Skip to content

OLG München: Reichweite des Auskunftsanspruchs aus Art. 15 Abs. 1 DSGVO und des Anspruchs auf Kopien aus Art. 15 Abs. 3 DSGVO ist eher weit auszulegen

OLG München
Urteil vom 04.10.2021
3 U 2906/20


Das OLG München hat entschieden, dass die Reichweite des Auskunftsanspruchs aus Art. 15 Abs. 1 DSGVO und des Anspruchs auf Kopien aus Art. 15 Abs. 3 DSGVO eher weit auszulegen ist.

Aus den Entscheidungsgründen:

"Das Landgericht München I hat die Beklagten zu Recht zur Herausgabe von Kopien der bei ihnen gespeicherten persönlichen Daten verurteilt, Art. 15 Abs. 3 DS-GVO.

4) Bei den aus dem Tenor der erstinstanzlichen Entscheidung ersichtlichen Informationen handelt es sich um personenbezogene Daten. Personenbezogene Daten sind nach Art. 4 Nr. 1 DS-GVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Nach dieser Definition und der Rechtsprechung des EuGH ist der Begriff weit zu verstehen. Er ist nicht auf sensible oder private Informationen beschränkt, sondern umfasst potenziell alle Arten von Informationen sowohl objektiver als auch subjektiver Natur in Form von Stellungnahmen oder Beurteilungen, unter der Voraussetzung, dass es sich um Informationen über die in Rede stehende Person handelt. Die letztgenannte Voraussetzung ist erfüllt, wenn die Information aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer bestimmten Person verknüpft ist (BGH NJW 2021, 2726 m.w.Nachw.). Betreffend den bei den Beklagten befindlichen Daten lässt sich jeweils aus dem Betreff bzw. dem Gesprächspartner eine Verbindung zu der Klägerin ziehen. Schreiben und E-Mails der Klägerin an die Beklagten sind grundsätzlich ihrem gesamten Inhalt nach als personenbezogene Daten gem. Art. 4 Nr. 1 DS-GVO anzusehen. Die personenbezogene Information besteht bereits darin, dass sich die Klägerin jeweils entsprechend geäußert hat. Telefonnotizen, Aktenvermerke und Protokolle als interne Vermerke bei den Beklagten, die Informationen über die Klägerin enthalten, sind ebenfalls als personenbezogene Daten einzuordnen. Hier wird durch die Beklagten festgehalten, was die Klägerin telefonisch oder in persönlichen Gesprächen geäußert hat (vgl. nur BGH NJW 2021, 2726 Rn. 25).

4) Der datenschutzrechtliche Auskunftsanspruch des Klägers beurteilt sich nach dem seit dem 25.5.2018 unmittelbar anwendbaren Art. 15 DS-GVO beurteilt (Art. 99 Abs. 2 DS-GVO). Nach Art. 15 Abs. 1 DS-GVO hat die betroffene Person das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und bestimmte weitere Informationen. Gemäß Art. 15 Abs. 3 S. 1 DS-GVO stellt der Verantwortliche eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung. Die Klägerin macht vorliegend nicht den Auskunftsanspruch aus Art. 15 Abs. 1 DS-GVO geltend, die entsprechende Auskunft haben die Beklagten bereits vorgerichtlich erteilt. Die Frage, ob aus Art. 15 Abs. 3 DS-GVO ein eigenständiger Anspruch auf Herausgabe von Kopien folgt, ist in Literatur und Rechtsprechung umstritten (vgl. zum Streitstand BeckOK DatenschutzR/Schmidt-Wudy, 37. Ed. 1.8.2021, DS-GVO Art. 15 Rn. 85 ff.; sowie zur Rechtsprechungsübersicht Leibold, ZD-Aktuell 2021, 05313)

4) Die von der Klageseite vorgelegte Entscheidung des BGH vom 15.06.2021 (BGH NJW 2021, 2726) beantwortet die Frage eines eigenständigen Anspruches nach Abs. 3 des Art. 15 DS-GVO nicht. Zwar äußert sich der BGH aaO. Rn. 17 dergestalt, dass eine Kopie zur Verfügung gestellt wird, da die Frage eines solchen Anspruchs in der Entscheidung nicht von Bedeutung war, nimmt der BGH dazu jedoch nicht abschließend Stellung.

4) Zum Teil wird ein entsprechender Anspruch auf Herausgabe von Kopien verneint. Nach dem Wortlaut des Art. 15 Abs. 3 S. 1 DS-GVO hat die betroffene Person einen Anspruch nur auf die Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind. Der Anspruch umfasst dem Wortlaut nach nicht über die personenbezogenen Daten hinausgehende Informationen. Nachdem der Auskunftsanspruch gem. Art. 15 Abs. 1 DS-GVO jedoch den Zweck verfolgt, es der betroffenen Person zu ermöglichen, die Rechtmäßigkeit der Datenverarbeitung zu überprüfen, ist es nicht erforderlich, im Rahmen des Anspruchs auf Übermittlung einer Kopie der personenbezogenen Daten mehr zu übermitteln, als zur Überprüfung der Rechtmäßigkeit der Datenverarbeitung erforderlich ist. Zu diesem Zwecke ist es jedoch ausreichend, dass die betroffene Person die in Art. 15 Abs. 1 lit. a bis h DS-GVO genannten Angaben in Kopie erhält. Weitergehende Informationen sind nicht erforderlich (OLG Stuttgart GRUR-RS 2021, 20480; LAG Baden-Württemberg NZA-RR 2021, 410 Rn. 47; Paal/Pauly/Paal, 3. Aufl. 2021, DS-GVO Art. 15 Rn. 33-39), um die Rechtmäßigkeit der Datenverarbeitung zu überprüfen.

4) Nach anderer Auffassung enthält Art. 15 Abs. 3 S. 1 DS-GVO einen eigenständigen Herausgabeanspruch (OVG Münster, Urt. v. 8.6.2021 - 16 A 1582/20, BeckRS 2021, 13156; BeckOK DatenschutzR/Schmidt-Wudy, 35. Ed. 01.02.2021, DS-GVO Art. 15 Rn. 85; Ehmann/Selmayr/Ehmann, 2. Aufl. 2018, DS-GVO Art. 15 Rn. 34; Zikesch/Sörup in ZD 2019, 239, beckonline). Innerhalb dieser Ansicht besteht über die Form der Überlassung wiederum Uneinigkeit, so wird zum Teil vertreten, dass sämtliche Rohdaten herausgegeben werden müssen (Ehmann/Selmayr/Ehmann aaO.), während anderer vertreten, dass eine Art „Registerauszug“ überlassen werden muss (Zikesch/SörupaaO.).

4) Der Senat folgt der Ansicht, wonach der Auskunftsberechtigte neben dem Anspruch auf Auskunft gemäß Art. 15 Abs. 1 DS-GVO auch ein eigenständiger Anspruch auf Überlassung von Kopien gemäß Art. 15 Abs. 3 DS-GVO zusteht. Es handelt sich bei Abs. 1 und Abs. 3 des Art. 15 DS-GVO um zwei unterschiedliche Ansprüche, welche zwar denselben Gegenstand - personenbezogene Daten - betreffen, sich jedoch auf der Rechtsfolgenseite unterscheiden. Dies legt Wortlaut und Systematik der Vorschrift nahe. Indem der Verordnungs- und sich ihm anschließend der nationale Gesetzgeber einen eigenständigen Abs. 3 und nicht eine Ausgestaltung des Auskunftsanspruchs nach Abs. 1 formulierten, legt die Systematik nahe, dass es sich dabei um einen eigenen Anspruch handelt. Auch beinhaltet dem Wortlaut nach Abs. 3 eine Verpflichtung des Auskunftsverpflichteten, entsprechende Kopien zur Verfügung zu stellen. Dieser Verpflichtung muss jedoch korrespondierend die Möglichkeit des Auskunftsberechtigten gegenüberstehen, diese Verpflichtung auch durchzusetzen (vgl. Koreng, NJW 2021, 2692).

4) Der Gegenstand dieses Anspruchs richtet sich nicht lediglich auf eine abstrakte Aufzählung der vorhandenen Informationen, da dieser bereits in dem Auskunftsanspruch nach Art. 15 Abs. 1 DS-GVO enthalten ist. Vielmehr hat der Gläubiger einen Anspruch auf Überlassung der Informationen in der Form, wie sie dem Verantwortlichen vorliegen (so auch Koreng aaO.). Ein notwendiger Schutz des Schuldners wird durch die Möglichkeit der Schwärzung nach Art. 15 Abs. 4 DS-GVO gewährleistet."


Den Volltext der Entscheidung finden Sie hier:


AG Hamburg-Bergedorf: Unterlassungsanspruch wegen Werbung per E-Mail ohne Zustimmung an Gewerbetreibenden aber kein Schadensersatz aus Art. 82 Abs. 1 DSGVO

AG Hamburg-Bergedorf
Urteil vom 07.12.2020
410d C 197/20


Das AG Hamburg-Bergedorf hat entschieden, zwar ein Unterlassungsanspruch wegen einmaliger Zusendung von Werbung per E-Mail ohne Zustimmung an Gewerbetreiben aus §§ 823 Abs. 1, 1004 Abs. 1 S. 2 BGB besteht, aber kein Schadensersatzanspruch aus Art. 82 Abs. 1 DSGVO verlangt werden kann.

Aus den Entscheidungsgründen:

1. Der Kläger hat einen Anspruch aus §§ 823 Abs. 1, 1004 Abs. 1 S. 2 BGB auf Unterlassung der Zusendung ungenehmigter Werbenachrichten an seine E-Mail-Adresse durch den Beklagten.

Auch die nur einmalige Zusendung von E-Mails mit werbendem Inhalt an einen Rechtsanwalt, der aus berufsrechtlichen Gründen seine E-Mail sorgfältig lesen muss, stellt einen Eingriff in den eingerichteten und ausgeübten Gewerbebetrieb dar.

Entgegen der Ansicht der Beklagten ist die E-Mail vom 18.05.2020 als Werbung zu qualifizieren. Werbung ist jede Äußerung bei der Ausübung eines Handels, Gewerbes, Handwerks oder freien Berufs mit dem Ziel, den Absatz von Waren oder die Erbringung von Dienstleistungen zu fördern (vgl. Art. 2 lit.a der Richtlinie 2006/114/EG über irreführende und vergleichende Werbung) (BGH, Urteil vom 20.05.2009 – I ZR 218/07). In der E-Mail vom 18.05.2020 macht die Beklagte auf ihre Geschäftstätigkeit, nämlich die Vermittlung von telefonischer Rechtsberatung über eine Internetseite, aufmerksam, was bereits als Werbung im vorstehenden Sinne anzusehen ist (BGH, aaO, Rn. 13). Es handelt sich nicht um eine Nachfrage nach Rechtsberatung beim Kläger. Denn die streitgegenständliche E-Mail bezieht sich nicht auf ein konkretes Mandat, welches vom Kläger übernommen werden soll, sondern enthält eine allgemeine Anfrage, ob der Kläger die Dienstleistungen der Beklagten, nämlich die Vermittlung von Mandanten über die Internetseite der Beklagten, in Anspruch nehmen möchte. Dabei ist es unerheblich, dass der Kläger die Vermittlungstätigkeit der Beklagten nicht hätte vergüten müssen. Denn die Beklagte beabsichtigte den Kläger mit der streitgegenständlichen E-Mail dazu zu animieren, seine Beratung über ihre Internetseite anzubieten, um dadurch jedenfalls mittelbar den Absatz ihrer eigenen Dienstleistung zu fördern (BGH, Urteil 12.09.2013 - I ZR 208/12, Rn. 17f.).

Eine Einwilligung des Klägers lag nicht vor. Es gab zwischen den Parteien weder einen vorherigen Kontakt noch eine anderweitige ausdrückliche Einwilligung. Die Beklagte entnahm die E-Mail-Adresse vielmehr der Internetseite des Klägers, obwohl der Kläger dort explizit der Kontaktierung per Werbe-E-Mail widersprochen hat. Der Widerspruch ist deutlich vom übrigen Text hervorgehoben. Daher durfte die Beklagte aufgrund des Umstandes, dass der Kläger auf der Internetseite eine Kontaktaufnahme per E-Mail anbietet, die Einwilligung des Klägers auch nicht vermuten.

Die für einen Unterlassungsanspruch nach § 1004 Abs. 1 Satz 2 BGB erforderliche konkrete Wiederholungsgefahr liegt vor. Dafür reicht bereits eine beeinträchtigende Verletzungshandlung, da diese die tatsächliche Vermutung künftiger weiterer Verletzungshandlungen begründet. Die Wiederholungsgefahr wird erst durch die Abgabe einer Unterlassungserklärung ausgeschlossen. Die Beklagte hat trotz der Aufforderung des Klägers keine Unterlassungserklärung abgegeben.

2. Ein Anspruch auf Schadensersatzspruch steht dem Kläger weder aus Art. 82 Abs. 1 DSGVO noch einem sonstigen Rechtsgrund zu.

Die Zusendung der streitgegenständliche E-Mail trotz des ausdrücklichen Werbewiderspruchs des Klägers verstößt zwar gegen Art. 6 Abs. 1 S. 1 DSGVO. Dieser Verstoß allein ist aber nicht ausreichend, um einen Schadensersatzanspruch zu begründen.

Nach Art. 82 Abs. 1 DSGVO besteht ein Schadensersatzanspruch nur dann, wenn wegen des Verstoßes auch ein materieller oder immaterieller Schaden entstanden ist. Für den immateriellen Schaden gelten die im Rahmen von § 253 BGB entwickelten Grundsätze. Insbesondere ist der Kläger insoweit darlegungs- und beweisbelastet.

Auch wenn nach dem Wortlaut des Art. 82 DSGVO keine schwere Verletzung des Persönlichkeitsrechts vorliegen muss, so reicht nicht bereits der Verstoß gegen die DSGVO selbst zur Begründung eines Schmerzensgeldanspruches (LG Hamburg, Urteil vom 04.09.2020 – 324 S 9/19). Der Verstoß muss nach dem Wortlaut des Art. 82 DSGVO vielmehr eine Rechtsverletzung nach sich ziehen, die als immaterieller Schaden, entsprechend der in Erwägungsgrund 75 der DSGVO aufgelisteten Beispiele, qualifizierte werden kann.

Schmerzensgeld soll einen Ausgleich für erlittene Schmerzen und Leiden schaffen (Palandt/Grünberg, 79. Auflage, § 253, Rn. 4). Dabei sind bei der Bemessung des Schmerzens die Kriterien des Art. 83 Abs. 2 DSGVO heranzuziehen, also insbesondere die Art, Schwere und Dauer des Verstoßes (BeckOK DatenschutzR/Quaas, 34. Ed. 1.11.2020, DS-GVO Art. 82 Rn. 31). Es muss also eine objektiv benennbare Beeinträchtigung des Geschädigten vorliegen, die über den bloßen Ärger oder die individuell empfundene Unannehmlichkeit des Verstoßes hinausgeht, welche dann durch die Zahlung von Schmerzensgeld ausgeglichen werden muss (AG Frankfurt a. M. Urt. v. 10.7.2020 – 385 C 155/19 (70); LG Hamburg, Urteil vom 04.09.2020 – 324 S 9/19; AG Hannover, Urteil vom 09.03.2020 – 531 C 10952/19; LG Frankfurt/M., Urteil vom 18.09.2020 – 2-27 O 100/20; LG Köln, Urteil vom 07.10.2020 – 28 O 71/20).

