BAG zu Schadensersatz nach DSGVO: Sch­lechte Gefühls­lage reicht nicht

"Erhebliches Maß an Sorge bzgl. des Schicksals seiner Daten", Angst vor "Schindluder" mit den Daten und "genervt" von dem Aufwand der Rechtsverfolgung: Gut sechs Jahre nach seinem Ausscheiden wollte ein Arbeitnehmer Auskunft über die beim einstigen Arbeitgeber gespeicherten Daten. Und führte dabei deutliche Worte ins Feld, als die Antwort ihm nicht schnell genug kam. Den geforderten Schadensersatz bekam er schließlich jedoch nicht. Das Bundesarbeitsgericht (BAG) verlangt für einen Anspruch nach der Datenschutzgrundverordnung (DSGVO) nämlich mehr als ein Störgefühl des Betroffenen (Urt. v. 20.02.2025, Az.: 8 AZR 61/24). Es wird sich zeigen, wie wichtig diese Klarstellung ist.

Der spätere Kläger war nur im Jahr 2016 bei dem Arbeitgeber angestellt, doch das Anstellungsverhältnis beschäftigt beide Seiten noch Jahre danach: Erstmals hatte der ehemalige Arbeitnehmer im Jahr 2020 Auskunft über die von seinem früheren Arbeitgeber über ihn gespeicherten Daten verlangt, Art. 15 DSGVO. Nach dieser Norm können Betroffene die Information u.a. über die Art der gespeicherten persönlichen Informationen sowie Zweck und Dauer der Speicherung geltend machen.  

Der Mann bekam die Auskunft, allerdings erst auf eine Erinnerung hin. Die Angaben genügten ihm dann nicht, erst auf ein weiteres Schreiben bekam er alle gewünschten Informationen. In der Folge machte er eine "Geldentschädigung" nach Art. 82 Abs. 1 DSGVO wegen der verspäteten Auskunft gerichtlich geltend.  

Vor dem Arbeitsgericht (ArbG) Duisburg war der Mann zunächst erfolgreich: Das Gericht verurteilte den Arbeitgeber zur Zahlung von Schadensersatz in Höhe von 10.000 Euro (Urt. v. 23.032023, Az. 3 Ca 44/23). Allein die nicht unverzügliche, wenn auch innerhalb eines Monats erfolgte Unterrichtung könne den Schadensersatzanspruch begründen. In der Berufung lehnte das Landesarbeitsgericht (LAG) Düsseldorf den Anspruch hingegen ab (Urt. v. 28.11. 2023, Az. 3 Sa 285/23). Die Sache ging zum BAG. 

BAG verneint Schadensersatz 

Das BAG blieb auf der Linie des LAG: Der Mann könne keinen Schadensersatz für das mehrfache Auskunftsverlangen nach Art. 15 DSGVO im Jahr 2020 verlangen. Der Mann hatte nach Ansicht der Richter in Erfurt seinen Schaden nicht hinreichend dargelegt.  

Zwar besteht generell ein Auskunftsrecht gegenüber dem Arbeitgeber (Art. 15 DSGVO) und die Auskunft ist "unverzüglich, spätestens innerhalb eines Monats nach Eingang des Antrags" zu erteilen (Art. 12 Abs. 3 DSGVO). Bei einem Verstoß kann der Verantwortliche nach Art. 82 DSGVO zum Schadensersatz verpflichtet sein. Dafür braucht es nach Ansicht der Richter am 8. Senat allerdings einen Schaden.  

Nicht ausreichend sei die bloße Behauptung einer bestimmten Gefühlslage, wie beispielsweise ein "Kontrollverlust" hinsichtlich der persönlichen Daten, wie das BAG auch bereits in einer früheren Entscheidung klargestellt hatte* (BAG, Urt. v. 20.06.2024, Az. 8 AZR 124/23**). Die Sorge vor einem Datenmissbrauch könne zwar einen immateriellen Schaden iSv. Art. 82 Abs. 1 DSGVO darstellen, entschied das BAG in der damaligen Leitsatzentscheidung. Die bloße Äußerung entsprechender Befürchtungen reiche jedoch regelmäßig nicht für die Darlegung eines Schadens aus. 

Klar einen Schaden begründen kann hingegen zum Beispiel eine unzulässige Überwachung eines Arbeitnehmers durch einen Detektiv (BAG, Urt. v. 25.07.2024, Az. 8 AZR 225/23). In diesem Fall sei es aufgrund der mehrtägigen Überwachung im Wohnbereich selbsterklärend, dass ein Kontrollverlust gegeben sei und bedürfe keiner weiteren Erläuterung durch den Arbeitnehmer. 

BGH reicht der Kontrollverlust für Anspruch 

Auch der Bundesgerichtshof (BGH) hat sich bereits mit dem Schadensersatz aus der DSGVO befasst, in einem Grundsatzurteil ging es um das so genannte Scraping (BGH, Urt. v. 18.11.2024, Az. VI ZR 10/24). Dabei werden Daten automatisiert von Webseiten abgezogen, in diesem Fall ging es um Facebook. Der BGH entschied, dass ein behaupteter Kontrollverlust kein besonderes Gewicht haben, nicht weiter benennbar oder – im Gegensatz zu einer bloß subjektiven Empfindung – objektivierbar sein müsse.  

Diese Auffassung hat der BGH jüngst bestätigt und präzisiert (Urt. v. 11. 02.2025, Az. VI ZR 365/22). In diesem Fall argumentierte der BGH, der Schaden liege bereits in dem vorübergehenden Verlust der Kontrolle über die eigenen personenbezogenen Daten. Einer darüberhinausgehende "benennbare und insoweit tatsächliche Persönlichkeitsrechtsverletzung" bedürfe es nicht. 

Damit lässt der BGH anders als das BAG bereits einen behaupteten Kontrollverlust für einen Schadensersatzanspruch ausreichen, der dann aber regelmäßig nur einen niedrigen dreistelligen Betrag ausmachen könne. Für eine Erhöhung des Schadensersatzanspruchs könnten vorgetragene Umstände des Einzelfalls sprechen, die sich auf die konkreten Auswirkungen des Kontrollverlusts beziehen müssen, so der BGH. 

BAG will mehr als bloße Behauptung 

Diese Rechtsfrage beantwortet das BAG also deutlich abweichend, indem dort die pauschale Behauptung eines Verstoßes gegen die DSGVO für einen Schadensersatzanspruch nicht ausreicht: Die bloße Behauptung eines Kontrollverlustes – hier wegen einer vermeintlich verspäteten Datenübermittlung zum Zwecke der Auskunftserteilung – sei weder messbar noch objektivierbar und damit nicht ausreichend für die Darlegung eines entstandenen Schadens. 

Die Auffassung des BAG ist nachvollziehbar und entspricht den allgemeinen Darlegungsanforderungen der Zivilprozessordnung. Andernfalls gäbe es keine Hürde mehr für die Geltendmachung eines Schadensersatzanspruchs. Dies würde dem Missbrauch "Tür und Tor" öffnen. In diese Richtung argumentierte das BAG bereits in einer Entscheidung vom Juni 2024 (Urt. v. 20.06.2024, Az. 8 AZR 124/23). 

Das BAG setzt sich mit dieser Auffassung nicht in gelegentlich behaupteten Widerspruch zu den zwingend zu beachtenden Entscheidungen des Europäischen Gerichtshofs (EuGH). Nach dessen Rechtsprechung kann zwar ein bloßer Verstoß gegen die DSGVO im Grundsatz ausreichen, um einen Schadensersatzanspruch zu begründen (EuGH, Urt. v. 04.10.2024, Az. C-200/23). Wie das BAG zutreffend ausführt, bedeutet dies jedoch nicht, dass der Betroffene keinen Schaden darlegen muss. Denn die DSGVO hat im Hinblick auf die Rechtsgrundlage für Schadensersatzansprüche keinen Strafcharakter. Den hätte sie aber, wenn jeder Verstoß zwingend einen Schadensersatzanspruch des Betroffenen nach sich ziehen würde. Das BAG argumentiert daher berechtigterweise, dass es einen Unterschied zwischen dem Fall einer bloß verspäteten Datenauskunft gebe auf der einen Seite und auf der anderen Seite den Fällen eines Datenlecks wie in der ersten BGH-Entscheidung oder dem Fall der rechtswidrigen Überwachung mittels Detektivs. 

BAG setzt Hürden gegen Missbrauch 

Die aktuelle BAG-Entscheidung ist damit für die Praxis sehr hilfreich, da sie die Hürden für einen Missbrauch des Rechts auf Datenauskunft deutlich erhöht. Geschäftsmodellen wie dem "DSGVO-Hopping", das vermehrt Gegenstand arbeitsgerichtlicher Entscheidungen war, wird effektiv erschwert. In diesen Fällen machen erfolglose Bewerber neben dem Anspruch aus dem AGG inzwischen oft pauschal auch Ansprüche nach der DSGVO geltend, ähnlich geschieht es inzwischen oft pauschal nach Kündigungen. Derartiges könnte mit der BAG-Rechtsprechung, künftig seltener auftreten, da ein erheblicher individueller Sachvortrag erforderlich ist, der über textbausteinartige Floskeln hinausgeht. 

Es ist zu hoffen, dass sich das arbeitsrechtliche Datenschutzrecht nunmehr drängenden Fragen widmen kann, die das Spannungsverhältnis zwischen Schutz der Arbeitnehmerdaten und Nutzung der Daten im Sinne von technischer Innovation betrifft. Da es allerdings auch noch heute – lange nach den "ersten AGG-Hoppern" und den entsprechenden Gerichtsentscheidungen – diese Geschäftsmodelle gibt, macht das wenig Hoffnung, dass diese durch das BAG gestoppt werden könnten. Der Sachverhalt hätte jedenfalls ausreichend Anlass für Ausführungen zu einem etwaigen Rechtsmissbrauch (§ 242 Bürgerliches Gesetzbuch) gegeben, die in den Entscheidungsgründen jedoch leider fehlen. 

*Halbsatz eingefügt zur Präzisierung, red tap 06.05.2025, 11.13h
** Az korrigiert am 8.5.25, 9.51h red tap

Der Autor Dr. Anton Barrein ist Rechtsanwalt im Bereich Arbeitsrecht bei der Kanzlei activelaw in Hannover.