BAG, Urt. 20.6.2024 - 8 AZR 124/23
Kein Schadensersatz nach der DSGVO bei bloßer Befürchtung eines Datenmissbrauchs
Autor: RA FAArbR Dr. Detlef GrimmRA Dr. Sebastian Krülls LL.M., Loschelder Rechtsanwälte, Köln
Aus: Arbeits-Rechtsberater, Heft 11/2024
Aus: Arbeits-Rechtsberater, Heft 11/2024
Die Sorge vor einem Datenmissbrauch kann einen immateriellen Schaden i.S.v. Art. 82 Abs. 1 DSGVO darstellen. Die bloße Äußerung entsprechender Befürchtungen reicht jedoch für die Darlegung eines Schadens nicht aus.
ArbZG § 5; BGB § 133, 157, 611a Abs. 1, 612; MiLoG § 1 Abs. 2 Satz 1
Die Klägerin begehrt immateriellen Schadensersatz nach Art. 82 Abs. 1 DSGVO i.H.v. mindestens 5.000 €, weil sie einen Kontrollverlust über die Daten gehabt habe. Das LAG hat die Klage abgewiesen.
Nach dem ErwG 85 der DSGVO gelte der „Verlust der Kontrolle“ als möglicher Schaden. Selbst der kurzzeitige Verlust der Kontrolle über personenbezogene Daten könne daher einen „immateriellen Schaden“ i.S.v. Art. 82 Abs. 1 DSGVO darstellen (EuGH, Urt. v. 25.1.2024 – C-687/21 Rz. 66 – Media Markt/Saturn, DB 2024, 519). Auch die Sorge und Befürchtung vor einem Datenmissbrauch könne im Ausgangspunkt einen immateriellen Schaden darstellen.
Allerdings führe das rein hypothetische Risiko einer missbräuchlichen Verwendung durch einen unbefugten Dritten nicht zur Entschädigung. Deshalb müsse geprüft werden, ob eine solche Befürchtung unter den gegebenen Umständen als begründet angesehen werden könne. Dabei sei ein objektiver Maßstab anzulegen, was die objektive Bestimmung des Missbrauchsrisikos der Daten bedinge. Die bloße Berufung auf eine solche Gefühlslage genüge nicht.
Wenn der Auskunftsanspruch nach Art. 15 DSGVO nicht erfüllt werde, reiche alleine die Befürchtung weiterer Verstöße gegen die DSGVO für die Annahme eines Schadens nicht aus.
ArbZG § 5; BGB § 133, 157, 611a Abs. 1, 612; MiLoG § 1 Abs. 2 Satz 1
Das Problem
Die Klägerin und die beklagte Arbeitgeberin führten erfolglose Gespräche über einen Aufhebungsvertrag. Während der Gespräche begehrte die Klägerin Auskunft über die Verarbeitung ihrer Daten nach Art. 15 Abs. 1 DSGVO und eine Kopie der Daten nach Art. 15 Abs. 3 DSGVO. Im Kündigungsschutzprozess erteilte die Beklagte die Auskunft. Ob diese vollständig ist, ist streitig geblieben.Die Klägerin begehrt immateriellen Schadensersatz nach Art. 82 Abs. 1 DSGVO i.H.v. mindestens 5.000 €, weil sie einen Kontrollverlust über die Daten gehabt habe. Das LAG hat die Klage abgewiesen.
Die Entscheidung des Gerichts
Das BAG weist die Revision der Klägerin zurück. In Übereinstimmung mit dem EuGH stellt es heraus, dass der Anspruch auf Schadensersatz Folgendes voraussetzt:- einen Verstoß gegen die DSGVO,
- das Vorliegen eines Schadens und
- einen Kausalzusammenhang zwischen Verstoß gegen die DSGVO und Schaden.
Nach dem ErwG 85 der DSGVO gelte der „Verlust der Kontrolle“ als möglicher Schaden. Selbst der kurzzeitige Verlust der Kontrolle über personenbezogene Daten könne daher einen „immateriellen Schaden“ i.S.v. Art. 82 Abs. 1 DSGVO darstellen (EuGH, Urt. v. 25.1.2024 – C-687/21 Rz. 66 – Media Markt/Saturn, DB 2024, 519). Auch die Sorge und Befürchtung vor einem Datenmissbrauch könne im Ausgangspunkt einen immateriellen Schaden darstellen.
Allerdings führe das rein hypothetische Risiko einer missbräuchlichen Verwendung durch einen unbefugten Dritten nicht zur Entschädigung. Deshalb müsse geprüft werden, ob eine solche Befürchtung unter den gegebenen Umständen als begründet angesehen werden könne. Dabei sei ein objektiver Maßstab anzulegen, was die objektive Bestimmung des Missbrauchsrisikos der Daten bedinge. Die bloße Berufung auf eine solche Gefühlslage genüge nicht.
Wenn der Auskunftsanspruch nach Art. 15 DSGVO nicht erfüllt werde, reiche alleine die Befürchtung weiterer Verstöße gegen die DSGVO für die Annahme eines Schadens nicht aus.