In der arbeitsrechtlichen Praxis kommt es immer wieder vor, dass sowohl abgelehnte Bewerber als auch gekündigte Arbeitnehmer die Vorschriften der DSGVO nutzen möchten, um nicht nur dem Arbeitgeber „Stress“ zu machen, sondern aus etwaigen Versäumnissen finanziellen Profit zu schlagen. Wir erläutern Ihnen nachfolgend, was sie als Arbeitgeber dazu wissen müssen.
Hintergrund: Die Auskunftspflicht nach Art. 15 DSGVO
Nach Art. 15 DSGVO hat jede betroffene Person das Recht, von dem Verantwortlichen eine Auskunft darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Dieses Auskunftsrecht ist ein zentrales Element der DSGVO und dient der Transparenz im Datenschutz. Die Auskunft muss gemäß Art. 12 Abs. 3 DSGVO unverzüglich, spätestens aber innerhalb eines Monats erteilt werden.
Was aber, wenn die Auskunft verspätet erfolgt – begründet dies bereits einen Schadensersatzanspruch nach Art. 82 DSGVO? Mit dieser Frage hatte sich das Bundesarbeitsgericht (BAG) in seinem aktuellen Urteil vom 20. Februar 2025 (Az. 8 AZR 61/24) zu befassen.
Der Fall: Wochenlanger „Kontrollverlust“ – und die Frage nach Entschädigung
Der Kläger war bereits 2016 nach kurzer Zeit aus dem Arbeitsverhältnis mit der Beklagten ausgeschieden. Erst 2020 machte er von seinem Auskunftsrecht nach Art. 15 DSGVO Gebrauch – und erhielt die erbetene Information. Im Oktober 2022 fragte er erneut an, erhielt jedoch die vollständige Auskunft erst nach Ablauf der gesetzten Frist, nämlich am 1. Dezember 2022.
Der Kläger machte geltend, die verspätete Auskunft habe bei ihm einen wochenlangen Kontrollverlust über seine Daten verursacht. Er habe „Angst“ gehabt, die Beklagte könne mit seinen Daten „Schindluder“ treiben. Auch der durch die Rechtsverfolgung entstandene Aufwand habe zu Frust und Ärger geführt. Er verlangte mindestens 2.000 € Schadensersatz – das Arbeitsgericht Duisburg sprach ihm sogar 10.000 € zu.
Doch sowohl das LAG Düsseldorf als auch das BAG wiesen die Klage ab. Die verspätete Auskunft allein – so die Kernaussage der Revisionsinstanz – reiche nicht aus, um einen immateriellen Schaden im Sinne von Art. 82 DSGVO zu begründen.
Die Entscheidung des BAG: Kein Schaden ohne konkrete Beeinträchtigung
Kontrollverlust nur bei konkreter Beeinträchtigung
Ein bloß hypothetisches Risiko – wie die abstrakte Angst vor einer missbräuchlichen Datenverwendung – genügt nicht. Ein „Kontrollverlust“ im datenschutzrechtlichen Sinne setzt voraus, dass objektive Anhaltspunkte für eine reale Gefahr der Datenzweckentfremdung vorliegen.
Emotionale Reaktionen genügen nicht
Gefühle wie „genervt sein“ oder „Ärger“ über die verspätete Auskunft begründen keinen Schadensersatz. Der Kläger habe lediglich pauschale Unmutsbekundungen vorgetragen, ohne eine substantiierte Beeinträchtigung darzulegen.
Keine Umkehr der Beweislast
Die betroffene Person muss selbst konkrete und glaubhafte Angaben zu erlittenen Schäden machen. Eine bloße Verletzung der DSGVO – etwa durch Überschreiten der Auskunftsfrist gemäß Art. 12 Abs. 3 DSGVO – begründet noch keinen Entschädigungsanspruch.
Kontextbezogene Abgrenzung
Während etwa beim unbefugten Datenabfluss im Internet ein Schaden regelmäßig angenommen werden kann (vgl. BGH, Urt. v. 18.11.2024 – VI ZR 10/24 zum Facebook-Scraping), gilt dies bei bloßen Verzögerungen der Auskunft nicht ohne Weiteres.
Abgrenzung zu anderen Gerichtsentscheidungen: uneinheitliche Linie
Die Entscheidung des BAG steht in einer Reihe von – teilweise widersprüchlichen – Urteilen zu Art. 82 DSGVO:
BSG – B 7 AS 15/23 R
Auch das Bundessozialgericht verneinte einen immateriellen Schaden bei bloßer Verzögerung einer DSGVO-Auskunft. Es fehle an einer konkreten Beeinträchtigung.
BGH – VI ZR 10/24
Der BGH erkannte bei einem massenhaften Daten-Scraping auf Facebook an, dass allein der Verlust der Datenkontrolle bei Veröffentlichung im Internet bereits einen ersatzfähigen Schaden darstellen kann.
EuGH – C-687/21
Der EuGH betont ebenfalls, dass ein Schadensersatzanspruch nach Art. 82 DSGVO nur bei tatsächlichem, konkret nachweisbarem Schaden besteht.
Was bedeutet das für Betroffene und Unternehmen?
Für Betroffene
Ein DSGVO-Verstoß – etwa eine verspätete oder unvollständige Auskunft – ist für sich genommen kein Freifahrtschein für eine Entschädigung. Wer Schadensersatz geltend machen will, muss den Schaden konkret darlegen und belegen. Reine Vermutungen oder Emotionen reichen nicht aus.
Für Unternehmen
Die Entscheidung bringt eine gewisse Rechtssicherheit. Nicht jede formelle Pflichtverletzung nach der DSGVO führt automatisch zu einem Haftungsrisiko. Gleichwohl bleibt es empfehlenswert, Auskunftsersuchen fristgerecht und vollständig zu beantworten.
Fazit: Keine Entschädigung ohne echten Schaden
Die Entscheidung des Bundesarbeitsgerichts vom 20.02.2025 setzt ein klares Signal: Wer nach Art. 82 DSGVO Schadensersatz fordert, muss konkret und plausibel darlegen, worin der Schaden besteht. Eine bloß verspätete Auskunft über personenbezogene Daten, verbunden mit subjektivem Ärger oder Angst, reicht hierfür nicht aus.
Ein immaterieller Schaden setzt vielmehr eine objektivierbare und nachvollziehbare Beeinträchtigung voraus. Die Rechtsprechung stärkt so den Grundsatz der Verhältnismäßigkeit und schützt Unternehmen vor überzogenen Haftungsrisiken – ohne das Auskunftsrecht als solches auszuhöhlen.
Der Fall verdeutlicht aber auch einmal mehr, dass derjenige, der vor Gericht geht, mit allem rechnen muss: während das Arbeitsgericht noch einen illusorisch hohen Betrag von 10.000 € zusprach, ging der Kläger am Ende (zurecht) leer aus. Der Fall zeigt damit einmal mehr, dass sich Rechtsuchende mit einem Fehlurteil nicht abfinden dürfen, sondern den Rechtsweg beschreiten müssen, in der Hoffnung, dass ein anderes Gericht korrigierend eingreift.
