSGVO nicht, nicht rechtzeitig oder nicht vollständig erfüllt wird. Weitere Ausführungen dazu haben wir in diesem Beitrag dargestellt.