Skip to content

EuGH: Betroffener muss für Schadensersatzanspruch aus Art. 82 DSGVO konkreten materiellen oder immateriellen Schaden nachweisen - Kontrollverlust reicht nicht

EuGH
Urteil vom 25.01.2024
C-687/21
[...] gegen MediaMarktSaturn Hagen-Iserlohn GmbH, vormals Saturn Electro-Handelsgesellschaft mbH Hagen,


Der EuGH hat entschieden, dass ein Betroffener für einen Schadensersatzanspruch aus Art. 82 DSGVO nachweisen muss, dass ein DSGVO-Verstoß einen konkreten materiellen oder immateriellen Schaden verursacht hat. Der bloße Kontrollverlust über personenbezogene Daten reicht nicht. Zudem führt der EuGH aus, dass der Anspruch aus Art. 82 DSGVO kein "Strafschadensersatz" ist.

Tenor der Entscheidung:
1. Die Art. 5, 24, 32 und 82 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) sind zusammen betrachtet dahin auszulegen, dass im Rahmen einer auf Art. 82 gestützten Schadensersatzklage der Umstand, dass Mitarbeiter des für die Verarbeitung Verantwortlichen irrtümlich ein Dokument mit personenbezogenen Daten an einen unbefugten Dritten weitergegeben haben, für sich genommen nicht ausreicht, um davon auszugehen, dass die technischen und organisatorischen Maßnahmen, die der für die betreffende Verarbeitung Verantwortliche getroffen hat, nicht „geeignet“ im Sinne der Art. 24 und 32 waren.

2. Art. 82 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen, dass der in dieser Bestimmung vorgesehene Schadensersatzanspruch, insbesondere im Fall eines immateriellen Schadens, eine Ausgleichsfunktion hat, da eine auf sie gestützte Entschädigung in Geld es ermöglichen soll, den konkret aufgrund des Verstoßes gegen die Verordnung 2016/679 erlittenen Schaden vollständig auszugleichen, und keine Straffunktion erfüllt.

3. Art. 82 der Verordnung 2016/679 ist dahin auszulegen, dass er nicht verlangt, dass die Schwere des von dem für die Verarbeitung Verantwortlichen begangenen Verstoßes für die Zwecke des Ersatzes eines Schadens auf der Grundlage dieser Bestimmung berücksichtigt wird.

4. Art. 82 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen, dass die Person, die aufgrund dieser Bestimmung Schadensersatz verlangt, nicht nur den Verstoß gegen Bestimmungen der Verordnung 2016/679 nachweisen muss, sondern auch, dass ihr dadurch ein materieller oder immaterieller Schaden entstanden ist.

5. Art. 82 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen, dass in einem Fall, in dem ein Dokument, das personenbezogene Daten enthält, an einen unbefugten Dritten weitergegeben wurde, der diese Daten erwiesenermaßen nicht zur Kenntnis genommen hat, nicht schon deshalb ein „immaterieller Schaden“ im Sinne dieser Bestimmung vorliegt, weil die betroffene Person befürchtet, dass im Anschluss an die Weitergabe, die es ermöglichte, vor der Rückgabe des Dokuments eine Kopie von ihm anzufertigen, in der Zukunft eine Weiterverbreitung oder gar ein Missbrauch ihrer Daten stattfindet.

Den Volltext der Entscheidung finden Sie hier:


OLG Hamm: Kontrollverlust über personenbezogene Daten bei unrechtmäßiger Datenverarbeitung begründet allein keinen Anspruch auf immateriellen Schadensersatz aus Art. 82 DSGVO

OLG Hamm
Beschluss vom 21.12.2023
7 U 137/23

Das OLG Hamm hat seine Rechtsansicht bekräftigt, wonach ein Kontrollverlust über personenbezogene Daten bei unrechtmäßiger Datenverarbeitung allein keinen Anspruch auf immateriellen Schadensersatz aus Art. 82 DSGVO begründet.

Aus den Entscheidungsgründen:
1. Die Berufung hat offensichtlich keine Aussicht auf Erfolg (§ 522 Abs. 2 Satz 1 Nr. 1 ZPO).

Mit Blick auf den vorliegend fehlenden kausalen immateriellen Schaden folgen die Ausführungen im Hinweisbeschluss des Senats der Rechtsprechung des EuGH (Urt. v. 14.12.2023 – C-340/21, BeckRS 2023, 35786 Rn. 84, 85). Danach hat der Kläger als Person, die von einem Verstoß gegen die DSGVO betroffen ist, der für sie negative Folgen gehabt hat, nachzuweisen, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 DSGVO darstellen. Dem folgend sieht der Senat somit den Kläger zutreffend in der Pflicht, den Indizienbeweis zum Eintritt eines kausalen immateriellen Schadens zu führen. Indem der Senat sich mit den vom Kläger dargelegten Indizien befasst und diese (hier als nicht den Eintritt eines kausalen immateriellen Schadens tragend) würdigt, setzt der Senat schlicht die weitere Vorgabe des EuGH um; denn danach ist das angerufene nationale Gericht, wenn sich eine Person auf die Befürchtung beruft, dass ihre personenbezogenen Daten in Zukunft aufgrund eines solchen Verstoßes missbräuchlich verwendet werden, gehalten zu prüfen, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann.

2. Die Sache hat auch keine grundsätzliche Bedeutung (§ 522 Abs. 2 Satz 1 Nr. 2 ZPO). Ebenso wenig ist eine Entscheidung des BGH zur Fortbildung des Rechts oder zur Sicherung einer einheitlichen Rechtsprechung erforderlich (§ 522 Abs. 2 Satz 1 Nr. 3 ZPO); denn die im vorliegenden Rechtsstreit entscheidungserheblichen Rechtsfragen sind durch die Rechtsprechung des EuGH und des BGH hinreichend geklärt und im Übrigen solche des Einzelfalls.

a) Mit Blick auf das Tatbestandsmerkmal „Eintritt eines kausalen immateriellen Schadens“ im Sinne des Art. 82 Abs. 1 DSGVO bietet der vorliegende Einzelfall keinen Anhaltspunkt für die Annahme einer weiteren klärungsbedürftigen und klärungsfähigen Rechtsfrage; vielmehr ist die streitgegenständliche Rechtsfrage zur fehlenden Qualität der negativen Folge eines bloßen Kontrollverlusts als immaterieller Schaden durch die aufgezeigten aktuellen Entscheidungen des EuGH geklärt. Die Vorlagefrage 4 aus dem Beschluss des BGH vom 26.09.2023 (VI ZR 97/22) betrifft eine andere Konstellation (vgl. hierzu i.E. Senat Beschl. v. 18.10.2023 – I-7 U 77/23, BeckRS 2023, 32741 Rn. 4).

b) Soweit das OLG Stuttgart (Urt. v. 22.11.2023 - 4 U 20/23, GRUR-RS 2023, 32883, Rn. 89 ff., 257 ff.) von der hiesigen Senatsrechtsprechung abweichend den dortigen und hiesigen Antrag zu 2. auf Feststellung der Ersatzpflicht der Beklagten für künftige materielle und immaterielle Schäden als zulässig und begründet ansieht, folgt aus dieser (vermeintlichen) Divergenz obergerichtlicher Entscheidungen kein Bedarf einer Klärung durch den BGH.

Klärungsbedürftig und damit von grundsätzlicher Bedeutung ist nur eine entscheidungserhebliche Rechtsfrage und auch nur dann, wenn ihre Beantwortung zweifelhaft ist oder wenn zu ihr unterschiedliche Auffassungen vertreten werden und die Frage höchstrichterlich noch nicht geklärt ist (vgl. BGH Beschl. v. 6.3.2019 – IV ZR 108/18, Rn. 13).

An einer grundsätzlichen Bedeutung in diesem Sinne fehlt es zunächst deshalb, weil das OLG Stuttgart (Urt. v. 22.11.2023 - 4 U 20/23, GRUR-RS 2023, 32883, Rn. 81) und der Senat (vgl. hierzu i.E. Senat Urt. v. 15.8.2023 – 7 U 19/23, GRUR-RS 2023, 22505 Rn. 191 ff.) übereinstimmend in rechtlicher Hinsicht die höchstrichterliche Rechtsprechung zugrunde legen, wonach für Schäden, die aus der behaupteten Verletzung des allgemeinen Persönlichkeitsrechts, also eines sonstigen absolut geschützten Rechtsguts im Sinne von § 823 Abs. 1 BGB, resultieren, bereits die Möglichkeit materieller oder weiterer immaterieller Schäden für die Annahme eines Feststellungsinteresses ausreicht.

Eine Divergenz in den obergerichtlichen Entscheidungen besteht lediglich insoweit, als das OLG Stuttgart anders als der Senat im Zuge der Subsumtion nicht auf den zu entscheidenden Einzelfall abstellt, sondern apodiktisch ohne die Betrachtung der Umstände des konkreten Einzelfalls die abstrakte, theoretische Möglichkeit eines (materiellen und immateriellen) Schadenseintritts für ausreichend erachtet.

Dies rechtfertigt es jedoch nicht, eine grundsätzliche Bedeutung anzunehmen; denn durch die gefestigte Rechtsprechung des BGH (vgl. nur BGH Urt. v. 5.10.2021 – VI ZR 136/20, NJW-RR 2022, 23 Rn. 28 m.w.N.) ist bereits höchstrichterlich geklärt, dass die Frage der Möglichkeit eines Schadenseintritts gerade nicht abstrakt, sondern aus der Sicht des konkret Geschädigten in verständiger Würdigung zu beurteilen ist. Dem folgt der Senat in Achtung der zugrundeliegenden Intention, der Beklagtenpartei keinen Rechtsstreit über nur theoretische Fragen aufzuzwingen, in ständiger Rechtsprechung (vgl. Senat Urt. v. 15.8.2023 – 7 U 19/23, GRUR-RS 2023, 22505 Rn. 194 m.w.N.). Dies mag das OLG Stuttgart (Urt. v. 22.11.2023 - 4 U 20/23, GRUR-RS 2023, 32883, Rn. 93 f.) verkannt haben. Eine solche vereinzelte, nicht nachvollziehbar begründete Entscheidung zwingt den Senat jedenfalls nicht zur Zulassung der Revision und damit zugleich zur Abkehr vom Verfahren nach § 522 Abs. 2 ZPO (vgl. dazu BGH Beschl. v. 6.3.2019 - IV ZR 108/18, r+s 2019, 272 Rn. 14; BGH Beschl. v. 8.2.2010 - II ZR 156/09, NJW-RR 2010, 978 Rn. 3; BGH Beschl. v. 27.11.2013 - VII ZR 371/12, NJW 2014, 456 Rn. 9).

Mit Blick darauf ist auch eine Entscheidung des BGH zur Fortbildung des Rechts nicht geboten. Ebenso wenig liegt eine tragende Rechtssatzabweichung von der Rechtsprechung eines höher- oder gleichrangigen anderen Gerichts vor, die eine höchstrichterliche Entscheidung zur Sicherung einer einheitlichen Rechtsprechung erforderte (vgl. hierzu BGH Beschl. v. 6.3.2019 - IV ZR 108/18, r+s 2019, 272 Rn. 15).

c. Entsprechendes gilt insoweit, als das OLG Stuttgart (Urt. v. 22.11.2023 – 4 U 20/23, GRUR-RS 2023, 32883 Rn. 98 ff. und 272) anders als der Senat (Urt. v. 15.8.2023 – 7 U 19/23, GRUR-RS 2023, 22505 Rn. 203 ff.) die Unterlassungsanträge als zulässig erachtet und mit Blick darauf, dass in der Sache über die Unterlassungsansprüche letztlich doch die Implementierung bestimmter Sicherheitsmaßnahmen und damit im Ergebnis eine Leistung verlangt werde, erst die Begründetheit verneint; denn das OLG Stuttgart setzt sich in keiner Weise mit den Ausführungen des Senats zur Unzulässigkeit der beiden Unterlassungsanträge, die auf entsprechender Rechtsprechung des BGH fußen, auseinander. Infolgedessen lassen sich über den jeweiligen Einzelfall hinaus schon keine (weiteren) Unklarheiten in der höchstrichterlichen Rechtsprechung, die eine zusätzliche Klärung durch den BGH erforderten (vgl. hierzu BGH Beschl. v. 8.2.2010 - II ZR 156/09, NJW-RR 2010, 978 Rn. 3; BGH Beschl. v. 27.11.2013 - VII ZR 371/12, NJW 2014, 456 Rn. 9), feststellen.

d. Allein die Vielzahl bundesweit anhängiger gleichgerichteter Rechtsstreite vermag vor dem Hintergrund, dass die entscheidungserheblichen Rechtsfragen sämtlich durch EuGH und BGH geklärt sind, dem Einzelfall keine grundsätzliche Bedeutung zu verleihen.

3. Auch die Durchführung einer mündlichen Verhandlung (§ 522 Abs. 2 Satz 1 Nr. 4 ZPO) ist nicht geboten. Es wird insoweit auf die Ausführungen im Hinweisbeschluss vom 24.11.2023 (Bl. 149 ff. der zweitinstanzlichen elektronischen Gerichtsakte) Bezug genommen.

II. Die Kostenentscheidung beruht auf § 97 Abs. 1 ZPO; die Entscheidung über die vorläufige Vollstreckbarkeit folgt aus § 544 Abs. 2, § 708 Nr. 10, § 713 ZPO.

III. Aus dem Umstand, dass das OLG Stuttgart im Tenor seines Urteils (v. 22.11.2023 – 4 U 20/23, GRUR-RS 2023, 32883) ohne weitere Begründung in seinem Einzelfall den Streitwert für das Berufungsverfahren auf 7.000,00 EUR festgesetzt hat, ergibt sich für den Senat für den vorliegenden Einzelfall kein Grund von seiner Praxis zur Streitwertfestsetzung abzuweichen. Auch insoweit orientiert sich der Senat an ständiger Rechtsprechung des BGH (Senat Urt. v. 15.8.2023 – 7 U 19/23, GRUR-RS 2023, 22505 Rn. 254 ff.).


Den Volltext der Entscheidung finden Sie hier:

OLG Hamburg: 4.000 EURO immaterieller Schadensersatz aus Art. 82 DSGVO wegen zwei unberechtigter Schufameldungen

OLG Hamburg
Urteil vom 10.01.2024
13 U 70/23

Das OLG Hamburg hat entschieden, dass dem Betroffenen 4.000 EURO immaterieller Schadensersatz aus Art. 82 DSGVO wegen zwei unberechtigter Schufameldungen zustehen.

Aus den Entscheidungsgründen:
Der Kläger hat gegen die Beklagte Anspruch auf Ersatz immateriellen Schadens gem. Art. 82 Abs. 1, Abs. 2 S. 1. DSGVO in Höhe von insgesamt 4.000,00.

Die Beklagte hat als „Verantwortlicher" i.S.d. Art. Nr. DSGVO gegen ihre Pflichten aus Art. 5, 6 i.V.m. Art.4 Abs.2 DSGVO verstoßen, indem sie ihre Forderungen gegen den Kläger zweimal an die Schufa gemeldet hat, obwohl die Voraussetzungen hierfür nicht vorlagen. Zur Begründung wird auf die zutreffenden Ausführungen des Landgerichts Bezug genommen, welchen sich das Berufungsgericht vollen Umfangs anschließt.

Hierdurch ist dem Kläger auch ein ersatzfähiger immaterieller Schaden entstanden. Das Landgericht hat sorgfältig und überzeugend begründet, dass der Kläger durch die zweifache unberechtigte Meldung an die Schufa eine Beeinträchtigung seines sozialen Ansehens durch die Darstellung als unzuverlässiger Schuldner hinnehmen musste.

Der Kläger hat zudem belegt, dass sich aus der Auskunft der Schufa und der verschlechterten Einschätzung des Bonitätsrisikos konkrete negative Konsequenzen in Bezug auf die Gewährung eines Kredits durch die ING (Anlage K16) sowie die Sperrung seiner Kreditkarte bei der Hanseatic Bank (Anlage 17) ergeben habe.

Bei der Bemessung des danach zuzuerkennenden Schmerzensgeldes sind nach Auffassung des Berufungsgerichts jedoch nicht alle Umstände hinreichend gewichtet worden.

Der EuGH (Urteil vom 4.5.2023, C-300/21, Rz. 51) hat zur Bemessung des geschuldeten Schadenersatzes festgestellt, dass die DSGVO keine Bestimmung enthält, die sich den Regeln für die Bemessung des Schadenersatzes widmet, auf den eine betroffene Person nach Art. 82 DSGVO Anspruch hat, wenn ihr durch einen Verstoß gegen die Verordnung ein Schaden entstanden ist, und dass ... die Festlegung der Kriterien für die Ermittlung des Umfangs des geschuldeten Schadenersatzes in Ermanglung einschlägiger unionsrechtlicher Vorschriften Aufgabe des Rechts des einzelnen Mitgliedsstaates ist, wobei der Äquivalenz- und der Effektivitätsgrundsatz zu beachten sind.

Maßgeblich sind hiernach die im deutschen Recht für die Schmerzensgeldbemessung maßgeblichen Kriterien, womit die Höhe des Ersatzanspruchs auf Grund einer Würdigung der Gesamtumstände des Falls unter Berücksichtigung der dem Schmerzensgeld zukommenden Ausgleichs- und Genugtuungsfunktion festzusetzen.

Danach muss zum einen dem Umstand, dass auf Seiten der Beklagten jedenfalls bedingter Vorsatz angenommen werden muss, besondere Bedeutung beigemessen werden. Die Beklagte hat die erste Meldung vorgenommen, obwohl der Kläger die Forderung auf ihren eigenen Hinweis hin, dass eine Meldung an die Schufa (nur dann) erfolgen werde, sofern er die Forderung nicht bestritten habe, mit Schreiben vom 1.12.2019, Anlage 7, ausdrücklich bestritten hat. Auch die zweite Meldung erfolgte trotz weiteren Bestreitens durch den Kläger (Schreiben vom 29.12.2019, Anlage 11), seiner Aufforderung zur Löschung und einer zwischenzeitlich erfolgten Löschung durch die Schufa selbst (Anlage 14). Ein solches Verhalten kann nicht anders gedeutet werden, als dass die Beklagte wissentlich und jedenfalls unter billigender Inkaufnahme des als möglich erkannten pflichtwidrigen Erfolges ihre Pflichten aus der DSGVO verletzt hat. Hinzu kommt, dass die Beklagte sich trotz Aufforderung durch den Kläger und Darlegung der Rechtswidrigkeit der Meldung geweigert hat, den Negativeintrag zu widerrufen.

Unter Berücksichtigung der dargestellten Umstände und im Hinblick auf einen kürzlich vom Senat entschiedenen vergleichbaren Fall, wo es weder zu konkreten Auswirkungen durch die Schufa-Meldung gekommen war noch ein vorsätzliches Vorgehen der Beklagten festgestellt werden konnte (13 71/21) und vom Senat ein Schmerzensgeld in Höhe von 1.000,- je Meldung zuerkannt worden war, wird ein deutlich höherer Betrag in Höhe von 2.000,- je Meldung, mithin insgesamt 4.000,00 als angemessen, aber auch als ausreichend erachtet, so dass die weitergehende Berufung zurückzuweisen ist.



EuGH: Verarbeitung von Gesundheitsdaten nach Art. 9 Abs. 2 lit. h DSGVO muss auch Art. 6 Abs. 1 DSGVO erfüllen - Schadensersatzanspruch aus Art. 82 DSGVO ist Kompensation für konkreten Schaden

EuGH
Urteil vom 21.12.2023
C‑667/21
Medizinischer Dienst der Krankenversicherung Nordrhein

Der EuGH hat entschieden, dass Verarbeitung von Gesundheitsdaten auf Grundlage von Art. 9 Abs. 2 lit. h DSGVO auch die Voraussetzungen von Art. 6 Abs. 1 DSGVO erfüllen muss. Ferner hat der EuGH entschieden, dass ein Schadensersatzanspruch aus Art. 82 DSGVO die Kompensation für einen konkreten Schaden darstellt.

Tenor der Entscheidung:
1. Art. 9 Abs. 2 Buchst. h der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass die in dieser Bestimmung vorgesehene Ausnahme unter dem Vorbehalt, dass die betreffende Datenverarbeitung die in Buchst. h und in Art. 9 Abs. 3 ausdrücklich vorgeschriebenen Voraussetzungen und Garantien erfüllt, auf Situationen anwendbar ist, in denen eine Stelle für medizinische Begutachtung Gesundheitsdaten eines ihrer Arbeitnehmer nicht als Arbeitgeber, sondern als Medizinischer Dienst verarbeitet, um die Arbeitsfähigkeit dieses Arbeitnehmers zu beurteilen.

2. Art. 9 Abs. 3 der Verordnung 2016/679 ist dahin auszulegen, dass der für eine auf Art. 9 Abs. 2 Buchst. h dieser Verordnung gestützte Verarbeitung von Gesundheitsdaten Verantwortliche gemäß diesen Bestimmungen nicht verpflichtet ist, zu gewährleisten, dass kein Kollege der betroffenen Person Zugang zu den Daten über ihren Gesundheitszustand hat. Eine solche Pflicht kann dem für eine solche Verarbeitung Verantwortlichen jedoch gemäß einer von einem Mitgliedstaat auf der Grundlage von Art. 9 Abs. 4 dieser Verordnung erlassenen Regelung oder aufgrund der in Art. 5 Abs. 1 Buchst. f dieser Verordnung genannten und in ihrem Art. 32 Abs. 1 Buchst. a und b konkretisierten Grundsätze der Integrität und der Vertraulichkeit obliegen.

3. Art. 9 Abs. 2 Buchst. h und Art. 6 Abs. 1 der Verordnung 2016/679 sind dahin auszulegen, dass eine auf die erstgenannte Bestimmung gestützte Verarbeitung von Gesundheitsdaten nur dann rechtmäßig ist, wenn sie nicht nur die sich aus dieser Bestimmung ergebenden Anforderungen einhält, sondern auch mindestens eine der in Art. 6 Abs. 1 genannten Rechtmäßigkeitsvoraussetzungen erfüllt.

4. Art. 82 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen, dass der in dieser Bestimmung vorgesehene Schadenersatzanspruch eine Ausgleichsfunktion hat, da eine auf diese Bestimmung gestützte Entschädigung in Geld ermöglichen soll, den konkret aufgrund des Verstoßes gegen diese Verordnung erlittenen Schaden vollständig zu ersetzen, und keine abschreckende oder Straffunktion erfüllt.

5. Art. 82 der Verordnung 2016/679 ist dahin auszulegen, dass zum einen die Haftung des Verantwortlichen vom Vorliegen eines ihm anzulastenden Verschuldens abhängt, das vermutet wird, wenn er nicht nachweist, dass die Handlung, die den Schaden verursacht hat, ihm nicht zurechenbar ist, und dass Art. 82 zum anderen nicht verlangt, dass der Grad dieses Verschuldens bei der Bemessung der Höhe des als Entschädigung für einen immateriellen Schaden auf der Grundlage dieser Bestimmung gewährten Schadenersatzes berücksichtigt wird.

Den Volltext der Entscheidung finden Sie hier:

EuGH: Befürchtung eines möglichen Missbrauchs personenbezogener Daten nach Cyberangriff / Hackerattacke kann Anspruch auf immateriellen Schadensersatz gemäß Art. 82 DSGVO begründen

EuGH
Urteil vom 14.12.2023
C-340/21
Natsionalna agentsia za prihodite


Der EuGH hat entschieden, dass schon die bloße Befürchtung eines möglichen Missbrauchs personenbezogener Daten nach einem Cyberangriff / einer Hackerattacke einen Anspruch auf immateriellen Schadensersatz gemäß Art. 82 DSGVO begründen kann.

Tenor der Entscheidung:
1. Die Art. 24 und 32 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz- rundverordnung) sind dahin auszulegen, dass eine unbefugte Offenlegung von bzw. ein unbefugter Zugang zu personenbezogenen Daten durch „Dritte“ im Sinne von Art. 4 Nr. 10 dieser Verordnung allein nicht ausreicht, um anzunehmen, dass die technischen und organisatorischen Maßnahmen, die der für die betreffende Verarbeitung Verantwortliche getroffen hat, nicht „geeignet“ im Sinne der Art. 24 und 32 dieser Verordnung waren.

2. Art. 32 der Verordnung 2016/679 ist dahin auszulegen, dass die Geeignetheit der vom Verantwortlichen nach diesem Artikel getroffenen technischen und organisatorischen Maßnahmen von den nationalen Gerichten konkret zu beurteilen ist, wobei die mit der betreffenden Verarbeitung verbundenen Risiken zu berücksichtigen sind und zu beurteilen ist, ob Art, Inhalt und Umsetzung dieser Maßnahmen diesen Risiken angemessen sind.

3. Der in Art. 5 Abs. 2 der Verordnung 2016/679 formulierte und in Art. 24 dieser Verordnung konkretisierte Grundsatz der Rechenschaftspflicht des Verantwortlichen ist dahin auszulegen, dass im Rahmen einer auf Art. 82 der Verordnung gestützten Schadenersatzklage der für die betreffende Verarbeitung Verantwortliche die Beweislast dafür trägt, dass die von ihm getroffenen Sicherheitsmaßnahmen im Sinne von Art. 32 dieser Verordnung geeignet waren.

4. Art. 32 der Verordnung 2016/679 und der unionsrechtliche Effektivitätsgrundsatz sind dahin auszulegen, dass für die Beurteilung der Geeignetheit der Sicherheitsmaßnahmen, die der Verantwortliche nach diesem Artikel getroffen hat, ein gerichtliches Sachverständigengutachten kein generell notwendiges und ausreichendes Beweismittel sein kann.

5. Art. 82 Abs. 3 der Verordnung 2016/679 ist dahin auszulegen, dass der Verantwortliche von seiner nach Art. 82 Abs. 1 und 2 dieser Verordnung bestehenden Pflicht zum Ersatz des einer Person entstandenen Schadens nicht allein deshalb befreit werden kann, weil dieser Schaden die Folge einer unbefugten Offenlegung von bzw. eines unbefugten Zugangs zu personenbezogenen Daten durch „Dritte“ im Sinne von Art. 4 Nr. 10 dieser Verordnung ist, wobei der Verantwortliche dann nachweisen muss, dass er in keinerlei Hinsicht für den Umstand, durch den der betreffende Schaden eingetreten ist, verantwortlich ist.

6. Art. 82 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen, dass allein der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen diese Verordnung befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, einen „immateriellen Schaden“ im Sinne dieser Bestimmung darstellen kann.

Pressemitteilung des EuGH:
Cyberkriminalität: Die Befürchtung eines möglichen Missbrauchs personenbezogener Daten kann für sich genommen einen immateriellen Schaden darstellen

Die bulgarische Nationale Agentur für Einnahmen (NAP) ist dem bulgarischen Finanzminister unterstellt. Sie ist u. a. mit der Feststellung, Sicherung und Einziehung öffentlicher Forderungen betraut. In diesem Rahmen ist sie für die Verarbeitung personenbezogener Daten verantwortlich. Am 15. Juli 2019 wurde in den Medien darüber berichtet, dass in das IT-System der NAP eingedrungen worden sei und infolge dieses Cyberangriffs in diesem System enthaltene personenbezogene Daten von Millionen von Menschen im Internet veröffentlicht worden seien. Zahlreiche Personen verklagten die NAP auf Ersatz des immateriellen Schadens, der ihnen aus der Befürchtung eines möglichen Missbrauchs ihrer Daten entstanden sein soll.

Das bulgarische Oberste Verwaltungsgericht legt dem Gerichtshof mehrere Fragen zur Auslegung der Datenschutz-Grundverordnung (DSGVO) zur Vorabentscheidung vori . Es möchte klären lassen, unter welchen Bedingungen eine Person, deren personenbezogene Daten, die sich im Besitz einer öffentlichen Agentur befinden, nach einem Angriff von Cyberkriminellen im Internet veröffentlicht wurden, Ersatz des immateriellen Schadens verlangen kann.

In seinem Urteil antwortet der Gerichtshof wie folgt:

1. Im Fall der unbefugten Offenlegung von bzw. des unbefugten Zugangs zu personenbezogenen Daten können die Gerichte aus diesem Umstand allein nicht ableiten, dass die Schutzmaßnahmen, die der für die Datenverarbeitung Verantwortliche ergriffen hat, nicht geeignet waren. Die Gerichte müssen die Geeignetheit dieser Maßnahmen konkret beurteilen.

2. Der Verantwortliche trägt die Beweislast dafür, dass die getroffenen Schutzmaßnahmen geeignet waren.

3. Im Fall der unbefugten Offenlegung von bzw. des unbefugten Zugangs zu personenbezogenen Daten durch „Dritte“ (wie Cyberkriminelle) kann der Verantwortliche gegenüber den Personen, denen ein Schaden entstanden ist, ersatzpflichtig sein, es sei denn, er weist nach, dass er in keinerlei Hinsicht für den Schaden verantwortlich ist.

4. Allein der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen die DSGVO befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, kann einen „immateriellen Schaden“ darstellen.


Den Volltext der Entscheidung finden Sie hier:

OLG Karlsruhe: Für immateriellen Schadensersatz aus Art. 82 DSGVO bei einem Datenleck muss ein konkreter kausaler Schaden als Folge der Rechtsverletzung nachgewiesen werden

OLG Karlsruhe
Urteil vom 07.11.2023
19 U 23/23


Das OLG Karlsruhe hat entschieden, dass für einen immateriellen Schadensersatz aus Art. 82 DSGVO bei einem Datenleck ein konkreter kausaler Schaden als Folge der Rechtsverletzung nachgewiesen werden muss.

Leitsätze des Gerichts:
1. Im Fall einer geltend gemachten Verletzung der Grundrechte auf Achtung des Privat- und Familienlebens aus Art. 7 GRCh und auf Schutz personenbezogener Daten aus Art. 8 GRCh reicht bereits die Möglichkeit des Eintritts eines Schadens für die Annahme eines Feststellungsinteresses aus.

2. Das Vorliegen eines „Verstoßes gegen diese Verordnung“ im Sinne von Art. 82 Abs. 1 DSGVO erfordert nicht mehr als die „unbefugte Offenlegung“ von oder den „unbefugten Zugang“ zu personenbezogenen Daten im Sinne von Art. 4 Nr. 12 DSGVO.

3. Ein potentieller oder hypothetischer Schaden oder die bloße Beunruhigung wegen des Diebstahls der eigenen personenbezogenen Daten reicht für das Vorliegen eines immateriellen Schadens im Sinne von Art. 82 Abs. 1 DS-GVO nicht aus.

4. Stellt sich der geltend gemachte immaterielle Schaden als Folge der Rechtsgutsverletzung in Gestalt der Verletzung der Grundrechte der betroffenen Person auf Achtung des Privat- und Familienlebens aus Art. 7 GRCh und auf Schutz personenbezogener Daten aus Art. 8 GRCh dar (Sekundärschaden), ist das Beweismaß des § 287 ZPO anzuwenden.

5. Die betroffene Person muss nachweisen, dass ein kausaler Zusammenhang zwischen dem Verstoß gegen die Verordnung im Sinne von Art. 82 Abs. 1 DSGVO und dem ihr entstandenen Schaden besteht.

6. Gem. Art. 82 Abs. 3 DSGVO reicht jedes fahrlässige (Mit-)Verschulden oder Versehen des Verantwortlichen aus, um die Anwendung der Befreiung auszuschließen. Dabei stellt indes nicht schon das Vorliegen einer Systemverletzung einen Beweis dafür dar, dass die von der verantwortlichen Person ergriffenen Maßnahmen nicht im Sinne von Art. 32 DSGVO geeignet waren.

Den Volltext der Entscheidung finden Sie hier:

VG Hannover: Videoüberwachung der Sitzbereiche eines Wettbüros weder nach Art. 6 Abs. 1 lit. c DSGVO noch nach Art. 6 Abs. 1 lit. f DSGVO gerechtfertigt und somit rechtswidrig

VG Hannover
Urteil vom 10.10.2023
10 A 3472/20


Das VG Hannover hat entschieden, dass die Videoüberwachung der Sitzbereiche eines Wettbüros weder nach Art. 6 Abs. 1 lit. c DSGVO noch nach Art. 6 Abs. 1 lit. f DSGVO gerichtfertigt und somit rechtswidrig ist.

Aus den Entscheidungsgründen:
I. Die Klage ist zulässig. Gemäß § 20 Abs. 1 Satz 1 Bundesdatenschutzgesetz (hiernach: BDSG) ist für Rechtsansprüche aus der der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, hiernach: DS-GVO) nach Artikel 78 Abs. 1 und 2 der DS-GVO der Verwaltungsrechtsweg gegeben. Das Verwaltungsgericht Hannover ist gemäß § 20 Abs. 3 BDSG örtlich zuständig. Die Klage gegen die Verfügungen des Beklagten aus dem Bescheid vom 20. Mai 2020 ist als Anfechtungsklage statthaft.

II. Die Klage ist unbegründet. Der Bescheid des Beklagten vom 20. Mai 2020 ist rechtmäßig und verletzt die Klägerin nicht in ihren Rechten (§ 113 Abs. 1 Satz 1 VwGO).

1. Die unter Ziffer 1 ausgesprochene Anweisung, die Ausgestaltung der von der Klägerin betriebenen Videoüberwachung so einzurichten, dass die Erhebung von personenbezogenen Daten von Personen in den Sitzbereichen während der Öffnungszeiten ausgeschlossen ist (Kameras 1,3, 4, 5 und 9) und die Überarbeitung der Kameraeinstellungen durch die Übersendung entsprechender Screenshots nachzuweisen, ist rechtmäßig.

a) Die Rechtsgrundlage für diese Anweisung findet sich in Art. 58 Abs. 2 lit. d DS-GVO. Danach verfügt die Aufsichtsbehörde über sämtliche Befugnisse, die es ihr gestatten, den Verantwortlichen anzuweisen, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit der DS-GVO zu bringen.

b) Der Bescheid ist in formeller Hinsicht nicht zu beanstanden. Der Beklagte ist für den Erlass des Bescheides zuständig. Dies ergibt sich aus § 40 Abs. 1 des Bundesdatenschutzgesetzes vom 30. Juni 2017 (BDSG), § 22 Satz 1 Nr. 1 des Niedersächsischen Datenschutzgesetzes vom 16. Mai 2018 (NDSG) und Art. 55 f. DS-GVO. Die Klägerin ist vor Erlass des angegriffenen Bescheids angehört worden.

c) Die Anweisung ist auch materiell rechtmäßig. Die Videoüberwachung durch die fünf streitgegenständlichen Kameras steht in ihrer derzeitigen Ausgestaltung nicht in Einklang mit der DS-GVO. Nach Art. 5 Abs. 1 lit. a DS-GVO müssen personenbezogene Daten auf rechtmäßige Weise verarbeitet werden. Die hier in Rede stehende Videoüberwachung, bei der die im Wettbüro der Klägerin installierten Kameras 1, 3, 4, 5 und 9 als "verlängertes Auge" der Beschäftigten genutzt werden, verstößt gegen die DS-GVO, weil sie nicht nach Art. 6 DS-GVO gerechtfertigt ist.

aa. Die DS-GVO ist anwendbar. Nach Art. 2 Abs. 1 DS-GVO gilt diese Verordnung für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Bei der Beobachtung der Gäste des Wettbüros durch Kameras, die als "verlängertes Auge" der Beschäftigten genutzt werden, handelt es sich um eine Verarbeitung personenbezogener Daten im Sinne des Art. 4 Nr. 1 und Nr. 2 DS-GVO. Nach Art. 4 Nr. 2 DSGVO meint "Verarbeitung" jeden Vorgang, der mit oder ohne Hilfe automatisierter Verfahren im Zusammenhang mit personenbezogenen Daten ausgeführt wird. Die sich an diese Begriffsbestimmung anschließende, ersichtlich umfassende Aufzählung von Vorgängen in Art. 4 Nr. 2 DSGVO zeigt, dass der Begriff der Verarbeitung jeglichen Umgang mit personenbezogenen Daten erfasst (vgl. BVerwG, Urteil vom 27.3.2019 - 6 C 2/18 -, juris Rn. 43). Die Daten sind nach Art. 4 Nr. 1 DS-GVO "personenbezogen", wenn es sich um Informationen handelt, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann. Die Aufzeichnung des Bildes einer Person durch Kameras ermöglicht es den Betrachtern der Bilder, die erfassten Personen zu identifizieren (vgl. BVerwG, Urteil vom 27.3.2019 - 6 C 2/18 -, juris Rn. 43).

bb. Das hier eingesetzte Kamera-Monitor-System ist in seiner derzeitigen Ausgestaltung gemäß Art. 6 DS-GVO rechtswidrig. Danach ist die Verarbeitung nur rechtmäßig, wenn mindestens eine der unter Art. 6 Abs. 1 lit. a - f genannten Bedingungen erfüllt ist. Dies ist nicht der Fall.

aaa. Zunächst haben die von der Videoüberwachung betroffenen Personen (s. Art. 4 Nr. 1 DS-GVO) nicht nach Art. 6 Abs. 1 lit. a DS-GVO ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben. Eine Einwilligung ist gemäß Art. 4 Nr. 11 DS-GVO jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Damit betroffene Personen in Kenntnis der Sachlage ihre Einwilligung geben können, sollten sie mindestens wissen, wer der Verantwortliche ist und für welche Zwecke ihre personenbezogenen Daten verarbeitet werden sollen. Es sollte nur dann davon ausgegangen werden, dass sie ihre Einwilligung freiwillig gegeben haben, wenn sie eine echte oder freie Wahl haben und somit in der Lage sind, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden (vgl. Erwägungsgrund Nr. 42 zur DS-GVO). Danach liegt im vorliegenden Fall keine Einwilligung der Gäste vor. Es kann bereits nicht angenommen werden, dass die Gäste beim Betreten des Wettbüros - auch nicht bei deutlich sichtbar angebrachten Hinweisen auf die Beobachtung - den Umfang und die Ausgestaltung der Videoüberwachung sowie deren Zwecke zur Kenntnis nehmen, sodass schon keine Willensbekundung "in informierter Weise" stattfinden kann (vgl. BVerfG, Stattgebender Kammerbeschluss vom 23.2.2007 - 1 BvR 2368.06 -, juris Rn. 40; BVerwG, Urteil vom 27.3.2019 - 6 C 2.18 -, juris Rn. 23). Auch kann im Eintritt in das Wettbüro und den dortigen Aufenthalt ohne ausdrücklichen Protest keine unmissverständliche Willensbekundung erkannt werden (vgl. BVerfG, Stattgebender Kammerbeschluss vom 23.2.2007, a.a.O.). Schließlich haben die Gäste auch keine freie Wahl, ob sie mit der Videoüberwachung der Sitzbereiche während ihres Aufenthaltes in dem Wettbüro einverstanden sind; sie können sich nur zu ihrem Nachteil entscheiden, das Wettbüro gar nicht erst zu betreten.

bbb. Die Videoüberwachung ist auch nicht gemäß Art. 6 Abs. 1 lit. c DS-GVO zur Erfüllung einer rechtlichen Verpflichtung erforderlich, welcher der Verantwortliche unterliegt. Gemeint ist damit die Verpflichtung kraft Rechts der Union oder eines Mitgliedstaates, vgl. Art. 6 Abs. 3 UAbs. 1. Die in einer Vorschrift des objektiven Rechts vorgesehene "rechtliche Verpflichtung" muss sich dabei unmittelbar auf die Datenverarbeitung beziehen; allein der Umstand, dass ein Verantwortlicher, um irgendeine rechtliche Verpflichtung erfüllen zu können, auch personenbezogene Daten verarbeiten muss, reicht nicht aus (Albers/Veit in: BeckOK DatenschutzR, 44. Ed. 1.5.2023, DS-GVO Art. 6 Rn. 48 m.w.N.). Nach diesem Maßstab vermögen die in § 7 Abs. 3 Nr. 1 Spielverordnung genannten Vorgaben, wonach Geld- oder Warenspielgeräte unter anderem dann unverzüglich aus dem Verkehr zu ziehen sind, wenn sie in ihrer ordnungsgemäßen Funktion gestört sind, keine rechtliche Verpflichtung in diesem Sinne zu bieten, weil diese rechtliche Vorgabe keinen unmittelbaren Bezug zu einer irgendwie gearteten Datenverarbeitung herstellt.

Die Videoüberwachung ist auch nicht zur Erfüllung der Verpflichtung aus § 10c des Niedersächsischen Spielbankgesetzes (NSpielbG) erforderlich. Nach § 10 c Abs. 1 Satz 1 NSpielbG sind zu den dort bestimmten Zwecken die Eingänge, die Ausgänge, die Bereiche, in denen üblicherweise der Transport, die Zählung oder die Aufbewahrung von Bargeld oder Spielmarken erfolgt, sowie die Spielräume der Spielbank, die Spieltische und Glücksspielautomaten der Spielbank mit Videokameras zu überwachen. Die Vorschrift ist bereits nicht anwendbar, weil es sich bei dem Wettbüro der Klägerin nicht um eine im Sinne des § 1 Abs. 1 Satz 1 NSpielbG zugelassene Spielbank handelt. Eine analoge Anwendung der Vorschrift auf das Wettbüro der Klägerin kommt schon deswegen nicht in Betracht, weil die Interessenlage nicht vergleichbar ist. Spielbanken sind Örtlichkeiten, in denen Spiele mit grundsätzlich hoher Manipulationsanfälligkeit und herausragendem Suchtpotenzial angeboten werden, zu denen traditionell Tischspiele mit und ohne Bankhalter wie Roulette, Black Jack und Poker sowie spezielle stationäre Automatenspiele gehören, welche den Einschränkungen des gewerblichen Spiels und des Online-Glücksspiels nicht unterliegen (vgl. Begründung zur Änderung des NSpielbG vom 13.10.2021, Landtag-Drs. 18/10075, S. 17). Derartige Spiele finden im Wettbüro der Klägerin nicht statt; soweit auch in ihren Räumlichkeiten Spielautomaten aufgestellt sind und in dem (der Öffentlichkeit nicht zugänglichen) Bürobereich mit größeren Mengen Bargeld umgegangen wird, hat der Beklagte die Videoüberwachung nicht beanstandet.

Unabhängig davon folgt eine Verpflichtung zu einer Videoüberwachung, wie die Klägerin sie derzeit betreibt, selbst dann nicht aus § 10 c NSpielbG, wenn man die Vorschrift auf den vorliegenden Fall analog anwenden wollte. Unter "Spielräumen" sind solche Bereiche zu verstehen, in denen sich Gäste zum Zwecke der Teilnahme an Spielen aufhalten. Bereiche wie die hier in Rede stehenden, die fast ausschließlich - mit Ausnahme vereinzelter Automaten, an denen Wetten abgegeben werden können - dem Aufenthalt oder dem Verzehr von Getränken dienen, sind dort gerade nicht angesprochen. Der Gesetzgeber hat zuletzt die zu überwachenden Bereiche angepasst und "die gegebenenfalls getrennt von den Eingängen vorhandenen Ausgänge" aufgenommen (vgl. Landtag-Drs. 18/10075, S. 37). Er hat sich also bewusst gegen die Aufnahme von anderen, dem Aufenthalt von Gästen dienenden Bereichen entschieden. Dafür, dass der Gesetzgeber beabsichtigt hat, solche vornehmlich dem Aufenthalt dienenden Bereiche gerade nicht mit der gesetzlichen Verpflichtung zur Videoüberwachung zu belegen, spricht auch, dass die Regelung überhaupt explizit Bereiche nennt, in denen die Videoüberwachung stattzufinden hat. Wäre die Videoüberwachung einschränkungslos auch in Bereichen obligatorisch, in denen keine manipulationsanfälligen Spiele stattfinden, hätte der Gesetzgeber anstelle einer expliziten Aufzählung von Bereichen schlicht die verpflichtende Videoüberwachung für die gesamte Spielbank anordnen können.

ccc. Die Videoüberwachung ist auch nicht nach Art. 6 Abs. 1 lit. f DS-GVO gerechtfertigt. Dies wäre nur dann der Fall, wenn die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

(1) Das berechtigte Interesse an der hier noch streitigen Videoüberwachung durch die Kameras 1, 3, 4, 5 und 9 ist anzunehmen.

Als berechtigt darf jedes rechtliche, tatsächliche, wirtschaftliche oder ideelle Interesse des Verantwortlichen angesehen werden, soweit es von der Rechtsordnung nicht missbilligt wird. Das berechtigte Interesse muss auf einen konkreten Verarbeitungs- oder Nutzungszweck gerichtet sein. Aus Art. 5 Abs. 1 lit. b DS-GVO folgt, dass das Interesse nur berechtigt sein kann, wenn die Verarbeitung legitim ist (vgl. Taeger in: Taeger/Gabel, DSGVO-BDSG-TTDSG, 4. Aufl. 2022, Art. 6 Rn. 129). Es muss zum Zeitpunkt der Datenverarbeitung entstanden und vorhanden sein und darf zu diesem Zeitpunkt nicht hypothetisch sein (EuGH, Urteil vom 11.12.2019 - C-708/18 -, juris Rn. 44). Der Verantwortliche hat sein berechtigtes Interesse substantiiert vorzutragen und zu belegen (vgl. Art. 5 Abs. 2 DS-GVO; Taeger in: Taeger/Gabel, DSGVO-BDSG-TTDSG, 4. Aufl. 2022, Art. 6 Rn. 135; vgl. auch EuGH, Urteil vom 24.2.2022 - C-175/20 -, juris Rn. 77; BVerwG, Urteil vom 2.3.2022 - 6 C 7.20 -, juris Rn. 50). Dieser speziellen Substantiierung bedarf es nur dann nicht, wenn eine Situation gegeben ist, die nach allgemeiner Lebenserfahrung typischerweise gefährlich ist und der Überwachung bedarf. Eine solch abstrakte Gefährdungslage kann beispielsweise bei Einkaufszentren und Kaufhäusern anzunehmen sein (vgl. zur alten Rechtslage Nds. OVG, Urteil vom 29.9.2014 - 11 LC 114/13 -, juris Rn. 44; vgl. VG Hannover, Urteil vom 13.3.2023 - 10 A 1443/19 -, juris Rn. 57; vgl. zur Anwendbarkeit dieser Grundsätze auch im Anwendungsbereich der DS-GVO Taeger in: Taeger/Gabel, DSGVO-BDSG-TTDSG, 4. Aufl. 2022, Art. 6 Rn. 135).

Die Verhinderung und Aufklärung von Straftaten stellen grundsätzlich berechtigte Interessen im Sinne von Art. 6 Abs. 1 lit. f DS-GVO dar. Sie können eine Videoüberwachung jedoch nur dann als objektiv begründbar rechtfertigen, wenn eine Gefährdungslage besteht, die über das allgemeine Lebensrisiko hinausgeht. Eine solche Gefährdung kann sich nur aus tatsächlichen Erkenntnissen ergeben; subjektive Befürchtungen oder ein Gefühl der Unsicherheit reichen nicht aus (vgl. zum alten Recht BVerwG, Urteil vom 27.3.2019 - 6 C 2/18 -, juris Rn. 28 m.w.N.). Allerdings kann bei der Beurteilung aller Umstände des jeweiligen Falles nicht zwingend verlangt werden, dass die Sicherheit des Eigentums und der Personen zuvor beeinträchtigt wurde (EuGH, Urteil vom 11.12.2019 - C-708/18 -, juris Rn. 44). Konkrete Vorfälle müssen nicht in jedem Fall beim Überwachenden selbst stattgefunden haben, sondern die Gefahrenlage kann sich auch daraus ergeben, dass vergleichbare Vorfälle oder Übergriffe in der unmittelbaren Nachbarschaft stattgefunden haben (vgl. Orientierungshilfe Videoüberwachung durch nicht-öffentliche Stellen" der Datenschutzkonferenz - DSK - vom 17. Juli 2020, S. 8 f. m.V.a. Art. 5 Abs. 2 DS-GVO und EuGH, Urteil vom 11.12.2019 - C-708/18 -, juris Rn. 44; Leitlinien 3/2019 zur Verarbeitung personenbezogener Daten durch Videogeräte des European Data Protection Board vom 29.1.2020, Rn. 18 ff.).

Danach hat die Klägerin - dies hat auch der Beklagte anerkannt - grundsätzlich ein berechtigtes Interesse an der Videoüberwachung ihres Wettbüros dargelegt, um damit Straftaten zu unterbinden und nachzuverfolgen. Sie hat konkrete Straftaten benannt, die sich in den hier in Rede stehenden Räumlichkeiten ereignet haben und durch den Verweis auf Vorkommnisse in anderen Filialen dargelegt, dass (unter anderem) aufgrund der größeren Mengen Bargeld, mit denen in Wettbüros umgegangen wird, ein potentiell hohes Risiko für das Begehen von Straftaten besteht. Dementsprechend hat der Beklagte der Klägerin die Überwachung diverser Bereiche der Liegenschaft zugestanden (Kameras 2, 6, 7 und 8). Dabei hat der Beklagte die Videoüberwachung der Laufwege zugelassen, sodass etwaige Straftäter jedenfalls beim Verlassen der Räumlichkeiten erfasst werden, sowie die Orte, an denen mit Bargeld umgegangen wird (z.B. der Tresor). Außerhalb der Öffnungszeiten dürfen die Videoaufnahmen aufgezeichnet werden, um das unbefugte Betreten der Filiale abzuwenden oder ggf. nachverfolgen zu können.

(2) Die Videoüberwachung ist in ihrer derzeitigen Ausgestaltung zur Wahrung der Interessen der Klägerin aber nicht erforderlich. Die personenbezogenen Daten sollten für die Zwecke, zu denen sie verarbeitet werden, angemessen und erheblich sowie auf das für die Zwecke ihrer Verarbeitung notwendige Maß beschränkt sein; sie sollten nur verarbeitet werden dürfen, wenn der Zweck der Verarbeitung nicht in zumutbarer Weise durch andere Mittel erreicht werden kann (vgl. Erwägungsgrund 39 zur DS-GVO).Voraussetzung für die Erforderlichkeit der Videoüberwachung ist also, dass kein milderes, gleich effektives Mittel zur Verfügung steht, um die Interessen des Verantwortlichen zu erreichen (Buchner/Petri in: Kühling/Buchner, 3. Aufl. 2020, DS-GVO Art. 6 Rn. 147a). Die Einschränkungen beim Datenschutz müssen sich "auf das absolut Notwendige" beschränken (vgl. EuGH, Urteil vom 11.12.2019 - C-708/18 -, juris Rn. 46). Eine bloße Zweckdienlichkeit der Datenverarbeitung reicht jedenfalls nicht aus und auch das Ansinnen einer "bestmöglichen Effizienz" macht die Datenverarbeitung noch nicht zu einer erforderlichen. Entsprechend kann die Erforderlichkeit auch nicht allein damit begründet werden, dass es sich bei der beabsichtigten Datenverarbeitung um die aus Sicht des Verantwortlichen wirtschaftlich sinnvollste Alternative handelt (Petri in: Kühling/Buchner/Buchner, 3. Aufl. 2020, DS-GVO Art. 6 Rn. 147a m.w.N.).

Nach diesem Maßstab ist die Videoüberwachung der Sitzbereiche durch die Kameras 1,3, 4, 5 und 9 nicht erforderlich. Es ist derzeit nicht ersichtlich, dass die Erhebung der dadurch gewonnenen personenbezogenen Daten überhaupt geeignet - also erheblich - ist, um die von der Klägerin verfolgten Zwecke zu erreichen. Auf Grundlage der bisherigen Unterlagen ist nicht erkennbar, dass die von der Beklagten konkret benannten Straftaten überhaupt im Zusammenhang mit einem Aufenthalt von Gästen in den Sitzbereichen gestanden haben. Die Klägerin stützt sich im Wesentlichen auf befürchtete Straftaten und sonstiges Fehlverhalten, welches in der "Szene" oder dem "Milieu", aus dem die Gäste der Klägerin stammen, üblich sein soll. Die von der Klägerin benannten Straftaten lassen teilweise eindeutig erkennen, dass sich der oder die Täter(in) vor der jeweils begangenen Tat gerade nicht in den Sitzbereichen aufgehalten oder die Tat als solche dort stattgefunden hat; dies gilt für die Öffnung des Tresors, der sich in dem für die Öffentlichkeit nicht zugänglichen Bereich befindet, sowie für die Entwendung von Bargeld durch Beschäftigte der Klägerin, einen Überfall unter Einsatz von Waffengewalt, eingeschmissene Schaufensterscheiben und das unberechtigte Betreten der Geschäftsräume außerhalb der Öffnungszeiten. Die übrigen von der Klägerin genannten Taten und Vorkommnisse lassen nicht erkennen, ob diese in den für Gäste vorgesehenen Sitzbereichen stattgefunden haben; dies gilt für die Angabe "milieubedingte Kriminalität in den Geschäftsräumen, zum Beispiel Übergabe von Drogen gegen Bargeld" und Trickbetrug durch das Erzwingen von Wechselgeldfehlern. Konkrete Vorfälle in der Nachbarschaft hat die Klägerin zwar behauptet, jedoch nicht substantiiert. Soweit sie sich auf die befürchtete Manipulation von Spielgeräten und die ihr glückspielrechtlich obliegende Verpflichtung, manipulierte Geräte unverzüglich aus dem Verkehr zu ziehen, beruft, hat sie derartige Vorfälle weder für die hier in Rede stehende noch für andere Filialen oder Einrichtungen in der Nachbarschaft vorgetragen. Es fehlen auch nähere Angaben dazu, wie "Vorbereitungshandlungen" für eine Manipulation von Spielgeräten konkret aussehen und aus welchem Grund sie befürchtet, dass solche gerade in den Sitzbereichen für Gäste stattfinden könnten. Den Konsum von und Handel mit Rauschgift hat sie bislang nur behauptet, aber nicht belegt. Auch hinsichtlich der weiteren, im Laufe des gerichtlichen Verfahrens genannten Straftaten, die sich im Zeitraum vom 3. August 2016 und dem 9. Oktober 2021 in der hier streitgegenständlichen Filiale ereignet haben sollen, nämlich eine Unterschlagung von Bargeld, ein Diebstahl von Bargeld durch einen Kunden, ein Diebstahl eines Gegenstandes durch einen Kunden und zwei Raubüberfälle, ist nicht erkennbar, dass diese Straftaten im Zusammenhang mit einem Aufenthalt in den Sitzbereichen des Wettbüros standen.

Es ist außerdem nicht erkennbar, dass die Videoüberwachung der Sitzbereiche überhaupt dazu geeignet wäre, die von der Klägerin genannten Straftaten - sowohl die in der Unternehmensgruppe als auch die in der hier in Rede stehenden Filiale begangenen - zu verhindern oder bei der Aufklärung dieser Straftat einen nennenswerten Mehrwert zu bringen. Dies gilt insbesondere für die genannten Raubüberfälle, Einbrüche und Sachbeschädigungen, die - soweit ersichtlich - nicht von Personen begangen worden sind, die sich zuvor in dem Wettbüro aufgehalten haben. Auch diejenigen Straftaten, die von Beschäftigten der Klägerin begangen worden sind, wie zum Beispiel das unberechtigte Betreten der Geschäftsräume außerhalb der Öffnungszeiten, die Unterschlagung von Bargeld oder die Öffnung der Tresore und Entwendung von Bargeld, ließen sich nicht durch eine Überwachung der Sitzbereiche für Gäste verhindern. Einzig denkbar wäre dies bezüglich des genannten Trickbetruges durch das Erzwingen von Wechselgeldfehlern oder den Handel mit sowie Konsum von Rauschgift. Insoweit ist aber fraglich, ob die Beschäftigten in der Lage wären, die Monitore derart aufmerksam zu beobachten, dass ihnen Wechselgeldfehler oder der Konsum von Rauschmitteln überhaupt auffallen könnte.

Die Fortsetzung der Videoüberwachung in ihrer jetzigen Form ist auch nicht deswegen erforderlich, weil andernfalls unzumutbar hohe Betriebskosten entstünden. Bei dem Bestreben, Kosten einzusparen, handelt es sich grundsätzlich um ein berechtigtes Interesse. Allerdings muss der Verantwortliche darlegen, dass er diese Kosten auch durch andere Vorkehrungen, insbesondere durch organisatorische Veränderungen anstelle der Videoüberwachung nicht vermeiden oder in einer hinnehmbaren Größenordnung halten kann. Die Kostenersparnis kann die Erforderlichkeit der Videoüberwachung jedenfalls nur dann begründen, wenn die ansonsten entstehenden Kosten im Verhältnis zu dem Umfang der geschäftlichen Tätigkeit ins Gewicht fallen oder gar deren Wirtschaftlichkeit in Frage stellten (vgl. BVerwG, Urteil vom 27.3.2019 - 6 C 2.18 -, juris Rn. 32). Die Klägerin hat dazu nicht substantiiert vorgetragen. Aus dem von ihr hierzu zitierten Urteil des OVG des Saarlandes vom 14. Dezember 2017 ergibt sich nicht, ob der dortige Kläger substantiierte Angaben dazu gemacht hat, aus welchem Grund ihm der Einsatz von Wachpersonal wirtschaftlich nicht zumutbar ist (Az. 2 A 662/17 -, juris Rn. 47). Zudem ist der dortige Fall auch schon deswegen nicht mit dem hier zu entscheidenden vergleichbar, weil es sich bei dem dortigen Kläger um eine Apotheke gehandelt hat, die - im Gegensatz zu der Klägerin - nicht ohnehin Wachpersonal beschäftigt.

Die Klägerin kann ihrem berechtigten Interesse daran, dass kein Rauschgift in ihrer Filiale gehandelt oder konsumiert wird oder andere Straftaten begangen werden, auch durch mildere und gleich effektive Mittel begegnen. Dem Beklagten dürfte darin zu folgen sein, dass die bereits vorhandenen Beschäftigten in regelmäßigen Abständen die Sitzbereiche begehen könnten. Der Auffassung der Klägerin, die Präsenz von Wachleuten werde von Gästen als deutlich gravierenderer Eingriff wahrgenommen, sodass darin kein milderes Mittel zu sehen sei, kann nicht gefolgt werden. Anders als in der von der Klägerin dazu angeführten Entscheidung des Niedersächsischen Oberverwaltungsgerichts steht hier keine "permanente Beobachtung" der Gäste durch Wachleute in Rede (vgl. Urteil vom 29.9.2014 - 11 LC 114/13 -, juris Rn. 57), sondern gelegentliche Rundgänge von ohnehin anwesendem Personal. Hinsichtlich der von der Klägerin bezweckten Abschreckungswirkung wirken auch nur gelegentlich die Räumlichkeit abschreitende Beschäftigte mindestens ebenso effektiv abschreckend wie die vorhandenen Kameras (vgl. VG Stuttgart, Urteil vom 12.3.2021 - 18 K 8202/19 -, n.v.). Ihre Beschäftigten können sich vor eventuell aggressiv auftretenden Gästen schützen, indem sie die Polizei kontaktieren, anstatt sie selbst anzusprechen oder des Hauses zu verweisen. Für die Beschäftigten dürfte der zeitliche und personelle Aufwand, die fünf streitigen Kameras neben ihren anderen Aufgaben dauerhaft aufmerksam zu beobachten, um die in den Sitzbereichen befürchteten Vorbereitungshandlungen für Straftaten zu entdecken, als ebenso hoch zu bewerten sein wie die Durchführung regelmäßiger Kontrollgänge durch die Sitzbereiche. Der Gefahr von durch Betrug erzwungenen Wechselgeldfehlern könnte die Klägerin begegnen, indem die Gäste ihre Getränke nur noch am Tresen bezahlen, der außerdem von der nicht mehr streitgegenständlichen Kamera 2 erfasst wird.

Aus dem bisherigen Vortrag der Klägerin ist auch nicht nachvollziehbar, aus welchem Grund das von dem Beklagten vorgeschlagene mildere Mittel, die streitigen Kameras mit einer Folie zu versehen oder eine "Privatzonenmaskierung" einzurichten, sodass die sitzenden Gäste nicht mehr identifizierbar sind, nicht ebenso geeignet ist, wie die Videoüberwachung in ihrer derzeitigen Form. Ihr Vortrag, in dem Fall seien Vorbereitungshandlungen für eine Manipulation eines Spielgerätes schwieriger erkennbar, ist ohne konkretere Angaben dazu, wie solche Vorbereitungshandlungen aussehen, nicht nachvollziehbar. Unabhängig davon sind solche Manipulationsversuche offenbar bislang nicht vorgekommen; jedenfalls ist dies nicht vorgetragen worden.

Schließlich führt auch die in § 10 c NSpielbG zum Ausdruck gekommene Wertung des Niedersächsischen Gesetzgebers nicht dazu, die Videoüberwachung für das hier in Rede stehende Wettbüro als erforderlich anzusehen. Insoweit wird auf die obigen Ausführungen verwiesen (s. II. 1. c. bb. bbb.).

(3) Im Übrigen und selbst für den Fall, dass die Verarbeitung der durch die Videokameras 1, 3, 4, 5 und 9 verarbeiteten personenbezogenen Daten zur Wahrung des berechtigten Interesses der Klägerin erforderlich wäre, überwiegen im vorliegenden Fall die Interessen der von der Videoüberwachung betroffenen Personen das Interesse der Klägerin. Ausgangspunkt der Abwägung sind einerseits die Auswirkungen, die eine Datenverarbeitung für die betroffene Person mit sich bringt, und andererseits die Interessen des Verantwortlichen oder Dritten. In diesem Zusammenhang sind Art, Inhalt und Aussagekraft der betroffenen Daten an dem mit der Datenverarbeitung verfolgten Zweck zu messen. Außerdem können die vernünftigen Erwartungen der betroffenen Person einbezogen werden; entscheidend soll sein, ob die betroffene Person zum Zeitpunkt der Datenerhebung angesichts der näheren Umstände "vernünftigerweise absehen kann", dass eine Datenverarbeitung für einen bestimmten Zweck stattfinden wird (vgl. Petri in: Kühling/Buchner/Buchner, 3. Aufl. 2020, DS-GVO Art. 6 Rn. 149 ff.)

Für die von der Videoüberwachung betroffenen Gäste streitet ihr Recht auf Schutz der personenbezogenen Daten nach Art. 8 GRCh sowie ihr Recht auf Achtung des Privat- und Familienlebens nach Art. 7 GRCh und Art. 8 EMRK. Demgegenüber hat die Klägerin ein Interesse an dem Schutz ihres Eigentums, der Verhinderung und Aufklärung von Straftaten sowie an der Gewährleistung der Einhaltung der ihr obliegenden gesetzlichen Verpflichtungen (Jugendschutz, gesperrte Spieler, glücksspielrechtliche Vorgaben bezüglich der Spielautomaten).

Zugunsten der Klägerin ist hier zu berücksichtigen, dass die Videoaufnahmen nicht gespeichert werden und ihr in der Vergangenheit durch begangene Straftaten erhebliche Vermögensschäden entstanden sind. Demgegenüber dienen die Bereiche einem längeren Verweilen von Gästen, die ganz überwiegend keinerlei böse Absichten hegen. Die Überwachung erfolgt anlasslos, regelmäßig und personengenau und betrifft in den allermeisten Fällen Personen, die weder die körperliche Unversehrtheit der Beschäftigten noch dem Eigentum der Klägerin schaden möchten (vgl. VG Stuttgart, Urteil vom 12.3.2021 - 18 K 8202/19 -, S. 23). Eine durchgängige Überwachung auch bei Beschäftigungen, die in keinem Zusammenhang zu der Art des Etablissements stehen, in dem sich die Gäste aufhalten, können sie auch nicht "vernünftigerweise" erwarten.

cc. Der Beklagte hat das ihm gemäß Art. 58 Abs. 2 DS-GVO zustehende Entschließungs- und Auswahlermessen schließlich auch fehlerfrei ausgeübt. Gemäß Art. 58 Abs. 2 DS-GVO verfügt der Beklagte über sämtliche Abhilfebefugnisse, die es ihm gestatten, den Verantwortlichen anzuweisen, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit dieser Verordnung zu bringen (Buchstabe d) sowie eine vorübergehende Beschränkung oder Verbot der Verarbeitung zu verhängen (Buchstabe f). Die Aufsichtsbehörde kann von ihrer Abhilfebefugnis Gebrauch machen, wenn sie einen Verstoß gegen Datenschutzbestimmungen festgestellt hat. Bei der Ausübung des ihr dann eingeräumten Ermessens hat sie den Verhältnismäßigkeitsgrundsatz zu beachten. Bei festgestellten Verstößen ist die Aufsichtsbehörde in der Regel gehalten, dagegen mit dem Ziel der Abstellung des Verstoßes vorzugehen. Hinsichtlich des Entschließungsermessens ist daher von einem intendierten Ermessen auszugehen, wenn die Aufsichtsbehörde - wie hier - einen Rechtsverstoß festgestellt hat.

Es ist auch kein Fehler bei der Ausübung des Auswahlermessens zu erkennen. Bei der Auswahl der geeigneten Abhilfemaßnahme nach Art. 58 Abs. 2 DSGVO muss die Aufsichtsbehörde den Verhältnismäßigkeitsgrundsatz beachten und insofern auch die Eingriffsintensität berücksichtigen (vgl. VGH Baden-Württemberg, Beschluss vom 22.1.2020 - VGH 1 S 3001/19 -, juris Rn. 61; VG Mainz, Urteil vom 24.9.2020 - 1 K 584/19.MZ -, juris Rn. 51). Das hier ausgesprochene Verbot der Videoüberwachung in den Sitzbereichen ist geeignet, um die beeinträchtigten Rechte der Gäste zu wahren. Es war auch erforderlich. Ein milderes, gleich geeignetes Mittel ist nicht ersichtlich. In Art. 58 Abs. 2 DS-GVO ist kein abgestuftes System dahingehend zu erkennen, dass der Beklagte zuerst eine Verwarnung hätte aussprechen müssen. Eine Verwarnung kommt regelmäßig bei einfachen Verletzungen der DS-GVO in Frage, welche zu keiner erheblichen Gefährdung des Datenschutzgrundrechts geführt haben. Eine Verwarnung wird eine Datenschutz-Aufsichtsbehörde aussprechen, wenn die Schwelle zur Verhängung einer Geldbuße noch nicht erreicht ist; die Verwarnung lässt sich daher auch als "kleine Schwester der Geldbuße" bezeichnen, also als Abhilfemaßnahme, die bei geringfügigen Verstößen gegen die DS-GVO oder sonstigen Gründen der Verhältnismäßigkeit "anstelle einer Geldbuße" (so explizit Erwägungsgrund 148 Satz 2 DS-GVO) verhängt werden kann (Selmayr in: Ehmann/Selmayr, 2. Aufl. 2018, DS-GVO Art. 58 Rn. 20 m.w.N.). Hier steht gerade kein geringfügiger Verstoß in Rede, sondern die Gäste des Wettbüros werden anlasslos und dauerhaft gefilmt und beobachtet. Der Beklagte hat dem Verhältnismäßigkeitsgrundsatz insofern schon im Vorfeld des gerichtlichen Verfahrens Rechnung getragen, als dass er die Videoüberwachung in weiten Teilen des Wettbüros nicht mehr beanstandet.


Den Volltext der Entscheidung finden Sie hier:


Volltext BGH-Vorlagebeschluss an EuGH: Unterlassungsanspruch des Betroffenen bei DSGVO-Verstoß - Voraussetzungen und Höhe des Schadensersatzanspruchs aus Art. 82 DSGVO

BGH
Beschluss vom 26.09.2023
VI ZR 97/22
Verordnung (EU) 2016/679 Art. 17, Art. 18, Art. 79, Art. 82 Abs. 1, Art. 84; GG Art. 2 Abs. 1; BGB §§ 253, 823, § 1004 Abs. 1


Wir hatten bereits in dem Beitrag BGH legt EuGH vor: Voraussetzungen und Höhe des Anspruchs auf immateriellen Schadensersatz aus Art. 82 DSGVO - Unterlassungsanspruch des Betroffenen bei DSGVO-Verstoß über die Entscheidung berichtet.

Leitsatz des BGH:
Vorlagefragen an den Gerichtshof der Europäischen Union zur Auslegung von Art. 17, Art. 18, Art. 79, Art. 82 Abs. 1 und Art. 84 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, DSGVO, ABl. EU L 119 vom 4. Mai 2016, S. 1) zur Frage des Bestehens eines unionsrechtlichen Unterlassungsanspruchs der betroffenen Person, deren personenbezogene Daten von dem Verantwortlichen unrechtmäßig durch Weiterleitung offengelegt wurden, bzw. zu der insoweit bestehenden Möglichkeit eines Rückgriffs auf das nationale Recht und zum Begriff des immateriellen Schadens im Sinne von Art. 82 Abs. 1 DSGVO.

BGH, Beschluss vom 26. September 2023 - VI ZR 97/22 - OLG Frankfurt in Darmstadt - LG Darmstadt

Die Vorlagefragen:

Dem Gerichtshof der Europäischen Union werden zur Auslegung der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (DatenschutzGrundverordnung, DSGVO, ABl. EU L 119 vom 4. Mai 2016, S. 1) folgende Fragen zur Vorabentscheidung vorgelegt:

1. a) Ist Art. 17 DSGVO dahingehend auszulegen, dass der betroffenen Person, deren personenbezogene Daten von dem Verantwortlichen unrechtmäßig durch Weiterleitung offengelegt wurden, ein Anspruch gegen den Verantwortlichen auf Unterlassung einer erneuten unrechtmäßigen Weiterleitung dieser Daten zusteht, wenn sie vom Verantwortlichen keine Löschung der Daten verlangt?

b) Kann sich ein solcher Unterlassungsanspruch (auch) aus Art. 18 DSGVO oder einer sonstigen Bestimmung der DSGVO ergeben?

2. Falls Fragen 1a) und/oder 1b) bejaht werden:

a) Besteht der unionsrechtliche Unterlassungsanspruch nur dann, wenn künftig weitere Beeinträchtigungen der sich aus der DSGVO ergebenden Rechte der betroffenen Person zu besorgen sind (Wiederholungsgefahr)?

b) Wird das Bestehen der Wiederholungsgefahr gegebenenfalls aufgrund des bereits vorliegenden Verstoßes gegen die DSGVO vermutet?

3. Falls Fragen 1a) und 1b) verneint werden:

Sind Art. 84 i.V.m. Art. 79 DSGVO dahingehend auszulegen, dass sie es dem nationalen Richter erlauben, der betroffenen Person, deren personenbezogene Daten von dem Verantwortlichen unrechtmäßig durch Weiterleitung offengelegt wurden, neben dem Ersatz des materiellen oder immateriellen Schadens nach Art. 82 DSGVO und den sich aus Art. 17 und Art. 18 DSGVO ergebenden Ansprüchen einen Anspruch gegen den Verantwortlichen auf Unterlassung einer erneuten unrechtmäßigen Weiterleitung dieser Daten nach den Bestimmungen des nationalen Rechts zuzusprechen?

4. Ist Art. 82 Abs. 1 DSGVO dahingehend auszulegen, dass für die Annahme eines immateriellen Schadens im Sinne dieser Bestimmung bloße negative Gefühle wie z.B. Ärger, Unmut, Unzufriedenheit, Sorge und Angst, die an sich Teil des allgemeinen Lebensrisikos und oft des täglichen Erlebens sind, genügen? Oder ist für die Annahme eines Schadens ein über diese Gefühle hinausgehender Nachteil für die betroffene natürliche Person erforderlich?

5. Ist Art. 82 Abs. 1 DSGVO dahingehend auszulegen, dass bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens der Grad des Verschuldens des Verantwortlichen oder Auftragsverarbeiters bzw. seiner Mitarbeiter ein relevantes Kriterium darstellt? 6. Falls Fragen 1a), 1b) oder 3 bejaht werden: Ist Art. 82 Abs. 1 DSGVO dahingehend auszulegen, dass bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens als anspruchsmindernd berücksichtigt werden kann, dass der betroffenen Person neben dem Anspruch auf Schadensersatz ein Unterlassungsanspruch zusteht?

6. Falls Fragen 1a), 1b) oder 3 bejaht werden:

Ist Art. 82 Abs. 1 DSGVO dahingehend auszulegen, dass bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens als anspruchsmindernd berücksichtigt werden kann, dass der betroffenen Person neben dem Anspruch auf Schadensersatz ein Unterlassungsanspruch zusteht?

Den Volltext der Entscheidung finden Sie hier:

EuGH-Generalanwalt: Immaterieller Schadensersatz aus Art. 82 DSGVO beim Diebstahl sensibler personenbezogener Daten setzt DSGVO-Verstoß, konkreten Schaden und Kausalzusammenhang voraus

EuGH-Generalanwalt
Schlussanträge vom 26.10.2023
Verbundene Rechtssachen C‑182/22 und C‑189/22


Der EuGH-Generalanwalt kommt in seinen Schlussanträgen zu dem Ergebnis, dass ein Anspruch auf immateriellen Schadensersatz aus Art. 82 DSGVO beim Diebstahl sensibler personenbezogener Daten einen Verstoß gegen die Bestimmungen der DSGVO, einen konkreten Schaden und einen Kausalzusammenhang voraussetzt.

Ergebnis:
Art. 82 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)

ist wie folgt auszulegen:

Der Diebstahl sensibler personenbezogener Daten einer betroffenen Person durch einen unbekannten Straftäter kann zu einem Anspruch auf immateriellen Schadensersatz führen, wenn der Nachweis eines Verstoßes gegen die Datenschutz-Grundverordnung, eines konkreten erlittenen Schadens und eines Kausalzusammenhangs zwischen dem Schaden und diesem Verstoß erbracht wird. Für die Gewährung eines solchen Schadensersatzes ist es nicht erforderlich, dass der Straftäter die Identität der betroffenen Person angenommen hat, und der Besitz von Daten, die die betroffene Person identifizierbar machen, stellt für sich genommen keinen Identitätsdiebstahl dar.


Rechtliche Würdigung:
Das vorlegende Gericht möchte mit seiner fünften Frage wissen, ob der einfache Diebstahl der sensiblen personenbezogenen Daten einer betroffenen Person durch einen unbekannten Straftäter einen Identitätsdiebstahl darstellt, der einen Schadensersatzanspruch begründet, oder ob der Straftäter für die Annahme eines Identitätsdiebstahls die Identität der betroffenen Person tatsächlich annehmen oder zu diesem Zweck Anstrengungen unternehmen muss. Diese Frage wird im Zusammenhang mit der Feststellung gestellt, dass unbekannte Straftäter bestimmte sensible personenbezogene Daten von JU und SO aus der Trading-App von Scalable Capital gestohlen haben. Obwohl keine weitere (missbräuchliche) Verwendung der Daten erfolgt zu sein scheint, kann, da die Identität der Straftäter unbekannt ist und diese noch nicht ergriffen worden sind, eine solche künftige (missbräuchliche) Verwendung nicht ausgeschlossen werden.

23. Art. 82 der DSGVO bestätigt allgemein den Anspruch jeder betroffenen Person, der wegen eines Verstoßes gegen die DSGVO „ein materieller oder immaterieller Schaden“ entstanden ist, auf Schadensersatz und teilt die Haftung zwischen dem (den) Verantwortlichen und/oder dem (den) Auftragsverarbeiter(n) auf. Diese Bestimmung benennt weder die genaue Art noch die Form eines solchen Schadens. Die DSGVO verweist zur Definition der Bedeutung und des Anwendungsbereichs des Begriffs „immaterieller Schaden“ nicht auf das Recht der Mitgliedstaaten. Dieser Begriff ist daher als autonomer Begriff des Unionsrechts zu behandeln und in allen Mitgliedstaaten einheitlich auszulegen.

24. Nach Art. 82 der DSGVO ist Schadensersatz zu leisten, wenn der Nachweis eines Verstoßes gegen die DSGVO, eines „tatsächlich erlittenen Schadens“ und eines Kausalzusammenhangs zwischen diesem Verstoß und diesem Schaden erbracht wird. Die DSGVO sieht kein System der verschuldensunabhängigen Haftung vor. Die Ausgleichsfunktion der durch Art. 82 Abs. 1 der DSGVO eingeführten Regelung schließt auch den Zuspruch von Strafschadensersatz aus. Eine solche Entschädigung muss vollständig und wirksam sein und damit „den aufgrund des Verstoßes gegen [die DSGVO] konkret erlittenen Schaden in vollem Umfang ausgleichen“. Der immaterielle Schaden, den die betroffene Person erlitten hat, braucht keinen bestimmten Grad an Erheblichkeit zu erreichen. Auch wenn es keine Geringfügigkeitsschwelle für die Höhe des immateriellen Schadens gibt, bedarf es eindeutiger und präziser Beweise dafür, dass die betroffene Person einen solchen Schaden erlitten hat. Ein potenzieller oder hypothetischer Schaden oder die bloße Beunruhigung wegen des Diebstahls der eigenen personenbezogenen Daten reicht nicht aus.

25. Art. 82 Abs. 3 der DSGVO befreit den Verantwortlichen oder den Auftragsverarbeiter von der Haftung, „wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist“. Der Gerichtshof hatte bisher noch keine Gelegenheit, Art. 82 Abs. 3 der DSGVO ausführlich zu prüfen. Eine wörtliche Auslegung dieser Bestimmung scheint darauf hinauszulaufen, dass jedes fahrlässige (Mit‑)Verschulden oder Versehen des Verantwortlichen oder des Auftragsverarbeiters ausreicht, um die Anwendung der Befreiung auszuschließen. Zudem kann die dem (den) Verantwortlichen oder dem (den) Auftragsverarbeiter(n), der (die) von der Befreiung Gebrauch machen möchte(n), nach dieser Bestimmung obliegende Beweislast die Umsetzung fortlaufender Maßnahmen zur Vorbeugung gegen Datenschutzverletzungen auferlegen.

26. Der Diebstahl der personenbezogenen Daten einer betroffenen Person begründet einen Anspruch auf Ersatz des immateriellen Schadens nach Art. 82 Abs. 1 der DSGVO, wenn die drei im Urteil Österreichische Post aufgestellten Voraussetzungen erfüllt sind. Der siebte Erwägungsgrund der DSGVO bestimmt: „Natürliche Personen sollten die Kontrolle über ihre eigenen Daten besitzen.“ Der Umstand, dass betroffene Personen „daran gehindert werden, die sie betreffenden personenbezogenen Daten zu kontrollieren“, oder dass natürliche Personen die „Kontrolle über ihre personenbezogenen Daten“ verlieren, kann zu einem immateriellen Schaden führen. Dies ist der Kontext, in dem das vorlegende Gericht fragt, ob der Diebstahl personenbezogener Daten einen Identitätsdiebstahl darstellt.

27. Die operativen Bestimmungen der DSGVO erwähnen den Identitätsdiebstahl nicht und definieren ihn auch nicht. Die Erwägungsgründe 75 und 85 der DSGVO erwähnen den „Identitätsdiebstahl oder ‑betrug“ nur. Der 75. Erwägungsgrund nennt in einer nicht erschöpfenden Liste von Beispielen den „Identitätsdiebstahl oder ‑betrug“ als ein Beispiel für die Risiken für die Ausübung der Rechte und Freiheiten natürlicher Personen aufgrund der Verarbeitung ihrer personenbezogenen Daten. In ähnlicher Weise erwähnt der 85. Erwägungsgrund der DSGVO den „Identitätsdiebstahl oder ‑betrug“ als ein Beispiel für den Schaden, der durch das Versäumnis entsteht, auf eine Verletzung des Schutzes personenbezogener Daten rechtzeitig und angemessen zu reagieren.

28. In einer Reihe von Erwägungsgründen und Bestimmungen in anderen Rechtsvorschriften der Union werden Begriffe wie „Identitätsdiebstahl“, „Identitätsbetrug“ und „Identitätsdiebstahl oder ‑betrug“ erwähnt. Ich habe keine Bestimmung des Unionsrechts gefunden, in der die diese Begriffe definiert werden(33). Der Unionsgesetzgeber nennt diese Begriffe daher beispielhaft.

29. Dies wird auch aus einer Betrachtung der verschiedenen Sprachfassungen dieser Begriffe in den Erwägungsgründen 75 und 85 der DSGVO ersichtlich. Während die deutsche (Identitätsdiebstahl oder –betrug), die englische (identity theft or fraud), die estnische (identiteedivargust või –pettust), die irische (goid aitheantais nó calaois aitheantais), die litauische (būti pavogta ar suklastota tapatybė), die niederländische (identiteitsdiefstal of –fraude), die polnische (kradzieżą tożsamości lub oszustwem dotyczącym tożsamości), die rumänische (furt sau fraudă a identității) und die slowakische (krádeži totožnosti alebo podvodu) Sprachfassung weitgehend ähnlich sind, weichen andere Sprachfassungen in unterschiedlichem Maß hiervon ab: die tschechische (krádeži či zneužití identity), die französische (vol ou une usurpation d’identité), die griechische (κατάχρηση ή υποκλοπή ταυτότητας), die portugiesische (usurpação ou roubo da identidade), die italienische (furto o usurpazione d’identità) und die spanische (usurpación de identidad o fraude). Die verschiedenen Sprachfassungen der maßgeblichen Erwägungsgründe der DSGVO deuten darauf hin, dass sich die Begriffe Identitätsdiebstahl, Identitätsbetrug, Identitätsmissbrauch, missbräuchliche Verwendung der Identität, Identitätsaneignung und Identitätsanmaßung überschneiden und dass sie zumindest zu einem gewissen Grad als austauschbar angesehen werden können. Folglich unterscheiden die Erwägungsgründe 75 und 85 der DSGVO entgegen dem in Nr. 18 der vorliegenden Schlussanträge dargelegten Vorbringen von SO nicht klar zwischen Identitätsdiebstahl und Identitätsbetrug.

30. Die Erwägungsgründe 75 und 85 unterscheiden zwischen dem Beispiel des „Verlusts der Kontrolle“ oder der Unmöglichkeit, personenbezogene Daten zu „kontrollieren“, und dem Beispiel des „Identitätsdiebstahls oder ‑betrugs“. Daher stellt der Diebstahl personenbezogener Daten allein selbst dann keinen Identitätsdiebstahl dar, wenn dieser Diebstahl zu einer künftigen (missbräuchlichen) Verwendung dieser Daten führen kann. Ein Identitätsdiebstahl erfordert eine zusätzliche Handlung oder einen zusätzlichen Schritt mit über den Diebstahl der personenbezogenen Daten hinausgehenden, nachteiligen Auswirkungen auf die betroffene Person. Wer die personenbezogenen Daten einer betroffenen Person stiehlt, muss diese Daten ohne Einwilligung der betroffenen Person (missbräuchlich) zu rechtswidrigen Zwecken verwenden oder konkrete Schritte hierzu unternehmen. Mit einer solchen Handlung ist typischerweise ein Betrug oder eine andere Form der Täuschung verbunden, und sie wird im Allgemeinen zur Erzielung eines finanziellen oder anderweitigen Gewinns durchgeführt oder um der betroffenen Person oder ihrer Umgebung Schaden zuzufügen.

31. Aus den vorstehenden Erwägungen folgt, dass der Diebstahl personenbezogener Daten zwar keinen Identitätsdiebstahl oder ‑betrug darstellt, jedoch zur Entstehung eines immateriellen Schadens und zu einem Schadensersatzanspruch nach Art. 82 Abs. 1 der DSGVO führen kann. Der Nachweis eines immateriellen Schadens kann einfacher zu erbringen sein, wenn festgestellt wird, dass die betroffene Person infolge des Diebstahls ihrer personenbezogenen Daten Opfer eines Identitätsdiebstahls oder ‑betrugs geworden ist. Ein Anspruch auf Ersatz des immateriellen Schadens nach Art. 82 Abs. 1 der DSGVO wegen des Diebstahls personenbezogener Daten hängt jedoch nicht vom Vorliegen eines Identitätsdiebstahls oder ‑betrugs ab. Ein immaterieller Schaden und der Schadensersatzanspruch nach Art. 82 Abs. 1 der DSGVO sind unter Berücksichtigung aller Umstände einzelfallbezogen zu beurteilen.


Den Volltext der Schlussanträge finden Sie hier:


OLG Dresden: Immaterieller Schadensersatz in Höhe von 1.500 EURO aus Art. 82 Abs. 1 DSGVO bei rechtswidriger Herbeiführung eines Schufa-Eintrags angemessen

OLG Dresden
Hinweisbeschluss vom 29.08.2023
4 U 1078/23

Das OLG Dresden hat im Rahmen eines Hinweisbeschlusses ausgeführt, dass bei unberechtigter Herbeiführung eines Schufa-Eintrags regelmäßig ein immaterieller Schadensersatz in Höhe von 1.500 EURO aus Art. 82 Abs. 1 DSGVO angemessen ist.

Aus den Entscheidungsgründen:
Der Senat beabsichtigt, die zulässige Berufung nach § 522 Abs. 2 ZPO ohne mündliche Verhandlung durch - einstimmig gefassten - Beschluss zurückzuweisen. Die zulässige Berufung des Klägers bietet in der Sache offensichtlich keine Aussicht auf Erfolg. Die Rechtssache hat auch weder grundsätzliche Bedeutung noch erfordert die Fortbildung des Rechts oder die Sicherung einer einheitlichen Rechtsprechung eine Entscheidung des Berufungsgerichts durch Urteil. Auch andere Gründe gebieten eine mündliche Verhandlung nicht.

Der Kläger wendet sich mit seiner Berufung gegen ein Urteil des Landgerichts Leipzig, mit dem ihm wegen eines rechtswidrigen Schufa-Eintrages ein Anspruch auf immateriellen Schadensersatz nach Art. 82 Abs. 1 DSGVO in Höhe von 1.500,00 € zuerkannt wurde. Er beanstandet die Feststellungen des Landgerichts allein im Hinblick auf die ausgeurteilte Höhe des Schadensersatzes und verweist im Wesentlichen darauf, die von ihm erlittenen Unannehmlichkeiten bis hin zu Existenzängsten hätten in die Erwägungen des Landgerichts zur Schadensbemessung nicht hinreichend Eingang gefunden.

Die Einwendungen des Klägers greifen nicht durch. Er zeigt mit der Berufungsbegründung keine Gesichtspunkte auf, die es im Rahmen der dem Senat durch § 529 ZPO gesetzten Grenzen gebieten würden, eine vom landgerichtlichen Urteil abweichende Entscheidung zu treffen.

Das Landgericht hat die Grundsätze der Bemessung des Schadensersatzes im Rahmen des Art. 82 Abs. 1 Satz 1 DSGVO unter Verweis auf den Erwägungsgrund Nr. 146 Satz 3 und die Rechtsprechung zutreffend dargelegt. Es hat dabei im Einklang mit der neueren Rechtsprechung des EuGH (Urteil vom 04.05.2023 - C-300/21) die relevanten Faktoren wie Ängste, Stress, Komfort- und Zeiteinbußen und die potentielle Stigmatisierung/Rufschädigung zutreffend als Auslegungsgrundsätze herangezogen (Seite 5 unten des Urteils). Ein Verstoß gegen die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität ist hierbei nicht festzustellen. Die Würdigung des Landgerichts lässt keine Abweichung von der Behandlung ähnlicher Sachverhalte nach nationalem Recht erkennen (Äquivalenzprinzip) und die Ausübung der dem Kläger durch das Unionsrecht verliehenen Rechte ist hierdurch auch weder praktisch unmöglich gemacht, noch wesentlich erschwert worden (Effektivitätsgrundsatz).

Das Landgericht hat entscheidend auf die Rufschädigung des Klägers und seines Unternehmens gegenüber den Kunden, auf die für den Kläger mit der Kündigung der Konten verbundenen Unannehmlichkeiten wie das Erfordernis der Suche nach einer neuen Bank, die erschwerte Abwicklung von Zahlungen im Geschäftsverkehr und den mit erforderlichen Umbuchungen verbundenen Aufwand sowie schließlich auf die mindestens grobe Fahrlässigkeit der Beklagten (Seite 9 des Urteils) und auf die Dauer der rechtswidrigen Störung für ca. ein halbes Jahr abgestellt. Der Kläger macht nicht geltend, das Landgericht habe andere, in der Erwägung mit einzustellende Umstände übersehen, so dass sich die Prüfung darauf beschränkt, ob die eingestellten Umstände zutreffend gewichtet wurden. Nicht zutreffend ist nämlich der Einwand, das Landgericht habe bei der Bemessung des immateriellen Schadensersatzes außer Acht gelassen, dass es sich beim Kläger nicht nur um einen Verbraucher, sondern auch um einen Unternehmer (Seite 3 Berufungsbegründung) handelt. Dieser Umstand ist ausdrücklich auf Seite 7 des Urteils gewürdigt.


Die mit der Berufung aufgeführten Umstände rechtfertigen einen höheren immateriellen Schadensersatz jedenfalls nicht. Hierbei ist Folgendes zu berücksichtigen: Was die Kündigung des Dispositionsrahmens gemäß Schreiben der ... vom 05.08.2022 (Anlagen K17 und K24) betrifft, so ist hier aufgeführt, dass der bestehende Dispositionsrahmen von 13.700,00 € zum einen erst ab dem 30.10.2022 reduziert wurde und außerdem in monatlichen Schritten je 500,00 €. Dies bedeutet, dass der Kläger ab dem Zeitpunkt des Wirksamwerdens der Kündigung mindestens noch 27 Monate Zeit hatte, um der Absenkung des Dispositionsrahmen auf 100,00 € entgegenzutreten. In Bezug auf das Giro-Konto bei der ... Bank und dessen Kündigung vom 13.07.2022 (Anlagen K15 und K25) ist anzumerken, dass die Kündigung erst mit Wirkung zum 18.09.2022 ausgesprochen wurde, nach den insoweit unangefochtenen Ausführungen im angegriffenen Urteil (dort Seite 8 unten) die rechtswidrige Störungsmeldung aber nur für etwa ein halbes Jahr, beginnend ab dem 03.01.2022 anhielt. Zwar impliziert die Formulierung "bis mindestens zum 26.07.2020" dass die Störung unter Umständen auch länger angedauert haben könnte. Die Kündigung zum 18.09.2022 hat damit den Kläger aber nicht in existenziellen Druck gebracht, "von heute auf morgen" seine gesamten Konten umzudisponieren. Was die mit der Führung des Geschäftsbetriebes verbundenen Unannehmlichkeiten betrifft ist zu berücksichtigen, dass der Kläger nach dem Inhalt des unstreitigen Tatbestandes des Urteils sein Unternehmen, dass sich mit der Vermietung von Fotoboxen befasst, nur im Nebengewerbe betreibt. Die mit der Führung dieses Unternehmens verbundenen Unannehmlichkeiten betreffen also nicht den Hauptteil seiner beruflichen Tätigkeit. Die Beeinträchtigung eines anderen Geschäftes oder eines anderen Berufs hat der Kläger indessen nicht dargelegt.

Auch der generalpräventiven Funktion des immateriellen Schadensersatzes wird die vom Landgericht ausgeurteilte Summe angesichts der konkreten Umstände gerecht. Das Landgericht hat darauf abgestellt, dass bei einem Schmerzensgeld in etwa hälftiger Höhe der noch offenen Restforderung der Beklagten gegenüber dem Kläger eine hinreichend empfindliche Einbuße für die Beklagte zu sehen ist. Dies ist nicht zu beanstanden. Materielle Schäden aus der unberechtigten Störungsmeldung hat der Kläger nicht beziffert.

Schließlich führt auch der Verweis des Klägers auf diverse landgerichtliche Urteile zu keiner anderen Beurteilung. Das vom Kläger zitierte Urteil des Landgerichts Mainz vom 12.11.2021 hat bei einem unberechtigten Schufa-Eintrag einen immateriellen Schadensersatz von 5.000,00 € zuerkannt, weil der Kläger im Kern unbestritten dargelegt habe, durch den Schufa-Eintrag eine "massive Beeinträchtigung seines sozialen Ansehens" erlitten zu haben. Da die massive Beeinträchtigung nicht näher konkretisiert wird, ist ein Vergleich mit dieser Entscheidung nicht möglich. Dem zitierten Urteil des Landgerichts Hannover vom 14.02.2022 - 13 O 129/21 lag ein besonders hartnäckiger mehrjähriger Verstoß zugrunde, bei dem noch nicht einmal nach Erlass eines Anerkenntnisurteils die Negativeinträge gelöscht wurden und bei der der Kläger mehrjährig in seinem Hauptberuf als Inhaber einer Physiotherapiepraxis Bloßstellungen erdulden musste. Das vom Kläger zitierte Urteil des Oberlandesgerichts Koblenz vom 18.05.2022 - 5 U 2141/21 hat schließlich bei einem falschen Schufa-Eintrag einen Schadensersatz nach DSGVO in Höhe von lediglich 500,00 € zuerkannt.


Den Volltext der Entscheidung finden Sie hier:

BGH legt EuGH vor: Voraussetzungen und Höhe des Anspruchs auf immateriellen Schadensersatz aus Art. 82 DSGVO - Unterlassungsanspruch des Betroffenen bei DSGVO-Verstoß

BGH
Beschluss vom 26. 09.2023
VI ZR 97/22

Der BGH hat dem EuGH diverse sehr praxisrelevante Fragen zur Auslegung der DSGVO zur Entscheidung vorgelegt. Zunächst geht es um die Frage, unter welchen Voraussetzungen ein Anspruch auf immateriellen Schadensersatz aus Art. 82 DSGVO besteht und welche Kriterien bei der Bemessung der Höhe des Schadens zu berücksichtigen sind. Ferner soll die Streitfrage geklärt werden, ob der Betroffene bei einem DSGVO-Verstoß einen Unterlassungsanspruch hat und ob dieser aus der DSGVO oder anderen Vorschriften außerhalb der DSGVO hergeleitet werden kann.

Die Pressemitteilung des BGH:
Bundesgerichtshof legt dem Gerichtshof der Europäischen Union Fragen zum Bestehen eines
unionsrechtlichen Unterlassungsanspruchs und zum Begriff des immateriellen Schadens nach der
Datenschutz-Grundverordnung vor

Der unter anderem für Ansprüche nach der EU-Datenschutz-Grundverordnung zuständige VI. Zivilsenat des Bundesgerichtshofes hat dem Gerichtshof der Europäischen Union Fragen zur Vorabentscheidung zur Auslegung von Bestimmungen der Datenschutz-Grundverordnung (DSGVO) hinsichtlich des Bestehens eines unionsrechtlichen Unterlassungsanspruchs der betroffenen Person, deren personenbezogene Daten von dem Verantwortlichen unrechtmäßig durch Weiterleitung offengelegt wurden, bzw. zu der insoweit bestehenden Möglichkeit eines Rückgriffs auf das nationale Recht und zum Begriff des immateriellen Schadens im Sinne von Art. 82 Abs. 1 DSGVO vorgelegt.

Sachverhalt:

Der Kläger nimmt die Beklagte wegen der Weitergabe persönlicher Daten auf Unterlassung und Ersatz immateriellen Schadens in Anspruch. Er befand sich bei der beklagten Privatbank in einem Bewerbungsprozess, der über ein Online-Portal stattfand. Im Zuge dessen versandte eine Mitarbeiterin der Beklagten über den Messenger-Dienst des Portals eine nur für den Kläger bestimmte Nachricht auch an eine dritte, nicht am Bewerbungsprozess beteiligte Person, die mit dem Kläger vor einiger Zeit in derselben Holding gearbeitet hatte und ihn deshalb kannte. In der Nachricht wird unter anderem mitgeteilt, dass die Beklagte die Gehaltsvorstellungen des Klägers nicht erfüllen könne.

Der Kläger macht geltend, sein - immaterieller - Schaden liege nicht im abstrakten Kontrollverlust über die offenbarten Daten, sondern darin, dass nunmehr mindestens eine weitere Person, die den Kläger und potentielle wie ehemalige Arbeitgeber kenne, über Umstände Kenntnis habe, die der Diskretion unterlägen. Es sei zu befürchten, dass der in der gleichen Branche tätige Dritte die in der Nachricht enthaltenen Daten weitergegeben habe oder sich durch ihre Kenntnis als Konkurrent auf etwaige Stellen im Bewerbungsprozess einen Vorteil habe verschaffen können. Zudem empfinde er das "Unterliegen" in den Gehaltsverhandlungen als Schmach, die er nicht an Dritte - vor allem nicht an potentielle Konkurrenten - weitergegeben hätte.

Bisheriger Prozessverlauf:

Das Landgericht hat der Klage teilweise stattgegeben, die Beklagte antragsgemäß zur Unterlassung verurteilt und dem Kläger, der immateriellen Schadensersatz von mindestens 2.500 € fordert, einen Betrag in Höhe von 1.000 € zuerkannt. Auf die Berufung der Beklagten hat das Oberlandesgericht das Urteil des Landgerichts hinsichtlich des geltend gemachten Anspruchs auf immateriellen Schadensersatz abgeändert und die Klage insoweit abgewiesen. Dagegen wendet sich der Kläger mit seiner vom Berufungsgericht zugelassenen Revision, mit der er seine Ansprüche in vollem Umfang weiterverfolgt. Die Beklagte begehrt mit ihrer Revision die vollständige Abweisung der Klage.

Entscheidung des Bundesgerichtshofs:

Der Bundesgerichtshof hat das Verfahren ausgesetzt und dem Gerichtshof der Europäischen Union zur Auslegung der Datenschutz-Grundverordnung (DSGVO) folgende Fragen zur Vorabentscheidung vorgelegt:

1. a)Ist Art. 17 DSGVO dahingehend auszulegen, dass der betroffenen Person, deren personenbezogene Daten von dem Verantwortlichen unrechtmäßig durch Weiterleitung offengelegt wurden, ein Anspruch gegen den Verantwortlichen auf Unterlassung einer erneuten unrechtmäßigen Weiterleitung dieser Daten zusteht, wenn sie vom Verantwortlichen keine Löschung der Daten verlangt?

b)Kann sich ein solcher Unterlassungsanspruch (auch) aus Art. 18 DSGVO oder einer sonstigen Bestimmung der DSGVO ergeben?

2. Falls Fragen 1a) und/oder 1b) bejaht werden:

a)Besteht der unionsrechtliche Unterlassungsanspruch nur dann, wenn künftig weitere Beeinträchtigungen der sich aus der DSGVO ergebenden Rechte der betroffenen Person zu besorgen sind (Wiederholungsgefahr)?

b)Wird das Bestehen der Wiederholungsgefahr gegebenenfalls aufgrund des bereits vorliegenden Verstoßes gegen die DSGVO vermutet?

3.Falls Fragen 1a) und 1b) verneint werden:

Sind Art. 84 i.V.m. Art. 79 DSGVO dahingehend auszulegen, dass sie es dem nationalen Richter erlauben, der betroffenen Person, deren personenbezogene Daten von dem Verantwortlichen unrechtmäßig durch Weiterleitung offengelegt wurden, neben dem Ersatz des materiellen oder immateriellen Schadens nach Art. 82 DSGVO und den sich aus Art. 17 und Art. 18 DSGVO ergebenden Ansprüchen einen Anspruch gegen den Verantwortlichen auf Unterlassung einer erneuten unrechtmäßigen Weiterleitung dieser Daten nach den Bestimmungen des nationalen Rechts zuzusprechen?

4.Ist Art. 82 Abs. 1 DSGVO dahingehend auszulegen, dass für die Annahme eines immateriellen Schadens im Sinne dieser Bestimmung bloße negative Gefühle wie z.B. Ärger, Unmut, Unzufriedenheit, Sorge und Angst, die an sich Teil des allgemeinen Lebensrisikos und oft des täglichen Erlebens sind, genügen? Oder ist für die Annahme eines Schadens ein über diese Gefühle hinausgehender Nachteil für die betroffene natürliche Person erforderlich?

5.Ist Art. 82 Abs. 1 DSGVO dahingehend auszulegen, dass bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens der Grad des Verschuldens des Verantwortlichen oder Auftragsverarbeiters bzw. seiner Mitarbeiter ein relevantes Kriterium darstellt?

6.Falls Fragen 1a), 1b) oder 3 bejaht werden:

Ist Art. 82 Abs. 1 DSGVO dahingehend auszulegen, dass bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens als anspruchsmindernd berücksichtigt werden kann, dass der betroffenen Person neben dem Anspruch auf Schadensersatz ein Unterlassungsanspruch zusteht?

Vorinstanzen:

LG Darmstadt - Urteil vom 26. Mai 2020 - 13 O 244/19

OLG Frankfurt am Main - Urteil vom 2. März 2022 - 13 U 206/20

Die maßgeblichen Vorschriften lauten:

Art. 17 der Datenschutz-Grundverordnung (DSGVO)

Recht auf Löschung ("Recht auf Vergessenwerden")

(1) Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:

a)

Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.

b)

Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.

c)

Die betroffene Person legt gemäß Artikel 21 Absatz 1 Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder die betroffene Person legt gemäß Artikel 21 Absatz 2 Widerspruch gegen die Verarbeitung ein.

d)

Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.

e)

Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt.

f)

Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Artikel 8 Absatz 1 erhoben.

(2) Hat der Verantwortliche die personenbezogenen Daten öffentlich gemacht und ist er gemäß Absatz 1 zu deren Löschung verpflichtet, so trifft er unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, um für die Datenverarbeitung Verantwortliche, die die personenbezogenen Daten verarbeiten, darüber zu informieren, dass eine betroffene Person von ihnen die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt hat.

(3) Die Absätze 1 und 2 gelten nicht, soweit die Verarbeitung erforderlich ist

a)

zur Ausübung des Rechts auf freie Meinungsäußerung und Information;

b)

zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;

c)

aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit gemäß Artikel 9 Absatz 2 Buchstaben h und i sowie Artikel 9 Absatz 3;

d)

für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1, soweit das in Absatz 1 genannte Recht voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt, oder

e)

zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Art. 18 der Datenschutz-Grundverordnung (DSGVO)

Recht auf Einschränkung der Verarbeitung

(1) Die betroffene Person hat das Recht, von dem Verantwortlichen die Einschränkung der Verarbeitung zu verlangen, wenn eine der folgenden Voraussetzungen gegeben ist:

a)

die Richtigkeit der personenbezogenen Daten von der betroffenen Person bestritten wird, und zwar für eine Dauer, die es dem Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen,

b)

die Verarbeitung unrechtmäßig ist und die betroffene Person die Löschung der personenbezogenen Daten ablehnt und stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangt;

c)

der Verantwortliche die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger benötigt, die betroffene Person sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt, oder

d)

die betroffene Person Widerspruch gegen die Verarbeitung gemäß Artikel 21 Absatz 1 eingelegt hat, solange noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen.

(2) Wurde die Verarbeitung gemäß Absatz 1 eingeschränkt, so dürfen diese personenbezogenen Daten - von ihrer Speicherung abgesehen - nur mit Einwilligung der betroffenen Person oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedstaats verarbeitet werden.

(3) …

Art. 79 der Datenschutz-Grundverordnung (DSGVO)

Recht auf wirksamen gerichtlichen Rechtsbehelf gegen Verantwortliche
oder Auftragsverarbeiter

(1) Jede betroffene Person hat unbeschadet eines verfügbaren verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs einschließlich des Rechts auf Beschwerde bei einer Aufsichtsbehörde gemäß Artikel 77 das Recht auf einen wirksamen gerichtlichen Rechtsbehelf, wenn sie der Ansicht ist, dass die ihr aufgrund dieser Verordnung zustehenden Rechte infolge einer nicht im Einklang mit dieser Verordnung stehenden Verarbeitung ihrer personenbezogenen Daten verletzt wurden.

(2) …

Art. 82 der Datenschutz-Grundverordnung (DSGVO)

Haftung und Recht auf Schadenersatz

(1) Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

(2) …

Art. 84 der Datenschutz-Grundverordnung (DSGVO)

Sanktionen

(1) Die Mitgliedstaaten legen die Vorschriften über andere Sanktionen für Verstöße gegen diese Verordnung - insbesondere für Verstöße, die keiner Geldbuße gemäß Artikel 83 unterliegen - fest und treffen alle zu deren Anwendung erforderlichen Maßnahmen. Diese Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein.

(2) …


LG Leipzig: Dating-Portal darf Fotos der Nutzer ohne ausdrückliche Einwilligung nicht für Mahnschreiben verwenden

LG Leipzig
Urteil vom 31.05.2023
05 O 666/22


Das LG Leipzig hat entschieden, dass ein Dating-Portal Fotos der Nutzer ohne ausdrückliche Einwilligung nicht für Mahnschreiben verwenden darf.

Aus den Entscheidungsgründen:
Der Unterlassungsanspruch folgt aus § 3a UWG i.V.m. Art. 5 Abs. 1 a), b), Art. 6 DSGVO.

aa) Art. 5 Abs. (1) a) DSGVO verlangt eine Verarbeitung personenbezogener Daten aufrechtmäßige Weise, nach Treu und Glauben und in transparenter Form. Nach Art, 5 Abs. (1) b) DSGVO müssen personenbezogene Daten für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet (Art. 4 Nr. 2 DSGVO) werden. Die Vorschriften der DSGVO sind anhand einer Einzelfallbetrachtung auf ihre Marktrelevanz hin zu untersuchen. Die Regelungen des Art. 5 DSGVO stellen Marktverhaltensregeln i.S.d. § 3a UWG dar und weisen einen Marktbezug auf, denn es geht um eine geschäftsmäßige Datenverarbeitung, die Zulässigkeit der Erhebung und Weiterverarbeitung von Daten von Verbrauchern (vgl. BGH I ZR 223/19; OLG Sachsen-Anhalt,9 U 39/18). Auswirkungen auf den Markt sind dabei nicht nur Reflexe des Schutzes individueller Rechte, denn eine Datenverarbeitung für nicht eindeutig bestimmte und festgelegte und nicht legitime Zwecke kann die Entscheidungsfreiheit und das Verhalten in Bezug auf eine Marktteilnahme des Verbrauchers beeinflussen; das Vertrauen in den Datenschutz im Rahmen der digitalen Wirtschaft ist daher als Zweck besonders hervorgehoben (vgl. Art. 1 DSGVO). Die Information über die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen sowie darüber, ob diese für einen Vertragsabschluss erforderlich sind und eine Pflicht zur Mitteilung besteht, hat wettbewerblichen Bezug (vgl. OLG Stuttgart, 2 U 257/19).

bb) Zwar hat die Person im Streitfall durch Anklicken des entsprechenden Kästchens beim Besuch der Internetseite der Beklagten die Einwilligung in die Datenschutzerklärung zur Abwicklung des Vertrages erteilt. In deren Ziffer 4 wird auf die Möglichkeit der Aufforderung zur Bereitstellung von personenbezogenen Daten, u.a. eines Nutzerfotos, hingewiesen und unter deren Ziffer 5 erläutert, dass personenbezogene Daten erfasst und verwendet werden, „um sämtliche Zahlungen zu verarbeiten, die Sie im Austausch für einen Zugriff auf die Dienstleistung zu errichten haben“ (Anlage K3). Durch Einwilligung per Opt-In-Funktion hat der Verbraucher jedoch nicht in die Nutzung seines Fotos im Zusammenhang mit der Verarbeitung von Zahlungen eingewilligt (Art. 6 Abs. 1 a DSGVO). Die Verwendung des Fotos auf Forderungsschreiben ist weder für die Erfüllung des Vertrages notwendig noch liegt ein überwiegendes berechtigtes Interesse der Beklagten an einer diesbezüglichen Verwendung vor (Art. 6 (1) b, f DSGVO). Als die für das Abonnement der Mitgliedschaft erforderlichen personenbezogenen Daten sind nur Name, Passwort, Zahlungsmethode, Telefonnummer und Rechnungsadresse genannt; das Zusenden eines Fotos wird lediglich zur Vervollständigung des Dating-Profils in die freiwillige Entscheidung des Nutzers gestellt (Ziffer 4 der Datenschutzerklärung). Damit handelt es sich bereits aus dem Zusammenhang der Regelung in Ziffer 4 auch nicht um die personenbezogenen Daten, auf die Ziffer 5 der Datenschutzerklärung im Zusammenhang mit einer Zahlungsverarbeitung Bezug nimmt. Ferner liegt in der Versendung von Forderungsschreiben nicht auch eine Verarbeitung von Zahlungen; zu einer solchen kam es gerade nicht, das Mahnschreiben dient (vorangehend) zur Zahlungserinnerung /-aufforderung. Eine Einwilligung zu einer „Verarbeitung“ des Nutzerfotos auf Forderungsschreiben wurde durch Anklicken des entsprechenden Kästchens auf der Website daher nicht erteilt. Nach Ziffer 4 der Datenschutzerklärung ist der Zweck eines - nach Entscheidung des Nutzers - übergebenen Fotos die Vervollständigung des Dating-Profils; eine Verarbeitung / Nutzung zu anderen Zwecken ist nicht „legitim“ i.S.d. Art. 5 Abs. 1 b) i.V.m. Art. 6 (1) a). b) DSGVO und erfolgt ohne Einwilligung und ohne Rechtsgrundlage, weshalb ein Verstoß gegen §§ 3, 3a UWG, Art. 5 Abs. 1, Art. 6 abs. 1 DSGVO vorliegt.


Den Volltext der Entscheidung finden Sie hier:

VG Hannover: Speicherdauer von Videoaufzeichnungen einer Tankstelle darf 72 Stunden nicht überschreiten

VG Hannover
Urteil vom 13.03.2023
10 A 1443/19


Das VG Hannover hat entschieden, dass die Speicherdauer von Videoaufzeichnungen einer Tankstelle 72 Stunden nicht überschreiten darf.

Aus den Entscheidungsgründen:
1. Der Bescheid vom 18. Februar 2019 ist rechtmäßig. Die datenschutzrechtliche Beschränkung zur Speicherdauer (a), die Aufforderung zur Bestätigungsanzeige (b) und auch die Zwangsgeldandrohung (c) sind rechtlich nicht zu beanstanden.

a) Die Anordnung der Beklagten, die Aufzeichnungen der klägerischen Videoüberwachung in der Regel auf 72 Stunden zu beschränken, ist rechtmäßig.

aa) Rechtsgrundlage für die streitgegenständliche Beschränkung zur Speicherdauer der Videoaufzeichnungen ist Art. 58 Abs. 2 lit. f) der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung; hiernach: DSGVO). Demnach kann die Aufsichtsbehörde eine vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots, verhängen, was die Beklagte mit der Beschränkung der Speicherdauer der Videoaufzeichnung getan hat.

bb) Der Bescheid ist in formeller Hinsicht nicht zu beanstanden. Die Beklagte ist für den Erlass des Bescheides nach §§ 19 Abs. 1, 22 Abs. 1 Nr. 1 Niedersächsisches Datenschutzgesetz (NDSG) zuständig. Die Klägerin wurde vor dessen Erlass zureichend nach § 1 Abs. 1 Niedersächsisches Verwaltungsverfahrensgesetz (NVwVfG) i.V.m. § 28 Abs. 1 Verwaltungsverfahrensgesetz (VwVfG) angehört und der Bescheid ist auch hinreichend bestimmt nach § 1 Abs. 1 NVwVfG i.V.m. § 37 Abs. 1 VwVfG.

Nach § 37 Abs. 1 VwVfG muss ein Verwaltungsakt inhaltlich hinreichend bestimmt sein. Ein Verwaltungsakt ist inhaltlich hinreichend bestimmt, wenn der Inhalt der von der Behörde getroffenen Regelung für die Beteiligten, insbesondere für die Adressatinnen oder Adressaten des Verwaltungsakts, so vollständig, klar und unzweideutig erkennbar ist, dass sie ihr Verhalten danach richten können, und wenn der Bescheid darüber hinaus geeignet ist, Grundlage für Maßnahmen einer zwangsweisen Durchsetzung zu sein (Tegethoff, in: Kopp/Schenke, VwVfG, 23. Auflage, § 37 Rn. 5). Dies ist hier der Fall. Dem Bescheid lässt sich, ausgehend vom Wortlaut unter Berücksichtigung der weiteren Umstände des Einzelfalles und nach Treu und Glauben durch Auslegung entnehmen, dass der Klägerin grundsätzlich untersagt wird, Videoaufzeichnungen länger als 72 Stunden zu speichern.

Anders als die Klägerin meint, ist die Regelung nicht deshalb unbestimmt, da unklar bleibe, in welchen Fällen sie zu einer längeren Speicherung als 72 Stunden berechtigt sei. Dem streitgegenständlichen Bescheid lässt sich dahingehend unzweideutig entnehmen, dass für Fälle von Feiertagsabwesenheiten eine längere Speicherdauer zulässig ist. Auch hat die Beklagte dargelegt, dass eine längere Speicherung in Fällen möglich ist, in denen das Aufzeichnungsmaterial zur Aufklärung von Schadensfällen oder der Durchsetzung etwaiger Ansprüche, die die Klägerin selbst geltend machen möchte oder gegen die sie sich zu wehren hat, notwendig ist.

cc) Der Bescheid ist auch materiell rechtmäßig. Die von der Beklagten beanstandete Datenverarbeitung der Klägerin ist rechtswidrig. Es besteht daher ein Anlass für ein Einschreiten der Beklagten. Sie erfolgte zu dem Zweck, einen datenschutzrechtswidrigen Zustand zu beenden, da die Aufzeichnungen der Videoüberwachung bisher für sechs bis acht Wochen und damit - datenschutzrechtswidrig - zu lang gespeichert wurden.

Die von der Klägerin vorgenommene Videoüberwachung und die Speicherung der dabei gewonnenen Daten unterfällt dem Regelungsregime der DSGVO (1). Die Zwecke, zu denen die Klägerin danach die Videoüberwachung durchführen darf (2), rechtfertigen in der Regel keine längere Speicherdauer als 72 Stunden (3). Die Beklagte hat die datenschutzrechtliche Beschränkung zur Speicherdauer schließlich auch ermessensfehlerfrei angeordnet (4.).

(1) Die von der Klägerin vorgenommene Videoüberwachung und die Speicherung der dabei gewonnenen Daten unterfällt dem Regelungsregime der DSGVO. Anders als die Klägerin meint, kann sie die Videoüberwachung und die Speicherung nicht auf § 4 BDSG stützen. Diese Vorschrift ist unionsrechtswidrig, soweit sie neben öffentlichen auch nichtöffentliche Stellen betrifft. Art. 6 Abs. 1 lit. e) und Abs. 3 DSGVO eröffnet den Mitgliedsstaaten nur insoweit einen Regelungsspielraum, als es sich bei der Videoüberwachung um die Wahrnehmung einer Aufgabe handelt, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt. Damit lässt sich zwar die erste Alternative des § 4 Abs. 1 BDSG (Aufgabenerfüllung öffentlicher Stellen) unter die Öffnungsklausel des Art. 6 Abs. 1 lit. e) und Abs. 3 DSGVO fassen. Darüber hinaus erlaubt aber § 4 Abs. 1 BDSG - unionsrechtswidrig - auch noch die Videoüberwachung zur Wahrnehmung des Hausrechts (Abs. 1 Nr. 2) oder zur Wahrnehmung berechtigter Interessen (Abs. 1 Nr. 3) und dies für öffentliche Stellen ebenso wie für nichtöffentliche Stellen. Damit ist aber der zulässige Grund der Öffnungsklausel verlassen, sodass aufgrund des Vorrangs des EU-Rechts § 4 BDSG hier außer Betracht bleiben muss (so etwa Buchner, in: Kühling/Buchner, DSGVO und BDSG, 3. Auflage, BDSG, § 4 Rn. 3).

Gegen eine Anwendung von § 4 BDSG für die Videoüberwachung durch nichtöffentliche Stellen hat sich auch das Bundesverwaltungsgericht in einem obiter dictum zu einem Urteil vom 27. März 2019 ausgesprochen und festgestellt, dass sich die Videoüberwachung durch private Verantwortliche nach Art. 6 Abs. 1 S. 1 lit. f) DSGVO richtet (- 6 C 2.18 -, juris). Soweit die Klägerin meint, diese Entscheidung sei auf den vorliegenden Fall nicht anzuwenden, weil er sich auf eine veraltete Rechtslage bezieht, so ist dem entgegenzuhalten, dass das Bundesverwaltungsgericht in seiner Entscheidung ausdrücklich auf die für die Zukunft geltende Rechtslage nach Inkrafttreten der DSGVO abgestellt hat (Urt. v. 27.03.2019 - 6 C 2.18 -, juris Rn. 41 ff.). Dem folgend nimmt auch die Datenschutzkonferenz in ihrer Orientierungshilfe zur Videoüberwachung für nichtöffentliche Stellen an, dass § 4 BDSG für die Videoüberwachung durch nichtöffentliche Stellen keine Anwendung findet, sondern Art. 6 Abs. 1 Satz 1 lit. f) DSGVO zum Tragen kommt (abrufbar unter: 20200903_oh_vü_dsk.pdf (datenschutzkonferenz-online.de), S. 7 Fn. 8, zuletzt abgerufen am: 17.03.2023). Soweit die Klägerin meint, § 4 BDSG sei auf sie anzuwenden, weil sie Treibstoff veräußere und damit eine öffentliche Aufgabe im Rahmen der Daseinsvorsorge wahrnehme, so ist dem nicht zuzustimmen. Die Norm ist ausdrücklich nur auf öffentliche Stellen anzuwenden. Die Klägerin ist - selbst wenn sie öffentliche Aufgaben wahrnehmen würde - aber unstreitig ein Privatunternehmen.

Die Klägerin kann die Videoüberwachung und die Speicherung der dabei gewonnenen Daten auch nicht auf § 24 BDSG stützen. Diese Vorschrift erfasst diejenigen Fälle, bei denen zu einem anderen Zweck als zu demjenigen, zu dem die Daten erhoben wurden, Daten verarbeitet werden. Einen solch anderen Zweck hat die Klägerin nicht benannt und er ist auch ansonsten nicht erkennbar.

(2) Nach Art. 6 Abs. 1 lit. f) DSGVO ist die Klägerin zwar zur Videoüberwachung berechtigt, jedoch darf sie diese nicht für alle von ihr vorgetragenen Zwecke durchführen. Soweit sie vorgetragen hat, sie nehme die Videoüberwachung auch zur Durchsetzung bzw. zur Verteidigung gegen zivilrechtliche Ansprüche vor, so ist es ihr nicht gelungen, substantiiert darzulegen und zu belegen, dass sie ein berechtigtes Interesse zur Durchführung der Videoüberwachung zu eben diesem Zweck hat.

Nach Art. 6 Abs. 1 lit. f) DSGVO ist die Verarbeitung personenbezogener Daten nur rechtmäßig, wenn die Verarbeitung zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte oder Grundfreiheiten der betroffenen Personen, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Als berechtigt darf jedes rechtliche, tatsächliche, wirtschaftliche oder ideelle Interesse des Verantwortlichen angesehen werden, soweit es von der Rechtsordnung nicht missbilligt wird. Das berechtigte Interesse muss auf einen konkreten Verarbeitungs- oder Nutzungszweck gerichtet sein. Berechtigt ist das Interesse also nur, wenn die Verarbeitung legitim und rechtmäßig ist (Taeger, in Taeger/Gabel, DSGVO - BDSG - TTDSG, 4. Aufl. 2022, Art. 6 Rn. 129). Das berechtigte Interesse des Verantwortlichen ist von diesem substantiiert vorzutragen und zu belegen (Taeger, in Taeger/Gabel, DSGVO - BDSG - TTDSG, 4. Aufl. 2022, Art. 6 Rn. 135; vgl. auch BVerwG, Urt. v. 02.03.2022 - 6 C 7/20 -, juris Rn. 50). Dieser speziellen Substantiierung bedarf es nur dann nicht, wenn eine Situation gegeben ist, die nach allgemeiner Lebenserfahrung typischerweise gefährlich ist und der Überwachung bedarf. Eine solch abstrakte Gefährdungslage wird beispielsweise bei Einkaufszentren und Kaufhäusern angenommen (vgl. zur alten Rechtslage Nds. OVG, Urt. v. 29.09.2014 - 11 LC 114/13 -, NJW 2015, 502, 505 Rn. 44; vgl. zur Anwendbarkeit dieser Grundsätze auch im Anwendungsbereich der DSGVO Taeger, in Taeger/Gabel, DSGVO - BDSG - TTDSG, 4. Aufl. 2022, Art. 6 Rn. 135).

Die Klägerin - dies hat auch die Beklagte anerkannt - ist nach Anwendung dieser Grundsätze berechtigt, die Videoüberwachung zur Unterbindung und Nachverfolgung von Straftaten, insbesondere von Vandalismus und Sachbeschädigungen, durchzuführen. Bei der von der Klägerin betriebenen SB-Tankstelle handelt es sich um eine nach der allgemeinen Lebenserfahrung potentiell stark gefährdete Einrichtung, die typischerweise Opfer von Vandalismus und Sachbeschädigungen wird, sodass die Klägerin ihr berechtigtes Interesse an der Videoaufzeichnung diesbezüglich nicht besonders belegen muss.

Soweit die Klägerin überdies vorgetragen hat, die Videoüberwachung diene auch dazu, sich gegen unberechtigte zivilrechtliche Ansprüche schützen und solche gegebenenfalls selbst durchsetzen zu können, so darf sie die Videoüberwachung zu diesem Zweck nicht durchführen. Sie hat ein berechtigtes Interesse zur Datenerhebung zu diesen Zwecken weder substantiiert dargelegt noch belegt.

Zunächst ist festzuhalten, dass die Durchsetzung des Kaufpreisanspruches und die Verteidigung gegen zivilrechtliche Ansprüche eines etwaigen Tankbetrügers an einer Selbstbedienungstankstelle keine Situation darstellt, bei der nach der allgemeinen Lebenserfahrung davon auszugehen ist, dass sie typischerweise regelmäßig vorkommt. Die Klägerin ist demnach nach den oben geschilderten Grundsätzen diesbezüglich dazu verpflichtet, ihr berechtigtes Interesse an der Datenerhebung und -verarbeitung darzulegen und zu belegen. Dies ist ihr vorliegend nicht gelungen.

Zur Durchsetzung von Kaufpreisansprüchen nach § 433 BGB bedarf es der Videoaufzeichnung schon deswegen nicht, weil bei der von der Klägerin betriebenen SB-Tankstelle Benzin grundsätzlich erst dann ausgegeben wird, wenn die Tanksäule freigeschaltet wurde. Die Freischaltung erfolgt durch die Einführung der akzeptierten Zahlkarten unter Nutzung einer PIN. Sobald die Zapfpistole wieder eingehängt wird, wird die Abbuchung vom Konto des Kunden direkt veranlasst. Kunden können die Tankstelle ohne Initiierung des Zahlvorgangs also grundsätzlich nicht verlassen.

Soweit die Klägerin dargelegt hat, dass an ihrer Tankstelle auch eigens ausgegebene Tankkarten akzeptiert werden, bei denen eine monatliche Abrechnung über ein SEPA-Lastschrift-Verfahren erfolgt, so berechtigt auch dies nicht zur Videoüberwachung. Die Klägerin hat diesbezüglich zwar ausgeführt, dass Kunden dem Einzug des Rechnungsbetrages ohne Angaben von Gründen gegenüber ihrer Bank widersprechen können und die Banken teilweise nach den vertraglichen Vereinbarungen sodann berechtigt seien, den an die Klägerin ausgezahlten Betrag wieder zurück zu buchen. Zur Durchsetzung des Kaufpreisanspruches ist die Klägerin dennoch nicht auf die Aufzeichnungen der Videoüberwachungsanlage angewiesen. Der Nachweis über den (den Kaufvertrag begründenden) Tankvorgang kann sie schließlich bereits dadurch erbringen, dass die personalisierte Tankkarte unter Nutzung einer PIN an ihrer Selbstbedienungstankstelle verwendet wurde. Dies ist über die Abrechnungsbelege nachweisbar. Schließlich hat die Klägerin keinen einzigen Beleg dafür erbracht, dass es in der Vergangenheit zu einem solchen Fall gekommen ist. Das Gericht hat die Klägerin bereits im Vorfeld zur mündlichen Verhandlung zur Vorlage entsprechender Belege aufgefordert. Dem ist die Klägerin - auch im Rahmen der mündlichen Verhandlung - nicht nachgekommen. Soweit der Geschäftsführer der Klägerin diesbezüglich ausgeführt hat, Belege und Nachweise könnten nicht vorgelegt werden, weil in der Vergangenheit entsprechende Fälle immer dadurch hätten aufgeklärt werden können, dass er allein sich die Videoaufzeichnungen angeschaut habe und seinem Gegenüber am Telefon habe versichern können, dass der Tankvorgang stattgefunden habe, so hält die Kammer dies für fernliegend und nicht überzeugend. Es entspricht nicht der allgemeinen Lebenserfahrung, dass etwaige Rechtsansprüche immer ausschließlich nur telefonisch dargelegt und sodann auch telefonisch abschließend geklärt werden können.

Die Klägerin darf die Videoüberwachung auch nicht zum Zweck der Verteidigung gegen zivilrechtliche Ansprüche nach §§ 812 ff. BGB durchführen. Sie hat diesbezüglich behauptet, in der Vergangenheit sei es zu Fällen gekommen, in denen nach einem Tankvorgang die Karte eines Kunden belastet worden sei und der Kunde sodann behauptet habe, sein Fahrzeug nicht bei der Klägerin betankt und deswegen den Kaufpreis zurückgefordert zu haben. Es stünde demnach im Raum, dass die Klägerin den Kaufpreis durch Leistung des Kunden ohne Rechtsgrund erlangt habe. Selbst wenn es in der Vergangenheit zu solchen Fällen gekommen ist, rechtfertigen sie die Videoüberwachung nach Ansicht der Kammer nicht. Nach den zivilrechtlichen Beweislastregeln wäre zunächst grundsätzlich der vermeintliche Kunde für das Fehlen des Rechtsgrundes, also für den Umstand beweisbelastet, dass zwischen ihm und der Klägerin kein Kaufvertrag zustande gekommen ist - sprich, dass kein Tankvorgang vorgenommen wurde (vgl. beispielsweise Wendehorst, in BeckOK BGB, 65. Ed., § 812, Rn. 281f.). Zudem kann die Klägerin auch in solchen Konstellationen grundsätzlich über die Abrechnungen einen Nachweis für den Tankvorgang und damit das Vorliegen eines Rechtsgrundes erbringen. Soweit die Klägerin diesbezüglich ohne Vorlage entsprechender Nachweise pauschal vorgetragen hat, dass auf den Abrechnungen nicht die volle IBAN des Kunden dargestellt werde, so ist die Kammer davon überzeugt, dass die IBAN und demnach die Identität des jeweiligen Kartennutzers sich anhand der auf der Abrechnung vorhandenen Angaben durch Erforschungsmaßnahmen bei der Bank ermitteln lässt. Die Klägerin hat zudem auch für diese vorgetragene Konstellation keinen einzigen Beleg erbracht, dass es in der Vergangenheit zu entsprechenden Fällen tatsächlich gekommen ist. Auch diesbezüglich hält die Kammer es für fernliegend, dass Kunden versuchen, ihre vermeintlichen Rechtsansprüche mündlich durchzusetzen und sodann wegen einer telefonischen Auskunft, die auf der für den Kunden nicht nachvollziehbaren Sichtung des Videomaterials beruht, von der Weiterverfolgung absehen.

Auch für die von der Klägerin vorgetragene Konstellation, Kunden hätten in der Vergangenheit behauptet, ihre Karte samt PIN sei entwendet und zum Tanken verwendet worden, ist die Klägerin zur Videoüberwachung nicht berechtigt. Die Beweislast für das treuwidrige Verhalten Dritter liegt in solchen Konstellationen nicht bei der Klägerin, sondern in der Regel nach §§ 675 v -675 w BGB bei den Kreditinstituten. Bei § 675 v BGB handelt es sich um die zentrale Haftungsnorm im Rechtsverhältnis von Zahlungsdienstleister und Zahlungsdienstnutzer. Sie regelt, welche Partei bei missbräuchlicher Verwendung von Zahlungsdiensten einen durch unberechtigt verfügende Dritte entstandenen Schaden zu tragen hat. Eine Haftung des Zahlungsempfängers ist hier nicht vorgesehen. § 675 w BGB regelt dahingehend die Beweislasten und bezieht sich ebenfalls nicht auf den Zahlungsempfänger. Zudem besteht bei Nutzung einer EC-Karte/Visa-Karte mit PIN - und nur solche sind bei der Klägerin nach ihrem eigenen Vortrag nutzbar - grundsätzlich eine Zahlungsgarantie des Kreditunternehmens. Schließlich ist es der Klägerin auch hinsichtlich dieser behaupteten Konstellation nicht gelungen, eine Gefährdungslage substantiiert darzulegen. Nachweise dafür, dass es zu solchen Fällen in der Vergangenheit gekommen ist, hat sie trotz gerichtlicher Aufforderung nicht erbracht.

Die Klägerin hat weiter vorgetragen, sie sei auf die Videoüberwachung angewiesen, um Fälle aufklären zu können, bei denen Kunden nach einer Fehlbedienung die doppelte Belastung ihrer Karte rügen würden. In der Vergangenheit sei es zu Fällen gekommen, in denen Kunden durch das zentrale Terminal zunächst eine falsche und sodann die richtige Zapfsäule freigeschaltet hätten. Ein anderer Kunde habe sodann an der versehentlich freigeschalteten Zapfsäule auf Kosten dieses Kunden getankt. Auch dieser Vortrag rechtfertigt eine Videoüberwachung nicht. Zunächst ist die Kammer davon überzeugt, dass solchen Fällen durch technische Vorrichtungen begegnet werden kann, sodass sie gar nicht vorkommen müssten. Zudem hat die Klägerin auch hinsichtlich dieser Fallkonstellation keinerlei belastbaren Nachweise dafür vorgebracht, dass sie in der Vergangenheit tatsächlich vorgekommen wären.

Soweit die Klägerin schließlich noch behauptet hat, sie sei auf die Videoüberwachung angewiesen, weil sie sich wegen der vermeintlich falschen Belastung von Zahlungskarten auch gegen strafrechtliche Vorwürfe verteidigen können müsse, so hat sie auch diesbezüglich nicht substantiiert darlegen können, dass in der Vergangenheit tatsächlich strafrechtlich gegen sie ermittelt oder gar ein Strafverfahren eingeleitet wurde. Dass es auch für solche Konstellationen keinerlei schriftliche Nachweise gibt, hält die Kammer für abwegig.

(3) Soweit die Klägerin zur Durchführung der Videoüberwachung berechtigt ist, dürfen die dabei gewonnenen Aufzeichnungen grundsätzlich nicht länger als 72 Stunden gespeichert werden.

Personenbezogene Daten dürfen nach Art. 5 Abs. 1 lit. c) und e) DSGVO nicht länger gespeichert werden, als es für die Zwecke, für die sie verarbeitet wurden, erforderlich ist (Grundsätze der Datenminimierung und der Speicherbegrenzung). Spiegelbildlich bestimmt Art. 17 Abs. 1 lit. a) DSGVO, dass personenbezogene Daten unverzüglich zu löschen sind, wenn sie für die Zwecke, für die sie erhoben wurden, nicht mehr notwendig sind. Dem kommt die Klägerin gegenwärtig nicht nach.

Zulässiger Zweck der Videoüberwachung ist die Unterbindung und Nachverfolgung von Straftaten, insbesondere von Vandalismus und Sachbeschädigungen. Zu diesem Zweck ist die Klägerin berechtigt, Bildaufnahmen zu erheben und auch zu speichern. Es ist aber nicht notwendig, diese Aufzeichnungen für die Zweckerreichung sechs bis acht Wochen vorzuhalten.

Wann Daten zur Zweckerfüllung nicht mehr notwendig sind, lässt sich nicht pauschal festlegen. Erforderlich ist eine Prüfung im Einzelfall (Herbst, in: Kühling/Buschner, DSGVO und BDSG, 3. Auflage, Art. 17 Rn. 17). Allerdings lassen sich einige allgemeingültige Grundsätze durchaus ausmachen. So sollten unter Berücksichtigung der Grundsätze nach Art. 5 Abs. 1 lit. c) und e) DSGVO die personenbezogenen Daten in den meisten Fällen nach einigen wenigen Tagen automatisch gelöscht werden. Je länger die Speicherfrist ist, desto höher ist der Argumentationsaufwand in Bezug auf die Rechtmäßigkeit des Zwecks und der Erforderlichkeit. Dies gilt insbesondere dann, wenn sie mehr als 72 Stunden beträgt (European Data Protection Board, Leitlinien 3/2019 zur Verarbeitung personenbezogener Daten durch Videogeräte, 29.01.2020, S. 30). An diesen Anforderungen gemessen, lässt sich feststellen, dass die sechs- bis achtwöchige Dauer der Speicherung hier nicht notwendig ist.

Es ist ohne weiteres möglich, binnen 72 Stunden festzustellen, ob Vandalismus oder Beschädigungen an der klägerischen Tankstelle aufgetreten sind und sollte dem so sein, das Videomaterial daraufhin zu sichten. Sollte sodann das Videomaterial weiteren Aufschluss zu einem Tatvorgang geben, so ist die Klägerin zur längeren Speicherung berechtigt (vgl. Art. 17 Abs. 3 lit e) DSGVO). Die Klägerin sieht sich demnach, entgegen ihres Vortrags, durch die streitgegenständliche Anordnung auch nicht dem Vorwurf der Strafvereitelung nach § 339 StGB ausgesetzt, abgesehen davon, dass sie schon nicht taugliche Täterin der Strafnorm ist. Dies sind nur Richter, andere Amtsträger (§ 11 Abs. 1 Nr. 2 StGB) oder Schiedsrichter (§ 1025 Zivilprozessordnung (ZPO), § 101 Arbeitsgerichtsgesetz (ArbGG), § 76 Zehntes Buch Sozialgesetzbuch (SGB IX), § 168 Abs. 1 Nr. 5 VwGO). Die Klägerin wird durch die Anordnung der Beklagten zur Speicherdauer auch nicht angehalten, Beweismittel zu vernichten. Im Regelfall sollten ihr Fälle von Sachbeschädigung/Vandalismus innerhalb von 72 Stunden auffallen; sollte sodann das Videomaterial weiteren Aufschluss zu einem Tatvorgang geben, so ist sie zur längeren Speicherung berechtigt. Sollte ausnahmsweise Beweismaterial gelöscht werden, so dürfte es zudem am notwendigen Vorsatz für die Strafvereitelung fehlen.

Die Berechtigung zu einer längeren Speicherdauer lässt sich auch unter Heranziehung der verschiedenen von der Klägerin zitierten Quellen, Guidelines, Orientierungshilfen und Auskünfte nicht begründen.


Den Volltext der Entscheidung finden Sie hier:

OLG Hamm: Vereinsmitglied hat regelmäßig einen Anspruch gegen Verein auf Übermittlung einer Mitgliederliste mit E-Mail-Adressen - DSGVO steht dem nicht entgegen

OLG Hamm
Urteil vom 26.04.2023
8 U 94/22


Das OLG Hamm hat entschieden, dass ein Vereinsmitglied regelmäßig einen Anspruch gegen den Verein auf Übermittlung einer Mitgliederliste mit E-Mail-Adressen der Mitglieder hat. Die DSGVO steht dem nicht entgegen.

Leitsätze des Gerichts:
1. Einem Vereinsmitglied steht ein aus dem Mitgliedschaftsverhältnis fließendes Recht gegen den Verein auf Übermittlung einer Mitgliederliste zu, die auch E-Mail-Adressen der Mitglieder enthält, soweit es ein berechtigtes Interesse hat und dem keine überwiegenden Geheimhaltungsinteressen des Vereins oder berechtigte Belange der Vereinsmitglieder entgegenstehen.

2. Ein berechtigtes Interesse an dem Erhalt der Mitgliederliste ist u. a. dann gegeben, wenn eine Kontaktaufnahme mit anderen Vereinsmitgliedern beabsichtigt ist, um eine Opposition gegen die vom Vorstand eingeschlagene Richtung der Vereinsführung zu organisieren.

3. Das Vereinsmitglied kann in dem Fall nicht auf ein vom Verein eingerichtetes Internetforum verwiesen werden; es ist auch nicht auf die Auskunftserteilung an einen Treuhänder beschränkt.

4. Der Beitritt zu einem Verein begründet die Vermutung, auch zu der damit einhergehenden Kommunikation – auch per E-Mail – bereit zu sein. Eine erhebliche Belästigung geht damit regelmäßig nicht einher, zumal jedes Vereinsmitglied sich vor dem Erhalt unerwünschter E-Mails schützen kann.

5. Die Übermittlung von Mitgliederlisten ist mit dem Datenschutz vereinbar. Sie ist von dem Erlaubnistatbestand des Art. 6 Abs. 1 lit. b) gedeckt.

Aus den Entscheidungsgründen:
Der Kläger hat seine Berufung fristgerecht eingelegt und begründet, sie ist auch im Übrigen zulässig. Die Berufung ist auch begründet, da die Klage zulässig und begründet ist. Der Kläger hat einen aus dem Mitgliedschaftsverhältnis fließenden Anspruch auf Übermittlung einer Mitgliederliste mit den Vor- und Zunamen, bei juristischen Personen deren Namen, Adressen und E-Mail-Adressen der Mitglieder.

1. Grundsatz
Der Kläger hat als Vereinsmitglied des Beklagten grundsätzlich einen aus der Mitgliedschaft fließenden Anspruch auf die begehrte Information. Ob der Anspruch auch analog § 810 BGB begründet werden kann, kann dahingestellt bleiben. § 810 BGB hat im Übrigen keinen abschließenden Charakter (s. nur MünchKommBGB/Habersack, 8. Aufl. 2020, § 810 BGB Rn. 2) und steht dem mitgliedschaftlichen Auskunftsanspruch nicht entgegen.

Nach ganz h.M. in der Literatur und in der Rechtsprechung steht einem Vereinsmitglied kraft seines Mitgliedschaftsrechts ein Recht auf Einsicht in die Bücher und Urkunden des Vereins zu, wenn und soweit es ein berechtigtes Interesse darlegen kann, dem kein überwiegendes Geheimhaltungsinteresse des Vereins oder berechtigte Belange der Vereinsmitglieder entgegenstehen; BGH, Beschluss vom 21. Juni 2010 – II ZR 219/09 –, juris Rn. 4 f.; Soergel/Hadding, BGB 13. Aufl., § 38 Rdnr. 17; MünchHdbGesR/Schöpflin, Band 5: Verein/Stiftung, 5. Aufl. 2021, § 34 Rn. 21; Reichert, Handbuch des Vereins- und Verbandsrechts, 10. Aufl., Rdnr. 1380; 7; ders., Vereins- und Verbandsrecht, 14. Aufl. 2018, Rn. 1422; Grüneberg/Ellenberger, BGB, 82. Aufl. 2023, § 38 Rdnr. 1a; MünchKommBGB/Leuschner, 9. Aufl. 2021, § 38 Rn. 23 a.E.

Sind die Informationen, die sich das Mitglied durch Einsicht in die Unterlagen des Vereins beschaffen kann, in einer Datenverarbeitungsanlage gespeichert, kann es zum Zwecke der Unterrichtung einen Ausdruck der geforderten Informationen oder auch deren Übermittlung in elektronischer Form verlangen; BGH, Beschluss vom 21. Juni 2010 – II ZR 219/09 –, juris Rn. 4; MünchKommBGB/Schäfer, 8. Aufl. 2020, § 716 Rn. 8 (zur Gesellschaft bürgerlichen Rechts).

Rechtsprechung und Literatur billigen dem einzelnen Vereinsmitglied insbesondere auch einen Anspruch auf Einsicht bzw. Herausgabe der Mitgliederliste jedenfalls dann zu, wenn es ein berechtigtes Interesse geltend machen kann; BGH, Beschluss vom 21. Juni 2010 – II ZR 219/09 –, juris Rn. 5 f.; OLG Saarbrücken NZG 2008, 677 f.; OLG München, U. v. 15.11.1990 – 19 U 3483/90; vgl. auch BVerfG, B. v. 18.2.1991 – 1 BvR 185/91.

Unter welchen Voraussetzungen ein berechtigtes Interesse des einzelnen Vereinsmitglieds anzunehmen ist, Kenntnis von Namen und Anschriften der anderen Vereinsmitglieder zu erhalten, ist keiner abstrakt-generellen Klärung zugänglich, sondern auf Grund der konkreten Umstände des einzelnen Falls zu beurteilen. Ein solches Interesse ist jedenfalls gegeben, wenn es darum geht, das nach der Satzung oder nach § 37 BGB erforderliche Stimmenquorum zu erreichen, um von dem in dieser Vorschrift geregelten Minderheitenrecht, die Einberufung einer Mitgliederversammlung zu verlangen, Gebrauch zu machen; BGH, Beschluss vom 21. Juni 2010 – II ZR 219/09 –, juris Rn. 6. Als berechtigtes Interesse hat der BGH ferner anerkannt, mit der Vielzahl von Mitgliedern, von denen regelmäßig nur ein kleiner Teil an der Mitgliederversammlung teilnimmt, in Kontakt zu treten, um eine Opposition gegen die vom Vorstand eingeschlagene Richtung der Vereinsführung zu organisieren; BGH, Beschluss vom 21. Juni 2010 – II ZR 219/09 –, juris Rn. 12. Dabei müssen sich die auskunftbegehrenden Mitglieder nicht auf die Möglichkeit der Kontaktaufnahme über eine Vereinszeitschrift oder ein vom Verein eingerichtetes Internetforum verweisen lassen; BGH, Beschluss vom 21. Juni 2010 – II ZR 219/09 –, juris Rn. 13.

Das auskunftbegehrende Mitglied kann dabei die Auskunft über Mitgliederliste an einen von ihm eingeschalteten Treuhänder begehren (so im Fall BGH, Beschluss vom 21. Juni 2010 – II ZR 219/09 –, juris Rn. 12). Das auskunftbegehrende Mitglied ist indes darauf nicht beschränkt, sondern kann auch selbst Einsicht in die Mitgliederliste nehmen und Übermittlung der darin enthaltenen Informationen in elektronischer Form an sich selbst verlangen, BGH, Beschluss vom 25. Oktober 2010 – II ZR 219/09 –, juris Rn. 6.

[...]

4. Vereinbarkeit mit dem Datenschutz
Die Übermittlung der Mitgliederliste mit den begehrten Daten ist auch mit der Datenschutzgrundverordnung vereinbar.

a) Anwendbarkeit der DSGVO
Die Datenschutzgrundverordnung ist auf diesen Vorgang anwendbar. Die vom Kläger begehrte Mitgliederliste enthält mit Adresse und E-Mail-Adresse Informationen, die sich auf die durch Namen identifizierten Personen beziehen, mithin personenbezogene Daten i.S.v. Art. 4 Nr. 1 DSGVO. Mit dem vom Kläger begehrten elektronischen Versand ist auch der sachliche Anwendungsbereich von Art. 2 Abs. 1 DSGVO eröffnet, da bereits mit dem Versand an den und der Speicherung beim Kläger eine automatisierte Verarbeitung i.S.v. Art. 2 Nr. 2 DSGVO verbunden ist. Der räumliche Anwendungsbereich von Art. 3 Abs. 1 und 2 DSGVO ist ebenfalls eröffnet, da der Beklagte als Verantwortlicher (Art. 4 Nr. 7 DSGVO) in Deutschland die Daten von betroffenen Personen (Art. 4 Nr. 1 DSGVO) verarbeitet (Art. 4 Nr. 2 DSGVO).

b) Erlaubnistatbestand des Art. 6 Abs. 1 lit. b) DSGVO.
Die Übermittlung der Mitgliederlisten mit den begehrten Inhalten ist aber von dem Erlaubnistatbestand des Art. 6 Abs. 1 lit. b) DSGVO gedeckt, da sie zur Erfüllung eines Vertrags, dessen Partei die betroffenen Personen sind, erforderlich ist.

aa) Grundsätze

Datenschutzrecht ist Ermöglichungsrecht, kein Verhinderungsrecht. Es ist, wie Art. 6 Abs. 1 DSGVO ausweist, akzessorisch zum jeweiligen Sachrecht und steht dem, was das Sachrecht verlangt, nicht entgegen, sondern begrenzt es nur der Teleologie des jeweiligen sachrechtlichen Bereichs folgend auf das danach Erforderliche. Für den vorliegenden Zusammenhang heißt das, das Datenschutzrecht ist in diesem Sinne zivilrechtsakzessorisch, wie auch Art. 6 Abs. 1 lit. b) und c) DSGVO ausweisen; vgl. schon BGH, Beschluss vom 25. Oktober 2010 – II ZR 219/09 –, juris Rn. 6. Das, was zivilrechtlich für die Vertragserfüllung erforderlich ist, ermöglicht das Datenschutzrecht auch.

Insbesondere stellt sich im vorliegenden Fall, in dem es um die datenschutzrechtliche Beurteilung einer gesetzlichen Nebenleistungspflicht geht, nicht die umstrittene Frage der Wechselwirkung zwischen Zivilrecht und Datenschutzrecht. Sie stellt sich, wenn die Gefahr besteht, dass die Parteien einen Vertrag in bestimmter Weise gestalten, um auf dieser Grundlage die Erforderlichkeit der Datenverarbeitung für die Erfüllung (und so die Erlaubnis nach Art. 6 Abs. 1 lit. b) DSGVO) zu begründen und damit die Anforderungen an die Einwilligung nach Art. 6 Abs. 1 lit. a), 7 DSGVO zu unterlaufen; dazu grundlegend Wendehorst/Graf von Westphalen, NJW 2016, 3745 ff.; ferner BeckOK Datenschutzrecht/Albers/Veit, Art. 6 DSGVO Rn. 44. Bei der Beurteilung der teleologisch zur Erreichung des Vertragszwecks (Vereinszwecks; mitgliedschaftliche Rechte) begründeten Nebenpflichten besteht diese Gefahr von vornherein nicht.

bb) Zweck des Erlaubnistatbestands

Zulässig ist nach Art. 6 Abs. 1 lit. b) DSGVO die Verarbeitung „für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist“. Der Zweck des Erlaubnistatbestands ist es, die privatautonome Gestaltung der Beteiligten zu ermöglichen und nicht zu beschränken. Mit dem datenschutzrechtlichen Anliegen der informationellen Selbstbestimmung ist das deswegen gut vereinbar, weil die vertragliche Verpflichtung im Wege der Selbstbestimmung legitimiert ist; BeckOK Datenschutzrecht/Albers/Veit, Art. 6 DSGVO Rn. 41 („Resultate privatautonomer Entscheidungen“). Damit handelt es sich bei dem Erlaubnistatbestand systematisch um einen Unterfall der datenschutzrechtlichen Einwilligung von Art. 6 Abs. 1 lit. a) DSGVO.

cc) Vertrag i.S.d. Art. 6 Abs. 1 lit. b) DSGVO

Der Begriff des “Vertrags” ist dabei nicht zivilrechtlich auszulegen, sondern datenschutzrechtlich und unionsautonom; BeckOK Datenschutzrecht/Albers/Veit, Art. 6 DSGVO Rn. 42. Es kommt m.a.W. nicht darauf an, ob das Rechtsverhältnis, zu dessen Erfüllung die Verarbeitung erforderlich ist, ein Vertrag i.S.d. BGB ist, sondern ob das datenschutzrechtliche Telos des Erlaubnistatbestands erfüllt ist. Maßgeblich ist m.a.W., ob das Rechtsverhältnis privatautonom begründet ist und die maßgebliche Verpflichtung daher als Ausdruck der Selbstbestimmung legitimiert ist; BeckOK Datenschutzrecht/Albers/Veit, Art. 6 DSGVO Rn. 41. Daher wird zu Recht hervorgehoben, dass der Tatbestand von lit. b) „auf all jene vertragsähnlichen Konstellationen, die gleichermaßen auf willentliche Entscheidungen des von der Verarbeitung Betroffenen zurückgehen“, anzuwenden ist; BeckOK Datenschutzrecht/Albers/Veit, Art. 6 DSGVO Rn. 42.

Vereinsgründung und -beitritt begründen einen „Vertrag“ i.S.v. Art. 6 Abs. 1 lit. b) DSGVO, da es sich dabei um einen selbstbestimmt erklärten Beitritt zu einer privaten Vereinigung handelt; so i.Erg. auch Kühling/Buchner/Buchner/Petri, DSGVO BDSG, 3. Aufl. 2020, Art. 6 DSGVO Rn. 29 f.; Gola/Heckmann/Schulz, DSGVO BDSG, 3. Aufl. 2022, Art. 6 DSGVO Rn. 33. Das ist auch zivilrechtlich gut begründet. So formuliert etwa Lutter, AcP 180 (1980), 84, 97: „Die Mitgliedschaft einer Person in einem Verband ist ein Rechtsverhältnis, eine auf privatautonomer Entscheidung beruhende privatrechtliche Sonderverbindung zwischen zwei oder mehr Subjekten. Sie wird begründet durch den Organisationsvertrag der Gründung oder durch den Beitrittsvertrag des neu hinzukommenden Mitgliedes, sei es mit dem Vorstand selbst, sei es mit dem bisherigen Mitglied.“ Zudem hat auch der Vereinsbeitritt anerkanntermaßen Vertragscharakter; s. nur Neuner, Allgemeiner Teil, 13. Aufl. 2023, § 17 Rn. 80 ff. Dabei kommt es für den Vertragsbegriff von Art. 6 Abs. 1 lit. b) DSGVO nicht darauf an, dass nicht sämtliche Mitglieder – gewissermaßen netzförmig – den Beitritt von einander konsentieren (wie bei der Personengesellschaft); dazu BGH, Beschluss vom 19. November 2019 – II ZR 263/18 –, juris Rn. 27; BGH, Urteil vom 11. Januar 2011 – II ZR 187/09 –, juris Rn. 17. Es reicht aus, dass die Mitglieder jeweils im Verhältnis zum Verein als Zentralstelle – gewissermaßen sternförmig – ihr Einverständnis erklären.

dd) Erforderlichkeit zur Erfüllung

Was zur Erfüllung des Vertrags erforderlich ist, bestimmen die Rechte und Pflichten des Vertrags. Eine Unterscheidung zwischen Haupt- und Nebenpflichten ist dabei nicht vorzunehmen; BeckOK Datenschutzrecht/Albers/Veit, Art. 6 DSGVO Rn. 43; Ehmann/Selmayer/Heberlein, DSGVO, 2. Aufl. 2018, Art. 6 DSGVO Rn. 13; Gola/Heckmann/Schulz, DSGVO BDSG, 3. Aufl. 2022, Art. 6 DSGVO Rn. 30. Bei der Bewertung als „erforderlich“ ist dabei – anders als im Verhältnis zwischen Bürger und Staat – kein objektiver Maßstab anzulegen, sondern der von den Parteien privatautonom gewählte Interessenausgleich zugrunde zu legen. Die dabei im allgemeinen gegebene Gefahr eines Missbrauchs der privatautonomen Gestaltungsmacht besteht dabei im vorliegenden Fall nicht. Zwar beruht auch der aus dem Mitgliedschaftsverhältnis fließende Informationsanspruch auf der Grundlage des Vertrags (i.S.v. Art. 6 Abs. 1 lit. b) DSGVO; also Beitritt und Satzung). Die Informationspflichten werden jedoch als – weithin sogar zwingende – Nebenpflichten gesetzlich begründet.

Die hier begründete Pflicht des Vereins, dem Mitglied eine Mitgliederliste mit Namen, Adressen und E-Mail-Adressen zu übermitteln, ist dabei bereits im Wege der Interessenabwägung als für die Zwecke der Ausübung der Mitgliedschaftsrechte erforderlich begründet. Die Begründung beruht ja gerade darauf, dass die Mitgliedschaftsrechte ohne die Informationspflicht nicht effektiv ausgeübt werden könnten oder sogar leerliefen; BGH, Beschluss vom 19. November 2019 – II ZR 263/18 –, juris Rn. 27.

Im Rahmen der datenschutzrechtlichen Prüfung ist ergänzend auf die Grundsätze der Datenverarbeitung nach Art. 5 DSGVO Rücksicht zu nehmen. Hier sind insbesondere die Aspekte der Verarbeitung nach Treu und Glauben (Art. 5 Abs. 1 lit. a) DSGVO), der Zweckbindung (lit. b) und der Datenminimierung hervorzuheben, die in der Sache auch die Parteien angesprochen haben. Da die Informationspflicht als gesetzlich begründete Nebenpflicht selbst Ausfluss von Treu und Glauben ist, wird damit lediglich ein bereits zivilrechtlich begründeter Aspekt hervorgehoben, der im Hinblick auf die Datenverarbeitung zu konkretisieren ist. Auch die Zweckbindung der Datenverarbeitung ist bereits als zivilrechtliche Nebenpflicht des Mitgliedschaftsverhältnisses begründet. Sie ergibt sich daraus, dass der Kläger die Informationen nur aus „berechtigten Interessen“ beanspruchen kann. Daraus ergibt sich zugleich eine sachlich begründete Begrenzung der Verarbeitung durch den Kläger. Als Verantwortlicher für die Datenverarbeitung darf er die Mitgliederliste nur für die Zwecke verwenden, für die er sie zunächst beanspruchen kann, hier also die Organisation einer Opposition gegen die „Politik“ des Vorstands, ggf. für die Einberufung einer außerordentlichen Mitgliederversammlung mit Minderheitenquorum. Auch die Datenminimierung ist bereits bei der zivilrechtlichen Pflichtbegründung mit berücksichtigt. Der Grundsatz darf nicht plump dahin missverstanden werden, es wäre besser, weniger Daten (etwa: nicht die E-Mail-Adressen) zu verarbeiten. Vielmehr ist auch die Datenminimierung im Hinblick auf den jeweiligen Zweck hin zu bestimmen („dem Zweck angemessen“). So ist etwa auch datenschutzrechtlich anzuerkennen, dass der Kläger die E-Mail-Adressen für eine effektive Ausübung seiner Mitgliedschaftsrechte benötigt. In der europarechtlichen Terminologie liegt darin der Gedanke des effet utile, den man auch für die Mitgliedschaftsrechte fruchtbar machen kann. Zwar könnte das Mitglied auch postalisch mit den Kon-Mitgliedern in Verbindung treten. Das würde aber die „praktische Wirksamkeit“ der Mitgliedschaftsrechte wegen der damit verbundenen prohibitiven Kosten und der in den gegenwärtigen gesellschaftlichen Verhältnissen unangemessenen Verzögerung nicht gewährleisten.

Selbstverständlich unterliegt das Mitglied, wenn es die Mitgliederliste für seine mitgliedschaftlichen Zwecke verwendet, im Übrigen nicht nur den bereits hervorgehobenen zivilrechtlichen Beschränkungen, wie sie sich insbesondere aus § 241 Abs. 2 BGB ergeben. Er ist dabei zugleich „Verantwortlicher“ i.S.v. Art. 4 Nr. 7 DSGVO mit entsprechenden Pflichten bis hin zur (scharfen) Haftung nach Art. 82 DSGVO


Den Volltext der Entscheidung finden Sie hier:


EuGH-Generalanwalt: Haftung und Höhe des Schadensersatzes nach Art. 82 DGVO richten sich nicht nach dem Grad des Verschuldens des Verantwortlichen oder des Auftragsverarbeiters

EuGH-Generalanwalt
Schlussanträge vom 25.05.2023
C‑667/21


Der EuGH-Generalanwalt kommt in seinen Schlussanträgen zu dem Ergebnis, dass sich Haftung und Höhe des Schadensersatzes nach Art. 82 DGVO nicht nach dem Grad des Verschuldens des Verantwortlichen oder des Auftragsverarbeiters richten.

Ergebnis des EuGH-Generalanwalts:
Art. 9 Abs. 2 Buchst. h und Abs. 3 sowie Art. 82 Abs. 1 und 3 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung),

sind dahin auszulegen, dass

es einem Medizinischen Dienst einer Krankenkasse nicht untersagt ist, Gesundheitsdaten seines Arbeitnehmers, die Voraussetzung für die Beurteilung der Arbeitsfähigkeit dieses Arbeitnehmers sind, zu verarbeiten.

Sie lassen eine Ausnahme vom Verbot der Verarbeitung personenbezogener Gesundheitsdaten zu, wenn diese Verarbeitung zur Beurteilung der Arbeitsfähigkeit des Arbeitnehmers erforderlich ist; dabei sind die in Art. 5 genannten Grundsätze sowie eine der in Art. 6 der Verordnung 2016/679 genannten Bedingungen für die Rechtmäßigkeit einzuhalten.

Der Grad des Verschuldens des Verantwortlichen oder des Auftragsverarbeiters ist weder für deren Haftung noch für die Bemessung der Höhe des nach Art. 82 Abs. 1 der Verordnung 2016/679 zu ersetzenden immateriellen Schadens von Bedeutung.

Die Beteiligung der betroffenen Person an dem Umstand, aus dem sich die Verpflichtung zum Schadenersatz ergibt, kann je nach Lage des Falles zu einer Befreiung des Verantwortlichen oder Auftragsverarbeiters von der Haftung gemäß Art. 82 Abs. 3 der Verordnung 2016/679 führen.

Die vollständigen Schlussanträge finden Sie hier: