Das Landesarbeitsgericht (LAG) Köln hat mit Urteil vom 10.10.2024 – 8 SLa 257/24 erneut klargestellt, dass für die erfolgreiche Durchsetzung eines immateriellen Schadensersatzanspruchs nach Art. 82 Abs. 1 DSGVO nicht jede abstrakte Gefahr oder der bloße „Kontrollverlust“ über personenbezogene Daten ausreicht. Vielmehr muss der Anspruchsteller konkrete persönliche oder psychologische Beeinträchtigungen nachweisen und diese auch kausal mit dem Datenschutzverstoß verknüpfen.

Ein Arbeitnehmer klagte nach Beendigung seines Arbeitsverhältnisses gegen seinen ehemaligen Arbeitgeber, weil dieser im Rahmen einer Bewerbung bei einer Konzernschwester ohne Einwilligung Auskünfte über ihn erteilt hatte. Der Kläger machte daraufhin u.a. immateriellen Schadensersatz wegen psychischer Belastungen geltend. Das Arbeitsgericht wies die Klage ab und das LAG bestätigte dieses Urteil. Die Gerichte sahen weder einen nachgewiesenen noch einen schlüssig dargelegten Schaden im Sinne der DSGVO.

• Abstrakter Kontrollverlust reicht nicht: Ein bloßes Gefühl des Kontrollverlusts oder die Aufzählung allgemein-abstrakter Risiken genügt nicht, um einen immateriellen Schaden nachzuweisen.

• Erforderlich sind konkrete Beeinträchtigungen: Nur individuell konkretisierte Ängste, Sorgen, Stress oder ähnliche psychische Belastungen kommen als Schaden in Betracht – diese müssen aber exakt dargestellt und durch geeignete Nachweise (z.B. ärztliche Atteste mit Kausalitätsbezug) unterlegt sein.

• Beweislast beim Anspruchsteller: Der Betroffene hat die Anspruchsvoraussetzungen und insbesondere die Kausalität zwischen Datenschutzverstoß und gesundheitlicher Beeinträchtigung zu belegen.

Das Bewusstsein, dass sensible Daten zu schützen sind, ist gerade im medizinischen Bereich in der Regel sehr ausgeprägt. Meist sind dabei aber nur die Patientendaten im Fokus. Dass auch die personenbezogenen Daten aller Mitarbeitenden geschützt werden müssen, muss unbedingt bedacht werden.

Die Entscheidung macht zwar deutlich: Auch bei unzulässiger Weitergabe personenbezogener Daten löst nicht jede abstrakte Gefährdungslage automatisch einen Schadensersatzanspruch aus. Da jedoch dennoch empfindliche Geldbusen drohen können, ist unbedingte Vorsicht geboten. Auch im Rahmen von Praxiskooperationen oder bei rechtlich selbständigen medizinischen Einrichtungen unter gleicher Trägerschaft dürfen keine Mitarbeiterdaten ausgetauscht werden.

• Sorgfalt bei (externen) Auskünften und Datenübermittlungen wahren

• Klare Dokumentation der Einwilligungen und Auskunftserteilungen

• Im Schadensfall gezielt prüfen, ob der Betroffene tatsächlich einen konkreten immateriellen Schaden dargelegt und belegt hat

Hinsichtlich Patienten und Mitarbeitern gilt gleichsam: Zur Geltendmachung immaterieller Schäden nach Art. 82 DSGVO ist der Nachweis konkreter, kausal durch den Verstoß ausgelöster Belastungen zwingend erforderlich. Reine Spekulationen oder „Kontrollverlust“-Behauptungen ohne Substanz reichen vor Gericht nicht aus.

Die aktuelle Rechtsprechung unterstreicht die hohen Anforderungen an den Schadensnachweis im Datenschutzrecht und stärkt damit die Rechtssicherheit für datenverarbeitende Stellen im Gesundheitswesen. Gleichzeitig bleibt selbst bei fehlendem Schadensnachweis das Risiko hoher Bußgelder.