BECKMANN UND NORDA - Rechtsanwälte Bielefeld

LG München
Urteil vom 25.04.2023
33 O 5976/22

Das LG München hat entschieden, dass die Weitergabe von Positivdaten an die SCHUFA durch den Telekommunikationsanbieter Telefonica / O2 gegen Art. 5 und Art. 6 DSGVO verstößt und somit rechtswidrig ist.

Aus den Entscheidungsgründen:
Die streitgegenständliche Datenübertragung personenbezogener Daten (vgl. Anlage K 3) stellt eine Zuwiderhandlung gegen Art. 5, 6 DSGVO dar. Gem. Art. 6 Abs. 1 DSGVO ist die Verarbeitung nur rechtmäßig, wenn mindestens eine der in Art. 6 DSGVO normierten Bedingungen erfüllt ist. Dies ist vorliegend nicht der Fall. Die Übermittlung der sog. Positivdaten nach Vertragsschluss an Auskunfteien, wie im Streitfall an die SCHUFA (vgl. Anlage K3), erfolgt ohne Rechtsgrundlage.

a. Die Datenverarbeitung ist nicht von Art. 6 Abs. 1 Satz 1 lit. b) DSGVO gedeckt, weil die Beklagte mit den Kunden auch ohne Übermittlung von Positivdaten an Auskunfteien Verträge abschließen kann und diese Datenübermittlung zur Erfüllung des Vertrages bzw. zur Durchführung vorvertraglicher Maßnahmen nicht erforderlich ist.

Dies ergibt sich bereits daraus, dass auch nach Einstellung der beanstandeten Datenübertragung durch die Beklagte bis zur Klärung der Rechtslage weiterhin entsprechende Verträge geschlossen und abgewickelt werden. Das Vertragsverhältnis steht und fällt auch nicht mit der Übermittlung von Positivdaten an Auskunfteien.

Soweit ein solcher Vertragsschluss unter Weitergabe von Positivdaten schlicht weniger risikobehaftet ist, begründet dies nicht die Erforderlichkeit einer solchen Übermittlung im Rechtssinne.

b. Die Datenverarbeitung ist auch nicht von Art. 6 Abs. 1 Satz 1 lit. f) DSGVO gedeckt, da die Interessen der Betroffenen an dem Schutz ihrer Daten und deren Grundrechte die Interessen der Beklagten an der Übermittlung der Positivdaten an die Auskunftei überwiegen.

aa. Die Kammer legt bei ihrer gem. Art. 6 Abs. 1 Satz 1 lit. f) DSGVO zu treffenden Abwägung zugrunde, dass verschiedene Interessen grundsätzlich auch für die Übermittlung von sog. Positivdaten sprechen.

Allen voran ist insoweit die auch aus Sicht der Beklagten als Verantwortliche im Sinne des Art. 6 Abs. 1 Satz 1 lit. f) DSGVO hervorgehobene Betrugsprävention und die damit verbundene Schadensvermeidung im zweistelligen Millionenbereich zu nennen, welche u. a. durch eine Identitätsprüfung auf der Basis der Positivdaten bzw. die Verhinderung eines Identitätsdiebstahls durch den Abgleich mit Positivdaten erreicht werden soll.

Es kann auch unterstellt werden, dass die Meldung entsprechender Daten bzw. deren Austausch über die Auskunftei der Reduzierung des Kredit- und des Ausfallrisikos der Beklagten und einer frühzeitigen Kundenbindung sowie einer höheren Abschlussquote (wegen gesteigerter Annahmequoten) dient.

Auch kann ein gesamtwirtschaftliches general- und spezialpräventives Interesse an der Betrugsbekämpfung und -prävention, ein Interesse an einer besseren finanziellen Inklusion von finanziell schwächeren Verbrauchern und auch an verbesserten Chancen zum Vertragsabschluss unterstellt werden.

Gleiches gilt für das wirtschaftliche Interesse von Dritten, hier der Auskunftei, deren Geschäftsmodell auf der Einmeldung von Daten im Gegenseitigkeitsprinzip basiert, an der Funktionsfähigkeit von Auskunfteien und der Genauigkeit von Scores.

Auch die von der Beklagten für die Betroffenen angeführten Interessen, etwa günstigere Vertragskonditionen durch eine Verbesserung des Scorewerts der Betroffenen, der Möglichkeit der besseren Gewichtung von Negativeinträgen, einem Schutz vor Überschuldung und einer (erweiterten) Möglichkeit zum Abschluss von Erstverträgen, können für die vorzunehmende Abwägung als gegeben unterstellt werden.

bb. Inwieweit die Meldung von Positivdaten als Mittel zur Wahrung der genannten Interessen tatsächlich geeignet ist, kann im Streitfall dahinstehen, denn zur Wahrung dieser Interessen wählt die Beklagte mit der Übermittlung der Positivdaten jedenfalls nicht das erforderliche und verhältnismäßige Mittel aus, sondern die aus ihrer Sicht effektivste Methode. Dies ist unzulässig.

Den Volltext der Entscheidung finden Sie hier:

EuGH
Urteil vom 04.05.2023
C‑60/22

Der EuGH hat entschieden, dass eine fehlende Vereinbarung nach Art. 26 DSGVO und ein fehlendes Verarbeitungsverzeichnis nach Art. 30 DSGVO nicht zur Unrechtmäßigkeit der Verarbeitung personenbezogener Daten führt.

Tenor der Entscheidung:
1. Art. 17 Abs. 1 Buchst. d und Art. 18 Abs. 1 Buchst. b der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)

sind dahin auszulegen, dass

der Verstoß eines Verantwortlichen gegen die Pflichten aus den Art. 26 und 30 dieser Verordnung über den Abschluss einer Vereinbarung zur Festlegung der gemeinsamen Verantwortung für die Verarbeitung bzw. das Führen eines Verzeichnisses von Verarbeitungstätigkeiten keine unrechtmäßige Verarbeitung darstellt, die der betroffenen Person ein Recht auf Löschung oder auf Einschränkung der Verarbeitung verleiht, weil dieser Verstoß als solcher nicht bedeutet, dass der Verantwortliche gegen den Grundsatz der „Rechenschaftspflicht“ im Sinne von Art. 5 Abs. 2 in Verbindung mit Art. 5 Abs. 1 Buchst. a und Art. 6 Abs. 1 Unterabs. 1 dieser Verordnung verstößt.

2. Das Unionsrecht ist dahin auszulegen, dass dann, wenn ein für die Verarbeitung personenbezogener Daten Verantwortlicher gegen seine Pflichten aus den Art. 26 oder 30 der Verordnung 2016/679 verstoßen hat, die Einwilligung der betroffenen Person keine Voraussetzung dafür darstellt, dass die Berücksichtigung dieser Daten durch ein nationales Gericht rechtmäßig ist.

Den Volltext der Entscheidung finden Sie hier:

EuGH
Urteil vom 04.05.2023
C-300/21
Österreichische Post (Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten)

Der EuGH hat entschieden, dass ein DSGVO-Verstoß nicht automatisch einen Schadensersatzanspruch gemäß Art. 82 DSGVO begründet. Es kommt aber nicht darauf an, dass ein Erheblichkeitsschwelle überschritten wird.

Tenor der Entscheidung:
1. Art. 82 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen,
dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadenersatzanspruch zu begründen.

2. Art. 82 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen,
dass er einer nationalen Regelung oder Praxis entgegensteht, die den Ersatz eines immateriellen Schadens im Sinne dieser Bestimmung davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat.

3. Art. 82 der Verordnung 2016/679 ist dahin auszulegen,
dass die nationalen Gerichte bei der Festsetzung der Höhe des Schadenersatzes, der aufgrund des in diesem Artikel verankerten Schadenersatzanspruchs geschuldet wird, die innerstaatlichen Vorschriften der einzelnen Mitgliedstaaten über den Umfang der finanziellen Entschädigung anzuwenden haben, sofern die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität beachtet werden.

Die Pressemitteilung des EuGH:
Der bloße Verstoß gegen die DSGVO begründet keinen Schadenersatzanspruch

Der Schadenersatzanspruch hängt jedoch nicht davon ab, dass der entstandene immaterielle Schaden eine gewisse Erheblichkeit erreicht.

Ab dem Jahr 2017 sammelte die Österreichische Post Informationen über die politischen Affinitäten der österreichischen Bevölkerung. Mit Hilfe eines Algorithmus definierte sie anhand sozialer und demografischer Merkmale „Zielgruppenadressen“. Aus den so gesammelten Daten leitete die Österreichische Post ab, dass ein bestimmter Bürger eine hohe Affinität zu einer bestimmten österreichischen politischen Partei habe. Die verarbeiteten Daten wurden jedoch nicht an Dritte übermittelt.

Der betroffene Bürger, der der Verarbeitung seiner personenbezogenen Daten nicht zugestimmt hatte, behauptet, er habe dadurch, dass ihm eine besondere Affinität zu der fraglichen Partei zugeschrieben worden sei, großes Ärgernis und einen Vertrauensverlust sowie ein Gefühl der Bloßstellung verspürt. Als Ersatz des ihm angeblich entstandenen immateriellen Schadens begehrt er vor den österreichischen Gerichten die Zahlung von 1 000 Euro.

Der österreichische Oberste Gerichtshof äußerte Zweifel in Bezug auf den Schadensersatzanspruch, den die Datenschutz-Grundverordnung (DSGVO)1 für den Fall vorsieht, dass wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist. Dieses Gericht möchte vom Gerichtshof wissen, ob der bloße Verstoß gegen die DSGVO ausreicht, um einen Schadenersatzanspruch zu begründen, und ob für den Ersatz der entstandene immaterielle Schaden einen bestimmten Grad an Erheblichkeit erreichen muss. Des Weiteren möchte es wissen, welche unionsrechtlichen Vorgaben für die Festsetzung der Höhe des Schadenersatzes bestehen.

In seinem heutigen Urteil stellt der Gerichtshof als Erstes fest, dass der in der DSGVO vorgesehene Schadenersatzanspruch eindeutig an drei kumulative Voraussetzungen geknüpft ist: einen Verstoß gegen die DSGVO, einen materiellen oder immateriellen Schaden, der aus diesem Verstoß resultiert, und einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß. Demnach eröffnet nicht jeder Verstoß gegen die DSGVO für sich genommen den Schadenersatzanspruch. Eine andere Auslegung liefe dem klaren Wortlaut der DSGVO zuwider. Zudem führt nach dem Wortlaut der Erwägungsgründe der DSGVO, die speziell den Schadenersatzanspruch betreffen, ein Verstoß gegen die DSGVO nicht zwangsläufig zu einem Schaden und muss ein Kausalzusammenhang zwischen dem fraglichen Verstoß und dem entstandenen Schaden bestehen, um einen Schadenersatzanspruch zu begründen. Somit unterscheidet sich die Schadenersatzklage von anderen in der DSGVO vorgesehenen Rechtsbehelfen – insbesondere von jenen, die die Verhängung von Geldbußen erlauben –, für die das Vorliegen eines individuellen Schadens nicht nachgewiesen werden muss. Als Zweites stellt der Gerichtshof fest, dass der Schadenersatzanspruch nicht auf immaterielle Schäden beschränkt ist, die eine gewisse Erheblichkeit erreichen. In der DSGVO wird ein solches Erfordernis nicht erwähnt, und eine solche Beschränkung stünde zu dem vom Unionsgesetzgeber gewählten weiten Verständnis des Begriffs „Schaden“ im Widerspruch. Würde der Ersatz eines immateriellen Schadens von einer Erheblichkeitsschwelle abhängig gemacht, könnte dies zudem die Kohärenz der mit der DSGVO eingeführten Regelung beeinträchtigen. Die graduelle Abstufung, von der die Möglichkeit, Schadenersatz zu erhalten, abhinge, könnte nämlich je nach Beurteilung durch die angerufenen Gerichte unterschiedlich hoch ausfallen.

