Viele Kanzleien. Ein starkes Netzwerk.
Aktuelles
Neues aus Markt und Netzwerk
 

Bundesarbeitsgericht verschärft Anforderungen Schadenersatz wegen DSGVO-Verstoß

Schadenersatz wegen DSGVO-Verstoß? – Bundesarbeitsgericht verschärft Anforderungen

Das Bundesarbeitsgericht (BAG) hat mit Urteil vom 17. Oktober 2024 (Az. 8 AZR 215/23) eine wegweisende Entscheidung zu Schadenersatzansprüchen nach der Datenschutz-Grundverordnung (DSGVO) getroffen. Arbeitnehmer, die aufgrund eines Verstoßes gegen die DSGVO Schadenersatz fordern, müssen künftig höhere Anforderungen an die Darlegung eines tatsächlichen Schadens erfüllen. Dieses Urteil hat weitreichende Folgen für den Beschäftigtendatenschutz und den Umgang mit Auskunftsverlangen im Arbeitsverhältnis.

Sachverhalt

Der Kläger war Auszubildender in einem Fitnessstudio und verlangte nach Art. 15 DSGVO Auskunft über seine gespeicherten personenbezogenen Daten. Zudem wurde ein von ihm privat genutzter USB-Stick von seinem Arbeitgeber einbehalten, auf dem sich persönliche Daten befanden. Der Kläger befürchtete eine missbräuchliche Nutzung seiner Daten und machte einen immateriellen Schadenersatz in Höhe von 5.000 Euro geltend. Das Landesarbeitsgericht Baden-Württemberg hatte ihm zunächst einen Schadenersatz in Höhe von 2.500 Euro zugesprochen.

Entscheidung des BAG

Das BAG hob das Urteil des Landesarbeitsgerichts auf und wies die Klage ab. Entscheidend war, dass der Kläger keinen konkreten Schaden dargelegt hatte. Nach der Rechtsprechung des Europäischen Gerichtshofs (EuGH) reicht das bloße Bestehen eines DSGVO-Verstoßes nicht aus, um einen Schadenersatzanspruch zu begründen. Vielmehr muss ein tatsächlich erlittenes und nachvollziehbares Unwohlsein oder eine andere konkrete Beeinträchtigung nachgewiesen werden.

Das BAG stellte klar:

  • Ein bloßes Gefühl der Unsicherheit oder Angst reicht nicht aus.
  • Die Wegnahme des USB-Sticks begründet keinen kausalen Zusammenhang mit einem DSGVO-Schaden.
  • Subjektive Befürchtungen allein genügen nicht, um einen immateriellen Schaden zu begründen.

Rechtliche Einordnung und praktische Konsequenzen

Das Urteil bestätigt, dass Arbeitnehmer, die Schadenersatz wegen eines DSGVO-Verstoßes verlangen, substantiiert darlegen müssen, welche konkreten Auswirkungen der Verstoß auf sie hatte. Es reicht nicht, lediglich eine abstrakte Sorge oder Ungewissheit über die Verarbeitung personenbezogener Daten zu äußern.

Für Arbeitgeber bedeutet dies:

  • Eine gründliche Dokumentation und transparente Kommunikation bei der Verarbeitung von Beschäftigtendaten ist essenziell.
  • Bei Auskunftsverlangen nach Art. 15 DSGVO sollten Arbeitgeber unverzüglich, vollständig und nachvollziehbar antworten, um Rechtsstreitigkeiten zu vermeiden.
  • Die Verweigerung einer Auskunft kann zwar einen Verstoß darstellen, führt aber nicht automatisch zu einer Schadenersatzpflicht.

Für Arbeitnehmer gilt:

  • Bei der Geltendmachung von Schadenersatz ist eine genaue Darlegung der konkreten Beeinträchtigung erforderlich.
  • Eine emotionale Belastung oder vage Befürchtungen allein sind nicht ausreichend.

Fazit

Das BAG-Urteil stellt klar, dass ein DSGVO-Verstoß allein keinen Schadenersatzanspruch begründet. Arbeitnehmer müssen darlegen, welche konkreten negativen Folgen der Verstoß für sie hatte. Damit wird die Hürde für Schadenersatzansprüche deutlich höher. Arbeitgeber wiederum sollten auf eine DSGVO-konforme Verarbeitung von Beschäftigtendaten achten, um Risiken zu vermeiden.

Falls Sie als Arbeitnehmer oder Arbeitgeber Fragen zum Datenschutz im Arbeitsverhältnis haben, stehen wir Ihnen als Fachkanzlei für Arbeitsrecht gerne beratend zur Seite.

Quelle: Urteil des BAG vom 17. Oktober 2024 (Az. 8 AZR 215/23)

Beitrag veröffentlicht am
15. Februar 2025

Hajo Brumund
rbo - Rechtsanwälte
Rechtsanwalt

Stichworte in diesem Beitrag

Diesen Beitrag teilen

Alle Fachbeiträge zeigen

Internet-smartphone-online-socialmedia-digital
Russisches Recht
19.03.2026

Verbindliche Verwendung der russischen Sprache in öffentlichen Informationen ab dem 1. März 2026 (RUS)

Ab dem 1. März 2026 treten Gesetzesänderungen in Kraft, die die Verwendung der russischen Sprache in allen öffentlichen, für Verbraucher bestimmten Informationen vorschreiben (Föderalgesetz Nr. 168-FZ vom 24. Juni 2025). Die Gesetzesänderungen werden die meisten Wirtschaftsbereiche betreffen, einschließlich, aber nicht beschränkt auf den Einzelhandel und den elektronischen Handel, die Gastronomie, den Dienstleistungssektor, das Gesundheits- und Bankwesen, Autohändler, Bauträger usw.

Beitrag lesen
Wettbewerbsrecht, Arbeitsrecht
13.03.2026

Jahrelang in Vorbereitung, jetzt in Sicht: neue Regeln für Wettbewerbsverbote (NLD)

Im April 2024 haben wir bereits über den Gesetzentwurf zur Modernisierung von Wettbewerbsverboten berichtet. Der Gesetzentwurf schränkt den Spielraum von Arbeitgebern ein, Wettbewerbsverbote zu vereinbaren und geltend zu machen. Damals wurde dieser Gesetzentwurf einer Internetkonsultation unterzogen. Nun steht der Gesetzentwurf endlich auf der Tagesordnung für die Behandlung in der Zweiten Kammer des niederländischen Parlaments („Tweede Kamer“) im zweiten Quartal 2026. Da die Behandlung näher rückt, ist es Zeit für ein Update!

Beitrag lesen
Arbeitsrecht, Compliance
13.03.2026

Vorgeschriebene Mitgliedschaft in dem für die Branche geltenden Rentenfonds - möglicherweise eine Untergrenze! (NLD)

Die überwiegende Mehrheit der Arbeitgeber in den Niederlanden ist verpflichtet, einem Branchenrentenfonds beizutreten. Arbeitgeber sind verpflichtet zu prüfen, ob ihre Geschäftstätigkeiten mit den in einem Verpflichtungsbeschluss aufgeführten Geschäftstätigkeiten übereinstimmen (der Geltungsbereich). Für viele Geltungsbereiche gilt ein Hauptkriterium: Im Wesentlichen müssen für X Prozent des Umsatzes, der Lohnsumme oder einer anderen messbaren Einheit spezifisch aufgeführte Geschäftstätigkeiten stattfinden.

Beitrag lesen
Alle Fachbeiträge

Einwilligung in Cookies und zur Erhebung und Weitergabe Ihrer Nutzerdaten an Dritte

Wir platzieren auf unserer Webseite technisch notwendige Cookies, die die grundlegenden Funktionen der Website gewährleisten und unentbehrlich sind. Für diese Cookies benötigen wir keine Einwilligung, so dass diese Cookies auch dann gesetzt werden, wenn Sie unten „alle ablehnen“ auswählen. Technisch notwendige Cookies verwenden wir, um unsere Dienste anbieten zu können und um vom Nutzer vorgenommene Einstellungen (wie z. B. die präferierte Sprache) zu speichern. Im Falle Ihrer Einwilligung verwenden wir darüber hinaus weitere performancesteigernde Cookies (Statistik und Nutzungsmessung sowie externe Dienste). Die Cookies verwenden wir ausschließlich dazu, unsere Website Ihren Wünschen entsprechend anpassen und weiterentwickeln zu können. Dabei werden Ihre personenbezogenen Daten (IP-Adresse, Nutzerverhalten etc.) verarbeitet und gespeichert, um die obigen Zwecke zu erreichen. Eine Identifizierung Ihrer Person ist durch die Pseudonymisierung der Daten nicht zu befürchten. Die Erläuterung zu den verschiedenen Cookies und datenschutzrechtlichen Vorgängen finden Sie unter „individuelle Einstellungen vornehmen“ oder in unseren Datenschutzhinweisen. Durch die Betätigung eines der untenstehenden Buttons willigen Sie in die Verwendung der jeweils ausgewählten Cookies und gleichzeitig in die Verarbeitung Ihrer personenbezogenen Daten zu oben beschriebenen Zwecken ein. Die Erteilung der Einwilligungen ist freiwillig.

Details finden Sie in unserer Datenschutzerklärung   Hier finden Sie unser Impressum

Einstellungen
Technisch notwendige Cookies

Technisch notwendige Cookies (essentielle Cookies) ermöglichen grundlegende Funktionen und sind für die einwandfreie Funktion der Homepage unentbehrlich. Sie können ohne Einwilligung gesetzt werden und daher nicht abgewählt werden.

DIRO Multisite Cookie

Mit dem DIRO Multisite Cookie werden die von Ihnen selbst vorgenommenen Einstellungen auf dieser Website (z. B. die bevorzugte Sprache) sowie die von Ihnen zugelassenen Inhalte externer Anbieter gespeichert. Dabei werden unter dem Verarbeitungsvorgang DIRO_C_FINGERPRINT die IDs der beim letzten Seitenaufruf vorhandenen zustimmungspflichtigen Dienste, sowie deren Konfigurationseinstellungen und die Zuordnung zu Kategorien im Datenschutz Popup (als verschlüsselte Zeichenfolge) erhoben und gespeichert. Alleiniger Zweck dieser Datenverarbeitung ist die Speicherung der vorgenommenen Einstellungen. Die Speicherung erfolgt für ein Jahr.

Statistik und Nutzungsmessung

Wir möchten unser Angebot für Sie dauerhaft attraktiv gestalten. Dafür sind wir auf Informationen darüber angewiesen, wie unsere Seiten genutzt werden. Dafür erheben wir automatisiert Daten.

Nutzungsmessung mit Matomo

Wir verwenden zur Analyse des Nutzerverhaltens und der Reichweite unserer Website das Website-Analyse-Tool Matomo. Dadurch wird das Cookie „_pk_id“ gesetzt. Durch die Verwendung von Matomo werden 2 Bytes Ihrer IP-Adresse, die aufgerufene Website, die Referrer-Website (Website, von der Sie auf die hier aufgerufene Website gelangt sind), die von der aufgerufenen Website aus aufgerufenen Unterseiten, die Verweildauer und die Häufigkeit des Aufrufs der Website ermittelt und gespeichert. Dies dient allein dem Zweck, anonymisierte statistische Daten darüber zu erlangen, wie Sie die Website nutzen. Die Speicherdauer beträgt im Falle des Cookies pk_ref 6 Monate, im Falle des Cookies _pk_ses 30 Minuten.

Externe Dienste

An einigen Stellen unseres Angebote nutzen wir externe Dienste, um Ihnen bestimmte Inhalte oder Funktionen zuverlässig und komfortabel bereitstellen zu können (z.B. Karten, interaktive Formulare oder Kalender zur Terminvereinbarung).

Videowiedergabe mit Vimeo

Wir verwenden auf unserer Website den externen Dienst Vimeo. Dabei handelt es sich um ein Video-Portal des US-amerikanischen Unternehmens Vimeo.com, Inc., 330 West 34th Street, 5th Floor, New York, New York 10001, USA. Durch das Einbinden von Vimeo-Videos werden Cookies gesetzt, die bei Abrufen des Videos unter anderem Ihre IP-Adresse, den Browser-Typ, Ihr Betriebssystem, Ihr Klickverhalten und Ihre Verweildauer erheben und sodann speichern. Die Speicherung erfolgt auf Servern in den USA, die über keinerlei Datenschutzrecht verfügen. Näheres entnehmen Sie bitte den unter https://vimeo.com/privacy abrufbaren Informationen.

Geographische Karten von OpenStreetMaps

Durch die Einbindung von OpenStreetMaps auf unserer Website setzen wir das Cookie „_osm_location“. Dabei wird Ihre IP-Adresse an den fremden Server von OpenStreetMaps übermittelt, wodurch dieser erfährt, dass Sie unsere Seite besucht haben. Zweck dieser Einbindung ist die Darstellung von Adressen auf einer Karte, die in die Website eingebunden wird. Die Speicherdauer beträgt 1 Jahr.

Terminvereinbarung mit Calendly

Wir verwenden auf unserer Website den externen Dienst Calendly. In diesem Zuge werden Ihre E-Mail-Adresse, weitere Kontaktinformationen, Termininhalte und -daten, sowie alle von Ihnen in diesem Zusammenhang zusätzlich angegebenen Daten erhoben und gespeichert. Dies dient dem alleinigen Zweck, Termine und Gruppentermine online buchbar zu machen. Hierzu wird seitens Calendly eine Webanwendung zur Buchung von Terminvereinbarungen zur Verfügung gestellt. Die Daten werden auf Servern in der USA verarbeitet. Sie stellen Ihre Daten für die Laufzeit des Vertrages mit Calendly zur Verfügung. Näheres zu der Verarbeitung der Daten durch Calendly entnehmen Sie bitte den unter https://calendly.com/legal abrufbaren Informationen.

Details finden Sie in unserer Datenschutzerklärung   Hier finden Sie unser Impressum