Der Kläger beruft sich vorliegend darauf, einen immateriellen Schaden dadurch erlitten zu haben, dass er durch die einmalige unrechtmäßige Nutzung seiner Daten belästigt worden sei. Eine konkrete Beeinträchtigung, die über den als Belästigung empfundenen Verstoßes selbst, also die Zusendung der E-Mail, hinausging, ist darin nicht zu sehen. Es fehlt somit an einem über die Rechtsverletzung hinausgehenden konkreten Schaden des Klägers.

Das Gericht sieht keinen Bedarf für ein Vorabentscheidungsverfahren gem. Art. 267 AEUVEG, dessen Einleitung im Ermessen des Gerichts steht.

Für andere deliktische Ansprüche besteht eine Sperrwirkung der DS-GVO (Sydow, a.a.O., 2. Aufl., Art. 82 Rn. 27).
Die Kostenentscheidung beruht auf § 92 Abs. 1 ZPO.

Die Entscheidung zur vorläufigen Vollstreckbarkeit beruht für den Kläger auf § 709 ZPO und für die Beklagte auf §§ 708 Nr. 11, 711 ZPO.

Der Streitwert wird insgesamt auf 750,- €, 250,- € für den Unterlassungsantrag und 500,- € für den Schadensersatzanspruch, festgesetzt. Für das Verfahren zum Verbot ungebetener E-Mails gibt es keinen Regelstreitwert. Die Bemessung des Streitwertes ist nicht an einem volkswirtschaftlichen Gesamtschaden zu orientieren, sondern an den Nachteilen, die dem Kläger entstehen könnten, wenn die Beklagte das beanstandete Verhalten künftig fortsetzen würde (OLG Hamm, Urteil vom 17.10.2013 - 6 U 95/13). Diese Nachteile sind an dem Aufwand des Klägers zu messen, weitere E-Mails der Beklagten zu erhalten und löschen zu müssen. Der damit verbundene Zeitaufwand ist - trotz der besonderen beruflichen Sorgfaltspflichten eines Rechtsanwalts- vorliegend als geringfügig einzustufen. So lagen zwischen dem Eingang der E-Mail der Beklagten und dem Versand der Abmahnung durch den Kläger auch nur 21 Minuten. Eine spezial- oder eine generalprä
ventive Funktion kommt der Streitwerthöhe nicht zu (vgl. BGH Beschluss v. 30.11.2014 zum Az.: VI ZR 65/04).

Den Volltext der Entscheidung finden Sie hier:

LG Köln: Kein immaterieller Schadensersatz aus Art. 82 Abs. 1 DSGVO wegen Weiterleitung nicht anonymisierter Entscheidung an diverse Rechtsämter

LG Köln
Urteil vom 03.08.2021
5 O 84/21

Das LG Köln hat entschieden, dass kein Anspruch auf immateriellen Schadensersatz aus Art. 82 Abs. 1 DSGVO wegen der Weiterleitung einer nicht anonymisierten Entscheidung an diverse Rechtsämter besteht.

Aus den Entscheidungsgründen:

Die zulässige Klage ist unbegründet.

Der Klageantrag zu 1) ist zulässig, da keine verdeckte Teilklage vorliegt. Der Kläger begehrt ein angemessenes Schmerzensgeld für den Schaden, den er infolge der streitgegenständlichen Datenschutzverletzung erlitten haben will. Nur weil er außergerichtlich ein höheres Schmerzensgeld gefordert hat, kann nicht bereits von einer Teilklage ausgegangen werden.

Die Beklagte hat den Anspruch nicht dem Grunde nach anerkannt. Ein entsprechender Rechtsbindungswille der Beklagten geht aus dem Schreiben vom 05.06.2020 nicht hervor. Nur weil die Beklagte äußerte, eine Entschädigungsleistung sei denkbar, hat sie noch nicht anerkannt, dass eine Haftung dem Grunde nach besteht.

Ein Anspruch auf Zahlung von Schmerzensgeld besteht nicht, da der Kläger nicht dargelegt hat, dass ihm infolge der streitgegenständlichen Datenschutzverletzung ein immaterieller Schaden entstanden ist. Nach Art. 82 Abs. 1 DS-GVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Die streitgegenständliche Übersendung des Beschlusses des Verwaltungsgerichts Köln an die Rechtsamtsleiterinnen und Rechtsamtsleiter anderer Kommunen stellt einen Verstoß gegen die Datenschutzgrundverordnung dar. Die Beklagte durfte den Beschluss zur Information und zur Sicherstellung einer einheitlichen Rechtsanwendung jedenfalls nicht unanonymisiert übersenden.

Allerdings reicht ein Verstoß alleine zur Anspruchsbegründung nicht aus, es muss auch ein Schaden eingetreten sein (Paal/Pauly/Frenzel, 3. Aufl. 2021, DS-GVO Art. 82 Rn. 10). Der Schaden muss auf den Verstoß zurückzuführen sein, wobei eine Mitursächlichkeit genügt (Quaas, in: BeckOK DatenschutzR, 35. Ed. 1.11.2020, DS-GVO Art. 82 Rn. 26).

Vorliegend bestreitet die Beklagte in zulässiger Weise, dass die klägerseits behaupteten Beeinträchtigungen durch den streitgegenständlichen Verstoß verursacht wurden. In Bezug auf den vorgelegten Chat im Internet ist festzuhalten, dass aus diesem nicht hervorgeht, dass er sich auf den Kläger bezieht. Auch ist nicht ersichtlich, warum die Chatteilnehmer die Information der Beteiligung des Klägers am verwaltungsgerichtlichen Verfahren ausgerechnet über die Rechtsamtsleiterinnen und Rechtsamtsleiter erhalten haben sollen. Diesbezüglich hat die Beklagte dargelegt, dass insgesamt 24 Spielhallenbetreiber ein verwaltungsgerichtliches Verfahren angestrengt hätten. Es ist nicht auszuschließen, dass diese an den Beschluss gelangt sind und ihn verbreitet haben. Jedenfalls trägt die Klägerin keine Hinweise dafür vor, dass die streitgegenständliche Übersendung die einzige oder auch nur naheliegende Möglichkeit dafür war, dass weitere Personen Kenntnis von dem Beschluss erlangten.

Gleiches gilt für die hinterlassene Nachricht an der Windschutzscheibe. Der klägerische Vortrag lässt bereits offen, wer diese Nachricht hinterlassen hat.

Eine Beweislastumkehr oder eine Beweiserleichterung greift vorliegend zu Gunsten des Klägers nicht. Die Beweislast auch für diese Voraussetzung obliegt dem Anspruchsberechtigten, dies entspricht den allgemeinen deliktischen Voraussetzungen. Eine Beweislastumkehr ist der Norm ausdrücklich nur bezüglich des Gesichtspunkts des Verschuldens zu entnehmen (Quaas, in: BeckOK DatenschutzR, 36. Ed. 1.5.2021, DS-GVO Art. 82 Rn. 27). Dies ist auch interessengerecht, denn die Beklagte kann genauso wenig wie der Kläger wissen, wer noch Kenntnis von dem Beschluss des Verwaltungsgerichts hatte.

