Arbeitnehmerdatenschutz – und kein immaterieller Schadenersatz

Das Vorliegen eines „Schadens“ ist eine der drei Voraussetzungen für den in Art. 82 Abs. 1 DSGVO vorgesehenen Schadenersatzanspruch, ebenso wie das Vorliegen eines Verstoßes gegen die Datenschutz-Grundverordnung und eines Kausalzusammenhangs zwischen dem erlittenen Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ vorliegen müssen. Hinsichtlich der Darlegungs- und Beweislast muss der Anspruchsteller nicht nur den DSGVO-Verstoß nachweisen, sondern auch, dass ihm durch diesen Verstoß ein solcher Schaden entstanden ist. Dies gilt auch für den Fall eines Verstoßes der Arbeitgeberin gegen die datenschutzrechtliche Auskunftspflicht nach Art. 15 DSGVO.

Arbeitnehmerdatenschutz – und kein immaterieller Schadenersatz

In dem hier vom Bundesarbeitsgericht entschiedenen Fall streiten der Arbeitnehmer und die Arbeitgeberin über einen Anspruch auf Schadenersatz nach Art. 82 Abs. 1 DSGVO wegen eines Verstoßes gegen die Auskunftspflicht nach Art. 15 DSGVO. Der Arbeitnehmer stand vom 01. bis 31.12.2016 bei der Rechtsvorgängerin der Arbeitgeberin in einem Arbeitsverhältnis. Er hatte bereits im Jahr 2020 gemäß Art. 15 DSGVO Auskunft bzgl. der Verarbeitung seiner personenbezogenen Daten verlangt und erhalten. Mit Schreiben vom 01.10.2022 begehrte er von der Arbeitgeberin mit Blick auf eine etwaig andauernde Datenverarbeitung abermals eine solche Auskunft und setzte hierfür eine Frist bis zum 16.10.2022. Als die Arbeitgeberin hierauf nicht reagierte, erneuerte er sein Verlangen mit Schreiben vom 21.10.2022 unter Fristsetzung bis zum 31.10.2022. Mit Schreiben vom 27.10.2022 erteilte die Arbeitgeberin eine ihrer Ansicht nach ausreichende Auskunft. Der Arbeitnehmer beanstandete mit Schreiben vom 04.11.2022, dass die erteilte Auskunft bzgl. der Dauer der Datenspeicherung, der Angabe der Empfänger und der Vollständigkeit der Datenkopie unzureichend sei. Nach einem weiteren Schriftwechsel erteilte die Arbeitgeberin mit Schreiben vom 01.12.2022 die gewünschten Auskünfte. Der Arbeitnehmer verlangte daraufhin mit Schreiben vom 30.12.2022 erfolglos die Zahlung einer „Geldentschädigung“ nach Art. 82 Abs. 1 DSGVO. Mit seiner Klage hat er dieses Ziel weiterverfolgt. Der Arbeitnehmer hat die Auffassung vertreten, die Arbeitgeberin habe mit der nach Art. 12 Abs. 3 DSGVO verspäteten Auskunft iSd. Art. 82 Abs. 1 DSGVO gegen die Datenschutz-Grundverordnung verstoßen. Er habe deshalb einen Anspruch auf Schadenersatz. Es bestehe ein immaterieller Schaden in Form eines wochenlangen Kontrollverlusts bzgl. der Datenverarbeitung. Er habe deshalb etwaige Rechte nicht ausüben können. Der Vorgang rufe bei ihm zudem ein erhebliches Maß an Sorge bzgl. des Schicksals seiner Daten hervor. Er habe Angst, dass die Arbeitgeberin „Schindluder“ mit seinen Daten treibe. Außerdem sei er wegen des durch die Arbeitgeberin verursachten Aufwands der Rechtsverfolgung „genervt“.

Das Arbeitsgericht hat die Arbeitgeberin zur Zahlung von Schadenersatz in Höhe von 10.000, 00 € verurteilt. Auf die Berufung der Arbeitgeberin hat das Landesarbeitsgericht Düsseldorf dieses Urteil abgeändert und die Klage abgewiesen1. Die hiergegen gerichtete; vom Landesarbeitsgericht zugelassene Revision des Arbeitnehmers hat das Bundesarbeitsgericht als unbegründet zurückgewiesen; der Arbeitnehmer habe keinen Anspruch auf Ersatz eines immateriellen Schadens nach Art. 82 Abs. 1 DSGVO.

Der Arbeitnehmer kann von der Arbeitgeberin keinen Schadenersatz nach Art. 82 Abs. 1 DSGVO fordern.

Dabei kann dahingestellt bleiben, ob hier eine Verletzung von Art. 15 in Verbindung mit Art. 12 Abs. 3 DSGVO vorliegt. Gleiches gilt für die Frage, ob dies einen Verstoß im Sinne von Art. 82 Abs. 1 DSGVO darstellen würde2. Der Arbeitnehmer hat hier schon keinen Schaden dargelegt.

Das Vorliegen eines „Schadens“ ist eine der drei Voraussetzungen für den in Art. 82 Abs. 1 DSGVO vorgesehenen Schadenersatzanspruch, ebenso wie das Vorliegen eines Verstoßes gegen die Datenschutz-Grundverordnung und eines Kausalzusammenhangs zwischen dem erlittenen Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ vorliegen müssen3. Hinsichtlich der Darlegungs- und Beweislast ist geklärt, dass die Person, die auf der Grundlage von Art. 82 Abs. 1 DSGVO den Ersatz eines immateriellen Schadens verlangt, nicht nur den Verstoß gegen Bestimmungen der Datenschutz-Grundverordnung nachweisen muss, sondern auch, dass ihr durch diesen Verstoß ein solcher Schaden entstanden ist4.

Das Landesarbeitsgericht hat zu Recht angenommen, der Arbeitnehmer habe keinen Schaden im Sinne von Art. 82 Abs. 1 DSGVO dargelegt.

Die Voraussetzungen eines Anspruchs wegen des Verlusts der Kontrolle über personenbezogene Daten sind ausgehend vom Vortrag des Arbeitnehmers nicht erfüllt.

Der – selbst kurzzeitige – Verlust der Kontrolle über personenbezogene Daten kann einen immateriellen Schaden im Sinne von Art. 82 Abs. 1 DSGVO darstellen, der einen Schadenersatzanspruch begründet, sofern die betroffene Person den Nachweis erbringt, dass sie tatsächlich einen solchen Schaden – so geringfügig er auch sein mag – erlitten hat5.

Ein Kontrollverlust in Form eines Datenverlusts oder Datenmissbrauchs liegt auch nach Darstellung des Arbeitnehmers nicht vor6. Dies hat das Landesarbeitsgericht rechtsfehlerfrei erkannt. Es hat festgehalten, der Arbeitnehmer habe weder einen „gesetzwidrigen Datenabfluss“ noch eine „unzulässige Datenspeicherung“ behauptet. Er habe bereits im Jahr 2020 eine Auskunft erhalten und auch diesbezüglich nicht behauptet, sie sei falsch gewesen oder habe „Schindluder“ befürchten lassen. Hiergegen wendet sich die Revision nicht.

Die Revision vertritt vielmehr die Auffassung, eine verspätete Auskunftserteilung bewirke einen Kontrollverlust, der ohne weitere Voraussetzung einen Schaden im Sinne von Art. 82 Abs. 1 DSGVO darstelle. Dies ist aber unzutreffend.

