AG Hamburg-Bergedorf
Urteil vom 07.12.2020 410d C 197/20
Das AG Hamburg-Bergedorf hat entschieden, zwar ein Unterlassungsanspruch wegen einmaliger Zusendung von Werbung per E-Mail ohne Zustimmung an Gewerbetreiben aus §§ 823 Abs. 1, 1004 Abs. 1 S. 2 BGB besteht, aber kein Schadensersatzanspruch aus Art. 82 Abs. 1 DSGVO verlangt werden kann.
Aus den Entscheidungsgründen:
1. Der Kläger hat einen Anspruch aus §§ 823 Abs. 1, 1004 Abs. 1 S. 2 BGB auf Unterlassung der Zusendung ungenehmigter Werbenachrichten an seine E-Mail-Adresse durch den Beklagten.
Auch die nur einmalige Zusendung von E-Mails mit werbendem Inhalt an einen Rechtsanwalt, der aus berufsrechtlichen Gründen seine E-Mail sorgfältig lesen muss, stellt einen Eingriff in den eingerichteten und ausgeübten Gewerbebetrieb dar.
Entgegen der Ansicht der Beklagten ist die E-Mail vom 18.05.2020 als Werbung zu qualifizieren. Werbung ist jede Äußerung bei der Ausübung eines Handels, Gewerbes, Handwerks oder freien Berufs mit dem Ziel, den Absatz von Waren oder die Erbringung von Dienstleistungen zu fördern (vgl. Art. 2 lit.a der Richtlinie 2006/114/EG über irreführende und vergleichende Werbung) (BGH, Urteil vom 20.05.2009 – I ZR 218/07). In der E-Mail vom 18.05.2020 macht die Beklagte auf ihre Geschäftstätigkeit, nämlich die Vermittlung von telefonischer Rechtsberatung über eine Internetseite, aufmerksam, was bereits als Werbung im vorstehenden Sinne anzusehen ist (BGH, aaO, Rn. 13). Es handelt sich nicht um eine Nachfrage nach Rechtsberatung beim Kläger. Denn die streitgegenständliche E-Mail bezieht sich nicht auf ein konkretes Mandat, welches vom Kläger übernommen werden soll, sondern enthält eine allgemeine Anfrage, ob der Kläger die Dienstleistungen der Beklagten, nämlich die Vermittlung von Mandanten über die Internetseite der Beklagten, in Anspruch nehmen möchte. Dabei ist es unerheblich, dass der Kläger die Vermittlungstätigkeit der Beklagten nicht hätte vergüten müssen. Denn die Beklagte beabsichtigte den Kläger mit der streitgegenständlichen E-Mail dazu zu animieren, seine Beratung über ihre Internetseite anzubieten, um dadurch jedenfalls mittelbar den Absatz ihrer eigenen Dienstleistung zu fördern (BGH, Urteil 12.09.2013 - I ZR 208/12, Rn. 17f.).
Eine Einwilligung des Klägers lag nicht vor. Es gab zwischen den Parteien weder einen vorherigen Kontakt noch eine anderweitige ausdrückliche Einwilligung. Die Beklagte entnahm die E-Mail-Adresse vielmehr der Internetseite des Klägers, obwohl der Kläger dort explizit der Kontaktierung per Werbe-E-Mail widersprochen hat. Der Widerspruch ist deutlich vom übrigen Text hervorgehoben. Daher durfte die Beklagte aufgrund des Umstandes, dass der Kläger auf der Internetseite eine Kontaktaufnahme per E-Mail anbietet, die Einwilligung des Klägers auch nicht vermuten.
Die für einen Unterlassungsanspruch nach § 1004 Abs. 1 Satz 2 BGB erforderliche konkrete Wiederholungsgefahr liegt vor. Dafür reicht bereits eine beeinträchtigende Verletzungshandlung, da diese die tatsächliche Vermutung künftiger weiterer Verletzungshandlungen begründet. Die Wiederholungsgefahr wird erst durch die Abgabe einer Unterlassungserklärung ausgeschlossen. Die Beklagte hat trotz der Aufforderung des Klägers keine Unterlassungserklärung abgegeben.
2. Ein Anspruch auf Schadensersatzspruch steht dem Kläger weder aus Art. 82 Abs. 1 DSGVO noch einem sonstigen Rechtsgrund zu.
Die Zusendung der streitgegenständliche E-Mail trotz des ausdrücklichen Werbewiderspruchs des Klägers verstößt zwar gegen Art. 6 Abs. 1 S. 1 DSGVO. Dieser Verstoß allein ist aber nicht ausreichend, um einen Schadensersatzanspruch zu begründen.
Nach Art. 82 Abs. 1 DSGVO besteht ein Schadensersatzanspruch nur dann, wenn wegen des Verstoßes auch ein materieller oder immaterieller Schaden entstanden ist. Für den immateriellen Schaden gelten die im Rahmen von § 253 BGB entwickelten Grundsätze. Insbesondere ist der Kläger insoweit darlegungs- und beweisbelastet.
Auch wenn nach dem Wortlaut des Art. 82 DSGVO keine schwere Verletzung des Persönlichkeitsrechts vorliegen muss, so reicht nicht bereits der Verstoß gegen die DSGVO selbst zur Begründung eines Schmerzensgeldanspruches (LG Hamburg, Urteil vom 04.09.2020 – 324 S 9/19). Der Verstoß muss nach dem Wortlaut des Art. 82 DSGVO vielmehr eine Rechtsverletzung nach sich ziehen, die als immaterieller Schaden, entsprechend der in Erwägungsgrund 75 der DSGVO aufgelisteten Beispiele, qualifizierte werden kann.
Schmerzensgeld soll einen Ausgleich für erlittene Schmerzen und Leiden schaffen (Palandt/Grünberg, 79. Auflage, § 253, Rn. 4). Dabei sind bei der Bemessung des Schmerzens die Kriterien des Art. 83 Abs. 2 DSGVO heranzuziehen, also insbesondere die Art, Schwere und Dauer des Verstoßes (BeckOK DatenschutzR/Quaas, 34. Ed. 1.11.2020, DS-GVO Art. 82 Rn. 31). Es muss also eine objektiv benennbare Beeinträchtigung des Geschädigten vorliegen, die über den bloßen Ärger oder die individuell empfundene Unannehmlichkeit des Verstoßes hinausgeht, welche dann durch die Zahlung von Schmerzensgeld ausgeglichen werden muss (AG Frankfurt a. M. Urt. v. 10.7.2020 – 385 C 155/19 (70); LG Hamburg, Urteil vom 04.09.2020 – 324 S 9/19; AG Hannover, Urteil vom 09.03.2020 – 531 C 10952/19; LG Frankfurt/M., Urteil vom 18.09.2020 – 2-27 O 100/20; LG Köln, Urteil vom 07.10.2020 – 28 O 71/20).
Der Kläger beruft sich vorliegend darauf, einen immateriellen Schaden dadurch erlitten zu haben, dass er durch die einmalige unrechtmäßige Nutzung seiner Daten belästigt worden sei. Eine konkrete Beeinträchtigung, die über den als Belästigung empfundenen Verstoßes selbst, also die Zusendung der E-Mail, hinausging, ist darin nicht zu sehen. Es fehlt somit an einem über die Rechtsverletzung hinausgehenden konkreten Schaden des Klägers.
Das Gericht sieht keinen Bedarf für ein Vorabentscheidungsverfahren gem. Art. 267 AEUVEG, dessen Einleitung im Ermessen des Gerichts steht.
Für andere deliktische Ansprüche besteht eine Sperrwirkung der DS-GVO (Sydow, a.a.O., 2. Aufl., Art. 82 Rn. 27).
Die Kostenentscheidung beruht auf § 92 Abs. 1 ZPO.
Die Entscheidung zur vorläufigen Vollstreckbarkeit beruht für den Kläger auf § 709 ZPO und für die Beklagte auf §§ 708 Nr. 11, 711 ZPO.
Der Streitwert wird insgesamt auf 750,- €, 250,- € für den Unterlassungsantrag und 500,- € für den Schadensersatzanspruch, festgesetzt. Für das Verfahren zum Verbot ungebetener E-Mails gibt es keinen Regelstreitwert. Die Bemessung des Streitwertes ist nicht an einem volkswirtschaftlichen Gesamtschaden zu orientieren, sondern an den Nachteilen, die dem Kläger entstehen könnten, wenn die Beklagte das beanstandete Verhalten künftig fortsetzen würde (OLG Hamm, Urteil vom 17.10.2013 - 6 U 95/13). Diese Nachteile sind an dem Aufwand des Klägers zu messen, weitere E-Mails der Beklagten zu erhalten und löschen zu müssen. Der damit verbundene Zeitaufwand ist - trotz der besonderen beruflichen Sorgfaltspflichten eines Rechtsanwalts- vorliegend als geringfügig einzustufen. So lagen zwischen dem Eingang der E-Mail der Beklagten und dem Versand der Abmahnung durch den Kläger auch nur 21 Minuten. Eine spezial- oder eine generalpräventive Funktion kommt der Streitwerthöhe nicht zu (vgl. BGH Beschluss v. 30.11.2014 zum Az.: VI ZR 65/04).
Das LG Köln hat entschieden, dass kein Anspruch auf immateriellen Schadensersatz aus Art. 82 Abs. 1 DSGVO wegen der Weiterleitung einer nicht anonymisierten Entscheidung an diverse Rechtsämter besteht.
Aus den Entscheidungsgründen:
Die zulässige Klage ist unbegründet.
Der Klageantrag zu 1) ist zulässig, da keine verdeckte Teilklage vorliegt. Der Kläger begehrt ein angemessenes Schmerzensgeld für den Schaden, den er infolge der streitgegenständlichen Datenschutzverletzung erlitten haben will. Nur weil er außergerichtlich ein höheres Schmerzensgeld gefordert hat, kann nicht bereits von einer Teilklage ausgegangen werden.
Die Beklagte hat den Anspruch nicht dem Grunde nach anerkannt. Ein entsprechender Rechtsbindungswille der Beklagten geht aus dem Schreiben vom 05.06.2020 nicht hervor. Nur weil die Beklagte äußerte, eine Entschädigungsleistung sei denkbar, hat sie noch nicht anerkannt, dass eine Haftung dem Grunde nach besteht.
Ein Anspruch auf Zahlung von Schmerzensgeld besteht nicht, da der Kläger nicht dargelegt hat, dass ihm infolge der streitgegenständlichen Datenschutzverletzung ein immaterieller Schaden entstanden ist. Nach Art. 82 Abs. 1 DS-GVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Die streitgegenständliche Übersendung des Beschlusses des Verwaltungsgerichts Köln an die Rechtsamtsleiterinnen und Rechtsamtsleiter anderer Kommunen stellt einen Verstoß gegen die Datenschutzgrundverordnung dar. Die Beklagte durfte den Beschluss zur Information und zur Sicherstellung einer einheitlichen Rechtsanwendung jedenfalls nicht unanonymisiert übersenden.
Allerdings reicht ein Verstoß alleine zur Anspruchsbegründung nicht aus, es muss auch ein Schaden eingetreten sein (Paal/Pauly/Frenzel, 3. Aufl. 2021, DS-GVO Art. 82 Rn. 10). Der Schaden muss auf den Verstoß zurückzuführen sein, wobei eine Mitursächlichkeit genügt (Quaas, in: BeckOK DatenschutzR, 35. Ed. 1.11.2020, DS-GVO Art. 82 Rn. 26).
Vorliegend bestreitet die Beklagte in zulässiger Weise, dass die klägerseits behaupteten Beeinträchtigungen durch den streitgegenständlichen Verstoß verursacht wurden. In Bezug auf den vorgelegten Chat im Internet ist festzuhalten, dass aus diesem nicht hervorgeht, dass er sich auf den Kläger bezieht. Auch ist nicht ersichtlich, warum die Chatteilnehmer die Information der Beteiligung des Klägers am verwaltungsgerichtlichen Verfahren ausgerechnet über die Rechtsamtsleiterinnen und Rechtsamtsleiter erhalten haben sollen. Diesbezüglich hat die Beklagte dargelegt, dass insgesamt 24 Spielhallenbetreiber ein verwaltungsgerichtliches Verfahren angestrengt hätten. Es ist nicht auszuschließen, dass diese an den Beschluss gelangt sind und ihn verbreitet haben. Jedenfalls trägt die Klägerin keine Hinweise dafür vor, dass die streitgegenständliche Übersendung die einzige oder auch nur naheliegende Möglichkeit dafür war, dass weitere Personen Kenntnis von dem Beschluss erlangten.
Gleiches gilt für die hinterlassene Nachricht an der Windschutzscheibe. Der klägerische Vortrag lässt bereits offen, wer diese Nachricht hinterlassen hat.
Eine Beweislastumkehr oder eine Beweiserleichterung greift vorliegend zu Gunsten des Klägers nicht. Die Beweislast auch für diese Voraussetzung obliegt dem Anspruchsberechtigten, dies entspricht den allgemeinen deliktischen Voraussetzungen. Eine Beweislastumkehr ist der Norm ausdrücklich nur bezüglich des Gesichtspunkts des Verschuldens zu entnehmen (Quaas, in: BeckOK DatenschutzR, 36. Ed. 1.5.2021, DS-GVO Art. 82 Rn. 27). Dies ist auch interessengerecht, denn die Beklagte kann genauso wenig wie der Kläger wissen, wer noch Kenntnis von dem Beschluss des Verwaltungsgerichts hatte.
Nach alledem ist nicht ersichtlich, welchen immateriellen Schaden der Kläger dadurch erlitten haben soll, dass der Beschluss an 62 Rechtsamtsleiterinnen und Rechtsamtsleiter versandt wurde. Für den immateriellen Schadensersatz gelten dabei die im Rahmen von § 253 BGB entwickelten Grundsätze, die Ermittlung obliegt dem Gericht nach § 287 ZPO (Quaas, in: BeckOK DatenschutzR, 32. Ed. 1.2.2020, DS-GVO Art. 82 Rn. 31). Es können für die Bemessung die Kriterien des Art. 83 Abs. 2 DS-GVO herangezogen werden, z.B. die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung, die betroffenen Kategorien personenbezogener Daten. Zu berücksichtigen ist auch, dass die beabsichtigte abschreckende Wirkung nur durch für den Anspruchsverpflichtenden empfindliche Schmerzensgelder erreicht wird, insbesondere wenn eine Kommerzialisierung fehlt (LG Köln, ZD 2021, 47 Rn. 12). Vorliegend ist eine Beeinträchtigung des Klägers nicht ersichtlich, nachdem nicht feststeht, dass die von ihm behaupteten Vorfälle auf den streitgegenständlichen Verstoß zurückgeführt werden können. Da die Adressaten der streitgegenständlichen E-Mail selbst dienstlichen Verschwiegenheitspflichten obliegen, bleibt bereits unklar, ob der Beschluss auf diesem Wege weiteren Personen zur Kenntnis gelangt ist. Das Zuerkennen von Schmerzensgeld in einem derartigen Bagatellfall würde die Gefahr einer nahezu uferlosen Häufung der Geltendmachung von Ansprüchen bergen, was nicht Sinn und Zweck von Art. 82 DS-GVO entsprechen kann (vgl. LG Köln, ZD 2021, 47 Rn. 14). Zudem ist eine extensive Auslegung des Begriffs des immateriellen Schadens nicht geboten, weil nach Art. 83 DS-GVO die Möglichkeit besteht, Geldbußen in erheblichem Umfang zu verhängen (vgl. Franzen, in: EuArbRK, 3. Aufl. 2020, DS-GVO Art. 82 Rn. 22).
Eine Vorlagepflicht an den EuGH besteht nach Art. 267 Abs. 3 AEUV bereits deshalb nicht, weil vorliegend nicht letztinstanzlich entschieden wird.
Die mit dem Klageantrag zu 2) geltend gemachte Nebenforderung teilt das Schicksal der Hauptforderung.
Die Kostenentscheidung beruht auf § 91 Abs. 1 ZPO. Die Entscheidung über die vorläufige Vollstreckbarkeit folgt aus § 709 Satz 1 und 2 ZPO.
Das AG Pfaffenhofen hat entschieden, dass eine Geldentschädigung in Höhe von 300 EURO aus Art. 82 DGSVO bei unbefugter Zusendung einer Werbe-E-Mail und unzureichender Auskunft über Herkunft der Daten angemessen ist.
Aus den Entscheidungsgründen:
"Dem Kläger steht gem. Art. 82 DSGVO ein Anspruch auf Ersatz immateriellen Schadens zu, den das Gericht wie tenoriert bemisst.
Die Beklagte hat gegen Bestimmungen der DS-GVO verstoßen, die Verstöße haben nach dem - insoweit auch unwidersprochen gebliebenen und damit zugestandenen (§ 138 Abs. 3 ZPO) Vorbringen des Klägers kausal zu einem immateriellen Schaden geführt.
Die Beklagte hat zum einen die Email-Adresse des Klägers ohne Rechtfertigung iSd Art. 6 DSGVO verarbeitet, zum anderen dem Kläger verspätet bzw. zunächst nicht vollständig Auskunft erteilt.
a. Die Beklagte hat unstreitig iSd Art. 4 DS-GVO die Email-Adresse des Klägers verarbeitet (erhoben, erfasst und gespeichert, und durch ihr Anschreiben weiter verwendet).
Hierfür - jedenfalls für die Speicherung und Verwendung wie erfolgt - konnte die Beklagte keinen rechtfertigenden Tatbestand iSd Art. 6 Abs. 1 DS-GVO darlegen. Die Beklagte behauptet insbesondere schon selbst nicht (geschweige denn belegt dies), dass der Kläger hierin eingewilligt hätte. Sie behauptet im Prozess schon selbst nicht, dass der Kläger ihr etwa seine Email-Adresse (und dies mit entsprechender Einwilligung) mitgeteilt hätte oder (auch wenn dies in der streitgegenständlichen Email so angegeben gewesen war) der Kläger eine Anfrage an die Beklagte gesandt hätte (Fall der Nachfragewerbung, vgl.
Eckhardt in Auer-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, 3. Aufl., § 25 b) Rdnr. 82 m.Nw., zit. nach beck-online) oder etwa ein Fall des § 7 Abs. 3 UWG vorgelegen hätte (dies würde u.a. voraussetzen, dass ein Unternehmer - hier die Beklagte - im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung von einem Kunden dessen elektronische Postadresse erhalten hat; dies war unstreitig ebenfalls nicht der Fall). Die Beklagte trug vielmehr vor, die Email-Adresse des Klägers aus frei zugänglicher Quelle im Internet gefunden zu haben, bei der Suche nach einer Rechtsberatung. Sie hat die Email-Adresse jedoch - selbst wenn die ursprüngliche Erfassung zu einem berechtigten Zweck erfolgt sein sollte, wie die Beklagte wohl behauptet - unstreitig nicht hierfür gespeichert und verwendet, sondern (als auch nach ihrem eigenen Vorbringen der ursprüngliche Zweck längst entfallen gewesen wäre) zum Zwecke der Werbung, die jedoch mangels vorheriger Einwilligung des Klägers gegen § 7 Abs. 2 Nr. 3 UWG und Art. 6 Abs. 1 S. 1 verstieß.
Die Werbung mittels E-Mail-Marketing setzt für ihre Zulässigkeit außerhalb der Fälle des § 7 Abs. 3 UWG eine - vorherige und ausdrückliche - Einwilligung voraus, mithin eine Willensbekundung, die ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erfolgt (vgl. Eckhardt a.a.O. Rdnr. 86 m.Nw.). Eine solche wird schon durch die Beklagte - welche insoweit darlegungs- und beweisbelastet wäre - nicht im Ansatz behauptet oder vorgetragen.
Ebensowenig ist aus dem Vorbringen einer - auch nur z.B. konkludent - erteilte Einwilligung iSd Art. 6 Abs. 1 S. 1 lit a. DSGVO zu entnehmen. Auch keiner der weiteren Fälle der Vorschrift ist zu erkennen, insbesondere auch nicht ein Fall des Art. 6 Abs. 1 S. 1 lit. f. DSGVO m(überwiegende berechtigte Interessen des Verwantwortlichen oder eines Dritten). Gem. Erwägungsgrund 47 ist im Rahmen der Interessenabwägung nach lit. f zu prüfen, „ob eine betroffene Person zum Zeitpunkt der Datenerhebung und angesichts der Umstände, unter denen sie erfolgt, vernünftigerweise absehen kann, dass möglicherweise eine Verarbeitung
für diesen Zweck erfolgen wird“(vgl. Gola DS-GVO/Schulz, 2. Aufl. 2018, DS-GVO Art. 6 Rn. 61). Im Rahmen der Interessenabwägung ist zunächst der vom Datenverarbeiter verfolgte Zweck mit der Art, dem Inhalt sowie der Aussagekraft der Daten gegenüberzustellen; zu berücksichtigen sind sodann insbesondere die vernünftige Erwartungshaltung der betroffenen
Person bzw. die Absehbarkeit (Branchenüblichkeit) der Verarbeitung sowie ihre Beziehung zu dem Verantwortlichen (BeckOK DatenschutzR/Albers/Veit, 36. Ed. 1.5.2020, DS-GVO Art. 6 Rn. 53). Vorliegend führt bereits vor diesem Hintergrund die Abwägung hier zu dem Ergebnis, dass die schutzwürdigen Interessen des Klägers - welcher unstreitig in keinerlei vorheriger Beziehung zur Beklagten gestanden und auch sonst nicht nachweisbar seine Email-Adresse selbst in einer Weise, die
solche Verwendung absehbar gemacht hätte, mitgeteilt oder veröffentlich hatte - die Interessen der Beklagten an einer Werbemaßnahme für von ihr vertriebene Masken überwogen. Zudem spricht viel dafür, auch insoweit die Maßstäbe des § 7 Abs. 2 UWG zu berücksichtigen. Das OVG Saarlouis (B.v. 16.02.2021, 2 A 355/19, NJW 2021, 2225) führte in einem Fall der unerlaubten Telefonwerbung hierzu aus „dass die Bewertungsmaßstäbe des § 7 II Nr. 2 UWG, welcher der Umsetzung RL 2002/58/EG dient, auch im Rahmen des Art. 6 I Buchst. f DSGVO zu berücksichtigen wären. Es ist zwar zutreffend, dass auch die Verarbeitung personenbezogener Daten für Direktwerbung ein berechtigtes Interesse nach dem Erwägungsgrund 47 DS-GVO darstellen kann. Aber auch in diesem Zusammenhang ist zu berücksichtigen, dass die Ziele, die mit der Verarbeitung verfolgt werden, unionrechtskonform sein müssen. Daher gilt auch in diesem Zusammenhang die Wertung des § 7 II Nr. 2 UWG Geltung beanspruchen, mit der Folge, dass sich die Kl. nicht auf ein „berechtigtes“ Interesse berufen kann. Für dieses Ergebnis spricht im Übrigen auch die Forderung, für die Auslegung des Art. 6 I Buchst. f DSGVO als Ausgangspunkt konkret gefasste Erlaubnistatbestände aus dem nationalen Recht heranzuziehen, um dem allgemeinen Erlaubnistatbestand Konturen zu verleihen und Rechtssicherheit herzustellen“. Diese Ausführungen überzeugen und gelten ebenso für den hier vorliegenden Fall der Direktwerbung per Email, der ebenfalls von Art. 13 der Richtlinie 2002/58/EG erfasst und in § 7 Abs. 2 Nr. 3 UWG konkret geregelt ist.
Zudem hat die Beklagte auch gegen Art. 14 sowie 15 DS-GVO verstoßen. Gemäß Art. 14 DSGVO hat der Verantwortliche in dem Fall, dass die Erhebung der Daten nicht bei der betroffenen Person selbst erfolgt ist - was hier unstrittig der Fall war - eine Informationspflicht gegenüber dem Betroffenen über die in Art. 14 Abs. 1, 2 genannten Einzelheiten, welche gem. Art. 14 Abs. 3 lit, a, b DSGVO unter Berücksichtigung der spezifischen Umstände der Verarbeitung der personenbezogenen Daten innerhalb einer angemessenen Frist nach Erlangung der personenbezogenen Daten, längstens jedoch innerhalb eines Monats, bzw. falls die personenbezogenen Daten zur Kommunikation mit der betroffenen Person verwendet werden sollen, spätestens zum Zeitpunkt der ersten Mitteilung an sie (auch in diesem Fall jedoch spätestens innerhalb eines Monats, vgl. Kühling/Buchner/Bäcker, 3. Aufl. 2020, DSGVO Art. 14 Rn. 33; Paal/Pauly/Paal/Hennemann, 3. Aufl. 2021, DS-GVO Art. 14 Rn. 34) zu erfüllen ist. Eine Erfüllung dieser Pflicht - insbesondere innerhalb der Frist (die Beklagte speicherte die Daten ihrer eigenen Einlassung nach bereits ab 25.12.2020) - wurde nicht ersichtlich.
[...]
Die Höhe des Anspruchs ist dabei nicht willkürlich, sondern auf der Grundlage der inhaltlichen Schwere und Dauer der Rechtsverletzung zu beurteilen, unter Berücksichtigung des Kontexts, der Umstände eines Verstoßes. Genugtuungs- und Vorbeugungsfunktion können bei der Bezifferung eine Rolle spielen. Einerseits darf die Höhe des Schadensersatzes keine Strafwirkung entfalten. Andererseits reicht ein künstlich niedrig bezifferter Betrag mit symbolischer Wirkung nicht aus, um die praktische Wirksamkeit des Unionsrechts sicherzustellen (vgl. Paal/Pauly/Frenzel, 3. Aufl. 2021, DS-GVO Art. 82 Rn. 12a).
So sprach etwa das AG Hildesheim (U.v. 05.10.2020, 43 C 145/19, ZD 2021, 384) 800,00 € zu in einem Fall, in dem auf einem wiederaufbereiteten und weiterveräußerten PC private Daten des ursprünglichen Besitzers noch vorhanden und somit an den Dritten gelangt waren.
Das LG Lüneburg ( Urteil vom 14.7.2020 – 9 O 145/19, ZD 2021, 275) etwa sprach 1.000,00 € zu in einem Fall eines rechtswidrigen Schufa-Eintrags.
Vorliegend berücksichtigt das Gericht, dass der Kläger (der selbst zunächst von der Beklagten 300,00 € gefordert hatte, im Rahmen der prozessualen Geltendmachung dann einen Bereich von nicht unter 100,00 € für angemessen hielt) nicht nur von einem, sondern von mehreren Verstößen der Beklagten gegen Vorschriften der DSGVO betroffen war (s.o.). Andererseits blieben die Auswirkungen für den Kläger - anders als etwa in den beiden o.g. Fällen des AG Hildesheim und des LG Lüneburg im „eigenen Bereich“ des Klägers, es wurde von den Verstößen kein Bereich tangiert (jedenfalls wurde derartiges nicht erkennbar), der Beziehungen des Klägers zu anderen Dritten betraf, etwa (auch nur potentiell) die Gefahr einer Schädigung seines Ansehens, seiner Kreditwürdigkeit o.ä. bot. Die erkennbaren Auswirkungen lagen vielmehr darin, dass der Kläger sich - wie er unwidersprochen vortrug - sich mit der Abwehr der von ihm unerwünschten Werbung und der Herkunft der Daten auseinandersetzen musste. Gerade letzteres - zumal unter Berücksichtigung der Dauer des Verstoßes und der zunächst nicht ansatzweise zielführend erfolgten Auskunftserteilung - ist geeignet, zu einem durchaus belastenden Eindruck des Kontrollverlusts zu führen, zumal dies auch die Auseinandersetzung mit dem Verstoß und auch die Abwehr ggf. drohender anderweitiger Verstöße erschwert (die Quelle der Daten kann ja - und wird erfahrungsgemäß - auch die Quelle für andere sein, die ggf. unter Verstoß gegen die DSGVO diese Daten verarbeiten). Vor diesem Hintergrund ist insbesondere die bestenfalls als zögerlich zu bezeichnende Information durch die Beklagte (die insoweit auch im Prozess recht vage blieb, wenn auch der Kläger dies nicht mehr weiter verfolgte) im Interesse einer effektiven Abschreckung als schmerzensgelderhöhend zu berücksichtigen. Soweit die Beklagte mit ihrem letzten Vorbringen möglicherweise behaupten will, nur zur Versorgung ihrer Mitmenschen agiert zu haben (quasi altruistisch) erscheint dies im Übrigen wenig lebensnah. Nicht zu berücksichtigen war dagegen, dass der Kläger zwischenzeitlich weitere unerwünschte Emails erhalten haben mag; eine Verantwortung der Beklagten hierfür wird schon nicht behauptet oder ersichtlich.
Das Gericht erachtet - auch im Vergleich mit den o.g. Entscheidungen, denen noch deutlich gravierendere (zumindest potentielle) Auswirkungen zugrundelagen - vorliegend im Ergebnis eine Entschädigung von 300,00 € für angemessen."
Das LArbG Hamm hat entschieden, dass ein Schadensersatzanspruch aus Art. 82 Abs. 1 DSGVO bei verspäteter oder unvollständiger Auskunftserteilung nach Art. 15 Abs. 1 DSGVO besteht. Im vorliegenden Fall hat das Gericht einem Arbeitnehmer 1.000 EURO zugesprochen.
Aus den Entscheidungsgründen:
II. Soweit die Klägerin den in erster Instanz unbezifferten gestellten Klageantrag nunmehr im Rahmen der Berufungsbegründung beziffert, liegt eine Klageänderung - die im Rahmen der Berufung an den Voraussetzungen des § 533 ZPO zu messen wäre - nicht vor. Gemäß § 264 Nr. 2 ZPO ist es nicht als Klageänderung anzusehen, wenn ohne Änderung des Klagegrundes der Klageantrag in der Hauptsache erweitert wird. Darunter fällt auch der Übergang von einem nicht bezifferten Feststellungsantrag zu einem bezifferten Zahlungsantrag (vgl. BGH vom 12.05.1992 – VI ZR 118/91 -; BGH vom 13.11.2014 – IX ZR 267/13-).Wird zunächst eine Stufenlage erhoben und der Auskunftsantrag gestellt, stellt der Kläger dann aber, ohne die Bescheidung des Auskunftsanspruchs abzuwarten, sogleich den Zahlungsantrag, ist dieser Antrag ebenfalls nach § § 264 Nr. 2 ZPO zulässig. Um eine Klageänderung handelt es sich nicht (BGH vom 13.11.2014 – IX ZR 267/13 - ). Für den Zahlungsantrag, der in erster Instanz noch nicht beziffert war, gilt hier nicht anderes.
B) Die Berufung ist indes nur im Hinblick auf die Verurteilung der Beklagten zur Zahlung eines in das Ermessen des Gerichts gestellten immateriellen Schadensersatzanspruchs begründet. Insoweit hat das Arbeitsgericht die Klage zu Unrecht abgewiesen. Im Übrigen ist die Berufung unbegründet.
I. Die Berufung ist teilweise begründet, soweit die Klägerin die Zahlung eines immateriellen Schadensersatzes begehrt. Sie hat aus Art. 82 Abs. 1 DSGVO einen Anspruch auf Zahlung eines solchen Schadensersatzes in Höhe von 1.000,00 Euro.
1. Der Klageantrag ist zunächst bestimmt genug, § 253 Abs. 2 Nr. 2 ZPO. Bei einem Schadensersatzanspruch auf Geldentschädigung, bei dem die Bestimmung des Betrages von der Ermittlung der Schadenshöhe durch Beweisaufnahme oder durch gerichtliche Schätzung oder vom billigen Ermessen des Gerichts abhängt, ist es ausreichend, wenn die zahlenmäßige Feststellung der Klageforderung dem Gericht überlassen wird, sofern dem Gericht zugleich die tatsächlichen Grundlagen gegeben werden, die ihm die Feststellung der Höhe des gerechtfertigten Klageanspruchs ermöglichen (vgl. BGH vom 13.03.1967 – III ZR 8/66 m.z.N.). Selbes gilt, wenn – wie hier - die ziffernmäßige Festlegung der Schadenshöhe entscheidend von der Ausübung des richterlichen Ermessens oder einer richterlichen Schätzung nach § 287 Abs. 1 ZPO abhängt (BGH vom 13.03.1967 – III ZR 8/66 m.z.N.). Vorliegend hat die Klägerin zudem angegeben, dass sie einen Mindestschaden von 6.000,00 Euro (vgl. Berufungsbegründung vom 21.12.2020) für angemessen erachtet.
2. Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen.
Die DSGVO, die seit dem 25.05.2018 in Kraft getreten ist (Art. 99 Abs. 2 DSGVO) gilt gemäß Art. 288 AEUV unmittelbar in jedem Mitgliedsstaat der Europäischen Union, ohne dass es einer weiteren Umsetzung durch nationales Recht bedarf.
a) Verantwortlicher im Sinne des Art. 82 Abs. 1 DSGVO ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (Art. 4 Ziff. 7 DSGVO), mithin die Beklagte.
b) Die Beklagte hat vorliegend gegen ihre Auskunftspflicht gegenüber der Klägerin aus Art. 15 Abs. 1 DSGVO verstoßen. Der Auskunftsanspruch besteht auch in einem Arbeitsverhältnis. Die allgemeinen Bestimmungen der EU-DSVO enthalten eine Vollregelung, auch zum Beschäftigtendatenschutz (vgl. LAG Baden-Württemberg vom 20.12.2018 – 17 Sa 11/18 -). Der Auskunftsanspruch ist ein Grundrecht (Art. 8 Abs. 2 GRCh, Art. 6 Abs. 1 EUV) und gehört zur „Magna Charta“ der Betroffenenrechte (Lemke, der Datenschutzrechtliche Auskunftsanspruch im Arbeitsverhältnis, NJW 2020, 1841ff).
Nach Art. 15 Abs. 1 DSGVO hat die betroffene Person (Art. 4 Ziff. 7 DSGVO) das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden und – soweit dies der Fall ist – das weitere Recht auf die unter lit. a) bis h) der Vorschrift benannten Informationen. Nach der Vorgabe des Art. 12 Abs. 3 S. 1-3 DSGVO ist ein solches Auskunftsbegehren binnen eines Monats nach Eingang, nach einer Unterrichtung über eine Fristverlängerung binnen zwei weiterer Monate zu beantworten.
(1) Ein solches Verlangen hat die Klägerin vorliegend mit außergerichtlichem Schreiben ihres heutigen Prozessbevollmächtigten vom 30.01.2020 gestellt. Darin hat sie unter Bezugnahme auf die Datenschutzgrundverordnung Auskunft über „sämtliche bei Ihnen gespeicherten Daten, insbesondere die Daten der Arbeitszeiterfassung“ begehrt. Das Auskunftsbegehren unterliegt nach den Bestimmungen der DSGVO keinen besonders geregelten Anforderungen an Form und Inhalt. Es kann dahinstehen, ob sich der Anspruch der Klägerin inhaltlich auf den gesamten Umfang der mit dem Schreiben geltend gemachten Daten bezieht. Aus diesem verlangen konnte die Beklagte hinreichend konkret erkennen, auf welche Rechtsgrundlage die Klägerin ihr begehren stützt. Aus Art. 4 Ziff. 2 DSGVO ergibt sich zudem, dass sich die Verarbeitung, die Gegenstand des Auskunftsanspruchs nach Art. 15 DSGVO ist, auf jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten bezieht. Eine Einschränkung auf einen bestimmten Auskunftsteil hat die Klägerin nicht vorgenommen. Sie hat nur formuliert, dass sich ihr Begehren „insbesondere“ aber nicht erkennbar nicht ausschließlich auf die Daten der Zeiterfassung beziehe.
(2) Der Auskunftsanspruch bezieht sich inhaltlich auf personenbezogene Daten. Dabei handelt es sich nach Art. 4 Ziff. 1 DSGVO um alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person“) beziehen. Zur Verarbeitung gehört nach Art. 4 Ziff. 2 DSGVO insbesondere das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung und die Verwendung solcher Daten. In einem Arbeitsverhältnis verarbeitet der Arbeitgeber zwangsläufig personenbezogene Daten der bei ihm beschäftigten Arbeitnehmer. Bei diesen Daten kann es sich neben den Kontaktdaten der Person etwa um Informationen über das Bestehen und die Dauer einer Arbeitsunfähigkeit, über die Gewährung von Urlaubsansprüchen oder auch über Leistungs- und Verhaltensdaten handeln. Die Beklagte hat bis heute keine Auskunft darüber erteilt, ob und zu welchem Verarbeitungszweck (Art. 15 Abs. 1 lit. a)) und nach welchen Kategorien (Art. 15 Abs. 1 lit. b)) sie entsprechende Daten der Klägerin verarbeitet. Die Beklagte hat auf das gestellte Auskunftsverlangen erstmals unter dem 13.08.2020 reagiert und der Klägerin - offenbar auch im Hinblick auf das zu diesem Zeitpunkt klageweise rechtshängig gemachte und auf den Umfang der geleisteten Arbeitszeit im Arbeitsverhältnis beschränkten Auskunftsantrag – Arbeitszeitnachweise zugesendet. Eine weitere Auskunft ist – bis heute – nicht erfolgt.
(3) Eine Haftung für die Verstöße könnte nur entfallen, wenn die Beklagte für diese nicht verantwortlich wäre, Art. 83 Abs. 3 DSGVO. Dies hat die Beklagte nicht dargetan.
c) Entgegen der Auffassung der Beklagten ist der Klägerin durch die fehlende Erteilung der Auskunft ein immaterieller Schaden entstanden.
Das zutreffende Verständnis des Schadensbegriffs ist in der Rechtsprechung des Gerichtshofs der Europäischen Union bislang nicht geklärt. Der Begriff kann auch nicht in seinen einzelnen, für die Beurteilung des vorliegenden Sachverhalts notwendigen Voraussetzungen unmittelbar aus der DSGVO bestimmt werden. Auch in der bislang vorliegenden Literatur, die sich unter Bezugnahme auf den Erwägungsgrund 146 überwiegend für ein weites Verständnis des Schadensbegriffs ausspricht, sind die Details und der genaue Umfang des Anspruchs noch unklar (vgl. dazu: BVerfG vom 14.01.2021 – 1 BvR 2853/19 – mit zahlreichen Nachweisen).
Weder der DSGVO noch ihren Erwägungsgründen lässt sich indes entnehmen, dass der Schadensersatzanspruch einen qualifizierten Verstoß gegen die DSGVO voraussetzt. Für die Annahme einer Erheblichkeitsschwelle oder anders - herum formuliert – die Ausnahme von Bagatellfällen, gibt es keinen Anhaltspunkt (so auch BVerfG vom 14.01.2021 – 1 BvR 2853/19 -).
Unter Berücksichtigung des Erwägungsgrundes 146 S. 3 zur DSGVO soll der Begriff des Schadens im Lichte der Rechtsprechung des Europäischen Gerichtshofes weit und auf eine Weise ausgelegt werden, die den Zielen der Verordnung in vollem Umfang entspricht. Die Ziele der DSGVO bestehen dabei u.a. darin, den Risiken für die Rechte und Freiheit natürlicher Personen zu begegnen, die - mit unterschiedlicher Eintrittswahrscheinlichkeit und Schwere - aus einer Verarbeitung personenbezogener Daten hervorgehen und zu einem immateriellen Schaden führen können. Dabei kann ein immaterieller Schaden nicht nur in einer Diskriminierung, einem Identitätsdiebstahl oder -betrug, einem finanziellen Verlust, einer Rufschädigung, einem Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten, der unbefugten Aufhebung der Pseudonomisierung oder anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen liegen. Er kann (bereits) entstehen, wenn die von der Verarbeitung personenbezogener Daten betroffenen Personen daran gehindert werden, die sie betreffenden personenbezogenen Daten zu kontrollieren (vgl. Erwägungsgrund 75).
In jedem Arbeitsverhältnis verarbeitet der Arbeitgeber zwangsläufig personenbezogene Daten seiner Mitarbeiter. Jeder Arbeitgeber wird mindestens die Kontaktdaten, die Bankdaten zwecks Überweisung des Entgelts sowie Anwesenheits- und Fehlzeitendaten seiner Mitarbeiter erheben, speichern und verwenden. In welchem Umfang und in welchen Kategorien eine solche Verwendung erfolgt, ist Arbeitnehmern nicht ohne weiteres ersichtlich. Ebenso können Arbeitnehmer nicht von sich aus erkennen, ob Daten auch Dritten zur Verfügung gestellt und für welche Dauer – ggf. auch nach Beendigung des Arbeitsverhältnisses – diese Daten gespeichert bleiben. Die Beklagte wendet vorliegend nicht ein, dass sie über die der Klägerin im August 2020 übersendeten Arbeitszeitnachweise keine Weiteren personenbezogenen Daten der Klägerin verarbeitet. Eine Kontrolle über diese Daten hat die Klägerin indes nicht, solange die Beklagte ihrer Auskunftspflicht – in erster Stufe zumindest hinsichtlich der Bestätigung des „Ob“ der Verarbeitung personenbezogener Daten - nicht nachkommt. Der Klägerin fehlt dabei nicht nur die Kenntnis, welche Kategorien von Daten die Beklagte formalisiert oder nicht formalisiert verarbeitet. Sie kann ebenso nicht beurteilen, wie lange solche Daten nach Beendigung des Arbeitsverhältnisses weiter gespeichert bleiben und an welche Dritte die Beklagte solche Daten ggf. weiterreicht. Die Schwere des immateriellen Schadens, mithin das Gewicht der Beeinträchtigung, das die Klägerin – subjektiv – wegen der bestehenden Unsicherheit und des Kontrollverlustes empfinden mag, ist für die Begründung der Haftung nach Art. 82 Abs. 1 DSGVO und mithin für die Frage des „ob“ eines entstandenen Schadens nicht erheblich (so auch ArbG Düsseldorf vom 05.03.2020 – 9 Ca 6557/18).
d) Die Klägerin hat die Bemessung der Höhe des immateriellen Schadensersatzes in das Ermessen des Gerichts gestellt, § 287 Abs. 1 S. 1 ZPO. Unter Würdigung aller Umstände des Einzelfalles geht die Berufungskammer davon aus, dass der Klägerin zur Abgeltung des immateriellen Schadens ein Geldanspruch in Höhe von 1.000,00 Euro zusteht.
(1) Unter Berücksichtigung des Erwägungsgrundes 146 (Satz 6) zur DSGVO soll die betroffene Person einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten. Insoweit erscheint eine Orientierung an dem Kriterienkatalog für die Bemessung von Bußgeldern in Art. 83 Abs. 2 S. 2 DSGVO naheliegend (so auch ArbG Düsseldorf vom 05.03.2020 – 9 Ca 6557/18 -). Danach sind für die Ermittlung der Höhe einer Geldbuße u. a. die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung, der Grad des Verschuldens, Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens, frühere einschlägige Verstöße sowie die Kategorien der betroffenen personenbezogenen Daten zu betrachten. Bei der Bemessung der Entschädigung für immaterielle Schäden kommt den Gerichten grundsätzlich ein weites Ermessen zu, § 287 Abs. 1 S. 1 ZPO. Es müssen mithin sowohl sämtliche Auswirkungen des konkreten Datenschutzverstoßes für die geschädigte Person als auch sämtliche in der Person des Schädigers liegenden, insbesondere die Tatsituation und den Verschuldensgrad betreffenden, Umstände berücksichtigt werden (vgl. Oetker in MüKoBGB, 8. Auflage 2019, § 253 ZPO Rz. 36 ff).
2) In Anwendung des zuvor dargestellten Maßstabs ist unter Berücksichtigung und Abwägung aller Umstände des Einzelfalls ein Schadensersatz in Höhe von 1.000,00 Euro angemessen.
Dabei hat die Kammer zu Lasten der Beklagten berücksichtigt, dass diese die Auskunft nach Art. 5 Abs. 1 DSGVO bis zum heutigen Tag nicht erteilt hat. Die Beklagte hat der Klägerin lediglich im August 2020 Arbeitszeitnachweise übermittelt. Damit hat die Beklagte den Auskunftsanspruch allenfalls rudimentär erfüllt. Schriftsätzlich hat sich die Beklagte auf den Standpunkt gestellt, dass die Klägerin in dem Schreiben vom 30.01.2020 zu Unrecht Auskunft über „sämtliche Daten“ gefordert habe, obgleich ein Anspruch sich allenfalls auf solche Daten beziehe könne, die die Klägerin persönlich betreffen. Soweit die Beklagte darin eine Rechtfertigung erblickt, einem aus ihrer Sicht unklaren oder überzogenen Begehren nicht nachkommen zu müssen, kann dies nur zu ihren Lasten berücksichtigt werden. Zum einen erscheint eine derart weite Auslegung des Begehrens der Klägerin im Kontext des Schreibens bereits fernliegend. So erläutert der Prozessvertreter in dem Schreiben vom 30.01.2020, dass die Beklagte nach Auskunft seiner Mandantin, die Arbeitszeit elektronisch erfasse, dass es sich bei der Erfassung dieser Daten um personenbezogene Daten handele und die Mandantin daher „ihren“ Auskunftsanspruch nach der Datenschutz-Grundverordnung geltend mache. Auch für einen unbefangenen Leser ist erkennbar, dass die Klägerin keine Auskunft über Daten begehrt, die mit ihrer Person nicht in Zusammenhang stehen. Von dieser Auslegung ist die Beklagte indes auch im Kammertermin nicht abgerückt. Ein Problembewusstsein der Beklagten im Hinblick auf die Verletzung eines Rechts, dass der Europäischen Verordnungsgeber, wie sich bereits aus Art. 8 Abs. 2 der Grundrechtscharta zeigt, als sehr bedeutsam einordnet, vermochte die Berufungskammer nicht zu erkennen. Es ist auch nicht ersichtlich, dass die Klägerin die tatsächliche Erteilung der Auskunft in der Zukunft noch außergerichtlich erreichen wird. Zugunsten der Beklagten kann insoweit nur unterstellt werden, dass einschlägige frühere Verstöße nicht vorliegen.
Obwohl das vorgehend dargestellte Verhalten die Annahme nahelegt, dass die Beklagte den Umfang und die Bedeutung ihrer Verpflichtung aus der Datenschutzgrundverordnung jedenfalls fahrlässig grob verkennt, ist zu Lasten der Klägerin zu berücksichtigen, dass sie die tatsächliche Erlangung der ihr nach Art. 15 Abs. 1 DSGVO zustehenden Informationen in Erkennung des Umstandes, dass die Beklagte diesem Auskunftsbegehren nicht ohne Weiteres nachkommen wird, bislang nicht konsequent verfolgt hat. Nachdem die Beklagte im August 2020 Arbeitsnachweise erteilt hat, hat die Klägerin den Auskunftsanspruch insoweit für erledigt erklärt. Sie hat aber in der Folgezeit davon abgesehen, ihr Auskunftsverlangen im Weiteren gerichtlich geltend zu machen, um eine tatsächliche Durchsetzung zu erreichen. Vielmehr hat die Klägerin sich darauf beschränkt, unter Berufung auf die fehlende Auskunft einen immateriellen Schadensersatzanspruch gerichtlich einzuklagen. Ihr Prozessverhalten deutet für die Berufungskammer darauf hin, dass die tatsächliche Erlangung einer Kontrolle über die von ihr verarbeiteten personenbezogenen Daten nicht ihr primäres Ziel ist. Es drängt sich vielmehr für die Berufungskammer der Eindruck auf, dass es ihr in dem außergerichtlichen Schreiben vom 30.01.2020 maßgeblich um die Herausgabe der Arbeitsaufzeichnungen zum Zwecke der Bezifferung einer beabsichtigten Überstundenklage ging. Obwohl sie durch die nach wie vor ausstehende Auskunft nach wie vor keine Kontrolle über ihre personenbezogenen Daten hat, die bei der Beklagten – auch nach Beendigung des Arbeitsverhältnisses – gegebenenfalls weiter verwendet werden, lässt das Verhalten der Klägerin nicht erkennen, dass dieser Umstand als solcher eine besondere Belastung für sie darstellt, die nicht jedenfalls mit der Zahlung eines Schadensersatzbetrages kompensiert werden könnte. Insbesondere ist nicht erkennbar, dass die Klägerin beabsichtigt, die tatsächliche Erteilung der Auskunft auch im Falle der Zahlung eines Schadensersatzes durch die Beklagte weiterzuverfolgen. Dies deutet darauf hin, dass ihre persönliche Betroffenheit im Hinblick auf die fehlende Möglichkeit der Kontrolle ihrer personenbezogenen Daten überschaubar ist und Zweifel an der Nachhaltigkeit des Auskunftsverlangens berechtigt erscheinen. Dieser Umstand ist bei der Bemessung der Höhe des immateriellen Schadensersatzes - anders als bei der Frage des Entstehens eines solchen - zu berücksichtigen.
Inwieweit die Höhe des Schadensersatzes auch von dem nach Art. 4 Ziffer 7 DSGVO Verantwortlichen und dessen Finanzkraft abhängen mag (so ArbG Düsseldorf 5. März 2020 – 9 Ca 6557/18), kann dahinstehen. Keine der Parteien hat vorliegend Angaben diesbezüglich getätigt. Der Umstand, dass es sich bei der Beklagten um einen Kleinbetrieb handelt, hat für sich genommen keine Aussagekraft hinsichtlich der Finanzkraft des Unternehmens.
Unter Berücksichtigung all dessen hat die Kammer für den Verstoß der Beklagten gegen Art. 15 Abs. 1 DSGVO insgesamt einen Schadensersatzanspruch in Höhe von 1.000,00 Euro angesetzt.
Das OLG Bremen hat entschieden, dass Schadensersatz nach Art. 82 DSGVO nur verlangt werden kann, wenn ein materieller oder immaterieller Schaden tatsächlich entstanden ist substantiiert vorgetragen wird.
Aus den Entscheidungsgründen: "Die sofortige Beschwerde der Antragstellerin vom 29.03.2021 gegen den Beschluss des Landgerichts vom 22.02.2021 war aus den zutreffenden Gründen der angegriffenen Entscheidung sowie des Nichtabhilfebeschlusses vom 23.04.2021 zurückzuweisen. Der Antragstellerin war die begehrte Prozesskostenhilfe zu versagen, da sie weiterhin keinen Sachverhalt vorgetragen hat, aufgrund dessen sich das Vorliegen hinreichender Erfolgsaussichten für die Rechtsverfolgung der Antragstellerin als Voraussetzung für die Bewilligung von Prozesskostenhilfe nach § 114 ZPO ergeben würde. Die Antragstellerin verkennt, dass nach Art. 82 der Datenschutz-Grundverordnung (Verordnung (EU) 2016/679 vom 27.04.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG, nachfolgend: DSGVO) ein Anspruch auf Schadensersatz voraussetzt, dass einer natürlichen Person wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist.
Dem Vorbringen der Antragstellerin ist lediglich ein Vortrag zu einem geltend gemachten Verstoß gegen die Bestimmungen der DSGVO zu entnehmen, dagegen fehlt es an jeglichem Vorbringen zu einem der Antragstellerin hierdurch entstandenen immateriellen Schaden. Einer Vorlage an den Europäischen Gerichtshof bedurfte es bereits im Hinblick auf den eindeutigen Wortlaut des Art. 82 DSGVO nicht: Anders als in der Entscheidung des Bundesverfassungsgerichts vom 14.01.2021 (siehe BVerfG, Beschluss vom 14.1.2021 – 1 BvR 2853/19, juris Rn. 21, NJW 2021, 1005) liegt den vorstehenden Erwägungen nicht die Annahme einer Erheblichkeitsschwelle für den Schadensbegriff des Art. 82 DSGVO zugrunde, sondern es fehlt bereits an jeglichem Vorbringen zu einem der Antragstellerin durch die geltend gemachte Rechtsverletzung entstandenen Schaden. Im Übrigen ist Art. 267 Abs. 3 AEUV eine Vorlagepflicht der einzelstaatlichen Gerichte nur in solchen Verfahren zu entnehmen, in denen die Entscheidungen dieser Gerichte selbst nicht mehr mit Rechtsmitteln des innerstaatlichen Rechts angefochten werden können. Im vorliegenden Verfahren über die Bewilligung von Prozesskostenhilfe gilt aber ebenso wie im Verhältnis zwischen Verfahren des einstweiligen Rechtsschutzes und den Hauptsacheverfahren, dass keine Vorlagepflicht besteht, wenn die zu erlassende Entscheidung das Gericht, dem der Rechtsstreit danach in einem Hauptsacheverfahren vorgelegt wird, nicht bindet und den Parteien eine erneute Überprüfung der zunächst nur vorläufig entschiedenen Frage offensteht (siehe BVerfG, Beschluss vom 19.10.2006 – 2 BvR 2023/06, juris Rn. 13, EuR 2006, 814)."
Das LG Bonn hat entschieden, dass ein Betroffener keinen Anspruch auf Schadensersatz bzw. Geldentschädigung aus Art. 82 DSGVO für eine unvollständige oder verspätete Auskunftserteilung gemäß Art. 15 DSGVO zusteht.
Das Bundesverfassungsgericht hat entschieden, dass streitrelevante Fragen zur Auslegung des Geldentschädigungsanspruchs aus Art. 82 DSGVO dem EuGH zur Entscheidung vorgelegt werden müssen, da insofern noch keine erschöpfende Klärung durch den EuGH erfolgt ist und viele offene Rechtsfragen bestehen.
Aus den Entscheidungsgründen:
Die Kammer nimmt die zulässige Verfassungsbeschwerde zur Entscheidung an und gibt ihr statt, weil dies zur Durchsetzung des als verletzt gerügten Rechts des Beschwerdeführers auf den gesetzlichen Richter gemäß Art. 101. Abs. 1 Satz 2 GG angezeigt ist, § 93a Abs. 2 Buchstabe b BVerfGG. Diese Entscheidung kann von der Kammer getroffen werden, weil die maßgeblichen verfassungsrechtlichen Fragen durch das Bundesverfassungsgericht bereits entschieden sind und die Verfassungsbeschwerde danach offensichtlich begründet ist, § 93c Abs. 1 Satz 1 BVerfGG.
1. Das Amtsgericht hat das Recht des Beschwerdeführers auf den gesetzlichen Richter verletzt, indem es aufgrund der teilweisen Klageabweisung, der dadurch für den Beschwerdeführer nicht erreichten Berufungsbeschwer (§ 511 Abs. 2 Nr. 1 ZPO) und der nicht zugelassenen Berufung letztinstanzlich tätig geworden ist und entgegen Art 267 Abs. 3 AEUV von einem Vorabentscheidungsersuchen an den Gerichtshof der Europäischen Union abgesehen hat
a) Der Gerichtshof der Europäischen Union ist gesetzlicher Richter im Sinne des Art. 101 Abs. 1 Satz 2 GG (vgl. BVerfGE 73,339 <366>; 82, 159 <192>; 126, 286 <315>; 128, 157 <186 f.>; 129,78 <105>; 135, 155 <230 f. Rn. 177>). Unter den Voraussetzungen des Art. 267 Abs. 3 AEUV sind die nationalen Gerichte von Amts wegen gehalten, den Gerichtshof anzurufen (vgl. BVerfGE 82, 159 <192 f.>; 128, 157 <187>; 129,78 <105». Es kann einen Entzug des gesetzlichen Richters darstellen, wenn ein nationales Gericht seiner Pflicht zur Anrufung des Gerichtshofs im Wege des Vorabentscheidungsverfahrens nach Art. 267 Abs. 3 AEUV nicht nachkommt (vgl. BVerfGE 73, 339 <366 f.>; 82, 159 <192 ff.>; 135, 155 <230 f. Rn.177>; st Rspr).
Nach der Rechtsprechung des Gerichtshofs der Europäischen Union (EuGH, Urteil vom 6. Oktober 1982, C.I.L.F.I.T., C-283/81, EU:C:1982:335, Rn. 21; Urteil vom 15. September 2005, C-495/03, EU:C:2005:552, Rn. 33; Urteil vom 6. Dezember 2005, C-461/03, EU:C:2005:742, Rn. 16; st Rspr) muss ein nationales letztinstanzliches Gericht seiner Vorlagepflicht nachkommen, Wenn sich in einem bei ihm schwebenden Verfahren eine Frage des Unionsrechts stellt, es sei denn, das Gericht hat festgestellt, dass die gestellte Frage nicht entscheidungserheblich ist, dass die betreffende unionsrechtliche Bestimmung bereits Gegenstand einer Auslegung durch den Gerichtshof war (acte éclairé) oder dass die richtige Anwendung des Unionsrechts derart offenkundig ist, dass für einen vernünftigen Zweifel keinerlei Raum bleibt (acte clair) (vgl. auch BVerfGE 82, 159 <193>; 128, 157 <187>; 129,78 <105 f.>; 140,317 <376 Rn. 125>; 147,364 <378 f. Rn. 37>). Davon darf das innerstaatliche Gericht aber nur ausgehen, wenn es überzeugt ist, dass auch für die Gerichte der übrigen Mitgliedstaaten und für den Gerichtshof der Europäischen Union die gleiche Gewissheit bestünde. Nur dann darf das Gericht von einer Vorlage absehen und die Frage in eigener Verantwortung lösen (vgl. EuGH, Urteil vom 6. Oktober 1982, C.I.L.F.I.T., C-283/81, EU:C:1982:335, Rn. 16).
Diese Grundsatze gelten auch für die unionsrechtliche Zuständigkeitsvorschrift des Art. 267 Abs. 3 AEUV. Daher stellt nicht jede Verletzung der unionsrechtlichen Vorlagepflicht zugleich einen Verstoß gegen Art. 101 Abs. 1 Satz 2 GG dar (vgl. BVerfGE 126, 286 <315>; 147, 364 <380 Rn. 40>). Das Bundesverfassungsgericht überprüft nur, ob die Auslegung und Anwendung der Zuständigkeitsregel des Art. 267 Abs. 3 AEUV bei verständiger Würdigung der das Grundgesetz bestimmenden Gedanken nicht mehr verständlich erscheint und offensichtlich unhaltbar ist (vgl. BVerfGE 126, 286 <315 f.>; 128, 157 <187>; 129, 78 <106>). Durch die zurückgenommene verfassungsrechtliche Prüfung behalten die Fachgerichte bei der Auslegung und Anwendung von Unionsrecht einen Spielraum eigener Einschätzung und Beurteilung, der demjenigen' bei der Handhabung einfachrechtlicher Bestimmungen der deutschen Rechtsordnung entspricht. Das Bundesverfassungsgericht wacht allein über die Einhaltung der Grenzen dieses Spielraums (vgl. BVerfGE 126, 286 <316>). Ein "oberstes Vorlagenkontrollgericht" ist es nicht (vgl. BVerfGE 126, 286 <316>; 135, 155 <231 f. :Rn. 180>; 147, 364 <379 f. Rn. 39>; BVerfGE 13, 506 <512>; 14, 230 <233>; 16, 328 <336>; BVerfG, Beschluss der 1. Kammer des Zweiten Senats vom 9. November 1987 - 2 BvR 808/82 -, NJW 1988, S. 1456 [1457]).
Die Vorlagepflicht nach Art. 267 AEUV zur Klärung der Auslegung unionsrechtlicher Vorschriften wird in verfassungswidriger Weise gehandhabt, wenn ein letztinstanzliches Gericht eine Vorlage trotz der - seiner Auffassung nach bestehenden - Entscheidungserheblichkeit der unionsrechtlichen Frage überhaupt nicht in Erwägung zieht, obwohl es selbst Zweifel hinsichtlich der richtigen Beantwortung der Frage hat (grundsätzliche Verkennung der Vorlagepflicht; vgl. BVerfGE 82, 159 <195 f.>; 126,286 <316 f.>; 128, 157 <187 f.>; 129,78 <106 f.>; 135, 155 <232 Rn. 181>; 147,364 <380 Rn. 41>).
Gleiches gilt in den Fällen, in denen das letztinstanzliche Gericht in seiner Entscheidung bewusst von der Rechtsprechung des Gerichtshofs zu entscheidungserheblichen Fragen abweicht .und gleichwohl nicht oder nicht neuerlich vorlegt (bewusstes Abweichen von der Rechtsprechung des Gerichtshofs ohne Vorlagebereitschaft; vgl. BVerfGE 75, 223 <245>; 82,159 <195>; 126,286 <316 f.>; 128, 157 <187 f.>; 129, 78 <106 f.>; 135, 155 .<232 Rn. 182>; 147, 364 <381 Rn. 42>).
Liegt zu einer entscheidungserheblichen Frage des Unionsrechts einschlägige Rechtsprechung des Gerichtshofs der Europäischen Union noch nicht vor oder hat er die entscheidungserhebliche Frage möglicherweise noch nicht erschöpfend beantwortet oder erscheint eine Fortentwicklung der Rechtsprechung des Gerichtshofs nicht nur als entfernte Möglichkeit (Unvollständigkeit der Rechtsprechung), so wird Art. 101 Abs. 1 Satz 2 GG verletzt, wenn das letztinstanzliche Hauptsachegericht den ihm in solchen Fällen notwendig zukommenden Beurteilungsrahmen in unvertretbarer Weise überschritten hat (vgl. BVerfGE 82, 159 <195 f.>; 126, 286 <316 f.>; 128, 157 <187 f.>; 129, 78 <106 f.>; 135, 155 <232 f. Rn. 183>). Dies kann insbesondere dann der Fall sein, wenn mögliche Gegenauffassungen zu der entscheidungserheblichen Frage des Unionsrechts gegenüber der vom Gericht vertretenen Meinung eindeutig vorzuziehen sind (vgl. BVerfGE 82, 159 <195 f.>; BVerfGK 10,19 <29>). Jedenfalls bei willkürlicher Annahme eines "acte clair" oder eines "acte éclairé" durch die Fachgerichte ist der Beurteilungsrahmen in unvertretbarer Weise überschritten (vgl. BVerfGE 135, 155 <232 f. Rn. 183>; 147; 364 <381 Rn. 43>).
In diesem Zusammenhang ist auch zu prüfen, ob sich das Gericht hinsichtlich des Unionsrechts ausreichend kundig gemacht hat. Etwaige einschlägige Rechtsprechung des Gerichtshofs der Europäischen Union muss es auswerten und seine Entscheidung hieran orientieren (vgl. BVerfGE 82, 159 <196>; 128, 157 <189>). Auf dieser Grundlage muss das Fachgericht unter Anwendung und Auslegung des materiellen Unionsrechts (vgl. BVerfGE 75, 223 <234>; 128, 157 <188>; 129, 78 <107>) die vertretbare Überzeugung bilden, dass die Rechtslage entweder von vornherein eindeutig ("acte clair") oder durch Rechtsprechung in einer Weise geklärt ist, die keinen vernünftigen Zweifel offen lässt ("acte eclaine"; vgl. BVerfGE 129, 78 <107>). Hat es dies nicht getan, verkennt es regelmäßig die Bedingungen für die Vorlagepflicht. Zudem hat das Fachgericht Gründe anzugeben, die dem Bundesverfassungsgericht eine Kontrolle am Maßstab des Art. 101 Abs. 1 Satz 2 GG ermöglichen (vgl. BVerfGE 147,364 <380 f. Rn. 41>; BVerfGE 8, 401 <405>; 10, 19 <30 f.>; BVerfG, Beschluss der 2. Kammer des Ersten Senats vom 9. Januar 2001 - 1 BvR 1036/99 -, Rn. 21; Beschluss der 3. Kammer des Ersten Senats vom 20. Februar 2008 - 1 BvR 2722/06 -; Beschluss der 3. Kammer des Ersten Senats vom 25. Februar 2010 - 1 BvR 230/09 -, Rn. 19).
Bei den in der Rechtsprechung des Bundesverfassungsgerichts genannten Fallgruppen handelt es sich um eine nicht abschließende Aufzählung von Beispielen für eine verfassungsrechtlich erhebliche Verletzung der Vorlagepflicht. Für die Frage nach einer Verletzung des Rechts auf den gesetzlichen Richter gemäß Art. 101 Abs. 1 Satz 2 GG durch Nichtvorlage an den Gerichtshof der Europäischen-Union kommt es im Ausgangspunkt nicht in erster Linie auf die Vertretbarkeit der fachgerichtlichen Auslegung des für den Streitfall maßgeblichen materiellen Unionsrechts - hier der DSGVO - an, sondern auf die Beachtung oder Verkennung der Voraussetzungen der Vorlagepflicht nach der Vorschrift des Art. 267 Abs. 3 AEUV, die den gesetzlichen Richter im Streitfall bestimmt (vgl. BVerfGE 128, 157 <188>; BVerfG, Beschluss der 3. Kammer des Ersten Senats vom 25. Februar 2010 - 1 BvR 230109 -, Rn. 20; Beschluss der 2. Kammer des Ersten Senats vom 30. August 2010 - 1 BvR 1631/08, Rn. 48).
b) Unter Berücksichtigung dieser Grundsätze hat das Amtsgericht Art. 101 Abs. 1 Satz 2 GG verletzt, indem es von einem Vorabentscheidungsersuchen wegen der zu klärenden Frage, ob im vom Beschwerdeführer vorgetragenen Fall der datenschutzwidrigen Verwendung einer Email-Adresse und der Übersendung einer ungewollten Email an das geschäftliche Email-Konto des Beschwerdeführers nach Art. 82 Abs. 1 DSGVO ein Schmerzensgeldanspruch des Beschwerdeführers in Betracht kommt.
aa) Das Amtsgericht hätte nicht ohne Vorabentscheidungsersuchen an den Gerichtshof der Europäischen Union entscheiden dürfen, dass sich kein Anspruch des Beschwerdeführers aus der ohne seine, ausdrückliche Einwilligung erfolgten Übersendung der Email aus Art. 82 DSGVO ergebe, weil ein Schaden nicht eingetreten sei.
Der im Ausgangsverfahren zu beurteilende Sachverhalt warf die Frage auf, unter welchen Voraussetzungen Art. 82 Abs. 1 DSGVO einen Geldentschädigungsanspruch gewährt und welches Verständnis dieser Vorschrift insbesondere im Hinblick auf Erwägungsgrund 146 Satz 3 zu geben ist; der eine weite Auslegung des Schadensbegriffs im Lichte der Rechtsprechung des Gerichtshofs der Europäischen Union verlangt, die den Zielen der DSGVO in vollem Umfang entspricht. Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen, also diejenige natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (vgl. Art. 4 Nr. 7 DSGVO).
Dieser Geldentschädigungsanspruch ist in der Rechtsprechung des Gerichtshofs der Europäischen Union weder erschöpfend geklärt noch kann er in seinen einzelnen, für die Beurteilung des im Ausgangsverfahrens vorgetragenen Sachverhalts notwendigen Voraussetzungen unmittelbar aus der DSGVO bestimmt werden. Auch in der bislang vorliegenden Literatur, die sich im Hinblick auf Erwägungsgrund 146 wohl für ein weites Verständnis des Schadensbegriffes ausspricht, sind die Details und der genaue Umfang des Anspruchs noch unklar (vgl. Gola/Piltz, in: Gola, DSGVO, 2. Aufl., 2018, Art. 82 Rn. 12 f.; Quaas, in: BeckOK Datenschutzrecht, 34. Ed., 11/2020, Art. 82 Rn. 23 f.; Bergt, in: Kühling/Buchner, DSGVO BDSG, 3. Aufl., 2020, Art. 82, Rn. 17 f.; Boehm, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 1. Aufl., 2019, Art. 82 Rn. 11 f.; Frenzel, In: Paal/Pauly, DSGVO BDSG, 2. Aufl., 2018, Art. 82 Rn. 10). Von einer richtigen Anwendung des Unionsrechts, die derart offenkundig ist, dass für vernünftige Zweifel kein Raum bliebe (acte clair), konnte das Amtsgericht ebenfalls nicht ausgehen. Dies gilt umso mehr, als Art. 82 DSGVO ausdrücklich immaterielle Schäden einbezieht.
bb) Die angegriffene Entscheidung zeigt, dass das Amtsgericht die Problematik der Auslegung des Art. 82 Abs. 1 DSGVO durchaus gesehen hat. Es hat sodann aber verfassungsrechtlich relevant fehlerhaft eine eigene Auslegung des Unionsrechts vorgenommen, indem es sich für die Ablehnung des Anspruchs auf ein Merkmal fehlender Erheblichkeit gestützt hat, das so weder unmittelbar in der DSGVO angelegt ist, noch von der Literatur befürwortet oder vom Gerichtshof der Europäischen Union verwendet wird.
Gleiches gilt für den vom Beschwerdeführer mit angegriffenen Beschluss des Amtsgerichts, mit dem es die erhobene Gehörsrüge des Beschwerdeführers zurückgewiesen hat. Auch hier rekurriert das Amtsgericht auf das Bestehen eines bislang ungeklärten Merkmals eines Bagatellverstoßes im Rahmen des Art. 82 Abs. 1 DSGVO.
cc) Die Antwort auf die Rechtsfrage, wie Art. 82 Abs. 1 DSGVO vor dem Hintergrund von Erwägungsgrund 146 in Fällen der Übersendung einer Email ohne Zustimmung auszulegen ist, war für die Entscheidung über den vom Beschwerdeführer geltend gemachten Zahlungsanspruch entscheidungserheblich.
Das LG Frankfurt hat entschieden, dass ein Schadensersatzanspruch gemäß Art. 82 DSGVO voraussetzt, dass ein Rechtsgut der betroffenen Person infolge der Verletzung einer Norm der DSGVO im Vergleich zum status quo ante nachteilig verändert wurde.
Aus den Entscheidungsgründen:
Ein Anspruch des Klägers gegen die Beklagte auf Zahlung von 8400,00 € nach Art. 82 DSGVO besteht nicht.
Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen die Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen. Dem Kläger ist zwar unstreitig bisher kein materieller Schaden entstanden, wohl aber ein immaterieller Schaden. Dieser liegt darin, dass seine personenbezogenen Daten Dritten ohne sein Einverständnis zugänglich wurden. Die Kompensation einer solchen öffentlichen "Bloßstellung" fällt unter Art. 82 Abs. 1 DSGVO (Ehmann/Selmayr, DSGVO, 2. Aufl., Art. 82 Rn. 13; Sydow, DSGVO, 2. Aufl., Art. 82 Rn. 6). Die Beklagte ist auch tauglicher Anspruchsgegner. Sie war Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO, da sie über die Zwecke und Mittel der - unstreitig - stattgefundenen Verarbeitung der Daten des Klägers entschied.
Der Schaden muss jedoch wegen eines Verstoßes gegen die DSGVO entstanden sein. Es muss also ein Verstoß gegen die DSGVO und dessen Kausalität für den Schaden festgestellt werden. Ein Rechtsgut der betroffenen Person muss infolge der Verletzung einer Norm der DSGVO im Vergleich zum status quo ante nachteilig verändert worden sein (Ehmann/Selmayr, DS-GVO 2. Aufl. Art. 82 Rn. 11).
Die Veröffentlichung der Daten, für die der Kläger einen Schadensersatz von 2000,00 € geltend macht, stellt an sich keinen Verstoß der Beklagten gegen die DSGVO dar. Die Veröffentlichung könnte nur dann als Verstoß gegen Art. 5 Abs, 1 a) oder f) DSGVO eingeordnet werden, wenn die Beklagte bzw, BB sie unberechtigt vorgenommen hätte. Dies lässt sich aber nicht feststellen und wird auch von dem Kläger nicht konkret vorgetragen. Der Kläger ist jedoch für den Verstoß gegen die DSGVO darlegungs- und beweisbelastet; erst hinsichtlich der Verantwortlichkeit für den Verstoß sieht Art, 82 Abs, 3 DSGVO eine Vermutung zu Lasten des Anspruchsgegners vor. Hat die Beklagte bzw. BB die Veröffentlichung nicht selbst vorgenommen, so kann sie lediglich die Folge einer Verletzung der Pflichten aus der DSGVO durch die Beklagte bzw. BB sein, nicht aber der Verstoß an sich.
Der Schadensersatzanspruch folgt weiter nicht daraus, dass die Beklagte die BB GmbH nicht nach Art. 28 Abs. 1 DSGVO ordnungsgemäß ausgewählt oder überwacht hat. Dass dies nicht geschehen ist, lässt sich nach dem Sach- und Streitstand schon nicht feststellen. Ein entsprechendes Beweisangebot des Klägers fehlt, ebenso entsprechende Indizien. Insbesondere kann der Kläger sich nicht darauf berufen, es sei offensichtlich, dass die BB GmbH ihr auferlegte Sicherheitsvorkehrungen nicht einhalten könne, weil es sich bei dem Firmensitz um ein Einfamilienhaus in einer Wohnsiedlung handele. Dass sich der Firmensitz dort befindet, sagt nichts darüber aus, wo die Datenverarbeitung erfolgt. Darüber hinaus lässt sich die Kausalität eines etwaigen Verstoßes gegen Pflichten der Beklagten aus der DSGVO für den Datenvorfall und damit für den Schaden des Klägers nicht feststellen. Denn letztlich ist - auch nach dem zuletzt gehaltenen und bestrittenen Vortrag des Klägers hinsichtlich des nicht geänderten Initialpassworts - letztlich unklar geblieben, wodurch das Datenleck verursacht wurde. Dass es durch ein anderes Auswahlverfahren, andere Sicherheitsvorkehrungen oder andere Überwachungen verhindert hätte werden können, bleibt danach Spekulation, Hinzu kommt, dass ein werkseitig individuell voreingestelltes Passwort im Ausgangspunkt nicht weniger sicher als ein vom Nutzer persönlich eingestelltes Passwort sein muss (BGH, Urteil vom 24. November 2016 - I ZR 220/15 —, Rn. 16, juris).
Soweit der Kläger seinen Anspruch in Höhe von 700,00 € darauf stützt, dass seine Daten nach dem 19.08.2019 noch verfügbar gewesen seien und jedenfalls während eines IT-Checks am 29.08.2019 jedermann habe auf sie zugreifen können, vermag dies ebenfalls keinen Schadensersatzanspruch zu begründen. Es kann dahinstehen, ob überhaupt ein Verstoß gegen die DSGVO vorliegt. Denn jedenfalls ist dem Kläger kein Schaden entstanden. Der Kläger behauptet nicht, dass nach dem 19,08.2019 seine Daten nochmals veröffentlicht worden seien oder sie von Unbefugten etwa während des Checks tatsächlich zur Kenntnis genommen worden wären. Dann aber steht dem Kläger kein Schadensersatzanspruch zu. Denn nicht jede Datenschutzrechtverletzung in Form einer nicht (vollständig) rechtskonformen Datenverarbeitung ist automatisch ein ersatzfähiger Schaden (vgl. etwa Wybitul, NJW 2019, 3265 mwN), Vielmehr muss die Verletzungshandlung auch zu einer konkreten Verletzung von Persönlichkeitsrechten der betroffenen Person geführt haben (Wybitul, aaO), Eine weite Auslegung des Schadensbegriffs nach Art. 82 DSGVO, nach dem mit jedem Verstoß ein Schaden begründet wird (sowohl Ehmann/Selmayr, DS-GVO, 2. Aufl., Art. 82 Rn. 13), widerspricht der Systematik des deutschen Rechts. Die mitgliedsstaatlichen Gerichte sind zu einem überkompensatorischen Strafschadensersatz grundsätzlich nicht verpflichtet; nach dem Äquivalenzgrundsatz wäre ein solcher nur dann erforderlich, wenn die mitgliedstaatliche Rechtsordnung allgemein Strafschadensersatz vorsieht (Wytibul, aaO). Das ist jedoch in Deutschland nicht der Fall.
Aus dem identischen Grund steht dem Kläger kein Anspruch in Höhe von 700,00 € wegen Änderung des Administratorenpasswortes im Mai 2019 zu.
Ferner kann der Kläger nicht damit gehört werden, die Beklagte habe gegen Art. 28 DSGVO verstoßen, weil ein Vertrag nach dieser Norm mit BB fehle. Ein Schadensersatzanspruch in Höhe von 800,00 € besteht insofern nicht. Die Beklagte hat einen Datenverarbeitungsvertrag mit der BB GmbH geschlossen. Zwar ist in dem Vertrag kein Rechtsformzusatz für die dort bezeichnete "B..." genannt. Allerdings ergibt sich aus den weiteren zu ihr genannten Daten, dass es sich um die GmbH handelte. Dass der Vertrag nicht von sämtlichen Parteien unterzeichnet wurde, ist unerheblich. Nach Art. 28 Abs. 9 DSGVO bedarf es einer schriftlichen Abfassung, auch in elektronischem Format. Danach ist keine Unterzeichnung erforderlich (vgl. Ehmann/Semayr, DS-GVO, 2. Aufl., Art. 28 Rn. 12); es genügt die Abfassung in Textform nach § 126b BGB. Diesem Erfordernis genügt der Vertrag. Ferner ist nicht ersichtlich, dass der Vertrag den Anforderungen des Art. 28 DSGVO nicht genügen würde. Dass mit der BB Ltd. kein gesonderter Vertrag geschlossen wurde, ist ebenfalls unschädlich. Denn es war vertraglich unter Ziffer 7 des Vertrages geregelt, dass die BB GmbH bei einem Einsatz von Unterverarbeitern diesen gegenüber mindestens dieselben Datenschutzverpflichtungen festzulegen hatte, wie sie der Vertrag zwischen der Beklagten und der BB GmbH vorsah. Dies entspricht Art. 28 Abs. 4 DSGVO. Auch der hierfür geltend gemachte Anspruch in Höhe von 1000,00 € besteht nicht.
Auf die unterlassene Verwendung von Hashes kann der Kläger gleichfalls keinen Schadensersatzanspruch stützen, weil ein Verstoß gegen die DSGVO nicht vorliegt. Bei der Verarbeitung der personenbezogenen Daten muss eine angemessene Sicherheit gewährleistet sein, Art. 5 Abs. 1 f) DSGVO, Dies erfordert geeignete technische und organisatorische Maßnahmen zum Schutz vor unbefugter und unrechtmäßiger Verarbeitung, wobei die Anforderungen in Art. 32 DSGVO festgelegt werden. Art, 32 Abs. 1 a) DSGVO erwähnt zwar Verschlüsselung als technisches Maßnahme, fordert die Anwendung von Hashes aber gerade nicht. Selbiges gilt für die PCC-DSS-Standards. Für seine Behauptung, es sei auch keine anderweitige Kryptografie erfolgt bietet der Kläger keinen Beweis an.
Der Kläger hat gegen die Beklagte keinen Anspruch auf Schadensersatz in Höhe von 1000,00 €, weil Daten gegenüber der M... International inc. ohne Rechtsgrundlage zugänglich gemacht worden wären. Dass der M... International Inc. im Rahmen des Priceless Specials Programms erhobene Daten von Kunden preisgegeben wurden, trägt der Kläger schon nicht substantiiert vor. Erst recht gilt dies für seine konkreten Daten. Dass die M... International Inc. an der Datenverarbeitung beteiligt war, ist aufgrund des als Anlage B 5 vorgelegten Vertrages auch keineswegs zwingend. Dies gilt auch dann, wenn die M... Inc. gemeinsame Verantwortliche nach Art, 26 DSGVO gewesen sein sollte. Denn der Verantwortliche hat die Entscheidungsgewalt über Zweck und Mittel der Verarbeitung; diese kann auch ausgeübt werden, ohne dass der Verantwortliche selbst an der Durchführung der Verarbeitung beteiligt ist (Ehmann/Selmayr, DS-GVO, 2. Aufl., Art. 4 Rn. 36). Es fehlt danach an einem Schaden des Klägers.
Die Behauptung des Klägers, es fehle an einer Vereinbarung zur gemeinsamen Verantwortlichkeit, was ihm zusätzlich nicht mitgeteilt worden sei, rechtfertigt keinen Schadensersatzanspruch in Höhe von insgesamt 1200,00 €. Erneut fehlt es an einem Schaden des Klägers, weil nicht ersichtlich ist, dass seine Daten der M... International Inc. überhaupt zugänglich gemacht wurden. Überdies regelt Art. 26 DSGVÖ lediglich, dass bei zwei oder mehr Verantwortlichen festzulegen ist, wer welche Verpflichtung gemäß der Verordnung erfüllt. Wo der Schaden des Klägers liegen soll, wenn dies nicht geschehen ist und er nicht informiert wurde, ist nicht ersichtlich. Dies gilt insbesondere vor dem Hintergrund des Art. 26 Abs. 3 DSGVO. Schließlich kann der Kläger keinen Schadensersatz in Höhe von 1000,00 € deswegen gegen die Beklagte geltend machen, weil keine ausreichende Vereinbarung von Binding Corporate Rules für Zugriffsmöglichkeiten durch ein US-Unternehmen auf Daten erfolgt sei. Erneut ist schon eine Beeinträchtigung des Klägers nicht feststellbar (s.o.). Ungeachtet dessen lag für die M... International Inc. eine geeignete Garantie in Form von verbindlichen internen Datenschutzvorschriften nach Art. 46 Abs. 1, Abs. 2b), 47 DSGVO vor. Aus dem Datenverarbeitungsvertrag ergibt sich, dass durch die zuständige Aufsichtsbehörde genehmigte Binding Corporate Rules existierten, was ausreichend ist. Für seinen das in Abrede stellenden Vortrag ist der Kläger beweisfällig geblieben.
Für andere deliktische Ansprüche besteht eine Sperrwirkung der DSGVO (Sydow, DSGVO, 2. Aufl., Art. 82 Rn.27).
Ein Anspruch aus § 280 Abs. 1 BGB besteht gleichfalls nicht, weil sich nach den obigen Ausführungen nicht feststellen lässt, dass die Beklagte eine Vertragspflichtverletzung begangen hat, die kausal zu einem Schaden, nämlich der Beeinträchtigung des Allgemeinen Persönlichkeitsrechts des Klägers, geführt hat.
Den Volltext der Entscheidung finden Sie hier:
Das LG Landshut hat entschieden, dass ein Anspruch auf Ersatz eines immateriellen Schadens nach Art. 82 Abs. 1 DSGVO eine nicht nur unbedeutende Persönlichkeitsrechtsverletzung voraussetzt.
Aus den Entscheidungsgründen:
I. Dem Kläger steht gegen die Beklagte zu 1) kein Schadensersatzanspruch gemäß Art. 82 Abs. 1 DSGVO zu.
1. Gemäß Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.
Die Nennung der Wohnung des Klägers sowie die Nennung des Namens des Klägers als Eigentümer der Wohnung und auch die Nennung des KBE-Wertes stellen keinen Verstoß gegen die Vorgaben der DSGVO dar. Die Nennung erfolgte sowohl bei der Übersendung der Tagesordnung als auch in der streitgegenständlichen Eigentümerversammlung durch die Beklagte zu 1) als Verwalterin ausschließlich gegenüber den weiteren Wohnungseigentümern der streitgegenständlichen Wohnungseigentümergemeinschaft. Es ist zwar nicht zutreffend, dass innerhalb einer Wohnungseigentümergemeinschaft die Datenschutzvorschriften nicht zur Anwendung kämen. Die Beklagte ist jedoch als Hausverwaltung vertraglich gegenüber den Eigentümern und der Wohnungseigentümergemeinschaft verpflichtet, den gesetzlichen und vertraglichen Pflichten einer Hausverwaltung nachzukommen. Andere Wohnungseigentümer haben nach §§ 13, 14 WEG einen Anspruch darauf zu erfahren, in welchen Wohnungen eine Legionellenprüfung vorgenommen wird oder wurde und auch, ob es insoweit einen Legionellenbefall und in welchem Umfang gegeben hat oder nicht. Insoweit ist zunächst die Nennung der Wohnung und auch die Nennung der Prüfungsergebnisse zulässig. Die Nennung war hier sowohl in der Tagesordnung als auch in der Eigentümerversammlung als Grundlage für die „Aussprache und Beschlussfassung über weitergehende Maßnahmen zum Legionellenbefall und deren Finanzierung“ erforderlich und unabdingbar. Ohne Nennung der Zahl der Wohnungen, der konkreten Lage der jeweiligen Wohnung und des konkreten Befalls wäre eine Beurteilung und entsprechende Entscheidung in der Eigentümerversammlung nicht möglich gewesen. Nach Auffassung des Gerichts war hier auch die Nennung des Eigentümers aus den genannten Gründen zulässig. Im Hinblick auf die Finanzierung und im Hinblick auf weitergehende Maßnahmen war auch die Nennung der betroffenen Eigentümer erforderlich, gegebenenfalls auch zur Prüfung von Ausgleichsansprüchen gegenüber anderen Eigentümern. Damit lagen die Voraussetzungen von Art. 6 Abs. 1 lit. b) und c) vor.
2. Schadensersatzansprüche sind jedenfalls der Höhe nach ausgeschlossen.
a) Materielle Schäden wurden vom Kläger weder substantiiert vorgetragen noch belegt. Soweit der Kläger behauptet, ein potentieller Käufer seiner Wohnung habe auf Grund der ihm aus den Reihen der informierten Eigentümer zugetragenen Information des Legionellenbefalls den Kauf abgesagt, nachdem er zunächst versucht habe, den Kaufpreis auf Grund des Legionellenbefalls zu reduzieren, stellt dies bereits nicht die Darlegung eines konkreten Schaden dar. Darüber hinaus scheidet hier ein Schaden bereits deshalb aus, weil der Kläger als Verkäufer einer Wohnung bei einem konkreten Legionellenbefall - wie vorliegend unstreitig gegeben - gegenüber dem Käufer seiner Wohnung aufklärungspflichtig wäre. Die durch Legionellen hervorgerufene Legionärskrankheit kann unbehandelt einen lebensgefährlichen Verlauf annehmen, ein erhöhtes Infektionsrisiko besteht dabei insbesondere beim Duschen. Von daher wäre es zudem unverantwortlich, den Legionellenbefall in der Wohnanlage nicht insbesondere den Mietern bzw. auch potentiellen Käufern zu offenbaren. Da der Kläger damit selbst aufklärungspflichtig wäre, kann ihm durch die Weitergabe von Informationen darüber hinaus kein Schaden entstehen.
b) Auch ein Anspruch auf Ersatz eines immateriellen Schadens steht dem Kläger nicht zu. Art. 82 Abs. 1 DSGVO sieht zwar eine Erstattungspflicht für immaterielle Schäden vor. Diese Pflicht ist auch nicht nur auf schwere Schäden beschränkt. Allein die Verletzung des Datenschutzrechts als solche begründet allerdings nicht bereits für sich gesehen einen Schadensersatzanspruch für betroffene Personen. Die Verletzungshandlung muss in jedem Fall auch zu einer konkreten, nicht nur unbedeutenden oder empfundenen Verletzung von Persönlichkeitsrechten der betroffenen Person geführt haben (vgl. Landgericht Hamburg, Urteil vom 04.09.2020 -324 S 9/19- juris). Es ist zwar eine schwere Verletzung des Persönlcihkeitsrechts nicht (mehr) erforderlich. Andererseits ist auch weiterhin nicht für einen Bagatellverst0ß ohne ernsthafte Beeinträchtigung bzw. für jede bloß individuelle empfundene Unannehmlichkeit ein Schmerzensgeld zu gewähren; vielmehr muss dem Betroffenen ein spürbarer Nachteil entstanden sein und es muss um eine objektiv nachvollzeihbare, mit gewissem Gewicht erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen gehen (Plath, Art. 82 DSGVO Rn. 4 c, d). Würde man hier einen Datenschutzverstoß durch den streitgegenständlichen Tagesordnungspunkt bejahen, läge hiernach den genannten Kriterien kein Fall vor, der die Zuerkennung des Schmerzensgeldes rechtfertigen könnte. Bei der Nennung von Art und Höhe des Befalls handelt es sich um objektive Umstände. Eine erhöhte Kolizahl im Trinkwasser beruht zumeist auf fehlender Wasserzirkulation und Wassertemperaturen im Bereich von 25 bis 50 Grad Celsius. Die Ursache liegt also nicht in der Person des Wohnungseigentümers oder Mieters, sondern in der Regel in der Warmwasseraufbereitung und den Rohrsystemen der Wohnungseigentümeranlage. Die Weitergabe dieser objektiven Befunde an die anderen Wohnungseigentümer ist damit nicht geeignet, den Ruf des Eigentümers zu schädigen oder diesen gar bloßzustellen. Zudem wäre den Eigentümern im Hinblick auf die Wohnungsnummer eine Zuordnung zum Eigentümer durch die Teilungserklärung sowieso möglich.
II. Dem Kläger stehen gegen die Beklagten auf Grund der Weitergabe der E-Mail-Adresse an den Beklagtenvertreter keine Ansprüche zu.
Es liegt kein Verstoß gegen Art. 82 Abs. 1 DSGVO vor. Die Beklagten haben in berechtigtem Interesse gehandelt. Der Kläger selbst hat wie sich aus dem Klagevortrag ergibt mit den Beklagten überwiegend per Email kommuniziert. Wie der Beklagtenvertreter zu Recht eingewandt hat, ist die E-Mail-Adresse des Klägers auch im Anwaltsportal zugänglich. Deshalb läge hier jedenfalls eine Bagatellverletzung vor, die nicht geeignet ist, Schadensersatzansprüche zu begründen.
Soweit der Kläger Ansprüche zudem auf die Sichtbarkeit der E-Mail-Adresse im Adressfeld des per Post übersandten Schreibens des Beklagtenvertreters stützt, sind hierfür nicht die Beklagten, sondern der Beklagtenvertreter verantwortlich, der vorliegend jedoch nicht in Anspruch genommen wurde.
III. Dem Kläger steht gegen den Beklagten zu 2) kein Schadensersatzanspruch aus Art. 82 Abs. 1 DSGVO zu.
1. Der Beklagte zu 2) ist als Datenschutzbeauftragter nicht „Verantwortlicher“ im Sinne des Art. 4 Nr. 7 DSGVO. Verantwortlicher für Verarbeitung von personenbezogenen Daten im datenschutzrechtlichen Sinne war bezüglich der Versendung der Tagesordnung nur die Beklagte zu 1). Soweit klägerseites der Verstoß auch auf die Nennung in der Wohnungseigentümerversammlung gestützt wurde, war auch hier nicht der Beklagte zu 2), sondern die Beklagte zu 1) verantwortlich.
Das LAG Köln hat entschieden, dass die Kostenregelung in § 12a ArbGG auch für die Geltendmachung von Schadensersatz nach Art. 82 DSGVO und Geltendmachung eines Beseitigungsanspruchs nach Art. 17 DSGVO im Rahmen einer arbeitsrechtlichen Auseinandersetzung gilt.
Aus den Entscheidungsgründen:
Der Klägerin steht kein weiterer Schadensersatzanspruch aus Art. 82 DSGVO zu.
Dabei kann dahinstehen, ob der zugesprochene immaterielle Schadensersatz nicht bereits zu hoch war, da die Beklagte insoweit zur Verknappung des Prozessstoffes keine Anschlussberufung eingelegt hat.
Die erkennende Kammer tritt den Überlegungen des Arbeitsgerichts zur Bemessung des immateriellen Schadens bei der versehentlichen Aufrechterhaltung der Sichtbarkeit des PDF mit dem Profil der Klägerin auf dem Server der Beklagten bei. Der Verschuldensgrad ist sehr gering. Nach der Umstellung des Dateiformats des Internetauftritts im Jahr 2015 liegt eine Nachlässigkeit der Beklagten vor, nicht vollumfänglich geprüft zu haben, ob weiterhin alte Dateiformate abrufbar waren. Zum Zeitpunkt der Umstellung war zudem die Klägerin als Arbeitnehmerin und Lehrende der Beklagten nicht berechtigt, die Löschung des PDF zu verlangen, da die Darstellung der Lehrenden für eine Hochschule unverzichtbarer Inhalt eines Internetauftritts und damit der erforderlichen Datenverarbeitung war.
Richtig hat das Arbeitsgericht auch gewertet, dass die Intensität der Rechtsverletzung marginal war. Die veröffentlichen Tatsachen über die Klägerin waren inhaltlich richtig, allein das Logo der Beklagten auf dem Profil ermöglichten nach dem Ende des Arbeitsverhältnisses den fehlerhaften Rückschluss, die Klägerin sei auch im Zeitpunkt des Abrufs des PDF noch Lehrende der Beklagten. Zwar mag es sein, dass das PDF unter den ersten zehn Einträgen der Suchmaschine Google bei einer Suche nach dem Namen der Klägerin erschien. Wie viele Personen tatsächlich dann das PDF angeklickt haben, um es vollständig zu lesen (nach dem Vortrag der Beklagten, welcher nicht bestritten wurde, soll es nur zwei Zugriffe gegeben haben), ist nicht nachgewiesen.
Allerdings hat die Klägerin keine Rückmeldung von Dritten zu diesem veralteten Profil erhalten und im Prozess vorgetragen. Entscheidend für die Intensität der Wahrnehmung des PDF wäre hierbei, welche Suchergebnisse die ersten neun Google Einträge beinhalteten. Üblicherweise werden bei einer Namenssuche, die einer Personeninfo dienen soll, die Einträge in der Reihenfolge ihres Erscheinens angeschaut, da dem Googlenutzer bekannt ist, dass die Einträge mit den meisten Klicks, in der Regel aber auch die neueren Beiträge zuerst angezeigt werden. Ob dann der Googlenutzer überhaupt spätere Einträge öffnet, hängt damit davon ab, ob das Informationsbedürfnis bei der Namenssuche bereits vorher ausreichend befriedigt ist. Da das PDF auch nur eine relativ kurze Zeit nach dem Ende des Arbeitsverhältnisses überhaupt auffindbar war, aber niemand Kontakt zur Klägerin gesucht hat, um ihr von der fehlerhaften Veröffentlichung Mitteilung zu machen, kann davon ausgegangen werden, dass das bei Google auffindbare Suchsuchergebnis für Personen, die sich für die Klägerin interessierten und deshalb ihren Namen gegoogelt haben, eher uninteressant war.
Es kann auch ausgeschlossen werden, dass sich eine Vielzahl von Googlenutzern nach dem Lesen des PDF der Homepage der Beklagten zugewandt haben. Denn eine direkte Verlinkung war nicht gegeben. Um die Homepage der Beklagten aufzurufen hätte ein Benutzer diese in eine neue Suchmaske eingeben müssen. Dann allerdings hätte er sofort feststellen können, dass die Klägerin nicht mehr zu den Lehrenden gehört.
Fernliegend ist auch die von der Klägerin angezogene Lizenzanalogie. Es ist nicht erkennbar, dass für die Beklagte irgendein Mehrwert durch die kurzzeitige Aufrechterhaltung der Sichtbarkeit des PDF mit dem Profil der Klägerin und dem Logo der Beklagten im Internet verbunden war. Ein potentieller Studierender, der tatsächlich überlegt, einen Vertrag mit der Beklagten abzuschließen, wird sich zuvor genauer und aktuell über die Homepage der Beklagten mit deren Lehrangeboten auseinandersetzen. Dabei war unmittelbar festzustellen, dass die Klägerin nicht mehr zu den Lehrenden zählt. Wenn es gleichwohl zum Vertragsschluss kam, so war dies jedenfalls dann unabhängig von der Person der Klägerin.
Auch ein Reputationsschaden der Klägerin ist fernliegend. Sie beachtet dabei nicht, dass es auch eine große Anzahl von Personen gibt, die die Beklagte schätzen und dadurch die Klägerin somit an einer positiven Bewertung der Beklagten mittelbar teilhaben lassen. Insbesondere die Studierenden, die bei der Evaluation angegeben haben, mit den Leistungen der Beklagten zufrieden zu sein und alle Personen, die die Beklagte für eine gute Hochschule halten, nützen damit der Reputation der Klägerin. Damit ist ein Interesse an einer Nutzung des PDFs durch die Beklagte schon nicht gegeben. Ein hypothetischer „Verkaufswert“ ist nicht feststellbar.
Eine Erhöhung des immateriellen Schadensersatzes war auch nicht angezeigt, um zukünftige Verstöße zu vermeiden. Bereits das vorliegende Verfahren sowie die Rüge durch die Landesdatenschutzbeauftragte sind geeignet, bei der Beklagten den auch vom Schadensersatz erwünschten erzieherischen Effekt zu erzielen.
Der Klägerin steht der Ersatz der vorgerichtlichen Anwaltskosten wegen des geltend gemachten Anspruchs auf Entfernung des PDF nach Art. 17 Abs. 1 DSGVO nicht zu.
Unabhängig von den späteren Ausführungen zu § 12a ArbGG und dessen Geltung im Rahmen des Schadensersatzanspruchs nach Art. 82 DSGVO handelt es sich bei Art. 17 DSGVO um den Löschungsanspruch. Zwar mag es richtig sein, dass der deutsche Gesetzgeber insgesamt keine Einschränkung der in der DSGVO niedergelegten Rechte vornehmen kann, jedoch handelt es sich bei der Anwendbarkeit von § 12a ArbGG auf den Beseitigungsanspruch nicht um eine Ausgestaltung des Beseitigungsanspruchs. Die Kosten des Beseitigungsanspruchs regelt die DSGVO nicht, so dass es bei den allgemeinen deutschen Regeln aus § 12a ArbGG verbleibt..
Zudem folgt die erkennende Kammer im Übrigen der Kommentierung von Däubler 2. Aufl. EU DSGVO, Art. 82 Rn. 14 sowie Plath Becker, 2. Aufl., BDSG/DSGVO Art. 82 Nr. 8. Danach ist in all den Fällen, in denen die DSGVO keine ausdrückliche Regelung enthält, nationales Recht anwendbar. Damit sind jedenfalls auf die vorliegenden Ansprüche die allgemeinen Grundsätze über Mitverschulden, Verjährungsfristen und prozessuale Behandlung der Ansprüche anwendbar.
Vorliegend gilt für den Beseitigungsanspruch, dass die Klägerin auch nach dem Ende des Arbeitsverhältnisses eine minimale Rücksichtnahme auf die Interessen der Beklagten hätte nehmen müssen. Diese hätte darin bestanden, die Beklagte durch einen kurzen Anruf, ein E-Mail oder auch eine andere schriftliche Notiz darauf aufmerksam zu machen, dass das PDF mit dem Profil der Klägerin im Internet noch abrufbar war. Erst dann, wenn die Beklagte hierauf nicht reagiert hätte, hätte die Klägerin sich anwaltlicher Hilfe bedienen können. Ohne vorherige Abmahnung war die Einschaltung eines Prozessbevollmächtigten nicht erforderlich, sodass die hierfür angefallenen Kosten nicht erstattungsfähig sind. Gerade das Rechtsinstitut der Abmahnung ist die Ausformung der gegenseitigen Rücksichtnahme im Arbeitsverhältnis und konkretisiert, dass dem Vertragspartner, auch dann, wenn der Vertrag beendet ist, zunächst die Gelegenheit eingeräumt werden muss, sein nachvertragliches Verhalten gesetzeskonform auszugestalten.
Hinsichtlich der weiteren Kostenerstattungsforderungen legt die erkennende Kammer Art. 82 DSGVO dahingehend aus, dass dieser nur den primären Schadensersatz hinsichtlich der immateriellen Schäden/Persönlichkeitsrechtsverletzungen, die durch einen Verstoß gegen die DSGVO entstanden sind, regelt. Sekundäre Schäden wie Vermögensschäden, die durch die Rechtsverfolgung des immateriellen Schadensersatzanspruchs entstehen, sind von der DSGVO nicht erfasst und bleiben damit entsprechend der Kommentierung bei Däubler (siehe oben) der Regelung durch nationales Recht vorbehalten.
Im Übrigen stellt die Regelung des § 12a ArbGG und die von der Rechtsprechung hieraus hergeleitete Wirksamkeit auch im materiellen Kostenerstattungsrecht letztlich keine Einschränkung des Schadensersatzes oder gar einen Nachteil von Arbeitnehmern dar, die von Datenschutzverstößen ihre Arbeitgeber betroffen sind. Denn durch die fehlende Kostenerstattung ist der Schadensersatz geltend machende Arbeitnehmer durchaus frei, wenigstens in erster Instanz einen höheren Anspruch geltend zu machen, ohne hierbei im Fall des Unterliegens die Kosten des Gegners erstatten zu müssen. Die Regelung fördert also sogar den Zweck des Art. 82 DSGVO, in dem sie das Risiko des Arbeitnehmers, einen zu hohen Schadensersatzbetrag zu fordern, absenkt. Vorliegend wäre aber jedenfalls bei einer Unanwendbarkeit des §12a ArbGG der Anteil der von der Klägerin der Beklagten zu erstattenden Kosten höher als umgekehrt. Die Regelung stellt sich damit ohnehin nicht als Einschränkung des Schadensersatzanspruchs, sondern da sie in beide Richtungen wirkt, als neutrale Kostenverteilungsregelung dar.
Wegen der zu hohen Klageforderung und des Unterliegens (mit Kostenpflicht) im Berufungsverfahren ist der Selbstbehalt der Klägerin bei ihrer Rechtsschutzversicherung ohnehin angefallen. Dieser und eine mögliche Beitragsverschlechterung sind damit unabhängig vom erstinstanzlichen Streit angefallen, so dass ein Schadensersatz durch die Beklagte wegen Verschlechterung der Rechtsschutzkonditionen keines falls geschuldet ist.
Das ArbG Dresden hat 1.500 EURO Schadensersatz aus Art 82 Abs.1 DSGVO für die unberechtigte Weitergabe von Gesundheitsdaten durch einen ehemaligen Arbeitgeber an eine Behörde zugesprochen.
Das LG Hamburg hat entschieden, dass kein Anspruch auf Ersatz immaterieller Schäden bzw. Schmerzensgeld aus Art. 82 DSGVO allein aufgrund eines Verstoßes gegen die Normen der DSGVO besteht. Vielmehr muss auch tatsächlich ein Schaden z.B. durch eine Persönlichkeitsrechtsverletzung entstanden sein.
Aus den Entscheidungsgründen:
1) Der Klägerin steht gegen den Beklagten ein Anspruch auf Erstattung der Abmahnkosten zu, allerdings nur nach einem Gegenstandswert von € 3.000,--.
Dabei kann dahinstehen, ob der Anspruch auf § 1004 Abs. 1 BGB analog, § 823 Abs. 1 BGB oder auf § 1004 Abs. 1 BGB analog, § 823 Abs. 2 BGB, Art. 6 Abs. 1, 17 Abs. 1 lit. d DSGVO gestützt wird, da in jedem Fall eine Abwägung der Interessen zugunsten der Klägerin ausfällt.
Der Beklagte ist Verantwortlicher i.S.d. Art. 4 Nr. 7 DSGVO für die ordnungsgemäße Verarbeitung der personenbezogenen Daten (Art. 4 Nr. 1 DSGVO) der Klägerin. Er hat die Daten der Klägerin durch die Erfassung in dem Terminsformular seiner Webseite verarbeitet und durch die öffentliche Freischaltung auch verbreitet (Art. 4 Nr. 2 DSGVO). In die Verbreitung ihrer Daten hat die Klägerin auch nicht eingewilligt.
Der Beklagte kann sich nicht durch einen Verweis auf seinen Dienstleister exkulpieren, da dies nichts an der Verantwortlichkeit des Beklagten ändert.
Die Höhe des Erstattungsanspruchs richtet sich nach dem zugrunde liegenden Gegenstandswert, welcher mit € 3.000,-- anzusetzen ist, § 2 Abs. 1 RVG. Der Gegenstandswert ist nach § 23 Abs. 3 S. 2 RVG nach billigem Ermessen festzusetzen. Es liegen auch die notwendigen tatsächlichen Anhaltspunkte für eine Schätzung vor, so dass nicht von einem Regelstreitwert i.H.v. € 5.000,-- nach § 23 Abs. 3 S. 2 HS 2 RVG auszugehen ist. Insbesondere sind der Umfang und die Bedeutung der Sache zu berücksichtigen. Vorliegend handelt es sich um einen Vorfall von geringem Umfang und nicht erheblicher Bedeutung. Die Daten der Klägerin wurden vom Beklagten zwar im Internet frei verfügbar abrufbar vorgehalten, allerdings nur über einen Zeitraum von nicht mehr als ca. 6 Wochen.
Allerdings verbreitete der Beklagte die Daten nicht aktiv, indem er auf diese z.B. auf seiner Webseite oder in anderer Weise hingewiesen hätte. Die regelmäßig von der Kammer angenommenen Streitwerte für eine pressemäßige Verbreitung sind damit nicht zugrunde zu legen. Der Verstoß war auch leicht feststellbar. Die Bedeutung der Sache erscheint zuletzt auch deshalb nicht besonders erheblich, weil die Daten zwar private, wohl aber nicht intime Aspekte der Klägerin betrafen.
Zusammenfassend ist der Gegenstandswert daher mit € 3.000,-- richtig bemessen.
Auch die von der Klägerin angeführten und von anderen Gerichten getroffenen Festsetzungen von Gegenstandswerten führen bereits deshalb zu keiner anderen Einschätzung, da dort Datenschutzverstöße gegenständlich waren, die – soweit erkennbar – jeweils erheblich größeren Ausmaßes waren.
Der Zahlungsanspruch nebst Zinsen bemisst sich i.Ü. wie vom Amtsgericht dargelegt, so dass auf die dortigen zutreffenden Ausführungen verwiesen wird.
2) Der Klägerin steht gegen den Beklagten auch kein Anspruch auf Ersatz immaterieller Schäden („Schmerzensgeld“) aus Art. 82 DSGVO oder sonst einem rechtlichen Aspekt zu. Für die Zubilligung eines Schadensersatzanspruchs bedarf es des Eintritts eines Schadens. Diesen hat die Klägerin weder dargelegt noch ist er sonst ersichtlich. Allein der Verstoß gegen datenschutzrechtliche Vorschriften führt nicht zu einer Verpflichtung des Verantwortlichen zur Zahlung von Schadensersatz (so auch LG Karlsruhe, Urteil vom 2.8.2019 – 8 O 26/19 = ZD 2019, 511). Voraussetzung eines Anspruchs auf Schadensersatz aus Art. 82 Abs. 1 DSGVO, der im nationalen Recht unmittelbar Anwendung findet und andere Anspruchsgrundlagen nicht ausschließt (Nemitz, in: Ehmann/Selmayr, DS-GVO, 2. Aufl., Art. 82 Rn. 7), ist ein Verstoß gegen die DSGVO und ein hierdurch verursachter Schaden, was ein Kläger darzulegen und zu beweisen hat (LG Karlsruhe a.a.O.).
Nach dem Erwägungsgrund 146 ist der Begriff des Schadens weit auszulegen, so dass Betroffene einen wirksamen Ersatz erhalten. Erwägungsgrund 85 besagt, dass eine Verletzung des Schutzes personenbezogener Daten einen physischen, materiellen oder immateriellen Schaden für natürliche Personen – wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung oder Rufschädigung – nach sich ziehen kann, wenn nicht rechtzeitig und angemessen reagiert wird.
Es bedarf danach zwar keiner schweren Verletzung des Persönlichkeitsrechts, um einen immateriellen Schaden geltend zu machen (Gola/Piltz, DS-GVO, 2. Aufl., Art. 82 Rn. 13). Dennoch führt nicht bereits jeder Verstoß gegen die DSGVO zu einer Ausgleichspflicht, denn der Verpflichtung zum Ausgleich eines immateriellen Schadens muss eine benennbar und insoweit tatsächliche Persönlichkeitsverletzung gegenüberstehen, die z.B. in der mit einer unrechtmäßigen Zugänglichmachung von Daten liegenden „Bloßstellung“ liegen kann (LG Karlsruhe a.a.O.).
Eine solche „Bloßstellung“ ist vorliegend allerdings nicht erfolgt. Ferner hat die Klägerin den Eintritt von Nachteilen nicht behauptet, sondern lediglich vorgetragen, dass sie Nachteile befürchtet.
Auch der Vortrag der Klägerin zu dem von ihr abgemahnten ehemaligen Mitarbeiter bleibt unsubstantiiert. So ergibt sich aus dem Vortrag nicht, wann genau die Abmahnung erfolgt ist, so dass nachvollziehbar sein könnte, ob der betreffende Mitarbeiter überhaupt die Daten hätte abrufen können, als er ein Interesse daran hätte haben können.
Hinsichtlich der mitgeteilten Urlaubsabwesenheit erschließt sich der Kammer – im Einklang mit dem Amtsgericht – nicht, warum sich einem potentiellen Einbrecher, der nach den Daten der Klägerin gesucht hätte, hätte erschließen sollen, dass die eingetragenen Urlaubsabwesenheiten sich tatsächlich auf das Jahr 2019 beziehen sollten. Denn aus dem Anmeldeformular (Anlage K2) ergibt sich insbesondere nicht, dass dieses abgesendet wurde, als die in dem Formular mitgeteilten Zeiten bereits verstrichen waren.
Die Klägerin hat zuletzt auch nicht behauptet, das der unberechtigten Veröffentlichung der Wohnungsanzeige auf Immonet die auf der Webseite des Beklagten verfügbaren Daten zugrunde gelegen hätten.
Auch der Hinweis der Klägerin auf das Urteil des Arbeitsgerichts Düsseldorf (BeckRS 2020, 11910) führt zu keiner anderen Einschätzung. Dort hat das Gericht einen auf Art. 82 Abs. 1 DSGVO gestützten Schadensersatzanspruch angenommen, nachdem der Auskunftsanspruch des dortigen Klägers aus Art. 15 Abs. 1 DSGVO verletzt worden war. Dieser Verstoß hielt nach den Ausführungen des Gerichts offenbar mindestens fünf Monate an, in denen der Kläger über die Datenverarbeitung durch die Beklagte im Ungewissen war. Damit dürfte anzunehmen sein, dass der dortige Verantwortliche im Einklang mit Erwägungsgrund 85 „nicht rechtzeitig und angemessen reagiert“ hatte, was sodann den Eintritt des konkreten Nachteils, nämlich der Ungewissheit des dortigen Klägers, hätte nach sich ziehen können.
Insoweit handelt es sich allerdings um einen anderen und nicht mit dem hiesigen vergleichbaren Fall, da hier von einer deutlich kürzeren Zeitspanne der freien Abrufbarkeit der Daten auszugehen ist, und die Klägerin nicht erfolglos einen Auskunftsanspruch gegen den Beklagten geltend machte.
Die Kammer kann abschließend auch nicht erkennen, warum und inwieweit die Rechtsprechung zur Verletzung des Rechts am eigenen Bild im Internet analog heranzuziehen wäre. Weder begründet eine derartige Verletzung ohne weiteres einen Schadensersatzanspruch noch liegt eine vergleichbare Interessenlage notwendiger Weise vor.
Das ArbG Düsseldorf hat entschieden, dass einem ehemaligen Arbeitnehmer 5.000 EURO Schadensersatz aus Art 82 Abs. 1 DSGVO wegen nicht ausreichender Auskunftserteilung nach Art. 15 DSGVO gegen den ehemaligen Arbeitgeber zusteht.
Aus den Entscheidungsgründen:
d) Der Klageantrag zu 4) ist zu einem kleinen Teil begründet. Der Kläger hat gegen die Beklagte Anspruch auf Schadensersatz iHv. 5.000 € aus Art. 82 Abs. 1 E. nebst Zinsen.
aa) Auch Art. 82 Abs. 1 E. findet im nationalen Recht unmittelbar Anwendung (LG Karlsruhe 2. August 2019 – 8 O 26/19 –).
bb) Die Beklagte als für die Verarbeitung der personenbezogenen Daten des Klägers iSd. Art. 4 Ziff. 7 E. Verantwortliche hat gegen die E. verstoßen. Nach Art. 82 Abs. 1 E. kann jeder „Verstoß gegen die Verordnung“ eine Schadensersatzpflicht begründen (Wybitul/Haß/Albrecht, NJW 2018, 113).
(1) Die Beklagte hat zum einen gegen die Vorgabe aus Art. 12 Abs. 3 S. 1-3 E. verstoßen, wonach ua. ein Auskunftsantrag nach Art. 15 E. binnen einen Monats nach Eingang, nach einer Unterrichtung über eine Fristverlängerung binnen zwei weiteren Monaten zu beantworten ist. Die Kammer ist davon überzeugt, dass das Auskunftsgesuch des Klägers der Beklagten am 07.06.2018 zugegangen ist (s. oben I. 2. b) aa) (2) (b) der Entscheidungsgründe). Die Auskunft war am 07.07.2018, spätestens am 07.09.2018 zur Erteilung fällig, wurde aber erstmals am 10.12.2018 mit Übergabe des für die Einsicht in die elektronisch hinterlegten Unterlagen notwendigen Passwortes erbracht.
(2) Zum anderen hat die Beklagte gegen Art. 15 Abs. 1 lit. a und lit b iVm. Art. 12 Abs. 1 S. 1 E. verstoßen, indem sie nicht hinreichend über die Verarbeitungszwecke und die Kategorien personenbezogener Daten, die verarbeitet werden, unterrichtet hat (s. oben I. 2. b) aa) (3) und cc) der Entscheidungsgründe).
(3) Im Schriftsatz vom 23.12.2019 führt der Kläger aus, dass ein weiterer Verstoß gegen die E. darin bestehe, dass die Datenübermittlungsvereinbarung nicht vollständig vorgelegt worden sei. Indes ist die E. dadurch nicht verletzt. In Anbetracht der hier erfolgten Datenübermittlung vorbehaltlich geeigneter Garantien iSd. Art. 46 E. ist im Rahmen des Auskunftsrechts nach Art. 15 Abs. 2 E. nur über die geeigneten Garantien zu unterrichten. Dies ist geschehen (s. oben I. 2. b) ee) der Entscheidungsgründe).
(4) Soweit der Kläger verschiedentlich andere Datenverarbeitungen der Beklagten vorträgt und zum Ausdruck bringt, diese seien datenschutzwidrig, sind keine weiteren Verstöße gegen die E. dargetan, für die die Beklagte nach Art. 82 Abs. 1 E. haftbar wäre. Offensichtlich benennt der Kläger Ereignisse während des noch laufenden Arbeitsverhältnisses, das ab Geltung der E. ab dem 25.05.2018 bereits beendet war.
cc) Die Beklagte hat nicht dargetan, für die Verstöße nicht verantwortlich zu sein, sodass gemäß Art. 82 Abs. 3 E. eine Haftung entfiele. Insbesondere muss sie sicherstellen, dass sie Betroffenengesuche nach Art. 12 ff. E. auch dann erreichen, wenn rechtsgeschäftlich oder kraft Verkehrsanschauung ein Empfangsbote zur Entgegennahme von Willenserklärungen berechtigt ist.
dd) Verursacht durch die genannten Verstöße hat der Kläger, der keinen materiellen Schaden vorgetragen hat, einen immateriellen Schaden iSd. Art. 82 Abs. 1 E. erlitten. Der Begriff des Schadens ist weit auf eine Art und Weise auszulegen, die den Zielen der E. in vollem Umfang entspricht (EG 146; Bergt, in Kühling/Buchner, E./BDSG, 2. Aufl., Art. 82 Rn. 17; Frenzel, in Paal/Pauly, E./BDSG, 2. Aufl., Art. 82 Rn. 10 mwN.). Ein immaterieller Schaden entsteht nicht nur in den „auf der Hand liegenden Fällen“, wenn die datenschutzwidrige Verarbeitung zu einer Diskriminierung, einem Verlust der Vertraulichkeit, einer Rufschädigung oder anderen gesellschaftlichen Nachteilen führt, sondern auch, wenn die betroffene Person um ihre Rechte und Freiheiten gebracht oder daran gehindert wird, die sie betreffenden personenbezogenen Daten zu kontrollieren (EG 75). Indem die Beklagte die Vorgaben aus Art. 15 Abs. 1 Hs. 1, Hs. 2 lit. a, b iVm. Art. 12 Abs. 1, 3 E. verletzt hat, hat sie das Auskunftsrecht des Klägers – das zentrale Betroffenenrecht – beeinträchtigt (vgl. Ehmann, in Ehmann/Selmayr, E., 2. Aufl., Art. 15 Rn. 1 mwN.; Bäcker, in Kühling/Buchner, E./BDSG, 2. Aufl., Art. 5 Rn. 1). Verletzt ist zugleich ein europäisches Grundrecht des Klägers; Art. 8 Abs. 2 S. 2 GRCh gewährleistet das Auskunftsrecht ausdrücklich. Durch die monatelang verspätete, dann unzureichende Auskunft war der Kläger im Ungewissen und ihm die Prüfung verwehrt, dann nur eingeschränkt möglich, ob und wie die Beklagte seine personenbezogenen Daten verarbeitet. Die Schwere des immateriellen Schadens ist für die Begründung der Haftung nach Art. 82 Abs. 1 E. irrelevant und wirkt sich nur noch bei der Höhe des Anspruchs aus (LG Karlsruhe 2. August 2019 – 8 O 26/19 –; Gola/Pitz, in Gola, E., 2. Aufl., Art. 82 Rn. 13 mwN. der restriktiveren Rspr. zu § 823 Abs. 1 BGB iVm. Art. 1 Abs. 1, Art. 2 Abs. 1 GG).
ee) Zum Ersatz dieses immateriellen Schadens hält die Kammer einen Betrag iHv. 5.000 € für geboten, aber auch ausreichend.
(1) Die betroffene Person soll einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten (EG 146). Verstöße müssen effektiv sanktioniert werden, damit die E. wirken kann, was vor allem durch Schadensersatz in abschreckender Höhe erreicht wird (Wybitul/Haß/Albrecht, NJW 2018, 113, 115; Bergt, in Kühling/Buchner, E./BDSG, 2. Aufl., Art. 82 Rn. 18; Frenzel, in Paal/Pauly, E./BDSG, 2. Aufl., Art. 82 Rn. 10 mwN.). Gerichte können sich bei der Bemessung des immateriellen Schadensersatzes auch an Art. 83 Abs. 2 E. orientieren, sodass als Zumessungskriterien unter anderem Art, Schwere, Dauer des Verstoßes, Grad des Verschuldens, Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens, frühere einschlägige Verstöße sowie die Kategorien der betroffenen personenbezogenen Daten betrachtet werden können (Quaas, in BeckOK Datenschutzrecht, 31. Edition, Art. 31; Wybitul/Haß/Albrecht, NJW 2018, 113, 115). Die Mitgliedsstaaten – auch die erkennende Kammer – sind nach dem Gedanken des Art. 4 Abs. 3 EUV verpflichtet, der E. zur Wirkung zu verhelfen.
(2) Den Grundsätzen entsprechend muss die Beklagte einen Schadensersatz iHv. insgesamt 5.000 € zahlen. Dabei hat die Kammer berücksichtigt, dass der europäische Verordnungsgeber das verletzte Recht als bedeutsam einordnet, wie sich neben Art. 8 Abs. 2 S. 2 GRCh auch an der Zuordnung der Art. 12 ff. E. zu dem Katalog des § 83 Abs. 5 E. zeigt. Es handelt sich eben nicht nur um ein einfaches Arbeitspapier. Weiter hielt der Verstoß einige Monate an, in denen der Kläger über die Datenverarbeitung durch die Beklagte im Ungewissen war. Der Zeitraum vom 08.07. bis 07.09.2018 fiel dabei weniger stark ins Gewicht als die etwa drei Monate bis zum 10.12.2018, da Art. 12 Abs. 3 S. 2 E. dem Antragssteller – wenn auch nach Unterrichtung über eine Fristverlängerung – zumutet, bis zu drei Monate auf die Auskunft zu warten. Außerdem sind die Anforderungen an die zu erteilende Auskunft nicht nur zeitlich, sondern auch inhaltlich verletzt. Überdies war der nach Vortrag des Klägers beträchtliche Umsatz der Beklagten zu berücksichtigen. (Der Vortrag ist unstreitig, doch ist fraglich, ob es sich um den Umsatz der Beklagten oder der I. insgesamt handelt.) Da der Schadensersatz eine angemessene Wirkung erzielen soll, hängt dessen Höhe nicht nur vom eingetretenen immateriellen Schaden, sondern auch von dem nach Art. 4 Ziff. 7 E. Verantwortlichen und dessen Finanzkraft ab. Mit anderen Worten: Die Verletzung der Auskunftspflicht aus Art. 15 E. durch einen finanzschwächeren Verantwortlichen würde zu geringerem Schadensersatz führen.
Zu Gunsten der Beklagten wird berücksichtigt, dass von fahrlässigen Verstößen auszugehen ist. Anhaltspunkte für Vorsatz, mithin die bewusste und gewollte verspätete, dann intransparente Reaktion auf das Auskunftsgesuch, sind nicht ersichtlich. Auch sind keine anderen Verstöße der Beklagten gegen die E. dargetan. Des Weiteren erschließt sich der Kammer nicht, warum die Höhe der Vergütung des Klägers in die Bemessung des Schadensersatzes einfließen sollte. Die Schwere des entstandenen immateriellen Schadens, der vor allem in der Ungewissheit über die Verarbeitung seiner Daten besteht, hängt nicht davon ab, wieviel er verdient. Auch sind besondere Kategorien personenbezogener Daten iSd. Art. 9 E. nicht substantiell betroffen. Endlich ist trotz der Bedeutung des Auskunftsrechts des Art. 15 E. nicht zu verkennen, dass mit dem vom Kläger herangezogenen Bußgeldrahmen des § 83 Abs. 5 E. auch noch weit gravierende Persönlichkeitsrechtsverletzungen sanktioniert werden sollen und die Verhältnismäßigkeit zu wahren ist. Der dem Kläger entstandene immaterielle Schaden ist nicht erheblich.
Unter Berücksichtigung all dessen hat die Kammer für die ersten zwei Monate der Verspätung jeweils 500 €, für die weiteren etwa drei Monate jeweils 1.000 € und für die beiden inhaltlichen Mängel der Auskunft jeweils 500 € angesetzt.
ff) Die zugesprochenen Zinsen folgen aus §§ 291, 288 Abs. 1 BGB.
e) Die Klageanträge zu 5) bis 7) sind unbegründet. Eine Rechtsgrundlage, auf die der Kläger die damit verfolgten Begehren stützen könnte, ist nicht ersichtlich, worauf die Beklagte zutreffend hingewiesen hat.
Im Zusammenhang mit der hier vorliegenden Datenübermittlung vorbehaltlich geeigneter Garantien gemäß § 46 E. ergibt sich die besondere Auskunftspflicht aus Art. 15 Abs. 2 E.. Diese hat die Beklagte erfüllt (s. oben I. 2. b) aa) (3) und ee) der Entscheidungsgründe).
Das ArbG Lübeck hat im Rahmen eines Prozesskostenhilfebeschlusses entschieden, dass bei Veröffentlichung eines Mitarbeiterfotos durch den Arbeitgeber auf der Facebook-Seite des Unternehmens ohne Einwilligung des Arbeitnehmers aus Art. 82 Abs. 1 DSGVO ein Anspruch auf Schadensersatz von bis zu 1.000,00 EURO bestehen kann.
Das AG Bochum hat im Rahmen eines Prozesskostenhilfeverfahrens entschieden, dass ein Anspruch auf Schadensersatz wegen eines Verstoßes gegen Art. 32 DSGVO durch Versendung unverschlüsselter E-Mails nur dann im Betracht kommt, wenn ein konkreter Schaden entstanden ist und dieser schlüssig dargelegt wird.
Aus den Entscheidungsgründen:
Prozesskostenhilfe konnte nicht bewilligt werden, da die beabsichtigte Rechtsverfolgung keine hinreichende Aussicht auf Erfolg bietet.
Die Antragsgegnerin ist mit Beschluss des Amtsgerichts Recklinghausen vom 16.05.2018 als Berufsbetreuerin zur Betreuerin des Antragstellers bestellt worden. Die Aufgabenkreise umfassten Vermögensangelegenheiten, Wohnungsangelegenheiten und Vertretung gegenüber Behörden und Sozialversicherungsträgern. Die Betreuerin vertrat den Betreuten im Rahmen ihres Aufgabenkreises gerichtlich und außergerichtlich. Die Bestellungsurkunde diente als Ausweis. Seit Juni 2018 ist die Betreuung aufgehoben.
Nach dem Vortrag des Antragstellers soll die Antragsgegnerin Daten und Informationen bezüglich des Antragstellers an dessen Vermieter und an weitere Stellen herausgegeben haben. Weder welche konkreten Daten und Informationen wann genau herausgegeben worden sein sollen noch an welche weiteren Stellen die Herausgabe erfolgte, ist von dem Antragsteller substantiiert dargelegt. Da die Betreuung auch den Aufgabenkreis der Wohnungsangelegenheiten umfasste, gehört die Offenlegung der Betreuung unter Vorlage der Bestellungsurkunde wie auch die Erörterung der Einkommens- und Vermögensverhältnisse bezogen auf die mietvertraglichen Pflichten zur Erfüllung der rechtlichen Verpflichtungen des Antragsgegnerin aus der Betreuung und ist damit auch ohne Einwilligung des Antragstellers nach Art. 6 DSGVO rechtmäßig. Dies gilt naturgemäß auch für die Mitteilung der Beendigung der Betreuung, wenn die Antragsgegnerin noch seitens des Vermieters in mietrechtlichen Angelegenheiten angesprochen wird. Eine darüber hinausgehende Übermittlung personenbezogener Daten durch die Antragsgegnerin ist nicht dargelegt. Ein Verstoß gegen Datenschutzregeln oder die Schweigepflicht ergibt sich aus dem Vorbringen des Antragstellers nicht.
Die Übersendung der Bestellungsurkunde an den jetzigen Prozessbevollmächtigten des Antragstellers am 30.05.2018 an sich ist aus den dargelegten Gründen ebenfalls rechtmäßig. Die Versendung als unverschlüsselte Email mag gegen Art. 32 DSGVO verstoßen. Dass aufgrund der Wahl eines ungesicherten Übertragungsweges persönliche Daten und Informationen bez. des Antragstellers unbefugten Dritten tatsächlich bekannt geworden sind, ist weder dargelegt noch ersichtlich. Damit ergibt sich aber auch nicht, dass dem Antragsteller wegen eines eventuell gegebenen Verstoßes ein irgendwie gearteter materieller oder immaterieller Schaden entstanden ist.
Ein Anspruch aus Art. 82 DSGVO ist im Ergebnis nicht schlüssig dargelegt und die Rechtsverfolgung bietet keine hinreichende Aussicht auf Erfolg.
