Am 20. Juni 2024 entschied das Bundesarbeitsgericht (BAG) in einem Urteil (Az. 8 AZR 124/23), dass die Sorge vor einem möglichen Datenmissbrauch unter bestimmten Umständen einen immateriellen Schaden im Sinne des Art. 82 Abs. 1 DSGVO darstellen kann. Allerdings stellt das bloße Berufen auf Ängste oder Befürchtungen allein keine ausreichende Grundlage dar, um Schadenersatzansprüche erfolgreich geltend zu machen.
Hintergrund des Verfahrens
Die Klägerin hatte nach der Beendigung ihres Arbeitsverhältnisses von ihrer ehemaligen Arbeitgeberin, der Beklagten, Auskunft über die Verarbeitung ihrer personenbezogenen Daten gemäß Art. 15 DSGVO verlangt. Diese wurde zunächst verweigert, und die Klägerin klagte daraufhin neben der geforderten Auskunft auf Schmerzensgeld in Höhe von mindestens 5.000 Euro, gestützt auf Art. 82 DSGVO. Die Klägerin argumentierte, dass die Nichterfüllung des Auskunftsanspruchs einen erheblichen Kontrollverlust über ihre Daten und damit einen immateriellen Schaden verursacht habe.
Das Arbeitsgericht sprach der Klägerin zunächst 4.000 Euro zu, doch das Landesarbeitsgericht Nürnberg wies die Klage ab. In der Revision vor dem BAG wurde schließlich entschieden, dass kein Anspruch auf immateriellen Schadenersatz besteht.
Wesentliche Urteilsgründe
Das BAG stellte klar, dass ein Anspruch auf immateriellen Schadenersatz gemäß Art. 82 DSGVO nur dann besteht, wenn der Betroffene einen tatsächlichen Schaden erlitten hat. Folgende Punkte wurden dabei hervorgehoben:
- Erfordernis eines tatsächlichen Schadens: Ein bloßer Verstoß gegen die DSGVO reicht nicht aus, um einen immateriellen Schadenersatzanspruch zu begründen. Die Klägerin müsse darlegen, dass durch die Nichterfüllung des Auskunftsanspruchs ein konkreter Schaden, etwa ein Verlust der Kontrolle über die eigenen Daten, entstanden ist. Die allgemeine Sorge, dass Daten missbraucht werden könnten, sei allein nicht ausreichend. Es bedarf einer nachvollziehbaren Begründung, warum diese Sorge im konkreten Fall gerechtfertigt ist.
- Sorge vor Datenmissbrauch: Der Europäische Gerichtshof (EuGH) hat in seinen Entscheidungen klargestellt, dass die Sorge vor einem möglichen Missbrauch von Daten zwar einen immateriellen Schaden darstellen kann. Allerdings muss diese Sorge konkret und durch spezifische Umstände begründet sein, und es darf sich nicht lediglich um ein hypothetisches Risiko handeln.
- Keine Straf- oder Abschreckungsfunktion des Schadenersatzes: Der Schadenersatzanspruch gemäß Art. 82 DSGVO hat keine Straf- oder Abschreckungsfunktion, sondern dient ausschließlich dem Ausgleich eines erlittenen Schadens. Dies bedeutet, dass es nicht ausreicht, wenn die Klägerin lediglich auf die vorsätzliche und böswillige Verweigerung der Auskunft verweist, ohne einen tatsächlichen immateriellen Schaden darzulegen.
- Objektive Prüfung des Schadens: Das BAG stellte zudem klar, dass eine subjektive Schilderung von Gefühlen wie Unmut oder Unsicherheit zwar verständlich sei, aber eine objektive Prüfung des Sachverhalts erfordere. Nur wenn sich aus den Umständen ein objektiv begründetes Risiko oder eine konkrete Gefahr ableiten lässt, könnte dies einen immateriellen Schaden darstellen.
Bedeutung des Urteils
Dieses Urteil verdeutlicht, dass ein Anspruch auf Schadenersatz gemäß Art. 82 DSGVO hohe Anforderungen an die Darlegungspflicht der betroffenen Person stellt. Eine bloße Verweigerung der Auskunft über personenbezogene Daten durch den Arbeitgeber oder ein hypothetischer Kontrollverlust genügen nicht, um immaterielle Schäden zu begründen. Es bedarf vielmehr einer detaillierten und nachvollziehbaren Begründung, warum die Sorge vor einem Datenmissbrauch in einem konkreten Fall tatsächlich gegeben ist.
Für Arbeitgeber bedeutet dieses Urteil, dass nicht jede Verletzung der DSGVO unmittelbar zu hohen Schadenersatzzahlungen führt, solange kein konkreter Schaden nachgewiesen werden kann. Es bleibt jedoch essenziell, die Anforderungen der DSGVO ernst zu nehmen und entsprechende Auskunftsverlangen unverzüglich und vollständig zu erfüllen, um mögliche Rechtsstreitigkeiten zu vermeiden.
Stefan Lutz, LL.M.
Rechtsanwalt und Fachanwalt für IT-Recht
externer Datenschutzbeauftragter
Lehrbeauftragter für IT-Recht an der RWU
Rechtsanwalt und Fachanwalt für IT-Recht Stefan Lutz, LL.M. berät Firmen und private Mandanten in den Rechtsgebieten des IT-Rechts, wozu unter anderem das Datenschutzrecht (BDSG, DSGVO, TDDDG...), Urheberrecht, Wettbewerbsrecht, Markenrecht, E-Commerce-Recht, Social Media Recht und das Recht der Künstlichen Intelligenz gehören.
Telefon: 0751 / 27 088 530