Expertenforum Arbeitsrecht (#EFAR)
Expertenforum
Arbeitsrecht (#EFAR)

Expertenforum Arbeitsrecht (#EFAR)

Themen der arbeitsrechtlichen Blogosphäre

LinkedIn
Twitter
Xing
Facebook
DSGVO

Verspätete DSGVO-Auskunft begründet grundsätzlich keinen immateriellen Schaden

Die verspätete Bereitstellung einer nach Art. 15 DSGVO geforderten Auskunft führt allein nicht zu einem immateriellen Schaden gemäß Art. 82 Abs. 1 DSGVO.

Das Thema

Ein Arbeitnehmer verlangte knapp sechs Jahre nach einem einmonatigen Arbeitsverhältnis von seiner früheren Arbeitgeberin ein weiteres Mal Auskunft über eine eventuell noch andauernde Datenverarbeitung. Das Unternehmen erteilte ihm erst nach erneuter Aufforderung eine ausreichende Auskunft. Er verlangte daraufhin von seiner früheren Arbeitgeberin eine „Geldentschädigung“ nach Art. 82 Abs. 1 DSGVO, da die verspätete Auskunft einen Verstoß gegen die DSGVO darstelle. Der ehemalige Mitarbeiter argumentierte, dass ein immaterieller Schaden nicht nur in Form eines wochenlangen Kontrollverlusts bezüglich der Datenverarbeitung bestehe, sondern er auch Angst habe, dass das Unternehmen „Schindluder“ mit seinen Daten treibe. Zudem sei er wegen des Aufwands der Rechtsverfolgung „genervt“.

Die Entscheidung

Nachdem das ArbG Duisburg dem Kläger einen Schadensersatz in Höhe von 10.000 Euro wegen verspäteter und unzureichender Auskunft zugesprochen hatte, scheiterte die Klage vor dem BAG (Urt. v. 20.02.2025 – 8 AZR 61/24). Für einen Schadenersatzanspruch nach Art. 82 Abs. 1 DSGVO müssen nach dem BAG drei Voraussetzungen erfüllt sein:

  1. ein Verstoß gegen die DSGVO,
  2. ein Schaden und
  3. ein Kausalzusammenhang zwischen Verstoß und Schaden.

Dafür trägt der Beschäftigte die Darlegungs- und Beweislast. Das BAG verneinte einen Schadensersatzanspruch, da der ehemalige Arbeitnehmer keinen konkreten immateriellen Schaden dargelegt habe.

Nach Auffassung des Achten Senats begründet allein die verspätete Erteilung der geschuldeten Auskunft für sich genommen keinen immateriellen Schaden. Insbesondere ist mit einer verspäteten Auskunft kein Kontrollverlust der Daten verbunden, der einen Schaden begründen kann. Ein Kontrollverlust wegen verspäteter Auskunft liegt nur vor, wenn konkrete Anhaltspunkte für eine missbräuchliche Verwendung der Daten bestehen oder berechtigte Befürchtungen hierzu „substantiiert“ dargelegt werden (vgl. dazu auch den EFAR-Beitrag „Befürchtungen über Kontrollverlust begründen keinen Schadensersatzanspruch nach DSGVO“). Das hypothetische Risiko einer missbräuchlichen Verwendung durch unbefugte Dritte führt jedoch zu keiner Entschädigung. Der ehemalige Mitarbeiter hatte weder Datenmissbrauch noch eine unzulässige Datenspeicherung behauptet. Auch die Sorge vor „Schindluder“ mit seinen Daten wurde vom BAG nicht als nachvollziehbar angesehen, da es über einen längeren Zeitraum keine Hinweise auf einen solchen Missbrauch gegeben hatte.

Auch das subjektive Empfinden von „Ärger“ oder „Sorge“ genügt für das Vorliegen eines immateriellen Schadens nicht. Vielmehr ist eine objektiv nachvollziehbare Beeinträchtigung erforderlich.

Fortsetzung der restriktiven Rechtsprechung bei immateriellen Schadenersatz nach der DSGVO

Mit dieser Entscheidung setzt das BAG seine bisherige Linie zur restriktiven Auslegung von Art. 82 Abs. 1 DSGVO konsequent fort. Bereits in früheren Entscheidungen hatte es klargestellt, dass ein DSGVO-Verstoß nicht automatisch einen Anspruch auf immateriellen Schadenersatz begründet. Entscheidend ist stets, dass ein konkret spürbarer und individuell nachvollziehbarer Schaden dargelegt wird. Ein bloßer (formeller) Verstoß gegen die DSGVO, wie eine verzögerte Auskunftserteilung, reicht ohne nachweisbare negative Folgen nicht aus.

Fazit und Handlungsempfehlung

Für die Praxis bedeutet dies mehr Rechtssicherheit für Arbeitgeber. Das BAG unterstreicht die Funktion des Art. 82 DSGVO als Ausgleichs- und nicht als Sanktionsnorm. Unternehmen, die sich in der Praxis oftmals mit völlig überhöhten und massenhaft geltend gemachten Forderungen konfrontiert sehen, sollten sich genau mit dem Vortrag der Anspruchsteller auseinandersetzen.

Grundsätzlich gilt:

  • Ein DSGVO-Verstoß allein reicht nicht aus – es muss ein konkreter immaterieller Schaden dargelegt und ggf. bewiesen werden.
  • Subjektive Empfindungen (wie Ärger, Sorge oder Kontrollverlust) sind nur dann beachtlich, wenn sie objektiv nachvollziehbar und durch konkrete Umstände des Einzelfalls belegt sind. Diese müssen von den Betroffenen (insbesondere Arbeitnehmern) dargelegt und bewiesen werden.
  • Pauschale Aussagen („ich hatte Angst um meine Daten“) genügen nicht. Es bedarf einer konkreten Beeinträchtigung, z.B. begründete Befürchtungen eines Datenmissbrauchs oder eine nachweisbare Einschränkung in der Wahrnehmung eigener Rechte.

Handcrafted with by Jung und Wild design.