Als Drittes und Letztes stellt der Gerichtshof zu den Regeln für die Bemessung des Schadenersatzes fest, dass die DSGVO keine Bestimmung enthält, die sich diesen Regeln widmet. Daher sind die Ausgestaltung von Klageverfahren, die den Schutz der dem Einzelnen insoweit aus der DSGVO erwachsenden Rechte gewährleisten sollen, und insbesondere die Festlegung der Kriterien für die Ermittlung des Umfangs des in diesem Rahmen geschuldeten Schadenersatzes Aufgabe des Rechts des einzelnen Mitgliedstaats, wobei der Äquivalenz- und der Effektivitätsgrundsatz zu beachten sind. In diesem Zusammenhang betont der Gerichtshof die Ausgleichsfunktion des in der DSGVO vorgesehenen Schadenersatzanspruchs und weist darauf hin, dass dieses Instrument einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden sicherstellen soll.

Den Volltext der Entscheidung finden Sie hier:

OLG Hamm
Urteil vom 20.01.2023
11 U 88/22

Das OLG Hamm hat entschieden, dass 100 EURO Schadensersatz aus Art. 82 DSGVO für die versehentliche Weiterleitung personenbezogener Daten per E-Mail-Verteiler an 1200 Personen durch ein Impfzentrum angemessen ist.

Aus den Entscheidungsgründen:
Soweit das Landgericht den dem Kläger zum Ausgleich des ihm entstandenen immateriellen Schadens zustehenden Betrag mit 100,00 Euro bemessen hat, ist hiergegen aus Sicht des Senats nichts zu erinnern.

Ausgehend von dem bereits dargestellten Schadensbegriff gelten bei der Bemessung der Schadenshöhe die im Rahmen von § 253 BGB entwickelten Grundsätze; der Schaden ist nach § 287 ZPO zu schätzen (OLG Koblenz, Urteil vom 18.05.2022 – 5 U 2141/21, juris Rn. 81). Hierbei ist der Erwägungsgrund 146 S. 3 und 6 zur DS-GVO zu berücksichtigen, wonach der Begriff des Schadens auf eine Art und Weise auszulegen ist, die den Zielen der Verordnung in vollem Umfang entspricht und die betroffene Person einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten sollen. Ergänzend können auch in Art. 83 Abs. 2 DS-GVO genannte Kriterien herangezogen werden, obwohl diese Vorschrift nicht die Geltendmachung individueller Entschädigungsansprüche sondern die Verhängung von Geldbußen betrifft; dies gilt insbesondere für Art, Schwere und Dauer des Verstoßes unter Berücksichtigung von Art, Umfang oder Zweck der betreffenden Verarbeitung, den Grad des Verschuldens, Maßnahmen zur Minderung des entstandenen Schadens, frühere Verstöße sowie die Kategorie der betroffenen personenbezogenen Daten (vgl. OLG Düsseldorf, Urteil vom 28.10.2021 – 16 U 275/20, juris Rn. 55 f.; OLG Frankfurt, Urteil vom 14.04.2022 – 3 U 21/20, juris Rn. 56; Quaas, in: Wolff/Brink, BeckOK Datenschutzrecht, 42. Edition, Stand 01.08.2022, Art. 82 DS-GVO Rn. 31).

aa) Zunächst ist zu berücksichtigen, dass die in der Excel-Datei enthaltenen personenbezogenen Daten des Klägers, nämlich vollständiger Name, Anschrift, Geburtsdatum, Telefonnummer und E-Mail-Adresse sowie der für die Impfung vorgesehene Impfstoff und das Datum der Impfung sowie Angaben zur Anzahl der Impfungen in ihrer Gesamtheit ein Datenbündel darstellen, welches problemlos die Identifizierung des Klägers ermöglicht. Auch sind hier nicht lediglich personenbezogene Daten des Klägers im Sinne von Art. 4 Nr. 1 DS-GVO betroffen, sondern auch Gesundheitsdaten im Sinne von Art. 4 Nr. 15 DS-GVO, welche grundsätzlich besonders sensibel sind, wie auch Art. 9 DS-GVO deutlich macht.

Weiter ist in den Blick zu nehmen, dass die Excel-Datei an eine Vielzahl von Personen übersandt wurde. Insoweit hat die Beklagte im Senatstermin klargestellt, dass der Versand an insgesamt 1.200 Personen erfolgte, wobei allerdings ein unmittelbar nach dem Versand erfolgter Rückruf der E-Mail in 500 Fällen Erfolg hatte. Damit haben 700 Personen die Datei erhalten und konnten deren Inhalt auch zur Kenntnis nehmen, da die Datei nicht vor einem einfachen Zugriff geschützt war. Auch ist zu berücksichtigen, dass dieser Versand und damit die Offenbarung der Daten nicht mehr rückgängig zu machen ist. Denn der Kläger hatte bzw. hat keine Möglichkeit, eine etwaige Weitergabe der Daten effektiv zu verhindern oder auch nur zu kontrollieren. Trotz des von der Beklagten unternommenen Versuches, die Empfänger der E-Mail zur Löschung der Datei zu veranlassen, kann eine Weitergabe dieser Dateien an Dritte nicht ausgeschlossen werden.

Damit besteht für den Kläger das Risiko des Erhalts unerwünschter Werbung insbesondere per E-Mail oder von Phishing-E-Mails mit dem Ziel, auf diese Art weitere Informationen vom Kläger zu erlangen. Auch die Möglichkeit eines Identitätsdiebstahls ist ebenso in Betracht zu ziehen wie die Auslösung kostenpflichtiger Bestellungen durch Dritte unter Verwendung der personenbezogenen Daten des Klägers.

Es ist aber auch zu beachten, dass es sich bei den offenbarten personenbezogenen Daten des Klägers im Sinne von Art. 4 Nr. 1 DS-GVO lediglich um solche Daten handelt, welche der Sozialsphäre des Klägers zuzuordnen sind. Die Sozialsphäre betrifft den Bereich, in dem sich die persönliche Entfaltung von vornherein im Kontakt mit der Umwelt vollzieht, also insbesondere das berufliche und politische Wirken des Individuums. Demgegenüber umfasst die Privatsphäre sowohl in räumlicher als auch in thematischer Hinsicht den Bereich, zu dem andere grundsätzlich nur Zugang haben, soweit er ihnen gestattet wird. Dies betrifft in thematischer Hinsicht Angelegenheiten, die wegen ihres Informationsinhalts typischerweise als „privat“ eingestuft werden, etwa weil ihre öffentliche Erörterung als unschicklich gilt, das Bekanntwerden als peinlich empfunden wird oder nachteilige Reaktionen in der Umwelt auslöst (BGH, Urteil vom 20.12.2011 – VI ZR 261/10, juris Rn. 16). Nach dieser Maßgabe sind jedenfalls die personenbezogenen Daten des Klägers, die zur Beschreibung seiner Person dienen, der Sozialsphäre zuzuordnen. Demgegenüber waren von dem Verstoß nicht besonders sensible Daten wie etwa Bank- oder Steuerdaten, Zugangsdaten und Kennwörter oder ähnliche Daten betroffen. Soweit Gesundheitsdaten des Klägers im Sinne von Art. 4 Nr. 15 DS-GVO offenbart wurden, sind diese zwar der Privatsphäre zuzurechnen. Allerdings darf hier nicht außer Acht gelassen werden, dass insbesondere im Hinblick auf den weiten Begriff der Gesundheitsdaten auch hier deren konkreter Inhalt zu berücksichtigen ist. Aus den offenbarten Daten lässt sich allenfalls das Fehlen einer Kontraindikation in der Person des Klägers bezüglich einer zweiten Impfung nach erfolgter Erstimpfung ableiten, nicht aber konkrete Schlüsse auf eine Erkrankung des Klägers oder eine besondere gesundheitliche Disposition. Damit stellt sich die Offenbarung der Gesundheitsdaten hier als weit weniger schwerwiegend dar, als dies etwa bei der Offenbarung spezifischer Gesundheitsdaten wie eines medizinischen Befundes oder einer ärztlichen Diagnose der Fall wäre.

Weiter ist in den Blick zu nehmen, dass der vom Kläger beanstandete Versand der die personenbezogenen Daten des Klägers enthaltenden Datei von der Beklagten zu keinem Zeitpunkt bezweckt war. Denn im Zuge des Betriebs des Impfzentrums benötigte die Beklagte die Datei einmalig für kurze Zeit zum Zwecke der Organisation des Impfzentrums, namentlich um die von der Änderung der Öffnungszeiten betroffenen Personen hierüber zu informieren. Der Versand der Datei beruhte auf einem Versäumnis der handelnden Mitarbeiter im Zug des Versands der E-Mail an die von der Änderung der Öffnungszeiten betroffenen Personen, war aber zu keinem Zeitpunkt intendiert.

Auch ist zu berücksichtigen, dass die Beklagte mit dem Betrieb des Impfzentrums und den damit im Zusammenhang stehenden Tätigkeiten eine öffentliche Aufgabe wahrgenommen hat und insbesondere nicht mit der Absicht handelte, hierbei in irgendeiner Weise Gewinne zu erzielen. Auch der Versand der E-Mail vom 00.00.2021 stand in keinerlei Zusammenhang mit einer gewinnorientierten Tätigkeit.

Ferner ist der geringe Grad des Verschuldens auf Seiten der Beklagten zu berücksichtigen. Insoweit geht der Senat lediglich von einem fahrlässigen Verhalten der Mitarbeiter der Beklagten aus, welche die E-Mail abgesandt haben. Soweit der Kläger hier von einem vorsätzlichen Verstoß ausgeht, hat er schon nicht dargelegt, welche Umstände die Annahme von Vorsatz rechtfertigen sollten. Auch soweit der Kläger meint, es greife insoweit ein Beweis des ersten Anscheins ein, vermag der Senat dem nicht zu folgen. Die Beweiswürdigungsregel des Anscheinsbeweises ist nur bei regelmäßigen (typischen) Geschehensabläufen anwendbar, die nach der Lebenserfahrung auf eine bestimmte Ursache hinweisen (vgl. Laumen, in: Baumgärtel/Laumen/Prütting, Handbuch der Beweislast, 4. Auflage 2019, Kap. 17 Rn. 10). Es ist schon nicht erkennbar, welcher typischen Geschehensablauf hier aufgrund von Erfahrungssätzen den Schluss auf ein vorsätzliches Verhalten erlauben soll. Allein der Versand einer E-Mail mit einem zuvor nicht entfernten Anhang kann zur Überzeugung des Senats jedenfalls nicht die Annahme rechtfertigen, die Übersendung der angehängten Datei sei vorsätzlich erfolgt. Im Hinblick auf die Darstellung der Beklagten von den Abläufen, die zum Versand der E-Mail nebst angehängter Excel-Datei geführt haben und die der Kläger auch im Senatstermin nicht in Abrede gestellt hat, ist die Annahme vorsätzlichen Verhaltens fernliegend. Vielmehr ist davon auszugehen, dass den betroffenen Mitarbeitern der Beklagten und damit auch der Beklagten allenfalls Fahrlässigkeit vorgeworfen werden kann.

Weiter ist zu berücksichtigen, dass nicht ersichtlich ist, dass es bereits vor dem streitgegenständlichen Vorfall zu einem vergleichbaren Verstoß gekommen ist und sich dieser anlässlich des Versands der E-Mail vom 00.00.2021 wiederholt hätte.

Schließlich zu berücksichtigen, dass die Beklagte alles in ihrer Macht Stehende unternommen hat, um den infolge des Verstoßes aufgetretenen Schaden gering zu halten. So wurde unmittelbar nach dem Versand der Mail der Versuch des Rückrufs der E-Mail unternommen, was bei insgesamt 500 Adressaten auch erfolgreich war. Ferner hat die Beklagte auch die Empfänger der E-Mail aufgerufen, die Daten zu löschen. Darüber hinaus hat die Beklagte den Kläger – sowie alle anderen Betroffenen – bereits kurz nach dem Verstoß mit Schreiben vom 05.08.2021 über diesen und über die offenbarten Daten informiert. Nachdem die Beklagte zudem Kenntnis davon erlangt hatte, dass sich eine Europäische Zentrale für Verbraucherschutz per E-Mail an den Kläger und andere Betroffene gewandt hatte, kam es nach dem unbestrittenen Vorbringen der Beklagten auf deren Betreiben auch zu einem Abschalten der Internetseite Webseite01.

Darüber hinaus hat die Beklagte sich mit Schreiben vom 05.08.2021 beim Kläger entschuldigt und den Vorfall der Aufsichtsbehörde angezeigt.

bb) Die Tatsache, dass der Kläger auf Facebook als Befürworter der Impfung aufgetreten ist und sich aus dem Profil auch Tag und Monat seines Geburtsdatums ablesen lassen, ist für die Bemessung der dem Kläger zuzusprechenden immateriellen Entschädigung demgegenüber lediglich von untergeordneter Bedeutung. Dies insbesondere deshalb, da die so durch den Kläger offenbarten Daten lediglich einen kleinen Teil der infolge des der Beklagten zuzurechnenden Datenschutzverstoßes offenbarten Daten repräsentieren, damit auch nicht ohne weiteres eine Identifizierung der Person des Klägers ermöglichen und der Kläger zudem auch eine Kontrolle über diese Daten innehat, die er jederzeit löschen kann.

cc) Im Rahmen der Genugtuungsfunktion des Ersatzanspruchs wegen immaterieller Schäden ist die an den Kläger versandte E-Mail vom 18.08.2021 von Bedeutung. Denn insoweit geht es nicht mehr nur um die bloße Sorge des Klägers vor den Folgen eines Datenschutzverstoßes und des darauf beruhenden Kontrollverlusts; vielmehr hat sich das in dem Datenschutzverstoß liegende Risiko hier bereits verwirklicht. Allerdings ist zu sehen, dass es sich lediglich um eine E-Mail handelt. Weitere konkrete Beeinträchtigungen über den eingetreten Kontrollverlust hinaus, die sich als Folge der Offenbarung der personenbezogenen Daten des Klägers darstellen, hat der Kläger im Senatstermin am 09.12.2022 verneint, sie werden angesichts der seit dem Datenverstoß bereits verstrichenen Zeit auch zunehmend weniger wahrscheinlich. Soweit der Kläger mit seinem Hinweis auf militante Impfgegner auf eine von diesen ausgehende Gefahr körperlicher oder sonstiger Übergriffe aufgrund des Umstands hinweisen will, dass der Kläger selbst eine Impfung befürwortet, hat sich insoweit kein Anhaltspunkt für eine konkrete Beeinträchtigung aufgrund des Datenschutzverstoßes ergeben.

dd) Soweit der Kläger geltend macht, der vom Landgericht zuerkannte Betrag von 100,00 Euro sei eher symbolischer Natur und habe keinerlei Abschreckungseffekt, so vermag der Senat dem nicht beizutreten.
153
Im Hinblick auf Erwägungsgrund 146 S. 3 zur DS-GVO sollen Schadenersatzforderungen zwar abschrecken und weitere Verstöße unattraktiv gemacht werden (Schaffland/Holthaus, in: Schaffland/Wiltfang, DS-GVO/BDSG, Stand: August 2022, Art. 82 DS-GVO Rn. 10b). Auch vermag sich ein Abschreckungseffekt vielleicht nicht aus dem dem Kläger zuerkannten Betrag ergeben. Allerdings ist hier in den Blick zu nehmen, dass der der Beklagten zuzurechnende Verstoß gegen die DS-GVO hier nicht lediglich den Kläger betrifft, sondern eine Vielzahl weiterer Personen, deren personenbezogene Daten ebenfalls in der übermittelten Excel-Datei enthalten waren. Insoweit gehen die Parteien übereinstimmend davon aus, dass die Datei Daten von insgesamt 13.000 Personen enthielt. Dieser Umstand bietet jedenfalls das Potenzial, das sich aus Ansprüchen vieler Betroffener ein durchaus messbarer finanzieller Schadensbetrag bei der Beklagten einstellt.

ee) Eine Erhöhung der Entschädigung ist auch nicht im Hinblick auf eine Sanktionswirkung der Entschädigung angezeigt.

Das für die konkrete Bemessung der Höhe maßgebliche deutsche Recht (vgl. Nemitz, in: Ehmann/Selmayr, DS-GVO, 2. Auflage 2018, Art. 82 Rn. 17) kennt – anders als die Rechtsordnungen anderer Staaten – keinen Strafschadensersatz. Eine wie auch immer geartete Sanktionswirkung neben dem Ausgleich eines konkret entstandenen immateriellen Schadens ist daher bei der Bemessung der dem Kläger zustehenden Entschädigung nicht in Betracht zu ziehen. Insoweit bestimmt Art. 83 DS-GVO, dass die zuständige Aufsichtsbehörde im Falle eines Verstoßes gegen die DS-GVO neben einem etwaigen individuellen Anspruch auf Schadenersatz nach Art. 82 Abs. 1 DS-GVO eine Geldbuße verhängen kann.

ff) Unter Beachtung der vorstehenden Erwägungen hält der Senat bei einer Gesamtbetrachtung des vorliegenden Falles und seiner Besonderheiten im Hinblick auf den eingetretenen dauerhaften Kontrollverlust und den Erhalt einer unerwünschten E-Mail den durch das Landgericht zuerkannten Betrag in Höhe von 100,00 Euro für angemessen, aber auch ausreichend, um den beim Kläger eingetretenen immateriellen Schaden nach Maßgabe des in der DS-GVO geregelten Schadensersatzanspruchs zu kompensieren.

Den Volltext der Entscheidung finden Sie hier:

BAG
Beschluss vom 22.09.2022
8 AZR 209/21

Wir hatten bereits in dem Beitrag "BAG legt EuGH Fragen zur Auslegung von Art. 82 DSGVO und Art. 88 DGSVO vor - Immaterieller Schadensersatz bei Verarbeitung personenbezogener Daten im Rahmen eines Beschäftigungsverhältnisses" über die Entscheidung berichtet.

Tenor der Entscheidung:

I. Der Gerichtshof der Europäischen Union wird gemäß Art. 267 AEUV um Vorabentscheidung über die Fragen ersucht:

1. Ist eine nach Art. 88 Abs. 1 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung; im Folgenden DSGVO) erlassene nationale Rechtsvorschrift – wie etwa § 26 Abs. 4 Bundesdatenschutzgesetz, im Folgenden BDSG -, in der bestimmt ist, dass die Verarbeitung personenbezogener Daten – einschließlich besonderer Kategorien personenbezogener Daten – von Beschäftigten für Zwecke des Beschäftigungsverhältnisses auf der Grundlage von Kollektivvereinbarungen unter Beachtung von Art. 88 Abs. 2 DSGVO zulässig ist, dahin auszulegen, dass stets auch die sonstigen Vorgaben der DSGVO – wie etwa Art. 5, Art. 6 Abs. 1 und Art. 9 Abs. 1 und Abs. 2 DSGVO – einzuhalten sind?

2. Sofern die Frage zu 1. bejaht wird:

Darf eine nach Art. 88 Abs. 1 DSGVO erlassene nationale Rechtsvorschrift – wie § 26 Abs. 4 BDSG – dahin ausgelegt werden, dass den Parteien einer Kollektivvereinbarung (hier den Parteien einer Betriebsvereinbarung) bei der Beurteilung der Erforderlichkeit der Datenverarbeitung im Sinne der Art. 5, Art. 6 Abs. 1 und Art. 9 Abs. 1 und Abs. 2 DSGVO ein Spielraum zusteht, der gerichtlich nur eingeschränkt überprüfbar ist?

3. Sofern die Frage zu 2. bejaht wird:

Worauf darf in einem solchen Fall die gerichtliche Kontrolle beschränkt werden?

4. Ist Art. 82 Abs. 1 DSGVO dahin auszulegen, dass Personen ein Recht auf Ersatz des immateriellen Schadens bereits dann haben, wenn ihre personenbezogenen Daten entgegen den Vorgaben der DSGVO verarbeitet wurden oder setzt der Anspruch auf Ersatz des immateriellen Schadens darüber hinaus voraus, dass die betroffene Person einen von ihr erlittenen immateriellen Schaden – von einigem Gewicht – darlegt?

5. Hat Art. 82 Abs. 1 DSGVO spezial- bzw. generalpräventiven Charakter und muss dies bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DSGVO zulasten des Verantwortlichen bzw. Auftragsverarbeiters berücksichtigt werden?

6. Kommt es bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DSGVO auf den Grad des Verschuldens des Verantwortlichen bzw. Auftragsverarbeiters an? Insbesondere, darf ein nicht vorliegendes oder geringes Verschulden auf Seiten des Verantwortlichen bzw. Auftragsverarbeiters zu dessen Gunsten berücksichtigt werden?

