Das Landesarbeitsgericht Düsseldorf hat mit Urteil vom 10.04.2024 zum Aktenzeichen 12 Sa 1007/23 entschieden, dass ein Arbeitgeber einem Bewerber informieren muss, wenn er nach ihm gegoogelt hat oder der Arbeitgeber Schadensersatz leisten muss.
Die Parteien streiten über Ansprüche auf materiellen und immateriellen Schadensersatz im Zusammenhang mit einem Stellenbesetzungsverfahren.
Der Kläger hat behauptet, dass er erstmals durch den Auswahlvermerk erfahren habe, dass die Beklagte über ihn im Internet „geschnüffelt“ und das Ergebnis in den Bewerbungsprozess habe einfließen lassen.
Kern des Vorwurfs sei, dass die Beklagte die Daten aus dem Internet hinter seinem Rücken erhoben habe. Sie habe unzutreffende Daten erhoben, ihn nicht informiert und ihm keine Gelegenheit zur Stellungnahme gegeben, was alles Einfluss auf das Ergebnis des Auswahlverfahrens gehabt habe.
Die Beklagte ist verpflichtet, dem Kläger eine Entschädigung in dieser Höhe gemäß Art. 82 Abs. 1 DSGVO zu zahlen, weil sie diesen entgegen Art. 14 Abs. 1 lit. d DSGVO nicht über die Kategorie der von ihr im Rahmen des Auswahlverfahrens verarbeiteten Daten, nämlich der strafrechtlichen Verurteilung durch das Landgericht München I, informiert hat. Im Übrigen ist der Klageantrag unbegründet.
Die oben dargelegten drei kumulativen Voraussetzungen sind gegeben.
Aus den obigen Ausführungen ergibt sich, dass die Beklagten gegen Art. 14 Abs. 1 lit. d DSGVO, mithin eine Vorschrift der DSGVO, verstoßen hat. Sie hat den Kläger bezogen auf die Verarbeitung der strafrechtlichen Verurteilung durch das Landgericht München I im Auswahlverfahren nicht informiert und diese Verurteilung ohne die rechtliche gebotene Information über die Datenkategorie jedenfalls hilfsweise ihrer Auswahlentscheidung dokumentiert zu Grunde gelegt. Es geht hier auch nicht um eine alleine stehende Informationspflicht (einschränkend LAG Nürnberg 25.01.2023 – 4 Sa 201/22 – Rn. 21). Vielmehr hat die Auskunftspflicht aus Art. 14 DSGVO unmittelbaren Bezug zum Verarbeitungsvorgang. Sie stellt sicher, dass die Grundsätze einer fairen und transparenten Verarbeitung gewahrt sind, denn diese Grundsätze bedeuten, dass die betroffene Person über die Existenz des Verarbeitungsvorgangs und seine Zwecke unterrichtet wird (vgl. Erwägungsgrund 60 Satz 1).
Der Kläger hat verursacht durch die nicht erfolgte Information gemäß Art. 14 Abs. 1 lit. d DSGVO einen Schaden erlitten.
Ein Anspruch auf Ersatz des immateriellen Schadens des Klägers scheidet nicht deshalb aus, weil es hier um einen bloßen Verstoß gegen die Bestimmungen der DSGVO geht, der alleine nicht zur Begründung des Schadensersatzes ausreicht. Richtig ist allerdings, dass der Europäische Gerichtshof in seinem Urteil vom 04.05.2023 (C-300/21, juris Rn. 28 ff., 42) ausgeführt hat, dass Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen immateriellen Schadensersatzanspruch zu begründen. Anderseits hat der Europäische Gerichtshof in der genannten Entscheidung erkannt, dass der Begriff des immateriellen Schadens autonom und unionsrechtlich einheitlich zu definieren ist. Dabei ist die betroffene Person nicht von dem Nachweis befreit, dass der Verstoß gegen die DSGVO für sie negative Folgen gehabt habe, welche einen immateriellen Schaden darstellen. Anderseits sei keine Voraussetzung, dass der der betroffenen Person entstandene immaterielle Schaden einen bestimmten Grad an Erheblichkeit erreicht hat (EuGH 04.05.2023 – C-300/21, juris Rn. 43 ff., 50, 51).
Der Nachteil muss weder „spürbar“ noch die Beeinträchtigung „objektiv“ sein. Diese Auslegung ergibt sich aus dem dritten Satz des 146. Erwägungsgrundes der DSGVO, in dem es heißt, dass „[d]er Begriff des Schadens … im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden [sollte], die den Zielen dieser Verordnung in vollem Umfang entspricht“. Dies steht mit den Zielen der DSGVO im Einklang, namentlich demjenigen, innerhalb der Union ein gleichmäßiges und hohes Niveau des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten zu gewährleisten (vgl. EuGH 14.12.2023 – C-456/22, juris Rn. 20).
Schließlich hat der Europäische Gerichtshof klargestellt, dass der Unionsgesetzgeber unter den Schadensbegriff insbesondere auch den bloßen „Verlust der Kontrolle“ über die eigenen Daten infolge eines Verstoßes gegen die DSGVO fassen wollte, selbst wenn konkret keine missbräuchliche Verwendung der betreffenden Daten zum Nachteil dieser Personen erfolgt sein sollte. Zur Begründung hat er auf den ersten Satz des 85. Erwägungsgrundes der DSGVO verwiesen. Denn dort wird in einer beispielhaften Aufzählung von möglichen materiellen oder immateriellen Schäden explizit der Verlust der Kontrolle über die eigenen personenbezogenen Daten genannt (vgl. EuGH 14.12.2023 – C-340/21, juris Rn. 74 – 86).
