Monthly Archives: April 2025

Bundesarbeitsgericht: Kein Schadenersatz allein wegen verspäteter DSGVO-Auskunft 

Posted on by

In seinem Urteil vom 20.02.2025 (Az. 8 AZR 61/24) hatte sich das BAG mit der Frage zu befassen, ob eine verspätete Auskunft (und damit ein Verstoß gegen Art. 12 Abs. 3, Art. 15 DSGVO) per se zu einem Anspruch auf Schadenersatz führt oder die Verspätung zumindest einen Kontrollverlust indiziert – der dann als immaterieller Schaden nach Art. 82 DSGVO geltend gemacht werden kann. 

In beiden Fällen lehnte das BAG einen Anspruch nach Art. 82 DSGVO ab. 

Sachverhalt

Der Kläger war der Ansicht, die Beklagte habe mit einer nach Art. 12 Abs. 3 DSGVO verspäteten Auskunft gegen die DSGVO verstoßen. Er habe deshalb einen Anspruch auf Schadenersatz. Es bestehe ein immaterieller Schaden in Form eines wochenlangen Kontrollverlusts bzgl. der Datenverarbeitung. Er habe deshalb etwaige Rechte nicht ausüben können. Er habe auch Angst, dass die Beklagte „Schindluder“ mit seinen Daten treibe. Außerdem sei er wegen des durch die Beklagte verursachten Aufwands der Rechtsverfolgung „genervt“.

Entscheidung

Das BAG orientiert sich bei seiner Entscheidung an den relevanten Urteilen und Aussagen des EuGH zum Anspruch nach Art. 82 DSGVO. Hinsichtlich der Darlegungs- und Beweislast ist geklärt, dass die betroffene Person, die auf der Grundlage von Art. 82 Abs. 1 DSGVO den Ersatz eines immateriellen Schadens verlangt, nicht nur den Verstoß gegen Bestimmungen der DSGVO nachweisen muss, sondern auch, dass ihr durch diesen Verstoß ein solcher Schaden entstanden ist. Daran fehlet es hier.

Kontrollverlust wegen der Verspätung?

Der Kläger vertrat die Auffassung, eine verspätete Auskunftserteilung bewirke einen Kontrollverlust, der ohne weitere Voraussetzung einen Schaden darstelle. 

Die Ansicht des BAG: „Dies ist aber unzutreffend.“

Zwar geht das BAG (mit dem EuGH) davon aus, dass die durch einen Verstoß gegen die DSGVO ausgelöste Befürchtung einer betroffenen Person, ihre personenbezogenen Daten könnten von Dritten missbräuchlich verwendet werden, bereits für sich genommen einen immateriellen Schaden nach Art. 82 Abs. 1 DSGVO darstellen kann (so etwa EuGH, C-687/21). 

Das rein hypothetische Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten kann jedoch nicht zu einer Entschädigung führen“.

Nach Ansicht des BAG versteht der EuGH unter einem Kontrollverlust 

nur eine Situation, in der die betroffene Person eine begründete Befürchtung des Datenmissbrauchs hegt“.

Wichtig ist hierbei das Erfordernis „begründet“. 

Das bloße Berufen auf eine bestimmte Gefühlslage reiche dabei nicht aus. Das Gericht hat vielmehr zu prüfen, ob das Gefühl unter Berücksichtigung der konkreten Umstände „als begründet angesehen werden kann“.

Und allein eine verspätete Auskunftserteilung genügt dem BAG für diese Begründetheit nicht.

Eine nur verspätete Auskunft begründet demgegenüber für sich genommen keinen Kontrollverlust über Daten iSd. Gefahr einer missbräuchlichen Verwendung, sondern nur einen Zeitverzug hinsichtlich der Auskunft“.

Auch lasse eine ungerechtfertigte Verzögerung ohne weitere Anhaltspunkte gerade nicht auf einen Datenmissbrauch schließen.

Negative Gefühle und genervt sein

Zudem habe das Landesarbeitsgericht auch einen Schaden in Form von negativen Gefühlen allein wegen der verspäteten Erfüllung des Auskunftsanspruchs rechtsfehlerfrei verneint.

Zunächst stellt das BAG auch bezüglich dieser Schadenskategorie dar, dass ein immaterieller Schaden zwar durchaus allein in negativen Gefühlen bestehen kann. Dies betreffe Konstellationen, in denen der bloße Verstoß gegen die DSGVO zu der Befürchtung eines Datenmissbrauchs führt.

Jedoch löse die verspätete Erfüllung des Auskunftsanspruchs geradezu zwangsläufig die Sorge eines Verstoßes gegen sonstige Verpflichtungen aus der DSGVO aus. 

Wäre aber schon das Berufen auf solche abstrakten Befürchtungen ausreichend für die Annahme eines Schadens, würde jeder Verstoß gegen Art. 15 DSGVO – so ein Verstoß dagegen einen Schadenersatzanspruch nach Art. 82 Abs. 1 DSGVO dem Grunde nach begründen könnte – zu einem immateriellen Schaden führen. 

Die eigenständige Voraussetzung des Schadens würde damit bedeutungslos (BAG 17. Oktober 2024 – 8 AZR 215/23 – Rn. 16). Sie wäre stets erfüllt.“ 

Gerade diese Annahme (Verstoß stets auch ein Schaden) lehnt das BAG mit Verweis auf die Rechtsprechung des EuGH ab. Der EuGH hat bereits entschieden, dass allein ein Verstoß gegen die DSGVO noch nicht der Schaden im Sinne des Art. 82 DSGVO sein kann. Der EuGH unterscheidet strikt zwischen Verstoß und Schaden.

Möglich ist nach Ansicht des BAG durchaus eine Situation, in der ein Verstoß gegen die DSGVO ggf. 

so schwerwiegende Konsequenzen aufweist, dass ein Schaden in Form von Befürchtungen selbstverständlich angenommen werden kann (zB Datenleck bzgl. Bank- oder Gesundheitsdaten)“. 

Aber das Gericht müsse stets im Einzelfall prüfen, ob dies angenommen kann oder ob der Schaden gesondert begründet werden muss.

Zudem geht das BAG davon aus, dass der Verstoß gegen Art. 15 DSGVO für sich genommen keinen immateriellen Schaden begründet, wenn die verzögerte oder zunächst verweigerte Auskunftserteilung der Durchsetzung von Rechten entgegensteht.

Denn dies steht in keinem Zusammenhang mit dem Zweck des Schadenersatzanspruchs. Dieser hat nur eine Ausgleichsfunktion, da eine auf Art. 82 Abs. 1 DSGVO gestützte Entschädigung in Geld ermöglichen soll“.

Zuletzt lehnt das BAG den Schaden auch mit Blick auf behauptete Emotionen wie Ärger oder Frust („genervt sein“) ab. Es handelt sich hierbei nur um pauschal gehaltene Unmutsbekundungen.