BGH
Urteil vom 28.01.2025 VI ZR 109/23
DSGVO Art. 82 Abs. 1
Der BGH hat entschieden, dass die Zusendung einer Werbe-E-Mail allein nicht zur Begründung eines Schadensersatzanspruchs aus Art. 82 Abs. 1 DSGVO genügt.
Leitsatz des BGH:
Zur Frage des immateriellen Schadens im Sinne des Art. 82 Abs. 1 DSGVO.
BGH, Urteil vom 28. Januar 2025 - VI ZR 109/23 - LG Rottweil - AG Tuttlingen
Aus den Entscheidungsgründen: a) Die Ablehnung einer Erheblichkeitsschwelle durch den Gerichtshof bedeutet nicht, dass eine Person, die von einem Verstoß gegen die Datenschutz-Grundverordnung betroffen ist, der für sie negative Folgen gehabt hat, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 dieser Verordnung darstellen (vgl. EuGH, Urteil vom 20. Juni 2024 - C-590/22, DB 2024, 1676 Rn. 27 - PS GbR; Senatsurteil vom 18. November 2024 - VI ZR 10/24, DB 2024, 3091 Rn. 29; jeweils mwN). Der bloße Verstoß gegen die Bestimmungen der Datenschutz-Grundverordnung reicht nach der Rechtsprechung des Gerichtshofs nicht aus, um einen Schadensersatzanspruch zu begründen, vielmehr ist darüber hinaus - im Sinne einer eigenständigen Anspruchsvoraussetzung - der Eintritt eines Schadens (durch diesen Verstoß) erforderlich (st. Rspr., vgl. EuGH, Urteil vom 20. Juni 2024 - C-590/22, DB 2024, 1676 Rn. 25 - PS GbR; Senatsurteil vom 18. November 2024 - VI ZR 10/24, DB 2024, 3091 Rn. 28; jeweils mwN).
b) Das Berufungsgericht hat den Vortrag des Klägers - auch den Vortrag in der Klageschrift, auf den die Revision verweist - zu Recht als nicht hinreichend zur Darlegung eines immateriellen Schadens des Klägers angesehen. Deshalb bedarf es keiner Entscheidung, ob überhaupt ein Verstoß gegen die Datenschutz-Grundverordnung vorlag (Art. 95 DSGVO, Art. 13 Abs. 2 der Richtlinie 2002/58/EG, § 7 Abs. 3 UWG).
Die Revision ist der Ansicht, der Kläger habe ausreichend zu einem immateriellen Schaden vorgetragen, der ihm aus dem gerügten Verstoß gegen die Datenschutz-Grundverordnung entstanden sei. So habe er bereits in der Klageschrift darauf hingewiesen, durch Zusendungen der in Rede stehenden Art werde das ungute Gefühl erweckt, dass personenbezogene Daten Unbefugten bekannt gemacht worden seien, eben weil die Daten unbefugt verwendet worden seien. Der Kläger habe sich mit der Abwehr der von ihm unerwünschten Werbung und der Herkunft der Daten auseinandersetzen müssen, was zu einem durchaus belastenden Eindruck des Kontrollverlusts geführt habe. Außerdem habe der Beklagte nach dem Verstoß zunächst einmal nicht reagiert; darin komme eine erneute Missachtung des Klägers zum Ausdruck.
Aus diesem Vortrag ergibt sich jedoch nicht, dass dem Kläger durch die Verwendung seiner E-Mail-Adresse ohne Einwilligung zum Zweck der Zusendung einer Werbe-E-Mail ein immaterieller Schaden entstanden wäre. Es liegt weder ein auf dem gerügten Verstoß beruhender Kontrollverlust des Klägers über seine personenbezogenen Daten vor (hierzu unter aa)), noch ist die vom Kläger geäußerte Befürchtung eines Kontrollverlusts substantiiert dargelegt (unter bb)). Das Berufungsgericht hat auch keine weiteren Umstände festgestellt, aus denen sich ein immaterieller Schaden ergäbe. Die Revision zeigt insoweit keinen übergangenen Vortrag auf (unter cc)).
aa) Der Gerichtshof hat in seiner jüngeren Rechtsprechung unter Bezugnahme auf ErwG 85 DSGVO (vgl. ferner ErwG 75 DSGVO) klargestellt, dass schon der - selbst kurzzeitige - Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden darstellen kann, ohne dass dieser Begriff des "immateriellen Schadens" den Nachweis zusätzlicher spürbarer negativer Folgen erfordert (EuGH, Urteil vom 4. Oktober 2024 - C-200/23, juris Rn. 145, 156 i.V.m. 137 - Agentsia po vpisvaniyata; Senatsurteil vom 18. November 2024 - VI ZR 10/24, DB 2024, 3091 Rn. 30 mwN)
Freilich muss auch insoweit die betroffene Person den Nachweis erbringen, dass sie einen solchen - d.h. in einem bloßen Kontrollverlust als solchem bestehenden - Schaden erlitten hat (vgl. EuGH, Urteil vom 20. Juni 2024 - C-590/22, DB 2024, 1676 Rn. 33 - PS GbR; Senatsurteil vom 18. November 2024 - VI ZR 10/24, DB 2024, 3091 Rn. 31 mwN). Ist dieser Nachweis erbracht, steht der Kontrollverlust also fest, stellt dieser selbst den immateriellen Schaden dar und es bedarf keiner sich daraus entwickelnden besonderen Befürchtungen oder Ängste der betroffenen Person; diese wären lediglich geeignet, den eingetretenen immateriellen Schaden noch zu vertiefen oder zu vergrößern (Senatsurteil vom 18. November 2024 - VI ZR 10/24, DB 2024, 3091 Rn. 31).
Weder den Feststellungen des Berufungsgerichts noch den Angaben in der Klageschrift, auf die die Revision verweist, ist zu entnehmen, dass der Kläger aufgrund der Verwendung seiner E-Mail-Adresse zur Übersendung der Werbe-E-Mail am 20. März 2020 einen Kontrollverlust über seine personenbezogenen Daten erlitten hätte. Ein Kontrollverlust könnte allenfalls dann vorliegen, wenn der Beklagte die Daten des Klägers mit der Übersendung der Werbe-E-Mail zugleich Dritten zugänglich gemacht hätte. Das war aber nicht der Fall (zu den Voraussetzungen eines Kontrollverlusts auch BAG, DB 2024, 3114 Rn. 18).
bb) Wenn ein Kontrollverlust nicht nachgewiesen werden kann, reicht die begründete Befürchtung einer Person, dass ihre personenbezogenen Daten aufgrund eines Verstoßes gegen die Verordnung von Dritten missbräuchlich verwendet werden, aus, um einen Schadensersatzanspruch zu begründen (vgl. EuGH, Urteil vom 25. Januar 2024 - C-687/21, CR 2024, 160 Rn. 67 - MediaMarktSaturn; Senatsurteil vom 18. November 2024 - VI ZR 10/24, DB 2024, 3091 Rn. 32 mwN). Die Befürchtung samt ihrer negativen Folgen muss dabei ordnungsgemäß nachgewiesen sein (vgl. EuGH, Urteil vom 20. Juni 2024 - C-590/22, DB 2024, 1676 Rn. 36 - PS GbR; Senatsurteil vom 18. November 2024 - VI ZR 10/24, DB 2024, 3091 Rn. 32 mwN). Demgegenüber genügt die bloße Behauptung einer Befürchtung ohne nachgewiesene negative Folgen ebenso wenig wie ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten (vgl. EuGH, Urteile vom 20. Juni 2024 C-590/22, DB 2024, 1676 Rn. 35 - PS GbR; Senatsurteil vom 18. November 2024 - VI ZR 10/24, DB 2024, 3091 Rn. 32 mwN).
Die Revision verweist hierzu auf Vortrag des Klägers, aus dem sich die Befürchtung ergebe, der Beklagte werde die E-Mail-Adresse des Klägers auch Dritten zugänglich machen, da er sie bereits unbefugt (gegenüber dem Kläger) verwendet habe. Damit legt der Kläger aber nur die - im Übrigen aus sich heraus nicht ohne Weiteres nachvollziehbare - Befürchtung weiterer Verstöße gegen die Datenschutz-Grundverordnung durch den Beklagten dar. Diese könnten unter Umständen zu eigenständigen Schadensersatzansprüchen führen. Ein sich daraus gegebenenfalls ergebender Kontrollverlust hätte seine Ursache aber nicht in dem streitgegenständlichen Verstoß. Auch die von der Revision angeführte Abwehr der unerwünschten Werbung rechtfertigt den behaupteten Eindruck eines Kontrollverlusts für sich genommen nicht.
cc) Das Berufungsgericht hat ausgeführt, der Kläger habe zu einer objektiv nachvollziehbaren Beeinträchtigung persönlichkeitsbezogener Belange nicht hinreichend vorgetragen. Demgegenüber macht die Revision geltend, ein immaterieller Schaden liege in der Missachtung des Klägers, die sich auch in der fehlenden Reaktion des Beklagten auf die E-Mail des Klägers vom 20. März 2020 und auf ein gleichlautendes Fax vom 20. April 2020 zeige.
Die Übersendung der Werbe-E-Mail begründet allenfalls den gerügten Verstoß gegen die Datenschutz-Grundverordnung. Dieser reicht allein nicht aus, um zugleich einen immateriellen Schaden im Sinne des Art. 82 Abs. 1 DSGVO zu begründen (vgl. EuGH, Urteil vom 11. April 2024 - C-741/21, VersR 2024, 1147 Rn. 18 f., 30, 37, 43 - juris, zur Direktwerbung per E-Mail trotz Widerspruchs). Die - durch Übersendung der Werbe-E-Mail erfolgte - Kontaktaufnahme als solche ist nicht ehrverletzend (vgl. Senatsurteil vom 10. Juli 2018 - VI ZR 225/17, BGHZ 219, 233 Rn. 14 mwN). Die unterbliebene Reaktion des Beklagten auf die E-Mail vom 20. April 2019 und das Fax vom 6. April 2020 könnte einen immateriellen Schaden des Klägers allenfalls vertiefen, aber nicht begründen.
EuGH
Urteil vom 27.02.2025 C-203/22
Dun & Bradstreet Austria
Der EuGH hat entschieden, dass ein Kunde nach der DSGVO bei einer automatisierten Bonitätsberuteilung Auskunft darüber verlangen kann, wie diese Entscheidung zustandegekommen ist.
Die Pressemitteilung des Gerichts: Automatisierte Bonitätsbeurteilung: Die betroffene Person hat das Recht, zu erfahren, wie die sie betreffende Entscheidung zustande kam
Die Erläuterung muss es ihr ermöglichen, die automatisierte Entscheidung nachzuvollziehen und sie anzufechten.
In Österreich verweigerte ein Mobilfunkanbieter einer Kundin den Abschluss eines Vertrags, da sie über keine ausreichende Bonität verfüge. Er stützte sich dafür auf eine Bonitätsbeurteilung der Kundin, die von Dun & Bradstreet Austria, einem auf die Erstellung solcher Beurteilungen spezialisierten Unternehmen, automatisiert durchgeführt worden war. Der Vertrag hätte die Kundin zu einer monatlichen Zahlung von zehn Euro verpflichtet.
Im Rahmen des daran anschließenden Rechtsstreits stellte ein österreichisches Gericht rechtskräftig fest, dass Dun & Bradstreet gegen die Datenschutz-Grundverordnung (DSGVO)1 verstoßen habe. Dun & Bradstreet habe der Kundin nämlich keine „aussagekräftigen Informationen über die involvierte Logik“ der betreffenden automatisierten Entscheidungsfindung übermittelt. Zumindest habe das Unternehmen nicht hinreichend begründet, weshalb es nicht in der Lage sei, solche Informationen zu übermitteln
Das Gericht, an das sich die Kundin für die Exekution der gerichtlichen Entscheidung wandte, fragt sich, welche Handlungen Dun & Bradstreet in diesem Zusammenhang konkret vornehmen muss. Es hat den Gerichtshof daher um Auslegung der DSGVO und der Richtlinie über den Schutz von Geschäftsgeheimnissen ersucht.
Dem Gerichtshof zufolge muss der Verantwortliche das Verfahren und die Grundsätze, die konkret zur Anwendung kommen, so beschreiben, dass die betroffene Person nachvollziehen kann, welche ihrer personenbezogenen Daten im Rahmen der automatisierten Entscheidungsfindung auf welche Art verwendet wurden.
Für die Erfüllung der Erfordernisse der Transparenz und der Nachvollziehbarkeit könnte es u. a. ausreichen, die betroffene Person zu informieren, in welchem Maße eine Abweichung bei den berücksichtigten personenbezogenen Daten zu einem anderen Ergebnis geführt hätte. Die bloße Übermittlung eines Algorithmus stellt jedoch keine ausreichend präzise und verständliche Erläuterung dar.
Ist der Verantwortliche der Ansicht, dass die zu übermittelnden Informationen geschützte Daten Dritter oder Geschäftsgeheimnisse umfassen, hat er diese angeblich geschützten Informationen der zuständigen Aufsichtsbehörde oder dem zuständigen Gericht zu übermitteln. Diese müssen die einander gegenüberstehenden Rechte und Interessen abwägen, um den Umfang des Auskunftsrechts der betroffenen Person hinsichtlich dieser Informationen zu ermitteln.
Der Gerichtshof stellt in diesem Zusammenhang klar, dass die DSGVO der Anwendung einer nationalen Bestimmung entgegensteht, die das in Rede stehende Auskunftsrecht grundsätzlich ausschließt, wenn die Auskunft ein Geschäfts- oder Betriebsgeheimnis des Verantwortlichen oder eines Dritten gefährden würde.
BGH
Urteil vom 28.10.2025 VI ZR 183/22
DSGVO Art. 82 Abs. 1
Der BGH hat entschieden, dass eim Schadensersatzanspruch aus Art. 82 Abs. 1 DSGVO weder eine Abschreckungsfunktion noch eine Straffunktion sondern ausschließlich eine Ausgleichsfunktion hat. Aus diesem Grund dürfen - so der BGH - auch die Schwere des Verstoßes und Verschuldensfragen bei der Bestimmung der Höhe des Anspruchs nicht berücksichtigt werden.
Aus den Entscheidungsgründen: Die zulässige Revision der Beklagten hat keinen Erfolg. Zwar sind die Erwägungen, mit denen das Berufungsgericht den immateriellen Schadensersatz nach Art. 82 Abs. 1 DSGVO mit 500 € bemessen hat, rechtsfehlerhaft. Entgegen der Ansicht der Revision hätte das Berufungsgericht bei der Bemessung des Schadensersatzes einer abschreckenden Wirkung aber nicht noch größeres Gewicht einräumen müssen. Es hätte diese vielmehr überhaupt nicht, sondern ausschließlich eine Ausgleichsfunktion des Schadensersatzes berücksichtigen dürfen. Dass sich dieser Rechtsfehler zum Nachteil der Beklagten ausgewirkt hätte, ist aber nicht ersichtlich.
1. Der Begriff des "immateriellen Schadens" ist in Ermangelung eines Verweises in Art. 82 Abs. 1 DSGVO auf das innerstaatliche Recht der Mitgliedstaaten im Sinne dieser Bestimmung autonom unionsrechtlich zu definieren (st. Rspr., EuGH, Urteil vom 20. Juni 2024 - C-590/22, DB 2024, 1676 Rn. 31 - PS GbR; Senatsurteil vom 18. November 2024 - VI ZR 10/24, DB 2024, 3091 Rn. 28; jeweils mwN). Dabei soll nach ErwG 146 Satz 3 DSGVO der Begriff des Schadens weit ausgelegt werden, in einer Art und Weise, die den Zielen dieser Verordnung in vollem Umfang entspricht (Senatsurteil vom 18. November 2024 - VI ZR 10/24, DB 2024, 3091 Rn. 28).
Nach der Rechtsprechung des Gerichtshofes der Europäischen Union kommt dem in Art. 82 Abs. 1 DSGVO niedergelegten Schadensersatzanspruch ausschließlich eine Ausgleichsfunktion zu. Er erfüllt - entgegen der Ansicht des Berufungsgerichts und der Revision - keine Abschreckungs- oder gar Straffunktion (EuGH, Urteil vom 20. Juni 2024 - C-182/22 und C-189/22, NJW 2024, 2599 Rn. 23 - Scalable Capital; Senatsurteil vom 18. November 2024 - VI ZR 10/24, DB 2024, 3091 Rn. 18; jeweils mwN).
In Anbetracht der Ausgleichsfunktion des in Art. 82 DSGVO vorgesehenen Schadensersatzanspruchs, wie sie in ErwG 146 Satz 6 DSGVO zum Ausdruck kommt, ist eine auf Art. 82 DSGVO gestützte Entschädigung in Geld als "vollständig und wirksam" anzusehen, wenn sie es ermöglicht, den aufgrund des Verstoßes gegen diese Verordnung konkret erlittenen Schaden in vollem Umfang auszugleichen (vgl. EuGH, Urteil vom 20. Juni 2024 - C-182/22 und C-189/22, NJW 2024, 2599 Rn. 24 - Scalable Capital; Senatsurteil vom 18. November 2024 - VI ZR 10/24, DB 2024, 3091 Rn. 96 mwN). Da der Anspruch aus Art. 82 Abs. 1 DSGVO weder eine Abschreckungs- noch eine Straffunktion erfüllt, darf weder die Schwere des Verstoßes gegen die Datenschutz-Grundverordnung, durch den der betreffende Schaden entstanden ist, berücksichtigt werden, noch der Umstand, ob schuldhaft gehandelt wurde (vgl. Senatsurteil vom 18. November 2024 - VI ZR 10/24, DB 2024, 3091 Rn. 96 mwN).
Leitsatz des BGH:
Zur Frage des immateriellen Schadens im Sinne des Art. 82 Abs. 1 DSGVO.
BGH, Urteil vom 28. Januar 2025 - VI ZR 183/22 - OLG Koblenz LG Koblenz
Der EuGH hat entschieden, dass eine Geldbuße nach Art. 83 Abs. 4 bis 6 d DSGVO auf Basis des weltweiten Jahresumsatz des gesamten Konzerns bestimmt werden kann.
Tenor der Entscheidung: Art. 83 Abs. 4 bis 6 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) in Verbindung mit dem 150. Erwägungsgrund dieser Verordnung ist dahin auszulegen, dass
der Begriff „Unternehmen“ im Sinne dieser Vorschriften dem Begriff „Unternehmen“ im Sinne der Art. 101 und 102 AEUV entspricht, so dass der Höchstbetrag einer Geldbuße, die gegen einen Verantwortlichen für personenbezogene Daten, der ein Unternehmen ist oder einem Unternehmen angehört, wegen eines Verstoßes gegen die Verordnung 2016/679 verhängt wird, auf der Grundlage eines Prozentsatzes des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs des Unternehmens bestimmt wird. Der Begriff „Unternehmen“ ist auch zu berücksichtigen, um die tatsächliche oder materielle Leistungsfähigkeit des Adressaten der Geldbuße zu beurteilen und so zu überprüfen, ob die Geldbuße sowohl wirksam und verhältnismäßig als auch abschreckend ist.
Das BVerwG hat entschieden, dass die Verarbeitung von Telefonnummern aus allgemein zugänglichen Verzeichnissen zum Zweck von nach § 7 UWG unzulässiger Telefonwerbung nicht von Art. 6 Abs. 1 lit. f DSGVO gedeckt und damit unzulässig ist.
Die Pressemitteilung des Gerichts: Verarbeitung der Kontaktdaten von Zahnarztpraxen zum Zweck der Telefonwerbung ohne (mutmaßliche) Einwilligung unzulässig
Wer in allgemein zugänglichen Verzeichnissen veröffentlichte Telefonnummern von Zahnarztpraxen erhebt und speichert, um unter Nutzung dieser Daten Telefonwerbung zu betreiben, kann sich nicht auf den in Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO geregelten Erlaubnistatbestand der Wahrung berechtigter Interessen berufen, sofern nicht eine zumindest mutmaßliche Einwilligung der betroffenen Zahnärzte im Sinne des § 7 Abs. 2 Nr. 1 UWG vorliegt. Dies hat das Bundesverwaltungsgericht in Leipzig heute entschieden.
Die Klägerin kauft Edelmetallreste von Zahnarztpraxen an. Hierzu erhebt sie aus öffentlich zugänglichen Verzeichnissen - wie z.B. den Gelben Seiten - Namen und Vornamen des Praxisinhabers sowie die Praxisanschrift nebst Telefonnummer. Die von ihr gespeicherten Kontaktdaten nutzt sie, um durch Telefonanrufe bei den Zahnarztpraxen in Erfahrung zu bringen, ob die Angerufenen Edelmetalle an sie verkaufen möchten.
Im Januar 2017 ordnete die beklagte saarländische Landesbeauftragte für Datenschutz und Informationsfreiheit auf der Grundlage des Bundesdatenschutzgesetzes in der damals geltenden Fassung gegenüber der Klägerin an, die für den Zweck einer telefonischen Werbeansprache erfolgende Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten von Inhabern von Zahnarztpraxen einzustellen, sofern nicht eine Einwilligung des Betroffenen vorliegt oder bereits ein Geschäftsverhältnis mit ihm besteht. Nach rechtskräftiger Abweisung ihrer Klage beantragte die Klägerin bei der Beklagten unter Hinweis auf die im Mai 2018 in Kraft getretene Datenschutzgrundverordnung erfolglos die Aufhebung des Bescheids vom Januar 2017.
Die hierauf vor dem Verwaltungsgericht des Saarlandes erhobene Verpflichtungsklage hatte keinen Erfolg. Das Oberverwaltungsgericht des Saarlandes wies die Berufung der Klägerin mit der Begründung zurück, ein Wiederaufnahmegrund nach § 51 Abs. 1 Nr. 1 SVwVfG liege nicht vor. Durch die Datenschutzgrundverordnung habe sich die Rechtslage nicht zu Gunsten der Klägerin geändert. Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO, der nunmehr eine Interessenabwägung vorsehe, könne nicht als Rechtsgrundlage für die Datenverarbeitung herangezogen werden. Denn die telefonische Werbeansprache entspreche mangels einer zumindest mutmaßlichen Einwilligung der angesprochenen Zahnärzte nicht den Anforderungen des § 7 Abs. 2 Nr. 1 UWG. Werde die Anwendbarkeit des Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO unterstellt, bestünde unter Berücksichtigung der Wertungen des § 7 Abs. 2 Nr. 1 UWG kein berechtigtes Interesse der Klägerin.
Das Bundesverwaltungsgericht hat die Revision der Klägerin zurückgewiesen. Zwar ist der Erlaubnistatbestand des Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO entgegen der Auffassung der Vorinstanz hier grundsätzlich anwendbar. Bei der Beurteilung, ob die Datenverarbeitung zur Wahrung eines „berechtigten Interesses" im Sinne dieser Bestimmung erfolgt, sind jedoch die Wertungen des § 7 Abs. 2 Nr. 1 UWG zu berücksichtigen. Ob dies generell für Bestimmungen des nationalen Rechts gilt, die keinen datenschutzspezifischen Gehalt haben, musste das Bundesverwaltungsgericht nicht entscheiden. Denn mit § 7 UWG hat der deutsche Gesetzgeber die in Art. 13 der Richtlinie 2002/58/EG enthaltenen Vorgaben zum Schutz der Privatsphäre der Betroffenen vor unverlangt auf elektronischem Weg zugesandter Werbung umgesetzt. Es widerspräche daher dem Grundsatz der Einheit der Unionsrechtsordnung, wenn diese lauterkeitsrechtlichen Wertungen bei der Konkretisierung des berechtigten Interesses im Sinne des Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO außer Betracht bleiben müssten.
Hiervon ausgehend fehlt es der Klägerin an einem berechtigten Interesse im Sinne des Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO, weil der von ihr verfolgte Zweck der Datenverarbeitung gegen § 7 Abs. 2 Nr. 1 UWG verstößt. Bei den Telefonanrufen, mit denen die Klägerin die Bereitschaft der angerufenen Zahnärzte zum Verkauf von Edelmetallen in Erfahrung zu bringen sucht, handelt es sich um Werbung im Sinne dieser Bestimmung. Da die von der Klägerin angesprochenen Inhaber von Zahnarztpraxen in dem hier vorliegenden Kontext als sonstige Marktteilnehmer zu qualifizieren sind, ist eine zur Unzulässigkeit der Werbeanrufe führende unzumutbare Belästigung nach § 7 Abs. 2 Nr. 1 UWG anzunehmen, wenn nicht zumindest eine mutmaßliche Einwilligung vorliegt. Diese wird durch ein sachliches Interesse der Anzurufenden an der Telefonwerbung indiziert. Auf der Grundlage der für das Bundesverwaltungsgericht bindenden tatsächlichen Feststellungen des Oberverwaltungsgerichts ist diese Voraussetzung nicht erfüllt. Denn danach dient die Veröffentlichung der Telefonnummern der Zahnärzte in öffentlich zugänglichen Verzeichnissen ausschließlich dazu, die Erreichbarkeit für Patienten zu gewährleisten. Zudem hat das Oberverwaltungsgericht festgestellt, dass der Verkauf von Edelmetallresten zur Gewinnerzielung weder typisch noch wesentlich für die Tätigkeit eines Zahnarztes ist.
Schließlich hat die Klägerin nicht deshalb einen Anspruch auf eine erneute Sachentscheidung, weil es an einer auf die nunmehr geltende Rechtslage bezogenen Ermessensausübung der Beklagten fehlen würde. Denn das der Aufsichtsbehörde hinsichtlich der Abhilfemaßnahmen nach Art. 58 Abs. 2 DSGVO grundsätzlich eingeräumte Ermessen ist im vorliegenden Fall dahingehend reduziert, dass nur ein Verbot gemäß Art. 58 Abs. 2 Buchst. f DSGVO geeignet, erforderlich und verhältnismäßig ist, um dem festgestellten Verstoß gegen die DSGVO abzuhelfen.
Der BGH hat sich in diesem Beschluss zur Bemessung des Streitwerts in Facebook-Scraping-Fällen für Ansprüche auf Unterlassung, Zahlung, Auskunft und Feststellung geäußert.
Aus den Entscheidungsgründen: Der Senat hat den Streitwert für das Revisionsverfahren auf die Gebührenstufe bis 4.000 € festgesetzt und die Klageanträge dabei - wie zuvor das Berufungsgericht - wie folgt bemessen: 1.000 € (Zahlungsantrag) + 500 € (Feststellungsantrag) + 1.500 € (Unterlassungsanträge) + 500 € (Auskunftsantrag) = 3.500 €. Der Prozessbevollmächtigte des Klägers wendet sich allein gegen die Wertfestsetzung für die Unterlassungsanträge, die er - wie zuvor das Landgericht - mit insgesamt 5.000 € (2 x 2.500 €) bemessen haben möchte.
Eine Höherfestsetzung des Streitwerts für die Unterlassungsanträge ist nicht veranlasst. Der Streitwert ist nach allgemeinen Regeln unter Berücksichtigung aller Umstände des Einzelfalls, insbesondere des Umfangs und der Bedeutung der Sache und der Vermögens- und Einkommensverhältnisse der Parteien, nach Ermessen zu bestimmen (§ 48 Abs. 2 Satz 1, Abs. 1 GKG, § 3 ZPO). Maßgeblich bei einem Unterlassungsantrag nach - wie im Streitfall geltend gemacht - bereits erfolgter Verletzungshandlung ist das Interesse des Anspruchstellers an der Unterbindung weiterer gleichartiger Verstöße, welches maßgeblich durch die Art des Verstoßes, insbesondere seine Gefährlichkeit und Schädlichkeit für den Inhaber des verletzten Rechts bestimmt wird. Allerdings kann auch anderen, von der bereits erfolgten Verletzungshandlung unabhängigen Faktoren - etwa dem Grad der Wahrscheinlichkeit künftiger Zuwiderhandlungen - Rechnung zu tragen sein (vgl. BGH, Urteil vom 12. Mai 2016 - I ZR 1/15, NJW 2017, 814 Rn. 33 ff. mwN). Das Gefährdungspotential ist dabei allein mit Blick auf das konkrete Streitverhältnis zu bestimmen. Für generalpräventive Erwägungen ist bei der Bewertung eines zivilrechtlichen Unterlassungsanspruchs ebenso wenig Raum (BGH, Urteil vom 12. Mai 2016 - I ZR 1/15, NJW 2017, 814 Rn. 42 mwN) wie für eine Orientierung an einem etwaigen (Gesamt-)Schaden unter Einbeziehung anderer Betroffener (vgl. Senat, Beschluss vom 30. November 2004 - VI ZR 65/04, juris Rn. 2; OLG Hamm, Urteil vom 15. August 2023 - 7 U 19/23, juris Rn. 277; OLG Frankfurt/M., K&R 2024, 673). Schließlich darf das Gesamtgefüge der Bewertung nichtvermögensrechtlicher Streitgegenstände nicht aus den Augen verloren werden (BGH, Beschluss vom 26. November 2020 - III ZR 124/20, K&R 2021, 127 Rn. 11).
Nach diesen Grundsätzen ist die erfolgte Festsetzung des Wertes der Unterlassungsanträge auf insgesamt 1.500 € (2 x 750 €) sachgerecht (vgl. zu Parallelfällen auch OLG Hamm, Urteil vom 15. August 2023 - 7 U 19/23, juris Rn. 279 ff.; OLG Frankfurt/M., K&R 2024, 673: jeweils insgesamt 1.000 €). Der Kläger selbst hat seinen Zahlungsanspruch auf Ersatz des bereits eingetretenen Schadens auf 1.000 € beziffert. Der Senat hat hierzu in einem weiteren Parallelverfahren näher ausgeführt, dass er auch eine Bemessung in der Größenordnung von 100 € für den bloßen Kontrollverlust von Rechts wegen nicht beanstanden würde (Urteil vom 18. November 2024 - VI ZR 10/24, juris Rn. 100). Seinen Antrag auf Feststellung hinsichtlich etwaiger zukünftiger Schäden hat auch der Kläger mit 500 € bewertet; dies erscheint angesichts der absehbaren Schwierigkeiten beim Nachweis der Ursächlichkeit künftiger Schäden auch sachgerecht. Die Verletzungshandlung liegt bereits fünf Jahre zurück, ohne dass es bislang jenseits des bloßen Kontrollverlustes zum Eintritt nachweisbarer Schäden oder einer weiteren Verletzungshandlung gekommen wäre; die Beklagte hat die Suchbarkeitsfunktion in der dem Streitfall inmitten stehenden Ausgestaltung vielmehr zwischenzeitlich deaktiviert. Beide Unterlassungsanträge nehmen ihren Ausgangspunkt in derselben Verletzungshandlung und hängen in der Sache eng zusammen.
Das VG Berlin hat entschieden, dass ein allgemeines Zurückbehaltungsrecht nach § 273 Abs. 1 BGB einem Aukunftsanspruch aus Art 15 DSGVO nicht entgegengehalten werden kann. Nach Ansicht des Gerichts handelt es sich bei § 273 Abs. 1 BGB nicht um eine zulässige Beschränkung im Sinne von Art. 23 Abs. 1 DSGVO.
Aus den Entscheidungsgründen: II. Diese Voraussetzungen liegen hier vor, weil die Klägerin mit der der Beschwerdeführerin erst am 4. März 2022 erteilten Auskunft gegen Art. 15 Abs. 1 Hs. 2 Var. 1 i.V.m. Art. 12 Abs. 3 Satz 1 DS-GVO verstoßen hat. Die Klägerin war gegenüber der Beschwerdeführerin zur Auskunftserteilung bis zum 22. Januar 2022 verpflichtet (vgl. hierzu unter 1.), hat die begehrte Auskunft jedoch verspätet erteilt (vgl. hierzu unter 2.).
1. Nach Art. 15 Abs. 1 Hs. 2 Var. 1 DS-GVO hat die betroffene Person gegenüber dem Verantwortlichen einer Verarbeitung personenbezogener Daten das Recht auf Auskunft über diese personenbezogenen Daten.
Zur Wahrung des Auskunftsrechts ist es erforderlich, dass der Betroffene eine vollständige Übersicht der Daten erhält, die Gegenstand der Verarbeitung sind, in verständlicher Form (vgl. EuGH, Urteil vom 17. Juli 2014 – C-141/12 und C-372/12, ZD 2014, 515, 518). Sinn und Zweck des Auskunftsanspruchs aus Art. 15 Abs. 1 DS-GVO ist es, wie sich unter anderem aus Erwägungsgrund 63 zur DS-GVO ergibt, den Betroffenen in die Lage zu versetzen, von einer Verarbeitung ihn betreffender personenbezogener Daten Kenntnis zu erhalten, um im Folgenden nicht nur die Richtigkeit dieser Daten, sondern auch die Zulässigkeit ihrer Verarbeitung überprüfen und ggf. die ihm nach den Art. 16 ff. DS-GVO zustehenden Rechte – beispielweise auf Löschung oder Einschränkung der Verarbeitung der Daten – ausüben zu können (vgl. EuGH, Urteil vom 4. Mai 2023 – C-487 –, juris Rn. 33f.; vgl. auch: Bäcker, in: Kühling/Buchner, DS-GVO/BDSG, 4. Auflage, 2024, DS-GVO Art. 15 Rn. 32; Franck, in: Gola/Heckmann, DS-GVO/BDSG, 3. Auflage, 2022, DS-GVO Art. 15 Rn. 22; vgl. zum Vorstehenden: VG Berlin, Urteil vom 6. Februar 2024 – VG 1 K 187/21 –, juris Rn. 34).
Die Klägerin war gegenüber der Beschwerdeführerin aufgrund deren Auskunftsersuchens von 22. Dezember 2021 zu einer Auskunft im oben genannten Sinne verpflichtet. Die Beschwerdeführerin hat die Klägerin mit E-Mail vom 22. Dezember 2021, 15:34 Uhr, um Datenauskunft ersucht, als sie schrieb: „Please send me all my data before deleting the account“.
Anders als die Klägerin meint, stand der Verpflichtung zur Auskunftserteilung kein Zurückbehaltungsrecht nach § 273 Abs. 1 Bürgerliches Gesetzbuch (BGB) entgegen. Denn auf ein solches kann sich die Klägerin im Zusammenhang mit dem Auskunftsanspruch nach Art. 15 DS-GVO nicht berufen. § 273 Abs. 1 BGB ist hier nach Überzeugung der Einzelrichterin nicht anwendbar (offen gelassen: OLG Düsseldorf, NZG 2023, 1138 Rn. 30, das im Rahmen eines insolvenzrechtlichen Verfahrens bereits die Konnexität verneint; für den umgekehrten Fall im Ergebnis a.A. AG Wiesbaden, ZD 2022, 395 Rn. 20 ff., das die Anwendbarkeit des § 273 Abs. 1 BGB im Zusammenhang mit Art. 15 DS-GVO jedoch nicht thematisiert).
Hierfür sprechen zunächst, die divergierenden Schutzrichtungen des § 273 Abs. 1 BGB und des Art. 15 DS-GVO. Während § 273 Abs. 1 BGB der Schaffung eines Druckmittels zur Durchsetzung eines zivilrechtlichen Anspruchs dient (vgl. Krüger, in: Münchener Kommentar zum BGB, 9. Auflage, 2022, § 273 Rn. 3), ist Art. 15 DS-GVO Ausprägung des Schutzes personenbezogener Daten nach Art. 8 Abs. 2 Satz 2 der Charta der Grundrechte der Europäischen Union (GRCh) (vgl. Paal, in: Pauly/Paal, DS-GVO/BDSG, 3. Auflage, 2021, DS-GVO Art. 15 Rn. 3) und in seiner Anwendung in Deutschland auch des Grundrechts auf informationelle Selbstbestimmung aus Art. 2 Abs. 1 GG i.V.m. Art. 1 Abs. 1 GG.
Der Auskunftsanspruch aus der Datenschutzgrundverordnung hat per se keinerlei Bezug zu einer vertraglichen Beziehung und setzt eine solche auch nicht voraus – mag der Anspruch in einer Vielzahl von Fällen auch parallel zu einem vertraglichen Verhältnis der Beteiligten geltend gemacht werden.
Darüber hinaus spricht gegen eine Anwendbarkeit des im BGB geregelten Zurückbehaltungsrechts im Rahmen eines Auskunftsanspruchs nach Art. 15 DS-GVO, der Anwendungsvorrang des Gemeinschaftsrechts. Als unmittelbar in allen Mitgliedstaaten geltendes EU-Recht hat Art. 15 DS-GVO in seinem Anwendungsbereich Vorrang vor nationalem Recht (vgl. Artikel 288 Abs. 2 des Vertrags über die Arbeitsweise der Europäischen Union [AEUV]).
Das Auskunftsrecht nach Art. 15 DS-GVO kann nur unter den besonderen Voraussetzungen des Art. 23 DS-GVO beschränkt werden. Nach Art. 23 Abs. 1 DS-GVO können durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche oder der Auftragsverarbeiter unterliegt, unter anderem die Pflichten und Rechte gemäß den Artikeln 12 bis 22 im Wege von Gesetzgebungsmaßnahmen beschränkt werden, sofern eine solche Beschränkung den Wesensgehalt der Grundrechte und Grundfreiheiten achtet und in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme darstellt, die neben anderen Zielen (vgl. lit. a) bis h)) unter anderem Folgendes sicherstellt: i) den Schutz der betroffenen Person oder der Rechte und Freiheiten anderer Personen; j) die Durchsetzung zivilrechtlicher Ansprüche.
Zwar erfüllt § 273 Abs. 1 BGB das Tatbestandsmerkmal der Beschränkung, denn eine solche liegt auch dann vor, wenn die Ausübung eines Rechts zeitlich verzögert wird (vgl. European Data Protection Board, Leitlinien 10/2020 zu Beschränkungen nach Artikel 23 DSGVO, Fassung 2.1, 13. Oktober 2021 Rn. 8, abrufbar: https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/publikationen/EDSA/ 2020-10_EDSA_Leitlinien_Beschraenkungen-Artikel-23-DS-GVO.pdf, zuletzt abgerufen: 11. Oktober 2024 – im Folgenden: Leitlinien – Rn. 12).
Jedoch liegt im Hinblick auf § 273 Abs. 1 BGB kein Fall einer nach Art. 23 Abs. 1 DS-GVO zulässigen Beschränkung vor. Denn das Zurückbehaltungsrecht nach § 273 Abs. 1 BGB dient nicht der Sicherstellung eines der in Art. 23 Abs. 1 lit. a) bis j) DS-GVO genannten Ziele. In Betracht kommen hier nur Art. 23 Abs. 1 lit. i) Var. 2 (vgl. unter a.) und Art. 23 Abs. 1 lit. j) DS-GVO (vgl. unter b.).
a. Das Zurückbehaltungsrecht nach § 273 Abs. 1 BGB stellt nicht den Schutz der Rechte und Freiheiten anderer Personen i.S.d. Art. 23 Abs. 1 lit. i) Var. 2 DS-GVO sicher. Die Norm ist nach Überzeugung der Einzelrichterin im Interesse des effektiven Schutzes der Betroffenenrechte restriktiv auszulegen.
Hierfür spricht zunächst der Wortlaut, wonach eine Beschränkung der Betroffenenrechte zur „Sicherstellung“ des Schutzes der Rechte und Freiheiten anderer möglich ist. Das Zurückbehaltungsrecht nach § 273 Abs. 1 BGB geht jedoch über eine reine „Sicherstellung“ der Rechte anderer hinaus. Dessen Sinn und Zweck besteht vielmehr – wie bereits erwähnt – in der Schaffung eines Druckmittels zur Durchsetzung eines zivilrechtlichen Anspruchs (s.o.).
Für eine restriktive Auslegung des Art. 23 Abs. 1 lit. i) DS-GVO spricht zudem der systematische Vergleich mit den anderen Buchstaben des Art. 23 Abs. 1 (vgl. z.B. lit. a) die nationale Sicherheit; lit. b) die Landesverteidigung; lit. c) die öffentliche Sicherheit; lit. f) den Schutz der Unabhängigkeit der Justiz und den Schutz von Gerichtsverfahren). Die in den anderen Buchstaben des Art. 23 Abs. 1 DS-GVO benannten Schutzgüter zeigen, dass eine Beschränkung des Auskunftsrechts nach Art. 15 DS-GVO nur in besonders gewichtigen Fällen und zum Schutz hochrangiger (Rechts-)Güter zulässig sein soll (vgl. Leitlinien Rn. 8, die auf „wichtige Ziele“ Bezug nehmen), wozu ein vertragliches Zurückbehaltungsrecht nach Überzeugung der Einzelrichterin nicht zählt. Dementsprechend benennen die Leitlinien des European Data Protection Boards im Zusammenhang mit Art. 23 Abs. 1 lit. i) DS-GVO beispielhaft den Schutz eines Zeugen, Opfers oder Hinweisgebers im Rahmen eines Disziplinarverfahrens, der durch Beschränkung des Auskunftsrechts nach der DS-GVO vor Vergeltungsmaßnahmen des Auskunftsberechtigten geschützt werden soll (vgl. Leitlinien Rn. 34). In ähnlicher Weise wird in der Literatur darauf Bezug genommen, dass höherrangige, menschenrechtsrelevante Interessen, die Grundlage einer beschränkenden Rechtsvorschrift i.S.d. Art. 23 Abs. 1 lit. i) DS-GVO sein können (vgl. Paal, in: Pauly/Paal, DS-GVO/BDSG, 3. Auflage, 2021, DS-GVO Art. 23 Rn. 42).
Für eine restriktive Auslegung des Art. 23 Abs. 1 lit. i) DS-GVO spricht darüber hinaus der effektive Schutz der Betroffenenrechte. Würde eine Beschränkung des datenschutzrechtlichen Auskunftsanspruch zugunsten eines Druckmittels zur Durchsetzung zivilrechtlicher Ansprüche zugelassen, könnte dieses datenschutzrechtliche Betroffenenrecht weitgehend ausgehebelt werden (vgl. auch Bäcker, in: Kühling/Buchner, DS-GVO/BDSG, 4. Auflage, 2024, DS-GVO Art. 23 Rn. 33b, der sich aus diesem Grund gegen eine extensive Auslegung des Art. 23 Abs. 1 lit. j) ausspricht). In der Praxis führte dies etwa dazu, dass eine auskunftsberechtigte Privatperson, in die Lage versetzt würde, gegenüber einem Unternehmen, welches ggf. dauerhaft auf professionelle rechtliche Beratung zurückgreifen kann, nachweisen – und ggf. gerichtlich – durchsetzen zu müssen, dass die Voraussetzungen eines Zurückbehaltungsrechts im konkreten Fall nicht vorliegen. Gerade derartigen Hürden soll der Auskunftsanspruch nach Art. 15 DS-GVO jedoch nicht unterliegen, denn dieser soll den Betroffenen die Möglichkeit eröffnen, sich problemlos über die Verarbeitung der eigenen personenbezogenen Daten zu informieren (vgl. Paal, in: Pauly/Paal, DS-GVO/BDSG, 3. Auflage, 2021, DS-GVO Art. 15 Rn. 3).
b. Das Zurückbehaltungsrecht nach § 273 Abs. 1 BGB stellt auch nicht die Durchsetzung zivilrechtlicher Ansprüche i.S.d. lit. j) sicher. Die Regelung des lit. j) ist weitestgehend schon von der in lit. i) getroffenen Regelung abgedeckt und stellt hierzu einen Sonderfall dar. Sie entfaltet eigenständige Bedeutung etwa im Bereich der Zwangsvollstreckung oder der Gewinnung von Beweismitteln für einen Zivilprozess (vgl. zum Vorstehenden: Bertermann, in: Ehmann/Selmayr, DS-GVO, 3. Auflage, 2024, DS-GVO Art. 23 Rn. 13; Bäcker, in: Kühling/Buchner, DS-GVO/BDSG, 4. Auflage, 2024, DS-GVO Art. 23 Rn. 33c; Paal, in: Pauly/Paal, DS-GVO/BDSG, 3. Auflage, 2021, DS-GVO Art. 23 Rn. 43).
Aus den o.g. Gründen ist auch Art. 23 Abs. 1 lit. j) DS-GVO restriktiv auszulegen (Bäcker, in: Kühling/Buchner, DS-GVO/BDSG, 4. Auflage, 2024, DS-GVO Art. 23 Rn. 33b). Die Norm dient weder dem Zweck, ein informationelles Gleichgewicht zwischen Prozessbeteiligten (vgl. Bäcker, in: Kühling/Buchner, DS-GVO/BDSG, 4. Auflage, 2024, DS-GVO Art. 23 Rn. 33d), noch sonst ein (zivilrechtliches) Gleichgewicht zwischen den Parteien herzustellen oder einer Partei ein Druckmittel zur Durchsetzung zivilrechtlicher Rechte zu verschaffen (s.o.).
2. Die Auskunftserteilung durch die Klägerin gegenüber der Beschwerdeführerin am 4. März 2022 war verspätet. Nach Art. 12 Abs. 3 Sätze 1 bis 3 DS-GVO stellt der Verantwortliche der betroffenen Person Informationen über die auf Antrag gemäß den Artikeln 15 bis 22 ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung. Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist. Der Verantwortliche unterrichtet die betroffene Person innerhalb eines Monats nach Eingang des Antrags über eine Fristverlängerung, zusammen mit den Gründen für die Verzögerung.
Die der Beschwerdeführerin erteilte Auskunft war nicht fristgerecht im Sinne des Art. 12 Abs. 3 Satz 1 DS-GVO. Die Monatsfrist nach Satz 1 der Norm ist offenkundig nicht gewahrt. Der Auskunftsanspruch der Beschwerdeführerin ist bei der Klägerin erstmals mit E-Mail vom 22. Dezember 2021,15:34 Uhr, eingegangen, als sie schrieb: „Please send me all my data before deleting the account“. Nach Überzeugung der Einzelrichterin geht bereits aus dieser Formulierung – unabhängig von dem durch die Beschwerdeführerin ebenfalls verwendeten Begriff des „subject access requests“, von dem die Klägerin vorträgt, dass ihr Mitarbeiter diesen nicht verstanden habe, eine Auskunftsbegehren i.S.d. Art. 15 Abs. 1 DS-GVO klar und eindeutig hervor. In der Folge hat die Beschwerdeführerin ihr Auskunftsbegehren gegenüber der Klägerin mehrfach wiederholt – so etwa in einer E-Mail vom 23. Dezember 2021, 17:15 Uhr, in der es heißt: „(…) Please send me all of the data that you have collected on me (…)“ oder in einer E-Mail vom 28. Dezember 2021, 00:51 Uhr, in der es heißt: „I am entitled to my data under GDPR. If you refuse to provide this data I will ask the BfDI to fine you for breaking European law“. Unter Berücksichtigung dieser eindeutigen Formulierungen und des Umstandes, dass die Klägerin die Kommunikation mit der Beschwerdeführerin offenkundig unproblematisch in der englischen Sprache geführt hat, ist nach Überzeugung der Einzelrichterin nicht glaubhaft, dass sie das Auskunftsbegehren der Beschwerdeführerin nicht verstanden oder übersehen hätte.
Es liegt auch kein Fall der Verlängerung der Auskunftsfrist i.S.d. Art. 12 Abs. 3 Satz 2, 3 DS-GVO vor. Den offenkundig hat die Klägerin die Auskunftsfrist gegenüber der Beschwerdeführerin nicht verlängert und es ist auch nicht ersichtlich, dass dies erforderlich gewesen wäre; im Übrigen beruft sich die Klägerin hierauf auch nicht.
III. Die Beklagte hat das ihr im Rahmen des Art. 58 Abs. 2 DS-GVO eröffnete Ermessen rechtmäßig ausgeübt und sich für eine Verwarnung i.S.d. des lit. b) entschieden.
Ist die Behörde ermächtigt, nach ihrem Ermessen zu handeln, hat sie ihr Ermessen entsprechend dem Zweck der Ermächtigung auszuüben und die gesetzlichen Grenzen des Ermessens einzuhalten (vgl. § 40 VwVfG). Im Sinne des eingeschränkten gerichtlichen Prüfungsumfanges des durch die Verwaltung ausgeübten Ermessens nach § 114 VwGO sind nach der Rechtsprechung der Ermessensausfall, die Ermessensunterschreitung, die Ermessensüberschreitung sowie der Ermessensfehlgebrauch als Ermessensfehler zu prüfen (vgl. Wolff, in: Sodan/Ziekow, VwGO, 5. Auflage, 2018, § 114 Rn. 84). Auch im Rahmen der Ermessensentscheidung hat die Verwaltung den Grundsatz der Verhältnismäßigkeit zu wahren (vgl. Wolff, in: Sodan/Ziekow, VwGO, 5. Auflage, 2018, § 114 Rn. 159). Ein Ermessensfehler liegt unter anderem vor, wenn die Behörde bei ihrer Ermessensentscheidung nicht alle diejenigen Gesichtspunkte in den Blick genommen und zutreffend gewürdigt hat, die bei einer Ermessensentscheidung zu beachten sind (vgl. BVerwG, NVwZ 2000, 688).
Gemessen an diesem Maßstab liegen nach Überzeugung der Einzelrichterin keine Ermessensfehler vor. Die Beklagte hat alle relevanten Gesichtspunkte beachtet, insbesondere hat sie den Verstoß der Klägerin als nicht schwerwiegend eingestuft und in ihrer Abwägungsentscheidung ihre Erwartung berücksichtigt, dass die Klägerin sich künftig an datenschutzrechtliche Vorschriften halten werde.
Der Ausspruch einer Verwarnung gegenüber der Klägerin ist zudem verhältnismäßig. Entgegen der Auffassung der Klägerin war die Beklagte nicht verpflichtet, anstelle der Verwarnung als milderes gleich geeignetes Mittel eine Anweisung nach Art. 58 Abs. 2 lit. c) DS-GVO auszusprechen. Denn die Anweisung stellt die gegenüber der Verwarnung schärfere und nicht mildere Maßnahme dar. Dies geht bereits systematisch aus dem Aufbau des Art. 58 Abs. 2 DS-GVO hervor, der mit den Buchstaben a) ff. eine Steigerung in der Intensität der Maßnahmen erkennen lässt. So sieht etwa lit. a) eine Warnung in Bezug auf voraussichtliche Verstöße als eingriffsschwächste Maßnahme vor, während lit. f) die Verhängung einer vorübergehenden oder endgültigen Beschränkung der Verarbeitung, einschließlich eines Verbots, ermöglicht (vgl. zum Vorstehenden: Sven Polenz, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 58 Rn. 6; vgl. auch: Selmayr, in: Ehmann/Selmayr, DS-GVO, 3. Auflage, 2024, DS-GVO Art. 58 Rn. 18 ff.; Nguyen, in: Gola/Heckmann, DS-GVO/BDSG, 3. Auflage, 2022, DS-GVO Art. 58 Rn. 14). Dass die Verwarnung das gegenüber der Anweisung mildere Mittel ist, ergibt sich auch daraus, dass die Verwarnung zwar einen Verwaltungsakt darstellt, aber – anders als die Anweisung – keine unmittelbare Rechtspflicht auslöst, die Verarbeitung abzustellen oder zu ändern. Wegen der beschränkten Feststellungswirkung ist sie auch nicht vollstreckbar und als solche nicht bußgeldbewehrt, sondern kann lediglich bei späterer Verhängung einer Anweisung wegen einer anderen Maßnahme als bußgelderhöhender Faktor berücksichtigt werden (vgl. Selmayr, in: Ehmann/Selmayr, DS-GVO, 3. Auflage, 2024, DS-GVO Art. 58 Rn. 20; Körffer, in: Pauly/Paal, DS-GVO/BDSG, 3. Auflage, 2021, DS-GVO Art. 58 Rn. 18; Sven Polenz, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 58 Rn. 29). Demgegenüber ist die Anweisung vollstreckbar und nach Art. 83 Abs. 5 lit. e) DS-GVO im Falle ihrer Nichtbefolgung bußgeldbewehrt.
Der EuGH hat entschieden, dass die Erhebung des Geschlechts bei Verkauf eines Bahn-Tickts nicht für die Erfüllung des Vertrages erforderlich im Sinne von Art. 6 I lit.b) DSGVO ist.
Die Pressemitteilungd es EuGH: DSGVO und Schienentransport: Die Geschlechtsidentität des Kunden ist keine für den Erwerb eines Fahrscheins erforderliche Angabe
Die Erhebung von Daten hinsichtlich der Anrede der Kunden ist nicht objektiv unerlässlich, insbesondere wenn sie darauf abzielt, die geschäftliche Kommunikation zu personalisieren.
Der Verband Mousse beanstandete bei der französischen Behörde für den Schutz personenbezogener Daten (CNIL)1 die Praxis des französischen Eisenbahnunternehmens SNCF Connect, seine Kunden beim Onlineerwerb von Fahrscheinen systematisch zu verpflichten, ihre Anrede („Herr“ oder „Frau“) anzugeben. Seiner Ansicht nach verstößt diese Verpflichtung gegen die Datenschutz-Grundverordnung (DSGVO) , insbesondere im Hinblick auf den Grundsatz der Datenminimierung, da die Anrede, die einer Geschlechtsidentität entspreche, keine für den Erwerb eines Fahrscheins erforderliche Angabe sein dürfte. 2021 wies die CNIL diese Beschwerde mit der Begründung zurück, dass diese Praxis keinen Verstoß gegen die DSGVO darstelle.
Mousse war mit diesem Bescheid nicht einverstanden und wandte sich an den französischen Staatsrat, um ihn für nichtig erklären zu lassen. Der Staatsrat fragt den Gerichtshof insbesondere, ob die Erhebung von Daten hinsichtlich der Anrede der Kunden, die auf die Angaben „Herr“ oder „Frau“ beschränkt ist, als rechtmäßig und insbesondere mit dem Grundsatz der Datenminimierung vereinbar eingestuft werden kann, wenn diese Erhebung darauf abzielt, eine personalisierte geschäftliche Kommunikation mit diesen Kunden in Übereinstimmung mit der allgemeinen Verkehrssitte in diesem Bereich zu ermöglichen.
Der Gerichtshof weist darauf hin, dass nach dem Grundsatz der Datenminimierung, mit dem der Grundsatz der Verhältnismäßigkeit zum Ausdruck gebracht wird, die erhobenen Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein müssen.
Die DSGVO enthält eine erschöpfende und abschließende Liste der Fälle, in denen eine Verarbeitung personenbezogener Daten als rechtmäßig angesehen werden kann: Dies ist insbesondere dann der Fall, wenn die Verarbeitung (1.) für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder (2.) zur Wahrung der berechtigten Interessen des Verantwortlichen dieser Verarbeitung oder eines Dritten erforderlich ist.
Was den ersten dieser beiden Rechtfertigungsgründe anbelangt, muss die Verarbeitung von Daten für die ordnungsgemäße Erfüllung des Vertrags objektiv unerlässlich sein, damit sie für die Erfüllung eines Vertrags als erforderlich angesehen werden kann. In diesem Zusammenhang erscheint eine Personalisierung der geschäftlichen Kommunikation, die auf einer anhand der Anrede des Kunden angenommenen Geschlechtsidentität beruht, nicht objektiv unerlässlich, um die ordnungsgemäße Erfüllung eines Schienentransportvertrags zu ermöglichen. Das Eisenbahnunternehmen könnte sich nämlich für eine Kommunikation entscheiden, die auf allgemeinen und inklusiven Höflichkeitsformeln beruht, die in keinem Zusammenhang mit der angenommenen Geschlechtsidentität der Kunden stehen, was eine praktikable und weniger einschneidende Lösung wäre.
In Bezug auf den zweiten Rechtfertigungsgrund stellt der Gerichtshof unter Hinweis auf seine einschlägige ständige Rechtsprechung klar, dass die Verarbeitung von Daten hinsichtlich der Anrede der Kunden eines Transportunternehmens, die darauf abzielt, die geschäftliche Kommunikation aufgrund ihrer Geschlechtsidentität zu personalisieren, nicht als erforderlich angesehen werden kann, wenn (1.) diesen Kunden bei der Erhebung dieser Daten nicht das verfolgte berechtigte Interesse mitgeteilt wurde, oder (2.) die Verarbeitung nicht innerhalb der Grenzen dessen erfolgt, was zur Verwirklichung dieses berechtigten Interesses unbedingt notwendig ist, oder (3.) in Anbetracht aller relevanten Umstände die Grundrechte und Grundfreiheiten dieser Kunden gegenüber diesem berechtigten Interesse überwiegen können, insbesondere wegen der Gefahr einer Diskriminierung aufgrund der Geschlechtsidentität.
EuG
Urteil vom 08.01.2025 T-354/22
Bindl ./. EU-Kommission
Das EuG hat entschieden, dass die EU-Kommission einem Nutzer der Website der Konferenz zur Zukunft Europas Schadensersatz für die datenschutzwidrige Übermittlung personenbezogener Daten in die USA zahlen muss.
Die Pressemitteilung des Gerichts_ Das Gericht verurteilt die Kommission, einem Besucher der Website der Konferenz zur Zukunft Europas, die von der Kommission betrieben wird, den durch die Übermittlung personenbezogener Daten an die Vereinigten Staaten entstandenen Schaden zu ersetzen
Mit dem auf der Website von „EU Login“ angezeigten Hyperlink „Sign in with Facebook“ hat die Kommission die Voraussetzungen dafür geschaffen, dass die IP-Adresse des Betroffenen an das amerikanische Unternehmen Meta Platforms, Inc. übermittelt wurde.
Ein in Deutschland lebender Bürger wirft der Kommission vor, sein Recht auf Schutz seiner personenbezogenen Daten verletzt zu haben, als er 2021 und 2022 die von der Kommission betriebene Website der Konferenz zur Zukunft Europas1 besucht habe. Er hatte sich über diese Website zu der Veranstaltung „GoGreen“ angemeldet und hierzu den Authentifizierungsdienst „EU Login“ der Kommission verwendet, bei dem er sich für die Anmeldeoption „Mit Facebook anmelden“ entschieden hatte.
Der Betroffene meint, bei seinen Besuchen der Website der Konferenz zur Zukunft Europas seien ihn betreffende personenbezogene Daten an Empfänger in den Vereinigten Staaten übermittelt worden, insbesondere seine IPAdresse sowie Browser- und Geräteinformationen.
Ihn betreffende personenbezogene Daten seien zum einen an das amerikanische Unternehmen Amazon Web Services übermittelt worden, das das Content Delivery Network „Amazon CloudFront“ betreibe, über das die betreffende Website laufe, und zum anderen an das amerikanische Unternehmen Meta Platforms, Inc., nämlich bei seiner Anmeldung zu der Veranstaltung „GoGreen“ über sein Facebook-Konto.
Die Vereinigten Staaten hätten aber kein angemessenes Schutzniveau. Die ihn betreffenden personenbezogenen Daten seien deshalb der Gefahr eines Zugriffs durch die Sicherheits- und Nachrichtendienste der Vereinigten Staaten ausgesetzt. Die Kommission habe keine geeigneten Schutzmaßnahmen genannt, die die Datenübermittlungen zu rechtfertigen vermöchten.
Der Betroffene beantragt als Ersatz des immateriellen Schadens, der ihm durch die streitigen Datenübermittlungen entstanden sei, 400 Euro. Er beantragt ferner, die Übermittlungen der ihn betreffenden personenbezogenen Daten für nichtig zu erklären, festzustellen, dass die Kommission es rechtswidrig unterlassen habe, zu einem Antrag auf Auskunft Stellung zu nehmen, und die Kommission zu verurteilen, an ihn als Ersatz des immateriellen Schadens, der ihm durch die Verletzung seines Auskunftsrechts entstanden sei, 800 Euro zu zahlen.
Das Gericht weist den Antrag auf Nichtigerklärung als unzulässig ab und stellt fest, dass der Rechtsstreit, was den Antrag auf Feststellung der Untätigkeit angeht, in der Hauptsache erledigt ist. Es weist auch den auf die Verletzung des Auskunftsrechts gestützten Schadensersatzantrag zurück, weil der behauptete immaterielle Schaden nicht vorliegt.
Den auf die streitigen Datenübermittlungen gestützten Schadensersatzantrag weist das Gericht zurück, soweit es um die Datenübermittlungen über „Amazon CloudFront“ geht.
Das Gericht stellt insoweit fest, dass bei einer der streitigen Verbindungen die Daten nicht an die Vereinigten Staaten, sondern nach dem Prinzip der Proximität an einen Server4 in München übermittelt worden sind. Nach dem Vertrag, den die Kommission mit dem Betreiber von „Amazon CloudFront“, der luxemburgischen Gesellschaft Amazon Web Services EMEA SARL, geschlossen hat, musste Letztere gewährleisten, dass die Daten im Ruhezustand und bei der Übermittlung in Europa bleiben.
Bei einer anderen Verbindung ist die Weiterleitung an Server in den Vereinigten Staaten, die durch den RoutingMechanismus von „Amazon CloudFront“ erfolgte, auf das Verhalten des Betroffenen selbst zurückzuführen. Dieser gab sich nämlich mit Hilfe einer technischen Einstellung für jemanden aus, der sich in den Vereinigten Staaten befand.
Soweit es um Anmeldung des Betroffenen zu der Veranstaltung „GoGreen“ geht, stellt das Gericht hingegen fest, dass die Kommission mit dem Hyperlink „Sign in with Facebook“, der auf der Website von „EU Login“ angezeigt wird, die Voraussetzungen für die Übermittlung der IP-Adresse des Betroffenen an Facebook geschaffen hat. Die IPAdresse des Betroffenen gehört zu den personenbezogenen Daten. Sie wurde mit dem Hyperlink „Sign in with Facebook“ an die Meta Platforms, Inc., eine Gesellschaft mit Sitz in den Vereinigten Staaten, übermittelt. Diese Datenübermittlung ist der Kommission zuzurechnen.
Zum Zeitpunkt dieser Datenübermittlung (30. März 2022) gab es aber keinen Beschluss, mit dem festgestellt worden wäre, dass die Vereinigten Staaten für die personenbezogenen Daten der Unionsbürger ein angemessenes Schutzniveau geboten hätten. Die Kommission hat auch nicht dargetan, ja nicht einmal behauptet, dass es eine geeignete Garantie gegeben hätte, etwa eine Standarddatenschutzklausel oder eine Vertragsklausel5 . Für die Anzeige des Hyperlinks „Sign in with Facebook“ auf der Website von „EU Login“ galten schlicht und einfach die Nutzungsbedingungen von Facebook.
Mithin hat die Kommission die Voraussetzungen für die Übermittlung personenbezogener Daten an ein Drittland durch ein Organ, eine Einrichtung oder eine Stelle der Union nicht beachtet.
Das Gericht stellt fest, dass die Kommission einen hinreichend qualifizierten Verstoß gegen eine Rechtsnorm, die bezweckt, dem Einzelnen Rechte zu verleihen, begangen hat. Der Betroffene hat auch einen immateriellen Schaden erlitten. Er befindet sich nämlich in einer Lage, in der er nicht sicher ist, wie die ihn betreffenden personenbezogenen Daten, insbesondere seine IP-Adresse, verarbeitet werden. Außerdem besteht zwischen dem von der Kommission begangenen Verstoß und dem immateriellen Schaden, der dem Betroffenen entstanden ist, ein hinreichend unmittelbarer Kausalzusammenhang.
Da die Voraussetzungen der außervertraglichen Haftung der Union erfüllt sind, verurteilt das Gericht die Kommission, an den Betroffenen, wie von ihm beantragt, 400 Euro zu zahlen.
Die Pressemitteilung des Gerichts: Klage abgewiesen - Fingerabdruckpflicht in Personalausweisen rechtmäßig
Die 6. Kammer des Verwaltungsgerichts Wiesbaden hat mit Urteil vom 18.12.2024 eine Klage abgewiesen, mit der der Kläger die Ausstellung eines Personalausweises ohne Speicherung der Fingerabdrücke auf dessen elektronischem Speichermedium (sog. „Chip“) begehrte.
Die Pflicht zur Speicherung von Fingerabdrücken bei Ausweisen beruht auf der europäischen Verordnung (EU) 2019/1157 des Europäischen Parlaments und des Rates vom 20.06.2019 zur Erhöhung der Sicherheit der Personalausweise von Unionsbürgern und der Aufenthaltsdokumente, die Unionsbürgern und deren Familienangehörigen ausgestellt werden, die ihr Recht auf Freizügigkeit ausüben (VO (EU) 2019/1157). Der Kläger trug vor, dass hierdurch seine Grundrechte auf Schutz des Privatlebens nach Art. 7 der Charta der Grundrechte der Europäischen Union (GRCh) und auf Schutz personenbezogener Daten nach Art. 8 GRCh verletzt würden.
Die 6. Kammer hatte das Verfahren zunächst ausgesetzt und dem Europäischen Gerichtshof (EuGH) in einem Vorabentscheidungsverfahren nach Art. 267 AEUV die Frage vorgelegt, ob die Pflicht zur Aufnahme von Fingerabdrücken in Personalausweisen mit höherrangigem Unionsrecht vereinbar ist. Mit Urteil vom 21.03.2024 – C-61/22 – hatte der EuGH entschieden, dass die Verordnung wegen der Durchführung eines ungeeigneten Gesetzgebungsverfahrens ungültig sei. Die Wirkungen der VO (EU) 2019/1157 würden jedoch aufrechterhalten bleiben, bis innerhalb einer angemessenen Frist, die zwei Jahre ab dem 01.01.2025 nicht überschreiten dürfe, eine neue, im korrekten Gesetzgebungsverfahrens erlassene Verordnung, die sie ersetzt, in Kraft trete. In materieller Hinsicht verstoße die Einschränkung der in Art. 7 und Art. 8 GRCh garantierten Rechte nicht gegen den Grundsatz der Verhältnismäßigkeit, sodass die Verordnung nicht aus diesem Grund ungültig sei.
Das Urteil des Verwaltungsgerichts Wiesbaden, dessen Gründe nun vorliegen, erging im Rahmen einer Beratung vom 18.12.2024. Die Prozessbeteiligten hatten auf mündliche Verhandlung verzichtet.
Die Ablehnung der Ausstellung eines Personalausweises ohne die Aufnahme von Fingerabdrücken sei rechtmäßig und verletze den Kläger deshalb auch nicht in seinen Rechten. Das Verwaltungsgericht Wiesbaden sei an das Urteil des EuGH, insbesondere bezüglich der Ausführungen zur materiellen Rechtmäßigkeit der VO (EU) 2019/1157 gebunden. Auch bezüglich der im konkreten Verfahren vorliegenden Frage der Rechtmäßigkeit der Ablehnung der Ausstellung eines Personalausweises ohne die Aufnahme von Fingerabdrücken durch die Landeshauptstadt Wiesbaden sei keine andere Beurteilung geboten. Der Grundsatz der Verhältnismäßigkeit sei auch im konkreten Fall gewahrt. In der Ablehnung der Ausstellung eines Personalausweises ohne die Aufnahme von Fingerabdrücken durch die Beklagte liege kein Verstoß gegen Grundrechte.
Auch habe das Verwaltungsgericht Wiesbaden für die Entscheidung über den vorliegenden Fall nicht den Fristablauf der Fortgeltung der VO (EU) 2019/1157 oder den Erlass einer neuen Verordnung abwarten müssen. Angesichts der Entscheidung des EuGH im Vorabentscheidungsverfahren sei die Sache entscheidungsreif. Der EuGH habe ausdrücklich entschieden, dass die Wirkungen der VO (EU) 2019/1157 aufrechterhalten blieben, weshalb im Zeitpunkt der gerichtlichen Entscheidung kein Anspruch des Klägers auf Ausstellung eines Personalausweises ohne Speicherung von Fingerabdrücken bestehe. Die Frage, ob sich ein solcher Anspruch möglicherweise in der Zukunft infolge einer Änderung der Rechtslage ergeben könnte, sei im vorliegenden Verfahren nicht von Relevanz.
Das Urteil (6 K 1563/21.WI) ist noch nicht rechtskräftig. Der Kläger kann binnen eines Monats den Antrag auf Zulassung der Berufung stellen, über den der Hessische Verwaltungsgerichtshof zu entscheiden hätte.
Die Irische Datenschutzbehörde hate eine Bußgeld in Höhe von 251 Millionen EURO gegen Meta wegen Datenschutzverstößen im Zusammenhang mit einem Facebook-Datenleck verhängt.
Die Pressmeitteilung der Irischen Datenschutzbehörde: Irish Data Protection Commission fines Meta €251 Million
The Irish Data Protection Commission (DPC) has today announced its final decisions following two inquiries into Meta Platforms Ireland Limited (‘MPIL’). These own-volition inquiries were launched by the DPC following a personal data breach, which was reported by MPIL in September 2018.
This data breach impacted approximately 29 million Facebook accounts globally, of which approximately 3 million were based in the EU/EEA. The categories of personal data affected included: user’s full name; email address; phone number; location; place of work; date of birth; religion; gender; posts on timelines; groups of which a user was a member; and children’s personal data. The breach arose from the exploitation by unauthorised third parties of user tokens[1] on the Facebook platform. The breach was remedied by MPIL and its US parent company shortly after its discovery.
The decisions, which were made by the Commissioners for Data Protection, Dr. Des Hogan and Dale Sunderland, included a number of reprimands and an order to pay administrative fines totalling €251 million.
The DPC submitted a draft decision to the GDPR cooperation mechanism in Sept 2024, as required under Article 60 of the GDPR[2]. No objections to the DPC’s draft decision were raised. The DPC is grateful for the cooperation and assistance of its peer EU/EEA supervisory authorities in this case.
The DPC’s final decisions record the following findings of infringement of the GDPR:
Decision 1
Article 33(3) GDPR - By not including in its breach notification all the information required by that provision that it could and should have included. The DPC reprimanded MPIL for failures in regards to this provision and ordered it to pay administrative fines of €8 million.
Article 33(5) GDPR - By failing to document the facts relating to each breach, the steps taken to remedy them, and to do so in a way that allows the Supervisory Authority to verify compliance. The DPC reprimanded MPIL for failures in regards to this provision and ordered it to pay administrative fines of €3 million.
Decision 2
Article 25(1) GDPR - By failing to ensure that data protection principles were protected in the design of processing systems. The DPC found that MPIL had infringed this provision, reprimanded MPIL, and ordered it to pay administrative fines of €130 million.
Article 25(2) - By failing in their obligations as controllers to ensure that, by default, only personal data that are necessary for specific purposes are processed. The DPC found that MPIL had infringed these provisions, reprimanded MPIL, and ordered it to pay administrative fines of €110 million.
DPC Deputy Commissioner Graham Doyle commented:
“This enforcement action highlights how the failure to build in data protection requirements throughout the design and development cycle can expose individuals to very serious risks and harms, including a risk to the fundamental rights and freedoms of individuals. Facebook profiles can, and often do, contain information about matters such as religious or political beliefs, sexual life or orientation, and similar matters that a user may wish to disclose only in particular circumstances. By allowing unauthorised exposure of profile information, the vulnerabilities behind this breach caused a grave risk of misuse of these types of data.”
The DPC will publish the full decision and further related information in due course.
OLG Düsseldorf
Beschluss vom 02.12.2024 16 W 93/23
Das OLG Düsseldorf hat entschieden, dass nach Ablauf der Monatsfrist gemäß Art.12 Abs. 3 Satz 1 DSGVO für die Auskunftserteilung gemäß Art. 15 Abs. 1 DSGVO ohne Mahnung Verzug eintritt.
Aus den Entscheidungsgründen: Die sofortige Beschwerde der Beklagten bleibt erfolglos, während die Anschlussbeschwerde des Klägers Erfolg hat.
Die auch im Beschwerdeverfahren von Amts wegen zu prüfende internationale Zuständigkeit der deutschen Gerichte (vgl. BGH, Beschluss vom 29. Juli 2021 – XII ZB 495/20, juris, Rn. 12) ist gegeben. Sie ergibt sich aus Art. 17 Abs. 1 Buchst. c, Art. 18 Abs. 1 EuGVVO. Der Kläger ist Verbraucher im Sinne von Art. 17 Abs. 1 EuGVVO mit Wohnsitz in Deutschland und die Beklagte richtete ihre Geschäftstätigkeit in dem hier maßgeblichen Zeitraum auch auf Deutschland aus.
Auf das Rechtsverhältnis der Parteien findet gemäß Art. 6 Abs. 1 Buchst. b Rom-I-VO auch deutsches Recht Anwendung. Ausschlaggebend hierfür sind wiederum die Verbrauchereigenschaft des Klägers, der in Deutschland seinen gewöhnlichen Aufenthalt hat, und die Ausrichtung der geschäftlichen Tätigkeit der Beklagten auch auf Deutschland.
1. Die nach §§ 91a Abs. 2, 567 Abs. 1 Nr. 1 ZPO statthafte und auch im Übrigen zulässige sofortige Beschwerde der Beklagten ist unbegründet. Das gilt zum einen, soweit sie sich dagegen wendet, dass das Landgericht im Rahmen der zu treffenden Kostenentscheidung zugunsten des Klägers einen voraussichtlichen Erfolg seines Auskunftsantrags berücksichtigt hat. Das gilt zum anderen aber auch, soweit die sofortige Beschwerde hilfsweise die Gewichtung des Auskunftsantrags im Rahmen der Kostenentscheidung rügt. Die sofortige Beschwerde beanstandet insofern zwar mit Recht, dass das Landgericht den Wert des Auskunftsantrags im Rahmen der Kostenentscheidung mit 50 % und nicht niedriger gewichtet hat. Dies spielt für die Kostenentscheidung nach § 91a Abs. 1 ZPO jedoch keine Rolle, weil die Beklagte auf die erfolgreiche Anschlussbeschwerde des Klägers auch die Kosten zu tragen hat, die auf den von ihm im Rahmen der Stufenklage verfolgten Leistungsantrag entfallen.
a) Nach § 91a Abs. 1 Satz 1 ZPO entscheidet das Gericht im Falle übereinstimmender Erledigungserklärungen über die Kosten nach billigem Ermessen unter Berücksichtigung des bisherigen Sach- und Streitstands. Danach sind die auf den Auskunftsantrag entfallenden Kosten von der Beklagten zu tragen. Nach bisherigem Sach- und Streitstand wäre der Auskunftsantrag des Klägers ohne die von der Beklagten am 2. August 2023 erteilten Auskünfte, mit denen die Beklagte den Auskunftsanspruch des Klägers erfüllt hat, voraussichtlich erfolgreich gewesen.
aa) Der Auskunftsantrag war zulässig. Das gilt selbst für den Fall, dass man – entgegen der Auffassung des Senats – die vom Kläger erhobene Stufenklage, für deren erste Stufe über den Wortlaut des § 254 ZPO hinaus jegliche Auskunftsbegehren in Betracht kommen (vgl. Bacher, in: BeckOK ZPO, Stand: 01.09.2024, § 254 Rn. 3), für unzulässig halten wollte. Denn dann wäre die Stufenklage hier in eine von der Stufung unabhängige objektive Anspruchshäufung nach § 260 ZPO umzudeuten (vgl. BGH, Urteil vom 27. September 2023 – IV ZR 177/22, juris, Rn. 26) mit der Folge, dass gegen den dann isoliert zu betrachtenden Auskunftsanspruch keine Zulässigkeitsbedenken bestünden. Anders als die Beklagte möglicherweise meint, ist die Funktionalisierung eines – wie hier – auf Art. 15 Abs. 1 DS-GVO gestützten Auskunftsantrags zur Bezifferung eines unbestimmten Leistungsantrags kein Problem der Zulässigkeit oder Statthaftigkeit des Antrags, sondern wäre allenfalls auf der Ebene der Begründetheit zu hinterfragen.
bb) Die Voraussetzungen eines Anspruchs nach Art. 15 Abs. 1 DS-GVO lagen vor. Die Anwendbarkeit des Art. 15 DS-GVO in zeitlicher Hinsicht war hier zu bejahen, weil der Kläger sein Auskunftsverlangen nach Inkrafttreten der Datenschutz-Grundverordnung gestellt hat (vgl. zur Anwendbarkeit des Art. 15 DS-GVO in zeitlicher Hinsicht BGH, Urteil vom 5. März 2024 – VI ZR 330/21, juris, Rn. 13). Auch der sachliche und der räumliche Anwendungsbereich der Datenschutz-Grundverordnung waren eröffnet. Soweit der Kläger als betroffene Person im Sinne von Art. 15 Abs. 1 DS-GVO mit seinem Auskunftsantrag von der Beklagten als der Verantwortlichen im Sinne von Art. 15 Abs. 1 DS-GVO nicht nur Auskunft über seine von ihr verarbeiteten personenbezogenen Daten verlangt hat, sondern auch die Mitteilung bestimmter Informationen, war dies durch die Vorschrift gedeckt. Die abgefragten Informationen entsprachen den in Art. 15 Abs. 1 DS-GVO genannten.
Es steht einem Auskunftsanspruch aus Art. 15 Abs. 1 DS-GVO auch nicht entgegen, wenn sich die betroffene Person – wie bei einer sogenannten pre-trial discovery – dadurch Erkenntnisse zur Bezifferung eines Zahlungsantrags erhofft. Der in Art. 15 Abs. 1 DS-GVO normierte Auskunftsanspruch ist nicht an die Voraussetzung geknüpft, dass die betroffene Person mit den erwünschten Angaben und Informationen in bestimmter Weise verfährt (vgl. EuGH, Urteil vom 26. Oktober 2023 – C-307/22, juris, Rn. 43). Das Recht auf Auskunft über die Verarbeitung personenbezogener Daten nach Art. 15 Abs. 1 DS-GVO besteht in den Grenzen des Art. 12 Abs. 5 DS-GVO unabhängig von den mit der Auskunft verfolgten Zwecken. Der Auskunftsanspruch ist auch weder davon abhängig, dass die betroffene Person ihn begründet (vgl. EuGH, Urteil vom 26. Oktober 2023 – C-307/22, juris, Rn. 38 und 43), noch an die Voraussetzung gebunden, dass dem Betroffenen die erfragten Daten und Informationen gänzlich unbekannt sind (vgl. BGH, Urteile vom 15. Juni 2021 – VI ZR 576/19, juris, Rn. 25, und vom 16. April 2024 – VI ZR 223/21, juris, Rn. 13).
b) Das Landgericht durfte den danach voraussichtlich in Gänze erfolgreichen Auskunftsantrag zwar nicht mit einem Wert von 50 % in die zu treffende Kostenentscheidung einstellen. Wie die Beklagte mit Recht geltend macht, ist ein Auskunftsantrag nur mit einem Bruchteil des Werts der noch zu beziffernden Leistungsklage zu bemessen. Hier erscheint danach ein Wert von etwa einem Fünftel des Werts des Zahlungsantrags angemessen. Das verhilft der sofortigen Beschwerde der Beklagten wegen der erfolgreichen Anschlussbeschwerde des Klägers jedoch noch nicht einmal zu einem Teilerfolg, weil die Beklagte auch den auf den unbezifferten Zahlungsantrag des Klägers entfallenden Kostenanteil vollumfänglich zu tragen hat.
2. Die nach § 567 Abs. 3 Satz 1 ZPO statthafte und auch im Übrigen zulässige Anschlussbeschwerde des Klägers ist begründet. Auch die auf den unbezifferten Leistungsantrag des Klägers entfallenden Prozesskosten sind nach § 91a Abs. 1 Satz 1 ZPO von der Beklagten zu tragen. Das entspricht billigem Ermessen unter Berücksichtigung des bisherigen Sach- und Streitstands. Dem steht nicht entgegen, dass der unbezifferte Leistungsantrag des Klägers mangels Spielverlusten von Anfang an unbegründet war. Der unbezifferte Klageantrag war zulässig. Zudem hätte im Fall von erlittenen Spielverlusten mit überwiegender Wahrscheinlichkeit (siehe zur genügenden Wahrscheinlichkeit BGH, Beschluss vom 24. September 2020 – IX ZB 71/19, juris, Rn. 13 f.) ein Anspruch des Klägers gegen die Beklagte bestanden, wie eine im Verfahren nach § 91a Abs. 1 ZPO gebotene summarische Prüfung (vgl. Althammer, in: Zöller, ZPO, 35. Aufl., § 91a Rn. 27) der höchstrichterlich noch nicht abschließend geklärten Rechtsfragen ergibt. Schließlich befand sich die Beklagte zum Zeitpunkt der Klageerhebung mit der Auskunftserteilung auch in Verzug, so dass dem Kläger mit Erhebung der Stufenklage ein Anspruch auf Ersatz der auf die unbezifferte Leistungsklage entfallenden Kosten zustand. Dieser materiell-rechtliche Kostenerstattungsanspruch ist im Rahmen der Kostenentscheidung nach § 91a Abs. 1 ZPO ebenfalls zu berücksichtigen.
a) Die Stufenklage – und damit auch der unbezifferte Zahlungsantrag – war nach § 254 ZPO zulässig.
