DSGVO-Schadensersatz nach Art. 82: LAG Düsseldorf stärkt Betroffenenrechte

Kurz erklärt: Das LAG Düsseldorf sprach 750 € immateriellen Schadensersatz nach Art. 82 DSGVO wegen Verstoß gegen Art. 15 DSGVO zu. Der Anspruch nach Art. 82 DSGVO erfordert eine konkrete Beeinträchtigung. Das Urteil konkretisiert den Schadensersatzanspruch bei Datenschutzverletzungen, insbesondere im Beschäftigtendatenschutz. Unternehmen müssen Auskunftsersuchen fristgerecht und vollständig beantworten, um DSGVO-Verstöße zu vermeiden.

Der Fall: Bewerber fordert Auskunft und klagt auf DSGVO-Schadensersatz nach Art. 82

Das Landesarbeitsgericht (LAG) Düsseldorf hatte über einen außergewöhnlichen Streitfall zum DSGVO-Schadensersatz  nach Art. 82 im Beschäftigtendatenschutz zu entscheiden: Ein Bewerber bewarb sich im August und Dezember 2022 zweimal auf dieselbe Stelle bei einem bundesweit tätigen Wohnungsunternehmen – ohne jegliche Reaktion. Als er im Mai 2023 gemäß Art. 15 DSGVO Auskunft über gespeicherte personenbezogene Daten und eine Kopie dieser Daten verlangte, blieb das Unternehmen auch hier stumm. Mehrfache Mahnungen und Fristsetzungen blieben unbeantwortet. Das Gericht musste nun über die Frage entscheiden, unter welchen Voraussetzungen Betroffene immateriellen Schadensersatz nach Art. 82 DSGVO verlangen können, wenn Unternehmen ihre Auskunftspflichten aus Art. 15 DSGVO verletzen.

Die Entscheidung hat nicht nur unmittelbare Folgen für die Parteien, sondern auch Signalwirkung für Unternehmen, die mit personenbezogenen Daten im Bewerbungs- und Beschäftigungskontext umgehen. Sie verdeutlicht, dass selbst „weiche“ Beeinträchtigungen wie Kontrollverlust, Misstrauen oder Frustration beim DSGVO-Schadensersatz rechtlich relevant sein können – sofern sie gut begründet sind.

Das LAG Düsseldorf stärkt die Betroffenenrechte nach der DSGVO und konkretisiert die Voraussetzungen des Schadensersatzanspruchs nach Art. 82 DSGVO. Unternehmen sollten daher ihre internen Prozesse im Beschäftigtendatenschutz DSGVO-konform gestalten, um einen rechtssicheren Datenschutz im Bewerbungsverfahren zu gewährleisten.

DSGVO-Schadensersatz nach Art. 82: Bewerber klagt wegen Verstoß gegen Art. 15 DSGVO

Pflichtverletzung durch fehlende Auskunftserteilung

Der Kläger ist seit über zehn Jahren im Forderungsmanagement tätig. Im August und Dezember 2022 bewarb er sich auf Stellen bei einem bundesweit tätigen Wohnungsunternehmen. Seine Bewerbungsunterlagen waren vollständig: Anschreiben, Lebenslauf, Zeugnisse. Dennoch erhielt er keine Reaktion.

Im Mai 2023 forderte er das Unternehmen nach Art. 15 DSGVO auf, ihm Auskunft über die gespeicherten Daten zu erteilen und eine Kopie bereitzustellen. Die Vorschrift verpflichtet Unternehmen, transparent darzulegen, welche personenbezogenen Daten sie verarbeiten – ein Kernrecht der DSGVO, das nicht nur der Information, sondern auch der Durchsetzung weiterer Datenschutzrechte dient, etwa Berichtigung oder Löschung. Unternehmen sollten daher ihre internen Prozesse im Beschäftigtendatenschutz DSGVO-konform gestalten.

Entscheidung des Arbeitsgerichts Düsseldorf im ersten Schritt

Trotz mehrfacher Mahnschreiben reagierte das Unternehmen nicht. Der Kläger reichte daraufhin Klage beim Arbeitsgericht Düsseldorf ein. Dort erhielt er zwar die beantragte Auskunft zugesprochen, sein DSGVO-Schadensersatzbegehren von 5.000 Euro wurde jedoch abgewiesen.

Das LAG Düsseldorf änderte diese Entscheidung teilweise ab und verurteilte das Unternehmen zu 750 Euro Schadensersatz nebst Zinsen nach Art. 82 DSGVO. Ausschlaggebend war die Feststellung, dass Verstöße gegen die DSGVO-Auskunftspflicht grundsätzlich ersatzpflichtig sein können, wenn der Betroffene einen konkreten immateriellen Schaden nachweisen kann.

Entscheidung des LAG Düsseldorf: Wann besteht Anspruch auf DSGVO-Schadensersatz nach Art. 82? 

Auskunftsanspruch nach Art. 15 DSGVO: Pflichten für Unternehmen und Risiken

Art. 15 DSGVO ist ein zentrales Betroffenenrecht. Er verpflichtet Unternehmen, präzise und vollständige Informationen über gespeicherte personenbezogene Daten bereitzustellen. Dies umfasst:

• Die Kategorien der verarbeiteten Daten
• Die Zwecke der Verarbeitung
• Die Empfänger oder Kategorien von Empfängern
• Die geplante Speicherdauer
• Informationen über die Rechte des Betroffenen

Im vorliegenden Fall stellte das LAG Düsseldorf klar: Ein Verstoß gegen Art. 15 DSGVO löst nicht automatisch Schadensersatz nach Art. 82 DSGVO aus. Es bedarf einer substantiierten Darlegung, dass der Pflichtverstoß zu einer konkreten Beeinträchtigung geführt hat. Damit konkretisierte das Gericht die Voraussetzungen für einen Schadensersatzanspruch nach der DSGVO.

Immaterieller Schaden nach Art. 82 DSGVO: Voraussetzungen & Nachweis

Art. 82 DSGVO gewährt Schadensersatz für materielle und immaterielle Schäden. Unter immateriellen Schäden versteht man nicht-ökonomische Nachteile, etwa:

• Gefühlter Kontrollverlust über personenbezogene Daten
• Nachvollziehbare negative Emotionen wie Angst, Frustration oder Ärger
• Sorge vor Missbrauch der Daten

Der Kläger machte glaubhaft, er sei durch die Intransparenz erheblich verunsichert gewesen und habe eine unsachgemäße Verarbeitung seiner Bewerberdaten befürchtet.. Außerdem sei er vom Verhalten der Beklagten genervt.

Das LAG Düsseldorf sah hierin einen ausreichend belegten immateriellen Schaden und sprach ihm 750 Euro DSGVO-Schadensersatz nach Art. 82 zu. Diese Summe sollte den Nachteil ausgleichen, ohne Strafcharakter zu haben.

Bedeutung des Urteils des LAG Düsseldorf für Unternehmen und Datenschutzpraxis

Bemerkenswert ist, dass sich die 11. Kammer des LAG Düsseldorf bewusst gegen die restriktivere Rechtsprechung anderer Kammern und Instanzgerichten bezüglich des DSGVO-Schadensersatzes nach Art. 82 lehnte.

So hatte etwa die 3. Kammer desselben Gerichts 2023 entschieden, dass ohne tatsächliche Verarbeitung kein Anspruch bestehe. Das LAG Düsseldorf stellte nun klar: Entscheidend ist nicht die Art des DSGVO-Verstoßes, sondern ob der Verstoß ursächlich für den immateriellen Schaden war.

Das Gericht stellte außerdem heraus, dass der in Art. 4 Nr. 2 DSGVO definierte Begriff der „Verarbeitung“ bewusst sehr weit gefasst ist. Er umfasst nicht nur klassische Verarbeitungsschritte wie Erhebung, Speicherung oder Änderung personenbezogener Daten, sondern ausdrücklich auch deren „Offenlegung durch Übermittlung“. Damit wird deutlich, dass auch die Pflicht zur Erteilung einer Auskunft nach Art. 15 DSGVO unter diesen Verarbeitungsbegriff fällt. Ein Verstoß gegen diese Auskunftspflicht kann somit grundsätzlich als Datenschutzverstoß gewertet werden und – bei entsprechendem Nachweis eines immateriellen Schadens – einen Schadensersatzanspruch nach Art. 82 DSGVO begründen.

Einfluss der EuGH-Rechtsprechung auf den DSGVO-Schadensersatz nach Art. 82 

EuGH C-300/21 als Maßstab für den immateriellen Schaden

Der Europäische Gerichtshof (EuGH) hat am 4. Mai 2023 (C-300/21 – Österreichische Post) einen zentralen Prüfungsmaßstab für Art. 82 DSGVO geschaffen. Nach dieser Entscheidung begründet ein bloßer Verstoß gegen die DSGVO keinen automatischen Anspruch auf immateriellen Schadensersatz. Entscheidend ist, dass ein konkreter, nachweisbarer Nachteil vorliegt, der über den reinen Gesetzesverstoß hinausgeht. Hierzu zählen etwa ein spürbarer Kontrollverlust über personenbezogene Daten, eine begründete Sorge vor missbräuchlicher Verwendung oder eine messbare psychische Beeinträchtigung. Ziel dieser restriktiven Linie ist es, die Rechte der Betroffenen zu schützen, gleichzeitig aber eine Inflation von Schadensersatzforderungen zu verhindern.

Abweichende Linie des LAG Düsseldorf zur EuGH-Rechtsprechung

Das LAG Düsseldorf erkennt diese Grundsätze zwar an, interpretiert sie aber zugunsten der Betroffenen. Bereits plausibel geschilderte Beeinträchtigungen im Zusammenhang mit einem Verstoß gegen Art. 15 DSGVO können genügen, um einen DSGVO-Anspruch zu begründen. Kritiker bemängeln, dass das Gericht sich nicht umfassend mit restriktiveren Urteilen anderer Instanzgerichte – etwa des LAG Rheinland-Pfalz oder LAG Nürnberg – auseinandergesetzt hat. Gleichwohl verdeutlicht die Entscheidung zum immateriellen DSGVO-Schadensersatz nach Art. 82, dass nationale Gerichte Spielraum haben, den immateriellen Schaden weiter zu fassen, als es die EuGH-Linie vorgibt. Für Unternehmen bedeutet das ein erhöhtes Risiko, selbst bei vermeintlich geringfügigen DSGVO-Auskunftsverstößen haftbar gemacht zu werden.

Signalwirkung des LAG-Düsseldorf-Urteils für HR, Unternehmen und DSGVO-Datenschutzpraxis

Das Urteil des LAG Düsseldorf entfaltet eine deutliche Signalwirkung für die Praxis, da es den Beweismaßstab für immaterielle Schäden im Rahmen der DSGVO senkt. Es bestätigt, dass auch subjektiv empfundene Beeinträchtigungen wie Ärger, Frustration oder ein Gefühl des Kontrollverlusts als ersatzfähiger immaterieller Schaden nach der DSGVO anerkannt werden können, sofern diese nachvollziehbar begründet sind. Damit senkt das Urteil die Schwelle für Schadensersatzansprüche wegen Datenschutzverstößen.

Besonders betroffen sind Branchen, in denen umfangreiche personenbezogene Daten verarbeitet werden:

• Personalwesen und Recruiting-Prozesse
• Gesundheitswesen mit sensiblen Patientendaten
• Finanzdienstleistungen mit strengen Compliance-Anforderungen

Für Arbeitgeber bedeutet dies, dass Auskunftsersuchen nach Art. 15 DSGVO nicht nur formal, sondern auch inhaltlich vollständig und fristgerecht beantwortet werden müssen. Bereits kleine Versäumnisse können zu einem Verfahren führen, das nicht nur finanzielle, sondern auch reputationsschädigende Folgen hat. Ein Verstoß gegen die DSGVO-Auskunftspflicht kann somit einen Schadensersatzanspruch wegen Datenschutzverstoßes auslösen. Für Betroffene eröffnet das Urteil des LAG Düsseldorf hingegen neue Möglichkeiten, ihre Rechte effektiv wahrzunehmen, auch wenn kein wirtschaftlicher Schaden entstanden ist. Es verschiebt den Fokus stärker auf die individuelle Betroffenheit und macht deutlich, dass DSGVO-Verstöße nicht ausschließlich an messbaren Vermögenseinbußen gemessen werden.

Handlungsempfehlungen für Unternehmen zur DSGVO-Compliance und Auskunftspflicht-Erfüllung

Unternehmen, die regelmäßig personenbezogene Daten verarbeiten – insbesondere im Bewerbungs- und Beschäftigungskontext –, sollten dieses Urteil des LAG Düsseldorf als Anlass nehmen, ihre interne DSGVO-Compliance zu prüfen. Ein klar definierter Workflow für Auskunftsersuchen gemäß Art. 15 DSGVO ist unverzichtbar. Dieser sollte folgende Elemente enthalten:

1. Schnelle Erfassung eingehender Anfragen
2. Klare Zuständigkeiten für die Bearbeitung
3. Fristgerechte Antwort innerhalb eines Monats
4. Vollständige Dokumentation aller Bearbeitungsschritte

Ein hohes Risiko besteht in der vollständigen Nichtreaktion auf Anfragen – selbst wenn keine Daten gespeichert sind. In diesem Fall ist eine formgerechte Negativauskunft gemäß der DSGVO zwingend erforderlich, um nicht den Eindruck einer bewussten Missachtung von Betroffenenrechten zu erwecken. So, wie es vorliegend der Fall war. Unternehmen, die standardisierte Antwortvorlagen nutzen, ihre Datenschutzbeauftragten schulen und die Abläufe regelmäßig auditieren, minimieren nicht nur die Gefahr eines DSGVO-Verstoßes und Schadensersatzanspruchs nach Art. 82 DSGVO, sondern stärkenzugleich ihr Image als verantwortungsbewusster Arbeitgeber. In Zeiten zunehmender Sensibilisierung für Datenschutzverletzungen kann dieser Präventionsansatz sogar einen Wettbewerbsvorteil darstellen.

Fragen zur DSGVO? Nehmen Sie an unserer DSGVO-Sprechstunde teil!

DSGVO-Auskunftsrechte durchsetzen: Handlungsempfehlungen für Bewerber und Arbeitnehmer

Für Bewerber und Arbeitnehmer bietet das Urteil des LAG Düsseldorf eine wichtige Orientierung, wie sich DSGVO-Schadensersatzansprüche bei Auskunftsverstößen nach Art. 15 DSGVO erfolgreich durchsetzen lassen. Betroffene sollten ihre Schritte systematisch dokumentieren:

• Kopien aller Schreiben und Mahnungen aufbewahren
• Fristen im Blick behalten (grundsätzlich 1 Monat, in Ausnahmefällen 3 Monate mit Begründung)
• Eigene Empfindungen wie Ärger, Verunsicherung oder Misstrauen glaubhaft darlegen

Diese Dokumentation kann im Gerichtsverfahren als Beweis für den immateriellen Schaden nach Art. 82 DSGVO dienen. Zudem ist es ratsam, frühzeitig anwaltlichen Rat einzuholen, um die Erfolgsaussichten und mögliche Anspruchshöhen zu prüfen. Besonders im Bewerbungsprozess, wo sensible personenbezogene Daten im Rahmen des Bewerbungsprozesses verarbeitet werden, ist ein bewusster Umgang mit dem Auskunftsrecht nach Art. 15 DSGVO entscheidend. Das Urteil des LAG Düsseldorf zeigt, dass auch moderat ausgeprägte, aber gut belegte Beeinträchtigungen ausreichen können, um erfolgreich einen Anspruch auf immateriellen Schadensersatz gemäß Art. 82 DSGVO geltend zu machen. Wer seine Rechte kennt und konsequent durchsetzt, kann so nicht nur eine Entschädigung erreichen, sondern auch zu einer besseren Datenschutzpraxis in Unternehmen beitragen.

 Das Urteil stärkt die Betroffenenrechte nach der DSGVO und verdeutlicht die Bedeutung einer DSGVO-konformen Verarbeitung von Bewerberdaten.

Fragen zu DSGVO-Schadensersatz, Auskunftsansprüchen oder Datenschutzverstößen?

Wenn Sie unsicher sind, ob in Ihrem Unternehmen ein Anspruch auf DSGVO-Schadensersatz nach Art. 82 droht – etwa wegen verspäteter oder unterbliebener Auskunft nach Art. 15 DSGVO –, unterstützen wir Sie gerne. Unsere spezialisierten Rechtsanwälte für IT- und Datenschutzrecht prüfen Auskunftsersuchen, interne Prozesse und mögliche Datenschutzverstöße.

Wir beraten Unternehmen bei der gerichtlichen und außergerichtlichen Abwehr von Forderungen nach Art. 82 DSGVO. Ergänzend bieten wir Webinare, Sprechstunden und Mitarbeiterschulungen zum Thema DSGVO an.

Vereinbaren Sie jetzt einen Beratungstermin bei uns!