20.03.2024

Immaterieller Schadensersatz nach Art. 82 DSGVO – EuGH-Rechtsprechung entwickelt Konturen

Portrait von Jonas Singraven
Jonas Singraven

Verletzt der Arbeitgeber datenschutzrechtliche Vorgaben, kann der betroffene Arbeitnehmer nach Art. 82 DSGVO Ersatz der ihm durch die Rechtsverletzung entstandenen Schäden verlangen. Das Besondere: Auch immaterielle Schäden sind ersatzfähig. Deshalb ergibt sich die sehr praxisrelevante Frage, was solch ein immaterieller Schaden eigentlich ist und wie er monetär beziffert wird.

1. Hintergrund

Im Rahmen von arbeitsrechtlichen Rechtsstreitigkeiten, z.B. über ausgesprochene Kündigungen, wird es auf Arbeitnehmerseite immer beliebter, eine "zweite Frontlinie" über das Datenschutzrecht aufzubauen. Hierzu gehört, tatsächliche oder vermeintliche Verstöße gegen datenschutzrechtliche Vorgaben zu argumentieren und Ansprüche auf immateriellen Schadensersatz nach Art. 82 DSGVO geltend zu machen. Da der Arbeitgeber generell in jedem Arbeitsverhältnis und speziell für die Begründung einer Kündigung notgedrungen eine Vielzahl personenbezogener Daten verarbeiten muss und da viele datenschutzrechtliche Fragen wertungsabhängig und nach wie vor höchstrichterlich ungeklärt sind, ergibt sich mit einiger Kreativität eine ganze Bandbreite von Argumentationsansätzen dahingehend, was der Arbeitgeber angeblich alles falsch gemacht haben soll. Ggf. lässt sich auf diese Weise die Abfindungssumme "nach oben treiben".

Die Frage ist nur: Lohnt sich das? Wie sehr muss der Arbeitgeber diese Argumentationsansätze fürchten? Dies hängt maßgeblich davon ab, ob sich begründen lässt, dass die behaupteten Datenschutzverstöße zu einem immateriellen Schaden geführt haben und wie hoch die monetäre Zahlung ist, die der Arbeitgeber zu deren Ausgleich ggf. leisten muss.

2. Aktuelle Rechtsprechung des EuGH

Mittlerweile hat der EuGH fünf richtungsweisende Entscheidungen getroffen, mit denen die Anforderungen an einen immateriellen Schadensersatzanspruch und die Kriterien für dessen Bemessung näher konturiert wurden (Urt. v. 25.01.2024 – C‑687/21; Urt. v. 21.12.2023 – C-667/21;  Urt. v. 14.12.2023 – C-456/22; Urt. 14.12.2023 – C‑340/21, ArbRB 2023, 131 (Grimm); Urt. v. 04.05.2023 – C-300/21). Bislang hat der EuGH die folgenden Grundsätze aufgestellt:

  • Allein ein Verstoß gegen die DSGVO begründet noch keinen immateriellen Schadensersatzanspruch.
  • Der Arbeitnehmer muss gesondert darlegen und ggf. nachweisen, dass ihm ein immaterieller Schaden entstanden ist, der durch den Verstoß gegen die DSGVO verursacht wurde.
  • Die Anforderungen an einen immateriellen Schaden sind allerdings gering. Eine Erheblichkeitsschwelle oder Bagatellgrenze gibt es nicht. Eine objektive Beeinträchtigung wird ebenfalls nicht verlangt. Allein das subjektive Leiden unter der Befürchtung, dass personenbezogene Daten aufgrund eines Verstoßes in Zukunft missbräuchlich von Dritten verwendet werden könnten, kann einen immateriellen Schaden darstellen. Allerdings ist gerichtlich zu überprüfen, ob diese Befürchtung begründet oder bloß vorgeschoben erscheint.
  • Der Schadensersatz erfolgt in Form einer finanziellen Entschädigung. Diese hat allerdings keine Abschreckungs- oder Straffunktion. Die Schwere des Verstoßes und der Grad des Verschuldens müssen bei der Bemessung deshalb nicht berücksichtigt werden. Stattdessen soll die Entschädigung so bemessen werden, dass sie den immateriellen Schaden ausgleicht, d.h. das Gewicht des Schadens bestimmt die Höhe der Entschädigungszahlung.
3. Konsequenzen

Auf Verstößen gegen die DSGVO können regelmäßig immaterielle Schadensersatzansprüche gestützt werden. Allein die subjektive Befürchtung, dass wegen einer unzulässigen Datenverarbeitung ggf. Dritte auf die Daten Zugriff genommen und diese missbraucht haben, kann einen Schadensersatzanspruch begründen, wenn diese sachlich gerechtfertigt erscheint.

Aber: Ist nur ein Bagatellschaden entstanden, erhält der Arbeitnehmer als finanzielle Kompensation auch nur einen monetären Bagatellbetrag. Der Schadensersatz dient nämlich allein dem Schadensausgleich, nicht aber der Bestrafung des Arbeitgebers. Ob sich dafür die rechtliche Auseinandersetzung überhaupt "lohnt", muss der Arbeitnehmeranwalt abwägen. Für eine Zusammenstellung der bislang in Deutschland zugesprochenen Schadensersatzansprüche vgl. DSGVO-Schadensersatz: Übersicht über aktuelle Urteile und Entwicklungen (laufend aktualisiert) (cmshs-bloggt.de).

Durch den EuGH ungeklärt ist die derzeit sehr praxisrelevante Frage, ob ein immaterieller Schaden allein darin bestehen kann, dass der Arbeitgeber einen Auskunftsantrag nach Art. 15 DSGVO nicht, verspätet oder nur unvollständig erfüllt (dafür LAG Baden-Württemberg, Urt. v. 28.07.2023 – 9 Sa 73/21; LAG Hessen, Urt. v. 27.01.2023 – 14 Sa 359/22; LAG Berlin-Brandenburg, Urt. v. 18.11.2021 – 10 Sa 443/21; LAG Niedersachsen, Urt. v. 22.10.2021 – 16 Sa 761/20; ArbG Duisburg, Urt. v. 03.11.2023 – 5 Ca 877/23; ArbG Oldenburg, Urt. v. 09.02.2023 – 3 Ca 150/21; ablehnend: LAG Baden-Württemberg, Urt. v. 27.07.2023 – 3 Sa 33/22; LAG Nürnberg, Urt. v. 25.01.2023 – 4 Sa 201/22; LAG, Urt. v. 02.12.2022 – 19 Sa 756/22). Insoweit ist die weitere Rechtsprechung des EuGH abzuwarten.

Zurück