Zwar kann ein Kontrollverlust auch dann gegeben sein, wenn konkret keine missbräuchliche Verwendung der betreffenden Daten zum Nachteil der geschützten Person erfolgt sein sollte7, denn es kann die entsprechende Gefahr bestanden haben. Die durch einen Verstoß gegen die Datenschutz-Grundverordnung ausgelöste Befürchtung einer betroffenen Person, ihre personenbezogenen Daten könnten von Dritten missbräuchlich verwendet werden, kann für sich genommen einen immateriellen Schaden im Sinne von Art. 82 Abs. 1 DSGVO darstellen8. Das rein hypothetische Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten kann jedoch nicht zu einer Entschädigung führen9.

Unter einem Kontrollverlust versteht der Gerichtshof der Europäischen Union (im Folgenden Gerichtshof) daher nur eine Situation, in der die betroffene Person eine begründete Befürchtung des Datenmissbrauchs hegt10. Das bloße Berufen auf eine bestimmte Gefühlslage reicht dabei nicht aus. Das Gericht hat vielmehr zu prüfen, ob das Gefühl unter Berücksichtigung der konkreten Umstände „als begründet angesehen werden kann“11. Dies setzt zwingend die Anwendung eines objektiven Maßstabs voraus12. Je gravierender die Folgen eines Verstoßes gegen die Datenschutz-Grundverordnung sind, desto näher liegt eine begründete Befürchtung des Datenmissbrauchs. So wird die Veröffentlichung von sensiblen Daten im Internet aufgrund eines Datenlecks typischerweise eine Grundlage für solche Befürchtungen darstellen. Eine nur verspätete Auskunft begründet demgegenüber für sich genommen keinen Kontrollverlust über Daten iSd. Gefahr einer missbräuchlichen Verwendung, sondern nur einen Zeitverzug hinsichtlich der Auskunft13. Entgegen der Auffassung der Revision ist es dabei ohne Belang, dass Art. 12 Abs. 3 Satz 1 DSGVO die unverzügliche Erteilung der Informationen als Regelfall vorsieht und den Zeitraum der Ungewissheit damit auf ein Minimum verkürzt. Eine ungerechtfertigte Verzögerung lässt dessen ungeachtet ohne weitere Anhaltspunkte nicht auf einen Datenmissbrauch schließen.

Die vom Arbeitnehmer im vorliegenden Rechtsstreit geschilderte Gefühlslage begründet demnach keinen Schaden im Zusammenhang mit einem Kontrollverlust. Der Arbeitnehmer hat – wovon das Landesarbeitsgericht zu Recht ausgegangen ist – keine konkreten Befürchtungen einer missbräuchlichen Verwendung seiner Daten dargelegt.

Das Landesarbeitsgericht hat ausgehend vom Vorbringen des Arbeitnehmers auch einen Schaden in Form von negativen Gefühlen allein wegen der verspäteten Erfüllung des Auskunftsanspruchs rechtsfehlerfrei verneint.

Ein immaterieller Schaden kann allein in negativen Gefühlen bestehen14. Dies betrifft Konstellationen, in denen der bloße Verstoß gegen die Datenschutz-Grundverordnung zu der Befürchtung eines Datenmissbrauchs führt15. Da solche Gefühle für sich genommen nicht beweisbar sind, hat das nationale Gericht die Gesamtsituation und letztlich auch die Glaubwürdigkeit der jeweiligen Klagepartei auf der Grundlage eines substantiierten Sachvortrags zu beurteilen. Steht ein Verstoß gegen die Datenschutz-Grundverordnung im Sinne von Art. 82 Abs. 1 DSGVO nach richterlicher Beweiswürdigung im Sinne von § 286 Abs. 1 ZPO zum Nachteil der Klagepartei als geschützter Person fest, mindert sich das Beweismaß bzgl. der Entstehung und der Höhe des Schadens nach § 287 Abs. 1 ZPO16.

Die verspätete Erfüllung des Auskunftsanspruchs löst geradezu zwangsläufig die Sorge eines Verstoßes gegen sonstige Verpflichtungen aus der Datenschutz-Grundverordnung aus. Dies mag sich mit der Revision als eine besondere Form des Kontrollverlusts darstellen, kann aber auch als eigenständige Fallgruppe verstanden werden. Letztlich ist diese Frage der Einordnung nicht entscheidungserheblich. Wäre schon das Berufen auf solche abstrakten Befürchtungen ausreichend für die Annahme eines Schadens, würde jeder Verstoß gegen Art. 15 DSGVO – so ein Verstoß dagegen einen Schadenersatzanspruch nach Art. 82 Abs. 1 DSGVO dem Grunde nach begründen könnte, zu einem immateriellen Schaden führen. Die eigenständige Voraussetzung des Schadens würde damit bedeutungslos17. Sie wäre stets erfüllt. Dies ist jedoch mit dem dargestellten Normverständnis des Gerichtshofs von Art. 82 Abs. 1 DSGVO, das strikt zwischen Verstoß und Schaden unterscheidet, ebenso wenig zu vereinbaren wie mit den Anforderungen des nationalen Prozessrechts, das die substantiierte Darlegung eines Schadens verlangt18.

Entgegen der Auffassung der Revision wird damit keine „vierte Tatbestandsvoraussetzung“, wonach „der Schaden keine dem Verordnungsverstoß immanente Folge sein darf“, geschaffen. Es bedeutet auch nicht, dass „eine besonders enge Kausalität zwischen Verordnungsverstoß und Schaden“ für die Annahme eines Schadens „schädlich“ wäre. Die Rechtsprechung des Gerichtshofs und des Bundesarbeitsgerichts folgt nur der in Art. 82 Abs. 1 DSGVO angelegten Eigenständigkeit des Erfordernisses eines Schadens. Dabei ist im Einzelfall zu beurteilen, ob der Verstoß gegen die Datenschutz-Grundverordnung ggf. so schwerwiegende Konsequenzen aufweist, dass ein Schaden in Form von Befürchtungen selbstverständlich angenommen werden kann19 oder ob der Schaden gesondert begründet werden muss. Dementsprechend besteht auch kein Widerspruch zum Urteil des Bundesarbeitsgerichts vom 25.07.202420. Das Bundesarbeitsgericht hat in diesem Fall einer unzulässigen Überwachung durch Detektive ausgeführt, der Verlust von Kontrolle und die daraus folgende Befürchtung weiterer Überwachung sei selbsterklärend und bedürfe keiner näheren Darlegung21. Diese Begründung war der Schwere der Auswirkungen des Verstoßes geschuldet und kann nicht auf eine lediglich verspätete Auskunftserteilung übertragen werden. Dementsprechend geht auch der Hinweis auf die einen anderen Sachverhalt (Datenabfluss) betreffende Entscheidung des Bundesgerichtshofs vom 18.11.202422 fehl. Gleiches gilt bzgl. der Entscheidung des Obersten Gerichtshofs (Österreich) vom 23.06.202123. Dieser Beschluss erging vor den maßgeblichen Urteilen des Gerichtshofs der Europäischen Union.

Die von der Revision unter Bezugnahme auf Rechtsprechung und Schrifttum zutreffend angeführte Bedeutung des Auskunftsanspruchs für die Transparenz der Datenverarbeitung24 steht dem Erfordernis der gesonderten Begründung eines Schadens nicht entgegen. Der Verstoß gegen Art. 15 DSGVO begründet auch dann für sich genommen keinen immateriellen Schaden im Sinne von Art. 82 Abs. 1 DSGVO, wenn die verzögerte oder zunächst verweigerte Auskunftserteilung der Durchsetzung von Rechten entgegensteht, denn dies steht in keinem Zusammenhang mit dem Zweck des Schadenersatzanspruchs. Dieser hat nur eine Ausgleichsfunktion, da eine auf Art. 82 Abs. 1 DSGVO gestützte Entschädigung in Geld ermöglichen soll, den konkret aufgrund des Verstoßes gegen diese Verordnung erlittenen Schaden vollständig auszugleichen. Er erfüllt keine Abschreckungs- oder Straffunktion25. Daran ändern auch die im Erwägungsgrund 75 zur Datenschutz-Grundverordnung beschriebenen Risiken nichts26. Gleiches gilt für die im Erwägungsgrund 85 zur Datenschutz-Grundverordnung angeführten Schadensarten. Der von einem Verstoß gegen die Auskunftspflicht betroffenen Person bleibt zudem der Anspruch auf Ersatz eines etwaigen materiellen Schadens.

Soweit die Revision die angeführte Rechtsprechung des Bundesarbeitsgerichts im Widerspruch zum unionsrechtlichen Grundsatz der Äquivalenz sieht, dringt sie ebenfalls nicht durch. Sie begründet diese These mit einem Vergleich zum Ersatz immaterieller Schäden nach § 15 Abs. 2 AGG. Bei diesem Anspruch liege der immaterielle Schaden bereits in der Rechtsverletzung selbst. Gleiches müsse für den Anspruch nach Art. 82 Abs. 1 DSGVO gelten, weil der Erwägungsgrund 85 zur Datenschutz-Grundverordnung die „Diskriminierung“ als Regelschaden benenne. Diese Argumentation verkennt, dass sich der Äquivalenzgrundsatz auf die Ausgestaltung des Verfahrens zur Rechtsdurchsetzung bezieht27. Die Revision behauptet selbst nicht, dass ein Anspruch aus Art. 82 Abs. 1 DSGVO im Hinblick auf das nationale Verfahrensrecht schwerer durchsetzbar wäre als ein solcher aus § 15 Abs. 2 AGG. Sie nimmt lediglich einen Vergleich der materiellen Tatbestandsvoraussetzungen der verschiedenen Normen vor. Deren unterschiedliche Ausgestaltung wird durch den Äquivalenzgrundsatz nicht berührt.

Das Landesarbeitsgericht hat vor diesem Hintergrund zu Recht ausgeführt, dass der Vortrag des Arbeitnehmers bzgl. angeblich zu befürchtenden „Schindluders“ keine nachvollziehbare Begründung enthält, wo die Arbeitgeberin doch in den vergangenen sechs Jahren unstreitig kein „Schindluder“ betrieben habe. Ebenfalls rechtsfehlerfrei ist die Auffassung des Landesarbeitsgerichts, wonach behauptete Emotionen wie Ärger oder Frust („genervt sein“), keinen immateriellen Schaden darstellen28. Es handelt sich hierbei nur um pauschal gehaltene Unmutsbekundungen.

Entgegen der Auffassung der Revision bedarf es keines Vorabentscheidungsersuchens nach Art. 267 AEUV zu der Frage, ob die Nichterfüllung des Auskunftsanspruchs aus Art. 15 in Verbindung mit Art. 12 Abs. 3 DSGVO ohne Weiteres einen immateriellen Schaden darstellt. Die Rechtslage ist aus den genannten Gründen durch den Gerichtshof geklärt. Aus demselben Grund muss auch die Antwort des Gerichtshofs auf die achte Vorlagefrage des Amtsgerichts Arnsberg im Verfahren C-526/2429 vor dem Unionsgerichtshof nicht abgewartet werden.

Bundesarbeitsgericht, Urteil vom 20. Februar 2025 – 8 AZR 61/24

  1. LAG Düsseldorf 28.11.2023 – 3 Sa 285/23[]
  2. bejahend BSG 24.09.2024 – B 7 AS 15/23 R, Rn.20 ff.; offengelassen von BAG 5.05.2022 – 2 AZR 363/21, Rn. 11[]
  3. vgl. EuGH 4.10.2024 – C-200/23 – [Agentsia po vpisvaniyata] Rn. 140; 4.05.2023 – C-300/21 – [Österreichische Post] Rn. 32; BAG 20.06.2024 – 8 AZR 124/23, Rn. 12 mwN; 20.06.2024 – 8 AZR 91/22, Rn. 12[]
  4. vgl. EuGH 11.04.2024 – C-741/21 – 35; 25.01.2024 – C-687/21 – [MediaMarktSaturn] Rn. 60 f.; BAG 20.06.2024 – 8 AZR 124/23, Rn. 13[]
  5. EuGH 4.10.2024 – C-200/23 – [Agentsia po vpisvaniyata] Rn. 150; 11.04.2024 – C-741/21 – 42; BAG 20.06.2024 – 8 AZR 124/23, Rn. 13[]
  6. vgl. zu einem solchen Fall BGH 18.11.2024 – VI ZR 10/24, Rn. 30[]
  7. vgl. EuGH 4.10.2024 – C-200/23 – [Agentsia po vpisvaniyata] Rn. 144 ff.[]
  8. EuGH 25.01.2024 – C-687/21 – [MediaMarktSaturn] Rn. 65; 14.12.2023 – C-340/21 – [Natsionalna agentsia za prihodite] Rn. 79 ff.[]
  9. EuGH 25.01.2024 – C-687/21 – [MediaMarktSaturn] Rn. 68; BAG 20.06.2024 – 8 AZR 124/23, Rn. 13; BSG 24.09.2024 – B 7 AS 15/23 R, Rn. 31[]
  10. vgl. BSG 24.09.2024 – B 7 AS 15/23 R, Rn. 31[]
  11. EuGH 14.12.2023 – C-340/21 – [Natsionalna agentsia za prihodite] Rn. 85[]
  12. BAG 25.07.2024 – 8 AZR 225/23, Rn. 33; 20.06.2024 – 8 AZR 124/23, Rn. 15[]
  13. BSG 24.09.2024 – B 7 AS 15/23 R, Rn. 32[]
  14. vgl. BAG 17.10.2024 – 8 AZR 215/23, Rn. 18[]
  15. vgl. EuGH 4.10.2024 – C-200/23 – [Agentsia po vpisvaniyata] Rn. 144 mit Verweis auf die Erwägungsgründe 85 und 146 zur DSGVO; 20.06.2024 – C-590/22 – [PS (Fehlerhafte Anschrift)] Rn. 32[]
  16. BAG 20.06.2024 – 8 AZR 124/23, Rn. 16 unter Bezugnahme auf BAG 5.05.2022 – 2 AZR 363/21, Rn. 14[]
  17. BAG 17.10.2024 – 8 AZR 215/23, Rn. 16[]
  18. BAG 20.06.2024 – 8 AZR 124/23, Rn. 18; 20.06.2024 – 8 AZR 91/22, Rn. 18[]
  19. zB Datenleck bzgl. Bank- oder Gesundheitsdaten[]
  20. 8 AZR 225/23[]
  21. BAG 25.07.2024 – 8 AZR 225/23, Rn. 34[]
  22. BGH 18.11.2024 – VI ZR 10/24[]
  23. östOGH 23.06.2021 – 6 Ob 56/21k[]
  24. vgl. hierzu EuGH 22.06.2023 – C-579/21 – [Pankki S] Rn. 59 mwN[]
  25. EuGH 25.01.2024 – C-687/21 – [MediaMarktSaturn] Rn. 50; 21.12.2023 – C-667/21 – [Krankenversicherung Nordrhein] Rn. 87[]
  26. aA Gola/Heckmann/Franck 3. Aufl. DSG-VO Art. 15 Rn. 72; Kühling/Buchner/Bergt 4. Aufl. DSG-VO Art. 82 Rn. 18c[]
  27. vgl. EuGH 9.04.2024 – C-582/21 – [Profi Credit Polska] Rn. 40; BAG 5.05.2022 – 2 AZR 363/21, Rn. 13 ff.[]
  28. vgl. Fuhlrott/Fischer NZA 2023, 606, 610[]
  29. EuGH – C-526/24 – [Brillen Rottler][]

Bildnachweis:

Das dürfte Sie auch interessieren: