BECKMANN UND NORDA - Rechtsanwälte Bielefeld

VG Düsseldorf
Gerichtsbescheid vom 21.01.2026
29 K 7470/24

Das VG Düsseldorf hat entschieden, dass ein DSGVO-Verstoß durch Löschung der Daten vor Erfüllung eines bereits geltend gemachten Auskunftsanspruchs gemäß Art. 15 DSGVO vorliegt.

Aus den Entscheidungsgründen:
Der angefochtene Bescheid erweist sich auch in materieller Hinsicht als rechtmäßig.

Die Voraussetzungen von Art. 58 Abs. 2 Buchst. b DSGVO liegen vor. Nach dieser Vorschrift verfügt jede Aufsichtsbehörde über die Befugnis, einen Verantwortlichen zu verwarnen, wenn er mit Verarbeitungsvorgängen gegen die Datenschutz-Grundverordnung verstoßen hat.

Die tatbestandlichen Voraussetzungen für die ausgesprochene Verwarnung liegen vor. Die Klägerin hat gegen die Datenschutz-Grundverordnung verstoßen, indem sie die personenbezogenen Daten des Beschwerdeführers nach der Stellung des Auskunftsantrags nicht weiter gespeichert hat. Die Löschung der Daten trotz der Verpflichtung der Klägerin zur Auskunftserteilung war rechtswidrig.

Die Löschung von Daten stellt einen Verarbeitungsvorgang im Sinne von Art. 4 Nr. 2 DSGVO. Die Verarbeitung betrifft personenbezogene Daten nach Art. 4 Nr. 1 DSGVO, nämlich solche, die sich auf eine identifizierte natürliche Person, den Beschwerdeführer, beziehen.

Die Klägerin hat die personenbezogenen Daten als Verantwortliche im Sinne von Art. 58 Abs. 2 b, Art. 4 Nr. 7 Halbsatz 1 DSGVO verarbeitet. Sie hat sowohl die Versendung der an die E-Mail-Adresse des Beschwerdeführers gerichteten Werbe-E-Mails als auch die Löschung von dessen personenbezogenen Daten veranlasst.

Als Verantwortliche muss die Klägerin nach Art. 5 Abs. 2 DS-GVO iVm Art. 5 Abs. 1 lit. a DS-GVO sicherstellen, dass die von ihr durchgeführte Datenverarbeitung rechtmäßig ist.

Vgl. EuGH, Urteil vom 4. Mai 2023 - C-60/22 -, ZD 2023,606, Rn. 54.

Die Rechtmäßigkeit der Verarbeitung wird in Art. 6 DSGVO geregelt. Die Liste der darin genannten Fälle, in denen eine Verarbeitung personenbezogener Daten als rechtmäßig angesehen werden kann, ist erschöpfend und abschließend, sodass eine Verarbeitung unter einen der in Art. 6 Abs. 1 UAbs. 1 DSGVO vorgesehenen Fälle subsumierbar sein muss, um als rechtmäßig angesehen werden zu können.

Vgl. EuGH, Urteil vom 4. Mai 2023 - C-60/22 -, ZD 2023,606, Rn. 56.

Danach war die Löschung der personenbezogenen Daten rechtswidrig, weil für diese Verarbeitung keine der in Art. 6 Abs. 1 DSGVO genannten Bedingungen erfüllt waren. In Betracht kommen dabei allein die Tatbestände in Art. 6 Abs. 1 UAbs. 1 lit. a) und lit. c) DSGVO. Die Verarbeitung in Form der Löschung ist weder für die Erfüllung eines Vertrages (lit. b)) noch zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich (lit.d)). Die Klägerin nimmt auch keine Aufgabe wahr, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die ihr übertragen wurde) (lit. e)). Schließlich liegen auch keinerlei Anhaltspunkte dafür vor, dass die Löschung zur Wahrnehmung der berechtigten Interessen der Klägerin erforderlich gewesen sein könnte (lit. f)).

Eine Einwilligung des betroffenen Beschwerdeführers zu der Verarbeitung in Form der Löschung seiner personenbezogenen Daten gemäß Art. 6 Abs. 1 UAbs. lit. a) DSGVO liegt nicht vor. Sein ausdrücklich als Bitte um Auskunftserteilung bezeichnetes Schreiben vom 26. August 2022 kann ersichtlich nicht als Einwilligung zur Löschung seiner Daten nicht verstanden werden. Dasselbe gilt für die Erinnerung an das Auskunftsersuchen vom 26. September 2022.

Die Löschung war auch nicht zur Erfüllung einer rechtlichen Verpflichtung der Klägerin erforderlich (Art. 6 Abs. 1 UAbs. 1 lit. c)). Ein Löschungsbegehren hat der Beschwerdeführer nicht geäußert. Es traf auch keiner der Gründe zu, die nach Art. 17 Abs. 1 DSGVO zu einer Verpflichtung des Verantwortlichen zur unverzüglichen Löschung personenbezogener Daten führen.

Die personenbezogenen Daten waren für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, weiter notwendig (Art. 17 Abs. 1 lit. a) DSGVO. Aus dem Grundsatz der Datenminimierung gemäß Art. 5 Abs. 1 lit. c) DSGVO, dem - wie die anderen Grundsätze des Art. 5 DSGVO auch - jede Datenverarbeitung entsprechen muss, kann die Klägerin daher nichts für sich herleiten.

Der ursprünglich auf E-Mail-Marketing gerichtete Zweck der Datenverarbeitung dürfte bereits nicht entfallen sein. Der Beschwerdeführer hat lediglich einen Auskunftsantrag gestellt und mit seinen Schreiben, anders als die Klägerin behauptet, an keiner Stelle kundgetan, dass er keine Werbemails mehr wünsche. Ausgehend von der angeblich erteilten Einwilligung des Beschwerdeführers in die Nutzung und Verarbeitung seiner personenbezogenen Daten für Werbezwecke per E-Mail (Bl. 75 der Beiakte Heft 1) durfte die Klägerin im Gegenteil davon ausgehen, weiter Werbemails versenden zu dürfen. Das zeigt, dass es sich um eine reine Schutzbehauptung handelt.

Ungeachtet dessen war die Datenverarbeitung aber nach Stellung des Auskunftsantrags für die Zwecke der Erfüllung der Auskunftsverpflichtung notwendig. Zum Zeitpunkt der Löschung war das Auskunftsverlangen des Beschwerdeführers noch nicht erfüllt.

Die Erfüllung der Pflicht aus Art. 12 Abs. 1 bis 3 DSGVO setzt die fortgesetzte Datenverarbeitung in Form der Speicherung der personenbezogenen Daten bis zur Erfüllung des Auskunftsbegehrens voraus. Die Mitteilungen gemäß Art. 15 DSGVO z.B. zu den Bearbeitungszwecken oder den Kategorien der verarbeiteten personenbezogenen Daten können nur übermittelt werden, wenn der Verantwortliche noch über die personenbezogenen Daten verfügt. Es spricht viel dafür, dass die personenbezogenen Daten, auf die die Auskunft zielt, so lange gespeichert werden müssen, bis die betroffene Person Gelegenheit hatte, die Rechtmäßigkeit der Verarbeitung zu überprüfen (vgl. Erwägungsgrund 63). Wie lange personenbezogene Daten zur Erfüllung eines Auskunftsbegehrens gespeichert werden müssen, braucht hier jedoch nicht entschieden zu werden. Denn jedenfalls tritt Erfüllung der Informationspflicht des Verantwortlichen und mit ihr der Wegfall des Zwecks der Verarbeitung frühestens ein, nachdem dem Antragsteller die begehrten Informationen vollständig und innerhalb der maßgeblichen Frist zur Verfügung gestellt wurden (Art. 12 Abs. 1, Abs. 3 Satz 1 DSGVO). Die Klägerin hat vorliegend die Daten aber bereits gelöscht, bevor dem Beschwerdeführer die Auskunft übermittelt worden ist. Mit Übersendung der als Datenschutzauskunft bezeichneten Daten hat die Klägerin bereits die Löschung der Daten in ihrer Datenbank bestätigt.

Einen Widerspruch gegen die Verarbeitung (Art. 17 Abs. 1 lit. c) DSGVO) hat der Beschwerdeführer ebenfalls nicht eingelegt, auch wenn die Klägerin die Schreiben des Beschwerdeführers als solchen bezeichnet. Das nur aus konkreten Fragen bestehende Schreiben vom 26. August 2022 sowie die Erinnerung an das Auskunftsersuchen vom 26. September 2022 enthalten keinerlei Anhaltspunkte dafür, dass der Beschwerdeführer keine Werbemails mehr wünscht oder dass er der Verarbeitung widerspricht.

Auch die anderen in Art. 17 Abs. 1 DSGVO genannten Gründe treffen nicht zu. Ein Widerruf der Einwilligung ist nicht ersichtlich (Art. 17 Abs. 1 lit. b) DSGVO). Die personenbezogenen Daten wurden aus Sicht der Klägerin auch nicht unrechtmäßig verarbeitet (Art. 17 Abs. 1 lit. d) DSGVO). Vielmehr stützt sie sich, wie die „Datenschutzauskunft“ zeigt, gerade auf eine angebliche Einwilligung des Beschwerdeführers in die Verarbeitung seiner personenbezogenen Daten. Eine rechtliche Verpflichtung nach Art. 17 Abs. 1 lit. e) DSGVO ist nicht ersichtlich. Ebenso wenig wurden die Daten in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Art. 8 Abs. 1 erhoben (Art. 17 Abs. 1 lit. f) DSGVO).

Die Klägerin kann die vorgenommene Löschung der personenbezogenen Daten des Beschwerdeführers schließlich nicht auf Art. 5 Abs. 1 lit. d) DSGVO und eine angebliche sachliche Unrichtigkeit der Daten stützen. Die personenbezogenen Daten des Beschwerdeführers waren im Gegenteil sachlich richtig, und zwar sowohl im Hinblick auf Werbezwecke als auch zum Zwecke der Informationserteilung. Wie die Klägerin den beiden der Löschung vorangegangenen Schreiben des Beschwerdeführers entnommen haben will, dass die Daten nicht von ihm sein könnten, ist nicht nachvollziehbar und offensichtlich vorgeschoben.

Die Verwarnung begegnet auch auf der Rechtsfolgenseite keinen durchgreifenden rechtlichen Bedenken. Die Beklagte hat das ihr nach Art. 58 Abs. 2 DSGVO eingeräumte Ermessen fehlerfrei ausgeübt (§ 114 Satz 1 VwGO). Insbesondere ist ein Verstoß gegen den Grundsatz der Verhältnismäßigkeit, der bei der Auswahl der nach Art. 58 Abs. 2 DSGVO zur Verfügung stehenden Maßnahmen zu beachten ist,

vgl. OVG NRW, Urteil vom 15. Juni 2022 - 16 A 857/21 -, juris Rn. 147,

nicht zu erkennen. Die Verwarnung dient dem Zweck der Datenschutz-Grundverordnung, eine einheitliche Überwachung und Durchsetzung der Verordnung in der gesamten Union sicherzustellen (vgl. Erwägungsgrund 129 Satz 1 DSGVO). Durch die ihr zukommende Warnfunktion ist sie auch geeignet, datenschutzkonforme Zustände herzustellen. Sie ist des Weiteren auch erforderlich. Mit der Verwarnung hat die Beklagte das mildeste Abhilfeinstrumentarium im Maßnahmenkatalog des Art. 58 Abs. 2 DSGVO gewählt. Die Anordnung ist schließlich auch angemessen, d. h. verhältnismäßig im engeren Sinn. Die Verwarnung stellt sich als geringfügiger Eingriff in die Rechte der Klägerin dar, da mit ihr insbesondere keine unmittelbaren finanziellen Nachteile verbunden sind.

Vorsorglich weist das Gericht darauf hin, dass in Fällen wie dem vorliegenden auch die Verhängung eines Bußgeldes gemäß Art. 58 Abs. 2 i DSGVO gerechtfertigt sein dürfte. Denn es ist zu berücksichtigen, dass die Klägerin mit der Löschung nicht nur die Überprüfung der Richtigkeit und Vollständigkeit der Datenschutzauskunft, sondern auch die Überprüfung der Rechtmäßigkeit der Verarbeitung der personenbezogenen Daten des Beschwerdeführers vereitelt hat. Es spricht alles dafür, dass dies beabsichtigt war. Die Klägerin hat die personenbezogenen Daten des Beschwerdeführers angeblich mit dessen Einwilligung verarbeitet, und durfte damit von der Rechtmäßigkeit der Datenverarbeitung ausgehen. Es gab also keinen Grund zur Löschung, es sei denn, die Daten sind tatsächlich rechtswidrig erhoben worden.

Den Volltext der Entscheidung finden Sie hier:

BGH
Urteil vom 18.11.2025
I ZR 115/25
DSGVO Art. 4 Nr. 1, Art. 15 Abs. 1 und 3

Der BGH hat entschieden, dass personenbezogene Daten im Sinne von Art. 15 Abs. 1 DSGVO und Art. 4 Nr. 1 DSGVO nur dann vorliegen, wenn sie mit einer bestimmten Person verknüpft sind. Es reicht nicht aus, wenn allgmeine Informationen Auswirkungen auf eine Person haben.

Leitsatz des BGH:
Informationen zum Beitragsverlauf eines privaten Krankenversicherungsvertrags (nämlich zu Zeitpunkt und Höhe des Alt- und Neubeitrags für jede stattgefundene Beitragsanpassung, zum Zeitpunkt erfolgter Tarifwechsel unter Angabe des Herkunftsund Zieltarifs und zum Zeitpunkt erfolgter Tarifbeendigungen) stellen nur dann personenbezogene Daten im Sinne von Art. 15 Abs. 1 in Verbindung mit Art. 4 Nr. 1 DSGVO dar, wenn sie mit einer bestimmten Person verknüpft sind, die Person also auf Grundlage der Informationen identifiziert ist oder (direkt oder indirekt) identifiziert werden kann (vgl. EuGH, Urteil vom 19. Oktober 2016 - C-582/14, NJW 2016, 3579 [juris Rn. 47 bis 49] - Breyer; Urteil vom 7. März 2024 - C-604/22, EuGRZ 2024, 111 [juris Rn. 37 bis 39] - IAB Europe/Gegevensbeschermingsautoriteit). Dass eine Information einen Sachverhalt betrifft, der Auswirkungen auf eine bestimmte Person hat, reicht für die Annahme eines personenbezogenen Datums allein nicht aus.

BGH, Urteil vom 18. Dezember 2025 - I ZR 115/25 - LG Leipzig - AG Borna

Den Volltext der Entscheidung finden Sie hier:

VG Düsseldorf
Beschluss vom 05.09.2025
29 K 6375/25

Das VG Düsseldorf hat entschieden, dass die Auskunfterteilung nach Art. 15 DSGVO nicht binnen der Monatsfrist gemäß Art. 12 Abs. 3 DSGVO erfolgen muss. Vielmehr reicht eine Statusmeldung.

Aus den Entscheidungsgründen:
Nach § 161 Abs. 2 Satz 1 VwGO hat das Gericht bei Erledigung der Hauptsache nach billigem Ermessen unter Berücksichtigung des bisherigen Sach- und Streitstands über die Kosten des Verfahrens zu entscheiden. Vorliegend entspricht es der Billigkeit, die Kosten des Verfahrens dem Kläger aufzuerlegen. Die Kostenregelung in § 161 Abs. 3 VwGO kommt dem Kläger nicht zugute, weil er nicht mit seiner Bescheidung vor Klageerhebung rechnen durfte. Der Kläger hat die Untätigkeitsklage verfrüht, d. h. vor Ablauf der dreimonatigen Sperrfrist des § 75 Satz 2 VwGO erhoben.

Nach § 75 Satz 2 VwGO kann die Klage im Regelfall nicht vor Ablauf von drei Monaten seit dem Antrag auf Vornahme des Verwaltungsakts erhoben werden. Diese Frist war zum Zeitpunkt der Klageerhebung am 23. Juni 2025 noch nicht abgelaufen. Der Antrag auf Erteilung der datenschutzrechtlichen Auskunft nach Art. 15 DSGVO datiert vom 16. Mai 2025.

Es lagen auch keine besonderen Umstände des Falles vor, die eine kürzere Frist als die Regelfrist von drei Monaten geboten hätten. § 75 Satz 2 VwGO ist Ausdruck des Gebots effektiven Rechtsschutzes. Besondere Umstände, die eine frühzeitige Entscheidung der Behörde als geboten erscheinen lassen können, liegen insbesondere vor, wenn dem Kläger das Abwarten der Dreimonatsfrist schwere und unverhältnismäßige Nachteile zufügen würde. Solche Nachteile macht der Kläger nicht geltend.

Soweit auch spezialgesetzliche Fristen "besondere Umstände" im Sinne von § 75 Satz 2 VwGO sein können,

vgl. BVerwG, Urteil vom 22. März 2018 – 7C 21/16 –, juris Rn. 12, m.w.N.,

kann dahinstehen, ob Art. 12 Abs. 3 Satz 1 DSGVO eine solche spezialgesetzliche kürzere Bearbeitungsfrist darstellt. Denn die Beklagte ist der aus Art. 12 Abs. 3 Satz 1 DSGVO folgenden Pflicht zur Unterrichtung des Klägers über die ergriffenen Maßnahmen zur Befriedigung seines Auskunftsantrags innerhalb der Monatsfrist nachgekommen.

Gemäß Art. 12 Abs. 3 Satz 1 DSGVO stellt der Verantwortliche der betroffenen Person Informationen über die auf Antrag gemäß den Artikeln 15 bis 22 ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung. Die Frist in Art. 12 Abs. 3 Satz 1 DSGVO bezieht sich lediglich auf die Statusmeldung über die auf Antrag ergriffenen Maßnahmen. Nicht normiert ist dadurch eine Frist zur Erfüllung der in Art. 15-22 DSGVO verankerten Rechte bzw. Ansprüche der betroffenen Person.

So: Franck, in: Gola/Heckmann, Datenschutz-Grundverordnung – Bundesdatenschutzgesetz, 3. Aufl. 2022, Art. 12 DSGVO, Rn. 28; Quaas, in: BeckOK Datenschutzrecht, Wolff/Ring/v. Ungern-Sternberg, 52. Edition, Stand 01.05.2025, Art. 12 DSGVO, Rn. 35; Paal/Hennemann, in: Paal/Pauli, DSGVO-BDSG, 3. Aufl. 2021, Art. 12 DSGVO, Rn. 52; Heckmann/Paschke, in: Ehmann/Selmayr, DSGVO, 3. Aufl. 2024, Art. 12 DSGVO, Rn. 31; OLG Stuttgart, Urteil vom 31. März 2021 – 9 U 34/21–, BeckRS 2021,6282, Rn. 29; a.A. Bäcker, in: Kühling/Buchner, DSGVO-BDSG, 4. Aufl. 2024, Art. 12 Rn. 32.

Dafür, dass es sich nicht um eine Erledigungsfrist handelt, sondern allein die Statusmeldung unverzüglich erfolgen muss, spricht bereits der Wortlaut der Norm, wonach nur die Informationen „über die auf Antrag (…) ergriffenen Maßnahmen“ jedenfalls innerhalb eines Monats zur Verfügung gestellt werden müssen. Noch deutlicher kommt dies in der englischen Fassung der Norm „…provide information on action taken“ zum Ausdruck. Demgemäß heißt es im Erwägungsgrund 59 bezogen auf die Modalitäten, die einer betroffenen Person die Ausübung ihrer Rechte erleichtern, lediglich, der Verantwortliche solle verpflichtet werden, den Antrag der betroffenen Person spätestens innerhalb eines Monats zu beantworten.

In Art. 12 Abs. 3 Satz 1 DSGVO heißt es gerade nicht, dass die begehrten Informationen innerhalb der Frist zur Verfügung zu stellen sind. Der EU-Gesetzgeber differenziert jedoch ausdrücklich zwischen der Erteilung von Informationen einerseits sowie der Übermittlung von Mitteilungen bzw. Maßnahmen andererseits. So enthält etwa Art. 14 Abs. 3 lit. a DSGVO explizit eine Erledigungsfrist (“ erteilt die Informationen (…) innerhalb eines Monats“). Art. 77 Abs. 2 DSGVO unterscheidet ebenfalls ausdrücklich zwischen der Unterrichtung über den Stand und über die Ergebnisse der Beschwerde. Auch in den Erwägungsgründen ist von der Bereitstellung der Informationen (Erwägungsgrund 60) oder der Pflicht, Informationen zur Verfügung zu stellen (Erwägungsgrund 62) die Rede, wenn es um die Erfüllung des Anspruchs geht.

