Skip to content

BGH: Zur Bemessung des Streitwerts in Facebook-Scraping-Fällen für Ansprüche auf Unterlassung, Zahlung, Auskunft und Feststellung

BGH
Beschluss vom 10.12.2024
VI ZR 7/24


Der BGH hat sich in diesem Beschluss zur Bemessung des Streitwerts in Facebook-Scraping-Fällen für Ansprüche auf Unterlassung, Zahlung, Auskunft und Feststellung geäußert.

Aus den Entscheidungsgründen:
Der Senat hat den Streitwert für das Revisionsverfahren auf die Gebührenstufe bis 4.000 € festgesetzt und die Klageanträge dabei - wie zuvor das Berufungsgericht - wie folgt bemessen: 1.000 € (Zahlungsantrag) + 500 € (Feststellungsantrag) + 1.500 € (Unterlassungsanträge) + 500 € (Auskunftsantrag) = 3.500 €. Der Prozessbevollmächtigte des Klägers wendet sich allein gegen die Wertfestsetzung für die Unterlassungsanträge, die er - wie zuvor das Landgericht - mit insgesamt 5.000 € (2 x 2.500 €) bemessen haben möchte.

Eine Höherfestsetzung des Streitwerts für die Unterlassungsanträge ist nicht veranlasst. Der Streitwert ist nach allgemeinen Regeln unter Berücksichtigung aller Umstände des Einzelfalls, insbesondere des Umfangs und der Bedeutung der Sache und der Vermögens- und Einkommensverhältnisse der Parteien, nach Ermessen zu bestimmen (§ 48 Abs. 2 Satz 1, Abs. 1 GKG, § 3 ZPO). Maßgeblich bei einem Unterlassungsantrag nach - wie im Streitfall geltend gemacht - bereits erfolgter Verletzungshandlung ist das Interesse des Anspruchstellers an der Unterbindung weiterer gleichartiger Verstöße, welches maßgeblich durch die Art des Verstoßes, insbesondere seine Gefährlichkeit und Schädlichkeit für den Inhaber des verletzten Rechts bestimmt wird. Allerdings kann auch anderen, von der bereits erfolgten Verletzungshandlung unabhängigen Faktoren - etwa dem Grad der Wahrscheinlichkeit künftiger Zuwiderhandlungen - Rechnung zu tragen sein (vgl. BGH, Urteil vom 12. Mai 2016 - I ZR 1/15, NJW 2017, 814 Rn. 33 ff. mwN). Das Gefährdungspotential ist dabei allein mit Blick auf das konkrete Streitverhältnis zu bestimmen. Für generalpräventive Erwägungen ist bei der Bewertung eines zivilrechtlichen Unterlassungsanspruchs ebenso wenig Raum (BGH, Urteil vom 12. Mai 2016 - I ZR 1/15, NJW 2017, 814 Rn. 42 mwN) wie für eine Orientierung an einem etwaigen (Gesamt-)Schaden unter Einbeziehung anderer Betroffener (vgl. Senat, Beschluss vom 30. November 2004 - VI ZR 65/04, juris Rn. 2; OLG Hamm, Urteil vom 15. August 2023 - 7 U 19/23, juris Rn. 277; OLG Frankfurt/M., K&R 2024, 673). Schließlich darf das Gesamtgefüge der Bewertung nichtvermögensrechtlicher Streitgegenstände nicht aus den Augen verloren werden (BGH, Beschluss vom 26. November 2020 - III ZR 124/20, K&R 2021, 127 Rn. 11).

Nach diesen Grundsätzen ist die erfolgte Festsetzung des Wertes der Unterlassungsanträge auf insgesamt 1.500 € (2 x 750 €) sachgerecht (vgl. zu Parallelfällen auch OLG Hamm, Urteil vom 15. August 2023 - 7 U 19/23, juris Rn. 279 ff.; OLG Frankfurt/M., K&R 2024, 673: jeweils insgesamt 1.000 €). Der Kläger selbst hat seinen Zahlungsanspruch auf Ersatz des bereits eingetretenen Schadens auf 1.000 € beziffert. Der Senat hat hierzu in einem weiteren Parallelverfahren näher ausgeführt, dass er auch eine Bemessung in der Größenordnung von 100 € für den bloßen Kontrollverlust von Rechts wegen nicht beanstanden würde (Urteil vom 18. November 2024 - VI ZR 10/24, juris Rn. 100). Seinen Antrag auf Feststellung hinsichtlich etwaiger zukünftiger Schäden hat auch der Kläger mit 500 € bewertet; dies erscheint angesichts der absehbaren Schwierigkeiten beim Nachweis der Ursächlichkeit künftiger Schäden auch sachgerecht. Die Verletzungshandlung liegt bereits fünf Jahre zurück, ohne dass es bislang jenseits des bloßen Kontrollverlustes zum Eintritt nachweisbarer Schäden oder einer weiteren Verletzungshandlung gekommen wäre; die Beklagte hat die Suchbarkeitsfunktion in der dem Streitfall inmitten stehenden Ausgestaltung vielmehr zwischenzeitlich deaktiviert. Beide Unterlassungsanträge nehmen ihren Ausgangspunkt in derselben Verletzungshandlung und hängen in der Sache eng zusammen.


Den Volltext der Entscheidung finden Sie hier:



EuG: EU-Kommission muss Nutzer der Website der Konferenz zur Zukunft Europas Schadensersatz für datenschutzwidrige Übermittlung personenbezogener Daten in USA zahlen

EuG
Urteil vom 08.01.2025
T-354/22
Bindl ./. EU-Kommission


Das EuG hat entschieden, dass die EU-Kommission einem Nutzer der Website der Konferenz zur Zukunft Europas Schadensersatz für die datenschutzwidrige Übermittlung personenbezogener Daten in die USA zahlen muss.

Die Pressemitteilung des Gerichts_
Das Gericht verurteilt die Kommission, einem Besucher der Website der Konferenz zur Zukunft Europas, die von der Kommission betrieben wird, den durch die Übermittlung personenbezogener Daten an die Vereinigten Staaten entstandenen Schaden zu ersetzen

Mit dem auf der Website von „EU Login“ angezeigten Hyperlink „Sign in with Facebook“ hat die Kommission die Voraussetzungen dafür geschaffen, dass die IP-Adresse des Betroffenen an das amerikanische Unternehmen Meta Platforms, Inc. übermittelt wurde.

Ein in Deutschland lebender Bürger wirft der Kommission vor, sein Recht auf Schutz seiner personenbezogenen Daten verletzt zu haben, als er 2021 und 2022 die von der Kommission betriebene Website der Konferenz zur Zukunft Europas1 besucht habe. Er hatte sich über diese Website zu der Veranstaltung „GoGreen“ angemeldet und hierzu den Authentifizierungsdienst „EU Login“ der Kommission verwendet, bei dem er sich für die Anmeldeoption „Mit Facebook anmelden“ entschieden hatte.

Der Betroffene meint, bei seinen Besuchen der Website der Konferenz zur Zukunft Europas seien ihn betreffende personenbezogene Daten an Empfänger in den Vereinigten Staaten übermittelt worden, insbesondere seine IPAdresse sowie Browser- und Geräteinformationen.

Ihn betreffende personenbezogene Daten seien zum einen an das amerikanische Unternehmen Amazon Web Services übermittelt worden, das das Content Delivery Network „Amazon CloudFront“ betreibe, über das die betreffende Website laufe, und zum anderen an das amerikanische Unternehmen Meta Platforms, Inc., nämlich bei seiner Anmeldung zu der Veranstaltung „GoGreen“ über sein Facebook-Konto.

Die Vereinigten Staaten hätten aber kein angemessenes Schutzniveau. Die ihn betreffenden personenbezogenen Daten seien deshalb der Gefahr eines Zugriffs durch die Sicherheits- und Nachrichtendienste der Vereinigten Staaten ausgesetzt. Die Kommission habe keine geeigneten Schutzmaßnahmen genannt, die die Datenübermittlungen zu rechtfertigen vermöchten.

Der Betroffene beantragt als Ersatz des immateriellen Schadens, der ihm durch die streitigen Datenübermittlungen entstanden sei, 400 Euro. Er beantragt ferner, die Übermittlungen der ihn betreffenden personenbezogenen Daten für nichtig zu erklären, festzustellen, dass die Kommission es rechtswidrig unterlassen habe, zu einem Antrag auf Auskunft Stellung zu nehmen, und die Kommission zu verurteilen, an ihn als Ersatz des immateriellen Schadens, der ihm durch die Verletzung seines Auskunftsrechts entstanden sei, 800 Euro zu zahlen.

Das Gericht weist den Antrag auf Nichtigerklärung als unzulässig ab und stellt fest, dass der Rechtsstreit, was den Antrag auf Feststellung der Untätigkeit angeht, in der Hauptsache erledigt ist. Es weist auch den auf die Verletzung des Auskunftsrechts gestützten Schadensersatzantrag zurück, weil der behauptete immaterielle Schaden nicht vorliegt.

Den auf die streitigen Datenübermittlungen gestützten Schadensersatzantrag weist das Gericht zurück, soweit es um die Datenübermittlungen über „Amazon CloudFront“ geht.

Das Gericht stellt insoweit fest, dass bei einer der streitigen Verbindungen die Daten nicht an die Vereinigten Staaten, sondern nach dem Prinzip der Proximität an einen Server4 in München übermittelt worden sind. Nach dem Vertrag, den die Kommission mit dem Betreiber von „Amazon CloudFront“, der luxemburgischen Gesellschaft Amazon Web Services EMEA SARL, geschlossen hat, musste Letztere gewährleisten, dass die Daten im Ruhezustand und bei der Übermittlung in Europa bleiben.

Bei einer anderen Verbindung ist die Weiterleitung an Server in den Vereinigten Staaten, die durch den RoutingMechanismus von „Amazon CloudFront“ erfolgte, auf das Verhalten des Betroffenen selbst zurückzuführen. Dieser gab sich nämlich mit Hilfe einer technischen Einstellung für jemanden aus, der sich in den Vereinigten Staaten befand.

Soweit es um Anmeldung des Betroffenen zu der Veranstaltung „GoGreen“ geht, stellt das Gericht hingegen fest, dass die Kommission mit dem Hyperlink „Sign in with Facebook“, der auf der Website von „EU Login“ angezeigt wird, die Voraussetzungen für die Übermittlung der IP-Adresse des Betroffenen an Facebook geschaffen hat. Die IPAdresse des Betroffenen gehört zu den personenbezogenen Daten. Sie wurde mit dem Hyperlink „Sign in with Facebook“ an die Meta Platforms, Inc., eine Gesellschaft mit Sitz in den Vereinigten Staaten, übermittelt. Diese Datenübermittlung ist der Kommission zuzurechnen.

Zum Zeitpunkt dieser Datenübermittlung (30. März 2022) gab es aber keinen Beschluss, mit dem festgestellt worden wäre, dass die Vereinigten Staaten für die personenbezogenen Daten der Unionsbürger ein angemessenes Schutzniveau geboten hätten. Die Kommission hat auch nicht dargetan, ja nicht einmal behauptet, dass es eine geeignete Garantie gegeben hätte, etwa eine Standarddatenschutzklausel oder eine Vertragsklausel5 . Für die Anzeige des Hyperlinks „Sign in with Facebook“ auf der Website von „EU Login“ galten schlicht und einfach die Nutzungsbedingungen von Facebook.

Mithin hat die Kommission die Voraussetzungen für die Übermittlung personenbezogener Daten an ein Drittland durch ein Organ, eine Einrichtung oder eine Stelle der Union nicht beachtet.

Das Gericht stellt fest, dass die Kommission einen hinreichend qualifizierten Verstoß gegen eine Rechtsnorm, die bezweckt, dem Einzelnen Rechte zu verleihen, begangen hat. Der Betroffene hat auch einen immateriellen Schaden erlitten. Er befindet sich nämlich in einer Lage, in der er nicht sicher ist, wie die ihn betreffenden personenbezogenen Daten, insbesondere seine IP-Adresse, verarbeitet werden. Außerdem besteht zwischen dem von der Kommission begangenen Verstoß und dem immateriellen Schaden, der dem Betroffenen entstanden ist, ein hinreichend unmittelbarer Kausalzusammenhang.

Da die Voraussetzungen der außervertraglichen Haftung der Union erfüllt sind, verurteilt das Gericht die Kommission, an den Betroffenen, wie von ihm beantragt, 400 Euro zu zahlen.

Den Volltext der Entscheidung finden Sie hier:


Volltext BGH liegt vor: 100 EURO Schadensersatz in Facebook-Scraping-Fällen aus Art. 82 Abs. 1 DSGVO wegen Kontrollverlustes soferm keine wirksame Einwilligung vorlag

BGH
Urteil vom 18.11.2024
VI ZR 10/24
DS-GVO Art. 82 Abs. 1


Wir hatten bereits in dem Beitrag BGH: 100 EURO Schadensersatz in Facebook-Scraping-Fällen aus Art. 82 Abs. 1 DSGVO wegen Kontrollverlustes sofern keine wirksame Einwilligung vorlag - dann auch Unterlassungsanspruch über die Entscheidung berichtet.

Leitsatz des BGH:
Immaterieller Schaden im Sinne des Art. 82 Abs. 1 DSGVO kann auch der bloße und kurzzeitige Verlust der Kontrolle über eigene personenbezogene Daten infolge eines Verstoßes gegen die Datenschutz-Grundverordnung sein. Weder muss eine konkrete missbräuchliche Verwendung dieser Daten zum Nachteil des Betroffenen erfolgt sein noch bedarf es sonstiger zusätzlicher spürbarer negativer Folgen.

BGH, Urteil vom 18. November 2024 - VI ZR 10/24 - OLG Köln - LG Bonn

Den Volltext der Entscheidung finden Sie hier:

BGH: 100 EURO Schadensersatz in Facebook-Scraping-Fällen aus Art. 82 Abs. 1 DSGVO wegen Kontrollverlustes sofern keine wirksame Einwilligung vorlag - dann auch Unterlassungsanspruch

BGH
Urteil vom 18.11.2024
VI ZR 10/24


Der BGH hat im Leitentscheidungsverfahren nach § 552b ZPO entschieden, dass in Facebook-Scraping-Fällen ein Anspruch auf Schadensersatz aus Art. 82 Abs. 1 DSGVO wegen Kontrollverlustes in Höhe von 100 EURO angemessen sein dürfte, sofern keine wirksame Einwilligung in die Datenverarbeitung vorlag. Dies hat die Vorinstanz nunmehr zu prüfen. Der BGH hat zudem entschieden, dass dann auch Unterlassungsanspruch und ein Feststellungsinteresse für einen Schadensersatzfeststellungsanspruch besteht.

Die Pressmeiteilung des BGH:
Bundesgerichtshof entscheidet über Ansprüche im Zusammenhang mit einem Datenschutzvorfall beim
sozialen Netzwerk Facebook (sog. Scraping)

Sachverhalt:

Die Beklagte betreibt das soziale Netzwerk Facebook. Anfang April 2021 wurden Daten von ca. 533 Millionen Facebook-Nutzern aus 106 Ländern im Internet öffentlich verbreitet. Unbekannte Dritte hatten sich zuvor den Umstand zu Nutze gemacht, dass die Beklagte es in Abhängigkeit von den Suchbarkeits-Einstellungen des jeweiligen Nutzers ermöglicht, dass dessen Facebook-Profil mithilfe seiner Telefonnummer gefunden werden kann. Die unbekannten Dritten ordneten durch die in großem Umfang erfolgte Eingabe randomisierter Ziffernfolgen über die Kontakt-Import-Funktion Telefonnummern den zugehörigen Nutzerkonten zu und griffen die zu diesen Nutzerkonten vorhandenen öffentlichen Daten ab (sog. Scraping).

Von diesem Scraping-Vorfall waren auch Daten des Klägers (Nutzer-ID, Vor- und Nachname, Arbeitsstätte und Geschlecht) betroffen, die auf diese Weise mit dessen Telefonnummer verknüpft wurden. Der Kläger macht geltend, die Beklagte habe keine ausreichenden Sicherheitsmaßnahmen ergriffen, um eine Ausnutzung des Kontakt-Tools zu verhindern. Ihm stehe wegen des erlittenen Ärgers und des Kontrollverlusts über seine Daten Ersatz für immaterielle Schäden zu. Darüber hinaus begehrt der Kläger die Feststellung, dass die Beklagte verpflichtet sei, ihm in diesem Zusammenhang auch alle künftigen materiellen und immateriellen Schäden zu ersetzen, und nimmt die Beklagte auf Unterlassung und Auskunft in Anspruch.

Bisheriger Prozessverlauf:

Das Landgericht hat der Klage teilweise stattgegeben und dem Kläger aus Art. 82 Abs. 1 DSGVO Schadensersatz in Höhe von 250 € zugesprochen; im Übrigen hat es die Klage abgewiesen. Auf die Berufung der Beklagten hat das Oberlandesgericht die Klage unter Zurückweisung der Anschlussberufung des Klägers insgesamt abgewiesen. Weder reiche der bloße Kontrollverlust zur Annahme eines immateriellen Schadens im Sinne von Art. 82 Abs. 1 DSGVO aus noch habe der Kläger hinreichend substantiiert dargelegt, über den Kontrollverlust als solchen hinaus psychisch beeinträchtigt worden zu sein.

Mit Beschluss vom 31. Oktober hat der Bundesgerichtshof das Revisionsverfahren zum Leitentscheidungsverfahren gemäß § 552b ZPO n.F. bestimmt (Pressemitteilung 206/24). Nachdem die Revision nicht zurückgenommen wurde oder sich anderweitig erledigt hat, hat der Bundesgerichtshof jedoch am 11. November 2024 mündlich zur Sache verhandelt und nach allgemeinen Regeln durch Urteil über die Revision des Klägers entschieden.

Entscheidung des Bundesgerichtshofs:

Die Revision des Klägers war teilweise erfolgreich.

Der Anspruch des Klägers auf Ersatz immateriellen Schadens lässt sich mit der Begründung des Berufungsgerichts nicht verneinen. Nach der für die Auslegung des Art. 82 Abs. 1 DSGVO maßgeblichen Rechtsprechung des EuGH kann auch der bloße und kurzzeitige Verlust der Kontrolle über eigene personenbezogene Daten infolge eines Verstoßes gegen die Datenschutz-Grundverordnung ein immaterieller Schaden im Sinne der Norm sein. Weder muss insoweit eine konkrete missbräuchliche Verwendung dieser Daten zum Nachteil des Betroffenen erfolgt sein noch bedarf es sonstiger zusätzlicher spürbarer negativer Folgen.

Erfolg hatte die Revision auch, soweit das Berufungsgericht die Anträge des Klägers auf Feststellung einer Ersatzpflicht für zukünftige Schäden, auf Unterlassung der Verwendung seiner Telefonnummer, soweit diese nicht von seiner Einwilligung gedeckt ist, und auf Ersatz seiner vorgerichtlichen Rechtsanwaltskosten abgewiesen hat. Entgegen der Auffassung des Berufungsgerichts fehlt es nicht an dem notwendigen Feststellungsinteresse des Klägers, da die Möglichkeit des Eintritts künftiger Schäden unter den Umständen des Streitfalles ohne Weiteres besteht. Der genannte Unterlassungsanspruch ist hinreichend bestimmt und dem Kläger fehlt insoweit auch nicht das Rechtsschutzbedürfnis. Im Übrigen (weiterer Unterlassungsantrag und Auskunftsantrag) blieb die Revision hingegen ohne Erfolg.

Im Umfang des Erfolges der Revision hat der Bundesgerichtshof die Sache zur neuen Verhandlung und Entscheidung an das Berufungsgericht zurückverwiesen. Für die weitere Prüfung hat der Bundesgerichtshof das Berufungsgericht zum einen darauf hingewiesen, dass die von der Beklagten vorgenommene Voreinstellung der Suchbarkeitseinstellung auf "alle" nicht dem Grundsatz der Datenminimierung entsprochen haben dürfte, wobei das Berufungsgericht ergänzend die Frage einer wirksamen Einwilligung des Klägers in die Datenverarbeitung durch die Beklagte zu prüfen haben wird. Zum anderen hat der Bundesgerichtshof Hinweise zur Bemessung (§ 287 ZPO) des immateriellen Schadens aus Art. 82 Abs. 1 DSGVO erteilt und ausgeführt, warum unter den Umständen des Streitfalles von Rechts wegen keine Bedenken dagegen bestünden, den Ausgleich für den bloßen Kontrollverlust in einer Größenordnung von 100 € zu bemessen.

Vorinstanzen:

LG Bonn - Urteil vom 29. März 2023 - 13 O 125/22

OLG Köln - Urteil vom 7. Dezember 2023 - 15 U 67/23

Die maßgebliche Vorschrift lautet:

Artikel 82 Datenschutz-Grundverordnung (DSGVO) - Haftung und Recht auf Schadenersatz

(1) Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

(…)



Volltext BGH liegt vor: Bestimmung zum Leitentscheidungsverfahren nach § 552b ZPO - Schadensersatz aus Art. 82 DSGVO in Facebook-Scraping-Fällen

BGH
Beschluss vom 31.10.2024
VI ZR 10/24
ZPO § 552b


Wir hatten bereits in dem Beitrag BGH bestimmt Rechtsstreit um möglichen Schadensersatz aus Art. 82 DSGVO in Facebook-Scraping-Fällen zum Leitentscheidungsverfahren nach § 552b ZPO über die Entscheidung berichtet.

Leitsatz des BGH:
Zur Bestimmung eines Leitentscheidungsverfahrens gemäß § 552b ZPO in der Fassung des Gesetzes zur Einführung eines Leitentscheidungsverfahrens beim Bundesgerichtshof vom 24. Oktober 2024 (BGBl. I Nr. 328).

BGH, Beschluss vom 31. Oktober 2024 - VI ZR 10/24 - OLG Köln - LG Bonn

Aus den Entscheidungsgründen:
Die Revision wirft Rechtsfragen auf, die für eine Vielzahl anderer Verfahren von Bedeutung sind. Der Senat bestimmt das vorliegende Verfahren daher zum Leitentscheidungsverfahren im Sinne des § 552b ZPO in der Fassung des Gesetzes zur Einführung eines Leitentscheidungsverfahrens beim Bundesgerichtshof vom 24. Oktober 2024 (BGBl. I Nr. 328; im Folgenden: § 552b ZPO nF).

1. Die formalen Voraussetzungen zur Bestimmung des vorliegenden Verfahrens zum Leitentscheidungsverfahren liegen vor. Das Gesetz zur Einführung eines Leitentscheidungsverfahrens beim Bundesgerichtshof vom 24. Oktober 2024 ist nach seinem Art. 7 am Tag nach der Verkündung, mithin am 31. Oktober 2024 in Kraft getreten. Die Revisionsbegründung des Klägers wurde der Beklagten am 8. April 2024 zugestellt, die Revisionserwiderung der Beklagten ist am 15. Oktober 2024 eingegangen (§ 552b Satz 1 ZPO nF). Eine Anhörung der Parteien im Rahmen der Bestimmung des Verfahrens zum Leitentscheidungsverfahren ist nicht erforderlich (arg e contr. § 148 Abs. 4 ZPO nF; vgl. ferner Allgayer, Stellungnahme als Sachverständiger zum [Regierungs-]Entwurf eines Gesetzes zur Einführung eines Leitentscheidungsverfahrens bei Bundesgerichtshof, BTRechtsausschuss vom 13. Dezember 2023, S. 4); etwas anderes würde auch die Zielsetzung des Gesetzes unterlaufen, eine zügige höchstrichterliche Klärung trotz der Rücknahme von Revisionen aus prozesstaktischen Gründen oder aufgrund eines Vergleiches zu ermöglichen (vgl. BT-Drs. 20/8762 S. 10).

2. Das Verfahren wirft die folgenden Rechtsfragen auf:

a) Liegt in der Implementierung der sog. Kontakt-Import-Funktion in Verbindung mit der Standardvoreinstellung "alle" ein Verstoß der Beklagten gegen die Datenschutz-Grundverordnung im Sinne des Art. 82 Abs. 1 DSGVO ?

b) Ist der bloße Verlust der Kontrolle über die gescrapten und nunmehr mit der Mobiltelefonnummer des Betroffenen verknüpften Daten geeignet, einen immateriellen Schaden im Sinne des Art. 82 Abs. 1 DSGVO zu begründen? Falls ja, wie wäre der Ersatz für einen solchen Schaden zu bemessen ?

c) Welche Anforderungen sind an die Substantiierung einer Schadensersatzklage nach Art. 82 Abs. 1 DSGVO zu stellen ?

d) Reicht die bloße Möglichkeit des Eintritts künftiger Schäden in einem Fall wie dem vorliegenden aus, um ein Feststellungsinteresse im Sinne des § 256 Abs. 1 ZPO zu begründen?

e) Genügen die vom Kläger gestellten Anträge, dass die Beklagte es unterlasse,

- personenbezogene Daten der Klägerseite unbefugten Dritten über eine Software zum Importieren von Kontakten zugänglich zu machen, ohne die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzusehen, um die Ausnutzung des Systems für andere Zwecke als der Kontaktaufnahme zu verhindern, und

- die Telefonnummer des Klägers auf Grundlage einer Einwilligung zu verarbeiten, die wegen der unübersichtlichen und unvollständigen Informationen durch die Beklagte erlangt wurde, namentlich ohne eindeutige Informationen darüber, dass die Telefonnummer auch bei Einstellung auf 'privat' noch durch Verwendung des Kontaktimporttools verwendet werden kann, wenn nicht explizit hierfür die Berechtigung verweigert und, im Falle der Nutzung der FacebookMessenger App, hier ebenfalls explizit die Berechtigung verweigert wird,

dem Bestimmtheitsgebot des § 253 Abs. 2 Nr. 2 ZPO ?

3. Die Entscheidung dieser Rechtsfragen ist für eine Vielzahl anderer Verfahren von Bedeutung (§ 552b Satz 1 ZPO n.F.). Beim erkennenden Senat sind derzeit 25 weitere Revisionsverfahren zu dem Scraping-Vorfall bei der Beklagten anhängig. In den Tatsacheninstanzen sind bei unterschiedlichen Gerichten noch insgesamt mehrere tausend Verfahren anhängig (vgl. OLG Stuttgart, GRUR-RS 2023, 32883 Rn. 136: über 100 eigene und bundesweit mehr als 6.000 Parallelverfahren; OLG Hamm, GRUR-RS 2024, 16856 Rn. 23: Vielzahl eigener Parallelverfahren; OLG Köln, GRUR-RS 2023, 37347 Rn. 29: Vielzahl gleichgelagerter eigener Verfahren).


Den Volltext der Entscheidung finden Sie hier:

BAG: Schadensersatzanspruch aus Art. 82 DSGVO bei rechtswidriger heimlicher Überwachung eines Arbeitnehmers durch Detektei zur Bewertung des Gesundheitszustandes

BAG
Urteil vom 25.07.2024
8 AZR 225/23


Da BAG hat entschieden, dass ein Schadensersatzanspruch aus Art. 82 DSGVO bei rechtswidriger heimlicher Überwachung eines Arbeitnehmers durch eine vom Arbeitsgeber beauftragte Detektei zur Bewertung des Gesundheitszustandes des Arbeitnehmers besteht.

Leitsatz des BAG:
Lässt ein Arbeitgeber einen Arbeitnehmer wegen des Verdachts einer vorgetäuschten Arbeitsunfähigkeit durch eine Detektei überwachen und dokumentiert diese dabei den sichtbaren Gesundheitszustand des Arbeitnehmers, handelt es sich um die Verarbeitung von Gesundheitsdaten im Sinne der Datenschutz-Grundverordnung.

Den Volltext der Entscheidung finden Sie hier:

BGH bestimmt Rechtsstreit um möglichen Schadensersatz aus Art. 82 DSGVO in Facebook-Scraping-Fällen zum Leitentscheidungsverfahren nach § 552b ZPO

BGH
Beschluss vom 31.10.2024
VI ZR 10/24


BGH hat einen Rechtsstreit um möglichen Schadensersatz aus Art. 82 DSGVO in Facebook-Scraping-Fällen zum Leitentscheidungsverfahren nach § 552b ZPO bestimmt.

Die Pressemitteilung des BGH:
Bundesgerichtshof bestimmt Leitentscheidungsverfahren in dem sog. Scraping-Komplex (Ansprüche im Zusammenhang mit einem Datenschutzvorfall beim sozialen Netzwerk Facebook)

Der u.a. für Rechtsstreitigkeiten über Ansprüche aus der Datenschutz-Grundverordnung zuständige VI. Zivilsenat hat in dem sog. Scraping-Komplex (Pressemitteilung 115/24) das Revisionsverfahren VI ZR 10/24 zum Leitentscheidungsverfahren bestimmt. Nach der durch das Gesetz zur Einführung eines Leitentscheidungsverfahrens beim Bundesgerichtshof vom 24. Oktober 2024 (BGBl. I Nr. 328) neu geschaffenen Vorschrift des § 552b ZPO kann der Bundesgerichtshof ein bei ihm anhängiges Revisionsverfahren zum Leitentscheidungsverfahren bestimmen, wenn die Revision Rechtsfragen aufwirft, deren Entscheidung für eine Vielzahl von Verfahren von Bedeutung ist. Mit der Bestimmung zum Leitentscheidungsverfahren ist eine Entscheidung über die Rechtsfragen auch dann zu treffen, wenn eine inhaltliche Entscheidung über die Revision aus prozessualen Gründen nicht mehr ergehen kann. Damit soll eine zügige höchstrichterliche Klärung trotz der Rücknahme von Revisionen aus prozesstaktischen Gründen oder aufgrund eines Vergleichs ermöglicht werden.

Das zum Leitentscheidungsverfahren bestimmte Revisionsverfahren VI ZR 10/24 wirft die Rechtsfragen auf,

ob in der von der Beklagten bei Implementierung der sog. Kontakt-Import-Funktion vorgenommenen Standardvoreinstellung auf "alle" ein Verstoß der Beklagten gegen die Datenschutz-Grundverordnung im Sinne des Art. 82 Abs. 1 DSGVO liegt,

ob der bloße Verlust der Kontrolle über die gescrapten und nunmehr mit der Mobiltelefonnummer des jeweiligen Betroffenen verknüpften Daten geeignet ist, einen immateriellen Schaden im Sinne des Art. 82 Abs. 1 DSGVO zu begründen,

wie in einem solchen Fall der Schaden zu bemessen wäre,

welche Anforderungen an die Substantiierung einer Schadensersatzklage nach Art. 82 Abs. 1 DSGVO zu stellen sind,

ob die bloße Möglichkeit des Eintritts künftiger Schäden ausreicht, um ein Feststellungsinteresse im Sinne des § 256 Abs. 1 ZPO zu begründen,

ob die vom Kläger gestellten Unterlassungsanträge dem Bestimmtheitsgebot des § 253 Abs. 2 Nr. 2 ZPO genügen.

Diese Rechtsfragen sind für eine Vielzahl beim Bundesgerichtshof und in den Tatsacheninstanzen anhängiger, in wesentlichen Teilen gleichgearteter Verfahren von Bedeutung. Diese Verfahren können nunmehr grundsätzlich bis zur Erledigung des Leitentscheidungsverfahrens ausgesetzt werden.

In zwei zunächst zur Verhandlung am 8. Oktober 2024 vorgesehenen Verfahren sind die Revisionen von den Klägern kurzfristig vor dem Termin zurückgenommen worden (Pressemitteilung 190/24). Für den 11. November 2024 ist Termin zur mündlichen Verhandlung in dem nunmehr zum Leitentscheidungsverfahren bestimmten Revisionsverfahren VI ZR 10/24 anberaumt (Pressemitteilung 195/24). In dem weiteren für den 11. November 2024 terminierten Verfahren VI ZR 186/24 ist die Revision zwischenzeitlich ebenfalls zurückgenommen worden.

Vorinstanzen:

LG Bonn - Urteil vom 29. März 2023 - 13 O 125/22

OLG Köln - Urteil vom 7. Dezember 2023 - 15 U 67/23

Die maßgeblichen Vorschriften lauten:

§ 552b ZPO n.F.: Bestimmung zum Leitentscheidungsverfahren

Wirft die Revision Rechtsfragen auf, deren Entscheidung für eine Vielzahl anderer Verfahren von Bedeutung ist, so kann das Revisionsgericht nach Eingang einer Revisionserwiderung oder nach Ablauf eines Monats nach Zustellung der Revisionsbegründung das Revisionsverfahren durch Beschluss zum Leitentscheidungsverfahren bestimmen. Der Beschluss enthält eine Darstellung des Sachverhalts und der Rechtsfragen, deren Entscheidung für eine Vielzahl anderer Verfahren von Bedeutung ist.

§ 565 ZPO n.F.: Leitentscheidung

(1) Endet die zum Leitentscheidungsverfahren bestimmte Revision, ohne dass ein mit inhaltlicher Begründung versehenes Urteil ergeht, so trifft das Revisionsgericht durch Beschluss eine Leitentscheidung. Der Beschluss ergeht ohne mündliche Verhandlung.

(2) In dem Beschluss wird

1. festgestellt, dass die Revision beendet ist, und

2. eine Leitentscheidung zu den im Beschluss nach § 552b benannten Rechtsfragen getroffen.

(3) Der Beschluss ist zu begründen. Die Begründung ist auf die Erwägungen zur Entscheidung der maßgeblichen Rechtsfragen zu beschränken.

§ 148 ZPO n.F.: Aussetzung bei Vorgreiflichkeit

(…)

(4) Das Gericht kann ferner, wenn die Entscheidung des Rechtsstreits von Rechtsfragen abhängt, die den Gegenstand eines bei dem Revisionsgericht anhängigen Leitentscheidungsverfahrens bilden, nach Anhörung der Parteien anordnen, dass die Verhandlung bis zur Erledigung des Leitentscheidungsverfahrens auszusetzen ist. Eine Aussetzung hat zu unterbleiben, wenn eine Partei der Aussetzung widerspricht und gewichtige Gründe hierfür glaubhaft macht. (…)


OLG Dresden: Unzureichende Kontrolle des Auftragsverarbeiters kann Schadensersatz aus Art. 82 DSGVO des Betroffenen gegen den Verantwortlichen begründen

OLG Dresden
Urteil vom 15.10.2024
4 U 940/24


Das OLG Dresden hat entschieden, dass die unzureichende Kontrolle des Auftragsverarbeiters einen Schadensersatzanspruch aus Art. 82 DSGVO des Betroffenen gegen den Verantwortlichen begründen kann.

Aus den Entscheidungsgründen:
1. Die internationale Zuständigkeit deutscher Gerichte ist gemäß Art. 18 Abs. 1 EuGVVO sowie gemäß Art. 79 Abs. 2, Satz 2 DSGVO gegeben, denn die Klagepartei hat ihren gewöhnlichen Aufenthalt in Deutschland. Der sachliche, räumliche und zeitliche Anwendungsbereich der am 25.05.2018 in Kraft getretenen Datenschutzgrundverordnung ist eröffnet.

2. Die Beklagte ist der Klagepartei dem Grunde nach gemäß Art. 82 DSGVO zum Schadensersatz verpflichtet. Der Verantwortliche und Auftragsverarbeiter haftet im Grundsatz nach Art. 82 DSGVO für das Handeln seiner Auftragsverarbeiter und deren Mitarbeiter jedenfalls dann, wenn dem Mitarbeiter erst durch die ihm vom Verantwortlichen oder Auftragsverarbeiter übertragene Tätigkeit die Gelegenheit gegeben wurde, auf die Rechtsgüter der betroffenen Person einzuwirken. Der Verantwortliche haftet auch, wenn der Auftragsverarbeiter die Weisungen des Verantwortlichen ausführt und dadurch ein Schaden entsteht. Missachtet der Auftragsverarbeiter eine rechtmäßige Weisung des Verantwortlichen, haftet der Verantwortliche auch hierfür (Hans-Jürgen Schaffland; Gabriele Holthaus in: Schaffland/Wiltfang, Datenschutz-Grundverordnung (DS-GVO)/Bundesdatenschutzgesetz (BDSG), 8. Ergänzungslieferung 2024, Art. 82 EUV 2016/679, Rz. 30a). Zwar besteht in diesem Fall auch eine Haftung des Auftragsdatenverarbeiters. Der Verantwortliche kann den Betroffenen aber nicht auf dessen vorrangige Inanspruchnahme verweisen, weil dies einem „wirksamen Schadensersatz“ im Sinne des Art. 82 Abs. 4 DSGVO (vgl. auch Erwägungsgrund 146 S. 6) entgegenstünde. Ein Abschieben der Haftung auf den Auftragsverarbeiter widerspricht auch dem Grundgedanken der Auftragsverarbeitung, wonach der Verantwortliche zwar ohne Weiteres Dritte einschalten darf, aber gegenüber der betroffenen Person verantwortlich bleibt. Der Auftragsverarbeiter ist letztlich – mit einigen formalen und inhaltlichen Anforderungen, die aus der fehlenden arbeitsrechtlichen Weisungsbefugnis und tatsächlichen Kontrollmöglichkeit herrühren – wie ein sonstiger Mitarbeiter zu behandeln (vgl. Bergt, in: Kühling/Buchner, DSGVO, 4. Auflage, 2024, Art. 82 Rn. 55 mwN).

a) Die Beklagte hat gegen die ihr obliegende Pflicht zur sorgfältigen Überwachung des von ihr beauftragten externen Auftragsdatenverarbeiters verstoßen, Art. 28, 32 DSGVO.

Art 28 Abs. 1 DSGVO regelt unmittelbar nur die Anforderungen an die Auswahl des Auftragsverarbeiters durch den Verantwortlichen. Dieser darf nur solche Auftragnehmer als Auftragsverarbeiter beauftragen, „die hinreichende Garantie dafür bieten, dass geeignete technische und organisatorische Maßnahmen“ im Einklang mit der DSGVO durchgeführt werden. Dies führt aber nicht nur zu einer Pflicht zur sorgfältigen Auswahl, sondern auch zu einer Pflicht zur sorgfältigen Überwachung des Auftragsverarbeiters durch den Verantwortlichen. Diese Pflicht zur Überwachung des Auftragsverarbeiters - im Anschluss an dessen Auswahl - ist in Art. 28 Abs. 1 DSGVO zwar nicht ausdrücklich geregelt, ergibt sich jedoch aus der Formulierung der Norm („arbeitet [...] nur mit“). Absatz 3 lit h) setzt eine solche Kontrollpflicht voraus, was auch die ordnungsgemäße Datenlöschung betrifft. Zugleich enthält er eine Verpflichtung der Vertragsparteien, die Details zu den Prüfrechten auszugestalten und hierdurch eine effektive Kontrolle durch den Verantwortlichen sicherzustellen (Schaffland/Wiltfang, Datenschutz-Grundverordnung (DSGVO)/Bundesdatenschutzgesetz (BDSG), 8. Ergänzungslieferung 2024, Art. 28 EUV 2016/679, Rn. 61). De facto ist die Pflicht zur Überwachung daher auch ohne konkrete zeitliche Vorgaben als Dauerpflicht zu verstehen (vgl. Plath in: Plath, DSGVO/BDSG/TTDSG, 4. Auflage 2023, Rz. 17 mwN). Durch diese vertragliche Ausgestaltung werden aber nicht nur die Pflichten des Auftragsdatenverarbeiters, sondern auch die korrespondierenden Prüfpflichten des Unternehmers konkretisiert. Ob dies auch dann gilt, wenn dem Auftragsdatenverarbeiter Pflichten auferlegt werden, die über das nach der DSGVO gebotenen Schutzniveau hinausgehen, bedarf hier entgegen der Auffassung der Beklagten im Schriftsatz vom 9.9.2024 keiner Entscheidung, weil die durch Ziff. 9 des Nachtrags geregelten Pflichten nicht über diese Mindestanforderungen hinausgehen. Wie die Beklagte im Schriftsatz vom 9.9.2024 insofern zu Recht geltend macht, ist der Auftragsverarbeiter nämlich nach Vertragsende – als Ausfluss der allgemeinen Grundsätze der „Rechtmäßigkeit“, (Art. 5 Abs. 1 lit. (a) DSGVO), der „Datenminimierung“ (Art. 5 Abs. 1 lit. (c) DSGVO) sowie der Speicherbegrenzung (Art. 5 Abs. 1 (e) DSGVO) – verpflichtet, alle noch vorhandenen personenbezogenen Daten entweder zu löschen oder zurückzugeben (vgl. Paal/Pauly/Martini, 3. Aufl. 2021, DS-GVO Art. 28 Rn. 22, 23, beck-online mit Verweisen auf Spoerr in BeckOK DatenschutzR DS-GVO Art. 28 Rn. 78). Dies entspricht Art. 9 des Nachtrags.

Die Anforderungen an Auswahl und Überwachung dürfen dabei in der Praxis zwar nicht überspannt werden. Wählt ein Unternehmen z.B. einen führenden und am Markt als zuverlässig bekannten IT-Dienstleister aus, so darf es grundsätzlich auf dessen Fachwissen und Zuverlässigkeit vertrauen, ohne dass etwa eine - vollkommen praxisfremde - Vor-OrtKontrolle erforderlich wäre (Schaffland/Wiltfang aaO.). Gesteigerte Anforderungen ergeben sich indes, soweit z.B. große Datenmengen oder besonders sensible Daten gehostet werden sollen (Plath, a.a.O., Rz. 18). Diese gesteigerten Kontrollpflichten gelten auch außerhalb der Verarbeitung personenbezogener Daten nach Art. 9, 10 DSGVO. Ungeachtet der Frage, ob die von dem zwischen der Beklagten und dem Autragsdatenverarbeiter geschlossenen Vertrag erfassten Daten auch Daten über das Nutzerverhalten und hieraus zu erstellende Profile beinhalteten, betraf die Verarbeitung vorliegend jedenfalls nicht unbedeutende Datenmengen, deren Verlust potentiell vielen Millionen Nutzern Schaden zufügen konnte. Infolgedessen war die Beklagte auch nach Vertragsbeendigung zu einer Überwachung ihres Auftragsdatenverarbeiters dahingehend angehalten, dass dieser die ihm zur Verfügung gestellten Daten tatsächlich löscht und hierüber eine aussagekräftige Bescheinigung ausstellt. Diese durch die DSGVO gesetzlich aufgestellten Anforderungen werden in Ziff. 9 der am 18.7.2019 geschlossenen Zusatzvereinbarung (Anlage B 2a) Datenschutznachtrag ("Nachtrag") als Teil des Dienstleistungsvertrags vom 01. Dezember 2016 wie folgt präzisiert:

„9. BEENDIGUNG DER VERARBEITUNG
9.1 Vorbehaltlich des Abschnitts 9.2, ist der Anbieter verpflichtet, nach Wahl des Unternehmens entweder (a) eine vollständige Kopie aller Personenbezogenen Daten des Unternehmens durch sichere Dateiübertragung in einem Format, das das Unternehmen dem Anbieter in angemessener Weise mitteilt, an das Unternehmen zurückzusenden und anschließend alle anderen Kopien der Personenbezogenen Daten des Unternehmens, die vom Anbieter oder den Unterauftragsverarbeitern verarbeitet wurden, innerhalb von einundzwanzig (21) Kalendertagen nach dem Datum der Beendigung der Dienstleistungen, die die Verarbeitung Personenbezogener Daten des Unternehmens beinhalten (das "Beendigungsdatum"), zu löschen und für die Löschung zu sorgen oder (b) die Daten innerhalb von einundzwanzig (21) Kalendertagen nach dem Beendigungsdatum zu löschen und für die Löschung aller anderen Kopien der Personenbezogenen Daten des Unternehmens, die vom Anbieter oder den Unterauftragsverarbeitern verarbeitet wurden, zu sorgen.

9.2 Der Anbieter und jeder Unterauftragsverarbeiter dürfen Personenbezogene Daten des Unternehmens nur in dem Umfang und für den Zeitraum aufbewahren, wie es die anwendbaren EU-Gesetze vorschreiben, und immer nur unter der Voraussetzung, dass der Anbieter die Vertraulichkeit aller Personenbezogenen Daten des Unternehmens sicherstellt und gewährleistet, dass diese Personenbezogenen Daten des Unternehmens nur für Zwecke verarbeitet werden, die mit denen vereinbar sind, für die sie gemäß Artikel 5.1 (b) der DSGVO erhoben wurden, und wie es die anwendbaren EU-Gesetze vorschreiben, die ihre Speicherung vorschreiben.

9.3 Der Anbieter muss dem Unternehmen schriftlich bestätigen, dass er und jeder Unterauftragsverarbeiter diesen Abschnitt 9 innerhalb von einundzwanzig (21) Kalendertagen nach dem Beendigungsdatum vollständig eingehalten haben.

In Ergänzung hierzu regelt Ziff. 10.1 des Nachtrags das Recht der Beklagten, von dem Auftragsdatenverarbeiter „alle erforderlichen Informationen“ verlangen zu dürfen, „soweit dies vernünftigerweise erforderlich ist“. Folgerichtig war die Beklagte zum einen verpflichtet, von ihrem Wahlrecht nach Ziff. 9.1. Gebrauch zu machen, d.h. entweder die Rückübertragung oder die Löschung der von dem Auftragsdatenverarbeiter gehosteten Daten innerhalb der dort genannten Fristen zu verlangen. Zum anderen war sie gehalten, die Erfüllung der den Auftragsdatenverarbeiter hiernach treffenden Verpflichtungen zu kontrollieren, also die nach dem Vertrag erforderlichen Bestätigungen einzuholen, bei deren Ausbleiben innerhalb der 21-Tage Frist die Vorlage unverzüglich anzumahnen und ggf. auch eine Vorort-Prüfung nach Art. 10 des Nachtrags vorzunehmen. Nichts davon ist hier geschehen. Dem Vortrag der Beklagten lässt sich bereits nicht entnehmen, dass diese gegenüber dem Auftragsdatenverarbeiter ihr Wahlrecht gem. Ziff. 9.1. des Nachtrags überhaupt ausgeübt hätte, ein entsprechendes Schreiben ist nicht vorgelegt worden.

Insbesondere hat sie aber dadurch gegen ihre Kontrollpflichten aus Art. 28 DSGVO verstoßen, dass sie nicht nach Ablauf der vertraglich geregelten 21-tägigen Frist von ihrer Auftragsverarbeiterin die ausdrückliche schriftliche Bestätigung einer tatsächlich durchgeführten Löschung aller bei dieser vorhandenen Datensätze angefordert hat, die eine detaillierte Auflistung der gelöschten Daten enthielt. Die von dem Auftragsdatenverarbeiter unter dem Datum 9.12.2020 versandte Mail genügte dessen vertraglichen Verpflichtungen nicht, schon weil sie nicht dem Schriftformerfordernis in Ziff. 9.3. (“written certification“ in der englischen Originalfassung Anlage B 2b) entsprach (in diesem Sinne auch LG Lübeck, Beschluss vom 8. Mai 2024 – 15 O 224/23 –, Rn. 16, juris). Auch wenn, wozu die Parteien nichts vorgetragen haben, der Nachtrag dem französischen Zivilrecht unterfallen sollte, wäre die elektronische Form der Schriftform nur gleichgestellt, wenn die Identität der Person, die es erstellt hat, eindeutig nachgewiesen und die Integrität der E-Mail gewährleistet wäre (Art. 1366 cc:..“sous réserve que puisse être dûment identifiée la personne dont il émane et qu'il soit établi et conservé dans des conditions de nature à en garantir l'intégrité“). Da aus der als Anlage B4 vorgelegten anonymisierten Kopie deren Absender nicht erkenntlich ist, liegen auch diese Voraussetzungen nicht vor. Art. 28 Abs. 9 DSGVO der nur für den „Vertrag oder das andere Rechtsinstrument im Sinne der Absätze 3 und 4“ gilt, ist auf die Löschungsbestätigung, für die die Parteien ausdrücklich die Schriftform gewählt haben, nicht anwendbar. Schwerer wiegt indes, dass die E-Mail des Auftragsdatenverarbeiters vom 9.12.2020 lediglich die Ankündigung einer bevorstehenden, nicht aber die Bestätigung einer erfolgten Löschung enthielt. Die bloße Ankündigung einer Maßnahme ist jedoch nicht gleichwertig zu einer Bestätigung über deren Ausführung. Es ist allgemein bekannt, dass gleich ob in kleinen oder großen Unternehmen anstehende Vorgänge aufgeschoben und in der Folge auch vergessen werden können. Indem die Bestätigung der tatsächlichen Durchführung einer vertraglich festgelegten Aufgabe eingefordert wird, minimiert der Verantwortliche das Risiko, dass es beim Auftragsverarbeiter bei der bloßen Ankündigung eines Tätigwerdens bleibt und sorgt zugleich dafür, dass der Auftragsverarbeiter in seiner eigenen Sphäre überprüft, ob die vertraglich übernommene Verpflichtung tatsächlich gewissenhaft erfüllt wurde - auch um das eigene Haftungsrisiko zu minimieren.

Die als Anlage B4 vorgelegte Löschungsankündigung des Auftragsdatenverarbeiters erfüllte aber auch unabhängig hiervon nicht die zum Zwecke und zur Sicherstellung der gesetzlichen Pflichten vertraglich festgelegten Anforderungen, weil sie sich lediglich auf „your site and all the data on the site“, d.h. die unmittelbar von der Beklagten zur Verfügung gestellte Website einschließlich der dort befindlichen Daten, nicht jedoch auf die „Löschung aller anderen Kopien der personenbezogenen Daten des Unternehmens, die vom Anbieter ... verarbeitet wurden“.

erstreckte, wie es Ziff. 9.1. vorsieht. Angesichts dessen hätte sich die Beklagte mit dieser weder formal noch inhaltlich hinreichenden Ankündigung nicht zufrieden geben dürfen, sondern auf eine vollständige und rechtzeitige Löschungsbestätigung hinwirken müssen. Wäre diese auf Anforderung nicht unverzüglich vorgelegt worden, hätte sie ggf. eine nach Ziff. 10.1. des Nachtrags vorgesehene Vor-Ort Kontrolle durchführen müssen. Dies ist indes unstreitig nicht geschehen. Eine Nachfrage beim Auftragsdatenverarbeiter ist nach dem eigenen Vorbringen der Beklagten nicht vor dem Jahr 2023 erfolgt. Die als Anlage B5 vorgelegte, als „Declaration of Data Destruction“ bezeichnete E-Mail vom 22.3.2023 liegt aber weit außerhalb eines für diese nach Art. 28 DSGVO erforderliche Kontrolle vertretbaren Prüfzeitraums. Ob sie eine hinreichende Bescheinigung im Sinne von Ziff. 9 Abs. 1 des Nachtrags enthält, kann schon aus diesem Grund dahinstehen. Schließlich kann auch die Kausalität dieser Kontrollpflichtenverletzung für den streitgegenständlichen Hacking-Vorfall nicht verneint werden. Ausgehend vom Regelfall des redlichen Auftragsdatenverarbeiters muss vielmehr angenommen werden, dass die Mitarbeiter der Firma O...... spätestens auf eine Nachfrage der Beklagten reagiert und die bei ihnen noch vorhandenen Daten gelöscht hätten; jedenfalls die Ankündigung einer Vorort-Kontrolle hätte dazu geführt, dass entsprechende Aktivitäten in die Wege geleitet worden wären. Zu einem Abgreifen der Daten, das nach dem Vorbringen der Beklagten erst im Jahr 2022 erfolgt ist, wäre es dann nicht gekommen. Dass der Dienstleister unter dem Eindruck des erfolgten und ihm bekannten Datenlecks und angesichts der zu erwartenden Haftungsansprüche am 22.3.2023 nachträglich eine unrichtige Löschungsbescheinigung erteilt hat, lässt keinen Rückschluss darauf zu, dass er dies auch im Jahr 2020 getan hätte. Anders wäre dies lediglich dann, wenn der Auftragsdatenverarbeiter selbst unredlich gehandelt und die Daten deshalb nicht gelöscht hätte, um sie selbst später weiter zu veräußern oder für eigenen Zwecke zu verarbeiten. Anhaltspunkte für einen solchen Verdacht sind von der hierfür beweisbelasteten Beklagten indes nicht aufgezeigt worden. Nur in einem solchen Fall käme auch ein Auftragverarbeiterexzess gem. Art. 82 Abs. 3 DSGVO in Betracht, der die Verantwortlichkeit der Beklagten entfallen ließe (vgl. zu deren Voraussetzungen i.E. unter 2. d)). Das bloß versehentliche Nichtlöschen der Daten, das noch dazu durch eine unzureichende Kontrolle seitens der Beklagten maßgeblich erleichtert wurde, hält sich jedoch noch im Rahmen des Erwartbaren und erfüllt damit die Voraussetzungen des Art. 82 Abs. 3 DSGVO nicht.

b) Angesichts des Verstoßes der Beklagten gegen ihre Kontroll- und Überwachungspflichten kommt es nicht darauf an, ob sie ihrer Pflicht zur Einhaltung aller erforderlichen technischen und organisatorischen sowie personellen Sicherheitsstandards im eigenen Hause nachgekommen ist. Gleiches gilt im Ergebnis für die Einhaltung der technischen Sicherheitsstandards im Hause des Auftragsdatenverarbeiters „O......“. Den hierauf abzielenden Behauptungen der Klägerseite war auch deshalb nicht nachzugehen, weil sie ersichtlich „ins Blaue hinein“ erfolgen. Dies gilt insbesondere für die Behauptung, der Hacking-Vorfall habe sich bereits 2019 ereignet. Hierfür ist nach den von der Beklagten vorgelegten Ermittlungsergebnissen, insbesondere den zeitnah erfolgten Meldungen an die CNIL nichts ersichtlich. Angesichts des detaillierten Vortrags der Beklagtenseite zum Zustandekommen ihrer irrtümlichen Erstmeldung, des Verweises auf die Ermittlungsergebnisse und wegen der Tatsache der Erstveröffentlichung der Daten im Jahre 2022, die eine Erbeutung der Daten bereits im Jahre 2019 als äußerst unwahrscheinlich erscheinen lassen, hätte es der Klagepartei nach den Grundsätzen der gestuften Darlegungslast oblegen, diesen Beklagtenvortrag substantiiert zu bestreiten.

