(MB) Die Webseiten vieler Unternehmen beinhalten inzwischen Informationen über ihre Mitarbeitenden und die Tätigkeiten, die sie für das Unternehmen erbringen. Nicht selten enthalten diese Informationen personenbezogene Daten ihrer Mitarbeitenden. Die jüngste Rechtsprechung zeigt, dass dies mit einem gewissen Risiko verbunden ist. So hat das Arbeitsgericht Neuruppin in einem Urteil vom 14. Dezember 2021 einer ehemaligen Mitarbeiterin der Beklagten einen immateriellen Schadensersatzanspruch gemäß Artikel 82 Absatz 1 DSGVO in Höhe von 1000 Euro zugesprochen, weil die Beklagte die Daten der ehemaligen Mitarbeiterin nicht von der Website gelöscht hat.

Zum Sachverhalt

Die Klägerin war  bei der Beklagten als Angestellte im Büromanagement tätig. Während des Arbeitsverhältnisses wurde die von der Klägerin erbrachte Tätigkeit unter Angabe ihres Namens und ihres akademischen Grades auf der Website des Unternehmens beschrieben. Nach Beendigung des Arbeitsverhältnisses wies die Klägerin die Beklagte darauf hin, dass ihre Daten immer noch auf der Website genannt wurden, und forderte die Beklagte auf, die Hinweise auf ihre Daten von der Website zu entfernen. Die Daten wurden jedoch erst mehrere Monate nach der Kündigung und einer weiteren Aufforderung gelöscht.

Schadenersatzanspruch aus Art. 82 Abs. 1 DS-GVO

Nach Art. 82 Abs. 1 DS-GVO hat jede Person, der durch eine unrechtmäßige Datenverarbeitung ein materieller oder immaterieller Schaden entstanden ist, einen Schadenersatzanspruch gegen den Verantwortlichen (hier der Arbeitgeber als Betreiber der Website) oder gegen den Auftragsverarbeiter. Hier hat das Arbeitsgericht Neuruppin eine Unrechtmäßigkeit feststellen können und der Klägerin einen immateriellen Schadensersatzanspruch zugesprochen.

Entscheidungsbegründung

Die Gründe für die Annahme einer Datenschutzverletzung hat das Gericht im Folgenden gesehen:

  • Verstoß gegen Art. 6 Abs. 1 DS-GVO

Auf der Webseite der Beklagten wurden Information über den Namen und die beruflichen Qualifikationen der Klägerin veröffentlicht. Bei diesen Informationen handelt es sich um personenbezogene Daten im Sinne von Art. 4 Nr. 1 DS-GVO. Eine Verarbeitung dieser Daten ist nur dann rechtmäßig, wenn mindestens eine der Bedingungen von Art. 6 Abs. 1 DS-GVO erfüllt ist. Mag auch während des Arbeitsverhältnisses eine Einwilligung vorgelegen haben, so verliert diese ihre Gültigkeit mit dem Widerruf der betroffenen Person. Die Beklagte sei von der Klägerin mehrfach dazu aufgefordert worden, diese Daten von der Webseite zu entfernen. Damit wäre die Einwilligung spätestens nach der ersten Aufforderung widerrufen, so dass jeder weiteren Verarbeitung die Rechtsgrundlage fehle. Die Beklagte sei jedoch schon bereits seit der Beendigung des Arbeitsverhältnisses im Rahmen ihrer Nebenpflicht aus dem Arbeitsverhältnis zur Löschung der Daten verpflichtet gewesen.

Auch eine Exkulpation aus der Haftung gem. Art. 82 Abs. 3 DS-GVO sei gerade aufgrund dieser erfolgten Aufforderung und der darauffolgenden Unterlassung der Beklagten, nicht möglich.

  • Verstoß gegen Art. 5 DS-GVO

Neben den Bestimmungen des Art. 6 Abs. 1 DS-GVO sind bei der Verarbeitung von personenbezogenen Daten die Grundsätze aus Art. 5 zu beachten. Auf der Webseite ist die Klägerin als Biologin vorgestellt worden, obwohl sie nicht als Biologin, sondern im Büromanagement der Beklagten tätig gewesen ist. Daher seien die Daten der Klägerin entgegen Art. 5 Abs. 1 lit. d) DS-GVO unzutreffend gewesen.

  • Vorliegen erforderlicher Kausalität

Der vorliegende Schaden ist auf das Unterlassen der Entfernung der Daten aus der Webseite der Beklagten zurückzuführen. Die Beklagte sei als Inhaberin der Webseite für ihren Inhalt und somit auch für die unrichtige bzw. unzulässige Verwendung der personenbezogenen Daten der Klägerin verantwortlich, Art. 4 lit. 7 DS-GVO.

  • Vorliegen eines immateriellen Schadens sowie abschreckende Wirkung

Gem. Erwägungsgrund 146 der DS-GVO muss es sich um einen vollständigen und wirksamen Schadenersatz handeln. Außerdem sollen Schadenersatzansprüche Wirksamkeits- und Abschreckungswirkung haben. Daher sei es nicht zwingend notwendig, dass ein materieller Schaden vorliegen müsse. Ebenso sollen immaterielle Schäden wegen Verletzung des allgemeinen Persönlichkeitsrechtes ausgeglichen werden. Ein Schaden im Sinne von Art. 82 DS-GVO kann somit auch der Kontrollverlust von Daten bzw. eine unbefugte Datenverarbeitung darstellen.

Auswirkungen

Eine Tendenz deutscher Gerichte, in solchen Fällen immaterielle Schadensersatzansprüche zuzusprechen, ist insbesondere in jüngster Zeit zu beobachten.

In einem ähnlichen Fall hat das LAG Köln in seinem Urteil vom 14. September 2020 einer Klägerin einen Schadensersatzanspruch in Höhe von 300 Euro zugesprochen.

Handlungsempfehlung

Unseren Kunden empfehlen wir ihre Internetauftritte und die Einwilligungen ihrer Mitarbeitenden zur Veröffentlichung ihrer Daten regelmäßig auf Aktualität zu prüfen. Um das Risiko einer Schadensersatzklage von ausgeschiedenen Mitarbeitenden ausschließen zu können, wäre es denkbar, eine abschließende Überprüfung der Internetpräsenz in den Off-Boarding-Prozess einzubinden.