Der Gesetzeszusammenhang stützt die hier vertretene Auffassung. Bezöge sich die Frist in Art. 12 Abs. 3 Satz 1 DSGVO auch auf die Erfüllung der in Art. 15 bis 22 DSGVO verankerten Rechte bzw. Ansprüche der betroffenen Person, ergäben die Regelungen in Art. 16 und Art. 17 DSGVO, wonach die betroffene Person das Recht hat, von dem Verantwortlichen „unverzüglich“ die Berichtigung bzw. Löschung sie betreffender personenbezogener Daten zu verlangen, keinen Sinn. Einer weiteren Erledidungsfrist für die Berichtigung bzw. Löschung bedürfte es nicht, wenn sich diese bereits aus Art. 12 Abs. 3 Satz 1 DSGVO ergäbe.

Eine Statusmeldung hat die Beklagte dem Kläger fristgerecht erteilt. Sie hat ihm mit Schreiben vom 20. Mai 2025 mitgeteilt, dass sein Schreiben eingegangen sei und sein Anliegen geprüft werde, die Klärung jedoch Zeit in Anspruch nehmen könne. Damit hat die Beklagte nicht nur eine – nicht ausreichende - reine Eingangsbestätigung übersandt,

vgl. dazu: Franck, in: Gola/Heckmann, Datenschutz-Grundverordnung – Bundesdatenschutzgesetz, 3. Aufl. 2022, Art. 12 DSGVO, Rn. 26,

sondern die zur Verwirklichung der Auskunft ergriffenen Maßnahmen beschrieben.

Danach war die Klage unzulässig, weil sie erhoben wurde, ohne dass die Voraussetzungen einer Untätigkeitsklage vorlagen. Die Beklagte hat den Anspruch des Klägers sodann alsbald erfüllt, ohne Anlass zu der verfrühten Untätigkeitsklage gegeben zu haben. Auch nach dem in § 156 VwGO enthaltenen Rechtsgedanken entspricht es in einem solchen Fall der Billigkeit, die Kosten dem Kläger aufzuerlegen.

Die Festsetzung des Streitwerts beruht auf § 52 Abs. 2 GKG.

Den Volltext der Entscheidung finden Sie hier:

OLG Frankfurt
Beschluss vom 02.07.2024
6 U 41/24

Das OLG Frankfurt hat im Rahmen eines Hinweisbeschlusses ausgeführt, dass der Auskunftsanspruch aus Art. 15 DSGVO gegen ein soziales Netzwerk (hier: X / Twitter) auch durch ein Self-Service-Tool vollständig erfüllt werden kann.

Aus den Entscheidungsgründen:
1. Das Landgericht ist zutreffend davon ausgegangen, dass die Beklagte durch die Bereitstellung eines Self-Service-Tool sowie das Schreiben vom 18.04.2023 (Anlage K 3) den Auskunftsanspruch des Klägers nach § 15 II DSGVO erfüllt hat.

Die Bereitstellung des Selbstbedienungstools führt dazu, dass der Kläger die Auskünfte an seinem Wohnsitz abrufen kann, wenn er dies will. Der Auskunftserfolg tritt damit auch dann am rechten Ort ein, wenn man - mit der Berufungsbegründung - zugrunde legt, dass Erfüllungsort der Sitz des Klägers ist.

Anderes ergibt sich (entgegen der Berufungsbegründung) auch nicht aus Erwägungsgrund 63 zur DSGVO. Dieser lautet:

„Eine betroffene Person sollte ein Auskunftsrecht hinsichtlich der sie betreffenden personenbezogenen Daten, die erhoben worden sind, besitzen und dieses Recht problemlos und in angemessenen Abständen wahrnehmen können, um sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können. Dies schließt das Recht betroffener Personen auf Auskunft über ihre eigenen gesundheitsbezogenen Daten ein, etwa Daten in ihren Patientenakten, die Informationen wie beispielsweise Diagnosen, Untersuchungsergebnisse, Befunde der behandelnden Ärzte und Angaben zu Behandlungen oder Eingriffen enthalten. Jede betroffene Person sollte daher ein Anrecht darauf haben zu wissen und zu erfahren, insbesondere zu welchen Zwecken die personenbezogenen Daten verarbeitet werden und, wenn möglich, wie lange sie gespeichert werden, wer die Empfänger der personenbezogenen Daten sind, nach welcher Logik die automatische Verarbeitung personenbezogener Daten erfolgt und welche Folgen eine solche Verarbeitung haben kann, zumindest in Fällen, in denen die Verarbeitung auf Profiling beruht. Nach Möglichkeit sollte der Verantwortliche den Fernzugang zu einem sicheren System bereitstellen können, der der betroffenen Person direkten Zugang zu ihren personenbezogenen Daten ermöglichen würde. Dieses Recht sollte die Rechte und Freiheiten anderer Personen, etwa Geschäftsgeheimnisse oder Rechte des geistigen Eigentums und insbesondere das Urheberrecht an Software, nicht beeinträchtigen. Dies darf jedoch nicht dazu führen, dass der betroffenen Person jegliche Auskunft verweigert wird. Verarbeitet der Verantwortliche eine große Menge von Informationen über die betroffene Person, so sollte er verlangen können, dass die betroffene Person präzisiert, auf welche Information oder welche Verarbeitungsvorgänge sich ihr Auskunftsersuchen bezieht, bevor er ihr Auskunft erteilt.“

Der Erwägungsgrund 63 besagt somit nirgends, dass der Fernzugang (hier: Selbstbedienungstool) nur dann erfüllungstauglich wäre, wenn der Nutzer mit dieser Art der Erfüllung einverstanden ist. Auch gebietet er keine solche Folgerung. Die Bereitstellung eines angemessenen Fernzugangs über ein Self-Service-Tool wird daher als ausreichend angesehen, um den Anspruch auf Bereitstellung einer Kopie der personenbezogenen Daten gemäß Art. 15 Abs. 3 Satz 1 DSGVO zu erfüllen (OLG Dresden, Urteil vom 5. Dezember 2023, Az. 4 U 1094/23, Rn. 65, juris; OLG München, Vfg. vom 29.01.2024, 14 U 4826/23 - nicht veröffentlicht; LG Bonn, Urteil vom 8. März 2023, Az.: 17 O 165/22, GRUR-RS 2023, 3854 Rn. 59 ff.; LG Bonn, Urteil vom 3. Februar 2023, Az.: 2 O 170/22, GRUR-RS 2023, 4566, Rn. 54 ff.; LG Bonn, Urteil vom 3. Februar 2023, Az.: 18 O 127/22, GRUR-RS 2023, 4565, Rn. 56 f.; LG Paderborn, Urteil vom 19. Dezember 2022, Az.: 3 O 99/22, GRUR-RS 2022, 39349, Rn. 162 ff.; LG Paderborn, Urteil vom 13. Dezember 2022, Az.: 2 O 212/22, GRUR-RS 2022, 41028 Rn. 176 ff.; LG München I, Urteil vom 2. September 2021, Az.: 23 O 10931/20, juris Rn. 23 f.; Krämer/Burghoff, ZD 2022, 428, 432; Paal, in: Paal/Pauly DSGVO, 3. Aufl. 2021, Art. 15 Rn. 38 iVm Rn. 14; Franck, in: Gola/Heckmann DSGVO, 3. Aufl. 2022, Art. 15 Rn. 40.), sie ist sogar die gewünschte Form der Übermittlung

Soweit eine einzelne Stimme (Schmidt-Wudy, BeckOK Datenschutzrecht, Art. 15 DS- GVO Rn. 84) der Auffassung ist, ein Fernzugriffssystem ersetze nur dann die Übersendung der Auskunft bzw. Datenkopie im Wege der Schickschuld per Post oder auf elektronischem Wege, wenn sich der Anspruchsteller hiermit einverstanden erkläre, fehlt es hierfür ebenso an einer tragfähigen Begründung wie in der Entscheidung des LAG Niedersachsen (NZA-RR 2020, 571, Rnr. 46), die ohne Begründung diese Literaturstelle zitiert.

Die Verweisung auf den Fernzugang kann im Einzelfall zwar dazu führen, dass der betroffenen Person faktisch die Auskunft verweigert wird: Beispielsweise haben auch Menschen, die „analog leben“ oder/und keine nennenswerten Fähigkeiten im Umgang mit IT-gestützten Portalen haben, ein Recht auf Auskunft nach Art. 15 DSGVO, dieses könnte untergraben werden, wenn man sie auf das ihnen unzugängliche Selbstbedienungstool verwiese. Darüber muss vorliegend jedoch nicht entschieden werden, denn wer sich bei der Beklagten registriert, lebt denknotwendig nicht (mehr) analog und lässt auch nicht erwarten, im Umgang mit IT-gestützten Portalen unbeschlagen zu sein.

2. Es kann dahinstehen, ob der Anwendungsbereich von Art. 82 Abs. 1 DSGVO auf Schäden infolge der reinen Datenverarbeitung im Sinne von Art. 4 Nr. 2 DSGVO begrenzt ist und daher ein Verstoß gegen Art. 15 (oder Art. 34) DSGVO überhaupt einen Schadensersatzanspruch zur Folge hat. Der Kläger hat das Vorliegen eines Schadens nämlich nicht substantiiert vorgetragen.

a) Auch wenn - wie Erwägungsgrund 146 unterstreicht - der Schadensbegriff im Ansatz weit zu verstehen ist, ergibt schon die Zählung der Tatbestandsmerkmale des Art. 82 Abs. 1 DSGVO eine Anzahl von drei (so auch EuGH C-300/21), nämlich (1) Verstoß, (2) Schaden, (3) Kausalität.

Der Verstoß (Herbeiführung des Kontrollverlustes an den Daten) ist schon deshalb nicht bereits der Schaden und führt auch nicht „automatisch“ zu einem Schaden (EuGH, Urt. v. 04.05.2023, C-300/21 - Österreichische Post). Da die Erwägungsgründe besagen, dass der Schaden "erlitten" sein muss, kann der Kontrollverlust (als rein objektiver Befund) nicht für sich allein bereits der Schaden sein (OLG Hamm, 7 U 19/23 Rn 72 ff).

Dergleichen hat insbesondere der Gerichtshof der Europäischen Union nicht postuliert, sondern im Gegenteil (EuGH 5.12.2023, C-807/21 Rn 82) den „Verlust der Kontrolle“ in Erwägungsgrund 85 als Beispiel für Umstände gesehen, die „erhebliche wirtschaftliche oder gesellschaftliche Nachteile“ darstellen können. Daraus leitet der EuGH aber gerade nicht her, dass schon der Kontrollverlust ohne weiteres der Schaden „sei“, sondern lediglich: dass der Schaden nicht eine bereits eingetretene „missbräuchliche Verwendung der betreffenden Daten zum Nachteil“ der betroffenen Person voraussetzt, sondern die Befürchtung (Rn 81) zukünftiger missbräuchlicher Verwendung ausreichen kann (vgl. auch EuGH, U. v. 20.6.2024 - C.590/22, juris Rn. 32 f.). Ein Schadensersatzanspruch besteht auch bei einem Kontrollverlust über personenbezogenen Daten nur, sofern die betroffene Person darlegt und bei Bedarf nachweist, dass sie tatsächlich einen Schaden - so geringfügig er auch sein mag - erlitten hat (EuGH, U. v. 20.6.2024 - C.590/22, juris Rn. 33 mwN), Die Fokussierung des EuGH auf den Begriff der „Befürchtung“ (englisch: „fear“, französisch: „crainte“) wäre überflüssig, wenn in dem objektiven Vorgang des Kontrollverlustes bereits ein Schaden im Sinne von § 82 Abs. 1 DSGVO läge.

Vorliegend ist das Landgericht zutreffend zum Schluss gelangt, dass nach dem Klägervortrag ein (hier unterstellter) Verstoß der Beklagten in keiner Weise irgendeine persönlich erlebte belastende Folge kausal verursacht hat. Wie gezeigt, ist der bloße Kontrollverlust als solcher nicht „der“ Schaden des Art. 82 Abs. 1 DSGVO. Er führt auch nicht etwa gleichsam „automatisch“ zu „einem Zustand, in dem sich die Klägerseite berechtigt wie nachvollziehbar in Sorge um den Verbleib sowie einen möglichen Missbrauch ihrer Daten“ befinden würde: Die für Art. 82 Abs. 1 DSGVO erforderliche Befürchtung (deutlicher englisch „fear“ und französisch „crainte“, also blanke „Furcht“) besteht nicht allein in einer logischen Gedankenoperation des Betrachters oder der Klagepartei, sondern wäre ein (negatives) Gefühl der Klagepartei, das bestritten und von dieser zu beweisen war - und anhand objektiver Umstände nachvollziehbar sein muss.

Jedenfalls hat das Landgericht zu Recht den klägerischen Vortrag als pauschal und substanzlos angesehen (“Zustand des Unwohlseins und der Sorge des Datenmissbrauchs“). Das ist angesichts des formelhaften und erkennbar nicht individualisierten Zuschnitts dieses Vorbringens nicht zu beanstanden; hiergegen erinnert die Berufungsbegründung auch nichts. Hinzu kommt, dass nicht nachvollziehbar ist, wieso im Fall einer mutmaßlichen Verletzung der Auskunftspflicht - in der bisher überhaupt kein Indiz für einen Datenabfluss bestanden hat - der „Zustand des Unwohlseins und der Sorge des Datenmissbrauchs“ gegeben sein kann.

3. Da sich die Bemessung der Höhe des Schadensersatzes nach nationalem Recht richtet (vgl. z.B. EuGH, U. v.26.2024 - C-182/22, juris Rn. 33), ist ein Anspruch auf Schadensersatz insoweit auch wegen überwiegenden Mitverschuldens (§ 254 BGB) ausgeschlossen, da der Kläger von der naheliegenden Möglichkeit, sich über das Selbstbedienungstool zu informieren, keinen Gebrauch gemacht hat. Eine Rechtsgrundlage für den Ersatz der außergerichtlichen Kosten ist nicht ersichtlich. Insbesondere lag kein Verzug vor. Die Beauftragung des Prozessbevollmächtigten des Klägers erfolgt vor der erstmaligen Geltendmachung des Rechts aus Art. 15 DSGVO gegenüber der Beklagten.

Ein möglicher Verzug der Beklagten - der wegen Art. 12 III DSGVO vor Ablauf einer Monatsfrist wegen der von der Beklagten geschilderten Vielzahlt von Anfragen schwer zu begründen ist - wäre daher nicht kausal für den geltend gemachten Schaden in Form der Beauftragung des Prozessbevollmächtigten des Klägers.

4. Der Senat beabsichtigt, den Streitwert entgegen der Angabe des Klägers in der Klageschrift (8.000,-- €) auf 2.000 € festzusetzen.

Zwar sind die Angaben des Klägers in der Klageschrift bei der Ermessensausübung nach § 3 ZPO regelmäßig ein ganz erhebliches Indiz, da die Angabe unbeeinflusst vom Ausgang des Rechtsstreits erfolgt und damit eine erhöhte Richtigkeitsgewähr einhergeht. Anderes gilt jedoch dann, wenn der Wert offensichtlich über- oder untersetzt ist.

Dies ist hier der Fall. Der Senat hält die Schmerzensgeldangabe von 3.000 € als um ein Vielfaches übersetzt an; der Kläger selbst hat schriftsätzlich einen Betrag von 1.500 € als angemessen angegeben.

Den Wert des Klagantrags zu 1.) und 2.) hingegen setzt der Senat nicht mit zusammen 5.000 €, sondern mit 500 € fest. Auskunftsansprüche bewegen im Regel im Bereich eines Bruchteils des Hauptanspruchs, wenn sie diesen unterstützen. Der Anspruch nach § 15 DSGVO ist zwar ein selbständiger Anspruch, bewegt sich jedoch wertmäßig in einer vergleichbaren Höhe. Hinzu kommt, dass der Anspruch keinen wirtschaftlichen Interessen des Klägers dient. Weiterhin ist zu berücksichtigen, dass Anhaltspunkte für eine Rechtsverletzung nicht bestehen. Der Senat hält daher einen Wert von 500 € für angemessen (vgl. z.B. OLG Köln ZD 2018, 268; OLG Köln ZD 2019, 463)

5. Einer Entscheidung nach § 522 II ZPO steht auch nicht ein etwaiger Revisionszulassungsgrund der Divergenz oder der grundsätzlichen Bedeutung entgegen. Soweit das LAG Niedersachen (NZA-RR 2020, 571, Rnr. 46) eine Datenübersendung in elektronischer Form als zur Erfüllung ungeeignet ansieht, kann dies eine Revisionszulassung nicht begründen.

Eine Rechtssache hat grundsätzliche Bedeutung, wenn sie eine entscheidungserhebliche, klärungsbedürftige und klärungsfähige Rechtsfrage aufwirft, die sich in einer Vielzahl von Fällen stellen kann und deswegen das abstrakte Interesse der Allgemeinheit an der einheitlichen Entwicklung und Handhabung des Rechts berührt, d.h. allgemein von Bedeutung ist (st Rspr; BGH NJW 2002, 3029). Klärungsbedürftig in diesem Sinne ist eine Rechtsfrage, wenn sie vom BGH nicht entschieden und von Oberlandesgerichten oder in der Literatur unterschiedlich beantwortet wird (BGH NZG 2010, 625 Rn. 3; DStR 2014, 383 Rn. 2). Der Klärungsbedarf entfällt, wenn abweichende Ansichten im Schrifttum vereinzelt geblieben und nicht oder nicht nachvollziehbar begründet sind (NZG 2024, 249 Rn. 9; BGH NZG 2010, 625). So verhält es sich hier.

Den Volltext der Entscheidung finden Sie hier:

BGH,
Urteil vom 16.04.2024
VI ZR 223/21
DSGVO Art. 15 Abs. 1, 3

Der BGH hat entschieden, dass der Auskunftsanspruch aus Art. 15 DSGVO alle Schreiben der betroffenen Person an die verantwortliche Stelle umfasst.

Leitsatz des BGH:
Zum Auskunftsanspruch aus Art. 15 Abs. 1 und 3 DSGVO (Anschluss an Senatsurteil vom 5. März 2024 - VI ZR 330/21).

BGH, Urteil vom 16. April 2024 - VI ZR 223/21 - OLG Stuttgart - LG Stuttgart

Aus den Entscheidungsgründen:
1. Die Klägerin hat aus Art. 15 Abs. 1 und Abs. 3 DSGVO einen Anspruch auf Überlassung von Abschriften der bei der Beklagten gespeicherten, von ihr selbst verfassten Erklärungen (Auskunftsbegehren zu a).

a) Art. 15 DSGVO ist in zeitlicher Hinsicht anwendbar. Die Datenschutz-Grundverordnung bezieht sich auch auf Verarbeitungsvorgänge, die vor dem 25. Mai 2018 als dem Anwendungsdatum der Datenschutz-Grundverordnung (Art. 99 Abs. 2 DSGVO) ausgeführt wurden, wenn das Auskunftsersuchen nach diesem Datum vorgebracht wurde (vgl. EuGH, Urteil vom 22. Juni 2023 - C-579/21, NJW 2023, 2555 Rn. 36). Nach den Feststellungen des Berufungsgerichts hat die Klägerin mit Schreiben vom 3. April 2019 von der Beklagten Auskunft und Überlassung von Kopien verlangt.

b) Art. 15 Abs. 1 DSGVO gibt der betroffenen Person gegenüber dem datenschutzrechtlich Verantwortlichen (Art. 4 Nr. 7 DSGVO) ein Recht auf Auskunft über die Verarbeitung personenbezogener Daten. Art. 15 Abs. 3 DSGVO legt die praktischen Modalitäten für die Erfüllung der dem datenschutzrechtlich Verantwortlichen obliegenden Verpflichtung fest, indem er unter anderem die Form bestimmt, in der die personenbezogenen Daten zur Verfügung zu stellen sind, nämlich in Form einer "Kopie" der Daten, gewährt aber kein anderes Recht als das in Art. 15 Abs. 1 DSGVO vorgesehene (Senatsurteil vom 5. März 2024 - VI ZR 330/21, juris Rn. 14; vgl. EuGH, Urteil vom 4. Mai 2023 - C-487/21, NJW 2023, 2253 Rn. 31 f.).

c) Gemäß Art. 4 Nr. 1 DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person ("betroffene Person") beziehen. Nach der Rechtsprechung des Gerichtshofs der Europäischen Union ist der Begriff weit zu verstehen. Er ist nicht auf sensible oder private Informationen beschränkt, sondern umfasst potenziell alle Arten von Informationen sowohl objektiver als auch subjektiver Natur, unter der Voraussetzung, dass es sich um Informationen über die in Rede stehende Person handelt. Die letztgenannte Voraussetzung ist erfüllt, wenn die Information aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer bestimmten Person verknüpft ist (vgl. EuGH, Urteil vom 4. Mai 2023 - C-487/21, NJW 2023, 2253 Rn. 23 f.; Senatsurteil vom 15. Juni 2021 - VI ZR 576/19, NJW 2021, 2726 Rn. 22 mwN).

Nach diesen Grundsätzen sind Schreiben der betroffenen Person an den Verantwortlichen ihrem gesamten Inhalt nach als personenbezogene Daten einzustufen, da die personenbezogene Information bereits darin besteht, dass die betroffene Person sich dem Schreiben gemäß geäußert hat, umgekehrt aber Schreiben des Verantwortlichen an die betroffene Person nur insoweit, als sie Informationen über die betroffene Person nach den oben genannten Kriterien enthalten (vgl. Senatsurteile vom 5. März 2024 - VI ZR 330/21, juris Rn. 16; vom 6. Februar 2024 - VI ZR 15/23, WM 2024, 555 Rn. 8; vom 15. Juni 2021 - VI ZR 576/19, NJW 2021, 2726 Rn. 25; BGH, Urteil vom 27. September 2023 - IV ZR 177/22, NJW 2023, 3490 Rn. 48). Dass diese Schreiben der betroffenen Person bereits bekannt sind, schließt den datenschutzrechtlichen Auskunftsanspruch nicht aus (vgl. Senatsurteil vom 15. Juni 2021 - VI ZR 576/19, NJW 2021, 2726 Rn. 25 mwN).

d) Danach handelt es sich bei den von der Klägerin verfassten Erklärungen, die der Beklagten vorliegen (Auskunftsbegehren zu a), ihrem gesamten Inhalt nach um personenbezogene Daten, weshalb die Klägerin im Ergebnis nach Art. 15 Abs. 3 DSGVO eine Kopie dieser Erklärungen fordern kann, auch wenn sich der Begriff der Kopie in dieser Vorschrift nicht auf ein Dokument als solches bezieht, sondern auf die personenbezogenen Daten, die es enthält (vgl. EuGH, Urteile vom 26. Oktober 2023 - C-307/22, NJW 2023, 3481 Rn. 72; vom 4. Mai 2023 - C-487/21, NJW 2023, 2253 Rn. 32). Denn die Kopie muss alle personenbezogenen Daten enthalten, die Gegenstand der Verarbeitung sind (vgl. EuGH, Urteile vom 26. Oktober 2023 - C-307/22, NJW 2023, 3481 Rn. 73; vom 4. Mai 2023 - C-487/21, NJW 2023, 2253 Rn. 32, 39). Der Vollständigkeit der Auskunft kann hier nur durch eine Kopie des gesamten Dokuments genügt werden (Senatsurteil vom 5. März 2024 - VI ZR 330/21, juris Rn. 17).


Den Volltext der Entscheidung finden Sie hier:

BGH
Urteil vom 06.02.2024
VI ZR 15/23
DSGVO Art. 15 Abs. 1, 3

Der BGH hat abermals entschieden, dass Art. 15 Abs. 1 und 3 DSGVO keinen Anspruch auf Abschriften der Begründungsschreiben samt Anlagen zu Prämienanpassungen einer privaten Krankenversicherung gewährt.

Leitsatz des BGH:
Aus Art. 15 Abs. 1 und 3 DSGVO folgt grundsätzlich kein Anspruch auf Abschriften der Begründungsschreiben samt Anlagen zu Prämienanpassungen in der privaten Krankenversicherung (Anschluss an BGH, Urteil vom27. September 2023 - IV ZR 177/22, NJW 2023, 3490 Rn. 45 ff.).

BGH, Urteil vom 6. Februar 2024 - VI ZR 15/23 - OLG Celle - LG Verden

Den Volltext der Entscheidung finden Sie hier:

ArbG Suhl
Urteil vom 20.12.2023
6 Ca 704/23

Das ArbG Suhl hat entschieden, dass eine Auskunftserteilung nach Art. 15 DSGVO per unverschlüsselter E-Mail gegen Art. 5 DSGVO verstößt. Ein Anspruch auf Schadensersatz aus Art. 82 DSGVO besteht aber nur bei Nachweis eins konkreten Schadens.

Aus den Entscheidungsgründen:
1. Dem Kläger steht kein Anspruch aus Art. 82 DSGVO gegen die Beklagte auf Ersatz des von ihm geltend gemachten immateriellen Schadens zu.

Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde, Art. 82 Abs. 2 Satz 1 DSGVO. Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist, Art. 82 Abs. 3 DSGVO.

Die Voraussetzungen für einen Schadensersatzanspruch liegen nicht vor, da es jedenfalls an der Darlegung des Eintritts eines Schadens bei dem Kläger fehlt.

Ein Verstoß gegen Art. 5 DSGVO wegen des Versands der unverschlüsselten E-Mail liegt vor. Dies wurde auch vom Thüringer Landesbeauftragen für den Datenschutz und die Informationsfreiheit mit Bescheid vom 03.08.2023 bestätigt. Ob die Weiterleitung der Daten an den Betriebsrat und die monierte unvollständige Auskunftserteilung ebenfalls Verstöße gegen Regelungen der DSGVO darstellen, kann vorliegend dahinstehen. Denn der Kläger hat bereits keinen Schaden dargelegt.

Soweit der Kläger der Auffassung ist, bereits ein Verstoß gegen die DSGVO genüge für das Entstehen eines Schadensersatzanspruches, kann dem nicht gefolgt werden.

Es ist zwar zutreffend, dass die Frage, ob bereits der Datenschutzverstoß als solcher für das Entstehen eines Schadensersatzanspruchs ausreicht oder es darüber hinaus der Darlegung und des Nachweises eines konkreten (auch: immateriellen) Schadens bedarf, in Rechtsprechung und Literatur umstritten ist. Sowohl der österreichische Oberste Gerichtshof (Vorabentscheidungsersuchen vom 12.05.2021, ZD 2021, S. 631, wobei der Gerichtshof die Auffassung vertritt, es sei der Nachweis eines Schadens erforderlich) als auch das Bundesarbeitsgericht (Vorabentscheidungsersuchen vom 26.08.2021, 8 AZR 253/20-A, wobei das BAG den Nachweis eines Schadens nicht für notwendig hält) haben die hiermit zusammenhängenden Fragen dem Europäischen Gerichtshof zur Vorabentscheidung vorgelegt (OLG Frankfurt, Urteil vom 02.03.2022 – 13 U 206/20 -Rn. 68, 69, juris).

Auf das Vorabentscheidungsersuchen des österreichischen Obersten Gerichtshofes entschied jedoch nunmehr unter dem 04.05.2023 der EuGH, dass Art. 82 Abs.1 DSGVO so auszulegen ist, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadensersatzanspruch zu begründen. Zur Begründung führt der EuGH in seinem Urteil vom 04.05.2023, C-300/21, wie folgt aus:

„Mit seiner ersten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung ausreicht, um einen

Insoweit ist darauf hinzuweisen, dass nach ständiger Rechtsprechung die Begriffe einer Bestimmung des Unionsrechts, die für die Ermittlung ihres Sinnes und ihrer Tragweite nicht ausdrücklich auf das Recht der Mitgliedstaaten verweist, in der Regel in der gesamten Union eine autonome und einheitliche Auslegung erhalten müssen (Urteile vom 22. Juni 2021, Latvijas Republikas Saeima [Strafpunkte], C-439/19, EU:C:2021:504, Rn. 81, und vom 10. Februar 2022, ShareWood Switzerland, C-595/20, EU:C:2022:86, Rn. 21), die insbesondere unter Berücksichtigung des Wortlauts der betreffenden Bestimmung und des Zusammenhangs, in den sie sich einfügt, zu ermitteln ist (vgl. in diesem Sinne Urteile vom 15. April 2021, The North of England P & I Association, C-786/19, EU:C:2021:276, Rn. 48, sowie vom 10. Juni 2021, KRONE – Verlag, C-65/20, EU:C:2021:471, Rn. 25).

Die DSGVO verweist für den Sinn und die Tragweite der in ihrem Art. 82 enthaltenen Begriffe, insbesondere in Bezug auf die Begriffe „materieller oder immaterieller Schaden“ und „Schadenersatz“, nicht auf das Recht der Mitgliedstaaten. Daraus folgt, dass diese Begriffe für die Anwendung der DSGVO als autonome Begriffe des Unionsrechts anzusehen sind, die in allen Mitgliedstaaten einheitlich auszulegen sind.

Was als Erstes den Wortlaut von Art. 82 DSGVO betrifft, ist darauf hinzuweisen, dass nach Abs. 1 dieses Artikels „[j]ede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, … Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter [hat]“.

Zum einen geht aus dem Wortlaut dieser Bestimmung klar hervor, dass das Vorliegen eines „Schadens“ eine der Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadenersatzanspruch darstellt, ebenso wie das Vorliegen eines Verstoßes gegen die DSGVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind.

Daher kann nicht davon ausgegangen werden, dass jeder „Verstoß“ gegen die Bestimmungen der DSGVO für sich genommen den Schadenersatzanspruch der betroffenen Person im Sinne von Art. 4 Nr. 1 dieser Verordnung eröffnet. Eine solche Auslegung liefe dem Wortlaut von Art. 82 Abs. 1 DSGVO zuwider.

Zum anderen ist hervorzuheben, dass die gesonderte Erwähnung eines „Schadens“ und eines „Verstoßes“ in Art. 82 Abs. 1 DSGVO überflüssig wäre, wenn der Unionsgesetzgeber davon ausgegangen wäre, dass ein Verstoß gegen die Bestimmungen der DSGVO für sich allein in jedem Fall ausreichend wäre, um einen Schadenersatzanspruch zu begründen.

Als Zweites wird die vorstehende Wortauslegung durch den Zusammenhang bestätigt, in den sich diese Bestimmung einfügt.

Art. 82 Abs. 2 DSGVO, der die Haftungsregelung, deren Grundsatz in Abs. 1 dieses Artikels festgelegt ist, präzisiert, übernimmt nämlich die drei Voraussetzungen für die Entstehung des Schadenersatzanspruchs, nämlich eine Verarbeitung personenbezogener Daten unter Verstoß gegen die Bestimmungen der DSGVO, ein der betroffenen Person entstandener Schaden und ein Kausalzusammenhang zwischen der rechtswidrigen Verarbeitung und diesem Schaden.

Diese Auslegung wird auch durch die Erläuterungen in den Erwägungsgründen 75, 85 und 146 der DSGVO bestätigt. Zum einen bezieht sich der 146. Erwägungsgrund der DSGVO, der speziell den in Art. 82 Abs. 1 dieser Verordnung vorgesehenen Schadenersatzanspruch betrifft, in seinem ersten Satz auf „Schäden, die einer Person aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht“. Zum anderen heißt es in den Erwägungsgründen 75 und 85 der DSGVO, dass „[d]ie Risiken … aus einer Verarbeitung personenbezogener Daten hervorgehen [können], die zu einem … Schaden führen könnte“ bzw. dass eine „Verletzung des Schutzes personenbezogener Daten … einen … Schaden … nach sich ziehen [kann]“. Daraus ergibt sich erstens, dass der Eintritt eines Schadens im Rahmen einer solchen Verarbeitung nur potenziell ist, zweitens, dass ein Verstoß gegen die DSGVO nicht zwangsläufig zu einem Schaden führt, und drittens, dass ein Kausalzusammenhang zwischen dem fraglichen Verstoß und dem der betroffenen Person entstandenen Schaden bestehen muss, um einen Schadenersatzanspruch zu begründen.

Die Wortauslegung von Art. 82 Abs. 1 DSGVO wird auch durch einen Vergleich mit anderen Bestimmungen bestätigt, die ebenfalls in Kapitel VIII der DSGVO enthalten sind, das u. a. die verschiedenen Rechtsbehelfe regelt, mit denen die Rechte der betroffenen Person im Fall einer Verarbeitung ihrer personenbezogenen Daten, die gegen die Bestimmungen dieser Verordnung verstoßen soll, geschützt werden können.

Hierzu ist festzustellen, dass die in diesem Kapitel enthaltenen Art. 77 und 78 DSGVO im Fall eines behaupteten Verstoßes gegen diese Verordnung Rechtsbehelfe bei einer bzw. gegen eine Aufsichtsbehörde vorsehen, wobei sie – anders als Art. 82 DSGVO in Bezug auf Schadenersatzklagen – keinen Hinweis darauf enthalten, dass der betroffenen Person ein „Schaden“ entstanden sein müsste, um solche Rechtsbehelfe einlegen zu können. Dieser Unterschied in der Formulierung offenbart die Bedeutung des Kriteriums „Schaden“ und damit seine Eigenständigkeit gegenüber dem Kriterium „Verstoß“ für die Zwecke der auf die DSGVO gestützten Schadenersatzansprüche.

Auch haben die Art. 83 und 84 DSGVO, die die Verhängung von Geldbußen und anderen Sanktionen erlauben, im Wesentlichen einen Strafzweck und hängen nicht vom Vorliegen eines individuellen Schadens ab. Das Verhältnis zwischen den in Art. 82 DSGVO und den in den Art. 83 und 84 DSGVO enthaltenen Vorschriften zeigt, dass zwischen diesen beiden Kategorien von Bestimmungen ein Unterschied besteht, sie einander aber als Anreiz zur Einhaltung der DSGVO auch ergänzen, wobei das Recht jeder Person, den Ersatz eines Schadens zu verlangen, die Durchsetzungskraft der in dieser Verordnung vorgesehenen Schutzvorschriften erhöht und geeignet ist, von der Wiederholung rechtswidriger Verhaltensweisen abzuschrecken.

Schließlich ist darauf hinzuweisen, dass nach dem vierten Satz des 146. Erwägungsgrundes der DSGVO die Vorschriften der DSGVO unbeschadet von Schadenersatzforderungen aufgrund von Verstößen gegen andere Vorschriften des Unionsrechts oder des Rechts der Mitgliedstaaten gelten.

Nach alledem ist auf die erste Frage zu antworten, dass Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadenersatzanspruch zu begründen.“

Mit diesen Ausführungen wird nunmehr die Auffassung der Kammer bestätigt, dass für einen Anspruch auf Schadensersatz nach Art. 82 DSGVO neben einem Verstoß auch ein Schaden sowie ein Kausalzusammenhang zwischen Verstoß und Schaden erforderlich ist.

Der Kläger hat einen etwaigen immateriellen Schaden darzulegen und ggf. nachzuweisen.

Das Erfordernis des Nachweises eines tatsächlich erlittenen Schadens ist auch der Sache nach erforderlich, um ein vom Verordnungsgeber nicht gewolltes Ausufern von Schadensersatzforderungen in allen Fällen eines - tatsächlich für den Betroffenen folgenlosen - Datenschutzverstoßes zu vermeiden (OLG Frankfurt, Urteil vom 02.03.2022 – 13 U 206/20 -Rn. 73, juris).

Das Vorliegen eines konkreten immateriellen Schadens hat der Kläger nicht ausreichend dargetan. Im vorliegenden Fall ist nicht ersichtlich, inwieweit der Kläger einen Kontrollverlust erlitten haben will. Es ist nicht ersichtlich, dass der Kläger daran gehindert wurde, die ihn betreffenden personenbezogenen Daten zu kontrollieren. Darüber hinaus stellt nach Auffassung der Kammer ein bloßer, abstrakter Kontrollverlust auch keinen konkreten immateriellen Schaden dar.

2. Ein Anspruch des Klägers gegen die Beklagte auf Zahlung eines angemessenen Schmerzensgeldes unter dem Gesichtspunkt der Verletzung seines allgemeinen Persönlichkeitsrechts §§ 823 Abs. 1, 253 BGB in Verbindung mit Art. 1 Abs. 1, Art. 2 Abs. 1 GG besteht ebenfalls nicht.

Soweit der Kläger eine Entschädigung begehrt und argumentiert, dass alle immateriellen Schäden ersatzfähig seien, welche i.d.R. aus der Verletzung des allgemeinen Persönlichkeitsrechts heraus resultieren, kommen die genannten Normen auch als Anspruchsgrundlage in Betracht.

Das allgemeine Persönlichkeitsrecht dient in erster Linie dem Schutz ideeller Interessen, insbesondere dem Schutz des Wert- und Achtungsanspruchs der Persönlichkeit. Dieser Schutz wird dadurch verwirklicht, dass bei einer schweren Persönlichkeitsrechtsverletzung - neben negatorischen Schutzansprüchen und Ansprüchen auf Ersatz des materiellen Schadens - auch Ansprüche in Betracht kommen, die auf den Ausgleich immaterieller Beeinträchtigungen durch Zahlung einer Geldentschädigung gerichtet sind. Bei schwerwiegenden Verletzungen des allgemeinen Persönlichkeitsrechtsrechts besteht daher nach ständiger, mittlerweile gewohnheitsrechtlich anerkannter höchstrichterlicher Rechtsprechung ein Anspruch auf Ausgleich der dadurch verursachten immateriellen Schäden, der unmittelbar aus dem Schutzauftrag der Art. 1 Abs. 1, 2 Abs. 1 GG abgeleitet wird (OLG Düsseldorf, Beschluss vom 16.02.2021 – 16 U 269/20 – Rn. 14 m.w.N., juris).

Ein derartiger Anspruch scheitert vorliegend bereits daran, dass keine schwerwiegende Verletzung des allgemeinen Persönlichkeitsrechts dargetan wurde.

II. Das Verfahren war weder auszusetzen, noch das Ruhen des Verfahrens anzuordnen.


1. Entgegen der Ansicht des Klägers war das Gericht nicht gehalten, das vorliegende Verfahren auszusetzen. Das Verfahren war entscheidungsreif. Eine Aussetzung nach § 148 ZPO kam daher nicht in Betracht. Im Übrigen sind Bescheide des Landesdatenschutzbeauftragen nicht vorgreiflich im Sinne dieser Norm. Zudem ist unklar, ob weitere beim Landesdatenschutzbeauftragten anhängige Beschwerden überhaupt in Zusammenhang mit den hier behaupteten Datenschutzverstößen stehen.

Vielmehr geht die Kammer davon aus, dass mit Bescheid vom 03.08.2023 abschließend über die behaupteten Verstöße (unverschlüsselte E-Mail, Weiterleitung an Betriebsrat und unvollständige Auskunft) entschieden wurde. Entgegen der Darstellung des Klägers mit Beschwerdeformular vom 23.12.2021 sei ein weiterer Verstoß gerügt worden, betrifft diese Beschwerde offensichtlich den bereits dargelegten Verstoß der Auskunft per unverschlüsselter E-Mail.

Unter dem 25.01.2023 (Anlage K 3, Bl. 14 der Akte) erhielt der Kläger vom TLfDI eine Mittelung zur Beschwerde über Datenschutzverletzungen im A. In dem Schreiben wurde dargelegt, dass die Übermittlung mittels unverschlüsselter E-Mail als Verstoß gegen Art. 5 DSGVO zu werten ist. Es wurde auf ein laufendes Anhörungsverfahren hingewiesen und mitgeteilt, dass der Kläger über den Ausgang des Verfahrens informiert wird. Nach dem Antrag des Klägers auf Ergänzungsprüfung vom 30.03.2023 (Anlage K 4, Bl. 16 f. der Akte) und seiner weiteren Beschwerde vom 19.06.2023 (Anlage K5, Bl. 18 f. der Akte) erging am 03.08.2023 ein Bescheid. Mit dem Inhalt dieses Bescheides (Anlage K 6 Bl. 30 f. der Akte) ist davon auszugehen, dass damit abschließend über die Beschwerden des Klägers entschieden wurde. Denn der Bescheid ist überschrieben mit „Ihre Beschwerde über Datenschutzverletzungen im A in Bezug auf ihr Auskunftsersuchen“. Es wird ausgeführt: „das o.g. Verwaltungsverfahren zu Ihrer Beschwerde vom 23. Dezember 2021 ist abgeschlossen.“ Im Absatz vor der Rechtsbehelfsbelehrung wird zudem ausgeführt: „Weitere Maßnahmen sind nicht erforderlich. Auch aus Ihrem Schreiben vom 19. Juni 2023 ergibt sich nichts Anderes, weil wegen der fehlerhaften Auskunftserteilung eine Verwarnung erteilt wurde und Ihnen die begehrten Informationen vorliegen.“

Den Volltext der Entscheidung finden Sie hier:

BGH
Urteil vom 27.09.2023
IV ZR 177/22
Verordnung (EU) 2016/679 Art. 15 Abs. 1, 3; BGB § 242

Wir hatten bereits in dem Beitrag BGH: Kein Anspruch aus Art. 15 DSGVO gegen private Krankenversicherung auf Abschriften von Beitragsanpassungsschreiben - Aber möglicherweise Auskunftsanspruch aus Treu und Glauben über die Entscheidung berichtet.

Leitsätze des BGH:
a) Dem Versicherungsnehmer kann aus Treu und Glauben ein Auskunftsanspruch über zurückliegende Prämienanpassungen in der privaten Krankenversicherung zustehen, wenn er in entschuldbarer Weise über
Bestehen und Umfang seines Rechts im Ungewissen ist.

b) Aus Art. 15 Abs. 1 und 3 DSGVO folgt grundsätzlich kein Anspruch auf Abschriften der Begründungsschreiben zu den Prämienanpassungen samt Anlagen.

BGH, Urteil vom 27. September 2023 - IV ZR 177/22 - OLG Frankfurt am Main - LG Gießen

Den Volltext der Entscheidung finden Sie hier:

BGH
Urteil vom 27.09.2023
IV ZR 177/22

Der BGH hat entschieden, dass ein Versicherungsnehmer keinen Anspruch aus Art. 15 DSGVO gegen eine private Krankenversicherung auf Abschriften von Beitragsanpassungsschreiben hat. Ein solcher Anspruch kann sich aber möglicherweise aus Treu und Glauben (§ 242 BGB) ergeben.


Die Pressemitteilung des BGH:
Zum Auskunftsanspruch über frühere Prämienanpassungen in der privaten Krankenversicherung

Der unter anderem für das Versicherungsvertragsrecht zuständige IV. Zivilsenat des Bundesgerichtshofs hat entschieden, dass dem Versicherungsnehmer aus Treu und Glauben ein Auskunftsanspruch über zurückliegende Prämienanpassungen in der privaten Krankenversicherung zustehen kann, wenn er in entschuldbarer Weise über Bestehen und Umfang seines Rechts im Ungewissen ist. Dagegen folgt aus Art. 15 Abs. 1 und 3 der Verordnung (EU) 2016/679 (Datenschutzgrundverordnung - DSGVO) grundsätzlich kein Anspruch auf Abschriften der Begründungsschreiben zu den Prämienanpassungen samt Anlagen.

Sachverhalt und Prozessverlauf:

Der Kläger wendet sich gegen die Wirksamkeit von Prämienanpassungen in seiner privaten Krankenversicherung. Mit der Klage hat er vom beklagten Versicherer unter anderem Auskunft über alle Beitragserhöhungen aus den Jahren 2013 bis 2016 durch Vorlage von Unterlagen verlangt, die Angaben zur Höhe der Beitragserhöhungen unter Benennung der jeweiligen Tarife, die ihm übermittelten Anschreiben mit Begründungen, die Nachträge zum Versicherungsschein sowie die Beiblätter enthalten. Diesen Antrag hat er im Rahmen einer Stufenklage gestellt, mit der er unter anderem die Feststellung, dass die noch genauer zu bezeichnenden Erhöhungen unwirksam seien, und die Zahlung eines nach Erteilung der Auskunft noch zu beziffernden Betrages verlangt hat.

Das Landgericht hat die Klage abgewiesen. Das Berufungsgericht hat das landgerichtliche Urteil zum Teil abgeändert und die Beklagte unter anderem antragsgemäß zur Auskunftserteilung verurteilt. Soweit die Klage Erfolg hatte, richtet sich dagegen die Revision der Beklagten.

Die Entscheidung des Senats:

Der Bundesgerichtshof hat entschieden, dass die Auskunftsklage zulässig ist. Zwar ist das Rechtsschutzbegehren als Stufenklage im Sinne des § 254 Zivilprozessordnung unzulässig, da es dem Kläger nicht um die Bezifferung eines Anspruchs, sondern um die Prüfung geht, ob überhaupt ein Anspruch besteht. Der Auskunftsantrag kann jedoch in eine von der Stufung unabhängige Klage umgedeutet werden. Der Kläger hat auch ein berechtigtes Interesse an der begehrten Auskunft, da er sie benötigt, um zu prüfen, ob vergangene Beitragserhöhungen unwirksam waren und ihm daraus Rückzahlungsansprüche zustehen.

Einem Versicherungsnehmer kann aus Treu und Glauben ein Auskunftsanspruch über zurückliegende Prämienanpassungen zustehen. Dieser Anspruch setzt zunächst voraus, dass ihm noch Rückzahlungsansprüche aufgrund früherer Prämienerhöhungen, falls diese unwirksam gewesen sein sollten, als Grund für das Auskunftsbegehren zustehen könnten. Darüber hinaus ist erforderlich, dass er nicht mehr über die betreffenden Unterlagen verfügt und sich die notwendigen Informationen nicht selbst auf zumutbare Weise verschaffen kann. Wenn dies der Fall ist, ist unter Berücksichtigung der Gründe für diesen Verlust zu entscheiden, ob er in entschuldbarer Weise über sein Recht im Ungewissen ist. Die hierfür maßgebenden Umstände hat der Versicherungsnehmer darzulegen und zu beweisen.

Dagegen folgt ein solcher Auskunftsanspruch grundsätzlich nicht aus Art. 15 Abs. 1, 3 DSGVO. Ein Anspruch auf eine Abschrift der gesamten Begründungsschreiben samt Anlagen lässt sich aus Art. 15 Abs. 1 DSGVO nicht herleiten, da es sich weder bei den Anschreiben selbst noch bei den beigefügten Anlagen jeweils in ihrer Gesamtheit um personenbezogene Daten des Versicherungsnehmers handelt. Aus Art. 15 Abs. 3 DSGVO ergibt sich nur ein Anspruch auf eine Kopie der Daten, zu denen nach Art. 15 Abs. 1 DSGVO Auskunft zu erteilen wäre, aber grundsätzlich kein Anspruch auf Herausgabe von Kopien bestimmter Dokumente. Dazu hat der Gerichtshof der Europäischen Union mit Urteil vom 4. Mai 2023 (C-487/21, NJW 2023, 2253) entschieden, dass Art. 15 Abs. 1 DSGVO den Gegenstand und den Anwendungsbereich des Auskunftsrechts und Art. 15 Abs. 3 DSGVO die praktischen Modalitäten für die Erfüllung der Verpflichtung festlege; daher könne Art. 15 DSGVO nicht so ausgelegt werden, dass er in seinem Abs. 3 Satz 1 ein anderes Recht als das in seinem Abs. 1 vorgesehene gewähre.

Die Revision hatte auf dieser Grundlage zum Teil Erfolg und führte unter anderem zu einer Aufhebung des Berufungsurteils hinsichtlich der Auskunftsklage. Soweit das Berufungsgericht noch nicht alle Voraussetzungen für einen Auskunftsanspruch aus Treu und Glauben geprüft hat, hat der Bundesgerichtshof die Sache zur neuen Verhandlung und Entscheidung an das Berufungsgericht zurückverwiesen, damit es dies nachholen kann.

Vorinstanzen:

OLG Frankfurt am Main - Urteil vom 7. April 2022 - 3 U 266/21

LG Gießen - Urteil vom 31. August 2021 - 2 O 545/20

Die maßgebliche Vorschriften lauten:

§ 254 ZPO

Wird mit der Klage auf Rechnungslegung oder auf Vorlegung eines Vermögensverzeichnisses oder auf Abgabe einer eidesstattlichen Versicherung die Klage auf Herausgabe desjenigen verbunden, was der Beklagte aus dem zugrunde liegenden Rechtsverhältnis schuldet, so kann die bestimmte Angabe der Leistungen, die der Kläger beansprucht, vorbehalten werden, bis die Rechnung mitgeteilt, das Vermögensverzeichnis vorgelegt oder die eidesstattliche Versicherung abgegeben ist.

§ 242 BGB

Der Schuldner ist verpflichtet, die Leistung so zu bewirken, wie Treu und Glauben mit Rücksicht auf die Verkehrssitte es erfordern.

Art. 15 DSGVO

(1) Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:

…

(3) 1Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung. …

VG Berlin
Beschluss vom 24.04.2023
VG 1 K 227/22

Das VG Berlin hat entschieden, dass die Erfüllung eines Auskunftsanspruchs nach Art. 15 DSGVO verweigert werden kann, wenn sich der Anspruchsteller zu Klärung der Identität weigert, sein Geburtsdatum mitzuteilen.

Aus den Entscheidungsgründen:
Die beabsichtigte Klage, die bei Auslegung des Begehrens des Antragstellers nach § 88 VwGO darauf gerichtet ist, den Antragsgegner unter Aufhebung des Bescheides der Berliner Beauftragten für Datenschutz und Informationsfreiheit vom 16. Mai 2022 zu verpflichten, unter Beachtung der Rechtsauffassung des Gerichts erneut über die durch den Antragsteller erhobene Beschwerde gegen die W... zu entscheiden, hat offenkundig keine Aussicht auf Erfolg.

Der angegriffene Bescheid ist nicht rechtswidrig und verletzt den Antragsteller daher nicht in seinen Rechten, denn er hat keinen Anspruch auf Verpflichtung des Antragsgegners zu einer erneuten Entscheidung über seine Beschwerde.

Anspruchsgrundlage für das klägerische Begehren ist Art. 57 Abs. 1 lit. f) DSGVO. Erhebt eine betroffene Person – wie hier der Antragsteller – eine Beschwerde im Sinne von Art. 77 DSGVO, muss sich die Aufsichtsbehörde nach Art. 57 Abs. 1 lit. f) DSGVO mit der Beschwerde befassen, den Gegenstand der Beschwerde in angemessenem Umfang untersuchen und den Beschwerdeführer innerhalb einer angemessenen Frist über den Fortgang und das Ergebnis der Untersuchung unterrichten. Die Aufsichtsbehörde ist hiernach verpflichtet, die Beschwerde mit aller gebotenen Sorgfalt und in angemessenem Umfang zu prüfen, wobei der Amtsermittlungsgrundsatz gilt. Maßstab für den Umfang der Ermittlungen ist insbesondere die Schwere des in Rede stehenden Verstoßes (Bergt, in: Kühling/Buchner, Datenschutz-Grundverordnung BDSG, 3. Auflage 2020, Art. 77 DS-GVO, Rn. 16).

Nach Maßgabe dieser Grundsätze hat der Antragsgegner seine Pflichten bei der Bearbeitung der Beschwerde erfüllt. Der Antragsgegner hat den Sachverhalt ermittelt. Er hat das Beschwerdevorbringen des Antragstellers zur Kenntnis genommen und die W... am 1. Juli 2021 und am 14. Dezember 2021 zur Stellungnahme aufgefordert. Der Antragsgegner hat den Sachverhalt anschließend bewertet und dem Antragssteller das Ergebnis seiner Prüfung mit Bescheid vom 16. Mai 2022 mitgeteilt.

Umstritten ist, ob eine weitergehende gerichtliche Überprüfung, ob die Beschwerdeentscheidung des Beklagten auch inhaltlich zutreffend ist, vorzunehmen ist. Dies hat die Kammer mit der Begründung verneint, dass das Beschwerderecht als Petitionsrecht ausgestaltet sei (vgl. Beschluss vom 28. Januar 2019 – VG 1 L 1.19, juris Rn. 5; so auch mit eingehender Begründung OVG Koblenz, a.a.O., Rn. 37 ff.; a.A. Halder, jurisPR-ITR 16/2020 Anm. 6; Bergt, a.a.O., Rn. 17, jeweils mit weiteren Nachweisen; siehe zum Problem auch Will, ZD 2020, 97). Die Beantwortung dieser Rechtsfrage kann aber vorliegend offenbleiben, da der Anspruch des Antragstellers auch unter Zugrundelegung der Gegenmeinung erfüllt ist (ebenso Urteil der Kammer vom 7. April 2022, VG 1 K 391/20, juris, Rn. 40). Nach der Gegenauffassung steht der betroffenen Person ein Anspruch auf eine ermessensfehlerfreie Entscheidung zu, welche gerichtlich umfassend überprüfbar und durchsetzbar ist (Halder, jurisPRITR 16/2020 Anm. 6; VG Ansbach, Urteil vom 8. August 2019, AN 14 K 19.00272, juris, Rn. 43). Folgt man dem, hat das Gericht nicht nur Beschwerdeschreiben und Beschwerdeentscheidung zu prüfen, sondern den vollständigen Verfahrensakt einschließlich aller Stellungnahmen des Verantwortlichen und sonstigen Untersuchungsbefunde der Aufsichtsbehörde (Will, ZD 2020, 97, 98). Auch unter Zugrundelegung dieses Maßstabs ist aber der Anspruch des Antragstellers auf eine ermessenfehlerfreie Entscheidung über seine Beschwerde erfüllt.

Hinsichtlich des aufsichtsrechtlichen Vorgehens steht der Behörde ein weiter Ermessensspielraum zu (Paal/Pauly, DS-GVO BDSG, 3. Auflage 2021, Art. 77 DS-GVO, Rn. 5). Lediglich bei festgestellten Rechtsverstößen ist die Aufsichtsbehörde im Rahmen des ihr eröffneten Entschließungsermessens verpflichtet, hiergegen mit dem Ziel der Abstellung des Verstoßes vorzugehen. Ein Anspruch auf eine bestimmte Maßnahme besteht zudem nur im Fall einer Reduzierung auch des Auswahlermessens „auf Null“ (OVG Hamburg, Urteil vom 7. Oktober 2019 – 5 Bf 279/17, juris Rn. 72).

Diesen Maßgaben genügt das durch den Antragsgegner gewählte Vorgehen, der die W... zur Stellungnahme aufgefordert, den Sachverhalt beurteilt und die Beschwerde mangels eines erkennbaren Verstoßes gegen datenschutzrechtliche Bestimmungen zurückgewiesen hat. Der Antragsgegner ist insbesondere zutreffend davon ausgegangen, dass die W... dem Antragsteller gegenüber die begehrte Auskunft nach Art. 15 DSGVO deshalb zu Recht verweigert hat, weil die Voraussetzungen des Art. 12 Abs. 6 DSGVO vorlagen.

Nach Art. 12 Abs. 6 DSGVO kann der Verantwortliche zusätzliche Informationen anfordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind, wenn er begründete Zweifel an der Identität der natürlichen Person hat, die den Antrag gemäß den Artikeln 15 bis 21 stellt. Zweifel an der Identität setzen voraus, dass die vorhandenen Daten auf eine bestimmte Identität hindeuten und somit eine Identifizierung grundsätzlich möglich ist, aber nach den Umständen Zweifel daran bestehen, ob der Antragsteller tatsächlich die als Betroffener identifizierte Person ist. Der Verantwortliche hat seine Zweifel einzelfallbezogen darzulegen. Gleichzeitig besteht für den Betroffenen eine Mitwirkungsobliegenheit, denn ohne dessen Mitwirkung wird es dem Verantwortlichen nicht möglich sein, die dargelegten Identitätszweifel zu entkräften. Hintergrund der Regelung ist, dass die Informationen nur denjenigen zur Verfügung gestellt werden sollen, die auch tatsächlich durch die Datenverarbeitung betroffen sind (Schneider/Schwartmann, DS-GVO/BDSG 2. Auflage, Art. 12, Rn. 70).

Es bestanden jedoch in diesem Sinne Zweifel an der Identität des Antragstellers. Dabei war auch die Sensibilität der abgefragten Informationen zu berücksichtigen. Denn Wirtschaftsauskunfteien wie die W...speichern im Einzelfall ein erhebliches Maß zahlreicher personenbezogener Informationen, insbesondere solcher, die einen Schluss auf die Bonität einer Person zulassen, wie etwa bestehende Verbindlichkeiten. Diese Daten wiederum sind ein kommerzialisiertes Wirtschaftsgut, weshalb ein Interesse Dritter an diesen Daten nicht von vornherein fernliegend oder ausgeschlossen ist. Mit Blick auf den Zweck des Art. 12 Abs. 6 DSGVO, die missbräuchliche Geltendmachung der Rechte nach Art. 15 bis 22 DSGVO durch unbefugte Dritte zu verhindern (Wybitul, Handbuch DS-GVO, 1. Auflage 2017, Art. 12-15, Rn. 17), ist es nicht zu beanstanden, dass die W... und mit ihr der Antragsgegner die Zweifel an der Identität des Antragstellers für begründet hielt.

Die W... hat dem Antragsgegner diesbezüglich nachvollziehbar mitgeteilt, dass eine zweifelsfreie Identifikation des Antragstellers nicht möglich gewesen sei, weil es namentliche und/oder weitere Überschneidungen zu weiteren Datensätzen gab. Plausibel erscheint dies schon deshalb, weil Wirtschaftsauskunfteien personenbezogene Daten zahlreicher Personen speichern, so dass nicht unwahrscheinlich erscheint, dass Datensätze unterschiedlicher Personen gespeichert sind, die den gleichen Vor- und Nachnamen tragen. Zudem kann es durch einen Adress- oder Namenswechsel oder aufgrund von Zahlendrehern bzw. unrichtigen Schreibweisen zu Überschneidungen bei mehreren Datensätzen kommen, die letztlich ein- und derselben Person zuzuordnen sind.

Derart begründete Zweifel an der Identität des Antragstellers werden auch nicht durch die seinerseits behauptete empirische Seltenheit seines Namens oder durch seine Behauptung, er sei die einzige Person, die unter seinem Namen an seiner Wohnanschrift gemeldet sei, ausgeräumt. Denn bereits nach einer einfachen Internetrecherche existieren im Bundesgebiet zwei unterschiedliche Personen, die den Vor- und Nachnamen des Antragstellers tragen. Zum anderen besteht jedenfalls die Möglichkeit, dass Umzüge des Antragstellers oder Ungenauigkeiten bei der Schreibweise seines Namens zu der von der W...angegebenen Überschneidung mehrerer Datensätze geführt haben. Dass dies nicht vollkommen fernliegend ist, zeigt schon der Umstand, dass in einem Bescheid des Jobcenters Hamburg, den der Antragsteller zum Nachweis seiner wirtschaftlichen Verhältnisse übersandt hat, sein Nachname (wohl versehentlich) mit „ß“ geschrieben wird, während der Antragsteller selbst im vorliegenden Verfahren die Schreibweise mit „ss“ gewählt hat.

Aus der vom Antragsteller angeführten Entscheidung der Kammer vom 31. August 2020 (Urteil vom 31. August 2020 – VG 1 K 90.19, juris) folgt nichts anderes, da der vorliegende Sachverhalt wesentlich von dem damals zu entscheidenden abweicht. Die Kammer hat in jener Entscheidung zum einen darauf abgestellt, dass das Amtsgericht Tiergarten dem dortigen Kläger bereits mehrfach Entscheidungen unter seiner gegenwärtigen Adresse übersandt hatte. Zum anderen fehlten in jenem Verfahren Anhaltspunkte dafür, dass Dritte ein Interesse an der begehrten Auskunft gehabt haben könnten und sich durch Benutzung einer falschen Identität die Auskunft erschleichen könnten (a.a.O., juris Rn. 13). Vorliegend fehlt es dagegen an einer vorangegangenen Korrespondenz oder sonstigen Informationen, die eine zweifelsfreie Identifizierung hätten ermöglichen können; zudem war nicht sicher auszuschließen, dass Dritte ein Interesse daran hatten, an die sensiblen, bei der W...gespeicherten Informationen zu gelangen.

Hat der Verantwortliche begründete Zweifel an der Identität der betroffenen Person, so sollte er – wie sich aus Erwägungsgrund 64 Satz 1 DSGVO ergibt – alle vertretbaren Mittel nutzen, um die Identität einer Auskunft suchenden betroffenen Person zu überprüfen. Die Anforderung der W..., der Antragsteller möge zur Identifikation sein Geburtsdatum und gegebenenfalls frühere Anschriften nennen, stellt sich als in diesem Sinne vertretbare Maßnahme zur Identifikation dar (Wolff/Brink, Datenschutzrecht 2. Auflage 2022, DS-GVO Art. 12, Rn. 49). Das Geburtsdatum einer Person ist zur Identifizierung geeignet, da es eine häufig für Dritte weniger ersichtliche persönliche Information darstellt, auch wenn es einen Missbrauch nicht gänzlich ausschließt (Wybitul, a.a.O., Art. 12-15, Rn. 17). Die Abfrage des Geburtsdatums steht zu dem Zweck der Identifizierung des Antragstellers auch nicht außer Verhältnis, insbesondere mit Blick auf die erhöhte Sensibilität der bei Wirtschaftsauskunfteien gespeicherten Daten und dem aufgrund der Kommerzialisierung derartiger Daten gesteigerten Missbrauchspotential. Der Antragsteller hat jedoch – unter Verstoß auf die ihm obliegende Mitwirkungspflicht – nicht auf die damit berechtigte Anfrage der W...reagiert.

Den Volltext der Entscheidung finden Sie hier: