Auskunftspflicht nach Art. 15 DSGVO verletzt: drei Wochen ist zu lang, Arbeitsgericht Duisburg

Das Urteil des Arbeitsgerichts Duisburg vom 03.11.2023 ist in zweierlei Hinsicht interessant.

Zum einen hat das Arbeitsgericht klargestellt, wie die Monatsfrist des Art. 12 Abs. 3 DSGVO (der sich auch auf die Auskunftserteilung des Art. 15 DSGVO bezieht) zu interpretieren sei. Zum anderen hat das Gericht erläutert, worin denn der Schaden beim Betroffenen liegen kann, wenn er seine Auskunft nicht rechtzeitig erhält.

Der Kläger hat sich am 14.03.2017 bei der Beklagten um eine Stelle beworben. Am 18.05.2023 begehrte der Kläger Auskunft über seine Daten nach DSGVO und setzte eine Frist bis zum 02.06.2023.

Eckdaten zum Sachverhalt

Als am 03.06.2023 immer noch keine Auskunft erteilt wurde, fragte der Kläger bei der Beklagten nach. Am 05.06.2023 erteilte die Beklagte dem Kläger eine Negativauskunft, das heißt, es liegen keine Daten des Klägers bei der Beklagten vor.

Der Kläger meint, die verspätete Auskunft verstoße gegen Art. 12 Abs. 3 DSGVO, da danach die Auskunft unverzüglich zu erfolgen habe. Da nicht einmal Daten vorlagen, sei die Frist bis zum 02.06.2023 angemessen.

Die Beklagte wendete dagegen ein, dass sie als Wirtschaftsauskunftei täglich mit zahlreichen Auskunftsverlangen konfrontiert sei und daher mehr Zeit benötige. Zudem habe der europäische Gesetzgeber die Frist von einem Monat gesetzlich festgelegt, da jeder Sachverhalt unterschiedliche Zeit benötige. Und selbst diese Frist sei nicht statisch, da sie ebenfalls nochmal um zwei weitere Monate verlängert werden könne. Da der Sachverhalt so lange zurückliege, sei erkennbar, dass es dem Kläger nicht besonders eilig sei. Zudem habe die Beklagte sämtliche Datenbanken durchforsten müssen, um nicht Gefahr zu laufen, eine falsche Auskunft zu erteilen.

Die Entscheidung des Arbeitsgerichts Duisburg

1. Keine Unverzügliche Auskunft

Das Gericht entschied zum einen, dass Art. 12 Abs. 3 DSGVO so auszulegen sei, dass die Auskunft unverzüglich erfolgen müsse. Dem sei die Beklagte nicht nachgekommen, als sie die Auskunft 2 Tage nach Ablauf der gesetzten Frist erteilte. Bei der Beurteilung, was „unverzüglich“ sei, komme es aber auf den Einzelfall an.

Die Höchstfrist von einem Monat dürfe aber nicht routinemäßig ausgeschöpft werden, sondern nur in schwierigen Fällen.

„Unverzüglich“ bedeute entsprechend § 121 BGB „ohne schuldhaftes Zögern“ und somit sei eine Zeitspanne von mehr als einer Woche ohne das Vorliegen besonderer Umstände nicht mehr unverzüglich. (Siehe auch BAH, Urteil vom 27.02.2020 – 2 AZR 390/19).

In diesem Fall sei die Auskunftserteilung nicht komplex, der Umfang sei überschaubar, bedenke man, dass letztlich keine Daten gespeichert waren. So entfalle nämlich das aufwendige Sichten und Sortieren der Daten.

Dass eine Wirtschaftsauskunftei geschäftsmäßig Auskünfte erteile, habe mit der Betroffenenanfrage nichts zu tun.

2. Immaterieller Schaden

Dem Kläger sei aufgrund des temporären Kontrollverlustes bezüglich seiner Daten ein immaterieller Schaden entstanden. Durch die verspätete Auskunft sei der Kläger im Ungewissen und ihm die weitere Prüfung verwehrt, ob und ggf. wie die Beklagte seine personenbezogenen Daten verarbeitet.

Die Höhe des Schadens wurde mit 750 € bemessen. Die Höhe für eine drei Tage verspätete Auskunft rechtfertigte das Gericht damit, dass Verstöße gegen die DSGVO effektiv sanktioniert werden müssten. Das werde nur durch Schadensersatz in abschreckender Höhe zu erreichen. Dabei wird die Finanzkraft der Beklagten, die Schwere, die Art und die Dauer des Verstoßes und der Grad des Verschuldens zu berücksichtigen.

Weitere Beiträge

DSA – Der Digital Service Act reguliert Online-Plattformen

Der Digital Service Act (DAS ersetzt in weiten Teilen die alte E-Commerce-Richtlinie, wie z.B. auch die Haftungsregelungen, erweitert diese und führt neue Pflichten insbesondere für die großen Online-Plattformen ein. Der DSA zielt darauf ab, die digitale Landschaft der Europäischen Union

Mehr lesen »

CRA – Cyber Resilienz Act Verordnung Nr. 2022/0272

Cybersicherheit für Digitale Produkte in der EU Die zunehmende Bedeutung der IT-Sicherheit und der Cyberrisiken im Finanzsektor verzahnt in diesem Kontext insbesondere auch das Thema Business Continuity Management, bzw. Notfallmanagement. Und nicht nur bedingt durch die zunehmende Digitalisierung des Bankgeschäfts und

Mehr lesen »

Online-Plattformen und ihre Haftung

Bei der Frage der Haftung lässt sich keine pauschale Aussage treffen. Und doch versuche ich nachfolgend, eine kurze Übersicht zu geben, worauf Plattformbetreiber achten müssen. Hosting-Provider Wenn Sie nur für andere Nutzer die Plattform zur Verfügung stellen, ansonsten aber keinen

Mehr lesen »
Nach oben scrollen