Rechtsprechung / Arbeitsgericht Düsseldorf
Arbeitsgericht Düsseldorf Urteil vom 14.11.2025 – 11 Ca 3035/25
11. Kammer · ECLI:DE:ARBGD:2025:1114.11CA3035.25.00
für Recht erkannt:
Die Beklagte wird verurteilt, dem Kläger Auskunft zu erteilen
über alle Empfänger, denen die Beklagte die personenbezogenen Daten des Klägers bereits offengelegt hat und, sofern bereits bekannt, künftig noch offenlegen wird;
über die Dauer, für die die zum Kläger verarbeiteten personenbezogenen Daten durch die Beklagte gespeichert werden;
ob diese die Person des Klägers betreffend eine automatisierte Entscheidungsfindung oder ein Profiling durchgeführt hat und dem Kläger für den Fall dessen aussagekräftige Informationen über die involvierte Logik, die Tragweite sowie die angestrebten Auswirkungen dieser automatisierten Verarbeitung zu beauskunften;
in Gestalt einer originalgetreuen Reproduktion, eines Screenshots oder einer Kopie sämtlicher personenbezogenen Daten, die die Beklagte zur Person des Klägers verarbeitet.
Im Übrigen wird die Klage abgewiesen.
Die Widerklage wird abgewiesen.
Die Kosten des Rechtsstreits hat zu 40% die Beklagte zu tragen und zu 60% der Kläger.
Streitwert: 4.703,75 €.
T a t b e s t a n d :
Die Parteien streiten über datenschutzrechtliche Ansprüche.
Die Beklagte schrieb eine Stelle als Mitarbeiter in der Debitorenbuchhaltung und im Forderungsmanagement aus.
Auf diese Stelle bewarb sich der Kläger am 13.01.2025.
Mit Schreiben vom 09.02.2025 fragte der Kläger nach dem Stand des Bewerbungsverfahrens.
In einer E-Mail der Beklagten vom 11.05.2025 heißt es unter anderem:
„vielen Dank für Ihre Nachricht und gezeigtes Interesse an unserem Stellenangebot.
Leider konnten wir keinen Eingang Ihrer Bewerbung verzeichnen. Könnten Sie uns Ihre Unterlagen bitte nochmals direkt an R.. zur Verfügung stellen?
Für Ihre entstandenen Mühen möchten wir Ihnen im Voraus danken und verbleiben“
Dem kam der Kläger am gleichen Tag nach.
In einer E-Mail des Klägers vom 15.03.2025 heißt es unter anderem:
„leider erfolgte auch auf meine neuerliche Übersendung vom 11.02.2025 keinerlei Rückmeldung.
Ich finde es sehr schade, wenn Unternehmen schon im Bewerbungsverfahren jedwede Transparenz vermissen lassen. Denn jede Bewerbung ist mit Aufwand, Zeit und letztlich auch mit Hoffnung verbunden. Aus diesem Grund möchte ich Ihnen auf diesem Weg mitteilen, dass ich meine Bewerbung nicht weiter aufrechterhalte. Mit Blick auf die im Bewerbungsverfahren erfahrene Intransparenz lassen Sie mir bitte unverzüglich gemäß Artikel 15 DSGVO eine umfassende Auskunft und eine vollständige Datenkopie zukommen.“
In einer E-Mail der Beklagten vom 14.04.2025 heißt es unter anderem:
„für Ihre Bewerbung haben wir uns bewusst Zeit genommen und diese sorgfältig geprüft.
Zuerst möchten wir uns für Ihre Geduld, das entgegengebrachte Interesse und Vertrauen nochmals bedanken.
Es ist uns nicht leichtgefallen, unter der Vielzahl qualifizierter Bewerbungen eine Auswahl zu treffen: Wir müssen wir Ihnen leider heute mitteilen, dass wir uns letzten Endes für einen anderen Kandidaten entschieden haben.
Bitte sehen Sie unsere Entscheidung nicht als Bewertung Ihrer Kenntnisse und Fähigkeiten an.
Für Ihren weiteren Berufswegwünschen wir Ihnen viel Erfolg sowie alles Gute für Ihre persönliche Zukunft.“
Hierauf antwortete der Kläger mit E-Mail ebenfalls vom 14.04.2025, in welcher es unter anderem heißt:
„haben Sie vielen Dank für Ihre ablehnende Mitteilung, auch wenn der Anlass natürlich sehr schade ist.
Da mich natürlich interessiert, was die ausschlaggebenden Gründe für diese Absage waren, wollen Sie mir bitte die einschlägigen Ablehnungsgründe mitteilen und mir unverzüglich eine umfassende Auskunft sowie eine vollständige Datenkopie auf Grundlage von Artikel 15 DSGVO erteilen.“
Die Beklagte antwortete hierauf mit E-Mail vom 14.05.2025, in welcher es unter anderem heißt:
„um den Anforderungen der DSHGVO gerecht zu werden, müssen wir Ihre Identität sicherstellen und auch sicherstellen, dass wir alle sonstigen Daten die über Sie bei der R. vorliegen identifizieren.
Bitte füllen Sie beiliegendes Formular vollständig aus und senden es uns per Post oder Mail zurück.“
Der Kläger reagierte hierauf mit E-Mail vom 16.05.2025, in welcher es unter anderem heißt:
„Ihr Identifizierungsbegehren weise ich gern. Art. 12 Abs. 6 DSGVO zurück.
Soweit Sie eine Unterstützung bei der Identifizierung der bei Ihnen zu meiner Person gespeicherten personenbezogenen Daten begehren, weise ich Ihr diesbezügliches Verlangen gern. Erwgr. 63 S. 7 DSGVO zurück.“
Der Kläger ist der Ansicht, dass er einen immateriellen Schaden erlitten habe in Gestalt eines Kontrollverlusts, einer Einschränkung seiner Betroffenenrechte und eines emotionalen Ungemachs.
Er habe der Beklagten seine Bewerbungsunterlagen und seine darin enthaltenen vielfältigen personenbezogenen Daten im Vertrauen auf deren (auch datenschutzrechtliche) Redlichkeit zur Verfügung gestellt. Ihm sei also zwar bewusst, welche seiner Daten er der Beklagten übersandt hat. Was die Beklagte sodann aber mit seinen Daten gemacht hat, könne er als externer Bewerber naturgemäß nicht nachvollziehen.
Wer nicht weiß, welche der eigenen Daten wie genau verarbeitet werden, könne diese Daten und deren Verarbeitung denklogisch nicht kontrollieren. Die nicht, nicht rechtzeitige bzw. nicht vollständig erteilte Datenauskunft sei also eine jener Fallgruppen, in denen der Rechtsverstoß in der Regel auch einen immateriellen Schaden in Gestalt eines Kontrollverlusts zur Folge habe. Vor diesem Hintergrund habe er einen Kontrollverlust erlitten.
Auch habe er eine Einschränkung seiner Betroffenenrechte erfahren. Denn zum einen habe die Beklagte durch die Verletzung des Auskunftsrechts dieses Recht „eingeschränkt“. Zum anderen wurden auch die weiteren Rechte aus den Artikeln 16 ff. DSGVO durch die Beklagte eingeschränkt, da das Auskunftsrecht aus Artikel 15 DSGVO gerade auch der Prüfung und Ausübung dieser weiteren Rechte diene.
Auch habe er ein emotionales Ungemach erlitten. Wegen des Auskunftsverstoßes der beklagten Partei sei er nunmehr gehalten, Aufwand und Zeit zu investieren, um sein Grundrecht auf Auskunft (Artikel 8 Absatz 2 Satz 2 GRCh) durchzusetzen. Des Weiteren müsse er durch das vorliegende Verfahren ein Prozesskostenrisiko in Kauf nehmen, nur weil die Beklagte ihren datenschutzrechtlichen Pflichten nicht ordnungsgemäß nachzukommen vermochte. All dies nerve ihn in erheblichem Maße.
Es liege auch eine Kausalität vor.
Der Kläger beantragt,
die Beklagte zu verurteilen, ihm Auskunft zu erteilen
a. über alle Empfänger, denen die Beklagte seine personenbezogenen Daten bereits offengelegt hat und, sofern bereits bekannt, künftig noch offenlegen wird;
b. über die Dauer, für die die zu ihm verarbeiteten personenbezogenen Daten durch die Beklagte gespeichert werden;
c. ob diese seine Person betreffend eine automatisierte Entscheidungsfindung oder ein Profiling durchgeführt hat und ihm für den Fall dessen aussagekräftige Informationen über die involvierte Logik, die Tragweite sowie die angestrebten Auswirkungen dieser automatisierten Verarbeitung zu beauskunften;
d. in Gestalt einer originalgetreuen Reproduktion, eines Screenshots oder einer Kopie sämtlicher personenbezogenen Daten, die die Beklagte zu seiner Person verarbeitet.
die Beklagte zu verurteilt, an ihn immateriellen Schadenersatz wegen Verstoßes gegen Artikel 15 DSGVO zu zahlen, dessen Höhe in das Ermessen des Gerichts gestellt wird, einen Betrag von 2.000,00 Euro aber nicht unterschreiten sollte, nebst Verzugszinsen von fünf Prozentpunkten über dem jeweiligen Basiszinssatz seit Rechtshängigkeit.
die Beklagte zu verurteilt, an ihn immateriellen Schadenersatz wegen Verstoßes gegen Artikel 14 DSGVO zu zahlen, dessen Höhe in das Ermessen des Gerichts gestellt wird, einen Betrag von 1.000,00 Euro aber nicht unterschreiten sollte, nebst Verzugszinsen von fünf Prozentpunkten über dem jeweiligen Basiszinssatz seit Rechtshängigkeit.
Die Beklagte beantragt nach teilweiser Rücknahme der Widerklage von zunächst 1.432,46 € noch,
die Klage abzuweisen
den Kläger zur Zahlung ihrer Rechtsanwaltskoste in Höhe von 1.203,75 € nebst Zinsen in Höhe von fünf Prozentpunkten über dem Basiszinssatz seit Rechtshängigkeit zu verurteilen.
Der Kläger beantragt,
die Widerklage abzuweisen.
Sie trägt vor, dass sie angesichts der Umstände, insbesondere der Auskunftsanträge des Klägers, seiner zeitnahen Selbst-Absage und der mehrfachen Widersprüche in seinem Vorgehen, hinreichende Indizien für einen möglichen Rechtsmissbrauch gesehen habe. Um sowohl die Rechte des Klägers als auch ihre datenschutzrechtlichen Verpflichtungen zu wahren habe sie um einen Identitätsnachweis gebeten, um eine unrechtmäßige Datenweitergabe zu vermeiden.
Die Dauer der Bearbeitung sei durch sachliche und organisatorische Gründe vollständig gerechtfertigt, insbesondere durch den Umstand der doppelten Übersendung der Bewerbungsunterlagen und den parallellaufenden Abgleich mit anderen Bewerbungen.
Mit der vom Kläger selbst erklärten Absage sei das Bewerbungsverfahren faktisch beendet gewesen, sodass die später ausgesprochene Absage der Beklagten lediglich der formalen Abwicklung gedient habe.
Dass es bislang zu keiner vollständigen Auskunftserteilung gekommen ist, beruhe nicht auf einem Verstoß gegen ihre Pflichten, sondern allein auf der Weigerung des Klägers, an der erforderlichen Identitätsprüfung mitzuwirken und dem Rechtsmissbrauchseinwand.
Sie ist der Ansicht, dass ein Auskunftsanspruch nach Art. 15 DSGVO nicht bestehe, dem stehe der Rechtsmissbrauchseinwand nach Art. 12 Abs. 5 DSGVO entgegen. Über den Kläger existierten Beiträge im Internet, die bestätigten, dass der Kläger mit Auskunftsersuchen Schadensersatzansprüche provozieren wolle. Der Kläger verfolge in zahlreichen Verfahren derartige Ansprüche. Auch sei der Kläger wissenschaftlicher Mitarbeiter der Kanzlei Y., welche auf DSGVO-Verfahren spezialisiert sei.
Auch habe der Kläger sein Verhalten in der Vergangenheit immer wieder angepasst, etwa indem er selbst eine Absage erteilt.
Der Kläger habe auch kein ernsthaftes Beschäftigungsinteresse. Sie verweist auf die Fahrtzeit von etwa 5,5 Stunden mit dem Auto zur ausgeschriebenen Stelle in U.. In vergangenen Bewerbungen habe er auch noch nicht angegeben, nicht an S. gebunden zu sein. Zudem liege die Gehaltsvorstellung des Klägers in Höhe von 66.000,00 € brutto deutlich über dem marktüblichen Vergütungsniveau für Positionen im Bereich Debitorenbuchhaltung und Forderungsmanagement, das regelmäßig zwischen 37.000,00 € und 48.000,00 € brutto und noch über dem Schnitt von Teamleitern liege. Der Kläger habe ferner auch hinsichtlich der Vergütungsvorstellungen sein Verhalten angepasst, soweit er früher 96.000,00 € genannt habe.
Des Weiteren habe der Kläger noch während der ordnungsgemäßen Bearbeitung der Bewerbung seine Bewerbung zurückgezogen. Ein legitimes Bewerbungsverhalten wäre durch die Fortführung des Bewerbungsprozesses gekennzeichnet gewesen, nicht durch die sofortige Selbst-Absage.
Ein weiteres Indiz für Rechtsmissbrauch liege in der gerichtsbekannten Praxis des Klägers. Er trete seit geraumer Zeit in einer Vielzahl gleichgelagerter Verfahren auf, erstelle seine Schriftsätze selbst und unterbreite regelmäßig Vergleichsvorschläge mit dem offensichtlichen Ziel, Zahlungen zu erlangen, ohne sich einer langwierigen Beweisaufnahme stellen zu müssen. Sie schätze, dass der Kläger gleichgelagerte Verfahren zum hiesigen Fall in den letzten drei Jahren Verfahren im dreistelligen bis vierstelligen Bereich geführt hat.
Auch außerhalb gerichtlicher Verfahren sei der Kläger durch Presseberichte und einschlägige Internetquellen als Wiederholungstäter bekannt geworden, etwa in einem Blogbeitrag von Herrn E.. Zudem sei bekannt, dass der Kläger selbst auf juristischen Fachportalen Artikel veröffentlicht hat, in denen er detailliert beschreibt, wie man gezielt Auskünfte nach der DSGVO nutzen kann, um Schadensersatzansprüche geltend zu machen.
Auch wähle der Kläger gezielt große, vermeintlich kapitalkräftige Unternehmen aus.
Das Auskunftsersuchen sei sowohl offensichtlich unbegründet, weil es dem Zweck der DSGVO widerspricht, als auch exzessiv, weil es in Umfang, Zielrichtung und Art der Antragstellung deutlich über das Angemessene hinausgeht.
Die verspätete Bearbeitung der Bewerbung und des Auskunftsersuchens des Klägers resultiere aus sachlich gerechtfertigten organisatorischen Abläufen, einschließlich der doppelten Übersendung der Unterlagen und interner Abgleiche mit anderen Bewerbungen und stelle somit vor diesem Hintergrund keinen Verstoß gegen die DSGVO dar.
Der Kläger hat hierauf erwidert, dass keine begründeten Zweifel an seiner Identität bestanden. So habe er etwa für das Auskunftsersuchen dieselbe E-Mail-Adresse verwendet. Etwaige Identitätszweifel wären jedenfalls durch Erhebung der Klage über das elektronische Bürger- und Organisationenpostfach (eBO) nicht mehr aufrechtzuerhalten.
Weiter ist er der Ansicht, dass auch der zeitliche Aufwand den er investieren müsse, um seine Rechte aus der Datenschutz-Grundverordnung zu verfolgen einen immateriellen Schaden darstelle.
Es nerve ihn auch massiv, dass er sich nunmehr im Zuge eines Rechtsstreits monatelang und unter Umständen über mehrere Instanzen hinweg mit der Beklagten und dem Datenschutzverstoß beschäftigen müsse.
Es rufe bei ihm zudem ein erhebliches Gefühl des „Genervtseins“ hervor, dass bei der Beklagten auch mehr als fünf Jahre nach Inkrafttreten der DSGVO die Pflichten hieraus nicht umgesetzt sind.
Dieses Genervtsein vertiefe sich weiter durch das einsichtslose Verhalten der beklagten Partei. Er empfinde es als persönlichen Angriff auf seine Person, dass die Beklagte versuche ihn im Rahmen eine Täter-Opfer-Umkehr als „Rechtsmissbraucher“ darzustellen.
Diese negative Gefühlslage werde zudem weiter durch ein Gefühl des Ekels verstärkt. Hierzu schreibt er wörtlich„Der beklagtenseits erhobene Einwand des Rechtsmissbrauchs wurde u. a. im Nationalsozialismus verwendet, um Juden und anderen unerwünschten Personengruppen den Zugang zu Gericht zu verunmöglichen.“
Nochmals hinterhältiger empfinde er zudem das durch die Beklagte an den Tag gelegte - aus seiner Sicht besonders perfide - Vorgehen. Denn die Beklagte habe hinter seinem Rücken über ihn Daten im Internet auf dubiosen Webseiten erhoben und diese Informationen dann auch noch in das vorliegende Verfahren eingeführt.
Hinsichtlich der Schadenshöhe verweist der Kläger darauf, dass die Beklagte hier Informationen über sein ganzes Leben verarbeite inklusive Werturteile früherer Arbeitgeber. Diese Daten seien in den Bewerbungsunterlagen gebündelt und besonders sensibel und schützenswert so etwa die Information, dass er ledig und konfessionslos sei. Zudem sei ein hochauflösendes Bewerbungsfoto beigefügt.
Auch habe er einen Anspruch auf weitere 1.000,00 € immateriellen Schadenersatz, weil durch die Beklagte im Internet personenbezogene Daten des Klägers erhoben wurden, ohne dass die Beklagte ihn über diesen illegalen „Stasi-ähnlichen Akt der Ausforschung“ informiert habe.
Wegen der weiteren Einzelheiten des Sach- und Streitstandes wird auf die zwischen den Parteien gewechselten Schriftsätze nebst Anlagen und das Ergebnis der mündlichen Verhandlung Bezug genommen.
E n t s c h e i d u n g s g r ü n d e :
Die Klage ist zulässig aber nur teilweise begründet. Die zulässige Widerklage ist unbegründet.
I.
Der Kläger hat Anspruch auf Auskunft gem. § 15 DSGVO über alle Empfänger, denen die Beklagte die personenbezogenen Daten des Klägers bereits offengelegt hat und, sofern bereits bekannt, künftig noch offenlegen wird, über die Dauer, für die die zum Kläger verarbeiteten personenbezogenen Daten durch die Beklagte gespeichert werden, ob diese die Person des Klägers betreffend eine automatisierte Entscheidungsfindung oder ein Profiling durchgeführt hat und dem Kläger für den Fall dessen aussagekräftige Informationen über die involvierte Logik, die Tragweite sowie die angestrebten Auswirkungen dieser automatisierten Verarbeitung zu beauskunften und zwar in Gestalt einer originalgetreuen Reproduktion, eines Screenshots oder einer Kopie sämtlicher personenbezogenen Daten, die die Beklagte zur Person des Klägers verarbeitet.
1. Entgegen der Ansicht der Beklagten steht dem Anspruch nicht Art. 12 Abs. 5 S. 2 DSGVO entgegen.
Zunächst hat die Beklagte den Kläger nicht entsprechend Art. 12 abs. 4 DSGVO hierüber binnen der Monatsfrist informiert. Diese Mitteilung ist zwingend und zudem ist über die Möglichkeit zu informieren, bei einer Aufsichtsbehörde Beschwerde oder einen gerichtlichen Rechtsbehelf einzulegen. Dies hat die Beklagte unterlassen.
Es liegen aber auch nicht die Voraussetzungen des Art. 12 Abs. 5 S. 2 DSGVO vor. Weder ist der Anspruch offensichtlich unbegründet - der Kläger hat der Beklagten mit der Bewerbung unstreitig Daten zur Verfügung gestellt, zudem sähe Art. 15 Abs. 1 S. 1 DSGVO auch die Negativauskunft vor - noch liegt ein exzessiver Antrag vor.
Hier liegen keine häufig wiederholten Anträge vor. Zwar können exzessive Anträge auch dann vorliegen, wenn diese nicht häufig wiederholt worden sind. Sinn und Zweck der Datenschutzverordnung ist es insoweit allerdings letztlich den Betroffenen überhaupt erst die Möglichkeit zu verschaffen, zu erfahren, was mit ihren Daten geschieht. Es begegnet grundsätzlichen Bedenken, diese Rechte einzuschränken, alleine, weil eine Person viele Verfahren führt oder auch nur deshalb, weil - was hier nicht unterstellt werden soll - die Bewerbungen nur der Vorbereitung von Schadensersatzprozessen dienen. Auch dann bestünde grundsätzlich ein nachvollziehbares Interesse daran zu erfahren, was mit den Daten geschieht, wobei es eines nachvollziehbaren Interesses nicht einmal bedürfte. Zudem würde dies Missbrauchsmöglichkeiten eröffnen, welchen die DSGVO gerade entgegenwirken soll.
Es begegnet auch keinen Bedenken, dass der Kläger eine umfassende Auskunft verlangt hat. Es handelt sich um einen einfachen und so in der DSGVO vorgesehenen Antrag. Der Kläger hat diesen Antrag erstmalig gegenüber der Beklagten gestellt und dort keine irgendwie überzogenen Anforderungen gestellt. Der Antrag des Klägers selbst enthält keine Merkmale, die exzessiv wären. Damit ist der Antrag selbst - und nur auf diesen kann es bei einem einmaligen Antrag ankommen - nicht zu beanstanden.
2. Die Beklagte konnte die Auskunft auch nicht verweigern, weil der Kläger einen Identitätsnachweis nicht erbracht hätte, Art. 12 Abs. 6 DSGVO. Die Beklagte hat schlicht keinerlei begründete Zweifel an der Identität dargelegt. Zumindest sind diese Zweifel auch seit der Klageerhebung beseitigt, dennoch hat die Beklagte das Auskunftsverlangen immer noch nicht erfüllt.
3. Letztlich steht dem Auskunftsbegehren auch nicht der Einwand des Rechtsmissbrauchs entgegen. Auf die obigen Ausführungen wird verwiesen. Auch der Einwand des Rechtsmissbrauchs kann nicht dazu führen, dass sich die Beklagte schlicht der grundlegendsten Verpflichtungen aus der DSGVO entledigen kann und auf einen Antrag nichts unternimmt und nicht einmal ihren Pflichten aus Art. 12 Abs. 4 DSGVO nachkommt.
II.
1. Der Kläger hat gegen die Beklagte keinen Anspruch auf Schadensersatz in Höhe von 2.000,00 € wegen nicht erteilter Auskunft aus Art. 82 Abs.1 DSGVO.
a) Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Nach der Rechtsprechung des EuGHs (vgl. z.B. EuGH, Urteil vom 14. Dezember 2023 - C-456/22 -, Rn. 14, juris, mwN) ergibt sich aus Art. 82 Abs. 1 DSGVO, dass das Vorliegen eines „Schadens“, der entstanden ist, eine der Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadenersatzanspruch darstellt, ebenso wie das Vorliegen eines Verstoßes gegen die DSGVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß. Folglich sind diese drei Voraussetzungen kumulativ sowie erforderlich und ausreichend für einen Schadenersatzanspruch im Sinne des Art. 82 Abs. 1 DSGVO (vgl. EuGH, Urteil vom 14. Dezember 2023 - C-456/22 -, Rn. 14, juris; BAG, Urteil vom 20. Juni 2024 - 8 AZR 91/22 -, Rn. 12, juris, mwN). Des Weiteren hat der EuGH entschieden, dass Art. 82 Abs. 1 DSGVO auf der Grundlage von Erwägungen zu Wortlaut, Systematik sowie Sinn und Zweck dahin auszulegen ist, dass er einer nationalen Regelung oder Praxis entgegensteht, die den Ersatz eines „immateriellen Schadens“ im Sinne dieser Bestimmung davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat (vgl. EuGH, Urteil vom 14. Dezember 2023 - C-456/22 - , Rn. 16, juris, mwN). Daher kann nicht angenommen werden, dass über diese drei oben genannten Voraussetzungen hinaus für die Haftung nach Art. 82 Abs. 1 DSGVO weitere Voraussetzungen aufgestellt werden dürfen, etwa die, dass der Nachteil spürbar oder die Beeinträchtigung objektiv sein muss (vgl. EuGH, Urteil vom 14. Dezember 2023 - C-456/22 -, Rn. 17, juris).
b) Zunächst hat die Beklagte gegen die Datenschutz-Grundverordnung verstoßen, indem sie dem Kläger die geforderte Auskunft nach Art. 15 Abs. 1 DSGVO nicht erteilt hat.
aa) Nach Art. 15 Abs. 1 DSGVO hat die betroffene Person das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden und wenn dies der Fall ist, ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen: Verarbeitungszwecke; Kategorien personenbezogener Daten, die verarbeitet werden; Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen; falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer; Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung; Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde; wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten; Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 DSGVO und - zumindest in diesen Fällen - aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person. Nach der Vorgabe des Art. 12 Abs. 3 Sätze 1 bis 3 DSGVO ist ein solches Auskunfts- und Herausgabebegehren unverzüglich, in jedem Fall binnen eines Monats nach Eingang, nach einer Unterrichtung über eine Fristverlängerung binnen zwei weiterer Monate zu beantworten. Werden personenbezogene Daten an ein Drittland oder an eine internationale Organisation übermittelt, so hat die betroffene Person nach Art. 15 Abs. 2 DSGVO das Recht, über die geeigneten Garantien gemäß Artikel 46 DSGVO im Zusammenhang mit der Übermittlung unterrichtet zu werden.
bb) Personenbezogene Daten, die einen Auskunftsanspruch nach § 15 Abs. 1 DSGVO rechtfertigen, hatte der Kläger der Beklagten unter dem 13.01.2025 in Form seiner Bewerbungsunterlagen übersandt. Auf die E-Mail vom 15.03.2025, mit der der Kläger die Beklagte zur Auskunft aufforderte, hat die Beklagte dem Kläger keine Auskunft erteilt. Im Übrigen wird auf die obigen Ausführungen verwiesen.
c) Der Kläger hat jedoch nicht dargelegt, dass er durch den oben dargestellten Verstoß der Beklagten gegen die DSGVO auch einen immateriellen Schaden erlitten hat. Die Beklagte hat einen solchen Schaden hier ausdrücklich bestritten.
aa) Ein Verstoß gegen die Pflichten aus Art. 15 DSGVO kann dem Grunde nach einen Anspruch auf Ersatz der materiellen und immateriellen Schäden nach Art. 82 Abs. 1 DSGVO begründen.
Da die DSGVO in Bezug auf den Sinn und die Tragweite der in dieser Bestimmung enthaltenen Begriffe, insbesondere in Bezug auf die Begriffe „materieller oder immaterieller Schaden“ und „Schadenersatz“, nicht auf das Recht der Mitgliedstaaten verweist, sind diese Begriffe für die Anwendung dieser Verordnung als autonome Begriffe des Unionsrechts anzusehen, die in allen Mitgliedstaaten einheitlich auszulegen sind (vgl. EuGH, Urteil vom 4. Oktober 2024 - C-200/23 -, Rn. 139, juris, mwN).
Zu diesem Zweck ist Art. 82 Abs. 1 DSGVO dahin auszulegen, dass der bloße Verstoß gegen diese Verordnung nicht ausreicht, um einen Schadenersatzanspruch zu begründen, da das Vorliegen eines materiellen oder immateriellen „Schadens“ eine der Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadenersatzanspruch darstellt, ebenso wie das Vorliegen eines Verstoßes gegen die DSGVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind (vgl. EuGH, Urteil vom 4. Oktober 2024 - C-200/23 -, Rn. 140, juris, mwN). Insofern muss die Person, die auf der Grundlage dieser Bestimmung Ersatz eines immateriellen Schadens verlangt, nicht nur den Verstoß gegen Bestimmungen dieser Verordnung nachweisen, sondern auch, dass ihr durch diesen Verstoß ein solcher Schaden entstanden ist. Ein solcher Schaden kann daher nicht allein aufgrund des Eintritts dieses Verstoßes vermutet werden (vgl. EuGH, Urteil vom 4. Oktober 2024 - C-200/23 -, Rn. 141, juris, mwN).
Wenn sich eine Person, die auf der Grundlage von Art. 82 Abs. 1 DSGVO Schadenersatz fordert, auf die Befürchtung beruft, dass ihre personenbezogenen Daten in Zukunft aufgrund eines solchen Verstoßes missbräuchlich verwendet werden, muss das angerufene nationale Gericht daher prüfen, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann (vgl. EuGH, Urteil vom 4. Oktober 2024 - C-200/23 -, Rn. 143, juris, mwN).
Der Gerichtshof der Europäischen Union hat bereits entschieden, dass sich nicht nur aus dem Wortlaut von Art. 82 Abs. 1 DSGVO im Licht ihrer Erwägungsgründe 85 und 146, wonach der Begriff „immaterieller Schaden“ im Sinne dieses Artikels weit zu verstehen ist, sondern auch aus dem mit der DSGVO verfolgten Ziel der Gewährleistung eines hohen Schutzniveaus für natürliche Personen bei der Verarbeitung personenbezogener Daten ergibt, dass die durch einen Verstoß gegen die DSGVO ausgelöste Befürchtung einer betroffenen Person, ihre personenbezogenen Daten könnten von Dritten missbräuchlich verwendet werden, für sich genommen einen „immateriellen Schaden“ im Sinne von Art. 82 Abs. 1 DSGVO darstellen kann (vgl. EuGH, Urteil vom 4. Oktober 2024 - C-200/23 -, Rn. 144, juris, mwN). Insbesondere geht aus der im ersten Satz des 85. Erwägungsgrundes der DSGVO enthaltenen beispielhaften Aufzählung der „Schäden“, die den betroffenen Personen entstehen können, hervor, dass der Unionsgesetzgeber unter den Begriff „Schaden“ insbesondere auch den bloßen „Verlust der Kontrolle“ über ihre eigenen Daten infolge eines Verstoßes gegen die DSGVO fassen wollte, selbst wenn konkret keine missbräuchliche Verwendung der betreffenden Daten zum Nachteil dieser Personen erfolgt sein sollte (vgl. EuGH, Urteil vom 4. Oktober 2024 - C-200/23 -, Rn. 145, juris, mwN).
Außerdem wäre eine Auslegung von Art. 82 Abs. 1 DSGVO dahin, dass der Begriff „immaterieller Schaden“ im Sinne dieser Bestimmung keine Situationen umfasst, in denen sich eine betroffene Person nur auf ihre Befürchtung beruft, dass ihre Daten in Zukunft von Dritten missbräuchlich verwendet werden, nicht mit der Gewährleistung eines hohen Schutzniveaus für natürliche Personen bei der Verarbeitung personenbezogener Daten in der Union vereinbar, die mit dieser Verordnung bezweckt wird (vgl. EuGH, Urteil vom 4. Oktober 2024 - C-200/23 -, Rn. 146, juris, mwN). Ebenso wenig kann dieser Begriff allein auf Schäden mit einer gewissen Erheblichkeit beschränkt werden, insbesondere was die Dauer betrifft, während der die betroffenen Personen den nachteiligen Folgen des Verstoßes gegen diese Verordnung ausgesetzt waren (vgl. EuGH, Urteil vom 4. Oktober 2024 - C-200/23 -, Rn. 147, juris, mwN). Somit kann nicht angenommen werden, dass über die drei Voraussetzungen Verstoß gegen die DSGVO, Schaden und Kausalzusammenhangs zwischen dem Schaden und dem Verstoß hinaus für die Haftung nach Art. 82 Abs. 1 DSGVO weitere Voraussetzungen aufgestellt werden dürfen, etwa die, dass der Nachteil spürbar oder die Beeinträchtigung objektiv sein muss (vgl. EuGH, Urteil vom 4. Oktober 2024 - C-200/23 -, Rn. 148, juris, mwN).
Nach alledem ist Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass ein zeitlich begrenzter Verlust der Kontrolle der betroffenen Person über ihre personenbezogenen Daten ausreichen kann, um einen „immateriellen Schaden“ zu verursachen, sofern diese Person nachweist, dass sie tatsächlich einen solchen Schaden - so geringfügig er auch sein mag - erlitten hat, ohne dass dieser Begriff des „immateriellen Schadens“ den Nachweis zusätzlicher spürbarer negativer Folgen erfordert (vgl. EuGH, Urteil vom 4. Oktober 2024 - C-200/23 -, Rn. 156, juris).
Die durch einen Verstoß gegen die Datenschutz-Grundverordnung ausgelöste Befürchtung einer betroffenen Person, ihre personenbezogenen Daten könnten von Dritten missbräuchlich verwendet werden, kann für sich genommen einen „immateriellen Schaden“ iSv. Art. 82 Abs. 1 DSGVO darstellen (vgl. BAG, Urteil vom 20. Juni 2024 - 8 AZR 91/22 -, Rn. 13, juris, mwN). Nach der Rechtsprechung des Gerichtshofs der Europäischen Union können negative Gefühle („Befürchtung“) in solchen Konstellationen einen Anspruch auf Ersatz des immateriellen Schadens begründen. Ein „immaterieller Schaden“ umfasst negative Gefühle, die die betroffene Person etwa infolge einer unbefugten Übermittlung ihrer personenbezogenen Daten an einen Dritten empfindet, wie z. B. Sorge oder Ärger, und die durch einen Verlust der Kontrolle über diese Daten, ihre mögliche missbräuchliche Verwendung oder eine Rufschädigung hervorgerufen werden, sofern die betroffene Person nachweist, dass sie solche Gefühle samt ihrer negativen Folgen aufgrund des in Rede stehenden Verstoßes gegen diese Verordnung empfindet (EuGH, Urteil vom 4. September 2025 - C-655/23 -, juris). Entsprechend setzt also auch der Europäische Gerichtshof den Nachweis eines immateriellen Schadens ausdrücklich voraus.
Das bloße Berufen auf eine bestimmte Gefühlslage reicht aber nicht aus, denn das Gericht hat, zu prüfen, ob das Gefühl unter Berücksichtigung der konkreten Umstände „als begründet angesehen werden kann“ (vgl. BAG, Urteil vom 20. Juni 2024 - 8 AZR 91/22 -, Rn. 15, juris, mwN).
Dies setzt zwingend die Anwendung eines objektiven Maßstabs voraus (vgl. BAG, Urteil vom 20. Juni 2024 - 8 AZR 91/22 -, Rn. 15, juris, mwN). Dabei ist ua. die objektive Bestimmung des Missbrauchsrisikos der Daten von Bedeutung (vgl. BAG, Urteil vom 20. Juni 2024 - 8 AZR 91/22 -, Rn. 15, juris, mwN).
bb) Unter Zugrundelegung der vorstehenden Grundsätze ist die erkennende Kammer zu der Ansicht gelangt, dass der Kläger einen durch den Verstoß der Beklagten gegen die DSGVO in Gestalt der Nichterteilung der Auskunft nach Art. 15 Abs. 1 DSGVO entstandenen Schaden nicht dargelegt hat.
Die Beklagte hat hier einen Schaden des Klägers ausdrücklich bestritten.
Dass auch negative Gefühle nachgewiesen werden müssen ergibt sich zuletzt aus der Entscheidung des Europäischen Gerichtshofs vom 04.09.2025 (EuGH, Urteil vom 4. September 2025 - C-655/23 -, juris). In dieser Entscheidung hat der Europäische Gerichtshof auch nochmal ausgeführt, dass der Verstoß gegen die Datenschutzgrundverordnung nicht ausreicht, um einen Schadensersatzanspruch zu begründen, sondern dass ein Schaden erforderlich ist (EuGH, Urteil vom 4. September 2025 - C-655/23 -, juris, Rn. 56). Dass hier ein Kontrollverlust aufgrund der nicht erteilten Auskunft entstanden ist, sieht auch die Kammer. Allerdings folgt aus der Entscheidung des Europäischen Gerichtshofs auch, dass ein solcher Verlust der Kontrolle ausreichen kann, um einen „immateriellen Schaden“ im Sinne von Art. 82 Abs. 1 DSGVO zu verursachen, sofern die betroffene Person nachweist, dass sie tatsächlich einen solchen Schaden - so geringfügig er auch sein mag - erlitten hat, ohne dass dieser Begriff des „immateriellen Schadens“ den Nachweis zusätzlicher spürbarer negativer Folgen erfordert (EuGH, Urteil vom 4. September 2025 - C-655/23 -, juris, Rn. 56). Es gibt also keinen Automatismus, sondern der Schaden ist nachzuweisen.
Damit wird auch kein viertes Tatbestandsmerkmal eingeführt, sondern es ist schlicht die konsequente Prüfung des Schadens und der Kausalität. Das Bundesarbeitsgericht stellt insofern zutreffend auf die Selbstständigkeit des erforderlichen Schadens ab und differenziert danach, ob bereits der Verstoß gegen die Datenschutzgrundverordnung gegebenenfalls so schwerwiegende Konsequenzen aufweist, dass ein Schaden in Form von Befürchtungen selbstverständlich angenommen werden kann (BAG, Urteil vom 20. Februar 2025 - 8 AZR 61/24 -, juris).
Dem ist hier nicht so. Hier liegen keine objektiven Anhaltspunkte etwa für einen Missbrauch der Daten vor oder dafür, dass der Kläger einen solchen Missbrauch tatsächlich befürchten müsste. Hier ist mithin der Nachweis eines Schadens, der negativen Gefühle, verursacht durch die nicht erteilte Auskunft, erforderlich. Auch aus einer Gesamtschau ergibt sich dies nicht. Zwar liegt hier eine ungewöhnliche Beharrlichkeit bei der Nichterfüllung des Auskunftsanspruchs vor. Allerdings ist auch zu berücksichtigen, dass der Kläger im Datenschutzrecht äußerst versiert und erfahren ist, so dass eine besondere Belastung hierdurch nicht als zwingend erscheint.
Dem steht auch nicht der Grundsatz der Effektivität (Effet Utile) entgegen. Der Grundsatz der Effektivität verlangt, dass die von den Mitgliedstaaten geschaffenen Verfahren, mit denen die Betroffenen die ihnen durch das Unionsrecht verliehenen Rechte geltend machen können, die Ausübung dieser Rechte nicht praktisch unmöglich machen oder übermäßig erschweren dürfen (EuGH Schlussantrag v. 19.6.2025 - C-320/24, BeckRS 2025, 13692).
Zutreffend geht der Kläger davon aus, dass es schwer sein dürfte, negative Gefühle darzulegen und zu beweisen. Das Erfordernis des Nachweises ist aber in der Rechtsprechung des Europäischen Gerichtshofs bereits angelegt. Die Alternative wäre zudem, dass alleine die Behauptung eines Schadens ausreichen würde, da der Gegenseite der Negativbeweis ebenso unmöglich wäre. Zudem kann grundsätzlich durch eine Gesamtschau aller Umstände noch auf einen Schaden geschlossen werden, so dass sich keine übermäßige Erschwerung des Nachweises ergibt.
III.
Die Beklagte ist nicht verpflichtet, dem Kläger eine Entschädigung in Höhe von 500,00 € gemäß Art. 82 Abs. 1 DSGVO zu zahlen, weil sie diesen entgegen Art. 14 Abs. 1 lit. d DSGVO nicht über die für dieses Verfahren erhobenen Informationen rechtzeitig informiert hat.
Auf die obigen Ausführungen zum Schaden wird verwiesen, auch hier hat der Kläger einen solchen nicht nachgewiesen.
IV.
Die Beklagte hat gegen den Kläger keinen Anspruch auf Zahlung der Rechtsanwaltskosten in Höhe von 1.432,46 € gem. § 826 BGB.
Nach § 826 BGB ist der zum Schadenersatz verpflichtet, der in einer gegen die guten Sitten verstoßenden Weise einem anderen vorsätzlich einen Schaden zufügt.
Der Annahme eines nach § 826 BGB ersatzfähigen Schadens steht in Höhe der Kosten für die Zuziehung eines Prozessbevollmächtigten § 12a Abs 1 S 1 ArbGG nicht entgegen, wenn die Regelung des § 12a Abs 1 S 1 ArbGG dazu missbraucht wird, dem Gegner konkreten Schaden zuzufügen. Dies ist der Fall, wenn der Rechtsstreit nur in der Absicht geführt wird, der gegnerischen Partei die Kosten seines Prozessbevollmächtigten aufzubürden (ArbG Leipzig, Urteil vom 10. Mai 2006 - 17 Ca 7564/05 -, juris).
Auch die Beklagte behauptet nicht, dass der Kläger die Klage erhoben hätte, um § 12a ArbGG auszunutzen und ihr einen Schaden zuzufügen, sondern auch sie geht davon aus, dass es dem Kläger darum geht, die Ansprüche durchzusetzen. Zudem ist ein Teil der Klage begründet, so dass sich bereits aus diesem Grund verbietet, dem Kläger hierfür die Rechtsanwaltskosten der Beklagten aufzuerlegen.
V.
Die Kostenentscheidung folgt aus §§ 46 Abs. 2 ArbGG, 92 ZPO. Den Streitwert hat das Gericht gem. § 61 Abs. 1 ArbGG im Urteil festgesetzt.
101…