Schadenersatz nach Art. 82 Abs. 1 DSGVO - Darlegung des Schadens - Nichterfüllung des Auskunftsanspruchs nach Art. 15 DSGVO
Gesetze: Art 82 Abs 1 EUV 2016/679, Art 15 EUV 2016/679
Instanzenzug: Az: 27 Ca 11237/19 Urteilvorgehend LArbG Berlin-Brandenburg Az: 10 Sa 443/21 Urteil
Tatbestand
1Die Parteien streiten - soweit für das Revisionsverfahren von Bedeutung - über einen Anspruch auf Entschädigung nach Art. 82 Abs. 1 DSGVO.
2Der Kläger war langjährig bei der Beklagten als Koch beschäftigt. Mit anwaltlichem Schreiben vom hat der Kläger die Beklagte unter Fristsetzung bis zum zur Auskunft nach Art. 15 Abs. 1 DSGVO zu zwei Vorgängen aufgefordert. Das Aufforderungsschreiben hat auszugsweise folgenden Wortlaut:
3Darauf antwortete die Beklagte mit Schreiben vom unter Beifügung mehrerer Unterlagen wie folgt:
4Der Kläger hat - unter Bezugnahme auf sein ursprüngliches Auskunftsverlangen und ohne inhaltliche Rüge der bereits erteilen Auskünfte - die Ansicht vertreten, die Beklagte habe die ihm nach Art. 15 Abs. 1 DSGVO zustehenden Informationsansprüche bis heute nicht vollständig erfüllt. Durch die jahrelang verspätete Auskunft bleibe er weiterhin über wesentliche Faktoren der Datenverarbeitung im Dunkeln und ihm sei die Prüfung verwehrt, ob und wie die Beklagte seine personenbezogenen Daten verarbeite. Die Beklagte schulde ihm deshalb immateriellen Schadenersatz nach Art. 82 Abs. 1 DSGVO. Der Anspruch werde hilfsweise aus vertraglicher, hierzu hilfsweise vertragsähnlicher, hierzu hilfsweise deliktischer Haftung geltend gemacht. Eine Entschädigung iHv. insgesamt 8.000,00 Euro sei angesichts der langen Dauer des Verstoßes jedenfalls angemessen.
5Der Kläger hat, soweit für das Revisionsverfahren von Bedeutung, beantragt,
6Die Beklagte hat beantragt, die Klage abzuweisen.
7Das Arbeitsgericht hat die Klage insoweit abgewiesen. Auf die Berufung des Klägers hat das Landesarbeitsgericht das Urteil des Arbeitsgerichts teilweise abgeändert und der Klage auf Schadenersatz iHv. 2.000,00 Euro stattgegeben. Mit der vom Landesarbeitsgericht zugelassenen Revision begehrt der Kläger eine 2.000,00 Euro übersteigende Entschädigung, die Beklagte begehrt die teilweise Aufhebung des Berufungsurteils und die vollständige Zurückweisung der Berufung des Klägers.
Gründe
8Die Revision der Beklagten ist zulässig und begründet. Die zulässige Revision des Klägers hat hingegen keinen Erfolg.
9I. Die Revision des Klägers und die Revision der Beklagten sind aufgrund der Zulassung im Tenor des Berufungsurteils statthaft und auch im Übrigen zulässig. Dem steht nicht entgegen, dass das Landesarbeitsgericht in den Urteilsgründen ausgeführt hat, eine Zulassung der Revision komme nicht in Betracht, weil die gesetzlichen Voraussetzungen nicht vorgelegen hätten. Nach § 72 Abs. 1 Satz 2 ArbGG iVm. § 64 Abs. 3a Satz 1 ArbGG ist die Entscheidung, ob die Revision zugelassen wird oder nicht, in den Urteilstenor aufzunehmen. Die Regelung ist aus Gründen der Rechtssicherheit und Rechtsklarheit erfolgt. Dadurch steht im Zeitpunkt der Verkündung der Entscheidung fest, ob die unterlegene Partei das Urteil mit der Revision angreifen kann und die obsiegende Partei noch mit der Durchführung eines Revisionsverfahrens rechnen muss (vgl. - zu II 2 der Gründe, BAGE 105, 308). Eine im Tenor ausgesprochene Zulassung der Revision kann in den Entscheidungsgründen nicht mehr wirksam eingeschränkt oder ausgeschlossen werden (vgl. - Rn. 11 mwN, BAGE 163, 326). Im Übrigen begegnen die Revisionen keinen Zulässigkeitsbedenken.
10II. Die Revision der Beklagten ist begründet, die des Klägers hingegen unbegründet. Das Landesarbeitsgericht hat das arbeitsgerichtliche Urteil auf die Berufung des Klägers zu Unrecht teilweise abgeändert und der Klage iHv. 2.000,00 Euro zzgl. Zinsen stattgegeben. Die zulässige Klage ist insgesamt nicht begründet. Der Kläger hat gegen die Beklagte keinen Anspruch auf Ersatz eines immateriellen Schadens nach Art. 82 Abs. 1 DSGVO. Insoweit kann dahinstehen, ob Art. 15 Abs. 1 DSGVO durch das Recht auf Einsicht in die Personalakte nach § 83 Abs. 1 BetrVG im Arbeitsverhältnis verdrängt wird (vgl. dazu Franzen NZA 2020, 1593, 1596), ob eine Verletzung des Auskunftsanspruchs aus Art. 15 Abs. 1 und Abs. 3 DSGVO überhaupt einen Anspruch aus Art. 82 Abs. 1 DSGVO zu begründen vermag (vgl. - Rn. 11) und ob der Kläger eine Verletzung seines Auskunftsanspruchs nach Art. 15 Abs. 1 DSGVO, mit Blick auf die erteilten Auskünfte, überhaupt dargelegt hat. Der Kläger hat vorliegend - entgegen der Auffassung des Landesarbeitsgerichts - jedenfalls keinen Schaden iSv. Art. 82 Abs. 1 DSGVO dargelegt.
111. Das Erfordernis eines Schadens und die entsprechende Darlegungslast der Klagepartei ist durch die jüngsten Entscheidungen des Gerichtshofs der Europäischen Union hinreichend geklärt (vgl. hierzu (B) - Rn. 5 f.).
12a) Aus dem Wortlaut des Art. 82 Abs. 1 DSGVO geht klar hervor, dass das Vorliegen eines „Schadens“ eine der Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadenersatzanspruch darstellt, ebenso wie das Vorliegen eines Verstoßes gegen die Datenschutz-Grundverordnung und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind ( - [MediaMarktSaturn] Rn. 58; - C-340/21 - [Natsionalna agentsia za prihodite] Rn. 77; - C-300/21 - [Österreichische Post] Rn. 32). Der Schadenersatzanspruch hat, insbesondere im Fall eines immateriellen Schadens, eine Ausgleichsfunktion, da eine auf Art. 82 Abs. 1 DSGVO gestützte Entschädigung in Geld ermöglichen soll, den konkret aufgrund des Verstoßes gegen diese Verordnung erlittenen Schaden vollständig auszugleichen, und erfüllt keine Abschreckungs- oder Straffunktion ( - [MediaMarktSaturn] Rn. 50; - C-667/21 - [Krankenversicherung Nordrhein] Rn. 87). Der Schaden muss keinen bestimmten Grad an Erheblichkeit erreicht haben ( - [Gemeinde Ummendorf] Rn. 16 und - C-340/21 - [Natsionalna agentsia za prihodite] Rn. 78; - C-300/21 - [Österreichische Post] Rn. 51).
13b) Hinsichtlich der Darlegungs- und Beweislast hat der Gerichtshof der Europäischen Union klargestellt, dass die Person, die auf der Grundlage von Art. 82 Abs. 1 DSGVO den Ersatz eines immateriellen Schadens verlangt, nicht nur den Verstoß gegen Bestimmungen dieser Verordnung nachweisen muss, sondern auch, dass ihr durch diesen Verstoß ein solcher Schaden entstanden ist ( - [juris] Rn. 35; - C-687/21 - [MediaMarktSaturn] Rn. 60 f.). Da der 85. Erwägungsgrund der Datenschutz-Grundverordnung ausdrücklich den „Verlust der Kontrolle“ zu den Schäden zählt, die durch eine Verletzung des Schutzes personenbezogener Daten verursacht werden können, hat der Gerichtshof entschieden, dass der - selbst kurzzeitige - Verlust der Kontrolle über solche Daten einen „immateriellen Schaden“ iSv. Art. 82 Abs. 1 DSGVO darstellen kann, der einen Schadenersatzanspruch begründet, sofern die betroffene Person den Nachweis erbringt, dass sie tatsächlich einen solchen Schaden - so geringfügig er auch sein mag - erlitten hat ( - [juris] Rn. 42; - C-687/21 - [MediaMarktSaturn] Rn. 66). Dabei kann die durch einen Verstoß gegen die Datenschutz-Grundverordnung ausgelöste Befürchtung einer betroffenen Person, ihre personenbezogenen Daten könnten von Dritten missbräuchlich verwendet werden, für sich genommen einen „immateriellen Schaden“ iSv. Art. 82 Abs. 1 DSGVO darstellen ( - [MediaMarktSaturn] Rn. 65; - C-340/21 - [Natsionalna agentsia za prihodite] Rn. 79 ff.). Ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten kann jedoch nicht zu einer Entschädigung führen ( - [MediaMarktSaturn] Rn. 68). Das angerufene nationale Gericht muss vielmehr prüfen, ob die Befürchtung der missbräuchlichen Datenverwendung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann ( - [Natsionalna agentsia za prihodite] Rn. 85).
14c) Vor dem Hintergrund dieser aktuellen Rechtsprechung des Gerichtshofs der Europäischen Union zum Erfordernis eines Schadens und der entsprechenden Darlegungslast der Klagepartei kommt es nach Auffassung des Senats auf die Vorlage des - VI ZR 97/22 - Rn. 30 ff.) nicht an. Der Bundesgerichtshof hat dem Gerichtshof der Europäischen Union die Frage gestellt, ob Art. 82 Abs. 1 DSGVO dahin gehend auszulegen ist, dass für die Annahme eines immateriellen Schadens bloße negative Gefühle wie zB Ärger, Unmut, Unzufriedenheit, Sorge und Angst genügen oder ob für die Annahme eines Schadens ein über diese Gefühle hinausgehender Nachteil für die betroffene natürliche Person erforderlich ist. Diese Frage ist durch die nach der Vorlage des Bundesgerichtshofs ergangene Rechtsprechung des Gerichtshofs der Europäischen Union jedenfalls bezogen auf die Sorge vor Datenverlust bzw. unrechtmäßiger Datenverwendung beantwortet (aA Rombach/Hoeren WuB 2024, 28, 32; Scharpf jurisPR-ITR 8/2024 Anm. 5 unter C; vgl. auch - Rn. 6).
15aa) Nach der Rechtsprechung des Gerichtshofs der Europäischen Union können negative Gefühle („Befürchtung“) in solchen Konstellationen einen Anspruch auf Ersatz des immateriellen Schadens begründen. Das bloße Berufen auf eine bestimmte Gefühlslage reicht aber nicht aus, denn das Gericht hat, wie dargestellt, zu prüfen, ob das Gefühl unter Berücksichtigung der konkreten Umstände „als begründet angesehen werden kann“ ( - [Natsionalna agentsia za prihodite] Rn. 85). Dies setzt zwingend die Anwendung eines objektiven Maßstabs voraus (idS auch Halder/Maluszczak jurisPR-ITR 3/2024 Anm. 4 unter D; Sorber/Lohmann BB 2023, 1652, 1655; Peisker/Zhou BB 2024, 308, 310; aA Rudkowski NZA 2024, 1, 7). Dabei ist ua. die objektive Bestimmung des Missbrauchsrisikos der Daten von Bedeutung (vgl. Arning/Dirkers DB 2024, 381, 383).
16bb) Dem steht nicht entgegen, dass Art. 82 Abs. 1 DSGVO nach der Rechtsprechung des Gerichtshofs der Europäischen Union nicht verlangt, dass ein erlittener Nachteil spürbar oder eine Beeinträchtigung objektiv sein muss ( - [Gemeinde Ummendorf] Rn. 17). Damit hat der Gerichtshof nur klargestellt, dass es keine „Bagatellgrenze“ gibt. Der objektive Maßstab bzgl. des Vorliegens eines Schadens als solchen ist hiervon zu unterscheiden. Besteht der Schaden in negativen Gefühlen, die für sich genommen nicht beweisbar sind, hat das nationale Gericht die Gesamtsituation und letztlich auch die Glaubwürdigkeit der jeweiligen Klagepartei auf der Grundlage eines substantiierten Sachvortrags zu beurteilen. Steht ein Verstoß gegen die Datenschutz-Grundverordnung iSv. Art. 82 Abs. 1 DSGVO nach richterlicher Beweiswürdigung iSv. § 286 Abs. 1 ZPO zum Nachteil der Klagepartei als geschützter Person fest, mindert sich das Beweismaß bzgl. der Entstehung und der Höhe des Schadens nach § 287 Abs. 1 ZPO (vgl. - Rn. 14).
172. Der Kläger hat geltend gemacht, durch die jahrelang verspätete Auskunft bleibe er weiterhin über wesentliche Faktoren der Datenverarbeitung im Dunkeln und ihm sei die Prüfung verwehrt, ob und wie die Beklagte seine personenbezogenen Daten verarbeite. Ausgehend von der Rechtsprechung des Gerichtshofs der Europäischen Union hat der Kläger damit keinen immateriellen Schaden dargelegt.
18a) Entgegen der Auffassung des Landesarbeitsgerichts kann ein Schaden nicht allein mit der Begründung angenommen werden, durch eine Verletzung des Auskunftsanspruchs aus Art. 15 Abs. 1 DSGVO - so ein Verstoß dagegen einen Anspruch nach Art. 82 Abs. 1 DSGVO dem Grunde nach begründen könnte - trete ein Kontrollverlust ein, weil die Überprüfung verhindert werde, ob personenbezogene Daten rechtmäßig verarbeitet werden. Zwar dient der Auskunftsanspruch des Art. 15 Abs. 1 DSGVO dem Zweck, Betroffenen die Ausübung der Rechte auf Berichtigung, Löschung, Einschränkung der Verarbeitung und Widerspruch gegen die Verarbeitung nach Art. 16 bis 18 und Art. 21 DSGVO zu ermöglichen (vgl. - [Österreichische Datenschutzbehörde] Rn. 35). Ein derartiger Kontrollverlust geht jedoch mit jeder Verletzung des Auskunftsanspruchs aus Art. 15 Abs. 1 DSGVO zwingend einher. Er ist daher nicht geeignet einen von der bloßen Verletzung des Art. 15 Abs. 1 DSGVO unterscheidbaren Schaden zu begründen (aA Brandt/Goffart NZA 2024, 240, 242). Die eigenständige Voraussetzung des Schadens würde damit bedeutungslos. Sie wäre stets erfüllt. Dies ist jedoch mit dem Normverständnis des Gerichtshofs von Art. 82 Abs. 1 DSGVO ebenso wenig zu vereinbaren wie mit den Anforderungen des nationalen Prozessrechts, das die substantiierte Darlegung eines Schadens verlangt (vgl. - zu II 1 b der Gründe; - zu B II 1 b der Gründe; Barrein/Fuhlrott NZA 2024, 443, 446).
19b) Soweit der Kläger im Hinblick auf einen Verlust der Kontrolle vorträgt, ihm sei die Prüfung verwehrt, ob und wie die Beklagte seine personenbezogenen Daten verarbeite, legt er lediglich ein hypothetisches Risiko einer missbräuchlichen Verwendung dar. Ein objektiv erhöhtes Missbrauchsrisiko in Bezug auf die von dem Auskunftsanspruch betroffenen personenbezogenen Daten zeigt der Kläger gerade nicht auf. Anders als bei einem Datenleck verschlechtert sich durch die unterbliebene Auskunft die Sicherheit der Daten nicht unmittelbar. Es hätte in der vorliegenden Fallgestaltung ergänzender Darlegungen des Klägers bedurft, aus welchen Gründen ein mehr als nur hypothetisches Risiko einer missbräuchlichen Verwendung seiner personenbezogenen Daten bestehen soll.
20c) Soweit sich aus dem Vortrag des Klägers - andeutungsweise - negative Gefühle in Form einer Befürchtung der missbräuchlichen Datenverwendung ergeben, können diese unter den gegebenen Umständen nicht als begründet angesehen werden. Das bloße Berufen auf Befürchtungen dieser Art reicht nicht aus. Um zu prüfen, ob das Gefühl als begründet angesehen werden kann, ist ein objektiver Maßstab anzulegen. Dabei ist insbesondere das objektive Risiko eines Missbrauchs in den Blick zu nehmen, zu dem es vorliegend an ausreichenden Darlegungen fehlt.
213. Soweit der Kläger Schadenersatz hilfsweise aus vertraglicher, hierzu hilfsweise vertragsähnlicher, hierzu hilfsweise deliktischer Haftung nach nationalen Rechtsvorschriften geltend gemacht hat, fehlt es ebenfalls an einem hinreichend dargelegten Schaden.
22III. Die Kostenentscheidung folgt aus § 91 Abs. 1, § 97 Abs. 1 ZPO.
ECLI Nummer:
ECLI:DE:BAG:2024:200624.U.8AZR91.22.0
Fundstelle(n):
BB 2024 S. 2483 Nr. 43
CAAAJ-78096