R&W Abo Buch Datenbank Veranstaltungen Betriebs-Berater
 
Arbeitsrecht
24.10.2024
Arbeitsrecht
BAG: Schadenersatz nach Art. 82 Abs. 1 DSGVO – Darlegung des Schadens – Nichterfüllung des Auskunftsanspruchs nach Art. 15 DSGVO

BAG, Urteil vom 20.6.2024 – 8 AZR 124/23

ECLI:DE:BAG:2024:200624.U.8AZR124.23.0

Volltext: BB-Online BBL2024-2548-2

Orientierungssätze

1. Ein Anspruch auf Schadenersatz nach Art. 82 Abs. 1 DSGVO setzt kumulativ einen Verstoß gegen die Datenschutz-Grundverordnung, das Vorliegen eines Schadens und einen Kausalzusammenhang zwischen Verstoß und Schaden voraus. Der eingetretene Schaden muss keinen bestimmten Grad an Erheblichkeit aufweisen (Rn. 12).

2. Der Anspruchsteller hat das kumulative Vorliegen dieser drei Voraussetzungen darzulegen und ggf. zu beweisen (Rn. 13).

3. Ob ein Verstoß gegen die Datenschutz-Grundverordnung vorliegt, hat das erkennende Gericht bei freier Beweiswürdigung nach § 286 Abs. 1 ZPO zu beurteilen. Bezüglich der Entstehung und der Höhe des Schadens mindert sich das Beweismaß nach § 287 Abs. 1 ZPO (Rn. 16).

4. Ein immaterieller Schaden iSv. Art. 82 Abs. 1 DSGVO kann im Verlust der Kontrolle über Daten liegen. Dabei kann die Sorge vor einem Datenmissbrauch für sich genommen einen immateriellen Schaden darstellen. Es ist jedoch zu prüfen, ob eine solche Befürchtung unter den gegebenen Umständen als begründet angesehen werden kann. Dabei ist ein objektiver Maßstab anzulegen (Rn. 15).

5. Wird der Anspruch auf Auskunft nach Art. 15 DSGVO nicht erfüllt, reicht allein die Befürchtung weiterer Verstöße gegen die Datenschutz-Grundverordnung für die Annahme eines Schadens nicht aus (Rn. 18).

 

▄Leitsatz

Die Sorge vor einem Datenmissbrauch kann einen immateriellen Schaden iSv. Art. 82 Abs. 1 DSGVO darstellen. Die bloße Äußerung entsprechender Befürchtungen reicht jedoch für die Darlegung eines Schadens nicht aus.

Sachverhalt

Die Parteien streiten in der Revision noch über einen Anspruch auf Schadenersatz nach Art. 82 Abs. 1 DSGVO.

Zwischen den Parteien wurden seit April 2020 letztlich erfolglose Gespräche über die Aufhebung des seit März 2014 bestehenden Arbeitsverhältnisses geführt. Mit Schreiben ihrer Prozessbevollmächtigten vom 12. Juni 2020 begehrte die Klägerin von der Beklagten Auskunft über die Verarbeitung personenbezogener Daten nach Art. 15 Abs. 1 DSGVO sowie eine Kopie dieser Daten nach Art. 15 Abs. 3 DSGVO. Der Prozessbevollmächtigte der Beklagten lehnte diese Auskunft mit Schreiben vom 17. Juni 2020 wie folgt ab:

„Mit Ihrem Auskunftsverlangen beeindrucken Sie niemanden. Bitte klagen Sie den Anspruch ein, wenn Ihre Mandantin meint, das Arbeitsverhältnis auf diese Weise fortsetzen zu müssen.“

Nach der Beendigung des Arbeitsverhältnisses durch fristgemäße Kündigung der Klägerin hat sie die verweigerte Auskunft sowie die Erteilung der geforderten Kopie im Klagewege geltend gemacht. Zudem hat sie wegen dieses Verstoßes gegen die Datenschutz-Grundverordnung auf der Grundlage von Art. 82 Abs. 1 DSGVO ein „Schmerzensgeld“ iHv. mindestens 5.000,00 Euro verlangt. Im gerichtlichen Verfahren erteilte die Beklagte dann erstmals Auskünfte über die verarbeiteten personenbezogenen Daten, wobei die Frage der vollständigen Erfüllung des Auskunftsanspruchs zwischen den Parteien streitig geblieben ist.

Die Klägerin hat die Auffassung vertreten, die Beklagte sei wegen der Nichterfüllung des Auskunftsanspruchs zur Leistung von immateriellem Schadenersatz verpflichtet. Sie habe wegen der Verweigerung der Auskunft keinerlei Möglichkeit der Überprüfung der Datenverarbeitung gehabt. Dieser Kontrollverlust sei spürbar und erheblich. Dies gelte insbesondere deshalb, weil die Beklagte die Auskunft vor dem Hintergrund eines Konflikts zunächst vorsätzlich und böswillig verweigert habe.

Die Klägerin hat – soweit für die Revision von Bedeutung – beantragt,

die Beklagte zu verurteilen, an sie ein angemessenes Schmerzensgeld, dessen Höhe in das Ermessen des Gerichts gestellt wird, aber 5.000,00 Euro nicht unterschreiten sollte, nebst Zinsen iHv. fünf Prozentpunkten über dem jeweiligen Basiszinssatz seit Rechtshängigkeit zu zahlen.

Die Beklagte hat die Abweisung der Klage beantragt.

Das Arbeitsgericht hat der Klägerin immateriellen Schadenersatz iHv. 4.000,00 Euro zugesprochen und die Klage im Übrigen abgewiesen. Auf die Berufung der Beklagten hat das Landesarbeitsgericht das arbeitsgerichtliche Urteil teilweise abgeändert und die Klage insgesamt abgewiesen. Mit der vom Landesarbeitsgericht zugelassenen Revision begehrt die Klägerin die Wiederherstellung der erstinstanzlichen Entscheidung.

Aus den Gründen

8          Die zulässige Revision ist unbegründet. Die Entscheidung des Landesarbeitsgerichts erweist sich jedenfalls im Ergebnis als zutreffend. Die Klägerin hat keinen Anspruch auf Ersatz eines immateriellen Schadens nach Art. 82 Abs. 1 DSGVO.

 

9          1. Das Landesarbeitsgericht hat seine Entscheidung allein damit begründet, die Verletzung der Rechte aus Art. 15 Abs. 1 und Abs. 3 DSGVO stellten mangels Datenverarbeitung keinen Verstoß iSv. Art. 82 Abs. 1 DSGVO dar (vgl. hierzu auch BAG 5. Mai 2022 – 2 AZR 363/21 – Rn. 11).

 

10        2. Es kann vorliegend dahingestellt bleiben, ob dies zutrifft. Die Klägerin hat schon keinen Schaden dargelegt.

 

11        a) Das Erfordernis eines Schadens und der entsprechenden Darlegungslast der Klagepartei ist durch die jüngsten Entscheidungen des Gerichtshofs der Europäischen Union hinreichend geklärt (vgl. hierzu BAG 25. April 2024 – 8 AZR 209/21 (B) – Rn. 5 f.).

 

12        aa) Aus dem Wortlaut des Art. 82 Abs. 1 DSGVO geht klar hervor, dass das Vorliegen eines „Schadens“ eine der Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadenersatzanspruch darstellt, ebenso wie das Vorliegen eines Verstoßes gegen die Datenschutz-Grundverordnung und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind (EuGH 25. Januar 2024 – C-687/21 – [MediaMarktSaturn] Rn. 58; 14. Dezember 2023 – C-340/21 – [Natsionalna agentsia za prihodite] Rn. 77; 4. Mai 2023 – C-300/21 – [Österreichische Post] Rn. 32). Der Schadenersatzanspruch hat, insbesondere im Fall eines immateriellen Schadens, eine Ausgleichsfunktion, da eine auf Art. 82 Abs. 1 DSGVO gestützte Entschädigung in Geld ermöglichen soll, den konkret aufgrund des Verstoßes gegen diese Verordnung erlittenen Schaden vollständig auszugleichen, und erfüllt keine Abschreckungs- oder Straffunktion (EuGH 25. Januar 2024 – C-687/21 – [MediaMarktSaturn] Rn. 50; 21. Dezember 2023 – C-667/21 – [Krankenversicherung Nordrhein] Rn. 87). Der Schaden muss keinen bestimmten Grad an Erheblichkeit erreicht haben (EuGH 14. Dezember 2023 – C-456/22 – [Gemeinde Ummendorf] Rn. 16 und – C-340/21 – [Natsionalna agentsia za prihodite] Rn. 78; 4. Mai 2023 – C-300/21 – [Österreichische Post] Rn. 51).

 

