Das Bundesarbeitsgericht (BAG) hat sich in einem aktuellen Urteil vom 20.02.2025 (Az.: 8 AZR 61/24) erneut mit den Voraussetzungen für immaterielle Schadensersatzansprüche nach der Datenschutzgrundverordnung (DS-GVO) auseinandergesetzt. Da gerade immaterielle Schadensersatzansprüche mit einer Vielzahl an Rechtsfragen einhergehen, möchten wir das Urteil des BAG zum Anlass nehmen, die Praxisrelevanz dieser Fragen nochmal aufzuzeigen und die Ausführungen des BAG in die bisherige Rechtsprechung einzuordnen.
Auch wenn sich das BAG letztlich nicht im Detail mit dem etwas komplizierten Sachverhalt sowie den damit einhergehenden Rechtsfragen rund um die Auskunftserteilung gemäß Art. 15 DS-GVO auseinanderzusetzen hatte, sollen nachstehend auch die wesentlichen Eckdaten des Falls aufgezeigt werden. Gerade die erstinstanzliche Entscheidung des Arbeitsgerichts Duisburg zeigt eindrucksvoll auf, wie vermeidbarer „Ärger“ aufgrund einer fehlerhaften Auskunftserteilung entstehen kann.
1. Zum Sachverhalt
Mit einem Schreiben vom 01.10.2022 forderte ein Arbeitnehmer seinen ehemaligen Arbeitgeber dazu auf, ihm bis zum 16.10.2022 Auskunft und Datenkopie auf der Grundlage von Art. 15 DSGVO zu erteilen. Die vorgenannte Norm verpflichtet den Verantwortlichen (hier: den Arbeitgeber) zur Bereitstellung umfassender Informationen zur Datenverarbeitung. Nach Art. 15 Abs. 1 DS-GVO beinhaltet die Auskunft insbesondere Informationen zu den verarbeiteten Daten, den Verarbeitungszwecken, den Empfängern von personenbezogenen Daten sowie zur Dauer der Datenverarbeitung. Nach Art. 15 Abs. 3 DS-GVO kann der Betroffene zudem eine „Kopie“ seiner personenbezogenen Daten verlangen. Das Auskunftsrecht soll es Betroffenen insbesondere ermöglichen, die Rechtmäßigkeit der Datenverarbeitung zu bewerten und ggf. weitergehende Ansprüche (etwa das Recht auf Löschung aus Art. 17 DS-GVO) geltend zu machen.
Als der Arbeitgeber auf das erste Schreiben nicht innerhalb der gesetzten Frist reagierte, erinnerte der Arbeitnehmer mit Schreiben vom 21.10.2022 an die gewünschte Auskunft mit weiterer Fristsetzung bis zum 31.10.2022. Mit Schreiben vom 27.10.2022 – also bis dato noch innerhalb der in Art. 12 Abs. 3 DS-GVO genannten Monatsfrist – erteilte der Arbeitgeber sodann eine erste Auskunft und Kopie der noch bei ihm gespeicherten Daten. Mit Schreiben vom 04.11.2022 wies der betroffene Arbeitnehmer jedoch darauf hin, dass die erteilte Auskunft nicht nur verspätet, sondern auch inhaltlich mangelhaft erfolgt sei. Es fehle an konkreten Angaben zur Dauer der Datenspeicherung, die Empfänger der Daten seien nicht namhaft benannt und die Datenkopie sei unvollständig. Mit Schreiben vom 11.11.2022 bat der Arbeitgeber den Betroffenen sodann, sein Auskunftsersuchen zu den Empfängern von Daten sowie zu den Angaben zur Speicherdauer weiter zu spezifizieren. Mit Schreiben vom 18.11.2022 wies der betroffene Arbeitnehmer sodann darauf hin, dass alle konkreten Empfänger seiner Daten mitzuteilen seien und dass auch die Speicherdauer der Datenverarbeitung vollständig anzugeben sei.
Erst mit Schreiben vom 01.12.2022 – und somit zwei Monate nach erstmaliger Aufforderung zur Auskunft – nahm der Arbeitgeber sodann nochmals Stellung nebst weiterer Konkretisierung der bislang noch offenen Informationen. Jedenfalls mit diesem letzten Schreiben des Arbeitgebers waren sämtliche Auskünfte gemäß Art. 15 DS-GVO vollständig erteilt.
2. Die Entscheidungen in den vorherigen Instanzen
Das Arbeitsgericht Duisburg gab dem Kläger in erster Instanz noch Recht und verurteilte den Arbeitgeber zur Zahlung von 10.000 Euro Schadensersatz (Urteil vom 26.09.2024, Az. 3 Ca 77/24). Das ArbG stellte hierbei klar, dass allein die nicht unverzügliche (also ohne schuldhaftes Verzögern erfolgende) Auskunft ausreiche, um einen immateriellen Schadensersatzanspruch zu begründen. Der Arbeitgeber habe insbesondere nicht dargelegt, warum er fast vier Wochen für die erstmalige Auskunftserteilung benötigt habe, obwohl sämtliche Daten des Klägers bereits zwei Jahre zuvor – infolge eines Auskunftsersuchen des betroffenen Arbeitnehmers aus dem Jahr 2020 – aufbereitet und zusammengetragen worden seien. Darüber hinaus sei jedenfalls die Auskunft über die konkreten Empfänger der verarbeiteten Daten sowie die Angabe der Speicherdauer außerhalb der in Art. 12 Abs. 3 DS-GVO genannten Monatsfrist und daher verspätet erteilt worden.
In der durch den Arbeitgeber eingelegten Berufung lehnte das Landesarbeitsgericht Düsseldorf einen entsprechenden Anspruch auf Schadensersatz ab und begründete seine Entscheidung u.a. damit, dass es bei einer verspäteten oder unvollständigen Datenauskunft bereits an einer Datenverarbeitung im Sinne des Art. 4 Nr. 2 DS-GVO fehle (Urteil vom 28.11.2023, Az. 3 Sa 285/23). Daneben habe es der betroffene Arbeitnehmer jedenfalls versäumt, einen immateriellen Schaden hinreichend substantiiert darzulegen. Das LAG Düsseldorf führt in seiner Urteilsbegründung unter Randziffer 42 wörtlich aus:
„Dabei genügen – auch wenn ein Kontrollverlust einen immateriellen Schaden an sich durchaus zu begründen vermag, wie sich bereits aus den Erwägungsgründen 75 und 85 zur DSGVO ergibt – keine Pauschalbehauptungen und Allgemeinplätze, vielmehr ist nachvollziehbar zu begründen, worin der immaterielle Schaden bestehen soll. Soll der behauptete Schaden – wie hier geltend gemacht – in einem „Regelschaden“ des Kontrollverlustes bestehen, ist über das Regelhafte hinaus gleichwohl individuell zu begründen, welchen konkreten Kontrollverlust der Kläger befürchtet. Anderenfalls bliebe es bei bloßen Leerformeln.“
3. Die Entscheidung des BAG
Das Urteil des BAG vom 20.02.2025 bestätigt die Entscheidung des LAG Düsseldorf und verneint den Schadensersatzanspruch des betroffenen Arbeitnehmers nunmehr endgültig. Das BAG begründet seine Entscheidung damit, dass der Kläger seinen Schaden nicht hinreichend dargelegt habe und das bloße Störgefühl sowie der lediglich gefühlte Kontrollverlust über die personenbezogenen Daten nicht ausreiche, um einen Schadensersatzanspruch nach Art. 82 DS-GVO zu begründen. Der geltend gemachte Schaden müsse demgegenüber objektiv nachweisbar sein und nicht lediglich auf subjektiven Empfindungen – wie dem bloßen Gefühl eines Kontrollverlusts – beruhen. Das BAG führt unter Randziffer 17 seiner Urteilsbegründung wörtlich aus:
„Unter einem Kontrollverlust versteht der Gerichtshof der Europäischen Union (im Folgenden Gerichtshof) daher nur eine Situation, in der die betroffene Person eine begründete Befürchtung des Datenmissbrauchs hegt (vgl. BSG 24. September 2024 - B 7 AS 15/23 R - Rn. 31). Das bloße Berufen auf eine bestimmte Gefühlslage reicht dabei nicht aus. Das Gericht hat vielmehr zu prüfen, ob das Gefühl unter Berücksichtigung der konkreten Umstände „als begründet angesehen werden kann. […]
Je gravierender die Folgen eines Verstoßes gegen die Datenschutz-Grundverordnung sind, desto näher liegt eine begründete Befürchtung des Datenmissbrauchs. So wird die Veröffentlichung von sensiblen Daten im Internet aufgrund eines Datenlecks typischerweise eine Grundlage für solche Befürchtungen darstellen. Eine nur verspätete Auskunft begründet demgegenüber für sich genommen keinen Kontrollverlust über Daten iSd. Gefahr einer missbräuchlichen Verwendung, sondern nur einen Zeitverzug hinsichtlich der Auskunft.“
Nach Ansicht des BAG müssen daher stets objektivierbare Umstände vorgetragen werden, um einen immateriellen Schadensersatzanspruch zu begründen. Das BAG unterscheidet hierbei nach Situationen, in denen „typischerweise“ ein Kontrollverlust zu bejahen ist, und Situationen, die kein entsprechendes Missbrauchspotenzial aufweisen.
Das BAG ist ebenfalls auf „einen [denkbaren] Schaden in Form von negativen Gefühlen“ infolge der verspäteten Auskunftserteilung eingegangen und hat die bisherigen Ausführungen unter Randziffer 21 weiter präzisiert:
„Die verspätete Erfüllung des Auskunftsanspruchs löst geradezu zwangsläufig die Sorge eines Verstoßes gegen sonstige Verpflichtungen aus der Datenschutz-Grundverordnung aus. Dies mag sich mit der Revision als eine besondere Form des Kontrollverlusts darstellen, kann aber auch als eigenständige Fallgruppe verstanden werden. Letztlich ist diese Frage der Einordnung nicht entscheidungserheblich. Wäre schon das Berufen auf solche abstrakten Befürchtungen ausreichend für die Annahme eines Schadens, würde jeder Verstoß gegen Art. 15 DSGVO - so ein Verstoß dagegen einen Schadenersatzanspruch nach Art. 82 Abs. 1 DSGVO dem Grunde nach begründen könnte - zu einem immateriellen Schaden führen. Die eigenständige Voraussetzung des Schadens würde damit bedeutungslos.“
Dreh- und Angelpunkt der Entscheidung des BAG ist damit das Vorliegen eines tatsächlichen Schadens sowie die Anforderungen an dessen Substantiierung.
4. Ein Vergleich zur bisherigen Rechtsprechung des BGH
Das BAG setzt sich mit seinem jüngsten Urteil vermeintlich in einen gewissen Konflikt zur bisherigen Rechtsprechung des Bundesgerichtshofs (BGH). Der BGH hatte sich bereits wiederholt mit Schadensersatzansprüchen nach der DS-GVO befasst und hierbei Konturen für die Geltendmachung eines immateriellen Schadens aufgestellt. So hatte der BGH in einem Leitentscheidungsverfahren bereits geurteilt, dass ein behaupteter Kontrollverlust über die eigenen Daten ausreichen kann, um einen Schadensersatzanspruch aus Art. 82 DS-GVO zu begründen (Urteil vom 18.11.2024, Az. VI ZR 10/24). Im konkreten Fall ging es jedoch um ein – auch im Urteil des BAG aufgegriffenes – Datenleck bei Facebook, das zur unberechtigten Veröffentlichung von personenbezogenen Daten führte. Dennoch stellte der BGH hierbei klar, dass ein behaupteter Kontrollverlust weder ein besonderes Gewicht aufweisen, noch weiter objektivierbar sein müsse. Diese grundlegende Auffassung des BGH wurde in einem weiteren Urteil nochmals bestätigt, wobei es in diesem Fall um Verstöße bei der Ausgestaltung von Zugriffsrechten in die Personalakte ging (Urteil vom 11.02.2025, Az. VI ZR 365/22). Der BGH argumentierte in der vorgenannten Entscheidung, dass der Schaden bereits im vorübergehenden Verlust der Kontrolle über die personenbezogenen Daten liege, ohne dass eine weiter benennbare Persönlichkeitsrechtsverletzung vorliegen müsse.
5. Bedeutung für die Praxis
Nach unserer Einschätzung steht das Urteil des BAG bei genauerem Hinsehen in keinem direkten Widerspruch zur bisherigen Rechtsprechung des BGH. Das BAG hat lediglich zutreffend herausgearbeitet, dass in dem von ihm zu entscheidenden Fall relevante Unterschiede zu den bisherigen Fallkonstellationen vor dem BGH vorlagen, die eine abweichende rechtliche Wertung zulassen. So spielt es eine entscheidende Rolle, ob bspw. ein Datenleck vorliegt, infolge dessen Daten tatsächlich gegenüber unbefugten Dritten offengelegt werden, oder es sich „nur“ um eine verspätete und/oder unvollständige Auskunftserteilung handelt. Während in den vom BGH zu entscheidenden Sachverhalten Umstände vorgetragen wurden, die – nach Ansicht des BAG – die Befürchtung eines Kontrollverlustes „typischerweise“ zulassen, handelt es sich bei der verspäteten Auskunft lediglich um einen (formellen) Verstoß gegen datenschutzrechtliche Vorgaben. Weitergehende Umstände, die einen Kontrollverlust als immateriellen Schaden rechtfertigen, wurden in dem vom BAG zu entscheidenden Fall gerade nicht vorgetragen.
Es muss somit genau im Auge behalten werden, wie das BAG urteilt und seine künftigen Entscheidungen begründet, wenn es einen Sachverhalt zu entscheiden hat, der denjenigen vor dem BGH gleicht. Sehr aktuell hat das BAG etwa einem Arbeitnehmer einen immateriellen Schadensersatz in Höhe von 200 EUR infolge eines Kontrollverlustes zugesprochen (Urteil vom 08.05.2025, Az.: 8 AZR 209/21 – vgl. die bislang lediglich veröffentlichte Pressemitteilung). Das BAG hatte hier über eine Konstellation zu entscheiden, bei welcher personenbezogene Daten eines Arbeitnehmers bei der Nutzung der Personalverwaltungssoftware „Workday“ innerhalb eines Konzerns übermittelt wurden, ohne dass insoweit eine datenschutzrechtliche Rechtsgrundlage vorlag. Die Konstellation gleicht den Fallgestaltungen vor dem BGH, da es wiederum um eine – objektiv nachweisbare – Datenweitergabe an Dritte geht. Auch wenn die Urteilsgründe bislang nicht vorliegen, ist davon auszugehen, dass das BAG in dieser Konstellation „typischerweise“ von einem Kontrollverlust ausgegangen ist.
Hinweis: Wir werden die Entscheidung des BAG vom 08.05.2025 nochmal aufgreifen, sobald die Urteilsgründe vorliegen.
Die Aussagen des BAG per Urteil vom 20.02.2025 dürfen daher keinesfalls pauschal dahingehend verstanden werden, dass der bloße Kontrollverlust nicht als immaterieller Schaden im Sinne des Art. 82 DS-GVO anzusehen ist. Die Entscheidung des BAG fügt sich letztlich in die bisherige Praxis ein, wonach es stets auf die konkreten Umstände des Einzelfalls ankommt.
Das aktuelle Urteil des BAG ist für Arbeitgeber dennoch positiv zu bewerten und dementsprechend zu begrüßen. Es setzt klare Grenzen für Betroffene und erhöht die Anforderungen für die Geltendmachung von immateriellen Schadensersatzansprüchen nach der DS-GVO. Die Rechtsauffassung des BAG ist unseres Erachtens nachvollziehbar und entspricht den allgemeinen Anforderungen der Zivilprozessordnung. Wollte man jedwede subjektive Empfindung für das Vorliegen eines immateriellen Schadens ausreichen lassen, gäbe es keine greifbaren Hürden mehr für die Geltendmachung eines entsprechenden Schadensersatzanspruchs.
Auch wenn sich das BAG – aufgrund der fehlenden Darlegung der angeblich entstandenen Schäden – nicht im Detail mit der verspäteten Auskunftserteilung auseinandersetzen musste, sollte der Sachverhalt dennoch zum Anlass genommen werden, auch das äußert praxisrelevante Beschwerdemanagement im Unternehmen nochmal genauer unter die Lupe zu nehmen. Es muss als Mindestanforderung verstanden werden, dass Unternehmen über fest etablierte Prozesse und Muster-Dokumente verfügen, welche einerseits die Anforderungen der DS-GVO abbilden und andererseits eine fristgemäße Erfüllung von Betroffenenrechten ermöglichen. Gerne stehen wir Ihnen hierbei zur Verfügung.
'/%3e%3c/svg%3e){kind=small}
'/%3e%3c/svg%3e){kind=small}
