Skip to content

OLG Frankfurt: Schadensersatzanspruch aus Art. 82 DSGVO erfordert Nachweis eines konkreten Schadens - aus Art. 17 DSGVO ergibt sich auch ein Unterlassungsanspruch

OLG Frankfurt
Urteil vom 02.03.2022
13 U 206/20


Das OLG Frankfurt hat entschieden, dass ein Schadensersatzanspruch aus Art. 82 DSGVO den Nachweis eines konkreten Schadens erfordert. Zudem führt das Gericht aus, dass sich aus Art. 17 DSGVO auch ein Unterlassungsanspruch ergibt.

Aus den Entscheidungsgründen:

Hinsichtlich der Verurteilung im Hinblick auf den Unterlassungsanspruch ist die Berufung der Beklagten hingegen unbegründet.

Dem Kläger steht ein Anspruch gegen die Beklagte auf Unterlassung der Verarbeitung seiner personenbezogenen Daten zu, sofern diese in der Form erfolgt wie mit der Nachricht vom 23.10.2018 an einen Dritten. Dies ergibt sich aus Art. 17 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, ABl. 2016 L 119 S. 1, berichtigt in ABl. 2016 L 314 S. 72 und ABl. 2018 L 127 S. 2; im Folgenden: DS-GVO), wie zwischenzeitlich höchstrichterlich geklärt wurde (vgl. BGH, Urteile vom 12.10.2021 - VI ZR 488/19 - VI ZR 489/19 -, jeweils Rn. 10, juris; BGH, Urteil vom 27. Juli 2020 - VI ZR 405/18, BGHZ 226, 285 Rn. 20, 23 [zur Auslistung]; BSGE 127, 181 Rn. 13), so dass ein Rückgriff auf §§ 823 Abs. 1 i.V.m. 1004 BGB nicht erforderlich ist, um einen lückenlosen Individualrechtsschutz hinsichtlich der Verarbeitung personenbezogener Daten von natürlichen Personen zu gewährleisten (so noch: OLG Dresden, Urteil vom 14. Dezember 2021 - 4 U 1278/21 -, Rn. 47, juris; OLG München, Urteil vom 19. Januar 2021 - 18 U 7243/19 Pre -, Rn. 62, 65, juris).

Die Voraussetzungen des sich aus Art. 17 Abs. 1 DS-GVO (auch) ergebenden Unterlassungsanspruchs sind erfüllt.

Die DS-GVO ist vorliegend anwendbar, da sie seit dem 25.5.2018 (Art. 99 Abs. 2 DS-GVO) unmittelbar in jedem Mitgliedstaat der Europäischen Union Geltung erlangt hat (BGH, Urteil vom 27. Juli 2020 - VI ZR 405/18 -, BGHZ 226, 285-310, Rn. 110 - 13).

Die Beklagte hat durch die Übermittlung der Nachricht vom 23.10.2018 „personenbezogene Daten" des Klägers im Sinne von Art. Art. 4 Nr. 1 DS-GVO an einen Dritten offenbart. Insoweit sind der Name, das Geschlecht, die Tatsache des laufenden Bewerbungsverfahrens und die Gehaltsvorstellung des Klägers als personenbezogene Daten anzusehen.

Sofern die Beklagte dies hinsichtlich der Anrede „Herr B" verneint, vermag der Senat dem nicht zu folgen, da der Name in der Legaldefinition sogar ausdrücklich erwähnt wird. Art. 4 Nr. 1 DS-GVO benennt beispielhaft Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, der Name wird im Rahmen der alternativen Aufzählung an erster Stelle aufgeführt.

Nach der Definition sind „personenbezogene Daten" alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann. Der Begriff der "personenbezogenen Daten" nach Art. 4 DS-GVO ist damit weit gefasst und umfasst nach der Legaldefinition alle Informationen, die sich auf eine identifizierbare natürliche Person beziehen.

Unter die Vorschrift fallen damit neben Identifikationsmerkmalen und äußeren Merkmalen auch sachliche Informationen wie etwa Vermögens- und Eigentumsverhältnisse, Kommunikations- und Vertragsbeziehungen und alle sonstigen Beziehungen der betroffenen Person zu Dritten und ihrer Umwelt (Klar/Kühling in Kühling/Buchner, DS-GVO/BDSG, Art. 4 DS-GVO Rn. 8; Ernst in: Paal/Pauly, DS-GVO/BDSG, Auflage 2021, Art. 4 Rn. 14; OLG Köln, Urteil vom 26. Juli 2019 - I-20 U 75/18 -, Rn. 304, juris).

Die hier offenbarten Informationen, nämlich der Nachname des Klägers und sein der Anrede zu entnehmendes Geschlecht, sowie die aus der Nachricht herauslesbaren Angaben, insbesondere die Tatsache eines laufenden Bewerbungsprozesses bei der Beklagten, stellen persönliche Informationen dar. Auch die Gehaltsvorstellung des Klägers, die sich aus der angegebenen Gehaltsobergrenze der Beklagten rückschließen lässt, stellt eine sachliche Information dar. Dabei kann die Angabe „80k + variable Vergütung" nicht mit Angaben in einer Stellenanzeige gleichgesetzt werden, wie es die Berufung meint. Eine dahingehende Interpretation lässt den Kontext der Nachricht außer Acht. Dort wird ausdrücklich erwähnt, dass die Gehaltsvorstellungen des Klägers nicht erfüllt werden können und im Anschluss äußert die Beklagte ihrerseits eine Gehaltsobergrenze. Aus diesen beiden Angaben lassen sich Rückschlüsse auf die Gehaltsvorstellungen des Klägers ziehen.

Auch die Identifizierbarkeit ist zu bejahen. Dies gilt auch dann, wenn der Nachname häufig vorkommen sollte. Sofern die Beklagte einwendet, das Landgericht habe die Anlage B 3 und die darin aufgeführten weiteren Nutzer der Plattform Xing mit gleichem Nachnamen nicht hinreichend gewürdigt, verhilft dies der Berufung nicht zum Erfolg. Insoweit kann als zutreffend unterstellt werden, dass auf der Plattform Xing mehrere Personen den Nachnamen des Klägers tragen, dies hindert jedoch die Identifizierbarkeit nicht. Es ist insbesondere nicht erforderlich, dass sich alle zur Identifizierung der betreffenden Person erforderlichen Informationen in den Händen einer einzigen Person befinden (vgl. EuGH, Urteil vom 20. Dezember 2017 - Rs. C- 434/16, NJW 2018, 767, Nowak). Der Nachname ist ein gängiges Identifikationsmerkmal, es ist nicht erforderlich, dass die Identifikation „zweifelsfrei" ermöglicht wird, eine dahingehende Voraussetzung, die die Beklagte postulieren will, besteht nicht, da eine solche Einschränkung dem Text der Verordnung nicht zu entnehmen ist. Zudem ist es vorliegend dem Dritten unmittelbar gelungen, den Kläger zu identifizieren, da er sich nach Erhalt der Nachricht direkt an diesen gewandt hat. Auf die Frage, ob dem Adressaten der Nachricht die Identifikation des Klägers aufgrund der übermittelten Angaben möglich war, oder ob er, wie es die Berufung meint, auf dessen Antwort angewiesen war, kommt es für die Qualifikation als „personenbezogene Daten" i.S. d. Art. 4 Nr. 1 DS-GVO nicht an (zu Namensangaben: BGH, Urteil vom Oktober 2021 - VI ZR 489/19 -, Rn. 26, juris; zu Name, Geschlecht, Religion und Sprache: EuGH, Urteil vom 17.07.2014 - Rs. C-141/12, Rs. C-372/12, CR 2015, 103, 104).

Die Versendung einer Nachricht, fällt, sofern sie - wie hier - personenbezogene Daten enthält, in den sachlichen Anwendungsbereich der Datenschutz Grundverordnung (Art. 2 Abs. 1 DS-GVO).

Die Beklagte ist verantwortliche Stelle für die Verarbeitung von Daten und damit "Verantwortlicher" im Sinne von Art. 4 Nr. 7 DS-GVO (Ernst in: Paal/Pauly, a.a.O., Art. 4 Rn. 55).

Indem die Beklagte die Daten im Rahmen des Bewerbungsverfahrens erhebt, erfasst, ordnet, speichert und gegenüber Dritten offenlegt, "verarbeitet" sie diese Daten im Sinne von Art. 4 Nr. 2 DS-GVO. Danach ist eine „Verarbeitung" jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

Die Übermittlung der Nachricht mit den enthaltenen personenbezogenen Daten des Klägers an einen unbeteiligten Dritten stellt eine Verarbeitung seiner Daten in Form der beispielhaft genannten „Offenlegung durch Übermittlung" dar.

Die Berufung wendet ein, es handele sich vorliegend nicht um eine Verarbeitung, da mit dem versehentlichen „Klick", mit dem die Nachricht an den falschen Empfänger geschickt wurde, eine manuelle Handlung vorgenommen worden sei. Ein solches manuelles Verklicken stelle bereits keinen „Vorgang" im Sinne des Art. 4 Nr. 2 DS-GVO dar. Dies ist abzulehnen, da die Legaldefinition auch Vorgänge ohne Hilfe automatisierter Verfahren benennt und damit das manuelle Handeln ausdrücklich einschließt.

Auch die Versendung an einen zufälligen Adressaten schadet dabei nicht. Insoweit hat der Europäische Gerichtshof mit Urteil vom 25.11.2021 zu Inbox-Werbung klargestellt, dass eine „Verwendung elektronischer Post für die Zwecke der Direktwerbung" im Sinne der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) darstellt, ohne dass die Bestimmung der Empfänger dieser Nachrichten nach dem Zufallsprinzip von Bedeutung ist (EuGH, Urteil vom 25. November 2021 - C-102/20 -, juris). Dies gilt für die hier maßgebliche Nachricht in gleicher Weise.

Die Verarbeitung der personenbezogenen Daten des Klägers durch Versendung an einen in das Bewerbungsverfahren nicht eingebundenen Dritten war unrechtmäßig und insbesondere nicht von einer Einwilligung des Klägers erfasst. Durch den Umstand des Bewerbungsverfahrens hat der Kläger weder in die Verarbeitung seiner personenbezogenen Daten durch Offenlegung gegenüber Dritten gemäß Art. 6 Abs. a) DS-GVO eingewilligt noch sind die in Art. 6 b) bis f) genannten Voraussetzungen, etwa die Notwendigkeit der Weitergabe im Bewerbungsverfahren, diesbezüglich gegeben.

Auch die für eine Begründetheit des Unterlassungsanspruchs erforderliche Wiederholungsgefahr ist gegeben. Im Umfang des vorliegenden Datenschutzverstoßes besteht insofern eine tatsächliche Vermutung (Grüneberg/Herrler, BGB 81. Aufl., § 1004, Rn. 32), welche die Beklagte nicht widerlegt hat. Denn insofern vertritt sie weiterhin die Auffassung, dass es sich nicht um einen Datenschutzverstoß handelte, keine persönlichen Daten offenbart wurden und eine Unterlassungserklärung im Umfang des Klageantrages von ihr nicht geschuldet ist (ebenso: OLG Dresden, Urteil vom 14. Dezember 2021 - 4 U 1278/21 -, Rn. 47, juris).

Soweit der Klageantrag auch Daten erfasst, die nicht Gegenstand der Nachricht vom 23.10.2018 waren, ergibt sich die insofern erforderliche Erstbegehungsgefahr aus dem unstreitigen bzw. bewiesenen Sachverhalt. Denn die Beklagte beruft sich auf ein fahrlässiges „Verklicken" einer Mitarbeiterin im Rahmen der Kommunikation über Xing. Eine bewusste Auswahl hinsichtlich der weitergegebenen Daten erfolgte hierbei nicht, da die Weiterleitung an Herrn A ja unbeabsichtigt geschah und die Mitarbeiterin, Frau D, meinte, die Nachricht an den Kläger zu senden, was datenschutzrechtlich unbedenklich gewesen wäre. Solange die Beklagte nichts unternimmt, Fehler dieser Art künftig zu vermeiden, besteht daher die Gefahr entsprechender Datenschutzverstöße. Soweit hierbei andere von dem Kläger über Xing mitgeteilte Daten betroffen sind, besteht eine erstmals ernsthaft drohende Beeinträchtigung, was für eine Unterlassungsanspruch ausreichend ist (Grüneberg/Herrler, a.a.O.).

Mangels hinreichender Unterlassungserklärung, der es im Regelfall zur Widerlegung der Wiederholungs- bzw. der Erstbegehungsgefahr bedarf (OLG München, Urteil vom 19.1.2021 - 18 U 7243/19, Rn. 63 juris), besteht diese fort. Zwar lässt eine (ordnungsgemäße) Unterlassungsverpflichtungserklärung auch ohne Annahme durch den Gläubiger die Wiederholungsgefahr grundsätzlich entfallen; hierzu muss die Erklärung den Unterlassungsanspruch nach Inhalt und Umfang aber voll abdecken (BGH, Urteil vom 21.6.2005. VI ZR 122/04, Rn. 6, juris m.w.N.). Dies ist jedoch nicht der Fall, denn die strafbewehrte Unterlassungserklärung vom 4.3.2019 (Anlage K 5, Bl. 29 d.A.) beschränkte sich auf den genauen Wortlaut der streitgegenständlichen Nachricht. Vor neuen Verletzungshandlungen schützt sie daher nicht in ausreichender Weise.

Der Kläger muss nämlich insgesamt vor der rechtswidrigen Weitergabe seiner personenbezogenen Daten geschützt werden. Diese Gefahr besteht nicht nur im Hinblick auf die konkrete Nachricht, sondern auch hinsichtlich der Weitergabe seiner Angaben an Dritte in vergleichbarer Weise. Da die Begrenzung der Unterlassungserklärung auf den konkreten Wortlaut der Nachricht zu eng gefasst ist, ist die Berufung hinsichtlich des Unterlassungsanspruchs unbegründet.

Dass der konkrete Verstoß mit gleichem Wortlaut erneut erfolgen könnte, liegt angesichts der Individualität der Nachricht fern. Vergleichbare Verstöße hingegen, die bei nicht ausreichend sorgsamen Umgang mit persönlichen Daten drohen könnten, sind nicht ausgeschlossen. Sofern die Berufung einwendet, eine Wiederholung sei ausgeschlossen, da es sich um ein Augenblicksversagen einer Mitarbeiterin gehandelt habe, ist dies für die Bewertung der Wiederholungsgefahr nach Auffassung des Senats nicht der entscheidende Gesichtspunkt. Es obliegt der Beklagten als Verantwortliche für die von ihr verarbeiteten personenbezogenen Daten, ihre Mitarbeiter im Umgang ausreichend zu schulen (so auch: Golland, DSB 2020, 286-288; Gündel, Grundeigentum 2021, 1109-1111) sowie ggf. durch technische Maßnahmen vorhersehbare Fehlanwendungen zu vermeiden.

Insoweit hat das Landgericht richtigerweise Beweis erhoben durch Vernehmung des Zeugen E zu den seitens der Beklagten im Zusammenhang mit dem Rechtsverstoß ergriffenen Maßnahmen. Es ist dabei zu der Überzeugung gelangt, dass keine Schulungsmaßnahmen oder anderweitige Vorkehrungen von der Beklagten hinsichtlich der betreffenden Mitarbeiterin oder deren Kollegen veranlasst worden sind, die mit der notwendigen Sicherheit etwaige künftige Rechtsverstöße vermeiden und damit die Vermutung widerlegen könnten. Das Landgericht hat festgestellt, dass der Zeuge nicht bestätigen konnte, dass alle relevanten Mitarbeiter hinsichtlich des Umgangs mit personenbezogenen Daten geschult worden seien. Zwischen der streitgegenständlichen Nachricht und der Benachrichtigung des Zeugen lag ein Zeitraum von mehr als sechs Wochen, so dass auch eine unverzügliche Reaktion auf den Datenschutzverstoß seitens der Beklagten nicht festgestellt werden konnte. Zudem hat die Beweisaufnahme ergeben, dass neue Mitarbeiter der Beklagten nicht im Hinblick auf die Problematik geschult werden, sondern lediglich eine Erklärung abgeben müssen, dass sie die Datenschutzbestimmungen einhalten werden.

Der Senat teilt die Einschätzung des Landgerichts, wonach diese Maßnahmen nicht ausreichen, um eine Wiederholungsgefahr auszuschließen. Denkbar wären Schulungsmaßnahmen zwecks Sensibilisierung der Mitarbeiter hinsichtlich konkreter Fehlerquellen oder die Vorgabe anderer Kommunikationswege als die direkt über das Portal Xing zugeleitete Nachricht, die ein hohes Risiko der Falschadressierung birgt. Die Berufung greift die Feststellungen des Landgerichts zum Ergebnis der durchgeführten Beweisaufnahme nicht an.

Die Wiederholungsgefahr entfällt schließlich auch nicht teilweise im Umfang der abgegebenen Erklärung. Zwar sind - im Falle einer sachlich teilbaren Wiederholungsgefahr - Teilunterwerfungserklärungserklärungen möglich (BGH, Urteil vom 21.6.2005, a.a.O). Dies ist vorliegend jedoch nicht in relevanter Weise gegeben. Denn ein nochmaliges Versenden der gleichen Nachricht, was allein Gegenstand der abgegebenen Unterlassungserklärung ist, steht nicht in Rede. Zwar sind Unterlassungserklärungen der Auslegung zugänglich. Eine Auslegung dahingehend, dass die Beklagte sich strafbewehrt zur Unterlassung jeder künftigen Verletzung der in der Nachricht vom 23.10.2018 gegenständlichen Daten (Nachname, Geschlecht, Umstand der Bewerbung, Gehaltsvorstellung) verpflichtet hat, lässt sich dieser aufgrund des ausdrücklich eng beschränkten Wortlauts jedoch nicht entnehmen. Hiergegen spricht zudem die von der Beklagten nach wie vor vertretenen Auffassung, es liege überhaupt kein Datenschutzverstoß vor und sie dürfe die genannten Daten daher weiterverarbeiten.

Die Geltendmachung des Anspruchs innerhalb eines angemessenen Zeitraums nach dem Verstoß ist nicht zu beanstanden. Das Abwarten des Bewerbungsprozesses ist nicht rechtsmissbräuchlich. Der Anspruchsinhaber darf die Durchsetzung seines Rechts zunächst zurückstellen, ohne dass die sich anschließende Geltendmachung als missbräuchlich darstellt. Die Enttäuschung über die Nichtberücksichtigung im Bewerbungsverfahren mag für die Geltendmachung des Unterlassungsanspruchs mitursächlich sein, den Einwand des Rechtsmissbrauchs vermag sie nicht auszulösen.

Im Hinblick auf den zugesprochenen Schadenersatzanspruch hat die Berufung der Beklagten Erfolg, zugleich ist der Anschlussberufung des Klägers der Erfolg zu versagen, da die Zahlungsklage unbegründet ist.

Dem Kläger steht kein Anspruch aus Art. 82 DS-GVO gegen die Beklagte auf Ersatz des von ihm geltend gemachten immateriellen Schadens im Zusammenhang mit der rechtswidrigen Datenverarbeitung zu.

Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde, Art. 82 Abs. 2 Satz 1 DSGVO. Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist, Art. 82 Abs. 3 DSGVO.

Die Voraussetzungen für einen Geldentschädigungsanspruch in Bezug auf einen dem Kläger zugefügten immateriellen Schaden liegen nach Auffassung des Senats nicht vor, da es jedenfalls an der Darlegung des Eintritts eines Schadens bei dem Kläger fehlt.

Zwar liegt, wie ausgeführt, ein Verstoß durch Übermittlung von personenbezogenen Daten an einen unbeteiligten Dritten vor. Zudem ist das Landgericht auch richtigerweise zusätzlich von einem Verstoß gegen Art. 34 Abs. 1 DS-GVO ausgegangen und hat ein durch die Verletzung des Schutzes personenbezogener Daten voraussichtlich hohes Risiko für die persönlichen Rechte und Freiheiten angenommen. Die Information des Klägers über den Datenschutzverstoß erfolgte nicht unverzüglich, sondern erst auf dessen Nachfrage.

Die Frage, ob bereits der Datenschutzverstoß als solcher für das Entstehen eines Schadensersatzanspruchs ausreicht oder es darüber hinaus der Darlegung und des Nachweises eines konkreten (auch: immateriellen) Schadens bedarf, ist in Rechtsprechung und Literatur umstritten (für ein Ausreichen des Eingriffs in das allgemeine Persönlichkeitsrecht: z.B. OLG München, Urteil vom 4.2.2019 - 15 U 3688/18 -, juris, Rn. 19 ff., Ehmann/Selmayr/Nemitz, Datenschutz-Grundverordnung, 2. Aufl., Art. 82 DS-GVO Rn. 11-13; für das Erfordernis eines nachgewiesenen Schadens z.B. LAG Baden-Württemberg, Urt. v. 25.02.2021, 17 Sa 37/20, zit. nach juris, Rn. 96, LG Karlsruhe, Urt. v. 02.08.2019, 8 O 26/19, zit. nach juris, Rn. 19, Ernst, juris PR-ITR 1/2021 Anm. 6 in einer Anmerkung zu dem vorliegend angefochtenen Urteil des Landgerichts Darmstadt v. 26.05.2020, 13 O 244/19, m.w.N.). Insbesondere von den Verfechtern eines Anspruchs ohne Nachweis eines konkreten Schadens wird zudem vertreten, dass die Beeinträchtigung über eine bloße Bagatellverletzung hinausgehen muss (vgl. hierzu die Quellenangaben bei Ernst, a.a.O.).

Sowohl der österreichische Oberste Gerichtshof (Vorabentscheidungsersuchen vom 12.05.2021, ZD 2021, S. 631, wobei der Gerichtshof die Auffassung vertritt, es sei der Nachweis eines Schadens erforderlich) als auch das Bundesarbeitsgericht (Vorabentscheidungsersuchen vom 26.08.2021, 8 AZR 253/20-A, wobei das BAG den Nachweis eines Schadens nicht für notwendig hält) haben die hiermit zusammenhängenden Fragen dem Europäischen Gerichtshof zur Vorabentscheidung vorgelegt.

Der Senat folgt im Ergebnis der Auffassung, wonach über den festgestellten Verstoß gegen die Vorschriften des DS-GVO hinaus Voraussetzung für eine Entschädigung in Geld der Nachweis eines konkreten (auch immateriellen) Schadens ist. Hierfür spricht zunächst bereits der Wortlaut von Art. 82 Abs. 1 DS-GVO, der über den Verstoß hinaus ausdrücklich die Entstehung eins Schadens („...Schaden entstanden ist") voraussetzt (Eichelberger, WRP 2021, 159-167; Wybitul/Brams, ZD 2020, 644-646). Hätte der Verordnungsgeber eine nur an den Rechtsverstoß anknüpfende, vom Nachweis eines konkreten Schadens unabhängige Zahlungspflicht anordnen wollen, hätte es demgegenüber nahegelegen, dies - wie z.B. im Luftverkehrsrecht gem. Art. 7 Abs. 1 FluggastrechteVO (EG) 261/2004 - durch Pauschalen zu regeln (Eichelberger, aaO. Rn. 24). In dem Erwägungsgrund 146 S. 3 zu der DS-GVO heißt es zwar, dass der Begriff des Schadens im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden soll, die den Zielen der Verordnung in vollem Umfang entspricht. Der Anspruch soll nach Erwägungsgrund 146 S. 6 sicherstellen, dass die betroffenen Personen einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten. Das schließt ein, dass Schadensersatzforderungen abschrecken und weitere Verstöße unattraktiv machen sollen. Der Begriff des Schadens in Art. 82 DSGVO ist autonom auszulegen, mithin kommt es nicht darauf an, ob ein bestimmter Schaden nach nationalem Recht als Schaden angesehen werden könnte (Bergt in: Kühling/Buchner, DS-GVO BDSG, 3. Aufl. 2020, Art. 82 Rn. 17; vgl. in diesem Zusammenhang auch: BVerfG 14.1.2021 - 1 BvR 2853/19 - Rn. 20, juris).

Auch hiernach ist der Schaden jedoch nicht mit der zugrundeliegenden Rechtsgutsverletzung gleichzusetzen. Denn ausdrücklich muss der Schaden „erlitten" werden, woraus folgt, dass dieser tatsächlich entstanden sein muss und nicht lediglich befürchtet wird (LAG Baden-Württemberg, Urte. v. 25.02.2021, 17 Sa 37/20, zit. nach juris, Rn. 96 unter Bezug auf Frenzel in: Paal/Pauly, a.a.O., Art. 82, Rn. 10 und Klein GRUR-Prax 2020, 433). Der bloße Verstoß gegen Bestimmungen der DS-GVO reicht daher nicht aus.

Hinzu kommt schließlich, dass weder Art. 82 DS-GVO noch dessen Erwägungsgründe einen Hinweis darauf enthalten, dass geringfügige (Bagatellschäden) nicht auszugleichen wären; vielmehr sieht Erwägungsgrund 148 Satz 2 vor, dass lediglich ausnahmsweise bei geringfügigen Verstößen auf die Verhängung einer Geldbuße verzichtet werden kann (LAG Baden-Württemberg, a.a.O. m.w.N.).

Das Erfordernis des Nachweises eines tatsächlich erlittenen Schadens ist daher auch der Sache nach erforderlich, um ein vom Verordnungsgeber nicht gewolltes Ausufern von Schadensersatzforderungen in allen Fällen eines - tatsächlich für den Betroffenen folgenlosen - Datenschutzverstoßes zu vermeiden (so insbesondere auch Ernst, a.a.O.).

Das Vorliegen eines konkreten -immateriellen- Schadens, wozu auch Ängste, Stress sowie Komfort- und Zeiteinbußen zählen (Bergt in: Kühling/Buchner, DS- GVO BDSG, 3. Auflage 2020, Rn. 18 b), hat der Kläger nicht dargetan. Der Vortrag in seinem auf einen entsprechenden Hinweis des Senats eingereichten Schriftsatz vom 11.1.2022 (Bl. 326 ff. d. A.) erschöpft sich in der - erneuten- Darlegung des Datenschutzverstoßes. Insofern führt der Kläger an, dass der Schaden nicht in dem bloßen, abstrakten Kontrollverlust über die offenbarten Daten, sondern in der Tatsache liege, dass nunmehr mindestens eine weitere Person, die den Kläger und potentielle wie ehemalige Arbeitgeber kenne, über Umstände Kenntnis habe, die der Diskretion unterlägen. Zudem empfinde der Kläger das „Unterliegen" in den Gehaltsverhandlungen als Schmach, die er nicht an Dritte - vor allem nicht an potentiellen Konkurrenten - weitergegeben hätte.

Nähere Ausführungen zu einem Schaden erfolgen klägerseits nicht. Selbst bei Unterstellung einer „Schmach", vermag der Senat diese nicht als einen immateriellen Schaden zu bewerten. Denn der Kläger hat schon nicht mitgeteilt, welche Größenordnung des Gehaltsrahmens angestrebt, ob die angebotene Summe, die durch variable Anteile ohnehin nicht die Obergrenze bildete und im noch laufenden Bewerbungsverfahren vorläufig war, mit einer Diskreditierung verbunden war.

Dem Kläger steht ein Anspruch auf Erstattung vorgerichtlicher Rechtsanwaltskosten aus dem Gegenstandswert der berechtigt geltend gemachten Unterlassungsansprüche und damit aus der Gebührenstufe bis 15.000,- € zu. Die Hinzuziehung eines Rechtsanwalts war notwendig, da es sich um schwierige Rechtsfragen handelt, für deren Klärung eine anwaltliche Beratung erforderlich ist. Der Anspruch beläuft sich gemäß §§ 2 Abs. 2, 13 RVG Nr. 2300 VV RVG auf 1.029,35 €. Da die Anschlussberufung den erstinstanzlich zuerkannten Betrag von 1.025,55 € nicht angreift, hat es bei diesem zu verbleiben.

Entgegen der Ansicht der Beklagten ist der Senat nicht gehalten, das vorliegende Verfahren auszusetzen und die Sache dem EuGH zur Vorabentscheidung nach Art. 267 Abs. 2, 1 AEUV über die Auslegung von Art. 15 DS-GVO vorzulegen.

Die hier maßgeblichen Rechtsfragen liegen dem EuGH bereits in anhängigen Verfahren (BAG, EuGH-Vorlage vom 26. August 2021 - 8 AZR 253/20 (A) -, Rn. 33, juris; Vorabentscheidungsersuchen des Obersten Gerichtshofs (Österreich) eingereicht am 12. Mai 2021 - juris) vor. Zudem besteht eine Pflicht zur Vorlage nach Art. 267 Abs. 3 AEUV im vorliegenden Verfahren schon deshalb nicht, weil das vorliegende Urteil hier nicht als Entscheidung eines Gerichts ergeht, dessen Entscheidungen selbst im Sinne von Art. 267 Abs. 3 AEUV nicht mehr mit Rechtsmitteln des innerstaatlichen Rechts angefochten werden können. Dem Kläger steht es infolge der diesbezüglich zuzulassenden Revision - dazu unten - frei, die Entscheidung durch den Bundesgerichtshof überprüfen zu lassen (s. OLG Köln, Urteil vom 26. Juli 2019 - I-20 U 75/18 -, Rn. 328, juris).


Den Volltext der Entscheidung finden Sie hier:





OLG Dresden: Löschungsanspruch aus Art. 17 DSGVO schließt Anspruch auf Unterlassung der Verarbeitung personenbezogener Daten gemäß §§ 823, 1004 BGB nicht aus

OLG Dresden
Urteil vom 14.12.2021
4 U 1278/21


Das OLG Dresden hat entschieden, dass der Löschungsanspruch aus Art. 17 DSGVO einen Anspruch auf Unterlassung der Verarbeitung personenbezogener Daten gemäß §§ 823, 1004 BGB nicht ausschließt.

Aus den Entscheidungsgründen:
"Es handelt sich hierbei um personenbezogene Daten im Sinne des Art. 4 Nr. 1 DSGVO, mit denen der Kläger als natürliche Person identifiziert werden kann. Dem steht hier nicht entgegen, dass es neben dem Kläger mit dem tatsächlichen Schuldner eine Person gibt, die denselben Namen trägt. Zu Unrecht meinen die Beklagten, ein Löschungsanspruch sei bereits deswegen ausgeschlossen, weil der Name nicht dem Kläger allein „gehöre“, sondern mehrere Personen des gleichen Namens existierten. Der Name gehört unbeschadet dessen nach Art. 4 DSGVO zu den personenbezogenen Daten, sofern eine Person hierüber sicher identifiziert werden kann. Bei Namensgleichheit mehrerer Personen wird der Personenbezug ggf. über weitere Zusatzinformationen hergestellt, die eine konkrete Verbindung zu einer der von einer Namensgleichheit betroffenen Personen begründen (vgl. Karg in: Simitis/Hornung/Spiecker (Hrsg.), Datenschutzrecht, 2019, Art. 4 Nr.1, a.a.O. Rn 51). Eine solche Verbindung liegt vor, wenn die Person entweder direkt über die Information identifiziert wird oder durch Hinzuziehung weiterer Informationen oder Zwischenschritte jedenfalls identifizierbar ist (vgl. Karg in Simitis/Hornung/Spiecker (Hrsg.), Datenschutzrecht, 2019, Art. 4 Nr. 1, Rn. 46). So liegen die Dinge hier. Unstreitig ist bei beiden Beklagten nämlich nicht lediglich der Name des Klägers hinterlegt, sondern zusätzlich dessen Geburtsdatum und Wohnanschrift, mag auch letztere bei der Beklagten zu 2) mit einem Sperrvermerk versehen sein. Es kann dahinstehen, ob diese Daten in der IT der Beklagten konkret miteinander schon so verbunden sind, dass der Kläger hierüber eindeutig identifizierbar ist, weil eine solche Zusammenstellung jedenfalls im Bedarfsfall unschwer bewerkstelligt werden könnte. Dass hiergegen aufgrund der Ausgestaltung ihrer jeweiligen Datenbanksoftware Vorkehrungen getroffen worden wären, die eine solche Zuordnung und damit die konkrete Identifizierung des Klägers ausschließen, haben die Beklagten nicht behauptet und unter Beweis gestellt. Sind damit die über den Kläger gespeicherten Daten trotz der Namensidentität mit dem tatsächlichen Schuldner infolge dieser Verknüpfungsmöglichkeit personenbezogene Daten des Klägers, obliegt es den Beklagten entweder, diese Daten für sich genommen zu löschen oder durch Schutzvorkehrungen sicherzustellen, dass eine Verknüpfung, die eindeutig auf den Kläger hinweist, zukünftig ausgeschlossen ist. Dabei hat der Kläger nur einen Anspruch darauf, dass dies geschieht, nicht jedoch in welcher Weise die Beklagten hierbei vorgehen müssen. Ebenso wie im Bereich der negatorischen und quasinegatorischen Ansprüche aus § 1004 BGB, bei denen die Entscheidung, mit welchen Mitteln die Beeinträchtigung zu beseitigen ist, dem Störer überlassen bleibt und bei denen das Gericht regelmäßig davon absieht, bestimmte Maßnahmen anzuordnen (vgl. statt aller BGH, Urteil vom 14. Dezember 2017 – I ZR 184/15 –, juris; Ebbing in: Erman, BGB, 16. Aufl. 2020, § 1004 BGB, Rn. 6), hat nämlich auch der Schuldner eines Löschungsanspruchs nach Art. 17 DSGVO die Wahl, wie er eine aus der Zusammenstellung von Einzelinformationen resultierende Verletzung der Schutzrechte des Betroffenen abstellt.

b) Entgegen der Auffassung der Beklagten erfolgt die Verarbeitung der Daten des Klägers auch nicht rechtmäßig gemäß Art. 17 Abs. 1d i.V.m. Art. 6 DSGVO.

aa) Der Kläger hat seine Einwilligung zur Verarbeitung seiner personenbezogenen Daten nicht erteilt, Art. 7, 6 Abs. 1a) DSGVO.

bb) Die Voraussetzungen von Art. 6 Abs. 1b) DSGVO sind nicht erfüllt. Danach liegt Rechtmäßigkeit vor, wenn die Verarbeitung für die Erfüllung eines Vertrages, dessen 8 Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist, die auf Anfrage der betroffenen Person erfolgte. Der Kläger ist jedoch weder Vertragspartner der K...... Bank noch der Beklagten. Ob den Beklagten im Rahmen ihres Auftragsverhältnisses mit der K...... Bank oder untereinander die Daten zur Erfüllung der jeweiligen Verträge übermittelt wurden, ist unerheblich. Denn nach dem Wortlaut der Vorschrift kommt es auf die vertraglichen Beziehungen mit der betroffenen Person - dem Kläger - an.

cc) Die Beklagten können sich auch nicht mit Erfolg auf Art. 6 1c) DSGVO i.V.m. § 147 AO berufen, denn die Löschung steht den Aufbewahrungspflichten nicht entgegen.

Nach dieser Regelung ist die Verarbeitung rechtmäßig, wenn sie zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche unterliegt. Dabei muss es sich um eine gesetzliche Pflicht handeln (vgl. Roßnagel in Simitis/Hornung/Spiecker [Herausgeber] in Datenschutzrecht, 2019, Art. 6 Abs. 1 Rn. 51). Die Datenverarbeitung kann erforderlich sein, um Dokumentationspflichten z. B. nach § 147 AO zu erfüllen (vgl. Roßnagel a.a.O., Rn 54). Die Erlaubnis zur Datenverarbeitung ist auf die Erfüllung der jeweiligen gesetzlichen Pflicht beschränkt (vgl. Roßnagel a.a.O.). Von der Aufbewahrungspflicht erfasst sind die gesamte, den betrieblichen Bereich des Kaufmanns betreffende Korrespondenz, soweit sie sich auf die Vorbereitung, Durchführung oder Rückgängigmachung eines Handelsgeschäftes bezieht, also z. B. Aufträge, Auftragsbestätigungen, Lieferscheine, Frachtbriefe oder Rechnungen (vgl. Mues in Gosch, Kommentar zur Abgabenordnung, Stand 01.04.2021, § 147 B Rn. 13 - juris). Auf die Form der Korrespondenz kommt es nicht an, so dass Briefe im Sinne der Vorschrift auch Telefaxe, Telegramme, E-Mails und auch andere durch Datenübertragung übersendete Nachrichten sind (vgl. Mues a.a.O.). Die gesetzlichen Aufbewahrungspflichten gemäß § 147 AO werden von der Löschungspflicht aber nicht berührt. Die Beklagten sind nicht verpflichtet die geschäftliche Korrespondenz zu löschen. Ihre Löschungspflicht beschränkt sich auf den Namen, die Anschrift und das Geburtsdatum des Klägers, und damit auf die Daten, mit denen er eindeutig identifiziert werden kann. Enthalten elektronisch gespeicherte Datenbestände nicht aufzeichnungs- und aufbewahrungspflichtige, personenbezogene oder dem Berufsgeheimnis unterliegende Daten, so obliegt es dem Steuerpflichtigen, die Datenbestände so zu organisieren, dass der Prüfer nur auf die aufzeichnungspflichtige - und aufbewahrungspflichtige Daten zugreifen kann. Dies kann z. B. durch geeignete Zugriffsbeschränkungen oder „digitales Schwärzen“ der zu schützenden Information erfolgen (vgl. Bundesministerium der Finanzen: Grundsätze zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff vom 28.11.2019, Rn 172 - juris). Auf der geschäftlichen Korrespondenz können die Daten, die eine Identifizierung seiner Person erlauben, geschwärzt werden.

dd) Die Rechtmäßigkeit der Verarbeitung ergibt sich auch nicht aus Art. 6 Abs. 1f) DSGVO, denn im Rahmen der Abwägung überwiegen die Interessen des Klägers.

Nach dieser Regelung ist die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen. Der Begriff der berechtigten Interessen ist weit zu verstehen. Er umfasst sowohl rechtliche als auch wirtschaftliche und ideelle Interessen (vgl. Schantz in Simitis/Hornung/Spiecker [Herausgeber] in Datenschutzrecht, 2019, Art. 6 Abs. 1 Rn. 98). Zu den berechtigten Interessen der Beklagten zu 2) gehört das Interesse an einer möglichst hohen Effektivität der Inkassodienstleistung, also an einem möglichst effizienten Forderungsmanagement (vgl. AG Hamburg - St. Georg, Urteil vom 25.08.2020 - 912 C 145/20, Rn. 37 - juris). Die Forderungsausfälle der Gläubiger sollen so gering wie möglich gehalten werden, die notwendige Liquidität der Wirtschaftsunternehmen gewahrt und der erstattungspflichtige Schuldner so wenig wie möglich mit weiteren Kosten belastet werden (so AG Hamburg - St. Georg, a.a.O.). Im Hinblick darauf hat die Beklagte zu 2) ein Interesse daran, bei der Ermittlung des Wohnortes des Schuldners nicht erneut den Kläger zu ermitteln und diesen anzuschreiben, um erst nach Inanspruchnahme des Klägers erneut festzustellen, dass dieser nicht der richtige Schuldner ist. Dies entspricht auch dem Interesse der Beklagten zu 1), die von der Beklagten zu 2) mit einer Einwohnermeldeanfrage betraut worden ist. Auch bei ihr besteht die Gefahr, dass ihr mit den von der Auftraggeberin - der K...... Bank - mitgeteilten Kontaktdaten, die Adresse des Klägers ermittelt wird. Die Speicherung der Daten des Klägers verhindert seine erneute Inanspruchnahme. Zwingend für die Forderungseintreibung ist dies jedoch nicht. Auch ohne eine solche Speicherung bleibt die Forderungseintreibung möglich (ebenso AG Hamburg - St. Georg a.a.O.). Zwar wird der Kläger damit dem Risiko unterworfen, in der Zukunft erneut unberechtigterweise in Anspruch genommen zu werden. Diesem Risiko hat er sich aber selbst ausgesetzt, indem er die Löschung der Daten verlangt hat. Dies ist von ihm hinzunehmen (ebenso AG Hamburg - St. Georg a.a.O.).

Die Interessen des Klägers an seinem Recht zur informationellen Selbstbestimmung überwiegen im vorliegenden Fall. Bereits durch die Verarbeitung seiner Daten ohne seine Einwilligung werden seine Grundrechte aus Art. 7, 8 GRCh betroffen. Seine Daten werden bei einem Inkassounternehmen, wie der Beklagten zu 2), und einem Unternehmen, das sich mit Einwohnermeldeanfragen befasst, wie der Beklagten zu 1) gespeichert, ohne dass dies durch eine Forderungseintreibung veranlasst wäre. Die Speicherung der Daten des Klägers beruht auf der Namensidentität mit seinem Sohn und der damit verbundenen Verwechselung mit dem Schuldner. Zwar ist entgegen der Darlegung des Klägers ein Schufa-Eintrag nicht erfolgt, denn ausweislich des vorgelegten Schreibens der Schufa vom 17.04.2020 (Anlage K9) liegen dort nur positive Vertragsinformationen zu ihm vor. Gleichwohl ist es in Zukunft nicht auszuschließen, dass auf Anfrage bei den Beklagten die Daten des Klägers weiterverbreitet werden und den unzutreffenden Eindruck erwecken, ein Inkassounternehmen sei mit der Eintreibung einer Forderung gegen ihn oder mit der Ermittlung seiner Wohnanschrift beauftragt worden, was gegen seine Bonität spricht. Im Hinblick auf den hohen Wert, den die Charta der Grundrechte der Europäischen Union dem Schutz der personenbezogenen Daten in Art. 8 GRCh und damit dem Recht auf informationelle Selbstbestimmung beimisst, hat das Interesse der Beklagten an einer einfachen Beitreibung von Schulden ohne Fehlermittlungen von Anschriften zurückzustehen.

c) Der Anspruch auf Löschung entfällt auch nicht gemäß Art. 17 Abs. 3 b) DSGVO. Wie bereits unter Ziffer cc) ausgeführt steht die rechtliche Verpflichtung zur Aufbewahrung von Geschäftsunterlagen nach § 147 AO dem Löschungsanspruch nicht entgegen.

2. Dem Kläger steht ein Anspruch gegen die Beklagten auf Unterlassung der Verarbeitung seiner personenbezogenen Daten insoweit zu, als er als Schuldner der Forderung aus dem Vollstreckungsbescheid des Amtsgerichtes Hagen vom 21.12.2015 geführt wird, §§ 823, 1004 BGB.

Die Geltendmachung eines Anspruchs auf Unterlassung aus §§ 823 Abs. 1 i.V.m. 1004 BGB ist neben den Rechten aus der Datenschutzgrundverordnung möglich, da nur so ein lückenloser Schutz hinsichtlich der Verarbeitung personenbezogener Daten von natürlichen Personen gewährleistet werden kann, die wiederum in das Persönlichkeitsrecht des Betroffenen gemäß Art. 1, 2 GG rechtswidrig eingreift, auch wenn ein solcher Anspruch in der Datenschutzgrundverordnung weder explizit geregelt ist noch etwa gemäß Art. 17 DSGVO über eine Auslegung ein solcher Unterlassungsanspruch anzunehmen sein könnte (Senat, Urteil vom 31.8.2021 - 4 U 324/21 - juris; Beschluss vom 19.04.2021 - 4 W 243/21 - juris; ebenso Landgericht Darmstadt, Urteil vom. 26.05.2020 - 13 O 244/19, Rn. 38 - juris; a.A. allerdings VG Regensburg, Gerichtsbescheid vom 06.08.2020 - Rn 9 K 19.1061 - juris; vgl. zum Streitstand Halder, jurisPR-ITR 4/2021 Anm. 5). Würde man einen solchen Unterlassungsanspruch verneinen, wäre kein ausreichender Individualrechtsschutz gegeben. Es ist daher nicht davon auszugehen, dass die Datenschutzgrundverordnung, weil sie keinen ausdrücklichen Unterlassungsanspruch enthält, eine Sperrwirkung entfaltet (so auch Landgericht Darmstadt, a.a.O.). Die Voraussetzungen für einen solchen Unterlassungsanspruch liegen vor. Wie bereits ausgeführt war die Verarbeitung der personenbezogenen Daten nicht rechtmäßig, auch eine Wiederholungsgefahr liegt vor. Ein rechtswidriger Eingriff in das allgemeine Persönlichkeitsrecht des Betroffenen begründet eine tatsächliche Vermutung für das Vorliegen der Wiederholungsgefahr. Diese Vermutung kann entkräftet werden, wobei daran strenge Anforderungen zu stellen sind; im Grundsatz ist eine strafbewehrte Unterlassungserklärung erforderlich (vgl. Senat, Beschluss vom 18.10.2021 - 4 U 1407/21 - juris). Vorliegend haben die Beklagten die Vermutung für eine Wiederholungsgefahr nicht widerlegt. Sie bestehen vielmehr darauf, dass die Datenverarbeitung rechtmäßig war und ihnen auch zukünftig gestattet ist. Allerdings kann die Unterlassung der Verarbeitung der personenbezogenen Daten nur insoweit verlangt werden, als der Kläger als Schuldner der Forderung aus dem Vollstreckungsbescheid des Amtsgerichtes Hagen geführt wird. Denn es kann für die Zukunft nicht ausgeschlossen werden, dass ein anderer Gläubiger Forderungen gegen den Kläger haben wird, mit deren Eintreibung die Beklagten beauftragt werden. In diesem Rahmen kann die Berechtigung zur Datenverarbeitung nicht verneint werden. Dies gilt auch insoweit, als die Beklagten berechtigt sind, die personenbezogenen Daten des Klägers im Zusammenhang mit der vorliegenden rechtlichen Auseinandersetzung zu speichern und zu verarbeiten.

3. Dem Kläger steht kein Anspruch auf Schadensersatz gemäß § 82 Abs. 1 DSGVO gegen die Beklagten zu. Der Kläger hat den Eintritt eines kausal auf die Pflichtverletzung der Beklagten zurückzuführenden Schadens nicht schlüssig dargelegt. Der geltend gemachte Schadensersatzanspruch in Höhe von 10.000,00 € findet im Vortrag überhaupt keine Stütze. Zu seinem materiellen Schaden hat der Kläger ausgeführt, dass ihm durch die Beantragung von Meldebescheinigungen, Geburtsurkunden, Aufforderungsschreiben durch den Prozessbevollmächtigten ein Schaden von mehreren hundert Euro entstanden sei. Der Kläger hat seinen Schaden nicht beziffert, was ihm aber unschwer möglich gewesen wäre. Denn die Kosten für die Einholung von behördlichen Bestätigungen lassen sich beziffern. Soweit er vorgerichtliche Kosten seines Rechtsanwaltes behauptet, so ist dies bereits Gegenstand seines Klageantrages. Es fehlt jegliche konkrete Darlegung der Höhe des bei ihm eingetretenen Schadens.

Der Kläger hat auch einen immateriellen Schaden nicht dargelegt. Sein Vortrag ist insoweit schon widersprüchlich und nicht nachvollziehbar. Er behauptet, er sei ernsthaft in Misskredit gebracht worden, weil er unberechtigter Weise der Schufa gemeldet worden sei. Dies ist aber nicht zutreffend. Die Beklagten haben in Abrede gestellt, eine Schufa-Meldung erstattet zu haben. Aus der von vom Kläger vom 17.04.2020 (Anlage K9) vorgelegten Schufa-Auskunft ergibt sich ebenfalls keine Meldung über seine Person. Dort heißt es vielmehr ausdrücklich, dass bis zum 17.04.2020 dort ausschließlich positive Vertragsinformationen über den Kläger vorgelegen haben. Er hat in allen Bereichen die beste Ratingstufe: A und der Orientierungswert zur Bonität beträgt für ihn 113 bei einem Bereich von 100 (sehr gute Bonität) bis 600 (Insolvenzverfahren). Eine Beeinträchtigung seines Ansehens durch die Datenverarbeitung der Beklagten ist nicht ersichtlich und von ihm auch nicht nachvollziehbar dargelegt worden. Es kommt daher nicht auf die in der Rechtsprechung streitig diskutierte Frage an, ob auch wegen immaterieller Bagatellschäden ein Ausgleich erfolgen muss (vgl. Senat, Urteil vom 31.08.2021 - 4 U 324/21 - juris). Denn der Wortlaut von § 82 Abs. 1 DSGVO setzt den Eintritt eines Schadens voraus (vgl. Hanseatisches Oberlandesgericht Bremen, Beschluss vom 16.07.2021 - 1 W 18/21 - juris). Die Frage, ob bei einem immateriellen Bagatellschaden - anders an in anderen Fällen der Persönlichkeitsrechtsverletzung - eine Entschädigung zu zahlen ist, stellt sich nicht. Erst wenn der Eintritt des Schadens feststeht, ist in einem zweiten Schritt zu entscheiden, ob ein erheblicher Schaden oder ein Bagatellschaden vorliegt. Auch aus den Ausführungen im Erwägungsgrund 75 lässt sich entnehmen, dass von dem Erfordernis des Eintritts eines Schadens nicht abgesehen wird. Dort heißt es: „Die Risiken für die Rechte und Freiheiten natürlicher Personen - mit unterschiedlicher Eintrittswahrscheinlichkeit und Schwere - können aus einer Verarbeitung personenbezogener Daten hervorgehen, die zu einer physischen, materiellen oder immateriellen Schaden führen könnte, insbesondere wenn ...“

4. Die Beklagten sind gemäß Art. 19 Satz 2 DSGVO verpflichtet, die Löschung der personenbezogen Daten des Klägers allen Empfängern, denen diese Daten offengelegt wurden, mitzuteilen und den Kläger davon zu unterrichten."


Den Volltext der Entscheidung finden Sie hier:


LAG Köln: Kostenregelung in § 12a ArbGG gilt auch für Geltendmachung von Schadensersatz nach Art. 82 DSGVO und Beseitigungsanspruch nach Art. 17 DSGVO

LAG Köln
Urteil vom 14.09.2020
2 Sa 358/20


Das LAG Köln hat entschieden, dass die Kostenregelung in § 12a ArbGG auch für die Geltendmachung von Schadensersatz nach Art. 82 DSGVO und Geltendmachung eines Beseitigungsanspruchs nach Art. 17 DSGVO im Rahmen einer arbeitsrechtlichen Auseinandersetzung gilt.

Aus den Entscheidungsgründen:

Der Klägerin steht kein weiterer Schadensersatzanspruch aus Art. 82 DSGVO zu.

Dabei kann dahinstehen, ob der zugesprochene immaterielle Schadensersatz nicht bereits zu hoch war, da die Beklagte insoweit zur Verknappung des Prozessstoffes keine Anschlussberufung eingelegt hat.

Die erkennende Kammer tritt den Überlegungen des Arbeitsgerichts zur Bemessung des immateriellen Schadens bei der versehentlichen Aufrechterhaltung der Sichtbarkeit des PDF mit dem Profil der Klägerin auf dem Server der Beklagten bei. Der Verschuldensgrad ist sehr gering. Nach der Umstellung des Dateiformats des Internetauftritts im Jahr 2015 liegt eine Nachlässigkeit der Beklagten vor, nicht vollumfänglich geprüft zu haben, ob weiterhin alte Dateiformate abrufbar waren. Zum Zeitpunkt der Umstellung war zudem die Klägerin als Arbeitnehmerin und Lehrende der Beklagten nicht berechtigt, die Löschung des PDF zu verlangen, da die Darstellung der Lehrenden für eine Hochschule unverzichtbarer Inhalt eines Internetauftritts und damit der erforderlichen Datenverarbeitung war.

Richtig hat das Arbeitsgericht auch gewertet, dass die Intensität der Rechtsverletzung marginal war. Die veröffentlichen Tatsachen über die Klägerin waren inhaltlich richtig, allein das Logo der Beklagten auf dem Profil ermöglichten nach dem Ende des Arbeitsverhältnisses den fehlerhaften Rückschluss, die Klägerin sei auch im Zeitpunkt des Abrufs des PDF noch Lehrende der Beklagten. Zwar mag es sein, dass das PDF unter den ersten zehn Einträgen der Suchmaschine Google bei einer Suche nach dem Namen der Klägerin erschien. Wie viele Personen tatsächlich dann das PDF angeklickt haben, um es vollständig zu lesen (nach dem Vortrag der Beklagten, welcher nicht bestritten wurde, soll es nur zwei Zugriffe gegeben haben), ist nicht nachgewiesen.

Allerdings hat die Klägerin keine Rückmeldung von Dritten zu diesem veralteten Profil erhalten und im Prozess vorgetragen. Entscheidend für die Intensität der Wahrnehmung des PDF wäre hierbei, welche Suchergebnisse die ersten neun Google Einträge beinhalteten. Üblicherweise werden bei einer Namenssuche, die einer Personeninfo dienen soll, die Einträge in der Reihenfolge ihres Erscheinens angeschaut, da dem Googlenutzer bekannt ist, dass die Einträge mit den meisten Klicks, in der Regel aber auch die neueren Beiträge zuerst angezeigt werden. Ob dann der Googlenutzer überhaupt spätere Einträge öffnet, hängt damit davon ab, ob das Informationsbedürfnis bei der Namenssuche bereits vorher ausreichend befriedigt ist. Da das PDF auch nur eine relativ kurze Zeit nach dem Ende des Arbeitsverhältnisses überhaupt auffindbar war, aber niemand Kontakt zur Klägerin gesucht hat, um ihr von der fehlerhaften Veröffentlichung Mitteilung zu machen, kann davon ausgegangen werden, dass das bei Google auffindbare Suchsuchergebnis für Personen, die sich für die Klägerin interessierten und deshalb ihren Namen gegoogelt haben, eher uninteressant war.

Es kann auch ausgeschlossen werden, dass sich eine Vielzahl von Googlenutzern nach dem Lesen des PDF der Homepage der Beklagten zugewandt haben. Denn eine direkte Verlinkung war nicht gegeben. Um die Homepage der Beklagten aufzurufen hätte ein Benutzer diese in eine neue Suchmaske eingeben müssen. Dann allerdings hätte er sofort feststellen können, dass die Klägerin nicht mehr zu den Lehrenden gehört.

Fernliegend ist auch die von der Klägerin angezogene Lizenzanalogie. Es ist nicht erkennbar, dass für die Beklagte irgendein Mehrwert durch die kurzzeitige Aufrechterhaltung der Sichtbarkeit des PDF mit dem Profil der Klägerin und dem Logo der Beklagten im Internet verbunden war. Ein potentieller Studierender, der tatsächlich überlegt, einen Vertrag mit der Beklagten abzuschließen, wird sich zuvor genauer und aktuell über die Homepage der Beklagten mit deren Lehrangeboten auseinandersetzen. Dabei war unmittelbar festzustellen, dass die Klägerin nicht mehr zu den Lehrenden zählt. Wenn es gleichwohl zum Vertragsschluss kam, so war dies jedenfalls dann unabhängig von der Person der Klägerin.

Auch ein Reputationsschaden der Klägerin ist fernliegend. Sie beachtet dabei nicht, dass es auch eine große Anzahl von Personen gibt, die die Beklagte schätzen und dadurch die Klägerin somit an einer positiven Bewertung der Beklagten mittelbar teilhaben lassen. Insbesondere die Studierenden, die bei der Evaluation angegeben haben, mit den Leistungen der Beklagten zufrieden zu sein und alle Personen, die die Beklagte für eine gute Hochschule halten, nützen damit der Reputation der Klägerin. Damit ist ein Interesse an einer Nutzung des PDFs durch die Beklagte schon nicht gegeben. Ein hypothetischer „Verkaufswert“ ist nicht feststellbar.

Eine Erhöhung des immateriellen Schadensersatzes war auch nicht angezeigt, um zukünftige Verstöße zu vermeiden. Bereits das vorliegende Verfahren sowie die Rüge durch die Landesdatenschutzbeauftragte sind geeignet, bei der Beklagten den auch vom Schadensersatz erwünschten erzieherischen Effekt zu erzielen.

Der Klägerin steht der Ersatz der vorgerichtlichen Anwaltskosten wegen des geltend gemachten Anspruchs auf Entfernung des PDF nach Art. 17 Abs. 1 DSGVO nicht zu.

Unabhängig von den späteren Ausführungen zu § 12a ArbGG und dessen Geltung im Rahmen des Schadensersatzanspruchs nach Art. 82 DSGVO handelt es sich bei Art. 17 DSGVO um den Löschungsanspruch. Zwar mag es richtig sein, dass der deutsche Gesetzgeber insgesamt keine Einschränkung der in der DSGVO niedergelegten Rechte vornehmen kann, jedoch handelt es sich bei der Anwendbarkeit von § 12a ArbGG auf den Beseitigungsanspruch nicht um eine Ausgestaltung des Beseitigungsanspruchs. Die Kosten des Beseitigungsanspruchs regelt die DSGVO nicht, so dass es bei den allgemeinen deutschen Regeln aus § 12a ArbGG verbleibt..

Zudem folgt die erkennende Kammer im Übrigen der Kommentierung von Däubler 2. Aufl. EU DSGVO, Art. 82 Rn. 14 sowie Plath Becker, 2. Aufl., BDSG/DSGVO Art. 82 Nr. 8. Danach ist in all den Fällen, in denen die DSGVO keine ausdrückliche Regelung enthält, nationales Recht anwendbar. Damit sind jedenfalls auf die vorliegenden Ansprüche die allgemeinen Grundsätze über Mitverschulden, Verjährungsfristen und prozessuale Behandlung der Ansprüche anwendbar.

Vorliegend gilt für den Beseitigungsanspruch, dass die Klägerin auch nach dem Ende des Arbeitsverhältnisses eine minimale Rücksichtnahme auf die Interessen der Beklagten hätte nehmen müssen. Diese hätte darin bestanden, die Beklagte durch einen kurzen Anruf, ein E-Mail oder auch eine andere schriftliche Notiz darauf aufmerksam zu machen, dass das PDF mit dem Profil der Klägerin im Internet noch abrufbar war. Erst dann, wenn die Beklagte hierauf nicht reagiert hätte, hätte die Klägerin sich anwaltlicher Hilfe bedienen können. Ohne vorherige Abmahnung war die Einschaltung eines Prozessbevollmächtigten nicht erforderlich, sodass die hierfür angefallenen Kosten nicht erstattungsfähig sind. Gerade das Rechtsinstitut der Abmahnung ist die Ausformung der gegenseitigen Rücksichtnahme im Arbeitsverhältnis und konkretisiert, dass dem Vertragspartner, auch dann, wenn der Vertrag beendet ist, zunächst die Gelegenheit eingeräumt werden muss, sein nachvertragliches Verhalten gesetzeskonform auszugestalten.

Hinsichtlich der weiteren Kostenerstattungsforderungen legt die erkennende Kammer Art. 82 DSGVO dahingehend aus, dass dieser nur den primären Schadensersatz hinsichtlich der immateriellen Schäden/Persönlichkeitsrechtsverletzungen, die durch einen Verstoß gegen die DSGVO entstanden sind, regelt. Sekundäre Schäden wie Vermögensschäden, die durch die Rechtsverfolgung des immateriellen Schadensersatzanspruchs entstehen, sind von der DSGVO nicht erfasst und bleiben damit entsprechend der Kommentierung bei Däubler (siehe oben) der Regelung durch nationales Recht vorbehalten.

Im Übrigen stellt die Regelung des § 12a ArbGG und die von der Rechtsprechung hieraus hergeleitete Wirksamkeit auch im materiellen Kostenerstattungsrecht letztlich keine Einschränkung des Schadensersatzes oder gar einen Nachteil von Arbeitnehmern dar, die von Datenschutzverstößen ihre Arbeitgeber betroffen sind. Denn durch die fehlende Kostenerstattung ist der Schadensersatz geltend machende Arbeitnehmer durchaus frei, wenigstens in erster Instanz einen höheren Anspruch geltend zu machen, ohne hierbei im Fall des Unterliegens die Kosten des Gegners erstatten zu müssen. Die Regelung fördert also sogar den Zweck des Art. 82 DSGVO, in dem sie das Risiko des Arbeitnehmers, einen zu hohen Schadensersatzbetrag zu fordern, absenkt. Vorliegend wäre aber jedenfalls bei einer Unanwendbarkeit des §12a ArbGG der Anteil der von der Klägerin der Beklagten zu erstattenden Kosten höher als umgekehrt. Die Regelung stellt sich damit ohnehin nicht als Einschränkung des Schadensersatzanspruchs, sondern da sie in beide Richtungen wirkt, als neutrale Kostenverteilungsregelung dar.

Wegen der zu hohen Klageforderung und des Unterliegens (mit Kostenpflicht) im Berufungsverfahren ist der Selbstbehalt der Klägerin bei ihrer Rechtsschutzversicherung ohnehin angefallen. Dieser und eine mögliche Beitragsverschlechterung sind damit unabhängig vom erstinstanzlichen Streit angefallen, so dass ein Schadensersatz durch die Beklagte wegen Verschlechterung der Rechtsschutzkonditionen keines falls geschuldet ist.


Den Volltext der Entscheidung finden Sie hier:



OVG Lüneburg: Löschungsanspruch nach Art. 17, Art. 9 Abs. 1 DSGVO erfordert substantiierte Darlegung der unrechtmäßigen Datenverarbeitung

OVG Lüneburg
Beschluss vom 09.11.2020
2 ME 426/20

Das OVG Lüneburg hat entschieden, dass ein Löschungsanspruch nach Art. 17, Art. 9 Abs. 1 DSGVO die substantiierte Darlegung der unrechtmäßigen Datenverarbeitung erfordert.

Aus den Entscheidungsgründen:

6. Datenschutzrechtliche Vorschriften verhelfen der Beschwerde ebenfalls nicht zum Erfolg. Soweit sich der Antragsteller auf Art. 17 i.V. mit Art. 9 Abs. 1 der Datenschutzgrundverordnung (DSGVO), der hier (nur) aufgrund von § 2 Nr. 2 lit. c) NDSG anwendbar ist, beruft, versäumt er entgegen § 146 Abs. 4 Satz 3 VwGO die substantiierte Darlegung, dass die Datenverarbeitung durch die Antragsgegner unrechtmäßig erfolgt sein könnte. Anlass hätte insbesondere dazu bestanden, sich näher mit Art. 9 Abs. 2 lit. e) DSGVO auseinanderzusetzen. Die Vorschrift nimmt die Verarbeitung personenbezogener Daten, die die betroffene Person offensichtlich öffentlich gemacht hat, von dem grundsätzlichen Verarbeitungsverbot des Art. 9 Abs. 1 DSGVO aus.

Ungeachtet der fehlenden Darlegung greift Art. 9 Abs. 2 lit. e) DSGVO zugunsten der Antragsgegner ein. Diese nutzen ausschließlich Informationen, die der Antragsteller in allgemein zugänglichen Quellen selbst verbreitet hat. Soweit der Antragsteller dazu lediglich ausführt, er habe sich selbst nicht bezichtigt, mit der AfD zu sympathisieren, sich mit Esoterikern, rechtsextremen und antisemitischen Personen oder gar Holocaustleugnern gemein zu machen oder offensichtlich antisemitisches, rechtes und verschwörungsideologisches Gedankengut zu verbreiten oder zumindest zu akzeptieren, greift das zu kurz. Die Datenschutzgrundverordnung regelt den Schutz personenbezogener Daten; sie schützt nicht daher, dass von der betroffenen Person selbst und aus freien Stücken öffentlich gemachte Daten öffentlich diskutiert und zum Anlass wertender Schlussfolgerungen genommen werden. Auf die Frage, ob zudem - wie die Antragsgegner vortragen - Art. 17 Abs. 3 lit. a DSGVO dem geltend gemachten Anspruch entgegensteht, kommt es angesichts dessen nicht an.


Den Volltext der Entscheidung finden Sie hier:


Internet World Business-Beitrag von Rechtsanwalt Marcus Beckmann - Kein Zwang zum Eintrag - Arzt kann von Jameda gemäß DSGVO Löschung seiner Daten von der Website verlangen

In Ausgabe 18/2019, S. 18 der Zeitschrift Internet World Business erschien ein Beitrag von Rechtsanwalt Marcus Beckmann mit dem Titel "Kein Zwang zum Eintrag - Arzt kann von Jameda gemäß DSGVO Löschung seiner Daten von der Website verlangen ".

Siehe auch zum Thema: LG Bonn: Jameda muss alle personenenbezogenen Daten eines Arztes auf Bewertungsportal nach Art. 17 DSGVO löschen - Kein berechtigtes Interesse nach Art. 6 Abs. 1 S. 1 lit. f DSGVO



LG Bonn: Jameda muss alle personenenbezogenen Daten eines Arztes auf Bewertungsportal nach Art. 17 DSGVO löschen - Kein berechtigtes Interesse nach Art. 6 Abs. 1 S. 1 lit. f DSGVO

LG Bonn
Urteil vom 28.03.2019
18 O 143/18


Das LG Bonn hat entschieden, dass der Betreiber des Arztbewertungsportals Jameda alle personenenbezogenen Daten eines Arztes auf dem Bewertungsportal nach Art. 17 DSGVO löschen muss. Art. 6 Abs. 1 S. 1 lit. f DSGVO (Verarbeitung zur Wahrung der berechtigten Interessen) greift - so das Gericht - nicht, da Jameda aufgrund des Geschäftsmodells kein neutraler Informationsmittler ist.

Aus den Entscheidungsgründen:

"Die zulässige Klage ist begründet.

I. Der Kläger hat gegen die Beklagte einen Anspruch auf Löschung sämtlicher auf seine Person bezogenen Daten aus der von der Beklagten betriebenen Online-Datenbank www.A.de (Art. 17 Abs. 1 Lit. d, 6 Abs. 1 DSGVO).

Auf den hiesigen Sachverhalt anwendbar ist die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (DSGVO) als unmittelbar anwendbares europäisches Recht unter Ausschluss des nationalen Bundesdatenschutzgesetzes (vgl. § 2 Abs. 5 BDSG).

Gemäß Art. 17 Abs. 1 Lit. d) DSGVO hat eine betroffene Person das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, wenn die personenbezogenen Daten unrechtmäßig verarbeitet wurden. Gemäß Art. 4 Nr. 1 DSGVO sind "personenbezogene Daten" alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person ("betroffene Person") beziehen. Art. 6 Abs. 1 DSGVO regelt die Rechtmäßigkeit der Datenverarbeitung; sein für die Entscheidung dieses Rechtsstreits relevanter Absatz 1 lautet:

Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;

b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;

c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;

d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;

e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;

f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.

Keine dieser Voraussetzungen ist erfüllt. Der Kläger hat in die Datenverarbeitung unstreitig nicht eingewilligt (a), die Voraussetzungen der Alternativen (b), (c) und (d) liegen offensichtlich nicht vor.

Die Beklagte erfüllt auch keine Aufgabe, die im öffentlichen Interesse liegt (e). Die Beklagte ist Tochter des P Konzerns und verfolgt als juristische Person des Privatrechts mit der Betreibung der streitgegenständlichen Online-Datenbank unstreitig und offenkundig private, auf Gewinnerzielung gerichtete Interessen. Dass die mit der Betreibung der Online-Datenbank einhergehende Information der Öffentlichkeit über die ihr zur Verfügung stehenden Ärzte und die der Öffentlichkeit zur Verfügung gestellten Möglichkeiten zur Bewertung und Kommentierung der in Anspruch genommenen ärztlichen Leistungen auch im Interesse der Öffentlichkeit liegen mag, reicht zur Erfüllung der gesetzlichen Voraussetzungen nicht aus. Dies folgt aus einem systematischen Vergleich mit Alternative (f). Bejahte man - bezogen auf den streitgegenständlichen Sachverhalt - die Voraussetzungen der Alternative (e), so hätte dies zur Folge, dass die Beklagte von jeder weiteren Rechtfertigung ihrer Eingriffe in die Datenschutzrechte der betroffenen Ärzte, so intensiv sie auch sein mögen, freigestellt wäre. Dass dieses Ergebnis vom Verordnungsgeber bei einer Verquickung von öffentlichen und privaten Interessen nicht gewollt gewesen ist, folgt aus der Alternative (f), nach der ein Eingriff in die Datenschutzrechte einer betroffenen Person zur Verfolgung berechtigter (eigener) Interessen des Verantwortlichen nur unter besonderen Voraussetzungen rechtmäßig sein kann. Die Alternative (f) geht der Alternative (e) in dem hier zu entscheidenden Fall daher vor.

Die Voraussetzungen der Alternative (f) liegen ebenfalls nicht vor, da die berechtigten Interessen der Beklagten die Interessen und Grundrechte des Klägers, die den Schutz personenbezogener Daten erfordern, nicht überwiegen.

Zum - seinerzeit noch anwendbaren - nationalen Datenschutzrecht, insbesondere § 35 Abs. 2 S. 2 Nr. 1 BDSG a.F., betreffend Sachverhalte, die mit dem hiesigen in ihren Grundzügen identisch gewesen sind, namentlich Ansprüche von Ärzten auf Löschung konkret aus der von der Beklagten betriebenen Online-Datenbank zum Gegenstand gehabt haben, hat sich der Bundesgerichtshof in mehreren Entscheidungen geäußert (Urteil vom 20.02.2018, Az: VI ZR 30/17 ["Ärztebewertung III"]; Urteil vom 23.09.2014, Az: VI ZR 358/13 ["Ärztebewertung II"]; jeweils zitiert nach juris). Die dort entwickelten Grundsätze zur Abwägung der wechselseitigen Interessen sind auf die Rechtslage nach europäischem Recht übertragbar; insbesondere finden die vom BGH berücksichtigten, gemäß den nationalen Grundrechten geschützten Belange ihre Entsprechung auf Ebene des EU-Rechts in der Charta der Grundrechte der EU vom 12.12.2007 (GRCh).

Demnach sind als berechtigte Interessen auf Seiten der Beklagten als "Verantwortlicher" im Sinne der DSGVO sowohl die grundrechtlich geschützte unternehmerische Freiheit (Art. 16, 51 Abs. 1 S. 1 GRCh) (vgl. hierzu BGH, "Ärztebewertung II", Rn. 29 m.w.N.) als auch die grundrechtlich geschützte Kommunikationsfreiheit (Art. 11 Abs. 1 S. 2, 51 Abs. 1 S. 1 GRCh) (vgl. zum nationalen Recht BGH, "Ärztebewertung II", Rn. 25 und 28 m.w.N.) zu beachten.

Als Grundrechte des Klägers als "betroffener Person" kommen wegen seiner beruflichen Tätigkeit als X, um die es bei der Online-Datenbank im Ansatz geht, seinerseits die unternehmerische Freiheit (vgl. BGH, "Ärztebewertung II", Rn. 27 m.w.N.) sowie darüber hinaus das Recht auf Schutz seiner personenbezogenen Daten (Art. 8 Abs. 1, 51 Abs. 1 S. 1 der Europäischen Grundrechte-Charta) (vgl. BGH, "Ärztebewertung II", Rn. 26 m.w.N.) in Betracht.

Bezüglich der vorzunehmenden Abwägung hat der BGH - wiederum bezogen auf das nationale (Datenschutz-)Recht - ausgeführt ("Ärztebewertung III", Rn. 13 und 14, i.V.m. "Ärztebewertung II", Rn. 39 ff.):

Auszugehen ist dabei zunächst von dem ganz erheblichen Interesse, das die Öffentlichkeit an Informationen über ärztliche Dienstleistungen hat [...]. Personen, die ärztliche Leistungen in Anspruch nehmen wollen, können den Arzt grundsätzlich frei wählen. Das von der Beklagten betriebene Portal kann dazu beitragen, dem Patienten die aus seiner Sicht hierfür erforderlichen Informationen zur Verfügung zu stellen. Dass es unter Umständen auch andere Informationsquellen gibt - etwa persönliche Erfahrungen von Bekannten oder bei Fachärzten die Einschätzung des vom Patienten ggf. zuvor konsultierten Hausarztes -, ändert daran nichts.

Der grundsätzlichen Eignung des Portals, zu mehr Leistungstransparenz im Gesundheitswesen beizutragen, steht nicht entgegen, dass die in das Bewertungsportal eingestellten Bewertungen typischerweise nicht von Fachleuten herrühren und subjektiv geprägt sind. Zwar dürften wertende Aussagen zur medizinischen Qualität einer Behandlung fachlichen Maßstäben, die der Laie nicht kennt, häufig nicht entsprechen und im Einzelfall etwa von einem vom behandelnden Arzt nicht zu vertretenden Ausbleiben des - von ihm auch nicht geschuldeten - Heilungserfolges geprägt sein. Eine sinnvolle Ergänzung der bisherigen Informationsquellen kann das Angebot der Beklagten aber trotzdem sein. Die subjektive Einschätzung, die in den Bewertungen zum Ausdruck kommt, kann anderen Personen Hilfestellung bei der Entscheidung geben, welcher Arzt - insbesondere bezüglich der äußeren Umstände der Behandlung wie etwa der Praxisorganisation - den Anforderungen für die gewünschte Behandlung und auch den persönlichen Präferenzen am besten entspricht [...].

Und weiter ("Ärztebewertung III", Rn. 16 ff.):

In dem Fall, der dem Senatsurteil vom 23. September 2014 zugrunde lag, war die beklagte Betreiberin des Bewertungsportals "neutraler" Informationsmittler. Nach den damals maßgeblichen Feststellungen beschränkte sich das Bewertungsportal der Beklagten darauf, in Profilen die "Basisdaten" des einzelnen Arztes zusammen mit von Patienten bzw. anderen Internetnutzern vergebenen Noten oder verfassten Freitestkommentaren zu veröffentlichen.

Der hier zu entscheidende Fall liegt anders. Hier wahrt die Beklagte ihre Stellung als "neutraler" Informationsmittler nicht. Denn sie verschafft durch die Art der Werbung, die sie Ärzten auf ihrem an potentielle Patienten gerichteten Bewertungsportal anbietet, einzelnen Ärzten verdeckte Vorteile [...].

Nach den Feststellungen des Berufungsgerichts blendet die Beklagte in das Profil des einzelnen Arztes - in einem grau unterlegten und mit "Anzeige" bezeichneten Querbalken - den Hinweis (Profilbild nebst Note und Angabe der Entfernung) auf konkurrierende Ärzte der gleichen Fachrichtung im näheren Umfeld ein. Die Daten der ohne oder gegen ihren Willen gespeicherten und bewerteten Ärzte werden damit als Werbeplattform für die zahlenden Konkurrenten genutzt. Anders verfährt die Beklagte bei den Ärzten, die bei ihr das "Premium-Paket" gebucht haben. Dort findet der Nutzer ein optisch und inhaltlich individuell ausgestaltetes Profil, das auf eine ansprechendere Wirkung abzielt, mit dem Bild dieses zahlenden Arztes und weiteren von diesem stammenden Informationen. In das Profil dieser Ärzte wird, ohne dass dies dort hinreichend offengelegt wird, keine werbende Anzeige der örtlichen Konkurrenten eingeblendet, demgegenüber erscheinen sie selbst mit einer Anzeige in deren Profil, soweit die örtlichen Konkurrenten nicht ebenfalls zahlende "Premium"-Kunden sind. Jedenfalls mit den örtlichen Verhältnissen und mit dem Geschäftsmodell der Beklagten nicht vertraute Internetnutzer können den nicht zutreffenden Eindruck gewinnen, der im Bewertungsportal aufgefundene Arzt, in dessen Profil - da "Premium"-Kunde - kein Querbalken mit Hinweis auf andere Ärzte erscheint, habe keinen örtlichen Konkurrenten. Mit diesem Verfahren sollen - womit die Beklagte selbst ihre "Serviceleistungen" bewirbt - ersichtlich potentielle Patienten stärker zu "Premium"-Kunden der Beklagten gelenkt werden. Durch ihr Geschäftsmodell sucht die Beklagte die ohne ihren Willen und nur mit ihren Basisdaten aufgenommenen Ärzte gezielt dazu zu bewegen, sich der Gruppe der zahlenden Ärzte anzuschließen, um nicht durch eine weniger vorteilhafte Darstellung und Werbeeinblendungen benachteiligt zu werden.

Mit der vorbeschriebenen, mit dem Bewertungsportal verbundenen Praxis verlässt die Beklagte ihre Stellung als "neutraler" Informationsmittler. Während sie bei dem nicht zahlenden Arzt dem ein Arztprofil aufsuchenden Internetnutzer die "Basisdaten" nebst Bewertung des betreffenden Arztes anzeigt und ihm mittels des eingeblendeten Querbalkens "Anzeige" Informationen zu örtlich konkurrierenden Ärzten bietet, lässt sie auf dem Profil ihres "Premium"-Kunden - ohne dies dort dem Internetnutzer hinreichend offenzulegen - solche über die örtliche Konkurrenz unterrichtenden werbenden Hinweise nicht zu. Nimmt sich die Beklagte aber in dieser Weise zugunsten ihres Werbeangebots in ihrer Rolle als "neutraler" Informationsmittler zurück, dann kann sie ihre auf das Grundrecht der Meinungs- und Medienfreiheit [...] gestützte Rechtsposition gegenüber dem Recht der Klägerin auf Schutz ihrer personenbezogenen Daten [...] auch nur mit geringerem Gewicht geltend machen. Das führt auch bei nochmaliger Würdigung der - insbesondere im Senatsurteil vom 23. September 2014 angeführten - Belange der Beklagten hier zu einem Überwiegen der Grundrechtsposition der Klägerin [...].

Auf dieser Grundlage überwiegt auch in dem hier zu entscheidenden Fall das Interesse des Klägers das Interesse der Beklagten. Dabei kommt es nicht darauf an, dass die Beklagte die in dem Urteil des BGH monierten "Mängel" abgestellt hat. Denn auch dies macht sie aufgrund des von ihr verfolgten Gesamtkonzepts der Online-Datenbank nicht zu einer "neutralen Informationsmittlerin".

Mit ihrer Online-Datenbank verfolgt sie, wie ausgeführt, privatwirtschaftliche Zwecke. Diese werden - ebenfalls unstreitig - nicht etwa (allein) durch Schaltung von Werbung generiert, das heißt durch Umstände, die mit dem Inhalt der auf der Seite verarbeiteten Daten nicht in einem unmittelbaren Zusammenhang stehen, sondern durch monatliche "Mitgliedsbeiträge" der gelisteten Ärzte. Diese Beiträge "erkauft" sich die Beklagte dadurch, dass sie es den Ärzten ermöglicht, ihre Profilseite für Besucher des Bewertungsportals ansprechender zu gestalten. Es ist offenkundig, dass sich aufgrund der mit einer solchen Gestaltung verbundenen psychologischen Wirkmechanismen Besucher des Portals von solchen Profilseiten auf einer - vorwiegend unbewussten - Ebene eher angesprochen fühlen werden als von den "Basis-Profilen", die - im Gegensatz zu den Profilen zahlender Ärzte - z.B. nur über eine graue Silhouette als Profilfoto verfügen. Das ist unmittelbar einsichtig, weil hierin gerade das Geschäftsmodell der Beklagten besteht, anderenfalls nicht ersichtlich wäre, warum ein Arzt bereit sein sollte, Monatsbeiträge in bis zu dreistelliger Höhe zu investieren.

Dieses Modell führt dazu, wie bereits der BGH ausgeführt hat, dass ohne bzw. gegen ihren Willen gelistete Ärzte sich gedrängt fühlen werden, sich bei der Beklagten kostenpflichtig anzumelden, um keine Wettbewerbsnachteile gegenüber ihren bereits zahlenden Konkurrenten zu erleiden, und verleitet Kunden durch die - vorwiegend unbewussten - psychologischen Wirkmechanismen zu der Annahme, dass den als Gold- oder Premium-Kunden gelisteten Ärzten gegenüber nicht zahlenden Ärzten bei der Arztwahl der Vorzug zu geben sei. Je mehr Ärzte sich diesem System anschließen, umso größer wird der Druck auf die verbleibenden Ärzte, dasselbe zu tun.

Durch dieses Konzept verfolgt die Beklagte bereits im Ansatz nicht (mehr) die von dem BGH als (datenschutzrechtlich) zulässig erachtete Rolle der "neutralen Informationsmittlerin". Vielmehr führt die Verknüpfung von Daten, die (noch) dem legitimen Informationsinteresse der Öffentlichkeit dienen (Name, Fachrichtung und Kontaktdaten der jeweiligen Ärzte bzw. deren Praxen), mit solchen Daten, die über dieses Interesse hinausgehen und gerade eine Besserstellung der zahlenden Ärzte gegenüber ihren nicht zahlenden Mitbewerbern bezwecken, dazu, dass zahlenden Ärzten gegenüber ihren nicht zahlenden (Zwangs-)Mitbewerbern Vorteile verschafft werden, die für einen durchschnittlichen Besucher des Bewertungsportals wegen - vorwiegend unbewussten - psychologischen Wirkmechanismen gerade nicht offensichtlich sind. Hierzu gehört zum einen und insbesondere das Profilbild, das für die Bewertung der fachlichen Qualifikation eines Arztes ersichtlich keine Rolle spielt, zum anderen aber auch die Möglichkeit der Hervorhebung zahlender Ärzte in den Suchergebnissen des Bewertungs-Portals selbst und / oder in Internet-Suchmaschinen sowie die weiteren von dem Kläger monierten und aus dem Urteilstenor zu Ziffer 2 ersichtlichen Vergünstigungen für zahlende Ärzte, selbst wenn sie - was unstreitig ist - in ihrer Darstellung gegenüber den Besuchern des Bewertungsportals infolge der bisher ergangenen Rechtsprechung des BGH teilweise von der Beklagten angepasst worden sind.

Eine (vollständige) Offensichtlichkeit für einen durchschnittlichen Besucher des Bewertungsportals wird insbesondere auch nicht dadurch hergestellt, dass die Beklagte einen zahlenden Arzt auf dessen Profilseite durch ein Symbol mit dem Text "Gold" bzw. "Platin" kenntlich macht. Denn dem Symbol selbst lässt sich seine Bedeutung nicht entnehmen und es kann ebenso gut - jedenfalls bei flüchtiger Betrachtung der Internetseite - zu der Annahme verleiten, der Arzt erfülle besondere fachliche Qualitäten. Dass zusätzlich die aus dem Tatbestand dieses Urteils ersichtliche textliche Erklärung eingeblendet wird, wenn ein Besucher mit der Computermaus über das Symbol fährt, reicht hierfür ebenfalls nicht aus, da dieser Mechanismus für einen durchschnittlichen Besucher nicht ohne weiteres ersichtlich ist und dem Besucher in der textlichen Erklärung auch keine vollständigen Informationen über die konkreten, dem betroffenen Arzt gewährten Vorteile gegenüber den nicht zahlenden Ärzten gegeben werden.

Einem betroffenen Arzt mutet es das geltende Recht vor diesem Hintergrund nicht zu, an diesem Mechanismus "zwangsweise" durch - ohne von seiner Einwilligung gedeckte - Verwertung seiner persönlichen Daten teilnehmen zu müssen.

II.

Der Kläger hat gegen die Beklagte auch einen Anspruch auf Unterlassung der Wiederaufnahme seiner Daten in die Online-Datenbank, sofern sie in der von dem Kläger gemäß seiner Antragsfassung konkret monierten Weise erfolgt (§§ 823 Abs. 2, 1004 Abs. 1 S. 2 BGB analog i.V.m. Art. 17 Abs. 1 Lit. d, 6 Abs. 1 DSGVO) (vgl. hierzu BGH, "Ärztebewertung III", Rn. 21 f.). Dass die Beklagte die in dem Antrag bezeichneten Darstellungen zwischenzeitlich geändert hat, steht dem Anspruch wegen der zu besorgenden Wiederholungsgefahr nicht entgegen."


Den Volltext der Entscheidung finden Sie hier: