Skip to content

BGH: Art. 15 Abs. 1 und 3 DSGVO gewährt keinen Anspruch auf Abschriften der Begründungsschreiben samt Anlagen zu Prämienanpassungen einer privaten Krankenversicherung

BGH
Urteil vom 06.02.2024
VI ZR 15/23
DSGVO Art. 15 Abs. 1, 3


Der BGH hat abermals entschieden, dass Art. 15 Abs. 1 und 3 DSGVO keinen Anspruch auf Abschriften der Begründungsschreiben samt Anlagen zu Prämienanpassungen einer privaten Krankenversicherung gewährt.

Leitsatz des BGH:
Aus Art. 15 Abs. 1 und 3 DSGVO folgt grundsätzlich kein Anspruch auf Abschriften der Begründungsschreiben samt Anlagen zu Prämienanpassungen in der privaten Krankenversicherung (Anschluss an BGH, Urteil vom27. September 2023 - IV ZR 177/22, NJW 2023, 3490 Rn. 45 ff.).

BGH, Urteil vom 6. Februar 2024 - VI ZR 15/23 - OLG Celle - LG Verden

Den Volltext der Entscheidung finden Sie hier:

AG Lörrach: Auskunftsanspruch gemäß Art. 15 DSGVO umfasst gespeicherte Audiomitschnitte von Telefongesprächen

AG Lörrach
Urteil vom 05.02.2024
3 C 661/23


Das AG Lörrach hat entschieden, dass der Auskunftsanspruch gemäß Art. 15 DSGVO auch gespeicherte Audiomitschnitte von Telefongesprächen umfasst.

Aus den Entscheidungsgründen:
I) Die Klage ist hinsichtlich des Auskunftsanspruchs nach Art. 15 DSGVO unstreitig gegeben. Zwischen den Parteien blieb bis zuletzt lediglich streitig, ob der Audiomitschnitt vom Telefongespräch Ende 2022 übermittelt wurde. Dafür bot die Beklagte keinen Beweis an, obwohl sie die Erfüllung zu beweisen hatte. Damit war die Beklagte dahingehend noch zu verurteilen.

II) Der Kläger hat gegen die Beklagte einen Anspruch auf Schadensersatz in Höhe seiner vorgerichtlichen Anwaltskosten in Höhe von 713,76 €. Dieser Anspruch richtet sich nach § 257 BGB auf Freistellung. Der Anspruch gründet für verschiedene Streitgegenstände auf verschiedenen Anspruchsgrundlagen (1)-3)). Hinsichtlich der Rechtsanwaltsgebühren ist der Streitwert aber einheitlich zu bestimmen, woraus sich die Schadenshöhe ergibt (4)).

1) Wegen der vorgerichtlichen Aufforderung zur Datenauskunft nach Art. 15 DSGVO hat der Kläger gegen die Beklagte einen Anspruch auf Ersatz der vorgerichtlichen Anwaltskosten aus Art. 82 DSGVO.

a) Die Beklagte hat gegen Art. 6 DSGVO verstoßen, indem sie die personenbezogenen Daten des Klägers ohne Rechtfertigung verarbeitet hat. Die Beklagte erhielt die Daten des Klägers ohne sein Wissen und Wollen. Die erlangten Daten benutzte die Beklagte, um den Kläger anzurufen und einen Vertragsschluss anzubieten. Die Telefondaten und die Personalien des Klägers sind personenbezogene Daten nach Art. 4 Nr. 1 DSGVO. Indem die Beklagte die Daten erhalten hat und bei sich selbst gespeichert hat, liegt eine Verarbeitung nach Art. 4 Nr. 2 DSGVO vor. Die Daten wurden anschließend für den Anruf und die Vertragsanbahnung verwendet, womit eine weitere Verarbeitung vorliegt. Solch eine Verarbeitung ist nur unter den Voraussetzungen des Art. 6 Abs. 1 DSGVO rechtmäßig. Die Beklagte hat keinen Fall davon vorgetragen. Insbesondere hat sie nicht vorgetragen, dass der Kläger zu solch einer Verarbeitung zustimmt hat. Soweit in der mündlichen Verhandlung erörtert wurde, woher die Beklagte die Daten hat und der Sohn des Klägers informatorisch angehört wurde, konnte er nicht bestätigen, dass er gegenüber der a. GmbH eine Einwilligung erteilt hat. Es ist auch nicht ersichtlich, dass unter einer Abwägung der Interessen die Verarbeitung gerechtfertigt war (Art. 6 Abs. 1 lit. f) DSGVO). Damit liegt ein Verstoß gegen eine konkrete Datenschutzbestimmung vor. Es kommt also nicht darauf an, ob auch anderweitige Verstöße ausreichen (dazu: BeckOK DatenschutzR/Quaas, 46. Ed. 1.11.2023, DS-GVO Art. 82 Rn. 14; EuGH GRUR-RS 2023, 8972).

b) Soweit auch die a. GmbH für die rechtswidrige Verarbeitung der personenbezogenen Daten verantwortlich war, ändert dies nichts daran, dass die Beklagte nach Art. 82 Abs. 4 DSGVO auch alleine für den gesamten Schaden haftet.

c) Die Beklagte konnte sich auch nicht nach Art. 82 Abs. 3 DSGVO exkulpieren, weil die Beklagte sowohl für die Speicherung als auch für die Verwendung selbst verantwortlich ist.

d) Als Schaden kann der Kläger die vorgerichtlichen Anwaltskosten für die Geltendmachung des Anspruchs aus Art. 15 DSGVO geltend machen.

aa) Hinsichtlich der Schadenshöhe hat der EuGH festgestellt, dass sich dieser grundsätzlich nach den nationalen Vorschriften ergibt. Dies darf allerdings nicht gegen die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität verstoßen. (EuGH GRUR-RS 2023, 8972, Rn. 59) Dahingehend ist zu berücksichtigen, dass die DSGVO einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden sicherstellen soll. (EuGH GRUR-RS 2023, 8972, Rn. 57) Damit ist kein Strafschadensersatz gefordert. (EuGH GRUR-RS 2023, 8972, Rn. 58) Allerdings erfordert Sinn und Zweck der DSGVO eine weite Auslegung des Schadensbegriffs (BeckOK DatenschutzR/Quaas, 46. Ed. 1.11.2023, DS-GVO Art. 82 Rn. 29).

bb) Hinsichtlich entstandener Rechtsanwaltskosten ist es im Rahmen von § 249 BGB anerkannt, dass diese ersetzt werden müssen, wenn man sich vorprozessual anwaltlicher Hilfe bedient hat, um einen Schadensersatzanspruch geltend zu machen (BeckOGK/Brand, 1.3.2022, BGB § 249 Rn. 178). Der Kläger macht aber Rechtsanwaltskosten geltend, weil er sich zur Durchsetzung seines Anspruchs aus Art. 15 DSGVO eines Anwalts bedient hat, was keinen Schadensersatzanspruch beinhaltet. Ein Schaden müsste sich damit aus den allgemeinen Grundsätzen der §§ 249 ff. BGB ergeben.

Nach der Differenzhypothese sind die Güterlagen mit und ohne schädigendes Ereignis zu bewerten (BeckOGK/Brand, 1.3.2022, BGB § 249 Rn. 12). Danach kann ein Schaden angenommen werden, weil das schädigende Ereignis die Erlangung der Daten durch die Beklagte und deren Verwendung ist. Ohne dieses Ereignis, hätte der Kläger niemals einen Anspruch aus Art. 15 DSGVO geltend machen wollen.

Die Beauftragung eines Anwalts geschah nach dem schädigenden Ereignis und basiert auf einem eigenen Willensentschluss des Klägers. Es handelt sich aber trotzdem um einen unfreiwilligen Schaden und keine Aufwendung als freiwilliges Vermögensopfer. Ein Schaden bei freiwilligen Vermögensopfern liegt vor, wenn sie aus Sicht eines verständigen Menschen in der Lage des Geschädigten erforderlich sind, um die Folgen einer Rechtsgutsverletzung zu beseitigen. (BeckOGK/Brand, 1.3.2022, BGB § 249 Rn. 10) Das ist vorliegend der Fall. Die Rechtsgutsverletzung ist die rechtswidrige Datenverarbeitung. Für den Kläger war es erforderlich, zunächst das Ausmaß dieser Rechtsgutsverletzung in Erfahrung zu bringen, um sich anschließend um die Schadensbehebung zu bemühen. Für die Durchsetzung des Anspruches aus Art. 15 DSGVO war auch die Einschaltung eines Anwalts erforderlich. Dem Kläger war es nicht nach § 254 BGB zuzumuten den Anspruch selbst zu verfolgen (so auch: LG Lübeck, Urteil vom 7. Dezember 2023 – 15 O 73/23 –, juris Rn. 192; LG Nürnberg-Fürth, Beschluss vom 20. Oktober 2023 – 10 O 1510/22 –, juris Rn. 162). Es kann nicht erwartet werden, dass ein juristischer Laie die Regelungen und Ansprüche aus der DSGVO kennt, um diese selbst durchzusetzen.

cc) Auch in der Literatur wird angenommen, dass vorgerichtliche Anwaltskosten ein Schaden sein können (BeckOK DatenschutzR/Quaas, 46. Ed. 1.11.2023, DS-GVO Art. 82 Rn. 29; Boehm in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 1. Auflage 2019, DSGVO Art. 82 Rn. 28: gerade in Bezug für die Ermittlung und Hilfe den immateriellen Schaden zu beseitigen). Auch in der Rechtsprechung wird dies angenommen (LG Lübeck, Urteil vom 7. Dezember 2023 – 15 O 73/23 –, juris Rn. 192; LG Nürnberg-Fürth, Beschluss vom 20. Oktober 2023 – 10 O 1510/22 –, juris Rn. 162).

dd) Da ein Schaden nach deutschem Recht angenommen werden kann, liegt auch kein Verstoß gegen die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität vor, da einer weiten Auslegung von Art. 82 DSGVO Rechnung getragen wird.

ee) Die Rechtsfrage ist auch nicht dem EuGH im Wege eines Vorabentscheidungsverfahrens vorzulegen. In der zitierten Entscheidung (EuGH GRUR-RS 2023, 8972) hat er bereits explizit entschieden, dass für die Schadenshöhe das nationale Recht anwendbar ist, dies aber nicht gegen die eigenständigen Anforderungen von Art. 82 DSGVO verstoßen darf. Diese Grundsätze wurden hier beachtet. Eine weitergehende Auslegung von EU-Recht noch ungeklärter Fragen ist nicht veranlasst.

2) Sowohl wegen des Strom- und Gaslieferungsvertrags und der Abwehr der Ansprüche daraus hat der Kläger gegen die Beklagte einen Anspruch auf Schadensersatz auf Erstattung der vorgerichtlichen Anwaltskosten aus §§ 280 Abs. 1; 311 Abs. 2 Nr. 2; 241 Abs. 2 BGB; 7 Abs. 2 Nr. 1 UWG.

a) Zwischen den Parteien bestand ein Schuldverhältnis nach § 311 Abs. 2 Nr. 2 BGB, weil die Beklagte den Kläger zur Vertragsanbahnung angerufen hat.

b) Dabei hat die Beklagte gegen ihre Rücksichtnahmepflicht aus § 241 Abs. 2 BGB i. V. m. § 7 Abs. 2 Nr. 1 UWG verstoßen. Sie hat ihn unaufgefordert angerufen und keine Einwilligung eingeholt, was einen Verstoß gegen § 7 Abs. 2 Nr. 1 UWG darstellt, weil der Kläger Verbraucher nach § 13 BGB war. Dem steht nicht entgegen, dass hier die Vertragsanbahnung und die Pflichtverletzung zusammengehen. Die Pflichtverletzung setzte sich nämlich fort, indem die Beklagte den Anruf aufrechterhielt ohne eine Einwilligung nach § 7a UWG einzuholen (so auch: AG Remscheid, Urteil vom 26. November 2015 – 7 C 73/15 –, juris; LG Arnsberg, Urteil vom 22. Januar 2015 – 8 O 133/14 –, juris Rn. 24; dagegen zweifelnd, aber nicht entschieden: OLG Hamm, Urteil vom 7. Oktober 2016 – 12 U 38/15 –, juris Rn. 38).

Soweit für die Beklagte ein Mitarbeiter handelte, wird ihr dieses Verhalten nach § 278 BGB zugerechnet.

c) Es wird vermutet, dass die Beklagte dies zu vertreten hat (§ 280 Abs. 2 BGB). Die Beklagte handelte sogar vorsätzlich, weil sie es gerade darauf anlegte, den Kläger unaufgefordert anzurufen. Auch hier wird das Verhalten des Mitarbeiters nach § 278 BGB zugerechnet.

Randnummer35
d) Als Schadensersatz kann der Kläger die vorgerichtlichen Anwaltskosten zur Klärung des fehlenden Vertragsverhältnisses und Abwehr der daraus resultierenden Ansprüche verlangen (§ 249 Abs. 1 BGB).

aa) Allein wegen des unerlaubten Anrufs nach § 7 Abs. 2 Nr. 1 UWG kam es zu dem für den Kläger unklaren Vertragsverhältnis zu der Beklagten. Damit waren die Vermögensinteressen des Klägers gefährdet, weil er befürchten musste, dass die Beklagte ungerechtfertigte Zahlungsansprüche geltend macht. Als juristischen Laien war es dem Kläger nicht zumutbar, das tatsächliche Vertragsverhältnis selbst zu klären. Es war somit für ihn erforderlich, einen Anwalt zu beauftragen. Dieser Vermögensschaden des Klägers war auch kausal aufgrund der Pflichtverletzung, weil das unklare Vertragsverhältnis gerade aus dem ungewollten Telefonanruf hervorging.

bb) Daran ändert nichts, dass die Beklagte mit Schreiben vom 14.02.2023 den Gaslieferungsvertrag kündigte. Entscheidend war, ob überhaupt ein Vertrag zustande kam. Im Kündigungsschreiben wurde auch noch angekündigt, dass eine Abschlussrechnung erfolgen werde. Damit ging die Beklagte weiterhin von einem geschlossenen Vertrag aus.

Hinsichtlich des Vertrags über Stromlieferung musste der Beklagte bis zu Schluss davon ausgehen, dass die Beklagte von einem bestehenden Vertrag ausging, weil er keine gegenteilige Information erhielt.

3) Sowohl wegen des Strom- und Gaslieferungsvertrags und der Abwehr der Ansprüche daraus kann der Kläger gegen die Beklagte Schadensersatz auf Erstattung der vorgerichtlichen Anwaltskosten aus §§ 831; 823 Abs. 2 BGB i. V. m. §§ 20 Abs. 1 Nr. 1; 7 Abs. 2 Nr. 1 UWG und damit aus einer weiteren Anspruchsgrundlage verlangen.

a) § 7 Abs. 2 Nr. 1 UWG ist an sich kein Schutzgesetz im Sinne des § 823 Abs. 2 BGB, weil die §§ 8 ff. UWG die zivilrechtliche Folgen des Verstoßes abschließend regeln (OLG Köln, Urteil vom 18. November 2022 – 6 U 49/22 –, juris). Allerdings ist § 7 Abs. 2 Nr. 1 UWG darüber hinaus nach § 20 Abs. 1 Nr. 1 UWG bußgeldbewährt. Diese Norm ist als Schutzgesetz im Sinne des § 823 Abs. 2 BGB einzuordnen (BeckOK UWG/Fritzsche, 22. Ed. 1.10.2023, UWG § 7 Rn. 21). Der Schutzumfang ist derselbe, weshalb nicht entschieden werden muss, ob § 7 Abs. 2 Nr. 1 UWG nicht doch selbst nach richtlinienkonformer Auslegung (Art. 13 ePrivacy-RL) als Schutzgesetz anzusehen ist (so: Köhler/Bornkamm/Feddersen/Köhler, 42. Aufl. 2024, UWG § 7 Rn. 24).

Das Gericht folgt auch dieser in der Literatur vertretene Auffassung. Eine Norm ist ein Schutzgesetz nach § 823 Abs. 2 BGB, wenn sie gerade Individualinteressen schützen möchte. Das ist hier der Fall. Das UWG will Verbraucher schützen (§ 1 Abs. 1 UWG). Dieser Schutz ist besonders ausgeprägt. So gewährt § 7 Abs. 2 Nr. 1 UWG Schutz vor sogenannten Cold-Calls. Dieser ist gegenüber Verbrauchern besonders ausgestaltet, da bei ihnen eine ausdrückliche Einwilligung eingeholt werden muss und ein Verstoß dagegen bußgeldbewährt ist, was bei Nicht-Verbrauchern jeweils nicht der Fall ist. Die Norm will somit nicht nur die Allgemeinheit vor Cold-Calls schützen, sondern auch einzelne Verbraucher vor dessen Gefahren bewahren. Wegen § 20 Abs. 1 Nr. 1 UWG kann nicht davon ausgegangen werden, dass die §§ 8 ff. UWG eine weitergehende zivilrechtliche Haftung ausschließen, weil die §§ 8 ff. UWG nicht die zivilrechtlichen Folgen von § 20 Abs. 1 Nr. 1 UWG regelt und § 20 Abs. 1 Nr. 1 UWG auch nicht denselben Regelungsgehalt von § 7 Abs. 2 Nr. 1 UWG hat, sondern einen eingeschränkteren Anwendungsbereich hat.

b) Die Beklagte verstieß gegen § 7 Abs. 2 Nr. 1 UWG. Sie holte beim Kläger keine Einwilligung ein für den ungefragten Anruf und zwischen den Parteien bestand auch davor keine Vertragsbeziehung. Der Kläger war Verbraucher nach § 13 BGB.

c) Dieses Vorgehen war durch die Beklagte auch so geplant, weshalb sie vorsätzlich nach § 823 Abs. 2 S. 2 BGB handelte.

d) Da für die Beklagte ein Mitarbeiter als Verrichtungsgehilfe handelte, haftet die Beklagte selbst nach § 831 BGB. Sie kann sich nicht nach § 831 Abs. 1 S. 2 BGB exkulpieren, weil dazu nichts vorgetragen wurde.

e) Als Schaden kann der Kläger die vorgerichtlichen Rechtsanwaltskosten nach § 249 Abs. 1 BGB verlangen.

aa) Der Kläger war damit konfrontiert, dass die Beklagte von zwei abgeschlossenen Verträgen ausging, was tatsächlich nicht der Fall war. Grundlage dafür war gerade die unzumutbare Belästigung nach § 7 Abs. 2 Nr. 1 UWG. Um diese Belastung zu beseitigen, hat Kläger zunächst Widerrufserklärungen abgegeben. Dies war aber nicht erfolgreich, weil der Kläger anschließend mit Gas zwangsbeliefert wurde und hinsichtlich des Vertrags über den Strom für ihn weiter nicht erkenntlich war, ob die Beklagte von einem wirksamen Vertrag ausging. Für den Kläger war es damit erforderlich einen Anwalt zu beauftragen, um das Vertragsverhältnis zu klären. Als juristischer Laie war ihm nicht klar, ob ein abgeschlossener Vertrag vorliegt oder er dies noch verhindern konnte. Für ihn war aber klar, dass zumindest die Beklagte noch von einem abgeschlossenen Vertrag ausging.

Damit wollte der Kläger nicht nur außervertragliche Ansprüche abwehren, wofür die Voraussetzungen der Geltendmachung von außergerichtlichen Rechtsanwaltskosten hoch sind (dazu: AG Lörrach, Urteil vom 25. September 2023 – 3 C 560/23 –, juris unter Verweis auf: BGH, NJW 2009, 1262). Für den Kläger ging es darum, ob der Vertrag an sich besteht. Gerade diese Unsicherheit will § 7 Abs. 2 Nr. 1 UWG vermeiden und die Beseitigung davon ist vom Schutzzweck und damit vom Schadensumfang umfasst.

bb) Daran ändert nichts, dass die Beklagte mit Schreiben vom 14.02.2023 den Gaslieferungsvertrag kündigte. Entscheidend war, ob überhaupt ein Vertrag zustande kam. Im Kündigungsschreiben wurde auch noch angekündigt, dass eine Abschlussrechnung erfolgen werde. Damit ging die Beklagte weiterhin von einem geschlossenen Vertrag aus.

Hinsichtlich des Vertrags über Stromlieferung musste der Beklagte bis zu Schluss davon ausgehen, dass die Beklagte von einem bestehenden Vertrag ausging, weil er keine gegenteilige Information erhielt.

4) Die Schadenshöhe für die jeweiligen Schadensersatzansprüche des Klägers setzen sich aus einem einheitlichen Streitwert zusammen, der die Höhe der Rechtsanwaltsgebühren bestimmt. Die Angelegenheit wurde als eine einzige behandelt und dafür ist ein einheitlicher Streitwert nach § 22 Abs. 1 RVG zu bilden.

Für den Auskunftsanspruch nahm der Kläger 1.000 € an, für den Gasliefervertrag 500 € und für den Stromliefervertrag 5.000 €. Die Beklagte ist diesen Werten nicht entgegengetreten. Zumindest hinsichtlich der Gasrechnung verlangte die Beklagte noch 654 €, weshalb die angesetzten 500 € angemessen waren. Soweit die Beklagte den Wert des Stromliefervertrags in Höhe von 5.000 € nicht anzweifelt, hält das Gericht auch diesen Betrag für angemessen. Hinsichtlich des Auskunftsanspruchs sieht das Gericht auch keinen Grund an der Angemessenheit von 1.000 € als Streitwert zu zweifeln.

Ausgehend von einem Streitwert von 6.500 € kann eine 1,3 Geschäftsgebühr, die Pauschale und die Mehrwertsteuer in Höhe von insgesamt 713,76 € verlangt werden.

C) Die Beklagte hat die Kosten des Rechtsstreits nach § 91 ZPO zu tragen, weil sie den Rechtsstreit verloren hat. Soweit der Rechtsstreit beidseitig für erledigt erklärt wurde, hat die Beklagte die Kosten nach § 91a ZPO zu tragen. Der Klageantrag Nr. 1 war ursprünglich zulässig und begründet. Wegen der Anspruchsberühmung war der Feststellungsantrag zulässig nach § 256 ZPO (BeckOK ZPO/Bacher, 51. Ed. 1.12.2023, ZPO § 256 Rn. 22). Die Beklagte forderte von dem Kläger noch 654 € aus dem Gasliefervertrag. Die Klage war auch begründet. Zwischen den Parteien kam kein Vertrag zustande. Für einen Vertragsschluss war die Beklagte beweisbelastet und hat dafür keinen Beweis angeboten, so dass auch damit zu rechnen war, dass sie den Prozess dahingehend verloren hätte. Dies erledigte sich dadurch, dass die Beklagte während des Prozesses versicherte aus dem Gasliefervertrag keine Ansprüche geltend machen zu wollen, damit war die Klage zum Zeitpunkt des erledigenden Ereignisses zulässig und begründet.


Den Volltext der Entscheidung finden Sie hier:

VG Berlin: Auskunftsanspruch aus Art. 15 DSGVO kann ein unverhältnismäßiger Aufwand zur Auskunftserteilung nur ein eng begrenzten Ausnahmefällen entgegengehalten werden

VG Berlin
Urteil vom 06.02.2024
1 K 187/21


Das VG Berlin hat entschieden, dass einem Auskunftsanspruch aus Art. 15 DSGVO ein unverhältnismäßiger Aufwand zur Auskunftserteilung nur ein eng begrenzten Ausnahmefällen entgegengehalten werden kann.

Aus den Entscheidungsgründen:
Soweit der Kläger – mit seinem Antrag zu 1.) – die Verpflichtung der Beklagten begehrt, die ihm unter dem 18. November 2020 erteilte Auskunft zu vervollständigen und ihm Auskunft über seine bis zum Datum seines Auskunftsantrages in den Verwaltungsvorgängen der Beklagten verarbeiteten personenbezogenen Daten zu erteilen, indem die Beklage ihm eine Kopie dieser Daten zur Verfügung stellt, ist die nach § 42 Abs. 1 Alt. 2 VwGO statthafte (vgl. BVerwG, Urteil vom 30. November 2022 - 6 C 10.21, juris Rn. 14) und auch sonst zulässige Verpflichtungsklage begründet (§ 113 Abs. 5 Satz 1 VwGO).

Grundlage für den insoweit geltend gemachten Anspruch ist Art. 15 Abs. 1 i.V.m. Abs. 3 Satz 1 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung - DSGVO).

Sinn und Zweck des Auskunftsanspruchs aus Art. 15 Abs. 1 DSGVO ist es, wie sich u.a. aus Erwägungsgrund 63 zur DSGVO ergibt, den Betroffenen in die Lage zu versetzen, von einer Verarbeitung ihn betreffender personenbezogener Daten Kenntnis zu erhalten, um im Folgenden nicht nur die Richtigkeit dieser Daten, sondern auch die Zulässigkeit ihrer Verarbeitung überprüfen und im Folgenden ggf. die ihm nach den Art. 16f. DSGVO zustehenden Rechte – beispielweise auf Löschung oder Einschränkung der Verarbeitung der Daten – ausüben zu können (EuGH, Urteil vom 4. Mai 2023 - C-487, juris Rn. 33f.). Gerade für eine Rechtmäßigkeitskontrolle ist aber, worauf der Kläger zu Recht hingewiesen hat, eine bloß abstrakte Übersicht über die verarbeiteten Daten nicht ausreichend, weshalb der Anspruch des Klägers nicht durch die ihm unter dem 18. November 2020 erteilte Auskunft der Beklagten erloschen ist, die sich lediglich auf die in den IT-Systemen der Beklagten gespeicherten (Stamm-)Daten des Klägers erstreckte. Vielmehr bedarf es, um die Rechtmäßigkeit der Datenverarbeitung im jeweiligen Einzelfall überprüfen zu können, notwendigerweise der konkreten Mitteilung, in welchem Kontext die Daten verarbeitet wurden (EuGH, Urteil vom 4. Mai 2023, a.a.O. Rn. 41f.; vgl. auch EuGH, Urteil vom 22. Juni 2023 - C-579/21, juris Rn. 64f., 66). Dies lässt sich regelmäßig durch Zurverfügungstellung einer Kopie i.S.d. Art. 15 Abs. 3 Satz 1 DSGVO erreichen, d.h. einer vollständigen, originalgetreuen Reproduktion der verarbeiteten Daten (EuGH, Urteil vom 4. Mai 2023, a.a.O. Rn. 32, 39 und Urteil vom 22. Juni 2023, a.a.O.; vgl. auch EuGH, Urteil vom 26. Oktober 2023 - C-307/22, juris Rn. 79).

Der Klagebegründung zufolge (vgl. Schriftsatz vom 22. Dezember 2023, S. 3, 4) soll der geltend gemachte Auskunftsanspruch aus Art. 15 Abs. 1 DSGVO auf diese Weise erfüllt werden. Durch die (dementsprechend tenorierte) Verpflichtung der Beklagten zur Zurverfügungstellung einer Kopie i.S.d. Art. 15 Abs. 3 Satz 1 DSGVO wird zugleich der durch den Kläger weiter geltend gemachten Anspruch auf Auskunft über die sogenannten „Metadaten“ i.S.d. Art. 15 Abs. 1 HS. 2 lit. a) bis h) DSGVO erfüllt (vgl. Urteil der Kammer vom 10. Januar 2024 - VG 1 K 73/22, UA S. 5f.).

Dem damit dem Grunde nach bestehenden Anspruch des Klägers aus Art. 15 Abs. 1 i.V.m. Abs. 3 Satz 1 DSGVO kann die Beklagte nicht mit Erfolg den Einwand der Unverhältnismäßigkeit oder des Rechtsmissbrauchs entgegenhalten.

Das Gericht verkennt nicht, dass mit der Zurverfügungstellung von Kopien aller in den Verwaltungsvorgängen der Beklagten enthaltenen Dokumente, in denen personenbezogene Daten des Klägers verarbeitet werden, nicht nur wegen der in jedem Einzelfall erforderlichen Prüfung entgegenstehender Rechte i.S.d. Art. 15 Abs. 4 DSGVO ein erheblicher Aufwand einhergeht. Aufgrund der Bedeutung des – grundsätzlich unbedingt gewährleisteten – Auskunftsanspruchs aus Art. 15 Abs. 1 DSGVO kommt eine Weigerung des Verantwortlichen, einem Auskunftsbegehren wegen des zu seiner Erfüllung zu treibenden unverhältnismäßigen Aufwandes Folge zu leisten, jedoch nur in eng begrenzten Ausnahmefällen in Betracht, beispielsweise bei einem offenkundig groben Missverhältnis zwischen den zur Erfüllung des Auskunftsanspruches erforderlichen Anstrengungen und dem Informationsinteresse des Betroffenen (vgl. Urteil der Kammer vom 12. Oktober 2023 - 1 K 561/21, juris Rn. 60). Diese Voraussetzung ist hier jedoch – trotz des großen Umfangs der durch die Beklagte zu sichtenden und vor einer Herausgabe an den Kläger ggf. zu anonymisierenden Akten – nicht erfüllt. Denn der Kläger hat unter Bezugnahme auf die besondere Schutzwürdigkeit seiner personenbezogenen Daten (vgl. hierzu das den Beteiligten bekannte Urteil der Kammer vom 10. Juni 2020 - VG 1 K 143/16, UA S. 9f.) plausibel dargelegt, dass er vorrangig deren Weitergabe durch die Beklagte an Dritte nachvollziehen wolle (die laut der Mitteilung der Beklagten an den Kläger vom 18. November 2020 mehrfach erfolgt ist), um diesen Dritten gegenüber eventuell die Löschung oder die Einschränkung der Verarbeitung der Daten geltend zu machen. Dem lässt sich allein dadurch Rechnung tragen, dass die Beklagte die betreffenden Dokumente in Kopie an den Kläger herausgibt; eine abstrakte Mitteilung der Empfänger der Daten ist nach dem oben Gesagten für die jeweils erforderliche Einzelfallprüfung nicht ausreichend. Der Einwand des Rechtsmissbrauchs, an den gleichermaßen strenge Anforderungen zu stellen sind, greift vor diesem Hintergrund ebenfalls nicht durch.


Den Volltext der Entscheidung finden Sie hier:



ArbG Suhl: Auskunftserteilung nach Art. 15 DSGVO per unverschlüsselter E-Mail verstößt gegen Art. 5 DSGVO - Schadensersatz aus Art. 82 DSGVO nur bei Nachweis eins konkreten Schadens

ArbG Suhl
Urteil vom 20.12.2023
6 Ca 704/23


Das ArbG Suhl hat entschieden, dass eine Auskunftserteilung nach Art. 15 DSGVO per unverschlüsselter E-Mail gegen Art. 5 DSGVO verstößt. Ein Anspruch auf Schadensersatz aus Art. 82 DSGVO besteht aber nur bei Nachweis eins konkreten Schadens.

Aus den Entscheidungsgründen:
1. Dem Kläger steht kein Anspruch aus Art. 82 DSGVO gegen die Beklagte auf Ersatz des von ihm geltend gemachten immateriellen Schadens zu.

Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde, Art. 82 Abs. 2 Satz 1 DSGVO. Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist, Art. 82 Abs. 3 DSGVO.

Die Voraussetzungen für einen Schadensersatzanspruch liegen nicht vor, da es jedenfalls an der Darlegung des Eintritts eines Schadens bei dem Kläger fehlt.

Ein Verstoß gegen Art. 5 DSGVO wegen des Versands der unverschlüsselten E-Mail liegt vor. Dies wurde auch vom Thüringer Landesbeauftragen für den Datenschutz und die Informationsfreiheit mit Bescheid vom 03.08.2023 bestätigt. Ob die Weiterleitung der Daten an den Betriebsrat und die monierte unvollständige Auskunftserteilung ebenfalls Verstöße gegen Regelungen der DSGVO darstellen, kann vorliegend dahinstehen. Denn der Kläger hat bereits keinen Schaden dargelegt.

Soweit der Kläger der Auffassung ist, bereits ein Verstoß gegen die DSGVO genüge für das Entstehen eines Schadensersatzanspruches, kann dem nicht gefolgt werden.

Es ist zwar zutreffend, dass die Frage, ob bereits der Datenschutzverstoß als solcher für das Entstehen eines Schadensersatzanspruchs ausreicht oder es darüber hinaus der Darlegung und des Nachweises eines konkreten (auch: immateriellen) Schadens bedarf, in Rechtsprechung und Literatur umstritten ist. Sowohl der österreichische Oberste Gerichtshof (Vorabentscheidungsersuchen vom 12.05.2021, ZD 2021, S. 631, wobei der Gerichtshof die Auffassung vertritt, es sei der Nachweis eines Schadens erforderlich) als auch das Bundesarbeitsgericht (Vorabentscheidungsersuchen vom 26.08.2021, 8 AZR 253/20-A, wobei das BAG den Nachweis eines Schadens nicht für notwendig hält) haben die hiermit zusammenhängenden Fragen dem Europäischen Gerichtshof zur Vorabentscheidung vorgelegt (OLG Frankfurt, Urteil vom 02.03.2022 – 13 U 206/20 -Rn. 68, 69, juris).

Auf das Vorabentscheidungsersuchen des österreichischen Obersten Gerichtshofes entschied jedoch nunmehr unter dem 04.05.2023 der EuGH, dass Art. 82 Abs.1 DSGVO so auszulegen ist, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadensersatzanspruch zu begründen. Zur Begründung führt der EuGH in seinem Urteil vom 04.05.2023, C-300/21, wie folgt aus:

„Mit seiner ersten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung ausreicht, um einen

Insoweit ist darauf hinzuweisen, dass nach ständiger Rechtsprechung die Begriffe einer Bestimmung des Unionsrechts, die für die Ermittlung ihres Sinnes und ihrer Tragweite nicht ausdrücklich auf das Recht der Mitgliedstaaten verweist, in der Regel in der gesamten Union eine autonome und einheitliche Auslegung erhalten müssen (Urteile vom 22. Juni 2021, Latvijas Republikas Saeima [Strafpunkte], C-439/19, EU:C:2021:504, Rn. 81, und vom 10. Februar 2022, ShareWood Switzerland, C-595/20, EU:C:2022:86, Rn. 21), die insbesondere unter Berücksichtigung des Wortlauts der betreffenden Bestimmung und des Zusammenhangs, in den sie sich einfügt, zu ermitteln ist (vgl. in diesem Sinne Urteile vom 15. April 2021, The North of England P & I Association, C-786/19, EU:C:2021:276, Rn. 48, sowie vom 10. Juni 2021, KRONE – Verlag, C-65/20, EU:C:2021:471, Rn. 25).

Die DSGVO verweist für den Sinn und die Tragweite der in ihrem Art. 82 enthaltenen Begriffe, insbesondere in Bezug auf die Begriffe „materieller oder immaterieller Schaden“ und „Schadenersatz“, nicht auf das Recht der Mitgliedstaaten. Daraus folgt, dass diese Begriffe für die Anwendung der DSGVO als autonome Begriffe des Unionsrechts anzusehen sind, die in allen Mitgliedstaaten einheitlich auszulegen sind.

Was als Erstes den Wortlaut von Art. 82 DSGVO betrifft, ist darauf hinzuweisen, dass nach Abs. 1 dieses Artikels „[j]ede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, … Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter [hat]“.

Zum einen geht aus dem Wortlaut dieser Bestimmung klar hervor, dass das Vorliegen eines „Schadens“ eine der Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadenersatzanspruch darstellt, ebenso wie das Vorliegen eines Verstoßes gegen die DSGVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind.

Daher kann nicht davon ausgegangen werden, dass jeder „Verstoß“ gegen die Bestimmungen der DSGVO für sich genommen den Schadenersatzanspruch der betroffenen Person im Sinne von Art. 4 Nr. 1 dieser Verordnung eröffnet. Eine solche Auslegung liefe dem Wortlaut von Art. 82 Abs. 1 DSGVO zuwider.

Zum anderen ist hervorzuheben, dass die gesonderte Erwähnung eines „Schadens“ und eines „Verstoßes“ in Art. 82 Abs. 1 DSGVO überflüssig wäre, wenn der Unionsgesetzgeber davon ausgegangen wäre, dass ein Verstoß gegen die Bestimmungen der DSGVO für sich allein in jedem Fall ausreichend wäre, um einen Schadenersatzanspruch zu begründen.

Als Zweites wird die vorstehende Wortauslegung durch den Zusammenhang bestätigt, in den sich diese Bestimmung einfügt.

Art. 82 Abs. 2 DSGVO, der die Haftungsregelung, deren Grundsatz in Abs. 1 dieses Artikels festgelegt ist, präzisiert, übernimmt nämlich die drei Voraussetzungen für die Entstehung des Schadenersatzanspruchs, nämlich eine Verarbeitung personenbezogener Daten unter Verstoß gegen die Bestimmungen der DSGVO, ein der betroffenen Person entstandener Schaden und ein Kausalzusammenhang zwischen der rechtswidrigen Verarbeitung und diesem Schaden.

Diese Auslegung wird auch durch die Erläuterungen in den Erwägungsgründen 75, 85 und 146 der DSGVO bestätigt. Zum einen bezieht sich der 146. Erwägungsgrund der DSGVO, der speziell den in Art. 82 Abs. 1 dieser Verordnung vorgesehenen Schadenersatzanspruch betrifft, in seinem ersten Satz auf „Schäden, die einer Person aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht“. Zum anderen heißt es in den Erwägungsgründen 75 und 85 der DSGVO, dass „[d]ie Risiken … aus einer Verarbeitung personenbezogener Daten hervorgehen [können], die zu einem … Schaden führen könnte“ bzw. dass eine „Verletzung des Schutzes personenbezogener Daten … einen … Schaden … nach sich ziehen [kann]“. Daraus ergibt sich erstens, dass der Eintritt eines Schadens im Rahmen einer solchen Verarbeitung nur potenziell ist, zweitens, dass ein Verstoß gegen die DSGVO nicht zwangsläufig zu einem Schaden führt, und drittens, dass ein Kausalzusammenhang zwischen dem fraglichen Verstoß und dem der betroffenen Person entstandenen Schaden bestehen muss, um einen Schadenersatzanspruch zu begründen.

Die Wortauslegung von Art. 82 Abs. 1 DSGVO wird auch durch einen Vergleich mit anderen Bestimmungen bestätigt, die ebenfalls in Kapitel VIII der DSGVO enthalten sind, das u. a. die verschiedenen Rechtsbehelfe regelt, mit denen die Rechte der betroffenen Person im Fall einer Verarbeitung ihrer personenbezogenen Daten, die gegen die Bestimmungen dieser Verordnung verstoßen soll, geschützt werden können.

Hierzu ist festzustellen, dass die in diesem Kapitel enthaltenen Art. 77 und 78 DSGVO im Fall eines behaupteten Verstoßes gegen diese Verordnung Rechtsbehelfe bei einer bzw. gegen eine Aufsichtsbehörde vorsehen, wobei sie – anders als Art. 82 DSGVO in Bezug auf Schadenersatzklagen – keinen Hinweis darauf enthalten, dass der betroffenen Person ein „Schaden“ entstanden sein müsste, um solche Rechtsbehelfe einlegen zu können. Dieser Unterschied in der Formulierung offenbart die Bedeutung des Kriteriums „Schaden“ und damit seine Eigenständigkeit gegenüber dem Kriterium „Verstoß“ für die Zwecke der auf die DSGVO gestützten Schadenersatzansprüche.

Auch haben die Art. 83 und 84 DSGVO, die die Verhängung von Geldbußen und anderen Sanktionen erlauben, im Wesentlichen einen Strafzweck und hängen nicht vom Vorliegen eines individuellen Schadens ab. Das Verhältnis zwischen den in Art. 82 DSGVO und den in den Art. 83 und 84 DSGVO enthaltenen Vorschriften zeigt, dass zwischen diesen beiden Kategorien von Bestimmungen ein Unterschied besteht, sie einander aber als Anreiz zur Einhaltung der DSGVO auch ergänzen, wobei das Recht jeder Person, den Ersatz eines Schadens zu verlangen, die Durchsetzungskraft der in dieser Verordnung vorgesehenen Schutzvorschriften erhöht und geeignet ist, von der Wiederholung rechtswidriger Verhaltensweisen abzuschrecken.

Schließlich ist darauf hinzuweisen, dass nach dem vierten Satz des 146. Erwägungsgrundes der DSGVO die Vorschriften der DSGVO unbeschadet von Schadenersatzforderungen aufgrund von Verstößen gegen andere Vorschriften des Unionsrechts oder des Rechts der Mitgliedstaaten gelten.

Nach alledem ist auf die erste Frage zu antworten, dass Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadenersatzanspruch zu begründen.“

Mit diesen Ausführungen wird nunmehr die Auffassung der Kammer bestätigt, dass für einen Anspruch auf Schadensersatz nach Art. 82 DSGVO neben einem Verstoß auch ein Schaden sowie ein Kausalzusammenhang zwischen Verstoß und Schaden erforderlich ist.

Der Kläger hat einen etwaigen immateriellen Schaden darzulegen und ggf. nachzuweisen.

Das Erfordernis des Nachweises eines tatsächlich erlittenen Schadens ist auch der Sache nach erforderlich, um ein vom Verordnungsgeber nicht gewolltes Ausufern von Schadensersatzforderungen in allen Fällen eines - tatsächlich für den Betroffenen folgenlosen - Datenschutzverstoßes zu vermeiden (OLG Frankfurt, Urteil vom 02.03.2022 – 13 U 206/20 -Rn. 73, juris).

Das Vorliegen eines konkreten immateriellen Schadens hat der Kläger nicht ausreichend dargetan. Im vorliegenden Fall ist nicht ersichtlich, inwieweit der Kläger einen Kontrollverlust erlitten haben will. Es ist nicht ersichtlich, dass der Kläger daran gehindert wurde, die ihn betreffenden personenbezogenen Daten zu kontrollieren. Darüber hinaus stellt nach Auffassung der Kammer ein bloßer, abstrakter Kontrollverlust auch keinen konkreten immateriellen Schaden dar.

2. Ein Anspruch des Klägers gegen die Beklagte auf Zahlung eines angemessenen Schmerzensgeldes unter dem Gesichtspunkt der Verletzung seines allgemeinen Persönlichkeitsrechts §§ 823 Abs. 1, 253 BGB in Verbindung mit Art. 1 Abs. 1, Art. 2 Abs. 1 GG besteht ebenfalls nicht.

Soweit der Kläger eine Entschädigung begehrt und argumentiert, dass alle immateriellen Schäden ersatzfähig seien, welche i.d.R. aus der Verletzung des allgemeinen Persönlichkeitsrechts heraus resultieren, kommen die genannten Normen auch als Anspruchsgrundlage in Betracht.

Das allgemeine Persönlichkeitsrecht dient in erster Linie dem Schutz ideeller Interessen, insbesondere dem Schutz des Wert- und Achtungsanspruchs der Persönlichkeit. Dieser Schutz wird dadurch verwirklicht, dass bei einer schweren Persönlichkeitsrechtsverletzung - neben negatorischen Schutzansprüchen und Ansprüchen auf Ersatz des materiellen Schadens - auch Ansprüche in Betracht kommen, die auf den Ausgleich immaterieller Beeinträchtigungen durch Zahlung einer Geldentschädigung gerichtet sind. Bei schwerwiegenden Verletzungen des allgemeinen Persönlichkeitsrechtsrechts besteht daher nach ständiger, mittlerweile gewohnheitsrechtlich anerkannter höchstrichterlicher Rechtsprechung ein Anspruch auf Ausgleich der dadurch verursachten immateriellen Schäden, der unmittelbar aus dem Schutzauftrag der Art. 1 Abs. 1, 2 Abs. 1 GG abgeleitet wird (OLG Düsseldorf, Beschluss vom 16.02.2021 – 16 U 269/20 – Rn. 14 m.w.N., juris).

Ein derartiger Anspruch scheitert vorliegend bereits daran, dass keine schwerwiegende Verletzung des allgemeinen Persönlichkeitsrechts dargetan wurde.

