BECKMANN UND NORDA - Rechtsanwälte Bielefeld

LAG Düsseldorf
Urteil vom 28.11.2023
3 Sa 285/23

Das LAG Düsseldorf hat entschieden, dass eine verspätete oder unvollständige Auskunftserteilung nach Art. 15 DSGVO keinen Schadensersatzanspruch aus Art. 82 DSGVO begründet.

Die Pressemitteilung des Gerichts:
LAG Düsseldorf: Keine Entschädigung für verspätete und unvollständige Auskunft gemäß Art. 15 DSGVO

Der Kläger war vom 01.12.2016 bis zum 31.12.2016 bei dem Kundenservice eines Immobilienunternehmens, der Beklagten, beschäftigt. Bereits im Jahre 2020 hatte er einen Antrag auf Auskunft gemäß Art. 15 DSGVO gestellt, den die Beklagte beantwortet hatte.

Mit Schreiben vom 01.10.2022, das der Beklagten an diesem Tag zuging, verlangte er erneut Auskunft und eine Datenkopie auf der Grundlage von Art. 15 DSGVO. Er setzte eine Frist bis zum 16.10.2022. Als die Beklagte nicht antwortete, erinnerte der Kläger mit Schreiben vom 21.10.2022 mit weiterer Fristsetzung bis zum 31.10.2022. Die ihm mit Schreiben vom 27.10.2022 erteilte Auskunft rügte der Kläger mit Schrei-ben vom 04.11.2022 als verspätetet und inhaltlich mangelhaft. Es fehlten die konkreten Angaben zur Dauer der Datenspeicherung und die namentlich bezeichneten Empfänger seiner Daten. Außerdem sei die Datenkopie unvollständig. Mit Schreiben vom 11.11.2022 teilte die Beklagte dem Kläger mit, dass die Angaben zu den Datenempfängern die Betroffenen in der Regel nicht interessierten und daher nur kategorisiert mitgeteilt worden seien. Zudem konkretisierte sie die Angaben zur Speicherdauer und die Datenkopie. Mit Schreiben vom 18.11.2022 verlangte der Kläger erneut die namentliche Nennung der Empfänger und auch nähere Angaben zur Speicherdauer. Die Datenkopie sei weiterhin unzureichend. Die Beklagte konkretisierte die Informationen mit Schreiben vom 01.12.2022.

Der Kläger hat von der Beklagten gemäß Art. 82 Abs. 1 DSGVO eine Geldentschädigung nach Ermessen des Gerichts verlangt, die 2.000 Euro nicht unterschreiten sollte, weil sein Auskunftsrecht aus Art. 15 DSGVO durch die Beklagte mehrfach verletzt worden sei. Diese hat dem widersprochen, weil es u.a. bereits an einem im-materiellen Schaden des Klägers fehle.

Anders als das Arbeitsgericht, das dem Kläger wegen des von ihm angenommenen vorsätzlichen Verstoßes der Beklagten eine Geldentschädigung von 10.000 Euro zugesprochen hatte, hat die 3. Kammer des Landesarbeitsgerichts Düsseldorf die Klage heute vollständig abgewiesen. Es treffe zwar zu, dass die Beklagte gegen Art. 12 Abs. 3 DSGVO und Art. 15 DSGVO verstoßen habe. Sie habe die Auskunft nicht fristgerecht und anfangs unvollständig erteilt. Eine vollständige Auskunft habe erst am 01.12.2022, d.h. sechs Wochen nach Ablauf der vom Kläger gesetzten Frist vor-gelegen. Dies begründe indes aus zwei Gründen keinen Anspruch auf eine Geldentschädigung gemäß Art. 82 Abs. 1 DSGVO. Ein Verstoß gegen Art. 15 DSGVO falle bereits nicht in den Anwendungsbereich von Art. 82 DSGVO. Die Vorschrift setzt haftungsbegründend eine gegen die DSGVO verstoßende Datenverarbeitung voraus. Daran fehle es bei der bloßen Verletzung der Auskunftspflicht aus Art. 15 DSGVO - sei es, dass diese verzögert oder anfangs unvollständig erfüllt werde. Unabhängig davon setze Art. 82 DSGVO für einen Anspruch auf eine Geldentschädigung wegen eines immateriellen Schadens mehr als einen bloßen Verstoß gegen die Vorschriften der DSGVO voraus. Der bloße vom Kläger angeführte Kontrollverlust über die Daten genüge nicht und sei mit dem Verstoß gegen Art. 15 DSGVO letztlich identisch. Zu weiterem immateriellen Schaden fehlte es an jeglichem konkreten Vortrag des Klägers.

Das Landesarbeitsgericht hat die Revision zugelassen.

Landesarbeitsgericht Düsseldorf, Urteil vom 28.11.2023 - 3 Sa 285/23
Arbeitsgericht Duisburg, Urteil vom 23.03.2023 - 3 Ca 44/23

Auszug aus der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (DSGVO)

"Artikel 12
Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person

…

(3) Der Verantwortliche stellt der betroffenen Person Informationen über die auf Antrag gemäß den Artikeln 15 bis 22 ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung. Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist. Der Verantwortliche unterrichtet die betroffene Person innerhalb eines Monats nach Eingang des Antrags über eine Fristverlängerung, zusammen mit den Gründen für die Verzögerung. Stellt die betroffene Person den Antrag elektronisch, so ist sie nach Möglichkeit auf elektronischem Weg zu unterrichten, sofern sie nichts anderes angibt.

…

Artikel 15
Auskunftsrecht der betroffenen Person

(1) Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:

a) die Verarbeitungszwecke;

b) die Kategorien personenbezogener Daten, die verarbeitet werden;

c) die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;

d) falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;

e) das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;

f) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;

g) wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;

h) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Ar-tikel 22 Absätze 1 und 4 und — zumindest in diesen Fällen — aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

…

(3) Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die Gegenstand der Verar-beitung sind, zur Verfügung. Für alle weiteren Kopien, die die betroffene Person beantragt, kann der Verantwortliche ein angemessenes Entgelt auf der Grundlage der Verwaltungskosten verlangen. Stellt die betroffene Person den Antrag elektronisch, so sind die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen, sofern sie nichts anderes angibt.

(4) Das Recht auf Erhalt einer Kopie gemäß Absatz 1b darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen.

Artikel 82
Haftung und Recht auf Schadenersatz

(1) Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

(2) Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. Ein Auftragsverarbeiter haftet für den durch eine Verarbeitung verursachten Schaden nur dann, wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus dieser Verordnung nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat.

(3) Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden einge-treten ist, verantwortlich ist.
…"

BGH
Urteil vom 06.02.2024
VI ZR 15/23
DSGVO Art. 15 Abs. 1, 3

Der BGH hat abermals entschieden, dass Art. 15 Abs. 1 und 3 DSGVO keinen Anspruch auf Abschriften der Begründungsschreiben samt Anlagen zu Prämienanpassungen einer privaten Krankenversicherung gewährt.

Leitsatz des BGH:
Aus Art. 15 Abs. 1 und 3 DSGVO folgt grundsätzlich kein Anspruch auf Abschriften der Begründungsschreiben samt Anlagen zu Prämienanpassungen in der privaten Krankenversicherung (Anschluss an BGH, Urteil vom27. September 2023 - IV ZR 177/22, NJW 2023, 3490 Rn. 45 ff.).

BGH, Urteil vom 6. Februar 2024 - VI ZR 15/23 - OLG Celle - LG Verden

Den Volltext der Entscheidung finden Sie hier:

AG Lörrach
Urteil vom 05.02.2024
3 C 661/23

Das AG Lörrach hat entschieden, dass der Auskunftsanspruch gemäß Art. 15 DSGVO auch gespeicherte Audiomitschnitte von Telefongesprächen umfasst.

Aus den Entscheidungsgründen:
I) Die Klage ist hinsichtlich des Auskunftsanspruchs nach Art. 15 DSGVO unstreitig gegeben. Zwischen den Parteien blieb bis zuletzt lediglich streitig, ob der Audiomitschnitt vom Telefongespräch Ende 2022 übermittelt wurde. Dafür bot die Beklagte keinen Beweis an, obwohl sie die Erfüllung zu beweisen hatte. Damit war die Beklagte dahingehend noch zu verurteilen.

II) Der Kläger hat gegen die Beklagte einen Anspruch auf Schadensersatz in Höhe seiner vorgerichtlichen Anwaltskosten in Höhe von 713,76 €. Dieser Anspruch richtet sich nach § 257 BGB auf Freistellung. Der Anspruch gründet für verschiedene Streitgegenstände auf verschiedenen Anspruchsgrundlagen (1)-3)). Hinsichtlich der Rechtsanwaltsgebühren ist der Streitwert aber einheitlich zu bestimmen, woraus sich die Schadenshöhe ergibt (4)).

1) Wegen der vorgerichtlichen Aufforderung zur Datenauskunft nach Art. 15 DSGVO hat der Kläger gegen die Beklagte einen Anspruch auf Ersatz der vorgerichtlichen Anwaltskosten aus Art. 82 DSGVO.

a) Die Beklagte hat gegen Art. 6 DSGVO verstoßen, indem sie die personenbezogenen Daten des Klägers ohne Rechtfertigung verarbeitet hat. Die Beklagte erhielt die Daten des Klägers ohne sein Wissen und Wollen. Die erlangten Daten benutzte die Beklagte, um den Kläger anzurufen und einen Vertragsschluss anzubieten. Die Telefondaten und die Personalien des Klägers sind personenbezogene Daten nach Art. 4 Nr. 1 DSGVO. Indem die Beklagte die Daten erhalten hat und bei sich selbst gespeichert hat, liegt eine Verarbeitung nach Art. 4 Nr. 2 DSGVO vor. Die Daten wurden anschließend für den Anruf und die Vertragsanbahnung verwendet, womit eine weitere Verarbeitung vorliegt. Solch eine Verarbeitung ist nur unter den Voraussetzungen des Art. 6 Abs. 1 DSGVO rechtmäßig. Die Beklagte hat keinen Fall davon vorgetragen. Insbesondere hat sie nicht vorgetragen, dass der Kläger zu solch einer Verarbeitung zustimmt hat. Soweit in der mündlichen Verhandlung erörtert wurde, woher die Beklagte die Daten hat und der Sohn des Klägers informatorisch angehört wurde, konnte er nicht bestätigen, dass er gegenüber der a. GmbH eine Einwilligung erteilt hat. Es ist auch nicht ersichtlich, dass unter einer Abwägung der Interessen die Verarbeitung gerechtfertigt war (Art. 6 Abs. 1 lit. f) DSGVO). Damit liegt ein Verstoß gegen eine konkrete Datenschutzbestimmung vor. Es kommt also nicht darauf an, ob auch anderweitige Verstöße ausreichen (dazu: BeckOK DatenschutzR/Quaas, 46. Ed. 1.11.2023, DS-GVO Art. 82 Rn. 14; EuGH GRUR-RS 2023, 8972).

b) Soweit auch die a. GmbH für die rechtswidrige Verarbeitung der personenbezogenen Daten verantwortlich war, ändert dies nichts daran, dass die Beklagte nach Art. 82 Abs. 4 DSGVO auch alleine für den gesamten Schaden haftet.

c) Die Beklagte konnte sich auch nicht nach Art. 82 Abs. 3 DSGVO exkulpieren, weil die Beklagte sowohl für die Speicherung als auch für die Verwendung selbst verantwortlich ist.

d) Als Schaden kann der Kläger die vorgerichtlichen Anwaltskosten für die Geltendmachung des Anspruchs aus Art. 15 DSGVO geltend machen.

aa) Hinsichtlich der Schadenshöhe hat der EuGH festgestellt, dass sich dieser grundsätzlich nach den nationalen Vorschriften ergibt. Dies darf allerdings nicht gegen die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität verstoßen. (EuGH GRUR-RS 2023, 8972, Rn. 59) Dahingehend ist zu berücksichtigen, dass die DSGVO einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden sicherstellen soll. (EuGH GRUR-RS 2023, 8972, Rn. 57) Damit ist kein Strafschadensersatz gefordert. (EuGH GRUR-RS 2023, 8972, Rn. 58) Allerdings erfordert Sinn und Zweck der DSGVO eine weite Auslegung des Schadensbegriffs (BeckOK DatenschutzR/Quaas, 46. Ed. 1.11.2023, DS-GVO Art. 82 Rn. 29).

bb) Hinsichtlich entstandener Rechtsanwaltskosten ist es im Rahmen von § 249 BGB anerkannt, dass diese ersetzt werden müssen, wenn man sich vorprozessual anwaltlicher Hilfe bedient hat, um einen Schadensersatzanspruch geltend zu machen (BeckOGK/Brand, 1.3.2022, BGB § 249 Rn. 178). Der Kläger macht aber Rechtsanwaltskosten geltend, weil er sich zur Durchsetzung seines Anspruchs aus Art. 15 DSGVO eines Anwalts bedient hat, was keinen Schadensersatzanspruch beinhaltet. Ein Schaden müsste sich damit aus den allgemeinen Grundsätzen der §§ 249 ff. BGB ergeben.

Nach der Differenzhypothese sind die Güterlagen mit und ohne schädigendes Ereignis zu bewerten (BeckOGK/Brand, 1.3.2022, BGB § 249 Rn. 12). Danach kann ein Schaden angenommen werden, weil das schädigende Ereignis die Erlangung der Daten durch die Beklagte und deren Verwendung ist. Ohne dieses Ereignis, hätte der Kläger niemals einen Anspruch aus Art. 15 DSGVO geltend machen wollen.

