Skip to content

VG Berlin: Auskunftsanspruch aus Art. 15 DSGVO gegen öffentlichen Stelle kann nach § 33 Abs. 1 Nr. 1 Buchst. b BDSG Geheimhaltungsinteresse entgegenstehen

VG Berlin
Urteil vom 24.10.2022
2 K 149/21


Das VG Berlin hat entschieden, dass einem Auskunftsanspruch aus Art. 15 DSGVO gegen eine öffentlichen Stelle nach § 33 Abs. 1 Nr. 1 Buchst. b BDSG ein Geheimhaltungsinteresse entgegenstehen kann. Diese Vorschrift ist von der Öffnungsklausel gemäß Art. 23 Abs. 1 Buchst. e DSGVO gedeckt.

II. Mit dem Antrag, dem Kläger Datenkopien der ihn betreffenden personenbezogenen Daten gemäß Art. 15 Abs. 3 DS-GVO zur Verfügung zu stellen, ist die Klage ebenfalls teilweise unzulässig und im Übrigen unbegründet.

Soweit die Beklagte die Einsicht in die ihn betreffenden Passagen des Dokuments Nr. 13 und in die Dokumente Nr. 26 und Nr. 36 (mit Ausnahme der das Abstimmungsverhalten im Verwaltungsrat betreffenden Passagen) zugesichert hat, fehlt dem Kläger das Rechtsschutzbedürfnis.

Im Übrigen steht ihm der Anspruch gemäß Art. 15 Abs. 3 DS-GVO nicht zu. Soweit das Dokument Nr. 13 Informationen über Vorgänge enthält, die den Kläger nicht betreffen, handelt es sich bereits nicht um personenbezogene Daten im Sinne von Art. 4 Nr. 1 DS-GVO. Der Übersendung einer Datenkopie der übrigen Dokumente steht § 34 Abs. 1 Nr. 1 i.V.m. § 33 Abs. 1 Nr. 1 Buchst. b des Bundesdatenschutzgesetzes - BDSG - entgegen. Danach besteht das Recht auf Auskunft der betroffenen Person gemäß Art. 15 DS-GVO nicht, wenn die Erteilung der Information die öffentliche Sicherheit oder Ordnung gefährden oder sonst dem Wohle des Bundes oder eines Landes Nachteile bereiten würde und deswegen das Interesse der betroffenen Person an der Informationserteilung zurücktreten muss.

Zu dem hiernach geschützten „Wohle des Bundes“ zählen die Beziehungen der Bundesrepublik zur EPO und ihren Mitgliedstaaten. Aus dem oben Gesagten folgt, dass die Bekanntgabe der begehrten Informationen mit hinreichender Wahrscheinlichkeit einen Nachteil für diese Beziehungen haben kann (vgl. BVerwG, Beschluss vom 13. November 2020 – BVerwG 20 F 5/20NVwZ 2021, 415 Rn. 17 ff.). Dies gilt auch für die Dokumente Nr. 48 und CA/C 16/17, 17/17 und 19/17. Dokument Nr. 48 ist ein Vermerk des BMJV mit einer Zusammenfassung der 156. Sitzung des Verwaltungsrats. Insoweit gilt das oben Gesagte. Die Dokumente CA/C 16/17, 17/17 und 19/17 sind der Kategorie C zugeordnet, die gemäß Art. 13 Abs. 1, Art. 9 Abs. 3 GOVR der Vertraulichkeit unterliegen und gegen deren Bekanntgabe sich der Präsident des Verwaltungsrats mit Schreiben vom 24. August 2020 gewandt hat.

Das Interesse des Klägers an der Informationserteilung muss hinter dem Geheimhaltungsinteresse zurücktreten. Das Interesse der Beklagten, die positiven Beziehungen zur EPO und ihren Mitgliedstaaten zu schützen und die mit der Offenlegung verbundene Gefahr einer Beeinträchtigung der vertraulichen Zusammenarbeit, haben ein hohes Gewicht. Demgegenüber hat der Kläger nicht dargelegt, worin sein Informationsinteresse besteht. Er hat lediglich auf die Betroffenheit personenbezogener Daten hingewiesen.

§ 33 Abs. 1 Nr. 1 Buchst. b BDSG ist entgegen der Auffassung des Klägers von der Öffnungsklausel des Art. 23 Abs. 1 Buchst. e DS-GVO gedeckt (Eßer, in: Eßer/Kramer/v. Lewinski, DSGVO/BDSG, 6. Auflage 2018, § 32 Rn. 14; Franck, in: Gola/Heckmann, DS-GVO/BDSG, 3. Auflage 2022, § 32 Rn. 26; Golla, in: Kühling/Buchner, DS-GVO/BDSG, 3. Auflage 2020, § 32 Rn. 13; Greve, in: Sydow, BDSG, 2020, § 32 Rn. 23). Der Begriff des „sonstigen wichtigen Ziels“ erfasst jedes wichtige Gemeinwohlziel, das in seinem Gewicht den in Art. 23 Abs. 1 Buchst. a–d DS-GVO oder den Regelbeispielen in Art. 23 Abs. 1 Buchst. e DS-GVO gleichkommt (Stender-Vorwachs/Wolff, in: BeckOK Datenschutzrecht, Stand: 2021, Art. 23 DS-GVO Rn. 37). Hierzu zählt das allgemeine öffentliche Interesse am Schutz internationaler Beziehungen.


Den Volltext der Entscheidung finden Sie hier:

EuGH: Auskunftsanspruch aus Art. 15 Abs. 1 lit. c DSGVO umfasst regelmäßig auch Identität der Empfänger personenbezogener Daten

EuGH
Urteil vom 12.01.2023
C-154/21
Österreichische Post (Informationen über die Empfänger personenbezogener Daten)


Der EuGH hat entschieden, dass der Auskunftsanspruch aus Art. 15 Abs. 1 lit. c DSGVO regelmäßig auch die Identität der Empfänger personenbezogener Daten umfasst.

Tenor der Entscheidung:
Art. 15 Abs. 1 Buchst. c der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz‑Grundverordnung) ist dahin auszulegen, dass das in dieser Bestimmung vorgesehene Recht der betroffenen Person auf Auskunft über die sie betreffenden personenbezogenen Daten bedingt, dass der Verantwortliche, wenn diese Daten gegenüber Empfängern offengelegt worden sind oder noch offengelegt werden, verpflichtet ist, der betroffenen Person die Identität der Empfänger mitzuteilen, es sei denn, dass es nicht möglich ist, die Empfänger zu identifizieren, oder dass der Verantwortliche nachweist, dass die Anträge auf Auskunft der betroffenen Person offenkundig unbegründet oder exzessiv im Sinne von Art. 12 Abs. 5 der Verordnung 2016/679 sind; in diesem Fall kann der Verantwortliche der betroffenen Person lediglich die Kategorien der betreffenden Empfänger mitteilen.

Die Pressemitteilung des EuGH:
Jeder hat das Recht zu erfahren, an wen seine personenbezogenen Daten weitergegeben wurden

Der für die Datenverarbeitung Verantwortliche kann sich jedoch darauf beschränken, nur die Empfängerkategorien mitzuteilen, wenn es nicht möglich ist, die Empfänger zu identifizieren, oder wenn der Antrag offenkundig unbegründet oder exzessiv ist

Ein Bürger beantragte bei der Österreichischen Post, der größten Anbieterin von Post- und Logistikdiensten in Österreich, ihm mitzuteilen, gegenüber welchen Empfängern sie seine personenbezogenen Daten offengelegt habe.

Er stützte sich auf die Datenschutz-Grundverordnung (DSGVO). Diese sieht vor, dass eine betroffene Person das Recht hat, von dem Verantwortlichen Informationen über die Empfänger oder Kategorien von Empfängern zu erhalten, gegenüber denen ihre personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden.

Bei der Beantwortung der Anfrage des Bürgers beschränkte sich die Österreichische Post auf die Mitteilung, sie verwende personenbezogene Daten, soweit das rechtlich zulässig sei, im Rahmen ihrer Tätigkeit als Herausgeberin von Telefonbüchern und biete diese Daten Geschäftskunden für Marketingzwecke an. Der Bürger erhob daraufhin gegen die Österreichische Post Klage vor den österreichischen Gerichten.

Im Lauf des gerichtlichen Verfahrens teilte die Österreichische Post dem Bürger weiter mit, seine Daten seien an Kunden weitergegeben worden, zu denen werbetreibende Unternehmen im Versandhandel und stationären Handel, IT-Unternehmen, Adressverlage und Vereine wie Spendenorganisationen, Nichtregierungsorganisationen (NGOs) oder politische Parteien gehört hätten.

Der Oberste Gerichtshof (Österreich), bei dem der Rechtsstreit in letzter Instanz anhängig ist, möchte wissen, ob die DSGVO es dem für die Datenverarbeitung Verantwortlichen freistellt, ob er der betroffenen Person die konkrete Identität der Empfänger oder nur die Kategorien von Empfängern mitteilt, oder ob die betroffene Person gemäß der DSGVO das Recht hat, die konkrete Identität dieser Empfänger zu erfahren.

Mit seinem heutigen Urteil antwortet der Gerichtshof, dass der Verantwortliche, wenn personenbezogene Daten gegenüber Empfängern offengelegt worden sind oder noch offengelegt werden, verpflichtet ist, der betroffenen Person auf Anfrage die Identität der Empfänger mitzuteilen. Nur wenn es (noch) nicht möglich ist, diese Empfänger zu identifizieren, kann sich der Verantwortliche darauf beschränken, lediglich die Kategorien der betreffenden Empfänger mitzuteilen. Dies ist ebenfalls der Fall, wenn der Verantwortliche nachweist, dass der Antrag offenkundig unbegründet oder exzessiv ist.

Der Gerichtshof weist darauf hin, dass dieses Auskunftsrecht der betroffenen Person erforderlich ist, um es ihr zu ermöglichen, die anderen Rechte auszuüben, die ihr gemäß der DSGVO zukommen, nämlich das Recht auf Berichtigung, das Recht auf Löschung („Recht auf Vergessenwerden“), das Recht auf Einschränkung der Verarbeitung, das Recht auf Widerspruch gegen die Verarbeitung oder auch das Recht auf einen Rechtsbehelf im Schadensfall.


Den Volltext der Entscheidung finden Sie hier:

OLG Celle: Auskunftsanspruch aus Art. 15 DSGVO ist nicht zweckgebunden und muss nicht aus den in Erwägungsgrund 63 der DSGVO genannten Gründen geltend gemacht werden

OLG Celle
Urteil vom 14.12.2022
8 U 165/22


Das OLG Celle hat entschieden, dass der Auskunftsanspruch aus Art. 15 DSGVO nicht zweckgebunden ist und nicht aus den in Erwägungsgrund 63 der DSGVO genannten Gründen geltend gemacht werden muss.

Aus den Entscheidungsgründen:
Die Auskunftsklage ist auch begründet. Entgegen der vom Landgericht und der Beklagten vertretenen Auffassung steht dem Kläger gegen die Beklagte ein Auskunftsanspruch gemäß Art. 15 DS-GVO zu.

Nach Erwägungsgrund 63 Satz 1 der DS-GVO dient das Auskunftsrecht der betroffenen Person hinsichtlich der sie betreffenden personenbezogenen Daten dem Zweck, sich der Verarbeitung (zum Begriff vgl. Art. 4 Nr. 2 DS-GVO; zu dem vom sachlichen Anwendungsbereich der Verordnung erfassten Bereich der Verarbeitung vgl. Art. 2 Abs. 1, Art. 4 Nr. 6 DS-GVO) bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können (vgl. BGH, Urteil vom 15. Juni 2021 - VI ZR 576/19).

Entscheidend für das Bestehen eines Auskunftsanspruchs ist daher, ob die von der Beklagten dem Kläger anlässlich der Beitragsanpassungen übersandten Nachträge zum Versicherungsschein Informationen nach diesen Kriterien enthalten (vgl. BGH, a.a.O.).

Gemäß Art. 4 Nr. 1 Halbsatz 1 DS-GVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Diese Definition besitzt einen weiten Anwendungsbereich. Er ist nicht auf sensible oder private Informationen beschränkt, sondern umfasst potenziell alle Arten von Informationen sowohl objektiver als auch subjektiver Natur in Form von Stellungnahmen oder Beurteilungen, wenn sie denn nur die in Rede stehende Person betreffen. Letzteres ist der Fall, wenn die Information aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer bestimmten Person verknüpft ist (vgl. EuGH, Urteil vom 20. Dezember 2017 - C-434/16 zu Art. 2 Buchst. a der RL 95/46/EG des Europäischen Parlaments und des Rates vom 24.10.1995; BGH, Urteil vom 15. Juni 2021 - VI ZR 576/19).

Schreiben des Versicherers an den Versicherungsnehmer sind grundsätzlich ihrem gesamten Inhalt nach als personenbezogene Daten gemäß Art. 4 Nr. 1 DS-GVO anzusehen. Die personenbezogene Information besteht bereits darin, dass sich die Beklagte dem Schreiben gemäß geäußert hat (vgl. BGH, a.a.O.).

Auch im vorliegenden Fall sind personenbezogene Daten im Sinne von Art. 4 Nr. 1 Halbsatz 1 DS-GVO Gegenstand des Auskunftsanspruchs. Die anlässlich der Beitragsanpassungen von der Beklagten an den Kläger übersandten Nachträge zum Versicherungsschein hatten den konkreten, zwischen den Parteien geschlossenen Vertrag zum Gegenstand und gestalteten diesen inhaltlich teilweise neu. Auch die anlässlich der Beitragsanpassung übersandten Mitteilungsschreiben unterfallen in ihrer Gesamtheit dem Begriff der personenbezogenen Daten (vgl. BGH, a.a.O.).

Bei dem Auskunftsantrag des Klägers handelt es sich auch nicht um einen offenkundig unbegründeten oder exzessiven Antrag im Sinne von Art. 12 Abs. 5 Satz 2 DS-GVO. In der Verordnung findet sich als Regelbeispiel für die Annahme eines exzessiven Antrags der Fall von häufiger Wiederholung. Davon kann im vorliegenden Fall keine Rede sein, weil der Kläger mit seiner Klage die erstmalige Erteilung einer Kopie der maßgeblichen Unterlagen begehrt. Unmaßgeblich ist auch die Motivationslage des Klägers, weil die Verordnung den Auskunftsanspruch nicht von einer bestimmten Zielsetzung des Anspruchsinhabers abhängig macht und dementsprechend der Antrag auf Auskunftserteilung auch nicht begründet werden muss (vgl. BGH, EuGH-Vorlage vom 29. März 2022 - VI ZR 1352/20; OLG Köln, Urteil vom 13. Mai 2022 - 20 U 198/21; juris Simitis/Hornung/Spiecker, DS-GVO mit BDSG, Art. 15 DS-GVO, Rn. 11; Schmidt-Wudy in: BeckOK Datenschutzrecht, Stand: 01.08.2022; DS-GVO Art. 15, Rn. 85).

Soweit die Beklagte im Berufungsverfahren behauptet, der Kläger sei noch im Besitz der ihm ursprünglich übermittelten und nunmehr streitgegenständlichen Informationen (Bl. 143 d. A.), steht das einem Auskunftsanspruch gemäß Art. 15 DS-GVO nicht entgegen. Für den von ihr erhobenen Einwand hat die Beklagte bereits keinen Beweis angeboten. Unabhängig hiervon besteht der auf Art. 15 DS-GVO gestützte Auskunftsanspruch auch dann, wenn der Betroffene bereits über die geforderten Informationen verfügt (vgl. BGH, Urteil vom 15. Juni 2021 - VI ZR 576/19; VG Schwerin, Urteil vom 29. April 2021 - 1 A 1343/19 SN; Schmidt-Wudy in: BeckOK Datenschutzrecht, Stand: 01.08.2022; DS-GVO Art. 15, Rn. 52.3).

Einem auf Art. 15 DS-GVO gestützten Auskunftsanspruch steht auch nicht entgegen, dass die entsprechende Verordnung gemäß Art. 99 Abs. 2 DS-GVO erst am 25. Mai 2018 in Kraft getreten ist, während sich der Auskunftsanspruch des Klägers auf solche Informationen bezieht, die zu einem früheren Zeitpunkt erhoben und gespeichert wurden. Insoweit findet sich in der Verordnung bereits keine ausdrückliche zeitliche Begrenzung des Auskunftsanspruchs, was für einen unbeschränkten Auskunftsanspruch auch im Hinblick auf solche Informationen spricht, die vor dem 25. Mai 2018 erhoben und/oder gespeichert wurden. Darüber hinaus dient die Verordnung gemäß Art. 1 Abs. 2 DS-GVO dem Schutz der Grundrechte und der Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten. Ein solcher Schutz würde aber weitgehend leerlaufen, wenn er sich nur auf Informationen erstrecken würde, die nach dem 25. Mai 2018 erhoben wurden. Hierfür spricht auch, dass die Vorgängerverordnung 95/46/EG mit Wirkung vom 25. Mai 2018 aufgehoben wurde und etwaige Auskunftsansprüche hierauf nicht mehr gestützt werden können. Weiter handelt es sich jedenfalls bei dem Akt der Datenspeicherung um eine fortlaufende Datenverarbeitung, die unter der Voraussetzung einer nicht bereits zuvor erfolgten Löschung - auch über den 25. Mai 2018 hinaus andauert und damit spätestens ab diesem Zeitpunkt dem Anwendungsbereich von Art. 15 DS-GVO unterfällt (vgl. Kühling/Buchner; Datenschutz-Grundverordnung/BDSG, 2. Aufl., Art. 15, Rn. 8).

Der dem Kläger gegen die Beklagte zustehende Auskunftsanspruch ist nicht verjährt. Ob eine Verjährung des nebenvertraglichen Auskunftsanspruchs bzw. des Anspruchs gemäß Art. 15 DS-GVO überhaupt möglich ist und nach welchen Vorschriften sie sich ggf. richtet, bedarf im vorliegenden Fall keiner Entscheidung. Denn selbst wenn der Auskunftsanspruch wie der auf § 242 BGB gestützte Auskunftsanspruch selbstständig und unabhängig nach der allgemeinen Frist des § 195 BGB verjähren sollte (vgl. BGH, Urteil vom 3. September 2020 - III ZR 136/18; BGH, Urteil vom 25. Juli 2017 - VI ZR 222/16), so könnte er aber jedenfalls nicht vor dem Hauptanspruch verjähren, dem er dient (vgl. BGH, Urteil vom 3. September 2020, a.a.O.; BGH, Urteil vom 25. Juli 2017, a.a.O.). Im vorliegenden Fall kann eine Verjährung sämtlicher, auf eine ggf. unwirksame Beitragsanpassung beispielsweise im Jahr 2013 gestützten Leistungsansprüche auch für die Zeit nach dem 1. Januar 2018 aber nicht festgestellt werden.

Inhaltlich ist der Auskunftsanspruch gemäß Art. 15 Abs. 3 Satz 1 DS-GVO auf die Übersendung einer Datenkopie gerichtet. Dabei beschränkt sich der Anspruch nicht auf die Übermittlung von Informationen, die der von der Datenspeicherung betroffenen Person gemäß Art. 15 Abs. 1 DS-GVO zustehen. Der Senat folgt insoweit vielmehr der in der Rechtsprechung und der Literatur vertretenen extensiven Auslegung von Art. 15 DS-GVO (vgl. OLG München, Urteil vom 4. Oktober 2021 - 3 U 2906/20; OVG Munster, Urteil vom 8. Juni 2021 - 16 A 1582/20; LAG Baden-Württemberg, Urteile vom 17. März 2021 - 21 Sa 43/20 - und vom 20. Dezember 2018 - 17 Sa 11/18; Schmidt-Wudy in: BeckOK Datenschutzrecht, Stand: 01.08.2022, DS-GVO Art. 15, Rn. 85; Schaffland/Holthaus, Datenschutz-Grundverordnung (DS-GVO)/Bundesdatenschutzgesetz (BDSG), Werkstand: 11. Ergänzungslieferung 2022; Artikel 15, Rn. 44b; a. A. Franzen in: Franzen/Gallner/Oetker, Kommentar zum europäischen Arbeitsrecht, 4. Aufl., EU (VO) 2016/679 Art. 15; Rn. 5; Paal in: Paal/Pauly, DS-GVO BDSG, 3. Aufl., DS-GVO Art. 15, Rn. 33a). Danach hat der Auskunftspflichtige die personenbezogenen Daten grundsätzlich in der Rohfassung zu übermitteln, in der sie bei ihm gespeichert sind. Denn Art. 15 Abs. 3 Satz 1 DS-GVO stellt insoweit eine eigenständige und von Art. 20 DS-GVO unabhängige Anspruchsgrundlage dar (vgl. Schmidt-Wudy in: BeckOK Datenschutzrecht, Stand: 01.08.2022, DS-GVO Art. 15, Rn. 85).

Hieraus folgt zugleich, dass der Kläger auch eine Kopie von Versicherungsscheinen und Nachträgen zum Versicherungsschein verlangen kann, wenn sie denn als solche (und nicht nur deren reiner Informationsinhalt) bei der Beklagten gespeichert sind.

Sollte der Inhalt etwa eines Versicherungsscheins sowohl in der Form des Versicherungsscheins als auch in Gestalt lediglich der im Versicherungsschein enthaltenen Informationen gespeichert sein, sind von der Beklagten grundsätzlich beide Datensätze in Gestalt einer Datenkopie herauszugeben. Denn anderenfalls kann der Kläger die mit dem Auskunftsanspruch bezweckte Überprüfung einer ordnungsgemäßen Verarbeitung (aller!) von der Beklagten gespeicherten personenbezogenen Daten nicht sinnvoll ausüben.

Demgegenüber kann Art. 15 Abs. 3 Satz 1 DS-GVO kein gegen den Auskunftspflichtigen gerichteter Anspruch entnommen werden, die übermittelten Rohdaten zusätzlich aufzubereiten, damit diese von der betroffenen Person verwendet werden können. Das folgt bereits aus der Zielrichtung des Auskunftsanspruchs, den Berechtigten von einer Verarbeitung der ihn betreffenden Daten zu informieren und ihm die Gelegenheit geben, die Verarbeitung auf ihre Rechtmäßigkeit hin zu überprüfen (vgl. VG Schwerin, Urteil vom 29. April 2021 - 1 A 1343/19 SN; Schmidt-Wudy in: BeckOK Datenschutzrecht, Stand: 01.08.2022, DS-GVO Art. 15, Rn. 2). Dieses Informationsbedürfnis kann aber nur durch Übersendung der Dateien in der Gestalt erfüllt werden, in der sie beim Auskunftspflichtigen auch gespeichert sind. Anders verhält es sich lediglich dann, wenn der Auskunftsberechtigte nur durch eine entsprechende Aufbereitung den Inhalt der gespeicherten Informationen zur Kenntnis nehmen könnte (vgl. Schaffland/Holthaus, a.a.O.; Schmidt-Wudy, a.a.O., Rn. 85).

Entgegen der Auffassung der Beklagten spricht gegen die extensive Auslegung von Art. 15 DS-GVO auch nicht das Urteil des Europäischen Gerichtshofs vom 17. Juli 2014 - C-141/12 und C-372/12. Zwar hat das Gericht entschieden, dass die betroffene Person keinen Anspruch auf die Kopie eines Dokuments oder einer Originaldatei habe, wenn das mit dem Auskunftsrecht angestrebte Ziel durch eine andere Form der Mitteilung vollständig erreicht werden könne. Allerdings bezieht sich die Entscheidung des Gerichts nicht auf Art. 15 DS-GVO, sondern auf Art. 12 Lit. a) der RL 95/46/EG. Diese sah anders als Art. 15 Abs. 3 DS-GVO aber kein Recht auf eine Datenkopie vor, sondern lediglich einen Anspruch auf unter anderem eine "Mitteilung in verständlicher Form über Daten" (vgl. auch Schmidt-Wudy in: BeckOK Datenschutzrecht, Stand: 01.08.2022, DS-GVO Art. 15, Rn. 85).

[...]

3. Der Senat hat zu D.2. die Revision sowohl wegen grundsätzlicher Bedeutung gemäß § 543 Abs. 2 Satz 1 Nr. 1 als auch zur Sicherung einer einheitlichen Rechtsprechung gemäß § 543 Abs. 2 Satz 1 Nr. 2 ZPO zugelassen. Ob ein Auskunftsanspruch gemäß Art. 15 DS-GVO zweckgebunden ist oder unabhängig von der hiermit verbundenen Zielrichtung erhoben werden kann, wird in der Rechtsprechung nicht einheitlich beurteilt. So wird teilweise die Auffassung vertreten, dass Zielrichtung der vom Versicherungsnehmer begehrten Auskunftserteilung gemäß Art. 15 DS-GVO ausschließlich sein dürfe, sich der Verarbeitung der ihn betreffenden personenbezogenen Daten bewusst zu werden und die Rechtmäßigkeit dieser Verarbeitung überprüfen zu können (vgl. OLG Dresden, Urteil vom 29. März 2022 - 4 U 1905/21; OLG Nürnberg, Urteil vom 14. März 2022 - 8 U 2907/21; OLG Hamm, Beschluss vom 15. November 2021 - 20 U 269/21).

Darüber hinaus besitzt die Frage einer Zweckgebundenheit des Auskunftsanspruchs gemäß Art. 15 DS-GVO aber auch grundsätzliche Bedeutung, weil sie sich über den Einzelfall hinaus in einer unbestimmten Vielzahl von Fällen stellen kann (bzw. bereits stellt) und deshalb für die Allgemeinheit von besonderer Bedeutung ist (vgl. BVerfG, Beschluss vom 5. Juli 2022 - 1 BvR 832/21, 1 BvR 1258/21). Ebenfalls von grundsätzlicher Bedeutung ist die Frage, welchen Umfang der Auskunftsanspruch gemäß Art. 15 DS-GVO besitzt und ob der Anspruch auf Übermittlung einer Datenkopie die Übermittlung sämtlicher beim Versicherer gespeicherter Daten umfasst.


Den Volltext der Entscheidung finden Sie hier:


LG Köln: 4.000 EURO immaterieller Schadensersatz aus Art. 82 Abs. 1 DSGVO wegen Offenlegung einer Geschäftsbeziehung zu einem Konkurrenzunternehmen gegenüber Vorgesetzten

LG Köln
Urteil vom 28.09.2022
28 O 21/22


Das LG Köln hat dem Betroffenen in diesem Fall 4.000 EURO immateriellen Schadensersatz aus Art. 82 Abs. 1 DSGVO wegen der Offenlegung einer Geschäftsbeziehung zu einem Konkurrenzunternehmen gegenüber einem Vorgesetzten zugesprochen. Der Betroffene hatte mit seiner Klage 100.000 EURO Schadensersatz verlangt. Die Klage wurde daher überwiegend abgewiesen.

Aus den Entscheidungsgründen:
Der Kläger hat gegen die Beklagte zu 1) einen Anspruch auf Zahlung eines Schadensersatzes in Höhe von 4.000 € aus Art. 82 Datenschutz-Grundverordnung (im Folgenden: DS-GVO).

1. Die Beklagte zu 1) hat personenbezogene Daten des Klägers im Sinne des Art. 4 Nr. 2 DS-GVO dadurch verarbeitet, dass sie die streitgegenständliche E-Mail an Herrn K. versandt hat. Sie muss sich dabei die Handlung ihres Angestellten, des Beklagten zu 2), zurechnen lassen. Zur Verarbeitung im Sinne der DS-GVO zählt auch die „Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung“.

Die Offenlegung der Vertragsverhältnisse zwischen der Beklagten zu 1) und dem Kläger an den Vorgesetzten des Klägers war auch rechtswidrig. Sie unterfällt keinem Rechtfertigungstatbestand nach Art. 6 Abs. 1 DS-GVO. Insbesondere ist sie nicht zur Erfüllung des Vertrags mit dem Kläger „erforderlich“, Art. 6 Abs. 1 lit. b) DS-GVO. Erforderlichkeit setzt voraus, dass ein unmittelbarer Zusammenhang zwischen der Verarbeitung und dem konkreten Zweck des Vertragsverhältnisses besteht. Ein solcher Zusammenhang ist hier nicht ersichtlich. Der Vorgesetzte des Klägers ist in keiner Weise in den Vertrag involviert und für die private Lebensführung des Klägers auch offensichtlich in keiner Weise verantwortlich. Es ist nicht im Ansatz zu erkennen, warum der Gläubiger eines Schuldverhältnisses sich veranlasst sehen dürfte, sich an den Vorgesetzten seines Schuldners zu wenden um diesen dazu zu bringen, auf den Schuldner einzuwirken. Etwas anderes ergibt sich auch nicht aus dem Umstand, dass der Kläger ebenfalls als Autoverkäufer in einem Konkurrenzunternehmen tätig ist. Gerade in diesem Fall drängt sich der Gedanke förmlich auf, dass dem Kläger aus einer Offenlegung seiner Geschäftsbeziehungen zu einem Konkurrenzunternehmen Probleme erwachsen können, was für die Erfüllung des Vertrags nicht förderlich sein dürfte.

Die Beklagte zu 1) ist für den Verstoß gegen Art. 6 Abs. 1 DS-GVO auch verantwortlich und muss sich das Verhalten ihres Mitarbeiters zurechnen lassen. Eine Exkulpation nach Art. 82 Abs. 3 DS-GVO kommt nicht in Betracht. Soweit die Beklagte zu 1) schlicht darauf abstellt, dass der Beklagte zu 2) dem Kläger keinen Schaden habe zufügen wollen, verfängt dies nicht. Die Versendung der E-Mail erfolgte vorsätzlich. Eine Schädigungsabsicht setzt Art. 82 DS-GVO nicht voraus.

2. Der Verstoß ist auch derart gravierend, dass er eine Schadensersatzpflicht der Beklagten zu 1) auslöst, allerdings nur in tenorierter Höhe.

Allein der Verstoß gegen datenschutzrechtliche Vorschriften führt nicht zu einer Verpflichtung des Verantwortlichen zur Zahlung von Schadensersatz (so auch LG Karlsruhe ZD 2019, 511). Voraussetzung eines Anspruchs auf Schadensersatz aus Art. 82 Abs. 1 DS-GVO, der im nationalen Recht unmittelbar Anwendung findet und andere Anspruchsgrundlagen nicht ausschließt (Nemitz, in: Ehmann/Selmayr, DS-GVO, 2. Aufl., Art. 82 Rn. 7), ist ein Verstoß gegen die DS-GVO und ein hierdurch verursachter Schaden, was ein Kläger darzulegen und zu beweisen hat (LG Karlsruhe, a.a.O.). Nach dem Erwägungsgrund 146 ist der Begriff des Schadens weit auszulegen, sodass Betroffene einen wirksamen Ersatz erhalten. Erwägungsgrund 85 besagt, dass eine Verletzung des Schutzes personenbezogener Daten einen physischen, materiellen oder immateriellen Schaden für natürliche Personen – wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung oder Rufschädigung – nach sich ziehen kann, wenn nicht rechtzeitig und angemessen reagiert wird. Es bedarf danach zwar keiner schweren Verletzung des Persönlichkeitsrechts, um einen immateriellen Schaden geltend zu machen (Gola/Piltz, DS-GVO, 2. Aufl., Art. 82 Rn. 13).Dennoch führt nicht bereits jeder Verstoß gegen die DS-GVO zu einer Ausgleichspflicht, denn der Verpflichtung zum Ausgleich eines immateriellen Schadens muss eine benennbar und insoweit tatsächliche Persönlichkeitsverletzung gegenüberstehen, die z.B. in der mit einer unrechtmäßigen Zugänglichmachung von Daten liegenden „Bloßstellung“ liegen kann (LG Karlsruhe, a.a.O.). Die Ermittlung des Schadens obliegt nach § 287 ZPO dem Gericht.

Der Verstoß der Beklagten zu 1) gegen die Regeln der DS-GVO ist bereits für sich derart gravierend, dass er eine entschädigungspflichtige Persönlichkeitsrechtsverletzung des Klägers begründet. Dass sich der Beklagte zu 2) hier an den Vorgesetzten des Klägers gewandt haben, ist nicht nur unangebracht und ein Verstoß gegen die DS-GVO, sondern für den Kläger auch peinlich und mit erheblichen Unannehmlichkeiten verbunden, weil er sich – unabhängig von der tatsächlichen Reaktion seines Vorgesetzten – genötigt fühlen könnte, sich gegenüber seinem Arbeitgeber dafür rechtfertigen zu müssen, bei der Konkurrenz ein Auto gekauft zu haben. Dies ist mit einem erheblichen Gefühl der Scham verbunden. Es handelt sich bei den Vertragsinformationen zwar nicht um hochsensible und höchstpersönliche Daten, der Kläger hatte jedoch ein offensichtliches Geheimhaltungsinteresse. Der Verstoß führt insoweit auch zu einem völligen Verlust der Kontrolle über die Daten, auch wenn die Information nur an eine Person geleitet wurde. Zudem erfolgte der Verstoß vorsätzlich, auch wenn der Beklagte zu 2), wie die Beklagte zu 1) unbestritten vorgetragen hat, keine Schädigungsabsicht gehabt hat.

Für die Frage der Schadensbemessung ist von Bedeutung, dass die Kammer die von dem Kläger behaupteten Folgen des Datenschutzverstoßes ihrer Entscheidung nicht zu Grunde legen kann.

Der Vortrag des Klägers zur Zerrüttung seines Arbeitsverhältnisses ist unsubstantiiert und prozessual unbeachtlich. Die Beklagte zu 1) hat sich offenbar im Betrieb des Klägers informiert und in ihrem Schriftsatz vom 23.08.2022 detailliert vorgetragen, dass es zu keiner Zerrüttung des Arbeitsverhältnisses gekommen ist. Dabei hat sie auch auf Ungereimtheiten im Vortrag des Klägers hingewiesen, die dieser selbst nicht entkräften konnte. So erfolgte die erste Krankschreibung des Klägers nicht unmittelbar nach dem streitgegenständlichen Vorfall, sondern erst einige Wochen später. Soweit der Kläger im April 2022 vorgetragen hat, seine Stelle sei neu besetzt worden und sein Vertrag ende „bald“, fehlt es an Vortrag dazu, wann dieser Zeitpunkt konkret sein soll. Da der Kläger noch mit Schriftsatz vom 02.08.2022 eine aktuelle Arbeitsunfähigkeitsbescheinigung bis zum 15.08.2022 vorgelegt hat, scheinen deutliche Zweifel angebracht, ob das Arbeitsverhältnis überhaupt in absehbarer Zeit enden wird. Auch fehlt es an substantiiertem Vortrag zu einer dauerhaften Arbeitsunfähigkeit des Klägers, da dieser nach den vorliegenden Unterlagen lediglich im Zeitraum Ende August bis Anfang Oktober 2021 und im Zeitraum um die Replik im August 2022 krankgeschrieben gewesen ist, somit lediglich für wenige Wochen. Da der Kläger auf den Vortrag der Beklagten zu 1) in ihrem Schriftsatz vom 23.08.2022 nicht mehr reagiert hat, gilt der Vortrag der Beklagten zu 1) als zugestanden.

Auch soweit der Kläger vorgetragen hat, an einer Depression zu leiden, ist sein Vortrag unbeachtlich. Ein ärztliches Attest, das diese Diagnose belegen könnte, hat er nicht vorgelegt. Sein Hausarzt hat ihm am 24.09.2021 lediglich eine „depressive Episode“ diagnostiziert. Substantiierter Sachvortrag zu seinen konkreten Symptomen, die es erlauben würden, die Diagnose einer Depression, egal in welcher Form, zu stellen, ist nicht erfolgt. Etwas anderes ergibt sich auch nicht aus dem Schreiben des Prof. X (Anlage K020). Hierbei handelt es sich nicht etwa um ein Privatgutachten, das geeignet wäre, den klägerischen Vortrag zu substantiieren, sondern um ein in einem reißerischen Tonfall geschriebenes Gefälligkeitsschreiben, das für die Kammer insgesamt unbeachtlich war. Nicht nur lässt es Prof. X an jeglicher Neutralität in Bezug auf den hier anhängigen Rechtsstreit vermissen. Es ergibt sich aus dem Schreiben noch nicht einmal, ob der Kläger bei Prof. X überhaupt in Behandlung war, so dass für die Kammer nicht ersichtlich ist, auf welcher therapeutischen Grundlage sich der Prof. X überhaupt ein Urteil zum Gesundheitszustand des Klägers anmaßt.

Die Kammer will nicht in Abrede stellen, dass der Kläger tatsächlich unter hohem psychischen Druck steht. Er war in der mündlichen Verhandlung sichtlich angefasst und schien deutlich zu leiden. Dieses Leiden ist jedoch nicht derart substantiiert im Prozess vorgetragen worden, dass es für die Kammer prozessual verwertbar wäre und für die Einholung eines psychologischen Sachverständigengutachtens gereicht hätte. Dies gilt nicht nur für den Vortrag des Klägers hinsichtlich des Vorliegens einer Depression, sondern auch für die Frage, ob gerade der Datenschutzverstoß der Beklagten für die Krankheit des Klägers kausal geworden ist. Die Einholung eines Sachverständigengutachtens würde vor diesem Hintergrund einem Ausforschungsbeweis gleichkommen.

Bei der Bemessung des Schmerzensgelds war weiterhin zu berücksichtigen, dass die Beklagte zu 1) eine strafbewehrte Unterlassungserklärung abgegeben und sich bereits mit E-Mail vom 20.07.2021 beim Kläger entschuldigt hat. Weiterhin war zu berücksichtigen, dass nach Sinn und Zweck von Art. 82 DS-GVO das Schmerzensgeld so zu bemessen ist, dass es eine abschreckende Wirkung auf die Beklagte ausübt. Dabei war jedoch auch darauf zu achten, dass auch nach der Konzeption des Art. 82 DS-GVO der Schadensersatz nicht in einen Strafschadensersatz ausartet, sondern in erster Linie der Kompensation tatsächlich entstandener Schäden beim Kläger dient (vgl. Erwägungsgrund (146) S. 5 DS-GVO: „erlittener Schaden“). In diesem Zusammenhang war für die Kammer entscheidend auf die finanzielle Situation der Beklagten zu 1) abzustellen, nicht hingegen auf die Finanzkraft des „V-Konzern s“ insgesamt. Die Beklagte zu 1) mag zum V-Konzern gehören, sie ist aber rechtlich unabhängig. Der Kläger hat nicht die Volkswagen AG verklagt, so dass der Vortrag zu deren Umsätzen unbeachtlich ist. Vortrag zur finanziellen Situation der Beklagten zu 1) fehlt indes. Daher verbietet sich auch eine Orientierung an einem möglicherweise von der Aufsichtsbehörde noch zu verhängendem Bußgeld gegen die Beklagte zu 1). Der Vortrag des Klägers zur Höhe dieses Bußgelds, insbesondere dass dieses die Höchstgrenze des Art. 83 Abs. 4 DS-GVO von 10 Milliarden EUR erreichen könnte, stellt sich vor diesem Hintergrund nicht als eine ernsthafte Prognose dar.

Unter Berücksichtigung sämtlicher dieser zuvor genannten Umstände hält die Kammer gemäß § 287 ZPO insgesamt einen Schadensersatz von 4.000 EUR für notwendig, aber auch ausreichend zur Kompensation des dem Kläger entstandenen Schadens.


Den Volltext der Entscheidung finden Sie hier:

EuGH-Generalanwalt: Anspruch auf Schadensersatz aus Art. 82 DSGVO setzt tatsächlichen materiellen oder immateriellen Schaden voraus - Kein Strafschadensersatz

EuGH-Generalanwalt
Schlussanträge vom 06.10.2022
C‑300/21
UI gegen Österreichische Post AG


Der EuGH-Generalanwalt kommt in seinen Schlussanträgen zu dem Ergebnis, dass ein Anspruch auf Schadensersatz aus Art. 82 DSGVO einen tatsächlichen materiellen oder immateriellen Schaden voraussetzt.

Das Ergebnis des EuGH-Generalanwalts:
Art. 82 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist wie folgt auszulegen:

Für die Anerkennung eines Anspruchs auf Ersatz des Schadens, den eine Person infolge eines Verstoßes gegen die genannte Verordnung erlitten hat, reicht die bloße Verletzung der Norm als solche nicht aus, wenn mit ihr keine entsprechenden materiellen oder immateriellen Schäden einhergehen.

Der in der Verordnung 2016/679 geregelte Ersatz immaterieller Schäden erstreckt sich nicht auf bloßen Ärger, zu dem die Verletzung ihrer Vorschriften bei der betroffenen Person geführt haben mag. Es ist Sache der nationalen Gerichte, herauszuarbeiten, wann das subjektive Unmutsgefühl aufgrund seiner Merkmale im Einzelfall als immaterieller Schaden angesehen werden kann.

Die vollständigen Schlussanträge finden Sie hier:


LAG Baden-Württemberg: Auskunftserteilung nach Art. 15 DSGVO kann auch per E-Mail erfolgen

LAG Baden-Württemberg
Urteil vom 10.8.2022
2 Sa 16/21

Das LAG Baden-Württemberg hat entschieden, dass die Auskunftserteilung nach Art. 15 DSGVO auch per E-Mail erfolgen kann.

Aus den Entscheidungsgründen:
Der Kläger hat gegen die Beklagte zu 1 keinen Anspruch mehr auf Auskunftserteilung gem. Art. 15 Abs. 1 DSGVO über die von ihr im Beschäftigungskontext verarbeiteten personenbezogenen Daten. Die Beklagte zu 1 hat den Auskunftsanspruch erfüllt.

1. Dass dem Kläger ein Auskunftsanspruch gemäß Art. 15 Abs. 1 DSGVO zustand, ist unstreitig.

2. Die Beklagte zu 1 hat den Anspruch erfüllt.

a) Entgegen der Auffassung des Klägers wurde die Auskunft gemäß Schreiben vom 25. Januar 2021 vom „Verantwortlichen“ erteilt. Es ist zwar zutreffend, dass Absenderin des Auskunftsschreibens nicht die Beklagte zu 1 selbst war, sondern deren bei der Konzernmutter R. ansässige Datenschutzbeauftragte Frau J. R. Gem. Art. 12 Abs. 1 DSGVO muss ein Verantwortlicher aber nur „geeignete Maßnahmen“ treffen, damit die Mitteilungspflicht gemäß Art. 15 DSGVO erfüllt wird. Die Beklagte zu 1 kann sich also zur Erfüllung ihrer Verpflichtung auch Erfüllungsgehilfen bedienen. Die Datenschutzbeauftragte ist eine geeignete Erfüllungsgehilfin.

b) Die Auskunftserteilung per E-Mail war ausreichend.

Gem. Art. 12 Abs. 1 Satz 2 DSGVO hat die Übermittlung der Information schriftlich oder in anderer Form, gegebenenfalls auch elektronisch zu erfolgen. Eine Formbindung besteht somit nicht (Paal in Paal/Pauly DSGVO 3. Aufl. Art. 15 Rn. 4).

Angesichts dessen, dass nahezu die gesamte Korrespondenz im Arbeitsverhältnis zwischen der Beklagten zu 1 und dem Kläger auch sonst elektronisch per E-Mail erfolgte, war die Auskunftserteilung per E-Mail angemessen.

c) Inhaltlich waren die gem. Art. 15 Abs. 1 Buchst. a bis h DSGVO erforderlichen Auskünfte im Anhang zur E-Mail enthalten.

Der Kläger vermochte nicht darzustellen, welche Auskünfte er als unzureichend erachtet.

VI. Der im Antrag zu 5 enthaltene Antrag auf Aushändigung von Kopien über die verarbeiteten personenbedingten Daten ist bereits unzulässig. Er ist nicht hinreichend bestimmt iSv. § 253 Abs. 2 Nr. 2 ZPO.

1. Ein Klageantrag ist hinreichend bestimmt, wenn er den erhobenen Anspruch durch Bezifferung oder gegenständliche Beschreibung so konkret bezeichnet, dass der Rahmen der gerichtlichen Entscheidungsbefugnis (§ 308 ZPO) klar abgegrenzt ist, Inhalt und Umfang der materiellen Rechtskraft der begehrten Entscheidung (§ 322 ZPO) erkennbar sind, das Risiko des eventuell teilweisen Unterliegens des Klägers nicht durch vermeidbare Ungenauigkeit auf den Beklagten abgewälzt und eine etwaige Zwangsvollstreckung nicht mit einer Fortsetzung des Streits im Vollstreckungsverfahren belastet wird. Es genügt nicht, sich auf gesetzliche Vorschriften zu berufen, die den erhobenen Anspruch vorsehen, vielmehr müssen die sich aus den Normen ergebenden Konsequenzen im Einzelfall von der klagenden Partei bei der Formulierung ihres Klageantrags berücksichtigt werden. Danach erfüllt z.B. eine bloß abstrakte Nennung der Kategorien von E-Mails, von denen eine Kopie überlassen werden soll, nicht die Voraussetzungen eines iSv. § 253 Abs. 2 Nr. 2 ZPO hinreichend bestimmten Klageantrags. Bei einer Verurteilung wäre unklar, auf welche E-Mails sich die Verurteilung zur Überlassung einer Kopie konkret bezöge und damit, ob mit einer Überlassung von in diese Kategorien fallenden E-Mails der Anspruch erfüllt wäre. Damit würde der Streit der Parteien in vermeidbarer Weise in die Vollstreckung verlagert werden. Um dies zu vermeiden ist der Kläger - soweit er selbst zu einer genaueren Bezeichnung außer Stande ist - gehalten, sein Begehren mittels einer Stufenklage (§ 254 ZPO) durchzusetzen. Diese ist zunächst auf Erteilung einer Auskunft zu richten, welche E-Mails der fraglichen Kategorien die Beklagte verarbeitet, auf der zweiten Stufe ggf. auf Versicherung an Eides statt, dass die Auskunft zutreffend und vollständig ist, und schließlich auf Überlassung einer Kopie der sich aus der Auskunft ergebenden E-Mails (BAG 27. April 2021 - 2 AZR 342/20 -).

2. Vorliegend hat der Kläger überhaupt nicht benannt, was er konkret möchte. Außer der nichtssagenden Begrifflichkeit „personenbezogene Daten im Beschäftigungskontext“ enthält der Antrag keinerlei konkrete Angaben. Es könnte im Rahmen einer Zwangsvollstreckung nicht überprüft werden, ob die Beklagte zu 1 ihre Verpflichtung vollständig nachgekommen ist oder nicht.


Den Volltext der Entscheidung finden Sie hier:

LfDI Baden-Württemberg: 50.000 EURO Bußgeld wegen missbräuchlicher Verwendung von Grundbuchdaten durch Bauträgerunternehmen zu Werbezwecken - DSGVO-Verstoß

Der LfDI Baden-Württemberg hat ein Bußgeld in Höhe von 50.000 EURO wegen der missbräuchlichen Verwendung von Grundbuchdaten durch ein Bauträgerunternehmen zu Werbezwecken verhängt.

Die Pressemitteilung der Datenschutzbehörde:
Bußgeld: Daten aus dem Grundbuch stehen nicht zur freien Verfügung

LfDI Baden-Württemberg hat Geldbußen wegen missbräuchlicher Verwendung von Grundbuchdaten verhängt

Auch Daten aus öffentlichen Registern wie dem Grundbuch stehen nicht zur freien Verfügung

Der Landesbeauftragte Dr. Stefan Brink: „Verantwortliche sollten sich bewusstmachen, dass auch öffentliche Daten Schutz genießen und nicht zur freien Verfügung stehen. Die im vorliegenden Fall verhängten Geldbußen machen deutlich, dass sich heimliche Datenverarbeitungen unter Ausnutzung spezieller Zugriffsrechte nicht auszahlen. Die Datenschutz-Grundverordnung gilt auch im hart umkämpften Markt um Bauland.“

Wegen rechtswidriger Datenerhebung und –weitergabe und Verstößen gegen die Informationspflichten hat der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg Geldbußen gegen ein Bauträgerunternehmen und einen Vermessungsingenieur in Höhe von 50.000 Euro und 5.000 Euro verhängt.

Ein Grundstückseigentümer in einem Neubaugebiet hatte ein Schreiben eines Bauträgers erhalten, in dem ihm ein Kaufpreisangebot für sein Grundstück unterbreitet wurde. Eine Information über die Herkunft seiner Daten enthielt das Schreiben nicht, auch auf Nachfrage wurde dem Adressaten nicht mitgeteilt, woher der Bauträger dessen Daten hatte, insbesondere die Kenntnis von dessen Eigentümerstellung.

Die Bußgeldstelle beim Landesbeauftragten ermittelte anschließend, dass ein Vermessungsingenieur von seiner Befugnis zur Einsichtnahme in das elektronische Grundbuch im automatisierten Abrufverfahren Gebrauch gemacht und in zwei Fällen mehrere Hundert Grundstückseigentümer ohne deren Kenntnis identifiziert und die entsprechenden Informationen an einen Bauträger weitergegeben hatte. Dieser wiederum schrieb die so ermittelten Eigentümer mit einem Kaufpreisangebot für deren Grundstücke an, ohne die notwendigen Informationen nach Art. 14 DS-GVO zu erteilen, insbesondere ohne über die Herkunft der Daten zu informieren.

Dieses Vorgehen stellt einerseits einen Verstoß gegen Art. 6 Abs. 1 DS-GVO dar. So ist bei der Interessenabwägung im Rahmen des Art. 6 Abs. 1 Buchst. f DS-GVO zu berücksichtigen, dass zwischen den Grundstückseigentümern und dem Bauträger keine vorherige Geschäftsbeziehung bestand und die Eigentümer nicht davon ausgehen mussten, dass ihre Daten im Grundbuch für werbliche Ansprachen zur Verfügung stehen. Hierbei kommt besondere Bedeutung der Tatsache zu, dass Grundstückseigentümer weder der Eintragung im Grundbuch noch der Datenübermittlung widersprechen können, vielmehr werden ihre Daten auf Grund einer gesetzlichen Pflicht erhoben. Diese gesetzliche Pflicht dient aber nicht der werblichen Ansprache, sondern der Rechtssicherheit bei Grundstücksgeschäften. Dementsprechend ist für das grundbuchrechtliche Einsichtsrecht auch allgemein anerkannt, dass ein alleiniges Erwerbsinteresse nicht zur Einsichtnahme berechtigt, es vielmehr bereits der konkreten Vertragsverhandlungen bedarf.

Zudem lag auch ein Verstoß gegen Art. 14 DS-GVO vor, indem den Eigentümern – auch bei Kontaktaufnahme – keine Informationen zur Datenverarbeitung zur Verfügung gestellt wurden. Diese Informationen sind aber wesentliche Voraussetzung für betroffene Personen, um ihre Betroffenenrechte nach den Art. 15 ff. DS-GVO geltend machen zu können. Ein Ausschlussgrund war vorliegend auch nicht gegeben, insbesondere stellt § 12 GBO keine Rechtsvorschrift im Sinne des Art. 14 Abs. 5 Buchst. c DS-GVO dar, da sich für betroffene Personen bei Einsichtnahme durch Dritte aus § 12 GBO weder die datenerhebende Stelle noch Umfang, Zweck oder Dauer der Datenerhebung ersichtlich sind.

Bei der Zumessung der Geldbuße wurde neben der Anzahl der betroffenen Personen, der Art der betroffenen Daten und der Bedeutung der verletzten Vorschriften vor allem die Kooperation der verantwortlichen Stellen im Bußgeldverfahren berücksichtigt.

Die Geldbußen wurden von den Verantwortlichen akzeptiert und sind zwischenzeitlich rechtskräftig.


LG Kassel: Rechtsmissbrauch wenn Auskunft gemäß Art. 15 DSGVO nicht aus vom Erwägungsgrund 63 der DSGVO genannten Gründen verlangt wird

LG Kassel
05.07.2022
5 O 1954/21

Das LG Kassel hat entschieden, dass es rechtsmissbräuchlich ist, wenn Auskunft gemäß Art. 15 DSGVO nicht aus vom Erwägungsgrund 63 der DSGVO genannten Gründen verlangt wird.

Aus den Entscheidungsgründen:
a) Der Auskunftsanspruch ergibt sich insbesondere nicht aus Art. 15 DS-GVO.

Zum einen handelt es sich bei den Tarifprämien weder um personenbezogene Daten im Sinne dieser Vorschrift noch hat die Vorschrift ohnehin nicht den Zweck, dem Versicherungsnehmer die Geltendmachung vermögensrechtlicher Ansprüche zu ermöglichen. Insoweit macht sich das Gericht die folgenden überzeugenden Ausführungen des OLG München Hinweisbeschluss v. 24.11.2021 – 14 U 6205/21, BeckRS 2021, 40311 Rn. 36-50 zu eigen:

4.2.1 Die Tarifprämien sind keine personenbezogenen Daten im Sinne dieser Vorschrift.

Entgegen Berufungsbegründung Seite 19 dokumentieren sie nämlich nicht „den individualisierten Versicherungsschutz der versicherten Personen unter Berücksichtigung des Gesundheitszustands“, sondern geben lediglich Aufschluss darüber, welcher Preis die durch den Versicherungsvertrag verwirklichte Vorsorge dieser Person hat. Was die Person für die Versicherungsleistung ausgibt, ist nicht unter die personenbezogenen Daten zu rechnen. Wenn „die Kalkulation der Beitragshöhe für jeden Tarifindivduell“ erfolgt, so macht das die Prämienhöhe noch nicht zu einer Angabe die die Identifizierung einer bestimmten Person ermöglicht.

Ob im Falle einer Änderung von Risikozuschläge, die unmittelbar an Vorerkrankungen oder vorhergegangenen Gesundheitsprüfungen anknüpfen, eine personenbezogene Angabe Vorlage (Berufungsbegründung Seite 19 unten) kann hier offenbleiben, da nicht vorgetragen ist, dass es sich im Einzelfall so verhielte.

Die Angabe, welche Prämien ein Versicherungsnehmer (auch in mehreren aufeinanderfolgenden Jahren) bezahlt hat, hat nicht dieselbe Qualität, wie sie die Berufungsbegründung (Seite 20 oben) zum Vergleich heranziehen will („Angaben zum Versicherungskonto, Gesprächsnotizen und Telefonvermerke, regulierte Leistungen, eingereichte Rezepte und Rechnungen gespeicherte Korrespondenz“).

4.2.2 Von all dem abgesehen ist Sinn und Zweck von Art. 15 Abs. 3 DSGVO nicht die büromäßig strukturierte Aufarbeitung von Unterlagen des Versicherungsnehmers für diesen durch den Versicherer mit dem Ziel, dem Versicherungsnehmer anschließend die Geltendmachung vermögensrechtlicher Ansprüche zu ermöglichen, wenn er seine Unterlagen nicht aufbewahrt hat.

Sondern die DSGVO bezweckt eine effektive Kontrolle des jeweils Betroffenen darüber welche Daten der Verantwortliche besitzt und was damit weiter geschieht, Art. 15 Abs. 3 DSGVO hat zwar auch die Durchsetzung von Rechten der betroffenen Person im Auge, jedoch betrifft das nicht vermögensrechtliche Ansprüche, sondern durch das Auskunftsrecht sollen persönliche Rechte aus dem 3. Abschnitt unterstutzt werden, beispielsweise Löschungsansprüche.

Selbst wenn man dies anders beurteilen würde, so stünde der Beklagten aus Art. 12 Abs. 5 s. 2 b) DS-GVO ein Weigerungsrecht zu, da es sich um einen rechtsmissbräuchlichen Antrag handelt. Aus Erwägungsgrund 63 S. 1 DS-GVO dient das Auskunftsrecht der betroffenen Person hinsichtlich der sie betreffenden personenbezogenen Daten dem Zweck, sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können (vgl. BGH, Urteil vom 15.06.2021, VI ZR 576/19). Um ein derartiges Bewusstwerden zum Zweck der Überprüfung datenschutzrechtlicher Zulässigkeit der Verarbeitung personenbezogener Daten geht es dem Kläger aber bereits nach eigenem Vorbringen nicht. Vielmehr geht es diesem – wie bereits dargelegt – ausschließlich darum, die von der Beklagten vorgenommenen Prämienanpassungen auf mögliche formeller oder auch materielle Mängel hin überprüfen zu können. Eine derartige Vorgehensweise ist vom Schutzzweck der DS-GVO aber gerade nicht umfasst (vgl. nur OLG Hamm, Hinweisbeschluss vom 15.11.2021 - 20 U 269/21; nunmehr auch OLG Dresden, a.a.O.).

b) Auch aus § 242 BGB ergibt sich kein Auskunftsanspruch.

Ein aus dem Gesichtspunkt von Treu und Glauben wurzelnder Auskunftsanspruch setzt voraus, dass die zwischen den Parteien bestehenden Rechtsbeziehungen es mit sich bringen, dass der Anspruchsberechtigte in entschuldbarer Weise über das Bestehen oder den Umfang eines Rechts im Ungewissen ist und der Verpflichtet in der Lage ist, unschwer die zur Beseitigung dieser Ungewissheit erforderliche Auskunft zu erteilen (vgl. BGH, Urteil vom 01.08.2013 – VII ZR 268/11). Daran fehlt es hier jedoch.


Den Volltext der Entscheidung finden Sie hier:



BAG: 1.000 EURO immaterieller Schadensersatz aus Art. 82 DSGVO wegen verspätetet Auskunft nach Art. 15 DSGVO nicht zu niedrig

BAG
Urteil vom 05.05.2022
2 AZR 363/21

Das BAG hat entschieden, dass 1.000 EURO immaterieller Schadensersatz aus Art. 82 DSGVO wegen verspätetet Auskunft nach Art. 15 DSGVO nicht zu niedrig ist.

Aus den Entscheidungsgründen:
Das Landesarbeitsgericht hat die Höhe des immateriellen Schadenersatzes mit 1.000,00 Euro nicht ermessensfehlerhaft zu niedrig festgesetzt.

a) Bei der Bemessung der Höhe eines Schadenersatzanspruchs nach § 287 Abs. 1 ZPO steht den Tatsachengerichten ein weiter Ermessensspielraum zu, innerhalb dessen sie die Besonderheiten jedes einzelnen Falls zu berücksichtigen haben. Die Festsetzung unterliegt nur einer eingeschränkten Überprüfung durch das Revisionsgericht. Sie kann von diesem nur darauf überprüft werden, ob die Rechtsnorm zutreffend ausgelegt, ein Ermessen ausgeübt, die Ermessensgrenze nicht überschritten wurde und ob das Berufungsgericht von seinem Ermessen einen fehlerfreien Gebrauch gemacht hat, indem es sich mit allen für die Bemessung der Entschädigung maßgeblichen Umständen ausreichend auseinandergesetzt und nicht von sachfremden Erwägungen hat leiten lassen (vgl. BAG 28. Mai 2020 - 8 AZR 170/19 - Rn. 28, BAGE 170, 340; BGH 23. April 2012 - II ZR 163/10 - Rn. 68, BGHZ 193, 110).

b) Danach ist die Bemessung der Höhe des Schadenersatzes durch das Landesarbeitsgericht revisionsrechtlich nicht zu beanstanden. Ob die vom Berufungsgericht als „naheliegend“ erachtete Orientierung am Kriterienkatalog in Art. 83 Abs. 2 Satz 2 DSGVO möglich oder sogar geboten ist, kann dahinstehen. Selbst wenn dies nicht der Fall sein sollte, hätte sich das Landesarbeitsgericht nicht von sachfremden Erwägungen zulasten der Klägerin leiten lassen.

aa) Es hat zunächst zugunsten der Klägerin in Rechnung gestellt, dass die Beklagte eine vollständige Auskunft nach Art. 15 Abs. 1 DSGVO bis zuletzt nicht erteilt und ihre Verpflichtung jedenfalls grob fahrlässig verkannt habe. Selbst wenn das Berufungsgericht einen dieser Gesichtspunkte zu Unrecht in seine Erwägungen eingestellt hätte, wäre die Klägerin dadurch nicht beschwert.

bb) Das Landesarbeitsgericht hat ferner ohne Rechtsfehler in seine Würdigung einbezogen, dass die persönliche Betroffenheit der Klägerin durch die nicht vollständige Erfüllung ihres Auskunftsanspruchs in Anbetracht des maßgeblichen Anliegens ihres Auskunftsbegehrens „überschaubar“ gewesen sei.

(1) Es hat das Auskunftsbegehren dahin ausgelegt, dass es der Klägerin maßgeblich um die Arbeitszeitaufzeichnungen gegangen sei. Diese habe ihr die Beklagte mit Schreiben vom 13. August 2020 aber übersandt. Damit hat das Landesarbeitsgericht eine Gewichtung des konkreten Ausmaßes der Beeinträchtigung der Klägerin durch die nicht vollständige Erfüllung ihres Auskunftsanspruchs vorgenommen und dieser eine relativ geringere Bedeutung beigemessen, als wenn es der Klägerin ebenso maßgeblich um Auskunft über ihre übrigen bei der Beklagten gespeicherten personenbezogenen Daten gegangen wäre.

(2) Das lässt keinen Ermessensfehlgebrauch erkennen. Wenn die Erlangung von Kontrolle über ihre übrigen personenbezogenen Daten nicht das primäre Ziel der Klägerin war, wiegt auch die Beeinträchtigung durch das Vorenthalten dieses Teils der begehrten Auskunft weniger schwer. Einen Rechtsfehler zeigt insoweit auch die Revision nicht auf. Sie beanstandet zwar, das Landesarbeitsgericht habe nicht berücksichtigen dürfen, dass die Klägerin den Auskunftsanspruch gerichtlich nicht weiterverfolgt habe. Das Berufungsgericht hat dies aber nicht für sich genommen als einen die Beklagte entlastenden Umstand bewertet, wie die Klägerin meint, sondern lediglich als - weiteren - Beleg für sein Verständnis des primären Ziels des Auskunftsverlangens. Dass dieses Verständnis unzutreffend sei, macht auch die Klägerin nicht geltend.

cc) Andere Aspekte hat das Landesarbeitsgericht nicht zulasten der Klägerin gewürdigt.

dd) Soweit das Berufungsgericht bei der Anspruchsbemessung nicht ausdrücklich problematisiert hat, ob der Schadenersatzanspruch nach Art. 82 Abs. 1 DSGVO auch einen präventiven Charakter hat und damit auch eine Abschreckungsfunktion erfüllen muss (vgl. auch zu dieser Fragestellung das Vorabentscheidungsersuchen BAG 26. August 2021 - 8 AZR 253/20 (A) -, vor dem EuGH anhängig unter - C-667/21 - [Krankenversicherung Nordrhein]), ist dies im Ergebnis ebenfalls ohne Rechtsfehler. Zugunsten der Klägerin kann unterstellt werden, dass dem Anspruch ein solcher Präventionscharakter zukommt. Seine vom Berufungsgericht festgesetzte Höhe hat hinreichend abschreckende Wirkung.

(1) Der Betrag von 1.000,00 Euro ist fühlbar und hat nicht nur symbolischen Charakter (vgl. zur nicht ausreichenden Umsetzung der Richtlinien 2000/43/EG und 2000/78/EG bei einer nur symbolischen Sanktion EuGH 15. April 2021 - C-30/19 - [Braathens Regional Aviation] Rn. 39; 25. April 2013 - C-81/12 - [Asociaţia Accept] Rn. 64). Bloß symbolisch wäre es etwa, die Entschädigung einer Person, die Opfer einer Diskriminierung beim Zugang zur Beschäftigung wurde, auf die Erstattung ihrer Bewerbungskosten zu beschränken (EuGH 10. April 1984 - C-14/83 - [von Colson] Rn. 24). Darüber geht der hier zugesprochene Schadenersatz deutlich hinaus.

(2) Ebenfalls eine Präventionsfunktion hat eine wegen einer Verletzung des allgemeinen Persönlichkeitsrechts geschuldete Entschädigung; auch diese kann mit einem Betrag in Höhe von 1.000,00 Euro ausreichend bemessen sein, wie etwa im Falle einer datenschutzwidrigen Observation mit heimlichen Videoaufnahmen durch einen Detektiv (BAG 19. Februar 2015 - 8 AZR 1007/13 - Rn. 14 und 33).

(3) Der immaterielle Schaden nach Art. 82 Abs. 1 DSGVO hat - anders als eine Entschädigung nach § 15 Abs. 2 AGG (dazu BAG 28. Mai 2020 - 8 AZR 170/19 - Rn. 17 ff., BAGE 170, 340) - keinen erkennbaren Bezug zur Höhe eines dem Gläubiger zustehenden Arbeitsentgelts, so dass keine Anhaltspunkte dafür bestehen, dass es sich dabei um ein relevantes Bemessungskriterium für die Höhe des Schadenersatzes handeln könnte. Selbst wenn dies anders zu sehen sein sollte, entspräche der hier festgesetzte Betrag mehr als dem zweifachen der zwischen den Parteien vereinbarten monatlichen Vergütung. Für eine Entschädigung nach § 15 Abs. 2 AGG, die ebenfalls eine Abschreckungsfunktion erfüllen muss, ist bereits ein Betrag in Höhe des 1,5-fachen des auf einer Stelle erzielbaren Entgelts als ausreichend anzusehen, um die notwendige abschreckende Wirkung zu erzielen (BAG 28. Mai 2020 - 8 AZR 170/19 - Rn. 39, aaO).

(4) Entgegen der Auffassung der Klägerin musste das Landesarbeitsgericht dem Umstand, dass die Beklagte anwaltlich vertreten war, auch unter dem Gesichtspunkt der Prävention keine den Schadenersatzanspruch erhöhende Bedeutung beimessen. Die Abschreckungsfunktion kann sich nur auf die Vermeidung künftiger Verstöße gegen die DSGVO beziehen, nicht aber darauf, ob sich eine Partei bei der Erfüllung ihrer Verpflichtungen nach der DSGVO anwaltlich hat vertreten lassen. Die Hinzuziehung eines Rechtsanwalts ist weder allgemein noch nach der DSGVO verpönt.


Den Volltext der Entscheidung finden Sie hier:


OLG Köln: 500 EURO immaterieller Schadensersatz aus Art. 82 DSGVO wegen verspäteter Auskunft nach Art. 15 DSGVO kann gerechtfertigt sein

OLG Köln
Urteil vom 14.07.2022
15 U 137/21


Das OLG Köln hat entschieden, dass 500 EURO immaterieller Schadensersatz aus Art. 82 DSGVO wegen verspäteter Auskunft nach Art. 15 DSGVO gerechtfertigt sein kann.

BFH: Für Schadenersatzanspruch aus Art. 82 DSGVO gegen Finanzbehörden ist der Finanzrechtsweg eröffnet

BFH
Beschluss vom 28.06.2022
II B 92/21


Der BFH hat entschieden, dass für einen Schadenersatzanspruch aus Art. 82 DSGVO gegen Finanzbehörden der Finanzrechtsweg eröffnet ist.

Aus den Entscheidungsgründen:
1. Einfachgesetzlich ist der Finanzrechtsweg für den Schadenersatzanspruch aus Art. 82 DSGVO gemäß § 33 Abs. 1 Nr. 4 FGO i.V.m. § 32i Abs. 2 Satz 1 AO eröffnet.

a) Nach § 33 Abs. 1 Nr. 4 FGO ‑‑Nrn. 1 bis 3 kommen ersichtlich nicht in Betracht‑‑ ist in anderen als den in den Nrn. 1 bis 3 bezeichneten öffentlich-rechtlichen Streitigkeiten der Finanzrechtsweg gegeben, soweit er für diese durch Bundesgesetz oder Landesgesetz eröffnet ist. Nach § 32i Abs. 2 Satz 1 AO (vormals § 32i Abs. 2 AO) ist für Klagen der betroffenen Person hinsichtlich der Verarbeitung personenbezogener Daten gegen Finanzbehörden oder gegen deren Auftragsverarbeiter wegen eines Verstoßes gegen datenschutzrechtliche Bestimmungen im Anwendungsbereich der DSGVO oder der darin enthaltenen Rechte der betroffenen Person der Finanzrechtsweg gegeben.

b) Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ‑‑mithin die DSGVO‑‑ ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

c) Eine Klage auf Schadenersatz nach Art. 82 Abs. 1 DSGVO ist eine Klage "hinsichtlich der Verarbeitung personenbezogener Daten ... wegen eines Verstoßes gegen datenschutzrechtliche Bestimmungen im Anwendungsbereich der [DSGVO]" i.S. des § 32i Abs. 2 Satz 1 Alternative 1 AO.

aa) Die Wendungen in Art. 82 Abs. 1 DSGVO einerseits ("Verstoß gegen diese Verordnung") und in § 32i Abs. 2 Satz 1 Alternative 1 AO andererseits ("Verstoß gegen datenschutzrechtliche Bestimmungen im Anwendungsbereich der DSGVO") sind gleichbedeutend, denn die DSGVO enthält nur datenschutzrechtliche Bestimmungen.

bb) Die Schadenersatzklage ist auch eine Klage "hinsichtlich der Verarbeitung personenbezogener Daten ...", wie es der erste Satzteil des § 32i Abs. 2 Satz 1 Alternative 1 AO erfordert. Nach Art. 4 Nr. 2 DSGVO ist "Verarbeitung" jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten. Der Begriff umfasst, wie die folgende beispielhafte Aufzählung verdeutlicht, jeglichen Umgang mit Daten. Ein Verstoß gegen die DSGVO, wie ihn Art. 82 DSGVO verlangt, ist deshalb ohne Verarbeitung nicht denkbar.

d) Aus § 40 Abs. 2 Satz 1 VwGO, der für Schadenersatzansprüche aus der Verletzung öffentlich-rechtlicher Pflichten, die nicht auf einem öffentlich-rechtlichen Vertrag beruhen, den ordentlichen Rechtsweg vorsieht, folgt einfachgesetzlich schon deshalb nichts Gegenteiliges, weil § 32i Abs. 2 AO nur als lex specialis zu dieser Vorschrift verstanden werden kann.

2. Auch aus verfassungsrechtlichen Gründen ergibt sich keine Zuständigkeit der ordentlichen Gerichte für den streitigen Schadenersatzanspruch. Es handelt sich nicht um einen Amtshaftungsanspruch i.S. des Art. 34 Satz 1 GG.

a) Verletzt jemand in Ausübung eines ihm anvertrauten öffentlichen Amtes die ihm einem Dritten gegenüber obliegende Amtspflicht, so trifft nach Art. 34 Satz 1 GG die Verantwortlichkeit grundsätzlich den Staat oder die Körperschaft, in deren Dienst er steht. Art. 34 Satz 3 GG verbietet es, für Amtshaftungsansprüche die Zuständigkeit der allgemeinen ordentlichen Gerichte auszuschließen (Dagtoglou in: Kahl/Waldhoff/Walter, Bonner Kommentar zum Grundgesetz, 1. Aufl. 2021, Art. 34, Rz 359).

b) Der Anspruch aus Art. 82 Abs. 1 DSGVO ist auch dann, wenn er sich gegen eine Behörde richtet, kein Anspruch aus der Verletzung von Amtspflichten i.S. des Art. 34 Satz 1 GG, da es sich nicht um eine auf die Behörde übergeleitete Haftung des Amtsträgers, sondern um eine originäre Haftung der Behörde handelt.

aa) Die Rechtsweggarantie des Art. 34 Satz 3 GG hat, soweit sie den Anspruch gegen die Anstellungskörperschaft betrifft, allein die übergeleitete Haftung des Amtsträgers zum Gegenstand, nicht hingegen Ansprüche aus unmittelbarer Staatshaftung. Die in Art. 34 Satz 1 GG angesprochene Amtspflicht ist die Pflicht des Amtsträgers persönlich. Art. 34 GG leitet die durch § 839 des Bürgerlichen Gesetzbuchs (BGB) begründete persönliche Haftung des Beamten auf den Staat über. § 839 BGB ist die haftungsbegründende Vorschrift, während Art. 34 GG die haftungsverlagernde Norm darstellt. Der Staat wird durch die Übernahme der persönlichen Beamtenhaftung nach § 839 BGB zwar Haftungssubjekt, aber nicht Zurechnungssubjekt (Urteil des Bundesverfassungsgerichts ‑‑BVerfG‑‑ vom 19.10.1982 - 2 BvF 1/81 "Amtshaftung", BVerfGE 61, 149, BGBl I 1982, 1493, unter C.I.2.b dd (1)). Das bedeutet, dass Art. 34 Satz 3 GG neben dem Rückgriffsanspruch gegen den Amtsträger auch nur die Ansprüche des Art. 34 Satz 1 GG erfasst, namentlich den Schadenersatzanspruch gegen den Amtsträger selbst sowie den übergeleiteten Haftungsanspruch gegen den Staat. Art. 34 GG verbietet es zwar nicht, unmittelbare Staatshaftungsansprüche einzuführen (BVerfG-Urteil in BVerfGE 61, 149, BGBl I 1982, 1493, unter C.I.2.b dd (1)), trifft dafür aber auch keine Regelung.

bb) Der Schadenersatzanspruch nach Art. 82 Abs. 1 DSGVO richtet sich gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Verantwortlicher ist nach Art. 4 Nr. 7 DSGVO die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Sowohl der Begriff des Verantwortlichen als auch der des Auftragsverarbeiters ist mithin institutionell zu verstehen. Soweit in einer Behörde Daten verarbeitet werden, ist damit nicht der jeweilige Amtsträger persönlich Verantwortlicher i.S. der DSGVO und folglich auch nicht Adressat des Anspruchs. Der Anspruch richtet sich vielmehr unmittelbar gegen den Staat bzw. eine seiner Institutionen. Damit handelt es sich um einen gegenüber den in Art. 34 GG erfassten Amtshaftungsansprüchen grundlegend anders gearteten Anspruch.

cc) Der Schadenersatzanspruch nach der DSGVO kann in Anspruchskonkurrenz neben einen Amtshaftungsanspruch aus § 839 BGB i.V.m. Art. 34 GG treten (vgl. Urteil des Oberlandesgerichts Düsseldorf vom 28.10.2021 - 16 U 275/20, Monatsschrift für Deutsches Recht 2022, 435, Rz 69; BeckOK DatenschutzR/Quaas, 39. Ed. 01.11.2021, DSGVO Art. 82 Rz 8; Hans-Jürgen Schaffland; Gabriele Holthaus in: Schaffland/Wiltfang, Datenschutz-Grundverordnung/Bundesdatenschutzgesetz, Stand April 2022, Art. 82, Rz 34a; Gola DSGVO/Gola/Piltz, 2. Aufl. 2018, DSGVO Art. 82 Rz 28; Paal/Pauly/Frenzel, 3. Aufl. 2021, DSGVO Art. 82 Rz 20). Davon geht die DSGVO ausweislich Erwägungsgrund 146 Satz 4 selbst aus (vgl. Ehmann/Selmayr/Nemitz, 2. Aufl. 2018, DSGVO Art. 82 Rz 7). Das entspricht dem Grundsatz, dass auch sonst zwischen einem Amtshaftungsanspruch und einem auf demselben Tatsachenkomplex beruhenden Entschädigungsanspruch Anspruchskonkurrenz bestehen kann (so zu einem enteignungsgleichen Eingriff Urteil des Bundesgerichtshofs vom 11.01.2007 - III ZR 302/05, BGHZ 170, 260, Neue Juristische Wochenschrift 2007, 830, unter B.II.2.a; ausdrücklich für den unionsrechtlichen Staatshaftungsanspruch BeckOK GG/Grzeszick, 51. Ed. 15.05.2022, GG Art. 34 Rz 4).

Das bedeutet jedoch nicht, dass die Rechtswegzuweisung des Art. 34 Satz 3 GG sich auch auf den jeweils konkurrierenden Anspruch erstreckt. Ebenso wenig gilt die Rechtswegzuweisung nach § 32i Abs. 2 AO für den Amtshaftungsanspruch. Nach § 17 Abs. 2 Satz 2 GVG tritt vielmehr eine Rechtswegspaltung ein.

dd) Soweit das Hessische Landessozialgericht (LSG) in seinem Beschluss vom 26.01.2022 - L 6 SF 7/21 DS (juris, Beschwerde beim Bundessozialgericht anhängig unter B 1 SF 1/22 R) in dem Anspruch aus Art. 82 Abs. 1 DSGVO einen Amtshaftungsanspruch sieht, für den die Rechtswegzuweisung des Art. 34 Satz 3 GG der spezialgesetzlichen Zuweisung der DSGVO-Sachen zur Sozialgerichtsbarkeit gemäß § 81b Abs. 1 des Zehnten Buchs Sozialgesetzbuch, einer mit § 32i Abs. 2 Satz 1 AO weitgehend wortgleichen Vorschrift, vorgehe, teilt der Senat diese Auffassung nicht. Das Hessische LSG geht davon aus, Art. 34 Satz 3 GG umfasse (jegliche) schadenersatzrechtliche Haftungsregelungen des Staates, wenn hoheitliches Handeln eines seiner Amtswalter rechtswidrig einen kompensationsfähigen Schaden verursacht habe (Rz 23). Der Senat erachtet dieses Verständnis sowohl angesichts des Wortlauts des Art. 34 Satz 3 GG als auch angesichts des Urteils des BVerfG in BVerfGE 61, 149, BGBl I 1982, 1493 für zu weitgehend. Es ist zwar zutreffend, dass Art. 34 GG für sich genommen kein Verschuldenserfordernis kennt, worauf das Hessische LSG abstellt. Damit allein wird die Amtspflicht jedoch nicht definiert. Die vom Hessischen LSG in diesem Zusammenhang zitierten Literaturauffassungen gehen in Übereinstimmung mit dem BVerfG davon aus, dass die Staatshaftung nach aktueller Rechtslage lediglich durch Überleitung der Eigenhaftung des Amtsträgers auf den Staat entsteht (Papier/Shirvani in Dürig/Herzog/Scholz, Komm. z. GG, Art. 34 Rz 17, 218; BeckOK GG/Grzeszick, a.a.O., Rz 19 bis 20.1).

3. Eine Vorlage des Rechtsstreits an den EuGH nach Art. 267 AEUV ist nicht veranlasst. Es ist nicht im Ansatz erkennbar, warum Art. 82 DSGVO einer nationalen Regelung entgegenstehen könnte, die den Schadenersatzanspruch ebenso wie andere datenschutzrechtliche Ansprüche der Finanzgerichtsbarkeit zuweist. Ob umgekehrt unionsrechtliche Bedenken bestünden und deshalb ggf. eine Vorlage angezeigt wäre, wenn das nationale Recht die allgemeinen datenschutzrechtlichen Ansprüche einerseits und den Schadenersatzanspruch andererseits unterschiedlichen Gerichten zuwiese ‑‑so wie es der Auffassung des FG, aber auch des Hessischen LSG entspricht‑‑, muss nicht mehr entschieden werden.


Den Volltext der Entscheidung finden Sie hier:

LG Ravensburg legt EuGH Fragen zur Auslegung von Art. 82 DSGVO vor - u.a. Bagatellgrenze für Anspruch aus Art. 82 DSGVO

LG Ravensburg
Beschluss vom 30.06.2022
1 S 27/22


Das LG Ravensburg hat dem EuGH Fragen zur Auslegung von Art. 82 DSGVO zur Entscheidung vorgelegt. U.a. geht es um die Frage, ob eine Bagatellgrenze / Erheblichkeitsschwelle für Ansprüche aus Art. 82 DSGVO besteht.

Aus den Entscheidungsgründen:

Das Vorabentscheidungsersuchen betrifft die Auslegung von Artikel 82 Abs. 1 DSGVO.

Das Vorabentscheidungsersuchen ergeht im Rahmen eines Rechtsstreits zwischen den Klägern und der Beklagten. Die Kläger nehmen die Beklagte unter anderem auf Zahlung eines Schmerzensgeldes für die Verletzung der DSGVO in Anspruch. Die Beklagte hatte am 19.06.2020 ohne Einverständnis der Kläger im Internet eine Tagesordnung für eine Gemeinderatssitzung veröffentlicht, in der mehrfach die Namen der Kläger genannt wurden, und ein am 10.03.2020 vom Verwaltungsgericht Sigmaringen verkündetes Urteil veröffentlicht, in dessen Rubrum die Kläger ungeschwärzt mit Vor- und Nachname und ihrer Anschrift aufgeführt waren. Diese Unterlagen waren auf der Homepage der Beklagten bis zum 22.06.2020 einsehbar.

Artikel 82 Abs. 1 DSGVO lautet:

"Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter".

Erwägungsgrund Nr. 146 Satz 3 und Satz 6 der DSGVO hat auszugsweise folgenden Wortlaut:

"Der Begriff des Schadens sollte im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht [...]. Die betroffenen Personen sollten einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten".

Die Kammer geht davon aus, dass die Beklagte durch die Veröffentlichung der personenbezogenen Daten der Kläger im Internet gegen Artikel 5 Abs. 1 a DSGVO verstoßen hat. Die Kammer hat daher darüber zu entscheiden, ob den Klägern ein Anspruch auf Zahlung eines Schmerzensgeldes zusteht. Die Kammer neigt zu der Annahme, der bloße Verlust der Datenhoheit genüge im vorliegenden Fall nicht aus, um einen immateriellen Schaden der Kläger gemäß Artikel 82 Abs. 1 DSGVO zu rechtfertigen. Die Kammer neigt zu der Annahme, für die Bejahung eines immateriellen Schadens müsse eine Bagatellgrenze überschritten sein, die bei einem lediglich kurzfristigen Verlust der Datenhoheit, der keinerlei spürbare Nachteile für die betroffenen Personen verursacht habe, nicht überschritten sei. Die Entscheidung des Rechtsstreits hängt daher von der Vorlagefrage ab.

Es besteht in der Literatur und Rechtsprechung weitgehend Einigkeit, dass die deutsche Rechtsprechung, die immateriellen Schadensersatz bei Persönlichkeitsrechtsverletzungen nur bei einer schwerwiegenden Verletzung zuerkennt, für die Auslegung von Artikel 82 Abs.1 DSGVO nicht herangezogen werden kann (Kühling/Buchner/Bergt, DSGVO, 3. Auflage, Artikel 82 Rn. 17 ff; Wolff/Brink/Quaas; BeckOK, Datenschutzrecht, Artikel 82 DSGVO Rn. 31 f; Gola/Piltz, Datenschutzgrundverordnung, 2. Auflage, Artikel 82 DSGVO, Rn. 12 f; Spittka, GRUR-Prax 2019, 475; LG Darmstadt, ZE 2020, 642; LG Frankfurt, ZE 2020, 639; einschränkend Wytibul, NJW 2019, 3265). Die Kammer hat in einem früheren Berufungsverfahren (Az. 1 S 108/20) die Auffassung vertreten, nicht jeder Verstoß gegen die DSGVO, insbesondere nicht jede unzulässige Verarbeitung personenbezogener Daten, führe automatisch zu einem Anspruch auf immateriellen Schadensersatz. Schmerzensgeld solle auch nach Artikel 82 Abs.1 DSGVO nicht für jeden Bagatellverstoß ohne ernsthafte Beeinträchtigung bzw. lediglich individuell empfundene Unannehmlichkeiten gewährt werden. Vielmehr müsse ein spürbarer Nachteil entstanden sein und es müsse eine objektiv nachvollziehbare Beeinträchtigung persönlichkeitsbezogener Belange vorliegen.

Will ein Gericht, wie vorliegend, infolge der Verneinung eines (immateriellen) Schadens eine Klage abweisen, weil es von dem Vorhandensein einer sog. "Bagatellgrenze" ausgeht, die für einen Anspruch auf Zahlung eines Schmerzensgeldes überschritten sein muss, ist es zu einer eigenständigen Auslegung des Schadensbegriffs nicht berechtigt, sondern hat die Frage, wie der Schadensbegriff des Artikel 82 Abs. 1 DSGVO auszulegen ist, dem EuGH vorzulegen (BVerfG, Beschluss von 14.1.2021 – 1 BvR 2853/19 = NJW 2021, 1005).

Bis zur Entscheidung des EuGH über die Vorlagefrage wird das Berufungsverfahren ausgesetzt.


Den Volltext der Entscheidung finden Sie hier:

OLG Köln: Auskunftsanspruch aus Art. 15 DSGVO ist nicht teleologisch einschränkend auszulegen und kann nicht nur aus Gründen gemäß Erwägungsgrund 63 der DSGVO geltend gemacht werden

OLG Köln
Urteil vom 22.05.2022
20 U 198/21


Das OLG Köln hat entschieden, dass der Auskunftsanspruch aus Art. 15 DSGVO nicht teleologisch einschränkend auszulegen ist und nicht nur aus Gründen gemäß Erwägungsgrund 63 der DSGVO geltend gemacht werden kann.

Aus den Entscheidungsgründen:
bb. Der Auskunftsanspruch ergibt sich jedoch – wovon das Landgericht zutreffend ausgegangen ist - aus Art. 15 Abs. 1, 3 DS-GVO.

Nach Art. 15 Abs. 1 DS-GVO hat jede betroffene Person, nach Art. 4 Nr. 1 DS-GVO also jede durch personenbezogene Daten identifizierbare oder identifizierte Person, das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie u. a. ein Recht auf Auskunft über diese personenbezogenen Daten. Gemäß Art. 15 Abs. 3 DS-GVO hat der Verantwortliche eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung zu stellen.

Der Begriff der „personenbezogenen Daten“ nach Art. 4 DS-GVO ist dabei weit gefasst (BGH, Urteil vom 15.06.2021, Az. VI ZR 576/19 – zitiert nach juris; vgl. dazu auch unser Urteil vom 26.07.2019 in der Sache 20 U 75/18). Er ist insbesondere nicht auf sensible oder private Informationen beschränkt, sondern umfasst potenziell alle Arten von Informationen sowohl objektiver als auch subjektiver Natur unter der Voraussetzung, dass es sich um Informationen über die in Rede stehende Person handelt (BGH, Urteil vom 15.06.2021, Az. VI ZR 576/19 – zitiert nach juris). Die letztgenannte Voraussetzung ist erfüllt, wenn die Information aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer bestimmten Person verknüpft ist (BGH, Urteil vom 15.06.2021, Az. VI ZR 576/19 – zitiert nach juris). Nicht erforderlich ist, dass es sich um „signifikante biografische Informationen“ handelt, die „im Vordergrund“ des fraglichen Dokuments stehen (BGH, Urteil vom 15.06.2021, Az. VI ZR 576/19 – zitiert nach juris).

Der BGH hat im Rahmen seines Urteils vom 15.06.2021 (Az. VI ZR 576/19 – zitiert nach juris) ausdrücklich klargestellt, dass insbesondere weder Daten des Versicherungsscheins noch die zurückliegende Korrespondenz von Versicherungsnehmer und Versicherer kategorisch vom Anwendungsbericht des Art. 15 DS-GVO ausgeschlossen sind. Die Schreiben des Versicherers an den Versicherungsnehmer sollen dem Auskunftsanspruch vielmehr insoweit unterfallen, als sie Informationen über den Versicherungsnehmer nach den dargestellten Kriterien enthalten.

Im vorliegenden Fall begehrt die Klägerin Auskunft über die Höhe der Beitragserhöhungen in den Jahren 2011 bis 2016 unter Benennung der jeweiligen Tarife durch Zurverfügungstellung der hierzu übermittelten Informationen in Form von Anschreiben, Nachträgen zum Versicherungsschein sowie der zum Zwecke der Beitragserhöhungen übermittelten Begründungen sowie Beiblätter.

Unproblematisch mit der Person des Versicherungsnehmers verknüpft sind die Nachträge zu dem Versicherungsschein; denn aus diesen ergibt sich, in welchem Inhalt und zu welchen Konditionen für den Versicherungsnehmer bei dem Versicherer Versicherungsschutz besteht.

Auch die hierzu übersandten Anschreiben weisen die erforderliche Verknüpfung auf; denn regelmäßig ergibt sich aus diesen (anderes trägt auch die Beklagte nicht vor), dass der Versicherungsnehmer unter einem bestimmten Datum von einer Änderung in Bezug auf seinen Versicherungsvertrag in Kenntnis gesetzt worden ist. Sie stellen regelmäßig zugleich Begründungsschreiben nach § 203 Abs. 5 VVG dar, für die die Verknüpfung daraus folgt, dass diesen zu entnehmen ist, dass und inwieweit Änderungen aus welchen Gründen in einem für den Versicherungsnehmer bestehenden Tarif erfolgt sind.

Die erforderliche Verknüpfung ist schließlich auch für mit den Begründungsschreiben etwa auch übermittelte Beiblätter zu bejahen. Regelmäßig enthalten die Beiblätter zwar – wie die Beklagte vorträgt und wie dem Senat aus zahlreichen Verfahren aus eigener Anschauung bekannt ist – keine konkret auf den Vertrag des jeweiligen Versicherungsnehmers oder dessen Person bezogene Informationen. Diese werden vielmehr identisch einer unbestimmten Vielzahl von Versicherungsnehmern übersandt. Die erforderliche Verknüpfung ergibt sich aber aus dem Umstand, dass diese Beiblatt zu dem jeweiligen Begründungsschreiben waren und damit Teil der mitgeteilten Begründung – hinreichend oder nicht – für die Beitragsanpassung sind. Dies gilt vor allem – aber nicht nur dann – wenn die Beiblätter in dem jeweiligen Anpassungsschreiben ausdrücklich in Bezug genommen werden.

Ob die entsprechenden Informationen dem Versicherungsnehmer bereits bekannt sind (was hier unterstellt werden kann, da die ursprüngliche Übersendung durch die Klägerin nicht bestritten wird) und ob dieser die Unterlagen noch hat oder entschuldbar nicht mehr hat, ist insoweit irrelevant. Denn der BGH hat klargestellt, dass der Umstand, dass Schreiben dem Versicherungsnehmer bekannt sind, den datenschutzrechtlichen Auskunftsanspruch nicht ausschließt (Urteil vom 15.06.2021, Az. VI ZR 576/19 – zitiert nach juris). Dieser könne auch wiederholt Auskunft verlangen.

Soweit die Beklagte meint, jedenfalls nur Kopien der bezogenen Daten, die Gegenstand der Verarbeitung seien, zur Verfügung stellen zu müssen, nicht aber Kopien der betreffenden Akten oder Unterlagen, erschließt sich auf der Grundlage ihres Vortrags schon nicht, wie eine Zurverfügungstellung von Kopien der hier streitgegenständlichen Daten ihrerseits – wenn nicht durch eine Kopie der Unterlagen – erfolgen soll. Die bloße Mitteilung jedenfalls, dass es ein Anpassungsschreiben mit Beiblatt gab, ist zur Erfüllung des Auskunftsanspruchs ersichtlich nicht geeignet.

Zwar wird ein Anspruch auf Herausgabe von Kopien von Unterlagen zum Teil (vgl. etwa OLG Stuttgart, Urt. v. 16.6.2021 – 7 U 325/20) mit der Begründung verneint, nach dem Wortlaut von Art. 15 Abs. 3 S. 1 DS-GVO habe die betroffene Person einen Anspruch nur auf die Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung seien. Der Senat teilt indes die Auffassung des OLG München (Urteil vom 04.10.2021, Az. 3 U 3906/29 - zitiert nach juris; so auch Schmidt-Wudy in: BeckOK Datenschutzrecht, 39. Edition, Stand 01.11.2021, Art, 15 Rn. 85 m.w.N.; Koreng, NJW 2021, 2692), wonach der Begriff der Datenkopie i.S.v. Art. 15 Abs. 3 DS-GVO, der einen eigenständigen Anspruch neben Art. 15 DS-GVO beinhaltet, extensiv auszulegen ist. Folge ist, dass der betroffenen Person von der speichernden Stelle sämtliche von ihm gespeicherten personenbezogenen Daten in der bei ihm vorliegenden Rohfassung als Kopie zu übermitteln sind. Die Urteile des EuGH vom 17.07.2014, Az. C-141/12 und C-372/12 (zitiert nach juris) können zur Begründung der gegenteiligen Auffassung der Beklagten schon deshalb nicht herangezogen werden, weil diese nicht zu Art. 15 DS-GVO, sondern zur Vorgängerregelung in RL 95/46/EG ergangen sind.

Die Geltendmachung eines auf Art. 15 DS-GVO gestützten Auskunftsanspruchs in Fällen wie dem vorliegenden ist auch nicht als rechtsmissbräuchlich, § 242 BGB, zu bewerten.

Richtig ist, dass das Auskunftsrecht der betroffenen Person hinsichtlich der sie betreffenden personenbezogenen Daten dem Zweck dient, sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können (vgl. Erwägungsgrund 63 zur DS-GVO). Es mag unterstellt werden, dass es der Klägerin im vorliegenden Fall im Ergebnis nicht, jedenfalls nicht primär, um den Schutz ihrer Daten geht, sondern um die Vorbereitung vermögensrechtlicher Ansprüche. Der Geltendmachung eines auf Art. 15 DS-GVO gestützten Auskunftsanspruchs steht dies jedoch nicht entgegen. Entsprechendes kann insbesondere nicht der Entscheidung des BGH vom 15.06.2021 (Az. VI ZR 576/19) entnommen werden. Eine Festlegung dazu, ob ein datenschutzrechtlicher Auskunftsanspruch auch besteht, wenn ein Versicherungsnehmer Zwecke verfolgt, die Art. 15 Abs. 1 DS-GVO nicht schützt, ist dort gerade nicht erfolgt.

In Rechtsprechung und Literatur ist die Frage umstritten.

Das OLG München (Hinweisbeschluss vom 24.11.2021, Az. 14 U 6205/21; so sowohl im Ergebnis als auch in der Begründung auch OLG Hamm, Beschluss vom 15.11.2021, Az. 20 U 269/21) etwa hat einen Auskunftsanspruch in einem ähnlich gelagerten Fall (auch) mit der Begründung abgewiesen, dass Sinn und Zweck von Art. 15 Abs. 3 DS-GVO nicht sei, die büromäßig strukturierte Aufarbeitung von Unterlagen des Versicherungsnehmers für diesen durch den Versicherer mit dem Ziel, dem Versicherungsnehmer anschließend die Geltendmachung vermögensrechtlicher Ansprüche zu ermöglichen, wenn er seine Unterlagen nicht aufbewahrt habe.

Nach Auffassung des erkennenden Senats ist eine entsprechende teleologische Einschränkung jedoch nicht vorzunehmen (vgl. bereits das Urteil vom 26.07.2019 in der Sache 20 U 75/18). Daraus, dass Zweck von Art. 15 DS-GVO ist, die Rechtmäßigkeit der Verarbeitung der personenbezogenen Daten sicherzustellen und dem Betroffenen die Durchsetzung der hierzu in der DS-GVO vorgesehenen Rechte zu ermöglichen, folgt keineswegs zwingend , dass der Anspruch auch nur zu diesem Zwecke ausgeübt werden darf. Der Senat teilt vielmehr die ihn überzeugende Auffassung von Bäcker (in: Kühling/Buchner, DS-GVO BDSG, 3. Auflage 2020, Art. 15 Rn. 42d; so auch Wälder, r+s 2021, 98; Schmidt-Wudy in: BeckOK Datenschutzrecht, 39. Edition, Stand 01.11.2021, Art, 15 Rn. 85 ff. m.w.N.), der ausführt, dass sich die Funktion von Art. 15 DS-GVO nicht in einer solchen datenschutzinternen Nutzung der erlangten Informationen erschöpfe. Vielmehr bezwecke die Verordnung insgesamt den Schutz der Rechte und Freiheiten der Person gegen Beeinträchtigungen und Gefährdungen durch Verarbeitungen personenbezogener Daten. Nutze die betroffene Person ihr Recht auf eine Datenkopie, um Informationsasymmetrien zwischen sich und dem Verantwortlichen abzubauen und so ihre Rechte und Freiheiten zu wahren, so sei dies ein legitimes und rechtlich anzuerkennendes Ziel. Dabei komme es nicht darauf an, ob diese Rechte und Freiheiten selbst im Datenschutzrecht oder in einer anderen Teilordnung des Rechts verankert seien. Unbedenklich und grundsätzlich zu erfüllen sei darum etwa ein Kopieersuchen, mit dem die betroffene Person sich Informationen zur Vorbereitung eines Gerichtsverfahrens gegen den Verantwortlichen, in dem sie datenschutzexterne Ansprüche geltend machen will, beschaffen wolle.

Angemerkt sei darüber hinaus, dass es nach Auffassung des Senats ohnehin kaum je auszuschließen sein wird, dass es dem Versicherungsnehmer zumindest auch um den Schutz seiner Daten geht. Auch vor diesem Hintergrund erscheint es als nicht sinnvoll, das Bestehen des Auskunftsanspruchs nach der DS-GVO von einer entsprechenden – nicht überprüfbaren – Behauptung zur inneren Motivation des jeweiligen Anspruchstellers abhängig zu machen.

Unter Zugrundelegung dessen ist die Beklagte auch nicht berechtigt, die Auskunft nach Art. 12 Abs. 5 S. 2 DS-GVO zu verweigern. Denn der Antrag stellt sich nicht allein deshalb als exzessiv dar, weil es der Klägerin nicht primär um die Wahrung ihrer Rechte aus der DS-GVO gehen mag. Für eine Schikane oder ein in unangemessen kurzen Abständen wiederkehrendes Auskunftsersuchen ist ebenfalls nichts ersichtlich. Ob das Ansinnen der Beklagten, die Überprüfung der Rechtmäßigkeit der von ihr gestellten Beitragsforderungen durch ihren Versicherungsnehmer durch die Nichtherausgabe gespeicherter Unterlagen nach Möglichkeit zu erschweren, vor dem Hintergrund vertraglicher Fürsorgepflichten schutzwürdig ist, mag dahinstehen.

Die Beklagte kann all dem schließlich auch nicht entgegenhalten, der Auskunftsantrag sei auf Ausforschung gerichtet und widerspreche daher dem zivilprozessualen Beibringungsgrundsatz. Denn vorliegend geht es nicht um die Frage der Substantiierung und Darlegungslast im Zivilprozess, sondern um das Bestehen eines materiell-rechtlichen Auskunftsanspruchs.

Der Anspruch ist entgegen der Annahme der Beklagten auch nicht durch Erfüllung erloschen. Erteilt hat die Beklagte als Anlage C 22 (Bl. 582 d.A.) zur Berufungsbegründung zwar nunmehr Auskunft zur Beitragshöhe in den jeweiligen Tarifen. Hierdurch ist indes keine, auch keine teilweise Erfüllung eingetreten ist, weil sich aus den tabellarischen Übersichten nur die Höhe der im jeweiligen Tarif insgesamt zu entrichtenden Beiträge, nicht aber der jeweilige Erhöhungsbetrag ersehen lässt. Dieser lässt sich auch nicht in allen Fällen errechnen, weil etwa der Beitrag für das Jahr 2010 als Ausgangswert nicht angegeben ist.

Der auf Art. 15 DS-GVO gestützte Auskunftsanspruch ist schließlich auch nicht verjährt. Eine Verjährung könnte hier frühestens mit der Löschung der gespeicherten Daten beginnen, die die Beklagte jedoch selbst nicht behauptet. Darauf, ob Zahlungsansprüche, die mit Hilfe der erteilten Auskünften substantiiert werden könnten, verjährt wären, kommt es für den datenschutzrechtlichen Auskunftsanspruch nicht an.


Den Volltext der Entscheidung finden Sie hier:

LG Köln: 1.200 EURO Schadensersatz aus Art. 82 Abs. 1 DSGVO wenn Verantwortlicher Zugangsdaten eines ehemaligen IT-Dienstleister nicht zeitnah löscht

LG Köln
Urteil vom 18.05.2022
28 O 328/21


Das LG Köln hat in diesem Fall entschieden, dass der Betroffene einen Anspruch auf 1.200 EURO Schadensersatz aus Art. 82 Abs. 1 DSGVO hat, da der Verantwortliche die Zugangsdaten eines ehemaligen IT-Dienstleister nicht zeitnah gelöscht hatte.

Aus den Entscheidungsgründen:

Der Kläger hat im tenorierten Umfang Anspruch auf Ersatz eines immateriellen Schadens aus Art. 82 Abs. 1 DSGVO. Nach dieser Vorschrift hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

Die Beklagte hat dadurch, dass sie die der Fa. C. zur Verfügung gestellten Zugangsdaten nach Ende der Vertragsbeziehung nicht änderte, gegen ihre Verpflichtung aus Art. 32 DSGVO sowie aus Art. 5 DSGVO verstoßen. Nach Art. 32 DSGVO haben der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Gemäß Art. 5 Abs. 1 lit. f) DSGVO müssen personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“).

Die Kammer nimmt einen Verstoß gegen diese Vorgaben aufgrund des zwischen den Parteien unstreitigen Umstandes an, dass die der Fa. C. zur Verfügung gestellten Zugangsdaten nach Beendigung der vertraglichen Beziehung zu der Vertragspartnerin über mehrere Jahre nicht verändert wurden. Damit schuf die Beklagte das Risiko, dass die Daten der Betroffenen nicht nur im Falle von ihr selbst zu verantwortender Unzulänglichkeiten, sondern auch durch von Seiten von Mitarbeitern der C. vorsätzlich oder fahrlässig ermöglichte Zugriffe einem Missbrauch ausgesetzt waren. Die Beklagte kann sich angesichts der Sensibilität der gespeicherten Kundendaten insbesondere nicht darauf berufen, sie habe davon ausgehen können, dass die Daten seitens C. dauerhaft und vollständig gelöscht werden würden (so auch in einem Parallelfall LG München I, Urt. v. 9.12.2021, 31 O 16606/20, juris, Rn. 36). Jedenfalls wäre eine Überprüfung der Löschung angezeigt gewesen, die die Beklagte aber ebenfalls nicht vorträgt.

Das der Beklagten anzulastende Versäumnis war – was ausreichend ist – jedenfalls mitursächlich für den dem Kläger entstandenen Schaden (vgl. LG München I a.a.O. Rn. 39).

Dem Kläger entstand auch ein Schaden im Sinne des Art. 82 DSGVO. Die Erwägungsgründe 75 und 85 DS-GVO zählen beispielhaft auf, welche konkreten Beeinträchtigungen einen "physischen, materiellen oder immateriellen Schaden" darstellen können, so etwa Diskriminierung, Identitätsdiebstahl oder -betrug, finanzieller Verlust, Rufschädigung, unbefugte Aufhebung einer Pseudonymisierung oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile. Nach Erwägungsgrund 146 DS-GVO muss der Begriff des Schadens zudem "im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht" und die "betroffenen Personen sollen einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten". Im Vordergrund steht hier eine abschreckende Wirkung des Schadensersatzes, die insbesondere durch dessen Höhe erreicht werden soll. Dieser Gedanke wird auch aus Art. 4 III EUV abgeleitet. Danach sind die Mitgliedstaaten angehalten, Verstöße wirksam zu sanktionieren, weil nur so eine effektive Durchsetzung des EU-Rechts – und damit auch der DS-GVO – gewährleistet ist (LG München I a.a.O. Rn. 41 mit w.N.).

Aufgrund des dem Kläger mit Schreiben vom 19.10.2020 mitgeteilten Umfangs der entwendeten persönlichen Daten geht die Beklagte ausweislich dieses Schreibens selbst davon aus, dass versucht werden konnte, die Betroffenen zu bestimmten Verhaltensweisen zu bewegen, insbesondere zur Preisgabe von weiteren vertraulichen Informationen oder Zahlungen zu veranlassen, sowie dass die Gefahr bestand, dass es mit Hilfe der Daten zu Identitätsmissbrauchsversuchen kommen würde. Auf die weiteren, teilweise zwischen den Parteien streitigen, Umstände der tatsächlichen oder gefühlten Beeinträchtigung des Klägers durch den Vorfall kommt es nach Auffassung der Kammer vor diesem Hintergrund nicht maßgeblich an.

Für die Bemessung der Höhe des Schadensersatzes können die Kriterien des Art. 83 Abs. 2 herangezogen werden, wie etwa die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung, die betroffenen Kategorien personenbezogener Daten, wobei die Ermittlung im Übrigen dem Gericht nach § 287 ZPO obliegt (LG München I a.a.O. Rn. 44 m.w.N.).

Hier war bei der Bemessung der Höhe zu berücksichtigen, dass ein Missbrauch der Daten zu Lasten des Klägers bislang nicht festgestellt werden musste, und es daher einstweilen bei einer Gefährdung geblieben ist. Wie vom LG München I a.a.O. zutreffend herausgearbeitet, muss allerdings auch die Absicht des EU-Verordnungsgebers berücksichtigt werden, mit Hilfe des Schadensersatzanspruchs eine abschreckende Wirkung zu erzielen. Zu Gunsten der Beklagten fällt allerdings – wie in der mündlichen Verhandlung bereits ausgeführt, ins Gewicht, dass der ihr zuzurechnende Datenschutzverstoß nur eine von mehreren Ursachen war, die erst im Zusammenwirken den Schadenseintritt bewirkten. Denn hinzu kam ein weiterer mindestens fahrlässiger Verstoß bei der Fa. C. sowie nicht zuletzt das vorsätzliche rechtswidrige Vorgehen der Hacker selbst. Zu berücksichtigen ist auch, dass die Beklagte dem Kläger vorübergehend das „meine Schufa Plus“ Angebot finanzierte. Unter Abwägung der maßgeblichen Gesichtspunkte erachtet die Kammer damit eine Schadensersatzzahlung in der tenorierten Höhe für angemessen.


Den Volltext der Entscheidung finden Sie hier:


OLG Koblenz: Höhe des immateriellen Schadensersatzanspruchs aus Art 82 DSGVO ist unter Berücksichtigung seiner Funktion zum Ausgleich, zur Genugtuung und zur Generalprävention zu bestimmen

OLG Koblenz
Urteil vom 18.05.2022
5 U 2141/21


Das OLG Koblenz hat entschieden, dass die Höhe des immateriellen Schadensersatzanspruchs aus Art 82 DSGVO unter Berücksichtigung seiner Funktion zum Ausgleich, zur Genugtuung und zur Generalprävention zu bestimmen ist.

Leitsätze des Gerichts:

1. Der immaterielle Schadensersatzanspruch nach Art 82 DSGVO bestimmt sich der Höhe nach unter Berücksichtigung seiner Funktion zum Ausgleich, zur Genugtuung und zur Generalprävention.

2. Die Höhe muss berücksichtigen, dass der Einmeldung von Zahlungsstörungen auch im Verbraucherinteresse liegt, so dass die Verantwortlichen durch die Höhe des immateriellen Schadensersatzes nicht gänzlich davon abgehalten werden dürfen, Einmeldungen vorzunehmen.

Aus den Entscheidungsgründen:

a) Der Begriff des immateriellen Schadens im Sinne von Art. 82 Abs. 1 DSGVO ist - europarechtlich autonom und die in den Erwägungsgründen zur DSGVO niedergelegten Zielsetzungen aufnehmend - weit auszulegen.

Bereits aus dem Wortlaut der Norm ergibt sich, dass ein immaterieller Schadensersatzanspruch kausale Folge der Pflichtverletzung sein kann. Er ist allerdings von den materiellen Schäden, etwa wegen einer verweigerten oder nur zu ungünstigeren Bedingungen zustande gekommenen Kreditgewährung oder der Versagung bestimmter Zahlungsmethoden mit der Folge höherer Transaktionskosten, abzugrenzen und zu unterscheiden. Diese Trennung gelingt der Beklagten in ihren Erwägungen zur Höhe des Anspruches nicht immer.

Andererseits spricht der Wortlaut der Norm dafür, dass der europäische Gesetzgeber nicht davon ausgeht, dass schon allein die Pflichtverletzung den materiellen Schaden begründet (so auch Laoutoumai, K&R 2022, 25, 27; LG Saarbrücken v. 22.11.2021, 5 O 151/19 in seinem Vorlagebeschluss an den EuGH). Ein Anspruch auf den Schadensersatz besteht nämlich nur, wenn „ein materieller oder immaterieller Schaden entstanden ist“. Dieser Differenzierung im Wortlaut hätte es nicht bedurft, wenn bereits der Verstoß konstitutiv für den Anspruch wäre. Insoweit folgt der Senat nicht dem Bundesarbeitsgericht (26.08.2021, 8 AZR 253/20, Rn. 33 - juris), welches annimmt, dass „bereits die Verletzung der DSGVO selbst zu einem auszugleichenden immateriellen Schaden“ führt. Es muss mithin ein irgendwie gearteter immaterieller Schaden entstanden sein. Zwar geht der Anspruch dann in seiner Zielrichtung über einen erlittenen Schaden heraus, verzichtet aber aufgrund weitergehender Zielsetzungen hierauf nicht. Insoweit bleibt Grundlage des Anspruchs ein Individualrecht zu schützen. Art 82 DSGVO ist nicht Teil des kollektiven Rechtsschutzes. Das wirft die Frage auf, wann von einem erlittenen Schaden auszugehen ist.

Diese Fragestellung ist von der Annahme abzugrenzen, im Rahmen von Art. 82 Abs. 1 DSGVO sei eine Bagatellgrenze zu berücksichtigen. Eine Bagatellgrenze normiert Art. 82 Abs. 1 DSGVO seinem Wortlaut nach nicht und eine solche erscheint auch im Übrigen nicht angezeigt. Schon im nationalen Recht wurden einer solchen Grenze im Rahmen der Schuldrechtsreform 2002 verfassungsrechtliche Bedenken entgegengehalten (Ebert in: Erman, BGB, 16. Aufl. 2020, § 253 BGB, Rn. 14a). Der Gesetzgeber verwarf solche Ansätze deshalb (BT-Drucks. 14/8780). Ist ein immaterieller Schaden entstanden, ist dessen Schwere im Rahmen der Höhe des Ersatzanspruches zu berücksichtigen, nicht aber bei einer notwendigerweise nur willkürlich zu setzenden Bagatellgrenze zu finden. Soweit der BGH eine Korrektur aus Gründen der Billigkeit angenommen hat (BGH NJW 1992, 1043, Rn. 8; BGH NJW 1993, 2173) beruhte dies einerseits auf einer heute nicht mehr gültigen Norm (§ 847 BGB) und knüpfte andererseits nicht an einer Bagatellgrenze an, sondern an dem Umstand, dass weder die Ausgleichs- noch die Genugtuungsfunktion derart tangiert waren, dass ein immaterieller Schaden überhaupt entstanden ist. Es fehlt also in der zuletzt genannten Konstellation an einem „erlittenen Schaden“.

Da der bisherige § 8 Abs. 2 BDSG, der den Ersatz immaterieller Schäden von einer schweren Verletzung des Persönlichkeitsrechts des Betroffenen abhängig machte, nicht mehr anwendbar ist, kann auf die dazu ergangene Rechtsprechung zum Schadensbegriff nicht zurückgegriffen werden. Insoweit ist auch die nationale Rechtsprechung, die daran - teilweise bei nur verbaler Distanzierung - festhält (vgl. OLG Dresden v. 12.1.2021, 4 U 1600/20, Rn. 31 - juris; OLG Dresden v. 20.08.2020, 4 U 784/20, Rn. 32 - juris; AG Hannover v. 09.03.2020, 531 C 10952/19, Rn. 21 ff. - juris; AG Frankfurt a.M. v. 10.07.2020, 385 C 155/19, Rn. 28 - juris), abzulehnen.

Die Kategorien des nationalen Schadensersatzrechtes sind mithin nicht zielführend, um den Begriff des immateriellen Schadensersatzes im Sinne des Art. 82 DSGVO europarechtlich autonom auszulegen. Der Schadensbegriff des Art. 82 Abs. 1 DSGVO ist ein europarechtlicher Begriff, bei dessen Ausfüllung nicht auf nationale Erheblichkeitsschwellen oder andere Einschränkungen abgestellt werden darf (vgl. Kühling/Buchner/Bergt, 3. Aufl. 2020, DS-GVO Art. 82 Rn. 18a-18b).

Der Begriff des Schadens soll nach dem Erwägungsgrund 146 S. 3 EU-DSGVO „im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht.“ Daraus kann abgeleitet werden, dass der nach Abs. 1 bereits weite – weil Ansprüche aus § 253 BGB bereits umfassende – Schadensbegriff im Zweifel nicht begrenzend auszulegen sein wird (vgl. Paal/Pauly/Frenzel, 3. Aufl. 2021, DS-GVO Art. 82 Rn. 10). Einen Ausschluss vermeintlicher Bagatellschäden sieht die DSGVO nicht vor.

Der immaterielle Schadensersatz ist mithin auch ein Instrument, um die Ziele der DSGVO, wie sie in deren Art. 1 niedergelegt sind, unter dem Schutzzweck des Individualrechtsschutzes zu verwirklichen. Kern ist danach der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten im Schutzbereich der Grundrechte und der Grundfreiheiten im konkreten Einzelfall.

Der Funktion eines immateriellen Schadensersatzanspruches dienend, sind deshalb verschiedene Aspekte in die Bemessung des immateriellen Schadensersatzes der Höhe nach einzube-

ziehen. Zunächst die immaterielle und individuelle Ausgleichsfunktion wegen der Schutzgutverletzung, sodann die den Verstoß feststellende Genugtuungsfunktion und letztlich die generalpräventive Einwirkung auf den Schädiger zur künftigen Beachtung des Datenschutzes. In diesem Sinne kommt Art. 82 DSGVO kein Strafcharakter zu - dieser ist vielmehr das staatliche Gewaltmonopol respektierend in Art. 84 DSGVO niedergelegt, sehr wohl aber eine Anreizfunktion für den Verantwortlichen, hinreichende Sicherungsmaßnahmen zum Schutz der personenbezogenen Daten der betroffenen Person zu treffen.

Wegen der in Erwägungsgrund 146 S. 3 geforderten weiten Auslegung sieht der Senat mit Stimmen in der Literatur bereits in dem unguten Gefühl der Ungewissheit, ob personenbezogene Daten Unbefugten bekannt geworden sind, einen erlittenen immateriellen Schaden. Potentielle Schäden sind deshalb beispielsweise Ängste, Stress sowie Komfort- und Zeiteinbußen und die potentielle Stigmatisierung, die Diskriminierung, die Rufschädigung und der Verlust von Vertraulichkeit durch einen Negativeintrag bei einer Auskunftei, ohne dass dieser an Dritte übermittelt wird (vgl. hierzu auch Kühling/Buchner/Bergt, 3. Aufl. 2020, DS-GVO Art. 82 Rn. 18a-18b; Quaas, BeckOK Datenschutzrecht, 39. Ed., Stand 01.11.2021, Rn. 24). Dieser immaterielle Schaden, auch, wenn er im Einzel- und Regelfall niederschwellig sein wird, ist auszugleichen. Einen Schaden erst dann anzunehmen, wenn es zu einer mit einer unrechtmäßigen Zugänglichmachung von Daten liegenden (öffentlichen) Bloßstellung, einem Identitätsdiebstahl, einer Weitergabe sensibler Informationen oder einer anderen ernsthaften Beeinträchtigung für das Selbstbild oder Ansehen einer Person kommt, und ein besonderes immaterielles Interesse zu verlangen, das über den allein durch die Verletzung an sich hervorgerufenen Ärger oder sonstige Gefühlsschäden hinausgeht, verkennt den autonom und nach Erwägungsgrund 146 ausdrücklich weit auszulegenden Begriff des Schadens (Kühling/Buchner/Bergt, 3. Aufl. 2020, DS-GVO Art. 82 Rn. 18a-18b) und missachtet den individuellen Ausgleichsanspruch im Hinblick auf die aufgezeigten Folgen. Eine solche Sichtweise greift also zu kurz. Die vorgenannten Beschränkungen bleiben bei der Frage nach dem Schadensersatzanspruch dem Grunde nach außer Betracht, sondern sind erst im Kontext der Höhe des Ersatzanspruches zu berücksichtigen. Maßgeblich ist, ob die betroffene Person mit dem Beweismaß des § 286 ZPO die immaterielle Betroffenheit darlegen und nachweisen kann. Deren Intensität ist dann mit dem Beweismaß des § 287 ZPO bei der Höhe des Anspruches zu berücksichtigen. Erst hier kommen dann die weiter denkbaren immateriellen Beeinträchtigungen der Bloßstellung oder das notwendige Schutzniveau der betroffenen Daten zum Tragen.

Die Genugtuungsfunktion kommt dann - ergänzend - zum Tragen, wenn es zu einer tatsächlichen Beeinträchtigung der Schutzgüter im Verhältnis zu Dritten im Sinne einer Verwendung der pflichtwidrig verarbeiteten personenbezogenen Daten gegenüber Dritten gekommen ist. Hier greift also nicht (nur) die Sorge vor der Stigmatisierung, Diskriminierung oder Rufschädigung, sondern das in dem Datenschutzverstoß liegende Risiko hat sich nun verwirklicht. Das steigert einerseits die Anforderungen an die Ausgleichsfunktion und begründet zugleich innerhalb des

einheitlich zu bestimmenden immateriellen Ersatzanspruchs die Genugtuung als Bestimmungsmerkmal für die Höhe. Genau diese Verarbeitung unter Beteiligung Dritter bewirkt die zu korrigierende Bloßstellung außerhalb dadurch verursachter materieller Schäden. Dies kann bei der Konfrontation mit Negativauskünften bei einer Kreditanfrage ebenso der Fall sein, wie bei der Bewerbung um eine Mietwohnung oder negativen Auskünften im Rahmen eines Arbeitsverhältnisses. Auch die Verweigerung von Postpaid-Angeboten wegen negativer Scores kann hierzu gehören. Die betroffene Person hat auf der Grundlage der ihr zustehenden Auskunftsansprüche nach Art. 15 DSGVO regelmäßig keine Schwierigkeiten die Verarbeitung der Daten gegenüber Dritten nachzuweisen und auf dieser Grundlage die Genugtuungsfunktion geltend zu machen.

Nicht übersehen werden darf die generalpräventive Wirkung des immateriellen Schadensersatzanspruches. Im Spannungsfeld zwischen dem Risiko der entgeltlichen Sanktionierung von folgenlosen Verstößen gegen die DSGVO durch einen immateriellen Schadensersatzanspruch nach Art. 82 DSGVO, den Aufgaben des kollektiven Rechtsschutzes durch Aufsichtsbehörden mit den Sanktionsmöglichkeiten nach Art 84. DSGVO, dem Verhältnismäßigkeitsgrundsatz und dem Grundsatz, die gleiche Pflichtverletzung mit der gleichen Zielsetzung nicht doppelt zu sanktionieren, muss dem Grundanliegen der DSGVO, schon die Verarbeitung der Daten im Kontext der Schutzzwecke zu gewährleisten, Rechnung getragen werden. Schon bei der Bestimmung der Zwecke, den angenommenen Rechtsfertigungsgründen und der ggfs. vorzunehmenden Datenschutzfolgeabwägung muss das Schutzniveau auch durch den immateriellen Schadensersatzanspruch effektiv gewahrt werden. Hier gilt es also im Lichte des immateriellen Schadensersatzanspruches nach Art. 82 DSGVO Anreize zu schaffen, dass das Schutzniveau so hoch ist, dass es zur Realisierung des Schadensersatzrisikos erst gar nicht kommt. Dabei muss die generalpräventive Wirkung sich nicht in besonders hohen immateriellen Schadensersatzansprüchen niederschlagen, sondern kann gerade in der Breitenwirkung - auch kleine Verstöße werden ohne Bagatellgrenze sanktioniert - ihre Funktion erfüllen. Wo Menschen arbeiten, passieren Fehler. Kommt es hierzu im Einzelfall, ist die geringere Sanktion verhältnismäßig und gleichwohl spürbar und damit effektiv. Kommt es dagegen zu vielfachen Pflichtverletzungen und Rechtsverstößen, wird sich aus vielen kleinen Ansprüchen - zumal diese auch sowohl kollektiv als im Rahmen von Legal-Tech-Angeboten sehr breit geltend gemacht werden -, schnell ein großer finanzieller Verlust bei dem betroffenen Unternehmen einstellen. Bei großer oder größerer Quantität der Pflichtverletzungen wird also auch eine höhere Effektivität kleinerer Schadensersatzansprüche im Einzelfall erreicht. Dabei muss auch das weiter in Art. 1 DSGVO formulierte Ziel gesehen werden, den freien Verkehr von Daten sehr wohl zu ermöglichen. Bonitätsprüfungen schützen nicht nur Wirtschaftsunternehmen vor leistungsunfähigen und leistungsunwilligen Kunden, sondern auch Verbraucher vor einer übermäßigen Verschuldung gerade im bargeldlosen Zahlungsverkehr. Die generalpräventive Wirkung darf in der Bemessung des immateriellen Schadensersatzes deshalb nicht dazu führen, dass wegen des Schadensersatzrisikos keine Einmeldungen bei Wirtschaftsauskunfteien mehr erfolgen, weil dann andere Schutzzwecke negativ tangiert werden. Der in seinen finanziellen Verhältnissen nicht gefestigte Verbraucher soll

durch Einmeldungen davor geschützt werden, schnell in die Verschuldung zu geraten. Die Warnfunktion durch die Beschränkung kreditierter Geschäfte ist ein Baustein, um dies zu gewährleisten. In diesem Kontext ist dann auch zu bewerten, dass die Zuerkennung immateriellen Schadensersatzes nicht die einzige Sanktionsform gegenüber dem pflichtwidrig handelnden Unternehmen darstellt, gerade dann, wenn über Beschwerden an Aufsichtsbehörden beharrliche Rechtsverstöße festzustellen sind. Auch darf am Ende keine Motivation bestehen, wegen hoher immaterieller Ersatzansprüche Datenschutzverstöße zu provozieren, insbesondere, wenn schon ein geringes Verschulden oder sogar nur der objektive Pflichtverstoß den Anspruch auslöst. Bei der Bewertung der generalpräventiven Wirkung in der Bemessung des immateriellen Schadensersatzanspruches der Höhe nach ist deshalb auch zu berücksichtigen, inwieweit im konkreten Einzelfall die verfolgten Ziele schon durch Ausgleich und Genugtuung erreicht sind oder es einer überschießenden Wirkung bedarf.


Den Volltext der Entscheidung finden Sie hier: