Expertenforum Arbeitsrecht (#EFAR)
Expertenforum
Arbeitsrecht (#EFAR)

Expertenforum Arbeitsrecht (#EFAR)

Themen der arbeitsrechtlichen Blogosphäre

LinkedIn
Twitter
Xing
Facebook
Datenschutz

Befürchtungen über Kontrollverlust begründen keinen Schadensersatzanspruch nach DSGVO

Allein die Verletzung von Vorschriften aus der DSGVO begründet für sich noch keinen Anspruch auf Schadensersatz. Machen Beschäftigte Schadensersatz wegen Datenschutzverletzungen durch Unternehmen geltend, müssen diese einen konkreten materiellen oder immateriellen Schaden darlegen und beweisen. Hierbei genügt es nicht, wenn sie sich auf einen abstrakten Kontrollverlust, wie die Unkenntnis der Datenverarbeitung, eine bestimmte Gefühlslage oder ein besonderes Spannungsverhältnis zu Arbeitgebern berufen.

Das Thema

Die Parteien führten seit April 2020 Verhandlungen zur einvernehmlichen Aufhebung des seit März 2014 bestehenden Arbeitsverhältnisses. Nachdem die Gespräche erfolglos blieben, machte die Arbeitnehmerin mit Schreiben ihres Rechtsanwalts vom 12.06.2020 Auskunft über die Verarbeitung ihrer personenbezogenen Daten nach Art. 15 Abs. 1 DSGVO geltend und forderte eine Kopie dieser Daten nach Art. 15 Abs. 3 DSGVO. Dies lehnte die Arbeitgeberin ab, indem sie erklärte:

„Mit Ihrem Auskunftsverlangen beeindrucken Sie niemanden. Bitte klagen Sie den Anspruch ein, wenn Ihre Mandantin meint, das Arbeitsverhältnis auf diese Weise fortsetzen zu müssen.“

Nach der Beendigung des Arbeitsverhältnisses durch fristgemäße Kündigung des Unternehmens klagte die Mitarbeiterin auf die begehrte Auskunft sowie Erteilung der geforderten Kopien. Zudem behauptete sie einen Verstoß gegen Art. 82 Abs. 1 DSGVO und machte ein „Schmerzensgeld“ in Höhe von mindestens 5.000 Euro geltend. Sie argumentierte, wegen der Verweigerung der Auskunft keinerlei Möglichkeit der Überprüfung der Datenverarbeitung gehabt zu haben. Dieser Kontrollverlust sei spürbar und erheblich – insbesondere deshalb, weil die Arbeitgeberin die Auskunft vor dem Hintergrund eines Konflikts zunächst vorsätzlich und böswillig verweigert habe.

Das ArbG Bamberg sprach der Arbeitnehmerin zunächst einen immateriellen Schadenersatz in Höhe von 4.000 Euro zu. In der Berufung wies das LAG Nürnberg die Klage ab und verneinte einen Schadensersatzanspruch.

Die Entscheidung

Das BAG schloss sich im Ergebnis der Entscheidung des LAG Nürnberg an, jedoch mit anderer Begründung (Urt. v. 20.06.2024 – 8 AZR 124/23). Während das LAG keinen Verstoß i. S. d. Art. 82 Abs. 1 DSGVO feststellte, urteilte das BAG, dass kein Schaden von der Arbeitnehmerin dargelegt worden ist. Unter Verweis auf die jüngst ergangene Rechtsprechung des EuGH bedarf es nach dem Wortlaut des Art. 82 Abs. 1 DSGVO drei kumulativer Voraussetzungen:

  • Es muss ein „Verstoß“ gegen die DSGVO vorliegen und
  • hierdurch ein „materieller oder immaterieller Schaden“ eingetreten sein.
  • Der Schaden muss insofern auf den Verstoß zurückzuführen sein („Kausalität“).

Beschäftigte, die auf der Grundlage von Art. 82 Abs. 1 DSGVO Ersatz eines immateriellen Schadens verlangen, müssen sämtliche Voraussetzungen darlegen. Nach der EuGH-Rechtsprechung könnten negative Gefühle („Befürchtungen“) zwar grundsätzlich einen Anspruch auf Ersatz des immateriellen Schadens begründen. Das bloße Berufen auf eine bestimmte Gefühlslage reiche jedoch nicht aus, denn das Gericht habe zu prüfen, ob das Gefühl unter Berücksichtigung der konkreten Umstände als begründet angesehen werden kann. Ausgehend von diesen Grundsätzen konnte die Klägerin nach Ansicht des BAG keinen Schaden i. S. v. Art. 82 Abs. 1 DSGVO darlegen. Sie habe lediglich ihre aus der Unkenntnis der Datenverarbeitung resultierenden Befürchtungen zum Ausdruck gebracht. Solche Befürchtungen lägen bei einer nicht oder unvollständig erteilten Auskunft jedoch in der Natur der Sache. Auch die Hervorhebung besonderer Spannungen mit der Arbeitgeberin genügten dem BAG zur Darlegung eines Schadens nicht.

Fazit und Handlungsempfehlung

Das BAG bestätigt, dass im Rahmen der Geltendmachung eines Schadensersatzanspruchs wegen Verstößen gegen die DSGVO ein konkreter Schaden nachgewiesen werden muss. Dies dürfte Beschäftigte in der Praxis vor Herausforderungen stellen. Gleichzeitig wird hierdurch der zwar bereits rückläufige, aber weiterhin besonders in Kündigungsschutzverfahren pauschal geltend gemachte Auskunftsanspruch nach Art. 15 DSGVO in seinem beabsichtigten Druck auf Unternehmen geschmälert.

Eine Abschreckungs- oder Straffunktion soll der Anspruch aus Art. 82 Abs. 1 DSGVO gerade nicht erfüllen. Neben dem EuGH bestätigte dies das BAG in einer weiteren Entscheidung vom 25.07.2024 (8 AZR 225/23, vgl. dazu auch den EFAR-Beitrag „Datenschutz und Schadenersatz bei der Überwachung von Arbeitnehmern außerhalb der betrieblichen Sphäre“), ebenso wie der BGH in der „Meta“-Entscheidung vom 18.11.2024 (VI ZR 10/24).

Der Druck, der einst auf Unternehmen lastete, ist mit der sich nun entwickelten Rechtsprechung mit Blick auf Art. 82 Abs. 1 DSGVO zunehmend entschärft. Dies auch mit Blick auf Haftungsfolgen: Sind die Anspruchsvoraussetzungen des Art. 82 Abs. 1 DSGVO erfüllt, stellt sich die Frage nach der Schadensbemessung. Hinsichtlich eines immateriellen Schadens wegen des Verlusts der Kontrolle über personenbezogene Daten sprach das BAG in der Entscheidung vom 25.07.2024 einem Arbeitnehmer 1.500 Euro zu. Der BGH sprach hingegen in der Entscheidung vom 18.11.2024 – ebenfalls wegen eines Kontrollverlustes – lediglich 100 Euro zu.

Unternehmen sollten Auskunftsansprüchen nach Art. 15 DSGVO weiterhin sorgfältig und fristgerecht nachgehen. In Zukunft dürfte es sich zunehmend um Auskunftsansprüche von Beschäftigten handeln, die ein originäres Interesse an der Auskunft hinsichtlich ihrer personenbezogenen Daten haben.

Handcrafted with by Jung und Wild design.