Arbeitsrecht

BAG-Urteil DSGVO – Schadensersatz bei verspäteter Auskunft

Mai 24, 2025
Redaktion

Das Thema kein Schadensersatz trotz verspäteter Datenauskunft ist für Arbeitnehmer:innen und Arbeitgeber gleichermaßen von hoher Relevanz, insbesondere im Lichte der aktuellen Rechtsprechung. Die Datenschutz-Grundverordnung (DSGVO) gewährt betroffenen Personen umfassende Rechte, darunter das Auskunftsrecht gemäß Art. 15 DSGVO. Arbeitgeber sind verpflichtet, ihren (ehemaligen) Beschäftigten auf Antrag Auskunft über die zu ihrer Person verarbeiteten Daten zu erteilen – und das fristgerecht.

Die bereitgestellten Informationen stellen keine Rechtsberatung dar und sollen keine rechtlichen Fragen oder Probleme behandeln, die im individuellen Fall auftreten können. Die Informationen auf dieser Website sind allgemeiner Natur und dienen ausschließlich zu Informationszwecken. Wenn Sie rechtlichen Rat für Ihre individuelle Situation benötigen, sollten Sie den Rat von einem qualifizierten Anwalt/einer qualifizierten Anwältin einholen.

Kein Schadensersatz trotz verspäteter Datenauskunft? Wann Arbeitnehmer:innen nach Art. 82 DSGVO bei Verletzung der Auskunftspflicht (Art. 15 DSGVO) Entschädigung verlangen können (BAG-Entwicklung April 2025).

Geschätzte Lesezeit: 8 Minuten

Relevanz für das erste Staatsexamen: Mittel

Relevanz für das zweite Staatsexamen: Hoch

Wichtigste Erkenntnisse:

Das Bundesarbeitsgericht (BAG) hat klargestellt, dass eine verspätete Datenauskunft allein nicht automatisch zu einem Schadensersatzanspruch nach Art. 82 DSGVO führt.
Für einen Schadensersatzanspruch müssen drei Voraussetzungen kumulativ erfüllt sein: ein Verstoß gegen die DSGVO, ein konkreter (materieller oder immaterieller) Schaden und ein kausaler Zusammenhang zwischen Verstoß und Schaden.
Bloßer Ärger, Frustration oder eine allgemeine Sorge vor einem möglichen Datenmissbrauch („Kontrollverlust“) ohne greifbare negative Auswirkungen überschreiten nicht die Erheblichkeitsschwelle für einen immateriellen Schaden.
Arbeitnehmer:innen können Entschädigung verlangen, wenn sie nachweisen können, dass durch die verspätete Auskunft ein konkreter, individueller Nachteil entstanden ist (z.B. verpasste Fristen, finanzielle Einbußen, erhebliche psychische Belastungen).

Inhaltsverzeichnis:

Kein Schadensersatz trotz verspäteter Datenauskunft? Die BAG-Entwicklung April 2025 und ihre Folgen für Art. 82 DSGVO
Die detaillierten Voraussetzungen für einen Schadensersatzanspruch nach Art. 82 DSGVO im Lichte der BAG-Rechtsprechung
Was das BAG nicht als ersatzfähigen Schaden ansieht: Die Grenzen des Kontrollverlusts
Wann können Arbeitnehmer:innen trotz verspäteter Auskunft Entschädigung verlangen? Konkrete Schadensnachweise als Schlüssel
Aktuelle Entwicklung und Praxishinweise: Was die BAG-Entscheidung für Dich bedeutet
Zusammenfassung und Ausblick: Die Gratwanderung beim DSGVO-Schadensersatz

Kein Schadensersatz trotz verspäteter Datenauskunft? Die BAG-Entwicklung April 2025 und ihre Folgen für Art. 82 DSGVO

Das Thema kein Schadensersatz trotz verspäteter Datenauskunft ist für Arbeitnehmer:innen und Arbeitgeber gleichermaßen von hoher Relevanz, insbesondere im Lichte der aktuellen Rechtsprechung. Die Datenschutz-Grundverordnung (DSGVO) gewährt betroffenen Personen umfassende Rechte, darunter das Auskunftsrecht gemäß Art. 15 DSGVO. Arbeitgeber sind verpflichtet, ihren (ehemaligen) Beschäftigten auf Antrag Auskunft über die zu ihrer Person verarbeiteten Daten zu erteilen – und das fristgerecht. Doch was passiert, wenn diese Frist versäumt wird? Können Arbeitnehmer:innen dann automatisch Schadensersatz nach Art. 82 DSGVO fordern? Das Bundesarbeitsgericht (BAG) hat hierzu in einer viel beachteten Entscheidung vom 20. Februar 2025 (Az. 8 AZR 61/24), deren Implikationen im April 2025 intensiv diskutiert wurden, wichtige Klarstellungen getroffen. Diese Entwicklung hat erhebliche Auswirkungen darauf, wann Arbeitnehmer:innen bei einer Verletzung der Auskunftspflicht tatsächlich eine Entschädigung verlangen können. Für Dich als Jurastudierende:r oder junge:r Jurist:in ist es entscheidend, diese feinen Unterschiede und die Anforderungen an einen Schadensersatzanspruch zu verstehen, sei es für Deine eigene Rechtsverfolgung oder die Beratung zukünftiger Mandant:innen. Dieser Beitrag beleuchtet die Kernaussagen des Urteils, die wesentlichen Begründungen des BAG und die praktischen Konsequenzen für die Geltendmachung von Schadensersatzansprüchen im Kontext von DSGVO-Auskunftsverstößen.

Das Bundesarbeitsgericht (BAG) hat mit seinem Urteil vom 20. Februar 2025 (Az. 8 AZR 61/24) eine für die Praxis bedeutsame Weiche im Bereich des DSGVO-Schadensersatzes gestellt (delegedata.de, 2b-advice.com). Die zentrale Botschaft der Erfurter Richter:innen lautet: Ein bloßer Verstoß gegen die Vorgaben der Datenschutz-Grundverordnung, wie beispielsweise eine verspätet erteilte Auskunft nach Art. 15 DSGVO, führt nicht automatisch zu einem Anspruch auf immateriellen Schadensersatz gemäß Art. 82 DSGVO. Diese Klarstellung ist insbesondere deshalb von Bedeutung, da in der Vergangenheit häufig versucht wurde, allein aus der Nichteinhaltung der Monatsfrist für die Datenauskunft einen ersatzfähigen Schaden abzuleiten. Das BAG schiebt einer solchen automatischen Anspruchsbegründung nun einen Riegel vor. Die Entscheidung unterstreicht, dass nicht jede datenschutzrechtliche Pflichtverletzung sogleich einen finanziellen Ausgleichsanspruch nach sich zieht. Vielmehr müssen spezifische, über den reinen Regelverstoß hinausgehende Voraussetzungen erfüllt sein, damit ein Schadensersatzanspruch tatsächlich begründet ist. Diese Differenzierung ist für das Verständnis der Haftungsrisiken von Unternehmen, aber auch für die realistische Einschätzung von Erfolgsaussichten bei der Geltendmachung von Ansprüchen durch Betroffene von entscheidender Wichtigkeit. Die Richter:innen haben damit die Anforderungen an die Darlegung eines ersatzfähigen Schadens präzisiert und die Messlatte für Kläger:innen in solchen Fällen höher gelegt.

Die detaillierten Voraussetzungen für einen Schadensersatzanspruch nach Art. 82 DSGVO im Lichte der BAG-Rechtsprechung

Um einen Schadensersatzanspruch nach Art. 82 DSGVO erfolgreich geltend machen zu können, müssen nach der jüngsten Rechtsprechung des Bundesarbeitsgerichts kumulativ mehrere Voraussetzungen erfüllt sein. Es reicht nicht aus, lediglich einen Verstoß gegen eine Bestimmung der DSGVO, wie die verspätete Erteilung einer Auskunft nach Art. 15 DSGVO, nachzuweisen. Das BAG hat die Kriterien, die bereits aus dem Wortlaut des Art. 82 DSGVO und den Erwägungsgründen der Verordnung hervorgehen, konkretisiert und für den Fall der verspäteten Auskunftserteilung angewendet (2b-advice.com).

Die drei zentralen Voraussetzungen sind:

Ein Verstoß gegen die DSGVO: Zunächst muss objektiv eine Verletzung einer Vorschrift der Datenschutz-Grundverordnung vorliegen. Im diskutierten Fall war dies die verspätete Erteilung der Datenauskunft gemäß Art. 15 DSGVO. Andere Beispiele könnten eine unrechtmäßige Datenverarbeitung, eine Verletzung von Datensicherheitsmaßnahmen oder die Missachtung anderer Betroffenenrechte sein. Dieser Verstoß muss vom Anspruchsteller dargelegt und im Streitfall bewiesen werden.
Ein konkreter Schaden: Dies ist der Dreh- und Angelpunkt der BAG-Entscheidung. Art. 82 DSGVO spricht von einem materiellen oder immateriellen Schaden. Entscheidend ist, dass ein konkreter, also tatsächlich eingetretener und nachweisbarer Schaden entstanden ist. Ein bloßes Gefühl des Unbehagens oder die abstrakte Sorge vor einem möglichen Datenmissbrauch genügen hierfür nicht. Der Schaden muss eine gewisse Erheblichkeitsschwelle überschreiten, wobei die genaue Höhe im Einzelfall zu bewerten ist.
Ein kausaler Zusammenhang zwischen Verstoß und Schaden: Der nachgewiesene DSGVO-Verstoß muss ursächlich für den entstandenen Schaden gewesen sein. Es muss also eine direkte Verbindung zwischen der Pflichtverletzung des Verantwortlichen und dem Nachteil des Betroffenen bestehen. Wenn der Schaden auch ohne den DSGVO-Verstoß oder durch andere, davon unabhängige Umstände eingetreten wäre, fehlt es an der erforderlichen Kausalität.

Diese Dreiteilung – Verstoß, Schaden, Kausalität – ist im deutschen Schadensersatzrecht nicht neu, erhält aber durch die DSGVO und die Auslegung durch den Europäischen Gerichtshof (EuGH) sowie nun präzisierend durch das BAG eine spezifische datenschutzrechtliche Kontur. Insbesondere die Auslegung des Begriffs des „immateriellen Schadens“ und die Anforderungen an dessen Nachweisbarkeit stehen im Fokus der juristischen Diskussion und der aktuellen Rechtsprechung. Für Dich als angehende:r Jurist:in bedeutet dies, dass Du bei der Prüfung solcher Ansprüche sehr genau auf die Substantiierung des Schadens achten musst.

Was das BAG nicht als ersatzfähigen Schaden ansieht: Die Grenzen des Kontrollverlusts

Ein besonders wichtiger Aspekt der BAG-Entscheidung vom 20. Februar 2025 (Az. 8 AZR 61/24) ist die klare Abgrenzung dessen, was nicht als ausreichender immaterieller Schaden im Sinne des Art. 82 DSGVO bei einer verspäteten Datenauskunft gilt (delegedata.de, 2b-advice.com). Im konkreten Fall hatte der klagende Arbeitnehmer argumentiert, durch die verspätete Auskunft einen Kontrollverlust über seine Daten erlitten zu haben. Er gab an, deswegen „genervt“ zu sein und die Sorge vor einem möglichen Datenmissbrauch zu hegen. Diese subjektiven Empfindungen und allgemeinen Befürchtungen sah das BAG als nicht ausreichend an, um einen ersatzfähigen immateriellen Schaden zu begründen.

Das Gericht stellte fest, dass emotionale Reaktionen wie bloßer Ärger, Frustration oder eine generelle, unspezifische Angst vor einem zukünftigen Datenmissbrauch die Erheblichkeitsschwelle für einen immateriellen Schaden nicht überschreiten. Ein solcher Schaden muss über rein subjektive Unannehmlichkeiten hinausgehen. Das BAG forderte stattdessen einen objektiv nachvollziehbaren und tatsächlich erlittenen Nachteil. Die bloße Behauptung eines „Kontrollverlusts“ reicht demnach nicht aus, wenn dieser nicht mit konkreten, negativen Auswirkungen für den Betroffenen verbunden ist. Es muss dargelegt werden, worin genau dieser Kontrollverlust besteht und welche greifbaren Konsequenzen er für die betroffene Person hat. Ein lediglich hypothetisches Risiko eines Datenmissbrauchs oder die diffuse Sorge, die Hoheit über die eigenen Daten verloren zu haben, ohne dass sich dies in irgendeiner Form manifestiert, begründet laut BAG keinen Schadensersatzanspruch. Erforderlich ist vielmehr eine tatsächlich begründete Gefahr des Datenmissbrauchs oder ein anderweitig objektivierbarer Nachteil, der eine gewisse Intensität erreicht. Diese restriktive Auslegung des Schadensbegriffs stellt klar, dass Art. 82 DSGVO keine „Strafzahlung“ für jeden formalen Verstoß darstellt, sondern einen tatsächlichen Ausgleich für erlittene Nachteile bezweckt.

Wann können Arbeitnehmer:innen trotz verspäteter Auskunft Entschädigung verlangen? Konkrete Schadensnachweise als Schlüssel

Obwohl das Bundesarbeitsgericht die Hürden für Schadensersatzansprüche bei verspäteter Datenauskunft erhöht hat, bedeutet dies nicht, dass Arbeitnehmer:innen in solchen Fällen gänzlich anspruchslos gestellt sind. Entscheidend ist, ob infolge der verspäteten Auskunft nachweislich ein konkreter materieller oder immaterieller Schaden erlitten wurde (2b-advice.com). Das BAG betont die Notwendigkeit, dass die Umstände des Schadenseintritts detailliert dargelegt und der Schaden selbst substantiiert belegt werden muss. Ein pauschaler Verweis auf den DSGVO-Verstoß allein genügt nicht; es muss ein individueller, spürbarer Nachteil für die betroffene Person vorliegen (delegedata.de, 2b-advice.com).

Ein ersatzfähiger Schaden könnte beispielsweise dann angenommen werden, wenn die verspätete Auskunft dazu geführt hat, dass die betroffene Person andere Rechte nicht fristgerecht geltend machen konnte (z.B. Widerspruchsrechte, Löschansprüche) und hieraus ein konkreter Nachteil entstanden ist. Ebenso käme ein Schaden in Betracht, wenn durch die Verzögerung ein bereits eingetretener oder drohender Datenmissbrauch nicht rechtzeitig erkannt oder verhindert werden konnte und dies zu finanziellen Einbußen, Reputationsschäden oder einer erheblichen psychischen Belastung geführt hat. Denkbar sind auch Fälle, in denen die verspätete Auskunft eine erhebliche Verunsicherung oder Beeinträchtigung der Lebensführung nach sich zieht, die über bloßen Ärger hinausgeht – etwa bei besonders sensiblen Daten. In der Vergangenheit haben Gerichte Schadensersatz zugesprochen, wenn besondere Umstände oder konkrete Schadensnachweise vorlagen. Dies konnte beispielsweise der Fall sein, wenn durch den DSGVO-Verstoß eine ungerechtfertigte öffentliche Bloßstellung erfolgte, es zu Identitätsdiebstahl kam oder diskriminierende Handlungen auf Basis der unrechtmäßig verarbeiteten oder nicht rechtzeitig offengelegten Daten erfolgten (datenschutz-notizen.de, cmshs-bloggt.de). Die Herausforderung für Kläger:innen liegt darin, diesen konkreten Schaden und den kausalen Zusammenhang zur verspäteten Auskunft überzeugend darzulegen und zu beweisen. Eine sorgfältige Dokumentation aller relevanten Umstände ist hierbei unerlässlich.

Aktuelle Entwicklung und Praxishinweise: Was die BAG-Entscheidung für Dich bedeutet

Die Entscheidung des Bundesarbeitsgerichts vom Februar 2025, deren Auswirkungen im April 2025 breit diskutiert wurden, fügt sich in eine Tendenz der deutschen Rechtsprechung ein, die bei DSGVO-Schadensersatzansprüchen wegen Auskunftsverstößen eine eher restriktive Linie verfolgt (2b-advice.com). Die Kernaussage, dass ein „reiner Ärger“ oder hypothetische Ängste vor einem Kontrollverlust nicht ausreichen, um einen Entschädigungsanspruch nach Art. 82 DSGVO zu begründen, hat erhebliche praktische Konsequenzen.

Für Dich als Arbeitnehmer:in oder Berater:in von Arbeitnehmer:innen bedeutet dies, dass Du bei der Geltendmachung von Schadensersatzansprüchen wegen verspäteter DSGVO-Auskunft sehr sorgfältig prüfen und darlegen musst, welcher konkrete, individuelle Schaden tatsächlich entstanden ist. Es empfiehlt sich, mögliche negative Konsequenzen der verspäteten Auskunftserteilung genau zu dokumentieren. Dies können beispielsweise sein:

Verpasste Fristen zur Geltendmachung anderer Rechte.
Nachweisbare finanzielle Nachteile.
Konkrete Anhaltspunkte für einen erfolgten oder unmittelbar drohenden Datenmissbrauch, der durch eine rechtzeitige Auskunft hätte abgewendet oder gemildert werden können.
Erhebliche psychische Belastungen, die ärztlich attestiert werden können und über bloßen Alltagsärger hinausgehen.
Eine nachweisbare Rufschädigung oder Diskriminierung.

Für Arbeitgeber ergibt sich aus der Entscheidung keine Entwarnung dahingehend, DSGVO-Auskunftsersuchen auf die leichte Schulter zu nehmen. Die Pflicht zur fristgerechten und vollständigen Auskunftserteilung nach Art. 15 DSGVO bleibt unberührt (delegedata.de, 2b-advice.com). Verstöße können weiterhin zu aufsichtsbehördlichen Maßnahmen, einschließlich Bußgeldern, führen. Zudem besteht weiterhin das Risiko von Schadensersatzklagen, wenn tatsächlich ein konkreter Schaden nachgewiesen werden kann. Arbeitgeber sind daher gut beraten, ihre internen Prozesse zur Bearbeitung von Betroffenenanfragen zu überprüfen und sicherzustellen, dass diese den gesetzlichen Anforderungen entsprechen. Die Entscheidung des BAG macht jedoch deutlich, dass nicht jede verspätete Auskunft automatisch zu einer Schadensersatzzahlung führen muss, was die Verteidigungsmöglichkeiten für Unternehmen in unbegründeten Fällen stärkt. Die Entwicklung der Rechtsprechung, insbesondere auch durch den EuGH, bleibt in diesem Bereich dynamisch und sollte kontinuierlich beobachtet werden.

Zusammenfassung und Ausblick: Die Gratwanderung beim DSGVO-Schadensersatz

Zusammenfassend lässt sich festhalten, dass die viel diskutierte BAG-Entwicklung vom April 2025, basierend auf dem Urteil vom 20. Februar 2025 (Az. 8 AZR 61/24), klarstellt: Arbeitnehmer:innen in Deutschland haben nicht per se einen Anspruch auf Schadensersatz nach Art. 82 DSGVO, nur weil ihr Arbeitgeber eine Datenauskunft nach Art. 15 DSGVO verspätet erteilt hat (delegedata.de, 2b-advice.com). Die Entscheidung des Bundesarbeitsgerichts unterstreicht, dass für einen erfolgreichen Schadensersatzanspruch das Vorliegen eines konkreten, nachweisbaren Schadens – sei er materieller oder immaterieller Natur – zwingend erforderlich ist. Bloße emotionale Belastungen wie Ärger, Frustration oder allgemeine Sorgen um einen möglichen Datenmissbrauch, die nicht eine gewisse Erheblichkeitsschwelle überschreiten, genügen nach dieser Rechtsprechung nicht.

Die Implikationen dieser Entscheidung sind weitreichend. Für Dich als Jurastudierende:r oder junge:r Jurist:in bedeutet dies, dass Du bei der Bearbeitung von Fällen im Zusammenhang mit DSGVO-Verstößen ein besonderes Augenmerk auf die Darlegung und den Nachweis des konkreten Schadens legen musst. Die abstrakte Verletzung einer DSGVO-Vorschrift allein reicht nicht aus. Es bedarf einer sorgfältigen Analyse des Einzelfalls, um festzustellen, ob ein individueller Nachteil entstanden und dieser kausal auf den Datenschutzverstoß zurückzuführen ist. Diese Entwicklung steht im Einklang mit einer generellen Tendenz, die eine uferlose Ausweitung von Schadensersatzansprüchen bei Bagatellverstößen verhindern soll, ohne jedoch den Schutzgedanken der DSGVO zu untergraben. Unternehmen bleiben weiterhin in der Pflicht, datenschutzrechtliche Vorgaben, insbesondere die Auskunftsrechte Betroffener, ernst zu nehmen und fristgerecht zu erfüllen. Die Rechtsprechung zu Art. 82 DSGVO ist jedoch weiterhin in Bewegung, und es bleibt abzuwarten, wie sich insbesondere die Rechtsprechung des Europäischen Gerichtshofs (EuGH) weiterentwickeln und die nationalen Gerichte beeinflussen wird. Eine genaue Kenntnis der aktuellen Urteile und deren Begründungen ist daher für eine fundierte juristische Arbeit in diesem dynamischen Rechtsgebiet unerlässlich.

Diesen Beitrag teilen:

Weitere Beitäge

Kündigungszugang Jura – Fehler, Folgen & BAG April 2025

Der Zugang von Kündigungsschreiben ist ein Dauerbrenner im Arbeitsrecht und eine häufige Fehlerquelle, die weitreichende Konsequenzen haben kann. Eine Kündigung, die nicht ordnungsgemäß zugeht, ist unwirksam – unabhängig davon, ob die Kündigungsgründe stichhaltig wären. Für Jurastudierende und junge Jurist:innen ist das Verständnis der formalen Anforderungen an den Zugang von Kündigungen essenziell, nicht nur für Klausuren, sondern auch für die spätere berufliche Praxis.

Vollstreckungsklausel – Welche Einwendungen der BGH prüft

Die Zwangsvollstreckung aus notariellen Urkunden ist ein mächtiges Instrument für Gläubiger:innen, um ihre Ansprüche durchzusetzen. Doch was passiert, wenn Du als Schuldner:in Einwände gegen die Erteilung der hierfür notwendigen Vollstreckungsklausel hast? Der Streit um die Vollstreckungsklausel für notarielle Urkunden und die Frage, welche Einwendungen des Schuldners der BGH prüft, ist ein Dauerbrenner in der juristischen Praxis und von hoher Relevanz für Dein Verständnis des Zwangsvollstreckungsrechts.