BAG bestätigt: Keine Entschädigung für verspätete und unvollständige Auskunft nach Datenschutzgrundver­ordnung

Der Kläger war vom 1. Dezember 2016 bis zum 31. Dezember 2016 für einen Monat bei der Rechtsvorgängerin der Beklagten, einem Immobilienunternehmen, beschäftigt. Nach seinem Ausscheiden hatte er am 7. September 2020 erstmals einen Antrag auf Auskunft über die Verarbeitung seiner personenbezogenen Daten gemäß Art. 15 DSGVO gestellt. Am 1. Oktober 2022 hat der Kläger erneut Auskunft und eine Datenkopie auf dieser Grundlage verlangt. Dazu setzte der Kläger eine Frist bis zum 16. Oktober 2022. An diese Frist erinnerte der Kläger die Beklagte am 21. Oktober 2022 mit erneuter Fristsetzung bis zum 31. Oktober 2022. Die daraufhin erteilte Auskunft beanstandete der Kläger, woraufhin die Beklagte nach einem weiteren Schriftwechsel die gewünschten Auskünfte erteilte. Der Kläger verlangte in der Folgezeit erfolglos von der Beklagten die Zahlung einer „Geldentschädigung“. Später hat er vor dem Arbeitsgericht eine Geldentschädigung gemäß Art. 82 Abs. 1 DSGVO nach dem Ermessen des Arbeitsgerichts verlangt, da sein Auskunftsrecht nach Art. 15 DSGVO verletzt worden sei.

Das Arbeitsgericht sprach ihm eine Geldentschädigung in Höhe von 10.000 Euro zu. Das LAG Düsseldorf hat die Klage vollständig abgewiesen.

Die zulässige Revision des Klägers ist unbegründet. Es könne laut BAG dahinstehen, ob eine Verletzung von Art.  15 i.V.m. Art. 12 Abs. 3 DSGVO vorliege und dies einen Verstoß i.S.v. Art. 82 Abs. 1 DSGVO darstellen würde. Der Kläger hat nach Ansicht des Achten Senats des BAG keinen Anspruch nach Art. 82 Abs. 1 DSGVO, er habe keinen Schaden dargelegt.

Der Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO hat drei Voraussetzungen: einen Verstoß gegen die DSGVO, einen "Schaden" und einen haftungsbegründenden Kausalzusammenhang zwischen dem erlittenen Schaden und dem Verstoß. Die genannten Voraussetzungen müssen kumulativ vorliegen.

Durchaus könne ein – selbst kurzzeitiger – Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden i.S.v. Art. 82 Abs. 1 DSGVO darstellen, der einen Schadenersatzanspruch begründen könne. Hierzu müsse die betroffene Person den Nachweis erbringen, dass sie tatsächlich einen solchen Schaden – so geringfügig er auch sei – erlitten habe. Einen solchen Kontrollverlust hat der Kläger aber nicht vorgetragen, er hat weder einen „gesetzwidrigen Datenabfluss“ noch eine „unzulässige Datenspeicherung“ behauptet. Die Auffassung des Klägers, dass bereits eine verspätete Auskunftserteilung einen Kontrollverlust bewirken und damit ohne weitere Voraussetzungen einen Schaden i.S.v. Art. 82 Abs. 1 DSGVO begründen würde, ist unzutreffend. Ein Kontrollverlust im Sinne der Rechtsprechung des Europäischen Gerichtshofs (EuGH) liegt nur vor, wenn die betroffene Person eine begründete Befürchtung des Datenmissbrauchs hege. Dies könne allerdings nicht auf eine bloße Gefühlslage gestützt werden. Das jeweilige Gericht habe vielmehr zu prüfen, ob das Gefühl unter Berücksichtigung der konkreten Umstände als begründet angesehen werden könne. Dabei sei ein objektiver Maßstab anzusetzen. Es komme grundsätzlich auch ein immaterieller Schaden aufgrund negativer Gefühle in Betracht. Dies betreffe Konstellationen, in denen der bloße Verstoß gegen die DSGVO zu der Befürchtung eines Datenmissbrauchs führe. Hier müsse durch das Gericht die Gesamtsituation und letztlich auch die Glaubwürdigkeit der jeweiligen Klagepartei auf der Grundlage eines substantiierten Sachvortrags beurteilt werden.

Zwar löst die verspätete Erfüllung eines Auskunftsanspruchs nach Ansicht des BAG beim Betroffenen zwangsläufig die Sorge eines Verstoßes gegen sonstige Verpflichtungen aus der DSGVO aus. Hieraus folgt aber nicht automatisch die Annahme eines Schadens. Würde nämlich diese Befürchtung für die Annahme eines Schadens i.S.v. Art. 82 Abs. 1 DSGVO ausreichen, würde die eigenständige Voraussetzung eines Schadens bedeutungslos, da sie stets erfüllt sei. Nach dem dargestellten Verständnis des EuGH von Art. 82 Abs. 1 DSGVO muss vielmehr strikt zwischen Verstoß und Schaden unterschieden werden. Eine Verwischung dieser Trennung würde zudem den Anforderungen des deutschen Prozessrechts nicht genügen, das die substantiierte Darlegung eines Schadens verlangt.

Die Entscheidung des BAG ist zu begrüßen. Jedoch hat das BAG offen gelassen, ob Art. 15 DSGVO unter den Anwendungsbereich des Art. 82 DSGVO fällt oder – wie durch das LAG Düsseldorf angenommen – nicht. Nach dem Wortlaut des Art. 82 Abs. 1 DSGVO besteht ein Schadenersatzanspruch bei Verstoß gegen die DSGVO. Es ist zwischen den Arbeitsgerichten umstritten, ob dies nur auf die Verarbeitung oder auf alle Pflichten nach der DSGVO zu beziehen ist (zur Vertiefung siehe etwa: Kühling/Buchner, DSGVO/BDSG, 4. Auflage 2024, Art. 82 Rn. 23 und Gola/Piltz, in: Gola/Heckmann, DSGVO – BDSG, 3. Auflage 2023, Art. 82 Rn. 59). Solange diese Frage durch das BAG oder den EuGH nicht höchstrichterlich geklärt ist, kommt es auf die jeweilige Auffassung der Arbeitsgerichte an. Dies führt aktuell zu einer uneinheitlichen Rechtsanwendung. Die detaillierten Ausführungen zu den Anforderungen an das Vorliegen eines Schadens nach Art. 82 Abs. 1 DSGVO durch das BAG sind zu begrüßen.

Die Entscheidung ist auf Arbeitsverhältnisse, die die AVR Caritas anwenden, übertragbar: Zwar gilt hier nicht die DSGVO, sondern das Kirchliche Datenschutzgesetz (KDG), dieses enthält jedoch Parallelvorschriften in § 14 Abs. 3 und § 17 KDG, die dieselben Pflichten wie Art. 12 Abs. 3 und Art. 15 DSGVO regeln und ebenfalls eine Geldentschädigung wie in Art. 82 DSGVO in § 50 KDG vorsehen.