Aktuelles Arbeitsrecht Julie 2025

Auskunft über Verwendung persönlicher Daten verspätet – Schadensersatz?

Das Urteil Landesarbeitsgericht (LAG) Köln vom 19.02.2025 – 4 SLa 367/24 – befasst sich mit der Frage, ob die verspätete Auskunft über die Verwendung persönlicher Daten einen Schadensersatzanspruch auslöst.

Sachverhalt

Der Kläger, ein Arbeitnehmer, machte gegen seinen Arbeitgeber Ansprüche aus der Datenschutz-Grundverordnung (DSGVO) geltend. Konkret ging es um:

• Ein Auskunftsersuchen nach Art. 15 DSGVO: Der Kläger wollte wissen, welche personenbezogenen Daten sein Arbeitgeber über ihn gespeichert und verarbeitet hat.
• Die Antwort des Arbeitgebers kam nicht innerhalb der gesetzlichen Monatsfrist, sondern erst mehrere Monate später.
• Der Kläger behauptete, er habe durch diese verspätete Auskunft einen immateriellen Schaden erlitten. Er fühlte sich in seinem Grundrecht auf informationelle Selbstbestimmung verletzt und sah einen Kontrollverlust über seine Daten.
• Deshalb verlangte er vom Arbeitgeber einen Schadensersatz nach Art. 82 Abs. 1 DSGVO, und zwar in Form eines Schmerzensgeldes.

Entscheidung

Das LAG Köln wies die Klage ab. Es stellte zwar fest, dass der Arbeitgeber die Auskunft verspätet erteilt hatte – also gegen Art. 15 DSGVO verstoßen hatte –, aber ein bloßer Verstoß gegen die DSGVO genüge nicht, um automatisch Schadensersatz zu bekommen.
Es müsse ein konkreter, spürbarer Schaden vorliegen – und den habe der Kläger nicht ausreichend belegen können.

Entscheidungsgründe

Im einzelnen begründete das LAG seine Entscheidung mit folgenden Erwägungen:

• Arbeitgeber sind nach Art. 15 DSGVO verpflichtet, innerhalb eines Monats eine Auskunft zu erteilen, wenn ein Arbeitnehmer diese verlangt.
• Verstreiche diese Frist, liege ein Rechtsverstoß vor – das Gericht erkannte das ausdrücklich an.
• Für einen Anspruch auf Geldersatz nach Art. 82 DSGVO müsse aber ein „immaterieller Schaden“ (z. B. psychische Belastung, Kontrollverlust, Sorgen vor Datenmissbrauch etc.) konkret nachgewiesen werden. Vorliegend habe der Kläger lediglich behauptete, er habe einen „Kontrollverlust“ über seine Daten empfunden und sich „unsicher“ gefühlt. Das reichte dem Gericht nicht. Es habe keinen greifbaren, messbaren Nachteil gegeben, wie Identitätsdiebstahl, Veröffentlichung sensibler Daten, nachvollziehbare seelische Beeinträchtigungen oder sonstige belegbare negativen Folgen. Ein rein formaler DSGVO-Verstoß reiche nicht für Geldentschädigung. Nicht jeder Verstoß gegen die DSGVO führe automatisch zu Schadensersatz. In jedem Falle müsse der Arbeitnehmer individuell darlegen, wie ihn die verspätete Auskunft konkret beeinträchtigt habe.

Fazit

Arbeitgeber müssen innerhalb eines Monats auf Anfragen zur Datenauskunft reagieren. Eine verspätete Antwort verletzt das Recht, aber nur bei konkretem Nachteil gebe es Schadensersatz, denn ein solcher ist kein Strafgeld für Fehler, sondern ein Ausgleich für echte Beeinträchtigungen. Wer psychische Belastung oder Kontrollverlust geltend machen will, muss das konkret nachweisen können (z. B. durch Arztberichte, Tagebuch, Folgen).

(HHo 07.2025)