Nach alledem ist nicht ersichtlich, welchen immateriellen Schaden der Kläger dadurch erlitten haben soll, dass der Beschluss an 62 Rechtsamtsleiterinnen und Rechtsamtsleiter versandt wurde. Für den immateriellen Schadensersatz gelten dabei die im Rahmen von § 253 BGB entwickelten Grundsätze, die Ermittlung obliegt dem Gericht nach § 287 ZPO (Quaas, in: BeckOK DatenschutzR, 32. Ed. 1.2.2020, DS-GVO Art. 82 Rn. 31). Es können für die Bemessung die Kriterien des Art. 83 Abs. 2 DS-GVO herangezogen werden, z.B. die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung, die betroffenen Kategorien personenbezogener Daten. Zu berücksichtigen ist auch, dass die beabsichtigte abschreckende Wirkung nur durch für den Anspruchsverpflichtenden empfindliche Schmerzensgelder erreicht wird, insbesondere wenn eine Kommerzialisierung fehlt (LG Köln, ZD 2021, 47 Rn. 12). Vorliegend ist eine Beeinträchtigung des Klägers nicht ersichtlich, nachdem nicht feststeht, dass die von ihm behaupteten Vorfälle auf den streitgegenständlichen Verstoß zurückgeführt werden können. Da die Adressaten der streitgegenständlichen E-Mail selbst dienstlichen Verschwiegenheitspflichten obliegen, bleibt bereits unklar, ob der Beschluss auf diesem Wege weiteren Personen zur Kenntnis gelangt ist. Das Zuerkennen von Schmerzensgeld in einem derartigen Bagatellfall würde die Gefahr einer nahezu uferlosen Häufung der Geltendmachung von Ansprüchen bergen, was nicht Sinn und Zweck von Art. 82 DS-GVO entsprechen kann (vgl. LG Köln, ZD 2021, 47 Rn. 14). Zudem ist eine extensive Auslegung des Begriffs des immateriellen Schadens nicht geboten, weil nach Art. 83 DS-GVO die Möglichkeit besteht, Geldbußen in erheblichem Umfang zu verhängen (vgl. Franzen, in: EuArbRK, 3. Aufl. 2020, DS-GVO Art. 82 Rn. 22).

Eine Vorlagepflicht an den EuGH besteht nach Art. 267 Abs. 3 AEUV bereits deshalb nicht, weil vorliegend nicht letztinstanzlich entschieden wird.

Die mit dem Klageantrag zu 2) geltend gemachte Nebenforderung teilt das Schicksal der Hauptforderung.

Die Kostenentscheidung beruht auf § 91 Abs. 1 ZPO. Die Entscheidung über die vorläufige Vollstreckbarkeit folgt aus § 709 Satz 1 und 2 ZPO.

Der Streitwert wird auf 8.000,00 EUR festgesetzt.


Den Volltext der Entscheidung finden Sie hier:


Rechtsanwalt Marcus Beckmann am 05.10.2021 auf der NEW WORK DAYS 21-Konferenz - Editor Pick: Alles, was recht ist – New Work und Homeoffice aus juristischer Sicht

Rechtsanwalt Marcus Beckmann ist am Dienstag, den 05.10.2021 von 14.00 Uhr - 14.45 Uhr auf der NEW WORK DAYS 21-Konferenz zu Thema Editor Pick: Alles, was recht ist – New Work und Homeoffice aus juristischer Sicht als Experte eingeladen.

OVG Berlin-Brandenburg: Einrichtung eines Social Media-Auftritts durch Behörde bei Facebook, Twitter und Instagram dient nicht der Mitarbeiterüberwachung und ist nicht mitbestimmungspflichtig

OVG Berlin-Brandenburg
Beschluss vom 04.08.2021
OVG 62 PV 5/20


Das OVG Berlin-Brandenburg hat entschieden, dass die Einrichtung eines Social Media-Auftritts durch eine Behörde bei Facebook, Twitter und Instagram nicht der Mitarbeiterüberwachung dient und nicht mitbestimmungspflichtig ist.

Aus den Entscheidungsgründen:

"Die vom Beteiligten zu verantwortenden Auftritte in den sozialen Medien sind auch im Hinblick auf die den Nutzern ermöglichte Kommentierung nicht gemäß § 80 Abs. 1 Nr. 21 BPersVG mitbestimmungspflichtig. Nach dieser Vorschrift bestimmt der Personalrat mit, soweit eine gesetzliche oder tarifliche Regelung nicht besteht, über die Einführung und Anwendung technischer Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Beschäftigten zu überwachen. Maßgeblich ist eine objektiv-finale Betrachtungsweise: Diejenigen technischen Einrichtungen unterliegen der Mitbestimmung des Personalrats, die nach ihrer Konstruktion oder konkreten Verwendungsweise eine Überwachung von Verhalten oder Leistung der Beschäftigten ermöglichen. Der Mitbestimmungstatbestand erstreckt sich auf solche technischen Einrichtungen, die zur Überwachung objektiv geeignet sind, ohne dass die Dienststellenleitung bei ihrer Einführung und Anwendung die Absicht hat, sie zu diesem Zweck einzusetzen (BVerwG, Beschluss vom 26. September 2006 – 6 PB 10.06 – juris Rn. 4 zur gleichlautenden Vorgängerbestimmung). Daran hat die Gesetzesnovelle nichts geändert (vgl. die BT-Drs 19/26820 vom 19. Februar 2021, insbesondere S. 126 zu Nr. 21).

Die objektive Eignung zur Überwachung unterscheidet eine gemäß § 80 Abs. 1 Nr. 21 BPersVG mitbestimmungspflichtige technische Einrichtung von anderen technischen Einrichtungen, die sich lediglich zur technischen Hilfe eignen und nicht unter diesen Mitbestimmungstatbestand fallen (vgl. Wisskirchen/Schiller/Schwindling, BB 2017, 2105 <2107>). Beispielhaft seien Kommunikationsmittel (klassisch das Telefon), Arbeitshilfen (Taschenrechner, computergestützte Schreib- und Rechenprogramme) und Archiveinrichtungen (elektronische Akten) genannt. Die sich nach Anwendungsgebieten sowie nach dem Ausmaß ausdehnende Technisierung erweitert die Möglichkeiten und bietet so Rationalisierungschancen, birgt aber auch unterschiedliche Gefahren. Nach dem Schutzzweck des Mitbestimmungstatbestands ist nicht schlechterdings jeder Technisierungsfortschritt mitbestimmungspflichtig. Stattdessen soll das Mitbestimmungsrecht des Personalrats nur sicherstellen, dass die Beeinträchtigungen und Gefahren für den Schutz der Persönlichkeit des Beschäftigten am Arbeitsplatz, die von der Technisierung der Verhaltens- und Leistungskontrolle ausgehen, auf das erforderliche Maß beschränkt bleiben. Ein Beschäftigter, der befürchten muss, während der Arbeit mit Hilfe technischer oder elektronischer Kontrolleinrichtungen jederzeit beobachtet oder in anderer Weise fortlaufend kontrolliert zu werden, kann unter einen Überwachungsdruck geraten, der ihn in der freien Entfaltung der Persönlichkeit behindert, ihn insbesondere unter Anpassungsdruck setzt und ihn in eine erhöhte Abhängigkeit bringt (BVerwG, Beschluss vom 26. September 2006 – 6 PB 10.06 – juris Rn. 4).

Einhelliger Auffassung entspricht es, dass ein Überwachungsdruck, der sich durch eine womöglich kleinliche, jedenfalls engmaschige persönliche Kontrolle seitens der Vorgesetzten aufbaut, nach § 80 Abs. 1 Nr. 21 BPersVG unbeachtlich ist (Berg in: Altvater/Baden/Baunack u.a., BPersVG, 10. Aufl. 2019 § 75 Rn. 258). Die Vorschrift dient nicht der Verwirklichung moderner Führungskonzepte. Die Kontrolle muss vielmehr mit Hilfe einer technischen Einrichtung erfolgen. Mit dem Merkmal der Technizität verbindet sich nach einer verbreiteten Ansicht nicht schon jedes Hilfsmittel, das eine den Überwachten verborgene Kontrolle erlaubt, etwa durch eine Beobachtung mittels Fernglas, Türspion oder einer einseitig durchsichtigen Fensterscheibe (Berg in: Altvater/Baden/Baunack u.a., BPersVG, 10. Aufl. 2019 § 75 Rn. 258). Die verdeckte Überwachung mit solchen Hilfsmitteln kann zwar, im Unterschied zur offenen, aufsuchenden Kontrolle durch Vorgesetzte, die Empfindung auslösen, jederzeit beobachtet oder in anderer Weise fortlaufend kontrolliert zu werden. Für den Mitbestimmungstatbestand ist hingegen spezifisch, dass die Überwachung gerade mit Hilfe einer als technisch zu bewertenden Einrichtung erfolgt. Sommer spricht insoweit von einer Kontrolle „durch technische Einrichtungen“, von einer technisierten Ermittlung von Verhaltens- und Leistungsdaten (in: Ilbertz/Widmaier/Sommer, BPersVG, 14. Aufl. 2018, § 75 Rn. 196a). Denn der Gesetzgeber reagierte in den 70er Jahren des vorigen Jahrhunderts mit der Einführung von § 87 Abs. 1 Nr. 6 BetrVG im Jahr 1972 und § 75 Abs. 3 Nr. 17 BPersVG im Jahr 1974 auf das verbreitete Unbehagen der Beschäftigten, das sich vornehmlich an elektronischer Datenverarbeitung festmachte. Die viel ältere Überwachungsmöglichkeit mittels optischer Instrumente stand nicht im Mittelpunkt des öffentlichen Interesses. Es liegt auf dieser Linie, wenn das Bundesverwaltungsgericht die Überwachung „mit Hilfe technischer oder elektronischer Kontrolleinrichtungen“ so interpretiert hat, dass technische Einrichtungen Anlagen oder Geräte seien, die unter Verwendung nicht menschlicher, sondern anderweit erzeugter Energie mit den Mitteln der Technik, insbesondere der Elektronik, eine selbständige Leistung erbrächten; dabei seien Anlagen zur elektronischen Datenverarbeitung dann zur Überwachung geeignet, wenn sie mit einem entsprechenden Programm versehen seien oder werden könnten (BVerwG, Beschluss vom 14. Juni 2011 – 6 P 10.10 – juris Rn. 16; siehe auch Sommer in: Ilbertz/Widmaier/Sommer, BPersVG, 14. Aufl. 2018, § 75 Rn. 201a).

Die selbständige Leistung der technischen Einrichtung kann bei der Erhebung von Daten oder bei deren Auswertung zum Tragen kommen. Es reicht aus, wenn nur die Erhebung durch einen Automaten erfolgt und die Auswertung von Menschen durchgeführt wird (Überwachungskamera; Oberverwaltungsgericht Berlin-Brandenburg, Beschluss vom 28. Februar 2006 – OVG 60 PV 19.05 – juris; unbeanstandet durch den Beschluss des BVerwG vom 26. September 2006 – 6 PB 10.06 – juris; ebenso Kaiser/Annuß in: Richardi/Dörner/Weber, Personalvertretungsrecht, 5. Aufl. 2020, BPersVG § 75 Rn. 538). Umgekehrt lässt eine händische Eingabe den Mitbestimmungstatbestand nicht entfallen, wenn die Auswertung automatisiert ist (BVerwG, Beschluss vom 16. Dezember 1987 – 6 P 32.84 – juris Rn. 23). Dabei würde es für den Senat schon ausreichen, wenn automatisch eine Vorsortierung erfolgt, beispielsweise eine Auswahl von 10 aus 100 Datensätzen nach Schlüsselbegriffen, die von Personen weiter ausgewertet werden müsste. Wird hingegen sowohl die Eingabe leistungs- und verhaltensrelevanter Daten als auch deren Auswertung von Menschen vorgenommen, erbringt die Einrichtung keine selbständige Leistung.

Die selbständige Leistung zur Überwachung wäre nicht schon darin zu sehen, dass die Daten gespeichert werden. Für den Senat bedeutet es keinen Unterschied, ob die erhobenen Daten augenblicklich ausgewertet werden müssten, weil sie nicht gespeichert werden (Beispiel: die in einem mit Personal besetzten Kontrollraum zusammentreffenden Bilder aus laufenden Überwachungskameras), oder im Fall einer dauerhaften Aufzeichnung erst später, etwa nach Bedarf, ausgewertet werden könnten. Denn im Fall der Archivierung von Daten handelt es sich um nicht mehr als eine elektronische Akte (siehe dazu Grimm/Kühne, jM 2017, 330 <333>; Schiller in: Besgen/Prinz, Arbeiten 4.0 - Arbeitsrecht und Datenschutz in der digitalisierten Arbeitswelt, 4. Aufl. 2018, § 10 Arbeitsrechtliche Aspekte zu Social Media, Rn. 78).

Nach diesen Maßstäben sind die hier in Rede stehenden sozialen Medien auch im Hinblick auf die Kommentarfunktion keine technischen Einrichtungen im Sinn des § 80 Abs. 1 Nr. 21 BPersVG, sondern technische Hilfsmittel, weil weder die Datenerhebung noch die Datenauswertung ganz oder teilweise automatisch erfolgt (ebenso Wisskirchen/Schiller/Schwindling, BB 2017, 2105 <2107> zu § 87 Abs. 1 Nr. 6 BetrVG; so wohl auch Sommer in: Ilbertz/Widmaier/Sommer, BPersVG, 14. Aufl. 2018, § 75 Rn. 212b zum „reinen Betrieb einer Facebook-Seite“). Die womöglich mitbestimmungsrelevanten Daten werden von Nutzern händisch eingegeben. Und die Anbieter der sozialen Medien stellen den Seiteninhabern weder die Möglichkeit einer automatisierten (Teil-)Auswertung der Kommentare bereit noch sehen die Programme den nachträglichen Anschluss eines zur Auswertung bestimmten Programms vor. Es fehlt insgesamt eine selbständige Leistung der Einrichtung, ein datenverarbeitendes Programm im Sinne des Bundesverwaltungsgerichts, das die Dienststelle zur Überwachung von Beschäftigten nutzen könnte. Eine automatisierte Auswertung von Daten durch die Anbieter der sozialen Medien wie auch die Möglichkeit einer Ausspähung durch Geheim- bzw. Nachrichtendienste sind für den Mitbestimmungstatbestand, der allein die Überwachung durch den Dienstherrn bzw. Arbeitgeber der Beschäftigten in den Blick nimmt, unerheblich. Das gilt auch für das Datenschutzrecht (vgl. Ehmann, jurisPR-ArbR 16/2021 Anm. 8 lit. C). Die Kommentarfunktion eröffnet den Nutzern eine niederschwellige Möglichkeit für Eingaben und Nachrichten. Der elektronisch übersandte Kommentar gleicht nach der Versendungsart einer Email (Wisskirchen/Schiller/Schwindling, BB 2017, 2105 <2107>) und nach der Wirkung – bis zur Löschung – einem offenen Brief (Fuhlrott, EWiR 2017, 349 <350>).

Der erkennende Senat weicht insofern von der erstinstanzlichen Entscheidung und vom Beschluss des Bundesarbeitsgerichts vom 13. Dezember 2016 – 1 ABR 7/15 – ab. Das Bundesarbeitsgericht hielt es für genügend, dass die Informationen durch die Nutzer der Facebookseite aufgrund der dort vorhandenen Funktion eingegeben und mittels der von Facebook eingesetzten Software einer dauerhaften Speicherung und zeitlich unbegrenzten Zugriffsmöglichkeit zugeführt würden. Die Abweichung vom Bundesarbeitsgericht erklärt sich nicht dadurch, dass in dem dort entschiedenen Fall allein über die bei Facebook abstellbare Funktion „Besucher-Beiträge“ entschieden wurde und nicht über die unvermeidliche Kommentarfunktion. Bei der Eröffnung von Besucher-Beiträgen handelt es sich um eine attraktivere Kommentarfunktion, die sich in Bezug auf die Möglichkeit von leistungs- und verhaltensrelevanten Mitteilungen nicht von der grundlegenden Kommentarfunktion unterscheidet.