13        bb) Hinsichtlich der Darlegungs- und Beweislast hat der Gerichtshof der Europäischen Union klargestellt, dass die Person, die auf der Grundlage von Art. 82 Abs. 1 DSGVO den Ersatz eines immateriellen Schadens verlangt, nicht nur den Verstoß gegen Bestimmungen dieser Verordnung nachweisen muss, sondern auch, dass ihr durch diesen Verstoß ein solcher Schaden entstanden ist (EuGH 11. April 2024 – C-741/21 – [juris] Rn. 35; 25. Januar 2024 – C-687/21 – [MediaMarktSaturn] Rn. 60 f.). Da der 85. Erwägungsgrund der Datenschutz-Grundverordnung ausdrücklich den „Verlust der Kontrolle“ zu den Schäden zählt, die durch eine Verletzung des Schutzes personenbezogener Daten verursacht werden können, hat der Gerichtshof entschieden, dass der – selbst kurzzeitige – Verlust der Kontrolle über solche Daten einen „immateriellen Schaden“ iSv. Art. 82 Abs. 1 DSGVO darstellen kann, der einen Schadenersatzanspruch begründet, sofern die betroffene Person den Nachweis erbringt, dass sie tatsächlich einen solchen Schaden – so geringfügig er auch sein mag – erlitten hat (EuGH 11. April 2024 – C-741/21 – [juris] Rn. 42; 25. Januar 2024 – C-687/21 – [MediaMarktSaturn] Rn. 66). Dabei kann die durch einen Verstoß gegen die Datenschutz-Grundverordnung ausgelöste Befürchtung einer betroffenen Person, ihre personenbezogenen Daten könnten von Dritten missbräuchlich verwendet werden, für sich genommen einen „immateriellen Schaden“ iSv. Art. 82 Abs. 1 DSGVO darstellen (EuGH 25. Januar 2024 – C-687/21 – [MediaMarktSaturn] Rn. 65; 14. Dezember 2023 – C-340/21 – [Natsionalna agentsia za prihodite] Rn. 79 ff.). Ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten kann jedoch nicht zu einer Entschädigung führen (EuGH 25. Januar 2024 – C-687/21 – [MediaMarktSaturn] Rn. 68). Das angerufene nationale Gericht muss vielmehr prüfen, ob die Befürchtung der missbräuchlichen Datenverwendung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann (EuGH 14. Dezember 2023 – C-340/21 – [Natsionalna agentsia za prihodite] Rn. 85).

 

14        cc) Vor dem Hintergrund dieser aktuellen Rechtsprechung des Gerichtshofs der Europäischen Union zum Erfordernis eines Schadens und der entsprechenden Darlegungslast der Klagepartei kommt es nach Auffassung des Senats auf die Vorlage des Bundesgerichtshofs vom 26. September 2023 (- VI ZR 97/22 – Rn. 30 ff.) nicht an. Der Bundesgerichtshof hat dem Gerichtshof der Europäischen Union die Frage gestellt, ob Art. 82 Abs. 1 DSGVO dahin gehend auszulegen ist, dass für die Annahme eines immateriellen Schadens bloße negative Gefühle wie zB Ärger, Unmut, Unzufriedenheit, Sorge und Angst genügen oder ob für die Annahme eines Schadens ein über diese Gefühle hinausgehender Nachteil für die betroffene natürliche Person erforderlich ist. Diese Frage ist durch die nach der Vorlage des Bundesgerichtshofs ergangene Rechtsprechung des Gerichtshofs der Europäischen Union jedenfalls bezogen auf die Sorge vor Datenverlust bzw. unrechtmäßiger Datenverwendung beantwortet (aA Rombach/Hoeren WuB 2024, 28, 32; Scharpf jurisPR-ITR 8/2024 Anm. 5 unter C; vgl. auch BGH 12. Dezember 2023 – VI ZR 277/22 – Rn. 6).

 

15        (1) Nach der Rechtsprechung des Gerichtshofs der Europäischen Union können negative Gefühle („Befürchtung“) in solchen Konstellationen einen Anspruch auf Ersatz des immateriellen Schadens begründen. Das bloße Berufen auf eine bestimmte Gefühlslage reicht aber nicht aus, denn das Gericht hat zu prüfen, ob das Gefühl unter Berücksichtigung der konkreten Umstände „als begründet angesehen werden kann“ (EuGH 14. Dezember 2023 – C-340/21 – [Natsionalna agentsia za prihodite] Rn. 85). Dies setzt zwingend die Anwendung eines objektiven Maßstabs voraus (idS auch Halder/Maluszczak jurisPR-ITR 3/2024 Anm. 4 unter D; Sorber/Lohmann BB 2023, 1652, 1655; Peisker/Zhou BB 2024, 308, 310; aA Rudkowski NZA 2024, 1, 7). Dabei ist ua. die objektive Bestimmung des Missbrauchsrisikos der Daten von Bedeutung (vgl. Arning/Dirkers DB 2024, 381, 383).

 

16        (2) Dem steht nicht entgegen, dass Art. 82 Abs. 1 DSGVO nach der Rechtsprechung des Gerichtshofs der Europäischen Union nicht verlangt, dass ein erlittener Nachteil spürbar oder eine Beeinträchtigung objektiv sein muss (EuGH 14. Dezember 2023 – C-456/22 – [Gemeinde Ummendorf] Rn. 17). Damit hat der Gerichtshof nur klargestellt, dass es keine „Bagatellgrenze“ gibt. Der objektive Maßstab bzgl. des Vorliegens eines Schadens als solchen ist hiervon zu unterscheiden. Besteht der Schaden in negativen Gefühlen, die für sich genommen nicht beweisbar sind, hat das nationale Gericht die Gesamtsituation und letztlich auch die Glaubwürdigkeit der jeweiligen Klagepartei auf der Grundlage eines substantiierten Sachvortrags zu beurteilen. Steht ein Verstoß gegen die Datenschutz-Grundverordnung iSv. Art. 82 Abs. 1 DSGVO nach richterlicher Beweiswürdigung iSv. § 286 Abs. 1 ZPO zum Nachteil der Klagepartei als geschützter Person fest, mindert sich das Beweismaß bzgl. der Entstehung und der Höhe des Schadens nach § 287 Abs. 1 ZPO (vgl. BAG 5. Mai 2022 – 2 AZR 363/21 – Rn. 14).

 

17        b) Ausgehend von diesen Grundsätzen hat die Klägerin keinen Schaden iSv. Art. 82 Abs. 1 DSGVO dargelegt.

 

18        aa) Sie hat zwar ihre aus Unkenntnis der Datenverarbeitung resultierenden Befürchtungen unmissverständlich zum Ausdruck gebracht. Solche Befürchtungen liegen bei einer nicht oder unvollständig erteilten Auskunft jedoch in der Natur der Sache. Der Auskunftsanspruch soll die Durchsetzung von Rechten, ua. bezogen auf die Einschränkung der Datenverarbeitung, und ggf. die Inanspruchnahme von Rechtsmitteln ermöglichen (vgl. EuGH 4. Mai 2023 – C-487/21 – [Österreichische Datenschutzbehörde] Rn. 35; 12. Januar 2023 – C-154/21 – [Österreichische Post] Rn. 38 ff.). Die Nichterfüllung des Auskunftsanspruchs löst geradezu zwangsläufig die Sorge eines Verstoßes gegen sonstige Verpflichtungen aus der Datenschutz-Grundverordnung aus. Wäre das Berufen auf solche Befürchtungen jedoch für die Annahme eines Schadens bereits ausreichend, würde jeder Verstoß gegen Art. 15 DSGVO – so ein Verstoß dagegen einen Anspruch nach Art. 82 Abs. 1 DSGVO dem Grunde nach begründen könnte – praktisch in jedem Fall zu einem immateriellen Schaden führen. Die eigenständige Voraussetzung des Schadens würde damit bedeutungslos. Sie wäre stets erfüllt. Dies ist jedoch mit dem Normverständnis des Gerichtshofs von Art. 82 Abs. 1 DSGVO ebenso wenig zu vereinbaren wie mit den Anforderungen des nationalen Prozessrechts, das die substantiierte Darlegung eines Schadens verlangt (vgl. LAG Rheinland-Pfalz 8. Februar 2024 – 5 Sa 154/23 – zu II 1 b der Gründe; LAG Baden-Württemberg 27. Juli 2023 – 3 Sa 33/22 – zu B II 1 b der Gründe; Barrein/Fuhlrott NZA 2024, 443, 446; aA Brandt/Goffart NZA 2024, 240, 242).

 

19        bb) Für eine solche Darlegung eines Schadens reicht auch die Hervorhebung besonderer Spannungen mit dem Auskunftsverpflichteten nicht aus. Die Klägerin verweist insoweit nachvollziehbar darauf, dass die Beklagte die Erteilung einer Auskunft zunächst vorsätzlich verweigert und auf den Rechtsweg verwiesen habe. Damit wird aber kein immaterieller Schaden belegt, es verbleibt bei der grundsätzlichen Ungewissheit. Eine Straffunktion kommt dem Schadenersatzanspruch nach Art. 82 Abs. 1 DSGVO – wie unter Rn. 12 ausgeführt – nicht zu.

 

20        cc) Dem kann – entgegen der Auffassung der Klägerin – Art. 8 Abs. 2 GRC nicht entgegengehalten werden. Zwar hat nach Art. 8 Abs. 2 Satz 2 GRC jede Person das Recht, Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken. Aus dieser Norm lassen sich jedoch keine Vorgaben für den Schadenbegriff im Sinne des Art. 82 Abs. 1 DSGVO ableiten (vgl. zu Art. 8 Abs. 1 GRC Schubert EuZA 2024, 40, 47).

 

21        dd) Einer Zurückverweisung der Sache an das Berufungsgericht, um der Klägerin weiteren Sachvortrag zu dem von ihr erlittenen Schaden zu ermöglichen, bedurfte es nicht. Das Vorliegen eines Schadens war zwischen den Parteien von Beginn des Rechtsstreits an thematisiert und von der Beklagten stets in Abrede gestellt worden, ohne dass die Klägerin hierauf substantiiert Vortrag gehalten hätte.

 

22        3. Die Kostenentscheidung folgt aus § 97 Abs. 1 ZPO.

stats