Dr. Bernd Schmidt
Der oder die Datenschutzbeauftragte spielen eine entscheidende Rolle in deiner Datenschutz-Organisation und arbeiten meist sehr lange mit dir zusammen. Mit einer guten Entscheidung kannst du die Weichen für erfolgreiches Datenschutz-Management stellen aber auch einiges falsch machen. Hier erfährst du, worauf du bei der Auswahl und Bestellung eines Datenschutzbeauftragten achten solltest.
Wichtige Kriterien bei der Auswahl eines Datenschutzbeauftragten
Die Auswahl des richtigen Datenschutzbeauftragten für dein Unternehmen kann entscheidend für den Erfolg deines Datenschutz-Managements sein. Dabei gibt es verschiedene Kriterien, die du kennen und beachten solltest.
Erfahrung und Fachkenntnisse
Ein Datenschutzbeauftragter sollte über fundierte Erfahrungen und Fachkenntnisse im Bereich Datenschutzrecht- und Technik verfügen. Es ist wichtig, dass die Person mit den relevanten Datenschutzgesetzen und -bestimmungen vertraut ist und in der Lage ist, diese effektiv umzusetzen.
Branchenspezifisches Wissen
Deine Datenschutzbeauftragte sollte dein Business kennen. Datenschutz-Anforderungen können sich je nach Branche und Kunden stark unterscheiden.
Kommunikationsfähigkeiten
Ein Datenschutzbeauftragter sollte über gute Kommunikationsfähigkeiten verfügen, um die Kollegen mitzunehmen und das Bewusstsein für den Datenschutz in dein Unternehmen zu Tragen. Die Person sollte in der Lage sein, Datenschutzthemen so verständlich zu erklären und Schulungen durchzuführen, dass Mitarbeiter Datenschutzanforderungen einhalten und umsetzen können.
Unabhängigkeit und Neutralität
Es ist wichtig sicherzustellen, dass der Datenschutzbeauftragte unabhängig und neutral agiert. Die Person sollte nicht in Konflikte mit anderen Unternehmensinteressen geraten und in der Lage sein, unvoreingenommene Entscheidungen zu treffen. Personen in Leitungsfunktionen oder mit Verantwortung für Datenschutz-kritische Bereiche sind als Kandidaten nicht geeignet.
Kontinuierliche Weiterbildung
Der Datenschutz und entwickelt sich ständig weiter. Das betrifft die Technik aber auch die Regulierung. Daher ist es wichtig sicherzustellen, dass dein Datenschutzbeauftragter bereit ist, sich laufend über aktuelle Entwicklungen im Datenschutz zu informieren und auf dem aktuellen Stand hält. Du musst bereit sein, das mit entsprechenden Ressourcen zu unterstützen.
Interne oder Externe Bestellung?
Es ist möglich, einen Datenschutzbeauftragten aus der eigenen Belegschaft zu rekrutieren, einen neuen Kandidaten zu suchen und einzustellen oder die Bestellung an eine Kanzlei oder Beratungsgesellschaft auszulagern. Alle Varianten haben vor und Nachteile.
Interne Kandidaten kennen ihr Unternehmen und haben in der Regel den besseren Draht in die Organisation. Sie bekommen mit was passiert und wissen im Idealfall, was zu tun ist, um den Datenschutz zu verbessern. Er kann aber vor der Herausforderung des Propheten im eigenen Land stehen, auf den man nicht oder nicht so hört, wie auf den externen Berater. Der externe hat in der Regel mehr Erfahrung und kann Wissen aus anderen Mandaten nutzen. Die interne Datenschutzbeauftragte führt in der Regel nur einmal ein neues HR-System ein. Der externe Berater hat das in der Regel schon häufiger getan. Er braucht aber den guten Draht in das Unternehmen, damit er seine PS auch auf die Straße bringen kann.
Für welche Variante du dich entscheidest sollte im Ergebnis davon abhängen, wie du möglichst große Expertise mit dem Draht in die Organisation verbindest. Dabei kann man eine gute oder eine schlechte Wahl treffen, Lösungen, die immer passen gibt es aber nicht.
Die Bestellung eines Datenschutzbeauftragten
Wenn du die richtige Wahl getroffen hast, ist die Bestellung das kleinere Hindernis.Der Datenschutzbeauftragte wird dann durch die Bestellungsurkunde ernannt, der zuständigen Datenschutzbehörde über deren Online-Formular gemeldet undder Belegschaft bekanntgegeben.
Fazit
Bei der Auswahl und Bestellung deines Datenschutzbeauftragten solltest du sorgfältig vorgehen, um sicherzustellen, dass die Person die erforderlichen Qualifikationen besitzt und für die Aufgabe geeignet ist. Die richtige Wahl eines Datenschutzbeauftragten ist ein entscheidender Baustein für ein gutes Datenschutz-Management.
PLANIT//LEGAL
Personenbezogene Daten dürfen nur verarbeitet werden, wenn dafür eine gesetzliche Rechtfertigung besteht und nur solange, wie die Verarbeitung für diesen Zweck erforderlich ist. Danach müssen personenbezogene Daten gelöscht werden. Lesen Sie hier, welche Maßnahmen Sie treffen sollten, um diese Pflicht zu erfüllen.
So lange darf man personenbezogene Daten speichern
Personenbezogene Daten dürfen nur verarbeitet werden, wenn man dafür eine Rechtfertigung hat. Rechtfertigungstatbestände ergeben sich vor allem aus der DSGVO und dem BDSG, können sich aber auch aus anderen Rechtsnormen wie Betriebsvereinbarungen oder Tarifverträgen ergeben.
Bevor man personenbezogene Daten erhebt, muss man sicherstellen, dass eine Rechtfertigung vorliegt, z.B. weil die Betroffenen eine Einwilligung erklärt haben oder die Verarbeitung für die Erfüllung gesetzlicher oder vertraglicher Pflichten erforderlich ist. Man darf personenbezogenen Daten dann verarbeiten, bis dieser Zweck erreicht ist. Wenn etwa Adressdaten verarbeitet werden, um eine Bestellung auszuliefern, wäre dieser Zweck erfüllt, wenn die Bestellung ausgeliefert ist.
Wann muss man personenbezogene Daten Löschen?
Wenn der Zweck einer Datenverarbeitung erreicht ist, müssen personenbezogene Daten eigentlich gelöscht werden. Es gibt aber oft Gründe, das nicht direkt zu tun. Es kann nämlich sein, dass neue Rechtfertigungstatbestände eingreifen und sich aus einem geänderten Zweck eine neue Rechtfertigung ergibt. Wenn man etwa Adressdaten für eine Bestellung erhoben hat und die Empfänger sich bei der Bestellung für Infopost des Unternehmens angemeldet haben, darf das Unternehmen nach der Auslieferung Adressdaten auch zur Versendung der Infopost verwenden.
Wenn es keinen Zweck mehr zur Verarbeitung personenbezogener Daten gibt, sollte man vor der Löschung immer prüfen, ob es Pflichten oder Rechte zur Aufbewahrung gibt. Das ist sehr häufig der Fall. Dann kann eine Aufbewahrung vor der Löschung gerechtfertigt oder sogar erforderlich sein. Typische Aufbewahrungsfristen ergeben sich aus gesetzlichen Verjährungsfristen oder den steuer- und handelsrechtlichen Aufbewahrungspflichten.
Für das Beispiel der Verarbeitung personenbezogener Daten zur Auslieferung einer Bestellung ist es zulässig, diese bis zum Ablauf der gesetzlichen Verjährungsfrist von drei Jahren ab dem Ende des Kalenderjahres aufzubewahren, nämlich für den Fall, dass es im Zusammenhang mit der Bestellung zu einer rechtlichen Auseinandersetzung kommt. Wenn im Zusammenhang mit der Bestellung Handels- oder Geschäftsbriefe versendet wurden, müssen diese 6 Jahre aufbewahrt werden.
Wenn keine Rechtfertigung mehr besteht und Aufbewahrungsfristen abgelaufen sind, müssen personenbezogene gelöscht werden.
Hier gibt es eine Übersicht der Löschfristen für HR Daten.
Pflicht zur Erstellung eines Löschkonzepts
Aus Art. 5 Abs. 2 DSGVO ergibt sich faktisch eine Pflicht zur Erstellung eines Löschkonzepts.
