Skip to content

LG Lüneburg: 500 Euro Schadensersatz aus Art . 82 DSGVO wegen Zusendung von Werbemails nach Widerruf der Einwilligung

LG Lüneburg
Urteil vom 07.12.2023
5 O 6/23


Das LG Lüneburg hat dem Betroffenen Schadensersatz aus Art. 82 DSGVO in Höhe von 500 EURO wegen der Zusendung von Werbemails nach mehrmaligen Widerruf der Einwilligung zu Zusendung von Werbung zugesprochen.

Aus den Entscheidungsgründen:
1. Dem Kläger steht gem. Art. 82 DS-GVO ein Anspruch auf Ersatz immateriellen Schadens zu, den die Kammer wie tenoriert bemisst.

Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen, also diejenige natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (vgl. Art. 4 Nr. 7 DSGVO).

2. Die Beklagte hat gegen Bestimmungen der DS-GVO verstoßen, indem sie dem Kläger Werbeemails zugeschickt hat, ohne dass dies nach Art. 6 Abs.1 DS-GVO gerechtfertigt war. Der Kläger hatte seine zunächst erteilte Einwilligung zu dem Erhalt von Werbeemails zuvor unbestritten widerrufen. Die Beklagte konnte folglich keinen rechtfertigenden Tatbestand gem. Art. 6 Abs. 1 lit. a DS-GVO mehr für den Versand der streitgegenständlichen Werbeemails darlegen.

3. Die Verstöße haben nach dem - insoweit auch unwidersprochen gebliebenen und damit zugestandenen (§ 138 Abs.3 ZPO) Vorbringen des Klägers - kausal zu einem immateriellen Schaden geführt. Der Begriff des immateriellen Schadens ist unionsrechtlich autonom und in allen Mitgliedstaaten einheitlich auszulegen (EuGH, Urt. 4.5.2023 - C-300/21).

Dabei muss der Schaden des Klägers nicht eine gewisse Erheblichkeit erreicht haben. Nach der Rechtsprechung des EuGH ist Art. 82 Abs. 1 DSGVO dahin auszulegen, dass er einer nationalen Regelung oder Praxis entgegensteht, die den Ersatz eines immateriellen Schadens im Sinne dieser Bestimmung davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat (EuGH, Urt. 4.5.2023 - C-300/21).

Wenngleich der immaterielle Schaden nach Erwägungsgrund 146 zur DS-GVO tatsächlich entstanden sein muss und nicht lediglich befürchtet werden darf, ist nach Erwägungsgrund 146 S. 3 zur DS-GVO der Schadensbegriff weit auszulegen. Der EuGH verlangt unter Bezugnahme auf den Effektivitätsgrundsatz, dass Schadensersatzforderungen abschrecken und weitere Verstöße unattraktiv machen sollen (so bereits EuGH 10.4.1984 - 14/83, NJW 1984, 2021 (2022).

Als immaterieller Schaden kommen Ängste, Stress, Komfort- und Zeiteinbußen in Betracht (Bergt in Kühling/Buchner/Bergt, 4. Aufl. 2024, DS-GVO Art.82 Rn. 18b).

Hier hat der Kläger unbestritten viermal gegenüber der Beklagten erklärt, dass er keine weiteren Werbeemails wünscht. Zweimal ließ der Kläger dies sogar von seinem bevollmächtigten Rechtsanwalt erklären. Dennoch hat die Beklagte dem Kläger weiterhin Werbeemails geschickt. Der bei dem Kläger dadurch verursache Ärger, Zeitverlust und Eindruck des Kontrollverlusts stellt einen Schaden im Sinne der Norm dar. Die negativen Auswirkungen des Verstoßes gegen die DS-GVO liegen darin, dass sich der Kläger mit der Abwehr der von ihm unerwünschten Werbung auseinandersetzen musste. Dies sogar mehrfach, da die Beklagte seinen Widerruf der Einwilligung mehrfach missachtete. Der Umstand, dass sogar der Prozessbevollmächtigte des Klägers die Beklagte zweimal erfolglos zum Unterlassen aufforderte, ist geeignet bei dem Kläger den belastenden Eindruck der Hilflosigkeit und des Kontrollverlustes in Bezug auf seine Datenverarbeitung zu führen.

4. Die Frage, ob Art. 82 DS-GVO eine vom Verschulden abhängige oder unabhängige Anspruchsgrundlage darstellt, kann dahinstehen. Denn vorliegend ist nichts vorgetragen oder ersichtlich, was gegen ein Verschulden der Beklagten spricht.

5. Bei der Bestimmung der Höhe des Schadensersatzes, die der Kläger in das Ermessen des Gerichts gestellt hat, sind gem. § 287 Abs.1 S. 1 ZPO alle Umstände des Einzelfalls würdigen, insbesondere Art, Intensität und Dauer der erlittenen Rechtsverletzung. Auch bei der Höhe des Schadens ist der Effektivitätsgrundsatz zu berücksichtigen.

Das Amtsgericht Pfaffenhofen (AG Pfaffenhofen, Endurteil v. 09.09.2021 - 2 C 133/21) entschied in einem ähnlichen Fall:

"Die Höhe des Anspruchs ist dabei nicht willkürlich, sondern auf der Grundlage der inhaltlichen Schwere und Dauer der Rechtsverletzung zu beurteilen, unter Berücksichtigung des Kontexts, der Umstände eines Verstoßes. Genugtuungs- und Vorbeugungsfunktion können bei der Bezifferung eine Rolle spielen. Einerseits darf die Höhe des Schadensersatzes keine Strafwirkung entfalten. Andererseits reicht ein künstlich niedrig bezifferter Betrag mit symbolischer Wirkung nicht aus, um die praktische Wirksamkeit des Unionsrechts sicherzustellen (vgl. Paal/Pauly/Frenzel, 3. Aufl. 2021, DS-GVO Art. 82 Rn. 12a)."

Dabei sprach das AG Pfaffenhofen dem Kläger 300,00 Euro für eine unerwünscht erhaltene Werbeemail zu, wobei in dem dortigen Fall die Beklagte die Emailadresse des Klägers gänzlich ohne dessen Einwilligung erhalten hatte.

Das AG Diez (Urteil vom 17.04.2018 - 7 O 6829/17) erachtete in dem Fall eines Versandes einer Werbeemail, mit welcher die Beklagte am 25.5.2018, als die DS-GVO Gültigkeit erlangte, eben aus diesem Grund und unter Bezugnahme hierauf nach einer Einwilligung zum Newsletter-Bezug anfragte, einen Schadensersatzanspruch als unbegründet.

In einem ähnlichen Fall lehnte das AG Goslar (Urteil vom 27.09.2019 - 28 C 7/19) einen Schadensersatzanspruch ab, da es sich auch in dem dortigen Fall um lediglich eine Werbeemail handelte: "Für das Gericht ist aufgrund des Vortrags des Klägers ein Schaden indes nicht ersichtlich. Es handelte sich lediglich um eine einzige Werbe-E-Mail, die nicht zur Unzeit versandt wurde und aufgrund ihres äußeren Erscheinungsbildes deutlich zeigt, dass es sich um Werbung handelt, so dass ein längeres Befassen mit der E-Mail nicht notwendig war."

Im Interesse einer effektiven Abschreckung und einer Kompensierung des erlittenen Schadens ist das Verhalten der Beklagten in Form der mehrfachen Missachtung des ausdrücklich erklärten Willens des Klägers als schadensersatzerhöhend zu berücksichtigen. Schadensersatzerhöhend ist ebenfalls die Häufigkeit des Verstoßes zu berücksichtigen. In dem vorliegenden Fall hat der Kläger in einem Zeitraum von knapp vier Monaten insgesamt dreizehn Werbeemails von der Beklagten erhalten. Er erhielt dabei jeweils 4 bzw. 5 Werbeemails in kurzer Zeitabfolge, teilweise fast täglich.

Zu berücksichtigen ist allerdings auch, dass die Auswirkungen des Verstoßes gegen die DS-GVO den Wirkungsbereich des Klägers nicht verlassen haben. Es wurde durch den Verstoß kein Bereich berührt, der etwa die Beziehung des Klägers zu Dritten berührt.

Das Gericht erachtet vorliegend im Ergebnis eine Entschädigung von 500,00 EUR für angemessen.


Den Volltext der Entscheidung finden Sie hier:

LAG Rheinland-Pfalz: Kein Schadensersatzanspruch aus Art. 82 DSGVO wegen verspäteter Auskunftserteilung nach Art. 15 DSGVO

LAG Rheinland-Pfalz
Urteil vom 08.02.2024
5 Sa 154/23


Das LAG Rheinland-Pfalz hat entschieden, dass eine verspätete Auskunftserteilung nach Art. 15 DSGVO keinen Schadensersatzanspruch aus Art. 82 DSGVO begründet.

Aus den Entscheidungsgründen:
In der Sache ist die Berufung der Beklagten begründet; die Anschlussberufung der Klägerin ist unbegründet. Die Beklagte ist nicht verpflichtet, an die Klägerin Schadensersatz zu zahlen. Das erstinstanzliche Urteil ist deshalb aufzuheben und die Klage abzuweisen.

Die Klägerin hat keinen Anspruch auf immateriellen Schadensersatz nach Art. 82 Abs. 1 DSGVO, weil die Beklagte ihrem Auskunftsverlangen nach Art. 15 Abs. 1 DSGVO nicht innerhalb der Monatsfrist des Art. 12 Abs. 3 Satz 1 DSGVO nachgekommen ist. Ein Schadensersatzanspruch folgt auch nicht daraus, dass die Beklagte der Klägerin die nach § 15 Abs. 3 Satz 1 DSGVO geforderte Datenkopie nicht bereits mit ihrer Auskunft zur Verfügung gestellt hat.

1. Die Beklagte hat auf das formelhafte Auskunftsverlangen der Klägerin vom 13. Juli 2022, eingegangen am 14. Juli 2022, nicht innerhalb der Monatsfrist des § 12 Abs. 3 Satz 1 DSGVO geantwortet. Ihre Auskunft vom 30. August 2022 ging erst am 2. September 2022 und damit (unstreitig) verspätet bei der Klägerin ein.

a) Die nicht fristgerechte Auskunftserteilung allein, führt zu keinem immateriellen Schadensersatzanspruch.

Die Berufungskammer teilt die Rechtsansicht anderer Landesarbeitsgerichte, dass der bloße Verstoß gegen die Vorgaben der DSGVO nicht genügt, um einen Schadensersatzanspruch gem. Art. 82 Abs. 1 DSGVO zu begründen. Dafür spricht der Wortlaut des Art. 82 Abs. 1 DSGVO, wonach Personen, denen materieller oder immaterieller „Schaden“ entstanden ist, Anspruch auf Schadensersatz haben. Zwar soll nach Erwägungsgrund 146 Satz 3 der DSGVO der Begriff des Schadens im Lichte der Rechtsprechung des Gerichtshofs der Europäischen Union (EuGH 04.05.2023 - C-300/21) auf eine Art und Weise weit ausgelegt werden, die den Zielen der DSGVO in vollem Umfang entspricht. Ein weites Verständnis des Schadensbegriffs bedeutet aber nicht, dass vom Vorliegen eines konkreten Schadens gänzlich abzusehen ist. Verspätete Auskünfte an eine Person gemäß Art. 15 Abs. 1 DSGVO als solche sind somit nicht haftungsauslösend (vgl. LAG Düsseldorf 28.11.2023 - 3 Sa 285/23 - PM Nr. 29/2023; LAG Baden-Württemberg 27.07.2023 - 3 Sa 33/22 - Rn. 78 ff; LAG Hamm 02.12.2022 - 19 Sa 756/22 - Rn. 150 ff mwN).

b) Der von der Klägerin angeführte „Kontrollverlust“ über ihre personenbezogenen Daten stellt keinen ersatzfähigen immateriellen Schaden dar (ebenso LAG Baden-Württemberg 27.07.2023 - 3 Sa 33/22 - Rn. 82). Im Streitfall ist zudem nicht erkennbar, worin der „Kontrollverlust“ der Klägerin bestanden haben soll. Die Beklagte weist zutreffend darauf hin, dass die Daten der Klägerin nicht „außer Kontrolle“ geraten seien, sondern für Zwecke des Beschäftigungsverhältnisses verarbeitet wurden, § 26 BDSG. Hierauf kann sich die Beklagte - entgegen der Ansicht der Klägerin - im Berufungsverfahren berufen. Die Rüge einer „Verspätung möglicher Verteidigungshandlungen“ ist rechtlich nicht tragfähig.

Es stellt auch keinen ersatzfähigen immateriellen Schaden dar, dass sich die Klägerin über die nicht fristgerechte Antwort der Beklagten auf ihr Auskunftsverlangen geärgert hat. „Bloßer Ärger“ des Betroffenen genügt genauso wenig wie das „bloße Warten“ auf die Auskunft (vgl. Schlussanträge des Generalanwalts vom 06.10.2022 im Verfahren C-300/21), um einen immateriellen Schaden annehmen zu können.

Dieses Auslegungsergebnis steht im Einklang mit der Rechtsprechung des EuGH, der in seinem Urteil vom 4. Mai 2023 (Rechtssache C-300/21 Österreichische Post) betont hat, dass ein Schadensersatzanspruch das Vorliegen eines „Schadens“ erfordere. Der bloße Verstoß gegen die DSGVO reiche daher nicht aus, um einen Schadensersatzanspruch der betroffenen Person zu begründen (Rn. 42). Ein Schadensersatzanspruch hänge zwar nicht davon ab, dass der betreffende Schaden eine gewisse Erheblichkeit erreiche. Das bedeute allerdings nicht, dass eine Person, die von einem Verstoß gegen die DSGVO betroffen sei, der für sie negative Folgen gehabt habe, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden iSv. Art. 82 DSGVO darstellen (Rn. 50).

c) Im Streitfall ist es der Klägerin nicht gelungen, einen durch die verzögerte Auskunftserteilung entstandenen immateriellen Schaden im Sinne der Norm darzulegen.

Die Klägerin macht geltend, dass das Arbeitsverhältnis seit Jahren belastet sei; sie bezieht sich auf ihre Ausführungen im weiteren Rechtsstreit 6 Ca 738/22 (LAG Rheinland-Pfalz 5 Sa 155/23). Dort verlangt sie von der Beklagten ua. ein angemessenes Schmerzensgeld von mindestens € 30.000,00 wegen Benachteiligung und Mobbings. Die um 18 Tage verspätete Antwort der Beklagten auf ihr Auskunftsbegehren betrachtet die Klägerin als einen weiteren „Baustein“, um sie in ihrer Ehre und ihrer Persönlichkeit zu verletzen. Die Beklagte habe ihr das „klare Signal“ übermittelt, dass man sich mit ihren Anliegen nicht beschäftige, und wenn, nur unzureichend, unvollständig und nicht fristgerecht. Damit hat die Klägerin keinen kausalen Schaden durch die verspätete Auskunftserteilung dargelegt. Dasselbe gilt, soweit sie auf die zwei Abmahnungen der Beklagten mit Datum vom 29. Juni 2022 abhebt.

Es ist objektiv nicht nachvollziehbar, weshalb die nach Art. 12 Abs. 3 Satz 1 DSGVO um 18 Tage verspätete Antwort der Beklagten auf ein Auskunftsbegehren, das sich im reinen Wortlaut des Art. 15 Abs. 1 Halbsatz 2 DSGVO erschöpfte, zu einer „Demütigung “ der Klägerin geführt haben könnte. Auch eine Verletzung der Ehre oder des Persönlichkeitsrechts der Klägerin ist bei der gebotenen objektiven Betrachtungsweise, d.h. ohne Rücksicht auf das subjektive Empfinden der Klägerin, nicht erkennbar. Soweit die Klägerin geltend macht, sie sei wegen der psychischen Belastung, ausgelöst durch die nicht fristgerechte Auskunft der Beklagten, in der Zeit vom 12. Juli bis 14. September 2002 arbeitsunfähig erkrankt, ist ein Kausalzusammenhang nicht gegeben. Das Auskunftsverlangen der Klägerin vom 13. Juli 2022 ist bei der Beklagten am 14. Juli 2022 eingegangen, die Monatsfrist des Art. 12 Abs. 3 Satz 1 DSGVO am 15. August 2022 (einem Montag) abgelaufen. Die Arbeitsunfähigkeit der Klägerin begann bereits am 12. Juli 2022. Die verspätete Auskunft der Beklagten kann auf der Zeitschiene für diesen Arbeitsunfähigkeitszeitraum nicht ursächlich gewesen sein. Hinzu kommt, dass die Klägerin behauptet, sie habe aufgrund der beiden Abmahnungen der Beklagten vom 29. Juni 2022 unter starken gesundheitlichen Beeinträchtigungen (ua. Schlafstörungen, Schweißausbrüchen, starkes Unwohlsein) gelitten. Der teils widersprüchliche Sachvortrag der Klägerin ist nicht geeignet, einen Kausalzusammenhang zwischen ihrer psychischen Erkrankung und der nicht fristgerechten Auskunft schlüssig darzulegen. Bei objektiver Betrachtung ist das Auskunftsbegehren der Klägerin eine Reaktion auf die Abmahnung wegen Verletzung des Datenschutzes, und nicht umgekehrt. Das belegt schon die zeitliche Abfolge.

2. Die Beklagte ist nicht zum Schadensersatz verpflichtet, weil sie der Klägerin nicht bereits mit der erteilten Auskunft vom 30. August 2022 die geforderte Datenkopie nach Art. 15 Abs. 3 Satz 1 DSGVO zur Verfügung gestellt hat. Es fehlt bereits an einer Pflichtverletzung der Beklagten.

Die Klägerin hat sich in ihrem schriftlichen Auskunftsbegehren vom 13. Juli 2022 auf eine bloße Wiederholung des Normwortlauts des Art. 15 Abs. 1 Halbsatz 2 DSGVO beschränkt. Ansonsten hat sie - unbestimmt - verlangt, ihr eine Kopie ihrer personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung zu stellen. Dies genügt für einen Anspruch aus Art. 15 Abs. 3 Satz 1 DSGVO grundsätzlich nicht. Die bloße Wiederholung des Wortlauts der Norm lässt nicht erkennen, von welchen personenbezogenen Daten eine Kopie verlangt wird (vgl. BAG 16.12.2021 - 2 AZR 235/21 - Rn. 33 mwN). Erst wenn die geforderte Auskunft vorliegt, kann die betroffene Person beschreiben, von welchen konkret verarbeiteten personenbezogenen Daten eine Kopie verlangt wird. Hier hat sich die Beklagte in Ziff. 3 des Teilvergleichs vom 1. Juni 2023 bereit erklärt, der Klägerin (in einem zu vereinbarenden Termin mit ihrem Vorgesetzten) Einsicht in die über sie gespeicherten personenbezogenen Daten zu ermöglichen, wenn ihr „die Klägerin vorher mitteilt, welche genauen Daten sie zu sehen wünscht“. Anders als die Klägerin meint, bestand vor der Konkretisierung ihres Einsichtsbegehrens kein rechtswidriger Zustand. Ihr Vorwurf, die Beklagte habe sie über „viele Monate“ benachteiligt, weil sie ihr mit der Auskunft keine Datenkopie zur Verfügung gestellt hat, ist nicht berechtigt.


Den Volltext der Entscheidung finden Sie hier:

LAG Düsseldorf: Kein Schadensersatzanspruch aus Art. 82 DSGVO wegen verspäteter oder unvollständiger Auskunftserteilung nach Art. 15 DSGVO

LAG Düsseldorf
Urteil vom 28.11.2023
3 Sa 285/23


Das LAG Düsseldorf hat entschieden, dass eine verspätete oder unvollständige Auskunftserteilung nach Art. 15 DSGVO keinen Schadensersatzanspruch aus Art. 82 DSGVO begründet.

Die Pressemitteilung des Gerichts:
LAG Düsseldorf: Keine Entschädigung für verspätete und unvollständige Auskunft gemäß Art. 15 DSGVO

Der Kläger war vom 01.12.2016 bis zum 31.12.2016 bei dem Kundenservice eines Immobilienunternehmens, der Beklagten, beschäftigt. Bereits im Jahre 2020 hatte er einen Antrag auf Auskunft gemäß Art. 15 DSGVO gestellt, den die Beklagte beantwortet hatte.

Mit Schreiben vom 01.10.2022, das der Beklagten an diesem Tag zuging, verlangte er erneut Auskunft und eine Datenkopie auf der Grundlage von Art. 15 DSGVO. Er setzte eine Frist bis zum 16.10.2022. Als die Beklagte nicht antwortete, erinnerte der Kläger mit Schreiben vom 21.10.2022 mit weiterer Fristsetzung bis zum 31.10.2022. Die ihm mit Schreiben vom 27.10.2022 erteilte Auskunft rügte der Kläger mit Schrei-ben vom 04.11.2022 als verspätetet und inhaltlich mangelhaft. Es fehlten die konkreten Angaben zur Dauer der Datenspeicherung und die namentlich bezeichneten Empfänger seiner Daten. Außerdem sei die Datenkopie unvollständig. Mit Schreiben vom 11.11.2022 teilte die Beklagte dem Kläger mit, dass die Angaben zu den Datenempfängern die Betroffenen in der Regel nicht interessierten und daher nur kategorisiert mitgeteilt worden seien. Zudem konkretisierte sie die Angaben zur Speicherdauer und die Datenkopie. Mit Schreiben vom 18.11.2022 verlangte der Kläger erneut die namentliche Nennung der Empfänger und auch nähere Angaben zur Speicherdauer. Die Datenkopie sei weiterhin unzureichend. Die Beklagte konkretisierte die Informationen mit Schreiben vom 01.12.2022.

Der Kläger hat von der Beklagten gemäß Art. 82 Abs. 1 DSGVO eine Geldentschädigung nach Ermessen des Gerichts verlangt, die 2.000 Euro nicht unterschreiten sollte, weil sein Auskunftsrecht aus Art. 15 DSGVO durch die Beklagte mehrfach verletzt worden sei. Diese hat dem widersprochen, weil es u.a. bereits an einem im-materiellen Schaden des Klägers fehle.

Anders als das Arbeitsgericht, das dem Kläger wegen des von ihm angenommenen vorsätzlichen Verstoßes der Beklagten eine Geldentschädigung von 10.000 Euro zugesprochen hatte, hat die 3. Kammer des Landesarbeitsgerichts Düsseldorf die Klage heute vollständig abgewiesen. Es treffe zwar zu, dass die Beklagte gegen Art. 12 Abs. 3 DSGVO und Art. 15 DSGVO verstoßen habe. Sie habe die Auskunft nicht fristgerecht und anfangs unvollständig erteilt. Eine vollständige Auskunft habe erst am 01.12.2022, d.h. sechs Wochen nach Ablauf der vom Kläger gesetzten Frist vor-gelegen. Dies begründe indes aus zwei Gründen keinen Anspruch auf eine Geldentschädigung gemäß Art. 82 Abs. 1 DSGVO. Ein Verstoß gegen Art. 15 DSGVO falle bereits nicht in den Anwendungsbereich von Art. 82 DSGVO. Die Vorschrift setzt haftungsbegründend eine gegen die DSGVO verstoßende Datenverarbeitung voraus. Daran fehle es bei der bloßen Verletzung der Auskunftspflicht aus Art. 15 DSGVO - sei es, dass diese verzögert oder anfangs unvollständig erfüllt werde. Unabhängig davon setze Art. 82 DSGVO für einen Anspruch auf eine Geldentschädigung wegen eines immateriellen Schadens mehr als einen bloßen Verstoß gegen die Vorschriften der DSGVO voraus. Der bloße vom Kläger angeführte Kontrollverlust über die Daten genüge nicht und sei mit dem Verstoß gegen Art. 15 DSGVO letztlich identisch. Zu weiterem immateriellen Schaden fehlte es an jeglichem konkreten Vortrag des Klägers.

Das Landesarbeitsgericht hat die Revision zugelassen.

Landesarbeitsgericht Düsseldorf, Urteil vom 28.11.2023 - 3 Sa 285/23
Arbeitsgericht Duisburg, Urteil vom 23.03.2023 - 3 Ca 44/23

Auszug aus der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (DSGVO)

"Artikel 12
Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person



(3) Der Verantwortliche stellt der betroffenen Person Informationen über die auf Antrag gemäß den Artikeln 15 bis 22 ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung. Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist. Der Verantwortliche unterrichtet die betroffene Person innerhalb eines Monats nach Eingang des Antrags über eine Fristverlängerung, zusammen mit den Gründen für die Verzögerung. Stellt die betroffene Person den Antrag elektronisch, so ist sie nach Möglichkeit auf elektronischem Weg zu unterrichten, sofern sie nichts anderes angibt.



Artikel 15
Auskunftsrecht der betroffenen Person

(1) Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:

a) die Verarbeitungszwecke;

b) die Kategorien personenbezogener Daten, die verarbeitet werden;

c) die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;

d) falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;

e) das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;

f) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;

g) wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;

h) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Ar-tikel 22 Absätze 1 und 4 und — zumindest in diesen Fällen — aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.



(3) Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die Gegenstand der Verar-beitung sind, zur Verfügung. Für alle weiteren Kopien, die die betroffene Person beantragt, kann der Verantwortliche ein angemessenes Entgelt auf der Grundlage der Verwaltungskosten verlangen. Stellt die betroffene Person den Antrag elektronisch, so sind die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen, sofern sie nichts anderes angibt.

(4) Das Recht auf Erhalt einer Kopie gemäß Absatz 1b darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen.

Artikel 82
Haftung und Recht auf Schadenersatz

(1) Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

(2) Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. Ein Auftragsverarbeiter haftet für den durch eine Verarbeitung verursachten Schaden nur dann, wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus dieser Verordnung nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat.

(3) Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden einge-treten ist, verantwortlich ist.
…"


EuGH: Verstoß gegen Bestimmungen der DSGVO oder Kontrollverlust allein begründen noch keinen Schadensersatzanspruch aus Art. 82 DSGVO - Nachweis eines immateriellen Schadens erforderlich

EuGH
Urteil vom 11.04.2024
C-741/21


Der EuGH hat entschieden, dass Verstoß gegen Bestimmungen der DSGVO oder Kontrollverlust allein noch keinen Schadensersatzanspruch aus Art. 82 DSGVO begründen. Vielmehr ist der Nachweis eines konkreten immateriellen Schadens erforderlich.

Tenor der Entscheidung:
1. Art. 82 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass ein Verstoß gegen Bestimmungen dieser Verordnung, die der betroffenen Person Rechte verleihen, für sich genommen nicht ausreicht, um unabhängig vom Schweregrad des von dieser Person erlittenen Schadens einen „immateriellen Schaden“ im Sinne dieser Bestimmung darzustellen.

2. Art. 82 der Verordnung 2016/679 ist dahin auszulegen, dass es für eine Befreiung des Verantwortlichen von seiner Haftung nach Art. 82 Abs. 3 dieser Verordnung nicht ausreicht, dass er geltend macht, dass der in Rede stehende Schaden durch ein Fehlverhalten einer ihm im Sinne von Art. 29 der Verordnung unterstellten Person verursacht wurde.

3. Art. 82 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen, dass zur Bemessung des Betrags des auf diese Bestimmung gestützten Anspruchs auf Schadenersatz zum einen die in Art. 83 dieser Verordnung vorgesehenen Kriterien für die Festsetzung des Betrags von Geldbußen nicht entsprechend anzuwenden sind und zum anderen nicht zu berücksichtigen ist, dass die Person, die Schadenersatz verlangt, von mehreren Verstößen gegen die Verordnung betroffen ist, die sich auf denselben Verarbeitungsvorgang beziehen.

Den Volltext der Entscheidung finden Sie hier:

EuGH: Betroffener muss für Schadensersatzanspruch aus Art. 82 DSGVO konkreten materiellen oder immateriellen Schaden nachweisen - Kontrollverlust reicht nicht

EuGH
Urteil vom 25.01.2024
C-687/21
[...] gegen MediaMarktSaturn Hagen-Iserlohn GmbH, vormals Saturn Electro-Handelsgesellschaft mbH Hagen,


Der EuGH hat entschieden, dass ein Betroffener für einen Schadensersatzanspruch aus Art. 82 DSGVO nachweisen muss, dass ein DSGVO-Verstoß einen konkreten materiellen oder immateriellen Schaden verursacht hat. Der bloße Kontrollverlust über personenbezogene Daten reicht nicht. Zudem führt der EuGH aus, dass der Anspruch aus Art. 82 DSGVO kein "Strafschadensersatz" ist.

Tenor der Entscheidung:
1. Die Art. 5, 24, 32 und 82 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) sind zusammen betrachtet dahin auszulegen, dass im Rahmen einer auf Art. 82 gestützten Schadensersatzklage der Umstand, dass Mitarbeiter des für die Verarbeitung Verantwortlichen irrtümlich ein Dokument mit personenbezogenen Daten an einen unbefugten Dritten weitergegeben haben, für sich genommen nicht ausreicht, um davon auszugehen, dass die technischen und organisatorischen Maßnahmen, die der für die betreffende Verarbeitung Verantwortliche getroffen hat, nicht „geeignet“ im Sinne der Art. 24 und 32 waren.

2. Art. 82 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen, dass der in dieser Bestimmung vorgesehene Schadensersatzanspruch, insbesondere im Fall eines immateriellen Schadens, eine Ausgleichsfunktion hat, da eine auf sie gestützte Entschädigung in Geld es ermöglichen soll, den konkret aufgrund des Verstoßes gegen die Verordnung 2016/679 erlittenen Schaden vollständig auszugleichen, und keine Straffunktion erfüllt.

3. Art. 82 der Verordnung 2016/679 ist dahin auszulegen, dass er nicht verlangt, dass die Schwere des von dem für die Verarbeitung Verantwortlichen begangenen Verstoßes für die Zwecke des Ersatzes eines Schadens auf der Grundlage dieser Bestimmung berücksichtigt wird.

4. Art. 82 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen, dass die Person, die aufgrund dieser Bestimmung Schadensersatz verlangt, nicht nur den Verstoß gegen Bestimmungen der Verordnung 2016/679 nachweisen muss, sondern auch, dass ihr dadurch ein materieller oder immaterieller Schaden entstanden ist.

5. Art. 82 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen, dass in einem Fall, in dem ein Dokument, das personenbezogene Daten enthält, an einen unbefugten Dritten weitergegeben wurde, der diese Daten erwiesenermaßen nicht zur Kenntnis genommen hat, nicht schon deshalb ein „immaterieller Schaden“ im Sinne dieser Bestimmung vorliegt, weil die betroffene Person befürchtet, dass im Anschluss an die Weitergabe, die es ermöglichte, vor der Rückgabe des Dokuments eine Kopie von ihm anzufertigen, in der Zukunft eine Weiterverbreitung oder gar ein Missbrauch ihrer Daten stattfindet.

Den Volltext der Entscheidung finden Sie hier:


OLG Hamm: Kontrollverlust über personenbezogene Daten bei unrechtmäßiger Datenverarbeitung begründet allein keinen Anspruch auf immateriellen Schadensersatz aus Art. 82 DSGVO

OLG Hamm
Beschluss vom 21.12.2023
7 U 137/23

Das OLG Hamm hat seine Rechtsansicht bekräftigt, wonach ein Kontrollverlust über personenbezogene Daten bei unrechtmäßiger Datenverarbeitung allein keinen Anspruch auf immateriellen Schadensersatz aus Art. 82 DSGVO begründet.

Aus den Entscheidungsgründen:
1. Die Berufung hat offensichtlich keine Aussicht auf Erfolg (§ 522 Abs. 2 Satz 1 Nr. 1 ZPO).

Mit Blick auf den vorliegend fehlenden kausalen immateriellen Schaden folgen die Ausführungen im Hinweisbeschluss des Senats der Rechtsprechung des EuGH (Urt. v. 14.12.2023 – C-340/21, BeckRS 2023, 35786 Rn. 84, 85). Danach hat der Kläger als Person, die von einem Verstoß gegen die DSGVO betroffen ist, der für sie negative Folgen gehabt hat, nachzuweisen, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 DSGVO darstellen. Dem folgend sieht der Senat somit den Kläger zutreffend in der Pflicht, den Indizienbeweis zum Eintritt eines kausalen immateriellen Schadens zu führen. Indem der Senat sich mit den vom Kläger dargelegten Indizien befasst und diese (hier als nicht den Eintritt eines kausalen immateriellen Schadens tragend) würdigt, setzt der Senat schlicht die weitere Vorgabe des EuGH um; denn danach ist das angerufene nationale Gericht, wenn sich eine Person auf die Befürchtung beruft, dass ihre personenbezogenen Daten in Zukunft aufgrund eines solchen Verstoßes missbräuchlich verwendet werden, gehalten zu prüfen, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann.

2. Die Sache hat auch keine grundsätzliche Bedeutung (§ 522 Abs. 2 Satz 1 Nr. 2 ZPO). Ebenso wenig ist eine Entscheidung des BGH zur Fortbildung des Rechts oder zur Sicherung einer einheitlichen Rechtsprechung erforderlich (§ 522 Abs. 2 Satz 1 Nr. 3 ZPO); denn die im vorliegenden Rechtsstreit entscheidungserheblichen Rechtsfragen sind durch die Rechtsprechung des EuGH und des BGH hinreichend geklärt und im Übrigen solche des Einzelfalls.

a) Mit Blick auf das Tatbestandsmerkmal „Eintritt eines kausalen immateriellen Schadens“ im Sinne des Art. 82 Abs. 1 DSGVO bietet der vorliegende Einzelfall keinen Anhaltspunkt für die Annahme einer weiteren klärungsbedürftigen und klärungsfähigen Rechtsfrage; vielmehr ist die streitgegenständliche Rechtsfrage zur fehlenden Qualität der negativen Folge eines bloßen Kontrollverlusts als immaterieller Schaden durch die aufgezeigten aktuellen Entscheidungen des EuGH geklärt. Die Vorlagefrage 4 aus dem Beschluss des BGH vom 26.09.2023 (VI ZR 97/22) betrifft eine andere Konstellation (vgl. hierzu i.E. Senat Beschl. v. 18.10.2023 – I-7 U 77/23, BeckRS 2023, 32741 Rn. 4).

b) Soweit das OLG Stuttgart (Urt. v. 22.11.2023 - 4 U 20/23, GRUR-RS 2023, 32883, Rn. 89 ff., 257 ff.) von der hiesigen Senatsrechtsprechung abweichend den dortigen und hiesigen Antrag zu 2. auf Feststellung der Ersatzpflicht der Beklagten für künftige materielle und immaterielle Schäden als zulässig und begründet ansieht, folgt aus dieser (vermeintlichen) Divergenz obergerichtlicher Entscheidungen kein Bedarf einer Klärung durch den BGH.

Klärungsbedürftig und damit von grundsätzlicher Bedeutung ist nur eine entscheidungserhebliche Rechtsfrage und auch nur dann, wenn ihre Beantwortung zweifelhaft ist oder wenn zu ihr unterschiedliche Auffassungen vertreten werden und die Frage höchstrichterlich noch nicht geklärt ist (vgl. BGH Beschl. v. 6.3.2019 – IV ZR 108/18, Rn. 13).

An einer grundsätzlichen Bedeutung in diesem Sinne fehlt es zunächst deshalb, weil das OLG Stuttgart (Urt. v. 22.11.2023 - 4 U 20/23, GRUR-RS 2023, 32883, Rn. 81) und der Senat (vgl. hierzu i.E. Senat Urt. v. 15.8.2023 – 7 U 19/23, GRUR-RS 2023, 22505 Rn. 191 ff.) übereinstimmend in rechtlicher Hinsicht die höchstrichterliche Rechtsprechung zugrunde legen, wonach für Schäden, die aus der behaupteten Verletzung des allgemeinen Persönlichkeitsrechts, also eines sonstigen absolut geschützten Rechtsguts im Sinne von § 823 Abs. 1 BGB, resultieren, bereits die Möglichkeit materieller oder weiterer immaterieller Schäden für die Annahme eines Feststellungsinteresses ausreicht.

Eine Divergenz in den obergerichtlichen Entscheidungen besteht lediglich insoweit, als das OLG Stuttgart anders als der Senat im Zuge der Subsumtion nicht auf den zu entscheidenden Einzelfall abstellt, sondern apodiktisch ohne die Betrachtung der Umstände des konkreten Einzelfalls die abstrakte, theoretische Möglichkeit eines (materiellen und immateriellen) Schadenseintritts für ausreichend erachtet.

Dies rechtfertigt es jedoch nicht, eine grundsätzliche Bedeutung anzunehmen; denn durch die gefestigte Rechtsprechung des BGH (vgl. nur BGH Urt. v. 5.10.2021 – VI ZR 136/20, NJW-RR 2022, 23 Rn. 28 m.w.N.) ist bereits höchstrichterlich geklärt, dass die Frage der Möglichkeit eines Schadenseintritts gerade nicht abstrakt, sondern aus der Sicht des konkret Geschädigten in verständiger Würdigung zu beurteilen ist. Dem folgt der Senat in Achtung der zugrundeliegenden Intention, der Beklagtenpartei keinen Rechtsstreit über nur theoretische Fragen aufzuzwingen, in ständiger Rechtsprechung (vgl. Senat Urt. v. 15.8.2023 – 7 U 19/23, GRUR-RS 2023, 22505 Rn. 194 m.w.N.). Dies mag das OLG Stuttgart (Urt. v. 22.11.2023 - 4 U 20/23, GRUR-RS 2023, 32883, Rn. 93 f.) verkannt haben. Eine solche vereinzelte, nicht nachvollziehbar begründete Entscheidung zwingt den Senat jedenfalls nicht zur Zulassung der Revision und damit zugleich zur Abkehr vom Verfahren nach § 522 Abs. 2 ZPO (vgl. dazu BGH Beschl. v. 6.3.2019 - IV ZR 108/18, r+s 2019, 272 Rn. 14; BGH Beschl. v. 8.2.2010 - II ZR 156/09, NJW-RR 2010, 978 Rn. 3; BGH Beschl. v. 27.11.2013 - VII ZR 371/12, NJW 2014, 456 Rn. 9).

Mit Blick darauf ist auch eine Entscheidung des BGH zur Fortbildung des Rechts nicht geboten. Ebenso wenig liegt eine tragende Rechtssatzabweichung von der Rechtsprechung eines höher- oder gleichrangigen anderen Gerichts vor, die eine höchstrichterliche Entscheidung zur Sicherung einer einheitlichen Rechtsprechung erforderte (vgl. hierzu BGH Beschl. v. 6.3.2019 - IV ZR 108/18, r+s 2019, 272 Rn. 15).

c. Entsprechendes gilt insoweit, als das OLG Stuttgart (Urt. v. 22.11.2023 – 4 U 20/23, GRUR-RS 2023, 32883 Rn. 98 ff. und 272) anders als der Senat (Urt. v. 15.8.2023 – 7 U 19/23, GRUR-RS 2023, 22505 Rn. 203 ff.) die Unterlassungsanträge als zulässig erachtet und mit Blick darauf, dass in der Sache über die Unterlassungsansprüche letztlich doch die Implementierung bestimmter Sicherheitsmaßnahmen und damit im Ergebnis eine Leistung verlangt werde, erst die Begründetheit verneint; denn das OLG Stuttgart setzt sich in keiner Weise mit den Ausführungen des Senats zur Unzulässigkeit der beiden Unterlassungsanträge, die auf entsprechender Rechtsprechung des BGH fußen, auseinander. Infolgedessen lassen sich über den jeweiligen Einzelfall hinaus schon keine (weiteren) Unklarheiten in der höchstrichterlichen Rechtsprechung, die eine zusätzliche Klärung durch den BGH erforderten (vgl. hierzu BGH Beschl. v. 8.2.2010 - II ZR 156/09, NJW-RR 2010, 978 Rn. 3; BGH Beschl. v. 27.11.2013 - VII ZR 371/12, NJW 2014, 456 Rn. 9), feststellen.

d. Allein die Vielzahl bundesweit anhängiger gleichgerichteter Rechtsstreite vermag vor dem Hintergrund, dass die entscheidungserheblichen Rechtsfragen sämtlich durch EuGH und BGH geklärt sind, dem Einzelfall keine grundsätzliche Bedeutung zu verleihen.

3. Auch die Durchführung einer mündlichen Verhandlung (§ 522 Abs. 2 Satz 1 Nr. 4 ZPO) ist nicht geboten. Es wird insoweit auf die Ausführungen im Hinweisbeschluss vom 24.11.2023 (Bl. 149 ff. der zweitinstanzlichen elektronischen Gerichtsakte) Bezug genommen.

II. Die Kostenentscheidung beruht auf § 97 Abs. 1 ZPO; die Entscheidung über die vorläufige Vollstreckbarkeit folgt aus § 544 Abs. 2, § 708 Nr. 10, § 713 ZPO.

III. Aus dem Umstand, dass das OLG Stuttgart im Tenor seines Urteils (v. 22.11.2023 – 4 U 20/23, GRUR-RS 2023, 32883) ohne weitere Begründung in seinem Einzelfall den Streitwert für das Berufungsverfahren auf 7.000,00 EUR festgesetzt hat, ergibt sich für den Senat für den vorliegenden Einzelfall kein Grund von seiner Praxis zur Streitwertfestsetzung abzuweichen. Auch insoweit orientiert sich der Senat an ständiger Rechtsprechung des BGH (Senat Urt. v. 15.8.2023 – 7 U 19/23, GRUR-RS 2023, 22505 Rn. 254 ff.).


Den Volltext der Entscheidung finden Sie hier:

OLG Hamburg: 4.000 EURO immaterieller Schadensersatz aus Art. 82 DSGVO wegen zwei unberechtigter Schufameldungen

OLG Hamburg
Urteil vom 10.01.2024
13 U 70/23

Das OLG Hamburg hat entschieden, dass dem Betroffenen 4.000 EURO immaterieller Schadensersatz aus Art. 82 DSGVO wegen zwei unberechtigter Schufameldungen zustehen.

Aus den Entscheidungsgründen:
Der Kläger hat gegen die Beklagte Anspruch auf Ersatz immateriellen Schadens gem. Art. 82 Abs. 1, Abs. 2 S. 1. DSGVO in Höhe von insgesamt 4.000,00.

Die Beklagte hat als „Verantwortlicher" i.S.d. Art. Nr. DSGVO gegen ihre Pflichten aus Art. 5, 6 i.V.m. Art.4 Abs.2 DSGVO verstoßen, indem sie ihre Forderungen gegen den Kläger zweimal an die Schufa gemeldet hat, obwohl die Voraussetzungen hierfür nicht vorlagen. Zur Begründung wird auf die zutreffenden Ausführungen des Landgerichts Bezug genommen, welchen sich das Berufungsgericht vollen Umfangs anschließt.

Hierdurch ist dem Kläger auch ein ersatzfähiger immaterieller Schaden entstanden. Das Landgericht hat sorgfältig und überzeugend begründet, dass der Kläger durch die zweifache unberechtigte Meldung an die Schufa eine Beeinträchtigung seines sozialen Ansehens durch die Darstellung als unzuverlässiger Schuldner hinnehmen musste.

Der Kläger hat zudem belegt, dass sich aus der Auskunft der Schufa und der verschlechterten Einschätzung des Bonitätsrisikos konkrete negative Konsequenzen in Bezug auf die Gewährung eines Kredits durch die ING (Anlage K16) sowie die Sperrung seiner Kreditkarte bei der Hanseatic Bank (Anlage 17) ergeben habe.

Bei der Bemessung des danach zuzuerkennenden Schmerzensgeldes sind nach Auffassung des Berufungsgerichts jedoch nicht alle Umstände hinreichend gewichtet worden.

Der EuGH (Urteil vom 4.5.2023, C-300/21, Rz. 51) hat zur Bemessung des geschuldeten Schadenersatzes festgestellt, dass die DSGVO keine Bestimmung enthält, die sich den Regeln für die Bemessung des Schadenersatzes widmet, auf den eine betroffene Person nach Art. 82 DSGVO Anspruch hat, wenn ihr durch einen Verstoß gegen die Verordnung ein Schaden entstanden ist, und dass ... die Festlegung der Kriterien für die Ermittlung des Umfangs des geschuldeten Schadenersatzes in Ermanglung einschlägiger unionsrechtlicher Vorschriften Aufgabe des Rechts des einzelnen Mitgliedsstaates ist, wobei der Äquivalenz- und der Effektivitätsgrundsatz zu beachten sind.

Maßgeblich sind hiernach die im deutschen Recht für die Schmerzensgeldbemessung maßgeblichen Kriterien, womit die Höhe des Ersatzanspruchs auf Grund einer Würdigung der Gesamtumstände des Falls unter Berücksichtigung der dem Schmerzensgeld zukommenden Ausgleichs- und Genugtuungsfunktion festzusetzen.

Danach muss zum einen dem Umstand, dass auf Seiten der Beklagten jedenfalls bedingter Vorsatz angenommen werden muss, besondere Bedeutung beigemessen werden. Die Beklagte hat die erste Meldung vorgenommen, obwohl der Kläger die Forderung auf ihren eigenen Hinweis hin, dass eine Meldung an die Schufa (nur dann) erfolgen werde, sofern er die Forderung nicht bestritten habe, mit Schreiben vom 1.12.2019, Anlage 7, ausdrücklich bestritten hat. Auch die zweite Meldung erfolgte trotz weiteren Bestreitens durch den Kläger (Schreiben vom 29.12.2019, Anlage 11), seiner Aufforderung zur Löschung und einer zwischenzeitlich erfolgten Löschung durch die Schufa selbst (Anlage 14). Ein solches Verhalten kann nicht anders gedeutet werden, als dass die Beklagte wissentlich und jedenfalls unter billigender Inkaufnahme des als möglich erkannten pflichtwidrigen Erfolges ihre Pflichten aus der DSGVO verletzt hat. Hinzu kommt, dass die Beklagte sich trotz Aufforderung durch den Kläger und Darlegung der Rechtswidrigkeit der Meldung geweigert hat, den Negativeintrag zu widerrufen.

Unter Berücksichtigung der dargestellten Umstände und im Hinblick auf einen kürzlich vom Senat entschiedenen vergleichbaren Fall, wo es weder zu konkreten Auswirkungen durch die Schufa-Meldung gekommen war noch ein vorsätzliches Vorgehen der Beklagten festgestellt werden konnte (13 71/21) und vom Senat ein Schmerzensgeld in Höhe von 1.000,- je Meldung zuerkannt worden war, wird ein deutlich höherer Betrag in Höhe von 2.000,- je Meldung, mithin insgesamt 4.000,00 als angemessen, aber auch als ausreichend erachtet, so dass die weitergehende Berufung zurückzuweisen ist.



ArbG Suhl: Auskunftserteilung nach Art. 15 DSGVO per unverschlüsselter E-Mail verstößt gegen Art. 5 DSGVO - Schadensersatz aus Art. 82 DSGVO nur bei Nachweis eins konkreten Schadens

ArbG Suhl
Urteil vom 20.12.2023
6 Ca 704/23


Das ArbG Suhl hat entschieden, dass eine Auskunftserteilung nach Art. 15 DSGVO per unverschlüsselter E-Mail gegen Art. 5 DSGVO verstößt. Ein Anspruch auf Schadensersatz aus Art. 82 DSGVO besteht aber nur bei Nachweis eins konkreten Schadens.

Aus den Entscheidungsgründen:
1. Dem Kläger steht kein Anspruch aus Art. 82 DSGVO gegen die Beklagte auf Ersatz des von ihm geltend gemachten immateriellen Schadens zu.

Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde, Art. 82 Abs. 2 Satz 1 DSGVO. Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist, Art. 82 Abs. 3 DSGVO.

Die Voraussetzungen für einen Schadensersatzanspruch liegen nicht vor, da es jedenfalls an der Darlegung des Eintritts eines Schadens bei dem Kläger fehlt.

Ein Verstoß gegen Art. 5 DSGVO wegen des Versands der unverschlüsselten E-Mail liegt vor. Dies wurde auch vom Thüringer Landesbeauftragen für den Datenschutz und die Informationsfreiheit mit Bescheid vom 03.08.2023 bestätigt. Ob die Weiterleitung der Daten an den Betriebsrat und die monierte unvollständige Auskunftserteilung ebenfalls Verstöße gegen Regelungen der DSGVO darstellen, kann vorliegend dahinstehen. Denn der Kläger hat bereits keinen Schaden dargelegt.

Soweit der Kläger der Auffassung ist, bereits ein Verstoß gegen die DSGVO genüge für das Entstehen eines Schadensersatzanspruches, kann dem nicht gefolgt werden.

Es ist zwar zutreffend, dass die Frage, ob bereits der Datenschutzverstoß als solcher für das Entstehen eines Schadensersatzanspruchs ausreicht oder es darüber hinaus der Darlegung und des Nachweises eines konkreten (auch: immateriellen) Schadens bedarf, in Rechtsprechung und Literatur umstritten ist. Sowohl der österreichische Oberste Gerichtshof (Vorabentscheidungsersuchen vom 12.05.2021, ZD 2021, S. 631, wobei der Gerichtshof die Auffassung vertritt, es sei der Nachweis eines Schadens erforderlich) als auch das Bundesarbeitsgericht (Vorabentscheidungsersuchen vom 26.08.2021, 8 AZR 253/20-A, wobei das BAG den Nachweis eines Schadens nicht für notwendig hält) haben die hiermit zusammenhängenden Fragen dem Europäischen Gerichtshof zur Vorabentscheidung vorgelegt (OLG Frankfurt, Urteil vom 02.03.2022 – 13 U 206/20 -Rn. 68, 69, juris).

