Der nicht erfüllte datenschutzrechtliche Auskunftsanspruch des Arbeitnehmers

Die Sorge vor einem Datenmissbrauch kann einen immateriellen Schaden iSv. Art. 82 Abs. 1 DSGVO darstellen. Die bloße Äußerung entsprechender Befürchtungen reicht jedoch für die Darlegung eines Schadens nicht aus.

Der nicht erfüllte datenschutzrechtliche Auskunftsanspruch des Arbeitnehmers

In dem hier vom Bundesarbeitsgericht entschiedenen Fall streiten eine Arbeitnehmerin und ihre ehemalige Arbeitgeberin über einen Anspruch auf Schadenersatz nach Art. 82 Abs. 1 DSGVO. Diese führten seit April 2020 letztlich erfolglose Gespräche über die Aufhebung des seit März 2014 bestehenden Arbeitsverhältnisses. Mit Schreiben ihrer Prozessbevollmächtigten vom 12.06.2020 begehrte die Arbeitnehmerin von der Arbeitgeberin Auskunft über die Verarbeitung personenbezogener Daten nach Art. 15 Abs. 1 DSGVO sowie eine Kopie dieser Daten nach Art. 15 Abs. 3 DSGVO. Der Prozessbevollmächtigte der Arbeitgeberin lehnte diese Auskunft mit Schreiben vom 17.06.2020 wie folgt ab:

„Mit Ihrem Auskunftsverlangen beeindrucken Sie niemanden. Bitte klagen Sie den Anspruch ein, wenn Ihre Mandantin meint, das Arbeitsverhältnis auf diese Weise fortsetzen zu müssen.“

Nach der Beendigung des Arbeitsverhältnisses durch fristgemäße Kündigung der Arbeitnehmerin hat sie die verweigerte Auskunft sowie die Erteilung der geforderten Kopie im Klagewege geltend gemacht. Zudem hat sie wegen dieses Verstoßes gegen die Datenschutz-Grundverordnung auf der Grundlage von Art. 82 Abs. 1 DSGVO ein „Schmerzensgeld“ in Höhe von mindestens 5.000, 00 € verlangt. Im gerichtlichen Verfahren erteilte die Arbeitgeberin dann erstmals Auskünfte über die verarbeiteten personenbezogenen Daten, wobei die Frage der vollständigen Erfüllung des Auskunftsanspruchs zwischen den Parteien streitig geblieben ist. Die Arbeitnehmerin hat die Auffassung vertreten, die Arbeitgeberin sei wegen der Nichterfüllung des Auskunftsanspruchs zur Leistung von immateriellem Schadenersatz verpflichtet. Sie habe wegen der Verweigerung der Auskunft keinerlei Möglichkeit der Überprüfung der Datenverarbeitung gehabt. Dieser Kontrollverlust sei spürbar und erheblich. Dies gelte insbesondere deshalb, weil die Arbeitgeberin die Auskunft vor dem Hintergrund eines Konflikts zunächst vorsätzlich und böswillig verweigert habe.

Das Arbeitsgericht hat der Arbeitnehmerin immateriellen Schadenersatz in Höhe von 4.000,00 € zugesprochen und die Klage im Übrigen abgewiesen. Auf die Berufung der Arbeitgeberin hat das Landesarbeitsgericht Nürnberg das arbeitsgerichtliche Urteil abgeändert und die Klage insgesamt abgewiesen1. Die vom Landesarbeitsgericht zugelassene und gegen die Klageabweisung gerichtete Revision der Arbeitnehmerin hat das Bundesarbeitsgericht als unbegründet zurückgewiesen; die Arbeitnehmerin habe keinen Anspruch auf Ersatz eines immateriellen Schadens nach Art. 82 Abs. 1 DSGVO:

Das Landesarbeitsgericht hat seine Entscheidung allein damit begründet, die Verletzung der Rechte aus Art. 15 Abs. 1 und Abs. 3 DSGVO stellten mangels Datenverarbeitung keinen Verstoß iSv. Art. 82 Abs. 1 DSGVO dar2.

Es kann vorliegend dahingestellt bleiben, ob dies zutrifft. Die Arbeitnehmerin hat schon keinen Schaden dargelegt.

Das Erfordernis eines Schadens und der entsprechenden Darlegungslast der Klagepartei ist durch die jüngsten Entscheidungen des Gerichtshofs der Europäischen Union hinreichend geklärt3.

Aus dem Wortlaut des Art. 82 Abs. 1 DSGVO geht klar hervor, dass das Vorliegen eines „Schadens“ eine der Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadenersatzanspruch darstellt, ebenso wie das Vorliegen eines Verstoßes gegen die Datenschutz-Grundverordnung und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind4. Der Schadenersatzanspruch hat, insbesondere im Fall eines immateriellen Schadens, eine Ausgleichsfunktion, da eine auf Art. 82 Abs. 1 DSGVO gestützte Entschädigung in Geld ermöglichen soll, den konkret aufgrund des Verstoßes gegen diese Verordnung erlittenen Schaden vollständig auszugleichen, und erfüllt keine Abschreckungs- oder Straffunktion5. Der Schaden muss keinen bestimmten Grad an Erheblichkeit erreicht haben6.

Hinsichtlich der Darlegungs- und Beweislast hat der Gerichtshof der Europäischen Union klargestellt, dass die Person, die auf der Grundlage von Art. 82 Abs. 1 DSGVO den Ersatz eines immateriellen Schadens verlangt, nicht nur den Verstoß gegen Bestimmungen dieser Verordnung nachweisen muss, sondern auch, dass ihr durch diesen Verstoß ein solcher Schaden entstanden ist7. Da der 85. Erwägungsgrund der Datenschutz-Grundverordnung ausdrücklich den „Verlust der Kontrolle“ zu den Schäden zählt, die durch eine Verletzung des Schutzes personenbezogener Daten verursacht werden können, hat der Gerichtshof entschieden, dass der – selbst kurzzeitige – Verlust der Kontrolle über solche Daten einen „immateriellen Schaden“ iSv. Art. 82 Abs. 1 DSGVO darstellen kann, der einen Schadenersatzanspruch begründet, sofern die betroffene Person den Nachweis erbringt, dass sie tatsächlich einen solchen Schaden – so geringfügig er auch sein mag – erlitten hat8. Dabei kann die durch einen Verstoß gegen die Datenschutz-Grundverordnung ausgelöste Befürchtung einer betroffenen Person, ihre personenbezogenen Daten könnten von Dritten missbräuchlich verwendet werden, für sich genommen einen „immateriellen Schaden“ iSv. Art. 82 Abs. 1 DSGVO darstellen9. Ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten kann jedoch nicht zu einer Entschädigung führen10. Das angerufene nationale Gericht muss vielmehr prüfen, ob die Befürchtung der missbräuchlichen Datenverwendung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann11.

Vor dem Hintergrund dieser aktuellen Rechtsprechung des Gerichtshofs der Europäischen Union zum Erfordernis eines Schadens und der entsprechenden Darlegungslast der Klagepartei kommt es nach Auffassung des Bundesarbeitsgerichts auf die Vorlage des Bundesgerichtshofs vom 26.09.202312 nicht an. Der Bundesgerichtshof hat dem Gerichtshof der Europäischen Union die Frage gestellt, ob Art. 82 Abs. 1 DSGVO dahin gehend auszulegen ist, dass für die Annahme eines immateriellen Schadens bloße negative Gefühle wie zB Ärger, Unmut, Unzufriedenheit, Sorge und Angst genügen oder ob für die Annahme eines Schadens ein über diese Gefühle hinausgehender Nachteil für die betroffene natürliche Person erforderlich ist. Diese Frage ist durch die nach der Vorlage des Bundesgerichtshofs ergangene Rechtsprechung des Gerichtshofs der Europäischen Union jedenfalls bezogen auf die Sorge vor Datenverlust bzw. unrechtmäßiger Datenverwendung beantwortet13.

Nach der Rechtsprechung des Gerichtshofs der Europäischen Union können negative Gefühle („Befürchtung“) in solchen Konstellationen einen Anspruch auf Ersatz des immateriellen Schadens begründen. Das bloße Berufen auf eine bestimmte Gefühlslage reicht aber nicht aus, denn das Gericht hat zu prüfen, ob das Gefühl unter Berücksichtigung der konkreten Umstände „als begründet angesehen werden kann“11. Dies setzt zwingend die Anwendung eines objektiven Maßstabs voraus14. Dabei ist ua. die objektive Bestimmung des Missbrauchsrisikos der Daten von Bedeutung15.

Dem steht nicht entgegen, dass Art. 82 Abs. 1 DSGVO nach der Rechtsprechung des Gerichtshofs der Europäischen Union nicht verlangt, dass ein erlittener Nachteil spürbar oder eine Beeinträchtigung objektiv sein muss16. Damit hat der Gerichtshof nur klargestellt, dass es keine „Bagatellgrenze“ gibt. Der objektive Maßstab bzgl. des Vorliegens eines Schadens als solchen ist hiervon zu unterscheiden. Besteht der Schaden in negativen Gefühlen, die für sich genommen nicht beweisbar sind, hat das nationale Gericht die Gesamtsituation und letztlich auch die Glaubwürdigkeit der jeweiligen Klagepartei auf der Grundlage eines substantiierten Sachvortrags zu beurteilen. Steht ein Verstoß gegen die Datenschutz-Grundverordnung iSv. Art. 82 Abs. 1 DSGVO nach richterlicher Beweiswürdigung iSv. § 286 Abs. 1 ZPO zum Nachteil der Klagepartei als geschützter Person fest, mindert sich das Beweismaß bzgl. der Entstehung und der Höhe des Schadens nach § 287 Abs. 1 ZPO17.

Ausgehend von diesen Grundsätzen hat die Arbeitnehmerin keinen Schaden iSv. Art. 82 Abs. 1 DSGVO dargelegt.

Sie hat zwar ihre aus Unkenntnis der Datenverarbeitung resultierenden Befürchtungen unmissverständlich zum Ausdruck gebracht. Solche Befürchtungen liegen bei einer nicht oder unvollständig erteilten Auskunft jedoch in der Natur der Sache. Der Auskunftsanspruch soll die Durchsetzung von Rechten, ua. bezogen auf die Einschränkung der Datenverarbeitung, und ggf. die Inanspruchnahme von Rechtsmitteln ermöglichen18. Die Nichterfüllung des Auskunftsanspruchs löst geradezu zwangsläufig die Sorge eines Verstoßes gegen sonstige Verpflichtungen aus der Datenschutz-Grundverordnung aus. Wäre das Berufen auf solche Befürchtungen jedoch für die Annahme eines Schadens bereits ausreichend, würde jeder Verstoß gegen Art. 15 DSGVO – so ein Verstoß dagegen einen Anspruch nach Art. 82 Abs. 1 DSGVO dem Grunde nach begründen könnte – praktisch in jedem Fall zu einem immateriellen Schaden führen. Die eigenständige Voraussetzung des Schadens würde damit bedeutungslos. Sie wäre stets erfüllt. Dies ist jedoch mit dem Normverständnis des Gerichtshofs von Art. 82 Abs. 1 DSGVO ebenso wenig zu vereinbaren wie mit den Anforderungen des nationalen Prozessrechts, das die substantiierte Darlegung eines Schadens verlangt19.

Für eine solche Darlegung eines Schadens reicht auch die Hervorhebung besonderer Spannungen mit dem Auskunftsverpflichteten nicht aus. Die Arbeitnehmerin verweist insoweit nachvollziehbar darauf, dass die Arbeitgeberin die Erteilung einer Auskunft zunächst vorsätzlich verweigert und auf den Rechtsweg verwiesen habe. Damit wird aber kein immaterieller Schaden belegt, es verbleibt bei der grundsätzlichen Ungewissheit. Eine Straffunktion kommt dem Schadenersatzanspruch nach Art. 82 Abs. 1 DSGVO – wie ausgeführt – nicht zu.

Dem kann – entgegen der Auffassung der Arbeitnehmerin – Art. 8 Abs. 2 GRC nicht entgegengehalten werden. Zwar hat nach Art. 8 Abs. 2 Satz 2 GRC jede Person das Recht, Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken. Aus dieser Norm lassen sich jedoch keine Vorgaben für den Schadenbegriff im Sinne des Art. 82 Abs. 1 DSGVO ableiten (vgl. zu Art. 8 Abs. 1 GRC: Schubert EuZA 2024, 40, 47).

Einer Zurückverweisung der Sache an das Berufungsgericht, um der Arbeitnehmerin weiteren Sachvortrag zu dem von ihr erlittenen Schaden zu ermöglichen, bedurfte es nach Ansicht des Bundesarbeitsgerichts im vorliegenden Fall nicht. Das Vorliegen eines Schadens war zwischen den Parteien von Beginn des Rechtsstreits an thematisiert und von der Arbeitgeberin stets in Abrede gestellt worden, ohne dass die Arbeitnehmerin hierauf substantiiert Vortrag gehalten hätte.

Bundesarbeitsgericht, Urteil vom 20. Juni 2024 – 78 AZR 124/23

  1. LAG Nürnberg 25.01.2023 – 4 Sa 201/22[]
  2. vgl. hierzu auch BAG 5.05.2022 – 2 AZR 363/21, Rn. 11[]
  3. vgl. hierzu BAG 25.04.2024 – 8 AZR 209/21 (B), Rn. 5 f.[]
  4. EuGH 25.01.2024 – C-687/21 – [MediaMarktSaturn] Rn. 58; 14.12.2023 – C-340/21 – [Natsionalna agentsia za prihodite] Rn. 77; 4.05.2023 – C-300/21 – [Österreichische Post] Rn. 32[]
  5. EuGH 25.01.2024 – C-687/21 – [MediaMarktSaturn] Rn. 50; 21.12.2023 – C-667/21 – [Krankenversicherung Nordrhein] Rn. 87[]
  6. EuGH 14.12.2023 – C-456/22 – [Gemeinde Ummendorf] Rn. 16 und – C-340/21 – [Natsionalna agentsia za prihodite] Rn. 78; 4.05.2023 – C-300/21 – [Österreichische Post] Rn. 51[]
  7. EuGH 11.04.2024 – C-741/21 – 35; 25.01.2024 – C-687/21 – [MediaMarktSaturn] Rn. 60 f.[]
  8. EuGH 11.04.2024 – C-741/21 – 42; 25.01.2024 – C-687/21 – [MediaMarktSaturn] Rn. 66[]
  9. EuGH 25.01.2024 – C-687/21 – [MediaMarktSaturn] Rn. 65; 14.12.2023 – C-340/21 – [Natsionalna agentsia za prihodite] Rn. 79 ff.[]
  10. EuGH 25.01.2024 – C-687/21 – [MediaMarktSaturn] Rn. 68[]
  11. EuGH 14.12.2023 – C-340/21 – [Natsionalna agentsia za prihodite] Rn. 85[][]
  12. BGH 26.09.2023 – VI ZR 97/22, Rn. 30 ff.[]
  13. aA Rombach/Hoeren WuB 2024, 28, 32; Scharpf jurisPR-ITR 8/2024 Anm. 5 unter C; vgl. auch BGH 12.12.2023 – VI ZR 277/22, Rn. 6[]
  14. idS auch Halder/Maluszczak jurisPR-ITR 3/2024 Anm. 4 unter D; Sorber/Lohmann BB 2023, 1652, 1655; Peisker/Zhou BB 2024, 308, 310; aA Rudkowski NZA 2024, 1, 7[]
  15. vgl. Arning/Dirkers DB 2024, 381, 383[]
  16. EuGH 14.12.2023 – C-456/22 – [Gemeinde Ummendorf] Rn. 17[]
  17. vgl. BAG 5.05.2022 – 2 AZR 363/21, Rn. 14[]
  18. vgl. EuGH 4.05.2023 – C-487/21 – [Österreichische Datenschutzbehörde] Rn. 35; 12.01.2023 – C-154/21 – [Österreichische Post] Rn. 38 ff.[]
  19. vgl. LAG Rheinland-Pfalz 8.02.2024 – 5 Sa 154/23, zu II 1 b der Gründe; LAG Baden-Württemberg 27.07.2023 – 3 Sa 33/22, zu B II 1 b der Gründe; Barrein/Fuhlrott NZA 2024, 443, 446; aA Brandt/Goffart NZA 2024, 240, 242[]

Das dürfte Sie auch interessieren: