Schadensersatzforderungen des Arbeitnehmers wegen eines angeblichen Datenschutzverstoßes des Arbeitgebers sind ein beliebtes Instrument, um im Arbeitsgerichtsprozess Druck auf den Arbeitgeber auszuüben. Häufig wird jedoch übersehen, dass der Arbeitnehmer nicht nur den Datenschutzverstoß darlegen, sondern auch beweisen muss, hierdurch einen konkreten Schaden erlitten zu haben. Demgegenüber muss der Arbeitgeber beweisen, dass ihn kein Verschulden trifft, um der Schadensersatzforderung entgegenzutreten.
Nach allgemeinen prozessualen Grundsätzen obliegt es demjenigen, welcher sich eines Anspruchs berühmt, die Anspruchsvoraussetzungen darzulegen und im Bestreitensfalls zu beweisen. Nur ausnahmsweise kommt eine Beweislastumkehr in Betracht und muss der Anspruchsgegner das Nichtvorliegen der Anspruchsvoraussetzungen beweisen. Eine Beweislastumkehr kommt hingegen dann in Betracht, wenn es um Umstände geht, die in der Sphäre des Anspruchsgegners liegen und die daher für den Anspruchsteller schwer zu beweisen sind. Diese allgemeinen Grundsätze gelten auch für einen Schadensersatzanspruch nach der DSGVO.
Schaden
Voraussetzung für einen Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO ist zunächst, dass ein Verstoß gegen die DSGVO kausal zu einem Schaden geführt hat. Bereits in seinem Urteil vom 4. Mai 2023 (Az: C-300/21 – siehe auch Blogbeitrag vom 22. Mai 2023) hat der EuGH hervorgehoben, dass die von einem Datenschutzverstoß betroffene Person das Vorliegen eines kausalen Schadens belegen muss. Hat die betroffene Person einen materiellen Schaden erlitten, wird der Nachweis regelmäßig keine besonderen Schwierigkeiten bereiten. Anders hingegen bei einem immateriellen Schaden: Hier stellt sich die Frage, welche Umstände einen immateriellen Schaden darstellen können.
Der EuGH hat wiederholt klargestellt, dass der Begriff des immateriellen Schadens autonom und unionsrechtlich einheitlich definiert werden muss, ohne allerdings eine konkrete Definition zur Verfügung zu stellen (vgl. EuGH Urt. v. 14.12.2023 – C-340/21; 25.1.2024 – C-687/21). Eine Diskriminierung, ein Identitätsdiebstahl oder eine Rufschädigung können beispielsweise einen ersatzfähigen immateriellen Schaden darstellen. Auch der Verlust der Kontrolle über die personenbezogenen Daten fällt unter die immateriellen Schäden. Daraus folgert der EuGH, dass auch bereits die Befürchtung eines Kontrollverlustes oder einer missbräuchlichen Verwendung der personenbezogenen Daten einen Schaden darstellen kann, aber nicht in jedem Einzelfall darstellen muss (Urt. v. 14.12.2023 – C-340/21).
Diese Rechtsprechung dürfte dahingehen zu interpretieren sein, dass die betroffene Person, welche sich auf die bloße Befürchtung eines Kontrollverlustes oder einer missbräuchlichen Verwendung berufen will, konkrete objektive Anknüpfungspunkte für ihre Befürchtung darlegen muss, z.B. dass die Daten tatsächlich in die Hände Dritter geraten sind und dort auch ausreichend lange verblieben sind. Die einfache Behauptung der Befürchtung reicht nicht aus.
Verschulden
Weitere Voraussetzung für einen Schadensersatzanspruch ist nach Art. 82 Abs. 3 DSGVO, dass der für die Datenverarbeitung Verantwortliche den schadensauslösenden Datenschutzverstoß zu vertreten hat. Dabei wird die Beweislast umgekehrt. Mithin muss der Verantwortliche nachweisen, in keiner Weise für den Vorgang verantwortlich zu sein (vgl. EuGH Urt. v. 11. April 2024 – C-741/21). Im Ergebnis muss daher der Verantwortliche beweisen, datenschutzkonform gehandelt zu haben.
Dabei muss der Arbeitgeber grundsätzlich auch für ein weisungswidriges Verhalten seiner Arbeitnehmer einstehen (EuGH Urt. v. 11. April 2024 – C-741/21). Allein der Umstand, dass der Schaden durch einen unbefugten Zugriff auf die personenbezogenen Daten – z.B. durch einen Hackerangriff – ausgelöst worden ist, vermag den Arbeitgeber nicht zu entschuldigen (EuGH Urt. v. 14. Dezember 2023 – C-340/21). Der EuGH deutet jedoch an, dass sich Verantwortliche durch die Umsetzung von geeigneten und angemessenen technischen und organisatorischen Maßnahmen („TOM“) exkulpieren können. Ob die TOM mit Blick auf die verarbeiteten personenbezogenen Daten und das Risiko geeignet waren, unterliegt der gerichtlichen Kontrolle, wobei dem Verantwortlichen hierbei ein gewisser Entscheidungsspielraum zugestanden wird.
Praxishinweise
Arbeitgeber sollten sich durch Schadensersatzforderungen wegen angeblicher Datenschutzverstöße nicht über Gebühr unter Druck setzen lassen. Sie sollten stattdessen zunächst den Sachverhalt im Detail überprüfen. Insbesondere wenn ein immaterieller Schaden im Raume steht, sollte geklärt werden, ob der Arbeitnehmer hierfür konkrete objektive Anknüpfungspunkte benennt oder sich – wie nicht selten – auf die pauschale Behauptung beschränkt, einen immateriellen Schaden erlitten zu haben. Insbesondere wenn der Schaden in einem Kontrollverlust oder der Befürchtung des Missbrauchs bestehen soll, lohnt sich eine detaillierte Prüfung. Die beste Verteidigung gegen eine Schadensersatzforderung ist jedoch eine gute Vorbereitung: So sollten Arbeitgeber die Einhaltung der Vorschriften der DSGVO detailliert dokumentieren. Das gilt im Besonderen für die Eignung der implementierten TOM und deren Umsetzung.