Das Bundesarbeitsgericht (BAG) hat entschieden, dass die bloße Sorge vor einem möglichen Datenmissbrauch keinen Anspruch auf immateriellen Schadensersatz nach Art. 82 Abs. 1 DS-GVO begründet. Zwar kann der Verlust der Kontrolle über personenbezogene Daten grundsätzlich einen Schaden darstellen, doch ist hierfür eine konkrete Beeinträchtigung nachzuweisen. Hypothetische oder allgemeine Befürchtungen reichen nicht aus.

Hintergrund des Falls

Die Klägerin war bei der Beklagten angestellt. Im Zuge von erfolglosen Verhandlungen über eine einvernehmliche Aufhebung des Arbeitsverhältnisses stellte die Klägerin über ihre Anwälte einen Auskunftsantrag nach Art. 15 DS-GVO. Sie wollte wissen, welche personenbezogenen Daten die Beklagte über sie verarbeitet und forderte zudem eine Kopie der betreffenden Daten gemäß Art. 15 Abs. 3 DS-GVO.

Der Anwalt der Beklagten verweigerte die Auskunft mit der Antwort:

“Mit Ihrem Auskunftsverlangen beeindrucken Sie niemanden. Bitte klagen Sie den Anspruch ein, wenn Ihre Mandantin meint, das Arbeitsverhältnis auf diese Weise fortsetzen zu müssen.”

Nach der Kündigung ihres Arbeitsverhältnisses verklagte die Klägerin die Beklagte auf die Herausgabe der geforderten Daten und forderte zusätzlich ein “Schmerzensgeld” in Höhe von mindestens 5.000 Euro für die verweigerte Auskunft. Sie argumentierte, dass ihr durch die fehlende Einsicht in ihre Daten ein Kontrollverlust entstanden sei, der sie erheblich beeinträchtigt habe. Dieser Kontrollverlust sei besonders schwerwiegend, da die Beklagte die Auskunft bewusst und in einer Konfliktsituation vorsätzlich verweigert habe.

Das Arbeitsgericht Bamberg gab der Klägerin teilweise Recht und sprach ihr 4.000 Euro Schadensersatz zu. Das Landesarbeitsgericht Nürnberg hob diese Entscheidung jedoch auf und wies die Klage insgesamt ab. In der Revision bestätigte das BAG die Entscheidung des LAG und stellte klar, dass die Klägerin keinen Schadensersatzanspruch hat.

Das BAG begründete seine Entscheidung mit zwei zentralen Punkten:

1. Kein automatischer Schadensersatz bei Verstößen gegen Art. 15 DS-GVO

• Ein Verstoß gegen die DS-GVO allein genügt nicht, um einen Schadensersatzanspruch aus Art. 82 Abs. 1 DS-GVO zu begründen.

• Neben dem Verstoß muss die klagende Person konkret darlegen, dass ihr daraus ein immaterieller Schaden entstanden ist.

2. Befürchtungen allein reichen nicht aus

• Der EuGH hat mehrfach entschieden, dass der Verlust der Kontrolle über personenbezogene Daten grundsätzlich ein immaterieller Schaden sein kann (EuGH, Urteil vom 11.04.2024 – C-741/21).

• Eine rein hypothetische Sorge vor einem möglichen Missbrauch durch Dritte reicht jedoch nicht aus, um einen Schaden geltend zu machen.

• Es muss geprüft werden, ob die konkrete Befürchtung des Betroffenen berechtigt ist und tatsächlich eine Beeinträchtigung darstellt.

Das BAG stellte klar, dass es in der Natur der Sache liegt, dass eine verweigerte Auskunft bei der betroffenen Person Sorgen und Unsicherheiten auslöst. Wenn allein diese subjektive Sorge als Schaden anerkannt würde, würde jeder Verstoß gegen Art. 15 DS-GVO automatisch zu einem Schadensersatzanspruch führen. Dies würde die gesetzliche Voraussetzung eines “Schadens” obsolet machen, was nicht mit der DS-GVO und dem nationalen Prozessrecht vereinbar ist.

Die Klägerin konnte jedoch keinen konkreten Nachweis dafür erbringen, dass ihr durch die verweigerte Auskunft ein realer Nachteil entstanden ist. Daher wurde ihr Antrag auf Schadensersatz abgewiesen.

Fazit Dieses Urteil stärkt die Position von Unternehmen und Arbeitgebern, indem es klarstellt, dass Schadensersatzansprüche nicht leichtfertig zugesprochen werden können. Zugleich zeigt es aber auch, dass Betroffene bei Datenschutzverstößen konkrete Schäden nachweisen müssen, um eine Entschädigung zu erhalten. Hypothetische oder allgemeine Sorgen um Datenschutz sind hierfür nicht ausreichend.