Schadensersatz für gelöschte Bewerbungsunterlagen?

Hintergrund: Auskunftsanspruch und immaterieller Schadenersatz

Arbeitnehmer (und auch Bewerber) haben nach Art. 15 DSGVO ein Recht auf Auskunft über die Verarbeitung ihrer personenbezogenen Daten durch den Arbeitgeber. Wird dieses Auskunftsrecht verletzt – etwa weil der Arbeitgeber gar nicht oder nur unvollständig antwortet – stellt sich die Frage, ob dem Betroffenen ein immaterieller Schadenersatz nach Art. 82 DSGVO zusteht. Art. 82 DSGVO erlaubt Ersatz ideeller Schäden (also z.B. nicht-materielle Beeinträchtigungen wie Ärger, Kontrollverlust, emotionaler Stress) bei Verstößen gegen die DSGVO. In den letzten Jahren haben zahlreiche Arbeitnehmer von diesem Recht Gebrauch gemacht und teils Schadenersatzklagen angestrengt, wenn Auskunftsersuchen verzögert oder unzureichend beantwortet wurden. Die Gerichte mussten daher klären, unter welchen Voraussetzungen ein solcher DSGVO-Schadenersatzanspruch besteht – insbesondere, ob schon jeder Verstoß automatisch Schadensersatz auslöst oder ob ein konkreter Nachteil nachgewiesen werden muss.

Der Europäische Gerichtshof (EuGH) hat inzwischen Leitlinien vorgegeben: Es gibt keine Erheblichkeitsschwelle – selbst geringfügige Beeinträchtigungen können als Schaden zählen. Allerdings muss tatsächlich ein Schaden aufgetreten sein; ein bloßer DSGVO-Verstoß alleine begründet noch keinen Ersatzanspruch. Die betroffene Person trägt die Darlegungs- und Beweislast dafür, dass der Verstoß bei ihr zu einem immateriellen Schaden geführt hat. Insbesondere kann ein Verlust der Kontrolle über eigene Daten oder die Sorge vor Datenmissbrauch einen immateriellen Schaden darstellen – aber nur, wenn diese Befürchtungen unter den konkreten Umständen begründet sind. Ein rein hypothetisches Risiko oder ein diffuses Unwohlsein reicht nicht für einen Entschädigungsanspruch aus. Diese Grundsätze bilden den rechtlichen Rahmen für die Beurteilung von Schadensersatzklagen im Zusammenhang mit Auskunftsverstößen.

Sachverhalt der Verfahren vor dem BAG

Vor diesem Hintergrund gelangten im Jahr 2025 zwei Fälle zum Bundesarbeitsgericht (BAG), in denen Arbeitnehmer Schadensersatz wegen Verletzung des Auskunftsanspruchs forderten. Beide Fälle betrafen abgelehnte Bewerber und ähnelten sich in der Konstellation: Der Kläger hatte sich bei einer Firma beworben und nach einer ausbleibenden oder negativen Reaktion ein DSGVO-Auskunftsersuchen (inklusive Bitte um Übersendung seiner gespeicherten Datenkopien) gestellt. In einem Fall erhielt er zunächst gar keine Antwort; erst nach mehrfacher Nachfrage teilte der Arbeitgeber ihm schließlich mit, man habe alle Bewerbungsunterlagen gelöscht – anstatt die erbetene Auskunft zu erteilen. Im anderen Fall bekam der Bewerber zwar eine erste Antwort mit einem teilweisen Datenauszug, aber wichtige Angaben fehlten (z.B. zu Datenempfängern und Gründen der Absage). Die vollständige Auskunft wurde erst viele Wochen später – nach Klageerhebung – nachgereicht.

Beide Kläger machten daraufhin immateriellen Schadensersatz von mindestens 2.000 € geltend. Sie argumentierten, durch die verspätete bzw. verweigerte Auskunft sei ihnen ein persönlicher Nachteil entstanden: Sie hätten einen temporären Kontrollverlust über ihre Daten erlitten und seien in ihren Betroffenenrechten nach der DSGVO eingeschränkt worden. Zudem hätten sie emotionalen Stress („Ungemach“) erfahren, insbesondere weil sie Zeit und Mühe investieren mussten, um ihre Rechte gerichtlich durchzusetzen. Ein Kläger betonte, der Arbeitgeber habe durch sein Verhalten gezeigt, dass ihm Datenschutz „gleichgültig“ sei, was seine Sorgen weiter verstärkt habe. Im Raum stand sogar der Vorwurf, der Arbeitgeber habe vorsätzlich gegen die DSGVO verstoßen – was ein hohes Bußgeld nach Art. 83 Abs. 5 DSGVO auslösen könne – und eventuell sogar Beweismittel vernichtet (§ 274 StGB), indem er die Bewerberdaten einfach gelöscht hat. Die beklagten Arbeitgeber wiesen die Forderungen zurück und hielten die Klagen für unbegründet. Ihrer Auffassung nach fehlte es an einem konkreten Schaden: Die Bewerber hätten lediglich „abstrakte“ Befürchtungen geäußert, aber keinen tatsächlichen Nachteil erlitten. Zudem warfen die Arbeitgeber den Klägern vor, rechtsmissbräuchlich zu handeln – sie würden sich gewohnheitsmäßig „gewerblich“ bewerben, nur um anschließend Auskunfts- und Schadensersatzansprüche zu stellen.

Entscheidungen der Vorinstanzen

Arbeitsgericht Düsseldorf: In beiden Fällen wiesen die erstinstanzlichen Arbeitsgerichte die Klagen ab. Das Arbeitsgericht Düsseldorf stellte klar, dass nicht jeder DSGVO-Verstoß automatisch zu Schadensersatz führt. Der Kläger müsse vielmehr konkret darlegen, welchen immateriellen Schaden er durch die ausgebliebene bzw. verspätete Auskunft erlitten hat. Die bloße Verletzung der Auskunftspflicht – so ärgerlich sie sein mag – genügt nicht als Schadenersstzgrundlage. Im Urteil wird ausdrücklich darauf hingewiesen, dass der EuGH in aktuellen Entscheidungen (vom 14.12.2023 und 25.01.2024) bekräftigt hat, dass die klagende Person neben dem Verstoß auch einen eingetretenen Schaden nachweisen muss.

Nach Ansicht des Gerichts hatten die Kläger diesen Schadensnachweis nicht erbracht. Allgemeine Aussagen, man habe einen „Kontrollverlust“ erlitten oder sei „genervt“ gewesen, wurden als zu pauschal und substanzlos bewertet. Das Arbeitsgericht argumentierte, ein abstrakter Kontrollverlust stelle keinen konkreten immateriellen Schaden dar, solange nicht dargelegt werde, wann und wie sich dieser Kontrollverlust tatsächlich ausgewirkt habe. Andernfalls, so das Gericht, würde ein Verstoß gegen Art. 15 DSGVO schärfer sanktioniert als manch schwerwiegenderer Datenschutzverstoß. Ähnlich wurde das angegebene Gefühl des „Genervtseins“ beurteilt: Auch hierfür fehlte jede Konkretisierung hinsichtlich Intensität, Dauer oder Auswirkungen auf das Wohlbefinden. Ohne greifbare Anhaltspunkte für eine echte Beeinträchtigung – etwa eine begründete Angst vor Missbrauch der Daten oder eine nachweisbare psychische Belastung – verneinte das Gericht einen ersatzfähigen Schaden. Kurz gesagt: Ein diffuses Unbehagen oder Ärger allein genügt nicht.

Landesarbeitsgericht Düsseldorf: Die Kläger legten Berufung ein – doch auch in der zweiten Instanz blieb ihnen der Erfolg versagt. Das Landesarbeitsgericht (LAG) Düsseldorf bestätigte die Urteile der Arbeitsgerichte und untermauerte sie mit grundsätzlichen Erwägungen. In den Leitsätzen der LAG-Entscheidungen heißt es: „Die Sorge vor einem Datenmissbrauch kann einen immateriellen Schaden i.S.v. Art. 82 Abs. 1 DSGVO darstellen. Die bloße Äußerung entsprechender Befürchtungen reicht jedoch für die Darlegung eines Schadens nicht aus.“. Mit anderen Worten: Theoretisch kann ein glaubhaftes Gefühl der Unsicherheit oder Besorgnis wegen Datenschutzverstößen einen Schadensersatz rechtfertigen – aber einfach nur zu behaupten, man habe sich Sorgen gemacht, erfüllt nicht die Anforderungen.

Das LAG stützte sich bei seiner Entscheidung maßgeblich auf die jüngste Rechtsprechung des Europäischen Gerichtshofs und des Bundesarbeitsgerichts selbst. So hatte der 8. Senat des BAG bereits am 20.06.2024 in ähnlichen Fällen ausgeführt, dass der EuGH die Kriterien klar gezogen hat: Für einen DSGVO-Schadensersatzanspruch müssen kumulativ ein Verstoß, ein Schaden und Kausalität vorliegen. Der Schadenersatz soll keine Straf- oder Sanktionsfunktion erfüllen, sondern den tatsächlich erlittenen Schaden ausgleichen. Negative Gefühle wie Ärger, Frust, Unzufriedenheit oder Angst können zwar einen Schaden darstellen – aber nur, wenn sie unter Berücksichtigung der Umstände als berechtigt erscheinen. Ein rein hypothetisches Unbehagen, ohne objektiven Anlass, genügt nicht. Genau daran scheiterte es hier aus Sicht des LAG: Die Kläger konnten keinen konkreten Anlass aufzeigen, warum ein Missbrauch ihrer Daten ernsthaft zu befürchten stand, oder inwiefern die verzögerte Auskunft sie persönlich beeinträchtigt hat. Das LAG betonte, es reiche nicht, sich einfach auf ein Gefühl des Kontrollverlusts zu berufen – das Gericht müsse prüfen können, ob diese Empfindung nachvollziehbar und begründet ist. Weil es an solchen greifbaren Anhaltspunkten fehlte, wies das LAG die Berufungen zurück. Allerdings ließ es in beiden Fällen die Revision zum BAG zu – ein klares Zeichen, dass man die grundsätzliche Bedeutung der Rechtsfrage erkannte.

Beschluss des BAG vom 24.06.2025: Aussetzung des Verfahrens

Die zugelassenen Revisionen wurden vom Bundesarbeitsgericht aufgegriffen (Az. 8 AZR 308/24 und 8 AZR 4/25). Für den 26. Juni 2025 waren bereits mündliche Verhandlungen in Erfurt anberaumt. Doch überraschend hob der Achte Senat des BAG die Termine kurz zuvor auf und traf stattdessen am 24.06.2025 einen Beschluss zur Verfahrensaussetzung. Hintergrund ist, dass der Bundesgerichtshof (BGH) – der oberste Zivilgerichtshof – in einem parallelen Verfahren die gleiche Kernfrage dem Europäischen Gerichtshof vorgelegt hat. Der BAG-Senat entschied, die eigenen Verfahren so lange ruhen zu lassen, bis der EuGH die vom BGH gestellten Fragen beantwortet.

Konkret hatte der BGH mit Beschluss vom 6. Mai 2025 (Az. VI ZR 53/23) ein Vorabentscheidungsersuchen an den EuGH gerichtet. Darin geht es ebenfalls um Schadensersatz wegen verspäteter bzw. verweigerter Datenauskunft – allerdings in einem etwas anderem Kontext (Datenverarbeitung durch ein Gericht in einem Bußgeldverfahren). Gleichwohl sind die Rechtsfragen übertragbar. Der BGH bittet den EuGH um Klärung, ob und unter welchen Voraussetzungen die DSGVO einen immateriellen Schadensersatzanspruch für verspätete oder unvollständige Auskunft einräumt. Insbesondere soll der EuGH beantworten, ob schon die Ungewissheit des Betroffenen über die Datenverarbeitung und die dadurch vereitelte Möglichkeit, seine Rechte wahrzunehmen, als immaterieller Schaden anzusehen ist. Genau diese Frage – ob also der „Kontrollverlust“ durch Informationsvorenthaltung für sich genommen einen Schaden darstellt – ist in unseren Fällen entscheidend.

Indem das BAG die Revisionen ausgesetzt hat, wartet es die EuGH-Entscheidung ab, statt selbst in der Sache schon endgültig zu urteilen. Dieser Schritt ist sinnvoll, um eine europaweit einheitliche Anwendung der DSGVO zu gewährleisten. Eine abweichende nationale Entscheidung des BAG könnte später durch den EuGH korrigiert werden; daher übt sich das Gericht in Zurückhaltung. Für Arbeitgeber und Arbeitnehmer bedeutet dies zunächst, dass die endgültige Klärung der Rechtsfrage auf europäischer Ebene erfolgt. Sobald der EuGH sein Urteil gefällt hat, wird das BAG die unterbrochenen Verfahren fortführen und auf Basis der EuGH-Vorgaben entscheiden. Bis dahin bleibt der Ausgang offen – die bisherigen Urteile der Instanzgerichte sind zwar ein Indikator, aber ob der EuGH möglicherweise doch eine günstigere Linie für Betroffene zieht, bleibt abzuwarten.

Handlungsempfehlungen für Arbeitgeber

Angesichts der ungeklärten Rechtslage und um langwierige Streitigkeiten zu vermeiden, sollten Arbeitgeber in der Praxis besondere Sorgfalt walten lassen, wenn es um Auskunftsersuchen nach Art. 15 DSGVO geht. Folgende Empfehlungen lassen sich aus den bisherigen Entscheidungen ableiten:

• DSGVO-Anfragen ernst nehmen und fristgerecht beantworten: Stellen Sie sicher, dass eingehende Auskunftsersuchen zügig und vollständig beantwortet werden. Die DSGVO sieht grundsätzlich eine Monatsfrist vor. Verzögerungen oder Aussitzen sind riskant – zum einen drohen aufsichtsrechtliche Sanktionen (Bußgelder) für die Verletzung der Auskunftspflicht, zum anderen können Betroffene Schadensersatz fordern. Die Fälle zeigen, dass Gerichte sehr genau prüfen, ob ein Arbeitgeber seinen Pflichten nachgekommen ist oder nicht. Ignorieren Sie ein legitimes Auskunftsersuchen nicht, auch wenn es Ihnen überzogen oder lästig erscheinen mag.
• Inhaltliche Vollständigkeit sicherstellen: Eine bloße Teilauskunft ist nicht ausreichend, wenn der Betroffene ausdrücklich alle Informationen (inkl. Empfänger seiner Daten und Kopien) verlangt. Stellen Sie also alle relevanten Daten bereit, die der Person zustehen. Falls bestimmte Informationen (z.B. interne Vermerke) nicht herausgegeben werden sollen, prüfen Sie juristisch, ob Ausnahmen greifen. Im Zweifel sollte Transparenz vorgehen, um keine Angriffsfläche zu bieten.
• Keine vorschnelle Datenlöschung zur „Problemlösung“: Vermeiden Sie es, Datensätze reflexartig zu löschen, sobald eine Auskunft verlangt wird. Im einen Verfahren reagierte der Arbeitgeber auf die Anfrage damit, dass er die Bewerbungsunterlagen umgehend vernichtete. Offenbar hoffte man, so der Auskunftspflicht zu entgehen – ein fataler Fehler. Diese vorsätzliche Löschung wurde vom Kläger nicht nur als DSGVO-Verstoß, sondern sogar als mögliches strafbares Verhalten gewertet. Für Arbeitgeber besteht zwar grundsätzlich die Pflicht, Bewerbungsdaten nach Abschluss des Verfahrens zu löschen, aber nicht bevor einem berechtigten Auskunftsersuchen nachgekommen wurde! Eine solche Aktion schafft Misstrauen und kann die Situation verschlimmern. Besser: Die Daten zunächst sichern, die Auskunft ordnungsgemäß erteilen und erst anschließend löschen.
• Kommunikation und Fristverlängerung: Wenn die vollständige Beantwortung innerhalb eines Monats nicht möglich ist (z.B. wegen hoher Komplexität), sieht Art. 12 Abs.3 DSGVO die Möglichkeit einer einmaligen Fristverlängerung um zwei Monate vor – jedoch muss der Betroffene über die Verzögerungsgründe informiert werden. Nutzen Sie diese Option transparent, anstatt die Frist einfach zu überschreiten. Eine offene Kommunikation („Wir benötigen aus folgenden Gründen bis zum XX.XX. weitere Zeit“) kann auch dazu beitragen, dass der Betroffene sich ernstgenommen fühlt und vielleicht zunächst von weiteren Schritten absieht.
• Dokumentation und Nachweise: Führen Sie Protokoll darüber, wann und wie Sie Auskunftsanfragen bearbeiten. Sollte es später doch zu einem Verfahren kommen, können Sie so belegen, dass Sie sich bemüht haben, der Pflicht nachzukommen. Heben Sie z.B. Kopien der erteilten Auskünfte und der Korrespondenz auf. Im Prozess könnte dies helfen zu zeigen, dass kein vorsätzlicher oder grob fahrlässiger Verstoß vorlag, was zumindest bei der Bußgeldfrage relevant wäre.
• Abuse-Management: Seien Sie wachsam bei auffälligen Mustern, etwa Bewerbern, die sich augenscheinlich nur bewerben, um anschließend DSGVO-Ansprüche geltend zu machen. Zwar rechtfertigt allein die „lästige“ Rechtsausübung durch einen Betroffenen noch keine Verweigerung der Auskunft – jedes formell korrekte Auskunftsersuchen muss beantwortet werden. Dennoch können Sie im Prozess vortragen, wenn Sie Indizien für einen Rechtsmissbrauch sehen (wie in unseren Fällen die sehr hohe Zahl paralleler Bewerbungen und ungewöhnliche Gehaltsforderungen des Klägers). Einige Gerichte berücksichtigen ein treuwidriges Verhalten durchaus. Aber verlassen sollte man sich darauf nicht – im Zweifel überwiegt die Pflicht zur Datenauskunft. Die beste Strategie bleibt daher: Compliance by Design – also von vornherein DSGVO-konformes Verhalten, das gar keinen Anlass für solche Streitigkeiten bietet.
• Rechtliche Beratung einholen: Komplexe Fälle (z.B. überschneidende Auskunftsansprüche, Betriebsgeheimnisse, oder die Anwendung von Ausnahmeregeln) sollten mit dem Datenschutzbeauftragten und ggf. anwaltlich besprochen werden. Auch im Fall von angedrohten Schadensersatzklagen ist frühzeitiger Rechtsrat ratsam. So kann eventuell eine gütliche Einigung erzielt oder ein Verfahren vermieden werden.

Fazit für Arbeitgeber: Die Entscheidungen zeigen, dass Gerichte momentan zwar keine „automatischen“ Strafzahlungen auferlegen, wenn eine Auskunft zu spät kommt – aber man sollte darauf nicht spekulieren. Jeder Verstoß gegen Art. 15 DSGVO bleibt rechtswidrig und kann ernsthafte Konsequenzen nach sich ziehen. Neben möglichen Schadensersatzklagen drohen insbesondere Maßnahmen der Datenschutzaufsicht, bis hin zu empfindlichen Geldbußen. Arbeitgeber sollten daher die Datenauskunft als wichtiges Compliance-Thema betrachten. Wer transparente und rechtzeitige Antworten liefert, erspart sich nicht nur juristischen Ärger, sondern stärkt auch das Vertrauen der Beschäftigten in den Umgang mit ihren Daten.

Handlungsempfehlungen für Arbeitnehmer

Auch für Arbeitnehmer (und Bewerber) lohnt ein Blick auf die praktische Seite dieser Entscheidungen. Die zentrale Erkenntnis: Man kann bei Verletzungen des Auskunftsrechts Schadensersatz geltend machen, darf aber die Hürden nicht unterschätzen. Aus den bisherigen Urteilen und dem anstehenden EuGH-Verfahren ergeben sich folgende Hinweise:

• Rechte kennen und konsequent einfordern: Zögern Sie nicht, von Ihrem Recht auf Datenauskunft Gebrauch zu machen. Gerade im Arbeitsverhältnis oder bei Bewerbungen können Sie damit Transparenz schaffen – etwa erfahren, welche Daten der Arbeitgeber über Sie gespeichert hat und an wen diese weitergegeben wurden. Wenn Ihr Arbeitgeber die Auskunft verweigert oder unvollständig bleibt, haben Sie die Möglichkeit, Beschwerde bei der Datenschutzaufsichtsbehörde einzulegen und/oder gerichtlich Ihren Auskunftsanspruch und ggf. Schadensersatz einzufordern. Lassen Sie sich hier nicht von möglichen Einschüchterungsversuchen abhalten – das Auskunftsrecht ist gesetzlich verbrieft und darf Ihnen nicht verweigert werden.
• Schadensersatz nur mit nachvollziehbarem Schaden: Seien Sie sich aber bewusst, dass derzeit vor deutschen Gerichten nicht jeder Formfehler sofort Geld bedeutet. Wenn Sie Schadensersatz nach Art. 82 DSGVO verlangen, müssen Sie darlegen können, welcher immaterielle Schaden Ihnen durch die Auskunftsverletzung entstanden ist. Überlegen Sie daher genau: Wie hat Sie die ausbleibende Information beeinträchtigt? Hatten Sie beispielsweise ernsthafte Sorgen, der Arbeitgeber könnte Ihre Daten missbräuchlich verwenden? Haben Sie aufgrund der Ungewissheit vielleicht Stress oder Schlafstörungen entwickelt? Oder fühlten Sie sich in Ihrer Kontrolle über die eigenen Daten merklich eingeschränkt? Solche konkreten Auswirkungen sollten Sie möglichst substantiiert schildern. Pauschale Aussagen wie „Das hat mich geärgert“ oder „Ich hatte ein schlechtes Gefühl“ werden – wie die Urteile zeigen – oft als nicht ausreichend angesehen. Je plausibler und greifbarer Sie Ihren erlittenen immateriellen Schaden beschreiben (zur Not auch mittels Zeugen oder Attesten, falls vorhanden), desto höher die Chance, dass das Gericht einen Ersatzanspruch anerkennt.
• Keine Scheu vor „kleinen“ Schäden: Beachten Sie zugleich, dass keine Mindestschwelle für Datenschutz-Schäden gilt. Auch geringfügige Beeinträchtigungen verdienen grundsätzlich Ausgleich – der EuGH hat betont, dass selbst ein kurzer Verlust der Datenkontrolle oder ein Gefühl berechtigter Verunsicherung ein erstattungsfähiger Schaden sein kann, sofern nachweisbar. Sie müssen also keinen enormen seelischen Schmerz darlegen; ein glaubhaft geschilderter Verlust an Lebensqualität oder innerer Sicherheit infolge des Verstoßes kann genügen. Mit anderen Worten: Trauen Sie sich, auch „weiche“ Faktoren anzusprechen – allerdings immer konkret und untermauert, nicht bloß als abstrakte Möglichkeit.
• Dokumentation des Verlaufs: Heben Sie die Korrespondenz mit dem Arbeitgeber im Zusammenhang mit dem Auskunftsersuchen gut auf. Notieren Sie sich auch Zeitpunkte (Wann haben Sie die Auskunft verlangt? Wann kamen welche Antworten?). Diese Dokumente belegen den Verstoß (z.B. wie lange Sie auf Informationen warten mussten) und können gleichzeitig Ihre eigene Wahrnehmung untermauern. Wenn Sie beispielsweise mehrfach erfolglos nachfragen mussten, kann das Ihren Ärger oder Ihr Vertrauensverlust nachvollziehbarer machen.
• Unterstützung suchen: Sie müssen Ihren Anspruch nicht alleine durchfechten. Sie können sich an den Betriebsrat wenden, sofern vorhanden – auch dieser hat ein Interesse an der Einhaltung von Datenschutzstandards im Betrieb. Zudem können Sie eine Beschwerde beim Datenschutzbeauftragten des Unternehmens (falls vorhanden) oder direkt bei der zuständigen Datenschutzbehörde einreichen. Letztere kann von Amts wegen tätig werden und den Arbeitgeber zur Auskunft drängen oder sogar sanktionieren. Ein solcher Schritt ersetzt zwar nicht den individuellen Schadensersatz vor Gericht, kann aber den Druck auf den Arbeitgeber erhöhen und führt oft schneller zur Herausgabe der Daten. In komplizierten Fällen oder wenn Sie unsicher sind, ziehen Sie einen Fachanwalt für Arbeitsrecht oder Datenschutzrecht hinzu. Dieser kann Ihre Ansprüche präzise formulieren und kennt die aktuellen Entwicklungen in Rechtsprechung und Literatur.
• Geduld bis zur EuGH-Entscheidung: Da das BAG das Verfahren ausgesetzt hat, steht eine wichtige EuGH-Entscheidung bevor, die Ihre Rechtsposition stärken könnte. Sollte der EuGH nämlich entscheiden, dass schon die „Ungewissheit“ und das Nicht-Überprüfen-Können der Datenverarbeitung einen Schaden darstellen, würde das Ihre Anspruchslage deutlich verbessern. Dann wäre es einfacher, Schadensersatz zu erhalten, ohne umfangreich persönliche Leiden darlegen zu müssen – der Verstoß an sich (bzw. der daraus resultierende Kontrollverlust) könnte dann als Schaden anerkannt werden. Diese Entscheidung bleibt abzuwarten. Wenn Sie einen laufenden Rechtsstreit haben, kann es sinnvoll sein, in Absprache mit Ihrem Anwalt auf die EuGH-Klärung hinzuarbeiten (z.B. das Ruhen des Verfahrens zu beantragen), um von einem für Betroffene positiven Urteil zu profitieren.
• Kein Rechtsmissbrauch: So sehr Sie Ihre Rechte nutzen sollten, so sehr sei auch vor einer missbräuchlichen Überspannung gewarnt. Es ist nicht verboten, als abgelehnter Bewerber Schadensersatz zu fordern – das Gesetz gibt Ihnen dieses Instrument. Jedoch haben die Arbeitgeber in den besprochenen Fällen argumentiert, die Klagen seien „gewerbsmäßig“ betrieben. Sollten Sie als Person bekannt werden, die sich ohne echtes Interesse an der Stelle nur bewirbt, um anschließend DSAR-Auskunft und Geldentschädigung zu verlangen, riskieren Sie im Ernstfall, dass ein Gericht Ihr Verhalten kritisch würdigt. Ein solcher Eindruck kann Ihre Glaubwürdigkeit mindern und ggf. dazu führen, dass ein Richter von einem vorgeschobenen Motiv ausgeht. Halten Sie sich also an den legitimen Zweck des Auskunftsrechts: Es soll Ihnen ermöglichen, Ihre Daten und deren Verwendung nachzuvollziehen – nicht in erster Linie schnelles Geld bringen. Kurz: Machen Sie Ihre Ansprüche mit dem nötigen Nachdruck geltend, aber bleiben Sie fair und sachbezogen.

Ausblick

Der Rechtsstreit um Schadensersatz bei DSGVO-Auskunftsverstößen ist mit dem BAG-Beschluss vom 24.06.2025 in eine Warteschleife gegangen – doch er ist längst nicht beendet. Die entscheidende Weichenstellung wird nun auf europäischer Bühne erfolgen. Sobald der EuGH die vom BGH vorgelegten Fragen beantwortet hat, wird das Bundesarbeitsgericht die Verfahren fortführen und ein Grundsatzurteil fällen. Dieses wird voraussichtlich Maßstäbe dafür setzen, wie hoch die Hürden für immateriellen Schadensersatz im Datenschutz künftig sind. Arbeitgeber und Arbeitnehmer tun gut daran, die Entwicklung aufmerksam zu verfolgen.

In der Zwischenzeit gelten die bisherigen Entscheidungen als Orientierung: Kein „Schmerzensgeld“ ohne tatsächliche Beeinträchtigung, aber eben auch keine starre Erheblichkeitsschwelle – jeder spürbare Kontrollverlust kann ein Schaden sein, wenn man ihn schlüssig darlegt. Für die Praxis heißt das: Prävention auf Arbeitgeberseite und kluge Anspruchsdurchsetzung auf Arbeitnehmerseite. So lassen sich Konflikte womöglich vermeiden oder fair lösen. Sobald die EuGH-Entscheidung vorliegt, werden wir ihre Auswirkungen hier ebenfalls analysieren und erklären. Bis dahin gilt: kennen Sie Ihre Rechte, erfüllen Sie Ihre Pflichten – und bleiben Sie im Zweifel rechtskundig beraten, um im Datenschutz-Dickicht nicht den Überblick zu verlieren.