Eine nur verspätete Auskunft begründet keinen immateriellen Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO
BAG v. 20.2.2025 - 8 AZR 61/24Die Parteien streiten über einen Anspruch auf Schadensersatz nach Art. 82 Abs. 1 DSGVO wegen eines Verstoßes gegen die Auskunftspflicht nach Art. 15 DSGVO.
Mit Schreiben vom 1.10.2022 begehrte der Kläger von der Beklagten Auskunft bzgl. der Verarbeitung seiner personenbezogenen Daten und setzte hierfür eine Frist bis zum 16.10.2022. Als die Beklagte hierauf nicht reagierte, erneuerte er sein Verlangen mit Schreiben vom 21.10.2022 unter Fristsetzung bis zum 31.10.2022. Mit Schreiben vom 27.10.2022 erteilte die Beklagte eine ihrer Ansicht nach ausreichende Auskunft.
Der Kläger beanstandete mit Schreiben vom 4.11.2022, dass die erteilte Auskunft bzgl. der Dauer der Datenspeicherung, der Angabe der Empfänger und der Vollständigkeit der Datenkopie unzureichend sei. Nach einem weiteren Schriftwechsel erteilte die Beklagte mit Schreiben vom 1.12.2022 die gewünschten Auskünfte. Der Kläger verlangte daraufhin erfolglos die Zahlung einer "Geldentschädigung" nach Art. 82 Abs. 1 DSGVO. Mit seiner Klage hat er dieses Ziel weiterverfolgt.
Der Kläger hat die Auffassung vertreten, die Beklagte habe mit der nach Art. 12 Abs. 3 DSGVO verspäteten Auskunft iSd. Art. 82 Abs. 1 DSGVO gegen die Datenschutz-Grundverordnung verstoßen. Er habe deshalb einen Anspruch auf Schadensersatz. Es bestehe ein immaterieller Schaden in Form eines wochenlangen Kontrollverlusts bzgl. der Datenverarbeitung. Er habe deshalb etwaige Rechte nicht ausüben können. Der Vorgang rufe bei ihm zudem ein erhebliches Maß an Sorge bzgl. des Schicksals seiner Daten hervor. Er habe Angst, dass die Beklagte "Schindluder" mit seinen Daten treibe. Außerdem sei er wegen des durch die Beklagte verursachten Aufwands der Rechtsverfolgung "genervt".
Das ArbG verurteilte die Beklagte zur Zahlung von Schadensersatz iHv. 10.000 €. Auf die Berufung der Beklagten hat das LAG dieses Urteil abgeändert und die Klage abgewiesen. Die Revision des Klägers hatte vor dem BAG keinen Erfolg.
Die Gründe:
Die Revision vertritt die Auffassung, eine verspätete Auskunftserteilung bewirke einen Kontrollverlust, der ohne weitere Voraussetzung einen Schaden iSv. Art. 82 Abs. 1 DSGVO darstelle. Dies ist aber unzutreffend.
Zwar kann ein Kontrollverlust auch dann gegeben sein, wenn konkret keine missbräuchliche Verwendung der betreffenden Daten zum Nachteil der geschützten Person erfolgt sein sollte (vgl. EuGH 4.10.2024 - C-200/23), denn es kann die entsprechende Gefahr bestanden haben. Die durch einen Verstoß gegen die Datenschutz-Grundverordnung ausgelöste Befürchtung einer betroffenen Person, ihre personenbezogenen Daten könnten von Dritten missbräuchlich verwendet werden, kann für sich genommen einen immateriellen Schaden iSv. Art. 82 Abs. 1 DSGVO darstellen (EuGH 25.1.2024 - C-687/21). Das rein hypothetische Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten kann jedoch nicht zu einer Entschädigung führen (BAG 20.6.2024 - 8 AZR 124/23).
Unter einem Kontrollverlust versteht der EuGH daher nur eine Situation, in der die betroffene Person eine begründete Befürchtung des Datenmissbrauchs hegt. Das bloße Berufen auf eine bestimmte Gefühlslage reicht dabei nicht aus. Das Gericht hat vielmehr zu prüfen, ob das Gefühl unter Berücksichtigung der konkreten Umstände "als begründet angesehen werden kann" (EuGH 14.12.2023 - C-340/21). Dies setzt zwingend die Anwendung eines objektiven Maßstabs voraus (BAG 25.7.2024 - 8 AZR 225/23). Je gravierender die Folgen eines Verstoßes gegen die Datenschutz-Grundverordnung sind, desto näher liegt eine begründete Befürchtung des Datenmissbrauchs. So wird die Veröffentlichung von sensiblen Daten im Internet aufgrund eines Datenlecks typischerweise eine Grundlage für solche Befürchtungen darstellen.
Eine nur verspätete Auskunft begründet demgegenüber für sich genommen keinen Kontrollverlust über Daten iSd. Gefahr einer missbräuchlichen Verwendung, sondern nur einen Zeitverzug hinsichtlich der Auskunft. Entgegen der Auffassung der Revision ist es dabei ohne Belang, dass Art. 12 Abs. 3 Satz 1 DSGVO die unverzügliche Erteilung der Informationen als Regelfall vorsieht und den Zeitraum der Ungewissheit damit auf ein Minimum verkürzt. Eine ungerechtfertigte Verzögerung lässt dessen ungeachtet ohne weitere Anhaltspunkte nicht auf einen Datenmissbrauch schließen.
Die vom Kläger im vorliegenden Rechtsstreit geschilderte Gefühlslage begründet demnach keinen Schaden im Zusammenhang mit einem Kontrollverlust. Der Kläger hat - wovon das LAG zu Recht ausgegangen ist - keine konkreten Befürchtungen einer missbräuchlichen Verwendung seiner Daten dargelegt.
Das LAG hat ausgehend vom Vorbringen des Klägers auch einen Schaden in Form von negativen Gefühlen allein wegen der verspäteten Erfüllung des Auskunftsanspruchs rechtsfehlerfrei verneint.
Beratermodul Datenschutzrecht:
Das Komplettangebot zum Datenschutzrecht: Das Beratermodul Datenschutzrecht bündelt die Inhalte der erstklassigen Standardwerke zum Datenschutzrecht aus den Verlagen Dr. Otto Schmidt und C.F. Müller. 4 Wochen gratis nutzen!
Otto Schmidt Answers optional dazu buchen und die KI 4 Wochen gratis nutzen! Die Answers-Lizenz gilt für alle Answers-fähigen Module, die Sie im Abo oder im Test nutzen.