Der nicht erfüllte datenschutzrechtliche Auskunftsanspruch – und der Schadensersatzanspruch des Arbeitnehmers

Aus dem Wortlaut des Art. 82 Abs. 1 DSGVO geht klar hervor, dass das Vorliegen eines „Schadens“ eine der Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadenersatzanspruch darstellt, ebenso wie das Vorliegen eines Verstoßes gegen die Datenschutz-Grundverordnung und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind.

In dem hier vom Bundesarbeitsgericht entschiedenen Fall streiten Arbeitnehmer und Arbeitgeber über einen Anspruch auf Entschädigung nach Art. 82 Abs. 1 DSGVO. Der klagende Arbeitnehmer war langjährig bei der beklagten Arbeitgeberin als Koch beschäftigt. Mit anwaltlichem Schreiben vom 22.07.2019 hat der Arbeitnehmer die Arbeitgeberin unter Fristsetzung bis zum 26.08.2019 zur Auskunft nach Art. 15 Abs. 1 DSGVO zu zwei Vorgängen aufgefordert. Das Aufforderungsschreiben hat auszugsweise folgenden Wortlaut:

„Sie sprachen gegenüber unserer Mandantschaft eine Versetzung aus. Diese weisen wir als unzulässig zurück. Über die erfolgte Betriebsratsanhörung nebst Zustimmung ist vollumfänglich Auskunft nach Art. 15 DSGVO zu erteilen. Die Versetzung ist zurückzunehmen.

Des Weiteren sprachen Sie unter dem 29.05.2019 eine Abmahnung aus. Diese erfolgte zu Unrecht und ist nebst dem dazugehörigen Schriftverkehr aus der Personalakte unserer Mandantschaft zu entfernen. Der von Ihnen dargestellte Sachverhalt trifft nicht zu. …

Auch bezüglich dieses Vorfalles fordern wir Sie gem. Art. 15 DSGVO zur Auskunft über alle unsere Mandantschaft betreffenden Daten auf.“

Darauf antwortete die Arbeitgeberin mit Schreiben vom 23.08.2019 unter Beifügung mehrerer Unterlagen wie folgt:

„…    

Sie machen mit Ihrem Schreiben einen Auskunftsanspruch nach Art. 15 Datenschutzgrundverordnung (i.F.: DSGVO), mit dem Sie bezüglich der ausgesprochenen Versetzung ‚über die erfolgte Betriebsratsanhörung nebst Zustimmung […] vollumfänglich Auskunft‘ sowie bezüglich der ausgesprochenen Abmahnung für den Vorfall vom 05.05.2019 ‚Auskunft über alle unsere Mandantschaft betreffenden Daten‘ fordern, geltend.
Diesbezüglich erlauben wir uns wie folgt Stellung zu nehmen:

I.    

Hinsichtlich der Versetzung Ihres Mandanten in das Objekt P weisen wir Sie daraufhin, dass wir die Versetzung aufrechterhalten. Eine Kopie der Betriebsratsanhörung und der Betriebsratszustimmung liegt unserem Schreiben bei.

II.     

Hinsichtlich der Abmahnung vom 29.05.2019 weisen wir Sie darauf hin, dass der von Ihrem Mandanten geschilderte Sachverhalt unzutreffend ist. Zudem wurde in der ausgesprochenen Abmahnung entgegen Ihrer Behauptung eine ‚Wohnbereichsleiterin‘ mit keinem Wort erwähnt, sondern lediglich die ‚Wohnbereichsleitung‘. Obgleich die Wohnbereichsleiterin am 05.05.2019 tatsächlich nicht im Dienst war, ändert dies nichts an dem Umstand, dass es am besagten Tag dennoch eine Wohnbereichsleitung gab. Ferner verkennen Sie, dass Herr F in der Abmahnung nicht als Zeuge benannt wurde, sondern lediglich auf seine Stellungnahme Bezug genommen wurde. Eine Kopie der Stellungnahme einschließlich des Logbucheintrags – welchen wir jedoch aus datenschutzrechtlichen Gründen um die nicht den Vorfall vom 05.05.2019 betreffenden Passagen geschwärzt haben – liegt unserem Schreiben bei. …“

Der Arbeitnehmer hat – unter Bezugnahme auf sein ursprüngliches Auskunftsverlangen und ohne inhaltliche Rüge der bereits erteilen Auskünfte – die Ansicht vertreten, die Arbeitgeberin habe die ihm nach Art. 15 Abs. 1 DSGVO zustehenden Informationsansprüche bis heute nicht vollständig erfüllt. Durch die jahrelang verspätete Auskunft bleibe er weiterhin über wesentliche Faktoren der Datenverarbeitung im Dunkeln und ihm sei die Prüfung verwehrt, ob und wie die Arbeitgeberin seine personenbezogenen Daten verarbeite. Die Arbeitgeberin schulde ihm deshalb immateriellen Schadenersatz nach Art. 82 Abs. 1 DSGVO. Der Anspruch werde hilfsweise aus vertraglicher, hierzu hilfsweise vertragsähnlicher, hierzu hilfsweise deliktischer Haftung geltend gemacht. Eine Entschädigung in Höhe von insgesamt 8.000, 00 € sei angesichts der langen Dauer des Verstoßes jedenfalls angemessen.

Das Arbeitsgericht Berlin hat die Klage insoweit abgewiesen¹. Auf die Berufung des Arbeitnehmers hat das Landesarbeitsgericht Berlin-Brandenburg das Urteil des Arbeitsgerichts teilweise abgeändert und der Klage auf Schadenersatz in Höhe von 2.000, 00 € stattgegeben². Auf die vom Landesarbeitsgericht zugelassene Revision der Arbeitgeberin hat das Bundesarbeitsgericht das Berufungsurteil des Landesarbeitsgerichts Berlin-Brandenburg aufgehoben und das klageabweisende Urteil des Arbeitsgerichts Berlin wieder hergestellt:

Das Landesarbeitsgericht hat das arbeitsgerichtliche Urteil auf die Berufung des Arbeitnehmers zu Unrecht teilweise abgeändert und der Klage in Höhe von 2.000, 00 € zzgl. Zinsen stattgegeben. Die zulässige Klage ist insgesamt nicht begründet. Der Arbeitnehmer hat gegen die Arbeitgeberin keinen Anspruch auf Ersatz eines immateriellen Schadens nach Art. 82 Abs. 1 DSGVO. Insoweit kann dahinstehen, ob Art. 15 Abs. 1 DSGVO durch das Recht auf Einsicht in die Personalakte nach § 83 Abs. 1 BetrVG im Arbeitsverhältnis verdrängt wird³, ob eine Verletzung des Auskunftsanspruchs aus Art. 15 Abs. 1 und Abs. 3 DSGVO überhaupt einen Anspruch aus Art. 82 Abs. 1 DSGVO zu begründen vermag⁴ und ob der Arbeitnehmer eine Verletzung seines Auskunftsanspruchs nach Art. 15 Abs. 1 DSGVO, mit Blick auf die erteilten Auskünfte, überhaupt dargelegt hat. Der Arbeitnehmer hat vorliegend – entgegen der Auffassung des Landesarbeitsgerichts Berlin-Brandenburg – jedenfalls keinen Schaden im Sinne von Art. 82 Abs. 1 DSGVO dargelegt.

Das Erfordernis eines Schadens und die entsprechende Darlegungslast der Klagepartei ist durch die jüngsten Entscheidungen des Gerichtshofs der Europäischen Union hinreichend geklärt⁵.

Aus dem Wortlaut des Art. 82 Abs. 1 DSGVO geht klar hervor, dass das Vorliegen eines „Schadens“ eine der Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadenersatzanspruch darstellt, ebenso wie das Vorliegen eines Verstoßes gegen die Datenschutz-Grundverordnung und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind⁶. Der Schadenersatzanspruch hat, insbesondere im Fall eines immateriellen Schadens, eine Ausgleichsfunktion, da eine auf Art. 82 Abs. 1 DSGVO gestützte Entschädigung in Geld ermöglichen soll, den konkret aufgrund des Verstoßes gegen diese Verordnung erlittenen Schaden vollständig auszugleichen, und erfüllt keine Abschreckungs- oder Straffunktion⁷. Der Schaden muss keinen bestimmten Grad an Erheblichkeit erreicht haben⁸.

Hinsichtlich der Darlegungs- und Beweislast hat der Gerichtshof der Europäischen Union klargestellt, dass die Person, die auf der Grundlage von Art. 82 Abs. 1 DSGVO den Ersatz eines immateriellen Schadens verlangt, nicht nur den Verstoß gegen Bestimmungen dieser Verordnung nachweisen muss, sondern auch, dass ihr durch diesen Verstoß ein solcher Schaden entstanden ist⁹. Da der 85. Erwägungsgrund der Datenschutz-Grundverordnung ausdrücklich den „Verlust der Kontrolle“ zu den Schäden zählt, die durch eine Verletzung des Schutzes personenbezogener Daten verursacht werden können, hat der Gerichtshof entschieden, dass der – selbst kurzzeitige – Verlust der Kontrolle über solche Daten einen „immateriellen Schaden“ im Sinne von Art. 82 Abs. 1 DSGVO darstellen kann, der einen Schadenersatzanspruch begründet, sofern die betroffene Person den Nachweis erbringt, dass sie tatsächlich einen solchen Schaden – so geringfügig er auch sein mag – erlitten hat¹⁰. Dabei kann die durch einen Verstoß gegen die Datenschutz-Grundverordnung ausgelöste Befürchtung einer betroffenen Person, ihre personenbezogenen Daten könnten von Dritten missbräuchlich verwendet werden, für sich genommen einen „immateriellen Schaden“ im Sinne von Art. 82 Abs. 1 DSGVO darstellen¹¹. Ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten kann jedoch nicht zu einer Entschädigung führen¹². Das angerufene nationale Gericht muss vielmehr prüfen, ob die Befürchtung der missbräuchlichen Datenverwendung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann¹³.

Vor dem Hintergrund dieser aktuellen Rechtsprechung des Gerichtshofs der Europäischen Union zum Erfordernis eines Schadens und der entsprechenden Darlegungslast der Klagepartei kommt es nach Auffassung des Bundesarbeitsgerichts auf die Vorlage des Bundesgerichtshofs vom 26.09.2023¹⁴ nicht an. Der Bundesgerichtshof hat dem Gerichtshof der Europäischen Union die Frage gestellt, ob Art. 82 Abs. 1 DSGVO dahin gehend auszulegen ist, dass für die Annahme eines immateriellen Schadens bloße negative Gefühle wie zB Ärger, Unmut, Unzufriedenheit, Sorge und Angst genügen oder ob für die Annahme eines Schadens ein über diese Gefühle hinausgehender Nachteil für die betroffene natürliche Person erforderlich ist. Diese Frage ist durch die nach der Vorlage des Bundesgerichtshofs ergangene Rechtsprechung des Gerichtshofs der Europäischen Union jedenfalls bezogen auf die Sorge vor Datenverlust bzw. unrechtmäßiger Datenverwendung beantwortet¹⁵.

Nach der Rechtsprechung des Gerichtshofs der Europäischen Union können negative Gefühle („Befürchtung“) in solchen Konstellationen einen Anspruch auf Ersatz des immateriellen Schadens begründen. Das bloße Berufen auf eine bestimmte Gefühlslage reicht aber nicht aus, denn das Gericht hat, wie dargestellt, zu prüfen, ob das Gefühl unter Berücksichtigung der konkreten Umstände „als begründet angesehen werden kann“¹³. Dies setzt zwingend die Anwendung eines objektiven Maßstabs voraus¹⁶. Dabei ist unter anderem die objektive Bestimmung des Missbrauchsrisikos der Daten von Bedeutung¹⁷.

Dem steht nicht entgegen, dass Art. 82 Abs. 1 DSGVO nach der Rechtsprechung des Gerichtshofs der Europäischen Union nicht verlangt, dass ein erlittener Nachteil spürbar oder eine Beeinträchtigung objektiv sein muss¹⁸. Damit hat der Gerichtshof nur klargestellt, dass es keine „Bagatellgrenze“ gibt. Der objektive Maßstab bzgl. des Vorliegens eines Schadens als solchen ist hiervon zu unterscheiden. Besteht der Schaden in negativen Gefühlen, die für sich genommen nicht beweisbar sind, hat das nationale Gericht die Gesamtsituation und letztlich auch die Glaubwürdigkeit der jeweiligen Klagepartei auf der Grundlage eines substantiierten Sachvortrags zu beurteilen. Steht ein Verstoß gegen die Datenschutz-Grundverordnung im Sinne von Art. 82 Abs. 1 DSGVO nach richterlicher Beweiswürdigung im Sinne von § 286 Abs. 1 ZPO zum Nachteil der Klagepartei als geschützter Person fest, mindert sich das Beweismaß bzgl. der Entstehung und der Höhe des Schadens nach § 287 Abs. 1 ZPO¹⁹.

Der Arbeitnehmer hat geltend gemacht, durch die jahrelang verspätete Auskunft bleibe er weiterhin über wesentliche Faktoren der Datenverarbeitung im Dunkeln und ihm sei die Prüfung verwehrt, ob und wie die Arbeitgeberin seine personenbezogenen Daten verarbeite. Ausgehend von der Rechtsprechung des Gerichtshofs der Europäischen Union hat der Arbeitnehmer damit keinen immateriellen Schaden dargelegt.

Entgegen der Auffassung des Landesarbeitsgerichts Berlin-Brandenburg kann ein Schaden nicht allein mit der Begründung angenommen werden, durch eine Verletzung des Auskunftsanspruchs aus Art. 15 Abs. 1 DSGVO – so ein Verstoß dagegen einen Anspruch nach Art. 82 Abs. 1 DSGVO dem Grunde nach begründen könnte – trete ein Kontrollverlust ein, weil die Überprüfung verhindert werde, ob personenbezogene Daten rechtmäßig verarbeitet werden. Zwar dient der Auskunftsanspruch des Art. 15 Abs. 1 DSGVO dem Zweck, Betroffenen die Ausübung der Rechte auf Berichtigung, Löschung, Einschränkung der Verarbeitung und Widerspruch gegen die Verarbeitung nach Art. 16 bis 18 und Art. 21 DSGVO zu ermöglichen²⁰. Ein derartiger Kontrollverlust geht jedoch mit jeder Verletzung des Auskunftsanspruchs aus Art. 15 Abs. 1 DSGVO zwingend einher. Er ist daher nicht geeignet einen von der bloßen Verletzung des Art. 15 Abs. 1 DSGVO unterscheidbaren Schaden zu begründen²¹. Die eigenständige Voraussetzung des Schadens würde damit bedeutungslos. Sie wäre stets erfüllt. Dies ist jedoch mit dem Normverständnis des Gerichtshofs von Art. 82 Abs. 1 DSGVO ebenso wenig zu vereinbaren wie mit den Anforderungen des nationalen Prozessrechts, das die substantiierte Darlegung eines Schadens verlangt²².

Soweit der Arbeitnehmer im Hinblick auf einen Verlust der Kontrolle vorträgt, ihm sei die Prüfung verwehrt, ob und wie die Arbeitgeberin seine personenbezogenen Daten verarbeite, legt er lediglich ein hypothetisches Risiko einer missbräuchlichen Verwendung dar. Ein objektiv erhöhtes Missbrauchsrisiko in Bezug auf die von dem Auskunftsanspruch betroffenen personenbezogenen Daten zeigt der Arbeitnehmer gerade nicht auf. Anders als bei einem Datenleck verschlechtert sich durch die unterbliebene Auskunft die Sicherheit der Daten nicht unmittelbar. Es hätte in der vorliegenden Fallgestaltung ergänzender Darlegungen des Arbeitnehmers bedurft, aus welchen Gründen ein mehr als nur hypothetisches Risiko einer missbräuchlichen Verwendung seiner personenbezogenen Daten bestehen soll.

Soweit sich aus dem Vortrag des Arbeitnehmers – andeutungsweise – negative Gefühle in Form einer Befürchtung der missbräuchlichen Datenverwendung ergeben, können diese unter den gegebenen Umständen nicht als begründet angesehen werden. Das bloße Berufen auf Befürchtungen dieser Art reicht nicht aus. Um zu prüfen, ob das Gefühl als begründet angesehen werden kann, ist ein objektiver Maßstab anzulegen. Dabei ist insbesondere das objektive Risiko eines Missbrauchs in den Blick zu nehmen, zu dem es vorliegend an ausreichenden Darlegungen fehlt.

Soweit der Arbeitnehmer Schadenersatz hilfsweise aus vertraglicher, hierzu hilfsweise vertragsähnlicher, hierzu hilfsweise deliktischer Haftung nach nationalen Rechtsvorschriften geltend gemacht hat, fehlt es ebenfalls an einem hinreichend dargelegten Schaden.

Bundesarbeitsgericht, Urteil vom 20. Juni 2024 – 8 AZR 91/22

1. ArbG Berlin 21.01.2021 – 27 Ca 11237/19[↩]
2. LAG Berlin-Brandenburg 18.11.2021 – 10 Sa 443/21[↩]
3. vgl. dazu Franzen NZA 2020, 1593, 1596[↩]
4. vgl. BAG 5.05.2022 – 2 AZR 363/21, Rn. 11[↩]
5. vgl. hierzu BAG 25.04.2024 – 8 AZR 209/21 (B), Rn. 5 f.[↩]
6. EuGH 25.01.2024 – C-687/21 – [MediaMarktSaturn] Rn. 58; 14.12.2023 – C-340/21 – [Natsionalna agentsia za prihodite] Rn. 77; 4.05.2023 – C-300/21 – [Österreichische Post] Rn. 32[↩]
7. EuGH 25.01.2024 – C-687/21 – [MediaMarktSaturn] Rn. 50; 21.12.2023 – C-667/21 – [Krankenversicherung Nordrhein] Rn. 87[↩]
8. EuGH 14.12.2023 – C-456/22 – [Gemeinde Ummendorf] Rn. 16 und – C-340/21 – [Natsionalna agentsia za prihodite] Rn. 78; 4.05.2023 – C-300/21 – [Österreichische Post] Rn. 51[↩]
9. EuGH 11.04.2024 – C-741/21 – 35; 25.01.2024 – C-687/21 – [MediaMarktSaturn] Rn. 60 f.[↩]
10. EuGH 11.04.2024 – C-741/21 – 42; 25.01.2024 – C-687/21 – [MediaMarktSaturn] Rn. 66[↩]
11. EuGH 25.01.2024 – C-687/21 – [MediaMarktSaturn] Rn. 65; 14.12.2023 – C-340/21 – [Natsionalna agentsia za prihodite] Rn. 79 ff.[↩]
12. EuGH 25.01.2024 – C-687/21 – [MediaMarktSaturn] Rn. 68[↩]
13. EuGH 14.12.2023 – C-340/21 – [Natsionalna agentsia za prihodite] Rn. 85[↩][↩]
14. BGH 26.09.2023 – VI ZR 97/22, Rn. 30 ff.[↩]
15. aA Rombach/Hoeren WuB 2024, 28, 32; Scharpf jurisPR-ITR 8/2024 Anm. 5 unter C; vgl. auch BGH 12.12.2023 – VI ZR 277/22, Rn. 6[↩]
16. idS auch Halder/Maluszczak jurisPR-ITR 3/2024 Anm. 4 unter D; Sorber/Lohmann BB 2023, 1652, 1655; Peisker/Zhou BB 2024, 308, 310; aA Rudkowski NZA 2024, 1, 7[↩]
17. vgl. Arning/Dirkers DB 2024, 381, 383[↩]
18. EuGH 14.12.2023 – C-456/22 – [Gemeinde Ummendorf] Rn. 17[↩]
19. vgl. BAG 5.05.2022 – 2 AZR 363/21, Rn. 14[↩]
20. vgl. EuGH 4.05.2023 – C-487/21 – [Österreichische Datenschutzbehörde] Rn. 35[↩]
21. aA Brandt/Goffart NZA 2024, 240, 242[↩]
22. vgl. LAG Rheinland-Pfalz 8.02.2024 – 5 Sa 154/23, zu II 1 b der Gründe; LAG Baden-Württemberg 27.07.2023 – 3 Sa 33/22, zu B II 1 b der Gründe; Barrein/Fuhlrott NZA 2024, 443, 446[↩]