Arbetsdomstolen i Oldenburg (ArbG) har bötfällt ett företag med 10 000 euro för överträdelse av dataskyddsförordningen (GDPR).
Av beslutet framgår att detta ärende gäller en anställningstvist mellan ett fyrverkeriföretag, den personuppgiftsansvarige, och en tidigare anställd, den registrerade. Den registrerade var ursprungligen verkställande direktör i företaget och senare försäljningschef. Företaget importerade fyrverkerier och sålde dem till återförsäljare som sedan sålde dessa fyrverkerier till slutanvändare. Samtidigt som den registrerade var anställd av företaget drev han också ett eget företag utanför arbetet och sålde fyrverkerier direkt till dessa slutanvändare.
Tvisten om anställningsförhållandet mellan parterna gällde två huvudfrågor: utbetalning av incitamentbaserade bonusar och en konkurrensklausul efter kontraktet. Den registrerade försökte få tillbaka obetalda bonusar, medan den personuppgiftsansvarige hävdade att den registrerades agerande, genom att driva denna verksamhet utanför arbetet, bröt mot konkurrensklausulen efter kontraktet. Den registrerade tillbakavisade detta påstående eftersom det fanns ett avtal om att han fick bedriva denna verksamhet medan han eller hon var anställd på företaget.
Under denna tvist lämnade den registrerade in en begäran om tillgång enligt artikel 15 GDPR för att få tillgång till de personuppgifter som företaget hade om honom. Den personuppgiftsansvarige vägrade att tillhandahålla denna information, och den registrerade fick den inte förrän 20 månader senare, när den personuppgiftsansvarige lämnade ut dokumenten som en del av rättegången. Den registrerade hävdade att hans tidigare arbetsgivare hade brutit mot artiklarna 12 och 15 GDPR genom att inte svara på begäran och begärde ett ideellt skadestånd på 10 000 euro, beräknat som 500 euro för varje månad som den personuppgiftsansvarige inte svarade.
När det gäller dataskyddsaspekten i detta fall gav domstolen den registrerade rätt och konstaterade att den personuppgiftsansvarige brutit mot artikel 15 GDPR och mot sina skyldigheter enligt artikel 12 GDPR. Domstolen ansåg att den registrerade hade rätt till 10 000 euro i ideellt skadestånd, eftersom artikel 82.1 GDPR tillåter sådant skadestånd och att en överträdelse av dataskyddsförordningen i sig är tillräcklig för att ersättning ska kunna beviljas. Det påpekades också att käranden har ett betydande intresse av informationen och att skadestånd i dessa fall kan ha en viktig förebyggande och avskräckande effekt.