10.000 Euro Schadensersatz für eine verspätete Antwort auf das Auskunftsersuchen eines ehemaligen Mitarbeiters? Das Arbeitsgericht Duisburg verdonnerte ein Unternehmen zu der überraschend hohen Summe – und wurde schließlich vom Bundesarbeitsgericht (BAG) ausgebremst: Die Richter konnten zwar den Ärger verstehen, halten diesen aber nicht ausreichend für einen DSGVO-Schadensersatz.
Kontrollverlust wegen verspäteter Auskunft?
Der Kläger war den ganzen Dezember 2016 und damit kurzzeitig bei der Beklagten beschäftigt. Im Jahr 2020 beantragte er Auskunft über die Verarbeitung seiner personenbezogenen Daten gemäß Art. 15 DSGVO und erhielt diese. Zwei Jahre später, im Oktober 2022, stellte er erneut ein Auskunftsersuchen. Er wollte überprüfen, ob weiterhin Daten verarbeitet wurden. Die Beklagte reagierte zunächst nicht, so dass der Kläger sein Auskunftsersuchen unter Fristsetzung wiederholte. Erst nach erneuter Aufforderung erteilte die Beklagte eine Antwort, die der Kläger als unvollständig beanstandete.
Der Kläger machte daraufhin einen immateriellen Schaden wegen Kontrollverlusts über seine Daten geltend und forderte mindestens 2.000 Euro Schadenersatz. Das Arbeitsgericht Duisburg verurteilte die Beklagte zur Zahlung von Schadenersatz in Höhe von 10.000 Euro. In der Berufung wies das Landesarbeitsgericht Düsseldorf die Klage jedoch ab. Das BAG bestätigte letztlich diese Abweisung.
Datenmissbrauch muss objektiv nachvollziehbar sein
Das Bundesarbeitsgericht stellt in seiner Entscheidung vom 20. Februar 2025 (8 AZR 61/24) klar, dass ein Anspruch auf immateriellen Schadenersatz nach Art. 82 Abs. 1 DSGVO nur dann besteht, wenn ein konkreter Schaden vom Anspruchsteller substantiiert dargelegt und nachgewiesen wird. Zunächst betont das Gericht, dass allein ein Verstoß gegen die Datenschutz-Grundverordnung – etwa eine verspätete Auskunft nach Art. 15 DSGVO – nicht automatisch einen Entschädigungsanspruch begründet. Vielmehr müssen drei Voraussetzungen kumulativ erfüllt sein: ein Verstoß gegen die Verordnung, ein konkreter Schaden sowie ein kausaler Zusammenhang zwischen beidem.
Im konkreten Fall sei es dem Kläger nicht gelungen, einen tatsächlichen Kontrollverlust über seine personenbezogenen Daten nachzuweisen. Das Gericht stellte heraus, dass weder ein unzulässiger Datenabfluss noch eine missbräuchliche Verwendung der Daten behauptet wurde. Die bloße Behauptung emotionaler Reaktionen wie Sorge oder Ärger sei rechtlich nicht ausreichend, um einen immateriellen Schaden im Sinne der DSGVO zu begründen. Entscheidend sei, ob eine objektiv nachvollziehbare und begründete Befürchtung einer missbräuchlichen Datenverwendung vorliegt – ein bloß hypothetisches Risiko reicht nicht aus.
In seinem Urteil nimmt der BAG Bezug auf den EuGH: “Unter einem Kontrollverlust versteht der Gerichtshof der Europäischen Union daher nur eine Situation, in der die betroffene Person eine begründete Befürchtung des Datenmissbrauchs hegt. Das bloße Berufen auf eine bestimmte Gefühlslage reicht dabei nicht aus. Das Gericht hat vielmehr zu prüfen, ob das Gefühl unter Berücksichtigung der konkreten Umstände „als begründet angesehen werden kann“ (EuGH C-340/21). Dies setzt zwingend die Anwendung eines objektiven Maßstabs voraus. Je gravierender die Folgen eines Verstoßes gegen die Datenschutz-Grundverordnung sind, desto näher liegt eine begründete Befürchtung des Datenmissbrauchs. So wird die Veröffentlichung von sensiblen Daten im Internet aufgrund eines Datenlecks typischerweise eine Grundlage für solche Befürchtungen darstellen. Eine nur verspätete Auskunft begründet demgegenüber für sich genommen keinen Kontrollverlust über Daten iSd. Gefahr einer missbräuchlichen Verwendung, sondern nur einen Zeitverzug hinsichtlich der Auskunft.”
BGH lässt Kontrollverlust für DSGVO-Schadensersatz genügen
Im Gegensatz zum BAG lässt der BGH einen behaupteten Kontrollverlust für einen Schadensersatz ausreichen.
So hat der BGH hat im Scraping-Urteil gegen Facebook die immateriellen Schadensersatzansprüche der Betroffenen bei Datenschutzverstößen gestärkt. Durch die Anerkennung des bloßen Kontrollverlusts als Schaden entfällt die Notwendigkeit des Nachweises konkreter psychischer oder materieller Folgen.
Lese-Tipp: Facebook-Scraping – BGH spricht Nutzern Schadensersatz zu
Mit Urteil vom 11. Februar 2025 (Az. VI ZR 365/22) hat der BGH zudem anerkannt, dass bereits der Kontrollverlust über personenbezogene Daten einen ersatzfähigen immateriellen Schaden darstellen kann – auch ohne dass ein konkreter weiterer Nachteil nachgewiesen werden muss.
Allerdings begrenzt der BGH den Schaden regelmäßig auf einen niedrigen dreistelligen Betrag – womit der Schadensersatz schon fast symbolischen Charakter erhält.
Auswirkungen für die Praxis
Betroffene Mitarbeiter oder ehemalige Mitarbeiter müssen künftig konkrete und nachvollziehbare immaterielle Schäden darlegen. Allgemeine Gefühle wie Ärger oder Frustration („genervt sein“) reichen nicht mehr aus. Dies erhöht die Hürden für Schadensersatzforderungen erheblich.
Verantwortliche Unternehmen können dagegen aufatmen: Ein Verstoß gegen die DSGVO im arbeitsrechtlichen Umfeld führt nicht automatisch zu einem Zahlungsanspruch. Dennoch bleibt die Pflicht, fristgerecht und umfassend Auskunft zu erteilen – auch, um Image- und Reputationsschäden zu vermeiden.
Quelle: Urteil des Bundesarbeitsgerichts vom 20. Februar 2025 (8 AZR 61/24)
German 
English 
Italian 
French