Der BGH hat ein Verfahren über die Reichweite des Auskunftsanspruchs aus Art. 15 DSGVO bis zur Entscheidung des EuGH in den Verfahren C-487/21 bzw. C-307/22 nach § 148 ZPO analog ausgesetzt.
Aus den Entscheidungsgründen: Die Parteien streiten, soweit im Revisionsverfahren noch relevant, über den Regelungsgehalt von Art. 15 Abs. 3 Satz 1 DS-GVO. Die Klägerin hatte im Jahr 2004 bei der Beklagten eine fondsgebundene Rentenversicherung abgeschlossen, die im Jahr 2016 gekündigt und im Jahr 2017 abgerechnet worden war. Im April 2019 machte die Klägerin auf der Grundlage von Art. 15 Abs. 1 DS-GVO Auskunftsrechte geltend. Die Beklagte erteilte diverse Auskünfte und übersandte eine Kopie des Versicherungsantrags. Die Klägerin verlangte daraufhin die Erteilung weiterer Auskünfte sowie die Herausgabe von Abschriften bzw. Kopien der jeweiligen Dokumente, die personenbezogene Daten von ihr enthielten. Das Landgericht hat die Klage abgewiesen. Das Berufungsgericht hat die Beklagte zur Erteilung weiterer Auskünfte verurteilt, den Antrag auf Übermittlung von Kopien der jeweiligen, die personenbezogenen Daten der Klägerin enthaltenden Dokumente jedoch abgewiesen. Der Anspruch auf Erteilung einer Kopie aus Art. 15 Abs. 3 Satz 1 DS-GVO gehe nicht weiter als der Auskunftsanspruch aus Art. 15 Abs. 1 DS-GVO. Es sei daher ausreichend, die in Art. 15 Abs. 1
DS-GVO genannten Angaben in Kopie zu übermitteln. Mit ihrer vom Berufungsgericht hinsichtlich des Anspruchs auf Erteilung von Abschriften und Kopien zugelassenen Revision verfolgt die Klägerin ihren Herausgabeanspruch aus Art. 15 Abs. 3 Satz 1 DS-GVO weiter.
II. Das vorliegende Verfahren ist gemäß § 148 ZPO analog bis zu der Entscheidung des Gerichtshofs der Europäischen Union (im Folgenden: Gerichtshof) in den dort anhängigen Verfahren C-487/21 bzw. C-307/22 auszusetzen.
1. Das Österreichische Bundesverwaltungsgericht hat durch Beschluss vom 9. August 2021 (W211 2222613-2; ECLI:AT:BVWG:2021: W211.2222613.2.00; Rs. C-487/21; ABl. EU C 431 vom 25. Oktober 2021 S. 8 f.) dem Gerichtshof u.a. folgende Fragen zur Vorabentscheidung gemäß Art. 267 AEUV vorgelegt:
1. Ist der Begriff der "Kopie" in Art. 15 Abs. 3 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, ABl L 119/1 vom 4. Mai 2016, S. 1; im Folgenden: "DS-GVO") dahingehend auszulegen, dass damit eine Fotokopie bzw. ein Faksimile oder eine elektronische Kopie eines (elektronischen) Datums gemeint ist, oder fällt dem Begriffsverständnis deutscher, französischer und englischer Wörterbücher folgend unter den Begriff auch eine "Abschrift", un "double" ("duplicata") oder ein "transcript"?
2. Ist Art. 15 Abs. 3 Satz 1 DS-GVO, wonach "der Verantwortliche eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind", zur Verfügung stellt, dahingehend auszulegen, dass darin ein allgemeiner Rechtsanspruch einer betroffenen Person auf Ausfolgung einer Kopie - auch - gesamter Dokumente enthalten ist, in denen personenbezogene Daten der betroffenen Person verarbeitet werden, bzw. auf Ausfolgung einer Kopie eines Datenbankauszuges bei Verarbeitung der personenbezogenen Daten in einer solchen, oder besteht damit - nur - ein Rechtsanspruch für die betroffene Person auf originalgetreue Reproduktion der nach Art. 15 Abs. 1 DS-GVO zu beauskunftenden personenbezogenen Daten?
3. Für den Fall, dass die Frage 2. dahingehend beantwortet wird, dass nur ein Rechtsanspruch für die betroffene Person auf originalgetreue Reproduktion der nach Art. 15 Abs. 1 DS-GVO zu beauskunftenden personenbezogenen Daten besteht, ist Art. 15 Abs. 3 Satz 1 DS-GVO dahingehend auszulegen, dass es bedingt durch die Art der verarbeiteten Daten (zum Beispiel in Bezug auf die im Erwägungsgrund 63 angeführten Diagnosen, Untersuchungsergebnisse, Befunde oder auch Unterlagen im Zusammenhang mit einer Prüfung im Sinne des Urteils des Gerichtshofs der Europäischen Union vom 20. Dezember 2017, C-434/16, ECLI:EU:C:2017:994) und das Transparenzgebot in Art. 12 Abs. 1 DS-GVO im Einzelfall dennoch erforderlich sein kann, auch Textpassagen oder ganze Dokumente der betroffenen Person zur Verfügung zu stellen?
2. Der erkennende Senat hat dem Gerichtshof durch Beschluss vom 29. März 2022 - VI ZR 1352/20 (DB 2022, 1249; Rs. C-307/22) unter Ziff. 3 folgende Frage zur Vorabentscheidung vorgelegt:
Umfasst der Anspruch aus Art. 15 Abs. 3 Satz 1 DS-GVO im Arzt-Patienten-Verhältnis einen Anspruch auf Überlassung von Kopien aller die personenbezogenen Daten des Patienten enthaltenden Teile der Patientenakte oder ist er nur auf Herausgabe einer Kopie der personenbezogenen Daten des Patienten als solche gerichtet, wobei es dem datenverarbeitenden Arzt überlassen bleibt, in welcher Weise er dem betroffenen Patienten
die Daten zusammenstellt?
3. Diese Fragen sind auch im vorliegenden Fall entscheidungserheblich.
Die Parteien streiten darüber, ob sich aus Art. 15 Abs. 3 Satz 1 DS-GVO (lediglich) ein Anspruch auf eine Kopie der nach Art. 15 Abs. 1 DS-GVO zu beauskunftenden Daten oder ein Anspruch auf Herausgabe von Kopien der diese Daten enthaltenden Dokumente ergibt.
4. Aufgrund der Entscheidungserheblichkeit der oben unter II. 1 und 2 genannten Fragen kann der Senat in dieser Sache unter Beachtung seiner in Art. 267 Abs. 3 AEUV enthaltenen Vorlageverpflichtung keine abschließende Sachentscheidung treffen. Eine Vorlage auch dieses Verfahrens an den Gerichtshof würde jedoch dort nicht zu einer schnelleren Beantwortung der maßgeblichen Rechtsfrage führen. Im Gegenteil würde die Funktion des Gerichtshofs im Vorabentscheidungsverfahren beeinträchtigt, wenn die gleiche Rechtsfrage
mehrfach vorgelegt würde. Das Vorabentscheidungsverfahren nach Art. 267 AEUV stellt ein grundlegendes Instrument dar, um den Grundsatz des Vorrangs des Unionsrechts vor nationalem Recht zu verwirklichen und die einheitliche Anwendung des Unionsrechts in allen Mitgliedstaaten zu gewährleisten. Die verbindliche Auslegung des Unionsrechts ist dem Gerichtshof vorbehalten. Da der Gerichtshof aber kein Rechtsmittelgericht für sämtliche mitgliedschaftlichen Verfahren darstellt, genügt es, wenn dort über die klärungsbedürftige Rechtsfrage in den bereits anhängigen Verfahren verhandelt und entschieden wird (vgl. BGH, Beschluss vom 24. Januar 2012 - VIII ZR 236/10, RIW 2012, 405, juris Rn. 8 mwN).
5. Der Senat hält es daher für angemessen, das vorliegende Verfahren gemäß § 148 ZPO analog wegen Vorgreiflichkeit der beim Gerichtshof anhängigen Vorlageverfahren auszusetzen (zur Zulässigkeit dieser Vorgehensweise vgl. BGH, aaO Rn. 9 mwN).
Das OLG Köln hat entschieden, dass der Auskunftsanspruch aus Art. 15 DSGVO nicht teleologisch einschränkend auszulegen ist und nicht nur aus Gründen gemäß Erwägungsgrund 63 der DSGVO geltend gemacht werden kann.
Aus den Entscheidungsgründen: bb. Der Auskunftsanspruch ergibt sich jedoch – wovon das Landgericht zutreffend ausgegangen ist - aus Art. 15 Abs. 1, 3 DS-GVO.
Nach Art. 15 Abs. 1 DS-GVO hat jede betroffene Person, nach Art. 4 Nr. 1 DS-GVO also jede durch personenbezogene Daten identifizierbare oder identifizierte Person, das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie u. a. ein Recht auf Auskunft über diese personenbezogenen Daten. Gemäß Art. 15 Abs. 3 DS-GVO hat der Verantwortliche eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung zu stellen.
Der Begriff der „personenbezogenen Daten“ nach Art. 4 DS-GVO ist dabei weit gefasst (BGH, Urteil vom 15.06.2021, Az. VI ZR 576/19 – zitiert nach juris; vgl. dazu auch unser Urteil vom 26.07.2019 in der Sache 20 U 75/18). Er ist insbesondere nicht auf sensible oder private Informationen beschränkt, sondern umfasst potenziell alle Arten von Informationen sowohl objektiver als auch subjektiver Natur unter der Voraussetzung, dass es sich um Informationen über die in Rede stehende Person handelt (BGH, Urteil vom 15.06.2021, Az. VI ZR 576/19 – zitiert nach juris). Die letztgenannte Voraussetzung ist erfüllt, wenn die Information aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer bestimmten Person verknüpft ist (BGH, Urteil vom 15.06.2021, Az. VI ZR 576/19 – zitiert nach juris). Nicht erforderlich ist, dass es sich um „signifikante biografische Informationen“ handelt, die „im Vordergrund“ des fraglichen Dokuments stehen (BGH, Urteil vom 15.06.2021, Az. VI ZR 576/19 – zitiert nach juris).
Der BGH hat im Rahmen seines Urteils vom 15.06.2021 (Az. VI ZR 576/19 – zitiert nach juris) ausdrücklich klargestellt, dass insbesondere weder Daten des Versicherungsscheins noch die zurückliegende Korrespondenz von Versicherungsnehmer und Versicherer kategorisch vom Anwendungsbericht des Art. 15 DS-GVO ausgeschlossen sind. Die Schreiben des Versicherers an den Versicherungsnehmer sollen dem Auskunftsanspruch vielmehr insoweit unterfallen, als sie Informationen über den Versicherungsnehmer nach den dargestellten Kriterien enthalten.
Im vorliegenden Fall begehrt die Klägerin Auskunft über die Höhe der Beitragserhöhungen in den Jahren 2011 bis 2016 unter Benennung der jeweiligen Tarife durch Zurverfügungstellung der hierzu übermittelten Informationen in Form von Anschreiben, Nachträgen zum Versicherungsschein sowie der zum Zwecke der Beitragserhöhungen übermittelten Begründungen sowie Beiblätter.
Unproblematisch mit der Person des Versicherungsnehmers verknüpft sind die Nachträge zu dem Versicherungsschein; denn aus diesen ergibt sich, in welchem Inhalt und zu welchen Konditionen für den Versicherungsnehmer bei dem Versicherer Versicherungsschutz besteht.
Auch die hierzu übersandten Anschreiben weisen die erforderliche Verknüpfung auf; denn regelmäßig ergibt sich aus diesen (anderes trägt auch die Beklagte nicht vor), dass der Versicherungsnehmer unter einem bestimmten Datum von einer Änderung in Bezug auf seinen Versicherungsvertrag in Kenntnis gesetzt worden ist. Sie stellen regelmäßig zugleich Begründungsschreiben nach § 203 Abs. 5 VVG dar, für die die Verknüpfung daraus folgt, dass diesen zu entnehmen ist, dass und inwieweit Änderungen aus welchen Gründen in einem für den Versicherungsnehmer bestehenden Tarif erfolgt sind.
Die erforderliche Verknüpfung ist schließlich auch für mit den Begründungsschreiben etwa auch übermittelte Beiblätter zu bejahen. Regelmäßig enthalten die Beiblätter zwar – wie die Beklagte vorträgt und wie dem Senat aus zahlreichen Verfahren aus eigener Anschauung bekannt ist – keine konkret auf den Vertrag des jeweiligen Versicherungsnehmers oder dessen Person bezogene Informationen. Diese werden vielmehr identisch einer unbestimmten Vielzahl von Versicherungsnehmern übersandt. Die erforderliche Verknüpfung ergibt sich aber aus dem Umstand, dass diese Beiblatt zu dem jeweiligen Begründungsschreiben waren und damit Teil der mitgeteilten Begründung – hinreichend oder nicht – für die Beitragsanpassung sind. Dies gilt vor allem – aber nicht nur dann – wenn die Beiblätter in dem jeweiligen Anpassungsschreiben ausdrücklich in Bezug genommen werden.
Ob die entsprechenden Informationen dem Versicherungsnehmer bereits bekannt sind (was hier unterstellt werden kann, da die ursprüngliche Übersendung durch die Klägerin nicht bestritten wird) und ob dieser die Unterlagen noch hat oder entschuldbar nicht mehr hat, ist insoweit irrelevant. Denn der BGH hat klargestellt, dass der Umstand, dass Schreiben dem Versicherungsnehmer bekannt sind, den datenschutzrechtlichen Auskunftsanspruch nicht ausschließt (Urteil vom 15.06.2021, Az. VI ZR 576/19 – zitiert nach juris). Dieser könne auch wiederholt Auskunft verlangen.
Soweit die Beklagte meint, jedenfalls nur Kopien der bezogenen Daten, die Gegenstand der Verarbeitung seien, zur Verfügung stellen zu müssen, nicht aber Kopien der betreffenden Akten oder Unterlagen, erschließt sich auf der Grundlage ihres Vortrags schon nicht, wie eine Zurverfügungstellung von Kopien der hier streitgegenständlichen Daten ihrerseits – wenn nicht durch eine Kopie der Unterlagen – erfolgen soll. Die bloße Mitteilung jedenfalls, dass es ein Anpassungsschreiben mit Beiblatt gab, ist zur Erfüllung des Auskunftsanspruchs ersichtlich nicht geeignet.
Zwar wird ein Anspruch auf Herausgabe von Kopien von Unterlagen zum Teil (vgl. etwa OLG Stuttgart, Urt. v. 16.6.2021 – 7 U 325/20) mit der Begründung verneint, nach dem Wortlaut von Art. 15 Abs. 3 S. 1 DS-GVO habe die betroffene Person einen Anspruch nur auf die Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung seien. Der Senat teilt indes die Auffassung des OLG München (Urteil vom 04.10.2021, Az. 3 U 3906/29 - zitiert nach juris; so auch Schmidt-Wudy in: BeckOK Datenschutzrecht, 39. Edition, Stand 01.11.2021, Art, 15 Rn. 85 m.w.N.; Koreng, NJW 2021, 2692), wonach der Begriff der Datenkopie i.S.v. Art. 15 Abs. 3 DS-GVO, der einen eigenständigen Anspruch neben Art. 15 DS-GVO beinhaltet, extensiv auszulegen ist. Folge ist, dass der betroffenen Person von der speichernden Stelle sämtliche von ihm gespeicherten personenbezogenen Daten in der bei ihm vorliegenden Rohfassung als Kopie zu übermitteln sind. Die Urteile des EuGH vom 17.07.2014, Az. C-141/12 und C-372/12 (zitiert nach juris) können zur Begründung der gegenteiligen Auffassung der Beklagten schon deshalb nicht herangezogen werden, weil diese nicht zu Art. 15 DS-GVO, sondern zur Vorgängerregelung in RL 95/46/EG ergangen sind.
Die Geltendmachung eines auf Art. 15 DS-GVO gestützten Auskunftsanspruchs in Fällen wie dem vorliegenden ist auch nicht als rechtsmissbräuchlich, § 242 BGB, zu bewerten.
Richtig ist, dass das Auskunftsrecht der betroffenen Person hinsichtlich der sie betreffenden personenbezogenen Daten dem Zweck dient, sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können (vgl. Erwägungsgrund 63 zur DS-GVO). Es mag unterstellt werden, dass es der Klägerin im vorliegenden Fall im Ergebnis nicht, jedenfalls nicht primär, um den Schutz ihrer Daten geht, sondern um die Vorbereitung vermögensrechtlicher Ansprüche. Der Geltendmachung eines auf Art. 15 DS-GVO gestützten Auskunftsanspruchs steht dies jedoch nicht entgegen. Entsprechendes kann insbesondere nicht der Entscheidung des BGH vom 15.06.2021 (Az. VI ZR 576/19) entnommen werden. Eine Festlegung dazu, ob ein datenschutzrechtlicher Auskunftsanspruch auch besteht, wenn ein Versicherungsnehmer Zwecke verfolgt, die Art. 15 Abs. 1 DS-GVO nicht schützt, ist dort gerade nicht erfolgt.
In Rechtsprechung und Literatur ist die Frage umstritten.
Das OLG München (Hinweisbeschluss vom 24.11.2021, Az. 14 U 6205/21; so sowohl im Ergebnis als auch in der Begründung auch OLG Hamm, Beschluss vom 15.11.2021, Az. 20 U 269/21) etwa hat einen Auskunftsanspruch in einem ähnlich gelagerten Fall (auch) mit der Begründung abgewiesen, dass Sinn und Zweck von Art. 15 Abs. 3 DS-GVO nicht sei, die büromäßig strukturierte Aufarbeitung von Unterlagen des Versicherungsnehmers für diesen durch den Versicherer mit dem Ziel, dem Versicherungsnehmer anschließend die Geltendmachung vermögensrechtlicher Ansprüche zu ermöglichen, wenn er seine Unterlagen nicht aufbewahrt habe.
Nach Auffassung des erkennenden Senats ist eine entsprechende teleologische Einschränkung jedoch nicht vorzunehmen (vgl. bereits das Urteil vom 26.07.2019 in der Sache 20 U 75/18). Daraus, dass Zweck von Art. 15 DS-GVO ist, die Rechtmäßigkeit der Verarbeitung der personenbezogenen Daten sicherzustellen und dem Betroffenen die Durchsetzung der hierzu in der DS-GVO vorgesehenen Rechte zu ermöglichen, folgt keineswegs zwingend , dass der Anspruch auch nur zu diesem Zwecke ausgeübt werden darf. Der Senat teilt vielmehr die ihn überzeugende Auffassung von Bäcker (in: Kühling/Buchner, DS-GVO BDSG, 3. Auflage 2020, Art. 15 Rn. 42d; so auch Wälder, r+s 2021, 98; Schmidt-Wudy in: BeckOK Datenschutzrecht, 39. Edition, Stand 01.11.2021, Art, 15 Rn. 85 ff. m.w.N.), der ausführt, dass sich die Funktion von Art. 15 DS-GVO nicht in einer solchen datenschutzinternen Nutzung der erlangten Informationen erschöpfe. Vielmehr bezwecke die Verordnung insgesamt den Schutz der Rechte und Freiheiten der Person gegen Beeinträchtigungen und Gefährdungen durch Verarbeitungen personenbezogener Daten. Nutze die betroffene Person ihr Recht auf eine Datenkopie, um Informationsasymmetrien zwischen sich und dem Verantwortlichen abzubauen und so ihre Rechte und Freiheiten zu wahren, so sei dies ein legitimes und rechtlich anzuerkennendes Ziel. Dabei komme es nicht darauf an, ob diese Rechte und Freiheiten selbst im Datenschutzrecht oder in einer anderen Teilordnung des Rechts verankert seien. Unbedenklich und grundsätzlich zu erfüllen sei darum etwa ein Kopieersuchen, mit dem die betroffene Person sich Informationen zur Vorbereitung eines Gerichtsverfahrens gegen den Verantwortlichen, in dem sie datenschutzexterne Ansprüche geltend machen will, beschaffen wolle.
Angemerkt sei darüber hinaus, dass es nach Auffassung des Senats ohnehin kaum je auszuschließen sein wird, dass es dem Versicherungsnehmer zumindest auch um den Schutz seiner Daten geht. Auch vor diesem Hintergrund erscheint es als nicht sinnvoll, das Bestehen des Auskunftsanspruchs nach der DS-GVO von einer entsprechenden – nicht überprüfbaren – Behauptung zur inneren Motivation des jeweiligen Anspruchstellers abhängig zu machen.
Unter Zugrundelegung dessen ist die Beklagte auch nicht berechtigt, die Auskunft nach Art. 12 Abs. 5 S. 2 DS-GVO zu verweigern. Denn der Antrag stellt sich nicht allein deshalb als exzessiv dar, weil es der Klägerin nicht primär um die Wahrung ihrer Rechte aus der DS-GVO gehen mag. Für eine Schikane oder ein in unangemessen kurzen Abständen wiederkehrendes Auskunftsersuchen ist ebenfalls nichts ersichtlich. Ob das Ansinnen der Beklagten, die Überprüfung der Rechtmäßigkeit der von ihr gestellten Beitragsforderungen durch ihren Versicherungsnehmer durch die Nichtherausgabe gespeicherter Unterlagen nach Möglichkeit zu erschweren, vor dem Hintergrund vertraglicher Fürsorgepflichten schutzwürdig ist, mag dahinstehen.
Die Beklagte kann all dem schließlich auch nicht entgegenhalten, der Auskunftsantrag sei auf Ausforschung gerichtet und widerspreche daher dem zivilprozessualen Beibringungsgrundsatz. Denn vorliegend geht es nicht um die Frage der Substantiierung und Darlegungslast im Zivilprozess, sondern um das Bestehen eines materiell-rechtlichen Auskunftsanspruchs.
Der Anspruch ist entgegen der Annahme der Beklagten auch nicht durch Erfüllung erloschen. Erteilt hat die Beklagte als Anlage C 22 (Bl. 582 d.A.) zur Berufungsbegründung zwar nunmehr Auskunft zur Beitragshöhe in den jeweiligen Tarifen. Hierdurch ist indes keine, auch keine teilweise Erfüllung eingetreten ist, weil sich aus den tabellarischen Übersichten nur die Höhe der im jeweiligen Tarif insgesamt zu entrichtenden Beiträge, nicht aber der jeweilige Erhöhungsbetrag ersehen lässt. Dieser lässt sich auch nicht in allen Fällen errechnen, weil etwa der Beitrag für das Jahr 2010 als Ausgangswert nicht angegeben ist.
Der auf Art. 15 DS-GVO gestützte Auskunftsanspruch ist schließlich auch nicht verjährt. Eine Verjährung könnte hier frühestens mit der Löschung der gespeicherten Daten beginnen, die die Beklagte jedoch selbst nicht behauptet. Darauf, ob Zahlungsansprüche, die mit Hilfe der erteilten Auskünften substantiiert werden könnten, verjährt wären, kommt es für den datenschutzrechtlichen Auskunftsanspruch nicht an.
Der BGH hat dem EuGH zur Vorabentscheidung vorgelegt, ob bzw. in welchem Umfang der Anspruch des Patienten gegen seinen Arzt auf kostenfreie Zurverfügungstellung der in der Patientenakte gespeicherten personenbezogenen Daten nach Art. 15 Abs. 3 DSGVO durch § 630g Abs. 2 Satz 2 BGB beschränkt ist.
Leitsatz des BGH:
Vorlagefragen an den Gerichtshof der Europäischen Union zur Auslegung von Art. 15 Abs. 3 Satz 1 i.V.m. Art. 12 Abs. 5 und Art. 23 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, DS-GVO, ABl. EU L 119 vom 4. Mai 2016 S. 1) bezüglich der Reichweite des unionsrechtlichen Anspruchs des Patienten gegen den behandelnden Arzt auf kostenfreie Zurverfügungstellung einer ersten Kopie seiner in der Patientenakte verarbeiteten personenbezogenen Daten und der Möglichkeit einer Beschränkung dieses Anspruchs durch § 630g Abs. 2 Satz 2 BGB.
BGH, Beschluss vom 29. März 2022 - VI ZR 1352/20 - LG Dessau-Roßlau - AG Köthen
Auch das OLG Nürnberg hat entschieden, dass Rechtsmissbrauch vorliegt, wenn Auskunft gemäß Art. 15 DSGVO nicht aus den in Erwägungsgrund 63 der DSGVO genannten Gründen verlangt wird.
Aus den Entscheidungsgründen: (4) Der geltend gemachte Auskunftsanspruch ergibt sich schließlich auch nicht aus Art. 15 Abs. 1 DS-GVO. Denn der Beklagten steht ein Weigerungsrecht aus Art. 12 Abs. 5 Satz 2 lit. b) DS-GVO zu. Die Vorschrift führt zwar lediglich die häufige Wiederholung als Beispiel für einen „exzessiven“ Antrag auf. Die Verwendung des Wortes „insbesondere“ macht aber deutlich, dass die Vorschrift auch andere rechtsmissbräuchliche Anträge erfassen will (vgl. Heckmann/Paschke in: Ehmann/Selmayr, Datenschutz-Grundverordnung, 2. Aufl., Art. 12 Rn. 43; Paal/Hennemann in: Paal/Pauly, DS-GVO BDSG, 3. Aufl., Art. 12 DS-GVO Rn. 66 m.w.N.).
Bei der Auslegung, was in diesem Sinne rechtsmissbräuchlich ist, ist auch der Schutzzweck der DS-GVO zu berücksichtigen. Wie sich aus dem Erwägungsgrund 63 der Verordnung ergibt, ist Sinn und Zweck des in Art. 15 DS-GVO normierten Auskunftsrechts, es der betroffenen Person problemlos und in angemessenen Abständen zu ermöglichen, sich der Verarbeitung der sie betreffenden personenbezogenen Daten bewusst zu werden und die Rechtmäßigkeit dieser Verarbeitung überprüfen zu können (vgl. auch BGH, Urteil vom 15.06.2021 - VI ZR 576/19, VersR 2021, 1019 Rn. 23). Um ein solches Bewusstwerden zum Zweck einer Überprüfung der datenschutzrechtlichen Zulässigkeit der Verarbeitung personenbezogener Daten geht es dem Kläger aber ersichtlich nicht. Sinn und Zweck der von ihm begehrten Auskunftserteilung ist vielmehr - wie sich aus der Koppelung mit den unzulässigen Klageanträgen auf Feststellung und Zahlung zweifelsfrei ergibt - ausschließlich die Überprüfung etwaiger von der Beklagten vorgenommener Prämienanpassungen wegen möglicher formeller Mängel nach § 203 Abs. 5 WG. Eine solche Vorgehensweise ist vom Schutzzweck der DS-GVO aber nicht umfasst (vgl. OLG Hamm, BeckRS 2021,40312 Rn. 11; LG Wuppertal, r+s 2021, 696 Rn. 33).
(5) Auch soweit die Beklagte als Versicherer gesetzlich zur Aufbewahrung von Unterlagen verpflichtet ist, folgt daraus kein Auskunftsanspruch des Klägers. Denn der Gesetzgeber verfolgt mit der Aufbewahrungspflicht kein Anliegen des Versicherungsnehmers, insbesondere soll sie dem jeweiligen Geschäftsgegner nicht die spätere Durchsetzung eigener Rechte ermöglichen (vgl. OLG München, r+s 2022, 94 Rn. 52).
BGH
Urteil vom 22.02.2022 VI ZR 14/21
DS-GVO Art. 15 Abs. 1 Halbsatz 2 lit. g
Der BGH hat entschieden, dass der Auskunftsanspruch aus Art. 15 DSGVO durch datenschutzrechtlich geschützte Interessen Dritter eingeschränkt sein kann. Insofern ist eine Abwägung des Einzelfalls erforderlich.
Leitsatz des BGH:
Zur Beschränkung des Auskunftsrechts über die Herkunft von Daten gemäß Art. 15 Abs. 1 Halbsatz 2 lit. g DS-GVO durch datenschutzrechtlich geschützte Interessen Dritter.
BGH, Urteil vom 22. Februar 2022 - VI ZR 14/21 - OLG Stuttgart - LG Ravensburg
OLG Schleswig-Holstein
Beschluss vom 23.03.2022 9 Wx 23/21
Das OLG Schleswig-Holstein hat entschieden, dass Instagram dem Geschädigten bei einer Persönlichkeitsrechtsverletzung Auskunft über E-Mail-Adresse und Telefonnummer des Nutzers geben muss.
Die Pressemitteilung des Gerichts: Auskunftsanspruch gegen Betreiberin einer Social-Media-Plattform bei Verletzung des Persönlichkeitsrechts
Die Betreiberin der Plattform www.instagram.com ist verpflichtet, über den Namen, die E-Mail-Adresse und die Telefonnummer eines Nutzers Auskunft zu erteilen, wenn durch den Inhalt des Nutzer-Accounts eine strafrechtlich relevante Verletzung des allgemeinen Persönlichkeitsrechts erfolgt. Dem Auskunftsantrag einer verletzten Person hat der 9. Zivilsenat des Schleswig-Holsteinischen Oberlandesgerichts in dieser Woche stattgegeben.
Zum Sachverhalt: Eine der Antragstellerin unbekannte Person eröffnete zu einem unbekannten Zeitpunkt einen Account auf der Social-Media-Plattform „Instagram“ mit einem Nutzernamen, der den Vornamen der Antragstellerin und die Angabe „wurde gehackt“ enthielt. In den Account wurden Bilder eingestellt, die eine lediglich mit Unterwäsche bekleidete junge Frau zeigten, deren Gesicht jeweils durch ein Smartphone verdeckt war. Auf den Fotos waren Äußerungen zu lesen, die den Eindruck erweckten, die abgebildete Person sei an einer Vielzahl von sexuellen Kontakten interessiert. Nachdem die Antragstellerin von anderen Personen erkannt und auf den Inhalt des Accounts angesprochen worden war, meldete sie das Konto bei der Plattformbetreiberin und es wurde gesperrt. Das Landgericht hat ihren Antrag, Auskunft über die Nutzungsdaten zu erteilen, abgelehnt. Die gegen diese Ablehnung gerichtete Beschwerde vor dem 9. Zivilsenat des Oberlandesgerichts hatte im Hinblick auf den Namen, die E-Mail-Adresse und die Telefonnummer des Nutzers Erfolg.
Aus den Gründen: Die Antragstellerin hat einen Anspruch auf Auskunftserteilung über Bestandsdaten gegenüber der Betreiberin der Social-Media-Plattform „Instagram“ nach § 21 Abs. 2, Abs. 3 Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG). Ein solcher Auskunftsanspruch besteht, soweit die Auskunft zur Durchsetzung zivilrechtlicher Ansprüche wegen der Verletzung absolut geschützter Rechte aufgrund rechtswidriger Inhalte erforderlich ist. Vorliegend erfüllen die Schaffung des Fake-Accounts und das Einstellen der Fotos mit Kommentaren im Zusammenhang gesehen den Tatbestand der Beleidigung im Sinne des § 185 StGB. Durch das Erstellen des Fake-Accounts und Hochladen der Fotos nebst Kommentaren wird suggeriert, die Antragstellerin wolle sich auf diese Weise zur Schau stellen und den Besuchern der Seite ihr sexuelles Interesse mitteilen. Dadurch, dass ihr diese unsittliche Verhaltensweise zugeordnet wird, wird der soziale Geltungswert der Antragstellerin gemindert. Dies stellt eine Beleidigung im Sinne des § 185 StGB dar. Um ihre Rechte gegenüber dem unbekannten Ersteller des Fake-Accounts zivilrechtlich geltend machen zu können, ist die Antragstellerin auf die Auskunft der Betreiberin der Plattform angewiesen. Eine andere Möglichkeit, den Ersteller des Nutzerkontos zu ermitteln, hat sie nicht.
(Schleswig-Holsteinisches Oberlandesgericht, Beschluss vom 23.03.2022, Az. 9 Wx 23/21).
LAG Berlin-Brandenburg
Urteil vom 18.11.2021 10 Sa 443/21
Das LAG Berlin-Brandenburg hat dem Betroffenen in diesem Fall 2.000 EURO Schadensersatz aus Art. 82 DSGVO wegen verspäteter bzw. unvollständiger Auskunft nach Art. 15 DSGVO zugesprochen.
Aus den Entscheidungsgründen: Die Berufung des Klägers ist aber nur teilweise begründet.
Zutreffend hat die Beklagte in der Berufungserwiderung die jeweiligen Prüffragen für den geltend gemachten Anspruch aufgeworfen.
1. Liegt ein Verstoß gegen Art. 15 DSGVO vor?
2. Ist die Beklagte für einen etwaigen Verstoß verantwortlich?
3. Ist beim Kläger ein Schaden entstanden?
4. Gibt es eine Kausalität zwischen einem etwaigen Verstoß der Beklagten gegen Art. 15 Abs. 1 DSGVO und einem etwaigen beim Kläger eingetretenen Schaden?
5. Trifft den Kläger ein etwaiges Mitverschulden bzw. ist der etwaige Anspruch verwirkt oder rechtsmissbräuchlich geltend gemacht?
6. Ist ggf. die geltend gemachte Entschädigungssumme angemessen?
1. Nach Art. 15 Abs. 1 DSGVO hat der Kläger grundsätzlich das Recht, von der Beklagten eine Bestätigung darüber zu verlangen, ob sie ihn betreffende personenbezogene Daten verarbeitet und ggf. auf Auskunft über diese personenbezogenen Daten und u.a. auf folgende Informationen:
a) die Verarbeitungszwecke;
b) die Kategorien personenbezogener Daten, die verarbeitet werden;
c) die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;
d) falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
e) das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
f) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
g) wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;
Diese Informationen hat die Beklagte dem Kläger nur teilweise erteilt.
2. Es mag sein, dass die Beklagte große Mengen Daten über den Kläger verarbeitet hat. Konkrete Angaben dazu hat die Beklagte nicht gemacht. Anders als das Arbeitsgericht meint, ist das in diesem Fall aber auch unerheblich, da der Kläger keine generelle Auskunft hinsichtlich der von der Beklagten über ihn gespeicherten Daten verlangt hat, sondern beschränkt auf zwei Sachverhalte.
2.1 Zum einen ging es um die Anhörung des Betriebsrates und dessen Zustimmung. Durch die Bezugnahme auf Art. 15 DSGVO war aber in jedem Fall klar und eindeutig, dass der Kläger nicht nur um das Anhörungsschreiben der Arbeitgeberin und das Antwortschreiben des Betriebsrates ging, sondern zugleich auch um die in der Vorschrift genannten weiteren Aspekte. Mit der erteilten Auskunft durch Übersendung der beiden Schreiben hat die Beklagte allenfalls die Auskunftspflicht nach Art. 15 Abs. 1 a) und b) DSGVO erfüllt. Den weitergehenden Anspruch nach Buchst. c) bis g) hat die Beklagte mit ihrer Antwort vom 23. August 2019 offensichtlich nicht erfüllt.
Weder hat die Beklagte mitgeteilt, ob und ggf. gegenüber welchen Personen oder Stellen sie den Versetzungsvorgang offengelegt hat oder noch offenlegen werde noch wann bzw. nach welchen Kriterien eine Löschung der Daten erfolgen werde. Auch auf das Bestehen eines Rechts auf Berichtigung oder Löschung der den Kläger betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch die Beklagte oder eines Widerspruchsrechts gegen diese Verarbeitung und das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde hat die Beklagte nicht hingewiesen. Da die Daten offenbar nicht beim Kläger erhoben worden waren, hätte es auch einer Information über die Herkunft der Daten bedurft, also wer jeweils an dem Vorgang beteiligt war.
2.2 Zum anderen ging es um die Abmahnung vom 29. Mai 2019. Auch hier hat die Beklagte durch die Übersendung des Antrags des Herrn A auf Erteilung einer Abmahnung und dem sogenannten Logbuch-Eintrag allenfalls die Auskunftspflicht nach Art. 15 Abs. 1 a) und b) DSGVO erfüllt. Den weitergehenden Anspruch nach Buchst. c) bis g) hat die Beklagte mit ihrer Antwort vom 23. August 2019 auch zu diesem Vorgang offensichtlich nicht erfüllt.
Weder hat die Beklagte mitgeteilt, ob und ggf. gegenüber welchen Personen oder Stellen sie den Abmahnungsvorgang offengelegt hat oder noch offenlegen werde noch wann bzw. nach welchen Kriterien eine Löschung der Daten erfolgen werde. Auch auf das Bestehen eines Rechts auf Berichtigung oder Löschung der den Kläger betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch die Beklagte oder eines Widerspruchsrechts gegen diese Verarbeitung und das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde hat die Beklagte den Kläger nicht hingewiesen. Da die Daten offenbar nicht beim Kläger erhoben worden waren, hätte es auch einer Information über die Herkunft der Daten bedurft, also wer jeweils an dem Vorgang beteiligt war.
3. Dass diese Informationen fehlen, ist offensichtlich. Denn durch einen einfachen Blick in den Text des Art. 15 Abs. 1 DSGVO hätte die Beklagte feststellen können, was der Kläger von ihr verlangt. Insofern ist die Beklagte auch für die unzureichende Information und damit den Verstoß gegen Art. 15 Abs. 1 DSGVO verantwortlich.
4. Wie der Kläger zutreffend ausgeführt hat, liegt bei ihm ein Schaden vor. Unter Bezugnahme auf eine Entscheidung des LAG Niedersachsen vom 22. Oktober 2021 – 16 Sa 761/20 besteht unabhängig von dem Erreichen einer Erheblichkeitsschwelle bei Verstößen gegen Regelungen der DSGVO ein immaterieller Schadensersatzanspruch. Hierbei ist zu berücksichtigen, dass gerade ausgehend von Erwägungsgrund 146 Satz 3 zur DSGVO eine weite Auslegung geboten ist, um den Zielen der Verordnung in vollem Umfang zu entsprechen. Hiermit wäre es unvereinbar, würde eine Schadensersatzpflicht nur bei erheblichen Rechtsverstößen eintreten, da dann eine Vielzahl von Fallgestaltungen denkbar wäre, in denen Betroffene trotz Verstößen gegen die Regelungen der DSGVO keine Kompensation erhielten. Ferner kann, um die Regelungen der DSGVO effektiv durchzusetzen, auch auf eine abschreckende Wirkung des Schadensersatzes abgestellt werden (vgl. EuGH 17. Dezember 2015 – C-407/14 – Rn. 44). Zudem sollen die betroffenen Personen nach Erwägungsgrund 146 Satz 3 einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten. Dass ein Schaden erlitten ist, ergibt sich nicht erst bei Überschreiten einer gewissen Erheblichkeitsschwelle - der Schwere der Pflichtverstöße und damit einhergehenden Beeinträchtigungen kann vielmehr effektiv auf Ebene der Höhe des Schadensersatzes begegnet werden.
Indem die Beklagte ihrer Auskunftsverpflichtung inhaltlich nicht hinreichend nachgekommen ist, hat der Kläger keine ausreichenden Kenntnisse über die Verarbeitung seiner personenbezogenen Daten erlangt. Insofern ist ein Kontrollverlust eingetreten und ihm wurde die Möglichkeit der Überprüfung der Rechtmäßigkeit der Verarbeitung seiner personenbezogenen Daten unmöglich gemacht oder erschwert.
5. Die Kausalität zwischen der unzureichenden Auskunft der Beklagten und der Ungewissheit beim Kläger, welche Daten bei der Beklagten bezüglich der zwei konkret benannten Sachverhalte verarbeitet worden sind, liegt auf der Hand. Es bedurfte keines ergänzenden Auskunftsverlangens, da allein der Blick in den Verordnungstext ausreicht, um die Unvollständigkeit der Auskunft zu erkennen.
6. Der Anspruch des Klägers ist auch nicht verwirkt oder aus anderem Grunde rechtsmissbräuchlich geltend gemacht worden. Zwar ist es ungewöhnlich, dass der Kläger bereits mit der Klageschrift sein Schreiben vom 22. Juli 2019 und das Antwortschreiben der Beklagten vom 23. August 2019 eingereicht hat, ohne diesbezüglich einen Streitgegenstand hinsichtlich Art. 15 DSGVO zu eröffnen. Dadurch mag ein für die Verwirkung erforderliches Zeitmoment zwischen dem 23. August 2019 und dem 21. Dezember 2020 entstanden sein. Ein darüber hinaus erforderliches Umstandsmoment ist jedoch weder vorgetragen noch ersichtlich. Da sich die beiden Schreiben nicht nur mit Art. 15 DSGVO, sondern auch mit der Rückgängigmachung der Versetzung und der Entfernung der Abmahnung aus der Personalakte des Klägers beschäftigten, war es für eine vollständige Sachverhaltsdarstellung erforderlich, diese der Klageschrift beizufügen. Denn in der Klageschrift ging es zunächst (nur) um diese beiden Sachverhalte.
Angesichts des offensichtlich nicht vollständig erfüllten Auskunftsanspruchs bedurfte es entgegen der Ansicht der Beklagten auch keines Hinweises des Klägers, dass der Anspruch mit dem Schreiben vom 23. August 2019 nicht erfüllt sei.
7. Dem Kläger ist in Anbetracht der Pflichtverstöße der Beklagten nach richterlichem Ermessen gem. § 287 Abs. 1 ZPO ein immaterieller Schadensersatz in Höhe von 2.000,-- Euro zuzusprechen.
Die Schadensersatzansprüche sollen, worauf auch das LAG Niedersachsen in dem Urteil vom 22. Oktober 2021 – 16 Sa 761/20 unter Bezugnahme auf Entscheidungen anderer Gerichte hingewiesen hat, generell eine Abschreckungswirkung haben. Unter Berücksichtigung des Erwägungsgrundes 146 Satz 6 zur DSGVO soll die betroffene Person einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten. Verstöße müssen effektiv sanktioniert werden. Schadenersatz bei Datenschutzverstößen sollen eine abschreckende Wirkung haben, um der Datenschutzgrundverordnung zum Durchbruch zu verhelfen.
Gemessen an der Zweckrichtung des Schadensersatzes hält die Kammer unter Berücksichtigung und Abwägung der Umstände des vorliegenden Falls einen immateriellen Schadensersatz in Höhe von 1.000,-- Euro je unvollständig beantwortetem Auskunftsverlangen für angemessen. Hierbei ist zu berücksichtigen, dass die Auskunft der Beklagten offensichtlich unvollständig erfolgte. Auch nach der Klageerweiterung vom 21. Dezember 2020 hat die Beklagte die Auskunft nicht vervollständigt. Durch die unzureichende Auskunft hatte der Kläger keine umfassende Kenntnis über die Verarbeitung seiner personenbezogenen Daten durch die Beklagte bei zwei für ihn nachteiligen Sachverhalten (Versetzung und Abmahnung).
Durch einen Schadenersatz von jeweils 1.000,-- EUR wird ausreichend sichergestellt, dass durch die Zahlung eines spürbaren Betrages der Regelung des Art. 15 DSGVO zur Geltung verholfen wird und die Verpflichteten angehalten werden, die entsprechenden Maßgaben einzuhalten.
Das Bundesverfassungsgericht hat entschieden, dass Facebook Renate Künast Auskunft über Bestandsdaten von weiteren Nutzern, die Hasspostings gepostet haben, erteilen muss.
Die Pressemitteilung des Bundesverfassungsgerichts:
Erfolgreiche Verfassungsbeschwerde gegen fachgerichtliche Versagung der Auskunft über Bestandsdaten gegenüber einer Social Media Plattform
Mit heute veröffentlichtem Beschluss hat die 2. Kammer des Ersten Senats des Bundesverfassungsgerichts Entscheidungen von Fachgerichten aufgehoben, mit denen der Beschwerdeführerin die notwendige gerichtliche Anordnung zur Auskunft über Bestandsdaten gegenüber einer Social Media Plattform versagt wurden.
Die Beschwerdeführerin möchte vor den Fachgerichten erreichen, dass eine Social Media Plattform die bei ihr vorhandenen personenbezogenen Daten über mehrere Nutzer herausgibt, die auf der Plattform Kommentare über die Beschwerdeführerin getätigt haben. Die Fachgerichte stuften im Ergebnis lediglich 12 der 22 im Ausgangsverfahren gegenständlichen Kommentare als strafbare Beleidigungen ein und gestatteten die Beauskunftung über die bei der Social Media Plattform vorhandenen Bestandsdaten. Im Übrigen wurde eine Beauskunftung abgelehnt. Die Entscheidungen verletzen die Beschwerdeführerin in ihrem allgemeinen Persönlichkeitsrecht aus Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG, soweit sie die Anordnung hinsichtlich der zehn verbliebenen Kommentare versagt haben. Die Fachgerichte haben unter Verkennung von Bedeutung und Tragweite des Persönlichkeitsrechts die verfassungsrechtlich erforderliche Abwägung zwischen der Meinungsfreiheit und dem Persönlichkeitsrecht unterlassen.
Sachverhalt:
Nach § 14 Abs. 3 Telemediengesetz a. F. (nunmehr § 21 Abs. 2 und 3 des Telekommunikation-Telemedien-Datenschutz-Gesetzes) durfte ein Diensteanbieter im Einzelfall Auskunft über die bei ihm vorhandenen Bestandsdaten erteilen, soweit dies zur Durchsetzung zivilrechtlicher Ansprüche wegen der Verletzung absolut geschützter Rechte aufgrund rechtswidriger Inhalte erforderlich ist. Für diese Auskunftserteilung war eine vorherige gerichtliche Anordnung erforderlich. Rechtswidrige Inhalte in diesem Sinne waren unter anderem Inhalte, die den Tatbestand nach §§ 185 bis 187 des Strafgesetzbuchs erfüllten und nicht gerechtfertigt waren.
Auf einem Internetblog stellte dessen Inhaber Ende Oktober 2016 unter dem Titel „[Name der Beschwerdeführerin] findet Kinderficken ok, solange keine Gewalt im Spiel ist“ das Bild der Beschwerdeführerin ein mit folgendem, scheinbar ein Zitat der Beschwerdeführerin darstellenden Text:
„Komma, wenn keine Gewalt im Spiel ist, ist der Sex mit Kindern doch ganz ok. Ist mal gut jetzt.“
Hintergrund war die im Jahr 2015 noch einmal aufgekommene Debatte betreffend die Haltung der Partei DIE GRÜNEN zur Pädophilie in den 1980er Jahren. So wurde im Mai 2015 unter anderem über einen Zwischenruf der Beschwerdeführerin im Berliner Abgeordnetenhaus im Mai 1986 berichtet. Während eine Abgeordnete der Grünen über häusliche Gewalt sprach, stellte ein Abgeordneter der Regierungskoalition die Zwischenfrage, wie die Rednerin denn zu einem Beschluss der Grünen in Nordrhein-Westfalen stehe, wonach die Strafandrohung wegen sexueller Handlungen an Kindern aufgehoben werden solle. Anstelle der Rednerin rief laut Protokoll des Abgeordnetenhauses die Beschwerdeführerin: „Komma, wenn keine Gewalt im Spiel ist!“
Die Beschwerdeführerin nahm den Bloginhaber wegen seines ursprünglichen Eintrags auf Unterlassung in Anspruch und verlangte ein Schmerzensgeld. Daraufhin veröffentlichte der Bloginhaber Anfang 2019 auf seiner Seite auf der Social Media Plattform einen weiteren Text. Es folgt das Bild der Beschwerdeführerin mit dem aus dem ursprünglichen Blogbeitrag bekannten Text, der kein zutreffendes Zitat einer Äußerung der Beschwerdeführerin ist. Im April und Mai 2019 reagierten zahlreiche Nutzer der Social Media Plattform auf diese Veröffentlichung und kommentierten sie ihrerseits - soweit verfahrensgegenständlich - unter anderem wie folgt:
„Pädophilen-Trulla“; „Die alte hat doch einen Dachschaden, die ist hol wie Schnittlauch man kann da nur noch“; „Mensch… was bist Du Krank im Kopf!!!“; Die ist Geisteskrank“; „Ich könnte bei solchen Aussagen diese Personen die Fresse polieren“; „Sperrt diese kranke Frau weck sie weiß nicht mehr was sie redet“; „Die sind alle so krank im Kopf“; Gehirn Amputiert“; „Kranke Frau“ und „Sie wollte auch mal die hellste Kerze sein, Pädodreck.“.
In der Folge begehrte die Beschwerdeführerin die Gestattung der Auskunftserteilung über die Bestandsdaten dieser Nutzer der Social Media Plattform. Das Landgericht gestattete im Ergebnis die Beauskunftung von sechs Kommentaren. Das Kammergericht gestattete zusätzlich die Beauskunftung weiterer sechs Kommentare. Im Übrigen führte es aus, dass die Schwelle zum Straftatbestand des § 185 StGB nicht überschritten sei. Denn es liege kein Fall der abwägungsfreien Diffamierung vor und die Verletzung des Persönlichkeitsrechts erreiche kein solches Gewicht, dass die Äußerungen unter Einbeziehung des Kontexts lediglich als persönliche Herabsetzung und Schmähung der Beschwerdeführerin erschienen.
Die Beschwerdeführerin rügt unter anderem die Verletzung ihres allgemeinen Persönlichkeitsrechts aus Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG.
Wesentliche Erwägungen der Kammer:
Die Verfassungsbeschwerde hat Erfolg.
I. Die Auslegung und Anwendung des Fachrechts ist Aufgabe der ordentlichen Gerichte. Bei ihrer Entscheidung haben sie jedoch dem Einfluss der Grundrechte auf die einfachgesetzlichen Vorschriften Rechnung zu tragen. Die Zivilgerichte verstehen das allgemeine Persönlichkeitsrecht in verfassungsrechtlich nicht zu beanstandender Weise als einen offenen Tatbestand, bei dem die Feststellung einer rechtswidrigen Verletzung eine ordnungsgemäße Abwägung voraussetzt.
1. Weichenstellend für die Prüfung einer Verletzung des Persönlichkeitsrechts ist die Erfassung des Inhalts der verfahrensgegenständlichen Äußerungen. Auf der zutreffenden Sinnermittlung einer Äußerung aufbauend erfordert die Annahme einer Beleidigung nach § 185 StGB grundsätzlich eine abwägende Gewichtung der Beeinträchtigungen, die den betroffenen Rechtsgütern und Interessen, hier also der Meinungsfreiheit und der persönlichen Ehre, drohen. Eine Abwägung ist nur ausnahmsweise entbehrlich, wenn die streitgegenständliche Äußerung sich als Schmähung oder Schmähkritik, als Formalbeleidigung oder als Angriff auf die Menschenwürde darstellt.
2. Liegt keine dieser eng umgrenzten Ausnahmekonstellationen vor, begründet dies bei Äußerungen, mit denen bestimmte Personen in ihrer Ehre herabgesetzt werden, kein Indiz für einen Vorrang der Meinungsfreiheit.Voraussetzung einer strafrechtlichen Sanktion ist dann allerdings eine grundrechtlich angeleitete Abwägung. Hierfür bedarf es einer umfassenden Auseinandersetzung mit den konkreten Umständen des Falles und der Situation, in der die Äußerung erfolgte.
Das bei der Abwägung anzusetzende Gewicht der Meinungsfreiheit ist umso höher, je mehr die Äußerung darauf zielt, einen Beitrag zur öffentlichen Meinungsbildung zu leisten, und umso geringer, je mehr es hiervon unabhängig lediglich um die emotionalisierende Verbreitung von Stimmungen gegen einzelne Personen geht. Bei der Gewichtung der durch eine Äußerung berührten grundrechtlichen Interessen ist zudem davon auszugehen, dass der Schutz der Meinungsfreiheit gerade aus dem besonderen Schutzbedürfnis der Machtkritik erwachsen ist und darin unverändert seine Bedeutung findet.In die Abwägung ist daher einzustellen, ob die Privatsphäre der Betroffenen oder ihr öffentliches Wirken mit seinen - unter Umständen weitreichenden - gesellschaftlichen Folgen Gegenstand der Äußerung ist und welche Rückwirkungen auf die persönliche Integrität der Betroffenen von einer Äußerung ausgehen können. Allerdings bleiben die Gesichtspunkte der Machtkritik und der Veranlassung durch vorherige eigene Wortmeldungen im Rahmen der öffentlichen Debatte in eine Abwägung eingebunden und erlauben nicht jede auch ins Persönliche gehende Beschimpfung von Amtsträgerinnen und Amtsträgern oder Politikerinnen und Politikern. Gegenüber einer auf die Person abzielenden, insbesondere öffentlichen Verächtlichmachung oder Hetze setzt die Verfassung allen Personen gegenüber äußerungsrechtliche Grenzen und nimmt hiervon Personen des öffentlichen Lebens und Amtsträgerinnen und Amtsträger nicht aus. Dabei liegt insbesondere unter den Bedingungen der Verbreitung von Informationen durch „soziale Netzwerke“ im Internet ein wirksamer Schutz der Persönlichkeitsrechte von Amtsträgerinnen und Amtsträgern sowie Politikerinnen und Politikern über die Bedeutung für die jeweils Betroffenen hinaus im öffentlichen Interesse, was das Gewicht dieser Rechte in der Abwägung verstärken kann. Denn eine Bereitschaft zur Mitwirkung in Staat und Gesellschaft kann nur erwartet werden, wenn für diejenigen, die sich engagieren und öffentlich einbringen, ein hinreichender Schutz ihrer Persönlichkeitsrechte gewährleistet ist.
II. Die angegriffenen Entscheidungen genügen diesen Anforderungen nicht.
1. Im Ausgangspunkt zutreffend erkennt das Kammergericht, dass es sich bei den noch verfahrensgegenständlichen Bezeichnungen der Beschwerdeführerin um erheblich ehrenrührige Herabsetzungen handelt. Das Kammergericht geht indes unter Verkennung von Bedeutung und Tragweite des Persönlichkeitsrechts davon aus, dass eine Beleidigung im Sinne des § 185 StGB aus verfassungsrechtlichen Gründen nur dann vorliege, wenn die streitgegenständliche Äußerung „lediglich als persönliche Herabsetzung und Schmähung“ zu verstehen sei. Dieses Fehlverständnis setzt sich bei den weiteren Ausführungen des Fachgerichts fort. Zwar deutet das Kammergericht die Notwendigkeit einer Abwägung an. Verfassungsrechtlich fehlerhaft knüpft es die Voraussetzungen der Beleidigung sodann jedoch an die Sonderform der Schmähkritik an.Die angekündigte Abwägung mit dem Persönlichkeitsrecht der Beschwerdeführerin nimmt das Kammergericht in der Folge aber nicht vor. Es legt wiederholt einen fehlerhaften, mit dem Persönlichkeitsrecht der von ehrenrührigen Äußerungen Betroffenen unvereinbaren Maßstab an, wenn es annimmt, eine strafrechtliche Relevanz erreiche eine Äußerung erst dann, wenn ihr diffamierender Gehalt so erheblich sei, dass sie in jedem denkbaren Sachzusammenhang als bloße Herabsetzung des Betroffenen erscheine. Vorliegend hat sich das Fachgericht aufgrund einer fehlerhaften Maßstabsbildung, die eine Beleidigung letztlich mit der Schmähkritik gleichsetzt, mit der Abwägung der Gesichtspunkte des Einzelfalls nicht auseinandergesetzt. Hierin liegt eine Verletzung des Persönlichkeitsrechts der Beschwerdeführerin.
2. Infolge fehlerhafter Maßstabsbildung mangelt es für alle verfahrensgegenständlichen Äußerungen an der verfassungsrechtlich gebotenen Abwägung der betroffenen Rechtspositionen im Rahmen der rechtlichen Würdigung. Die vom Fachgericht zum Teil begründungslos verwendete Behauptung, die Beschwerdeführerin müsse den Angriff als Politikerin im öffentlichen Meinungskampf hinnehmen, ersetzt die erforderliche Abwägung nicht.
Das LG Leipzig hat entschieden, dass regelmäßig kein Anspruch auf Schadensersatz aus Art. 82 DSGVO bei verspäteter Auskunftserteilung nach Art. 15 DSGVO besteht.
Aus den Entscheidungsgründen:
9. Der Schmerzensgeldanspruch der Beklagten war demgegenüber im Ergebnis nicht zuzusprechen.
Soweit zwischenzeitlich mit Verfügung vom 4.11.2021 eine abweichende Ansicht vertreten wurde, wird hieran nicht festgehalten. Auf diese Möglichkeit wurde im Termin zur Vermeidung eines Überraschungsurteils ausdrücklich hingewiesen.
Nach Art. 82 Abs. 1 DS - GVO hat jede Person, der wegen eines Verstoßes gegen die DS - GVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder den Auftragsverarbeiter. Auszugleichen sind hiernach ausdrücklich auch immaterielle Schäden.
In der Literatur wird unter Geltung der DS - GVO überwiegend für eine Absenkung der Voraussetzungen für die Gewährung immateriellen Schadensersatzes und für eine Verschärfung der Haftung mit deutlich höheren Beträgen gegenüber den bisherigen plädiert. Dies folge aus dem weiten Schadensbegriff der DS - GVO sowie daraus, dass der EuGH bei der Wahl zivilrechtlicher Sanktionen zur Umsetzung von Unionsrecht generell eine abschreckende Wirkung verlange. Insbesondere dürfe der zugesprochene Schadensersatz nicht nur symbolisch sein. Auch dürfe die Gewährung immateriellen Schadensersatzes nicht mehr von einer schwerwiegenden Persönlichkeitsrechtsverletzung abhängig gemacht werden. Die abschreckende Wirkung zivilrechtlicher Sanktionen sei nur zu erreichen, wenn entsprechend hohe Beträge ausgeurteilt würden (vgl. hierzu die Nachweise bei Eichelberger, WRP 2021, 159 ff.).
Hiervon unabhängig kann als gesichert gelten, dass das Unionsrecht die Mitgliedsstaaten grundsätzlich nicht zu überkompensatorischem Schadensersatz verpflichtet.
Allein der Verstoß gegen die DS - GVO reicht für sich genommen noch nicht aus, einen Schadensersatzanspruch auszulösen.
Ohne Schaden gibt es keinen Schadensersatzanspruch (vgl. hierzu Eichelberger a.a.O.). Vielmehr muss dem von einem Datenschutzverstoß Betroffenen ein spürbarer Nachteil entstanden sein. Es muss eine objektiv nachvollziehbare, mit gewissem Gewicht erfolgte, Beeinträchtigung von persönlichkeitsbezogenen Belangen vorliegen. Die Beeinträchtigung muss von einer gewissen Erheblichkeit sein.
Einen normativen Anknüpfungspunkt hierzu gibt die DS - GVO in ihren Erwägungsgründen 75 und 85. Im Anschluss an die beispielhafte Aufzählung möglicher - hier nicht geltend gemachter - Beeinträchtigungen durch Datenschutzverletzungen (Diskriminierung, Identitätsdiebstahl oder - betrug, Rufschädigung, Verlust der Vertraulichkeit von einem Berufsgeheimnis unterliegenden Daten) ist dort ergänzend allgemein von anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen die Rede (vgl. hierzu Eichelberger a.a.O.).
Demzufolge kann die Beklagte keine Entschädigung für eine verspätete Datenauskunft sowie für die bislang noch nicht vollständig erteilte Datenauskunft von der Klägerin beanspruchen.
Allein der Umstand, dass die Beklagte auf die (vollständige) Datenauskunft noch warten muss, kann keinen ersatzfähigen Schaden begründen.
Es muss auch bei einem immateriellen Schaden eine Beeinträchtigung eingetreten sein, die unabhängig von einer Erheblichkeitsschwelle wenigstens spürbar sein muss. Anderenfalls scheidet ein Schaden schon begrifflich aus (so auch LG Bonn, Urteil vom 01.07.2021, Az.: 15 O 372/20).
Die im Erwägungsgrund 75 der DS - GVO genannten immateriellen Nachteile, wie eine Diskriminierung, ein Identitätsdiebstahl, ein Identitätsbetrug, eine Rufschädigung, ein Verlust der Vertraulichkeit oder sonstige gesellschaftliche Nachteile sind der Beklagten durch die Führung der Handakten durch die von ihr beauftragten Rechtsanwälte in den familiengerichtlichen Verfahren unstreitig nicht erwachsen.
Demzufolge scheidet auch die Zusprechung eines Schmerzensgeldes im Streitfall für die bislang nicht erteilte Datenauskunft nach Art. 15 Abs. 3 DS - GVO aus.
Für diese Erkenntnis bedurfte es keiner Vorlage an den EuGH nach Art. 267 Abs. 3 AEUV. Zum einen entscheidet die Kammer nicht als letztinstanzliches, sondern als erstinstanzliches Gericht, wonach eine Verpflichtung zur Vorlage an den EuGH nicht besteht.
Zum anderen stützt die Kammer ihr Verständnis von der Auslegung des Art. 82 Abs. 1 DS - GVO auf den Erwägungsgrund 75 der DS - GVO, mithin auf die europarechtliche Norm selbst. Unabhängig hiervon erscheint es nicht zielführend, dass jedes Instanzgericht bei Entscheidungen auf der Grundlage der DS - GVO den EuGH mit einem Vorabentscheidungsersuchen bemüht. Sinnvoller erscheint es, dass das letztinstanzliche nationale Gericht die Entscheidung der Instanzgerichte zu Art. 82 Abs. 1 DS - GVO sammelt und in deren Auswertung darüber befindet, ob und wenn ja mit welchen Vorlagefragen es den EuGH nach Art. 267 Abs. 3 AEUV bemüht.
Das OLG Düsseldorf hat dem Betroffenen in diesem Fall Schadensersatz aus Art. 82 Abs. 1 DSGVO in Höhe von 2.000 EURO zugesprochen. Die Krankenkasse des Betroffenen hatte die Gesundheitsakte an eine falsche E-Mail-Adresse geschickt. Die Gesundheitsakte war dabei auch nicht verschlüsselt.
Aus den Entscheidungsgründen:
Die zulässige Leistungsklage ist jedoch in der Hauptsache nur im Umfang von 2.000,- € auch begründet.
aa) Aufgrund der vom Zeugen A. an die falsche E-Mail-Adresse versandten Gesundheitsakte der Klägerin hat diese gegen die Beklagte infolge eines durch den fehlerhaften Versand erlittenen immateriellen Schadens einen Anspruch auf Schadensersatz aus Art. 82 Abs. 1 DSGVO. Gemäß Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen die Verordnung ein immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen. Verantwortlich im Sinne von Art. 4 Nr. 7 DSGVO für die Verarbeitung der Gesundheitsdaten der Klägerin ist die Beklagte als deren gesetzliche Krankenkasse.
(1) Es kann dahinstehen, ob Art. 82 Abs. 1 DSGVO für das sozialrechtliche Rechtsverhältnis zwischen der Klägerin und der Beklagten unmittelbar gilt. So kann die sachliche Anwendbarkeit der DSGVO gemäß Art. 2 Abs. 2 a) DSGVO zweifelhaft sein, weil zwar Art. 16 Abs. 2 Satz 1 AEUV eine Gesetzgebungskompetenz der Europäischen Union für den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten begründet, zugleich aber Art. 168 Abs. 7 Satz 1 AEUV die Verantwortung der Mitgliedstaaten für die Festlegung ihrer Gesundheitspolitik und für die Organisation des Gesundheitswesens und die medizinische Versorgung unberührt lässt. Selbst wenn die DSGVO auf das Rechtsverhältnis der Klägerin zu ihrer gesetzlichen Krankenkasse nicht unmittelbar anwendbar sein sollte, so wären ihre Vorschriften gemäß § 35 Abs. 2 Satz 2 SGB I jedenfalls entsprechend anzuwenden (siehe BSG, Urteile vom 20. Januar 2021 – B 1 KR 7/20 R, juris, Rn. 25-28, vom 8. Oktober 2019 – B 1 A 3/19 R, juris, Rn. 37, und vom 18. Dezember 2018 – B 1 KR 40/17 R, juris, Rn. 29) und zwar auch auf Datenverarbeitungsvorgänge, welche nicht den Voraussetzungen von Art. 2 Abs. 1 DSGVO entsprechen (vgl. Schifferdecker, in: Kasseler Kommentar Sozialversicherungsrecht, Stand: 114. EL Mai 2021, § 35 SGB I Rn. 86: „Datensammlung auf Notizzettel“). Dadurch wird sichergestellt, dass sämtliche Tätigkeitsbereiche, in denen Sozialdaten verarbeiten werden, demselben datenschutzrechtlichen Regime unterliegen (Greiner, in: Knickrehm/Kreikebohm/Waltermann, Kommentar zum Sozialrecht, 7. Aufl., § 35 SGB I Rn. 3).
(2) Art. 82 Abs. 1 DSGVO, auf den die Klägerin ihr Klagebegehren stützt, ist auch nicht deshalb unanwendbar, weil es bei der von der Beklagten an das falsche E-Mail-Konto versandten Gesundheitsakte um eine Verbreitung personenbezogener Daten geht, die den Schutzbereich des allgemeinen Persönlichkeitsrechts betreffen.
Nach Auffassung des Senats ist die ungewollte Preisgabe von Daten, über die hier zu befinden ist, dem Recht auf informationelle Selbstbestimmung als eigenständigem Teilgehalt des allgemeinen Persönlichkeitsrechts zuzuordnen. Davon zu unterscheiden ist die sichtbare Verbreitung bestimmter Informationen im öffentlichen Raum als Ergebnis eines Kommunikationsprozesses, die den äußerungsrechtlichen Ausprägungen des allgemeinen Persönlichkeitsrechts zuzuordnen ist (siehe BVerfG, Beschluss vom 6. November 2019 – 1 BvR 16/13, juris, Rn. 79-91; Senatsbeschlüsse vom 16. März 2021 – I-16 U 317/20, und vom 16. Februar 2021 – I-16 U 269/20, juris, Rn. 7). Dies zugrunde gelegt, steht eine Eröffnung des Schutzbereichs des allgemeinen Persönlichkeitsrechts aus Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG der Anwendung des Art. 82 Abs. 1 DSGVO hier nicht entgegen, weil es in seiner Ausprägung als Recht auf informationelle Selbstbestimmung betroffen ist, dessen Schutz die datenschutzrechtlichen Regelungen der DSGVO dienen. In der auf einem Schreib- oder Tippfehler beruhenden Versendung der Gesundheitsakte an ein falsches E-Mail-Postfach liegt eine schlichte Preisgabe von Daten ohne ein kommunikatives Ziel. Dies gilt zumal im Hinblick auf den Inhaber des E-Mail-Postfachs, an den die Akte nicht versandt werden sollte. Mit einem Kommunikationsprozess hat die versehentliche Datenpreisgabe nur peripher insofern zu tun, als ihr ein Telefongespräch zwischen der Klägerin und dem Zeugen A. vorausgegangen ist. Für die Eröffnung des Schutzbereichs des allgemeinen Persönlichkeitsrechts in seiner äußerungsrechtlichen Ausprägung reicht das indes nicht aus.
(3) In dem Versand der E-Mail mit der Gesundheitsakte der Klägerin an das falsche E-Mail-Postfach liegt ein Verstoß gegen die DSGVO. Eine Datenverarbeitung, zu der gemäß Art. 4 Nr. 2 DSGVO auch die Offenlegung durch Übermittlung gehört, ist nach der DSGVO nur rechtmäßig, wenn die betroffene Person gemäß Art. 6 Abs. 1 Satz 1 lit. a) DSGVO ihre Einwilligung zu der Verarbeitung gegeben hat oder eine der übrigen in Art. 6 Abs. 1 Satz 1 DSGVO normierten Rechtmäßigkeitsvoraussetzungen vorliegt. Dies ist hier im Hinblick auf den Versand der E-Mail mit der ihr angefügten Gesundheitsakte der Klägerin an die E-Mail-Adresse „B2@fff.de“ jeweils nicht der Fall (siehe für eine vergleichbare Konstellation auch LG Darmstadt, Urteil vom 26. Mai 2020 – 13 O 244/19, juris, Rn. 43 ff.). Die Klägerin hat in die Übersendung an dieses fremde E-Mail-Postfach nicht eingewilligt und es liegen auch keine anderen normierten Rechtmäßigkeitsvoraussetzungen für diese Übersendung vor.
(4) Weitere Datenschutzverstöße zulasten der Klägerin lassen sich hingegen nicht feststellen.
(a) Die vom Landgericht angenommene Verletzung des Art. 32 DSGVO ist nicht zu bejahen. Anders als das Landgericht vermag der Senat aus dem Fehler beziehungsweise Fehlverhalten eines einzelnen Mitarbeiters nicht den Rückschluss zu ziehen, dass die Beklagte kein nach Art. 32 DSGVO ausreichendes Datenschutzniveau implementiert hatte. Weitere für einen solchen Schluss notwendige Anknüpfungstatsachen hat die insoweit darlegungs- und beweisbelastete Klägerin weder ausreichend vorgetragen noch unter Beweis gestellt.
(b) Soweit das Landgericht zudem als einen Datenschutzverstoß der Beklagten beanstandet, dass der Zeuge A. die E-Mail unverschlüsselt und mit unverschlüsselter bzw. nicht pseudonymisierter Gesundheitsakte als Anhang versandt hat, überzeugt auch das nicht. Ein Datenschutzverstoß durch diese Form der Versendung liegt aufgrund einer Einwilligung der Klägerin nach Art. 6 Abs. 1 Satz 1 lit. a) DSGVO nicht vor. Eine Einwilligung ist nach Art. 4 Nr. 11 DSGVO jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Diese Voraussetzungen liegen hier vor.
(aa) Die Klägerin hat unmissverständlich zum Ausdruck gebracht, dass sie mit der Übersendung der Gesundheitsakte per E-Mail einverstanden ist. Im Verlauf des Gesprächs mit dem Zeugen A. teilte sie dem Zeugen ihre E-Mail-Adresse mit. Das konnte dieser nicht anders verstehen und kann auch objektiv nicht anders verstanden werden, als dass die Klägerin die Gesundheitsakte schließlich doch per E-Mail übersandt erhalten wollte. Dabei musste ihr zugleich klar sein, dass diese Übersendung weder verschlüsselt noch in pseudonymisierter Form erfolgen würde. Über solche besonderen Formen der Versendung hatte die Klägerin mit dem Zeugen nicht gesprochen. Entsprechende Wünsche hatte sie nicht geäußert. Ein für die Entschlüsselung notwendiges Passwort war nicht ausgetauscht worden.
(bb) Der wirksamen Einwilligung steht nicht deren fehlende Freiwilligkeit entgegen. Freiwilligkeit wäre zu verneinen, wenn die Erklärung entgegen Erwägungsgrund 42 Satz 5 DSGVO von der Klägerin unter Druck oder Zwang abgegeben worden wäre (vgl. Schulz, in: Gola, DS-GVO, 2. Aufl., Art. 7 Rn. 21). Das war hier indes nicht der Fall. Die Klägerin hatte ungeachtet des nachdrücklichen Werbens des Zeugin A. für den von ihm favorisierten E-Mail-Versand die Möglichkeit, auch ihm gegenüber auf einem Postversand zu bestehen. Sie musste sich der von ihm favorisierten Lösung nicht beugen. Wie sie im Rahmen ihrer informatorischen Anhörung durch den Senat bekundet hat, hatte der Zeuge, der überdies nicht mehr als ein erster Ansprechpartner der Beklagten in der Servicehotline war, den Postversand nicht per se ausgeschlossen. Er hatte nur darauf hingewiesen, dass dieser nicht mehr bis Weihnachten möglich sei. Den sich für die Klägerin aus den nahenden Weihnachtsfeiertagen ergebenden zeitlichen Druck kann sie der Beklagten jedoch nicht entgegenhalten. Diesen hatte sie selbst zu verantworten, weil sie nach dem Gespräch mit dem Versicherungsmakler am 27. November 2018 erst am 14. Dezember 2018 Kontakt zur Beklagten aufgenommen hatte. Es lässt sich auch nicht feststellen, dass die Erklärung des Zeugen A. zur Dauer des Postversands unzutreffend war. Aus dem späteren sehr kurzfristigen Postversand der Gesundheitsakte an die Klägerin ergibt sich nichts anderes. Dieser fand unter besonderen Umständen statt, weil er in die Zeit nach Bekanntwerden des Datenschutzverstoßes zulasten der Klägerin fiel. Es ist nicht auszuschließen, dass die Beklagte die Klägerin ab diesem Zeitpunkt zuvorkommend behandelt und ihre Abläufe beschleunigt hat.
(cc) Der wirksamen Einwilligung der Klägerin steht ebenfalls nicht entgegen, dass sie diese nicht in informierter Weise erklärt hatte. Das Merkmal der Erklärung der Einwilligung in informierter Weise verlangt, dass die betroffene Person abschätzen können muss, welche Auswirkungen die Erteilung der Einwilligung für sie hat (Buchner/Kühling, in: dies., DS-GVO/BDSG, 3. Aufl., Art. 7 Rn. 59). Nach ihrer informatorischen Anhörung hat der Senat nicht die geringsten Zweifel, dass die Klägerin die Problematik und die Gefahren einer unverschlüsselten Versendung ihrer nicht pseudonymisierten Gesundheitsakte erkannt hat. Die Sensibilität der Klägerin für die Gefahren elektronischer Kommunikation wurde anhand ihrer Äußerungen im Rahmen ihrer informatorischen Anhörung sehr deutlich. Sie hat ihre Bedenken gegen die vom Zeugen A. vorgeschlagene Übermittlung, wie sie bekundet hat, schließlich aber zurückgestellt, weil ihr daran gelegen war, die Gesundheitsunterlagen bis Weihnachten zu erhalten.
(dd) Soweit das Landgericht im Zuge seiner Prüfung des Art. 32 DSGVO angenommen hat, ein Verzicht auf ein verschlüsseltes Versenden von Daten sei nach der DSGVO nicht möglich, überzeugt das im Hinblick auf die von der Klägerin erklärte Einwilligung nicht. Die Einwilligung ist ein auf der privatautonomen Entscheidung des Betroffenen beruhender Rechtfertigungstatbestand. Es widerspräche der Privatautonomie, wenn die Einwilligung nicht zu einem Verzicht auf Anonymisierungs-, Pseudonymisierungs- sowie Verschlüsselungstechniken führen könnte (siehe auch Albers/Veit, in: Wolff/Brink, BeckOK Datenschutzrecht, 37. Ed., Stand: 01.05.2020, Art. 6 DS-GVO Rn. 26).
(c) Zutreffend hat das Landgericht allerdings keinen Datenschutzverstoß in der E-Mail-Weiterleitung innerhalb der beklagten Krankenkasse gesehen, weil hierbei keine Einsichtnahme durch Dritte möglich war. Insoweit kann auf die diesbezüglich zutreffenden Gründe der angefochtenen Entscheidung Bezug genommen werden.
(5) Infolge des in dem E-Mail-Versand an das falsche E-Mail-Postfach liegenden Verstoßes gegen die Vorschriften der DSGVO hat die Klägerin einen immateriellen Schaden erlitten. Als immaterieller Schaden der Klägerin stellt sich die mit dem Verlust der Datenkontrolle verbundene seelisch belastende Ungewissheit über das Schicksal ihrer Daten dar. Dafür, dass darin ein immaterieller Schaden im Sinne von Art. 82 Abs. 1 DSGVO liegen kann, spricht nicht nur Erwägungsgrund 75 der DSGVO, wo dem Schadensbegriff auch der Verlust der Kontrolle über personenbezogene Daten zugeordnet wird. Dafür spricht auch, dass in den meisten Rechtsordnungen mit dem Begriff des immateriellen Schadens Schäden wie seelisches Leid oder Beeinträchtigungen der Lebensqualität erfasst werden (siehe Schlussanträge des Generalanwalts N. Wahl vom 25. Juli 2018 in den verbundenen Rechtssachen C-138/17 P und C-146/17 P, juris, Rn. 83) und der Europäische Gerichtshof ein vergleichbares Schadensverständnis auch für das Unionsprimärrecht vertritt. Der Gerichtshof verlangt dort zwar, dass ein Schaden tatsächlich und sicher sein muss (EuGH, Urteil vom 4. April 2017 – C-337/15, juris, Rn. 91), andererseits kann bereits ein lang anhaltender Zustand belastender Ungewissheit einen immateriellen Schaden darstellen (vgl. z.B. EuGH, Urteil vom 13. Dezember 2018 – C-138/17 u.a., juris, Rn. 61; EuG, Urteil vom 17. Dezember 1998 – T-203/96, juris, Rn. 108).
Dahinstehen kann hier, ob Voraussetzung eines Schadensersatzanspruchs nach Art. 82 Abs. 1 DSGVO ist, dass der durch den Datenschutzverstoß entstandene immaterielle Schaden ein gewisses Gewicht erreicht haben muss (siehe OLG Dresden, Beschluss vom 11. Juni 2019 – 4 U 760/19, juris, Rn. 13; siehe dazu auch OGH Österreich, Vorlagebeschluss vom 15. April 2021 – 6 Ob 35/21x = BeckRS 2021, 11950). Der der Klägerin hier entstandene immaterielle Schaden hat ausreichendes Gewicht. Sie hat nicht nur einen Bagatellschaden erlitten, der gegebenenfalls keines Ausgleichs nach Art. 82 Abs. 1 DSGVO bedürfte. Angesichts des Umfangs und der Bedeutung der Daten, über welche die Klägerin über viele Monate die Kontrolle verloren hat, und angesichts der Sorgen und Befürchtungen, unter denen sie aufgrund des Datenverlusts in dieser Zeit gelitten hat, ist eine etwaige Bagatellschwelle zweifelsfrei überschritten. Insoweit ist zu berücksichtigen, dass die DSGVO Gesundheitsdaten im Sinne von Art. 4 Nr. 15 DSGVO, wie sie hier betroffen sind, durch das grundsätzliche Verarbeitungsverbot in Art. 9 Abs. 1 DSGVO als besonders sensible Datenkategorie anerkennt. Es kommt hinzu, dass der hier betroffene Auszug aus der Gesundheitsakte der Klägerin nicht nur sehr umfangreich war, sondern auch höchst intime Gesundheitsinformationen enthielt.
bb) In der Höhe ist der dem Grunde nach hier zu bejahende Schadensersatzanspruch der Klägerin aus Art. 82 Abs. 1 DSGVO allerdings auf einen Betrag von 2.000,- € begrenzt.
(1) Für die Bemessung von Schadensersatzansprüchen nach Art. 82 Abs. 1 DSGVO enthält die DSGVO nur wenige Vorgaben. Aus dem Nebeneinander von materiellem und immateriellem Schaden folgt, dass auch solche Schäden auszugleichen sind, die sich nicht unmittelbar in Geld bemessen lassen. Nach Erwägungsgrund 146 Satz 3 sollte der Begriff des Schadens im Lichte der Rechtsprechung des Gerichtshofs zudem weit auf eine Art und Weise ausgelegt werden, die den Zielen der Verordnung in vollem Umfang entspricht. Nach Erwägungsgrund 146 Satz 6 sollten die betroffenen Personen einen vollständigen und wirksamen Schadensersatz für erlittene Schäden erhalten.
Hiernach hat sich der Schadensersatz zuvörderst an dem Ziel des Schadensausgleichs zu orientieren. Das gilt, weil die Vorschrift nicht zwischen den Schadensarten differenziert, auch im Falle immaterieller Schäden (siehe Eichelberger, WRP 2021, 159, 162 ff.). Darüber hinaus wird bei immateriellen Einbußen auch die Genugtuungsfunktion Bedeutung erlangen und als ein Umstand bei der Schadensbemessung berücksichtigt werden können, wenn die Umstände des konkreten Falles hierfür Anlass geben (vgl. auch Eichelberger, WRP 2021, 159, 165). Letztlich können – wie dies auch bei Art. 340 Abs. 2 AEUV der Fall ist (vgl. EuGH, Urteil vom 30. Mai 2017 – C-45/15 P, juris, Rn. 48) – für die Bemessung des Ersatzanspruchs für immaterielle Schäden nur die Umstände des konkreten Einzelfalls entscheidend sein. Zu berücksichtigen sein können etwa Art, Schwere und Dauer des Datenschutzverstoßes, das Verhalten des Verantwortlichen sowie die Auswirkungen des Verstoßes für den Betroffenen (siehe EuGH, Urteil vom 30. Mai 2017 – C-45/15 P, juris, Rn. 52, zu Art. 340 Abs. 2 AEUV). Solche Kriterien sind nach Art. 83 Abs. 2 Satz 2 DSGVO auch bei der Verhängung von Geldbußen für Datenschutzverstöße zu berücksichtigen. Bei der Ermittlung der danach angemessenen Art der Entschädigung und der Bestimmung des gegebenenfalls zuzuerkennenden Schadensersatzbetrags haben die Gerichte einen erheblichen Spielraum (vgl. für Art. 340 Abs. 2 AEUV Schlussanträge des Generalanwalts N. Wahl vom 25. Juli 2018 in den verbundenen Rechtssachen C-138/17 P und C-146/17 P, juris, Rn. 86), den sie nach billigem Ermessen füllen müssen (siehe für Art. 340 Abs. 2 AEUV EuG, Urteil vom 1. Februar 2017 – T-479/14, juris, Rn. 135, sowie Schlussanträge des Generalanwalts N. Wahl vom 25. Juli 2018 in den verbundenen Rechtssachen C-138/17 P und C-146/17 P, juris, Rn. 85 u. 101).
(2) Ausgehend hiervon sind hier jedenfalls die Kategorie der betroffenen personenbezogenen Daten, Art, Schwere und Dauer des Datenschutzverstoßes, die seelischen Auswirkungen bei der Klägerin, der Grad des Verschuldens, die ergriffenen Maßnahmen zur Minderung der Schadensfolgen sowie der Gesichtspunkt in den Blick zu nehmen, ob eine dauerhafte Beeinträchtigung der Herrschaft über die eigenen Daten und der seelischen Gesundheit verbleibt.
Die vorgenannten Umstände, insbesondere die psychischen Auswirkungen des Datenschutzverstoßes bei der Klägerin, sprechen in der Gesamtschau dafür, dass der ihr entstandene immaterielle Schaden nur durch eine Geldzahlung, nicht aber durch andere Maßnahmen wie etwa eine erklärte Entschuldigung vollständig ausgeglichen werden kann. Zum Ausgleich des immateriellen Schadens ist hier nach den Umständen des Falles ein Betrag von 2.000,- € angemessen, aber auch ausreichend.
(a) Von besonderer Bedeutung für die Bestimmung des angemessenen Schadensersatzbetrags ist die Natur der vom Datenschutzverstoß betroffenen Daten der Klägerin. Es handelte sich dabei nicht nur um Gesundheitsdaten, die bereits für sich genommen von besonderer Sensibilität sind, wie auch ihr datenschutzrechtlicher, berufsrechtlicher und strafrechtlicher Schutz vor unbefugter Offenbarung zeigt. Die betroffenen Gesundheitsdaten waren auch besonders umfangreich. Sie betrafen – auf rund 100 Seiten – sämtliche bei der Beklagten erfassten ärztlichen und sonstigen medizinischen Behandlungen, Therapien und Medikationen der Klägerin aus dem Zeitraum vom 1. Januar 2015 bis zum 14. Dezember 2018 einschließlich der zugehörigen Diagnosen, Leistungszeiträume und Krankschreibungen. In dem Zeitraum hat die Klägerin, eine junge, noch nicht lange berufstätige Frau, wegen unterschiedlichster Beschwerden vielfach ärztliche Hilfe in Anspruch genommen. Dies gilt auch für den gynäkologischen Bereich. In der Gesundheitsakte waren gleich mehrere gynäkologische Befundangaben verzeichnet, die Rückschlüsse auf das Sexualleben und die sexuelle Orientierung der Klägerin zuließen, deren Name und Wohnanschrift in der Akte angegeben waren.
(b) Hinsichtlich der vorgenannten Daten der Klägerin bestand ein zehnmonatiger Kontrollverlust. Erst am 14. August 2019 ist das E-Mail-Postfach, an das die Gesundheitsakte am 14. Dezember 2018 versehentlich versandt worden ist, von FFF. gelöscht worden.
(c) Von der Löschung des fremden E-Mail-Postfachs erfuhr die Klägerin aber nicht sofort, sondern erst durch einen Schriftsatz der Beklagten vom 2. Dezember 2019 im landgerichtlichen Verfahren. Aus diesem erfuhr sie auch, dass das Postfach bis zu diesem Zeitpunkt nicht mehr eingesehen worden ist. Infolgedessen war sie über einen Zeitraum von rund einem Jahr darüber im Ungewissen, ob ein Dritter von ihren Gesundheitsdaten bereits Kenntnis genommen hatte oder dies noch tun würde.
Zwar hatte die Beklagte den Prozessbevollmächtigten der Klägerin bereits mit Schreiben vom 9. Januar 2019 mitgeteilt, von FFF. die Nachricht erhalten zu haben, dass seit der schon länger zurückliegenden Einrichtung des E-Mail-Postfachs darauf kein Zugriff mehr erfolgt ist. Die Klägerin konnte aber bis zur Löschung des Postfachs nicht sicher sein, dass nicht noch ein Zugriff erfolgen würde. Auch konnte sie ungeachtet eines von der Beklagten gegenüber dem Postfachinhaber per E-Mail ausgesprochenen Verwertungsverbots hinsichtlich der Gesundheitsakte nicht sicher sein, ob sich dieser daran halten würde.
Soweit die Klägerin im nicht nachgelassenen Schriftsatz vom 6. Oktober 2021 hingegen meint, die bestehende Ungewissheit sei für sie erst mit einem Schriftsatz der Beklagten vom 6. Juli 2020 beendet gewesen, mit welchem die Beklagte mitgeteilt habe, dass an das betreffende E-Mail-Postfach keine Test-E-Mail mehr erfolgreich habe versandt werden können, folgt der Senat dem nicht. Diese Test-E-Mail der Beklagten bestätigt nur die Löschung des E-Mail-Postfachs, für die bereits der Vermerk des Zeugen E. vom 14. August 2019 sprach, der dem Schriftsatz der Beklagten vom 2. Dezember 2019 beigefügt war.
Nicht gefolgt werden kann schließlich der Ansicht der Klägerin, die Unsicherheit bestünde für sie eigentlich bis heute fort, weil nicht ausgeschlossen werden könne, dass auf dem Übermittlungsweg auf die E-Mail zugegriffen worden sei. Die daraus resultierende Ungewissheit ist für die Bemessung des Schadensersatzbetrags unbeachtlich. Das Risiko des Zugriffs auf die E-Mail auf dem Übermittlungsweg nahm die Klägerin mit ihrer Einwilligung in die Übersendung der Gesundheitsakte per E-Mail in Kauf.
(d) Der Datenschutzverstoß blieb für die Klägerin – auch dies ist für die Bemessung des Schadensersatzes von wesentlicher Bedeutung – nicht ohne psychische Folgen. Sie hat im Termin zur mündlichen Verhandlung vor dem Senat geschildert, wie sie die Ungewissheit über den Verbleib der Daten seelisch belastet hat. Dabei war die Belastung in den ersten Tagen nach dem 14. Dezember 2018 besonders hoch, als das Schicksal der Gesundheitsakte noch weitestgehend unklar war. Die Reaktion der Beklagten auf das Anliegen der Klägerin war am 17. Dezember 2018 und auch darüber hinaus zunächst schleppend, erst mit Schreiben vom 9. Januar 2019 teilte sie den Prozessbevollmächtigten der Klägerin, die am 20. Dezember 2018 mandatiert worden waren, den bis dahin ermittelten Sachstand geordnet mit. Immerhin konnte sich die Klägerin mit Erhalt dieses Schreibens vom 9. Januar 2019 schwache Hoffnungen machen, dass der Inhalt ihrer Gesundheitsakte vielleicht doch nicht von unbefugten Dritten zur Kenntnis genommen werden würde. Nach den von der Beklagten bis dahin eingeholten Erkundigungen, deren Ergebnis sie mit dem Schreiben mitteilte, war das E-Mail-Postfach seit Errichtung nicht aktiv genutzt worden.
(e) Bei der Bemessung des Schadensersatzes ist ferner der Umstand zu berücksichtigen, dass der fehlerhafte Versand auf einem lediglich fahrlässigen Verhalten des Zeugen A. beruhte. Die Beklagte war nach dem Ergebnis der landgerichtlichen Beweisaufnahme zudem bemüht, die verlorenen Daten zurückzuerlangen beziehungsweise deren Weiterverbreitung zu verhindern. Im Schreiben vom 9. Januar 2019 hat sie auch ihr Bedauern über den Vorfall zum Ausdruck gebracht. Allerdings hat sie einen Schadensersatzanspruch der Klägerin im Prozess gleichwohl bis zuletzt in Abrede gestellt.
(f) In der Höhe begrenzend wirkt sich bei der Bemessung des Schadensersatzanspruchs schließlich in besonderem Maße aus, dass es bei einem zeitweisen Kontrollverlust über die Gesundheitsdaten verblieben ist. Zu einer Kenntnisnahme der Daten durch Dritte oder einer Weiterverbreitung oder gar Veröffentlichung ist es nicht gekommen. Die fehlgeleitete E-Mail und ihr Anhang sind bis zur Löschung des E-Mail-Postfachs am 14. August 2019 vom Postfachinhaber nicht mehr zur Kenntnis genommen worden. Die berechtigten Sorgen der Klägerin haben sich letztlich als unbegründet herausgestellt. Nachdem sie hiervon erfahren hatte, bestand auch kein Anlass, sich deswegen noch länger seelisch belastet zu fühlen. Eine etwaige Einsichtnahme in die Daten auf dem Übermittlungsweg, für die im Übrigen nichts spricht, hat aus dem bereits dargelegten Grund unberücksichtigt zu bleiben.
(g) Der Senat hat schließlich keinen Anlass, den Schadensersatzbetrag im Hinblick auf eine damit zu erzielende abschreckende Wirkung gesondert zu erhöhen. Ob einem nach Art. 82 Abs. 1 DSGVO zuzusprechenden Schadensersatzbetrag per se eine abschreckende Wirkung zukommen muss, wie teilweise vertreten wird, hält der Senat für zweifelhaft (wie hier Eichelberger, WRP 2021, 159, 163). Letztlich kann dies hier aber dahinstehen, weil dem der Klägerin zugesprochenen Schadensersatzbetrag jedenfalls auch eine ausreichend präventive Wirkung zukommt.
cc) Eine Minderung des Schadensersatzbetrags nach § 254 Abs. 1 BGB, für welche die Beklagte plädiert, kommt nach den für den Senat bindenden tatsächlichen Feststellungen des Landgerichts nicht in Betracht. Die Beklagte kann mit ihrem erstmals in der Berufungsinstanz gehaltenen Sachvortrag, die Klägerin habe dem Zeugin A. die falsche E-Mail-Adresse angegeben, gemäß § 531 Abs. 2 Satz 1 Nr. 3 ZPO nicht mehr gehört werden. Es beruht auf Nachlässigkeit, dass die Beklagte diesen Vortrag nicht schon in erster Instanz gehalten hat. Auch darüber hinaus bestehen keine ausreichenden Anhaltspunkte, die ein relevantes Mitverschulden der Klägerin an dem fehlerhaften E-Mail-Versand an die falsche E-Mail-Adresse begründen könnten.
OLG Hamm
Hinweisbeschluss vom 15.11.2021 20 U 269/21
Das OLG Hamm hat im Rahmen eines Hinweisbeschlusses ausgeführt, dass Rechtsmissbrauch vorliegt, wenn ein Auskunftsanspruch aus Art. 15 DSGVO nicht aus Gründen gemäß Erwägungsgrund 63 der DSGVO geltend gemacht wird.
Aus den Entscheidungsgründen:
Zutreffend hat das Landgericht weiter das mit dem Klageantrag zu 1 verfolgte Leistungsbegehren als zulässig angesehen. Die Unzulässigkeit der Stufenklage führt zwar dazu, dass ein unbestimmter Leistungsantrag als unzulässig abgewiesen werden muss. Sie hat jedoch nicht die notwendige Folge, dass die Klage, wie sie hier erhoben worden ist, insgesamt oder teilweise als unzulässig abgewiesen werden muss. Vielmehr kommt eine Umdeutung in eine von der Stufung unabhängige objektive Klagehäufung in Betracht (BGH, Urteil vom 18. April 2002 - VII ZR 260/01, NJW 2002, 2952 unter II 2 a mwN).
Dieser Auskunftsantrag ist jedoch unbegründet.
aa) Der geltend gemachte Auskunftsanspruch ergibt sich nicht aus Art. 15 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung- DS-GVO).
Der Beklagten steht ein Weigerungsrecht aus Art. 12 Abs. 5 Satz 2 Buchstabe b) DS-GVO zu. Die Vorschrift führt zwar lediglich die häufige Wiederholung als Beispiel für einen „exzessiven“ Antrag auf. Die Verwendung des Wortes „insbesondere“ macht aber deutlich, dass die Vorschrift auch andere rechtsmissbräuchliche Anträge erfassen will (vgl. Heckmann/Paschke, in Ehlmann/Selmayr, Datenschutz-Grundverordnung 2. Aufl. Art. 12 Rn. 43).
Bei der Auslegung, was in diesem Sinne rechtsmissbräuchlich ist, ist auch der Schutzzweck der DS-GVO zu berücksichtigen. Wie sich aus dem Erwägungsgrund 63 zu der Verordnung ergibt, ist Sinn und Zweck des in Art. 15 DS-GVO normierten Auskunftsrechts, es der betroffenen Person problemlos und in angemessenen Abständen zu ermöglichen, sich der Verarbeitung der sie betreffenden personenbezogenen Daten bewusst zu werden und die Rechtmäßigkeit dieser Verarbeitung überprüfen zu können (so auch BGH, Urteil vom 15. Juni 2021 - VI ZR 576/19, VersR 2021, 1019 Rn. 23).
Um ein solches Bewusstwerden zum Zweck einer Überprüfung der datenschutzrechtlichen Zulässigkeit der Verarbeitung personenbezogener Daten geht es dem Kläger aber nach seinem eigenen Klagevorbringen überhaupt nicht. Sinn und Zweck der von ihm begehrten Auskunftserteilung ist vielmehr – wie sich aus der Koppelung mit den unzulässigen Klageanträgen auf Feststellung und Zahlung zweifelsfrei ergibt – ausschließlich die Überprüfung etwaiger vom Beklagten vorgenommener Prämienanpassungen wegen möglicher formeller Mängel nach § 203 Abs. 5 VVG. Eine solche Vorgehensweise ist vom Schutzzweck der DS-GVO aber nicht umfasst (wie hier LG Wuppertal, Urteil vom 29. Juli 2021 - 4 O 409/20, BeckRS 2021, 25249 Rn. 31 ff.).
Darauf, dass es sich im Übrigen jedenfalls bei standardisierten Begründungen, die – etwa als einheitliches Beiblatt – an sämtliche Versicherungsnehmer in identischer Form versandt werden, auch nicht um personenbezogene Daten im Sinne der DS-GVO handelt, kommt es angesichts dessen hier nicht an.
bb) Auch ein Auskunftsanspruch aus §§ 241 Abs. 2, 242 BGB in Verbindung mit dem zwischen den Parteien bestehenden Versicherungsvertrag besteht nicht.
Zwar kann sich aus einem Schuldverhältnis nach Maßgabe von § 241 Abs. 2 BGB auch die Pflicht zur gegenseitigen Unterstützung ergeben. Dies kann auch zu einer Verpflichtung des Gläubigers führen, dem Vertragspartner etwa Unterlagen für die Kreditbeschaffung (BGH, Urteil vom 1. Juni 1973 - V ZR 134/72, NJW 1973, 1793 unter II 2) oder für die Wahrnehmung von dessen steuerlichen Belangen (Senatsurteil vom 5. Juli 1974 - 20 U 227/73, MDR 1975, 401) zur Verfügung zu stellen.
Auch im Rahmen einer zwischen den Parteien bestehenden Sonderverbindung setzt ein solcher Auskunftsanspruch aber nach ständiger Rechtsprechung des Bundesgerichtshofs voraus, dass der Schuldner in entschuldbarer Weise über das Bestehen oder den Umfang seines Rechts im Ungewissen ist (vgl. BGH, Urteil vom 1. August 2013 - VII ZR 268/11, NJW 2014, 155 Rn. 20). Das Vorliegen dieser Voraussetzungen hat der Kläger nicht dargelegt. Aus den ihm während der Laufzeit des Vertrages übersandten Unterlagen kann er unschwer selbst ersehen, welche Prämienanpassungen vorgenommen worden sind. Nachvollziehbare Gründe dafür, dass und warum ihm dies ausnahmsweise nicht mehr möglich sein sollte, sind nicht vorgetragen. Auf die Frage, ob und in welchem Umfang unterstellte Ansprüche des Klägers aus § 812 Abs. 1 BGB verjährt sind, kommt es demnach aus Rechtsgründen nicht an.
cc) Ein Auskunftsanspruch aus § 3 Abs. 3 und 4 VVG scheidet ebenfalls aus. Dieser bezieht sich nur auf abhanden gekommene oder vernichtete Versicherungsscheine so- wie auf die eigenen Erklärungen des Versicherungsnehmers, die er in Bezug auf den Vertrag abgegeben hat. Darum geht es hier aber nicht (siehe auch LG Wuppertal, Ur- teil vom 29. Juli 2021 - 4 O 409/20, BeckRS 2021, 25249 Rn. 35 f.).
dd) Schließlich kann der vom Kläger geltend gemachte Anspruch auch nicht aus § 810 BGB hergeleitet werden. Diese Vorschrift gibt keinen Anspruch auf Erteilung einer Auskunft oder auf Übersendung von Unterlagen.
2. Die Sache hat keine grundsätzliche Bedeutung; weder die Fortbildung des Rechts noch die Sicherung einer einheitlichen Rechtsprechung erfordern eine Entscheidung aufgrund mündlicher Verhandlung; eine solche ist auch sonst nicht geboten.
Auch ein Vorabentscheidungsersuchen an den Gerichtshof der Europäischen Union gemäß Art. 267 Abs. 3 AEUV ist nicht veranlasst. Nach der Rechtsprechung des Gerichtshofs ist die missbräuchliche Berufung auf Unionsrecht nicht gestattet (EuGH, Urteil vom 23. März 2000 – C-373/97, NZG 2000, 534 Rn. 33). Die nationalen Gerichte können vielmehr das missbräuchliche Verhalten des Betroffenen auf der Grundlage objektiver Kriterien in Rechnung stellen, um ihm gegebenenfalls die Berufung auf die geltend gemachte Bestimmung des Unionsrechts zu verwehren. Dabei müssen sie jedoch die mit dieser Bestimmung verfolgten Zwecke beachten (EuGH, Urteil vom 23. März 2000 aaO Rn. 34; vgl. auch BGH, Urteil vom 16. Juli 2014 - IV ZR 73/13, BGHZ 202, 102 Rn. 42 mwN).
Hier beeinträchtigt die Anwendung des Gesichtspunktes des Rechtsmissbrauchs weder die Wirksamkeit noch die einheitliche Anwendung des Unionsrechts. Der Anspruch nach Art. 15 DSG-VO soll den Auskunftsberechtigten in die Lage versetzen, sich der Datenverarbeitung bewusst zu werden und deren Rechtmäßigkeit zu überprüfen. Er soll sich insbesondere vergewissern können, dass die ihn betreffenden Daten richtig sind und in zulässiger Weise verarbeitet werden (vgl. BGH, Urteil vom 15. Juni 2021 - VI ZR 576/19, VersR 2021, 1019 Rn. 25 unter Hinweis auf EuGH, Urteil vom 20. Dezember 2017 - C-434/16, NJW 2018, 767 Rn. 57). Hierum geht es dem Kläger nach eigenem Vorbringen mit der begehrten Auskunft nicht.
Das LG Berlin hat entschieden, dass der Auskunftsanspruch aus Art. 15 Abs. 1 DSGVO nur personenbezogene Daten nicht aber Vertragsunterlagen und Vertragserklärungen umfasst.
Aus den Entscheidungsgründen: Der Auskunfts- und Herausgabeanspruch aus § 15 DS-GVO betrifft lediglich personenbezogene Daten, nicht aber Dokumenten, die Vertragserklärungen enthalten. Zwar ist der Begriff der „personenbezogenen Daten“ nach Art. 4 DS-GVO weit gefasst und umfasst nach der Legaldefinition in Art. 4 Nr. 1 DS-GVO alle Informationen, die sich auf eine identifizierbare natürliche Person beziehen; davon wären auch Beitragsanpassungsschreiben erfasst, die den Namen des Klägers enthalten. Ein derartiges am Wortlaut haftendes Verständnis ist mit dem Zweck des Auskunftsanspruchs nach Art. 15 DS-GVO unvereinbar. Die Auskünfte, die eine natürliche Person nach Art. 15 DS-GVO fordern kann, dienen primär dazu, ihr die Wahrnehmung der weiteren Rechte aus der DS-GVO zu ermöglichen, also insbesondere das Recht auf Berichtigung nach Art. 16, auf Löschung nach Art. 17 und auf Einschränkung der Verarbeitung nach Art. 18. Zwar mag eine Auskunft über personenbezogene Daten auch Erkenntnisse und Indizien hervorbringen, die einen Anspruch nach gänzlich anderen Vorschriften begründen oder zumindest nahelegen können. Dabei handelt es aber nicht um den eigentlichen Zweck der DS-GVO, sondern um einen bloß zufälligen Nebeneffekt. Es gibt keine Anhaltspunkte dafür, dass die DS-GVO gezielt dazu geschaffen worden wäre, die grundsätzliche Struktur des deutschen Zivilprozessrechts, die jedem Anspruchsteller die Darlegung und den Beweis der ihm günstigen Tatsachen auferlegt, umzukehren (OLG Köln r+s 2021, 97 Rn. 73, beck-online). Danach sind die vorliegend antragsgegenständlichen Auskünfte nicht mehr als personenbezogen (Art. 4 Nr. 1 DS-GVO) zu verstehen, sondern als vertragsbezogen.
Das LG Detmold hat entscheiden, dass die Geltendmachung eines Auskunftsanspruchs aus Art. 15 DSGVO rechtsmissbräuchlich ist, wenn dies nicht aus Gründen gemäß Erwägungsgrund 63 der DSGVO erfolgt.
Aus den Entscheidungsgründen:
III) Der Auskunftsanspruch des Klägers lässt sich auch nicht auf § 15 DSGVO stützen. Ihm steht der sich aus § 242 BGB ergebende Einwand des Rechtsmissbrauchs entgegen. Es handelt sich dabei um einen Grundsatz, der als nationale Ausformung auch im Rahmen des § 15 DSGVO Geltung beansprucht. Danach ist die Ausübung eines Rechts u. a. nicht erlaubt, wenn der Anspruchsinhaber eine formale Rechtsstellung ausnutzt oder etwas geltend macht, an dem er kein schützenswertes Eigeninteresse hat (vgl. Palandt-Grüneberg, BGB, 80. Aufl. 2021, § 242 Rn. 49 f.).
So liegt der Fall hier.
Nach dem Vortrag des Klägers soll das begehrte Auskunftsbündel ausschließlich der Verfolgung von Leistungsansprüchen dienen. Dabei handelt es sich um einen vollkommen verordnungsfremden Zweck. Nach dem Erwägungsgrund 63 DSGVO, dient das Auskunftsrecht aus Art. 15 DSGVO dem Betroffenen vielmehr dazu, sich der Verarbeitung seiner personenbezogenen Daten bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können. So soll Art. 15 DSGVO eine Rechtmäßigkeitskontrolle der Datenverarbeitungsvorgänge ermöglichen. Der Betroffene soll den Umfang und Inhalt der gespeicherten Daten beurteilen können. Die Auskünfte dienen auch dazu, der betroffenen Person die Wahrnehmung der weiteren Rechte nach der Datenschutzgrundverordnung zu ermöglichen, vor allem das Recht auf Berichtigung nach Art. 16 DSGVO, auf Löschung nach Art. 17 DSGVO und auf Einschränkung der Verarbeitung nach Art. 18 DSGVO (vgl. OLG Köln, Beschluss vom 03.09.2019 - 20 W 10/18).
Der Kläger macht keines der vorgenannten Interessen geltend.
Das Auskunftsbegehren soll sich nach seinem klar geäußerten Willen allein darin erschöpfen, etwaige geldwerte Ansprüche gegen die Beklagte zu prüfen. Damit trifft das Begehren des Klägers nicht einmal den Titel der Verordnung, nämlich den Datenschutz. Ein Begehren, das sich derart weit von dem Regelungsinhalt einer Rechtsgrundlage entfernt hat, ist nicht schützenswert. In diesem Zusammenhang ist zu berücksichtigen, dass der Verordnungsgeber nicht etwa ein situationsunab-hängiges Auskunftsrecht von Verbrauchern gegenüber Unternehmen schaffen wollte, welches im allgemeinen Rechtsverkehr nicht besteht. Vielmehr hat er die zu erteilenden Auskünfte explizit an den Zweck des Datenschutzes gebunden.
Das LG Krefeld hat entscheiden, dass die Geltendmachung eines Auskunftsanspruchs aus Art. 15 DSGVO rechtsmissbräuchlich ist, wenn dies nicht aus Gründen gemäß Erwägungsgrund 63 der DSGVO erfolgt.
Erwägungsgrund 63 lautet:
(63) Eine betroffene Person sollte ein Auskunftsrecht hinsichtlich der sie betreffenden personenbezogenen Daten, die erhoben worden sind, besitzen und dieses Recht problemlos und in angemessenen Abständen wahrnehmen können, um sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können. Dies schließt das Recht betroffene Personen auf Auskunft über ihre eigenen gesundheitsbezogenen Daten ein, etwa Daten in ihren Patientenakten, die Informationen wie beispielsweise Diagnosen, Untersuchungsergebnisse, Befunde der behandelnden Ärzte und Angaben zu Behandlungen oder Eingriffen enthalten. Jede betroffene Person sollte daher ein Anrecht darauf haben zu wissen und zu erfahren, insbesondere zu welchen Zwecken die personenbezogenen Daten verarbeitet werden und, wenn möglich, wie lange sie gespeichert werden, wer die Empfänger der personenbezogenen Daten sind, nach welcher Logik die automatische Verarbeitung personenbezogener Daten erfolgt und welche Folgen eine solche Verarbeitung haben kann, zumindest in Fällen, in denen die Verarbeitung auf Profiling beruht. Nach Möglichkeit sollte der Verantwortliche den Fernzugang zu einem sicheren System bereitstellen können, der der betroffenen Person direkten Zugang zu ihren personenbezogenen Daten ermöglichen würde. Dieses Recht sollte die Rechte und Freiheiten anderer Personen, etwa Geschäftsgeheimnisse oder Rechte des geistigen Eigentums und insbesondere das Urheberrecht an Software, nicht beeinträchtigen. Dies darf jedoch nicht dazu führen, dass der betroffenen Person jegliche Auskunft verweigert wird. Verarbeitet der Verantwortliche eine große Menge von Informationen über die betroffene Person, so sollte er verlangen können, dass die betroffene Person präzisiert, auf welche Information oder welche Verarbeitungsvorgänge sich ihr Auskunftsersuchen bezieht, bevor er ihr Auskunft erteilt.
Aus den Entscheidungsgründen:
"Ein Auskunftsanspruch folgt ebenfalls nicht aus § 15 Abs. 1 DSGVO.
Zwar kann nach höchstrichterlicher Rechtsprechung die zwischen dem Versicherungsnehmer und dem Versicherungsunternehmen geführte Korrespondenz als Gegenstand des Auskunftsanspruchs in Betracht kommen (vgl. BGH, Urteil vom 15.06.2021, VI ZR 576/19).
Die in der hiesigen Konstellation erfolgte Geltendmachung eines auf § 15 Abs. 1 DSGVO gestützten Auskunftsanspruchs erachtet die Kammer jedoch für rechtsmissbräuchlich, da die Geltendmachung aus gänzlich verordnungsfremden Erwägungen heraus erfolgt (so auch LG Wuppertal, a. a. O.). Nach dem Erwägungsgrund 63 DSGVO, dient das Auskunftsrecht aus Art. 15 DSGVO dem Betroffenen dazu, sich der Verarbeitung seiner personenbezogenen Daten bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können. So soll Art. 15 DSGVO eine Rechtmäßigkeitskontrolle der Datenverarbeitungsvorgänge ermöglichen. Der Betroffene soll den Umfang und Inhalt der gespeicherten Daten beurteilen können. Die Auskünfte dienen auch dazu, der betroffenen Person die Wahrnehmung der weiteren Rechte nach der Datenschutzgrundverordnung zu ermöglichen, vor allem das Recht auf Berichtigung nach Art. 16 DSGVO, auf Löschung nach Art. 17 DSGVO und auf Einschränkung der Verarbeitung nach Art. 17 DSGVO (vgl. OLG Köln, Beschluss vom 03.09.2019, 20 W 10/18). Keine der in dem Erwägungsgrund 63 DSGVO genannten Interessen verfolgt die Klagepartei vorliegend, nicht einmal als Reflex. Aus dem Vortrag und dem prozessualen Vorgehen der Klagepartei ergibt sich, dass der Auskunftsanspruch letztlich nur dazu dienen soll, nach Überprüfung der Rechtmäßigkeit der Beitragsüberprüfung einen etwaig bestehenden Bereicherungsanspruch gegen die Beklagte zu verfolgen. Ein Begehren, das sich derart weit von dem Regelungsgehalt einer Rechtsgrundlage entfernt, ist nicht schutzwürdig und stellt sich als treuwidrig dar. Dies insbesondere vor dem Hintergrund, dass die Klagepartei die Unterlagen, die die begehrten Informationen enthalten unbestritten ursprünglich einmal erhalten hat und nur jetzt nicht mehr darüber verfügt (vgl. LG Wuppertal, a. a. O.)."
Das LAG Hannover hat in diesem Fall einem Arbeitnehmer im Rahmen einer Kündigungsschutzklage 1.250 EURO Schadensersatz aus Art. 82 DSGVO für eine verspätete Auskunftserteilung gemäß Art. 15 DSGVO zugesprochen. Das Gericht ist dabei der Ansicht, dass ein solcher Anspruch nicht das Überschreiten einer Erheblichkeitsschwelle voraussetzt.
Aus den Entscheidungsgründen:
Ein Anspruch des Klägers auf Ersatz des immateriellen Schadens folgt aus Art. 82 Abs. 1 DS-GVO. Danach hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Diese Voraussetzungen liegen vor.
(1) Der Kläger ist anspruchsberechtigt. Er gehört zu den von Art. 82 Abs. 1 DS-GVO geschützten betroffenen Personen iSv. Art. 4 Nr. 1 DS-GVO als diejenige Person, auf die sich die Daten beziehen, welche verarbeitet werden (vgl. EuArbRK/Franzen, 3. Aufl. 2020, DS-GVO Art. 82 Rn. 3). Vorliegend geht es um die Datenverarbeitung in Bezug auf den Kläger im Rahmen des Arbeitsverhältnisses mit der Beklagten und iZm. der sog. „Dieselaffäre“. Insoweit ist der Kläger eine betroffene Person.
(2) Die Beklagte ist anspruchsverpflichtet. Gemäß Art. 82 Abs. 1 Satz 1 DS-GVO haftet jeder an einer Verarbeitung beteiligte Verantwortliche für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. Hierunter zu fassen sind die Verantwortlichen nach Art. 4 Nr. 7 DS-GVO (vgl. EuArbRK/Franzen, 3. Aufl. 2020, DS-GVO Art. 82 Rn. 6). Dies ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Danach ist die Beklagte als juristische Person und Arbeitgeberin des Klägers Verantwortliche, da sie die personenbezogenen Daten verarbeitet.
(3) Ein Verstoß gegen diese Verordnung iSd. § 82 Abs. 1 DS-GVO ist gegeben. Hierbei ist jeglicher Verstoß gegen eine Vorschrift der DS-GVO einschließlich der Formvorschriften ausreichend (hM - vgl. EuArbRK/Franzen, 3. Aufl. 2020, DS-GVO Art. 82 Rn. 10; Kühling/Buchner/Bergt, 3. Aufl. 2020, DS-GVO Art. 82 Rn. 23; Paal/Pauly/Frenzel, 3. Aufl. 2021, DS-GVO Art. 82 Rn. 8, jeweils mwN).
(a) Ein solcher ist jedoch nicht in der möglicherweise fehlerhaften Auskunftserteilung im Jahr 2016 und der Übermittlung der Personalakte Ende des Jahres 2016 und weiterer Unterlagen an unterschiedliche Stellen in den USA vor dem 25.05.2018 zu erblicken.
(aa) Zwar tritt die DS-GVO gem. Art. 99 Abs. 1 DS-GVO am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft. In Anbetracht der am 04.05.2016 erfolgten Veröffentlichung war dies der 25.05.2016. Sie gilt nach Art. 99 Abs. 2 DS-GVO jedoch ab dem 25.05.2018. Die DS-GVO ist im Übergangszeitraum aber noch nicht anwendbar und datenverarbeitende Stellen (Verantwortliche und Auftragsverarbeiter) oder Betroffene können sich noch nicht auf sie berufen. Die Artikel der DS-GVO beanspruchen erst ab dem 25.5.2018 Gültigkeit (Gola DS-GVO/Piltz, 2. Aufl. 2018, DS-GVO Art. 99 Rn. 5).
(bb) Vor diesem Hintergrund sind etwaige datenschutzrechtliche Verstöße der Beklagten, die vor dem 25.05.2018 erfolgten, nicht geeignet, einen Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO zu begründen. Es handelte sich bei der Übertragung der Personalakte und weiterer Unterlagen und der ggf. unzureichenden bzw. fehlerhaften Beantwortung des Auskunftsbegehrens des Klägers auch um bereits abgeschlossene Handlungen der Beklagten. Diese Pflichtverletzungen wirken nicht fort, sind daher nicht seit dem 25.05.2018 auf Grundlage der Vorschriften der DS-GVO zu beurteilen und können zu keinen kausalen Schäden iSd. Art. 82 DS-GVO führen. Die Datenübermittlung ist ein Akt, der sich in der Weitergabe der Daten erschöpft. Das Verbleiben der Daten bei der Stelle, an welche die Übermittlung erfolgte, ist nicht mehr zu der Übermittlung selbst zu zählen, sondern eine Folge davon. Auch die Beantwortung des Auskunftsbegehrens ist abgeschlossen, indem die Beklagte entsprechende Mitteilungen tätigte. Es kann nicht davon ausgegangen werden, dass ein Rechtsverstoß bei einer Datenverarbeitung vor dem Geltungszeitpunkt der DS-GVO die fortgesetzte Datenverarbeitung „infiziert“ und zu einem Schadensersatzanspruch führt (LAG Baden-Württemberg 25. Februar 2021 – 17 Sa 37/20 – Rn. 85; Kühling/Buchner/Bergt, 3. Aufl. 2020, DS-GVO Art. 82).
(b) Die Beklagte hat ihre Pflichten iZm. dem Auskunftsersuchen des Klägers nach Art. 15 Abs. 1 DS-GVO verletzt. Der Auskunftsanspruch nach Art. 15 DS-GVO besteht auch in einem Arbeitsrechtsverhältnis. Die allgemeinen Bestimmungen der DS-GVO enthalten eine Vollregelung, auch zum Beschäftigtendatenschutz (LAG Baden-Württemberg 20. Dezember 2018 – 17 Sa 11/18 – Rn. 172). Nach Art. 15 Abs. 1 DS-GVO hat die betroffene Person das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf bestimmte, in der Norm aufgezählte Informationen. Der Kläger hat mit Schriftsatz vom 09.08.2018 ein solches Auskunftsbegehren gegenüber der Beklagten geltend gemacht und dieses auf die Daten, die bezüglich des Klägers im Zusammenhang mit der „vermeintlichen Diesel-Affäre“ gespeichert sind, beschränkt. Mit Schreiben vom 27.09.2018 hat er dieses Begehren konkretisiert. Dieses Auskunftsverlangen ist mit Schreiben der Beklagten vom 15.10.2018 nur unvollständig beantwortet worden.
(aa) Der Umfang der Auskunft wird nicht einheitlich beurteilt.
Gemäß Art. 4 Nr. 1 Hs. 1 DS-GVO sind „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Nach dieser Definition und der Rechtsprechung des EuGH ist der Begriff weit zu verstehen. Er ist nicht auf sensible oder private Informationen beschränkt, sondern umfasst potenziell alle Arten von Informationen sowohl objektiver als auch subjektiver Natur in Form von Stellungnahmen oder Beurteilungen, unter der Voraussetzung, dass es sich um Informationen über die in Rede stehende Person handelt. Die letztgenannte Voraussetzung ist erfüllt, wenn die Information aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer bestimmten Person verknüpft ist (BGH 15. Juni 2021 – VI ZR 576/19 – Rn. 22 mit Verweis auf EuGH 20. Dezember 2017 – C-434/16). Der Personenbezug im Rahmen von Art. 15 DS GVO setzt nicht voraus, dass es um „signifikante biografische Informationen“ gehe, die „im Vordergrund“ des fraglichen Dokuments stünden (BGH 15. Juni 2021 – VI ZR 576/19 – Rn. 22). Die umfasst auch Korrespondenzen mit Dritten sowie interne Vermerke oder interne Kommunikation, soweit auf die Person des Klägers bezogene Daten enthalten sind (BGH 15. Juni 2021 – VI ZR 576/19 – Rn. 26, 27). Auch solche Aussagen, die eine subjektive und/oder objektive Einschätzung zu einer identifizieren oder identifizierbaren Person liefern, weisen einen Personenbezug auf (OLG Köln 26. Juli 2019 – 20 U 75/18 – Rn. 62).Rechtliche Analysen können zwar personenbezogene Daten enthalten, die auf der Grundlage dieser personenbezogenen Daten vorgenommene Beurteilung der Rechtslage selbst stellt aber keine Information über den Betroffenen und damit kein personenbezogenes Datum dar(BGH 15. Juni 2021 – VI ZR 576/19 – Rn. 28 mit Verweis auf EuGH 17. Juli 2014 – C-141/12 und C-372/12 – Rn. 39 ff.).
Nach anderer Ansicht bezieht sich der Auskunftsanspruch aber nicht auf sämtliche internen Vorgänge der Beklagten, wie z.B. Vermerke, oder darauf, dass die betreffende Person sämtlichen gewechselten Schriftverkehr, der dem Betroffenen bereits bekannt ist, erneut ausgedruckt und übersendet erhalten kann. Der Anspruch aus Art. 15 DS-GVO dient nicht der vereinfachten Buchführung des Betroffenen, sondern soll sicherstellen, dass der Betroffene den Umfang und Inhalt der gespeicherten personenbezogenen Daten beurteilen kann (LG Köln 19. Juni 2019 – 26 S 13/18 – Rn. 23).
Die Kammer folgt der Ansicht, wonach die Auskunftspflicht nach Art. 15 Abs. 1 DS-GVO einem weitreichenden Verständnis unterliegt. Der Wortlaut der Norm gibt keinen Anlass, eine Einschränkung vorzunehmen. Vielmehr bezieht sich die Vorschrift uneingeschränkt auf personenbezogene Daten. Auch Erwägungsgrund 63 Satz 1 verweist umfassend auf ein Auskunftsrecht hinsichtlich der personenbezogenen Daten mit dem Zweck, sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit zu überprüfen. Insoweit ist auf die Definition in Art. 4 Ziff. 1 DS-GVO abzustellen, wonach es sich bei den personenbezogenen Daten um alle Informationen handelt, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Nur bei einem weiten Verständnis der personenbezogenen Daten ist es der betroffenen Person möglich, zweckentsprechend die Rechtmäßigkeit der Verarbeitung zu überprüfen.
(bb) Dementsprechend wurde durch die Beklagte keine umfassende Auskunft erteilt, da sie keine abstrakte Zusammenstellung aller verarbeiteten, personenbezogenen Daten des Klägers enthält. Die Beklagte verwies in ihrem Schreiben vom 15.10.2018 auf die in der Anlage 2 übermittelten, teils unkenntlich gemachten Dokumente, die Gegenstand der Auflistung der Anlage 3 sind. Sie verwies weiter darauf, dass darüber hinausgehend Dokumente existieren, die wegen Art. 15 Abs. 4 DS-GVO nicht als Kopien in Anlage 2 enthalten sind. Diese wurden dementsprechend auch nicht aufgelistet. Ferner wurden nach Mitteilung in der Auskunft keine Dokumente beigefügt, in denen die relevanten Informationen weiterverwendet wurden – bspw. in Bewertungen der Rechtsabteilung. Insofern ist erkennbar, dass die Auskunft sich nicht auf alle relevanten Informationen erstreckte, da die Beklagte schon nicht mitteilte, in welchen weiteren Dokumenten personenbezogene Daten des Klägers enthalten sind, die weder aufgelistet waren noch beigefügt. Die Beklagte selbst trägt vor, dass Informationen aufgrund eines überwiegenden Interesses Dritter nicht beauskunftet werden konnten.
(cc) Dass die Beklagte zu einer eingeschränkten Auskunft berechtigt war, ergibt sich aus ihren Darlegungen nicht hinreichend. Die Beklagte beruft sich insoweit auf entgegenstehende Rechte und Freiheiten anderer Personen - auch der Beklagten selbst - und den Schutz von Betriebs- und Geschäftsgeheimnissen.
(aaa) Nach § 34 Abs. 1 BDSG iVm. § 29 Abs. 1 Satz 2 BDSG besteht das Recht auf Auskunft der betroffenen Person gemäß Artikel 15 der Verordnung (EU) 2016/679 nicht, soweit durch die Auskunft Informationen offenbart würden, die nach einer Rechtsvorschrift oder ihrem Wesen nach, insbesondere wegen der überwiegenden berechtigten Interessen eines Dritten, geheim gehalten werden müssen.
Nach Art. 15 Abs. 4 DS-GVO darf das Recht auf Erhalt einer Kopie die Rechte und Freiheiten anderer Personen nicht beeinträchtigen. Ob sich Art. 15 Abs. 4 DS-GVO allein auf die Herausgabe von Kopien bezieht oder auch den aus Art. 15 Abs. 1 DS-GVO folgenden Auskunftsanspruch umfasst (so: Paal/Pauly/Paal, 3. Aufl. 2021, DS-GVO Art. 15 Rn. 41; Sydow, Europäische Datenschutzgrundverordnung, 2. Aufl. 2018, DSGVO Art. 15 Rn. 22), kann dahingestellt bleiben, auch wenn grds. auch der Verantwortliche selbst dem Anwendungsbereich des Art. 15 Abs. 4 DS-GVO unterfällt (vgl. Kühling/Buchner/Bäcker, 3. Aufl. 2020, DS-GVO Art. 15 Rn. 42).
Bezüglich beider Vorschriften ist nicht ersichtlich, dass die Voraussetzungen vorliegen.
(bbb) Dass die Beklagte berechtigt war, die entsprechenden Auskünfte zu verweigern, hat sie nicht hinreichend vorgetragen.
(aaaa) Inwieweit tatsächlich fremde Rechte der reinen Informationserteilung entgegenstehen können (was von Erwägungsgrund 63 zumindest angedeutet wird), ist in Ansehung des vorbehaltlos gewährleisteten Art. 8 Abs. 2 S. 2 GRCh in jedem Einzelfall und nach strengen Maßstäben kritisch zu prüfen (Gola DS-GVO/Franck, 2. Aufl. 2018, DS-GVO Art. 15). Soweit die Verpflichtete mit dem Hinweis auf schützenswerte Interessen Dritter den Auskunftsanspruch verweigert, ist sie für die maßgeblichen Umstände in der Darlegungslast (vgl. LAG Baden-Württemberg 20. Dezember 2018 – 17 Sa 11/18 – Rn. 183; LAG Baden-Württemberg 17. März 2021 – 21 Sa 43/20 – Rn. 32). Gegenläufige Rechte und Freiheiten schließen das Recht auf eine Datenkopie allerdings nur in einer konkreten Kollisionslage aus, für die der Verantwortliche die Beweislast trägt. Die stets begründbare allgemeine Besorgnis, dass die betroffene Person mit hinreichendem Zusatzwissen aus der Datenkopie auf sensible Informationen schließen könnte, reicht nicht aus (Kühling/Buchner/Bäcker, 3. Aufl. 2020, DS-GVO Art. 15). Bei der Darlegung im Prozess wird verlangt, dass dafür Sorge getragen werden müsse, dass die Darlegungen nicht so weit gehen müssen, als dass aus der Darstellung des Hinderungsgrundes für den Arbeitnehmer die gewünschten Informationen zu entnehmen sind (Fuhlrott, NZA-RR 2019, 242 (252)).
(bbbb) Diesen Anforderungen genügt der Vortrag der Beklagten nicht, ein die Einschränkungen hinreichend begründender Tatsachenvortrag ist nicht erfolgt. Die Beklagte hat pauschal vorgetragen, dass Daten oder Informationen wegen der Beschränkungen des Art. 15 Abs. 4 DS-GVO zurückgehalten wurden, dass eine Auskunft über die Verarbeitung durch die Rechts- und Compliance-Abteilungen in Form der rechtlichen Bewertungen, Analysen, Gutachten und Vermerke nicht erfolgte. Zudem sei ein Schutz von Geschäfts- und Betriebsgeheimnissen auch über § 29 Abs. 1 Satz 2 BDSG gerechtfertigt und auch ihre eigenen Rechte seien im Rahmen des Art. 15 Abs. 4 DS-GVO zu berücksichtigen und vor diesem Hintergrund sei ein Zurückhalten der Daten gerechtfertigt. Schließlich machte die Beklagte eine Einschränkung im Hinblick auf das arbeitsgerichtliche Verfahren zwischen den Parteien geltend.
Dieser Vortrag ist in der vorgenommenen Pauschalität jedoch nicht nachprüfbar. Inwieweit in diesem Zusammenhang ein berechtigtes entgegenstehendes Interesse Dritter oder Betriebsgeheimnisse es im Einzelnen notwendig machten, die Auskunft nicht vorzunehmen, begründete die Beklagte nicht mit konkretem Tatsachenvortrag. Dementsprechend ist mangels Vortrages nicht nachvollziehbar, erwiderungsfähig oder überprüfbar, ob berechtigte Ausnahmen einer Auskunftserteilung entgegenstehen. Jedenfalls in Grundzügen wäre von der Beklagten zu verlangen, dass sie Vortrag leistet, aus dem sich ergeben kann, dass das Auskunftsbegehren mit den Rechten und Freiheiten Dritter, ihren eigenen Belangen oder Geschäftsgeheimnissen kollidiert. Es müsste wenigstens ein gewisser diesbezüglicher Mindestvortrag erfolgen. Anderenfalls könnte allein durch die bloße Behauptung, die Voraussetzungen der Ausnahmeregelungen liegen vor, die Auskunft – teilweise – verweigert werden. Die Beklagte hätte beispielsweise benennen können, um welche Informationen es sich handelt und stichwortartig unter zeitlicher Eingrenzung umschreiben können, was Gegenstand dieser ist, ohne den genauen Inhalt wiedergeben zu müssen. Die Beklagte belässt es jedoch dabei auszuführen, dass weitere Auskünfte nicht erteilt und Unterlagen nicht zur Verfügung gestellt würden, ohne dass auch nur im Ansatz ersichtlich ist, worauf die Beklagte sich bezieht. Weder nach der Anzahl noch dem Gegenstand der Informationen hat die Beklagte eine Konkretisierung vorgenommen.
(dd) Der Beklagten stand kein Verweigerungsrecht nach Art. 12 Abs. 5 Satz 2 lit. b DS-GVO zu, wobei dahingestellt bleiben kann, ob diese Regelung auf die Ansprüche aus Art. 15 DS-GVO übertragbar ist. Der Antrag des Klägers war nicht offensichtlich unbegründet, exzessiv oder rechtsmissbräuchlich. Dass dem Kläger ein Antragsrecht nach Art. 15 DS-GVO zustand, steht zwischen den Parteien nicht im Streit. Zudem scheidet eine exzessive Nutzung des Antragsrechts aus. Exzessiv ist eine Antragstellung insbes. dann, wenn sie ohne tragfähigen Grund häufig wiederholt wird oder einen unverhältnismäßigen Umfang aufweist (Paal/Pauly/Paal/Hennemann, 3. Aufl. 2021, DS-GVO Art. 12 Rn. 64). Es sollen rechtsmissbräuchliche Anträge unterbunden werden, die ua vornehmlich auf die Schikanierung des Verantwortlichen abzielen (Paal/Pauly/Paal/Hennemann, 3. Aufl. 2021, DS-GVO Art. 12 Rn. 66). Dies ist nicht der Fall. Der Kläger stellte 2016 und 2018 jeweils einen Auskunftsantrag, so dass bereits die Häufigkeit nicht für eine exzessive Nutzung spricht. Es ist zudem zu berücksichtigen, dass der Kläger seinen Auskunftsanspruch explizit auf die iZm. der „Dieselaffäre“ verarbeiteten Daten bezog und nicht auf alle, während der gesamten Dauer des Arbeitsverhältnisses erhobenen Daten richtete. Dem Kläger war daher nicht daran gelegen, die Beklagten mit unverhältnismäßigem Aufwand zu belasten, sondern er nahm seine Rechte zielgerichtet im Rahmen seiner Interessen wahr. Auch ein rechtsmissbräuchliches Vorgehen des Klägers ist nicht ersichtlich. Dass das Auskunftsverlangen darauf gerichtet war, die Beklagte auszuforschen, vermutet sie in Anbetracht des zeitlichen Zusammenhangs mit der Anhörung zum Kündigungssachverhalt. Dies kann für den Kläger jedoch auch nur Anlass gewesen sein, über die Verarbeitung seiner personenbezogenen Daten Auskunft zu begehren, um deren Rechtmäßigkeit beurteilen zu können.
(ee) Ein Verweigerungsrecht wegen unverhältnismäßigen Aufwands ist nicht gegeben. Ein solches ist in Art. 15 DS-GVO nicht ausdrücklich normiert, jedoch anerkannt (Gola DS-GVO/Franck, 2. Aufl. 2018, DS-GVO Art. 15 Rn. 38). Vorliegend ist zu berücksichtigen, dass der Kläger sein Auskunftsverlangen präzisiert und damit die Möglichkeit, die in Erwägungsgrund 63 aE niedergelegt ist, bereits wahrgenommen hat. Der Kläger verlangt gerade nicht Auskunft über alle im Rahmen des gesamten Arbeitsverhältnisses verarbeiteten Daten, sondern grenzt sein Begehren auf diejenigen ein, die mit der „Diesel-Thematik“ im Zusammenhang stehen.
(c) Die Beklagte hat nicht gegen ihre Verpflichtungen nach Art. 15 Abs. 3 Satz 1 DS-GVO verstoßen, indem sie zu einem Großteil geschwärzte Unterlagen und Kopien an den Kläger übermittelte. Gemäß Art. 15 Abs. 3 Satz 1 DS-GVO stellt der Verantwortliche eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung. Der Kläger hat in seinem Schreiben vom 27.09.2018 ausdrücklich auch auf die Pflicht zur Verfügungstellung von Kopien der personenbezogenen Daten hingewiesen.
(aa) Die Reichweite des Art. 15 Abs. 3 Satz 1 DS-GVO ist streitig.
Nach einer Ansicht soll der Anspruch auf Erteilung einer Kopie über die personenbezogenen Daten auf diejenigen bezogen sein, auf die sich auch das Auskunftsrecht nach Art. 15 Abs. 1 DS-GVO bezieht (vgl. LAG Niedersachsen 9. Juni 2020 – 9 Sa 608/19 - Rn. 45; LAG Baden-Württemberg 17. März 2021 – 21 Sa 43/20 – Rn. 29; Paal/Pauly/Paal, 3. Aufl. 2021, DS-GVO Art. 15 Rn. 33, ArbG Bonn 16. Juli 2020 – 3 Ca 2026/19 – Rn. 56). Nach der anderen Auffassung widerspreche eine solche Auslegung dem der DS-GVO zugrunde liegenden weit gefassten Begriff der personenbezogenen Daten und dem Sinn und Zweck des Art. 15 Abs. 3 Satz 1 DS-GVO (vgl. OVG Münster 8. Juni 2021 – 16 A 1582/20 – Rn. 73 ff.; OLG München 4. Oktober 2021 – 3 U 2906/20 – Rn. 20), die Datenkopie soll nicht identisch mit der Auskunft über die verarbeiteten Daten sein (Kühling/Buchner/Bäcker, 3. Aufl. 2020, DS-GVO Art. 15 Rn. 39).
(bb) Die Kammer schließt sich der Ansicht an, wonach die Ansprüche nach Art. 15 Abs. 1 und Art. 15 Abs. 3 Satz 1 DS-GVO nicht nebeneinander stehen, sondern sich der Anspruch auf Kopien auf die Auskünfte des Art. 15 Abs. 1 DS-GVO bezieht. Sinn und Zweck des aus Art. 15 DS-GVO folgenden Auskunftsrechts ist es, den betroffenen Personen eine Überprüfung der Rechtmäßigkeit der Datenverarbeitung zu ermöglichen, was aus Erwägungsgrund 63 Satz 1 folgt. Danach sollte eine betroffene Person ein Auskunftsrecht hinsichtlich der sie betreffenden personenbezogenen Daten, die erhoben worden sind, besitzen, um sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können. Dieses Ziel der Ermöglichung der Überprüfung wird erreicht, wenn die aus Art. 15 Abs. 1 DS-GVO folgenden Auskünfte in Kopie zur Verfügung gestellt werden. Hierfür bedarf es nicht der Vorlage der gesamten Unterlagen in Kopie. Ferner folgt aus dem Wortlaut des Art. 15 Abs. 3 Satz 1 DS-GVO, dass personenbezogene Daten, die Gegenstand der Verarbeitung sind, zur Verfügung gestellt werden. Art. 15 Abs. 1 DS-GVO bezieht sich jedoch gerade auf die Auskunft über diese personenbezogenen Daten.
Dementsprechend ist die Beklagte ihrer Pflicht aus Art. 15 Abs. 3 Satz 1 DS-GVO, eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung zu stellen, jedenfalls in dem Umfang, in dem sie eine Auskunft vorgenommen hat, hinreichend nachgekommen.
(d) Das Auskunftsverlangen des Klägers wurde verspätet beantwortet.
Nach Art. 12 Abs. 3 Satz 1 DS-GVO stellt der Verantwortliche der betroffenen Person Informationen über die auf Antrag gemäß den Artikeln 15 bis 22 ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung. Gemäß Art. 12 Abs. 3 Satz 2 DS-GVO kann diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist. Der Verantwortliche unterrichtet die betroffene Person innerhalb eines Monats nach Eingang des Antrags über eine Fristverlängerung, zusammen mit den Gründen für die Verzögerung Art. 12 Abs. 3 Satz 3 DS-GVO.
Diese Vorgaben wurden durch die Beklagte nicht gewahrt. Das Auskunftsbegehren des Klägers vom 09.08.2018 wurde per E-Mail an die Prozessbevollmächtigten der Beklagten übersandt. Dass eine Empfangsbevollmächtigung der Prozessbevollmächtigten auch insoweit vorlag, wird von der Beklagten nicht in Abrede gestellt. Auch wenn nicht ersichtlich ist, wann genau dieses Schreiben der Beklagten zugegangen ist, ist jedoch erkennbar, dass jedenfalls am 26.09.2018 die Monatsfrist abgelaufen war. Mit Schreiben vom 26.09.2018 teilte die Beklagte zwar mit, dass sie von der Fristverlängerung um zwei Monate nach Art. 12 Abs. 3 Satz 2 DS-GVO Gebrauch machen würde, zu diesem Zeitpunkt war jedoch unstreitig der Fristablauf bereits eingetreten. Der Wortlaut des Art. 12 Abs. 3 Satz 3 DS-GVO ist insoweit eindeutig, als darin gefordert wird, dass innerhalb eines Monats nach Antragseingang über die Fristverlängerung zu unterrichten ist (vgl. Paal/Pauly/Paal/Hennemann, 3. Aufl. 2021, DS-GVO Art. 12 Rn. 54; (Gola DS-GVO/Franck, 2. Aufl. 2018, DS-GVO Art. 12 Rn. 26). Die E-Mail vom 20.08.2018 stellte bereits kein Schreiben iSv. Art. 12 Abs. 3 Satz 3 DS-GVO dar, da in diesem nicht auf eine Fristverlängerung hingewiesen, sondern mitgeteilt wurde, dass binnen Monatsfrist eine Antwort erfolgen wird.
(e) Eine Pflichtverletzung ist nicht darin zu sehen, dass die Beklagte eine Rechtsgrundlage für die Übermittlung der Daten in die USA nicht benannt hat.
Die Informationspflicht aus Art. 13 Abs. 1 c), Art. 14 Abs. 1 c) DS-GVO umfasst die Mitteilung der Rechtsgrundlage der Verarbeitung, in Art. 15 Abs. 1 DS-GVO ist eine solche Mitteilungspflicht gerade nicht normiert (vgl. auch Gola DS-GVO/Franck, 2. Aufl. 2018 Rn. 7, DS-GVO Art. 15 Rn. 7). Eine solche könnte gegeben sein, wenn die betroffene Person ein berechtigtes Interesse an einer rechtlichen Würdigung plausibilisiert (Kühling/Buchner/Bäcker, 3. Aufl. 2020, DS-GVO Art. 15 Rn. 13). Dies ist vorliegend nicht der Fall.
(f) Auch ein Verstoß gegen die Datensicherheit ist durch die Übermittlung der Kopien mittels Taxi nicht ersichtlich. Der Kläger selbst hat nicht vorgetragen, dass es sich um einen offenen Karton handelte, in welchem die Kopien enthalten waren, so dass jederzeit ein unbefugter Zugriff ermöglicht worden wäre. Auch wenn die Unterlagen auf dem Postweg übersandt worden wären, hätte ein Überbringen durch die Beklagte selbst oder ihrer Vertreter nicht stattgefunden. In Anbetracht des Umfangs der Unterlagen war es zudem der Beklagten zuzugestehen, nicht den Postweg, sondern einen Kurierfahrer mit der Übermittlung zu beauftragen.
(g) Dass die Auskunft unvollständig war, da sie sich nicht auf einen Ergebnisbericht der Kanzlei JD bezog, ist nicht erkennbar. Der Kläger vermutet lediglich, dass ein solcher existieren müsse. Die Beklagte hatte von Anfang an vorgetragen, dass dieser nicht vorliege. Der Kläger, der mittlerweile Einsicht in die strafrechtlichen Ermittlungsakten hatte, hat auch nicht vorgetragen, dass in diesen ein solcher enthalten war und auch keine weiteren Anhaltspunkte dargelegt, die auf die Existenz eines solchen schließen lassen.
(4) Das Verschulden der Beklagten wird nach Art. 82 Abs. 3 DS-GVO vermutet. Die Beklagte hat keinen entgegenstehenden Vortrag geleistet.
(5) Es liegt zudem ein kausaler, immaterieller Schaden vor. Es ist hierbei von einem weiten Schadensverständnis auszugehen.
(a) Der Schadensbegriff wird in Rechtsprechung und Literatur nicht einheitlich beantwortet.
So verlange Erwägungsgrund 146 S. 3 eine weite Auslegung des Schadensbegriffs im Lichte der Rspr. des EuGH, die den Zielen der DS-GVO in vollem Umfang entspricht (vgl. BVerfG 14. Januar 2021 – 1 BvR 2853/19 – Rn. 19; ArbG Neumünster, 11. August 2020 – 1 Ca 247 c/20 – Rn. 38). Die Forderung einer schwerwiegenden Persönlichkeitsrechtsverletzung vertrage sich nicht mit Art. 82 DS-GVO, da sie weder von dessen Ziel und Entstehungsgeschichte gedeckt sei (LG Lüneburg 14. Juli 2020 – 9 O 145/19 – Rn. 49), dies wirke sich nur noch bei der Höhe des Anspruchs aus (vgl. ArbG D-Stadt 5. März 2020 – 9 Ca 6557/18 - Rn. 84, mwN). Ein immaterieller Schaden entstehe auch, wenn die betroffene Person um ihre Rechte und Freiheiten gebracht oder daran gehindert ist, die sie betreffenden personenbezogen Daten zu kontrollieren (vgl. ArbG Dresden 26. August 2020 – 13 Ca 1046/20 – Rn. 14). Weder der DSGVO noch ihren Erwägungsgründen lasse sich entnehmen, dass der Schadensersatzanspruch einen qualifizierten Verstoß gegen die DSGVO voraussetzt. Für die Annahme einer Erheblichkeitsschwelle oder anders - herum formuliert - die Ausnahme von Bagatellfällen, gebe es keinen Anhaltspunkt (vgl. LAG Hamm 11. Mai 2021 – 6 Sa 1260/20 – Rn. 50). Soweit es nicht um reine Formfehler wie Verstöße gegen Dokumentationspflichten geht, gehe mit der Verletzung datenschutzrechtlicher Normen letztlich immer ein immaterieller Schaden einher (vgl. Kühling/Buchner/Bergt, 3. Aufl. 2020, DS-GVO Art. 82 Rn. 18a). Erwägungsgrund 146 S. 6 spreche gegen die Einschränkung des Entschädigungsanspruchs auf schwere Beeinträchtigungen, die Schwere der Beeinträchtigung sei nur bei der Frage der Höhe des Anspruchs zu berücksichtigen, wobei Bagatellfälle außer Betracht bleiben können (vgl. Gola DS-GVO/Gola/Piltz, 2. Aufl. 2018, DS-GVO Art. 82 Rn. 13). Damit könne eine betroffene Person nun mehr für jede Verletzung der DS-GVO durch Verarbeitung ihrer personenbezogenen Daten auch ein angemessenes Schmerzensgeld verlangen (vgl. Ehmann/Selmayr/Nemitz, 2. Aufl. 2018, DS-GVO Art. 82 Rn. 13).
Nach anderer Meinung führe nicht jeder Verstoß zu einem Schadensersatzanspruch. Allein die Verletzung des Datenschutzrechts als solche begründe nicht bereits für sich gesehen einen Schadensersatzanspruch für betroffene Personen. Die Verletzungshandlung müsse in jedem Fall auch zu einer konkreten, nicht nur unbedeutenden oder empfundenen Verletzung von Persönlichkeitsrechten der betroffenen Person geführt haben (vgl. LG Landshut 6. November 2020 – 51 O 513/20 - Rn. 18). Die Anwendung von Strafschadenersatz sei aufgrund Art. 82 nicht zugelassen (vgl. Spindler/Schuster/Spindler/Horváth, 4. Aufl. 2019, DS-GVO Art. 82 Rn. 8). Daher werde man im Grundsatz weiterhin davon ausgehen können, dass immaterielle Schäden im vorliegenden Zusammenhang nur entstehen, wenn das allgemeine Persönlichkeitsrecht der betroffenen Person nicht unerheblich verletzt wurde (vgl. EuArbRK/Franzen, 3. Aufl. 2020, DS-GVO Art. 82 Rn. 22). Es müsse auch bei einem immateriellen Schaden eine Beeinträchtigung eingetreten sein, die unabhängig von einer Erheblichkeitsschwelle wenigstens spürbar sein muss. Andernfalls scheide ein "Schaden" begrifflich schon aus (vgl. LG Bonn 1. Juli 2021 – 15 O 372/20 – Rn. 42). Der Schaden müsse – wie auch der Anwendungsbereich mancher Norm des EU-Rechts – weit verstanden werden; gleichwohl muss er „erlitten“ (ErwGr 146 S. 6), maW „spürbar“, objektiv nachvollziehbar, von gewissem Gewicht sein (vgl. Paal/Pauly/Frenzel, 3. Aufl. 2021, DS-GVO Art. 82 Rn. 10).
(b) Die Kammer folgt den Erwägungen, wonach unabhängig von dem Erreichen einer Erheblichkeitsschwelle bei Verstößen gegen Regelungen der DS-GVO ein immaterieller Schadensersatz in Betracht kommt. Hierbei ist zu berücksichtigen, dass gerade ausgehend von Erwägungsgrund 146 Satz 3 eine weite Auslegung geboten ist, um den Zielen der Verordnung in vollem Umfang zu entsprechen. Hiermit wäre es unvereinbar, würde eine Schadensersatzpflicht nur bei erheblichen Rechtsverstöße eintreten, da dann eine Vielzahl von Fallgestaltungen denkbar wäre, in denen Betroffene trotz Verstößen gegen die Regelungen der DS-GVO keine Kompensation erhielten. Ferner kann, um die Regelungen der DS-GVO effektiv durchzusetzen, auch auf eine abschreckende Wirkung des Schadensersatzes abgestellt werden (vgl. EuGH 17. Dezember 2015 – C-407/14 – Rn. 44). Zudem sollen die betroffenen Personen nach Erwägungsgrund 146 Satz 3 einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten. Dass ein Schaden erlitten ist, ergibt sich nicht erst bei Überschreiten einer gewissen Erheblichkeitsschwelle – der Schwere der Pflichtverstöße und damit einhergehenden Beeinträchtigungen kann vielmehr effektiv auf Ebene der Höhe des Schadensersatzes begegnet werden.
Indem die Beklagte ihrer Auskunftsverpflichtung zeitlich und inhaltlich nicht hinreichend nachgekommen ist, hat der Kläger keine zeitgerechten, ausreichenden Kenntnisse über die Verarbeitung seiner personenbezogenen Daten erlangt – insofern ist ein Kontrollverlust eingetreten und ihm wird die Möglichkeit der Überprüfung der Rechtmäßigkeit der Verarbeitung seiner personenbezogenen Daten unmöglich gemacht oder erschwert.
(6) Dem Kläger ist in Anbetracht der Pflichtverstöße der Beklagten nach richterlichem Ermessen gem. § 287 Abs. 1 ZPO ein immaterieller Schadensersatz in Höhe von 1.250,-- Euro zuzusprechen.
(a) Den Schadensersatzansprüchen soll generell eine Abschreckungswirkung innewohnen (Sydow, Europäische Datenschutzgrundverordnung, 2. Aufl. 2018, DSGVO Art. 82 Rn. 10, mwN).). Unter Berücksichtigung des Erwägungsgrundes 146 (Satz 6) zur DSGVO soll die betroffene Person einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten(LAG Hamm 11. Mai 2021 – 6 Sa 1260/20 – Rn. 50). Verstöße müssen effektiv sanktioniert werden. Schadenersatz bei Datenschutzverstößen sollen eine abschreckende Wirkung haben, um der Datenschutzgrundverordnung zum Durchbruch zu verhelfen (effet utile) (ArbG Dresden 26. August 2020 – 13 Ca 1046/20 – Rn. 16).
(b) Gemessen an der Zweckrichtung des Schadensersatzes hält die Kammer unter Berücksichtigung und Abwägung der Umstände des vorliegenden Falls einen immateriellen Schadensersatz in Höhe von 1.250,-- Euro angemessen, aber auch ausreichend. Hierbei ist zu berücksichtigen, dass die verspätete Auskunft der Beklagten erfolgte, weil sie nicht innerhalb des ersten Monats die Inanspruchnahme der Verlängerung um zwei Monate begründet mitteilte. Im Ergebnis wurde die Auskunft jedoch innerhalb von gut zwei Monaten nach Geltendmachung des Auskunftsbegehrens und somit noch vor dem Ablauf von drei Monaten erteilt, die der Gesetzgeber dem Verantwortlichen grundsätzlich maximal zubilligt. Hierbei ist auch zu berücksichtigen, dass der Kläger im September 2018 sein Begehren präzisierte und die Beklagte dem in ihrer Antwort Rechnung trug. Andererseits ist erkennbar, dass der Beklagten die einmonatige Frist durchaus bewusst war, da deren Prozessbevollmächtigte im Schreiben vom 20.08.2018 mitteilte, dass eine Erledigung innerhalb dieser Frist erfolgen würde. Insgesamt ist in Anbetracht dieser Gesamtumstände, die dazu führten, dass der Kläger nur für einen vergleichsweise kurzen Zeitraum nach Antragstellung über die Datenverarbeitung im Unklaren war, ein immaterieller Schadensersatz von 250,-- Euro zuzuerkennen. Schwerer wiegt demgegenüber der Verstoß gegen Art. 15 Abs. 1 DS-GVO. Da durch die unzureichende Auskunft der Erkenntnisgewinn des Klägers über die Verarbeitung seiner personenbezogenen Daten nicht umfassend war und die Beklagte hierfür keine ausreichend nachvollziehbare Begründung angeben konnte, erscheint der Kammer ein Schadensersatz in Höhe von 1.000,-- Euro angemessen. Hierdurch wird ausreichend sichergestellt, dass durch die Zahlung eines spürbaren Betrages der Regelung des Art. 15 DS-GVO zur Geltung verholfen wird und die Verpflichteten angehalten werden, die entsprechenden Maßgaben einzuhalten. In die Überlegung einzustellen ist, dass die Beklagte nicht versehentlich die Auskunft hinsichtlich bestimmter Informationen mit personenbezogenen Daten unterlassen hat, sondern diese bewusst zurückgehalten hat, ohne dass ein Grund hierfür nachvollziehbar dargelegt wurde. Anzuknüpfen ist hierbei nach Sicht der Kammer weder an den Verdienst des Klägers noch die finanzielle Leistungsfähigkeit der Beklagten, da beide Komponenten in keinem Zusammenhang mit den datenschutzrechtlichen Verstößen stehen.
