DSGVO: Begründet ein Verstoß gegen die Auskunftspflicht gem. Art. 15 DSGVO einen immateriellen Schadensersatzanspruch gem. Art. 82 Abs.1 und Abs. 2 DSGVO?

Das LAG Nürnberg hat sich in einem aktuellen Urteil mit einer hochbrisanten Frage der datenschutzrechtlichen Haftung auseinandergesetzt: Dem Schadensersatzanspruch aus Art. 82 Abs. 1 bzw. Abs. 2 DSGVO bzw. unter welchen Voraussetzungen er geltend gemacht werden kann.

Die Vorschrift Art. 82 DSGVO hat (soweit hier relevant) folgenden Wortlaut:

(1) Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

(2) Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. Ein Auftragsverarbeiter haftet für den durch eine Verarbeitung verursachten Schaden nur dann, wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus dieser Verordnung nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat.

Eine Verletzung der Auskunftspflicht gem. Art. 15 DSGVO begründet nach Auffassung des LAG Nürnberg keinen Anspruch auf immateriellen Schadensersatz aus Art. 82 Abs. 1 DSGVO, da es sich bei der datenschutzrechtlichen Auskunftspflicht um keine „Verarbeitung“ von personenbezogenen Daten im Sinne der Vorschrift handle. Da es somit schon an der anspruchsbegründenden verordnungswidrigen „Verarbeitung“ fehlt, könne auch im Falle verspäteter oder ganz unterlassener Auskünfte keine Schadensersatzansprüche gem. Art. 82 Abs. 1 DSGVO geltend gemacht werden. Absatz 2 der Vorschrift stelle im Einklang mit den Erwägungsgründen der Verordnung letztlich eine Konkretisierung der allgemeinen Regelung in Absatz 1 dar, wonach nur eine „Verarbeitung“ von personenbezogenen Daten die Schadensersatzpflicht auslösen könne.

Unabhängig, ob man der Begründung folgen will oder nicht, stellt die Entscheidung eine bedeutende Beschränkung der immateriellen Schadensersatzansprüche dar, welche in vergangener Zeit eine weite Auslegung durch die Gerichte genießen durften. Gerade im arbeitsrechtlichen Bereich wurden solche Ansprüche oftmals missbräuchlich geltend gemacht, was aufgrund dieser Entscheidung jedenfalls im Zuständigkeitsbereich des LAG Nürnberg vorläufig ein Ende finden dürfte. Zum Zeitpunkt des Erscheinens dieses Artikels nur „vorläufig“, da Revision gegen die Entscheidung des LAG Nürnberg eingelegt wurde.

Nach unserer Auffassung kann auch die Gegenauffassung zur Entscheidung des LAG Nürnberg vertreten werden, da die grundsätzliche Verpflichtung zum Schadensersatz in Art. 82 Abs. 1 DSGVO geregelt ist und hier gerade keine verordnungswidrige „Verarbeitung“, sondern lediglich ein „Verstoß“ gegen die Verordnung vorausgesetzt wird. Hierzu gehört auch die unterlassene oder verspätete Beantwortung eines Auskunftsverlangens. Die Regelung in Art. 82 Abs. 2 DSGVO dürfte demgegenüber lediglich eine Haftungsverteilungsregelung mit Exkulpationsmöglichkeit für Auftragsverarbeiter darstellen. Wir erwarten die Entscheidung des BAG als Revisionsinstanz bzw. des EuGH (im Fall einer Vorlage) daher mit Spannung.

Die Entscheidung hat indes nicht nur die vorläufige Eindämmung des Missbrauchs des Art. 82 Abs. 1 DSGVO als Druckmittel bei arbeitsrechtlichen Auseinandersetzungen bzw. Vergleichsverhandlungen zur Folge, sondern zeigt auch deutlich auf, dass nicht jeder Verstoß gegen die DSGVO zwangsläufig einen Schadensersatzanspruch der davon betroffenen Person begründen muss.

(Quelle: LAG Nürnberg, Urteil vom 25. Januar 2023, Az. 4 Sa 201/22, abrufbar im Volltext unter https://www.arbg.bayern.de/nuernberg/entscheidungen/neue/54320/index.php )