Zuletzt aktualisiert am 1. Juni 2026

Im Mai 2021 verurteilte das Landesarbeitsgericht Hamm einen Arbeitgeber dazu, einer gekündigten Mitarbeiterin ein Schmerzensgeld in Höhe von 1.000 Euro zu zahlen, weil sie ihr Auskunftsrecht nach Art. 15 DSGVO durch den Arbeitgeber verletzt wurde.

Was hier vorgefallen ist und was zu beachten ist, um solche Vorfälle zu vermeiden, finden Sie hier.

Was ist passiert?

Einer Arbeitnehmerin wurde gekündigt. Daraufhin reichte sie nicht nur eine Kündigungsschutzklage ein, sondern machte auch geltend, dass ihr Arbeitgeber verspätet und unvollständig auf ihr Auskunftsersuchen (Art. 15 DSGVO) reagiert habe und ihr deshalb ein Schadensersatzanspruch aus Art. 82 DSGVO zustehe.

Die Arbeitnehmerin hatte beim Arbeitgeber insbesondere Auskunft über die Daten zur Arbeitszeiterfassung angefragt. Diese Daten hatte der Arbeitgeber im Laufe des Arbeitsverhältnisses gespeichert.

Erst sieben Monate nach der Anfrage erhielt die Arbeitnehmerin eine Antwort in Form von Arbeitszeitnachweisen. Allerdings fehlten die datenschutzrechtlich erforderlichen Angaben zum Verarbeitungszweck (Art. 15 I lit. a DSGVO) und der Kategorie der verarbeiteten Daten (Art. 15 I lit. b DSGVO).

Was sagt das Gericht dazu?

In erster Instanz hielt das Arbeitsgericht Herne die Klage noch für unbegründet. Das Gericht nahm zwar einen Verstoß gegen Art. 12 III und IV DSGVO an, sah darin aber noch keine Begründung für einen Schadensersatzanspruch der Arbeitnehmerin.

In der Berufung vor dem Landesarbeitsgericht Hamm wendete sich allerdings das Blatt: Der Arbeitnehmerin wurde ein Schadensersatzanspruch in Höhe von 1.000 Euro zugesprochen.

Der Anspruch auf Schadensersatz wurde mit dem Verstoß gegen Art. 12 und 15 DSGVO durch den Arbeitgeber begründet. Weil der Arbeitgeber verspätet und unvollständig geantwortet hatte, entstand der Arbeitnehmerin ein immaterieller Schaden, der über Art. 82 I DSGVO zu ersetzen sei. Die DSGVO macht nach Ansicht des Gerichtes bei einem Schadensersatzanspruch gerade keinen Unterschied zwischen „qualifizierten Verstößen“ und „Bagatellfällen“, sodass jeder Verstoß zu einer Schadensersatzpflicht führen könne.

Die Höhe des Schadensersatzanspruchs wurde durch das Gericht festgelegt. Dieses berücksichtigte dabei die in Art. 83 II DSGVO aufgelisteten Kriterien für die Verhängung von Bußgeldern durch Aufsichtsbehörden.

Zulasten der Arbeitnehmerin bemerkte das Gericht aber auch, dass sie ihr Auskunftsbegehren nicht dringlicher verfolgte und der Grad der persönlichen Betroffenheit noch ziemlich gering sei. Ansonsten hätte die Anspruchshöhe höher ausfallen können.

Folgen für die Praxis

In der Entwicklung der Rechtsprechung der Arbeitsgerichte lässt sich ein deutlicher Trend hin zu Entschädigungen wegen Verletzungen von Datenschutzrecht im Zusammenhang mit Kündigungsschutzklagen erkennen. In der ordentlichen Gerichtsbarkeit gibt es diesen Trend dagegen (noch) nicht.

Der Art. 82 DSGVO wird von Gericht zu Gericht noch sehr unterschiedlich ausgelegt. Dies wird auch so bleiben, bis es eine höchstrichterliche Rechtsprechung dazu gibt. Damit ist in nächster Zeit aber nicht zu rechnen.

In der Praxis ist man nichtsdestotrotz dazu angehalten, funktionale Organisationsprozesse aufzubauen, um solche Vorfälle gänzlich zu vermeiden. Auch die datenschutzrechtliche Schulung der eigenen Mitarbeiter spielt bei der Vorbeugung eine große Rolle. Um diese beiden Faktoren optimal auszubilden, empfiehlt sich professionelle Beratung.

Art. 15 DSGVO: Das Auskunftsrecht im Detail

Das Auskunftsrecht nach Art. 15 DSGVO gehört zu den zentralen Betroffenenrechten der Datenschutz-Grundverordnung. Es gibt jeder Person das Recht zu erfahren, ob und welche personenbezogenen Daten über sie verarbeitet werden. Der Verantwortliche muss auf ein Auskunftsersuchen umfassend Auskunft erteilen über die Verarbeitungszwecke, die Kategorien der verarbeiteten Daten, die Empfänger oder Kategorien von Empfängern, die geplante Speicherdauer, das Bestehen eines Rechts auf Berichtigung oder Löschung sowie das Beschwerderecht bei einer Aufsichtsbehörde.

Nach Art. 12 Abs. 3 DSGVO muss der Verantwortliche die Auskunft unverzüglich, spätestens jedoch innerhalb eines Monats nach Eingang des Antrags erteilen. Diese Frist kann in begründeten Fällen um weitere zwei Monate verlängert werden, wobei der Betroffene innerhalb des ersten Monats über die Verlängerung und deren Gründe informiert werden muss.

Häufige Fehler bei der Bearbeitung von Auskunftsersuchen

In der Praxis zeigt sich, dass viele Unternehmen bei der Bearbeitung von Auskunftsersuchen Fehler machen. Ein häufiger Fehler ist die verspätete Antwort, wie im vorliegenden Fall, in dem der Arbeitgeber erst nach sieben Monaten reagierte. Weitere typische Fehler sind unvollständige Auskünfte, bei denen nicht alle verarbeiteten Datenkategorien oder Verarbeitungszwecke genannt werden, die fehlende Information über die Rechte des Betroffenen, die Nichtbeachtung des richtigen Formats der Auskunft sowie die irrtümliche Ablehnung des Auskunftsersuchens.

Besonders im Arbeitsverhältnis werden Auskunftsersuchen häufig als lästig empfunden oder nicht ernst genommen. Arbeitgeber unterschätzen dabei die rechtlichen Konsequenzen einer mangelhaften Bearbeitung. Die Erstellung eines standardisierten Prozesses für die Bearbeitung von Auskunftsersuchen kann helfen, solche Fehler zu vermeiden.

Entwicklung der Rechtsprechung zu Art. 82 DSGVO

Die Frage, wann ein Verstoß gegen die DSGVO zu einem Schadensersatzanspruch nach Art. 82 DSGVO führt, beschäftigt die Gerichte intensiv. Der Europäische Gerichtshof hat in mehreren Entscheidungen klargestellt, dass nicht jeder Verstoß gegen die DSGVO automatisch einen Schadensersatzanspruch begründet. Vielmehr muss der Betroffene einen konkreten Schaden nachweisen, der kausal auf den Verstoß zurückzuführen ist.

Allerdings hat der EuGH auch bestätigt, dass der Schadensbegriff weit auszulegen ist und auch immaterielle Schäden umfasst. Der Kontrollverlust über die eigenen Daten, die Sorge vor Datenmissbrauch oder das Gefühl der Ohnmacht bei verweigerter Auskunft können einen ersatzfähigen immateriellen Schaden begründen. Entscheidend ist, dass der Betroffene den Schaden konkret darlegen kann.

Schadensersatzhöhe in der Praxis

Die von deutschen Gerichten zugesprochenen Schadensersatzbeträge bei DSGVO-Verstößen variieren erheblich. Bei Verstößen gegen das Auskunftsrecht werden typischerweise Beträge zwischen 500 und 5.000 Euro zugesprochen. In besonders schweren Fällen, etwa bei vorsätzlicher Verweigerung der Auskunft oder bei Verstößen mit schwerwiegenden Folgen für den Betroffenen, können die Beträge auch höher ausfallen.

Für Unternehmen, die zahlreiche personenbezogene Daten verarbeiten, kann das Schadensersatzrisiko bei systematischen Verstößen gegen das Auskunftsrecht erheblich werden. Wenn beispielsweise ein Unternehmen grundsätzlich nicht in der Lage ist, Auskunftsersuchen fristgerecht zu bearbeiten, und dies viele Betroffene betrifft, kann sich die Gesamtsumme der Schadensersatzansprüche schnell aufsummieren.

Handlungsempfehlungen für Arbeitgeber

Um Schadensersatzansprüche wegen verletzter Auskunftsrechte zu vermeiden, sollten Arbeitgeber mehrere Maßnahmen ergreifen. Zunächst ist ein klarer interner Prozess für die Bearbeitung von Auskunftsersuchen zu etablieren. Dieser sollte Fristen, Zuständigkeiten und Eskalationswege definieren. Eingegangene Auskunftsersuchen sollten dokumentiert und mit einem Bearbeitungsdatum versehen werden.

Außerdem müssen Arbeitgeber jederzeit in der Lage sein, eine vollständige Übersicht über die verarbeiteten personenbezogenen Daten eines Mitarbeiters zu erstellen. Dies setzt voraus, dass alle Verarbeitungstätigkeiten im Verzeichnis der Verarbeitungstätigkeiten dokumentiert sind und die Daten in den jeweiligen Systemen auffindbar sind.

Regelmäßige Datenschutz-Schulungen für Personalverantwortliche und Führungskräfte sind ein weiterer wichtiger Baustein. Nur wer die Bedeutung und die Konsequenzen von Betroffenenrechten kennt, wird Auskunftsersuchen mit der gebotenen Sorgfalt und Dringlichkeit bearbeiten.

Auskunftsrecht im internationalen Kontext

Das Auskunftsrecht ist nicht nur in der DSGVO verankert, sondern findet sich in ähnlicher Form auch in anderen Datenschutzgesetzen weltweit. Der California Consumer Privacy Act (CCPA) in den USA, der brasilianische Lei Geral de Proteção de Dados (LGPD) und das britische Data Protection Act 2018 enthalten vergleichbare Regelungen. Für international tätige Unternehmen bedeutet dies, dass sie Auskunftsersuchen nach verschiedenen Rechtsordnungen bearbeiten können müssen.

Die Anforderungen unterscheiden sich im Detail, etwa hinsichtlich der Fristen, des Umfangs der zu erteilenden Auskunft und der Kosten, die dem Betroffenen in Rechnung gestellt werden können. Während die DSGVO die erste Kopie grundsätzlich kostenlos vorsieht, können andere Rechtsordnungen abweichende Regelungen vorsehen. Ein strukturiertes Auskunftsmanagement, das die Anforderungen verschiedener Rechtsordnungen berücksichtigt, ist daher für international agierende Unternehmen unerlässlich.

Der vorliegende Fall des Landesarbeitsgerichts Hamm unterstreicht, dass die deutschen Gerichte DSGVO-Verstöße zunehmend ernst nehmen und betroffenen Personen effektiven Rechtsschutz gewähren. Unternehmen sollten dies als Anlass nehmen, ihre internen Prozesse zur Bearbeitung von Betroffenenanfragen zu überprüfen und gegebenenfalls mit Unterstützung eines externen Datenschutzbeauftragten zu optimieren.

Dokumentationspflichten und Nachweisbarkeit

Der Fall des Landesarbeitsgerichts Hamm verdeutlicht auch die Bedeutung einer lückenlosen Dokumentation im Datenschutz. Arbeitgeber sollten den Eingang und die Bearbeitung jedes Auskunftsersuchens sorgfältig dokumentieren, um im Streitfall nachweisen zu können, dass sie fristgerecht und vollständig geantwortet haben. Die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO verlangt, dass der Verantwortliche die Einhaltung der datenschutzrechtlichen Grundsätze nachweisen kann. Ohne entsprechende Dokumentation trägt der Verantwortliche die Beweislast und riskiert, im Gerichtsverfahren zu unterliegen, selbst wenn er tatsächlich ordnungsgemäß gehandelt hat.