Skip to content

LG Köln: Sparkasse muss Kunden nach Phishing-Angriff per Call-ID Spoofing gemäß § 675u BGB Schaden durch nicht autorisierte Zahlungsvorgänge ersetzen

LG Köln
Urteil vom 20.11.2023
22 O 43/23


Das LG Köln hat entschieden, dass eine Sparkasse seinem Kunden nach einem Phishing-Angriff per Call-ID Spoofing gemäß § 675u BGB den Schaden durch nicht autorisierte Zahlungsvorgänge ersetzen muss.

Aus den Entscheidungsgründen;
Der Klageantrag zu 1.) ist begründet. Der Kläger hat einen Anspruch gegen die Beklagte, das bei ihr geführte Girokonto des Klägers Nr. N01 auf den Stand zu bringen, auf dem es sich ohne die Belastungen durch die nicht autorisierten Zahlungsvorgänge in Höhe von insgesamt EUR 9.933,38 am 23.09.2022 befunden hätte.

1. Nach § 675u S. 1 BGB hat der Zahlungsdienstleister (hier die Beklagte) des Zahlers (hier des Klägers) im Fall eines nicht autorisierten Zahlungsvorgangs gegen diesen keinen Anspruch auf Erstattung seiner Aufwendungen. Er ist nach § 675u S. 2 BGB verpflichtet, dem Zahler den Zahlungsbetrag unverzüglich zu erstatten und, sofern der Betrag einem Zahlungskonto belastet worden ist, dieses Zahlungskonto wieder auf den Stand zu bringen, auf dem es sich ohne die Belastung durch den nicht autorisierten Zahlungsvorgang befunden hätte.

2. Diese Voraussetzungen sind vorliegend erfüllt, da die streitgegenständlichen Zahlungsvorgänge nicht durch den Kläger autorisiert waren. Dies ist bereits deshalb der Fall, weil sie nicht durch den Berechtigten, nämlich den Kläger, ausgeführt worden sind; eine Stellvertretung für den Kläger ist ausgeschlossen (vgl. BGH, Urteil vom 26.01.2016 – XI ZR 91/14, BGHZ 208, 331 Rn. 58 m.w.N.). Dass der Kläger die Zahlungsvorgänge mittels ApplePay nicht selbst autorisiert hat, steht nach dem Vortrag der Parteien fest. Während die Beklagte zunächst die Autorisierung jedenfalls konkludent bestritten hat („sofern er die Freigabe einer digitalen Debitkarte nicht wissentlich veranlasst hat“, Bl. 73 d. A.), ging sie zuletzt von „durch den Betrüger vorgenommenen Zahlungen“ (Bl. 157 d. A.) aus. Jedenfalls wäre auch ein einfaches Bestreiten der Beklagten, die nach Maßgabe des § 675w BGB vorrangig im Hinblick auf den Nachweis der Authentifizierung darlegungs- und beweisbelastet ist, nicht geeignet gewesen, um den substantiierten Ausführungen des Klägers entgegenzutreten (vgl. § 138 Abs. 3 ZPO).

Die Beklagte kann dem klägerischen Anspruch auch keinen Schadensersatzanspruch gemäß § 675v BGB nach § 242 BGB entgegenhalten (sog. dolo-agit-Einwendung). Der Beklagten steht unter keinem erdenklichen rechtlichen Gesichtspunkt ein solcher Schadensersatzanspruch zu. Ein solcher Anspruch ergibt sich insbesondere nicht aus § 675v Abs. 3 Nr. 2 BGB.

Nach § 675v Abs. 3 BGB ist der Zahler seinem Zahlungsdienstleister zum Ersatz des gesamten Schadens verpflichtet, der infolge eines nicht autorisierten Zahlungsvorgangs entstanden ist, wenn der Zahler entweder in betrügerischer Absicht gehandelt hat (§ 675v Abs. 3 Nr. 1 BGB) oder er den Schaden durch vorsätzliche oder grob fahrlässige Verletzung einer oder mehrerer Pflichten gemäß § 675l Abs. 1 BGB (§ 675v Abs. 3 Nr. 2 a) BGB) oder einer oder mehrerer vereinbarter Bedingungen für die Ausgabe und Nutzung des Zahlungsinstruments nach § 675l Abs. 2 BGB (§ 675v Abs. 3 Nr. 2 b) BGB) herbeigeführt hat.

Im Hinblick auf den allein in Betracht kommenden Anspruch gemäß § 675v Abs. 3 Nr. 2 BGB ist die Beklagte ihrer diesbezüglichen Darlegungs- und Beweislast nicht nachgekommen.

Grobe Fahrlässigkeit erfordert einen in objektiver Hinsicht schweren und in subjektiver Hinsicht schlechthin unentschuldbaren Verstoß gegen die Anforderungen der konkret erforderlichen Sorgfalt. Selbst ein objektiv grober Pflichtenverstoß rechtfertigt für sich noch keinen zwingenden Schluss auf ein entsprechend gesteigertes personales Verschulden (vgl. BGH, Urteil vom 26.01.2016, XI ZR 91/44, Rn. 71 m.w.N.). Dabei kommt dem Zahlungsdienstleister auch kein Anscheinsbeweis zu Gute, dass bei einem Missbrauch des Online-Bankings, wenn die Nutzung eines Zahlungsauthentifizierungsinstruments korrekt aufgezeichnet worden und die Prüfung der Authentifizierung beanstandungsfrei geblieben ist, eine konkrete grob fahrlässige Pflichtverletzung des Zahlungsdienstnutzers nach § 675v Abs. 2 BGB vorliegt (BGH, a.a.O. Rn.68).

Schon nach dem Vortrag der Beklagten fehlt es hier allerdings beim Kläger an einer grob fahrlässigen Verletzung der Pflichten eines Zahlungsdienstnutzers. Das Verhalten des Klägers ist danach jedenfalls nicht als subjektiv schlechthin unentschuldbar zu werten.

Diese Einschätzung stützt das Gericht zum einen darauf, dass sich die Täter des sog. Call-ID Spoofings bedienten. Dem Kläger wurde infolgedessen die Nummer der Beklagten angezeigt, als die Täter ihn anriefen. Für einen verständigen, langjährigen Bankkunden ist die Nutzung einer ihm bekannten Nummer mit besonderem Vertrauen verbunden. Davon, dass die Möglichkeit besteht, eine fremde Nummer zu nutzen, dürfte der Durchschnittsbürger keine Kenntnis haben. Dass dem Kläger der angebliche Mitarbeiter der Beklagten nicht bekannt war, ist für sich genommen noch kein besonders verdächtiger Umstand. In einer großen Organisation wie der der Beklagten herrscht regelmäßig eine gewisse Fluktuation bzw. es findet eine Arbeitsteilung statt, sodass die Bankkunden nicht mehr zwingend nur mit einem Mitarbeiter in Kontakt stehen.

Etwas anderes gilt auch nicht aufgrund der Bezeichnung des Auftrags in der pushTAN App als „Registrierung Karte“. Zwar gab der Anrufer vor, er wolle die Karte des Klägers entsperren, nicht registrieren. Allerdings ist die Bezeichnung „Registrierung“ derart weit, dass für den Kläger – vor allem in der Überrumpelungssituation, in der er sich befand und auch bei der durch die Beklagte mit einem Sicherheitshinweis angemahnten sorgfältigen Prüfung – überhaupt nicht erkennbar war, dass es um die Einrichtung eines Zahlungssystems auf einem mobilen Endgerät der Herstellers Apple Inc. und damit die Freigabe einer Möglichkeit zu Kontoverfügungen geht, die nur von der Verfügungsgewalt über dieses mobile Endgerät abhängt. Dabei wäre es der Beklagten ohne weiteres möglich gewesen, durch einen eindeutigen Text, insbesondere durch Verwendung eines Hinweises gerade auf ApplePay dem Kunden deutlich vor Augen zu führen, welcher Zahlungsdienst hier freigegeben werden soll, um so ersichtlich zu machen, dass es um Endgeräte eines bestimmten Herstellers und die Nutzung als Wallet, nicht einer Karte geht (vgl. LG Köln, Urteil vom 09.03.2023 - 15 O 267/22). Bei der hier vorliegenden Gestaltung konnte der Kläger den Text in der pushTAN App dem eigentlichen Vorgang nicht zuordnen. Im Übrigen ergibt sich aus der Formulierung des Warntextes, es sei „kein Auftrag“ freizugeben, der nicht „explizit beauftragt“ wurde, nach seinem natürlichen Wortsinn nicht, dass der Auftrag zwingend über die Online-Banking App erfolgt sein muss. Der Kläger durfte davon ausgehen, dass sein – vermeintlich − telefonisch erteilter „Auftrag“ diese Voraussetzungen ebenso erfülle. Der Vorgang und auch der Pflichtenverstoß des Klägers ist daher bereits nicht allein dessen Verantwortungsbereich anzulasten.
Auf die Fragen, ob eine starke Kundenauthentifizierung verlangt wurde (§ 675v Abs. 4 BGB) oder der Beklagten ein Mitverschulden anzulasten ist, kommt es insofern nicht mehr an.

II. Der Klageantrag zu 2.) ist ebenfalls begründet. Der Kläger hat gegen die Beklagte einen Anspruch auf Zahlung der vorgerichtlichen Rechtsanwaltskosten in Höhe von EUR 973,66 nebst Zinsen in Höhe von fünf Prozentpunkten seit dem 23.05.2023.

Der Anspruch auf Zahlung der vorgerichtlichen Rechtsanwaltskosten ergibt sich aus §§ 280 Abs. 1, 2, 286 BGB i.V.m. § 675u Satz 3 BGB. Die Beklagte befand sich mit der gemäß § 675u Sätze 2, 3 BGB „unverzüglich“ geschuldeten Erstattung in Verzug (vgl. OLG Celle Hinweisbeschluss v. 17.11.2020 – 3 U 122/20, BeckRS 2020, 33608 Rn. 44 ff.).

Der Zinsanspruch folgt aus §§ 291, 288 Abs. 1 BGB i.V.m. § 187 Abs. 1 BGB analog.


Den Volltext der Entscheidung finden Sie hier:

EuGH: Europol und Mitgliedstaat haften bei Zusammenarbeit gesamtschuldnerisch für Schäden aufgrund widerrechtlicher Datenverarbeitung

EuGH
Urteil vom 05.03.2024
C-755/21 P
Kočner ./. Europol


Der EuGH hat entschieden, dass Europol und der jeweilige Mitgliedstaat bei Zusammenarbeit gesamtschuldnerisch für Schäden aufgrund widerrechtlicher Datenverarbeitung auf Schadensersatz haften.

Die Pressemitteilung des EuGH:
Datenverarbeitung: Europol und der Mitgliedstaat, in dem aufgrund einer widerrechtlichen Datenverarbeitung im Rahmen der Zusammenarbeit zwischen Europol und diesem Mitgliedstaat ein Schaden eingetreten ist, haften für diesen Schaden gesamtschuldnerisch

Die betroffene Person, die von Europol oder dem betreffenden Mitgliedstaat vollständigen Ersatz ihres Schadens begehrt, muss lediglich nachweisen, dass anlässlich der Zusammenarbeit zwischen diesen beiden Stellen eine widerrechtliche Datenverarbeitung vorgenommen wurde, durch die ihr ein Schaden entstanden ist. Es ist nicht erforderlich, dass sie darüber hinaus nachweist, welcher dieser Stellen die widerrechtliche Verarbeitung zuzurechnen ist.

Nach der Ermordung des slowakischen Journalisten Ján Kuciak und von dessen Verlobter Martina Kušnírová am 21. Februar 2018 in der Slowakei führten die slowakischen Behörden umfangreiche Ermittlungen durch. Auf Ersuchen dieser Behörden extrahierte die Agentur der Europäischen Union für die Zusammenarbeit auf dem Gebiet der Strafverfolgung (Europol) die Daten, die auf zwei mutmaßlich Herrn Marian Kočner gehörenden Mobiltelefonen gespeichert waren. Europol übermittelte den genannten Behörden sodann ihre wissenschaftlichen Berichte und übergab eine Festplatte mit den extrahierten verschlüsselten Daten. Im Mai 2019 veröffentlichte die slowakische Presse Informationen betreffend Herrn Kočner, die aus dessen Mobiltelefonen stammten, darunter Transkriptionen seiner intimen Kommunikation. Zudem wies Europol in einem ihrer Berichte darauf hin, dass Herr Kočner seit 2018 wegen des Verdachts einer Finanzstraftat in Haft sei und dass sein Name u. a. unmittelbar mit den sogenannten „Mafia-Listen“ und den „Panama Papers“ in Zusammenhang stehe.

