BAG: Ungutes Gefühl allein begründet bei verspäteter Auskunftserteilung nach Art. 15 DSGVO keinen Schadensersatzanspruch aus Art. 82 DSGVO
BAG
Urteil vom 20.02.2025
8 AZR 61/24
Das BAG hat entschieden, das ein ungutes Gefühl allein bei verspäteter Auskunftserteilung nach Art. 15 DSGVO keinen Schadensersatzanspruch aus Art. 82 DSGVO begründet.
Aus den Entscheidungsgründen:
bb) Das Landesarbeitsgericht hat ausgehend vom Vorbringen des Klägers auch einen Schaden in Form von negativen Gefühlen allein wegen der verspäteten Erfüllung des Auskunftsanspruchs rechtsfehlerfrei verneint.
(1) Ein immaterieller Schaden kann allein in negativen Gefühlen bestehen (vgl. BAG 17. Oktober 2024 – 8 AZR 215/23 – Rn. 18). Dies betrifft Konstellationen, in denen der bloße Verstoß gegen die Datenschutz-Grundverordnung zu der Befürchtung eines Datenmissbrauchs führt (vgl. EuGH 4. Oktober 2024 – C-200/23 – [Agentsia po vpisvaniyata] Rn. 144 mit Verweis auf die Erwägungsgründe 85 und 146 zur DSGVO; 20. Juni 2024 – C-590/22 – [PS (Fehlerhafte Anschrift)] Rn. 32). Da solche Gefühle für sich genommen nicht beweisbar sind, hat das nationale Gericht die Gesamtsituation und letztlich auch die Glaubwürdigkeit der jeweiligen Klagepartei auf der Grundlage eines substantiierten Sachvortrags zu beurteilen. Steht ein Verstoß gegen die Datenschutz-Grundverordnung iSv. Art. 82 Abs. 1 DSGVO nach richterlicher Beweiswürdigung iSv. § 286 Abs. 1 ZPO zum Nachteil der Klagepartei als geschützter Person fest, mindert sich das Beweismaß bzgl. der Entstehung und der Höhe des Schadens nach § 287 Abs. 1 ZPO (BAG 20. Juni 2024 – 8 AZR 124/23 – Rn. 16 unter Bezugnahme auf BAG 5. Mai 2022 – 2 AZR 363/21 – Rn. 14).
(2) Die verspätete Erfüllung des Auskunftsanspruchs löst geradezu zwangsläufig die Sorge eines Verstoßes gegen sonstige Verpflichtungen aus der Datenschutz-Grundverordnung aus. Dies mag sich mit der Revision als eine besondere Form des Kontrollverlusts darstellen, kann aber auch als eigenständige Fallgruppe verstanden werden. Letztlich ist diese Frage der Einordnung nicht entscheidungserheblich. Wäre schon das Berufen auf solche abstrakten Befürchtungen ausreichend für die Annahme eines Schadens, würde jeder Verstoß gegen Art. 15 DSGVO – so ein Verstoß dagegen einen Schadenersatzanspruch nach Art. 82 Abs. 1 DSGVO dem Grunde nach begründen könnte – zu einem immateriellen Schaden führen. Die eigenständige Voraussetzung des Schadens würde damit bedeutungslos (BAG 17. Oktober 2024 – 8 AZR 215/23 – Rn. 16). Sie wäre stets erfüllt. Dies ist jedoch mit dem dargestellten Normverständnis des Gerichtshofs von Art. 82 Abs. 1 DSGVO, das strikt zwischen Verstoß und Schaden unterscheidet, ebenso wenig zu vereinbaren wie mit den Anforderungen des nationalen Prozessrechts, das die substantiierte Darlegung eines Schadens verlangt (BAG 20. Juni 2024 – 8 AZR 124/23 – Rn. 18; 20. Juni 2024 – 8 AZR 91/22 – Rn. 18).
