Mit Urteil vom 20. Februar 2025 (Az. 8 AZR 61/24) hat das Bundesarbeitsgericht (BAG) eine wichtige Entscheidung zu den Voraussetzungen bei der Geltendmachung von Schadensersatzansprüchen bei DSGVO-Verstößen getroffen.
Im Zentrum stand die Frage, ob ein bloßer Kontrollverlust über personenbezogene Daten durch verspätete oder unzureichende Auskunftserteilung einen immateriellen Schaden im Sinne von Art. 82 DSGVO begründen kann.
Das BAG bleibt dabei der Linie treu, die es bereits in früheren Entscheidungen andeutete – in Übereinstimmung, aber auch mit nuancierten Akzenten zur aktuellen Rechtsprechung des Europäischen Gerichtshofs (EuGH).
Das Urteil vom 20. Februar 2025 bringt mehr Kontur in die noch immer dynamische Rechtsprechung zu Art. 82 DSGVO. Es knüpft an die EuGH-Vorgaben an, interpretiert diese jedoch im Sinne einer hohen Anforderung an die Darlegungslast des Klägers. Unternehmen können danach auf eine gewisse Zurückhaltung deutscher Gerichte bei pauschalen Schadensersatzforderungen hoffen, sofern kein konkreter Schaden plausibel gemacht werden kann.
Sachverhalt:
Der Kläger war im Dezember 2016 für einen Monat bei der Rechtsvorgängerin der Beklagten beschäftigt. Nachdem er bereits im Jahr 2020 eine Auskunft über die Verarbeitung seiner personenbezogenen Daten erhalten hatte, stellte er im Oktober 2022 erneut ein Auskunftsersuchen gemäß Art. 15 DSGVO – mit Blick auf eine vermutete fortdauernde Datenverarbeitung.
Nach mehreren Fristsetzungen und einer zunächst unvollständigen Auskunft erhielt der Kläger erst im Dezember 2022 die nach seiner Auffassung vollständige Auskunft. Er machte daraufhin einen immateriellen Schaden geltend – konkret: Kontrollverlust über seine Daten, Sorgen um die unklare Verwendung und Frustration über die Notwendigkeit der Rechtsverfolgung – und verlangte eine Entschädigung von mindestens 2.000 Euro. Das Arbeitsgericht Duisburg sprach ihm sogar 10.000 Euro zu. Das Landesarbeitsgericht Düsseldorf hob dieses Urteil auf. Das BAG bestätigte nun die klageabweisende Entscheidung.
Wesentliche Erwägungen des BAG
Das BAG stellt klar: Ein immaterieller Schaden im Sinne des Art. 82 Abs. 1 DSGVO liegt nicht bereits dann vor, wenn die betroffene Person abstrakt einen Kontrollverlust behauptet oder sich durch den Verstoß „genervt“ fühlt. Vielmehr verlangt das Gericht eine konkrete Darlegung des tatsächlichen immateriellen Schadens.
Dabei lässt das BAG ausdrücklich offen, ob ein Verstoß gegen Art. 15 DSGVO (in Verbindung mit Art. 12 Abs. 3 DSGVO) überhaupt vorliegt und ob dieser generell geeignet ist, einen Anspruch nach Art. 82 DSGVO auszulösen.
Es verneint jedoch in jedem Fall das Vorliegen eines ersatzfähigen Schadens in der konkreten Konstellation. Der Kläger habe „kein erhebliches Gewicht“ in seiner Darstellung aufgezeigt – weder hinsichtlich einer Persönlichkeitsrechtsverletzung noch hinsichtlich konkreter Nachteile.
Einordnung in die EuGH-Rechtsprechung
Das Urteil steht im Kontext einer fortlaufenden Auslegung von Art. 82 DSGVO durch den EuGH. Insbesondere die Entscheidung vom 4. Mai 2023 (Rs. C-300/21 – UI gegen Österreichische Post) ist hierbei zentral:
Der EuGH stellte klar, dass
- ein Verstoß gegen die DSGVO nicht automatisch zu einem Schadensersatzanspruch führt,
- ein Schaden – materiell oder immateriell – tatsächlich eingetreten sein muss,
- keine Erheblichkeitsschwelle für den immateriellen Schaden besteht, dieser aber konkret darzulegen ist.
Während der EuGH damit keine Bagatellgrenze einzieht, verlangt er gleichwohl eine nachvollziehbare Beeinträchtigung – es genügt also nicht, einen DSGVO-Verstoß abstrakt zu behaupten.
Das BAG nimmt diese Vorgaben ernst, legt sie jedoch restriktiv aus: Die bloße subjektive Belastung oder Unannehmlichkeit einer verzögerten Antwort reicht nach seiner Auffassung nicht aus.
Das Gericht fordert eine substantielle Auseinandersetzung mit der Frage, inwiefern das Persönlichkeitsrecht konkret beeinträchtigt wurde. Die erfolgreiche Geltendmachung eines immateriellen Schadens verlangt daher auch weiterhin eine individuelle, konkrete und nachvollziehbare Darstellung der erlittenen Beeinträchtigung.
Was ist eigentlich ein „Kontrollverlust“?
Mit Blick auf die erst kürzlich durch den Bundesgerichtshof (BGH) zu dieser Problematik getroffene Grundsatzentscheidung (BGH, Urteil v. 18.11.2024 – VI ZR 10/24) wird allerdings deutlich, dass es künftig vor allem darauf ankommen wird, was genau man (also letztlich die Gerichte) unter einem tatsächlichen „Kontrollverlust“ im Rechtssinne versteht.
Die dortigen Ausführungen des BGH, dass auch der bloße und kurzzeitige Verlust der Kontrolle über eigene personenbezogene Daten infolge eines Verstoßes gegen die Datenschutz-Grundverordnung als solcher ein immaterieller Schaden im Sinne der Norm sein kann, lassen sich für Sachverhalte, wie etwa das rechtswidrige Abhandenkommen und objektiv zu befürchtende unberechtigte Nutzen von Daten durch Unbekannte sicherlich nachvollziehen.
Die bloße Tatsache allerdings, dass ein Mitarbeiter zeitweise im Unklaren darüber gelassen wird, welche vollständigen personenbezogenen Daten z.B. ein hierzu grundsätzlich berechtigter Arbeitgeber aktuell zu seiner Person verarbeitet, wird man objektiv kaum als „echten“ rechtserheblichen Kontrollverlust betrachten können.
Vor diesem Hintergrund ist es folgerichtig (und steht objektiv auch nicht im Widerspruch zur grundsätzlichen Sichtweise des BGH), wenn das BAG hier in tatsächlicher Hinsicht zur Schadensfeststellung mehr verlangt, als den bloßen Vortrag eines Verstoßes gegen Art. 15 Abs. 1 DSGVO, der bei anderer Sachverhaltslage möglicherweise ausreichend wäre, weil sich die negativen persönlichen Folgen (im Sinne einer Nichtbeherrschbarkeit des hieraus folgenden weiteren Datenumgangs) unmittelbar bereits objektiv gedanklich aufdrängen.
Worin dagegen ein rechtserheblicher Kontrollverlust liegen soll, wenn über Daten, die man kennt und selbst dem Arbeitgeber mitgeteilt hat und die von ihm datenschutzrechtlich pflichtgemäß verarbeitet werden, z.B. verspätet Auskunft erteilt wird, erschließt sich nicht generell, sondern bedarf ggf. einer konkreten und individuellen Darlegung der Situation des Betroffenen.