Das Bundesarbeitsgericht (BAG) hat sich jetzt erneut dazu geäußert, unter welchen Voraussetzungen ein immaterieller Schadensersatz nach Art. 82 DSGVO möglich ist (BAG-Entscheidung vom 20.02.2025, Az. 8 AZR 61/24, ein weiteres Urteil aus dem Jahr 2024 haben wir hier bereits besprochen). Das Landgericht (LAG) Düsseldorf urteilte 2023, dass eine rein verspätete Auskunftserteilung nach Art. 15 DSGVO noch keinen Schadensersatz begründet (wir berichteten).
Hintergrund
Nach Art. 15 DSGVO kann ein Arbeitnehmer seinen Arbeitgeber dazu auffordern, ihm Auskunft über die Verwendung seiner personenbezogenen Daten zu geben (vgl. hier). Dabei hat er nach Art. 15 Abs. 3 DSGVO auch das Recht, Kopien der personenbezogenen Daten zu erhalten, die Gegenstand der Verarbeitung sind
Der Fall
Im konkreten Fall ging es um das Auskunftsersuchen nach Art. 15 Abs. 1, 3 DSGVO eines Arbeitnehmers gegenüber seinem Arbeitgeber, der noch während des Arbeitsverhältnisses geltend gemacht wurde. Der Arbeitgeber verweigerte die geltend gemachten Auskünfte. Nachdem das Arbeitsverhältnis fristgemäß gekündigt und dann auch beendet war, machte der ehemalige Arbeitnehmer Schadensersatz auf Grundlage von Art. 82 Abs. 1 DSGVO geltend, weil ihm die gewünschte Auskunft nicht erteilt wurde.
Er begründet seinen Anspruch damit, dass er keine Möglichkeit gehabt habe, die Datenverarbeitung zu überprüfen. Dies habe zu einem erheblichen Kontrollverlust geführt, der seiner Ansicht nach einen ersatzfähigen immateriellen Schaden darstelle.
Das BAG lehnt diesen Anspruch ab. Der EuGH habe die Darlegungslast des Klägers, der einen solchen Anspruch geltend macht, schon hinreichend geklärt. Hinsichtlich der Darlegungs- und Beweislast hat der EuGH klargestellt, dass der Kläger, der auf der Grundlage von Art. 82 Abs. 1 DSGVO den Ersatz eines immateriellen Schadens verlangt, nicht nur den Verstoß gegen Bestimmungen dieser Verordnung nachweisen muss, sondern auch, dass ihm durch diesen Verstoß ein konkreter Schaden entstanden ist (EuGH-Urteil vom 11.04.2024 – C-741/21).
Ist der Kontrollverlust zwar da, aber das Risiko des Missbrauchs bisher nur hypothetisch, reicht das Verlustgefühl nicht aus, um einen ersatzfähigen Schaden zu begründen. Wäre das Berufen auf das Verlustgefühl für einen Schaden ausreichend, wäre schon jeder Verstoß gegen Art. 15 DSGVO schadensbegründet. Es käme damit nicht mehr darauf an, ob auch tatsächlich ein Schaden vorliegt. Das sei jedoch mit dem Verständnis des EuGH von Art. 82 Abs. 1 DSGVO, sowie mit dem nationalen Prozessrecht, nachdem mit einer Klage ein Schaden plausibel dargelegt werden muss, nicht vereinbar. Damit schließt sich das BAG dem Bundesgerichtshof (BGH) an, der erst kürzlich in dieselbe Richtung entschieden hat:
„Es liegt weder ein auf dem gerügten Verstoß beruhender Kontrollverlust des Klägers über seine personenbezogenen Daten vor […], noch ist die vom Kläger geäußerte Befürchtung eines Kontrollverlusts substantiiert dargelegt.“ (siehe Zusammenfassung hier)
Fazit
Die Entscheidung bedeutet nicht, dass der Arbeitgeber jedes Auskunftsrecht sanktionslos ignorieren kann. Zwar muss der Arbeitnehmer in diesem Fall mehr vorlegen als das Gefühl des Kontrollverlustes. Aber es gibt auf der anderen Seite auch keine Erheblichkeitsschwelle bei einer Datenschutzverletzung.
Erwähnenswert ist zudem, dass der zivilprozessuale Weg gegangen wurde. Weiterhin bleibt für Unternehmen das Risiko von aufsichtsrechtlichen Maßnahmen der zuständigen Aufsichtsbehörde bestehen.