BECKMANN UND NORDA - Rechtsanwälte Bielefeld

OLG Düsseldorf
09.10.2025
2 U 63/24

Das OLG Düsseldorf hat enstchieden, dass auch éin Prokurist im Einzelfall für Patentverletzungen des Unternehmens persönlich auf Unterlassung, Schadensersatz, Auskunft und Rechnungslegung haften kann.

Aus den Entscheidungsgründen:
Die Beklagte zu 2) wendet sich mit ihrer Berufung allein gegen die Annahme des Landgerichts, dass neben der Beklagten zu 1) auch sie als für die Patentverletzung mitverantwortliche Person für die geltend gemachten Ansprüche passivlegitimiert sei. Hiermit vermag sie indes nicht durchzudringen. Denn das Landgericht hat zu Recht entschieden, dass der Klägerin auch gegen die Beklagte zu 2) die zugesprochenen Ansprüche auf Unterlassung, Auskunftserteilung, Rechnungslegung, Erstattung von Abmahnkosten und Feststellung der Verpflichtung zum Schadensersatz gemäß Art. 64 EPÜ i.V.m. §§ 139 Abs. 1, Abs. 2, 140b Abs. 1 und 3 PatG i.V.m. §§ 242, 259 BGB zustehen.

1. Zutreffend ist das Landgericht davon ausgegangen, dass (Patent-) Verletzer im Sinne der §§ 139 ff. PatG derjenige ist, der die patentierte Erfindung in eigener Person im Sinne des § 9 PatG unmittelbar benutzt oder der als Teilnehmer i.S. des § 830 Abs. 2 BGB eine fremde unmittelbare Benutzung i.S. des § 9 PatG ermöglicht oder fördert (BGH, GRUR 2009, 1142, 1144 – MP3-Player-Import). Patentverletzer ist mithin jeder Alleintäter, Mittäter, Nebentäter, Gehilfe oder Anstifter (Kühnen, Hdb. d. Patentverletzung, 16. Aufl. 2024, Abschn. D Rn. 406; Mes/Mes, 6. Aufl. 2024, PatG § 9 Rn. 146). Nichts anderes gilt für die Benutzungsart der mittelbaren Patentverletzung gemäß § 10 PatG, auf die das Landgericht seine Verurteilung gestützt hat.

2. Bei Patentverletzungen durch ein Unternehmen können Ansprüche nicht nur gegen das Unternehmen selbst, sondern auch gegen seine verantwortlichen Mitglieder gegeben sein. So haften die gesetzlichen Vertreter bzw. vertretungsberechtigten Gesellschafter eines Unternehmens selbst auf Unterlassung und – als Gesamtschuldner mit der juristischen Person oder der Gesellschaft – auf Schadensersatz (BeckOK PatR/Pitz, 37. Ed. 01.08.2025, PatG § 139 Rn. 31; Benkard PatG/Grabinski/Zülch/Tochtermann, 12. Aufl. 2023, PatG § 139 Rn. 23; Mes/Mes, 6. Aufl. 2024, PatG § 139 Rn. 70 u. 138).

Nach zutreffender und vom Senat geteilter Ansicht haften im Einzelfall – unabhängig von ihrer (formalen) Organstellung – außerdem Angestellte in leitender Funktion vollumfänglich für Patentverletzungen auf Unterlassung, Auskunftserteilung, Rechnungslegung und Schadensersatz (Kühnen, Hdb. d. Patentverletzung, 16. Aufl. 2024, Abschn. D Rn. 471: vgl. auch Benkard PatG/Grabinski/Zülch/Tochtermann, 12. Aufl. 2023, PatG § 139 Rn. 26). Dabei kommt es nicht darauf an, ob der Mitarbeiter ein leitender Angestellter im arbeitsrechtlichen Sinne ist, was eine Personalkompetenz im Sinne einer Berechtigung zur selbständigen Einstellung oder Entlassung von Arbeitnehmern voraussetzen würde (vgl. § 5 Abs. 3 S. 2 Nr. 1 BetrVG, § 14 Abs. 2 S. 1 KSchG). Für die Haftung als Täter bzw. Mittäter einer Patentverletzung ist es vielmehr entscheidend, ob sich die Patentverletzung als vom leitenden Angestellten im Rahmen seines Zuständigkeitsbereichs beherrschte eigene Entscheidung darstellt. Ist dies nicht der Fall, weil die in Anspruch genommene Person als bloße Hilfsperson ohne eigene Tatherrschaft gehandelt hat und ihr die verletzende Handlung daher in sozialtypischer Hinsicht nicht als eigene zugerechnet werden kann, scheidet eine Haftung wegen Patentverletzung hingegen aus (Kühnen, Hdb. d. Patentverletzung, 16. Aufl. 2024, Abschn. D Rn. 406; Haedicke/Timmann PatR-HdB/Haedicke/Timmann, 2. Aufl. 2020, § 14. Rn. 27; zur Urheberrechtsverletzung: BGH, GRUR 2016, 493 Rn. 20 – Al Di Meola).

3. Ausgehend von diesen Grundsätzen hat das Landgericht im Ergebnis eine Haftung der Beklagten zu 2) zu Recht bejaht. Denn unabhängig davon, zu welchem Zeitpunkt die Beklagte zu 2) als Geschäftsführerin abberufen worden ist, war sie weiterhin in zentraler Position für die Beklagte zu 1) tätig und für das Angebot der angegriffenen Ausführungsform auf der Handelsplattform XXX.de mitverantwortlich. Hieraus folgt eine eigene (mit)täterschaftliche Verantwortung der Beklagten zu 2) gemäß § 830 Abs. 1 S. 1 BGB.

a) Es steht außer Streit, dass die Beklagte zu 2) 49 % der Gesellschaftsanteile der Beklagten zu 1) hält und die einzige Prokuristin der Beklagten zu 1) ist, deren Geschäftsführer ihr Ehemann ist. Schon die Stellung als Gesellschafterin und Prokuristin macht deutlich, dass es sich bei der Beklagten zu 2) um keine Arbeitnehmerin mit nur untergeordneter Stellung handelt. Dies zeigt sich auch an der Tatsache, dass sie zuvor die Beklagte zu 1) als Geschäftsführerin geleitet hat und sich ihre private E-Mail-Adresse im polnischen Handelsregister als Kontaktmöglichkeit findet.

Allein diese Umstände legen bereits nahe, dass der Beklagten zu 2) zum Zeitpunkt der Angebotshandlungen eine leitende Stellung bei der Beklagten zu 1) zukam. Dass dies auch tatsächlich der Fall war, zeigt das Tätigwerden der Beklagten zu 2) im Zusammenhang mit der Abmahnung durch die Klägerin wegen der Veräußerung der angegriffenen Ausführungsform auf XXX.de. Hierzu im Einzelnen:

(1) Die Beklagte zu 2) stellt nicht in Abrede, dass sie – wie aus dem von der Klägerin in der Klageschrift (S. 9, Bl. 11 eA LG) dargelegten und nachfolgend eingeblendeten Screenshot ersichtlich – auf der Handelsplattform XXX.de als Unternehmensvertreter genannt wurde.


Abbildung entfernt.

Diesbezüglich hat bereits das Landgericht zu Recht darauf hingewiesen, dass die Beklagte zu 2) durch diese Angabe den Eindruck vermittelt hat, für die dort angebotenen Produkte der verantwortliche Ansprechpartner zu sein. Insbesondere war die Angabe nicht, wie die Beklagte zu 2) meint, nach ihrer Abberufung auf den ersten Blick ersichtlich fehlerhaft, sondern hierfür bedurfte es weiterer Nachforschungen im polnischen Handelsregister. Gleichwohl kann diese Angabe nur ein Indiz dafür darstellen, dass die Beklagte zu 2) an maßgeblicher Position bei der Beklagten zu 1) für das Angebot der angegriffenen Ausführungsform bei XXX.de (mit)verantwortlich war. Denn die Richtigkeit dieser Annahme vermag eine bloße Angabe in einem Impressum nicht zu belegen, zumal aufgrund der Abberufung der Beklagten zu 2) als Geschäftsführerin jedenfalls nicht ausgeschlossen werden kann, dass es sich um eine veraltete Angabe zur Geschäftsführung der Beklagten zu 1) handelte.

(2) Allerdings stützt das Tätigwerden der Beklagten zu 2) in Reaktion auf die Abmahnung die Behauptung der Klägerin, dass die Beklagte zu 2) an maßgeblicher Stelle bei der Beklagten zu 1) für das Angebot bei XXX.de (mit)verantwortlich war.

Die Klägerin hat die Beklagte zu 1) mit rechtsanwaltlichem Schreiben vom 29.11.2022 (Anlage K 4) abgemahnt und zur Abgabe einer strafbewehrten Unterlassungserklärung aufgefordert. Dieses Schreiben wurde an die E-Mail-Adresse XXX.XXX@gXXXl.com übersandt, die im polnischen Handelsregister als Kontaktadresse der Beklagten zu 1) angegeben ist (vgl. Anlage B 1, Bl. 3 Anlagenordner_Beklagtenvertreter eA LG) und bei der es sich um die private E-Mail-Adresse der Beklagten zu 2) handelt. Auf dieses Abmahnschreiben antwortete die Beklagte zu 2) am 21.12.2022 wie folgt (vgl. Anlage B 10):

„Dear Sir,

Our product is not for X 3. Please read below the reviews of some people they bought the product by error. The image you set is very ancient – the diameter of the cardboard have been changed and it is not compatible with your product. Each foil can break your patent but our foil not as you can see below.

I am not the X 5 anymore – For any informations please write an e-mail at: XX@XXX.XX

best regards

XXX XXX

some reviews about“

[…]

Entgegen der Ansicht der Beklagten zu 2) belegt diese Antwort gerade nicht, dass sie für die Angelegenheit nicht zuständig war. Das Gegenteil ist der Fall. So stellt die Beklagte zu 2) nach der Anrede unmittelbar eine Patentverletzung durch die angegriffene Ausführungsform in Abrede, indem sie unter Bezugnahme auf Kundenrezensionen und einen geänderten Durchmesser darauf verweist, dass diese nicht mit (einer Kassette der Marke) X 3 kompatibel sei. Weder erfolgt ein Hinweis, dass sich die Klägerin an einen unzuständigen Ansprechpartner gewandt habe, noch lässt sich der E-Mail entnehmen, dass die Beklagte zu 2) die Antwort inhaltlich nicht zu verantworten hat. Allein der am Ende der E-Mail zu findende Hinweis, dass sie nicht mehr die Geschäftsführerin der Beklagten zu 1) sei und der Verweis auf die E-Mail-Adresse XXX@XXX-XXX.com beinhaltet nicht die Erklärung, für die Abmahnung organisatorisch unzuständig zu sein. Vielmehr vermittelt die E-Mail den Eindruck, dass die Beklagte zu 2) als zuständige Ansprechpartnerin für das Angebot bei XXX.de im Rahmen ihrer Verantwortlichkeit den Vorwurf einer Patentverletzung zurückweist und allein am Ende klarstellt, dass sie inzwischen nicht mehr Geschäftsführerin ist.

b) Bei der Gesamtbetrachtung der dargelegten Umstände hat der Senat keine berechtigten Zweifel, dass die Beklagte zu 2) in leitender Funktion das Angebot der angegriffenen Ausführungsform durch die Beklagte zu 1) (mit)verantwortet hat. Nicht nur kam ihr aufgrund ihrer Stellung als ehemalige Geschäftsführerin, Prokuristin und Gesellschafterin ohnehin eine herausragende Stellung zu, die mit der einer „regulären“ – mit Buchhaltungs- und Verwaltungsaufgaben betrauten – Arbeitnehmerin nicht zu vergleichen ist. Insbesondere war gerade sie es, die vorgerichtlich den Vorwurf der Patentverletzung durch das Angebot auf XXX.de, wo sie als Unternehmensvertreterin genannt war, zurückwies, ohne sich in erkennbarer Form von einer Zuständigkeit zu distanzieren. Mit der von der Beklagten zu 2) behaupteten „einfachen Bürotätigkeit“ hat diese Reaktion auf eine durch eine internationale Rechtsanwaltskanzlei erhobene Abmahnung, die eine inhaltliche Auseinandersetzung mit dem Vorwurf der Patentverletzung beinhaltete, nichts zu tun.

Hieran ändert auch der Inhalt des als Anlage B 11 vorgelegten Arbeitsvertrags nichts, da es allein darauf ankommt, wie das Anstellungsverhältnis tatsächlich gelebt wurde. Die erstinstanzlich mit nachgelassenem Schriftsatz vom 04.06.2024 vorgelegte undatierte Erklärung des Buchhaltungsbüros X 5 (Anlage B 12) und die Bestätigung des Geschäftsführers der Beklagten zu 1) vom 04.06.2024 (Anlage B 13) können – unabhängig davon, dass sie entgegen § 420 ZPO nicht im Original vorgelegt wurden und es daher an einem tauglichen Beweisantritt fehlt – als Privaturkunden nicht die Richtigkeit ihres Inhalts belegen, sondern allenfalls die Abgabe entsprechender Erklärungen. Ihr daher allenfalls als Indiz zu berücksichtigender Inhalt vermag angesichts der dargelegten tatsächlichen Umstände die Überzeugung des Senats, wie sich die Tätigkeit der Beklagten zu 2) in tatsächliche Hinsicht ausgestaltete, nicht zu erschüttern.

Soweit die Beklagte zu 2) einwendet, dass sie keine Verantwortung für die betriebliche Organisation gehabt habe, so verfängt dies ebenfalls nicht. Denn es geht vorliegend nicht darum, dass die Beklagte zu 2) – wie ein Geschäftsführer – auf Unterlassung haftet, weil ihr eine Garantenstellung zukam, die sie dazu verpflichtet hätte, den Betrieb so einzurichten, dass eine Verletzung technischer Schutzrechte Dritte verhindert wird (vgl. hierzu BGH, GRUR 2016, 257 Rn. 107 ff. – Glasfasern II). Vielmehr war die Beklagte zu 2) an der patentverletzenden Angebotshandlung im Sinne von § 10 PatG im arbeitsteiligen Zusammenwirken mit der Beklagten zu 1) durch positives Tun beteiligt.

Auch an der für die Annahme einer Mittäterschaft zu verlangenden vorsätzlichen gemeinschaftlichen Tatbegehung im Sinne eines bewussten und gewollten Zusammenwirkens (vgl. Senat, Urt. v. 11.06.2015 – I-2 U 64/14, GRUR-RS 2015, 18679 Rn. 61; zum Recht des unlauteren Wettbewerbs: BGH, GRUR 2012, 1279, 1283 m.w.N. – DAS GROSSE RÄTSELHEFT), die die Beklagte zu 2) in Abrede stellt, können angesichts der Stellung der Beklagten zu 2) bei der Beklagten zu 1) keine Zweifel bestehen. Das Anbieten der angegriffenen Ausführungsform im Namen der Beklagten zu 1) auf XXX.de erfolgte einverständlich und in beiderseitiger Kenntnis. Als Mitgesellschafterin der Beklagten zu 1) hatte die Beklagte zu 2) zudem ein erhebliches eigenes (Mit‑) Interesse am Taterfolg, was dafür spricht, dass sie nicht nur als Teilnehmer (§ 830 Abs. 2 BGB) zu behandeln ist.

Die Beklagte zu 2) handelte weiterhin zumindest fahrlässig, so dass das für den Schadensersatzanspruch notwendige Verschulden zu bejahen ist. Denn der Verletzungssachverhalt indiziert das Verschulden, sofern der Verletzer keine außergewöhnlichen Umstände darlegen kann, die ihn ausnahmsweise von der Verschuldenshaftung befreien (vgl. Kühnen, Hdb. d. Patentverletzung, 16. Aufl. 2024, Abschn. D Rn. 767). Solche Umstände sind vorliegend indes weder vorgetragen noch ersichtlich. Insbesondere handelte es sich bei der Beklagten zu 2) gerade nicht nur um eine bloße Hilfsperson.

4. Die Klägerin hat daher auch gegen die Beklagte zu 2) Ansprüche auf Unterlassung, Auskunftserteilung, Rechnungslegung und Schadensersatz. Soweit die Beklagte gegen den geltend gemachten Anspruch auf Auskunft und Rechnungslegung einwendet, dass ihr dieser infolge ihrer Abberufung als Geschäftsführerin der Beklagten zu 1) nicht mehr möglich sei, überzeugt dies nicht. Es ist nicht nachvollziehbar vorgetragen, warum sie – als Prokuristin der Beklagten zu 1) – keinen Zugang zu den erforderlichen Informationen haben sollte bzw. warum ihr diese auf Anfrage nicht zur Verfügung gestellt werden sollten.

Den Volltext der Entscheidung finden Sie hier:

VG Düsseldorf
Beschluss vom 05.09.2025
29 K 6375/25

Das VG Düsseldorf hat entschieden, dass die Auskunfterteilung nach Art. 15 DSGVO nicht binnen der Monatsfrist gemäß Art. 12 Abs. 3 DSGVO erfolgen muss. Vielmehr reicht eine Statusmeldung.

Aus den Entscheidungsgründen:
Nach § 161 Abs. 2 Satz 1 VwGO hat das Gericht bei Erledigung der Hauptsache nach billigem Ermessen unter Berücksichtigung des bisherigen Sach- und Streitstands über die Kosten des Verfahrens zu entscheiden. Vorliegend entspricht es der Billigkeit, die Kosten des Verfahrens dem Kläger aufzuerlegen. Die Kostenregelung in § 161 Abs. 3 VwGO kommt dem Kläger nicht zugute, weil er nicht mit seiner Bescheidung vor Klageerhebung rechnen durfte. Der Kläger hat die Untätigkeitsklage verfrüht, d. h. vor Ablauf der dreimonatigen Sperrfrist des § 75 Satz 2 VwGO erhoben.

Nach § 75 Satz 2 VwGO kann die Klage im Regelfall nicht vor Ablauf von drei Monaten seit dem Antrag auf Vornahme des Verwaltungsakts erhoben werden. Diese Frist war zum Zeitpunkt der Klageerhebung am 23. Juni 2025 noch nicht abgelaufen. Der Antrag auf Erteilung der datenschutzrechtlichen Auskunft nach Art. 15 DSGVO datiert vom 16. Mai 2025.

Es lagen auch keine besonderen Umstände des Falles vor, die eine kürzere Frist als die Regelfrist von drei Monaten geboten hätten. § 75 Satz 2 VwGO ist Ausdruck des Gebots effektiven Rechtsschutzes. Besondere Umstände, die eine frühzeitige Entscheidung der Behörde als geboten erscheinen lassen können, liegen insbesondere vor, wenn dem Kläger das Abwarten der Dreimonatsfrist schwere und unverhältnismäßige Nachteile zufügen würde. Solche Nachteile macht der Kläger nicht geltend.

Soweit auch spezialgesetzliche Fristen "besondere Umstände" im Sinne von § 75 Satz 2 VwGO sein können,

vgl. BVerwG, Urteil vom 22. März 2018 – 7C 21/16 –, juris Rn. 12, m.w.N.,

kann dahinstehen, ob Art. 12 Abs. 3 Satz 1 DSGVO eine solche spezialgesetzliche kürzere Bearbeitungsfrist darstellt. Denn die Beklagte ist der aus Art. 12 Abs. 3 Satz 1 DSGVO folgenden Pflicht zur Unterrichtung des Klägers über die ergriffenen Maßnahmen zur Befriedigung seines Auskunftsantrags innerhalb der Monatsfrist nachgekommen.

Gemäß Art. 12 Abs. 3 Satz 1 DSGVO stellt der Verantwortliche der betroffenen Person Informationen über die auf Antrag gemäß den Artikeln 15 bis 22 ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung. Die Frist in Art. 12 Abs. 3 Satz 1 DSGVO bezieht sich lediglich auf die Statusmeldung über die auf Antrag ergriffenen Maßnahmen. Nicht normiert ist dadurch eine Frist zur Erfüllung der in Art. 15-22 DSGVO verankerten Rechte bzw. Ansprüche der betroffenen Person.

So: Franck, in: Gola/Heckmann, Datenschutz-Grundverordnung – Bundesdatenschutzgesetz, 3. Aufl. 2022, Art. 12 DSGVO, Rn. 28; Quaas, in: BeckOK Datenschutzrecht, Wolff/Ring/v. Ungern-Sternberg, 52. Edition, Stand 01.05.2025, Art. 12 DSGVO, Rn. 35; Paal/Hennemann, in: Paal/Pauli, DSGVO-BDSG, 3. Aufl. 2021, Art. 12 DSGVO, Rn. 52; Heckmann/Paschke, in: Ehmann/Selmayr, DSGVO, 3. Aufl. 2024, Art. 12 DSGVO, Rn. 31; OLG Stuttgart, Urteil vom 31. März 2021 – 9 U 34/21–, BeckRS 2021,6282, Rn. 29; a.A. Bäcker, in: Kühling/Buchner, DSGVO-BDSG, 4. Aufl. 2024, Art. 12 Rn. 32.

Dafür, dass es sich nicht um eine Erledigungsfrist handelt, sondern allein die Statusmeldung unverzüglich erfolgen muss, spricht bereits der Wortlaut der Norm, wonach nur die Informationen „über die auf Antrag (…) ergriffenen Maßnahmen“ jedenfalls innerhalb eines Monats zur Verfügung gestellt werden müssen. Noch deutlicher kommt dies in der englischen Fassung der Norm „…provide information on action taken“ zum Ausdruck. Demgemäß heißt es im Erwägungsgrund 59 bezogen auf die Modalitäten, die einer betroffenen Person die Ausübung ihrer Rechte erleichtern, lediglich, der Verantwortliche solle verpflichtet werden, den Antrag der betroffenen Person spätestens innerhalb eines Monats zu beantworten.

In Art. 12 Abs. 3 Satz 1 DSGVO heißt es gerade nicht, dass die begehrten Informationen innerhalb der Frist zur Verfügung zu stellen sind. Der EU-Gesetzgeber differenziert jedoch ausdrücklich zwischen der Erteilung von Informationen einerseits sowie der Übermittlung von Mitteilungen bzw. Maßnahmen andererseits. So enthält etwa Art. 14 Abs. 3 lit. a DSGVO explizit eine Erledigungsfrist (“ erteilt die Informationen (…) innerhalb eines Monats“). Art. 77 Abs. 2 DSGVO unterscheidet ebenfalls ausdrücklich zwischen der Unterrichtung über den Stand und über die Ergebnisse der Beschwerde. Auch in den Erwägungsgründen ist von der Bereitstellung der Informationen (Erwägungsgrund 60) oder der Pflicht, Informationen zur Verfügung zu stellen (Erwägungsgrund 62) die Rede, wenn es um die Erfüllung des Anspruchs geht.

Der Gesetzeszusammenhang stützt die hier vertretene Auffassung. Bezöge sich die Frist in Art. 12 Abs. 3 Satz 1 DSGVO auch auf die Erfüllung der in Art. 15 bis 22 DSGVO verankerten Rechte bzw. Ansprüche der betroffenen Person, ergäben die Regelungen in Art. 16 und Art. 17 DSGVO, wonach die betroffene Person das Recht hat, von dem Verantwortlichen „unverzüglich“ die Berichtigung bzw. Löschung sie betreffender personenbezogener Daten zu verlangen, keinen Sinn. Einer weiteren Erledidungsfrist für die Berichtigung bzw. Löschung bedürfte es nicht, wenn sich diese bereits aus Art. 12 Abs. 3 Satz 1 DSGVO ergäbe.

Eine Statusmeldung hat die Beklagte dem Kläger fristgerecht erteilt. Sie hat ihm mit Schreiben vom 20. Mai 2025 mitgeteilt, dass sein Schreiben eingegangen sei und sein Anliegen geprüft werde, die Klärung jedoch Zeit in Anspruch nehmen könne. Damit hat die Beklagte nicht nur eine – nicht ausreichende - reine Eingangsbestätigung übersandt,

vgl. dazu: Franck, in: Gola/Heckmann, Datenschutz-Grundverordnung – Bundesdatenschutzgesetz, 3. Aufl. 2022, Art. 12 DSGVO, Rn. 26,

sondern die zur Verwirklichung der Auskunft ergriffenen Maßnahmen beschrieben.

Danach war die Klage unzulässig, weil sie erhoben wurde, ohne dass die Voraussetzungen einer Untätigkeitsklage vorlagen. Die Beklagte hat den Anspruch des Klägers sodann alsbald erfüllt, ohne Anlass zu der verfrühten Untätigkeitsklage gegeben zu haben. Auch nach dem in § 156 VwGO enthaltenen Rechtsgedanken entspricht es in einem solchen Fall der Billigkeit, die Kosten dem Kläger aufzuerlegen.

Die Festsetzung des Streitwerts beruht auf § 52 Abs. 2 GKG.

Den Volltext der Entscheidung finden Sie hier:

LG Koblenz
Beschluss vom 25.08.2025
2 O 1/25

Das LG Koblenz hat entschieden, dass kein Anspruch auf Aukunftserteilung nach § 21 TDDDG gegen Instagram über den Inhaber eines Fakeprofils besteht.

Die Pressemitteilung des Gerichts:
Wer bin ich ?

Kann eine Privatperson vom Betreiber einer Social-Media-Plattfom Auskunft zu den zu einem Profil hinterlegten Daten verlangen, wenn das Profil als Profilbild die Antragstellerin zeigt und deren eigenes Profil auch offensichtlich imitiert? Diese Frage hatte das Landgericht Koblenz jüngst zu entscheiden.

Der Sachverhalt:

Die Antragstellerin begehrt eine gerichtliche Anordnung über die Zulässigkeit der Auskunftserteilung durch die beteiligte Diensteanbieterin gem. § 21 Abs. 3 TDDDG betreffend ein näher benanntes Konto auf der Plattform von www.instagram.com. Die Beteiligte ist die Dienstanbieterin, die unter anderem die Social-Media-Plattform Instagram betreibt.

Die Antragstellerin trägt vor, sie selbst sei Nutzerin eines Kontos auf der Plattform Instagram mit dem Accountnahmen „xxx._.fh“. Anfang 2021 habe sie Kenntnis davon erlangt, dass es auf Instagram ein weiteres Konto mit der Bezeichnung „_xxxe_zt“ gebe, welches als Profilbild ein Foto von der Antragstellerin aus dem Jahr 2019 verwende. Dieses Konto sei optisch und inhaltlich mehrfach an ihre Person angepasst worden, so sei etwa auf diesem Konto ein Hinweis auf ein geplantes Auslandsjahr der Antragstellerin eingestellt worden, welchen sie zuvor auch auf ihrem eigenen Konto eingestellt habe. Es seien auch schon Personen von dem genannten fremden Konto in vermeintlich Namen der Antragstellerin angeschrieben worden. Der Kontoinhaber antworte zudem auch auf Anfragen an das Konto und gebe sich dabei explizit unter Angabe der vollständigen Adresse als die Antragstellerin aus. Bisherige Versuche, die Identität des Kontoinhabers zu ermitteln, seien erfolglos geblieben.

Die Beteiligte sei zur Auskunftserteilung berechtigt und verpflichtet, da es sich bei den Nachrichten und dem Profilbild auf dem Instagram-Account um audiovisuelle Inhalte nach § 21 Abs. 2 TDDDG handele. Der Begriff „audiovisuell“ sei weit auszulegen entsprechend § 1 Abs. 4 Nr. 7 DDG, der audiovisuelle Kommunikation als „Form der Kommunikation mit Bildern mit oder ohne Ton“ definiere.

Die Antragstellerin beantragt, der Beteiligten zu erlauben und diese zu verpflichten, Ihr Auskunft über Name und E-Mail-Adresse des Nutzers, soweit vorhanden auch dessen Telefonnummer zu dem auf der Plattform www.instagram.com betriebenen Nutzerkonto„_xxxe_zt“ zu erteilen

Die Beteiligte hat sich gegen den Antrag ausgesprochen. Diese hat sich gegen den Antrag ausgesprochen. Sie ist der Ansicht, die Voraussetzungen für eine Auskunftserteilung seien nicht hinreichend dargelegt worden. Bei dem Erstellen eines Instagram-Kontos oder dem Versenden von Textnachrichten handele es sich nicht um audiovisuelle Inhalte i.S.d. § 21 Abs. 2 TDDDG.

Die Entscheidung:

Das Landgericht hat den Antrag abgelehnt.

Die Voraussetzungen einer gerichtlichen Anordnung nach § 21 Abs. 2, 3 TDDDG sind nicht erfüllt. Nach § 21 Abs. 3 TDDDG entscheidet auf Antrag das Gericht über die Zulässigkeit einer Auskunftserteilung durch den Anbieter digitaler Dienste und zugleich über die Verpflichtung zur Auskunftserteilung. Inhaltlich richtet sich die Zulässigkeit wie auch die Verpflichtung nach Abs. 2 dieser Vorschrift. Danach darf der Anbieter von digitalen Diensten im Einzelfall Auskunft über bei ihm vorhandene Bestandsdaten erteilen, soweit dies zur Durchsetzung zivilrechtlicher Ansprüche wegen der Verletzung absolut geschützter Rechte entweder aufgrund rechtswidriger audiovisueller Inhalte oder aufgrund von Inhalten, die den Tatbestand der §§ 86, 86a, 89a, 91, 100a, 111, 126, 129 bis 129b, 130, 131, 140, 166, 184b, 185 bis 187, 189, 201a, 241 oder 269 des Strafgesetzbuches erfüllen und nicht gerechtfertigt sind, erforderlich ist. In diesem Umfang ist er gegenüber dem Verletzten zur Auskunft verpflichtet.

Im vorliegenden Fall behauptet die Antragstellerin aber gar nicht, dass es um Inhalte gehe, die einen der im Gesetz genannten Straftatbestände erfüllten. Voraussetzung der Zulässigkeit der Auskunftserteilung wie auch der Pflicht zur Auskunftserteilung wäre daher das Vorliegen rechtswidriger audiovisueller Inhalte. Der Begriff der audiovisuellen Inhalte ist im TDDDG nicht definiert. Nach dem allgemeinen Sprachgebrauch meint audiovisuell „zugleich hörbar und sichtbar, Augen und Ohr ansprechend“ (Duden). Auch die Entstehungsgeschichte des § 21 TDDDG in seiner heutigen Form spricht für die Annahme, dass reine Bilder und Textnachrichten nicht als audiovisuelle Inhalte gewertet werden sollten, Nichts neues gelte für die die Neufassung des § 21 Abs.2 TDDDG.

Entgegen der Ansicht der Antragstellerin ist nicht durch die Verwendung eines Fotos zusätzlich zu Textnachrichten ein audiovisueller Inhalt im Sinne des Gesetzes geschaffen worden. Eine Begründung, wieso nur optisch wahrnehmbare Textnachrichten kein audiovisueller Inhalt sein sollen, nur optisch wahrnehmbare Fotos aber doch, ist nicht ersichtlich. Auch der Verweis der Antragstellerin auf § 1 Abs. 4 Nr. 7 DDG überzeugt nicht. Allerdings wird in dieser Vorschrift audiovisuelle Kommunikation definiert als

„jede Form der Kommunikation mit Bildern mit oder ohne Ton, die einer Sendung oder einem nutzergenerierten Video gegen Entgelt oder gegen eine ähnliche Gegenleistung oder als Eigenwerbung beigefügt oder darin enthalten ist, wenn die Kommunikation der unmittelbaren oder mittelbaren Förderung des Absatzes von Waren und Dienstleistungen oder der Förderung des Erscheinungsbilds natürlicher oder juristischer Personen, die einer wirtschaftlichen Tätigkeit nachgehen, dient, einschließlich Sponsoring und Produktplatzierung.“

Zum einen geht es dabei aber explizit um eine „audiovisuelle Kommunikation“, nicht wie in § 21 Abs. 2 TDDDG nur um „audiovisuelle Inhalte“. Zum anderen stellt § 1 Abs. 4 Nr. 7 DDG seinerseits gerade auf „Sendungen oder nutzergenerierte Videos“ ab, enthält also gegenüber § 21 Abs. 2 TDDDG andere Einschränkungen, die ihrerseits wieder reine Fotos oder Textnachrichten ausschließen dürften. Vor allem aber ist nicht ersichtlich, dass der Gesetzgeber bei der Änderung von § 21 Abs. 2 TDDDG eine Auslegung der audiovisuellen Inhalte entsprechend der Definition in § 1 Abs. 4 Nr. 7 DDG und damit eine erhebliche Erweiterung der zuvor bestehenden Auskunftsrechte und -pflichten beabsichtigt hätte. Gerade wegen des damit verbundenen Eingriffs in das Grundrecht auf informationelle Selbstbestimmung aus Art. 2 GG ist aber zu erwarten, dass der Gesetzgeber eine solche Erweiterung nicht ohne nähere Erläuterung quasi nebenher beschließen wollte.

Die Kammer stimmt im Übrigen durchaus dem Vorbringen der Antragstellerin zu, wonach eine § 21 Abs. 2 TDDDG entsprechende Regelung (ohne Begrenzung auf konkret strafbare Inhalte) auch für reine Bilder oder Texte oder reine Audionachrichten sinnvoll wäre, auch um Abgrenzungsschwierigkeiten zu vermeiden, vor allem aber, weil das Auskunftsbedürfnis, wie gerade der vorliegende Fall zeigt, auch bei solchen Inhalten bestehen kann. Diese zu schaffen wäre aber Aufgabe des Gesetzgebers, nicht Aufgabe der Kammer.

Auszug aus dem Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei digitalen Diensten * (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz - TDDDG)

§ 21 Bestandsdaten
(1) Auf Anordnung der zuständigen Stellen dürfen Anbieter von digitalen Diensten im Einzelfall Auskunft über Bestandsdaten erteilen, soweit dies zur Durchsetzung der Rechte am geistigen Eigentum erforderlich ist.
(2) Der Anbieter von digitalen Diensten darf darüber hinaus im Einzelfall Auskunft über bei ihm vorhandene Bestandsdaten erteilen, soweit dies zur Durchsetzung zivilrechtlicher Ansprüche wegen der Verletzung absolut geschützter Rechte aufgrund rechtswidriger audiovisueller Inhalte oder aufgrund von Inhalten, die den Tatbestand der §§ 86, 86a, 89a, 91, 100a, 111, 126, 129 bis 129b, 130, 131, 140, 166, 184b, 185 bis 187, 189, 201a, 241 oder 269 des Strafgesetzbuches erfüllen und nicht gerechtfertigt sind, erforderlich ist. In diesem Umfang ist er gegenüber dem Verletzten zur Auskunft verpflichtet.
(3) Für die Erteilung der Auskunft nach Absatz 2 ist eine vorherige gerichtliche Anordnung über die Zulässigkeit der Auskunftserteilung erforderlich, die vom Verletzten zu beantragen ist. Das Gericht entscheidet zugleich über die Verpflichtung zur Auskunftserteilung, sofern der Antrag nicht ausdrücklich auf die Anordnung der Zulässigkeit der Auskunftserteilung beschränkt ist. Für den Erlass dieser Anordnung ist das Landgericht ohne Rücksicht auf den Streitwert zuständig. Örtlich zuständig ist das Gericht, in dessen Bezirk der Verletzte seinen Wohnsitz, seinen Sitz oder eine Niederlassung hat. Die Entscheidung trifft die Zivilkammer. Für das Verfahren gelten die Vorschriften des Gesetzes über das Verfahren in Familiensachen und in den Angelegenheiten der freiwilligen Gerichtsbarkeit entsprechend. Die Kosten der richterlichen Anordnung trägt der Verletzte. Gegen die Entscheidung des Landgerichts ist die Beschwerde statthaft.

(4) Der Anbieter von digitalen Diensten ist als Beteiligter zu dem Verfahren nach Absatz 3 hinzuzuziehen. Er darf den Nutzer über die Einleitung des Verfahrens unterrichten.

BGH
Urteil vom 13.05.2025
VI ZR 186/22
DSGVO Art. 82 Abs. 1

Der BGH hat entschieden, dass kein Schadensersatzanspruch aus Art. 82 DSGVO bei einem rein hypothetischen Risiko der missbräuchlichen Verwendung personenbezogener Daten durch einen unbefugten Dritten besteht.

Leitsatz des BGH:
Ein rein hypothetisches Risiko der missbräuchlichen Verwendung personenbezogener Daten durch einen unbefugten Dritten kann nicht zu einer Entschädigung gemäß Art. 82 Abs. 1 DSGVO führen.

BGH, Urteil vom 13. Mai 2025 - VI ZR 186/22 - OLG Oldenburg - LG Osnabrück

Aus den Entscheidungsgründen:
bb) Jedenfalls hat der Kläger nicht dargelegt, einen immateriellen Schaden erlitten zu haben.

(1) Der bloße Verstoß gegen die Datenschutzgrundverordnung reicht nicht aus, um einen Schadensersatzanspruch gemäß Art. 82 Abs. 1 DSGVO zu begründen. Denn das Vorliegen eines materiellen oder immateriellen "Schadens" stellt ebenso eine der Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadensersatzanspruch dar, wie das Vorliegen eines Verstoßes gegen die Datenschutzgrundverordnung und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind. Insofern muss die Person, die auf der Grundlage dieser Bestimmung Ersatz eines immateriellen Schadens verlangt, nicht nur den Verstoß gegen Bestimmungen dieser Verordnung nachweisen, sondern auch, dass ihr durch diesen Verstoß ein solcher Schaden entstanden ist. Ein solcher Schaden kann daher nicht allein aufgrund des Eintritts dieses Verstoßes vermutet werden. Insbesondere muss eine Person, die von einem Verstoß gegen die Datenschutzgrundverordnung betroffen ist, der für sie nachteilige Folgen hatte, den Nachweis erbringen, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 Abs. 1 DSGVO darstellen (vgl. EuGH, Urteil vom 4. Oktober 2024 - C-200/23, DB 2024, 2952 Rn. 140 ff.; Senat, Urteil vom 18. November 2024 - VI ZR 10/24, BGHZ 242, 180 Rn. 28 f.; jeweils mwN).


Aus der im ersten Satz des 85. Erwägungsgrundes der Datenschutzgrundverordnung enthaltenen beispielhaften Aufzählung der "Schäden", die den betroffenen Personen entstehen können, geht hervor, dass der Unionsgesetzgeber unter den Begriff "Schaden" insbesondere auch den bloßen "Verlust der Kontrolle" über ihre eigenen Daten infolge eines Verstoßes gegen die Datenschutzgrundverordnung fassen wollte, selbst wenn konkret keine missbräuchliche Verwendung der betreffenden Daten zum Nachteil dieser Personen erfolgt sein sollte (vgl. EuGH, Urteil vom 4. Oktober 2024 - C-200/23, DB 2024, 2952 Rn. 145 mwN).


Nicht nur aus dem Wortlaut von Art. 82 Abs. 1 DSGVO im Licht ihrer Erwägungsgründe 85 und 146, wonach der Begriff "immaterieller Schaden" im Sinne dieses Artikels weit zu verstehen ist, sondern auch aus dem mit der Datenschutzgrundverordnung verfolgten Ziel der Gewährleistung eines hohen Schutzniveaus für natürliche Personen bei der Verarbeitung personenbezogener Daten ergibt sich, dass die durch einen Verstoß gegen die Datenschutzgrundverordnung ausgelöste Befürchtung einer betroffenen Person, ihre personenbezogenen Daten könnten von Dritten missbräuchlich verwendet werden, für sich genommen einen "immateriellen Schaden" im Sinne von Art. 82 Abs. 1 DSGVO darstellen kann (vgl. EuGH, Urteil vom 4. Oktober 2024 - C-200/23, DB 2024, 2952 Rn. 144 mwN).


Wenn sich eine Person, die auf der Grundlage von Art. 82 Abs. 1 DSGVO Schadensersatz fordert, auf die Befürchtung beruft, dass ihre personenbezogenen Daten in Zukunft aufgrund eines solchen Verstoßes missbräuchlich verwendet werden, ist zu prüfen, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann (vgl. EuGH, Urteil vom 4. Oktober 2024 - C-200/23, DB 2024, 2952 Rn. 143 mwN).

Die bloße Behauptung einer Befürchtung ohne nachgewiesene negative Folgen reicht nicht aus (vgl. EuGH, Urteil vom 20. Juni 2024 - C590/22, DB 2024, 1676 Rn. 35). Ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten kann nicht zu einer Entschädigung führen (vgl. EuGH, Urteil vom 25. Januar 2024 - C-687/21, DB 2024, 519 Rn. 68).

Den Volltext der Entscheidung finden Sie hier:

BAG
Beschluss vom 24.06.2025
8 AZR 4/25 (A)

Das BAG hat das vorliegende Verfahren nach § 72 Abs. 5 ArbGG iVm. § 555 Abs. 1 ZPO ausgesetzt bis der EuGH über einen möglichen Schadensersatzanspruch gemäß Art. 82 Abs. 1 DSGVO bei verspäteter oder unvollständiger Auskunft nach Art. 15 DSGVO entschieden hat.

Aus den Entscheidungsgründen:
I. Die Parteien streiten über einen Anspruch des Klägers auf immateriellen Schadenersatz gemäß Art. 82 Abs. 1 DSGVO wegen Verletzung des Auskunftsrechts nach Art. 15 DSGVO. Der Kläger hat sich ua. auf einen ihm entstandenen Schaden durch Einschränkung seiner Rechte aus der Datenschutz-Grundverordnung und einen Kontrollverlust berufen.

II. Die Verhandlung im vorliegenden Verfahren wird gemäß § 72 Abs. 5 ArbGG iVm. § 555 Abs. 1 ZPO und einer entsprechenden Anwendung von § 148 Abs. 1 ZPO bis zu einer Entscheidung des Gerichtshofs der Europäischen Union über das durch den Bundesgerichtshof mit Vorlagebeschluss vom 6. Mai 2025 (- VI ZR 53/23 -) an den Gerichtshof der Europäischen Union gestellte Vorabentscheidungsersuchen (Art. 267 AEUV) ausgesetzt.

1. Der Bundesgerichtshof hat dem Gerichtshof der Europäischen Union mit vorbezeichnetem Beschluss vom 6. Mai 2025 ua. folgende Fragen zur Vorabentscheidung nach Art. 267 AEUV vorgelegt:

„II. [ … ]

2. a) Falls die Datenschutz-Grundverordnung anwendbar ist:
[ … ]
Sind die Regelungen in Art. 82 Abs. 1, Abs. 2 Satz 1 DSGVO dahingehend zu verstehen, dass sie einer betroffenen Person auch wegen Verletzung ihres Auskunftsrechts nach Art. 15 DSGVO einen Anspruch auf Schadensersatz für den wegen einer verspäteten oder unvollständigen Auskunft entstandenen immateriellen Schaden einräumen?


3. Falls Frage 2 a) oder … bejaht wird:
Stellt bereits die mit einer Verletzung der Auskunftspflicht (nach Art. 15 DSGVO bzw. …) einhergehende Ungewissheit des Betroffenen über die Verarbeitung seiner personenbezogenen Daten und die daraus resultierende Hinderung daran, die Rechtmäßigkeit der Datenverarbeitung zu überprüfen und etwaige diesbezügliche Rechte geltend zu machen, einen immateriellen Schaden im Sinne von Art. 82 DSGVO bzw. … dar?“

2. Die Frage zu II 2 a) und – soweit sie sich auf die Auslegung von Art. 82 DSGVO bezieht – die Frage zu II 3 sind auch im vorliegenden Verfahren entscheidungserheblich. Der Senat hält es daher – nach Anhörung der Parteien, die insoweit ihr Einverständnis erklärt haben – für angemessen, die Verhandlung im vorliegenden Revisionsverfahren analog § 148 Abs. 1 ZPO wegen Vorgreiflichkeit der im Vorlageersuchen des Bundesgerichtshofs (- VI ZR 53/23 -) gestellten Fragen zu II 2 a) und zu II 3 bis zu einer Entscheidung des Gerichtshofs der Europäischen Union auszusetzen (zur Zulässigkeit dieser Vorgehensweise: vgl. BAG 7. September 2021 – 9 AZR 3/21 (A) – Rn. 41 ff.; 28. Juli 2021 – 10 AZR 397/20 (A) – Rn. 14 ff. mwN, BAGE 175, 296; BGH 21. Februar 2023 – VI ZR 330/21 – Rn. 9 mwN).

Den Volltext der Entscheidung finden Sie hier:

LAG Düsseldorf
Beschluss vom 29.06.2025
3 Ta 60/25

Das LAG Düsseldorf hat entschieden, dass Rechtsstreitigkeiten um Auskunft und Schadensersatz nach der DSGVO eines Bewerbers für eine arbeitsvertragliche Anstellung der Arbeitsgerichtsbarkeit unterfallen.

Aus den Entscheidungsgründen:
Bei unterstellter Zuständigkeit der staatlichen Gerichtsbarkeit ist innerhalb derselben die Arbeitsgerichtsbarkeit für die Auskunfts- und Schadensersatzklage nach Art. 15 und 82 Abs. 1 DSGVO des Klägers als ehemaligen Bewerbers um eine arbeitsvertragliche Anstellung bei der Beklagten zuständig. Das folgt, wie insoweit auch das Arbeitsgericht bereits völlig zutreffend erkannt und ausgeführt hat, aus § 2 Abs. 1 Nr. 3 lit. c ArbGG.

Nach § 2 Abs. 1 Nr. 3 lit. c ArbGG sind die Arbeitsgerichte zuständig für bürgerliche Rechtsstreitigkeiten zwischen Arbeitnehmern und Arbeitgebern aus Verhandlungen über die Eingehung eines Arbeitsverhältnisses.

Richtet sich das Auskunfts- und Schadensersatzbegehren wie hier gegen einen potentiellen Arbeitgeber wegen im Rahmen eines Bewerbungsverfahrens um eine Anstellung als Arbeitnehmer erfolgter Datenverarbeitung, liegt eine bürgerliche Rechtsstreitigkeit vor. Diese resultiert aus Verhandlungen über die Eingehung eines Arbeitsverhältnisses und Streitparteien sind mit dem Bewerber und dem die Stelle ausschreibenden, seinerzeit potentiellen Arbeitgeber dann auch Arbeitnehmer und Arbeitgeber im Sinne des § 2 Abs. 1 Nr. 3 lit. c ArbGG. Denn diese zuständigkeitsbegründende Norm ist wie alle in § 2 ArbGG aufgeführten, zuständigkeitsbegründenden Tatbestände in dem Sinne weit auszulegen, dass alle ein Arbeitsverhältnis betreffenden Streitigkeiten – von der Phase der Bewerbung und den hieraus resultierenden vertragsähnlichen oder gesetzlichen Ansprüchen bis zu den nachvertraglichen Ansprüchen – der Fachgerichtsbarkeit der Arbeitsgerichte zugewiesen werden sollen (vgl. LAG Berlin-Brandenburg vom 21.12.2018 – 21 Ta 1552/18, juris, Rz. 18; GMP/Schlewing/Dickerhof-Borello, ArbGG, 10. Auflage, § 2 Rn. 70; GK-ArbGG/Schütz, EL 136 - Dezember 2022, § 2 Rn. 8 m.w.N.). Erfasst werden mit § 2 Abs. 1 Nr. 3 lit. c ArbGG sämtliche Streitigkeiten im Zusammenhang mit einem Bewerbungsverfahren um eine arbeitsvertragliche Anstellung, unabhängig davon, ob das Bewerbungsverfahren erfolgreich oder ohne Erfolg verlaufen ist (Walker in Schwab/Weth, ArbGG, 6. Auflage, § 2 Rn. 124; vgl. auch BAG vom 27.08.2008 – 5 AZB 71/08, juris, Rz. 5). Mithin ist auch der erfolglose Bewerber „Arbeitnehmer“ im Sinne der Zuständigkeitsnorm des § 2 Abs. 1 Nr. 3 lit. c ArbGG und der nur zeitweise potentielle Arbeitgeber ist gleichfalls ein solcher im Sinne dieser Norm. Anerkannt ist dementsprechend unter anderem, dass Schadensersatzklagen erfolgloser Bewerber nach § 15 AGG Streitigkeiten nach § 2 Abs. 1 Nr. 3 lit. c ArbGG betreffen (BAG vom 27.08.2008 – 5 AZB 71/08, juris, Rz. 5). Gleiches gilt für Herausgabeklagen bzgl. eingereichter Bewerbungsunterlagen und solche auf Auskunftserteilung über Testergebnisse (vgl. LAG Berlin-Brandenburg vom 21.12.2018 – 21 Ta 1552/18, juris, Rz. 18; Walker in Schwab/Weth, ArbGG, 6. Auflage, § 2 Rn. 124). Nichts anderes hat dann aber konsequenterweise auch für Auskunftsklagen nach Art. 15 DSGVO und Schadensersatzklagen nach Art. 82 Abs. 1 DSGVO eines erfolglosen Bewerbers um eine Anstellung in einem Arbeitsverhältnis im Zusammenhang mit den im Rahmen seines Bewerbungsverfahrens erhobenen und verarbeiteten Daten zu gelten (ebenso im Ergebnis auch bereits ArbG Berlin vom 18.04.2024 – 17 Ca 15093/23, juris, Rz. 11; ArbG Duisburg vom 18.08.2023 – 5 Ca 877/23, juris, Rz. 17 f.).

Den Volltext der Entscheidung finden SIe hier:

LAG Hessen
Beschluss vom 11.03.2025
10 Ta 16/25

Das LAG Hessen hat entscheiden, dass ein Auskunftsanspruch aus Art. 15 DSGVO erfüllt ist, wenn die Auskunftserteilung nach dem erklärten Willen des Auskunftsschuldners vollständig sein soll. Auf die tatsächliche Vollständigkeit oder Richtigkeit kommt es nicht an.

Aus den Entscheidungsgründen:
1. Erfüllt i.S.d. § 362 Abs. 1 BGB ist ein Auskunftsanspruch grundsätzlich dann, wenn die Angaben nach dem erklärten Willen des Schuldners die Auskunft im geschuldeten Gesamtumfang darstellen (vgl. BGH 15. Juni 2021 - VI ZR 576/19 - Rn. 19, NJW 2021, 2726). Wird die Auskunft in dieser Form erteilt, steht ihre etwaige inhaltliche Unrichtigkeit einer Erfüllung nicht entgegen. Der Verdacht, dass die erteilte Auskunft unvollständig oder unrichtig ist, kann einen Anspruch auf Auskunft in weitergehendem Umfang nicht begründen. Wesentlich für die Erfüllung des Auskunftsanspruchs ist daher die - gegebenenfalls konkludente - Erklärung des Auskunftsschuldners, dass die Auskunft vollständig ist (vgl. BGH 15. Juni 2021 - VI ZR 576/19 - Rn. 19, NJW 2021, 2726; OLG Köln 10. August 2023 - 15 U 184/22 - Juris). Eine Zwangsmittelfestsetzung erfolgt m.a.W. auch dann, wenn die erteilte Auskunft nicht ernst gemeint, von vornherein unglaubhaft oder unvollständig ist (BeckOK-ZPO/Stürner 55. Edition § 888 Rn. 6; vgl. auch Müko-BGB/Krüger 9. Aufl. § 259 Rn. 24).

2. Nach diesen Grundsätzen ist die Auskunftsverpflichtung erfüllt worden. Nach dem erklärten Willen der Schuldnerin sind alle Aspekte des Auskunftsbegehrens „abgearbeitet“ worden. Sie hat damit eine „Vollständigkeitserklärung“ abgegeben. Die Auskünfte sind nicht offenkundig widersprüchlich oder lückenhaft.

Mit Schreiben vom 19. August 2024 hat die Schuldnerin Auskunft darüber erteilt, welche personenbezogenen Daten, insbesondere Name, Adresse, Telefonnummer, Familienstand bei ihr gespeichert sind. Ferner hat sie sich zu den Verarbeitungszwecken und zu den Datenkategorien geäußert (Adressdaten, Kontaktdaten, Vertragsdaten usw.). Zu den Empfängern der Daten über den Gläubiger hat sie sich dahingehend geäußert, dass die Adressdaten an die A - dem Lohnabrechnungsbüro - sowie an den Mutterkonzern B weitergeleitet worden seien. Über die Speicherdauer hat sich die Arbeitgeberin - zunächst - dahingehend erklärt, dass die Daten für max. drei Jahre gespeichert würden. Eine automatisierte Entscheidungsfindung finde nicht statt. Ergänzend hat sie sich durch den Schriftsatz des Prozessbevollmächtigten vom 22. Oktober 2024 geäußert. Darin hat sie sich erklärt, dass die persönlichen Daten des Gläubigers bei der Muttergesellschaft zwischenzeitlich vollständig gelöscht seien, auch sei das SAP Konto des Gläubigers mit sämtlichen Daten inzwischen gelöscht. In diesem Schriftsatz hat sie ferner klargestellt, dass die Daten nach Beendigung des Dienstverhältnisses zur Erfüllung gesetzlicher Aufbewahrungspflichten nach §§ 257 HGB, 147 AO für sechs Jahre gespeichert würden.

Soweit der Gläubiger bemängelt, die Schuldnerin habe widersprüchliche Angaben im Hinblick auf die Speicherdauer gemacht, ist davon auszugehen, dass die Speicherdauer, wie zuletzt angegeben, sechs Jahre beträgt. Wie bereits das Arbeitsgericht mit Recht angenommen hat, ist der Vortrag der Schuldnerin insoweit korrigiert worden.

Ohne Erfolg verweist der Gläubiger darauf, die Schuldnerin scheine mindestens noch die Staatsangehörigkeit und das Geschlecht des Gläubigers verarbeitet zu haben. Da der Gläubiger stets als „Mann“ aufgetreten ist, liegt es auf der Hand, dass die Schuldnerin Daten über den Gläubiger auch als „Mann“ verarbeitet hat. Selbst wenn die Auskunft teilweise unvollständig sein sollte, wäre trotzdem zunächst von Erfüllung auszugehen. Denn es handelt sich um eine Auskunftserteilung, die jedenfalls nicht offensichtlich unvollständig und nicht ernst gemeint sei. Die Verhängung eines Zwangsgeldes nach § 888 ZPO dient nicht dazu, einen materiell-rechtlichen Streit über die Vollständigkeit einer Auskunftsverpflichtung auszutragen.

In Bezug auf die unter Ziff. 1 lit. g des Tenors vorgesehene Auskunft über geeigneter Garantien gemäß Art. 46 DS-GVO, sofern personenbezogene Daten über den Kläger an ein Drittland übermittelt worden sind, hat die Arbeitgeberin mit Schriftsatz vom 14. Januar 2025 mitgeteilt, dass keine entsprechenden Garantien ergriffen worden seien. Auch damit ist die Auskunft erfüllt. Ob dies einen datenschutzrechtlicher Verstoß darstellt oder ob die Übermittlung nach Art. 49 DS-GVO erfolgte und es deshalb keiner weiteren Garantien bedurfte, ist eine materiell-rechtliche Frage, die erneut im Zwangsvollstreckungsverfahren nicht zu entscheiden ist.

Den Volltext der Entscheidung finden Sie hier:

LG Leipzig
Urteil vom 04.07.2025
05 O 2351/23

Das LG Leipzig hat entschieden, dass ein Facebook-Nutzer gegen Meta einen Anspruch auf Schadensersatz in Höhe von 5.000 EURO aus Art. 82 DGSVO wegen Verwendung der Meta Business Tools hat.

Die Pressemitteilung des Gerichts:
Landgericht Leipzig spricht Facebook-Nutzer eine Entschädigung von 5.000 Euro wegen Datenschutzverstößen durch die Business Tools von Meta zu

In der gegen Meta Platforms Ireland betriebenen Klage hat die für Datenschutzrecht zuständige 5. Zivilkammer des Landgerichts Leipzig mit Urteil vom 4. Juli 2025 einem Nutzer von Facebook eine Entschädigung wegen Datenschutzverstößen von 5.000 Euro zugesprochen.

Damit, dass Meta mit seinen Business Tools massiv gegen europarechtlichen Datenschutz verstößt, die personenbezogenen Daten zu einem Profiling der Nutzer von Facebook verarbeitet und Meta mit dem Geschäftsmodell der personalisierten Werbung Milliardengewinne einfährt, hat das Gericht die hohe Entschädigungssumme gerechtfertigt.

Meta, Betreiberin der sozialen Netzwerke Instagram und Facebook, hat Business Tools entwickelt, die von zahlreichen Betreibern auf ihren Webseiten und Apps eingebunden werden und die Daten der Nutzer von Instagram und Facebook an Meta senden. Jeder Nutzer ist für Meta zu jeder Zeit individuell erkennbar, sobald er sich auf den Dritt-Webseiten bewegt oder eine App benutzt hat, auch wenn er sich nicht über den Account von Instagram und Facebook angemeldet hat. Die Daten sendet Meta Ireland ausnahmslos weltweit in Drittstaaten, insbesondere in die USA. Dort wertet sie die Daten in für den Nutzer unbekanntem Maß aus.

Das Gericht hat den Anspruch auf Ersatz des immateriellen Schadens ausschließlich auf Art. 82 der Datenschutz-Grundverordnung (DSGVO) gestützt, damit auf Europarecht und nicht (wie andere Gerichte in vergleichbaren Fällen) auf das nationale Recht bei Persönlichkeitsrechtsverletzungen. Das Landgericht Leipzig hat sich dabei auf Feststellungen des Europäischen Gerichtshofs (EuGH) in einem Verfahren gegen Meta gestützt, in dem es ebenfalls um die Zulässigkeit der Business Tools ging. Da die Verarbeitung personenbezogener Daten besonders umfangreich ist – sie betrifft potenziell unbegrenzte Datenmengen und hat nahezu die vollständige Überwachung des Online-Verhaltens des Nutzers zur Folge – führt nach dem EuGH zu einem Gefühl, dass das gesamte Privatleben kontinuierlich überwacht wird.

Die Höhe des europarechtsautonom auszulegenden Schmerzensgeldes nach Art. 82 DSGVO muss, so das Landgericht Leipzig, über die in der nationalen Rechtsprechungspraxis etablierten Schmerzensgeldbeträge hinausgehen. Bei der Schadensschätzung wurde an den Wert der personenbezogenen Daten zu Zwecken personalisierter Werbung für Meta angeknüpft. Nach dem Bundeskartellamt (Beschl. v. 2.5.2022, Az. B 6-27/21) verfügt Meta im Bereich der sozialen Medien über eines der führenden Werbeangebote. Im Jahr 2021 erzielte Meta bereits 115 Mrd. USD Werbeeinnahmen bei einem Gesamtumsatz von 118 Mrd. USD, sodass die Werbeeinnahmen 97 % vom Umsatz ausmachen. Der finanzielle Wert eines einzigen Nutzerprofils, in dem sämtliche Daten über die Person gespeichert sind, ist auf datenverarbeitenden Märkte enorm. Dass der hohe Wert von Daten auch der Wahrnehmung in der Gesellschaft entspricht, sieht das Gericht durch diverse Studien bestätigt.

Auf eine informatorische Anhörung des Klägers – so wie die meisten anderen Gerichte bislang – hat das Landgericht Leipzig verzichtet. Bei einer Anhörung des Klägers wären keine weiteren Erkenntnisse zu erwarten gewesen, der über die Mitteilung des im Allgemeinen eher diffusen Gefühls des Datenverlusts und der Verunsicherung hinausgeht. Denn es ist ja gerade das Problem der Klagepartei und auch des Gerichts, festzustellen, was konkret Meta mit den Daten macht und noch vorhat. Das Gericht stellt deshalb für eine Mindestentschädigung von 5.000 Euro auf die allgemeine Betroffenheit des aufmerksamen und verständigen »Durchschnitts«-Betroffenen im Sinne der DSGVO ab.

Die Kammer ist sich der Folgen ihrer Entscheidung bewusst. Auch wenn sie dazu führen könnte, dass viele Facebook-Nutzer Klage erheben, ohne einen individuellen Schaden explizit darzulegen, widerspricht dies nicht den gesetzgeberischen Zielen der DSGVO, gerade auch mittels Private Enforcement den Datenschutz vor Zivilgerichten und damit jenseits rein behördlicher Maßnahmen effektiv durchzusetzen.

Aktenzeichen: 05 O 2351/23

BGH
Urteil vom 18.06.2025
I ZR 82/24
Portraitfoto
UrhG § 32a Abs. 1, § 32d Abs. 1, Abs. 2 Nr. 1

Der BGH hat sich vorliegend mit dem Ausschluss des Auskunftsanspruchs nach § 32d Abs. 2 Nr. 1 UrhG bei Verwendung eines Portraitfotos auf Produktverpackungen befasst.

Leitsatz des BGH:
Bei der Prüfung, ob ein Auskunftsanspruch gemäß § 32d Abs. 1 UrhG ausgeschlossen ist, weil der Urheber einen lediglich nachrangigen Beitrag zu einem Werk, einem Produkt oder einer Dienstleistung erbracht hat (§ 32d Abs. 2 Nr. 1 UrhG), kommt es auf eine Beurteilung der Umstände des Einzelfalls an. Dabei sind sowohl urheberrechtliche Umstände wie der Grad der Prägung des Beitrags des Urhebers in Bezug auf ein mit mehreren geschaffenes Werk (§ 8 UrhG) oder ein Sammelwerk (§ 4 UrhG) als auch - mit Blick auf den Beteiligungsgrundsatz, wonach der Urheber grundsätzlich an jeder wirtschaftlichen Nutzung seines Werks tunlichst angemessen zu beteiligen ist - ökonomische Gesichtspunkte wie die Bedeutung des Werks des Urhebers für die Gesamtwertschöpfung, die mit dem Werk als solches oder durch ein Produkt oder eine Dienstleistung erzielt wird, zu berücksichtigen. Geht es - wie im Streitfall (Verwendung eines Portraitfotos auf einer Vielzahl von Produktpackungen) - um die werbliche Nutzung eines Werks für den Absatz eines Produkts, ist bei der gemäß § 32d Abs. 2 Nr. 1 UrhG vorzunehmenden Prüfung, ob der Urheber einen lediglich nachrangigen Beitrag zum Produkt des Verwerters geleistet hat, auf die werbliche Bedeutung des Werks für den Produktabsatz abzustellen.

BGH, Urteil vom 18. Juni 2025 - I ZR 82/24 - OLG München - LG München I

Den Volltext der Entscheidung finden Sie hier:

BFH
Urteil vom 06.05.2025
IX R 2/23

Der BFH hat entschieden, dass statthafte Klageart für die Geltendmachung eines Auskunftsanspruch gemäß Art. 15 DSGVO gegen das Finanzamt eine Verpflichtungsklage ist. Es gilt nach Ansicht des BFH hierfür die einmonatige Frist nach §§ 47 Abs.1 , 55 Abs. 2 Satz 1 FGO.

Leitsätze des BFH:
1. Statthafte Klageart für die gerichtliche Geltendmachung des gegen eine Finanzbehörde gerichteten Anspruchs aus Art. 15 Abs. 1 und Abs. 3 Satz 1 i.V.m. Art. 12 Abs. 5 Satz 1 der Datenschutz-Grundverordnung (DSGVO) ist die Verpflichtungsklage gemäß § 40 Abs. 1 Alternative 2 der Finanzgerichtsordnung ‑‑FGO‑‑ (Anschluss an Urteil des Bundesverwaltungsgerichts vom 30.11.2022 - 6 C 10.21, BVerwGE 177, 211, Rz 14).

2. Die unionsrechtlichen Grundsätze der Äquivalenz und Effektivität gebieten es nicht, eine Verpflichtungsklage, die einen Auskunftsanspruch gemäß Art. 15 DSGVO zum Gegenstand hat, losgelöst von der in § 47 Abs. 1 FGO beziehungsweise in § 55 Abs. 2 Satz 1 FGO geregelten Frist (das heißt "jederzeit") erheben zu können.

Den Volltext der Entscheidung finden Sie hier:

BFH
Urteil vom 11.03.2025
IX R 24/22

Der BFH hat entschieden, dass sich ein Auskunftsanspruch aus Art. 15 DSGVO gegen Finanzbehörden auch auf interne Vermerke, Aktennotizen und interne Kommunikation bezieht, sofern diese personenbezogene Daten enthalten.

Aus den Entscheidungsgründen:
2. Das angefochtene Urteil ist auch insoweit rechtsfehlerhaft, als das FG entschieden hat, dem Kläger stehe dem Grunde nach kein Anspruch auf Auskunftserteilung der ihn betreffenden und vom Beklagten verarbeiteten personenbezogenen Daten zu.

a) Art. 15 Abs. 1 DSGVO gewährt der betroffenen Person das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf die näher in Art. 15 Abs. 1 Buchst. a bis h DSGVO bezeichneten Informationen.

aa) Der Begriff der personenbezogenen Daten bezeichnet gemäß Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.

In der Verwendung der Formulierung "alle Informationen" bei der Bestimmung des Begriffs "personenbezogene Daten" in dieser Vorschrift kommt das Ziel des Unionsgesetzgebers zum Ausdruck, diesem Begriff eine weite Bedeutung beizumessen, die potenziell alle Arten von Informationen sowohl objektiver als auch subjektiver Natur in Form von Stellungnahmen oder Beurteilungen umfasst, unter der Voraussetzung, dass es sich um Informationen "über" die in Rede stehende Person handelt (Urteile des Gerichtshofs der Europäischen Union --EuGH-- IAB Europe vom 07.03.2024 - C-604/22, EU:C:2024:214, Rz 36; Österreichische Datenschutzbehörde vom 04.05.2023 - C-487/21, EU:C:2023:369, Rz 23, m.w.N.).

Insoweit hat der EuGH entschieden, dass es sich um eine Information über eine identifizierte oder identifizierbare natürliche Person handelt, wenn sie aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer identifizierbaren Person verknüpft ist (EuGH-Urteile IAB Europe vom 07.03.2024 - C-604/22, EU:C:2024:214, Rz 37; Österreichische Datenschutzbehörde vom 04.05.2023 - C-487/21, EU:C:2023:369, Rz 24 und die dort angeführte Rechtsprechung). Weiter weist der EuGH darauf hin, dass die Verwendung des Begriffs "indirekt" durch den Unionsgesetzgeber darauf hindeutet, dass es für die Einstufung einer Information als personenbezogenes Datum nicht erforderlich ist, dass die Information für sich genommen die Identifizierung der betreffenden Person ermöglicht (EuGH-Urteil OC/Kommission vom 07.03.2024 - C-479/22 P, EU:C:2024:215, Rz 47, m.w.N.).

Daraus ergibt sich, dass es für die Qualifikation als auskunftspflichtige personenbezogene Daten abweichend zur Rechtsansicht der Vorinstanz weder eines "Hebens" in Form eines Interpretationsaktes (s. oben) noch der Absicht des Verantwortlichen, eine personenbezogene Angabe in einem spezifischen, personenbezogenen Feld zu speichern, bedarf.

bb) Der Anspruch aus Art. 15 DSGVO bezieht sich auch auf interne Vermerke, Aktennotizen, Bearbeitungs- und Geschäftsgangvermerke und interne Kommunikation. Denn auch diese Unterlagen können personenbezogene Daten enthalten (vgl. dazu BGH-Urteil vom 15.06.2021 - VI ZR 576/19, Rz 24).

b) Das FG ist daher zu Unrecht davon ausgegangen, dass die in den Akten des Beklagten enthaltenen Volltextdokumente nicht dem Schutzbereich der Datenschutz-Grundverordnung unterliegen und die darin enthaltenen personenbezogenen Daten nicht vom Auskunftsanspruch erfasst sind. Entgegen der Auffassung des FG und des Beklagten sind auch interne Vorgänge und sämtlicher Schriftverkehr erfasst, die personenbezogene Daten enthalten. Personenbezogene Daten liegen unabhängig davon vor, ob der Verantwortliche, das heißt der Beklagte, sie "gehoben" oder in einem Dateisystem gespeichert hat. Die Auskunft des Beklagten mit den Schreiben vom 17.12.2019 und vom 16.12.2021 ist daher insoweit unvollständig, als diese ausdrücklich bereits gewechselten Schriftverkehr, interne Vermerke und interne Stellungnahmen sowie Stellungnahmen anderer Steuerpflichtiger ausnimmt.

3. Anknüpfend an den vorgenannten Rechtsfehler hat das FG es ebenso fehlerhaft unterlassen zu prüfen, ob der Kläger einen Anspruch auf Zurverfügungstellung von Kopien personenbezogener Daten gemäß Art. 15 Abs. 3 DSGVO hat.

a) Art. 15 Abs. 3 Satz 1 DSGVO gewährt keinen gegenüber Art. 15 Abs. 1 DSGVO eigenständigen Anspruch gegen den Verantwortlichen auf Zurverfügungstellung von Dokumenten mit personenbezogenen Daten. Nach Art. 15 Abs. 3 Satz 1 DSGVO stellt der Verantwortliche der betroffenen Person eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung. Durch die Rechtsprechung des EuGH ist geklärt, dass Art. 15 DSGVO nicht dahin auszulegen ist, dass er in seinem Abs. 3 Satz 1 ein anderes Recht als das in seinem Abs. 1 vorgesehene gewährt. Im Übrigen bezieht sich der Begriff "Kopie" nicht auf ein Dokument als solches, sondern auf die personenbezogenen Daten, die es enthält und die vollständig sein müssen. Die Kopie muss daher alle personenbezogenen Daten enthalten, die Gegenstand der Verarbeitung sind (EuGH-Urteile FT (Copies du dossier médical) vom 26.10.2023 - C-307/22, EU:C:2023:811, Rz 72 und Österreichische Datenschutzbehörde vom 04.05.2023 - C-487/21, EU:C:2023:369, Rz 32). Der Anspruch auf Zurverfügungstellung einer Kopie der personenbezogenen Daten setzt keine Begründung voraus, weshalb es auch nicht entgegensteht, wenn er mit anderen als den in Erwägungsgrund 63 Satz 1 DSGVO genannten Zwecken begründet wird (EuGH-Urteil FT (Copies du dossier médical) vom 26.10.2023 - C-307/22, EU:C:2023:811, Rz 50 und Rz 52).

Nur wenn die Zurverfügungstellung einer Kopie unerlässlich ist, um der betroffenen Person die wirksame Ausübung der ihr durch die Datenschutz-Grundverordnung verliehenen Rechte zu ermöglichen, wobei insoweit die Rechte und Freiheiten anderer zu berücksichtigen sind, besteht nach Art. 15 Abs. 3 Satz 1 DSGVO ein Anspruch darauf, eine Kopie von Auszügen aus Dokumenten oder gar von ganzen Dokumenten oder auch von Auszügen aus Datenbanken zu erhalten (vgl. EuGH-Urteile FT (Copies du dossier médical) vom 26.10.2023 - C-307/22, EU:C:2023:811, Rz 75 und Österreichische Datenschutzbehörde vom 04.05.2023 - C-487/21, EU:C:2023:369, Rz 41 und Rz 45).

Hierfür besteht jedoch keine generelle Vermutung. Vielmehr obliegt es der betroffenen Person, darzulegen, dass die Kopie der personenbezogenen Daten sowie die Mitteilung der Informationen nach Art. 15 Abs. 1 Buchst. a bis h DSGVO für die Wahrnehmung der ihr durch die Datenschutz-Grundverordnung verliehenen Rechte nicht genügt. Begehrt die betroffene Person die Zurverfügungstellung von Kopien von Dokumenten mit ihren personenbezogenen Daten, muss sie darlegen, welche ihr durch die Datenschutz-Grundverordnung verliehenen Rechte sie auszuüben gedenkt und aus welchen Gründen die Zurverfügungstellung von Kopien von Akten mit personenbezogenen Daten hierfür unerlässlich ist. Andernfalls liefe das durch den EuGH aufgestellte Regel-Ausnahme-Prinzip ins Leere. Denn nach der Rechtsprechung des EuGH ist der Anspruch nach Art. 15 Abs. 1 und Abs. 3 DSGVO grundsätzlich auf die Zurverfügungstellung einer Kopie der verarbeiteten personenbezogenen Daten der betroffenen Person gerichtet (EuGH-Urteile FT (Copies du dossier médical) vom 26.10.2023 - C-307/22, EU:C:2023:811, Rz 72 und Österreichische Datenschutzbehörde vom 04.05.2023 - C-487/21, EU:C:2023:369, Rz 32). Wenn dies für die Wahrnehmung der Rechte aus der Datenschutz-Grundverordnung nicht genügt, kann ausnahmsweise ein Anspruch auf eine (auszugsweise) Kopie der Quelle, in der die personenbezogenen Daten verarbeitet sind, bestehen (vgl. EuGH-Urteile FT (Copies du dossier médical) vom 26.10.2023 - C-307/22, EU:C:2023:811, Rz 75 und Österreichische Datenschutzbehörde vom 04.05.2023 - C-487/21, EU:C:2023:369, Rz 41 und Rz 45). Einer entsprechenden Vermutung der Unerlässlichkeit bedarf es im Übrigen auch nicht, um einen effektiven Datenschutz zu gewährleisten. Regelmäßig genügt es für die Wahrnehmung der durch die Datenschutz-Grundverordnung verliehenen Rechte, wenn die betroffene Person Kenntnis von den über sie verarbeiteten personenbezogenen Daten erlangt und ihr die Informationen nach Art. 15 Abs. 1 Buchst. a bis h DSGVO mitgeteilt werden. Insbesondere durch die Mitteilung, welche personenbezogenen Daten verarbeitet werden und zu welchem Zweck diese Verarbeitung erfolgt, ist die betroffene Person bereits regelmäßig in der Lage, die Richtigkeit der personenbezogenen Daten und die Rechtmäßigkeit deren Verarbeitung zu überprüfen (vgl. zum Ganzen Senatsurteil vom 12.03.2024 - IX R 35/21, BFHE 283, 266, BStBl II 2024, 682, Rz 27 f.).

b) Ausgehend von anderen Rechtsgrundsätzen hat es das FG unterlassen, die erforderlichen Feststellungen für eine abschließende Beurteilung zu treffen. Obwohl der Kläger in der Klageschrift vom 13.01.2020 seine Beweggründe für die Geltendmachung des Auskunftsanspruchs dargelegt hat, fehlt es an Feststellungen des FG dazu, ob und in welchem Umfang die begehrten Kopien für ihn unerlässlich seien, um ihm die wirksame Ausübung der ihm durch die Datenschutz-Grundverordnung verliehenen Rechte zu ermöglichen. Ferner fehlt es an Feststellungen, welche Rechte aus der Datenschutz-Grundverordnung der Kläger überhaupt beabsichtigt geltend zu machen.

4. Der vom Kläger geltend gemachte Anspruch auf Akteneinsicht ergibt sich zwar nicht aus Art. 15 DSGVO (dazu unter a). Das FG hat jedoch rechtsfehlerhaft nicht geprüft, ob sich ein Akteneinsichtsrecht aufgrund anderer Rechtsvorschriften ergibt (dazu unter b).

a) Das Auskunftsrecht in Art. 15 DSGVO ist nicht mit dem Akteneinsichtsrecht identisch. Denn die Datenschutz-Grundverordnung sieht keinen Anspruch auf Akteneinsicht vor (so auch Gola/Heckmann/Franck, DS-GVO, 3. Aufl., Art. 15 Rz 33, m.w.N.). Soweit der Kläger einen Anspruch auf Akteneinsicht aus Art. 15 DSGVO herleiten möchte, enthält diese Vorschrift lediglich einen Auskunftsanspruch gegenüber dem für die Verarbeitung der personenbezogenen Daten Verantwortlichen.

Ebenso beinhaltet Art. 15 DSGVO keinen Anspruch auf Akteneinsicht als "Weniger" zum Anspruch auf Zurverfügungstellung einer Kopie der personenbezogenen Daten beziehungsweise ausnahmsweise unter bestimmten Umständen auf Zurverfügungstellung der Quellen, in denen die personenbezogenen Daten verarbeitet wurden. Vielmehr handelt es sich bei der Gewährung von Akteneinsicht um ein Aliud. Während das Recht auf Akteneinsicht die temporäre Möglichkeit zur Einsicht in die gesamte Verwaltungsakte beinhaltet, betrifft Art. 15 DSGVO nicht die gesamte Verwaltungsakte, sondern ist auf die dauerhafte Überlassung der darin enthaltenen personenbezogenen Daten und nur ausnahmsweise unter bestimmten Umständen auf die Überlassung von Auszügen von Verwaltungsakten gerichtet.

Daran gemessen hat das FG einen Anspruch auf Akteneinsicht aus Art. 15 DSGVO zutreffend verneint. Art. 15 Abs. 1 DSGVO ermöglicht nicht die Einsicht in Verwaltungsakten und damit die in ihnen enthaltenen Verwaltungsdokumente in Abschrift oder im Original. Vielmehr hat der Beklagte als Verantwortlicher lediglich eine (elektronische) Kopie der personenbezogenen Daten und unter gewissen Umständen auch der Quellen, in denen solche Daten verarbeitet wurden, zur Verfügung zu stellen (Senatsurteil vom 12.03.2024 - IX R 35/21, BFHE 283, 266, BStBl II 2024, 682, Rz 36 f.).

b) Das FG hat rechtsfehlerhaft nicht geprüft, ob sich ein Akteneinsichtsrecht aufgrund anderer Rechtsvorschriften ergibt.

aa) Die Abgabenordnung enthält zwar --anders als zum Beispiel § 29 des Verwaltungsverfahrensgesetzes-- keine Regelung, nach der ein Anspruch auf Akteneinsicht besteht. Ein solches Einsichtsrecht ist weder aus § 91 Abs. 1 AO noch aus § 364 AO abzuleiten. Allerdings steht dem während eines Verwaltungsverfahrens um Akteneinsicht nachsuchenden Steuerpflichtigen oder seinem Vertreter ein Anspruch auf eine pflichtgemäße Ermessensentscheidung der Finanzbehörde zu, weil diese nicht gehindert ist, in Einzelfällen Akteneinsicht zu gewähren (Urteil des Bundesfinanzhofs --BFH-- vom 23.02.2010 - VII R 19/09, BFHE 228, 139, BStBl II 2010, 729, Rz 11; BFH-Beschluss vom 05.12.2016 - VI B 37/16, Rz 3; Senatsurteil vom 07.05.2024 - IX R 21/22, zur amtlichen Veröffentlichung bestimmt, Rz 14). Grundlage dieses Anspruchs ist das Rechtsstaatsprinzip gemäß Art. 20 Abs. 3 des Grundgesetzes (GG) i.V.m. dem Prozessgrundrecht gemäß Art. 19 Abs. 4 GG (BFH-Urteil vom 19.03.2013 - II R 17/11, BFHE 240, 497, BStBl II 2013, 639, Rz 11; Senatsurteil vom 07.05.2024 - IX R 21/22, zur amtlichen Veröffentlichung bestimmt, Rz 14). Der fehlende Anspruch auf Akteneinsicht im außergerichtlichen Besteuerungsverfahren und eine insoweit der Finanzverwaltung eingeräumte Ermessensausübung verstoßen nicht gegen verfassungsrechtliche Grundsätze (vgl. BFH-Beschluss vom 04.06.2003 - VII B 138/01, BFHE 202, 231, BStBl II 2003, 790, unter II.2.d, m.w.N.).

Dabei ist im Fall eines Antrags auf Akteneinsicht der Adressat des Antrags grundsätzlich berechtigt und verpflichtet, einen geltend gemachten Anspruch unter allen zumindest denkbaren rechtlichen Aspekten zu prüfen (vgl. Senatsurteil vom 23.01.2024 - IX R 36/21, BFHE 283, 219, Rz 17; BFH-Urteil vom 08.06.2021 - II R 15/20, Rz 16).

bb) Der Kläger hat ausdrücklich Akteneinsicht beantragt. Ausgehend von anderen Rechtsgrundsätzen hat die Vorinstanz es unterlassen, die erforderlichen Feststellungen zu treffen, inwieweit der Beklagte das ihm hinsichtlich der Gewährung der Akteneinsicht zustehende Ermessen ordnungsgemäß nach dem Maßstab des § 102 FGO ausgeübt beziehungsweise eine Interessenabwägung vorgenommen hat.

5. Soweit sich der Kläger mit seinem Auskunftsanspruch auf Akten der Staatsanwaltschaft und der Steuerfahndung bezieht, ist der Beklagte nicht der Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO. Insoweit ist der Beklagte weder berechtigt noch verpflichtet, Auskunft zu erteilen.

6. Soweit das FG den nationalen Ausschlussgrund des § 32c Abs. 1 Nr. 3 AO geprüft hat, tragen seine Feststellungen das Ergebnis, insbesondere zum Ausschlussgrund des § 32c Abs. 1 Nr. 3 Buchst. a AO, nicht.

a) Das Recht auf Auskunft der betroffenen Person gegenüber einer Finanzbehörde gemäß Art. 15 DSGVO besteht nach § 32c Abs. 1 Nr. 3 AO nicht, soweit die personenbezogenen Daten nur deshalb gespeichert sind, weil sie aufgrund gesetzlicher Aufbewahrungsvorschriften nicht gelöscht werden dürfen (Buchst. a) oder ausschließlich Zwecken der Datensicherung oder der Datenschutzkontrolle dienen (Buchst. b) und die Auskunftserteilung einen unverhältnismäßigen Aufwand erfordern würde sowie eine Verarbeitung zu anderen Zwecken durch geeignete technische und organisatorische Maßnahmen ausgeschlossen ist.

b) Insoweit prüft das FG nicht, ob die personenbezogenen Daten nur deshalb gespeichert sind, weil sie aufgrund gesetzlicher Aufbewahrungsvorschriften nicht gelöscht werden dürfen (s. II.6.a; vgl. dazu BFH-Urteil vom 07.05.2024 - IX R 21/22, zur amtlichen Veröffentlichung bestimmt, Rz 33) oder die in § 32c Abs. 1 Nr. 3 Buchst. b AO genannten Zwecke vorliegen und ob "die Auskunftserteilung einen unverhältnismäßigen Aufwand erfordern würde". Auch zum Ausschluss einer Verarbeitung durch "geeignete technische und organisatorische Maßnahmen" äußert sich die Ausgangsentscheidung nicht.

Den Volltext der Entscheidung finden Sie hier:

VG Ansbach
Beschluss v. 19.02.2025
AN 14 K 22.02562

Das VG Ansbach hat dem EuGH zur Vorabentscheidung vorgeleget, ob ein Auskunftsanspruch aus Art. 15 DSGVO gegen eine Datenschutzbehörde besteht.

Tenor der Entscheidung:
Dem Gerichtshof der Europäischen Union werden nach Art. 267 AEUV folgende Fragen zur Vorabentscheidung vorgelegt:

1. Ist Art. 15 VO (EU) 2016/679 i.V.m. Art. 4 Nr. 7 VO (EU) 2016/679 dahingehend auszulegen, dass eine Aufsichtsbehörde nach Art. 4 Nr. 21 VO (EU) 2016/679, die im Rahmen eines von einer betroffenen Person eingeleiteten Beschwerdeverfahrens nach Art. 77 VO (EU) 2016/679 tätig wird, gleichzeitig im Sinne von Art. 15 VO (EU) 2016/679 i.V.m. Art. 4 Nr. 7 VO (EU) 2016/679 „Verantwortlicher“ und damit auf Grundlage des Art. 15 VO (EU) 2016/679 gegenüber der betroffenen Person zur Auskunft verpflichtet ist ?

2. Für den Fall, dass Frage 1 mit „ja“ beantwortet wird:
Ist das Unionsrecht, insbesondere Art. 23 VO (EU) 2016/679, dahingehend auszulegen, dass es einer nationalen Regelung – wie dem im Ausgangsverfahren streitigen Art. 20 Abs. 2 BayDSG – entgegensteht, wonach Auskunfts- oder Einsichtsrechte hinsichtlich Akten und Dateien der Aufsichtsbehörden nach Art. 4 Nr. 21 VO (EU) 2016/679 pauschal nicht bestehen ?

Den Volltext der Entscheidung finden Sie hier:

BGH
Beschluss vom 11.03.2025
VI ZB 79/23
TDDDG § 21 Abs. 2; StGB §§ 185, 186, 187

Der BGH hat entschieden, dass eine Bestandsdatenauskunft nach § 21 Abs. 2 TDDDG nur bei Vorliegen einer der dort genannten Straftatbestände erfolgen muss.

Leitsätze des BGH:
a) Gemäß § 21 Abs. 2 TDDDG setzen die Gestattung der Auskunftserteilung und die korrespondierende Verpflichtung zur Auskunft über die Bestandsdaten eines Nutzers - sofern nicht audiovisuelle Inhalte betroffen sind - voraus, dass der beanstandete Inhalt den Tatbestand einer der in der Bestimmung genannten Strafvorschriften erfüllt.

b) Ist die beanstandete Äußerung als Werturteil zu qualifizieren, scheidet eine Verwirklichung der Tatbestände der §§ 186, 187 StGB aus. Im Zweifel ist im Interesse eines wirksamen Grundrechtsschutzes davon auszugehen, dass es sich um eine Meinungsäußerung handelt.

c) Steht die Erfüllung eines Straftatbestands in Rede, müssen bei mehrdeutigen Äußerungen andere mögliche Deutungen mit schlüssigen Gründen ausgeschlossen werden, bevor die zur Verurteilung führende Bedeutung zugrunde gelegt wird. Wenn eine straflose Bedeutung nicht ausschließbar ist, ist diese der Beurteilung zugrunde zu legen.

BGH, Beschluss vom 11. März 2025 - VI ZB 79/23 - OLG Köln - LG Köln

Den Volltext der Entscheidung finden Sie hier:

LG Erfurt
Beschluss vom 03.04.2025
8 O 895/23

Das LG Erfurt hat dem EuGH Fragen zum Schadensersatz aus Art. 82 DSGVO bei Kontrollverlust im Zusammenhang mit Facebook-Scraping zur Vorabentscheidung vorgelegt.

Tenor:
Das Ausgangsverfahren wird ausgesetzt. Dem Gerichtshof der Europäischen Union werden gemäß Art. 267 AEUV die folgenden Fragen zur Auslegung von Art. 56 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) und der Datenschutz-Grundverordnung (DSGVO) vorgelegt:

Frage 1
Ist Art. 82 Abs. 1 DSGVO dahin auszulegen, dass ein nationales Gericht bei einem Verstoß gegen die DSGVO einer betroffenen Person Schadensersatz zusprechen muss, die lediglich nachgewiesen hat, dass ein Dritter (und nicht der beklagte datenschutzrechtlich Verantwortliche) ihre personenbezogenen Daten im Internet veröffentlicht hat? Mit anderen Worten: Stellt der bloße und ggf. nur kurzzeitige Verlust der Kontrolle über eigene Daten einen immateriellen Schaden im Sinne des Art. 82 Abs. 1 DSGVO dar?

Frage 2
Falls Frage 1 bejaht wird: Inwieweit unterscheidet sich die Antwort oder macht es einen Unterschied, wenn die veröffentlichten Daten nur aus bestimmten personenbezogenen Daten bestehen (einschließlich allenfalls numerische Nutzer-ID, Name und Geschlecht), welche die betroffene Person bereits selbst im Internet veröffentlicht hatte, in Verbindung mit der Telefonnummer der betroffenen Person, die ein Dritter (bei dem es sich nicht um den beklagten datenschutzrechtlich Verantwortlichen handelt) mit diesen personenbezogenen Daten verknüpft hat?

Aus den Entscheidungsgründen:
I. Gegenstand des Ausgangsverfahrens und zugrundeliegender Sachverhalt

Mit ihrer beim Landgericht Erfurt eingereichten Klage - einem Scraping-Fall - macht die Klägerin immateriellen Schadensersatz und eine Reihe weiterer Ansprüche aufgrund von Verstößen der Beklagten gegen die Datenschutz-Grundverordnung („DSGVO“) geltend. Die Beklagte, deren Sitz in Irland ist, betreibt die Social-Media-Plattform Facebook in Europa („Plattform der Beklagten”).

Die Klägerin unterhält ein Nutzerkonto auf der Plattform der Beklagten. Im Rahmen der Registrierung auf der Plattform der Beklagten müssen Nutzer bestimmte Informationen wie Name und Geschlecht angeben. Diese Informationen (zusammen mit der von der Beklagten generierten Nutzer-ID) sind im Rahmen des Nutzerprofils stets öffentlich einsehbar, worüber Nutzer in Kenntnis gesetzt werden. Diese öffentlichen Nutzerinformationen erleichtern die Kontaktaufnahme mit anderen Menschen. Dies entspricht dem Unternehmenszweck der Plattform der Beklagten, nämlich Menschen die Möglichkeit zu geben, Gemeinschaften zu bilden und die Welt näher zusammenzubringen.

Neben den immer öffentlichen Nutzerinformationen können Nutzer in ihrem Profil nach ihrer individuellen Präferenz weitere Informationen angeben. In diesem Zusammenhang können sie festlegen, welche anderen Gruppen von Nutzern diese Informationen sehen können („Freunde“, [auch] „Freunde von Freunden“, „Öffentlich“). Die Beklagte stellt hierfür Privatsphäre-Einstellungen zur Verfügung, durch die Nutzer bestimmen können, inwieweit von ihnen bereitgestellte Informationen öffentlich einsehbar sein sollen (sog. „Zielgruppenauswahl“). Über die Funktion und Bedeutung dieser Privatsphäre-Einstellungen informierte die Beklagte ihre Nutzer in ihrem Hilfebereich.

Entschied sich ein Nutzer - wie die Klägerin - dafür, seine Telefonnummer anzugeben, war die Standard-Zielgruppenauswahl während des relevanten Zeitraums „Freunde“. Die Telefonnummer war demnach nicht öffentlich einsehbar. Im Hinblick auf die Sichtbarkeit ihrer Handynummer hatte die Klägerin es bei der Standardeinstellung der Beklagten belassen, sodass diese nicht öffentlich sichtbar war.

Die Privatsphäre-Einstellungen auf der Plattform der Beklagten ermöglichten es den Nutzern auch, festzulegen, wer ihre Profile anhand ihrer Telefonnummern suchen kann (sog. „Suchbarkeits-Einstellungen“). Entschied sich ein Nutzer dafür, seine Telefonnummer anzugeben, war die Standard-Suchbarkeitseinstellung während des relevanten Zeitraums „Alle“. Nutzer konnten jedoch ihre Suchbarkeitseinstellungen jederzeit auf „Freunde“, „Freunde von Freunden“ oder (ab Mai 2019) auf „Nur ich“ festlegen. Die letztgenannte Einstellung verhinderte, dass andere Nutzer das betreffende Profil über die Telefonnummer finden konnten.

Die Möglichkeit, das Profil eines Nutzers anhand einer Telefonnummer zu finden, sollte ebenfalls dem Ziel dienen, Menschen miteinander zu verbinden. Die Plattform der Beklagten hat weltweit Milliarden von Nutzern. Die Suche nach einem Nutzerprofil allein anhand des Namens mag daher nicht ausreichen, um einen anderen Nutzer sicher zu identifizieren.

Die Klägerin entschloss sich dazu, ihre Telefonnummer auf der Plattform der Beklagten anzugeben, wobei sie die Standard-Suchbarkeitseinstellung „Alle“ nicht änderte.

Bis September 2019 ermöglichte die sog. Kontakt-Importer-Funktion Nutzern, Kontakte von ihren Mobilgeräten auf der Plattform der Beklagten hochzuladen. Hierdurch konnten die Nutzer diese Kontakte auf der Plattform der Beklagten finden und mit ihnen in Kontakt treten, sofern die Suchbarkeitseinstellungen des gesuchten Nutzers auf „Alle“ eingestellt waren (so wie dies bei der Klagepartei der Fall war).

Über einen bestimmten Zeitraum hinweg haben unbekannte Dritte (sog. „Scraper“), die in keiner Verbindung zur Beklagten standen, über die Kontakt-Importer-Funktion Mobiltelefonnummern hochgeladen. Die Mobiltelefonnummern hatten die Scraper bereits vorher anderweitig (d. h. nicht auf der Plattform der Beklagten) erlangt oder generiert. Wurden beim Hochladen der Telefonnummern Nutzerprofile gefunden, sammelten die unbekannten Dritten die Daten, die in den Profilen der Nutzer öffentlich einsehbar waren, und machten sich diese nutzbar.

Bei der Kontakt-Importer-Funktion handelte es sich um eine regulär vorgesehene Funktion der Plattform der Beklagten. Die Scraper wandten automatisierte Tools an, um diese Funktion auszunutzen und um auf Daten zuzugreifen, die in diesem Fall öffentlich einsehbar waren. Diese ohne Erlaubnis erfolgte Datenerhebung mit automatisierten Tools und Methoden fand während des relevanten Zeitraums statt und war (und ist immer noch) durch die Nutzungsbedingungen der Beklagten untersagt.

Die Scraper sammelten unzulässigerweise öffentlich einsehbare Daten zahlreicher Nutzer, fügten diese den Telefonnummern dieser Nutzer hinzu und veröffentlichten diese Daten in einer Datenbank im Internet bzw. Darknet. Dieses Vorgehen umfasste auch personenbezogene Daten der Klägerin, nämlich deren Telefonnummer in Verbindung mit den aus ihrem öffentlich einsehbaren Profil abgegriffenen Informationen (Nutzer-ID, Vorname, Nachname und Geschlecht).

Die Klägerin fordert unter anderem immateriellen Schadensersatz auf der Grundlage von Art. 82 DSGVO. Sie bringt vor, sie habe allein aufgrund der Tatsache, dass ihre Daten abgegriffen und in einer Datenbank veröffentlicht wurden, die Kontrolle über diese Daten verloren. Nach Ansicht der Klägerin stellt dieser Kontrollverlust schon als solcher einen immateriellen Schaden dar.

Die Beklagte macht demgegenüber geltend, dass Art. 82 DSGVO nicht dazu diene, vom Scraping betroffenen Personen Schadensersatz zu gewähren, die zwar von Datenschutzverletzungen betroffen sind, aber keinen konkreten, über den bloßen Kontrollverlust hinausgehenden Schaden erlitten haben. Dabei ist die Beklagte der Auffassung, dass der Scraping-Sachverhalt bereits keinen „Datenschutzverstoß“ darstelle. Die Beklagte macht ferner geltend, dass die bloße erneute Veröffentlichung der Daten der Klagepartei – die gemäß ihren individuellen Privatsphäre-Einstellungen bereits vorher öffentlich einsehbar waren – keinen immateriellen Schadensersatz begründen könne.


II. Einschlägige unionsrechtliche Bestimmungen

Art. 82 DSGVO (Haftung und Recht auf Schadensersatz)

Erwägungsgrund 75 DSGVO (Risiken für die Rechte und Freiheiten natürlicher Personen)

Erwägungsgrund 83 S. 3 DSGVO (Sicherheit der Verarbeitung)

Erwägungsgrund 85 S. 1 DSGVO (Pflicht zur Meldung von Datenschutzverletzungen an die Aufsichtsbehörde)

III. Relevante nationale Rechtsprechung

Die deutsche Rechtsprechung divergiert zu der Frage, ob der bloße Kontrollverlust einen immateriellen Schaden darstellt. Die bereits vorliegenden Entscheidungen des Gerichtshofes der Europäischen Union werden unterschiedlich interpretiert.

In nahezu identischen Verfahren haben mehrere deutsche Oberlandesgerichte Klagen auf immateriellen Schadensersatz abgewiesen. Sie haben dabei festgestellt, dass die auf Scraping beruhende erneute oder erstmalige Veröffentlichung von Daten und der damit einhergehende Kontrollverlust allein nicht ausreichen, um einen immateriellen Schaden zu begründen.

Der Bundesgerichtshof hat allerdings kürzlich in einem Verfahren wegen des unzulässigen Datenscrapings judiziert, dass ein bloßer und selbst kurzzeitiger Verlust der Kontrolle über eigene personenbezogene Daten schon an sich als immaterieller Schaden im Sinne von Art. 82 DSGVO einzuordnen ist und zu einem, wenn auch überschaubaren, Geldanspruch führt (BGH, Urteil vom 18.11.2024 - VI ZR 10/24). Dies soll somit unabhängig davon gelten, ob die Klagepartei individuelle immaterielle Beeinträchtigungen und Nachteile aufgrund des Kontrollverlusts darlegt und nachweist. Weder muss eine konkrete missbräuchliche Verwendung der Daten zum Nachteil des Betroffenen erfolgt sein, wie ein Identitätsdiebstahl, noch bedarf es sonstiger zusätzlicher spürbarer negativer Folgen.

Zu dem jedenfalls erforderlichen „Kontrollverlust“ fehlt es allerdings an einer Definition oder näheren Maßgaben.

IV. Entscheidungserheblichkeit und Erläuterung der Vorlagefragen

Die Antworten des Gerichtshofes der Europäischen Union zu den Vorlagefragen sind entscheidungserheblich. Das vorlegende Gericht geht von einem Datenschutzverstoß der Beklagten mit negativen Folgen aus. Es ist jedoch zweifelhaft, ob ein immaterieller Schaden zu bejahen ist. Abhängig davon, ob die bloße - erneute oder erstmalige - Veröffentlichung von personenbezogenen Daten im Internet als immaterieller Schaden eingestuft wird oder nicht, kann das Gericht dem Klageantrag auf immateriellen Schadenersatz entweder (zumindest teilweise) stattgeben oder ihn abweisen.

Insbesondere hält das Gericht eine Klarstellung des Gerichtshofs für erforderlich, ob Art. 82 Abs. 1 DSGVO es einem nationalen Gericht ermöglicht, einer betroffenen Person Schadensersatz zuzusprechen, obwohl diese keinen konkreten und individuellen materiellen oder immateriellen Schaden nachgewiesen hat, wie begründete Befürchtungen eines Missbrauchs oder andere psychische Beeinträchtigungen, sondern sich lediglich darauf beruft, dass ihre Daten im Internet veröffentlicht wurden und sie somit die Kontrolle hierüber verloren habe. Dieser Klarstellung dient die Vorlagefrage zu 1.

Für den Fall, dass die Vorlagefrage zu 1 bejaht wird, ersucht das Gericht mit der Vorlagefrage zu 2. den Gerichtshof um Klärung, ob der Gerichtshof zu einer anderen Einschätzung gelangt, wenn die (erneut) veröffentlichten Daten lediglich aus solchen personenbezogenen Daten bestehen, deren Veröffentlichung im Internet die betroffene Person vorher selbst veranlasst hatte (einschließlich allenfalls numerische Nutzer-ID, Name und Geschlecht), sowie der Telefonnummer der betroffenen Person.

Bei dieser Bewertung könnte zu berücksichtigen sein, dass die unzulässiger Weise abgegriffenen Daten der Klägerin auf deren Nutzerprofil öffentlich einsehbar waren, während die Mobiltelefonnummer der Klägerin weder abgegriffen noch anderweitig aus dem Nutzerprofil der Klagepartei abgerufen wurde. Damit unterscheidet sich dieser Sachverhalt wohl von den Fällen, die bisher Gegenstand von Vorabentscheidungsverfahren zu Art. 82 DSGVO waren. Es stellt sich die Frage, ob die Klägerin nicht bereits vor dem Datenschutzverstoß die Kontrolle über ihre vom Scraping betroffenen personenbezogenen Daten verloren hatte, was zu einem Ausschluss von Ersatzansprüchen führen könnte.

Nach alledem bestehen Zweifel, ob es sich bei der Problematik des „bloßen Kontrollverlustes“ bereits um einen „acte éclairé“ handelt. Die bisherigen Urteile des Gerichtshofes könnten jedenfalls so verstanden werden, dass ein bloßer Kontrollverlust als solcher noch keinen Schaden darstellt, vielmehr - mit höherem Begründungs- und Beweisaufwand - weitere Voraussetzungen und Umstände hinzutreten müssen, wie etwa psychische Beeinträchtigungen oder ein tatsächlicher Missbrauch von Daten (s. nur EuGH, Urteil vom 25.01.2024, C-687/21, Rn. 67, EuGH, Urteil vom 14.12.2023, C-340/21, Rn. 84, und EuGH, Urteil vom 14.12.2023, C-456/22, Rn. 22).

Den Parteien des Ausgangsverfahrens wurde ausgiebig rechtliches Gehör gewährt. Die Befugnis des Einzelrichters, unionsrechtliche Fragestellungen zu würdigen und vor den Gerichtshof zu bringen, beruht auf Art. 267 AEUV (eingehend LG Erfurt, Hinweisbeschluss vom 4. Februar 2025 - 8 O 211/24, juris). Ein Einzelrichter ist nicht gehalten, gemäß § 348 Abs. 3 ZPO seine Kammer zur Entscheidung über eine Übernahme anzurufen. Dies hat Generalanwalt Rantos in einem Dieselfall herausgestellt (EuGH, Schlussanträge des Generalanwalts vom 2. Juni 2022, C-100/21, Rn. 75 ff.):

„Daher bin ich der Ansicht, dass Art. 267 AEUV einer nationalen Regelung entgegensteht, die, wenn ein Einzelrichter meint, dass sich im Rahmen einer bei ihm anhängigen Rechtssache eine Frage nach der Auslegung oder der Gültigkeit des Unionsrechts stellt, die eine Entscheidung des Gerichtshofs erfordert, diesem vorschreibt, diese Frage einer Zivilkammer vorzulegen, und er folglich daran gehindert ist, den Gerichtshof um Vorabentscheidung zu ersuchen.“

Den Volltext der Entscheidung finden Sie hier:

BAG
Urteil vom 20.02.2025
8 AZR 61/24

Das BAG hat entschieden, das ein ungutes Gefühl allein bei verspäteter Auskunftserteilung nach Art. 15 DSGVO keinen Schadensersatzanspruch aus Art. 82 DSGVO begründet.

Aus den Entscheidungsgründen:
bb) Das Landesarbeitsgericht hat ausgehend vom Vorbringen des Klägers auch einen Schaden in Form von negativen Gefühlen allein wegen der verspäteten Erfüllung des Auskunftsanspruchs rechtsfehlerfrei verneint.

(1) Ein immaterieller Schaden kann allein in negativen Gefühlen bestehen (vgl. BAG 17. Oktober 2024 – 8 AZR 215/23 – Rn. 18). Dies betrifft Konstellationen, in denen der bloße Verstoß gegen die Datenschutz-Grundverordnung zu der Befürchtung eines Datenmissbrauchs führt (vgl. EuGH 4. Oktober 2024 – C-200/23 – [Agentsia po vpisvaniyata] Rn. 144 mit Verweis auf die Erwägungsgründe 85 und 146 zur DSGVO; 20. Juni 2024 – C-590/22 – [PS (Fehlerhafte Anschrift)] Rn. 32). Da solche Gefühle für sich genommen nicht beweisbar sind, hat das nationale Gericht die Gesamtsituation und letztlich auch die Glaubwürdigkeit der jeweiligen Klagepartei auf der Grundlage eines substantiierten Sachvortrags zu beurteilen. Steht ein Verstoß gegen die Datenschutz-Grundverordnung iSv. Art. 82 Abs. 1 DSGVO nach richterlicher Beweiswürdigung iSv. § 286 Abs. 1 ZPO zum Nachteil der Klagepartei als geschützter Person fest, mindert sich das Beweismaß bzgl. der Entstehung und der Höhe des Schadens nach § 287 Abs. 1 ZPO (BAG 20. Juni 2024 – 8 AZR 124/23 – Rn. 16 unter Bezugnahme auf BAG 5. Mai 2022 – 2 AZR 363/21 – Rn. 14).

(2) Die verspätete Erfüllung des Auskunftsanspruchs löst geradezu zwangsläufig die Sorge eines Verstoßes gegen sonstige Verpflichtungen aus der Datenschutz-Grundverordnung aus. Dies mag sich mit der Revision als eine besondere Form des Kontrollverlusts darstellen, kann aber auch als eigenständige Fallgruppe verstanden werden. Letztlich ist diese Frage der Einordnung nicht entscheidungserheblich. Wäre schon das Berufen auf solche abstrakten Befürchtungen ausreichend für die Annahme eines Schadens, würde jeder Verstoß gegen Art. 15 DSGVO – so ein Verstoß dagegen einen Schadenersatzanspruch nach Art. 82 Abs. 1 DSGVO dem Grunde nach begründen könnte – zu einem immateriellen Schaden führen. Die eigenständige Voraussetzung des Schadens würde damit bedeutungslos (BAG 17. Oktober 2024 – 8 AZR 215/23 – Rn. 16). Sie wäre stets erfüllt. Dies ist jedoch mit dem dargestellten Normverständnis des Gerichtshofs von Art. 82 Abs. 1 DSGVO, das strikt zwischen Verstoß und Schaden unterscheidet, ebenso wenig zu vereinbaren wie mit den Anforderungen des nationalen Prozessrechts, das die substantiierte Darlegung eines Schadens verlangt (BAG 20. Juni 2024 – 8 AZR 124/23 – Rn. 18; 20. Juni 2024 – 8 AZR 91/22 – Rn. 18).

(a) Entgegen der Auffassung der Revision wird damit keine „vierte Tatbestandsvoraussetzung“, wonach „der Schaden keine dem Verordnungsverstoß immanente Folge sein darf“, geschaffen. Es bedeutet auch nicht, dass „eine besonders enge Kausalität zwischen Verordnungsverstoß und Schaden“ für die Annahme eines Schadens „schädlich“ wäre. Die Rechtsprechung des Gerichtshofs und des Senats folgt nur der in Art. 82 Abs. 1 DSGVO angelegten Eigenständigkeit des Erfordernisses eines Schadens. Dabei ist im Einzelfall zu beurteilen, ob der Verstoß gegen die Datenschutz-Grundverordnung ggf. so schwerwiegende Konsequenzen aufweist, dass ein Schaden in Form von Befürchtungen selbstverständlich angenommen werden kann (zB Datenleck bzgl. Bank- oder Gesundheitsdaten) oder ob der Schaden gesondert begründet werden muss. Dementsprechend besteht auch kein Widerspruch zum Urteil des Senats vom 25. Juli 2024 (- 8 AZR 225/23 -). Der Senat hat in diesem Fall einer unzulässigen Überwachung durch Detektive ausgeführt, der Verlust von Kontrolle und die daraus folgende Befürchtung weiterer Überwachung sei selbsterklärend und bedürfe keiner näheren Darlegung (BAG 25. Juli 2024 – 8 AZR 225/23 – Rn. 34). Diese Begründung war der Schwere der Auswirkungen des Verstoßes geschuldet und kann nicht auf eine lediglich verspätete Auskunftserteilung übertragen werden. Dementsprechend geht auch der Hinweis auf die einen anderen Sachverhalt (Datenabfluss) betreffende Entscheidung des Bundesgerichtshofs vom 18. November 2024 (- VI ZR 10/24 -) fehl.

(b) Gleiches gilt bzgl. der von der Revision angeführten Entscheidung des Obersten Gerichtshofs (Österreich) vom 23. Juni 2021 (- 6 Ob 56/21k -). Dieser Beschluss erging vor den maßgeblichen Urteilen des Gerichtshofs der Europäischen Union.

(c) Die von der Revision unter Bezugnahme auf Rechtsprechung und Schrifttum zutreffend angeführte Bedeutung des Auskunftsanspruchs für die Transparenz der Datenverarbeitung (vgl. hierzu EuGH 22. Juni 2023 – C-579/21 – [Pankki S] Rn. 59 mwN) steht dem Erfordernis der gesonderten Begründung eines Schadens nicht entgegen. Der Verstoß gegen Art. 15 DSGVO begründet auch dann für sich genommen keinen immateriellen Schaden iSv. Art. 82 Abs. 1 DSGVO, wenn die verzögerte oder zunächst verweigerte Auskunftserteilung der Durchsetzung von Rechten entgegensteht, denn dies steht in keinem Zusammenhang mit dem Zweck des Schadenersatzanspruchs. Dieser hat nur eine Ausgleichsfunktion, da eine auf Art. 82 Abs. 1 DSGVO gestützte Entschädigung in Geld ermöglichen soll, den konkret aufgrund des Verstoßes gegen diese Verordnung erlittenen Schaden vollständig auszugleichen. Er erfüllt keine Abschreckungs- oder Straffunktion (EuGH 25. Januar 2024 – C-687/21 – [MediaMarktSaturn] Rn. 50; 21. Dezember 2023 – C-667/21 – [Krankenversicherung Nordrhein] Rn. 87). Daran ändern auch die im Erwägungsgrund 75 zur Datenschutz-Grundverordnung beschriebenen Risiken nichts (aA Gola/Heckmann/Franck 3. Aufl. DSG-VO Art. 15 Rn. 72; Kühling/Buchner/Bergt 4. Aufl. DSG-VO Art. 82 Rn. 18c). Gleiches gilt für die im Erwägungsgrund 85 zur Datenschutz-Grundverordnung angeführten Schadensarten. Der von einem Verstoß gegen die Auskunftspflicht betroffenen Person bleibt zudem der Anspruch auf Ersatz eines etwaigen materiellen Schadens.

(d) Soweit die Revision die angeführte Rechtsprechung des Senats im Widerspruch zum unionsrechtlichen Grundsatz der Äquivalenz sieht, dringt sie ebenfalls nicht durch. Sie begründet diese These mit einem Vergleich zum Ersatz immaterieller Schäden nach § 15 Abs. 2 AGG. Bei diesem Anspruch liege der immaterielle Schaden bereits in der Rechtsverletzung selbst. Gleiches müsse für den Anspruch nach Art. 82 Abs. 1 DSGVO gelten, weil der Erwägungsgrund 85 zur Datenschutz-Grundverordnung die „Diskriminierung“ als Regelschaden benenne. Diese Argumentation verkennt, dass sich der Äquivalenzgrundsatz auf die Ausgestaltung des Verfahrens zur Rechtsdurchsetzung bezieht (vgl. EuGH 9. April 2024 – C-582/21 – [Profi Credit Polska] Rn. 40; BAG 5. Mai 2022 – 2 AZR 363/21 – Rn. 13 ff.). Die Revision behauptet selbst nicht, dass ein Anspruch aus Art. 82 Abs. 1 DSGVO im Hinblick auf das nationale Verfahrensrecht schwerer durchsetzbar wäre als ein solcher aus § 15 Abs. 2 AGG. Sie nimmt lediglich einen Vergleich der materiellen Tatbestandsvoraussetzungen der verschiedenen Normen vor. Deren unterschiedliche Ausgestaltung wird durch den Äquivalenzgrundsatz nicht berührt.

(3) Das Landesarbeitsgericht hat vor diesem Hintergrund zu Recht ausgeführt, dass der Vortrag des Klägers bzgl. angeblich zu befürchtenden „Schindluders“ keine nachvollziehbare Begründung enthält, wo die Beklagte doch in den vergangenen sechs Jahren unstreitig kein „Schindluder“ betrieben habe. Ebenfalls rechtsfehlerfrei ist die Auffassung des Landesarbeitsgerichts, wonach behauptete Emotionen wie Ärger oder Frust („genervt sein“), keinen immateriellen Schaden darstellen (vgl. Fuhlrott/Fischer NZA 2023, 606, 610). Es handelt sich hierbei nur um pauschal gehaltene Unmutsbekundungen.

2. Entgegen der Auffassung der Revision bedarf es keines Vorabentscheidungsersuchens nach Art. 267 AEUV zu der Frage, ob die Nichterfüllung des Auskunftsanspruchs aus Art. 15 iVm. Art. 12 Abs. 3 DSGVO ohne Weiteres einen immateriellen Schaden darstellt. Die Rechtslage ist aus den genannten Gründen durch den Gerichtshof geklärt. Aus demselben Grund muss auch die Antwort des Gerichtshofs auf die achte Vorlagefrage des Amtsgerichts Arnsberg im Verfahren – C-526/24 – [Brillen Rottler] vor dem Gerichtshof nicht abgewartet werden.

Den Volltext der Entscheidung finden Sie hier: