Eine verspätete Auskunft nach Art. 15 DSGVO führt nicht stets automatisch zu Schadenersatz

Die Parteien streiten um einen Schadenersatzanspruch gem. Art. 82 DSGVO wegen eines Verstoßes gegen Art. 15 DSGVO. Der Kläger bewarb sich auf eine vom ArbG ausgeschriebene Stelle als Rechtsanwalt (Syndikusrechtsanwalt) Energierecht und erhielt am 15.8.23 eine Absage. Einen Tag später fragte er nach den Ablehnungsgründen und begehrte „eine umfassende Auskunft sowie eine vollständige Datenkopie auf Grundlage von Artikel 15 EU-DSGVO“.

Mit Schreiben vom 29.8.23 erteilte der ArbG Auskunft. Unter „Datenempfänger“ führte er aus: „Wir setzen Dienstleister für die Verarbeitung personenbezogener Daten ein, u. a. für die Bereitstellung der Informationen, die Speicherung Ihrer Daten in einem sicheren Rechenzentrum sowie die Pflege und Analyse von Datenbanken. Sämtliche Auftragsverarbeiter wurden sorgfältig ausgewählt, unterstützen uns streng weisungsgebunden und erhalten nur in dem Umfang und für den benötigten Zeitraum Zugang zu Ihren Daten. Weiterhin können die Daten für statistische Zwecke (z. B. Reporting) bearbeitet werden. Dabei sind keine Rückschlüsse auf einzelne Personen möglich.“

Mit E-Mail vom 21.11.23 machte der Bewerber einen Schadenersatzanspruch gem. Art. 82 DSGVO wegen unvollständiger Auskunft geltend. Er verlangte die Angabe der konkreten Auftragsverarbeiter, die in der Datenschutzauskunft des ArbG unter „Datenempfänger“ als „Dienstleister für die Verarbeitung personenbezogener Daten“ bezeichnet worden waren. Deren Namen und Anschrift teilte der ArbG mit E-Mail vom 5.12.24 dem Bewerber mit.

Mit seiner Klage begehrt der Bewerber Schadenersatz nach Art. 82 DSGVO. Er meint, der ArbG habe die Datenschutzauskunft nicht „unverzüglich“ und damit zu spät erteilt. Unverzüglich im Sinne von Art. 12 Abs. 3 DSGVO bedeute, ohne das Hinzutreten besonderer Umstände binnen maximal einer Woche. Der ArbG habe die Auskunft erst am 5.12.23 vollständig erfüllt. Er habe einen immateriellen Schaden erlitten, da er temporär seine personenbezogenen Daten nicht kontrollieren konnte. Mehr als einen Kontrollverlust und die Einschränkung seiner Rechte bedürfe es nicht, um einen immateriellen Schadensersatz zu rechtfertigen. Er hat zudem behauptet, er habe aufgrund der verspäteten Datenauskunft ein emotionales Ungemach erfahren.

Wegen der Säumnis des Bewerbers ist im Gütetermin ein Versäumnisurteil ergangen, mit dem die Klage abgewiesen wurde. Nach eingelegtem Einspruch beantragte er, das Versäumnisurteil aufzuheben und den ArbG zu verurteilen, eine Geldentschädigung von mindestens 1.500 EUR zu zahlen.

Der ArbG beantragte das Versäumnisurteil aufrechtzuerhalten. Da er innerhalb seines Unternehmens zunächst überall dort habe nachfragen müssen, wo personenbezogene Daten verarbeitet würden, habe er mit der Beantwortung der Anfrage innerhalb von zwei Wochen unverzüglich gehandelt. Er habe auch nur die Kategorie von Empfängern angeben müssen, sodass die Auskunft nicht unvollständig gewesen sei. Dem Bewerber sei aufgrund seiner Bewerbung über das Bewerberportal dieses als Datenempfänger bereits bekannt gewesen.

Das Arbeitsgericht hat das klageabweisende Versäumnisurteil aufrechterhalten, weil kein Schaden des Bewerbers feststellbar sei, der aus den vorgeworfenen Verstößen resultiere. Der Bewerber legte Berufung ein.

Das LAG Köln (19.2.25, 4 SLa 367/24, Abruf-Nr. 247580) wies die Berufung zurück. Dabei könne es dahinstehen, ob eine Verletzung des Auskunftsanspruchs aus Art. 15 Abs. 1 und Abs. 3 DSGVO überhaupt einen Anspruch aus Art. 82 Abs. 1 DSGVO zu begründen vermöge, und ob der ArbG seine Pflichten aus Art. 15 DSGVO verletzt habe, als er die Anfrage des Bewerbers erst nach zwei Wochen beantwortet habe. Denn auch wenn man zugunsten des Bewerbers eine Pflichtverletzung des ArbG unterstelle, fehle es an der notwendigen Darlegung eines Schadens im Sinne von Art. 82 Abs. 1 DSGVO.

Ein Schaden könne nicht allein mit der Begründung angenommen werden, durch eine Verletzung des Auskunftsanspruchs aus Art. 15 Abs. 1 DSGVO trete ein Kontrollverlust ein, weil die Überprüfung verhindert werde, ob personenbezogene Daten rechtmäßig verarbeitet werden. Zwar diene der Auskunftsanspruch des Art. 15 Abs. 1 DSGVO dem Zweck, Betroffenen die Ausübung der Rechte auf Berichtigung, Löschung, Einschränkung der Verarbeitung und Widerspruch gegen die Verarbeitung nach Art. 16 bis 18 und Art. 21 DSGVO zu ermöglichen (EuGH 4.5.23, C-487/21, Österreichische Datenschutzbehörde). Ein derartiger Kontrollverlust gehe jedoch mit jeder Verletzung des Auskunftsanspruchs aus Art. 15 Abs. 1 DSGVO zwingend einher. Er sei daher nicht geeignet, einen von der bloßen Verletzung des Art. 15 Abs. 1 DSGVO unterscheidbaren Schaden zu begründen. Die eigenständige Voraussetzung des Schadens würde damit bedeutungslos. Sie wäre stets erfüllt. Dies sei jedoch mit dem Normverständnis des Gerichtshofs von Art. 82 Abs. 1 DSGVO ebenso wenig zu vereinbaren wie mit den Anforderungen des nationalen Prozessrechts, das die substanziierte Darlegung eines Schadens verlange (BAG 20.6.24, 8 AZR 91/22; BAG 17.10.24, 8 AZR 215/23).

Der Bewerber lege lediglich ein hypothetisches Risiko einer missbräuchlichen Verwendung dar. Ein objektiv erhöhtes Missbrauchsrisiko in Bezug auf die von dem Auskunftsanspruch betroffenen personenbezogenen Daten zeige er gerade nicht auf. Anders als bei einem Datenleck verschlechtere sich durch die unterbliebene Auskunft die Sicherheit der Daten nicht unmittelbar. Der Bewerber habe in der vorliegenden Fallgestaltung ergänzend darlegen müssen, aus welchen Gründen ein mehr als nur hypothetisches Risiko einer missbräuchlichen Verwendung seiner personenbezogenen Daten bestehen solle.

Hier zeige sich auch der entscheidende Unterschied zu der EuGH-Rechtsprechung, die der Bewerber als Beleg für seine Auffassung des Kontrollverlusts als Schaden heranziehe. In den vom Gerichtshof zu entscheidenden Fällen wurden personenbezogene Daten der Anspruchsteller jeweils veröffentlicht, d. h. unbefugten Dritten zugänglich gemacht (sei es im Handelsregister wie in EuGH 4.10.24, C-200/23, sei es durch Weitergabe an unbefugte Dritte: EuGH 25.1.24, C-687/21, sei es durch einen Hackerangriff: EuGH 14.12.23, C-340/21). Für diese Fälle bejahe der EuGH die Möglichkeit eines Kontrollverlusts als Schaden. Dies sei nachvollziehbar, da durch die unbefugte Veröffentlichung personenbezogener Daten eine nicht bekannte Anzahl von Personen Zugriff auf diese Daten nehmen und diese verarbeiten können, ohne dass es dem Betroffenen aufgrund seiner Unkenntnis der auf seine Daten zugreifenden Personen möglich sei, diese Datenverarbeitung zu kontrollieren oder gar zu unterbinden. In Fällen der Veröffentlichung/Weitergabe an unbefugte Dritte bestehe mithin ein objektiv erhöhtes Missbrauchsrisiko. Die Datensicherheit verschlechtere sich unmittelbar. Bei der reinen Verletzung des Auskunftsanspruchs liege ohne weitere Darlegung hingegen kein erhöhtes und damit zu einem Kontrollverlust als Schaden im Sinne des Art. 82 Abs. 1 DSGVO führendes Risiko vor.

Mit dem vom Bewerber behaupteten emotionalen Ungemach habe er keinen konkreten Schaden dargelegt. Auch wenn kein Kontrollverlust nachgewiesen werden könne, reiche die begründete Befürchtung einer Person, dass ihre personenbezogenen Daten aufgrund eines Verstoßes gegen die Verordnung von Dritten missbräuchlich verwendet werden, aus, um einen Schadenersatzanspruch zu begründen (EuGH 25.1.24, C-687/21-MediaMarktSaturn; BGH 18.11.24, VI ZR 10/24). Demgegenüber genüge die bloße Behauptung einer Befürchtung ohne nachgewiesene negative Folgen ebenso wenig wie ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten (EuGH 20.6.24, C-590/22; EuGH 25.1.24, C-687/21, MediaMarktSaturn; BGH 18.11.24, VI ZR 10/24).

Soweit sich aus dem Vortrag des Bewerbers andeutungsweise negative Gefühle in Form einer Befürchtung der missbräuchlichen Datenverwendung ergeben, könnten diese unter den gegebenen Umständen nicht als begründet angesehen werden. Das bloße Berufen auf Befürchtungen dieser Art reiche nicht aus. Um zu prüfen, ob das Gefühl als begründet angesehen werden könne, sei ein objektiver Maßstab anzulegen. Dabei sei insbesondere das objektive Risiko eines Missbrauchs in den Blick zu nehmen, zu dem es vorliegend an ausreichenden Darlegungen fehle. Das Gleiche gelte im Hinblick auf das Genervtsein des Bewerbers von der fehlenden Einsicht des ArbG in Bezug auf seinen Schadenersatzanspruch und dem Aufwand für das Betreiben des vorliegenden Gerichtsverfahrens.

Hinsichtlich der Darlegungs- und Beweislast stellte der EuGH klar, dass die Person, die den Ersatz eines immateriellen Schadens nach Art. 82 DSGVO verlangt, nicht nur den Verstoß nachweisen muss, sondern auch, dass ihr dadurch ein solcher Schaden entstanden ist (EuGH 11.4.24, C-741/21; 25.1.24, C-687/21, [MediaMarktSaturn]). Da der 85. Erwägungsgrund der DSGVO ausdrücklich den „Verlust der Kontrolle“ zu den Schäden zählt, entschied der EuGH, dass der selbst kurzzeitige Verlust der Kontrolle über solche Daten ein immaterieller Schaden i. S. v. Art. 82 Abs. 1 DSGVO sein kann.

Dieser kann einen Schadenersatzanspruch begründen, sofern die betroffene Person den Nachweis erbringt, dass sie tatsächlich einen solchen Schaden – so geringfügig er auch sein mag – erlitten hat. Dabei kann die durch einen Verstoß gegen die DSGVO ausgelöste Befürchtung einer betroffenen Person, ihre personenbezogenen Daten könnten von Dritten missbräuchlich verwendet werden, für sich genommen ein immaterieller Schaden i. S. v. Art. 82 Abs. 1 DSGVO sein (EuGH 14.12.23, C-340/21, [Natsionalna agentsia za prihodite]). Ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten kann jedoch nicht zu einer Entschädigung führen (EuGH 25.1.24, C-687/21, [MediaMarktSaturn]).

Und wie sieht es mit „negativen Gefühlen“ aus? Ja, nach der Rechtsprechung des EuGH können negative Gefühle („Befürchtung“) in solchen Konstellationen einen Anspruch auf Ersatz des immateriellen Schadens begründen. Das bloße Berufen auf eine bestimmte Gefühlslage reicht aber nicht aus, denn das Gericht muss prüfen, ob das Gefühl unter Berücksichtigung der konkreten Umstände „als begründet angesehen werden kann“ (EuGH 14.12.23, C-340/21, [Natsionalna agentsia za prihodite]).