„Genervt sein“ reicht nicht: Das BAG hat entschieden, dass eine verspätete DSGVO-Auskunft allein keinen Anspruch auf immateriellen Schadenersatz begründet. Nur wer konkrete Nachteile oder reale Missbrauchsgefahr belegt, kann Geld sehen.
Eine verspätete Auskunft über gespeicherte personenbezogene Daten allein begründet noch keinen Anspruch auf Schadenersatz. Das hat das Bundesarbeitsgericht (BAG) entschieden. Wer sich auf einen immateriellen Schaden nach Art. 82 Abs. 1 DSGVO beruft, muss mehr liefern als ein ungutes Gefühl. Ein Schaden im Rechtssinn liege nur vor, wenn konkrete Nachteile eingetreten seien oder eine reale Gefahr eines Datenmissbrauchs bestanden habe. Die bloße Verzögerung reiche nicht aus (BAG, Urteil vom 20. Februar 2025, Az. 8 AZR 61/24).
DSGVO-Auskunft: Wann liegt ein Schaden vor?
Ein Arbeitnehmer wollte es genau wissen. Sechs Jahre nach seinem Ausscheiden aus einem Unternehmen verlangte er erneut Auskunft darüber, welche personenbezogenen Daten seine frühere Arbeitgeberin noch über ihn gespeichert hatte. Bereits 2020 hatte er schon einmal eine solche Auskunft erhalten. Doch dieses Mal ließ das Unternehmen die gesetzte Frist kommentarlos verstreichen. Erst auf eine weitere Aufforderung hin reagierte die Firma.
Als die Antwort kam, war der Mann unzufrieden. Die Informationen seien unvollständig, wichtige Angaben fehlten. Noch einmal musste er schriftlich nachlegen. Erst im Dezember, also rund zwei Monate nach dem ersten Verlangen, kam die gewünschte Auskunft. Zu spät, fand der frühere Mitarbeiter. Er forderte 2.000 Euro Entschädigung. Die Verzögerung habe ihn verunsichert. Er fürchtete, dass sein ehemaliger Arbeitgeber möglicherweise „Schindluder“ mit seinen Daten treibe. Die ganze Sache habe ihn zudem enorm genervt. Er habe sich ausgeliefert gefühlt und betonte, die wochenlange Ungewissheit sei für ihn eine starke Belastung gewesen. Ein Kontrollverlust über die eigenen Daten, so sein Argument, müsse auch als immaterieller Schaden anerkannt werden.
Neu für Unternehmen 🔥
Rundum-Datenschutz im Abo
Vermeiden Sie hohe Datenschutz-Bußgelder & Abmahnungen.
Mit unseren Datenschutz-Paketen ab 711 € mtl.
✓ Rechtssicherheit
✓ Abmahnschutz
✓ Persönliche Betreuung im Ernstfall
Die Anforderungen an den Datenschutz wechseln ständig: Hochautomatisierte Abmahnkanzleien spüren bestehende Datenschutzlücken in Sekunden auf und strafen Sie mit saftigen Bußgeldern ab! Bleiben Sie mit dem wöchentlichen Datenschutz-Update unserer Datenschutzpakete immer einen Schritt voraus. Mit dem Abmahnkostenschutz bieten wir Ihnen nicht nur Sicherheit, sondern auch die Gewissheit, dass Sie im Falle einer Abmahnung nicht allein sind.
Tatsächlich war das Arbeitsgericht dieser Ansicht gefolgt und hatte ihm sogar eine Entschädigung in Höhe von 10.000 Euro zugesprochen. Die Begründung: Eine solche Verzögerung der gesetzlich vorgeschriebenen Auskunft könne geeignet sein, ein erhebliches Unwohlsein und damit einen Schaden zu verursachen. Diese Entscheidung hielt jedoch nicht lange stand. Schon das Landesarbeitsgericht wies die Klage ab und stellte klar, dass der bloße Unmut über eine verspätete Antwort keine Geldentschädigung rechtfertige. Der Fall ging weiter zum BAG, welches nun ein deutliches Zeichen setzte.
Reale Gefahr statt abstrakter Sorge
Das BAG entschied, dass allein die Verzögerung einer Auskunft nach Art. 15 DSGVO nicht automatisch einen Schaden im Sinne von Art. 82 DSGVO zur Folge habe. Es betonte, dass für einen Schadenersatzanspruch drei Voraussetzungen kumulativ vorliegen müssten: ein Verstoß gegen die DSGVO, ein eingetretener Schaden und ein Kausalzusammenhang zwischen beiden.
Eine verspätete Auskunftserteilung könne zwar grundsätzlich ein Verstoß gegen die DSGVO sein. Entscheidend sei aber, ob durch diesen Verstoß auch ein konkreter Schaden entstanden sei. Genau daran habe es in dem Fall aber gefehlt.
Kontrollverlust durch verspätete DSGVO-Auskunft?
Und auch ein immaterieller Schaden könne laut BAG in einem Kontrollverlust über personenbezogene Daten bestehen. Voraussetzung sei jedoch, dass der Betroffene nachvollziehbar darlege, wie genau es zu einem solchen Kontrollverlust gekommen sei. Dies könne etwa dann der Fall sein, wenn ein Datenmissbrauch stattgefunden habe oder konkrete Anhaltspunkte für einen solchen Missbrauch bestünden. Ein rein hypothetisches Risiko reiche nicht. Auch die bloße Sorge, es könne etwas passieren, genüge nicht. Vielmehr sei zu prüfen, ob die befürchtete Gefahr aufgrund der konkreten Umstände objektiv nachvollziehbar sei. Nur dann könne ein Gericht von einem tatsächlichen Schaden ausgehen.
Im konkreten Fall habe der Mann aber zu keinem Zeitpunkt konkrete Hinweise auf einen Datenabfluss oder eine unzulässige Datenverarbeitung gegeben. Auch sei unbestritten gewesen, dass er bereits im Jahr 2020 eine umfassende Auskunft erhalten habe. Hinweise darauf, dass die neuen Informationen aus dem Jahr 2022 deutlich von den alten abwichen oder gar neue, kritische Inhalte enthielten, habe er nicht gemacht. Daher habe keine reale Gefahr eines Missbrauchs bestanden. Die Angaben des Klägers zu seiner inneren Befindlichkeit, also seine Sorgen und sein „Genervtsein“, würden zwar seine subjektive Belastung widerspiegeln. Diese allein begründeten aber keinen Anspruch auf Entschädigung.
Verstoß gegen DSGVO ohne Schadensersatz?
Das BAG nahm auch Stellung zur Frage, ob die verspätete Auskunft nicht allein schon aufgrund der Dauer der Unsicherheit einen immateriellen Schaden darstellen könne. Diese Frage verneinte ddas BAG. Wenn man dem Kläger folge, würde jeder Verstoß gegen die Fristvorgaben der DSGVO automatisch einen Schadensersatzanspruch auslösen. Das aber sei mit dem Wortlaut und der Systematik von Art. 82 DSGVO nicht vereinbar. Der Schaden müsse ein eigenständiges Tatbestandsmerkmal bleiben. Würde man dies anders sehen, würde der Artikel eine Straf- oder Abschreckungsfunktion erfüllen, die ihm gerade nicht zukomme. Der Anspruch diene lediglich dem Ausgleich real erlittenen Schadens.
Auch ein Vergleich mit ähnlichen Normen wie etwa § 15 Abs. 2 AGG, der Diskriminierungsopfern immateriellen Schadenersatz zuspricht, ändere daran nichts. Zwar sei dort die Rechtsverletzung selbst ausreichend, um eine Entschädigung zu rechtfertigen. Doch dies sei eine besondere gesetzgeberische Wertung, die nicht ohne Weiteres auf die DSGVO übertragen werden könne. Die DSGVO unterscheide klar zwischen Verstoß und Schaden. Nur wer beides belegen könne, habe Anspruch auf Geld.
Die Sache wurde daher vom BAG zur Entscheidung über den Schadenersatzanspruch an das Landesarbeitsgericht als Tatsacheninstanz zurückverwiesen.
WBS.LEGAL – Ihr Partner im Datenschutz! Schreiben Sie uns Ihr Anliegen direkt persönlich
Kontaktieren Sie uns gerne direkt für ein kostenloses Erstgespräch, in dem wir gemeinsam herausfinden, ob und wie wir Sie optimal unterstützen können.
