Schadensersatzanspruch bei nicht rechtzeitiger Auskunft gemäß Art. 15 DSGVO

Dabei machen es sich DSGVO-Hopper zunutze, dass arbeitgeberseits oft Unklarheit besteht, wie genau die Auskunft erteilt werden muss und – selbst wenn ein solches Bewusstsein besteht – der Aufwand für den Arbeitgeber, dem Auskunftsbegehren ordnungsgemäß nachzukommen, in der Regel erheblich ist. Oftmals sind Arbeitgeber mit der Erteilung der Auskunft schlicht überfordert und erteilen die Auskunft entweder überhaupt nicht oder (oft nach anwaltlicher Beratung) erst mit deutlicher Verzögerung.

Die Datenauskunft ist gemäß Art. 12 DSGVO „unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags“ zu erteilen. Weit überwiegend wird dabei angenommen, dass ein Verstoß gegen die Auskunftspflicht erst dann vorliege, wenn der Antrag nach einem Monat nicht beschieden worden sei. Zum Teil wird aber auch vertreten, dass die Monatsfrist nur eine Höchstfrist sei und ein Verstoß damit auch bereits früher vorliegen könne, wenn (z.B. bei einfach gelagerten Sachverhalten) eine frühere Auskunftserteilung möglich und geboten sei (so etwa ArbG Duisburg v. 23.3.2023 – 3 Ca 44/23).

Verstöße gegen die Auskunftserteilungspflicht sind gemäß Art. 82 DSGVO schadensersatzbewehrt. Sowohl bei unterbliebener als auch bei verspäteter Auskunftserteilung stellt sich aber die Frage, ob und inwieweit der Arbeitnehmer oder Bewerber dazu nachweisen muss, dass er infolge der nicht rechtzeitigen Auskunft tatsächlich einen Schaden erlitten hat. Nach der DSGVO gilt als ersatzfähiger (immaterieller) Schaden ausdrücklich auch der bloße Verlust der Kontrolle über personenbezogenen Daten (sog. „Kontrollverlust“). Anerkannt sind etwa Fallkonstellationen, in denen der Arbeitnehmer befürchten muss, dass seine personenbezogenen Daten aufgrund eines DSGVO-Verstoßes des Arbeitgebers (z.B. unzureichende Sicherheitsmaßnahmen gem. Art. 32 DSGVO) durch Dritte missbräuchlich verwendet werden (vgl. EuGH v. 14.12.2023 – C-340/21).

Auf einen solchen Kontrollverlust berufen sich auch die eingangs erwähnten DSGVO-Hopper, etwa indem sie anführen, sie hätten durch die (temporäre) Ungewissheit, an wen ihre Daten weitergegeben worden seien, einen immateriellen („Gefühls-“) Schaden erlitten. Oft wird auch darauf verwiesen, dass man von dem DSGVO-widrigen Verhalten des Unternehmens „genervt“ sei und der Verstoß zu „emotionalem Ungemach“ geführt habe. Darüber hinaus wird typischerweise auf eine Fülle an Rechtsprechung verwiesen, der zufolge Verstöße gegen die Auskunftspflicht Schadensersatzansprüche von bis zu EUR 10.000 nach sich gezogen haben sollen. 

Von solchen Drohungen sollte man sich nicht blenden lassen. Laut dem EuGH reicht ein bloßer Verstoß gegen Art. 15 DSGVO nicht aus, um einen Schadensatzanspruch nach Art. 82 DSGVO zu begründen (EuGH v. 4.5.2023 – C-300/21; bestätigt durch EuGH v. 11.04.2024 – C-741/21). Vielmehr ist in der Rechtsprechung anerkannt, dass auch bei einer zu spät erteilten Auskunft nach Art. 15 DSGVO etwa vorgetragen werden muss, inwiefern konkret ein Kontrollverlust zu befürchten oder eingetreten ist, um einen Schadensersatzanspruch geltend zu machen (vgl. LAG Baden-Württemberg v. 27.07.2023 – 3 Sa 33/22, LAG Düsseldorf v. 28.11.2023 – 3 Sa 285/23, ArbG Hamburg v. 14.11.2023 – 19 Ca 223/23). Insoweit müssen Gerichte prüfen, ob die Befürchtung, die personenbezogenen Daten würden in Zukunft missbräuchlich verwendet, unter den jeweiligen Umständen und im Hinblick auf die betroffene Person begründet ist. Hierzu machen DSGVO-Hopper in der Regel keine Angaben.

Durch die EuGH-Rechtsprechung wird DSGVO-Hoppern das Leben erschwert, da diese einen Schaden typischerweise nicht konkret genug darlegen können, sondern sich auf pauschale Behauptungen beschränken. Das ist zu begrüßen. Unabhängig davon sollten Arbeitgeber aber ihre gesetzlichen Pflichten – rechtzeitig – erfüllen, um schon von vornherein jegliches Risiko und Bußgelder zu vermeiden.