II. Das Verfahren war weder auszusetzen, noch das Ruhen des Verfahrens anzuordnen.


1. Entgegen der Ansicht des Klägers war das Gericht nicht gehalten, das vorliegende Verfahren auszusetzen. Das Verfahren war entscheidungsreif. Eine Aussetzung nach § 148 ZPO kam daher nicht in Betracht. Im Übrigen sind Bescheide des Landesdatenschutzbeauftragen nicht vorgreiflich im Sinne dieser Norm. Zudem ist unklar, ob weitere beim Landesdatenschutzbeauftragten anhängige Beschwerden überhaupt in Zusammenhang mit den hier behaupteten Datenschutzverstößen stehen.

Vielmehr geht die Kammer davon aus, dass mit Bescheid vom 03.08.2023 abschließend über die behaupteten Verstöße (unverschlüsselte E-Mail, Weiterleitung an Betriebsrat und unvollständige Auskunft) entschieden wurde. Entgegen der Darstellung des Klägers mit Beschwerdeformular vom 23.12.2021 sei ein weiterer Verstoß gerügt worden, betrifft diese Beschwerde offensichtlich den bereits dargelegten Verstoß der Auskunft per unverschlüsselter E-Mail.

Unter dem 25.01.2023 (Anlage K 3, Bl. 14 der Akte) erhielt der Kläger vom TLfDI eine Mittelung zur Beschwerde über Datenschutzverletzungen im A. In dem Schreiben wurde dargelegt, dass die Übermittlung mittels unverschlüsselter E-Mail als Verstoß gegen Art. 5 DSGVO zu werten ist. Es wurde auf ein laufendes Anhörungsverfahren hingewiesen und mitgeteilt, dass der Kläger über den Ausgang des Verfahrens informiert wird. Nach dem Antrag des Klägers auf Ergänzungsprüfung vom 30.03.2023 (Anlage K 4, Bl. 16 f. der Akte) und seiner weiteren Beschwerde vom 19.06.2023 (Anlage K5, Bl. 18 f. der Akte) erging am 03.08.2023 ein Bescheid. Mit dem Inhalt dieses Bescheides (Anlage K 6 Bl. 30 f. der Akte) ist davon auszugehen, dass damit abschließend über die Beschwerden des Klägers entschieden wurde. Denn der Bescheid ist überschrieben mit „Ihre Beschwerde über Datenschutzverletzungen im A in Bezug auf ihr Auskunftsersuchen“. Es wird ausgeführt: „das o.g. Verwaltungsverfahren zu Ihrer Beschwerde vom 23. Dezember 2021 ist abgeschlossen.“ Im Absatz vor der Rechtsbehelfsbelehrung wird zudem ausgeführt: „Weitere Maßnahmen sind nicht erforderlich. Auch aus Ihrem Schreiben vom 19. Juni 2023 ergibt sich nichts Anderes, weil wegen der fehlerhaften Auskunftserteilung eine Verwarnung erteilt wurde und Ihnen die begehrten Informationen vorliegen.“


Den Volltext der Entscheidung finden Sie hier:


OLG Nürnberg: Keine rechtsmissbräuchliche Geltendmachung eines Auskunftsanspruch aus Art. 15 DSGVO wenn dies aus datenschutzfremden Motiven erfolgt

OLG Nürnberg
Urteil vom 29.11.2023
4 U 347/21


Das OLG Nürnberg hat entschieden, dass keine rechtsmissbräuchliche Geltendmachung eines Auskunftsanspruch aus Art. 15 DSGVO vorliegt, wenn dies aus datenschutzfremden Motive erfolgt.

Aus den Entscheidunsggründen:
2. Die Berufung ist begründet.
a) Wie das Landgericht zutreffend ausführt, ist der Auskunftsantrag hinreichend bestimmt (§ 253 Abs. 2 Nr. 2 ZPO). In den Fällen der Geltendmachung eines Auskunftsanspruchs gern. Art. 15 Abs. 1 DSGVO genügt es grundsätzlich, wenn der Klageantrag dem Wortlaut der Vorschrift entsprechend auf Erteilung einer vollständigen Auskunft über die von der Beklagten verarbeiteten personenbezogenen Daten des Klägers gerichtet ist; eine Spezifizierung dieser Daten ist grundsätzlich nicht erforderlich (so zuletzt OLG Köln, NZA-RR 2023, 515 Rn. 16, beck-online).

b) Soweit der Kläger seinen Antrag wegen vorgerichtlich übermittelter Personalstamm- und BAV-Daten bereits beschränkt und wegen zweier Schriftsätze, die ihm im Rahmen des beim Landgericht Oldenburg anhängig gewesenen Verfahrens zugänglich gemacht wurden, Teilerledigungserklärungen unter Verweis auf diese Schriftsätze abgegeben hat, ändert dies nichts daran, dass „offen“ tenoriert werden kann. Denn es kann – wie auch sonst bei noch teilweise „unerledigten“ im Sinne von noch nicht vollständig erfüllten – Auskunftsansprüchen einfach offen zur geschuldeten Auskunft (als geschuldetem „Enderfolg“) verurteilt werden (OLG Köln, NZA-RR 2023, 515 Rn. 17, beck-online). Die Beschränkung im ursprünglichen Antrag bzw. der Verweis auf Teilerledigungen berücksichtigt lediglich die Tatsache, dass die Beklagte bereits gewisse Auskünfte erteilt hat; mit der Beschränkung ist nur klargestellt, dass die Beklagte die bereits erteilten Auskünfte nach Auffassung des Klägers nicht mehr wiederholen muss, dieser die Auskunft ansonsten aber (zu Recht) als unvollständig ansieht und deswegen eine „vollständige“ Auskunft im Übrigen auch weiterhin einklagt (so auch OLG Köln, NZA-RR 2023, 515 Rn. 17, beck-online).

Wie das OLG Köln weiter ausgeführt hat, ,,ist eine Beschränkung durch Verweis auf bereits erteilte Teilauskünfte vor bzw. während des Verfahrens und/oder sonstige Klarstellungen prozessual nicht zwingend in Antrag und Tenor aufzunehmen, weil man mit dem oben Gesagten einfach einen weit gefassten Antrag in Anlehnung an den Gesetzeswortlaut stellen kann und alles andere dann nur – wie auch sonst – eine Frage des Erfüllungseinwands (§ 362 Abs. 1 BGB) im gerichtlichen Verfahren bzw. bei entsprechender Titulierung später im Zwangsvollstreckungsverfahren nach § 888 ZPO ist“ (OLG Köln, NZA-RR 2023, 515 Rn. 17, beck-online). Dem schließt sich der Senat an. Es ist einem Kläger auch nach Auffassung dieses Senats bei Auskunftsbegehren jedenfalls nicht zuzumuten, die bereits erteilten Auskünfte im Einzelnen in den Klageantrag aufzunehmen. Erforderlich ist nur im Rahmen der Begründetheit der Klage, dass im maßgeblichen Zeitpunkt der letzten mündlichen Verhandlung tatsächlich noch keine vollständige Erfüllung des Auskunftsanspruchs i.S.d. § 362 Abs. 1 BGB feststellbar ist. Eine vollständige Erfüllung ist nicht eingetreten. Die Beklagte macht gerade geltend, dass der Anspruch aufgrund des Umfangs des damit verbundenen unverhältnismäßig hohen Erfüllungsaufwands exzessiv im Sinne von Art. 12 Abs. 5 S. 2 DSGVO ist. Diese Aussage impliziert, dass es bei der Beklagten – wie auch aufgrund der langjährigen Tätigkeit des Klägers im dortigen Unternehmen nicht anders zu erwarten – umfangreiche weitere zu beauskunftende Daten gibt.

c) Art. 15 DSGVO gibt einen umfassenden Auskunftsanspruch über personenbezogene Daten.

aa) Art. 4 Nr. 1 DSGVO definiert den Begriff „personenbezogene Daten“ als alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.

Dem Begriff der personenbezogenen Daten ist nach der Rechtsprechung des EuGH eine weite Bedeutung beizumessen: „Er ist nicht auf sensible oder private Informationen beschränkt, sondern umfasst potenziell alle Arten von Informationen sowohl objektiver als auch subjektiver Natur in Form von Stellungnahmen oder Beurteilungen, unter der Voraussetzung, dass es sich um Informationen „über“ die in Rede stehende Person handelt. Die letztgenannte Voraussetzung ist erfüllt, wenn die Information aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer bestimmten Person verknüpft ist“ (EuGH BeckRS 2017, 136145).

bb) Soweit Einschränkungen des umfassenden Auskunftsrechts auf Ewägungsgrund 63 der Verordnung gestützt werden sollen, haben diese Erwägungen in der Verordnung keinen Niederschlag gefunden. Der Anspruch auf Datenauskunft ist vielmehr voraussetzungslos. Der EuGH (Urteil vom 26.10.2023 – C-307/22, BeckRS 2023, 29132, beck-online) hat hierzu im ersten Leitsatz ausgeführt, dass Art. 12 Abs. 5 sowie Art. 15 Abs. 1 und 3 DSGVO dahin auszulegen sind, dass die Verpflichtung des Verantwortlichen, der betroffenen Person unentgeltlich eine erste Kopie ihrer personenbezogenen Daten, die Gegenstand einer Verarbeitung sind, zur Verfügung zu stellen, auch dann gilt, wenn der betreffende Antrag mit einem anderen als den in Satz 1 des 63. Erwägungsgrundes der Verordnung genannten Zwecken begründet wird.

cc) Entgegen der Auffassung der Beklagten ist der klägerische Anspruch auch nicht nach Art. 12 Abs. 5 S. 2 DSGVO ausgeschlossen. Nach dieser Bestimmung kann der Verantwortliche bei offenkundig unbegründeten oder – insbesondere im Fall von häufiger Wiederholung – exzessiven Anträgen einer betroffenen Person entweder ein angemessenes Entgelt verlangen, bei dem die Verwaltungskosten für die Unterrichtung oder die Mitteilung oder die Durchführung der beantragten Maßnahme berücksichtigt werden, oder sich weigern, aufgrund des Antrags tätig zu werden. Nach Art. 12 Abs. 5 S. 3 DS-GVO hat der Verantwortliche den Nachweis für den offenkundig unbegründeten oder exzessiven Charakter des Antrags zu erbringen.

Nach Wortlaut und Zweck von Art. 12 Abs. 5 S. 1, Art. 15 DSGVO liegt kein Missbrauch vor, wenn ein Betroffener das Auskunftsrecht (auch) für datenschutzfremde Motive verwendet, etwa um Informationen für Vergleichsverhandlungen oder um bei ihm nicht mehr vorhandene Vertragsinformationen zu erhalten (z.B. Auskunft über Konten, Versicherungsbedingungen etc.), da sich eine solche Beschränkung auf eine bestimmte Motivlage nicht in Art. 15 DSGVO findet. Dies gilt auch, wenn die Auskunft gem. Art. 15 DSGVO beim Verantwortlichen sehr viel Aufwand verursacht, da der Aufwand des Verantwortlichen für Art. 15 DSGVO keine Rolle spielt, oder wenn der Betroffene mehrfache Auskunftsansprüche geltend macht, da sie nur im Rahmen des Exzesses einen Rechtsmissbrauch begründen (BeckOK DatenschuteR/Schmidt-Wudy, 45. Ed. 1.8.2023, DS-GVO Art. 15 Rn. 48).

Da die Motivation des Klägers für die Begründetheit des Auskunftsverlangens keine Rolle spielt, kommt es auch nicht darauf an, ob er – jedenfalls ursprünglich – hoffte, durch die Datenauskunft Erkenntnisse für seine beim Landgericht Oldenburg anhängig gewesene Klage zu erlangen. Gleichfalls kommt es nicht darauf an, ob die Datenauskunft für den Beklagten mit viel Mühe oder Zeitaufwand verbunden ist, denn der Aufwand ist unerheblich. Exzessiv ist die Datenauskunft schon deswegen nicht, weil es sich um den ersten Antrag handelt.

dd) Die Geltendmachung des Anspruchs ist auch nicht rechtsmissbräuchlich. Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht. Gemäß Art. 8 Abs. 1 der Charta der Grundrechte der Europäischen Union (ABl. C 326 vom 26.10.2012, S. 391) hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten. Der entsprechende Auskunftsanspruch wurde geregelt, um diesem Grundrecht Geltung zu verschaffen. Seine Geltendmachung kann daher über die gesetzlich geregelten (hier nicht einschlägigen) Tatbestände hinaus nicht rechtsmissbräuchlich sein. Dass für den Kläger aufgrund der Dauer und Art seiner Tätigkeit sehr viele Daten angefallen sind, steht der Geltendmachung seiner Rechte nicht entgegen.

ee) Da die Datenauskunft voraussetzungslos zu erteilen ist, steht der Beklagten auch kein Zurückbehaltungsrecht wegen der zu erwartenden Kosten zu, denn diese kann die Beklagte nicht verlangen. Die Auskunft ist kostenlos zu erteilen.

ff) Der streitgegenständliche Antrag erfasst ausdrücklich auch das Recht auf „Kopien“. Nach der Entscheidung des EuGH vom 04.05.2023 (C-487/21, NJW 2023, 2253 Rn. 45) ist Art. 15 Abs. 3 DSGVO dahin auszulegen, „dass das Recht, vom für die Verarbeitung Verantwortlichen eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zu erhalten, bedeutet, dass der betroffenen Person eine originalgetreue und verständliche Reproduktion aller dieser Daten ausgefolgt wird. Dieses Recht setzt das Recht voraus, eine Kopie von Auszügen aus Dokumenten oder gar von ganzen Dokumenten oder auch von Auszügen aus Datenbanken, die u. a. diese Daten enthalten, zu erlangen, wenn die Zurverfügungstellung einer solchen Kopie unerlässlich ist, um der betroffenen Person die wirksame Ausübung der ihr durch diese Verordnung verliehenen Rechte zu ermöglichen, wobei insoweit die Rechte und Freiheiten anderer zu berücksichtigen sind.“ Damit ist die strittige Frage geklärt, was unter „Kopie“ zu verstehen ist.

In der genannten Entscheidung hat der EuGH auch ausgeführt, dass Art. 15 Abs. 3 DSGVO „nur die praktischen Modalitäten für die Erfüllung der aus Art. 15 Abs. 1 DSGVO folgenden Auskunftspflichtfestlegt. Art. 15 DSGVO kann deshalb gerade nicht so ausgelegt werden, dass er in seinem Abs. 3 S. 1 ein anderes Recht als das in Abs. 1 vorgesehene gewährt“ (vgl. EuGH, Urteil vom 04.05.2023 – C-487/21, NJW 2023, 2253 Rn. 31 f.). Nach dieser Entscheidung ist auch die Frage geklärt, ob ein auf Überlassung einer Datenkopie gem. Art. 15 Abs. 3 DSGVO gerichteter Antrag erkennen lassen muss, von welchen personenbezogenen Daten eine Kopie verlangt wird. Ein Anspruchsteller, der zu einer genaueren Bezeichnung außerstande ist, ist deswegen auch nicht gehalten, im Wege der Stufenklage zunächst eine Auskunft darüber zu verlangen, welche personenbezogenen Daten der Anspruchsgegner verarbeitet, um auf dieser Grundlage sodann einen Antrag auf Überlassung einer Kopie der sich aus der Auskunft ergebenden Daten stellen zu können (so noch vor der Entscheidung des EuGH das Bundesarbeitsgericht, vgl. BAG, Urteil vom 16.12.2021 – 2 AZR 235/21, NZA 2022, 362 Rn. 33; Urteil vom 27.04.2021 – 2 AZR 342/20, BAGE 174, 351 Rn. 20 f. = NZA 2021, 1053; kritisch dazu bereits Lembke/Fischels, NZA 2022, 513 (519 f.)). Art. 15 DSGVO enthält vielmehr nach der jüngsten Rechtsprechung des EuGH einen einheitlichen Auskunftsanspruch (OLG Köln, NZA-RR 2023, 515 Rn. 18, beck-online). Der Kläger hatte sich zudem auch bereits erstinstanzlich auf sein Recht auf Überlassung einer Kopie berufen. Dieser einheitliche Anspruch muss grundsätzlich ohne eine Spezifizierung der personenbezogenen Daten – wie hier – einheitlich geltend gemacht werden können (OLG Köln, NZA-RR 2023, 515 Rn. 18, beck-online). Da der Anspruch auf eine unvertretbare Handlung gerichtet ist, ist er nach § 888 ZPO zu vollstrecken (vgl. Lembke/Fischels, NZA 2022, 513 (520)). Erteilt ein zur Auskunftserteilung verurteilter Schuldner (weitere) Auskünfte und stellt dem Gläubiger Datenkopien zur Verfügung, muss gegebenenfalls im Vollstreckungsverfahren geprüft werden, ob der titulierte Auskunftsanspruch dadurch dann endgültig erfüllt worden ist. Daraus möglicherweise resultierende Schwierigkeiten sind keine datenschutzrechtliche Besonderheit, sondern können in ähnlicher Form auch bei anderen Auskunftsansprüchen auftreten (OLG Köln, NZA-RR 2023, 515 Rn. 18, beck-online).


Den Volltext der Entscheidung finden Sie hier:

EuGH: Längere Speicherung der Restschuldbefreiung als das öffentliche Insolvenzregister durch SCHUFA verstößt gegen DSGVO

EuGH
Urteil vom 07.12.2023
den verbundenen Rechtssachen
C-26/22 und C-64/22
SCHUFA Holding u. a. (Restschuldbefreiung)


Der EuGH hat entschieden, dass längere Speicherung der Restschuldbefreiung als das öffentliche Insolvenzregister (6 Monate) durch SCHUFA gegen die Vorgaben der DSGVO verstößt.

Tenor der Entscheidung:
1. Art. 78 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass ein rechtsverbindlicher Beschluss einer Aufsichtsbehörde einer vollständigen inhaltlichen Überprüfung durch ein Gericht unterliegt.

2. Art. 5 Abs. 1 Buchst. a der Verordnung 2016/679 in Verbindung mit Art. 6 Abs. 1 Unterabs. 1 Buchst. f dieser Verordnung ist dahin auszulegen, dass er einer Praxis privater Wirtschaftsauskunfteien entgegensteht, die darin besteht, in ihren eigenen Datenbanken aus einem öffentlichen Register stammende Informationen über die Erteilung einer Restschuldbefreiung zugunsten natürlicher Personen zum Zweck der Lieferung von Auskünften über die Kreditwürdigkeit dieser Personen für einen Zeitraum zu speichern, der über die Speicherdauer der Daten im öffentlichen Register hinausgeht.

3. Art. 17 Abs. 1 Buchst. c der Verordnung 2016/679 ist dahin auszulegen, dass die betroffene Person das Recht hat, vom Verantwortlichen die unverzügliche Löschung der sie betreffenden personenbezogenen Daten zu verlangen, wenn sie gemäß Art. 21 Abs. 1 dieser Verordnung Widerspruch gegen die Verarbeitung einlegt und keine zwingenden schutzwürdigen Gründe vorliegen, die ausnahmsweise die betreffende Verarbeitung rechtfertigen.

4. Art. 17 Abs. 1 Buchst. d der Verordnung 2016/679 ist dahin auszulegen, dass der Verantwortliche verpflichtet ist, personenbezogene Daten, die unrechtmäßig verarbeitet wurden, unverzüglich zu löschen.

Aus der Pressemitteilung des EuGH:
Die Datenschutz-Grundverordnung (DSGVO) steht zwei Datenverarbeitungspraktiken von Wirtschaftsauskunfteien entgegen

Während das „Scoring“ nur unter bestimmten Voraussetzungen zulässig ist, steht die längere Speicherung von Informationen über die Erteilung einer Restschuldbefreiung im Widerspruch zur DSGVO.

Mehrere Bürger fochten vor dem Verwaltungsgericht Wiesbaden Bescheide des zuständigen Datenschutzbeauftragten an, mit denen er sich weigerte, gegen bestimmte Tätigkeiten der SCHUFA, einer privaten Wirtschaftsauskunftei, vorzugehen, zu deren Kunden insbesondere Banken zählen. Sie wandten sich konkret gegen das „Scoring“ sowie gegen die Speicherung von aus öffentlichen Registern übernommenen Informationen über die Erteilung einer Restschuldbefreiung.

[...]

In Bezug auf die Informationen über die Erteilung einer Restschuldbefreiung entscheidet der Gerichtshof, dass es im Widerspruch zur DSGVO steht, wenn private Auskunfteien solche Daten länger speichern als das öffentliche Insolvenzregister. Die erteilte Restschuldbefreiung soll nämlich der betroffenen Person ermöglichen, sich erneut am Wirtschaftsleben zu beteiligen, und hat daher für sie existenzielle Bedeutung. Diese Informationen werden bei der Bewertung der Kreditwürdigkeit der betroffenen Person stets als negativer Faktor verwendet. Im vorliegenden Fall hat der deutsche Gesetzgeber eine sechsmonatige Speicherung der Daten vorgesehen. Er geht daher davon aus, dass nach Ablauf der sechs Monate die Rechte und Interessen der betroffenen Person diejenigen der Öffentlichkeit, über diese Information zu verfügen, überwiegen.

Soweit die Speicherung der Daten nicht rechtmäßig ist, wie dies nach Ablauf der sechs Monate der Fall ist, hat die betroffene Person das Recht auf Löschung dieser Daten, und die Auskunftei ist verpflichtet, sie unverzüglich zu löschen.

Was die parallele Speicherung solcher Informationen durch die SCHUFA während dieser sechs Monate angeht, ist es Sache des vorlegenden Gerichts, die in Rede stehenden Interessen gegeneinander abzuwägen, um die Rechtmäßigkeit dieser Speicherung zu beurteilen. Sollte es zu dem Ergebnis kommen, dass die parallele Speicherung während der sechs Monate rechtmäßig ist, hat die betroffene Person dennoch das Recht, Widerspruch gegen die Verarbeitung ihrer Daten einzulegen, sowie das Recht auf deren Löschung, es sei denn, die SCHUFA weist das Vorliegen zwingender schutzwürdiger Gründe nach. Schließlich betont der Gerichtshof, dass die nationalen Gerichte jeden rechtsverbindlichen Beschluss einer Aufsichtsbehörde einer vollständigen inhaltlichen Überprüfung unterziehen können müssen.


Den Volltext der Entscheidung finden Sie hier:

EuGH: SCHUFA-Scoring ist eine "automatisierte Entscheidung im Einzelfall" und damit Profiling im Sinne der DSGVO soweit Score maßgeblich für Kreditgewährung oder Vertragsschluss ist

EuGH
Urteil vom 07.12.2023
C-634/21
SCHUFA Holding (Scoring)


Der EuGH hat entschieden, dass das SCHUFA-Scoring eine "automatisierte Entscheidung im Einzelfall" und damit Profiling im Sinne der DSGVO ist, soweit der Score maßgeblich für Kreditgewährung oder Vertragsschluss ist.

Tenor der Entscheidung:
Art. 22 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass eine „automatisierte Entscheidung im Einzelfall“ im Sinne dieser Bestimmung vorliegt, wenn ein auf personenbezogene Daten zu einer Person gestützter Wahrscheinlichkeitswert in Bezug auf deren Fähigkeit zur Erfüllung künftiger Zahlungsverpflichtungen durch eine Wirtschaftsauskunftei automatisiert erstellt wird, sofern von diesem Wahrscheinlichkeitswert maßgeblich abhängt, ob ein Dritter, dem dieser Wahrscheinlichkeitswert übermittelt wird, ein Vertragsverhältnis mit dieser Person begründet, durchführt oder beendet.

Aus der Pressemitteilung des EuGH:
Die Datenschutz-Grundverordnung (DSGVO) steht zwei Datenverarbeitungspraktiken von Wirtschaftsauskunfteien entgegen

Während das „Scoring“ nur unter bestimmten Voraussetzungen zulässig ist, steht die längere Speicherung von Informationen über die Erteilung einer Restschuldbefreiung im Widerspruch zur DSGVO.

Mehrere Bürger fochten vor dem Verwaltungsgericht Wiesbaden Bescheide des zuständigen Datenschutzbeauftragten an, mit denen er sich weigerte, gegen bestimmte Tätigkeiten der SCHUFA, einer privaten Wirtschaftsauskunftei, vorzugehen, zu deren Kunden insbesondere Banken zählen. Sie wandten sich konkret gegen das „Scoring“ sowie gegen die Speicherung von aus öffentlichen Registern übernommenen Informationen über die Erteilung einer Restschuldbefreiung.

Das „Scoring“ ist ein mathematisch-statistisches Verfahren, das es ermöglicht, die Wahrscheinlichkeit eines künftigen Verhaltens, wie etwa die Rückzahlung eines Kredits, vorauszusagen. Die Informationen über die Erteilung einer Restschuldbefreiung werden im deutschen öffentlichen Insolvenzregister sechs Monate lang gespeichert, während Verhaltensregeln der deutschen Wirtschaftsauskunfteien für ihre eigenen Datenbanken eine Speicherdauer von drei Jahren vorsehen. Das Verwaltungsgericht ersucht den Gerichtshof, den Umfang des Schutzes der personenbezogenen Daten, wie er von der Datenschutz-Grundverordnung (DSGVO)1 vorgesehen ist, näher zu erläutern.

Der Gerichtshof entscheidet, dass das „Scoring“ als eine von der DSGVO grundsätzlich verbotene „automatisierte Entscheidung im Einzelfall“ anzusehen ist, sofern die Kunden der SCHUFA, wie beispielsweise Banken, ihm eine maßgebliche Rolle im Rahmen der Kreditgewährung beimessen. Nach Ansicht des Verwaltungsgerichts Wiesbaden ist dies der Fall. Es obliegt diesem Gericht zu beurteilen, ob das deutsche Bundesdatenschutzgesetz im Einklang mit der DSGVO eine gültige Ausnahme von diesem Verbot enthält. Trifft dies zu, wird das Gericht außerdem zu prüfen haben, ob die in der DSGVO vorgesehenen allgemeinen Voraussetzungen für die Datenverarbeitung erfüllt sind. [...]


Den Volltext der Entscheidung finden Sie hier:

VG Berlin: Kein Auskunftsanspruch nach Art 15 DSGVO hinsichtlich im Rahmen der Videoüberwachung in S-Bahnen gewonnenen Aufzeichnungen da Aufwand unverhältnismäßig

VG Berlin
Urteil vom 12.10.2023
1 K 561/21


Das VG Berlin hat entschieden, kein Auskunftsanspruch nach Art 15 DSGVO hinsichtlich im Rahmen der Videoüberwachung in S-Bahnen gewonnenen Aufzeichnungen besteht, da der Aufwand unverhältnismäßig wäre.

Aus den Entscheidungsgründen:
Letztlich kann jedoch offenbleiben, ob die im Rahmen der Videoüberwachung in den S-Bahnen der Klägerin gewonnenen Aufzeichnungen – allgemein bzw. im vorliegenden Sachverhalt – personenbezogene Daten darstellen. Denn der Beigeladene hatte, unter keinem Gesichtspunkt einen Anspruch auf Zurverfügungstellung einer Kopie der Videoaufzeichnungen.

Der insoweit nach dem allgemeinen Günstigkeitsprinzip (vgl. hierzu BVerwG, Urteil vom 27. November 1980 - 2 C 38.79, juris Rn. 39) darlegungsbelastete Beigeladene hat schon nicht nachgewiesen, dass – was von der zuvor aufgeworfenen Frage des Personenbezugs der Daten zu unterscheiden ist – er tatsächlich die „betroffene Person“ i.S.d. Art. 15 DSGVO ist, deren Bilddaten zu dem von ihm angegebenen Zeitraum in dem von ihm benannten Zug der Klägerin gespeichert wurden. Die Klägerin hat in diesem Zusammenhang zu Recht darauf hingewiesen, dass, um die Herausgabe an unberechtigte Dritte ausschließen zu können, eine zweifelsfreie Übereinstimmung der Person des Auskunftsbegehrenden mit der Person des auf den Videos Abgebildeten gewährleistet werden muss. Hierfür reichen aber allein Angaben, wie der Beigeladenen sie gemacht hat (Zeitraum der Beförderung, Zugnummer, äußeres Erscheinungsbild und Verhaltensweise der Person) nicht aus. Denn es erscheint beispielsweise denkbar, dass ein Antragsteller derartige Angaben zu einer anderen Person macht, die ihm etwa deshalb bekannt sind, weil er mit ihr zusammen in einem der Züge der Klägerin gefahren ist, um so an die Videoaufzeichnungen dieser Person zu gelangen. Unabhängig von der Frage, ob überhaupt – und wenn ja auf welche Art und Weise – verlässlich die Identität eines Antragstellers mit einer im Rahmen der Videoaufzeichnung erfassten Person überprüft werden könnte, erscheint dies im vorliegenden Fall ferner schon deshalb ausgeschlossen, weil der Beigeladene seinen eigenen Angaben zufolge anlässlich der Zugfahrt eine Mund-Nasen-Bedeckung trug und seine Gesichtszüge daher nicht erkennbar waren. Auf die von den Beteiligten in diesem Zusammenhang aufgeworfene Frage, ob aus Art. 11 DSGVO abgeleitet werden kann, dass die Klägerin nicht verpflichtet ist, weitere Anstrengungen zu unternehmen, um einen Auskunftsbegehrenden auf den Videoaufzeichnungen zu identifizieren, kommt es damit nicht mehr an.

Hinzu kommt, dass der Klägerin die Auskunftserteilung auch wegen eines dafür zu treibenden unverhältnismäßigen Aufwandes nicht zumutbar war. Hierzu hat das Amtsgericht Pankow in einem Verfahren, in dem der Beigeladene die Klägerin, gestützt auf Art. 82 DSGVO, wegen der Zurückweisung eines weiteren Auskunftsbegehrens auf Zahlung von Schadensersatz in Anspruch genommen hat, Folgendes ausgeführt (Urteil vom 28. März 2022 - 4 C 199/21, juris):

„Hinsichtlich des hierauf basierenden Auskunftsanspruch gemäß Art. 15 DSGVO ist der Beklagten das Erfüllen dieses Auskunftsanspruchs jedoch aufgrund unverhältnismäßigen Aufwands unzumutbar gemäß § 275 Abs. 2 BGB (vgl. Gola/Franck, DS-GVO, Kommentar, 1. Aufl. 2017, Art. 15, Rn. 30). Aufgrund des Ausnahmecharakters von § 275 Abs. 2 BGB und aufgrund der zentralen Bedeutung des Auskunftsanspruchs gemäß Art. 15 DSGVO sind strenge Maßstäbe an die Unverhältnismäßigkeit eines Auskunftsbegehrens anzulegen. Insbesondere besteht ein Verweigerungsrecht nur bei einem groben Missverhältnis zwischen Aufwand und Leistungsinteresse.

Ein solch grobes Missverhältnis besteht jedoch hier. Denn das Transparenzinteresse des Klägers ist äußerst gering. Insbesondere war er sich des Ob, Wie und Was der Datenverarbeitung bewusst (vgl. Gola/Franck, DS-GVO, Kommentar, 1. Aufl. 2017, Art. 15, Rn. 2). Der Kläger wusste genau, dass und in welchem Umfang personenbezogene Daten erhoben werden. Der Normzweck von Art. 15 DSGVO - das Bewusstwerden über die Datenverarbeitung - war daher weitestgehend schon erfüllt. Der hier vorliegende Sachverhalt ist gerade nicht einer Situation vergleichbar, bei der sich ein Auskunftsbegehrender einen Überblick über verarbeitete personenbezogene Daten verschaffen will, die gegebenenfalls länger in der Vergangenheit zurücklegen, oder bei den Daten zu unterschiedlichen Anlässen verarbeitet werden. Die Datenverarbeitung durch die Beklagte ist von vornherein auf 48 Stunden zeitlich und örtlich auf die Züge der Beklagten begrenzt. Dem Kläger und jedem anderen Dritten ist es zumutbar, sich innerhalb des kurzen Zeitraums von 48 Stunden zu erinnern, wann eine Dienstleistung der Beklagten in Anspruch genommen wurde und wann entsprechend eine Verarbeitung personenbezogener Daten stattgefunden hat. Mit Blick auf den sehr kurzen Zeitraum ist der vom Kläger beklagte Kontrollverlust nicht erkennbar. Wie der Kläger selbst darlegt, wurde er zudem von der Beklagten auch über sämtliche von Art. 15 Abs. 1 lit. a - h DSGVO erfassten Aspekte der Datenverarbeitung, einschließlich Verarbeitungszweck, Dauer der Verarbeitung und Beschwerderecht informiert. Auch insoweit ist der Normzweck von Art. 15 DSGVO der Vergewisserung über "Existenz, Zwecke, Absichten und Rechtsfolgen" der Datenverarbeitung erfüllt (vgl. Paal/Pauly Datenschutzgrundverordnung, Bundesdatenschutzgesetz, 3. Aufl. 2021, Art. 15 Rn. 3). Welches darüber hinausgehende Interesse der Kläger an der konkreten Gestalt der Videoaufzeichnung hat, hat er nicht hinreichend dargelegt und erschließt sich nicht. Denn für die Überprüfung der Rechtmäßigkeit der Videoaufzeichnung als einen wesentlichen Zweck von Art. 15 DSGVO bedarf der Kläger der konkreten Gestalt der Videoaufzeichnung nicht. Unabhängig von der konkreten Auflösung der Videoaufzeichnung oder der möglichen Erfassung von biometrischen Daten, steht der Eingriffscharakter der Aufzeichnung im Wesentlichen fest. Entsprechend gering ist das von Art. 15 DSGVO geschützte Vergewisserungsinteresse des Klägers.

Demgegenüber hat die Beklagte substantiiert dargelegt, dass die Erfüllung des Auskunftsanspruchs durch Verhinderung der automatischen Löschung und anschließenden Auskunft an den Kläger einen erheblichen Aufwand an Zeit, Kosten und Arbeitskraft bedeutet. Dass ein solcher Aufwand einem Auskunftsbegehren entgegenstehen kann, ist europarechtlich anerkannt (vgl. EuGH, Urteil v. 19.10.2016 C-582/14). Zum einen verfügt die Beklagte über keine Software zur Gesichtserkennung. Entsprechend komplex wäre es für die Beklagte, den Kläger aufgrund seiner Angaben zu identifizieren. Die Beklagte hat insoweit substantiiert vorgetragen, dass erhebliche Ressourcen zur Identifizierung von Personen nötig wären und dass die datenschutzgerechte Entnahme der Kassetten aufgrund von Anreisezeiten zu den Zügen und Sicherheitsvorkehrungen aufwendig sind. Zum anderen würde die Auskunft an den Kläger erfordern, dass die Beklagte ihre Betriebsvereinbarung mit Hinblick auf die Auswertung der Speicherkassetten anpasst und diese selbst auswertet, bzw. Dritte hiermit beauftragt. Eine Anpassung ihrer Prozesse, zum Beispiel durch die Anschaffung einer Software zur automatisierten Gesichtserkennung oder über eine zentrale Speicherung der Videoaufzeichnungen, bedeuten jedoch ebenso einen erheblichen Aufwand und begegnen darüber hinaus erheblichen datenschutzrechtlichen Bedenken. Die Beklagte hat insoweit dargelegt, dass ihre dezentralisierten Verarbeitungsprozesse gerade dem Datenschutz dienen. Wäre sie zu einer längeren Speicherung aufgrund des Verlangens des Klägers verpflichtet, wären notwendig auch die durch Art. 15 Abs. 4 DSGVO geschützten Interessen von Dritten betroffen. Aufgrund der datenschutzrechtlichen Verpflichtung der Beklagten gegenüber Dritten ist diese Drittbetroffenheit auch im Rahmen der gemäß § 275 Abs. 2 BGB erforderlichen Prüfung des Äquivalenzinteresses von Kläger und Beklagten zu berücksichtigen. Denn selbst wenn die Verpixelung oder anderweitige Unkenntlichmachung von Dritten technisch möglich ist, dürfte diese Identifizierung und Unkenntlichmachung regelmäßig nicht zuverlässig innerhalb von 48 Stunden, gegebenenfalls in sogar noch kürzeren Zeiträumen zu leisten sein. Daher würden bei einer längeren Speicherung nach einem Auskunftsersuchen notwendig die Datenschutzrechte von Dritten beeinträchtigt. Der Kläger verkennt insoweit, dass die von ihm begehrte Auskunft die strengen Löschfristen von § 20 Abs. 5 Bln DSG i. v. m. Art 17 DSGVO gegenüber Dritten und hiermit ein zentrales normatives datenschutzrechtliches Anliegen aufzuweichen droht. Aufgrund dessen tritt mit Blick auf den erheblichen Ressourcenaufwand der Beklagten, sowie Datenschutzrechten von Dritten, der begrenzte Erkenntnisgewinn des Klägers an der konkreten Gestalt der Videoaufzeichnung zurück, weswegen von einem groben Missverhältnis zwischen Leistungsinteresse und Aufwand gemäß § 275 Abs. 2 BGB auszugehen ist.

Es kann insoweit dahinstehen, ob ein Verweigerungsrecht der Beklagten auch aus einer analogen Anwendung von Art. 14 Abs. 5 DSGVO folgt. Ebenso kann dahinstehen, ob die vom Kläger begehrte längere Speicherung der personenbezogenen Daten und anschließender Auskunft hierüber bereits wegen eines Verstoßes gegen § 20 Abs. 5 Bln DSG rechtlich unmöglich ist, § 275 Abs. 1 BGB.“


Diesen Ausführungen schließt sich die Kammer an. Zwar ist in Art. 15 DSGVO keine ausdrückliche Ausnahme wegen unverhältnismäßigen Aufwands vorgesehen. Der durch das Amtsgericht herangezogene § 275 Abs. 2 BGB beinhaltet jedoch einen allgemeinen Rechtsgedanken, der auch in Erwägungsgrund 62 der DSGVO zum Ausdruck kommt. Danach darf eine Leistung verweigert werden, soweit diese einen Aufwand erfordert, der unter Beachtung des Gebots von Treu und Glauben, das nach Art. 8 Abs. 2 Satz 1 der Charta der Grundrechte der Europäischen Union und Art. 5 Abs. 1 lit. a DSGVO über dem gesamten Verarbeitungsvorgang steht, in einem groben Missverhältnis zum Leistungsinteresse des Gläubigers steht (vgl. Franck in: Gola/Heckmann, DSGVO - BDSG, 3. Aufl. 2022, Art. 15 Rn. 51 m.w.N.). Insoweit hat das Amtsgericht deutlich gemacht, dass zwar der Einwand der Klägerin, es sei nicht erkennbar, welchen Zweck der Beigeladene mit seinem Auskunftsanspruch verfolge, nicht unmittelbar verfängt, dass aber jedenfalls mittelbar das offenkundig nur geringe Informationsinteresse des Beigeladenen bei der vorzunehmenden Abwägung zu seinen Lasten zu berücksichtigen ist. Dies gilt gleichermaßen für die durch das Amtsgericht betonte Kollision des vom Beigeladenen geltend gemachten Anspruches mit der nach § 20 Abs. 5 BlnDSG gesetzlich vorgesehenen automatischen Löschung der Daten, die dem Schutz der Interessen aller anderen durch die Videoüberwachung erfassten Personen dient. Dieser ließe sich durch eine Unkenntlichmachung ihrer Gesichter nicht im gleichen Maße gewährleisten wie durch eine vorbehaltlose Löschung der gespeicherten Daten. Diese Unkenntlichmachung wäre, neben dem größeren datenschutzrechtlichen Risiko des Missbrauchs im Vergleich zu einer Löschung, zudem mit einigem Aufwand verbunden.

Schon aus diesem Grund bestand auch kein Anspruch des Beigeladenen auf Verhinderung der automatischen Löschung der Daten. Weder die Regelung in Art. 17 Abs. 3 lit.b) DSGVO noch die Rechte aus Art. 18 Abs. 1 lit. c) DSGVO standen dem entgegen, weil mit den dort angeführten rechtlichen Verpflichtungen der Klägerin bzw. den Rechtsansprüchen des Beigeladenen nicht die Auskunftsrechte i.S.d. Art. 15 DSGVO, sondern außerhalb der DSGVO liegende Rechtsansprüche gemeint sind. Hierfür spricht schon in systematischer Hinsicht, dass die genannten Regelungen ansonsten leerliefen, weil die Möglichkeit der zukünftigen Geltendmachung etwaiger Auskunftsansprüche in jedem Fall einer Löschung entgegenstünde. Im Übrigen spricht auch der Wortlaut des Art. 18 Abs. 1 lit. c) DSGVO gegen die Annahme, dass die Verhinderung der Löschung von Daten verlangt werden darf, nur um einen nach Art. 15 DSGVO bestehenden Auskunftsanspruch über jene Daten zu sichern. Denn danach ist Voraussetzung, dass die Daten zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen „benötigt“ werden – diese also nicht unmittelbar bzw. selbst Gegenstand des geltend gemachten Anspruchs sind.

Letztlich wäre, selbst wenn die Klägerin mit der Verweigerung der Auskunftserteilung gegen die Regelungen der DSGVO verstoßen hätte, die deswegen ausgesprochene Verwarnung deshalb rechtswidrig, weil die Beklagte das ihr insoweit nach Art. 58 Abs. 2 lit. b) DSGVO eröffnete Ermessen fehlerhaft ausgeübt hat.

Die Beklagte ist hierbei eigenem Bekunden nach davon ausgegangen, dass im Falle der Feststellung eines Datenschutzverstoßes zumindest eine Verwarnung auszusprechen sei, weil dies die mildeste der in Art. 58 Abs. 2 DSGVO vorgesehenen datenschutzrechtlichen Aufsichtsmaßnahmen darstelle. Dabei hat die Beklagte außer Acht gelassen, dass auch Sachverhaltskonstellationen denkbar sind, in denen sich trotz eines festgestellten Datenschutzverstoßes die Aussprache einer Verwarnung – wegen der Geringfügigkeit des Verstoßes auf der einen und den damit auf der anderen Seite für den Adressaten verbundenen Folgen – als unverhältnismäßig darstellen und damit gegen das rechtsstaatliche Übermaßverbot verstoßen würde. Der Beklagten kommt daher nicht nur ein Auswahlermessen hinsichtlich der Frage zu, wie bzw. mit welchem der in Art. 58 DSGVO vorgesehenen Mittel sie auf einen datenschutzrechtlichen Verstoß reagiert, sondern auch ein Entschließungsermessen dahin, ob sie im Einzelfall von einem Einschreiten absieht. Da die Beklagte dieses ihr eröffnete Ermessen im vorliegenden Fall unstreitig nicht ausgeübt hat, ist der Bescheid wegen Ermessensausfalls rechtswidrig. Es kann daher offenbleiben, ob der Bescheid – angesichts der oben aufgezeigten Diskrepanz zwischen dem geringfügigen Informationsinteresse des Beigeladenen einerseits und dem durch die Klägerin für eine Auskunftserteilung zu betreibenden erheblichen Aufwand andererseits – auch wegen Ermessensüberschreitung rechtswidrig ist.


Den Volltext der Entscheidung finden Sie hier:


EuGH: Patient hat gemäß Art.15, Art. 12 DSGVO einen Anspruch auf kostenlose Überlassung einer Kopie seiner Patientenakte

EuGH
Urteil vom 26.10.2023
C-307/22
FT (Kopie der Patientenakte)


Der EuGH hat entschieden, dass ein Patient gemäß Art.15 Abs. 1,3, Art. 12 Abs. 5 DSGVO einen Anspruch auf kostenlose Überlassung einer Kopie seiner Patientenakte hat.

Die Pressemitteilung des EuGH:
Schutz personenbezogener Daten: Ein Patient hat das Recht, unentgeltlich eine erste Kopie seiner Patientenakte zu erhalten

Ein Patient verlangt von seiner Zahnärztin eine Kopie seiner Patientenakte, um gegen sie Haftungsansprüche wegen Fehlern geltend zu machen, die ihr bei seiner zahnärztlichen Behandlung unterlaufen sein sollen. Die Zahnärztin fordert jedoch, dass er, wie nach deutschem Recht vorgesehen, die Kosten für die Zurverfügungstellung der Kopie der Patientenakte übernimmt.

Da der Patient der Ansicht ist, Anspruch auf eine unentgeltliche Kopie zu haben, ruft er die deutschen Gerichte an. Unter diesen Umständen hat der deutsche Bundesgerichtshof beschlossen, dem Gerichtshof Fragen zur Vorabentscheidung vorzulegen. Denn nach Auffassung des Bundesgerichtshofs hängt die Entscheidung des Rechtsstreits von der Auslegung der Bestimmungen des Unionsrechts, nämlich der Datenschutz-Grundverordnung (im Folgenden: DSGVO), ab.

In seinem Urteil stellt der Gerichtshof fest, dass in der DSGVO das Recht des Patienten verankert ist, eine erste Kopie seiner Patientenakte zu erhalten, und zwar grundsätzlich ohne dass ihm hierdurch Kosten entstehen. Der Verantwortliche kann ein solches Entgelt nur dann verlangen, wenn der Patient eine erste Kopie seiner Daten bereits unentgeltlich erhalten hat und erneut einen Antrag auf diese stellt.

Die betreffende Zahnärztin ist als Verantwortliche für die Verarbeitung der personenbezogenen Daten ihres Patienten anzusehen. Als solche ist sie verpflichtet, ihm eine erste Kopie seiner Daten unentgeltlich zur Verfügung zu stellen. Der Patient ist nicht verpflichtet, seinen Antrag zu begründen.

Selbst mit Blick auf den Schutz der wirtschaftlichen Interessen der Behandelnden dürfen die nationalen Regelungen dem Patienten nicht die Kosten einer ersten Kopie seiner Patientenakte auferlegen.

Des Weiteren hat der Patient das Recht, eine vollständige Kopie der Dokumente zu erhalten, die sich in seiner Patientenakte befinden, wenn dies zum Verständnis der in diesen Dokumenten enthaltenen personenbezogenen Daten erforderlich ist. Dies schließt Daten aus der Patientenakte ein, die Informationen wie beispielsweise Diagnosen, Untersuchungsergebnisse, Befunde der behandelnden Ärzte und Angaben zu Behandlungen oder Eingriffen enthalten.


Tenor der Entscheidung:
1. Art. 12 Abs. 5 sowie Art. 15 Abs. 1 und 3 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) sind dahin auszulegen, dass die Verpflichtung des Verantwortlichen, der betroffenen Person unentgeltlich eine erste Kopie ihrer personenbezogenen Daten, die Gegenstand einer Verarbeitung sind, zur Verfügung zu stellen, auch dann gilt, wenn der betreffende Antrag mit einem anderen als den in Satz 1 des 63. Erwägungsgrundes der Verordnung genannten Zwecken begründet wird.

2. Art. 23 Abs. 1 Buchst. i der Verordnung 2016/679 ist dahin auszulegen, dass eine nationale Regelung, die vor dem Inkrafttreten dieser Verordnung erlassen wurde, in den Anwendungsbereich dieser Bestimmung fallen kann. Eine solche Möglichkeit erlaubt es jedoch nicht, eine nationale Regelung zu erlassen, die der betroffenen Person zum Schutz der wirtschaftlichen Interessen des Verantwortlichen die Kosten für eine erste Kopie ihrer personenbezogenen Daten, die Gegenstand der Verarbeitung durch den Verantwortlichen sind, auferlegt.

3. Art. 15 Abs. 3 Satz 1 der Verordnung 2016/679 ist dahin auszulegen, dass im Rahmen eines Arzt-Patienten-Verhältnisses das Recht auf Erhalt einer Kopie der personenbezogenen Daten, die Gegenstand einer Verarbeitung sind, umfasst, dass der betroffenen Person eine originalgetreue und verständliche Reproduktion aller dieser Daten überlassen wird. Dieses Recht setzt voraus, eine vollständige Kopie der Dokumente zu erhalten, die sich in der Patientenakte befinden und unter anderem diese Daten enthalten, wenn die Zurverfügungstellung einer solchen Kopie erforderlich ist, um der betroffenen Person die Überprüfung der Richtigkeit und Vollständigkeit der Daten zu ermöglichen und die Verständlichkeit der Daten zu gewährleisten. In Bezug auf die Gesundheitsdaten der betroffenen Person schließt dieses Recht jedenfalls das Recht ein, eine Kopie der Daten aus ihrer Patientenakte zu erhalten, die Informationen wie beispielsweise Diagnosen, Untersuchungsergebnisse, Befunde der behandelnden Ärzte und Angaben zu an ihr vorgenommenen Behandlungen oder Eingriffen umfasst.

Den Volltext der Entscheidung finden Sie hier:


AG Düsseldorf: Anspruch auf 500 Euro immateriellen Schadensersatz aus Art. 82 DSGVO wenn Online-Shop keine Auskunft gemäß Art. 15 DSGVO erteilt

AG Düsseldorf
Urteil vom 24.08.2023
51 C 206/23


Das AG Düsseldorf hat entschieden, dass dem Kunden eines Online-Shops ein Anspruch auf 500 Euro immateriellen Schadensersatz aus Art. 82 DSGVO zusteht, wenn ein Online-Shop keine Auskunft gemäß Art. 15 DSGVO erteilt.

Aus den Entscheidungsgründen:
a. Der Beklagte hat gegen die Beklagte einen Anspruch auf Herausgabe einer Kopie sämtlicher Daten, die sie über ihn verarbeitet sowie auf Auskunftserteilung, an welche anderen Unternehmen die Beklagte seine Daten übermittelt hat gemäß Art. 15 Abs. 1 und 3 DSGVO.

Die Klägerin hat mit der Replik erklärt die entsprechende Forderung des Beklagten zu erfüllen. Getan hat sie dies indes nicht. Berechtigte Einwände die Erfüllung nicht zu leisten, bestehen nicht. Es kann dahinstehen, ob der Beklagte die Klägerin bereits unter dem 23.12.2022 oder erst am 02.06.2023 zur Auskunft aufgefordert hat. Die Frist des Art 12 Abs. 3 S. 1 und DSGVO ist jedenfalls nunmehr abgelaufen.

Auch kann die Klägerin nicht verlangen, dass der Beklagte sich zuvor mit einem Personaldokument limitiert. Ein solcher Anspruch besteht, falls nicht sicher ist, dass der Anspruchsteller nicht die Person, die er behauptet zu sein, Art. 12 Abs. 6 DSGVO. Derartige begründete Zweifel bestehen hier jedoch nicht.

b. Weiter hat der Beklagte gegen die Klägerin einen Anspruch auf immateriellen Schadensersatz in Höhe von 500,00 € gemäß Art. 82 Abs. 1 DSGVO

Indem die Klägerin die dem Beklagten nach Art. 15 DSGVO zustehenden Ansprüche nicht erfüllt, führt dies zu einem Schadensersatzanspruch.

Der Umstand, dass der Beklagte systematisch Verstöße gegen die DSGVO in Bezug auf seine Person verfolgt, ist bei der Höhe des Schadenersatzes zu berücksichtigen, führt aber nicht dazu, dass dies einen Anspruch wegen rechtsmissbräuchlichen Handelns ausschließt.

Ein immaterieller Schadensersatz dient der Genugtuung, soll aber keine Einnahmequelle darstellen. Weiter kommt es bei der Höhe des Betrages nicht darauf an, wie wirtschaftlich potent der Anspruchsgegner ist. Der immaterielle Schadensersatzanspruch des geschädigten hat insoweit keine Straffunktion, so dass es auf eines „abschreckende“ Wirkung nicht ankommt.

Eine Erhöhung kommt auch nicht unter dem Gesichtspunkt in Betracht, dass die Klägerin sich - rechtlich unbegründet - weigert die Auskunft zu erteilen und verlangten Daten herauszugeben. Dies wäre nur der Fall, wenn die Klägerin mit den Daten weiter arbeiten würde, insbesondere sie seit dem spätestens 02.06.2023 an weitere Dritte weitergegeben hätte weitergeben würde und allein damit den Schaden des Beklagten vertiefen würde. Dies ist aber nicht ersichtlich.


Den Volltext der Entscheidung finden Sie hier:

Volltext BGH liegt vor: Kein Anspruch aus Art. 15 DSGVO gegen private Krankenversicherung auf Abschriften von Beitragsanpassungsschreiben aber aus § 242 BGB möglich

BGH
Urteil vom 27.09.2023
IV ZR 177/22
Verordnung (EU) 2016/679 Art. 15 Abs. 1, 3; BGB § 242


Wir hatten bereits in dem Beitrag BGH: Kein Anspruch aus Art. 15 DSGVO gegen private Krankenversicherung auf Abschriften von Beitragsanpassungsschreiben - Aber möglicherweise Auskunftsanspruch aus Treu und Glauben über die Entscheidung berichtet.

Leitsätze des BGH:
a) Dem Versicherungsnehmer kann aus Treu und Glauben ein Auskunftsanspruch über zurückliegende Prämienanpassungen in der privaten Krankenversicherung zustehen, wenn er in entschuldbarer Weise über
Bestehen und Umfang seines Rechts im Ungewissen ist.

b) Aus Art. 15 Abs. 1 und 3 DSGVO folgt grundsätzlich kein Anspruch auf Abschriften der Begründungsschreiben zu den Prämienanpassungen samt Anlagen.

BGH, Urteil vom 27. September 2023 - IV ZR 177/22 - OLG Frankfurt am Main - LG Gießen

Den Volltext der Entscheidung finden Sie hier:

ArbG Duisburg: Arbeitsgerichte sind für Ansprüche eines Bewerbers auf Auskunft nach Art. 15 DSGVO und Schadensersatz aus Art. 82 DSGVO sachlich zuständig

ArbG Duisburg
Beschluss vom 18.08.2023
5 Ca 877/23

Das ArbG Duisburg hat entschieden, dass für Ansprüche eines ehemaligen Bewerbers auf Auskunft nach Art. 15 DSGVO und Schadensersatz aus Art. 82 DSGVO die Arbeitsgerichte sachlich zuständig sind.

Aus den Entscheidungsgründen:
Nach § 17 a III S. 2 GVG war nach der Rüge des Rechtsweges vorab über die sachliche Zuständigkeit zu entscheiden.

Die Zuständigkeit der Arbeitsgerichtsbarkeit ergibt sich aus § 2 I Nr. 3 c ArbGG.

Danach sind die Arbeitsgerichte ausschließlich zuständig für bürgerliche Rechtsstreitigkeiten zwischen Arbeitnehmern und Arbeitgebern aus Verhandlungen über die Eingehung eines Arbeitsverhältnisses.

Der Kläger begehrt die Zahlung eines Schadensersatzes nach der DSGVO. Das nach Behauptung des Klägers verletzte Auskunftsbegehren liegt dabei inhaltlich in einer Bewerbung des Klägers aus dem Jahre 2017 begründet.

Die Bewerbung des Klägers stellt eine „Verhandlung über die Eingehung eines Arbeitsverhältnisses“ im Sinne des § 2 I Nr. 3 c ArbGG dar.

Zwar ist das Recht aus Art 15 DSGVO nicht an das Vorliegen einer arbeitsrechtlichen Beziehung geknüpft. Liegt eine solche jedoch vor, ist ein arbeitsrechtlicher Bezug gegeben, welcher die Zuständigkeit der Arbeitsgerichte begründet. Der ordentliche Rechtsweg kommt bezüglich Ansprüchen aus der DSGVO hingehen in Betracht, wenn der geltend gemachte Anspruch nach dem anspruchsbegründenden Sachverhalt auf einem anderen, nicht mit dem Arbeitsverhältnis im Zusammenhang stehenden Rechtsverhältnis beruht (BAG, Beschl. v. 03.02.2014, 10 AZB 77/13, beck-online). Dies ist hier nicht der Fall.

Dem arbeitsrechtlichem Bezug steht entgegen der Auffassung der Beklagten nicht entgegen, dass die Bewerbung des Klägers sieben Jahre zurückliegt. Dies ändert nichts am inhaltlichen Sachzusammenhang.

Der Rechtsweg zu den Arbeitsgerichten ist mithin gegeben.


Den Volltext der Entscheidung finden Sie hier:

EuGH: Auskunftsanspruch aus Art. 15 DSGVO umfasst auch Verarbeitungsvorgänge die vor Inkrafttreten der DSGVO stattgefunden haben

EuGH
Urteil vom 22.06.2023
C‑579/21


Der EuGH hat entschieden, dass der Auskunftsanspruch aus Art. 15 DSGVO auch Verarbeitungsvorgänge umfasst, die vor Inkrafttreten der DSGVO stattgefunden haben

Die Pressemitteilung des EuGH:
Jedermann hat ein Recht darauf, zu erfahren, zu welchem Zeitpunkt und aus welchen Gründen seine personenbezogenen Daten abgefragt wurden

Dass der Verantwortliche im Bankgeschäft tätig ist, wirkt sich auf die Reichweite dieses Rechts nicht aus.

Im Jahr 2014 erlangte ein Arbeitnehmer, der zugleich Kunde der Bank Pankki S war, Kenntnis davon, dass seine personenbezogenen Daten von anderen Mitarbeitern der Bank im Zeitraum vom 1. November bis zum 31. Dezember 2013 mehrmals abgefragt worden waren. Da dieser Arbeitnehmer, dessen Beschäftigungsverhältnis bei Pankki S mittlerweile gekündigt worden war, Zweifel an der Rechtmäßigkeit dieser Abfragen hatte, forderte er Pankki S am 29. Mai 2018 auf, ihm die Identität der Personen, die seine Kundendaten abgefragt hatten, den genauen Zeitpunkt der Abfragen sowie die Zwecke der Verarbeitung dieser Daten offenzulegen.

In ihrer Antwort vom 30. August 2018 weigerte sich Pankki S, Auskünfte über die Identität der Arbeitnehmer zu erteilen, die die Abfragen vorgenommen hatten, und führte zur Begründung aus, dass es sich bei diesen Informationen um personenbezogene Daten dieser Arbeitnehmer handele. Pankki S machte hingegen nähere Angaben über die von ihrer internen Revision ausgeführten Abfragen, wobei sie erläuterte, ein Kunde der Bank, dessen Kundenberater der Auskunftssuchende gewesen sei, sei Gläubiger einer Person, die den gleichen Nachnamen wie der Auskunftssuchende trage. Die Bank habe daher klären wollen, ob Letzterer und der in Rede stehende Schuldner personenidentisch seien und ob möglicherweise ein ungehöriger Interessenkonflikt bestanden habe. Ergänzend erläuterte Pankki S, dass zur Klärung dieser Frage die Verarbeitung der in Rede stehenden Daten erforderlich gewesen sei, wobei sie klarstellte, dass jeder Mitarbeiter der Bank, der diese Daten verarbeitet habe, gegenüber der internen Revision eine Erklärung zu den Gründen dieser Datenverarbeitung abgegeben habe.

Außerdem gab die Bank an, dass diese Abfragen es ermöglicht hätten, den Verdacht eines Interessenkonflikts in Bezug auf den Auskunftssuchenden gänzlich auszuräumen.

Der Auskunftssuchende wandte sich an das Büro des Datenschutzbeauftragten von Finnland und beantragte, Pankki S anzuweisen, ihm die angeforderten Informationen zu erteilen. Nachdem dieser Antrag abgelehnt worden war, erhob der Auskunftssuchende Klage beim Verwaltungsgericht Ostfinnland, das den Gerichtshof um Auslegung von Art. 15 Datenschutzgrundverordnung (im Folgenden: DSGVO) ersucht.

In seinem heutigen Urteil stellt der Gerichtshof zunächst fest, dass die DSGVO, die seit dem 25. Mai 2018 gilt, auf ein nach diesem Datum vorgebrachtes Auskunftsersuchen anwendbar ist, wenn die dieses Ersuchen betreffenden Verarbeitungsvorgänge vor dem Anwendungsdatum der DSGVO ausgeführt wurden.

Sodann stellt der Gerichtshof fest, dass die DSGVO dahin auszulegen ist, dass es sich bei Informationen, die Abfragen personenbezogener Daten einer Person betreffen und die sich auf den Zeitpunkt und die Zwecke dieser Vorgänge beziehen, um Informationen handelt, die diese Person von dem Verantwortlichen verlangen darf. Dagegen sieht die DSGVO kein solches Recht in Bezug auf Informationen über Arbeitnehmer vor, die diese Vorgänge im Einklang mit den Weisungen des Verantwortlichen ausgeführt haben, außer wenn diese Informationen unerlässlich sind, um es der betroffenen Person zu ermöglichen, die ihr durch diese Verordnung verliehenen Rechte wirksam wahrzunehmen, und vorausgesetzt, dass die Rechte und Freiheiten dieser Arbeitnehmer berücksichtigt werden. Falls nämlich die Wahrnehmung eines Rechts auf Auskunft, das die praktische Wirksamkeit der der betroffenen Person durch die DSGVO eingeräumten Rechte sicherstellt, zum einen und die Rechte und Freiheiten anderer Personen zum anderen miteinander kollidieren, sind die in Rede stehenden Rechte und Freiheiten gegeneinander abzuwägen. Nach Möglichkeit sind Modalitäten zu wählen, die diese Rechte und Freiheiten nicht verletzen.

Schließlich entscheidet der Gerichtshof, dass der Umstand, dass der Verantwortliche das Bankgeschäft im Rahmen einer reglementierten Tätigkeit ausübt und dass die Person, deren personenbezogene Daten in ihrer Eigenschaft als Kunde des Verantwortlichen verarbeitet wurden, bei diesem Verantwortlichen auch beschäftigt war, sich grundsätzlich nicht auf die Reichweite des Rechts auswirkt, das dieser Person gewährt wird.

Tenor der Entscheidung:
1. Art. 15 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) im Licht von Art. 99 Abs. 2 dieser Verordnung

ist dahin auszulegen, dass

er auf ein Auskunftsersuchen hinsichtlich der in Art. 15 DSGVO genannten Informationen anwendbar ist, wenn die Verarbeitungsvorgänge, auf die sich dieses Ersuchen bezieht, vor dem Anwendungsdatum der Verordnung ausgeführt wurden, das Ersuchen indessen nach diesem Datum vorgebracht wurde.

2. Art. 15 Abs. 1 der Verordnung 2016/679

ist dahin auszulegen, dass

Informationen, die Abfragen personenbezogener Daten einer Person betreffen und die sich auf den Zeitpunkt und die Zwecke dieser Vorgänge beziehen, Informationen darstellen, die die genannte Person nach dieser Bestimmung von dem Verantwortlichen verlangen darf. Dagegen sieht diese Bestimmung kein solches Recht in Bezug auf Informationen über die Identität der Arbeitnehmer dieses Verantwortlichen vor, die diese Vorgänge unter seiner Aufsicht und im Einklang mit seinen Weisungen ausgeführt haben, außer wenn diese Informationen unerlässlich sind, um der betroffenen Person es zu ermöglichen, die ihr durch diese Verordnung verliehenen Rechte wirksam wahrzunehmen, und vorausgesetzt, dass die Rechte und Freiheiten dieser Arbeitnehmer berücksichtigt werden.

3. Art. 15 Abs. 1 der Verordnung 2016/679

ist dahin auszulegen, dass

der Umstand, dass der Verantwortliche das Bankgeschäft im Rahmen einer reglementierten Tätigkeit ausübt und dass die Person, deren personenbezogene Daten in ihrer Eigenschaft als Kunde des Verantwortlichen verarbeitet wurden, bei diesem Verantwortlichen auch beschäftigt war, sich grundsätzlich nicht auf die Reichweite des Rechts auswirkt, das dieser Person nach dieser Bestimmung gewährt wird.

Den Volltext der Entscheidung finden Sie hier:

BGH: Kein Anspruch aus Art. 15 DSGVO gegen private Krankenversicherung auf Abschriften von Beitragsanpassungsschreiben - Aber möglicherweise Auskunftsanspruch aus Treu und Glauben

BGH
Urteil vom 27.09.2023
IV ZR 177/22


Der BGH hat entschieden, dass ein Versicherungsnehmer keinen Anspruch aus Art. 15 DSGVO gegen eine private Krankenversicherung auf Abschriften von Beitragsanpassungsschreiben hat. Ein solcher Anspruch kann sich aber möglicherweise aus Treu und Glauben (§ 242 BGB) ergeben.


Die Pressemitteilung des BGH:
Zum Auskunftsanspruch über frühere Prämienanpassungen in der privaten Krankenversicherung

Der unter anderem für das Versicherungsvertragsrecht zuständige IV. Zivilsenat des Bundesgerichtshofs hat entschieden, dass dem Versicherungsnehmer aus Treu und Glauben ein Auskunftsanspruch über zurückliegende Prämienanpassungen in der privaten Krankenversicherung zustehen kann, wenn er in entschuldbarer Weise über Bestehen und Umfang seines Rechts im Ungewissen ist. Dagegen folgt aus Art. 15 Abs. 1 und 3 der Verordnung (EU) 2016/679 (Datenschutzgrundverordnung - DSGVO) grundsätzlich kein Anspruch auf Abschriften der Begründungsschreiben zu den Prämienanpassungen samt Anlagen.

Sachverhalt und Prozessverlauf:

Der Kläger wendet sich gegen die Wirksamkeit von Prämienanpassungen in seiner privaten Krankenversicherung. Mit der Klage hat er vom beklagten Versicherer unter anderem Auskunft über alle Beitragserhöhungen aus den Jahren 2013 bis 2016 durch Vorlage von Unterlagen verlangt, die Angaben zur Höhe der Beitragserhöhungen unter Benennung der jeweiligen Tarife, die ihm übermittelten Anschreiben mit Begründungen, die Nachträge zum Versicherungsschein sowie die Beiblätter enthalten. Diesen Antrag hat er im Rahmen einer Stufenklage gestellt, mit der er unter anderem die Feststellung, dass die noch genauer zu bezeichnenden Erhöhungen unwirksam seien, und die Zahlung eines nach Erteilung der Auskunft noch zu beziffernden Betrages verlangt hat.

Das Landgericht hat die Klage abgewiesen. Das Berufungsgericht hat das landgerichtliche Urteil zum Teil abgeändert und die Beklagte unter anderem antragsgemäß zur Auskunftserteilung verurteilt. Soweit die Klage Erfolg hatte, richtet sich dagegen die Revision der Beklagten.

Die Entscheidung des Senats:

Der Bundesgerichtshof hat entschieden, dass die Auskunftsklage zulässig ist. Zwar ist das Rechtsschutzbegehren als Stufenklage im Sinne des § 254 Zivilprozessordnung unzulässig, da es dem Kläger nicht um die Bezifferung eines Anspruchs, sondern um die Prüfung geht, ob überhaupt ein Anspruch besteht. Der Auskunftsantrag kann jedoch in eine von der Stufung unabhängige Klage umgedeutet werden. Der Kläger hat auch ein berechtigtes Interesse an der begehrten Auskunft, da er sie benötigt, um zu prüfen, ob vergangene Beitragserhöhungen unwirksam waren und ihm daraus Rückzahlungsansprüche zustehen.

Einem Versicherungsnehmer kann aus Treu und Glauben ein Auskunftsanspruch über zurückliegende Prämienanpassungen zustehen. Dieser Anspruch setzt zunächst voraus, dass ihm noch Rückzahlungsansprüche aufgrund früherer Prämienerhöhungen, falls diese unwirksam gewesen sein sollten, als Grund für das Auskunftsbegehren zustehen könnten. Darüber hinaus ist erforderlich, dass er nicht mehr über die betreffenden Unterlagen verfügt und sich die notwendigen Informationen nicht selbst auf zumutbare Weise verschaffen kann. Wenn dies der Fall ist, ist unter Berücksichtigung der Gründe für diesen Verlust zu entscheiden, ob er in entschuldbarer Weise über sein Recht im Ungewissen ist. Die hierfür maßgebenden Umstände hat der Versicherungsnehmer darzulegen und zu beweisen.

Dagegen folgt ein solcher Auskunftsanspruch grundsätzlich nicht aus Art. 15 Abs. 1, 3 DSGVO. Ein Anspruch auf eine Abschrift der gesamten Begründungsschreiben samt Anlagen lässt sich aus Art. 15 Abs. 1 DSGVO nicht herleiten, da es sich weder bei den Anschreiben selbst noch bei den beigefügten Anlagen jeweils in ihrer Gesamtheit um personenbezogene Daten des Versicherungsnehmers handelt. Aus Art. 15 Abs. 3 DSGVO ergibt sich nur ein Anspruch auf eine Kopie der Daten, zu denen nach Art. 15 Abs. 1 DSGVO Auskunft zu erteilen wäre, aber grundsätzlich kein Anspruch auf Herausgabe von Kopien bestimmter Dokumente. Dazu hat der Gerichtshof der Europäischen Union mit Urteil vom 4. Mai 2023 (C-487/21, NJW 2023, 2253) entschieden, dass Art. 15 Abs. 1 DSGVO den Gegenstand und den Anwendungsbereich des Auskunftsrechts und Art. 15 Abs. 3 DSGVO die praktischen Modalitäten für die Erfüllung der Verpflichtung festlege; daher könne Art. 15 DSGVO nicht so ausgelegt werden, dass er in seinem Abs. 3 Satz 1 ein anderes Recht als das in seinem Abs. 1 vorgesehene gewähre.

Die Revision hatte auf dieser Grundlage zum Teil Erfolg und führte unter anderem zu einer Aufhebung des Berufungsurteils hinsichtlich der Auskunftsklage. Soweit das Berufungsgericht noch nicht alle Voraussetzungen für einen Auskunftsanspruch aus Treu und Glauben geprüft hat, hat der Bundesgerichtshof die Sache zur neuen Verhandlung und Entscheidung an das Berufungsgericht zurückverwiesen, damit es dies nachholen kann.

Vorinstanzen:

OLG Frankfurt am Main - Urteil vom 7. April 2022 - 3 U 266/21

LG Gießen - Urteil vom 31. August 2021 - 2 O 545/20

Die maßgebliche Vorschriften lauten:

§ 254 ZPO

Wird mit der Klage auf Rechnungslegung oder auf Vorlegung eines Vermögensverzeichnisses oder auf Abgabe einer eidesstattlichen Versicherung die Klage auf Herausgabe desjenigen verbunden, was der Beklagte aus dem zugrunde liegenden Rechtsverhältnis schuldet, so kann die bestimmte Angabe der Leistungen, die der Kläger beansprucht, vorbehalten werden, bis die Rechnung mitgeteilt, das Vermögensverzeichnis vorgelegt oder die eidesstattliche Versicherung abgegeben ist.

§ 242 BGB

Der Schuldner ist verpflichtet, die Leistung so zu bewirken, wie Treu und Glauben mit Rücksicht auf die Verkehrssitte es erfordern.

Art. 15 DSGVO

(1) Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:



(3) 1Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung. …



VG Düsseldorf: Kein Anspruch nach dem IFG NRW gegen Justizministerium NRW auf Auskunftserteilung zum "Cum-Ex"-Ermittlungsverfahren

VG Düsseldorf:
Urteil vom 24.08.2023
29 K 329/21


Das VG Düsseldorf hat entschieden, dass kein Anspruch nach dem IFG NRW gegen das Justizministerium NRW auf Auskunftserteilung zum "Cum-Ex"-Ermittlungsverfahren besteht.

Die Pressemitteilung des Gerichts:
Justizministerium muss keinen Informationszugang zu „Cum-Ex“-Ermittlungsverfahren gewähren

Das Ministerium der Justiz des Landes Nordrhein-Westfalen (Justizministerium NRW) muss keinen Informationszugang zu Berichten der Staatsanwaltschaften in Ermittlungsverfahren zu „Cum-Ex“-Transaktionen der WestLB AG und der Bearbeitung dieser Berichte im Justizministerium gewähren. Das hat die 29. Kammer des Verwaltungsgerichts Düsseldorf durch soeben in öffentlicher Sitzung verkündetem Urteil vom heutigen Tage entschieden und die auf das Informationsfreiheitsgesetz Nordrhein-Westfalen (IFG NRW) gestützte Klage von Gesellschaftern der Warburg Bank abgewiesen.

Das Gericht führt zur Begründung seines Urteils aus: Das IFG NRW findet auf die Tätigkeit von Behörden der Staatsanwaltschaft keine Anwendung, wenn diese auf dem Gebiet der Strafrechtspflege tätig werden. Dies ist insbesondere bei der Durchführung von Ermittlungsverfahren der Fall. Auch das Justizministerium NRW stellt eine (übergeordnete) Behörde der Staatsanwaltschaft dar. Denn nach dem Gerichtsverfassungsgesetz können die Justizministerien mit Weisungen inhaltlich auf die staatsanwaltschaftlichen Ermittlungsverfahren Einfluss nehmen. In dieser Funktion hat das Justizministerium NRW gehandelt, als es die Berichte der Staatsanwaltschaft zu den „Cum-Ex“-Ermittlungsverfahren im Hinblick auf die mögliche Ausübung seiner Weisungsrechte bearbeitet hat. Sowohl die Berichte der Staatsanwaltschaften als auch die Aktenvermerke des Justizministeriums NRW weisen einen hinreichenden Bezug zu den Ermittlungsverfahren auf, wodurch sie dem Anwendungsbereich des IFG NRW entzogen sind.

Gegen das Urteil kann beim Oberverwaltungsgericht für das Land Nordrhein-Westfalen in Münster die Zulassung der Berufung beantragt werden.

Aktenzeichen: 29 K 329/21