Herr Kočner erhob beim Gericht der Europäischen Union gegen Europol Klage auf eine Entschädigung in Höhe von 100 000 Euro als Ersatz des immateriellen Schadens, den er seiner Ansicht nach aufgrund der rechtswidrigen Verarbeitung seiner Daten erlitten hat. Mit Urteil vom 29. September 20211 wies das Gericht die Klage ab. Es kam zu dem Ergebnis, dass Herr Kočner zum einen keinen Beweis für einen Kausalzusammenhang zwischen dem behaupteten Schaden und dem Verhalten von Europol erbracht habe und zum anderen nicht nachgewiesen habe, dass die sogenannten „Mafia-Listen“ von Europol erstellt und geführt worden seien. Herr Kočner hat daraufhin beim Gerichtshof ein Rechtsmittel eingelegt.

Der Gerichtshof stellt in seinem Urteil fest, dass das Unionsrecht eine Regelung der gesamtschuldnerischen Haftung Europols und des Mitgliedstaats, in dem der Schaden infolge einer widerrechtlichen Datenverarbeitung im Rahmen einer Zusammenarbeit zwischen Europol und diesem Mitgliedstaat eingetreten ist, einführt. In einer ersten Stufe kann die gesamtschuldnerische Haftung Europols bzw. des betreffenden Mitgliedstaats vor dem Gerichtshof der Europäischen Union bzw. vor dem zuständigen nationalen Gericht geltend gemacht werden. Gegebenenfalls kann eine zweite Stufe vor dem Verwaltungsrat von Europol zur Klärung der Frage folgen, ob „letztlich“ Europol und/oder der betreffende Mitgliedstaat für den einer natürlichen Person gewährten Schadensersatz „zuständig“ sind bzw. ist.

Zur Geltendmachung dieser gesamtschuldnerischen Haftung muss die betroffene natürliche Person lediglich im Rahmen der ersten Stufe nachweisen, dass anlässlich der Zusammenarbeit zwischen Europol und dem betreffenden Mitgliedstaat eine widerrechtliche Datenverarbeitung vorgenommen wurde, durch die ihr ein Schaden entstanden ist. Anders als das Gericht entschieden hat, ist es nicht erforderlich, dass diese Person darüber hinaus nachweist, welcher dieser beiden Stellen die widerrechtliche Verarbeitung zuzurechnen ist. Folglich hebt der Gerichtshof das Urteil des Gerichts in diesem Punkt auf.

Der Gerichtshof entscheidet den Rechtsstreit selbst und urteilt, dass die widerrechtliche Datenverarbeitung, die in der Weitergabe von Daten betreffend intime Gespräche zwischen Herrn Kočner und seiner Freundin an Unbefugte zum Ausdruck kam, dazu führte, dass diese Daten durch die slowakische Presse der Öffentlichkeit zugänglich gemacht wurden. Er stellt fest, dass diese widerrechtliche Verarbeitung das Recht von Herrn Kočner auf Achtung seines Privat- und Familienlebens sowie seiner Kommunikation verletzt hat und seine Ehre und sein Ansehen beeinträchtigt hat, wodurch ihm ein immaterieller Schaden entstanden ist. Der Gerichtshof spricht Herrn Kočner eine Entschädigung in Höhe von 2 000 Euro als Ersatz dieses Schadens zu.


Den Volltext der Entscheidung finden Sie hier:

OLG Frankfurt: Kein Erstattungsanspruch gegen Bank nach Phishing-SMS wenn Kunde grob fahrlässig handelt - Mehrmalige Bestätigung per PushTAN auf Anforderung eines Anrufers

OLG Frankfurt
Urteil vom 06.12.2023
3 U 3/23


Das OLG Frankfurt hat entschieden, dass kein Erstattungsanspruch gegen die Bank nach einem Phishing-Angriff per SMS besteht, wenn der Kunde grob fahrlässig gehandelt hat (hier; Mehrmalige Bestätigung per PushTAN auf Anforderung eines Anrufers).

Die Pressemitteilung des Gerichts:
Phishing-Angriff - Keine Haftung der Bank
Die Bank haftet nicht für einen aufgrund Phishing-Angriffs vom Kunden grob fahrlässig freigegebenen Überweisungsbetrag.

Gibt ein Kunde mittels PushTAN und Verifizierung über eine Gesichtserkennung nach einer Phishing-Nachricht die temporäre Erhöhung seines Überweisungslimits und eine anschließende Überweisung frei, handelt er grob fahrlässig. Die Bank schuldet in diesem Fall nicht die Rückerstattung des überwiesenen Betrags, bestätigte das Oberlandesgericht Frankfurt am Main mit heute veröffentlichter Entscheidung das klageabweisende Urteil des Landgerichts.

Der Kläger, Rechtsanwalt und Steuerberater in einer internationalen Sozietät, führt bei der Beklagten ein Girokonto. Online-Transaktionen bestätigt er mit dem sog. PushTAN-Verfahren. Sobald in seinem Online-Banking ein Auftrag erteilt wird, erhält er über die auf seinem Smartphone installierte PushTAN-App eine Benachrichtigung und wird zur Freigabe des Auftrags aufgefordert. Zusätzlich hat er eingestellt, dass seine Identität über die Gesichtserkennung des Smartphones bestätigt werden muss. Sein Überweisungslimit lag bei 10.000 €.

Der Kläger erhielt im September 2021 eine SMS mit dem Hinweis, dass sein Konto eingeschränkt worden sei. Es solle sich für ein neues Verfahren anmelden und hierzu einem Weblink folgen, der das Wort „Sparkasse“ enthielt. Die im Absender der SMS genannte Telefonnummer hatte die Beklagte in der Vergangenheit bereits verwendet, um den Kläger über vorrübergehende Sperrungen nach Sicherheitsvorfällen zu informieren. Der Kläger folgte dem in der SMS angegebenen Link. Anschließend wurde er von einer männlichen Person angerufen und bestätigte auf Anweisung des Anrufers seinen Angaben nach „etwas“ in der PushTAN-App der Beklagten. Am selben Tag wurde das Konto des Klägers mit einer Überweisung i.H.v. 49.999,99 € belastet und als Empfänger eine männliche Person mit Vor- und Nachnamen angegeben.

Mit seiner Klage begehrt der Kläger von der Beklagten die Gutschrift dieses Betrags. Das Landgericht hat die Klage abgewiesen. Die hiergegen gerichtete Berufung hatte auch vor dem OLG keinen Erfolg. Die Beklagte schulde im Ergebnis nicht die Gutschrift des Betrags, da der Kläger grob fahrlässig seine Pflichten verletzt habe, bestätigte das OLG die landgerichtliche Entscheidung.

Für die Limitänderung fordere die Beklagte eine starke Kundenauthentifizierung mit PIN und PushTAN. Gemäß den Aufzeichnungen der Beklagten sei am Tag der Überweisung eine PushTAN-Freigabe für ein temporäres Tageslimit von 50.000 € angefordert worden, die per Gesichtserkennung auch erteilt worden sei. Von derselben IP-Adresse aus sei nachfolgend eine PushTAN-Freigabe für die streitgegenständliche Überweisung über 49.999,99 € angefordert und ebenfalls per Gesichtserkennung erteilt worden.

Damit sei der Vortrag des Klägers, nur einmal „etwas“ in seiner PushTAN-App mittels Gesichtskennung bestätigt zu haben, nicht glaubhaft. Aufgrund der beruflichen Qualifikation des Klägers könne unterstellt werden, dass er in geschäftlichen Dingen grundsätzlich erfahren sei. Er habe auch selbst berichtet, Online-und Telefonbanking bei mehreren Instituten zu nutzen und mit den grundlegenden Funktionen von Banking- bzw. TAN-Apps vertraut zu sein. Da die Erinnerung des Klägers an Nebendetails des Ablaufs sehr ungenau gewesen seien, spreche eine sehr hohe Wahrscheinlichkeit dafür, dass auch seine Erinnerung an die Anzahl der von ihm abgegebenen PushTAN-Bestätigungen unzuverlässig sei.

Der Kläger habe durch die Bestätigung von PushTANs auf Anforderung des Anrufers hin gegen seine Verpflichtung, Sicherheitsmerkmale vor unbefugten Zugriff zu schützen, verstoßen und einem unbekannten Dritten Zugriff auf ein personalisiertes Sicherheits­merkmal gewährt. Dadurch habe er faktisch die Kontrolle über das Authentifizierungsinstrument PushTAN in die Hände des Anrufers gelegt.

Die Freigabe einer PushTAN auf telefonischen Zuruf hin begründe den Vorwurf der groben Fahrlässigkeit in objektiver und subjektiver Hinsicht. Bei der Freigabeaufforderung werde dem Kunden grundsätzlich angezeigt, für welchen konkreten Vorgang – etwa eine Überweisung in konkreter Höhe – die TAN geschaffen wurde. “Beachtet ein Kunde diese deutlichen Hinweise nicht und erteilt die Freigabe, ohne auf die Anzeige zu achten, liegt hierin kein bloß einfach fahrlässiger Pflichtverstoß mehr“, betont das OLG, „Denn bei Nutzung einer App, die explizit der Freigabe von Finanztransaktionen dient, muss es im Allgemeinen jedem einleuchten, dass die Anzeige zur Kenntnis zu nehmen und gründlich zu prüfen ist“.

Soweit sich der Kläger auf einen atypischen Ablauf in der App berufe, auf die er durch den Klick auf den in der SMS angegebenen Link geraten sei, könne ihm nicht entgangen sein, dass sämtliche Banken seit Jahren vor so genannten Phishing-Nachrichten warnten. Diese erweckten den ersten Eindruck, von einem Zahlungsdiensteanbieter zu stammen, führten typischerweise aber zu gefälschten Websites. Dieses kriminelle Phänomen werde seit 2006 öffentlich breit diskutiert. Hier handele es sich offensichtlich um eine derartige Phishing-Nachricht. Dies habe der Kläger auch spätestens nach der Aufforderung, persönliche Sicherheitsmerkmale im Rahmen einer von ihm selbst als „atypisch“ wahrgenommenen Umgebung freizugeben, erkennen müssen. „Spätestens an diesem Punkt hätte die Überlegung ganz nahegelegen, dass er einem Betrugsversuch aufgesessen war.“

Die Entscheidung ist nicht rechtskräftig. Mit der Nichtzulassungsbeschwerde hat der Kläger die Zulassung der Revision beim BGH begehrt.

Oberlandesgericht Frankfurt am Main, Urteil vom 06.12.2023, Az. 3 U 3/23
(vorausgehend Landgericht Frankfurt am Main, Urteil vom 09.12.2022, Az. 2-25 O 41/22)


LG München: Ansprüche gegen TikTok wegen Urheberrechtsverletzungen durch von Nutzern hochgeladene Videos - keine bestmögliche Anstrengungen zur Lizenzierung nach § 4 Abs. 1 S. 1 UrhDaG

LG München
Urteil vom 09.02.2024
42 O 10792/22


Das LG München hat entschieden, dass Rechteinhaber Ansprüche gegen den Betreiber der Plattform TikTok wegen Urheberrechtsverletzungen durch von Nutzern hochgeladene Videos zustehen. Der Plattformbetreiber hat keine bestmögliche Anstrengungen zu Lizenzierung im Sinne von § 4 Abs. 1 S. 1 UrhDaG unternommen.

Die Pressemitteilung des Gerichts:
„Verhandlungspflicht für digitale Plattform“
Die für das Urheberrecht zuständige 42. Zivilkammer hat heute eine digitale Plattform zu Unterlassung und Auskunft für das öffentliche Zugänglichmachen von Filmproduktionen verurteilt und ihre Verpflichtung zum Schadenersatz festgestellt, da die Plattform bestmögliche Anstrengungen im Sinne von § 4 Abs. 1 S. 1 UrhDaG hat vermissen lassen, um die seitens der Klägerin hierfür angebotenen Nutzungsrechte zu erwerben (42 O 10792/22). Eine derartige Obliegenheit fordert das Gesetz über die urheberrechtliche Verantwortlichkeit von Dienstanbietern für das Teilen von Online-Inhalten zur Anwendung vom 21.05.2021, das die sogenannte DSM Richtlinie im deutschen Recht umsetzt.

Die Beklagte betreibt eine digitale Plattform insbesondere zum Erstellen und Teilen von Videos. Die vornehmlich von Nutzern generierten und hochgeladenen Videos werden von der Beklagten gespeichert, organisiert und anderen Nutzern öffentlich zugänglich gemacht. Die Klägerin hat die Beklagte auf diverse unberechtigte Veröffentlichungen verschiedener Filme auf ihrer Plattform hingewiesen und angeboten, diese kostenpflichtig zu lizenzieren. Die zwischen den Parteien geführten Verhandlungen blieben allerdings ohne Ergebnis.

Die Beklagte ist antragsgemäß zu verurteilen, da sie für die erfolgten öffentlichen Wiedergaben der Filmproduktionen urheberrechtlich verantwortlich ist und sich nicht auf eine Enthaftung nach § 1 Abs. 2 UrhDaG berufen kann. Während die Klägerin ihren Obliegenheiten bei den Lizenzverhandlungen nachgekommen ist und ein konkretes Angebot unterbreitet hat, hat die Beklagte die erforderlichen bestmöglichen Anstrengungen im Sinne von § 4 Abs. 1 S. 1 UrhDaG vermissen lassen, um die seitens der Klägerin angebotenen Nutzungsrechte zu erwerben.

Ob der Diensteanbieter bestmögliche Anstrengungen unternommen hat, ist auf Grundlage einer umfassenden Betrachtung des Einzelfalls unter Berücksichtigung des Verhältnismäßigkeitsgrundsatzes zu beurteilen. Nach den Leitlinien zu Art. 17 der RL 2019/790/EU sind die Verhandlungen zwischen den Diensteanbietern und Rechteinhabern fair und zügig zu führen, wobei für die konkrete Ausgestaltung auf die bereits in Art. 16 der RL 2014/26/EU statuierten Verhandlungsgrundsätze zurückgegriffen werden kann, die im deutschen Recht ihre Umsetzung in § 36 VGG gefunden haben und Ausdruck verallgemeinerbarer Grundsätze sind.

Das konkrete Verhalten der Beklagte ließ nicht das Ziel erkennen, alsbald zu einem beiderseits interessengerechten Ergebnis zu gelangen. Die Verhandlungen waren vielmehr von einem einseitigen Informationsfluss von der Klägerin zur Beklagten geprägt.

Da die Beklagte gegen ihre Lizenzobliegenheit nach § 4 UrhDaG verstoßen hat, kann dahinstehen, ob die Beklagten ihre Pflichten zur einfachen und qualifizierten Blockierung nach §§ 7, 8 UrhDaG erfüllt hat. Um in den Vorteil der Enthaftung zu kommen, hat die Beklagte die Pflichten aus §§ 4, 7 bis 11 UrhDaG kumulativ zu erfüllen. Die folgt nicht nur aus dem Wortlaut, sondern auch aus dem regulatorischen Kontext der genannten Vorschriften. Die §§ 1 ff. UrhDaG bezwecken in Umsetzung von Art. 17 der RL 2019/790/EU diejenigen, deren urheberrechtlich geschützte Inhalte auf Upload-Plattformen genutzt werden, an der dabei stattfindenden Wertschöpfung partizipieren zu lassen. Die Entwicklung des Marktes für die Vergabe von Lizenzen zwischen Rechteinhabern und Diensteanbietern für das Teilen von Online-Inhalten soll gefördert und den Rechtsinhabern die Erzielung höherer Lizenzeinnahmen ermöglicht werden. Die angestrebte Teilhabe des Rechteinhabers an der Wertschöpfung liefe indes leer, wenn es der Diensteanbieter in der Hand hätte, in den Fällen des § 4 Abs. 2 UrhDaG zwischen Lizenzierung und Blockierung zu wählen und sich im Falle eines Verstoßes gegen die Lizenzierungsobliegenheit auf die getroffenen Maßnahmen zur qualifizierten Blockierung (§ 7 UrhDaG) und einfachen Blockierung (§ 8 UrhDaG) zurückzuziehen.

Das Urteil ist nicht rechtskräftig.



Zum Hintergrund:

Gesetz über die urheberrechtliche Verantwortlichkeit von Dienstanbietern für das Teilen von Online-Inhalten

§ 4 UrhDaG - Pflicht zum Erwerb vertraglicher Nutzungsrechte; Direktvergütungsanspruch des Urhebers
(1) Ein Diensteanbieter ist verpflichtet, bestmögliche Anstrengungen zu unternehmen, um die vertraglichen Nutzungsrechte für die öffentliche Wiedergabe urheberrechtlich geschützter Werke zu erwerben. Der Diensteanbieter erfüllt diese Pflicht, sofern er Nutzungsrechte erwirbt, die

1.
ihm angeboten werden,

2.
über repräsentative Rechtsinhaber verfügbar sind, die der Diensteanbieter kennt, oder

3.
über im Inland ansässige Verwertungsgesellschaften oder abhängige Verwertungseinrichtungen erworben werden können.
(2) Nutzungsrechte nach Absatz 1 Satz 2 müssen

1.
für Inhalte gelten, die der Diensteanbieter ihrer Art nach offensichtlich in mehr als geringfügigen Mengen öffentlich wiedergibt,

2.
in Bezug auf Werke und Rechtsinhaber ein erhebliches Repertoire umfassen,

3.
den räumlichen Geltungsbereich dieses Gesetzes abdecken und

4.
die Nutzung zu angemessenen Bedingungen ermöglichen.

(3) Hat der Urheber das Recht der öffentlichen Wiedergabe eines Werkes einem Dritten eingeräumt, so hat der Diensteanbieter für vertragliche Nutzungen gleichwohl dem Urheber eine angemessene Vergütung für die öffentliche Wiedergabe des Werkes zu zahlen. Satz 1 ist nicht anzuwenden, wenn der Dritte eine Verwertungsgesellschaft ist oder der Urheber den Dritten als Digitalvertrieb einschaltet.

(4) Der Urheber kann auf den Direktvergütungsanspruch nach Absatz 3 nicht verzichten und diesen im Voraus nur an eine Verwertungsgesellschaft abtreten. Er kann nur durch eine Verwertungsgesellschaft geltend gemacht werden.




OLG Köln: Weitere Passagen aus dem Buch und dem Hörbuch "Vermächtnis Die Kohl-Protokolle" müssen gestrichen werden

OLG Köln
Urteil vom 06.02.2024
15 U 314/19


Das OLG Köln hat entschieden, dass weitere Passagen aus dem Buch und dem Hörbuch "Vermächtnis Die Kohl-Protokolle" gestrichen werden müssen.

Die Pressemitteilung des Gerichts:
Oberlandesgericht Köln: Berufungsverfahren Dr. Kohl-Richter gegen Dr. Schwan u.a. - Urteilsverkündung im Verfahren 15 U 314/19

Der 15. Zivilsenat des Oberlandesgerichts Köln hat am heutigen Tag in dem vorbezeichneten Verfahren entschieden und die angefochtene landgerichtliche Entscheidung teilweise abgeändert.

In dem Verfahren (vgl. dazu bereits die Pressemitteilung vom 07.10.2022 - PM 10/22) nimmt die Klägerin im Nachgang zu einem früheren Unterlassungsverfahren (OLG Köln, Urteil vom 29.05.2018, Az.: 15 U 65/17, teilweise aufgehoben durch BGH, Urteil vom 29.11.2021, Az. VI ZR 248/18, sodann entschieden durch Teilurteil des Senats vom 22.06.2023, Az. 15 U 65/17, n.v.) die Beklagten zu 1) bis 3) auf Unterlassung der Veröffentlichung und Verbreitung weiterer Passagen aus dem von den Beklagten zu 1) und 2) verfassten und im Verlag der Beklagten zu 3) erschienenen Buch mit dem Namen „Vermächtnis Die Kohl-Protokolle“ (bzw. einem gleichnamigen Hörbuch) in Anspruch. Ferner begehrt sie Auskunft mit dem - jedenfalls primären - Ziel einer Verfolgung von Ansprüchen auf Auskehrung des sogenannten Verletzergewinns wegen eines angeblichen Eingriffs (auch) in „vermögenswerte Bestandteile“ des allgemeinen Persönlichkeitsrechts des Erblassers. Infolge zwischenzeitlichen Versterbens des Beklagten zu 2) ist das Verfahren insoweit unterbrochen. Soweit zwei weitere Beklagte - ehemals Beklagte zu 4) und 5) - wegen eigener Presseberichterstattungen über das Buch von der Klägerin auf Unterlassung und Löschung mehrerer Äußerungen in Anspruch genommen werden, ist das Verfahren abgetrennt und zwischenzeitlich entschieden worden (Urteil des Senats vom 22.06.2023 - 15 U 135/22, n.v.; Nichtzulassungsbeschwerde anhängig: BGH, Az. VI ZR 226/23).

Das Landgericht hat der gegen den Beklagten zu 1) auf Unterlassung gerichteten Klage im Wesentlichen und der gegen diesen im Rahmen einer Stufenklage gerichteten Auskunftsklage vollumfänglich stattgegeben. Die gegen die Beklagte zu 3) auf Unterlassung und im Rahmen einer Stufenklage auf Auskunft und Schadensersatz gerichtete Klage hat das Landgericht vollumfänglich abgewiesen. Gegen dieses Urteil haben sowohl die Klägerin als auch der Beklagte zu 1) Berufung eingelegt. Im Berufungsverfahren hat der Beklagte zu 1) im Rahmen einer gegen die Klägerin gerichteten sog. Zwischenfeststellungswiderklage die Feststellung begehrt, dass in Bezug auf die geführten Memoirengespräche keine vertraglichen Geheimhaltungspflichten zwischen dem Beklagten zu 1) und dem Erblasser begründet worden sind.

Der 15. Zivilsenat hat - nach Durchführung einer Beweisaufnahme durch Vernehmung von Zeugen und nach Anhörung der Klägerin und des Beklagten zu 1) - die angefochtene Entscheidung mit Urteil vom heutigen Tage teilweise abgeändert. Danach haben sowohl die Berufung der Klägerin als auch die Berufung des Beklagten zu 1) teilweise Erfolg. In Bezug auf den gegen den Beklagten zu 1) gerichteten Unterlassungsantrag hat der Senat dem Grunde nach das Bestehen eines vertraglichen Unterlassungsanspruchs bejaht, aber einige geringfügige Abänderungen mit Blick auf den Umfang der Verurteilung zur Unterlassung der Veröffentlichung/Verbreitung bestimmter Passagen des Buches ausgesprochen. Den auf die Feststellung fehlender vertraglicher Geheimhaltungspflichten gerichteten Zwischenfeststellungsantrag des Beklagten zu 1) hat der Senat abgewiesen. In Bezug auf die Beklagte zu 3) hat der Senat der auf Unterlassung zahlreicher Passagen des Buches gerichteten Klage nur in geringem Umfang stattgegeben. Die weitergehende gegen die Beklagte zu 3) gerichtete Berufung der Klägerin ist zurückgewiesen worden.

Zur näheren Begründung der Entscheidung hat der Senat im Wesentlichen Folgendes ausgeführt:

Im Verhältnis zu dem Beklagten zu 1) stehe der Klägerin dem Grunde nach ein vertraglicher Unterlassungsanspruch zu. Zwar sei nach dem Ergebnis der Beweisaufnahme und unter Berücksichtigung der übrigen feststehenden Umstände nicht sicher davon auszugehen, dass der Erblasser und der Beklagte zu 1) im Zusammenhang mit den Arbeiten am "Memoirenprojekt" - unter dem Dach der von ihnen jeweils nur mit dem Verlag abgeschlossenen, insoweit keine eindeutige Verschwiegenheitsverpflichtung regelnden schriftlichen Verträge - unmittelbar eine ausdrückliche oder konkludente Vereinbarung über eine (umfassende) Verschwiegenheitspflicht des Beklagten zu 1) trafen. Den Beklagten zu 1) treffe aber aufgrund einer zwischen ihm und dem Erblasser stillschweigend begründeten auftragsähnlichen Rechtsbeziehung als vertragliche Nebenpflicht eine umfassende Verschwiegenheitspflicht. Aufgrund der hier vorliegenden besonderen Gesamtumstände sei von einem Rechtspflichten begründenden Rechtsverhältnis auszugehen. Die insoweit bestehende (Neben-)Pflicht sei auch nicht durch spätere Ereignisse in Wegfall geraten.

Folge der vertraglichen Bindung sei u.a., dass der Beklagte zu 1) sich im Verhältnis zu dem Erblasser nicht mehr auf sein Recht auf Presse- und Meinungsfreiheit aus Art. 5 Abs. 1 GG berufen könne. Die vertragliche Verschwiegenheitspflicht beziehe sich inhaltlich nicht nur auf die Wiedergabe etwaiger Äußerungen des Erblassers in Form einer wörtlichen oder sinngemäßen Wiedergabe von Zitaten. Vielmehr umfasse sie auch alle anderen Informationen und Umstände aus der gesamten Memoirenarbeit sowie alle hieran anknüpfenden Wertungen des Beklagten zu 1), welche einen Rückschluss auf Äußerungen des Erblassers und /oder sonstige Vorkommnisse während der Memoirenarbeiten zuließen. Eine Ausnahme gelte nur für die Wiedergabe öffentlich vorbekannter Tatsachen und für Umstände, mit denen der Beklagte zu 1) nur "detailarm" den äußeren Rahmen der Memoirengespräche sowie die Rechtsstreitigkeiten der Parteien zutreffend beschreibe. Nach umfassender Prüfung der im Buch enthaltenen Passagen sei das Verbot der Veröffentlichung und Verbreitung in Bezug auf die vom Senat als unzulässig erkannten einzelnen Passagen auszusprechen. Weitere, im Einzelnen als zulässig erachtete Passagen seien - insoweit unter Klageabweisung - vom Verbot auszunehmen. Die Voraussetzungen für ein "Gesamtverbot" des Buches und einen daraus ableitbaren Anspruch auf Unterlassung seien zu verneinen.

Der auf die Feststellung fehlender vertraglicher Geheimhaltungspflichten gerichtete Zwischenfeststellungsantrag des Beklagten zu 1) sei entsprechend unbegründet.

Der von der Klägerin gegen den Beklagten zu 1) geltend gemachte Auskunftsanspruch sei zu bejahen. Er sei zur Vorbereitung eines der Klägerin zustehenden (unstreitig vererblichen) deliktischen Schadensersatzanspruchs wegen eines Eingriffs (auch) in die vermögenswerten Bestandteile des Persönlichkeitsrechts des Erblassers gegeben. Dem Grunde nach bestehe auch bei - hier allein feststellbarer - Fahrlässigkeit des Beklagten zu 1), der seine ungeschriebene vertragliche Bindung verkannt habe, ein Anspruch auf den sogenannten Verletzergewinn als Teil der im Immaterialgüterbereich anerkannten sogenannten dreifachen Schadensberechnung.

Gegen die Beklagte zu 3) bestehe ein Unterlassungsanspruch nur in geringem Umfang in Bezug auf einzelne Passagen. Mangels Bestehens einer vertraglichen Beziehung zwischen dem Erblasser und der Beklagten zu 3) stünden der Klägerin nach dem Tod des Erblassers gegen diese Unterlassungsansprüche nur bei Annahme einer postmortalen Persönlichkeitsrechtsverletzung zu. Unter Berücksichtigung der dazu in der Rechtsprechung entwickelten Kriterien sei dies hier nur in besonderen Fällen anzunehmen, u.a. soweit dem Erblasser als unwahre Tatsachenbehauptungen angebliche Eigenaussagen zugeschrieben worden seien, die er nicht, in abweichendem Kontext oder jedenfalls in anderer Stimmungslage, Lautstärke, Tonfall etc. getätigt habe, und wenn hierdurch jeweils auch das Lebensbild des Erblassers verfälscht, seine Menschenwürde berührt werde. Diese Voraussetzungen seien jedoch nur für wenige Buchpassagen von der im Grundsatz darlegungs- und beweisbelasteten Klägerin prozessual ausreichend substantiiert dargetan worden, dies insbesondere im Kontext einiger im Vorverfahren bereits beanstandeter Fehlzitate sowie unwahrer bzw. bewusst unvollständiger Tatsachenbehauptungen, so etwa bezogen auf den Abschiedsbrief der ersten Ehefrau des Erblassers. Mit Blick auf die - dem Senat nicht vollständig vorliegenden - Tonbandaufnahmen aus den Memoirengesprächen bzw. digitalen Audiokopien seien im Übrigen verfahrensrechtlich keine weitergehenden gerichtlichen Vorlageanordnungen zu treffen gewesen. Dies sei auch nicht gegenüber dem materiell-rechtlich möglicherweise herausgabepflichtigen Beklagten zu 1) geboten. Es bestehe kein Anlass, das Verfahren bis zum Abschluss des - ebenfalls im Wege der Stufenklage geführten und derzeit wieder beim Landgericht Köln anhängigen - Herausgabeverfahrens u.a. wegen der vom Beklagten zu 1) im Besitz gehaltenen Audiokopien der Tonbänder (dazu BGH, Urteil vom 03.09.2020 - III ZR 136/18, abrufbar über die Datenbank www.bundesgerichtshof.de externer Link, öffnet neues Browserfenster / neuen Browser-Tab) auszusetzen.

Die Stufenklage habe das Landgericht insgesamt zu Recht abgewiesen. Der Klägerin stehe gegen die Beklagte zu 3) mangels rechtlicher Grundlage kein Auskunftsanspruch und kein Anspruch auf Auskehr des mit dem Buchverkauf erzielten Gewinns zu. Da sich die Beklagte zu 3) - anders als der Beklagte zu 1) - im Zusammenhang mit der Buchveröffentlichung auf Art. 5 Abs. 1 GG berufen und ihr kein erheblicher Verschuldensvorwurf gemacht werden könne, kämen etwa deliktische Schadensersatzansprüche oder Ansprüche wegen angemaßter Eigengeschäftsführung hier nicht in Betracht.

Der Senat hat die Revision (nur) mit Blick auf die Verurteilung des Beklagten zu 1) zur Auskunftserteilung bzw. die Abweisung der Stufenklage im Verhältnis zur Beklagten zu 3) zur höchstrichterlichen Klärung diesbezüglicher Rechtsfragen zugelassen.




EuGH: Betroffener muss für Schadensersatzanspruch aus Art. 82 DSGVO konkreten materiellen oder immateriellen Schaden nachweisen - Kontrollverlust reicht nicht

EuGH
Urteil vom 25.01.2024
C-687/21
[...] gegen MediaMarktSaturn Hagen-Iserlohn GmbH, vormals Saturn Electro-Handelsgesellschaft mbH Hagen,


Der EuGH hat entschieden, dass ein Betroffener für einen Schadensersatzanspruch aus Art. 82 DSGVO nachweisen muss, dass ein DSGVO-Verstoß einen konkreten materiellen oder immateriellen Schaden verursacht hat. Der bloße Kontrollverlust über personenbezogene Daten reicht nicht. Zudem führt der EuGH aus, dass der Anspruch aus Art. 82 DSGVO kein "Strafschadensersatz" ist.

Tenor der Entscheidung:
1. Die Art. 5, 24, 32 und 82 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) sind zusammen betrachtet dahin auszulegen, dass im Rahmen einer auf Art. 82 gestützten Schadensersatzklage der Umstand, dass Mitarbeiter des für die Verarbeitung Verantwortlichen irrtümlich ein Dokument mit personenbezogenen Daten an einen unbefugten Dritten weitergegeben haben, für sich genommen nicht ausreicht, um davon auszugehen, dass die technischen und organisatorischen Maßnahmen, die der für die betreffende Verarbeitung Verantwortliche getroffen hat, nicht „geeignet“ im Sinne der Art. 24 und 32 waren.

2. Art. 82 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen, dass der in dieser Bestimmung vorgesehene Schadensersatzanspruch, insbesondere im Fall eines immateriellen Schadens, eine Ausgleichsfunktion hat, da eine auf sie gestützte Entschädigung in Geld es ermöglichen soll, den konkret aufgrund des Verstoßes gegen die Verordnung 2016/679 erlittenen Schaden vollständig auszugleichen, und keine Straffunktion erfüllt.

3. Art. 82 der Verordnung 2016/679 ist dahin auszulegen, dass er nicht verlangt, dass die Schwere des von dem für die Verarbeitung Verantwortlichen begangenen Verstoßes für die Zwecke des Ersatzes eines Schadens auf der Grundlage dieser Bestimmung berücksichtigt wird.

4. Art. 82 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen, dass die Person, die aufgrund dieser Bestimmung Schadensersatz verlangt, nicht nur den Verstoß gegen Bestimmungen der Verordnung 2016/679 nachweisen muss, sondern auch, dass ihr dadurch ein materieller oder immaterieller Schaden entstanden ist.

5. Art. 82 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen, dass in einem Fall, in dem ein Dokument, das personenbezogene Daten enthält, an einen unbefugten Dritten weitergegeben wurde, der diese Daten erwiesenermaßen nicht zur Kenntnis genommen hat, nicht schon deshalb ein „immaterieller Schaden“ im Sinne dieser Bestimmung vorliegt, weil die betroffene Person befürchtet, dass im Anschluss an die Weitergabe, die es ermöglichte, vor der Rückgabe des Dokuments eine Kopie von ihm anzufertigen, in der Zukunft eine Weiterverbreitung oder gar ein Missbrauch ihrer Daten stattfindet.

Den Volltext der Entscheidung finden Sie hier:


LAG Mecklenburg-Vorpommern: Keine Altersdiskriminierung im Sinne von § 1 AGG, § 7 AGG durch Formulierung "Junges und dynamisches Team mit Benzin im Blut" in Stellenanzeige

LAG Mecklenburg-Vorpommern
Urteil vom 17.10.2023
2 Sa 61/23


Das LAG Mecklenburg-Vorpommern hat entschieden, dass keine unzulässige Altersdiskriminierung im Sinne von § 1 AGG, § 7 AGG, vorliegt, wenn in einer Stellenanzeige die Formulierung "Junges und dynamisches Team mit Benzin im Blut" verwendet wird. Es handelt sich vielmehr - so das Gericht .- um eine überspitzte und ironische Beschreibung des Arbeitsumfelds.

OLG Hamm: Kontrollverlust über personenbezogene Daten bei unrechtmäßiger Datenverarbeitung begründet allein keinen Anspruch auf immateriellen Schadensersatz aus Art. 82 DSGVO

OLG Hamm
Beschluss vom 21.12.2023
7 U 137/23

Das OLG Hamm hat seine Rechtsansicht bekräftigt, wonach ein Kontrollverlust über personenbezogene Daten bei unrechtmäßiger Datenverarbeitung allein keinen Anspruch auf immateriellen Schadensersatz aus Art. 82 DSGVO begründet.

Aus den Entscheidungsgründen:
1. Die Berufung hat offensichtlich keine Aussicht auf Erfolg (§ 522 Abs. 2 Satz 1 Nr. 1 ZPO).

Mit Blick auf den vorliegend fehlenden kausalen immateriellen Schaden folgen die Ausführungen im Hinweisbeschluss des Senats der Rechtsprechung des EuGH (Urt. v. 14.12.2023 – C-340/21, BeckRS 2023, 35786 Rn. 84, 85). Danach hat der Kläger als Person, die von einem Verstoß gegen die DSGVO betroffen ist, der für sie negative Folgen gehabt hat, nachzuweisen, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 DSGVO darstellen. Dem folgend sieht der Senat somit den Kläger zutreffend in der Pflicht, den Indizienbeweis zum Eintritt eines kausalen immateriellen Schadens zu führen. Indem der Senat sich mit den vom Kläger dargelegten Indizien befasst und diese (hier als nicht den Eintritt eines kausalen immateriellen Schadens tragend) würdigt, setzt der Senat schlicht die weitere Vorgabe des EuGH um; denn danach ist das angerufene nationale Gericht, wenn sich eine Person auf die Befürchtung beruft, dass ihre personenbezogenen Daten in Zukunft aufgrund eines solchen Verstoßes missbräuchlich verwendet werden, gehalten zu prüfen, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann.

2. Die Sache hat auch keine grundsätzliche Bedeutung (§ 522 Abs. 2 Satz 1 Nr. 2 ZPO). Ebenso wenig ist eine Entscheidung des BGH zur Fortbildung des Rechts oder zur Sicherung einer einheitlichen Rechtsprechung erforderlich (§ 522 Abs. 2 Satz 1 Nr. 3 ZPO); denn die im vorliegenden Rechtsstreit entscheidungserheblichen Rechtsfragen sind durch die Rechtsprechung des EuGH und des BGH hinreichend geklärt und im Übrigen solche des Einzelfalls.

a) Mit Blick auf das Tatbestandsmerkmal „Eintritt eines kausalen immateriellen Schadens“ im Sinne des Art. 82 Abs. 1 DSGVO bietet der vorliegende Einzelfall keinen Anhaltspunkt für die Annahme einer weiteren klärungsbedürftigen und klärungsfähigen Rechtsfrage; vielmehr ist die streitgegenständliche Rechtsfrage zur fehlenden Qualität der negativen Folge eines bloßen Kontrollverlusts als immaterieller Schaden durch die aufgezeigten aktuellen Entscheidungen des EuGH geklärt. Die Vorlagefrage 4 aus dem Beschluss des BGH vom 26.09.2023 (VI ZR 97/22) betrifft eine andere Konstellation (vgl. hierzu i.E. Senat Beschl. v. 18.10.2023 – I-7 U 77/23, BeckRS 2023, 32741 Rn. 4).

b) Soweit das OLG Stuttgart (Urt. v. 22.11.2023 - 4 U 20/23, GRUR-RS 2023, 32883, Rn. 89 ff., 257 ff.) von der hiesigen Senatsrechtsprechung abweichend den dortigen und hiesigen Antrag zu 2. auf Feststellung der Ersatzpflicht der Beklagten für künftige materielle und immaterielle Schäden als zulässig und begründet ansieht, folgt aus dieser (vermeintlichen) Divergenz obergerichtlicher Entscheidungen kein Bedarf einer Klärung durch den BGH.

Klärungsbedürftig und damit von grundsätzlicher Bedeutung ist nur eine entscheidungserhebliche Rechtsfrage und auch nur dann, wenn ihre Beantwortung zweifelhaft ist oder wenn zu ihr unterschiedliche Auffassungen vertreten werden und die Frage höchstrichterlich noch nicht geklärt ist (vgl. BGH Beschl. v. 6.3.2019 – IV ZR 108/18, Rn. 13).

An einer grundsätzlichen Bedeutung in diesem Sinne fehlt es zunächst deshalb, weil das OLG Stuttgart (Urt. v. 22.11.2023 - 4 U 20/23, GRUR-RS 2023, 32883, Rn. 81) und der Senat (vgl. hierzu i.E. Senat Urt. v. 15.8.2023 – 7 U 19/23, GRUR-RS 2023, 22505 Rn. 191 ff.) übereinstimmend in rechtlicher Hinsicht die höchstrichterliche Rechtsprechung zugrunde legen, wonach für Schäden, die aus der behaupteten Verletzung des allgemeinen Persönlichkeitsrechts, also eines sonstigen absolut geschützten Rechtsguts im Sinne von § 823 Abs. 1 BGB, resultieren, bereits die Möglichkeit materieller oder weiterer immaterieller Schäden für die Annahme eines Feststellungsinteresses ausreicht.

Eine Divergenz in den obergerichtlichen Entscheidungen besteht lediglich insoweit, als das OLG Stuttgart anders als der Senat im Zuge der Subsumtion nicht auf den zu entscheidenden Einzelfall abstellt, sondern apodiktisch ohne die Betrachtung der Umstände des konkreten Einzelfalls die abstrakte, theoretische Möglichkeit eines (materiellen und immateriellen) Schadenseintritts für ausreichend erachtet.

Dies rechtfertigt es jedoch nicht, eine grundsätzliche Bedeutung anzunehmen; denn durch die gefestigte Rechtsprechung des BGH (vgl. nur BGH Urt. v. 5.10.2021 – VI ZR 136/20, NJW-RR 2022, 23 Rn. 28 m.w.N.) ist bereits höchstrichterlich geklärt, dass die Frage der Möglichkeit eines Schadenseintritts gerade nicht abstrakt, sondern aus der Sicht des konkret Geschädigten in verständiger Würdigung zu beurteilen ist. Dem folgt der Senat in Achtung der zugrundeliegenden Intention, der Beklagtenpartei keinen Rechtsstreit über nur theoretische Fragen aufzuzwingen, in ständiger Rechtsprechung (vgl. Senat Urt. v. 15.8.2023 – 7 U 19/23, GRUR-RS 2023, 22505 Rn. 194 m.w.N.). Dies mag das OLG Stuttgart (Urt. v. 22.11.2023 - 4 U 20/23, GRUR-RS 2023, 32883, Rn. 93 f.) verkannt haben. Eine solche vereinzelte, nicht nachvollziehbar begründete Entscheidung zwingt den Senat jedenfalls nicht zur Zulassung der Revision und damit zugleich zur Abkehr vom Verfahren nach § 522 Abs. 2 ZPO (vgl. dazu BGH Beschl. v. 6.3.2019 - IV ZR 108/18, r+s 2019, 272 Rn. 14; BGH Beschl. v. 8.2.2010 - II ZR 156/09, NJW-RR 2010, 978 Rn. 3; BGH Beschl. v. 27.11.2013 - VII ZR 371/12, NJW 2014, 456 Rn. 9).

Mit Blick darauf ist auch eine Entscheidung des BGH zur Fortbildung des Rechts nicht geboten. Ebenso wenig liegt eine tragende Rechtssatzabweichung von der Rechtsprechung eines höher- oder gleichrangigen anderen Gerichts vor, die eine höchstrichterliche Entscheidung zur Sicherung einer einheitlichen Rechtsprechung erforderte (vgl. hierzu BGH Beschl. v. 6.3.2019 - IV ZR 108/18, r+s 2019, 272 Rn. 15).

c. Entsprechendes gilt insoweit, als das OLG Stuttgart (Urt. v. 22.11.2023 – 4 U 20/23, GRUR-RS 2023, 32883 Rn. 98 ff. und 272) anders als der Senat (Urt. v. 15.8.2023 – 7 U 19/23, GRUR-RS 2023, 22505 Rn. 203 ff.) die Unterlassungsanträge als zulässig erachtet und mit Blick darauf, dass in der Sache über die Unterlassungsansprüche letztlich doch die Implementierung bestimmter Sicherheitsmaßnahmen und damit im Ergebnis eine Leistung verlangt werde, erst die Begründetheit verneint; denn das OLG Stuttgart setzt sich in keiner Weise mit den Ausführungen des Senats zur Unzulässigkeit der beiden Unterlassungsanträge, die auf entsprechender Rechtsprechung des BGH fußen, auseinander. Infolgedessen lassen sich über den jeweiligen Einzelfall hinaus schon keine (weiteren) Unklarheiten in der höchstrichterlichen Rechtsprechung, die eine zusätzliche Klärung durch den BGH erforderten (vgl. hierzu BGH Beschl. v. 8.2.2010 - II ZR 156/09, NJW-RR 2010, 978 Rn. 3; BGH Beschl. v. 27.11.2013 - VII ZR 371/12, NJW 2014, 456 Rn. 9), feststellen.

d. Allein die Vielzahl bundesweit anhängiger gleichgerichteter Rechtsstreite vermag vor dem Hintergrund, dass die entscheidungserheblichen Rechtsfragen sämtlich durch EuGH und BGH geklärt sind, dem Einzelfall keine grundsätzliche Bedeutung zu verleihen.

3. Auch die Durchführung einer mündlichen Verhandlung (§ 522 Abs. 2 Satz 1 Nr. 4 ZPO) ist nicht geboten. Es wird insoweit auf die Ausführungen im Hinweisbeschluss vom 24.11.2023 (Bl. 149 ff. der zweitinstanzlichen elektronischen Gerichtsakte) Bezug genommen.

II. Die Kostenentscheidung beruht auf § 97 Abs. 1 ZPO; die Entscheidung über die vorläufige Vollstreckbarkeit folgt aus § 544 Abs. 2, § 708 Nr. 10, § 713 ZPO.

III. Aus dem Umstand, dass das OLG Stuttgart im Tenor seines Urteils (v. 22.11.2023 – 4 U 20/23, GRUR-RS 2023, 32883) ohne weitere Begründung in seinem Einzelfall den Streitwert für das Berufungsverfahren auf 7.000,00 EUR festgesetzt hat, ergibt sich für den Senat für den vorliegenden Einzelfall kein Grund von seiner Praxis zur Streitwertfestsetzung abzuweichen. Auch insoweit orientiert sich der Senat an ständiger Rechtsprechung des BGH (Senat Urt. v. 15.8.2023 – 7 U 19/23, GRUR-RS 2023, 22505 Rn. 254 ff.).


Den Volltext der Entscheidung finden Sie hier:

OLG Hamburg: 4.000 EURO immaterieller Schadensersatz aus Art. 82 DSGVO wegen zwei unberechtigter Schufameldungen

OLG Hamburg
Urteil vom 10.01.2024
13 U 70/23

Das OLG Hamburg hat entschieden, dass dem Betroffenen 4.000 EURO immaterieller Schadensersatz aus Art. 82 DSGVO wegen zwei unberechtigter Schufameldungen zustehen.

Aus den Entscheidungsgründen:
Der Kläger hat gegen die Beklagte Anspruch auf Ersatz immateriellen Schadens gem. Art. 82 Abs. 1, Abs. 2 S. 1. DSGVO in Höhe von insgesamt 4.000,00.

Die Beklagte hat als „Verantwortlicher" i.S.d. Art. Nr. DSGVO gegen ihre Pflichten aus Art. 5, 6 i.V.m. Art.4 Abs.2 DSGVO verstoßen, indem sie ihre Forderungen gegen den Kläger zweimal an die Schufa gemeldet hat, obwohl die Voraussetzungen hierfür nicht vorlagen. Zur Begründung wird auf die zutreffenden Ausführungen des Landgerichts Bezug genommen, welchen sich das Berufungsgericht vollen Umfangs anschließt.

Hierdurch ist dem Kläger auch ein ersatzfähiger immaterieller Schaden entstanden. Das Landgericht hat sorgfältig und überzeugend begründet, dass der Kläger durch die zweifache unberechtigte Meldung an die Schufa eine Beeinträchtigung seines sozialen Ansehens durch die Darstellung als unzuverlässiger Schuldner hinnehmen musste.

Der Kläger hat zudem belegt, dass sich aus der Auskunft der Schufa und der verschlechterten Einschätzung des Bonitätsrisikos konkrete negative Konsequenzen in Bezug auf die Gewährung eines Kredits durch die ING (Anlage K16) sowie die Sperrung seiner Kreditkarte bei der Hanseatic Bank (Anlage 17) ergeben habe.

Bei der Bemessung des danach zuzuerkennenden Schmerzensgeldes sind nach Auffassung des Berufungsgerichts jedoch nicht alle Umstände hinreichend gewichtet worden.

Der EuGH (Urteil vom 4.5.2023, C-300/21, Rz. 51) hat zur Bemessung des geschuldeten Schadenersatzes festgestellt, dass die DSGVO keine Bestimmung enthält, die sich den Regeln für die Bemessung des Schadenersatzes widmet, auf den eine betroffene Person nach Art. 82 DSGVO Anspruch hat, wenn ihr durch einen Verstoß gegen die Verordnung ein Schaden entstanden ist, und dass ... die Festlegung der Kriterien für die Ermittlung des Umfangs des geschuldeten Schadenersatzes in Ermanglung einschlägiger unionsrechtlicher Vorschriften Aufgabe des Rechts des einzelnen Mitgliedsstaates ist, wobei der Äquivalenz- und der Effektivitätsgrundsatz zu beachten sind.

Maßgeblich sind hiernach die im deutschen Recht für die Schmerzensgeldbemessung maßgeblichen Kriterien, womit die Höhe des Ersatzanspruchs auf Grund einer Würdigung der Gesamtumstände des Falls unter Berücksichtigung der dem Schmerzensgeld zukommenden Ausgleichs- und Genugtuungsfunktion festzusetzen.

Danach muss zum einen dem Umstand, dass auf Seiten der Beklagten jedenfalls bedingter Vorsatz angenommen werden muss, besondere Bedeutung beigemessen werden. Die Beklagte hat die erste Meldung vorgenommen, obwohl der Kläger die Forderung auf ihren eigenen Hinweis hin, dass eine Meldung an die Schufa (nur dann) erfolgen werde, sofern er die Forderung nicht bestritten habe, mit Schreiben vom 1.12.2019, Anlage 7, ausdrücklich bestritten hat. Auch die zweite Meldung erfolgte trotz weiteren Bestreitens durch den Kläger (Schreiben vom 29.12.2019, Anlage 11), seiner Aufforderung zur Löschung und einer zwischenzeitlich erfolgten Löschung durch die Schufa selbst (Anlage 14). Ein solches Verhalten kann nicht anders gedeutet werden, als dass die Beklagte wissentlich und jedenfalls unter billigender Inkaufnahme des als möglich erkannten pflichtwidrigen Erfolges ihre Pflichten aus der DSGVO verletzt hat. Hinzu kommt, dass die Beklagte sich trotz Aufforderung durch den Kläger und Darlegung der Rechtswidrigkeit der Meldung geweigert hat, den Negativeintrag zu widerrufen.

Unter Berücksichtigung der dargestellten Umstände und im Hinblick auf einen kürzlich vom Senat entschiedenen vergleichbaren Fall, wo es weder zu konkreten Auswirkungen durch die Schufa-Meldung gekommen war noch ein vorsätzliches Vorgehen der Beklagten festgestellt werden konnte (13 71/21) und vom Senat ein Schmerzensgeld in Höhe von 1.000,- je Meldung zuerkannt worden war, wird ein deutlich höherer Betrag in Höhe von 2.000,- je Meldung, mithin insgesamt 4.000,00 als angemessen, aber auch als ausreichend erachtet, so dass die weitergehende Berufung zurückzuweisen ist.



ArbG Suhl: Auskunftserteilung nach Art. 15 DSGVO per unverschlüsselter E-Mail verstößt gegen Art. 5 DSGVO - Schadensersatz aus Art. 82 DSGVO nur bei Nachweis eins konkreten Schadens

ArbG Suhl
Urteil vom 20.12.2023
6 Ca 704/23


Das ArbG Suhl hat entschieden, dass eine Auskunftserteilung nach Art. 15 DSGVO per unverschlüsselter E-Mail gegen Art. 5 DSGVO verstößt. Ein Anspruch auf Schadensersatz aus Art. 82 DSGVO besteht aber nur bei Nachweis eins konkreten Schadens.

Aus den Entscheidungsgründen:
1. Dem Kläger steht kein Anspruch aus Art. 82 DSGVO gegen die Beklagte auf Ersatz des von ihm geltend gemachten immateriellen Schadens zu.

Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde, Art. 82 Abs. 2 Satz 1 DSGVO. Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist, Art. 82 Abs. 3 DSGVO.

Die Voraussetzungen für einen Schadensersatzanspruch liegen nicht vor, da es jedenfalls an der Darlegung des Eintritts eines Schadens bei dem Kläger fehlt.

Ein Verstoß gegen Art. 5 DSGVO wegen des Versands der unverschlüsselten E-Mail liegt vor. Dies wurde auch vom Thüringer Landesbeauftragen für den Datenschutz und die Informationsfreiheit mit Bescheid vom 03.08.2023 bestätigt. Ob die Weiterleitung der Daten an den Betriebsrat und die monierte unvollständige Auskunftserteilung ebenfalls Verstöße gegen Regelungen der DSGVO darstellen, kann vorliegend dahinstehen. Denn der Kläger hat bereits keinen Schaden dargelegt.

Soweit der Kläger der Auffassung ist, bereits ein Verstoß gegen die DSGVO genüge für das Entstehen eines Schadensersatzanspruches, kann dem nicht gefolgt werden.

Es ist zwar zutreffend, dass die Frage, ob bereits der Datenschutzverstoß als solcher für das Entstehen eines Schadensersatzanspruchs ausreicht oder es darüber hinaus der Darlegung und des Nachweises eines konkreten (auch: immateriellen) Schadens bedarf, in Rechtsprechung und Literatur umstritten ist. Sowohl der österreichische Oberste Gerichtshof (Vorabentscheidungsersuchen vom 12.05.2021, ZD 2021, S. 631, wobei der Gerichtshof die Auffassung vertritt, es sei der Nachweis eines Schadens erforderlich) als auch das Bundesarbeitsgericht (Vorabentscheidungsersuchen vom 26.08.2021, 8 AZR 253/20-A, wobei das BAG den Nachweis eines Schadens nicht für notwendig hält) haben die hiermit zusammenhängenden Fragen dem Europäischen Gerichtshof zur Vorabentscheidung vorgelegt (OLG Frankfurt, Urteil vom 02.03.2022 – 13 U 206/20 -Rn. 68, 69, juris).

Auf das Vorabentscheidungsersuchen des österreichischen Obersten Gerichtshofes entschied jedoch nunmehr unter dem 04.05.2023 der EuGH, dass Art. 82 Abs.1 DSGVO so auszulegen ist, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadensersatzanspruch zu begründen. Zur Begründung führt der EuGH in seinem Urteil vom 04.05.2023, C-300/21, wie folgt aus:

„Mit seiner ersten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung ausreicht, um einen

Insoweit ist darauf hinzuweisen, dass nach ständiger Rechtsprechung die Begriffe einer Bestimmung des Unionsrechts, die für die Ermittlung ihres Sinnes und ihrer Tragweite nicht ausdrücklich auf das Recht der Mitgliedstaaten verweist, in der Regel in der gesamten Union eine autonome und einheitliche Auslegung erhalten müssen (Urteile vom 22. Juni 2021, Latvijas Republikas Saeima [Strafpunkte], C-439/19, EU:C:2021:504, Rn. 81, und vom 10. Februar 2022, ShareWood Switzerland, C-595/20, EU:C:2022:86, Rn. 21), die insbesondere unter Berücksichtigung des Wortlauts der betreffenden Bestimmung und des Zusammenhangs, in den sie sich einfügt, zu ermitteln ist (vgl. in diesem Sinne Urteile vom 15. April 2021, The North of England P & I Association, C-786/19, EU:C:2021:276, Rn. 48, sowie vom 10. Juni 2021, KRONE – Verlag, C-65/20, EU:C:2021:471, Rn. 25).

Die DSGVO verweist für den Sinn und die Tragweite der in ihrem Art. 82 enthaltenen Begriffe, insbesondere in Bezug auf die Begriffe „materieller oder immaterieller Schaden“ und „Schadenersatz“, nicht auf das Recht der Mitgliedstaaten. Daraus folgt, dass diese Begriffe für die Anwendung der DSGVO als autonome Begriffe des Unionsrechts anzusehen sind, die in allen Mitgliedstaaten einheitlich auszulegen sind.

Was als Erstes den Wortlaut von Art. 82 DSGVO betrifft, ist darauf hinzuweisen, dass nach Abs. 1 dieses Artikels „[j]ede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, … Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter [hat]“.

Zum einen geht aus dem Wortlaut dieser Bestimmung klar hervor, dass das Vorliegen eines „Schadens“ eine der Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadenersatzanspruch darstellt, ebenso wie das Vorliegen eines Verstoßes gegen die DSGVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind.

Daher kann nicht davon ausgegangen werden, dass jeder „Verstoß“ gegen die Bestimmungen der DSGVO für sich genommen den Schadenersatzanspruch der betroffenen Person im Sinne von Art. 4 Nr. 1 dieser Verordnung eröffnet. Eine solche Auslegung liefe dem Wortlaut von Art. 82 Abs. 1 DSGVO zuwider.

Zum anderen ist hervorzuheben, dass die gesonderte Erwähnung eines „Schadens“ und eines „Verstoßes“ in Art. 82 Abs. 1 DSGVO überflüssig wäre, wenn der Unionsgesetzgeber davon ausgegangen wäre, dass ein Verstoß gegen die Bestimmungen der DSGVO für sich allein in jedem Fall ausreichend wäre, um einen Schadenersatzanspruch zu begründen.

Als Zweites wird die vorstehende Wortauslegung durch den Zusammenhang bestätigt, in den sich diese Bestimmung einfügt.

Art. 82 Abs. 2 DSGVO, der die Haftungsregelung, deren Grundsatz in Abs. 1 dieses Artikels festgelegt ist, präzisiert, übernimmt nämlich die drei Voraussetzungen für die Entstehung des Schadenersatzanspruchs, nämlich eine Verarbeitung personenbezogener Daten unter Verstoß gegen die Bestimmungen der DSGVO, ein der betroffenen Person entstandener Schaden und ein Kausalzusammenhang zwischen der rechtswidrigen Verarbeitung und diesem Schaden.

Diese Auslegung wird auch durch die Erläuterungen in den Erwägungsgründen 75, 85 und 146 der DSGVO bestätigt. Zum einen bezieht sich der 146. Erwägungsgrund der DSGVO, der speziell den in Art. 82 Abs. 1 dieser Verordnung vorgesehenen Schadenersatzanspruch betrifft, in seinem ersten Satz auf „Schäden, die einer Person aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht“. Zum anderen heißt es in den Erwägungsgründen 75 und 85 der DSGVO, dass „[d]ie Risiken … aus einer Verarbeitung personenbezogener Daten hervorgehen [können], die zu einem … Schaden führen könnte“ bzw. dass eine „Verletzung des Schutzes personenbezogener Daten … einen … Schaden … nach sich ziehen [kann]“. Daraus ergibt sich erstens, dass der Eintritt eines Schadens im Rahmen einer solchen Verarbeitung nur potenziell ist, zweitens, dass ein Verstoß gegen die DSGVO nicht zwangsläufig zu einem Schaden führt, und drittens, dass ein Kausalzusammenhang zwischen dem fraglichen Verstoß und dem der betroffenen Person entstandenen Schaden bestehen muss, um einen Schadenersatzanspruch zu begründen.

Die Wortauslegung von Art. 82 Abs. 1 DSGVO wird auch durch einen Vergleich mit anderen Bestimmungen bestätigt, die ebenfalls in Kapitel VIII der DSGVO enthalten sind, das u. a. die verschiedenen Rechtsbehelfe regelt, mit denen die Rechte der betroffenen Person im Fall einer Verarbeitung ihrer personenbezogenen Daten, die gegen die Bestimmungen dieser Verordnung verstoßen soll, geschützt werden können.

Hierzu ist festzustellen, dass die in diesem Kapitel enthaltenen Art. 77 und 78 DSGVO im Fall eines behaupteten Verstoßes gegen diese Verordnung Rechtsbehelfe bei einer bzw. gegen eine Aufsichtsbehörde vorsehen, wobei sie – anders als Art. 82 DSGVO in Bezug auf Schadenersatzklagen – keinen Hinweis darauf enthalten, dass der betroffenen Person ein „Schaden“ entstanden sein müsste, um solche Rechtsbehelfe einlegen zu können. Dieser Unterschied in der Formulierung offenbart die Bedeutung des Kriteriums „Schaden“ und damit seine Eigenständigkeit gegenüber dem Kriterium „Verstoß“ für die Zwecke der auf die DSGVO gestützten Schadenersatzansprüche.

Auch haben die Art. 83 und 84 DSGVO, die die Verhängung von Geldbußen und anderen Sanktionen erlauben, im Wesentlichen einen Strafzweck und hängen nicht vom Vorliegen eines individuellen Schadens ab. Das Verhältnis zwischen den in Art. 82 DSGVO und den in den Art. 83 und 84 DSGVO enthaltenen Vorschriften zeigt, dass zwischen diesen beiden Kategorien von Bestimmungen ein Unterschied besteht, sie einander aber als Anreiz zur Einhaltung der DSGVO auch ergänzen, wobei das Recht jeder Person, den Ersatz eines Schadens zu verlangen, die Durchsetzungskraft der in dieser Verordnung vorgesehenen Schutzvorschriften erhöht und geeignet ist, von der Wiederholung rechtswidriger Verhaltensweisen abzuschrecken.

Schließlich ist darauf hinzuweisen, dass nach dem vierten Satz des 146. Erwägungsgrundes der DSGVO die Vorschriften der DSGVO unbeschadet von Schadenersatzforderungen aufgrund von Verstößen gegen andere Vorschriften des Unionsrechts oder des Rechts der Mitgliedstaaten gelten.

Nach alledem ist auf die erste Frage zu antworten, dass Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadenersatzanspruch zu begründen.“

Mit diesen Ausführungen wird nunmehr die Auffassung der Kammer bestätigt, dass für einen Anspruch auf Schadensersatz nach Art. 82 DSGVO neben einem Verstoß auch ein Schaden sowie ein Kausalzusammenhang zwischen Verstoß und Schaden erforderlich ist.

Der Kläger hat einen etwaigen immateriellen Schaden darzulegen und ggf. nachzuweisen.

Das Erfordernis des Nachweises eines tatsächlich erlittenen Schadens ist auch der Sache nach erforderlich, um ein vom Verordnungsgeber nicht gewolltes Ausufern von Schadensersatzforderungen in allen Fällen eines - tatsächlich für den Betroffenen folgenlosen - Datenschutzverstoßes zu vermeiden (OLG Frankfurt, Urteil vom 02.03.2022 – 13 U 206/20 -Rn. 73, juris).

Das Vorliegen eines konkreten immateriellen Schadens hat der Kläger nicht ausreichend dargetan. Im vorliegenden Fall ist nicht ersichtlich, inwieweit der Kläger einen Kontrollverlust erlitten haben will. Es ist nicht ersichtlich, dass der Kläger daran gehindert wurde, die ihn betreffenden personenbezogenen Daten zu kontrollieren. Darüber hinaus stellt nach Auffassung der Kammer ein bloßer, abstrakter Kontrollverlust auch keinen konkreten immateriellen Schaden dar.

2. Ein Anspruch des Klägers gegen die Beklagte auf Zahlung eines angemessenen Schmerzensgeldes unter dem Gesichtspunkt der Verletzung seines allgemeinen Persönlichkeitsrechts §§ 823 Abs. 1, 253 BGB in Verbindung mit Art. 1 Abs. 1, Art. 2 Abs. 1 GG besteht ebenfalls nicht.

Soweit der Kläger eine Entschädigung begehrt und argumentiert, dass alle immateriellen Schäden ersatzfähig seien, welche i.d.R. aus der Verletzung des allgemeinen Persönlichkeitsrechts heraus resultieren, kommen die genannten Normen auch als Anspruchsgrundlage in Betracht.

Das allgemeine Persönlichkeitsrecht dient in erster Linie dem Schutz ideeller Interessen, insbesondere dem Schutz des Wert- und Achtungsanspruchs der Persönlichkeit. Dieser Schutz wird dadurch verwirklicht, dass bei einer schweren Persönlichkeitsrechtsverletzung - neben negatorischen Schutzansprüchen und Ansprüchen auf Ersatz des materiellen Schadens - auch Ansprüche in Betracht kommen, die auf den Ausgleich immaterieller Beeinträchtigungen durch Zahlung einer Geldentschädigung gerichtet sind. Bei schwerwiegenden Verletzungen des allgemeinen Persönlichkeitsrechtsrechts besteht daher nach ständiger, mittlerweile gewohnheitsrechtlich anerkannter höchstrichterlicher Rechtsprechung ein Anspruch auf Ausgleich der dadurch verursachten immateriellen Schäden, der unmittelbar aus dem Schutzauftrag der Art. 1 Abs. 1, 2 Abs. 1 GG abgeleitet wird (OLG Düsseldorf, Beschluss vom 16.02.2021 – 16 U 269/20 – Rn. 14 m.w.N., juris).

Ein derartiger Anspruch scheitert vorliegend bereits daran, dass keine schwerwiegende Verletzung des allgemeinen Persönlichkeitsrechts dargetan wurde.

II. Das Verfahren war weder auszusetzen, noch das Ruhen des Verfahrens anzuordnen.


1. Entgegen der Ansicht des Klägers war das Gericht nicht gehalten, das vorliegende Verfahren auszusetzen. Das Verfahren war entscheidungsreif. Eine Aussetzung nach § 148 ZPO kam daher nicht in Betracht. Im Übrigen sind Bescheide des Landesdatenschutzbeauftragen nicht vorgreiflich im Sinne dieser Norm. Zudem ist unklar, ob weitere beim Landesdatenschutzbeauftragten anhängige Beschwerden überhaupt in Zusammenhang mit den hier behaupteten Datenschutzverstößen stehen.

Vielmehr geht die Kammer davon aus, dass mit Bescheid vom 03.08.2023 abschließend über die behaupteten Verstöße (unverschlüsselte E-Mail, Weiterleitung an Betriebsrat und unvollständige Auskunft) entschieden wurde. Entgegen der Darstellung des Klägers mit Beschwerdeformular vom 23.12.2021 sei ein weiterer Verstoß gerügt worden, betrifft diese Beschwerde offensichtlich den bereits dargelegten Verstoß der Auskunft per unverschlüsselter E-Mail.

Unter dem 25.01.2023 (Anlage K 3, Bl. 14 der Akte) erhielt der Kläger vom TLfDI eine Mittelung zur Beschwerde über Datenschutzverletzungen im A. In dem Schreiben wurde dargelegt, dass die Übermittlung mittels unverschlüsselter E-Mail als Verstoß gegen Art. 5 DSGVO zu werten ist. Es wurde auf ein laufendes Anhörungsverfahren hingewiesen und mitgeteilt, dass der Kläger über den Ausgang des Verfahrens informiert wird. Nach dem Antrag des Klägers auf Ergänzungsprüfung vom 30.03.2023 (Anlage K 4, Bl. 16 f. der Akte) und seiner weiteren Beschwerde vom 19.06.2023 (Anlage K5, Bl. 18 f. der Akte) erging am 03.08.2023 ein Bescheid. Mit dem Inhalt dieses Bescheides (Anlage K 6 Bl. 30 f. der Akte) ist davon auszugehen, dass damit abschließend über die Beschwerden des Klägers entschieden wurde. Denn der Bescheid ist überschrieben mit „Ihre Beschwerde über Datenschutzverletzungen im A in Bezug auf ihr Auskunftsersuchen“. Es wird ausgeführt: „das o.g. Verwaltungsverfahren zu Ihrer Beschwerde vom 23. Dezember 2021 ist abgeschlossen.“ Im Absatz vor der Rechtsbehelfsbelehrung wird zudem ausgeführt: „Weitere Maßnahmen sind nicht erforderlich. Auch aus Ihrem Schreiben vom 19. Juni 2023 ergibt sich nichts Anderes, weil wegen der fehlerhaften Auskunftserteilung eine Verwarnung erteilt wurde und Ihnen die begehrten Informationen vorliegen.“


Den Volltext der Entscheidung finden Sie hier:


Volltext BGH liegt vor: Auch Leasingnehmer und Mietkäufer können Anspruch auf Kartellschadensersatz im Fall des LKW-Kartells haben

BGH
Urteil vom 05.12.2023
KZR 46/21
LKW-Kartell III
GWB 1999 §§ 1, 33; GWB 2005 §§ 1, 33 Abs. 3, Abs. 5


Wir hatten bereits in dem Beitrag BGH: Auch Leasingnehmer und Mietkäufer können Anspruch auf Kartellschadensersatz im Fall des LKW-Kartells haben über die Entscheidung berichtet.

Leitsätze des BGH:
a) Aus dem zugunsten von Abnehmern eines an einer Kartellabsprache beteiligten Unternehmens streitenden Erfahrungssatz, dass die im Rahmen des Kartells erzielten Preise im Schnitt über denjenigen liegen, die sich ohne die
wettbewerbsbeschränkende Absprache gebildet hätten, folgt, dass auch die für kartellbetroffene Produkte von einem Leasingnehmer oder Mietkäufer an eine Finanzierungsgesellschaft zu entrichtenden Entgelte kartellbedingt überhöht sind, wenn die Leasing- oder Mietkaufverträge auf die vollständige Deckung des jeweiligen Anschaffungspreises gerichtet sind.

b) Regressionsanalysen, die einem zeitlichen Vergleichsmarktansatz folgen, können allenfalls eine Annäherung an die Wirklichkeit im Sinne einer Schätzung darstellen; sie hindern für sich allein den Tatrichter nicht, aufgrund einer
Gesamtabwägung die für ein Grundurteil hinreichende Überzeugung zu gewinnen, dass jedenfalls ein Schaden in irgendeiner Höhe entstanden ist.

BGH, Urteil vom 5. Dezember 2023 - KZR 46/21 - OLG Naumburg - LG Magdeburg

Den Volltext der Entscheidung finden Sie hier:

EuGH: Verarbeitung von Gesundheitsdaten nach Art. 9 Abs. 2 lit. h DSGVO muss auch Art. 6 Abs. 1 DSGVO erfüllen - Schadensersatzanspruch aus Art. 82 DSGVO ist Kompensation für konkreten Schaden

EuGH
Urteil vom 21.12.2023
C‑667/21
Medizinischer Dienst der Krankenversicherung Nordrhein

Der EuGH hat entschieden, dass Verarbeitung von Gesundheitsdaten auf Grundlage von Art. 9 Abs. 2 lit. h DSGVO auch die Voraussetzungen von Art. 6 Abs. 1 DSGVO erfüllen muss. Ferner hat der EuGH entschieden, dass ein Schadensersatzanspruch aus Art. 82 DSGVO die Kompensation für einen konkreten Schaden darstellt.

Tenor der Entscheidung:
1. Art. 9 Abs. 2 Buchst. h der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass die in dieser Bestimmung vorgesehene Ausnahme unter dem Vorbehalt, dass die betreffende Datenverarbeitung die in Buchst. h und in Art. 9 Abs. 3 ausdrücklich vorgeschriebenen Voraussetzungen und Garantien erfüllt, auf Situationen anwendbar ist, in denen eine Stelle für medizinische Begutachtung Gesundheitsdaten eines ihrer Arbeitnehmer nicht als Arbeitgeber, sondern als Medizinischer Dienst verarbeitet, um die Arbeitsfähigkeit dieses Arbeitnehmers zu beurteilen.

2. Art. 9 Abs. 3 der Verordnung 2016/679 ist dahin auszulegen, dass der für eine auf Art. 9 Abs. 2 Buchst. h dieser Verordnung gestützte Verarbeitung von Gesundheitsdaten Verantwortliche gemäß diesen Bestimmungen nicht verpflichtet ist, zu gewährleisten, dass kein Kollege der betroffenen Person Zugang zu den Daten über ihren Gesundheitszustand hat. Eine solche Pflicht kann dem für eine solche Verarbeitung Verantwortlichen jedoch gemäß einer von einem Mitgliedstaat auf der Grundlage von Art. 9 Abs. 4 dieser Verordnung erlassenen Regelung oder aufgrund der in Art. 5 Abs. 1 Buchst. f dieser Verordnung genannten und in ihrem Art. 32 Abs. 1 Buchst. a und b konkretisierten Grundsätze der Integrität und der Vertraulichkeit obliegen.

3. Art. 9 Abs. 2 Buchst. h und Art. 6 Abs. 1 der Verordnung 2016/679 sind dahin auszulegen, dass eine auf die erstgenannte Bestimmung gestützte Verarbeitung von Gesundheitsdaten nur dann rechtmäßig ist, wenn sie nicht nur die sich aus dieser Bestimmung ergebenden Anforderungen einhält, sondern auch mindestens eine der in Art. 6 Abs. 1 genannten Rechtmäßigkeitsvoraussetzungen erfüllt.

4. Art. 82 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen, dass der in dieser Bestimmung vorgesehene Schadenersatzanspruch eine Ausgleichsfunktion hat, da eine auf diese Bestimmung gestützte Entschädigung in Geld ermöglichen soll, den konkret aufgrund des Verstoßes gegen diese Verordnung erlittenen Schaden vollständig zu ersetzen, und keine abschreckende oder Straffunktion erfüllt.

5. Art. 82 der Verordnung 2016/679 ist dahin auszulegen, dass zum einen die Haftung des Verantwortlichen vom Vorliegen eines ihm anzulastenden Verschuldens abhängt, das vermutet wird, wenn er nicht nachweist, dass die Handlung, die den Schaden verursacht hat, ihm nicht zurechenbar ist, und dass Art. 82 zum anderen nicht verlangt, dass der Grad dieses Verschuldens bei der Bemessung der Höhe des als Entschädigung für einen immateriellen Schaden auf der Grundlage dieser Bestimmung gewährten Schadenersatzes berücksichtigt wird.

Den Volltext der Entscheidung finden Sie hier:

AG München: Unterlassungsanspruch wegen Persönlichkeitsrechtsverletzung durch Wildüberwachungskamera auf Nachbargrundstück wenn Kamera auch Grundstück des Betroffenen filmt

AG München
Urteil vom 01.02.2023
171 C 11188/22


Das AG München hat entschieden, dass ein Unterlassungsanspruch wegen einer Persönlichkeitsrechtsverletzung besteht, wenn eine Wildüberwachungskamera auf dem Nachbargrundstück auch das Grundstück des Betroffenen filmt.

Die Pressemitteilung des Gerichts:
Streit um Kamera auf Nachbargrundstück
In einem Nachbarschaftsstreit sah das Amtsgericht München in dem Aufstellen einer Kamera auf dem Nachbargrundstück eine Persönlichkeitsrechtsverletzung und bestätigte mit Urteil vom 01.02.2023 eine einstweilige Verfügung, wonach der Antragsgegnerin dies untersagt wurde.

Die Parteien sind unmittelbare Nachbarn in München und stritten über eine im April 2022 auf der Terrasse der Antragsgegnerin aufgestellte Wildüberwachungskamera, die von der Terrasse der Antragstellerin aus sichtbar war. Die Antragstellerin wehrte sich hiergegen unter Verweis auf ihre Persönlichkeitsrechte und forderte die Antragsgegnerin im Juli 2022 u.a. auf, die Videoüberwachung zu beenden und künftig zu unterlassen. Die Antragsgegnerin verweigerte dies mit der Begründung, dass es sich nicht um eine Videoüberwachung, sondern um eine sogenannte Wild-Kamera handeln würde. Es ginge ausschließlich um die Kontrolle des eigenen Gartens.

Am 12.08.2022 erließ das Amtsgericht München im einstweiligen Rechtsschutz auf Antrag der Antragstellerin eine einstweilige Verfügung. Danach wurde es der Antragsgegnerin untersagt, auf ihrem Grundstück eine Überwachungskamera aufzustellen, die die Terrasse oder den Garten der Antragstellerin erfasst oder erfassen kann oder den Eindruck hiervon erweckt. Anschließend entfernte die Antragsgegnerin die Kamera.

Auf Antrag der Antragstellerin bestätigte das Amtsgericht München mit Urteil vom 01.02.2023 die einstweilige Verfügung und begründete dies wie folgt:

„Die vormals aufgestellte Kamera hat die Antragstellerin in ihrem Persönlichkeitsrecht verletzt. Dabei kommt es nicht entscheidend darauf an, ob die Kamera tatsächlich ausschließlich den Bereich der Antragsgegnerin erfasst hat oder nicht. Die Antragstellerseite verweist insoweit mit Erfolg auf die Entscheidung des BGH vom 16.03.2010 (VI ZR 176/09). Das Gericht darf eine Passage aus dieser Entscheidung zitieren:

„Nach Ansicht des erkennenden Senats kommt es insoweit auf die Umstände des Einzelfalls an. Die Befürchtung, durch vorhandene Überwachungsgeräte überwacht zu werden, ist dann gerechtfertigt, wenn sie auf Grund konkreter Umstände als nachvollziehbar und verständlich erscheint, etwa im Hinblick auf einen eskalierenden Nachbarstreit (vgl. OLG Köln, NJW 2009, 1827 = NZM 2009, 600) oder auf Grund objektiv Verdacht erregender Umstände. Liegen solche Umstände vor, kann das Persönlichkeitsrecht des (vermeintlich) Überwachten schon auf Grund der Verdachtssituation beeinträchtigt sein. Allein die hypothetische Möglichkeit einer Überwachung durch Videokameras und ähnliche Überwachungsgeräte beeinträchtigt hingegen das allgemeine Persönlichkeitsrecht derjenigen, die dadurch betroffen sein könnten, nicht. […].“

Unter Berücksichtigung dieses Maßstabs hatte die Antragstellerin einen Anspruch auf Beseitigung der Kamera und entsprechende Unterlassung der etwaigen weiteren Installation einer vergleichbaren Kamera. Nach Ansicht der Lichtbilder ist das Gericht der Überzeugung, dass die Antragstellerin zu der Ansicht gelangen konnte, dass ihr Grundstück von der Kamera erfasst werde. Es handelte sich nicht mehr um die rein hypothetische Möglichkeit der Überwachung.

Weiterhin fehlte es auch nicht an einem Verfügungsgrund. Das Gericht schließt sich insoweit der überzeugenden Argumentation der Antragstellerseite an. Die Antragstellerin hatte sich von Anfang an gegen die Kamera zur Wehr gesetzt und die Antragsgegnerin war über diesen Umstand informiert.

Der Sachverhalt hat sich zwar mittlerweile maßgeblich verändert, da die Kamera entfernt worden ist. Weiterhin hat die Antragsgegnerin im Rahmen der mündlichen Verhandlung dargelegt, dass sie nicht die Absicht habe, eine weitere Kamera aufzustellen. Dieser Umstand alleine kann aber nicht ausreichen, die indizierte Wiederholungsgefahr aufzuheben.“

Urteil des Amtsgerichts München vom 01.02.2023
Aktenzeichen des AG München: 171 C 11188/22
Das Urteil ist rechtskräftig.



EuGH: Befürchtung eines möglichen Missbrauchs personenbezogener Daten nach Cyberangriff / Hackerattacke kann Anspruch auf immateriellen Schadensersatz gemäß Art. 82 DSGVO begründen

EuGH
Urteil vom 14.12.2023
C-340/21
Natsionalna agentsia za prihodite


Der EuGH hat entschieden, dass schon die bloße Befürchtung eines möglichen Missbrauchs personenbezogener Daten nach einem Cyberangriff / einer Hackerattacke einen Anspruch auf immateriellen Schadensersatz gemäß Art. 82 DSGVO begründen kann.

Tenor der Entscheidung:
1. Die Art. 24 und 32 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz- rundverordnung) sind dahin auszulegen, dass eine unbefugte Offenlegung von bzw. ein unbefugter Zugang zu personenbezogenen Daten durch „Dritte“ im Sinne von Art. 4 Nr. 10 dieser Verordnung allein nicht ausreicht, um anzunehmen, dass die technischen und organisatorischen Maßnahmen, die der für die betreffende Verarbeitung Verantwortliche getroffen hat, nicht „geeignet“ im Sinne der Art. 24 und 32 dieser Verordnung waren.

2. Art. 32 der Verordnung 2016/679 ist dahin auszulegen, dass die Geeignetheit der vom Verantwortlichen nach diesem Artikel getroffenen technischen und organisatorischen Maßnahmen von den nationalen Gerichten konkret zu beurteilen ist, wobei die mit der betreffenden Verarbeitung verbundenen Risiken zu berücksichtigen sind und zu beurteilen ist, ob Art, Inhalt und Umsetzung dieser Maßnahmen diesen Risiken angemessen sind.

3. Der in Art. 5 Abs. 2 der Verordnung 2016/679 formulierte und in Art. 24 dieser Verordnung konkretisierte Grundsatz der Rechenschaftspflicht des Verantwortlichen ist dahin auszulegen, dass im Rahmen einer auf Art. 82 der Verordnung gestützten Schadenersatzklage der für die betreffende Verarbeitung Verantwortliche die Beweislast dafür trägt, dass die von ihm getroffenen Sicherheitsmaßnahmen im Sinne von Art. 32 dieser Verordnung geeignet waren.

4. Art. 32 der Verordnung 2016/679 und der unionsrechtliche Effektivitätsgrundsatz sind dahin auszulegen, dass für die Beurteilung der Geeignetheit der Sicherheitsmaßnahmen, die der Verantwortliche nach diesem Artikel getroffen hat, ein gerichtliches Sachverständigengutachten kein generell notwendiges und ausreichendes Beweismittel sein kann.

5. Art. 82 Abs. 3 der Verordnung 2016/679 ist dahin auszulegen, dass der Verantwortliche von seiner nach Art. 82 Abs. 1 und 2 dieser Verordnung bestehenden Pflicht zum Ersatz des einer Person entstandenen Schadens nicht allein deshalb befreit werden kann, weil dieser Schaden die Folge einer unbefugten Offenlegung von bzw. eines unbefugten Zugangs zu personenbezogenen Daten durch „Dritte“ im Sinne von Art. 4 Nr. 10 dieser Verordnung ist, wobei der Verantwortliche dann nachweisen muss, dass er in keinerlei Hinsicht für den Umstand, durch den der betreffende Schaden eingetreten ist, verantwortlich ist.

6. Art. 82 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen, dass allein der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen diese Verordnung befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, einen „immateriellen Schaden“ im Sinne dieser Bestimmung darstellen kann.

Pressemitteilung des EuGH:
Cyberkriminalität: Die Befürchtung eines möglichen Missbrauchs personenbezogener Daten kann für sich genommen einen immateriellen Schaden darstellen

Die bulgarische Nationale Agentur für Einnahmen (NAP) ist dem bulgarischen Finanzminister unterstellt. Sie ist u. a. mit der Feststellung, Sicherung und Einziehung öffentlicher Forderungen betraut. In diesem Rahmen ist sie für die Verarbeitung personenbezogener Daten verantwortlich. Am 15. Juli 2019 wurde in den Medien darüber berichtet, dass in das IT-System der NAP eingedrungen worden sei und infolge dieses Cyberangriffs in diesem System enthaltene personenbezogene Daten von Millionen von Menschen im Internet veröffentlicht worden seien. Zahlreiche Personen verklagten die NAP auf Ersatz des immateriellen Schadens, der ihnen aus der Befürchtung eines möglichen Missbrauchs ihrer Daten entstanden sein soll.

Das bulgarische Oberste Verwaltungsgericht legt dem Gerichtshof mehrere Fragen zur Auslegung der Datenschutz-Grundverordnung (DSGVO) zur Vorabentscheidung vori . Es möchte klären lassen, unter welchen Bedingungen eine Person, deren personenbezogene Daten, die sich im Besitz einer öffentlichen Agentur befinden, nach einem Angriff von Cyberkriminellen im Internet veröffentlicht wurden, Ersatz des immateriellen Schadens verlangen kann.

In seinem Urteil antwortet der Gerichtshof wie folgt:

1. Im Fall der unbefugten Offenlegung von bzw. des unbefugten Zugangs zu personenbezogenen Daten können die Gerichte aus diesem Umstand allein nicht ableiten, dass die Schutzmaßnahmen, die der für die Datenverarbeitung Verantwortliche ergriffen hat, nicht geeignet waren. Die Gerichte müssen die Geeignetheit dieser Maßnahmen konkret beurteilen.

2. Der Verantwortliche trägt die Beweislast dafür, dass die getroffenen Schutzmaßnahmen geeignet waren.

3. Im Fall der unbefugten Offenlegung von bzw. des unbefugten Zugangs zu personenbezogenen Daten durch „Dritte“ (wie Cyberkriminelle) kann der Verantwortliche gegenüber den Personen, denen ein Schaden entstanden ist, ersatzpflichtig sein, es sei denn, er weist nach, dass er in keinerlei Hinsicht für den Schaden verantwortlich ist.

4. Allein der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen die DSGVO befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, kann einen „immateriellen Schaden“ darstellen.


Den Volltext der Entscheidung finden Sie hier:

OLG Karlsruhe: Für immateriellen Schadensersatz aus Art. 82 DSGVO bei einem Datenleck muss ein konkreter kausaler Schaden als Folge der Rechtsverletzung nachgewiesen werden

OLG Karlsruhe
Urteil vom 07.11.2023
19 U 23/23


Das OLG Karlsruhe hat entschieden, dass für einen immateriellen Schadensersatz aus Art. 82 DSGVO bei einem Datenleck ein konkreter kausaler Schaden als Folge der Rechtsverletzung nachgewiesen werden muss.

Leitsätze des Gerichts:
1. Im Fall einer geltend gemachten Verletzung der Grundrechte auf Achtung des Privat- und Familienlebens aus Art. 7 GRCh und auf Schutz personenbezogener Daten aus Art. 8 GRCh reicht bereits die Möglichkeit des Eintritts eines Schadens für die Annahme eines Feststellungsinteresses aus.

2. Das Vorliegen eines „Verstoßes gegen diese Verordnung“ im Sinne von Art. 82 Abs. 1 DSGVO erfordert nicht mehr als die „unbefugte Offenlegung“ von oder den „unbefugten Zugang“ zu personenbezogenen Daten im Sinne von Art. 4 Nr. 12 DSGVO.

3. Ein potentieller oder hypothetischer Schaden oder die bloße Beunruhigung wegen des Diebstahls der eigenen personenbezogenen Daten reicht für das Vorliegen eines immateriellen Schadens im Sinne von Art. 82 Abs. 1 DS-GVO nicht aus.

4. Stellt sich der geltend gemachte immaterielle Schaden als Folge der Rechtsgutsverletzung in Gestalt der Verletzung der Grundrechte der betroffenen Person auf Achtung des Privat- und Familienlebens aus Art. 7 GRCh und auf Schutz personenbezogener Daten aus Art. 8 GRCh dar (Sekundärschaden), ist das Beweismaß des § 287 ZPO anzuwenden.

5. Die betroffene Person muss nachweisen, dass ein kausaler Zusammenhang zwischen dem Verstoß gegen die Verordnung im Sinne von Art. 82 Abs. 1 DSGVO und dem ihr entstandenen Schaden besteht.

6. Gem. Art. 82 Abs. 3 DSGVO reicht jedes fahrlässige (Mit-)Verschulden oder Versehen des Verantwortlichen aus, um die Anwendung der Befreiung auszuschließen. Dabei stellt indes nicht schon das Vorliegen einer Systemverletzung einen Beweis dafür dar, dass die von der verantwortlichen Person ergriffenen Maßnahmen nicht im Sinne von Art. 32 DSGVO geeignet waren.

Den Volltext der Entscheidung finden Sie hier: