Seite drucken
Entscheidung als PDF runterladen
Einzelfallentscheidung zum immateriellen Schadensersatz nach § 82 DSGVO im Anschluss an die Entscheidung des LAG Düsseldorf vom 07.03.2024 – 11 Sa 808/23
1. Die Beklagte wird verurteilt, an den Kläger immateriellen Schadensersatz in Höhe von 750,00 Euro nebst Verzugszinsen in Höhe von fünf Prozentpunkten über dem jeweiligen Basiszinssatz seit dem 10.07.2024 zu zahlen.
2. Im Übrigen wird die Klage abgewiesen.
3. Die Kosten des Rechtsstreits tragen der Kläger zu 75 % und die Beklagte zu 25 %.
4. Streitwert: 3.000,00 Euro.
5. Soweit die Berufung nicht bereits kraft Gesetzes zulässig ist(§ 64 Abs. 2 Buchst. b) und c) ArbGG), wird sie nicht zugelassen
Die Parteien streiten über einen Schadensersatzanspruch des Klägers gegen die Beklagte nach Art. 82 Abs. 1 DSGVO wegen eines Verstoßes gegen die Auskunftspflicht nach Art. 15 DSGVO.
2Die Beklagte suchte im April 2024 für ihren Kundenservice einen Mitarbeiter, der insbesondere über Erfahrung im Legal Bereich verfügen sollte. Wegen des genauen Wortlauts der Stellenausschreibung wird auf die Anlage K6, Blatt 134 f. der Gerichtsakte verwiesen.
3Der Kläger, der gemäß der als Anlage 5, Blatt 133 der Gerichtsakte vorgelegten Melderegisterauskunft des Amtes für Einwohnerwesen der Landeshauptstadt Düsseldorf in Düsseldorf gemeldet ist, bewarb sich am 28.04.2024 auf diese Stelle und erhielt von der Beklagten unter dem 01.05.2024, 09:06 Uhr eine (Blatt 11 der Gerichtsakte).
4Mit E-Mail vom 01.05.2024, 14:51 Uhr (Anlage K1, Blatt 10 der Gerichtsakte) schrieb der Kläger die Beklagte wie folgt an:
5„Sehr geehrte Frau T.,
6haben Sie vielen Dank für Ihre heutige Nachricht, auch wenn der Anlass natürlich sehr schade ist.
7Da mich natürlich interessiert, was die ausschlaggebenden Gründe für diese Absage waren, bitte ich Sie höflichst, mir die Ablehnungsgründe mitzuteilen und mir eine umfassende Auskunft sowie eine vollständige Datenkopie auf Grundlage von Art. 15 DSGVO zu erteilen.
8Bitte lassen Sie mir die Informationen unverzüglich bis spätestens zum 16.05.2024 zukommen.
9Vielen Dank im Voraus und noch einen angenehmen Feiertag.“
10Zu diesem Zeitpunkt hatte die Beklagte die Daten des Klägers noch nicht gelöscht.
11Nachdem die Beklagte die E-Mail des Klägers vom 01.05.2024 nicht beantwortete, erinnerte der Kläger sie unter dem 31.05.2024 (Anlage K2, Blatt 11). Auf diese Erinnerung reagierte die Beklagte mit E-Mail vom 11.06.2024 (Anlage K3, Blatt 12 der Gerichtsakte) wie folgt:
12„Sehr geehrter Herr J.,
13wir bedanken uns für Ihre Anfrage vom 01.05.2024.
14Derzeit werden bei uns keine personenbezogenen Daten im Zusammenhang mit Ihrer Person gespeichert, die über Ihr Auskunftsersuchen hinaus gehen, Ihr Antrag auf Auskunft kann deswegen nicht bearbeitet werden.
15Nach Absage einer Bewerbung, werden alle Daten innerhalb von 3 Tagen gelöscht es sei denn es ist mit Ihnen etwas anderes vereinbart.
16Ihre persönlichen Daten, welche im Zuge Ihres Ersuchens erhoben wurden (Name, Anschrift, IP und E-Mailadresse), werden nach Absenden dieser Nachricht innerhalb von 1 Jahr von uns gelöscht, und nur zur Nachweiszwecken gespeichert.
17Für Rückfragen stehe ich Ihnen gerne jederzeit zur Verfügung.
18Mit freundlichen Grüßen
19i.A. V.
20Externer Datenschutzbeauftragter“
21Hierauf antwortete der Kläger mit E-Mail vom 11.06.2024 (Anlage K4, Blatt 13 der Gerichtsakte), in der er unter anderem darauf hinwies, dass er die Negativauskunft aus mehreren Gründen nicht nachvollziehen könne.
22Nachdem die Beklagte auf diese E-Mail des Klägers bis zum 04.07.2024 nicht antwortete, erhob der Kläger Klage bei dem Arbeitsgericht Düsseldorf.
23Der Kläger ist der Ansicht, er habe gegen die Beklagte einen Anspruch auf Zahlung von Schadenersatz in eingeklagter Höhe. Alle Betroffenenanfragen müssten unverzüglich, jedenfalls aber innerhalb eines Monats nach Erhalt erfüllt werden. Auf seine Anfrage vom 01.05.2024 habe die Beklagte weder unverzüglich noch binnen Monatsfrist und damit eindeutig zu spät reagiert. Außerdem habe die Beklagte seine personenbezogenen Daten in Kenntnis des ihr vorliegenden Auskunftsersuchens gelöscht. Unabhängig von der strafrechtlichen Relevanz (§ 274 Absatz 1 Nr. 2 StGB) sei dieses Vorgehens jedenfalls auch datenschutzwidrig. Die Beklagte sei ihrer Auskunftspflicht nicht nur verspätet, sondern gar nicht nachgekommen.
24Der Kläger behauptet, er habe zudem auch immaterielle Schäden in Gestalt einer „Einschränkung“ seiner Rechte sowie einen damit verbundenen Kontrollverlust erlitten. Er meint, der vorliegende Sachverhalt unterscheide sich erheblich von anderen Fällen, in denen Verantwortliche die Informationen aus Art. 15 DSGVO unvollständig oder zeitlich verspätet erteilen. Denn hier habe die beklagte Partei keinerlei inhaltliche Auskünfte erteilt und eine Auskunftserteilung durch die klar rechtswidrige Löschung der Daten verunmöglicht, statt ihre interne Löschfrist dergestalt zu verlängern, „dass die Auskunft sichergestellt“ sei. Zwar wisse er, welche Daten er der Beklagten im Rahmen der Bewerbung vom 28.04.2024 zur Verfügung gestellt habe. Jedoch sei das, was die beklagte Partei in weiterer Folge mit seinen Bewerbungsunterlagen sowie den darin enthaltenen Daten gemacht habe, für ihn eine „Black Box“. Er wisse nicht, ob die Beklagte lediglich die ihr zur Verfügung gestellten Daten aus der Bewerbung verarbeitet oder – was in der heutigen Zeit in Bewerbungsverfahren durchaus üblich sei, weitere personenbezogene Daten aus externen Quellen einholt habe, ob und bejahendenfalls mit welchen externen Datenempfängern (beispielsweise mit Personalberatungsfirmen oder Softwarebetreibern) die Beklagte in Bewerbungsverfahren zusammenarbeite und ob seine personenbezogenen Daten an solche externen Empfänger übermittelt worden seien. Eben dieses Nichtwissen über die Verarbeitung seiner eigenen Daten sei der erforderliche aber auch ausreichende immaterielle Schaden in Gestalt eines Kontrollverlusts und einer Einschränkung in seinen Rechten.
25Darüber hinaus habe er ein emotionales Ungemach erfahren. Wegen des Auskunftsverstoßes der Beklagten sei er nunmehr gehalten, Aufwand und Zeit zu investieren, um sein Grundrecht auf Auskunft (Art. 8 Absatz 2 Satz 2 GRCh) durchzusetzen. Des Weiteren müsse er durch das vorliegende Verfahren ein Prozesskostenrisiko in Kauf nehmen, weil die Beklagte ihren datenschutzrechtlichen Pflichten aus Art. 15 DSGVO nicht ordnungsgemäß nachgekommen sei. All dies nerve ihn in erheblichen Maße. Denn es wäre für die Beklagte ein Leichtes gewesen, die gesetzlichen Anforderungen des Art. 15 DSGVO ordnungsgemäß zu erfüllen. Dieses emotionale Ungemach stelle einen über den Kontrollverlust und die Einschränkung der Rechte hinausgehenden weiteren Schaden dar. Er habe über das bloße Genervtsein hinaus, auch Angst und Sorge um das Schicksal seiner personenbezogenen Daten erlitten. Er habe vor diesem Hintergrund die Sorge, dass die Beklagte mit seinen personenbezogenen Daten Schindluder getrieben habe. Er müsse wegen seines Nichtwissens davon ausgegangen, dass die Beklagte seine personenbezogenen Daten rechtswidrig an andere Unternehmen gewinnbringend verkauft habe. Dafür spreche der Umstand, dass die Beklagte seine Daten datenschutzwidrig gelöscht habe. Dass die Beklagte die Daten aber vorab gelöscht habe, spreche eindeutig dafür, dass die Beklagte etwas habe vertuschen wollen. Schon die bloße Befürchtung der missbräuchlichen Verarbeitung von Daten genüge als immaterieller Schaden.
26Seine immateriellen Schäden seien eine adäquat kausale Folge des Auskunftsverstoßes der Beklagten. Wäre die Beklagte ihren gesetzlich statuierten Pflichten aus Art. 15 DSGVO ordnungsgemäß nachgekommen, hätte er seine Daten kontrollieren sowie die Ausübung seiner weiteren Rechte prüfen können und wäre auch nicht mit dem Aufwand konfrontiert, seine Rechte gerichtlich durchsetzen zu müssen.
27Der Kläger ist der Auffassung, wegen des Kontrollverlusts, der Einschränkung seiner Rechte und des emotionalen Ungemachs habe er einen Anspruch auf Schadenersatz nicht unter 3.000,00 €. Der vorliegende Sachverhalt unterscheide sich auch bei der Schadenbemessung von anderen Fällen, in denen Verantwortliche Auskünfte unzureichend oder verspätet erteilen. Denn vorliegend sei durch die Beklagte gar keine inhaltliche Auskunft erteilt und eine solche durch die Löschung der Daten dauerhaft verunmöglicht worden. Was die Beklagte mit seinen Daten gemacht habe und vor allem, ob die Beklagte mit seinen Daten Schindluder getrieben habe, werde er wegen der Löschung der Daten niemals mehr nachvollziehen können. Vorliegend trete den Schaden erhöhend hinzu, dass er neben dem aufgezeigten Kontrollverlust und der Einschränkung seiner Rechte auch ein emotionales Ungemach als weiteren Schaden erlitten habe. Auch müsse Beachtung finden, dass es sich vorliegend um sehr sensible Daten und Informationen handele. Seine Bewerbung sei umfassend gewesen und habe neben einem Motivationsschreiben ein Deckblatt mit einem Bewerbungsfoto und seinen gesamten Lebenslauf enthalten. Es handele sich hierbei um besonders schützenswerte Informationen, die sein ganzes Leben wiederspiegelten. Bei der Bemessung des Schadens müsse ferner auch berücksichtigt werden, dass die Beklagte eine Vielzahl von schützenswerten Daten über ihn verarbeitet habe. Den Bewerbungsunterlagen sei zudem zu entnehmen gewesen, welches Gehalt er sich vorstelle, dass er derzeit auf der Suche nach einer neuen beruflichen Herausforderung sei und dass er ledig sei. Bei letzterer Angabe handele es sich – jedenfalls mittelbar – um eine Information, die sich auf sein Sexualleben bzw. seine sexuelle Orientierung beziehe. Zudem befinde sich auf dem Bewerbungsdeckblatt ein professionelles hochauflösendes Bewerbungsfoto, wobei es sich um biometrische Daten handele, die wegen der hohen Qualität des Bildes zu seiner eindeutigen Identifizierung herangezogen werden könnten.
28Der Kläger behauptet schließlich noch, dass seine Bewerbung ernst gemeint gewesen sei.
29Der Kläger beantragt,
30die Beklagte zu verurteilen, an ihn immateriellen Schadenersatz, dessen Höhe in das Ermessen des Gerichts gestellt wird, einen Betrag von 3.000,00 Euro aber nicht unterschreiten sollte, nebst Verzugszinsen in Höhe von fünf Prozentpunkten über dem jeweiligen Basiszinssatz seit Rechtshängigkeit zu zahlen.
31Die Beklagte beantragt,
32die Klage abzuweisen.
33Sie ist der Ansicht, dass auch dann, wenn ihre Auskunftserteilung erst wenige Tage nach Ablauf der Monatsfrist des Art. 12 Abs. 3 DSGVO erteilt worden wäre, dies zu keinem immateriellen Schadensersatzanspruch des Klägers führen würde. Der bloße Verstoß gegen die Vorgaben der DSGVO genüge nicht, um einen Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO zu begründen. Verspätete Auskünfte an eine Person gemäß Art. 15 Abs. 1 DSGVO oder trotz geltend gemachten Auskunftsanspruchs aufgrund interner Betriebsabläufe gelöschter Daten seien als solche nicht haftungsauslösend. Es sei auch gar nicht erkennbar, worin der „Kontrollverlust" des Klägers bestanden haben solle. Die Beklagte bestreitet, dass der Kläger „emotionales Ungemach“ oder einen „Kontrollverlust" über seine personenbezogenen Daten erfahren habe. Einlassungsfähigen Vortrag dazu halte der Kläger ohnehin nicht. Dass es ihn „nervt", seine ihm angeblich zustehenden Ansprüche geltend zu machen, reiche im Hinblick auf die ihn treffende Vortragslast haftungsbegründend keineswegs aus. Abgesehen von der Mitteilung inhaltsleerer Schlagworte lasse der Kläger jeden Tatsachenvortrag dazu vermissen, wie die — nur unterstellt verzögert erteilte — Auskunft zu einem immateriellen Schaden im Sinne der Norm geführt haben solle. Es sei objektiv nicht nachvollziehbar, weshalb ihre nach Art. 12 Abs. 3 Satz 1 DSGVO angeblich um wenige Tage verspätete Antwort auf ein Auskunftsbegehren, das sich im reinen Wortlaut des Art. 15 Abs. 1 Halbsatz 2 DSGVO erschöpfe, zu emotionalem Ungemach des Klägers geführt haben könnte. Bloßes Genervtsein des Betroffenen genüge genauso wenig wie das „bloße Warten“ auf die Auskunft, um einen immateriellen Schaden annehmen zu können.
34Bei dem vom Kläger zu Unrecht geltend gemachten Kontrollverlust über seine personenbezogenen Daten sei zu berücksichtigen, dass ihn die von ihr geforderte Datenschutzauskunft gerade mal fünf Werktage und einen Samstag nach Ablauf der Frist durch ihren mit Hochzeitsvorbereitungen geplagten externen Datenschutzbeauftragten erreicht habe. Die Beklagte behauptet, der Kläger habe von vornherein erkannt, dass seine - wie auch immer gearteten - beruflichen Qualifikationen, Fähigkeiten und Erfahrungen in keiner Weise dem Anforderungsprofil der zu besetzenden Stelle entsprochen hätten. Seine Bewerbung habe offenkundig keineswegs dazu gedient, ein Arbeitsverhältnis mit ihr einzugehen. Der sehr professionell von dem Kläger angegangene DSGVO-Auskunftsanspruch, eiligst geltend gemacht per E-Mail, dann aber auch per Post mit Zugangsnachweis mittels Einwurfeinschreibens (!) offenbare, um was es dem Kläger mit seiner Bewerbung tatsächlich gegangen sei. Er habe ihr schlicht eine datenschutzrechtliche Falle stellen wollen, wie er es bereits in hunderten anderer Fälle vielen Opfern gegenüber praktiziert habe. Um die Einhaltung von Datenschutz oder um den Umgang mit seinen persönlichen Daten gehe es dem Kläger nicht. Der Kläger dränge mit Fotos seiner Person und seinen angeblichen Pokergewinnen in die Öffentlichkeit. Am Schutz seiner persönlichen Daten habe er kein eigentliches Interesse.
35Vor dem Hintergrund des von ihm betriebenen Rechtsmissbrauchs habe der Kläger überdies kein Rechtsschutzbedürfnis. Auch wer über ein formal einklagbares Recht verfüge, dürfe dieses nicht missbräuchlich ausüben, wenn lediglich der Zweck verfolgt werde, einem anderen Schaden zuzufügen. Versuche er es dennoch, stehe dem Benachteiligten dagegen die Einwendung der unzulässigen Rechtsausübung zu. So liege der Fall hier. Vorliegend verfolge der Kläger keinen legitimen Zweck, da er mit seiner Auskunft ein von der Rechtsordnung missbilligtes Ziel verfolge und arglistig handele. Der Kläger habe sie darüber getäuscht, dass er sich tatsächlich auf die zu besetzende Stelle bewerbe. Zudem stelle das Verhalten des Klägers eine vorsätzliche sittenwidrige Schädigung dar. Nach Art. 12 Abs. 5 Satz 2 DSGVO könne der Verantwortliche sich bei offenkundig unbegründeten DSGVO-Auskunftsanträgen weigern, aufgrund des Antrags überhaupt tätig zu werden. Hieraus folge, dass vorliegend ein Ausschluss des Auskunftsrechts nach Art. 12 Abs. 5 Satz 2 DSGVO bestehe. Da dem Kläger insoweit von vornherein kein Auskunftsrecht zur Seite gestanden habe, könne er folglich auch keinen immateriellen Schadensersatz fordern. Ein (weiteres) Indiz für Rechtsmißbräuchlichkeit der vorliegenden Klage sei der Umstand, dass der Kläger mittlerweile eine weitere Klage auf immateriellen Schadenersatz nach Art. 82 Abs. 1 DSGVO vor dem Arbeitsgericht Düsseldorf unter dem Aktenzeichen 4 Ca 5904/24 anhängig gemacht habe, weil sie vermeintlich unzulässigerweise eine Recherche zur Überprüfung einer rechtsmissbräuchlichen Geltendmachung von Schadenersatzansprüchen vorgenommen habe. Nicht zuletzt durch das „gebündelte“ Vergleichsangebot des Klägers vom 15.11.2024 belege der Kläger eindrucksvoll, dass die Zwecke der Verfahren hauptsächlich monetärer Natur sind. Der unterbereitete „Discount“ auf 1.500,00 € zur Erledigung beider Verfahren belege zudem, dass der angeblich erlittene Schaden des Klägers sehr flexibel sei.
36Schließlich behaupte der Kläger, dass es zu einem dauerhaften Kontrollverlust der Daten gekommen sei und er nicht wisse, welches „Schindluder“ sie mit den Daten angestellt habe. Die in dieser Aussage enthaltene Anschuldigung, sie würde die Daten des Klägers rechtswidrig verwenden, werde nochmals und klar bestritten. Gerade die Löschung aller Daten des Klägers würde in der Konsequenz bedeuten, dass sich etwaige Befürchtungen des Klägers (z.B. eine Einsicht durch unbefugte Personen) gerade nicht realisiert hätten. Der Kläger widerspreche sich hier vollständig. Er habe nicht „dauerhaft“ die „Kontrolle über seine Daten verloren“.
37Wegen der weiteren Einzelheiten des Parteivorbringens wird auf den vorgetragenen Inhalt der gewechselten Schriftsätze nebst Anlagen sowie auf die Sitzungsniederschriften Bezug genommen.
38E n t s c h e i d u n g s g r ü n d e :
39Die zulässige Klage ist nur teilweise begründet.
40I.
41Über die Anträge, die der Kläger in der Klageschrift ankündigte, war nach § 300 Abs. 1 ZPO durch kontradiktorisches Urteil zu entscheiden. Dem steht nicht entgegen, dass im Kammertermin insoweit keine ausdrücklichen Anträge gestellt worden sind. Denn die Anträge wurden konkludent gestellt.
421. Nach der Rechtsprechung des Bundesarbeitsgerichts es ist zwar aus Gründen der prozessualen Klarheit erforderlich, dass jede Partei, die im Rechtsstreit Ansprüche geltend macht, durch ihre Antragstellung eindeutig erklärt, welches Prozessziel sie verfolgt. Dies ist schon deshalb geboten, weil § 308 Abs. 1 Abs. 1 Satz 1 ZPO dem Gericht verbietet, einer Partei mehr zuzusprechen als diese verlangt. Damit das Prozessziel beweiskräftig festgestellt wird, schreibt § 297 ZPO für die konkrete Sachantragstellung eine bestimmte Form und nach § 160 Abs. 3 Nr. 2 ZPO die Aufnahme in das Sitzungsprotokoll vor (vgl. BAG vom 23.01.2007 – 9 AZR 492/06, zitiert nach Juris Rz. 26; ArbG Wesel vom 22.12.2010 – 6 Ca 2155/10, n.v.).
43Das Erfordernis der ausdrücklichen Antragstellung kann aber dann entfallen, wenn sich das Verhalten einer Partei als derartige Teilnahme am Prozessgeschehen darstellt, dass sie auf eine bestimmte Entscheidung des Gerichts in der Sache gerichtet ist (vgl. BAG vom 23.01.2007 – 9 AZR 492/06, zitiert nach Juris Rz. 27, m.w.N.).
442. Das Erfordernis der ausdrücklichen Antragstellung ist im vorliegenden Fall entfallen, denn aus dem Prozessverhalten der Parteien ergibt sich unzweifelhaft, dass sie mit den Anträgen, die sie, wie im Tatbestand dargestellt, schriftsätzlich angekündigt haben verhandeln wollen. Zwar wurde versehentlich im Kammertermin am 04.12.2024 nicht protokolliert worden, dass der Kläger den Antrag aus der Klageschrift stellt und dass die Beklagte den Antrag stellt, die Klage abzuweisen. Allerdings haben die Parteien intensiv über die Begründetheit der Klage und die Rechtsprechung zum Ersatz immaterieller Schäden bei Verstößen gegen die Datenschutzgrundverordnung diskutiert und nachdem keine gütliche Einigung möglich war, eine Entscheidung erbeten. Hieraus wird hinreichend deutlich, dass die angekündigten Anträge auch verhandelt und damit beschieden werden sollten.
45II.
46Die Klage ist zulässig.
471. Das Arbeitsgericht Düsseldorf ist gemäß § 44 Absatz 1 Satz 2 BDSG für die Entscheidung des vorliegenden Rechtstreits örtlich zuständig. Aufgrund der im Laufe des Rechtsstreits von dem Kläger vorgelegten Meldebescheinigung der Landeshauptstadt Düsseldorf hat die Beklagte im Kammertermin erklärt, ihre Rüge der örtlichen Zuständigkeit nicht weiter aufrecht zu erhalten.
482. Dem Kläger fehlt auch nicht das Rechtsschutzbedürfnis für diese Klage.
49a. Eine Klage ist als unzulässig abzuweisen, wenn für sie kein Rechtsschutzbedürfnis besteht. Das Erfordernis des Rechtsschutzbedürfnisses soll verhindern, dass Rechtsstreitigkeiten in das Stadium der Begründetheitsprüfung gelangen, für die eine solche Prüfung nicht erforderlich ist. Grundsätzlich haben Rechtssuchende allerdings einen Anspruch darauf, dass die staatlichen Gerichte ihr Anliegen sachlich prüfen und darüber entscheiden (vgl. BGH, Urteil vom 18. November 2024 – VI ZR 10/24 –, Rn. 66, juris, mwN).
50Das Rechtsschutzbedürfnis für eine Leistungsklage ergibt sich regelmäßig schon aus der Nichterfüllung des behaupteten materiellen Anspruchs. Deshalb wird es in der ZPO auch nicht ausdrücklich als Prozess- oder Sachurteilsvoraussetzung einer Leistungsklage genannt (vgl. LAG Sachsen-Anhalt, Urteil vom 23. November 2018 – 5 Sa 7/17 – Rn. 55, juris).
51Das Rechtsschutzbedürfnis fehlt jedoch, wenn eine Klage oder ein Antrag objektiv schlechthin sinnlos ist, wenn also der Kläger oder Antragsteller unter keinen Umständen mit seinem prozessualen Begehren irgendeinen schutzwürdigen Vorteil erlangen kann (vgl. BGH, Urteil vom 18. November 2024 – VI ZR 10/24 – Rn. 66, juris, mwN). Dies ist etwa dann der Fall, wenn ein einfacherer oder billigerer Weg zur Erreichung des Rechtsschutzziels besteht oder der Antragsteller kein berechtigtes Interesse an der beantragten Entscheidung hat. Dafür gelten allerdings strenge Maßstäbe. Das Rechtsschutzbedürfnis fehlt (oder entfällt) nur dann, wenn das Betreiben des Verfahrens eindeutig zweckwidrig ist und sich als Missbrauch der Rechtspflege darstellt (vgl. BGH, Urteil vom 18. November 2024 – VI ZR 10/24 –, Rn. 67, juris, mwN).
52b. Eine das Rechtsschutzbedürfnis ausschließende Fallgestaltung liegt im vorliegenden Fall nicht vor. Weder hat die Beklagte den geltend gemachten Anspruch erfüllt, noch ist ein Anspruch auf Zahlung eines immateriellen Schadensersatzes von vornherein ausgeschlossen. Dem Kläger kann daher das Rechtsschutzbedürfnis für seine Klage nicht abgesprochen werden.
53Entgegen der von der Beklagten vertretenen Ansicht fehlt das Rechtsschutzbedürfnis des Klägers nicht bereits deshalb, weil dessen Bewerbung auf die bei der Beklagten zu besetzende Stelle nicht ernst gemeint war, weil der Kläger hätte erkennen müssen, dass er nicht über die erforderliche Qualifikation verfügt, und weil die Klage rechtsmissbräuchlich ist.
54aa. Der Kläger ist nicht offensichtlich ungeeignet für die von der Beklagten ausgeschriebene Stelle. Insbesondere ist der Stellenausschreibung der Beklagten nicht zu entnehmen, dass die abgeschlossene Ausbildung als Rechtsanwaltsfachangestellter zwingende Voraussetzung ist, denn die Stellenanzeige ist widersprüchlich, wenn sie einerseits eine Ausbildung als Rechtsanwaltsfachangestellte/r unter Profil nennt, aber an anderer Stelle diese Ausbildung nur beispielhaft nennerwähnt. In dem Absatz über der Aufgabenbeschreibung heißt es unter anderem „Du hast Legal-Erfahrung, zum Beispiel durch eine abgeschlossene Ausbildung als Rechtsanwaltsfachangestellter und schaffst es, stets den Überblick zu behalten?“ Später unter Dein Profil heißt es dann „Abgeschlossene Ausbildung als Rechtsanwaltsfachangestellte/r oder Notarfachangestellte/r sowie Kenntnisse über bestehende Fristen innerhalb verschiedener Rechtsbereich“. Diese Stellenanzeige muss ein Bewerber nicht so verstehen, dass außerhalb einer Ausbildung zum Rechtsanwaltsfachangestellten bzw. Notarfachangestellte/r erlangte Rechtskenntnisse nicht ausreichend sind.
55bb. Ein rechtsmissbräuchliches Verhalten des Klägers liegt ebenfalls nicht vor, denn zu berücksichtigen ist zunächst, dass Art. 15 DSGVO kein besonderes rechtliches Interesse an der begehrten Auskunft voraussetzt (vgl. LAG H. Düssseldorf, Urteil vom 28. November 2023 – 3 Sa 285/23 –, Rn. 28, juris, mwN), sondern per se der Durchsetzung des - wie der Kläger zu Recht betont - Grundrechts aus Art. 8 Abs. 1, Abs. 2 Satz 2 GRCh dient. Das Auskunftsverlangen des Klägers, das im Hinblick auf seine Bewerbung auf eine Stellenanzeige der Beklagten geltend gemacht wurde, begründet keinen Rechtsmissbrauchseinwand. Das Ziel der DSGVO, dem Kläger die Überprüfung einer rechtskonformen Datenverarbeitung seiner personenbezogenen Daten durch die Beklagte zu ermöglichen, kann durch einen Auskunftsantrag erreicht werden. Dass es dem Kläger von vornherein mit seinem Auskunftsverlangen allein auch die Geltendmachung von Schadensersatzansprüchen angekommen wäre, ist nicht ersichtlich. Sein professionelles Auftreten als solches lässt diesen Schluss nicht zu. Im Gegenteil muss sich die Beklagte hier durchaus vorhalten lassen, dass sie auf den Antrag des Klägers unschwer das Ersuchen in kürzester Zeit hätte erfüllen und sich damit auch gleich den vorliegenden Prozess hätte ersparen können (vgl. LAG H. Düsseldorf, Urteil vom 28. November 2023 – 3 Sa 285/23 –, Rn. 28, juris). Soweit die Beklagte des Weiteren die Ansicht vertritt, der Kläger habe ihr eine datenschutzrechtliche Falle stellen wollen, wie er es bereits in hunderten anderer Fälle vielen Opfern gegenüber praktiziert habe, gilt ebenfalls das zuvor Ausgeführte. Die Beklagte, die die ihr – jedenfalls aber ihrem externen Datenschutzbeauftragen sicherlich - bekannten Verpflichtungen aus der DSGVO nicht ordnungsgemäß erfüllte, tappte sehenden Auges in die von ihr nun behauptete Falle.
56Aber selbst, wenn es der Kläger darauf anlegen würde, verantwortliche Stellen, bei denen Daten über ihn gespeichert sind, auf Auskunft in Anspruch zu nehmen, um die Einhaltung der gesetzlichen Vorschriften zu überprüfen und im Falle der Nichteinhaltung weitere Rechte geltend zu machen, kann ein Rechtsmissbrauch damit nicht begründet werden. Denn was der Kläger macht, ist Rechtsgebrauch und nicht dessen Missbrauch. Wie schon im Anwendungsbereich des AGG sind es nicht selten die professionell agierenden Kläger, die wichtige Rechtsfragen einer höchstrichterlichen Klärung zuführen und dem Ziel - dort effektiver Schutz vor Diskriminierung, hier effektiver Schutz personenbezogener Daten - der europäischen Richtlinien bzw. hier der Datenschutz-Grundverordnung dienen. Die Annahme, der Kläger versuche allein, sich hier einen ungerechtfertigten Vorteil zu verschaffen, hat damit keine objektiv feststellbare Tatsachengrundlage (so schon: LAG H. Düsseldorf, Urteil vom 28. November 2023 – 3 Sa 285/23 –, Rn. 29, juris). Die Beklagte weist zwar darauf hin, dass der Kläger nicht nur ein Verfahren, sondern vorgeblich eine Vielzahl von datenschutzrechtlichen Verfahren führe, jedoch ist dies kein Indiz für Rechtsmissbrauch. Denn der Kläger trug zum Grund seines Interesses vor, er sei vor über zehn Jahren Opfer eines Hackings geworden. Er interessiere sich seit jeher insbesondere für Themen des Datenschutzes und der Datensicherheit. Er setze seine Rechte daher beharrlich durch, ihn treibe seit langer Zeit ein gesellschaftspolitisches Ansinnen; er wolle in einer Gesellschaft leben, in der sich Unternehmen wie die Beklagte an datenschutzrechtliche Bestimmungen hielten. Auch sei er durchaus an Rechtsfortbildung im Datenschutzrecht interessiert. Letzteres dokumentiert der Kläger durch die Veröffentlichung von Artikeln, die er gemeinsam mit einem Rechtsanwalt verfasst, in der juristischen Fachpresse.
57Auch die speziellen Voraussetzungen eines offenkundig unbegründeten oder exzessiven Auskunftsersuchens im Sinne von Art. 12 Abs. 5 DSGVO liegen nicht vor. Die insoweit gemäß Art. 12 Abs. 5 Satz 3 DSGVO darlegungs- und beweispflichtige Beklagte hat weder den Nachweis einer offenkundigen Unbegründetheit des Antrags auf Auskunft noch den exzessiven Charakter des Auskunftsersuchens des Klägers erbracht. Im Übrigen hat sie sich darauf auch nicht berufen, als der Kläger seinen Auskunftsanspruch geltend machte, und sich gemäß Art. 12 Abs. 5 Satz 2 Buchst. b), Abs. 4 DSGVO wegen eine offenkundig unbegründeten oder exzessivem Antrags dem Kläger gegenüber binnen eines Monats nach Eingang des Antrags geweigert, aufgrund des Antrags tätig zu werden. Dies hätte sie aber binnen der Monatsfrist des Art. 12 Abs. 4 DSGVO tun müssen.
58III.
59Die Klage ist dem Grunde nach vollständig, jedoch bezogen auf die Höhe der geltend gemachten Forderung nur teilweise begründet. Der Kläger hat gegen die Beklagte einen Anspruch auf Schadensersatz in Höhe von 750,00 € aus Art. 82 Abs.1 DSGVO. Die Klage weitergehende Klage ist unbegründet.
601. Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.
61Nach der Rechtsprechung des EuGH (vgl. z.B. EuGH, Urteil vom 14. Dezember 2023 – C-456/22 –, Rn. 14, juris, mwN) ergibt sich aus Art. 82 Abs. 1 DSGVO, dass das Vorliegen eines „Schadens“, der entstanden ist, eine der Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadenersatzanspruch darstellt, ebenso wie das Vorliegen eines Verstoßes gegen die DSGVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß. Folglich sind diese drei Voraussetzungen kumulativ sowie erforderlich und ausreichend für einen Schadenersatzanspruch im Sinne des Art. 82 Abs. 1 DSGVO (vgl. EuGH, Urteil vom 14. Dezember 2023 – C-456/22 –, Rn. 14, juris; BAG, Urteil vom 20. Juni 2024 – 8 AZR 91/22 -, Rn. 12, juris, mwN). Des Weiteren hat der EuGH entschieden, dass Art. 82 Abs. 1 DSGVO auf der Grundlage von Erwägungen zu Wortlaut, Systematik sowie Sinn und Zweck dahin auszulegen ist, dass er einer nationalen Regelung oder Praxis entgegensteht, die den Ersatz eines „immateriellen Schadens“ im Sinne dieser Bestimmung davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat (vgl. EuGH, Urteil vom 14. Dezember 2023 – C-456/22 –, Rn. 16, juris, mwN). Daher kann nicht angenommen werden, dass über diese drei oben genannten Voraussetzungen hinaus für die Haftung nach Art. 82 Abs. 1 DSGVO weitere Voraussetzungen aufgestellt werden dürfen, etwa die, dass der Nachteil spürbar oder die Beeinträchtigung objektiv sein muss (vgl. EuGH, Urteil vom 14. Dezember 2023 – C-456/22 –, Rn. 17, juris).
622. Die Voraussetzungen für einen Schadensersatzanspruch aus Art. 82 DSGVO sind dem Grunde nach im vorliegenden Fall erfüllt, denn die Beklagte hat gegen die DSGVO verstoßen, dem Kläger ist ein immaterieller Schaden entstanden und es besteht ein Kausalzusammenhang zwischen dem Schaden und dem Verstoß.
63a. Die Beklagte hat gegen die Datenschutz-Grundverordnung verstoßen, indem sie dem Kläger die geforderte Auskunft nach Art. 15 Abs. 1 DSGVO nicht nur nicht fristgerecht, sondern gar nicht erteilte.
64aa. Nach Art. 15 Abs. 1 DSGVO hat die betroffene Person das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden und wenn dies der Fall ist, ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen: Verarbeitungszwecke; Kategorien personenbezogener Daten, die verarbeitet werden; Empfängeroder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen; falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer; Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung; Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde; wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten; Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäßArtikel 22 Absätze 1 und 4 DSGVO und — zumindest in diesen Fällen — aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person. Nach der Vorgabe des Art. 12 Abs. 3 Sätze 1 bis 3 DSGVO ist ein solches Auskunfts- und Herausgabebegehren unverzüglich, in jedem Fall binnen eines Monats nach Eingang, nach einer Unterrichtung über eine Fristverlängerung binnen zwei weiterer Monate zu beantworten.
65bb. Auf die E-Mail vom 01.05.2024, mit der der Kläger die Beklagte unter Fristsetzung bis zum 16.05.2024 aufgeforderte, ihm eine umfassende Auskunft sowie eine vollständige Datenkopie auf der Grundlage von Art. 15 DSGVO zu erteilen, erhielt der Kläger von der Beklagten weder die geforderte Auskunft noch stellte eine Datenkopie. Personenbezogenen Daten, die einen Auskunftsanspruch nach § 15 Abs. 1 DSGVO rechtfertigen, hatte der Kläger der Beklagten zuvor, unter dem 28.04.2024 in Form seiner Bewerbungsunterlagen übersandt. Auf die Anfrage des Klägers reagierte die Beklagte, trotz einer Erinnerung durch den Kläger am 31.05.2024, erstmals per E-Mail vom 11.06.2024. Dies war weder unverzüglich noch binnen Monatsfrist und damitoffensichtlich nicht fristgemäß.
66Soweit sich die Beklagte damit verteidigt, dass die geforderte Datenschutzauskunft dem Kläger gerade mal fünf Werktage und einen Samstag nach Ablauf der Frist durch ihren mit Hochzeitsvorbereitungen geplagten externen Datenschutzbeauftragten erteilt worden sei, ändert das nichts an dem Verstoß gegen die DSGVO. Art.12 Abs. 3 Satz 1 DSGVO regelt ganz eindeutig, dass die Auskunft nach § 15 DSGVO unverzüglich, jedenfalls innerhalb eines Monats nach Eingang des Antrags zu erteilen ist, d. h. hier bis zum 01.06.2024, da der Antrag am 01.05.2024 bei der Beklagten, der Verantwortlichen im Sinne der DSGVO einging. In Art 12 Abs. 3 Satz 2, 3 DSGVO ist die Möglichkeit einer Fristverlängerung geregelt, allerdings müsste der Verantwortliche, der davon Gebrauch machen will, die betroffen Person innerhalb eines Monats nachAntragseingang über eine Fristverlängerung zusammen mit den Gründen für die Verzögerung unterrichten. Auch dies hat die Beklagte unterlassen. Erstmals am 11.06.2024 ging dem Kläger per E-Mail eine Antwort des externen Datenschutzbeauftragten der Beklagten zu, d. h. zehn Kalendertage zu spät.
67Hinzukommt, dass die Beklagte die Daten des Klägers in Kenntnis des Auskunftsanspruchs löschte, statt Art. 17 Abs. 3 Buchst. b) DSGVO zu beachten, wonach die Absätze 1 und 2 des Art. 17 DSGVO, die die Löschung von Daten betreffen, nicht gelten, soweit die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung – hier aus Art 15 Abs. 1 DSGVO - erforderlich ist.
68b. Ein Verstoß gegen die Pflichten aus Art. 15 DSGVO kann dem Grunde nach einen Anspruch auf Ersatz der materiellen und immateriellen Schäden nach Art. 82 Abs. 1 DSGVO begründen.
69aa. Da die DSGVO in Bezug auf den Sinn und die Tragweite der in dieser Bestimmung enthaltenen Begriffe, insbesondere in Bezug auf die Begriffe „materieller oder immaterieller Schaden“ und „Schadenersatz“, nicht auf das Recht der Mitgliedstaaten verweist, sind diese Begriffe für die Anwendung dieser Verordnung als autonome Begriffe des Unionsrechts anzusehen, die in allen Mitgliedstaaten einheitlich auszulegen sind (vgl. EuGH, Urteil vom 4. Oktober 2024 – C-200/23 –, Rn. 139, juris, mwN).
70Zu diesem Zweck ist Art. 82 Abs. 1 DSGVO dahin auszulegen, dass der bloße Verstoß gegen diese Verordnung nicht ausreicht, um einen Schadenersatzanspruch zu begründen, da das Vorliegen eines materiellen oder immateriellen „Schadens“ eine der Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadenersatzanspruch darstellt, ebenso wie das Vorliegen eines Verstoßes gegen die DSGVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind (vgl. EuGH, Urteil vom 4. Oktober 2024 –C-200/23 –, Rn. 140, juris, mwN). Insofern muss die Person, die auf der Grundlage dieser Bestimmung Ersatz eines immateriellen Schadens verlangt, nicht nur den Verstoß gegen Bestimmungen dieser Verordnung nachweisen, sondern auch, dass ihr durch diesen Verstoß ein solcher Schaden entstanden ist. Ein solcher Schaden kann daher nicht allein aufgrund des Eintritts dieses Verstoßes vermutet werden (vgl. EuGH, Urteil vom 4. Oktober 2024 – C-200/23 –, Rn. 141, juris, mwN).
71Wenn sich eine Person, die auf der Grundlage von Art. 82 Abs. 1 DSGVO Schadenersatz fordert, auf die Befürchtung beruft, dass ihre personenbezogenen Daten in Zukunft aufgrund eines solchen Verstoßes missbräuchlich verwendet werden, muss das angerufene nationale Gericht daher prüfen, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann (vgl. EuGH, Urteil vom 4. Oktober 2024 – C-200/23 –, Rn. 143, juris, mwN).
72bb. Der Kläger hat durch den oben dargestellten Verstoß der Beklagten gegen die DSGVO einen immateriellen Schaden erlitten.
73(1). Der Gerichtshof der Europäischen Union hat bereits entschieden, dass sich nicht nur aus dem Wortlaut von Art. 82 Abs. 1 DSGVO im Licht ihrer Erwägungsgründe 85 und 146, wonach der Begriff „immaterieller Schaden“ im Sinne dieses Artikels weit zu verstehen ist, sondern auch aus dem mit der DSGVO verfolgten Ziel der Gewährleistung eines hohen Schutzniveaus für natürliche Personen bei der Verarbeitung personenbezogener Daten ergibt, dass die durch einen Verstoß gegen die DSGVO ausgelöste Befürchtung einer betroffenen Person, ihre personenbezogenen Daten könnten von Dritten missbräuchlich verwendet werden, für sich genommeneinen „immateriellen Schaden“ im Sinne von Art. 82 Abs. 1 DSGVO darstellen kann (vgl. EuGH, Urteil vom 4. Oktober 2024 – C-200/23 –, Rn. 144, juris, mwN). Insbesondere geht aus der im ersten Satz des 85. Erwägungsgrundes der DSGVO enthaltenen beispielhaften Aufzählung der „Schäden“, die den betroffenen Personen entstehen können, hervor, dass der Unionsgesetzgeber unter den Begriff „Schaden“ insbesondere auch den bloßen „Verlust der Kontrolle“ über ihre eigenen Daten infolge eines Verstoßes gegen die DSGVO fassen wollte, selbst wenn konkret keine missbräuchliche Verwendung der betreffenden Daten zum Nachteil dieser Personen erfolgt sein sollte (vgl. EuGH, Urteil vom 4. Oktober 2024 – C-200/23 –, Rn. 145, juris, mwN).
74Außerdem wäre eine Auslegung von Art. 82 Abs. 1 DSGVO dahin, dass der Begriff „immaterieller Schaden“ im Sinne dieser Bestimmung keine Situationen umfasst, in denen sich eine betroffene Person nur auf ihre Befürchtung beruft, dass ihre Daten in Zukunft von Dritten missbräuchlich verwendet werden, nicht mit der Gewährleistung eines hohen Schutzniveaus für natürliche Personen bei der Verarbeitung personenbezogener Daten in der Union vereinbar, die mit dieser Verordnung bezweckt wird(vgl. EuGH, Urteil vom 4. Oktober 2024 – C-200/23 –, Rn. 146, juris, mwN). Ebenso wenig kann dieser Begriff allein auf Schäden mit einer gewissen Erheblichkeit beschränkt werden, insbesondere was die Dauer betrifft, während der die betroffenen Personen den nachteiligen Folgen des Verstoßes gegen diese Verordnung ausgesetzt waren (vgl. EuGH, Urteil vom 4. Oktober 2024 – C-200/23 –, Rn. 147, juris, mwN). Somit kann nicht angenommen werden, dass über die drei Voraussetzungen Verstoß gegen die DSGVO, Schaden und Kausalzusammenhangs zwischen dem Schaden und dem Verstoß hinaus für die Haftung nach Art. 82 Abs. 1 DSGVO weitere Voraussetzungen aufgestellt werden dürfen, etwa die, dass der Nachteil spürbar oder die Beeinträchtigung objektiv sein muss (vgl. EuGH, Urteil vom 4. Oktober 2024 – C-200/23 –, Rn. 148, juris, mwN).
75Nach alledem ist Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass ein zeitlich begrenzter Verlust der Kontrolle der betroffenen Person über ihre personenbezogenen Daten ausreichen kann, um einen „immateriellen Schaden“ zu verursachen, sofern diese Person nachweist, dass sie tatsächlich einen solchen Schaden – so geringfügig er auch sein mag – erlitten hat, ohne dass dieser Begriff des „immateriellen Schadens“ den Nachweis zusätzlicher spürbarer negativer Folgen erfordert (vgl. EuGH, Urteil vom 4. Oktober 2024 – C-200/23 –, Rn. 156, juris). Die durch einen Verstoß gegen dieDatenschutz-Grundverordnung ausgelöste Befürchtung einer betroffenen Person, ihre personenbezogenen Daten könnten von Dritten missbräuchlich verwendet werden, kann für sich genommen einen „immateriellen Schaden“ iSv. Art. 82 Abs. 1 DSGVO darstellen (vgl. BAG, Urteil vom 20. Juni 2024 – 8 AZR 91/22 –, Rn. 13, juris, mwN).
76Nach der Rechtsprechung des Gerichtshofs der Europäischen Union können negative Gefühle („Befürchtung“) in solchen Konstellationen einen Anspruch auf Ersatz des immateriellen Schadens begründen. Das bloße Berufen auf eine bestimmte Gefühlslage reicht aber nicht aus, denn das Gericht hat zu prüfen, ob das Gefühl unter Berücksichtigung der konkreten Umstände „als begründet angesehen werden kann“ (vgl. BAG, Urteil vom 20. Juni 2024 – 8 AZR 91/22 –, Rn. 15, juris, mwN). Dies setzt zwingend die Anwendung eines objektiven Maßstabs voraus (vgl. BAG, Urteil vom 20. Juni 2024 – 8 AZR 91/22 –, Rn. 15, juris, mwN). Dabei ist u. a. die objektive Bestimmung des Missbrauchsrisikos der Daten von Bedeutung (vgl. BAG, Urteil vom 20. Juni 2024 – 8 AZR 91/22 –, Rn. 15, juris, mwN).
77(2). Unter Zugrundelegung der vorstehenden Grundsätze ist die erkennende Kammer zu der Ansicht gelangt, dass dem Kläger durch den Verstoß der Beklagten gegen die DSGVO in Gestalt der Nichterteilung der Auskunft nach Art. 15 Abs. 1 DSGVO ein Schaden in Form des Kontrollverlusts entstanden ist. Aufgrund der Vorgehensweise der Beklagten, sich zunächst einmal für die Dauer von mehr als einem Monat nach dem Auskunftsverlangen des Klägers in Schweigen zu hüllen, um ihm dann am 11.06.2024 mitzuteilen, dass derzeit bei ihr keine personenbezogenen Daten des Klägers gespeichert würden, so dass sein Antrag auf Auskunft deswegen nicht bearbeitet werden könne, weil seine Daten drei Tage nach der Absage auf seine Bewerbung - wie bei ihr üblich - gelöscht worden seien, hat der Kläger ausreichend Grund für die Befürchtung, seine personenbezogenen Daten könnten von Dritten missbräuchlich verwendet werden. Wenn die Beklagte in Kenntnis des Auskunftsantrags, die Daten des Klägers – wie sie behauptet – löscht, statt die Auskunft zu erteilen, und keine nachvollziehbare Erklärung für die Missachtung des Auskunftsanspruchs des Klägers nach der DSGVO abgibt, darf der Kläger sich mit Recht Sorgen darübermachen, was die Beklagte zu dieser Vorgehensweise veranlasst hat, ob sie vielleicht etwas ver-tuschen will, und was mit seinen Daten vor der Löschung passiert ist. Aufgrund der besonderen Umstände dieses Falles kann das Gefühl des Klägers, mit seinen Daten könnte „Schindluder getrieben“ worden sein, als begründet angesehen werden.
78Die Kammer teilt die Ansicht des Klägers, dass das Verhalten der Beklagten den Eindruck erweckt, sie wolle die Rechte des Klägers aus der DSGVO nicht anerkennen. Wenn die Beklagte ihren Verpflichtungen aus der DSGVO hätte nachkommen wollen, hätte sie dem Kläger seine Frage leicht beantworten und ihr Löschkonzept erläutern können. Durch die verspätete Reaktion und das Löschen der Daten des Klägers in Kenntnis seines Auskunftsantrags macht die Beklagte deutlich, dass sie das Anliegen des Klägers und damit die von ihm geltend gemachten Rechte nicht ernst nimmt bzw. dass sie diese nicht interessieren. Wird wie hier das eigene Anliegen komplett ignoriert, erscheint es nachvollziehbar, dass der Verlust der Kontrolle über die eigenen Daten als Beeinträchtigung, auch als Ärgernis, empfunden und ein missbräuchlicher Umgang befürchtet wird (in diesem Sinne schon: LAG H. Düsseldorf, Urteil vom 7. März 2024 – 11 Sa 808/23 –, Rn. 54, juris).
79c. Der Verstoß der Beklagten gegen die Rechte des Klägers aus der DSGVO ist für den vorstehend beschriebenen immateriellen Schaden des Klägers kausal. Hätte die Beklagte auf das Auskunftsersuchen des Klägers pflichtgemäß reagiert, wäre er nicht im Ungewissen über den Umgang mit seinen personenbezogenen Daten geblieben. Er hätte keine (begründeten) Befürchtungen im Hinblick auf eine missbräuchliche Verwendung haben müssen (vgl. zu einem ähnlichen Fall: LAG H. Düsseldorf, Urteil vom 7. März 2024 – 11 Sa 808/23 –, Rn. 55, juris).
803. Der Höhe nach erscheint aus Sicht der erkennenden Kammer ein Schadensersatz in Höhe von 750,00 € angemessen. In Höhe des darüberhinausgehenden Betrages war die Klage abzuweisen.
81Der Kläger hat die Bemessung der Höhe des immateriellen Schadensersatzes in das Ermessen des Gerichts gestellt, § 287 Abs. 1 S. 1 ZPO. Auf dieser Grundlage war über die Höhe des Schadens unter Würdigung aller Umstände nach freier Überzeugung des Gerichts zu entscheiden (vgl. LAG H. Düsseldorf, Urteil vom 7. März 2024 – 11 Sa 808/23 –, Rn. 57, juris).
82a. Nach der ständigen Rechtsprechung des EuGH ist es mangels einschlägiger unionsrechtlicher Vorschriften nach dem Grundsatz der Verfahrensautonomie Sache der innerstaatlichen Rechtsordnung jedes Mitgliedstaats, die Verfahrensmodalitäten für Klagen, die den Schutz der dem Einzelnen aus dem Unionsrecht erwachsenden Rechte gewährleisten sollen, zu regeln, wobei die betreffenden Anforderungen jedoch nicht ungünstiger sein dürfen als diejenigen, die gleichartige, dem innerstaatlichen Recht unterliegende Sachverhalte regeln (Äquivalenzgrundsatz), und die Ausübung der durch das Unionsrecht verliehenen Rechte nicht praktisch unmöglich machen oder übermäßig erschweren dürfen (sogenannter Effektivitätsgrundsatz, vgl. EuGH 07.04.2022 - C-385/20 - Rn. 47; EuGH 06.10.2020 - C-511/18 - Rn. 223; EuGH 19.12.2019 - C-752/18 Rn. 33; EuGH 06.10.2015 - C-69/14 - Rn. 26 f.). Dies führt im Streitfall mangels einschlägiger unionsrechtlicher Vorschriften zur Anwendbarkeit von § 287 Abs. 1 Satz 1 ZPO. Denn Art. 82 DSGVO selbst regelt keine Verfahrensmodalitäten zur Durchsetzung des Schadenersatzanspruchs (vgl. LAG H. Düsseldorf, Urteil vom 7. März 2024 – 11 Sa 808/23 –, Rn. 58, juris).
83Dem Äquivalenz- oder Effektivitätsgrundsatz ist durch die Anwendung von § 287 Abs. 1 Satz 1 ZPO Rechnung getragen. Die Bestimmung findet im nationalen Recht ebenso bei der Durchsetzung anderer Ansprüche auf immateriellen Schadenersatz Anwendung. Sie ermöglicht überdies in besonderer Weise eine effektive Durchsetzung von Schadenersatzansprüchen, weil sie nach Wahl des Klägers das Beweismaß mindert (vgl. BAG, Urteil vom 05. Mai 2022 - 2 AZR 363/21 -, Rn. 14, juris; LAG U., Urteil vom 26.April 2023 - 12 Sa 18/23 -, Rn. 179, juris; LAG H. Düsseldorf, Urteil vom 7. März 2024 – 11 Sa 808/23 –, Rn. 59, juris).
84b. Bei der Bemessung der Höhe eines Schadenersatzanspruchs nach § 287 Abs. 1 ZPO steht dem Gericht ein weiter Ermessensspielraum zu, innerhalb dessen die Besonderheiten jedes einzelnen Falls zu berücksichtigen sind.
85aa. Der Gerichtshof der der Europäischen Union hat unter Berücksichtigung des sechsten Satzes des 146. Erwägungsgrundes der DSGVO, der besagt, dass dieses Instrument einen „vollständigen und wirksamen Schadenersatz für den erlittenen Schaden“ sicherstellen soll, festgestellt, dass in Anbetracht der Ausgleichsfunktion des in Art. 82 DSGVO vorgesehenen Schadenersatzanspruchs eine auf diesen Artikel gestützte finanzielle Entschädigung als „vollständig und wirksam“ anzusehen ist, wenn sie es ermöglicht, den aufgrund des Verstoßes gegen diese Verordnung konkret er-littenen Schaden in vollem Umfang auszugleichen, ohne dass ein solcher vollumfänglicher Ausgleich die Verhängung von Strafschadenersatz erfordert (vgl. EuGH, Urteil vom 21. Dezember 2023 – C-667/21 –, Rn. 84, juris, mwN).
86Der Gerichtshof der der Europäischen Union betont dabei, dass Art. 82 DSGVO – anders als andere, ebenfalls in Kapitel VIII dieser Verordnung enthaltene Bestimmungen, nämlich die Art. 83 und 84, die im Wesentlichen einen Strafzweck haben, da sie die Verhängung von Geldbußen bzw. anderen Sanktionen erlauben – keine Straf-,sondern eine Ausgleichsfunktion hat (vgl. EuGH, Urteil vom 21. Dezember 2023 –C-667/21 –, Rn. 85, juris). Da der in Art. 82 Abs. 1 DSGVO vorgesehene Anspruch auf Schadenersatz keine abschreckende oder sogar Straffunktion erfüllt, kann sich die Schwere des Verstoßes gegen diese Verordnung, durch den der betreffende Schaden entstanden ist, nicht auf die Höhe des auf der Grundlage dieser Bestimmung gewährten Schadenersatzes auswirken, auch wenn es sich nicht um einen materiellen, sondern um einen immateriellen Schaden handelt. Folglich darf dieser Betrag nicht in einer Höhe bemessen werden, die über den vollständigen Ersatz dieses Schadens hinausgeht (vgl. EuGH, Urteil vom 21. Dezember 2023 – C-667/21 –, Rn. 86, juris). Infolgedessen ist Art. 82 Abs. 1 DSGVO dahin auszulegen, dass der in dieser Bestimmung vorgesehene Schadenersatzanspruch eine Ausgleichsfunktion hat, da eine auf diese Bestimmung gestützte Entschädigung in Geld ermöglichen soll, den konkret aufgrund des Verstoßes gegen diese Verordnung erlittenen Schaden vollständig auszugleichen, und keine abschreckende oder Straffunktion erfüllt (vgl. EuGH, Urteil vom 21. Dezember 2023 – C-667/21 –, Rn. 87, juris).
87bb. Unter Zugrundelegung der vorstehenden Grundsätze hat die Kammer den immateriellen Schaden des Klägers auf 750,00 € geschätzt.
88Dabei hat die Kammer – wie schon die 11. Kammer des Landesarbeitsgerichts Düsseldorf (Urteil vom 7. März 2024 – 11 Sa 808/23 –, Rn. 64, juris) berücksichtigt, dass der europäische Verordnungsgeber das verletzte Recht auf Auskunftserteilung, wie sich insbesondere aus der Aufnahme des Art. 15 DSGVO in den Katalog des Art. 83 Abs. 5 DSGVO zeigt, per se als bedeutsam bewertet hat.
89Aus der Verletzung resultieren eine Ungewissheit über den (redlichen) Umgang mit den eigenen Daten sowie die damit verbundene Unmöglichkeit, Rechte gegenüber der Beklagten oder Dritten geltend zu machen. Die vom Kläger geschilderten und als nachvollziehbar bewerteten Befürchtungen, Angst und Sorge um das Schicksal seiner personenbezogenen Daten, und negativen Gefühle wie Ärger, "Genervtsein" „emotionales Ungemach“ hat die Kammer - wie schon die 11. Kammer des Landesarbeitsgerichts Düsseldorf (Urteil vom 7. März 2024 – 11 Sa 808/23 –, Rn. 65, juris) - in die Würdigung einbezogen. Weitergehende psychische Belastungen, gesellschaftlicheoder soziale Nachteile, Einschränkungen in der persönlichen Lebensführung oder der Gestaltungs- und Entfaltungsmöglichkeiten hat der Kläger in diesem Verfahren nicht dargelegt.
90Um zu bewerten, wie schwer der eingetretene Schaden ist, hat die Kammer - wie die 11. Kammer des Landesarbeitsgerichts Düsseldorf (Urteil vom 7. März 2024 –11 Sa 808/23 –, Rn. 67, juris) - berücksichtigt, über welche Art von personenbezogenen Daten der Kläger im Ungewissen geblieben ist. Dazu hat der Kläger vorgetragen, die Beklagte habe eine Vielzahl von schützenswerten Daten über ihn verarbeitet. Den Bewerbungsunterlagen sei zu entnehmen, welches Gehalt er sich vorstelle und dass er derzeit auf der Suche nach einer neuen beruflichen Herausforderung sei. Den Bewerbungsunterlagen sei außerdem zu entnehmen, dass er ledig sei, bei dieser Information handele es sich – jedenfalls mittelbar – um eine solche, die sich auf sein Sexualleben bzw. seine sexuelle Orientierung beziehe. Zudem befinde sich auf dem Bewerbungsdeckblatt ein professionelles hochauflösendes Bewerbungsfoto, wobei es sich um biometrische Daten handele, die wegen der hohen Qualität des Bildes zur seiner eindeutigen Identifizierung herangezogen werden könnten. Darüber hinaus habe er ein Motivationsschreiben und seinen gesamten Lebenslauf bei der Beklagten digital eingereicht.
91Der Umstand, dass der Kläger ein hochwertiges Foto bei der Beklagten eingereicht, kann – wie schon die 11. Kammer des Landesarbeitsgerichts Düsseldorf (Urteil vom 7. März 2024 – 11 Sa 808/23 –, Rn. 67, juris) ausgeführt hat - nicht als schwere Belastung des Klägers bewertet werden, denn ein Foto des Klägers ist bereits auf mehreren Poker-Websites zu sehen. Die Sorge vor einer weiteren Verarbeitung oder anderweitigen Nutzung des nun bei der Beklagte eingereichten Fotos kann daher nicht als erhebliche Beeinträchtigung bewertet werden, auch wenn es sich bei dem Foto um biometrische Daten handelt.
92Der Kläger hat zwar vorgetragen, dass die Beklagte eine Vielzahl von schützenswerten Daten über ihn verarbeitet habe, er hat jedoch nicht weiter konkretisiert, woraus sich eine besondere Schutzbedürftigkeit dieser Daten ergeben soll. Auch wenn weitere Bestandteile der Bewerbungsunterlagen, wie z. B. die Privatanschrift und Werturteile von ehemaligen Arbeitgebern, Informationen darstellen, die von den Betroffenen regelmäßig als sensibel eingestuft und gezielt nur solchen Dritten zur Verfügung gestellt werden, die daran ein berechtigtes Interesse haben, so kann das alleine nicht die Höhe der begehrten Schadensersatzzahlung begründen. Soweit der Kläger die Ansicht vertritt, aus der Angabe in seiner Bewerbung, er sei ledig, handele es sich um eine Information, die sich jedenfalls mittelbar auf sein Sexualleben bzw. seine sexuelle Orientierung beziehe, teilt die Kammer diese Ansicht nicht. Die Familienstandsangabe ledig, sagt nichts über das Sexualleben oder die sexuelle Orientierung aus, sie wird auch von allen Personen verwendet, die unverheiratet oder unverpartnert zusammenleben, ob mit oder ohne Kinder.
93Der Kläger hat darüber hinaus nicht vorgetragen, dass sich in den Unterlagen personenbezogene Daten mit besonders erhöhtem Schutzniveau befänden, z. B. genetische, biometrische und Gesundheitsdaten sowie personenbezogene Daten, ausdenen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit des Betroffenen hervorgehen. Die Beeinträchtigung durch die Ungewissheit über den Umgang mit den Daten wird vor diesem Hintergrund im Ausgangspunkt als gering bis mittelschwer bewertet (vgl. dazu LAG H. Düsseldorf, Urteil vom 7. März 2024 – 11 Sa 808/23 –, Rn. 67, juris).
94Die Kammer hat im Rahmen der Schätzung schließlich berücksichtigt, dass sich der Schaden mit dem für den Kläger nicht kontrollierbaren, von der Beklagten behaupteten endgültigen Verlust der Daten durch Löschung, vergrößert hat. Da allerdings auch nicht sicher festgestellt werden kann, dass die Beklagte die Daten nicht gelöscht oder vor der Löschung veräußert hat, war auch in Erwägung zu ziehen, dass es aktuell möglicherweise keine „Gefahr“ mehr für die Daten des Klägers gibt.
95Die Beeinträchtigung des Klägers schätzt die Kammer im Ergebnis als geringfügig ein. Daher erscheint eine Bewertung mit 100,00 € pro Monat zwischen der Geltendmachung des Anspruchs und der Entscheidung der Kammer sachgerecht. Aus diesem Grunde hält die Kammer einen Betrag in Höhe von 750,00 € für angemessen.
96IV.
97Die Kostenentscheidung beruht auf §§ 46 Abs. 2 ArbGG, 92 Abs. 1 Satz 1 ZPO. Den Parteien wurden dabei die Kosten im Umgang ihres Unterliegens auferlegt.
98Die Streitwertfestsetzung ergibt sich aus §§ 46 Abs. 2, 61 Abs. 1 ArbGG, 3 ZPO. Angesetzt wurde der eingeklagte Mindestbetrag in Höhe von 3.000,00 €. Hierbei handelt es sich zugleich um den Gebührenstreitwert nach § 63 Abs. 2 GKG.
99Die Berufung war – soweit sie nicht bereits kraft Gesetzes zulässig ist (§ 64 Abs. 2 Buchstaben b) und c) ArbGG) - nicht zuzulassen, da die Voraussetzungen für eine gesonderte Berufungszulassung vorliegend nicht gegeben sind. Insbesondere hat die Rechtssache keine grundsätzliche Bedeutung.