II. Das Revisionsverfahren wird bis zur Entscheidung des Gerichtshofs der Europäischen Union über das Vorabentscheidungsersuchen ausgesetzt.

Den Volltext der Entscheidung finden Sie hier:

OLG Hamm
Beschluss vom 19.12.2022
11 W 69/22

Das OLG Hamm hat im vorliegenden Fall entschieden, dass ein Schadensersatzanspruch aus Art. 82 DSGVO wegen unzulässiger Speicherung personenbezogener Daten allenfalls in Höhe von 50 EURO gerechtfertigt ist.

Aus den Entscheidungsgründen:

2. Unabhängig von den fehlenden Voraussetzungen eines Amtshaftungsanspruchs kommt ein Schadensersatzanspruch des Klägers gemäß Art. 82 DSGVO infrage.

Dass die Bestimmungen dieser EU-Verordnung von der Beklagten zu beachten waren, ist zwischen den Parteien nicht im Streit. Ihr sachlicher Anwendungsbereich (Art. 2 DSGVO) ist eröffnet, nachdem die Beklagte personenbezogene Daten des Klägers gespeichert hat. Es liegt auch ein Verstoß gegen die Vorschriften dieser Verordnung vor, weil die Speicherung der Daten gem. Art. 17 Abs. 1a DSGVO unzulässig war.

Im Rahmen der europarechtlich auszulegenden Verordnung - diese verlangt aufgrund des Erwägungsgrundes 146 S. 3 eine weite Auslegung des Schadensbegriffs im Lichte der Rechtsprechung des EuGH, die den Zielen der Datenschutzgrundverordnung in vollem Umfang entspricht, vgl. BVerfG, Beschluss vom 14.1.2021, 1 BvR 2853/19, NJW 2021, S. 105 Rz. 19 - ist derzeit ungeklärt, ob immaterieller Schadensersatz zu versagen ist, wenn es an einer erheblichen Persönlichkeitsrechtsverletzung fehlt (vgl. BVerfG, Beschluss vom 14.1.2021, 1 BvR 2853/19, NJW 2021, S. 105 Rz. 20; auch Quaas in BeckOK Datenschutzrecht, Wolf/Brink, 42. Edition, Stand 01.08.2022, Art. 82 DSGVO Rz. 33 m.w.Nachw.). Diese Frage ist in einem Prozesskostenhilfeprüfungsverfahren nicht zulasten der antragstellenden Partei zu beantworten (vgl. BVerfG, Beschluss vom 19.02.2008, 1 BvR 1807/07, NJW 2008, S. 1060), sondern im Hauptsacheverfahren einer Klärung zuzuführen.

Deswegen kommt Prozesskostenhilfe für einen Schadensersatzanspruch gemäß Art. 82 DSGVO im vorliegenden Fall grundsätzlich in Betracht.

Allerdings ergibt sich aus dem vorgetragenen Sachverhalt kein Gesichtspunkt, der eine Schmerzensgeldzahlung von über 50,00 € rechtfertigen könnte. Dies auch dann, wenn man zugunsten des Klägers eine weite, europarechtliche Auslegung des Schadensbegriffes zugrunde legt, die neben einem individuellen Ausgleich wegen der Schutzgutverletzung, eine den Verstoß feststellende Genugtuungsfunktion und letztendlich auch eine generalpräventive Einwirkung auf den Schädiger in die Betrachtung einbezieht, vgl. insoweit auch OLG Koblenz, Urteil vom 18. Mai 2022, 5 U 2141/21, juris Rz. 80. Zu bewerten sind in der Sache insoweit dieselben Gesichtspunkte, die im Rahmen der Amtshaftung die Bewertung rechtfertigen, dass eine dort zu berücksichtigende Bagatellgrenze nicht überschritten worden ist.

Den Volltext der Entscheidung finden Sie hier:

BGH
Urteil vom 13.12.2022
VI ZR 54/21

Der BGH hat nochmals entschieden, dass kein Anspruch auf Löschung eines Jameda-Basisprofils aus Art. 17 DSGVO besteht. Es liegen auf Seiten des Portalbetreibers vorrangige berechtigte Gründe im Sinne des Art. 17 Abs. 1 Buchst. c Halbsatz 1 DSGVO vor.

Aus den Entscheidungsgründen:
d) Auch der Löschungsgrund des Art. 17 Abs. 1 Buchst. c DS-GVO ist nicht gegeben. Denn für die von der Klägerin angegriffene Verarbeitung ihrer personenbezogenen Daten liegen jedenfalls vorrangige berechtigte Gründe im Sinne des Art. 17 Abs. 1 Buchst. c Halbsatz 1 DS-GVO vor. Die auch insoweit gebotene Gesamtabwägung führt zu keinem anderen Ergebnis als die oben zu Art. 6 Abs. 1 Satz 1 Buchst. f DS-GVO vorgenommene Abwägung (vgl. Senatsurteile vom 27. Juli 2020 - VI ZR 405/18, BGHZ 226, 285 Rn. 24 mwN; vom 12. Oktober 2021 - VI ZR 488/19, NJW 2022, 1098 Rn. 68 und VI ZR 489/19,
BGHZ 231, 263 Rn. 71, vom 15. Februar 2022 - VI ZR 692/20, NJW-RR 2022,693 Rn. 42).

2. Der ebenfalls aus Art. 17 Abs. 1 DS-GVO abzuleitende Unterlassungsanspruch (vgl. Senatsurteile vom 12. Oktober 2021 - VI ZR 489/19, BGHZ 231, 263 Rn. 10; vom 27. Juli 2020 - VI ZR 405/18, BGHZ 226, 285 Rn. 20, 23 zur Auslistung; BSGE 127, 181 Rn. 13) ist nicht gegeben. Das Berufungsgericht hat den geltend gemachten Unterlassungsanspruch aus Art. 17 Abs. 1 Buchst. d DS-GVO im Ergebnis zu Recht verneint. Da die Klägerin im Zusammenhang mit dem Unterlassungsbegehren keine weiteren Gestaltungsvarianten oder Verhaltensweisen der Beklagten beanstandet hat, kann zur Begründung der Rechtmäßigkeit der angegriffenen Datenverarbeitung auf die obigen Ausführungen zum Löschungsanspruch verwiesen werden.

Den Volltext der Entscheidung finden Sie hier:

LG Köln
Urteil vom 28.09.2022
28 O 21/22

Das LG Köln hat dem Betroffenen in diesem Fall 4.000 EURO immateriellen Schadensersatz aus Art. 82 Abs. 1 DSGVO wegen der Offenlegung einer Geschäftsbeziehung zu einem Konkurrenzunternehmen gegenüber einem Vorgesetzten zugesprochen. Der Betroffene hatte mit seiner Klage 100.000 EURO Schadensersatz verlangt. Die Klage wurde daher überwiegend abgewiesen.

Aus den Entscheidungsgründen:
Der Kläger hat gegen die Beklagte zu 1) einen Anspruch auf Zahlung eines Schadensersatzes in Höhe von 4.000 € aus Art. 82 Datenschutz-Grundverordnung (im Folgenden: DS-GVO).

1. Die Beklagte zu 1) hat personenbezogene Daten des Klägers im Sinne des Art. 4 Nr. 2 DS-GVO dadurch verarbeitet, dass sie die streitgegenständliche E-Mail an Herrn K. versandt hat. Sie muss sich dabei die Handlung ihres Angestellten, des Beklagten zu 2), zurechnen lassen. Zur Verarbeitung im Sinne der DS-GVO zählt auch die „Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung“.

Die Offenlegung der Vertragsverhältnisse zwischen der Beklagten zu 1) und dem Kläger an den Vorgesetzten des Klägers war auch rechtswidrig. Sie unterfällt keinem Rechtfertigungstatbestand nach Art. 6 Abs. 1 DS-GVO. Insbesondere ist sie nicht zur Erfüllung des Vertrags mit dem Kläger „erforderlich“, Art. 6 Abs. 1 lit. b) DS-GVO. Erforderlichkeit setzt voraus, dass ein unmittelbarer Zusammenhang zwischen der Verarbeitung und dem konkreten Zweck des Vertragsverhältnisses besteht. Ein solcher Zusammenhang ist hier nicht ersichtlich. Der Vorgesetzte des Klägers ist in keiner Weise in den Vertrag involviert und für die private Lebensführung des Klägers auch offensichtlich in keiner Weise verantwortlich. Es ist nicht im Ansatz zu erkennen, warum der Gläubiger eines Schuldverhältnisses sich veranlasst sehen dürfte, sich an den Vorgesetzten seines Schuldners zu wenden um diesen dazu zu bringen, auf den Schuldner einzuwirken. Etwas anderes ergibt sich auch nicht aus dem Umstand, dass der Kläger ebenfalls als Autoverkäufer in einem Konkurrenzunternehmen tätig ist. Gerade in diesem Fall drängt sich der Gedanke förmlich auf, dass dem Kläger aus einer Offenlegung seiner Geschäftsbeziehungen zu einem Konkurrenzunternehmen Probleme erwachsen können, was für die Erfüllung des Vertrags nicht förderlich sein dürfte.

Die Beklagte zu 1) ist für den Verstoß gegen Art. 6 Abs. 1 DS-GVO auch verantwortlich und muss sich das Verhalten ihres Mitarbeiters zurechnen lassen. Eine Exkulpation nach Art. 82 Abs. 3 DS-GVO kommt nicht in Betracht. Soweit die Beklagte zu 1) schlicht darauf abstellt, dass der Beklagte zu 2) dem Kläger keinen Schaden habe zufügen wollen, verfängt dies nicht. Die Versendung der E-Mail erfolgte vorsätzlich. Eine Schädigungsabsicht setzt Art. 82 DS-GVO nicht voraus.

2. Der Verstoß ist auch derart gravierend, dass er eine Schadensersatzpflicht der Beklagten zu 1) auslöst, allerdings nur in tenorierter Höhe.

Allein der Verstoß gegen datenschutzrechtliche Vorschriften führt nicht zu einer Verpflichtung des Verantwortlichen zur Zahlung von Schadensersatz (so auch LG Karlsruhe ZD 2019, 511). Voraussetzung eines Anspruchs auf Schadensersatz aus Art. 82 Abs. 1 DS-GVO, der im nationalen Recht unmittelbar Anwendung findet und andere Anspruchsgrundlagen nicht ausschließt (Nemitz, in: Ehmann/Selmayr, DS-GVO, 2. Aufl., Art. 82 Rn. 7), ist ein Verstoß gegen die DS-GVO und ein hierdurch verursachter Schaden, was ein Kläger darzulegen und zu beweisen hat (LG Karlsruhe, a.a.O.). Nach dem Erwägungsgrund 146 ist der Begriff des Schadens weit auszulegen, sodass Betroffene einen wirksamen Ersatz erhalten. Erwägungsgrund 85 besagt, dass eine Verletzung des Schutzes personenbezogener Daten einen physischen, materiellen oder immateriellen Schaden für natürliche Personen – wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung oder Rufschädigung – nach sich ziehen kann, wenn nicht rechtzeitig und angemessen reagiert wird. Es bedarf danach zwar keiner schweren Verletzung des Persönlichkeitsrechts, um einen immateriellen Schaden geltend zu machen (Gola/Piltz, DS-GVO, 2. Aufl., Art. 82 Rn. 13).Dennoch führt nicht bereits jeder Verstoß gegen die DS-GVO zu einer Ausgleichspflicht, denn der Verpflichtung zum Ausgleich eines immateriellen Schadens muss eine benennbar und insoweit tatsächliche Persönlichkeitsverletzung gegenüberstehen, die z.B. in der mit einer unrechtmäßigen Zugänglichmachung von Daten liegenden „Bloßstellung“ liegen kann (LG Karlsruhe, a.a.O.). Die Ermittlung des Schadens obliegt nach § 287 ZPO dem Gericht.

Der Verstoß der Beklagten zu 1) gegen die Regeln der DS-GVO ist bereits für sich derart gravierend, dass er eine entschädigungspflichtige Persönlichkeitsrechtsverletzung des Klägers begründet. Dass sich der Beklagte zu 2) hier an den Vorgesetzten des Klägers gewandt haben, ist nicht nur unangebracht und ein Verstoß gegen die DS-GVO, sondern für den Kläger auch peinlich und mit erheblichen Unannehmlichkeiten verbunden, weil er sich – unabhängig von der tatsächlichen Reaktion seines Vorgesetzten – genötigt fühlen könnte, sich gegenüber seinem Arbeitgeber dafür rechtfertigen zu müssen, bei der Konkurrenz ein Auto gekauft zu haben. Dies ist mit einem erheblichen Gefühl der Scham verbunden. Es handelt sich bei den Vertragsinformationen zwar nicht um hochsensible und höchstpersönliche Daten, der Kläger hatte jedoch ein offensichtliches Geheimhaltungsinteresse. Der Verstoß führt insoweit auch zu einem völligen Verlust der Kontrolle über die Daten, auch wenn die Information nur an eine Person geleitet wurde. Zudem erfolgte der Verstoß vorsätzlich, auch wenn der Beklagte zu 2), wie die Beklagte zu 1) unbestritten vorgetragen hat, keine Schädigungsabsicht gehabt hat.

Für die Frage der Schadensbemessung ist von Bedeutung, dass die Kammer die von dem Kläger behaupteten Folgen des Datenschutzverstoßes ihrer Entscheidung nicht zu Grunde legen kann.

Der Vortrag des Klägers zur Zerrüttung seines Arbeitsverhältnisses ist unsubstantiiert und prozessual unbeachtlich. Die Beklagte zu 1) hat sich offenbar im Betrieb des Klägers informiert und in ihrem Schriftsatz vom 23.08.2022 detailliert vorgetragen, dass es zu keiner Zerrüttung des Arbeitsverhältnisses gekommen ist. Dabei hat sie auch auf Ungereimtheiten im Vortrag des Klägers hingewiesen, die dieser selbst nicht entkräften konnte. So erfolgte die erste Krankschreibung des Klägers nicht unmittelbar nach dem streitgegenständlichen Vorfall, sondern erst einige Wochen später. Soweit der Kläger im April 2022 vorgetragen hat, seine Stelle sei neu besetzt worden und sein Vertrag ende „bald“, fehlt es an Vortrag dazu, wann dieser Zeitpunkt konkret sein soll. Da der Kläger noch mit Schriftsatz vom 02.08.2022 eine aktuelle Arbeitsunfähigkeitsbescheinigung bis zum 15.08.2022 vorgelegt hat, scheinen deutliche Zweifel angebracht, ob das Arbeitsverhältnis überhaupt in absehbarer Zeit enden wird. Auch fehlt es an substantiiertem Vortrag zu einer dauerhaften Arbeitsunfähigkeit des Klägers, da dieser nach den vorliegenden Unterlagen lediglich im Zeitraum Ende August bis Anfang Oktober 2021 und im Zeitraum um die Replik im August 2022 krankgeschrieben gewesen ist, somit lediglich für wenige Wochen. Da der Kläger auf den Vortrag der Beklagten zu 1) in ihrem Schriftsatz vom 23.08.2022 nicht mehr reagiert hat, gilt der Vortrag der Beklagten zu 1) als zugestanden.

Auch soweit der Kläger vorgetragen hat, an einer Depression zu leiden, ist sein Vortrag unbeachtlich. Ein ärztliches Attest, das diese Diagnose belegen könnte, hat er nicht vorgelegt. Sein Hausarzt hat ihm am 24.09.2021 lediglich eine „depressive Episode“ diagnostiziert. Substantiierter Sachvortrag zu seinen konkreten Symptomen, die es erlauben würden, die Diagnose einer Depression, egal in welcher Form, zu stellen, ist nicht erfolgt. Etwas anderes ergibt sich auch nicht aus dem Schreiben des Prof. X (Anlage K020). Hierbei handelt es sich nicht etwa um ein Privatgutachten, das geeignet wäre, den klägerischen Vortrag zu substantiieren, sondern um ein in einem reißerischen Tonfall geschriebenes Gefälligkeitsschreiben, das für die Kammer insgesamt unbeachtlich war. Nicht nur lässt es Prof. X an jeglicher Neutralität in Bezug auf den hier anhängigen Rechtsstreit vermissen. Es ergibt sich aus dem Schreiben noch nicht einmal, ob der Kläger bei Prof. X überhaupt in Behandlung war, so dass für die Kammer nicht ersichtlich ist, auf welcher therapeutischen Grundlage sich der Prof. X überhaupt ein Urteil zum Gesundheitszustand des Klägers anmaßt.

Die Kammer will nicht in Abrede stellen, dass der Kläger tatsächlich unter hohem psychischen Druck steht. Er war in der mündlichen Verhandlung sichtlich angefasst und schien deutlich zu leiden. Dieses Leiden ist jedoch nicht derart substantiiert im Prozess vorgetragen worden, dass es für die Kammer prozessual verwertbar wäre und für die Einholung eines psychologischen Sachverständigengutachtens gereicht hätte. Dies gilt nicht nur für den Vortrag des Klägers hinsichtlich des Vorliegens einer Depression, sondern auch für die Frage, ob gerade der Datenschutzverstoß der Beklagten für die Krankheit des Klägers kausal geworden ist. Die Einholung eines Sachverständigengutachtens würde vor diesem Hintergrund einem Ausforschungsbeweis gleichkommen.

Bei der Bemessung des Schmerzensgelds war weiterhin zu berücksichtigen, dass die Beklagte zu 1) eine strafbewehrte Unterlassungserklärung abgegeben und sich bereits mit E-Mail vom 20.07.2021 beim Kläger entschuldigt hat. Weiterhin war zu berücksichtigen, dass nach Sinn und Zweck von Art. 82 DS-GVO das Schmerzensgeld so zu bemessen ist, dass es eine abschreckende Wirkung auf die Beklagte ausübt. Dabei war jedoch auch darauf zu achten, dass auch nach der Konzeption des Art. 82 DS-GVO der Schadensersatz nicht in einen Strafschadensersatz ausartet, sondern in erster Linie der Kompensation tatsächlich entstandener Schäden beim Kläger dient (vgl. Erwägungsgrund (146) S. 5 DS-GVO: „erlittener Schaden“). In diesem Zusammenhang war für die Kammer entscheidend auf die finanzielle Situation der Beklagten zu 1) abzustellen, nicht hingegen auf die Finanzkraft des „V-Konzern s“ insgesamt. Die Beklagte zu 1) mag zum V-Konzern gehören, sie ist aber rechtlich unabhängig. Der Kläger hat nicht die Volkswagen AG verklagt, so dass der Vortrag zu deren Umsätzen unbeachtlich ist. Vortrag zur finanziellen Situation der Beklagten zu 1) fehlt indes. Daher verbietet sich auch eine Orientierung an einem möglicherweise von der Aufsichtsbehörde noch zu verhängendem Bußgeld gegen die Beklagte zu 1). Der Vortrag des Klägers zur Höhe dieses Bußgelds, insbesondere dass dieses die Höchstgrenze des Art. 83 Abs. 4 DS-GVO von 10 Milliarden EUR erreichen könnte, stellt sich vor diesem Hintergrund nicht als eine ernsthafte Prognose dar.

Unter Berücksichtigung sämtlicher dieser zuvor genannten Umstände hält die Kammer gemäß § 287 ZPO insgesamt einen Schadensersatz von 4.000 EUR für notwendig, aber auch ausreichend zur Kompensation des dem Kläger entstandenen Schadens.

Den Volltext der Entscheidung finden Sie hier:

VG Ansbach
Urteile vom 02.11.2022
AN 14 K 22.00468 und AN 14 K 21.01431

Das VG Ansbach hat entschieden, dass das Fotografieren von Falschparkern und die Übermittlung an die Polizei bzw. Ordnungsbehörden durch Privatpersonen nicht datenschutzwidrig ist. Nach Ansicht des Gerichts liegt ein überwiegendes berechtigtes Interesse gemäß Art. 6 Abs 1 lit. f DSGVO vor.

Die Pressemitteilung des Gericht:

Verwaltungsgericht Ansbach gibt Klagen gegen Verwarnungen wegen Ablichtung von Falschparkern statt

Das Verwaltungsgericht Ansbach hat mit heute bekanntgegebenen Urteilen zwei Klagen gegen Verwarnungen des Landesamtes für Datenschutzaufsicht (LDA) stattgegeben, mit denen das LDA die Ablichtung von Falschparkern rügte.

Gegenstand der Verwarnungen waren von den Klägern angefertigte Fotoaufnahmen von ordnungswidrig geparkten Fahrzeugen, die die Kläger mitsamt Anzeigen an die zuständige Polizei übersandten. Bei den angezeigten Verstößen handelte es sich beispielsweise um Parken im absoluten Halteverbot oder ordnungswidrig auf Gehwegen.

Das Gericht hatte darüber zu entscheiden, ob die Übermittlung der Bildaufnahmen eine rechtmäßige Datenverarbeitung im Sinne des Art. 6 Abs. 1 Satz 1 Buchst. f der Datenschutz-Grundverordnung (DS-GVO) darstellte. Die Regelung setzt voraus, dass die Datenverarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist. Die Beteiligten stritten insbesondere um die rechtliche Frage, ob für die Rechtmäßigkeit der Datenverarbeitung eine persönliche Betroffenheit des Anzeigenerstatters durch die Parkverstöße erforderlich sei und ob nicht für eine Anzeige die bloße schriftliche oder telefonische Schilderung des Sachverhalts unter Angabe des Fahrzeugkennzeichens genüge, sodass eine Übermittlung von Bildaufnahmen nicht erforderlich sei. Problematisch sei nach Ansicht des LDA zudem, dass mit den Fotos oft Daten erhoben würden, die über den reinen Parkvorgang hinausgingen, z.B. bei Ablichtung anderer Fahrzeuge und Personen. Die Kläger verwiesen auf ihnen gegenüber ergangene Hinweise der Polizei, wonach die Parksituation zum Beweis durch Fotoaufnahmen möglichst genau dokumentiert werden sollte. Zudem würde die Verfolgung der Ordnungswidrigkeiten durch die Anfertigung von Fotos
vereinfacht.

Die 14. Kammer des Verwaltungsgerichts Ansbach gab den Klagen mit Entscheidung vom 2. November 2022 statt. Die schriftlichen Urteilsbegründungen liegen noch nicht vor.

Die Entscheidungen sind nicht rechtskräftig. Gegen die Urteile kann Antrag auf Zulassung der Berufung zum Bayerischen Verwaltungsgerichtshof gestellt werden.

(VG Ansbach, Urteile vom 2. November 2022 – AN 14 K 22.00468 und AN 14 K 21.01431)

EuGH-Generalanwalt
Schlussanträge vom 06.10.2022
C‑300/21
UI gegen Österreichische Post AG

Der EuGH-Generalanwalt kommt in seinen Schlussanträgen zu dem Ergebnis, dass ein Anspruch auf Schadensersatz aus Art. 82 DSGVO einen tatsächlichen materiellen oder immateriellen Schaden voraussetzt.

Das Ergebnis des EuGH-Generalanwalts:
Art. 82 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist wie folgt auszulegen:

Für die Anerkennung eines Anspruchs auf Ersatz des Schadens, den eine Person infolge eines Verstoßes gegen die genannte Verordnung erlitten hat, reicht die bloße Verletzung der Norm als solche nicht aus, wenn mit ihr keine entsprechenden materiellen oder immateriellen Schäden einhergehen.

Der in der Verordnung 2016/679 geregelte Ersatz immaterieller Schäden erstreckt sich nicht auf bloßen Ärger, zu dem die Verletzung ihrer Vorschriften bei der betroffenen Person geführt haben mag. Es ist Sache der nationalen Gerichte, herauszuarbeiten, wann das subjektive Unmutsgefühl aufgrund seiner Merkmale im Einzelfall als immaterieller Schaden angesehen werden kann.

Die vollständigen Schlussanträge finden Sie hier:

BAG
Beschluss vom 22.09.2022
8 AZR 209/21

Der BAG hat dem EuGH Fragen zur Auslegung von Art. 82 DSGVO und Art. 88 DSGVO zur Entscheidung vorgelegt. Es geht dabei um die Zulässigkeit der Verarbeitung personenbezogener Daten im Rahmen eines Beschäftigungsverhältnisses und möglichen Ansprüchen auf immateriellen Schadensersatz.

Die Vorlagefragen:

I. Der Gerichtshof der Europäischen Union wird gemäß Art. 267 AEUV um Vorabentscheidung über die Fragen ersucht:

1. Ist eine nach Art. 88 Abs. 1 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung; im Folgenden DSGVO) erlassene nationale Rechtsvorschrift – wie etwa § 26 Abs. 4 Bundesdatenschutzgesetz, im Folgenden BDSG – in der bestimmt ist, dass die Verarbeitung personenbezogener Daten – einschließlich besonderer Kategorien personenbezogener Daten – von Beschäftigten für Zwecke des Beschäftigungsverhältnisses auf der Grundlage von Kollektivvereinbarungen unter Beachtung von Art. 88 Abs. 2 DSGVO zulässig ist, dahin auszulegen, dass stets auch die sonstigen Vorgaben der DSGVO – wie etwa Art. 5, Art. 6 Abs. 1 und Art. 9 Abs. 1 und Abs. 2 DSGVO – einzuhalten sind?

2. Sofern die Frage zu 1. bejaht wird:
Darf eine nach Art. 88 Abs. 1 DSGVO erlassene nationale Rechtsvorschrift – wie § 26 Abs. 4 BDSG – dahin ausgelegt werden, dass den Parteien einer Kollektivvereinbarung (hier den Parteien einer Betriebsvereinbarung) bei der Beurteilung der Erforderlichkeit der Datenverarbeitung im Sinne der Art. 5, Art. 6 Abs. 1 und Art. 9 Abs. 1 und Abs. 2 DSGVO ein Spielraum zusteht, der gerichtlich nur eingeschränkt überprüfbar ist?

3. Sofern die Frage zu 2. bejaht wird:
Worauf darf in einem solchen Fall die gerichtliche Kontrolle beschränkt werden?

4. Ist Art. 82 Abs. 1 DSGVO dahin auszulegen, dass Personen ein Recht auf Ersatz des immateriellen Schadens bereits dann haben, wenn ihre personenbezogenen Daten entgegen den Vorgaben der DSGVO verarbeitet wurden oder setzt der Anspruch auf Ersatz des immateriellen Schadens darüber hinaus voraus, dass die betroffene Person einen von ihr erlittenen immateriellen Schaden – von einigem Gewicht – darlegt?

5. Hat Art. 82 Abs. 1 DSGVO spezial- bzw. generalpräventiven Charakter und muss dies bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DSGVO zulasten des Verantwortlichen bzw. Auftragsverarbeiters berücksichtig werden?

6. Kommt es bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DSGVO auf den Grad des Verschuldens des Verantwortlichen bzw. Auftragsverarbeiters an? Insbesondere, darf ein nicht vorliegendes oder geringes Verschulden auf Seiten des Verantwortlichen bzw. Auftragsverarbeiters zu dessen Gunsten berücksichtigt werden?

II. Das Revisionsverfahren wird bis zur Entscheidung des Gerichtshofs der Europäischen Union über das Vorabentscheidungsersuchen ausgesetzt.

Der LfDI Baden-Württemberg hat ein Bußgeld in Höhe von 50.000 EURO wegen der missbräuchlichen Verwendung von Grundbuchdaten durch ein Bauträgerunternehmen zu Werbezwecken verhängt.

Die Pressemitteilung der Datenschutzbehörde:
Bußgeld: Daten aus dem Grundbuch stehen nicht zur freien Verfügung

LfDI Baden-Württemberg hat Geldbußen wegen missbräuchlicher Verwendung von Grundbuchdaten verhängt

Auch Daten aus öffentlichen Registern wie dem Grundbuch stehen nicht zur freien Verfügung

Der Landesbeauftragte Dr. Stefan Brink: „Verantwortliche sollten sich bewusstmachen, dass auch öffentliche Daten Schutz genießen und nicht zur freien Verfügung stehen. Die im vorliegenden Fall verhängten Geldbußen machen deutlich, dass sich heimliche Datenverarbeitungen unter Ausnutzung spezieller Zugriffsrechte nicht auszahlen. Die Datenschutz-Grundverordnung gilt auch im hart umkämpften Markt um Bauland.“

Wegen rechtswidriger Datenerhebung und –weitergabe und Verstößen gegen die Informationspflichten hat der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg Geldbußen gegen ein Bauträgerunternehmen und einen Vermessungsingenieur in Höhe von 50.000 Euro und 5.000 Euro verhängt.

Ein Grundstückseigentümer in einem Neubaugebiet hatte ein Schreiben eines Bauträgers erhalten, in dem ihm ein Kaufpreisangebot für sein Grundstück unterbreitet wurde. Eine Information über die Herkunft seiner Daten enthielt das Schreiben nicht, auch auf Nachfrage wurde dem Adressaten nicht mitgeteilt, woher der Bauträger dessen Daten hatte, insbesondere die Kenntnis von dessen Eigentümerstellung.

Die Bußgeldstelle beim Landesbeauftragten ermittelte anschließend, dass ein Vermessungsingenieur von seiner Befugnis zur Einsichtnahme in das elektronische Grundbuch im automatisierten Abrufverfahren Gebrauch gemacht und in zwei Fällen mehrere Hundert Grundstückseigentümer ohne deren Kenntnis identifiziert und die entsprechenden Informationen an einen Bauträger weitergegeben hatte. Dieser wiederum schrieb die so ermittelten Eigentümer mit einem Kaufpreisangebot für deren Grundstücke an, ohne die notwendigen Informationen nach Art. 14 DS-GVO zu erteilen, insbesondere ohne über die Herkunft der Daten zu informieren.

Dieses Vorgehen stellt einerseits einen Verstoß gegen Art. 6 Abs. 1 DS-GVO dar. So ist bei der Interessenabwägung im Rahmen des Art. 6 Abs. 1 Buchst. f DS-GVO zu berücksichtigen, dass zwischen den Grundstückseigentümern und dem Bauträger keine vorherige Geschäftsbeziehung bestand und die Eigentümer nicht davon ausgehen mussten, dass ihre Daten im Grundbuch für werbliche Ansprachen zur Verfügung stehen. Hierbei kommt besondere Bedeutung der Tatsache zu, dass Grundstückseigentümer weder der Eintragung im Grundbuch noch der Datenübermittlung widersprechen können, vielmehr werden ihre Daten auf Grund einer gesetzlichen Pflicht erhoben. Diese gesetzliche Pflicht dient aber nicht der werblichen Ansprache, sondern der Rechtssicherheit bei Grundstücksgeschäften. Dementsprechend ist für das grundbuchrechtliche Einsichtsrecht auch allgemein anerkannt, dass ein alleiniges Erwerbsinteresse nicht zur Einsichtnahme berechtigt, es vielmehr bereits der konkreten Vertragsverhandlungen bedarf.

Zudem lag auch ein Verstoß gegen Art. 14 DS-GVO vor, indem den Eigentümern – auch bei Kontaktaufnahme – keine Informationen zur Datenverarbeitung zur Verfügung gestellt wurden. Diese Informationen sind aber wesentliche Voraussetzung für betroffene Personen, um ihre Betroffenenrechte nach den Art. 15 ff. DS-GVO geltend machen zu können. Ein Ausschlussgrund war vorliegend auch nicht gegeben, insbesondere stellt § 12 GBO keine Rechtsvorschrift im Sinne des Art. 14 Abs. 5 Buchst. c DS-GVO dar, da sich für betroffene Personen bei Einsichtnahme durch Dritte aus § 12 GBO weder die datenerhebende Stelle noch Umfang, Zweck oder Dauer der Datenerhebung ersichtlich sind.

Bei der Zumessung der Geldbuße wurde neben der Anzahl der betroffenen Personen, der Art der betroffenen Daten und der Bedeutung der verletzten Vorschriften vor allem die Kooperation der verantwortlichen Stellen im Bußgeldverfahren berücksichtigt.

Die Geldbußen wurden von den Verantwortlichen akzeptiert und sind zwischenzeitlich rechtskräftig.

Die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen hat gegen ein Kreditinstitut wegen datenschutzwidriger Profilbildung zu Werbezwecken ein Bußgeld in Höhe von 900.000 EURO verhängt. Das Kreditinstitut kann sich nicht auf ein berechtigtes Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO berufen. Vielmehr wäre die Einholung einer Einwilligung erforderlich gewesen.

Die Pressemitteilung der Datenschutzbehörde:
900.000 Euro Bußgeld gegen Kreditinstitut wegen Profilbildung zu Werbezwecken

Die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen hat gegen ein Kreditinstitut eine Geldbuße in Höhe von 900.000 Euro festgesetzt. Der Bußgeldbescheid ist noch nicht rechtskräftig.

Das Unternehmen hatte Daten aktiver sowie ehemaliger Kundinnen und Kunden ohne deren Einwilligung ausgewertet. Dazu analysierte es das digitale Nutzungsverhalten und wertete unter anderem das Gesamtvolumen von Einkäufen in App-Stores, die Häufigkeit der Nutzung von Kontoauszugsdruckern sowie die Gesamthöhe von Überweisungen im Online-Banking im Vergleich zur Nutzung des Filialangebots aus. Hierzu bediente es sich eines Dienstleisters. Ergänzend wurden die Ergebnisse der Analyse mit einer Wirtschaftsauskunftei abgeglichen und von dort angereichert. Ziel war es, Kundinnen und Kunden mit einer erhöhten Neigung für digitale Medien zu identifizieren und diese adressatengerecht für vertragsrelevante oder werbliche Zwecke verstärkt auf elektronischen Kommunikationswegen anzusprechen. Den meisten Kundinnen und Kunden wurden zwar vorab zusammen mit anderen Unterlagen Informationen zugeschickt. Diese ersetzten die notwendigen Einwilligungen allerdings nicht.

Dem Unternehmen wird vorgeworfen, dass die vorgenommene Auswertung nicht mit Artikel 6 Absatz 1 Buchstabe f der Datenschutz-Grundverordnung (DS-GVO) vereinbar war. Danach kann ein Verantwortlicher personenbezogene Daten auf Grundlage einer Interessenabwägung verarbeiten. Die Interessen der betroffenen Person dürfen dabei nicht überwiegen. Bei der Festsetzung der Geldbuße wurde berücksichtigt, dass das Unternehmen die Ergebnisse seiner Auswertungen nicht weiterverwendet hatte. Zudem hat sich das Unternehmen im gesamten Verfahren kooperativ gezeigt.

Häufung ähnlicher Fälle

Der LfD Niedersachsen werden vermehrt Fälle bekannt, in denen Verantwortliche Daten von Kundinnen und Kunden, die zunächst rechtmäßig verarbeitet wurden, zur Profilbildung auswerten. Hierzu nutzen Sie teilweise externe Anbieter oder gleichen ihre Ergebnisse mit diesen ab.

„Die Verantwortlichen holen sich für solche Auswertungen häufig keine Einwilligung der Kundinnen und Kunden ein“, sagt die Landesdatenschutzbeauftragte Barbara Thiel. „Stattdessen berufen sie sich auf eine Interessenabwägung nach Artikel 6 Absatz 1 Buchstabe f DS-GVO. Diese Rechtsgrundlage erlaubt es aber nicht, Profile für Werbezwecke zu bilden, indem man große Datenbestände auswertet.“

Zwar liegt die werbliche Ansprache (potenzieller) Kundinnen und Kunden im Interesse der Verantwortlichen. Der Gesetzgeber stuft dieses Interesse aber als weniger gewichtig ein, indem er für die betroffenen Personen eine erleichterte Widerspruchsmöglichkeit vorsieht. Der Widerspruch muss nicht begründet werden. Bei der Interessenabwägung überwiegen zudem die Interessen der betroffenen Kundinnen und Kunden.

Vernünftige Erwartung maßgeblich

Verantwortliche müssen bei der Interessenabwägung unter anderem die vernünftigen Erwartungen der Kundinnen und Kunden berücksichtigten. „Die Betroffenen erwarten es aber in der Regel nicht, dass Verantwortliche im großen Umfang Datenbestände nutzen, um ihre Neigung zu bestimmten Produktkategorien oder Kommunikationswegen zu identifizieren“, so Barbara Thiel. Verantwortliche können sich in diesen Fällen deshalb nicht auf eine Interessenabwägung berufen und müssen stattdessen Einwilligungen einholen.

Werden zudem externe Stellen einbezogen (z. B. Wirtschaftsauskunfteien), können Daten aus unterschiedlichen Lebensbereichen verkettet und so genauere Profile erstellt werden. Hiermit müssen Kundinnen und Kunden erst recht nicht rechnen, weshalb auch hierfür Einwilligungen eingeholt werden müssen.

BFH
Beschluss vom 28.06.2022
II B 92/21

Der BFH hat entschieden, dass für einen Schadenersatzanspruch aus Art. 82 DSGVO gegen Finanzbehörden der Finanzrechtsweg eröffnet ist.

Aus den Entscheidungsgründen:
1. Einfachgesetzlich ist der Finanzrechtsweg für den Schadenersatzanspruch aus Art. 82 DSGVO gemäß § 33 Abs. 1 Nr. 4 FGO i.V.m. § 32i Abs. 2 Satz 1 AO eröffnet.

a) Nach § 33 Abs. 1 Nr. 4 FGO ‑‑Nrn. 1 bis 3 kommen ersichtlich nicht in Betracht‑‑ ist in anderen als den in den Nrn. 1 bis 3 bezeichneten öffentlich-rechtlichen Streitigkeiten der Finanzrechtsweg gegeben, soweit er für diese durch Bundesgesetz oder Landesgesetz eröffnet ist. Nach § 32i Abs. 2 Satz 1 AO (vormals § 32i Abs. 2 AO) ist für Klagen der betroffenen Person hinsichtlich der Verarbeitung personenbezogener Daten gegen Finanzbehörden oder gegen deren Auftragsverarbeiter wegen eines Verstoßes gegen datenschutzrechtliche Bestimmungen im Anwendungsbereich der DSGVO oder der darin enthaltenen Rechte der betroffenen Person der Finanzrechtsweg gegeben.

b) Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ‑‑mithin die DSGVO‑‑ ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

c) Eine Klage auf Schadenersatz nach Art. 82 Abs. 1 DSGVO ist eine Klage "hinsichtlich der Verarbeitung personenbezogener Daten ... wegen eines Verstoßes gegen datenschutzrechtliche Bestimmungen im Anwendungsbereich der [DSGVO]" i.S. des § 32i Abs. 2 Satz 1 Alternative 1 AO.

aa) Die Wendungen in Art. 82 Abs. 1 DSGVO einerseits ("Verstoß gegen diese Verordnung") und in § 32i Abs. 2 Satz 1 Alternative 1 AO andererseits ("Verstoß gegen datenschutzrechtliche Bestimmungen im Anwendungsbereich der DSGVO") sind gleichbedeutend, denn die DSGVO enthält nur datenschutzrechtliche Bestimmungen.

bb) Die Schadenersatzklage ist auch eine Klage "hinsichtlich der Verarbeitung personenbezogener Daten ...", wie es der erste Satzteil des § 32i Abs. 2 Satz 1 Alternative 1 AO erfordert. Nach Art. 4 Nr. 2 DSGVO ist "Verarbeitung" jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten. Der Begriff umfasst, wie die folgende beispielhafte Aufzählung verdeutlicht, jeglichen Umgang mit Daten. Ein Verstoß gegen die DSGVO, wie ihn Art. 82 DSGVO verlangt, ist deshalb ohne Verarbeitung nicht denkbar.

d) Aus § 40 Abs. 2 Satz 1 VwGO, der für Schadenersatzansprüche aus der Verletzung öffentlich-rechtlicher Pflichten, die nicht auf einem öffentlich-rechtlichen Vertrag beruhen, den ordentlichen Rechtsweg vorsieht, folgt einfachgesetzlich schon deshalb nichts Gegenteiliges, weil § 32i Abs. 2 AO nur als lex specialis zu dieser Vorschrift verstanden werden kann.

2. Auch aus verfassungsrechtlichen Gründen ergibt sich keine Zuständigkeit der ordentlichen Gerichte für den streitigen Schadenersatzanspruch. Es handelt sich nicht um einen Amtshaftungsanspruch i.S. des Art. 34 Satz 1 GG.

a) Verletzt jemand in Ausübung eines ihm anvertrauten öffentlichen Amtes die ihm einem Dritten gegenüber obliegende Amtspflicht, so trifft nach Art. 34 Satz 1 GG die Verantwortlichkeit grundsätzlich den Staat oder die Körperschaft, in deren Dienst er steht. Art. 34 Satz 3 GG verbietet es, für Amtshaftungsansprüche die Zuständigkeit der allgemeinen ordentlichen Gerichte auszuschließen (Dagtoglou in: Kahl/Waldhoff/Walter, Bonner Kommentar zum Grundgesetz, 1. Aufl. 2021, Art. 34, Rz 359).

b) Der Anspruch aus Art. 82 Abs. 1 DSGVO ist auch dann, wenn er sich gegen eine Behörde richtet, kein Anspruch aus der Verletzung von Amtspflichten i.S. des Art. 34 Satz 1 GG, da es sich nicht um eine auf die Behörde übergeleitete Haftung des Amtsträgers, sondern um eine originäre Haftung der Behörde handelt.

aa) Die Rechtsweggarantie des Art. 34 Satz 3 GG hat, soweit sie den Anspruch gegen die Anstellungskörperschaft betrifft, allein die übergeleitete Haftung des Amtsträgers zum Gegenstand, nicht hingegen Ansprüche aus unmittelbarer Staatshaftung. Die in Art. 34 Satz 1 GG angesprochene Amtspflicht ist die Pflicht des Amtsträgers persönlich. Art. 34 GG leitet die durch § 839 des Bürgerlichen Gesetzbuchs (BGB) begründete persönliche Haftung des Beamten auf den Staat über. § 839 BGB ist die haftungsbegründende Vorschrift, während Art. 34 GG die haftungsverlagernde Norm darstellt. Der Staat wird durch die Übernahme der persönlichen Beamtenhaftung nach § 839 BGB zwar Haftungssubjekt, aber nicht Zurechnungssubjekt (Urteil des Bundesverfassungsgerichts ‑‑BVerfG‑‑ vom 19.10.1982 - 2 BvF 1/81 "Amtshaftung", BVerfGE 61, 149, BGBl I 1982, 1493, unter C.I.2.b dd (1)). Das bedeutet, dass Art. 34 Satz 3 GG neben dem Rückgriffsanspruch gegen den Amtsträger auch nur die Ansprüche des Art. 34 Satz 1 GG erfasst, namentlich den Schadenersatzanspruch gegen den Amtsträger selbst sowie den übergeleiteten Haftungsanspruch gegen den Staat. Art. 34 GG verbietet es zwar nicht, unmittelbare Staatshaftungsansprüche einzuführen (BVerfG-Urteil in BVerfGE 61, 149, BGBl I 1982, 1493, unter C.I.2.b dd (1)), trifft dafür aber auch keine Regelung.

bb) Der Schadenersatzanspruch nach Art. 82 Abs. 1 DSGVO richtet sich gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Verantwortlicher ist nach Art. 4 Nr. 7 DSGVO die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Sowohl der Begriff des Verantwortlichen als auch der des Auftragsverarbeiters ist mithin institutionell zu verstehen. Soweit in einer Behörde Daten verarbeitet werden, ist damit nicht der jeweilige Amtsträger persönlich Verantwortlicher i.S. der DSGVO und folglich auch nicht Adressat des Anspruchs. Der Anspruch richtet sich vielmehr unmittelbar gegen den Staat bzw. eine seiner Institutionen. Damit handelt es sich um einen gegenüber den in Art. 34 GG erfassten Amtshaftungsansprüchen grundlegend anders gearteten Anspruch.

cc) Der Schadenersatzanspruch nach der DSGVO kann in Anspruchskonkurrenz neben einen Amtshaftungsanspruch aus § 839 BGB i.V.m. Art. 34 GG treten (vgl. Urteil des Oberlandesgerichts Düsseldorf vom 28.10.2021 - 16 U 275/20, Monatsschrift für Deutsches Recht 2022, 435, Rz 69; BeckOK DatenschutzR/Quaas, 39. Ed. 01.11.2021, DSGVO Art. 82 Rz 8; Hans-Jürgen Schaffland; Gabriele Holthaus in: Schaffland/Wiltfang, Datenschutz-Grundverordnung/Bundesdatenschutzgesetz, Stand April 2022, Art. 82, Rz 34a; Gola DSGVO/Gola/Piltz, 2. Aufl. 2018, DSGVO Art. 82 Rz 28; Paal/Pauly/Frenzel, 3. Aufl. 2021, DSGVO Art. 82 Rz 20). Davon geht die DSGVO ausweislich Erwägungsgrund 146 Satz 4 selbst aus (vgl. Ehmann/Selmayr/Nemitz, 2. Aufl. 2018, DSGVO Art. 82 Rz 7). Das entspricht dem Grundsatz, dass auch sonst zwischen einem Amtshaftungsanspruch und einem auf demselben Tatsachenkomplex beruhenden Entschädigungsanspruch Anspruchskonkurrenz bestehen kann (so zu einem enteignungsgleichen Eingriff Urteil des Bundesgerichtshofs vom 11.01.2007 - III ZR 302/05, BGHZ 170, 260, Neue Juristische Wochenschrift 2007, 830, unter B.II.2.a; ausdrücklich für den unionsrechtlichen Staatshaftungsanspruch BeckOK GG/Grzeszick, 51. Ed. 15.05.2022, GG Art. 34 Rz 4).

Das bedeutet jedoch nicht, dass die Rechtswegzuweisung des Art. 34 Satz 3 GG sich auch auf den jeweils konkurrierenden Anspruch erstreckt. Ebenso wenig gilt die Rechtswegzuweisung nach § 32i Abs. 2 AO für den Amtshaftungsanspruch. Nach § 17 Abs. 2 Satz 2 GVG tritt vielmehr eine Rechtswegspaltung ein.

dd) Soweit das Hessische Landessozialgericht (LSG) in seinem Beschluss vom 26.01.2022 - L 6 SF 7/21 DS (juris, Beschwerde beim Bundessozialgericht anhängig unter B 1 SF 1/22 R) in dem Anspruch aus Art. 82 Abs. 1 DSGVO einen Amtshaftungsanspruch sieht, für den die Rechtswegzuweisung des Art. 34 Satz 3 GG der spezialgesetzlichen Zuweisung der DSGVO-Sachen zur Sozialgerichtsbarkeit gemäß § 81b Abs. 1 des Zehnten Buchs Sozialgesetzbuch, einer mit § 32i Abs. 2 Satz 1 AO weitgehend wortgleichen Vorschrift, vorgehe, teilt der Senat diese Auffassung nicht. Das Hessische LSG geht davon aus, Art. 34 Satz 3 GG umfasse (jegliche) schadenersatzrechtliche Haftungsregelungen des Staates, wenn hoheitliches Handeln eines seiner Amtswalter rechtswidrig einen kompensationsfähigen Schaden verursacht habe (Rz 23). Der Senat erachtet dieses Verständnis sowohl angesichts des Wortlauts des Art. 34 Satz 3 GG als auch angesichts des Urteils des BVerfG in BVerfGE 61, 149, BGBl I 1982, 1493 für zu weitgehend. Es ist zwar zutreffend, dass Art. 34 GG für sich genommen kein Verschuldenserfordernis kennt, worauf das Hessische LSG abstellt. Damit allein wird die Amtspflicht jedoch nicht definiert. Die vom Hessischen LSG in diesem Zusammenhang zitierten Literaturauffassungen gehen in Übereinstimmung mit dem BVerfG davon aus, dass die Staatshaftung nach aktueller Rechtslage lediglich durch Überleitung der Eigenhaftung des Amtsträgers auf den Staat entsteht (Papier/Shirvani in Dürig/Herzog/Scholz, Komm. z. GG, Art. 34 Rz 17, 218; BeckOK GG/Grzeszick, a.a.O., Rz 19 bis 20.1).

3. Eine Vorlage des Rechtsstreits an den EuGH nach Art. 267 AEUV ist nicht veranlasst. Es ist nicht im Ansatz erkennbar, warum Art. 82 DSGVO einer nationalen Regelung entgegenstehen könnte, die den Schadenersatzanspruch ebenso wie andere datenschutzrechtliche Ansprüche der Finanzgerichtsbarkeit zuweist. Ob umgekehrt unionsrechtliche Bedenken bestünden und deshalb ggf. eine Vorlage angezeigt wäre, wenn das nationale Recht die allgemeinen datenschutzrechtlichen Ansprüche einerseits und den Schadenersatzanspruch andererseits unterschiedlichen Gerichten zuwiese ‑‑so wie es der Auffassung des FG, aber auch des Hessischen LSG entspricht‑‑, muss nicht mehr entschieden werden.

Den Volltext der Entscheidung finden Sie hier:

LG Ravensburg
Beschluss vom 30.06.2022
1 S 27/22

Das LG Ravensburg hat dem EuGH Fragen zur Auslegung von Art. 82 DSGVO zur Entscheidung vorgelegt. U.a. geht es um die Frage, ob eine Bagatellgrenze / Erheblichkeitsschwelle für Ansprüche aus Art. 82 DSGVO besteht.

Aus den Entscheidungsgründen:

Das Vorabentscheidungsersuchen betrifft die Auslegung von Artikel 82 Abs. 1 DSGVO.

Das Vorabentscheidungsersuchen ergeht im Rahmen eines Rechtsstreits zwischen den Klägern und der Beklagten. Die Kläger nehmen die Beklagte unter anderem auf Zahlung eines Schmerzensgeldes für die Verletzung der DSGVO in Anspruch. Die Beklagte hatte am 19.06.2020 ohne Einverständnis der Kläger im Internet eine Tagesordnung für eine Gemeinderatssitzung veröffentlicht, in der mehrfach die Namen der Kläger genannt wurden, und ein am 10.03.2020 vom Verwaltungsgericht Sigmaringen verkündetes Urteil veröffentlicht, in dessen Rubrum die Kläger ungeschwärzt mit Vor- und Nachname und ihrer Anschrift aufgeführt waren. Diese Unterlagen waren auf der Homepage der Beklagten bis zum 22.06.2020 einsehbar.

Artikel 82 Abs. 1 DSGVO lautet:

"Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter".

Erwägungsgrund Nr. 146 Satz 3 und Satz 6 der DSGVO hat auszugsweise folgenden Wortlaut:

"Der Begriff des Schadens sollte im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht [...]. Die betroffenen Personen sollten einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten".

Die Kammer geht davon aus, dass die Beklagte durch die Veröffentlichung der personenbezogenen Daten der Kläger im Internet gegen Artikel 5 Abs. 1 a DSGVO verstoßen hat. Die Kammer hat daher darüber zu entscheiden, ob den Klägern ein Anspruch auf Zahlung eines Schmerzensgeldes zusteht. Die Kammer neigt zu der Annahme, der bloße Verlust der Datenhoheit genüge im vorliegenden Fall nicht aus, um einen immateriellen Schaden der Kläger gemäß Artikel 82 Abs. 1 DSGVO zu rechtfertigen. Die Kammer neigt zu der Annahme, für die Bejahung eines immateriellen Schadens müsse eine Bagatellgrenze überschritten sein, die bei einem lediglich kurzfristigen Verlust der Datenhoheit, der keinerlei spürbare Nachteile für die betroffenen Personen verursacht habe, nicht überschritten sei. Die Entscheidung des Rechtsstreits hängt daher von der Vorlagefrage ab.

Es besteht in der Literatur und Rechtsprechung weitgehend Einigkeit, dass die deutsche Rechtsprechung, die immateriellen Schadensersatz bei Persönlichkeitsrechtsverletzungen nur bei einer schwerwiegenden Verletzung zuerkennt, für die Auslegung von Artikel 82 Abs.1 DSGVO nicht herangezogen werden kann (Kühling/Buchner/Bergt, DSGVO, 3. Auflage, Artikel 82 Rn. 17 ff; Wolff/Brink/Quaas; BeckOK, Datenschutzrecht, Artikel 82 DSGVO Rn. 31 f; Gola/Piltz, Datenschutzgrundverordnung, 2. Auflage, Artikel 82 DSGVO, Rn. 12 f; Spittka, GRUR-Prax 2019, 475; LG Darmstadt, ZE 2020, 642; LG Frankfurt, ZE 2020, 639; einschränkend Wytibul, NJW 2019, 3265). Die Kammer hat in einem früheren Berufungsverfahren (Az. 1 S 108/20) die Auffassung vertreten, nicht jeder Verstoß gegen die DSGVO, insbesondere nicht jede unzulässige Verarbeitung personenbezogener Daten, führe automatisch zu einem Anspruch auf immateriellen Schadensersatz. Schmerzensgeld solle auch nach Artikel 82 Abs.1 DSGVO nicht für jeden Bagatellverstoß ohne ernsthafte Beeinträchtigung bzw. lediglich individuell empfundene Unannehmlichkeiten gewährt werden. Vielmehr müsse ein spürbarer Nachteil entstanden sein und es müsse eine objektiv nachvollziehbare Beeinträchtigung persönlichkeitsbezogener Belange vorliegen.

Will ein Gericht, wie vorliegend, infolge der Verneinung eines (immateriellen) Schadens eine Klage abweisen, weil es von dem Vorhandensein einer sog. "Bagatellgrenze" ausgeht, die für einen Anspruch auf Zahlung eines Schmerzensgeldes überschritten sein muss, ist es zu einer eigenständigen Auslegung des Schadensbegriffs nicht berechtigt, sondern hat die Frage, wie der Schadensbegriff des Artikel 82 Abs. 1 DSGVO auszulegen ist, dem EuGH vorzulegen (BVerfG, Beschluss von 14.1.2021 – 1 BvR 2853/19 = NJW 2021, 1005).

Bis zur Entscheidung des EuGH über die Vorlagefrage wird das Berufungsverfahren ausgesetzt.

Den Volltext der Entscheidung finden Sie hier: