Das Bundesverfassungsgericht hat entschieden, dass streitrelevante Fragen zur Auslegung des Geldentschädigungsanspruchs aus Art. 82 DSGVO dem EuGH zur Entscheidung vorgelegt werden müssen, da insofern noch keine erschöpfende Klärung durch den EuGH erfolgt ist und viele offene Rechtsfragen bestehen.
Aus den Entscheidungsgründen:
Die Kammer nimmt die zulässige Verfassungsbeschwerde zur Entscheidung an und gibt ihr statt, weil dies zur Durchsetzung des als verletzt gerügten Rechts des Beschwerdeführers auf den gesetzlichen Richter gemäß Art. 101. Abs. 1 Satz 2 GG angezeigt ist, § 93a Abs. 2 Buchstabe b BVerfGG. Diese Entscheidung kann von der Kammer getroffen werden, weil die maßgeblichen verfassungsrechtlichen Fragen durch das Bundesverfassungsgericht bereits entschieden sind und die Verfassungsbeschwerde danach offensichtlich begründet ist, § 93c Abs. 1 Satz 1 BVerfGG.
1. Das Amtsgericht hat das Recht des Beschwerdeführers auf den gesetzlichen Richter verletzt, indem es aufgrund der teilweisen Klageabweisung, der dadurch für den Beschwerdeführer nicht erreichten Berufungsbeschwer (§ 511 Abs. 2 Nr. 1 ZPO) und der nicht zugelassenen Berufung letztinstanzlich tätig geworden ist und entgegen Art 267 Abs. 3 AEUV von einem Vorabentscheidungsersuchen an den Gerichtshof der Europäischen Union abgesehen hat
a) Der Gerichtshof der Europäischen Union ist gesetzlicher Richter im Sinne des Art. 101 Abs. 1 Satz 2 GG (vgl. BVerfGE 73,339 <366>; 82, 159 <192>; 126, 286 <315>; 128, 157 <186 f.>; 129,78 <105>; 135, 155 <230 f. Rn. 177>). Unter den Voraussetzungen des Art. 267 Abs. 3 AEUV sind die nationalen Gerichte von Amts wegen gehalten, den Gerichtshof anzurufen (vgl. BVerfGE 82, 159 <192 f.>; 128, 157 <187>; 129,78 <105». Es kann einen Entzug des gesetzlichen Richters darstellen, wenn ein nationales Gericht seiner Pflicht zur Anrufung des Gerichtshofs im Wege des Vorabentscheidungsverfahrens nach Art. 267 Abs. 3 AEUV nicht nachkommt (vgl. BVerfGE 73, 339 <366 f.>; 82, 159 <192 ff.>; 135, 155 <230 f. Rn.177>; st Rspr).
Nach der Rechtsprechung des Gerichtshofs der Europäischen Union (EuGH, Urteil vom 6. Oktober 1982, C.I.L.F.I.T., C-283/81, EU:C:1982:335, Rn. 21; Urteil vom 15. September 2005, C-495/03, EU:C:2005:552, Rn. 33; Urteil vom 6. Dezember 2005, C-461/03, EU:C:2005:742, Rn. 16; st Rspr) muss ein nationales letztinstanzliches Gericht seiner Vorlagepflicht nachkommen, Wenn sich in einem bei ihm schwebenden Verfahren eine Frage des Unionsrechts stellt, es sei denn, das Gericht hat festgestellt, dass die gestellte Frage nicht entscheidungserheblich ist, dass die betreffende unionsrechtliche Bestimmung bereits Gegenstand einer Auslegung durch den Gerichtshof war (acte éclairé) oder dass die richtige Anwendung des Unionsrechts derart offenkundig ist, dass für einen vernünftigen Zweifel keinerlei Raum bleibt (acte clair) (vgl. auch BVerfGE 82, 159 <193>; 128, 157 <187>; 129,78 <105 f.>; 140,317 <376 Rn. 125>; 147,364 <378 f. Rn. 37>). Davon darf das innerstaatliche Gericht aber nur ausgehen, wenn es überzeugt ist, dass auch für die Gerichte der übrigen Mitgliedstaaten und für den Gerichtshof der Europäischen Union die gleiche Gewissheit bestünde. Nur dann darf das Gericht von einer Vorlage absehen und die Frage in eigener Verantwortung lösen (vgl. EuGH, Urteil vom 6. Oktober 1982, C.I.L.F.I.T., C-283/81, EU:C:1982:335, Rn. 16).
Diese Grundsatze gelten auch für die unionsrechtliche Zuständigkeitsvorschrift des Art. 267 Abs. 3 AEUV. Daher stellt nicht jede Verletzung der unionsrechtlichen Vorlagepflicht zugleich einen Verstoß gegen Art. 101 Abs. 1 Satz 2 GG dar (vgl. BVerfGE 126, 286 <315>; 147, 364 <380 Rn. 40>). Das Bundesverfassungsgericht überprüft nur, ob die Auslegung und Anwendung der Zuständigkeitsregel des Art. 267 Abs. 3 AEUV bei verständiger Würdigung der das Grundgesetz bestimmenden Gedanken nicht mehr verständlich erscheint und offensichtlich unhaltbar ist (vgl. BVerfGE 126, 286 <315 f.>; 128, 157 <187>; 129, 78 <106>). Durch die zurückgenommene verfassungsrechtliche Prüfung behalten die Fachgerichte bei der Auslegung und Anwendung von Unionsrecht einen Spielraum eigener Einschätzung und Beurteilung, der demjenigen' bei der Handhabung einfachrechtlicher Bestimmungen der deutschen Rechtsordnung entspricht. Das Bundesverfassungsgericht wacht allein über die Einhaltung der Grenzen dieses Spielraums (vgl. BVerfGE 126, 286 <316>). Ein "oberstes Vorlagenkontrollgericht" ist es nicht (vgl. BVerfGE 126, 286 <316>; 135, 155 <231 f. :Rn. 180>; 147, 364 <379 f. Rn. 39>; BVerfGE 13, 506 <512>; 14, 230 <233>; 16, 328 <336>; BVerfG, Beschluss der 1. Kammer des Zweiten Senats vom 9. November 1987 - 2 BvR 808/82 -, NJW 1988, S. 1456 [1457]).
Die Vorlagepflicht nach Art. 267 AEUV zur Klärung der Auslegung unionsrechtlicher Vorschriften wird in verfassungswidriger Weise gehandhabt, wenn ein letztinstanzliches Gericht eine Vorlage trotz der - seiner Auffassung nach bestehenden - Entscheidungserheblichkeit der unionsrechtlichen Frage überhaupt nicht in Erwägung zieht, obwohl es selbst Zweifel hinsichtlich der richtigen Beantwortung der Frage hat (grundsätzliche Verkennung der Vorlagepflicht; vgl. BVerfGE 82, 159 <195 f.>; 126,286 <316 f.>; 128, 157 <187 f.>; 129,78 <106 f.>; 135, 155 <232 Rn. 181>; 147,364 <380 Rn. 41>).
Gleiches gilt in den Fällen, in denen das letztinstanzliche Gericht in seiner Entscheidung bewusst von der Rechtsprechung des Gerichtshofs zu entscheidungserheblichen Fragen abweicht .und gleichwohl nicht oder nicht neuerlich vorlegt (bewusstes Abweichen von der Rechtsprechung des Gerichtshofs ohne Vorlagebereitschaft; vgl. BVerfGE 75, 223 <245>; 82,159 <195>; 126,286 <316 f.>; 128, 157 <187 f.>; 129, 78 <106 f.>; 135, 155 .<232 Rn. 182>; 147, 364 <381 Rn. 42>).
Liegt zu einer entscheidungserheblichen Frage des Unionsrechts einschlägige Rechtsprechung des Gerichtshofs der Europäischen Union noch nicht vor oder hat er die entscheidungserhebliche Frage möglicherweise noch nicht erschöpfend beantwortet oder erscheint eine Fortentwicklung der Rechtsprechung des Gerichtshofs nicht nur als entfernte Möglichkeit (Unvollständigkeit der Rechtsprechung), so wird Art. 101 Abs. 1 Satz 2 GG verletzt, wenn das letztinstanzliche Hauptsachegericht den ihm in solchen Fällen notwendig zukommenden Beurteilungsrahmen in unvertretbarer Weise überschritten hat (vgl. BVerfGE 82, 159 <195 f.>; 126, 286 <316 f.>; 128, 157 <187 f.>; 129, 78 <106 f.>; 135, 155 <232 f. Rn. 183>). Dies kann insbesondere dann der Fall sein, wenn mögliche Gegenauffassungen zu der entscheidungserheblichen Frage des Unionsrechts gegenüber der vom Gericht vertretenen Meinung eindeutig vorzuziehen sind (vgl. BVerfGE 82, 159 <195 f.>; BVerfGK 10,19 <29>). Jedenfalls bei willkürlicher Annahme eines "acte clair" oder eines "acte éclairé" durch die Fachgerichte ist der Beurteilungsrahmen in unvertretbarer Weise überschritten (vgl. BVerfGE 135, 155 <232 f. Rn. 183>; 147; 364 <381 Rn. 43>).