(a) Entgegen der Auffassung der Revision wird damit keine „vierte Tatbestandsvoraussetzung“, wonach „der Schaden keine dem Verordnungsverstoß immanente Folge sein darf“, geschaffen. Es bedeutet auch nicht, dass „eine besonders enge Kausalität zwischen Verordnungsverstoß und Schaden“ für die Annahme eines Schadens „schädlich“ wäre. Die Rechtsprechung des Gerichtshofs und des Senats folgt nur der in Art. 82 Abs. 1 DSGVO angelegten Eigenständigkeit des Erfordernisses eines Schadens. Dabei ist im Einzelfall zu beurteilen, ob der Verstoß gegen die Datenschutz-Grundverordnung ggf. so schwerwiegende Konsequenzen aufweist, dass ein Schaden in Form von Befürchtungen selbstverständlich angenommen werden kann (zB Datenleck bzgl. Bank- oder Gesundheitsdaten) oder ob der Schaden gesondert begründet werden muss. Dementsprechend besteht auch kein Widerspruch zum Urteil des Senats vom 25. Juli 2024 (- 8 AZR 225/23 -). Der Senat hat in diesem Fall einer unzulässigen Überwachung durch Detektive ausgeführt, der Verlust von Kontrolle und die daraus folgende Befürchtung weiterer Überwachung sei selbsterklärend und bedürfe keiner näheren Darlegung (BAG 25. Juli 2024 – 8 AZR 225/23 – Rn. 34). Diese Begründung war der Schwere der Auswirkungen des Verstoßes geschuldet und kann nicht auf eine lediglich verspätete Auskunftserteilung übertragen werden. Dementsprechend geht auch der Hinweis auf die einen anderen Sachverhalt (Datenabfluss) betreffende Entscheidung des Bundesgerichtshofs vom 18. November 2024 (- VI ZR 10/24 -) fehl.
(b) Gleiches gilt bzgl. der von der Revision angeführten Entscheidung des Obersten Gerichtshofs (Österreich) vom 23. Juni 2021 (- 6 Ob 56/21k -). Dieser Beschluss erging vor den maßgeblichen Urteilen des Gerichtshofs der Europäischen Union.
(c) Die von der Revision unter Bezugnahme auf Rechtsprechung und Schrifttum zutreffend angeführte Bedeutung des Auskunftsanspruchs für die Transparenz der Datenverarbeitung (vgl. hierzu EuGH 22. Juni 2023 – C-579/21 – [Pankki S] Rn. 59 mwN) steht dem Erfordernis der gesonderten Begründung eines Schadens nicht entgegen. Der Verstoß gegen Art. 15 DSGVO begründet auch dann für sich genommen keinen immateriellen Schaden iSv. Art. 82 Abs. 1 DSGVO, wenn die verzögerte oder zunächst verweigerte Auskunftserteilung der Durchsetzung von Rechten entgegensteht, denn dies steht in keinem Zusammenhang mit dem Zweck des Schadenersatzanspruchs. Dieser hat nur eine Ausgleichsfunktion, da eine auf Art. 82 Abs. 1 DSGVO gestützte Entschädigung in Geld ermöglichen soll, den konkret aufgrund des Verstoßes gegen diese Verordnung erlittenen Schaden vollständig auszugleichen. Er erfüllt keine Abschreckungs- oder Straffunktion (EuGH 25. Januar 2024 – C-687/21 – [MediaMarktSaturn] Rn. 50; 21. Dezember 2023 – C-667/21 – [Krankenversicherung Nordrhein] Rn. 87). Daran ändern auch die im Erwägungsgrund 75 zur Datenschutz-Grundverordnung beschriebenen Risiken nichts (aA Gola/Heckmann/Franck 3. Aufl. DSG-VO Art. 15 Rn. 72; Kühling/Buchner/Bergt 4. Aufl. DSG-VO Art. 82 Rn. 18c). Gleiches gilt für die im Erwägungsgrund 85 zur Datenschutz-Grundverordnung angeführten Schadensarten. Der von einem Verstoß gegen die Auskunftspflicht betroffenen Person bleibt zudem der Anspruch auf Ersatz eines etwaigen materiellen Schadens.