Die Pflicht zu Löschung von personenbezogenen Daten ergibt sich aus dem Betroffenenrecht in Art. 17 DSGVO und aus dem Grundsatz der Speicherbegrenzung in Art. 5 Abs. 1 lit. e DSGVO. Die Einhaltung der Grundsätze zur Verarbeitung personenbezogener Daten müssen wegen der Rechenschaftspflicht in Art. 5 Abs. 2 DSGVO nachgewiesen werden können. Das erfordert praktisch, dass Verantwortliche eine Dokumentation vorhalten, aus der sich IT-Systeme, enthaltene personenbezogene Daten, Verarbeitungszwecke, Aufbewahrungs- und Löschfristen und einen Nachweis der Löschung ergeben. In anderen Worten: ein Löschkonzept.
Wie erstellt man ein Löschkonzept?
Für die Erstellung des Löschkonzepts erstellt man eine Übersicht der IT-Systeme und Prozesse zur Verarbeitung personenbezogener Daten. Diese Übersicht ergänzt man um die konkret betroffenen personenbezogenen Daten bzw. die Kategorien personenbezogenen Daten in diesen IT-Systemen und Prozessen. Für die personenbezogenen Daten bzw. die Kategorien personenbezogenen Daten legt man dann möglichst konkret fest, wie lange es Zwecke gibt, diese Daten zu verarbeiten (Vorhaltefrist) und wie lange die personenbezogenen Daten nach der Zweckerfüllung aufbewahrt werden dürfen oder müssen (Aufbewahrungspflicht).
Hier geht es zum Download von unserem Muster.
Was passiert, wenn man personenbezogene Daten zu spät oder gar nicht löscht?
Der Verstoß gegen Art. 17 DSGVO oder den Grundsatz der Speicherbegrenzung ist bußgeldbewehrt und kann zu Bußgeldern in Höhe von bis zu 20 Millionen EUR oder 4% des Unternehmensumsatzes führen. Für den Verstoß gegen Löschpflichten wurde 2019 von der Berliner Beauftragte für Datenschutz und Informationsfreiheit gegen die die „Deutsche Wohnen“ das bisher höchste Datenschutz-Bußgeld in Deutschland in Höhe von 14 Millionen EUR verhängt. Der Bußgeldbescheid ist nicht rechtskräftig. Die Rechtmäßigkeit wird noch gerichtliche geklärt.
PLANIT//LEGAL
Die Gefahr von Cyberrisiken nimmt ständig zu. Neben der Gefahr für die IT-Sicherheit haben IT-Sicherheitsvorfälle auch immer eine datenschutzrechtliche Relevanz. Lesen Sie hier, wie Sie richtig reagieren und welche Vorbereitungen Sie für den Ernstfall treffen können.
Was ist ein Data Breach?
Ein Data Breach - auf Deutsch: Datenschutzvorfall oder Datenpanne ist gemäß Art. 33 Abs. 1 DSGVO „eine Verletzung des Schutzes personenbezogener Daten“, also ein Vorfall der die Sicherheit personenbezogener Daten verletzt, so dass unberechtigte Personen darauf zugreifen können. Klassische Fälle sind
Was gilt es bei Data Breaches zu beachten?
Oberstes Gebot bei Data Breaches ist es, die Ursache schnell zu identifizieren und zu beseitigen, um die Folgen für Betroffene so gering wie möglich zu halten oder zu beseitigen und die Ausweitung des Data Breaches zu verhindern.
Wenn sich aus dem Data Breach Risiken für die Rechte und Freiheiten der Betroffenen ergeben oder das nicht ausgeschlossen werden kann, muss der Data Breach unverzüglich und möglichst binnen 72 Stunden an die zuständige Aufsichtsbehörde gemeldet werden. Das passiert relativ häufig.
Hat der Data Breach darüber hinaus voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der Betroffenen zur Folge, müssen auch die Betroffenen unverzüglich informiert werden. Das kommt vor, ist im Vergleich zur Meldung bei der zuständigen Aufsichtsbehörde aber seltener der Fall.
Maßnahmen zur internen Erkennung und Meldung
Um angemessen auf einen Data Breach reagieren zu können, ist es besonders wichtig, dass Data Breaches intern schnell erkannt und sofort intern gemeldet werden. Das setzt voraus, dass alle Beschäftigten wissen, was ein Data Breach ist, an wen dieser intern gemeldet werden muss und wie zu melden ist. Es mach Sinn, dafür eine Anweisung, Richtlinie oder ein ähnliches Dokument zu erstellen, das den Prozess beschreibt. Dieser Prozess muss dann den Beschäftigten aber auch so kommuniziert werden, dass sie ihn kennen und befolgen können. Die Devise dafür lautet: schulen, schulen, schulen.
Interne Behandlung – Gegenmaßnahmen und Entscheidung über die Meldung
Nach der internen Meldung sollten sich unverzüglich Personen zusammenfinden und aktiv werden, die technische Gegenmaßnahmen treffen können, den Vorgang bewerten und über weitere (rechtliche) Schritte entscheiden können. So ergibt sich die Zusammensetzung des Data Breach Teams aus mehreren oder der folgenden Stakeholder:
Erste Priorität des Data Breach Teams sollte es immer sein, Gegenmaßnahmen zu treffen, dann das Ausmaß des Vorfalls aufzuklären und dann über die weiteren Schritte zu entscheiden. Weitere Schritte sind in der Regel
Meldung von Data Breaches and Datenschutzbehörden
Wenn eine Pflicht zur Meldung nach Art. 33 DSGVO besteht, sollte die Meldung innerhalb von 72 Stunden nach der Entdeckung des Vorfalls gemeldet werden. Zur Sicherheit sollte für die Berechnung der Frist auf die erste interne Kenntnis abgestellt werden. Eine spätere Meldung ist möglich und im Zweifel auch nach 72 Stunden noch sinnvoll; dann muss aber in aller Regel begründet werden, warum die 72 Stunden Frist nicht eingehalten worden ist.
Art. 33 DSGVO sieht keine besondere Form der Meldung vor. Die Aufsichtsbehörden haben dafür aber Online-Meldeformulare und es empfiehlt sich, diese zu nutzen, weil die Aufsichtsbehörden die Meldung so in einer Form bekommen, die eine schnelle Bearbeitung und im Idealfall Erledigung ermöglichen. Genau das muss das Ziel der Meldung sein.
Hier geht es zu den Meldeformularen der 17 deutschen Datenschutzbehörden:
Information von Betroffenen
Die Information der Betroffenen hat gemäß Art. 34 Abs. 1 DSGVO zu erfolgen, wenn ein hohes Risiko für die Rechte und Freiheiten der Betroffenen besteht. Dann sind die Betroffenen in klarer, einfacher Sprache über den Vorfall zu informieren. Die Information sollte wenigstens diese Informationen enthalten:
Es gibt Ausnahmen, in denen eine persönliche Information nicht erfolgen muss. Diese sind aber mit Vorsicht zu genießen.
Macht melden frei und was sind die Folgen bei unterlassener Meldung?
Die Frage, ob ein Vorfall gemeldet wird oft intensiv im Data Breach Team diskutiert. Die Sorge, die insbesondere Geschäftsleitung, Rechtabteilung und IT-Verantwortliche oft haben ist es, sich die Datenschutzaufsicht und damit viele Probleme ins Haus zu holen oder womöglich Auflagen und Sanktionen zu provozieren. Es wird dann häufig versucht, den Vorfall oder die Folgen kleinzureden, um eine Meldung vermeiden zu können.
Diese Sorgen sind in aller Regel unbegründet. § 43 Abs. 4 BDSG enthält ein Beweisverwertungsverbot für Inhalte der Meldung, das trotz europarechtlicher Kritik an der Vorschrift nach unserem Eindruck von den Datenschutzbehörden beachtet wird. Insofern gilt: Was gemeldet wird, kann nicht gegen den Verantwortlichen verwendet werden.
Zudem sind die Reaktionen der Datenschutzbehörden auf Meldungen in der Regel deutlich harmloser als oft befürchtet wird. Häufig erhält man eine Eingangsbestätigung, gelegentlich Rückfragen, ebenfalls gelegentlich die Mitteilung, dass der Vorgang geprüft und beendet wurde. Es ist möglich, dass sich an eine Meldung ein aufsichtsbehördliches Verfahren anschließt, das ist im Verhältnis zu den abgesetzten Meldungen aber eher selten der Fall.
PLANIT//LEGAL
Betroffene haben eine Reihe von Rechten, die sie gegenüber Verantwortlichen geltend machen können. Wenn Sie Betroffenenanfragen erhalten ist es wichtig, damit richtig umzugehen, damit daraus kein größeres Problem für Ihr Unternehmen und Ihre Datenschutz-Organisation wird. Lesen Sie hier, was es zu beachten gilt.
Wie muss das Auskunftsbegehren gestellt sein?
Es gibt praktisch keine formalen Anforderungen an Betroffenenanfragen. Betroffene können diese schriftlich, elektronisch oder mündlich stellen. Wichtig für die Bearbeitung ist es, zu verstehen, worum es den Betroffenen geht. Das klingt logisch, kann in der Praxis aber bereits die erste Herausforderung sein. Stellen Sie sich daher die Frage, was die Betroffenen wirklich wollen. Wenn Betroffenenanfragen nicht klar sind, müssen Sie diese auslegen. In Betracht kommen dafür insbesondere Anfragen zu den Betroffenenrechten
Denkbar und in der Praxis ein häufiger fall ist auch, dass Betroffene die Sperrung ihrer E-Mail oder Telefonnummer für Webemailings oder -anrufe wünschen.
Die richtige Auslegung des Begehrens der Betroffenen ist der erste Schritt zur richtigen Beantwortung. Um Missverständnissen vorzubeugen, macht es für die Beantwortung oft Sinn, das Ergebnis der Auslegung den Betroffenen bei der Beantwortung mitzuteilen. Eine Formulierung dafür kann sein:
„Vielen Dank für Ihre E-Mail. Wir verstehen Ihr Anliegen als Auskunftsbegehren gemäß Art. 15 Abs. 1 DSGVO.“
Wir sehen uns hier die besonders relevanten Fälle der Auskunft gemäß Art. 15 Abs. 1 DSVO und Herausgabe einer Datenkopie gemäß Art. 15 Abs. 3 DSGVO genauer an.
Identitätsprüfung
Damit die Beantwortung des Auskunftsbegehrens nicht selbst zum Compliance-Bumerang wird, ist es wichtig, die Auskunft nur an den Betroffenen zu erteilen. Das fordert auch Art. 12 Abs. 6 DSGVO. In der Praxis kommt es immer wieder vor, dass geschiedene Ehepartner, der/die Ex, andere Familienangehöre oder völlig fremde Auskunftsbegehren stellen. Diese ohne Identitätsprüfung zu beantworten kann leicht zum Supergau führen.
Prüfen Sie daher, mit wem Sie es auf der anderen Seite zu tun haben. Bei Anfragen der eigenen Beschäftigten, Kunden, die Sie persönlich kennen oder anderen persönlich bekannten Personen ist das kein Problem. Kennen Sie die Anfragenden nicht persönlich, müssen Sie sich fragen, ob es begründete Zweifel an der Identität gibt. Das kann etwa der Fall sein, wenn eine Anfrage von einem anderen als dem bei Ihnen bekannten E-Mail-Account versendet wird oder eine E-Mail nahe legt, dass es sich um eine andere Person handelt weil z.B. von dem E-Mail-Account petra.maier@ eine Betroffenenanfrage für den Betroffenen Björn Müller gestellt wird.
Bestehen begründete Zweifel, muss die Identität verifiziert werden. Dabei gilt der Grundsatz, je sensibler die zu beauskunftende Information, desto höher die Anforderungen an die Identifizierung. In Betracht kommen dafür insbesondere
Prüfung der Vollmacht bei Auskunftsbegehren von Anwälten
In der Praxis kommt es relativ häufig vor, dass Auskunftsansprüche durch Anwälte gestellt werden. Das ist zulässig. Der Verantwortlicher sollte dann sicherstellen, dass eine Vollmacht für das Stellen der Auskunftsanfrage und für den Empfang der Auskunft vorliegt. Wird keine Originalvollmacht vorgelegt, sondern nur ein Fax o.ä., kann man die Auskunft gem. § 174 BGB „unverzüglich“ zurückweisen (siehe dazu OLG Stuttgart Urteil vom 31.03.2021 - Az.: 9 U 34/21). Die Auskunftsfrist (siehe unten) beginnt dann erst mit Übermittlung einer Originalvollmacht.
Enthält die Vollmacht keinen klaren Hinweis, dass auch die Auskunft an den Anwalt erteilt werden darf, sollte man im Zweifel die Auskunft nicht an den Anwalt schicken, sondern direkt an die Betroffenen.
Was ist zu beauskunften?
Bei Auskunftsanfragen ist zuerst immer die Frage zu beantworten, ob personenbezogene Daten des Betroffenen verarbeitet werden. Das ist entweder zu bestätigen oder zu verneinen.
Werden personenbezogenen Daten verarbeitet, kommt es für den Inhalt der Auskunft darauf an, was Betroffene verlangen. Auskunft nach Art. 15 Abs. 1 DSGVO, Herausgabe von Datenkopien nach Art. 15 Abs. 3 DSGVO oder eine besonders spezifizierte Auskunft. Verantwortliche können Betroffene auffordern/bitten zu spezifizieren, welche Informationen beauskunftet werden sollen oder auf welche Verarbeitungen sich das Begehren bezieht. Das kann helfen, eine schnelle und den Wünschen der Betroffenen entsprechende Auskunft sicherzustellen. Es führt aber nicht dazu, dass Betroffene Anspruch auf weniger als die ursprüngliche begehrte Informationen haben.
Wird Auskunft nach Art. 15 Abs. 1 DSGVO verlangt, muss Information gemäß dem Katalog von Art. 15 Abs. 1 DSGVO bereitgestellt werden, über
Wird Herausgabe von Datenkopien nach Art. 15 Abs. 3 DSGVO verlangt, müssen Kopien der Daten herausgegeben werden. Bezieht sich die Anfrage auf Dokumente, muss nach der Rechtsprechung des EuGH auch eine Kopie des Dokuments selbst bereitgestellt werden, soweit das für die Kontrolle der Datenverarbeitung notwendig ist.
Wird weniger als der Inhalt von Art. 15 Abs. 1 DSGVO oder Art. 15 Abs. 3 DSGVO begehrt, muss entsprechend weniger beauskunftet werden.
Frist und Form der Beauskunftung
Für die Auskunft besteht gemäß Art. 12 Abs. 3 DSGVO eine Frist von einem Monat ab Eingang des Auskunftsbegehrens. Die Frist kann bei einer besonderen Komplexität oder hohen Anzahl von Anfragen auf bis zu drei Monate verlängert werden. In der Praxis bietet es sich an, direkt nach Erhalt eines Begehrens eine Eingangsbestätigung zu schicken und anzukündigen, sich innerhalb eines Monats zu melden, um die Erwartungen zu managen und Beschwerden bei Datenschutzbehörden zu vermeiden. Das gilt natürlich besonders, wenn Betroffene selbst kürzere Fristen setzen.
Für die Übermittlung der Auskunft ist es wichtig, einen sicheren Kanal zu wählen, damit die Inhalte der Auskunft geschützt sind. Je sensibler die Inhalte, desto höher sind die Anforderungen. Bei dem häufigen Fall der Übermittlung per E-Mail sollte man im Zweifel eine angemessene Verschlüsselung vorsehen.
Die Auskunft ist abhängig von der Art der Kommunikation mit den Betroffenen schriftlich, elektronisch oder mündlich zu erteilen. Im Zweifel sollte der von Betroffenen gewählte oder soweit erkennbar gewünschte Kanal genutzt werden. Datenkopien sind in der Regel in einem gängigen elektronischen Format zu übermitteln.
Wann kann man die Auskunft verweigern?
Es gibt Fälle, in denen die Auskunft verweigert oder ein Entgelt dafür verlangt werden kann. Das sind
Diese Ausnahmen liegen selten vor und werden in der Rechtsprechung sehr zurückhalten angewendet. Es ist also ein sehr stumpfes Schwert, um sich gegen Auskunftsbegehren zu wehren.
Was passiert, wenn man nicht beauskunftet?
Nicht beantwortete Auskunftsbegehren sind die Sollbruchstelle jeder Datenschutz-Organisation und sollten vermieden werden. Insbesondere wenn es bereits einen Konflikt mit Betroffenen gibt, landen nicht beantwortetet Auskunftsbegehren häufig bei den Datenschutzbehörden. Dann sollte man eine gute Begründung – oder Ausrede parat haben, sonst drohen Bußgelder bis zu EUR 20 Millionen oder 4% des Unternehmensumsatzes. Zusätzlich können Betroffene materiellen und immateriellen Schadensersatz geltend machen. Es gibt erste Urteile, in denen Schadensersatzansprüche wegen verspäteter Auskunft zugesprochen wurden, z.B. EUR 10.000 durch das Arbeitsgericht Oldenburg Urteil vom 9. Februar 2023 – Az. 3 Ca 150/21.