Die bloße Sorge vor einem Datenmissbrauch reicht nicht für einen immateriellen DSGVO-Schadensersatzanspruch aus (BAG, Urt. v. 20.06.2024 – 8 AZR 124/23).
Die Klägerin war seit März 2014 bei der Beklagten beschäftigt. Im Jahr 2020 forderte sie eine DSGVO-Auskunft nach Art. 15 DSGVO von ihrem Arbeitgeber an.
Die Beklagte verweigerte zunächst das Auskunftsbegehren.
Daraufhin machte die Klägerin Auskunft und Schadensersatz in Höhe von 5.000,- EUR wegen immaterieller Schäden geltend. Sie begründete dies mit der Sorge, die Beklagte könnte ihre Daten missbräuchlich verwendet haben.
Während des Prozesses erteilte die Beklagte schließlich Auskunft. Die Forderung nach Schadensersatz behielt die Klägerin jedoch bei.
Zu Unrecht, wie nun das BAG entschied. Denn die bloße Sorge vor einem Datenmissbrauch genüge nicht:
"Ausgehend von diesen Grundsätzen hat die Klägerin keinen Schaden iSv. Art. 82 Abs. 1 DSGVO dargelegt.
aa) Sie hat zwar ihre aus Unkenntnis der Datenverarbeitung resultierenden Befürchtungen unmissverständlich zum Ausdruck gebracht.
Solche Befürchtungen liegen bei einer nicht oder unvollständig erteilten Auskunft jedoch in der Natur der Sache. Der Auskunftsanspruch soll die Durchsetzung von Rechten, ua. bezogen auf die Einschränkung der Datenverarbeitung, und ggf. die Inanspruchnahme von Rechtsmitteln ermöglichen (vgl. EuGH 4. Mai 2023 – C-487/21 – [Österreichische Datenschutzbehörde] Rn. 35; 12. Januar 2023 – C-154/21 – [Österreichische Post] Rn. 38 ff.).
Die Nichterfüllung des Auskunftsanspruchs löst geradezu zwangsläufig die Sorge eines Verstoßes gegen sonstige Verpflichtungen aus der Datenschutz-Grundverordnung aus.
Wäre das Berufen auf solche Befürchtungen jedoch für die Annahme eines Schadens bereits ausreichend, würde jeder Verstoß gegen Art. 15 DSGVO – so ein Verstoß dagegen einen Anspruch nach Art. 82 Abs. 1 DSGVO dem Grunde nach begründen könnte – praktisch in jedem Fall zu einem immateriellen Schaden führen. Die eigenständige Voraussetzung des Schadens würde damit bedeutungslos. Sie wäre stets erfüllt.
Dies ist jedoch mit dem Normverständnis des Gerichtshofs von Art. 82 Abs. 1 DSGVO ebenso wenig zu vereinbaren wie mit den Anforderungen des nationalen Prozessrechts, das die substantiierte Darlegung eines Schadens verlangt (…)."
Und weiter:
“bb) Für eine solche Darlegung eines Schadens reicht auch die Hervorhebung besonderer Spannungen mit dem Auskunftsverpflichteten nicht aus. Die Klägerin verweist insoweit nachvollziehbar darauf, dass die Beklagte die Erteilung einer Auskunft zunächst vorsätzlich verweigert und auf den Rechtsweg verwiesen habe. Damit wird aber kein immaterieller Schaden belegt, es verbleibt bei der grundsätzlichen Ungewissheit. Eine Straffunktion kommt dem Schadenersatzanspruch nach Art. 82 Abs. 1 DSGVO – wie unter Rn. 12 ausgeführt – nicht zu.”
cc) Dem kann – entgegen der Auffassung der Klägerin – Art. 8 Abs. 2 GRC nicht entgegengehalten werden. Zwar hat nach Art. 8 Abs. 2 Satz 2 GRC jede Person das Recht, Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken. Aus dieser Norm lassen sich jedoch keine Vorgaben für den Schadenbegriff im Sinne des Art. 82 Abs. 1 DSGVO ableiten (…)."