Gründe

8Die Revision der Beklagten ist zulässig und begründet. Die zulässige Revision des Klägers hat hingegen keinen Erfolg.

9I. Die Revision des Klägers und die Revision der Beklagten sind aufgrund der Zulassung im Tenor des Berufungsurteils statthaft und auch im Übrigen zulässig. Dem steht nicht entgegen, dass das Landesarbeitsgericht in den Urteilsgründen ausgeführt hat, eine Zulassung der Revision komme nicht in Betracht, weil die gesetzlichen Voraussetzungen nicht vorgelegen hätten. Nach § 72 Abs. 1 Satz 2 ArbGG iVm. § 64 Abs. 3a Satz 1 ArbGG ist die Entscheidung, ob die Revision zugelassen wird oder nicht, in den Urteilstenor aufzunehmen. Die Regelung ist aus Gründen der Rechtssicherheit und Rechtsklarheit erfolgt. Dadurch steht im Zeitpunkt der Verkündung der Entscheidung fest, ob die unterlegene Partei das Urteil mit der Revision angreifen kann und die obsiegende Partei noch mit der Durchführung eines Revisionsverfahrens rechnen muss (vgl. BAG 19. März 2003 - 5 AZN 751/02 - zu II 2 der Gründe, BAGE 105, 308). Eine im Tenor ausgesprochene Zulassung der Revision kann in den Entscheidungsgründen nicht mehr wirksam eingeschränkt oder ausgeschlossen werden (vgl. BAG 2. Oktober 2018 - 5 AZR 376/17 - Rn. 11 mwN, BAGE 163, 326). Im Übrigen begegnen die Revisionen keinen Zulässigkeitsbedenken.

10II. Die Revision der Beklagten ist begründet, die des Klägers hingegen unbegründet. Das Landesarbeitsgericht hat das arbeitsgerichtliche Urteil auf die Berufung des Klägers zu Unrecht teilweise abgeändert und der Klage iHv. 2.000,00 Euro zzgl. Zinsen stattgegeben. Die zulässige Klage ist insgesamt nicht begründet. Der Kläger hat gegen die Beklagte keinen Anspruch auf Ersatz eines immateriellen Schadens nach Art. 82 Abs. 1 DSGVO. Insoweit kann dahinstehen, ob Art. 15 Abs. 1 DSGVO durch das Recht auf Einsicht in die Personalakte nach § 83 Abs. 1 BetrVG im Arbeitsverhältnis verdrängt wird (vgl. dazu Franzen NZA 2020, 1593, 1596), ob eine Verletzung des Auskunftsanspruchs aus Art. 15 Abs. 1 und Abs. 3 DSGVO überhaupt einen Anspruch aus Art. 82 Abs. 1 DSGVO zu begründen vermag (vgl. BAG 5. Mai 2022 - 2 AZR 363/21 - Rn. 11) und ob der Kläger eine Verletzung seines Auskunftsanspruchs nach Art. 15 Abs. 1 DSGVO, mit Blick auf die erteilten Auskünfte, überhaupt dargelegt hat. Der Kläger hat vorliegend - entgegen der Auffassung des Landesarbeitsgerichts - jedenfalls keinen Schaden iSv. Art. 82 Abs. 1 DSGVO dargelegt.

111. Das Erfordernis eines Schadens und die entsprechende Darlegungslast der Klagepartei ist durch die jüngsten Entscheidungen des Gerichtshofs der Europäischen Union hinreichend geklärt (vgl. hierzu BAG 25. April 2024 - 8 AZR 209/21 (B) - Rn. 5 f.).

12a) Aus dem Wortlaut des Art. 82 Abs. 1 DSGVO geht klar hervor, dass das Vorliegen eines „Schadens“ eine der Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadenersatzanspruch darstellt, ebenso wie das Vorliegen eines Verstoßes gegen die Datenschutz-Grundverordnung und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind (EuGH 25. Januar 2024 - C-687/21 - [MediaMarktSaturn] Rn. 58; 14. Dezember 2023 - C-340/21 - [Natsionalna agentsia za prihodite] Rn. 77; 4. Mai 2023 - C-300/21 - [Österreichische Post] Rn. 32). Der Schadenersatzanspruch hat, insbesondere im Fall eines immateriellen Schadens, eine Ausgleichsfunktion, da eine auf Art. 82 Abs. 1 DSGVO gestützte Entschädigung in Geld ermöglichen soll, den konkret aufgrund des Verstoßes gegen diese Verordnung erlittenen Schaden vollständig auszugleichen, und erfüllt keine Abschreckungs- oder Straffunktion (EuGH 25. Januar 2024 - C-687/21 - [MediaMarktSaturn] Rn. 50; 21. Dezember 2023 - C-667/21 - [Krankenversicherung Nordrhein] Rn. 87). Der Schaden muss keinen bestimmten Grad an Erheblichkeit erreicht haben (EuGH 14. Dezember 2023 - C-456/22 - [Gemeinde Ummendorf] Rn. 16 und - C-340/21 - [Natsionalna agentsia za prihodite] Rn. 78; 4. Mai 2023 - C-300/21 - [Österreichische Post] Rn. 51).

13b) Hinsichtlich der Darlegungs- und Beweislast hat der Gerichtshof der Europäischen Union klargestellt, dass die Person, die auf der Grundlage von Art. 82 Abs. 1 DSGVO den Ersatz eines immateriellen Schadens verlangt, nicht nur den Verstoß gegen Bestimmungen dieser Verordnung nachweisen muss, sondern auch, dass ihr durch diesen Verstoß ein solcher Schaden entstanden ist (EuGH 11. April 2024 - C-741/21 - [juris] Rn. 35; 25. Januar 2024 - C-687/21 - [MediaMarktSaturn] Rn. 60 f.). Da der 85. Erwägungsgrund der Datenschutz-Grundverordnung ausdrücklich den „Verlust der Kontrolle“ zu den Schäden zählt, die durch eine Verletzung des Schutzes personenbezogener Daten verursacht werden können, hat der Gerichtshof entschieden, dass der - selbst kurzzeitige - Verlust der Kontrolle über solche Daten einen „immateriellen Schaden“ iSv. Art. 82 Abs. 1 DSGVO darstellen kann, der einen Schadenersatzanspruch begründet, sofern die betroffene Person den Nachweis erbringt, dass sie tatsächlich einen solchen Schaden - so geringfügig er auch sein mag - erlitten hat (EuGH 11. April 2024 - C-741/21 - [juris] Rn. 42; 25. Januar 2024 - C-687/21 - [MediaMarktSaturn] Rn. 66). Dabei kann die durch einen Verstoß gegen die Datenschutz-Grundverordnung ausgelöste Befürchtung einer betroffenen Person, ihre personenbezogenen Daten könnten von Dritten missbräuchlich verwendet werden, für sich genommen einen „immateriellen Schaden“ iSv. Art. 82 Abs. 1 DSGVO darstellen (EuGH 25. Januar 2024 - C-687/21 - [MediaMarktSaturn] Rn. 65; 14. Dezember 2023 - C-340/21 - [Natsionalna agentsia za prihodite] Rn. 79 ff.). Ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten kann jedoch nicht zu einer Entschädigung führen (EuGH 25. Januar 2024 - C-687/21 - [MediaMarktSaturn] Rn. 68). Das angerufene nationale Gericht muss vielmehr prüfen, ob die Befürchtung der missbräuchlichen Datenverwendung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann (EuGH 14. Dezember 2023 - C-340/21 - [Natsionalna agentsia za prihodite] Rn. 85).

14c) Vor dem Hintergrund dieser aktuellen Rechtsprechung des Gerichtshofs der Europäischen Union zum Erfordernis eines Schadens und der entsprechenden Darlegungslast der Klagepartei kommt es nach Auffassung des Senats auf die Vorlage des Bundesgerichtshofs vom 26. September 2023 (- VI ZR 97/22 - Rn. 30 ff.) nicht an. Der Bundesgerichtshof hat dem Gerichtshof der Europäischen Union die Frage gestellt, ob Art. 82 Abs. 1 DSGVO dahin gehend auszulegen ist, dass für die Annahme eines immateriellen Schadens bloße negative Gefühle wie zB Ärger, Unmut, Unzufriedenheit, Sorge und Angst genügen oder ob für die Annahme eines Schadens ein über diese Gefühle hinausgehender Nachteil für die betroffene natürliche Person erforderlich ist. Diese Frage ist durch die nach der Vorlage des Bundesgerichtshofs ergangene Rechtsprechung des Gerichtshofs der Europäischen Union jedenfalls bezogen auf die Sorge vor Datenverlust bzw. unrechtmäßiger Datenverwendung beantwortet (aA Rombach/Hoeren WuB 2024, 28, 32; Scharpf jurisPR-ITR 8/2024 Anm. 5 unter C; vgl. auch BGH 12. Dezember 2023 - VI ZR 277/22 - Rn. 6).

15aa) Nach der Rechtsprechung des Gerichtshofs der Europäischen Union können negative Gefühle („Befürchtung“) in solchen Konstellationen einen Anspruch auf Ersatz des immateriellen Schadens begründen. Das bloße Berufen auf eine bestimmte Gefühlslage reicht aber nicht aus, denn das Gericht hat, wie dargestellt, zu prüfen, ob das Gefühl unter Berücksichtigung der konkreten Umstände „als begründet angesehen werden kann“ (EuGH 14. Dezember 2023 - C-340/21 - [Natsionalna agentsia za prihodite] Rn. 85). Dies setzt zwingend die Anwendung eines objektiven Maßstabs voraus (idS auch Halder/Maluszczak jurisPR-ITR 3/2024 Anm. 4 unter D; Sorber/Lohmann BB 2023, 1652, 1655; Peisker/Zhou BB 2024, 308, 310; aA Rudkowski NZA 2024, 1, 7). Dabei ist ua. die objektive Bestimmung des Missbrauchsrisikos der Daten von Bedeutung (vgl. Arning/Dirkers DB 2024, 381, 383).

16bb) Dem steht nicht entgegen, dass Art. 82 Abs. 1 DSGVO nach der Rechtsprechung des Gerichtshofs der Europäischen Union nicht verlangt, dass ein erlittener Nachteil spürbar oder eine Beeinträchtigung objektiv sein muss (EuGH 14. Dezember 2023 - C-456/22 - [Gemeinde Ummendorf] Rn. 17). Damit hat der Gerichtshof nur klargestellt, dass es keine „Bagatellgrenze“ gibt. Der objektive Maßstab bzgl. des Vorliegens eines Schadens als solchen ist hiervon zu unterscheiden. Besteht der Schaden in negativen Gefühlen, die für sich genommen nicht beweisbar sind, hat das nationale Gericht die Gesamtsituation und letztlich auch die Glaubwürdigkeit der jeweiligen Klagepartei auf der Grundlage eines substantiierten Sachvortrags zu beurteilen. Steht ein Verstoß gegen die Datenschutz-Grundverordnung iSv. Art. 82 Abs. 1 DSGVO nach richterlicher Beweiswürdigung iSv. § 286 Abs. 1 ZPO zum Nachteil der Klagepartei als geschützter Person fest, mindert sich das Beweismaß bzgl. der Entstehung und der Höhe des Schadens nach § 287 Abs. 1 ZPO (vgl. BAG 5. Mai 2022 - 2 AZR 363/21 - Rn. 14).

172. Der Kläger hat geltend gemacht, durch die jahrelang verspätete Auskunft bleibe er weiterhin über wesentliche Faktoren der Datenverarbeitung im Dunkeln und ihm sei die Prüfung verwehrt, ob und wie die Beklagte seine personenbezogenen Daten verarbeite. Ausgehend von der Rechtsprechung des Gerichtshofs der Europäischen Union hat der Kläger damit keinen immateriellen Schaden dargelegt.

18a) Entgegen der Auffassung des Landesarbeitsgerichts kann ein Schaden nicht allein mit der Begründung angenommen werden, durch eine Verletzung des Auskunftsanspruchs aus Art. 15 Abs. 1 DSGVO - so ein Verstoß dagegen einen Anspruch nach Art. 82 Abs. 1 DSGVO dem Grunde nach begründen könnte - trete ein Kontrollverlust ein, weil die Überprüfung verhindert werde, ob personenbezogene Daten rechtmäßig verarbeitet werden. Zwar dient der Auskunftsanspruch des Art. 15 Abs. 1 DSGVO dem Zweck, Betroffenen die Ausübung der Rechte auf Berichtigung, Löschung, Einschränkung der Verarbeitung und Widerspruch gegen die Verarbeitung nach Art. 16 bis 18 und Art. 21 DSGVO zu ermöglichen (vgl. EuGH 4. Mai 2023 - C-487/21 - [Österreichische Datenschutzbehörde] Rn. 35). Ein derartiger Kontrollverlust geht jedoch mit jeder Verletzung des Auskunftsanspruchs aus Art. 15 Abs. 1 DSGVO zwingend einher. Er ist daher nicht geeignet einen von der bloßen Verletzung des Art. 15 Abs. 1 DSGVO unterscheidbaren Schaden zu begründen (aA Brandt/Goffart NZA 2024, 240, 242). Die eigenständige Voraussetzung des Schadens würde damit bedeutungslos. Sie wäre stets erfüllt. Dies ist jedoch mit dem Normverständnis des Gerichtshofs von Art. 82 Abs. 1 DSGVO ebenso wenig zu vereinbaren wie mit den Anforderungen des nationalen Prozessrechts, das die substantiierte Darlegung eines Schadens verlangt (vgl. LAG Rheinland-Pfalz 8. Februar 2024 - 5 Sa 154/23 - zu II 1 b der Gründe; LAG Baden-Württemberg 27. Juli 2023 - 3 Sa 33/22 - zu B II 1 b der Gründe; Barrein/Fuhlrott NZA 2024, 443, 446).

19b) Soweit der Kläger im Hinblick auf einen Verlust der Kontrolle vorträgt, ihm sei die Prüfung verwehrt, ob und wie die Beklagte seine personenbezogenen Daten verarbeite, legt er lediglich ein hypothetisches Risiko einer missbräuchlichen Verwendung dar. Ein objektiv erhöhtes Missbrauchsrisiko in Bezug auf die von dem Auskunftsanspruch betroffenen personenbezogenen Daten zeigt der Kläger gerade nicht auf. Anders als bei einem Datenleck verschlechtert sich durch die unterbliebene Auskunft die Sicherheit der Daten nicht unmittelbar. Es hätte in der vorliegenden Fallgestaltung ergänzender Darlegungen des Klägers bedurft, aus welchen Gründen ein mehr als nur hypothetisches Risiko einer missbräuchlichen Verwendung seiner personenbezogenen Daten bestehen soll.

20c) Soweit sich aus dem Vortrag des Klägers - andeutungsweise - negative Gefühle in Form einer Befürchtung der missbräuchlichen Datenverwendung ergeben, können diese unter den gegebenen Umständen nicht als begründet angesehen werden. Das bloße Berufen auf Befürchtungen dieser Art reicht nicht aus. Um zu prüfen, ob das Gefühl als begründet angesehen werden kann, ist ein objektiver Maßstab anzulegen. Dabei ist insbesondere das objektive Risiko eines Missbrauchs in den Blick zu nehmen, zu dem es vorliegend an ausreichenden Darlegungen fehlt.

213. Soweit der Kläger Schadenersatz hilfsweise aus vertraglicher, hierzu hilfsweise vertragsähnlicher, hierzu hilfsweise deliktischer Haftung nach nationalen Rechtsvorschriften geltend gemacht hat, fehlt es ebenfalls an einem hinreichend dargelegten Schaden.

22III. Die Kostenentscheidung folgt aus § 91 Abs. 1, § 97 Abs. 1 ZPO.