(d) Soweit die Revision die angeführte Rechtsprechung des Senats im Widerspruch zum unionsrechtlichen Grundsatz der Äquivalenz sieht, dringt sie ebenfalls nicht durch. Sie begründet diese These mit einem Vergleich zum Ersatz immaterieller Schäden nach § 15 Abs. 2 AGG. Bei diesem Anspruch liege der immaterielle Schaden bereits in der Rechtsverletzung selbst. Gleiches müsse für den Anspruch nach Art. 82 Abs. 1 DSGVO gelten, weil der Erwägungsgrund 85 zur Datenschutz-Grundverordnung die „Diskriminierung“ als Regelschaden benenne. Diese Argumentation verkennt, dass sich der Äquivalenzgrundsatz auf die Ausgestaltung des Verfahrens zur Rechtsdurchsetzung bezieht (vgl. EuGH 9. April 2024 – C-582/21 – [Profi Credit Polska] Rn. 40; BAG 5. Mai 2022 – 2 AZR 363/21 – Rn. 13 ff.). Die Revision behauptet selbst nicht, dass ein Anspruch aus Art. 82 Abs. 1 DSGVO im Hinblick auf das nationale Verfahrensrecht schwerer durchsetzbar wäre als ein solcher aus § 15 Abs. 2 AGG. Sie nimmt lediglich einen Vergleich der materiellen Tatbestandsvoraussetzungen der verschiedenen Normen vor. Deren unterschiedliche Ausgestaltung wird durch den Äquivalenzgrundsatz nicht berührt.
(3) Das Landesarbeitsgericht hat vor diesem Hintergrund zu Recht ausgeführt, dass der Vortrag des Klägers bzgl. angeblich zu befürchtenden „Schindluders“ keine nachvollziehbare Begründung enthält, wo die Beklagte doch in den vergangenen sechs Jahren unstreitig kein „Schindluder“ betrieben habe. Ebenfalls rechtsfehlerfrei ist die Auffassung des Landesarbeitsgerichts, wonach behauptete Emotionen wie Ärger oder Frust („genervt sein“), keinen immateriellen Schaden darstellen (vgl. Fuhlrott/Fischer NZA 2023, 606, 610). Es handelt sich hierbei nur um pauschal gehaltene Unmutsbekundungen.
2. Entgegen der Auffassung der Revision bedarf es keines Vorabentscheidungsersuchens nach Art. 267 AEUV zu der Frage, ob die Nichterfüllung des Auskunftsanspruchs aus Art. 15 iVm. Art. 12 Abs. 3 DSGVO ohne Weiteres einen immateriellen Schaden darstellt. Die Rechtslage ist aus den genannten Gründen durch den Gerichtshof geklärt. Aus demselben Grund muss auch die Antwort des Gerichtshofs auf die achte Vorlagefrage des Amtsgerichts Arnsberg im Verfahren – C-526/24 – [Brillen Rottler] vor dem Gerichtshof nicht abgewartet werden.
Den Volltext der Entscheidung finden Sie hier:
Urteil vom 20.02.2025
8 AZR 61/24
Das BAG hat entschieden, das ein ungutes Gefühl allein bei verspäteter Auskunftserteilung nach Art. 15 DSGVO keinen Schadensersatzanspruch aus Art. 82 DSGVO begründet.
Aus den Entscheidungsgründen:
bb) Das Landesarbeitsgericht hat ausgehend vom Vorbringen des Klägers auch einen Schaden in Form von negativen Gefühlen allein wegen der verspäteten Erfüllung des Auskunftsanspruchs rechtsfehlerfrei verneint.
(1) Ein immaterieller Schaden kann allein in negativen Gefühlen bestehen (vgl. BAG 17. Oktober 2024 – 8 AZR 215/23 – Rn. 18). Dies betrifft Konstellationen, in denen der bloße Verstoß gegen die Datenschutz-Grundverordnung zu der Befürchtung eines Datenmissbrauchs führt (vgl. EuGH 4. Oktober 2024 – C-200/23 – [Agentsia po vpisvaniyata] Rn. 144 mit Verweis auf die Erwägungsgründe 85 und 146 zur DSGVO; 20. Juni 2024 – C-590/22 – [PS (Fehlerhafte Anschrift)] Rn. 32). Da solche Gefühle für sich genommen nicht beweisbar sind, hat das nationale Gericht die Gesamtsituation und letztlich auch die Glaubwürdigkeit der jeweiligen Klagepartei auf der Grundlage eines substantiierten Sachvortrags zu beurteilen. Steht ein Verstoß gegen die Datenschutz-Grundverordnung iSv. Art. 82 Abs. 1 DSGVO nach richterlicher Beweiswürdigung iSv. § 286 Abs. 1 ZPO zum Nachteil der Klagepartei als geschützter Person fest, mindert sich das Beweismaß bzgl. der Entstehung und der Höhe des Schadens nach § 287 Abs. 1 ZPO (BAG 20. Juni 2024 – 8 AZR 124/23 – Rn. 16 unter Bezugnahme auf BAG 5. Mai 2022 – 2 AZR 363/21 – Rn. 14).
(2) Die verspätete Erfüllung des Auskunftsanspruchs löst geradezu zwangsläufig die Sorge eines Verstoßes gegen sonstige Verpflichtungen aus der Datenschutz-Grundverordnung aus. Dies mag sich mit der Revision als eine besondere Form des Kontrollverlusts darstellen, kann aber auch als eigenständige Fallgruppe verstanden werden. Letztlich ist diese Frage der Einordnung nicht entscheidungserheblich. Wäre schon das Berufen auf solche abstrakten Befürchtungen ausreichend für die Annahme eines Schadens, würde jeder Verstoß gegen Art. 15 DSGVO – so ein Verstoß dagegen einen Schadenersatzanspruch nach Art. 82 Abs. 1 DSGVO dem Grunde nach begründen könnte – zu einem immateriellen Schaden führen. Die eigenständige Voraussetzung des Schadens würde damit bedeutungslos (BAG 17. Oktober 2024 – 8 AZR 215/23 – Rn. 16). Sie wäre stets erfüllt. Dies ist jedoch mit dem dargestellten Normverständnis des Gerichtshofs von Art. 82 Abs. 1 DSGVO, das strikt zwischen Verstoß und Schaden unterscheidet, ebenso wenig zu vereinbaren wie mit den Anforderungen des nationalen Prozessrechts, das die substantiierte Darlegung eines Schadens verlangt (BAG 20. Juni 2024 – 8 AZR 124/23 – Rn. 18; 20. Juni 2024 – 8 AZR 91/22 – Rn. 18).
(a) Entgegen der Auffassung der Revision wird damit keine „vierte Tatbestandsvoraussetzung“, wonach „der Schaden keine dem Verordnungsverstoß immanente Folge sein darf“, geschaffen. Es bedeutet auch nicht, dass „eine besonders enge Kausalität zwischen Verordnungsverstoß und Schaden“ für die Annahme eines Schadens „schädlich“ wäre. Die Rechtsprechung des Gerichtshofs und des Senats folgt nur der in Art. 82 Abs. 1 DSGVO angelegten Eigenständigkeit des Erfordernisses eines Schadens. Dabei ist im Einzelfall zu beurteilen, ob der Verstoß gegen die Datenschutz-Grundverordnung ggf. so schwerwiegende Konsequenzen aufweist, dass ein Schaden in Form von Befürchtungen selbstverständlich angenommen werden kann (zB Datenleck bzgl. Bank- oder Gesundheitsdaten) oder ob der Schaden gesondert begründet werden muss. Dementsprechend besteht auch kein Widerspruch zum Urteil des Senats vom 25. Juli 2024 (- 8 AZR 225/23 -). Der Senat hat in diesem Fall einer unzulässigen Überwachung durch Detektive ausgeführt, der Verlust von Kontrolle und die daraus folgende Befürchtung weiterer Überwachung sei selbsterklärend und bedürfe keiner näheren Darlegung (BAG 25. Juli 2024 – 8 AZR 225/23 – Rn. 34). Diese Begründung war der Schwere der Auswirkungen des Verstoßes geschuldet und kann nicht auf eine lediglich verspätete Auskunftserteilung übertragen werden. Dementsprechend geht auch der Hinweis auf die einen anderen Sachverhalt (Datenabfluss) betreffende Entscheidung des Bundesgerichtshofs vom 18. November 2024 (- VI ZR 10/24 -) fehl.
(b) Gleiches gilt bzgl. der von der Revision angeführten Entscheidung des Obersten Gerichtshofs (Österreich) vom 23. Juni 2021 (- 6 Ob 56/21k -). Dieser Beschluss erging vor den maßgeblichen Urteilen des Gerichtshofs der Europäischen Union.
(c) Die von der Revision unter Bezugnahme auf Rechtsprechung und Schrifttum zutreffend angeführte Bedeutung des Auskunftsanspruchs für die Transparenz der Datenverarbeitung (vgl. hierzu EuGH 22. Juni 2023 – C-579/21 – [Pankki S] Rn. 59 mwN) steht dem Erfordernis der gesonderten Begründung eines Schadens nicht entgegen. Der Verstoß gegen Art. 15 DSGVO begründet auch dann für sich genommen keinen immateriellen Schaden iSv. Art. 82 Abs. 1 DSGVO, wenn die verzögerte oder zunächst verweigerte Auskunftserteilung der Durchsetzung von Rechten entgegensteht, denn dies steht in keinem Zusammenhang mit dem Zweck des Schadenersatzanspruchs. Dieser hat nur eine Ausgleichsfunktion, da eine auf Art. 82 Abs. 1 DSGVO gestützte Entschädigung in Geld ermöglichen soll, den konkret aufgrund des Verstoßes gegen diese Verordnung erlittenen Schaden vollständig auszugleichen. Er erfüllt keine Abschreckungs- oder Straffunktion (EuGH 25. Januar 2024 – C-687/21 – [MediaMarktSaturn] Rn. 50; 21. Dezember 2023 – C-667/21 – [Krankenversicherung Nordrhein] Rn. 87). Daran ändern auch die im Erwägungsgrund 75 zur Datenschutz-Grundverordnung beschriebenen Risiken nichts (aA Gola/Heckmann/Franck 3. Aufl. DSG-VO Art. 15 Rn. 72; Kühling/Buchner/Bergt 4. Aufl. DSG-VO Art. 82 Rn. 18c). Gleiches gilt für die im Erwägungsgrund 85 zur Datenschutz-Grundverordnung angeführten Schadensarten. Der von einem Verstoß gegen die Auskunftspflicht betroffenen Person bleibt zudem der Anspruch auf Ersatz eines etwaigen materiellen Schadens.
(d) Soweit die Revision die angeführte Rechtsprechung des Senats im Widerspruch zum unionsrechtlichen Grundsatz der Äquivalenz sieht, dringt sie ebenfalls nicht durch. Sie begründet diese These mit einem Vergleich zum Ersatz immaterieller Schäden nach § 15 Abs. 2 AGG. Bei diesem Anspruch liege der immaterielle Schaden bereits in der Rechtsverletzung selbst. Gleiches müsse für den Anspruch nach Art. 82 Abs. 1 DSGVO gelten, weil der Erwägungsgrund 85 zur Datenschutz-Grundverordnung die „Diskriminierung“ als Regelschaden benenne. Diese Argumentation verkennt, dass sich der Äquivalenzgrundsatz auf die Ausgestaltung des Verfahrens zur Rechtsdurchsetzung bezieht (vgl. EuGH 9. April 2024 – C-582/21 – [Profi Credit Polska] Rn. 40; BAG 5. Mai 2022 – 2 AZR 363/21 – Rn. 13 ff.). Die Revision behauptet selbst nicht, dass ein Anspruch aus Art. 82 Abs. 1 DSGVO im Hinblick auf das nationale Verfahrensrecht schwerer durchsetzbar wäre als ein solcher aus § 15 Abs. 2 AGG. Sie nimmt lediglich einen Vergleich der materiellen Tatbestandsvoraussetzungen der verschiedenen Normen vor. Deren unterschiedliche Ausgestaltung wird durch den Äquivalenzgrundsatz nicht berührt.
(3) Das Landesarbeitsgericht hat vor diesem Hintergrund zu Recht ausgeführt, dass der Vortrag des Klägers bzgl. angeblich zu befürchtenden „Schindluders“ keine nachvollziehbare Begründung enthält, wo die Beklagte doch in den vergangenen sechs Jahren unstreitig kein „Schindluder“ betrieben habe. Ebenfalls rechtsfehlerfrei ist die Auffassung des Landesarbeitsgerichts, wonach behauptete Emotionen wie Ärger oder Frust („genervt sein“), keinen immateriellen Schaden darstellen (vgl. Fuhlrott/Fischer NZA 2023, 606, 610). Es handelt sich hierbei nur um pauschal gehaltene Unmutsbekundungen.
2. Entgegen der Auffassung der Revision bedarf es keines Vorabentscheidungsersuchens nach Art. 267 AEUV zu der Frage, ob die Nichterfüllung des Auskunftsanspruchs aus Art. 15 iVm. Art. 12 Abs. 3 DSGVO ohne Weiteres einen immateriellen Schaden darstellt. Die Rechtslage ist aus den genannten Gründen durch den Gerichtshof geklärt. Aus demselben Grund muss auch die Antwort des Gerichtshofs auf die achte Vorlagefrage des Amtsgerichts Arnsberg im Verfahren – C-526/24 – [Brillen Rottler] vor dem Gerichtshof nicht abgewartet werden.
Den Volltext der Entscheidung finden Sie hier: