1

T a t b e s t a n d :

2

              Die Parteien streiten um einen Schadensersatzanspruch gem. Art. 82 DSGVO wegen eines Verstoßes gegen Art. 15 DSGVO.

3

              Der Kläger bewarb sich auf eine von der Beklagten ausgeschriebene Stelle als Rechtsanwalt (Syndikusrechtsanwalt) Energierecht und erhielt am 15.08.2023 von der Beklagten per E-Mail eine Absage. Mit E-Mail vom 16.08.2023 fragte der Kläger nach den Ablehnungsgründen und begehrte „eine umfassende Auskunft sowie eine vollständige Datenkopie auf Grundlage von Artikel 15 EU-DSGVO“.

4

              Mit Schreiben vom 29.08.2023, dem Kläger zugegangen am 02.09.2023, erteilte die Beklagte Auskunft (Bl. 28ff der erstinstanzlichen Akte). Unter der Rubrik „Datenempfänger“ führte sie u.a. aus: „Wir setzen Dienstleister für die Verarbeitung personenbezogener Daten ein, unter anderem für die Bereitstellung der Informationen, die Speicherung Ihrer Daten in einem sicheren Rechenzentrum sowie die Pflege und Analyse von Datenbanken. Sämtliche Auftragsverarbeiter wurden sorgfältig ausgewählt, unterstützen uns streng weisungsgebunden und erhalten nur in dem Umfang und für den benötigten Zeitraum Zugang zu Ihren Daten. Weiterhin können die Daten für statistische Zwecke (z.B. Reporting) bearbeitet werden. Dabei sind keine Rückschlüsse auf einzelne Personen möglich.“

5

              Mit E-Mail vom 21.11.2023 machte der Kläger einen Schadensersatzanspruch gem. Art. 82 DSGVO wegen unvollständiger Auskunft geltend und verlangte die Angabe der konkreten Auftragsverarbeiter, die in der Datenschutzauskunft der Beklagten unter "Datenempfänger" als "Dienstleister für die Verarbeitung personenbezogener Daten" bezeichnet worden waren. Deren Namen und Anschrift teilte die Beklagte sodann mit E-Mail vom 05.12.2023 dem Kläger mit (Bl. 38 f. der erstinstanzlichen Akte).

6

              Mit seiner am 26.03.2024 bei Gericht eingegangenen Klage begehrt der Kläger Schadensersatz nach Art. 82 DSGVO. Er ist der Ansicht, die Beklagte habe die Datenschutzauskunft nicht „unverzüglich“ und damit zu spät erteilt. Unverzüglich im Sinne von Art. 12 Abs. 3 DSGVO bedeute ohne das Hinzutreten besonderer Umstände binnen maximal einer Woche. Die Beklagte habe die Auskunft erst am 05.12.2024 vollständig erfüllt.

7

              Der Kläger hat gemeint, er habe einen immateriellen Schaden erlitten, da er temporär seine personenbezogenen Daten nicht kontrollieren konnte. Mehr als einen Kontrollverlust und die Einschränkung seiner Rechte bedürfe es nicht, um einen immateriellen Schadensersatz zu rechtfertigen. Er hat zudem behauptet, er habe aufgrund der verspäteten Datenauskunft ein emotionales Ungemach erfahren.

8

              Aufgrund der Säumnis des Klägers ist im Gütetermin vom 24.05.2024 ein Versäumnisurteil (Bl. 59 ff. der erstinstanzlichen Akte) gegen ihn ergangen, mit dem die Klage abgewiesen wurde.

9

              Nach fristgerecht eingelegtem Einspruch hat der Kläger beantragt,

10

das Versäumnisurteil vom 25.04.2024 aufzuheben und die beklagte Partei zu verurteilen, an ihn eine Geldentschädigung, deren Höhe in das Ermessen des Gerichts gestellt wird, die jedoch den Betrag von 1.500,00 EUR nicht unterschreiten sollte, nebst Verzugszinsen in Höhe von fünf Prozentpinkten über dem Basiszins seit Rechtshängigkeit zu zahlen.

11

              Die Beklagte hat beantragt,

12

das Versäumnisurteil vom 25.04.2024 aufrecht zu erhalten.

13

              Sie hat die Auffassung vertreten, dass sie nicht gegen ihre Auskunftspflicht gem. Art. 15 DSGVO verstoßen hat. Da sie innerhalb ihres Unternehmens zunächst überall dort habe nachfragen müssen, wo personenbezogene Daten verarbeitet würden, habe sie mit der Beantwortung der Anfrage innerhalb von zwei Wochen unverzüglich gehandelt. Sie habe auch nur die Kategorie von Empfängern angeben müssen, so dass ihre Auskunft nicht unvollständig gewesen sei. Dem Kläger sei aufgrund seiner Bewerbung über das Bewerberportal dieses als Datenempfänger bereits bekannt gewesen. Die zweite Datenempfängerin sei die interne Konzern-IT, die in einer eigenen Gesellschaft verankert sei.

14

              Zudem sei Art. 82 DSGVO bei der Verletzung des Auskunftsanspruchs aus Art. 15 DSGVO nicht einschlägig, da es sich hierbei nicht um eine Datenverarbeitung handle.

15

              Letztlich habe der Kläger auch keinen Schaden in Form des behaupteten Kontrollverlusts erlitten. Emotionales Ungemach habe er nicht konkret dargelegt.

16

              Das Arbeitsgericht hat mit Urteil vom 02.07.2024 das klageabweisende Versäumnisurteil vom 24.05.2024 aufrechterhalten, weil kein Schaden des Klägers feststellbar sei, der aus den vorgeworfenen Verstößen resultiere.

17

              Gegen das dem Kläger am 20.07.2024 zugestellte Urteil richtet sich dessen am 24.07.2024 eingegangene Berufung, die er am 14.10.2023 innerhalb der bis zum 18.10.2024 verlängerten Begründungsfrist unter Wiederholung und Vertiefung seines erstinstanzlichen Vortrags im Wesentlichen wie folgt begründet:

18

              Die Auskunft der Beklagten vom 29.08.2024 sei hinsichtlich der Datenempfänger unvollständig gewesen, da kein Wahlrecht bestehe, ob der Verarbeiter nur die Kategorie oder den konkreten Empfänger der Daten benennt, soweit ihm die konkrete Benennung möglich sei.

19

              Der Kläger ist der Auffassung, dass er aufgrund der unvollständigen Auskunft einen Kontrollverlust und damit einen Schaden erlitten habe. Ausweislich des Erwägungsgrunds 85 S. 1 DSGVO werde der Verlust der Kontrolle über die personenbezogenen Daten beispielhaft als möglicher Schaden genannt. Das Auskunftsrecht nach Art. 15 DSGVO sei die zentrale Voraussetzung, um die eigenen Daten überhaupt kontrollieren und weitere Rechte sinnvoll prüfen und ausüben zu können. Er habe zwar gewusst, welche seiner personenbezogenen Daten er der Beklagten im Rahmen der Bewerbung zur Verfügung gestellt hat. Was die Beklagte dann aber mit seinen Daten gemacht habe und ob sie etwaige weitere Daten zu seiner Person aus anderen Quellen – beispielsweise aus dem Internet – erhoben und zur Auswahlentscheidung herangezogen habe, könne er als außenstehende Person gerade nicht wissen. Zur Schaffung dieses Wissensfundaments sei das Auskunftsrecht aus Art. 15 DSGVO unerlässlich.

20

              Über diesen Schaden des Kontrollverlustes hinaus habe der Kläger einen weiteren Folgeschaden in Gestalt einer emotionalen Belastung erfahren, da er ein aufwendiges Gerichtsverfahren zur Durchsetzung seines Anspruchs anstrengen musste. Zudem nerve ihn das einsichtslose Verhalten der Beklagten und der Umstand, dass die Beklagte nicht über eine geeignete Datenschutz-Compliance verfüge. Durch den Vorwurf des Rechtsmissbrauchs fühle er sich persönlich angegriffen.

21

              Der Kläger beantragt,

22

das Urteil des Arbeitsgerichts Aachen vom 02.07.2024 – 2 Ca 984/24 – abzuändern und das Versäumnisurteil vom 24.05.2024 – 2 Ca 984/24 – aufzuheben und die Beklagte zu verurteilen, an ihn einen Schadenersatz für immaterielle Schäden, dessen Höhe in das Ermessen des Gerichts gestellt wird, einen Betrag in Höhe von 1.500,00 EUR aber nicht unterschreiten sollte, nebst Verzugszinsen in Höhe von fünf Prozentpunkten über dem jeweiligen Basiszinssatz seit Rechtshängigkeit zu zahlen.

23

              Die Beklagte beantragt,

24

die Berufung zurückzuweisen.

25

              Sie verteidigt das erstinstanzliche Urteil. Neben einer fehlenden Verletzung der Auskunftspflicht mangele es dem Kläger auch an einem Schaden. Da der Kläger bei Eingabe seiner Daten in das Bewerbungsportal der Beklagten informiert worden sei, dass die Daten durch Dienstleister verarbeitet würden, habe er keinen Kontrollverlust erlitten. Aufgrund der Löschpflicht nach sechs Monaten habe der Kläger nicht befürchten müssen, dass seine Daten in Zukunft weiterverarbeitet oder in irgendeiner Form rechtsmissbräuchlich an Dritte weitergeleitet werden.

26

              Wegen des weiteren Sach- und Streitstands wird auf die zwischen den Parteien gewechselten Schriftsätze nebst Anlagen sowie die Sitzungsniederschriften Bezug genommen.

27

E n t s c h e i d u n g s g r ü n d e :

28

I.               Die Berufung der Beklagten ist zulässig, weil sie statthaft (§ 64 Abs. 1 und 2 ArbGG) und frist- sowie formgerecht eingelegt und begründet worden ist (§§ 66 Abs. 1, 64 Abs. 6 Satz 1 ArbGG, 519, 520 ZPO).

29

II.               Die Berufung ist nicht begründet.

30

              Das Arbeitsgericht hat zurecht das die Klage abweisende Versäumnisurteil vom 24.05.2024 aufrechterhalten.

31

              Denn der Kläger hat keinen Anspruch auf Zahlung eines Schadensersatzes aus Art. 82 Abs. 1 DSGVO.

32

1.               Hierbei kann, wie es das Arbeitsgericht richtig angenommen hat, dahinstehen, ob eine Verletzung des Auskunftsanspruchs aus Art. 15 Abs. 1 und Abs. 3 DSGVO überhaupt einen Anspruch aus Art. 82 Abs. 1 DSGVO zu begründen vermag und ob die Beklagte ihre Pflichten aus Art. 15 DSGVO verletzt hat, als sie die Anfrage des Klägers erst nach zwei Wochen beantwortet hat und die Namen der als Dienstleister tätig gewordenen Datenempfänger erst auf Nachfrage des Klägers am 05.12.2023 mitteilte.

33

2.               Denn auch wenn man zugunsten des Klägers eine Pflichtverletzung der Beklagten unterstellt, fehlt es an der für die Geltendmachung eines Schadensersatzanspruchs notwendigen Darlegung eines Schadens i.S.v. Art. 82 Abs. 1 DSGVO.

34

a)               Aus dem Wortlaut des Art. 82 Abs. 1 DSGVO geht klar hervor, dass das Vorliegen eines „Schadens “ eine der Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadenersatzanspruch darstellt, ebenso wie das Vorliegen eines Verstoßes gegen die Datenschutz-Grundverordnung und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind (EuGH 25.01.2024 - C-687/21 - [MediaMarktSaturn] Rn. 58; 14. Dezember 2023 - C-340/21 - [Natsionalna agentsia za prihodite] Rn. 77; 04.05.2023 - C-300/21 - [Österreichische Post] Rn. 32; BAG 20.06.2024 – 8 AZR 91/22-, Rn. 12, juris).

35

              Hinsichtlich der Darlegungs- und Beweislast hat der Gerichtshof der Europäischen Union klargestellt, dass die Person, die auf der Grundlage von Art. 82 Abs. 1 DSGVO den Ersatz eines immateriellen Schadens verlangt, nicht nur den Verstoß gegen Bestimmungen dieser Verordnung nachweisen muss, sondern auch, dass ihr durch diesen Verstoß ein solcher Schaden entstanden ist (EuGH 11.04.2024 - C-741/21 - [juris] Rn. 35; 25.01.2024 - C-687/21 - [MediaMarktSaturn] Rn. 60 f.). Da der 85. Erwägungsgrund der Datenschutz-Grundverordnung ausdrücklich den „Verlust der Kontrolle“ zu den Schäden zählt, die durch eine Verletzung des Schutzes personenbezogener Daten verursacht werden können, hat der Gerichtshof entschieden, dass der - selbst kurzzeitige - Verlust der Kontrolle über solche Daten einen „immateriellen Schaden “ iSv. Art. 82 Abs. 1 DSGVO darstellen kann, der einen Schadenersatzanspruch begründet, sofern die betroffene Person den Nachweis erbringt, dass sie tatsächlich einen solchen Schaden - so geringfügig er auch sein mag - erlitten hat (EuGH 11.04.2024 - C-741/21 - [juris] Rn. 42; 25.01.2024 - C-687/21 - [MediaMarktSaturn] Rn. 66). Dabei kann die durch einen Verstoß gegen die Datenschutz-Grundverordnung ausgelöste Befürchtung einer betroffenen Person, ihre personenbezogenen Daten könnten von Dritten missbräuchlich verwendet werden, für sich genommen einen „immateriellen Schaden “ iSv. Art. 82 Abs. 1 DSGVO darstellen (EuGH 25.01.2024 - C-687/21 - [MediaMarktSaturn] Rn. 65; 14.12.2023 - C-340/21 - [Natsionalna agentsia za prihodite] Rn. 79 ff.). Ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten kann jedoch nicht zu einer Entschädigung führen (EuGH 25.01.2024 - C-687/21 - [MediaMarktSaturn] Rn. 68).

36

              Zusätzlich können nach der Rechtsprechung des Gerichtshofs der Europäischen Union negative Gefühle („Befürchtung“) in solchen Konstellationen einen Anspruch auf Ersatz des immateriellen Schadens begründen. Das bloße Berufen auf eine bestimmte Gefühlslage reicht aber nicht aus, denn das Gericht hat, wie dargestellt, zu prüfen, ob das Gefühl unter Berücksichtigung der konkreten Umstände „als begründet angesehen werden kann“ (EuGH 14.12.2023 - C-340/21 - [Natsionalna agentsia za prihodite] Rn. 85).

37

b)               Der Kläger macht geltend, er sei durch die unvollständige Auskunft der Beklagten seit dem 16.08.2024 bis zum 05.12.2024 in Unkenntnis der Namen der Dienstleister gewesen, die seine Daten für die Beklagte verarbeitet haben. Hierdurch habe er einen Kontrollverlust erlitten.

38

              Dem ist nicht zu folgen. Nicht jede verspätete Auskunft gem. Art. 15 DSGVO führt zu einem Kontrollverlust i.S.d. Erwägungsgrunds 85 S. 1 DSGVO, den der Gerichtshof der Europäischen Union als Schaden i.S.d. Art. 82 Abs. 1 DSGVO ansieht.

39

              Entgegen der Auffassung des Klägers kann ein Schaden nicht allein mit der Begründung angenommen werden, durch eine Verletzung des Auskunftsanspruchs aus Art. 15 Abs. 1 DSGVO - so ein Verstoß dagegen einen Anspruch nach Art. 82 Abs. 1 DSGVO dem Grunde nach begründen könnte - trete ein Kontrollverlust ein, weil die Überprüfung verhindert werde, ob personenbezogene Daten rechtmäßig verarbeitet werden. Zwar dient der Auskunftsanspruch des Art. 15 Abs. 1 DSGVO dem Zweck, Betroffenen die Ausübung der Rechte auf Berichtigung, Löschung, Einschränkung der Verarbeitung und Widerspruch gegen die Verarbeitung nach Art. 16 bis 18 und Art. 21 DSGVO zu ermöglichen (vgl. EuGH 04.05.2023 - C-487/21 - [Österreichische Datenschutzbehörde] Rn. 35). Ein derartiger Kontrollverlust geht jedoch mit jeder Verletzung des Auskunftsanspruchs aus Art. 15 Abs. 1 DSGVO zwingend einher. Er ist daher nicht geeignet, einen von der bloßen Verletzung des Art. 15 Abs. 1 DSGVO unterscheidbaren Schaden zu begründen (aA Brandt/Goffart NZA 2024, 240, 242). Die eigenständige Voraussetzung des Schadens würde damit bedeutungslos. Sie wäre stets erfüllt. Dies ist jedoch mit dem Normverständnis des Gerichtshofs von Art. 82 Abs. 1 DSGVO ebenso wenig zu vereinbaren wie mit den Anforderungen des nationalen Prozessrechts, das die substantiierte Darlegung eines Schadens verlangt (BAG Urteil vom 20.06.024 – 8 AZR 91/22-, Rn. 18f, juris; BAG, Urteil vom 17.10.2024 – 8 AZR 215/23 –, Rn. 15, juris; Barrein/Fuhlrott, NZA 2024, 443, 446).

40

              Soweit der Kläger im Hinblick auf einen Verlust der Kontrolle vorträgt, ihm sei die Prüfung verwehrt, ob und wie die Beklagte oder ihre Dienstleister seine personenbezogenen Daten verarbeite, legt er lediglich ein hypothetisches Risiko einer missbräuchlichen Verwendung dar. Ein objektiv erhöhtes Missbrauchsrisiko in Bezug auf die von dem Auskunftsanspruch betroffenen personenbezogenen Daten zeigt der Kläger gerade nicht auf. Anders als bei einem Datenleck verschlechtert sich durch die unterbliebene Auskunft die Sicherheit der Daten nicht unmittelbar. Es hätte in der vorliegenden Fallgestaltung ergänzender Darlegungen des Klägers bedurft, aus welchen Gründen ein mehr als nur hypothetisches Risiko einer missbräuchlichen Verwendung seiner personenbezogenen Daten bestehen soll.

41

              Hier zeigt sich auch der entscheidende Unterschied zu der Rechtsprechung des Gerichtshofs der Europäischen Union, die der Kläger als Beleg für seine Auffassung des Kontrollverlusts als Schaden im Rahmen der Auskunft nach Art. 15 DSGVO heranzieht. In den von dem Gerichtshof zu entscheidendem Fällen wurden personenbezogene Daten der Anspruchsteller jeweils veröffentlicht, d.h. unbefugten Dritten zugänglich gemacht (sei es im Handelsregister wie bei EuGH, Urteil vom 04.10.2024 – C-200/23 –, juris, sei es durch Weitergabe an unbefugte Dritte bei EuGH, Urteil vom 25.01.2024 – C-687/21 –, juris, sei es durch einen Hackerangriff bei EuGH, Urteil vom 14.12.2023 – C-340/21 –, juris). Für diese Fälle bejaht der Gerichtshof der Europäischen Union die Möglichkeit eines Kontrollverlustes als Schaden. Dies ist nachvollziehbar, da durch die unbefugte Veröffentlichung personenbezogener Daten eine nicht bekannte Anzahl von Personen Zugriff auf diese Daten nehmen und diese verarbeiten können, ohne dass es dem Betroffenen aufgrund seiner Unkenntnis der auf seine Daten zugreifenden Personen möglich ist, diese Datenverarbeitung zu kontrollieren oder gar zu unterbinden. In Fällen der Veröffentlichung/Weitergabe an unbefugte Dritte besteht mithin ein objektiv erhöhtes Missbrauchsrisiko und es tritt unmittelbar eine Verschlechterung der Datensicherheit ein. Bei der reinen Verletzung des Auskunftsanspruchs liegt ohne weitere Darlegung hingegen kein erhöhtes und damit zu einem Kontrollverlust als Schaden i.S.d. Art. 82 Abs. 1 DSGVO führendes Risiko vor.

42

c)               Mit dem von dem Kläger behaupteten emotionalen Ungemach hat er keinen konkreten Schaden dargelegt.

43

              Auch dann, wenn ein Kontrollverlust nicht nachgewiesen werden kann, reicht die begründete Befürchtung einer Person, dass ihre personenbezogenen Daten aufgrund eines Verstoßes gegen die Verordnung von Dritten missbräuchlich verwendet werden, aus, um einen Schadensersatzanspruch zu begründen (EuGH, Urteil vom 25.01.2024 - C-687/21, Rn. 67 – MediaMarktSaturn; juris; BGH, Urteil vom 18.11.2024 – VI ZR 10/24 –, Rn. 32, juris). Demgegenüber genügt die bloße Behauptung einer Befürchtung ohne nachgewiesene negative Folgen ebenso wenig wie ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten (vgl. EuGH, Urteile vom 20.06.2024 - C-590/22, DB 2024, 1676 Rn. 35 - PS GbR; vom 25.01.2024 - C-687/21, CR 2024, 160 Rn. 68 – MediaMarktSaturn; BGH, Urteil vom 18.11.2024 – VI ZR 10/24 –, Rn. 32, juris).

44

              Soweit sich aus dem Vortrag des Klägers - andeutungsweise - negative Gefühle in Form einer Befürchtung der missbräuchlichen Datenverwendung ergeben, können diese unter den gegebenen Umständen nicht als begründet angesehen werden. Das bloße Berufen auf Befürchtungen dieser Art reicht nicht aus. Um zu prüfen, ob das Gefühl als begründet angesehen werden kann, ist ein objektiver Maßstab anzulegen. Dabei ist insbesondere das objektive Risiko eines Missbrauchs in den Blick zu nehmen, zu dem es vorliegend an ausreichenden Darlegungen fehlt.

45

              Das Gleiche gilt im Hinblick auf das Genervtsein des Klägers von der fehlenden Einsicht der Beklagten in Bezug auf seinen Schadensersatzanspruch und dem Aufwand für das Betreiben des vorliegenden Gerichtsverfahrens.

46

              Zudem dürfte dieses Gefühl einem Schadensersatzverfahren gem. Art. 82 Abs. 1 DSGVO immanent sein. Wäre das Berufen auf ein Genervtsein, weil der Anspruchsgegner den Anspruch nicht anerkennt, für die Darlegung eines Schadens ausreichend, würde damit die eigenständige Voraussetzung des Schadens wiederum bedeutungslos. Sie wäre stets erfüllt. Dies ist, wie bereits unter II 2 b) ausgeführt, abzulehnen.

47

III.               Die Kostenentscheidung folgt aus den §§ 91 Abs. 1, 97 Abs. 1 ZPO. Gründe für eine Revisionszulassung sind nicht gegeben, da die Entscheidung auf den Umständen des vorliegenden Einzelfalls beruht und nicht von der Rechtsprechung des Bundesarbeitsgerichts abweicht.