Leitsatz

1. Das Vorliegen eines „Schadens“ ist eine der drei Voraussetzungen für den in Art. 82 Abs. 1 DSGVO vorgesehenen Schadensersatzanspruch, ebenso wie das Vorliegen eines Verstoßes gegen die Datenschutz-Grundverordnung und eines Kausalzusammenhangs zwischen dem erlittenen Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ vorliegen müssen. Der – selbst kurzzeitige – Verlust der Kontrolle über personenbezogene Daten kann einen immateriellen Schaden i.S.v. Art. 82 Abs. 1 DSGVO darstellen, der einen Schadensersatzanspruch begründet, sofern die betroffene Person den Nachweis erbringt, dass sie tatsächlich einen solchen Schaden – so geringfügig er auch sein mag – erlitten hat.

2. Ein Kontrollverlust in Form eines Datenverlusts oder -missbrauchs liegt auch nach Darstellung des Klägers nicht vor. Die Revision vertritt vielmehr die Auffassung, eine verspätete Auskunftserteilung bewirke einen Kontrollverlust, der ohne weitere Voraussetzung einen Schaden i.S.v. Art. 82 Abs. 1 DSGVO darstelle. Dies ist aber unzutreffend. Die vom Kläger im vorliegenden Rechtsstreit geschilderte Gefühlslage begründet keinen Schaden im Zusammenhang mit einem Kontrollverlust. Der Kläger hat keine konkreten Befürchtungen einer missbräuchlichen Verwendung seiner Daten dargelegt. Das Landesarbeitsgericht hat ausgehend vom Vorbringen des Klägers auch einen Schaden in Form von negativen Gefühlen allein wegen der verspäteten Erfüllung des Auskunftsanspruchs rechtsfehlerfrei verneint.