BGH: Schadensersatzanspruch aus Art. 82 DSGVO wegen Kontrollverlustes wenn eine Behörde die Personalakten nicht selbst verwaltet
BGH
Urteil vom 11.02.2025
VI ZR 365/22
DSGVO Art. 82 Abs. 1
Der BGH hat entschieden, dass ein Schadensersatzanspruch aus Art. 82 DSGVO wegen Kontrollverlustes besteht. wenn eine Behörde die Personalakten nicht selbst verwaltet.
Leitsatz des BGH:
Zum Anspruch auf Schadensersatz nach Art. 82 Abs. 1 DSGVO bei der Verwaltung von Personalakten durch hierzu nicht befugte Dritte.
BGH, Urteil vom 11. Februar 2025 - VI ZR 365/22 - OLG Celle LG Hannover
Aus den Entscheidungsgründen:
2. Der geltend gemachte Feststellunganspruch ist auch begründet, Art. 82 Abs. 1 DSGVO. Nach der Rechtsprechung des Gerichtshofes der Europäischen Union (im Folgenden: Gerichtshof) erfordert ein Schadensersatzanspruch im Sinne des Art. 82 Abs. 1 DSGVO einen Verstoß gegen die Datenschutz-Grundverordnung, das Vorliegen eines materiellen oder immateriellen Schadens sowie einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind (EuGH, Urteile vom 4. Oktober 2024 - C-507/23, K&R 2024, 730 Rn. 24 - Patērētāju tiesību aizsardzības centrs; vom 11. April 2024 - C-741/21, NJW 2024, 1561 Rn. 34 - juris; vom 25. Januar 2024 - C-687/21, NJW 2024, 2009 Rn. 58 - MediaMarktSaturn). Diese Voraussetzungen sind vorliegend erfüllt.
a) Ein Verstoß gegen die Datenschutz-Grundverordnung liegt nach den getroffenen Feststellungen vor. Das Berufungsgericht hat die von der Beklagten bis zum Erlass der Organisationsverfügung vom 22. August 2019 geübte Praxis, die Verwaltung der Personalakten von Bundesbeamten wie der Klägerin durch Bedienstete des Landes Niedersachsen vornehmen zu lassen, als von § 111a BBG aF i.V.m. § 26 BDSG i.V.m. Art. 88 DSGVO nicht gedeckte Verarbeitung personenbezogener Daten durch Dritte und damit als Verstoß gegen die Datenschutz-Grundverordnung (der Sache nach: gegen Art. 5 Abs. 1 Buchst. a, Art. 28 DSGVO) gewertet. Die Beklagte sei selbst von der offensichtlichen Rechtswidrigkeit dieser Praxis ausgegangen und habe weder näher zu den Einzelheiten der geübten Personalaktenverwaltung vorgetragen noch eine vorherige Zustimmung der obersten Dienstbehörde behauptet. Hiergegen wendet die Beklagte auch mit der Revisionserwiderung nichts ein; Rechtsfehler sind insoweit auf der Grundlage der vom Berufungsgericht getroffenen und nicht mit Gegenrügen angegriffenen Feststellungen im Übrigen nicht ersichtlich.
b) Zu Unrecht hat das Berufungsgericht einen durch diesen Verstoß gegen die Datenschutz-Grundverordnung verursachten Schaden der Klägerin verneint. Der Schaden liegt hier bereits in dem durch die Überlassung ihrer Personalakte an Bedienstete des Landes verursachten vorübergehenden Verlust der Kontrolle der Klägerin über ihre in ihrer Personalakte enthaltenen personenbezogenen Daten.
aa) Schon der bloße Kontrollverlust kann, wie der Senat in Umsetzung der jüngeren Rechtsprechung des Gerichtshofs (Urteile vom 4. Oktober 2024 - C-200/23, juris Rn. 145, 156 i.V.m. 137- Agentsia po vpisvaniyata; vom 20. Juni 2024 - C-590/22, DB 2024, 1676 Rn. 33 - PS GbR; vom 11. April 2024 - C-741/21, NJW 2024, 1561 Rn. 42 - juris; vgl. zuvor bereits EuGH, Urteile vom 25. Januar 2024 - C-687/21, NJW 2024, 2009 Rn. 66 - MediaMarktSaturn; vom 14. Dezember 2023 - C-456/22, NZA 2024, 56 Rn. 17-23 - Gemeinde Ummendorf sowie - C-340/21, NJW 2024, 1091 Rn. 82 - Natsionalna agentsia za prihodite) entschieden hat, einen ersatzfähigen immateriellen Schaden im Sinne des Art. 82 Abs. 1 DSGVO darstellen (Senat, Urteil vom 18. November 2024 - VI ZR 10/24, WM 2024, 2301 Rn. 30 mwN). Anders als das Berufungsgericht meint, muss der Verpflichtung zum Ausgleich keine über diesen Kontrollverlust hinausgehende "benennbare und insoweit tatsächliche Persönlichkeitsrechtsverletzung gegenüberstehen"; auch muss der Beeinträchtigung des Betroffenen kein besonderes "Gewicht" zukommen, das "über eine individuell empfundene Unannehmlichkeit hinausgeht oder das Selbstbild oder Ansehen ernsthaft beeinträchtigt" (vgl. Senat, aaO Rn. 29 mwN).
bb) Nach diesen Grundsätzen liegt der Schaden hier ohne Weiteres darin, dass die Beklagte auch nach dem 25. Mai 2018 die personenbezogenen, in deren Personalakte enthaltenen Daten der Klägerin hierzu nicht berechtigten Dritten, nämlich Bediensteten des Landes Niedersachsen, zur Bearbeitung überlassen und diese Praxis erst mit Organisationsverfügung vom 22. August 2019 beendet hat. Der vom Berufungsgericht in diesem Zusammenhang angeführte Umstand, dass auch die mit Personalangelegenheiten betrauten Bediensteten des Landes Niedersachsen zur Verschwiegenheit verpflichtet waren, steht der Annahme eines Schadens insoweit dem Grunde nach nicht entgegen, sondern wird erst bei Bemessung der Höhe des zu leistenden Schadensersatzes (§ 287 ZPO) zu berücksichtigen sein (s. zu den Bemessungskriterien weiterführend Senat, aaO Rn. 92 ff., insb. 99).
Den Volltext der Entscheidung finden Sie hier:
Urteil vom 11.02.2025
VI ZR 365/22
DSGVO Art. 82 Abs. 1
Der BGH hat entschieden, dass ein Schadensersatzanspruch aus Art. 82 DSGVO wegen Kontrollverlustes besteht. wenn eine Behörde die Personalakten nicht selbst verwaltet.
Leitsatz des BGH:
Zum Anspruch auf Schadensersatz nach Art. 82 Abs. 1 DSGVO bei der Verwaltung von Personalakten durch hierzu nicht befugte Dritte.
BGH, Urteil vom 11. Februar 2025 - VI ZR 365/22 - OLG Celle LG Hannover
Aus den Entscheidungsgründen:
2. Der geltend gemachte Feststellunganspruch ist auch begründet, Art. 82 Abs. 1 DSGVO. Nach der Rechtsprechung des Gerichtshofes der Europäischen Union (im Folgenden: Gerichtshof) erfordert ein Schadensersatzanspruch im Sinne des Art. 82 Abs. 1 DSGVO einen Verstoß gegen die Datenschutz-Grundverordnung, das Vorliegen eines materiellen oder immateriellen Schadens sowie einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind (EuGH, Urteile vom 4. Oktober 2024 - C-507/23, K&R 2024, 730 Rn. 24 - Patērētāju tiesību aizsardzības centrs; vom 11. April 2024 - C-741/21, NJW 2024, 1561 Rn. 34 - juris; vom 25. Januar 2024 - C-687/21, NJW 2024, 2009 Rn. 58 - MediaMarktSaturn). Diese Voraussetzungen sind vorliegend erfüllt.
a) Ein Verstoß gegen die Datenschutz-Grundverordnung liegt nach den getroffenen Feststellungen vor. Das Berufungsgericht hat die von der Beklagten bis zum Erlass der Organisationsverfügung vom 22. August 2019 geübte Praxis, die Verwaltung der Personalakten von Bundesbeamten wie der Klägerin durch Bedienstete des Landes Niedersachsen vornehmen zu lassen, als von § 111a BBG aF i.V.m. § 26 BDSG i.V.m. Art. 88 DSGVO nicht gedeckte Verarbeitung personenbezogener Daten durch Dritte und damit als Verstoß gegen die Datenschutz-Grundverordnung (der Sache nach: gegen Art. 5 Abs. 1 Buchst. a, Art. 28 DSGVO) gewertet. Die Beklagte sei selbst von der offensichtlichen Rechtswidrigkeit dieser Praxis ausgegangen und habe weder näher zu den Einzelheiten der geübten Personalaktenverwaltung vorgetragen noch eine vorherige Zustimmung der obersten Dienstbehörde behauptet. Hiergegen wendet die Beklagte auch mit der Revisionserwiderung nichts ein; Rechtsfehler sind insoweit auf der Grundlage der vom Berufungsgericht getroffenen und nicht mit Gegenrügen angegriffenen Feststellungen im Übrigen nicht ersichtlich.
b) Zu Unrecht hat das Berufungsgericht einen durch diesen Verstoß gegen die Datenschutz-Grundverordnung verursachten Schaden der Klägerin verneint. Der Schaden liegt hier bereits in dem durch die Überlassung ihrer Personalakte an Bedienstete des Landes verursachten vorübergehenden Verlust der Kontrolle der Klägerin über ihre in ihrer Personalakte enthaltenen personenbezogenen Daten.
aa) Schon der bloße Kontrollverlust kann, wie der Senat in Umsetzung der jüngeren Rechtsprechung des Gerichtshofs (Urteile vom 4. Oktober 2024 - C-200/23, juris Rn. 145, 156 i.V.m. 137- Agentsia po vpisvaniyata; vom 20. Juni 2024 - C-590/22, DB 2024, 1676 Rn. 33 - PS GbR; vom 11. April 2024 - C-741/21, NJW 2024, 1561 Rn. 42 - juris; vgl. zuvor bereits EuGH, Urteile vom 25. Januar 2024 - C-687/21, NJW 2024, 2009 Rn. 66 - MediaMarktSaturn; vom 14. Dezember 2023 - C-456/22, NZA 2024, 56 Rn. 17-23 - Gemeinde Ummendorf sowie - C-340/21, NJW 2024, 1091 Rn. 82 - Natsionalna agentsia za prihodite) entschieden hat, einen ersatzfähigen immateriellen Schaden im Sinne des Art. 82 Abs. 1 DSGVO darstellen (Senat, Urteil vom 18. November 2024 - VI ZR 10/24, WM 2024, 2301 Rn. 30 mwN). Anders als das Berufungsgericht meint, muss der Verpflichtung zum Ausgleich keine über diesen Kontrollverlust hinausgehende "benennbare und insoweit tatsächliche Persönlichkeitsrechtsverletzung gegenüberstehen"; auch muss der Beeinträchtigung des Betroffenen kein besonderes "Gewicht" zukommen, das "über eine individuell empfundene Unannehmlichkeit hinausgeht oder das Selbstbild oder Ansehen ernsthaft beeinträchtigt" (vgl. Senat, aaO Rn. 29 mwN).
bb) Nach diesen Grundsätzen liegt der Schaden hier ohne Weiteres darin, dass die Beklagte auch nach dem 25. Mai 2018 die personenbezogenen, in deren Personalakte enthaltenen Daten der Klägerin hierzu nicht berechtigten Dritten, nämlich Bediensteten des Landes Niedersachsen, zur Bearbeitung überlassen und diese Praxis erst mit Organisationsverfügung vom 22. August 2019 beendet hat. Der vom Berufungsgericht in diesem Zusammenhang angeführte Umstand, dass auch die mit Personalangelegenheiten betrauten Bediensteten des Landes Niedersachsen zur Verschwiegenheit verpflichtet waren, steht der Annahme eines Schadens insoweit dem Grunde nach nicht entgegen, sondern wird erst bei Bemessung der Höhe des zu leistenden Schadensersatzes (§ 287 ZPO) zu berücksichtigen sein (s. zu den Bemessungskriterien weiterführend Senat, aaO Rn. 92 ff., insb. 99).
Den Volltext der Entscheidung finden Sie hier:
Trackbacks
Keine Trackbacks
Die Kommentarfunktion wurde vom Besitzer dieses Blogs in diesem Eintrag deaktiviert.
Kommentare
Ansicht der Kommentare: Linear | Verschachtelt