Suche 
Im Kontext von arbeitsrechtlichen Auseinandersetzungen sind Auskunftsersuchen nach Art. 15 DSGVO leider ein immer von Arbeitnehmern wieder gewähltes Mittel um (vermeintlich) Druck auf die Arbeitgeberseite auszuüben. Ob und inwieweit ein Verstoß gegen die Auskunftspflicht, sei es, weil sie zu spät oder unvollständig erteilt wird, einen Schadensersatzanspruch nach Art. 82 DSGVO begründen kann, ist strittig und wird nun der EuGH entscheiden müssen.
In unserem Blogbeitrag vom 14. August 2024 hatten wir die Voraussetzungen eines Schadensersatzanspruchs nach Art. 82 DSGVO und die Verteilung der Darlegungs- und Beweislast erläutert. Strittig und nach wie vor nicht abschließend geklärt, ist die Frage, ob eine Verletzung der Auskunftspflicht nach Art. 15 DSGVO einen Verstoß i.S.v. Art. 82 DSGVO darstellt und damit einen Schadensersatzanspruch begründen kann (offengelassen: BAG, Urteil vom 20. Februar 2025, 8 AZR 61/24).
Entscheidung des LAG Düsseldorf
Das LAG Düsseldorf hatte in einem Urteil vom 21. August 2024 – 4 SLa 233/24 entschieden, dass ein Verstoß gegen Art. 15 DSGVO grundsätzlich geeignet sein kann, einen (immateriellen) Schadensersatzanspruch nach Art. 82 DSGVO zu begründen.
In dem entschiedenen Fall hatte ein Bewerber nach einer nicht erfolgreichen Bewerbung um Auskunft und Erteilung einer Datenkopie nach Art. 15 DSGVO gebeten. Das beklagte Unternehmen reagierte zunächst nicht und teilte später lediglich mit, die Bewerbungsunterlagen seien gemäß den Vorgaben der DSGVO gelöscht worden. Der Bewerber machte daraufhin einen immateriellen Schadensersatz in Höhe von mindestens 2.000 Euro geltend. Er begründete dies mit einem erlittenen Kontrollverlust über seine Daten sowie mit emotionalen Belastungen aufgrund der unterlassenen Auskunft.
Das LAG Düsseldorf wies die Klage ab. Das Gericht kam zu dem Ergebnis, dass der Bewerber keinen Schaden i.S.v. Art. 82 DSGVO dargelegt habe. Ein Schaden könne nicht damit begründet werden, dass die Verletzung des Auskunftsanspruchs aus Art. 15 Abs. 1 DSGVO zu einem Kontrollverlust geführt hat, weil die Überprüfung verhindert wird, ob das Unternehmen personenbezogene Daten rechtmäßig verarbeitet. Denn ein Kontrollverlust gehe mit jeder Verletzung des Auskunftsanspruchs aus Art. 15 Abs. 1 DSGVO zwingend einher. Er sei daher nicht geeignet, einen von der bloßen Verletzung des Art. 15 Abs. 1 DSGVO unterscheidbaren Schaden zu begründen.
Vorabentscheidung durch den EuGH angefragt
Die Entscheidung des LAG Düsseldorf ist in der Sache überzeugend, jedoch nicht rechtskräftig. Das beim BAG anhängige Revisionsverfahren ist derzeit ausgesetzt. Grund hierfür ist ein Vorabentscheidungsersuchen des Bundesgerichtshofs vom 6. Mai 2025 (VI ZR 53/23) zum Europäischen Gerichtshof (EuGH) zu den Fragen, ob eine Verletzung der Auskunftspflicht nach Art. 15 DSGVO einen Verstoß i.S.v. Art. 82 DSGVO darstellt und damit einen (immateriellen) Schadensersatzanspruch begründen kann.
Die Antworten, die der EuGH wird geben müssen, sind überaus praxisrelevant. Denn die Instanzgerichte sind bislang uneins: Während einige Gerichte dem bloßen Verstoß gegen die Auskunftspflichten bereits ein eigenes Gewicht beimessen, verlangen andere, wie das LAG Düsseldorf, eine konkrete und individualisierte Darlegung tatsächlicher Beeinträchtigungen. Dies überzeugt, denn anderenfalls ließe sich mit jedem Verstoß gegen die Auskunftspflicht aus Art. 15 DSGVO ohne die weiteren Voraussetzungen des Schadenseintritts und der notwendigen Kausalität ein Schadensersatzanspruch begründen. Zwar kann nicht nur der Verlust der Kontrolle über personenbezogene Daten, sondern bereits die Befürchtung eines solchen Kontrollverlustes oder einer missbräuchlichen Verwendung der personenbezogenen Daten zu einem immateriellen Schaden führen. Allein eine unterbliebene oder unvollständige Auskunft begründet jedoch keinen Kontrollverlust über die personenbezogenen Daten, der einen immateriellen Schaden begründen könnte.
Fazit
Auskunftsersuchen müssen weiterhin mit größtmöglicher Sorgfalt und Fristwahrung bearbeitet werden. Denn die verfahrensrechtliche Lage bleibt heikel. Selbst wenn Gerichte hohe Anforderungen an die Darlegung eines Schadens stellen, kann eine unterlassene oder verspätete Auskunft unter Umständen dennoch ein Haftungsrisiko begründen – insbesondere, wenn der EuGH sich für einen weiten Schadensbegriff entscheiden sollte. Arbeitgeber sind deshalb gut beraten, ihre internen Prozesse zur Bearbeitung von Auskunftsersuchen nach Art. 15 DSGVO regelmäßig zu überprüfen, zu dokumentieren und datenschutzrechtlich sauber abzustimmen.