Auf das Vorabentscheidungsersuchen des österreichischen Obersten Gerichtshofes entschied jedoch nunmehr unter dem 04.05.2023 der EuGH, dass Art. 82 Abs.1 DSGVO so auszulegen ist, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadensersatzanspruch zu begründen. Zur Begründung führt der EuGH in seinem Urteil vom 04.05.2023, C-300/21, wie folgt aus:

„Mit seiner ersten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung ausreicht, um einen

Insoweit ist darauf hinzuweisen, dass nach ständiger Rechtsprechung die Begriffe einer Bestimmung des Unionsrechts, die für die Ermittlung ihres Sinnes und ihrer Tragweite nicht ausdrücklich auf das Recht der Mitgliedstaaten verweist, in der Regel in der gesamten Union eine autonome und einheitliche Auslegung erhalten müssen (Urteile vom 22. Juni 2021, Latvijas Republikas Saeima [Strafpunkte], C-439/19, EU:C:2021:504, Rn. 81, und vom 10. Februar 2022, ShareWood Switzerland, C-595/20, EU:C:2022:86, Rn. 21), die insbesondere unter Berücksichtigung des Wortlauts der betreffenden Bestimmung und des Zusammenhangs, in den sie sich einfügt, zu ermitteln ist (vgl. in diesem Sinne Urteile vom 15. April 2021, The North of England P & I Association, C-786/19, EU:C:2021:276, Rn. 48, sowie vom 10. Juni 2021, KRONE – Verlag, C-65/20, EU:C:2021:471, Rn. 25).

Die DSGVO verweist für den Sinn und die Tragweite der in ihrem Art. 82 enthaltenen Begriffe, insbesondere in Bezug auf die Begriffe „materieller oder immaterieller Schaden“ und „Schadenersatz“, nicht auf das Recht der Mitgliedstaaten. Daraus folgt, dass diese Begriffe für die Anwendung der DSGVO als autonome Begriffe des Unionsrechts anzusehen sind, die in allen Mitgliedstaaten einheitlich auszulegen sind.

Was als Erstes den Wortlaut von Art. 82 DSGVO betrifft, ist darauf hinzuweisen, dass nach Abs. 1 dieses Artikels „[j]ede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, … Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter [hat]“.

Zum einen geht aus dem Wortlaut dieser Bestimmung klar hervor, dass das Vorliegen eines „Schadens“ eine der Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadenersatzanspruch darstellt, ebenso wie das Vorliegen eines Verstoßes gegen die DSGVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind.

Daher kann nicht davon ausgegangen werden, dass jeder „Verstoß“ gegen die Bestimmungen der DSGVO für sich genommen den Schadenersatzanspruch der betroffenen Person im Sinne von Art. 4 Nr. 1 dieser Verordnung eröffnet. Eine solche Auslegung liefe dem Wortlaut von Art. 82 Abs. 1 DSGVO zuwider.

Zum anderen ist hervorzuheben, dass die gesonderte Erwähnung eines „Schadens“ und eines „Verstoßes“ in Art. 82 Abs. 1 DSGVO überflüssig wäre, wenn der Unionsgesetzgeber davon ausgegangen wäre, dass ein Verstoß gegen die Bestimmungen der DSGVO für sich allein in jedem Fall ausreichend wäre, um einen Schadenersatzanspruch zu begründen.

Als Zweites wird die vorstehende Wortauslegung durch den Zusammenhang bestätigt, in den sich diese Bestimmung einfügt.

Art. 82 Abs. 2 DSGVO, der die Haftungsregelung, deren Grundsatz in Abs. 1 dieses Artikels festgelegt ist, präzisiert, übernimmt nämlich die drei Voraussetzungen für die Entstehung des Schadenersatzanspruchs, nämlich eine Verarbeitung personenbezogener Daten unter Verstoß gegen die Bestimmungen der DSGVO, ein der betroffenen Person entstandener Schaden und ein Kausalzusammenhang zwischen der rechtswidrigen Verarbeitung und diesem Schaden.

Diese Auslegung wird auch durch die Erläuterungen in den Erwägungsgründen 75, 85 und 146 der DSGVO bestätigt. Zum einen bezieht sich der 146. Erwägungsgrund der DSGVO, der speziell den in Art. 82 Abs. 1 dieser Verordnung vorgesehenen Schadenersatzanspruch betrifft, in seinem ersten Satz auf „Schäden, die einer Person aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht“. Zum anderen heißt es in den Erwägungsgründen 75 und 85 der DSGVO, dass „[d]ie Risiken … aus einer Verarbeitung personenbezogener Daten hervorgehen [können], die zu einem … Schaden führen könnte“ bzw. dass eine „Verletzung des Schutzes personenbezogener Daten … einen … Schaden … nach sich ziehen [kann]“. Daraus ergibt sich erstens, dass der Eintritt eines Schadens im Rahmen einer solchen Verarbeitung nur potenziell ist, zweitens, dass ein Verstoß gegen die DSGVO nicht zwangsläufig zu einem Schaden führt, und drittens, dass ein Kausalzusammenhang zwischen dem fraglichen Verstoß und dem der betroffenen Person entstandenen Schaden bestehen muss, um einen Schadenersatzanspruch zu begründen.

Die Wortauslegung von Art. 82 Abs. 1 DSGVO wird auch durch einen Vergleich mit anderen Bestimmungen bestätigt, die ebenfalls in Kapitel VIII der DSGVO enthalten sind, das u. a. die verschiedenen Rechtsbehelfe regelt, mit denen die Rechte der betroffenen Person im Fall einer Verarbeitung ihrer personenbezogenen Daten, die gegen die Bestimmungen dieser Verordnung verstoßen soll, geschützt werden können.

Hierzu ist festzustellen, dass die in diesem Kapitel enthaltenen Art. 77 und 78 DSGVO im Fall eines behaupteten Verstoßes gegen diese Verordnung Rechtsbehelfe bei einer bzw. gegen eine Aufsichtsbehörde vorsehen, wobei sie – anders als Art. 82 DSGVO in Bezug auf Schadenersatzklagen – keinen Hinweis darauf enthalten, dass der betroffenen Person ein „Schaden“ entstanden sein müsste, um solche Rechtsbehelfe einlegen zu können. Dieser Unterschied in der Formulierung offenbart die Bedeutung des Kriteriums „Schaden“ und damit seine Eigenständigkeit gegenüber dem Kriterium „Verstoß“ für die Zwecke der auf die DSGVO gestützten Schadenersatzansprüche.

Auch haben die Art. 83 und 84 DSGVO, die die Verhängung von Geldbußen und anderen Sanktionen erlauben, im Wesentlichen einen Strafzweck und hängen nicht vom Vorliegen eines individuellen Schadens ab. Das Verhältnis zwischen den in Art. 82 DSGVO und den in den Art. 83 und 84 DSGVO enthaltenen Vorschriften zeigt, dass zwischen diesen beiden Kategorien von Bestimmungen ein Unterschied besteht, sie einander aber als Anreiz zur Einhaltung der DSGVO auch ergänzen, wobei das Recht jeder Person, den Ersatz eines Schadens zu verlangen, die Durchsetzungskraft der in dieser Verordnung vorgesehenen Schutzvorschriften erhöht und geeignet ist, von der Wiederholung rechtswidriger Verhaltensweisen abzuschrecken.

Schließlich ist darauf hinzuweisen, dass nach dem vierten Satz des 146. Erwägungsgrundes der DSGVO die Vorschriften der DSGVO unbeschadet von Schadenersatzforderungen aufgrund von Verstößen gegen andere Vorschriften des Unionsrechts oder des Rechts der Mitgliedstaaten gelten.

Nach alledem ist auf die erste Frage zu antworten, dass Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadenersatzanspruch zu begründen.“

Mit diesen Ausführungen wird nunmehr die Auffassung der Kammer bestätigt, dass für einen Anspruch auf Schadensersatz nach Art. 82 DSGVO neben einem Verstoß auch ein Schaden sowie ein Kausalzusammenhang zwischen Verstoß und Schaden erforderlich ist.

Der Kläger hat einen etwaigen immateriellen Schaden darzulegen und ggf. nachzuweisen.

Das Erfordernis des Nachweises eines tatsächlich erlittenen Schadens ist auch der Sache nach erforderlich, um ein vom Verordnungsgeber nicht gewolltes Ausufern von Schadensersatzforderungen in allen Fällen eines - tatsächlich für den Betroffenen folgenlosen - Datenschutzverstoßes zu vermeiden (OLG Frankfurt, Urteil vom 02.03.2022 – 13 U 206/20 -Rn. 73, juris).

Das Vorliegen eines konkreten immateriellen Schadens hat der Kläger nicht ausreichend dargetan. Im vorliegenden Fall ist nicht ersichtlich, inwieweit der Kläger einen Kontrollverlust erlitten haben will. Es ist nicht ersichtlich, dass der Kläger daran gehindert wurde, die ihn betreffenden personenbezogenen Daten zu kontrollieren. Darüber hinaus stellt nach Auffassung der Kammer ein bloßer, abstrakter Kontrollverlust auch keinen konkreten immateriellen Schaden dar.

2. Ein Anspruch des Klägers gegen die Beklagte auf Zahlung eines angemessenen Schmerzensgeldes unter dem Gesichtspunkt der Verletzung seines allgemeinen Persönlichkeitsrechts §§ 823 Abs. 1, 253 BGB in Verbindung mit Art. 1 Abs. 1, Art. 2 Abs. 1 GG besteht ebenfalls nicht.

Soweit der Kläger eine Entschädigung begehrt und argumentiert, dass alle immateriellen Schäden ersatzfähig seien, welche i.d.R. aus der Verletzung des allgemeinen Persönlichkeitsrechts heraus resultieren, kommen die genannten Normen auch als Anspruchsgrundlage in Betracht.

Das allgemeine Persönlichkeitsrecht dient in erster Linie dem Schutz ideeller Interessen, insbesondere dem Schutz des Wert- und Achtungsanspruchs der Persönlichkeit. Dieser Schutz wird dadurch verwirklicht, dass bei einer schweren Persönlichkeitsrechtsverletzung - neben negatorischen Schutzansprüchen und Ansprüchen auf Ersatz des materiellen Schadens - auch Ansprüche in Betracht kommen, die auf den Ausgleich immaterieller Beeinträchtigungen durch Zahlung einer Geldentschädigung gerichtet sind. Bei schwerwiegenden Verletzungen des allgemeinen Persönlichkeitsrechtsrechts besteht daher nach ständiger, mittlerweile gewohnheitsrechtlich anerkannter höchstrichterlicher Rechtsprechung ein Anspruch auf Ausgleich der dadurch verursachten immateriellen Schäden, der unmittelbar aus dem Schutzauftrag der Art. 1 Abs. 1, 2 Abs. 1 GG abgeleitet wird (OLG Düsseldorf, Beschluss vom 16.02.2021 – 16 U 269/20 – Rn. 14 m.w.N., juris).

Ein derartiger Anspruch scheitert vorliegend bereits daran, dass keine schwerwiegende Verletzung des allgemeinen Persönlichkeitsrechts dargetan wurde.

II. Das Verfahren war weder auszusetzen, noch das Ruhen des Verfahrens anzuordnen.


1. Entgegen der Ansicht des Klägers war das Gericht nicht gehalten, das vorliegende Verfahren auszusetzen. Das Verfahren war entscheidungsreif. Eine Aussetzung nach § 148 ZPO kam daher nicht in Betracht. Im Übrigen sind Bescheide des Landesdatenschutzbeauftragen nicht vorgreiflich im Sinne dieser Norm. Zudem ist unklar, ob weitere beim Landesdatenschutzbeauftragten anhängige Beschwerden überhaupt in Zusammenhang mit den hier behaupteten Datenschutzverstößen stehen.

Vielmehr geht die Kammer davon aus, dass mit Bescheid vom 03.08.2023 abschließend über die behaupteten Verstöße (unverschlüsselte E-Mail, Weiterleitung an Betriebsrat und unvollständige Auskunft) entschieden wurde. Entgegen der Darstellung des Klägers mit Beschwerdeformular vom 23.12.2021 sei ein weiterer Verstoß gerügt worden, betrifft diese Beschwerde offensichtlich den bereits dargelegten Verstoß der Auskunft per unverschlüsselter E-Mail.

Unter dem 25.01.2023 (Anlage K 3, Bl. 14 der Akte) erhielt der Kläger vom TLfDI eine Mittelung zur Beschwerde über Datenschutzverletzungen im A. In dem Schreiben wurde dargelegt, dass die Übermittlung mittels unverschlüsselter E-Mail als Verstoß gegen Art. 5 DSGVO zu werten ist. Es wurde auf ein laufendes Anhörungsverfahren hingewiesen und mitgeteilt, dass der Kläger über den Ausgang des Verfahrens informiert wird. Nach dem Antrag des Klägers auf Ergänzungsprüfung vom 30.03.2023 (Anlage K 4, Bl. 16 f. der Akte) und seiner weiteren Beschwerde vom 19.06.2023 (Anlage K5, Bl. 18 f. der Akte) erging am 03.08.2023 ein Bescheid. Mit dem Inhalt dieses Bescheides (Anlage K 6 Bl. 30 f. der Akte) ist davon auszugehen, dass damit abschließend über die Beschwerden des Klägers entschieden wurde. Denn der Bescheid ist überschrieben mit „Ihre Beschwerde über Datenschutzverletzungen im A in Bezug auf ihr Auskunftsersuchen“. Es wird ausgeführt: „das o.g. Verwaltungsverfahren zu Ihrer Beschwerde vom 23. Dezember 2021 ist abgeschlossen.“ Im Absatz vor der Rechtsbehelfsbelehrung wird zudem ausgeführt: „Weitere Maßnahmen sind nicht erforderlich. Auch aus Ihrem Schreiben vom 19. Juni 2023 ergibt sich nichts Anderes, weil wegen der fehlerhaften Auskunftserteilung eine Verwarnung erteilt wurde und Ihnen die begehrten Informationen vorliegen.“


Den Volltext der Entscheidung finden Sie hier:


EuGH: Verarbeitung von Gesundheitsdaten nach Art. 9 Abs. 2 lit. h DSGVO muss auch Art. 6 Abs. 1 DSGVO erfüllen - Schadensersatzanspruch aus Art. 82 DSGVO ist Kompensation für konkreten Schaden

EuGH
Urteil vom 21.12.2023
C‑667/21
Medizinischer Dienst der Krankenversicherung Nordrhein

Der EuGH hat entschieden, dass Verarbeitung von Gesundheitsdaten auf Grundlage von Art. 9 Abs. 2 lit. h DSGVO auch die Voraussetzungen von Art. 6 Abs. 1 DSGVO erfüllen muss. Ferner hat der EuGH entschieden, dass ein Schadensersatzanspruch aus Art. 82 DSGVO die Kompensation für einen konkreten Schaden darstellt.

Tenor der Entscheidung:
1. Art. 9 Abs. 2 Buchst. h der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass die in dieser Bestimmung vorgesehene Ausnahme unter dem Vorbehalt, dass die betreffende Datenverarbeitung die in Buchst. h und in Art. 9 Abs. 3 ausdrücklich vorgeschriebenen Voraussetzungen und Garantien erfüllt, auf Situationen anwendbar ist, in denen eine Stelle für medizinische Begutachtung Gesundheitsdaten eines ihrer Arbeitnehmer nicht als Arbeitgeber, sondern als Medizinischer Dienst verarbeitet, um die Arbeitsfähigkeit dieses Arbeitnehmers zu beurteilen.

2. Art. 9 Abs. 3 der Verordnung 2016/679 ist dahin auszulegen, dass der für eine auf Art. 9 Abs. 2 Buchst. h dieser Verordnung gestützte Verarbeitung von Gesundheitsdaten Verantwortliche gemäß diesen Bestimmungen nicht verpflichtet ist, zu gewährleisten, dass kein Kollege der betroffenen Person Zugang zu den Daten über ihren Gesundheitszustand hat. Eine solche Pflicht kann dem für eine solche Verarbeitung Verantwortlichen jedoch gemäß einer von einem Mitgliedstaat auf der Grundlage von Art. 9 Abs. 4 dieser Verordnung erlassenen Regelung oder aufgrund der in Art. 5 Abs. 1 Buchst. f dieser Verordnung genannten und in ihrem Art. 32 Abs. 1 Buchst. a und b konkretisierten Grundsätze der Integrität und der Vertraulichkeit obliegen.

3. Art. 9 Abs. 2 Buchst. h und Art. 6 Abs. 1 der Verordnung 2016/679 sind dahin auszulegen, dass eine auf die erstgenannte Bestimmung gestützte Verarbeitung von Gesundheitsdaten nur dann rechtmäßig ist, wenn sie nicht nur die sich aus dieser Bestimmung ergebenden Anforderungen einhält, sondern auch mindestens eine der in Art. 6 Abs. 1 genannten Rechtmäßigkeitsvoraussetzungen erfüllt.

4. Art. 82 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen, dass der in dieser Bestimmung vorgesehene Schadenersatzanspruch eine Ausgleichsfunktion hat, da eine auf diese Bestimmung gestützte Entschädigung in Geld ermöglichen soll, den konkret aufgrund des Verstoßes gegen diese Verordnung erlittenen Schaden vollständig zu ersetzen, und keine abschreckende oder Straffunktion erfüllt.

5. Art. 82 der Verordnung 2016/679 ist dahin auszulegen, dass zum einen die Haftung des Verantwortlichen vom Vorliegen eines ihm anzulastenden Verschuldens abhängt, das vermutet wird, wenn er nicht nachweist, dass die Handlung, die den Schaden verursacht hat, ihm nicht zurechenbar ist, und dass Art. 82 zum anderen nicht verlangt, dass der Grad dieses Verschuldens bei der Bemessung der Höhe des als Entschädigung für einen immateriellen Schaden auf der Grundlage dieser Bestimmung gewährten Schadenersatzes berücksichtigt wird.

Den Volltext der Entscheidung finden Sie hier:

EuGH: Befürchtung eines möglichen Missbrauchs personenbezogener Daten nach Cyberangriff / Hackerattacke kann Anspruch auf immateriellen Schadensersatz gemäß Art. 82 DSGVO begründen

EuGH
Urteil vom 14.12.2023
C-340/21
Natsionalna agentsia za prihodite


Der EuGH hat entschieden, dass schon die bloße Befürchtung eines möglichen Missbrauchs personenbezogener Daten nach einem Cyberangriff / einer Hackerattacke einen Anspruch auf immateriellen Schadensersatz gemäß Art. 82 DSGVO begründen kann.

Tenor der Entscheidung:
1. Die Art. 24 und 32 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz- rundverordnung) sind dahin auszulegen, dass eine unbefugte Offenlegung von bzw. ein unbefugter Zugang zu personenbezogenen Daten durch „Dritte“ im Sinne von Art. 4 Nr. 10 dieser Verordnung allein nicht ausreicht, um anzunehmen, dass die technischen und organisatorischen Maßnahmen, die der für die betreffende Verarbeitung Verantwortliche getroffen hat, nicht „geeignet“ im Sinne der Art. 24 und 32 dieser Verordnung waren.

2. Art. 32 der Verordnung 2016/679 ist dahin auszulegen, dass die Geeignetheit der vom Verantwortlichen nach diesem Artikel getroffenen technischen und organisatorischen Maßnahmen von den nationalen Gerichten konkret zu beurteilen ist, wobei die mit der betreffenden Verarbeitung verbundenen Risiken zu berücksichtigen sind und zu beurteilen ist, ob Art, Inhalt und Umsetzung dieser Maßnahmen diesen Risiken angemessen sind.

3. Der in Art. 5 Abs. 2 der Verordnung 2016/679 formulierte und in Art. 24 dieser Verordnung konkretisierte Grundsatz der Rechenschaftspflicht des Verantwortlichen ist dahin auszulegen, dass im Rahmen einer auf Art. 82 der Verordnung gestützten Schadenersatzklage der für die betreffende Verarbeitung Verantwortliche die Beweislast dafür trägt, dass die von ihm getroffenen Sicherheitsmaßnahmen im Sinne von Art. 32 dieser Verordnung geeignet waren.

4. Art. 32 der Verordnung 2016/679 und der unionsrechtliche Effektivitätsgrundsatz sind dahin auszulegen, dass für die Beurteilung der Geeignetheit der Sicherheitsmaßnahmen, die der Verantwortliche nach diesem Artikel getroffen hat, ein gerichtliches Sachverständigengutachten kein generell notwendiges und ausreichendes Beweismittel sein kann.

5. Art. 82 Abs. 3 der Verordnung 2016/679 ist dahin auszulegen, dass der Verantwortliche von seiner nach Art. 82 Abs. 1 und 2 dieser Verordnung bestehenden Pflicht zum Ersatz des einer Person entstandenen Schadens nicht allein deshalb befreit werden kann, weil dieser Schaden die Folge einer unbefugten Offenlegung von bzw. eines unbefugten Zugangs zu personenbezogenen Daten durch „Dritte“ im Sinne von Art. 4 Nr. 10 dieser Verordnung ist, wobei der Verantwortliche dann nachweisen muss, dass er in keinerlei Hinsicht für den Umstand, durch den der betreffende Schaden eingetreten ist, verantwortlich ist.

6. Art. 82 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen, dass allein der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen diese Verordnung befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, einen „immateriellen Schaden“ im Sinne dieser Bestimmung darstellen kann.

Pressemitteilung des EuGH:
Cyberkriminalität: Die Befürchtung eines möglichen Missbrauchs personenbezogener Daten kann für sich genommen einen immateriellen Schaden darstellen

Die bulgarische Nationale Agentur für Einnahmen (NAP) ist dem bulgarischen Finanzminister unterstellt. Sie ist u. a. mit der Feststellung, Sicherung und Einziehung öffentlicher Forderungen betraut. In diesem Rahmen ist sie für die Verarbeitung personenbezogener Daten verantwortlich. Am 15. Juli 2019 wurde in den Medien darüber berichtet, dass in das IT-System der NAP eingedrungen worden sei und infolge dieses Cyberangriffs in diesem System enthaltene personenbezogene Daten von Millionen von Menschen im Internet veröffentlicht worden seien. Zahlreiche Personen verklagten die NAP auf Ersatz des immateriellen Schadens, der ihnen aus der Befürchtung eines möglichen Missbrauchs ihrer Daten entstanden sein soll.

Das bulgarische Oberste Verwaltungsgericht legt dem Gerichtshof mehrere Fragen zur Auslegung der Datenschutz-Grundverordnung (DSGVO) zur Vorabentscheidung vori . Es möchte klären lassen, unter welchen Bedingungen eine Person, deren personenbezogene Daten, die sich im Besitz einer öffentlichen Agentur befinden, nach einem Angriff von Cyberkriminellen im Internet veröffentlicht wurden, Ersatz des immateriellen Schadens verlangen kann.

In seinem Urteil antwortet der Gerichtshof wie folgt:

1. Im Fall der unbefugten Offenlegung von bzw. des unbefugten Zugangs zu personenbezogenen Daten können die Gerichte aus diesem Umstand allein nicht ableiten, dass die Schutzmaßnahmen, die der für die Datenverarbeitung Verantwortliche ergriffen hat, nicht geeignet waren. Die Gerichte müssen die Geeignetheit dieser Maßnahmen konkret beurteilen.

2. Der Verantwortliche trägt die Beweislast dafür, dass die getroffenen Schutzmaßnahmen geeignet waren.

3. Im Fall der unbefugten Offenlegung von bzw. des unbefugten Zugangs zu personenbezogenen Daten durch „Dritte“ (wie Cyberkriminelle) kann der Verantwortliche gegenüber den Personen, denen ein Schaden entstanden ist, ersatzpflichtig sein, es sei denn, er weist nach, dass er in keinerlei Hinsicht für den Schaden verantwortlich ist.

4. Allein der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen die DSGVO befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, kann einen „immateriellen Schaden“ darstellen.


Den Volltext der Entscheidung finden Sie hier:

OLG Karlsruhe: Für immateriellen Schadensersatz aus Art. 82 DSGVO bei einem Datenleck muss ein konkreter kausaler Schaden als Folge der Rechtsverletzung nachgewiesen werden

OLG Karlsruhe
Urteil vom 07.11.2023
19 U 23/23


Das OLG Karlsruhe hat entschieden, dass für einen immateriellen Schadensersatz aus Art. 82 DSGVO bei einem Datenleck ein konkreter kausaler Schaden als Folge der Rechtsverletzung nachgewiesen werden muss.

Leitsätze des Gerichts:
1. Im Fall einer geltend gemachten Verletzung der Grundrechte auf Achtung des Privat- und Familienlebens aus Art. 7 GRCh und auf Schutz personenbezogener Daten aus Art. 8 GRCh reicht bereits die Möglichkeit des Eintritts eines Schadens für die Annahme eines Feststellungsinteresses aus.

2. Das Vorliegen eines „Verstoßes gegen diese Verordnung“ im Sinne von Art. 82 Abs. 1 DSGVO erfordert nicht mehr als die „unbefugte Offenlegung“ von oder den „unbefugten Zugang“ zu personenbezogenen Daten im Sinne von Art. 4 Nr. 12 DSGVO.

3. Ein potentieller oder hypothetischer Schaden oder die bloße Beunruhigung wegen des Diebstahls der eigenen personenbezogenen Daten reicht für das Vorliegen eines immateriellen Schadens im Sinne von Art. 82 Abs. 1 DS-GVO nicht aus.

4. Stellt sich der geltend gemachte immaterielle Schaden als Folge der Rechtsgutsverletzung in Gestalt der Verletzung der Grundrechte der betroffenen Person auf Achtung des Privat- und Familienlebens aus Art. 7 GRCh und auf Schutz personenbezogener Daten aus Art. 8 GRCh dar (Sekundärschaden), ist das Beweismaß des § 287 ZPO anzuwenden.

5. Die betroffene Person muss nachweisen, dass ein kausaler Zusammenhang zwischen dem Verstoß gegen die Verordnung im Sinne von Art. 82 Abs. 1 DSGVO und dem ihr entstandenen Schaden besteht.

6. Gem. Art. 82 Abs. 3 DSGVO reicht jedes fahrlässige (Mit-)Verschulden oder Versehen des Verantwortlichen aus, um die Anwendung der Befreiung auszuschließen. Dabei stellt indes nicht schon das Vorliegen einer Systemverletzung einen Beweis dafür dar, dass die von der verantwortlichen Person ergriffenen Maßnahmen nicht im Sinne von Art. 32 DSGVO geeignet waren.

Den Volltext der Entscheidung finden Sie hier:

VG Hannover: Videoüberwachung der Sitzbereiche eines Wettbüros weder nach Art. 6 Abs. 1 lit. c DSGVO noch nach Art. 6 Abs. 1 lit. f DSGVO gerechtfertigt und somit rechtswidrig

VG Hannover
Urteil vom 10.10.2023
10 A 3472/20


Das VG Hannover hat entschieden, dass die Videoüberwachung der Sitzbereiche eines Wettbüros weder nach Art. 6 Abs. 1 lit. c DSGVO noch nach Art. 6 Abs. 1 lit. f DSGVO gerichtfertigt und somit rechtswidrig ist.

Aus den Entscheidungsgründen:
I. Die Klage ist zulässig. Gemäß § 20 Abs. 1 Satz 1 Bundesdatenschutzgesetz (hiernach: BDSG) ist für Rechtsansprüche aus der der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, hiernach: DS-GVO) nach Artikel 78 Abs. 1 und 2 der DS-GVO der Verwaltungsrechtsweg gegeben. Das Verwaltungsgericht Hannover ist gemäß § 20 Abs. 3 BDSG örtlich zuständig. Die Klage gegen die Verfügungen des Beklagten aus dem Bescheid vom 20. Mai 2020 ist als Anfechtungsklage statthaft.

II. Die Klage ist unbegründet. Der Bescheid des Beklagten vom 20. Mai 2020 ist rechtmäßig und verletzt die Klägerin nicht in ihren Rechten (§ 113 Abs. 1 Satz 1 VwGO).

1. Die unter Ziffer 1 ausgesprochene Anweisung, die Ausgestaltung der von der Klägerin betriebenen Videoüberwachung so einzurichten, dass die Erhebung von personenbezogenen Daten von Personen in den Sitzbereichen während der Öffnungszeiten ausgeschlossen ist (Kameras 1,3, 4, 5 und 9) und die Überarbeitung der Kameraeinstellungen durch die Übersendung entsprechender Screenshots nachzuweisen, ist rechtmäßig.

a) Die Rechtsgrundlage für diese Anweisung findet sich in Art. 58 Abs. 2 lit. d DS-GVO. Danach verfügt die Aufsichtsbehörde über sämtliche Befugnisse, die es ihr gestatten, den Verantwortlichen anzuweisen, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit der DS-GVO zu bringen.

b) Der Bescheid ist in formeller Hinsicht nicht zu beanstanden. Der Beklagte ist für den Erlass des Bescheides zuständig. Dies ergibt sich aus § 40 Abs. 1 des Bundesdatenschutzgesetzes vom 30. Juni 2017 (BDSG), § 22 Satz 1 Nr. 1 des Niedersächsischen Datenschutzgesetzes vom 16. Mai 2018 (NDSG) und Art. 55 f. DS-GVO. Die Klägerin ist vor Erlass des angegriffenen Bescheids angehört worden.

c) Die Anweisung ist auch materiell rechtmäßig. Die Videoüberwachung durch die fünf streitgegenständlichen Kameras steht in ihrer derzeitigen Ausgestaltung nicht in Einklang mit der DS-GVO. Nach Art. 5 Abs. 1 lit. a DS-GVO müssen personenbezogene Daten auf rechtmäßige Weise verarbeitet werden. Die hier in Rede stehende Videoüberwachung, bei der die im Wettbüro der Klägerin installierten Kameras 1, 3, 4, 5 und 9 als "verlängertes Auge" der Beschäftigten genutzt werden, verstößt gegen die DS-GVO, weil sie nicht nach Art. 6 DS-GVO gerechtfertigt ist.

aa. Die DS-GVO ist anwendbar. Nach Art. 2 Abs. 1 DS-GVO gilt diese Verordnung für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Bei der Beobachtung der Gäste des Wettbüros durch Kameras, die als "verlängertes Auge" der Beschäftigten genutzt werden, handelt es sich um eine Verarbeitung personenbezogener Daten im Sinne des Art. 4 Nr. 1 und Nr. 2 DS-GVO. Nach Art. 4 Nr. 2 DSGVO meint "Verarbeitung" jeden Vorgang, der mit oder ohne Hilfe automatisierter Verfahren im Zusammenhang mit personenbezogenen Daten ausgeführt wird. Die sich an diese Begriffsbestimmung anschließende, ersichtlich umfassende Aufzählung von Vorgängen in Art. 4 Nr. 2 DSGVO zeigt, dass der Begriff der Verarbeitung jeglichen Umgang mit personenbezogenen Daten erfasst (vgl. BVerwG, Urteil vom 27.3.2019 - 6 C 2/18 -, juris Rn. 43). Die Daten sind nach Art. 4 Nr. 1 DS-GVO "personenbezogen", wenn es sich um Informationen handelt, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann. Die Aufzeichnung des Bildes einer Person durch Kameras ermöglicht es den Betrachtern der Bilder, die erfassten Personen zu identifizieren (vgl. BVerwG, Urteil vom 27.3.2019 - 6 C 2/18 -, juris Rn. 43).

bb. Das hier eingesetzte Kamera-Monitor-System ist in seiner derzeitigen Ausgestaltung gemäß Art. 6 DS-GVO rechtswidrig. Danach ist die Verarbeitung nur rechtmäßig, wenn mindestens eine der unter Art. 6 Abs. 1 lit. a - f genannten Bedingungen erfüllt ist. Dies ist nicht der Fall.

aaa. Zunächst haben die von der Videoüberwachung betroffenen Personen (s. Art. 4 Nr. 1 DS-GVO) nicht nach Art. 6 Abs. 1 lit. a DS-GVO ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben. Eine Einwilligung ist gemäß Art. 4 Nr. 11 DS-GVO jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Damit betroffene Personen in Kenntnis der Sachlage ihre Einwilligung geben können, sollten sie mindestens wissen, wer der Verantwortliche ist und für welche Zwecke ihre personenbezogenen Daten verarbeitet werden sollen. Es sollte nur dann davon ausgegangen werden, dass sie ihre Einwilligung freiwillig gegeben haben, wenn sie eine echte oder freie Wahl haben und somit in der Lage sind, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden (vgl. Erwägungsgrund Nr. 42 zur DS-GVO). Danach liegt im vorliegenden Fall keine Einwilligung der Gäste vor. Es kann bereits nicht angenommen werden, dass die Gäste beim Betreten des Wettbüros - auch nicht bei deutlich sichtbar angebrachten Hinweisen auf die Beobachtung - den Umfang und die Ausgestaltung der Videoüberwachung sowie deren Zwecke zur Kenntnis nehmen, sodass schon keine Willensbekundung "in informierter Weise" stattfinden kann (vgl. BVerfG, Stattgebender Kammerbeschluss vom 23.2.2007 - 1 BvR 2368.06 -, juris Rn. 40; BVerwG, Urteil vom 27.3.2019 - 6 C 2.18 -, juris Rn. 23). Auch kann im Eintritt in das Wettbüro und den dortigen Aufenthalt ohne ausdrücklichen Protest keine unmissverständliche Willensbekundung erkannt werden (vgl. BVerfG, Stattgebender Kammerbeschluss vom 23.2.2007, a.a.O.). Schließlich haben die Gäste auch keine freie Wahl, ob sie mit der Videoüberwachung der Sitzbereiche während ihres Aufenthaltes in dem Wettbüro einverstanden sind; sie können sich nur zu ihrem Nachteil entscheiden, das Wettbüro gar nicht erst zu betreten.

bbb. Die Videoüberwachung ist auch nicht gemäß Art. 6 Abs. 1 lit. c DS-GVO zur Erfüllung einer rechtlichen Verpflichtung erforderlich, welcher der Verantwortliche unterliegt. Gemeint ist damit die Verpflichtung kraft Rechts der Union oder eines Mitgliedstaates, vgl. Art. 6 Abs. 3 UAbs. 1. Die in einer Vorschrift des objektiven Rechts vorgesehene "rechtliche Verpflichtung" muss sich dabei unmittelbar auf die Datenverarbeitung beziehen; allein der Umstand, dass ein Verantwortlicher, um irgendeine rechtliche Verpflichtung erfüllen zu können, auch personenbezogene Daten verarbeiten muss, reicht nicht aus (Albers/Veit in: BeckOK DatenschutzR, 44. Ed. 1.5.2023, DS-GVO Art. 6 Rn. 48 m.w.N.). Nach diesem Maßstab vermögen die in § 7 Abs. 3 Nr. 1 Spielverordnung genannten Vorgaben, wonach Geld- oder Warenspielgeräte unter anderem dann unverzüglich aus dem Verkehr zu ziehen sind, wenn sie in ihrer ordnungsgemäßen Funktion gestört sind, keine rechtliche Verpflichtung in diesem Sinne zu bieten, weil diese rechtliche Vorgabe keinen unmittelbaren Bezug zu einer irgendwie gearteten Datenverarbeitung herstellt.

Die Videoüberwachung ist auch nicht zur Erfüllung der Verpflichtung aus § 10c des Niedersächsischen Spielbankgesetzes (NSpielbG) erforderlich. Nach § 10 c Abs. 1 Satz 1 NSpielbG sind zu den dort bestimmten Zwecken die Eingänge, die Ausgänge, die Bereiche, in denen üblicherweise der Transport, die Zählung oder die Aufbewahrung von Bargeld oder Spielmarken erfolgt, sowie die Spielräume der Spielbank, die Spieltische und Glücksspielautomaten der Spielbank mit Videokameras zu überwachen. Die Vorschrift ist bereits nicht anwendbar, weil es sich bei dem Wettbüro der Klägerin nicht um eine im Sinne des § 1 Abs. 1 Satz 1 NSpielbG zugelassene Spielbank handelt. Eine analoge Anwendung der Vorschrift auf das Wettbüro der Klägerin kommt schon deswegen nicht in Betracht, weil die Interessenlage nicht vergleichbar ist. Spielbanken sind Örtlichkeiten, in denen Spiele mit grundsätzlich hoher Manipulationsanfälligkeit und herausragendem Suchtpotenzial angeboten werden, zu denen traditionell Tischspiele mit und ohne Bankhalter wie Roulette, Black Jack und Poker sowie spezielle stationäre Automatenspiele gehören, welche den Einschränkungen des gewerblichen Spiels und des Online-Glücksspiels nicht unterliegen (vgl. Begründung zur Änderung des NSpielbG vom 13.10.2021, Landtag-Drs. 18/10075, S. 17). Derartige Spiele finden im Wettbüro der Klägerin nicht statt; soweit auch in ihren Räumlichkeiten Spielautomaten aufgestellt sind und in dem (der Öffentlichkeit nicht zugänglichen) Bürobereich mit größeren Mengen Bargeld umgegangen wird, hat der Beklagte die Videoüberwachung nicht beanstandet.

Unabhängig davon folgt eine Verpflichtung zu einer Videoüberwachung, wie die Klägerin sie derzeit betreibt, selbst dann nicht aus § 10 c NSpielbG, wenn man die Vorschrift auf den vorliegenden Fall analog anwenden wollte. Unter "Spielräumen" sind solche Bereiche zu verstehen, in denen sich Gäste zum Zwecke der Teilnahme an Spielen aufhalten. Bereiche wie die hier in Rede stehenden, die fast ausschließlich - mit Ausnahme vereinzelter Automaten, an denen Wetten abgegeben werden können - dem Aufenthalt oder dem Verzehr von Getränken dienen, sind dort gerade nicht angesprochen. Der Gesetzgeber hat zuletzt die zu überwachenden Bereiche angepasst und "die gegebenenfalls getrennt von den Eingängen vorhandenen Ausgänge" aufgenommen (vgl. Landtag-Drs. 18/10075, S. 37). Er hat sich also bewusst gegen die Aufnahme von anderen, dem Aufenthalt von Gästen dienenden Bereichen entschieden. Dafür, dass der Gesetzgeber beabsichtigt hat, solche vornehmlich dem Aufenthalt dienenden Bereiche gerade nicht mit der gesetzlichen Verpflichtung zur Videoüberwachung zu belegen, spricht auch, dass die Regelung überhaupt explizit Bereiche nennt, in denen die Videoüberwachung stattzufinden hat. Wäre die Videoüberwachung einschränkungslos auch in Bereichen obligatorisch, in denen keine manipulationsanfälligen Spiele stattfinden, hätte der Gesetzgeber anstelle einer expliziten Aufzählung von Bereichen schlicht die verpflichtende Videoüberwachung für die gesamte Spielbank anordnen können.

ccc. Die Videoüberwachung ist auch nicht nach Art. 6 Abs. 1 lit. f DS-GVO gerechtfertigt. Dies wäre nur dann der Fall, wenn die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

(1) Das berechtigte Interesse an der hier noch streitigen Videoüberwachung durch die Kameras 1, 3, 4, 5 und 9 ist anzunehmen.

Als berechtigt darf jedes rechtliche, tatsächliche, wirtschaftliche oder ideelle Interesse des Verantwortlichen angesehen werden, soweit es von der Rechtsordnung nicht missbilligt wird. Das berechtigte Interesse muss auf einen konkreten Verarbeitungs- oder Nutzungszweck gerichtet sein. Aus Art. 5 Abs. 1 lit. b DS-GVO folgt, dass das Interesse nur berechtigt sein kann, wenn die Verarbeitung legitim ist (vgl. Taeger in: Taeger/Gabel, DSGVO-BDSG-TTDSG, 4. Aufl. 2022, Art. 6 Rn. 129). Es muss zum Zeitpunkt der Datenverarbeitung entstanden und vorhanden sein und darf zu diesem Zeitpunkt nicht hypothetisch sein (EuGH, Urteil vom 11.12.2019 - C-708/18 -, juris Rn. 44). Der Verantwortliche hat sein berechtigtes Interesse substantiiert vorzutragen und zu belegen (vgl. Art. 5 Abs. 2 DS-GVO; Taeger in: Taeger/Gabel, DSGVO-BDSG-TTDSG, 4. Aufl. 2022, Art. 6 Rn. 135; vgl. auch EuGH, Urteil vom 24.2.2022 - C-175/20 -, juris Rn. 77; BVerwG, Urteil vom 2.3.2022 - 6 C 7.20 -, juris Rn. 50). Dieser speziellen Substantiierung bedarf es nur dann nicht, wenn eine Situation gegeben ist, die nach allgemeiner Lebenserfahrung typischerweise gefährlich ist und der Überwachung bedarf. Eine solch abstrakte Gefährdungslage kann beispielsweise bei Einkaufszentren und Kaufhäusern anzunehmen sein (vgl. zur alten Rechtslage Nds. OVG, Urteil vom 29.9.2014 - 11 LC 114/13 -, juris Rn. 44; vgl. VG Hannover, Urteil vom 13.3.2023 - 10 A 1443/19 -, juris Rn. 57; vgl. zur Anwendbarkeit dieser Grundsätze auch im Anwendungsbereich der DS-GVO Taeger in: Taeger/Gabel, DSGVO-BDSG-TTDSG, 4. Aufl. 2022, Art. 6 Rn. 135).

Die Verhinderung und Aufklärung von Straftaten stellen grundsätzlich berechtigte Interessen im Sinne von Art. 6 Abs. 1 lit. f DS-GVO dar. Sie können eine Videoüberwachung jedoch nur dann als objektiv begründbar rechtfertigen, wenn eine Gefährdungslage besteht, die über das allgemeine Lebensrisiko hinausgeht. Eine solche Gefährdung kann sich nur aus tatsächlichen Erkenntnissen ergeben; subjektive Befürchtungen oder ein Gefühl der Unsicherheit reichen nicht aus (vgl. zum alten Recht BVerwG, Urteil vom 27.3.2019 - 6 C 2/18 -, juris Rn. 28 m.w.N.). Allerdings kann bei der Beurteilung aller Umstände des jeweiligen Falles nicht zwingend verlangt werden, dass die Sicherheit des Eigentums und der Personen zuvor beeinträchtigt wurde (EuGH, Urteil vom 11.12.2019 - C-708/18 -, juris Rn. 44). Konkrete Vorfälle müssen nicht in jedem Fall beim Überwachenden selbst stattgefunden haben, sondern die Gefahrenlage kann sich auch daraus ergeben, dass vergleichbare Vorfälle oder Übergriffe in der unmittelbaren Nachbarschaft stattgefunden haben (vgl. Orientierungshilfe Videoüberwachung durch nicht-öffentliche Stellen" der Datenschutzkonferenz - DSK - vom 17. Juli 2020, S. 8 f. m.V.a. Art. 5 Abs. 2 DS-GVO und EuGH, Urteil vom 11.12.2019 - C-708/18 -, juris Rn. 44; Leitlinien 3/2019 zur Verarbeitung personenbezogener Daten durch Videogeräte des European Data Protection Board vom 29.1.2020, Rn. 18 ff.).

Danach hat die Klägerin - dies hat auch der Beklagte anerkannt - grundsätzlich ein berechtigtes Interesse an der Videoüberwachung ihres Wettbüros dargelegt, um damit Straftaten zu unterbinden und nachzuverfolgen. Sie hat konkrete Straftaten benannt, die sich in den hier in Rede stehenden Räumlichkeiten ereignet haben und durch den Verweis auf Vorkommnisse in anderen Filialen dargelegt, dass (unter anderem) aufgrund der größeren Mengen Bargeld, mit denen in Wettbüros umgegangen wird, ein potentiell hohes Risiko für das Begehen von Straftaten besteht. Dementsprechend hat der Beklagte der Klägerin die Überwachung diverser Bereiche der Liegenschaft zugestanden (Kameras 2, 6, 7 und 8). Dabei hat der Beklagte die Videoüberwachung der Laufwege zugelassen, sodass etwaige Straftäter jedenfalls beim Verlassen der Räumlichkeiten erfasst werden, sowie die Orte, an denen mit Bargeld umgegangen wird (z.B. der Tresor). Außerhalb der Öffnungszeiten dürfen die Videoaufnahmen aufgezeichnet werden, um das unbefugte Betreten der Filiale abzuwenden oder ggf. nachverfolgen zu können.

(2) Die Videoüberwachung ist in ihrer derzeitigen Ausgestaltung zur Wahrung der Interessen der Klägerin aber nicht erforderlich. Die personenbezogenen Daten sollten für die Zwecke, zu denen sie verarbeitet werden, angemessen und erheblich sowie auf das für die Zwecke ihrer Verarbeitung notwendige Maß beschränkt sein; sie sollten nur verarbeitet werden dürfen, wenn der Zweck der Verarbeitung nicht in zumutbarer Weise durch andere Mittel erreicht werden kann (vgl. Erwägungsgrund 39 zur DS-GVO).Voraussetzung für die Erforderlichkeit der Videoüberwachung ist also, dass kein milderes, gleich effektives Mittel zur Verfügung steht, um die Interessen des Verantwortlichen zu erreichen (Buchner/Petri in: Kühling/Buchner, 3. Aufl. 2020, DS-GVO Art. 6 Rn. 147a). Die Einschränkungen beim Datenschutz müssen sich "auf das absolut Notwendige" beschränken (vgl. EuGH, Urteil vom 11.12.2019 - C-708/18 -, juris Rn. 46). Eine bloße Zweckdienlichkeit der Datenverarbeitung reicht jedenfalls nicht aus und auch das Ansinnen einer "bestmöglichen Effizienz" macht die Datenverarbeitung noch nicht zu einer erforderlichen. Entsprechend kann die Erforderlichkeit auch nicht allein damit begründet werden, dass es sich bei der beabsichtigten Datenverarbeitung um die aus Sicht des Verantwortlichen wirtschaftlich sinnvollste Alternative handelt (Petri in: Kühling/Buchner/Buchner, 3. Aufl. 2020, DS-GVO Art. 6 Rn. 147a m.w.N.).

Nach diesem Maßstab ist die Videoüberwachung der Sitzbereiche durch die Kameras 1,3, 4, 5 und 9 nicht erforderlich. Es ist derzeit nicht ersichtlich, dass die Erhebung der dadurch gewonnenen personenbezogenen Daten überhaupt geeignet - also erheblich - ist, um die von der Klägerin verfolgten Zwecke zu erreichen. Auf Grundlage der bisherigen Unterlagen ist nicht erkennbar, dass die von der Beklagten konkret benannten Straftaten überhaupt im Zusammenhang mit einem Aufenthalt von Gästen in den Sitzbereichen gestanden haben. Die Klägerin stützt sich im Wesentlichen auf befürchtete Straftaten und sonstiges Fehlverhalten, welches in der "Szene" oder dem "Milieu", aus dem die Gäste der Klägerin stammen, üblich sein soll. Die von der Klägerin benannten Straftaten lassen teilweise eindeutig erkennen, dass sich der oder die Täter(in) vor der jeweils begangenen Tat gerade nicht in den Sitzbereichen aufgehalten oder die Tat als solche dort stattgefunden hat; dies gilt für die Öffnung des Tresors, der sich in dem für die Öffentlichkeit nicht zugänglichen Bereich befindet, sowie für die Entwendung von Bargeld durch Beschäftigte der Klägerin, einen Überfall unter Einsatz von Waffengewalt, eingeschmissene Schaufensterscheiben und das unberechtigte Betreten der Geschäftsräume außerhalb der Öffnungszeiten. Die übrigen von der Klägerin genannten Taten und Vorkommnisse lassen nicht erkennen, ob diese in den für Gäste vorgesehenen Sitzbereichen stattgefunden haben; dies gilt für die Angabe "milieubedingte Kriminalität in den Geschäftsräumen, zum Beispiel Übergabe von Drogen gegen Bargeld" und Trickbetrug durch das Erzwingen von Wechselgeldfehlern. Konkrete Vorfälle in der Nachbarschaft hat die Klägerin zwar behauptet, jedoch nicht substantiiert. Soweit sie sich auf die befürchtete Manipulation von Spielgeräten und die ihr glückspielrechtlich obliegende Verpflichtung, manipulierte Geräte unverzüglich aus dem Verkehr zu ziehen, beruft, hat sie derartige Vorfälle weder für die hier in Rede stehende noch für andere Filialen oder Einrichtungen in der Nachbarschaft vorgetragen. Es fehlen auch nähere Angaben dazu, wie "Vorbereitungshandlungen" für eine Manipulation von Spielgeräten konkret aussehen und aus welchem Grund sie befürchtet, dass solche gerade in den Sitzbereichen für Gäste stattfinden könnten. Den Konsum von und Handel mit Rauschgift hat sie bislang nur behauptet, aber nicht belegt. Auch hinsichtlich der weiteren, im Laufe des gerichtlichen Verfahrens genannten Straftaten, die sich im Zeitraum vom 3. August 2016 und dem 9. Oktober 2021 in der hier streitgegenständlichen Filiale ereignet haben sollen, nämlich eine Unterschlagung von Bargeld, ein Diebstahl von Bargeld durch einen Kunden, ein Diebstahl eines Gegenstandes durch einen Kunden und zwei Raubüberfälle, ist nicht erkennbar, dass diese Straftaten im Zusammenhang mit einem Aufenthalt in den Sitzbereichen des Wettbüros standen.

Es ist außerdem nicht erkennbar, dass die Videoüberwachung der Sitzbereiche überhaupt dazu geeignet wäre, die von der Klägerin genannten Straftaten - sowohl die in der Unternehmensgruppe als auch die in der hier in Rede stehenden Filiale begangenen - zu verhindern oder bei der Aufklärung dieser Straftat einen nennenswerten Mehrwert zu bringen. Dies gilt insbesondere für die genannten Raubüberfälle, Einbrüche und Sachbeschädigungen, die - soweit ersichtlich - nicht von Personen begangen worden sind, die sich zuvor in dem Wettbüro aufgehalten haben. Auch diejenigen Straftaten, die von Beschäftigten der Klägerin begangen worden sind, wie zum Beispiel das unberechtigte Betreten der Geschäftsräume außerhalb der Öffnungszeiten, die Unterschlagung von Bargeld oder die Öffnung der Tresore und Entwendung von Bargeld, ließen sich nicht durch eine Überwachung der Sitzbereiche für Gäste verhindern. Einzig denkbar wäre dies bezüglich des genannten Trickbetruges durch das Erzwingen von Wechselgeldfehlern oder den Handel mit sowie Konsum von Rauschgift. Insoweit ist aber fraglich, ob die Beschäftigten in der Lage wären, die Monitore derart aufmerksam zu beobachten, dass ihnen Wechselgeldfehler oder der Konsum von Rauschmitteln überhaupt auffallen könnte.

Die Fortsetzung der Videoüberwachung in ihrer jetzigen Form ist auch nicht deswegen erforderlich, weil andernfalls unzumutbar hohe Betriebskosten entstünden. Bei dem Bestreben, Kosten einzusparen, handelt es sich grundsätzlich um ein berechtigtes Interesse. Allerdings muss der Verantwortliche darlegen, dass er diese Kosten auch durch andere Vorkehrungen, insbesondere durch organisatorische Veränderungen anstelle der Videoüberwachung nicht vermeiden oder in einer hinnehmbaren Größenordnung halten kann. Die Kostenersparnis kann die Erforderlichkeit der Videoüberwachung jedenfalls nur dann begründen, wenn die ansonsten entstehenden Kosten im Verhältnis zu dem Umfang der geschäftlichen Tätigkeit ins Gewicht fallen oder gar deren Wirtschaftlichkeit in Frage stellten (vgl. BVerwG, Urteil vom 27.3.2019 - 6 C 2.18 -, juris Rn. 32). Die Klägerin hat dazu nicht substantiiert vorgetragen. Aus dem von ihr hierzu zitierten Urteil des OVG des Saarlandes vom 14. Dezember 2017 ergibt sich nicht, ob der dortige Kläger substantiierte Angaben dazu gemacht hat, aus welchem Grund ihm der Einsatz von Wachpersonal wirtschaftlich nicht zumutbar ist (Az. 2 A 662/17 -, juris Rn. 47). Zudem ist der dortige Fall auch schon deswegen nicht mit dem hier zu entscheidenden vergleichbar, weil es sich bei dem dortigen Kläger um eine Apotheke gehandelt hat, die - im Gegensatz zu der Klägerin - nicht ohnehin Wachpersonal beschäftigt.

Die Klägerin kann ihrem berechtigten Interesse daran, dass kein Rauschgift in ihrer Filiale gehandelt oder konsumiert wird oder andere Straftaten begangen werden, auch durch mildere und gleich effektive Mittel begegnen. Dem Beklagten dürfte darin zu folgen sein, dass die bereits vorhandenen Beschäftigten in regelmäßigen Abständen die Sitzbereiche begehen könnten. Der Auffassung der Klägerin, die Präsenz von Wachleuten werde von Gästen als deutlich gravierenderer Eingriff wahrgenommen, sodass darin kein milderes Mittel zu sehen sei, kann nicht gefolgt werden. Anders als in der von der Klägerin dazu angeführten Entscheidung des Niedersächsischen Oberverwaltungsgerichts steht hier keine "permanente Beobachtung" der Gäste durch Wachleute in Rede (vgl. Urteil vom 29.9.2014 - 11 LC 114/13 -, juris Rn. 57), sondern gelegentliche Rundgänge von ohnehin anwesendem Personal. Hinsichtlich der von der Klägerin bezweckten Abschreckungswirkung wirken auch nur gelegentlich die Räumlichkeit abschreitende Beschäftigte mindestens ebenso effektiv abschreckend wie die vorhandenen Kameras (vgl. VG Stuttgart, Urteil vom 12.3.2021 - 18 K 8202/19 -, n.v.). Ihre Beschäftigten können sich vor eventuell aggressiv auftretenden Gästen schützen, indem sie die Polizei kontaktieren, anstatt sie selbst anzusprechen oder des Hauses zu verweisen. Für die Beschäftigten dürfte der zeitliche und personelle Aufwand, die fünf streitigen Kameras neben ihren anderen Aufgaben dauerhaft aufmerksam zu beobachten, um die in den Sitzbereichen befürchteten Vorbereitungshandlungen für Straftaten zu entdecken, als ebenso hoch zu bewerten sein wie die Durchführung regelmäßiger Kontrollgänge durch die Sitzbereiche. Der Gefahr von durch Betrug erzwungenen Wechselgeldfehlern könnte die Klägerin begegnen, indem die Gäste ihre Getränke nur noch am Tresen bezahlen, der außerdem von der nicht mehr streitgegenständlichen Kamera 2 erfasst wird.

Aus dem bisherigen Vortrag der Klägerin ist auch nicht nachvollziehbar, aus welchem Grund das von dem Beklagten vorgeschlagene mildere Mittel, die streitigen Kameras mit einer Folie zu versehen oder eine "Privatzonenmaskierung" einzurichten, sodass die sitzenden Gäste nicht mehr identifizierbar sind, nicht ebenso geeignet ist, wie die Videoüberwachung in ihrer derzeitigen Form. Ihr Vortrag, in dem Fall seien Vorbereitungshandlungen für eine Manipulation eines Spielgerätes schwieriger erkennbar, ist ohne konkretere Angaben dazu, wie solche Vorbereitungshandlungen aussehen, nicht nachvollziehbar. Unabhängig davon sind solche Manipulationsversuche offenbar bislang nicht vorgekommen; jedenfalls ist dies nicht vorgetragen worden.

Schließlich führt auch die in § 10 c NSpielbG zum Ausdruck gekommene Wertung des Niedersächsischen Gesetzgebers nicht dazu, die Videoüberwachung für das hier in Rede stehende Wettbüro als erforderlich anzusehen. Insoweit wird auf die obigen Ausführungen verwiesen (s. II. 1. c. bb. bbb.).

(3) Im Übrigen und selbst für den Fall, dass die Verarbeitung der durch die Videokameras 1, 3, 4, 5 und 9 verarbeiteten personenbezogenen Daten zur Wahrung des berechtigten Interesses der Klägerin erforderlich wäre, überwiegen im vorliegenden Fall die Interessen der von der Videoüberwachung betroffenen Personen das Interesse der Klägerin. Ausgangspunkt der Abwägung sind einerseits die Auswirkungen, die eine Datenverarbeitung für die betroffene Person mit sich bringt, und andererseits die Interessen des Verantwortlichen oder Dritten. In diesem Zusammenhang sind Art, Inhalt und Aussagekraft der betroffenen Daten an dem mit der Datenverarbeitung verfolgten Zweck zu messen. Außerdem können die vernünftigen Erwartungen der betroffenen Person einbezogen werden; entscheidend soll sein, ob die betroffene Person zum Zeitpunkt der Datenerhebung angesichts der näheren Umstände "vernünftigerweise absehen kann", dass eine Datenverarbeitung für einen bestimmten Zweck stattfinden wird (vgl. Petri in: Kühling/Buchner/Buchner, 3. Aufl. 2020, DS-GVO Art. 6 Rn. 149 ff.)

Für die von der Videoüberwachung betroffenen Gäste streitet ihr Recht auf Schutz der personenbezogenen Daten nach Art. 8 GRCh sowie ihr Recht auf Achtung des Privat- und Familienlebens nach Art. 7 GRCh und Art. 8 EMRK. Demgegenüber hat die Klägerin ein Interesse an dem Schutz ihres Eigentums, der Verhinderung und Aufklärung von Straftaten sowie an der Gewährleistung der Einhaltung der ihr obliegenden gesetzlichen Verpflichtungen (Jugendschutz, gesperrte Spieler, glücksspielrechtliche Vorgaben bezüglich der Spielautomaten).

Zugunsten der Klägerin ist hier zu berücksichtigen, dass die Videoaufnahmen nicht gespeichert werden und ihr in der Vergangenheit durch begangene Straftaten erhebliche Vermögensschäden entstanden sind. Demgegenüber dienen die Bereiche einem längeren Verweilen von Gästen, die ganz überwiegend keinerlei böse Absichten hegen. Die Überwachung erfolgt anlasslos, regelmäßig und personengenau und betrifft in den allermeisten Fällen Personen, die weder die körperliche Unversehrtheit der Beschäftigten noch dem Eigentum der Klägerin schaden möchten (vgl. VG Stuttgart, Urteil vom 12.3.2021 - 18 K 8202/19 -, S. 23). Eine durchgängige Überwachung auch bei Beschäftigungen, die in keinem Zusammenhang zu der Art des Etablissements stehen, in dem sich die Gäste aufhalten, können sie auch nicht "vernünftigerweise" erwarten.

cc. Der Beklagte hat das ihm gemäß Art. 58 Abs. 2 DS-GVO zustehende Entschließungs- und Auswahlermessen schließlich auch fehlerfrei ausgeübt. Gemäß Art. 58 Abs. 2 DS-GVO verfügt der Beklagte über sämtliche Abhilfebefugnisse, die es ihm gestatten, den Verantwortlichen anzuweisen, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit dieser Verordnung zu bringen (Buchstabe d) sowie eine vorübergehende Beschränkung oder Verbot der Verarbeitung zu verhängen (Buchstabe f). Die Aufsichtsbehörde kann von ihrer Abhilfebefugnis Gebrauch machen, wenn sie einen Verstoß gegen Datenschutzbestimmungen festgestellt hat. Bei der Ausübung des ihr dann eingeräumten Ermessens hat sie den Verhältnismäßigkeitsgrundsatz zu beachten. Bei festgestellten Verstößen ist die Aufsichtsbehörde in der Regel gehalten, dagegen mit dem Ziel der Abstellung des Verstoßes vorzugehen. Hinsichtlich des Entschließungsermessens ist daher von einem intendierten Ermessen auszugehen, wenn die Aufsichtsbehörde - wie hier - einen Rechtsverstoß festgestellt hat.

Es ist auch kein Fehler bei der Ausübung des Auswahlermessens zu erkennen. Bei der Auswahl der geeigneten Abhilfemaßnahme nach Art. 58 Abs. 2 DSGVO muss die Aufsichtsbehörde den Verhältnismäßigkeitsgrundsatz beachten und insofern auch die Eingriffsintensität berücksichtigen (vgl. VGH Baden-Württemberg, Beschluss vom 22.1.2020 - VGH 1 S 3001/19 -, juris Rn. 61; VG Mainz, Urteil vom 24.9.2020 - 1 K 584/19.MZ -, juris Rn. 51). Das hier ausgesprochene Verbot der Videoüberwachung in den Sitzbereichen ist geeignet, um die beeinträchtigten Rechte der Gäste zu wahren. Es war auch erforderlich. Ein milderes, gleich geeignetes Mittel ist nicht ersichtlich. In Art. 58 Abs. 2 DS-GVO ist kein abgestuftes System dahingehend zu erkennen, dass der Beklagte zuerst eine Verwarnung hätte aussprechen müssen. Eine Verwarnung kommt regelmäßig bei einfachen Verletzungen der DS-GVO in Frage, welche zu keiner erheblichen Gefährdung des Datenschutzgrundrechts geführt haben. Eine Verwarnung wird eine Datenschutz-Aufsichtsbehörde aussprechen, wenn die Schwelle zur Verhängung einer Geldbuße noch nicht erreicht ist; die Verwarnung lässt sich daher auch als "kleine Schwester der Geldbuße" bezeichnen, also als Abhilfemaßnahme, die bei geringfügigen Verstößen gegen die DS-GVO oder sonstigen Gründen der Verhältnismäßigkeit "anstelle einer Geldbuße" (so explizit Erwägungsgrund 148 Satz 2 DS-GVO) verhängt werden kann (Selmayr in: Ehmann/Selmayr, 2. Aufl. 2018, DS-GVO Art. 58 Rn. 20 m.w.N.). Hier steht gerade kein geringfügiger Verstoß in Rede, sondern die Gäste des Wettbüros werden anlasslos und dauerhaft gefilmt und beobachtet. Der Beklagte hat dem Verhältnismäßigkeitsgrundsatz insofern schon im Vorfeld des gerichtlichen Verfahrens Rechnung getragen, als dass er die Videoüberwachung in weiten Teilen des Wettbüros nicht mehr beanstandet.


Den Volltext der Entscheidung finden Sie hier:


Volltext BGH-Vorlagebeschluss an EuGH: Unterlassungsanspruch des Betroffenen bei DSGVO-Verstoß - Voraussetzungen und Höhe des Schadensersatzanspruchs aus Art. 82 DSGVO

BGH
Beschluss vom 26.09.2023
VI ZR 97/22
Verordnung (EU) 2016/679 Art. 17, Art. 18, Art. 79, Art. 82 Abs. 1, Art. 84; GG Art. 2 Abs. 1; BGB §§ 253, 823, § 1004 Abs. 1


Wir hatten bereits in dem Beitrag BGH legt EuGH vor: Voraussetzungen und Höhe des Anspruchs auf immateriellen Schadensersatz aus Art. 82 DSGVO - Unterlassungsanspruch des Betroffenen bei DSGVO-Verstoß über die Entscheidung berichtet.

Leitsatz des BGH:
Vorlagefragen an den Gerichtshof der Europäischen Union zur Auslegung von Art. 17, Art. 18, Art. 79, Art. 82 Abs. 1 und Art. 84 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, DSGVO, ABl. EU L 119 vom 4. Mai 2016, S. 1) zur Frage des Bestehens eines unionsrechtlichen Unterlassungsanspruchs der betroffenen Person, deren personenbezogene Daten von dem Verantwortlichen unrechtmäßig durch Weiterleitung offengelegt wurden, bzw. zu der insoweit bestehenden Möglichkeit eines Rückgriffs auf das nationale Recht und zum Begriff des immateriellen Schadens im Sinne von Art. 82 Abs. 1 DSGVO.

BGH, Beschluss vom 26. September 2023 - VI ZR 97/22 - OLG Frankfurt in Darmstadt - LG Darmstadt

Die Vorlagefragen:

Dem Gerichtshof der Europäischen Union werden zur Auslegung der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (DatenschutzGrundverordnung, DSGVO, ABl. EU L 119 vom 4. Mai 2016, S. 1) folgende Fragen zur Vorabentscheidung vorgelegt:

1. a) Ist Art. 17 DSGVO dahingehend auszulegen, dass der betroffenen Person, deren personenbezogene Daten von dem Verantwortlichen unrechtmäßig durch Weiterleitung offengelegt wurden, ein Anspruch gegen den Verantwortlichen auf Unterlassung einer erneuten unrechtmäßigen Weiterleitung dieser Daten zusteht, wenn sie vom Verantwortlichen keine Löschung der Daten verlangt?

b) Kann sich ein solcher Unterlassungsanspruch (auch) aus Art. 18 DSGVO oder einer sonstigen Bestimmung der DSGVO ergeben?

2. Falls Fragen 1a) und/oder 1b) bejaht werden:

a) Besteht der unionsrechtliche Unterlassungsanspruch nur dann, wenn künftig weitere Beeinträchtigungen der sich aus der DSGVO ergebenden Rechte der betroffenen Person zu besorgen sind (Wiederholungsgefahr)?

b) Wird das Bestehen der Wiederholungsgefahr gegebenenfalls aufgrund des bereits vorliegenden Verstoßes gegen die DSGVO vermutet?

3. Falls Fragen 1a) und 1b) verneint werden:

Sind Art. 84 i.V.m. Art. 79 DSGVO dahingehend auszulegen, dass sie es dem nationalen Richter erlauben, der betroffenen Person, deren personenbezogene Daten von dem Verantwortlichen unrechtmäßig durch Weiterleitung offengelegt wurden, neben dem Ersatz des materiellen oder immateriellen Schadens nach Art. 82 DSGVO und den sich aus Art. 17 und Art. 18 DSGVO ergebenden Ansprüchen einen Anspruch gegen den Verantwortlichen auf Unterlassung einer erneuten unrechtmäßigen Weiterleitung dieser Daten nach den Bestimmungen des nationalen Rechts zuzusprechen?

4. Ist Art. 82 Abs. 1 DSGVO dahingehend auszulegen, dass für die Annahme eines immateriellen Schadens im Sinne dieser Bestimmung bloße negative Gefühle wie z.B. Ärger, Unmut, Unzufriedenheit, Sorge und Angst, die an sich Teil des allgemeinen Lebensrisikos und oft des täglichen Erlebens sind, genügen? Oder ist für die Annahme eines Schadens ein über diese Gefühle hinausgehender Nachteil für die betroffene natürliche Person erforderlich?

5. Ist Art. 82 Abs. 1 DSGVO dahingehend auszulegen, dass bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens der Grad des Verschuldens des Verantwortlichen oder Auftragsverarbeiters bzw. seiner Mitarbeiter ein relevantes Kriterium darstellt? 6. Falls Fragen 1a), 1b) oder 3 bejaht werden: Ist Art. 82 Abs. 1 DSGVO dahingehend auszulegen, dass bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens als anspruchsmindernd berücksichtigt werden kann, dass der betroffenen Person neben dem Anspruch auf Schadensersatz ein Unterlassungsanspruch zusteht?

6. Falls Fragen 1a), 1b) oder 3 bejaht werden:

Ist Art. 82 Abs. 1 DSGVO dahingehend auszulegen, dass bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens als anspruchsmindernd berücksichtigt werden kann, dass der betroffenen Person neben dem Anspruch auf Schadensersatz ein Unterlassungsanspruch zusteht?

Den Volltext der Entscheidung finden Sie hier:

EuGH-Generalanwalt: Immaterieller Schadensersatz aus Art. 82 DSGVO beim Diebstahl sensibler personenbezogener Daten setzt DSGVO-Verstoß, konkreten Schaden und Kausalzusammenhang voraus

EuGH-Generalanwalt
Schlussanträge vom 26.10.2023
Verbundene Rechtssachen C‑182/22 und C‑189/22


Der EuGH-Generalanwalt kommt in seinen Schlussanträgen zu dem Ergebnis, dass ein Anspruch auf immateriellen Schadensersatz aus Art. 82 DSGVO beim Diebstahl sensibler personenbezogener Daten einen Verstoß gegen die Bestimmungen der DSGVO, einen konkreten Schaden und einen Kausalzusammenhang voraussetzt.

Ergebnis:
Art. 82 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)

ist wie folgt auszulegen:

Der Diebstahl sensibler personenbezogener Daten einer betroffenen Person durch einen unbekannten Straftäter kann zu einem Anspruch auf immateriellen Schadensersatz führen, wenn der Nachweis eines Verstoßes gegen die Datenschutz-Grundverordnung, eines konkreten erlittenen Schadens und eines Kausalzusammenhangs zwischen dem Schaden und diesem Verstoß erbracht wird. Für die Gewährung eines solchen Schadensersatzes ist es nicht erforderlich, dass der Straftäter die Identität der betroffenen Person angenommen hat, und der Besitz von Daten, die die betroffene Person identifizierbar machen, stellt für sich genommen keinen Identitätsdiebstahl dar.


Rechtliche Würdigung:
Das vorlegende Gericht möchte mit seiner fünften Frage wissen, ob der einfache Diebstahl der sensiblen personenbezogenen Daten einer betroffenen Person durch einen unbekannten Straftäter einen Identitätsdiebstahl darstellt, der einen Schadensersatzanspruch begründet, oder ob der Straftäter für die Annahme eines Identitätsdiebstahls die Identität der betroffenen Person tatsächlich annehmen oder zu diesem Zweck Anstrengungen unternehmen muss. Diese Frage wird im Zusammenhang mit der Feststellung gestellt, dass unbekannte Straftäter bestimmte sensible personenbezogene Daten von JU und SO aus der Trading-App von Scalable Capital gestohlen haben. Obwohl keine weitere (missbräuchliche) Verwendung der Daten erfolgt zu sein scheint, kann, da die Identität der Straftäter unbekannt ist und diese noch nicht ergriffen worden sind, eine solche künftige (missbräuchliche) Verwendung nicht ausgeschlossen werden.

23. Art. 82 der DSGVO bestätigt allgemein den Anspruch jeder betroffenen Person, der wegen eines Verstoßes gegen die DSGVO „ein materieller oder immaterieller Schaden“ entstanden ist, auf Schadensersatz und teilt die Haftung zwischen dem (den) Verantwortlichen und/oder dem (den) Auftragsverarbeiter(n) auf. Diese Bestimmung benennt weder die genaue Art noch die Form eines solchen Schadens. Die DSGVO verweist zur Definition der Bedeutung und des Anwendungsbereichs des Begriffs „immaterieller Schaden“ nicht auf das Recht der Mitgliedstaaten. Dieser Begriff ist daher als autonomer Begriff des Unionsrechts zu behandeln und in allen Mitgliedstaaten einheitlich auszulegen.

24. Nach Art. 82 der DSGVO ist Schadensersatz zu leisten, wenn der Nachweis eines Verstoßes gegen die DSGVO, eines „tatsächlich erlittenen Schadens“ und eines Kausalzusammenhangs zwischen diesem Verstoß und diesem Schaden erbracht wird. Die DSGVO sieht kein System der verschuldensunabhängigen Haftung vor. Die Ausgleichsfunktion der durch Art. 82 Abs. 1 der DSGVO eingeführten Regelung schließt auch den Zuspruch von Strafschadensersatz aus. Eine solche Entschädigung muss vollständig und wirksam sein und damit „den aufgrund des Verstoßes gegen [die DSGVO] konkret erlittenen Schaden in vollem Umfang ausgleichen“. Der immaterielle Schaden, den die betroffene Person erlitten hat, braucht keinen bestimmten Grad an Erheblichkeit zu erreichen. Auch wenn es keine Geringfügigkeitsschwelle für die Höhe des immateriellen Schadens gibt, bedarf es eindeutiger und präziser Beweise dafür, dass die betroffene Person einen solchen Schaden erlitten hat. Ein potenzieller oder hypothetischer Schaden oder die bloße Beunruhigung wegen des Diebstahls der eigenen personenbezogenen Daten reicht nicht aus.

25. Art. 82 Abs. 3 der DSGVO befreit den Verantwortlichen oder den Auftragsverarbeiter von der Haftung, „wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist“. Der Gerichtshof hatte bisher noch keine Gelegenheit, Art. 82 Abs. 3 der DSGVO ausführlich zu prüfen. Eine wörtliche Auslegung dieser Bestimmung scheint darauf hinauszulaufen, dass jedes fahrlässige (Mit‑)Verschulden oder Versehen des Verantwortlichen oder des Auftragsverarbeiters ausreicht, um die Anwendung der Befreiung auszuschließen. Zudem kann die dem (den) Verantwortlichen oder dem (den) Auftragsverarbeiter(n), der (die) von der Befreiung Gebrauch machen möchte(n), nach dieser Bestimmung obliegende Beweislast die Umsetzung fortlaufender Maßnahmen zur Vorbeugung gegen Datenschutzverletzungen auferlegen.

26. Der Diebstahl der personenbezogenen Daten einer betroffenen Person begründet einen Anspruch auf Ersatz des immateriellen Schadens nach Art. 82 Abs. 1 der DSGVO, wenn die drei im Urteil Österreichische Post aufgestellten Voraussetzungen erfüllt sind. Der siebte Erwägungsgrund der DSGVO bestimmt: „Natürliche Personen sollten die Kontrolle über ihre eigenen Daten besitzen.“ Der Umstand, dass betroffene Personen „daran gehindert werden, die sie betreffenden personenbezogenen Daten zu kontrollieren“, oder dass natürliche Personen die „Kontrolle über ihre personenbezogenen Daten“ verlieren, kann zu einem immateriellen Schaden führen. Dies ist der Kontext, in dem das vorlegende Gericht fragt, ob der Diebstahl personenbezogener Daten einen Identitätsdiebstahl darstellt.

27. Die operativen Bestimmungen der DSGVO erwähnen den Identitätsdiebstahl nicht und definieren ihn auch nicht. Die Erwägungsgründe 75 und 85 der DSGVO erwähnen den „Identitätsdiebstahl oder ‑betrug“ nur. Der 75. Erwägungsgrund nennt in einer nicht erschöpfenden Liste von Beispielen den „Identitätsdiebstahl oder ‑betrug“ als ein Beispiel für die Risiken für die Ausübung der Rechte und Freiheiten natürlicher Personen aufgrund der Verarbeitung ihrer personenbezogenen Daten. In ähnlicher Weise erwähnt der 85. Erwägungsgrund der DSGVO den „Identitätsdiebstahl oder ‑betrug“ als ein Beispiel für den Schaden, der durch das Versäumnis entsteht, auf eine Verletzung des Schutzes personenbezogener Daten rechtzeitig und angemessen zu reagieren.

28. In einer Reihe von Erwägungsgründen und Bestimmungen in anderen Rechtsvorschriften der Union werden Begriffe wie „Identitätsdiebstahl“, „Identitätsbetrug“ und „Identitätsdiebstahl oder ‑betrug“ erwähnt. Ich habe keine Bestimmung des Unionsrechts gefunden, in der die diese Begriffe definiert werden(33). Der Unionsgesetzgeber nennt diese Begriffe daher beispielhaft.

29. Dies wird auch aus einer Betrachtung der verschiedenen Sprachfassungen dieser Begriffe in den Erwägungsgründen 75 und 85 der DSGVO ersichtlich. Während die deutsche (Identitätsdiebstahl oder –betrug), die englische (identity theft or fraud), die estnische (identiteedivargust või –pettust), die irische (goid aitheantais nó calaois aitheantais), die litauische (būti pavogta ar suklastota tapatybė), die niederländische (identiteitsdiefstal of –fraude), die polnische (kradzieżą tożsamości lub oszustwem dotyczącym tożsamości), die rumänische (furt sau fraudă a identității) und die slowakische (krádeži totožnosti alebo podvodu) Sprachfassung weitgehend ähnlich sind, weichen andere Sprachfassungen in unterschiedlichem Maß hiervon ab: die tschechische (krádeži či zneužití identity), die französische (vol ou une usurpation d’identité), die griechische (κατάχρηση ή υποκλοπή ταυτότητας), die portugiesische (usurpação ou roubo da identidade), die italienische (furto o usurpazione d’identità) und die spanische (usurpación de identidad o fraude). Die verschiedenen Sprachfassungen der maßgeblichen Erwägungsgründe der DSGVO deuten darauf hin, dass sich die Begriffe Identitätsdiebstahl, Identitätsbetrug, Identitätsmissbrauch, missbräuchliche Verwendung der Identität, Identitätsaneignung und Identitätsanmaßung überschneiden und dass sie zumindest zu einem gewissen Grad als austauschbar angesehen werden können. Folglich unterscheiden die Erwägungsgründe 75 und 85 der DSGVO entgegen dem in Nr. 18 der vorliegenden Schlussanträge dargelegten Vorbringen von SO nicht klar zwischen Identitätsdiebstahl und Identitätsbetrug.

30. Die Erwägungsgründe 75 und 85 unterscheiden zwischen dem Beispiel des „Verlusts der Kontrolle“ oder der Unmöglichkeit, personenbezogene Daten zu „kontrollieren“, und dem Beispiel des „Identitätsdiebstahls oder ‑betrugs“. Daher stellt der Diebstahl personenbezogener Daten allein selbst dann keinen Identitätsdiebstahl dar, wenn dieser Diebstahl zu einer künftigen (missbräuchlichen) Verwendung dieser Daten führen kann. Ein Identitätsdiebstahl erfordert eine zusätzliche Handlung oder einen zusätzlichen Schritt mit über den Diebstahl der personenbezogenen Daten hinausgehenden, nachteiligen Auswirkungen auf die betroffene Person. Wer die personenbezogenen Daten einer betroffenen Person stiehlt, muss diese Daten ohne Einwilligung der betroffenen Person (missbräuchlich) zu rechtswidrigen Zwecken verwenden oder konkrete Schritte hierzu unternehmen. Mit einer solchen Handlung ist typischerweise ein Betrug oder eine andere Form der Täuschung verbunden, und sie wird im Allgemeinen zur Erzielung eines finanziellen oder anderweitigen Gewinns durchgeführt oder um der betroffenen Person oder ihrer Umgebung Schaden zuzufügen.

31. Aus den vorstehenden Erwägungen folgt, dass der Diebstahl personenbezogener Daten zwar keinen Identitätsdiebstahl oder ‑betrug darstellt, jedoch zur Entstehung eines immateriellen Schadens und zu einem Schadensersatzanspruch nach Art. 82 Abs. 1 der DSGVO führen kann. Der Nachweis eines immateriellen Schadens kann einfacher zu erbringen sein, wenn festgestellt wird, dass die betroffene Person infolge des Diebstahls ihrer personenbezogenen Daten Opfer eines Identitätsdiebstahls oder ‑betrugs geworden ist. Ein Anspruch auf Ersatz des immateriellen Schadens nach Art. 82 Abs. 1 der DSGVO wegen des Diebstahls personenbezogener Daten hängt jedoch nicht vom Vorliegen eines Identitätsdiebstahls oder ‑betrugs ab. Ein immaterieller Schaden und der Schadensersatzanspruch nach Art. 82 Abs. 1 der DSGVO sind unter Berücksichtigung aller Umstände einzelfallbezogen zu beurteilen.


Den Volltext der Schlussanträge finden Sie hier:


AG Düsseldorf: Anspruch auf 500 Euro immateriellen Schadensersatz aus Art. 82 DSGVO wenn Online-Shop keine Auskunft gemäß Art. 15 DSGVO erteilt

AG Düsseldorf
Urteil vom 24.08.2023
51 C 206/23


Das AG Düsseldorf hat entschieden, dass dem Kunden eines Online-Shops ein Anspruch auf 500 Euro immateriellen Schadensersatz aus Art. 82 DSGVO zusteht, wenn ein Online-Shop keine Auskunft gemäß Art. 15 DSGVO erteilt.

Aus den Entscheidungsgründen:
a. Der Beklagte hat gegen die Beklagte einen Anspruch auf Herausgabe einer Kopie sämtlicher Daten, die sie über ihn verarbeitet sowie auf Auskunftserteilung, an welche anderen Unternehmen die Beklagte seine Daten übermittelt hat gemäß Art. 15 Abs. 1 und 3 DSGVO.

Die Klägerin hat mit der Replik erklärt die entsprechende Forderung des Beklagten zu erfüllen. Getan hat sie dies indes nicht. Berechtigte Einwände die Erfüllung nicht zu leisten, bestehen nicht. Es kann dahinstehen, ob der Beklagte die Klägerin bereits unter dem 23.12.2022 oder erst am 02.06.2023 zur Auskunft aufgefordert hat. Die Frist des Art 12 Abs. 3 S. 1 und DSGVO ist jedenfalls nunmehr abgelaufen.

Auch kann die Klägerin nicht verlangen, dass der Beklagte sich zuvor mit einem Personaldokument limitiert. Ein solcher Anspruch besteht, falls nicht sicher ist, dass der Anspruchsteller nicht die Person, die er behauptet zu sein, Art. 12 Abs. 6 DSGVO. Derartige begründete Zweifel bestehen hier jedoch nicht.

b. Weiter hat der Beklagte gegen die Klägerin einen Anspruch auf immateriellen Schadensersatz in Höhe von 500,00 € gemäß Art. 82 Abs. 1 DSGVO

Indem die Klägerin die dem Beklagten nach Art. 15 DSGVO zustehenden Ansprüche nicht erfüllt, führt dies zu einem Schadensersatzanspruch.

Der Umstand, dass der Beklagte systematisch Verstöße gegen die DSGVO in Bezug auf seine Person verfolgt, ist bei der Höhe des Schadenersatzes zu berücksichtigen, führt aber nicht dazu, dass dies einen Anspruch wegen rechtsmissbräuchlichen Handelns ausschließt.

Ein immaterieller Schadensersatz dient der Genugtuung, soll aber keine Einnahmequelle darstellen. Weiter kommt es bei der Höhe des Betrages nicht darauf an, wie wirtschaftlich potent der Anspruchsgegner ist. Der immaterielle Schadensersatzanspruch des geschädigten hat insoweit keine Straffunktion, so dass es auf eines „abschreckende“ Wirkung nicht ankommt.

Eine Erhöhung kommt auch nicht unter dem Gesichtspunkt in Betracht, dass die Klägerin sich - rechtlich unbegründet - weigert die Auskunft zu erteilen und verlangten Daten herauszugeben. Dies wäre nur der Fall, wenn die Klägerin mit den Daten weiter arbeiten würde, insbesondere sie seit dem spätestens 02.06.2023 an weitere Dritte weitergegeben hätte weitergeben würde und allein damit den Schaden des Beklagten vertiefen würde. Dies ist aber nicht ersichtlich.


Den Volltext der Entscheidung finden Sie hier: