Otto Schmidt Verlag

 

ArbRB-Blog

„Beziehungsstatus: Es ist kompliziert?“ – Unzureichende Auskunft nach Art 15 DSGVO und Schadensersatz nach Art 82 DSGVO

avatar  Alexander Lentz

9.7.2025 – 10:02

Die „digitale Beziehung“ zwischen unzureichender Datenauskunft und Schadensersatz trieb Ende Juni nicht nur den 8. Senat des Bundesarbeitsgerichts erneut um. Sie wird künftig unter dem Aktenzeichen C-416/25 -dank des vorangegangenen Vorlagebeschluss des BGH aus dem Mai- auch den EuGH über die bereits dort anhängigen ähnlichen Verfahren hinaus beschäftigen.

Es handelt sich um eine „Beziehung“, die im Zeitalter der Digitalisierung auch über das Arbeitsrecht hinaus in anderen Rechtsbereichen Wellen schlagen dürfte. Auf die Suche nach zwischenzeitlichen Lösungen lohnt es sich daher, vorab einmal das „große Ganze“ in den Blick zu nehmen (dazu unter A und B I.). Sodann soll sich den drei aktuellen Entscheidungen und den dort über die Instanzen diskutierten Begründungsansätzen im Einzelnen gewidmet werden. (dazu unter B. II). Mit einer Analyse, inwieweit einzelne dieser Ansätze über die konkreten Fälle hinaus Fragen aufwerfen, welche Alternativen es für den EuGH gibt und einem Fazit, wie das Ganze einstweilen zu handhaben sein sollte, endet dieser Beitrag (dazu unter B III.)

Wer es eilig hat oder das Thema ggf. bereits etwas länger bespielt und kennt, mag daher ggf. den einen oder andern Teil überspringen und sich auf B III. beschränken

A. Prolog: „Das große Ganze“

Ob das „Zeitalter der Digitalisierung“ Fluch oder Segen für die Freiheitsrechte ist, lässt sich mittlerweile schwer beantworten:

Noch nie gab es einerseits für den einzelne einen so niederschwelligen Zugriff auf jegliche Art von Informationen. Noch nie war andererseits die Gefahr zielgenau adressierter „fake news“ so groß wie jetzt. Ob in den Medien über Personen des öffentlichen Lebens oder im Privaten oder Arbeitsverhältnis als selbst Betroffene(r).

Eine ähnliche Zwitterstellung nimmt mittlerweile jegliche Form von Regulierung ein. Was die eine Fraktion als letzte Bastion des Rechtstaats zum Schutz der eigenen Privatsphäre bewertet, ist für die andere nicht anders als ein „Bürokratiemonster“, das die eigene unternehmerische oder persönliche Entfaltung hemmt.

Kaum eine Kodifikation polarisiert dabei seit einigen Jahren mehr als die DSGVO.

Kaum einem Rechtgebiet kommt auf der anderen Seite aber im Zeitalter der Digitalisierung eine so große Steuerungsfunktion zu. Das gilt -mit Blick auf den Eingangsabsatz- vor allem für Informationsansprüche.

Schon lange geht es nämlich nicht mehr -wie noch in den oft auch aktivistisch geführten Debatten zum „Datenschutzrecht“ der 80er und 90er Jahren -vornehmlich darum, ob und mit welcher Berechtigung personenbezogene Daten eines dann ggf. bald „gläsernen Menschen“ verarbeitet werden.

Mehr und mehr rückt in Zeiten von „Big Data“ und „KI“ stattdessen ein anderer Aspekt ins Blickfeld: Ob die -meist ohne Kenntnis des Betroffenen- verarbeiteten personenbezogenen Daten überhaupt zutreffen und woher sie, wenn dies nicht der Fall, eigentlich überhaupt stammen.

B. Aktuelles vom BAG, BGH und EuGH zum Schadensersatz wegen unzureichender Auskunft

Das 8. Senat des BAG hat mit seinen Entscheidungen vom 24.06.2025 -nicht vollkommen überraschend- zwei seiner Verfahren (8 AZR 4/25 (A) und 8 AZR 308/24 (A)) ausgesetzt. In beiden Verfahren ging es um einen immateriellen Schadensersatzanspruch wegen eines verspätet und sodann nur unzureichend erfüllten Auskunftsanspruch nach Art 15 DSGVO.

Mit der gleichen Frage hatte sich im Vormonat bereits der BGH vom 6. Mai 2025- VI ZR 53/23 mit einem nicht ganz alltäglichen Sachverhalt aus der Hamburger Gerichtsbarkeit auseinanderzusetzen. Einige der aktuell offenen Schnittstellenfragen hat er dort im Wege eines Vorabentscheidungsverfahrens den EuGH gerichtet. Interessant ist dies auch deshalb, weil der 8. Senat eine dieser Fragen einige Monate zuvor in seiner Entscheidung vom 20.02.2025 – 8 AZR 61/24 nicht so bewertete und sie dem EuGH nicht vorlegte.

Da der BGH in der Vorlage zum Teil bereits andeutet, welche Ansätze er präferiert, lohnt sich bereits aktuell eine Auseinandersetzung mit den dortigen Ausführungen. (mehr dazu unter II.)

Vor einer solchen Analyse scheint es allerdings ratsam, nochmals einige allgemeine Aspekte der eingangs erwähnten „Grundsatzdebatte“ in Erinnerung zu rufen. Vor allem dann, wenn man als Arbeitsrechtler mit den aktuellen datenschutzrechtlichen Debatten nicht ganz so vertraut ist. (mehr dazu vorab unter I.)

Denn nur so lässt sich prüfen, ob die dortigen Ansätze auch über die Fallkonstellation hinaus verfangen. Oder ob diese aufgrund der dortigen Sachverhaltskonstellation nicht zu Folgerungen verleiten, die in anderen Fallkonstellationen nur schwer aufzulösen sein werden. Auf dieser Grundlage lohnt ein kurzer Ausblick, in welche Richtung künftige Entwicklungen gehen könnten (mehr dazu unter III.)

I. Die notwendige Rolle des Auskunftsanspruch im Zeitalter der Digitalisierung und die bislang erkennbaren Probleme bei der praktischen Umsetzung über Art 15 DSGVO

1. Das Grundproblem mangelnder Transparenz als Teil der digitalen Lebenswirklichkeit

Wenn mit einem Satz beschreiben sollte, worin bereits historisch die Vorteile und Risiken digitaler gegenüber analogen Prozessen liegen dürfte ein solcher Satz (regelmäßig) lauten:

Ein erheblicher Vorteil an Geschwindigkeit, zum Ergebnis zu kommen, steht üblicherweise einem spürbaren Verlust an Transparenz gegenüber, wie dieses Ergebnis zustande gekommen ist.

Dafür lassen sich seit dem Taschenrechner, der nur das Ergebnis, nicht aber den Rechenweg nachzeichnet, seit langem zahlreiche Alltagsbeispiele finden

a. Triviales aus dem Supermarkt

So wuchsen bspw. Babyboomer anders als die Gen Z in den 70er Jahren noch mit Preisetiketten auf Supermarktprodukten auf.  Überraschungsmomente, dass der Barcode-Scan an der Kasse plötzlich einen anderen Preis als am Regal aufwies, brachte erst das Zeitalter der Digitalisierung mit sich.

Damit einher ging sogleich die steile Lernkurve, dass der Versuch, das ganze „transparent“ zu machen, oft unüberwindbare soziale Hürden entgegenstanden. Wer blickt schon gerne in zehn erwartbar genervte Gesichter in der nachfolgenden Kassenschlange, wenn er den Dialog mit dem Kassierer startet, dass das nicht mehr in Sichtweite befindliche Regal einen um 1 EUR abweichenden Preis je Dose aufwies?

Hinzu kommt, dass auf der Hand liegt, dass es sich regelmäßig um ein Versehen Handeln dürfte. Und nicht etwa um eine auf personenbedingten Daten fußende, bewusst gesteuerte Benachteiligung eines bestimmten Kunden, der als einiziger mehr zahlen soll.

b. HAL 9000: Wenns ums Ganze geht…

Je komplexer diese Prozesse sind, desto komplizierter wird für dem Außenstehenden jedoch die Dechiffrierung. Und je weitreichender die Folgen Ihres Ergebnisses sind, desto mehr besteht ein objektives Bedürfnis danach.

Auch hier hatten viele Babyboomer -dank „HAL 9000“ aus Kubricks Meisterwerk „2001“- oft Jahrzehnte vor ChatGPT bereits vor Jahrzehnten die notwendige Lernkurve durchlaufen.

HAL 9000, nachweislich die erste KI, die es eigentlich „so richtig darauf haben sollte“ und der daher die „2001“-Mission zum Jupiter federführend übertragen wurde, läuft urplötzlich aus dem Ruder. Die Fehlersuche gestaltet sich als schwierig, weil die KI aus Angst, abgeschaltet zu werden, dabei nicht kooperiert. Sonden stattdessen dazu übergeht, nach und nach die menschlichen Crewmitglieder aus dem Weg zu räumen.

Von derartigen KI-Dystopien sind wir zwar weiterhin weit entfernt.

Gleichwohl sind im Alltag und gerade auch in Arbeitsverhältnissen durchaus Konstellationen denkbar, in denen nicht identifizierbare Fehlinformationen existentielle Folgen für die Beteiligten nach sich ziehen. Es liegt auf der Hand, dass es daher einen Hebel geben sollte, um solcher Situationen habhaft zu werden. Das liegt nicht nur im Interesse der Mitarbeiter, sondern auch jedes professionell agierenden Unternehmens. Es ist mittlerweile -wie diverse „fake news“-Debatten beweisen- zudem auch eine gesellschaftliche Herausforderung.

Damit der Prozess eben nicht wie bei HAL 9000 gegenüber dem Astronauten Dave mit den Worten endet

„Dave, this conversation can serve no purpose anymore. Goodbye“.

c.

Es dürfte damit auf der Hand liegen, dass ein originärer Auskunftsanspruch im Zeitalter der Digitalisierung alternativlos ist, wenn wir nicht Grundprinzipien unserer Rechtsordnung völlig über Bord werfen wollen.

Er allein ist daher nicht schon per se ein „Bürokratie-Monster“

Im Rahmen der Durchsetzbarkeit scheint es -mit Blick auf das als Durchsetzungshemmnis erwähnte Beispiel der Kassenschlange beim unzutreffenden Scanvorgang – zudem grundsätzlich zielführend, auch die tatsächliche Durchsetzbarkeit zumindest im Blick zu behalten

Diese Durchsetzbarkeits-Komponente spiegelt sich -in der DSGVO wie auch den nachstehenden Fällen- auch im Rahmen des immateriellen Schadensersatzspruch wider.

2. Die erkennbaren Probleme bei der aktuellen praktischen Umsetzung über Art 15 DSGVO und Art 82 DSGVO: Eine Einladung für „Schadensersatz-Hopper?“

Wenn all dies doch so klar zu scheint, stellt sich naturgemäß die Frage wo es hakt und daher Korrekturbedarf besteht.

a. die aktuelle Ausgestaltung des Auskunftsanspruch nach Art. 15 DSGVO

Der Auskunftsanspruch nach Art 15 DSGVO dient -aus den aufgezeigten Gründen- insbesondere dazu, Korrekturen vorzunehmen.  Er ist daher zwangsläufig umfassend und unbeschränkt. Denn wenn nicht per se für den Betroffenen transparente personenbezogene Daten unzutreffend sind, lässt sich dies nur so in den Blick zu nehmen. Beginnt man damit, hier grundsätzliche Beschränkungen vorzunehmen, verabschiedet man sich zwangsläufig auch von dem Ansatz einer allgemeinen und umfassenden „Korrekturmöglichkeit des Betroffenen“ bei fehlerhaften Daten.

Prägend für diese Ausgestaltung ist jedoch, dass ansatzlos immer alle Informationen zeitnah verlangt werden können.

Mit Blick auf die beiden Beispielsfälle -HAL 9000  und die Supermarktkasse- bedeutet dies, dass unabhängig von der Fehlerwahrscheinlichkeit, der daraus resultierenden Schadenswahrscheinlichkeit und dem betroffenen Rechtsgut immer dasselbe „ganz große Besteck“ am Start ist, mit dem sich vor allem der Auskunft Erteilende konfrontiert sieht.

Das führt zwangsläufig dazu, dass derselbe „Anspruch“ in dem einem Fall als adäquat und angemessen, im dem anderen aber als „Bürokratiemonster“ erscheint.

Denn „Bürokratie“ ist in diesem Kontext nichts anderes als Synonym für einen sehr großen Aufwand, dem -mangels bedeutendem Rechtsgut und erkennbarer Schadenswirklichkeit- nur ein sehr geringer Nutzen entgegensteht.

b. die aktuelle Ausgestaltung des Schadensersatzanspruchs nach Art 82 DSGVO

Die aktuelle Regelung des Art 82 DSGVO sieht grundsätzlich einen Anspruch des Betroffenen auf immateriellen Schadensersatz bei Verstößen gegen die Verordnung zu seinen Lasten vor.

Welche Vorgaben insoweit zu erfüllen sind, skizziert sogleich unter II. die Darstellung der BGH und BAG-Entscheidungen. Einstweilen soll -mit Blick auf die weiteren Ausführungen- zunächst unterstellt werden, dass die nicht adäquate Erfüllung des Auskunftsanspruchs einen solchen Schadensersatzanspruch auslöst.

Damit liegen die Probleme für die Praxis auf die Hand, die zum Teil bereits seit Jahren auch im Kontext des AGG diskutiert werden:

c. eine „Einladung“ für „Schadensersatzhopper“?

Bei lebensnaher Betrachtung besteht in der Konstellation „großes Besteck“ grundsätzlich die Gefahr, dass Auskunftsansprüche zweckwidrig „kommerzialisiert“ werden.

Wenn sich auf diesem Wege sehr niederschwellig durch Musterschreiben/-emails ggf. in wenigen Minuten grundsätzlich vierstellige Summe realisieren lassen, ist erwartbar, dass dies entsprechende Ansätze auf den Plan wirft.

Zwangsläufig führt dies sodann bei Unternehmen zu betriebswirtschaftlichen Kosten/Nutzenabwägungen, was ggf. zu zahlen ist, um dem „Spuk“ ein Ende zu bereiten.

Und wie -wenn überhaupt- dem künftig präventiv entgegengewirkt werden kann.

d. Folgeproblem: Mögliche „Gegeneinladung“ zur „Auskunftsverweigerung?“

Dass dies zu Frustration über die Vorgaben der DSGVO führt, ist nachvollziehbar.

Dass die Gerichte bemüht sind, dem Einhalt zu gebieten ebenfalls.

Diese Aufgabe ist aber aus zwei Gründen jedoch keine einfache:

  • Zum einen kann ein Gericht rechtspolitische Entscheidungen des europäischen Gesetzgebers nicht einfach Beiseite schieben. Wenn der Gesetzgeber hier Wertungen -wie einen niederschwelligen Auskunftsanspruch- vorgibt, wird ein Gericht hier wenig Spielräume haben. Gleiches gilt für den immateriellen Schadensersatzanspruch, sollte der europäische Gesetzgeber diesen dem jeweils Betroffenen angesichts der Herausforderungen des Zeitalters der Digitalisierung bewusst zur Seite gestellt haben.
  • Unabhängig davon ist aber auch im Auge zu behalten, dass eine -aus gutem Grund für Missbrauchsfälle ins Auge gefasste- Lösung nicht dazu führt, dass am Ende so auch in allen anderen Fällen ein angesichts der speziellen Herausforderungen des Zeitalters der Digitalisierung aus ebenso gutem Grund installierter Mechanismus letztlich vollkommen ausgehebelt wird.

Die „DOGE-Kettensäge“ mag aktuell insoweit aktuell mahnendes Beispiel.

Denn so wie der „Schadensersatzhopper“ -als homo oeconomicus- bei der Geltendmachung eine Kosten/ Nutzenabwägung vornimmt, besteht die Gefahr grundsätzlich auch beim unternehmensseitigen Umgang mit dem Auskunftsanspruch.

Denn wenn das wirtschaftliche Risiko einer Weitergabe mit dem Auskunftsanspruch verbundenen Informationen aufgrund der dort zum Ausdruck kommenden Beeinträchtigung des Persönlichkeitsrechts des Betroffenen erheblich ist, die Höhe eines „immateriellen Pauschalanspruchs“ hingegen per se gering ist oder gegen „O“ geht, dürften es für Unternehmen aus nachvollziehbaren betriebswirtschaftlichen Gründen naheliegen, den Auskunftsanspruch nur soweit zu erfüllen, soweit das weitausgrößere Risiko nicht offengelegt wird.

Es liegt auf der Hand, dass dies Hinblick auf die davon betroffenen Grundrechtsposition nicht unbedingt das sein dürfte, was der Europäische Gesetzgeber angesichts des Grundrechtsbezug der DSGVO und dem Wortlaut von Art 8 Abs. 2 GrCh ursprünglich im Blick hatte.

II. Zu den Entscheidungen des Bundesgerichtshofs 6. Mai 2025 und zu den daran anknüpfenden Entscheidungen des Bundesarbeitsgerichts vom 24. Juni 2025

Sowohl der Fall des BGH als auch die Fälle des BAG nehmen Fallkonstellationen in den Blick, die eher Bagatellcharakter haben und somit das zuvor skizzierte Spannungsfeld, bei dem es Korrekturbedarf geben könnte, abdecken.

1. Die Sachverhaltskonstellation der BGH-Entscheidung vom 6. Mai 2025

In der Entscheidung des BGH geht es um die Auskunft des Gerichtspräsidenten eines Hamburger Amtsgerichts gegenüber einem Kläger im Nachgang zu dessen persönlichem Bußgeldverfahren.

  • Dieser hatte zuvor einen Auskunftsantrag nach Art 15 DSGVO gestellt.
  • Die Auskunft erfolgte nach 9 Monaten und damit eindeutig verspätet
  • Selbst mit geringen datenschutzrechtlichen Kenntnissen war erkennbar, dass die Auskunft offensichtlich nicht vollständig sein dürfte.
  • Der Kläger machte einen daher immateriellen Schadensersatzanspruch in Höhe von EUR 1200,- geltend

Buntes am Rande:

Sowohl das LG Hamburg als auch das OLG Hamburg hatten sodann (bei lebensnaher Betrachtung: ggf. aus erwartbarem Selbstschutz :-)) beschieden, dass dies zu keinem Schadensersatz führe.

Für den einen oder anderem älteren Arbeitsrechtler dürfte -mit Blick auf die offensichtlich unvollständige Auskunft des Gerichtspräsidenten- fast zeitgleich zum 20 -jährigen Jubiläum der Rechtssache Mangold (EuGH vom 22.11.2005-C-144/04) ein gewisses Deja-Vu nicht von der Hand weisen. Hatte dort doch der als Arbeitnehmervertreter seit jeher gut vernetzte Münchener Rechtsanwalt Helm seinen Mitarbeiter Mangold der Legende nach bewusst aufgrund seines rentennahen Alters eingestellte, um so – von diesem verklagt- mit Hilfe des EuGH den damaligen § 14 Abs.3 TzBfG zu Fall zu bringen.

Da die Entscheidungen der beiden Vorinstanzen nicht frei verfügbar sind, ließ sich Näheres über den Sachverhalt der beiden Tatsacheninstanzen und den Hintergrund des Verfahrens leider nicht klären.

Anzumerken ist zudem, dass die Sachverhaltskonstellation aufgrund Ihres gerichts- und zudem strafrechtsnahen Bußgeldbezugs Besonderheiten beinhalten, die sich vor allem in der ersten der drei Vorlagefragen widerspiegelt und ggf. zur Anwendung von Sonderregeln führt.

Mit Blick auf den Schwerpunkt dieses Beitrags soll auf diese Aspekte hier nicht näher eingegangen werden.

2. Die dem EuGH vorgelegten Rechtsfragen und die dabei vorgenommenen Bewertungen des BGH

Die Sachverhaltskonstellation dürfte offensichtlich als Bagatelle -analog zum „Kassenbeispiel“ oben unter I- einzuordnen sein.

Nicht wenige Juristen wie Bürger werden sich fragen, ob ein solcher Fall mit Blick auf die dortigen Opportunitätskosten- am Ende vier Kollegialgerichte beschäftigen sollte.

a. Die unvollständige Auskunft als potentieller Auslöser eines immateriellen Schadensersatzanspruchs?

aa. der Sachverhalt zur unvollständigen Auskunft

Der Sachverhalt ist für den BGH ausweislich Rz. 26 eindeutig:

  • Die Beklagte hat erst nach neun Monaten und damit nicht – wie inArt. 12 Abs. 3 JI-RL i.V.m. § 59 Abs. 2 BDSG bzw. Art. 12 Abs. 3 Satz 1 DSGVO vorgesehen – unverzüglich reagiert.
  • Vor allem aber ist die schließlich erteilte Auskunft unvollständig geblieben. Beantwortet hat die Beklagte lediglich die Frage, an welche Empfänger die Daten des Klägers übermittelt wurden.

bb. Analyse der Rechtslage durch den BGH

Bei der Analyse der Rechtslage kommt der BGH bei der Betrachtung des Verhältnisses von unzureichender Auskunft und Schadensersatz unter Rz. 28 zu folgendem Ergebnis:

  • Nach einer Vielzahl von Entscheidungen begründet jeder Verstoß gegen die Datenschutz-Grundverordnung, der zum Eintritt eines Schadens führt, einen Schadensersatzanspruch(LAG Düsseldorf, ECLI:DE:LAGD:2024:0307.11SA808.23.00, juris Rn. 34 ff.; OLG Stuttgart, ECLI:DE:OLGSTUT:2023:1122.4U20.23.00, juris Rn. 380 ff.; OLG Köln, ECLI:DE:OLGK:2022:0714.15U137.21.00, NJW-RR 2023, 564 Rn. 14; jeweils m.w.N.)
  • Nach anderer Aufassung löst nur eine der Verordnung nicht entsprechende Verarbeitung einen Ersatzanspruch für den dadurch verursachten Schaden aus

          Innerhalb dieser Gruppe wiederum zwei Untergruppen:

  • Das Bundessozialgericht ordnet eine Verletzung der Auskunftspflicht als Verstoß im Sinne von Art. 82 Abs. 1 DSGVO anzusehen (BSG, ECLI:DE:BSG:2024:240924UB7AS1523R0, NZA-RR 2025, 190 Rn. 25;
  • Das LAG Düsseldorf lehnt dies hingegen ab, weil dies keine Datenverarbeitung darstelle, LAG Düsseldorf, ECLI:DE:LAGD:2023:1128.3SA285.23.00, ZIP 2024, 1495, 1497, juris Rn. 41 ff.) Das BAG hatte dies im nachgängigen Revisonsverfaren (BAG vom 20.02.2025 – 8 AZR 61/24, Rz. 9) offengelassen.

cc. Zur diesbezüglichen Vorlagefrage des BGH

Die Auffassung des LAG (2. Untergruppe) würde somit -abweichend zu allen anderen Auffassungen dazu führen, dass eine Verletzung des Auskunftsanspruchs nie zu einem immateriellen Schadensersatzanspruch führen würde.

Dies nimmt letztlich der BGH zum Anlass, die folgende Vorlagefrage zu stellen:

 

Sind die Regelungen in Art. 82 Abs. 1, Abs. 2 Satz 1 DSGVO dahingehend zu verstehen, dass sie einer betroffenen Person auch wegen Verletzung ihres Auskunftsrechts nach Art. 15 DSGVO einen Anspruch auf Schadensersatz für den wegen einer verspäteten oder unvollständigen Auskunft entstandenen im-materiellen Schaden einräumen?

Derzeit sind beim Gerichtshof zudem Vorlagen des OGH Österreich

(ECLI:AT:OGH0002:2025:0060OB00102.24D.0218.000)

und des Amtsgerichts Arnsberg

(ECLI:DE:AGAR:2024:0731.42C434.23.00)

mit der identischen Frage anhängig.

 

b. die Ungewissheit über die Datenverarbeitung bei unzureichender Auskunft als Schaden?

aa.der Sachverhalt zum Schaden

Der Anknüpfungspunkt im Sachverhalt ist für den BGH ausweislich Rz. 5 folgender Vortrag des Klägers:

  • Die verspätete und dann nicht vollständige Auskunft habe zu einem Kontrollverlust geführt, weil er keine Kenntnis über den Umfang und die Kategorien der verarbeiteten Daten erhalten habe.
  • Zur Kontrolle von Daten gehöre es auch, die ihm gesetzlich eingeräumten Rechte, insbesondere auf Löschung personenbezogener Daten, ausüben zu können; hierfür bedürfe es der Auskunft.
  • Die unterbliebene Auskunft habe den Kläger psychisch belastet, da er Stress und Sorge hinsichtlich des Umfangs der Datenverarbeitung gehabt habe.

Weitere Konkretisierungen gab es nicht.

bb.Analyse der Rechtslage durch den BGH (EuGH und nationale Rezeption)

Bei der Analyse der Rechtslage kommt der BGH bei der Betrachtung des Verhältnisses von unzureichender Auskunft und Schadensersatz unter Rz. 38 ff. zu folgendem Ergebnis:

Dee BGH verweist zunächst angesichts des unionsrechtlich zu definierenden Schadens auf die Rechtsprechung des EuGH, wonach

  • schon der- selbst kurzzeitige – Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden darstellen kann, ohne dass dieser Begriff des „immateriellen Schadens“ den Nachweis zusätzlicher spürbarer negativer Folgen erfordert (EuGH, ECLI:EU:C:2024:827, GRUR-RS 2024, 26255 Rn. 145, 156 i.V.m. 137),
  • und der EuGH den Kontrollverlust als Verlust der Hoheit über die Daten der betroffenen Person verstanden hat (EuGH, ECLI:EU:C:2024:827, GRUR-RS 2024, 26255 Rn. 150).
  • und die betroffene Person den Nachweis erbringen müssse, dass sie einen solchen – d.h. in einem bloßen Kontrollverlust bestehenden -Schaden erlitten hat (vgl. EuGH, ECLI:EU:C:2024:536, DB 2024, 1676 Rn. 33), dieser Kontrollverlust selbst stelle dann den immateriellen Schaden dar und so dass es keiner sich daraus entwickelnden besonderen Befürchtungen oder Ängste der betroffenen Person bedürfe; vielmehr vertiefe diese ggf. den Schaden
  • alternativ könnte ohne nachgewiesenen Kontrollverlust die nachgewiesenen Befürchtungen samt ihrer negativen Folgen einen Schaden darstellen (vgl. EuGH, ECLI:EU:C:2024:536, DB 2024, 1676 Rn. 36). Diese sind dann gesondert darzulegen

 

In der Rezeption dieser Rechtsprechung durch die Landesarbeitsgerichte -konkret bezogen auf den nicht ordnungsgemäß erfüllten Auskunftsanspruch- macht der BGH sodann zwei Ansätze aus:

  • so bspw. das LAG Nidersachsen, dass bereits damit der Eintritt eines immateriellen Schadens begründet, dass der Betroffene daran gehindert, die ihn betreffenden personenbezogenen Daten zu kontrollieren (LAG Niedersachsen, ECLI: DE:LAGNI:2021:1022.16SA761.20.00, juris Rn. 229)
  • wie auch einen beim LAG Düsseldorf verorteten Ansatz, wonach mit jedem Verstoß gegen die Auskunftspflicht sich nicht zugleich auch ein Schaden begründen lasse. Denn damit würde der Eintritt eines Schadens als eigenständige, zu dem Verstoß hinzukommende Voraussetzung für einen Schadensersatzanspruch aber bedeutungslos (LAG Düsseldorf, ECLI: DE:LAGD:2024:0807.4SLA235.24.00, juris Rn. 3) Vielmehr müsse die Befürchtung nach objektiven Maßstäben begründet sein, wobei insbesondere das objektive Risiko eines Missbrauchs in den Blick zu nehmen sei.

cc. Zur diesbezüglichen Vorlagefrage des BGH und zu seinen zusätzlichen Anmerkungen an den EuGH für einen Lösungsvorschlag

Dies nimmt letztlich der BGH zum Anlass, die folgende Vorlagefrage zu stellen:

Stellt bereits die mit einer Verletzung der Auskunftspflicht (nach Art. 15 DSGVO bzw. nach den auf Art. 14 JI-RL beruhenden nationalen Vorschriften) einhergehende Ungewissheit des Betroffenen über die Verarbeitung seiner personenbezogenen Datenund die daraus resultierende Hinderung daran, die Rechtmäßigkeit der Datenverarbeitung zu überprüfen und etwaige diesbezügliche Rechte geltend zu machen, einen immateriellen Schaden im Sinne von Art. 82 DSGVO bzw. Art. 56 JI-RL dar?

Dabei ist ergänzend anzumerken, dass der BGH sich mit Blick auf diese Frage relativ klar positioniert und in diesem Zusammenhang unter Rz. 46 ausführt

Aus Sicht des Senats bedarf es zudem einer näheren Prüfung, ob die notwendige Kausalität zwischen der Verletzung des Auskunftsrechts und dem

geltend gemachten Schaden besteht. Durch das Unterbleiben der Auskunft wird (anders als etwa durch ein Datenleck oder die Weitergabe von Daten an nicht berechtigte Dritte) jedenfalls kein Kontrollverlust in dem Sinne verursacht, dassunbefugte Dritte Zugriff auf personenbezogene Daten erhalten. Durch die unterbliebene Auskunft verschlechtert sich die Sicherheit der Daten nicht unmittelbar.

Die kausale Verknüpfung zwischen der Verletzung des Auskunftsrechts und dem immateriellen Schaden lässt sich erst dann herstellen, wenn das Unterbleiben der Auskunft zu der berechtigten (objektiv nachvollziehbaren) Befürchtung führt, dass die Daten nicht rechtmäßig verarbeitet wurden.

 3. Die Fallkonstellationen der BAG-Entscheidungen des 8. Senats  im Kontext der BGH Vorlage an den EuGH

Kurz nach den zuvor erwähnten Vorlagebeschluss des BGH aus dem Mai hat der 8. Senat BAG mit Beschluss vom 24.06.2025 zwei dort anhängige Verfahren ausgesetzt.

Auf die Rechtsausführungen der vorinstanzlichen Entscheidungen des LAG Düsseldorf hat der BGH im zuvor skizzierten Beschluss zum Teil im Rahmen der letzten Vorlagefrage Bezug genommen wurden. Insoweit dürften sie für dessen Bewertung ebenfalls von Interesse sein.

 aa. Zu den inhaltlichen Gemeinsamkeiten beider Verfahren vor dem BAG

  • Ausgangspunkt beider Verfahren waren Bewerbungen auf eine Stellanzeige als Sachbearbeiter Forderungsmanagement, die erfolglos waren,
  • In beiden Verfahren machte der Bewerber im Anschluss seinen Auskunftsanspruch nach Art 15 DSGVO geltend,
  • Sodann machte der Betroffene Schadensersatzansprüche geltend, weil aus seiner Sicht der Auskunftsanspruch zuvor nur unzureichend erfüllt worden war.

bb. Spezifischer Sachverhalt:

BAG  8 AZR 308/24 (LAG Düsseldorf vom 7. August 2024 – 4 SLa 235/24) 

  • Ãœbersendung eines Ausdrucks von gespeicherten Systemdaten durch das Unternehmen mit dem Hinweis, dass diese innerhalb von drei Monaten gelöscht würden,
  • Klageerhebung auf Auskunft, Ãœbersendung weiterer Informationen einige Monate später,

 

  • EUR 2000,- wegen unzureichender Datenauskunft und Kontrollverlust während der Zeit der unvollständigen Auskunft und der eingeschränkten Betroffenenrechte,

 

  • Begründung: Belastung durch Mühe und Zeitaufwand, Prozessrisiko in der 2. Instanz, Schwierigkeiten einer zusätzlichen Nachweisbarkeit des „Genervt Seins“, da medizinisch nicht diagnostizierbar.

cc. Spezifische Sachverhalt:

BAG 8 AZR 4/25 (LAG Düsseldorf vom 21. 08 2024 – 4 SLa 233/24) 

  • Antwort des Unternehmens auf den Auskunftsanspruch: Bewerbungsverfahren sei noch laufend und nicht, wie vermutet beendet, alle Bewerbungsunterlagen seien gemäß den Vorgaben der DSGVO vernichtet, dies gelte auch für die hiermit beantwortet letzte E-Mail.
  • EUR 2000,- wegen unzureichender Datenauskunft und Kontrollverlust während der Zeit der unvollständigen Auskunft und der eingeschränkten Betroffenenrechte,
  • Vortrag Kläger: Durch die Löschung aller personenbezogenen Daten in Kenntnis des Auskunftsersuchens seien etwaige vorherige Rechtsverstöße bewusst der Nachweisbarkeit entzogen worden,
  • Vortrag Beklagte: rechtsmissbräuchliche Geltendmachung, da bereits die streitgegenständliche Bewerbung mit Gehaltsvorstellungen von 96.000 € brutto zeige, dass es dem Kläger nicht ernsthaft um eine Tätigkeit für die Beklagte gegangen sei und dieser auch parallel bei anderen Arbeitgebern Auskunfts- und sodann Schadensersatzansprüche geltend mache,

 dd. Konkrete Wertungen des LAG bei beiden Klagabweisungen

  • Das bloße Berufen auf eine bestimmte Gefühlslage reiche nicht aus, denn das Gericht hat zu prüfen, ob das Gefühl unter Berücksichtigung der konkreten Umstände als begründet angesehen werden kann
  • Dies setze zwingend die Anwendung eines objektiven Maßstabs voraus, dabei ist insbesondere das objektive Risiko eines Missbrauchs in den Blick zu nehmen, zu dem es vorliegend an ausreichenden Darlegungen fehle,
  • Ein Kontrollverlust gehe mit jeder Verletzung des Auskunftsanspruchs aus Art. 15 Abs. 1 DSGVO zwingend einher. Er ist daher nicht geeignet, einen von der bloßen Verletzung des Art. 15 Abs. 1 DSGVO unterscheidbaren Schaden zu begründen. Die eigenständige Voraussetzung des Schadens würde damit bedeutungslos. Sie wäre stets erfüllt.

III. Bewertung und Ausblick

1.. Zu den konkreten Sachverhaltskonstellationen und den dort bislang avisierten Ergebnissen

Eins vorab:

Alle drei Fälle weisen in ihrer konkreten Ausgestaltung durchaus das Potential dafür auf, etwaige Vorurteile über das „Bürokratiemonster“ Auskunftsanspruch zu verstärken.

Das Empörungspotential dafür, dass hier unternehmens-/ gerichtsseitig ggf. bewusst der „rule of law“ in Form des Auskunftsanspruchs nicht entsprochen wurde, dürfte hier sich hier -anders als in anderen aktuell diskutierten Fällen- in Grenzen halten.

Die ist in der Praxis nämlich immer dann der Fall, wenn in Sachverhaltskonstellationen mittelbar auch querulatorische oder rechtsmissbräuchliche Züge mitschwingen.

Typsicherweise also, wenn das Ganze einen gewissen Bagatellcharakter und so zudem der Eindruck entsteht, das klägerseitig vor allem ein Kommerzialisierungsaspekt im Vordergrund zu stehen scheint, der offensichtlich nicht mit dem ursprünglichen Regelungszweck im Einklang steht.

Also -um in den obigen Beispielen zu blieben- eher ein Fall der „Scankasse“ als ein Fall von „HAL 9000“.

Insoweit liegt es daher nicht gerade auf der Hand, den Ansatz des LAG Düsseldorf -bzw. des BGH, soweit wie bei der letzten Vorlagefrage eine explizite Einschätzung erfolgte, in Frage zu stellen.

2. Zu den übergeordneten Folgen der aktuellen Lösungsansätze und möglichen zielführenderen Alternativen

Die vorliegenden Begründungsansätze werden jedoch dann zum Problem, wenn ihr Ansatz ggf. auch in allen anderen Fällen dazu führen, dass der mit dem Schadensersatzanspruch bezweckte Grundrechtsschutz ebenfalls faktisch leerläuft.

Wenn bspw. Standortdaten und Bewegungsprofile über Navigations-oder -wie jüngst geschehen- gar über Wetter-Apps oder ohne Wissen des Betroffenen kommerzialisiert werden und von Dritten zu gewerblichen oder gar -ohne Wissen des Datenanbieters- kollusiv zu deliktischen Zwecken genutzt werden, bekommt das Ganze erkennbar eine vollkommen andere Dimension.

In diesen Fällen verspricht in der Praxis weder der Auskunftsanspruch allein die dort dann sicher auch allgemein für erforderlich erachtete grundrechtlich gebotene Abhilfe.

Noch gilt dies für die etwaige Maßnahmen Aufsichtsbehörden, die -resourcenbedingt- im Regelfall vornehmlich größere strukturelle Risiken als punktuelle Einzelfälle in den Blick zu nehmen haben.

Richtet man einen insoweit -über die drei vorliegenden Bagatellfällen- erweiterten Blick auf die angebotenen Lösungen an, erscheinen andere Ansätze zielführender, die diese Folgeprobleme vermeiden, ohne dabei mit Blick auf einen etwaigen Rechtsmissbrauch nicht genauso zielführend zu sein:

a. Zum systematischen Ausschluss eines Schadensersatzanspruchs mangels „Datenverabeitung“ bei bloßem Auskunftsverstoß

 

 (BGH Vorlagefrage unter II. 2a (LAG Düsseldorf vom 28.11.2023 – 3 Sa 285/23)

 

  • Mit Blick auf einen allgemeinen Ausschluss eines immateriellen Schadensersatzanspruchs ist zunächst darauf hinzuweisen, dass Art 8 (2) S. 2 GrCH das Auskunftsrecht und die Erwirkung der Berichtigung bereits auf der Grundrechtsebene ebenso ausdrücklich für den Betroffenen festschreibt wie die dort ebenfalls erwähnte Notwendigkeit der Legitimation der Verarbeitung selbst. Das ist -wie eingangs an einfachsten Beispielen aufgezeigt- bereits deshalb zwingenderweise bewusst dort so angelegt, weil digitale Prozesse -anders als analoge Prozesse- eben regelmäßig für den Betroffenen zunächst nicht transparent sind und beide Aspekte daher ebenfalls notwendiger und insoweit auch gleichberechtigter Bestandteil eines Grundrechts auf Datensicherheit und-autnomie sind.
  • Weiterhin ist weder plausibel noch erkennbar, warum eine ohne Legitimation vorgenommene Datenverarbeitung bereits per se eine qualitativ größere Grundrechtsbeeinträchtigung darstellen sollten, als die Verwendung unzutreffender Daten, für deren Verwendung, wären sie zutreffend, grundsätzlich eine Legitimation bestünde. Vielmehr dürfte das individuelle Schadenspotential unzutreffender Daten heute ungleich höher sein, wenn sie -vermeintlich formal legitimiert- zahlreiche Datenverarbeitungsvorgänge infiltrieren, als ein ggf. nur vereinzelter Datenverarbeitungsvorgang ohne Legitimation. Auf er Hand liegt dies bspw., wenn bewusst oder unbewusst falsche Daten über den Gesundheitszustand, die Bonität oder die Qualifikation einer Person im wechselseitigen Austausch verarbeitet werden.
  • Aus gutem Grund beschränkt daher auch der Wortlaut des Art. 82 DSGVO nicht auf einen Verstoß „im Rahmen einer Datenverarbeitung“ sondern knüpft wörtlich an einen „Verstoß gegen diese Verordnung“ an. Anknüpfungspunkte für eine gleichwohl gebotene Abweichung von dem insoweit unzweideutigen Wortlaut des Art 82 -und vor allem den ohnehin übergeordneten grundrechtlichen Wertungen des Art 8 (2) GrCH- sind den Urteilsausführungen nicht zu entnehmen. Soweit allein die Erwägungsgründe in Bezug genommen werden, geschieht dies lediglich partiell, insbesondere ohne Berücksichtigung des Erwägungsgrunds 75.

Es spricht daher einstweilen wenig bis gar nichts dafür, „Verstöße gegen diese Verordnung, soweit sie Betroffenenrechte der Art 12 fff DSGVO verletzen“ von Art. 82 DSGVO auszunehmen. Es drängt sich daher nach meiner Einschätzung bislang nicht auf, warum der EuGH vom explizit anderslautenden Wortlaut des Art 82 DSGVO abweichen sollte.

b. die Ungewissheit über die Datenverarbeitung bei unzureichender Auskunft als Schaden?

(BGH Vorlagefrage unter II. 2b (LAG Düsseldorf vom 7. August 2024 – 4 SLa 235/24)

aa. Ausgangspunkt: Der mögliche DSGVO-Hopper?

Es ist bereits oben angedeutet worden, dass potentielle Missbrauchsfälle -wie der in den drei zur Entscheidung stehenden Fällen ggf. im Raum stehende Vorwurf einer inadäquat erscheinenden Kommerzialisierung des Auskunftsrechts – nicht nur auf Betroffenenseite denkbar sind.

So wie der mögliche „DSGVO-Hopper“ als homo oeconomicus agiert und seine als zweckwidrig zu bewertenden Kommerzialisierungsbemühungen spätestens dann regelmäßig einstellen wird, wenn Aufwand und Ertrag nicht mehr in Relation stehen, dürften ähnliche -datenschutzrechtlich zweckwidrige- kommerzielle Erwägungen bei praxisnaher Betrachtung auch auf Seiten des Verpflichteten grundsätzlich im Raum stehen.

bb. Kontrapunkt: Der kommerziell abgewogene bewusste „Nichtauskunft“?

Je mehr die Auskunft das Risiko beinhaltet, so etwaige Verstöße transparent zu machen, die sodann erhebliche finanzielle Haftungsrisiken nach sich ziehen könnten, wird lebensnah auch die Frage im Raum, welche Risiken alternativ bei gar keiner Auskunft oder bewusst verzögernden und am Ende so immer noch unvollständigen Teilauskünften bestehen.

Mit Blick auf die bereits skizzierte Ausgestaltung des Grundrechts aus Art 8 Abs. 2 S.2 GrCh wie auch die vom BGH zitierten geringfügigen Anforderungen des EuGH an Kontrollverlust und Schaden spricht daher zunächst wenig dagegen, eine solchen zweckwidrigen Umgang mit dem Auskunftsanspruch auf Seiten des Verantwortlichen zumindest ab einem gewissen Grad der Intensität unter einen immateriellen Schadensersatzanspruch zu subsumieren.

Wo diese Schwelle beginnt mag zunächst dahinstehen.

Dass bei der Verbreitung von Fehlinformtionen der Betroffene die Informationen aber vor allem auch benötigt, um diese bei Dritten wieder „einzufangen“ und somit ein bewusstes Zurückhalten dieser Auskünfte etwaige Beeinträchtigungen seines Persönlichkeitsrechts perpetuiert, ist ebenfalls kaum von der Hand zu weisen.

Wenn man daher diese beiden Lebenswirklichkeiten -und nicht nur die des „DSGVO Hoppers“- zugrunde legt, überzeugen die beiden Hauptargumentationsstränge der Vorlage weder mit Blick auf die Ausgestaltung des Art 8 (2) GrCh noch mit Blick auf die dieser Ausgestaltung zugrunde liegenden grundsätzliche Herausforderungen des Zeitalters der Digitalisierung.

cc. Bloße Nichtauskunft beinhaltet keinen Kontrollverlust?

Mit der These, dass die bloße Nichtauskunft keinen Kontrollverlust beinhaltet, setzt sich der BGH unter Rz. 46 der Vorlage auseinander und führt dazu dort aus:

 Durch das Unterbleiben der Auskunft wird (anders als etwa durch ein Datenleck oder die Weitergabe von Daten an nichtberechtigte Dritte) jedenfalls kein Kontrollverlust in dem Sinne verursacht, dass unbefugte Dritte Zugriff auf personenbezogene Daten erhalten. Durch die unterbliebene Auskunft verschlechtert sich die Sicherheit der Daten nicht unmittelbar.

Diesem Begründungsansatz greift nach meiner Einschätzung deshalb zu kurz, weil sich ausweislich Art 8 (2) GrCH eine unzulässige Beeinträchtigung des Rechts auf Datenautonomie erkennbar nicht nur auf eine „Verschlechterung der Sicherheit der Daten“ beschänkt.

Dies mag zwar ein Synonym für den „unbefugten Zugriff Dritter“, also die dort dann fehlende, nach Art 8 (2) S.1 GrCh aber grundsätzlich erforderliche Autorisierung der Datenverarbeitung sein.

Unabhängig davon kommt der „Korrekturmöglichkeit unzutreffender Daten“ jedoch bereits ausweislich des Wortlauts des Art 8 (2) S.2 GrCH eine ebenso große Bedeutung für das Rechts des Enzelnen auf Datensicherheit und -autonomie zu.

Diese zweigeleisige Ausgestaltung und Absicherung des Rechts auf Datenautonomie in Art 8 (2) GrCh ist -mit Blick auf etwaige Risiken- auch aus gutem Grund genauso erfolgt.

Denn die Beeinträchtigung und das Schadenspotential für den einzelnen durch die -bei digitalen Prozessen per se- einstweilen zunächst stets nicht erkennbare -und damit so lange auch nicht kontrollierbare- weitere Verbreitung und Verarbeitung fehlerhafter Daten ist regelmäßig nicht geringer als die zunächst ebenfalls genauso abstrakt bleibende Möglichkeit eines unautorisierten Zugriffs bei einem Datenleck.

Die alleinige These „Durch die unterbliebene Auskunft verschlechtert sich die Sicherheit der Daten nicht unmittelbar.“ greift daher zu kurz, weil sie den ebenso maßgeblichen Aspekt der (in der Praxis keinesfalls seltenen) Verbreitung und Verarbeitung fehlerhafter Daten erst gar nicht in den Blick nimmt.

Denn die damit verbundene Beeinträchtigung perpetuiert sich durch jede weitere Verzögerung der vollständigen Auskunft und der erst dann bestehenden Korrekturmöglichkeit.

Hätte sich der BGH -mit Blick auf Art 8 (2) GrCH- auch mit diesem Aspekt auseinandergesetzt, hätte er dem Betroffenen nach diesseitiger Bewertung bereits den Kontrollverlust zugestehen müssen.

 dd. Nichtauskunft als schadensbegründendes Ereignis?

Ähnlich eindeutig positioniert sich der BGH einstweilen bei der Frage, ob die bloße Nichtauskunft dann quasi als stets auch schadensbegründendes Ereignis herhalten kann.

Er folgt insoweit dem BAG in der Entscheidung vom 20.02.2025- 8 AZR 61/24, dass dort -anders als nunmehr der BGH- eine Vorlage noch nicht einmal für erforderlich ansah und führt dazu sodann unter Rz. 45 aus:

Das würde bedeuten, dass sich mit jedem Verstoß gegen die Auskunftspflicht zugleich auch ein Schaden begründen ließe. Damit würde der Eintritt eines Schadens als eigenständige, zu dem Verstoß hinzukommende Voraussetzung für einen Schadensersatzanspruch aber bedeutungslos.

Worauf dieser Schluss beruht, erschließt sich sowohl mit Blick auf die notwendige „Eigenständigkeit“ als auf die daraus anderenfalls abzuleitende „Bedeutungslosigkeit“ nicht auf Anhieb. Weder mit Blick auf allgemeine nationale Grundsätze des Schadenersatzrechts noch auf der Grundlage der Vorgaben der GrCH, der DSGVO und den maßgeblichen Konkretisierungen durch den EuGH.

(1) zur vermeintlich notwendigen Eigenständigkeit

(aa)

Ein einfaches Beispiel mag dies illustrieren:

Wenn eine Person einer anderen Person eine Ohrfeige gibt, bedarf es bereits aufgrund dieses pflichtwidrigen Verstoßes für die gesonderte Darlegung eines immateriellen Schadens nie einer Begründung. Denn der immaterielle Schaden ist diesem konkreten Verstoß immanent, er ist per se mit ihm verbunden.

Es gibt somit seit jeher Verstöße, die aufgrund ihrer Intensität einen immateriellen Schaden dem Grunde nach indizieren. Ob eine solche Indikation -wie im Beispielsfall der Ohrfeige und dem Bezug zur körperlichen Unversehrtheit- im Einzelfall angezeigt ist, ist daher im Zweifel immer aus dem sonstigen normativen Kontext, insbesondere auch den grundrechtlichen Vorgaben abzuleiten.

(bb)

Der BGH hätte sich daher eigentlich zunächst konkret mit der Frage auseinandersetzen müssen, ob nicht der konkrete Verstoß einer nicht erfüllten Auskunft ebenfalls einen immateriellen Schaden beim Betroffenen indizieren könnte.

Eine Aussage über die konkrete Schadenshöhe ist damit -wie auch im Beispiel mit der Ohrfeige- regelmäßig noch nicht getroffen.

Für eine solche Indikation spricht bei objektiver Betrachtung zunächst, dass Art 8 (2) S. 2 GrCh das Auskunftsrecht im Rahmen des dort grundrechtlich verbürgten Rechts auf Datensicherheit und -autonome gleichberechtigt neben das Erfordernis der Autorisierung in S.1 stellt. Schon aufgrund dieser Ausgestaltung handelte es sicher daher -anders als bei sonstigen Verstößen- um weit mehr als eine simple Formvorgabe, der der Verantwortliche ggf. aus Nachlässigkeit nicht nachgekommen ist.

Eine solche inhaltliche Auseinandersetzung mit den konkreten normativen Vorgaben auf Grundrechtsebene blieb jedoch bislang aus

(cc)

Zudem fehlt es an einer Begründung, woher ein aus einem „Eigenständigkeitsdogma“ abgeleitetes Verbot herrührt, nach dem Verstöße dem Grunde nach -unabhängig von ihrer Schwere- nie einen immateriellen Schaden indizieren können.

  • Das nationale Schadensrecht kennt ein solches Dogma -wie am Beispiel des „Ohrfeige-Falls“ aufgezeigt nicht.
  • Auch der bisherigen Rechtsprechung des EuGH ist ein solches Dogma, dass selbst bei bewusster Nichterfüllung eines grundrechtlich verbürgten Anspruchs wie Art 8 (2) GrCh S.2 gelten soll, nicht zu entnehmen. Es erschließt sich auch nicht, woraus und aus welchen rechtlichen Vorgaben sich dies ableiten sollte und wie es mit den Zwecken de DSGVO in Einklang zu bringen wäre.
  • Die bisherigen Vorgaben des EuGH erfassen stattdessen durchgängig Fallgestaltungen, die gerade nicht dadurch gekennzeichnet waren, dass ein Betroffener zunächst proaktiv ein verfassungsrechtlich verbürgtes Recht geltend macht und die Grundlage und Bewertung etwaiger immaterieller Schadensersatzansprüche an die anschließende Reaktion des Verantwortlichen angeknüpft haben.

(2) zur vermeintlichen Bedeutungslosigkeit  

Weiterhin führt eine solche Indikation auch nicht dazu, dass der Eintritt eines Schadens als eigenständige, zu dem Verstoß hinzukommende Voraussetzung für einen Schadensersatzanspruch bedeutungslos würde:

  • Denn mit der Indikation ist noch keine Aussage über die konkrete Schadenshöhe getroffen.
  • Regelmäßig dürfte sich diese an den jeweils vorgetragenen Umständen des konkreten Einzelfalls festzumachen zu sein. Insoweit wird der Schaden als eigenständige Voraussetzung auch nicht

Mit Blick auf diese Vorgaben spricht vieles dafür, dass zunächst jede Verletzung des Auskunftsanspruchs einen Anspruch auf immateriellen Schadensersatz indiziert.

c. Schadenshöhe als Lösungsalternative zur Unterbindung etwaiger wechselseitiger Missbrauchsfälle?

 aa. Aspekte zweckwidriger Kommerzialisierung und Missbrauchs

a. Betroffener

Es liegt mit Blick auf die konkreten Fallgestaltungen -vorbehaltlich der sogleich folgenden Ausführungen unter 3.- zunächst nahe, dass mit den bisherigen Begründungsansätzen des BGH vor allem einer zweckwidrigen Kommerzialisierung des Auskunftsanspruchs Einhalt geboten werden soll.

Dieses berechtigte Anliegen lässt sich -abweichend von den Ansätzen in den beiden Vorlagefragen- aber ohne Weiteres im Anschluss einen durch den Verstoß indizierten immateriellen Schadensersatz auch über die konkrete Schadenshöhe erreichen.

Steht diese aus Sicht des missbräuchlich agierenden Betroffenen mit dem zu betreibenden Aufwand nicht in Relation, kommt ihr letztlich dieselbe Steuerungsfunktion zu, wie einem Anspruchsausschluss.

b. Verantwortlicher

Dass im Zeitalter der Digitalisierung von bewusst oder unbewusst verwendeten fehlerhaften Daten, vor allem aber deren (bei Richtigkeit sonst legitimierten) Weiterleitung mindestens ebenso große Gefahren für den Betroffenen ausgehen wie bei einer zweckwidrigen Verwendung, ist bereits erwähnt worden. Dass diese auch der Europäische Gesetzgeber an verschiedenen Stellen mit der Kodifikation von Auskunfts- und Berichtigungsansprüchen im Blick hatte, ebenfalls.

Gerade wenn hier für den Verantwortlichen aufgrund eigener Verstöße erhebliche kommerzielle Risken ohne Bezug zum Betroffenen im Raum stehen, besteht grundsätzlich die Gefahr, dass dieses ggf. höher bewertete Risiko durch verspätetet oder unzureichende Auskünfte zweckwidrig minimiert werden könnte und das Recht auf Datensicherheit und -autonomie noch nachhaltiger beeinträchtigt wird.

Auch hier mag einem immaterieller Schadensersatzanspruch die notwendige parallele Steuerungsfunktion zukommen, solchen Abwägungen zu Lasten von Grundrechtspositionen des Betroffenen Einhalt zu gebieten.

Der Funktionalität eines solchen Ansatz steht auch nicht entgegen, dass auch dem immateriellen Schadensersatzanspruch keine Abschreckungs- oder Straffunktion zukommt, wie im Einzelnen bei der Ausgestaltung ausgeführt wird.

bb. Umsetzung und Bestimmung der Schadenshöhe

(1) Anknüpfungspunkte beim Betroffenen

Die Interessen und die daraus abgeleitete Umsetzung des Auskunftsanspruchs eines rechtstreu um Auskunft bemühten Betroffenen und eines allein kommerziell orientierten „DSGVO-Hoppers“ entscheiden sich üblicherweise diametral.

Während der um Auskunft bemühte Betroffene seinen Anspruch im Zweifel nach und nach konkretisieren wird, wird es dem DSGVO-Hopper in erste Linie gehen, mit möglichst wenig Aufwand zielgerichtet eine Entschädigung in den Blick zu nehmen, währenddessen er an den eigentlichen Inhalten kein oder kaum Interesse haben dürfte

(2) Anknüpfungspunkte beim Verantwortlichen

Damit korrespondierend wird man auf Seiten der Verantwortlichen aufgrund der Reaktion ebenfalls sehr zeitnah entnehmen können, ob diese ihren Verpflichtungen adäquat nachkommt oder ggf. das Verhalten die Vermutung nahelegt, dass anderweitige Interessen dem übergeordnet werden.

(3) Bewertung der Schadenshöhe

a. Bisherige Vorgaben des EuGH und Rezeption der nationalen Gerichte

Die Vorgaben des EuGH, insbesondere aus der vom BGH in Bezug genommenen Entscheidung C-340/21 vom 14.12.2023 und C-687/21 vom 25.01.2024 und betreffen in der Regel punktuelle Verstöße, von denen der meist (passiv) Betroffene regelmäßig nachfolgend erfahren hat. Gekennzeichnet sind sie vor allem dadurch, dass die Bewertung der Beeinträchtigung und der daraus abzuleitende Schaden der nachgängigen Gerichtspraxis Schwierigkeiten zu bereiten scheint. Insbesondere bei immateriellen Schadensersatzansprüchen stehen sich in diesen Fällen oft

  • der Vorwurf des Verantwortlichen über bloße „Mitnehmeffekte“ ohne eine spürbare eigene Betroffenheit
  • der vom Betroffenen beklagten Schwierigkeiten bei der Geltendmachung eigener immateriellen Schadensersatzansprüchen

unversöhnlich gegenüber.

Mit Blick auf die nicht immer kongruenten Ausführungen in den maßgeblichen Entscheidungen überrascht dies nicht:

  • So kennzeichnet die Rechtsprechung des EuGH zwar -wie bereits oben aufgezeigt zwar eine relativ niedrige zeitliche und inhaltliche Hürde in Form subjektiver negativer Gefühle, die -wenn zusätzlich auch mit Blick in die Zukunft geäußert- jedoch unter den gegebenen Umständen und im Hinblick auf die betroffene Person zu verifizieren (Vgl. EuGH C-340/21 vom 14.12.2023, Rz. 85)
  • Wenn die nationale Rezeption dieser Vorgabe sodann teilweise zu dem allgemeinen Ansatz führt, dass „das Gericht prüft, ob das Gefühl unter Berücksichtigung der konkreten Umstände als begründet angesehen werden kann und dies zwingend die Anwendung eines objektiven Maßstabs voraussetzt“ (LAG Düsseldorf 21.08.2024 – 4 SLa 233/24 Rz. 27)

mag man sich das aus diesen Diskrepanzen resultierende aneinander Vorbeireden im Gerichtssaal lebhaft vorstellen:

Der Betroffene, der -hier unterstellt- subjektiv zutreffend mitteilt, dass er beunruhigt gewesen sei.

Die Kammer die ihm entgegnet, dass sie der Auffassung ist, dieses „Gefühl“ aufgrund eines zwingend anzuwendenden objektiven Maßstabs „nicht begründet“ war.

Unabhängig davon, welcher Ansatz der richtige sein mag, sind dies Lösungsansätze, die auf Außenstehende mit Blick auf die zuvor skizzierten Problemstellungen nicht wirklich überzeugend wirken.

b. Ãœbertragbarkeit auf den geltend gemachten Auskunftsanspruch

aa.

Der gerichtlich zu bewertende Sachverhalt unterscheidet sich im Fall des Auskunftsanspruch vor allem in drei ganz wesentlichen Merkmalen von den bisher entschiedenen Sachverhaltskonstellationen:

  • Der Anknüpfungspunkt für eine mögliche Haftung ist eine ganz konkrete Handlung (Tun oder Unterlassen) des Verantwortlichen, mit der dieser auf eine grundrechtlich abgesicherte, ihm geltend gemachte Rechtsposition des Betroffenen bewusst bilateral reagiert:

Diese Rechtsposition des Betroffenen besteht -ähnlich seiner körperlichen Unversehrtheit- zudem erkennbar gegenüber jedermann, sie geht damit über eine bloße Vertragsbeziehung hinaus,

Sie ist zudem durch Dritte -in Gestalt der Aufsichtsbehörden, erkennbar zusätzlich abgesichert,

Anders als bspw. die zuvor beschriebenen „Ängste“ oder Gefühle ist diese Rechtsposition damit bereits per se objektiv konturiert.

  • Die Intensität der Beeinträchtigung der Rechtsposition durch diese Handlung ist -anders als die zuvor beschriebenen „Ängste“ oder Gefühle auch ohne Weiteres objektiv messbar:

Es ist ein Unterschied in der Intensität der Beeinträchtigung, ob eine pünktliche, eine verspätete Auskunft oder gar keine Antwort erfolgt.

Es ist ein Unterschied in der Intensität der Beeinträchtigung, ob die Auskunft vollständig, unbewusst unvollständig oder bewusst unvollständig konkretisiert wird,

Es ist ein Unterschied in der Intensität der Beeinträchtigung, ob die Auskunft inhaltlich zutreffend, unbewusst inhaltlich unzutreffend oder bewusst inhaltlich unzutreffend erfolgt.

  • Soweit das in Bezug genommene Datenvolumen einen größeren Umfang haben, hat die Geltendmachung des Auskunftsanspruchs und seine Erfüllung eher Prozesscharakter, als dass sie punktuell auf einen einzigen Vorgang beschränkt ist. Unabhängig davon kann der Anspruch wiederholt werden. Die jeweiligen Prozessschritte sind dann ebenfalls einer einzelnen Bewertung zugänglich.

bb.

Für einen an diese Kriterien anknüpfende Bewertung eines immateriellen Schadens spricht:

  • Allein mit den vorbezeichneten Kriterien stehen genug objektive Anknüpfungspunkte zur Verfügung um missbräuchlichen Ansätze auf beiden Seiten Einhalt zu gebieten.

Gegenüber dem vermeintlichen „DSGVO-Hopper“ lässt sich dies durch einen eher geringfügigen dreistelligen Betrag erreichen, kommt es zu ergänzenden Verstößen des Verantwortlichen, scheint dessen Schutzwürdigkeit nicht unbedingt geboten

Mit Blick auf eine damit korrespondiere bewusste, möglicherweise kommerziell motivierte dauerhafte Verweigerungshaltung eines Verantwortlichen dürfte es zudem zulässig sein, den immateriellen Anspruch ggf. auch proportional steigen zu lassen. Zwar hat der EuGH bereits entschieden, dass Anspruch auf immateriellen Schaden keine Straf- oder Bußgeldcharakter zukommt. Dies wäre bei diesem Ansatz nicht der Fall, weil sich durchaus inhaltlich argumentieren lässt, dass mit Dauer und Wiederholung auch die Intensität der Rechtsverletzung steigt

  • Es kann daher dahinstehen, ob ergänzend weitere Aspekte wie ein Anspruchsausschluss bei offensichtlich missbräuchlichen Verhalten oder eine besondere Beeinträchtigung aufgrund weiterer Umstände ergänzend zu berücksichtigen sind, die zum Ausschluss eines Anspruchs auf immateriellen Schadensersatz oder einer Erhörung führen.
  • Für den vorliegenden Ansatz spricht zudem, dass er eine deutlich größere Konsistenz gerichtsübergreifender Entscheidungen bietet, als eine Anknüpfung an ein aus jeweiliger Kammersicht „als begründet anzusehendes Gefühl“.

Für den vorliegenden Ansatz spricht gegenüber den beiden Ansätzen in den Vorlagefragen, dass er dem grundrechtlich abgesicherten Auskunftsanspruch insoweit deutlich gerechter wird.

Zum einen, weil er ein nachweislich auch zur Absicherung der Datensicherheit angedachten immateriellen Schadensersatzanspruch hinsichtlich dieses Aspekts nicht völlig einebnet.

Zum anderen, weil er den Gerichten ein an objektiven Kriterien anknüpfendes Modell bereithält. Vor allem aber, weil er unabhängig davon je nach konkreter Ausgestaltung nicht zu etwaigem Missbrauch einlädt.

3. Exkurs: Mögliche übergeordnete Erwägungen im Kontext der Discovery-ähnlichen Funktion des Auskunftsanspruchs und deren Bewertung

Es ist nicht von der Hand zu weisen, dass der Auskunftsanspruch in seinem mittlerweile vom EuGH bestätigten Umfang eine Funktionalität hat, die weit über das Datenschutzrecht hinausgeht.

Eines der prägendsten Merkmale des deutschen Zivilprozessrechts ist der Beibringungsgrundsatz, nach der es jeder Partei obliegt, alle wesentlichen Tatsachen und Beweismittel dem Gericht zu unterbreiten. Demgegenüber bietet das US-amerikanische Prozessrecht Parteien mit der sogenannten „Discovery“ und der dort enthaltenen Vorlagepflicht weitaus mehr Möglichkeiten, einen Prozess auch ohne eigene Beweismittel zu führen.

Auch wenn die DSGVO verschiedene Beschränkungen vorsieht, auf die hier nicht näher eingegangen werden soll, kommt der Auskunftsanspruch aus Art 15 DSGVO -mit Blick auf die bereits ergangenen Urteile des EuGH- mittlerweile einer eDiscovery inhaltlich recht nahe. Es ist natürlich hinsichtlich der Durchsetzbarkeit eines solchen Auskunftsanspruch ein erheblicher Unterschied, ob dieser mit Schadensersatzansprüchen flankiert ist oder nicht, falls er nicht zeitnah erfüllt wird. Den Primäranspruch selbst mag man der Verantwortliche sonst einstweilen -einigermaßen aufsichtskonform- aussitzen.

Es kann daher bei lebensnaher Betrachtung nicht ausgeschlossen werden, ob nicht zumindest auch diese Aspekte mittelbar dazu führen, dem Verhältnis von Auskunfts- und Schadensersatzanspruch eher verhalten gegenüber zu stehen, so wie es in den beiden hier skizzierten Vorlagefragen zum Ausdruck kommt.

Dafür mag es sicher auch gute Gründe geben, wenn man die Vor- und Nachteile beider Prozessrechtssysteme in den Blick nimmt.

Man sollte dabei jedoch im Blick behalten, dass im Zeitalter der Digitalisierung die vorliegenden Entscheidungen nicht mehr nur in einer Abwägung von Vor- und Nachteile zweier Prozessrechtssysteme bestehen, sondern mittlerweile auch wichtige Stellschrauben bezüglich der digitalen Souveränität des einzelnen stellen.

Dies auch deshalb, weil sich diese Fragestellungen -wie der Vorlagefall des BGH zeigt- nicht nur auf das Verhältnis zwischen Privaten beschränken.

4. Fazit und Ausblick

Abschließend dürfte so deutlich geworden sein, dass die Beziehung zwischen dem Auskunftsanspruch gemäß Art 15 DSGVO und Schadensersatz nach Art 82 DSGVO eine ganz maßgebliche Weichenstellung für die digitale Souveränität darstellt.

Lösungsansätze auf Missbrauchsfälle zu verkürzen wäre daher genauso kurzgegriffen, wie solche Phänomene bei der Suche nach tragfähigen Lösungen zu verleugnen oder auszublenden.

Anders als bei punktuellen Datenschutzverstößen gibt es -wie aufgezeigt- bei der Bewertung einer inadäquaten Auskunft zahlreiche tatsächliche Anknüpfungspunkte, die als Stellschrauben über die Schadenshöhe nutzbar gemacht werden können. Zudem bietet Art 8 Abs.2 S. 2 GrCh eine grundrechtliche Absicherung, die diesen Ansatz -mit Blick auf einen immateriellen Schadensersatz auch rechtlich legimtimiert.

Es lohnt sich auf jeden Fall, die weiteren Entwicklungen im Blick zu behalten. Damit es nicht irgendwann an entscheidender Stelle heißt:

„Dave, this conversation can serve no purpose anymore. Goodbye“.

Beitrag von Alexander Lentz vom Р10:02. Rubrik: Allgemein. Lesezeichen: Permalink. Kommentare: RSS-Feed. Trackbacks sind deaktiviert, aber Sie k̦nnen einen Kommentar schreiben.

Schreiben Sie einen Kommentar

Sie müssen sich einloggen um einen Kommentar schreiben zu können.


Twitter, Facebook, ...
Service
© Verlag Dr. Otto Schmidt, Köln