Ein potentielles Risiko eines laxen Umgangs mit dem Datenschutz besteht weiterhin in möglicherweise empfindlichen Schadensersatzforderungen betroffener Personen. Denn jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter (Art. 82 DSGVO). Dabei sind es sehr häufig die Arbeitsgerichte, vor denen um Schadensersatzansprüche von (ausgeschiedenen) Arbeitnehmern gestritten wird. Die Entscheidungen sind aber in gleicher Weise auch außerhalb des arbeitsrechtlichen Bereichs relevant.

Die deutschen Gerichte sind mit Schadensersatz traditionell eher zurückhaltend. Der Europäische Gerichtshof hat als insoweit höchstes zuständiges Gericht aber bereits entschieden, dass für einen solchen Schaden keine Erheblichkeits- oder Bagatellschwelle existiert. Das bedeutet, dass auch geringe Schäden durch wenig bedeutsame Verstöße zu ersetzen sind, dann nur eben mit eher geringen Beträgen.

Der BGH hat nun Ende September 2023 beim EuGH nachgefragt, ob für einen immateriellen Schaden im Sinne der DSGVO – also eine Art Schmerzensgeld – bloße negative Gefühle genügen wie z.B. Ärger, Unmut, Unzufriedenheit, Sorge und Angst, die an sich Teil des allgemeinen Lebensrisikos und oft des täglichen Erlebens sind. Der BGH neigt wohl dazu anzunehmen, dass für einen Schadens ein über diese Gefühle hinausgehender Nachteil für die betroffene Person erforderlich ist. Ansonsten gäbe es nämlich schon z.B. bei ärgerlichem Datenverlust in einem Unternehmen wegen des damit einhergehenden Missbrauchsrisikos Ansprüche, ohne dass konkreter Missbrauch nachgewiesen werden müsste. Der EuGH wird uns die Antwort früher oder später geben.

Keinen DSGVO-Schadensersatz soll es nach einem neuen Urteil des Landesarbeitsgericht Düsseldorf (Urteil vom 28.11.2023, 3 Sa 285/23) übrigens für eine verspätete oder zunächst unvollständige DSGVO-Auskunft geben. Denn Schadensersatz setze eine gegen die DSGVO verstoßende Datenverarbeitung voraus. Eine bloße Verzögerung oder anfängliche Unvollständigkeit der Auskunft reiche für eine Geldentschädigung nicht aus. Das erstinstanzliche Arbeitsgericht hatte allerdings noch EUR 10.000,00 zugesprochen. Die Revision zum Bundesarbeitsgericht wurde zugelassen, d.h. auch hierzu ist noch nicht zwingend das letzte Wort gesprochen.

Es bleibt daher dabei, dass bei der Einhaltung datenschutzrechtlicher Vorgaben Sorgfalt geboten ist. Neben Ärger mit der Aufsichtsbehörde können ansonsten empfindliche oder zumindest lästige Schadensersatzforderungen betroffener Personen drohen.