Das BAG schafft Klarheit – Mit Urteil vom 20. Juni 2024 (Az. 8 AZR 124/23) hat das Bundesarbeitsgericht entschieden, dass die bloße Sorge vor einem Datenmissbrauch nach einer unterlassenen oder verspäteten Auskunft gemäß Art. 15 DSGVO nicht für einen Schadensersatzanspruch ausreicht. Diese Entscheidung stärkt die Position von Arbeitgebern und setzt klare Maßstäbe für Schadensersatzforderungen im Datenschutzrecht. Aus Sicht der Arbeitnehmer wirft das Urteil jedoch durchaus Kritik auf, da es die Durchsetzung solcher Ansprüche deutlich anspruchsvoller gestaltet.
Hintergrund
In unserer anwaltlichen Praxis begegnet uns häufig die Frage, wie Betroffene auf Datenschutzverstöße reagieren können. Unvollständige oder verspätete Auskünfte, unsichere Datenverarbeitung oder unberechtigte Weitergabe personenbezogener Daten sind wiederkehrende Themen, die oft zu Unsicherheiten und Klärungsbedarf führen.
Im aktuellen Fall verlangte eine Arbeitnehmerin im Rahmen von Gesprächen über die Beendigung ihres Arbeitsverhältnisses Auskunft über ihre personenbezogenen Daten gemäß Art. 15 Abs. 1 DSGVO. Der Arbeitgeber verweigerte die Auskunft zunächst mit der Bemerkung: „Mit Ihrem Auskunftsverlangen beeindrucken Sie niemanden. Bitte klagen Sie den Anspruch ein, wenn Ihre Mandantin meint, das Arbeitsverhältnis auf diese Weise fortsetzen zu müssen.“ Nach Beendigung des Arbeitsverhältnisses forderte die Klägerin Schadensersatz in Höhe von mindestens 5.000 Euro, da sie wegen der verweigerten Auskunft keinen Einblick in die Verarbeitung ihrer personenbezogenen Daten hatte und dies als Kontrollverlust empfand. Das Arbeitsgericht sprach ihr zunächst 4.000 Euro zu. Die Berufung der Beklagten vor dem Landesarbeitsgericht führte jedoch zur vollständigen Abweisung der Klage. Diese Entscheidung hat das BAG nun bestätigt.
Die Entscheidung des BAG
Das BAG stellte klar, dass ein Schadensersatzanspruch nur dann besteht, wenn ein konkreter Schaden – sei es materiell oder immateriell – substantiiert dargelegt und bewiesen wird. Ein rein hypothetisches Risiko oder eine bloße Sorge vor einem Datenmissbrauch reicht nicht aus. Nach den Maßstäben des EuGH darf ein Schadensersatzanspruch nicht allein auf eine Verletzung der DSGVO gestützt werden, sondern erfordert die Darlegung eines tatsächlich erlittenen Nachteils.
Wichtige Aspekte der Entscheidung
- Keine Straffunktion: Der Schadensersatzanspruch dient dem Ausgleich eines konkreten Schadens und hat keinen Strafcharakter.
- Erhöhte Darlegungspflichten: Die betroffene Person muss den Schaden detailliert und nachvollziehbar darlegen.
- Abgrenzung zu Bagatellschäden: Das BAG machte deutlich, dass zwar keine Bagatellgrenze existiert, aber bloße Vermutungen oder allgemeines Unwohlsein keinen ersatzfähigen Schaden darstellen.
Schadensersatz unter neuen Maßstäben
Mit den neuen Maßstäben des BAG wird der Fokus stärker auf die Darlegung und den Nachweis konkreter Schäden gelegt. Für Betroffene, die gravierende Datenschutzverstöße wie den Verlust der Kontrolle über ihre Daten oder eine Rufschädigung erlebt haben, kann dies zweifelsfrei eine zusätzliche Hürde darstellen. Dennoch sorgen die Vorgaben für eine klarere Linie: Arbeitgeber können sich besser gegen unberechtigte Forderungen schützen, während berechtigte Ansprüche gezielt geltend gemacht werden können.
Was Sie als Betroffene wissen sollten
Trotz der verschärften Anforderungen bleibt der Datenschutz ein wichtiges Thema. Es ist daher wichtig zu verstehen, dass nicht jeder Datenschutzverstoß automatisch zu Schadensersatz führt. Die Entscheidung des BAG verdeutlicht, dass der Schutz personenbezogener Daten ernst genommen wird, dabei aber auch ein Gleichgewicht zwischen den Rechten der Betroffenen und der Verhältnismäßigkeit gewahrt bleiben muss. Arbeitgeber können nicht für jeden kleinen Fehler haftbar gemacht werden, solange kein klarer Nachteil nachweisbar ist.
Beispiele für ersatzfähige Schäden
- Identitätsdiebstahl: Wenn personenbezogene Daten unberechtigt weitergegeben und missbraucht werden.
- Rufschädigung: Wenn sensible Daten verbreitet werden, die das Ansehen der betroffenen Person beeinträchtigen.
- Nachweisbarer Kontrollverlust: Wenn der Umgang mit personenbezogenen Daten konkret unübersichtlich oder missbräuchlich war.
- Beispiele für nicht ersatzfähige Fälle
- Verspätete oder unvollständige Auskünfte: Solange kein konkreter Schaden nachweisbar ist, bleibt eine bloße Verzögerung ohne rechtliche Konsequenzen.
- Allgemeine Sorgen: Diffuse Ängste oder hypothetische Risiken reichen nicht aus.
Fazit
Die Entscheidung des BAG stärkt die Position von Arbeitgebern, die sich gegen pauschale Schadensersatzforderungen zur Wehr setzen müssen. Gleichzeitig verdeutlicht sie, dass Arbeitnehmer, die einen Schadensersatzanspruch geltend machen wollen, ihre Darlegungs- und Beweislast durchaus ernst nehmen müssen. Der bloße Vorwurf eines Datenschutzverstoßes oder allgemeine Bedenken genügen nicht.
Für Arbeitnehmer mag dies eine Herausforderung darstellen, für Arbeitgeber schafft es jedoch eine klarere Grundlage, unberechtigte Forderungen zurückzuweisen und Missverständnisse über ihre Haftung zu vermeiden. Datenschutz bleibt ein heißes Thema – doch nicht jeder Fehler hat automatisch Konsequenzen. Betroffene sollten sich bewusst sein, dass die neuen Maßstäbe den Fokus auf konkrete und nachweisbare Schäden legen, ohne den Datenschutz als solchen zu entwerten.
