Schadensersatzansprüche nach der DS-GVO: was Arbeitgeber beachten müssen

Schadensersatzansprüche nach der Datenschutz-Grundverordnung (DS-GVO): unzureichende Datenschutzauskunft – erhöhte Hürde für den Schadensersatzanspruch

Im Rahmen der Auskunftsverpflichtung nach Art. 15 DS-GVO besteht oft Zweifel, wie und in welchen Umfang die personenbezogenen Daten an Arbeitnehmer*innen herauszugeben sind. Gerade bei Langzeitbeschäftigten können die Daten der letzten Jahrzehnte einen schier unermesslichen Umfang aufweisen. Arbeitgeber werden häufig mit Auskunftsverlangen von Arbeitnehmer*innen konfrontiert, und zwar regelmäßig als begleitendes Druckmittel in Kündigungsschutzstreitigkeiten mit der Drohkulisse von Schadensersatzforderungen. Sie stehen dann oft vor einer nahezu unmöglichen Aufgabe. Doch was passiert eigentlich, wenn man keine lückenlose Datenlandschaft übermitteln kann, dem Anspruch aus Art. 15 DS-GVO also nicht vollständig nachkommen kann? Erst recht nicht innerhalb der vorgesehenen Fristen? Droht dann tatsächlich immer empfindlicher Schadensersatz?

Die Entscheidung des Bundesarbeitsgerichts (BAG) bringt Klarheit für betroffene Personen und etwas Erleichterung für Unternehmen hinsichtlich der Anforderungen an die Darlegung eines Schadens und setzt damit neue Maßstäbe für datenschutzrechtliche Schadensersatzklagen.

Von vorne, um was geht es?

Der Kläger, ein ehemaliger Auszubildender eines Fitnessstudios, machte Schadensersatzansprüche in Höhe von 5.000 € geltend, weil die Beklagte seiner Auskunftsanfrage nach Art. 15 DS-GVO nur unvollständig nachgekommen sei.

Der Fall nahm seinen Anfang mit einer Vielzahl von Forderungen des Klägers, der sowohl Schadensersatz wegen Datenschutzverletzungen als auch Ansprüche im Zusammenhang mit der Beendigung seines Ausbildungsverhältnisses geltend machte. In der hier behandelten Revision wurde ausschließlich nur noch der Anspruch auf Schadensersatz nach Art. 82 I DS-GVO erörtert.

Dabei bezog er sich unter anderem auf Daten, die sich auf einem privat genutzten USB-Stick befanden, den ein Unternehmensvertreter wegen des Verdachts der unzulässigen Speicherung von Mitgliedsdaten sichergestellt hatte. Die Beklagte erteilte daher lediglich nur eine allgemeine Auskunft über gespeicherte Daten.

Der Kläger hingegen befürchtete die missbräuchliche Verwendung seiner privaten Daten, welche unter anderem auf dem USB-Stick gespeichert waren, und die Weitergabe an Dritte. Er begründete die Schadensersatzforderung mit der Unsicherheit über die Verarbeitung seiner Daten sowie emotionalen Belastungen, wie Schlafstörungen und Angstzuständen.

Das Arbeitsgericht Villingen-Schwenningen (26. Oktober 2021 – 7 Ca 59/20, BeckRS 2021, 63567) wies die Klage ab, das Landesarbeitsgericht Baden-Württemberg (Urt. v. 28. Juli 2023 – 9 Sa 73/21) sprach ihm jedoch 2.500 € zu. Die Beklagte legte Revision ein – mit Erfolg.

Erklärung: drei Gerichte – vier Meinungen?

Das BAG stellte klar, dass für einen Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO drei Voraussetzungen kumulativ erfüllt sein müssen:

• Ein Verstoß gegen die DS-GVO
• Ein daraus resultierender konkreter Schaden
• Ein Kausalzusammenhang zwischen Verstoß und Schaden

Das Gericht betonte, dass Art. 82 der DS-GVO keine Straf- oder Abschreckungsfunktion hat, sondern allein dem Ausgleich tatsächlich erlittener Schäden dient. Eine rein subjektive Unsicherheit oder Angst reicht nicht aus, um einen immateriellen Schaden zu begründen. Vielmehr muss der Kläger konkrete Beweise für eine tatsächliche Beeinträchtigung vorlegen, so das BAG in seiner Entscheidung vom 20. Juni 2024 (8 AZR 124/23). Dies steht im Einklang mit der Rechtsprechung des Europäischen Gerichtshofs (EuGH) vom 25. Januar 2024 (C-687/21), der in Art. 82 DS-GVO eine Ausgleichsfunktion sieht und ausdrücklich keine Abschreckungs- oder Straffunktion erfüllen soll.

Nichtsdestotrotz bleibt der Nachweis von immateriellen Schäden weiterhin schwierig. Das Gericht prüft Schäden, die für sich genommen nicht beweisbar sind, anhand der Gesamtsituation sowie der Glaubwürdigkeit der Parteien auf Grundlage des Sachvortrags.

In der hier zitierten Entscheidung erkannte das BAG keinen immateriellen Schaden, da der Kläger selbst am besten über die von ihm genutzten Daten auf dem USB-Stick Bescheid wusste.

Fazit

Das Urteil des BAG stärkt die Position von Arbeitgebern und setzt hohe Hürden für Schadensersatzansprüche wegen Datenschutzverstößen. Unternehmen sollten dennoch darauf achten, Auskunftsanfragen gemäß Art. 15 DS-GVO vollständig und transparent zu beantworten, um potenzielle Klagen zu vermeiden. Arbeitnehmer*innen hingegen sollten sich bewusst sein, dass sie für immaterielle Schäden eine substanzielle Beweisführung benötigen und sich das Auskunftsverlangen nur sehr begrenzt als Basis für leichte Schadensersatz-„Beute“ eignet: weder als Druckmittel im Abfindungspoker während eines Kündigungsschutzprozesses noch als eigenständiges Geschäftsmodell mit „DS-GVO-Hopping“.

Für weiterführende Fragen und eine individuelle Beratung stehen wir Ihnen jederzeit zur Verfügung.

Autor*innen: Bernd Günter und Franziska Kellner

Dies ist ein Beitrag aus unserem Newsletter „Menschen im Unternehmen“ 1-2025. Die gesamte Ausgabe finden Sie hier. Sie können diesen Newsletter auch abonnieren und erhalten die aktuelle Ausgabe direkt zum Erscheinungstermin.