Kein DSGVO-Schadensersatz nach Hackerangriff auf Altdaten

Hessisches Landesarbeitsgericht 12. Kammer

Urteil vom 10.02.2026

Az.: 12 SLa 709/25

Tenor

Die Berufung des Klägers gegen das Urteil des Arbeitsgerichts Offenbach am Main vom 18. Juni 2025 – 10 Ca 32/25 – wird auf Kosten des Klägers zurückgewiesen.

Die Revision wird nicht zugelassen.

Tatbestand

Die Parteien streiten im Wege der Leistungs- und Feststellungsklage um einen Schadensersatz nach Art. 82 Datenschutz-Grundverordnung (DSGVO).

Der Kläger war in der Zeit vom 01. Februar 2006 bis zum 30. November 2020 bei der A beschäftigt. Die A ist im Sommer 2025 als übertragender Rechtsträger mit der Beklagten als übernehmender Rechtsträger verschmolzen worden.

Im Sommer 2022 wurden die A, die Beklagte sowie weitere Gesellschaften des Konzerns Opfer eines von der kriminellen Organisation B (fortan: Hackerorganisation) verübten Hackerangriffs, im Zuge dessen 40 Terabyte Daten kopiert wurden, darunter auch personenbezogene Mitarbeiterdaten. Im Vorfeld hatte ein Mitarbeiter der konzernangehörigen C unter Verstoß gegen arbeitsvertragliche und datenschutzrechtliche Vorgaben zu privaten Zwecken ein Software-Update auf seinen dienstlichen PC installiert, welches einen Trojaner enthielt. Die Hackerorganisation drohte im Nachgang zum Hackerangriff mit der Veröffentlichung der Daten, falls kein Lösegeld gezahlt würde. Nachdem die Beklagte sich auf diese Forderung nicht einließ, bot die Hackerorganisation im November 2022 die Daten im Darknet für 50 Millionen Dollar zum Kauf an. Anhaltspunkte dafür, dass es im zeitlichen Fortgang zu einem Verkauf oder zu einer Veröffentlichung der kopierten Daten gekommen ist, bestehen nicht.

Nach Kenntniserlangung des Hackerangriffs informierte die Beklagte die Landesbeauftragte für den Datenschutz in Niedersachsen in deren Eigenschaft als Datenschutzaufsichtsbehörde gem. Art. 33 DSGVO gebündelt für alle betroffenen Gesellschaften über den Vorfall. Die daraufhin eingeleitete Untersuchung bzw. das Prüfverfahren der Aufsichtsbehörde wurden abgeschlossen, ohne dass Maßnahmen ergriffen wurden. In dem Schreiben der Aufsichtsbehörde ist ausgeführt, dass sich keine Hinweise auf systemische Fehler in den Datenverarbeitungsprozessen der Beklagten ergeben haben und dass eine Abhilfemaßnahme nach Art. 58 Abs. 2 DSGVO deshalb nicht erforderlich ist.

Im November 2023 informierte die Beklagte den Kläger von seiner Betroffenheit. Der Kläger nahm im zeitlichen Fortgang u.a. Änderungen an diversen Zugangsdaten im Internet vor. Zudem wechselte er zu einem E-Mail-Provider mit erhöhten Sicherheitsmerkmalen.

Auf Verlassung der Beklagten findet bis zum heutigen Zeitpunkt ein fortwährendes Darknet-Screenings statt. Im Darknet ist bislang lediglich eine Liste der Dateinamen der kopierten Dateien auffindbar ist, nicht jedoch die Dateien an sich.

Der Kläger hat die Ansicht vertreten, zu dem Datenleck sei es wegen mangelnder technischer und organisatorischer Sicherheitsvorkehrungen gekommen. Insbesondere hätte die A bzw. die Beklagte eine Pseudonymisierung und/oder Verschlüsselung der personenbezogenen Daten vornehmen sowie ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung durchführen müssen.

Der Kläger hat behauptet, seine Personenstammdaten, besondere Kategorien personenbezogener Daten, Kennnummern, Bankdaten, IT-Nutzungsdaten, tätigkeitsbezogene Daten, Kommunikationsdaten, Vergütungsdaten, Qualifikationsdaten und Sonstiges seien von dem Datenleck betroffen. Hinsichtlich der Einzelheiten der Aufzählung wird auf Blatt 109 bis 112 der Akte des Arbeitsgerichts bzw. auf Blatt 37 bis 40 der Akte des Landesarbeitsgerichts verwiesen.

Der Kläger hat auch behauptet, durch das Kopieren seiner Daten durch die Hackerorganisation habe er einen Kontrollverlust hinsichtlich seiner Daten erlitten, der bei ihm Sorgen und Ängste, insbesondere vor einem Identitätsklau und sonstigem Missbrauch hervorrufe. Er müsse davon ausgehen, dass Kriminelle die Daten – auch noch nach Jahren – dazu verwendeten, unbefugt Zugang zu Bankkonten und Online-Diensten zu erhalten, um ihn finanziell oder seinen Ruf zu schädigen. Zudem sei auch bereits der Umstand, dass seine Daten einer unbekannten Anzahl von unberechtigten Personen zur Verfügung stünden für ihn beängstigend, da nicht bekannt sei, auf welcher Weise diese zweckentfremdet zum Einsatz kommen könnten.

Der Kläger hat die Auffassung, ihm stünde deswegen sowie auch wegen eines Verstoßes gegen Art. 34 DSGVO ein immaterieller Schadensersatz zu.

Er hat vor dem Arbeitsgericht beantragt, die Beklagte zu verurteilen, an ihn als Ausgleich für Datenschutzverstöße einen immateriellen Schadensersatz, der den Betrag von 3.000,- EUR nicht unterschreiten sollte, nebst Zinsen seit Rechtshängigkeit zu zahlen sowie festzustellen, dass die Beklagte verpflichtet ist, ihm alle materiellen künftigen Schäden zu ersetzen, die ihm durch den unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten mit seinen personenbezogenen Daten, der nach bisherigen Informationen im Zeitraum von Anfang Juli bis Ende August 2022 erfolgt ist, noch entstehen werden. Darüber hinaus hat der Kläger mit weiteren Anträgen einerseits die Unterlassung begehrt, dass die Beklagte bestimmte personenbezogene Daten Dritten zugänglich macht und andererseits hat er die Zahlung seiner außergerichtlichen Rechtsanwaltskosten erstrebt.

Die Beklagte hat die Abweisung der Klage beantragt und die Auffassung vertreten, Schadensersatzansprüche stünden dem Kläger nicht zu, da es weder einen schuldhaften Verstoß gegen die Bestimmungen der DSGVO gäbe, noch dem Kläger ein Schaden entstanden sei. Im Übrigen fehle es auch an einem Kausalzusammenhang zwischen einer etwaig rechtswidrigen Datenverarbeitung und einem etwaigen Schaden des Klägers.

Die Beklagte hat bestritten, dass alle von dem Kläger bezeichneten personenbezogenen Daten von der Hackerorganisation kopiert worden seien. Bei den von dem Kläger bezeichneten Daten handele es sich um die Aufstellung der Kategorien personenbezogener Daten, die von der Beklagten grundsätzlich erhoben, verarbeitet und gespeichert würden. Nicht alle diese Daten seien kopiert worden. Ihrem Auskunftsschreiben an den Kläger nach Art. 34 DSGVO seien eine Anlage 1 mit einem Auszug aus ihrem Personaldatenverarbeitungssystem, welche sämtliche gespeicherten Daten bezeichnet, und eine Anlage 2 mit den konkret vom Cyberangriff betroffenen Daten beigefügt gewesen. Der Kläger lege weder diese Anlage 2 vor, noch benenne er die hierin bezeichneten konkret kopierten Daten. Die Beklagte hat ausdrücklich bestritten, dass Bank-, Steuer-, Renten- oder Sozialversicherungsdaten von den Angreifern kopiert worden seien. Gleiches gelte für private Zugangsdaten sowie für die Handynummer des Klägers.

Die Beklagte hat die Ansicht geäußert, die von ihr zum Schutz der personenbezogenen Daten ihrer Mitarbeiter getroffenen technischen und organisatorischen Maßnahmen seien zu jedem Zeitpunkt wirksam sowie angemessen gewesen und hätten dem Stand der Technik entsprochen. Hinsichtlich einer Auflistung der einzelnen Maßnahmen wird auf Blatt 145 ff. der Akte des Arbeitsgerichts verwiesen.

Die Beklagte hat gemeint, die von den Hackern kopierten Daten seien nicht entwendet und veröffentlicht, sondern lediglich kopiert worden. Im Übrigen sei ein etwaiger vom Kläger erlittener Schaden nicht kausal auf den Cyberangriff zurückzuführen.

Hinsichtlich des weiteren erstinstanzlichen Vorbringens der Parteien wird auf die gewechselten Schriftsätze, die Niederschriften der mündlichen Verhandlungen und auf den Tatbestand des arbeitsgerichtlichen Urteils verwiesen.

Das Arbeitsgericht Offenbach am Main hat mit Urteil vom 18. Juni 2025 die Klage insgesamt abgewiesen und – soweit für das Berufungsverfahren von Bedeutung – angenommen, ein Schadensersatzanspruch aus Art. 82 Abs. 1 und 2 DSGVO stünde dem Kläger nicht zu. Es fehle an einer Datenverarbeitung unter schuldhaftem Verstoß gegen die Bestimmungen der DSGVO. Soweit sich der Kläger darauf berufe, die Beklagte habe bei der Verarbeitung der personenbezogenen Daten nicht die geeigneten technischen und organisatorischen Maßnahmen zum Schutz der Daten ergriffen (Art. 5 Abs. 1 f. DSGVO), hätte zwar hieraus ein Schadensersatzanspruch gemäß Art. 82 Abs. 1 DSGVO folgen können, die Beklagte habe jedoch mit ihrem Vortrag das Vorliegen eines schuldhaften Verstoßes widerlegt. Insoweit sei die Beklagte der ihr obliegenden Darlegungslast nachgekommen. Dem sei der Kläger zuletzt nicht erheblich entgegengetreten.

Zunächst sei festzuhalten, dass alleine der Umstand, dass die Beklagte Opfer eines Hackerangriffs geworden ist, keinen Nachweis dafür biete, dass unzureichende Maßnahmen ergriffen worden seien. Auch könne der Beklagten das Verhalten des Mitarbeiters der ungarischen Tochtergesellschaft nicht zugerechnet werden, da eine Zurechnung – auch unter Zugrundelegung des funktionalen Unternehmerbegriffs – nur erfolgen könne, wenn der Verantwortliche einen bestimmenden Einfluss auf den jeweiligen Mitarbeiter gehabt habe, was vorliegend nicht gegeben sei. Auch dem Vorwurf eigener Fehler in Bezug auf das Ergreifen technischer und organisatorischer Maßnahmen zum Schutz personenbezogener Daten sei die Beklagte ausreichend entgegengetreten. Entscheidend sei, dass die von der zuständigen Datenschutzaufsichtsbehörde aus Anlass des Hackerangriffs vorgenommene Untersuchung zu dem Ergebnis gekommen sei, Abhilfemaßnahme nach Art. 58 Abs. 2 DSGVO seien nicht erforderlich.

Das Arbeitsgericht hat sich insoweit von dem in Art. 32 Abs. 3 DSGVO enthaltenen Rechts- und Wertungsgedanken leiten lassen, bei den in Art. 32 Abs. 3 DSGVO erwähnten Zertifizierungen handele es sich gemäß § 42 DSGVO um solche, die dazu dienten, nachzuweisen, dass die DSGVO bei Verarbeitungsvorgängen u.a. von den Verantwortlichen eingehalten würden. Lägen derartige Zertifizierungen vor, könne deren Einhaltung gemäß § 32 Abs. 3 DSGVO als Faktor herangezogen werden, um die Erfüllung der in Art. 32 Abs. 1 DSGVO genannten Anforderungen nachzuweisen. Gemäß Art. 58 Abs. 1 DSGVO wiederum könnten die Aufsichtsbehörde die erteilten Zertifizierungen überprüfen und ggf. gemäß Art. 42 Abs. 7 DSGVO widerrufen, wenn die Kriterien für die Zertifizierung nicht mehr erfüllt seien. Erfolge kein Widerruf, könne im Umkehrschluss Art. 32 Abs. 3 DSGVO zur Anwendung kommen. Die Einschätzung der Aufsichtsbehörde dürfe mithin als Gewähr dafür verstanden werden, dass die von ihr herangezogenen Kriterien tatsächlich vorlägen.

Der gleiche Maßstab sei zur Anwendung zu bringen, wenn die Aufsichtsbehörde im Anschluss an eine Meldung gemäß Art. 33 DSGVO zu dem Ergebnis gelange, systemische Fehler im Datenverarbeitungssystem lägen nicht vor und Abhilfemaßnahmen gemäß Art. 58 Abs. 2 DSGVO seien nicht notwendig. Auch in diesem Fall sei, ähnlich wie beim Vorliegen einer nicht widerrufenen Zertifizierung, durch die Aufsichtsbehörde bestätigt, dass die Verarbeitungsvorgänge des Verantwortlichen im Einklang mit der DSGVO stünden bzw. gestanden hätten.

Das Arbeitsgericht hat weiter erkannt, dass die von dem Kläger erhobene Rüge eines Verstoßes gegen Art. 34 DSGVO keinen Schadensersatzanspruch nach Art. 82 DSGVO begründen könne, da eine etwaig verspätete Auskunft nicht kausal für den vorliegend behaupteten Schaden eines Kontrollverlustes sei. Der behauptete Kontrollverlust sei ausschließlich auf den Hackerangriff zurückzuführen.

Schließlich ist das Arbeitsgericht davon ausgegangen, dass der Feststellungsantrag mangels eines Verstoßes der Beklagten gegen die Bestimmungen der DSGVO unbegründet sei.

Bezüglich der Einzelheiten der Argumentation des Arbeitsgerichts werden die Entscheidungsgründe des angefochtenen Urteils in Bezug genommen.

Das Urteil des Arbeitsgerichts ist dem Kläger am 04. Juli 2025 zugestellt worden. Hiergegen hat er mit Schriftsatz vom 31. Juli 2025 am 31. Juli 2025 Berufung eingelegt und diese mit Schriftsatz vom 02. Oktober 2025 am 02. Oktober 2025 begründet, nachdem die Berufungsbegründungsfrist auf Antrag vom 31. Juli 2025 am 01. August 2025 bis zum 02. Oktober 2025 verlängert worden war.

Der Kläger ist der Auffassung, das Arbeitsgericht habe die Klage zu Unrecht abgewiesen, weil sensible Daten von ihm bei der Beklagten abhandengekommen und im Darknet zum Verkauf angeboten worden seien. Er wiederholt seine Behauptung erster Instanz bezüglich der von dem Datenleck betroffenen Daten. Er behauptet, die Beklagte habe in mehrfacher Hinsicht gegen Bestimmungen der DSGVO verstoßen. Im Einzelnen habe sie seine Daten ohne Rechtsgrundlage verarbeitet (Art. 6 DSGVO), das Transparenzgebot missachtet, Informations- und Aufklärungspflichten nicht beachtet (Art. 12 bis 14 DSGVO), keine ausreichenden technischen und organisatorischen Maßnahmen zum Schutz der Daten ergriffen (Art. 32 DSGVO), die Aufsichtsbehörde nicht rechtzeitig und nicht umfassend von dem Verstoß unterrichtet (Art. 33 DSGVO), ihn selbst nicht ordnungsgemäß über das Datenleck informiert (Art. 34 DSGVO) und keine Datenschutzfolgeabschätzung vorgenommen (Art. 35 DSGVO). Hinsichtlich seiner Behauptung des Fehlens ausreichender technischer und organisatorischer Maßnahmen zum Schutz der personenbezogenen Daten meint der Kläger, die darlegungspflichtige Beklagte habe keine substantiierte und strukturierte Darstellung der bekämpften Risiken und der konkreten Gegenmaßnahmen vorgetragen.

Der Kläger vertritt die Ansicht, wegen der fehlenden ausreichenden Sicherung seiner Daten habe er einen Kontrollverlust erlitten, der einen Schaden darstelle. Er sei in ständiger Sorge, dass seine Daten zu kriminellen Zwecken verwandt und ihm dadurch materielle Schäden zugefügt würden. Auch lebe er in der Angst, dass es ihm bei der Vielzahl der Phishing-Nachrichten nicht in allen Fällen gelinge, die vermeintlich betrügerische Absicht hinter der Nachricht zu erkennen und so auf betrügerische Webseiten gelange. Zudem sei bereits der Umstand, dass seine Daten einer unbekannten Anzahl von unberechtigten Personen zur Verfügung stünden, beängstigend, da nicht bekannt sei, auf welche Weise die Daten zweckentfremdet zum Einsatz kommen könnten. In diesem Zusammenhang sei zu berücksichtigen, dass auch ein zeitverzögerter Missbrauch seiner Daten möglich sei.

Er meint, schon die Befürchtung eines Missbrauchs personenbezogener Daten stelle einen immateriellen Schaden dar. Die unbefugte Veröffentlichung des Wohnorts, des Geburtsdatums, der Telefonnummer, der E-Mail-Adresse, des Beziehungsstatus, der Sozialversicherungsnummer, der Unterschrift nebst Lichtbild und der Steueridentifikationsnummer begründeten erhebliche Gefahren eines Datenmissbrauchs.

Der Kläger ist der Auffassung, die Beklagte könne sich auch nicht nach Art. 82 Abs. 3 DSGVO exkulpieren. Ein Hinweis auf einen Mitarbeiterexzess oder auf das Vorliegen eines außergewöhnlichen Hackerangriffs genüge nicht. Es fehle an einem Vortrag, wie sich die Beklagten vor konzernübergreifenden Risiken geschützt habe.

Hinsichtlich des Feststellungsantrags vertritt der Kläger die Meinung, das erforderliche Feststellungsinteresse sei zu bejahen, weil wegen der andauernden Kontrollverlustsituation und der Möglichkeit der missbräuchlichen Nutzung des Datensatzes ein künftiger Schaden nicht ausgeschlossen sei. Die bloße Möglichkeit eines Schadenseintritts nach Datenschutzverletzung genüge für die Zulässigkeit und Begründetheit des Antrags.

Hinsichtlich der genauen Begründung der Berufung wird auf die Berufungsbegründungsschrift vom 02. Oktober 2025 und auf die beiden Schriftsätze des Klägers vom 03. Februar 2026 sowie auf Niederschrift der mündlichen Verhandlungen vom 10. Februar 2026 verwiesen.

Der Kläger beantragt unter Teilberufungsrücknahme bezüglich eines Auskunftsanspruchs und einer Reduzierung der geltend gemachten Schadensersatzforderung von mindestens 2.000,- EUR auf mindestens 500,- EUR zuletzt, das Urteil des Arbeitsgerichts Offenbach am Main vom 18. Juni 2025 –10 Ca 32/25 – teilweise abzuändern und

1. die Beklagte zu verurteilen, an ihn als Ausgleich für Datenschutzverstöße einen immateriellen Schadensersatz, dessen Höhe in das Ermessen des Gerichts gestellt wird, der den Betrag von 500,- EUR aber nicht unterschreiten sollte, nebst Zinsen in Höhe von 5 Prozentpunkten über dem jeweiligen Basiszinssatz seit Rechtshängigkeit zu zahlen sowie
2. festzustellen, dass die Beklagte verpflichtet ist, ihm alle materiellen künftigen Schäden zu ersetzen, die ihm durch den unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten mit den personenbezogenen Daten der Klagepartei, der nach bisherigen Informationen am 01.08.2022 erfolgte, noch entstehen werden.

Die Beklagte beantragt,

die Berufung zurückzuweisen.

Die Beklagte verteidigt die Entscheidung des Arbeitsgerichts unter Vertiefung ihres erstinstanzlichen Vorbringens. Hinsichtlich ihres Vorbringens im Einzelnen wird auf die Berufungserwiderungsschrift vom 22. Dezember 2025, auf ihren Schriftsatz vom 06. Februar 2026 und auf das Protokoll der mündlichen Verhandlung vom 10. Februar 2026 verwiesen.

Entscheidungsgründe

I. Die gegen das Urteil des Arbeitsgerichts Offenbach am Main vom 18. Juni 2025 – 10 Ca 32/25 – eingelegte Berufung des Klägers ist zulässig. Das Rechtsmittel ist gemäß §§ 8 Abs. 2, 64 Abs. 1, 2 b) ArbGG statthaft, da der Wert des Beschwerdegegenstandes 600,- EUR übersteigt. Die Berufung ist auch fristgerecht eingelegt und ordnungsgemäß begründet worden, §§ 66 Abs. 1, 64 Abs. 4 ArbGG, §§ 519, 520 Abs. 1, 3 und 5 ZPO.

II. Die Berufung ist unbegründet. Das Arbeitsgericht hat die Klage zu Recht abgewiesen.

1. Ein Schadenersatzanspruch nach Art. 82 Abs. 1 DSGVO setzt nach der Rechtsprechung des Gerichtshofs der Europäischen Union (EuGH) einen Verstoß gegen die Datenschutz-Grundverordnung, das Vorliegen eines materiellen oder immateriellen Schadens sowie einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß voraus, wobei diese drei Voraussetzungen kumulativ gegeben sein müssen (vgl. EuGH 4. Oktober 2024 – C-200/23 – [Agentsia po vpisvaniyata] Rn. 140; EuGH 4. Mai 2023 – C-300/21 – [Österreichische Post] Rn. 32; ebenso BAG 20. Februar 2025 – 8 AZR 61/24 – Rn. 10). Vorliegend fehlt es an allen drei Voraussetzungen.

Hinsichtlich der Darlegungs- und Beweislast gilt, dass die Person, die auf der Grundlage von Art. 82 Abs. 1 DSGVO den Ersatz eines immateriellen Schadens verlangt, nicht nur den Verstoß gegen Bestimmungen der Datenschutz-Grundverordnung nachweisen muss, sondern auch, dass ihr durch diesen Verstoß ein solcher Schaden entstanden ist (vgl. EuGH 11. April 2024 – C-741/21 – [juris] Rn. 35; EuGH 25. Januar 2024 – C-687/21 – [MediaMarktSaturn] Rn. 60 f.; BAG 20. Juni 2024 – 8 AZR 124/23 – Rn. 13; BAG 20. Februar 2025 – 8 AZR 61/24 – Rn. 10).

a. Es fehlt bereits an einem schlüssigen Vortrag des Klägers zu einem Verstoß gegen die Bestimmungen der DSGVO. Zwar sind unstreitig Daten des Klägers kopiert worden und im Darknet ist eine Liste von Dateinamen aufzufinden, die die von den Hackern kopierten Dateien bezeichnen. Es fehlt aber an dem von dem darlegungsverpflichteten Kläger zu erbringendem Vortrag, welche seiner Daten konkret von den Hackern kopiert worden sind. Über diese Kenntnis verfügt der Kläger, weil die Beklagte mit ihrem Auskunftsschreiben in der dem Schreiben beigefügten Anlage 2 die kopierten Daten konkret bezeichnet hat. Dieser Umstand ist von der Beklagten bereits im erstinstanzlichen Verfahren unbestritten vorgetragen worden und auch im Berufungsverfahren bis zuletzt unstreitig geblieben. Zwar hat der Kläger in der mündlichen Verhandlung vom 10. Februar 2026 auf Nachfrage des Vorsitzenden angegeben,nach seiner Erinnerung habe er die Anlage 2 zum Informationsschreiben der Beklagten über den Datenschutzvorfall nicht erhalten, dies stellt aber kein erhebliches Bestreiten dar. Einerseits belegt der Umstand, dass der Kläger im Rahmen der mündlichen Verhandlung auf seinem Mobiltelefon zwar eine Kopie des Auskunftsschreiben vorgefunden hat, nicht aber die Anlagen zu dem Schreiben, nicht, dass diese dem ursprünglichen Schreiben nicht beigefügt waren. Andererseits stellt sein Hinweis auf seine fehlende Erinnerung nicht die ausdrückliche Angabe dar, die Anlage seien nicht beigefügt gewesen. Im Übrigen wäre das erstmalige Bestreiten des Erhalts der Anlage 2 in der mündlichen Verhandlung vor dem Landesarbeitsgericht verspätet, da es zumindest nicht mit der Berufungsbegründung erfolgt ist, § 67 Abs. 4 ArbGG, und die Berücksichtigung zu einer Verzögerung des Berufungsverfahrens führen würde.

Soweit der Kläger mit seiner Berufungsbegründung die erstinstanzliche Behauptung hinsichtlich der konkret kopierten Daten wiederholt, fehlt es an einer Auseinandersetzung mit dem Vortrag der Beklagten, bei den laut Kläger angeblich kopierten Daten handele es sich nicht um die widerrechtlich kopierten Daten, sondern um Daten, die in Beschäftigungsverhältnissen von der Beklagten grundsätzlich gespeichert werden. Diese grundsätzlich erhobenen Daten seien im Auskunftsschreiben als Anlage 1 beigefügt gewesen, die widerrechtlich kopierten Daten des Klägers in Anlage 2. Hinzu kommt, dass die Beklagte hinsichtlich einzelner Daten, nämlich bezüglich der Bank-, Steuer-, Renten- und Sozialversicherungsdaten sowie hinsichtlich der privaten Zugangsdaten und der Handynummer des Klägers ausdrücklich vorgetragen hat, diese Daten seien nicht kopiert worden. Eine Auseinandersetzung des Klägers mit diesem Vorbringen fehlt ebenfalls.

Soweit der Kläger mit der Berufungsbegründung neben der erstinstanzlich behaupteten Verletzung von Art. 32 und 34 DSGVO erstmals und im Weg der Verwendung von Textbausteinen die Verletzung von Art. 6, 12 bis 14, 33 und 35 DSGVO rügt, fehlt es insgesamt an einem hinreichenden Vortrag zu einem Datenschutzverstoß.

b. Auch das Vorliegen eines immateriellen Schadens – einen materiellen Schaden behauptet der Kläger nicht schlüssig – kann nach Auffassung der Kammer vorliegend nicht anerkannt werden. Der Kläger beruft sich insoweit auf einen Kontrollverlust durch das Kopieren seiner Daten und auf seine Befürchtung einer missbräuchlichen Verwendung seiner Daten durch die Hackerorganisation.

aa. Zwar kann nach der Rechtsprechung des EuGH ein Kontrollverlust auch dann gegeben sein, wenn konkret keine missbräuchliche Verwendung der betreffenden Daten zum Nachteil der geschützten Person erfolgt sein sollte (vgl. EuGH 4. Oktober 2024 – C-200/23 – [Agentsia po vpisvaniyata] Rn. 144 ff.), denn es kann die entsprechende Gefahr bestanden haben. Die durch einen Verstoß gegen die Datenschutz-Grundverordnung ausgelöste Befürchtung einer betroffenen Person, ihre personenbezogenen Daten könnten von Dritten missbräuchlich verwendet werden, kann für sich genommen einen immateriellen Schaden i.S.v. Art. 82 Abs. 1 DSGVO darstellen (EuGH 25. Januar 2024 – C-687/21 – [MediaMarktSaturn] Rn. 65; EuGH 14. Dezember 2023 – C-340/21 – [Natsionalna agentsia za prihodite] Rn. 79 ff.). Das rein hypothetische Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten kann jedoch nicht zu einer Entschädigung führen (EuGH 25. Januar 2024 – C-687/21 – [MediaMarktSaturn] Rn. 68; BAG 20. Juni 2024 – 8 AZR 124/23 – Rn. 13; BSG 24. September 2024 – B 7 AS 15/23 R – Rn. 31).

Unter einem Kontrollverlust versteht der EuGH daher nur eine Situation, in der die betroffene Person eine begründete Befürchtung des Datenmissbrauchs hegt (vgl. BSG 24. September 2024 – B 7 AS 15/23 R – Rn. 31). Das bloße Berufen auf eine bestimmte Gefühlslage reicht dabei nicht aus. Das Gericht hat vielmehr zu prüfen, ob das Gefühl unter Berücksichtigung der konkreten Umstände als begründet angesehen werden kann (EuGH 14. Dezember 2023 – C-340/21 – [Natsionalna agentsia za prihodite] Rn. 85). Dies setzt zwingend die Anwendung eines objektiven Maßstabs voraus (BAG 25. Juli 2024 – 8 AZR 225/23 – Rn. 33; BAG 20. Juni 2024 – 8 AZR 124/23 – Rn. 15; BAG 20. Februar 2025 – 8 AZR 61/24 – Rn. 10). Je gravierender die Folgen eines Verstoßes gegen die Datenschutz-Grundverordnung sind, desto näher liegt eine begründete Befürchtung des Datenmissbrauchs. So wird die Veröffentlichung von sensiblen Daten im Internet aufgrund eines Datenlecks typischerweise eine Grundlage für solche Befürchtungen darstellen (BAG 20. Februar 2025 – 8 AZR 61/24 – Rn. 10).

bb. Zwar wird mit dem Kläger davon auszugehen sein, dass er wegen des widerrechtlichen Kopierens seiner nicht näher bezeichneten personenbezogenen Daten einen Kontrollverlust bezüglich ihrer erlitten hat, eine begründete Sorge bezüglich des Eintritts eines weitergehenden Schadens ist jedoch nicht erkennbar.

Zunächst ist festzuhalten, dass die personenbezogenen Daten des Klägers im Internet oder im Darknet nicht eingestellt sind und auch zu keinem Zeitpunkt für einen Abruf dort zur Verfügung standen. Alleine ist im Darknet eine Liste mit Dateinamen eingestellt worden. Die einzelnen mit dem Dateinamen bezeichneten Dateien sind nicht einzusehen. Der Inhalt der Dateien ist, mit Ausnahme der Hackerorganisation selbst, Dritten nicht zugänglich. Hinzu kommt, dass die Beklagte unbestritten vorgetragen hat, dass es sich bei den kopierten Daten um eine riesige Menge nicht nur personenbezogener Daten handele, die unstrukturiert für unbefugte Dritte nicht nutzbar seien und von unbefugten Dritten auch nicht ohne massiven finanziellen Aufwand strukturiert werden könnten. Auch das Hochladen der Daten insgesamt dürfte für die Hackerorganisation aufgrund der Datenmenge einen ganz erheblichen Kostenfaktor darstellen. Bereits vor dem Hintergrund dieser Kosten und des erheblichen Aufwands, die Daten des Klägers strukturiert zusammenzufassen und darzustellen, erscheint es der Kammer ausgeschlossen, dass personenbezogene Daten des Klägers öffentlich gemacht werden.

Aber selbst, wenn die Kammer davon ausgehen wollte, dass die personenbezogenen Daten des Klägers zukünftig noch eingestellt werden könnten, wären begründete Befürchtungen eines Datenmissbrauchs nicht anzuerkennen. Entscheidend ist in diesem Zusammenhang, dass die Daten veraltet sind und ihr Wert für Dritte, die die Daten in schädigender Weise nutzen wollten, gegen Null tendiert. Zunächst ist nämlich darauf hinzuweisen, dass die Daten nicht dem Stand des Zeitpunkts des Kopierens entsprechen, sondern allenfalls dem Zeitpunkt des Ausscheidens des Klägers aus dem Arbeitsverhältnis mit der A am 30. November 2020. Anhaltspunkte dafür, dass die vormalige Arbeitgeberin nach dem Ausscheiden des Klägers seine Daten noch gepflegt hat, sind nicht gegeben. Hinzu kommt, dass auch im Zeitpunkt des Ausscheidens des Klägers aus dem Arbeitsverhältnis seine Daten, die knapp zwei Jahre später kopiert worden sind, nicht vollständig aktuell waren. Im Rahmen der Erörterungen im Verhandlungstermin vor der Kammer hat sich beispielsweise herausgestellt, dass die Festnetznummer des Klägers, die kopiert worden ist, nicht der im Jahr 2020 verwendeten Festnetznummer des Klägers entsprach. Die kopierte Nummer entstammte vielmehr der Zeit der Begründung des Arbeitsverhältnisses. Sie war also im Jahr 2006 aktuell gewesen, nicht mehr jedoch in den Jahren 2020 oder 2022. Gleiches gilt bzgl. des kopierten Wohnorts des Klägers. Auch hier wurde eine Wohnortangabe kopiert, die im Kalenderjahr 2020 nicht mehr aktuell war.

Begründete Befürchtungen eines Missbrauchs der personenbezogenen Daten des Klägers bezüglich seiner Bank-, Steuer-, Renten- und Sozialversicherungsdaten sowie seiner privaten Zugangsdaten und seiner Mobiltelefonnummer scheiden schon deshalb aus, weil die Beklagte diesbezüglich im Ergebnis unbestritten angegeben hat, diese Daten seien nicht kopiert worden.

Vor diesem Hintergrund greift auch das Vorbringen des Klägers zu einem materiellen Schadensersatz nicht durch. Seine erstmals mit Schriftsatz vom 03. Februar 2023 (Blatt 131 der Akte) aufgestellte und von der Beklagten bestrittene Behauptung „Mein Microsoft-Account wurde gehackt und es kam zu Abbuchungen für nicht bestelle Spiele-Abos auf der Microsoft Plattform (Wert ca. 200-300 EUR)“ erläutert ungeachtet des Fehlens jeglicher hinreichender Substantiierung und ungeachtet von § 67 ArbGG nicht, wie dieser Schaden entstanden sein soll, wenn private Zugangsdaten und Bankdaten nicht von den Hackern kopiert worden sind.

c. Soweit der Kläger mit der Berufungsbegründung eine Verletzung der Art. 6, 12 bis 14, 33, 34 und 35 DSGVO rügt, fehlt es auch an einem schlüssigen Vortrag des Klägers zu einer Kausalität zwischen dem behaupteten Datenschutzverstoß und dem hier geltend gemachten Schaden. Hierauf hat das Arbeitsgericht bezüglich Art. 34 DSGVO bereits zutreffend hingewiesen.

2. Der auf den Ersatz etwaiger zukünftiger Schäden gerichtete Feststellungsantrag des Klägers ist bereits unzulässig.

Die Zulässigkeit eines Feststellungsantrags setzt, soweit er sich auf künftig erwachsende Schäden bezieht, eine nicht entfernt liegende, vom Kläger darzulegende (vgl. BGH 5. Oktober 2021 – VI ZR 136/20 – Rn. 28) Möglichkeit eines Schadens voraus, d.h. aufgrund des festgestellten Sachverhalts muss der Eintritt eines künftigen weiteren Schadens zumindest denkbar und möglich erscheinen (vgl. BAG 05. Juni 2025 – 8 AZR 117/24 – Rn. 29; BAG 29. März 2023 – 5 AZR 55/19 – Rn. 28; BGH 10. Januar 2023 – VI ZR 67/20 – Rn. 14 mwN). Eine gewisse Wahrscheinlichkeit eines Schadenseintritts muss bestehen (LAG Düsseldorf – 12 Sa 1007/23 – Rn. 162). Hiervon kann vorliegend, wie unter II.1.b.bb. gezeigt, nicht ausgegangen werden.

Unabhängig von der fehlenden Zulässigkeit des Feststellungsantrags stünde diesem auch entgegen, dass der Kläger mit seinem Antrag im Gegensatz zum Verfahren erster Instanz nunmehr ein Kopieren der Daten am 01. August 2022 behauptet, wofür sich in der Akte keine Anhaltspunkte finden lassen. Diese Widersprüchlichkeit des Vortrags erster und zweiter Instanz konnte auch im Verhandlungstermin trotz Nachfragen von dem Kläger nicht aufgeklärt werden. Eine Berichtigung des Antrags unterblieb.

III. Die Kostenentscheidung beruht auf § 97 Abs. 1 ZPO.

IV. Die Zulassung der Revision ist nach § 72 Abs. 2 ArbGG nicht veranlasst.