Skip to content

EuGH-Generalanwalt: Haftung und Höhe des Schadensersatzes nach Art. 82 DGVO richten sich nicht nach dem Grad des Verschuldens des Verantwortlichen oder des Auftragsverarbeiters

EuGH-Generalanwalt
Schlussanträge vom 25.05.2023
C‑667/21


Der EuGH-Generalanwalt kommt in seinen Schlussanträgen zu dem Ergebnis, dass sich Haftung und Höhe des Schadensersatzes nach Art. 82 DGVO nicht nach dem Grad des Verschuldens des Verantwortlichen oder des Auftragsverarbeiters richten.

Ergebnis des EuGH-Generalanwalts:
Art. 9 Abs. 2 Buchst. h und Abs. 3 sowie Art. 82 Abs. 1 und 3 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung),

sind dahin auszulegen, dass

es einem Medizinischen Dienst einer Krankenkasse nicht untersagt ist, Gesundheitsdaten seines Arbeitnehmers, die Voraussetzung für die Beurteilung der Arbeitsfähigkeit dieses Arbeitnehmers sind, zu verarbeiten.

Sie lassen eine Ausnahme vom Verbot der Verarbeitung personenbezogener Gesundheitsdaten zu, wenn diese Verarbeitung zur Beurteilung der Arbeitsfähigkeit des Arbeitnehmers erforderlich ist; dabei sind die in Art. 5 genannten Grundsätze sowie eine der in Art. 6 der Verordnung 2016/679 genannten Bedingungen für die Rechtmäßigkeit einzuhalten.

Der Grad des Verschuldens des Verantwortlichen oder des Auftragsverarbeiters ist weder für deren Haftung noch für die Bemessung der Höhe des nach Art. 82 Abs. 1 der Verordnung 2016/679 zu ersetzenden immateriellen Schadens von Bedeutung.

Die Beteiligung der betroffenen Person an dem Umstand, aus dem sich die Verpflichtung zum Schadenersatz ergibt, kann je nach Lage des Falles zu einer Befreiung des Verantwortlichen oder Auftragsverarbeiters von der Haftung gemäß Art. 82 Abs. 3 der Verordnung 2016/679 führen.

Die vollständigen Schlussanträge finden Sie hier:


VG Berlin: Auskunft nach Art. 15 DSGVO kann verweigert werden wenn sich Anspruchsteller zu Klärung der Identität weigert Geburtsdatum mitzuteilen

VG Berlin
Beschluss vom 24.04.2023
VG 1 K 227/22


Das VG Berlin hat entschieden, dass die Erfüllung eines Auskunftsanspruchs nach Art. 15 DSGVO verweigert werden kann, wenn sich der Anspruchsteller zu Klärung der Identität weigert, sein Geburtsdatum mitzuteilen.

Aus den Entscheidungsgründen:
Die beabsichtigte Klage, die bei Auslegung des Begehrens des Antragstellers nach § 88 VwGO darauf gerichtet ist, den Antragsgegner unter Aufhebung des Bescheides der Berliner Beauftragten für Datenschutz und Informationsfreiheit vom 16. Mai 2022 zu verpflichten, unter Beachtung der Rechtsauffassung des Gerichts erneut über die durch den Antragsteller erhobene Beschwerde gegen die W... zu entscheiden, hat offenkundig keine Aussicht auf Erfolg.

Der angegriffene Bescheid ist nicht rechtswidrig und verletzt den Antragsteller daher nicht in seinen Rechten, denn er hat keinen Anspruch auf Verpflichtung des Antragsgegners zu einer erneuten Entscheidung über seine Beschwerde.

Anspruchsgrundlage für das klägerische Begehren ist Art. 57 Abs. 1 lit. f) DSGVO. Erhebt eine betroffene Person – wie hier der Antragsteller – eine Beschwerde im Sinne von Art. 77 DSGVO, muss sich die Aufsichtsbehörde nach Art. 57 Abs. 1 lit. f) DSGVO mit der Beschwerde befassen, den Gegenstand der Beschwerde in angemessenem Umfang untersuchen und den Beschwerdeführer innerhalb einer angemessenen Frist über den Fortgang und das Ergebnis der Untersuchung unterrichten. Die Aufsichtsbehörde ist hiernach verpflichtet, die Beschwerde mit aller gebotenen Sorgfalt und in angemessenem Umfang zu prüfen, wobei der Amtsermittlungsgrundsatz gilt. Maßstab für den Umfang der Ermittlungen ist insbesondere die Schwere des in Rede stehenden Verstoßes (Bergt, in: Kühling/Buchner, Datenschutz-Grundverordnung BDSG, 3. Auflage 2020, Art. 77 DS-GVO, Rn. 16).

Nach Maßgabe dieser Grundsätze hat der Antragsgegner seine Pflichten bei der Bearbeitung der Beschwerde erfüllt. Der Antragsgegner hat den Sachverhalt ermittelt. Er hat das Beschwerdevorbringen des Antragstellers zur Kenntnis genommen und die W... am 1. Juli 2021 und am 14. Dezember 2021 zur Stellungnahme aufgefordert. Der Antragsgegner hat den Sachverhalt anschließend bewertet und dem Antragssteller das Ergebnis seiner Prüfung mit Bescheid vom 16. Mai 2022 mitgeteilt.

Umstritten ist, ob eine weitergehende gerichtliche Überprüfung, ob die Beschwerdeentscheidung des Beklagten auch inhaltlich zutreffend ist, vorzunehmen ist. Dies hat die Kammer mit der Begründung verneint, dass das Beschwerderecht als Petitionsrecht ausgestaltet sei (vgl. Beschluss vom 28. Januar 2019 – VG 1 L 1.19, juris Rn. 5; so auch mit eingehender Begründung OVG Koblenz, a.a.O., Rn. 37 ff.; a.A. Halder, jurisPR-ITR 16/2020 Anm. 6; Bergt, a.a.O., Rn. 17, jeweils mit weiteren Nachweisen; siehe zum Problem auch Will, ZD 2020, 97). Die Beantwortung dieser Rechtsfrage kann aber vorliegend offenbleiben, da der Anspruch des Antragstellers auch unter Zugrundelegung der Gegenmeinung erfüllt ist (ebenso Urteil der Kammer vom 7. April 2022, VG 1 K 391/20, juris, Rn. 40). Nach der Gegenauffassung steht der betroffenen Person ein Anspruch auf eine ermessensfehlerfreie Entscheidung zu, welche gerichtlich umfassend überprüfbar und durchsetzbar ist (Halder, jurisPRITR 16/2020 Anm. 6; VG Ansbach, Urteil vom 8. August 2019, AN 14 K 19.00272, juris, Rn. 43). Folgt man dem, hat das Gericht nicht nur Beschwerdeschreiben und Beschwerdeentscheidung zu prüfen, sondern den vollständigen Verfahrensakt einschließlich aller Stellungnahmen des Verantwortlichen und sonstigen Untersuchungsbefunde der Aufsichtsbehörde (Will, ZD 2020, 97, 98). Auch unter Zugrundelegung dieses Maßstabs ist aber der Anspruch des Antragstellers auf eine ermessenfehlerfreie Entscheidung über seine Beschwerde erfüllt.

Hinsichtlich des aufsichtsrechtlichen Vorgehens steht der Behörde ein weiter Ermessensspielraum zu (Paal/Pauly, DS-GVO BDSG, 3. Auflage 2021, Art. 77 DS-GVO, Rn. 5). Lediglich bei festgestellten Rechtsverstößen ist die Aufsichtsbehörde im Rahmen des ihr eröffneten Entschließungsermessens verpflichtet, hiergegen mit dem Ziel der Abstellung des Verstoßes vorzugehen. Ein Anspruch auf eine bestimmte Maßnahme besteht zudem nur im Fall einer Reduzierung auch des Auswahlermessens „auf Null“ (OVG Hamburg, Urteil vom 7. Oktober 2019 – 5 Bf 279/17, juris Rn. 72).

Diesen Maßgaben genügt das durch den Antragsgegner gewählte Vorgehen, der die W... zur Stellungnahme aufgefordert, den Sachverhalt beurteilt und die Beschwerde mangels eines erkennbaren Verstoßes gegen datenschutzrechtliche Bestimmungen zurückgewiesen hat. Der Antragsgegner ist insbesondere zutreffend davon ausgegangen, dass die W... dem Antragsteller gegenüber die begehrte Auskunft nach Art. 15 DSGVO deshalb zu Recht verweigert hat, weil die Voraussetzungen des Art. 12 Abs. 6 DSGVO vorlagen.

Nach Art. 12 Abs. 6 DSGVO kann der Verantwortliche zusätzliche Informationen anfordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind, wenn er begründete Zweifel an der Identität der natürlichen Person hat, die den Antrag gemäß den Artikeln 15 bis 21 stellt. Zweifel an der Identität setzen voraus, dass die vorhandenen Daten auf eine bestimmte Identität hindeuten und somit eine Identifizierung grundsätzlich möglich ist, aber nach den Umständen Zweifel daran bestehen, ob der Antragsteller tatsächlich die als Betroffener identifizierte Person ist. Der Verantwortliche hat seine Zweifel einzelfallbezogen darzulegen. Gleichzeitig besteht für den Betroffenen eine Mitwirkungsobliegenheit, denn ohne dessen Mitwirkung wird es dem Verantwortlichen nicht möglich sein, die dargelegten Identitätszweifel zu entkräften. Hintergrund der Regelung ist, dass die Informationen nur denjenigen zur Verfügung gestellt werden sollen, die auch tatsächlich durch die Datenverarbeitung betroffen sind (Schneider/Schwartmann, DS-GVO/BDSG 2. Auflage, Art. 12, Rn. 70).

Es bestanden jedoch in diesem Sinne Zweifel an der Identität des Antragstellers. Dabei war auch die Sensibilität der abgefragten Informationen zu berücksichtigen. Denn Wirtschaftsauskunfteien wie die W...speichern im Einzelfall ein erhebliches Maß zahlreicher personenbezogener Informationen, insbesondere solcher, die einen Schluss auf die Bonität einer Person zulassen, wie etwa bestehende Verbindlichkeiten. Diese Daten wiederum sind ein kommerzialisiertes Wirtschaftsgut, weshalb ein Interesse Dritter an diesen Daten nicht von vornherein fernliegend oder ausgeschlossen ist. Mit Blick auf den Zweck des Art. 12 Abs. 6 DSGVO, die missbräuchliche Geltendmachung der Rechte nach Art. 15 bis 22 DSGVO durch unbefugte Dritte zu verhindern (Wybitul, Handbuch DS-GVO, 1. Auflage 2017, Art. 12-15, Rn. 17), ist es nicht zu beanstanden, dass die W... und mit ihr der Antragsgegner die Zweifel an der Identität des Antragstellers für begründet hielt.

Die W... hat dem Antragsgegner diesbezüglich nachvollziehbar mitgeteilt, dass eine zweifelsfreie Identifikation des Antragstellers nicht möglich gewesen sei, weil es namentliche und/oder weitere Überschneidungen zu weiteren Datensätzen gab. Plausibel erscheint dies schon deshalb, weil Wirtschaftsauskunfteien personenbezogene Daten zahlreicher Personen speichern, so dass nicht unwahrscheinlich erscheint, dass Datensätze unterschiedlicher Personen gespeichert sind, die den gleichen Vor- und Nachnamen tragen. Zudem kann es durch einen Adress- oder Namenswechsel oder aufgrund von Zahlendrehern bzw. unrichtigen Schreibweisen zu Überschneidungen bei mehreren Datensätzen kommen, die letztlich ein- und derselben Person zuzuordnen sind.

Derart begründete Zweifel an der Identität des Antragstellers werden auch nicht durch die seinerseits behauptete empirische Seltenheit seines Namens oder durch seine Behauptung, er sei die einzige Person, die unter seinem Namen an seiner Wohnanschrift gemeldet sei, ausgeräumt. Denn bereits nach einer einfachen Internetrecherche existieren im Bundesgebiet zwei unterschiedliche Personen, die den Vor- und Nachnamen des Antragstellers tragen. Zum anderen besteht jedenfalls die Möglichkeit, dass Umzüge des Antragstellers oder Ungenauigkeiten bei der Schreibweise seines Namens zu der von der W...angegebenen Überschneidung mehrerer Datensätze geführt haben. Dass dies nicht vollkommen fernliegend ist, zeigt schon der Umstand, dass in einem Bescheid des Jobcenters Hamburg, den der Antragsteller zum Nachweis seiner wirtschaftlichen Verhältnisse übersandt hat, sein Nachname (wohl versehentlich) mit „ß“ geschrieben wird, während der Antragsteller selbst im vorliegenden Verfahren die Schreibweise mit „ss“ gewählt hat.