Die Beauftragung eines Anwalts geschah nach dem schädigenden Ereignis und basiert auf einem eigenen Willensentschluss des Klägers. Es handelt sich aber trotzdem um einen unfreiwilligen Schaden und keine Aufwendung als freiwilliges Vermögensopfer. Ein Schaden bei freiwilligen Vermögensopfern liegt vor, wenn sie aus Sicht eines verständigen Menschen in der Lage des Geschädigten erforderlich sind, um die Folgen einer Rechtsgutsverletzung zu beseitigen. (BeckOGK/Brand, 1.3.2022, BGB § 249 Rn. 10) Das ist vorliegend der Fall. Die Rechtsgutsverletzung ist die rechtswidrige Datenverarbeitung. Für den Kläger war es erforderlich, zunächst das Ausmaß dieser Rechtsgutsverletzung in Erfahrung zu bringen, um sich anschließend um die Schadensbehebung zu bemühen. Für die Durchsetzung des Anspruches aus Art. 15 DSGVO war auch die Einschaltung eines Anwalts erforderlich. Dem Kläger war es nicht nach § 254 BGB zuzumuten den Anspruch selbst zu verfolgen (so auch: LG Lübeck, Urteil vom 7. Dezember 2023 – 15 O 73/23 –, juris Rn. 192; LG Nürnberg-Fürth, Beschluss vom 20. Oktober 2023 – 10 O 1510/22 –, juris Rn. 162). Es kann nicht erwartet werden, dass ein juristischer Laie die Regelungen und Ansprüche aus der DSGVO kennt, um diese selbst durchzusetzen.

cc) Auch in der Literatur wird angenommen, dass vorgerichtliche Anwaltskosten ein Schaden sein können (BeckOK DatenschutzR/Quaas, 46. Ed. 1.11.2023, DS-GVO Art. 82 Rn. 29; Boehm in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 1. Auflage 2019, DSGVO Art. 82 Rn. 28: gerade in Bezug für die Ermittlung und Hilfe den immateriellen Schaden zu beseitigen). Auch in der Rechtsprechung wird dies angenommen (LG Lübeck, Urteil vom 7. Dezember 2023 – 15 O 73/23 –, juris Rn. 192; LG Nürnberg-Fürth, Beschluss vom 20. Oktober 2023 – 10 O 1510/22 –, juris Rn. 162).

dd) Da ein Schaden nach deutschem Recht angenommen werden kann, liegt auch kein Verstoß gegen die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität vor, da einer weiten Auslegung von Art. 82 DSGVO Rechnung getragen wird.

ee) Die Rechtsfrage ist auch nicht dem EuGH im Wege eines Vorabentscheidungsverfahrens vorzulegen. In der zitierten Entscheidung (EuGH GRUR-RS 2023, 8972) hat er bereits explizit entschieden, dass für die Schadenshöhe das nationale Recht anwendbar ist, dies aber nicht gegen die eigenständigen Anforderungen von Art. 82 DSGVO verstoßen darf. Diese Grundsätze wurden hier beachtet. Eine weitergehende Auslegung von EU-Recht noch ungeklärter Fragen ist nicht veranlasst.

2) Sowohl wegen des Strom- und Gaslieferungsvertrags und der Abwehr der Ansprüche daraus hat der Kläger gegen die Beklagte einen Anspruch auf Schadensersatz auf Erstattung der vorgerichtlichen Anwaltskosten aus §§ 280 Abs. 1; 311 Abs. 2 Nr. 2; 241 Abs. 2 BGB; 7 Abs. 2 Nr. 1 UWG.

a) Zwischen den Parteien bestand ein Schuldverhältnis nach § 311 Abs. 2 Nr. 2 BGB, weil die Beklagte den Kläger zur Vertragsanbahnung angerufen hat.

b) Dabei hat die Beklagte gegen ihre Rücksichtnahmepflicht aus § 241 Abs. 2 BGB i. V. m. § 7 Abs. 2 Nr. 1 UWG verstoßen. Sie hat ihn unaufgefordert angerufen und keine Einwilligung eingeholt, was einen Verstoß gegen § 7 Abs. 2 Nr. 1 UWG darstellt, weil der Kläger Verbraucher nach § 13 BGB war. Dem steht nicht entgegen, dass hier die Vertragsanbahnung und die Pflichtverletzung zusammengehen. Die Pflichtverletzung setzte sich nämlich fort, indem die Beklagte den Anruf aufrechterhielt ohne eine Einwilligung nach § 7a UWG einzuholen (so auch: AG Remscheid, Urteil vom 26. November 2015 – 7 C 73/15 –, juris; LG Arnsberg, Urteil vom 22. Januar 2015 – 8 O 133/14 –, juris Rn. 24; dagegen zweifelnd, aber nicht entschieden: OLG Hamm, Urteil vom 7. Oktober 2016 – 12 U 38/15 –, juris Rn. 38).

Soweit für die Beklagte ein Mitarbeiter handelte, wird ihr dieses Verhalten nach § 278 BGB zugerechnet.

c) Es wird vermutet, dass die Beklagte dies zu vertreten hat (§ 280 Abs. 2 BGB). Die Beklagte handelte sogar vorsätzlich, weil sie es gerade darauf anlegte, den Kläger unaufgefordert anzurufen. Auch hier wird das Verhalten des Mitarbeiters nach § 278 BGB zugerechnet.

Randnummer35
d) Als Schadensersatz kann der Kläger die vorgerichtlichen Anwaltskosten zur Klärung des fehlenden Vertragsverhältnisses und Abwehr der daraus resultierenden Ansprüche verlangen (§ 249 Abs. 1 BGB).

aa) Allein wegen des unerlaubten Anrufs nach § 7 Abs. 2 Nr. 1 UWG kam es zu dem für den Kläger unklaren Vertragsverhältnis zu der Beklagten. Damit waren die Vermögensinteressen des Klägers gefährdet, weil er befürchten musste, dass die Beklagte ungerechtfertigte Zahlungsansprüche geltend macht. Als juristischen Laien war es dem Kläger nicht zumutbar, das tatsächliche Vertragsverhältnis selbst zu klären. Es war somit für ihn erforderlich, einen Anwalt zu beauftragen. Dieser Vermögensschaden des Klägers war auch kausal aufgrund der Pflichtverletzung, weil das unklare Vertragsverhältnis gerade aus dem ungewollten Telefonanruf hervorging.

bb) Daran ändert nichts, dass die Beklagte mit Schreiben vom 14.02.2023 den Gaslieferungsvertrag kündigte. Entscheidend war, ob überhaupt ein Vertrag zustande kam. Im Kündigungsschreiben wurde auch noch angekündigt, dass eine Abschlussrechnung erfolgen werde. Damit ging die Beklagte weiterhin von einem geschlossenen Vertrag aus.

Hinsichtlich des Vertrags über Stromlieferung musste der Beklagte bis zu Schluss davon ausgehen, dass die Beklagte von einem bestehenden Vertrag ausging, weil er keine gegenteilige Information erhielt.

3) Sowohl wegen des Strom- und Gaslieferungsvertrags und der Abwehr der Ansprüche daraus kann der Kläger gegen die Beklagte Schadensersatz auf Erstattung der vorgerichtlichen Anwaltskosten aus §§ 831; 823 Abs. 2 BGB i. V. m. §§ 20 Abs. 1 Nr. 1; 7 Abs. 2 Nr. 1 UWG und damit aus einer weiteren Anspruchsgrundlage verlangen.

a) § 7 Abs. 2 Nr. 1 UWG ist an sich kein Schutzgesetz im Sinne des § 823 Abs. 2 BGB, weil die §§ 8 ff. UWG die zivilrechtliche Folgen des Verstoßes abschließend regeln (OLG Köln, Urteil vom 18. November 2022 – 6 U 49/22 –, juris). Allerdings ist § 7 Abs. 2 Nr. 1 UWG darüber hinaus nach § 20 Abs. 1 Nr. 1 UWG bußgeldbewährt. Diese Norm ist als Schutzgesetz im Sinne des § 823 Abs. 2 BGB einzuordnen (BeckOK UWG/Fritzsche, 22. Ed. 1.10.2023, UWG § 7 Rn. 21). Der Schutzumfang ist derselbe, weshalb nicht entschieden werden muss, ob § 7 Abs. 2 Nr. 1 UWG nicht doch selbst nach richtlinienkonformer Auslegung (Art. 13 ePrivacy-RL) als Schutzgesetz anzusehen ist (so: Köhler/Bornkamm/Feddersen/Köhler, 42. Aufl. 2024, UWG § 7 Rn. 24).

Das Gericht folgt auch dieser in der Literatur vertretene Auffassung. Eine Norm ist ein Schutzgesetz nach § 823 Abs. 2 BGB, wenn sie gerade Individualinteressen schützen möchte. Das ist hier der Fall. Das UWG will Verbraucher schützen (§ 1 Abs. 1 UWG). Dieser Schutz ist besonders ausgeprägt. So gewährt § 7 Abs. 2 Nr. 1 UWG Schutz vor sogenannten Cold-Calls. Dieser ist gegenüber Verbrauchern besonders ausgestaltet, da bei ihnen eine ausdrückliche Einwilligung eingeholt werden muss und ein Verstoß dagegen bußgeldbewährt ist, was bei Nicht-Verbrauchern jeweils nicht der Fall ist. Die Norm will somit nicht nur die Allgemeinheit vor Cold-Calls schützen, sondern auch einzelne Verbraucher vor dessen Gefahren bewahren. Wegen § 20 Abs. 1 Nr. 1 UWG kann nicht davon ausgegangen werden, dass die §§ 8 ff. UWG eine weitergehende zivilrechtliche Haftung ausschließen, weil die §§ 8 ff. UWG nicht die zivilrechtlichen Folgen von § 20 Abs. 1 Nr. 1 UWG regelt und § 20 Abs. 1 Nr. 1 UWG auch nicht denselben Regelungsgehalt von § 7 Abs. 2 Nr. 1 UWG hat, sondern einen eingeschränkteren Anwendungsbereich hat.

b) Die Beklagte verstieß gegen § 7 Abs. 2 Nr. 1 UWG. Sie holte beim Kläger keine Einwilligung ein für den ungefragten Anruf und zwischen den Parteien bestand auch davor keine Vertragsbeziehung. Der Kläger war Verbraucher nach § 13 BGB.

c) Dieses Vorgehen war durch die Beklagte auch so geplant, weshalb sie vorsätzlich nach § 823 Abs. 2 S. 2 BGB handelte.

d) Da für die Beklagte ein Mitarbeiter als Verrichtungsgehilfe handelte, haftet die Beklagte selbst nach § 831 BGB. Sie kann sich nicht nach § 831 Abs. 1 S. 2 BGB exkulpieren, weil dazu nichts vorgetragen wurde.

e) Als Schaden kann der Kläger die vorgerichtlichen Rechtsanwaltskosten nach § 249 Abs. 1 BGB verlangen.

aa) Der Kläger war damit konfrontiert, dass die Beklagte von zwei abgeschlossenen Verträgen ausging, was tatsächlich nicht der Fall war. Grundlage dafür war gerade die unzumutbare Belästigung nach § 7 Abs. 2 Nr. 1 UWG. Um diese Belastung zu beseitigen, hat Kläger zunächst Widerrufserklärungen abgegeben. Dies war aber nicht erfolgreich, weil der Kläger anschließend mit Gas zwangsbeliefert wurde und hinsichtlich des Vertrags über den Strom für ihn weiter nicht erkenntlich war, ob die Beklagte von einem wirksamen Vertrag ausging. Für den Kläger war es damit erforderlich einen Anwalt zu beauftragen, um das Vertragsverhältnis zu klären. Als juristischer Laie war ihm nicht klar, ob ein abgeschlossener Vertrag vorliegt oder er dies noch verhindern konnte. Für ihn war aber klar, dass zumindest die Beklagte noch von einem abgeschlossenen Vertrag ausging.

Damit wollte der Kläger nicht nur außervertragliche Ansprüche abwehren, wofür die Voraussetzungen der Geltendmachung von außergerichtlichen Rechtsanwaltskosten hoch sind (dazu: AG Lörrach, Urteil vom 25. September 2023 – 3 C 560/23 –, juris unter Verweis auf: BGH, NJW 2009, 1262). Für den Kläger ging es darum, ob der Vertrag an sich besteht. Gerade diese Unsicherheit will § 7 Abs. 2 Nr. 1 UWG vermeiden und die Beseitigung davon ist vom Schutzzweck und damit vom Schadensumfang umfasst.

bb) Daran ändert nichts, dass die Beklagte mit Schreiben vom 14.02.2023 den Gaslieferungsvertrag kündigte. Entscheidend war, ob überhaupt ein Vertrag zustande kam. Im Kündigungsschreiben wurde auch noch angekündigt, dass eine Abschlussrechnung erfolgen werde. Damit ging die Beklagte weiterhin von einem geschlossenen Vertrag aus.

Hinsichtlich des Vertrags über Stromlieferung musste der Beklagte bis zu Schluss davon ausgehen, dass die Beklagte von einem bestehenden Vertrag ausging, weil er keine gegenteilige Information erhielt.

4) Die Schadenshöhe für die jeweiligen Schadensersatzansprüche des Klägers setzen sich aus einem einheitlichen Streitwert zusammen, der die Höhe der Rechtsanwaltsgebühren bestimmt. Die Angelegenheit wurde als eine einzige behandelt und dafür ist ein einheitlicher Streitwert nach § 22 Abs. 1 RVG zu bilden.

Für den Auskunftsanspruch nahm der Kläger 1.000 € an, für den Gasliefervertrag 500 € und für den Stromliefervertrag 5.000 €. Die Beklagte ist diesen Werten nicht entgegengetreten. Zumindest hinsichtlich der Gasrechnung verlangte die Beklagte noch 654 €, weshalb die angesetzten 500 € angemessen waren. Soweit die Beklagte den Wert des Stromliefervertrags in Höhe von 5.000 € nicht anzweifelt, hält das Gericht auch diesen Betrag für angemessen. Hinsichtlich des Auskunftsanspruchs sieht das Gericht auch keinen Grund an der Angemessenheit von 1.000 € als Streitwert zu zweifeln.

Ausgehend von einem Streitwert von 6.500 € kann eine 1,3 Geschäftsgebühr, die Pauschale und die Mehrwertsteuer in Höhe von insgesamt 713,76 € verlangt werden.

C) Die Beklagte hat die Kosten des Rechtsstreits nach § 91 ZPO zu tragen, weil sie den Rechtsstreit verloren hat. Soweit der Rechtsstreit beidseitig für erledigt erklärt wurde, hat die Beklagte die Kosten nach § 91a ZPO zu tragen. Der Klageantrag Nr. 1 war ursprünglich zulässig und begründet. Wegen der Anspruchsberühmung war der Feststellungsantrag zulässig nach § 256 ZPO (BeckOK ZPO/Bacher, 51. Ed. 1.12.2023, ZPO § 256 Rn. 22). Die Beklagte forderte von dem Kläger noch 654 € aus dem Gasliefervertrag. Die Klage war auch begründet. Zwischen den Parteien kam kein Vertrag zustande. Für einen Vertragsschluss war die Beklagte beweisbelastet und hat dafür keinen Beweis angeboten, so dass auch damit zu rechnen war, dass sie den Prozess dahingehend verloren hätte. Dies erledigte sich dadurch, dass die Beklagte während des Prozesses versicherte aus dem Gasliefervertrag keine Ansprüche geltend machen zu wollen, damit war die Klage zum Zeitpunkt des erledigenden Ereignisses zulässig und begründet.

Den Volltext der Entscheidung finden Sie hier:

BFH
Beschluss vom 08.02.Februar 2024
IX B 113/22

Der BFH hat entschieden, dass juristische Personen keine Ansprüche nach der DSGVO und damit auch keinen Auskunftsanspruch gemäß Art. 15 DSGVO haben.

Aus den Entscheidungsgründen:
2. Ein Anspruch auf Überlassung der begehrten elektronischen Kopien über den Anwendungsbereich des § 78 FGO hinaus ergibt sich entgegen der Auffassung der Klägerin nicht aus Art. 15 Abs. 1 Halbsatz 2, Abs. 3 DSGVO.

a) Dabei kann dahinstehen, ob ‑‑wie vom X. Senat des BFH bereits entschieden‑‑ die Finanzgerichtsordnung dem Datenschutzrecht und damit auch dem Auskunftsrecht aus Art. 15 DSGVO vorgeht (BFH-Beschluss vom 29.08.2019 - X S 6/19, Rz 23, unter Verweis auf die Stellungnahme der Bundesregierung in ihrer Gegenäußerung zur Bundesratsstellungnahme vom 23.03.2017 zu Nr. 6, BTDrucks 18/11655, S. 27; ebenso BFH-Beschluss vom 18.03.2021 - V B 29/20, BFHE 272, 296, BStBl II 2021, 710, Rz 23; zu § 299 der Zivilprozessordnung vgl. Beschluss des Thüringer Oberlandesgerichts vom 22.06.2023 - 2 VA 5/23; zustimmend z.B. Brandis in Tipke/Kruse, § 78 FGO Rz 1; kritisch Schaz, Deutsche Steuer-Zeitung 2020, 338, 339 f.).

b) Jedenfalls enthält die Datenschutz-Grundverordnung nach deren Art. 1 Abs. 1 und 2 nur Vorschriften zum Schutze natürlicher Personen. Sie erfasst nicht die Daten, die juristische Personen betreffen (EuGH-Urteil J & S Service vom 10.12.2020 - C-620/19, EU:C:2020:1011, Rz 41). Als betroffene Personen kommen daher nur natürliche Personen in Betracht (vgl. Art. 4 Nr. 1 DSGVO). Im Erwägungsgrund 14 der DSGVO heißt es hierzu, dass die Datenschutz-Grundverordnung nicht für die Verarbeitung personenbezogener Daten juristischer Personen und insbesondere als juristische Person gegründeter Unternehmen, einschließlich Name, Rechtsform oder Kontaktdaten der juristischen Person, gilt. Dementsprechend betont der EuGH, dass der Begriff "Informationen, die sich auf Körperschaften beziehen" streng von dem unionsrechtlich definierten Begriff der personenbezogenen Daten natürlicher Personen zu unterscheiden ist. Das Recht natürlicher Personen auf Schutz ihrer personenbezogenen Daten ist ein Grundrecht, das durch Art. 8 Abs. 1 der Charta der Grundrechte der Europäischen Union garantiert wird. Dagegen werden Informationen, die juristische Personen betreffen, im Unionsrecht nicht in vergleichbarer Weise geschützt (vgl. EuGH-Urteil J & S Service vom 10.12.2020 - C-620/19, EU:C:2020:1011, Rz 46).

Im Streitfall kann die Klägerin, eine GmbH, als juristische Person daher keine Rechte aus Art. 15 DSGVO ableiten.

c) Ob der Gesellschafter-Geschäftsführer der Klägerin gegebenenfalls Rechte betreffend Daten einer sogenannten "Ein-Mann-GmbH" geltend machen kann, braucht der Senat nicht zu entscheiden. Den hier streitgegenständlichen Antrag hat der Gesellschafter-Geschäftsführer der Klägerin nicht als möglicherweise betroffene natürliche Person im eigenen Namen, sondern im Namen der Klägerin, also einer juristischen Person, gestellt.

d) Auch soweit sich die Klägerin auf § 2a Abs. 5 der Abgabenordnung (AO) beruft, begründet dies keine Anwendung des Art. 15 DSGVO. Die Anwendungserweiterung der Datenschutz-Grundverordnung durch § 2a Abs. 5 AO gilt nur für das Besteuerungsverfahren nach der Abgabenordnung (so auch Drüen in Tipke/Kruse, § 2a AO Rz 24a), nicht jedoch für das Verfahren vor den Finanzgerichten.

3. Der erkennende Senat sieht keinen Anlass für die Einholung einer Vorabentscheidung des EuGH nach Art. 267 des Vertrags über die Arbeitsweise der Europäischen Union.

a) Nach Ansicht des Senats bestehen ‑‑auf Grundlage der oben genannten Rechtsprechung des EuGH‑‑ keine Zweifel daran, dass gemäß Art. 1 Abs. 1 und 2 DSGVO juristische Personen keine Rechte aus der Datenschutz-Grundverordnung ableiten können, sondern lediglich die dahinterstehenden, betroffenen (natürlichen) Personen.

b) Mangels Anwendbarkeit der Datenschutz-Grundverordnung ist im vorliegenden Verfahren auch nicht klärbar, ob FA und FG gemeinsam Verantwortliche im Sinne des Art. 26 DSGVO sein können.

c) Die Frage, ob Art. 23 Abs. 1 DSGVO von seinem Anwendungsbereich nationale Gesetzgebungsmaßnahmen, die vor dem Inkrafttreten der Datenschutz-Grundverordnung erlassen wurden, ausschließt, hat der EuGH bereits beantwortet (EuGH-Urteil FT (Copies du dossier médical) vom 26.10.2023 - C-307/22, EU:C:2023:811, Rz 56) und ist im Streitfall auch nicht entscheidungserheblich.

Den Volltext der Entscheidung finden Sie hier:

VG Berlin
Urteil vom 06.02.2024
1 K 187/21

Das VG Berlin hat entschieden, dass einem Auskunftsanspruch aus Art. 15 DSGVO ein unverhältnismäßiger Aufwand zur Auskunftserteilung nur ein eng begrenzten Ausnahmefällen entgegengehalten werden kann.

Aus den Entscheidungsgründen:
Soweit der Kläger – mit seinem Antrag zu 1.) – die Verpflichtung der Beklagten begehrt, die ihm unter dem 18. November 2020 erteilte Auskunft zu vervollständigen und ihm Auskunft über seine bis zum Datum seines Auskunftsantrages in den Verwaltungsvorgängen der Beklagten verarbeiteten personenbezogenen Daten zu erteilen, indem die Beklage ihm eine Kopie dieser Daten zur Verfügung stellt, ist die nach § 42 Abs. 1 Alt. 2 VwGO statthafte (vgl. BVerwG, Urteil vom 30. November 2022 - 6 C 10.21, juris Rn. 14) und auch sonst zulässige Verpflichtungsklage begründet (§ 113 Abs. 5 Satz 1 VwGO).

Grundlage für den insoweit geltend gemachten Anspruch ist Art. 15 Abs. 1 i.V.m. Abs. 3 Satz 1 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung - DSGVO).

Sinn und Zweck des Auskunftsanspruchs aus Art. 15 Abs. 1 DSGVO ist es, wie sich u.a. aus Erwägungsgrund 63 zur DSGVO ergibt, den Betroffenen in die Lage zu versetzen, von einer Verarbeitung ihn betreffender personenbezogener Daten Kenntnis zu erhalten, um im Folgenden nicht nur die Richtigkeit dieser Daten, sondern auch die Zulässigkeit ihrer Verarbeitung überprüfen und im Folgenden ggf. die ihm nach den Art. 16f. DSGVO zustehenden Rechte – beispielweise auf Löschung oder Einschränkung der Verarbeitung der Daten – ausüben zu können (EuGH, Urteil vom 4. Mai 2023 - C-487, juris Rn. 33f.). Gerade für eine Rechtmäßigkeitskontrolle ist aber, worauf der Kläger zu Recht hingewiesen hat, eine bloß abstrakte Übersicht über die verarbeiteten Daten nicht ausreichend, weshalb der Anspruch des Klägers nicht durch die ihm unter dem 18. November 2020 erteilte Auskunft der Beklagten erloschen ist, die sich lediglich auf die in den IT-Systemen der Beklagten gespeicherten (Stamm-)Daten des Klägers erstreckte. Vielmehr bedarf es, um die Rechtmäßigkeit der Datenverarbeitung im jeweiligen Einzelfall überprüfen zu können, notwendigerweise der konkreten Mitteilung, in welchem Kontext die Daten verarbeitet wurden (EuGH, Urteil vom 4. Mai 2023, a.a.O. Rn. 41f.; vgl. auch EuGH, Urteil vom 22. Juni 2023 - C-579/21, juris Rn. 64f., 66). Dies lässt sich regelmäßig durch Zurverfügungstellung einer Kopie i.S.d. Art. 15 Abs. 3 Satz 1 DSGVO erreichen, d.h. einer vollständigen, originalgetreuen Reproduktion der verarbeiteten Daten (EuGH, Urteil vom 4. Mai 2023, a.a.O. Rn. 32, 39 und Urteil vom 22. Juni 2023, a.a.O.; vgl. auch EuGH, Urteil vom 26. Oktober 2023 - C-307/22, juris Rn. 79).

Der Klagebegründung zufolge (vgl. Schriftsatz vom 22. Dezember 2023, S. 3, 4) soll der geltend gemachte Auskunftsanspruch aus Art. 15 Abs. 1 DSGVO auf diese Weise erfüllt werden. Durch die (dementsprechend tenorierte) Verpflichtung der Beklagten zur Zurverfügungstellung einer Kopie i.S.d. Art. 15 Abs. 3 Satz 1 DSGVO wird zugleich der durch den Kläger weiter geltend gemachten Anspruch auf Auskunft über die sogenannten „Metadaten“ i.S.d. Art. 15 Abs. 1 HS. 2 lit. a) bis h) DSGVO erfüllt (vgl. Urteil der Kammer vom 10. Januar 2024 - VG 1 K 73/22, UA S. 5f.).

Dem damit dem Grunde nach bestehenden Anspruch des Klägers aus Art. 15 Abs. 1 i.V.m. Abs. 3 Satz 1 DSGVO kann die Beklagte nicht mit Erfolg den Einwand der Unverhältnismäßigkeit oder des Rechtsmissbrauchs entgegenhalten.

Das Gericht verkennt nicht, dass mit der Zurverfügungstellung von Kopien aller in den Verwaltungsvorgängen der Beklagten enthaltenen Dokumente, in denen personenbezogene Daten des Klägers verarbeitet werden, nicht nur wegen der in jedem Einzelfall erforderlichen Prüfung entgegenstehender Rechte i.S.d. Art. 15 Abs. 4 DSGVO ein erheblicher Aufwand einhergeht. Aufgrund der Bedeutung des – grundsätzlich unbedingt gewährleisteten – Auskunftsanspruchs aus Art. 15 Abs. 1 DSGVO kommt eine Weigerung des Verantwortlichen, einem Auskunftsbegehren wegen des zu seiner Erfüllung zu treibenden unverhältnismäßigen Aufwandes Folge zu leisten, jedoch nur in eng begrenzten Ausnahmefällen in Betracht, beispielsweise bei einem offenkundig groben Missverhältnis zwischen den zur Erfüllung des Auskunftsanspruches erforderlichen Anstrengungen und dem Informationsinteresse des Betroffenen (vgl. Urteil der Kammer vom 12. Oktober 2023 - 1 K 561/21, juris Rn. 60). Diese Voraussetzung ist hier jedoch – trotz des großen Umfangs der durch die Beklagte zu sichtenden und vor einer Herausgabe an den Kläger ggf. zu anonymisierenden Akten – nicht erfüllt. Denn der Kläger hat unter Bezugnahme auf die besondere Schutzwürdigkeit seiner personenbezogenen Daten (vgl. hierzu das den Beteiligten bekannte Urteil der Kammer vom 10. Juni 2020 - VG 1 K 143/16, UA S. 9f.) plausibel dargelegt, dass er vorrangig deren Weitergabe durch die Beklagte an Dritte nachvollziehen wolle (die laut der Mitteilung der Beklagten an den Kläger vom 18. November 2020 mehrfach erfolgt ist), um diesen Dritten gegenüber eventuell die Löschung oder die Einschränkung der Verarbeitung der Daten geltend zu machen. Dem lässt sich allein dadurch Rechnung tragen, dass die Beklagte die betreffenden Dokumente in Kopie an den Kläger herausgibt; eine abstrakte Mitteilung der Empfänger der Daten ist nach dem oben Gesagten für die jeweils erforderliche Einzelfallprüfung nicht ausreichend. Der Einwand des Rechtsmissbrauchs, an den gleichermaßen strenge Anforderungen zu stellen sind, greift vor diesem Hintergrund ebenfalls nicht durch.

Den Volltext der Entscheidung finden Sie hier:

LG München
Urteil vom 09.02.2024
42 O 10792/22

Das LG München hat entschieden, dass Rechteinhaber Ansprüche gegen den Betreiber der Plattform TikTok wegen Urheberrechtsverletzungen durch von Nutzern hochgeladene Videos zustehen. Der Plattformbetreiber hat keine bestmögliche Anstrengungen zu Lizenzierung im Sinne von § 4 Abs. 1 S. 1 UrhDaG unternommen.

Die Pressemitteilung des Gerichts:
„Verhandlungspflicht für digitale Plattform“
Die für das Urheberrecht zuständige 42. Zivilkammer hat heute eine digitale Plattform zu Unterlassung und Auskunft für das öffentliche Zugänglichmachen von Filmproduktionen verurteilt und ihre Verpflichtung zum Schadenersatz festgestellt, da die Plattform bestmögliche Anstrengungen im Sinne von § 4 Abs. 1 S. 1 UrhDaG hat vermissen lassen, um die seitens der Klägerin hierfür angebotenen Nutzungsrechte zu erwerben (42 O 10792/22). Eine derartige Obliegenheit fordert das Gesetz über die urheberrechtliche Verantwortlichkeit von Dienstanbietern für das Teilen von Online-Inhalten zur Anwendung vom 21.05.2021, das die sogenannte DSM Richtlinie im deutschen Recht umsetzt.

Die Beklagte betreibt eine digitale Plattform insbesondere zum Erstellen und Teilen von Videos. Die vornehmlich von Nutzern generierten und hochgeladenen Videos werden von der Beklagten gespeichert, organisiert und anderen Nutzern öffentlich zugänglich gemacht. Die Klägerin hat die Beklagte auf diverse unberechtigte Veröffentlichungen verschiedener Filme auf ihrer Plattform hingewiesen und angeboten, diese kostenpflichtig zu lizenzieren. Die zwischen den Parteien geführten Verhandlungen blieben allerdings ohne Ergebnis.

Die Beklagte ist antragsgemäß zu verurteilen, da sie für die erfolgten öffentlichen Wiedergaben der Filmproduktionen urheberrechtlich verantwortlich ist und sich nicht auf eine Enthaftung nach § 1 Abs. 2 UrhDaG berufen kann. Während die Klägerin ihren Obliegenheiten bei den Lizenzverhandlungen nachgekommen ist und ein konkretes Angebot unterbreitet hat, hat die Beklagte die erforderlichen bestmöglichen Anstrengungen im Sinne von § 4 Abs. 1 S. 1 UrhDaG vermissen lassen, um die seitens der Klägerin angebotenen Nutzungsrechte zu erwerben.

Ob der Diensteanbieter bestmögliche Anstrengungen unternommen hat, ist auf Grundlage einer umfassenden Betrachtung des Einzelfalls unter Berücksichtigung des Verhältnismäßigkeitsgrundsatzes zu beurteilen. Nach den Leitlinien zu Art. 17 der RL 2019/790/EU sind die Verhandlungen zwischen den Diensteanbietern und Rechteinhabern fair und zügig zu führen, wobei für die konkrete Ausgestaltung auf die bereits in Art. 16 der RL 2014/26/EU statuierten Verhandlungsgrundsätze zurückgegriffen werden kann, die im deutschen Recht ihre Umsetzung in § 36 VGG gefunden haben und Ausdruck verallgemeinerbarer Grundsätze sind.

Das konkrete Verhalten der Beklagte ließ nicht das Ziel erkennen, alsbald zu einem beiderseits interessengerechten Ergebnis zu gelangen. Die Verhandlungen waren vielmehr von einem einseitigen Informationsfluss von der Klägerin zur Beklagten geprägt.

Da die Beklagte gegen ihre Lizenzobliegenheit nach § 4 UrhDaG verstoßen hat, kann dahinstehen, ob die Beklagten ihre Pflichten zur einfachen und qualifizierten Blockierung nach §§ 7, 8 UrhDaG erfüllt hat. Um in den Vorteil der Enthaftung zu kommen, hat die Beklagte die Pflichten aus §§ 4, 7 bis 11 UrhDaG kumulativ zu erfüllen. Die folgt nicht nur aus dem Wortlaut, sondern auch aus dem regulatorischen Kontext der genannten Vorschriften. Die §§ 1 ff. UrhDaG bezwecken in Umsetzung von Art. 17 der RL 2019/790/EU diejenigen, deren urheberrechtlich geschützte Inhalte auf Upload-Plattformen genutzt werden, an der dabei stattfindenden Wertschöpfung partizipieren zu lassen. Die Entwicklung des Marktes für die Vergabe von Lizenzen zwischen Rechteinhabern und Diensteanbietern für das Teilen von Online-Inhalten soll gefördert und den Rechtsinhabern die Erzielung höherer Lizenzeinnahmen ermöglicht werden. Die angestrebte Teilhabe des Rechteinhabers an der Wertschöpfung liefe indes leer, wenn es der Diensteanbieter in der Hand hätte, in den Fällen des § 4 Abs. 2 UrhDaG zwischen Lizenzierung und Blockierung zu wählen und sich im Falle eines Verstoßes gegen die Lizenzierungsobliegenheit auf die getroffenen Maßnahmen zur qualifizierten Blockierung (§ 7 UrhDaG) und einfachen Blockierung (§ 8 UrhDaG) zurückzuziehen.

Das Urteil ist nicht rechtskräftig.



Zum Hintergrund:

Gesetz über die urheberrechtliche Verantwortlichkeit von Dienstanbietern für das Teilen von Online-Inhalten

§ 4 UrhDaG - Pflicht zum Erwerb vertraglicher Nutzungsrechte; Direktvergütungsanspruch des Urhebers
(1) Ein Diensteanbieter ist verpflichtet, bestmögliche Anstrengungen zu unternehmen, um die vertraglichen Nutzungsrechte für die öffentliche Wiedergabe urheberrechtlich geschützter Werke zu erwerben. Der Diensteanbieter erfüllt diese Pflicht, sofern er Nutzungsrechte erwirbt, die

1.
ihm angeboten werden,

2.
über repräsentative Rechtsinhaber verfügbar sind, die der Diensteanbieter kennt, oder

3.
über im Inland ansässige Verwertungsgesellschaften oder abhängige Verwertungseinrichtungen erworben werden können.
(2) Nutzungsrechte nach Absatz 1 Satz 2 müssen

1.
für Inhalte gelten, die der Diensteanbieter ihrer Art nach offensichtlich in mehr als geringfügigen Mengen öffentlich wiedergibt,

2.
in Bezug auf Werke und Rechtsinhaber ein erhebliches Repertoire umfassen,

3.
den räumlichen Geltungsbereich dieses Gesetzes abdecken und

4.
die Nutzung zu angemessenen Bedingungen ermöglichen.

(3) Hat der Urheber das Recht der öffentlichen Wiedergabe eines Werkes einem Dritten eingeräumt, so hat der Diensteanbieter für vertragliche Nutzungen gleichwohl dem Urheber eine angemessene Vergütung für die öffentliche Wiedergabe des Werkes zu zahlen. Satz 1 ist nicht anzuwenden, wenn der Dritte eine Verwertungsgesellschaft ist oder der Urheber den Dritten als Digitalvertrieb einschaltet.

(4) Der Urheber kann auf den Direktvergütungsanspruch nach Absatz 3 nicht verzichten und diesen im Voraus nur an eine Verwertungsgesellschaft abtreten. Er kann nur durch eine Verwertungsgesellschaft geltend gemacht werden.

ArbG Suhl
Urteil vom 20.12.2023
6 Ca 704/23

Das ArbG Suhl hat entschieden, dass eine Auskunftserteilung nach Art. 15 DSGVO per unverschlüsselter E-Mail gegen Art. 5 DSGVO verstößt. Ein Anspruch auf Schadensersatz aus Art. 82 DSGVO besteht aber nur bei Nachweis eins konkreten Schadens.

Aus den Entscheidungsgründen:
1. Dem Kläger steht kein Anspruch aus Art. 82 DSGVO gegen die Beklagte auf Ersatz des von ihm geltend gemachten immateriellen Schadens zu.

Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde, Art. 82 Abs. 2 Satz 1 DSGVO. Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist, Art. 82 Abs. 3 DSGVO.

Die Voraussetzungen für einen Schadensersatzanspruch liegen nicht vor, da es jedenfalls an der Darlegung des Eintritts eines Schadens bei dem Kläger fehlt.

Ein Verstoß gegen Art. 5 DSGVO wegen des Versands der unverschlüsselten E-Mail liegt vor. Dies wurde auch vom Thüringer Landesbeauftragen für den Datenschutz und die Informationsfreiheit mit Bescheid vom 03.08.2023 bestätigt. Ob die Weiterleitung der Daten an den Betriebsrat und die monierte unvollständige Auskunftserteilung ebenfalls Verstöße gegen Regelungen der DSGVO darstellen, kann vorliegend dahinstehen. Denn der Kläger hat bereits keinen Schaden dargelegt.

Soweit der Kläger der Auffassung ist, bereits ein Verstoß gegen die DSGVO genüge für das Entstehen eines Schadensersatzanspruches, kann dem nicht gefolgt werden.

Es ist zwar zutreffend, dass die Frage, ob bereits der Datenschutzverstoß als solcher für das Entstehen eines Schadensersatzanspruchs ausreicht oder es darüber hinaus der Darlegung und des Nachweises eines konkreten (auch: immateriellen) Schadens bedarf, in Rechtsprechung und Literatur umstritten ist. Sowohl der österreichische Oberste Gerichtshof (Vorabentscheidungsersuchen vom 12.05.2021, ZD 2021, S. 631, wobei der Gerichtshof die Auffassung vertritt, es sei der Nachweis eines Schadens erforderlich) als auch das Bundesarbeitsgericht (Vorabentscheidungsersuchen vom 26.08.2021, 8 AZR 253/20-A, wobei das BAG den Nachweis eines Schadens nicht für notwendig hält) haben die hiermit zusammenhängenden Fragen dem Europäischen Gerichtshof zur Vorabentscheidung vorgelegt (OLG Frankfurt, Urteil vom 02.03.2022 – 13 U 206/20 -Rn. 68, 69, juris).

Auf das Vorabentscheidungsersuchen des österreichischen Obersten Gerichtshofes entschied jedoch nunmehr unter dem 04.05.2023 der EuGH, dass Art. 82 Abs.1 DSGVO so auszulegen ist, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadensersatzanspruch zu begründen. Zur Begründung führt der EuGH in seinem Urteil vom 04.05.2023, C-300/21, wie folgt aus:

„Mit seiner ersten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung ausreicht, um einen

Insoweit ist darauf hinzuweisen, dass nach ständiger Rechtsprechung die Begriffe einer Bestimmung des Unionsrechts, die für die Ermittlung ihres Sinnes und ihrer Tragweite nicht ausdrücklich auf das Recht der Mitgliedstaaten verweist, in der Regel in der gesamten Union eine autonome und einheitliche Auslegung erhalten müssen (Urteile vom 22. Juni 2021, Latvijas Republikas Saeima [Strafpunkte], C-439/19, EU:C:2021:504, Rn. 81, und vom 10. Februar 2022, ShareWood Switzerland, C-595/20, EU:C:2022:86, Rn. 21), die insbesondere unter Berücksichtigung des Wortlauts der betreffenden Bestimmung und des Zusammenhangs, in den sie sich einfügt, zu ermitteln ist (vgl. in diesem Sinne Urteile vom 15. April 2021, The North of England P & I Association, C-786/19, EU:C:2021:276, Rn. 48, sowie vom 10. Juni 2021, KRONE – Verlag, C-65/20, EU:C:2021:471, Rn. 25).

Die DSGVO verweist für den Sinn und die Tragweite der in ihrem Art. 82 enthaltenen Begriffe, insbesondere in Bezug auf die Begriffe „materieller oder immaterieller Schaden“ und „Schadenersatz“, nicht auf das Recht der Mitgliedstaaten. Daraus folgt, dass diese Begriffe für die Anwendung der DSGVO als autonome Begriffe des Unionsrechts anzusehen sind, die in allen Mitgliedstaaten einheitlich auszulegen sind.

Was als Erstes den Wortlaut von Art. 82 DSGVO betrifft, ist darauf hinzuweisen, dass nach Abs. 1 dieses Artikels „[j]ede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, … Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter [hat]“.

Zum einen geht aus dem Wortlaut dieser Bestimmung klar hervor, dass das Vorliegen eines „Schadens“ eine der Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadenersatzanspruch darstellt, ebenso wie das Vorliegen eines Verstoßes gegen die DSGVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind.

Daher kann nicht davon ausgegangen werden, dass jeder „Verstoß“ gegen die Bestimmungen der DSGVO für sich genommen den Schadenersatzanspruch der betroffenen Person im Sinne von Art. 4 Nr. 1 dieser Verordnung eröffnet. Eine solche Auslegung liefe dem Wortlaut von Art. 82 Abs. 1 DSGVO zuwider.

Zum anderen ist hervorzuheben, dass die gesonderte Erwähnung eines „Schadens“ und eines „Verstoßes“ in Art. 82 Abs. 1 DSGVO überflüssig wäre, wenn der Unionsgesetzgeber davon ausgegangen wäre, dass ein Verstoß gegen die Bestimmungen der DSGVO für sich allein in jedem Fall ausreichend wäre, um einen Schadenersatzanspruch zu begründen.

Als Zweites wird die vorstehende Wortauslegung durch den Zusammenhang bestätigt, in den sich diese Bestimmung einfügt.

Art. 82 Abs. 2 DSGVO, der die Haftungsregelung, deren Grundsatz in Abs. 1 dieses Artikels festgelegt ist, präzisiert, übernimmt nämlich die drei Voraussetzungen für die Entstehung des Schadenersatzanspruchs, nämlich eine Verarbeitung personenbezogener Daten unter Verstoß gegen die Bestimmungen der DSGVO, ein der betroffenen Person entstandener Schaden und ein Kausalzusammenhang zwischen der rechtswidrigen Verarbeitung und diesem Schaden.

Diese Auslegung wird auch durch die Erläuterungen in den Erwägungsgründen 75, 85 und 146 der DSGVO bestätigt. Zum einen bezieht sich der 146. Erwägungsgrund der DSGVO, der speziell den in Art. 82 Abs. 1 dieser Verordnung vorgesehenen Schadenersatzanspruch betrifft, in seinem ersten Satz auf „Schäden, die einer Person aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht“. Zum anderen heißt es in den Erwägungsgründen 75 und 85 der DSGVO, dass „[d]ie Risiken … aus einer Verarbeitung personenbezogener Daten hervorgehen [können], die zu einem … Schaden führen könnte“ bzw. dass eine „Verletzung des Schutzes personenbezogener Daten … einen … Schaden … nach sich ziehen [kann]“. Daraus ergibt sich erstens, dass der Eintritt eines Schadens im Rahmen einer solchen Verarbeitung nur potenziell ist, zweitens, dass ein Verstoß gegen die DSGVO nicht zwangsläufig zu einem Schaden führt, und drittens, dass ein Kausalzusammenhang zwischen dem fraglichen Verstoß und dem der betroffenen Person entstandenen Schaden bestehen muss, um einen Schadenersatzanspruch zu begründen.

Die Wortauslegung von Art. 82 Abs. 1 DSGVO wird auch durch einen Vergleich mit anderen Bestimmungen bestätigt, die ebenfalls in Kapitel VIII der DSGVO enthalten sind, das u. a. die verschiedenen Rechtsbehelfe regelt, mit denen die Rechte der betroffenen Person im Fall einer Verarbeitung ihrer personenbezogenen Daten, die gegen die Bestimmungen dieser Verordnung verstoßen soll, geschützt werden können.

Hierzu ist festzustellen, dass die in diesem Kapitel enthaltenen Art. 77 und 78 DSGVO im Fall eines behaupteten Verstoßes gegen diese Verordnung Rechtsbehelfe bei einer bzw. gegen eine Aufsichtsbehörde vorsehen, wobei sie – anders als Art. 82 DSGVO in Bezug auf Schadenersatzklagen – keinen Hinweis darauf enthalten, dass der betroffenen Person ein „Schaden“ entstanden sein müsste, um solche Rechtsbehelfe einlegen zu können. Dieser Unterschied in der Formulierung offenbart die Bedeutung des Kriteriums „Schaden“ und damit seine Eigenständigkeit gegenüber dem Kriterium „Verstoß“ für die Zwecke der auf die DSGVO gestützten Schadenersatzansprüche.

Auch haben die Art. 83 und 84 DSGVO, die die Verhängung von Geldbußen und anderen Sanktionen erlauben, im Wesentlichen einen Strafzweck und hängen nicht vom Vorliegen eines individuellen Schadens ab. Das Verhältnis zwischen den in Art. 82 DSGVO und den in den Art. 83 und 84 DSGVO enthaltenen Vorschriften zeigt, dass zwischen diesen beiden Kategorien von Bestimmungen ein Unterschied besteht, sie einander aber als Anreiz zur Einhaltung der DSGVO auch ergänzen, wobei das Recht jeder Person, den Ersatz eines Schadens zu verlangen, die Durchsetzungskraft der in dieser Verordnung vorgesehenen Schutzvorschriften erhöht und geeignet ist, von der Wiederholung rechtswidriger Verhaltensweisen abzuschrecken.

Schließlich ist darauf hinzuweisen, dass nach dem vierten Satz des 146. Erwägungsgrundes der DSGVO die Vorschriften der DSGVO unbeschadet von Schadenersatzforderungen aufgrund von Verstößen gegen andere Vorschriften des Unionsrechts oder des Rechts der Mitgliedstaaten gelten.

Nach alledem ist auf die erste Frage zu antworten, dass Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadenersatzanspruch zu begründen.“

Mit diesen Ausführungen wird nunmehr die Auffassung der Kammer bestätigt, dass für einen Anspruch auf Schadensersatz nach Art. 82 DSGVO neben einem Verstoß auch ein Schaden sowie ein Kausalzusammenhang zwischen Verstoß und Schaden erforderlich ist.

Der Kläger hat einen etwaigen immateriellen Schaden darzulegen und ggf. nachzuweisen.

Das Erfordernis des Nachweises eines tatsächlich erlittenen Schadens ist auch der Sache nach erforderlich, um ein vom Verordnungsgeber nicht gewolltes Ausufern von Schadensersatzforderungen in allen Fällen eines - tatsächlich für den Betroffenen folgenlosen - Datenschutzverstoßes zu vermeiden (OLG Frankfurt, Urteil vom 02.03.2022 – 13 U 206/20 -Rn. 73, juris).

Das Vorliegen eines konkreten immateriellen Schadens hat der Kläger nicht ausreichend dargetan. Im vorliegenden Fall ist nicht ersichtlich, inwieweit der Kläger einen Kontrollverlust erlitten haben will. Es ist nicht ersichtlich, dass der Kläger daran gehindert wurde, die ihn betreffenden personenbezogenen Daten zu kontrollieren. Darüber hinaus stellt nach Auffassung der Kammer ein bloßer, abstrakter Kontrollverlust auch keinen konkreten immateriellen Schaden dar.

2. Ein Anspruch des Klägers gegen die Beklagte auf Zahlung eines angemessenen Schmerzensgeldes unter dem Gesichtspunkt der Verletzung seines allgemeinen Persönlichkeitsrechts §§ 823 Abs. 1, 253 BGB in Verbindung mit Art. 1 Abs. 1, Art. 2 Abs. 1 GG besteht ebenfalls nicht.

Soweit der Kläger eine Entschädigung begehrt und argumentiert, dass alle immateriellen Schäden ersatzfähig seien, welche i.d.R. aus der Verletzung des allgemeinen Persönlichkeitsrechts heraus resultieren, kommen die genannten Normen auch als Anspruchsgrundlage in Betracht.

Das allgemeine Persönlichkeitsrecht dient in erster Linie dem Schutz ideeller Interessen, insbesondere dem Schutz des Wert- und Achtungsanspruchs der Persönlichkeit. Dieser Schutz wird dadurch verwirklicht, dass bei einer schweren Persönlichkeitsrechtsverletzung - neben negatorischen Schutzansprüchen und Ansprüchen auf Ersatz des materiellen Schadens - auch Ansprüche in Betracht kommen, die auf den Ausgleich immaterieller Beeinträchtigungen durch Zahlung einer Geldentschädigung gerichtet sind. Bei schwerwiegenden Verletzungen des allgemeinen Persönlichkeitsrechtsrechts besteht daher nach ständiger, mittlerweile gewohnheitsrechtlich anerkannter höchstrichterlicher Rechtsprechung ein Anspruch auf Ausgleich der dadurch verursachten immateriellen Schäden, der unmittelbar aus dem Schutzauftrag der Art. 1 Abs. 1, 2 Abs. 1 GG abgeleitet wird (OLG Düsseldorf, Beschluss vom 16.02.2021 – 16 U 269/20 – Rn. 14 m.w.N., juris).

Ein derartiger Anspruch scheitert vorliegend bereits daran, dass keine schwerwiegende Verletzung des allgemeinen Persönlichkeitsrechts dargetan wurde.

II. Das Verfahren war weder auszusetzen, noch das Ruhen des Verfahrens anzuordnen.


1. Entgegen der Ansicht des Klägers war das Gericht nicht gehalten, das vorliegende Verfahren auszusetzen. Das Verfahren war entscheidungsreif. Eine Aussetzung nach § 148 ZPO kam daher nicht in Betracht. Im Übrigen sind Bescheide des Landesdatenschutzbeauftragen nicht vorgreiflich im Sinne dieser Norm. Zudem ist unklar, ob weitere beim Landesdatenschutzbeauftragten anhängige Beschwerden überhaupt in Zusammenhang mit den hier behaupteten Datenschutzverstößen stehen.

Vielmehr geht die Kammer davon aus, dass mit Bescheid vom 03.08.2023 abschließend über die behaupteten Verstöße (unverschlüsselte E-Mail, Weiterleitung an Betriebsrat und unvollständige Auskunft) entschieden wurde. Entgegen der Darstellung des Klägers mit Beschwerdeformular vom 23.12.2021 sei ein weiterer Verstoß gerügt worden, betrifft diese Beschwerde offensichtlich den bereits dargelegten Verstoß der Auskunft per unverschlüsselter E-Mail.

Unter dem 25.01.2023 (Anlage K 3, Bl. 14 der Akte) erhielt der Kläger vom TLfDI eine Mittelung zur Beschwerde über Datenschutzverletzungen im A. In dem Schreiben wurde dargelegt, dass die Übermittlung mittels unverschlüsselter E-Mail als Verstoß gegen Art. 5 DSGVO zu werten ist. Es wurde auf ein laufendes Anhörungsverfahren hingewiesen und mitgeteilt, dass der Kläger über den Ausgang des Verfahrens informiert wird. Nach dem Antrag des Klägers auf Ergänzungsprüfung vom 30.03.2023 (Anlage K 4, Bl. 16 f. der Akte) und seiner weiteren Beschwerde vom 19.06.2023 (Anlage K5, Bl. 18 f. der Akte) erging am 03.08.2023 ein Bescheid. Mit dem Inhalt dieses Bescheides (Anlage K 6 Bl. 30 f. der Akte) ist davon auszugehen, dass damit abschließend über die Beschwerden des Klägers entschieden wurde. Denn der Bescheid ist überschrieben mit „Ihre Beschwerde über Datenschutzverletzungen im A in Bezug auf ihr Auskunftsersuchen“. Es wird ausgeführt: „das o.g. Verwaltungsverfahren zu Ihrer Beschwerde vom 23. Dezember 2021 ist abgeschlossen.“ Im Absatz vor der Rechtsbehelfsbelehrung wird zudem ausgeführt: „Weitere Maßnahmen sind nicht erforderlich. Auch aus Ihrem Schreiben vom 19. Juni 2023 ergibt sich nichts Anderes, weil wegen der fehlerhaften Auskunftserteilung eine Verwarnung erteilt wurde und Ihnen die begehrten Informationen vorliegen.“

Den Volltext der Entscheidung finden Sie hier:

OLG Nürnberg
Urteil vom 29.11.2023
4 U 347/21

Das OLG Nürnberg hat entschieden, dass keine rechtsmissbräuchliche Geltendmachung eines Auskunftsanspruch aus Art. 15 DSGVO vorliegt, wenn dies aus datenschutzfremden Motive erfolgt.

Aus den Entscheidunsggründen:
2. Die Berufung ist begründet.
a) Wie das Landgericht zutreffend ausführt, ist der Auskunftsantrag hinreichend bestimmt (§ 253 Abs. 2 Nr. 2 ZPO). In den Fällen der Geltendmachung eines Auskunftsanspruchs gern. Art. 15 Abs. 1 DSGVO genügt es grundsätzlich, wenn der Klageantrag dem Wortlaut der Vorschrift entsprechend auf Erteilung einer vollständigen Auskunft über die von der Beklagten verarbeiteten personenbezogenen Daten des Klägers gerichtet ist; eine Spezifizierung dieser Daten ist grundsätzlich nicht erforderlich (so zuletzt OLG Köln, NZA-RR 2023, 515 Rn. 16, beck-online).

b) Soweit der Kläger seinen Antrag wegen vorgerichtlich übermittelter Personalstamm- und BAV-Daten bereits beschränkt und wegen zweier Schriftsätze, die ihm im Rahmen des beim Landgericht Oldenburg anhängig gewesenen Verfahrens zugänglich gemacht wurden, Teilerledigungserklärungen unter Verweis auf diese Schriftsätze abgegeben hat, ändert dies nichts daran, dass „offen“ tenoriert werden kann. Denn es kann – wie auch sonst bei noch teilweise „unerledigten“ im Sinne von noch nicht vollständig erfüllten – Auskunftsansprüchen einfach offen zur geschuldeten Auskunft (als geschuldetem „Enderfolg“) verurteilt werden (OLG Köln, NZA-RR 2023, 515 Rn. 17, beck-online). Die Beschränkung im ursprünglichen Antrag bzw. der Verweis auf Teilerledigungen berücksichtigt lediglich die Tatsache, dass die Beklagte bereits gewisse Auskünfte erteilt hat; mit der Beschränkung ist nur klargestellt, dass die Beklagte die bereits erteilten Auskünfte nach Auffassung des Klägers nicht mehr wiederholen muss, dieser die Auskunft ansonsten aber (zu Recht) als unvollständig ansieht und deswegen eine „vollständige“ Auskunft im Übrigen auch weiterhin einklagt (so auch OLG Köln, NZA-RR 2023, 515 Rn. 17, beck-online).

Wie das OLG Köln weiter ausgeführt hat, ,,ist eine Beschränkung durch Verweis auf bereits erteilte Teilauskünfte vor bzw. während des Verfahrens und/oder sonstige Klarstellungen prozessual nicht zwingend in Antrag und Tenor aufzunehmen, weil man mit dem oben Gesagten einfach einen weit gefassten Antrag in Anlehnung an den Gesetzeswortlaut stellen kann und alles andere dann nur – wie auch sonst – eine Frage des Erfüllungseinwands (§ 362 Abs. 1 BGB) im gerichtlichen Verfahren bzw. bei entsprechender Titulierung später im Zwangsvollstreckungsverfahren nach § 888 ZPO ist“ (OLG Köln, NZA-RR 2023, 515 Rn. 17, beck-online). Dem schließt sich der Senat an. Es ist einem Kläger auch nach Auffassung dieses Senats bei Auskunftsbegehren jedenfalls nicht zuzumuten, die bereits erteilten Auskünfte im Einzelnen in den Klageantrag aufzunehmen. Erforderlich ist nur im Rahmen der Begründetheit der Klage, dass im maßgeblichen Zeitpunkt der letzten mündlichen Verhandlung tatsächlich noch keine vollständige Erfüllung des Auskunftsanspruchs i.S.d. § 362 Abs. 1 BGB feststellbar ist. Eine vollständige Erfüllung ist nicht eingetreten. Die Beklagte macht gerade geltend, dass der Anspruch aufgrund des Umfangs des damit verbundenen unverhältnismäßig hohen Erfüllungsaufwands exzessiv im Sinne von Art. 12 Abs. 5 S. 2 DSGVO ist. Diese Aussage impliziert, dass es bei der Beklagten – wie auch aufgrund der langjährigen Tätigkeit des Klägers im dortigen Unternehmen nicht anders zu erwarten – umfangreiche weitere zu beauskunftende Daten gibt.

c) Art. 15 DSGVO gibt einen umfassenden Auskunftsanspruch über personenbezogene Daten.

aa) Art. 4 Nr. 1 DSGVO definiert den Begriff „personenbezogene Daten“ als alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.

Dem Begriff der personenbezogenen Daten ist nach der Rechtsprechung des EuGH eine weite Bedeutung beizumessen: „Er ist nicht auf sensible oder private Informationen beschränkt, sondern umfasst potenziell alle Arten von Informationen sowohl objektiver als auch subjektiver Natur in Form von Stellungnahmen oder Beurteilungen, unter der Voraussetzung, dass es sich um Informationen „über“ die in Rede stehende Person handelt. Die letztgenannte Voraussetzung ist erfüllt, wenn die Information aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer bestimmten Person verknüpft ist“ (EuGH BeckRS 2017, 136145).

bb) Soweit Einschränkungen des umfassenden Auskunftsrechts auf Ewägungsgrund 63 der Verordnung gestützt werden sollen, haben diese Erwägungen in der Verordnung keinen Niederschlag gefunden. Der Anspruch auf Datenauskunft ist vielmehr voraussetzungslos. Der EuGH (Urteil vom 26.10.2023 – C-307/22, BeckRS 2023, 29132, beck-online) hat hierzu im ersten Leitsatz ausgeführt, dass Art. 12 Abs. 5 sowie Art. 15 Abs. 1 und 3 DSGVO dahin auszulegen sind, dass die Verpflichtung des Verantwortlichen, der betroffenen Person unentgeltlich eine erste Kopie ihrer personenbezogenen Daten, die Gegenstand einer Verarbeitung sind, zur Verfügung zu stellen, auch dann gilt, wenn der betreffende Antrag mit einem anderen als den in Satz 1 des 63. Erwägungsgrundes der Verordnung genannten Zwecken begründet wird.

cc) Entgegen der Auffassung der Beklagten ist der klägerische Anspruch auch nicht nach Art. 12 Abs. 5 S. 2 DSGVO ausgeschlossen. Nach dieser Bestimmung kann der Verantwortliche bei offenkundig unbegründeten oder – insbesondere im Fall von häufiger Wiederholung – exzessiven Anträgen einer betroffenen Person entweder ein angemessenes Entgelt verlangen, bei dem die Verwaltungskosten für die Unterrichtung oder die Mitteilung oder die Durchführung der beantragten Maßnahme berücksichtigt werden, oder sich weigern, aufgrund des Antrags tätig zu werden. Nach Art. 12 Abs. 5 S. 3 DS-GVO hat der Verantwortliche den Nachweis für den offenkundig unbegründeten oder exzessiven Charakter des Antrags zu erbringen.

Nach Wortlaut und Zweck von Art. 12 Abs. 5 S. 1, Art. 15 DSGVO liegt kein Missbrauch vor, wenn ein Betroffener das Auskunftsrecht (auch) für datenschutzfremde Motive verwendet, etwa um Informationen für Vergleichsverhandlungen oder um bei ihm nicht mehr vorhandene Vertragsinformationen zu erhalten (z.B. Auskunft über Konten, Versicherungsbedingungen etc.), da sich eine solche Beschränkung auf eine bestimmte Motivlage nicht in Art. 15 DSGVO findet. Dies gilt auch, wenn die Auskunft gem. Art. 15 DSGVO beim Verantwortlichen sehr viel Aufwand verursacht, da der Aufwand des Verantwortlichen für Art. 15 DSGVO keine Rolle spielt, oder wenn der Betroffene mehrfache Auskunftsansprüche geltend macht, da sie nur im Rahmen des Exzesses einen Rechtsmissbrauch begründen (BeckOK DatenschuteR/Schmidt-Wudy, 45. Ed. 1.8.2023, DS-GVO Art. 15 Rn. 48).

Da die Motivation des Klägers für die Begründetheit des Auskunftsverlangens keine Rolle spielt, kommt es auch nicht darauf an, ob er – jedenfalls ursprünglich – hoffte, durch die Datenauskunft Erkenntnisse für seine beim Landgericht Oldenburg anhängig gewesene Klage zu erlangen. Gleichfalls kommt es nicht darauf an, ob die Datenauskunft für den Beklagten mit viel Mühe oder Zeitaufwand verbunden ist, denn der Aufwand ist unerheblich. Exzessiv ist die Datenauskunft schon deswegen nicht, weil es sich um den ersten Antrag handelt.

dd) Die Geltendmachung des Anspruchs ist auch nicht rechtsmissbräuchlich. Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht. Gemäß Art. 8 Abs. 1 der Charta der Grundrechte der Europäischen Union (ABl. C 326 vom 26.10.2012, S. 391) hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten. Der entsprechende Auskunftsanspruch wurde geregelt, um diesem Grundrecht Geltung zu verschaffen. Seine Geltendmachung kann daher über die gesetzlich geregelten (hier nicht einschlägigen) Tatbestände hinaus nicht rechtsmissbräuchlich sein. Dass für den Kläger aufgrund der Dauer und Art seiner Tätigkeit sehr viele Daten angefallen sind, steht der Geltendmachung seiner Rechte nicht entgegen.

ee) Da die Datenauskunft voraussetzungslos zu erteilen ist, steht der Beklagten auch kein Zurückbehaltungsrecht wegen der zu erwartenden Kosten zu, denn diese kann die Beklagte nicht verlangen. Die Auskunft ist kostenlos zu erteilen.

ff) Der streitgegenständliche Antrag erfasst ausdrücklich auch das Recht auf „Kopien“. Nach der Entscheidung des EuGH vom 04.05.2023 (C-487/21, NJW 2023, 2253 Rn. 45) ist Art. 15 Abs. 3 DSGVO dahin auszulegen, „dass das Recht, vom für die Verarbeitung Verantwortlichen eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zu erhalten, bedeutet, dass der betroffenen Person eine originalgetreue und verständliche Reproduktion aller dieser Daten ausgefolgt wird. Dieses Recht setzt das Recht voraus, eine Kopie von Auszügen aus Dokumenten oder gar von ganzen Dokumenten oder auch von Auszügen aus Datenbanken, die u. a. diese Daten enthalten, zu erlangen, wenn die Zurverfügungstellung einer solchen Kopie unerlässlich ist, um der betroffenen Person die wirksame Ausübung der ihr durch diese Verordnung verliehenen Rechte zu ermöglichen, wobei insoweit die Rechte und Freiheiten anderer zu berücksichtigen sind.“ Damit ist die strittige Frage geklärt, was unter „Kopie“ zu verstehen ist.

In der genannten Entscheidung hat der EuGH auch ausgeführt, dass Art. 15 Abs. 3 DSGVO „nur die praktischen Modalitäten für die Erfüllung der aus Art. 15 Abs. 1 DSGVO folgenden Auskunftspflichtfestlegt. Art. 15 DSGVO kann deshalb gerade nicht so ausgelegt werden, dass er in seinem Abs. 3 S. 1 ein anderes Recht als das in Abs. 1 vorgesehene gewährt“ (vgl. EuGH, Urteil vom 04.05.2023 – C-487/21, NJW 2023, 2253 Rn. 31 f.). Nach dieser Entscheidung ist auch die Frage geklärt, ob ein auf Überlassung einer Datenkopie gem. Art. 15 Abs. 3 DSGVO gerichteter Antrag erkennen lassen muss, von welchen personenbezogenen Daten eine Kopie verlangt wird. Ein Anspruchsteller, der zu einer genaueren Bezeichnung außerstande ist, ist deswegen auch nicht gehalten, im Wege der Stufenklage zunächst eine Auskunft darüber zu verlangen, welche personenbezogenen Daten der Anspruchsgegner verarbeitet, um auf dieser Grundlage sodann einen Antrag auf Überlassung einer Kopie der sich aus der Auskunft ergebenden Daten stellen zu können (so noch vor der Entscheidung des EuGH das Bundesarbeitsgericht, vgl. BAG, Urteil vom 16.12.2021 – 2 AZR 235/21, NZA 2022, 362 Rn. 33; Urteil vom 27.04.2021 – 2 AZR 342/20, BAGE 174, 351 Rn. 20 f. = NZA 2021, 1053; kritisch dazu bereits Lembke/Fischels, NZA 2022, 513 (519 f.)). Art. 15 DSGVO enthält vielmehr nach der jüngsten Rechtsprechung des EuGH einen einheitlichen Auskunftsanspruch (OLG Köln, NZA-RR 2023, 515 Rn. 18, beck-online). Der Kläger hatte sich zudem auch bereits erstinstanzlich auf sein Recht auf Überlassung einer Kopie berufen. Dieser einheitliche Anspruch muss grundsätzlich ohne eine Spezifizierung der personenbezogenen Daten – wie hier – einheitlich geltend gemacht werden können (OLG Köln, NZA-RR 2023, 515 Rn. 18, beck-online). Da der Anspruch auf eine unvertretbare Handlung gerichtet ist, ist er nach § 888 ZPO zu vollstrecken (vgl. Lembke/Fischels, NZA 2022, 513 (520)). Erteilt ein zur Auskunftserteilung verurteilter Schuldner (weitere) Auskünfte und stellt dem Gläubiger Datenkopien zur Verfügung, muss gegebenenfalls im Vollstreckungsverfahren geprüft werden, ob der titulierte Auskunftsanspruch dadurch dann endgültig erfüllt worden ist. Daraus möglicherweise resultierende Schwierigkeiten sind keine datenschutzrechtliche Besonderheit, sondern können in ähnlicher Form auch bei anderen Auskunftsansprüchen auftreten (OLG Köln, NZA-RR 2023, 515 Rn. 18, beck-online).

Den Volltext der Entscheidung finden Sie hier:

EuGH
Urteil vom 26.10.2023
C-307/22
FT (Kopie der Patientenakte)

Der EuGH hat entschieden, dass ein Patient gemäß Art.15 Abs. 1,3, Art. 12 Abs. 5 DSGVO einen Anspruch auf kostenlose Überlassung einer Kopie seiner Patientenakte hat.

Die Pressemitteilung des EuGH:
Schutz personenbezogener Daten: Ein Patient hat das Recht, unentgeltlich eine erste Kopie seiner Patientenakte zu erhalten

Ein Patient verlangt von seiner Zahnärztin eine Kopie seiner Patientenakte, um gegen sie Haftungsansprüche wegen Fehlern geltend zu machen, die ihr bei seiner zahnärztlichen Behandlung unterlaufen sein sollen. Die Zahnärztin fordert jedoch, dass er, wie nach deutschem Recht vorgesehen, die Kosten für die Zurverfügungstellung der Kopie der Patientenakte übernimmt.

Da der Patient der Ansicht ist, Anspruch auf eine unentgeltliche Kopie zu haben, ruft er die deutschen Gerichte an. Unter diesen Umständen hat der deutsche Bundesgerichtshof beschlossen, dem Gerichtshof Fragen zur Vorabentscheidung vorzulegen. Denn nach Auffassung des Bundesgerichtshofs hängt die Entscheidung des Rechtsstreits von der Auslegung der Bestimmungen des Unionsrechts, nämlich der Datenschutz-Grundverordnung (im Folgenden: DSGVO), ab.

In seinem Urteil stellt der Gerichtshof fest, dass in der DSGVO das Recht des Patienten verankert ist, eine erste Kopie seiner Patientenakte zu erhalten, und zwar grundsätzlich ohne dass ihm hierdurch Kosten entstehen. Der Verantwortliche kann ein solches Entgelt nur dann verlangen, wenn der Patient eine erste Kopie seiner Daten bereits unentgeltlich erhalten hat und erneut einen Antrag auf diese stellt.

Die betreffende Zahnärztin ist als Verantwortliche für die Verarbeitung der personenbezogenen Daten ihres Patienten anzusehen. Als solche ist sie verpflichtet, ihm eine erste Kopie seiner Daten unentgeltlich zur Verfügung zu stellen. Der Patient ist nicht verpflichtet, seinen Antrag zu begründen.

Selbst mit Blick auf den Schutz der wirtschaftlichen Interessen der Behandelnden dürfen die nationalen Regelungen dem Patienten nicht die Kosten einer ersten Kopie seiner Patientenakte auferlegen.

Des Weiteren hat der Patient das Recht, eine vollständige Kopie der Dokumente zu erhalten, die sich in seiner Patientenakte befinden, wenn dies zum Verständnis der in diesen Dokumenten enthaltenen personenbezogenen Daten erforderlich ist. Dies schließt Daten aus der Patientenakte ein, die Informationen wie beispielsweise Diagnosen, Untersuchungsergebnisse, Befunde der behandelnden Ärzte und Angaben zu Behandlungen oder Eingriffen enthalten.

Tenor der Entscheidung:
1. Art. 12 Abs. 5 sowie Art. 15 Abs. 1 und 3 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) sind dahin auszulegen, dass die Verpflichtung des Verantwortlichen, der betroffenen Person unentgeltlich eine erste Kopie ihrer personenbezogenen Daten, die Gegenstand einer Verarbeitung sind, zur Verfügung zu stellen, auch dann gilt, wenn der betreffende Antrag mit einem anderen als den in Satz 1 des 63. Erwägungsgrundes der Verordnung genannten Zwecken begründet wird.

2. Art. 23 Abs. 1 Buchst. i der Verordnung 2016/679 ist dahin auszulegen, dass eine nationale Regelung, die vor dem Inkrafttreten dieser Verordnung erlassen wurde, in den Anwendungsbereich dieser Bestimmung fallen kann. Eine solche Möglichkeit erlaubt es jedoch nicht, eine nationale Regelung zu erlassen, die der betroffenen Person zum Schutz der wirtschaftlichen Interessen des Verantwortlichen die Kosten für eine erste Kopie ihrer personenbezogenen Daten, die Gegenstand der Verarbeitung durch den Verantwortlichen sind, auferlegt.

3. Art. 15 Abs. 3 Satz 1 der Verordnung 2016/679 ist dahin auszulegen, dass im Rahmen eines Arzt-Patienten-Verhältnisses das Recht auf Erhalt einer Kopie der personenbezogenen Daten, die Gegenstand einer Verarbeitung sind, umfasst, dass der betroffenen Person eine originalgetreue und verständliche Reproduktion aller dieser Daten überlassen wird. Dieses Recht setzt voraus, eine vollständige Kopie der Dokumente zu erhalten, die sich in der Patientenakte befinden und unter anderem diese Daten enthalten, wenn die Zurverfügungstellung einer solchen Kopie erforderlich ist, um der betroffenen Person die Überprüfung der Richtigkeit und Vollständigkeit der Daten zu ermöglichen und die Verständlichkeit der Daten zu gewährleisten. In Bezug auf die Gesundheitsdaten der betroffenen Person schließt dieses Recht jedenfalls das Recht ein, eine Kopie der Daten aus ihrer Patientenakte zu erhalten, die Informationen wie beispielsweise Diagnosen, Untersuchungsergebnisse, Befunde der behandelnden Ärzte und Angaben zu an ihr vorgenommenen Behandlungen oder Eingriffen umfasst.

Den Volltext der Entscheidung finden Sie hier:

AG Düsseldorf
Urteil vom 24.08.2023
51 C 206/23

Das AG Düsseldorf hat entschieden, dass dem Kunden eines Online-Shops ein Anspruch auf 500 Euro immateriellen Schadensersatz aus Art. 82 DSGVO zusteht, wenn ein Online-Shop keine Auskunft gemäß Art. 15 DSGVO erteilt.

Aus den Entscheidungsgründen:
a. Der Beklagte hat gegen die Beklagte einen Anspruch auf Herausgabe einer Kopie sämtlicher Daten, die sie über ihn verarbeitet sowie auf Auskunftserteilung, an welche anderen Unternehmen die Beklagte seine Daten übermittelt hat gemäß Art. 15 Abs. 1 und 3 DSGVO.

Die Klägerin hat mit der Replik erklärt die entsprechende Forderung des Beklagten zu erfüllen. Getan hat sie dies indes nicht. Berechtigte Einwände die Erfüllung nicht zu leisten, bestehen nicht. Es kann dahinstehen, ob der Beklagte die Klägerin bereits unter dem 23.12.2022 oder erst am 02.06.2023 zur Auskunft aufgefordert hat. Die Frist des Art 12 Abs. 3 S. 1 und DSGVO ist jedenfalls nunmehr abgelaufen.

Auch kann die Klägerin nicht verlangen, dass der Beklagte sich zuvor mit einem Personaldokument limitiert. Ein solcher Anspruch besteht, falls nicht sicher ist, dass der Anspruchsteller nicht die Person, die er behauptet zu sein, Art. 12 Abs. 6 DSGVO. Derartige begründete Zweifel bestehen hier jedoch nicht.

b. Weiter hat der Beklagte gegen die Klägerin einen Anspruch auf immateriellen Schadensersatz in Höhe von 500,00 € gemäß Art. 82 Abs. 1 DSGVO

Indem die Klägerin die dem Beklagten nach Art. 15 DSGVO zustehenden Ansprüche nicht erfüllt, führt dies zu einem Schadensersatzanspruch.

Der Umstand, dass der Beklagte systematisch Verstöße gegen die DSGVO in Bezug auf seine Person verfolgt, ist bei der Höhe des Schadenersatzes zu berücksichtigen, führt aber nicht dazu, dass dies einen Anspruch wegen rechtsmissbräuchlichen Handelns ausschließt.

Ein immaterieller Schadensersatz dient der Genugtuung, soll aber keine Einnahmequelle darstellen. Weiter kommt es bei der Höhe des Betrages nicht darauf an, wie wirtschaftlich potent der Anspruchsgegner ist. Der immaterielle Schadensersatzanspruch des geschädigten hat insoweit keine Straffunktion, so dass es auf eines „abschreckende“ Wirkung nicht ankommt.

Eine Erhöhung kommt auch nicht unter dem Gesichtspunkt in Betracht, dass die Klägerin sich - rechtlich unbegründet - weigert die Auskunft zu erteilen und verlangten Daten herauszugeben. Dies wäre nur der Fall, wenn die Klägerin mit den Daten weiter arbeiten würde, insbesondere sie seit dem spätestens 02.06.2023 an weitere Dritte weitergegeben hätte weitergeben würde und allein damit den Schaden des Beklagten vertiefen würde. Dies ist aber nicht ersichtlich.

Den Volltext der Entscheidung finden Sie hier:

BGH
Urteil vom 27.09.2023
IV ZR 177/22
Verordnung (EU) 2016/679 Art. 15 Abs. 1, 3; BGB § 242

Wir hatten bereits in dem Beitrag BGH: Kein Anspruch aus Art. 15 DSGVO gegen private Krankenversicherung auf Abschriften von Beitragsanpassungsschreiben - Aber möglicherweise Auskunftsanspruch aus Treu und Glauben über die Entscheidung berichtet.

Leitsätze des BGH:
a) Dem Versicherungsnehmer kann aus Treu und Glauben ein Auskunftsanspruch über zurückliegende Prämienanpassungen in der privaten Krankenversicherung zustehen, wenn er in entschuldbarer Weise über
Bestehen und Umfang seines Rechts im Ungewissen ist.

b) Aus Art. 15 Abs. 1 und 3 DSGVO folgt grundsätzlich kein Anspruch auf Abschriften der Begründungsschreiben zu den Prämienanpassungen samt Anlagen.

BGH, Urteil vom 27. September 2023 - IV ZR 177/22 - OLG Frankfurt am Main - LG Gießen

Den Volltext der Entscheidung finden Sie hier:

OLG München
Verfügung vom 14.09.2023
14 U 3190/23 e

Das OLG München hat in einer Verfügung im Rahmen eines Berufungsverfahrens ausgeführt, dass kein Schadensersatzanspruch und kein Unterlassungsanspruch in Facebook-Scraping-Fällen besteht, wenn keine fühlbare reale Beeinträchtigung vorliegt bzw. dargelegt und bewiesen wird.

Aus den Verfügungsgründen:
Das strukturiert begründete Urteil des Landgerichts leidet nicht an Rechtsfehlern (§ 546 ZPO). Die zugrunde zu legenden Tatsachen (§ 529 ZPO) gebieten keine andere Entscheidung (§ 513 Abs. 1 ZPO).

1. Zutreffend versagt das Landgericht einen Schadensersatzanspruch.

Das Ersturteil arbeitet überzeugend heraus, dass der Beklagten eine schadenskausale Pflichtverletzung, die in den Anwendungsbereich des Art. 82 DSGVO fiele, nicht angelastet werden kann; auf die diesbezüglichen Ausführungen des Landgerichts ist Bezug zu nehmen.

Ihnen ist hier lediglich hinzuzufügen: Insbesondere einen Verstoß gegen Art. 32 durch „zu weite“ Voreinstellungen musste das Landgericht nicht annehmen. Art. 32 DSGVO schreibt nicht schlechthin datenschutzfreundliche Voreinstellungen vor, sondern gebietet – wesentlich allgemeiner gehalten – „geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“. Das ist bei einer Kontaktplattform auch dadurch möglich, dass dem Nutzer durch Anleitungen und Hilfen die Möglichkeit gegeben wird, die Einstellungen enger zu fassen und zudem einen „Privacy-Check“ durchzuführen.

Anderes ergibt sich auch nicht etwa aus Erwägungsgrund 78 zur DSGVO, denn dort werden datenschutzfreundliche Voreinstellungen lediglich als Beispiel für Schutzmaßnahmen genannt, die je nach Sachlage und Zusammenhang empfehlenswert seien.

Er lautet:
„Zum Schutz der in Bezug auf die Verarbeitung personenbezogener Daten bestehenden Rechte und Freiheiten natürlicher Personen ist es erforderlich, dass geeignete technische und organisatorische Maßnahmen getroffen werden, damit die Anforderungen dieser Verordnung erfüllt werden. Um die Einhaltung dieser Verordnung nachweisen zu können, sollte der Verantwortliche interne Strategien festlegen und Maßnahmen ergreifen, die insbesondere den Grundsätzen des Datenschutzes durch Technik (data protection by design) und durch datenschutzfreundliche Voreinstellungen (data protection by default) Genüge tun. Solche Maßnahmen könnten unter anderem darin bestehen, dass die Verarbeitung personenbezogener Daten minimiert wird, personenbezogene Daten so schnell wie möglich pseudonymisiert werden, Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten hergestellt wird, der betroffenen Person ermöglicht wird, die Verarbeitung personenbezogener Daten zu überwachen, und der Verantwortliche in die Lage versetzt wird, Sicherheitsfunktionen zu schaffen und zu verbessern. In Bezug auf Entwicklung, Gestaltung, Auswahl und Nutzung von Anwendungen, Diensten und Produkten, die entweder auf der Verarbeitung von personenbezogenen Daten beruhen oder zur Erfüllung ihrer Aufgaben personenbezogene Daten verarbeiten, sollten die Hersteller der Produkte, Dienste und Anwendungen ermutigt werden, das Recht auf Datenschutz bei der Entwicklung und Gestaltung der Produkte, Dienste und Anwendungen zu berücksichtigen und unter gebührender Berücksichtigung des Stands der Technik sicherzustellen, dass die Verantwortlichen und die Verarbeiter in der Lage sind, ihren Datenschutzpflichten nachzukommen. Den Grundsätzen des Datenschutzes durch Technik und durch datenschutzfreundliche Voreinstellungen sollte auch bei öffentlichen Ausschreibungen Rechnung getragen werden“.

Das Landgericht durfte hier berücksichtigen, dass Facebook eine Plattform für Nutzer ist, die sich in erster Linie „finden lassen“ wollen, um sogenannte „Freundschaftsanfragen“ zu erhalten, wobei der Begriff „Freundschaft“ hier nicht in dem engen Sinne zu verstehen ist, der die deutsche Sprachtradition prägt. Als „technische und organisatorische Maßnahme“ durfte es das Landgericht in diesem Zusammenhang als ausreichend ansehen, dass die Nutzer hier das Ausmaß der Findbarkeit selbst einstellen konnten, angeleitet durch transparente Hilfen und Erklärungen, die umfangreich, aber verständlich und sinnvoll gegliedert sowie zugänglich waren.

2. Das kann indessen dahinstehen, da im vorliegenden Einzelfall auch kein Schaden im Rechtssinne eingetreten ist.

Das Landgericht hat unter zutreffender Einwertung von Erwägungsgrund 146 herausgearbeitet, dass der Schadensbegriff zwar im Prinzip weit reicht, aber eine fühlbare reale Beeinträchtigung voraussetzt. An dieser fehlt es hier, wie das Landgericht anhand der persönlichen Anhörung des Klägers herausgearbeitet hat. Was die Berufungsbegründung hiergegen erinnert, überzeugt nicht:

(a) Erwägungsgrund 85 besagt nicht, dass jeder Kontrollverlust ein Schaden ist.

Er lautet in seinem Satz 1, den die Berufung hier offensichtlich anzieht:
„Eine Verletzung des Schutzes personenbezogener Daten kann – wenn nicht rechtzeitig und angemessen reagiert wird – einen physischen, materiellen oder immateriellen Schaden für natürliche Personen nach sich ziehen, wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person“.

(b) Dass der Kläger „durch Ärger, Angst, Stress, Sorge“ geplagt sei, hat die Anhörung nicht ergeben, sondern seinen freimütigen Angaben war u.a. zu entnehmen, dass er die Plattform weiter nutzt, was dem Landgericht zeigte, dass der Kläger nicht durchgreifend bekümmert ist. Was er an Zeit und Kraft aufgewendet habe, um sich mit dem Problem auseinanderzusetzen, war nicht in der Weise greifbar geworden, dass ein „erlittener“ Schaden darin gesehen werden musste.

(c) Dass der Kläger seit dem Datenleck Kontaktversuche von unbekannten Dritten in Form von „Spam“-SMS und „Spam“-Anrufen erhalten habe, hat der Kläger dahin relativiert, diese beruhten wahrscheinlich darauf, dass er seine Mobiltelefonnummer bei dem mehrfach erwähnten großen und weltweit tätigen Versandhandelsunternehmen hinterlegt habe. Das Landgericht hatte daher verständlicherweise unüberwindliche Bedenken, die SMS und Anrufe gerade der Beklagten als kausal verursachten Schaden anzulasten.

2. Nicht zu beanstanden ist ferner, dass das Landgericht auch für einen zukünftigen Schaden keine Anhaltspunkte sah.

3. Zutreffend versagt das Landgericht den Unterlassungsanspruch

Die Wiederholungsgefahr besteht bereits deshalb nicht, weil der Kläger die Einstellungen von „alle“ auf „nur ich“ zurücksetzen kann. Das erfordert keine weiteren Maßnahmen der Beklagten, so dass offen bleiben kann, ob diese die Suchbarkeitsfunktion deaktiviert hat und „Anti-Scraping-Maßnahmen“ ins Werk gesetzt hat.

Denn selbst wenn eine Rechtsverletzung vorläge, die – grundsätzlich – Wiederholungsgefahr zu indizieren geeignet wäre, wäre diese Indizwirkung durch obige Fallumstände hier widerlegt.

Nicht verfangen kann der Einwand, wonach es keine Abhilfe bringe, wenn der Kläger seine Einstellungen von „everyone“ auf „friends of friends“ umstellt. Es mag unterstellt werden, dass auch Daten von Nutzern „gescrapt“ worden sind, die – anders als der Kläger – nicht „everyone“ eingestellt hatten. Das ist aber nicht der Schadenshergang, der vorliegend anzunehmen war und an dem die Wiederholungsgefahr zu messen wäre. Dass sich der hier festgestellte Schadenshergang wiederholen würde, kann der Kläger schon durch die geänderten Einstellungen bewirken. Stellt er die Einstellungen von „alle“ auf „nur ich“ zurück, und würden seine Daten dann (erneut) gescrapt, so wäre das ein anderer Schadenshergang.

4. Zutreffend versagt das Landgericht den Auskunftsanspruch.

Anders als in den von der Berufungsbegründung angezogenen Entscheidungen anderer Gerichte (BerBegr S. 65/66) war der Auskunftsanspruch vorliegend erfüllt mit Ausnahme einer Angabe, wer der/die Scraper/in gewesen ist. Letztere Angabe (des „Empfängers“) kann die Beklagte nicht machen, weil sie den Empfänger nicht kennt. Dass sie in früheren Fällen gegen unbefugte Dritte vorgegangen ist, ändert hieran fallbezogen nichts.

5. Nach alledem hat das Landgericht auch Schadensersatzansprüche nach nationalem Recht zutreffend versagt.

Den Volltext der Entscheidung finden Sie hier:

LG Berlin
Urteil vom 27.09.2023
15 O 296/18

Das LG Berlin hat entschieden, dass die Ansprüche der Drehbuchautorin auf angemessene Vergütung aus § 32a UrhG gegen die Produktionsfirma bzw. den Film- und Medienkonzern der Filme Keinohrhasen und Zweiohrküken überwiegend verjährt sind.

Die Pressemitteilung des Gerichts:
Landgericht Berlin: Anspruch einer Drehbuchautorin aus § 32a UrhG gegen eine Produktionsfirma sowie gegen einen Film- und Medienkonzern dem Grunde nach gegeben, jedoch weitgehend verjährt

Die Zivilkammer 15 des Landgerichts Berlin hat aufgrund der mündlichen Verhandlung vom 5. Juli 2023 in dem heute in öffentlicher Sitzung verkündeten und dabei mündlich kurz begründeten Urteil in erster Instanz dem Zahlungsbegehren einer Drehbuchautorin gegen die Produktionsfirma der Filme „Keinohrhasen“ (Kinostart 2007) und „Zweiohrküken“ (Kinostart 2009) sowie gegen einen Film- und Medienkonzern im Hinblick auf die Verwertungserträge dieser Filme dem Grunde nach stattgegeben.

Die Klägerin hatte die beiden Beklagten zuvor erfolgreich auf Auskunft über die Verwertungserträge der Filme „Keinohrhasen“ und „Zweiohrküken“ in Anspruch genommen (vgl. unsere Pressemitteilungen Nr. 08/2022 vom 16. Februar 2022, Nr. 06/2022 vom 8. Februar 2022 und Nr. 67/2020 vom 27. Oktober 2020).

Die Klägerin hat gegen die Beklagten nach Erteilung der Auskünfte nun auf Zahlung einer angemessenen Beteiligung an den Verwertungserträgen der Filme „Keinohrhasen“ und „Zweiohrküken“ im Wege der Anpassung ihrer ursprünglich für die Rechte an den Drehbüchern der beiden Filme erhaltenen Vergütung gemäß § 32a Urheberrechtsgesetz (UrhG) geklagt.

Die Beklagten haben beantragt die Klage abzuweisen, da bereits kein auffälliges Missverhältnis zwischen der gezahlten Vergütung und den Verwertungserträgen bestünde. Darüber hinaus haben die Beklagten sich darauf berufen, dass etwaige Ansprüche bereits verjährt seien.

Das Landgericht hat mit seinem Urteil vom heutigen Tag festgestellt, dass ein Anspruch der Klägerin auf Zahlung einer weiteren angemessenen Vergütung nach § 32a UrhG dem Grunde nach besteht. Angesichts des weit überdurchschnittlichen Erfolges der beiden Filme habe die Klägerin einen Anspruch darauf, die vereinbarte Vergütung nachträglich anzupassen. Dabei ist die Zivilkammer 15 davon ausgegangen, dass die Klägerin ganz überwiegend als Alleinurheberin der Drehbücher zu den Filmen „Keinohrhasen“ und „Zweiohrküken“ anzusehen ist.

Jedoch steht der Klägerin nur ein Anspruch auf Vertragsanpassung bzw. Zahlung einer weiteren angemessenen Vergütung für die von ihr erstellten Drehbücher für den Zeitraum ab dem 1. Januar 2015 zu, da – so die Zivilkammer 15 – Anpassungsansprüche für den Zeitraum vor dem 1. Januar 2015 verjährt sind.

Der Anspruch aus § 32a UrhG verjährt innerhalb der Regelverjährungsfrist von drei Jahren, wobei die Verjährung mit dem Schluss des Jahres beginnt, in dem der Anspruch entstanden ist und der bzw. die Urheber*in von den anspruchsbegründenden Umständen, hier also dem weit überdurchschnittlichen Erfolg der beiden Filme, Kenntnis hatte bzw. hätte haben müssen.

Die Klägerin hatte – so die Zivilkammer 15 – Kenntnis vom Kinoerfolg beider Filme und hätte aufgrund des ihr bekannten weit überdurchschnittlichen Erfolges der Filme an den Kinokassen auch davon ausgehen müssen, dass die nachfolgenden Verwertungsformen weit überdurchschnittliche Erlöse erzielen würden, da es naheliegend sei, dass sich ein großer Kinoerfolg auch bei der nachfolgenden DVD-Auswertung, der Pay-TV Auswertung, der Video- und der Auslandsauswertung fortsetze.

Da die Klägerin erst im Jahr 2018 Klage erhoben hat, konnte die Verjährung somit nur für Ansprüche ab dem 1. Januar 2015 gehemmt werden. Der Anspruch der Klägerin auf eine angemessene Beteiligung an den Verwertungserträgen für die vor diesem Zeitpunkt liegende Hauptvermarktungsphase der beiden Filme ist nach den Ausführungen des Landgerichts damit verjährt, so dass die Klage der Klägerin aus diesem Grund in weiten Teilen abzuweisen war.

Die Klägerin hat gegen beide Beklagten nach dem heutigen Urteil daher für die Nutzung der Filmproduktionen „Keinohrhasen“ und „Zweiohrküken“ bis Ende des Jahres 2020 lediglich einen Anspruch auf Zahlung eines Gesamtbetrages in Höhe von insgesamt gut 180.000 Euro, die für diesen Zeitraum von der Klägerin geforderte Gesamtsumme belief sich hingegen auf über zwei Millionen Euro.

Für die Nutzung der beiden Filmproduktionen ab dem Jahr 2021 hat die Klägerin gegen die Beklagten nach dem Urteil einen Anspruch auf Zahlung einer weiteren angemessenen Beteiligung für den Film „Keinohrhasen“ in Höhe von 3,68 % der Nettoerlöse und für den Film „Zweiohrküken“ in Höhe von 3,48 % der Nettoerlöse.

Dieses Urteil ist noch nicht rechtskräftig; es kann dagegen Berufung beim Kammergericht innerhalb von einem Monat nach Zustellung der schriftlichen Urteilsgründe eingelegt werden.

Wegen der weiteren Einzelheiten muss auf die schriftlichen Urteilsgründe verwiesen werden. Nach den Presserichtlinien kann über diese erst berichtet werden, wenn das heute verkündete Urteil den Parteien in schriftlicher Form zugestellt wurde bzw. alle Verfahrensbeteiligten dieses Urteil sicher erhalten haben.

Landgericht Berlin: Urteil vom 27. September 2023, Aktenzeichen: 15 O 296/18

EuGH-Generalanwalt
Schlussanträge vom 29.09.2023
C-470/21
La Quadrature du Net u. a.
(Personenbezogene Daten und Bekämpfung von Verletzungen der Rechte des geistigen Eigentums)

Der EuGH-Generalanwalt kommt in seinen Schlussanträgen zu dem Ergebnis, dass der Zugriff von Behörden auf mit IP-Adressen verknüpfte Identitätsdaten zur Verfolgung von Urheberrechtsverletzungen im Internet als ultima ratio zulässig ist.

Die Pressemitteilung des EuGH:
Generalanwalt Szpunar: die Vorratsspeicherung und der Zugriff auf Identitätsdaten, die mit der verwendeten IP-Adresse verknüpft sind, sollten erlaubt sein, wenn diese Daten den einzigen Anhaltspunkt darstellen, um die Identität von Personen zu ermitteln, die ausschließlich im Internet Urheberrechtsverletzungen begangen haben

Seiner Ansicht nach ist die von der Verwaltungsbehörde für den Schutz der Urheberrechte in Frankreich angewandte Regelung der abgestuften Reaktion mit den Anforderungen des Unionsrechts im Bereich des Schutzes der personenbezogenen Daten vereinbar.

Die heutigen Schlussanträge werden im Rahmen der Wiedereröffnung des Verfahrens in dieser Rechtssache vorgelegt. Auf Betreiben der Großen Kammer hat der Gerichtshof nämlich beschlossen, die Rechtssache an das Plenum zu verweisen und Fragen zu stellen, die in der Sitzung vom 15 und 16. Mai 2023 beantwortet werden sollten.

Der Erste Generalanwalt Maciej Szpunar hat seine Schlussanträge zum ersten Mal am 27. Oktober 2022 vorgelegt (vgl. PM Nr. 172/22).

Die Haute Autorité pour la diffusion des œuvres et la protection des droits sur Internet (Hohe Behörde für die Verbreitung von Werken und den Schutz von Rechten im Internet, Hadopi) hat in Frankreich die Aufgabe, die Wahrung der Eigentumsrechte sicherzustellen. Wird eine Urheberrechtsverletzung eines Internetnutzers entdeckt, richtet die Hadopi eine Empfehlung an Letzteren und trägt ihm auf, keine weitere Verletzung mehr zu begehen, worauf eine neuerliche Warnung im Fall der wiederholten Verletzung erfolgt. Werden die ersten beiden Warnungen missachtet und wird eine dritte Verletzung begangen, kann sich die Hadopi an die zuständige Justizbehörde wenden, um eine Strafverfolgung einzuleiten.

Dieses System der abgestuften Reaktion setzt voraus, dass die Hadopi den Täter ermitteln kann, um ihm diese Empfehlungen zukommen zu lassen. Hierfür wurde im Jahr 2010 ein Dekret erlassen, das der Hadopi erlaubt, sich an die Betreiber elektronischer Kommunikation zu richten, damit Letztere ihr die Identitätsdaten des Nutzers übermitteln, dem die für die Begehung der Straftat verwendete IP-Adresse zugeordnet ist.

Vier Vereinigungen zum Schutz der Rechte und Freiheiten im Internet fechten den Erlass dieses Dekrets gerichtlich an. Der Conseil d’État befragt den Gerichtshof, ob das Sammeln der Identitätsdaten, die IP-Adressen zugeordnet sind, sowie die automatisierte Verarbeitung dieser Daten zur Verhinderung von Verletzungen der Rechte des geistigen Eigentums ohne vorherige Kontrolle durch ein Gericht oder eine Verwaltungsstelle mit dem Unionsrecht vereinbar sind.

In seinen heute vorgelegten Schlussanträgen vertritt der Erste Generalanwalt Maciej Szpunar die Auffassung, dass das Unionsrecht dem nicht entgegensteht, dass die Betreiber elektronischer Kommunikation die IP-Adressen und die entsprechenden Identitätsdaten auf Vorrat zu speichern haben und dass eine Verwaltungsbehörde für den Schutz der Urheberrechte gegen Urheberrechtsverletzungen im Internet darauf Zugriff hat.

Nach Ansicht des Generalanwalts ermöglichen die IP-Adresse, die bürgerliche Identität des Inhabers eines Internetzugangs und die Informationen über das fragliche Werk keine genauen Schlüsse auf das Privatleben der Person, die der Begehung einer Urheberrechtsverletzung verdächtigt wird. Es handelt sich hierbei lediglich um die Offenlegung eines zu einem bestimmten Zeitpunkt abgerufenen Inhalts, der für sich genommen nicht geeignet ist, ein detailliertes Profil der Person zu erstellen, die diesen Inhalt abgerufen hat.

Diese Maßnahme soll dieser Behörde ermöglichen, die Inhaber dieser Adressen, die im Verdacht stehen, für diese Rechtsverletzungen verantwortlich zu sein, zu ermitteln und gegebenenfalls Maßnahmen gegen sie zu ergreifen.

Außerdem ist es nicht erforderlich, dass dieser Zugang einer vorherigen Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsstelle unterliegt. Diese Daten stellen nämlich den einzigen Anhaltspunkt dar, der es ermöglicht, die Identität der Person zu ermitteln, der diese Adresse zugeordnet war, als die Tat begangen wurde.

Er betont, dass es sich nicht um eine Abkehr von der bisherigen Rechtsprechung handelt, sondern um deren pragmatische Weiterentwicklung, wodurch unter besonderen und sehr eng abgegrenzten Umständen eine differenziertere Lösung gefunden werden kann. Seiner Auffassung nach liegt dieser Würdigung ein Ausgleich der verschiedenen einander gegenüberstehenden Interessen entsprechend dem Grundsatz der Verhältnismäßigkeit zugrunde, der eine Verfeinerung der Rechtsprechung des Gerichtshofs zur Vorratsspeicherung von und zum Zugriff auf Daten wie IP-Adressen, die mit Identitätsdaten verknüpft sind, rechtfertigt, um so eine systematische Straflosigkeit der ausschließlich online begangenen Gesetzesverletzungen zu verhindern.

Die vollständigen Schlussanträge finden Sie hier:

BGH
Urteil vom 27.09.2023
IV ZR 177/22

Der BGH hat entschieden, dass ein Versicherungsnehmer keinen Anspruch aus Art. 15 DSGVO gegen eine private Krankenversicherung auf Abschriften von Beitragsanpassungsschreiben hat. Ein solcher Anspruch kann sich aber möglicherweise aus Treu und Glauben (§ 242 BGB) ergeben.


Die Pressemitteilung des BGH:
Zum Auskunftsanspruch über frühere Prämienanpassungen in der privaten Krankenversicherung

Der unter anderem für das Versicherungsvertragsrecht zuständige IV. Zivilsenat des Bundesgerichtshofs hat entschieden, dass dem Versicherungsnehmer aus Treu und Glauben ein Auskunftsanspruch über zurückliegende Prämienanpassungen in der privaten Krankenversicherung zustehen kann, wenn er in entschuldbarer Weise über Bestehen und Umfang seines Rechts im Ungewissen ist. Dagegen folgt aus Art. 15 Abs. 1 und 3 der Verordnung (EU) 2016/679 (Datenschutzgrundverordnung - DSGVO) grundsätzlich kein Anspruch auf Abschriften der Begründungsschreiben zu den Prämienanpassungen samt Anlagen.

Sachverhalt und Prozessverlauf:

Der Kläger wendet sich gegen die Wirksamkeit von Prämienanpassungen in seiner privaten Krankenversicherung. Mit der Klage hat er vom beklagten Versicherer unter anderem Auskunft über alle Beitragserhöhungen aus den Jahren 2013 bis 2016 durch Vorlage von Unterlagen verlangt, die Angaben zur Höhe der Beitragserhöhungen unter Benennung der jeweiligen Tarife, die ihm übermittelten Anschreiben mit Begründungen, die Nachträge zum Versicherungsschein sowie die Beiblätter enthalten. Diesen Antrag hat er im Rahmen einer Stufenklage gestellt, mit der er unter anderem die Feststellung, dass die noch genauer zu bezeichnenden Erhöhungen unwirksam seien, und die Zahlung eines nach Erteilung der Auskunft noch zu beziffernden Betrages verlangt hat.

Das Landgericht hat die Klage abgewiesen. Das Berufungsgericht hat das landgerichtliche Urteil zum Teil abgeändert und die Beklagte unter anderem antragsgemäß zur Auskunftserteilung verurteilt. Soweit die Klage Erfolg hatte, richtet sich dagegen die Revision der Beklagten.

Die Entscheidung des Senats:

Der Bundesgerichtshof hat entschieden, dass die Auskunftsklage zulässig ist. Zwar ist das Rechtsschutzbegehren als Stufenklage im Sinne des § 254 Zivilprozessordnung unzulässig, da es dem Kläger nicht um die Bezifferung eines Anspruchs, sondern um die Prüfung geht, ob überhaupt ein Anspruch besteht. Der Auskunftsantrag kann jedoch in eine von der Stufung unabhängige Klage umgedeutet werden. Der Kläger hat auch ein berechtigtes Interesse an der begehrten Auskunft, da er sie benötigt, um zu prüfen, ob vergangene Beitragserhöhungen unwirksam waren und ihm daraus Rückzahlungsansprüche zustehen.

Einem Versicherungsnehmer kann aus Treu und Glauben ein Auskunftsanspruch über zurückliegende Prämienanpassungen zustehen. Dieser Anspruch setzt zunächst voraus, dass ihm noch Rückzahlungsansprüche aufgrund früherer Prämienerhöhungen, falls diese unwirksam gewesen sein sollten, als Grund für das Auskunftsbegehren zustehen könnten. Darüber hinaus ist erforderlich, dass er nicht mehr über die betreffenden Unterlagen verfügt und sich die notwendigen Informationen nicht selbst auf zumutbare Weise verschaffen kann. Wenn dies der Fall ist, ist unter Berücksichtigung der Gründe für diesen Verlust zu entscheiden, ob er in entschuldbarer Weise über sein Recht im Ungewissen ist. Die hierfür maßgebenden Umstände hat der Versicherungsnehmer darzulegen und zu beweisen.

Dagegen folgt ein solcher Auskunftsanspruch grundsätzlich nicht aus Art. 15 Abs. 1, 3 DSGVO. Ein Anspruch auf eine Abschrift der gesamten Begründungsschreiben samt Anlagen lässt sich aus Art. 15 Abs. 1 DSGVO nicht herleiten, da es sich weder bei den Anschreiben selbst noch bei den beigefügten Anlagen jeweils in ihrer Gesamtheit um personenbezogene Daten des Versicherungsnehmers handelt. Aus Art. 15 Abs. 3 DSGVO ergibt sich nur ein Anspruch auf eine Kopie der Daten, zu denen nach Art. 15 Abs. 1 DSGVO Auskunft zu erteilen wäre, aber grundsätzlich kein Anspruch auf Herausgabe von Kopien bestimmter Dokumente. Dazu hat der Gerichtshof der Europäischen Union mit Urteil vom 4. Mai 2023 (C-487/21, NJW 2023, 2253) entschieden, dass Art. 15 Abs. 1 DSGVO den Gegenstand und den Anwendungsbereich des Auskunftsrechts und Art. 15 Abs. 3 DSGVO die praktischen Modalitäten für die Erfüllung der Verpflichtung festlege; daher könne Art. 15 DSGVO nicht so ausgelegt werden, dass er in seinem Abs. 3 Satz 1 ein anderes Recht als das in seinem Abs. 1 vorgesehene gewähre.

Die Revision hatte auf dieser Grundlage zum Teil Erfolg und führte unter anderem zu einer Aufhebung des Berufungsurteils hinsichtlich der Auskunftsklage. Soweit das Berufungsgericht noch nicht alle Voraussetzungen für einen Auskunftsanspruch aus Treu und Glauben geprüft hat, hat der Bundesgerichtshof die Sache zur neuen Verhandlung und Entscheidung an das Berufungsgericht zurückverwiesen, damit es dies nachholen kann.

Vorinstanzen:

OLG Frankfurt am Main - Urteil vom 7. April 2022 - 3 U 266/21

LG Gießen - Urteil vom 31. August 2021 - 2 O 545/20

Die maßgebliche Vorschriften lauten:

§ 254 ZPO

Wird mit der Klage auf Rechnungslegung oder auf Vorlegung eines Vermögensverzeichnisses oder auf Abgabe einer eidesstattlichen Versicherung die Klage auf Herausgabe desjenigen verbunden, was der Beklagte aus dem zugrunde liegenden Rechtsverhältnis schuldet, so kann die bestimmte Angabe der Leistungen, die der Kläger beansprucht, vorbehalten werden, bis die Rechnung mitgeteilt, das Vermögensverzeichnis vorgelegt oder die eidesstattliche Versicherung abgegeben ist.

§ 242 BGB

Der Schuldner ist verpflichtet, die Leistung so zu bewirken, wie Treu und Glauben mit Rücksicht auf die Verkehrssitte es erfordern.

Art. 15 DSGVO

(1) Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:

…

(3) 1Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung. …