Bundesarbeitsgericht, Urteil vom 20.02.2025 – 8 AZR 61/24
Hintergrund
Zwischen den Parteien ist ein Anspruch des Klägers auf immateriellen Schadensersatz gem. Art. 82 Abs. 1 Datenschutzgrundverordnung (DSGVO) wegen einer – aus Sicht des Klägers – verspäteten und unzureichenden Erfüllung der datenschutzrechtlichen Auskunftspflicht nach Art. 15 DSGVO durch die Beklagte strittig.
Der Kläger war im Zeitraum vom 01. – 31.12.2016 bei der Rechtsvorgängerin der Beklagten als Arbeitnehmer beschäftigt. Im Jahr 2020 hatte der Kläger gegenüber der Beklagten erstmals ein Auskunftsverlangen gemäß Art. 15 DSGVO geltend gemacht, dem die Beklagte nachgekommen war.
Mit Blick auf eine möglicherweise fortdauernde Verarbeitung seiner personenbezogenen Daten begehrte der Kläger am 01.10.2022 erneut eine Datenauskunft unter Fristsetzung bis zum 16.10.2022. Nachdem die Beklagte innerhalb dieser Frist keine Reaktion zeigte, wiederholte der Kläger unter erneuter Fristsetzung sein Auskunftsbegehren mit Schreiben vom 21.10.2022. Mit Schreiben vom 27.10.2022 erteilte die Beklagte sodann eine Auskunft, die aus ihrer Sicht den Anforderungen von Art. 15 DSGVO genügte.
Der Kläger beanstandete daraufhin, dass die Auskunft insbesondere im Hinblick auf die Angaben zur Speicherdauer, zu den Empfängern der Daten sowie zur Vollständigkeit der zur Verfügung gestellten Datenkopie unzureichend sei. Nach weiterem Schriftwechsel übermittelte die Beklagte mit Schreiben vom 01.12.2022 eine aus ihrer Sicht abschließende, nunmehr vollständige Auskunft.
Daraufhin verlangte der Kläger zunächst außergerichtlich erfolglos und anschließend im Rahmen der vorliegenden Klage eine Geldentschädigung in Höhe von 2.000 € zzgl. Verzugszinsen wegen eines immateriellen Schadens gemäß Art. 82 Abs. 1 DSGVO. Er ist der Ansicht, die Beklagte habe gegen Art. 12 Abs. 3 i. V. m. Art. 15 DSGVO verstoßen, indem sie die Auskunft nicht fristgerecht und nicht vollständig erteilt habe. Als immateriellen Schaden macht er einen über mehrere Wochen andauernden Kontrollverlust hinsichtlich der Verarbeitung seiner personenbezogenen Daten, verbunden mit einem Gefühl erheblicher Sorge über den Verbleib und die Verwendung seiner Daten geltend. Obendrein habe ihn der erforderliche Aufwand zur Durchsetzung seiner datenschutzrechtlichen Ansprüche psychisch belastet.
Das Arbeitsgericht Duisburg gab der Klage statt und verurteilte die Beklagte zur Zahlung von 10.000 € immateriellen Schadenersatz verurteilt. Auf die hiergegen gerichtete Berufung der Beklagten hin wies das Landesarbeitsgericht Düsseldorf die Klage ab. Dagegen legte der Kläger Revision vor dem Bundesarbeitsgericht ein.
Gründe
Das Bundesarbeitsgericht wies die Revision des Klägers als unbegründet zurück, da kein immaterieller Schaden nachgewiesen werden konnte. Einen Anspruch besteht, wenn ein Verstoß gegen die DSGVO seitens des Verantwortlichen begangen wurde, wenn ein Schaden entstanden ist und zwischen beidem ein Kausalzusammenhang besteht. Bereits der Verlust der Kontrolle über die personenbezogenen Daten hinsichtlich der eigenen Person kann ein Schaden im Sinne der DSGVO sein, dabei genügt selbst der kurzzeitige Verlust der Kontrolle über die eigenen Daten. Der Betroffene muss jedoch nachweisen, dass es zu einem solchen Kontrollverlust in Form eines Datenverlusts oder Datenmissbrauchs gekommen ist.
Der Vortrag des Klägers reichte dazu vorliegend jedoch nicht aus. Ein Kontrollverlust besteht erst dann, wenn die betroffene Person mit guten Gründen einen Datenmissbrauch befürchtet. Der Kläger konnte außerdem nicht darlegen, inwiefern das von ihm geschilderte pauschale Unmutsgefühl einen Schaden darstellt. Zwar können negative Gefühle einen solchen immateriellen Schaden begründen, jedoch muss dafür nach objektivem Maßstab ein glaubwürdiger Sachvortrag hinsichtlich eines Datenmissbrauchs bestehen, da es sich bei Gefühlen um im Grunde genommen nicht beweisbare Sachverhalte handelt.
Bewertung
Gemäß Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, einen Anspruch auf Schadenersatz gegen den Verantwortlichen. Der Bundesgerichtshof entschied bereits in der Vergangenheit, dass auch der Verlust der Kontrolle über die eigenen personenbezogenen Daten und des Wissens, wer auf diese zugreifen kann, einen solchen immateriellen Schaden darstellt und legte somit eine vergleichsweise niedrige Schwelle an. Lesen Sie hierzu die entsprechende Urteilsbesprechung. Der Schaden muss dabei keinen gewissen Erheblichkeitsgrad erreichen, jedoch genügt nicht das pauschale Behaupten jeglicher negativen Gefühle. Die Beweislast für das Bestehen eines immateriellen Schadens liegt bei der Person, die den Ersatz des Schadens verlangt.
Im Gegenzug dazu legte das Bundesarbeitsgericht nun höhere Maßstäbe für die Darlegung eines Schadens an und führte aus, dass das bloße Behaupten eines DSGVO-Verstoßes nicht genügen kann. Dass der Kläger befürchtete, dass „Schindluder“ mit seinen Daten getrieben werde und er von der verspäteten Auskunft seitens seines ehemaligen Arbeitgebers „genervt“ war, genügte somit nicht, um einen immateriellen Schaden zu bejahen, da es sich lediglich um pauschal gehaltenen Unmut handele.
Claudia Lorig
Anwältin für Datenschutzrecht
Lesen Sie mehr zu den Schwerpunkten unserer Kanzlei unter www.rnsp.de.