Aus der vom Antragsteller angeführten Entscheidung der Kammer vom 31. August 2020 (Urteil vom 31. August 2020 – VG 1 K 90.19, juris) folgt nichts anderes, da der vorliegende Sachverhalt wesentlich von dem damals zu entscheidenden abweicht. Die Kammer hat in jener Entscheidung zum einen darauf abgestellt, dass das Amtsgericht Tiergarten dem dortigen Kläger bereits mehrfach Entscheidungen unter seiner gegenwärtigen Adresse übersandt hatte. Zum anderen fehlten in jenem Verfahren Anhaltspunkte dafür, dass Dritte ein Interesse an der begehrten Auskunft gehabt haben könnten und sich durch Benutzung einer falschen Identität die Auskunft erschleichen könnten (a.a.O., juris Rn. 13). Vorliegend fehlt es dagegen an einer vorangegangenen Korrespondenz oder sonstigen Informationen, die eine zweifelsfreie Identifizierung hätten ermöglichen können; zudem war nicht sicher auszuschließen, dass Dritte ein Interesse daran hatten, an die sensiblen, bei der W...gespeicherten Informationen zu gelangen.

Hat der Verantwortliche begründete Zweifel an der Identität der betroffenen Person, so sollte er – wie sich aus Erwägungsgrund 64 Satz 1 DSGVO ergibt – alle vertretbaren Mittel nutzen, um die Identität einer Auskunft suchenden betroffenen Person zu überprüfen. Die Anforderung der W..., der Antragsteller möge zur Identifikation sein Geburtsdatum und gegebenenfalls frühere Anschriften nennen, stellt sich als in diesem Sinne vertretbare Maßnahme zur Identifikation dar (Wolff/Brink, Datenschutzrecht 2. Auflage 2022, DS-GVO Art. 12, Rn. 49). Das Geburtsdatum einer Person ist zur Identifizierung geeignet, da es eine häufig für Dritte weniger ersichtliche persönliche Information darstellt, auch wenn es einen Missbrauch nicht gänzlich ausschließt (Wybitul, a.a.O., Art. 12-15, Rn. 17). Die Abfrage des Geburtsdatums steht zu dem Zweck der Identifizierung des Antragstellers auch nicht außer Verhältnis, insbesondere mit Blick auf die erhöhte Sensibilität der bei Wirtschaftsauskunfteien gespeicherten Daten und dem aufgrund der Kommerzialisierung derartiger Daten gesteigerten Missbrauchspotential. Der Antragsteller hat jedoch – unter Verstoß auf die ihm obliegende Mitwirkungspflicht – nicht auf die damit berechtigte Anfrage der W...reagiert.


Den Volltext der Entscheidung finden Sie hier:

EuGH: DSGVO-Verstoß begründet nicht automatisch einen Schadensersatzanspruch gemäß Art. 82 DSGVO - aber keine Erheblichkeitsschwelle

EuGH
Urteil vom 04.05.2023
C-300/21
Österreichische Post (Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten)


Der EuGH hat entschieden, dass ein DSGVO-Verstoß nicht automatisch einen Schadensersatzanspruch gemäß Art. 82 DSGVO begründet. Es kommt aber nicht darauf an, dass ein Erheblichkeitsschwelle überschritten wird.

Tenor der Entscheidung:
1. Art. 82 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen,
dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadenersatzanspruch zu begründen.

2. Art. 82 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen,
dass er einer nationalen Regelung oder Praxis entgegensteht, die den Ersatz eines immateriellen Schadens im Sinne dieser Bestimmung davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat.

3. Art. 82 der Verordnung 2016/679 ist dahin auszulegen,
dass die nationalen Gerichte bei der Festsetzung der Höhe des Schadenersatzes, der aufgrund des in diesem Artikel verankerten Schadenersatzanspruchs geschuldet wird, die innerstaatlichen Vorschriften der einzelnen Mitgliedstaaten über den Umfang der finanziellen Entschädigung anzuwenden haben, sofern die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität beachtet werden.

Die Pressemitteilung des EuGH:
Der bloße Verstoß gegen die DSGVO begründet keinen Schadenersatzanspruch

Der Schadenersatzanspruch hängt jedoch nicht davon ab, dass der entstandene immaterielle Schaden eine gewisse Erheblichkeit erreicht.

Ab dem Jahr 2017 sammelte die Österreichische Post Informationen über die politischen Affinitäten der österreichischen Bevölkerung. Mit Hilfe eines Algorithmus definierte sie anhand sozialer und demografischer Merkmale „Zielgruppenadressen“. Aus den so gesammelten Daten leitete die Österreichische Post ab, dass ein bestimmter Bürger eine hohe Affinität zu einer bestimmten österreichischen politischen Partei habe. Die verarbeiteten Daten wurden jedoch nicht an Dritte übermittelt.

Der betroffene Bürger, der der Verarbeitung seiner personenbezogenen Daten nicht zugestimmt hatte, behauptet, er habe dadurch, dass ihm eine besondere Affinität zu der fraglichen Partei zugeschrieben worden sei, großes Ärgernis und einen Vertrauensverlust sowie ein Gefühl der Bloßstellung verspürt. Als Ersatz des ihm angeblich entstandenen immateriellen Schadens begehrt er vor den österreichischen Gerichten die Zahlung von 1 000 Euro.

Der österreichische Oberste Gerichtshof äußerte Zweifel in Bezug auf den Schadensersatzanspruch, den die Datenschutz-Grundverordnung (DSGVO)1 für den Fall vorsieht, dass wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist. Dieses Gericht möchte vom Gerichtshof wissen, ob der bloße Verstoß gegen die DSGVO ausreicht, um einen Schadenersatzanspruch zu begründen, und ob für den Ersatz der entstandene immaterielle Schaden einen bestimmten Grad an Erheblichkeit erreichen muss. Des Weiteren möchte es wissen, welche unionsrechtlichen Vorgaben für die Festsetzung der Höhe des Schadenersatzes bestehen.

In seinem heutigen Urteil stellt der Gerichtshof als Erstes fest, dass der in der DSGVO vorgesehene Schadenersatzanspruch eindeutig an drei kumulative Voraussetzungen geknüpft ist: einen Verstoß gegen die DSGVO, einen materiellen oder immateriellen Schaden, der aus diesem Verstoß resultiert, und einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß. Demnach eröffnet nicht jeder Verstoß gegen die DSGVO für sich genommen den Schadenersatzanspruch. Eine andere Auslegung liefe dem klaren Wortlaut der DSGVO zuwider. Zudem führt nach dem Wortlaut der Erwägungsgründe der DSGVO, die speziell den Schadenersatzanspruch betreffen, ein Verstoß gegen die DSGVO nicht zwangsläufig zu einem Schaden und muss ein Kausalzusammenhang zwischen dem fraglichen Verstoß und dem entstandenen Schaden bestehen, um einen Schadenersatzanspruch zu begründen. Somit unterscheidet sich die Schadenersatzklage von anderen in der DSGVO vorgesehenen Rechtsbehelfen – insbesondere von jenen, die die Verhängung von Geldbußen erlauben –, für die das Vorliegen eines individuellen Schadens nicht nachgewiesen werden muss. Als Zweites stellt der Gerichtshof fest, dass der Schadenersatzanspruch nicht auf immaterielle Schäden beschränkt ist, die eine gewisse Erheblichkeit erreichen. In der DSGVO wird ein solches Erfordernis nicht erwähnt, und eine solche Beschränkung stünde zu dem vom Unionsgesetzgeber gewählten weiten Verständnis des Begriffs „Schaden“ im Widerspruch. Würde der Ersatz eines immateriellen Schadens von einer Erheblichkeitsschwelle abhängig gemacht, könnte dies zudem die Kohärenz der mit der DSGVO eingeführten Regelung beeinträchtigen. Die graduelle Abstufung, von der die Möglichkeit, Schadenersatz zu erhalten, abhinge, könnte nämlich je nach Beurteilung durch die angerufenen Gerichte unterschiedlich hoch ausfallen.

Als Drittes und Letztes stellt der Gerichtshof zu den Regeln für die Bemessung des Schadenersatzes fest, dass die DSGVO keine Bestimmung enthält, die sich diesen Regeln widmet. Daher sind die Ausgestaltung von Klageverfahren, die den Schutz der dem Einzelnen insoweit aus der DSGVO erwachsenden Rechte gewährleisten sollen, und insbesondere die Festlegung der Kriterien für die Ermittlung des Umfangs des in diesem Rahmen geschuldeten Schadenersatzes Aufgabe des Rechts des einzelnen Mitgliedstaats, wobei der Äquivalenz- und der Effektivitätsgrundsatz zu beachten sind. In diesem Zusammenhang betont der Gerichtshof die Ausgleichsfunktion des in der DSGVO vorgesehenen Schadenersatzanspruchs und weist darauf hin, dass dieses Instrument einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden sicherstellen soll.


Den Volltext der Entscheidung finden Sie hier:

EuGH-Generalanwalt: Auskunft nach Art. 15 DSGVO muss nicht aus Gründen gemäß 63. Erwägungsgrund verlangt werden - keine kostenlose Kopie vollständiger Patientenakte

EuGH-Generalanwalt
Schlussanträge vom 20.04.2023
C‑307/22


Der EuGH-Generalanwalt kommt in seinen Schlussanträgen zu dem Ergebnis, dass ein Anspruch aus Auskunft bzw. Überlassung von Kopien nach Art. 15 DSGVO nicht zwingend aus Gründen gemäß 63. Erwägungsgrund der DSGVO verlangt werden muss, sondern auch zu datenschutzfremden Zwecken begehrt werden kann. Einen Anspruch auf kostenlose Überlassung der vollständigen Kopie einer Patientenakte besteht jedoch nicht.

Aus den Schlussanträgen:
Nach alledem schlage ich dem Gerichtshof vor, die vom Bundesgerichtshof (Deutschland) zur Vorabentscheidung vorgelegten Fragen wie folgt zu beantworten:

Art. 12 Abs. 5 und Art. 15 Abs. 3 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) sind dahin auszulegen, dass der Verantwortliche verpflichtet ist, der betroffenen Person eine Kopie ihrer personenbezogenen Daten zur Verfügung zu stellen, und zwar auch dann, wenn die betroffene Person die Kopie nicht für die im 63. Erwägungsgrund der DSGVO genannten Zwecke, sondern für einen anderen, datenschutzfremden Zweck beantragt.

Eine nationale Regelung, die von Patienten, die Kopien ihrer in Patientenakten enthaltenen personenbezogenen Daten beantragen, verlangt, dass sie den Ärzten die entstandenen Kosten erstatten, ist nach Art. 23 Abs. 1 DSGVO zulässig, sofern die Beschränkung des Auskunftsrechts unter Berücksichtigung aller relevanten Umstände im Hinblick auf die Ziele des Schutzes der öffentlichen Gesundheit und der unternehmerischen Freiheit der Ärzte erforderlich und verhältnismäßig ist. Das nationale Gericht hat insbesondere zu prüfen, ob die Kosten, deren Erstattung die Ärzte von den Patienten verlangen können, strikt auf die tatsächlich anfallenden Kosten beschränkt sind.

Der Ausdruck „eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind“, in Art. 15 Abs. 3 DSGVO kann im Rahmen eines Arzt-Patienten-Verhältnisses nicht dahin ausgelegt werden, dass er der betroffenen Person ein allgemeines Recht darauf gewährt, eine vollständige Kopie aller in ihrer Patientenakte enthaltenen Dokumente zu erhalten. Jedoch hat der Verantwortliche der betroffenen Person bestimmte Dokumente teilweise oder vollständig in Kopie zur Verfügung zu stellen, wenn dies erforderlich ist, um sicherzustellen, dass die übermittelten Daten verständlich sind und dass die betroffene Person in der Lage ist, zu überprüfen, ob die übermittelten Daten vollständig und richtig sind.


Die vollständigen Schlussanträge finden Sie hier:

BGH: Aussetzung des Verfahrens hinsichtlich Löschung der Restschuldbefreiung aus Schufa-Datenbank bis EuGH Vorgaben der DSGVO geklärt hat

BGH
Beschluss vom 27.03.2023
VI ZR 225/21


Der BGH hat das Verfahren hinsichtlich der Frist zur Löschung der Restschuldbefreiung aus der Schufa-Datenbank ausgesetzt, bis der EuGH in einem anderen Verfahren die streitrelaventen Vorgaben der DSGVO geklärt hat.

Die Pressemitteilung des BGH:
Aussetzung des Verfahrens in Sachen VI ZR 225/21 (Löschung der Eintragung über die Erteilung der Restschuldbefreiung im Insolvenzverfahren in einer Datenbank der Schufa)

Der unter anderem für Ansprüche nach der EU-Datenschutzgrundverordnung und dem Bundesdatenschutzgesetz zuständige VI. Zivilsenat des Bundesgerichtshofes hat darüber zu entscheiden, ob ein Schuldner, dem vom Insolvenzgericht Restschuldbefreiung erteilt worden ist, von der Schufa die Löschung dieser Information in ihrer Datenbank grundsätzlich oder jedenfalls dann verlangen kann, wenn die Frist für die Speicherung dieser Information im öffentlichen bundesweiten Insolvenzportal abgelaufen ist (vgl. im Einzelnen Pressemitteilung Nr. 26/2023 vom 9.2.2023).

Mit Beschluss vom heutigen Tag hat der VI. Zivilsenat das Verfahren bis zu der Entscheidung des Gerichtshofs der Europäischen Union in den dort anhängigen (verbundenen) Verfahren C-26/22 und C-64/22 ausgesetzt.

Vorinstanzen:

LG Kiel - 2 O 10/21 – Urteil vom 12. Februar 2021

OLG Schleswig - 17 U 15/21 – Urteil vom 2. Juli 2021


ArbG Oldenburg: 10.000 EURO immaterieller Schadensersatz aus Art. 82 DSGVO für ehemaligen Arbeitnehmer wegen unterbliebener Auskunftserteilung gemäß Art. 15 DSGVO durch Arbeitgeber

ArbG Oldenburg
Urteil 09.02.2023
3 Ca 150/21


Das Arbeitsgericht Oldenburg hat einem ehemaligen Arbeitnehmer 10.000 EURO immateriellen Schadensersatz aus Art. 82 DSGVO wegen unterbliebener Auskunftserteilung gemäß Art. 15 DSGVO durch den Arbeitgeber zugesprochen. Die Auskunftserteilung war über 20 Monate nicht erfolgt und das Gericht hielt 500 EURO pro Monat für angemessen. Das Gericht ist der Ansicht, dass Art. 82 DSGVO abschrecken und generalpräventiv wirken soll.


BGH: Aussetzung des Verfahrens gemäß § 148 ZPO analog bis EuGH entscheidungserhebliche Fragen zur DSGVO geklärt hat - hier: Auslegung von Art. 15 DSGVO

BGH
Beschluss vom 21.02.2023
VI ZR 330/21


Der BGH hat ein Verfahren, in dem es um Auslegung von Art. 15 DSGVO geht, gemäß § 148 ZPO analog ausgesetzt, bis der EuGH die entscheidungserheblichen Fragen zur DSGVO geklärt hat.

Aus den Entscheidungsgründen:
Das vorliegende Verfahren wird gemäß § 148 ZPO analog bis zu der Entscheidung des Gerichtshofs der Europäischen Union (im Folgenden: Gerichtshof) in den dort anhängigen Verfahren C-487/21 bzw. C-307/22 ausgesetzt.

1. Das Österreichische Bundesverwaltungsgericht hat durch Beschluss vom 9. August 2021 (W211 2222613 - 2; ECLI:AT:BVWG:2021: W211.2222613.2.00; Rs. C-487/21; ABl. EU C 431 vom 25. Oktober 2021 S. 8 f.) dem Gerichtshof u.a. folgende Fragen zur Vorabentscheidung gemäß Art. 267 AEUV vorgelegt:

1. Ist der Begriff der "Kopie" in Art. 15 Abs. 3 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, ABl L 119/1 vom 4. Mai 2016, S. 1; im Folgenden: "DS-GVO") dahingehend auszulegen, dass damit eine Fotokopie bzw. ein Faksimile oder eine elektronische Kopie eines (elektronischen) Datums gemeint ist, oder fällt dem Begriffsverständnis deutscher, französischer und englischer Wörterbücher folgend unter
den Begriff auch eine "Abschrift", un "double" ("duplicata") oder ein "transcript"?

2. Ist Art. 15 Abs. 3 Satz 1 DS-GVO, wonach "der Verantwortliche eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind", zur Verfügung stellt, dahingehend auszulegen, dass darin ein allgemeiner Rechtsanspruch einer betroffenen Person auf Ausfolgung einer Kopie - auch - gesamter Dokumente enthalten ist, in denen personenbezogene Daten der betroffenen Person verarbeitet werden, bzw. auf Ausfolgung einer Kopie eines Datenbankauszuges bei Verarbeitung der personenbezogenen Daten in einer solchen, oder besteht damit - nur - ein Rechtsanspruch für die betroffene Person auf originalgetreue Reproduktion der nach Art. 15 Abs. 1 DS-GVO zu beauskunftenden personenbezogenen Daten?

3. Für den Fall, dass die Frage 2. dahingehend beantwortet wird, dass nur ein Rechtsanspruch für die betroffene Person auf originalgetreue Reproduktion der nach Art. 15 Abs. 1 DS-GVO zu beauskunftenden personenbezogenen Daten besteht, ist Art. 15 Abs. 3 Satz 1 DS-GVO dahingehend auszulegen, dass es, bedingt durch die Art der verarbeiteten Daten (zum Beispiel in Bezug auf die im Erwägungsgrund 63 angeführten Diagnosen, Untersuchungsergebnisse, Befunde oder auch Unterlagen im Zusammenhang mit einer Prüfung im Sinne des Urteils des Gerichtshofs der Europäischen Union vom 20. Dezember 2017,
C-434/16; ECLI:EU:C:2017:994) und das Transparenzgebot in Art. 12 Abs. 1 DSGVO im Einzelfall dennoch erforderlich sein kann, auch Textpassagen oder ganze Dokumente der betroffenen Person zur Verfügung zu stellen?

2. Der erkennende Senat hat dem Gerichtshof durch Beschluss vom 29. März 2022 - VI ZR 1352/20 (DB 2022, 1249; Rs. C-307/22) unter Ziff. 3 folgende Frage zur Vorabentscheidung vorgelegt:

Umfasst der Anspruch aus Art. 15 Abs. 3 Satz 1 DS-GVO im Arzt-Patienten-Verhältnis einen Anspruch auf Überlassung von Kopien aller die personenbezogenen Daten des Patienten enthaltenden Teile der Patientenakte oder ist er nur auf Herausgabe einer Kopie der personenbezogenen Daten des Patienten als solche gerichtet, wobei es dem datenverarbeitenden Arzt überlassen bleibt, in welcher Weise er dem betroffenen Patienten die Daten zusammenstellt ?

3. Diese Fragen sind auch im vorliegenden Fall entscheidungserheblich. Die Parteien streiten unter anderem darüber, ob sich aus Art. 15 Abs. 3 Satz 1 DS-GVO (lediglich) ein Anspruch auf eine Kopie der nach Art. 15 Abs. 1 DS-GVO zu beauskunftenden Daten oder ein Anspruch auf Herausgabe von Kopien der diese Daten enthaltenden Dokumente ergibt.

4. Aufgrund der Entscheidungserheblichkeit der oben unter II. 1 und 2 genannten Fragen kann der Senat in dieser Sache unter Beachtung seiner in Art. 267 Abs. 3 AEUV enthaltenen Vorlageverpflichtung keine abschließende Sachentscheidung treffen. Eine Vorlage auch dieses Verfahrens an den Gerichtshof würde jedoch dort nicht zu einer schnelleren Beantwortung der maßgeblichen Rechtsfrage führen. Im Gegenteil würde die Funktion des Gerichtshofs im Vorabentscheidungsverfahren beeinträchtigt, wenn die gleiche Rechtsfrage mehrfach vorgelegt würde. Das Vorabentscheidungsverfahren nach Art. 267 AEUV stellt ein grundlegendes Instrument dar, um den Grundsatz des Vorrangs des Gemeinschaftsrechts vor nationalem Recht zu verwirklichen und die einheitliche Anwendung des Gemeinschaftsrechts in allen Mitgliedstaaten zu gewährleisten. Die verbindliche Auslegung des Gemeinschaftsrechts ist dem Gerichtshof vorbehalten. Da der Gerichtshof aber kein Rechtsmittelgericht für sämtliche mitgliedschaftlichen Verfahren darstellt, genügt es, wenn dort über die klärungsbedürftige Rechtsfrage in den bereits anhängigen Verfahren verhandelt und entschieden wird (vgl. Senatsbeschluss vom 31. Mai 2022 - VI ZR 223/21, juris Rn. 9; BGH, Beschluss vom 24. Januar 2012 - VIII ZR 236/10, RIW 2012, 405 Rn. 8 mwN).

5. Der Senat hält es daher für angemessen, wie auch von der Revision angeregt, das vorliegende Verfahren gemäß § 148 ZPO analog wegen Vorgreiflichkeit der beim Gerichtshof anhängigen Vorlageverfahren auszusetzen (zur Zulässigkeit dieser Vorgehensweise vgl. BGH, Beschluss vom 24. Januar 2012 - VIII ZR 236/10, RIW 2012, 405 Rn. 9 mwN).


Den Volltext der Entscheidung finden Sie hier:

OLG Hamm: 100 EURO Schadensersatz aus Art. 82 DSGVO für versehentliche Weiterleitung personenbezogener Daten per E-Mail-Verteiler an 1200 Personen durch Impfzentrum

OLG Hamm
Urteil vom 20.01.2023
11 U 88/22


Das OLG Hamm hat entschieden, dass 100 EURO Schadensersatz aus Art. 82 DSGVO für die versehentliche Weiterleitung personenbezogener Daten per E-Mail-Verteiler an 1200 Personen durch ein Impfzentrum angemessen ist.

Aus den Entscheidungsgründen:
Soweit das Landgericht den dem Kläger zum Ausgleich des ihm entstandenen immateriellen Schadens zustehenden Betrag mit 100,00 Euro bemessen hat, ist hiergegen aus Sicht des Senats nichts zu erinnern.

Ausgehend von dem bereits dargestellten Schadensbegriff gelten bei der Bemessung der Schadenshöhe die im Rahmen von § 253 BGB entwickelten Grundsätze; der Schaden ist nach § 287 ZPO zu schätzen (OLG Koblenz, Urteil vom 18.05.2022 – 5 U 2141/21, juris Rn. 81). Hierbei ist der Erwägungsgrund 146 S. 3 und 6 zur DS-GVO zu berücksichtigen, wonach der Begriff des Schadens auf eine Art und Weise auszulegen ist, die den Zielen der Verordnung in vollem Umfang entspricht und die betroffene Person einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten sollen. Ergänzend können auch in Art. 83 Abs. 2 DS-GVO genannte Kriterien herangezogen werden, obwohl diese Vorschrift nicht die Geltendmachung individueller Entschädigungsansprüche sondern die Verhängung von Geldbußen betrifft; dies gilt insbesondere für Art, Schwere und Dauer des Verstoßes unter Berücksichtigung von Art, Umfang oder Zweck der betreffenden Verarbeitung, den Grad des Verschuldens, Maßnahmen zur Minderung des entstandenen Schadens, frühere Verstöße sowie die Kategorie der betroffenen personenbezogenen Daten (vgl. OLG Düsseldorf, Urteil vom 28.10.2021 – 16 U 275/20, juris Rn. 55 f.; OLG Frankfurt, Urteil vom 14.04.2022 – 3 U 21/20, juris Rn. 56; Quaas, in: Wolff/Brink, BeckOK Datenschutzrecht, 42. Edition, Stand 01.08.2022, Art. 82 DS-GVO Rn. 31).

aa) Zunächst ist zu berücksichtigen, dass die in der Excel-Datei enthaltenen personenbezogenen Daten des Klägers, nämlich vollständiger Name, Anschrift, Geburtsdatum, Telefonnummer und E-Mail-Adresse sowie der für die Impfung vorgesehene Impfstoff und das Datum der Impfung sowie Angaben zur Anzahl der Impfungen in ihrer Gesamtheit ein Datenbündel darstellen, welches problemlos die Identifizierung des Klägers ermöglicht. Auch sind hier nicht lediglich personenbezogene Daten des Klägers im Sinne von Art. 4 Nr. 1 DS-GVO betroffen, sondern auch Gesundheitsdaten im Sinne von Art. 4 Nr. 15 DS-GVO, welche grundsätzlich besonders sensibel sind, wie auch Art. 9 DS-GVO deutlich macht.

Weiter ist in den Blick zu nehmen, dass die Excel-Datei an eine Vielzahl von Personen übersandt wurde. Insoweit hat die Beklagte im Senatstermin klargestellt, dass der Versand an insgesamt 1.200 Personen erfolgte, wobei allerdings ein unmittelbar nach dem Versand erfolgter Rückruf der E-Mail in 500 Fällen Erfolg hatte. Damit haben 700 Personen die Datei erhalten und konnten deren Inhalt auch zur Kenntnis nehmen, da die Datei nicht vor einem einfachen Zugriff geschützt war. Auch ist zu berücksichtigen, dass dieser Versand und damit die Offenbarung der Daten nicht mehr rückgängig zu machen ist. Denn der Kläger hatte bzw. hat keine Möglichkeit, eine etwaige Weitergabe der Daten effektiv zu verhindern oder auch nur zu kontrollieren. Trotz des von der Beklagten unternommenen Versuches, die Empfänger der E-Mail zur Löschung der Datei zu veranlassen, kann eine Weitergabe dieser Dateien an Dritte nicht ausgeschlossen werden.

Damit besteht für den Kläger das Risiko des Erhalts unerwünschter Werbung insbesondere per E-Mail oder von Phishing-E-Mails mit dem Ziel, auf diese Art weitere Informationen vom Kläger zu erlangen. Auch die Möglichkeit eines Identitätsdiebstahls ist ebenso in Betracht zu ziehen wie die Auslösung kostenpflichtiger Bestellungen durch Dritte unter Verwendung der personenbezogenen Daten des Klägers.

Es ist aber auch zu beachten, dass es sich bei den offenbarten personenbezogenen Daten des Klägers im Sinne von Art. 4 Nr. 1 DS-GVO lediglich um solche Daten handelt, welche der Sozialsphäre des Klägers zuzuordnen sind. Die Sozialsphäre betrifft den Bereich, in dem sich die persönliche Entfaltung von vornherein im Kontakt mit der Umwelt vollzieht, also insbesondere das berufliche und politische Wirken des Individuums. Demgegenüber umfasst die Privatsphäre sowohl in räumlicher als auch in thematischer Hinsicht den Bereich, zu dem andere grundsätzlich nur Zugang haben, soweit er ihnen gestattet wird. Dies betrifft in thematischer Hinsicht Angelegenheiten, die wegen ihres Informationsinhalts typischerweise als „privat“ eingestuft werden, etwa weil ihre öffentliche Erörterung als unschicklich gilt, das Bekanntwerden als peinlich empfunden wird oder nachteilige Reaktionen in der Umwelt auslöst (BGH, Urteil vom 20.12.2011 – VI ZR 261/10, juris Rn. 16). Nach dieser Maßgabe sind jedenfalls die personenbezogenen Daten des Klägers, die zur Beschreibung seiner Person dienen, der Sozialsphäre zuzuordnen. Demgegenüber waren von dem Verstoß nicht besonders sensible Daten wie etwa Bank- oder Steuerdaten, Zugangsdaten und Kennwörter oder ähnliche Daten betroffen. Soweit Gesundheitsdaten des Klägers im Sinne von Art. 4 Nr. 15 DS-GVO offenbart wurden, sind diese zwar der Privatsphäre zuzurechnen. Allerdings darf hier nicht außer Acht gelassen werden, dass insbesondere im Hinblick auf den weiten Begriff der Gesundheitsdaten auch hier deren konkreter Inhalt zu berücksichtigen ist. Aus den offenbarten Daten lässt sich allenfalls das Fehlen einer Kontraindikation in der Person des Klägers bezüglich einer zweiten Impfung nach erfolgter Erstimpfung ableiten, nicht aber konkrete Schlüsse auf eine Erkrankung des Klägers oder eine besondere gesundheitliche Disposition. Damit stellt sich die Offenbarung der Gesundheitsdaten hier als weit weniger schwerwiegend dar, als dies etwa bei der Offenbarung spezifischer Gesundheitsdaten wie eines medizinischen Befundes oder einer ärztlichen Diagnose der Fall wäre.

Weiter ist in den Blick zu nehmen, dass der vom Kläger beanstandete Versand der die personenbezogenen Daten des Klägers enthaltenden Datei von der Beklagten zu keinem Zeitpunkt bezweckt war. Denn im Zuge des Betriebs des Impfzentrums benötigte die Beklagte die Datei einmalig für kurze Zeit zum Zwecke der Organisation des Impfzentrums, namentlich um die von der Änderung der Öffnungszeiten betroffenen Personen hierüber zu informieren. Der Versand der Datei beruhte auf einem Versäumnis der handelnden Mitarbeiter im Zug des Versands der E-Mail an die von der Änderung der Öffnungszeiten betroffenen Personen, war aber zu keinem Zeitpunkt intendiert.

Auch ist zu berücksichtigen, dass die Beklagte mit dem Betrieb des Impfzentrums und den damit im Zusammenhang stehenden Tätigkeiten eine öffentliche Aufgabe wahrgenommen hat und insbesondere nicht mit der Absicht handelte, hierbei in irgendeiner Weise Gewinne zu erzielen. Auch der Versand der E-Mail vom 00.00.2021 stand in keinerlei Zusammenhang mit einer gewinnorientierten Tätigkeit.

Ferner ist der geringe Grad des Verschuldens auf Seiten der Beklagten zu berücksichtigen. Insoweit geht der Senat lediglich von einem fahrlässigen Verhalten der Mitarbeiter der Beklagten aus, welche die E-Mail abgesandt haben. Soweit der Kläger hier von einem vorsätzlichen Verstoß ausgeht, hat er schon nicht dargelegt, welche Umstände die Annahme von Vorsatz rechtfertigen sollten. Auch soweit der Kläger meint, es greife insoweit ein Beweis des ersten Anscheins ein, vermag der Senat dem nicht zu folgen. Die Beweiswürdigungsregel des Anscheinsbeweises ist nur bei regelmäßigen (typischen) Geschehensabläufen anwendbar, die nach der Lebenserfahrung auf eine bestimmte Ursache hinweisen (vgl. Laumen, in: Baumgärtel/Laumen/Prütting, Handbuch der Beweislast, 4. Auflage 2019, Kap. 17 Rn. 10). Es ist schon nicht erkennbar, welcher typischen Geschehensablauf hier aufgrund von Erfahrungssätzen den Schluss auf ein vorsätzliches Verhalten erlauben soll. Allein der Versand einer E-Mail mit einem zuvor nicht entfernten Anhang kann zur Überzeugung des Senats jedenfalls nicht die Annahme rechtfertigen, die Übersendung der angehängten Datei sei vorsätzlich erfolgt. Im Hinblick auf die Darstellung der Beklagten von den Abläufen, die zum Versand der E-Mail nebst angehängter Excel-Datei geführt haben und die der Kläger auch im Senatstermin nicht in Abrede gestellt hat, ist die Annahme vorsätzlichen Verhaltens fernliegend. Vielmehr ist davon auszugehen, dass den betroffenen Mitarbeitern der Beklagten und damit auch der Beklagten allenfalls Fahrlässigkeit vorgeworfen werden kann.

Weiter ist zu berücksichtigen, dass nicht ersichtlich ist, dass es bereits vor dem streitgegenständlichen Vorfall zu einem vergleichbaren Verstoß gekommen ist und sich dieser anlässlich des Versands der E-Mail vom 00.00.2021 wiederholt hätte.

Schließlich zu berücksichtigen, dass die Beklagte alles in ihrer Macht Stehende unternommen hat, um den infolge des Verstoßes aufgetretenen Schaden gering zu halten. So wurde unmittelbar nach dem Versand der Mail der Versuch des Rückrufs der E-Mail unternommen, was bei insgesamt 500 Adressaten auch erfolgreich war. Ferner hat die Beklagte auch die Empfänger der E-Mail aufgerufen, die Daten zu löschen. Darüber hinaus hat die Beklagte den Kläger – sowie alle anderen Betroffenen – bereits kurz nach dem Verstoß mit Schreiben vom 05.08.2021 über diesen und über die offenbarten Daten informiert. Nachdem die Beklagte zudem Kenntnis davon erlangt hatte, dass sich eine Europäische Zentrale für Verbraucherschutz per E-Mail an den Kläger und andere Betroffene gewandt hatte, kam es nach dem unbestrittenen Vorbringen der Beklagten auf deren Betreiben auch zu einem Abschalten der Internetseite Webseite01.

Darüber hinaus hat die Beklagte sich mit Schreiben vom 05.08.2021 beim Kläger entschuldigt und den Vorfall der Aufsichtsbehörde angezeigt.

bb) Die Tatsache, dass der Kläger auf Facebook als Befürworter der Impfung aufgetreten ist und sich aus dem Profil auch Tag und Monat seines Geburtsdatums ablesen lassen, ist für die Bemessung der dem Kläger zuzusprechenden immateriellen Entschädigung demgegenüber lediglich von untergeordneter Bedeutung. Dies insbesondere deshalb, da die so durch den Kläger offenbarten Daten lediglich einen kleinen Teil der infolge des der Beklagten zuzurechnenden Datenschutzverstoßes offenbarten Daten repräsentieren, damit auch nicht ohne weiteres eine Identifizierung der Person des Klägers ermöglichen und der Kläger zudem auch eine Kontrolle über diese Daten innehat, die er jederzeit löschen kann.

cc) Im Rahmen der Genugtuungsfunktion des Ersatzanspruchs wegen immaterieller Schäden ist die an den Kläger versandte E-Mail vom 18.08.2021 von Bedeutung. Denn insoweit geht es nicht mehr nur um die bloße Sorge des Klägers vor den Folgen eines Datenschutzverstoßes und des darauf beruhenden Kontrollverlusts; vielmehr hat sich das in dem Datenschutzverstoß liegende Risiko hier bereits verwirklicht. Allerdings ist zu sehen, dass es sich lediglich um eine E-Mail handelt. Weitere konkrete Beeinträchtigungen über den eingetreten Kontrollverlust hinaus, die sich als Folge der Offenbarung der personenbezogenen Daten des Klägers darstellen, hat der Kläger im Senatstermin am 09.12.2022 verneint, sie werden angesichts der seit dem Datenverstoß bereits verstrichenen Zeit auch zunehmend weniger wahrscheinlich. Soweit der Kläger mit seinem Hinweis auf militante Impfgegner auf eine von diesen ausgehende Gefahr körperlicher oder sonstiger Übergriffe aufgrund des Umstands hinweisen will, dass der Kläger selbst eine Impfung befürwortet, hat sich insoweit kein Anhaltspunkt für eine konkrete Beeinträchtigung aufgrund des Datenschutzverstoßes ergeben.

dd) Soweit der Kläger geltend macht, der vom Landgericht zuerkannte Betrag von 100,00 Euro sei eher symbolischer Natur und habe keinerlei Abschreckungseffekt, so vermag der Senat dem nicht beizutreten.
153
Im Hinblick auf Erwägungsgrund 146 S. 3 zur DS-GVO sollen Schadenersatzforderungen zwar abschrecken und weitere Verstöße unattraktiv gemacht werden (Schaffland/Holthaus, in: Schaffland/Wiltfang, DS-GVO/BDSG, Stand: August 2022, Art. 82 DS-GVO Rn. 10b). Auch vermag sich ein Abschreckungseffekt vielleicht nicht aus dem dem Kläger zuerkannten Betrag ergeben. Allerdings ist hier in den Blick zu nehmen, dass der der Beklagten zuzurechnende Verstoß gegen die DS-GVO hier nicht lediglich den Kläger betrifft, sondern eine Vielzahl weiterer Personen, deren personenbezogene Daten ebenfalls in der übermittelten Excel-Datei enthalten waren. Insoweit gehen die Parteien übereinstimmend davon aus, dass die Datei Daten von insgesamt 13.000 Personen enthielt. Dieser Umstand bietet jedenfalls das Potenzial, das sich aus Ansprüchen vieler Betroffener ein durchaus messbarer finanzieller Schadensbetrag bei der Beklagten einstellt.

ee) Eine Erhöhung der Entschädigung ist auch nicht im Hinblick auf eine Sanktionswirkung der Entschädigung angezeigt.

Das für die konkrete Bemessung der Höhe maßgebliche deutsche Recht (vgl. Nemitz, in: Ehmann/Selmayr, DS-GVO, 2. Auflage 2018, Art. 82 Rn. 17) kennt – anders als die Rechtsordnungen anderer Staaten – keinen Strafschadensersatz. Eine wie auch immer geartete Sanktionswirkung neben dem Ausgleich eines konkret entstandenen immateriellen Schadens ist daher bei der Bemessung der dem Kläger zustehenden Entschädigung nicht in Betracht zu ziehen. Insoweit bestimmt Art. 83 DS-GVO, dass die zuständige Aufsichtsbehörde im Falle eines Verstoßes gegen die DS-GVO neben einem etwaigen individuellen Anspruch auf Schadenersatz nach Art. 82 Abs. 1 DS-GVO eine Geldbuße verhängen kann.

ff) Unter Beachtung der vorstehenden Erwägungen hält der Senat bei einer Gesamtbetrachtung des vorliegenden Falles und seiner Besonderheiten im Hinblick auf den eingetretenen dauerhaften Kontrollverlust und den Erhalt einer unerwünschten E-Mail den durch das Landgericht zuerkannten Betrag in Höhe von 100,00 Euro für angemessen, aber auch ausreichend, um den beim Kläger eingetretenen immateriellen Schaden nach Maßgabe des in der DS-GVO geregelten Schadensersatzanspruchs zu kompensieren.


Den Volltext der Entscheidung finden Sie hier:


OLG Hamm: Schadensersatzanspruch aus Art. 82 DSGVO wegen unzulässiger Speicherung personenbezogener Daten allenfalls in Höhe von 50 EURO gerechtfertigt

OLG Hamm
Beschluss vom 19.12.2022
11 W 69/22


Das OLG Hamm hat im vorliegenden Fall entschieden, dass ein Schadensersatzanspruch aus Art. 82 DSGVO wegen unzulässiger Speicherung personenbezogener Daten allenfalls in Höhe von 50 EURO gerechtfertigt ist.

Aus den Entscheidungsgründen:

2. Unabhängig von den fehlenden Voraussetzungen eines Amtshaftungsanspruchs kommt ein Schadensersatzanspruch des Klägers gemäß Art. 82 DSGVO infrage.

Dass die Bestimmungen dieser EU-Verordnung von der Beklagten zu beachten waren, ist zwischen den Parteien nicht im Streit. Ihr sachlicher Anwendungsbereich (Art. 2 DSGVO) ist eröffnet, nachdem die Beklagte personenbezogene Daten des Klägers gespeichert hat. Es liegt auch ein Verstoß gegen die Vorschriften dieser Verordnung vor, weil die Speicherung der Daten gem. Art. 17 Abs. 1a DSGVO unzulässig war.

Im Rahmen der europarechtlich auszulegenden Verordnung - diese verlangt aufgrund des Erwägungsgrundes 146 S. 3 eine weite Auslegung des Schadensbegriffs im Lichte der Rechtsprechung des EuGH, die den Zielen der Datenschutzgrundverordnung in vollem Umfang entspricht, vgl. BVerfG, Beschluss vom 14.1.2021, 1 BvR 2853/19, NJW 2021, S. 105 Rz. 19 - ist derzeit ungeklärt, ob immaterieller Schadensersatz zu versagen ist, wenn es an einer erheblichen Persönlichkeitsrechtsverletzung fehlt (vgl. BVerfG, Beschluss vom 14.1.2021, 1 BvR 2853/19, NJW 2021, S. 105 Rz. 20; auch Quaas in BeckOK Datenschutzrecht, Wolf/Brink, 42. Edition, Stand 01.08.2022, Art. 82 DSGVO Rz. 33 m.w.Nachw.). Diese Frage ist in einem Prozesskostenhilfeprüfungsverfahren nicht zulasten der antragstellenden Partei zu beantworten (vgl. BVerfG, Beschluss vom 19.02.2008, 1 BvR 1807/07, NJW 2008, S. 1060), sondern im Hauptsacheverfahren einer Klärung zuzuführen.

Deswegen kommt Prozesskostenhilfe für einen Schadensersatzanspruch gemäß Art. 82 DSGVO im vorliegenden Fall grundsätzlich in Betracht.

Allerdings ergibt sich aus dem vorgetragenen Sachverhalt kein Gesichtspunkt, der eine Schmerzensgeldzahlung von über 50,00 € rechtfertigen könnte. Dies auch dann, wenn man zugunsten des Klägers eine weite, europarechtliche Auslegung des Schadensbegriffes zugrunde legt, die neben einem individuellen Ausgleich wegen der Schutzgutverletzung, eine den Verstoß feststellende Genugtuungsfunktion und letztendlich auch eine generalpräventive Einwirkung auf den Schädiger in die Betrachtung einbezieht, vgl. insoweit auch OLG Koblenz, Urteil vom 18. Mai 2022, 5 U 2141/21, juris Rz. 80. Zu bewerten sind in der Sache insoweit dieselben Gesichtspunkte, die im Rahmen der Amtshaftung die Bewertung rechtfertigen, dass eine dort zu berücksichtigende Bagatellgrenze nicht überschritten worden ist.


Den Volltext der Entscheidung finden Sie hier:

VG Berlin: Auskunftsanspruch aus Art. 15 DSGVO gegen öffentlichen Stelle kann nach § 33 Abs. 1 Nr. 1 Buchst. b BDSG Geheimhaltungsinteresse entgegenstehen

VG Berlin
Urteil vom 24.10.2022
2 K 149/21


Das VG Berlin hat entschieden, dass einem Auskunftsanspruch aus Art. 15 DSGVO gegen eine öffentlichen Stelle nach § 33 Abs. 1 Nr. 1 Buchst. b BDSG ein Geheimhaltungsinteresse entgegenstehen kann. Diese Vorschrift ist von der Öffnungsklausel gemäß Art. 23 Abs. 1 Buchst. e DSGVO gedeckt.

II. Mit dem Antrag, dem Kläger Datenkopien der ihn betreffenden personenbezogenen Daten gemäß Art. 15 Abs. 3 DS-GVO zur Verfügung zu stellen, ist die Klage ebenfalls teilweise unzulässig und im Übrigen unbegründet.

Soweit die Beklagte die Einsicht in die ihn betreffenden Passagen des Dokuments Nr. 13 und in die Dokumente Nr. 26 und Nr. 36 (mit Ausnahme der das Abstimmungsverhalten im Verwaltungsrat betreffenden Passagen) zugesichert hat, fehlt dem Kläger das Rechtsschutzbedürfnis.

Im Übrigen steht ihm der Anspruch gemäß Art. 15 Abs. 3 DS-GVO nicht zu. Soweit das Dokument Nr. 13 Informationen über Vorgänge enthält, die den Kläger nicht betreffen, handelt es sich bereits nicht um personenbezogene Daten im Sinne von Art. 4 Nr. 1 DS-GVO. Der Übersendung einer Datenkopie der übrigen Dokumente steht § 34 Abs. 1 Nr. 1 i.V.m. § 33 Abs. 1 Nr. 1 Buchst. b des Bundesdatenschutzgesetzes - BDSG - entgegen. Danach besteht das Recht auf Auskunft der betroffenen Person gemäß Art. 15 DS-GVO nicht, wenn die Erteilung der Information die öffentliche Sicherheit oder Ordnung gefährden oder sonst dem Wohle des Bundes oder eines Landes Nachteile bereiten würde und deswegen das Interesse der betroffenen Person an der Informationserteilung zurücktreten muss.

Zu dem hiernach geschützten „Wohle des Bundes“ zählen die Beziehungen der Bundesrepublik zur EPO und ihren Mitgliedstaaten. Aus dem oben Gesagten folgt, dass die Bekanntgabe der begehrten Informationen mit hinreichender Wahrscheinlichkeit einen Nachteil für diese Beziehungen haben kann (vgl. BVerwG, Beschluss vom 13. November 2020 – BVerwG 20 F 5/20NVwZ 2021, 415 Rn. 17 ff.). Dies gilt auch für die Dokumente Nr. 48 und CA/C 16/17, 17/17 und 19/17. Dokument Nr. 48 ist ein Vermerk des BMJV mit einer Zusammenfassung der 156. Sitzung des Verwaltungsrats. Insoweit gilt das oben Gesagte. Die Dokumente CA/C 16/17, 17/17 und 19/17 sind der Kategorie C zugeordnet, die gemäß Art. 13 Abs. 1, Art. 9 Abs. 3 GOVR der Vertraulichkeit unterliegen und gegen deren Bekanntgabe sich der Präsident des Verwaltungsrats mit Schreiben vom 24. August 2020 gewandt hat.

Das Interesse des Klägers an der Informationserteilung muss hinter dem Geheimhaltungsinteresse zurücktreten. Das Interesse der Beklagten, die positiven Beziehungen zur EPO und ihren Mitgliedstaaten zu schützen und die mit der Offenlegung verbundene Gefahr einer Beeinträchtigung der vertraulichen Zusammenarbeit, haben ein hohes Gewicht. Demgegenüber hat der Kläger nicht dargelegt, worin sein Informationsinteresse besteht. Er hat lediglich auf die Betroffenheit personenbezogener Daten hingewiesen.

§ 33 Abs. 1 Nr. 1 Buchst. b BDSG ist entgegen der Auffassung des Klägers von der Öffnungsklausel des Art. 23 Abs. 1 Buchst. e DS-GVO gedeckt (Eßer, in: Eßer/Kramer/v. Lewinski, DSGVO/BDSG, 6. Auflage 2018, § 32 Rn. 14; Franck, in: Gola/Heckmann, DS-GVO/BDSG, 3. Auflage 2022, § 32 Rn. 26; Golla, in: Kühling/Buchner, DS-GVO/BDSG, 3. Auflage 2020, § 32 Rn. 13; Greve, in: Sydow, BDSG, 2020, § 32 Rn. 23). Der Begriff des „sonstigen wichtigen Ziels“ erfasst jedes wichtige Gemeinwohlziel, das in seinem Gewicht den in Art. 23 Abs. 1 Buchst. a–d DS-GVO oder den Regelbeispielen in Art. 23 Abs. 1 Buchst. e DS-GVO gleichkommt (Stender-Vorwachs/Wolff, in: BeckOK Datenschutzrecht, Stand: 2021, Art. 23 DS-GVO Rn. 37). Hierzu zählt das allgemeine öffentliche Interesse am Schutz internationaler Beziehungen.


Den Volltext der Entscheidung finden Sie hier:

EuGH: Auskunftsanspruch aus Art. 15 Abs. 1 lit. c DSGVO umfasst regelmäßig auch Identität der Empfänger personenbezogener Daten

EuGH
Urteil vom 12.01.2023
C-154/21
Österreichische Post (Informationen über die Empfänger personenbezogener Daten)


Der EuGH hat entschieden, dass der Auskunftsanspruch aus Art. 15 Abs. 1 lit. c DSGVO regelmäßig auch die Identität der Empfänger personenbezogener Daten umfasst.

Tenor der Entscheidung:
Art. 15 Abs. 1 Buchst. c der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz‑Grundverordnung) ist dahin auszulegen, dass das in dieser Bestimmung vorgesehene Recht der betroffenen Person auf Auskunft über die sie betreffenden personenbezogenen Daten bedingt, dass der Verantwortliche, wenn diese Daten gegenüber Empfängern offengelegt worden sind oder noch offengelegt werden, verpflichtet ist, der betroffenen Person die Identität der Empfänger mitzuteilen, es sei denn, dass es nicht möglich ist, die Empfänger zu identifizieren, oder dass der Verantwortliche nachweist, dass die Anträge auf Auskunft der betroffenen Person offenkundig unbegründet oder exzessiv im Sinne von Art. 12 Abs. 5 der Verordnung 2016/679 sind; in diesem Fall kann der Verantwortliche der betroffenen Person lediglich die Kategorien der betreffenden Empfänger mitteilen.

Die Pressemitteilung des EuGH:
Jeder hat das Recht zu erfahren, an wen seine personenbezogenen Daten weitergegeben wurden

Der für die Datenverarbeitung Verantwortliche kann sich jedoch darauf beschränken, nur die Empfängerkategorien mitzuteilen, wenn es nicht möglich ist, die Empfänger zu identifizieren, oder wenn der Antrag offenkundig unbegründet oder exzessiv ist

Ein Bürger beantragte bei der Österreichischen Post, der größten Anbieterin von Post- und Logistikdiensten in Österreich, ihm mitzuteilen, gegenüber welchen Empfängern sie seine personenbezogenen Daten offengelegt habe.

Er stützte sich auf die Datenschutz-Grundverordnung (DSGVO). Diese sieht vor, dass eine betroffene Person das Recht hat, von dem Verantwortlichen Informationen über die Empfänger oder Kategorien von Empfängern zu erhalten, gegenüber denen ihre personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden.

Bei der Beantwortung der Anfrage des Bürgers beschränkte sich die Österreichische Post auf die Mitteilung, sie verwende personenbezogene Daten, soweit das rechtlich zulässig sei, im Rahmen ihrer Tätigkeit als Herausgeberin von Telefonbüchern und biete diese Daten Geschäftskunden für Marketingzwecke an. Der Bürger erhob daraufhin gegen die Österreichische Post Klage vor den österreichischen Gerichten.

Im Lauf des gerichtlichen Verfahrens teilte die Österreichische Post dem Bürger weiter mit, seine Daten seien an Kunden weitergegeben worden, zu denen werbetreibende Unternehmen im Versandhandel und stationären Handel, IT-Unternehmen, Adressverlage und Vereine wie Spendenorganisationen, Nichtregierungsorganisationen (NGOs) oder politische Parteien gehört hätten.

Der Oberste Gerichtshof (Österreich), bei dem der Rechtsstreit in letzter Instanz anhängig ist, möchte wissen, ob die DSGVO es dem für die Datenverarbeitung Verantwortlichen freistellt, ob er der betroffenen Person die konkrete Identität der Empfänger oder nur die Kategorien von Empfängern mitteilt, oder ob die betroffene Person gemäß der DSGVO das Recht hat, die konkrete Identität dieser Empfänger zu erfahren.

Mit seinem heutigen Urteil antwortet der Gerichtshof, dass der Verantwortliche, wenn personenbezogene Daten gegenüber Empfängern offengelegt worden sind oder noch offengelegt werden, verpflichtet ist, der betroffenen Person auf Anfrage die Identität der Empfänger mitzuteilen. Nur wenn es (noch) nicht möglich ist, diese Empfänger zu identifizieren, kann sich der Verantwortliche darauf beschränken, lediglich die Kategorien der betreffenden Empfänger mitzuteilen. Dies ist ebenfalls der Fall, wenn der Verantwortliche nachweist, dass der Antrag offenkundig unbegründet oder exzessiv ist.

Der Gerichtshof weist darauf hin, dass dieses Auskunftsrecht der betroffenen Person erforderlich ist, um es ihr zu ermöglichen, die anderen Rechte auszuüben, die ihr gemäß der DSGVO zukommen, nämlich das Recht auf Berichtigung, das Recht auf Löschung („Recht auf Vergessenwerden“), das Recht auf Einschränkung der Verarbeitung, das Recht auf Widerspruch gegen die Verarbeitung oder auch das Recht auf einen Rechtsbehelf im Schadensfall.


Den Volltext der Entscheidung finden Sie hier:

OLG Celle: Auskunftsanspruch aus Art. 15 DSGVO ist nicht zweckgebunden und muss nicht aus den in Erwägungsgrund 63 der DSGVO genannten Gründen geltend gemacht werden

OLG Celle
Urteil vom 14.12.2022
8 U 165/22


Das OLG Celle hat entschieden, dass der Auskunftsanspruch aus Art. 15 DSGVO nicht zweckgebunden ist und nicht aus den in Erwägungsgrund 63 der DSGVO genannten Gründen geltend gemacht werden muss.

Aus den Entscheidungsgründen:
Die Auskunftsklage ist auch begründet. Entgegen der vom Landgericht und der Beklagten vertretenen Auffassung steht dem Kläger gegen die Beklagte ein Auskunftsanspruch gemäß Art. 15 DS-GVO zu.

Nach Erwägungsgrund 63 Satz 1 der DS-GVO dient das Auskunftsrecht der betroffenen Person hinsichtlich der sie betreffenden personenbezogenen Daten dem Zweck, sich der Verarbeitung (zum Begriff vgl. Art. 4 Nr. 2 DS-GVO; zu dem vom sachlichen Anwendungsbereich der Verordnung erfassten Bereich der Verarbeitung vgl. Art. 2 Abs. 1, Art. 4 Nr. 6 DS-GVO) bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können (vgl. BGH, Urteil vom 15. Juni 2021 - VI ZR 576/19).

Entscheidend für das Bestehen eines Auskunftsanspruchs ist daher, ob die von der Beklagten dem Kläger anlässlich der Beitragsanpassungen übersandten Nachträge zum Versicherungsschein Informationen nach diesen Kriterien enthalten (vgl. BGH, a.a.O.).

Gemäß Art. 4 Nr. 1 Halbsatz 1 DS-GVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Diese Definition besitzt einen weiten Anwendungsbereich. Er ist nicht auf sensible oder private Informationen beschränkt, sondern umfasst potenziell alle Arten von Informationen sowohl objektiver als auch subjektiver Natur in Form von Stellungnahmen oder Beurteilungen, wenn sie denn nur die in Rede stehende Person betreffen. Letzteres ist der Fall, wenn die Information aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer bestimmten Person verknüpft ist (vgl. EuGH, Urteil vom 20. Dezember 2017 - C-434/16 zu Art. 2 Buchst. a der RL 95/46/EG des Europäischen Parlaments und des Rates vom 24.10.1995; BGH, Urteil vom 15. Juni 2021 - VI ZR 576/19).

Schreiben des Versicherers an den Versicherungsnehmer sind grundsätzlich ihrem gesamten Inhalt nach als personenbezogene Daten gemäß Art. 4 Nr. 1 DS-GVO anzusehen. Die personenbezogene Information besteht bereits darin, dass sich die Beklagte dem Schreiben gemäß geäußert hat (vgl. BGH, a.a.O.).

Auch im vorliegenden Fall sind personenbezogene Daten im Sinne von Art. 4 Nr. 1 Halbsatz 1 DS-GVO Gegenstand des Auskunftsanspruchs. Die anlässlich der Beitragsanpassungen von der Beklagten an den Kläger übersandten Nachträge zum Versicherungsschein hatten den konkreten, zwischen den Parteien geschlossenen Vertrag zum Gegenstand und gestalteten diesen inhaltlich teilweise neu. Auch die anlässlich der Beitragsanpassung übersandten Mitteilungsschreiben unterfallen in ihrer Gesamtheit dem Begriff der personenbezogenen Daten (vgl. BGH, a.a.O.).

Bei dem Auskunftsantrag des Klägers handelt es sich auch nicht um einen offenkundig unbegründeten oder exzessiven Antrag im Sinne von Art. 12 Abs. 5 Satz 2 DS-GVO. In der Verordnung findet sich als Regelbeispiel für die Annahme eines exzessiven Antrags der Fall von häufiger Wiederholung. Davon kann im vorliegenden Fall keine Rede sein, weil der Kläger mit seiner Klage die erstmalige Erteilung einer Kopie der maßgeblichen Unterlagen begehrt. Unmaßgeblich ist auch die Motivationslage des Klägers, weil die Verordnung den Auskunftsanspruch nicht von einer bestimmten Zielsetzung des Anspruchsinhabers abhängig macht und dementsprechend der Antrag auf Auskunftserteilung auch nicht begründet werden muss (vgl. BGH, EuGH-Vorlage vom 29. März 2022 - VI ZR 1352/20; OLG Köln, Urteil vom 13. Mai 2022 - 20 U 198/21; juris Simitis/Hornung/Spiecker, DS-GVO mit BDSG, Art. 15 DS-GVO, Rn. 11; Schmidt-Wudy in: BeckOK Datenschutzrecht, Stand: 01.08.2022; DS-GVO Art. 15, Rn. 85).

Soweit die Beklagte im Berufungsverfahren behauptet, der Kläger sei noch im Besitz der ihm ursprünglich übermittelten und nunmehr streitgegenständlichen Informationen (Bl. 143 d. A.), steht das einem Auskunftsanspruch gemäß Art. 15 DS-GVO nicht entgegen. Für den von ihr erhobenen Einwand hat die Beklagte bereits keinen Beweis angeboten. Unabhängig hiervon besteht der auf Art. 15 DS-GVO gestützte Auskunftsanspruch auch dann, wenn der Betroffene bereits über die geforderten Informationen verfügt (vgl. BGH, Urteil vom 15. Juni 2021 - VI ZR 576/19; VG Schwerin, Urteil vom 29. April 2021 - 1 A 1343/19 SN; Schmidt-Wudy in: BeckOK Datenschutzrecht, Stand: 01.08.2022; DS-GVO Art. 15, Rn. 52.3).

Einem auf Art. 15 DS-GVO gestützten Auskunftsanspruch steht auch nicht entgegen, dass die entsprechende Verordnung gemäß Art. 99 Abs. 2 DS-GVO erst am 25. Mai 2018 in Kraft getreten ist, während sich der Auskunftsanspruch des Klägers auf solche Informationen bezieht, die zu einem früheren Zeitpunkt erhoben und gespeichert wurden. Insoweit findet sich in der Verordnung bereits keine ausdrückliche zeitliche Begrenzung des Auskunftsanspruchs, was für einen unbeschränkten Auskunftsanspruch auch im Hinblick auf solche Informationen spricht, die vor dem 25. Mai 2018 erhoben und/oder gespeichert wurden. Darüber hinaus dient die Verordnung gemäß Art. 1 Abs. 2 DS-GVO dem Schutz der Grundrechte und der Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten. Ein solcher Schutz würde aber weitgehend leerlaufen, wenn er sich nur auf Informationen erstrecken würde, die nach dem 25. Mai 2018 erhoben wurden. Hierfür spricht auch, dass die Vorgängerverordnung 95/46/EG mit Wirkung vom 25. Mai 2018 aufgehoben wurde und etwaige Auskunftsansprüche hierauf nicht mehr gestützt werden können. Weiter handelt es sich jedenfalls bei dem Akt der Datenspeicherung um eine fortlaufende Datenverarbeitung, die unter der Voraussetzung einer nicht bereits zuvor erfolgten Löschung - auch über den 25. Mai 2018 hinaus andauert und damit spätestens ab diesem Zeitpunkt dem Anwendungsbereich von Art. 15 DS-GVO unterfällt (vgl. Kühling/Buchner; Datenschutz-Grundverordnung/BDSG, 2. Aufl., Art. 15, Rn. 8).

Der dem Kläger gegen die Beklagte zustehende Auskunftsanspruch ist nicht verjährt. Ob eine Verjährung des nebenvertraglichen Auskunftsanspruchs bzw. des Anspruchs gemäß Art. 15 DS-GVO überhaupt möglich ist und nach welchen Vorschriften sie sich ggf. richtet, bedarf im vorliegenden Fall keiner Entscheidung. Denn selbst wenn der Auskunftsanspruch wie der auf § 242 BGB gestützte Auskunftsanspruch selbstständig und unabhängig nach der allgemeinen Frist des § 195 BGB verjähren sollte (vgl. BGH, Urteil vom 3. September 2020 - III ZR 136/18; BGH, Urteil vom 25. Juli 2017 - VI ZR 222/16), so könnte er aber jedenfalls nicht vor dem Hauptanspruch verjähren, dem er dient (vgl. BGH, Urteil vom 3. September 2020, a.a.O.; BGH, Urteil vom 25. Juli 2017, a.a.O.). Im vorliegenden Fall kann eine Verjährung sämtlicher, auf eine ggf. unwirksame Beitragsanpassung beispielsweise im Jahr 2013 gestützten Leistungsansprüche auch für die Zeit nach dem 1. Januar 2018 aber nicht festgestellt werden.

Inhaltlich ist der Auskunftsanspruch gemäß Art. 15 Abs. 3 Satz 1 DS-GVO auf die Übersendung einer Datenkopie gerichtet. Dabei beschränkt sich der Anspruch nicht auf die Übermittlung von Informationen, die der von der Datenspeicherung betroffenen Person gemäß Art. 15 Abs. 1 DS-GVO zustehen. Der Senat folgt insoweit vielmehr der in der Rechtsprechung und der Literatur vertretenen extensiven Auslegung von Art. 15 DS-GVO (vgl. OLG München, Urteil vom 4. Oktober 2021 - 3 U 2906/20; OVG Munster, Urteil vom 8. Juni 2021 - 16 A 1582/20; LAG Baden-Württemberg, Urteile vom 17. März 2021 - 21 Sa 43/20 - und vom 20. Dezember 2018 - 17 Sa 11/18; Schmidt-Wudy in: BeckOK Datenschutzrecht, Stand: 01.08.2022, DS-GVO Art. 15, Rn. 85; Schaffland/Holthaus, Datenschutz-Grundverordnung (DS-GVO)/Bundesdatenschutzgesetz (BDSG), Werkstand: 11. Ergänzungslieferung 2022; Artikel 15, Rn. 44b; a. A. Franzen in: Franzen/Gallner/Oetker, Kommentar zum europäischen Arbeitsrecht, 4. Aufl., EU (VO) 2016/679 Art. 15; Rn. 5; Paal in: Paal/Pauly, DS-GVO BDSG, 3. Aufl., DS-GVO Art. 15, Rn. 33a). Danach hat der Auskunftspflichtige die personenbezogenen Daten grundsätzlich in der Rohfassung zu übermitteln, in der sie bei ihm gespeichert sind. Denn Art. 15 Abs. 3 Satz 1 DS-GVO stellt insoweit eine eigenständige und von Art. 20 DS-GVO unabhängige Anspruchsgrundlage dar (vgl. Schmidt-Wudy in: BeckOK Datenschutzrecht, Stand: 01.08.2022, DS-GVO Art. 15, Rn. 85).

Hieraus folgt zugleich, dass der Kläger auch eine Kopie von Versicherungsscheinen und Nachträgen zum Versicherungsschein verlangen kann, wenn sie denn als solche (und nicht nur deren reiner Informationsinhalt) bei der Beklagten gespeichert sind.

Sollte der Inhalt etwa eines Versicherungsscheins sowohl in der Form des Versicherungsscheins als auch in Gestalt lediglich der im Versicherungsschein enthaltenen Informationen gespeichert sein, sind von der Beklagten grundsätzlich beide Datensätze in Gestalt einer Datenkopie herauszugeben. Denn anderenfalls kann der Kläger die mit dem Auskunftsanspruch bezweckte Überprüfung einer ordnungsgemäßen Verarbeitung (aller!) von der Beklagten gespeicherten personenbezogenen Daten nicht sinnvoll ausüben.

Demgegenüber kann Art. 15 Abs. 3 Satz 1 DS-GVO kein gegen den Auskunftspflichtigen gerichteter Anspruch entnommen werden, die übermittelten Rohdaten zusätzlich aufzubereiten, damit diese von der betroffenen Person verwendet werden können. Das folgt bereits aus der Zielrichtung des Auskunftsanspruchs, den Berechtigten von einer Verarbeitung der ihn betreffenden Daten zu informieren und ihm die Gelegenheit geben, die Verarbeitung auf ihre Rechtmäßigkeit hin zu überprüfen (vgl. VG Schwerin, Urteil vom 29. April 2021 - 1 A 1343/19 SN; Schmidt-Wudy in: BeckOK Datenschutzrecht, Stand: 01.08.2022, DS-GVO Art. 15, Rn. 2). Dieses Informationsbedürfnis kann aber nur durch Übersendung der Dateien in der Gestalt erfüllt werden, in der sie beim Auskunftspflichtigen auch gespeichert sind. Anders verhält es sich lediglich dann, wenn der Auskunftsberechtigte nur durch eine entsprechende Aufbereitung den Inhalt der gespeicherten Informationen zur Kenntnis nehmen könnte (vgl. Schaffland/Holthaus, a.a.O.; Schmidt-Wudy, a.a.O., Rn. 85).

Entgegen der Auffassung der Beklagten spricht gegen die extensive Auslegung von Art. 15 DS-GVO auch nicht das Urteil des Europäischen Gerichtshofs vom 17. Juli 2014 - C-141/12 und C-372/12. Zwar hat das Gericht entschieden, dass die betroffene Person keinen Anspruch auf die Kopie eines Dokuments oder einer Originaldatei habe, wenn das mit dem Auskunftsrecht angestrebte Ziel durch eine andere Form der Mitteilung vollständig erreicht werden könne. Allerdings bezieht sich die Entscheidung des Gerichts nicht auf Art. 15 DS-GVO, sondern auf Art. 12 Lit. a) der RL 95/46/EG. Diese sah anders als Art. 15 Abs. 3 DS-GVO aber kein Recht auf eine Datenkopie vor, sondern lediglich einen Anspruch auf unter anderem eine "Mitteilung in verständlicher Form über Daten" (vgl. auch Schmidt-Wudy in: BeckOK Datenschutzrecht, Stand: 01.08.2022, DS-GVO Art. 15, Rn. 85).

[...]

3. Der Senat hat zu D.2. die Revision sowohl wegen grundsätzlicher Bedeutung gemäß § 543 Abs. 2 Satz 1 Nr. 1 als auch zur Sicherung einer einheitlichen Rechtsprechung gemäß § 543 Abs. 2 Satz 1 Nr. 2 ZPO zugelassen. Ob ein Auskunftsanspruch gemäß Art. 15 DS-GVO zweckgebunden ist oder unabhängig von der hiermit verbundenen Zielrichtung erhoben werden kann, wird in der Rechtsprechung nicht einheitlich beurteilt. So wird teilweise die Auffassung vertreten, dass Zielrichtung der vom Versicherungsnehmer begehrten Auskunftserteilung gemäß Art. 15 DS-GVO ausschließlich sein dürfe, sich der Verarbeitung der ihn betreffenden personenbezogenen Daten bewusst zu werden und die Rechtmäßigkeit dieser Verarbeitung überprüfen zu können (vgl. OLG Dresden, Urteil vom 29. März 2022 - 4 U 1905/21; OLG Nürnberg, Urteil vom 14. März 2022 - 8 U 2907/21; OLG Hamm, Beschluss vom 15. November 2021 - 20 U 269/21).

Darüber hinaus besitzt die Frage einer Zweckgebundenheit des Auskunftsanspruchs gemäß Art. 15 DS-GVO aber auch grundsätzliche Bedeutung, weil sie sich über den Einzelfall hinaus in einer unbestimmten Vielzahl von Fällen stellen kann (bzw. bereits stellt) und deshalb für die Allgemeinheit von besonderer Bedeutung ist (vgl. BVerfG, Beschluss vom 5. Juli 2022 - 1 BvR 832/21, 1 BvR 1258/21). Ebenfalls von grundsätzlicher Bedeutung ist die Frage, welchen Umfang der Auskunftsanspruch gemäß Art. 15 DS-GVO besitzt und ob der Anspruch auf Übermittlung einer Datenkopie die Übermittlung sämtlicher beim Versicherer gespeicherter Daten umfasst.


Den Volltext der Entscheidung finden Sie hier:


LG Köln: 4.000 EURO immaterieller Schadensersatz aus Art. 82 Abs. 1 DSGVO wegen Offenlegung einer Geschäftsbeziehung zu einem Konkurrenzunternehmen gegenüber Vorgesetzten

LG Köln
Urteil vom 28.09.2022
28 O 21/22


Das LG Köln hat dem Betroffenen in diesem Fall 4.000 EURO immateriellen Schadensersatz aus Art. 82 Abs. 1 DSGVO wegen der Offenlegung einer Geschäftsbeziehung zu einem Konkurrenzunternehmen gegenüber einem Vorgesetzten zugesprochen. Der Betroffene hatte mit seiner Klage 100.000 EURO Schadensersatz verlangt. Die Klage wurde daher überwiegend abgewiesen.

Aus den Entscheidungsgründen:
Der Kläger hat gegen die Beklagte zu 1) einen Anspruch auf Zahlung eines Schadensersatzes in Höhe von 4.000 € aus Art. 82 Datenschutz-Grundverordnung (im Folgenden: DS-GVO).

1. Die Beklagte zu 1) hat personenbezogene Daten des Klägers im Sinne des Art. 4 Nr. 2 DS-GVO dadurch verarbeitet, dass sie die streitgegenständliche E-Mail an Herrn K. versandt hat. Sie muss sich dabei die Handlung ihres Angestellten, des Beklagten zu 2), zurechnen lassen. Zur Verarbeitung im Sinne der DS-GVO zählt auch die „Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung“.

Die Offenlegung der Vertragsverhältnisse zwischen der Beklagten zu 1) und dem Kläger an den Vorgesetzten des Klägers war auch rechtswidrig. Sie unterfällt keinem Rechtfertigungstatbestand nach Art. 6 Abs. 1 DS-GVO. Insbesondere ist sie nicht zur Erfüllung des Vertrags mit dem Kläger „erforderlich“, Art. 6 Abs. 1 lit. b) DS-GVO. Erforderlichkeit setzt voraus, dass ein unmittelbarer Zusammenhang zwischen der Verarbeitung und dem konkreten Zweck des Vertragsverhältnisses besteht. Ein solcher Zusammenhang ist hier nicht ersichtlich. Der Vorgesetzte des Klägers ist in keiner Weise in den Vertrag involviert und für die private Lebensführung des Klägers auch offensichtlich in keiner Weise verantwortlich. Es ist nicht im Ansatz zu erkennen, warum der Gläubiger eines Schuldverhältnisses sich veranlasst sehen dürfte, sich an den Vorgesetzten seines Schuldners zu wenden um diesen dazu zu bringen, auf den Schuldner einzuwirken. Etwas anderes ergibt sich auch nicht aus dem Umstand, dass der Kläger ebenfalls als Autoverkäufer in einem Konkurrenzunternehmen tätig ist. Gerade in diesem Fall drängt sich der Gedanke förmlich auf, dass dem Kläger aus einer Offenlegung seiner Geschäftsbeziehungen zu einem Konkurrenzunternehmen Probleme erwachsen können, was für die Erfüllung des Vertrags nicht förderlich sein dürfte.

Die Beklagte zu 1) ist für den Verstoß gegen Art. 6 Abs. 1 DS-GVO auch verantwortlich und muss sich das Verhalten ihres Mitarbeiters zurechnen lassen. Eine Exkulpation nach Art. 82 Abs. 3 DS-GVO kommt nicht in Betracht. Soweit die Beklagte zu 1) schlicht darauf abstellt, dass der Beklagte zu 2) dem Kläger keinen Schaden habe zufügen wollen, verfängt dies nicht. Die Versendung der E-Mail erfolgte vorsätzlich. Eine Schädigungsabsicht setzt Art. 82 DS-GVO nicht voraus.

2. Der Verstoß ist auch derart gravierend, dass er eine Schadensersatzpflicht der Beklagten zu 1) auslöst, allerdings nur in tenorierter Höhe.

Allein der Verstoß gegen datenschutzrechtliche Vorschriften führt nicht zu einer Verpflichtung des Verantwortlichen zur Zahlung von Schadensersatz (so auch LG Karlsruhe ZD 2019, 511). Voraussetzung eines Anspruchs auf Schadensersatz aus Art. 82 Abs. 1 DS-GVO, der im nationalen Recht unmittelbar Anwendung findet und andere Anspruchsgrundlagen nicht ausschließt (Nemitz, in: Ehmann/Selmayr, DS-GVO, 2. Aufl., Art. 82 Rn. 7), ist ein Verstoß gegen die DS-GVO und ein hierdurch verursachter Schaden, was ein Kläger darzulegen und zu beweisen hat (LG Karlsruhe, a.a.O.). Nach dem Erwägungsgrund 146 ist der Begriff des Schadens weit auszulegen, sodass Betroffene einen wirksamen Ersatz erhalten. Erwägungsgrund 85 besagt, dass eine Verletzung des Schutzes personenbezogener Daten einen physischen, materiellen oder immateriellen Schaden für natürliche Personen – wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung oder Rufschädigung – nach sich ziehen kann, wenn nicht rechtzeitig und angemessen reagiert wird. Es bedarf danach zwar keiner schweren Verletzung des Persönlichkeitsrechts, um einen immateriellen Schaden geltend zu machen (Gola/Piltz, DS-GVO, 2. Aufl., Art. 82 Rn. 13).Dennoch führt nicht bereits jeder Verstoß gegen die DS-GVO zu einer Ausgleichspflicht, denn der Verpflichtung zum Ausgleich eines immateriellen Schadens muss eine benennbar und insoweit tatsächliche Persönlichkeitsverletzung gegenüberstehen, die z.B. in der mit einer unrechtmäßigen Zugänglichmachung von Daten liegenden „Bloßstellung“ liegen kann (LG Karlsruhe, a.a.O.). Die Ermittlung des Schadens obliegt nach § 287 ZPO dem Gericht.

Der Verstoß der Beklagten zu 1) gegen die Regeln der DS-GVO ist bereits für sich derart gravierend, dass er eine entschädigungspflichtige Persönlichkeitsrechtsverletzung des Klägers begründet. Dass sich der Beklagte zu 2) hier an den Vorgesetzten des Klägers gewandt haben, ist nicht nur unangebracht und ein Verstoß gegen die DS-GVO, sondern für den Kläger auch peinlich und mit erheblichen Unannehmlichkeiten verbunden, weil er sich – unabhängig von der tatsächlichen Reaktion seines Vorgesetzten – genötigt fühlen könnte, sich gegenüber seinem Arbeitgeber dafür rechtfertigen zu müssen, bei der Konkurrenz ein Auto gekauft zu haben. Dies ist mit einem erheblichen Gefühl der Scham verbunden. Es handelt sich bei den Vertragsinformationen zwar nicht um hochsensible und höchstpersönliche Daten, der Kläger hatte jedoch ein offensichtliches Geheimhaltungsinteresse. Der Verstoß führt insoweit auch zu einem völligen Verlust der Kontrolle über die Daten, auch wenn die Information nur an eine Person geleitet wurde. Zudem erfolgte der Verstoß vorsätzlich, auch wenn der Beklagte zu 2), wie die Beklagte zu 1) unbestritten vorgetragen hat, keine Schädigungsabsicht gehabt hat.

Für die Frage der Schadensbemessung ist von Bedeutung, dass die Kammer die von dem Kläger behaupteten Folgen des Datenschutzverstoßes ihrer Entscheidung nicht zu Grunde legen kann.

Der Vortrag des Klägers zur Zerrüttung seines Arbeitsverhältnisses ist unsubstantiiert und prozessual unbeachtlich. Die Beklagte zu 1) hat sich offenbar im Betrieb des Klägers informiert und in ihrem Schriftsatz vom 23.08.2022 detailliert vorgetragen, dass es zu keiner Zerrüttung des Arbeitsverhältnisses gekommen ist. Dabei hat sie auch auf Ungereimtheiten im Vortrag des Klägers hingewiesen, die dieser selbst nicht entkräften konnte. So erfolgte die erste Krankschreibung des Klägers nicht unmittelbar nach dem streitgegenständlichen Vorfall, sondern erst einige Wochen später. Soweit der Kläger im April 2022 vorgetragen hat, seine Stelle sei neu besetzt worden und sein Vertrag ende „bald“, fehlt es an Vortrag dazu, wann dieser Zeitpunkt konkret sein soll. Da der Kläger noch mit Schriftsatz vom 02.08.2022 eine aktuelle Arbeitsunfähigkeitsbescheinigung bis zum 15.08.2022 vorgelegt hat, scheinen deutliche Zweifel angebracht, ob das Arbeitsverhältnis überhaupt in absehbarer Zeit enden wird. Auch fehlt es an substantiiertem Vortrag zu einer dauerhaften Arbeitsunfähigkeit des Klägers, da dieser nach den vorliegenden Unterlagen lediglich im Zeitraum Ende August bis Anfang Oktober 2021 und im Zeitraum um die Replik im August 2022 krankgeschrieben gewesen ist, somit lediglich für wenige Wochen. Da der Kläger auf den Vortrag der Beklagten zu 1) in ihrem Schriftsatz vom 23.08.2022 nicht mehr reagiert hat, gilt der Vortrag der Beklagten zu 1) als zugestanden.

Auch soweit der Kläger vorgetragen hat, an einer Depression zu leiden, ist sein Vortrag unbeachtlich. Ein ärztliches Attest, das diese Diagnose belegen könnte, hat er nicht vorgelegt. Sein Hausarzt hat ihm am 24.09.2021 lediglich eine „depressive Episode“ diagnostiziert. Substantiierter Sachvortrag zu seinen konkreten Symptomen, die es erlauben würden, die Diagnose einer Depression, egal in welcher Form, zu stellen, ist nicht erfolgt. Etwas anderes ergibt sich auch nicht aus dem Schreiben des Prof. X (Anlage K020). Hierbei handelt es sich nicht etwa um ein Privatgutachten, das geeignet wäre, den klägerischen Vortrag zu substantiieren, sondern um ein in einem reißerischen Tonfall geschriebenes Gefälligkeitsschreiben, das für die Kammer insgesamt unbeachtlich war. Nicht nur lässt es Prof. X an jeglicher Neutralität in Bezug auf den hier anhängigen Rechtsstreit vermissen. Es ergibt sich aus dem Schreiben noch nicht einmal, ob der Kläger bei Prof. X überhaupt in Behandlung war, so dass für die Kammer nicht ersichtlich ist, auf welcher therapeutischen Grundlage sich der Prof. X überhaupt ein Urteil zum Gesundheitszustand des Klägers anmaßt.

Die Kammer will nicht in Abrede stellen, dass der Kläger tatsächlich unter hohem psychischen Druck steht. Er war in der mündlichen Verhandlung sichtlich angefasst und schien deutlich zu leiden. Dieses Leiden ist jedoch nicht derart substantiiert im Prozess vorgetragen worden, dass es für die Kammer prozessual verwertbar wäre und für die Einholung eines psychologischen Sachverständigengutachtens gereicht hätte. Dies gilt nicht nur für den Vortrag des Klägers hinsichtlich des Vorliegens einer Depression, sondern auch für die Frage, ob gerade der Datenschutzverstoß der Beklagten für die Krankheit des Klägers kausal geworden ist. Die Einholung eines Sachverständigengutachtens würde vor diesem Hintergrund einem Ausforschungsbeweis gleichkommen.

Bei der Bemessung des Schmerzensgelds war weiterhin zu berücksichtigen, dass die Beklagte zu 1) eine strafbewehrte Unterlassungserklärung abgegeben und sich bereits mit E-Mail vom 20.07.2021 beim Kläger entschuldigt hat. Weiterhin war zu berücksichtigen, dass nach Sinn und Zweck von Art. 82 DS-GVO das Schmerzensgeld so zu bemessen ist, dass es eine abschreckende Wirkung auf die Beklagte ausübt. Dabei war jedoch auch darauf zu achten, dass auch nach der Konzeption des Art. 82 DS-GVO der Schadensersatz nicht in einen Strafschadensersatz ausartet, sondern in erster Linie der Kompensation tatsächlich entstandener Schäden beim Kläger dient (vgl. Erwägungsgrund (146) S. 5 DS-GVO: „erlittener Schaden“). In diesem Zusammenhang war für die Kammer entscheidend auf die finanzielle Situation der Beklagten zu 1) abzustellen, nicht hingegen auf die Finanzkraft des „V-Konzern s“ insgesamt. Die Beklagte zu 1) mag zum V-Konzern gehören, sie ist aber rechtlich unabhängig. Der Kläger hat nicht die Volkswagen AG verklagt, so dass der Vortrag zu deren Umsätzen unbeachtlich ist. Vortrag zur finanziellen Situation der Beklagten zu 1) fehlt indes. Daher verbietet sich auch eine Orientierung an einem möglicherweise von der Aufsichtsbehörde noch zu verhängendem Bußgeld gegen die Beklagte zu 1). Der Vortrag des Klägers zur Höhe dieses Bußgelds, insbesondere dass dieses die Höchstgrenze des Art. 83 Abs. 4 DS-GVO von 10 Milliarden EUR erreichen könnte, stellt sich vor diesem Hintergrund nicht als eine ernsthafte Prognose dar.

Unter Berücksichtigung sämtlicher dieser zuvor genannten Umstände hält die Kammer gemäß § 287 ZPO insgesamt einen Schadensersatz von 4.000 EUR für notwendig, aber auch ausreichend zur Kompensation des dem Kläger entstandenen Schadens.


Den Volltext der Entscheidung finden Sie hier:

EuGH-Generalanwalt: Anspruch auf Schadensersatz aus Art. 82 DSGVO setzt tatsächlichen materiellen oder immateriellen Schaden voraus - Kein Strafschadensersatz

EuGH-Generalanwalt
Schlussanträge vom 06.10.2022
C‑300/21
UI gegen Österreichische Post AG


Der EuGH-Generalanwalt kommt in seinen Schlussanträgen zu dem Ergebnis, dass ein Anspruch auf Schadensersatz aus Art. 82 DSGVO einen tatsächlichen materiellen oder immateriellen Schaden voraussetzt.

Das Ergebnis des EuGH-Generalanwalts:
Art. 82 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist wie folgt auszulegen:

Für die Anerkennung eines Anspruchs auf Ersatz des Schadens, den eine Person infolge eines Verstoßes gegen die genannte Verordnung erlitten hat, reicht die bloße Verletzung der Norm als solche nicht aus, wenn mit ihr keine entsprechenden materiellen oder immateriellen Schäden einhergehen.

Der in der Verordnung 2016/679 geregelte Ersatz immaterieller Schäden erstreckt sich nicht auf bloßen Ärger, zu dem die Verletzung ihrer Vorschriften bei der betroffenen Person geführt haben mag. Es ist Sache der nationalen Gerichte, herauszuarbeiten, wann das subjektive Unmutsgefühl aufgrund seiner Merkmale im Einzelfall als immaterieller Schaden angesehen werden kann.

Die vollständigen Schlussanträge finden Sie hier:


LAG Baden-Württemberg: Auskunftserteilung nach Art. 15 DSGVO kann auch per E-Mail erfolgen

LAG Baden-Württemberg
Urteil vom 10.8.2022
2 Sa 16/21

Das LAG Baden-Württemberg hat entschieden, dass die Auskunftserteilung nach Art. 15 DSGVO auch per E-Mail erfolgen kann.

Aus den Entscheidungsgründen:
Der Kläger hat gegen die Beklagte zu 1 keinen Anspruch mehr auf Auskunftserteilung gem. Art. 15 Abs. 1 DSGVO über die von ihr im Beschäftigungskontext verarbeiteten personenbezogenen Daten. Die Beklagte zu 1 hat den Auskunftsanspruch erfüllt.

1. Dass dem Kläger ein Auskunftsanspruch gemäß Art. 15 Abs. 1 DSGVO zustand, ist unstreitig.

2. Die Beklagte zu 1 hat den Anspruch erfüllt.

a) Entgegen der Auffassung des Klägers wurde die Auskunft gemäß Schreiben vom 25. Januar 2021 vom „Verantwortlichen“ erteilt. Es ist zwar zutreffend, dass Absenderin des Auskunftsschreibens nicht die Beklagte zu 1 selbst war, sondern deren bei der Konzernmutter R. ansässige Datenschutzbeauftragte Frau J. R. Gem. Art. 12 Abs. 1 DSGVO muss ein Verantwortlicher aber nur „geeignete Maßnahmen“ treffen, damit die Mitteilungspflicht gemäß Art. 15 DSGVO erfüllt wird. Die Beklagte zu 1 kann sich also zur Erfüllung ihrer Verpflichtung auch Erfüllungsgehilfen bedienen. Die Datenschutzbeauftragte ist eine geeignete Erfüllungsgehilfin.

b) Die Auskunftserteilung per E-Mail war ausreichend.

Gem. Art. 12 Abs. 1 Satz 2 DSGVO hat die Übermittlung der Information schriftlich oder in anderer Form, gegebenenfalls auch elektronisch zu erfolgen. Eine Formbindung besteht somit nicht (Paal in Paal/Pauly DSGVO 3. Aufl. Art. 15 Rn. 4).

Angesichts dessen, dass nahezu die gesamte Korrespondenz im Arbeitsverhältnis zwischen der Beklagten zu 1 und dem Kläger auch sonst elektronisch per E-Mail erfolgte, war die Auskunftserteilung per E-Mail angemessen.

c) Inhaltlich waren die gem. Art. 15 Abs. 1 Buchst. a bis h DSGVO erforderlichen Auskünfte im Anhang zur E-Mail enthalten.

Der Kläger vermochte nicht darzustellen, welche Auskünfte er als unzureichend erachtet.

VI. Der im Antrag zu 5 enthaltene Antrag auf Aushändigung von Kopien über die verarbeiteten personenbedingten Daten ist bereits unzulässig. Er ist nicht hinreichend bestimmt iSv. § 253 Abs. 2 Nr. 2 ZPO.

1. Ein Klageantrag ist hinreichend bestimmt, wenn er den erhobenen Anspruch durch Bezifferung oder gegenständliche Beschreibung so konkret bezeichnet, dass der Rahmen der gerichtlichen Entscheidungsbefugnis (§ 308 ZPO) klar abgegrenzt ist, Inhalt und Umfang der materiellen Rechtskraft der begehrten Entscheidung (§ 322 ZPO) erkennbar sind, das Risiko des eventuell teilweisen Unterliegens des Klägers nicht durch vermeidbare Ungenauigkeit auf den Beklagten abgewälzt und eine etwaige Zwangsvollstreckung nicht mit einer Fortsetzung des Streits im Vollstreckungsverfahren belastet wird. Es genügt nicht, sich auf gesetzliche Vorschriften zu berufen, die den erhobenen Anspruch vorsehen, vielmehr müssen die sich aus den Normen ergebenden Konsequenzen im Einzelfall von der klagenden Partei bei der Formulierung ihres Klageantrags berücksichtigt werden. Danach erfüllt z.B. eine bloß abstrakte Nennung der Kategorien von E-Mails, von denen eine Kopie überlassen werden soll, nicht die Voraussetzungen eines iSv. § 253 Abs. 2 Nr. 2 ZPO hinreichend bestimmten Klageantrags. Bei einer Verurteilung wäre unklar, auf welche E-Mails sich die Verurteilung zur Überlassung einer Kopie konkret bezöge und damit, ob mit einer Überlassung von in diese Kategorien fallenden E-Mails der Anspruch erfüllt wäre. Damit würde der Streit der Parteien in vermeidbarer Weise in die Vollstreckung verlagert werden. Um dies zu vermeiden ist der Kläger - soweit er selbst zu einer genaueren Bezeichnung außer Stande ist - gehalten, sein Begehren mittels einer Stufenklage (§ 254 ZPO) durchzusetzen. Diese ist zunächst auf Erteilung einer Auskunft zu richten, welche E-Mails der fraglichen Kategorien die Beklagte verarbeitet, auf der zweiten Stufe ggf. auf Versicherung an Eides statt, dass die Auskunft zutreffend und vollständig ist, und schließlich auf Überlassung einer Kopie der sich aus der Auskunft ergebenden E-Mails (BAG 27. April 2021 - 2 AZR 342/20 -).

2. Vorliegend hat der Kläger überhaupt nicht benannt, was er konkret möchte. Außer der nichtssagenden Begrifflichkeit „personenbezogene Daten im Beschäftigungskontext“ enthält der Antrag keinerlei konkrete Angaben. Es könnte im Rahmen einer Zwangsvollstreckung nicht überprüft werden, ob die Beklagte zu 1 ihre Verpflichtung vollständig nachgekommen ist oder nicht.


Den Volltext der Entscheidung finden Sie hier: