Aktuelles Arbeitsrecht März 2025

„Negative Gefühle“ reichen nicht für Schadensersatz

Am 17. Oktober 2024 entschied das Bundesarbeitsgericht – 8 AZR 215/23 – über Schadensersatzansprüche aufgrund fehlerhafter Auskünfte nach der Datenschutz-Grundverordnung (DSGVO).

Sachverhalt

Ein Auszubildender eines Fitnessstudios verlangte vom Arbeitgeber Auskunft über seine gespeicherten personenbezogenen Daten gemäß Art. 15 DSGVO. Der Arbeitgeber hatte zuvor den privat genutzten USB-Stick des Auszubildenden wegen des Verdachts auf unzulässige Speicherung von Mitgliederdaten eingezogen. In der ersten Instanz teilte der Arbeitgeber mit, lediglich grundlegende Daten wie Name, Geburtsdatum und Arbeitszeiterfassung gespeichert zu haben. Der Auszubildende befürchtete jedoch, dass auf dem USB-Stick private Fotos und Videos gespeichert seien und diese missbräuchlich verwendet oder an Dritte weitergegeben werden könnten. Er gab an, dadurch nervlich belastet zu sein, unter Schlafstörungen zu leiden und Angst vor körperlicher Gewalt – er fühlte sich von einem der Inhaber des Fitnessstudios bedroht – zu haben. Er klagte auf Schadensersatz.

Entscheidungsgründe

Das Bundesarbeitsgericht wies die Klage ab und stellte klar, dass für einen Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO drei Voraussetzungen erfüllt sein müssen:

1. Verstoß gegen die DSGVO: Es muss eine Verletzung der Datenschutzvorschriften vorliegen.
2. Entstandener Schaden: Der Anspruchsteller muss einen konkreten Schaden erlitten haben.
3. Ursächlichkeit: Zwischen dem Verstoß und dem Schaden muss ein ursächlicher Zusammenhang bestehen.

Im vorliegenden Fall ließ das Bundesarbeitsgericht offen, ob ein Verstoß gegen die DSGVO vorlag, da bereits die Darlegung eines konkreten Schadens fehlte. Das Gericht betonte, dass negative Gefühle wie Unsicherheit oder Befürchtungen allein nicht ausreichen, um einen immateriellen Schadensersatzanspruch zu begründen. Solche Empfindungen müssten objektiv nachvollziehbar und durch konkrete Umstände untermauert sein. Die bloße Angst vor möglichem Datenmissbrauch ohne weitere Anhaltspunkte genüge nicht. Zudem stellte das Bundesarbeitsgericht klar, dass Art. 82 Abs. 1 DSGVO keine Straf- oder Abschreckungsfunktion habe, sondern ausschließlich dem Ausgleich von tatsächlich erlittenen Schäden diene. Die Wegnahme des USB-Sticks allein begründe keinen Schadensersatzanspruch, solange kein konkreter Missbrauch der darauf befindlichen Daten nachgewiesen wird.

Fazit: Dieses Urteil verdeutlicht, dass für Schadensersatzansprüche nach der DSGVO nicht nur ein Verstoß gegen Datenschutzvorschriften vorliegen muss, sondern auch ein konkret nachweisbarer Schaden. Arbeitnehmer sollten daher bei der Geltendmachung solcher Ansprüche detailliert darlegen können, welcher spezifische Schaden ihnen durch den Datenschutzverstoß entstanden ist. Arbeitgeber wiederum sollten sicherstellen, dass sie Auskunftsersuchen gemäß Art. 15 DSGVO sorgfältig und vollständig beantworten, um möglichen Schadensersatzforderungen vorzubeugen.

(HHo 03.2025)