Strafe ohne Gesetz?

Die Verhängung von Strafen ist laut Grundgesetz nur auf gesetzgeberischer Grundlage möglich. Der Staat darf als sozialschädlich betrachtete Verhaltensweisen seiner Bürger unter Strafe stellen. Die Definition solcher Strafen ist dem Gesetzgeber vorbehalten. Allerdings muss eindeutig festgelegt sein, welche Vergehen und Verbrechen es gibt und welche Sanktionen dafür drohen. Der Bürger muss wissen, welche Strafen ihm drohen.

Schadensersatz

Die Verhängung von Schadensersatz ist grundsätzlich keine Strafe. Er ist eine primär zivilrechtliche Reaktion auf die Verletzung der Rechte Dritter. Das durch einen Unfall kaputte Auto und der verlorene Brillantring sind leicht als Schaden zu begreifen. Wer diese Schäden verursacht hat, ist meist einfach zu ermitteln, die Höhe des Schadens auch. Schwieriger wird es beim immateriellen Schadensersatz. Das sind Schäden, den kein Handels- oder Vermögenswert zugrunde liegt. Am bekanntesten ist in dieser Kategorie das Schmerzensgeld.

DSGVO und Schadensersatz

Seit dem 25. Mai 2018 gilt die Datenschutz-Grundverordnung. Sie wird – auch innerhalb der Anwaltschaft – kontrovers diskutiert, ist allerdings für viele Kanzleien ein einträgliches Geschäft.  Anders ist es bei Industrie und Handwerk. Die DSGVO verursacht dort massiven Arbeitsaufwand, der schwierig zu rechtfertigen ist. Von kleinen und mittleren Unternehmen fehlerfrei kaum geleistet werden kann.

In der DSGVO gibt es einen Art. 82 Abs. 1. Danach kann jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Schadensersatz verlangen.

Soweit so gut: Den materiellen Schaden beispielsweise dadurch, dass wegen Verletzung der DSGVO ein Arbeitsverhältnis nicht zustande kommt, kann man definieren und nachvollziehen. Schwieriger wird es bei einem immateriellen Schaden. Dass man die unbefugte Verbreitung beispielsweise von Gesundheitsdaten einer Person als HIV-Träger als Verletzung des Persönlichkeitsrechtes juristisch fassen und finanziell bewerten kann, ist nachvollziehbar und zivilrechtlich notwendige Konsequenz.

Verletzte Handlungspflichten als Schadensersatz-Auslöser

Ganz schwierig wird es, wenn man die Verletzung von Handlungspflichten der DSGVO als Auslöser für Schadensersatz ansieht. In einem konkreten Fall ging es um Auskunft nach Art. 15 Abs. 1 DSGVO über von der Firma verarbeitete, einen Arbeitnehmer betreffende personenbezogene Daten. Zudem ging es um eine Kopie der Daten gemäß Art. 15 Abs. 3 DSGVO, die nach dem Gesetz innerhalb eines Monates zur Verfügung zu stellen ist. Der Bundesgerichtshof (BGH) hat die Frage, ob die verletzte Vorschrift einen immateriellen Schaden auslöste, unentschieden gelassen. Anders hat das Bundesarbeitsgericht (BAG) entschieden. Die Frage ist derzeit vor dem Europäischen Gerichtshof (EuGH) anhängig.

Die Stellung eines solchen Auskunftsantrages durch einen Arbeitnehmer stellt jedes Unternehmen vor größere Probleme, besonders bei langjährigen Mitarbeitern. Auf welchen Datenträgern, zu welchem Zeitpunkt und auf welchen alten Sicherungsbändern sich noch persönliche Daten im Sinne der DSGVO befinden, ist schwierig, wenn nicht unmöglich zu ermitteln.

Unter Arbeitsrechtlerinnen und Arbeitsrechtlern gilt dieser Anspruch als Druckmittel bei Verhandlungen in Kündigungsverfahren. Nichtsdestotrotz: es gibt diesen Anspruch, er ist gesetzlich definiert. Dass man diesen Anspruch zivilrechtlich durchsetzen kann, ist selbstverständlich, erforderlichenfalls mit Zwangsgeld. Dass die Weigerung jenseits der gerichtlichen Durchsetzung finanzielle Konsequenzen hat, ist auf den ersten Blick verblüffend. Nicht verblüfft war das Arbeitsgericht Oldenburg (Urteil vom 09.02.2023 – Az. 3 Ca 150/21).

ArbG Oldenburg – die Entscheidung (Az.: 3 Ca 150/21)

Ein Arbeitgeber hatte sich dem Auskunftsanspruch eines gekündigten Mitarbeiters widersetzt, und zwar bis in das gerichtliche Verfahren hinein. Nach 20 Monaten, im Rahmen des gerichtlichen Verfahrens, hat der Arbeitgeber teilweise Auskunft erteilt. Konsequenz war, dass das Gericht einen immateriellen Schaden von 500 Euro pro Monat annahm, der sich dann auf 10.000 Euro summierte.

Das Gericht nahm an, der Kläger habe einen Schaden auch nicht darlegen müssen. Bereits die Verletzung der DSGVO selbst führe zu einem auszugleichenden immateriellen Schaden. Denn der Schadenersatzanspruch nach Art. 82 Abs. 1 DSGVO habe präventiven Charakter und diene der Abschreckung.

Learning

Also Abschreckung, nicht Strafe. Und die Frage, ob dies schuldhaft geschehen ist oder nicht, stellte sich gar nicht erst. Damit ist aus meiner Sicht eine Grenze überschritten, eine Sanktionierung von gesetzlich vorgeschriebenen Handlungspflichten muss im Gesetz stehen. Faktisch hat das Gericht hier eine Dauerstrafe definiert, die sich mit Einlegung eines Rechtsmittels nach dessen Auffassung wohl fortgesetzt hätte und nachgerade Ewigkeitswert beansprucht.

Erzwingung und Strafe sind nur aufgrund eines Gesetzes möglich und das ist gut so. Auch das ist Grundlage von Demokratie und sollte es auch bleiben.