Voraussetzungen für einen Schadensersatz nach der Datenschutz-Grundverordnung
Der Mitarbeiter hat daraufhin beim Thüringer Landesbeauftragen für Datenschutz und die Informationsfreiheit (TLfDI) Beschwerde über Datenschutzverletzungen erhoben. Am 25.01.2023 wurde ihm mitgeteilt, dass nach Auffassung des TLfDI die Auskunftserteilung mittels unverschlüsselter E-Mail gegen Art. 5 Abs.1 Buchst. f) DSGVO verstoße. Der Mitarbeiter war infolgedessen der Ansicht, ihm stehe ein Schadensersatzanspruch aus Art. 82 Abs. 1 DSGVO zu. Die Arbeitgeberin habe mehrfach in erheblicher Weise gegen die DSGVO verstoßen und sei daher zu einer Geldentschädigung von mind. 10.000 EUR netto verpflichtet. Ersatzfähig seien alle immateriellen Schäden, welche i.d.R. aus einer Verletzung des allgemeinen Persönlichkeitsrechts heraus resultieren. Verursacht durch die Verstöße (Datenübermittlung mittels unverschlüsselter E-Mail, Weiterleitung an den Betriebsrat und unvollständige Auskunft) habe der Mitarbeiter einen immateriellen Schaden erlitten. Jedenfalls durch die unverschlüsselte und bis heute nicht vollständig erteilte Auskunft habe er einen Kontrollverlust erlitten, der als weiterer immaterieller Schaden zu qualifizieren sei. Der Mitarbeiter war der Ansicht, dass kein nachweisbarer separater kausaler Schaden erforderlich sei, sondern bereits ein Verstoß gegen die DSGVO genüge.
Das Arbeitsgericht hat die Klage abgewiesen. Dem Mitarbeiter steht kein Anspruch aus Art. 82 DSGVO gegen die Arbeitgeberin auf Ersatz des von ihm geltend gemachten immateriellen Schadens zu. Die Voraussetzungen für einen Schadensersatzanspruch lagen hier nicht vor, da es jedenfalls an der Darlegung des Eintritts eines Schadens bei dem Mitarbeiter fehlte.
Soweit der Mitarbeiter der Auffassung war, bereits ein Verstoß gegen die DSGVO genüge für das Entstehen eines Schadensersatzanspruches, konnte dem nicht gefolgt werden. Es ist zwar zutreffend, dass die Frage, ob bereits der Datenschutzverstoß als solcher für das Entstehen eines Schadensersatzanspruchs ausreicht oder es darüber hinaus der Darlegung und des Nachweises eines konkreten (auch: immateriellen) Schadens bedarf, in Rechtsprechung und Literatur umstritten ist. Sowohl der österreichische Oberste Gerichtshof (Vorabentscheidungsersuchen vom 12.05.2021, wobei der Gerichtshof die Auffassung vertritt, es sei der Nachweis eines Schadens erforderlich) als auch das Bundesarbeitsgericht (Vorabentscheidungsersuchen vom 26.08.2021, Az. 8 AZR 253/20-A, wobei das BAG den Nachweis eines Schadens nicht für notwendig hält) haben die hiermit zusammenhängenden Fragen dem Europäischen Gerichtshof (EuGH) zur Vorabentscheidung vorgelegt (Oberlandesgericht Frankfurt, Urt. v. 02.03.2022, Az. 13 U 206/20).
Auf das Vorabentscheidungsersuchen des österreichischen Obersten Gerichtshofes hatte der EuGH jedoch am 04.05.2023 entschieden, dass Art. 82 Abs.1 DSGVO so auszulegen ist, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadensersatzanspruch zu begründen. Die DSGVO verweist für den Sinn und die Tragweite der in ihrem Art. 82 enthaltenen Begriffe, insbesondere in Bezug auf die Begriffe „materieller oder immaterieller Schaden“ und „Schadenersatz“, nicht auf das Recht der Mitgliedstaaten. Daraus folgt, dass diese Begriffe für die Anwendung der DSGVO als autonome Begriffe des Unionsrechts anzusehen sind, die in allen Mitgliedstaaten einheitlich auszulegen sind.
Art. 82 Abs. 2 DSGVO, der die Haftungsregelung, deren Grundsatz in Abs. 1 dieses Artikels festgelegt ist, präzisiert, übernimmt die drei Voraussetzungen für die Entstehung des Schadenersatzanspruchs, nämlich eine Verarbeitung personenbezogener Daten unter Verstoß gegen die Bestimmungen der DSGVO, ein der betroffenen Person entstandener Schaden und ein Kausalzusammenhang zwischen der rechtswidrigen Verarbeitung und diesem Schaden. Diese Auslegung wird auch durch die Erläuterungen in den Erwägungsgründen 75, 85 und 146 der DSGVO bestätigt.