Schließlich hat der Europäische Gerichtshof ausgeführt, dass Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass der in dieser Bestimmung vorgesehene Schadenersatzanspruch eine Ausgleichsfunktion hat, da eine auf diese Bestimmung gestützte Entschädigung in Geld ermöglichen soll, den konkret aufgrund des Verstoßes gegen diese Verordnung erlittenen Schaden vollständig auszugleichen, und keine abschreckende oder Straffunktion erfüllt (EuGH 21.12.2023 – C-667/21, juris Rn. 87). Soweit die Kammer in der Entscheidung vom 26.04.2023 – 12 Sa 18/23, juris Rn. 181) von dem Erfordernis einer abschreckenden Wirkung ausgegangen ist, hält sie daran in Ansehung der jüngsten Rechtsprechung des Europäischen Gerichtshofs nicht fest.
Der Kläger hat hier einen immateriellen Schaden dargelegt, der durch die fehlende Information verursacht worden ist. Die Beklagte hat ohne Mitteilung an den Kläger dessen nicht rechtskräftige strafrechtliche Verurteilung zur – und sei es nur hilfsweisen – Grundlage ihrer Datenverarbeitung im Auswahlprozess gemacht. Sie hat dies dokumentiert im Auswahlvermerk niedergelegt, ohne den Kläger über diese Datenkategorie zu informieren. Damit ist der Kläger zum bloßen Objekt der Datenverarbeitung geworden und hat einen erheblichen Kontrollverlust mit negativen Auswirkungen auf die Auswahlentscheidung erlitten. Diese mag objektiv im Ergebnis richtig sein, weil der Kläger ungeeignet war. Dies ändert aber nichts daran, dass er im Auswahlprozess bloßes Objekt der Datenverarbeitung war. Dies beeinträchtigt den Kläger auch in seinem allgemeinen Persönlichkeitsrecht. Es handelt sich außerdem um eine erheblich negative Tatsache, nämlich eine strafrechtliche Verurteilung. Es liegt ein erheblicher Kontrollverlust auf Seiten des Klägers vor.
Bei Würdigung aller Umstände erachtet die erkennende Kammer im konkreten Fall eine Entschädigung von insgesamt 1.000,00 Euro für angemessen.
Art. 82 DSGVO ist dahingehend auszulegen, dass die nationalen Gerichte bei der Festsetzung der Höhe des Schadensersatzes, der aufgrund des in diesem Artikel verankerten Schadensersatzanspruchs geschuldet wird, die innerstaatlichen Vorschriften der einzelnen Mitgliedstaaten über den Umfang der finanziellen Entschädigung anzuwenden haben, sofern die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität beachtet werden (EuGH 04.05.2023 – C-300/21, Rn. 59). Der Grad des Verschuldens des Verantwortlichen ist dabei für die Bemessung der Höhe des nach Art. 82 Abs. 1 der Verordnung 2016/679 zu ersetzenden immateriellen Schadens nicht von Bedeutung (EuGH 21.12.2023 – C-667/21, juris Rn. 103).
Mangels einschlägiger unionsrechtlicher Vorschriften ist die Höhe des Schadens gemäß § 287 Abs. 1 Satz 1 ZPO zu bestimmen, wonach alle Umstände des Einzelfalls zu würdigen sind. Art. 82 DSGVO regelt selbst keine Verfahrensmodalitäten zur Durchsetzung des Schadensersatzanspruchs. Art. 79 Abs. 1 DSGVO sieht lediglich vor, dass jede betroffene Person das Recht auf einen wirksamen gerichtlichen Rechtsbehelf hat, wenn sie der Ansicht ist, dass die ihr aufgrund der DSGVO zustehenden Rechte infolge einer nicht mit ihr im Einklang stehenden Verarbeitung ihrer personenbezogenen Daten verletzt wurden. Dem Äquivalenz- oder Effektivitätsgrundsatz ist durch die Anwendung von § 287 Abs. 1 Satz 1 ZPO Rechnung getragen. Die Bestimmung findet im nationalen Recht ebenso bei der Durchsetzung anderer Ansprüche auf immateriellen Schadensersatz Anwendung (BAG 05.05.2022 – 2 AZR 363/21, juris Rn. 14). Für die Bemessung der Höhe des immateriellen Schadens ist dabei als einem wichtigen Faktor auf die Intensität der Persönlichkeitsrechtsverletzung abzustellen.
In Würdigung aller Umstände dieses Falles erachtet die Kammer eine Entschädigung von 1.000,00 Euro für angemessen. Dies ergibt sich insbesondere aus Folgendem: Die Kammer hat zunächst berücksichtigt, dass die Datenverarbeitung hier eine deutlich negative Tatsache über den Kläger betraf, nämlich dessen strafrechtliche Verurteilung, die zudem unrichtig wiedergegeben wurde (gewerbsmäßiger Betrug). Es ist weiter zu berücksichtigen, dass diese Verurteilung nicht rechtskräftig war. Die Information war noch deutlich wichtiger als bei einer rechtskräftigen Verurteilung, um dem Kläger die Möglichkeit zur Stellungnahme im Bewerbungsprozess zu gewähren. Schließlich hat die Beklagte den Kläger während des Bewerbungsverfahrens ohne Mitteilung an diesen aufgrund der damaligen Verurteilung für ungeeignet erachte. Dies machte ihn in erheblicher Weise zum bloßen Objekt der Datenverarbeitung und setzte seinen Achtungsanspruch als Person herab. Dies ist zugleich ein erheblicher Kontrollverlust. Insgesamt sind bei Würdigung aller Umstände 1.000,00 Euro zur Überzeugung der Kammer angemessen, um den erlittenen immateriellen Schaden auszugleichen.