Arbeitsgericht Suhl

- Az: 6 Ca 704/23

Auskunft mit personenbezogenen Daten per Mail nur verschlüsselt

Um eine Entschädigung gemäß Art. 82 DSGVO geltend machen zu können, müssen nicht nur Datenschutzverletzungen nachgewiesen werden, sondern es bedarf auch eines nachweisbaren Schadens sowie ein Kausalzusammenhang zwischen Schaden und Verstoß.
(Redaktioneller Orientierungssatz)

Im vorliegenden Fall forderte der Kläger seinen Arbeitgeber auf, ihm Auskunft über die von ihm gespeicherten Daten zu geben. Der Arbeitgeber, der als Beklagter auftrat, sandte die Daten ohne Verschlüsselung per E-Mail. Aufgrund dieser fehlenden Sicherheitsmaßnahme erhob der Kläger eine Klage auf Schadensersatz in Höhe von 10.000 Euro.
Das Arbeitsgericht Suhl wies die Klage jedoch zurück. In Übereinstimmung mit dem Urteil des Europäischen Gerichtshofs vom 04.05.2023 (Az: C-300/21) wird die Ansicht vertreten, dass gemäß Art. 82 Abs. 1 DSGVO der bloße Verstoß gegen die Bestimmungen der DSGVO nicht ausreiche, um einen Anspruch auf Schadensersatz zu begründen. Neben dem Datenschutzverstoß müsse gemäß der Entscheidung des EuGH auch ein nachgewiesener Schaden vorliegen, und es muss ein klarer Kausalzusammenhang zwischen dem Datenschutzverstoß und dem Schaden bestehen. Im vorliegenden Fall konnte der Kläger weder einen Schaden nachweisen noch einen solchen Zusammenhang darlegen.
(Redaktionelle Zusammenfassung)

Tenor

1. Die Klage wird abgewiesen.

2. Die Kosten des Rechtstreits hat der Kläger zu tragen.

3. Der Wert des Streitgegenstandes wird auf 10.000,00 € festgesetzt.

4. Soweit die Berufung nicht kraft Gesetzes statthaft ist, wird sie nicht zugelassen.

 

Tatbestand

Der Kläger begehrt von der Beklagten Zahlung von Schadensersatz nach Art. 82 Abs.1 DSGVO.

Im Zeitraum 10/2020 bis einschließlich 01/2022 war der Kläger bei der Beklagten beschäftigt.

Mit E-Mail vom 22.12.2021 (Anlage K 2, Bl. 12 der Akte) begehrte der Kläger Auskunft von der Beklagten über alle über ihn gespeicherten Daten in schriftlicher Form. Mit unverschlüsselter Antwort-E-Mail vom 23.12.2021 übersandte die Beklagte dem Kläger eine Übersicht der digital verarbeiteten Daten. Zudem wurden die gespeicherten personenbezogenen Daten des Klägers ohne dessen Zustimmung an den Betriebsrat weitergeleitet. Per Post erteilte die Beklagte dem Kläger im Frühjahr 2022 weitere Auskunft über die erhobenen und gespeicherten Daten.

Der Kläger erhob Beschwerde über Datenschutzverletzungen im A beim Thüringer Landesbeauftragen für den Datenschutz und die Informationsfreiheit (nachfolgend TLfDI). Am 25.01.2023 (Anlage K 3, Bl. 14 f. der Akte) wurde ihm auf die Beschwerde mitgeteilt, dass nach Auffassung des TLfDI die Auskunftserteilung mittels unverschlüsselter E-Mail gegen Art. 5 Abs.1 Buchst. f) DSGVO verstoße. Am 30.03.2023 (Anlage K 4, Bl. 16 f. der Akte) beantragte der Kläger beim TLfDI eine Ergänzungsprüfung wegen der Übersendung der Daten an den Betriebsrat.

