BAG, Urteil vom 26.6.2024 – 8 AZR 91/22
Art. 82 Abs. 1 DSGVO gewährt jeder Person, der wegen eines Verstoßes gegen Vorschriften der DSGVO ein materieller oder immaterieller Schaden entstanden ist, einen Anspruch auf Schadensersatz gegenüber dem Verantwortlichen. Verantwortlich ist im arbeitsrechtlichen Kontext der DSGVO regelmäßig der Arbeitgeber. Diese noch relativ junge Anspruchsgrundlage wurde in der Vergangenheit durch Rechtsprechung auf nationaler und europäischer Ebene konkretisiert.
Der Anspruch hat drei Voraussetzungen, die kumulativ vorliegen müssen:
- Vorliegen eines Verstoßes gegen die DSGVO.
- Vorliegen eines (materiellen oder immateriellen) Schadens.
- Kausaler Zusammenhang zwischen dem Schaden und dem Verstoß.
Der Anspruch wurde von der Rechtsprechung zum Beispiel in Fällen des Datenschutz-Hopping herangezogen. In solchen Fällen bewirbt sich ein potentieller Mitarbeiter, um anschließend nach Art. 15 DSGVO Auskunft über die Verarbeitung seiner personenbezogenen Daten im Unternehmen zu begehren und schließlich wegen verspäteter oder unvollständiger Auskunft einen Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO geltend zu machen, unter Verweis auf einen (angeblich) erlittenen immateriellen Schaden.
Nun hat sich das BAG in einem weiteren Urteil zum Entschädigungsanspruch aus Art. 82 DSGVO geäußert. Dabei hat es insbesondere den immateriellen Schadensbegriff konkretisiert.
Zum Sachverhalt:
Der Kläger war bei der Beklagten seit mehreren Jahren als Arbeitnehmer beschäftigt. Die beklagte Arbeitgeberin sprach gegenüber dem Kläger im Jahr 2019 eine Versetzung aus und führte aus diesem Anlass eine Anhörung des Betriebsrates durch. Der Kläger verlangte noch im selben Jahr vollumfänglich Auskunft über die Betriebsratsanhörung nebst Zustimmung und berief sich dazu auf Art. 15 DSGVO. Die Beklagte schickte dem Kläger daraufhin binnen der von diesem gesetzten Frist eine Kopie der Betriebsratsanhörung und der Betriebsratszustimmung. Der Kläger machte daraufhin einen Anspruch auf Schadensersatz nach Art. 82 Abs. 1 DSGVO geltend. Seine Auskunftsansprüche seien nicht vollständig erfüllt worden, was zu einem Kontrollverlust über seine personenbezogenen Daten geführt habe. Es liege deshalb eine Verletzung von Art. 15 DSGVO vor. Er forderte einen immateriellen Schadensersatz in Höhe von 8.000 Euro.
Entscheidung des Gerichts:
Das BAG lehnte – anders als die Vorinstanz – einen Schadensersatzanspruch des Arbeitnehmers vollständig ab. Zwar müsse für die Annahme eines Schadens grundsätzlich keine Erheblichkeitsschwelle überschritten sein und auch der bloße „Verlust der Kontrolle“ über die eigenen Daten zähle zu den potenziellen Schäden.
Die bloße Befürchtung einer missbräuchlichen Datenverwendung aber genüge nicht zur Begründung eines Schadens. Das angerufene Gericht müsse stets prüfen, ob diese Befürchtung unter den konkreten Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden könne. Dabei spiele etwa die objektive Bestimmung des Missbrauchsrisikos der Daten eine Rolle. Mit Blick auf Art. 15 DSGVO stellte das Gericht klar, dass eine Verletzung dieser Vorschrift automatisch zu einem Kontrollverlust hinsichtlich der entsprechenden personenbezogenen Daten führe. Dies ersetze aber nicht die Pflicht des Klägers, nachzuweisen, dass durch diesen Verstoß auch ein Schaden in Form eines objektiv erhöhten Risikos der missbräuchlichen Verwendung entstanden ist. Der Kläger habe vorliegend lediglich ein hypothetisches Risiko vorgetragen.
Fazit
Das Urteil ist ein wichtiger Schritt, um der Ausuferung und einem Missbrauch des Schadensersatzanspruchs aus Art. 82 Abs. 1 DSGVO zu begegnen. Der immaterielle Schadensbegriff ist oftmals undurchsichtig und schwer einzugrenzen. Das Urteil konkretisiert zum einen die Darlegungspflichten des Arbeitnehmers, der einen Anspruch auf Art. 82 Abs. 1 DSGVO stützt. Zum anderen betont es den objektiven Maßstab, der mit Blick auf ein etwaiges Missbrauchsrisiko anzulegen ist, was die Anforderungen an einen immateriellen Schaden erhöht.