BECKMANN UND NORDA - Rechtsanwälte Bielefeld

OVG Berlin-Brandenburg
Urteil vom 13.05.2025
OVG 12 B 14/23

Das OVG Berlin-Brandenburg hat entschieden, dass kein Auskunftsanspruch nach Art 15 DSGVO hinsichtlich im Rahmen der Videoüberwachung in S-Bahnen erstellten Aufzeichnungen besteht.

Die Pressemitteilung des Gerichts:
Kein Rechtsanspruch auf Herausgabe von Videoaufnahmen in der S-Bahn

Die Betreiberin des öffentlichen S-Bahn-Netzes in Berlin ist nach der Datenschutz-Grundverordnung nicht dazu verpflichtet, Fahrgästen eine Kopie der Videoaufnahmen über ihre Fahrt in der S-Bahn herauszugeben. Das Oberverwaltungsgericht Berlin-Brandenburg hat heute eine entsprechende Entscheidung des Verwaltungsgerichts Berlin (Urteil vom 12. Oktober 2023 – VG 1 K 561/21) im Ergebnis bestätigt.

Der Beigeladene beantragte bei der Klägerin, der S-Bahn Berlin GmbH, die Herausgabe einer Kopie der Videoaufnahmen seiner Fahrt mit der S-Bahn unter Berufung auf das in der Datenschutz-Grundverordnung vorgesehene Auskunftsrecht (Art. 15 Absatz 3 DS-GVO). Die Klägerin verweigerte dies mit Hinweis auf ihr Datenschutzkonzept, das sie mit der Berliner Beauftragten für Datenschutz und Informationsfreiheit abgestimmt hatte. Dieses sieht vor, dass die Videoaufnahmen seitens der Klägerin nicht selbst eingesehen werden können und nur bei Auskunftsanfragen der Strafverfolgungsbehörden an diese herausgegeben werden. Im Übrigen erfolgt eine Löschung durch fortlaufende Überschreibung nach 48 Stunden.

Nach Auffassung des 12. Senats handelt es sich bei den Videoaufnahmen um die Verarbeitung personenbezogener Daten. Dennoch durfte die Klägerin die Herausgabe angesichts ihres Datenschutzkonzeptes verweigern. Dieses verfolgt gerade das Ziel, den Wertungen der Datenschutz-Grundverordnung und den Persönlichkeitsrechten der Fahrgäste in größtmöglichem Umfang Rechnung zu tragen. Demgegenüber musste das Interesse des Beigeladenen am Erhalt gerade der Videoaufzeichnung zurücktreten, nachdem er bereits auf sein Gesuch hin von der Klägerin entsprechend Art. 15 Absatz 1 DS-GVO über die Art und Weise sowie Dauer der Datenspeicherung informiert worden war.

Die Revision zum Bundesverwaltungsgericht wurde zugelassen.

Urteil vom 13. Mai 2025 – OVG 12 B 14/23 –

BFH
Urteil vom 11.03.2025
IX R 24/22

Der BFH hat entschieden, dass sich ein Auskunftsanspruch aus Art. 15 DSGVO gegen Finanzbehörden auch auf interne Vermerke, Aktennotizen und interne Kommunikation bezieht, sofern diese personenbezogene Daten enthalten.

Aus den Entscheidungsgründen:
2. Das angefochtene Urteil ist auch insoweit rechtsfehlerhaft, als das FG entschieden hat, dem Kläger stehe dem Grunde nach kein Anspruch auf Auskunftserteilung der ihn betreffenden und vom Beklagten verarbeiteten personenbezogenen Daten zu.

a) Art. 15 Abs. 1 DSGVO gewährt der betroffenen Person das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf die näher in Art. 15 Abs. 1 Buchst. a bis h DSGVO bezeichneten Informationen.

aa) Der Begriff der personenbezogenen Daten bezeichnet gemäß Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.

In der Verwendung der Formulierung "alle Informationen" bei der Bestimmung des Begriffs "personenbezogene Daten" in dieser Vorschrift kommt das Ziel des Unionsgesetzgebers zum Ausdruck, diesem Begriff eine weite Bedeutung beizumessen, die potenziell alle Arten von Informationen sowohl objektiver als auch subjektiver Natur in Form von Stellungnahmen oder Beurteilungen umfasst, unter der Voraussetzung, dass es sich um Informationen "über" die in Rede stehende Person handelt (Urteile des Gerichtshofs der Europäischen Union --EuGH-- IAB Europe vom 07.03.2024 - C-604/22, EU:C:2024:214, Rz 36; Österreichische Datenschutzbehörde vom 04.05.2023 - C-487/21, EU:C:2023:369, Rz 23, m.w.N.).

Insoweit hat der EuGH entschieden, dass es sich um eine Information über eine identifizierte oder identifizierbare natürliche Person handelt, wenn sie aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer identifizierbaren Person verknüpft ist (EuGH-Urteile IAB Europe vom 07.03.2024 - C-604/22, EU:C:2024:214, Rz 37; Österreichische Datenschutzbehörde vom 04.05.2023 - C-487/21, EU:C:2023:369, Rz 24 und die dort angeführte Rechtsprechung). Weiter weist der EuGH darauf hin, dass die Verwendung des Begriffs "indirekt" durch den Unionsgesetzgeber darauf hindeutet, dass es für die Einstufung einer Information als personenbezogenes Datum nicht erforderlich ist, dass die Information für sich genommen die Identifizierung der betreffenden Person ermöglicht (EuGH-Urteil OC/Kommission vom 07.03.2024 - C-479/22 P, EU:C:2024:215, Rz 47, m.w.N.).

Daraus ergibt sich, dass es für die Qualifikation als auskunftspflichtige personenbezogene Daten abweichend zur Rechtsansicht der Vorinstanz weder eines "Hebens" in Form eines Interpretationsaktes (s. oben) noch der Absicht des Verantwortlichen, eine personenbezogene Angabe in einem spezifischen, personenbezogenen Feld zu speichern, bedarf.

bb) Der Anspruch aus Art. 15 DSGVO bezieht sich auch auf interne Vermerke, Aktennotizen, Bearbeitungs- und Geschäftsgangvermerke und interne Kommunikation. Denn auch diese Unterlagen können personenbezogene Daten enthalten (vgl. dazu BGH-Urteil vom 15.06.2021 - VI ZR 576/19, Rz 24).

b) Das FG ist daher zu Unrecht davon ausgegangen, dass die in den Akten des Beklagten enthaltenen Volltextdokumente nicht dem Schutzbereich der Datenschutz-Grundverordnung unterliegen und die darin enthaltenen personenbezogenen Daten nicht vom Auskunftsanspruch erfasst sind. Entgegen der Auffassung des FG und des Beklagten sind auch interne Vorgänge und sämtlicher Schriftverkehr erfasst, die personenbezogene Daten enthalten. Personenbezogene Daten liegen unabhängig davon vor, ob der Verantwortliche, das heißt der Beklagte, sie "gehoben" oder in einem Dateisystem gespeichert hat. Die Auskunft des Beklagten mit den Schreiben vom 17.12.2019 und vom 16.12.2021 ist daher insoweit unvollständig, als diese ausdrücklich bereits gewechselten Schriftverkehr, interne Vermerke und interne Stellungnahmen sowie Stellungnahmen anderer Steuerpflichtiger ausnimmt.

3. Anknüpfend an den vorgenannten Rechtsfehler hat das FG es ebenso fehlerhaft unterlassen zu prüfen, ob der Kläger einen Anspruch auf Zurverfügungstellung von Kopien personenbezogener Daten gemäß Art. 15 Abs. 3 DSGVO hat.

a) Art. 15 Abs. 3 Satz 1 DSGVO gewährt keinen gegenüber Art. 15 Abs. 1 DSGVO eigenständigen Anspruch gegen den Verantwortlichen auf Zurverfügungstellung von Dokumenten mit personenbezogenen Daten. Nach Art. 15 Abs. 3 Satz 1 DSGVO stellt der Verantwortliche der betroffenen Person eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung. Durch die Rechtsprechung des EuGH ist geklärt, dass Art. 15 DSGVO nicht dahin auszulegen ist, dass er in seinem Abs. 3 Satz 1 ein anderes Recht als das in seinem Abs. 1 vorgesehene gewährt. Im Übrigen bezieht sich der Begriff "Kopie" nicht auf ein Dokument als solches, sondern auf die personenbezogenen Daten, die es enthält und die vollständig sein müssen. Die Kopie muss daher alle personenbezogenen Daten enthalten, die Gegenstand der Verarbeitung sind (EuGH-Urteile FT (Copies du dossier médical) vom 26.10.2023 - C-307/22, EU:C:2023:811, Rz 72 und Österreichische Datenschutzbehörde vom 04.05.2023 - C-487/21, EU:C:2023:369, Rz 32). Der Anspruch auf Zurverfügungstellung einer Kopie der personenbezogenen Daten setzt keine Begründung voraus, weshalb es auch nicht entgegensteht, wenn er mit anderen als den in Erwägungsgrund 63 Satz 1 DSGVO genannten Zwecken begründet wird (EuGH-Urteil FT (Copies du dossier médical) vom 26.10.2023 - C-307/22, EU:C:2023:811, Rz 50 und Rz 52).

Nur wenn die Zurverfügungstellung einer Kopie unerlässlich ist, um der betroffenen Person die wirksame Ausübung der ihr durch die Datenschutz-Grundverordnung verliehenen Rechte zu ermöglichen, wobei insoweit die Rechte und Freiheiten anderer zu berücksichtigen sind, besteht nach Art. 15 Abs. 3 Satz 1 DSGVO ein Anspruch darauf, eine Kopie von Auszügen aus Dokumenten oder gar von ganzen Dokumenten oder auch von Auszügen aus Datenbanken zu erhalten (vgl. EuGH-Urteile FT (Copies du dossier médical) vom 26.10.2023 - C-307/22, EU:C:2023:811, Rz 75 und Österreichische Datenschutzbehörde vom 04.05.2023 - C-487/21, EU:C:2023:369, Rz 41 und Rz 45).

Hierfür besteht jedoch keine generelle Vermutung. Vielmehr obliegt es der betroffenen Person, darzulegen, dass die Kopie der personenbezogenen Daten sowie die Mitteilung der Informationen nach Art. 15 Abs. 1 Buchst. a bis h DSGVO für die Wahrnehmung der ihr durch die Datenschutz-Grundverordnung verliehenen Rechte nicht genügt. Begehrt die betroffene Person die Zurverfügungstellung von Kopien von Dokumenten mit ihren personenbezogenen Daten, muss sie darlegen, welche ihr durch die Datenschutz-Grundverordnung verliehenen Rechte sie auszuüben gedenkt und aus welchen Gründen die Zurverfügungstellung von Kopien von Akten mit personenbezogenen Daten hierfür unerlässlich ist. Andernfalls liefe das durch den EuGH aufgestellte Regel-Ausnahme-Prinzip ins Leere. Denn nach der Rechtsprechung des EuGH ist der Anspruch nach Art. 15 Abs. 1 und Abs. 3 DSGVO grundsätzlich auf die Zurverfügungstellung einer Kopie der verarbeiteten personenbezogenen Daten der betroffenen Person gerichtet (EuGH-Urteile FT (Copies du dossier médical) vom 26.10.2023 - C-307/22, EU:C:2023:811, Rz 72 und Österreichische Datenschutzbehörde vom 04.05.2023 - C-487/21, EU:C:2023:369, Rz 32). Wenn dies für die Wahrnehmung der Rechte aus der Datenschutz-Grundverordnung nicht genügt, kann ausnahmsweise ein Anspruch auf eine (auszugsweise) Kopie der Quelle, in der die personenbezogenen Daten verarbeitet sind, bestehen (vgl. EuGH-Urteile FT (Copies du dossier médical) vom 26.10.2023 - C-307/22, EU:C:2023:811, Rz 75 und Österreichische Datenschutzbehörde vom 04.05.2023 - C-487/21, EU:C:2023:369, Rz 41 und Rz 45). Einer entsprechenden Vermutung der Unerlässlichkeit bedarf es im Übrigen auch nicht, um einen effektiven Datenschutz zu gewährleisten. Regelmäßig genügt es für die Wahrnehmung der durch die Datenschutz-Grundverordnung verliehenen Rechte, wenn die betroffene Person Kenntnis von den über sie verarbeiteten personenbezogenen Daten erlangt und ihr die Informationen nach Art. 15 Abs. 1 Buchst. a bis h DSGVO mitgeteilt werden. Insbesondere durch die Mitteilung, welche personenbezogenen Daten verarbeitet werden und zu welchem Zweck diese Verarbeitung erfolgt, ist die betroffene Person bereits regelmäßig in der Lage, die Richtigkeit der personenbezogenen Daten und die Rechtmäßigkeit deren Verarbeitung zu überprüfen (vgl. zum Ganzen Senatsurteil vom 12.03.2024 - IX R 35/21, BFHE 283, 266, BStBl II 2024, 682, Rz 27 f.).

b) Ausgehend von anderen Rechtsgrundsätzen hat es das FG unterlassen, die erforderlichen Feststellungen für eine abschließende Beurteilung zu treffen. Obwohl der Kläger in der Klageschrift vom 13.01.2020 seine Beweggründe für die Geltendmachung des Auskunftsanspruchs dargelegt hat, fehlt es an Feststellungen des FG dazu, ob und in welchem Umfang die begehrten Kopien für ihn unerlässlich seien, um ihm die wirksame Ausübung der ihm durch die Datenschutz-Grundverordnung verliehenen Rechte zu ermöglichen. Ferner fehlt es an Feststellungen, welche Rechte aus der Datenschutz-Grundverordnung der Kläger überhaupt beabsichtigt geltend zu machen.

4. Der vom Kläger geltend gemachte Anspruch auf Akteneinsicht ergibt sich zwar nicht aus Art. 15 DSGVO (dazu unter a). Das FG hat jedoch rechtsfehlerhaft nicht geprüft, ob sich ein Akteneinsichtsrecht aufgrund anderer Rechtsvorschriften ergibt (dazu unter b).

a) Das Auskunftsrecht in Art. 15 DSGVO ist nicht mit dem Akteneinsichtsrecht identisch. Denn die Datenschutz-Grundverordnung sieht keinen Anspruch auf Akteneinsicht vor (so auch Gola/Heckmann/Franck, DS-GVO, 3. Aufl., Art. 15 Rz 33, m.w.N.). Soweit der Kläger einen Anspruch auf Akteneinsicht aus Art. 15 DSGVO herleiten möchte, enthält diese Vorschrift lediglich einen Auskunftsanspruch gegenüber dem für die Verarbeitung der personenbezogenen Daten Verantwortlichen.

Ebenso beinhaltet Art. 15 DSGVO keinen Anspruch auf Akteneinsicht als "Weniger" zum Anspruch auf Zurverfügungstellung einer Kopie der personenbezogenen Daten beziehungsweise ausnahmsweise unter bestimmten Umständen auf Zurverfügungstellung der Quellen, in denen die personenbezogenen Daten verarbeitet wurden. Vielmehr handelt es sich bei der Gewährung von Akteneinsicht um ein Aliud. Während das Recht auf Akteneinsicht die temporäre Möglichkeit zur Einsicht in die gesamte Verwaltungsakte beinhaltet, betrifft Art. 15 DSGVO nicht die gesamte Verwaltungsakte, sondern ist auf die dauerhafte Überlassung der darin enthaltenen personenbezogenen Daten und nur ausnahmsweise unter bestimmten Umständen auf die Überlassung von Auszügen von Verwaltungsakten gerichtet.

Daran gemessen hat das FG einen Anspruch auf Akteneinsicht aus Art. 15 DSGVO zutreffend verneint. Art. 15 Abs. 1 DSGVO ermöglicht nicht die Einsicht in Verwaltungsakten und damit die in ihnen enthaltenen Verwaltungsdokumente in Abschrift oder im Original. Vielmehr hat der Beklagte als Verantwortlicher lediglich eine (elektronische) Kopie der personenbezogenen Daten und unter gewissen Umständen auch der Quellen, in denen solche Daten verarbeitet wurden, zur Verfügung zu stellen (Senatsurteil vom 12.03.2024 - IX R 35/21, BFHE 283, 266, BStBl II 2024, 682, Rz 36 f.).

b) Das FG hat rechtsfehlerhaft nicht geprüft, ob sich ein Akteneinsichtsrecht aufgrund anderer Rechtsvorschriften ergibt.

aa) Die Abgabenordnung enthält zwar --anders als zum Beispiel § 29 des Verwaltungsverfahrensgesetzes-- keine Regelung, nach der ein Anspruch auf Akteneinsicht besteht. Ein solches Einsichtsrecht ist weder aus § 91 Abs. 1 AO noch aus § 364 AO abzuleiten. Allerdings steht dem während eines Verwaltungsverfahrens um Akteneinsicht nachsuchenden Steuerpflichtigen oder seinem Vertreter ein Anspruch auf eine pflichtgemäße Ermessensentscheidung der Finanzbehörde zu, weil diese nicht gehindert ist, in Einzelfällen Akteneinsicht zu gewähren (Urteil des Bundesfinanzhofs --BFH-- vom 23.02.2010 - VII R 19/09, BFHE 228, 139, BStBl II 2010, 729, Rz 11; BFH-Beschluss vom 05.12.2016 - VI B 37/16, Rz 3; Senatsurteil vom 07.05.2024 - IX R 21/22, zur amtlichen Veröffentlichung bestimmt, Rz 14). Grundlage dieses Anspruchs ist das Rechtsstaatsprinzip gemäß Art. 20 Abs. 3 des Grundgesetzes (GG) i.V.m. dem Prozessgrundrecht gemäß Art. 19 Abs. 4 GG (BFH-Urteil vom 19.03.2013 - II R 17/11, BFHE 240, 497, BStBl II 2013, 639, Rz 11; Senatsurteil vom 07.05.2024 - IX R 21/22, zur amtlichen Veröffentlichung bestimmt, Rz 14). Der fehlende Anspruch auf Akteneinsicht im außergerichtlichen Besteuerungsverfahren und eine insoweit der Finanzverwaltung eingeräumte Ermessensausübung verstoßen nicht gegen verfassungsrechtliche Grundsätze (vgl. BFH-Beschluss vom 04.06.2003 - VII B 138/01, BFHE 202, 231, BStBl II 2003, 790, unter II.2.d, m.w.N.).

Dabei ist im Fall eines Antrags auf Akteneinsicht der Adressat des Antrags grundsätzlich berechtigt und verpflichtet, einen geltend gemachten Anspruch unter allen zumindest denkbaren rechtlichen Aspekten zu prüfen (vgl. Senatsurteil vom 23.01.2024 - IX R 36/21, BFHE 283, 219, Rz 17; BFH-Urteil vom 08.06.2021 - II R 15/20, Rz 16).

bb) Der Kläger hat ausdrücklich Akteneinsicht beantragt. Ausgehend von anderen Rechtsgrundsätzen hat die Vorinstanz es unterlassen, die erforderlichen Feststellungen zu treffen, inwieweit der Beklagte das ihm hinsichtlich der Gewährung der Akteneinsicht zustehende Ermessen ordnungsgemäß nach dem Maßstab des § 102 FGO ausgeübt beziehungsweise eine Interessenabwägung vorgenommen hat.

5. Soweit sich der Kläger mit seinem Auskunftsanspruch auf Akten der Staatsanwaltschaft und der Steuerfahndung bezieht, ist der Beklagte nicht der Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO. Insoweit ist der Beklagte weder berechtigt noch verpflichtet, Auskunft zu erteilen.

6. Soweit das FG den nationalen Ausschlussgrund des § 32c Abs. 1 Nr. 3 AO geprüft hat, tragen seine Feststellungen das Ergebnis, insbesondere zum Ausschlussgrund des § 32c Abs. 1 Nr. 3 Buchst. a AO, nicht.

a) Das Recht auf Auskunft der betroffenen Person gegenüber einer Finanzbehörde gemäß Art. 15 DSGVO besteht nach § 32c Abs. 1 Nr. 3 AO nicht, soweit die personenbezogenen Daten nur deshalb gespeichert sind, weil sie aufgrund gesetzlicher Aufbewahrungsvorschriften nicht gelöscht werden dürfen (Buchst. a) oder ausschließlich Zwecken der Datensicherung oder der Datenschutzkontrolle dienen (Buchst. b) und die Auskunftserteilung einen unverhältnismäßigen Aufwand erfordern würde sowie eine Verarbeitung zu anderen Zwecken durch geeignete technische und organisatorische Maßnahmen ausgeschlossen ist.

b) Insoweit prüft das FG nicht, ob die personenbezogenen Daten nur deshalb gespeichert sind, weil sie aufgrund gesetzlicher Aufbewahrungsvorschriften nicht gelöscht werden dürfen (s. II.6.a; vgl. dazu BFH-Urteil vom 07.05.2024 - IX R 21/22, zur amtlichen Veröffentlichung bestimmt, Rz 33) oder die in § 32c Abs. 1 Nr. 3 Buchst. b AO genannten Zwecke vorliegen und ob "die Auskunftserteilung einen unverhältnismäßigen Aufwand erfordern würde". Auch zum Ausschluss einer Verarbeitung durch "geeignete technische und organisatorische Maßnahmen" äußert sich die Ausgangsentscheidung nicht.

Den Volltext der Entscheidung finden Sie hier:

VG Ansbach
Beschluss v. 19.02.2025
AN 14 K 22.02562

Das VG Ansbach hat dem EuGH zur Vorabentscheidung vorgeleget, ob ein Auskunftsanspruch aus Art. 15 DSGVO gegen eine Datenschutzbehörde besteht.

Tenor der Entscheidung:
Dem Gerichtshof der Europäischen Union werden nach Art. 267 AEUV folgende Fragen zur Vorabentscheidung vorgelegt:

1. Ist Art. 15 VO (EU) 2016/679 i.V.m. Art. 4 Nr. 7 VO (EU) 2016/679 dahingehend auszulegen, dass eine Aufsichtsbehörde nach Art. 4 Nr. 21 VO (EU) 2016/679, die im Rahmen eines von einer betroffenen Person eingeleiteten Beschwerdeverfahrens nach Art. 77 VO (EU) 2016/679 tätig wird, gleichzeitig im Sinne von Art. 15 VO (EU) 2016/679 i.V.m. Art. 4 Nr. 7 VO (EU) 2016/679 „Verantwortlicher“ und damit auf Grundlage des Art. 15 VO (EU) 2016/679 gegenüber der betroffenen Person zur Auskunft verpflichtet ist ?

2. Für den Fall, dass Frage 1 mit „ja“ beantwortet wird:
Ist das Unionsrecht, insbesondere Art. 23 VO (EU) 2016/679, dahingehend auszulegen, dass es einer nationalen Regelung – wie dem im Ausgangsverfahren streitigen Art. 20 Abs. 2 BayDSG – entgegensteht, wonach Auskunfts- oder Einsichtsrechte hinsichtlich Akten und Dateien der Aufsichtsbehörden nach Art. 4 Nr. 21 VO (EU) 2016/679 pauschal nicht bestehen ?

Den Volltext der Entscheidung finden Sie hier:

BAG
Urteil vom 20.02.2025
8 AZR 61/24

Das BAG hat entschieden, das ein ungutes Gefühl allein bei verspäteter Auskunftserteilung nach Art. 15 DSGVO keinen Schadensersatzanspruch aus Art. 82 DSGVO begründet.

Aus den Entscheidungsgründen:
bb) Das Landesarbeitsgericht hat ausgehend vom Vorbringen des Klägers auch einen Schaden in Form von negativen Gefühlen allein wegen der verspäteten Erfüllung des Auskunftsanspruchs rechtsfehlerfrei verneint.

(1) Ein immaterieller Schaden kann allein in negativen Gefühlen bestehen (vgl. BAG 17. Oktober 2024 – 8 AZR 215/23 – Rn. 18). Dies betrifft Konstellationen, in denen der bloße Verstoß gegen die Datenschutz-Grundverordnung zu der Befürchtung eines Datenmissbrauchs führt (vgl. EuGH 4. Oktober 2024 – C-200/23 – [Agentsia po vpisvaniyata] Rn. 144 mit Verweis auf die Erwägungsgründe 85 und 146 zur DSGVO; 20. Juni 2024 – C-590/22 – [PS (Fehlerhafte Anschrift)] Rn. 32). Da solche Gefühle für sich genommen nicht beweisbar sind, hat das nationale Gericht die Gesamtsituation und letztlich auch die Glaubwürdigkeit der jeweiligen Klagepartei auf der Grundlage eines substantiierten Sachvortrags zu beurteilen. Steht ein Verstoß gegen die Datenschutz-Grundverordnung iSv. Art. 82 Abs. 1 DSGVO nach richterlicher Beweiswürdigung iSv. § 286 Abs. 1 ZPO zum Nachteil der Klagepartei als geschützter Person fest, mindert sich das Beweismaß bzgl. der Entstehung und der Höhe des Schadens nach § 287 Abs. 1 ZPO (BAG 20. Juni 2024 – 8 AZR 124/23 – Rn. 16 unter Bezugnahme auf BAG 5. Mai 2022 – 2 AZR 363/21 – Rn. 14).

(2) Die verspätete Erfüllung des Auskunftsanspruchs löst geradezu zwangsläufig die Sorge eines Verstoßes gegen sonstige Verpflichtungen aus der Datenschutz-Grundverordnung aus. Dies mag sich mit der Revision als eine besondere Form des Kontrollverlusts darstellen, kann aber auch als eigenständige Fallgruppe verstanden werden. Letztlich ist diese Frage der Einordnung nicht entscheidungserheblich. Wäre schon das Berufen auf solche abstrakten Befürchtungen ausreichend für die Annahme eines Schadens, würde jeder Verstoß gegen Art. 15 DSGVO – so ein Verstoß dagegen einen Schadenersatzanspruch nach Art. 82 Abs. 1 DSGVO dem Grunde nach begründen könnte – zu einem immateriellen Schaden führen. Die eigenständige Voraussetzung des Schadens würde damit bedeutungslos (BAG 17. Oktober 2024 – 8 AZR 215/23 – Rn. 16). Sie wäre stets erfüllt. Dies ist jedoch mit dem dargestellten Normverständnis des Gerichtshofs von Art. 82 Abs. 1 DSGVO, das strikt zwischen Verstoß und Schaden unterscheidet, ebenso wenig zu vereinbaren wie mit den Anforderungen des nationalen Prozessrechts, das die substantiierte Darlegung eines Schadens verlangt (BAG 20. Juni 2024 – 8 AZR 124/23 – Rn. 18; 20. Juni 2024 – 8 AZR 91/22 – Rn. 18).

(a) Entgegen der Auffassung der Revision wird damit keine „vierte Tatbestandsvoraussetzung“, wonach „der Schaden keine dem Verordnungsverstoß immanente Folge sein darf“, geschaffen. Es bedeutet auch nicht, dass „eine besonders enge Kausalität zwischen Verordnungsverstoß und Schaden“ für die Annahme eines Schadens „schädlich“ wäre. Die Rechtsprechung des Gerichtshofs und des Senats folgt nur der in Art. 82 Abs. 1 DSGVO angelegten Eigenständigkeit des Erfordernisses eines Schadens. Dabei ist im Einzelfall zu beurteilen, ob der Verstoß gegen die Datenschutz-Grundverordnung ggf. so schwerwiegende Konsequenzen aufweist, dass ein Schaden in Form von Befürchtungen selbstverständlich angenommen werden kann (zB Datenleck bzgl. Bank- oder Gesundheitsdaten) oder ob der Schaden gesondert begründet werden muss. Dementsprechend besteht auch kein Widerspruch zum Urteil des Senats vom 25. Juli 2024 (- 8 AZR 225/23 -). Der Senat hat in diesem Fall einer unzulässigen Überwachung durch Detektive ausgeführt, der Verlust von Kontrolle und die daraus folgende Befürchtung weiterer Überwachung sei selbsterklärend und bedürfe keiner näheren Darlegung (BAG 25. Juli 2024 – 8 AZR 225/23 – Rn. 34). Diese Begründung war der Schwere der Auswirkungen des Verstoßes geschuldet und kann nicht auf eine lediglich verspätete Auskunftserteilung übertragen werden. Dementsprechend geht auch der Hinweis auf die einen anderen Sachverhalt (Datenabfluss) betreffende Entscheidung des Bundesgerichtshofs vom 18. November 2024 (- VI ZR 10/24 -) fehl.

(b) Gleiches gilt bzgl. der von der Revision angeführten Entscheidung des Obersten Gerichtshofs (Österreich) vom 23. Juni 2021 (- 6 Ob 56/21k -). Dieser Beschluss erging vor den maßgeblichen Urteilen des Gerichtshofs der Europäischen Union.

(c) Die von der Revision unter Bezugnahme auf Rechtsprechung und Schrifttum zutreffend angeführte Bedeutung des Auskunftsanspruchs für die Transparenz der Datenverarbeitung (vgl. hierzu EuGH 22. Juni 2023 – C-579/21 – [Pankki S] Rn. 59 mwN) steht dem Erfordernis der gesonderten Begründung eines Schadens nicht entgegen. Der Verstoß gegen Art. 15 DSGVO begründet auch dann für sich genommen keinen immateriellen Schaden iSv. Art. 82 Abs. 1 DSGVO, wenn die verzögerte oder zunächst verweigerte Auskunftserteilung der Durchsetzung von Rechten entgegensteht, denn dies steht in keinem Zusammenhang mit dem Zweck des Schadenersatzanspruchs. Dieser hat nur eine Ausgleichsfunktion, da eine auf Art. 82 Abs. 1 DSGVO gestützte Entschädigung in Geld ermöglichen soll, den konkret aufgrund des Verstoßes gegen diese Verordnung erlittenen Schaden vollständig auszugleichen. Er erfüllt keine Abschreckungs- oder Straffunktion (EuGH 25. Januar 2024 – C-687/21 – [MediaMarktSaturn] Rn. 50; 21. Dezember 2023 – C-667/21 – [Krankenversicherung Nordrhein] Rn. 87). Daran ändern auch die im Erwägungsgrund 75 zur Datenschutz-Grundverordnung beschriebenen Risiken nichts (aA Gola/Heckmann/Franck 3. Aufl. DSG-VO Art. 15 Rn. 72; Kühling/Buchner/Bergt 4. Aufl. DSG-VO Art. 82 Rn. 18c). Gleiches gilt für die im Erwägungsgrund 85 zur Datenschutz-Grundverordnung angeführten Schadensarten. Der von einem Verstoß gegen die Auskunftspflicht betroffenen Person bleibt zudem der Anspruch auf Ersatz eines etwaigen materiellen Schadens.

(d) Soweit die Revision die angeführte Rechtsprechung des Senats im Widerspruch zum unionsrechtlichen Grundsatz der Äquivalenz sieht, dringt sie ebenfalls nicht durch. Sie begründet diese These mit einem Vergleich zum Ersatz immaterieller Schäden nach § 15 Abs. 2 AGG. Bei diesem Anspruch liege der immaterielle Schaden bereits in der Rechtsverletzung selbst. Gleiches müsse für den Anspruch nach Art. 82 Abs. 1 DSGVO gelten, weil der Erwägungsgrund 85 zur Datenschutz-Grundverordnung die „Diskriminierung“ als Regelschaden benenne. Diese Argumentation verkennt, dass sich der Äquivalenzgrundsatz auf die Ausgestaltung des Verfahrens zur Rechtsdurchsetzung bezieht (vgl. EuGH 9. April 2024 – C-582/21 – [Profi Credit Polska] Rn. 40; BAG 5. Mai 2022 – 2 AZR 363/21 – Rn. 13 ff.). Die Revision behauptet selbst nicht, dass ein Anspruch aus Art. 82 Abs. 1 DSGVO im Hinblick auf das nationale Verfahrensrecht schwerer durchsetzbar wäre als ein solcher aus § 15 Abs. 2 AGG. Sie nimmt lediglich einen Vergleich der materiellen Tatbestandsvoraussetzungen der verschiedenen Normen vor. Deren unterschiedliche Ausgestaltung wird durch den Äquivalenzgrundsatz nicht berührt.

(3) Das Landesarbeitsgericht hat vor diesem Hintergrund zu Recht ausgeführt, dass der Vortrag des Klägers bzgl. angeblich zu befürchtenden „Schindluders“ keine nachvollziehbare Begründung enthält, wo die Beklagte doch in den vergangenen sechs Jahren unstreitig kein „Schindluder“ betrieben habe. Ebenfalls rechtsfehlerfrei ist die Auffassung des Landesarbeitsgerichts, wonach behauptete Emotionen wie Ärger oder Frust („genervt sein“), keinen immateriellen Schaden darstellen (vgl. Fuhlrott/Fischer NZA 2023, 606, 610). Es handelt sich hierbei nur um pauschal gehaltene Unmutsbekundungen.

2. Entgegen der Auffassung der Revision bedarf es keines Vorabentscheidungsersuchens nach Art. 267 AEUV zu der Frage, ob die Nichterfüllung des Auskunftsanspruchs aus Art. 15 iVm. Art. 12 Abs. 3 DSGVO ohne Weiteres einen immateriellen Schaden darstellt. Die Rechtslage ist aus den genannten Gründen durch den Gerichtshof geklärt. Aus demselben Grund muss auch die Antwort des Gerichtshofs auf die achte Vorlagefrage des Amtsgerichts Arnsberg im Verfahren – C-526/24 – [Brillen Rottler] vor dem Gerichtshof nicht abgewartet werden.

Den Volltext der Entscheidung finden Sie hier:

LG Berlin II
Urteile vom 04.04.2025
39 O 56/24, 39 O 67/24, 39 O 57/24, 39 O 97/24, 39 O 218/24, 39 O 184/24

Das LG Berlin II hat in mehreren Fällen Facebook / Meta zur Auskunftserteilung, Löschung und Zahlung von Schadensersatz an die jeweiligen Betroffenen wegen datenschutzwidriger Erhebung und Verarbeitung personenbezogener Daten über die Meta Buisness Tools verurteilt.

Die Pressemitteilung des Gerichts:
Landgericht Berlin II verpflichtet Meta in sechs Fällen unter anderem zur Auskunft, Löschung von Daten und Schadensersatz

Das Landgericht Berlin II hat in sechs Urteilen vom 4. April 2025 den Klagen mehrerer Personen gegen Meta unter anderem auf Auskunft über und Anonymisierung bzw. Löschung ihrer über die Meta Business Tools erhobenen personenbezogenen Daten stattgegeben und ihnen zudem eine Schadensersatzzahlung in Höhe von jeweils 2.000 € zugesprochen.

Die Kläger*innen machen jeweils geltend, dass die Beklagte alle digitalen Bewegungen auf Webseiten und mobilen Apps sämtlicher Nutzer*innen von Facebook und Instagram auslese und aufzeichne, wenn die Dritt-Webseiten und Apps die Meta Business Tools installiert haben. Die Meta Business Tools erlauben die so gesammelten Daten mit einem einmal angelegten Nutzerkonto zu verbinden und so ein Profil über Personen anzulegen, das etwa ihre politische und religiöse Einstellung, ihre sexuelle Orientierung oder etwa Erkrankungen erfassen kann. So könnten z. B. Informationen über Bestellungen bei Apotheken, Angaben zu problematischem Suchtverhalten oder bei dem Wahl-O-Mat ausgelesen werden. Es sei unklar, mit wem die Beklagte die so erstellten Profile teile.

Der Einsatz der Meta Business Tools auf Webseiten und Apps ist dabei nur eingeschränkt erkennbar. Schätzungen gehen davon aus, dass diese bei mindestens 30 bis 40 Prozent der Webseiten weltweit und auf der überwiegenden Mehrzahl der meistbesuchten 100 Webseiten in Deutschland zum Einsatz kommen. Dies erfolge nicht nur ohne, sondern auch gegen den ausdrücklichen Willen der Nutzer*innen.

Die Beklagte wendet dagegen ein, die Drittunternehmen seien für die Installation und Nutzung der Business Tools und somit für die Offenlegung der Daten verantwortlich. Sie selbst nehme eine Datenverarbeitung jedenfalls zur Bereitstellung personalisierter Werbung nur vor, wenn die Nutzer*innen ausdrücklich hierin einwilligen. Anderenfalls würden übermittelte Daten nur für begrenzte Zwecke, wie Sicherheits- und Integritätszwecke, genutzt.

In der mündlichen Verhandlung wies das Gericht darauf hin, dass den Kläger*innen der Auskunftsanspruch aus Art. 15 Abs. 1 Datenschutzgrundverordnung (DSGVO) zustehe, da die Beklagte die über die Meta Business Tools erhaltenen personenbezogenen Daten der Kläger*innen zur Erstellung von Persönlichkeitsprofilen verarbeitet und gespeichert habe. Der Löschungs- bzw. Anonymisierungsanspruch bestehe nach Art. 17 Abs. 1 DSGVO, da für die Datenverarbeitung keine Rechtsgrundlage bestehe. Hierfür lägen keine Einwilligungen der Kläger*innen vor. Wegen der Verstöße gegen die DSGVO stünden den Kläger*innen zudem Ansprüche auf Schadensersatz nach Art. 82 DSGVO zu. Für die weiteren Einzelheiten müssen die schriftlichen Urteilsgründe abgewartet werden.

Die Urteile sind noch nicht rechtskräftig. Es kann dagegen Berufung beim Kammergericht innerhalb eines Monats nach Zustellung der schriftlichen Urteilsgründe eingelegt werden.

Landgericht Berlin II: Urteile vom 4. April 2025, Aktenzeichen 39 O 56/24, 39 O 67/24, 39 O 57/24, 39 O 97/24, 39 O 218/24, 39 O 184/24

VGH München
Beschluss vom 21.02.2025
7 ZB 24.651

Der VGH München hat entschieden, dass ein Betroffener keinen Anspruch auf Einsicht in den Auftragsverarbeitungsvertrag zwischen dem Beitragsservice und einem Inkassounternehmen hat.

Aus den Entscheidungsgründen:
1. Es bestehen keine ernstlichen Zweifel an der Richtigkeit des angefochtenen Urteils (§ 124 Abs. 2 Nr. 1 VwGO).

Ernstliche Zweifel im Sinne des § 124 Abs. 2 Nr. 1 VwGO sind anzunehmen, wenn in der Antragsbegründung ein einzelner tragender Rechtssatz oder eine erhebliche Tatsachenfeststellung mit schlüssigen Gegenargumenten in Frage gestellt werden (vgl. etwa BVerfG, B.v. 10.9.2009 – 1 BvR 814/09 – NJW 2009, 3642) und die Zweifel an der Richtigkeit einzelner Begründungselemente auf das Ergebnis durchschlagen (BVerwG, B.v. 10.3.2004 – 7 AV 4.03 – DVBl 2004, 838/839). Schlüssige Gegenargumente in diesem Sinne liegen dann vor, wenn der Rechtsmittelführer substantiiert rechtliche oder tatsächliche Umstände aufzeigt, aus denen sich die gesicherte Möglichkeit ergibt, dass die erstinstanzliche Entscheidung im Ergebnis unrichtig ist (vgl. BVerfG, B.v. 20.12.2010 – 1 BvR 2011/10 – NVwZ 2011, 546/548). Welche Anforderungen an Umfang und Dichte der Darlegung zu stellen sind, hängt wesentlich von der Intensität ab, mit der die Entscheidung begründet worden ist (Happ in Eyermann, VwGO, 16. Aufl. 2022, § 124a Rn. 64 m.w.N.).

Die klägerischen Ausführungen stellen die Richtigkeit der Entscheidung des Verwaltungsgerichts nicht ernstlich in Frage und zeigen keine Gesichtspunkte auf, die weiterer Klärung in einem Berufungsverfahren bedürften. Der Kläger begehrt, dies stellt er in seiner Zulassungsbegründung ausdrücklich klar, Einsicht in die Urkunde des Auftragsverarbeitungsvertrags, der zwischen dem Beklagten und der P. GmbH geschlossen wurde, gleichzeitig bezweifelt er deren Existenz.

Zutreffend hat das Verwaltungsgericht ausgeführt, dass sich der Kläger insbesondere nicht auf § 11 Abs. 8 Satz 1 RBStV berufen kann. Der geltend gemachte Einsichtsanspruch ist von dieser Norm nicht erfasst. Auch die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der RL 95/46/EG (Datenschutz-Grundverordnung; im Folgenden: DS-GVO) räumt dem Kläger kein solches Einsichtsrecht ein. Der Kläger führt in seiner Zulassungsbegründung selbst aus, ein materielles Gesetz mit einer entsprechenden Anspruchsgrundlage „gebe es bekanntlich nicht“.

Entgegen seinem Vorbringen kann er sich für den geltend gemachten Anspruch auf Einsicht in den Auftragsverarbeitungsvertrag auch nicht auf die von ihm zitierte Rechtsprechung des Bundesverwaltungsgerichts (U.v. 16.9.1980 – 7 C 10.81 – juris; U.v. 5.6.1984 – 5 C 73.82 – juris) stützen. Der Kläger stellt ohne Erfolg auf das sog. ungeschriebene Akteneinsichtsrecht außerhalb des Anwendungsbereichs von Art. 29 BayVwVfG ab. Soweit das in Art. 29 BayVwVfG normierte Recht auf Akteneinsicht durch Beteiligte nicht eingreift und positiv-rechtliche Regelungen nicht bestehen, bleibt der Betroffene nicht schutzlos, wenn und soweit er ein berechtigtes Interesse an der Akteneinsicht geltend machen kann. In diesen Fällen steht die Gewährung von Akteneinsicht grundsätzlich im pflichtgemäßen Ermessen der zuständigen Behörde (vgl. Ramsauer in Kopp/Ramsauer, VwVfG, 25. Aufl. 2024, § 29 Rn. 10 m.w.N.).

Vorliegend fehlt es hierfür bereits an der Voraussetzung des berechtigten Interesses. Der Kläger weist selbst darauf hin, dass das berechtigte Interesse durch „rechtliche Aspekte bestimmt“ wird. Nicht ausreichend ist insoweit ein schlichtes persönliches Interesse an der begehrten Akteneinsicht. Ein berechtigtes Interesse des Klägers an der Einsichtnahme in den zwischen dem Beklagten und der P. GmbH gemäß Art. 28 DS-GVO geschlossen Auftragsverarbeitungsvertrag besteht nicht. Ein solches ergibt sich insbesondere nicht – wie der Kläger meint – daraus, dass er selbst in der Lage sein müsse, zu überprüfen, ob ein „wirksamer Auftragsverarbeitungsvertrag“ mit dem nach Art. 28 Abs. 3 DS-GVO „vorgeschriebenen Inhalt“ tatsächlich geschlossen wurde. Denn für die Überwachung der Anwendung der Datenschutz-Grundverordnung ist gemäß Art. 51 Abs. 1 DS-GVO die Aufsichtsbehörde zuständig, nicht Private. Als externe Datenschutzaufsichtsbehörde i.S.v. Art. 51 DS-GVO ist für den Beklagten gemäß Art. 21 Abs. 1 Satz 2 BayRG der Rundfunkdatenschutzbeauftragte bestellt. Zu dessen Aufgaben gehört gemäß Art. 57 Abs. 1 Buchst. a DS-GVO die Überwachung und Durchsetzung der Anwendung der Datenschutz-Grundverordnung. Hierbei hat er als Aufsichtsbehörde gegebenenfalls im Rahmen einer Beschwerde nach Art. 77 DS-GVO die Rechtmäßigkeit einer Auftragsdatenverarbeitung zu prüfen und die ihm hierzu eingeräumten Befugnisse nach Art. 58 DS-GVO zu nutzen (vgl. Art. 21 Abs. 6 BayRG). Dem Betroffenen selbst ist hingegen nach Art. 15 DS-GVO nur ein Auskunftsrecht über die eigenen personenbezogenen Daten eingeräumt (vgl. auch Erwägungsgrund 63 DS-GVO). Ein Recht auf eigenständige Rechtmäßigkeitsüberprüfung steht ihm hingegen nicht zu. Vor diesem Hintergrund hat vorliegend der Kläger kein berechtigtes Interesse, selbst den Abschluss und die Rechtmäßigkeit eines Auftragsverarbeitungsvertrags zu prüfen.

Den Volltext der Entscheidung finden Sie hier:

BGH
Urteil vom 28.01.2025
VI ZR 109/23
DSGVO Art. 82 Abs. 1

Der BGH hat entschieden, dass die Zusendung einer Werbe-E-Mail allein nicht zur Begründung eines Schadensersatzanspruchs aus Art. 82 Abs. 1 DSGVO genügt.

Leitsatz des BGH:
Zur Frage des immateriellen Schadens im Sinne des Art. 82 Abs. 1 DSGVO.

BGH, Urteil vom 28. Januar 2025 - VI ZR 109/23 - LG Rottweil - AG Tuttlingen

Aus den Entscheidungsgründen:
a) Die Ablehnung einer Erheblichkeitsschwelle durch den Gerichtshof bedeutet nicht, dass eine Person, die von einem Verstoß gegen die Datenschutz-Grundverordnung betroffen ist, der für sie negative Folgen gehabt hat, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 dieser Verordnung darstellen (vgl. EuGH, Urteil vom 20. Juni 2024 - C-590/22, DB 2024, 1676 Rn. 27 - PS GbR; Senatsurteil vom 18. November 2024 - VI ZR 10/24, DB 2024, 3091 Rn. 29; jeweils mwN). Der bloße Verstoß gegen die Bestimmungen der Datenschutz-Grundverordnung reicht nach der Rechtsprechung des Gerichtshofs nicht aus, um einen Schadensersatzanspruch zu begründen, vielmehr ist darüber hinaus - im Sinne einer eigenständigen Anspruchsvoraussetzung - der Eintritt eines Schadens (durch diesen Verstoß) erforderlich (st. Rspr., vgl. EuGH, Urteil vom 20. Juni 2024 - C-590/22, DB 2024, 1676 Rn. 25 - PS GbR; Senatsurteil vom 18. November 2024 - VI ZR 10/24, DB 2024, 3091 Rn. 28; jeweils mwN).

b) Das Berufungsgericht hat den Vortrag des Klägers - auch den Vortrag in der Klageschrift, auf den die Revision verweist - zu Recht als nicht hinreichend zur Darlegung eines immateriellen Schadens des Klägers angesehen. Deshalb bedarf es keiner Entscheidung, ob überhaupt ein Verstoß gegen die Datenschutz-Grundverordnung vorlag (Art. 95 DSGVO, Art. 13 Abs. 2 der Richtlinie 2002/58/EG, § 7 Abs. 3 UWG).

Die Revision ist der Ansicht, der Kläger habe ausreichend zu einem immateriellen Schaden vorgetragen, der ihm aus dem gerügten Verstoß gegen die Datenschutz-Grundverordnung entstanden sei. So habe er bereits in der Klageschrift darauf hingewiesen, durch Zusendungen der in Rede stehenden Art werde das ungute Gefühl erweckt, dass personenbezogene Daten Unbefugten bekannt gemacht worden seien, eben weil die Daten unbefugt verwendet worden seien. Der Kläger habe sich mit der Abwehr der von ihm unerwünschten Werbung und der Herkunft der Daten auseinandersetzen müssen, was zu einem durchaus belastenden Eindruck des Kontrollverlusts geführt habe. Außerdem habe der Beklagte nach dem Verstoß zunächst einmal nicht reagiert; darin komme eine erneute Missachtung des Klägers zum Ausdruck.

Aus diesem Vortrag ergibt sich jedoch nicht, dass dem Kläger durch die Verwendung seiner E-Mail-Adresse ohne Einwilligung zum Zweck der Zusendung einer Werbe-E-Mail ein immaterieller Schaden entstanden wäre. Es liegt weder ein auf dem gerügten Verstoß beruhender Kontrollverlust des Klägers über seine personenbezogenen Daten vor (hierzu unter aa)), noch ist die vom Kläger geäußerte Befürchtung eines Kontrollverlusts substantiiert dargelegt (unter bb)). Das Berufungsgericht hat auch keine weiteren Umstände festgestellt, aus denen sich ein immaterieller Schaden ergäbe. Die Revision zeigt insoweit keinen übergangenen Vortrag auf (unter cc)).

aa) Der Gerichtshof hat in seiner jüngeren Rechtsprechung unter Bezugnahme auf ErwG 85 DSGVO (vgl. ferner ErwG 75 DSGVO) klargestellt, dass schon der - selbst kurzzeitige - Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden darstellen kann, ohne dass dieser Begriff des "immateriellen Schadens" den Nachweis zusätzlicher spürbarer negativer Folgen erfordert (EuGH, Urteil vom 4. Oktober 2024 - C-200/23, juris Rn. 145, 156 i.V.m. 137 - Agentsia po vpisvaniyata; Senatsurteil vom 18. November 2024 - VI ZR 10/24, DB 2024, 3091 Rn. 30 mwN)

Freilich muss auch insoweit die betroffene Person den Nachweis erbringen, dass sie einen solchen - d.h. in einem bloßen Kontrollverlust als solchem bestehenden - Schaden erlitten hat (vgl. EuGH, Urteil vom 20. Juni 2024 - C-590/22, DB 2024, 1676 Rn. 33 - PS GbR; Senatsurteil vom 18. November 2024 - VI ZR 10/24, DB 2024, 3091 Rn. 31 mwN). Ist dieser Nachweis erbracht, steht der Kontrollverlust also fest, stellt dieser selbst den immateriellen Schaden dar und es bedarf keiner sich daraus entwickelnden besonderen Befürchtungen oder Ängste der betroffenen Person; diese wären lediglich geeignet, den eingetretenen immateriellen Schaden noch zu vertiefen oder zu vergrößern (Senatsurteil vom 18. November 2024 - VI ZR 10/24, DB 2024, 3091 Rn. 31).

Weder den Feststellungen des Berufungsgerichts noch den Angaben in der Klageschrift, auf die die Revision verweist, ist zu entnehmen, dass der Kläger aufgrund der Verwendung seiner E-Mail-Adresse zur Übersendung der Werbe-E-Mail am 20. März 2020 einen Kontrollverlust über seine personenbezogenen Daten erlitten hätte. Ein Kontrollverlust könnte allenfalls dann vorliegen, wenn der Beklagte die Daten des Klägers mit der Übersendung der Werbe-E-Mail zugleich Dritten zugänglich gemacht hätte. Das war aber nicht der Fall (zu den Voraussetzungen eines Kontrollverlusts auch BAG, DB 2024, 3114 Rn. 18).

bb) Wenn ein Kontrollverlust nicht nachgewiesen werden kann, reicht die begründete Befürchtung einer Person, dass ihre personenbezogenen Daten aufgrund eines Verstoßes gegen die Verordnung von Dritten missbräuchlich verwendet werden, aus, um einen Schadensersatzanspruch zu begründen (vgl. EuGH, Urteil vom 25. Januar 2024 - C-687/21, CR 2024, 160 Rn. 67 - MediaMarktSaturn; Senatsurteil vom 18. November 2024 - VI ZR 10/24, DB 2024, 3091 Rn. 32 mwN). Die Befürchtung samt ihrer negativen Folgen muss dabei ordnungsgemäß nachgewiesen sein (vgl. EuGH, Urteil vom 20. Juni 2024 - C-590/22, DB 2024, 1676 Rn. 36 - PS GbR; Senatsurteil vom 18. November 2024 - VI ZR 10/24, DB 2024, 3091 Rn. 32 mwN). Demgegenüber genügt die bloße Behauptung einer Befürchtung ohne nachgewiesene negative Folgen ebenso wenig wie ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten (vgl. EuGH, Urteile vom 20. Juni 2024 C-590/22, DB 2024, 1676 Rn. 35 - PS GbR; Senatsurteil vom 18. November 2024 - VI ZR 10/24, DB 2024, 3091 Rn. 32 mwN).

Die Revision verweist hierzu auf Vortrag des Klägers, aus dem sich die Befürchtung ergebe, der Beklagte werde die E-Mail-Adresse des Klägers auch Dritten zugänglich machen, da er sie bereits unbefugt (gegenüber dem Kläger) verwendet habe. Damit legt der Kläger aber nur die - im Übrigen aus sich heraus nicht ohne Weiteres nachvollziehbare - Befürchtung weiterer Verstöße gegen die Datenschutz-Grundverordnung durch den Beklagten dar. Diese könnten unter Umständen zu eigenständigen Schadensersatzansprüchen führen. Ein sich daraus gegebenenfalls ergebender Kontrollverlust hätte seine Ursache aber nicht in dem streitgegenständlichen Verstoß. Auch die von der Revision angeführte Abwehr der unerwünschten Werbung rechtfertigt den behaupteten Eindruck eines Kontrollverlusts für sich genommen nicht.

cc) Das Berufungsgericht hat ausgeführt, der Kläger habe zu einer objektiv nachvollziehbaren Beeinträchtigung persönlichkeitsbezogener Belange nicht hinreichend vorgetragen. Demgegenüber macht die Revision geltend, ein immaterieller Schaden liege in der Missachtung des Klägers, die sich auch in der fehlenden Reaktion des Beklagten auf die E-Mail des Klägers vom 20. März 2020 und auf ein gleichlautendes Fax vom 20. April 2020 zeige.

Die Übersendung der Werbe-E-Mail begründet allenfalls den gerügten Verstoß gegen die Datenschutz-Grundverordnung. Dieser reicht allein nicht aus, um zugleich einen immateriellen Schaden im Sinne des Art. 82 Abs. 1 DSGVO zu begründen (vgl. EuGH, Urteil vom 11. April 2024 - C-741/21, VersR 2024, 1147 Rn. 18 f., 30, 37, 43 - juris, zur Direktwerbung per E-Mail trotz Widerspruchs). Die - durch Übersendung der Werbe-E-Mail erfolgte - Kontaktaufnahme als solche ist nicht ehrverletzend (vgl. Senatsurteil vom 10. Juli 2018 - VI ZR 225/17, BGHZ 219, 233 Rn. 14 mwN). Die unterbliebene Reaktion des Beklagten auf die E-Mail vom 20. April 2019 und das Fax vom 6. April 2020 könnte einen immateriellen Schaden des Klägers allenfalls vertiefen, aber nicht begründen.

Den Volltext der Entscheidung finden Sie hier:

VG Berlin
Urteil vom 02.10.2024
1 K 251/22

Das VG Berlin hat entschieden, dass ein allgemeines Zurückbehaltungsrecht nach § 273 Abs. 1 BGB einem Aukunftsanspruch aus Art 15 DSGVO nicht entgegengehalten werden kann. Nach Ansicht des Gerichts handelt es sich bei § 273 Abs. 1 BGB nicht um eine zulässige Beschränkung im Sinne von Art. 23 Abs. 1 DSGVO.

Aus den Entscheidungsgründen:
II. Diese Voraussetzungen liegen hier vor, weil die Klägerin mit der der Beschwerdeführerin erst am 4. März 2022 erteilten Auskunft gegen Art. 15 Abs. 1 Hs. 2 Var. 1 i.V.m. Art. 12 Abs. 3 Satz 1 DS-GVO verstoßen hat. Die Klägerin war gegenüber der Beschwerdeführerin zur Auskunftserteilung bis zum 22. Januar 2022 verpflichtet (vgl. hierzu unter 1.), hat die begehrte Auskunft jedoch verspätet erteilt (vgl. hierzu unter 2.).

1. Nach Art. 15 Abs. 1 Hs. 2 Var. 1 DS-GVO hat die betroffene Person gegenüber dem Verantwortlichen einer Verarbeitung personenbezogener Daten das Recht auf Auskunft über diese personenbezogenen Daten.

Zur Wahrung des Auskunftsrechts ist es erforderlich, dass der Betroffene eine vollständige Übersicht der Daten erhält, die Gegenstand der Verarbeitung sind, in verständlicher Form (vgl. EuGH, Urteil vom 17. Juli 2014 – C-141/12 und C-372/12, ZD 2014, 515, 518). Sinn und Zweck des Auskunftsanspruchs aus Art. 15 Abs. 1 DS-GVO ist es, wie sich unter anderem aus Erwägungsgrund 63 zur DS-GVO ergibt, den Betroffenen in die Lage zu versetzen, von einer Verarbeitung ihn betreffender personenbezogener Daten Kenntnis zu erhalten, um im Folgenden nicht nur die Richtigkeit dieser Daten, sondern auch die Zulässigkeit ihrer Verarbeitung überprüfen und ggf. die ihm nach den Art. 16 ff. DS-GVO zustehenden Rechte – beispielweise auf Löschung oder Einschränkung der Verarbeitung der Daten – ausüben zu können (vgl. EuGH, Urteil vom 4. Mai 2023 – C-487 –, juris Rn. 33f.; vgl. auch: Bäcker, in: Kühling/Buchner, DS-GVO/BDSG, 4. Auflage, 2024, DS-GVO Art. 15 Rn. 32; Franck, in: Gola/Heckmann, DS-GVO/BDSG, 3. Auflage, 2022, DS-GVO Art. 15 Rn. 22; vgl. zum Vorstehenden: VG Berlin, Urteil vom 6. Februar 2024 – VG 1 K 187/21 –, juris Rn. 34).

Die Klägerin war gegenüber der Beschwerdeführerin aufgrund deren Auskunftsersuchens von 22. Dezember 2021 zu einer Auskunft im oben genannten Sinne verpflichtet. Die Beschwerdeführerin hat die Klägerin mit E-Mail vom 22. Dezember 2021, 15:34 Uhr, um Datenauskunft ersucht, als sie schrieb: „Please send me all my data before deleting the account“.

Anders als die Klägerin meint, stand der Verpflichtung zur Auskunftserteilung kein Zurückbehaltungsrecht nach § 273 Abs. 1 Bürgerliches Gesetzbuch (BGB) entgegen. Denn auf ein solches kann sich die Klägerin im Zusammenhang mit dem Auskunftsanspruch nach Art. 15 DS-GVO nicht berufen. § 273 Abs. 1 BGB ist hier nach Überzeugung der Einzelrichterin nicht anwendbar (offen gelassen: OLG Düsseldorf, NZG 2023, 1138 Rn. 30, das im Rahmen eines insolvenzrechtlichen Verfahrens bereits die Konnexität verneint; für den umgekehrten Fall im Ergebnis a.A. AG Wiesbaden, ZD 2022, 395 Rn. 20 ff., das die Anwendbarkeit des § 273 Abs. 1 BGB im Zusammenhang mit Art. 15 DS-GVO jedoch nicht thematisiert).

Hierfür sprechen zunächst, die divergierenden Schutzrichtungen des § 273 Abs. 1 BGB und des Art. 15 DS-GVO. Während § 273 Abs. 1 BGB der Schaffung eines Druckmittels zur Durchsetzung eines zivilrechtlichen Anspruchs dient (vgl. Krüger, in: Münchener Kommentar zum BGB, 9. Auflage, 2022, § 273 Rn. 3), ist Art. 15 DS-GVO Ausprägung des Schutzes personenbezogener Daten nach Art. 8 Abs. 2 Satz 2 der Charta der Grundrechte der Europäischen Union (GRCh) (vgl. Paal, in: Pauly/Paal, DS-GVO/BDSG, 3. Auflage, 2021, DS-GVO Art. 15 Rn. 3) und in seiner Anwendung in Deutschland auch des Grundrechts auf informationelle Selbstbestimmung aus Art. 2 Abs. 1 GG i.V.m. Art. 1 Abs. 1 GG.

Der Auskunftsanspruch aus der Datenschutzgrundverordnung hat per se keinerlei Bezug zu einer vertraglichen Beziehung und setzt eine solche auch nicht voraus – mag der Anspruch in einer Vielzahl von Fällen auch parallel zu einem vertraglichen Verhältnis der Beteiligten geltend gemacht werden.

Darüber hinaus spricht gegen eine Anwendbarkeit des im BGB geregelten Zurückbehaltungsrechts im Rahmen eines Auskunftsanspruchs nach Art. 15 DS-GVO, der Anwendungsvorrang des Gemeinschaftsrechts. Als unmittelbar in allen Mitgliedstaaten geltendes EU-Recht hat Art. 15 DS-GVO in seinem Anwendungsbereich Vorrang vor nationalem Recht (vgl. Artikel 288 Abs. 2 des Vertrags über die Arbeitsweise der Europäischen Union [AEUV]).

Das Auskunftsrecht nach Art. 15 DS-GVO kann nur unter den besonderen Voraussetzungen des Art. 23 DS-GVO beschränkt werden. Nach Art. 23 Abs. 1 DS-GVO können durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche oder der Auftragsverarbeiter unterliegt, unter anderem die Pflichten und Rechte gemäß den Artikeln 12 bis 22 im Wege von Gesetzgebungsmaßnahmen beschränkt werden, sofern eine solche Beschränkung den Wesensgehalt der Grundrechte und Grundfreiheiten achtet und in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme darstellt, die neben anderen Zielen (vgl. lit. a) bis h)) unter anderem Folgendes sicherstellt: i) den Schutz der betroffenen Person oder der Rechte und Freiheiten anderer Personen; j) die Durchsetzung zivilrechtlicher Ansprüche.

Zwar erfüllt § 273 Abs. 1 BGB das Tatbestandsmerkmal der Beschränkung, denn eine solche liegt auch dann vor, wenn die Ausübung eines Rechts zeitlich verzögert wird (vgl. European Data Protection Board, Leitlinien 10/2020 zu Beschränkungen nach Artikel 23 DSGVO, Fassung 2.1, 13. Oktober 2021 Rn. 8, abrufbar: https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/publikationen/EDSA/ 2020-10_EDSA_Leitlinien_Beschraenkungen-Artikel-23-DS-GVO.pdf, zuletzt abgerufen: 11. Oktober 2024 – im Folgenden: Leitlinien – Rn. 12).

Jedoch liegt im Hinblick auf § 273 Abs. 1 BGB kein Fall einer nach Art. 23 Abs. 1 DS-GVO zulässigen Beschränkung vor. Denn das Zurückbehaltungsrecht nach § 273 Abs. 1 BGB dient nicht der Sicherstellung eines der in Art. 23 Abs. 1 lit. a) bis j) DS-GVO genannten Ziele. In Betracht kommen hier nur Art. 23 Abs. 1 lit. i) Var. 2 (vgl. unter a.) und Art. 23 Abs. 1 lit. j) DS-GVO (vgl. unter b.).

a. Das Zurückbehaltungsrecht nach § 273 Abs. 1 BGB stellt nicht den Schutz der Rechte und Freiheiten anderer Personen i.S.d. Art. 23 Abs. 1 lit. i) Var. 2 DS-GVO sicher. Die Norm ist nach Überzeugung der Einzelrichterin im Interesse des effektiven Schutzes der Betroffenenrechte restriktiv auszulegen.

Hierfür spricht zunächst der Wortlaut, wonach eine Beschränkung der Betroffenenrechte zur „Sicherstellung“ des Schutzes der Rechte und Freiheiten anderer möglich ist. Das Zurückbehaltungsrecht nach § 273 Abs. 1 BGB geht jedoch über eine reine „Sicherstellung“ der Rechte anderer hinaus. Dessen Sinn und Zweck besteht vielmehr – wie bereits erwähnt – in der Schaffung eines Druckmittels zur Durchsetzung eines zivilrechtlichen Anspruchs (s.o.).

Für eine restriktive Auslegung des Art. 23 Abs. 1 lit. i) DS-GVO spricht zudem der systematische Vergleich mit den anderen Buchstaben des Art. 23 Abs. 1 (vgl. z.B. lit. a) die nationale Sicherheit; lit. b) die Landesverteidigung; lit. c) die öffentliche Sicherheit; lit. f) den Schutz der Unabhängigkeit der Justiz und den Schutz von Gerichtsverfahren). Die in den anderen Buchstaben des Art. 23 Abs. 1 DS-GVO benannten Schutzgüter zeigen, dass eine Beschränkung des Auskunftsrechts nach Art. 15 DS-GVO nur in besonders gewichtigen Fällen und zum Schutz hochrangiger (Rechts-)Güter zulässig sein soll (vgl. Leitlinien Rn. 8, die auf „wichtige Ziele“ Bezug nehmen), wozu ein vertragliches Zurückbehaltungsrecht nach Überzeugung der Einzelrichterin nicht zählt. Dementsprechend benennen die Leitlinien des European Data Protection Boards im Zusammenhang mit Art. 23 Abs. 1 lit. i) DS-GVO beispielhaft den Schutz eines Zeugen, Opfers oder Hinweisgebers im Rahmen eines Disziplinarverfahrens, der durch Beschränkung des Auskunftsrechts nach der DS-GVO vor Vergeltungsmaßnahmen des Auskunftsberechtigten geschützt werden soll (vgl. Leitlinien Rn. 34). In ähnlicher Weise wird in der Literatur darauf Bezug genommen, dass höherrangige, menschenrechtsrelevante Interessen, die Grundlage einer beschränkenden Rechtsvorschrift i.S.d. Art. 23 Abs. 1 lit. i) DS-GVO sein können (vgl. Paal, in: Pauly/Paal, DS-GVO/BDSG, 3. Auflage, 2021, DS-GVO Art. 23 Rn. 42).

Für eine restriktive Auslegung des Art. 23 Abs. 1 lit. i) DS-GVO spricht darüber hinaus der effektive Schutz der Betroffenenrechte. Würde eine Beschränkung des datenschutzrechtlichen Auskunftsanspruch zugunsten eines Druckmittels zur Durchsetzung zivilrechtlicher Ansprüche zugelassen, könnte dieses datenschutzrechtliche Betroffenenrecht weitgehend ausgehebelt werden (vgl. auch Bäcker, in: Kühling/Buchner, DS-GVO/BDSG, 4. Auflage, 2024, DS-GVO Art. 23 Rn. 33b, der sich aus diesem Grund gegen eine extensive Auslegung des Art. 23 Abs. 1 lit. j) ausspricht). In der Praxis führte dies etwa dazu, dass eine auskunftsberechtigte Privatperson, in die Lage versetzt würde, gegenüber einem Unternehmen, welches ggf. dauerhaft auf professionelle rechtliche Beratung zurückgreifen kann, nachweisen – und ggf. gerichtlich – durchsetzen zu müssen, dass die Voraussetzungen eines Zurückbehaltungsrechts im konkreten Fall nicht vorliegen. Gerade derartigen Hürden soll der Auskunftsanspruch nach Art. 15 DS-GVO jedoch nicht unterliegen, denn dieser soll den Betroffenen die Möglichkeit eröffnen, sich problemlos über die Verarbeitung der eigenen personenbezogenen Daten zu informieren (vgl. Paal, in: Pauly/Paal, DS-GVO/BDSG, 3. Auflage, 2021, DS-GVO Art. 15 Rn. 3).

b. Das Zurückbehaltungsrecht nach § 273 Abs. 1 BGB stellt auch nicht die Durchsetzung zivilrechtlicher Ansprüche i.S.d. lit. j) sicher. Die Regelung des lit. j) ist weitestgehend schon von der in lit. i) getroffenen Regelung abgedeckt und stellt hierzu einen Sonderfall dar. Sie entfaltet eigenständige Bedeutung etwa im Bereich der Zwangsvollstreckung oder der Gewinnung von Beweismitteln für einen Zivilprozess (vgl. zum Vorstehenden: Bertermann, in: Ehmann/Selmayr, DS-GVO, 3. Auflage, 2024, DS-GVO Art. 23 Rn. 13; Bäcker, in: Kühling/Buchner, DS-GVO/BDSG, 4. Auflage, 2024, DS-GVO Art. 23 Rn. 33c; Paal, in: Pauly/Paal, DS-GVO/BDSG, 3. Auflage, 2021, DS-GVO Art. 23 Rn. 43).

Aus den o.g. Gründen ist auch Art. 23 Abs. 1 lit. j) DS-GVO restriktiv auszulegen (Bäcker, in: Kühling/Buchner, DS-GVO/BDSG, 4. Auflage, 2024, DS-GVO Art. 23 Rn. 33b). Die Norm dient weder dem Zweck, ein informationelles Gleichgewicht zwischen Prozessbeteiligten (vgl. Bäcker, in: Kühling/Buchner, DS-GVO/BDSG, 4. Auflage, 2024, DS-GVO Art. 23 Rn. 33d), noch sonst ein (zivilrechtliches) Gleichgewicht zwischen den Parteien herzustellen oder einer Partei ein Druckmittel zur Durchsetzung zivilrechtlicher Rechte zu verschaffen (s.o.).

2. Die Auskunftserteilung durch die Klägerin gegenüber der Beschwerdeführerin am 4. März 2022 war verspätet. Nach Art. 12 Abs. 3 Sätze 1 bis 3 DS-GVO stellt der Verantwortliche der betroffenen Person Informationen über die auf Antrag gemäß den Artikeln 15 bis 22 ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung. Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist. Der Verantwortliche unterrichtet die betroffene Person innerhalb eines Monats nach Eingang des Antrags über eine Fristverlängerung, zusammen mit den Gründen für die Verzögerung.

Die der Beschwerdeführerin erteilte Auskunft war nicht fristgerecht im Sinne des Art. 12 Abs. 3 Satz 1 DS-GVO. Die Monatsfrist nach Satz 1 der Norm ist offenkundig nicht gewahrt. Der Auskunftsanspruch der Beschwerdeführerin ist bei der Klägerin erstmals mit E-Mail vom 22. Dezember 2021,15:34 Uhr, eingegangen, als sie schrieb: „Please send me all my data before deleting the account“. Nach Überzeugung der Einzelrichterin geht bereits aus dieser Formulierung – unabhängig von dem durch die Beschwerdeführerin ebenfalls verwendeten Begriff des „subject access requests“, von dem die Klägerin vorträgt, dass ihr Mitarbeiter diesen nicht verstanden habe, eine Auskunftsbegehren i.S.d. Art. 15 Abs. 1 DS-GVO klar und eindeutig hervor. In der Folge hat die Beschwerdeführerin ihr Auskunftsbegehren gegenüber der Klägerin mehrfach wiederholt – so etwa in einer E-Mail vom 23. Dezember 2021, 17:15 Uhr, in der es heißt: „(…) Please send me all of the data that you have collected on me (…)“ oder in einer E-Mail vom 28. Dezember 2021, 00:51 Uhr, in der es heißt: „I am entitled to my data under GDPR. If you refuse to provide this data I will ask the BfDI to fine you for breaking European law“. Unter Berücksichtigung dieser eindeutigen Formulierungen und des Umstandes, dass die Klägerin die Kommunikation mit der Beschwerdeführerin offenkundig unproblematisch in der englischen Sprache geführt hat, ist nach Überzeugung der Einzelrichterin nicht glaubhaft, dass sie das Auskunftsbegehren der Beschwerdeführerin nicht verstanden oder übersehen hätte.

Es liegt auch kein Fall der Verlängerung der Auskunftsfrist i.S.d. Art. 12 Abs. 3 Satz 2, 3 DS-GVO vor. Den offenkundig hat die Klägerin die Auskunftsfrist gegenüber der Beschwerdeführerin nicht verlängert und es ist auch nicht ersichtlich, dass dies erforderlich gewesen wäre; im Übrigen beruft sich die Klägerin hierauf auch nicht.

III. Die Beklagte hat das ihr im Rahmen des Art. 58 Abs. 2 DS-GVO eröffnete Ermessen rechtmäßig ausgeübt und sich für eine Verwarnung i.S.d. des lit. b) entschieden.

Ist die Behörde ermächtigt, nach ihrem Ermessen zu handeln, hat sie ihr Ermessen entsprechend dem Zweck der Ermächtigung auszuüben und die gesetzlichen Grenzen des Ermessens einzuhalten (vgl. § 40 VwVfG). Im Sinne des eingeschränkten gerichtlichen Prüfungsumfanges des durch die Verwaltung ausgeübten Ermessens nach § 114 VwGO sind nach der Rechtsprechung der Ermessensausfall, die Ermessensunterschreitung, die Ermessensüberschreitung sowie der Ermessensfehlgebrauch als Ermessensfehler zu prüfen (vgl. Wolff, in: Sodan/Ziekow, VwGO, 5. Auflage, 2018, § 114 Rn. 84). Auch im Rahmen der Ermessensentscheidung hat die Verwaltung den Grundsatz der Verhältnismäßigkeit zu wahren (vgl. Wolff, in: Sodan/Ziekow, VwGO, 5. Auflage, 2018, § 114 Rn. 159). Ein Ermessensfehler liegt unter anderem vor, wenn die Behörde bei ihrer Ermessensentscheidung nicht alle diejenigen Gesichtspunkte in den Blick genommen und zutreffend gewürdigt hat, die bei einer Ermessensentscheidung zu beachten sind (vgl. BVerwG, NVwZ 2000, 688).

Gemessen an diesem Maßstab liegen nach Überzeugung der Einzelrichterin keine Ermessensfehler vor. Die Beklagte hat alle relevanten Gesichtspunkte beachtet, insbesondere hat sie den Verstoß der Klägerin als nicht schwerwiegend eingestuft und in ihrer Abwägungsentscheidung ihre Erwartung berücksichtigt, dass die Klägerin sich künftig an datenschutzrechtliche Vorschriften halten werde.

Der Ausspruch einer Verwarnung gegenüber der Klägerin ist zudem verhältnismäßig. Entgegen der Auffassung der Klägerin war die Beklagte nicht verpflichtet, anstelle der Verwarnung als milderes gleich geeignetes Mittel eine Anweisung nach Art. 58 Abs. 2 lit. c) DS-GVO auszusprechen. Denn die Anweisung stellt die gegenüber der Verwarnung schärfere und nicht mildere Maßnahme dar. Dies geht bereits systematisch aus dem Aufbau des Art. 58 Abs. 2 DS-GVO hervor, der mit den Buchstaben a) ff. eine Steigerung in der Intensität der Maßnahmen erkennen lässt. So sieht etwa lit. a) eine Warnung in Bezug auf voraussichtliche Verstöße als eingriffsschwächste Maßnahme vor, während lit. f) die Verhängung einer vorübergehenden oder endgültigen Beschränkung der Verarbeitung, einschließlich eines Verbots, ermöglicht (vgl. zum Vorstehenden: Sven Polenz, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 58 Rn. 6; vgl. auch: Selmayr, in: Ehmann/Selmayr, DS-GVO, 3. Auflage, 2024, DS-GVO Art. 58 Rn. 18 ff.; Nguyen, in: Gola/Heckmann, DS-GVO/BDSG, 3. Auflage, 2022, DS-GVO Art. 58 Rn. 14). Dass die Verwarnung das gegenüber der Anweisung mildere Mittel ist, ergibt sich auch daraus, dass die Verwarnung zwar einen Verwaltungsakt darstellt, aber – anders als die Anweisung – keine unmittelbare Rechtspflicht auslöst, die Verarbeitung abzustellen oder zu ändern. Wegen der beschränkten Feststellungswirkung ist sie auch nicht vollstreckbar und als solche nicht bußgeldbewehrt, sondern kann lediglich bei späterer Verhängung einer Anweisung wegen einer anderen Maßnahme als bußgelderhöhender Faktor berücksichtigt werden (vgl. Selmayr, in: Ehmann/Selmayr, DS-GVO, 3. Auflage, 2024, DS-GVO Art. 58 Rn. 20; Körffer, in: Pauly/Paal, DS-GVO/BDSG, 3. Auflage, 2021, DS-GVO Art. 58 Rn. 18; Sven Polenz, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 58 Rn. 29). Demgegenüber ist die Anweisung vollstreckbar und nach Art. 83 Abs. 5 lit. e) DS-GVO im Falle ihrer Nichtbefolgung bußgeldbewehrt.

Den Volltext der Entscheidung finden Sie hier:

EuG
Urteil vom 08.01.2025
T-354/22
Bindl ./. EU-Kommission

Das EuG hat entschieden, dass die EU-Kommission einem Nutzer der Website der Konferenz zur Zukunft Europas Schadensersatz für die datenschutzwidrige Übermittlung personenbezogener Daten in die USA zahlen muss.

Sowohl der Kläger wie auch die EU-Kommission haben Rechtsmittel gegen die Entscheidung des EuG eingelegt, so das der EuGH Gelegenheit erhält, die Sache zu entscheiden.

Die Pressemitteilung des Gerichts_
Das Gericht verurteilt die Kommission, einem Besucher der Website der Konferenz zur Zukunft Europas, die von der Kommission betrieben wird, den durch die Übermittlung personenbezogener Daten an die Vereinigten Staaten entstandenen Schaden zu ersetzen

Mit dem auf der Website von „EU Login“ angezeigten Hyperlink „Sign in with Facebook“ hat die Kommission die Voraussetzungen dafür geschaffen, dass die IP-Adresse des Betroffenen an das amerikanische Unternehmen Meta Platforms, Inc. übermittelt wurde.

Ein in Deutschland lebender Bürger wirft der Kommission vor, sein Recht auf Schutz seiner personenbezogenen Daten verletzt zu haben, als er 2021 und 2022 die von der Kommission betriebene Website der Konferenz zur Zukunft Europas1 besucht habe. Er hatte sich über diese Website zu der Veranstaltung „GoGreen“ angemeldet und hierzu den Authentifizierungsdienst „EU Login“ der Kommission verwendet, bei dem er sich für die Anmeldeoption „Mit Facebook anmelden“ entschieden hatte.

Der Betroffene meint, bei seinen Besuchen der Website der Konferenz zur Zukunft Europas seien ihn betreffende personenbezogene Daten an Empfänger in den Vereinigten Staaten übermittelt worden, insbesondere seine IPAdresse sowie Browser- und Geräteinformationen.

Ihn betreffende personenbezogene Daten seien zum einen an das amerikanische Unternehmen Amazon Web Services übermittelt worden, das das Content Delivery Network „Amazon CloudFront“ betreibe, über das die betreffende Website laufe, und zum anderen an das amerikanische Unternehmen Meta Platforms, Inc., nämlich bei seiner Anmeldung zu der Veranstaltung „GoGreen“ über sein Facebook-Konto.

Die Vereinigten Staaten hätten aber kein angemessenes Schutzniveau. Die ihn betreffenden personenbezogenen Daten seien deshalb der Gefahr eines Zugriffs durch die Sicherheits- und Nachrichtendienste der Vereinigten Staaten ausgesetzt. Die Kommission habe keine geeigneten Schutzmaßnahmen genannt, die die Datenübermittlungen zu rechtfertigen vermöchten.

Der Betroffene beantragt als Ersatz des immateriellen Schadens, der ihm durch die streitigen Datenübermittlungen entstanden sei, 400 Euro. Er beantragt ferner, die Übermittlungen der ihn betreffenden personenbezogenen Daten für nichtig zu erklären, festzustellen, dass die Kommission es rechtswidrig unterlassen habe, zu einem Antrag auf Auskunft Stellung zu nehmen, und die Kommission zu verurteilen, an ihn als Ersatz des immateriellen Schadens, der ihm durch die Verletzung seines Auskunftsrechts entstanden sei, 800 Euro zu zahlen.

Das Gericht weist den Antrag auf Nichtigerklärung als unzulässig ab und stellt fest, dass der Rechtsstreit, was den Antrag auf Feststellung der Untätigkeit angeht, in der Hauptsache erledigt ist. Es weist auch den auf die Verletzung des Auskunftsrechts gestützten Schadensersatzantrag zurück, weil der behauptete immaterielle Schaden nicht vorliegt.

Den auf die streitigen Datenübermittlungen gestützten Schadensersatzantrag weist das Gericht zurück, soweit es um die Datenübermittlungen über „Amazon CloudFront“ geht.

Das Gericht stellt insoweit fest, dass bei einer der streitigen Verbindungen die Daten nicht an die Vereinigten Staaten, sondern nach dem Prinzip der Proximität an einen Server4 in München übermittelt worden sind. Nach dem Vertrag, den die Kommission mit dem Betreiber von „Amazon CloudFront“, der luxemburgischen Gesellschaft Amazon Web Services EMEA SARL, geschlossen hat, musste Letztere gewährleisten, dass die Daten im Ruhezustand und bei der Übermittlung in Europa bleiben.

Bei einer anderen Verbindung ist die Weiterleitung an Server in den Vereinigten Staaten, die durch den RoutingMechanismus von „Amazon CloudFront“ erfolgte, auf das Verhalten des Betroffenen selbst zurückzuführen. Dieser gab sich nämlich mit Hilfe einer technischen Einstellung für jemanden aus, der sich in den Vereinigten Staaten befand.

Soweit es um Anmeldung des Betroffenen zu der Veranstaltung „GoGreen“ geht, stellt das Gericht hingegen fest, dass die Kommission mit dem Hyperlink „Sign in with Facebook“, der auf der Website von „EU Login“ angezeigt wird, die Voraussetzungen für die Übermittlung der IP-Adresse des Betroffenen an Facebook geschaffen hat. Die IPAdresse des Betroffenen gehört zu den personenbezogenen Daten. Sie wurde mit dem Hyperlink „Sign in with Facebook“ an die Meta Platforms, Inc., eine Gesellschaft mit Sitz in den Vereinigten Staaten, übermittelt. Diese Datenübermittlung ist der Kommission zuzurechnen.

Zum Zeitpunkt dieser Datenübermittlung (30. März 2022) gab es aber keinen Beschluss, mit dem festgestellt worden wäre, dass die Vereinigten Staaten für die personenbezogenen Daten der Unionsbürger ein angemessenes Schutzniveau geboten hätten. Die Kommission hat auch nicht dargetan, ja nicht einmal behauptet, dass es eine geeignete Garantie gegeben hätte, etwa eine Standarddatenschutzklausel oder eine Vertragsklausel5 . Für die Anzeige des Hyperlinks „Sign in with Facebook“ auf der Website von „EU Login“ galten schlicht und einfach die Nutzungsbedingungen von Facebook.

Mithin hat die Kommission die Voraussetzungen für die Übermittlung personenbezogener Daten an ein Drittland durch ein Organ, eine Einrichtung oder eine Stelle der Union nicht beachtet.

Das Gericht stellt fest, dass die Kommission einen hinreichend qualifizierten Verstoß gegen eine Rechtsnorm, die bezweckt, dem Einzelnen Rechte zu verleihen, begangen hat. Der Betroffene hat auch einen immateriellen Schaden erlitten. Er befindet sich nämlich in einer Lage, in der er nicht sicher ist, wie die ihn betreffenden personenbezogenen Daten, insbesondere seine IP-Adresse, verarbeitet werden. Außerdem besteht zwischen dem von der Kommission begangenen Verstoß und dem immateriellen Schaden, der dem Betroffenen entstanden ist, ein hinreichend unmittelbarer Kausalzusammenhang.

Da die Voraussetzungen der außervertraglichen Haftung der Union erfüllt sind, verurteilt das Gericht die Kommission, an den Betroffenen, wie von ihm beantragt, 400 Euro zu zahlen.

Den Volltext der Entscheidung finden Sie hier:

OLG Frankfurt
Beschluss vom 02.07.2024
6 U 41/24

Das OLG Frankfurt hat im Rahmen eines Hinweisbeschlusses ausgeführt, dass der Auskunftsanspruch aus Art. 15 DSGVO gegen ein soziales Netzwerk (hier: X / Twitter) auch durch ein Self-Service-Tool vollständig erfüllt werden kann.

Aus den Entscheidungsgründen:
1. Das Landgericht ist zutreffend davon ausgegangen, dass die Beklagte durch die Bereitstellung eines Self-Service-Tool sowie das Schreiben vom 18.04.2023 (Anlage K 3) den Auskunftsanspruch des Klägers nach § 15 II DSGVO erfüllt hat.

Die Bereitstellung des Selbstbedienungstools führt dazu, dass der Kläger die Auskünfte an seinem Wohnsitz abrufen kann, wenn er dies will. Der Auskunftserfolg tritt damit auch dann am rechten Ort ein, wenn man - mit der Berufungsbegründung - zugrunde legt, dass Erfüllungsort der Sitz des Klägers ist.

Anderes ergibt sich (entgegen der Berufungsbegründung) auch nicht aus Erwägungsgrund 63 zur DSGVO. Dieser lautet:

„Eine betroffene Person sollte ein Auskunftsrecht hinsichtlich der sie betreffenden personenbezogenen Daten, die erhoben worden sind, besitzen und dieses Recht problemlos und in angemessenen Abständen wahrnehmen können, um sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können. Dies schließt das Recht betroffener Personen auf Auskunft über ihre eigenen gesundheitsbezogenen Daten ein, etwa Daten in ihren Patientenakten, die Informationen wie beispielsweise Diagnosen, Untersuchungsergebnisse, Befunde der behandelnden Ärzte und Angaben zu Behandlungen oder Eingriffen enthalten. Jede betroffene Person sollte daher ein Anrecht darauf haben zu wissen und zu erfahren, insbesondere zu welchen Zwecken die personenbezogenen Daten verarbeitet werden und, wenn möglich, wie lange sie gespeichert werden, wer die Empfänger der personenbezogenen Daten sind, nach welcher Logik die automatische Verarbeitung personenbezogener Daten erfolgt und welche Folgen eine solche Verarbeitung haben kann, zumindest in Fällen, in denen die Verarbeitung auf Profiling beruht. Nach Möglichkeit sollte der Verantwortliche den Fernzugang zu einem sicheren System bereitstellen können, der der betroffenen Person direkten Zugang zu ihren personenbezogenen Daten ermöglichen würde. Dieses Recht sollte die Rechte und Freiheiten anderer Personen, etwa Geschäftsgeheimnisse oder Rechte des geistigen Eigentums und insbesondere das Urheberrecht an Software, nicht beeinträchtigen. Dies darf jedoch nicht dazu führen, dass der betroffenen Person jegliche Auskunft verweigert wird. Verarbeitet der Verantwortliche eine große Menge von Informationen über die betroffene Person, so sollte er verlangen können, dass die betroffene Person präzisiert, auf welche Information oder welche Verarbeitungsvorgänge sich ihr Auskunftsersuchen bezieht, bevor er ihr Auskunft erteilt.“

Der Erwägungsgrund 63 besagt somit nirgends, dass der Fernzugang (hier: Selbstbedienungstool) nur dann erfüllungstauglich wäre, wenn der Nutzer mit dieser Art der Erfüllung einverstanden ist. Auch gebietet er keine solche Folgerung. Die Bereitstellung eines angemessenen Fernzugangs über ein Self-Service-Tool wird daher als ausreichend angesehen, um den Anspruch auf Bereitstellung einer Kopie der personenbezogenen Daten gemäß Art. 15 Abs. 3 Satz 1 DSGVO zu erfüllen (OLG Dresden, Urteil vom 5. Dezember 2023, Az. 4 U 1094/23, Rn. 65, juris; OLG München, Vfg. vom 29.01.2024, 14 U 4826/23 - nicht veröffentlicht; LG Bonn, Urteil vom 8. März 2023, Az.: 17 O 165/22, GRUR-RS 2023, 3854 Rn. 59 ff.; LG Bonn, Urteil vom 3. Februar 2023, Az.: 2 O 170/22, GRUR-RS 2023, 4566, Rn. 54 ff.; LG Bonn, Urteil vom 3. Februar 2023, Az.: 18 O 127/22, GRUR-RS 2023, 4565, Rn. 56 f.; LG Paderborn, Urteil vom 19. Dezember 2022, Az.: 3 O 99/22, GRUR-RS 2022, 39349, Rn. 162 ff.; LG Paderborn, Urteil vom 13. Dezember 2022, Az.: 2 O 212/22, GRUR-RS 2022, 41028 Rn. 176 ff.; LG München I, Urteil vom 2. September 2021, Az.: 23 O 10931/20, juris Rn. 23 f.; Krämer/Burghoff, ZD 2022, 428, 432; Paal, in: Paal/Pauly DSGVO, 3. Aufl. 2021, Art. 15 Rn. 38 iVm Rn. 14; Franck, in: Gola/Heckmann DSGVO, 3. Aufl. 2022, Art. 15 Rn. 40.), sie ist sogar die gewünschte Form der Übermittlung

Soweit eine einzelne Stimme (Schmidt-Wudy, BeckOK Datenschutzrecht, Art. 15 DS- GVO Rn. 84) der Auffassung ist, ein Fernzugriffssystem ersetze nur dann die Übersendung der Auskunft bzw. Datenkopie im Wege der Schickschuld per Post oder auf elektronischem Wege, wenn sich der Anspruchsteller hiermit einverstanden erkläre, fehlt es hierfür ebenso an einer tragfähigen Begründung wie in der Entscheidung des LAG Niedersachsen (NZA-RR 2020, 571, Rnr. 46), die ohne Begründung diese Literaturstelle zitiert.

Die Verweisung auf den Fernzugang kann im Einzelfall zwar dazu führen, dass der betroffenen Person faktisch die Auskunft verweigert wird: Beispielsweise haben auch Menschen, die „analog leben“ oder/und keine nennenswerten Fähigkeiten im Umgang mit IT-gestützten Portalen haben, ein Recht auf Auskunft nach Art. 15 DSGVO, dieses könnte untergraben werden, wenn man sie auf das ihnen unzugängliche Selbstbedienungstool verwiese. Darüber muss vorliegend jedoch nicht entschieden werden, denn wer sich bei der Beklagten registriert, lebt denknotwendig nicht (mehr) analog und lässt auch nicht erwarten, im Umgang mit IT-gestützten Portalen unbeschlagen zu sein.

2. Es kann dahinstehen, ob der Anwendungsbereich von Art. 82 Abs. 1 DSGVO auf Schäden infolge der reinen Datenverarbeitung im Sinne von Art. 4 Nr. 2 DSGVO begrenzt ist und daher ein Verstoß gegen Art. 15 (oder Art. 34) DSGVO überhaupt einen Schadensersatzanspruch zur Folge hat. Der Kläger hat das Vorliegen eines Schadens nämlich nicht substantiiert vorgetragen.

a) Auch wenn - wie Erwägungsgrund 146 unterstreicht - der Schadensbegriff im Ansatz weit zu verstehen ist, ergibt schon die Zählung der Tatbestandsmerkmale des Art. 82 Abs. 1 DSGVO eine Anzahl von drei (so auch EuGH C-300/21), nämlich (1) Verstoß, (2) Schaden, (3) Kausalität.

Der Verstoß (Herbeiführung des Kontrollverlustes an den Daten) ist schon deshalb nicht bereits der Schaden und führt auch nicht „automatisch“ zu einem Schaden (EuGH, Urt. v. 04.05.2023, C-300/21 - Österreichische Post). Da die Erwägungsgründe besagen, dass der Schaden "erlitten" sein muss, kann der Kontrollverlust (als rein objektiver Befund) nicht für sich allein bereits der Schaden sein (OLG Hamm, 7 U 19/23 Rn 72 ff).

Dergleichen hat insbesondere der Gerichtshof der Europäischen Union nicht postuliert, sondern im Gegenteil (EuGH 5.12.2023, C-807/21 Rn 82) den „Verlust der Kontrolle“ in Erwägungsgrund 85 als Beispiel für Umstände gesehen, die „erhebliche wirtschaftliche oder gesellschaftliche Nachteile“ darstellen können. Daraus leitet der EuGH aber gerade nicht her, dass schon der Kontrollverlust ohne weiteres der Schaden „sei“, sondern lediglich: dass der Schaden nicht eine bereits eingetretene „missbräuchliche Verwendung der betreffenden Daten zum Nachteil“ der betroffenen Person voraussetzt, sondern die Befürchtung (Rn 81) zukünftiger missbräuchlicher Verwendung ausreichen kann (vgl. auch EuGH, U. v. 20.6.2024 - C.590/22, juris Rn. 32 f.). Ein Schadensersatzanspruch besteht auch bei einem Kontrollverlust über personenbezogenen Daten nur, sofern die betroffene Person darlegt und bei Bedarf nachweist, dass sie tatsächlich einen Schaden - so geringfügig er auch sein mag - erlitten hat (EuGH, U. v. 20.6.2024 - C.590/22, juris Rn. 33 mwN), Die Fokussierung des EuGH auf den Begriff der „Befürchtung“ (englisch: „fear“, französisch: „crainte“) wäre überflüssig, wenn in dem objektiven Vorgang des Kontrollverlustes bereits ein Schaden im Sinne von § 82 Abs. 1 DSGVO läge.

Vorliegend ist das Landgericht zutreffend zum Schluss gelangt, dass nach dem Klägervortrag ein (hier unterstellter) Verstoß der Beklagten in keiner Weise irgendeine persönlich erlebte belastende Folge kausal verursacht hat. Wie gezeigt, ist der bloße Kontrollverlust als solcher nicht „der“ Schaden des Art. 82 Abs. 1 DSGVO. Er führt auch nicht etwa gleichsam „automatisch“ zu „einem Zustand, in dem sich die Klägerseite berechtigt wie nachvollziehbar in Sorge um den Verbleib sowie einen möglichen Missbrauch ihrer Daten“ befinden würde: Die für Art. 82 Abs. 1 DSGVO erforderliche Befürchtung (deutlicher englisch „fear“ und französisch „crainte“, also blanke „Furcht“) besteht nicht allein in einer logischen Gedankenoperation des Betrachters oder der Klagepartei, sondern wäre ein (negatives) Gefühl der Klagepartei, das bestritten und von dieser zu beweisen war - und anhand objektiver Umstände nachvollziehbar sein muss.

Jedenfalls hat das Landgericht zu Recht den klägerischen Vortrag als pauschal und substanzlos angesehen (“Zustand des Unwohlseins und der Sorge des Datenmissbrauchs“). Das ist angesichts des formelhaften und erkennbar nicht individualisierten Zuschnitts dieses Vorbringens nicht zu beanstanden; hiergegen erinnert die Berufungsbegründung auch nichts. Hinzu kommt, dass nicht nachvollziehbar ist, wieso im Fall einer mutmaßlichen Verletzung der Auskunftspflicht - in der bisher überhaupt kein Indiz für einen Datenabfluss bestanden hat - der „Zustand des Unwohlseins und der Sorge des Datenmissbrauchs“ gegeben sein kann.

3. Da sich die Bemessung der Höhe des Schadensersatzes nach nationalem Recht richtet (vgl. z.B. EuGH, U. v.26.2024 - C-182/22, juris Rn. 33), ist ein Anspruch auf Schadensersatz insoweit auch wegen überwiegenden Mitverschuldens (§ 254 BGB) ausgeschlossen, da der Kläger von der naheliegenden Möglichkeit, sich über das Selbstbedienungstool zu informieren, keinen Gebrauch gemacht hat. Eine Rechtsgrundlage für den Ersatz der außergerichtlichen Kosten ist nicht ersichtlich. Insbesondere lag kein Verzug vor. Die Beauftragung des Prozessbevollmächtigten des Klägers erfolgt vor der erstmaligen Geltendmachung des Rechts aus Art. 15 DSGVO gegenüber der Beklagten.

Ein möglicher Verzug der Beklagten - der wegen Art. 12 III DSGVO vor Ablauf einer Monatsfrist wegen der von der Beklagten geschilderten Vielzahlt von Anfragen schwer zu begründen ist - wäre daher nicht kausal für den geltend gemachten Schaden in Form der Beauftragung des Prozessbevollmächtigten des Klägers.

4. Der Senat beabsichtigt, den Streitwert entgegen der Angabe des Klägers in der Klageschrift (8.000,-- €) auf 2.000 € festzusetzen.

Zwar sind die Angaben des Klägers in der Klageschrift bei der Ermessensausübung nach § 3 ZPO regelmäßig ein ganz erhebliches Indiz, da die Angabe unbeeinflusst vom Ausgang des Rechtsstreits erfolgt und damit eine erhöhte Richtigkeitsgewähr einhergeht. Anderes gilt jedoch dann, wenn der Wert offensichtlich über- oder untersetzt ist.

Dies ist hier der Fall. Der Senat hält die Schmerzensgeldangabe von 3.000 € als um ein Vielfaches übersetzt an; der Kläger selbst hat schriftsätzlich einen Betrag von 1.500 € als angemessen angegeben.

Den Wert des Klagantrags zu 1.) und 2.) hingegen setzt der Senat nicht mit zusammen 5.000 €, sondern mit 500 € fest. Auskunftsansprüche bewegen im Regel im Bereich eines Bruchteils des Hauptanspruchs, wenn sie diesen unterstützen. Der Anspruch nach § 15 DSGVO ist zwar ein selbständiger Anspruch, bewegt sich jedoch wertmäßig in einer vergleichbaren Höhe. Hinzu kommt, dass der Anspruch keinen wirtschaftlichen Interessen des Klägers dient. Weiterhin ist zu berücksichtigen, dass Anhaltspunkte für eine Rechtsverletzung nicht bestehen. Der Senat hält daher einen Wert von 500 € für angemessen (vgl. z.B. OLG Köln ZD 2018, 268; OLG Köln ZD 2019, 463)

5. Einer Entscheidung nach § 522 II ZPO steht auch nicht ein etwaiger Revisionszulassungsgrund der Divergenz oder der grundsätzlichen Bedeutung entgegen. Soweit das LAG Niedersachen (NZA-RR 2020, 571, Rnr. 46) eine Datenübersendung in elektronischer Form als zur Erfüllung ungeeignet ansieht, kann dies eine Revisionszulassung nicht begründen.

Eine Rechtssache hat grundsätzliche Bedeutung, wenn sie eine entscheidungserhebliche, klärungsbedürftige und klärungsfähige Rechtsfrage aufwirft, die sich in einer Vielzahl von Fällen stellen kann und deswegen das abstrakte Interesse der Allgemeinheit an der einheitlichen Entwicklung und Handhabung des Rechts berührt, d.h. allgemein von Bedeutung ist (st Rspr; BGH NJW 2002, 3029). Klärungsbedürftig in diesem Sinne ist eine Rechtsfrage, wenn sie vom BGH nicht entschieden und von Oberlandesgerichten oder in der Literatur unterschiedlich beantwortet wird (BGH NZG 2010, 625 Rn. 3; DStR 2014, 383 Rn. 2). Der Klärungsbedarf entfällt, wenn abweichende Ansichten im Schrifttum vereinzelt geblieben und nicht oder nicht nachvollziehbar begründet sind (NZG 2024, 249 Rn. 9; BGH NZG 2010, 625). So verhält es sich hier.

Den Volltext der Entscheidung finden Sie hier:

BAG
Urteil vom 20.06.2024
8 AZR 91/22

Das BAG hat entschieden, dass ein Anspruch aus Art. 82 Abs. 1 DSGVO Darlegung und Beweis eines konkreten Schadens voraussetzt, der durch gerügten DSGVO-Verstoß kausal verursacht wurde.

Aus den Entscheidungsgründen:
1. Das Erfordernis eines Schadens und die entsprechende Darlegungslast der Klagepartei ist durch die jüngsten Entscheidungen des Gerichtshofs der Europäischen Union hinreichend geklärt (vgl. hierzu BAG 25. April 2024 – 8 AZR 209/21 (B) – Rn. 5 f.).

a) Aus dem Wortlaut des Art. 82 Abs. 1 DSGVO geht klar hervor, dass das Vorliegen eines „Schadens“ eine der Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadenersatzanspruch darstellt, ebenso wie das Vorliegen eines Verstoßes gegen die Datenschutz-Grundverordnung und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind (EuGH 25. Januar 2024 – C-687/21 – [MediaMarktSaturn] Rn. 58; 14. Dezember 2023 – C-340/21 – [Natsionalna agentsia za prihodite] Rn. 77; 4. Mai 2023 – C-300/21 – [Österreichische Post] Rn. 32). Der Schadenersatzanspruch hat, insbesondere im Fall eines immateriellen Schadens, eine Ausgleichsfunktion, da eine auf Art. 82 Abs. 1 DSGVO gestützte Entschädigung in Geld ermöglichen soll, den konkret aufgrund des Verstoßes gegen diese Verordnung erlittenen Schaden vollständig auszugleichen, und erfüllt keine Abschreckungs- oder Straffunktion (EuGH 25. Januar 2024 – C-687/21 – [MediaMarktSaturn] Rn. 50; 21. Dezember 2023 – C-667/21 – [Krankenversicherung Nordrhein] Rn. 87). Der Schaden muss keinen bestimmten Grad an Erheblichkeit erreicht haben (EuGH 14. Dezember 2023 – C-456/22 – [Gemeinde Ummendorf] Rn. 16 und – C-340/21 – [Natsionalna agentsia za prihodite] Rn. 78; 4. Mai 2023 – C-300/21 – [Österreichische Post] Rn. 51).

b) Hinsichtlich der Darlegungs- und Beweislast hat der Gerichtshof der Europäischen Union klargestellt, dass die Person, die auf der Grundlage von Art. 82 Abs. 1 DSGVO den Ersatz eines immateriellen Schadens verlangt, nicht nur den Verstoß gegen Bestimmungen dieser Verordnung nachweisen muss, sondern auch, dass ihr durch diesen Verstoß ein solcher Schaden entstanden ist (EuGH 11. April 2024 – C-741/21 – [juris] Rn. 35; 25. Januar 2024 – C-687/21 – [MediaMarktSaturn] Rn. 60 f.). Da der 85. Erwägungsgrund der Datenschutz-Grundverordnung ausdrücklich den „Verlust der Kontrolle“ zu den Schäden zählt, die durch eine Verletzung des Schutzes personenbezogener Daten verursacht werden können, hat der Gerichtshof entschieden, dass der – selbst kurzzeitige – Verlust der Kontrolle über solche Daten einen „immateriellen Schaden“ iSv. Art. 82 Abs. 1 DSGVO darstellen kann, der einen Schadenersatzanspruch begründet, sofern die betroffene Person den Nachweis erbringt, dass sie tatsächlich einen solchen Schaden – so geringfügig er auch sein mag – erlitten hat (EuGH 11. April 2024 – C-741/21 – [juris] Rn. 42; 25. Januar 2024 – C-687/21 – [MediaMarktSaturn] Rn. 66). Dabei kann die durch einen Verstoß gegen die Datenschutz-Grundverordnung ausgelöste Befürchtung einer betroffenen Person, ihre personenbezogenen Daten könnten von Dritten missbräuchlich verwendet werden, für sich genommen einen „immateriellen Schaden“ iSv. Art. 82 Abs. 1 DSGVO darstellen (EuGH 25. Januar 2024 – C-687/21 – [MediaMarktSaturn] Rn. 65; 14. Dezember 2023 – C-340/21 – [Natsionalna agentsia za prihodite] Rn. 79 ff.). Ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten kann jedoch nicht zu einer Entschädigung führen (EuGH 25. Januar 2024 – C-687/21 – [MediaMarktSaturn] Rn. 68). Das angerufene nationale Gericht muss vielmehr prüfen, ob die Befürchtung der missbräuchlichen Datenverwendung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann (EuGH 14. Dezember 2023 – C-340/21 – [Natsionalna agentsia za prihodite] Rn. 85).

c) Vor dem Hintergrund dieser aktuellen Rechtsprechung des Gerichtshofs der Europäischen Union zum Erfordernis eines Schadens und der entsprechenden Darlegungslast der Klagepartei kommt es nach Auffassung des Senats auf die Vorlage des Bundesgerichtshofs vom 26. September 2023 (- VI ZR 97/22 – Rn. 30 ff.) nicht an. Der Bundesgerichtshof hat dem Gerichtshof der Europäischen Union die Frage gestellt, ob Art. 82 Abs. 1 DSGVO dahin gehend auszulegen ist, dass für die Annahme eines immateriellen Schadens bloße negative Gefühle wie zB Ärger, Unmut, Unzufriedenheit, Sorge und Angst genügen oder ob für die Annahme eines Schadens ein über diese Gefühle hinausgehender Nachteil für die betroffene natürliche Person erforderlich ist. Diese Frage ist durch die nach der Vorlage des Bundesgerichtshofs ergangene Rechtsprechung des Gerichtshofs der Europäischen Union jedenfalls bezogen auf die Sorge vor Datenverlust bzw. unrechtmäßiger Datenverwendung beantwortet (aA Rombach/Hoeren WuB 2024, 28, 32; Scharpf jurisPR-ITR 8/2024 Anm. 5 unter C; vgl. auch BGH 12. Dezember 2023 – VI ZR 277/22 – Rn. 6).

aa) Nach der Rechtsprechung des Gerichtshofs der Europäischen Union können negative Gefühle („Befürchtung“) in solchen Konstellationen einen Anspruch auf Ersatz des immateriellen Schadens begründen. Das bloße Berufen auf eine bestimmte Gefühlslage reicht aber nicht aus, denn das Gericht hat, wie dargestellt, zu prüfen, ob das Gefühl unter Berücksichtigung der konkreten Umstände „als begründet angesehen werden kann“ (EuGH 14. Dezember 2023 – C-340/21 – [Natsionalna agentsia za prihodite] Rn. 85). Dies setzt zwingend die Anwendung eines objektiven Maßstabs voraus (idS auch Halder/Maluszczak jurisPR-ITR 3/2024 Anm. 4 unter D; Sorber/Lohmann BB 2023, 1652, 1655; Peisker/Zhou BB 2024, 308, 310; aA Rudkowski NZA 2024, 1, 7). Dabei ist ua. die objektive Bestimmung des Missbrauchsrisikos der Daten von Bedeutung (vgl. Arning/Dirkers DB 2024, 381, 383).

bb) Dem steht nicht entgegen, dass Art. 82 Abs. 1 DSGVO nach der Rechtsprechung des Gerichtshofs der Europäischen Union nicht verlangt, dass ein erlittener Nachteil spürbar oder eine Beeinträchtigung objektiv sein muss (EuGH 14. Dezember 2023 – C-456/22 – [Gemeinde Ummendorf] Rn. 17). Damit hat der Gerichtshof nur klargestellt, dass es keine „Bagatellgrenze“ gibt. Der objektive Maßstab bzgl. des Vorliegens eines Schadens als solchen ist hiervon zu unterscheiden. Besteht der Schaden in negativen Gefühlen, die für sich genommen nicht beweisbar sind, hat das nationale Gericht die Gesamtsituation und letztlich auch die Glaubwürdigkeit der jeweiligen Klagepartei auf der Grundlage eines substantiierten Sachvortrags zu beurteilen. Steht ein Verstoß gegen die Datenschutz-Grundverordnung iSv. Art. 82 Abs. 1 DSGVO nach richterlicher Beweiswürdigung iSv. § 286 Abs. 1 ZPO zum Nachteil der Klagepartei als geschützter Person fest, mindert sich das Beweismaß bzgl. der Entstehung und der Höhe des Schadens nach § 287 Abs. 1 ZPO (vgl. BAG 5. Mai 2022 – 2 AZR 363/21 – Rn. 14).

2. Der Kläger hat geltend gemacht, durch die jahrelang verspätete Auskunft bleibe er weiterhin über wesentliche Faktoren der Datenverarbeitung im Dunkeln und ihm sei die Prüfung verwehrt, ob und wie die Beklagte seine personenbezogenen Daten verarbeite. Ausgehend von der Rechtsprechung des Gerichtshofs der Europäischen Union hat der Kläger damit keinen immateriellen Schaden dargelegt.

a) Entgegen der Auffassung des Landesarbeitsgerichts kann ein Schaden nicht allein mit der Begründung angenommen werden, durch eine Verletzung des Auskunftsanspruchs aus Art. 15 Abs. 1 DSGVO – so ein Verstoß dagegen einen Anspruch nach Art. 82 Abs. 1 DSGVO dem Grunde nach begründen könnte – trete ein Kontrollverlust ein, weil die Überprüfung verhindert werde, ob personenbezogene Daten rechtmäßig verarbeitet werden. Zwar dient der Auskunftsanspruch des Art. 15 Abs. 1 DSGVO dem Zweck, Betroffenen die Ausübung der Rechte auf Berichtigung, Löschung, Einschränkung der Verarbeitung und Widerspruch gegen die Verarbeitung nach Art. 16 bis 18 und Art. 21 DSGVO zu ermöglichen (vgl. EuGH 4. Mai 2023 – C-487/21 – [Österreichische Datenschutzbehörde] Rn. 35). Ein derartiger Kontrollverlust geht jedoch mit jeder Verletzung des Auskunftsanspruchs aus Art. 15 Abs. 1 DSGVO zwingend einher. Er ist daher nicht geeignet einen von der bloßen Verletzung des Art. 15 Abs. 1 DSGVO unterscheidbaren Schaden zu begründen (aA Brandt/Goffart NZA 2024, 240, 242). Die eigenständige Voraussetzung des Schadens würde damit bedeutungslos. Sie wäre stets erfüllt. Dies ist jedoch mit dem Normverständnis des Gerichtshofs von Art. 82 Abs. 1 DSGVO ebenso wenig zu vereinbaren wie mit den Anforderungen des nationalen Prozessrechts, das die substantiierte Darlegung eines Schadens verlangt (vgl. LAG Rheinland-Pfalz 8. Februar 2024 – 5 Sa 154/23 – zu II 1 b der Gründe; LAG Baden-Württemberg 27. Juli 2023 – 3 Sa 33/22 – zu B II 1 b der Gründe; Barrein/Fuhlrott NZA 2024, 443, 446).

b) Soweit der Kläger im Hinblick auf einen Verlust der Kontrolle vorträgt, ihm sei die Prüfung verwehrt, ob und wie die Beklagte seine personenbezogenen Daten verarbeite, legt er lediglich ein hypothetisches Risiko einer missbräuchlichen Verwendung dar. Ein objektiv erhöhtes Missbrauchsrisiko in Bezug auf die von dem Auskunftsanspruch betroffenen personenbezogenen Daten zeigt der Kläger gerade nicht auf. Anders als bei einem Datenleck verschlechtert sich durch die unterbliebene Auskunft die Sicherheit der Daten nicht unmittelbar. Es hätte in der vorliegenden Fallgestaltung ergänzender Darlegungen des Klägers bedurft, aus welchen Gründen ein mehr als nur hypothetisches Risiko einer missbräuchlichen Verwendung seiner personenbezogenen Daten bestehen soll.

c) Soweit sich aus dem Vortrag des Klägers – andeutungsweise – negative Gefühle in Form einer Befürchtung der missbräuchlichen Datenverwendung ergeben, können diese unter den gegebenen Umständen nicht als begründet angesehen werden. Das bloße Berufen auf Befürchtungen dieser Art reicht nicht aus. Um zu prüfen, ob das Gefühl als begründet angesehen werden kann, ist ein objektiver Maßstab anzulegen. Dabei ist insbesondere das objektive Risiko eines Missbrauchs in den Blick zu nehmen, zu dem es vorliegend an ausreichenden Darlegungen fehlt.

3. Soweit der Kläger Schadenersatz hilfsweise aus vertraglicher, hierzu hilfsweise vertragsähnlicher, hierzu hilfsweise deliktischer Haftung nach nationalen Rechtsvorschriften geltend gemacht hat, fehlt es ebenfalls an einem hinreichend dargelegten Schaden.

Den Volltext der Entscheidung finden Sie hier:

LAG Rheinland-Pfalz
Urteil vom 08.02.2024
5 Sa 154/23

Das LAG Rheinland-Pfalz hat entschieden, dass eine verspätete Auskunftserteilung nach Art. 15 DSGVO keinen Schadensersatzanspruch aus Art. 82 DSGVO begründet.

Aus den Entscheidungsgründen:
In der Sache ist die Berufung der Beklagten begründet; die Anschlussberufung der Klägerin ist unbegründet. Die Beklagte ist nicht verpflichtet, an die Klägerin Schadensersatz zu zahlen. Das erstinstanzliche Urteil ist deshalb aufzuheben und die Klage abzuweisen.

Die Klägerin hat keinen Anspruch auf immateriellen Schadensersatz nach Art. 82 Abs. 1 DSGVO, weil die Beklagte ihrem Auskunftsverlangen nach Art. 15 Abs. 1 DSGVO nicht innerhalb der Monatsfrist des Art. 12 Abs. 3 Satz 1 DSGVO nachgekommen ist. Ein Schadensersatzanspruch folgt auch nicht daraus, dass die Beklagte der Klägerin die nach § 15 Abs. 3 Satz 1 DSGVO geforderte Datenkopie nicht bereits mit ihrer Auskunft zur Verfügung gestellt hat.

1. Die Beklagte hat auf das formelhafte Auskunftsverlangen der Klägerin vom 13. Juli 2022, eingegangen am 14. Juli 2022, nicht innerhalb der Monatsfrist des § 12 Abs. 3 Satz 1 DSGVO geantwortet. Ihre Auskunft vom 30. August 2022 ging erst am 2. September 2022 und damit (unstreitig) verspätet bei der Klägerin ein.

a) Die nicht fristgerechte Auskunftserteilung allein, führt zu keinem immateriellen Schadensersatzanspruch.

Die Berufungskammer teilt die Rechtsansicht anderer Landesarbeitsgerichte, dass der bloße Verstoß gegen die Vorgaben der DSGVO nicht genügt, um einen Schadensersatzanspruch gem. Art. 82 Abs. 1 DSGVO zu begründen. Dafür spricht der Wortlaut des Art. 82 Abs. 1 DSGVO, wonach Personen, denen materieller oder immaterieller „Schaden“ entstanden ist, Anspruch auf Schadensersatz haben. Zwar soll nach Erwägungsgrund 146 Satz 3 der DSGVO der Begriff des Schadens im Lichte der Rechtsprechung des Gerichtshofs der Europäischen Union (EuGH 04.05.2023 - C-300/21) auf eine Art und Weise weit ausgelegt werden, die den Zielen der DSGVO in vollem Umfang entspricht. Ein weites Verständnis des Schadensbegriffs bedeutet aber nicht, dass vom Vorliegen eines konkreten Schadens gänzlich abzusehen ist. Verspätete Auskünfte an eine Person gemäß Art. 15 Abs. 1 DSGVO als solche sind somit nicht haftungsauslösend (vgl. LAG Düsseldorf 28.11.2023 - 3 Sa 285/23 - PM Nr. 29/2023; LAG Baden-Württemberg 27.07.2023 - 3 Sa 33/22 - Rn. 78 ff; LAG Hamm 02.12.2022 - 19 Sa 756/22 - Rn. 150 ff mwN).

b) Der von der Klägerin angeführte „Kontrollverlust“ über ihre personenbezogenen Daten stellt keinen ersatzfähigen immateriellen Schaden dar (ebenso LAG Baden-Württemberg 27.07.2023 - 3 Sa 33/22 - Rn. 82). Im Streitfall ist zudem nicht erkennbar, worin der „Kontrollverlust“ der Klägerin bestanden haben soll. Die Beklagte weist zutreffend darauf hin, dass die Daten der Klägerin nicht „außer Kontrolle“ geraten seien, sondern für Zwecke des Beschäftigungsverhältnisses verarbeitet wurden, § 26 BDSG. Hierauf kann sich die Beklagte - entgegen der Ansicht der Klägerin - im Berufungsverfahren berufen. Die Rüge einer „Verspätung möglicher Verteidigungshandlungen“ ist rechtlich nicht tragfähig.

Es stellt auch keinen ersatzfähigen immateriellen Schaden dar, dass sich die Klägerin über die nicht fristgerechte Antwort der Beklagten auf ihr Auskunftsverlangen geärgert hat. „Bloßer Ärger“ des Betroffenen genügt genauso wenig wie das „bloße Warten“ auf die Auskunft (vgl. Schlussanträge des Generalanwalts vom 06.10.2022 im Verfahren C-300/21), um einen immateriellen Schaden annehmen zu können.

Dieses Auslegungsergebnis steht im Einklang mit der Rechtsprechung des EuGH, der in seinem Urteil vom 4. Mai 2023 (Rechtssache C-300/21 Österreichische Post) betont hat, dass ein Schadensersatzanspruch das Vorliegen eines „Schadens“ erfordere. Der bloße Verstoß gegen die DSGVO reiche daher nicht aus, um einen Schadensersatzanspruch der betroffenen Person zu begründen (Rn. 42). Ein Schadensersatzanspruch hänge zwar nicht davon ab, dass der betreffende Schaden eine gewisse Erheblichkeit erreiche. Das bedeute allerdings nicht, dass eine Person, die von einem Verstoß gegen die DSGVO betroffen sei, der für sie negative Folgen gehabt habe, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden iSv. Art. 82 DSGVO darstellen (Rn. 50).

c) Im Streitfall ist es der Klägerin nicht gelungen, einen durch die verzögerte Auskunftserteilung entstandenen immateriellen Schaden im Sinne der Norm darzulegen.

Die Klägerin macht geltend, dass das Arbeitsverhältnis seit Jahren belastet sei; sie bezieht sich auf ihre Ausführungen im weiteren Rechtsstreit 6 Ca 738/22 (LAG Rheinland-Pfalz 5 Sa 155/23). Dort verlangt sie von der Beklagten ua. ein angemessenes Schmerzensgeld von mindestens € 30.000,00 wegen Benachteiligung und Mobbings. Die um 18 Tage verspätete Antwort der Beklagten auf ihr Auskunftsbegehren betrachtet die Klägerin als einen weiteren „Baustein“, um sie in ihrer Ehre und ihrer Persönlichkeit zu verletzen. Die Beklagte habe ihr das „klare Signal“ übermittelt, dass man sich mit ihren Anliegen nicht beschäftige, und wenn, nur unzureichend, unvollständig und nicht fristgerecht. Damit hat die Klägerin keinen kausalen Schaden durch die verspätete Auskunftserteilung dargelegt. Dasselbe gilt, soweit sie auf die zwei Abmahnungen der Beklagten mit Datum vom 29. Juni 2022 abhebt.

Es ist objektiv nicht nachvollziehbar, weshalb die nach Art. 12 Abs. 3 Satz 1 DSGVO um 18 Tage verspätete Antwort der Beklagten auf ein Auskunftsbegehren, das sich im reinen Wortlaut des Art. 15 Abs. 1 Halbsatz 2 DSGVO erschöpfte, zu einer „Demütigung “ der Klägerin geführt haben könnte. Auch eine Verletzung der Ehre oder des Persönlichkeitsrechts der Klägerin ist bei der gebotenen objektiven Betrachtungsweise, d.h. ohne Rücksicht auf das subjektive Empfinden der Klägerin, nicht erkennbar. Soweit die Klägerin geltend macht, sie sei wegen der psychischen Belastung, ausgelöst durch die nicht fristgerechte Auskunft der Beklagten, in der Zeit vom 12. Juli bis 14. September 2002 arbeitsunfähig erkrankt, ist ein Kausalzusammenhang nicht gegeben. Das Auskunftsverlangen der Klägerin vom 13. Juli 2022 ist bei der Beklagten am 14. Juli 2022 eingegangen, die Monatsfrist des Art. 12 Abs. 3 Satz 1 DSGVO am 15. August 2022 (einem Montag) abgelaufen. Die Arbeitsunfähigkeit der Klägerin begann bereits am 12. Juli 2022. Die verspätete Auskunft der Beklagten kann auf der Zeitschiene für diesen Arbeitsunfähigkeitszeitraum nicht ursächlich gewesen sein. Hinzu kommt, dass die Klägerin behauptet, sie habe aufgrund der beiden Abmahnungen der Beklagten vom 29. Juni 2022 unter starken gesundheitlichen Beeinträchtigungen (ua. Schlafstörungen, Schweißausbrüchen, starkes Unwohlsein) gelitten. Der teils widersprüchliche Sachvortrag der Klägerin ist nicht geeignet, einen Kausalzusammenhang zwischen ihrer psychischen Erkrankung und der nicht fristgerechten Auskunft schlüssig darzulegen. Bei objektiver Betrachtung ist das Auskunftsbegehren der Klägerin eine Reaktion auf die Abmahnung wegen Verletzung des Datenschutzes, und nicht umgekehrt. Das belegt schon die zeitliche Abfolge.

2. Die Beklagte ist nicht zum Schadensersatz verpflichtet, weil sie der Klägerin nicht bereits mit der erteilten Auskunft vom 30. August 2022 die geforderte Datenkopie nach Art. 15 Abs. 3 Satz 1 DSGVO zur Verfügung gestellt hat. Es fehlt bereits an einer Pflichtverletzung der Beklagten.

Die Klägerin hat sich in ihrem schriftlichen Auskunftsbegehren vom 13. Juli 2022 auf eine bloße Wiederholung des Normwortlauts des Art. 15 Abs. 1 Halbsatz 2 DSGVO beschränkt. Ansonsten hat sie - unbestimmt - verlangt, ihr eine Kopie ihrer personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung zu stellen. Dies genügt für einen Anspruch aus Art. 15 Abs. 3 Satz 1 DSGVO grundsätzlich nicht. Die bloße Wiederholung des Wortlauts der Norm lässt nicht erkennen, von welchen personenbezogenen Daten eine Kopie verlangt wird (vgl. BAG 16.12.2021 - 2 AZR 235/21 - Rn. 33 mwN). Erst wenn die geforderte Auskunft vorliegt, kann die betroffene Person beschreiben, von welchen konkret verarbeiteten personenbezogenen Daten eine Kopie verlangt wird. Hier hat sich die Beklagte in Ziff. 3 des Teilvergleichs vom 1. Juni 2023 bereit erklärt, der Klägerin (in einem zu vereinbarenden Termin mit ihrem Vorgesetzten) Einsicht in die über sie gespeicherten personenbezogenen Daten zu ermöglichen, wenn ihr „die Klägerin vorher mitteilt, welche genauen Daten sie zu sehen wünscht“. Anders als die Klägerin meint, bestand vor der Konkretisierung ihres Einsichtsbegehrens kein rechtswidriger Zustand. Ihr Vorwurf, die Beklagte habe sie über „viele Monate“ benachteiligt, weil sie ihr mit der Auskunft keine Datenkopie zur Verfügung gestellt hat, ist nicht berechtigt.

Den Volltext der Entscheidung finden Sie hier:

LAG Düsseldorf
Urteil vom 28.11.2023
3 Sa 285/23

Das LAG Düsseldorf hat entschieden, dass eine verspätete oder unvollständige Auskunftserteilung nach Art. 15 DSGVO keinen Schadensersatzanspruch aus Art. 82 DSGVO begründet.

Die Pressemitteilung des Gerichts:
LAG Düsseldorf: Keine Entschädigung für verspätete und unvollständige Auskunft gemäß Art. 15 DSGVO

Der Kläger war vom 01.12.2016 bis zum 31.12.2016 bei dem Kundenservice eines Immobilienunternehmens, der Beklagten, beschäftigt. Bereits im Jahre 2020 hatte er einen Antrag auf Auskunft gemäß Art. 15 DSGVO gestellt, den die Beklagte beantwortet hatte.

Mit Schreiben vom 01.10.2022, das der Beklagten an diesem Tag zuging, verlangte er erneut Auskunft und eine Datenkopie auf der Grundlage von Art. 15 DSGVO. Er setzte eine Frist bis zum 16.10.2022. Als die Beklagte nicht antwortete, erinnerte der Kläger mit Schreiben vom 21.10.2022 mit weiterer Fristsetzung bis zum 31.10.2022. Die ihm mit Schreiben vom 27.10.2022 erteilte Auskunft rügte der Kläger mit Schrei-ben vom 04.11.2022 als verspätetet und inhaltlich mangelhaft. Es fehlten die konkreten Angaben zur Dauer der Datenspeicherung und die namentlich bezeichneten Empfänger seiner Daten. Außerdem sei die Datenkopie unvollständig. Mit Schreiben vom 11.11.2022 teilte die Beklagte dem Kläger mit, dass die Angaben zu den Datenempfängern die Betroffenen in der Regel nicht interessierten und daher nur kategorisiert mitgeteilt worden seien. Zudem konkretisierte sie die Angaben zur Speicherdauer und die Datenkopie. Mit Schreiben vom 18.11.2022 verlangte der Kläger erneut die namentliche Nennung der Empfänger und auch nähere Angaben zur Speicherdauer. Die Datenkopie sei weiterhin unzureichend. Die Beklagte konkretisierte die Informationen mit Schreiben vom 01.12.2022.

Der Kläger hat von der Beklagten gemäß Art. 82 Abs. 1 DSGVO eine Geldentschädigung nach Ermessen des Gerichts verlangt, die 2.000 Euro nicht unterschreiten sollte, weil sein Auskunftsrecht aus Art. 15 DSGVO durch die Beklagte mehrfach verletzt worden sei. Diese hat dem widersprochen, weil es u.a. bereits an einem im-materiellen Schaden des Klägers fehle.

Anders als das Arbeitsgericht, das dem Kläger wegen des von ihm angenommenen vorsätzlichen Verstoßes der Beklagten eine Geldentschädigung von 10.000 Euro zugesprochen hatte, hat die 3. Kammer des Landesarbeitsgerichts Düsseldorf die Klage heute vollständig abgewiesen. Es treffe zwar zu, dass die Beklagte gegen Art. 12 Abs. 3 DSGVO und Art. 15 DSGVO verstoßen habe. Sie habe die Auskunft nicht fristgerecht und anfangs unvollständig erteilt. Eine vollständige Auskunft habe erst am 01.12.2022, d.h. sechs Wochen nach Ablauf der vom Kläger gesetzten Frist vor-gelegen. Dies begründe indes aus zwei Gründen keinen Anspruch auf eine Geldentschädigung gemäß Art. 82 Abs. 1 DSGVO. Ein Verstoß gegen Art. 15 DSGVO falle bereits nicht in den Anwendungsbereich von Art. 82 DSGVO. Die Vorschrift setzt haftungsbegründend eine gegen die DSGVO verstoßende Datenverarbeitung voraus. Daran fehle es bei der bloßen Verletzung der Auskunftspflicht aus Art. 15 DSGVO - sei es, dass diese verzögert oder anfangs unvollständig erfüllt werde. Unabhängig davon setze Art. 82 DSGVO für einen Anspruch auf eine Geldentschädigung wegen eines immateriellen Schadens mehr als einen bloßen Verstoß gegen die Vorschriften der DSGVO voraus. Der bloße vom Kläger angeführte Kontrollverlust über die Daten genüge nicht und sei mit dem Verstoß gegen Art. 15 DSGVO letztlich identisch. Zu weiterem immateriellen Schaden fehlte es an jeglichem konkreten Vortrag des Klägers.

Das Landesarbeitsgericht hat die Revision zugelassen.

Landesarbeitsgericht Düsseldorf, Urteil vom 28.11.2023 - 3 Sa 285/23
Arbeitsgericht Duisburg, Urteil vom 23.03.2023 - 3 Ca 44/23

Auszug aus der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (DSGVO)

"Artikel 12
Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person

…

(3) Der Verantwortliche stellt der betroffenen Person Informationen über die auf Antrag gemäß den Artikeln 15 bis 22 ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung. Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist. Der Verantwortliche unterrichtet die betroffene Person innerhalb eines Monats nach Eingang des Antrags über eine Fristverlängerung, zusammen mit den Gründen für die Verzögerung. Stellt die betroffene Person den Antrag elektronisch, so ist sie nach Möglichkeit auf elektronischem Weg zu unterrichten, sofern sie nichts anderes angibt.

…

Artikel 15
Auskunftsrecht der betroffenen Person

(1) Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:

a) die Verarbeitungszwecke;

b) die Kategorien personenbezogener Daten, die verarbeitet werden;

c) die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;

d) falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;

e) das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;

f) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;

g) wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;

h) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Ar-tikel 22 Absätze 1 und 4 und — zumindest in diesen Fällen — aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

…

(3) Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die Gegenstand der Verar-beitung sind, zur Verfügung. Für alle weiteren Kopien, die die betroffene Person beantragt, kann der Verantwortliche ein angemessenes Entgelt auf der Grundlage der Verwaltungskosten verlangen. Stellt die betroffene Person den Antrag elektronisch, so sind die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen, sofern sie nichts anderes angibt.

(4) Das Recht auf Erhalt einer Kopie gemäß Absatz 1b darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen.

Artikel 82
Haftung und Recht auf Schadenersatz

(1) Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

(2) Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. Ein Auftragsverarbeiter haftet für den durch eine Verarbeitung verursachten Schaden nur dann, wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus dieser Verordnung nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat.

(3) Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden einge-treten ist, verantwortlich ist.
…"

EuGH
Urteil vom 11.04.2024
C-741/21

Der EuGH hat entschieden, dass Verstoß gegen Bestimmungen der DSGVO oder Kontrollverlust allein noch keinen Schadensersatzanspruch aus Art. 82 DSGVO begründen. Vielmehr ist der Nachweis eines konkreten immateriellen Schadens erforderlich.

Tenor der Entscheidung:
1. Art. 82 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass ein Verstoß gegen Bestimmungen dieser Verordnung, die der betroffenen Person Rechte verleihen, für sich genommen nicht ausreicht, um unabhängig vom Schweregrad des von dieser Person erlittenen Schadens einen „immateriellen Schaden“ im Sinne dieser Bestimmung darzustellen.

2. Art. 82 der Verordnung 2016/679 ist dahin auszulegen, dass es für eine Befreiung des Verantwortlichen von seiner Haftung nach Art. 82 Abs. 3 dieser Verordnung nicht ausreicht, dass er geltend macht, dass der in Rede stehende Schaden durch ein Fehlverhalten einer ihm im Sinne von Art. 29 der Verordnung unterstellten Person verursacht wurde.

3. Art. 82 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen, dass zur Bemessung des Betrags des auf diese Bestimmung gestützten Anspruchs auf Schadenersatz zum einen die in Art. 83 dieser Verordnung vorgesehenen Kriterien für die Festsetzung des Betrags von Geldbußen nicht entsprechend anzuwenden sind und zum anderen nicht zu berücksichtigen ist, dass die Person, die Schadenersatz verlangt, von mehreren Verstößen gegen die Verordnung betroffen ist, die sich auf denselben Verarbeitungsvorgang beziehen.

Den Volltext der Entscheidung finden Sie hier:

BGH
Urteil vom 05.03.2024
VI ZR 330/21
DSGVO Art. 15 Abs. 3

Der BGH hat sich in dieser Entscheidung mit der Reichweite des Begriffs "Kopie der personenbezogenen Daten" im Sinne von Art. 15 Abs. 3 DSGVO befasst.

Leitsatz des BGH:
Zum Begriff "Kopie der personenbezogenen Daten" in Art. 15 Abs. 3 DSGVO.

BGH, Urteil vom 5. März 2024 - VI ZR 330/21 - OLG München - LG München I

Aus den Entscheidungsgründen:
b) Art. 15 Abs. 1 DSGVO gibt der betroffenen Person gegenüber dem datenschutzrechtlich Verantwortlichen (Art. 4 Nr. 7 DSGVO) ein Auskunftsrecht über die Verarbeitung personenbezogener Daten. Art. 15 Abs. 3 DSGVO legt die praktischen Modalitäten für die Erfüllung der dem datenschutzrechtlich Verantwortlichen obliegenden Verpflichtung fest, indem er unter anderem die Form bestimmt, in der die personenbezogenen Daten zur Verfügung zu stellen sind, nämlich in Form einer "Kopie" der Daten, gewährt aber kein anderes Recht als das in Art. 15 Abs. 1 DSGVO vorgesehene (vgl. EuGH, Urteil vom 4. Mai 2023 - C-487/21, NJW 2023, 2253 Rn. 31 f.). Auf dieser Grundlage hat die Klägerin nur Anspruch auf Überlassung von Kopien der von ihr verfassten, bei den Beklagten vorhandenen Schreiben und E-Mails.

aa) Gemäß Art. 4 Nr. 1 DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person ("betroffene Person") beziehen. Nach der Rechtsprechung des Gerichtshofs der Europäischen Union ist der Begriff weit zu verstehen. Er ist nicht auf sensible oder private Informationen beschränkt, sondern umfasst potenziell alle Arten von Informationen sowohl objektiver als auch subjektiver Natur, unter der Voraussetzung, dass es sich um Informationen über die in Rede stehende Person handelt. Die letztgenannte Voraussetzung ist erfüllt, wenn die Information aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer bestimmten Person verknüpft ist (vgl. EuGH, Urteil vom 4. Mai 2023 - C-487/21, NJW 2023, 2253 Rn. 23 f.; Senatsurteil vom 15. Juni 2021 - VI ZR 576/19, NJW 2021, 2726 Rn. 22 mwN).

Nach diesen Grundsätzen sind - wovon das Berufungsgericht zu Recht ausgegangen ist - Schreiben der betroffenen Person an den Verantwortlichen ihrem gesamten Inhalt nach als personenbezogene Daten einzustufen, da die personenbezogene Information bereits darin besteht, dass die betroffene Person sich dem Schreiben gemäß geäußert hat, umgekehrt aber Schreiben des Verantwortlichen an die betroffene Person nur insoweit, als sie Informationen über die betroffene Person nach den oben genannten Kriterien enthalten (vgl. Senatsurteile vom 6. Februar 2024 - VI ZR 15/23, zVb; vom 15. Juni 2021 - VI ZR 576/19, NJW 2021, 2726 Rn. 25; BGH, Urteil vom 27. September 2023 - IV ZR 177/22, NJW 2023, 3490 Rn. 48). Dass diese Schreiben der betroffenen Person bereits bekannt sind, schließt den datenschutzrechtlichen Auskunftsanspruch nicht aus (vgl. Senatsurteil vom 15. Juni 2021 - VI ZR 576/19, NJW 2021, 2726 Rn. 25 mwN).

bb) Mit ihrem vom Berufungsgericht zuerkannten Antrag verlangt die Klägerin - wie erläutert -, ihr eine Abschrift von Telefonnotizen, Aktenvermerken, Gesprächsprotokollen, E-Mails, Briefen und Zeichnungsunterlagen für Kapitalanlagen zu überlassen, in denen personenbezogene Daten der Klägerin enthalten sind, die die Beklagten verarbeiten. Nach den Ausführungen unter aa) handelt es sich zwar bei den von der Klägerin verfassten Schreiben und E-Mails, die den Beklagten vorliegen, ihrem gesamten Inhalt nach um personenbezogene Daten, weshalb die Klägerin im Ergebnis nach Art. 15 Abs. 3 DSGVO eine Kopie dieser Schreiben und E-Mails fordern kann, auch wenn sich der Begriff der Kopie in dieser Vorschrift nicht auf ein Dokument als solches bezieht, sondern auf die personenbezogenen Daten, die es enthält (vgl. EuGH, Urteile vom 26. Oktober 2023 - C-307/22, NJW 2023, 3481 Rn. 72; vom 4. Mai 2023 - C-487/21, NJW 2023, 2253 Rn. 32). Denn die Kopie muss alle personenbezogenen Daten enthalten, die Gegenstand der Verarbeitung sind (EuGH, Urteile vom 26. Oktober 2023 - C-307/22, NJW 2023, 3481 Rn. 73; vom 4. Mai 2023 - C-487/21, NJW 2023, 2253 Rn. 32, 39). Der Vollständigkeit der Auskunft kann hier nur durch eine Kopie des gesamten Dokuments genügt werden.

Demgegenüber handelt es sich - entgegen der Ansicht des Berufungsgerichts - weder bei Schreiben und E-Mails der Beklagten, noch bei Telefonnotizen, Aktenvermerken oder Gesprächsprotokollen der Beklagten und auch nicht bei Zeichnungsunterlagen für Kapitalanlagen zwangsläufig in ihrer Gesamtheit um personenbezogene Daten der Klägerin, auch wenn sie Informationen über die Klägerin enthalten. Zwar ist bei internen Vermerken wie Telefonnotizen oder Gesprächsprotokollen, die festhalten, wie sich die Klägerin telefonisch oder in persönlichen Gesprächen äußerte, denkbar, dass der Vermerk ausschließlich Informationen über die Klägerin enthält. Es kann jedoch nicht davon ausgegangen werden, dass dies in allen Fällen so ist. Deshalb ergibt sich aus dem Erfordernis, eine vollständige Auskunft über personenbezogene Daten zu erteilen, kein Anspruch der Klägerin darauf, dass - wie von ihr gefordert - alle diese Dokumente im Gesamten als Kopie zu überlassen sind. Zwar kann sich die Reproduktion von Auszügen aus Dokumenten oder gar von ganzen Dokumenten oder auch von Auszügen aus Datenbanken unabhängig vom Erfordernis, eine vollständige Auskunft zu erteilen, dann als unerlässlich erweisen, wenn die Kontextualisierung der verarbeiteten Daten erforderlich ist, um ihre Verständlichkeit zu gewährleisten und der betroffenen Person die wirksame Ausübung ihrer Rechte zu gewährleisten (vgl. EuGH, Urteile vom 4. Mai 2023 - C-487/21, NJW 2023, 2253 Rn. 41, 45; vom 22. Juni 2023 - C-579/21, NJW 2023, 2555 Rn. 66; vom 26. Oktober 2023 - C-307/22, NJW 2023, 3481 Rn. 74 f.; Senatsurteil vom 6. Februar 2024 - VI ZR 15/23, zVb; BGH, Urteil vom 27. September 2023 - IV ZR 177/22, NJW 2023, 3490 Rn. 51 ff.). Die Klägerin hat aber weder in den Vorinstanzen dazu vorgetragen noch ist sonst ersichtlich, dass die Kontextualisierung der verarbeiteten Daten erforderlich ist, um ihre Verständlichkeit zu gewährleisten, sodass ausnahmsweise die Übermittlung einer Kopie der geforderten Telefonnotizen, Aktenvermerke, Gesprächsprotokolle, E-Mails und Briefe der Beklagten sowie Zeichnungsunterlagen für Kapitalanlagen nötig wäre.

Den Volltext der Entscheidung finden Sie hier: