Skip to content

LAG Baden-Württemberg: Auskunftserteilung nach Art. 15 DSGVO kann auch per E-Mail erfolgen

LAG Baden-Württemberg
Urteil vom 10.8.2022
2 Sa 16/21

Das LAG Baden-Württemberg hat entschieden, dass die Auskunftserteilung nach Art. 15 DSGVO auch per E-Mail erfolgen kann.

Aus den Entscheidungsgründen:
Der Kläger hat gegen die Beklagte zu 1 keinen Anspruch mehr auf Auskunftserteilung gem. Art. 15 Abs. 1 DSGVO über die von ihr im Beschäftigungskontext verarbeiteten personenbezogenen Daten. Die Beklagte zu 1 hat den Auskunftsanspruch erfüllt.

1. Dass dem Kläger ein Auskunftsanspruch gemäß Art. 15 Abs. 1 DSGVO zustand, ist unstreitig.

2. Die Beklagte zu 1 hat den Anspruch erfüllt.

a) Entgegen der Auffassung des Klägers wurde die Auskunft gemäß Schreiben vom 25. Januar 2021 vom „Verantwortlichen“ erteilt. Es ist zwar zutreffend, dass Absenderin des Auskunftsschreibens nicht die Beklagte zu 1 selbst war, sondern deren bei der Konzernmutter R. ansässige Datenschutzbeauftragte Frau J. R. Gem. Art. 12 Abs. 1 DSGVO muss ein Verantwortlicher aber nur „geeignete Maßnahmen“ treffen, damit die Mitteilungspflicht gemäß Art. 15 DSGVO erfüllt wird. Die Beklagte zu 1 kann sich also zur Erfüllung ihrer Verpflichtung auch Erfüllungsgehilfen bedienen. Die Datenschutzbeauftragte ist eine geeignete Erfüllungsgehilfin.

b) Die Auskunftserteilung per E-Mail war ausreichend.

Gem. Art. 12 Abs. 1 Satz 2 DSGVO hat die Übermittlung der Information schriftlich oder in anderer Form, gegebenenfalls auch elektronisch zu erfolgen. Eine Formbindung besteht somit nicht (Paal in Paal/Pauly DSGVO 3. Aufl. Art. 15 Rn. 4).

Angesichts dessen, dass nahezu die gesamte Korrespondenz im Arbeitsverhältnis zwischen der Beklagten zu 1 und dem Kläger auch sonst elektronisch per E-Mail erfolgte, war die Auskunftserteilung per E-Mail angemessen.

c) Inhaltlich waren die gem. Art. 15 Abs. 1 Buchst. a bis h DSGVO erforderlichen Auskünfte im Anhang zur E-Mail enthalten.

Der Kläger vermochte nicht darzustellen, welche Auskünfte er als unzureichend erachtet.

VI. Der im Antrag zu 5 enthaltene Antrag auf Aushändigung von Kopien über die verarbeiteten personenbedingten Daten ist bereits unzulässig. Er ist nicht hinreichend bestimmt iSv. § 253 Abs. 2 Nr. 2 ZPO.

1. Ein Klageantrag ist hinreichend bestimmt, wenn er den erhobenen Anspruch durch Bezifferung oder gegenständliche Beschreibung so konkret bezeichnet, dass der Rahmen der gerichtlichen Entscheidungsbefugnis (§ 308 ZPO) klar abgegrenzt ist, Inhalt und Umfang der materiellen Rechtskraft der begehrten Entscheidung (§ 322 ZPO) erkennbar sind, das Risiko des eventuell teilweisen Unterliegens des Klägers nicht durch vermeidbare Ungenauigkeit auf den Beklagten abgewälzt und eine etwaige Zwangsvollstreckung nicht mit einer Fortsetzung des Streits im Vollstreckungsverfahren belastet wird. Es genügt nicht, sich auf gesetzliche Vorschriften zu berufen, die den erhobenen Anspruch vorsehen, vielmehr müssen die sich aus den Normen ergebenden Konsequenzen im Einzelfall von der klagenden Partei bei der Formulierung ihres Klageantrags berücksichtigt werden. Danach erfüllt z.B. eine bloß abstrakte Nennung der Kategorien von E-Mails, von denen eine Kopie überlassen werden soll, nicht die Voraussetzungen eines iSv. § 253 Abs. 2 Nr. 2 ZPO hinreichend bestimmten Klageantrags. Bei einer Verurteilung wäre unklar, auf welche E-Mails sich die Verurteilung zur Überlassung einer Kopie konkret bezöge und damit, ob mit einer Überlassung von in diese Kategorien fallenden E-Mails der Anspruch erfüllt wäre. Damit würde der Streit der Parteien in vermeidbarer Weise in die Vollstreckung verlagert werden. Um dies zu vermeiden ist der Kläger - soweit er selbst zu einer genaueren Bezeichnung außer Stande ist - gehalten, sein Begehren mittels einer Stufenklage (§ 254 ZPO) durchzusetzen. Diese ist zunächst auf Erteilung einer Auskunft zu richten, welche E-Mails der fraglichen Kategorien die Beklagte verarbeitet, auf der zweiten Stufe ggf. auf Versicherung an Eides statt, dass die Auskunft zutreffend und vollständig ist, und schließlich auf Überlassung einer Kopie der sich aus der Auskunft ergebenden E-Mails (BAG 27. April 2021 - 2 AZR 342/20 -).

2. Vorliegend hat der Kläger überhaupt nicht benannt, was er konkret möchte. Außer der nichtssagenden Begrifflichkeit „personenbezogene Daten im Beschäftigungskontext“ enthält der Antrag keinerlei konkrete Angaben. Es könnte im Rahmen einer Zwangsvollstreckung nicht überprüft werden, ob die Beklagte zu 1 ihre Verpflichtung vollständig nachgekommen ist oder nicht.


Den Volltext der Entscheidung finden Sie hier:

LfDI Baden-Württemberg: 50.000 EURO Bußgeld wegen missbräuchlicher Verwendung von Grundbuchdaten durch Bauträgerunternehmen zu Werbezwecken - DSGVO-Verstoß

Der LfDI Baden-Württemberg hat ein Bußgeld in Höhe von 50.000 EURO wegen der missbräuchlichen Verwendung von Grundbuchdaten durch ein Bauträgerunternehmen zu Werbezwecken verhängt.

Die Pressemitteilung der Datenschutzbehörde:
Bußgeld: Daten aus dem Grundbuch stehen nicht zur freien Verfügung

LfDI Baden-Württemberg hat Geldbußen wegen missbräuchlicher Verwendung von Grundbuchdaten verhängt

Auch Daten aus öffentlichen Registern wie dem Grundbuch stehen nicht zur freien Verfügung

Der Landesbeauftragte Dr. Stefan Brink: „Verantwortliche sollten sich bewusstmachen, dass auch öffentliche Daten Schutz genießen und nicht zur freien Verfügung stehen. Die im vorliegenden Fall verhängten Geldbußen machen deutlich, dass sich heimliche Datenverarbeitungen unter Ausnutzung spezieller Zugriffsrechte nicht auszahlen. Die Datenschutz-Grundverordnung gilt auch im hart umkämpften Markt um Bauland.“

Wegen rechtswidriger Datenerhebung und –weitergabe und Verstößen gegen die Informationspflichten hat der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg Geldbußen gegen ein Bauträgerunternehmen und einen Vermessungsingenieur in Höhe von 50.000 Euro und 5.000 Euro verhängt.

Ein Grundstückseigentümer in einem Neubaugebiet hatte ein Schreiben eines Bauträgers erhalten, in dem ihm ein Kaufpreisangebot für sein Grundstück unterbreitet wurde. Eine Information über die Herkunft seiner Daten enthielt das Schreiben nicht, auch auf Nachfrage wurde dem Adressaten nicht mitgeteilt, woher der Bauträger dessen Daten hatte, insbesondere die Kenntnis von dessen Eigentümerstellung.

Die Bußgeldstelle beim Landesbeauftragten ermittelte anschließend, dass ein Vermessungsingenieur von seiner Befugnis zur Einsichtnahme in das elektronische Grundbuch im automatisierten Abrufverfahren Gebrauch gemacht und in zwei Fällen mehrere Hundert Grundstückseigentümer ohne deren Kenntnis identifiziert und die entsprechenden Informationen an einen Bauträger weitergegeben hatte. Dieser wiederum schrieb die so ermittelten Eigentümer mit einem Kaufpreisangebot für deren Grundstücke an, ohne die notwendigen Informationen nach Art. 14 DS-GVO zu erteilen, insbesondere ohne über die Herkunft der Daten zu informieren.

Dieses Vorgehen stellt einerseits einen Verstoß gegen Art. 6 Abs. 1 DS-GVO dar. So ist bei der Interessenabwägung im Rahmen des Art. 6 Abs. 1 Buchst. f DS-GVO zu berücksichtigen, dass zwischen den Grundstückseigentümern und dem Bauträger keine vorherige Geschäftsbeziehung bestand und die Eigentümer nicht davon ausgehen mussten, dass ihre Daten im Grundbuch für werbliche Ansprachen zur Verfügung stehen. Hierbei kommt besondere Bedeutung der Tatsache zu, dass Grundstückseigentümer weder der Eintragung im Grundbuch noch der Datenübermittlung widersprechen können, vielmehr werden ihre Daten auf Grund einer gesetzlichen Pflicht erhoben. Diese gesetzliche Pflicht dient aber nicht der werblichen Ansprache, sondern der Rechtssicherheit bei Grundstücksgeschäften. Dementsprechend ist für das grundbuchrechtliche Einsichtsrecht auch allgemein anerkannt, dass ein alleiniges Erwerbsinteresse nicht zur Einsichtnahme berechtigt, es vielmehr bereits der konkreten Vertragsverhandlungen bedarf.

Zudem lag auch ein Verstoß gegen Art. 14 DS-GVO vor, indem den Eigentümern – auch bei Kontaktaufnahme – keine Informationen zur Datenverarbeitung zur Verfügung gestellt wurden. Diese Informationen sind aber wesentliche Voraussetzung für betroffene Personen, um ihre Betroffenenrechte nach den Art. 15 ff. DS-GVO geltend machen zu können. Ein Ausschlussgrund war vorliegend auch nicht gegeben, insbesondere stellt § 12 GBO keine Rechtsvorschrift im Sinne des Art. 14 Abs. 5 Buchst. c DS-GVO dar, da sich für betroffene Personen bei Einsichtnahme durch Dritte aus § 12 GBO weder die datenerhebende Stelle noch Umfang, Zweck oder Dauer der Datenerhebung ersichtlich sind.

Bei der Zumessung der Geldbuße wurde neben der Anzahl der betroffenen Personen, der Art der betroffenen Daten und der Bedeutung der verletzten Vorschriften vor allem die Kooperation der verantwortlichen Stellen im Bußgeldverfahren berücksichtigt.

Die Geldbußen wurden von den Verantwortlichen akzeptiert und sind zwischenzeitlich rechtskräftig.


LG Kassel: Rechtsmissbrauch wenn Auskunft gemäß Art. 15 DSGVO nicht aus vom Erwägungsgrund 63 der DSGVO genannten Gründen verlangt wird

LG Kassel
05.07.2022
5 O 1954/21

Das LG Kassel hat entschieden, dass es rechtsmissbräuchlich ist, wenn Auskunft gemäß Art. 15 DSGVO nicht aus vom Erwägungsgrund 63 der DSGVO genannten Gründen verlangt wird.

Aus den Entscheidungsgründen:
a) Der Auskunftsanspruch ergibt sich insbesondere nicht aus Art. 15 DS-GVO.

Zum einen handelt es sich bei den Tarifprämien weder um personenbezogene Daten im Sinne dieser Vorschrift noch hat die Vorschrift ohnehin nicht den Zweck, dem Versicherungsnehmer die Geltendmachung vermögensrechtlicher Ansprüche zu ermöglichen. Insoweit macht sich das Gericht die folgenden überzeugenden Ausführungen des OLG München Hinweisbeschluss v. 24.11.2021 – 14 U 6205/21, BeckRS 2021, 40311 Rn. 36-50 zu eigen:

4.2.1 Die Tarifprämien sind keine personenbezogenen Daten im Sinne dieser Vorschrift.

Entgegen Berufungsbegründung Seite 19 dokumentieren sie nämlich nicht „den individualisierten Versicherungsschutz der versicherten Personen unter Berücksichtigung des Gesundheitszustands“, sondern geben lediglich Aufschluss darüber, welcher Preis die durch den Versicherungsvertrag verwirklichte Vorsorge dieser Person hat. Was die Person für die Versicherungsleistung ausgibt, ist nicht unter die personenbezogenen Daten zu rechnen. Wenn „die Kalkulation der Beitragshöhe für jeden Tarifindivduell“ erfolgt, so macht das die Prämienhöhe noch nicht zu einer Angabe die die Identifizierung einer bestimmten Person ermöglicht.

Ob im Falle einer Änderung von Risikozuschläge, die unmittelbar an Vorerkrankungen oder vorhergegangenen Gesundheitsprüfungen anknüpfen, eine personenbezogene Angabe Vorlage (Berufungsbegründung Seite 19 unten) kann hier offenbleiben, da nicht vorgetragen ist, dass es sich im Einzelfall so verhielte.

Die Angabe, welche Prämien ein Versicherungsnehmer (auch in mehreren aufeinanderfolgenden Jahren) bezahlt hat, hat nicht dieselbe Qualität, wie sie die Berufungsbegründung (Seite 20 oben) zum Vergleich heranziehen will („Angaben zum Versicherungskonto, Gesprächsnotizen und Telefonvermerke, regulierte Leistungen, eingereichte Rezepte und Rechnungen gespeicherte Korrespondenz“).

4.2.2 Von all dem abgesehen ist Sinn und Zweck von Art. 15 Abs. 3 DSGVO nicht die büromäßig strukturierte Aufarbeitung von Unterlagen des Versicherungsnehmers für diesen durch den Versicherer mit dem Ziel, dem Versicherungsnehmer anschließend die Geltendmachung vermögensrechtlicher Ansprüche zu ermöglichen, wenn er seine Unterlagen nicht aufbewahrt hat.

Sondern die DSGVO bezweckt eine effektive Kontrolle des jeweils Betroffenen darüber welche Daten der Verantwortliche besitzt und was damit weiter geschieht, Art. 15 Abs. 3 DSGVO hat zwar auch die Durchsetzung von Rechten der betroffenen Person im Auge, jedoch betrifft das nicht vermögensrechtliche Ansprüche, sondern durch das Auskunftsrecht sollen persönliche Rechte aus dem 3. Abschnitt unterstutzt werden, beispielsweise Löschungsansprüche.

Selbst wenn man dies anders beurteilen würde, so stünde der Beklagten aus Art. 12 Abs. 5 s. 2 b) DS-GVO ein Weigerungsrecht zu, da es sich um einen rechtsmissbräuchlichen Antrag handelt. Aus Erwägungsgrund 63 S. 1 DS-GVO dient das Auskunftsrecht der betroffenen Person hinsichtlich der sie betreffenden personenbezogenen Daten dem Zweck, sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können (vgl. BGH, Urteil vom 15.06.2021, VI ZR 576/19). Um ein derartiges Bewusstwerden zum Zweck der Überprüfung datenschutzrechtlicher Zulässigkeit der Verarbeitung personenbezogener Daten geht es dem Kläger aber bereits nach eigenem Vorbringen nicht. Vielmehr geht es diesem – wie bereits dargelegt – ausschließlich darum, die von der Beklagten vorgenommenen Prämienanpassungen auf mögliche formeller oder auch materielle Mängel hin überprüfen zu können. Eine derartige Vorgehensweise ist vom Schutzzweck der DS-GVO aber gerade nicht umfasst (vgl. nur OLG Hamm, Hinweisbeschluss vom 15.11.2021 - 20 U 269/21; nunmehr auch OLG Dresden, a.a.O.).

b) Auch aus § 242 BGB ergibt sich kein Auskunftsanspruch.

Ein aus dem Gesichtspunkt von Treu und Glauben wurzelnder Auskunftsanspruch setzt voraus, dass die zwischen den Parteien bestehenden Rechtsbeziehungen es mit sich bringen, dass der Anspruchsberechtigte in entschuldbarer Weise über das Bestehen oder den Umfang eines Rechts im Ungewissen ist und der Verpflichtet in der Lage ist, unschwer die zur Beseitigung dieser Ungewissheit erforderliche Auskunft zu erteilen (vgl. BGH, Urteil vom 01.08.2013 – VII ZR 268/11). Daran fehlt es hier jedoch.


Den Volltext der Entscheidung finden Sie hier:



BAG: 1.000 EURO immaterieller Schadensersatz aus Art. 82 DSGVO wegen verspätetet Auskunft nach Art. 15 DSGVO nicht zu niedrig

BAG
Urteil vom 05.05.2022
2 AZR 363/21

Das BAG hat entschieden, dass 1.000 EURO immaterieller Schadensersatz aus Art. 82 DSGVO wegen verspätetet Auskunft nach Art. 15 DSGVO nicht zu niedrig ist.

Aus den Entscheidungsgründen:
Das Landesarbeitsgericht hat die Höhe des immateriellen Schadenersatzes mit 1.000,00 Euro nicht ermessensfehlerhaft zu niedrig festgesetzt.

a) Bei der Bemessung der Höhe eines Schadenersatzanspruchs nach § 287 Abs. 1 ZPO steht den Tatsachengerichten ein weiter Ermessensspielraum zu, innerhalb dessen sie die Besonderheiten jedes einzelnen Falls zu berücksichtigen haben. Die Festsetzung unterliegt nur einer eingeschränkten Überprüfung durch das Revisionsgericht. Sie kann von diesem nur darauf überprüft werden, ob die Rechtsnorm zutreffend ausgelegt, ein Ermessen ausgeübt, die Ermessensgrenze nicht überschritten wurde und ob das Berufungsgericht von seinem Ermessen einen fehlerfreien Gebrauch gemacht hat, indem es sich mit allen für die Bemessung der Entschädigung maßgeblichen Umständen ausreichend auseinandergesetzt und nicht von sachfremden Erwägungen hat leiten lassen (vgl. BAG 28. Mai 2020 - 8 AZR 170/19 - Rn. 28, BAGE 170, 340; BGH 23. April 2012 - II ZR 163/10 - Rn. 68, BGHZ 193, 110).

b) Danach ist die Bemessung der Höhe des Schadenersatzes durch das Landesarbeitsgericht revisionsrechtlich nicht zu beanstanden. Ob die vom Berufungsgericht als „naheliegend“ erachtete Orientierung am Kriterienkatalog in Art. 83 Abs. 2 Satz 2 DSGVO möglich oder sogar geboten ist, kann dahinstehen. Selbst wenn dies nicht der Fall sein sollte, hätte sich das Landesarbeitsgericht nicht von sachfremden Erwägungen zulasten der Klägerin leiten lassen.

aa) Es hat zunächst zugunsten der Klägerin in Rechnung gestellt, dass die Beklagte eine vollständige Auskunft nach Art. 15 Abs. 1 DSGVO bis zuletzt nicht erteilt und ihre Verpflichtung jedenfalls grob fahrlässig verkannt habe. Selbst wenn das Berufungsgericht einen dieser Gesichtspunkte zu Unrecht in seine Erwägungen eingestellt hätte, wäre die Klägerin dadurch nicht beschwert.

bb) Das Landesarbeitsgericht hat ferner ohne Rechtsfehler in seine Würdigung einbezogen, dass die persönliche Betroffenheit der Klägerin durch die nicht vollständige Erfüllung ihres Auskunftsanspruchs in Anbetracht des maßgeblichen Anliegens ihres Auskunftsbegehrens „überschaubar“ gewesen sei.

(1) Es hat das Auskunftsbegehren dahin ausgelegt, dass es der Klägerin maßgeblich um die Arbeitszeitaufzeichnungen gegangen sei. Diese habe ihr die Beklagte mit Schreiben vom 13. August 2020 aber übersandt. Damit hat das Landesarbeitsgericht eine Gewichtung des konkreten Ausmaßes der Beeinträchtigung der Klägerin durch die nicht vollständige Erfüllung ihres Auskunftsanspruchs vorgenommen und dieser eine relativ geringere Bedeutung beigemessen, als wenn es der Klägerin ebenso maßgeblich um Auskunft über ihre übrigen bei der Beklagten gespeicherten personenbezogenen Daten gegangen wäre.

(2) Das lässt keinen Ermessensfehlgebrauch erkennen. Wenn die Erlangung von Kontrolle über ihre übrigen personenbezogenen Daten nicht das primäre Ziel der Klägerin war, wiegt auch die Beeinträchtigung durch das Vorenthalten dieses Teils der begehrten Auskunft weniger schwer. Einen Rechtsfehler zeigt insoweit auch die Revision nicht auf. Sie beanstandet zwar, das Landesarbeitsgericht habe nicht berücksichtigen dürfen, dass die Klägerin den Auskunftsanspruch gerichtlich nicht weiterverfolgt habe. Das Berufungsgericht hat dies aber nicht für sich genommen als einen die Beklagte entlastenden Umstand bewertet, wie die Klägerin meint, sondern lediglich als - weiteren - Beleg für sein Verständnis des primären Ziels des Auskunftsverlangens. Dass dieses Verständnis unzutreffend sei, macht auch die Klägerin nicht geltend.

cc) Andere Aspekte hat das Landesarbeitsgericht nicht zulasten der Klägerin gewürdigt.

dd) Soweit das Berufungsgericht bei der Anspruchsbemessung nicht ausdrücklich problematisiert hat, ob der Schadenersatzanspruch nach Art. 82 Abs. 1 DSGVO auch einen präventiven Charakter hat und damit auch eine Abschreckungsfunktion erfüllen muss (vgl. auch zu dieser Fragestellung das Vorabentscheidungsersuchen BAG 26. August 2021 - 8 AZR 253/20 (A) -, vor dem EuGH anhängig unter - C-667/21 - [Krankenversicherung Nordrhein]), ist dies im Ergebnis ebenfalls ohne Rechtsfehler. Zugunsten der Klägerin kann unterstellt werden, dass dem Anspruch ein solcher Präventionscharakter zukommt. Seine vom Berufungsgericht festgesetzte Höhe hat hinreichend abschreckende Wirkung.

(1) Der Betrag von 1.000,00 Euro ist fühlbar und hat nicht nur symbolischen Charakter (vgl. zur nicht ausreichenden Umsetzung der Richtlinien 2000/43/EG und 2000/78/EG bei einer nur symbolischen Sanktion EuGH 15. April 2021 - C-30/19 - [Braathens Regional Aviation] Rn. 39; 25. April 2013 - C-81/12 - [Asociaţia Accept] Rn. 64). Bloß symbolisch wäre es etwa, die Entschädigung einer Person, die Opfer einer Diskriminierung beim Zugang zur Beschäftigung wurde, auf die Erstattung ihrer Bewerbungskosten zu beschränken (EuGH 10. April 1984 - C-14/83 - [von Colson] Rn. 24). Darüber geht der hier zugesprochene Schadenersatz deutlich hinaus.

(2) Ebenfalls eine Präventionsfunktion hat eine wegen einer Verletzung des allgemeinen Persönlichkeitsrechts geschuldete Entschädigung; auch diese kann mit einem Betrag in Höhe von 1.000,00 Euro ausreichend bemessen sein, wie etwa im Falle einer datenschutzwidrigen Observation mit heimlichen Videoaufnahmen durch einen Detektiv (BAG 19. Februar 2015 - 8 AZR 1007/13 - Rn. 14 und 33).

(3) Der immaterielle Schaden nach Art. 82 Abs. 1 DSGVO hat - anders als eine Entschädigung nach § 15 Abs. 2 AGG (dazu BAG 28. Mai 2020 - 8 AZR 170/19 - Rn. 17 ff., BAGE 170, 340) - keinen erkennbaren Bezug zur Höhe eines dem Gläubiger zustehenden Arbeitsentgelts, so dass keine Anhaltspunkte dafür bestehen, dass es sich dabei um ein relevantes Bemessungskriterium für die Höhe des Schadenersatzes handeln könnte. Selbst wenn dies anders zu sehen sein sollte, entspräche der hier festgesetzte Betrag mehr als dem zweifachen der zwischen den Parteien vereinbarten monatlichen Vergütung. Für eine Entschädigung nach § 15 Abs. 2 AGG, die ebenfalls eine Abschreckungsfunktion erfüllen muss, ist bereits ein Betrag in Höhe des 1,5-fachen des auf einer Stelle erzielbaren Entgelts als ausreichend anzusehen, um die notwendige abschreckende Wirkung zu erzielen (BAG 28. Mai 2020 - 8 AZR 170/19 - Rn. 39, aaO).

(4) Entgegen der Auffassung der Klägerin musste das Landesarbeitsgericht dem Umstand, dass die Beklagte anwaltlich vertreten war, auch unter dem Gesichtspunkt der Prävention keine den Schadenersatzanspruch erhöhende Bedeutung beimessen. Die Abschreckungsfunktion kann sich nur auf die Vermeidung künftiger Verstöße gegen die DSGVO beziehen, nicht aber darauf, ob sich eine Partei bei der Erfüllung ihrer Verpflichtungen nach der DSGVO anwaltlich hat vertreten lassen. Die Hinzuziehung eines Rechtsanwalts ist weder allgemein noch nach der DSGVO verpönt.


Den Volltext der Entscheidung finden Sie hier:


OLG Köln: 500 EURO immaterieller Schadensersatz aus Art. 82 DSGVO wegen verspäteter Auskunft nach Art. 15 DSGVO kann gerechtfertigt sein

OLG Köln
Urteil vom 14.07.2022
15 U 137/21


Das OLG Köln hat entschieden, dass 500 EURO immaterieller Schadensersatz aus Art. 82 DSGVO wegen verspäteter Auskunft nach Art. 15 DSGVO gerechtfertigt sein kann.

BFH: Für Schadenersatzanspruch aus Art. 82 DSGVO gegen Finanzbehörden ist der Finanzrechtsweg eröffnet

BFH
Beschluss vom 28.06.2022
II B 92/21


Der BFH hat entschieden, dass für einen Schadenersatzanspruch aus Art. 82 DSGVO gegen Finanzbehörden der Finanzrechtsweg eröffnet ist.

Aus den Entscheidungsgründen:
1. Einfachgesetzlich ist der Finanzrechtsweg für den Schadenersatzanspruch aus Art. 82 DSGVO gemäß § 33 Abs. 1 Nr. 4 FGO i.V.m. § 32i Abs. 2 Satz 1 AO eröffnet.

a) Nach § 33 Abs. 1 Nr. 4 FGO ‑‑Nrn. 1 bis 3 kommen ersichtlich nicht in Betracht‑‑ ist in anderen als den in den Nrn. 1 bis 3 bezeichneten öffentlich-rechtlichen Streitigkeiten der Finanzrechtsweg gegeben, soweit er für diese durch Bundesgesetz oder Landesgesetz eröffnet ist. Nach § 32i Abs. 2 Satz 1 AO (vormals § 32i Abs. 2 AO) ist für Klagen der betroffenen Person hinsichtlich der Verarbeitung personenbezogener Daten gegen Finanzbehörden oder gegen deren Auftragsverarbeiter wegen eines Verstoßes gegen datenschutzrechtliche Bestimmungen im Anwendungsbereich der DSGVO oder der darin enthaltenen Rechte der betroffenen Person der Finanzrechtsweg gegeben.

b) Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ‑‑mithin die DSGVO‑‑ ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

c) Eine Klage auf Schadenersatz nach Art. 82 Abs. 1 DSGVO ist eine Klage "hinsichtlich der Verarbeitung personenbezogener Daten ... wegen eines Verstoßes gegen datenschutzrechtliche Bestimmungen im Anwendungsbereich der [DSGVO]" i.S. des § 32i Abs. 2 Satz 1 Alternative 1 AO.

aa) Die Wendungen in Art. 82 Abs. 1 DSGVO einerseits ("Verstoß gegen diese Verordnung") und in § 32i Abs. 2 Satz 1 Alternative 1 AO andererseits ("Verstoß gegen datenschutzrechtliche Bestimmungen im Anwendungsbereich der DSGVO") sind gleichbedeutend, denn die DSGVO enthält nur datenschutzrechtliche Bestimmungen.

bb) Die Schadenersatzklage ist auch eine Klage "hinsichtlich der Verarbeitung personenbezogener Daten ...", wie es der erste Satzteil des § 32i Abs. 2 Satz 1 Alternative 1 AO erfordert. Nach Art. 4 Nr. 2 DSGVO ist "Verarbeitung" jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten. Der Begriff umfasst, wie die folgende beispielhafte Aufzählung verdeutlicht, jeglichen Umgang mit Daten. Ein Verstoß gegen die DSGVO, wie ihn Art. 82 DSGVO verlangt, ist deshalb ohne Verarbeitung nicht denkbar.

d) Aus § 40 Abs. 2 Satz 1 VwGO, der für Schadenersatzansprüche aus der Verletzung öffentlich-rechtlicher Pflichten, die nicht auf einem öffentlich-rechtlichen Vertrag beruhen, den ordentlichen Rechtsweg vorsieht, folgt einfachgesetzlich schon deshalb nichts Gegenteiliges, weil § 32i Abs. 2 AO nur als lex specialis zu dieser Vorschrift verstanden werden kann.

2. Auch aus verfassungsrechtlichen Gründen ergibt sich keine Zuständigkeit der ordentlichen Gerichte für den streitigen Schadenersatzanspruch. Es handelt sich nicht um einen Amtshaftungsanspruch i.S. des Art. 34 Satz 1 GG.

a) Verletzt jemand in Ausübung eines ihm anvertrauten öffentlichen Amtes die ihm einem Dritten gegenüber obliegende Amtspflicht, so trifft nach Art. 34 Satz 1 GG die Verantwortlichkeit grundsätzlich den Staat oder die Körperschaft, in deren Dienst er steht. Art. 34 Satz 3 GG verbietet es, für Amtshaftungsansprüche die Zuständigkeit der allgemeinen ordentlichen Gerichte auszuschließen (Dagtoglou in: Kahl/Waldhoff/Walter, Bonner Kommentar zum Grundgesetz, 1. Aufl. 2021, Art. 34, Rz 359).

b) Der Anspruch aus Art. 82 Abs. 1 DSGVO ist auch dann, wenn er sich gegen eine Behörde richtet, kein Anspruch aus der Verletzung von Amtspflichten i.S. des Art. 34 Satz 1 GG, da es sich nicht um eine auf die Behörde übergeleitete Haftung des Amtsträgers, sondern um eine originäre Haftung der Behörde handelt.

aa) Die Rechtsweggarantie des Art. 34 Satz 3 GG hat, soweit sie den Anspruch gegen die Anstellungskörperschaft betrifft, allein die übergeleitete Haftung des Amtsträgers zum Gegenstand, nicht hingegen Ansprüche aus unmittelbarer Staatshaftung. Die in Art. 34 Satz 1 GG angesprochene Amtspflicht ist die Pflicht des Amtsträgers persönlich. Art. 34 GG leitet die durch § 839 des Bürgerlichen Gesetzbuchs (BGB) begründete persönliche Haftung des Beamten auf den Staat über. § 839 BGB ist die haftungsbegründende Vorschrift, während Art. 34 GG die haftungsverlagernde Norm darstellt. Der Staat wird durch die Übernahme der persönlichen Beamtenhaftung nach § 839 BGB zwar Haftungssubjekt, aber nicht Zurechnungssubjekt (Urteil des Bundesverfassungsgerichts ‑‑BVerfG‑‑ vom 19.10.1982 - 2 BvF 1/81 "Amtshaftung", BVerfGE 61, 149, BGBl I 1982, 1493, unter C.I.2.b dd (1)). Das bedeutet, dass Art. 34 Satz 3 GG neben dem Rückgriffsanspruch gegen den Amtsträger auch nur die Ansprüche des Art. 34 Satz 1 GG erfasst, namentlich den Schadenersatzanspruch gegen den Amtsträger selbst sowie den übergeleiteten Haftungsanspruch gegen den Staat. Art. 34 GG verbietet es zwar nicht, unmittelbare Staatshaftungsansprüche einzuführen (BVerfG-Urteil in BVerfGE 61, 149, BGBl I 1982, 1493, unter C.I.2.b dd (1)), trifft dafür aber auch keine Regelung.

bb) Der Schadenersatzanspruch nach Art. 82 Abs. 1 DSGVO richtet sich gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Verantwortlicher ist nach Art. 4 Nr. 7 DSGVO die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Sowohl der Begriff des Verantwortlichen als auch der des Auftragsverarbeiters ist mithin institutionell zu verstehen. Soweit in einer Behörde Daten verarbeitet werden, ist damit nicht der jeweilige Amtsträger persönlich Verantwortlicher i.S. der DSGVO und folglich auch nicht Adressat des Anspruchs. Der Anspruch richtet sich vielmehr unmittelbar gegen den Staat bzw. eine seiner Institutionen. Damit handelt es sich um einen gegenüber den in Art. 34 GG erfassten Amtshaftungsansprüchen grundlegend anders gearteten Anspruch.

cc) Der Schadenersatzanspruch nach der DSGVO kann in Anspruchskonkurrenz neben einen Amtshaftungsanspruch aus § 839 BGB i.V.m. Art. 34 GG treten (vgl. Urteil des Oberlandesgerichts Düsseldorf vom 28.10.2021 - 16 U 275/20, Monatsschrift für Deutsches Recht 2022, 435, Rz 69; BeckOK DatenschutzR/Quaas, 39. Ed. 01.11.2021, DSGVO Art. 82 Rz 8; Hans-Jürgen Schaffland; Gabriele Holthaus in: Schaffland/Wiltfang, Datenschutz-Grundverordnung/Bundesdatenschutzgesetz, Stand April 2022, Art. 82, Rz 34a; Gola DSGVO/Gola/Piltz, 2. Aufl. 2018, DSGVO Art. 82 Rz 28; Paal/Pauly/Frenzel, 3. Aufl. 2021, DSGVO Art. 82 Rz 20). Davon geht die DSGVO ausweislich Erwägungsgrund 146 Satz 4 selbst aus (vgl. Ehmann/Selmayr/Nemitz, 2. Aufl. 2018, DSGVO Art. 82 Rz 7). Das entspricht dem Grundsatz, dass auch sonst zwischen einem Amtshaftungsanspruch und einem auf demselben Tatsachenkomplex beruhenden Entschädigungsanspruch Anspruchskonkurrenz bestehen kann (so zu einem enteignungsgleichen Eingriff Urteil des Bundesgerichtshofs vom 11.01.2007 - III ZR 302/05, BGHZ 170, 260, Neue Juristische Wochenschrift 2007, 830, unter B.II.2.a; ausdrücklich für den unionsrechtlichen Staatshaftungsanspruch BeckOK GG/Grzeszick, 51. Ed. 15.05.2022, GG Art. 34 Rz 4).

Das bedeutet jedoch nicht, dass die Rechtswegzuweisung des Art. 34 Satz 3 GG sich auch auf den jeweils konkurrierenden Anspruch erstreckt. Ebenso wenig gilt die Rechtswegzuweisung nach § 32i Abs. 2 AO für den Amtshaftungsanspruch. Nach § 17 Abs. 2 Satz 2 GVG tritt vielmehr eine Rechtswegspaltung ein.

dd) Soweit das Hessische Landessozialgericht (LSG) in seinem Beschluss vom 26.01.2022 - L 6 SF 7/21 DS (juris, Beschwerde beim Bundessozialgericht anhängig unter B 1 SF 1/22 R) in dem Anspruch aus Art. 82 Abs. 1 DSGVO einen Amtshaftungsanspruch sieht, für den die Rechtswegzuweisung des Art. 34 Satz 3 GG der spezialgesetzlichen Zuweisung der DSGVO-Sachen zur Sozialgerichtsbarkeit gemäß § 81b Abs. 1 des Zehnten Buchs Sozialgesetzbuch, einer mit § 32i Abs. 2 Satz 1 AO weitgehend wortgleichen Vorschrift, vorgehe, teilt der Senat diese Auffassung nicht. Das Hessische LSG geht davon aus, Art. 34 Satz 3 GG umfasse (jegliche) schadenersatzrechtliche Haftungsregelungen des Staates, wenn hoheitliches Handeln eines seiner Amtswalter rechtswidrig einen kompensationsfähigen Schaden verursacht habe (Rz 23). Der Senat erachtet dieses Verständnis sowohl angesichts des Wortlauts des Art. 34 Satz 3 GG als auch angesichts des Urteils des BVerfG in BVerfGE 61, 149, BGBl I 1982, 1493 für zu weitgehend. Es ist zwar zutreffend, dass Art. 34 GG für sich genommen kein Verschuldenserfordernis kennt, worauf das Hessische LSG abstellt. Damit allein wird die Amtspflicht jedoch nicht definiert. Die vom Hessischen LSG in diesem Zusammenhang zitierten Literaturauffassungen gehen in Übereinstimmung mit dem BVerfG davon aus, dass die Staatshaftung nach aktueller Rechtslage lediglich durch Überleitung der Eigenhaftung des Amtsträgers auf den Staat entsteht (Papier/Shirvani in Dürig/Herzog/Scholz, Komm. z. GG, Art. 34 Rz 17, 218; BeckOK GG/Grzeszick, a.a.O., Rz 19 bis 20.1).

3. Eine Vorlage des Rechtsstreits an den EuGH nach Art. 267 AEUV ist nicht veranlasst. Es ist nicht im Ansatz erkennbar, warum Art. 82 DSGVO einer nationalen Regelung entgegenstehen könnte, die den Schadenersatzanspruch ebenso wie andere datenschutzrechtliche Ansprüche der Finanzgerichtsbarkeit zuweist. Ob umgekehrt unionsrechtliche Bedenken bestünden und deshalb ggf. eine Vorlage angezeigt wäre, wenn das nationale Recht die allgemeinen datenschutzrechtlichen Ansprüche einerseits und den Schadenersatzanspruch andererseits unterschiedlichen Gerichten zuwiese ‑‑so wie es der Auffassung des FG, aber auch des Hessischen LSG entspricht‑‑, muss nicht mehr entschieden werden.


Den Volltext der Entscheidung finden Sie hier:

LG Ravensburg legt EuGH Fragen zur Auslegung von Art. 82 DSGVO vor - u.a. Bagatellgrenze für Anspruch aus Art. 82 DSGVO

LG Ravensburg
Beschluss vom 30.06.2022
1 S 27/22


Das LG Ravensburg hat dem EuGH Fragen zur Auslegung von Art. 82 DSGVO zur Entscheidung vorgelegt. U.a. geht es um die Frage, ob eine Bagatellgrenze / Erheblichkeitsschwelle für Ansprüche aus Art. 82 DSGVO besteht.

Aus den Entscheidungsgründen:

Das Vorabentscheidungsersuchen betrifft die Auslegung von Artikel 82 Abs. 1 DSGVO.

Das Vorabentscheidungsersuchen ergeht im Rahmen eines Rechtsstreits zwischen den Klägern und der Beklagten. Die Kläger nehmen die Beklagte unter anderem auf Zahlung eines Schmerzensgeldes für die Verletzung der DSGVO in Anspruch. Die Beklagte hatte am 19.06.2020 ohne Einverständnis der Kläger im Internet eine Tagesordnung für eine Gemeinderatssitzung veröffentlicht, in der mehrfach die Namen der Kläger genannt wurden, und ein am 10.03.2020 vom Verwaltungsgericht Sigmaringen verkündetes Urteil veröffentlicht, in dessen Rubrum die Kläger ungeschwärzt mit Vor- und Nachname und ihrer Anschrift aufgeführt waren. Diese Unterlagen waren auf der Homepage der Beklagten bis zum 22.06.2020 einsehbar.

Artikel 82 Abs. 1 DSGVO lautet:

"Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter".

Erwägungsgrund Nr. 146 Satz 3 und Satz 6 der DSGVO hat auszugsweise folgenden Wortlaut:

"Der Begriff des Schadens sollte im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht [...]. Die betroffenen Personen sollten einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten".

Die Kammer geht davon aus, dass die Beklagte durch die Veröffentlichung der personenbezogenen Daten der Kläger im Internet gegen Artikel 5 Abs. 1 a DSGVO verstoßen hat. Die Kammer hat daher darüber zu entscheiden, ob den Klägern ein Anspruch auf Zahlung eines Schmerzensgeldes zusteht. Die Kammer neigt zu der Annahme, der bloße Verlust der Datenhoheit genüge im vorliegenden Fall nicht aus, um einen immateriellen Schaden der Kläger gemäß Artikel 82 Abs. 1 DSGVO zu rechtfertigen. Die Kammer neigt zu der Annahme, für die Bejahung eines immateriellen Schadens müsse eine Bagatellgrenze überschritten sein, die bei einem lediglich kurzfristigen Verlust der Datenhoheit, der keinerlei spürbare Nachteile für die betroffenen Personen verursacht habe, nicht überschritten sei. Die Entscheidung des Rechtsstreits hängt daher von der Vorlagefrage ab.

Es besteht in der Literatur und Rechtsprechung weitgehend Einigkeit, dass die deutsche Rechtsprechung, die immateriellen Schadensersatz bei Persönlichkeitsrechtsverletzungen nur bei einer schwerwiegenden Verletzung zuerkennt, für die Auslegung von Artikel 82 Abs.1 DSGVO nicht herangezogen werden kann (Kühling/Buchner/Bergt, DSGVO, 3. Auflage, Artikel 82 Rn. 17 ff; Wolff/Brink/Quaas; BeckOK, Datenschutzrecht, Artikel 82 DSGVO Rn. 31 f; Gola/Piltz, Datenschutzgrundverordnung, 2. Auflage, Artikel 82 DSGVO, Rn. 12 f; Spittka, GRUR-Prax 2019, 475; LG Darmstadt, ZE 2020, 642; LG Frankfurt, ZE 2020, 639; einschränkend Wytibul, NJW 2019, 3265). Die Kammer hat in einem früheren Berufungsverfahren (Az. 1 S 108/20) die Auffassung vertreten, nicht jeder Verstoß gegen die DSGVO, insbesondere nicht jede unzulässige Verarbeitung personenbezogener Daten, führe automatisch zu einem Anspruch auf immateriellen Schadensersatz. Schmerzensgeld solle auch nach Artikel 82 Abs.1 DSGVO nicht für jeden Bagatellverstoß ohne ernsthafte Beeinträchtigung bzw. lediglich individuell empfundene Unannehmlichkeiten gewährt werden. Vielmehr müsse ein spürbarer Nachteil entstanden sein und es müsse eine objektiv nachvollziehbare Beeinträchtigung persönlichkeitsbezogener Belange vorliegen.

Will ein Gericht, wie vorliegend, infolge der Verneinung eines (immateriellen) Schadens eine Klage abweisen, weil es von dem Vorhandensein einer sog. "Bagatellgrenze" ausgeht, die für einen Anspruch auf Zahlung eines Schmerzensgeldes überschritten sein muss, ist es zu einer eigenständigen Auslegung des Schadensbegriffs nicht berechtigt, sondern hat die Frage, wie der Schadensbegriff des Artikel 82 Abs. 1 DSGVO auszulegen ist, dem EuGH vorzulegen (BVerfG, Beschluss von 14.1.2021 – 1 BvR 2853/19 = NJW 2021, 1005).

Bis zur Entscheidung des EuGH über die Vorlagefrage wird das Berufungsverfahren ausgesetzt.


Den Volltext der Entscheidung finden Sie hier:

OLG Köln: Auskunftsanspruch aus Art. 15 DSGVO ist nicht teleologisch einschränkend auszulegen und kann nicht nur aus Gründen gemäß Erwägungsgrund 63 der DSGVO geltend gemacht werden

OLG Köln
Urteil vom 22.05.2022
20 U 198/21


Das OLG Köln hat entschieden, dass der Auskunftsanspruch aus Art. 15 DSGVO nicht teleologisch einschränkend auszulegen ist und nicht nur aus Gründen gemäß Erwägungsgrund 63 der DSGVO geltend gemacht werden kann.

Aus den Entscheidungsgründen:
bb. Der Auskunftsanspruch ergibt sich jedoch – wovon das Landgericht zutreffend ausgegangen ist - aus Art. 15 Abs. 1, 3 DS-GVO.

Nach Art. 15 Abs. 1 DS-GVO hat jede betroffene Person, nach Art. 4 Nr. 1 DS-GVO also jede durch personenbezogene Daten identifizierbare oder identifizierte Person, das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie u. a. ein Recht auf Auskunft über diese personenbezogenen Daten. Gemäß Art. 15 Abs. 3 DS-GVO hat der Verantwortliche eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung zu stellen.

Der Begriff der „personenbezogenen Daten“ nach Art. 4 DS-GVO ist dabei weit gefasst (BGH, Urteil vom 15.06.2021, Az. VI ZR 576/19 – zitiert nach juris; vgl. dazu auch unser Urteil vom 26.07.2019 in der Sache 20 U 75/18). Er ist insbesondere nicht auf sensible oder private Informationen beschränkt, sondern umfasst potenziell alle Arten von Informationen sowohl objektiver als auch subjektiver Natur unter der Voraussetzung, dass es sich um Informationen über die in Rede stehende Person handelt (BGH, Urteil vom 15.06.2021, Az. VI ZR 576/19 – zitiert nach juris). Die letztgenannte Voraussetzung ist erfüllt, wenn die Information aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer bestimmten Person verknüpft ist (BGH, Urteil vom 15.06.2021, Az. VI ZR 576/19 – zitiert nach juris). Nicht erforderlich ist, dass es sich um „signifikante biografische Informationen“ handelt, die „im Vordergrund“ des fraglichen Dokuments stehen (BGH, Urteil vom 15.06.2021, Az. VI ZR 576/19 – zitiert nach juris).

Der BGH hat im Rahmen seines Urteils vom 15.06.2021 (Az. VI ZR 576/19 – zitiert nach juris) ausdrücklich klargestellt, dass insbesondere weder Daten des Versicherungsscheins noch die zurückliegende Korrespondenz von Versicherungsnehmer und Versicherer kategorisch vom Anwendungsbericht des Art. 15 DS-GVO ausgeschlossen sind. Die Schreiben des Versicherers an den Versicherungsnehmer sollen dem Auskunftsanspruch vielmehr insoweit unterfallen, als sie Informationen über den Versicherungsnehmer nach den dargestellten Kriterien enthalten.

Im vorliegenden Fall begehrt die Klägerin Auskunft über die Höhe der Beitragserhöhungen in den Jahren 2011 bis 2016 unter Benennung der jeweiligen Tarife durch Zurverfügungstellung der hierzu übermittelten Informationen in Form von Anschreiben, Nachträgen zum Versicherungsschein sowie der zum Zwecke der Beitragserhöhungen übermittelten Begründungen sowie Beiblätter.

Unproblematisch mit der Person des Versicherungsnehmers verknüpft sind die Nachträge zu dem Versicherungsschein; denn aus diesen ergibt sich, in welchem Inhalt und zu welchen Konditionen für den Versicherungsnehmer bei dem Versicherer Versicherungsschutz besteht.

Auch die hierzu übersandten Anschreiben weisen die erforderliche Verknüpfung auf; denn regelmäßig ergibt sich aus diesen (anderes trägt auch die Beklagte nicht vor), dass der Versicherungsnehmer unter einem bestimmten Datum von einer Änderung in Bezug auf seinen Versicherungsvertrag in Kenntnis gesetzt worden ist. Sie stellen regelmäßig zugleich Begründungsschreiben nach § 203 Abs. 5 VVG dar, für die die Verknüpfung daraus folgt, dass diesen zu entnehmen ist, dass und inwieweit Änderungen aus welchen Gründen in einem für den Versicherungsnehmer bestehenden Tarif erfolgt sind.

Die erforderliche Verknüpfung ist schließlich auch für mit den Begründungsschreiben etwa auch übermittelte Beiblätter zu bejahen. Regelmäßig enthalten die Beiblätter zwar – wie die Beklagte vorträgt und wie dem Senat aus zahlreichen Verfahren aus eigener Anschauung bekannt ist – keine konkret auf den Vertrag des jeweiligen Versicherungsnehmers oder dessen Person bezogene Informationen. Diese werden vielmehr identisch einer unbestimmten Vielzahl von Versicherungsnehmern übersandt. Die erforderliche Verknüpfung ergibt sich aber aus dem Umstand, dass diese Beiblatt zu dem jeweiligen Begründungsschreiben waren und damit Teil der mitgeteilten Begründung – hinreichend oder nicht – für die Beitragsanpassung sind. Dies gilt vor allem – aber nicht nur dann – wenn die Beiblätter in dem jeweiligen Anpassungsschreiben ausdrücklich in Bezug genommen werden.

Ob die entsprechenden Informationen dem Versicherungsnehmer bereits bekannt sind (was hier unterstellt werden kann, da die ursprüngliche Übersendung durch die Klägerin nicht bestritten wird) und ob dieser die Unterlagen noch hat oder entschuldbar nicht mehr hat, ist insoweit irrelevant. Denn der BGH hat klargestellt, dass der Umstand, dass Schreiben dem Versicherungsnehmer bekannt sind, den datenschutzrechtlichen Auskunftsanspruch nicht ausschließt (Urteil vom 15.06.2021, Az. VI ZR 576/19 – zitiert nach juris). Dieser könne auch wiederholt Auskunft verlangen.

Soweit die Beklagte meint, jedenfalls nur Kopien der bezogenen Daten, die Gegenstand der Verarbeitung seien, zur Verfügung stellen zu müssen, nicht aber Kopien der betreffenden Akten oder Unterlagen, erschließt sich auf der Grundlage ihres Vortrags schon nicht, wie eine Zurverfügungstellung von Kopien der hier streitgegenständlichen Daten ihrerseits – wenn nicht durch eine Kopie der Unterlagen – erfolgen soll. Die bloße Mitteilung jedenfalls, dass es ein Anpassungsschreiben mit Beiblatt gab, ist zur Erfüllung des Auskunftsanspruchs ersichtlich nicht geeignet.

Zwar wird ein Anspruch auf Herausgabe von Kopien von Unterlagen zum Teil (vgl. etwa OLG Stuttgart, Urt. v. 16.6.2021 – 7 U 325/20) mit der Begründung verneint, nach dem Wortlaut von Art. 15 Abs. 3 S. 1 DS-GVO habe die betroffene Person einen Anspruch nur auf die Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung seien. Der Senat teilt indes die Auffassung des OLG München (Urteil vom 04.10.2021, Az. 3 U 3906/29 - zitiert nach juris; so auch Schmidt-Wudy in: BeckOK Datenschutzrecht, 39. Edition, Stand 01.11.2021, Art, 15 Rn. 85 m.w.N.; Koreng, NJW 2021, 2692), wonach der Begriff der Datenkopie i.S.v. Art. 15 Abs. 3 DS-GVO, der einen eigenständigen Anspruch neben Art. 15 DS-GVO beinhaltet, extensiv auszulegen ist. Folge ist, dass der betroffenen Person von der speichernden Stelle sämtliche von ihm gespeicherten personenbezogenen Daten in der bei ihm vorliegenden Rohfassung als Kopie zu übermitteln sind. Die Urteile des EuGH vom 17.07.2014, Az. C-141/12 und C-372/12 (zitiert nach juris) können zur Begründung der gegenteiligen Auffassung der Beklagten schon deshalb nicht herangezogen werden, weil diese nicht zu Art. 15 DS-GVO, sondern zur Vorgängerregelung in RL 95/46/EG ergangen sind.

Die Geltendmachung eines auf Art. 15 DS-GVO gestützten Auskunftsanspruchs in Fällen wie dem vorliegenden ist auch nicht als rechtsmissbräuchlich, § 242 BGB, zu bewerten.

Richtig ist, dass das Auskunftsrecht der betroffenen Person hinsichtlich der sie betreffenden personenbezogenen Daten dem Zweck dient, sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können (vgl. Erwägungsgrund 63 zur DS-GVO). Es mag unterstellt werden, dass es der Klägerin im vorliegenden Fall im Ergebnis nicht, jedenfalls nicht primär, um den Schutz ihrer Daten geht, sondern um die Vorbereitung vermögensrechtlicher Ansprüche. Der Geltendmachung eines auf Art. 15 DS-GVO gestützten Auskunftsanspruchs steht dies jedoch nicht entgegen. Entsprechendes kann insbesondere nicht der Entscheidung des BGH vom 15.06.2021 (Az. VI ZR 576/19) entnommen werden. Eine Festlegung dazu, ob ein datenschutzrechtlicher Auskunftsanspruch auch besteht, wenn ein Versicherungsnehmer Zwecke verfolgt, die Art. 15 Abs. 1 DS-GVO nicht schützt, ist dort gerade nicht erfolgt.

In Rechtsprechung und Literatur ist die Frage umstritten.

Das OLG München (Hinweisbeschluss vom 24.11.2021, Az. 14 U 6205/21; so sowohl im Ergebnis als auch in der Begründung auch OLG Hamm, Beschluss vom 15.11.2021, Az. 20 U 269/21) etwa hat einen Auskunftsanspruch in einem ähnlich gelagerten Fall (auch) mit der Begründung abgewiesen, dass Sinn und Zweck von Art. 15 Abs. 3 DS-GVO nicht sei, die büromäßig strukturierte Aufarbeitung von Unterlagen des Versicherungsnehmers für diesen durch den Versicherer mit dem Ziel, dem Versicherungsnehmer anschließend die Geltendmachung vermögensrechtlicher Ansprüche zu ermöglichen, wenn er seine Unterlagen nicht aufbewahrt habe.

Nach Auffassung des erkennenden Senats ist eine entsprechende teleologische Einschränkung jedoch nicht vorzunehmen (vgl. bereits das Urteil vom 26.07.2019 in der Sache 20 U 75/18). Daraus, dass Zweck von Art. 15 DS-GVO ist, die Rechtmäßigkeit der Verarbeitung der personenbezogenen Daten sicherzustellen und dem Betroffenen die Durchsetzung der hierzu in der DS-GVO vorgesehenen Rechte zu ermöglichen, folgt keineswegs zwingend , dass der Anspruch auch nur zu diesem Zwecke ausgeübt werden darf. Der Senat teilt vielmehr die ihn überzeugende Auffassung von Bäcker (in: Kühling/Buchner, DS-GVO BDSG, 3. Auflage 2020, Art. 15 Rn. 42d; so auch Wälder, r+s 2021, 98; Schmidt-Wudy in: BeckOK Datenschutzrecht, 39. Edition, Stand 01.11.2021, Art, 15 Rn. 85 ff. m.w.N.), der ausführt, dass sich die Funktion von Art. 15 DS-GVO nicht in einer solchen datenschutzinternen Nutzung der erlangten Informationen erschöpfe. Vielmehr bezwecke die Verordnung insgesamt den Schutz der Rechte und Freiheiten der Person gegen Beeinträchtigungen und Gefährdungen durch Verarbeitungen personenbezogener Daten. Nutze die betroffene Person ihr Recht auf eine Datenkopie, um Informationsasymmetrien zwischen sich und dem Verantwortlichen abzubauen und so ihre Rechte und Freiheiten zu wahren, so sei dies ein legitimes und rechtlich anzuerkennendes Ziel. Dabei komme es nicht darauf an, ob diese Rechte und Freiheiten selbst im Datenschutzrecht oder in einer anderen Teilordnung des Rechts verankert seien. Unbedenklich und grundsätzlich zu erfüllen sei darum etwa ein Kopieersuchen, mit dem die betroffene Person sich Informationen zur Vorbereitung eines Gerichtsverfahrens gegen den Verantwortlichen, in dem sie datenschutzexterne Ansprüche geltend machen will, beschaffen wolle.

Angemerkt sei darüber hinaus, dass es nach Auffassung des Senats ohnehin kaum je auszuschließen sein wird, dass es dem Versicherungsnehmer zumindest auch um den Schutz seiner Daten geht. Auch vor diesem Hintergrund erscheint es als nicht sinnvoll, das Bestehen des Auskunftsanspruchs nach der DS-GVO von einer entsprechenden – nicht überprüfbaren – Behauptung zur inneren Motivation des jeweiligen Anspruchstellers abhängig zu machen.

Unter Zugrundelegung dessen ist die Beklagte auch nicht berechtigt, die Auskunft nach Art. 12 Abs. 5 S. 2 DS-GVO zu verweigern. Denn der Antrag stellt sich nicht allein deshalb als exzessiv dar, weil es der Klägerin nicht primär um die Wahrung ihrer Rechte aus der DS-GVO gehen mag. Für eine Schikane oder ein in unangemessen kurzen Abständen wiederkehrendes Auskunftsersuchen ist ebenfalls nichts ersichtlich. Ob das Ansinnen der Beklagten, die Überprüfung der Rechtmäßigkeit der von ihr gestellten Beitragsforderungen durch ihren Versicherungsnehmer durch die Nichtherausgabe gespeicherter Unterlagen nach Möglichkeit zu erschweren, vor dem Hintergrund vertraglicher Fürsorgepflichten schutzwürdig ist, mag dahinstehen.

Die Beklagte kann all dem schließlich auch nicht entgegenhalten, der Auskunftsantrag sei auf Ausforschung gerichtet und widerspreche daher dem zivilprozessualen Beibringungsgrundsatz. Denn vorliegend geht es nicht um die Frage der Substantiierung und Darlegungslast im Zivilprozess, sondern um das Bestehen eines materiell-rechtlichen Auskunftsanspruchs.

Der Anspruch ist entgegen der Annahme der Beklagten auch nicht durch Erfüllung erloschen. Erteilt hat die Beklagte als Anlage C 22 (Bl. 582 d.A.) zur Berufungsbegründung zwar nunmehr Auskunft zur Beitragshöhe in den jeweiligen Tarifen. Hierdurch ist indes keine, auch keine teilweise Erfüllung eingetreten ist, weil sich aus den tabellarischen Übersichten nur die Höhe der im jeweiligen Tarif insgesamt zu entrichtenden Beiträge, nicht aber der jeweilige Erhöhungsbetrag ersehen lässt. Dieser lässt sich auch nicht in allen Fällen errechnen, weil etwa der Beitrag für das Jahr 2010 als Ausgangswert nicht angegeben ist.

Der auf Art. 15 DS-GVO gestützte Auskunftsanspruch ist schließlich auch nicht verjährt. Eine Verjährung könnte hier frühestens mit der Löschung der gespeicherten Daten beginnen, die die Beklagte jedoch selbst nicht behauptet. Darauf, ob Zahlungsansprüche, die mit Hilfe der erteilten Auskünften substantiiert werden könnten, verjährt wären, kommt es für den datenschutzrechtlichen Auskunftsanspruch nicht an.


Den Volltext der Entscheidung finden Sie hier:

LG Köln: 1.200 EURO Schadensersatz aus Art. 82 Abs. 1 DSGVO wenn Verantwortlicher Zugangsdaten eines ehemaligen IT-Dienstleister nicht zeitnah löscht

LG Köln
Urteil vom 18.05.2022
28 O 328/21


Das LG Köln hat in diesem Fall entschieden, dass der Betroffene einen Anspruch auf 1.200 EURO Schadensersatz aus Art. 82 Abs. 1 DSGVO hat, da der Verantwortliche die Zugangsdaten eines ehemaligen IT-Dienstleister nicht zeitnah gelöscht hatte.

Aus den Entscheidungsgründen:

Der Kläger hat im tenorierten Umfang Anspruch auf Ersatz eines immateriellen Schadens aus Art. 82 Abs. 1 DSGVO. Nach dieser Vorschrift hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

Die Beklagte hat dadurch, dass sie die der Fa. C. zur Verfügung gestellten Zugangsdaten nach Ende der Vertragsbeziehung nicht änderte, gegen ihre Verpflichtung aus Art. 32 DSGVO sowie aus Art. 5 DSGVO verstoßen. Nach Art. 32 DSGVO haben der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Gemäß Art. 5 Abs. 1 lit. f) DSGVO müssen personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“).

Die Kammer nimmt einen Verstoß gegen diese Vorgaben aufgrund des zwischen den Parteien unstreitigen Umstandes an, dass die der Fa. C. zur Verfügung gestellten Zugangsdaten nach Beendigung der vertraglichen Beziehung zu der Vertragspartnerin über mehrere Jahre nicht verändert wurden. Damit schuf die Beklagte das Risiko, dass die Daten der Betroffenen nicht nur im Falle von ihr selbst zu verantwortender Unzulänglichkeiten, sondern auch durch von Seiten von Mitarbeitern der C. vorsätzlich oder fahrlässig ermöglichte Zugriffe einem Missbrauch ausgesetzt waren. Die Beklagte kann sich angesichts der Sensibilität der gespeicherten Kundendaten insbesondere nicht darauf berufen, sie habe davon ausgehen können, dass die Daten seitens C. dauerhaft und vollständig gelöscht werden würden (so auch in einem Parallelfall LG München I, Urt. v. 9.12.2021, 31 O 16606/20, juris, Rn. 36). Jedenfalls wäre eine Überprüfung der Löschung angezeigt gewesen, die die Beklagte aber ebenfalls nicht vorträgt.

Das der Beklagten anzulastende Versäumnis war – was ausreichend ist – jedenfalls mitursächlich für den dem Kläger entstandenen Schaden (vgl. LG München I a.a.O. Rn. 39).

Dem Kläger entstand auch ein Schaden im Sinne des Art. 82 DSGVO. Die Erwägungsgründe 75 und 85 DS-GVO zählen beispielhaft auf, welche konkreten Beeinträchtigungen einen "physischen, materiellen oder immateriellen Schaden" darstellen können, so etwa Diskriminierung, Identitätsdiebstahl oder -betrug, finanzieller Verlust, Rufschädigung, unbefugte Aufhebung einer Pseudonymisierung oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile. Nach Erwägungsgrund 146 DS-GVO muss der Begriff des Schadens zudem "im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht" und die "betroffenen Personen sollen einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten". Im Vordergrund steht hier eine abschreckende Wirkung des Schadensersatzes, die insbesondere durch dessen Höhe erreicht werden soll. Dieser Gedanke wird auch aus Art. 4 III EUV abgeleitet. Danach sind die Mitgliedstaaten angehalten, Verstöße wirksam zu sanktionieren, weil nur so eine effektive Durchsetzung des EU-Rechts – und damit auch der DS-GVO – gewährleistet ist (LG München I a.a.O. Rn. 41 mit w.N.).

Aufgrund des dem Kläger mit Schreiben vom 19.10.2020 mitgeteilten Umfangs der entwendeten persönlichen Daten geht die Beklagte ausweislich dieses Schreibens selbst davon aus, dass versucht werden konnte, die Betroffenen zu bestimmten Verhaltensweisen zu bewegen, insbesondere zur Preisgabe von weiteren vertraulichen Informationen oder Zahlungen zu veranlassen, sowie dass die Gefahr bestand, dass es mit Hilfe der Daten zu Identitätsmissbrauchsversuchen kommen würde. Auf die weiteren, teilweise zwischen den Parteien streitigen, Umstände der tatsächlichen oder gefühlten Beeinträchtigung des Klägers durch den Vorfall kommt es nach Auffassung der Kammer vor diesem Hintergrund nicht maßgeblich an.

Für die Bemessung der Höhe des Schadensersatzes können die Kriterien des Art. 83 Abs. 2 herangezogen werden, wie etwa die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung, die betroffenen Kategorien personenbezogener Daten, wobei die Ermittlung im Übrigen dem Gericht nach § 287 ZPO obliegt (LG München I a.a.O. Rn. 44 m.w.N.).

Hier war bei der Bemessung der Höhe zu berücksichtigen, dass ein Missbrauch der Daten zu Lasten des Klägers bislang nicht festgestellt werden musste, und es daher einstweilen bei einer Gefährdung geblieben ist. Wie vom LG München I a.a.O. zutreffend herausgearbeitet, muss allerdings auch die Absicht des EU-Verordnungsgebers berücksichtigt werden, mit Hilfe des Schadensersatzanspruchs eine abschreckende Wirkung zu erzielen. Zu Gunsten der Beklagten fällt allerdings – wie in der mündlichen Verhandlung bereits ausgeführt, ins Gewicht, dass der ihr zuzurechnende Datenschutzverstoß nur eine von mehreren Ursachen war, die erst im Zusammenwirken den Schadenseintritt bewirkten. Denn hinzu kam ein weiterer mindestens fahrlässiger Verstoß bei der Fa. C. sowie nicht zuletzt das vorsätzliche rechtswidrige Vorgehen der Hacker selbst. Zu berücksichtigen ist auch, dass die Beklagte dem Kläger vorübergehend das „meine Schufa Plus“ Angebot finanzierte. Unter Abwägung der maßgeblichen Gesichtspunkte erachtet die Kammer damit eine Schadensersatzzahlung in der tenorierten Höhe für angemessen.


Den Volltext der Entscheidung finden Sie hier:


OLG Koblenz: Höhe des immateriellen Schadensersatzanspruchs aus Art 82 DSGVO ist unter Berücksichtigung seiner Funktion zum Ausgleich, zur Genugtuung und zur Generalprävention zu bestimmen

OLG Koblenz
Urteil vom 18.05.2022
5 U 2141/21


Das OLG Koblenz hat entschieden, dass die Höhe des immateriellen Schadensersatzanspruchs aus Art 82 DSGVO unter Berücksichtigung seiner Funktion zum Ausgleich, zur Genugtuung und zur Generalprävention zu bestimmen ist.

Leitsätze des Gerichts:

1. Der immaterielle Schadensersatzanspruch nach Art 82 DSGVO bestimmt sich der Höhe nach unter Berücksichtigung seiner Funktion zum Ausgleich, zur Genugtuung und zur Generalprävention.

2. Die Höhe muss berücksichtigen, dass der Einmeldung von Zahlungsstörungen auch im Verbraucherinteresse liegt, so dass die Verantwortlichen durch die Höhe des immateriellen Schadensersatzes nicht gänzlich davon abgehalten werden dürfen, Einmeldungen vorzunehmen.

Aus den Entscheidungsgründen:

a) Der Begriff des immateriellen Schadens im Sinne von Art. 82 Abs. 1 DSGVO ist - europarechtlich autonom und die in den Erwägungsgründen zur DSGVO niedergelegten Zielsetzungen aufnehmend - weit auszulegen.

Bereits aus dem Wortlaut der Norm ergibt sich, dass ein immaterieller Schadensersatzanspruch kausale Folge der Pflichtverletzung sein kann. Er ist allerdings von den materiellen Schäden, etwa wegen einer verweigerten oder nur zu ungünstigeren Bedingungen zustande gekommenen Kreditgewährung oder der Versagung bestimmter Zahlungsmethoden mit der Folge höherer Transaktionskosten, abzugrenzen und zu unterscheiden. Diese Trennung gelingt der Beklagten in ihren Erwägungen zur Höhe des Anspruches nicht immer.

Andererseits spricht der Wortlaut der Norm dafür, dass der europäische Gesetzgeber nicht davon ausgeht, dass schon allein die Pflichtverletzung den materiellen Schaden begründet (so auch Laoutoumai, K&R 2022, 25, 27; LG Saarbrücken v. 22.11.2021, 5 O 151/19 in seinem Vorlagebeschluss an den EuGH). Ein Anspruch auf den Schadensersatz besteht nämlich nur, wenn „ein materieller oder immaterieller Schaden entstanden ist“. Dieser Differenzierung im Wortlaut hätte es nicht bedurft, wenn bereits der Verstoß konstitutiv für den Anspruch wäre. Insoweit folgt der Senat nicht dem Bundesarbeitsgericht (26.08.2021, 8 AZR 253/20, Rn. 33 - juris), welches annimmt, dass „bereits die Verletzung der DSGVO selbst zu einem auszugleichenden immateriellen Schaden“ führt. Es muss mithin ein irgendwie gearteter immaterieller Schaden entstanden sein. Zwar geht der Anspruch dann in seiner Zielrichtung über einen erlittenen Schaden heraus, verzichtet aber aufgrund weitergehender Zielsetzungen hierauf nicht. Insoweit bleibt Grundlage des Anspruchs ein Individualrecht zu schützen. Art 82 DSGVO ist nicht Teil des kollektiven Rechtsschutzes. Das wirft die Frage auf, wann von einem erlittenen Schaden auszugehen ist.

Diese Fragestellung ist von der Annahme abzugrenzen, im Rahmen von Art. 82 Abs. 1 DSGVO sei eine Bagatellgrenze zu berücksichtigen. Eine Bagatellgrenze normiert Art. 82 Abs. 1 DSGVO seinem Wortlaut nach nicht und eine solche erscheint auch im Übrigen nicht angezeigt. Schon im nationalen Recht wurden einer solchen Grenze im Rahmen der Schuldrechtsreform 2002 verfassungsrechtliche Bedenken entgegengehalten (Ebert in: Erman, BGB, 16. Aufl. 2020, § 253 BGB, Rn. 14a). Der Gesetzgeber verwarf solche Ansätze deshalb (BT-Drucks. 14/8780). Ist ein immaterieller Schaden entstanden, ist dessen Schwere im Rahmen der Höhe des Ersatzanspruches zu berücksichtigen, nicht aber bei einer notwendigerweise nur willkürlich zu setzenden Bagatellgrenze zu finden. Soweit der BGH eine Korrektur aus Gründen der Billigkeit angenommen hat (BGH NJW 1992, 1043, Rn. 8; BGH NJW 1993, 2173) beruhte dies einerseits auf einer heute nicht mehr gültigen Norm (§ 847 BGB) und knüpfte andererseits nicht an einer Bagatellgrenze an, sondern an dem Umstand, dass weder die Ausgleichs- noch die Genugtuungsfunktion derart tangiert waren, dass ein immaterieller Schaden überhaupt entstanden ist. Es fehlt also in der zuletzt genannten Konstellation an einem „erlittenen Schaden“.

Da der bisherige § 8 Abs. 2 BDSG, der den Ersatz immaterieller Schäden von einer schweren Verletzung des Persönlichkeitsrechts des Betroffenen abhängig machte, nicht mehr anwendbar ist, kann auf die dazu ergangene Rechtsprechung zum Schadensbegriff nicht zurückgegriffen werden. Insoweit ist auch die nationale Rechtsprechung, die daran - teilweise bei nur verbaler Distanzierung - festhält (vgl. OLG Dresden v. 12.1.2021, 4 U 1600/20, Rn. 31 - juris; OLG Dresden v. 20.08.2020, 4 U 784/20, Rn. 32 - juris; AG Hannover v. 09.03.2020, 531 C 10952/19, Rn. 21 ff. - juris; AG Frankfurt a.M. v. 10.07.2020, 385 C 155/19, Rn. 28 - juris), abzulehnen.

Die Kategorien des nationalen Schadensersatzrechtes sind mithin nicht zielführend, um den Begriff des immateriellen Schadensersatzes im Sinne des Art. 82 DSGVO europarechtlich autonom auszulegen. Der Schadensbegriff des Art. 82 Abs. 1 DSGVO ist ein europarechtlicher Begriff, bei dessen Ausfüllung nicht auf nationale Erheblichkeitsschwellen oder andere Einschränkungen abgestellt werden darf (vgl. Kühling/Buchner/Bergt, 3. Aufl. 2020, DS-GVO Art. 82 Rn. 18a-18b).

Der Begriff des Schadens soll nach dem Erwägungsgrund 146 S. 3 EU-DSGVO „im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht.“ Daraus kann abgeleitet werden, dass der nach Abs. 1 bereits weite – weil Ansprüche aus § 253 BGB bereits umfassende – Schadensbegriff im Zweifel nicht begrenzend auszulegen sein wird (vgl. Paal/Pauly/Frenzel, 3. Aufl. 2021, DS-GVO Art. 82 Rn. 10). Einen Ausschluss vermeintlicher Bagatellschäden sieht die DSGVO nicht vor.

Der immaterielle Schadensersatz ist mithin auch ein Instrument, um die Ziele der DSGVO, wie sie in deren Art. 1 niedergelegt sind, unter dem Schutzzweck des Individualrechtsschutzes zu verwirklichen. Kern ist danach der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten im Schutzbereich der Grundrechte und der Grundfreiheiten im konkreten Einzelfall.

Der Funktion eines immateriellen Schadensersatzanspruches dienend, sind deshalb verschiedene Aspekte in die Bemessung des immateriellen Schadensersatzes der Höhe nach einzube-

ziehen. Zunächst die immaterielle und individuelle Ausgleichsfunktion wegen der Schutzgutverletzung, sodann die den Verstoß feststellende Genugtuungsfunktion und letztlich die generalpräventive Einwirkung auf den Schädiger zur künftigen Beachtung des Datenschutzes. In diesem Sinne kommt Art. 82 DSGVO kein Strafcharakter zu - dieser ist vielmehr das staatliche Gewaltmonopol respektierend in Art. 84 DSGVO niedergelegt, sehr wohl aber eine Anreizfunktion für den Verantwortlichen, hinreichende Sicherungsmaßnahmen zum Schutz der personenbezogenen Daten der betroffenen Person zu treffen.

Wegen der in Erwägungsgrund 146 S. 3 geforderten weiten Auslegung sieht der Senat mit Stimmen in der Literatur bereits in dem unguten Gefühl der Ungewissheit, ob personenbezogene Daten Unbefugten bekannt geworden sind, einen erlittenen immateriellen Schaden. Potentielle Schäden sind deshalb beispielsweise Ängste, Stress sowie Komfort- und Zeiteinbußen und die potentielle Stigmatisierung, die Diskriminierung, die Rufschädigung und der Verlust von Vertraulichkeit durch einen Negativeintrag bei einer Auskunftei, ohne dass dieser an Dritte übermittelt wird (vgl. hierzu auch Kühling/Buchner/Bergt, 3. Aufl. 2020, DS-GVO Art. 82 Rn. 18a-18b; Quaas, BeckOK Datenschutzrecht, 39. Ed., Stand 01.11.2021, Rn. 24). Dieser immaterielle Schaden, auch, wenn er im Einzel- und Regelfall niederschwellig sein wird, ist auszugleichen. Einen Schaden erst dann anzunehmen, wenn es zu einer mit einer unrechtmäßigen Zugänglichmachung von Daten liegenden (öffentlichen) Bloßstellung, einem Identitätsdiebstahl, einer Weitergabe sensibler Informationen oder einer anderen ernsthaften Beeinträchtigung für das Selbstbild oder Ansehen einer Person kommt, und ein besonderes immaterielles Interesse zu verlangen, das über den allein durch die Verletzung an sich hervorgerufenen Ärger oder sonstige Gefühlsschäden hinausgeht, verkennt den autonom und nach Erwägungsgrund 146 ausdrücklich weit auszulegenden Begriff des Schadens (Kühling/Buchner/Bergt, 3. Aufl. 2020, DS-GVO Art. 82 Rn. 18a-18b) und missachtet den individuellen Ausgleichsanspruch im Hinblick auf die aufgezeigten Folgen. Eine solche Sichtweise greift also zu kurz. Die vorgenannten Beschränkungen bleiben bei der Frage nach dem Schadensersatzanspruch dem Grunde nach außer Betracht, sondern sind erst im Kontext der Höhe des Ersatzanspruches zu berücksichtigen. Maßgeblich ist, ob die betroffene Person mit dem Beweismaß des § 286 ZPO die immaterielle Betroffenheit darlegen und nachweisen kann. Deren Intensität ist dann mit dem Beweismaß des § 287 ZPO bei der Höhe des Anspruches zu berücksichtigen. Erst hier kommen dann die weiter denkbaren immateriellen Beeinträchtigungen der Bloßstellung oder das notwendige Schutzniveau der betroffenen Daten zum Tragen.

Die Genugtuungsfunktion kommt dann - ergänzend - zum Tragen, wenn es zu einer tatsächlichen Beeinträchtigung der Schutzgüter im Verhältnis zu Dritten im Sinne einer Verwendung der pflichtwidrig verarbeiteten personenbezogenen Daten gegenüber Dritten gekommen ist. Hier greift also nicht (nur) die Sorge vor der Stigmatisierung, Diskriminierung oder Rufschädigung, sondern das in dem Datenschutzverstoß liegende Risiko hat sich nun verwirklicht. Das steigert einerseits die Anforderungen an die Ausgleichsfunktion und begründet zugleich innerhalb des

einheitlich zu bestimmenden immateriellen Ersatzanspruchs die Genugtuung als Bestimmungsmerkmal für die Höhe. Genau diese Verarbeitung unter Beteiligung Dritter bewirkt die zu korrigierende Bloßstellung außerhalb dadurch verursachter materieller Schäden. Dies kann bei der Konfrontation mit Negativauskünften bei einer Kreditanfrage ebenso der Fall sein, wie bei der Bewerbung um eine Mietwohnung oder negativen Auskünften im Rahmen eines Arbeitsverhältnisses. Auch die Verweigerung von Postpaid-Angeboten wegen negativer Scores kann hierzu gehören. Die betroffene Person hat auf der Grundlage der ihr zustehenden Auskunftsansprüche nach Art. 15 DSGVO regelmäßig keine Schwierigkeiten die Verarbeitung der Daten gegenüber Dritten nachzuweisen und auf dieser Grundlage die Genugtuungsfunktion geltend zu machen.

Nicht übersehen werden darf die generalpräventive Wirkung des immateriellen Schadensersatzanspruches. Im Spannungsfeld zwischen dem Risiko der entgeltlichen Sanktionierung von folgenlosen Verstößen gegen die DSGVO durch einen immateriellen Schadensersatzanspruch nach Art. 82 DSGVO, den Aufgaben des kollektiven Rechtsschutzes durch Aufsichtsbehörden mit den Sanktionsmöglichkeiten nach Art 84. DSGVO, dem Verhältnismäßigkeitsgrundsatz und dem Grundsatz, die gleiche Pflichtverletzung mit der gleichen Zielsetzung nicht doppelt zu sanktionieren, muss dem Grundanliegen der DSGVO, schon die Verarbeitung der Daten im Kontext der Schutzzwecke zu gewährleisten, Rechnung getragen werden. Schon bei der Bestimmung der Zwecke, den angenommenen Rechtsfertigungsgründen und der ggfs. vorzunehmenden Datenschutzfolgeabwägung muss das Schutzniveau auch durch den immateriellen Schadensersatzanspruch effektiv gewahrt werden. Hier gilt es also im Lichte des immateriellen Schadensersatzanspruches nach Art. 82 DSGVO Anreize zu schaffen, dass das Schutzniveau so hoch ist, dass es zur Realisierung des Schadensersatzrisikos erst gar nicht kommt. Dabei muss die generalpräventive Wirkung sich nicht in besonders hohen immateriellen Schadensersatzansprüchen niederschlagen, sondern kann gerade in der Breitenwirkung - auch kleine Verstöße werden ohne Bagatellgrenze sanktioniert - ihre Funktion erfüllen. Wo Menschen arbeiten, passieren Fehler. Kommt es hierzu im Einzelfall, ist die geringere Sanktion verhältnismäßig und gleichwohl spürbar und damit effektiv. Kommt es dagegen zu vielfachen Pflichtverletzungen und Rechtsverstößen, wird sich aus vielen kleinen Ansprüchen - zumal diese auch sowohl kollektiv als im Rahmen von Legal-Tech-Angeboten sehr breit geltend gemacht werden -, schnell ein großer finanzieller Verlust bei dem betroffenen Unternehmen einstellen. Bei großer oder größerer Quantität der Pflichtverletzungen wird also auch eine höhere Effektivität kleinerer Schadensersatzansprüche im Einzelfall erreicht. Dabei muss auch das weiter in Art. 1 DSGVO formulierte Ziel gesehen werden, den freien Verkehr von Daten sehr wohl zu ermöglichen. Bonitätsprüfungen schützen nicht nur Wirtschaftsunternehmen vor leistungsunfähigen und leistungsunwilligen Kunden, sondern auch Verbraucher vor einer übermäßigen Verschuldung gerade im bargeldlosen Zahlungsverkehr. Die generalpräventive Wirkung darf in der Bemessung des immateriellen Schadensersatzes deshalb nicht dazu führen, dass wegen des Schadensersatzrisikos keine Einmeldungen bei Wirtschaftsauskunfteien mehr erfolgen, weil dann andere Schutzzwecke negativ tangiert werden. Der in seinen finanziellen Verhältnissen nicht gefestigte Verbraucher soll

durch Einmeldungen davor geschützt werden, schnell in die Verschuldung zu geraten. Die Warnfunktion durch die Beschränkung kreditierter Geschäfte ist ein Baustein, um dies zu gewährleisten. In diesem Kontext ist dann auch zu bewerten, dass die Zuerkennung immateriellen Schadensersatzes nicht die einzige Sanktionsform gegenüber dem pflichtwidrig handelnden Unternehmen darstellt, gerade dann, wenn über Beschwerden an Aufsichtsbehörden beharrliche Rechtsverstöße festzustellen sind. Auch darf am Ende keine Motivation bestehen, wegen hoher immaterieller Ersatzansprüche Datenschutzverstöße zu provozieren, insbesondere, wenn schon ein geringes Verschulden oder sogar nur der objektive Pflichtverstoß den Anspruch auslöst. Bei der Bewertung der generalpräventiven Wirkung in der Bemessung des immateriellen Schadensersatzanspruches der Höhe nach ist deshalb auch zu berücksichtigen, inwieweit im konkreten Einzelfall die verfolgten Ziele schon durch Ausgleich und Genugtuung erreicht sind oder es einer überschießenden Wirkung bedarf.


Den Volltext der Entscheidung finden Sie hier:


OLG Nürnberg: Rechtsmissbrauch wenn Auskunft gemäß Art. 15 DSGVO nicht aus den in Erwägungsgrund 63 der DSGVO genannten Gründen verlangt wird

OLG Nürnberg
Urteil vom 14.03.2022
8 U 2907/21


Auch das OLG Nürnberg hat entschieden, dass Rechtsmissbrauch vorliegt, wenn Auskunft gemäß Art. 15 DSGVO nicht aus den in Erwägungsgrund 63 der DSGVO genannten Gründen verlangt wird.

Aus den Entscheidungsgründen:
(4) Der geltend gemachte Auskunftsanspruch ergibt sich schließlich auch nicht aus Art. 15 Abs. 1 DS-GVO. Denn der Beklagten steht ein Weigerungsrecht aus Art. 12 Abs. 5 Satz 2 lit. b) DS-GVO zu. Die Vorschrift führt zwar lediglich die häufige Wiederholung als Beispiel für einen „exzessiven“ Antrag auf. Die Verwendung des Wortes „insbesondere“ macht aber deutlich, dass die Vorschrift auch andere rechtsmissbräuchliche Anträge erfassen will (vgl. Heckmann/Paschke in: Ehmann/Selmayr, Datenschutz-Grundverordnung, 2. Aufl., Art. 12 Rn. 43; Paal/Hennemann in: Paal/Pauly, DS-GVO BDSG, 3. Aufl., Art. 12 DS-GVO Rn. 66 m.w.N.).

Bei der Auslegung, was in diesem Sinne rechtsmissbräuchlich ist, ist auch der Schutzzweck der DS-GVO zu berücksichtigen. Wie sich aus dem Erwägungsgrund 63 der Verordnung ergibt, ist Sinn und Zweck des in Art. 15 DS-GVO normierten Auskunftsrechts, es der betroffenen Person problemlos und in angemessenen Abständen zu ermöglichen, sich der Verarbeitung der sie betreffenden personenbezogenen Daten bewusst zu werden und die Rechtmäßigkeit dieser Verarbeitung überprüfen zu können (vgl. auch BGH, Urteil vom 15.06.2021 - VI ZR 576/19, VersR 2021, 1019 Rn. 23). Um ein solches Bewusstwerden zum Zweck einer Überprüfung der datenschutzrechtlichen Zulässigkeit der Verarbeitung personenbezogener Daten geht es dem Kläger aber ersichtlich nicht. Sinn und Zweck der von ihm begehrten Auskunftserteilung ist vielmehr - wie sich aus der Koppelung mit den unzulässigen Klageanträgen auf Feststellung und Zahlung zweifelsfrei ergibt - ausschließlich die Überprüfung etwaiger von der Beklagten vorgenommener Prämienanpassungen wegen möglicher formeller Mängel nach § 203 Abs. 5 WG. Eine solche Vorgehensweise ist vom Schutzzweck der DS-GVO aber nicht umfasst (vgl. OLG Hamm, BeckRS 2021,40312 Rn. 11; LG Wuppertal, r+s 2021, 696 Rn. 33).

(5) Auch soweit die Beklagte als Versicherer gesetzlich zur Aufbewahrung von Unterlagen verpflichtet ist, folgt daraus kein Auskunftsanspruch des Klägers. Denn der Gesetzgeber verfolgt mit der Aufbewahrungspflicht kein Anliegen des Versicherungsnehmers, insbesondere soll sie dem jeweiligen Geschäftsgegner nicht die spätere Durchsetzung eigener Rechte ermöglichen (vgl. OLG München, r+s 2022, 94 Rn. 52).


BGH: Auskunftsanspruch aus Art. 15 DSGVO kann durch datenschutzrechtlich geschützte Interessen Dritter eingeschränkt sein - Abwägung des Einzelfalls

BGH
Urteil vom 22.02.2022
VI ZR 14/21
DS-GVO Art. 15 Abs. 1 Halbsatz 2 lit. g


Der BGH hat entschieden, dass der Auskunftsanspruch aus Art. 15 DSGVO durch datenschutzrechtlich geschützte Interessen Dritter eingeschränkt sein kann. Insofern ist eine Abwägung des Einzelfalls erforderlich.

Leitsatz des BGH:
Zur Beschränkung des Auskunftsrechts über die Herkunft von Daten gemäß Art. 15 Abs. 1 Halbsatz 2 lit. g DS-GVO durch datenschutzrechtlich geschützte Interessen Dritter.

BGH, Urteil vom 22. Februar 2022 - VI ZR 14/21 - OLG Stuttgart - LG Ravensburg

Den Volltext der Entscheidung finden Sie hier:


LAG Berlin-Brandenburg: 2.000 EURO Schadensersatz aus Art. 82 DSGVO wegen verspäteter oder unvollständiger Auskunft nach Art. 15 DSGVO

LAG Berlin-Brandenburg
Urteil vom 18.11.2021
10 Sa 443/21

Das LAG Berlin-Brandenburg hat dem Betroffenen in diesem Fall 2.000 EURO Schadensersatz aus Art. 82 DSGVO wegen verspäteter bzw. unvollständiger Auskunft nach Art. 15 DSGVO zugesprochen.

Aus den Entscheidungsgründen:
Die Berufung des Klägers ist aber nur teilweise begründet.

Zutreffend hat die Beklagte in der Berufungserwiderung die jeweiligen Prüffragen für den geltend gemachten Anspruch aufgeworfen.

1. Liegt ein Verstoß gegen Art. 15 DSGVO vor?
2. Ist die Beklagte für einen etwaigen Verstoß verantwortlich?
3. Ist beim Kläger ein Schaden entstanden?
4. Gibt es eine Kausalität zwischen einem etwaigen Verstoß der Beklagten gegen Art. 15 Abs. 1 DSGVO und einem etwaigen beim Kläger eingetretenen Schaden?
5. Trifft den Kläger ein etwaiges Mitverschulden bzw. ist der etwaige Anspruch verwirkt oder rechtsmissbräuchlich geltend gemacht?
6. Ist ggf. die geltend gemachte Entschädigungssumme angemessen?

1. Nach Art. 15 Abs. 1 DSGVO hat der Kläger grundsätzlich das Recht, von der Beklagten eine Bestätigung darüber zu verlangen, ob sie ihn betreffende personenbezogene Daten verarbeitet und ggf. auf Auskunft über diese personenbezogenen Daten und u.a. auf folgende Informationen:

a) die Verarbeitungszwecke;
b) die Kategorien personenbezogener Daten, die verarbeitet werden;
c) die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;
d) falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
e) das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
f) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
g) wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;

Diese Informationen hat die Beklagte dem Kläger nur teilweise erteilt.

2. Es mag sein, dass die Beklagte große Mengen Daten über den Kläger verarbeitet hat. Konkrete Angaben dazu hat die Beklagte nicht gemacht. Anders als das Arbeitsgericht meint, ist das in diesem Fall aber auch unerheblich, da der Kläger keine generelle Auskunft hinsichtlich der von der Beklagten über ihn gespeicherten Daten verlangt hat, sondern beschränkt auf zwei Sachverhalte.

2.1 Zum einen ging es um die Anhörung des Betriebsrates und dessen Zustimmung. Durch die Bezugnahme auf Art. 15 DSGVO war aber in jedem Fall klar und eindeutig, dass der Kläger nicht nur um das Anhörungsschreiben der Arbeitgeberin und das Antwortschreiben des Betriebsrates ging, sondern zugleich auch um die in der Vorschrift genannten weiteren Aspekte. Mit der erteilten Auskunft durch Übersendung der beiden Schreiben hat die Beklagte allenfalls die Auskunftspflicht nach Art. 15 Abs. 1 a) und b) DSGVO erfüllt. Den weitergehenden Anspruch nach Buchst. c) bis g) hat die Beklagte mit ihrer Antwort vom 23. August 2019 offensichtlich nicht erfüllt.

Weder hat die Beklagte mitgeteilt, ob und ggf. gegenüber welchen Personen oder Stellen sie den Versetzungsvorgang offengelegt hat oder noch offenlegen werde noch wann bzw. nach welchen Kriterien eine Löschung der Daten erfolgen werde. Auch auf das Bestehen eines Rechts auf Berichtigung oder Löschung der den Kläger betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch die Beklagte oder eines Widerspruchsrechts gegen diese Verarbeitung und das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde hat die Beklagte nicht hingewiesen. Da die Daten offenbar nicht beim Kläger erhoben worden waren, hätte es auch einer Information über die Herkunft der Daten bedurft, also wer jeweils an dem Vorgang beteiligt war.

2.2 Zum anderen ging es um die Abmahnung vom 29. Mai 2019. Auch hier hat die Beklagte durch die Übersendung des Antrags des Herrn A auf Erteilung einer Abmahnung und dem sogenannten Logbuch-Eintrag allenfalls die Auskunftspflicht nach Art. 15 Abs. 1 a) und b) DSGVO erfüllt. Den weitergehenden Anspruch nach Buchst. c) bis g) hat die Beklagte mit ihrer Antwort vom 23. August 2019 auch zu diesem Vorgang offensichtlich nicht erfüllt.

Weder hat die Beklagte mitgeteilt, ob und ggf. gegenüber welchen Personen oder Stellen sie den Abmahnungsvorgang offengelegt hat oder noch offenlegen werde noch wann bzw. nach welchen Kriterien eine Löschung der Daten erfolgen werde. Auch auf das Bestehen eines Rechts auf Berichtigung oder Löschung der den Kläger betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch die Beklagte oder eines Widerspruchsrechts gegen diese Verarbeitung und das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde hat die Beklagte den Kläger nicht hingewiesen. Da die Daten offenbar nicht beim Kläger erhoben worden waren, hätte es auch einer Information über die Herkunft der Daten bedurft, also wer jeweils an dem Vorgang beteiligt war.

3. Dass diese Informationen fehlen, ist offensichtlich. Denn durch einen einfachen Blick in den Text des Art. 15 Abs. 1 DSGVO hätte die Beklagte feststellen können, was der Kläger von ihr verlangt. Insofern ist die Beklagte auch für die unzureichende Information und damit den Verstoß gegen Art. 15 Abs. 1 DSGVO verantwortlich.

4. Wie der Kläger zutreffend ausgeführt hat, liegt bei ihm ein Schaden vor. Unter Bezugnahme auf eine Entscheidung des LAG Niedersachsen vom 22. Oktober 2021 – 16 Sa 761/20 besteht unabhängig von dem Erreichen einer Erheblichkeitsschwelle bei Verstößen gegen Regelungen der DSGVO ein immaterieller Schadensersatzanspruch. Hierbei ist zu berücksichtigen, dass gerade ausgehend von Erwägungsgrund 146 Satz 3 zur DSGVO eine weite Auslegung geboten ist, um den Zielen der Verordnung in vollem Umfang zu entsprechen. Hiermit wäre es unvereinbar, würde eine Schadensersatzpflicht nur bei erheblichen Rechtsverstößen eintreten, da dann eine Vielzahl von Fallgestaltungen denkbar wäre, in denen Betroffene trotz Verstößen gegen die Regelungen der DSGVO keine Kompensation erhielten. Ferner kann, um die Regelungen der DSGVO effektiv durchzusetzen, auch auf eine abschreckende Wirkung des Schadensersatzes abgestellt werden (vgl. EuGH 17. Dezember 2015 – C-407/14 – Rn. 44). Zudem sollen die betroffenen Personen nach Erwägungsgrund 146 Satz 3 einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten. Dass ein Schaden erlitten ist, ergibt sich nicht erst bei Überschreiten einer gewissen Erheblichkeitsschwelle - der Schwere der Pflichtverstöße und damit einhergehenden Beeinträchtigungen kann vielmehr effektiv auf Ebene der Höhe des Schadensersatzes begegnet werden.

Indem die Beklagte ihrer Auskunftsverpflichtung inhaltlich nicht hinreichend nachgekommen ist, hat der Kläger keine ausreichenden Kenntnisse über die Verarbeitung seiner personenbezogenen Daten erlangt. Insofern ist ein Kontrollverlust eingetreten und ihm wurde die Möglichkeit der Überprüfung der Rechtmäßigkeit der Verarbeitung seiner personenbezogenen Daten unmöglich gemacht oder erschwert.

5. Die Kausalität zwischen der unzureichenden Auskunft der Beklagten und der Ungewissheit beim Kläger, welche Daten bei der Beklagten bezüglich der zwei konkret benannten Sachverhalte verarbeitet worden sind, liegt auf der Hand. Es bedurfte keines ergänzenden Auskunftsverlangens, da allein der Blick in den Verordnungstext ausreicht, um die Unvollständigkeit der Auskunft zu erkennen.

6. Der Anspruch des Klägers ist auch nicht verwirkt oder aus anderem Grunde rechtsmissbräuchlich geltend gemacht worden. Zwar ist es ungewöhnlich, dass der Kläger bereits mit der Klageschrift sein Schreiben vom 22. Juli 2019 und das Antwortschreiben der Beklagten vom 23. August 2019 eingereicht hat, ohne diesbezüglich einen Streitgegenstand hinsichtlich Art. 15 DSGVO zu eröffnen. Dadurch mag ein für die Verwirkung erforderliches Zeitmoment zwischen dem 23. August 2019 und dem 21. Dezember 2020 entstanden sein. Ein darüber hinaus erforderliches Umstandsmoment ist jedoch weder vorgetragen noch ersichtlich. Da sich die beiden Schreiben nicht nur mit Art. 15 DSGVO, sondern auch mit der Rückgängigmachung der Versetzung und der Entfernung der Abmahnung aus der Personalakte des Klägers beschäftigten, war es für eine vollständige Sachverhaltsdarstellung erforderlich, diese der Klageschrift beizufügen. Denn in der Klageschrift ging es zunächst (nur) um diese beiden Sachverhalte.

Angesichts des offensichtlich nicht vollständig erfüllten Auskunftsanspruchs bedurfte es entgegen der Ansicht der Beklagten auch keines Hinweises des Klägers, dass der Anspruch mit dem Schreiben vom 23. August 2019 nicht erfüllt sei.

7. Dem Kläger ist in Anbetracht der Pflichtverstöße der Beklagten nach richterlichem Ermessen gem. § 287 Abs. 1 ZPO ein immaterieller Schadensersatz in Höhe von 2.000,-- Euro zuzusprechen.

Die Schadensersatzansprüche sollen, worauf auch das LAG Niedersachsen in dem Urteil vom 22. Oktober 2021 – 16 Sa 761/20 unter Bezugnahme auf Entscheidungen anderer Gerichte hingewiesen hat, generell eine Abschreckungswirkung haben. Unter Berücksichtigung des Erwägungsgrundes 146 Satz 6 zur DSGVO soll die betroffene Person einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten. Verstöße müssen effektiv sanktioniert werden. Schadenersatz bei Datenschutzverstößen sollen eine abschreckende Wirkung haben, um der Datenschutzgrundverordnung zum Durchbruch zu verhelfen.

Gemessen an der Zweckrichtung des Schadensersatzes hält die Kammer unter Berücksichtigung und Abwägung der Umstände des vorliegenden Falls einen immateriellen Schadensersatz in Höhe von 1.000,-- Euro je unvollständig beantwortetem Auskunftsverlangen für angemessen. Hierbei ist zu berücksichtigen, dass die Auskunft der Beklagten offensichtlich unvollständig erfolgte. Auch nach der Klageerweiterung vom 21. Dezember 2020 hat die Beklagte die Auskunft nicht vervollständigt. Durch die unzureichende Auskunft hatte der Kläger keine umfassende Kenntnis über die Verarbeitung seiner personenbezogenen Daten durch die Beklagte bei zwei für ihn nachteiligen Sachverhalten (Versetzung und Abmahnung).

Durch einen Schadenersatz von jeweils 1.000,-- EUR wird ausreichend sichergestellt, dass durch die Zahlung eines spürbaren Betrages der Regelung des Art. 15 DSGVO zur Geltung verholfen wird und die Verpflichteten angehalten werden, die entsprechenden Maßgaben einzuhalten.


Den Volltext der Entscheidung finden Sie hier:



LG Hannover: 5.000 EURO immaterieller Schadensersatz aus Art. 82 DSGVO wegen unberechtigtem Negativeintrag in Auskunftei

LG Hannover
Urteil vom 14.02.2022
13 O 129/21


Das LG Hannover hat entschieden, dass dem Betroffenen 5.000 EURO immaterieller Schadensersatz aus Art. 82 DSGVO wegen eines unberechtigten Negativeintrags in einer Auskunftei zusteht. Der Betroffene hatte den Betreiber der Auskunftei verklagt.

Aus den Entscheidungsgründen:

A. Die Klage ist zulässig, insbesondere ist das Landgericht Hannover örtlich gemäß § 44 Abs. 1 BDSG zuständig.

B. Die Klage ist in Höhe eines Betrages von 5.000,00 € (nachfolgend zu 1.) nebst Verzugszinsen (nachfolgend zu 2.) sowie im Hinblick auf die Freistellung des Klägers von vorgerichtlichen Rechtsanwaltskosten in Höhe von 282,15 € (nachfolgend zu 3.) begründet. Im Übrigen ist die Klage abzuweisen (nachfolgend zu 4.).

Im Einzelnen:

1. Der Kläger kann von der Beklagten Schadensersatz in Höhe von 5.000,00 € aus Art. 82 Abs. 1 DSGVO verlangen.

a. Die von der Telekom veranlassten Negativeinträge vom 10.01.2018 haben den Kläger rechtswidrig in seinem allgemeinen Persönlichkeitsrecht verletzt.

Eine nicht von den Bestimmungen des zum Zeitpunkt des Negativeintrags insoweit noch maßgeblichen § 28a BDSG (Art 6 Abs. 1 Buchst, f DSGVO (i.V.m. § 31 BDSG n.F.) gilt gern, deren Art. 99 Abs. 2 ab dem 25.05.2018) gedeckte Übermittlung personenbezogener Daten stellt eine Verletzung des allgemeinen Persönlichkeitsrechts dar, das als sonstiges Recht im Sinne des § 823 Abs. 1 BGB Schutz genießt (BGH, Urteil vom 07.07.1983- III ZR 159/82-, Rn. 14, juris; OLG Düsseldorf, Urteil vom 12.09.2014- 1-16 U 7/14-, Rn. 5, juris). Nach §4 Abs. 1 BDSG a.F. ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur zulässig, soweit das BDSG oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat. Eine Einwilligung hat der Kläger nicht erteilt. Deswegen ist die Übermittlung der Daten aus dem Vertragsverhältnis zwischen dem Kläger und der Telekom an die Beklagte an § 28a BDSG a.F. zu messen. Vorliegend scheitert deren Zulässigkeit schon an der Voraussetzung des § 28a Abs. 1 Satz 1 Nr. 4 Buchst, a) BDSG a.F., weil sich nicht feststellen lässt, dass die Telekom den Kläger mindestens zweimal schriftlich gemahnt hat.

Die Darlegungs- und Beweislast für die Zulässigkeit der Übermittlung von Daten trägt grundsätzlich die übermittelnde Stelle (vgl. OLG Köln, Urteil vom 21.10.2014 - 1-15 U 107/14-, Rn. 59, juris; OLG Düsseldorf a.a.O., Rn. 5; LG Lüneburg, Urteil vom 14.07.2020- 9 O 145/19-, Rn. 31, 47) resp. vorliegend die Beklagte als die die Daten verarbeitende Stelle i.S.v. § 29 Abs. 1 Satz 1 Nr. 3 BDSG a.F. Im Übrigen beruft sich die Beklagte auf die Mahnungen als ihr günstige - weil sie zur Aufnahme des Negativeintrags in ihre Auskunftei berechtigende - Tatsache und trägt damit auch nach allgemeinen Grundsätzen die Last des Beweises (vgl. Arnold in: Erman, BGB, 16. Aufl. 2020, § 130 BGB, Rn. 33).

Soweit die Telekom Mahnungen an den Kläger unter dessen seinerzeit für ihn nicht mehr aktuelle Anschrift (nur noch) seiner Eltern gesandt hat, lässt sich deren Zugang beim Kläger unabhängig davon nicht feststellen, ob diese den Eltern des Klägers zugegangen sind. Der Kläger mag durch sein Verhalten, seine neue Adresse nicht an seine Vertragspartner mitgeteilt zu haben, eine Ursache dafür gesetzt haben, dass ihn die an ihn gerichtete Post und damit auch die Mahnungen nicht erreicht haben. Das ändert aber nichts daran, dass sich ein Zugang beim Kläger nicht feststellen lässt und ist für die Frage der Zulässigkeit der Datenverarbeitung zunächst ohne Belang. Nach dem Sinn und Zweck der in § 28 a Abs. 1 Satz 1 Nr. 4 Buchst, a) bis c) BDSG aufgestellten Erfordernisse reicht eine bloße Versendung von Mahnungen nicht aus; vielmehr ist grundsätzlich ein Zugang beim Betroffenen erforderlich, um die beabsichtigte Warnfunktion zu erfüllen und diesem so entweder einen Ausgleich der Forderung zu ermöglichen oder ihn in die Lage zu versetzen, Einwendungen gegen die Forderung zu erheben (vgl. BR-Drs. 548/08, S. 25 f.); dabei obliegt auch allein dem Absender der Nachweis eines Zugangs von ihm versandter Schreiben, der das durch es ein geeignetes Versandverfahren sicher stellen könnte; das wäre im Hinblick auf die Folgen einer negativen Eintragung im Hinblick auf die Kreditwürdigkeit des Betroffenen auch ohne weiteres zumutbar und der Mahnende trägt das Risiko, wenn er sich so der Möglichkeit des Nachweises begibt; auch ein Anscheinsbeweis greift insofern grundsätzlich nicht ein, weil es vielfache Ursache dafür geben kann, dass ein Schreiben den Empfänger nicht erreicht (vgl. OLG Köln, a.a.O., Rn. 59, juris).

b. Die Beklagte hat gegen Art. 6 Abs. 1 DSGVO durch die nicht im Sinne der Vorschrift rechtmäßige Datenverarbeitung verstoßen, weil diese gemessen an §§ 28a Abs. 1 Nr. 4 Buchst, a), 29 Abs. 1 Satz 1 Nr. 3 BDSG a.F. bzw. § 31 Abs. 2 Nr. 4 Buchst, a) BDSG n.F. (auch wenn diese Neufassung nicht mehr die Übermittlungsvoraussetzungen definiert, sondern nur Anforderungen an den Datenkranz, der für die Ermittlung von Wahrscheinlichkeitswerten verwendet werden darf, so werden dadurch die Übermittlungsvoraussetzungen doch zumindest mittelbar bestimmt und in gewisserWeise durch den Gesetzgeber fortgeschrieben, vgl. Kamlah in: Plath, DSGVO/BDSG, 3. Aufl. 2018, §31 BDSG, Rn. 49) mangels (nachgewiesener) Mahnungen des Klägers durch die Telekom nicht rechtmäßig war.

c. Soweit der Kläger mithin in seinem Persönlichkeitsrecht verletzt ist, bedarf es keiner Feststellung, dass es sich dabei um eine schwerwiegende handelt.

Anders als für die Zubilligung eines Schmerzensgeldes nach §§ 823 Abs. 1, 249, 253 BGB, Art 1 und 2 GG wird eine solche von Art. 82 GG nicht vorausgesetzt (vgl. (BeckOK DatenschutzR/Quaas, 38. Ed. 1.11.2021, DS-GVO Art. 82 Rn. 32; Gola DS-GVO/Gola/Piltz, 2. Aufl. 2018, DS-GVO Art. 82 Rn. 13; LG Hamburg, Urteil vom 04.09.2020 - 324 S 9/19 -, Rn. 34, juris; LG Lüneburg, a.a.O., Rn. 55, juris).

d. Die Beklagte hat auch schuldhaft gehandelt.

Ein solches Verschulden ist - wie nach Auffassung der Kammer schon Art. 82 Abs. 3 DSGVO zeigt - auch im Rahmen einer Haftung nach Art. 82 DSGVO erforderlich und wird zunächst mit der Möglichkeit einer Exkulpation vermutet (vgl. OLG Stuttgart, Urteil vom 31.03.2021 - 9 U 34/21 -, Rn. 43, juris; LG Karlsruhe, Urteil vom 02.08.2019- 8 O 26/19-, Rn. 15, juris; Gola DS-GVO, a.a.O., Rn. 9; BeckOK DatenschutzR, a.a.O., Rn. 17; a.A. wohl: BAG, EuGH-Vorlage vom 26.08.2021 - 8 AZR 253/20 (A) -, Rn. 39, juris).

Daran gemessen traf die Beklagte zunächst nicht der Vorwurf eines schulhaften Verhaltens, weil ihr die Prüfung der Voraussetzung der Übermittlung in § 28a Abs. 1 Satz 1 Nr. 4 Buchst, a) BDSG a.F. zunächst nicht oblag (vgl. LG Stuttgart Urt. v. 15.05.2002 - 21 O 97/01, BeckRS 2002, 31212889, beck-online). Die Beklagte musste mithin nicht ohne irgendeinen Anhaltspunkt überprüfen, ob der Kläger nach Eintritt der Fälligkeit der Forderung der Telekom mindestens zweimal schriftlich gemahnt worden war, sondern durfte sich vielmehr darauf verlassen, dass die Telekom als übermittelnde Stelle das getan hatte.

Die Beklagte hatte dann aber Anlass zur Prüfung dieser Frage, nachdem ihr der Kläger im April 2019 mitgeteilt hatte, dass er nicht gemahnt worden sei, die Voraussetzungen für die Negativeinträge also - jedenfalls aus seiner Sicht - nicht Vorlagen. Soweit sie mangels der Kenntnis der Problematik der Mahnungen und ihres Zugangs beim Kläger deswegen bis dahin i.S.v. Art. 82 Abs. 3 DSGVO exkulpiert war und (noch) nicht schuldhaft handelte, gelingt ihr das für die Zeit ab April 2019 nicht mehr und das Verschulden der Beklagten seitdem ist zu vermuten. Die Beklagte hatte ab April 2019 Anlass, die Frage der Rechtmäßigkeit zu prüfen. Die ihr obliegende Sorgfalt hätte das auch erfordert und die Beklagte handelte seitdem mindestens fahrlässig, solange sie das nicht tat.

e. Der Kläger hat auch einen immateriellen Schaden erlitten.

Es kann dahinstehen, ob auch unter Berücksichtigung des weiten Schadensbegriffs (vgl. Erwägungsgrund 146) nicht bereits jeder Verstoß gegen die DSGVO zu einer Ausgleichspflicht führt, weil der Verpflichtung zum Ausgleich eines immateriellen Schadens eine benennbar und insoweit tatsächliche Persönlichkeitsverletzung gegenüberstehen muss (LG Hamburg, a.a.O.-, Rn. 33 f., juris). Denn jedenfalls eine in einer unrechtmäßigen Zugänglichmachung von Daten liegenden "Bloßstellung" stellt eine solche dar (vgl. LG Hamburg, a.a.O.; LG Karlsruhe, a.a.O., Rn. 19, juris; LG Lüneburg, a.a.O., Rn. 55; Ehmann/Selmayr/Nemitz, DS-GVO, 2. Auflage, Art. 82 Rn. 13).

Die Beklagte hat daran gemessen, die mit den Negativeinträgen verbundenen Daten ihren Vertragspartnern zum Abruf bereit- und schon dadurch den Kläger "bloßgestellt". Bei der Beklagten handelt es sich um eine Schutzgemeinschaft für allgemeine Kreditsicherung, ein Warnsystem der Kreditwirtschaft, dessen Aufgabe es ist, ihren Vertragspartnern Informationen zur Verfügung zu stellen, um sie vor Verlusten im Kreditgeschäft mit natürlichen Personen zu schützen (vgl. dazu OLG Düsseldorf, Urteil vom 13.02.2015- 1-16 U 41/14-, Rn. 28, juris). Innerhalb dieses Systems hat die Beklagte die Daten nicht nur zur Verfügung gestellt, sie wurden ausweislich der Auskunft vom 04.03.2021 auch mehrfach und sowohl im Kontext privater Anfragen als auch bezogen auf die Tätigkeit des Klägers als Inhaber einer Physiotherapiepraxis abgerufen. Darauf, ob die Negativeinträge auch dazu führten, dass dem Kläger kein Kredit oder ein solcher zu anderen (schlechteren) Bedingungen gewährt wurde als er ohne die Einträge gewährt worden wäre, kommt es indes für den immateriellen Ersatzanspruch nicht an.

f. Die Verletzung des Persönlichkeitsrechts des Klägers rechtfertigt und erfordert die Zahlung eines Schmerzensgeldes in Höhe von 5.000,00 €.

aa. Für den immateriellen Schadensersatz nach Art. 82 DSGVO gelten die im Rahmen von § 253 BGB entwickelten allgemeinen Grundsätze (BeckOK DatenschutzR/Quaas, a.a.O., Rn. 31; Gola DS-GVO, a.a.O., Rn. 9). Deswegen kann auch das Mitverschulden des Betroffenen analog § 254 BGB bei der Bemessung der Schadensersatzhöhe zu berücksichtigen sein (vgl. BeckOK DatenschutzR/Quaas, a.a.O., Rn. 28; Ehmann/Selmayr/Nemitz, a.a.O., Rn. 15; a.A. wohl Kühling/Buchner/Bergt, 3. Aufl. 2020, DS-GVO Art. 82; BAG, a.a.O.).

bb. Vorliegend rechtfertigt der Verstoß der Beklagten unter Berücksichtigung aller Umstände des vorliegenden Einzelfalls ein Schmerzensgeld in Höhe von 5.000,00 €.

(1) Die Daten zur Bonität des Klägers sind schützenswerte und sensible Daten, die sowohl seine berufliche Tätigkeit als auch seine Kreditwürdigkeit im privaten Rahmen betreffen. Sie können maßgeblichen negativen Einfluss auf die Teilnahme am wirtschaftlichen Verkehr in diesen Bereichen haben, indem Kredite versagt oder vom Kläger angestrebte Verträge mit ihm nicht abgeschlossen werden. Dass die Beklagte als Warnsystem der Kreditwirtschaft mit ihren Auskünften und dem ersichtlich zu diesem Zweck und auf der Grundlage der Einträge ja errechneten Basisscore (der -wenn auch die Algorithmen zu dessen Bildung nicht bekannt sind und der Wert damit nicht nachvollziehbar ist - sich am 25.04.2019 auf 55,2% (vgl. Anlage Kl), am 04.03.2021 auf 69,56 € (vgl. Anlage K7) und am 07.09.2021 und mithin nach Löschung der Negativeinträge auf 91,79% belief) auf derartiges keinen Einfluss ausübt, wird man nicht ernsthaft annehmen können. Dieser Einfluss - ohne dass es im Rahmen eines immateriellen Anspruchs der konkreten Feststellung der materiellen Nachteile bedarf - ist auch von einigem Gewicht; zutreffend weist das LG Lüneburg darauf hin, dass dadurch mittelbar Grundrechte wie die Berufsfreiheit und die allgemeine Handlungsfreiheit beeinträchtigt werden können (LG Lüneburg, a.a.O., Rn. 58).

(2) Für die Bemessung des Schmerzensgeldes sind die Negativeinträge sind April 2019 bis zur Löschung wohl kurz nach dem 04.03.2021 zu berücksichtigen und hatten damit ungefähr zwei Jahre Bestand.

(3) Sie fielen auch in einen Zeitraum, der aufgrund der Corona-Pandemie ohnehin für am Wirtschaftsleben Teilnehmende mit großen wirtschaftlichen Risiken und Probleme verbunden war, der Kläger war damit für die Folgen der Negativauskünfte in besonderem Maße anfällig.

(4) Weiter ist vorliegend zu berücksichtigen, dass die Beklagte zwar einerseits zunächst kein erhebliches Verschulden traf, mit zunehmender Dauer des rechtswidrigen Zustandes ab den ersten Hinweisen durch den Kläger im April 2019 über die Klageerhebung im Mai 2020 ihr die Zweifel an der Rechtmäßigkeit ihres Handelns hätten immer stärker hätten aufkommen müssen. Das gilt ganz besonders für die Zeit nach Erlass des Anerkenntnisurteils vom 25.01.2021 und dem Umstand, dass die Negativeinträge auch am 04.03.2021 noch gespeichert waren.

(5) Gleichermaßen kann nicht unberücksichtigt bleiben, dass der Kläger eine zu den Negativeinträgen führende Ursache selbst gesetzt hat. Dadurch, dass er der Telekom die Änderung seiner Adresse nicht mitgeteilt hat, hat er ihr die Möglichkeit genommen, ihn mit ihren Mahnungen auf dem zwar im Hinblick auf den Nachweis des Zugangs riskanten, aber immerhin ganz üblichen Versandweg eines einfachen Briefs auch zu erreichen. Das Verhalten des Klägers nach Kenntnis von den Rückständen lässt vermuten, dass es dann sogleich zum Ausgleich der Forderungen der Telekom gekommen wäre und die Negativeinträge nicht lanciert worden wären.

cc. Nach alledem ist-wie geschehen - ein einheitliches Schmerzensgeld zu bilden.

Die vom Kläger vorgenommene Berechnung nach Zeitabschnitten ist mithin nicht vorzunehmen. Soweit eine Bemessung eines Schmerzensgeldes nach (zwei) Zeitabschnitten ausnahmsweise dann vorgenommen werden kann, wenn es einerseits um die Zahlung von Kapital und andererseits um Rente geht (vgl. BGH, Urteil vom 08.06.1976 - VI ZR 216/74 -, juris), kommt eine solche im Übrigen und insbesondere bei einer Zahlung (nur) von Kapital nicht in Betracht (vgl. OLG Hamm, Urteil vom 11.02.2000 - 9 U 204/99 -, Rn. 17, juris; OLG Frankfurt, Beschluss vom 14.04.2020 -15 W 18/20 -, Rn. 17 -18, juris; jeweils m.w.N.).

2. Der Kläger kann Verzugszinsen ab dem 10.04.2019 aufgrund des ablehnenden Schreibens der Beklagten vom 09.04.2019 gern. §§ 286 Abs. 2 Nr. 3, 288 Abs. 1 BGB verlangen, wobei entsprechend § 187 Abs. 1 BGB die Verzinsung erst an dem auf den Verzugseintritt folgenden Tag beginnt (vgl. Staudinger/Repgen (2019) BGB § 187, Rn. 5; Grünberg-Ellenberger, Bürgerliches Gesetzbuch, 81. Aufl., Rn. 1 zu § 187 m.w.N.).

3. Schließlich hat der Kläger einen Anspruch auf Freistellung der zur Rechts Verfolgung erforderlichen vorgerichtlichen Rechtsanwaltskosten. Bei einem Gegenstandswert von 5.000,00 € (maßgeblich ist der berechtigte Teils der außergerichtlich geltend gemachten Forderung (vgl. BGH, Urteil vom 18.07.2017 -VI ZR 465/16 -, Rn. 7, juris; BGH, Urteil vom 12.12.2017 - VI ZR 611/16 -, Rn. 5, juris)) belaufen sich diese nach §§13 Abs. 1, i.V.m. Nrn. 2300, 7002, 7008 VV RVG auf die angemessene 1,3 Geschäftsgebühren nebst Auslagenpauschale und Mehrwertsteuer unter Anrechnung einer 0,65 Geschäftsgebühr gern. Vorbemerkung 3 Abs. 4 RVG, § 15a RVG, mithin auf (217,10 € + 20,00 € + 45,05 € =) 282,15 €.


Den Volltext der Entscheidung finden Sie hier:


LG Leipzig: Kein Anspruch auf Schadensersatz aus Art. 82 DSGVO bei verspäteter Auskunftserteilung nach Art. 15 DSGVO

LG Leipzig
Urteil vom 23.12.2021
03 O 1268/21


Das LG Leipzig hat entschieden, dass regelmäßig kein Anspruch auf Schadensersatz aus Art. 82 DSGVO bei verspäteter Auskunftserteilung nach Art. 15 DSGVO besteht.

Aus den Entscheidungsgründen:

9. Der Schmerzensgeldanspruch der Beklagten war demgegenüber im Ergebnis nicht zuzusprechen.

Soweit zwischenzeitlich mit Verfügung vom 4.11.2021 eine abweichende Ansicht vertreten wurde, wird hieran nicht festgehalten. Auf diese Möglichkeit wurde im Termin zur Vermeidung eines Überraschungsurteils ausdrücklich hingewiesen.

Nach Art. 82 Abs. 1 DS - GVO hat jede Person, der wegen eines Verstoßes gegen die DS - GVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder den Auftragsverarbeiter. Auszugleichen sind hiernach ausdrücklich auch immaterielle Schäden.

In der Literatur wird unter Geltung der DS - GVO überwiegend für eine Absenkung der Voraussetzungen für die Gewährung immateriellen Schadensersatzes und für eine Verschärfung der Haftung mit deutlich höheren Beträgen gegenüber den bisherigen plädiert. Dies folge aus dem weiten Schadensbegriff der DS - GVO sowie daraus, dass der EuGH bei der Wahl zivilrechtlicher Sanktionen zur Umsetzung von Unionsrecht generell eine abschreckende Wirkung verlange. Insbesondere dürfe der zugesprochene Schadensersatz nicht nur symbolisch sein. Auch dürfe die Gewährung immateriellen Schadensersatzes nicht mehr von einer schwerwiegenden Persönlichkeitsrechtsverletzung abhängig gemacht werden. Die abschreckende Wirkung zivilrechtlicher Sanktionen sei nur zu erreichen, wenn entsprechend hohe Beträge ausgeurteilt würden (vgl. hierzu die Nachweise bei Eichelberger, WRP 2021, 159 ff.).

Hiervon unabhängig kann als gesichert gelten, dass das Unionsrecht die Mitgliedsstaaten grundsätzlich nicht zu überkompensatorischem Schadensersatz verpflichtet.

Allein der Verstoß gegen die DS - GVO reicht für sich genommen noch nicht aus, einen Schadensersatzanspruch auszulösen.

Ohne Schaden gibt es keinen Schadensersatzanspruch (vgl. hierzu Eichelberger a.a.O.). Vielmehr muss dem von einem Datenschutzverstoß Betroffenen ein spürbarer Nachteil entstanden sein. Es muss eine objektiv nachvollziehbare, mit gewissem Gewicht erfolgte, Beeinträchtigung von persönlichkeitsbezogenen Belangen vorliegen. Die Beeinträchtigung muss von einer gewissen Erheblichkeit sein.

Einen normativen Anknüpfungspunkt hierzu gibt die DS - GVO in ihren Erwägungsgründen 75 und 85. Im Anschluss an die beispielhafte Aufzählung möglicher - hier nicht geltend gemachter - Beeinträchtigungen durch Datenschutzverletzungen (Diskriminierung, Identitätsdiebstahl oder - betrug, Rufschädigung, Verlust der Vertraulichkeit von einem Berufsgeheimnis unterliegenden Daten) ist dort ergänzend allgemein von anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen die Rede (vgl. hierzu Eichelberger a.a.O.).

Demzufolge kann die Beklagte keine Entschädigung für eine verspätete Datenauskunft sowie für die bislang noch nicht vollständig erteilte Datenauskunft von der Klägerin beanspruchen.

Allein der Umstand, dass die Beklagte auf die (vollständige) Datenauskunft noch warten muss, kann keinen ersatzfähigen Schaden begründen.

Es muss auch bei einem immateriellen Schaden eine Beeinträchtigung eingetreten sein, die unabhängig von einer Erheblichkeitsschwelle wenigstens spürbar sein muss. Anderenfalls scheidet ein Schaden schon begrifflich aus (so auch LG Bonn, Urteil vom 01.07.2021, Az.: 15 O 372/20).

Die im Erwägungsgrund 75 der DS - GVO genannten immateriellen Nachteile, wie eine Diskriminierung, ein Identitätsdiebstahl, ein Identitätsbetrug, eine Rufschädigung, ein Verlust der Vertraulichkeit oder sonstige gesellschaftliche Nachteile sind der Beklagten durch die Führung der Handakten durch die von ihr beauftragten Rechtsanwälte in den familiengerichtlichen Verfahren unstreitig nicht erwachsen.

Demzufolge scheidet auch die Zusprechung eines Schmerzensgeldes im Streitfall für die bislang nicht erteilte Datenauskunft nach Art. 15 Abs. 3 DS - GVO aus.

Für diese Erkenntnis bedurfte es keiner Vorlage an den EuGH nach Art. 267 Abs. 3 AEUV. Zum einen entscheidet die Kammer nicht als letztinstanzliches, sondern als erstinstanzliches Gericht, wonach eine Verpflichtung zur Vorlage an den EuGH nicht besteht.

Zum anderen stützt die Kammer ihr Verständnis von der Auslegung des Art. 82 Abs. 1 DS - GVO auf den Erwägungsgrund 75 der DS - GVO, mithin auf die europarechtliche Norm selbst. Unabhängig hiervon erscheint es nicht zielführend, dass jedes Instanzgericht bei Entscheidungen auf der Grundlage der DS - GVO den EuGH mit einem Vorabentscheidungsersuchen bemüht. Sinnvoller erscheint es, dass das letztinstanzliche nationale Gericht die Entscheidung der Instanzgerichte zu Art. 82 Abs. 1 DS - GVO sammelt und in deren Auswertung darüber befindet, ob und wenn ja mit welchen Vorlagefragen es den EuGH nach Art. 267 Abs. 3 AEUV bemüht.


Den Volltext der Entscheidung finden Sie hier: