Login
Login
Banner Online Kompaktkurse für fundiertes Wissen zu neuesten Gesesetzesänderungen und Abrechnungskriterien
Breadcrumb-Navigation
Free

Kein Schadenersatz für „schlechte Gefühle“ – BAG zu immateriellem DSGVO‑Schaden

Das BAG entschied: Eine verspätete Auskunft nach Art. 15 DSGVO begründet keinen immateriellen Schaden, wenn keine objektiv nachvollziehbare Beeinträchtigung vorliegt. Subjektive Gefühle wie Ärger oder Sorge reichen nicht aus.

Dr. Michaela FelisiakArbeitsrecht
Lesezeit 3 Min.
Holzwürfel mit Paragrafenzeichen und Aufschrift „DSGVO“ auf Computertastatur – Symbolbild für Datenschutzrecht und EU-Datenschutzgrundverordnung
Foto: © stock.adobe.com/Coloures-Pic

Die verspätete Erteilung einer nach Art. 15 Datenschutzgrundverordnung (DSGVO) geschuldeten Auskunft begründet für sich genommen keinen immateriellen Schaden i.S.v. Art. 82 Abs. 1 DSGVO.

 

Verortung des Urteils

Das BAG setzt seinen restriktiven Kurs beim immateriellen Schadenersatz nach Art. 82 DSGVO fort. Bereits der EuGH hatte klargestellt, dass nicht jeder Verstoß automatisch einen Schadensersatzanspruch begründet. In mehreren Entscheidungen der Vorjahre (u.  BAG vom 17. 10. 2023 – 9 AZR 308/22) wurde verlangt, dass eine objektiv nachvollziehbare Beeinträchtigung vorliegt. Die vorliegende Entscheidung schärft dieses Bild: eine bloß verspätete Auskunft stellt keinen eigenständigen Schaden dar.

 

Der Sachverhalt

Knapp sechs Jahre nach einem einmonatigen Arbeitsverhältnis verlangte ein Mitarbeiter von seiner früheren Arbeitgeberin ein weiteres Mal Auskunft über eine eventuell noch andauernde Datenverarbeitung. Die Arbeitgeberin erteilte dem Mitarbeiter erst nach erneuter Aufforderung eine ausreichende Auskunft. Dieser verlangte daraufhin von der Arbeitgeberin eine „Geldentschädigung“ nach Art. 82 Abs. 1 DSGVO, da die nach Art. 12 Abs. 3 DSGVO verspätete Auskunft einen Verstoß gegen die DSGVO darstelle. Nach Auffassung des Arbeitnehmers bestehe ein immaterieller Schaden nicht nur in Form eines wochenlangen Kontrollverlusts bezüglich der Datenverarbeitung, sondern der Arbeitnehmer habe zudem Angst, dass die Arbeitgeberin „Schindluder“ mit seinen Daten treibe. Darüber hinaus begründete der Mitarbeiter seinen Anspruch damit, dass er wegen des von der Arbeitgeberin veranlassten Aufwands der Rechtsverfolgung „genervt“ sei.

 

Die Entscheidung

Nachdem das Arbeitsgericht Duisburg dem Arbeitnehmer einen Schadensersatz in Höhe von 10.000 Euro wegen verspäteter und unzureichender Auskunft zugesprochen hatte, scheiterte die Klage vor dem BAG. Für einen Schadenersatzanspruch nach Art. 82 Abs. 1 DSGVO müssten drei Voraussetzungen vorliegen: ein Verstoß gegen die DSGVO, ein Schaden und ein sogenannter Kausalzusammenhang zwischen Verstoß gegen die DSGVO und dem konkreten Schaden. Dafür trage der Arbeitnehmer die Darlegungs- und Beweislast. Das BAG verneinte einen Schadenersatzanspruch, da der Mitarbeiter keinen konkreten immateriellen Schaden dargelegt habe.

Nach Auffassung des BAG begründet allein die verspätete Erteilung der geschuldeten Auskunft für sich genommen keinen immateriellen Schaden. Insbesondere sei mit einer verspäteten Auskunft kein Kontrollverlust der Daten verbunden, der einen Schaden begründen könne. Ein Kontrollverlust wegen verspäteter Auskunft liege nur vor, wenn konkrete Anhaltspunkte für eine missbräuchliche Verwendung der Daten bestehen oder berechtigte Befürchtungen hierzu „substantiiert“ dargelegt werden. Je gravierender die Folgen eines Verstoßes gegen die DSGVO sind, desto näher liegt zwar eine begründete Befürchtung eines Datenmissbrauchs. Das rein hypothetische Risiko einer missbräuchlichen Verwendung durch unbefugte Dritte führe jedoch zu keiner Entschädigung. Der Arbeitnehmer hatte weder Datenmissbrauch noch eine unzulässige

Datenspeicherung behauptet. Auch die von ihm beschriebene Sorge vor „Schindluder“ mit seinen Daten wurde vom BAG nicht als nachvollziehbar angesehen – insbesondere, da es über einen längeren Zeitraum keine Hinweise auf einen solchen Missbrauch gegeben hatte.

Auch das vom Arbeitnehmer subjektive Empfinden von „Ärger“ oder „Sorge“ genüge für das Vorliegen eines immateriellen Schadens nicht. Vielmehr sei eine objektiv nachvollziehbare Beeinträchtigung erforderlich.

 

#KurzErklärt

  • Ein DSGVO-Verstoß allein reicht nicht aus – es muss ein konkreter immaterieller Schaden dargelegt und ggf. bewiesen werden.
  • Subjektive Empfindungen (wie Ärger, Sorge oder Kontrollverlust) sind nur dann beachtlich, wenn sie objektiv nachvollziehbar und durch konkrete Umstände des Einzelfalls belegt sind. Diese müssen von den Betroffenen (insbesondere Arbeitnehmer*innen) dargelegt und bewiesen werden.
  • Pauschale Aussagen (“ich hatte Angst um meine Daten”) genügen nicht. Es bedarf einer konkreten Beeinträchtigung, z.B. begründete Befürchtungen eines Datenmissbrauchs oder eine nachweisbare Einschränkung in der Wahrnehmung eigener Rechte. 

 

Praxistipps

Für die Praxis bedeutet dies mehr Rechtssicherheit für Unternehmen. Das BAG unterstreicht die Funktion des Art. 82 DSGVO als Ausgleichs- und nicht als Sanktionsnorm. Unternehmen, die sich in der Praxis oftmals völlig überhöhten und massenhaft geltend gemachten Forderungen konfrontiert sehen, sollten sich genau mit dem Vortrag der Anspruchsteller*innen auseinandersetzen.

BAG, Urteil vom 20.02.2025 – 8 AZR 61/24

 

Weitere Beiträge:

Datenschutz: Schadensersatz ist kein Reflex auf Verstoß gegen DSGVO

Krankengeld auch bei verspäteter Krankmeldung

Lesen Sie weiter

Diese Beiträge könnten Sie ebenfalls interessieren.