Das Landesarbeitsgericht (LAG) Düsseldorf hatte über einen außergewöhnlichen Streitfall im Beschäftigtendatenschutz zu entscheiden: Ein Bewerber bewarb sich im August und Dezember 2022 zweimal auf dieselbe Stelle bei einem bundesweit tätigen Wohnungsunternehmen – ohne jegliche Reaktion. Als er im Mai 2023 gemäß Art. 15 DSGVO Auskunft über gespeicherte personenbezogene Daten und eine Kopie dieser Daten verlangte, blieb das Unternehmen auch hier stumm. Mehrfache Mahnungen und Fristsetzungen blieben unbeantwortet. Das Gericht musste nun über die Frage entscheiden, unter welchen Voraussetzungen Betroffene immateriellen Schadensersatz nach Art. 82 DSGVO verlangen können, wenn Unternehmen ihre Auskunftspflichten aus Art. 15 DSGVO verletzen.
Die Entscheidung hat nicht nur unmittelbare Folgen für die Parteien, sondern auch Signalwirkung für Unternehmen, die mit personenbezogenen Daten im Bewerbungs- und Beschäftigungskontext umgehen. Sie verdeutlicht, dass selbst „weiche“ Beeinträchtigungen wie Kontrollverlust, Misstrauen oder Frustration rechtlich relevant sein können – sofern sie gut begründet sind.
Der Fall vor dem LAG Düsseldorf: Ausgangssituation und Klageweg im Beschäftigtendatenschutz
Der Kläger ist seit über zehn Jahren im Forderungsmanagement tätig. Im August und Dezember 2022 bewarb er sich auf Stellen bei einem bundesweit tätigen Wohnungsunternehmen. Seine Bewerbungsunterlagen waren vollständig: Anschreiben, Lebenslauf, Zeugnisse. Dennoch erhielt er keine Reaktion.
Im Mai 2023 forderte er das Unternehmen nach Art. 15 DSGVO auf, ihm Auskunft über die gespeicherten Daten zu erteilen und eine Kopie bereitzustellen. Die Vorschrift verpflichtet Unternehmen, transparent darzulegen, welche personenbezogenen Daten sie verarbeiten – ein Kernrecht der DSGVO, das nicht nur der Information, sondern auch der Durchsetzung weiterer Datenschutzrechte dient, etwa Berichtigung oder Löschung.
Trotz mehrfacher Mahnschreiben reagierte das Unternehmen nicht. Der Kläger reichte daraufhin Klage beim Arbeitsgericht Düsseldorf ein. Dort erhielt er zwar die beantragte Auskunft zugesprochen, sein Schadensersatzbegehren von 5.000 Euro wurde jedoch abgewiesen.
Das LAG Düsseldorf änderte diese Entscheidung teilweise ab und verurteilte das Unternehmen zu 750 Euro Schadensersatz nebst Zinsen. Ausschlaggebend war die Feststellung, dass Verstöße gegen die Auskunftspflicht grundsätzlich ersatzpflichtig sein können, wenn der Betroffene einen konkreten immateriellen Schaden nachweisen kann.
Rechtliche Kernpunkte der Entscheidung
Auskunftsanspruch nach Artikel 15 DSGVO
Art. 15 DSGVO ist ein zentrales Betroffenenrecht. Er verpflichtet Unternehmen, präzise und vollständige Informationen über gespeicherte personenbezogene Daten bereitzustellen. Dies umfasst:
- Die Kategorien der verarbeiteten Daten
- Die Zwecke der Verarbeitung
- Die Empfänger oder Kategorien von Empfängern
- Die geplante Speicherdauer
- Informationen über die Rechte des Betroffenen
Im vorliegenden Fall stellte das LAG Düsseldorf klar: Ein Verstoß gegen Art. 15 DSGVO löst nicht automatisch Schadensersatz nach Art. 82 DSGVO aus. Es bedarf einer substantiierten Darlegung, dass der Pflichtverstoß zu einer konkreten Beeinträchtigung geführt hat.
Immaterieller Schaden nach Artikel 82 DSGVO – Voraussetzungen für Schadensersatz bei Datenschutzverstoß
Art. 82 DSGVO gewährt Schadensersatz für materielle und immaterielle Schäden. Unter immateriellen Schäden versteht man nicht-ökonomische Nachteile, etwa:
- Gefühlter Kontrollverlust über die eigenen Daten
- Nachvollziehbare negative Emotionen wie Angst, Frustration oder Ärger
- Sorge vor Missbrauch der Daten
Im vorliegenden Fall legte der Kläger glaubhaft dar, dass die vollständige Intransparenz ihn erheblich verunsicherte. Er befürchtete, dass seine sensiblen Bewerbungsunterlagen unsachgemäß behandelt wurden. Außerdem sei er vom Verhalten der Beklagten genervt.
Das LAG Düsseldorf sah hierin einen ausreichend belegten immateriellen Schaden und sprach ihm 750 Euro zu. Diese Summe sollte den Nachteil ausgleichen, ohne Strafcharakter zu haben.
Abgrenzung zu restriktiveren Ansichten in der DSGVO-Rechtsprechung und Bedeutung für Unternehmen
Bemerkenswert ist, dass sich die 11. Kammer des LAG Düsseldorf bewusst gegen die restriktivere Rechtsprechung anderer Kammern und Instanzgerichten Stellung lehnte.
So hatte etwa die 3. Kammer desselben Gerichts 2023 entschieden, dass ohne tatsächliche Verarbeitung kein Anspruch bestehe. Das LAG Düsseldorf stellte nun klar: Entscheidend ist nicht die Art des Verstoßes, sondern ob der Verstoß ursächlich für den immateriellen Schaden war.
Das Gericht stellte außerdem heraus, dass der in Art. 4 Nr. 2 DSGVO definierte Begriff der „Verarbeitung“ bewusst sehr weit gefasst ist. Er umfasst nicht nur klassische Verarbeitungsschritte wie Erhebung, Speicherung oder Änderung personenbezogener Daten, sondern ausdrücklich auch deren „Offenlegung durch Übermittlung“. Damit wird deutlich, dass auch die Pflicht zur Erteilung einer Auskunft nach Art. 15 DSGVO unter diesen Verarbeitungsbegriff fällt. Ein Verstoß gegen diese Auskunftspflicht kann somit grundsätzlich als Datenschutzverstoß gewertet werden und – bei entsprechendem Nachweis eines immateriellen Schadens – einen Schadensersatzanspruch nach Art. 82 DSGVO begründen.
Einfluss der EuGH-Rechtsprechung auf den DSGVO-Schadensersatz nach Art. 82
Der Europäische Gerichtshof (EuGH) hat am 4. Mai 2023 (C-300/21 – Österreichische Post) einen zentralen Prüfungsmaßstab für Art. 82 DSGVO geschaffen. Nach dieser Entscheidung begründet ein bloßer Verstoß gegen die DSGVO keinen automatischen Anspruch auf immateriellen Schadensersatz. Entscheidend ist, dass ein konkreter, nachweisbarer Nachteil vorliegt, der über den reinen Gesetzesverstoß hinausgeht. Hierzu zählen etwa ein spürbarer Kontrollverlust über personenbezogene Daten, eine begründete Sorge vor missbräuchlicher Verwendung oder eine messbare psychische Beeinträchtigung. Ziel dieser restriktiven Linie ist es, die Rechte der Betroffenen zu schützen, gleichzeitig aber eine Inflation von Schadensersatzforderungen zu verhindern.
Das LAG Düsseldorf erkennt diese Grundsätze zwar an, interpretiert sie aber zugunsten der Betroffenen. Bereits plausibel geschilderte Beeinträchtigungen im Zusammenhang mit einem Verstoß gegen Art. 15 DSGVO können genügen, um einen Anspruch zu begründen. Kritiker bemängeln, dass das Gericht sich nicht umfassend mit restriktiveren Urteilen anderer Instanzgerichte – etwa des LAG Rheinland-Pfalz oder LAG Nürnberg – auseinandergesetzt hat. Gleichwohl verdeutlicht die Entscheidung, dass nationale Gerichte Spielraum haben, den immateriellen Schaden weiter zu fassen, als es die EuGH-Linie vorgibt. Für Unternehmen bedeutet das ein erhöhtes Risiko, selbst bei vermeintlich geringfügigen Auskunftsverstößen haftbar gemacht zu werden.
Signalwirkung des LAG Düsseldorf Urteils für Praxis, Unternehmen und betroffene Branchen
Das Urteil des LAG Düsseldorf entfaltet eine deutliche Signalwirkung für die Praxis, da es den Beweismaßstab für immaterielle Schäden im Rahmen der DSGVO senkt. Es bestätigt, dass auch subjektiv empfundene Beeinträchtigungen wie Ärger, Frustration oder ein Gefühl des Kontrollverlusts als ersatzfähiger immaterieller Schaden anerkannt werden können, sofern diese nachvollziehbar begründet sind. Damit wird die juristische Schwelle zur Geltendmachung von Ansprüchen gesenkt – ein Umstand, der für Unternehmen erhebliche Konsequenzen haben kann.
Besonders betroffen sind Branchen, in denen umfangreiche personenbezogene Daten verarbeitet werden:
- Personalwesen und Recruiting-Prozesse
- Gesundheitswesen mit sensiblen Patientendaten
- Finanzdienstleistungen mit strengen Compliance-Anforderungen
Für Arbeitgeber bedeutet dies, dass Auskunftsersuchen nach Art. 15 DSGVO nicht nur formal, sondern auch inhaltlich vollständig und fristgerecht beantwortet werden müssen. Bereits kleine Versäumnisse können zu einem Verfahren führen, das nicht nur finanzielle, sondern auch reputationsschädigende Folgen hat. Für Betroffene eröffnet das Urteil hingegen neue Möglichkeiten, ihre Rechte effektiv wahrzunehmen, auch wenn kein wirtschaftlicher Schaden entstanden ist. Es verschiebt den Fokus stärker auf die individuelle Betroffenheit und macht deutlich, dass Datenschutzverstöße nicht ausschließlich an messbaren Vermögenseinbußen gemessen werden.
Handlungsempfehlungen für Unternehmen zur DSGVO-Compliance und Auskunftspflicht-Erfüllung
Unternehmen, die regelmäßig personenbezogene Daten verarbeiten – insbesondere im Bewerbungs- und Beschäftigungskontext –, sollten dieses Urteil als Anlass nehmen, ihre internen DSGVO-Compliance-Prozesse zu prüfen. Ein klar definierter Workflow für Auskunftsersuchen gemäß Art. 15 DSGVO ist unverzichtbar. Dieser sollte folgende Elemente enthalten:
- Schnelle Erfassung eingehender Anfragen
- Klare Zuständigkeiten für die Bearbeitung
- Fristgerechte Antwort innerhalb eines Monats
- Vollständige Dokumentation aller Bearbeitungsschritte
Ein hohes Risiko besteht in der vollständigen Nichtreaktion auf Anfragen – selbst wenn keine Daten gespeichert sind. In diesem Fall ist eine formgerechte Negativauskunft zwingend erforderlich, um nicht den Eindruck einer bewussten Missachtung von Betroffenenrechten zu erwecken. So, wie es vorliegend der Fall war. Unternehmen, die standardisierte Antwortvorlagen nutzen, ihre Datenschutzbeauftragten schulen und die Abläufe regelmäßig auditieren, minimieren nicht nur die Gefahr eines Schadensersatzanspruchs nach Art. 82 DSGVO, sondern stärken zugleich ihr Image als verantwortungsbewusster Arbeitgeber. In Zeiten zunehmender Sensibilisierung für Datenschutzverletzungen kann dieser Präventionsansatz sogar einen Wettbewerbsvorteil darstellen.
Handlungsempfehlungen für Bewerber und Arbeitnehmer zur Durchsetzung von DSGVO-Auskunftsrechten
Für Bewerber und Arbeitnehmer bietet das Urteil eine wichtige Orientierung, wie sich DSGVO-Schadensersatzansprüche bei Auskunftsverstößen nach Art. 15 DSGVO erfolgreich durchsetzen lassen. Betroffene sollten ihre Schritte systematisch dokumentieren:
- Kopien aller Schreiben und Mahnungen aufbewahren
- Fristen im Blick behalten (grundsätzlich 1 Monat, in Ausnahmefällen 3 Monate mit Begründung)
- Eigene Empfindungen wie Ärger, Verunsicherung oder Misstrauen glaubhaft darlegen
Diese Dokumentation kann im Gerichtsverfahren als Beweis für den immateriellen Schaden dienen. Zudem ist es ratsam, frühzeitig anwaltlichen Rat einzuholen, um die Erfolgsaussichten und mögliche Anspruchshöhen zu prüfen. Besonders im Bewerbungsprozess, wo sensible personenbezogene Daten wie Lebenslauf mit Bild, Zeugnisse und Kontaktdaten verarbeitet werden, ist ein bewusster Umgang mit dem eigenen Auskunftsrecht entscheidend. Das Urteil des LAG Düsseldorf zeigt, dass auch moderat ausgeprägte, aber gut belegte Beeinträchtigungen ausreichen können, um erfolgreich einen Anspruch auf immateriellen Schadensersatz geltend zu machen. Wer seine Rechte kennt und konsequent durchsetzt, kann so nicht nur eine Entschädigung erreichen, sondern auch zu einer besseren Datenschutzpraxis in Unternehmen beitragen.
❓ FAQ zum DSGVO-Schadensersatz und LAG Düsseldorf Urteil
Das LAG Düsseldorf hat einem Bewerber 750 € immateriellen Schadensersatz zugesprochen, weil ein Unternehmen mehrfach gegen seine Auskunftspflicht nach Art. 15 DSGVO verstoßen hatte. Das Gericht stellte klar, dass bereits nachvollziehbar geschilderte Beeinträchtigungen ausreichen können, um einen Anspruch zu begründen.
Ein Anspruch besteht, wenn ein Verstoß gegen die DSGVO vorliegt und dieser zu einem konkreten, nachvollziehbaren immateriellen Schaden geführt hat. Das kann zum Beispiel der Fall sein, wenn Unternehmen trotz Aufforderung keine Auskunft erteilen, personenbezogene Daten nicht offenlegen oder Fristen überschreiten.
Unternehmen müssen ihre Datenschutzprozesse prüfen und sicherstellen, dass Auskunftsanfragen fristgerecht und vollständig beantwortet werden. Selbst geringe Versäumnisse können zu Schadensersatzansprüchen führen, wenn Betroffene negative Auswirkungen plausibel darlegen können.
Betroffene sollten alle Anfragen und Mahnungen dokumentieren, Fristen im Blick behalten und ihre empfundenen Beeinträchtigungen konkret beschreiben. Eine frühzeitige anwaltliche Beratung kann helfen, Ansprüche durchzusetzen.
Unternehmen müssen nach Art. 12 Abs. 3 DSGVO innerhalb eines Monats nach Eingang der Anfrage antworten. In Ausnahmefällen kann die Frist um weitere zwei Monate verlängert werden, sofern dies begründet wird.
Es gibt keinen gesetzlich festgelegten Höchstbetrag. Die Höhe hängt von der Schwere des Verstoßes und der Beeinträchtigung ab. Gerichte haben bisher von geringen dreistelligen Beträgen bis zu mehreren Tausend Euro entschieden.
Ja. Immaterieller Schadensersatz deckt nicht-ökonomische Nachteile ab, wie Kontrollverlust, Ärger, Stress oder Unsicherheit über die Datenverarbeitung.
Unternehmen sollten interne Prozesse etablieren, Zuständigkeiten klären, Fristen überwachen und standardisierte Antwortvorlagen nutzen, um Auskunftsanfragen schnell und vollständig zu bearbeiten.
Ja. In diesem Fall muss eine formgerechte Negativauskunft erteilt werden, um zu dokumentieren, dass keine Daten vorliegen.