Dem steht hier nicht entgegen, dass die der Stufenklage eigentümliche Verknüpfung von unbestimmtem Leistungsantrag und vorbereitendem Auskunftsantrag nicht zur Verfügung steht, wenn die Auskunft nicht dem Zweck einer Bestimmbarkeit des Leistungsanspruchs dient, sondern dem Kläger sonstige mit der Bestimmbarkeit als solcher nicht in Zusammenhang stehende Informationen über seine Rechtsverfolgung verschaffen soll (vgl. BGH, Urteile vom 27. September 2023 – IV ZR 177/22, juris, Rn. 24, und vom 8. Mai 2024 – IV ZR 102/23, juris, Rn. 8). Zwar dienten die vom Kläger mit dem Auskunftsantrag verlangten Angaben größtenteils nicht der Bezifferung eines sich aus einer Rechnungslegung ohne Weiteres ergebenden Anspruchs, sondern der Prüfung der Rechtmäßigkeit der Datenverarbeitung. Das ist jedoch deshalb unschädlich, weil die vom Kläger mit dem Auskunftsantrag ebenfalls verlangten Angaben zu seiner vollständigen Zahlungshistorie auf der Grundlage seines Vorbringens in der Klageschrift (vgl. zur Maßgeblichkeit des Klägervorbringens BGH, Urteil vom 24. Mai 2012 – IX ZR 168/11, juris, Rn. 20; OLG Saarbrücken, Teilurteil vom 10. Januar 2024 – 5 U 26/23, juris, Rn. 43), zu dem auch die behaupteten Spielverluste zählten, der Bezifferung seines auf Bereicherungs- und Deliktsrecht gestützten Zahlungsantrags dienen sollten. Dass der Kläger unter Einsatz von Geld bis Mitte 2021 in Deutschland an Online-Glücksspielen teilgenommen hat, welche die Beklagte ohne deutsche Glücksspiellizenz angeboten hat, war zwischen den Parteien nicht streitig.
b) Hinsichtlich der dem Kläger gegen die Beklagte aus seiner Beteiligung an den Online-Glücksspielen dem Grunde nach zustehenden Ansprüche folgt der Senat – bei der im Verfahren nach § 91a Abs. 1 ZPO gebotenen summarischen Prüfung – der einheitlichen oberlandesgerichtlichen Rechtsprechung. Danach bestehen in Fällen der vorliegenden Art Ansprüche der sich an den Glücksspielen Beteiligenden gegen den Glücksspielanbieter aus § 812 Abs. 1 Satz 1 Alt. 1 BGB i.V.m. §§ 134 BGB, 4 Abs. 1 und Abs. 4 GlüStV 2012 (siehe OLG Braunschweig, Urteil vom 23. Februar 2023 – 9 U 3/22, juris, Rn. 63 ff.; OLG Hamm, Urteil vom 21. März 2023 – I-21 U 116/21, juris, Rn. 24 ff.; OLG Karlsruhe, Urteil vom 19. Dezember 2023 – 19 U 44/23, juris, Rn. 57 ff.; KG, Beschluss vom 21. Juli 2023 – 18 U 37/22, juris, Rn. 38 ff.; OLG Köln, Urteil vom 6. Mai 2024 – I-19 U 76/23, juris, Rn. 31 ff.; OLG Oldenburg, Urteil vom 30. November 2023 – 1 U 14/23, juris, Rn. 27 ff.; OLG Stuttgart, Urteil vom 24. Mai 2024 – 5 U 101/23, juris, Rn. 47 ff.; siehe ferner BGH, Beschlüsse vom 22. März 2024 – I ZR 88/23, juris, Rn. 11, und vom 25. Juli 2024 – I ZR 90/23, juris, Rn. 9) und aus §§ 823 Abs. 2, 31 BGB i.V.m. § 4 Abs. 4 GlüStV 2012 (OLG Köln, Urteil vom 6. Mai 2024 – I-19 U 76/23, juris, Rn. 98 ff.; OLG Stuttgart, Urteil vom 24. Mai 2024 – 5 U 101/23, juris, Rn. 158 ff.; siehe ferner BGH, Beschluss vom 25. Juli 2024 – I ZR 90/23, juris, Rn. 61 ff.). Mit der genannten oberlandesgerichtlichen Rechtsprechung geht der Senat – in Kenntnis und Würdigung der bei dem Gerichtshof der Europäischen Union anhängigen Vorabentscheidungsverfahren C-440/23 und C-530/24 sowie der aktuellen Vorlage- und Aussetzungsentscheidungen des Bundesgerichtshofs (vgl. z.B. BGH, Beschlüsse vom 27. Juni 2024 – I ZR 11/24, juris, und vom 7. November 2024 – I ZR 90/23, juris) – davon aus, dass es – was für eine Kostenentscheidung zulasten einer Partei im Rahmen des § 91a Abs. 1 ZPO ausreicht – überwiegend wahrscheinlich ist, dass dieses materiell-rechtliche Ergebnis auch mit europäischem Recht, insbesondere mit der Dienstleistungsfreiheit aus Art. 56 AEUV, vereinbar ist (vgl. z.B. OLG Karlsruhe, Urteil vom 19. Dezember 2023 – 19 U 44/23, juris, Rn. 70 ff.; OLG Köln, Urteil vom 6. Mai 2024 – I-19 U 76/23, juris, Rn. 129 ff.; OLG Stuttgart, Urteil vom 24. Mai 2024 – 5 U 101/23, juris, Rn. 110 ff.).
c) Zwar ergab sich aus der von der Beklagten erteilten Auskunft, dass die Leistungsklage des Klägers mangels Spielverlusten von Beginn an unbegründet war. Nach der vom Senat geteilten vorherrschenden Auffassung in Rechtsprechung und Literatur (vgl. z.B. OLG Düsseldorf, Beschluss vom 27. August 2012 – I-7 W 70/12, juris, Rn. 9; OLG Frankfurt a.M., Beschluss vom 8. September 1986 – 3 WF 163/86, juris, Rn. 19 f.; Althammer, in: Zöller, ZPO, 35. Aufl., § 91a Rn. 58.44; Assmann, in: Wieczorek/Schütze, ZPO, 5. Aufl., § 254 Rn. 83; Bacher, in: BeckOK ZPO, Stand: 01.09.2024, § 254 Rn. 31) hat der Beklagte im Rahmen einer Kostenentscheidung nach § 91a Abs. 1 ZPO jedoch auch in solchen Fällen die auf die unbezifferte Leistungsklage entfallenden Prozesskosten zu tragen, wenn dem Kläger gegen den Beklagten bis dahin ein materiell-rechtlicher Schadensersatz- beziehungsweise Kostenerstattungsanspruch wegen Verzugs bei der Erfüllung der Auskunftspflicht zustand. So liegt es hier.
aa)Dem Kläger stand gegen die Beklagte bis zu der mit dem vorliegenden Beschluss getroffenen Kostenentscheidung aus §§ 280 Abs. 1 und 2, 286 BGB ein Ersatzanspruch in Höhe der Kosten für den unbezifferten Zahlungsantrag zu. Das vom Kläger an die Beklagte gerichtete vorgerichtliche Auskunftsverlangen nach Art. 15 Abs. 1 DS-GVO begründete zwischen den Parteien ein eigenes Schuldverhältnis im Sinne von § 280 Abs. 1 Satz 1 BGB. Zum Zeitpunkt der Klageerhebung befand sich die Beklagte mit der Erteilung der von ihr nach dem Inhalt dieses Schuldverhältnisses an den Kläger zu erteilenden Auskunft auch gemäß § 286 Abs. 1 und 2 Nr. 2 BGB in Verzug. Nach § 286 Abs. 2 Nr. 2 BGB bedarf es für den Verzugseintritt keiner Mahnung, wenn der Leistung ein Ereignis vorauszugehen hat und eine angemessene Zeit für die Leistung in der Weise bestimmt ist, dass sie sich von dem Ereignis an nach dem Kalender berechnen lässt. So verhält es sich hier, weil § 286 Abs. 2 Nr. 2 BGB auch auf gesetzlich bestimmten Leistungsfristen anzuwenden ist (vgl. BGH, Urteil vom 12. November 2015 – I ZR 167/14, juris, Rn. 142).
Das der geschuldeten Auskunftserteilung nach Art. 15 Abs. 1 DS-GVO vorauszugehende Ereignis im Sinne von § 286 Abs. 2 Nr. 2 BGB ist der Auskunftsantrag der betroffenen Person. Dieser Antrag löst nach Art. 12 Abs. 3 Satz 1 DS-GVO eine gesetzliche Antwortfrist aus. Das Auskunftsverlangen ist danach unverzüglich, spätestens aber – im Einklang mit der Aufforderung des Klägers – innerhalb eines Monats nach Eingang des Antrags zu beantworten. Das reicht für die Berechenbarkeit nach dem Kalender im Sinne von § 286 Abs. 2 Nr. 2 BGB aus. Dabei kann dahinstehen, ob dies für den von Art. 12 Abs. 3 Satz 1 DS-GVO verwendeten Begriff „unverzüglich“ gilt. Es gilt jedenfalls für die in Art. 12 Abs. 3 Satz 1 DS-GVO genannte Höchstfrist „innerhalb eines Monats nach Eingang des Antrags“.
Hier hatte der Kläger die Beklagte mit außergerichtlichem Schreiben seiner Prozessbevollmächtigten vom 1. Februar 2023 unter Setzung einer Monatsfrist zur Auskunftserteilung aufgefordert. Dieses Auskunftsverlangen, das der Beklagten nach dem unstreitigen Klägervorbringen zugestellt worden ist, löste ungeachtet der in dem Schreiben enthaltenen Fristsetzung gemäß Art. 12 Abs. 3 Satz 1 DS-GVO eine gesetzliche Antwortfrist aus. Diese gesetzliche Frist hat die Beklagte nicht eingehalten. Sie hat bis zur Klageerhebung auf den Antrag weder unverzüglich noch binnen der einmonatigen Antworthöchstfrist des Art. 12 Abs. 3 Satz 1 DS-GVO reagiert, wie aus dem zeitlichen Abstand zwischen Antrag und Klageerhebung gefolgert werden kann. Zu den Voraussetzungen einer Fristverlängerung nach Art. 12 Abs. 3 Satz 2 DS-GVO hat die Beklagte nichts vorgetragen. Dazu ist auch sonst nichts ersichtlich. Die nach Verzugseintritt vom Kläger erhobene Stufenklage mit ihrem noch unbestimmten Leistungsantrag stellte sich dann als prozessual sachgerechte und damit adäquate Folge der nicht fristgerecht erteilten Auskunft dar.
bb) Einem Anspruch des Klägers gegen die Beklagte aus §§ 280 Abs. 1 und 2, 286 BGB auf Ersatz der auf den unbezifferten Zahlungsantrag entfallenden Prozesskosten stand auch kein anspruchsausschließendes oder anspruchsminderndes Mitverschulden des Klägers nach § 254 Abs. 1 BGB entgegen. An einen entsprechenden Mitverschuldenseinwand lässt sich denken, wenn Anhaltspunkte dafür bestehen, dass der Kläger eine Stufenklage erhebt, obgleich er aus eigenen Unterlagen ersehen kann, dass ihm ungeachtet der nach Art. 15 Abs. 1 DS-GVO noch zu erteilenden Auskunft kein Zahlungsanspruch zustehen kann, oder wenn er für den noch unbezifferten Zahlungsantrag eine Wertangabe macht, die willkürlich ist und jedes Maß vermissen lässt (vgl. OLG Düsseldorf, Beschluss vom 27. August 2012 – I-7 W 70/12, juris, Rn. 10).
Ausreichende Anhaltspunkte für einen dieser Sachverhalte lassen sich hier jedoch nicht feststellen. Zwar hatte der Kläger in der Klageschrift noch angegeben, nötigenfalls Zahlungsnachweise für seine Spieleinsätze vorlegen zu können. Danach schien es nicht ausgeschlossen zu sein, dass der Kläger zu einer Bezifferung seiner Spielverluste in der Lage sein würde. In der Anschlussbeschwerdeschrift hat der Kläger jedoch ausgeführt, dass es sich lediglich um eine missverständliche Formulierung seines Prozessbevollmächtigten gehandelt habe und er die Auskunft nicht verlangt hätte, wenn ihm alle relevanten Kontoauszüge vorgelegen hätten. Dem ist die für ein Mitverschulden des Klägers darlegungs- und beweisbelastete Beklagte nachfolgend nicht mehr entgegengetreten. Auch mit der Streitwertangabe des Klägers hat sie sich – ungeachtet ihrer Kenntnis von seinen Spieleinsätzen – nicht befasst. Soweit die Beklagte vorträgt, dass davon auszugehen sei, dass sich der Kläger erinnern könne, dass er keine Verluste gemacht, sondern nur gewonnen habe, handelt es sich – zumal angesichts der Hinweise auf die Spielsucht des Klägers in der Klageschrift – um eine nicht zwingende Schlussfolgerung, der sich der Senat auch mit Blick auf das prozessuale Vorgehen des Klägers nicht anzuschließen vermag.
Ein Mitverschulden lässt sich mit Blick auf den Auskunftsanspruch aus Art. 15 Abs. 1 DS-GVO schließlich auch nicht mit dem Hinweis darauf begründen, dass der Kläger nicht sämtliche Zahlungsbelege zu den von ihm getätigten Online-Glücksspielen aufbewahrt hat. Insoweit durfte er nach Inkrafttreten der Datenschutz-Grundverordnung darauf vertrauen, über seine personenbezogenen, bei der Beklagten gespeicherten Zahlungsdaten nötigenfalls gemäß Art. 15 Abs. 1 DS-GVO Auskunft von der Beklagten zu erhalten.
Leitsatz des BGH:
Immaterieller Schaden im Sinne des Art. 82 Abs. 1 DSGVO kann auch der bloße und kurzzeitige Verlust der Kontrolle über eigene personenbezogene Daten infolge eines Verstoßes gegen die Datenschutz-Grundverordnung sein. Weder muss eine konkrete missbräuchliche Verwendung dieser Daten zum Nachteil des Betroffenen erfolgt sein noch bedarf es sonstiger zusätzlicher spürbarer negativer Folgen.
BGH, Urteil vom 18. November 2024 - VI ZR 10/24 - OLG Köln - LG Bonn
Das OLG Frankfurt hat im Rahmen eines Hinweisbeschlusses ausgeführt, dass der Auskunftsanspruch aus Art. 15 DSGVO gegen ein soziales Netzwerk (hier: X / Twitter) auch durch ein Self-Service-Tool vollständig erfüllt werden kann.
Aus den Entscheidungsgründen: 1. Das Landgericht ist zutreffend davon ausgegangen, dass die Beklagte durch die Bereitstellung eines Self-Service-Tool sowie das Schreiben vom 18.04.2023 (Anlage K 3) den Auskunftsanspruch des Klägers nach § 15 II DSGVO erfüllt hat.
Die Bereitstellung des Selbstbedienungstools führt dazu, dass der Kläger die Auskünfte an seinem Wohnsitz abrufen kann, wenn er dies will. Der Auskunftserfolg tritt damit auch dann am rechten Ort ein, wenn man - mit der Berufungsbegründung - zugrunde legt, dass Erfüllungsort der Sitz des Klägers ist.
Anderes ergibt sich (entgegen der Berufungsbegründung) auch nicht aus Erwägungsgrund 63 zur DSGVO. Dieser lautet:
„Eine betroffene Person sollte ein Auskunftsrecht hinsichtlich der sie betreffenden personenbezogenen Daten, die erhoben worden sind, besitzen und dieses Recht problemlos und in angemessenen Abständen wahrnehmen können, um sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können. Dies schließt das Recht betroffener Personen auf Auskunft über ihre eigenen gesundheitsbezogenen Daten ein, etwa Daten in ihren Patientenakten, die Informationen wie beispielsweise Diagnosen, Untersuchungsergebnisse, Befunde der behandelnden Ärzte und Angaben zu Behandlungen oder Eingriffen enthalten. Jede betroffene Person sollte daher ein Anrecht darauf haben zu wissen und zu erfahren, insbesondere zu welchen Zwecken die personenbezogenen Daten verarbeitet werden und, wenn möglich, wie lange sie gespeichert werden, wer die Empfänger der personenbezogenen Daten sind, nach welcher Logik die automatische Verarbeitung personenbezogener Daten erfolgt und welche Folgen eine solche Verarbeitung haben kann, zumindest in Fällen, in denen die Verarbeitung auf Profiling beruht. Nach Möglichkeit sollte der Verantwortliche den Fernzugang zu einem sicheren System bereitstellen können, der der betroffenen Person direkten Zugang zu ihren personenbezogenen Daten ermöglichen würde. Dieses Recht sollte die Rechte und Freiheiten anderer Personen, etwa Geschäftsgeheimnisse oder Rechte des geistigen Eigentums und insbesondere das Urheberrecht an Software, nicht beeinträchtigen. Dies darf jedoch nicht dazu führen, dass der betroffenen Person jegliche Auskunft verweigert wird. Verarbeitet der Verantwortliche eine große Menge von Informationen über die betroffene Person, so sollte er verlangen können, dass die betroffene Person präzisiert, auf welche Information oder welche Verarbeitungsvorgänge sich ihr Auskunftsersuchen bezieht, bevor er ihr Auskunft erteilt.“
Der Erwägungsgrund 63 besagt somit nirgends, dass der Fernzugang (hier: Selbstbedienungstool) nur dann erfüllungstauglich wäre, wenn der Nutzer mit dieser Art der Erfüllung einverstanden ist. Auch gebietet er keine solche Folgerung. Die Bereitstellung eines angemessenen Fernzugangs über ein Self-Service-Tool wird daher als ausreichend angesehen, um den Anspruch auf Bereitstellung einer Kopie der personenbezogenen Daten gemäß Art. 15 Abs. 3 Satz 1 DSGVO zu erfüllen (OLG Dresden, Urteil vom 5. Dezember 2023, Az. 4 U 1094/23, Rn. 65, juris; OLG München, Vfg. vom 29.01.2024, 14 U 4826/23 - nicht veröffentlicht; LG Bonn, Urteil vom 8. März 2023, Az.: 17 O 165/22, GRUR-RS 2023, 3854 Rn. 59 ff.; LG Bonn, Urteil vom 3. Februar 2023, Az.: 2 O 170/22, GRUR-RS 2023, 4566, Rn. 54 ff.; LG Bonn, Urteil vom 3. Februar 2023, Az.: 18 O 127/22, GRUR-RS 2023, 4565, Rn. 56 f.; LG Paderborn, Urteil vom 19. Dezember 2022, Az.: 3 O 99/22, GRUR-RS 2022, 39349, Rn. 162 ff.; LG Paderborn, Urteil vom 13. Dezember 2022, Az.: 2 O 212/22, GRUR-RS 2022, 41028 Rn. 176 ff.; LG München I, Urteil vom 2. September 2021, Az.: 23 O 10931/20, juris Rn. 23 f.; Krämer/Burghoff, ZD 2022, 428, 432; Paal, in: Paal/Pauly DSGVO, 3. Aufl. 2021, Art. 15 Rn. 38 iVm Rn. 14; Franck, in: Gola/Heckmann DSGVO, 3. Aufl. 2022, Art. 15 Rn. 40.), sie ist sogar die gewünschte Form der Übermittlung
Soweit eine einzelne Stimme (Schmidt-Wudy, BeckOK Datenschutzrecht, Art. 15 DS- GVO Rn. 84) der Auffassung ist, ein Fernzugriffssystem ersetze nur dann die Übersendung der Auskunft bzw. Datenkopie im Wege der Schickschuld per Post oder auf elektronischem Wege, wenn sich der Anspruchsteller hiermit einverstanden erkläre, fehlt es hierfür ebenso an einer tragfähigen Begründung wie in der Entscheidung des LAG Niedersachsen (NZA-RR 2020, 571, Rnr. 46), die ohne Begründung diese Literaturstelle zitiert.
Die Verweisung auf den Fernzugang kann im Einzelfall zwar dazu führen, dass der betroffenen Person faktisch die Auskunft verweigert wird: Beispielsweise haben auch Menschen, die „analog leben“ oder/und keine nennenswerten Fähigkeiten im Umgang mit IT-gestützten Portalen haben, ein Recht auf Auskunft nach Art. 15 DSGVO, dieses könnte untergraben werden, wenn man sie auf das ihnen unzugängliche Selbstbedienungstool verwiese. Darüber muss vorliegend jedoch nicht entschieden werden, denn wer sich bei der Beklagten registriert, lebt denknotwendig nicht (mehr) analog und lässt auch nicht erwarten, im Umgang mit IT-gestützten Portalen unbeschlagen zu sein.
2. Es kann dahinstehen, ob der Anwendungsbereich von Art. 82 Abs. 1 DSGVO auf Schäden infolge der reinen Datenverarbeitung im Sinne von Art. 4 Nr. 2 DSGVO begrenzt ist und daher ein Verstoß gegen Art. 15 (oder Art. 34) DSGVO überhaupt einen Schadensersatzanspruch zur Folge hat. Der Kläger hat das Vorliegen eines Schadens nämlich nicht substantiiert vorgetragen.
a) Auch wenn - wie Erwägungsgrund 146 unterstreicht - der Schadensbegriff im Ansatz weit zu verstehen ist, ergibt schon die Zählung der Tatbestandsmerkmale des Art. 82 Abs. 1 DSGVO eine Anzahl von drei (so auch EuGH C-300/21), nämlich (1) Verstoß, (2) Schaden, (3) Kausalität.
Der Verstoß (Herbeiführung des Kontrollverlustes an den Daten) ist schon deshalb nicht bereits der Schaden und führt auch nicht „automatisch“ zu einem Schaden (EuGH, Urt. v. 04.05.2023, C-300/21 - Österreichische Post). Da die Erwägungsgründe besagen, dass der Schaden "erlitten" sein muss, kann der Kontrollverlust (als rein objektiver Befund) nicht für sich allein bereits der Schaden sein (OLG Hamm, 7 U 19/23 Rn 72 ff).
Dergleichen hat insbesondere der Gerichtshof der Europäischen Union nicht postuliert, sondern im Gegenteil (EuGH 5.12.2023, C-807/21 Rn 82) den „Verlust der Kontrolle“ in Erwägungsgrund 85 als Beispiel für Umstände gesehen, die „erhebliche wirtschaftliche oder gesellschaftliche Nachteile“ darstellen können. Daraus leitet der EuGH aber gerade nicht her, dass schon der Kontrollverlust ohne weiteres der Schaden „sei“, sondern lediglich: dass der Schaden nicht eine bereits eingetretene „missbräuchliche Verwendung der betreffenden Daten zum Nachteil“ der betroffenen Person voraussetzt, sondern die Befürchtung (Rn 81) zukünftiger missbräuchlicher Verwendung ausreichen kann (vgl. auch EuGH, U. v. 20.6.2024 - C.590/22, juris Rn. 32 f.). Ein Schadensersatzanspruch besteht auch bei einem Kontrollverlust über personenbezogenen Daten nur, sofern die betroffene Person darlegt und bei Bedarf nachweist, dass sie tatsächlich einen Schaden - so geringfügig er auch sein mag - erlitten hat (EuGH, U. v. 20.6.2024 - C.590/22, juris Rn. 33 mwN), Die Fokussierung des EuGH auf den Begriff der „Befürchtung“ (englisch: „fear“, französisch: „crainte“) wäre überflüssig, wenn in dem objektiven Vorgang des Kontrollverlustes bereits ein Schaden im Sinne von § 82 Abs. 1 DSGVO läge.
Vorliegend ist das Landgericht zutreffend zum Schluss gelangt, dass nach dem Klägervortrag ein (hier unterstellter) Verstoß der Beklagten in keiner Weise irgendeine persönlich erlebte belastende Folge kausal verursacht hat. Wie gezeigt, ist der bloße Kontrollverlust als solcher nicht „der“ Schaden des Art. 82 Abs. 1 DSGVO. Er führt auch nicht etwa gleichsam „automatisch“ zu „einem Zustand, in dem sich die Klägerseite berechtigt wie nachvollziehbar in Sorge um den Verbleib sowie einen möglichen Missbrauch ihrer Daten“ befinden würde: Die für Art. 82 Abs. 1 DSGVO erforderliche Befürchtung (deutlicher englisch „fear“ und französisch „crainte“, also blanke „Furcht“) besteht nicht allein in einer logischen Gedankenoperation des Betrachters oder der Klagepartei, sondern wäre ein (negatives) Gefühl der Klagepartei, das bestritten und von dieser zu beweisen war - und anhand objektiver Umstände nachvollziehbar sein muss.
Jedenfalls hat das Landgericht zu Recht den klägerischen Vortrag als pauschal und substanzlos angesehen (“Zustand des Unwohlseins und der Sorge des Datenmissbrauchs“). Das ist angesichts des formelhaften und erkennbar nicht individualisierten Zuschnitts dieses Vorbringens nicht zu beanstanden; hiergegen erinnert die Berufungsbegründung auch nichts. Hinzu kommt, dass nicht nachvollziehbar ist, wieso im Fall einer mutmaßlichen Verletzung der Auskunftspflicht - in der bisher überhaupt kein Indiz für einen Datenabfluss bestanden hat - der „Zustand des Unwohlseins und der Sorge des Datenmissbrauchs“ gegeben sein kann.
3. Da sich die Bemessung der Höhe des Schadensersatzes nach nationalem Recht richtet (vgl. z.B. EuGH, U. v.26.2024 - C-182/22, juris Rn. 33), ist ein Anspruch auf Schadensersatz insoweit auch wegen überwiegenden Mitverschuldens (§ 254 BGB) ausgeschlossen, da der Kläger von der naheliegenden Möglichkeit, sich über das Selbstbedienungstool zu informieren, keinen Gebrauch gemacht hat. Eine Rechtsgrundlage für den Ersatz der außergerichtlichen Kosten ist nicht ersichtlich. Insbesondere lag kein Verzug vor. Die Beauftragung des Prozessbevollmächtigten des Klägers erfolgt vor der erstmaligen Geltendmachung des Rechts aus Art. 15 DSGVO gegenüber der Beklagten.
Ein möglicher Verzug der Beklagten - der wegen Art. 12 III DSGVO vor Ablauf einer Monatsfrist wegen der von der Beklagten geschilderten Vielzahlt von Anfragen schwer zu begründen ist - wäre daher nicht kausal für den geltend gemachten Schaden in Form der Beauftragung des Prozessbevollmächtigten des Klägers.
4. Der Senat beabsichtigt, den Streitwert entgegen der Angabe des Klägers in der Klageschrift (8.000,-- €) auf 2.000 € festzusetzen.
Zwar sind die Angaben des Klägers in der Klageschrift bei der Ermessensausübung nach § 3 ZPO regelmäßig ein ganz erhebliches Indiz, da die Angabe unbeeinflusst vom Ausgang des Rechtsstreits erfolgt und damit eine erhöhte Richtigkeitsgewähr einhergeht. Anderes gilt jedoch dann, wenn der Wert offensichtlich über- oder untersetzt ist.
Dies ist hier der Fall. Der Senat hält die Schmerzensgeldangabe von 3.000 € als um ein Vielfaches übersetzt an; der Kläger selbst hat schriftsätzlich einen Betrag von 1.500 € als angemessen angegeben.
Den Wert des Klagantrags zu 1.) und 2.) hingegen setzt der Senat nicht mit zusammen 5.000 €, sondern mit 500 € fest. Auskunftsansprüche bewegen im Regel im Bereich eines Bruchteils des Hauptanspruchs, wenn sie diesen unterstützen. Der Anspruch nach § 15 DSGVO ist zwar ein selbständiger Anspruch, bewegt sich jedoch wertmäßig in einer vergleichbaren Höhe. Hinzu kommt, dass der Anspruch keinen wirtschaftlichen Interessen des Klägers dient. Weiterhin ist zu berücksichtigen, dass Anhaltspunkte für eine Rechtsverletzung nicht bestehen. Der Senat hält daher einen Wert von 500 € für angemessen (vgl. z.B. OLG Köln ZD 2018, 268; OLG Köln ZD 2019, 463)
5. Einer Entscheidung nach § 522 II ZPO steht auch nicht ein etwaiger Revisionszulassungsgrund der Divergenz oder der grundsätzlichen Bedeutung entgegen. Soweit das LAG Niedersachen (NZA-RR 2020, 571, Rnr. 46) eine Datenübersendung in elektronischer Form als zur Erfüllung ungeeignet ansieht, kann dies eine Revisionszulassung nicht begründen.
Eine Rechtssache hat grundsätzliche Bedeutung, wenn sie eine entscheidungserhebliche, klärungsbedürftige und klärungsfähige Rechtsfrage aufwirft, die sich in einer Vielzahl von Fällen stellen kann und deswegen das abstrakte Interesse der Allgemeinheit an der einheitlichen Entwicklung und Handhabung des Rechts berührt, d.h. allgemein von Bedeutung ist (st Rspr; BGH NJW 2002, 3029). Klärungsbedürftig in diesem Sinne ist eine Rechtsfrage, wenn sie vom BGH nicht entschieden und von Oberlandesgerichten oder in der Literatur unterschiedlich beantwortet wird (BGH NZG 2010, 625 Rn. 3; DStR 2014, 383 Rn. 2). Der Klärungsbedarf entfällt, wenn abweichende Ansichten im Schrifttum vereinzelt geblieben und nicht oder nicht nachvollziehbar begründet sind (NZG 2024, 249 Rn. 9; BGH NZG 2010, 625). So verhält es sich hier.