Gleiches gilt im Ergebnis für die Behauptung eines Datenschutzverstoßes im direkten Verantwortungsbereich der Beklagten oder bei der Übermittlung der Daten an den Auftragsdatenverarbeiter. Steht - wie hier - ein objektiver Verstoß gegen Datenschutzvorschriften fest bzw ist unstreitig, so obliegt die Beweislast für die Einhaltung der Grundsätze des Art. 32 DSGVO allerdings dem Verantwortlichen (EuGH, Urteil vom Urteil vom 14.12.2023 - C-340/21, Rz. 57). Vorliegend steht ein solcher Verstoß jedoch lediglich im Bereich der Kontrollpflichten fest; Verstöße im eigenen Bereich der Beklagten sind jedoch nicht ersichtlich und angesichts des Umstandes, dass die Daten unstreitig bei dem Auftragsdatenverarbeiter abhanden gekommen sind, auch nicht plausibel. Angesichts des Umstandes, dass die Beklagte umfangreich zu den von ihr ergriffenen Sicherheits- und Überprüfungsmaßnahmen vorgetragen und detailliert und dabei sowohl ihre IT-Infrastruktur, den von ihr benutzten Sicherheitssystemen beim IP-Transit, bei der Kommunikation als solcher, ihre Firewalls, ihre physische Zutrittskontrollen, insbesondere zu den Datenzentren dargelegt hat und auch zur Ausgestaltung ihrer Zugriffsrechte, insbesondere zu den Authentifizierungssystemen, zur Rückverfolgbarkeit, zur Isolierung der Anmeldedaten, zu Warnsystemen, und zur Bot-Analyse vorgetragen (S. 8 - 12 der Klageerwiderung) umfangreichen Sachvortrag gehalten hat, hätte es der Klagepartei nach den Grundsätzen der gestuften Darlegungslast oblegen, ihre Behauptungen zu einem vermeintlichen Datenschutzverstoß zu präzisieren.

c) Offenbleiben kann ebenfalls, ob die Beklagte ihre Benachrichtigungspflicht aus Art. 34 DSGVO gegenüber der Klagepartei, aus Art. 33 DSGVO gegenüber der Aufsichtsbehörde oder die Auskunftspflicht nach Art. 15 DSGVO verletzt hat, denn ein kausaler Schaden der Klagepartei, der auf der Verletzung von Benachrichtigungspflichten beruhen könnte, ist nicht ersichtlich (vgl. hierzu auch OLG Hamm, Urteil vom 15.08.2023 - 7 U 19/23, Rn 147 - juris). Die Klagepartei hat nicht dargelegt, welcher Schaden ihr daraus entstanden sein soll. Der Kontrollverlust und die Veröffentlichung der Daten und die nach der Behauptung der Klagepartei darauf beruhenden ungebetenen spam e-mails können nur auf dem HackingVorfall und nicht auf der Verletzung von Benachrichtigungs- und Auskunftspflichten zurückzuführen sein.

Unabhängig davon kann ein Schadensersatzanspruch nach Art. 82 DSGVO ohnehin nicht auf die Verletzung der vorgenannten Pflichten gestützt werden, da keine „Verarbeitung personenbezogener Daten“ vorliegt. Nach der Rechtsprechung des EuGH setzt der Anspruch die Verarbeitung personenbezogener Daten unter Verstoß gegen die Bestimmung der DSGVO voraus (vgl. EuGH, Urteil vom 04.05.2023 - C - 300/21, Rn 36 - juris; vgl. Moos/Schlefzig in Taeger/Gabel (Hrsg.) DSGVO, 2022, Art. 82 Rn 22). Dies belegt auch die Formulierung in Erwägungsgrund Nr. 146, wonach Schäden ersetzt werden, die „aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht“.

d) Die Beklagte kann sich nicht nach Art. 82 Absatz 3 DSGVO entlasten.

Der Verantwortliche oder der Auftragsverarbeiter wird nach dem Wortlaut dieser Vorschrift von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. „Nicht verantwortlich“ bedeutet, dass den Verantwortlichen bzw. den Auftragsverarbeiter keinerlei Verschulden an dem Ereignis trifft, das den Schaden auslöste (Bergt in Kühling/Buchner, DS-GVO/BDSG, 3. Aufl., Art. 82 Rdn. 49; im Ergebnis auch Spindler, DB 2016, 937 ff. (947) Schaffland/Wiltfang, a.a.O, Rz. 28). „In keinerlei Hinsicht“ bedeutet, dass der Verantwortliche bzw. der Auftragsverarbeiter nachweist, er habe alle Sorgfaltspflichten erfüllt und damit ihm nicht die geringste Fahrlässigkeit vorgeworfen werden kann (Becker in Plath, DSGVO/BDSG/TTDSG, 4. Aufl., Art. 82 DS-GVO Rdn. 5). Hält er alle erforderlichen technischen und organisatorischen Datensicherungsmaßnahmen ein und kommt es dennoch zu einem unbefugten Datenzugriff, kann ihm dies nicht angelastet werden (Becker in Plath, DSGVO/BDSG/TTDSG, 4. Aufl., Art. 82 DS-GVO Rdn. 5; Frenzel in Paal/Pauly, DSGVO/BDSG, 3. Aufl., Art. 82 Rdn. 15; Bergt in Kühling/Buchner, DS-GVO/BDSG, 3. Aufl., Art. 82 Rdn. 54; Schaffland/Wiltfang, a.a.O, Rz. 29). Die Haftung des Verantwortlichen für das Verhalten eines Auftragsverarbeiters erstreckt sich grundsätzlich nicht auf die Fälle, in denen der Auftragsverarbeiter personenbezogene Daten für eigene Zwecke verarbeitet hat oder diese Daten auf eine Weise verarbeitet hat, die nicht mit dem Rahmen oder den Modalitäten der Verarbeitung, wie sie vom Verantwortlichen festgelegt wurden, vereinbar ist oder auf eine Weise, bei der vernünftigerweise nicht davon ausgegangen werden kann, dass der Verantwortliche ihr zugestimmt hätte (EuGH, Urteil vom 5. Dezember 2023 – C-683/21 –, juris Rz. 85).

Vorliegend hat der Auftragsdatenverarbeiter zwar sowohl gegen allgemeine Regeln der DSGVO als auch gegen seine vertraglichen Pflichten verstoßen. Ungeachtet vertraglicher Verpflichtungen ist der Auftragsverarbeiter bereits nach der DSGVO im Rahmen der Auftragsverarbeitung grundsätzlich nicht berechtigt, die im Auftrag verarbeiteten Daten für eigene Zwecke bzw. für die Zwecke Dritter zu verarbeiten. Darüber hinaus hat der Auftragsverarbeiter die Rückgabe- und Löschpflichten nach Beendigung des Auftrags zu beachten (vgl. Plath in: Plath, DSGVO/BDSG/TTDSG, 4. Auflage 2023, Rz. 17 mwN). Vorliegend ist unstreitig, dass Datensätze der Beklagten bei der Firma O...... zum einen unzulässigerweise von der Produktiv- in eine Testumgebung überführt wurden, deren Sphäre verlassen haben und anschließend im Darknet zum Verkauf angeboten wurden, nachdem Mitarbeiter dieser Firma entgegen ihrer Zusicherung aus dem Jahre 2023 nicht alle Datensätze der Beklagten wie vertraglich vereinbart unverzüglich nach Vertragsende gelöscht hatten, sondern zumindest einer der Datensätze schließlich entweder von Hackern erbeutet, oder von Mitarbeitern unbefugt weitergegeben wurden.

Wie oben ausgeführt, käme die Beklagte allerdings nur dann in den Genuss der Haftungsprivilegierung nach Art. 82 Abs. 3 DSGVO, wenn ihr selbst keinerlei Fahrlässigkeit vorzuwerfen wäre. Dies ist vorliegend angesichts des eigenen Pflichtenverstoßes der Beklagten nicht der Fall. Dem kann auch nicht das fehlende Zugriffsrecht der Beklagten nach Ablauf des Auftragsverarbeitungsverhältnisses entgegen gehalten werden; wie aufgezeigt standen hier nämlich der Beklagten die in Ziff. 9, 10 des Nachtrags geregelten nachwirkenden Kontrollmöglichkeiten offen.




LG Lübeck: Fehlende Vereinbarung über Auftragsverarbeitung nach Art. 28 DSGVO zwischen Auftragsverarbeiter und Unterauftragsverarbeiter kann Schadensersatzanspruch nach Art. 82 DSGVO zur Folge haben

LG Lübeck
Urteil vom 04.10.2024
15 O 216/23

Das LG Lübeck hat entschieded, dass das Fehlen einer Auftragsverarbeitungsvereinbarung nach Art. 28 DSGVO zwischen Auftragsverarbeiter und Unterauftragsverarbeiter einen Schadensersatzanspruch nach Art. 82 DSGVO zur Folge haben kann.

Aus den Entscheidungsgründen:
bbb. Das Gericht ist jedoch überzeugt, dass bereits die Übertragung der streitgegenständlichen Daten von der Beklagten an die O. (vgl. oben) unter Verstoß gegen Bestimmungen der DSGVO erfolgte.

Dabei ergeben sich die Anforderungen an die Übertragung von Daten auf Auftragsverarbeiter aus Art. 28 DSGVO. Hiernach setzt die Verarbeitung von Daten durch Auftragsverarbeiter (und entsprechend die Übergabe der Daten an den Auftragsverarbeiter) voraus, dass zwischen der Beklagten und dem Auftragsverarbeiter ein Vertrag oder ein anderes Rechtsinstrument gem. Art. 28 Abs. 3 DSGVO vorliegt, der die dort im Einzelnen aufgezählten Maßnahmen und Gewährleistungen vorsieht. Entsprechendes gilt für eventuelle Unterauftragsverarbeiter: diesen muss ebenfalls verbindlich durch Vertrag oder ein anderes Rechtsinstrument dieselben Datenschutzpflichten auferlegt worden sein wie dem Auftragsverarbeiter selbst, § 28 Abs. 4 DSGVO. Fehlt es an diesen Voraussetzungen, so stellt sich (entgegen der hierzu geäußerten Rechtsansicht der Beklagten im Termin zur mündlichen Verhandlung) auch die Übermittlung der Daten von dem Verantwortlichen an den Auftragsverarbeiter oder Unterauftragsverarbeiter als rechtswidrig dar (vgl. hierzu etwa BeckOK DatenschutzR/Spoerr, 49. Ed. 1.8.2024, DS-GVO Art. 28 Rn. 29-32.1 m.w.N. zur dogmatischen Herleitung; Kühling/Buchner/Hartung, 4. Aufl. 2024, DS-GVO Art. 28 Rn. 61-63: „Umgekehrt ist eine fehlende oder unvollständige Vereinbarung ein eigener Normverstoß (…)“).

Diese vorgenannten Voraussetzungen für die rechtskonforme Übermittlung geschützter Daten an Auftragsdatenverarbeiter wurden hier nicht beachtet. Dabei kann dahinstehen, ob die O. als Auftragsdatenverarbeiter oder - wie dies der Vortrag der Beklagten nahelegt - als Unterauftragsdatenverarbeiter der M. tätig wurde. Denn nach dem insoweit unstreitigen Sachverhalt liegt weder ein den Anforderungen des Art. 28 Abs. 3 DSGVO genügender Auftragsverarbeitungsvertrag zwischen der Beklagten und der O. vor - an welche aber dennoch die Daten herausgegeben wurden -, noch ein Unterauftragsverarbeitungsvertrag zwischen der O. und der M.. Auch auf entsprechenden Hinweis vom 8. Mai 2024 erfolgte hierzu kein weiterer Sachvortrag. Eine wirksame Übertragung von Datenschutzverpflichtungen auf die O. lag damit entgegen der Vorgaben der DSGVO zu keinem Zeitpunkt vor.

Dem kann die Beklagte auch nicht entgegenhalten, dass es „marktüblich und nicht zu beanstanden“ sei, „dass Verträge innerhalb eines Konzerns von der Muttergesellschaft (auch mit Wirkung für verbundene Unternehmen) abgeschlossen werden“. Dies überzeugt die Kammer nicht. Nach deutschem und europäischen Gesellschaftsrecht handelt es sich auch bei konzernverbundenen Gesellschaften grundsätzlich um rechtlich selbständige Rechtspersönlichkeiten. Eine automatische Verpflichtung der Konzerntochter durch einen Vertrag der Konzernmutter findet nicht statt, so dass auch vertragliche Datenschutzpflichten der Konzernmutter nicht ohne weiteres zugleich sämtliche Töchter verpflichten. Entsprechend nimmt es nicht Wunder, dass auch in der einschlägigen datenschutzrechtlichen Literatur betont wird, dass es sich bei konzernverbundenen Gesellschaften um getrennte Organisationen handelt und auch datenschutzrechtlich eine Privilegierung von Konzernen nicht stattfindet (vgl. Nickel: Alternativen der konzerninternen Auftragsverarbeitung, ZD 2021, 140).

ccc. Des Weiteren muss sich die Beklagte auch die bei O. selbst unstreitig geschehenen Verstöße gegen die DSGVO zurechnen lassen.

(1) Die Verarbeitung der Daten bei der O. erfolgte unter Außerachtlassung des nach der DSGVO erforderlichen Schutzniveaus, welches - im Wege der Vertragsgestaltung nach Art. 28 Abs. 3 und 4 - sicherzustellen die Beklagte verpflichtet war. Da die Beklagte es unterlassen hat, die entsprechenden Verträge zu schließen bzw. deren Abschluss durch die M. zu gewährleisten, sieht die Kammer insoweit die Beklagte zumindest in der sekundären Darlegungslast, dass dennoch und entgegen des entsprechenden Anscheins bei der O. durchgängig ein den Vorgaben der DSGVO hinreichendes Schutzniveau aufrechterhalten wurde. Dieser sekundären Darlegungslast ist die Beklagte schon deshalb nicht nachgekommen, da sie selbst vorträgt, dass Mitarbeiter der O. die streitgegenständlichen Daten weisungswidrig aus der hierfür vorgesehenen Produktivumgebung („production environment") entnommen und in eine vom Dienstleister außerhalb der Vertragsbeziehung mit der Beklagten betriebene Nicht-Produktivumgebung („non-production environment“) überführt hätten. Vortrag der Beklagten, dass in dieser vertragswidrigen Produktivumgebung dennoch alle maßgeblichen und erforderlichen Schutzvorkehrungen gewahrt wurden, findet sich nicht. Vielmehr geht auch die Beklagte davon aus, dass gerade diese Verschiebung der Daten in einen nicht hinreichend gesicherten Bereich ursächlich für den Datenschutzvorfall war.

(2) Diese Verstöße muss sich die Beklagte - entgegen der vorläufigen Einschätzung der Kammer in der Verhandlung am 22. Februar 2024 (vgl. hierzu auch den nachfolgenden Hinweis vom 8. Mai 2024) - zurechnen lassen. Der Begriff der Beteiligung an einer rechtswidrigen Datenverarbeitung nach der DSGVO geht insoweit deutlich weiter als von der Kammer zunächst angenommen. In der einschlägigen Literatur ist insoweit weitgehend Konsens, dass eine Beteiligung im Sinne der Verordnung nicht zwingend voraussetzt, dass der Verantwortliche selbst an dem letztlich schadensauslösenden Vorgang direkt mitgewirkt hat. Vielmehr genügt es grundsätzlich, wenn er im Sinne einer conditio sine qua non an der Vorgangsreihe beteiligt war, die letztlich die schädigende Handlung ermöglicht hat (Kühling/Buchner/Bergt, 4. Aufl. 2024, DS-GVO Art. 82 Rn. 22; Paal/Pauly/Frenzel, 3. Aufl. 2021, DS-GVO Art. 82 Rn. 13, 14; Paal, MMR 2020, 14, 15; Spindler/Schuster/Spindler/Horváth, 4. Aufl. 2019, DS-GVO Art. 82 Rn. 9, 10; i.d.S. wohl auch: BeckOK DatenschutzR/Quaas, 47. Ed. 1.2.2024, DS-GVO Art. 82 Rn. 39-43). Hieraus folgt, dass selbst ein Verantwortlicher, der rechtmäßig Daten an einen Dritten weitergibt, an der weiteren, auch weisungswidrigen Verarbeitung dieser Daten durch den Dritten weiterhin „beteiligt“ im Sinne der Verordnung ist (Paal/Pauly/Frenzel, 3. Aufl. 2021, DS-GVO Art. 82 Rn. 13, 14). Vor diesem Hintergrund liegt hier eine Beteiligung der Beklagten im Rechtssinne an der Datenverarbeitung durch Mitarbeiter von O. vor. Denn die Beklagte hat jedenfalls durch die (zudem rechtswidrige) Herausgabe der Daten an O. eine conditio sine qua non für diese nachfolgende Verarbeitung gesetzt. Durch diese weite Zurechnung wird auch nicht die Haftung der Verantwortlichen überzogen. Eine Begrenzung der Haftung findet vielmehr nach der Konzeption des Art. 82 DSGVO nicht über den weiteren Begriff der „Beteiligung“, sondern über die Exkulpationsmöglichkeit des Art. 82 Abs. 3 DSGVO statt.

dd. Soweit nach den obigen Ausführungen haftungsbegründende und der Beklagten zuzurechnende Verletzungen der DSGVO vorliegen, sind diese auch von der Beklagten zu vertreten.

Dabei kann für das vorliegende Verfahren dahinstehen, ob Art. 82 DSGVO eine verschuldensunabhängige Haftung begründet (BAG, EuGH-Vorlage vom 26. August 2021 - 8 AZR 253/20 (A) -, juris Rn. 40), eine Gefährdungshaftung mit der bloßen Möglichkeit der rechtsvernichtenden Einwendung fehlenden Verschuldens (vgl. hierzu etwa BeckOK DatenschutzR/Quaas DS-GVO Art. 82 Rn. 17-22) oder ob mit der wohl h.M. angenommen werden kann, Art. 82 Abs. 3 DSGVO enthalte ein Verschuldenserfordernis im Sinne der gängigen deutschen Terminologie mit einer entsprechenden Vermutung zu Lasten des Normverletzers und einer bei dem Verpflichteten liegenden Beweislast, dass weder Vorsatz noch Fahrlässigkeit vorlag (vgl. etwa BeckOK DatenschutzR/Quaas DS-GVO Art. 82 Rn. 17-22; Ehmann/Selmayr/Nemitz, 2. Aufl. 2018, DS-GVO Art. 82 Rn. 14, 15; so wohl auch: Hans-Jürgen Schaffland; Gabriele Holthaus in: Schaffland/Wiltfang, Datenschutz-Grundverordnung (DS-GVO)/Bundesdatenschutzgesetz (BDSG), Artikel 82 Haftung und Recht auf Schadenersatz; EuArbRK/Franzen, 4. Aufl. 2022, EU (VO) 2016/679 Art. 82 Rn. 17, 18; Gola/Heckmann/Gola/Piltz, 3. Aufl. 2022, DS-GVO Art. 82 Rn. 24-26).


Den Volltext der Entscheidung finden Sie hier:

BAG: Anspruch aus Art. 82 Abs. 1 DSGVO setzt Darlegung und Beweis eines konkreten Schadens voraus der durch gerügten DSGVO-Verstoß kausal verursacht wurde

BAG
Urteil vom 20.06.2024
8 AZR 91/22


Das BAG hat entschieden, dass ein Anspruch aus Art. 82 Abs. 1 DSGVO Darlegung und Beweis eines konkreten Schadens voraussetzt, der durch gerügten DSGVO-Verstoß kausal verursacht wurde.

Aus den Entscheidungsgründen:
1. Das Erfordernis eines Schadens und die entsprechende Darlegungslast der Klagepartei ist durch die jüngsten Entscheidungen des Gerichtshofs der Europäischen Union hinreichend geklärt (vgl. hierzu BAG 25. April 2024 – 8 AZR 209/21 (B) – Rn. 5 f.).

a) Aus dem Wortlaut des Art. 82 Abs. 1 DSGVO geht klar hervor, dass das Vorliegen eines „Schadens“ eine der Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadenersatzanspruch darstellt, ebenso wie das Vorliegen eines Verstoßes gegen die Datenschutz-Grundverordnung und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind (EuGH 25. Januar 2024 – C-687/21 – [MediaMarktSaturn] Rn. 58; 14. Dezember 2023 – C-340/21 – [Natsionalna agentsia za prihodite] Rn. 77; 4. Mai 2023 – C-300/21 – [Österreichische Post] Rn. 32). Der Schadenersatzanspruch hat, insbesondere im Fall eines immateriellen Schadens, eine Ausgleichsfunktion, da eine auf Art. 82 Abs. 1 DSGVO gestützte Entschädigung in Geld ermöglichen soll, den konkret aufgrund des Verstoßes gegen diese Verordnung erlittenen Schaden vollständig auszugleichen, und erfüllt keine Abschreckungs- oder Straffunktion (EuGH 25. Januar 2024 – C-687/21 – [MediaMarktSaturn] Rn. 50; 21. Dezember 2023 – C-667/21 – [Krankenversicherung Nordrhein] Rn. 87). Der Schaden muss keinen bestimmten Grad an Erheblichkeit erreicht haben (EuGH 14. Dezember 2023 – C-456/22 – [Gemeinde Ummendorf] Rn. 16 und – C-340/21 – [Natsionalna agentsia za prihodite] Rn. 78; 4. Mai 2023 – C-300/21 – [Österreichische Post] Rn. 51).

b) Hinsichtlich der Darlegungs- und Beweislast hat der Gerichtshof der Europäischen Union klargestellt, dass die Person, die auf der Grundlage von Art. 82 Abs. 1 DSGVO den Ersatz eines immateriellen Schadens verlangt, nicht nur den Verstoß gegen Bestimmungen dieser Verordnung nachweisen muss, sondern auch, dass ihr durch diesen Verstoß ein solcher Schaden entstanden ist (EuGH 11. April 2024 – C-741/21 – [juris] Rn. 35; 25. Januar 2024 – C-687/21 – [MediaMarktSaturn] Rn. 60 f.). Da der 85. Erwägungsgrund der Datenschutz-Grundverordnung ausdrücklich den „Verlust der Kontrolle“ zu den Schäden zählt, die durch eine Verletzung des Schutzes personenbezogener Daten verursacht werden können, hat der Gerichtshof entschieden, dass der – selbst kurzzeitige – Verlust der Kontrolle über solche Daten einen „immateriellen Schaden“ iSv. Art. 82 Abs. 1 DSGVO darstellen kann, der einen Schadenersatzanspruch begründet, sofern die betroffene Person den Nachweis erbringt, dass sie tatsächlich einen solchen Schaden – so geringfügig er auch sein mag – erlitten hat (EuGH 11. April 2024 – C-741/21 – [juris] Rn. 42; 25. Januar 2024 – C-687/21 – [MediaMarktSaturn] Rn. 66). Dabei kann die durch einen Verstoß gegen die Datenschutz-Grundverordnung ausgelöste Befürchtung einer betroffenen Person, ihre personenbezogenen Daten könnten von Dritten missbräuchlich verwendet werden, für sich genommen einen „immateriellen Schaden“ iSv. Art. 82 Abs. 1 DSGVO darstellen (EuGH 25. Januar 2024 – C-687/21 – [MediaMarktSaturn] Rn. 65; 14. Dezember 2023 – C-340/21 – [Natsionalna agentsia za prihodite] Rn. 79 ff.). Ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten kann jedoch nicht zu einer Entschädigung führen (EuGH 25. Januar 2024 – C-687/21 – [MediaMarktSaturn] Rn. 68). Das angerufene nationale Gericht muss vielmehr prüfen, ob die Befürchtung der missbräuchlichen Datenverwendung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann (EuGH 14. Dezember 2023 – C-340/21 – [Natsionalna agentsia za prihodite] Rn. 85).

c) Vor dem Hintergrund dieser aktuellen Rechtsprechung des Gerichtshofs der Europäischen Union zum Erfordernis eines Schadens und der entsprechenden Darlegungslast der Klagepartei kommt es nach Auffassung des Senats auf die Vorlage des Bundesgerichtshofs vom 26. September 2023 (- VI ZR 97/22 – Rn. 30 ff.) nicht an. Der Bundesgerichtshof hat dem Gerichtshof der Europäischen Union die Frage gestellt, ob Art. 82 Abs. 1 DSGVO dahin gehend auszulegen ist, dass für die Annahme eines immateriellen Schadens bloße negative Gefühle wie zB Ärger, Unmut, Unzufriedenheit, Sorge und Angst genügen oder ob für die Annahme eines Schadens ein über diese Gefühle hinausgehender Nachteil für die betroffene natürliche Person erforderlich ist. Diese Frage ist durch die nach der Vorlage des Bundesgerichtshofs ergangene Rechtsprechung des Gerichtshofs der Europäischen Union jedenfalls bezogen auf die Sorge vor Datenverlust bzw. unrechtmäßiger Datenverwendung beantwortet (aA Rombach/Hoeren WuB 2024, 28, 32; Scharpf jurisPR-ITR 8/2024 Anm. 5 unter C; vgl. auch BGH 12. Dezember 2023 – VI ZR 277/22 – Rn. 6).

aa) Nach der Rechtsprechung des Gerichtshofs der Europäischen Union können negative Gefühle („Befürchtung“) in solchen Konstellationen einen Anspruch auf Ersatz des immateriellen Schadens begründen. Das bloße Berufen auf eine bestimmte Gefühlslage reicht aber nicht aus, denn das Gericht hat, wie dargestellt, zu prüfen, ob das Gefühl unter Berücksichtigung der konkreten Umstände „als begründet angesehen werden kann“ (EuGH 14. Dezember 2023 – C-340/21 – [Natsionalna agentsia za prihodite] Rn. 85). Dies setzt zwingend die Anwendung eines objektiven Maßstabs voraus (idS auch Halder/Maluszczak jurisPR-ITR 3/2024 Anm. 4 unter D; Sorber/Lohmann BB 2023, 1652, 1655; Peisker/Zhou BB 2024, 308, 310; aA Rudkowski NZA 2024, 1, 7). Dabei ist ua. die objektive Bestimmung des Missbrauchsrisikos der Daten von Bedeutung (vgl. Arning/Dirkers DB 2024, 381, 383).

bb) Dem steht nicht entgegen, dass Art. 82 Abs. 1 DSGVO nach der Rechtsprechung des Gerichtshofs der Europäischen Union nicht verlangt, dass ein erlittener Nachteil spürbar oder eine Beeinträchtigung objektiv sein muss (EuGH 14. Dezember 2023 – C-456/22 – [Gemeinde Ummendorf] Rn. 17). Damit hat der Gerichtshof nur klargestellt, dass es keine „Bagatellgrenze“ gibt. Der objektive Maßstab bzgl. des Vorliegens eines Schadens als solchen ist hiervon zu unterscheiden. Besteht der Schaden in negativen Gefühlen, die für sich genommen nicht beweisbar sind, hat das nationale Gericht die Gesamtsituation und letztlich auch die Glaubwürdigkeit der jeweiligen Klagepartei auf der Grundlage eines substantiierten Sachvortrags zu beurteilen. Steht ein Verstoß gegen die Datenschutz-Grundverordnung iSv. Art. 82 Abs. 1 DSGVO nach richterlicher Beweiswürdigung iSv. § 286 Abs. 1 ZPO zum Nachteil der Klagepartei als geschützter Person fest, mindert sich das Beweismaß bzgl. der Entstehung und der Höhe des Schadens nach § 287 Abs. 1 ZPO (vgl. BAG 5. Mai 2022 – 2 AZR 363/21 – Rn. 14).

2. Der Kläger hat geltend gemacht, durch die jahrelang verspätete Auskunft bleibe er weiterhin über wesentliche Faktoren der Datenverarbeitung im Dunkeln und ihm sei die Prüfung verwehrt, ob und wie die Beklagte seine personenbezogenen Daten verarbeite. Ausgehend von der Rechtsprechung des Gerichtshofs der Europäischen Union hat der Kläger damit keinen immateriellen Schaden dargelegt.

a) Entgegen der Auffassung des Landesarbeitsgerichts kann ein Schaden nicht allein mit der Begründung angenommen werden, durch eine Verletzung des Auskunftsanspruchs aus Art. 15 Abs. 1 DSGVO – so ein Verstoß dagegen einen Anspruch nach Art. 82 Abs. 1 DSGVO dem Grunde nach begründen könnte – trete ein Kontrollverlust ein, weil die Überprüfung verhindert werde, ob personenbezogene Daten rechtmäßig verarbeitet werden. Zwar dient der Auskunftsanspruch des Art. 15 Abs. 1 DSGVO dem Zweck, Betroffenen die Ausübung der Rechte auf Berichtigung, Löschung, Einschränkung der Verarbeitung und Widerspruch gegen die Verarbeitung nach Art. 16 bis 18 und Art. 21 DSGVO zu ermöglichen (vgl. EuGH 4. Mai 2023 – C-487/21 – [Österreichische Datenschutzbehörde] Rn. 35). Ein derartiger Kontrollverlust geht jedoch mit jeder Verletzung des Auskunftsanspruchs aus Art. 15 Abs. 1 DSGVO zwingend einher. Er ist daher nicht geeignet einen von der bloßen Verletzung des Art. 15 Abs. 1 DSGVO unterscheidbaren Schaden zu begründen (aA Brandt/Goffart NZA 2024, 240, 242). Die eigenständige Voraussetzung des Schadens würde damit bedeutungslos. Sie wäre stets erfüllt. Dies ist jedoch mit dem Normverständnis des Gerichtshofs von Art. 82 Abs. 1 DSGVO ebenso wenig zu vereinbaren wie mit den Anforderungen des nationalen Prozessrechts, das die substantiierte Darlegung eines Schadens verlangt (vgl. LAG Rheinland-Pfalz 8. Februar 2024 – 5 Sa 154/23 – zu II 1 b der Gründe; LAG Baden-Württemberg 27. Juli 2023 – 3 Sa 33/22 – zu B II 1 b der Gründe; Barrein/Fuhlrott NZA 2024, 443, 446).

b) Soweit der Kläger im Hinblick auf einen Verlust der Kontrolle vorträgt, ihm sei die Prüfung verwehrt, ob und wie die Beklagte seine personenbezogenen Daten verarbeite, legt er lediglich ein hypothetisches Risiko einer missbräuchlichen Verwendung dar. Ein objektiv erhöhtes Missbrauchsrisiko in Bezug auf die von dem Auskunftsanspruch betroffenen personenbezogenen Daten zeigt der Kläger gerade nicht auf. Anders als bei einem Datenleck verschlechtert sich durch die unterbliebene Auskunft die Sicherheit der Daten nicht unmittelbar. Es hätte in der vorliegenden Fallgestaltung ergänzender Darlegungen des Klägers bedurft, aus welchen Gründen ein mehr als nur hypothetisches Risiko einer missbräuchlichen Verwendung seiner personenbezogenen Daten bestehen soll.

c) Soweit sich aus dem Vortrag des Klägers – andeutungsweise – negative Gefühle in Form einer Befürchtung der missbräuchlichen Datenverwendung ergeben, können diese unter den gegebenen Umständen nicht als begründet angesehen werden. Das bloße Berufen auf Befürchtungen dieser Art reicht nicht aus. Um zu prüfen, ob das Gefühl als begründet angesehen werden kann, ist ein objektiver Maßstab anzulegen. Dabei ist insbesondere das objektive Risiko eines Missbrauchs in den Blick zu nehmen, zu dem es vorliegend an ausreichenden Darlegungen fehlt.

3. Soweit der Kläger Schadenersatz hilfsweise aus vertraglicher, hierzu hilfsweise vertragsähnlicher, hierzu hilfsweise deliktischer Haftung nach nationalen Rechtsvorschriften geltend gemacht hat, fehlt es ebenfalls an einem hinreichend dargelegten Schaden.


Den Volltext der Entscheidung finden Sie hier:

EuGH: Eine Entschuldigung kann als angemessener Ersatz eines immateriellen Schadens nach Art. 82 DSGVO ausreichend sein

EuGH
Urteil vom 04.10.2024
C‑507/23


Der EuGH hat entschieden, dass eine Entschuldigung als angemessener Ersatz eines immateriellen Schadens nach Art. 82 DSGVO ausreichend sein kann.

Tenor der Entscheidung:
1. Art. 82 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist in Verbindung mit Art. 8 Abs. 1 der Charta der Grundrechte der Europäischen Union dahin auszulegen, dass ein Verstoß gegen Bestimmungen dieser Verordnung für sich genommen nicht ausreicht, um einen „Schaden“ im Sinne von Art. 82 Abs. 1 DSGVO darzustellen.

2. Art. 82 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen, dass eine Entschuldigung einen angemessenen Ersatz eines immateriellen Schadens auf der Grundlage dieser Bestimmung darstellen kann, insbesondere, wenn es nicht möglich ist, die Lage vor dem Eintritt des Schadens wiederherzustellen, sofern diese Form des Schadenersatzes geeignet ist, den der betroffenen Person entstandenen Schaden in vollem Umfang auszugleichen.

3. Art. 82 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen, dass er der Möglichkeit entgegensteht, die Haltung und die Beweggründe des Verantwortlichen zu berücksichtigen, um der betroffenen Person gegebenenfalls einen Schadenersatz zu gewähren, der geringer ist als der Schaden, der ihr konkret entstanden ist.

Den Volltext der Entscheidung finden Sie hier:

LG Traunstein: Nutzer eines weltweit agierenden sozialen Netzwerks hat nach der DSGVO keinen Anspruch auf Unterlassung der Weitergabe und Übermittlung personenbezogener Daten in die USA

LG Traunstein
Urteil vom 08.07.2024
9 O 173/24


Das LG Traunstein hat entschieden, dass der Nutzer eines weltweit agierenden sozialen Netzwerks nach der DSGVO keinen Anspruch auf Unterlassung der Weitergabe und Übermittlung personenbezogener Daten in die USA hat.

Aus den Entscheidungsgründen:
Die Klage ist nur teilweise zulässig.

I. Das Landgericht Traunstein ist sachlich nach §§ 1 ZPO, 71 Abs. 1, 23 GVG, international nach Art. 79 Abs. 2 S. 2, 82 Abs. 6 DSGVO und örtlich nach § 44 Abs. 1 S. 2 BDSG zuständig.

II.Der auf die Feststellung der Ersatzpflicht der Beklagten gegenüber der Klagepartei für künftige Schäden gerichtete Antrag ist nicht hinreichend bestimmt gern. § 253 Abs. 2 Nr. 2 ZPO. Der auf die Feststellung der Ersatzpflicht der Beklagten gegenüber der Klagepartei für künftige Schäden gerichtete Antrag ist nicht hinreichend bestimmt gern. § 253 Abs. 2 Nr. 2 ZPO. Der Antrag bezieht sich auf „künftige Schäden“, „die der Klägerseite (…) entstanden sind und/oder noch entstehen werden.„Auch unter Berücksichtigung des gesamten klägerischen Vorbringens ist für das Gericht nicht zu erkennen, ob sich der Antrag nur auf künftige Schäden oder auch bereits entstandene, aber ggfs. noch nicht bekannte Schäden erstrecken soll.

III. Hinsichtlich des Feststellungsantrags besteht auch kein ausreichendes Feststellungsinteresse (§ 256 Abs. 1 ZPO). Ein Feststellungsinteresse ist zu verneinen, wenn aus der Sicht des Geschädigten bei verständiger Würdigung kein Grund besteht, mit dem Eintritt eines Schadens wenigstens zu rechnen (BGH NJW-RR 2007, 601). Welcher Schaden der Klagepartei dadurch entstehen soll, dass die Beklagte rechtswidrig ihre MessengerNachrichten überwacht, OffF Daten verarbeitet und Daten in die USA übermitteln sollte, ist für das Gericht nicht ersichtlich und wird auch nicht plausibel dargelegt.

IV. Der Unterlassungsantrag zu Ziff. 4 a) der Klageanträge ist nicht hinlänglich bestimmt, § 253 Abs. 2 Nr. 2 ZPO. Das Wort „anlasslos“ schränkt das Unterlassungsbegehren in objektiv nicht abgrenzbarer Weise ein. Ein entsprechender Ausspruch wäre nicht vollstreckungsfähig.

V. Hinsichtlich des Unterlassungsantrags zu Ziff. 4b) fehlt der Klagepartei das Rechtsschutzbedürfnis. Die Klagepartei hat die Möglichkeit, über die Einstellungen die Behandlung der „Off-...- Daten“ bzw. „Aktivitäten außerhalb der ...-Technologien“ selbst zu steuern. Dies muss der Klagepartei spätestens aufgrund des Beklagtenvortrags im Rechtsstreit auch bekannt sein. Da ihr ein einfacherer Weg zur Erreichung ihres Rechtsschutzziels zur Verfügung steht, fehlt ihr für eine Unterlassungsklage das Rechtsschutzbedürfnis.

VI. Der Antrag auf Löschung „anlasslos gespeicherter“ Daten (Ziff. 5a und b der Klageanträge) ist aus den oben unter Ziff. IV genannten Erwägungen wegen Unbestimmtheit unzulässig.

VII. Im Übrigen ist die Klage zulässig.
B.

Die Klage ist – soweit sie unzulässig ist, jedenfalls auch – unbegründet.
23
I. Der Klagepartei stehen keine Ansprüche gegen die Beklagte im Zusammenhang mit den behaupteten Vorwürfen hinsichtlich des ...-Messenger-Dienstes zu. Es fehlt bereits an einem relevanten Verstoß gegen die Bestimmungen der DSGVO.

Die Klagepartei hat nicht schlüssig dargelegt, woraus sich ergeben soll, dass die Beklagte die über den ...-Messenger-Dienst ausgetauschten Inhalte systematisch automatisiert überwacht im Sinne eines „crawlings“ der Inhalte. Aus der Datenschutzrichtlinie der Beklagten ergibt sich solches jedenfalls nicht. Die Beklagte hat vielmehr plausibel dargelegt, dass sie die übertragenen Nachrichten entsprechend der gesetzlichen Vorgaben, insbesondere der ePrivacy-Richtlinie, behandelt und ein zulässiges CSAM (child sexual abuse material)-Scanning zur Identifikation kinderpornographischer Inhalte durchführt. Soweit die Klagepartei die Länge und Unübersichtlichkeit der Datenschutzrichtlinie der Beklagten rügt, lässt sich kein Verstoß gegen Art. 13, 14 DSGVO erkennen. Die umfangreichen datenschutzrechtlichen Anforderungen, die von Rechts wegen an die Beklagte gestellt werden, in Verbindung mit der Komplexität der von der Beklagten zur Verfügung gestellten Dienstleistungen lassen keine knappere oder einfachere Darstellung der datenschutzrechtlichen Rahmenbedingungen zu. Dass die Beklagte die über den MessengerDienst ausgetauschten Inhalte als solche speichert und an den Adressaten übermittelt, ist zur Bereitstellung dieser Dienstleistung unumgänglich, Art. 6 Abs. 1 Buchst. B DSGVO. Für einen Verstoß gegen das Gebot der Datenminimierung (Art. 5 Abs. 1 Buchst. c DSGVO) sieht das Gericht deswegen ebenfalls keine Anhaltspunkte. Das CSAM-Scanning ist von Art. 6 Abs. 1 Buchst. f DSGVO gedeckt. Im Übrigen ist es der Klagepartei – wie jedem „f-Nutzer selbst überlassen, ob sie den MessengerDienst überhaupt verwenden will oder nicht.

II. Der Klagepartei stehen auch keine Ansprüche gegen die Beklagte im Zusammenhang mit den behaupteten Vorwürfen hinsichtlich der “Off-...-Daten“ zu.

1. Auch insoweit ist kein datenschutzrechtlicher Verstoß ersichtlich. Die Verarbeitung von Daten im Zusammenhang mit „Aktivitäten außerhalb der ...-Technologien“ („Off-...-Daten“) ist durch die Einwilligung des Nutzers gedeckt, Art. 6 Abs. 1 Buchst. a und Art. 9 Abs. 2 Buchst. a DSGVO. Nach dem Vortrag der Beklagten, an dessen Richtigkeit das Gericht keine Zweifel hat, holt sie die Einwilligung der Nutzer mittels eines im Schriftsatz vom 04.03.2024 auf S. 11 abgebildeten CookieBanners ein. Die entsprechenden Einstellungen werden durch Hinweise nachvollziehbar beschrieben und können vom Benutzer nachträglich abgeändert werden. Die Klagepartei ist bei „...“ angemeldet, so dass sie selbst die entsprechenden Einstellungen vornehmen kann. Wie es sich bei Personen verhält, die nicht bei „...“ angemeldet sind, kann dahinstehen, weil die Klagepartei nicht zu diesem Personenkreis gehört. Dass die Schaltfläche „Alle Cookies erlauben“ blau eingefärbt ist, stellt keinen Verstoß gegen Art. 25 Abs. 2 DSGVO (datenschutzfreundliche Voreinstellung) dar. Denn es handelt sich um keine „Voreinstellung“, sondern um eine übliche und erlaubte optische Hervorhebung, die die aktive Entscheidungsmöglichkeit des Nutzers unberührt lässt. Soweit die Beklagte Informationen von Cookies und ähnlichen Technologien von Dritten erhält, verarbeitet sie diese nach eigenen Angaben ohne Zustimmung des Nutzers nur zu Sicherheits- und Integritätszwecken, was durch Art. 6 Abs. 1 Buchst. b ff. DSGVO bzw. Art. 9 Abs. 2 Buchst. B ff. DSGVO gedeckt ist. Substanziell Entgegenstehendes wurde durch die Klagepartei nicht in den Rechtsstreit getragen.

2. Soweit die Beklagte bis zum Beschluss des Bundeskartellamts vom 06.02.2019 (s. Pressemitteilung vom 07.02.2019, Anlage KE-4) die „Off-...-Daten“ ohne eine erforderliche Einwilligung verarbeitet haben sollte, wird schon nicht vorgetragen, dass die Beklagte „Off ... Daten“ aus diesem Zeitraum bezogen auf die Klagepartei überhaupt noch vorhält. Im Übrigen wären daraus resultierende Ansprüche der Klagepartei jedenfalls verjährt, §§ 195, 199 Abs. 1, 214 Abs. 1 BGB. Die Klagepartei musste jedenfalls infolge der vorgenannten Pressemitteilung die tatsächlichen Anspruchsvoraussetzungen kennen oder sich dem Vorwurf grob fahrlässiger Unkenntnis aussetzen. Verjährung wäre somit zum Ende des Jahres 2022 eingetreten.

III. Der Klagepartei stehen schließlich keine Ansprüche gegen die Beklagte im Zusammenhang mit den behaupteten Vorwürfen im Zusammenhang mit der Datenübermittlung in die USA zu.

1. Eine rechtswidrige Datenübermittlung kann das Gericht nicht erkennen. Die Plattform „...“ und der MKonzern stammen aus den USA. „...“ ist als globale Plattform konzipiert. Um dieses weltweite Netzwerk unterhalten zu können, müssen zwangsläufig Daten international ausgetauscht werden. Dass in diesem Zusammenhang auch Daten durch die Beklagte in die USA übermittelt werden, liegt folglich nahe. Dieses Erfordernis ist auch unabhängig davon, ob die Klagepartei mit USamerikanischen „...“-Nutzern „befreundet“ ist oder nicht. Denn allein die Suche nach Nutzern in anderen Rechtsgebieten kann nur funktionieren, wenn ein grenzüberschreitender Datenaustausch stattfindet. All dies muss jedem „..."-Nutzer, auch der Klagepartei, hinlänglich bekannt sein. Die Klagepartei hat keinen Anspruch darauf, dass „...“ dergestalt betrieben wird, dass sämtliche Daten in Europa gespeichert und verarbeitet werden im Sinne eines rein europäischen „...“. Die unternehmerische Entscheidung des Betreibers der Plattform „...“, Daten in den Vereinigten Staaten von Amerika zu verarbeiten, ist von den Nutzern hinzunehmen, zumal niemand dazu gezwungen wird, die Plattform „...“ zu nutzen.

2. Die Datenübermittlung ist daher grundsätzlich zur Vertragserfüllung erforderlich, Art. 6 Abs. 1 Buchst. b DSGVO. Dafür dass die Beklagte, was die Klagepartei letztlich behauptet, darüber hinaus ihren gesamten Datenbestand dem amerikanischen Auslandsgeheimdienst voraussetzungslos zur freien Verfügung stellt, gibt es keine hinreichenden tatsächlichen Anhaltspunkte. Was die USamerikanische Regierung insoweit „zugegeben“ haben soll, wird klägerseits nicht konkret dargelegt. Die Beklagte jedenfalls hat solches bestritten und Beweis wurde klägerseits nicht geführt.

3. Die Voraussetzungen für die Datenübermittlung in Drittländer nach Kapitel V DSGVO werden von der Beklagten eingehalten.

a) Aktuell erfolgt die Datenübermittlung aufgrund des Angemessenheitsbeschlusses der Kommission vom 10.07.2023. Dieser stellt eine taugliche Grundlage für die Datenübermittlung dar, Art. 45 Abs. 3 DSGVO. Eine weitergehende Überprüfung der Angemessenheit des Schutzniveaus erübrigt sich dadurch.

b) Für den vorangegangenen Zeitraum stellen die von der Kommission erlassenen Standardvertragsklauseln 2010 und 2021 in Verbindung mit Art. 46 Abs. 1, Abs. 2 Buchst. c) DSGVO eine ausreichende Rechtsgrundlage dar. Nach Art. 46 Abs. 1 DSGVO müssen den Betroffenen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen, um ein dem EURecht gleichwertiges Schutzniveau zu gewährleisten. Die Klagepartei rügt insoweit, dass der USamerikanische Rechtsbehelfsmechanismus auf einer Verordnung der Regierung und nicht auf formellem Gesetz beruhe. Auch bei einer Verordnung handelt es sich aber um ein Gesetz im materiellen Sinne. Wieso hierdurch kein gleichwertiger Rechtsschutz zur Verfügung gestellt werden könne, ist nicht zu erkennen.

c) Schließlich ist die Datenübermittlung, wie bereits oben ausgeführt, zur Vertragserfüllung erforderlich und damit auf Grundlage von Art. 49 Abs. 1 S. 1 b DSGVO zulässig.

d) Soweit Datenschutzbehörden abweichende Auffassungen vertreten, sind diese für das Gericht nicht bindend.

4. Für eine Verletzung von Art. 5 Abs. 1 Buchst. f bzw. Art. 32 DSGVO ist schlüssig nichts vorgetragen. Wieso Anlass zur Annahme bestehen sollte, dass die Beklagte die Daten der Klagepartei in technischer oder organisatorischer Hinsicht nicht hinlänglich schützt, ergibt sich aus dem Klagevortrag nicht.

5. Eine Verletzung von Art. 13 DSGVO kann das Gericht ebenfalls nicht erkennen. Die Beklagte hat die Fundstellen genannt, unter denen sich der Nutzer über die Notwendigkeit der Datenübermittlung an ausländische Unternehmen, namentlich die .., Inc., wie auch über die Beauskunftung von Regierungsanfragen informieren kann. Dass die Beklagte ihrer Informationspflicht nicht nachgekommen wäre, ist nicht ersichtlich.

6. Soweit US-Regierungsbehörden einschließlich der Geheimdienste von .., Inc., nach USamerikanischem Recht Auskünfte verlangen können, ist dies Folge der rechtmäßigen Datenübermittlung in den Herrschaftsbereich der Vereinigten Staaten von Amerika. Diese Möglichkeit steht der Gewährleistung eines im Wesentlichen gleichen Schutzniveaus nicht entgegen, da sie auch unter europäischem Datenschutzregime nach Art. 6 Abs. 1 Buchst. c DSGVO (Erfüllung einer rechtlichen Verpflichtung) zulässig wäre.

IV. Für einen Schadensersatzanspruch aus Art. 82 DSGVO fehlt es zudem an einem kausalen Schaden der Klagepartei. Diese gab im Rahmen ihrer informatorischen Anhörung lediglich an, dass sie erst durch die Klägervertreter auf etwaige Datenschutzverstöße im Zusammenhang mit der Übermittlung von Daten bzw. dem Messenger gebracht worden sei. Erst auf Hinweis des Gerichtes wurde ihr offenbar, dass die hiesige Klage sich nicht auf die Scraping-Fälle bezieht. Schließlich wird Bezug genommen auf die Entscheidung des OLG München, Az. 14 U 3359/23 e, Verfügung vom 19.12.23, in welcher folgendes ausgeführt wird:
„Die Befürchtung (noch deutlicher: englisch „fear“ und französisch „crainte“), in der der EuGH einen materiellen Schaden erblickt, kann nur etwas sein, was der Geschädigte (a) persönlich erlebt und was ihn (b) seelisch belastet, mithin psychisch beeinträchtigt. Vermag das Tatgericht nichts dergleichen zu erkennen, so ist der Eintritt des immateriellen Schadens nicht überwiegend wahrscheinlich im Sinne von § 287 Abs. 1 ZPO.“

So liegt der Fall hier: allein die im Rahmen der informatorischen Anhörung (erst) auf Vorhalt ihres Prozessbevollmächtigten angegebene „große Sorge“ (nachdem zunächst angegeben wurde, dass man es „auch schlimm findet“) stellt keinen immateriellen Schaden dar.

V. Auskunftsansprüche nach Art. 15 DSGVO stehen der Klagepartei gegen die Beklagte nicht zu.

1. Soweit begehrt wird Auskunft bezüglich der Daten „aus der Überwachung des FMessengers“ zu erteilen, „ChatProtokolle vorzulegen und deren interne Bewertung offenzulegen“, können die Chat-Verläufe durch die Klagepartei selbst heruntergeladen werden. Der Auskunftsanspruch ist dadurch erfüllt, § 362 Abs. 1 BGB. Was unter einer „internen Bewertung“ zu verstehen sein soll, erschließt sich dem Gericht nicht; eine Subsumtion unter eine der Kategorien des Art. 15 Abs. 1 DSGVO ist insoweit nicht möglich.

2. Soweit Auskunft begehrt wird, welche „Off-...-Daten“ durch die Beklagte an der IP-Adresse der Klägerseite gesammelt und zu welchem Zweck sie gespeichert und verwendet wurden, verweist die Beklagte zu Recht auf die von ihr zur Verfügung gestellte Selbstauskunftsmöglichkeit und hinsichtlich der Verarbeitungszwecke auf eine bestimmte Seite im Hilfebereich. Die Auskunft ist damit erteilt, § 362 Abs. 1 BGB.

3. Hinsichtlich etwaiger an die NSA übermittelter Daten kann die Beklagte die Auskunft verweigern, weil zum einen eine Geheimhaltungspflicht nach USamerikanischem Rechts besteht und es sich zum anderen um ihrem Wesen nach geheimhaltungsbedürftige Informationen handelt, Art. 23 DSGVO i.V.m. § 29 Abs. 1 S. 2 BDSG, wobei sich letztgenannte Vorschrift entgegen der Auffassung der Klagepartei schon dem Wortlaut nach nicht auf Berufsgeheimnisträger beschränkt. Es versteht sich von selbst, dass die Information, ob und welche Auskünfte an Geheimdienste erteilt werden, ihrem Wesen nach geheimhaltungsbedürftig ist. Im Übrigen erfolgt die Beauskunftung an die NSA nicht durch die Beklagte, sondern durch die .., Inc., so dass die Beklagte hinsichtlich eines Auskunftsanspruchs auch nicht passivlegitimiert wäre.

VI. Die Löschungsanträge nach Art. 17 DSGVO (Ziff. 5 b und c der Klageanträge) gehen ins Leere, weil sie unter der Voraussetzung gestellt sind, dass die Datenverarbeitung „anlasslos“ erfolgt. Selbst wenn man diesem Begriff die Bedeutung „nicht notwendig“ (Art. 17 Abs. 1 Buchst. a DSGVO), „ohne Rechtsgrundlage“ (Art. 17 Abs. 1 Buchst. b DSGVO), oder „unrechtmäßig“ (Art. 17 Abs. 1 Buchst. d DSGVO) beimessen wollte, liegen diese Voraussetzungen, wie unter Ziffer I. bis II. ausgeführt, nicht vor.

VII. Sämtliche Unterlassungsansprüche scheitern am Fehlen eines Verstoßes gegen die DSGVO, s.o. Ziff. I bis III. Bezüglich der „Off-...-Daten“ tritt hinzu, dass es der Nutzer selbst in der Hand hat, die diesbezüglichen Einstellungen zu verwalten. Die Klagepartei handelt widersprüchlich, wenn sie die Einstellungen so belässt, wie sie sind, und andererseits von der Beklagten verlangt, die Daten nicht auf Grundlage dieser Einstellungen zu verarbeiten.


Den Volltext der Entscheidung finden Sie hier:

OLG Hamm: Ansprüche aus Art. 82 DSGVO sind keine höchstpersönlichen Ansprüche und können abgetreten werden

OLG Hamm
Urteil vom 24.07.2024
11 U 69/23


Das OLG Hamm hat entschieden, dass Ansprüche aus Art. 82 Abs. 1 und 2 DSGVO keine höchstpersönlichen Ansprüche sind und abgetreten werden können.

Aus den Entscheidungsgründen:
Die Zedenten K. und W. konnten ihre Ansprüche aus Art. 82 Abs. 1, 2 DSGVO auch wirksam an die Klägerin abtreten. Ein Verstoß gegen einen Abtretungsausschluss nach § 399 Var. 1 BGB, wonach insbesondere höchstpersönliche Ansprüche nicht abgetreten werden können, liegt nicht vor.

Zwar wird teilweise die Auffassung vertreten, dass es sich bei einem Anspruch aus Art. 82 Abs.1, 2 DSGVO um einen höchstpersönlichen Anspruch handelt, weil dort die Genugtuung sowie eine Kompensation mittels einer Entschädigung für die Persönlichkeitsrechtsverletzung im Vordergrund stehe, die nur gegenüber der betroffenen Person zur Linderung führen könne (AG Hannover, Urteil vom 9. März 2020 - 531 C 10952/19 -, BeckRS 2019, 43221, Rn. 15,; vgl. zum Meinungsstand Wybitul/Leibold, Risiken für Unternehmen durch neue Rechtsprechung zum DS-GVO-Schadensersatz, ZD 2022, 207, 208). Überwiegend wird dies jedoch abweichend beurteilt. So handele es sich bei Art 82 Abs. 1, 2 DSGVO um einen eigenständigen deliktischen Anspruch, der dem allgemeinen nationalen Haftungsregime des BGB unterliege, was auch für die Übertragbarkeit des Anspruchs gelte (LG Essen, Urteil vom 23. September 2021 - 6 O 190/21 -, ZD 2022, 50, Rn. 36 f.; Quaas in: BeckOK Datenschutzrecht, 48. Ed. 1. Mai 2024, DSGVO Art. 82 Rn. 10 f.). Eine Persönlichkeitsverletzung sei gerade keine Anspruchsvoraussetzung. Art. 82 Abs. 1, 2 DSGVO diene auch der Vermeidung von zukünftigen Verstößen, sodass ihm ein spezialpräventiver Charakter und damit auch eine objektive Aufgabe zukomme. Zudem verfolge die DSGVO das Ziel, einen "vollständigen und wirksamen Schadensersatz" zu gewährleisten, sodass auch die Notwendigkeit der tatsächlichen Durchsetzbarkeit dieses Anspruchs im Vordergrund stehe. Die Rechtsprechung des BGH zu schweren Persönlichkeitsverletzungen sei auf Art. 82 DSGVO nicht übertragbar (Quaas in: BeckOK Datenschutzrecht, 48. Ed. 1. Mai 2024, DSGVO Art. 82 Rn. 11; vgl. zum Meinungsstand Wybitul/Leibold, a.a.O., ZD 2022, 207, 208). Die Wirksamkeit dieses Schadensersatzes im Sinne von Erwgr. 146 S. 6 DSGVO wäre wesentlich beeinträchtigt, wenn der Anspruch nicht zum Zwecke der Geltendmachung an Dritte übertragen werden könnte (Hellgardt, Die Schadensersatzhaftung für Datenschutzverstöße im System des unionalen Haftungsrechts, ZEuP 2022, 7, 33).

Der Senat schließt sich im Ergebnis der letztgenannten Auffassung an. Nach § 399 Var. 1 BGB ist eine Forderung nicht übertragbar, wenn die Leistung an einen anderen als den ursprünglichen Gläubiger nicht ohne Veränderung ihres Inhalts erfolgen kann. Dies ist dann anzunehmen, wenn die Leistung auf höchstpersönlichen Ansprüchen des Berechtigten beruht, die er nur selbst erheben kann, oder wenn ein Gläubigerwechsel zwar rechtlich vorstellbar, das Interesse des leistenden Schuldners an der Beibehaltung einer bestimmten Gläubigerperson aber besonders schutzwürdig ist, oder wenn ohne Veränderung des Leistungsinhalts die dem Gläubiger gebührende Leistung mit seiner Person derart verknüpft ist, dass die Leistung an einen anderen Gläubiger als eine andere Leistung erschiene. In allen diesen drei Fallgruppen ist die Abtretbarkeit ausgeschlossen, weil andernfalls die Identität der abgetretenen Forderung nicht gewahrt bliebe (BGH, Urteil vom 24. März 2011 - IX ZR 180/10 -, Rn. 42, juris).

Ansprüche wegen immaterieller Schäden sind nach der Rechtsprechung des BGH seit dem 1. Juli 1990 uneingeschränkt übertragbar und pfändbar, nachdem durch das Gesetz zur Änderung des BGB und anderer Gesetze vom 14. März 1990 (BGBl. I S. 478) § 847 Abs. 1 S. 2 BGB aF gestrichen wurde (BGH, Beschluss vom 18. Juni 2020 - IX ZB 11/19 -, Rn. 14, juris; vgl. auch BGH, Urteil vom 24. März 2011 - IX ZR 180/10 -, Rn. 33, juris zu Ansprüchen aus Staatshaftung). Ob dies auch für Ansprüche wegen Verletzung des Persönlichkeitsrechts gilt, ist noch nicht höchstrichterlich entschieden (vgl. BGH Beschluss vom 18. Juni 2020 - IX ZB 11/19 -, Rn. 15, juris), vom BGH in Bezug auf einen Anspruch aus § 15 Abs. 2 AGG jedoch bejaht worden (vgl. BGH Beschluss vom 18. Juni 2020 - IX ZB 11/19 -, Rn. 18 ff., juris).

Nach Auffassung des Senats handelt es sich bei Art. 82 Abs. 1, 2 DSGVO nicht um einen höchstpersönlichen Anspruch. Anspruchsvoraussetzung ist ein Datenschutzverstoß, durch den der Anspruchsteller persönlich betroffen sein muss. Anders als bei einer Verletzung des Allgemeinen Persönlichkeitsrecht steht hier nicht der Genugtuungsgedanke im Vordergrund, sondern es soll der aufgrund eines Verstoßes gegen die DSGVO entstandene Schaden vollständig und wirksam finanziell entschädigt werden, womit eine Ausgleichsfunktion verbunden ist (vgl. auch EuGH, Urteil vom 21. Dezember 2023 - C-667/21 -, Rn. 85, juris). Darüber hinaus erfüllt Art. 82 DSGVO einen weiteren Normzweck, mit dem ihm eine spezial- und auch generalpräventive Aufgabe zukommt, indem er dazu beitragen soll, dass innerhalb der Union ein gleichmäßiges und hohes Schutzniveau von natürlichen Personen bei der Verarbeitung personenbezogener Daten gewährleistet (vgl. EuGH, Urteil vom 4. Mai 2023 - C-300/21 -, NZA 2023, 621, Rn. 48) und ein Anreiz für die Einhaltung der DSGVO geschaffen wird (EuGH, Urteil vom 4. Mai 2023 - C-300/21 -, NZA 2023, 621, Rn. 40; EuGH, Urteil vom 21. Dezember 2023 - C-667/21 -, Rn. 85, juris). Schließlich enthält Art. 82 DSGVO eine eigenständige Anspruchsgrundlage für einen Ersatzanspruch, sodass die Grundsätze, die für einen Anspruch auf Geldentschädigung wegen einer Verletzung des Allgemeinen Persönlichkeitsrechts gelten, nicht anzuwenden sind. Insbesondere ist nicht erforderlich, dass es sich um einen schwerwiegenden Eingriff handelt; der EuGH hat eine Erheblichkeitsschwelle ausdrücklich verneint (EuGH, Urteil vom 4. Mai 2023 - C-300/21 -,NZA 2023, 621, Rn. 43 ff.). Grundsätzlich ist daher jeder Datenschutzverstoß geeignet, einen Schadensersatzanspruch aus Art. 82 Abs. 1, 2 DSGVO zu begründen.

Ferner ist ein schutzwürdiges Interesse des Schuldners an der Beibehaltung der Person des Gläubigers nicht erkennbar und die Leistung ist auch nicht dergestalt mit der Person des Gläubigers verknüpft, dass die Leistung an einen anderen Gläubiger als eine andere Leistung erschiene.


Den Volltext der Entscheidung finden Sie hier:

OLG Celle: Massenverfahren gegen Musikstreamingdienst wegen DSGVO-Verstößen - Jeweils Streitwert von 300 EURO für Unterlassungsanspruch, Feststellungsanspruch und Auskunftsanspruch

OLG Celle
Beschluss vom 10.06.2024
5 W 46/24

Das OLG Celle hat entschieden, dass in Massenverfahren gegen einen Musikstreamingdienst wegen DSGVO-Verstößen aufgrund eines Datenlecks für den Unterlassungsanspruch, Feststellungsanspruch und Auskunftsanspruch ein Streitwert in Höhe von jeweils 300 EURO angemessen ist.

Aus den Entscheidungsgründen:
Die Prozessbevollmächtigte des Klägers wendet sich mit ihrer Beschwerde gegen die Streitwertfestsetzung des Landgerichts in erster Instanz, die sie als zu niedrig erachtet.

In dem dem vorliegenden Beschwerdeverfahren zugrunde liegenden Hauptsacheverfahren hat der Kläger gegen die Beklagte Ansprüche aus der DSGVO geltend gemacht. Die Beklagte - die D. - betreibt einen internationalen Musikstreaming-Dienst gleichen Namens, der in über 180 Ländern verfügbar und unter der Internetadresse www.D..com erreichbar ist. Das wesentliche Angebot besteht aus einem Streaming-Angebot, zusammengesetzt aus Musik, Hörbüchern, Hörspielen und Podcasts. Die Parteien haben über einen sogenannten Cyber- / Hackerangriff auf Kundendaten der Beklagten gestritten, wobei dessen zeitliche Abfolge, die Reaktion der Beklagten sowie das Ausmaß des Angriffs zwischen den Parteien streitig gewesen sind.

Der Kläger hat mit seiner Klage als Ausgleich für behauptete Datenschutzverstöße die Zahlung eines immateriellen Schadensersatzes in Höhe von 1.000 Euro, einen Feststellungsantrag betreffend die Ersatzpflicht der Beklagten hinsichtlich zukünftiger materieller Schäden, einen Unterlassungsantrag sowie einen Auskunftsantrag geltend gemacht. Das Landgericht hat der Klage (nur) zum Teil stattgegeben. Dagegen hat der Kläger Berufung eingelegt. Unter Ziffer IV. der Entscheidungsgründe des angefochtenen Urteils hat das Landgericht den Streitwert für das erstinstanzliche Verfahren auf 3.500 Euro festgesetzt. Den Zahlungsantrag hat es dabei mit 1.000 Euro bemessen, den Antrag auf Unterlassung mit 2.000 Euro, sowie die Auskunfts- und Feststellungsanträge jeweils mit 250 Euro. Dagegen richtet sich die Streitwertbeschwerde der Prozessbevollmächtigten des Klägers, mit der diese eine Heraufsetzung des Streitwerts auf "mindestens 6.000 Euro" begehrt, wobei sie den Schadensersatzanspruch mit 1.000 Euro bemisst, den Unterlassungsanspruch mit 4.000 Euro, den Feststellungsanspruch mit 500 Euro, und den Auskunftsanspruch mit 500 Euro.

II.

Die Beschwerde der Prozessbevollmächtigten des Klägers ist nach §§ 68 Abs. 1 GKG, 32 Abs. 2 Satz 1 RVG statthaft und auch im Übrigen zulässig. Im Ergebnis hat die Beschwerde keinen Erfolg. Im Gegenteil war der Streitwert für den Rechtsstreit in erster Instanz von Amts wegen herabzusetzen.

1. Der Senat ist nicht daran gehindert, den vom Landgericht festgesetzten Streitwert entgegen dem Ziel der Beschwerde, diesen heraufzusetzen, von Amts wegen herabzusetzen. Der im Zivilprozessrecht sonst fast ausnahmslos geltende Grundsatz des Verbots der "reformatio in peius" gilt im Streitwertrecht grundsätzlich nicht (einhellige Auffassung, vgl. z. B. Senat, Beschluss vom 29. April 2024 - 5 W 19/24, juris Rn. 7; OLG Stuttgart, Beschluss vom 9. Oktober 2019 - 6 W 47/19, juris Rn. 26; OLG Karlsruhe, Beschluss vom 4. Januar 2018 - 12 W 37/17, juris Rn. 17; OLG Düsseldorf, Beschluss vom 16. August 2010 - 24 W 9/10, juris Rn. 10).

2. Der Senat setzt den Streitwert für das erstinstanzliche Verfahren auf 1.900 Euro fest. Dabei entfällt auf den Zahlungsantrag ein Wert von 1.000 Euro sowie auf die restlichen drei Unterlassungs-, Feststellungs- und Auskunftsanträge jeweils ein Wert von 300 Euro.

a) Der Senat hat unter dem 4. April 2024 in den Verfahren 5 U 31/23 und 5 U 77/23 (jeweils bei juris) Urteile in Verfahren erlassen, die beide zum Gegenstand hatten, dass die jeweiligen Klageparteien Ansprüche aus der DSGVO auf Schadensersatz, Unterlassung, Feststellung und Auskunft aus Anlass eines sogenannten "Datenscraping-Vorfalls" bei der dortigen Beklagten, die Betreiberin eines weltweit agierenden sozialen Netzwerks ist, geltend machten. Die Prozessbevollmächtigten der dortigen Klageparteien - die identisch sind mit der hiesigen Beschwerdeführerin - haben bundesweit eine höhere vierstellige Anzahl von Verfahren dieser Art gegen die dortige Beklagte bei deutschen Gerichten anhängig gemacht. Zu dem Streitwert in diesen Verfahren hat der Senat beispielsweise in dem Verfahren 5 U 31/23 folgende Ausführungen gemacht (a.a.O., juris Rn. 113 ff.):

"Den Streitwert sowohl für das Berufungs- wie für das erstinstanzliche Verfahren setzt der Senat - jeweils unter Abänderung des Senatsbeschlusses vom 23. Januar 2024 - auf 2.100,00 € fest. Davon entfallen auf die einzelnen Klageanträge folgende Werte:

- Klageantrag zu Ziffer 1. (Zahlung): 1.000,00 € EUR

- Klageantrag zu 2. (Feststellung): 300,00 €

- Klageantrag zu Ziffer 3. (Unterlassung): 500,00 € (insoweit meint der Senat, dass hier ein einheitlicher Streitwert zu bilden ist, entsprechend der - aus Sicht des Senats vergleichbaren - Rechtslage bei mehreren ehrkränkenden Äußerungen, bspw. in einem Buch oder einem anderen Schriftstück, deren Unterlassung mit der Klage begehrt wird: vgl. dazu Kurpart in Schneider/Kurpart, Streitwertkommentar, 15. Aufl., Rn. 2.1006, Seite 328)

- Klageantrag zu Ziffer 4. (Auskunft): 300,00 €.

Das begründet sich wie folgt:

1. Der Senat hatte bislang in ständiger Rechtsprechung den Streitwert in Verfahren wie dem vorliegenden auf 7.500,00 € festgesetzt und dabei den Zahlungsantrag nach Ziffer 1. der Klageschrift mit 1.000,00 €, den Feststellungsantrag nach Ziffer 2. der Klageschrift mit 1.000,00 €, den Unterlassungsantrag nach Ziffer 3. der Klageschrift mit 5.000,00 € und den Auskunftsantrag nach Ziffer 4. der Klageschrift mit 500,00 € bemessen. Nachdem der Senat zwischenzeitlich einen "Gesamtüberblick" über die Verfahren der vorliegenden Art bekommen sowie Kenntnis von insbesondere den Entscheidungen des OLG Hamm (Urteil vom 15. August 2023 - 7 U 19/23, juris Rn. 271 ff.) sowie des OLG Köln (Urteil vom 7. Dezember 2023 - 15 U 33/23, juris Rn. 89) erlangt hat, hat der Senat seine bisherige Rechtsprechung überdacht und neu bewertet. Danach ergibt sich Folgendes:

a) Die bisherige Bewertung des Unterlassungsanspruches mit 5.000,00 € durch den Senat in Verfahren wie dem vorliegenden hatte seine Grundlage in den Vorschriften der §§ 48 Abs. 2 GKG, 23 Abs. 3 Satz 2 RVG, 36 Abs. 3 GNotKG. Den Wert des Feststellungs- sowie des Auskunftsanspruchs hatte der Senat nach § 3 ZPO geschätzt.

b) Indes hat sich für den Senat zwischenzeitlich gezeigt, dass von einem eigenen Interesse der jeweiligen Klagepartei (§ 3 ZPO) in Verfahren wie dem vorliegenden an dem Unterlassungs-, dem Auskunfts- sowie dem Feststellunganspruch im Regelfall nicht oder allenfalls in einem geringen Maße ausgegangen werden kann. Das zeigte sich für den Senat instruktiv im Rahmen der Anhörung des Klägers in dem vorliegenden Verfahren. Danach gefragt, welche "Zielrichtung" seine Klageanträge auf Unterlassung, Feststellung und Auskunft haben bzw. welches Interesse für ihn an der Durchsetzung dieser Anträge besteht, war der - ansonsten überaus eloquente - Kläger nicht in der Lage, substanzielle Antworten zu geben, er blieb mit seinen diesbezüglichen Ausführungen vielmehr im Vagen und hat sich auf "Allgemeinplätze" verlegt (wie z.B. in Bezug auf den Unterlassungsantrag: "Ich möchte natürlich nicht, dass das noch mal passiert"). Mindestens zum Teil hatte der Senat von dem Kläger auch den Eindruck, dass diesem noch nicht einmal bewusst war, welchen Inhalt diese Klageanträge haben.

Der Senat hat insgesamt von dem hiesigen Kläger den Eindruck gewonnen, dass ein eigenes Interesse an diesen drei Klageanträgen - also neben dem Zahlungsantrag - für ihn nicht besteht. Im Gegenteil hat der Senat zwischenzeitlich - und zwar ausdrücklich nicht nur aufgrund des persönlichen Eindrucks des Klägers in dem vorliegenden Verfahren, der zwangsläufig nur für die Wertfestsetzung in dem vorliegenden Verfahren von Relevanz sein kann - aufgrund des Gesamteindrucks der Verfahren der vorliegenden Art den Eindruck gewonnen, dass diese jeweiligen drei Klageanträge in den massenhaften Verfahren, die die Prozessbevollmächtigten des hiesigen Klägers zwischenzeitlich in ganz Deutschland anhängig gemacht haben, mindestens in erster Linie der Anreicherung des Prozessstoffs ohne ein wesentliches eigenes materielles Interesse der jeweiligen Klagepartei dienen. Damit im Einklang steht im Übrigen der Umstand, dass die Prozessbevollmächtigten des Klägers in Verfahren wie dem vorliegenden bei dem Senat Streitwertbeschwerden im eigenen Namen (§ 32 Abs. 2 RVG) in einer inzwischen dreistelligen Anzahl erhoben haben, jeweils mit dem Ziel, den Streitwert heraufzusetzen.

Nach Abwägung der vorgenannten sowie aller weiteren Umstände des vorliegenden Falles bewertet der Senat mithin den Feststellungsantrag sowie den Auskunftsantrag jeweils auf der niedrigsten Wertstufe, also jeweils mit 300,00 € und den Unterlassungsantrag mit 500 €. Dies gilt für das vorliegende Verfahren und wird der Senat nunmehr - sofern nicht im Einzelfall konkrete Umstände eine andere Entscheidung bedingen - in Verfahren der vorliegenden Art regelmäßig praktizieren."

b) Diese Grundsätze wendet der Senat entsprechend auch für das vorliegende Verfahren an. Zwar sind bei dem Senat bislang von Seiten der Beschwerdeführerin - bei der es sich um dieselbe Rechtsanwaltskanzlei handelt, die auch die jeweiligen Klageparteien in den vorstehend genannten Senatsverfahren 5 U 31/23 und 5 U 77/23 vertreten hat - als Prozessbevollmächtigte von Klageparteien noch keine Verfahren in größerer Anzahl gegen die hiesige Beklagte anhängig gemacht worden. Indes hat der Senat aufgrund anderer Umstände des vorliegenden Falles davon auszugehen, dass auch die dem vorliegenden Beschwerdeverfahren zugrundeliegende Klage Teil eines "Massenverfahrens" ist, dass die Beschwerdeführerin für eine Vielzahl von Klageparteien gegen die hiesige Beklagte führt. Auf Seite 14 der Klageerwiderung vom 12. Januar 2024 (Bl. 135 R d. A.) hat die Beklagte nämlich auszugsweise Folgendes vorgetragen:

"Der formelhafte, pauschale Vortrag der Klagepartei hat keinen individuellen Bezug zur Person der Klagepartei. Die außergerichtliche Darstellung ihrer angeblichen persönlichen Betroffenheit entspricht wortlautidentisch einer Vielzahl von mehr als 2.200 (!) Anspruchsschreiben, welche die Kanzlei des Prozessbevollmächtigten der Klagepartei für andere Mandanten an die Beklagte versendet hat. Auch der Vortrag in der Klageschrift entspricht zu großen Teilen wortlautidentisch anderen Klagen, die die Prozessbevollmächtigten der Klagepartei bei anderen deutschen Gerichten eingereicht hat."

Dieses Tatsachenvorbringen der Beklagten ist erstinstanzlich unstreitig geblieben, weil der Kläger hierauf in der Folgezeit bis zum Schluss der mündlichen Verhandlung in erster Instanz inhaltlich nicht eingegangen ist (vgl. insbesondere erster Absatz auf Seite 7 des Schriftsatzes vom 6. Februar 2024, Bl. 158 d. A.). Der Senat hat das vorgenannte Tatsachenvorbringen der Beklagten daher seiner Entscheidung in dem vorliegenden Beschwerdeverfahren zugrunde zu legen (§ 138 Abs. 3 ZPO).

In diesen - unbestrittenen - Tatsachenvortrag der Beklagten fügt sich im Übrigen noch der - im Sinne von § 291 ZPO offenkundige (vgl. dazu, dass hierzu auch Informationen aus dem Internet gehören: BGH, Beschluss vom 7. Mai 2020 - IX ZB 84/19, juris Rn. 15) - Umstand ein, dass die Beschwerdeführerin auf der Startseite ihres Internet-Auftritts Kundenakquise in dem hier erörterten tatsächlichen Zusammenhang betreibt ("D.-Datenleck Steht Ihnen Schadensersatz zu? 14 Millionen betroffene Deutsche! Jetzt checken"). Des Weiteren hat die Beschwerdeführerin auf YouTube ein Video hochgeladen, mit dem sie Kundenakquise in Bezug auf den im hiesigen Klageverfahren streitgegenständlichen Vorfall betreibt.

Nach dieser Maßgabe gilt aber die Argumentation, die der Senat in seinen beiden vorgenannten Entscheidungen vom 4. April 2024 in den Verfahren 5 U 31/23 und 5 U 77/23 (sowie - bezogen auf die hiesige Beklagte - auch schon in seinem Beschluss vom 29. April 2024 - 5 W 19/24, juris) gemacht hat, entsprechend auch in dem vorliegenden Verfahren. Auch hier muss der Senat davon ausgehen, dass die Aufnahme der Feststellungs-, Unterlassungs- und Auskunftsanträge in die Klage in erster Linie der "Anreicherung des Prozessstoffs" gedient hat, ohne ein wesentliches eigenes materielles Interesse der hiesigen Klägerin. Demgemäß hat der Senat vorliegend die Feststellungs-, Unterlassungs- und Auskunftsanträge jeweils auf der untersten Wertstufe, nämlich jeweils mit 300 Euro, bemessen. In Bezug auf den Unterlassungsantrag besteht der Unterschied zu der diesbezüglichen Wertfestsetzung in den Verfahren 5 U 31/23 und 5 U 77/23 darin, dass in jenen Verfahren - anders als vorliegend - mit dem jeweiligen Unterlassungsantrag gleich zwei verschiedene Unterlassungsbegehren verfolgt worden sind.


Den Volltext der Entscheidung finden Sie hier:

LG Lüneburg: 500 Euro Schadensersatz aus Art . 82 DSGVO wegen Zusendung von Werbemails nach Widerruf der Einwilligung

LG Lüneburg
Urteil vom 07.12.2023
5 O 6/23


Das LG Lüneburg hat dem Betroffenen Schadensersatz aus Art. 82 DSGVO in Höhe von 500 EURO wegen der Zusendung von Werbemails nach mehrmaligen Widerruf der Einwilligung zu Zusendung von Werbung zugesprochen.

Aus den Entscheidungsgründen:
1. Dem Kläger steht gem. Art. 82 DS-GVO ein Anspruch auf Ersatz immateriellen Schadens zu, den die Kammer wie tenoriert bemisst.

Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen, also diejenige natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (vgl. Art. 4 Nr. 7 DSGVO).

2. Die Beklagte hat gegen Bestimmungen der DS-GVO verstoßen, indem sie dem Kläger Werbeemails zugeschickt hat, ohne dass dies nach Art. 6 Abs.1 DS-GVO gerechtfertigt war. Der Kläger hatte seine zunächst erteilte Einwilligung zu dem Erhalt von Werbeemails zuvor unbestritten widerrufen. Die Beklagte konnte folglich keinen rechtfertigenden Tatbestand gem. Art. 6 Abs. 1 lit. a DS-GVO mehr für den Versand der streitgegenständlichen Werbeemails darlegen.

3. Die Verstöße haben nach dem - insoweit auch unwidersprochen gebliebenen und damit zugestandenen (§ 138 Abs.3 ZPO) Vorbringen des Klägers - kausal zu einem immateriellen Schaden geführt. Der Begriff des immateriellen Schadens ist unionsrechtlich autonom und in allen Mitgliedstaaten einheitlich auszulegen (EuGH, Urt. 4.5.2023 - C-300/21).

Dabei muss der Schaden des Klägers nicht eine gewisse Erheblichkeit erreicht haben. Nach der Rechtsprechung des EuGH ist Art. 82 Abs. 1 DSGVO dahin auszulegen, dass er einer nationalen Regelung oder Praxis entgegensteht, die den Ersatz eines immateriellen Schadens im Sinne dieser Bestimmung davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat (EuGH, Urt. 4.5.2023 - C-300/21).

Wenngleich der immaterielle Schaden nach Erwägungsgrund 146 zur DS-GVO tatsächlich entstanden sein muss und nicht lediglich befürchtet werden darf, ist nach Erwägungsgrund 146 S. 3 zur DS-GVO der Schadensbegriff weit auszulegen. Der EuGH verlangt unter Bezugnahme auf den Effektivitätsgrundsatz, dass Schadensersatzforderungen abschrecken und weitere Verstöße unattraktiv machen sollen (so bereits EuGH 10.4.1984 - 14/83, NJW 1984, 2021 (2022).

Als immaterieller Schaden kommen Ängste, Stress, Komfort- und Zeiteinbußen in Betracht (Bergt in Kühling/Buchner/Bergt, 4. Aufl. 2024, DS-GVO Art.82 Rn. 18b).

Hier hat der Kläger unbestritten viermal gegenüber der Beklagten erklärt, dass er keine weiteren Werbeemails wünscht. Zweimal ließ der Kläger dies sogar von seinem bevollmächtigten Rechtsanwalt erklären. Dennoch hat die Beklagte dem Kläger weiterhin Werbeemails geschickt. Der bei dem Kläger dadurch verursache Ärger, Zeitverlust und Eindruck des Kontrollverlusts stellt einen Schaden im Sinne der Norm dar. Die negativen Auswirkungen des Verstoßes gegen die DS-GVO liegen darin, dass sich der Kläger mit der Abwehr der von ihm unerwünschten Werbung auseinandersetzen musste. Dies sogar mehrfach, da die Beklagte seinen Widerruf der Einwilligung mehrfach missachtete. Der Umstand, dass sogar der Prozessbevollmächtigte des Klägers die Beklagte zweimal erfolglos zum Unterlassen aufforderte, ist geeignet bei dem Kläger den belastenden Eindruck der Hilflosigkeit und des Kontrollverlustes in Bezug auf seine Datenverarbeitung zu führen.

4. Die Frage, ob Art. 82 DS-GVO eine vom Verschulden abhängige oder unabhängige Anspruchsgrundlage darstellt, kann dahinstehen. Denn vorliegend ist nichts vorgetragen oder ersichtlich, was gegen ein Verschulden der Beklagten spricht.

5. Bei der Bestimmung der Höhe des Schadensersatzes, die der Kläger in das Ermessen des Gerichts gestellt hat, sind gem. § 287 Abs.1 S. 1 ZPO alle Umstände des Einzelfalls würdigen, insbesondere Art, Intensität und Dauer der erlittenen Rechtsverletzung. Auch bei der Höhe des Schadens ist der Effektivitätsgrundsatz zu berücksichtigen.

Das Amtsgericht Pfaffenhofen (AG Pfaffenhofen, Endurteil v. 09.09.2021 - 2 C 133/21) entschied in einem ähnlichen Fall:

"Die Höhe des Anspruchs ist dabei nicht willkürlich, sondern auf der Grundlage der inhaltlichen Schwere und Dauer der Rechtsverletzung zu beurteilen, unter Berücksichtigung des Kontexts, der Umstände eines Verstoßes. Genugtuungs- und Vorbeugungsfunktion können bei der Bezifferung eine Rolle spielen. Einerseits darf die Höhe des Schadensersatzes keine Strafwirkung entfalten. Andererseits reicht ein künstlich niedrig bezifferter Betrag mit symbolischer Wirkung nicht aus, um die praktische Wirksamkeit des Unionsrechts sicherzustellen (vgl. Paal/Pauly/Frenzel, 3. Aufl. 2021, DS-GVO Art. 82 Rn. 12a)."

Dabei sprach das AG Pfaffenhofen dem Kläger 300,00 Euro für eine unerwünscht erhaltene Werbeemail zu, wobei in dem dortigen Fall die Beklagte die Emailadresse des Klägers gänzlich ohne dessen Einwilligung erhalten hatte.

Das AG Diez (Urteil vom 17.04.2018 - 7 O 6829/17) erachtete in dem Fall eines Versandes einer Werbeemail, mit welcher die Beklagte am 25.5.2018, als die DS-GVO Gültigkeit erlangte, eben aus diesem Grund und unter Bezugnahme hierauf nach einer Einwilligung zum Newsletter-Bezug anfragte, einen Schadensersatzanspruch als unbegründet.

In einem ähnlichen Fall lehnte das AG Goslar (Urteil vom 27.09.2019 - 28 C 7/19) einen Schadensersatzanspruch ab, da es sich auch in dem dortigen Fall um lediglich eine Werbeemail handelte: "Für das Gericht ist aufgrund des Vortrags des Klägers ein Schaden indes nicht ersichtlich. Es handelte sich lediglich um eine einzige Werbe-E-Mail, die nicht zur Unzeit versandt wurde und aufgrund ihres äußeren Erscheinungsbildes deutlich zeigt, dass es sich um Werbung handelt, so dass ein längeres Befassen mit der E-Mail nicht notwendig war."

Im Interesse einer effektiven Abschreckung und einer Kompensierung des erlittenen Schadens ist das Verhalten der Beklagten in Form der mehrfachen Missachtung des ausdrücklich erklärten Willens des Klägers als schadensersatzerhöhend zu berücksichtigen. Schadensersatzerhöhend ist ebenfalls die Häufigkeit des Verstoßes zu berücksichtigen. In dem vorliegenden Fall hat der Kläger in einem Zeitraum von knapp vier Monaten insgesamt dreizehn Werbeemails von der Beklagten erhalten. Er erhielt dabei jeweils 4 bzw. 5 Werbeemails in kurzer Zeitabfolge, teilweise fast täglich.

Zu berücksichtigen ist allerdings auch, dass die Auswirkungen des Verstoßes gegen die DS-GVO den Wirkungsbereich des Klägers nicht verlassen haben. Es wurde durch den Verstoß kein Bereich berührt, der etwa die Beziehung des Klägers zu Dritten berührt.

Das Gericht erachtet vorliegend im Ergebnis eine Entschädigung von 500,00 EUR für angemessen.


Den Volltext der Entscheidung finden Sie hier: