Im Blick: Arbeitsrecht : 5.000 Euro Schadensersatz nach Art. 82 Abs. 1 DS-GVO trotz „verschwindend geringen“ Schadens

Verortung des Urteils

Die Datenschutz-Grundverordnung (DS‑GVO) bietet betroffenen Personen die Möglichkeit, Schadensersatz zu verlangen, wenn ihre personenbezogenen Daten unrechtmäßig verarbeitet wurden. Art. 82 DS‑GVO sieht vor, dass jede Person, die aufgrund eines Verstoßes gegen die DS‑GVO einen materiellen oder immateriellen Schaden erlitten hat, Anspruch auf Schadensersatzhat.

Um einen Schadensersatzanspruch nach Art. 82 DS‑GVO geltend zu machen, müssen folgende Voraussetzungen erfüllt sein:

Verstoß gegen die DS‑GVO:
Es muss ein Verstoß gegen eine Vorschrift der DS‑GVO vorliegen.
Schaden:
Der Betroffene muss einen materiellen oder immateriellen
Schaden erlitten haben.
Kausalität:
Der Schaden muss kausal auf den Verstoß zurückzuführen sein.

Die Rechtsprechung zum Schadensersatzanspruch nach Art. 82 DS‑GVO hat sich in den letzten Jahren immer weiterentwickelt. Der Europäische Gerichtshof (EuGH) hat in mehreren Urteilen klargestellt, dass nicht jeder Verstoß automatisch einen Schadensersatzanspruch begründet. Vielmehr muss ein konkreter Schaden nachgewiesen werden.

Der EuGH hat mit Urteil vom 04.05.2023 (Az.: C-300/21) die Anforderungen an den Nachweis eines immateriellen Schadens präzisiert und entschied, dass auch bei Bagatellverstößen ein immaterieller Schadensersatzanspruch bestehen kann, sofern der Betroffene einen tatsächlichen Schaden nachweisen kann.

Das Arbeitsgericht Mainz stört sich an diesem Grundsatz nicht:

Der Sachverhalt

Die Parteien stritten um einen Anspruch auf immateriellen Schadensersatz nach Art. 82 Abs. 1 DS‑GVO, nachdem der datenschutzrechtliche Auskunftsanspruch nach Art. 15 Abs. 1 DS‑GVO geltend gemacht wurde, sowie um die Herausgabe von Kopien  nach Art. 15 Abs. 3 DS‑GVO.

Der Kläger hatte sich im September 2023 auf eine Stelle bei der Beklagten beworben und nach Ablehnung seiner Bewerbung per E‑Mail vom 11.10.2023 eine umfassende Auskunft nach Art. 15 DS‑GVO über die Ablehnungsgründe sowie über die verarbeiteten personenbezogenen Daten gefordert. Außerdem bat er um eine Kopie der verarbeiteten personenbezogenen Daten.

Am 18.10.2023 antwortete die Beklagte per E‑Mail, dass sie die Gründe für die Ablehnung nicht mitteilen könne. Beigefügt war ein Datenschutzhinweis sowie eine E‑Mail-Adresse, an die der Kläger weitergehende Anfragen richten könne. Der Datenschutzhinweis erklärte, dass personenbezogene Daten von Bewerbern nur bis nach Abschluss des Bewerbungsverfahrens gespeichert und anschließend gelöscht würden.

Daraufhin erhob der Kläger Klage beim Arbeitsgericht Mainz und forderte Auskunft über die Ablehnungsgründe, eine originalgetreue Kopie seiner im Bewerbungsprozess verarbeiteten Daten sowie eine Geldentschädigung, deren Höhe in das Ermessen des Gerichts gestellt wurde, jedoch mindestens 5.000 Euro betragen sollte. Seine weitere Klageforderung auf Auskunft hinsichtlich der verarbeiteten Daten nach Art. 15 Abs. 1 DS‑GVO erklärte er für erledigt, nachdem die Beklagte ihm nach Klageerhebung ein nicht datiertes umfassendes Auskunftsschreiben zukommen ließ.

Die Argumentation der Parteien war kurz und knapp. Der Kläger war der Ansicht, die Ablehnungsgründe seien ebenfalls personenbezogene Daten. Die Beklagte vertrat die Ansicht, der Kläger hätte die bereitgestellte E‑Mail-Adresse für sein Anliegen nutzen können. Sie sah die Ablehnungsgründe nicht als personenbezogene Daten an und lehnte daher einen Schadensersatzanspruch ab.

Die Entscheidung

Das Arbeitsgericht Mainz wies die Klage teilweise ab. Hinsichtlich der Auskunft nach Art. 15 Abs. 1 DS‑GVO führte das Gericht aus, dass die Entscheidung der Beklagten kein personenbezogenes Datum sei. Selbst wenn der Ablehnungsgrund sich auf ein personenbezogenes Datum beziehe, sei die Entscheidung nicht vom Auskunftsanspruch umfasst. Auch der Anspruch auf Herausgabe originalgetreuer Kopien wurde abgewiesen. Es könne offenbleiben, was unter „originalgetreu“ zu verstehen sei, da dem Begehren nach Ansicht des Gerichts der Einwand des Rechtsmissbrauchs entgegenstehe. Die Beklagte habe nur die Daten gespeichert, die der Kläger selbst übermittelt habe. Es sei daher nach § 242 BGB, Bundesnorm, Leistung nach Treu und Glauben, Bürgerliches Gesetzbuch, gültig ab 01.01.2002, rechtsmissbräuchlich, Datenkopien zu verlangen.

Den Schadensersatzanspruch nach Art. 82 Abs. 1 DS‑GVO sprach das Gericht dem Kläger jedoch in Höhe von 5.000 Euro zu. In Rn. 17 und Rn. 18 führte das Gericht aus:

„Der dem Kläger entstandene ‚Schaden‘ ist zwar schwindend gering, gleichwohl hält die Kammer die begehrten 5.000,00 Euro für einen angemessenen Betrag, weil Verfahren der vorliegenden Art auch eine präventive Funktion haben sollen. Datenschutzrechtliche Bestimmungen werden nicht ernst genommen, wenn ein Verstoß gegen sie keine empfindlichen Folgen zeitigt. Es kommt also weniger darauf an, wie sehr der Kläger ‚gelitten‘ hat, als vielmehr darauf, bei welchem Betrag ein entsprechender Leidensdruck bei der Beklagten entsteht. Diese Erwägungen ergeben sich auch aus Art. 83 für die Verhängung von Geldbußen, der an mehreren Stellen auf den Jahresumsatz eines Unternehmens abstellt.

Auch ein Zivilprozess der vorliegenden Art dient der Aufrechterhaltung der Rechtsordnung, ganz wie es Rudolf von Jhering bereits 1872 in seiner Schrift ‚Der Kampf ums Recht‘ formulierte: ‚Wer sein Recht behauptet, verteidigt innerhalb des engen Raumes desselben das Recht. Das Interesse und die Folgen dieser seiner Handlungsweise gehen daher über seine Person weit hinaus. Das allgemeine Interesse, welches sich an sie knüpft, ist nicht bloß das Ideale, dass die Autorität und Majestät des Gesetztes [sic!] sich behaupte, sondern es ist das sehr reale, höchst praktische, welches jedem fühlbar wird, und das jeder begreift, der für ersteres auch nicht das geringste Verständnis besitzt, nämlich dies, dass die feste Ordnung des Verkehrslebens an der jeder zu seinem Teil interessiert ist, gesichert und aufrechterhalten werde.‘ (Ausgabe Vittorio Klostermann, 7. Auflage 1989, Seite 26 f.).“

Konsequenzen für die Praxis

Die vermehrte (insbesondere europäische) Rechtsprechung zu diesem Thema hat – bis auf einige gerichtliche „Querschläger“ – mittlerweile einen Prüfungskatalog für die Behandlung von Schadensersatzbegehren nach Art. 82 Abs. 1 DS‑GVO herausgearbeitet, der immer größere Rechtssicherheit schafft. Das Urteil des Arbeitsgerichts Mainz gehört nicht dazu.

Das Arbeitsgericht Mainz berücksichtigte nicht die seit der Entscheidung des EuGH vom 04.05.2023 (Rn. 28 ff., Rn. 43 ff. [Österreichische Post]) ständige Rechtsprechung, dass ein bloßer Verstoß gegen die Bestimmungen der DS‑GVO nicht für die Begründung eines Schadensersatzes ausreicht. Vielmehr bedarf es eines nachgewiesenen kausalen Schadens.

Auch mit dem Hinweis des Gerichts, dass das „Leid“ des Klägers weniger bedeutsam sei als der „Leidensdruck“, den der Schadensersatzbetrag bei der Beklagten verursachen solle, ignorierte das Gericht eine weitere Entscheidung des EuGH (21.12.2023, Rn. 87, Krankenversicherung Nordrhein). Darin betonte der EuGH, dass der Anspruch aus Art. 82 Abs. 1 DS‑GVO eine Ausgleichsfunktion, aber keine abschreckende oder Straffunktion besitzt.

Quick-Check: Umgang mit datenschutzrechtlichen Auskunftsansprüchen

Das Urteil des Arbeitsgerichts Mainz gibt Anlass, sich mit den Basics zu den datenschutzrechtlichen Auskunftsansprüchen zu beschäftigen:

Anwendungsbereich wird immer größer: Der datenschutzrechtliche Auskunftsanspruch beschäftigt die Arbeitsgerichte seit über sechs Jahren immer wieder und die Entscheidungspraxis der Arbeitsgerichte und der Landesarbeitsgerichte ist teilweise sehr unterschiedlich. Die Besonderheit dabei ist, dass auch abgelehnte Bewerber immer häufiger einen Auskunftsanspruch geltend machen.

Kombination zwischen AGG- und DS‑GVO-Hoppern: Auffällig ist, dass AGG-Hopper jetzt auch im Bereich des Auskunfts-Hoppings unterwegs sind und die Themen AGG (Allgemeines Gleichbehandlungsgesetz) und DS‑GVO miteinander kombinieren.

Rechtsmissbrauch prüfen: Parallel zur AGG-Hopper-Rechtsprechung ist eine alleinige Geltendmachung des Auskunftsanspruchs für das Erlangen eines Schadensersatzes als rechtsmissbräuchlich einzustufen. Indiz kann ein planvolles und gleichgelagertes Vorgehen sein, wenn das Auskunftsrecht sofort (ohne Begründung) unter Abkürzung der Monatsfrist (die Art. 15 DS‑GVO für die Beantwortung eines Auskunftsanspruchs in der Regel vorsieht) geltend gemacht und mit dieser Begründung eingeklagt wird. Außerdem sind eine kurze Frist und die Geltendmachung eines Auskunftsanspruchs als Reaktion auf eine Absage mit einem offensichtlich zusammenkopierten Schreiben ebenfalls objektive Indizien, dass der Auskunftsanspruch nicht dem eigentlichen Zweck, der durch die DS‑GVO geschützt werden soll, dient. Die sofortige Verknüpfung mit einer Zahlungsbedingung und/oder einer unverhältnismäßig hohen Entschädigungsforderung sowie mit offensichtlich DS‑GVO-fremden Zwecken ist ein weiterer objektiver Hinweis für einen Rechtsmissbrauch, der durch die Gerichte zu prüfen ist.

Vorsicht bei vorschneller Herausgabe von Kopien: Grundsätzlich sollten Kopien im arbeitsrechtlichen Kontext nie vorschnell herausgegeben werden (Stichwort: „Hopper“ und „Rechtsmissbrauch“). Daher ist bei Herausgabeverlangen stets der Kontext zu beachten bzw., ob die Kopien zur Durchsetzung von Ansprüchen dienen könnten. Auch taktische Überlegungen sind abzuwägen. Ein sehr anschauliches Beispiel dafür, wann eine Herausgabe jedenfalls temporär unterbleiben sollte, zeigt das Urteil des Landesarbeitsgerichts (LAG) Sachsen (Urteil vom 17.02.2021 – 2 Sa 63/20). Außerdem sind die Prozessrisiken bei einer Nichtherausgabe skalierbar: Denn sollten die materiellen Voraussetzungen für die Herausgabe eines Kopie-Anspruchs bestehen, müsste der Kopie-Anspruch prozessual ordnungsgemäß geltend gemacht werden. Oftmals kann über die Zulässigkeit einer solchen Klage diese bereits erfolgreich abgewehrt werden – beispielsweise weil die Klageanträge zu unbestimmt sind. Außerdem ist der Auskunftsanspruch bei Rechtsmissbrauch geschlossen.

Rechtsprechung im Wandel: Bis zu der EuGH-Entscheidung vom 04.05.2023 (C-300/21), mit der der EuGH erstmals zu den Voraussetzungen von Art. 82 DS‑GVO urteilte, entschieden viele Arbeitsgerichte in der Vergangenheit pauschal, dass bei verspäteten oder unvollständigen Auskünften Unternehmen Schadensersatz an Arbeitnehmer gemäß Art. 82 DS‑GVO zu zahlen hätten. Diese Rechtsprechungspraxis setzte sich auch nach der EuGH-Entscheidung teilweise weiter fort. Die unzutreffende Begründung lautete dabei immer noch, dass die verspätete oder unvollständige Auskunft ein „Verstoß gegen die DS‑GVO“ und dem Betroffenen ein immaterieller Schaden entstanden sei (konstant ohne konkrete Darlegungen eines Schadens). Der EuGH entzog dieser unzutreffenden Rechtsprechung jedoch eindeutig die Grundlage. Immer wieder wird diese EuGH-Entscheidung – jedenfalls in der ersten Instanz – übersehen. Es kann sich also lohnen, hartnäckig zu bleiben.

Darlegungslast: Hinsichtlich der Frage des Vorliegens des Schadens tragen Arbeitnehmer in einem Gerichtsverfahren die Darlegungslast. Somit müssen sie darlegen, dass sie sich „beleidigt“ fühlen oder die Datenverarbeitung ein „großes Ärgernis“, einen „Vertrauensverlust“ sowie das Gefühl der Bloßstellung auslöste. Zuletzt entschied der EuGH richtigerweise dazu, dass ein kurzfristiges Abhandenkommen der Daten (“Saturn-Entscheidung” – EuGH, 25.01.2024, C-687/21) keinen Schadensersatz auslöst. Ein immaterieller Schaden könne nicht aufgrund eines rein hypothetischen Risikos einer missbräuchlichen Verwendung angenommen werden. Zudem betonte der EuGH, dass nicht nur ein Verstoß gegen die Bestimmungen der DS‑GVO nachgewiesen werden, sondern auch, dass dadurch ein materieller oder immaterieller Schaden entstanden sein muss.