Das AG Hagen hat dem EuGH eine Vorlagefrage zum DSGVO-Schadensersatzanspruch nach Art. 82 DSGVO im Arbeitsverhältnis gestellt (EuGH, Az.: C-687/21).
Die Fragen lauten:
"1. Ist die Schadensersatznorm in der europäischen Datenschutz-Grundverordnung (1) (Art. 82 DSGVO) mangels Bestimmtheit über die anzuordnenden Rechtsfolgen beim immateriellen Schadensersatz unwirksam?
2. Ist es für einen Schadensersatzanspruch erforderlich, dass außer dem unberechtigten Bekanntgeben der zu schützenden Daten an einen unberechtigten Dritten ein vom Anspruchssteller darzulegender immaterieller Schaden festzustellen ist?
3. Ist es für einen Verstoß gegen die Datenschutz-Grundverordnung ausreichend, dass die Personendaten des Betroffenen (Name, Anschrift, Beruf, Einkommen, Arbeitgeber) durch ein Versehen von Mitarbeitern des tätigen Unternehmens irrtümlich in ausgedruckter Form, auf Papier, an einen Dritten auf einem Papierdokument weitergegeben werden?
4. Liegt eine illegale Weiterverarbeitung durch unbeabsichtigte Weitergabe (Offenlegung) an einen Dritten vor, wenn das Unternehmen durch seine Mitarbeiter versehentlich die Daten, die im Übrigen in die EDV-Anlage eingespeist werden, in ausgedruckter Form an einen unberechtigten Dritten weitergegeben hat (Art. 2 Abs. 1, Art. 5 Abs. 1 Buchst. f, Art. 6 Abs. 1, Art. 24 der Datenschutz-Grundverordnung)?
5. Liegt ein immaterieller Schaden bereits dann im Sinne des Art. 82 der Datenschutz-Grundverordnung vor, wenn die Daten von dem Dritten, der das Dokument mit den persönlichen Daten erhalten hat, nicht zur Kenntnis genommen worden sind, bevor das Papier, auf dem die Informationen enthalten sind, zurückgegeben wurde, oder genügt für einen immateriellen Schaden im Sinne des Art. 82 der Datenschutz-Grundverordnung das Unbehagen desjenigen, dessen persönliche Daten illegal weitergegeben wurden, weil bei jeder unberechtigten Offenlegung von persönlichen Daten die nicht ausschließbare Möglichkeit besteht, dass die Daten doch gegenüber einer unbekannten Vielzahl von Personen weiterverbreitet oder gar missbraucht werden könnten?
6. Als wie gravierend ist der Verstoß anzusehen, wenn die unbeabsichtigte Weitergabe an den Dritten durch bessere Kontrolle der bei dem Unternehmen tätigen Hilfsmitarbeiter und/oder durch bessere Organisation der Datensicherheit, etwa durch getrennte Handhabung der Warenausgabe und der Vertrags-, vor allem der Finanzierungsdokumentation, mittels gesondertem Ausgabeschein oder durch Weiterleitung innerhalb des Unternehmens an die Warenausgabe-Mitarbeiter — ohne Zwischenschaltung des Kunden, dem die ausgedruckten Dokumente, einschließlich der Abholberechtigung, ausgehändigt worden sind, zu verhindern ist (Art. 32 Abs. 1 Buchst. b und 2 sowie Art. 4 Nr. 7 der Datenschutz-Grundverordnung)?
7. Ist unter Ersatz für immateriellen Schaden die Zuerkennung einer Strafe wie bei einer Vertragsstrafe zu verstehen?"
Eine Antwort des EuGH steht noch aus.
Es liegen inzwischen zahlreiche Vorlagefragen zum Inhalt und Umfang des Schadensersatzanspruchs nach Art. 82 DSGVO beim EuGH.