Die verspätete Erteilung der nach Art. 15 DSGVO geschuldeten Auskunft begründet für sich genommen keinen immateriellen Schaden i.S.v. Art. 82 Abs. 1 DSGVO. Es handelt sich nur um einen zeitlichen Verzug. Hiervon unberührt bleibt die Geltendmachung eines etwaigen materiellen Schadens (Rn 17 ff.).
Orientierungssätze der Richter des BAG
I. Der Fall
Auskunftsverlangen nach Art. 15 DSGVO
Der nach lediglich einmonatiger Beschäftigung bei der Beklagten Ende 2016 ausgeschiedene Kläger verlangte erstmals im Jahr 2020 Auskunft über seine von der Beklagten verarbeiteten personenbezogenen Daten. Die Beklagte erteilte ihm die gewünschte Auskunft. Mit Schreiben vom 1.10.2022 begehrte der Kläger erneut Auskunft von der Beklagten über eine etwaig noch andauernde Verarbeitung seiner personenbezogenen Daten. Die Beklagte erteilte dem Kläger nach Ablauf der von ihm gesetzten Frist zur Auskunftserteilung (16.10.2022) am 27.10.2022 Auskunft, die der Kläger jedoch wegen Unvollständigkeit, fehlender Angaben zur Dauer der Datenspeicherung und zu den Empfängern seiner Daten als unzureichend beanstandete. Nach weiterer Korrespondenz zwischen den Parteien erteilte die Beklagte mit Schreiben vom 1.12.2022 die gewünschten Auskünfte.
Forderung einer Geldentschädigung wegen Kontrollverlustes bzgl. der Datenverarbeitung
Nach erfolgloser Geltendmachung einer Geldentschädigung nach Art. 82 Abs. 1 DSGVO wegen verspäteter Auskunft gegenüber der Beklagten erhob der Kläger beim Arbeitsgericht Klage auf Zahlung von Schadensersatz in Höhe eines vom Gericht zu bestimmenden, einen Betrag von 2.000 EUR aber nicht unterschreitenden Betrag. Der Kläger begründete seine Klage unter anderem damit, dass er wegen der verspäteten Auskunft der Beklagten einem wochenlangen Kontrollverlust seiner Daten erlitten habe. Er habe daher Angst, dass die Beklagte „Schindluder“ mit seinen Daten treibe. Auch sei er wegen des durch die Beklagte verursachten Aufwands der Rechtsverfolgung „genervt“.
Verfahrensgang
Das Arbeitsgericht sprach dem Kläger einen Schadensersatz in Höhe von 10.000 EUR zu (ArbG Duisburg, Urt. v. 23.3.2023 – 3 Ca 44/23). Auf die Berufung der Beklagten gegen das erstinstanzliche Urteil änderte das Landesarbeitsgericht das Urteil ab und wies die Klage ab (LAG Düsseldorf, Urt. v. 28.11.2023 – 3 Sa 285/23). Die (zugelassene) Revision blieb erfolglos.
II. Die Entscheidung
Fehlen eines Schadens
Das Bundesarbeitsgericht wies die Revision des Klägers wegen fehlender Darlegung eines Schadens zurück. Zwar könne schon der kurzzeitige Verlust der Kontrolle über personenbezogene Daten einen zum Schadensersatz berechtigenden immateriellen Schaden i.S.v. Art. 82 Abs. 1 DSGVO darstellen, sofern der Nachweis eines tatsächlich erlittenen immateriellen Schadens, so geringfügig er auch sein möge, erbracht werden könne. Im Anschluss an die Rechtsprechung des EuGH (Urt. v. 25.1.2024 – C 687/21) führt der zuständige 8. Senat weiter aus, dass ein Kontrollverlust auch dann gegeben sein könne, wenn konkret keine missbräuchliche Verwendung der betreffenden Daten zum Nachteil der geschützten Person vorliege. Das rein hypothetische Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten könne jedoch nicht zu einer Entschädigung führen. Ein Kontrollverlust könne nur in einer Situation angenommen werden, in der die betroffene Person eine begründete Befürchtung des Datenmissbrauchs hege. Ob eine Befürchtung unter Berücksichtigung der konkreten Umstände als begründet angesehen werden könne, sei anhand eines objektiven Maßstabs zu prüfen. Je gravierender die Folgen eines Verstoßes gegen die DSGVO seien, desto näher liege eine begründete Befürchtung des Datenmissbrauchs.
verspätete Auskunft nicht hinreichend
Eine nur verspätete Auskunft begründe für sich genommen keinen Kontrollverlust über Daten im Sinne der Gefahr einer missbräuchlichen Verwendung, sondern nur einen Zeitverzug hinsichtlich der Auskunft. Entgegen der Auffassung der Revision sei es dabei ohne Belang, dass Art. 12 Abs. 3 Satz 1 DSGVO die unverzügliche Erteilung der Informationen als Regelfall vorsehe und den Zeitraum der Ungewissheit damit auf ein Minimum verkürze. Eine ungerechtfertigte Verzögerung lasse dessen ungeachtet ohne weitere Anhaltspunkte nicht auf einen Datenmissbrauch schließen.
pauschale Unmutsbekundungen nicht hinreichend
Das BAG stellt unter Rückgriff auf die eigene sowie die Entscheidungspraxis des EuGH (BAG Urt. v. 17.10.2024 – 8 AZR 215/23 u. EuGH Urt. v. 4.10.2024 – C-200/23) nochmals ausdrücklich fest, dass ein immaterieller Schaden allein in negativen Gefühlen bestehen könne. Da solche Gefühle für sich genommen nicht beweisbar seien, sei die Gesamtsituation und letztlich die Glaubwürdigkeit der jeweiligen Klagepartei auf der Grundlage eines substantiierten Sachvortrags zu beurteilen. Insoweit enthalte der Vortrag des Klägers bezüglich angeblich zu befürchtenden „Schindluders“ keine nachvollziehbare Begründung, zumal die Beklagte unstreitig in den vergangenen sechs Jahren kein „Schindluder“ getrieben habe. Ebenso stellten die behaupteten Emotionen wie Ärger oder Frust („genervt sein“) keine nachvollziehbare Begründung für einen immateriellen Schaden dar. Es handele sich hierbei nur um pauschal gehaltene Unmutsbekundungen.
III. Der Praxistipp
konkreter Schaden erforderlich
Wie zuvor bereits das Bundessozialgericht (Urt. v. 24.9.2024 – B 7 AS 15/23 R), gelangt auch das Bundesarbeitsgericht zu dem Ergebnis, dass allein ein Kontrollverlust über seine personenbezogenen Daten für sich genommen noch keinen immateriellen Schaden darstellt. Der Bundesgerichtshof hatte in seiner vielbeachteten Leitentscheidung zum Daten-Scraping auf Facebook demgegenüber entschieden, dass ein bloßer Kontrollverlust bereits – ohne Weiteres – einen immateriellen Schaden darstelle (BGH, Urt. v. 18.11.2024 – VI ZR 10/24). Anknüpfend hieran präzisiert das BAG nun, dass ein schadensersatzfähiger Kontrollverlust bei der Veröffentlichung sensitiver Daten im Internet aufgrund eines Datenlecks, wie er dem Sachverhalt des Scraping-Urteils des BGH zugrunde lag, typischerweise anzunehmen ist. Bei einer verspäteten Auskunftserteilung könne die Gefahr einer missbräuchlichen Verwendung der Daten indes nicht per se angenommen werden. Es bedarf daher in diesen Fällen einer konkreten, substantiellen Darlegung eines Schadens.
ungeklärte Fragen
Die Entscheidung des BAG bleibt leider abstrakt („je gravierender die Folgen eines Verstoßes gegen die DSGVO, desto näher liegt ein Schaden“) und enthält keine konkrete Richtschnur für die Frage, wann ein immaterieller Schaden bei verspäteter Auskunftserteilung anzunehmen ist. Ob ein Schaden bei einem durch eine verspätete Auskunft eingetretenen Kontrollverlust angenommen werden kann oder nicht, bleibt weiterhin der richterlichen Beweiswürdigung in jedem Einzelfall vorbehalten. Offengelassen hat das BAG auch die Frage, ob die Verletzung der Auskunftspflicht nach Art. 15 DSGVO i.V.m. Art. 12 Abs. 3 DSGVO einen immateriellen Schaden nach Art. 82 Abs. 1 DSGVO darstellt.
![Erbrecht im Gespräch: Kurze[s] Update: #15 Die Rechte des Erben vor dem Erbfall – mit Walter Krug](https://anwaltspraxis-magazin.de/wp-content/uploads/2025/05/Erbrecht-im-Gespraech-15-1024x536.jpeg)