In diesem Zusammenhang ist auch zu prüfen, ob sich das Gericht hinsichtlich des Unionsrechts ausreichend kundig gemacht hat. Etwaige einschlägige Rechtsprechung des Gerichtshofs der Europäischen Union muss es auswerten und seine Entscheidung hieran orientieren (vgl. BVerfGE 82, 159 <196>; 128, 157 <189>). Auf dieser Grundlage muss das Fachgericht unter Anwendung und Auslegung des materiellen Unionsrechts (vgl. BVerfGE 75, 223 <234>; 128, 157 <188>; 129, 78 <107>) die vertretbare Überzeugung bilden, dass die Rechtslage entweder von vornherein eindeutig ("acte clair") oder durch Rechtsprechung in einer Weise geklärt ist, die keinen vernünftigen Zweifel offen lässt ("acte eclaine"; vgl. BVerfGE 129, 78 <107>). Hat es dies nicht getan, verkennt es regelmäßig die Bedingungen für die Vorlagepflicht. Zudem hat das Fachgericht Gründe anzugeben, die dem Bundesverfassungsgericht eine Kontrolle am Maßstab des Art. 101 Abs. 1 Satz 2 GG ermöglichen (vgl. BVerfGE 147,364 <380 f. Rn. 41>; BVerfGE 8, 401 <405>; 10, 19 <30 f.>; BVerfG, Beschluss der 2. Kammer des Ersten Senats vom 9. Januar 2001 - 1 BvR 1036/99 -, Rn. 21; Beschluss der 3. Kammer des Ersten Senats vom 20. Februar 2008 - 1 BvR 2722/06 -; Beschluss der 3. Kammer des Ersten Senats vom 25. Februar 2010 - 1 BvR 230/09 -, Rn. 19).
Bei den in der Rechtsprechung des Bundesverfassungsgerichts genannten Fallgruppen handelt es sich um eine nicht abschließende Aufzählung von Beispielen für eine verfassungsrechtlich erhebliche Verletzung der Vorlagepflicht. Für die Frage nach einer Verletzung des Rechts auf den gesetzlichen Richter gemäß Art. 101 Abs. 1 Satz 2 GG durch Nichtvorlage an den Gerichtshof der Europäischen-Union kommt es im Ausgangspunkt nicht in erster Linie auf die Vertretbarkeit der fachgerichtlichen Auslegung des für den Streitfall maßgeblichen materiellen Unionsrechts - hier der DSGVO - an, sondern auf die Beachtung oder Verkennung der Voraussetzungen der Vorlagepflicht nach der Vorschrift des Art. 267 Abs. 3 AEUV, die den gesetzlichen Richter im Streitfall bestimmt (vgl. BVerfGE 128, 157 <188>; BVerfG, Beschluss der 3. Kammer des Ersten Senats vom 25. Februar 2010 - 1 BvR 230109 -, Rn. 20; Beschluss der 2. Kammer des Ersten Senats vom 30. August 2010 - 1 BvR 1631/08, Rn. 48).
b) Unter Berücksichtigung dieser Grundsätze hat das Amtsgericht Art. 101 Abs. 1 Satz 2 GG verletzt, indem es von einem Vorabentscheidungsersuchen wegen der zu klärenden Frage, ob im vom Beschwerdeführer vorgetragenen Fall der datenschutzwidrigen Verwendung einer Email-Adresse und der Übersendung einer ungewollten Email an das geschäftliche Email-Konto des Beschwerdeführers nach Art. 82 Abs. 1 DSGVO ein Schmerzensgeldanspruch des Beschwerdeführers in Betracht kommt.
aa) Das Amtsgericht hätte nicht ohne Vorabentscheidungsersuchen an den Gerichtshof der Europäischen Union entscheiden dürfen, dass sich kein Anspruch des Beschwerdeführers aus der ohne seine, ausdrückliche Einwilligung erfolgten Übersendung der Email aus Art. 82 DSGVO ergebe, weil ein Schaden nicht eingetreten sei.
Der im Ausgangsverfahren zu beurteilende Sachverhalt warf die Frage auf, unter welchen Voraussetzungen Art. 82 Abs. 1 DSGVO einen Geldentschädigungsanspruch gewährt und welches Verständnis dieser Vorschrift insbesondere im Hinblick auf Erwägungsgrund 146 Satz 3 zu geben ist; der eine weite Auslegung des Schadensbegriffs im Lichte der Rechtsprechung des Gerichtshofs der Europäischen Union verlangt, die den Zielen der DSGVO in vollem Umfang entspricht. Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen, also diejenige natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (vgl. Art. 4 Nr. 7 DSGVO).
Dieser Geldentschädigungsanspruch ist in der Rechtsprechung des Gerichtshofs der Europäischen Union weder erschöpfend geklärt noch kann er in seinen einzelnen, für die Beurteilung des im Ausgangsverfahrens vorgetragenen Sachverhalts notwendigen Voraussetzungen unmittelbar aus der DSGVO bestimmt werden. Auch in der bislang vorliegenden Literatur, die sich im Hinblick auf Erwägungsgrund 146 wohl für ein weites Verständnis des Schadensbegriffes ausspricht, sind die Details und der genaue Umfang des Anspruchs noch unklar (vgl. Gola/Piltz, in: Gola, DSGVO, 2. Aufl., 2018, Art. 82 Rn. 12 f.; Quaas, in: BeckOK Datenschutzrecht, 34. Ed., 11/2020, Art. 82 Rn. 23 f.; Bergt, in: Kühling/Buchner, DSGVO BDSG, 3. Aufl., 2020, Art. 82, Rn. 17 f.; Boehm, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 1. Aufl., 2019, Art. 82 Rn. 11 f.; Frenzel, In: Paal/Pauly, DSGVO BDSG, 2. Aufl., 2018, Art. 82 Rn. 10). Von einer richtigen Anwendung des Unionsrechts, die derart offenkundig ist, dass für vernünftige Zweifel kein Raum bliebe (acte clair), konnte das Amtsgericht ebenfalls nicht ausgehen. Dies gilt umso mehr, als Art. 82 DSGVO ausdrücklich immaterielle Schäden einbezieht.
bb) Die angegriffene Entscheidung zeigt, dass das Amtsgericht die Problematik der Auslegung des Art. 82 Abs. 1 DSGVO durchaus gesehen hat. Es hat sodann aber verfassungsrechtlich relevant fehlerhaft eine eigene Auslegung des Unionsrechts vorgenommen, indem es sich für die Ablehnung des Anspruchs auf ein Merkmal fehlender Erheblichkeit gestützt hat, das so weder unmittelbar in der DSGVO angelegt ist, noch von der Literatur befürwortet oder vom Gerichtshof der Europäischen Union verwendet wird.
Gleiches gilt für den vom Beschwerdeführer mit angegriffenen Beschluss des Amtsgerichts, mit dem es die erhobene Gehörsrüge des Beschwerdeführers zurückgewiesen hat. Auch hier rekurriert das Amtsgericht auf das Bestehen eines bislang ungeklärten Merkmals eines Bagatellverstoßes im Rahmen des Art. 82 Abs. 1 DSGVO.
cc) Die Antwort auf die Rechtsfrage, wie Art. 82 Abs. 1 DSGVO vor dem Hintergrund von Erwägungsgrund 146 in Fällen der Übersendung einer Email ohne Zustimmung auszulegen ist, war für die Entscheidung über den vom Beschwerdeführer geltend gemachten Zahlungsanspruch entscheidungserheblich.
Das LG Frankfurt hat entschieden, dass ein Schadensersatzanspruch gemäß Art. 82 DSGVO voraussetzt, dass ein Rechtsgut der betroffenen Person infolge der Verletzung einer Norm der DSGVO im Vergleich zum status quo ante nachteilig verändert wurde.
Aus den Entscheidungsgründen:
Ein Anspruch des Klägers gegen die Beklagte auf Zahlung von 8400,00 € nach Art. 82 DSGVO besteht nicht.
Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen die Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen. Dem Kläger ist zwar unstreitig bisher kein materieller Schaden entstanden, wohl aber ein immaterieller Schaden. Dieser liegt darin, dass seine personenbezogenen Daten Dritten ohne sein Einverständnis zugänglich wurden. Die Kompensation einer solchen öffentlichen "Bloßstellung" fällt unter Art. 82 Abs. 1 DSGVO (Ehmann/Selmayr, DSGVO, 2. Aufl., Art. 82 Rn. 13; Sydow, DSGVO, 2. Aufl., Art. 82 Rn. 6). Die Beklagte ist auch tauglicher Anspruchsgegner. Sie war Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO, da sie über die Zwecke und Mittel der - unstreitig - stattgefundenen Verarbeitung der Daten des Klägers entschied.
Der Schaden muss jedoch wegen eines Verstoßes gegen die DSGVO entstanden sein. Es muss also ein Verstoß gegen die DSGVO und dessen Kausalität für den Schaden festgestellt werden. Ein Rechtsgut der betroffenen Person muss infolge der Verletzung einer Norm der DSGVO im Vergleich zum status quo ante nachteilig verändert worden sein (Ehmann/Selmayr, DS-GVO 2. Aufl. Art. 82 Rn. 11).
Die Veröffentlichung der Daten, für die der Kläger einen Schadensersatz von 2000,00 € geltend macht, stellt an sich keinen Verstoß der Beklagten gegen die DSGVO dar. Die Veröffentlichung könnte nur dann als Verstoß gegen Art. 5 Abs, 1 a) oder f) DSGVO eingeordnet werden, wenn die Beklagte bzw, BB sie unberechtigt vorgenommen hätte. Dies lässt sich aber nicht feststellen und wird auch von dem Kläger nicht konkret vorgetragen. Der Kläger ist jedoch für den Verstoß gegen die DSGVO darlegungs- und beweisbelastet; erst hinsichtlich der Verantwortlichkeit für den Verstoß sieht Art, 82 Abs, 3 DSGVO eine Vermutung zu Lasten des Anspruchsgegners vor. Hat die Beklagte bzw. BB die Veröffentlichung nicht selbst vorgenommen, so kann sie lediglich die Folge einer Verletzung der Pflichten aus der DSGVO durch die Beklagte bzw. BB sein, nicht aber der Verstoß an sich.
Der Schadensersatzanspruch folgt weiter nicht daraus, dass die Beklagte die BB GmbH nicht nach Art. 28 Abs. 1 DSGVO ordnungsgemäß ausgewählt oder überwacht hat. Dass dies nicht geschehen ist, lässt sich nach dem Sach- und Streitstand schon nicht feststellen. Ein entsprechendes Beweisangebot des Klägers fehlt, ebenso entsprechende Indizien. Insbesondere kann der Kläger sich nicht darauf berufen, es sei offensichtlich, dass die BB GmbH ihr auferlegte Sicherheitsvorkehrungen nicht einhalten könne, weil es sich bei dem Firmensitz um ein Einfamilienhaus in einer Wohnsiedlung handele. Dass sich der Firmensitz dort befindet, sagt nichts darüber aus, wo die Datenverarbeitung erfolgt. Darüber hinaus lässt sich die Kausalität eines etwaigen Verstoßes gegen Pflichten der Beklagten aus der DSGVO für den Datenvorfall und damit für den Schaden des Klägers nicht feststellen. Denn letztlich ist - auch nach dem zuletzt gehaltenen und bestrittenen Vortrag des Klägers hinsichtlich des nicht geänderten Initialpassworts - letztlich unklar geblieben, wodurch das Datenleck verursacht wurde. Dass es durch ein anderes Auswahlverfahren, andere Sicherheitsvorkehrungen oder andere Überwachungen verhindert hätte werden können, bleibt danach Spekulation, Hinzu kommt, dass ein werkseitig individuell voreingestelltes Passwort im Ausgangspunkt nicht weniger sicher als ein vom Nutzer persönlich eingestelltes Passwort sein muss (BGH, Urteil vom 24. November 2016 - I ZR 220/15 —, Rn. 16, juris).
Soweit der Kläger seinen Anspruch in Höhe von 700,00 € darauf stützt, dass seine Daten nach dem 19.08.2019 noch verfügbar gewesen seien und jedenfalls während eines IT-Checks am 29.08.2019 jedermann habe auf sie zugreifen können, vermag dies ebenfalls keinen Schadensersatzanspruch zu begründen. Es kann dahinstehen, ob überhaupt ein Verstoß gegen die DSGVO vorliegt. Denn jedenfalls ist dem Kläger kein Schaden entstanden. Der Kläger behauptet nicht, dass nach dem 19,08.2019 seine Daten nochmals veröffentlicht worden seien oder sie von Unbefugten etwa während des Checks tatsächlich zur Kenntnis genommen worden wären. Dann aber steht dem Kläger kein Schadensersatzanspruch zu. Denn nicht jede Datenschutzrechtverletzung in Form einer nicht (vollständig) rechtskonformen Datenverarbeitung ist automatisch ein ersatzfähiger Schaden (vgl. etwa Wybitul, NJW 2019, 3265 mwN), Vielmehr muss die Verletzungshandlung auch zu einer konkreten Verletzung von Persönlichkeitsrechten der betroffenen Person geführt haben (Wybitul, aaO), Eine weite Auslegung des Schadensbegriffs nach Art. 82 DSGVO, nach dem mit jedem Verstoß ein Schaden begründet wird (sowohl Ehmann/Selmayr, DS-GVO, 2. Aufl., Art. 82 Rn. 13), widerspricht der Systematik des deutschen Rechts. Die mitgliedsstaatlichen Gerichte sind zu einem überkompensatorischen Strafschadensersatz grundsätzlich nicht verpflichtet; nach dem Äquivalenzgrundsatz wäre ein solcher nur dann erforderlich, wenn die mitgliedstaatliche Rechtsordnung allgemein Strafschadensersatz vorsieht (Wytibul, aaO). Das ist jedoch in Deutschland nicht der Fall.
Aus dem identischen Grund steht dem Kläger kein Anspruch in Höhe von 700,00 € wegen Änderung des Administratorenpasswortes im Mai 2019 zu.
Ferner kann der Kläger nicht damit gehört werden, die Beklagte habe gegen Art. 28 DSGVO verstoßen, weil ein Vertrag nach dieser Norm mit BB fehle. Ein Schadensersatzanspruch in Höhe von 800,00 € besteht insofern nicht. Die Beklagte hat einen Datenverarbeitungsvertrag mit der BB GmbH geschlossen. Zwar ist in dem Vertrag kein Rechtsformzusatz für die dort bezeichnete "B..." genannt. Allerdings ergibt sich aus den weiteren zu ihr genannten Daten, dass es sich um die GmbH handelte. Dass der Vertrag nicht von sämtlichen Parteien unterzeichnet wurde, ist unerheblich. Nach Art. 28 Abs. 9 DSGVO bedarf es einer schriftlichen Abfassung, auch in elektronischem Format. Danach ist keine Unterzeichnung erforderlich (vgl. Ehmann/Semayr, DS-GVO, 2. Aufl., Art. 28 Rn. 12); es genügt die Abfassung in Textform nach § 126b BGB. Diesem Erfordernis genügt der Vertrag. Ferner ist nicht ersichtlich, dass der Vertrag den Anforderungen des Art. 28 DSGVO nicht genügen würde. Dass mit der BB Ltd. kein gesonderter Vertrag geschlossen wurde, ist ebenfalls unschädlich. Denn es war vertraglich unter Ziffer 7 des Vertrages geregelt, dass die BB GmbH bei einem Einsatz von Unterverarbeitern diesen gegenüber mindestens dieselben Datenschutzverpflichtungen festzulegen hatte, wie sie der Vertrag zwischen der Beklagten und der BB GmbH vorsah. Dies entspricht Art. 28 Abs. 4 DSGVO. Auch der hierfür geltend gemachte Anspruch in Höhe von 1000,00 € besteht nicht.
Auf die unterlassene Verwendung von Hashes kann der Kläger gleichfalls keinen Schadensersatzanspruch stützen, weil ein Verstoß gegen die DSGVO nicht vorliegt. Bei der Verarbeitung der personenbezogenen Daten muss eine angemessene Sicherheit gewährleistet sein, Art. 5 Abs. 1 f) DSGVO, Dies erfordert geeignete technische und organisatorische Maßnahmen zum Schutz vor unbefugter und unrechtmäßiger Verarbeitung, wobei die Anforderungen in Art. 32 DSGVO festgelegt werden. Art, 32 Abs. 1 a) DSGVO erwähnt zwar Verschlüsselung als technisches Maßnahme, fordert die Anwendung von Hashes aber gerade nicht. Selbiges gilt für die PCC-DSS-Standards. Für seine Behauptung, es sei auch keine anderweitige Kryptografie erfolgt bietet der Kläger keinen Beweis an.
Der Kläger hat gegen die Beklagte keinen Anspruch auf Schadensersatz in Höhe von 1000,00 €, weil Daten gegenüber der M... International inc. ohne Rechtsgrundlage zugänglich gemacht worden wären. Dass der M... International Inc. im Rahmen des Priceless Specials Programms erhobene Daten von Kunden preisgegeben wurden, trägt der Kläger schon nicht substantiiert vor. Erst recht gilt dies für seine konkreten Daten. Dass die M... International Inc. an der Datenverarbeitung beteiligt war, ist aufgrund des als Anlage B 5 vorgelegten Vertrages auch keineswegs zwingend. Dies gilt auch dann, wenn die M... Inc. gemeinsame Verantwortliche nach Art, 26 DSGVO gewesen sein sollte. Denn der Verantwortliche hat die Entscheidungsgewalt über Zweck und Mittel der Verarbeitung; diese kann auch ausgeübt werden, ohne dass der Verantwortliche selbst an der Durchführung der Verarbeitung beteiligt ist (Ehmann/Selmayr, DS-GVO, 2. Aufl., Art. 4 Rn. 36). Es fehlt danach an einem Schaden des Klägers.
Die Behauptung des Klägers, es fehle an einer Vereinbarung zur gemeinsamen Verantwortlichkeit, was ihm zusätzlich nicht mitgeteilt worden sei, rechtfertigt keinen Schadensersatzanspruch in Höhe von insgesamt 1200,00 €. Erneut fehlt es an einem Schaden des Klägers, weil nicht ersichtlich ist, dass seine Daten der M... International Inc. überhaupt zugänglich gemacht wurden. Überdies regelt Art. 26 DSGVÖ lediglich, dass bei zwei oder mehr Verantwortlichen festzulegen ist, wer welche Verpflichtung gemäß der Verordnung erfüllt. Wo der Schaden des Klägers liegen soll, wenn dies nicht geschehen ist und er nicht informiert wurde, ist nicht ersichtlich. Dies gilt insbesondere vor dem Hintergrund des Art. 26 Abs. 3 DSGVO. Schließlich kann der Kläger keinen Schadensersatz in Höhe von 1000,00 € deswegen gegen die Beklagte geltend machen, weil keine ausreichende Vereinbarung von Binding Corporate Rules für Zugriffsmöglichkeiten durch ein US-Unternehmen auf Daten erfolgt sei. Erneut ist schon eine Beeinträchtigung des Klägers nicht feststellbar (s.o.). Ungeachtet dessen lag für die M... International Inc. eine geeignete Garantie in Form von verbindlichen internen Datenschutzvorschriften nach Art. 46 Abs. 1, Abs. 2b), 47 DSGVO vor. Aus dem Datenverarbeitungsvertrag ergibt sich, dass durch die zuständige Aufsichtsbehörde genehmigte Binding Corporate Rules existierten, was ausreichend ist. Für seinen das in Abrede stellenden Vortrag ist der Kläger beweisfällig geblieben.
Für andere deliktische Ansprüche besteht eine Sperrwirkung der DSGVO (Sydow, DSGVO, 2. Aufl., Art. 82 Rn.27).
Ein Anspruch aus § 280 Abs. 1 BGB besteht gleichfalls nicht, weil sich nach den obigen Ausführungen nicht feststellen lässt, dass die Beklagte eine Vertragspflichtverletzung begangen hat, die kausal zu einem Schaden, nämlich der Beeinträchtigung des Allgemeinen Persönlichkeitsrechts des Klägers, geführt hat.
Den Volltext der Entscheidung finden Sie hier:
Das LG Landshut hat entschieden, dass ein Anspruch auf Ersatz eines immateriellen Schadens nach Art. 82 Abs. 1 DSGVO eine nicht nur unbedeutende Persönlichkeitsrechtsverletzung voraussetzt.
Aus den Entscheidungsgründen:
I. Dem Kläger steht gegen die Beklagte zu 1) kein Schadensersatzanspruch gemäß Art. 82 Abs. 1 DSGVO zu.
1. Gemäß Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.
Die Nennung der Wohnung des Klägers sowie die Nennung des Namens des Klägers als Eigentümer der Wohnung und auch die Nennung des KBE-Wertes stellen keinen Verstoß gegen die Vorgaben der DSGVO dar. Die Nennung erfolgte sowohl bei der Übersendung der Tagesordnung als auch in der streitgegenständlichen Eigentümerversammlung durch die Beklagte zu 1) als Verwalterin ausschließlich gegenüber den weiteren Wohnungseigentümern der streitgegenständlichen Wohnungseigentümergemeinschaft. Es ist zwar nicht zutreffend, dass innerhalb einer Wohnungseigentümergemeinschaft die Datenschutzvorschriften nicht zur Anwendung kämen. Die Beklagte ist jedoch als Hausverwaltung vertraglich gegenüber den Eigentümern und der Wohnungseigentümergemeinschaft verpflichtet, den gesetzlichen und vertraglichen Pflichten einer Hausverwaltung nachzukommen. Andere Wohnungseigentümer haben nach §§ 13, 14 WEG einen Anspruch darauf zu erfahren, in welchen Wohnungen eine Legionellenprüfung vorgenommen wird oder wurde und auch, ob es insoweit einen Legionellenbefall und in welchem Umfang gegeben hat oder nicht. Insoweit ist zunächst die Nennung der Wohnung und auch die Nennung der Prüfungsergebnisse zulässig. Die Nennung war hier sowohl in der Tagesordnung als auch in der Eigentümerversammlung als Grundlage für die „Aussprache und Beschlussfassung über weitergehende Maßnahmen zum Legionellenbefall und deren Finanzierung“ erforderlich und unabdingbar. Ohne Nennung der Zahl der Wohnungen, der konkreten Lage der jeweiligen Wohnung und des konkreten Befalls wäre eine Beurteilung und entsprechende Entscheidung in der Eigentümerversammlung nicht möglich gewesen. Nach Auffassung des Gerichts war hier auch die Nennung des Eigentümers aus den genannten Gründen zulässig. Im Hinblick auf die Finanzierung und im Hinblick auf weitergehende Maßnahmen war auch die Nennung der betroffenen Eigentümer erforderlich, gegebenenfalls auch zur Prüfung von Ausgleichsansprüchen gegenüber anderen Eigentümern. Damit lagen die Voraussetzungen von Art. 6 Abs. 1 lit. b) und c) vor.
2. Schadensersatzansprüche sind jedenfalls der Höhe nach ausgeschlossen.
a) Materielle Schäden wurden vom Kläger weder substantiiert vorgetragen noch belegt. Soweit der Kläger behauptet, ein potentieller Käufer seiner Wohnung habe auf Grund der ihm aus den Reihen der informierten Eigentümer zugetragenen Information des Legionellenbefalls den Kauf abgesagt, nachdem er zunächst versucht habe, den Kaufpreis auf Grund des Legionellenbefalls zu reduzieren, stellt dies bereits nicht die Darlegung eines konkreten Schaden dar. Darüber hinaus scheidet hier ein Schaden bereits deshalb aus, weil der Kläger als Verkäufer einer Wohnung bei einem konkreten Legionellenbefall - wie vorliegend unstreitig gegeben - gegenüber dem Käufer seiner Wohnung aufklärungspflichtig wäre. Die durch Legionellen hervorgerufene Legionärskrankheit kann unbehandelt einen lebensgefährlichen Verlauf annehmen, ein erhöhtes Infektionsrisiko besteht dabei insbesondere beim Duschen. Von daher wäre es zudem unverantwortlich, den Legionellenbefall in der Wohnanlage nicht insbesondere den Mietern bzw. auch potentiellen Käufern zu offenbaren. Da der Kläger damit selbst aufklärungspflichtig wäre, kann ihm durch die Weitergabe von Informationen darüber hinaus kein Schaden entstehen.
b) Auch ein Anspruch auf Ersatz eines immateriellen Schadens steht dem Kläger nicht zu. Art. 82 Abs. 1 DSGVO sieht zwar eine Erstattungspflicht für immaterielle Schäden vor. Diese Pflicht ist auch nicht nur auf schwere Schäden beschränkt. Allein die Verletzung des Datenschutzrechts als solche begründet allerdings nicht bereits für sich gesehen einen Schadensersatzanspruch für betroffene Personen. Die Verletzungshandlung muss in jedem Fall auch zu einer konkreten, nicht nur unbedeutenden oder empfundenen Verletzung von Persönlichkeitsrechten der betroffenen Person geführt haben (vgl. Landgericht Hamburg, Urteil vom 04.09.2020 -324 S 9/19- juris). Es ist zwar eine schwere Verletzung des Persönlcihkeitsrechts nicht (mehr) erforderlich. Andererseits ist auch weiterhin nicht für einen Bagatellverst0ß ohne ernsthafte Beeinträchtigung bzw. für jede bloß individuelle empfundene Unannehmlichkeit ein Schmerzensgeld zu gewähren; vielmehr muss dem Betroffenen ein spürbarer Nachteil entstanden sein und es muss um eine objektiv nachvollzeihbare, mit gewissem Gewicht erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen gehen (Plath, Art. 82 DSGVO Rn. 4 c, d). Würde man hier einen Datenschutzverstoß durch den streitgegenständlichen Tagesordnungspunkt bejahen, läge hiernach den genannten Kriterien kein Fall vor, der die Zuerkennung des Schmerzensgeldes rechtfertigen könnte. Bei der Nennung von Art und Höhe des Befalls handelt es sich um objektive Umstände. Eine erhöhte Kolizahl im Trinkwasser beruht zumeist auf fehlender Wasserzirkulation und Wassertemperaturen im Bereich von 25 bis 50 Grad Celsius. Die Ursache liegt also nicht in der Person des Wohnungseigentümers oder Mieters, sondern in der Regel in der Warmwasseraufbereitung und den Rohrsystemen der Wohnungseigentümeranlage. Die Weitergabe dieser objektiven Befunde an die anderen Wohnungseigentümer ist damit nicht geeignet, den Ruf des Eigentümers zu schädigen oder diesen gar bloßzustellen. Zudem wäre den Eigentümern im Hinblick auf die Wohnungsnummer eine Zuordnung zum Eigentümer durch die Teilungserklärung sowieso möglich.
II. Dem Kläger stehen gegen die Beklagten auf Grund der Weitergabe der E-Mail-Adresse an den Beklagtenvertreter keine Ansprüche zu.
Es liegt kein Verstoß gegen Art. 82 Abs. 1 DSGVO vor. Die Beklagten haben in berechtigtem Interesse gehandelt. Der Kläger selbst hat wie sich aus dem Klagevortrag ergibt mit den Beklagten überwiegend per Email kommuniziert. Wie der Beklagtenvertreter zu Recht eingewandt hat, ist die E-Mail-Adresse des Klägers auch im Anwaltsportal zugänglich. Deshalb läge hier jedenfalls eine Bagatellverletzung vor, die nicht geeignet ist, Schadensersatzansprüche zu begründen.
Soweit der Kläger Ansprüche zudem auf die Sichtbarkeit der E-Mail-Adresse im Adressfeld des per Post übersandten Schreibens des Beklagtenvertreters stützt, sind hierfür nicht die Beklagten, sondern der Beklagtenvertreter verantwortlich, der vorliegend jedoch nicht in Anspruch genommen wurde.
III. Dem Kläger steht gegen den Beklagten zu 2) kein Schadensersatzanspruch aus Art. 82 Abs. 1 DSGVO zu.
1. Der Beklagte zu 2) ist als Datenschutzbeauftragter nicht „Verantwortlicher“ im Sinne des Art. 4 Nr. 7 DSGVO. Verantwortlicher für Verarbeitung von personenbezogenen Daten im datenschutzrechtlichen Sinne war bezüglich der Versendung der Tagesordnung nur die Beklagte zu 1). Soweit klägerseites der Verstoß auch auf die Nennung in der Wohnungseigentümerversammlung gestützt wurde, war auch hier nicht der Beklagte zu 2), sondern die Beklagte zu 1) verantwortlich.
Das LAG Köln hat entschieden, dass die Kostenregelung in § 12a ArbGG auch für die Geltendmachung von Schadensersatz nach Art. 82 DSGVO und Geltendmachung eines Beseitigungsanspruchs nach Art. 17 DSGVO im Rahmen einer arbeitsrechtlichen Auseinandersetzung gilt.
Aus den Entscheidungsgründen:
Der Klägerin steht kein weiterer Schadensersatzanspruch aus Art. 82 DSGVO zu.
Dabei kann dahinstehen, ob der zugesprochene immaterielle Schadensersatz nicht bereits zu hoch war, da die Beklagte insoweit zur Verknappung des Prozessstoffes keine Anschlussberufung eingelegt hat.
Die erkennende Kammer tritt den Überlegungen des Arbeitsgerichts zur Bemessung des immateriellen Schadens bei der versehentlichen Aufrechterhaltung der Sichtbarkeit des PDF mit dem Profil der Klägerin auf dem Server der Beklagten bei. Der Verschuldensgrad ist sehr gering. Nach der Umstellung des Dateiformats des Internetauftritts im Jahr 2015 liegt eine Nachlässigkeit der Beklagten vor, nicht vollumfänglich geprüft zu haben, ob weiterhin alte Dateiformate abrufbar waren. Zum Zeitpunkt der Umstellung war zudem die Klägerin als Arbeitnehmerin und Lehrende der Beklagten nicht berechtigt, die Löschung des PDF zu verlangen, da die Darstellung der Lehrenden für eine Hochschule unverzichtbarer Inhalt eines Internetauftritts und damit der erforderlichen Datenverarbeitung war.
Richtig hat das Arbeitsgericht auch gewertet, dass die Intensität der Rechtsverletzung marginal war. Die veröffentlichen Tatsachen über die Klägerin waren inhaltlich richtig, allein das Logo der Beklagten auf dem Profil ermöglichten nach dem Ende des Arbeitsverhältnisses den fehlerhaften Rückschluss, die Klägerin sei auch im Zeitpunkt des Abrufs des PDF noch Lehrende der Beklagten. Zwar mag es sein, dass das PDF unter den ersten zehn Einträgen der Suchmaschine Google bei einer Suche nach dem Namen der Klägerin erschien. Wie viele Personen tatsächlich dann das PDF angeklickt haben, um es vollständig zu lesen (nach dem Vortrag der Beklagten, welcher nicht bestritten wurde, soll es nur zwei Zugriffe gegeben haben), ist nicht nachgewiesen.
Allerdings hat die Klägerin keine Rückmeldung von Dritten zu diesem veralteten Profil erhalten und im Prozess vorgetragen. Entscheidend für die Intensität der Wahrnehmung des PDF wäre hierbei, welche Suchergebnisse die ersten neun Google Einträge beinhalteten. Üblicherweise werden bei einer Namenssuche, die einer Personeninfo dienen soll, die Einträge in der Reihenfolge ihres Erscheinens angeschaut, da dem Googlenutzer bekannt ist, dass die Einträge mit den meisten Klicks, in der Regel aber auch die neueren Beiträge zuerst angezeigt werden. Ob dann der Googlenutzer überhaupt spätere Einträge öffnet, hängt damit davon ab, ob das Informationsbedürfnis bei der Namenssuche bereits vorher ausreichend befriedigt ist. Da das PDF auch nur eine relativ kurze Zeit nach dem Ende des Arbeitsverhältnisses überhaupt auffindbar war, aber niemand Kontakt zur Klägerin gesucht hat, um ihr von der fehlerhaften Veröffentlichung Mitteilung zu machen, kann davon ausgegangen werden, dass das bei Google auffindbare Suchsuchergebnis für Personen, die sich für die Klägerin interessierten und deshalb ihren Namen gegoogelt haben, eher uninteressant war.
Es kann auch ausgeschlossen werden, dass sich eine Vielzahl von Googlenutzern nach dem Lesen des PDF der Homepage der Beklagten zugewandt haben. Denn eine direkte Verlinkung war nicht gegeben. Um die Homepage der Beklagten aufzurufen hätte ein Benutzer diese in eine neue Suchmaske eingeben müssen. Dann allerdings hätte er sofort feststellen können, dass die Klägerin nicht mehr zu den Lehrenden gehört.
Fernliegend ist auch die von der Klägerin angezogene Lizenzanalogie. Es ist nicht erkennbar, dass für die Beklagte irgendein Mehrwert durch die kurzzeitige Aufrechterhaltung der Sichtbarkeit des PDF mit dem Profil der Klägerin und dem Logo der Beklagten im Internet verbunden war. Ein potentieller Studierender, der tatsächlich überlegt, einen Vertrag mit der Beklagten abzuschließen, wird sich zuvor genauer und aktuell über die Homepage der Beklagten mit deren Lehrangeboten auseinandersetzen. Dabei war unmittelbar festzustellen, dass die Klägerin nicht mehr zu den Lehrenden zählt. Wenn es gleichwohl zum Vertragsschluss kam, so war dies jedenfalls dann unabhängig von der Person der Klägerin.
Auch ein Reputationsschaden der Klägerin ist fernliegend. Sie beachtet dabei nicht, dass es auch eine große Anzahl von Personen gibt, die die Beklagte schätzen und dadurch die Klägerin somit an einer positiven Bewertung der Beklagten mittelbar teilhaben lassen. Insbesondere die Studierenden, die bei der Evaluation angegeben haben, mit den Leistungen der Beklagten zufrieden zu sein und alle Personen, die die Beklagte für eine gute Hochschule halten, nützen damit der Reputation der Klägerin. Damit ist ein Interesse an einer Nutzung des PDFs durch die Beklagte schon nicht gegeben. Ein hypothetischer „Verkaufswert“ ist nicht feststellbar.
Eine Erhöhung des immateriellen Schadensersatzes war auch nicht angezeigt, um zukünftige Verstöße zu vermeiden. Bereits das vorliegende Verfahren sowie die Rüge durch die Landesdatenschutzbeauftragte sind geeignet, bei der Beklagten den auch vom Schadensersatz erwünschten erzieherischen Effekt zu erzielen.
Der Klägerin steht der Ersatz der vorgerichtlichen Anwaltskosten wegen des geltend gemachten Anspruchs auf Entfernung des PDF nach Art. 17 Abs. 1 DSGVO nicht zu.
Unabhängig von den späteren Ausführungen zu § 12a ArbGG und dessen Geltung im Rahmen des Schadensersatzanspruchs nach Art. 82 DSGVO handelt es sich bei Art. 17 DSGVO um den Löschungsanspruch. Zwar mag es richtig sein, dass der deutsche Gesetzgeber insgesamt keine Einschränkung der in der DSGVO niedergelegten Rechte vornehmen kann, jedoch handelt es sich bei der Anwendbarkeit von § 12a ArbGG auf den Beseitigungsanspruch nicht um eine Ausgestaltung des Beseitigungsanspruchs. Die Kosten des Beseitigungsanspruchs regelt die DSGVO nicht, so dass es bei den allgemeinen deutschen Regeln aus § 12a ArbGG verbleibt..
Zudem folgt die erkennende Kammer im Übrigen der Kommentierung von Däubler 2. Aufl. EU DSGVO, Art. 82 Rn. 14 sowie Plath Becker, 2. Aufl., BDSG/DSGVO Art. 82 Nr. 8. Danach ist in all den Fällen, in denen die DSGVO keine ausdrückliche Regelung enthält, nationales Recht anwendbar. Damit sind jedenfalls auf die vorliegenden Ansprüche die allgemeinen Grundsätze über Mitverschulden, Verjährungsfristen und prozessuale Behandlung der Ansprüche anwendbar.
Vorliegend gilt für den Beseitigungsanspruch, dass die Klägerin auch nach dem Ende des Arbeitsverhältnisses eine minimale Rücksichtnahme auf die Interessen der Beklagten hätte nehmen müssen. Diese hätte darin bestanden, die Beklagte durch einen kurzen Anruf, ein E-Mail oder auch eine andere schriftliche Notiz darauf aufmerksam zu machen, dass das PDF mit dem Profil der Klägerin im Internet noch abrufbar war. Erst dann, wenn die Beklagte hierauf nicht reagiert hätte, hätte die Klägerin sich anwaltlicher Hilfe bedienen können. Ohne vorherige Abmahnung war die Einschaltung eines Prozessbevollmächtigten nicht erforderlich, sodass die hierfür angefallenen Kosten nicht erstattungsfähig sind. Gerade das Rechtsinstitut der Abmahnung ist die Ausformung der gegenseitigen Rücksichtnahme im Arbeitsverhältnis und konkretisiert, dass dem Vertragspartner, auch dann, wenn der Vertrag beendet ist, zunächst die Gelegenheit eingeräumt werden muss, sein nachvertragliches Verhalten gesetzeskonform auszugestalten.
Hinsichtlich der weiteren Kostenerstattungsforderungen legt die erkennende Kammer Art. 82 DSGVO dahingehend aus, dass dieser nur den primären Schadensersatz hinsichtlich der immateriellen Schäden/Persönlichkeitsrechtsverletzungen, die durch einen Verstoß gegen die DSGVO entstanden sind, regelt. Sekundäre Schäden wie Vermögensschäden, die durch die Rechtsverfolgung des immateriellen Schadensersatzanspruchs entstehen, sind von der DSGVO nicht erfasst und bleiben damit entsprechend der Kommentierung bei Däubler (siehe oben) der Regelung durch nationales Recht vorbehalten.
Im Übrigen stellt die Regelung des § 12a ArbGG und die von der Rechtsprechung hieraus hergeleitete Wirksamkeit auch im materiellen Kostenerstattungsrecht letztlich keine Einschränkung des Schadensersatzes oder gar einen Nachteil von Arbeitnehmern dar, die von Datenschutzverstößen ihre Arbeitgeber betroffen sind. Denn durch die fehlende Kostenerstattung ist der Schadensersatz geltend machende Arbeitnehmer durchaus frei, wenigstens in erster Instanz einen höheren Anspruch geltend zu machen, ohne hierbei im Fall des Unterliegens die Kosten des Gegners erstatten zu müssen. Die Regelung fördert also sogar den Zweck des Art. 82 DSGVO, in dem sie das Risiko des Arbeitnehmers, einen zu hohen Schadensersatzbetrag zu fordern, absenkt. Vorliegend wäre aber jedenfalls bei einer Unanwendbarkeit des §12a ArbGG der Anteil der von der Klägerin der Beklagten zu erstattenden Kosten höher als umgekehrt. Die Regelung stellt sich damit ohnehin nicht als Einschränkung des Schadensersatzanspruchs, sondern da sie in beide Richtungen wirkt, als neutrale Kostenverteilungsregelung dar.
Wegen der zu hohen Klageforderung und des Unterliegens (mit Kostenpflicht) im Berufungsverfahren ist der Selbstbehalt der Klägerin bei ihrer Rechtsschutzversicherung ohnehin angefallen. Dieser und eine mögliche Beitragsverschlechterung sind damit unabhängig vom erstinstanzlichen Streit angefallen, so dass ein Schadensersatz durch die Beklagte wegen Verschlechterung der Rechtsschutzkonditionen keines falls geschuldet ist.
Das ArbG Dresden hat 1.500 EURO Schadensersatz aus Art 82 Abs.1 DSGVO für die unberechtigte Weitergabe von Gesundheitsdaten durch einen ehemaligen Arbeitgeber an eine Behörde zugesprochen.
Das LG Hamburg hat entschieden, dass kein Anspruch auf Ersatz immaterieller Schäden bzw. Schmerzensgeld aus Art. 82 DSGVO allein aufgrund eines Verstoßes gegen die Normen der DSGVO besteht. Vielmehr muss auch tatsächlich ein Schaden z.B. durch eine Persönlichkeitsrechtsverletzung entstanden sein.
Aus den Entscheidungsgründen:
1) Der Klägerin steht gegen den Beklagten ein Anspruch auf Erstattung der Abmahnkosten zu, allerdings nur nach einem Gegenstandswert von € 3.000,--.
Dabei kann dahinstehen, ob der Anspruch auf § 1004 Abs. 1 BGB analog, § 823 Abs. 1 BGB oder auf § 1004 Abs. 1 BGB analog, § 823 Abs. 2 BGB, Art. 6 Abs. 1, 17 Abs. 1 lit. d DSGVO gestützt wird, da in jedem Fall eine Abwägung der Interessen zugunsten der Klägerin ausfällt.
Der Beklagte ist Verantwortlicher i.S.d. Art. 4 Nr. 7 DSGVO für die ordnungsgemäße Verarbeitung der personenbezogenen Daten (Art. 4 Nr. 1 DSGVO) der Klägerin. Er hat die Daten der Klägerin durch die Erfassung in dem Terminsformular seiner Webseite verarbeitet und durch die öffentliche Freischaltung auch verbreitet (Art. 4 Nr. 2 DSGVO). In die Verbreitung ihrer Daten hat die Klägerin auch nicht eingewilligt.
Der Beklagte kann sich nicht durch einen Verweis auf seinen Dienstleister exkulpieren, da dies nichts an der Verantwortlichkeit des Beklagten ändert.
Die Höhe des Erstattungsanspruchs richtet sich nach dem zugrunde liegenden Gegenstandswert, welcher mit € 3.000,-- anzusetzen ist, § 2 Abs. 1 RVG. Der Gegenstandswert ist nach § 23 Abs. 3 S. 2 RVG nach billigem Ermessen festzusetzen. Es liegen auch die notwendigen tatsächlichen Anhaltspunkte für eine Schätzung vor, so dass nicht von einem Regelstreitwert i.H.v. € 5.000,-- nach § 23 Abs. 3 S. 2 HS 2 RVG auszugehen ist. Insbesondere sind der Umfang und die Bedeutung der Sache zu berücksichtigen. Vorliegend handelt es sich um einen Vorfall von geringem Umfang und nicht erheblicher Bedeutung. Die Daten der Klägerin wurden vom Beklagten zwar im Internet frei verfügbar abrufbar vorgehalten, allerdings nur über einen Zeitraum von nicht mehr als ca. 6 Wochen.
Allerdings verbreitete der Beklagte die Daten nicht aktiv, indem er auf diese z.B. auf seiner Webseite oder in anderer Weise hingewiesen hätte. Die regelmäßig von der Kammer angenommenen Streitwerte für eine pressemäßige Verbreitung sind damit nicht zugrunde zu legen. Der Verstoß war auch leicht feststellbar. Die Bedeutung der Sache erscheint zuletzt auch deshalb nicht besonders erheblich, weil die Daten zwar private, wohl aber nicht intime Aspekte der Klägerin betrafen.
Zusammenfassend ist der Gegenstandswert daher mit € 3.000,-- richtig bemessen.
Auch die von der Klägerin angeführten und von anderen Gerichten getroffenen Festsetzungen von Gegenstandswerten führen bereits deshalb zu keiner anderen Einschätzung, da dort Datenschutzverstöße gegenständlich waren, die – soweit erkennbar – jeweils erheblich größeren Ausmaßes waren.
Der Zahlungsanspruch nebst Zinsen bemisst sich i.Ü. wie vom Amtsgericht dargelegt, so dass auf die dortigen zutreffenden Ausführungen verwiesen wird.
2) Der Klägerin steht gegen den Beklagten auch kein Anspruch auf Ersatz immaterieller Schäden („Schmerzensgeld“) aus Art. 82 DSGVO oder sonst einem rechtlichen Aspekt zu. Für die Zubilligung eines Schadensersatzanspruchs bedarf es des Eintritts eines Schadens. Diesen hat die Klägerin weder dargelegt noch ist er sonst ersichtlich. Allein der Verstoß gegen datenschutzrechtliche Vorschriften führt nicht zu einer Verpflichtung des Verantwortlichen zur Zahlung von Schadensersatz (so auch LG Karlsruhe, Urteil vom 2.8.2019 – 8 O 26/19 = ZD 2019, 511). Voraussetzung eines Anspruchs auf Schadensersatz aus Art. 82 Abs. 1 DSGVO, der im nationalen Recht unmittelbar Anwendung findet und andere Anspruchsgrundlagen nicht ausschließt (Nemitz, in: Ehmann/Selmayr, DS-GVO, 2. Aufl., Art. 82 Rn. 7), ist ein Verstoß gegen die DSGVO und ein hierdurch verursachter Schaden, was ein Kläger darzulegen und zu beweisen hat (LG Karlsruhe a.a.O.).
Nach dem Erwägungsgrund 146 ist der Begriff des Schadens weit auszulegen, so dass Betroffene einen wirksamen Ersatz erhalten. Erwägungsgrund 85 besagt, dass eine Verletzung des Schutzes personenbezogener Daten einen physischen, materiellen oder immateriellen Schaden für natürliche Personen – wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung oder Rufschädigung – nach sich ziehen kann, wenn nicht rechtzeitig und angemessen reagiert wird.
Es bedarf danach zwar keiner schweren Verletzung des Persönlichkeitsrechts, um einen immateriellen Schaden geltend zu machen (Gola/Piltz, DS-GVO, 2. Aufl., Art. 82 Rn. 13). Dennoch führt nicht bereits jeder Verstoß gegen die DSGVO zu einer Ausgleichspflicht, denn der Verpflichtung zum Ausgleich eines immateriellen Schadens muss eine benennbar und insoweit tatsächliche Persönlichkeitsverletzung gegenüberstehen, die z.B. in der mit einer unrechtmäßigen Zugänglichmachung von Daten liegenden „Bloßstellung“ liegen kann (LG Karlsruhe a.a.O.).
Eine solche „Bloßstellung“ ist vorliegend allerdings nicht erfolgt. Ferner hat die Klägerin den Eintritt von Nachteilen nicht behauptet, sondern lediglich vorgetragen, dass sie Nachteile befürchtet.
Auch der Vortrag der Klägerin zu dem von ihr abgemahnten ehemaligen Mitarbeiter bleibt unsubstantiiert. So ergibt sich aus dem Vortrag nicht, wann genau die Abmahnung erfolgt ist, so dass nachvollziehbar sein könnte, ob der betreffende Mitarbeiter überhaupt die Daten hätte abrufen können, als er ein Interesse daran hätte haben können.
Hinsichtlich der mitgeteilten Urlaubsabwesenheit erschließt sich der Kammer – im Einklang mit dem Amtsgericht – nicht, warum sich einem potentiellen Einbrecher, der nach den Daten der Klägerin gesucht hätte, hätte erschließen sollen, dass die eingetragenen Urlaubsabwesenheiten sich tatsächlich auf das Jahr 2019 beziehen sollten. Denn aus dem Anmeldeformular (Anlage K2) ergibt sich insbesondere nicht, dass dieses abgesendet wurde, als die in dem Formular mitgeteilten Zeiten bereits verstrichen waren.
Die Klägerin hat zuletzt auch nicht behauptet, das der unberechtigten Veröffentlichung der Wohnungsanzeige auf Immonet die auf der Webseite des Beklagten verfügbaren Daten zugrunde gelegen hätten.
Auch der Hinweis der Klägerin auf das Urteil des Arbeitsgerichts Düsseldorf (BeckRS 2020, 11910) führt zu keiner anderen Einschätzung. Dort hat das Gericht einen auf Art. 82 Abs. 1 DSGVO gestützten Schadensersatzanspruch angenommen, nachdem der Auskunftsanspruch des dortigen Klägers aus Art. 15 Abs. 1 DSGVO verletzt worden war. Dieser Verstoß hielt nach den Ausführungen des Gerichts offenbar mindestens fünf Monate an, in denen der Kläger über die Datenverarbeitung durch die Beklagte im Ungewissen war. Damit dürfte anzunehmen sein, dass der dortige Verantwortliche im Einklang mit Erwägungsgrund 85 „nicht rechtzeitig und angemessen reagiert“ hatte, was sodann den Eintritt des konkreten Nachteils, nämlich der Ungewissheit des dortigen Klägers, hätte nach sich ziehen können.
Insoweit handelt es sich allerdings um einen anderen und nicht mit dem hiesigen vergleichbaren Fall, da hier von einer deutlich kürzeren Zeitspanne der freien Abrufbarkeit der Daten auszugehen ist, und die Klägerin nicht erfolglos einen Auskunftsanspruch gegen den Beklagten geltend machte.
Die Kammer kann abschließend auch nicht erkennen, warum und inwieweit die Rechtsprechung zur Verletzung des Rechts am eigenen Bild im Internet analog heranzuziehen wäre. Weder begründet eine derartige Verletzung ohne weiteres einen Schadensersatzanspruch noch liegt eine vergleichbare Interessenlage notwendiger Weise vor.
Das ArbG Düsseldorf hat entschieden, dass einem ehemaligen Arbeitnehmer 5.000 EURO Schadensersatz aus Art 82 Abs. 1 DSGVO wegen nicht ausreichender Auskunftserteilung nach Art. 15 DSGVO gegen den ehemaligen Arbeitgeber zusteht.
Aus den Entscheidungsgründen:
d) Der Klageantrag zu 4) ist zu einem kleinen Teil begründet. Der Kläger hat gegen die Beklagte Anspruch auf Schadensersatz iHv. 5.000 € aus Art. 82 Abs. 1 E. nebst Zinsen.
aa) Auch Art. 82 Abs. 1 E. findet im nationalen Recht unmittelbar Anwendung (LG Karlsruhe 2. August 2019 – 8 O 26/19 –).
bb) Die Beklagte als für die Verarbeitung der personenbezogenen Daten des Klägers iSd. Art. 4 Ziff. 7 E. Verantwortliche hat gegen die E. verstoßen. Nach Art. 82 Abs. 1 E. kann jeder „Verstoß gegen die Verordnung“ eine Schadensersatzpflicht begründen (Wybitul/Haß/Albrecht, NJW 2018, 113).
(1) Die Beklagte hat zum einen gegen die Vorgabe aus Art. 12 Abs. 3 S. 1-3 E. verstoßen, wonach ua. ein Auskunftsantrag nach Art. 15 E. binnen einen Monats nach Eingang, nach einer Unterrichtung über eine Fristverlängerung binnen zwei weiteren Monaten zu beantworten ist. Die Kammer ist davon überzeugt, dass das Auskunftsgesuch des Klägers der Beklagten am 07.06.2018 zugegangen ist (s. oben I. 2. b) aa) (2) (b) der Entscheidungsgründe). Die Auskunft war am 07.07.2018, spätestens am 07.09.2018 zur Erteilung fällig, wurde aber erstmals am 10.12.2018 mit Übergabe des für die Einsicht in die elektronisch hinterlegten Unterlagen notwendigen Passwortes erbracht.
(2) Zum anderen hat die Beklagte gegen Art. 15 Abs. 1 lit. a und lit b iVm. Art. 12 Abs. 1 S. 1 E. verstoßen, indem sie nicht hinreichend über die Verarbeitungszwecke und die Kategorien personenbezogener Daten, die verarbeitet werden, unterrichtet hat (s. oben I. 2. b) aa) (3) und cc) der Entscheidungsgründe).
(3) Im Schriftsatz vom 23.12.2019 führt der Kläger aus, dass ein weiterer Verstoß gegen die E. darin bestehe, dass die Datenübermittlungsvereinbarung nicht vollständig vorgelegt worden sei. Indes ist die E. dadurch nicht verletzt. In Anbetracht der hier erfolgten Datenübermittlung vorbehaltlich geeigneter Garantien iSd. Art. 46 E. ist im Rahmen des Auskunftsrechts nach Art. 15 Abs. 2 E. nur über die geeigneten Garantien zu unterrichten. Dies ist geschehen (s. oben I. 2. b) ee) der Entscheidungsgründe).
(4) Soweit der Kläger verschiedentlich andere Datenverarbeitungen der Beklagten vorträgt und zum Ausdruck bringt, diese seien datenschutzwidrig, sind keine weiteren Verstöße gegen die E. dargetan, für die die Beklagte nach Art. 82 Abs. 1 E. haftbar wäre. Offensichtlich benennt der Kläger Ereignisse während des noch laufenden Arbeitsverhältnisses, das ab Geltung der E. ab dem 25.05.2018 bereits beendet war.
cc) Die Beklagte hat nicht dargetan, für die Verstöße nicht verantwortlich zu sein, sodass gemäß Art. 82 Abs. 3 E. eine Haftung entfiele. Insbesondere muss sie sicherstellen, dass sie Betroffenengesuche nach Art. 12 ff. E. auch dann erreichen, wenn rechtsgeschäftlich oder kraft Verkehrsanschauung ein Empfangsbote zur Entgegennahme von Willenserklärungen berechtigt ist.
dd) Verursacht durch die genannten Verstöße hat der Kläger, der keinen materiellen Schaden vorgetragen hat, einen immateriellen Schaden iSd. Art. 82 Abs. 1 E. erlitten. Der Begriff des Schadens ist weit auf eine Art und Weise auszulegen, die den Zielen der E. in vollem Umfang entspricht (EG 146; Bergt, in Kühling/Buchner, E./BDSG, 2. Aufl., Art. 82 Rn. 17; Frenzel, in Paal/Pauly, E./BDSG, 2. Aufl., Art. 82 Rn. 10 mwN.). Ein immaterieller Schaden entsteht nicht nur in den „auf der Hand liegenden Fällen“, wenn die datenschutzwidrige Verarbeitung zu einer Diskriminierung, einem Verlust der Vertraulichkeit, einer Rufschädigung oder anderen gesellschaftlichen Nachteilen führt, sondern auch, wenn die betroffene Person um ihre Rechte und Freiheiten gebracht oder daran gehindert wird, die sie betreffenden personenbezogenen Daten zu kontrollieren (EG 75). Indem die Beklagte die Vorgaben aus Art. 15 Abs. 1 Hs. 1, Hs. 2 lit. a, b iVm. Art. 12 Abs. 1, 3 E. verletzt hat, hat sie das Auskunftsrecht des Klägers – das zentrale Betroffenenrecht – beeinträchtigt (vgl. Ehmann, in Ehmann/Selmayr, E., 2. Aufl., Art. 15 Rn. 1 mwN.; Bäcker, in Kühling/Buchner, E./BDSG, 2. Aufl., Art. 5 Rn. 1). Verletzt ist zugleich ein europäisches Grundrecht des Klägers; Art. 8 Abs. 2 S. 2 GRCh gewährleistet das Auskunftsrecht ausdrücklich. Durch die monatelang verspätete, dann unzureichende Auskunft war der Kläger im Ungewissen und ihm die Prüfung verwehrt, dann nur eingeschränkt möglich, ob und wie die Beklagte seine personenbezogenen Daten verarbeitet. Die Schwere des immateriellen Schadens ist für die Begründung der Haftung nach Art. 82 Abs. 1 E. irrelevant und wirkt sich nur noch bei der Höhe des Anspruchs aus (LG Karlsruhe 2. August 2019 – 8 O 26/19 –; Gola/Pitz, in Gola, E., 2. Aufl., Art. 82 Rn. 13 mwN. der restriktiveren Rspr. zu § 823 Abs. 1 BGB iVm. Art. 1 Abs. 1, Art. 2 Abs. 1 GG).
ee) Zum Ersatz dieses immateriellen Schadens hält die Kammer einen Betrag iHv. 5.000 € für geboten, aber auch ausreichend.
(1) Die betroffene Person soll einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten (EG 146). Verstöße müssen effektiv sanktioniert werden, damit die E. wirken kann, was vor allem durch Schadensersatz in abschreckender Höhe erreicht wird (Wybitul/Haß/Albrecht, NJW 2018, 113, 115; Bergt, in Kühling/Buchner, E./BDSG, 2. Aufl., Art. 82 Rn. 18; Frenzel, in Paal/Pauly, E./BDSG, 2. Aufl., Art. 82 Rn. 10 mwN.). Gerichte können sich bei der Bemessung des immateriellen Schadensersatzes auch an Art. 83 Abs. 2 E. orientieren, sodass als Zumessungskriterien unter anderem Art, Schwere, Dauer des Verstoßes, Grad des Verschuldens, Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens, frühere einschlägige Verstöße sowie die Kategorien der betroffenen personenbezogenen Daten betrachtet werden können (Quaas, in BeckOK Datenschutzrecht, 31. Edition, Art. 31; Wybitul/Haß/Albrecht, NJW 2018, 113, 115). Die Mitgliedsstaaten – auch die erkennende Kammer – sind nach dem Gedanken des Art. 4 Abs. 3 EUV verpflichtet, der E. zur Wirkung zu verhelfen.
(2) Den Grundsätzen entsprechend muss die Beklagte einen Schadensersatz iHv. insgesamt 5.000 € zahlen. Dabei hat die Kammer berücksichtigt, dass der europäische Verordnungsgeber das verletzte Recht als bedeutsam einordnet, wie sich neben Art. 8 Abs. 2 S. 2 GRCh auch an der Zuordnung der Art. 12 ff. E. zu dem Katalog des § 83 Abs. 5 E. zeigt. Es handelt sich eben nicht nur um ein einfaches Arbeitspapier. Weiter hielt der Verstoß einige Monate an, in denen der Kläger über die Datenverarbeitung durch die Beklagte im Ungewissen war. Der Zeitraum vom 08.07. bis 07.09.2018 fiel dabei weniger stark ins Gewicht als die etwa drei Monate bis zum 10.12.2018, da Art. 12 Abs. 3 S. 2 E. dem Antragssteller – wenn auch nach Unterrichtung über eine Fristverlängerung – zumutet, bis zu drei Monate auf die Auskunft zu warten. Außerdem sind die Anforderungen an die zu erteilende Auskunft nicht nur zeitlich, sondern auch inhaltlich verletzt. Überdies war der nach Vortrag des Klägers beträchtliche Umsatz der Beklagten zu berücksichtigen. (Der Vortrag ist unstreitig, doch ist fraglich, ob es sich um den Umsatz der Beklagten oder der I. insgesamt handelt.) Da der Schadensersatz eine angemessene Wirkung erzielen soll, hängt dessen Höhe nicht nur vom eingetretenen immateriellen Schaden, sondern auch von dem nach Art. 4 Ziff. 7 E. Verantwortlichen und dessen Finanzkraft ab. Mit anderen Worten: Die Verletzung der Auskunftspflicht aus Art. 15 E. durch einen finanzschwächeren Verantwortlichen würde zu geringerem Schadensersatz führen.
Zu Gunsten der Beklagten wird berücksichtigt, dass von fahrlässigen Verstößen auszugehen ist. Anhaltspunkte für Vorsatz, mithin die bewusste und gewollte verspätete, dann intransparente Reaktion auf das Auskunftsgesuch, sind nicht ersichtlich. Auch sind keine anderen Verstöße der Beklagten gegen die E. dargetan. Des Weiteren erschließt sich der Kammer nicht, warum die Höhe der Vergütung des Klägers in die Bemessung des Schadensersatzes einfließen sollte. Die Schwere des entstandenen immateriellen Schadens, der vor allem in der Ungewissheit über die Verarbeitung seiner Daten besteht, hängt nicht davon ab, wieviel er verdient. Auch sind besondere Kategorien personenbezogener Daten iSd. Art. 9 E. nicht substantiell betroffen. Endlich ist trotz der Bedeutung des Auskunftsrechts des Art. 15 E. nicht zu verkennen, dass mit dem vom Kläger herangezogenen Bußgeldrahmen des § 83 Abs. 5 E. auch noch weit gravierende Persönlichkeitsrechtsverletzungen sanktioniert werden sollen und die Verhältnismäßigkeit zu wahren ist. Der dem Kläger entstandene immaterielle Schaden ist nicht erheblich.
Unter Berücksichtigung all dessen hat die Kammer für die ersten zwei Monate der Verspätung jeweils 500 €, für die weiteren etwa drei Monate jeweils 1.000 € und für die beiden inhaltlichen Mängel der Auskunft jeweils 500 € angesetzt.
ff) Die zugesprochenen Zinsen folgen aus §§ 291, 288 Abs. 1 BGB.
e) Die Klageanträge zu 5) bis 7) sind unbegründet. Eine Rechtsgrundlage, auf die der Kläger die damit verfolgten Begehren stützen könnte, ist nicht ersichtlich, worauf die Beklagte zutreffend hingewiesen hat.
Im Zusammenhang mit der hier vorliegenden Datenübermittlung vorbehaltlich geeigneter Garantien gemäß § 46 E. ergibt sich die besondere Auskunftspflicht aus Art. 15 Abs. 2 E.. Diese hat die Beklagte erfüllt (s. oben I. 2. b) aa) (3) und ee) der Entscheidungsgründe).
Das ArbG Lübeck hat im Rahmen eines Prozesskostenhilfebeschlusses entschieden, dass bei Veröffentlichung eines Mitarbeiterfotos durch den Arbeitgeber auf der Facebook-Seite des Unternehmens ohne Einwilligung des Arbeitnehmers aus Art. 82 Abs. 1 DSGVO ein Anspruch auf Schadensersatz von bis zu 1.000,00 EURO bestehen kann.
Das AG Bochum hat im Rahmen eines Prozesskostenhilfeverfahrens entschieden, dass ein Anspruch auf Schadensersatz wegen eines Verstoßes gegen Art. 32 DSGVO durch Versendung unverschlüsselter E-Mails nur dann im Betracht kommt, wenn ein konkreter Schaden entstanden ist und dieser schlüssig dargelegt wird.
Aus den Entscheidungsgründen:
Prozesskostenhilfe konnte nicht bewilligt werden, da die beabsichtigte Rechtsverfolgung keine hinreichende Aussicht auf Erfolg bietet.
Die Antragsgegnerin ist mit Beschluss des Amtsgerichts Recklinghausen vom 16.05.2018 als Berufsbetreuerin zur Betreuerin des Antragstellers bestellt worden. Die Aufgabenkreise umfassten Vermögensangelegenheiten, Wohnungsangelegenheiten und Vertretung gegenüber Behörden und Sozialversicherungsträgern. Die Betreuerin vertrat den Betreuten im Rahmen ihres Aufgabenkreises gerichtlich und außergerichtlich. Die Bestellungsurkunde diente als Ausweis. Seit Juni 2018 ist die Betreuung aufgehoben.
Nach dem Vortrag des Antragstellers soll die Antragsgegnerin Daten und Informationen bezüglich des Antragstellers an dessen Vermieter und an weitere Stellen herausgegeben haben. Weder welche konkreten Daten und Informationen wann genau herausgegeben worden sein sollen noch an welche weiteren Stellen die Herausgabe erfolgte, ist von dem Antragsteller substantiiert dargelegt. Da die Betreuung auch den Aufgabenkreis der Wohnungsangelegenheiten umfasste, gehört die Offenlegung der Betreuung unter Vorlage der Bestellungsurkunde wie auch die Erörterung der Einkommens- und Vermögensverhältnisse bezogen auf die mietvertraglichen Pflichten zur Erfüllung der rechtlichen Verpflichtungen des Antragsgegnerin aus der Betreuung und ist damit auch ohne Einwilligung des Antragstellers nach Art. 6 DSGVO rechtmäßig. Dies gilt naturgemäß auch für die Mitteilung der Beendigung der Betreuung, wenn die Antragsgegnerin noch seitens des Vermieters in mietrechtlichen Angelegenheiten angesprochen wird. Eine darüber hinausgehende Übermittlung personenbezogener Daten durch die Antragsgegnerin ist nicht dargelegt. Ein Verstoß gegen Datenschutzregeln oder die Schweigepflicht ergibt sich aus dem Vorbringen des Antragstellers nicht.
Die Übersendung der Bestellungsurkunde an den jetzigen Prozessbevollmächtigten des Antragstellers am 30.05.2018 an sich ist aus den dargelegten Gründen ebenfalls rechtmäßig. Die Versendung als unverschlüsselte Email mag gegen Art. 32 DSGVO verstoßen. Dass aufgrund der Wahl eines ungesicherten Übertragungsweges persönliche Daten und Informationen bez. des Antragstellers unbefugten Dritten tatsächlich bekannt geworden sind, ist weder dargelegt noch ersichtlich. Damit ergibt sich aber auch nicht, dass dem Antragsteller wegen eines eventuell gegebenen Verstoßes ein irgendwie gearteter materieller oder immaterieller Schaden entstanden ist.
Ein Anspruch aus Art. 82 DSGVO ist im Ergebnis nicht schlüssig dargelegt und die Rechtsverfolgung bietet keine hinreichende Aussicht auf Erfolg.
