OLG Frankfurt: Auskunftsanspruch aus Art. 15 DSGVO gegen soziales Netzwerk (hier: X / Twitter) kann auch durch Self-Service-Tool vollständig erfüllt werden
OLG Frankfurt
Beschluss vom 02.07.2024
6 U 41/24
Das OLG Frankfurt hat im Rahmen eines Hinweisbeschlusses ausgeführt, dass der Auskunftsanspruch aus Art. 15 DSGVO gegen ein soziales Netzwerk (hier: X / Twitter) auch durch ein Self-Service-Tool vollständig erfüllt werden kann.
Aus den Entscheidungsgründen:
1. Das Landgericht ist zutreffend davon ausgegangen, dass die Beklagte durch die Bereitstellung eines Self-Service-Tool sowie das Schreiben vom 18.04.2023 (Anlage K 3) den Auskunftsanspruch des Klägers nach § 15 II DSGVO erfüllt hat.
Die Bereitstellung des Selbstbedienungstools führt dazu, dass der Kläger die Auskünfte an seinem Wohnsitz abrufen kann, wenn er dies will. Der Auskunftserfolg tritt damit auch dann am rechten Ort ein, wenn man - mit der Berufungsbegründung - zugrunde legt, dass Erfüllungsort der Sitz des Klägers ist.
Anderes ergibt sich (entgegen der Berufungsbegründung) auch nicht aus Erwägungsgrund 63 zur DSGVO. Dieser lautet:
„Eine betroffene Person sollte ein Auskunftsrecht hinsichtlich der sie betreffenden personenbezogenen Daten, die erhoben worden sind, besitzen und dieses Recht problemlos und in angemessenen Abständen wahrnehmen können, um sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können. Dies schließt das Recht betroffener Personen auf Auskunft über ihre eigenen gesundheitsbezogenen Daten ein, etwa Daten in ihren Patientenakten, die Informationen wie beispielsweise Diagnosen, Untersuchungsergebnisse, Befunde der behandelnden Ärzte und Angaben zu Behandlungen oder Eingriffen enthalten. Jede betroffene Person sollte daher ein Anrecht darauf haben zu wissen und zu erfahren, insbesondere zu welchen Zwecken die personenbezogenen Daten verarbeitet werden und, wenn möglich, wie lange sie gespeichert werden, wer die Empfänger der personenbezogenen Daten sind, nach welcher Logik die automatische Verarbeitung personenbezogener Daten erfolgt und welche Folgen eine solche Verarbeitung haben kann, zumindest in Fällen, in denen die Verarbeitung auf Profiling beruht. Nach Möglichkeit sollte der Verantwortliche den Fernzugang zu einem sicheren System bereitstellen können, der der betroffenen Person direkten Zugang zu ihren personenbezogenen Daten ermöglichen würde. Dieses Recht sollte die Rechte und Freiheiten anderer Personen, etwa Geschäftsgeheimnisse oder Rechte des geistigen Eigentums und insbesondere das Urheberrecht an Software, nicht beeinträchtigen. Dies darf jedoch nicht dazu führen, dass der betroffenen Person jegliche Auskunft verweigert wird. Verarbeitet der Verantwortliche eine große Menge von Informationen über die betroffene Person, so sollte er verlangen können, dass die betroffene Person präzisiert, auf welche Information oder welche Verarbeitungsvorgänge sich ihr Auskunftsersuchen bezieht, bevor er ihr Auskunft erteilt.“
Der Erwägungsgrund 63 besagt somit nirgends, dass der Fernzugang (hier: Selbstbedienungstool) nur dann erfüllungstauglich wäre, wenn der Nutzer mit dieser Art der Erfüllung einverstanden ist. Auch gebietet er keine solche Folgerung. Die Bereitstellung eines angemessenen Fernzugangs über ein Self-Service-Tool wird daher als ausreichend angesehen, um den Anspruch auf Bereitstellung einer Kopie der personenbezogenen Daten gemäß Art. 15 Abs. 3 Satz 1 DSGVO zu erfüllen (OLG Dresden, Urteil vom 5. Dezember 2023, Az. 4 U 1094/23, Rn. 65, juris; OLG München, Vfg. vom 29.01.2024, 14 U 4826/23 - nicht veröffentlicht; LG Bonn, Urteil vom 8. März 2023, Az.: 17 O 165/22, GRUR-RS 2023, 3854 Rn. 59 ff.; LG Bonn, Urteil vom 3. Februar 2023, Az.: 2 O 170/22, GRUR-RS 2023, 4566, Rn. 54 ff.; LG Bonn, Urteil vom 3. Februar 2023, Az.: 18 O 127/22, GRUR-RS 2023, 4565, Rn. 56 f.; LG Paderborn, Urteil vom 19. Dezember 2022, Az.: 3 O 99/22, GRUR-RS 2022, 39349, Rn. 162 ff.; LG Paderborn, Urteil vom 13. Dezember 2022, Az.: 2 O 212/22, GRUR-RS 2022, 41028 Rn. 176 ff.; LG München I, Urteil vom 2. September 2021, Az.: 23 O 10931/20, juris Rn. 23 f.; Krämer/Burghoff, ZD 2022, 428, 432; Paal, in: Paal/Pauly DSGVO, 3. Aufl. 2021, Art. 15 Rn. 38 iVm Rn. 14; Franck, in: Gola/Heckmann DSGVO, 3. Aufl. 2022, Art. 15 Rn. 40.), sie ist sogar die gewünschte Form der Übermittlung
Soweit eine einzelne Stimme (Schmidt-Wudy, BeckOK Datenschutzrecht, Art. 15 DS- GVO Rn. 84) der Auffassung ist, ein Fernzugriffssystem ersetze nur dann die Übersendung der Auskunft bzw. Datenkopie im Wege der Schickschuld per Post oder auf elektronischem Wege, wenn sich der Anspruchsteller hiermit einverstanden erkläre, fehlt es hierfür ebenso an einer tragfähigen Begründung wie in der Entscheidung des LAG Niedersachsen (NZA-RR 2020, 571, Rnr. 46), die ohne Begründung diese Literaturstelle zitiert.
Die Verweisung auf den Fernzugang kann im Einzelfall zwar dazu führen, dass der betroffenen Person faktisch die Auskunft verweigert wird: Beispielsweise haben auch Menschen, die „analog leben“ oder/und keine nennenswerten Fähigkeiten im Umgang mit IT-gestützten Portalen haben, ein Recht auf Auskunft nach Art. 15 DSGVO, dieses könnte untergraben werden, wenn man sie auf das ihnen unzugängliche Selbstbedienungstool verwiese. Darüber muss vorliegend jedoch nicht entschieden werden, denn wer sich bei der Beklagten registriert, lebt denknotwendig nicht (mehr) analog und lässt auch nicht erwarten, im Umgang mit IT-gestützten Portalen unbeschlagen zu sein.
2. Es kann dahinstehen, ob der Anwendungsbereich von Art. 82 Abs. 1 DSGVO auf Schäden infolge der reinen Datenverarbeitung im Sinne von Art. 4 Nr. 2 DSGVO begrenzt ist und daher ein Verstoß gegen Art. 15 (oder Art. 34) DSGVO überhaupt einen Schadensersatzanspruch zur Folge hat. Der Kläger hat das Vorliegen eines Schadens nämlich nicht substantiiert vorgetragen.
a) Auch wenn - wie Erwägungsgrund 146 unterstreicht - der Schadensbegriff im Ansatz weit zu verstehen ist, ergibt schon die Zählung der Tatbestandsmerkmale des Art. 82 Abs. 1 DSGVO eine Anzahl von drei (so auch EuGH C-300/21), nämlich (1) Verstoß, (2) Schaden, (3) Kausalität.
Der Verstoß (Herbeiführung des Kontrollverlustes an den Daten) ist schon deshalb nicht bereits der Schaden und führt auch nicht „automatisch“ zu einem Schaden (EuGH, Urt. v. 04.05.2023, C-300/21 - Österreichische Post). Da die Erwägungsgründe besagen, dass der Schaden "erlitten" sein muss, kann der Kontrollverlust (als rein objektiver Befund) nicht für sich allein bereits der Schaden sein (OLG Hamm, 7 U 19/23 Rn 72 ff).
Dergleichen hat insbesondere der Gerichtshof der Europäischen Union nicht postuliert, sondern im Gegenteil (EuGH 5.12.2023, C-807/21 Rn 82) den „Verlust der Kontrolle“ in Erwägungsgrund 85 als Beispiel für Umstände gesehen, die „erhebliche wirtschaftliche oder gesellschaftliche Nachteile“ darstellen können. Daraus leitet der EuGH aber gerade nicht her, dass schon der Kontrollverlust ohne weiteres der Schaden „sei“, sondern lediglich: dass der Schaden nicht eine bereits eingetretene „missbräuchliche Verwendung der betreffenden Daten zum Nachteil“ der betroffenen Person voraussetzt, sondern die Befürchtung (Rn 81) zukünftiger missbräuchlicher Verwendung ausreichen kann (vgl. auch EuGH, U. v. 20.6.2024 - C.590/22, juris Rn. 32 f.). Ein Schadensersatzanspruch besteht auch bei einem Kontrollverlust über personenbezogenen Daten nur, sofern die betroffene Person darlegt und bei Bedarf nachweist, dass sie tatsächlich einen Schaden - so geringfügig er auch sein mag - erlitten hat (EuGH, U. v. 20.6.2024 - C.590/22, juris Rn. 33 mwN), Die Fokussierung des EuGH auf den Begriff der „Befürchtung“ (englisch: „fear“, französisch: „crainte“) wäre überflüssig, wenn in dem objektiven Vorgang des Kontrollverlustes bereits ein Schaden im Sinne von § 82 Abs. 1 DSGVO läge.
Vorliegend ist das Landgericht zutreffend zum Schluss gelangt, dass nach dem Klägervortrag ein (hier unterstellter) Verstoß der Beklagten in keiner Weise irgendeine persönlich erlebte belastende Folge kausal verursacht hat. Wie gezeigt, ist der bloße Kontrollverlust als solcher nicht „der“ Schaden des Art. 82 Abs. 1 DSGVO. Er führt auch nicht etwa gleichsam „automatisch“ zu „einem Zustand, in dem sich die Klägerseite berechtigt wie nachvollziehbar in Sorge um den Verbleib sowie einen möglichen Missbrauch ihrer Daten“ befinden würde: Die für Art. 82 Abs. 1 DSGVO erforderliche Befürchtung (deutlicher englisch „fear“ und französisch „crainte“, also blanke „Furcht“) besteht nicht allein in einer logischen Gedankenoperation des Betrachters oder der Klagepartei, sondern wäre ein (negatives) Gefühl der Klagepartei, das bestritten und von dieser zu beweisen war - und anhand objektiver Umstände nachvollziehbar sein muss.
Jedenfalls hat das Landgericht zu Recht den klägerischen Vortrag als pauschal und substanzlos angesehen (“Zustand des Unwohlseins und der Sorge des Datenmissbrauchs“). Das ist angesichts des formelhaften und erkennbar nicht individualisierten Zuschnitts dieses Vorbringens nicht zu beanstanden; hiergegen erinnert die Berufungsbegründung auch nichts. Hinzu kommt, dass nicht nachvollziehbar ist, wieso im Fall einer mutmaßlichen Verletzung der Auskunftspflicht - in der bisher überhaupt kein Indiz für einen Datenabfluss bestanden hat - der „Zustand des Unwohlseins und der Sorge des Datenmissbrauchs“ gegeben sein kann.
3. Da sich die Bemessung der Höhe des Schadensersatzes nach nationalem Recht richtet (vgl. z.B. EuGH, U. v.26.2024 - C-182/22, juris Rn. 33), ist ein Anspruch auf Schadensersatz insoweit auch wegen überwiegenden Mitverschuldens (§ 254 BGB) ausgeschlossen, da der Kläger von der naheliegenden Möglichkeit, sich über das Selbstbedienungstool zu informieren, keinen Gebrauch gemacht hat. Eine Rechtsgrundlage für den Ersatz der außergerichtlichen Kosten ist nicht ersichtlich. Insbesondere lag kein Verzug vor. Die Beauftragung des Prozessbevollmächtigten des Klägers erfolgt vor der erstmaligen Geltendmachung des Rechts aus Art. 15 DSGVO gegenüber der Beklagten.
Ein möglicher Verzug der Beklagten - der wegen Art. 12 III DSGVO vor Ablauf einer Monatsfrist wegen der von der Beklagten geschilderten Vielzahlt von Anfragen schwer zu begründen ist - wäre daher nicht kausal für den geltend gemachten Schaden in Form der Beauftragung des Prozessbevollmächtigten des Klägers.
4. Der Senat beabsichtigt, den Streitwert entgegen der Angabe des Klägers in der Klageschrift (8.000,-- €) auf 2.000 € festzusetzen.
Zwar sind die Angaben des Klägers in der Klageschrift bei der Ermessensausübung nach § 3 ZPO regelmäßig ein ganz erhebliches Indiz, da die Angabe unbeeinflusst vom Ausgang des Rechtsstreits erfolgt und damit eine erhöhte Richtigkeitsgewähr einhergeht. Anderes gilt jedoch dann, wenn der Wert offensichtlich über- oder untersetzt ist.
Dies ist hier der Fall. Der Senat hält die Schmerzensgeldangabe von 3.000 € als um ein Vielfaches übersetzt an; der Kläger selbst hat schriftsätzlich einen Betrag von 1.500 € als angemessen angegeben.
Den Wert des Klagantrags zu 1.) und 2.) hingegen setzt der Senat nicht mit zusammen 5.000 €, sondern mit 500 € fest. Auskunftsansprüche bewegen im Regel im Bereich eines Bruchteils des Hauptanspruchs, wenn sie diesen unterstützen. Der Anspruch nach § 15 DSGVO ist zwar ein selbständiger Anspruch, bewegt sich jedoch wertmäßig in einer vergleichbaren Höhe. Hinzu kommt, dass der Anspruch keinen wirtschaftlichen Interessen des Klägers dient. Weiterhin ist zu berücksichtigen, dass Anhaltspunkte für eine Rechtsverletzung nicht bestehen. Der Senat hält daher einen Wert von 500 € für angemessen (vgl. z.B. OLG Köln ZD 2018, 268; OLG Köln ZD 2019, 463)
5. Einer Entscheidung nach § 522 II ZPO steht auch nicht ein etwaiger Revisionszulassungsgrund der Divergenz oder der grundsätzlichen Bedeutung entgegen. Soweit das LAG Niedersachen (NZA-RR 2020, 571, Rnr. 46) eine Datenübersendung in elektronischer Form als zur Erfüllung ungeeignet ansieht, kann dies eine Revisionszulassung nicht begründen.
Eine Rechtssache hat grundsätzliche Bedeutung, wenn sie eine entscheidungserhebliche, klärungsbedürftige und klärungsfähige Rechtsfrage aufwirft, die sich in einer Vielzahl von Fällen stellen kann und deswegen das abstrakte Interesse der Allgemeinheit an der einheitlichen Entwicklung und Handhabung des Rechts berührt, d.h. allgemein von Bedeutung ist (st Rspr; BGH NJW 2002, 3029). Klärungsbedürftig in diesem Sinne ist eine Rechtsfrage, wenn sie vom BGH nicht entschieden und von Oberlandesgerichten oder in der Literatur unterschiedlich beantwortet wird (BGH NZG 2010, 625 Rn. 3; DStR 2014, 383 Rn. 2). Der Klärungsbedarf entfällt, wenn abweichende Ansichten im Schrifttum vereinzelt geblieben und nicht oder nicht nachvollziehbar begründet sind (NZG 2024, 249 Rn. 9; BGH NZG 2010, 625). So verhält es sich hier.
Den Volltext der Entscheidung finden Sie hier:
Beschluss vom 02.07.2024
6 U 41/24
Das OLG Frankfurt hat im Rahmen eines Hinweisbeschlusses ausgeführt, dass der Auskunftsanspruch aus Art. 15 DSGVO gegen ein soziales Netzwerk (hier: X / Twitter) auch durch ein Self-Service-Tool vollständig erfüllt werden kann.
Aus den Entscheidungsgründen:
1. Das Landgericht ist zutreffend davon ausgegangen, dass die Beklagte durch die Bereitstellung eines Self-Service-Tool sowie das Schreiben vom 18.04.2023 (Anlage K 3) den Auskunftsanspruch des Klägers nach § 15 II DSGVO erfüllt hat.
Die Bereitstellung des Selbstbedienungstools führt dazu, dass der Kläger die Auskünfte an seinem Wohnsitz abrufen kann, wenn er dies will. Der Auskunftserfolg tritt damit auch dann am rechten Ort ein, wenn man - mit der Berufungsbegründung - zugrunde legt, dass Erfüllungsort der Sitz des Klägers ist.
Anderes ergibt sich (entgegen der Berufungsbegründung) auch nicht aus Erwägungsgrund 63 zur DSGVO. Dieser lautet:
„Eine betroffene Person sollte ein Auskunftsrecht hinsichtlich der sie betreffenden personenbezogenen Daten, die erhoben worden sind, besitzen und dieses Recht problemlos und in angemessenen Abständen wahrnehmen können, um sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können. Dies schließt das Recht betroffener Personen auf Auskunft über ihre eigenen gesundheitsbezogenen Daten ein, etwa Daten in ihren Patientenakten, die Informationen wie beispielsweise Diagnosen, Untersuchungsergebnisse, Befunde der behandelnden Ärzte und Angaben zu Behandlungen oder Eingriffen enthalten. Jede betroffene Person sollte daher ein Anrecht darauf haben zu wissen und zu erfahren, insbesondere zu welchen Zwecken die personenbezogenen Daten verarbeitet werden und, wenn möglich, wie lange sie gespeichert werden, wer die Empfänger der personenbezogenen Daten sind, nach welcher Logik die automatische Verarbeitung personenbezogener Daten erfolgt und welche Folgen eine solche Verarbeitung haben kann, zumindest in Fällen, in denen die Verarbeitung auf Profiling beruht. Nach Möglichkeit sollte der Verantwortliche den Fernzugang zu einem sicheren System bereitstellen können, der der betroffenen Person direkten Zugang zu ihren personenbezogenen Daten ermöglichen würde. Dieses Recht sollte die Rechte und Freiheiten anderer Personen, etwa Geschäftsgeheimnisse oder Rechte des geistigen Eigentums und insbesondere das Urheberrecht an Software, nicht beeinträchtigen. Dies darf jedoch nicht dazu führen, dass der betroffenen Person jegliche Auskunft verweigert wird. Verarbeitet der Verantwortliche eine große Menge von Informationen über die betroffene Person, so sollte er verlangen können, dass die betroffene Person präzisiert, auf welche Information oder welche Verarbeitungsvorgänge sich ihr Auskunftsersuchen bezieht, bevor er ihr Auskunft erteilt.“
Der Erwägungsgrund 63 besagt somit nirgends, dass der Fernzugang (hier: Selbstbedienungstool) nur dann erfüllungstauglich wäre, wenn der Nutzer mit dieser Art der Erfüllung einverstanden ist. Auch gebietet er keine solche Folgerung. Die Bereitstellung eines angemessenen Fernzugangs über ein Self-Service-Tool wird daher als ausreichend angesehen, um den Anspruch auf Bereitstellung einer Kopie der personenbezogenen Daten gemäß Art. 15 Abs. 3 Satz 1 DSGVO zu erfüllen (OLG Dresden, Urteil vom 5. Dezember 2023, Az. 4 U 1094/23, Rn. 65, juris; OLG München, Vfg. vom 29.01.2024, 14 U 4826/23 - nicht veröffentlicht; LG Bonn, Urteil vom 8. März 2023, Az.: 17 O 165/22, GRUR-RS 2023, 3854 Rn. 59 ff.; LG Bonn, Urteil vom 3. Februar 2023, Az.: 2 O 170/22, GRUR-RS 2023, 4566, Rn. 54 ff.; LG Bonn, Urteil vom 3. Februar 2023, Az.: 18 O 127/22, GRUR-RS 2023, 4565, Rn. 56 f.; LG Paderborn, Urteil vom 19. Dezember 2022, Az.: 3 O 99/22, GRUR-RS 2022, 39349, Rn. 162 ff.; LG Paderborn, Urteil vom 13. Dezember 2022, Az.: 2 O 212/22, GRUR-RS 2022, 41028 Rn. 176 ff.; LG München I, Urteil vom 2. September 2021, Az.: 23 O 10931/20, juris Rn. 23 f.; Krämer/Burghoff, ZD 2022, 428, 432; Paal, in: Paal/Pauly DSGVO, 3. Aufl. 2021, Art. 15 Rn. 38 iVm Rn. 14; Franck, in: Gola/Heckmann DSGVO, 3. Aufl. 2022, Art. 15 Rn. 40.), sie ist sogar die gewünschte Form der Übermittlung
Soweit eine einzelne Stimme (Schmidt-Wudy, BeckOK Datenschutzrecht, Art. 15 DS- GVO Rn. 84) der Auffassung ist, ein Fernzugriffssystem ersetze nur dann die Übersendung der Auskunft bzw. Datenkopie im Wege der Schickschuld per Post oder auf elektronischem Wege, wenn sich der Anspruchsteller hiermit einverstanden erkläre, fehlt es hierfür ebenso an einer tragfähigen Begründung wie in der Entscheidung des LAG Niedersachsen (NZA-RR 2020, 571, Rnr. 46), die ohne Begründung diese Literaturstelle zitiert.
Die Verweisung auf den Fernzugang kann im Einzelfall zwar dazu führen, dass der betroffenen Person faktisch die Auskunft verweigert wird: Beispielsweise haben auch Menschen, die „analog leben“ oder/und keine nennenswerten Fähigkeiten im Umgang mit IT-gestützten Portalen haben, ein Recht auf Auskunft nach Art. 15 DSGVO, dieses könnte untergraben werden, wenn man sie auf das ihnen unzugängliche Selbstbedienungstool verwiese. Darüber muss vorliegend jedoch nicht entschieden werden, denn wer sich bei der Beklagten registriert, lebt denknotwendig nicht (mehr) analog und lässt auch nicht erwarten, im Umgang mit IT-gestützten Portalen unbeschlagen zu sein.
2. Es kann dahinstehen, ob der Anwendungsbereich von Art. 82 Abs. 1 DSGVO auf Schäden infolge der reinen Datenverarbeitung im Sinne von Art. 4 Nr. 2 DSGVO begrenzt ist und daher ein Verstoß gegen Art. 15 (oder Art. 34) DSGVO überhaupt einen Schadensersatzanspruch zur Folge hat. Der Kläger hat das Vorliegen eines Schadens nämlich nicht substantiiert vorgetragen.
a) Auch wenn - wie Erwägungsgrund 146 unterstreicht - der Schadensbegriff im Ansatz weit zu verstehen ist, ergibt schon die Zählung der Tatbestandsmerkmale des Art. 82 Abs. 1 DSGVO eine Anzahl von drei (so auch EuGH C-300/21), nämlich (1) Verstoß, (2) Schaden, (3) Kausalität.
Der Verstoß (Herbeiführung des Kontrollverlustes an den Daten) ist schon deshalb nicht bereits der Schaden und führt auch nicht „automatisch“ zu einem Schaden (EuGH, Urt. v. 04.05.2023, C-300/21 - Österreichische Post). Da die Erwägungsgründe besagen, dass der Schaden "erlitten" sein muss, kann der Kontrollverlust (als rein objektiver Befund) nicht für sich allein bereits der Schaden sein (OLG Hamm, 7 U 19/23 Rn 72 ff).
Dergleichen hat insbesondere der Gerichtshof der Europäischen Union nicht postuliert, sondern im Gegenteil (EuGH 5.12.2023, C-807/21 Rn 82) den „Verlust der Kontrolle“ in Erwägungsgrund 85 als Beispiel für Umstände gesehen, die „erhebliche wirtschaftliche oder gesellschaftliche Nachteile“ darstellen können. Daraus leitet der EuGH aber gerade nicht her, dass schon der Kontrollverlust ohne weiteres der Schaden „sei“, sondern lediglich: dass der Schaden nicht eine bereits eingetretene „missbräuchliche Verwendung der betreffenden Daten zum Nachteil“ der betroffenen Person voraussetzt, sondern die Befürchtung (Rn 81) zukünftiger missbräuchlicher Verwendung ausreichen kann (vgl. auch EuGH, U. v. 20.6.2024 - C.590/22, juris Rn. 32 f.). Ein Schadensersatzanspruch besteht auch bei einem Kontrollverlust über personenbezogenen Daten nur, sofern die betroffene Person darlegt und bei Bedarf nachweist, dass sie tatsächlich einen Schaden - so geringfügig er auch sein mag - erlitten hat (EuGH, U. v. 20.6.2024 - C.590/22, juris Rn. 33 mwN), Die Fokussierung des EuGH auf den Begriff der „Befürchtung“ (englisch: „fear“, französisch: „crainte“) wäre überflüssig, wenn in dem objektiven Vorgang des Kontrollverlustes bereits ein Schaden im Sinne von § 82 Abs. 1 DSGVO läge.
Vorliegend ist das Landgericht zutreffend zum Schluss gelangt, dass nach dem Klägervortrag ein (hier unterstellter) Verstoß der Beklagten in keiner Weise irgendeine persönlich erlebte belastende Folge kausal verursacht hat. Wie gezeigt, ist der bloße Kontrollverlust als solcher nicht „der“ Schaden des Art. 82 Abs. 1 DSGVO. Er führt auch nicht etwa gleichsam „automatisch“ zu „einem Zustand, in dem sich die Klägerseite berechtigt wie nachvollziehbar in Sorge um den Verbleib sowie einen möglichen Missbrauch ihrer Daten“ befinden würde: Die für Art. 82 Abs. 1 DSGVO erforderliche Befürchtung (deutlicher englisch „fear“ und französisch „crainte“, also blanke „Furcht“) besteht nicht allein in einer logischen Gedankenoperation des Betrachters oder der Klagepartei, sondern wäre ein (negatives) Gefühl der Klagepartei, das bestritten und von dieser zu beweisen war - und anhand objektiver Umstände nachvollziehbar sein muss.
Jedenfalls hat das Landgericht zu Recht den klägerischen Vortrag als pauschal und substanzlos angesehen (“Zustand des Unwohlseins und der Sorge des Datenmissbrauchs“). Das ist angesichts des formelhaften und erkennbar nicht individualisierten Zuschnitts dieses Vorbringens nicht zu beanstanden; hiergegen erinnert die Berufungsbegründung auch nichts. Hinzu kommt, dass nicht nachvollziehbar ist, wieso im Fall einer mutmaßlichen Verletzung der Auskunftspflicht - in der bisher überhaupt kein Indiz für einen Datenabfluss bestanden hat - der „Zustand des Unwohlseins und der Sorge des Datenmissbrauchs“ gegeben sein kann.
3. Da sich die Bemessung der Höhe des Schadensersatzes nach nationalem Recht richtet (vgl. z.B. EuGH, U. v.26.2024 - C-182/22, juris Rn. 33), ist ein Anspruch auf Schadensersatz insoweit auch wegen überwiegenden Mitverschuldens (§ 254 BGB) ausgeschlossen, da der Kläger von der naheliegenden Möglichkeit, sich über das Selbstbedienungstool zu informieren, keinen Gebrauch gemacht hat. Eine Rechtsgrundlage für den Ersatz der außergerichtlichen Kosten ist nicht ersichtlich. Insbesondere lag kein Verzug vor. Die Beauftragung des Prozessbevollmächtigten des Klägers erfolgt vor der erstmaligen Geltendmachung des Rechts aus Art. 15 DSGVO gegenüber der Beklagten.
Ein möglicher Verzug der Beklagten - der wegen Art. 12 III DSGVO vor Ablauf einer Monatsfrist wegen der von der Beklagten geschilderten Vielzahlt von Anfragen schwer zu begründen ist - wäre daher nicht kausal für den geltend gemachten Schaden in Form der Beauftragung des Prozessbevollmächtigten des Klägers.
4. Der Senat beabsichtigt, den Streitwert entgegen der Angabe des Klägers in der Klageschrift (8.000,-- €) auf 2.000 € festzusetzen.
Zwar sind die Angaben des Klägers in der Klageschrift bei der Ermessensausübung nach § 3 ZPO regelmäßig ein ganz erhebliches Indiz, da die Angabe unbeeinflusst vom Ausgang des Rechtsstreits erfolgt und damit eine erhöhte Richtigkeitsgewähr einhergeht. Anderes gilt jedoch dann, wenn der Wert offensichtlich über- oder untersetzt ist.
Dies ist hier der Fall. Der Senat hält die Schmerzensgeldangabe von 3.000 € als um ein Vielfaches übersetzt an; der Kläger selbst hat schriftsätzlich einen Betrag von 1.500 € als angemessen angegeben.
Den Wert des Klagantrags zu 1.) und 2.) hingegen setzt der Senat nicht mit zusammen 5.000 €, sondern mit 500 € fest. Auskunftsansprüche bewegen im Regel im Bereich eines Bruchteils des Hauptanspruchs, wenn sie diesen unterstützen. Der Anspruch nach § 15 DSGVO ist zwar ein selbständiger Anspruch, bewegt sich jedoch wertmäßig in einer vergleichbaren Höhe. Hinzu kommt, dass der Anspruch keinen wirtschaftlichen Interessen des Klägers dient. Weiterhin ist zu berücksichtigen, dass Anhaltspunkte für eine Rechtsverletzung nicht bestehen. Der Senat hält daher einen Wert von 500 € für angemessen (vgl. z.B. OLG Köln ZD 2018, 268; OLG Köln ZD 2019, 463)
5. Einer Entscheidung nach § 522 II ZPO steht auch nicht ein etwaiger Revisionszulassungsgrund der Divergenz oder der grundsätzlichen Bedeutung entgegen. Soweit das LAG Niedersachen (NZA-RR 2020, 571, Rnr. 46) eine Datenübersendung in elektronischer Form als zur Erfüllung ungeeignet ansieht, kann dies eine Revisionszulassung nicht begründen.
Eine Rechtssache hat grundsätzliche Bedeutung, wenn sie eine entscheidungserhebliche, klärungsbedürftige und klärungsfähige Rechtsfrage aufwirft, die sich in einer Vielzahl von Fällen stellen kann und deswegen das abstrakte Interesse der Allgemeinheit an der einheitlichen Entwicklung und Handhabung des Rechts berührt, d.h. allgemein von Bedeutung ist (st Rspr; BGH NJW 2002, 3029). Klärungsbedürftig in diesem Sinne ist eine Rechtsfrage, wenn sie vom BGH nicht entschieden und von Oberlandesgerichten oder in der Literatur unterschiedlich beantwortet wird (BGH NZG 2010, 625 Rn. 3; DStR 2014, 383 Rn. 2). Der Klärungsbedarf entfällt, wenn abweichende Ansichten im Schrifttum vereinzelt geblieben und nicht oder nicht nachvollziehbar begründet sind (NZG 2024, 249 Rn. 9; BGH NZG 2010, 625). So verhält es sich hier.
Den Volltext der Entscheidung finden Sie hier: