Skip to content

BGH: Verfahren über Reichweite des Auskunftsanspruchs aus Art. 15 DSGVO wird bis zur Entscheidung des EuGH in den Verfahren C-487/21 bzw. C-307/22 nach § 148 ZPO analog ausgesetzt

BGH
Beschluss vom 31.05.2022
VI ZR 223/21


Der BGH hat ein Verfahren über die Reichweite des Auskunftsanspruchs aus Art. 15 DSGVO bis zur Entscheidung des EuGH in den Verfahren C-487/21 bzw. C-307/22 nach § 148 ZPO analog ausgesetzt.

Aus den Entscheidungsgründen:
Die Parteien streiten, soweit im Revisionsverfahren noch relevant, über den Regelungsgehalt von Art. 15 Abs. 3 Satz 1 DS-GVO. Die Klägerin hatte im Jahr 2004 bei der Beklagten eine fondsgebundene Rentenversicherung abgeschlossen, die im Jahr 2016 gekündigt und im Jahr 2017 abgerechnet worden war. Im April 2019 machte die Klägerin auf der Grundlage von Art. 15 Abs. 1 DS-GVO Auskunftsrechte geltend. Die Beklagte erteilte diverse Auskünfte und übersandte eine Kopie des Versicherungsantrags. Die Klägerin verlangte daraufhin die Erteilung weiterer Auskünfte sowie die Herausgabe von Abschriften bzw. Kopien der jeweiligen Dokumente, die personenbezogene Daten von ihr enthielten. Das Landgericht hat die Klage abgewiesen. Das Berufungsgericht hat die Beklagte zur Erteilung weiterer Auskünfte verurteilt, den Antrag auf Übermittlung von Kopien der jeweiligen, die personenbezogenen Daten der Klägerin enthaltenden Dokumente jedoch abgewiesen. Der Anspruch auf Erteilung einer Kopie aus Art. 15 Abs. 3 Satz 1 DS-GVO gehe nicht weiter als der Auskunftsanspruch aus Art. 15 Abs. 1 DS-GVO. Es sei daher ausreichend, die in Art. 15 Abs. 1
DS-GVO genannten Angaben in Kopie zu übermitteln. Mit ihrer vom Berufungsgericht hinsichtlich des Anspruchs auf Erteilung von Abschriften und Kopien zugelassenen Revision verfolgt die Klägerin ihren Herausgabeanspruch aus Art. 15 Abs. 3 Satz 1 DS-GVO weiter.

II. Das vorliegende Verfahren ist gemäß § 148 ZPO analog bis zu der Entscheidung des Gerichtshofs der Europäischen Union (im Folgenden: Gerichtshof) in den dort anhängigen Verfahren C-487/21 bzw. C-307/22 auszusetzen.

1. Das Österreichische Bundesverwaltungsgericht hat durch Beschluss vom 9. August 2021 (W211 2222613-2; ECLI:AT:BVWG:2021: W211.2222613.2.00; Rs. C-487/21; ABl. EU C 431 vom 25. Oktober 2021 S. 8 f.) dem Gerichtshof u.a. folgende Fragen zur Vorabentscheidung gemäß Art. 267 AEUV vorgelegt:

1. Ist der Begriff der "Kopie" in Art. 15 Abs. 3 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, ABl L 119/1 vom 4. Mai 2016, S. 1; im Folgenden: "DS-GVO") dahingehend auszulegen, dass damit eine Fotokopie bzw. ein Faksimile oder eine elektronische Kopie eines (elektronischen) Datums gemeint ist, oder fällt dem Begriffsverständnis deutscher, französischer und englischer Wörterbücher folgend unter den Begriff auch eine "Abschrift", un "double" ("duplicata") oder ein "transcript"?

2. Ist Art. 15 Abs. 3 Satz 1 DS-GVO, wonach "der Verantwortliche eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind", zur Verfügung stellt, dahingehend auszulegen, dass darin ein allgemeiner Rechtsanspruch einer betroffenen Person auf Ausfolgung einer Kopie - auch - gesamter Dokumente enthalten ist, in denen personenbezogene Daten der betroffenen Person verarbeitet werden, bzw. auf Ausfolgung einer Kopie eines Datenbankauszuges bei Verarbeitung der personenbezogenen Daten in einer solchen, oder besteht damit - nur - ein Rechtsanspruch für die betroffene Person auf originalgetreue Reproduktion der nach Art. 15 Abs. 1 DS-GVO zu beauskunftenden personenbezogenen Daten?

3. Für den Fall, dass die Frage 2. dahingehend beantwortet wird, dass nur ein Rechtsanspruch für die betroffene Person auf originalgetreue Reproduktion der nach Art. 15 Abs. 1 DS-GVO zu beauskunftenden personenbezogenen Daten besteht, ist Art. 15 Abs. 3 Satz 1 DS-GVO dahingehend auszulegen, dass es bedingt durch die Art der verarbeiteten Daten (zum Beispiel in Bezug auf die im Erwägungsgrund 63 angeführten Diagnosen, Untersuchungsergebnisse, Befunde oder auch Unterlagen im Zusammenhang mit einer Prüfung im Sinne des Urteils des Gerichtshofs der Europäischen Union vom 20. Dezember 2017, C-434/16, ECLI:EU:C:2017:994) und das Transparenzgebot in Art. 12 Abs. 1 DS-GVO im Einzelfall dennoch erforderlich sein kann, auch Textpassagen oder ganze Dokumente der betroffenen Person zur Verfügung zu stellen?

2. Der erkennende Senat hat dem Gerichtshof durch Beschluss vom 29. März 2022 - VI ZR 1352/20 (DB 2022, 1249; Rs. C-307/22) unter Ziff. 3 folgende Frage zur Vorabentscheidung vorgelegt:

Umfasst der Anspruch aus Art. 15 Abs. 3 Satz 1 DS-GVO im Arzt-Patienten-Verhältnis einen Anspruch auf Überlassung von Kopien aller die personenbezogenen Daten des Patienten enthaltenden Teile der Patientenakte oder ist er nur auf Herausgabe einer Kopie der personenbezogenen Daten des Patienten als solche gerichtet, wobei es dem datenverarbeitenden Arzt überlassen bleibt, in welcher Weise er dem betroffenen Patienten
die Daten zusammenstellt?

3. Diese Fragen sind auch im vorliegenden Fall entscheidungserheblich.
Die Parteien streiten darüber, ob sich aus Art. 15 Abs. 3 Satz 1 DS-GVO (lediglich) ein Anspruch auf eine Kopie der nach Art. 15 Abs. 1 DS-GVO zu beauskunftenden Daten oder ein Anspruch auf Herausgabe von Kopien der diese Daten enthaltenden Dokumente ergibt.

4. Aufgrund der Entscheidungserheblichkeit der oben unter II. 1 und 2 genannten Fragen kann der Senat in dieser Sache unter Beachtung seiner in Art. 267 Abs. 3 AEUV enthaltenen Vorlageverpflichtung keine abschließende Sachentscheidung treffen. Eine Vorlage auch dieses Verfahrens an den Gerichtshof würde jedoch dort nicht zu einer schnelleren Beantwortung der maßgeblichen Rechtsfrage führen. Im Gegenteil würde die Funktion des Gerichtshofs im Vorabentscheidungsverfahren beeinträchtigt, wenn die gleiche Rechtsfrage
mehrfach vorgelegt würde. Das Vorabentscheidungsverfahren nach Art. 267 AEUV stellt ein grundlegendes Instrument dar, um den Grundsatz des Vorrangs des Unionsrechts vor nationalem Recht zu verwirklichen und die einheitliche Anwendung des Unionsrechts in allen Mitgliedstaaten zu gewährleisten. Die verbindliche Auslegung des Unionsrechts ist dem Gerichtshof vorbehalten. Da der Gerichtshof aber kein Rechtsmittelgericht für sämtliche mitgliedschaftlichen Verfahren darstellt, genügt es, wenn dort über die klärungsbedürftige Rechtsfrage in den bereits anhängigen Verfahren verhandelt und entschieden wird (vgl. BGH, Beschluss vom 24. Januar 2012 - VIII ZR 236/10, RIW 2012, 405, juris Rn. 8 mwN).

5. Der Senat hält es daher für angemessen, das vorliegende Verfahren gemäß § 148 ZPO analog wegen Vorgreiflichkeit der beim Gerichtshof anhängigen Vorlageverfahren auszusetzen (zur Zulässigkeit dieser Vorgehensweise vgl. BGH, aaO Rn. 9 mwN).



Den Volltext der Entscheidung finden Sie hier:


OLG Köln: Auskunftsanspruch aus Art. 15 DSGVO ist nicht teleologisch einschränkend auszulegen und kann nicht nur aus Gründen gemäß Erwägungsgrund 63 der DSGVO geltend gemacht werden

OLG Köln
Urteil vom 22.05.2022
20 U 198/21


Das OLG Köln hat entschieden, dass der Auskunftsanspruch aus Art. 15 DSGVO nicht teleologisch einschränkend auszulegen ist und nicht nur aus Gründen gemäß Erwägungsgrund 63 der DSGVO geltend gemacht werden kann.

Aus den Entscheidungsgründen:
bb. Der Auskunftsanspruch ergibt sich jedoch – wovon das Landgericht zutreffend ausgegangen ist - aus Art. 15 Abs. 1, 3 DS-GVO.

Nach Art. 15 Abs. 1 DS-GVO hat jede betroffene Person, nach Art. 4 Nr. 1 DS-GVO also jede durch personenbezogene Daten identifizierbare oder identifizierte Person, das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie u. a. ein Recht auf Auskunft über diese personenbezogenen Daten. Gemäß Art. 15 Abs. 3 DS-GVO hat der Verantwortliche eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung zu stellen.

Der Begriff der „personenbezogenen Daten“ nach Art. 4 DS-GVO ist dabei weit gefasst (BGH, Urteil vom 15.06.2021, Az. VI ZR 576/19 – zitiert nach juris; vgl. dazu auch unser Urteil vom 26.07.2019 in der Sache 20 U 75/18). Er ist insbesondere nicht auf sensible oder private Informationen beschränkt, sondern umfasst potenziell alle Arten von Informationen sowohl objektiver als auch subjektiver Natur unter der Voraussetzung, dass es sich um Informationen über die in Rede stehende Person handelt (BGH, Urteil vom 15.06.2021, Az. VI ZR 576/19 – zitiert nach juris). Die letztgenannte Voraussetzung ist erfüllt, wenn die Information aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer bestimmten Person verknüpft ist (BGH, Urteil vom 15.06.2021, Az. VI ZR 576/19 – zitiert nach juris). Nicht erforderlich ist, dass es sich um „signifikante biografische Informationen“ handelt, die „im Vordergrund“ des fraglichen Dokuments stehen (BGH, Urteil vom 15.06.2021, Az. VI ZR 576/19 – zitiert nach juris).

Der BGH hat im Rahmen seines Urteils vom 15.06.2021 (Az. VI ZR 576/19 – zitiert nach juris) ausdrücklich klargestellt, dass insbesondere weder Daten des Versicherungsscheins noch die zurückliegende Korrespondenz von Versicherungsnehmer und Versicherer kategorisch vom Anwendungsbericht des Art. 15 DS-GVO ausgeschlossen sind. Die Schreiben des Versicherers an den Versicherungsnehmer sollen dem Auskunftsanspruch vielmehr insoweit unterfallen, als sie Informationen über den Versicherungsnehmer nach den dargestellten Kriterien enthalten.

Im vorliegenden Fall begehrt die Klägerin Auskunft über die Höhe der Beitragserhöhungen in den Jahren 2011 bis 2016 unter Benennung der jeweiligen Tarife durch Zurverfügungstellung der hierzu übermittelten Informationen in Form von Anschreiben, Nachträgen zum Versicherungsschein sowie der zum Zwecke der Beitragserhöhungen übermittelten Begründungen sowie Beiblätter.

Unproblematisch mit der Person des Versicherungsnehmers verknüpft sind die Nachträge zu dem Versicherungsschein; denn aus diesen ergibt sich, in welchem Inhalt und zu welchen Konditionen für den Versicherungsnehmer bei dem Versicherer Versicherungsschutz besteht.

Auch die hierzu übersandten Anschreiben weisen die erforderliche Verknüpfung auf; denn regelmäßig ergibt sich aus diesen (anderes trägt auch die Beklagte nicht vor), dass der Versicherungsnehmer unter einem bestimmten Datum von einer Änderung in Bezug auf seinen Versicherungsvertrag in Kenntnis gesetzt worden ist. Sie stellen regelmäßig zugleich Begründungsschreiben nach § 203 Abs. 5 VVG dar, für die die Verknüpfung daraus folgt, dass diesen zu entnehmen ist, dass und inwieweit Änderungen aus welchen Gründen in einem für den Versicherungsnehmer bestehenden Tarif erfolgt sind.

Die erforderliche Verknüpfung ist schließlich auch für mit den Begründungsschreiben etwa auch übermittelte Beiblätter zu bejahen. Regelmäßig enthalten die Beiblätter zwar – wie die Beklagte vorträgt und wie dem Senat aus zahlreichen Verfahren aus eigener Anschauung bekannt ist – keine konkret auf den Vertrag des jeweiligen Versicherungsnehmers oder dessen Person bezogene Informationen. Diese werden vielmehr identisch einer unbestimmten Vielzahl von Versicherungsnehmern übersandt. Die erforderliche Verknüpfung ergibt sich aber aus dem Umstand, dass diese Beiblatt zu dem jeweiligen Begründungsschreiben waren und damit Teil der mitgeteilten Begründung – hinreichend oder nicht – für die Beitragsanpassung sind. Dies gilt vor allem – aber nicht nur dann – wenn die Beiblätter in dem jeweiligen Anpassungsschreiben ausdrücklich in Bezug genommen werden.

Ob die entsprechenden Informationen dem Versicherungsnehmer bereits bekannt sind (was hier unterstellt werden kann, da die ursprüngliche Übersendung durch die Klägerin nicht bestritten wird) und ob dieser die Unterlagen noch hat oder entschuldbar nicht mehr hat, ist insoweit irrelevant. Denn der BGH hat klargestellt, dass der Umstand, dass Schreiben dem Versicherungsnehmer bekannt sind, den datenschutzrechtlichen Auskunftsanspruch nicht ausschließt (Urteil vom 15.06.2021, Az. VI ZR 576/19 – zitiert nach juris). Dieser könne auch wiederholt Auskunft verlangen.

Soweit die Beklagte meint, jedenfalls nur Kopien der bezogenen Daten, die Gegenstand der Verarbeitung seien, zur Verfügung stellen zu müssen, nicht aber Kopien der betreffenden Akten oder Unterlagen, erschließt sich auf der Grundlage ihres Vortrags schon nicht, wie eine Zurverfügungstellung von Kopien der hier streitgegenständlichen Daten ihrerseits – wenn nicht durch eine Kopie der Unterlagen – erfolgen soll. Die bloße Mitteilung jedenfalls, dass es ein Anpassungsschreiben mit Beiblatt gab, ist zur Erfüllung des Auskunftsanspruchs ersichtlich nicht geeignet.

Zwar wird ein Anspruch auf Herausgabe von Kopien von Unterlagen zum Teil (vgl. etwa OLG Stuttgart, Urt. v. 16.6.2021 – 7 U 325/20) mit der Begründung verneint, nach dem Wortlaut von Art. 15 Abs. 3 S. 1 DS-GVO habe die betroffene Person einen Anspruch nur auf die Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung seien. Der Senat teilt indes die Auffassung des OLG München (Urteil vom 04.10.2021, Az. 3 U 3906/29 - zitiert nach juris; so auch Schmidt-Wudy in: BeckOK Datenschutzrecht, 39. Edition, Stand 01.11.2021, Art, 15 Rn. 85 m.w.N.; Koreng, NJW 2021, 2692), wonach der Begriff der Datenkopie i.S.v. Art. 15 Abs. 3 DS-GVO, der einen eigenständigen Anspruch neben Art. 15 DS-GVO beinhaltet, extensiv auszulegen ist. Folge ist, dass der betroffenen Person von der speichernden Stelle sämtliche von ihm gespeicherten personenbezogenen Daten in der bei ihm vorliegenden Rohfassung als Kopie zu übermitteln sind. Die Urteile des EuGH vom 17.07.2014, Az. C-141/12 und C-372/12 (zitiert nach juris) können zur Begründung der gegenteiligen Auffassung der Beklagten schon deshalb nicht herangezogen werden, weil diese nicht zu Art. 15 DS-GVO, sondern zur Vorgängerregelung in RL 95/46/EG ergangen sind.

Die Geltendmachung eines auf Art. 15 DS-GVO gestützten Auskunftsanspruchs in Fällen wie dem vorliegenden ist auch nicht als rechtsmissbräuchlich, § 242 BGB, zu bewerten.

Richtig ist, dass das Auskunftsrecht der betroffenen Person hinsichtlich der sie betreffenden personenbezogenen Daten dem Zweck dient, sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können (vgl. Erwägungsgrund 63 zur DS-GVO). Es mag unterstellt werden, dass es der Klägerin im vorliegenden Fall im Ergebnis nicht, jedenfalls nicht primär, um den Schutz ihrer Daten geht, sondern um die Vorbereitung vermögensrechtlicher Ansprüche. Der Geltendmachung eines auf Art. 15 DS-GVO gestützten Auskunftsanspruchs steht dies jedoch nicht entgegen. Entsprechendes kann insbesondere nicht der Entscheidung des BGH vom 15.06.2021 (Az. VI ZR 576/19) entnommen werden. Eine Festlegung dazu, ob ein datenschutzrechtlicher Auskunftsanspruch auch besteht, wenn ein Versicherungsnehmer Zwecke verfolgt, die Art. 15 Abs. 1 DS-GVO nicht schützt, ist dort gerade nicht erfolgt.

In Rechtsprechung und Literatur ist die Frage umstritten.

Das OLG München (Hinweisbeschluss vom 24.11.2021, Az. 14 U 6205/21; so sowohl im Ergebnis als auch in der Begründung auch OLG Hamm, Beschluss vom 15.11.2021, Az. 20 U 269/21) etwa hat einen Auskunftsanspruch in einem ähnlich gelagerten Fall (auch) mit der Begründung abgewiesen, dass Sinn und Zweck von Art. 15 Abs. 3 DS-GVO nicht sei, die büromäßig strukturierte Aufarbeitung von Unterlagen des Versicherungsnehmers für diesen durch den Versicherer mit dem Ziel, dem Versicherungsnehmer anschließend die Geltendmachung vermögensrechtlicher Ansprüche zu ermöglichen, wenn er seine Unterlagen nicht aufbewahrt habe.

Nach Auffassung des erkennenden Senats ist eine entsprechende teleologische Einschränkung jedoch nicht vorzunehmen (vgl. bereits das Urteil vom 26.07.2019 in der Sache 20 U 75/18). Daraus, dass Zweck von Art. 15 DS-GVO ist, die Rechtmäßigkeit der Verarbeitung der personenbezogenen Daten sicherzustellen und dem Betroffenen die Durchsetzung der hierzu in der DS-GVO vorgesehenen Rechte zu ermöglichen, folgt keineswegs zwingend , dass der Anspruch auch nur zu diesem Zwecke ausgeübt werden darf. Der Senat teilt vielmehr die ihn überzeugende Auffassung von Bäcker (in: Kühling/Buchner, DS-GVO BDSG, 3. Auflage 2020, Art. 15 Rn. 42d; so auch Wälder, r+s 2021, 98; Schmidt-Wudy in: BeckOK Datenschutzrecht, 39. Edition, Stand 01.11.2021, Art, 15 Rn. 85 ff. m.w.N.), der ausführt, dass sich die Funktion von Art. 15 DS-GVO nicht in einer solchen datenschutzinternen Nutzung der erlangten Informationen erschöpfe. Vielmehr bezwecke die Verordnung insgesamt den Schutz der Rechte und Freiheiten der Person gegen Beeinträchtigungen und Gefährdungen durch Verarbeitungen personenbezogener Daten. Nutze die betroffene Person ihr Recht auf eine Datenkopie, um Informationsasymmetrien zwischen sich und dem Verantwortlichen abzubauen und so ihre Rechte und Freiheiten zu wahren, so sei dies ein legitimes und rechtlich anzuerkennendes Ziel. Dabei komme es nicht darauf an, ob diese Rechte und Freiheiten selbst im Datenschutzrecht oder in einer anderen Teilordnung des Rechts verankert seien. Unbedenklich und grundsätzlich zu erfüllen sei darum etwa ein Kopieersuchen, mit dem die betroffene Person sich Informationen zur Vorbereitung eines Gerichtsverfahrens gegen den Verantwortlichen, in dem sie datenschutzexterne Ansprüche geltend machen will, beschaffen wolle.

Angemerkt sei darüber hinaus, dass es nach Auffassung des Senats ohnehin kaum je auszuschließen sein wird, dass es dem Versicherungsnehmer zumindest auch um den Schutz seiner Daten geht. Auch vor diesem Hintergrund erscheint es als nicht sinnvoll, das Bestehen des Auskunftsanspruchs nach der DS-GVO von einer entsprechenden – nicht überprüfbaren – Behauptung zur inneren Motivation des jeweiligen Anspruchstellers abhängig zu machen.

Unter Zugrundelegung dessen ist die Beklagte auch nicht berechtigt, die Auskunft nach Art. 12 Abs. 5 S. 2 DS-GVO zu verweigern. Denn der Antrag stellt sich nicht allein deshalb als exzessiv dar, weil es der Klägerin nicht primär um die Wahrung ihrer Rechte aus der DS-GVO gehen mag. Für eine Schikane oder ein in unangemessen kurzen Abständen wiederkehrendes Auskunftsersuchen ist ebenfalls nichts ersichtlich. Ob das Ansinnen der Beklagten, die Überprüfung der Rechtmäßigkeit der von ihr gestellten Beitragsforderungen durch ihren Versicherungsnehmer durch die Nichtherausgabe gespeicherter Unterlagen nach Möglichkeit zu erschweren, vor dem Hintergrund vertraglicher Fürsorgepflichten schutzwürdig ist, mag dahinstehen.

Die Beklagte kann all dem schließlich auch nicht entgegenhalten, der Auskunftsantrag sei auf Ausforschung gerichtet und widerspreche daher dem zivilprozessualen Beibringungsgrundsatz. Denn vorliegend geht es nicht um die Frage der Substantiierung und Darlegungslast im Zivilprozess, sondern um das Bestehen eines materiell-rechtlichen Auskunftsanspruchs.

Der Anspruch ist entgegen der Annahme der Beklagten auch nicht durch Erfüllung erloschen. Erteilt hat die Beklagte als Anlage C 22 (Bl. 582 d.A.) zur Berufungsbegründung zwar nunmehr Auskunft zur Beitragshöhe in den jeweiligen Tarifen. Hierdurch ist indes keine, auch keine teilweise Erfüllung eingetreten ist, weil sich aus den tabellarischen Übersichten nur die Höhe der im jeweiligen Tarif insgesamt zu entrichtenden Beiträge, nicht aber der jeweilige Erhöhungsbetrag ersehen lässt. Dieser lässt sich auch nicht in allen Fällen errechnen, weil etwa der Beitrag für das Jahr 2010 als Ausgangswert nicht angegeben ist.

Der auf Art. 15 DS-GVO gestützte Auskunftsanspruch ist schließlich auch nicht verjährt. Eine Verjährung könnte hier frühestens mit der Löschung der gespeicherten Daten beginnen, die die Beklagte jedoch selbst nicht behauptet. Darauf, ob Zahlungsansprüche, die mit Hilfe der erteilten Auskünften substantiiert werden könnten, verjährt wären, kommt es für den datenschutzrechtlichen Auskunftsanspruch nicht an.


Den Volltext der Entscheidung finden Sie hier:

BGH legt EuGH vor: Anspruch gegen Arzt auf kostenfreie Zurverfügungstellung der Patientenakte nach Art. 15 Abs. 3 DSGVO und Möglichkeit der Beschränkung nach § 630g Abs. 2 Satz 2 BGB

BGH
Beschluss vom 29.03.2022
VI ZR 1352/20
Verordnung (EU) 2016/679 Art. 12 Abs. 5, Art. 15 Abs. 3 Satz 1, Art. 23 Abs. 1; BGB § 630g Abs. 2 Satz 2


Der BGH hat dem EuGH zur Vorabentscheidung vorgelegt, ob bzw. in welchem Umfang der Anspruch des Patienten gegen seinen Arzt auf kostenfreie Zurverfügungstellung der in der Patientenakte gespeicherten personenbezogenen Daten nach Art. 15 Abs. 3 DSGVO durch § 630g Abs. 2 Satz 2 BGB beschränkt ist.

Leitsatz des BGH:
Vorlagefragen an den Gerichtshof der Europäischen Union zur Auslegung von Art. 15 Abs. 3 Satz 1 i.V.m. Art. 12 Abs. 5 und Art. 23 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, DS-GVO, ABl. EU L 119 vom 4. Mai 2016 S. 1) bezüglich der Reichweite des unionsrechtlichen Anspruchs des Patienten gegen den behandelnden Arzt auf kostenfreie Zurverfügungstellung einer ersten Kopie seiner in der Patientenakte verarbeiteten personenbezogenen Daten und der Möglichkeit einer Beschränkung dieses Anspruchs durch § 630g Abs. 2 Satz 2 BGB.

BGH, Beschluss vom 29. März 2022 - VI ZR 1352/20 - LG Dessau-Roßlau - AG Köthen

Den Volltext der Entscheidung finden Sie hier:


OLG Nürnberg: Rechtsmissbrauch wenn Auskunft gemäß Art. 15 DSGVO nicht aus den in Erwägungsgrund 63 der DSGVO genannten Gründen verlangt wird

OLG Nürnberg
Urteil vom 14.03.2022
8 U 2907/21


Auch das OLG Nürnberg hat entschieden, dass Rechtsmissbrauch vorliegt, wenn Auskunft gemäß Art. 15 DSGVO nicht aus den in Erwägungsgrund 63 der DSGVO genannten Gründen verlangt wird.

Aus den Entscheidungsgründen:
(4) Der geltend gemachte Auskunftsanspruch ergibt sich schließlich auch nicht aus Art. 15 Abs. 1 DS-GVO. Denn der Beklagten steht ein Weigerungsrecht aus Art. 12 Abs. 5 Satz 2 lit. b) DS-GVO zu. Die Vorschrift führt zwar lediglich die häufige Wiederholung als Beispiel für einen „exzessiven“ Antrag auf. Die Verwendung des Wortes „insbesondere“ macht aber deutlich, dass die Vorschrift auch andere rechtsmissbräuchliche Anträge erfassen will (vgl. Heckmann/Paschke in: Ehmann/Selmayr, Datenschutz-Grundverordnung, 2. Aufl., Art. 12 Rn. 43; Paal/Hennemann in: Paal/Pauly, DS-GVO BDSG, 3. Aufl., Art. 12 DS-GVO Rn. 66 m.w.N.).

Bei der Auslegung, was in diesem Sinne rechtsmissbräuchlich ist, ist auch der Schutzzweck der DS-GVO zu berücksichtigen. Wie sich aus dem Erwägungsgrund 63 der Verordnung ergibt, ist Sinn und Zweck des in Art. 15 DS-GVO normierten Auskunftsrechts, es der betroffenen Person problemlos und in angemessenen Abständen zu ermöglichen, sich der Verarbeitung der sie betreffenden personenbezogenen Daten bewusst zu werden und die Rechtmäßigkeit dieser Verarbeitung überprüfen zu können (vgl. auch BGH, Urteil vom 15.06.2021 - VI ZR 576/19, VersR 2021, 1019 Rn. 23). Um ein solches Bewusstwerden zum Zweck einer Überprüfung der datenschutzrechtlichen Zulässigkeit der Verarbeitung personenbezogener Daten geht es dem Kläger aber ersichtlich nicht. Sinn und Zweck der von ihm begehrten Auskunftserteilung ist vielmehr - wie sich aus der Koppelung mit den unzulässigen Klageanträgen auf Feststellung und Zahlung zweifelsfrei ergibt - ausschließlich die Überprüfung etwaiger von der Beklagten vorgenommener Prämienanpassungen wegen möglicher formeller Mängel nach § 203 Abs. 5 WG. Eine solche Vorgehensweise ist vom Schutzzweck der DS-GVO aber nicht umfasst (vgl. OLG Hamm, BeckRS 2021,40312 Rn. 11; LG Wuppertal, r+s 2021, 696 Rn. 33).

(5) Auch soweit die Beklagte als Versicherer gesetzlich zur Aufbewahrung von Unterlagen verpflichtet ist, folgt daraus kein Auskunftsanspruch des Klägers. Denn der Gesetzgeber verfolgt mit der Aufbewahrungspflicht kein Anliegen des Versicherungsnehmers, insbesondere soll sie dem jeweiligen Geschäftsgegner nicht die spätere Durchsetzung eigener Rechte ermöglichen (vgl. OLG München, r+s 2022, 94 Rn. 52).


BGH: Auskunftsanspruch aus Art. 15 DSGVO kann durch datenschutzrechtlich geschützte Interessen Dritter eingeschränkt sein - Abwägung des Einzelfalls

BGH
Urteil vom 22.02.2022
VI ZR 14/21
DS-GVO Art. 15 Abs. 1 Halbsatz 2 lit. g


Der BGH hat entschieden, dass der Auskunftsanspruch aus Art. 15 DSGVO durch datenschutzrechtlich geschützte Interessen Dritter eingeschränkt sein kann. Insofern ist eine Abwägung des Einzelfalls erforderlich.

Leitsatz des BGH:
Zur Beschränkung des Auskunftsrechts über die Herkunft von Daten gemäß Art. 15 Abs. 1 Halbsatz 2 lit. g DS-GVO durch datenschutzrechtlich geschützte Interessen Dritter.

BGH, Urteil vom 22. Februar 2022 - VI ZR 14/21 - OLG Stuttgart - LG Ravensburg

Den Volltext der Entscheidung finden Sie hier:


OLG Schleswig-Holstein: Instagram muss dem Geschädigten bei Persönlichkeitsrechtsverletzung Auskunft über E-Mail und Telefonnummer des Nutzers geben

OLG Schleswig-Holstein
Beschluss vom 23.03.2022
9 Wx 23/21


Das OLG Schleswig-Holstein hat entschieden, dass Instagram dem Geschädigten bei einer Persönlichkeitsrechtsverletzung Auskunft über E-Mail-Adresse und Telefonnummer des Nutzers geben muss.

Die Pressemitteilung des Gerichts:
Auskunftsanspruch gegen Betreiberin einer Social-Media-Plattform bei Verletzung des Persönlichkeitsrechts

Die Betreiberin der Plattform www.instagram.com ist verpflichtet, über den Namen, die E-Mail-Adresse und die Telefonnummer eines Nutzers Auskunft zu erteilen, wenn durch den Inhalt des Nutzer-Accounts eine strafrechtlich relevante Verletzung des allgemeinen Persönlichkeitsrechts erfolgt. Dem Auskunftsantrag einer verletzten Person hat der 9. Zivilsenat des Schleswig-Holsteinischen Oberlandesgerichts in dieser Woche stattgegeben.

Zum Sachverhalt: Eine der Antragstellerin unbekannte Person eröffnete zu einem unbekannten Zeitpunkt einen Account auf der Social-Media-Plattform „Instagram“ mit einem Nutzernamen, der den Vornamen der Antragstellerin und die Angabe „wurde gehackt“ enthielt. In den Account wurden Bilder eingestellt, die eine lediglich mit Unterwäsche bekleidete junge Frau zeigten, deren Gesicht jeweils durch ein Smartphone verdeckt war. Auf den Fotos waren Äußerungen zu lesen, die den Eindruck erweckten, die abgebildete Person sei an einer Vielzahl von sexuellen Kontakten interessiert. Nachdem die Antragstellerin von anderen Personen erkannt und auf den Inhalt des Accounts angesprochen worden war, meldete sie das Konto bei der Plattformbetreiberin und es wurde gesperrt. Das Landgericht hat ihren Antrag, Auskunft über die Nutzungsdaten zu erteilen, abgelehnt. Die gegen diese Ablehnung gerichtete Beschwerde vor dem 9. Zivilsenat des Oberlandesgerichts hatte im Hinblick auf den Namen, die E-Mail-Adresse und die Telefonnummer des Nutzers Erfolg.

Aus den Gründen: Die Antragstellerin hat einen Anspruch auf Auskunftserteilung über Bestandsdaten gegenüber der Betreiberin der Social-Media-Plattform „Instagram“ nach § 21 Abs. 2, Abs. 3 Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG). Ein solcher Auskunftsanspruch besteht, soweit die Auskunft zur Durchsetzung zivilrechtlicher Ansprüche wegen der Verletzung absolut geschützter Rechte aufgrund rechtswidriger Inhalte erforderlich ist. Vorliegend erfüllen die Schaffung des Fake-Accounts und das Einstellen der Fotos mit Kommentaren im Zusammenhang gesehen den Tatbestand der Beleidigung im Sinne des § 185 StGB. Durch das Erstellen des Fake-Accounts und Hochladen der Fotos nebst Kommentaren wird suggeriert, die Antragstellerin wolle sich auf diese Weise zur Schau stellen und den Besuchern der Seite ihr sexuelles Interesse mitteilen. Dadurch, dass ihr diese unsittliche Verhaltensweise zugeordnet wird, wird der soziale Geltungswert der Antragstellerin gemindert. Dies stellt eine Beleidigung im Sinne des § 185 StGB dar. Um ihre Rechte gegenüber dem unbekannten Ersteller des Fake-Accounts zivilrechtlich geltend machen zu können, ist die Antragstellerin auf die Auskunft der Betreiberin der Plattform angewiesen. Eine andere Möglichkeit, den Ersteller des Nutzerkontos zu ermitteln, hat sie nicht.

(Schleswig-Holsteinisches Oberlandesgericht, Beschluss vom 23.03.2022, Az. 9 Wx 23/21).


LAG Berlin-Brandenburg: 2.000 EURO Schadensersatz aus Art. 82 DSGVO wegen verspäteter oder unvollständiger Auskunft nach Art. 15 DSGVO

LAG Berlin-Brandenburg
Urteil vom 18.11.2021
10 Sa 443/21

Das LAG Berlin-Brandenburg hat dem Betroffenen in diesem Fall 2.000 EURO Schadensersatz aus Art. 82 DSGVO wegen verspäteter bzw. unvollständiger Auskunft nach Art. 15 DSGVO zugesprochen.

Aus den Entscheidungsgründen:
Die Berufung des Klägers ist aber nur teilweise begründet.

Zutreffend hat die Beklagte in der Berufungserwiderung die jeweiligen Prüffragen für den geltend gemachten Anspruch aufgeworfen.

1. Liegt ein Verstoß gegen Art. 15 DSGVO vor?
2. Ist die Beklagte für einen etwaigen Verstoß verantwortlich?
3. Ist beim Kläger ein Schaden entstanden?
4. Gibt es eine Kausalität zwischen einem etwaigen Verstoß der Beklagten gegen Art. 15 Abs. 1 DSGVO und einem etwaigen beim Kläger eingetretenen Schaden?
5. Trifft den Kläger ein etwaiges Mitverschulden bzw. ist der etwaige Anspruch verwirkt oder rechtsmissbräuchlich geltend gemacht?
6. Ist ggf. die geltend gemachte Entschädigungssumme angemessen?

1. Nach Art. 15 Abs. 1 DSGVO hat der Kläger grundsätzlich das Recht, von der Beklagten eine Bestätigung darüber zu verlangen, ob sie ihn betreffende personenbezogene Daten verarbeitet und ggf. auf Auskunft über diese personenbezogenen Daten und u.a. auf folgende Informationen:

a) die Verarbeitungszwecke;
b) die Kategorien personenbezogener Daten, die verarbeitet werden;
c) die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;
d) falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
e) das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
f) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
g) wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;

Diese Informationen hat die Beklagte dem Kläger nur teilweise erteilt.

2. Es mag sein, dass die Beklagte große Mengen Daten über den Kläger verarbeitet hat. Konkrete Angaben dazu hat die Beklagte nicht gemacht. Anders als das Arbeitsgericht meint, ist das in diesem Fall aber auch unerheblich, da der Kläger keine generelle Auskunft hinsichtlich der von der Beklagten über ihn gespeicherten Daten verlangt hat, sondern beschränkt auf zwei Sachverhalte.

2.1 Zum einen ging es um die Anhörung des Betriebsrates und dessen Zustimmung. Durch die Bezugnahme auf Art. 15 DSGVO war aber in jedem Fall klar und eindeutig, dass der Kläger nicht nur um das Anhörungsschreiben der Arbeitgeberin und das Antwortschreiben des Betriebsrates ging, sondern zugleich auch um die in der Vorschrift genannten weiteren Aspekte. Mit der erteilten Auskunft durch Übersendung der beiden Schreiben hat die Beklagte allenfalls die Auskunftspflicht nach Art. 15 Abs. 1 a) und b) DSGVO erfüllt. Den weitergehenden Anspruch nach Buchst. c) bis g) hat die Beklagte mit ihrer Antwort vom 23. August 2019 offensichtlich nicht erfüllt.

Weder hat die Beklagte mitgeteilt, ob und ggf. gegenüber welchen Personen oder Stellen sie den Versetzungsvorgang offengelegt hat oder noch offenlegen werde noch wann bzw. nach welchen Kriterien eine Löschung der Daten erfolgen werde. Auch auf das Bestehen eines Rechts auf Berichtigung oder Löschung der den Kläger betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch die Beklagte oder eines Widerspruchsrechts gegen diese Verarbeitung und das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde hat die Beklagte nicht hingewiesen. Da die Daten offenbar nicht beim Kläger erhoben worden waren, hätte es auch einer Information über die Herkunft der Daten bedurft, also wer jeweils an dem Vorgang beteiligt war.

2.2 Zum anderen ging es um die Abmahnung vom 29. Mai 2019. Auch hier hat die Beklagte durch die Übersendung des Antrags des Herrn A auf Erteilung einer Abmahnung und dem sogenannten Logbuch-Eintrag allenfalls die Auskunftspflicht nach Art. 15 Abs. 1 a) und b) DSGVO erfüllt. Den weitergehenden Anspruch nach Buchst. c) bis g) hat die Beklagte mit ihrer Antwort vom 23. August 2019 auch zu diesem Vorgang offensichtlich nicht erfüllt.

Weder hat die Beklagte mitgeteilt, ob und ggf. gegenüber welchen Personen oder Stellen sie den Abmahnungsvorgang offengelegt hat oder noch offenlegen werde noch wann bzw. nach welchen Kriterien eine Löschung der Daten erfolgen werde. Auch auf das Bestehen eines Rechts auf Berichtigung oder Löschung der den Kläger betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch die Beklagte oder eines Widerspruchsrechts gegen diese Verarbeitung und das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde hat die Beklagte den Kläger nicht hingewiesen. Da die Daten offenbar nicht beim Kläger erhoben worden waren, hätte es auch einer Information über die Herkunft der Daten bedurft, also wer jeweils an dem Vorgang beteiligt war.

3. Dass diese Informationen fehlen, ist offensichtlich. Denn durch einen einfachen Blick in den Text des Art. 15 Abs. 1 DSGVO hätte die Beklagte feststellen können, was der Kläger von ihr verlangt. Insofern ist die Beklagte auch für die unzureichende Information und damit den Verstoß gegen Art. 15 Abs. 1 DSGVO verantwortlich.

4. Wie der Kläger zutreffend ausgeführt hat, liegt bei ihm ein Schaden vor. Unter Bezugnahme auf eine Entscheidung des LAG Niedersachsen vom 22. Oktober 2021 – 16 Sa 761/20 besteht unabhängig von dem Erreichen einer Erheblichkeitsschwelle bei Verstößen gegen Regelungen der DSGVO ein immaterieller Schadensersatzanspruch. Hierbei ist zu berücksichtigen, dass gerade ausgehend von Erwägungsgrund 146 Satz 3 zur DSGVO eine weite Auslegung geboten ist, um den Zielen der Verordnung in vollem Umfang zu entsprechen. Hiermit wäre es unvereinbar, würde eine Schadensersatzpflicht nur bei erheblichen Rechtsverstößen eintreten, da dann eine Vielzahl von Fallgestaltungen denkbar wäre, in denen Betroffene trotz Verstößen gegen die Regelungen der DSGVO keine Kompensation erhielten. Ferner kann, um die Regelungen der DSGVO effektiv durchzusetzen, auch auf eine abschreckende Wirkung des Schadensersatzes abgestellt werden (vgl. EuGH 17. Dezember 2015 – C-407/14 – Rn. 44). Zudem sollen die betroffenen Personen nach Erwägungsgrund 146 Satz 3 einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten. Dass ein Schaden erlitten ist, ergibt sich nicht erst bei Überschreiten einer gewissen Erheblichkeitsschwelle - der Schwere der Pflichtverstöße und damit einhergehenden Beeinträchtigungen kann vielmehr effektiv auf Ebene der Höhe des Schadensersatzes begegnet werden.

Indem die Beklagte ihrer Auskunftsverpflichtung inhaltlich nicht hinreichend nachgekommen ist, hat der Kläger keine ausreichenden Kenntnisse über die Verarbeitung seiner personenbezogenen Daten erlangt. Insofern ist ein Kontrollverlust eingetreten und ihm wurde die Möglichkeit der Überprüfung der Rechtmäßigkeit der Verarbeitung seiner personenbezogenen Daten unmöglich gemacht oder erschwert.

5. Die Kausalität zwischen der unzureichenden Auskunft der Beklagten und der Ungewissheit beim Kläger, welche Daten bei der Beklagten bezüglich der zwei konkret benannten Sachverhalte verarbeitet worden sind, liegt auf der Hand. Es bedurfte keines ergänzenden Auskunftsverlangens, da allein der Blick in den Verordnungstext ausreicht, um die Unvollständigkeit der Auskunft zu erkennen.

6. Der Anspruch des Klägers ist auch nicht verwirkt oder aus anderem Grunde rechtsmissbräuchlich geltend gemacht worden. Zwar ist es ungewöhnlich, dass der Kläger bereits mit der Klageschrift sein Schreiben vom 22. Juli 2019 und das Antwortschreiben der Beklagten vom 23. August 2019 eingereicht hat, ohne diesbezüglich einen Streitgegenstand hinsichtlich Art. 15 DSGVO zu eröffnen. Dadurch mag ein für die Verwirkung erforderliches Zeitmoment zwischen dem 23. August 2019 und dem 21. Dezember 2020 entstanden sein. Ein darüber hinaus erforderliches Umstandsmoment ist jedoch weder vorgetragen noch ersichtlich. Da sich die beiden Schreiben nicht nur mit Art. 15 DSGVO, sondern auch mit der Rückgängigmachung der Versetzung und der Entfernung der Abmahnung aus der Personalakte des Klägers beschäftigten, war es für eine vollständige Sachverhaltsdarstellung erforderlich, diese der Klageschrift beizufügen. Denn in der Klageschrift ging es zunächst (nur) um diese beiden Sachverhalte.

Angesichts des offensichtlich nicht vollständig erfüllten Auskunftsanspruchs bedurfte es entgegen der Ansicht der Beklagten auch keines Hinweises des Klägers, dass der Anspruch mit dem Schreiben vom 23. August 2019 nicht erfüllt sei.

7. Dem Kläger ist in Anbetracht der Pflichtverstöße der Beklagten nach richterlichem Ermessen gem. § 287 Abs. 1 ZPO ein immaterieller Schadensersatz in Höhe von 2.000,-- Euro zuzusprechen.

Die Schadensersatzansprüche sollen, worauf auch das LAG Niedersachsen in dem Urteil vom 22. Oktober 2021 – 16 Sa 761/20 unter Bezugnahme auf Entscheidungen anderer Gerichte hingewiesen hat, generell eine Abschreckungswirkung haben. Unter Berücksichtigung des Erwägungsgrundes 146 Satz 6 zur DSGVO soll die betroffene Person einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten. Verstöße müssen effektiv sanktioniert werden. Schadenersatz bei Datenschutzverstößen sollen eine abschreckende Wirkung haben, um der Datenschutzgrundverordnung zum Durchbruch zu verhelfen.

Gemessen an der Zweckrichtung des Schadensersatzes hält die Kammer unter Berücksichtigung und Abwägung der Umstände des vorliegenden Falls einen immateriellen Schadensersatz in Höhe von 1.000,-- Euro je unvollständig beantwortetem Auskunftsverlangen für angemessen. Hierbei ist zu berücksichtigen, dass die Auskunft der Beklagten offensichtlich unvollständig erfolgte. Auch nach der Klageerweiterung vom 21. Dezember 2020 hat die Beklagte die Auskunft nicht vervollständigt. Durch die unzureichende Auskunft hatte der Kläger keine umfassende Kenntnis über die Verarbeitung seiner personenbezogenen Daten durch die Beklagte bei zwei für ihn nachteiligen Sachverhalten (Versetzung und Abmahnung).

Durch einen Schadenersatz von jeweils 1.000,-- EUR wird ausreichend sichergestellt, dass durch die Zahlung eines spürbaren Betrages der Regelung des Art. 15 DSGVO zur Geltung verholfen wird und die Verpflichteten angehalten werden, die entsprechenden Maßgaben einzuhalten.


Den Volltext der Entscheidung finden Sie hier:



LG Leipzig: Kein Anspruch auf Schadensersatz aus Art. 82 DSGVO bei verspäteter Auskunftserteilung nach Art. 15 DSGVO

LG Leipzig
Urteil vom 23.12.2021
03 O 1268/21


Das LG Leipzig hat entschieden, dass regelmäßig kein Anspruch auf Schadensersatz aus Art. 82 DSGVO bei verspäteter Auskunftserteilung nach Art. 15 DSGVO besteht.

Aus den Entscheidungsgründen:

9. Der Schmerzensgeldanspruch der Beklagten war demgegenüber im Ergebnis nicht zuzusprechen.

Soweit zwischenzeitlich mit Verfügung vom 4.11.2021 eine abweichende Ansicht vertreten wurde, wird hieran nicht festgehalten. Auf diese Möglichkeit wurde im Termin zur Vermeidung eines Überraschungsurteils ausdrücklich hingewiesen.

Nach Art. 82 Abs. 1 DS - GVO hat jede Person, der wegen eines Verstoßes gegen die DS - GVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder den Auftragsverarbeiter. Auszugleichen sind hiernach ausdrücklich auch immaterielle Schäden.

In der Literatur wird unter Geltung der DS - GVO überwiegend für eine Absenkung der Voraussetzungen für die Gewährung immateriellen Schadensersatzes und für eine Verschärfung der Haftung mit deutlich höheren Beträgen gegenüber den bisherigen plädiert. Dies folge aus dem weiten Schadensbegriff der DS - GVO sowie daraus, dass der EuGH bei der Wahl zivilrechtlicher Sanktionen zur Umsetzung von Unionsrecht generell eine abschreckende Wirkung verlange. Insbesondere dürfe der zugesprochene Schadensersatz nicht nur symbolisch sein. Auch dürfe die Gewährung immateriellen Schadensersatzes nicht mehr von einer schwerwiegenden Persönlichkeitsrechtsverletzung abhängig gemacht werden. Die abschreckende Wirkung zivilrechtlicher Sanktionen sei nur zu erreichen, wenn entsprechend hohe Beträge ausgeurteilt würden (vgl. hierzu die Nachweise bei Eichelberger, WRP 2021, 159 ff.).

Hiervon unabhängig kann als gesichert gelten, dass das Unionsrecht die Mitgliedsstaaten grundsätzlich nicht zu überkompensatorischem Schadensersatz verpflichtet.

Allein der Verstoß gegen die DS - GVO reicht für sich genommen noch nicht aus, einen Schadensersatzanspruch auszulösen.

Ohne Schaden gibt es keinen Schadensersatzanspruch (vgl. hierzu Eichelberger a.a.O.). Vielmehr muss dem von einem Datenschutzverstoß Betroffenen ein spürbarer Nachteil entstanden sein. Es muss eine objektiv nachvollziehbare, mit gewissem Gewicht erfolgte, Beeinträchtigung von persönlichkeitsbezogenen Belangen vorliegen. Die Beeinträchtigung muss von einer gewissen Erheblichkeit sein.

Einen normativen Anknüpfungspunkt hierzu gibt die DS - GVO in ihren Erwägungsgründen 75 und 85. Im Anschluss an die beispielhafte Aufzählung möglicher - hier nicht geltend gemachter - Beeinträchtigungen durch Datenschutzverletzungen (Diskriminierung, Identitätsdiebstahl oder - betrug, Rufschädigung, Verlust der Vertraulichkeit von einem Berufsgeheimnis unterliegenden Daten) ist dort ergänzend allgemein von anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen die Rede (vgl. hierzu Eichelberger a.a.O.).

Demzufolge kann die Beklagte keine Entschädigung für eine verspätete Datenauskunft sowie für die bislang noch nicht vollständig erteilte Datenauskunft von der Klägerin beanspruchen.

Allein der Umstand, dass die Beklagte auf die (vollständige) Datenauskunft noch warten muss, kann keinen ersatzfähigen Schaden begründen.

Es muss auch bei einem immateriellen Schaden eine Beeinträchtigung eingetreten sein, die unabhängig von einer Erheblichkeitsschwelle wenigstens spürbar sein muss. Anderenfalls scheidet ein Schaden schon begrifflich aus (so auch LG Bonn, Urteil vom 01.07.2021, Az.: 15 O 372/20).

Die im Erwägungsgrund 75 der DS - GVO genannten immateriellen Nachteile, wie eine Diskriminierung, ein Identitätsdiebstahl, ein Identitätsbetrug, eine Rufschädigung, ein Verlust der Vertraulichkeit oder sonstige gesellschaftliche Nachteile sind der Beklagten durch die Führung der Handakten durch die von ihr beauftragten Rechtsanwälte in den familiengerichtlichen Verfahren unstreitig nicht erwachsen.

Demzufolge scheidet auch die Zusprechung eines Schmerzensgeldes im Streitfall für die bislang nicht erteilte Datenauskunft nach Art. 15 Abs. 3 DS - GVO aus.

Für diese Erkenntnis bedurfte es keiner Vorlage an den EuGH nach Art. 267 Abs. 3 AEUV. Zum einen entscheidet die Kammer nicht als letztinstanzliches, sondern als erstinstanzliches Gericht, wonach eine Verpflichtung zur Vorlage an den EuGH nicht besteht.

Zum anderen stützt die Kammer ihr Verständnis von der Auslegung des Art. 82 Abs. 1 DS - GVO auf den Erwägungsgrund 75 der DS - GVO, mithin auf die europarechtliche Norm selbst. Unabhängig hiervon erscheint es nicht zielführend, dass jedes Instanzgericht bei Entscheidungen auf der Grundlage der DS - GVO den EuGH mit einem Vorabentscheidungsersuchen bemüht. Sinnvoller erscheint es, dass das letztinstanzliche nationale Gericht die Entscheidung der Instanzgerichte zu Art. 82 Abs. 1 DS - GVO sammelt und in deren Auswertung darüber befindet, ob und wenn ja mit welchen Vorlagefragen es den EuGH nach Art. 267 Abs. 3 AEUV bemüht.


Den Volltext der Entscheidung finden Sie hier:


OLG Düsseldorf: 2.000 EURO Schadensersatz aus Art. 82 Abs. 1 DSGVO wenn Krankenkasse Gesundheitsakte an falsche E-Mail-Adresse schickt

OLG Düsseldorf
Urteil vom 28.10.2021
16 U 275/20


Das OLG Düsseldorf hat dem Betroffenen in diesem Fall Schadensersatz aus Art. 82 Abs. 1 DSGVO in Höhe von 2.000 EURO zugesprochen. Die Krankenkasse des Betroffenen hatte die Gesundheitsakte an eine falsche E-Mail-Adresse geschickt. Die Gesundheitsakte war dabei auch nicht verschlüsselt.

Aus den Entscheidungsgründen:

Die zulässige Leistungsklage ist jedoch in der Hauptsache nur im Umfang von 2.000,- € auch begründet.

aa) Aufgrund der vom Zeugen A. an die falsche E-Mail-Adresse versandten Gesundheitsakte der Klägerin hat diese gegen die Beklagte infolge eines durch den fehlerhaften Versand erlittenen immateriellen Schadens einen Anspruch auf Schadensersatz aus Art. 82 Abs. 1 DSGVO. Gemäß Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen die Verordnung ein immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen. Verantwortlich im Sinne von Art. 4 Nr. 7 DSGVO für die Verarbeitung der Gesundheitsdaten der Klägerin ist die Beklagte als deren gesetzliche Krankenkasse.

(1) Es kann dahinstehen, ob Art. 82 Abs. 1 DSGVO für das sozialrechtliche Rechtsverhältnis zwischen der Klägerin und der Beklagten unmittelbar gilt. So kann die sachliche Anwendbarkeit der DSGVO gemäß Art. 2 Abs. 2 a) DSGVO zweifelhaft sein, weil zwar Art. 16 Abs. 2 Satz 1 AEUV eine Gesetzgebungskompetenz der Europäischen Union für den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten begründet, zugleich aber Art. 168 Abs. 7 Satz 1 AEUV die Verantwortung der Mitgliedstaaten für die Festlegung ihrer Gesundheitspolitik und für die Organisation des Gesundheitswesens und die medizinische Versorgung unberührt lässt. Selbst wenn die DSGVO auf das Rechtsverhältnis der Klägerin zu ihrer gesetzlichen Krankenkasse nicht unmittelbar anwendbar sein sollte, so wären ihre Vorschriften gemäß § 35 Abs. 2 Satz 2 SGB I jedenfalls entsprechend anzuwenden (siehe BSG, Urteile vom 20. Januar 2021 – B 1 KR 7/20 R, juris, Rn. 25-28, vom 8. Oktober 2019 – B 1 A 3/19 R, juris, Rn. 37, und vom 18. Dezember 2018 – B 1 KR 40/17 R, juris, Rn. 29) und zwar auch auf Datenverarbeitungsvorgänge, welche nicht den Voraussetzungen von Art. 2 Abs. 1 DSGVO entsprechen (vgl. Schifferdecker, in: Kasseler Kommentar Sozialversicherungsrecht, Stand: 114. EL Mai 2021, § 35 SGB I Rn. 86: „Datensammlung auf Notizzettel“). Dadurch wird sichergestellt, dass sämtliche Tätigkeitsbereiche, in denen Sozialdaten verarbeiten werden, demselben datenschutzrechtlichen Regime unterliegen (Greiner, in: Knickrehm/Kreikebohm/Waltermann, Kommentar zum Sozialrecht, 7. Aufl., § 35 SGB I Rn. 3).

(2) Art. 82 Abs. 1 DSGVO, auf den die Klägerin ihr Klagebegehren stützt, ist auch nicht deshalb unanwendbar, weil es bei der von der Beklagten an das falsche E-Mail-Konto versandten Gesundheitsakte um eine Verbreitung personenbezogener Daten geht, die den Schutzbereich des allgemeinen Persönlichkeitsrechts betreffen.

Nach Auffassung des Senats ist die ungewollte Preisgabe von Daten, über die hier zu befinden ist, dem Recht auf informationelle Selbstbestimmung als eigenständigem Teilgehalt des allgemeinen Persönlichkeitsrechts zuzuordnen. Davon zu unterscheiden ist die sichtbare Verbreitung bestimmter Informationen im öffentlichen Raum als Ergebnis eines Kommunikationsprozesses, die den äußerungsrechtlichen Ausprägungen des allgemeinen Persönlichkeitsrechts zuzuordnen ist (siehe BVerfG, Beschluss vom 6. November 2019 – 1 BvR 16/13, juris, Rn. 79-91; Senatsbeschlüsse vom 16. März 2021 – I-16 U 317/20, und vom 16. Februar 2021 – I-16 U 269/20, juris, Rn. 7). Dies zugrunde gelegt, steht eine Eröffnung des Schutzbereichs des allgemeinen Persönlichkeitsrechts aus Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG der Anwendung des Art. 82 Abs. 1 DSGVO hier nicht entgegen, weil es in seiner Ausprägung als Recht auf informationelle Selbstbestimmung betroffen ist, dessen Schutz die datenschutzrechtlichen Regelungen der DSGVO dienen. In der auf einem Schreib- oder Tippfehler beruhenden Versendung der Gesundheitsakte an ein falsches E-Mail-Postfach liegt eine schlichte Preisgabe von Daten ohne ein kommunikatives Ziel. Dies gilt zumal im Hinblick auf den Inhaber des E-Mail-Postfachs, an den die Akte nicht versandt werden sollte. Mit einem Kommunikationsprozess hat die versehentliche Datenpreisgabe nur peripher insofern zu tun, als ihr ein Telefongespräch zwischen der Klägerin und dem Zeugen A. vorausgegangen ist. Für die Eröffnung des Schutzbereichs des allgemeinen Persönlichkeitsrechts in seiner äußerungsrechtlichen Ausprägung reicht das indes nicht aus.

(3) In dem Versand der E-Mail mit der Gesundheitsakte der Klägerin an das falsche E-Mail-Postfach liegt ein Verstoß gegen die DSGVO. Eine Datenverarbeitung, zu der gemäß Art. 4 Nr. 2 DSGVO auch die Offenlegung durch Übermittlung gehört, ist nach der DSGVO nur rechtmäßig, wenn die betroffene Person gemäß Art. 6 Abs. 1 Satz 1 lit. a) DSGVO ihre Einwilligung zu der Verarbeitung gegeben hat oder eine der übrigen in Art. 6 Abs. 1 Satz 1 DSGVO normierten Rechtmäßigkeitsvoraussetzungen vorliegt. Dies ist hier im Hinblick auf den Versand der E-Mail mit der ihr angefügten Gesundheitsakte der Klägerin an die E-Mail-Adresse „B2@fff.de“ jeweils nicht der Fall (siehe für eine vergleichbare Konstellation auch LG Darmstadt, Urteil vom 26. Mai 2020 – 13 O 244/19, juris, Rn. 43 ff.). Die Klägerin hat in die Übersendung an dieses fremde E-Mail-Postfach nicht eingewilligt und es liegen auch keine anderen normierten Rechtmäßigkeitsvoraussetzungen für diese Übersendung vor.

(4) Weitere Datenschutzverstöße zulasten der Klägerin lassen sich hingegen nicht feststellen.

(a) Die vom Landgericht angenommene Verletzung des Art. 32 DSGVO ist nicht zu bejahen. Anders als das Landgericht vermag der Senat aus dem Fehler beziehungsweise Fehlverhalten eines einzelnen Mitarbeiters nicht den Rückschluss zu ziehen, dass die Beklagte kein nach Art. 32 DSGVO ausreichendes Datenschutzniveau implementiert hatte. Weitere für einen solchen Schluss notwendige Anknüpfungstatsachen hat die insoweit darlegungs- und beweisbelastete Klägerin weder ausreichend vorgetragen noch unter Beweis gestellt.

(b) Soweit das Landgericht zudem als einen Datenschutzverstoß der Beklagten beanstandet, dass der Zeuge A. die E-Mail unverschlüsselt und mit unverschlüsselter bzw. nicht pseudonymisierter Gesundheitsakte als Anhang versandt hat, überzeugt auch das nicht. Ein Datenschutzverstoß durch diese Form der Versendung liegt aufgrund einer Einwilligung der Klägerin nach Art. 6 Abs. 1 Satz 1 lit. a) DSGVO nicht vor. Eine Einwilligung ist nach Art. 4 Nr. 11 DSGVO jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Diese Voraussetzungen liegen hier vor.

(aa) Die Klägerin hat unmissverständlich zum Ausdruck gebracht, dass sie mit der Übersendung der Gesundheitsakte per E-Mail einverstanden ist. Im Verlauf des Gesprächs mit dem Zeugen A. teilte sie dem Zeugen ihre E-Mail-Adresse mit. Das konnte dieser nicht anders verstehen und kann auch objektiv nicht anders verstanden werden, als dass die Klägerin die Gesundheitsakte schließlich doch per E-Mail übersandt erhalten wollte. Dabei musste ihr zugleich klar sein, dass diese Übersendung weder verschlüsselt noch in pseudonymisierter Form erfolgen würde. Über solche besonderen Formen der Versendung hatte die Klägerin mit dem Zeugen nicht gesprochen. Entsprechende Wünsche hatte sie nicht geäußert. Ein für die Entschlüsselung notwendiges Passwort war nicht ausgetauscht worden.

(bb) Der wirksamen Einwilligung steht nicht deren fehlende Freiwilligkeit entgegen. Freiwilligkeit wäre zu verneinen, wenn die Erklärung entgegen Erwägungsgrund 42 Satz 5 DSGVO von der Klägerin unter Druck oder Zwang abgegeben worden wäre (vgl. Schulz, in: Gola, DS-GVO, 2. Aufl., Art. 7 Rn. 21). Das war hier indes nicht der Fall. Die Klägerin hatte ungeachtet des nachdrücklichen Werbens des Zeugin A. für den von ihm favorisierten E-Mail-Versand die Möglichkeit, auch ihm gegenüber auf einem Postversand zu bestehen. Sie musste sich der von ihm favorisierten Lösung nicht beugen. Wie sie im Rahmen ihrer informatorischen Anhörung durch den Senat bekundet hat, hatte der Zeuge, der überdies nicht mehr als ein erster Ansprechpartner der Beklagten in der Servicehotline war, den Postversand nicht per se ausgeschlossen. Er hatte nur darauf hingewiesen, dass dieser nicht mehr bis Weihnachten möglich sei. Den sich für die Klägerin aus den nahenden Weihnachtsfeiertagen ergebenden zeitlichen Druck kann sie der Beklagten jedoch nicht entgegenhalten. Diesen hatte sie selbst zu verantworten, weil sie nach dem Gespräch mit dem Versicherungsmakler am 27. November 2018 erst am 14. Dezember 2018 Kontakt zur Beklagten aufgenommen hatte. Es lässt sich auch nicht feststellen, dass die Erklärung des Zeugen A. zur Dauer des Postversands unzutreffend war. Aus dem späteren sehr kurzfristigen Postversand der Gesundheitsakte an die Klägerin ergibt sich nichts anderes. Dieser fand unter besonderen Umständen statt, weil er in die Zeit nach Bekanntwerden des Datenschutzverstoßes zulasten der Klägerin fiel. Es ist nicht auszuschließen, dass die Beklagte die Klägerin ab diesem Zeitpunkt zuvorkommend behandelt und ihre Abläufe beschleunigt hat.

(cc) Der wirksamen Einwilligung der Klägerin steht ebenfalls nicht entgegen, dass sie diese nicht in informierter Weise erklärt hatte. Das Merkmal der Erklärung der Einwilligung in informierter Weise verlangt, dass die betroffene Person abschätzen können muss, welche Auswirkungen die Erteilung der Einwilligung für sie hat (Buchner/Kühling, in: dies., DS-GVO/BDSG, 3. Aufl., Art. 7 Rn. 59). Nach ihrer informatorischen Anhörung hat der Senat nicht die geringsten Zweifel, dass die Klägerin die Problematik und die Gefahren einer unverschlüsselten Versendung ihrer nicht pseudonymisierten Gesundheitsakte erkannt hat. Die Sensibilität der Klägerin für die Gefahren elektronischer Kommunikation wurde anhand ihrer Äußerungen im Rahmen ihrer informatorischen Anhörung sehr deutlich. Sie hat ihre Bedenken gegen die vom Zeugen A. vorgeschlagene Übermittlung, wie sie bekundet hat, schließlich aber zurückgestellt, weil ihr daran gelegen war, die Gesundheitsunterlagen bis Weihnachten zu erhalten.

(dd) Soweit das Landgericht im Zuge seiner Prüfung des Art. 32 DSGVO angenommen hat, ein Verzicht auf ein verschlüsseltes Versenden von Daten sei nach der DSGVO nicht möglich, überzeugt das im Hinblick auf die von der Klägerin erklärte Einwilligung nicht. Die Einwilligung ist ein auf der privatautonomen Entscheidung des Betroffenen beruhender Rechtfertigungstatbestand. Es widerspräche der Privatautonomie, wenn die Einwilligung nicht zu einem Verzicht auf Anonymisierungs-, Pseudonymisierungs- sowie Verschlüsselungstechniken führen könnte (siehe auch Albers/Veit, in: Wolff/Brink, BeckOK Datenschutzrecht, 37. Ed., Stand: 01.05.2020, Art. 6 DS-GVO Rn. 26).

(c) Zutreffend hat das Landgericht allerdings keinen Datenschutzverstoß in der E-Mail-Weiterleitung innerhalb der beklagten Krankenkasse gesehen, weil hierbei keine Einsichtnahme durch Dritte möglich war. Insoweit kann auf die diesbezüglich zutreffenden Gründe der angefochtenen Entscheidung Bezug genommen werden.

(5) Infolge des in dem E-Mail-Versand an das falsche E-Mail-Postfach liegenden Verstoßes gegen die Vorschriften der DSGVO hat die Klägerin einen immateriellen Schaden erlitten. Als immaterieller Schaden der Klägerin stellt sich die mit dem Verlust der Datenkontrolle verbundene seelisch belastende Ungewissheit über das Schicksal ihrer Daten dar. Dafür, dass darin ein immaterieller Schaden im Sinne von Art. 82 Abs. 1 DSGVO liegen kann, spricht nicht nur Erwägungsgrund 75 der DSGVO, wo dem Schadensbegriff auch der Verlust der Kontrolle über personenbezogene Daten zugeordnet wird. Dafür spricht auch, dass in den meisten Rechtsordnungen mit dem Begriff des immateriellen Schadens Schäden wie seelisches Leid oder Beeinträchtigungen der Lebensqualität erfasst werden (siehe Schlussanträge des Generalanwalts N. Wahl vom 25. Juli 2018 in den verbundenen Rechtssachen C-138/17 P und C-146/17 P, juris, Rn. 83) und der Europäische Gerichtshof ein vergleichbares Schadensverständnis auch für das Unionsprimärrecht vertritt. Der Gerichtshof verlangt dort zwar, dass ein Schaden tatsächlich und sicher sein muss (EuGH, Urteil vom 4. April 2017 – C-337/15, juris, Rn. 91), andererseits kann bereits ein lang anhaltender Zustand belastender Ungewissheit einen immateriellen Schaden darstellen (vgl. z.B. EuGH, Urteil vom 13. Dezember 2018 – C-138/17 u.a., juris, Rn. 61; EuG, Urteil vom 17. Dezember 1998 – T-203/96, juris, Rn. 108).

Dahinstehen kann hier, ob Voraussetzung eines Schadensersatzanspruchs nach Art. 82 Abs. 1 DSGVO ist, dass der durch den Datenschutzverstoß entstandene immaterielle Schaden ein gewisses Gewicht erreicht haben muss (siehe OLG Dresden, Beschluss vom 11. Juni 2019 – 4 U 760/19, juris, Rn. 13; siehe dazu auch OGH Österreich, Vorlagebeschluss vom 15. April 2021 – 6 Ob 35/21x = BeckRS 2021, 11950). Der der Klägerin hier entstandene immaterielle Schaden hat ausreichendes Gewicht. Sie hat nicht nur einen Bagatellschaden erlitten, der gegebenenfalls keines Ausgleichs nach Art. 82 Abs. 1 DSGVO bedürfte. Angesichts des Umfangs und der Bedeutung der Daten, über welche die Klägerin über viele Monate die Kontrolle verloren hat, und angesichts der Sorgen und Befürchtungen, unter denen sie aufgrund des Datenverlusts in dieser Zeit gelitten hat, ist eine etwaige Bagatellschwelle zweifelsfrei überschritten. Insoweit ist zu berücksichtigen, dass die DSGVO Gesundheitsdaten im Sinne von Art. 4 Nr. 15 DSGVO, wie sie hier betroffen sind, durch das grundsätzliche Verarbeitungsverbot in Art. 9 Abs. 1 DSGVO als besonders sensible Datenkategorie anerkennt. Es kommt hinzu, dass der hier betroffene Auszug aus der Gesundheitsakte der Klägerin nicht nur sehr umfangreich war, sondern auch höchst intime Gesundheitsinformationen enthielt.

bb) In der Höhe ist der dem Grunde nach hier zu bejahende Schadensersatzanspruch der Klägerin aus Art. 82 Abs. 1 DSGVO allerdings auf einen Betrag von 2.000,- € begrenzt.

(1) Für die Bemessung von Schadensersatzansprüchen nach Art. 82 Abs. 1 DSGVO enthält die DSGVO nur wenige Vorgaben. Aus dem Nebeneinander von materiellem und immateriellem Schaden folgt, dass auch solche Schäden auszugleichen sind, die sich nicht unmittelbar in Geld bemessen lassen. Nach Erwägungsgrund 146 Satz 3 sollte der Begriff des Schadens im Lichte der Rechtsprechung des Gerichtshofs zudem weit auf eine Art und Weise ausgelegt werden, die den Zielen der Verordnung in vollem Umfang entspricht. Nach Erwägungsgrund 146 Satz 6 sollten die betroffenen Personen einen vollständigen und wirksamen Schadensersatz für erlittene Schäden erhalten.

Hiernach hat sich der Schadensersatz zuvörderst an dem Ziel des Schadensausgleichs zu orientieren. Das gilt, weil die Vorschrift nicht zwischen den Schadensarten differenziert, auch im Falle immaterieller Schäden (siehe Eichelberger, WRP 2021, 159, 162 ff.). Darüber hinaus wird bei immateriellen Einbußen auch die Genugtuungsfunktion Bedeutung erlangen und als ein Umstand bei der Schadensbemessung berücksichtigt werden können, wenn die Umstände des konkreten Falles hierfür Anlass geben (vgl. auch Eichelberger, WRP 2021, 159, 165). Letztlich können – wie dies auch bei Art. 340 Abs. 2 AEUV der Fall ist (vgl. EuGH, Urteil vom 30. Mai 2017 – C-45/15 P, juris, Rn. 48) – für die Bemessung des Ersatzanspruchs für immaterielle Schäden nur die Umstände des konkreten Einzelfalls entscheidend sein. Zu berücksichtigen sein können etwa Art, Schwere und Dauer des Datenschutzverstoßes, das Verhalten des Verantwortlichen sowie die Auswirkungen des Verstoßes für den Betroffenen (siehe EuGH, Urteil vom 30. Mai 2017 – C-45/15 P, juris, Rn. 52, zu Art. 340 Abs. 2 AEUV). Solche Kriterien sind nach Art. 83 Abs. 2 Satz 2 DSGVO auch bei der Verhängung von Geldbußen für Datenschutzverstöße zu berücksichtigen. Bei der Ermittlung der danach angemessenen Art der Entschädigung und der Bestimmung des gegebenenfalls zuzuerkennenden Schadensersatzbetrags haben die Gerichte einen erheblichen Spielraum (vgl. für Art. 340 Abs. 2 AEUV Schlussanträge des Generalanwalts N. Wahl vom 25. Juli 2018 in den verbundenen Rechtssachen C-138/17 P und C-146/17 P, juris, Rn. 86), den sie nach billigem Ermessen füllen müssen (siehe für Art. 340 Abs. 2 AEUV EuG, Urteil vom 1. Februar 2017 – T-479/14, juris, Rn. 135, sowie Schlussanträge des Generalanwalts N. Wahl vom 25. Juli 2018 in den verbundenen Rechtssachen C-138/17 P und C-146/17 P, juris, Rn. 85 u. 101).

(2) Ausgehend hiervon sind hier jedenfalls die Kategorie der betroffenen personenbezogenen Daten, Art, Schwere und Dauer des Datenschutzverstoßes, die seelischen Auswirkungen bei der Klägerin, der Grad des Verschuldens, die ergriffenen Maßnahmen zur Minderung der Schadensfolgen sowie der Gesichtspunkt in den Blick zu nehmen, ob eine dauerhafte Beeinträchtigung der Herrschaft über die eigenen Daten und der seelischen Gesundheit verbleibt.

Die vorgenannten Umstände, insbesondere die psychischen Auswirkungen des Datenschutzverstoßes bei der Klägerin, sprechen in der Gesamtschau dafür, dass der ihr entstandene immaterielle Schaden nur durch eine Geldzahlung, nicht aber durch andere Maßnahmen wie etwa eine erklärte Entschuldigung vollständig ausgeglichen werden kann. Zum Ausgleich des immateriellen Schadens ist hier nach den Umständen des Falles ein Betrag von 2.000,- € angemessen, aber auch ausreichend.

(a) Von besonderer Bedeutung für die Bestimmung des angemessenen Schadensersatzbetrags ist die Natur der vom Datenschutzverstoß betroffenen Daten der Klägerin. Es handelte sich dabei nicht nur um Gesundheitsdaten, die bereits für sich genommen von besonderer Sensibilität sind, wie auch ihr datenschutzrechtlicher, berufsrechtlicher und strafrechtlicher Schutz vor unbefugter Offenbarung zeigt. Die betroffenen Gesundheitsdaten waren auch besonders umfangreich. Sie betrafen – auf rund 100 Seiten – sämtliche bei der Beklagten erfassten ärztlichen und sonstigen medizinischen Behandlungen, Therapien und Medikationen der Klägerin aus dem Zeitraum vom 1. Januar 2015 bis zum 14. Dezember 2018 einschließlich der zugehörigen Diagnosen, Leistungszeiträume und Krankschreibungen. In dem Zeitraum hat die Klägerin, eine junge, noch nicht lange berufstätige Frau, wegen unterschiedlichster Beschwerden vielfach ärztliche Hilfe in Anspruch genommen. Dies gilt auch für den gynäkologischen Bereich. In der Gesundheitsakte waren gleich mehrere gynäkologische Befundangaben verzeichnet, die Rückschlüsse auf das Sexualleben und die sexuelle Orientierung der Klägerin zuließen, deren Name und Wohnanschrift in der Akte angegeben waren.

(b) Hinsichtlich der vorgenannten Daten der Klägerin bestand ein zehnmonatiger Kontrollverlust. Erst am 14. August 2019 ist das E-Mail-Postfach, an das die Gesundheitsakte am 14. Dezember 2018 versehentlich versandt worden ist, von FFF. gelöscht worden.

(c) Von der Löschung des fremden E-Mail-Postfachs erfuhr die Klägerin aber nicht sofort, sondern erst durch einen Schriftsatz der Beklagten vom 2. Dezember 2019 im landgerichtlichen Verfahren. Aus diesem erfuhr sie auch, dass das Postfach bis zu diesem Zeitpunkt nicht mehr eingesehen worden ist. Infolgedessen war sie über einen Zeitraum von rund einem Jahr darüber im Ungewissen, ob ein Dritter von ihren Gesundheitsdaten bereits Kenntnis genommen hatte oder dies noch tun würde.

Zwar hatte die Beklagte den Prozessbevollmächtigten der Klägerin bereits mit Schreiben vom 9. Januar 2019 mitgeteilt, von FFF. die Nachricht erhalten zu haben, dass seit der schon länger zurückliegenden Einrichtung des E-Mail-Postfachs darauf kein Zugriff mehr erfolgt ist. Die Klägerin konnte aber bis zur Löschung des Postfachs nicht sicher sein, dass nicht noch ein Zugriff erfolgen würde. Auch konnte sie ungeachtet eines von der Beklagten gegenüber dem Postfachinhaber per E-Mail ausgesprochenen Verwertungsverbots hinsichtlich der Gesundheitsakte nicht sicher sein, ob sich dieser daran halten würde.

Soweit die Klägerin im nicht nachgelassenen Schriftsatz vom 6. Oktober 2021 hingegen meint, die bestehende Ungewissheit sei für sie erst mit einem Schriftsatz der Beklagten vom 6. Juli 2020 beendet gewesen, mit welchem die Beklagte mitgeteilt habe, dass an das betreffende E-Mail-Postfach keine Test-E-Mail mehr erfolgreich habe versandt werden können, folgt der Senat dem nicht. Diese Test-E-Mail der Beklagten bestätigt nur die Löschung des E-Mail-Postfachs, für die bereits der Vermerk des Zeugen E. vom 14. August 2019 sprach, der dem Schriftsatz der Beklagten vom 2. Dezember 2019 beigefügt war.

Nicht gefolgt werden kann schließlich der Ansicht der Klägerin, die Unsicherheit bestünde für sie eigentlich bis heute fort, weil nicht ausgeschlossen werden könne, dass auf dem Übermittlungsweg auf die E-Mail zugegriffen worden sei. Die daraus resultierende Ungewissheit ist für die Bemessung des Schadensersatzbetrags unbeachtlich. Das Risiko des Zugriffs auf die E-Mail auf dem Übermittlungsweg nahm die Klägerin mit ihrer Einwilligung in die Übersendung der Gesundheitsakte per E-Mail in Kauf.

(d) Der Datenschutzverstoß blieb für die Klägerin – auch dies ist für die Bemessung des Schadensersatzes von wesentlicher Bedeutung – nicht ohne psychische Folgen. Sie hat im Termin zur mündlichen Verhandlung vor dem Senat geschildert, wie sie die Ungewissheit über den Verbleib der Daten seelisch belastet hat. Dabei war die Belastung in den ersten Tagen nach dem 14. Dezember 2018 besonders hoch, als das Schicksal der Gesundheitsakte noch weitestgehend unklar war. Die Reaktion der Beklagten auf das Anliegen der Klägerin war am 17. Dezember 2018 und auch darüber hinaus zunächst schleppend, erst mit Schreiben vom 9. Januar 2019 teilte sie den Prozessbevollmächtigten der Klägerin, die am 20. Dezember 2018 mandatiert worden waren, den bis dahin ermittelten Sachstand geordnet mit. Immerhin konnte sich die Klägerin mit Erhalt dieses Schreibens vom 9. Januar 2019 schwache Hoffnungen machen, dass der Inhalt ihrer Gesundheitsakte vielleicht doch nicht von unbefugten Dritten zur Kenntnis genommen werden würde. Nach den von der Beklagten bis dahin eingeholten Erkundigungen, deren Ergebnis sie mit dem Schreiben mitteilte, war das E-Mail-Postfach seit Errichtung nicht aktiv genutzt worden.

(e) Bei der Bemessung des Schadensersatzes ist ferner der Umstand zu berücksichtigen, dass der fehlerhafte Versand auf einem lediglich fahrlässigen Verhalten des Zeugen A. beruhte. Die Beklagte war nach dem Ergebnis der landgerichtlichen Beweisaufnahme zudem bemüht, die verlorenen Daten zurückzuerlangen beziehungsweise deren Weiterverbreitung zu verhindern. Im Schreiben vom 9. Januar 2019 hat sie auch ihr Bedauern über den Vorfall zum Ausdruck gebracht. Allerdings hat sie einen Schadensersatzanspruch der Klägerin im Prozess gleichwohl bis zuletzt in Abrede gestellt.

(f) In der Höhe begrenzend wirkt sich bei der Bemessung des Schadensersatzanspruchs schließlich in besonderem Maße aus, dass es bei einem zeitweisen Kontrollverlust über die Gesundheitsdaten verblieben ist. Zu einer Kenntnisnahme der Daten durch Dritte oder einer Weiterverbreitung oder gar Veröffentlichung ist es nicht gekommen. Die fehlgeleitete E-Mail und ihr Anhang sind bis zur Löschung des E-Mail-Postfachs am 14. August 2019 vom Postfachinhaber nicht mehr zur Kenntnis genommen worden. Die berechtigten Sorgen der Klägerin haben sich letztlich als unbegründet herausgestellt. Nachdem sie hiervon erfahren hatte, bestand auch kein Anlass, sich deswegen noch länger seelisch belastet zu fühlen. Eine etwaige Einsichtnahme in die Daten auf dem Übermittlungsweg, für die im Übrigen nichts spricht, hat aus dem bereits dargelegten Grund unberücksichtigt zu bleiben.

(g) Der Senat hat schließlich keinen Anlass, den Schadensersatzbetrag im Hinblick auf eine damit zu erzielende abschreckende Wirkung gesondert zu erhöhen. Ob einem nach Art. 82 Abs. 1 DSGVO zuzusprechenden Schadensersatzbetrag per se eine abschreckende Wirkung zukommen muss, wie teilweise vertreten wird, hält der Senat für zweifelhaft (wie hier Eichelberger, WRP 2021, 159, 163). Letztlich kann dies hier aber dahinstehen, weil dem der Klägerin zugesprochenen Schadensersatzbetrag jedenfalls auch eine ausreichend präventive Wirkung zukommt.

cc) Eine Minderung des Schadensersatzbetrags nach § 254 Abs. 1 BGB, für welche die Beklagte plädiert, kommt nach den für den Senat bindenden tatsächlichen Feststellungen des Landgerichts nicht in Betracht. Die Beklagte kann mit ihrem erstmals in der Berufungsinstanz gehaltenen Sachvortrag, die Klägerin habe dem Zeugin A. die falsche E-Mail-Adresse angegeben, gemäß § 531 Abs. 2 Satz 1 Nr. 3 ZPO nicht mehr gehört werden. Es beruht auf Nachlässigkeit, dass die Beklagte diesen Vortrag nicht schon in erster Instanz gehalten hat. Auch darüber hinaus bestehen keine ausreichenden Anhaltspunkte, die ein relevantes Mitverschulden der Klägerin an dem fehlerhaften E-Mail-Versand an die falsche E-Mail-Adresse begründen könnten.


Den Volltext der Entscheidung finden Sie hier:


OLG Hamm: Rechtsmissbrauch wenn Auskunftsanspruch aus Art. 15 DSGVO nicht aus Gründen gemäß Erwägungsgrund 63 der DSGVO geltend gemacht wird

OLG Hamm
Hinweisbeschluss vom 15.11.2021
20 U 269/21


Das OLG Hamm hat im Rahmen eines Hinweisbeschlusses ausgeführt, dass Rechtsmissbrauch vorliegt, wenn ein Auskunftsanspruch aus Art. 15 DSGVO nicht aus Gründen gemäß Erwägungsgrund 63 der DSGVO geltend gemacht wird.

Aus den Entscheidungsgründen:

Zutreffend hat das Landgericht weiter das mit dem Klageantrag zu 1 verfolgte Leistungsbegehren als zulässig angesehen. Die Unzulässigkeit der Stufenklage führt zwar dazu, dass ein unbestimmter Leistungsantrag als unzulässig abgewiesen werden muss. Sie hat jedoch nicht die notwendige Folge, dass die Klage, wie sie hier erhoben worden ist, insgesamt oder teilweise als unzulässig abgewiesen werden muss. Vielmehr kommt eine Umdeutung in eine von der Stufung unabhängige objektive Klagehäufung in Betracht (BGH, Urteil vom 18. April 2002 - VII ZR 260/01, NJW 2002, 2952 unter II 2 a mwN).

Dieser Auskunftsantrag ist jedoch unbegründet.

aa) Der geltend gemachte Auskunftsanspruch ergibt sich nicht aus Art. 15 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung- DS-GVO).

Der Beklagten steht ein Weigerungsrecht aus Art. 12 Abs. 5 Satz 2 Buchstabe b) DS-GVO zu. Die Vorschrift führt zwar lediglich die häufige Wiederholung als Beispiel für einen „exzessiven“ Antrag auf. Die Verwendung des Wortes „insbesondere“ macht aber deutlich, dass die Vorschrift auch andere rechtsmissbräuchliche Anträge erfassen will (vgl. Heckmann/Paschke, in Ehlmann/Selmayr, Datenschutz-Grundverordnung 2. Aufl. Art. 12 Rn. 43).

Bei der Auslegung, was in diesem Sinne rechtsmissbräuchlich ist, ist auch der Schutzzweck der DS-GVO zu berücksichtigen. Wie sich aus dem Erwägungsgrund 63 zu der Verordnung ergibt, ist Sinn und Zweck des in Art. 15 DS-GVO normierten Auskunftsrechts, es der betroffenen Person problemlos und in angemessenen Abständen zu ermöglichen, sich der Verarbeitung der sie betreffenden personenbezogenen Daten bewusst zu werden und die Rechtmäßigkeit dieser Verarbeitung überprüfen zu können (so auch BGH, Urteil vom 15. Juni 2021 - VI ZR 576/19, VersR 2021, 1019 Rn. 23).

Um ein solches Bewusstwerden zum Zweck einer Überprüfung der datenschutzrechtlichen Zulässigkeit der Verarbeitung personenbezogener Daten geht es dem Kläger aber nach seinem eigenen Klagevorbringen überhaupt nicht. Sinn und Zweck der von ihm begehrten Auskunftserteilung ist vielmehr – wie sich aus der Koppelung mit den unzulässigen Klageanträgen auf Feststellung und Zahlung zweifelsfrei ergibt – ausschließlich die Überprüfung etwaiger vom Beklagten vorgenommener Prämienanpassungen wegen möglicher formeller Mängel nach § 203 Abs. 5 VVG. Eine solche Vorgehensweise ist vom Schutzzweck der DS-GVO aber nicht umfasst (wie hier LG Wuppertal, Urteil vom 29. Juli 2021 - 4 O 409/20, BeckRS 2021, 25249 Rn. 31 ff.).

Darauf, dass es sich im Übrigen jedenfalls bei standardisierten Begründungen, die – etwa als einheitliches Beiblatt – an sämtliche Versicherungsnehmer in identischer Form versandt werden, auch nicht um personenbezogene Daten im Sinne der DS-GVO handelt, kommt es angesichts dessen hier nicht an.

bb) Auch ein Auskunftsanspruch aus §§ 241 Abs. 2, 242 BGB in Verbindung mit dem zwischen den Parteien bestehenden Versicherungsvertrag besteht nicht.

Zwar kann sich aus einem Schuldverhältnis nach Maßgabe von § 241 Abs. 2 BGB auch die Pflicht zur gegenseitigen Unterstützung ergeben. Dies kann auch zu einer Verpflichtung des Gläubigers führen, dem Vertragspartner etwa Unterlagen für die Kreditbeschaffung (BGH, Urteil vom 1. Juni 1973 - V ZR 134/72, NJW 1973, 1793 unter II 2) oder für die Wahrnehmung von dessen steuerlichen Belangen (Senatsurteil vom 5. Juli 1974 - 20 U 227/73, MDR 1975, 401) zur Verfügung zu stellen.

Auch im Rahmen einer zwischen den Parteien bestehenden Sonderverbindung setzt ein solcher Auskunftsanspruch aber nach ständiger Rechtsprechung des Bundesgerichtshofs voraus, dass der Schuldner in entschuldbarer Weise über das Bestehen oder den Umfang seines Rechts im Ungewissen ist (vgl. BGH, Urteil vom 1. August 2013 - VII ZR 268/11, NJW 2014, 155 Rn. 20). Das Vorliegen dieser Voraussetzungen hat der Kläger nicht dargelegt. Aus den ihm während der Laufzeit des Vertrages übersandten Unterlagen kann er unschwer selbst ersehen, welche Prämienanpassungen vorgenommen worden sind. Nachvollziehbare Gründe dafür, dass und warum ihm dies ausnahmsweise nicht mehr möglich sein sollte, sind nicht vorgetragen. Auf die Frage, ob und in welchem Umfang unterstellte Ansprüche des Klägers aus § 812 Abs. 1 BGB verjährt sind, kommt es demnach aus Rechtsgründen nicht an.

cc) Ein Auskunftsanspruch aus § 3 Abs. 3 und 4 VVG scheidet ebenfalls aus. Dieser bezieht sich nur auf abhanden gekommene oder vernichtete Versicherungsscheine so- wie auf die eigenen Erklärungen des Versicherungsnehmers, die er in Bezug auf den Vertrag abgegeben hat. Darum geht es hier aber nicht (siehe auch LG Wuppertal, Ur- teil vom 29. Juli 2021 - 4 O 409/20, BeckRS 2021, 25249 Rn. 35 f.).

dd) Schließlich kann der vom Kläger geltend gemachte Anspruch auch nicht aus § 810 BGB hergeleitet werden. Diese Vorschrift gibt keinen Anspruch auf Erteilung einer Auskunft oder auf Übersendung von Unterlagen.

2. Die Sache hat keine grundsätzliche Bedeutung; weder die Fortbildung des Rechts noch die Sicherung einer einheitlichen Rechtsprechung erfordern eine Entscheidung aufgrund mündlicher Verhandlung; eine solche ist auch sonst nicht geboten.

Auch ein Vorabentscheidungsersuchen an den Gerichtshof der Europäischen Union gemäß Art. 267 Abs. 3 AEUV ist nicht veranlasst. Nach der Rechtsprechung des Gerichtshofs ist die missbräuchliche Berufung auf Unionsrecht nicht gestattet (EuGH, Urteil vom 23. März 2000 – C-373/97, NZG 2000, 534 Rn. 33). Die nationalen Gerichte können vielmehr das missbräuchliche Verhalten des Betroffenen auf der Grundlage objektiver Kriterien in Rechnung stellen, um ihm gegebenenfalls die Berufung auf die geltend gemachte Bestimmung des Unionsrechts zu verwehren. Dabei müssen sie jedoch die mit dieser Bestimmung verfolgten Zwecke beachten (EuGH, Urteil vom 23. März 2000 aaO Rn. 34; vgl. auch BGH, Urteil vom 16. Juli 2014 - IV ZR 73/13, BGHZ 202, 102 Rn. 42 mwN).

Hier beeinträchtigt die Anwendung des Gesichtspunktes des Rechtsmissbrauchs weder die Wirksamkeit noch die einheitliche Anwendung des Unionsrechts. Der Anspruch nach Art. 15 DSG-VO soll den Auskunftsberechtigten in die Lage versetzen, sich der Datenverarbeitung bewusst zu werden und deren Rechtmäßigkeit zu überprüfen. Er soll sich insbesondere vergewissern können, dass die ihn betreffenden Daten richtig sind und in zulässiger Weise verarbeitet werden (vgl. BGH, Urteil vom 15. Juni 2021 - VI ZR 576/19, VersR 2021, 1019 Rn. 25 unter Hinweis auf EuGH, Urteil vom 20. Dezember 2017 - C-434/16, NJW 2018, 767 Rn. 57). Hierum geht es dem Kläger nach eigenem Vorbringen mit der begehrten Auskunft nicht.


Den Volltext der Entscheidung finden Sie hier:

LG Berlin: Auskunftsanspruch aus Art. 15 Abs. 1 DSGVO umfasst nur personenbezogene Daten nicht aber Vertragsunterlagen und Vertragserklärungen

LG Berlin
Urteil vom 21.12.2021
4 O 381/20


Das LG Berlin hat entschieden, dass der Auskunftsanspruch aus Art. 15 Abs. 1 DSGVO nur personenbezogene Daten nicht aber Vertragsunterlagen und Vertragserklärungen umfasst.

Aus den Entscheidungsgründen:
Der Auskunfts- und Herausgabeanspruch aus § 15 DS-GVO betrifft lediglich personenbezogene Daten, nicht aber Dokumenten, die Vertragserklärungen enthalten. Zwar ist der Begriff der „personenbezogenen Daten“ nach Art. 4 DS-GVO weit gefasst und umfasst nach der Legaldefinition in Art. 4 Nr. 1 DS-GVO alle Informationen, die sich auf eine identifizierbare natürliche Person beziehen; davon wären auch Beitragsanpassungsschreiben erfasst, die den Namen des Klägers enthalten. Ein derartiges am Wortlaut haftendes Verständnis ist mit dem Zweck des Auskunftsanspruchs nach Art. 15 DS-GVO unvereinbar. Die Auskünfte, die eine natürliche Person nach Art. 15 DS-GVO fordern kann, dienen primär dazu, ihr die Wahrnehmung der weiteren Rechte aus der DS-GVO zu ermöglichen, also insbesondere das Recht auf Berichtigung nach Art. 16, auf Löschung nach Art. 17 und auf Einschränkung der Verarbeitung nach Art. 18. Zwar mag eine Auskunft über personenbezogene Daten auch Erkenntnisse und Indizien hervorbringen, die einen Anspruch nach gänzlich anderen Vorschriften begründen oder zumindest nahelegen können. Dabei handelt es aber nicht um den eigentlichen Zweck der DS-GVO, sondern um einen bloß zufälligen Nebeneffekt. Es gibt keine Anhaltspunkte dafür, dass die DS-GVO gezielt dazu geschaffen worden wäre, die grundsätzliche Struktur des deutschen Zivilprozessrechts, die jedem Anspruchsteller die Darlegung und den Beweis der ihm günstigen Tatsachen auferlegt, umzukehren (OLG Köln r+s 2021, 97 Rn. 73, beck-online). Danach sind die vorliegend antragsgegenständlichen Auskünfte nicht mehr als personenbezogen (Art. 4 Nr. 1 DS-GVO) zu verstehen, sondern als vertragsbezogen.

Den Volltext der Entscheidung finden Sie hier:

AG Hamburg: Keine Auskunftspflicht des Insolvenzverwalters nach Art.15 DSGVO für Daten des Schuldners da nicht Verantwortlicher gem. Art. 4 Ziff. 7 DSGVO

AG Hamburg
Urteil vom 15.11.2021
11 C 75/21


Das AG Hamburg hat entschieden, dass ein Insolvenzverwalter für Daten des Schuldners nicht nach Art. 15 DSGVO auskunftspflichtig ist. Der Insolvenzverwalter ist insofern kein Verantwortlicher gem. Art. 4 Ziff. 7 DSGVO.

VG Wiesbaden legt EuGH vor: Darf Behörde Auskunft über verantwortliche Stelle der Datenverarbeitung ohne Begründung verweigern und ist dies mit Grundrechtecharta der EU vereinbar

VG Wiesbaden
Beschluss vom 30.07.2021
6 K 421/21.WI


Das VG Wiesbaden hat dem EuGH zur Entscheidung vorgelegt, ob eine Behörde die Auskunft über die verantwortliche Stelle der Datenverarbeitung ohne Begründung verweigern darf und ob dies mit Grundrechtecharta der EU vereinbar ist.

Die Vorlagefragen:

II. Das Verfahren wird gemäß Art. 267 AEUV zur Vorabentscheidung dem Gerichtshof der Europäischen Union hinsichtlich der folgenden Frage vorgelegt:

1) Sind Art. 15 Abs. 3 und Abs. 1 i.V.m. Art. 14 der Richtlinie (EU) 2016/680 des europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (ABl.EU L vom 4.5.2016 S. 119; zukünfig: Richtlinie (EU) 2016/680) im Lichte von Art. 54 Richtlinie (EU) 2016/680 so auszulegen, dass er eine nationale Regelung zulässt,

a) nach der bei gemeinsamer Verantwortlichkeit für eine Datenverarbeitung die eigentlich für die gespeicherten Daten verantwortliche Stelle nicht benannt werden muss und

b) die es zudem zulässt, dass einem Gericht keine inhaltliche Begründung für die Auskunftsverweigerung gegeben wird?

2) Falls die Fragen 1a und 1b zu bejahen sind, ist Art. 15 Abs. 3 und Abs. 1 der Richtlinie (EU) 2016/680 mit dem Recht auf einen wirksamen gerichtlichen Rechtsbehelf aus Art 47 GRCh vereinbar, obwohl es dem Gericht so verunmöglicht wird

a) den nationalen Verfahrensvorschriften entsprechend in einem mehrstufigen Verwaltungsverfahren die weitere beteiligte und tatsächlich verantwortliche Behörde, die ihr Einvernehmen zur Auskunftserteilung erteilen muss, zum Verfahren beizuladen und

b) inhaltlich zu überprüfen, ob die Voraussetzungen für die Auskunftsverweigerung vorliegen und durch die die Auskunft verweigernde Behörde korrekt angewandt wurden?

3) Wird durch die Verweigerung der Auskunft und somit eines wirksamen Rechtsbehelfs nach Art. 47 GRCh rechtswidrig in die Berufsfreiheit nach Art. 15 GRCh eingegriffen, wenn die gespeicherten Informationen dazu genutzt werden, eine betroffene Person von der angestrebten Tätigkeit wegen eines vermeintlichen Sicherheitsrisikos auszuschließen.

Aus den Entscheidungsgründen:

Nach Art. 54 Richtlinie (EU) 2016/680 hat die betroffene Person einen Anspruch auf einen wirksamen Rechtsbehelf, so wie dies in Art. 47 Abs. 1 GRCh geregelt ist. Ein wirksamer Rechtsbehelf erfordert, dass es dem Gericht möglich ist, die behördliche Entscheidung zu überprüfen. Dies setzt voraus, dass eine Begründung der Verweigerung der Auskunft und bei einem gemeinsamen Verfahren, wie es vorliegend bei dem INPOL-System der Fall ist, eine Benennung der verantwortlichen Stelle, die für die streitgegenständlichen Daten verantwortlich ist und einer Beauskunftung widersprochen hat, erfolgt. Sie hat ihr Einvernehmen für die Auskunft zu erteilen oder gerade – wie hier zu verweigern. Die verantwortliche Stelle ist an dem „mehrstufigen“ Verwaltungsakt zwingende Mitwirkende und auch im verwaltungsgerichtlichen Verfahren notwendig beizuladen (§ 65 Abs. 2 VwGO), da das Gericht bei rechtwidriger Verweigerung des Einvernehmens dieses durch Urteil zu ersetzen hätte. Denn ohne das notwendige Einvernehmen dürfte das BKA keine Auskunft erteilen (§ 84 Abs. 1 S. 1 BKAG). Wenn dem Gericht im Verfahren über die Auskunft die verantwortliche Stelle jedoch schon nicht benannt wird, kann es diese nicht beiladen und über die Verweigerung des Einvernehmens ihr gegenüber nicht bindend entscheiden.

Ist eine Kontrolle des Verwaltungshandelns durch die Verwaltungsgerichte wegen der Verweigerung einer Begründung nicht möglich, muss die Rechtsschutzgarantie dadurch gewahrt werden, dass der Klage stattgegeben wird (ständige Rechtsprechung des VG Wiesbaden, vgl. Urteil vom 15. Februar 2016 – 6 K 1328/14.WI –, juris, Rn. 27; Urteil vom 04. September 2015 – 6 K 687/15.WI –, juris, Rn. 36 und ferner Urteil vom 26. März 2021 – 6 K 59/20.WI; so auch VG Köln, Urteil vom 18.4.2019 – 13 K 10236/16, juris, Rn. 54). Dies ist vorliegend aber nicht möglich, da das Einvernehmen der eigentlich verantwortlichen Stelle (Behörde) mangels notwendiger Beiladung nicht rechtwirksam ersetzt werden kann. Insoweit unterscheidet sich der Fall von den bisher entschiedenen Fällen, bei denen „nur“ die Auskunft über die Daten als solche verweigert wurde, die verantwortliche Behörde aber benannt worden war. Eine Verfahrensregelung für den vorliegenden Fall enthält die VwGO nicht. Sie enthält in § 99 Abs. 2 VwGO nur das sog. In-Camera-Verfahren bei der Verweigerung der Vorlage von Behördenakten. Hier wäre nach einer Sperrerklärung, welche aber auch zu begründen wäre, eine Vorlage und Prüfung durch das Bundesverwaltungsgericht möglich.

Vorliegend geht es aber schon vor der inhaltlichen Auskunft bzw. Überprüfungsmöglichkeit der Verweigerung derselben um die Benennung der verantwortlichen Stelle, um deren Daten es im INPOL-System geht. Sie ist unbekannt und das Bundeskriminalamt verweigert auch dem Gericht gegenüber die Angabe, um wen es sich handelt. Zwar hat der nationale Gesetzgeber Art. 21 Abs. 1 Richtlinie (EU) 2016/680 insoweit umgesetzt, dass sich der Verantwortliche nach § 57 BDSG zur Auskunft der Daten bzw. Verweigerung derselben bezogen auf die betroffene Person verantwortlich zeigt und über § 84 Abs. 1 Satz 1 BKAG das Bundeskriminalamt als „Sprachrohr“ für die übrigen verantwortlichen Stellen über die Auskunft bestimmt. Die Auskunft bedarf aber des Einvernehmens der jeweils verantwortlichen Stelle.

Die Verweigerung der Angaben über die eigentliche verantwortliche Stelle, welche einer Auskunft über ihre Daten widerspricht und das Einvernehmen verweigert, geht jedoch weiter als die Einschränkung der eigentlichen Auskunft nach Art. 15 Richtlinie (EU) 2016/680. Denn damit wird dem Gericht die Möglichkeit einer effektiven wirksamen Rechtskontrolle vollständig genommen. Dies insbesondere, wenn auch keinerlei Begründung für diese Verweigerungshandlung erfolgt bzw. die Begründung sich auf allgemeine Aussagen einer Gefährdung der Aufgaben der Behörden und der Gefahrenabwehr bezieht. Mithin wird der nationale Gesetztext wiedergegeben, dem Gericht wird aber eine Subsumtion unter diese Norm und eine Kontrolle der Richtigkeit der Subsumtion der Behörde vollständig mangels Informationen genommen.

Zieht man die Parallele zu einer Verweigerung der Aktenvorlage im verwaltungsgerichtlichen Verfahren, so würde die rein den gesetzlichen Verweigerungstatbestand wiedergebende Begründung nicht die Anforderungen erfüllen, wie sie für eine Sperrerklärung nach § 99 Abs. 2 VwGO notwendig ist. Hinzu kommt vorliegend, dass die eigentlich die Begründung liefernde Behörde anonym bleibt, mithin die Sperrerklärung nach § 99 Abs. 1 S. 2 VwGO von dieser gar nicht abgegeben oder begründet werden könnte. Mindestens einer aussagekräftigen Begründung einer Sperrerklärung bedarf es aber bei der Verweigerung von Behördenakten, damit ein wirksamer Rechtsschutz gewährt werden kann (BVerwG Urt. v. 14.12.2020 – 6 C 11.18 Rn. 27 m.w.N.).

Zur Ermöglichung effektiven Rechtsschutzes hat eine Behörde, die die Auskunft verweigert, das Vorliegen der Verweigerungsgründe nach § 56 Abs. 2 i.V.m. § 57 Abs. 4 BDSG plausibel und substantiiert darzulegen. Eine diesen Anforderungen genügende Begründung wäre ausreichend, um die Berechtigung zur Auskunftsverweigerung darzutun (HessVGH 20.10.2019 – 10 A 2678/18.Z; zum alten Recht HessVGH 17.4.2018 – 10 A 1991/17). Die Wiedergabe oder nur Umschreibung der gesetzlichen Grundlage reicht dafür nicht aus (BVerwG Beschl. v. 29.10.1982 – 4 B 172/82, BVerwGE 66, 233 ff. Rn. 6; VG Wiesbaden Urt. v. 26.3.2021 – 6 K 59/20.WI).

Das Bundeskriminalamt und die unbekannte Behörde – bei der es sich nur um eine Polizeibehörde handeln kann – legen das nationale Recht so weit aus, dass die umzusetzenden nationalen Rechtsnormen, die aus der Richtlinie (EU) 2016/680 folgen, mit dem Wesensgehalt der Rechte und Freiheiten des Betroffenen in Konflikt gerät.

Dabei ist zu beachten, dass die Eintragung in INPOL ganz offensichtlich zu einer Art Berufsverbot durch die sog. Sicherheitsüberprüfung geführt hat, bei der u.a. auf die Daten von INPOL zurückgegriffen wurde. Damit wurde in Art. 15 GRCh eingegriffen, wonach jede Person das Recht hat, zu arbeiten und einen frei gewählten oder angenommenen Beruf auszuüben. Gegen dieses „Berufsverbot“ kann sich der Kläger auch nicht wehren, da ihm nicht bekannt gegeben wird, welche verantwortliche Stelle eine „negative“ Eintragung vorgenommen hat, geschweige denn welche Eintragung hier die Aufnahme des gewünschten Berufes hindert. Auch ist eine Überprüfung, ob die Eintragung überhaupt rechtmäßig ist, nicht möglich.

Eine wirksame gerichtliche Überprüfung der behördlichen Entscheidung ist dem vorlegenden Gericht nicht möglich, da unter Berufung auf eine nationale Rechtsnorm die verantwortliche Stelle die Auskunft auch gegenüber dem Gericht verweigert wird und das Gericht sich zur Gewährung effektiven Rechtsschutzes im Sinne einer inhaltlichen Prüfung nicht in der Lage sieht. Hinzu kommt, dass auch die im verwaltungsgerichtlichen Verfahren vorgesehenen Mechanismen, wie vorliegend die notwendige Beiladung, durch Verweigerung der Benennung der verantwortlichen Stelle ausgehebelt werden. Eine nationale Rechtsnorm, die es dem Gericht ermöglicht, im Falle einer notwendigen Beiladung von einer solchen aus Geheimhaltungsgründen abzusehen, existiert nicht.

Damit ist wirksamer Rechtsschutz in zweifacher Hinsicht ausgeschlossen und es liegt auch ein Verstoß gegen das Recht auf ein faires Verfahren nach Art. 6 EMRK vor.

Das erkennende Gericht ist insoweit der Auffassung, die Verweigerung der Benennung der letztendlich verantwortlichen Stelle, insbesondere ohne jegliche nachvollziehbare Begründung, eine Überinterpretation des Art. 15 Richtlinie (EU) 2016/680 darstellt, welche allerdings durch den nationalen Gesetzgeber durch die sehr offene Regelung in § 57 Abs. 6 i.V.m. § 56 BDSG zugelassen worden ist, mit der Folge, dass die nationale Regelung in der sehr weiten Interpretation des Beklagten gegen Art. 8, Art. 15 und Art. 47, 52 und 54 GRCh sowie gegen Art. 14, 15 und 54 Richtlinie (EU) 2016/680 verstößt.


Den Volltext der Entscheidung finden Sie hier:



LG Detmold: Geltendmachung eines Auskunftsanspruchs aus Art. 15 DSGVO rechtsmissbräuchlich wenn dies nicht aus Gründen gemäß Erwägungsgrund 63 der DSGVO erfolgt

LG Detmold
Urteil vom 26.10.2021
02 O 108/21


Das LG Detmold hat entscheiden, dass die Geltendmachung eines Auskunftsanspruchs aus Art. 15 DSGVO rechtsmissbräuchlich ist, wenn dies nicht aus Gründen gemäß Erwägungsgrund 63 der DSGVO erfolgt.

Aus den Entscheidungsgründen:

III) Der Auskunftsanspruch des Klägers lässt sich auch nicht auf § 15 DSGVO stützen. Ihm steht der sich aus § 242 BGB ergebende Einwand des Rechtsmissbrauchs entgegen. Es handelt sich dabei um einen Grundsatz, der als nationale Ausformung auch im Rahmen des § 15 DSGVO Geltung beansprucht. Danach ist die Ausübung eines Rechts u. a. nicht erlaubt, wenn der Anspruchsinhaber eine formale Rechtsstellung ausnutzt oder etwas geltend macht, an dem er kein schützenswertes Eigeninteresse hat (vgl. Palandt-Grüneberg, BGB, 80. Aufl. 2021, § 242 Rn. 49 f.).

So liegt der Fall hier.

Nach dem Vortrag des Klägers soll das begehrte Auskunftsbündel ausschließlich der Verfolgung von Leistungsansprüchen dienen. Dabei handelt es sich um einen vollkommen verordnungsfremden Zweck. Nach dem Erwägungsgrund 63 DSGVO, dient das Auskunftsrecht aus Art. 15 DSGVO dem Betroffenen vielmehr dazu, sich der Verarbeitung seiner personenbezogenen Daten bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können. So soll Art. 15 DSGVO eine Rechtmäßigkeitskontrolle der Datenverarbeitungsvorgänge ermöglichen. Der Betroffene soll den Umfang und Inhalt der gespeicherten Daten beurteilen können. Die Auskünfte dienen auch dazu, der betroffenen Person die Wahrnehmung der weiteren Rechte nach der Datenschutzgrundverordnung zu ermöglichen, vor allem das Recht auf Berichtigung nach Art. 16 DSGVO, auf Löschung nach Art. 17 DSGVO und auf Einschränkung der Verarbeitung nach Art. 18 DSGVO (vgl. OLG Köln, Beschluss vom 03.09.2019 - 20 W 10/18).

Der Kläger macht keines der vorgenannten Interessen geltend.

Das Auskunftsbegehren soll sich nach seinem klar geäußerten Willen allein darin erschöpfen, etwaige geldwerte Ansprüche gegen die Beklagte zu prüfen. Damit trifft das Begehren des Klägers nicht einmal den Titel der Verordnung, nämlich den Datenschutz. Ein Begehren, das sich derart weit von dem Regelungsinhalt einer Rechtsgrundlage entfernt hat, ist nicht schützenswert. In diesem Zusammenhang ist zu berücksichtigen, dass der Verordnungsgeber nicht etwa ein situationsunab-hängiges Auskunftsrecht von Verbrauchern gegenüber Unternehmen schaffen wollte, welches im allgemeinen Rechtsverkehr nicht besteht. Vielmehr hat er die zu erteilenden Auskünfte explizit an den Zweck des Datenschutzes gebunden.


Den Volltext der Entscheidung finden Sie hier:

VG Berlin: Berliner Senatsverwaltung muss personenbezogene Daten der Berliner Richterinnen und Richter dem Bewertungsportal Richterscore nicht zur Verfügung stellen

VG Berlin
Urteil vom 08.11.2021
VG 2 K 6.19


Das VG Berlin hat entschieden, dass die Berliner Senatsverwaltung personenbezogene Daten der Berliner Richterinnen und Richter dem Bewertungsportal Richterscore nicht zur Verfügung stellen muss.

Richterdaten müssen nicht herausgegeben werden (Nr. 59/2021)

Die Senatsverwaltung für Justiz, Verbraucherschutz und Antidiskriminierung (fortan: Senatsverwaltung) muss personenbezogene Daten der Berliner Richterinnen und Richter nicht zugänglich machen, sofern diese nicht eingewilligt haben. Das hat das Verwaltungsgericht entschieden.

Die Klägerin betreibt das digitale Bewertungsportal „richterscore“. Dort können sich Anwälte über Richter austauschen, um sich auf Gerichtsprozesse vorzubereiten. Die Klägerin beantragte im Jahr 2016 bei der Senatsverwaltung unter Berufung auf das Berliner Informationsfreiheitsgesetz die Übermittelung im Einzelnen aufgeschlüsselter Informationen über die im Land Berlin beschäftigten Richterinnen und Richter, wie z.B. Name, Vorname, Titel, Geburtsdatum, Amtsbezeichnung und Beschäftigungsumfang. Dies lehnte die Senatsverwaltung unter anderem wegen datenschutzrechtlicher Bedenken ab. Mit ihrer Klage macht die Klägerin im Wesentlichen geltend, sie wolle die Gerichtsbarkeiten transparenter machen; dies liege im öffentlichen Interesse und wiege schwerer als gegenläufige Interessen. Letzteren komme schon deshalb ein geringeres Gewicht zu, weil die Daten bereits im vom Deutschen Richterbund herausgegebenen Handbuch der Justiz veröffentlicht seien. Davon unabhängig stehe der Klägerin auch wegen des Gleichbehandlungsgrundsatzes die Übermittelung derselben Daten zu, die der Deutsche Richterbund erhalte.

Die 2. Kammer hat die Klage im Wesentlichen abgewiesen. Dem Auskunftsanspruch stehe der Schutz personenbezogener Daten entgegen, soweit die Richterinnen und Richter nicht in die Weitergabe ihrer Daten gegenüber der Klägerin eingewilligt hätten. Die Klägerin verfolge überwiegend Privatinteressen, weil sie mit den begehrten Daten ihr Bewertungsportal auf- bzw. ausbauen und damit ihr Geschäftsmodell verwirklichen wolle. Ihr Interesse, die Gerichtsbarkeiten transparenter zu machen, sei nicht vom Zweck des Informationsfreiheitsgesetzes erfasst. Mit den begehrten Daten könne weder staatliches Verwaltungshandeln kontrolliert, noch die demokratische Meinungs- und Willensbildung gefördert werden. Darüber hinaus stünden auch bundesrechtliche Geheimhaltungspflichten der beantragten Datenübermittlung entgegen, da es sich um Daten aus Personalakten handele. Auf das Datennutzungsgesetz und den Gleichbehandlungsgrundsatz könne sich die Klägerin nicht berufen. Die unterschiedliche Behandlung der Klägerin gegenüber dem Deutschen Richterbund sei nicht zu beanstanden, weil bezüglich des Handbuchs der Justiz entsprechende zweckbezogene Einwilligungserklärungen der Richterschaft vorlägen.

Gegen das Urteil kann Antrag auf Zulassung der Berufung zum Oberverwaltungsgericht Berlin-Brandenburg gestellt werden.

Urteil der 2. Kammer vom 18. November 2021 (VG 2 K 6.19)