In einem weiteren Verfahren vor dem Arbeitsgericht Suhl, Az. 3 Ca 63/22, begehrte der Kläger von der Beklagten Auskunft nach Art. 15 DSGVO. Nachdem die Beklagte dem Kläger eine vollständige Kopie der Personalakte übermittelte, erklärten die Parteien im Berufungsverfahren vor dem Landesarbeitsgericht Thüringen unter dem Aktenzeichen 1 Sa 256/22 am 30.05.2023 den Auskunftsanspruch für erledigt. Insoweit wird auf das Urteil vom 30.05.2023 (Bl. 45 ff. der Akte) ergänzend verwiesen.

Mit Beschwerdeformular vom 19.06.2023 (Anlage K 5, Bl. 18 ff. der Akte) rügte der Kläger einen weiteren Verstoß gegen die DSGVO beim TLfDI. Hier monierte der Kläger die unvollständige Auskunft, welche ihm im Frühjahr 2022 postalisch erteilt wurde.

Mit Bescheid vom 03.08.2023 traf der TLfDI eine Entscheidung über die Beschwerde des Klägers über Datenschutzverletzungen im A in Bezug auf das Auskunftsersuchen. Hier wurde mitgeteilt, dass ein Verstoß gegen Art. 5 Abs.1 Buchst. f) DSGVO vorliege, da auf den Antrag des Klägers vom 22.12.2021 ein Datenblatt mit personenbezogenen Daten im pdf-Format als Anhang einer unverschlüsselten E-Mail übersandt wurde. Wegen des weiteren Inhalts des Bescheides wird auf die Anlage K 6 (Bl. 30 f. der Akte) Bezug genommen.

Mit Schreiben vom 30.10.2023 beantragte der Kläger persönlich die vorläufige Verfahrensaussetzung, da weitere Beschwerden gegen die Beklagte beim TLfDI anhängig seien und kurz vor der Entscheidungsreife stünden. Es werde Verfahrensaussetzung beantragt, bis ein ordnungsgemäßer Bescheid des unabhängigen TLfDI betreffs dieser Übergriffe vorliegt. Unter dem 08.11.2023 schloss sich die Beklagte dem Antrag auf Ruhen des Verfahrens an. Mit Schreiben vom 09.11.2023 teilte die Klägervertreterin mit, dass Einverständnis mit dem Antrag des Klägers bestehe.

Der Kläger meint, ihm stehe ein Schadensersatzanspruch aus Art. 82 Abs. 1 DSGVO zu. Die Beklagte habe mehrfach in erheblicher Weise gegen die DSGVO verstoßen und sei daher zu einer Geldentschädigung in Mindesthöhe der geltend gemachten 10.000 € netto verpflichtet. Ersatzfähig seien alle immateriellen Schäden, welche i.d.R. aus einer Verletzung des allgemeinen Persönlichkeitsrechts heraus resultieren. Verursacht durch die Verstöße (Datenübermittlung mittels unverschlüsselter E-Mail, Weiterleitung an den Betriebsrat und unvollständige Auskunft) habe der Kläger einen immateriellen Schaden erlitten. Jedenfalls durch die unverschlüsselte und bis heute nicht vollständig erteilte Auskunft habe er einen Kontrollverlust erlitten, der als weiterer immaterieller Schaden zu qualifizieren sei. Er ist darüber hinaus der Auffassung, dass gerade kein nachweisbarer separater kausaler Schaden erforderlich ist, sondern vielmehr bereits ein Verstoß gegen die DSGVO genüge. Aufgrund der mehrfachen und fortwährenden Verstöße als auch zur Erzielung einer Abschreckungswirkung sei ein Betrag von 10.000 € angemessen.

Der Kläger behauptet, einen weiteren Verstoß habe er mit Beschwerdeformular vom 23.12.2021 beim TLfDI gerügt.

Der Kläger beantragt:

Die Beklagte wird verurteilt, an den Kläger eine angemessene Entschädigung nach Art. 82 Abs.1 DSGVO, deren Höhe in das Ermessen des Gerichts gestellt wird, welche jedoch 10.000,00 € nicht unterschreiten soll, nebst Zinsen in Höhe von fünf Prozentpunkten über dem jeweiligen Basiszinssatz seit Rechtshändigkeit zu zahlen.

Die Beklagte beantragt,

die Klage abzuweisen.

Sie meint, lediglich die Übermittlung mittels unverschlüsselter E-Mail wurde vom TLfDI als Verstoß gegen Art. 5 DSGVO bewertet. Die Weiterleitung der Daten an den Betriebsrat sei nicht zu beanstanden, da die Beklagte nach den Regelungen des BetrVG verpflichtet sei, den Betriebsrat bei personellen Angelegenheiten zu informieren bzw. zu unterrichten. Ein Verstoß im Hinblick auf die behauptete unvollständige Auskunft sei nicht ersichtlich, da dies Auskunftsklage abgewiesen wurde und im Berufungserfahren eine übereinstimmende Erledigterklärung erfolgte.

Ausdrücklich bestreitet die Beklagte, dass ein kausaler Schaden durch den Versand der unverschlüsselten E-Mail entstanden sei. Sie meint, ein Gefühl des Kontrollverlustes reiche zur Begründung eines Schadens in Höhe von 10.000 € nicht aus. Darüber hinaus sei die Höhe des begehrten Schadensersatzes völlig überzogen.

Wegen der weiteren Einzelnen des Sach- und Streitstandes wird auf die gewechselten Schriftsätze nebst Anlagen verwiesen.

 

Entscheidungsgründe

I.

Die zulässige Klage ist unbegründet.

1. Dem Kläger steht kein Anspruch aus Art. 82 DSGVO gegen die Beklagte auf Ersatz des von ihm geltend gemachten immateriellen Schadens zu.

Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde, Art. 82 Abs. 2 Satz 1 DSGVO. Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist, Art. 82 Abs. 3 DSGVO.

Die Voraussetzungen für einen Schadensersatzanspruch liegen nicht vor, da es jedenfalls an der Darlegung des Eintritts eines Schadens bei dem Kläger fehlt.

Ein Verstoß gegen Art. 5 DSGVO wegen des Versands der unverschlüsselten E-Mail liegt vor. Dies wurde auch vom Thüringer Landesbeauftragen für den Datenschutz und die Informationsfreiheit mit Bescheid vom 03.08.2023 bestätigt. Ob die Weiterleitung der Daten an den Betriebsrat und die monierte unvollständige Auskunftserteilung ebenfalls Verstöße gegen Regelungen der DSGVO darstellen, kann vorliegend dahinstehen. Denn der Kläger hat bereits keinen Schaden dargelegt.

Soweit der Kläger der Auffassung ist, bereits ein Verstoß gegen die DSGVO genüge für das Entstehen eines Schadensersatzanspruches, kann dem nicht gefolgt werden.

Es ist zwar zutreffend, dass die Frage, ob bereits der Datenschutzverstoß als solcher für das Entstehen eines Schadensersatzanspruchs ausreicht oder es darüber hinaus der Darlegung und des Nachweises eines konkreten (auch: immateriellen) Schadens bedarf, in Rechtsprechung und Literatur umstritten ist. Sowohl der österreichische Oberste Gerichtshof (Vorabentscheidungsersuchen vom 12.05.2021, ZD 2021, S. 631, wobei der Gerichtshof die Auffassung vertritt, es sei der Nachweis eines Schadens erforderlich) als auch das Bundesarbeitsgericht (Vorabentscheidungsersuchen vom 26.08.2021, 8 AZR 253/20-A, wobei das BAG den Nachweis eines Schadens nicht für notwendig hält) haben die hiermit zusammenhängenden Fragen dem Europäischen Gerichtshof zur Vorabentscheidung vorgelegt (OLG Frankfurt, Urteil vom 02.03.2022 – 13 U 206/20 -Rn. 68, 69, juris).

Auf das Vorabentscheidungsersuchen des österreichischen Obersten Gerichtshofes entschied jedoch nunmehr unter dem 04.05.2023 der EuGH, dass Art. 82 Abs.1 DSGVO so auszulegen ist, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadensersatzanspruch zu begründen. Zur Begründung führt der EuGH in seinem Urteil vom 04.05.2023, C-300/21, wie folgt aus:

„Mit seiner ersten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung ausreicht, um einen Schadenersatzanspruch zu begründen.

Insoweit ist darauf hinzuweisen, dass nach ständiger Rechtsprechung die Begriffe einer Bestimmung des Unionsrechts, die für die Ermittlung ihres Sinnes und ihrer Tragweite nicht ausdrücklich auf das Recht der Mitgliedstaaten verweist, in der Regel in der gesamten Union eine autonome und einheitliche Auslegung erhalten müssen (Urteile vom 22. Juni 2021, Latvijas Republikas Saeima [Strafpunkte], C-439/19, EU:C:2021:504, Rn. 81, und vom 10. Februar 2022, ShareWood Switzerland, C-595/20, EU:C:2022:86, Rn. 21), die insbesondere unter Berücksichtigung des Wortlauts der betreffenden Bestimmung und des Zusammenhangs, in den sie sich einfügt, zu ermitteln ist (vgl. in diesem Sinne Urteile vom 15. April 2021, The North of England P & I Association, C-786/19, EU:C:2021:276, Rn. 48, sowie vom 10. Juni 2021, KRONE – Verlag, C-65/20, EU:C:2021:471, Rn. 25).

Die DSGVO verweist für den Sinn und die Tragweite der in ihrem Art. 82 enthaltenen Begriffe, insbesondere in Bezug auf die Begriffe „materieller oder immaterieller Schaden“ und „Schadenersatz“, nicht auf das Recht der Mitgliedstaaten. Daraus folgt, dass diese Begriffe für die Anwendung der DSGVO als autonome Begriffe des Unionsrechts anzusehen sind, die in allen Mitgliedstaaten einheitlich auszulegen sind.

Was als Erstes den Wortlaut von Art. 82 DSGVO betrifft, ist darauf hinzuweisen, dass nach Abs. 1 dieses Artikels „[j]ede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, … Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter [hat]“.

Zum einen geht aus dem Wortlaut dieser Bestimmung klar hervor, dass das Vorliegen eines „Schadens“ eine der Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadenersatzanspruch darstellt, ebenso wie das Vorliegen eines Verstoßes gegen die DSGVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind.

Daher kann nicht davon ausgegangen werden, dass jeder „Verstoß“ gegen die Bestimmungen der DSGVO für sich genommen den Schadenersatzanspruch der betroffenen Person im Sinne von Art. 4 Nr. 1 dieser Verordnung eröffnet. Eine solche Auslegung liefe dem Wortlaut von Art. 82 Abs. 1 DSGVO zuwider.

Zum anderen ist hervorzuheben, dass die gesonderte Erwähnung eines „Schadens“ und eines „Verstoßes“ in Art. 82 Abs. 1 DSGVO überflüssig wäre, wenn der Unionsgesetzgeber davon ausgegangen wäre, dass ein Verstoß gegen die Bestimmungen der DSGVO für sich allein in jedem Fall ausreichend wäre, um einen Schadenersatzanspruch zu begründen.

Als Zweites wird die vorstehende Wortauslegung durch den Zusammenhang bestätigt, in den sich diese Bestimmung einfügt.

Art. 82 Abs. 2 DSGVO, der die Haftungsregelung, deren Grundsatz in Abs. 1 dieses Artikels festgelegt ist, präzisiert, übernimmt nämlich die drei Voraussetzungen für die Entstehung des Schadenersatzanspruchs, nämlich eine Verarbeitung personenbezogener Daten unter Verstoß gegen die Bestimmungen der DSGVO, ein der betroffenen Person entstandener Schaden und ein Kausalzusammenhang zwischen der rechtswidrigen Verarbeitung und diesem Schaden.

Diese Auslegung wird auch durch die Erläuterungen in den Erwägungsgründen 75, 85 und 146 der DSGVO bestätigt. Zum einen bezieht sich der 146. Erwägungsgrund der DSGVO, der speziell den in Art. 82 Abs. 1 dieser Verordnung vorgesehenen Schadenersatzanspruch betrifft, in seinem ersten Satz auf „Schäden, die einer Person aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht“. Zum anderen heißt es in den Erwägungsgründen 75 und 85 der DSGVO, dass „[d]ie Risiken … aus einer Verarbeitung personenbezogener Daten hervorgehen [können], die zu einem … Schaden führen könnte“ bzw. dass eine „Verletzung des Schutzes personenbezogener Daten … einen … Schaden … nach sich ziehen [kann]“. Daraus ergibt sich erstens, dass der Eintritt eines Schadens im Rahmen einer solchen Verarbeitung nur potenziell ist, zweitens, dass ein Verstoß gegen die DSGVO nicht zwangsläufig zu einem Schaden führt, und drittens, dass ein Kausalzusammenhang zwischen dem fraglichen Verstoß und dem der betroffenen Person entstandenen Schaden bestehen muss, um einen Schadenersatzanspruch zu begründen.

Die Wortauslegung von Art. 82 Abs. 1 DSGVO wird auch durch einen Vergleich mit anderen Bestimmungen bestätigt, die ebenfalls in Kapitel VIII der DSGVO enthalten sind, das u. a. die verschiedenen Rechtsbehelfe regelt, mit denen die Rechte der betroffenen Person im Fall einer Verarbeitung ihrer personenbezogenen Daten, die gegen die Bestimmungen dieser Verordnung verstoßen soll, geschützt werden können.

Hierzu ist festzustellen, dass die in diesem Kapitel enthaltenen Art. 77 und 78 DSGVO im Fall eines behaupteten Verstoßes gegen diese Verordnung Rechtsbehelfe bei einer bzw. gegen eine Aufsichtsbehörde vorsehen, wobei sie – anders als Art. 82 DSGVO in Bezug auf Schadenersatzklagen – keinen Hinweis darauf enthalten, dass der betroffenen Person ein „Schaden“ entstanden sein müsste, um solche Rechtsbehelfe einlegen zu können. Dieser Unterschied in der Formulierung offenbart die Bedeutung des Kriteriums „Schaden“ und damit seine Eigenständigkeit gegenüber dem Kriterium „Verstoß“ für die Zwecke der auf die DSGVO gestützten Schadenersatzansprüche.

Auch haben die Art. 83 und 84 DSGVO, die die Verhängung von Geldbußen und anderen Sanktionen erlauben, im Wesentlichen einen Strafzweck und hängen nicht vom Vorliegen eines individuellen Schadens ab. Das Verhältnis zwischen den in Art. 82 DSGVO und den in den Art. 83 und 84 DSGVO enthaltenen Vorschriften zeigt, dass zwischen diesen beiden Kategorien von Bestimmungen ein Unterschied besteht, sie einander aber als Anreiz zur Einhaltung der DSGVO auch ergänzen, wobei das Recht jeder Person, den Ersatz eines Schadens zu verlangen, die Durchsetzungskraft der in dieser Verordnung vorgesehenen Schutzvorschriften erhöht und geeignet ist, von der Wiederholung rechtswidriger Verhaltensweisen abzuschrecken.

Schließlich ist darauf hinzuweisen, dass nach dem vierten Satz des 146. Erwägungsgrundes der DSGVO die Vorschriften der DSGVO unbeschadet von Schadenersatzforderungen aufgrund von Verstößen gegen andere Vorschriften des Unionsrechts oder des Rechts der Mitgliedstaaten gelten.

Nach alledem ist auf die erste Frage zu antworten, dass Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadenersatzanspruch zu begründen.“

Mit diesen Ausführungen wird nunmehr die Auffassung der Kammer bestätigt, dass für einen Anspruch auf Schadensersatz nach Art. 82 DSGVO neben einem Verstoß auch ein Schaden sowie ein Kausalzusammenhang zwischen Verstoß und Schaden erforderlich ist.

Der Kläger hat einen etwaigen immateriellen Schaden darzulegen und ggf. nachzuweisen.

Das Erfordernis des Nachweises eines tatsächlich erlittenen Schadens ist auch der Sache nach erforderlich, um ein vom Verordnungsgeber nicht gewolltes Ausufern von Schadensersatzforderungen in allen Fällen eines - tatsächlich für den Betroffenen folgenlosen - Datenschutzverstoßes zu vermeiden (OLG Frankfurt, Urteil vom 02.03.2022 – 13 U 206/20 -Rn. 73, juris).

Das Vorliegen eines konkreten immateriellen Schadens hat der Kläger nicht ausreichend dargetan. Im vorliegenden Fall ist nicht ersichtlich, inwieweit der Kläger einen Kontrollverlust erlitten haben will. Es ist nicht ersichtlich, dass der Kläger daran gehindert wurde, die ihn betreffenden personenbezogenen Daten zu kontrollieren. Darüber hinaus stellt nach Auffassung der Kammer ein bloßer, abstrakter Kontrollverlust auch keinen konkreten immateriellen Schaden dar.

2. Ein Anspruch des Klägers gegen die Beklagte auf Zahlung eines angemessenen Schmerzensgeldes unter dem Gesichtspunkt der Verletzung seines allgemeinen Persönlichkeitsrechts §§ 823 Abs. 1, 253 BGB in Verbindung mit Art. 1 Abs. 1, Art. 2 Abs. 1 GG besteht ebenfalls nicht.

Soweit der Kläger eine Entschädigung begehrt und argumentiert, dass alle immateriellen Schäden ersatzfähig seien, welche i.d.R. aus der Verletzung des allgemeinen Persönlichkeitsrechts heraus resultieren, kommen die genannten Normen auch als Anspruchsgrundlage in Betracht.

Das allgemeine Persönlichkeitsrecht dient in erster Linie dem Schutz ideeller Interessen, insbesondere dem Schutz des Wert- und Achtungsanspruchs der Persönlichkeit. Dieser Schutz wird dadurch verwirklicht, dass bei einer schweren Persönlichkeitsrechtsverletzung - neben negatorischen Schutzansprüchen und Ansprüchen auf Ersatz des materiellen Schadens - auch Ansprüche in Betracht kommen, die auf den Ausgleich immaterieller Beeinträchtigungen durch Zahlung einer Geldentschädigung gerichtet sind. Bei schwerwiegenden Verletzungen des allgemeinen Persönlichkeitsrechtsrechts besteht daher nach ständiger, mittlerweile gewohnheitsrechtlich anerkannter höchstrichterlicher Rechtsprechung ein Anspruch auf Ausgleich der dadurch verursachten immateriellen Schäden, der unmittelbar aus dem Schutzauftrag der Art. 1 Abs. 1, 2 Abs. 1 GG abgeleitet wird (OLG Düsseldorf, Beschluss vom 16.02.2021 – 16 U 269/20 – Rn. 14 m.w.N., juris).

Ein derartiger Anspruch scheitert vorliegend bereits daran, dass keine schwerwiegende Verletzung des allgemeinen Persönlichkeitsrechts dargetan wurde.

II.

Das Verfahren war weder auszusetzen, noch das Ruhen des Verfahrens anzuordnen.

1. Entgegen der Ansicht des Klägers war das Gericht nicht gehalten, das vorliegende Verfahren auszusetzen. Das Verfahren war entscheidungsreif. Eine Aussetzung nach § 148 ZPO kam daher nicht in Betracht. Im Übrigen sind Bescheide des Landesdatenschutzbeauftragen nicht vorgreiflich im Sinne dieser Norm. Zudem ist unklar, ob weitere beim Landesdatenschutzbeauftragten anhängige Beschwerden überhaupt in Zusammenhang mit den hier behaupteten Datenschutzverstößen stehen.

Vielmehr geht die Kammer davon aus, dass mit Bescheid vom 03.08.2023 abschließend über die behaupteten Verstöße (unverschlüsselte E-Mail, Weiterleitung an Betriebsrat und unvollständige Auskunft) entschieden wurde. Entgegen der Darstellung des Klägers mit Beschwerdeformular vom 23.12.2021 sei ein weiterer Verstoß gerügt worden, betrifft diese Beschwerde offensichtlich den bereits dargelegten Verstoß der Auskunft per unverschlüsselter E-Mail.

Unter dem 25.01.2023 (Anlage K 3, Bl. 14 der Akte) erhielt der Kläger vom TLfDI eine Mittelung zur Beschwerde über Datenschutzverletzungen im A. In dem Schreiben wurde dargelegt, dass die Übermittlung mittels unverschlüsselter E-Mail als Verstoß gegen Art. 5 DSGVO zu werten ist. Es wurde auf ein laufendes Anhörungsverfahren hingewiesen und mitgeteilt, dass der Kläger über den Ausgang des Verfahrens informiert wird. Nach dem Antrag des Klägers auf Ergänzungsprüfung vom 30.03.2023 (Anlage K 4, Bl. 16 f. der Akte) und seiner weiteren Beschwerde vom 19.06.2023 (Anlage K5, Bl. 18 f. der Akte) erging am 03.08.2023 ein Bescheid. Mit dem Inhalt dieses Bescheides (Anlage K 6 Bl. 30 f. der Akte) ist davon auszugehen, dass damit abschließend über die Beschwerden des Klägers entschieden wurde. Denn der Bescheid ist überschrieben mit „Ihre Beschwerde über Datenschutzverletzungen im A in Bezug auf ihr Auskunftsersuchen“. Es wird ausgeführt: „das o.g. Verwaltungsverfahren zu Ihrer Beschwerde vom 23. Dezember 2021 ist abgeschlossen.“ Im Absatz vor der Rechtsbehelfsbelehrung wird zudem ausgeführt: „Weitere Maßnahmen sind nicht erforderlich. Auch aus Ihrem Schreiben vom 19. Juni 2023 ergibt sich nichts Anderes, weil wegen der fehlerhaften Auskunftserteilung eine Verwarnung erteilt wurde und Ihnen die begehrten Informationen vorliegen.“

2. Ebenso wenig war das Ruhen des Verfahrens nach § 251 ZPO anzuordnen. Denn dies setzt einen übereinstimmenden Antrag der Parteien voraus, der nicht gestellt wurde. Auch die geforderte Zweckmäßigkeit lag nicht vor.

III.

Die Kostenentscheidung folg aus §§ 91 Abs. 1 ZPO, 46 Abs. 2 ArbGG.

IV.

Bei der Streitwertfestsetzung, die gemäß § 61 Abs. 1 ArbGG im Urteil erfolgte, war auf den angegebenen Mindestzahlbetrag abzustellen.

V.

Die Berufung ist nicht gemäß § 64 Abs. 2 a) ArbGG zuzulassen, da Berufungszulassungs-gründe gemäß § 64 Abs. 3 ArbGG nicht ersichtlich sind. Unberührt von dieser Entscheidung ist für den im Rechtsstreit unterlegenen Kläger die Berufung gemäß § 64 Abs. 2 b) ArbGG statthaft.



Sie kennen die Kanzlei Labisch aus folgenden Medien:

Logo SWR1
Logo SWR4
Logo RPR1
Logo Wiesbadener Kurier
Logo Geißener Anzeiger
Logo Wormser Zeitung
Logo Wiesbadener Tagblatt
Logo Main Spitze
Logo Frankfurter Rundschau
Logo Handelsblatt
Logo Allgemeine Zeitung
Logo Darmstädter Echo
Logo Focus
Logo NTV
Logo ZDF WISO
Lexikon schließen
Schließen