ArbG Duisburg
Beschluss vom 18.08.2023 5 Ca 877/23
Das ArbG Duisburg hat entschieden, dass für Ansprüche eines ehemaligen Bewerbers auf Auskunft nach Art. 15 DSGVO und Schadensersatz aus Art. 82 DSGVO die Arbeitsgerichte sachlich zuständig sind.
Aus den Entscheidungsgründen: Nach § 17 a III S. 2 GVG war nach der Rüge des Rechtsweges vorab über die sachliche Zuständigkeit zu entscheiden.
Die Zuständigkeit der Arbeitsgerichtsbarkeit ergibt sich aus § 2 I Nr. 3 c ArbGG.
Danach sind die Arbeitsgerichte ausschließlich zuständig für bürgerliche Rechtsstreitigkeiten zwischen Arbeitnehmern und Arbeitgebern aus Verhandlungen über die Eingehung eines Arbeitsverhältnisses.
Der Kläger begehrt die Zahlung eines Schadensersatzes nach der DSGVO. Das nach Behauptung des Klägers verletzte Auskunftsbegehren liegt dabei inhaltlich in einer Bewerbung des Klägers aus dem Jahre 2017 begründet.
Die Bewerbung des Klägers stellt eine „Verhandlung über die Eingehung eines Arbeitsverhältnisses“ im Sinne des § 2 I Nr. 3 c ArbGG dar.
Zwar ist das Recht aus Art 15 DSGVO nicht an das Vorliegen einer arbeitsrechtlichen Beziehung geknüpft. Liegt eine solche jedoch vor, ist ein arbeitsrechtlicher Bezug gegeben, welcher die Zuständigkeit der Arbeitsgerichte begründet. Der ordentliche Rechtsweg kommt bezüglich Ansprüchen aus der DSGVO hingehen in Betracht, wenn der geltend gemachte Anspruch nach dem anspruchsbegründenden Sachverhalt auf einem anderen, nicht mit dem Arbeitsverhältnis im Zusammenhang stehenden Rechtsverhältnis beruht (BAG, Beschl. v. 03.02.2014, 10 AZB 77/13, beck-online). Dies ist hier nicht der Fall.
Dem arbeitsrechtlichem Bezug steht entgegen der Auffassung der Beklagten nicht entgegen, dass die Bewerbung des Klägers sieben Jahre zurückliegt. Dies ändert nichts am inhaltlichen Sachzusammenhang.
Der Rechtsweg zu den Arbeitsgerichten ist mithin gegeben.
Das ArbG Neuruppin hat entschieden, dass ein Anspruch auf Zahlung von 1.000 Euro Geldentschädigung aus Art. 82 DSGVO besteht, wenn ein ehemaliger Mitarbeiter nicht von der Website des Arbeitgebers entfernt wird.
Aus den Entscheidungsgründen:
Der Anspruch der Klägerin ist in Höhe von 1.000,00 € abzüglich der geleisteten 150,00 Euro begründet. Im Übrigen war die Klage abzuweisen.
I. Der Anspruch der Klägerin folgt zunächst aus Art. 82 DSGVO als sogenannte "Basisvorschrift" (vgl. dazu: Wächter, Datenschutz im Unternehmen, 5. Aufl., Rz. 1158). Mit Art. 82 DSGVO enthält die Grundverordnung eine eigenständige deliktische Haftungsnorm. Voraussetzung ist eine rechtswidrige Datenverarbeitung, die zu einem Schaden der betroffenen Person (Art. 4 Nr. 1 DSGVO) führt. Art. 82 DSGVO ersetzt dabei die zuvor in Art. 23 DS-RL enthaltene Regelung sowie die mitgliedstaatlichen Regelungen zur Umsetzung dieser Vorschrift (im BDSG-alt die §§ 7,8) (vgl. nur: Ehmann/Selmayr, Datenschutzgrundverordnung, Art. 82, Rz. 4m.w.N.). Nicht jeder einer betroffenen Person entstandene Schaden ist jedoch auszugleichen. Voraussetzung ist, dass der Verstoß gegen die Bestimmungen der DSGVO, delegierte Rechtsakte oder konkretisierende nationale Bestimmungen kausal für den eingetretenen Schaden ist (Specht/Manz, Handbuch Europäisches und deutsches Datenschutzrecht, Teil A, Rz. 243). Dabei gewährt Art. 82 DSGVO gegenüber der verantwortlichen Stelle (hier der Beklagten, da sie für den Inhalt ihrer Homepage verantwortlich im datenschutzrechtlichen Sinne ist i.S.v. Art. 4 Ziff. 7 DSGVO), einen Anspruch auf Ersatz des Schadens, der durch die unrichtige bzw. unzulässige Verwendung von personenbezogenen Daten entstanden ist (Weth/Herberger/Wächter/Sorge, Daten- und Persönlichkeitssschutz im Arbeitsverhältnis, 2. Auflage, Teil A XV, Rz. 24). Der unbefugte Umgang mit den Daten muss darüber hinaus schuldhaft i.S.v. § 276 BGB erfolgen, damit vorsätzlich oder zumindest fahrlässig (Weth/Herberger/Wächter/Sorge, a.a.0.). Dabei wird mit der nunmehr seit Mai 2018 geltenden Norm des Art. 82 III DSGVO ein schuldhaftes Verhalten vermutet, was eine deutliche Verschärfung gegenüber dem bis dahin geltenden Recht bedeutet. Von dieser Vermutung kann sich der Verantwortliche oder auch der Auftragsverarbeiter gemäß Art. 82 III DSGVO nur dann entlasten (exkulpieren), wenn er in keinerlei Hinsicht für den Umstand, durch welchen der Schaden entstanden ist, verantwortlich ist (Weth/Herberger/Wächter/Sorge, a.a.O.). Der Schaden kann ein materieller sein. Ebenfalls ist jedoch ein immaterieller Schaden wegen Verletzung des allgemeinen Persönlichkeitsrechtes auszugleichen. Der Erwägungsgrund 146 stellt für die Auslegung von Art. 82 DSGVO klar, dass es sich um einen "vollständigen und wirksamen Schadensersatz" handeln muss. Dies zielt auf die Ersatzhöhe ab (vgl. nur Körner, NZA 2021, 1137 ff. m. w. N.). Dem Grunde nach sind damit sämtliche Verletzungen des allgemeinen Persönlichkeitsrechtes erfasst. Da der Schadensersatzanspruch nach Art. 82 DSGVO im Übrigen auch im Umfang auch die Elemente der Wirksamkeit und Abschreckung enthalten soll, können in die Berechnung des Haftungsumfangs auch präventive Gesichtspunkte einfließen (Specht/Manz, a.a.O. Rz. 247).
II. Die Beklagte hat trotz entsprechender Hinweise der Klägervertreterin im Schreiben vom 28.08.2020 die Daten der Klägerin nicht umgehend von ihrer Internetseite entfernt, obwohl das Arbeitsverhältnis beendet wurde. Unabhängig davon war sie jedoch auch bereits ohne anwaltliches Schreiben dazu verpflichtet gewesen, sämtliche im Zusammenhang mit der Klägerin veröffentlichten Daten von ihrer Homepage zu entfernen, da das Arbeitsverhältnis beendet wurde. Dies ergibt sich nicht nur aufgrund der bestehenden datenschutzrechtlichen Pflichten, sondern stellt auch eine allgemeine Nebenpflicht aus dem Arbeitsverhältnis i.S.v. § 241 Abs. 2 BGB dar. Auch mehrere Monate später waren die entsprechenden Daten jedoch noch verfügbar. Die Klägerin wurde - was unstreitig ist - weiterhin auf der Internetseite geführt, obwohl sie dort nicht als Biologin tätig war, sondern lediglich im Büromanagement beschäftigt wurde, insofern waren die Daten auch nicht zutreffend. Dabei spielt es entgegen der Ansicht der Beklagten auch keine Rolle, dass die Klägerin leidglich mit ihrem "Mädchennamen" dort aufgeführt wird und nicht mit ihrem tatsächlichen "Doppelnamen". Bereits dadurch wurde die Klägerin in ihren Persönlichkeitsrechten verletzt.
Dass die Beklagte erkannt hat, dass sie einen Fehler im datenschutzrechtlichen Sinne begangen hat, zeigt sich insbesondere auch darin, dass sie der Aufforderung der Klägerin entsprechend eine Unterlassungserklärung abgegeben und sodann 150,00 Euro in der Folgezeit gezahlt hat.
Der Hinweis der Beklagten, dass es sich um eine "alte Version" der Homepage gehandelt habe, stellt keine wirksame Exkulpation von der Haftung i.S.v. Art. 82 III DSGVO dar. Die Beklagte als verantwortliche Stelle hätte gerade nach den anwaltlichen Hinweisen der Klägervertreterin ihr besonderes Augenmerk auf ihre Homepage lenken müssen, da sie diesbezüglich zumindest seit dem anwaltlichen Schreiben vom 28.08.2020 sensibilisiert war.
Die Erwägungsgründe 75 und 85 stehen dem Anspruch ebenfalls nicht entgegen. Die dort genannten Gründe sind weder abschließend, noch dazu geeignet, den Anspruch der Klägerin dem Grunde nach zu negieren.
III. Hinsichtlich der Höhe des begehrten Schadensersatzes hat die Kammer einen Anspruch in Höhe von 1.000,00 Euro für angemessen erachtet, wobei berücksichtigt wurde, dass 150,00 Euro bereits geleistet wurden.
Dies auch unter Beachtung der aktuellen Rechtsprechung (vgl. dazu Böhm/Brams NZA RR, 2021, 521 ff.).
Mit einer Entscheidung des LAG Köln vom 14.09.2020 (LAG Köln 14.09.2020, 2 Sa 358/20, juris) wurden der dortigen Klägerin 300,00 Euro zugesprochen. In diesem Fall war jedoch zu beachten, dass die Beklagte nachgewiesen hatte, dass eine fahrlässige Nichtlöschung des Profils der Klägerin vorlag. Die dortige Klägerin war jedoch im Gegensatz zur Klägerin nicht insgesamt weiterhin auf der Homepage der Beklagten "verfügbar", sondern lediglich auf einer weiteren Datei im Internet, welche aufgrund einer "Verknüpfung" zu finden war. Das Arbeitsgericht Neumünster hat mit der Entscheidung vom 11.08.2020 (ArbG Neumünster vom 11.08.2020, 1 Ca 247 c/20, ZD 2021, 171) einen Schadensersatz in Höhe von 1.500,00 Euro wegen verspäteter Auskurftserteilung zugesagt. Auch wenn es in diesem Rechtsstreit nicht um einen Schadensersatz nach Art. 82 DSGVO, sondern um einen solchen wegen verspäteter Auskunft nach Art. 15 DSGVO ging, wurde dort auch bei der Bezifferung des Schadensersatzanspruches auf die Grundsätze der Art. 83 Abs. 2 Satz 9 DSGVO verwiesen. Ein solcher Rückgriff wurde bejaht, da Schadensersatz nach Art. 82 DSGVO ebenso wie Bußgelder nach Art. 83 DSGVO Datenschutzverstöße effektiv sanktionieren und abschreckend wirken sollten.
Das Landesarbeitsgericht Hamm hat mit Entscheidung vom 11.05.2021 (LAG Hamm vom 11.05.2021, 6 Sa 1260/20, juris) wegen verspäteter und unzureichender Datenauskunft einen Schadensersatz in Höhe von 1.000,00 Euro festgesetzt.
Unter Berücksichtigung vorstehender Rechtsprechung ist die Kammer ausdrücklich entgegen der Entscheidung des LG Köln vom 30.09.2021 (LG Köln vom 03.08.2021, 5 O 84/21, juris) sowie des Landgerichtes Bonn (LG Bonn vom 01.07.2021, 15 O 372/20, juris) davon ausgegangen, dass der Klägerin ein Schadensersatzanspruch in der ausgeurteilten Höhe zuzugestehen ist, da die Beklagte trotz des entsprechenden Begehrens der Klägerin über mehrere Monate hin deren Daten auf ihrer Internetseite nicht gelöscht hat. Dies auch unabhängig von der Tatsache, dass die Klägerin keine immateriellen Beeinträchtigungen vorgetragen hat. Dieses ist nach Auffassung der Kammer auch nicht erforderlich, da - wie unter I. dargestellt - Art. 82 DSGVO ebenfalls eine Warn- und Abschreckungsfunktion beinhaltet. Schließlich vermögen deswegen auch die Argumente des LG Bonn nicht zu überzeugen, dass ein Schadensersatzanspruch deswegen nicht auszuurteilen sei, da einer "uferlosen" Geltendmachung solcher Ansprüche" entsprechend zu begegnen sei. Derartige Überlegungen müssen bei der Ausurteilung von Schadensersatzansprüchen grundsätzlich ausscheiden. Dies dürfte zumindest seit dem Inkrafttreten des AGG für das Arbeitsrecht allgemein anerkannt sein.
Im Ergebnis hält die Kammer unter Beachtung der §§ 286, 287 ZPO im vorliegenden Fall einen Anspruch in Höhe von 1.000,00 Euro für angemessen. Hiervon hat die Beklagte bereits 150,00 Euro geleistet, so dass sie verpflichtet ist, weitere 850,00 Euro zu zahlen.
Ein weitergehender Schadensersatzanspruch steht der Klägerin jedoch nicht zu. Dementsprechend war die Klage im Übrigen abzuweisen.
Der BGH hat entschieden, dass kein Anspruch auf Geldentschädigung aus Art. 82 Abs. 1 DSGVO wegen identifizierender Verdachtsberichterstattung in einem Presseartikel besteht. Dem Anspruch steht schon das Medienprivileg entgegen.
Leitsatz des BGH:
Zu den Voraussetzungen einer zulässigen Verdachtsberichterstattung (hier: Pressebericht über bevorstehende Hauptverhandlung im Strafverfahren).
BGH, Urteil vom 22. Februar 2022 - VI ZR 1175/20 - OLG Köln - LG Köln
Aus den Entscheidungsgründen: Das Berufungsgericht ist zu Recht davon ausgegangen, dass dem Kläger kein Anspruch auf Zahlung einer Geldentschädigung zusteht.
1. Wie das Berufungsgericht zutreffend ausgeführt hat, folgt ein solcher Anspruch nicht aus Art. 82 Abs. 1 DS-GVO. Aufgrund der Öffnungsklausel des Art. 85 Abs. 2 DS-GVO sind Datenverarbeitungen zu journalistischen Zwecken von den die Rechtmäßigkeit der Datenverarbeitung betreffenden Vorschriften in Art. 6 und Art. 7 DS-GVO durch Regelungen der Länder ausgenommen worden (vgl. Senatsurteile vom 7. Juli 2020 - VI ZR 250/19, VersR 2021, 189 Rn. 10; - VI ZR 246/19, NJW 2020, 3715 Rn. 11; jeweils mwN).
Für den Bereich der Telemedien, der die streitgegenständliche Internetberichterstattung umfasst, galt zur Zeit der Berichterstattung § 57 Abs. 1 Satz 4 RStV (jetzt gleichlautend § 23 Abs. 1 Satz 4 MStV). Für die Printberichterstattung existierten und existieren entsprechende Vorschriften der einzelnen Länder (für Berlin, den Sitz der Beklagten zu 2, siehe § 19 Abs. 1 Satz 1 des Berliner Datenschutzgesetzes und jetzt § 22a Abs. 1 Satz 4 des Berliner Pressegesetzes; weitere Nachweise bei Lauber-Rönsberg, AfP 2019, 373 Rn. 29 mit Fn. 50). Es liegt auf der Hand, dass ein Schadensersatzanspruch gemäß § 82 Abs. 1 DS-GVO nicht auf die Verletzung datenschutzrechtlicher Bestimmungen durch eine journalistische Tätigkeit gestützt werden kann, wenn die Bestimmungen für die Tätigkeit gar nicht gelten (vgl. Senatsbeschluss vom 16. Februar 2021 - VI ZA 6/20, juris; Senatsurteile vom 7. Juli 2020 - VI ZR 250/19, VersR 2021, 189 Rn. 10; - VI ZR 246/19, NJW 2020, 3715 Rn. 11). Insoweit spielt es auch keine Rolle, dass die Öffnungsklausel des Art. 85 Abs. 2 DS-GVO die in Kapitel VIII der Verordnung enthaltene Vorschrift des Art. 82 Abs. 1 DS-GVO nicht erfasst. Im Übrigen stellen § 23 Abs. 1 Satz 5 MStV (zuvor § 57 Abs. 1 Satz 5 RStV) und die presserechtlichen Vorschriften der Länder (etwa § 22a Abs. 1 Satz 5 des Berliner Pressegesetzes, § 19 Abs. 1 Satz 2 des Berliner Datenschutzgesetzes) klar, dass Art. 82 Abs. 1 DS-GVO im Geltungsbereich des Medienprivilegs nicht greift (vgl. Lauber-Rönsberg, AfP 2019, 373 Rn. 30). Einer Vorlage an den Gerichtshof der Europäischen Union bedarf es nicht, weil diese Frage klar zu beantworten ist (vgl. zu den Voraussetzungen
der Vorlagepflicht EuGH, EuZW 2018, 1038 Rn. 110 - Kommission/Frankreich mwN).
2. Entgegen der Auffassung der Revision hat das Berufungsgericht dem Kläger zu Recht keine Geldentschädigung wegen Verletzung seines allgemeinen Persönlichkeitsrechts durch die Wort- und Bildberichterstattungen nach § 823 Abs. 1 BGB i.V.m. Art. 1 Abs. 1, Abs. 2 Abs. 1 GG und §§ 22, 23 KUG zuerkannt.
Das LG Essen hat entschieden, dass die Versendung eines USB-Sticks mit persönlichen Daten per einfachem Brief mit den Vorgaben der DSGVO vereinbar ist. Zudem hat das Gericht entschieden, dass ein Anspruch aus Art. 82 DSGVO abgetreten werden kann.
Aus den Entscheidungsgründen:
Dem Kläger steht gegen die Beklagte der geltend gemachte immaterielle Schadensersatzanspruch aus keinem rechtlichen Gesichtspunkt zu.
a) Ein Anspruch des Klägers ergibt sich zunächst nicht aus Art. 82 Abs. 1 DSGVO.
Danach hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, einen Anspruch auf Schadensersatz gegen den Verantwortlichen i.S.d. DSGVO. Zwar ist der Kläger auch hinsichtlich der Ansprüche seiner Ehefrau aktivlegitimiert. Es liegt auch - zumindest hinsichtlich der fehlenden Mitteilung an die Landesbeauftragte für Datenschutz und Informationsfreiheit in NRW - ein Verstoß gegen die DSGVO vor. Der Kläger hat jedoch nicht hinreichend substantiiert dargetan, dass ihm ein erheblicher Schaden entstanden ist. Im Einzelnen:
aa) Der Kläger ist zunächst aktivlegitimiert. Für seinen eigenen Anspruch ist dies unproblematisch der Fall. Die Aktivlegitimation besteht darüber hinaus - entgegender Ansicht der Beklagten - auch hinsichtlich des Anspruchs seiner Ehefrau.
Aufgrund des Abtretungsvertrags vom 06.06.2021 (Anlage K 5, Bl. 20 d. A.) ist der Kläger Forderungsinhaber geworden, § 398 BGB.
Grundsätzlich ist jede Forderung abtretbar (vgl. Grüneberg in: Palandt, 80. Aufl. 2021, § 398 BGB Rn. 8); insbesondere auch Schmerzensgeldansprüche (vgl. Grüneberg in: Palandt, 80. Aufl. 2021, § 253 BGB Rn. 22). Ein Abtretungsverbot nach §§ 399, 400 BGB besteht nicht. Die vermeintliche Forderung der Ehefrau des Klägers gegen die Beklagte unterliegt weder der Pfändung (§ 400 BGB) noch wurde die Abtretung durch Vereinbarung ausgeschlossen oder erfordert die Abtretung eine Inhaltsänderung der Leistung (§ 399 BGB).
Die Abtretung ist zudem wirksam, insbesondere ist sie hinreichend bestimmt. Dabei genügt es, wenn im Zeitpunkt des Entstehens der Forderung bestimmbar ist, ob sie von der Abtretung erfasst wird (vgl. Grüneberg in: Palandt, 80. Aufl. 2021, § 398 BGB Rn. 14). Das ist hier der Fall. In dem Abtretungsvertrag ist unter Ziffer 1 das Rechtsverhältnis, aus dem sich etwaige Ansprüche ergeben können, hinreichend bestimmt bezeichnet. Dort heißt es, dass dem Zedenten aus einer datenschutzrechtlichen Verletzung Schadensersatzansprüche gegen die [xxx] - die hiesige Beklagte - in einer noch durch ein Gericht festzulegenden Höhe zustehen. Zudem wird der Grund des Schadensersatzanspruchs noch näher beschrieben; nämlich der Verlust eines USB-Sticks mit umfangreichen persönlichen und sensiblen Daten.
bb) Der Beklagten ist ein Verstoß gegen Art. 33 DSGVO vorzuwerfen - unterstellt, der USB-Stick ist tatsächlich verloren gegangen.
Gemäß Art. 33 Abs. 1 DSGVO meldet der Verantwortliche im Falle einer Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Die erforderlichen zu meldenden Informationen ergeben sich aus Art. 33 Abs. 3 DSGVO. Eine solche Meldung ist indes - unstreitig - nicht erfolgt. Unerheblich ist dabei, dass der Kläger und seine Ehefrau als Betroffene bereits Kenntnis von dem vermeintlichen Datenverlust hatten, da sie ihn selbst gemeldet haben.
Denn die Meldepflicht dient zum einen der Minimierung der negativen Auswirkungen von Datenschutzverletzungen durch Publizität gegenüber der Aufsichtsbehörde (und dem Betroffenen). Gleichzeitig gewährt die Vorschrift so vorbeugenden Schutz der informationellen Selbstbestimmung des Betroffenen, indem sie Anreize zur Vermeidung zukünftiger Verletzungen beim Verantwortlichen setzt. Die Vorschrift dient also nicht nur dem Schutz des Betroffenen. Die Meldung gegenüber der Aufsichtsbehörde ermöglicht es dieser, über Maßnahmen zur Eindämmung und Ahndung der Rechtsverletzung zu entscheiden (vgl. BeckOK DatenschutzR/Brink, 37. Ed. 1.11.2019 Rn. 10, DS-GVO Art. 33 Rn. 10). Insofern genügt bereits ein solch formeller Verstoß gegen die DSGVO zur Begründung eines Schadensersatzanspruches dem Grunde nach (BeckOK DatenschutzR/Quaas, 37. Ed. 1.8.2021, DS-GVO Art. 82 Rn. 14).
Zudem liegt ein Verstoß gegen Art. 34 Abs. 2 DSGVO vor. Zwar ist der Beklagten insofern zuzustimmen, als sie selbst erst durch den Kläger bzw. seine Ehefrau von dem vermeintlichen Datenverlust informiert wurde. Die Informationspflichten des Art. 34 DSGVO sehen über die reine Information über den Datenverlust selbst hinaus jedoch vor, dass die in Art. 33 Abs. 3 lit. b- d DSGVO genannten Informationen und Maßnahmen auch dem Betroffenen - hier dem Kläger und seiner Ehefrau - mitgeteilt werden. Dies ist jedoch - unstreitig - nicht erfolgt.
cc) Dagegen liegt kein Verstoß gegen Art. 24, 25 Abs. 1, 32 DSGVO vor.
Danach hat der Verantwortliche i.S.d. DSGVO unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit
und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen und umzusetzen, um sicherzustellen, dass die Verarbeitung gemäß der DSGVO erfolgt und die Rechte der betroffenen Personen geschützt werden. In Art. 25 Abs. 1 und Art. 32 Abs. 1 DSGVO werden dafür exemplarisch die Pseudonymisierung und Verschlüsselung personenbezogener Daten genannt. Ein Verstoß der Beklagten liegt indes nicht vor.
Die Kammer konnte kein Fehlverhalten im Haus der Beklagten feststellen. Dabei ist zunächst zu berücksichtigen, dass der vermeintliche Verlust der Daten jedenfalls nicht im Haus der Beklagten erfolgt ist. Dies wird auch von Klägerseite nicht behauptet. Vielmehr soll der USB-Stick auf dem Postversand verloren gegangen sein.
Die Kammer sieht zudem keinen Grund, weshalb die Beklagte den USB-Stick nicht per einfachem Brief an den Kläger und seine Ehefrau hätte versenden dürfen. Zwar waren auf dem USB-Stick Dokumente mit sensiblen persönlichen und wirtschaftlichen Informationen enthalten. Dies ist jedoch kein Grund, nicht den Service der Deutschen Post nutzen zu dürfen. Von verschiedensten Stellen werden ausgedruckte Dokumente mit sensiblen Informationen, z.B. Steuerbescheide, Schreiben von Anwälten und Steuerberatern o.Ä., mit einfacher Post versandt. Hiergegen ist ebenfalls nichts einzuwenden; eine irgendwie geartete Pflichtverletzung der handelnden Stellen ist nicht ersichtlich. Weshalb zwischen ausgedruckten Dokumenten, die naturgemäß unverschlüsselt übersandt werden, und digitalen Dokumenten auf einem unverschlüsselten USB-Stick im Zuge der postalischen Übermittlung unterschieden werden soll, erschließt sich der Kammer nicht.
Die Beklagte war zudem nicht gehalten, den USB-Stick in einem gepolsterten Umschlag zu versenden. Bei dem USB-Stick handelt es sich weder um einen leicht zu beschädigenden Gegenstand, der vor äußeren Einwirkungen geschützt werden müsste, noch musste die Beklagte davon auszugehen, dass ein USB-Stick als relativ leichter Gegenstand ohne scharfe Kanten den Briefumschlag von innen heraus zerstören könnte.
Ferner bestand keine Verpflichtung der Beklagten, den USB-Stick dem Kläger oder seiner Verlobten persönlich zu übergeben. Unstreitig wurde dies nicht durch den Kläger oder seine Ehefrau gefordert. Zudem bestand für die Beklagte - wie bereits ausgeführt - keine Veranlassung, an dem zuverlässigen Versand durch die Deutsche Post zu zweifeln.
dd) Der Kläger hat jedoch ohnehin nicht hinreichend substantiiert dargetan, dass ihm und seiner Ehefrau ein konkreter immaterieller Schaden entstanden ist.
Für den - hier geltend gemachten - immateriellen Schadensersatz gelten dabei die im Rahmen von § 253 BGB entwickelten Grundsätze; die Ermittlung obliegt dem Gericht nach § 287 ZPO (BeckOK DatenschutzR/Quaas, 32. Ed. 1.2.2020, DS-GVO Art. 82 Rn. 31). Es können für die Bemessung die Kriterien des Art. 83 Abs. 2 DSGVO herangezogen werden, bspw. die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie die betroffenen Kategorien personenbezogener Daten. Zu berücksichtigen ist auch, dass die beabsichtigte abschreckende Wirkung nur durch für den Anspruchsverpflichtenden empfindliche Schmerzensgelder erreicht wird, insbesondere wenn eine Kommerzialisierung fehlt. Ein genereller Ausschluss von Bagatellfällen ist damit nicht zu vereinbaren (BeckOK DatenschutzR/Quaas, 32. Ed. 1.2.2020, DS-GVO Art. 82 Rn. 31) (vgl. LG Köln, Urteil vom 07.10.2020 - 28 O 71/20). Die Pflicht zur Erstattung immaterieller Schäden ist daher nicht nur auf schwere Schäden beschränkt (vgl. LG Landshut, Urteil vom 06.11.2020 - 51 O 513/20).
Allein die - etwaige - Verletzung des Datenschutzrechts als solche begründet allerdings nicht bereits für sich gesehen einen Schadensersatzanspruch für betroffene Personen. Die Verletzungshandlung muss in jedem Fall auch zu einer konkreten, nicht nur unbedeutenden oder empfundenen Verletzung von Persönlichkeitsrechten der betroffenen Personen geführt haben (vgl. LG Hamburg, Urteil vom 04.09.2020 - 324 S 9/19). Es ist zwar eine schwere Verletzung des Persönlichkeitsrechts nicht (mehr) erforderlich. Andererseits ist auch weiterhin nicht für einen Bagatellverstoß ohne ernsthafte Beeinträchtigung bzw. für jede bloß individuelle empfundene Unannehmlichkeit ein Schmerzensgeld zu gewähren; vielmehr muss dem Betroffenen ein spürbarer Nachteil entstanden sein und es muss um eine objektiv nachvollziehbare, mit gewissem Gewicht erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen gehen (vgl. LG Landshut, Urteil vom 06.11.2020 - 51 O 513/20).
Gemessen an diesen Grundsätzen kann die Kammer anhand des klägerischen Vortrags spürbare Beeinträchtigung von persönlichen Belangen des Klägers und seiner Ehefrau in keiner Weise feststellen.
Der Kläger hat lediglich vorgetragen, dass er und seine Ehefrau infolge des vermeintlichen Verlustes des USB-Sticks einen Kontrollverlust erlitten hätten. Weiter wird dies indes nicht ausgeführt. Die Kammer hat dabei berücksichtigt, dass der Verlust eines USB-Sticks, auf dem sich ungesicherte persönliche und wirtschaftliche Informationen befinden, durchaus zu einem „unguten Gefühl“ führen kann. Der Kläger hat jedoch in keiner Weise vorgetragen, inwiefern sich für ihn bzw. seine Ehefrau eine ernsthafte Beeinträchtigung ergeben hat. Negative Auswirkungen des Verlustes haben sich nicht gezeigt -zumindest wurden sie weder vorgetragen noch ergeben sie sich aus den sonstigen Umständen des Falles. Es ist zudem völlig unklar, was mit dem USB-Stick passiert ist - unterstellt, er ist tatsächlich abhandengekommen. Negative Auswirkungen des behaupteten Verlustes - etwa in Form eines Identitätsdiebstahls oder ähnliches - müssten der Kläger und seine Ehefrau allenfalls befürchten, wenn der USB-Stick in die Hände eines Dritten gelangt ist. Ob das der Fall ist, ist völlig unklar. Genauso gut ist es möglich, dass der USB-Stick bei der Verarbeitung der Briefe im Bereich der Deutschen Post zerstört oder beschädigt wurde. Im klägerischen Schriftsatz vom 15.09.2021 ist die Rede von einer walzen- und rollenbetriebenen Sortieranlage der Deutschen Post. Insofern ist es durchaus wahrscheinlich, dass ein USB-Stick in dieser Sortieranlage beschädigt werden kann. In diesem Fall wäre es somit ausgeschlossen, dass ein unbefugter Dritter überhaupt an die Daten des Klägers und seiner Ehefrau gelangen könnte.
Dieses Ergebnis steht nicht im Widerspruch zu der Entscheidung des Bundesverfassungsgerichts vom 14.01.2021 (1 BvR 2853/19), in der es um die‚ Ablehnung eines immateriellen Schadensersatzanspruchs wegen fehlender Erheblichkeit ging, was „weder unmittelbar in der DSGVO angelegt [sei], noch von der Literatur befürwortet oder vom Gerichtshof der Europäischen Union verwendet [werde]. Denn im vorliegenden Fall wurde nicht einmal eine spürbare Beeinträchtigung des Klägers und seiner Ehefrau vorgetragen. Über die Frage der Erheblichkeit musste die Kammer daher nicht entscheiden.
Im Übrigen hält die Kammer das Vorgehen des Klägers, außergerichtlich zunächst einen niedrigeren Schmerzensgeldbetrag zu fordern, unter Androhung, den Betrag zu erhöhen, falls ein gerichtliches Verfahren erforderlich werde, für äußerst befremdlich. Generell ist der vom Kläger geforderte Betrag deutlich übersetzt, wie insbesondere ein Vergleich mit Schmerzensgeldansprüchen wegen Körperverletzungen verdeutlicht, was insgesamt ein überbordendes Gewinnstreben des Klägers aufzeigt, hingegen nicht, dass er sich durch die behaupteten Vorgänge in irgendeiner Art und Weise persönlich beeinträchtigt sieht.
b) Ein Anspruch des Klägers folgt ferner nicht aus Schadensersatzgesichtspunkten. Sowohl vorvertragliche Schadensersatzansprüche (§§ 280 Abs. 1, 311 Abs. 2, 241 Abs. 2, 253 Abs. 2 BGB) als auch deliktische Schadensersatzansprüche wegen einer möglichen Verletzung des allgemeinen Persönlichkeitsrechts (§§ 823 Abs. 1, 253 Abs. 2 BGB i.V.m. Art. 2 Abs. 1 und Art. 1 Abs. 1 GG) erfordern den Eintritt eines immateriellen Schadens, den der Kläger nicht schlüssig dargelegt hat. Insofern wird auf die obigen Ausführungen Bezug genommen, die hier sinngemäß gelten.
Das ArbG Mannheim hat wenig überraschend entschieden, dass kein Anspruch auf Geldentschädigung aus Art. 82 DSGVO zugesprochen werden kann, wenn der Kläger nicht darlegt, welche datenschutzrechtlichen Vorschriften durch welche Handlungen konkret verletzt wurden.
LAG Baden-Württemberg
Urteil vom 25.2.2021 17 Sa 37/20
Das LAG Baden-Württemberg hat entschieden, dass einem Betroffenen keine Geldentschädigung nach Art. 82 DSGVO für den Verstoß gegen die Vorgaben der DSGVO durch Datenübermittlung in die USA oder ein anderes Drittland zusteht, sofern kein konkreter Schaden entstanden ist.
Aus den Entscheidungsgründen: III. Die Klage ist unbegründet. Dem Kläger steht kein Anspruch gegen die Beklagte auf Ersatz des von ihm geltend gemachten immateriellen Schadens im Zusammenhang mit der Datenübermittlung und weitergehenden Verarbeitung von personenbezogenen Daten an bzw. bei der Konzernmutter der Beklagten in den USA nach Art. 82 DSGVO zu.
1. Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsdatenverarbeiter. Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde, Art. 82 Abs. 2 Satz 1 DSGVO. Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist, Art. 82 Abs. 3 DSGVO. Art. 82 DSGVO normiert damit einen Schadensersatzanspruch zugunsten der von der Datenverarbeitung betroffenen Person gegen die für die Datenverarbeitung verantwortlichen Stelle für den Fall, dass die Datenverarbeitung gegen Vorgaben der Datenschutzgrundverordnung verstößt (vgl. EU-ArbR/Franzen 3. Aufl. Art. 82 DSGVO Rn. 1).
2. Die Voraussetzungen für eine Schadensersatzverpflichtung in Bezug auf einen dem Kläger zugefügten immateriellen Schaden liegen danach nicht vor. Dem Kläger oblag es dabei darzulegen, dass die Beklagte als in Anspruch genommene Person als Verantwortlicher (oder Auftragsdatenverarbeiter) an der Datenverarbeitung beteiligt war, dass die Datenverarbeitung gegen Vorschriften der Datenschutzgrundverordnung oder anderer relevanter mitgliedstaatlicher Bestimmungen verstoßen hat, und dass dieser Verstoß kausal war für einen Schaden welcher der betroffenen Person entstanden ist (vgl. EU-ArbR/Franzen Art. 82 DSGVO Rn. 15). Dies ist ihm nicht gelungen.
a) Der Kläger ist nach Art. 82 Abs. 1 DSGVO Anspruchsberechtigter. Die DSGVO enthält nach Art. 1 Abs. 1 Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten. Was „personenbezogene Daten“ im Sinne der Verordnung sind, bestimmt Art. 4 Abs. 1 DSGVO mit allen Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Anspruchsberechtigt sind damit natürliche Personen, wobei Art. 82 Abs. 1 DSGVO ausdrücklich von „jeder Person“ spricht. Nachdem personenbezogene Daten des Klägers unstreitig verarbeitet wurden, er also sogar die „betroffene Person“ iSv. Art. 4 Nr. 1 DSGVO ist, gehört der Kläger in jedem Fall zum anspruchsberechtigten Personenkreis.
b) Die Beklagte ist mögliches Haftungssubjekt des vom Kläger geltend gemachten Anspruchs. Nach Art. 82 Abs. 2 Satz 1 DSGVO ist Haftungssubjekt jeder an einer Verarbeitung beteiligte Verantwortliche. Verantwortlicher ist nach Art. 4 Nr. 7 DSGVO die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Die Beklagte als juristische Person und Arbeitgeberin verarbeitet personenbezogene Daten der bei ihr beschäftigten Arbeitnehmer und entscheidet (ob, wofür und wieweit der Datenverarbeitung; vgl. Hartung in: Kühling/Buchner DSGVO 3. Aufl. Art. 4 Nr. 7 Rn. 13) - ggf. mitbestimmt - über die Zwecke und Mittel der Verarbeitung personenbezogener Daten; ihr sind die datenschutzrechtlichen Handlungen innerhalb ihrer Organisation zuzurechnen, weshalb sie Verantwortliche nach Art. 4 Nr. 7 DSGVO ist.
[...]
e) Gleichwohl steht dem Kläger ein Anspruch auf Ersatz des von ihm geltend gemachten immateriellen Schadens deshalb nicht zu, weil der vom Kläger geltend gemachte Schaden nicht dem festgestellten Verordnungsverstoß zugeordnet werden kann bzw. tatsächlich nicht eingetreten ist, dh. nicht „erlitten“ wurde.
aa) Der Verstoß muss für den Schaden kausal sein. Der Schaden muss gerade durch den Rechtsverstoß entstanden sein. Es genügt nicht, dass der Schaden durch eine Verarbeitung entstanden ist, in deren Rahmen es (irgendwann) zu einem Rechtsverstoß gekommen ist. Wenn der Schaden „wegen eines Verstoßes gegen diese Verordnung“ entstanden sein muss, kann nicht davon ausgegangen werden, dass bspw. ein Rechtsverstoß bei einer Datenverarbeitung vor dem Geltungszeitpunkt der DSGVO die fortgesetzte Datenverarbeitung „infiziert“ und zu einem Schadensersatzanspruch führt (vgl. Bergt in: Kühling/Buchner Art. 82 DSGVO Rn. 42). Allenfalls dann, wenn durch den Verstoß die gesamte Datenverarbeitung rechtswidrig wird, kann angenommen werden, dass es keiner Zuordnung des Schadens zu einem konkreten Verordnungsverstoß bedarf (vgl. Bergt in: Kühling/Buchner Art. 82 DSGVO aaO). Zudem ist auch unionsrechtlich anerkannt, dass die Kausalitätsprüfung verhindern soll, dass es zu einer uferlosen Schadensersatzpflicht für alle möglichen, noch so entfernten Schäden kommt, für die ein rechtswidriges Verhalten eine Ursache iSe „conditio sine qua non“ gesetzt hat (vgl. zu einer kartellrechtlichen Fragestellung: Kokott Schlussanträge in der Rechtssache - C-557/12 - Rn. 33, 30. Januar 2014, juris). Eine alleinige Kausalität ist aber nicht gefordert, es genügt eine Mitursächlichkeit des Verstoßes für den Schaden, wobei ein hinreichend unmittelbarer Zusammenhang zu fordern ist (vgl. Bergt in: Kühling/Buchner Art. 82 DSGVO Rn. 44 f.) und der Schaden muss für den Schädiger vorhersehbar gewesen sein (vgl. Bergt in: Kühling/Buchner Art. 82 DSGVO Rn. 45).
bb) Danach hat der Kläger keinen durch die Beklagte infolge eines Verordnungsverstoßes verursachten immateriellen Schaden erlitten.
(1) Kein Anknüpfungspunkt für den Schaden können (überschießende) Datenübermittlungen (Datentransfer auf die Sharepoint-Seite der Konzernmutter) sein, denn diese Datenübermittlung hat stattgefunden als die DSGVO noch nicht in Geltung war. Insoweit ist es völlig unerheblich, wie sich das Datenschutzniveau in den USA gestaltet, da jedenfalls die Beklagte nicht für die Datenübermittlung in die USA nach der DSGVO in Anspruch genommen werden kann. Die Beklagte hat nicht gegen die Art. 44 ff. DSGVO verstoßen. Jedwede Begründung eines Schadens mit der Datenübermittlung in die USA (bspw. Zugriffsmöglichkeiten von Behörden oder Dritten in den USA bzw. eine diesbezügliche Unsicherheit) kann einem DSGVO-Verstoß nicht zugeordnet werden. Die Beklagte hat nicht gegen Vorschriften des Kapitels V der DSGVO verstoßen.
(2) Ebenso wenig kann Anknüpfungspunkt der Umstand sein, dass die Beklagte zum Zeitpunkt des Geltungsbeginns der DSGVO (25. Mai 2018) als Verantwortliche personenbezogene Daten bei der Konzernmutter als Auftragsverarbeiterin hat speichern lassen. Die Auftragsdatenverarbeitung erfolgte auf einer ausreichenden vertraglichen Grundlage iSd. Art. 46 Abs. 2 Buchst. c, Abs. 5 DSGVO, welche zudem auch den Anforderungen für eine Auftragsdatenverarbeitung nach Art. 28 DSGVO gerecht wurde. Die Beklagte hat nicht gegen Art. 28 DSGVO verstoßen. Daher kann die behauptete permanente Unsicherheit, dass „unbefugte Dritte“ auf Daten des Klägers Zugriff nehmen, nicht einem Verstoß gegen die DSGVO zugeordnet werden. Die Beklagte hat alle Erfordernisse der DSGVO eingehalten, um eine sichere Auftragsdatenverarbeitung bei ihrer Konzernmutter zu gewährleisten. Dem Kläger wiederum standen bzw. stehen im Verhältnis zur auftragsverarbeitenden Konzernmutter alle Rechte, wie sie nach der DSGVO gegenüber der Beklagten bestehen, zu.
(3) Der einzige Verstoß, welcher der Beklagten vorzuhalten ist, ist die überschießende Datenverarbeitung in Workday vor Einführung von Workday (durch die BV Workday vom 23. Januar 2019), wobei sich diese Datenverarbeitung in Workday auf Daten bezieht, welche die Beklagte rechtmäßig in SAP - auf der Grundlage einer Betriebsvereinbarung zur Nutzung von SAP - bzw. sonst rechtmäßig nach § 26 BDSG zu anderen Zwecken verarbeitete. Die Datenverarbeitung in Workday war nur deshalb nicht rechtmäßig, weil Workday bis zur Einführung nicht produktiv genutzt wurde und es deshalb an der Erforderlichkeit der Datenverarbeitung iSv. § 26 Abs. 1 BDSG bzw. noch an einer Betriebsvereinbarung zur Einführung fehlte. Die Beklagte bedurfte daher der Duldungs-BV als Rechtsgrundlage, um die nach § 26 Abs. 1 BDSG nicht erforderliche Datenverarbeitung nach § 26 Abs. 4 BDSG zu den normierten Testzwecken zu legitimieren. Die Duldungs-BV berechtigte zur Datenverarbeitung der in der Anlage 2 genannten Datenkategorien in dem durch die Betriebsvereinbarung normierten Umfang (§§ 2, 3 Duldungs-BV). Allerdings berechtigte auch die Duldungs-BV nicht dazu, Daten, die nicht in der Anlage 2 genannt sind, zu verarbeiten (betrifft insb. Jahresgehalt, Monatsgehalt, den Umfang leistungsabhängiger Vergütung, die private Wohnanschrift des Klägers, dessen Geburtsdatum, Alter, Familienstand, die Sozialversicherungsnummer und die Steuer-ID des Klägers). Diese Daten wiederum durfte die Beklagte aber - unstreitig - außerhalb der Plattform Workday, insb. in SAP zu anderen Zwecken verarbeiten, da die Verarbeitung dieser Daten nach § 26 Abs. 1 BDSG zur Durchführung des Beschäftigungsverhältnisses erforderlich ist. Einen „erlittenen“ Schaden, der allein auf der überschießenden Datenverarbeitung in Workday oder für (Test-)Zwecke von Workday - bei gleichzeitig rechtmäßiger Datenverarbeitung in SAP zu anderen Zwecken - fußt, macht der Kläger nicht geltend und ein solcher „Schaden“ ist auch nicht ersichtlich (die Duldungs-BV schließt insb. eine Nutzung/Verwertung der zu Testzwecken verarbeiteten Daten für Zwecke der Durchführung des Arbeitsverhältnisses gerade aus), vielmehr liegt insoweit nur ein Verordnungsverstoß ohne zuordenbaren Schaden vor. Eine Nutzung der überschießend gespeicherten Daten für andere als die normierten Testzwecke gem. Duldungs-BV ist nicht ersichtlich. Allein der Umstand, dass Jahresgehalt, Monatsgehalt, den Umfang leistungsabhängiger Vergütung, die private Wohnanschrift des Klägers, dessen Geburtsdatum, Alter, Familienstand, die Sozialversicherungsnummer und die Steuer-ID des Klägers auch in Workday gespeichert und zu Testzwecken verarbeitet wurden, löst nach Auffassung der Kammer keinen Schaden aus. Auch der Kläger behauptet einen solchen nicht. Die Speicherung der Daten in Workday bei der Konzernmutter stellt keinen Datenabfluss dar, sondern erfolgte auf der Grundlage einer rechtmäßigen Auftragsverarbeitung nach Art. 28 DSGVO. Auch wenn die Daten in Workday überschießend im Rahmen einer Auftragsdatenverarbeitung verarbeitet wurden, so hat die Beklagte doch alle Erfordernisse der DSGVO eingehalten, die Sicherheit der Daten bei der Konzernmutter sicherzustellen. Soweit der Kläger darüber spekuliert, dass es die Daten unbefugt nach Speicherung in Workday hätten verwendet werden könnten, fehlt es an jedem tatsächlichen Anhaltspunkt hierfür, vor allem aber an einem zuordenbaren Verordnungsverstoß („wegen“). Vielmehr ergibt sich aus den vertraglichen Garantien iSv. Art. 28 DSGVO, die es auch einschließen, dass sämtliche Konzernunternehmen die Bestimmungen des GDPA einzuhalten haben (insb. auch: D. Corporation Global Data Protection Agreement Protocol and Power of Attorney) und damit auch der Ausschluss von Missbrauch durch Konzerngesellschaften. Jedenfalls hat die Beklagte sich verordnungskonform verhalten, um jedweden Missbrauch auszuschließen. In diesem Zusammenhang ist auch ein Kontrollverlust nicht ersichtlich, da die mit der Konzernmutter getroffenen Vereinbarungen gerade sicherstellen, dass dem Kläger alle Rechte, die er gegenüber der Beklagten hat, auch im Rahmen der Auftragsverarbeitung zustehen. Der Kläger konnte daher seine Daten insb. auch löschen lassen, was die Beklagte auch tatsächlich im Verlaufe des Rechtsstreits bzgl. der nach der BV Workday in Workday nicht zu speichernden Daten - trotz Auftragsverarbeitung - veranlasst hat. Der Kläger macht einen verordnungswidrigen Zustand mit Abschluss der BV Workday und BV IT auch nicht geltend; mit anderen Worten: der Kläger war tatsächlich in der Lage, seine überschießend übermittelten Daten löschen zu lassen und konnte sie insoweit kontrollieren. Dabei kann auch nicht davon ausgegangen werden, der tatsächliche Verordnungsverstoß (im Verhältnis zur Duldungs-BV überschießende Datenspeicherung in Workday) habe den gesamten Datenverarbeitungsvorgang „infiziert“, so dass die Beklagte für jeden Schaden in Anspruch genommen werden könnte. Dergleichen könnte allenfalls dann angenommen werden, wenn jede Datenverarbeitung von personenbezogenen Daten des Klägers in Workday verordnungswidrig gewesen wäre. Infolge der Regelungen der Duldungs-BV durfte die Beklagte allerdings diejenigen Datenkategorien der Anlage 2 und damit auch die entsprechenden personenbezogenen Daten des Klägers verarbeiten. Es verbleibt damit dabei, dass die gegenüber der Anlage 2 der Duldungs-BV überschießende Datenverarbeitung von ansonsten rechtmäßig verarbeiteten Daten zu anderen (Test-)Zwecken beim Kläger keinen Schaden ausgelöst hat, der einem der Beklagten zurechenbaren Verordnungsverstoß zugeordnet werden könnte. Bloße Befürchtungen, ein Schaden könnte eintreten, stellen keinen Schaden dar.
(4) Ob dem Kläger ein Schadensersatz nach Art. 82 DSGVO deshalb zusteht, weil die Beklagte ggf. gegen Bestimmungen der DSGVO bei der Auskunftserteilung verstoßen hat (vgl. dazu etwa: ArbG Neumünster 11. August 2020 - 1 Ca 247 c/20 - Rn. 36 ff., ReckRS 2020, 29998; ArbG Düsseldorf 5. März 2020 - 9 Ca 6557/18 - Rn. 94 ff., NZA-RR 2020, 409), hatte die Berufungskammer nicht zu entscheiden.
Der BGH hat entschieden, dass kein Anspruch auf Geldentschädigung aus Art. 82 Abs. 1 DSGVO für Datenverarbeitungen zu journalistischen Zwecken für Verstöße gegen Art. 6 und Art. 7 DSGVO besteht.
Aus den Entscheidungsgründen:
Der Antrag der Klägerin, ihr Prozesskostenhilfe für das Verfahren der Revision gegen das Urteil des 15. Zivilsenats des Oberlandesgerichts Köln vom 26. März 2020 zu bewilligen, wird abgelehnt, da die beabsichtigte Rechtsverfolgung keine hinreichende Aussicht auf Erfolg hat (§ 114 Abs. 1 Satz 1 ZPO).
Die Voraussetzungen für die Zulassung der Revision liegen nicht (mehr) vor und die Revision hat keine Aussicht auf Erfolg (§ 552a Satz 1 ZPO).
Ein Anspruch aus Art. 82 Abs. 1 DSGVO kann im vorliegenden Zusammenhang schon deshalb nicht bestehen, weil aufgrund der Öffnungsklausel des Art. 85 DSGVO Datenverarbeitungen zu journalistischen Zwecken von den die Rechtmäßigkeit der Datenverarbeitung betreffenden Vorschriften in Art. 6 und Art. 7 DSGVO durch nationale Regelungen ausgenommen worden sind (vgl. Senat, Urteile vom 7. Juli 2020 - VI ZR 250/19, juris Rn. 10; vom 29. September 2020 - VI ZR 445/19, juris Rn. 14).
Die Voraussetzungen einer Geldentschädigung wegen Rechtsverletzung durch Bildberichterstattung bedürfen im vorliegenden Zusammenhang keiner Klärung (vgl. dazu Senat, Urteile vom 24. Mai 2016 - VI ZR 496/15, NJW-RR 2016, 1136 Rn. 9; vom 5. Oktober 2004 - VI ZR 255/03, BGHZ 160, 298, juris Rn. 13 f., 24; BVerfG[K], Beschlüsse vom 2. April 2017 - 1 BvR 2194/15, NJW-RR 2017, 879 Rn. 10, 12; vom 23. September 2009 - 1 BvR 1681/09 u.a., juris Rn. 2; jeweils mwN).
Durch die erste Bildberichterstattung erfolgte bereits keine Rechtsverletzung (Senat, Urteile vom 29. September 2020 - VI ZR 445/19 und VI ZR 449/19, juris). Durch die zweite Bildberichterstattung erfolgte - falls sie überhaupt unzulässig sein sollte - jedenfalls keine schwerwiegende, eine Geldentschädigung rechtfertigende Rechtsverletzung, da die erstmalige Bildveröffentlichung rechtmäßig war und die im Zusammenhang mit der zweiten Bildveröffentlichung geäußerte Auffassung der Beklagten, die erstmalige Bildveröffentlichung sei zulässig, zutrifft. Unerheblich ist daher der Umstand, dass wegen der zweiten Bildberichterstattung auf Antrag der Klägerin ein Zwangsgeld gegen die Beklagte festgesetzt wurde (siehe dazu OLG Frankfurt, Beschluss vom 29. Januar 2019 - 16 W 4/19, juris; BVerfG[K], Beschluss vom 18. Dezember 2019 - 1 BvR 957/19, juris).
