Arbeitsverhältnis: Kein Schadenersatz bei verspäteter Auskunft nach Art. 15 DSGVO

LAG Köln weist eines Bewerbers ab: In seinem Urteil vom 19. Februar 2025 (4 SLa 367/24) hatte das Landesarbeitsgericht (LAG) Köln über einen datenschutzrechtlichen Schadensersatzanspruch nach Art. 82 zu entscheiden. Der Kläger – ein Bewerber auf eine ausgeschriebene Stelle – machte geltend, er habe durch eine verspätete und zunächst unvollständige Auskunft der beklagten Arbeitgeberin einen Kontrollverlust über seine personenbezogenen Daten erlitten. Das Gericht wies die Berufung gegen das klageabweisende Urteil des Arbeitsgerichts Aachen zurück und bekräftigte damit die strengen Anforderungen an die Darlegung eines immateriellen Schadens im Sinne der DSGVO.

Sachverhalt

Der Kläger hatte sich auf eine Stelle als Syndikusrechtsanwalt bei der Beklagten beworben und erhielt eine Absage. Noch am Folgetag verlangte er auf Grundlage von Art. 15 DSGVO Auskunft über die bei der Beklagten gespeicherten personenbezogenen Daten. Die Auskunft erging – nach Angaben des Klägers verspätet – rund zwei Wochen später. Zudem kritisierte der Kläger, dass die zunächst mitgeteilten „Kategorien“ von Datenempfängern unzureichend gewesen seien. Erst auf ausdrückliche Nachfrage nannte die Beklagte die konkreten Dienstleister mit Namen und Anschrift.

In der Folge erhob der Kläger Klage und forderte eine immaterielle Entschädigung in Höhe von mindestens 1.500 Euro. Er begründete dies mit einem Kontrollverlust über seine Daten und einem damit verbundenen emotionalen Ungemach. Die Vorinstanz hatte die Klage bereits abgewiesen. Das LAG Köln bestätigte diese Entscheidung in vollem Umfang.

Rechtliche Analyse

Keine automatische Haftung bei Auskunftsverzug

Das Gericht stellte zunächst klar, dass ein Verstoß gegen Art. 15 DSGVO allein – sofern man ihn unterstelle – nicht automatisch einen Anspruch auf Schadensersatz nach Art. 82 DSGVO begründet. Vielmehr seien drei Voraussetzungen kumulativ erforderlich: ein Verstoß gegen die Verordnung, ein daraus resultierender Schaden und ein Kausalzusammenhang zwischen beidem. Diese Grundsätze stützen sich auf die aktuelle Rechtsprechung des Europäischen Gerichtshofs (u.a. MediaMarktSaturn, Natsionalna agentsia za prihodite).

Erhöhtes Risiko erforderlich

Ein bloß hypothetischer Kontrollverlust genüge für die Annahme eines immateriellen Schadens nicht. Anders als in Fällen, in denen tatsächlich öffentlich gemacht oder unbefugten Dritten zugänglich wurden (z.B. durch ein ), bestehe bei einer verzögerten oder unvollständigen Auskunft kein objektiv erhöhtes Missbrauchsrisiko. Die Auskunftsverzögerung beeinträchtige nicht die faktische Sicherheit der Daten, sondern lediglich den Informationsstand des Betroffenen. Diese Unkenntnis sei nicht gleichzusetzen mit einem kontrolllosen Datenumgang durch Dritte.

DSGVO-Entschädigung von 10.000 Euro für Verstoß gegen Auskunftspflichten im Arbeitsverhältnis
Arbeitsgericht Duisburg: 750 Euro für verspätete DSGVO-Auskunft nach Bewerbung
Datenschutzrecht und DSGVO-Ansprüche des Arbeitnehmers im Arbeitsverhältnis

Keine nachvollziehbare emotionale Belastung

Auch das vom Kläger geltend gemachte „emotionale Ungemach“ – insbesondere seine Verärgerung über das Verhalten der Beklagten und den Aufwand des Klageverfahrens – erkannte das Gericht nicht als schadensbegründend an. Ein solches „Genervtsein“ sei jedem zivilprozessualen Streit inhärent und könne deshalb nicht als eigenständiger immaterieller Schaden gewertet werden. Ein nachvollziehbares subjektives Belastungserlebnis oder eine begründete Furcht vor Datenmissbrauch habe der Kläger nicht substantiiert dargelegt.

Bewertung der Entscheidung

Das Urteil des LAG Köln reiht sich nahtlos in eine zunehmend restriktive Rechtsprechung zur Reichweite von Art. 82 DSGVO ein. Der bloße Umstand, dass ein Unternehmen die gesetzlichen Fristen für die Auskunftserteilung überschreitet, genügt nicht, um automatisch Schadensersatzansprüche auszulösen. Erforderlich ist vielmehr ein konkret greifbarer Schaden – sei es psychischer Natur oder durch ein real gesteigertes Risiko der Datenkompromittierung. Sie sollten dazu auch die ausführliche Besprechung einer Entscheidung des LAG Düsseldorf in unserem Blog beachten:

LAG Düsseldorf: keine übertriebenen DSGVO-Schadensersatzansprüche im Arbeitsverhältnis

Diese Linie ist dogmatisch konsequent. Sie verhindert, dass das Institut des immateriellen Schadensersatzes zur pauschalen Sanktionierung jeder DSGVO-Verletzung herangezogen wird – unabhängig von tatsächlichen Beeinträchtigungen. Der EuGH hat ausdrücklich verlangt, dass Schäden nachgewiesen werden müssen. Ein bloß theoretisches Risiko reicht nicht. Bemerkenswert ist zudem, dass das Gericht selbst unterstellt, die Beklagte habe ihre Pflichten verletzt – und dennoch den Anspruch ablehnt. Das verdeutlicht die Hürde, die der Nachweis eines Schadens mittlerweile in der Rechtsprechung darstellt.

Rechtsanwalt Ferner zum Datenschutzrecht im Arbeitsverhältnis: Kein Schadenersatz bei verspäteter Auskunft nach Art. 15 DSGVO

Die Entscheidung zeigt deutlich: Schadensersatz nach Art. 82 DSGVO ist kein Automatismus. Ein Kläger muss mehr vortragen als bloße Unzufriedenheit mit dem Umgang eines Unternehmens mit Datenschutzanfragen. Die Rechtsprechung verlangt einen realen, nachvollziehbaren Schaden – andernfalls bleibt der Entschädigungsanspruch folgenlos. Mit dem Urteil vom 19. Februar 2025 unterstreicht das LAG Köln: Nicht jeder Fehler bei der Auskunftserteilung führt zu Schadensersatz. Wer einen Verstoß geltend macht, muss auch den konkreten Schaden greifbar machen. Eine berechtigte Maßnahme gegen pauschale und schematische Anspruchserhebungen im Datenschutzrecht.

Fazit

Das LAG Köln hat mit seiner Entscheidung den Rahmen für datenschutzrechtliche Entschädigungsklagen weiter präzisiert. Es genügt nicht, sich auf eine bloße Rechtsverletzung zu berufen. Vielmehr müssen Betroffene konkret darlegen, in welcher Weise sie durch die Verletzung der Datenschutzvorgaben einen spürbaren Schaden erlitten haben – insbesondere im Sinne eines Kontrollverlusts oder einer ernsthaften psychischen Belastung. Wer das nicht kann, bleibt trotz formaler Rechtsverletzung ohne finanziellen Ausgleich.

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)
Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)
Fachanwalt für Strafrecht & IT-Recht bei Anwaltskanzlei Ferner Alsdorf
Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht mit Schwerpunkt Cybersecurity & Softwarerecht. Ich bin zertifizierter Experte für Krisenkommunikation & Cybersecurity; zudem Autor sowohl in Fachzeitschriften als auch in einem renommierten StPO-Kommentar zum IT-Strafprozessrecht und zur EU-Staatsanwaltschaft.Als Softwareentwickler bin ich in Python zertifiziert und habe IT-Handbücher geschrieben.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht inkl. IT-Sicherheitsrecht - ergänzt um Arbeitsrecht mit Fokus auf Managerhaftung.
Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)
Letzte Artikel von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity) (Alle anzeigen)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht mit Schwerpunkt Cybersecurity & Softwarerecht. Ich bin zertifizierter Experte für Krisenkommunikation & Cybersecurity; zudem Autor sowohl in Fachzeitschriften als auch in einem renommierten StPO-Kommentar zum IT-Strafprozessrecht und zur EU-Staatsanwaltschaft.Als Softwareentwickler bin ich in Python zertifiziert und habe IT-Handbücher geschrieben.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht inkl. IT-Sicherheitsrecht - ergänzt um Arbeitsrecht mit Fokus auf Managerhaftung.