Rechtsanwältin, Fachanwältin für Informationstechnologierecht & Zertifizierte Datenschutzbeauftragte (TÜV)
T (+49) 040 / 7344 086-0
Fachanwalt für Urheber- und Medienrecht und Spezialist für Arbeitsrecht, Zertifizierter Datenschutzbeauftragter (TÜV)
T (+49) 040 / 7344 086-0
Blog News
Grundsätzlich gibt der Art. 82 Abs. 1 DSGVO (Datenschutz-Grundverordnung) die Möglichkeit auch bei immateriellen Schäden Schadensersatz zu fordern. Jedoch zeigt ein Rechtsstreit zwischen einer Arbeitnehmerin und ihrem ehemaligen Arbeitgeber, wie komplex die Durchsetzung von Auskunftsansprüchen und Schadensersatzansprüchen nach der Datenschutz-Grundverordnung sein kann.
Nachdem der Arbeitgeber die Auskunftsersuchen der Arbeitnehmerin verweigerte und stattdessen auf den Rechtsweg verwies, verlangte die Arbeitnehmerin Schadensersatz wegen des Kontrollverlusts über ihre personenbezogenen Daten sowie aufgrund eines vorsätzlichen Verstoßes gegen die DSGVO.
Das Bundesarbeitsgericht (BAG) wies die Revision jedoch zurück und stellte klar: Schadensersatz nach der DSGVO gibt es nur bei begründetem Schaden!
Gestritten haben ein Arbeitgeber und sein ehemaliger Arbeitnehmer. Ursprünglich ging es um erfolglose Gespräche über die Aufhebung eines Arbeitsverhältnisses.
2020 begehrte die Arbeitnehmerin Auskunft über die Verarbeitung ihrer personenbezogener Daten nach Art. 15 Abs. 1 DSGVO, sowie eine Kopie hiervon nach Art. 15 Abs. 3 DSGVO.
Dieser Aufforderung kam der Beklagte nicht nach und verwies stattdessen auf den Rechtsweg.
Die Klägerin verlangte nach Beendigung des Arbeitsverhältnisses nochmals Auskunft und zusätzlich ein Schadensersatz von mindestens 5.000 Euro, da die Verweigerung der Auskunft ein Verstoß gegen die Datenschutz-Grundverordnung (DSGVO) darstelle.
Durch die Verweigerung wurde der Klägerin die Möglichkeit der Überprüfung der Datenverarbeitung genommen. Dies führte zu einem spürbaren und erheblichen Kontrollverlust.
Dabei betonte die Klägerin, dass der Beklagte die Auskunft zudem vorsätzlich und böswillig verweigert habe.
Obwohl das Arbeitsgericht der Klägerin einen immateriellen Schadensersatz zugesprochen hatte, ging die Klägerin am Ende leer aus. Denn das Landesarbeitsgericht Nürnberg (LAG), welches in Folge der Berufung das Urteil teilweise abgeändert und die Klage insgesamt abgewiesen hat, sieht bereits keinen Verstoß im Sinne des Art. 82 DSGVO, da schon keine Datenverarbeitung vorläge.
Dabei machte das LAG deutlich, dass auch wenn ein Verstoß bejaht werden könnte, im vorliegenden Fall schon gar kein Schaden vorliegt. Denn die Nichterfüllung des Auskunftsanspruchs löst geradezu zwangsläufig die Sorge eines Verstoßes gegen sonstige Verpflichtungen aus der EU-DSGVO aus. Das würde dazu führen, dass jede Nichtauskunft gleichzeitig auch einen Schaden begründen würde.
Der Wortlaut des Art. 82 Abs. 1 DSGVO macht deutlich, dass das Vorliegen eines Schadens eine zwingende Voraussetzung für den Schadensersatz ist. Dieser ist neben dem Vorliegen eines Verstoßes gegen die DSGVO und einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß unabdingbar für einen Schadensersatz.
Der Gerichtshof der europäischen Union hat sich bereits zur Darlegungs- und Beweislast geäußert: Die Person, die auf der Grundlage von Art. 82 Abs. 1 DSGVO Ersatz eines immateriellen Schadens geltend machen will muss nicht nur den Verstoß gegen Bestimmungen der DSGVO nachweisen, sondern auch, dass ihr hierdurch ein Schaden entstanden ist.
Bereits die Erwägungsgründe der DSGVO benennen immaterielle Schadenspositionen als ersatzfähige Schäden. Hierunter zählt auch der Verlust der Kontrolle über die eigenen Daten.
Hierzu führte der Gerichtshof in Vergangenheit bereits näher aus, dass sogar der kurzzeitige Verlust der Kontrolle über solche Daten einen immateriellen Schaden darstellen kann.
Dies aber unter der Bedingung, dass die betroffene Person nachweisen kann, tatsächlich einen Schaden, so geringfügig er auch sein mag, erlitten zu haben.
Letzten Januar hat der EuGH bereits entschieden, dass auch eine durch einen Verstoß gegen die DSGVO ausgelöste Befürchtung, personenbezogene Daten könnten von Dritten missbräuchlich verwendet werden, für sich genommen einen immateriellen Schaden begründen können.
Jedoch machte er deutlich, dass ein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten allein nicht zu einer Entschädigung führen kann. Daher muss in diesen Fällen das nationale Gericht prüfen, ob die Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann.
Der Bundesgerichtshof (BGH) war bereits mit der Frage konfrontiert, ob negative Gefühle für die Annahme eines immateriellen Schadens i.S.d. Art 82 Abs. 1 DSGVO ausreichend sind oder darüber hinaus ein Nachteil für die Person erforderlich ist.
Diese Frage hat der EuGH zumindest in Bezug auf die Sorge vor Datenverlust, beziehungsweise unrechtmäßiger Datenverwendung, beantwortet:
Zwar können nach der Rechtsprechung des EuGH negative Gefühle einen Anspruch auf Ersatz eines immateriellen Schadens begründen, jedoch hat das Gericht dabei zu prüfen, ob das Gefühl unter Berücksichtigung der konkreten Umstände als begründet angesehen werden kann. Dabei muss zwingend ein objektiver Maßstab angewendet werden. Vor allem die objektive Bestimmung des Missbrauchsrisikos der Daten ist von erhöhter Bedeutung.
Dass die negativen Gefühle begründet werden müssen, steht dem Grundsatz nicht entgegen, dass der EuGH nicht verlangt, dass ein erlittener Nachteil spürbar oder eine Beeinträchtigung objektiv sein muss. Mit dieser Rechtsprechung hat er lediglich klargestellt, dass es keine Bagatellgrenze für einen Schaden gibt.
Dabei ist zu unterschieden, dass der objektive Maßstab nur für das konkrete Vorliegen eines Schadens, unabhängig von einer etwaigen Erheblichkeit oder Größe, eine Rolle spielt.
Besteht der Schaden in negativen Gefühlen, dir für sich genommen nicht beweisbar sind, hat das nationale Gericht die Gesamtsituation und letztlich auch die Glaubwürdigkeit der jeweiligen Klagepartei auf der Grundlage eines substantiierten Sachvortrages zu beurteilen.
- BAG Urt. v. 20.6.2024 – 8 AZR 124/23
Das Gericht machte deutlich, dass der Schadensersatz der DSGVO insbesondere bei Vorliegen eines immateriellen Schadens eine Ausgleichsfunktion und keine Abschreckungs- oder Straffunktion hat. Er soll den konkret aufgrund des Verstoßes erlittene Schaden vollständig ausgleichen. Besondere Spannungen mit dem Auskunftspflichtigen reichen daher nicht aus.
Die Klägerin hat im Verfahren geltend gemacht, dass die Auskunft sogar böswillig verweigert und auf den Rechtsweg hingewiesen wurde. Hieraus entsteht jedoch kein immaterieller Schaden, da wie auch zuvor nur die Ungewissheit bleibt.
Der Schadenersatzanspruch soll den Auskunftspflichtigen aber eben nicht bei (unrechtmäßiger) Verweigerung der Auskunft strafen, sondern lediglich einen tatsächlich vorliegenden Schaden ausgleichen.
Haben Sie noch Fragen rund ums Thema Datenschutzrecht oder dem Schadensersatz aus der DSGVO? Unser Team aus spezialisierten Anwälten ist in allen Belangen für Sie da!
Das Urteil zeigt mal wieder wie essentiell eine kompetente anwaltliche Vertretung ist. Wir von SBS LEGAL setzen Ihre Rechte durch: Egal ob die Durchsetzung von Ansprüchen vor Gericht oder die Abweisung von Klagen die gegen Sie erhoben wird. Vertrauen Sie auf unsere jahrelange Expertise im Datenschutzrecht und vereinbaren Sie noch heute ein unverbindliches Erstgespräch, unser Team freut sich auf Sie.