LAG Hessen: Ehemaliger Arbeitnehmer hat keinen Schadensersatzanspruch aus Art. 82 DSGVO nach Hackerangriff auf veraltete Daten bei fehlender Substantiierung des Datenabflusses
LAG Hessen
Urteil vom 10.02.2026
12 SLa 709/25
Das LAG Hessen hat entschieden, dass ein Anspruch auf immateriellen Schadensersatz nach Art. 82 Abs. 1 DSGVO infolge eines Hackerangriffs ausscheidet, wenn der Betroffene den konkreten Datenabfluss nicht schlüssig darlegt und lediglich ein hypothetisches Risiko einer missbräuchlichen Verwendung behauptet. Nach Ansicht des Gerichts begründet ein Kontrollverlust nur dann einen entschädigungsfähigen immateriellen Schaden, wenn die Befürchtung eines Datenmissbrauchs unter Anwendung eines objektiven Maßstabs als begründet anzusehen ist.
Aus den Entscheidungsgründen:
1. Ein Schadenersatzanspruch nach Art. 82 Abs. 1 DSGVO setzt nach der Rechtsprechung des Gerichtshofs der Europäischen Union (EuGH) einen Verstoß gegen die Datenschutz-Grundverordnung, das Vorliegen eines materiellen oder immateriellen Schadens sowie einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß voraus, wobei diese drei Voraussetzungen kumulativ gegeben sein müssen (vgl. EuGH 4. Oktober 2024 - C-200/23 - [Agentsia po vpisvaniyata] Rn. 140; EuGH 4. Mai 2023 - C-300/21 - [Österreichische Post] Rn. 32; ebenso BAG 20. Februar 2025 - 8 AZR 61/24 - Rn. 10). Vorliegend fehlt es an allen drei Voraussetzungen.
Hinsichtlich der Darlegungs- und Beweislast gilt, dass die Person, die auf der Grundlage von Art. 82 Abs. 1 DSGVO den Ersatz eines immateriellen Schadens verlangt, nicht nur den Verstoß gegen Bestimmungen der Datenschutz-Grundverordnung nachweisen muss, sondern auch, dass ihr durch diesen Verstoß ein solcher Schaden entstanden ist (vgl. EuGH 11. April 2024 - C-741/21 - [juris] Rn. 35; EuGH 25. Januar 2024 - C-687/21 - [MediaMarktSaturn] Rn. 60 f.; BAG 20. Juni 2024 - 8 AZR 124/23 - Rn. 13; BAG 20. Februar 2025 - 8 AZR 61/24 - Rn. 10).
a. Es fehlt bereits an einem schlüssigen Vortrag des Klägers zu einem Verstoß gegen die Bestimmungen der DSGVO. Zwar sind unstreitig Daten des Klägers kopiert worden und im Darknet ist eine Liste von Dateinamen aufzufinden, die die von den Hackern kopierten Dateien bezeichnen. Es fehlt aber an dem von dem darlegungsverpflichteten Kläger zu erbringendem Vortrag, welche seiner Daten konkret von den Hackern kopiert worden sind. Über diese Kenntnis verfügt der Kläger, weil die Beklagte mit ihrem Auskunftsschreiben in der dem Schreiben beigefügten Anlage 2 die kopierten Daten konkret bezeichnet hat. Dieser Umstand ist von der Beklagten bereits im erstinstanzlichen Verfahren unbestritten vorgetragen worden und auch im Berufungsverfahren bis zuletzt unstreitig geblieben. Zwar hat der Kläger in der mündlichen Verhandlung vom 10. Februar 2026 auf Nachfrage des Vorsitzenden angegeben,nach seiner Erinnerung habe er die Anlage 2 zum Informationsschreiben der Beklagten über den Datenschutzvorfall nicht erhalten, dies stellt aber kein erhebliches Bestreiten dar. Einerseits belegt der Umstand, dass der Kläger im Rahmen der mündlichen Verhandlung auf seinem Mobiltelefon zwar eine Kopie des Auskunftsschreiben vorgefunden hat, nicht aber die Anlagen zu dem Schreiben, nicht, dass diese dem ursprünglichen Schreiben nicht beigefügt waren. Andererseits stellt sein Hinweis auf seine fehlende Erinnerung nicht die ausdrückliche Angabe dar, die Anlage seien nicht beigefügt gewesen. Im Übrigen wäre das erstmalige Bestreiten des Erhalts der Anlage 2 in der mündlichen Verhandlung vor dem Landesarbeitsgericht verspätet, da es zumindest nicht mit der Berufungsbegründung erfolgt ist, § 67 Abs. 4 ArbGG, und die Berücksichtigung zu einer Verzögerung des Berufungsverfahrens führen würde.
