Hessisches Landesarbeitsgericht (HLAG) beviljar ideellt skadestånd på 2 000 euro för arbetsgivares underlåtenhet att tillgodose registrerads rättigheter enligt dataskyddsförordningen (GDPR).
Av beslutet framgår att en arbetsgivare avskedat en anställd som påstods ha förfalskat sin sjukskrivning. Arbetsgivaren vägrade också att ge tillgång till den anställdes personuppgifter efter en begäran om tillgång i enlighet med artikel 15 GDPR.
Den registrerade väckte talan hos Arbeitsgericht Wiesbaden mot den personuppgiftsansvarige för obefogad uppsägning och begärde ideellt skadestånd enligt artikel 82 GDPR för underlåtenhet att besvara begäran om tillgång. Arbeitsgericht Wiesbaden biföll den registrerades yrkande och beviljade 1 000 euro i ersättning för brott mot artikel 15.1 GDPR.
Den personuppgiftsansvarige överklagade Arbeitsgericht Wiesbadens beslut och hävdade att det inte fanns någon grund för anspråket. Den registrerade överklagade också beslutet. Enligt den registrerade var det beviljade skadeståndet inte tillräckligt.
Efter en genomgång av ärendet bekräftade HLAG att den personuppgiftsansvarige åsidosatt sina skyldigheter enligt artikel 15 GDPR, eftersom de inte gett tillgång till begärd information inom den tidsfrist som anges i artikel 12.3 GDPR. Detta ledde till skadeståndsansvar för ideell skada. HLAG avvisade även invändningen att skäl 146 i GDPR kan tolkas som en begränsning av tillämpligheten av artikel 82 GDPR på behandlingar som strider mot förordningen. Tvärtom kan underlåtenhet att tillmötesgå en begäran om tillgång ge upphov till skadestånd eftersom det sker i samband med en behandling, även om det i sig inte kan betraktas som behandling. Dessutom underkände HLAG att ideellt skadestånd kräver en viss grad av allvar för att beaktas.
HLAG höjde också det totala ersättningsbeloppet till 2 000 euro. HLAG betonade att skadestånd har en special- och allmänpreventiv funktion, vid sidan av en kompensatorisk funktion. En ännu högre ersättning var dock inte tillåten, eftersom ett uteblivet svar på en begäran om tillgång endast innebär osäkerhet och brist på kontroll över personuppgifter, men inte en kränkning av den registrerades personliga rättigheter.