Die Datenschutz-Grundverordnung (DSGVO) gewährt betroffenen Personen nicht nur das Recht auf Auskunft, Berichtigung oder Löschung ihrer Daten, sondern auch das Recht, für Schäden, die ihnen durch eine unrechtmäßige Datenverarbeitung entstanden sind, Schadensersatz zu verlangen. Ein solcher Anspruch findet sich in Art. 82 Abs. 1 DSGVO, der es betroffenen Personen ermöglicht, sowohl materielle als auch immaterielle Schäden geltend zu machen.
Gleichzeitig ergibt sich daraus eine gewisse Missbrauchsgefahr, auch und gerade weil kein Vermögensnachteil gefordert ist. In diesem Zusammenhang ist es umso wichtiger, den auslegungsbedürftigen Begriff des „immateriellen Schadens“ durch die Gerichte zu konkretisieren.
Das Bundesarbeitsgericht („BAG“) hat sich erneut mit der Auslegung des immateriellen Schadens beschäftigt (Urteil vom 20. Februar 2025 - 8 AZR 61/24). Die Schlüsse, die sich daraus ergeben, sollen in dem folgenden Beitrag thematisiert werden.
Der Kläger war 2016 für einen Monat bei der Rechtsvorgängerin der Beklagten beschäftigt. 2020 verlangte er von der Rechtsvorgängerin Auskunft nach Art. 15 DSGVO über die Verarbeitung seiner personenbezogenen Daten und erhielt diese auch. Im Jahr 2022 forderte der Kläger am 01.10. Auskunft über eine noch andauernde Verarbeitung nunmehr bei der Beklagten und setzte eine Frist zur Beantwortung bis zum 16.10.2022. Dem kam die Beklagte zunächst nicht nach, sodass der Kläger den Anspruch am 21.10.2022 erneut stellte und eine Frist zur Erfüllung bis zum 31.10.2022 setzte. Die Beklagte erteilte daraufhin am 27.10.2022 eine ihrer Ansicht nach vollständige Auskunft. Der Kläger beanstandete am 04.11.2022 die Unzulänglichkeit der Auskunft. Nach einigem Schriftverkehr kam die Beklagte dem Auskunftsverlangen des Klägers am 01.12.2022 erneut und nun zu seiner Zufriedenheit nach. Der Kläger möchte nun Ersatz für einen ihm behaupteten immateriellen Schaden infolge der verspäteten Auskunftserteilung von der Beklagten nach Art. 82 Abs. 1 DSGVO.
Für einen besseren Überblick ist die Interaktion zwischen dem Kläger und der Beklagten in dem untenstehenden Schaubild zusammengefasst.
Nachdem das Arbeitsgericht Duisburg die Beklagte zur Zahlung eines Schadensersatzes von 10.000 EUR verurteilte, das Landesarbeitsgericht Düsseldorf das Urteil abänderte und die Klage abwies, hat nun das BAG letztinstanzlich entschieden, dass dem Kläger der geltend gemachte Schadensersatz nicht zusteht.
Die Voraussetzungen für einen Schadensersatzanspruch aus Art. 82 Abs. 1 DSGVO sind:
- Verstoß gegen eine Vorschrift der Datenschutzgrundverordnung,
- Schaden,
- Kausalitätsbeziehung zwischen Verstoß und Schaden.
Der vom Kläger geltend gemachte Verstoß gegen die DSGVO sollte in der verspäteten Erteilung der Auskunft über die Verarbeitung personenbezogener Daten liegen. Art. 12 Abs. 3 S. 1 DSGVO besagt, dass die Auskunft unverzüglich erteilt werden soll, spätestens aber innerhalb eines Monats nach dem Antrag. Die Beklagte hat die (vollständige) Auskunft erst zwei Monate nach Antragstellung gegeben, was grundsätzlichen einen Verstoß gegen eine Verpflichtung aus der DSGVO darstellt.
Das BAG urteilte allerdings, dass der Kläger keinen Schaden dargelegt habe und schon deshalb der Anspruch scheitere.
a. Die Definition des immateriellen Schadens
Der Kläger hat geltend gemacht, dass er in der Zeit, in der die Beklagte nicht auf sein Auskunftsverlangen geantwortet habe, einen Kontrollverlust über seine personenbezogenen Daten erlitten habe. Es sei ihm in diesem Zeitraum außerdem verwehrt gewesen, weitere Rechte aus der DSGVO wie beispielsweise einen Löschungsanspruch geltend zu machen.
Der EuGH hat 2024 in einer Entscheidung (Az. C-200/23) explizit dargestellt, dass ein derartiger kurzzeitiger Verlust der Kontrolle über personenbezogene Daten schon einen immateriellen Schaden i.S.v. Art. 82 Abs. 1 DSGVO begründen könne. Der Anspruchssteller müsse aber den Nachweis erbringen, dass ein tatsächlicher Schaden – wenn auch nur ein geringfügiger – wirklich eingetreten ist.
Das BAG hat im vorliegenden Fall entschieden, dass es nicht zur Annahme eines immateriellen Schadens reicht, wenn bei einem Kontrollverlust über personenbezogene Daten ein rein hypothetisches Risiko besteht, dass die Daten in dem fraglichen Zeitraum missbräuchlich verwendet werden könnten. Es muss vielmehr eine begründete Befürchtung für einen Datenmissbrauch vorliegen.
Der Schaden als Tatbestandsvoraussetzung für den Schadensersatzanspruch ist nicht zu vernachlässigen, da der Anspruch eine Ausgleichsfunktion hat und keine Abschreckungs- oder Bestraffungsfunktion für Verstöße gegen datenschutzrechtliche Vorschriften.
b. Anwendung auf den vorliegenden Fall
Die ungerechtfertigte Verzögerung der Auskunftserteilung kann damit isoliert betrachtet noch keinen Schaden in Form einer begründeten Befürchtung eines Datenmissbrauchs darstellen, sofern es bei einem rein hypothetischen Risiko für einen Kontrollverlust bleibt.
Im vorliegenden Fall hat der Kläger subjektive Empfindungen wie ein „genervt sein“ von der Durchsetzung des Anspruchs oder „Angst“ um möglichen Missbrauch als immateriellen Schaden vorgebracht. Solche Aussagen sind jedoch bloß als pauschale Unmutsbekundungen zu werten. Wenn schon diese abstrakte Sorge, es könne ein Datenmissbrauch vorliegen oder zu so einem kommen, genügen würde, würde denklogisch jeder Verstoß gegen die DSGVO einen Schaden darstellen. Dann wäre die Tatbestandsvoraussetzung des Schadens obsolet. Hier hat der Kläger also keine Tatsachen zur Annahme einer „begründeten Befürchtung“ für einen Datenmissbrauch vorgebracht (im Vergleich dazu: unser Blogbeitrag zur Entscheidung des BAG bezüglich verdeckter Observationen als immaterieller Schaden).
Zusammenfassend lässt sich sagen, dass das BAG die bloße Verzögerung der Auskunftserteilung ohne konkrete, begründete Anhaltspunkte für einen tatsächlichen oder potenziellen Schaden nicht ausreichen lässt, um einen immateriellen Schadensersatzanspruch nach der DSGVO zu begründen. Das Ergebnis ist nur konsequent, da ansonsten der Schaden selbst zu einem bloßen Abbild des Verstoßes würde und die Anforderungen an die substantiierte Darlegung von Ansprüchen unterlaufen würden.
Die Entscheidung des BAG verdient Zustimmung. Der „Schaden“ ist kein Selbstzweck, sondern muss auch tatsächlich vorliegen. Pauschale Ausführungen reichen nicht aus, um einen Schaden zu begründen. In der arbeitsrechtlichen Praxis konnte das Phänomen des „DSGVO-Hoppings“ beobachtet werden. Insbesondere auch in kündigungsschutzrechtlichen Auseinandersetzungen werden datenschutzrechtliche Ansprüche als Druckmittel eingesetzt. Beides dürfte durch dieses konsequente und überzeugende Urteil des BAG nunmehr deutlich erschwert werden.