Soweit der Kläger mit seiner Berufungsbegründung die erstinstanzliche Behauptung hinsichtlich der konkret kopierten Daten wiederholt, fehlt es an einer Auseinandersetzung mit dem Vortrag der Beklagten, bei den laut Kläger angeblich kopierten Daten handele es sich nicht um die widerrechtlich kopierten Daten, sondern um Daten, die in Beschäftigungsverhältnissen von der Beklagten grundsätzlich gespeichert werden. Diese grundsätzlich erhobenen Daten seien im Auskunftsschreiben als Anlage 1 beigefügt gewesen, die widerrechtlich kopierten Daten des Klägers in Anlage 2. Hinzu kommt, dass die Beklagte hinsichtlich einzelner Daten, nämlich bezüglich der Bank-, Steuer-, Renten- und Sozialversicherungsdaten sowie hinsichtlich der privaten Zugangsdaten und der Handynummer des Klägers ausdrücklich vorgetragen hat, diese Daten seien nicht kopiert worden. Eine Auseinandersetzung des Klägers mit diesem Vorbringen fehlt ebenfalls.
Soweit der Kläger mit der Berufungsbegründung neben der erstinstanzlich behaupteten Verletzung von Art. 32 und 34 DSGVO erstmals und im Weg der Verwendung von Textbausteinen die Verletzung von Art. 6, 12 bis 14, 33 und 35 DSGVO rügt, fehlt es insgesamt an einem hinreichenden Vortrag zu einem Datenschutzverstoß.
b. Auch das Vorliegen eines immateriellen Schadens – einen materiellen Schaden behauptet der Kläger nicht schlüssig – kann nach Auffassung der Kammer vorliegend nicht anerkannt werden. Der Kläger beruft sich insoweit auf einen Kontrollverlust durch das Kopieren seiner Daten und auf seine Befürchtung einer missbräuchlichen Verwendung seiner Daten durch die Hackerorganisation.
aa. Zwar kann nach der Rechtsprechung des EuGH ein Kontrollverlust auch dann gegeben sein, wenn konkret keine missbräuchliche Verwendung der betreffenden Daten zum Nachteil der geschützten Person erfolgt sein sollte (vgl. EuGH 4. Oktober 2024 - C-200/23 - [Agentsia po vpisvaniyata] Rn. 144 ff.), denn es kann die entsprechende Gefahr bestanden haben. Die durch einen Verstoß gegen die Datenschutz-Grundverordnung ausgelöste Befürchtung einer betroffenen Person, ihre personenbezogenen Daten könnten von Dritten missbräuchlich verwendet werden, kann für sich genommen einen immateriellen Schaden i.S.v. Art. 82 Abs. 1 DSGVO darstellen (EuGH 25. Januar 2024 - C-687/21 - [MediaMarktSaturn] Rn. 65; EuGH 14. Dezember 2023 - C-340/21 - [Natsionalna agentsia za prihodite] Rn. 79 ff.). Das rein hypothetische Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten kann jedoch nicht zu einer Entschädigung führen (EuGH 25. Januar 2024 - C-687/21 - [MediaMarktSaturn] Rn. 68; BAG 20. Juni 2024 - 8 AZR 124/23 - Rn. 13; BSG 24. September 2024 - B 7 AS 15/23 R - Rn. 31).
Unter einem Kontrollverlust versteht der EuGH daher nur eine Situation, in der die betroffene Person eine begründete Befürchtung des Datenmissbrauchs hegt (vgl. BSG 24. September 2024 - B 7 AS 15/23 R - Rn. 31). Das bloße Berufen auf eine bestimmte Gefühlslage reicht dabei nicht aus. Das Gericht hat vielmehr zu prüfen, ob das Gefühl unter Berücksichtigung der konkreten Umstände als begründet angesehen werden kann (EuGH 14. Dezember 2023 - C-340/21 - [Natsionalna agentsia za prihodite] Rn. 85). Dies setzt zwingend die Anwendung eines objektiven Maßstabs voraus (BAG 25. Juli 2024 - 8 AZR 225/23 - Rn. 33; BAG 20. Juni 2024 - 8 AZR 124/23 - Rn. 15; BAG 20. Februar 2025 - 8 AZR 61/24 - Rn. 10). Je gravierender die Folgen eines Verstoßes gegen die Datenschutz-Grundverordnung sind, desto näher liegt eine begründete Befürchtung des Datenmissbrauchs. So wird die Veröffentlichung von sensiblen Daten im Internet aufgrund eines Datenlecks typischerweise eine Grundlage für solche Befürchtungen darstellen (BAG 20. Februar 2025 - 8 AZR 61/24 - Rn. 10).
bb. Zwar wird mit dem Kläger davon auszugehen sein, dass er wegen des widerrechtlichen Kopierens seiner nicht näher bezeichneten personenbezogenen Daten einen Kontrollverlust bezüglich ihrer erlitten hat, eine begründete Sorge bezüglich des Eintritts eines weitergehenden Schadens ist jedoch nicht erkennbar.
Zunächst ist festzuhalten, dass die personenbezogenen Daten des Klägers im Internet oder im Darknet nicht eingestellt sind und auch zu keinem Zeitpunkt für einen Abruf dort zur Verfügung standen. Alleine ist im Darknet eine Liste mit Dateinamen eingestellt worden. Die einzelnen mit dem Dateinamen bezeichneten Dateien sind nicht einzusehen. Der Inhalt der Dateien ist, mit Ausnahme der Hackerorganisation selbst, Dritten nicht zugänglich. Hinzu kommt, dass die Beklagte unbestritten vorgetragen hat, dass es sich bei den kopierten Daten um eine riesige Menge nicht nur personenbezogener Daten handele, die unstrukturiert für unbefugte Dritte nicht nutzbar seien und von unbefugten Dritten auch nicht ohne massiven finanziellen Aufwand strukturiert werden könnten. Auch das Hochladen der Daten insgesamt dürfte für die Hackerorganisation aufgrund der Datenmenge einen ganz erheblichen Kostenfaktor darstellen. Bereits vor dem Hintergrund dieser Kosten und des erheblichen Aufwands, die Daten des Klägers strukturiert zusammenzufassen und darzustellen, erscheint es der Kammer ausgeschlossen, dass personenbezogene Daten des Klägers öffentlich gemacht werden.
Aber selbst, wenn die Kammer davon ausgehen wollte, dass die personenbezogenen Daten des Klägers zukünftig noch eingestellt werden könnten, wären begründete Befürchtungen eines Datenmissbrauchs nicht anzuerkennen. Entscheidend ist in diesem Zusammenhang, dass die Daten veraltet sind und ihr Wert für Dritte, die die Daten in schädigender Weise nutzen wollten, gegen Null tendiert. Zunächst ist nämlich darauf hinzuweisen, dass die Daten nicht dem Stand des Zeitpunkts des Kopierens entsprechen, sondern allenfalls dem Zeitpunkt des Ausscheidens des Klägers aus dem Arbeitsverhältnis mit der A am 30. November 2020. Anhaltspunkte dafür, dass die vormalige Arbeitgeberin nach dem Ausscheiden des Klägers seine Daten noch gepflegt hat, sind nicht gegeben. Hinzu kommt, dass auch im Zeitpunkt des Ausscheidens des Klägers aus dem Arbeitsverhältnis seine Daten, die knapp zwei Jahre später kopiert worden sind, nicht vollständig aktuell waren. Im Rahmen der Erörterungen im Verhandlungstermin vor der Kammer hat sich beispielsweise herausgestellt, dass die Festnetznummer des Klägers, die kopiert worden ist, nicht der im Jahr 2020 verwendeten Festnetznummer des Klägers entsprach. Die kopierte Nummer entstammte vielmehr der Zeit der Begründung des Arbeitsverhältnisses. Sie war also im Jahr 2006 aktuell gewesen, nicht mehr jedoch in den Jahren 2020 oder 2022. Gleiches gilt bzgl. des kopierten Wohnorts des Klägers. Auch hier wurde eine Wohnortangabe kopiert, die im Kalenderjahr 2020 nicht mehr aktuell war.
Begründete Befürchtungen eines Missbrauchs der personenbezogenen Daten des Klägers bezüglich seiner Bank-, Steuer-, Renten- und Sozialversicherungsdaten sowie seiner privaten Zugangsdaten und seiner Mobiltelefonnummer scheiden schon deshalb aus, weil die Beklagte diesbezüglich im Ergebnis unbestritten angegeben hat, diese Daten seien nicht kopiert worden.
Vor diesem Hintergrund greift auch das Vorbringen des Klägers zu einem materiellen Schadensersatz nicht durch. Seine erstmals mit Schriftsatz vom 03. Februar 2023 (Blatt 131 der Akte) aufgestellte und von der Beklagten bestrittene Behauptung "Mein Microsoft-Account wurde gehackt und es kam zu Abbuchungen für nicht bestelle Spiele-Abos auf der Microsoft Plattform (Wert ca. 200-300 EUR)" erläutert ungeachtet des Fehlens jeglicher hinreichender Substantiierung und ungeachtet von § 67 ArbGG nicht, wie dieser Schaden entstanden sein soll, wenn private Zugangsdaten und Bankdaten nicht von den Hackern kopiert worden sind.
c. Soweit der Kläger mit der Berufungsbegründung eine Verletzung der Art. 6, 12 bis 14, 33, 34 und 35 DSGVO rügt, fehlt es auch an einem schlüssigen Vortrag des Klägers zu einer Kausalität zwischen dem behaupteten Datenschutzverstoß und dem hier geltend gemachten Schaden. Hierauf hat das Arbeitsgericht bezüglich Art. 34 DSGVO bereits zutreffend hingewiesen.
2. Der auf den Ersatz etwaiger zukünftiger Schäden gerichtete Feststellungsantrag des Klägers ist bereits unzulässig.
Die Zulässigkeit eines Feststellungsantrags setzt, soweit er sich auf künftig erwachsende Schäden bezieht, eine nicht entfernt liegende, vom Kläger darzulegende (vgl. BGH 5. Oktober 2021 - VI ZR 136/20 - Rn. 28) Möglichkeit eines Schadens voraus, d.h. aufgrund des festgestellten Sachverhalts muss der Eintritt eines künftigen weiteren Schadens zumindest denkbar und möglich erscheinen (vgl. BAG 05. Juni 2025 - 8 AZR 117/24 - Rn. 29; BAG 29. März 2023 - 5 AZR 55/19 - Rn. 28; BGH 10. Januar 2023 - VI ZR 67/20 - Rn. 14 mwN). Eine gewisse Wahrscheinlichkeit eines Schadenseintritts muss bestehen (LAG Düsseldorf – 12 Sa 1007/23 - Rn. 162). Hiervon kann vorliegend, wie unter II.1.b.bb. gezeigt, nicht ausgegangen werden.
Unabhängig von der fehlenden Zulässigkeit des Feststellungsantrags stünde diesem auch entgegen, dass der Kläger mit seinem Antrag im Gegensatz zum Verfahren erster Instanz nunmehr ein Kopieren der Daten am 01. August 2022 behauptet, wofür sich in der Akte keine Anhaltspunkte finden lassen. Diese Widersprüchlichkeit des Vortrags erster und zweiter Instanz konnte auch im Verhandlungstermin trotz Nachfragen von dem Kläger nicht aufgeklärt werden. Eine Berichtigung des Antrags unterblieb.
Den Volltext der Entscheidung finden Sie hier:
Urteil vom 10.02.2026
12 SLa 709/25
Das LAG Hessen hat entschieden, dass ein Anspruch auf immateriellen Schadensersatz nach Art. 82 Abs. 1 DSGVO infolge eines Hackerangriffs ausscheidet, wenn der Betroffene den konkreten Datenabfluss nicht schlüssig darlegt und lediglich ein hypothetisches Risiko einer missbräuchlichen Verwendung behauptet. Nach Ansicht des Gerichts begründet ein Kontrollverlust nur dann einen entschädigungsfähigen immateriellen Schaden, wenn die Befürchtung eines Datenmissbrauchs unter Anwendung eines objektiven Maßstabs als begründet anzusehen ist.
Aus den Entscheidungsgründen:
1. Ein Schadenersatzanspruch nach Art. 82 Abs. 1 DSGVO setzt nach der Rechtsprechung des Gerichtshofs der Europäischen Union (EuGH) einen Verstoß gegen die Datenschutz-Grundverordnung, das Vorliegen eines materiellen oder immateriellen Schadens sowie einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß voraus, wobei diese drei Voraussetzungen kumulativ gegeben sein müssen (vgl. EuGH 4. Oktober 2024 - C-200/23 - [Agentsia po vpisvaniyata] Rn. 140; EuGH 4. Mai 2023 - C-300/21 - [Österreichische Post] Rn. 32; ebenso BAG 20. Februar 2025 - 8 AZR 61/24 - Rn. 10). Vorliegend fehlt es an allen drei Voraussetzungen.
Hinsichtlich der Darlegungs- und Beweislast gilt, dass die Person, die auf der Grundlage von Art. 82 Abs. 1 DSGVO den Ersatz eines immateriellen Schadens verlangt, nicht nur den Verstoß gegen Bestimmungen der Datenschutz-Grundverordnung nachweisen muss, sondern auch, dass ihr durch diesen Verstoß ein solcher Schaden entstanden ist (vgl. EuGH 11. April 2024 - C-741/21 - [juris] Rn. 35; EuGH 25. Januar 2024 - C-687/21 - [MediaMarktSaturn] Rn. 60 f.; BAG 20. Juni 2024 - 8 AZR 124/23 - Rn. 13; BAG 20. Februar 2025 - 8 AZR 61/24 - Rn. 10).
a. Es fehlt bereits an einem schlüssigen Vortrag des Klägers zu einem Verstoß gegen die Bestimmungen der DSGVO. Zwar sind unstreitig Daten des Klägers kopiert worden und im Darknet ist eine Liste von Dateinamen aufzufinden, die die von den Hackern kopierten Dateien bezeichnen. Es fehlt aber an dem von dem darlegungsverpflichteten Kläger zu erbringendem Vortrag, welche seiner Daten konkret von den Hackern kopiert worden sind. Über diese Kenntnis verfügt der Kläger, weil die Beklagte mit ihrem Auskunftsschreiben in der dem Schreiben beigefügten Anlage 2 die kopierten Daten konkret bezeichnet hat. Dieser Umstand ist von der Beklagten bereits im erstinstanzlichen Verfahren unbestritten vorgetragen worden und auch im Berufungsverfahren bis zuletzt unstreitig geblieben. Zwar hat der Kläger in der mündlichen Verhandlung vom 10. Februar 2026 auf Nachfrage des Vorsitzenden angegeben,nach seiner Erinnerung habe er die Anlage 2 zum Informationsschreiben der Beklagten über den Datenschutzvorfall nicht erhalten, dies stellt aber kein erhebliches Bestreiten dar. Einerseits belegt der Umstand, dass der Kläger im Rahmen der mündlichen Verhandlung auf seinem Mobiltelefon zwar eine Kopie des Auskunftsschreiben vorgefunden hat, nicht aber die Anlagen zu dem Schreiben, nicht, dass diese dem ursprünglichen Schreiben nicht beigefügt waren. Andererseits stellt sein Hinweis auf seine fehlende Erinnerung nicht die ausdrückliche Angabe dar, die Anlage seien nicht beigefügt gewesen. Im Übrigen wäre das erstmalige Bestreiten des Erhalts der Anlage 2 in der mündlichen Verhandlung vor dem Landesarbeitsgericht verspätet, da es zumindest nicht mit der Berufungsbegründung erfolgt ist, § 67 Abs. 4 ArbGG, und die Berücksichtigung zu einer Verzögerung des Berufungsverfahrens führen würde.
Soweit der Kläger mit seiner Berufungsbegründung die erstinstanzliche Behauptung hinsichtlich der konkret kopierten Daten wiederholt, fehlt es an einer Auseinandersetzung mit dem Vortrag der Beklagten, bei den laut Kläger angeblich kopierten Daten handele es sich nicht um die widerrechtlich kopierten Daten, sondern um Daten, die in Beschäftigungsverhältnissen von der Beklagten grundsätzlich gespeichert werden. Diese grundsätzlich erhobenen Daten seien im Auskunftsschreiben als Anlage 1 beigefügt gewesen, die widerrechtlich kopierten Daten des Klägers in Anlage 2. Hinzu kommt, dass die Beklagte hinsichtlich einzelner Daten, nämlich bezüglich der Bank-, Steuer-, Renten- und Sozialversicherungsdaten sowie hinsichtlich der privaten Zugangsdaten und der Handynummer des Klägers ausdrücklich vorgetragen hat, diese Daten seien nicht kopiert worden. Eine Auseinandersetzung des Klägers mit diesem Vorbringen fehlt ebenfalls.
Soweit der Kläger mit der Berufungsbegründung neben der erstinstanzlich behaupteten Verletzung von Art. 32 und 34 DSGVO erstmals und im Weg der Verwendung von Textbausteinen die Verletzung von Art. 6, 12 bis 14, 33 und 35 DSGVO rügt, fehlt es insgesamt an einem hinreichenden Vortrag zu einem Datenschutzverstoß.
b. Auch das Vorliegen eines immateriellen Schadens – einen materiellen Schaden behauptet der Kläger nicht schlüssig – kann nach Auffassung der Kammer vorliegend nicht anerkannt werden. Der Kläger beruft sich insoweit auf einen Kontrollverlust durch das Kopieren seiner Daten und auf seine Befürchtung einer missbräuchlichen Verwendung seiner Daten durch die Hackerorganisation.
aa. Zwar kann nach der Rechtsprechung des EuGH ein Kontrollverlust auch dann gegeben sein, wenn konkret keine missbräuchliche Verwendung der betreffenden Daten zum Nachteil der geschützten Person erfolgt sein sollte (vgl. EuGH 4. Oktober 2024 - C-200/23 - [Agentsia po vpisvaniyata] Rn. 144 ff.), denn es kann die entsprechende Gefahr bestanden haben. Die durch einen Verstoß gegen die Datenschutz-Grundverordnung ausgelöste Befürchtung einer betroffenen Person, ihre personenbezogenen Daten könnten von Dritten missbräuchlich verwendet werden, kann für sich genommen einen immateriellen Schaden i.S.v. Art. 82 Abs. 1 DSGVO darstellen (EuGH 25. Januar 2024 - C-687/21 - [MediaMarktSaturn] Rn. 65; EuGH 14. Dezember 2023 - C-340/21 - [Natsionalna agentsia za prihodite] Rn. 79 ff.). Das rein hypothetische Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten kann jedoch nicht zu einer Entschädigung führen (EuGH 25. Januar 2024 - C-687/21 - [MediaMarktSaturn] Rn. 68; BAG 20. Juni 2024 - 8 AZR 124/23 - Rn. 13; BSG 24. September 2024 - B 7 AS 15/23 R - Rn. 31).
Unter einem Kontrollverlust versteht der EuGH daher nur eine Situation, in der die betroffene Person eine begründete Befürchtung des Datenmissbrauchs hegt (vgl. BSG 24. September 2024 - B 7 AS 15/23 R - Rn. 31). Das bloße Berufen auf eine bestimmte Gefühlslage reicht dabei nicht aus. Das Gericht hat vielmehr zu prüfen, ob das Gefühl unter Berücksichtigung der konkreten Umstände als begründet angesehen werden kann (EuGH 14. Dezember 2023 - C-340/21 - [Natsionalna agentsia za prihodite] Rn. 85). Dies setzt zwingend die Anwendung eines objektiven Maßstabs voraus (BAG 25. Juli 2024 - 8 AZR 225/23 - Rn. 33; BAG 20. Juni 2024 - 8 AZR 124/23 - Rn. 15; BAG 20. Februar 2025 - 8 AZR 61/24 - Rn. 10). Je gravierender die Folgen eines Verstoßes gegen die Datenschutz-Grundverordnung sind, desto näher liegt eine begründete Befürchtung des Datenmissbrauchs. So wird die Veröffentlichung von sensiblen Daten im Internet aufgrund eines Datenlecks typischerweise eine Grundlage für solche Befürchtungen darstellen (BAG 20. Februar 2025 - 8 AZR 61/24 - Rn. 10).
bb. Zwar wird mit dem Kläger davon auszugehen sein, dass er wegen des widerrechtlichen Kopierens seiner nicht näher bezeichneten personenbezogenen Daten einen Kontrollverlust bezüglich ihrer erlitten hat, eine begründete Sorge bezüglich des Eintritts eines weitergehenden Schadens ist jedoch nicht erkennbar.
Zunächst ist festzuhalten, dass die personenbezogenen Daten des Klägers im Internet oder im Darknet nicht eingestellt sind und auch zu keinem Zeitpunkt für einen Abruf dort zur Verfügung standen. Alleine ist im Darknet eine Liste mit Dateinamen eingestellt worden. Die einzelnen mit dem Dateinamen bezeichneten Dateien sind nicht einzusehen. Der Inhalt der Dateien ist, mit Ausnahme der Hackerorganisation selbst, Dritten nicht zugänglich. Hinzu kommt, dass die Beklagte unbestritten vorgetragen hat, dass es sich bei den kopierten Daten um eine riesige Menge nicht nur personenbezogener Daten handele, die unstrukturiert für unbefugte Dritte nicht nutzbar seien und von unbefugten Dritten auch nicht ohne massiven finanziellen Aufwand strukturiert werden könnten. Auch das Hochladen der Daten insgesamt dürfte für die Hackerorganisation aufgrund der Datenmenge einen ganz erheblichen Kostenfaktor darstellen. Bereits vor dem Hintergrund dieser Kosten und des erheblichen Aufwands, die Daten des Klägers strukturiert zusammenzufassen und darzustellen, erscheint es der Kammer ausgeschlossen, dass personenbezogene Daten des Klägers öffentlich gemacht werden.
Aber selbst, wenn die Kammer davon ausgehen wollte, dass die personenbezogenen Daten des Klägers zukünftig noch eingestellt werden könnten, wären begründete Befürchtungen eines Datenmissbrauchs nicht anzuerkennen. Entscheidend ist in diesem Zusammenhang, dass die Daten veraltet sind und ihr Wert für Dritte, die die Daten in schädigender Weise nutzen wollten, gegen Null tendiert. Zunächst ist nämlich darauf hinzuweisen, dass die Daten nicht dem Stand des Zeitpunkts des Kopierens entsprechen, sondern allenfalls dem Zeitpunkt des Ausscheidens des Klägers aus dem Arbeitsverhältnis mit der A am 30. November 2020. Anhaltspunkte dafür, dass die vormalige Arbeitgeberin nach dem Ausscheiden des Klägers seine Daten noch gepflegt hat, sind nicht gegeben. Hinzu kommt, dass auch im Zeitpunkt des Ausscheidens des Klägers aus dem Arbeitsverhältnis seine Daten, die knapp zwei Jahre später kopiert worden sind, nicht vollständig aktuell waren. Im Rahmen der Erörterungen im Verhandlungstermin vor der Kammer hat sich beispielsweise herausgestellt, dass die Festnetznummer des Klägers, die kopiert worden ist, nicht der im Jahr 2020 verwendeten Festnetznummer des Klägers entsprach. Die kopierte Nummer entstammte vielmehr der Zeit der Begründung des Arbeitsverhältnisses. Sie war also im Jahr 2006 aktuell gewesen, nicht mehr jedoch in den Jahren 2020 oder 2022. Gleiches gilt bzgl. des kopierten Wohnorts des Klägers. Auch hier wurde eine Wohnortangabe kopiert, die im Kalenderjahr 2020 nicht mehr aktuell war.
Begründete Befürchtungen eines Missbrauchs der personenbezogenen Daten des Klägers bezüglich seiner Bank-, Steuer-, Renten- und Sozialversicherungsdaten sowie seiner privaten Zugangsdaten und seiner Mobiltelefonnummer scheiden schon deshalb aus, weil die Beklagte diesbezüglich im Ergebnis unbestritten angegeben hat, diese Daten seien nicht kopiert worden.
Vor diesem Hintergrund greift auch das Vorbringen des Klägers zu einem materiellen Schadensersatz nicht durch. Seine erstmals mit Schriftsatz vom 03. Februar 2023 (Blatt 131 der Akte) aufgestellte und von der Beklagten bestrittene Behauptung "Mein Microsoft-Account wurde gehackt und es kam zu Abbuchungen für nicht bestelle Spiele-Abos auf der Microsoft Plattform (Wert ca. 200-300 EUR)" erläutert ungeachtet des Fehlens jeglicher hinreichender Substantiierung und ungeachtet von § 67 ArbGG nicht, wie dieser Schaden entstanden sein soll, wenn private Zugangsdaten und Bankdaten nicht von den Hackern kopiert worden sind.
c. Soweit der Kläger mit der Berufungsbegründung eine Verletzung der Art. 6, 12 bis 14, 33, 34 und 35 DSGVO rügt, fehlt es auch an einem schlüssigen Vortrag des Klägers zu einer Kausalität zwischen dem behaupteten Datenschutzverstoß und dem hier geltend gemachten Schaden. Hierauf hat das Arbeitsgericht bezüglich Art. 34 DSGVO bereits zutreffend hingewiesen.
2. Der auf den Ersatz etwaiger zukünftiger Schäden gerichtete Feststellungsantrag des Klägers ist bereits unzulässig.
Die Zulässigkeit eines Feststellungsantrags setzt, soweit er sich auf künftig erwachsende Schäden bezieht, eine nicht entfernt liegende, vom Kläger darzulegende (vgl. BGH 5. Oktober 2021 - VI ZR 136/20 - Rn. 28) Möglichkeit eines Schadens voraus, d.h. aufgrund des festgestellten Sachverhalts muss der Eintritt eines künftigen weiteren Schadens zumindest denkbar und möglich erscheinen (vgl. BAG 05. Juni 2025 - 8 AZR 117/24 - Rn. 29; BAG 29. März 2023 - 5 AZR 55/19 - Rn. 28; BGH 10. Januar 2023 - VI ZR 67/20 - Rn. 14 mwN). Eine gewisse Wahrscheinlichkeit eines Schadenseintritts muss bestehen (LAG Düsseldorf – 12 Sa 1007/23 - Rn. 162). Hiervon kann vorliegend, wie unter II.1.b.bb. gezeigt, nicht ausgegangen werden.
Unabhängig von der fehlenden Zulässigkeit des Feststellungsantrags stünde diesem auch entgegen, dass der Kläger mit seinem Antrag im Gegensatz zum Verfahren erster Instanz nunmehr ein Kopieren der Daten am 01. August 2022 behauptet, wofür sich in der Akte keine Anhaltspunkte finden lassen. Diese Widersprüchlichkeit des Vortrags erster und zweiter Instanz konnte auch im Verhandlungstermin trotz Nachfragen von dem Kläger nicht aufgeklärt werden. Eine Berichtigung des Antrags unterblieb.
Den Volltext der Entscheidung finden Sie hier: