Ein ehemaliger Arbeitnehmer verlangte sechs Jahre nach Beendigung seines Arbeitsverhältnisses von der früheren Arbeitgeberin eine Auskunft gemäß Art. 15 Abs. 1 DSGVO. Die erste Anfrage blieb unbeantwortet. Erst nach erneuter Aufforderung erfolgte die Auskunft – verspätet, aber vollständig.
Der Arbeitnehmer verlangte daraufhin 10.000 € Schadensersatz nach Art. 82 Abs. 1 DSGVO, da er einen möglichen Datenmissbrauch befürchtete.
Rechtsgrundlage: Schadensersatz nach Art. 82 DSGVO
Art. 82 Abs. 1 DSGVO sieht einen Anspruch auf Schadensersatz für materielle und immaterielle Schäden infolge eines Verstoßes gegen die Verordnung vor. Der Schaden muss jedoch konkret nachgewiesen werden – ein bloßes ungutes Gefühl reicht nicht.
Keine Automatik – Das BAG zieht eine klare Linie
Das BAG (Urteil vom 20.02.2025 – 8 AZR 61/24) stellte klar: „Allein die verzögerte Auskunft über gespeicherte personenbezogene Daten löst noch keinen Schadensersatzanspruch aus.“
Keine Ersatzpflicht ohne konkreten Schaden
Der Verstoß gegen Art. 15 DSGVO allein genügt nicht – der Kläger muss einen materiellen oder immateriellen Nachteil konkret darlegen. Ohne erkennbaren Schaden liegt keine Ersatzpflicht vor.
Keine Anerkennung bloßer Befürchtungen
Hypothetische Sorgen über Datenmissbrauch oder Kontrollverlust genügen nicht. Es sei zu vermeiden, dass das Merkmal „Schaden“ zur leeren Hülle wird. Das BAG betont: Der Schaden ist keine automatische Folge des Verstoßes.
Konsequenzen für Arbeitgeber und Arbeitnehmer
Das Urteil entlastet Arbeitgeber: Eine verspätete Auskunft führt nicht automatisch zu einer Ersatzpflicht. Dennoch bleibt die Pflicht zur rechtzeitigen und vollständigen Auskunft gemäß Art. 15 DSGVO bestehen.
Arbeitnehmer müssen künftig darlegen und ggf. beweisen, welcher konkrete Schaden ihnen entstanden ist. Ein Verweis auf bloße Befürchtungen genügt nicht.
EuGH und BAG auf gemeinsamer Linie
Die Entscheidung stimmt mit der Rechtsprechung des Europäischen Gerichtshofs überein. Bereits in der Entscheidung EuGH, Urt. v. 04.05.2023, Rs. C-300/21 – Österreichische Post wurde betont, dass abstrakte Sorgen über Datenverarbeitung keinen Schadensersatzanspruch begründen.
Fazit: Keine Haftung ohne konkreten Nachteil
Das BAG setzt mit seinem Urteil vom 20. Februar 2025 klare Maßstäbe: Nicht jeder Verstoß gegen die DSGVO löst automatisch einen Schadensersatzanspruch aus. Es bedarf eines greifbaren Schadens.
Arbeitgeber sollten dennoch DSGVO-Anfragen zügig beantworten, um Konflikte zu vermeiden. Arbeitnehmer wiederum müssen ihre Ansprüche fundiert und nachvollziehbar begründen.
Benötigen Sie rechtliche Unterstützung zum Datenschutz im Arbeitsverhältnis? Kontaktieren Sie uns – wir beraten Sie kompetent.
