Immer häufiger machen Bewerberinnen und Bewerber sowie Arbeitnehmerinnen und Arbeitnehmer nach einem Auskunftsersuchen gemäß Art. 15 DSGVO Schadensersatzansprüche wegen eines Verstoßes gegen datenschutzrechtliche Vorschriften geltend.
In der gerichtlichen Praxis nimmt die Zahl der Fälle zu, in denen natürliche Personen immateriellen Schadensersatz („Schmerzensgeld“) nach Art. 82 DSGVO verlangen.
Einer dieser Fälle wurde vom Landesarbeitsgericht Hamburg (Urteil vom 15. Januar 2025, Az. 2 Sa 21/23) entschieden. Das Gericht setzte sich darin ausführlich mit den Voraussetzungen der Haftung nach Art. 82 DSGVO auseinander.
Sachverhalt
Ein Bewerber, dessen Bewerbung abgelehnt worden war, verlangte vom Unternehmen umfassende Auskunft sowie Kopien sämtlicher von diesem verarbeiteten personenbezogenen Daten. Der Arbeitgeber erteilte jedoch nur teilweise Auskunft. Daraufhin erhob der Bewerber Klage und verlangte unter anderem eine Entschädigung für immaterielle Schäden in Höhe von mindestens 5.000 EUR.
Entscheidung des Gerichts
Das Landesarbeitsgericht wies die Klage ab, da nicht alle Voraussetzungen des Art. 82 DSGVO erfüllt waren.
Nach dieser Vorschrift setzt ein Schadensersatzanspruch das kumulative Vorliegen von drei Voraussetzungen voraus:
- Verstoß gegen Bestimmungen der DSGVO,
- Eintritt eines Schadens (materiell oder immateriell) sowie
- Kausalität zwischen dem Verstoß und dem eingetretenen Schaden.
Das Gericht verwies dabei auf die Auslegung des Europäischen Gerichtshofs (EuGH) im Urteil vom 11. April 2024 (C-741/21). Danach können negative Empfindungen wie Angst, Bedrohungsgefühl oder Kontrollverlust über personenbezogene Daten grundsätzlich als immaterieller Schaden anerkannt werden – jedoch nur, wenn diese Empfindungen objektiv gerechtfertigt und im konkreten Einzelfall nachvollziehbar sind.
Nach Auffassung des LAG Hamburg reichen folgende Umstände nicht aus, um einen ersatzfähigen immateriellen Schaden zu begründen:
- eine abstrakte Befürchtung einer möglichen missbräuchlichen Datenverwendung ,
- Stress oder Unbehagen infolge der gerichtlichen Auseinandersetzung selbst,
- ein bloßes Gefühl des Kontrollverlusts über personenbezogene Daten aufgrund unvollständiger Auskunft.
Praktische Schlussfolgerungen für Arbeitgeber
Pflicht zur vollständigen und fristgerechten Auskunft nach Art. 15 DSGVO
Arbeitgeber müssen Auskunftsersuchen sorgfältig, vollständig und innerhalb der gesetzlichen Frist beantworten. Eine unvollständige oder verspätete Antwort kann bereits einen Datenschutzverstoß darstellen.
Bedeutung einer lückenlosen Dokumentation
Es empfiehlt sich, den gesamten Ablauf der Bearbeitung von Auskunftsersuchen zu dokumentieren – vom Eingang des Antrags bis zur Übermittlung der Antwort. Diese Dokumentation kann in einem späteren Rechtsstreit entscheidend sein.
Beweislast liegt bei der anspruchstellenden Person
Die betroffene Person muss nachweisen, dass der Datenschutzverstoß tatsächlich zu einem Schaden oder einer spürbaren Beeinträchtigung geführt hat. Ein bloßer Verstoß gegen die DSGVO begründet ohne Nachweis eines Schadens keinen Anspruch auf Schadensersatz.
Grau Rechtsanwälte PartGmbB berät auditiert und unterstützt Unternehmen im Bereich des Datenschutzes. auch als externer Datenschutzbeauftragter.
Bei weiteren Fragen wenden Sie sich bitte an unsere Kanzlei unter +49 (0) 40 180 364 020 oder kontakt@graulaw.eu.