Das Bundesarbeitsgericht traf seine Entscheidung zu § 87 Abs. 1 Nr. 6 BetrVG. Diese Vorschrift stimmt im Wortlaut praktisch mit § 80 Abs. 1 Nr. 21 BPersVG überein. Nach der Rechtsprechung des Bundesverwaltungsgerichts sind beide Vorschriften im Wesentlichen gleich auszulegen; die Interessenlage in privaten Betrieben und öffentlichen Behörden gleicht sich insoweit (vgl. BVerwG, Beschluss vom 16. Dezember 1987 – 6 P 32.84 – juris Rn. 19; ähnlich Kaiser/Annuß in: Richardi/Dörner/Weber, Personalvertretungsrecht, 5. Aufl. 2020, BPersVG § 75 Rn. 536). Angesichts dessen wich das Bundesarbeitsgericht im Jahr 2016 von der vorhergehenden Rechtsprechung des Bundesverwaltungsgerichts dadurch ab, dass es nicht auf eine selbstständige Leistung der Einrichtung, auf ein datenverarbeitendes Programm abstellte (vgl. auch Bieder, NZA-RR 2017, 225 <230>). Nach den Besprechungen dieses Beschlusses wich das Bundesarbeitsgericht zudem von seiner eigenen Rechtsprechung ab, insbesondere vom Beschluss vom 10. Dezember 2013 – 1 ABR 43/12 – (juris) zur Verwendung von GoogleMaps bei der Überprüfung von Reisekostenabrechnungen (Wahlers, jurisPR-ITR 11/2017 Anm. 5; Wisskirchen/Schiller/Schwindling, BB 2017, 2105 <2107>; Schiller in: Besgen/Prinz, Arbeiten 4.0 - Arbeitsrecht und Datenschutz in der digitalisierten Arbeitswelt, 4. Aufl. 2018, § 10 Arbeitsrechtliche Aspekte zu Social Media, Rn. 78). Ob der Beschluss vom 13. Dezember 2016 in der Rechtsprechung zum Betriebsverfassungsrecht eine Einzelfallentscheidung bleibt (so die Prognose von Wisskirchen/Schiller/Schwindling, BB 2017, 2105 <2107>), braucht hier allerdings nicht weiter zu beschäftigen.

Die in etlichen Anmerkungen kritisch kommentierte Ausdehnung der bisherigen Rechtsprechung, die letztlich zur Mitbestimmungspflicht bei jedweder Eröffnung elektronischer Kommunikationsmittel durch die Dienststellenleitung führt (Grimm/Kühne, jM 2017, 330 <333>; siehe auch Mues, ArbRB 2017, 174 <175>; Prinz, SAE 2017, 92 <95>; Wahlers, jurisPR-ITR 11/2017 Anm. 5; dem BAG zustimmend Ley, BB 2017, 1213 <1215>; sich dem BAG unkommentiert anschließend Berg in: Altvater/Baden/Baunack u.a., BPersVG, 10. Aufl. 2019 § 75 Rn. 263; Kaiser/Annuß in: Richardi/Dörner/Weber, Personalvertretungsrecht, 5. Aufl. 2020, BPersVG § 75 Rn. 545; Rehak in: Lorenzen/Gerhold/Schlatmann u.a., BPersVG, § 75 Rn. 680), mag das Bundesarbeitsgericht in seiner Facebook-Entscheidung veranlasst haben, seinem abstrakten Rechtssatz Folgendes hinzuzufügen: „Zudem sind diese Daten über die Facebookseite dauerhaft öffentlich zugänglich. Sie sind deshalb nicht – wie das Landesarbeitsgericht meint – mit einem an den Arbeitgeber gerichteten Beschwerdebrief vergleichbar.“ Die Verknüpfung dieser Sätze mit der vorangegangenen Würdigung durch die Konjunktion „zudem“ lässt zwar daran zweifeln, ob es entscheidend auf den zusätzlichen Aspekt ankommen soll oder ob er hinweggedacht werden könnte, ohne am Ergebnis des Bundesarbeitsgerichts etwas zu ändern. Immerhin eignet sich der zusätzliche Aspekt zur Eindämmung einer ansonsten nahezu umfassenden Mitbestimmungspflicht.

Der Aspekt führt allerdings einen neuartigen Gesetzeszweck in die Auslegung des Mitbestimmungstatbestands ein, der sich in der Rechtsprechung des Bundesverwaltungsgerichts noch nicht findet. War bislang von den Gefahren der Technisierung nur der erhöhte Überwachungsdruck relevant, dem die Beschäftigten ausgesetzt sind, kommt nunmehr durch die Prangerwirkung öffentlich zugänglicher, womöglich unberechtigter oder tatsächlich haltloser Beschwerden über Beschäftigte, die einen Shitstorm und ähnlich gravierende Nachteile nach sich ziehen könnten, das allgemeine Persönlichkeitsrecht umfassend in Betracht (vgl. Grimm/Kühne, jM 2017, 330 <333>). Auch wenn sich nach den Mitteilungen des Antragstellers und des Beteiligten seit der Eröffnung der Kommentarfunktionen nichts dergleichen ereignet hat, wären solche Vorkommnisse Anlass für die Dienststelle, im schutzwürdigen Interesse der Beschäftigten auf Abhilfe zu sinnen. Der Senat hält es allerdings für falsch, aus solchen Erwägungen heraus den Gesetzeszweck von § 80 Abs. 1 Nr. 21 BPersVG um einen vom Gesetzgeber nicht vorgesehenen Schutzgegenstand zu erweitern (ebenso Grimm/Kühne, jM 2017, 330 <333> zu § 87 Abs. 1 Nr. 6 BetrVG).

Die Rechtsbeschwerde ist zuzulassen. Der Zulassungsgrund einer entscheidungserheblichen Rechtsfrage von grundsätzlicher Bedeutung (§ 92 Abs. 1 Satz 2 i.V.m. § 72 Abs. 2 Nr. 1 ArbGG) liegt vor."


Den Volltext der Entscheidung finden Sie hier:



VG Wiesbaden legt EuGH vor: Verstößt Speicherung der Restschuldbefreiung durch Schufa länger als 6 Monate gegen DSGVO

VG Wiesbaden
Beschluss vom 31.08.2021
6 K 226/21.WI


Das VG Wiesbdaden hat dem EuGH zur Entscheidung vorgelegt, ob die Speicherung der Restschuldbefreiung durch die Schufa länger als 6 Monate gegen die DSGVO verstößt.

Die Pressemitteilung des VG Wiesbaden:

Vorlage zum Europäischen Gerichtshof bezüglich der Eintragung einer Restschuldbefreiung bei der SCHUFA Holding AG

Gegenstand des Verfahrens vor dem VG Wiesbaden ist das Begehren des Klägers, die Eintragung einer Restschuldbefreiung aus dem Verzeichnis der SCHUFA Holding AG, einer privaten Wirtschaftsauskunftei, zu löschen. Die Information hinsichtlich der Restschuldbefreiung stammt aus den Veröffentlichungen der Insolvenzgerichte, bei denen sie nach 6 Monaten gelöscht wird. Bei der SCHUFA erfolgt eine Löschung gemäß der „Verhaltensregeln für die Prüf- und Löschfristen von personenbezogenen Daten durch die deutschen Wirtschaftsauskunfteien“ vom 25.05.2018 des Verbandes „Die Wirtschaftsauskunfteien e.V.“ erst 3 Jahre nach der Eintragung. In Bezug auf die Löschung wandte sich der Kläger mit einer Beschwerde an den Hessischen Beauftragten für Datenschutz und Informationsfreiheit als Aufsichtsbehörde, der auf die Löschung der Eintragung bei der SCHUFA Holding AG hinwirken solle. Dieser lehnte das Begehren des Klägers jedoch ab.

Die 6. Kammer des VG Wiesbaden hat mit Beschluss vom 31.08.2021 entschieden, dem Gerichtshof der Europäischen Union (EuGH) mehrere Fragen zur Klärung vorzulegen.

Zum einen sei zu klären, ob es genüge, wenn sich der Datenschutzbeauftragte wie im Falle einer Petition mit der Beschwerde der betroffenen Person überhaupt befasse und sie innerhalb eines bestimmten Zeitraums über den Stand und das Ergebnis der Beschwerde unterrichte. Es bestünden Zweifel, ob diese Auffassung mit der Datenschutzgrundverordnung (DS-GVO) vereinbar sei, da hierdurch das Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen die Aufsichtsbehörde eingeschränkt werde. Es bedürfe einer Klärung, ob die Entscheidung der Aufsichtsbehörde der vollen inhaltlichen Kontrolle der Gerichte unterliege.

Zudem legte die 6. Kammer die Frage vor, ob die Eintragungen aus den öffentlichen Verzeichnissen, beispielsweise aus den Veröffentlichungen der Insolvenzgerichte, eins zu eins in privat geführte Verzeichnisse übertragen werden könnten, ohne dass ein konkreter Anlass zur Datenspeicherung bei der privaten Wirtschaftsauskunftei bestehe. Zweck der Speicherung sei vielmehr, die Daten im Fall einer eventuellen Auskunftsanfrage durch ein Wirtschaftsunternehmen, z.B. eine Bank, verwenden zu können. Ob eine solche Auskunft jemals nachgefragt werde, sei dabei vollkommen offen.

Dies führe letztendlich zu einer Vorratsdatenspeicherung, vor allem dann, wenn in dem nationalen Register die Daten schon wegen Ablaufs der Speicherfrist gelöscht worden seien. Die streitgegenständliche Restschuldenbefreiung sei in dem öffentlichen Register der Insolvenzbekanntmachungen nach 6 Monaten zu löschen, während sie bei den privaten Wirtschaftsauskunfteien jedoch viel länger, ggf. noch weitere 3 Jahre gespeichert und bei Auskünften verarbeitet werden könne.

Es bestünden bereits Zweifel daran, ob eine „Parallelhaltung“ dieser Daten neben den staatlichen Registern bei einer Vielzahl privater Firmen überhaupt zulässig sei. Dabei sei zu beachten, dass die SCHUFA Holding AG nur eine von mehreren Auskunfteien sei und damit die Daten vielfach in Deutschland auf diesem Wege vorgehalten würden. Eine solche „Datenhaltung“ sei gesetzlich nicht geregelt und könne massiv in die wirtschaftliche Betätigung eines Betroffenen eingreifen.

Sollte diese Speicherung jedoch zulässig sein, so müssten jedenfalls dieselben Speicher- und Löschfristen gelten, wie in den öffentlichen Registern. Dies mit der Folge, dass Daten, die im öffentlichen Register zu löschen seien, auch bei allen privaten Wirtschaftsauskunfteien, die diese Daten zusätzlich gespeichert hätten, zeitgleich gelöscht werden müssten.

Der Vorlagebeschluss (Az.: 6 K 226/21.WI) ist unanfechtbar.

Anhang:
Artikel 6 DS-GVO
Verordnung (EU) 2016/679 des Europäische Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG – Datenschutz-Grundverordnung)

Rechtmäßigkeit der Verarbeitung
(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;

b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;

c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;

d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;

e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;

f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.

Artikel 77 DS-GVO
Recht auf Beschwerde bei einer Aufsichtsbehörde
(1) Jede betroffene Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt.

§ 9 InsO (Insolvenzordnung)
Öffentliche Bekanntmachung
(1) Die öffentliche Bekanntmachung erfolgt durch eine zentrale und länderübergreifende Veröffentlichung im Internet; diese kann auszugsweise geschehen. Dabei ist der Schuldner genau zu bezeichnen, insbesondere sind seine Anschrift und sein Geschäftszweig anzugeben. Die Bekanntmachung gilt als bewirkt, sobald nach dem Tag der Veröffentlichung zwei weitere Tage verstrichen sind.

(2) Das Insolvenzgericht kann weitere Veröffentlichungen veranlassen, soweit dies landesrechtlich bestimmt ist. Das Bundesministerium der Justiz und für Verbraucherschutz wird ermächtigt, durch Rechtsverordnung mit Zustimmung des Bundesrates die Einzelheiten der zentralen und länderübergreifenden Veröffentlichung im Internet zu regeln. Dabei sind insbesondere Löschungsfristen vorzusehen sowie Vorschriften, die sicherstellen, dass die Veröffentlichungen

1.unversehrt, vollständig und aktuell bleiben,

2.jederzeit ihrem Ursprung nach zugeordnet werden können.

(3) Die öffentliche Bekanntmachung genügt zum Nachweis der Zustellung an alle Beteiligten, auch wenn dieses Gesetz neben ihr eine besondere Zustellung vorschreibt.

§ 3 Verordnung zu öffentlichen Bekanntmachungen in Insolvenzverfahren im Internet vom 12. Februar 2002
Löschungsfristen
(1) Die in einem elektronischen Informations- und Kommunikationssystem erfolgte Veröffentlichung von Daten aus einem Insolvenzverfahren einschließlich des Eröffnungsverfahrens wird spätestens sechs Monate nach der Aufhebung oder der Rechtskraft der Einstellung des Insolvenzverfahrens gelöscht. Wird das Verfahren nicht eröffnet, beginnt die Frist mit der Aufhebung der veröffentlichten Sicherungsmaßnahmen.

(2) Für die Veröffentlichungen im Restschuldbefreiungsverfahren einschließlich des Beschlusses nach § 289 der Insolvenzordnung gilt Absatz 1 Satz 1 mit der Maßgabe, dass die Frist mit Rechtskraft der Entscheidung über die Restschuldbefreiung zu laufen beginnt.

(3) Sonstige Veröffentlichungen nach der Insolvenzordnung werden einen Monat nach dem ersten Tag der Veröffentlichung gelöscht


HmbBfDI: Bußgeld in Höhe von 901.388,84 Euro gegen Vattenfall wegen DSGVO-Verstoß - datenschutzrechtliche Transparenzpflichten aus Art. 12 und Art. 13 DSGVO

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit der Freien und Hansestadt Hamburg (HmbBfDI) hat ein Bußgeld in Höhe von 901.388,84 Euro gegen Vattenfall wegen Verstößen gegen die datenschutzrechtlichen Transparenzpflichten aus Art. 12 und Art. 13 DSGVO verhängt.

Die Pressemitteilung des HmbBfDI:

Bußgeld gegen Vattenfall Europe Sales GmbH verhängt

Die Vattenfall Europe Sales GmbH (Vattenfall) hat zwischen August 2018 und Dezember 2019 bei Vertragsanfragen für Sonderverträge, die mit besonderen Bonuszahlungen verbunden waren, routinemäßig überprüft, ob die Kundinnen und Kunden ein „wechselauffälliges Verhalten“ zeigten. Diese Überprüfung sollte verhindern, dass die Kundinnen und Kunden solche Bonus-Verträge nicht so regelmäßig abschließen, dass sich dieses Angebot zur Neukundenwerbung für das Unternehmen nicht mehr rentiert. Um dies zu überprüfen, nutzte Vattenfall Rechnungen aus früheren Vertragsbeziehungen mit diesen Kundinnen und Kunden, die nach steuer- und handelsrechtlichen Vorgaben ohnehin für bis zu zehn Jahre aufbewahrt werden müssen. Für die Kundinnen und Kunden war nicht erkennbar, dass ein solcher Datenabgleich stattfand.

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) kam nach einer Prüfung des Vorgangs zu dem Ergebnis, dass Vattenfall durch dieses Vorgehen gegen die datenschutzrechtlichen Transparenzpflichten (Artt. 12, 13 DSGVO) verstieß, da die Kundinnen und Kunden über den Datenabgleich nicht ausreichend informiert wurden. Betroffen waren insgesamt rund 500.000 Personen. Der HmbBfDI hat daraufhin gegen Vattenfall ein Bußgeld von 901.388,84 Euro verhängt. Die festgestellte Rechtswidrigkeit bezieht sich nicht auf den Datenabgleich an sich, sondern ist auf die nicht ausreichend erfüllten Transparenzpflichten beschränkt. Der Bescheid ist rechtskräftig.

Das verhängte Bußgeld berührt nicht die weitergehende Frage, ob ein solcher Abgleich überhaupt zulässig ist. Dies ist in der DSGVO nicht ausdrücklich geregelt, es existieren insoweit keine eindeutigen rechtlichen Vorgaben. Der HmbBfDI hat mit Vattenfall ein Verfahren abgestimmt, das nach seiner Auffassung sowohl die Datenschutzrechte von Kundinnen und Kunden als auch die wirtschaftlichen Belange des Unternehmens berücksichtigt. Sowohl erstmalig an einem Vertragsschluss mit Vattenfall Interessierte als auch Bestandskundinnen und -kunden werden transparent und verständlich über den Datenabgleich und dessen Zweck informiert. Verbraucherinnen und Verbraucher können künftig informiert entscheiden, ob sie einen rabattierten Bonusvertrag abschließen möchten, der die interne Überprüfung ihres Status als Neukunde beinhaltet oder einen nicht rabattierten Vertrag ohne einen solchen Abgleich.

Dazu Ulrich Kühn, der amtierende HmbBfDI: „Wir halten das nun praktizierte Verfahren für einen angemessenen Ausgleich aller betroffenen Interessen. Die in der Vergangenheit erfolgten Abgleiche wurden sanktioniert, weil Transparenzpflichten verletzt wurden, indem die Kundinnen und Kunden unter Missachtung der Vorgaben von Artt. 12, 13 DSGVO über den praktizierten Datenabgleich im Unklaren gelassen wurden. Da dies rund 500.000 Fälle betraf, war die Verhängung eines Bußgelds angezeigt. Vattenfall hat in dem Verfahren umfassend mit dem HmbBfDI kooperiert und den intransparenten Datenabgleich unmittelbar nach dem ersten Tätigwerden des HmbBfDI gestoppt. Deswegen war das Bußgeld deutlich zu reduzieren. Die dennoch verhängte Höhe sollte allen Unternehmen eine Warnung sein, die gesetzlichen Transparenzpflichten nicht zu vernachlässigen. Insbesondere bei einer Vielzahl von Betroffenen sind wie in dem vorliegenden Fall hohe Bußgelder klar angezeigt.“


LG Wuppertal: Geltendmachung eines Auskunftsanspruchs nach Art. 15 DSGVO kann Einwand des Rechtsmissbrauchs (§ 242 BGB) entgegenstehen

LG Wuppertal
Urteil vom 29.07.2021
4 O 409/20


Das LG Wuppertal hat entschieden, dass der Geltendmachung eines Auskunftsanspruchs nach Art. 15 DSGVO der Einwand des Rechtsmissbrauchs (§ 242 BGB) entgegenstehen kann.

Aus den Entscheidungsgründen:

Der Auskunftsanspruch des Klägers lässt sich bei der vorliegenden Sachlage auch nicht erfolgreich auf Art. 15 DSGVO stützen. Ihm steht der sich aus § 242 BGB ergebende Einwand des Rechtsmissbrauchs entgegen. Es handelt sich dabei um einen das gesamte Rechtsleben durchziehenden Grundsatz, der als nationale Ausformung auch im Rahmen des Art. 15 DSGVO Geltung beansprucht. Danach ist die Ausübung eines Rechts u. a. nicht erlaubt, wenn der Anspruchsinhaber eine formale Rechtsstellung ausnutzt oder etwas geltend macht, an dem er kein schützenswertes Eigeninteresse hat (vgl. Grüneberg in Palandt, BGB, 2021, § 242 Rn. 49 f.). Diese beiden Aspekte liegen hier kumulativ vor und verdichten sich zu einem treuwidrigen Verhalten.

Nach dem Willen des Klägers soll das begehrte Auskunftsbündel ausschließlich der Verfolgung von Leistungsansprüchen dienen. Dabei handelt es sich um einen vollkommen verordnungsfremden Zweck. Nach dem Erwägungsgrund 63 DSGVO, dient das Auskunftsrecht aus Art. 15 DSGVO dem Betroffenen vielmehr dazu, sich der Verarbeitung seiner personenbezogenen Daten bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können. So soll Art. 15 DSGVO eine Rechtmäßigkeitskontrolle der Datenverarbeitungsvorgänge ermöglichen. Der Betroffene soll den Umfang und Inhalt der gespeicherten Daten beurteilen können. Die Auskünfte dienen auch dazu, der betroffenen Person die Wahrnehmung der weiteren Rechte nach der Datenschutzgrundverordnung zu ermöglichen, vor allem das Recht auf Berichtigung nach Art. 16 DSGVO, auf Löschung nach Art. 17 DSGVO und auf Einschränkung der Verarbeitung nach Art. 18 DSGVO (vgl. OLG Köln, Beschluss vom 03.09.2019 - 20 W 10/18).

Der Kläger hat keines der vorgenannten Interessen, dies nicht einmal als Reflex. Das Auskunftsbegehren soll sich nach seinem klar geäußerten Willen allein darin erschöpfen, etwaige geldwerte Ansprüche gegen die Beklagte zu prüfen. Damit trifft das Begehren des Klägers nicht einmal den Titel der Verordnung, nämlich den Datenschutz. Ein Begehren, das sich derart weit von dem Regelungsinhalt einer Rechtsgrundlage entfernt hat, ist nicht schützenswert. In diesem Zusammenhang ist zu berücksichtigen, dass der Verordnungsgeber nicht etwa ein situationsunabhängiges Auskunftsrecht von Verbrauchern gegenüber Unternehmen schaffen wollte, welches im allgemeinen Rechtsverkehr nicht besteht. Vielmehr hat er die zu erteilenden Auskünfte explizit an den Zweck des Datenschutzes gebunden (vgl. Erwägungsgrund 63 DSGVO).

Zudem besteht vorliegend die Besonderheit, dass dem Kläger die Schreiben zugeschickt wurden. Dass er sie besitzt, hat er im Wechselspiel von Vortrag und Gegenvortrag nicht substantiiert bestritten (vgl. § 138 Abs. 3 ZPO).


Den Volltext der Entscheidung finden Sie hier:

BGH: Auch Zwangsverwalter muss Schuldner Auskunft nach Art. 15 DSGVO gemäß Art. 12 Abs. 5 Satz 1 DSGVO kostenlos erteilen

BGH
Beschluss vom 15.07.2021
V ZB 53/20
ZwVwV §§ 17, 21, DSGVO Art. 12 Abs. 5 Satz 1, Art. 23 Abs. 1 Buchstabe j


Der BGH hat entschieden, dass auch ein Zwangsverwalter einem Schuldner Auskunft nach Art. 15 DSGVO gemäß Art. 12 Abs. 5 Satz 1 DSGVO kostenlos erteilen muss.

Leitsätze des BGH:

a) Die Bearbeitung eines Antrags des Schuldners an den Zwangsverwalter auf Auskunft nach Art. 15 Abs. 1 DS-GVO zählt nicht zu den allgemeinen Geschäftskosten im Sinne von § 21 Abs. 1 ZwVwV, sondern ist Teil der Geschäftsführung des Verwalters.

b) Die Vergütung hierfür bestimmt sich, wenn nicht nach § 18 ZwVwV abgerechnet wird, gemäß § 19 Abs. 1 Satz 1 ZwVwV nach dem Zeitaufwand, der mit dem einheitlichen Stundensatz nach § 19 Abs. 1 Sätze 2 u. 3 ZwVwV zu vergüten ist.

c) Die Festsetzung einer Vergütung nach § 17 Abs. 1, § 19 ZwVwV scheidet wegen der mit Art. 12 Abs. 5 Satz 1 DS-GVO vorgeschriebenen Kostenfreiheit allerdings aus, wenn es um die Bearbeitung einer Anfrage des Schuldners geht.
BGH, Beschluss vom 15. Juli 2021 - V ZB 53/20 - LG Limburg - AG Wetzlar

Den Volltext der Entscheidung finden Sie hier:


AG Pfaffenhofen: 300 EURO Geldentschädigung aus Art. 82 DGSVO bei unbefugter Zusendung einer Werbe-E-Mail und unzureichender Auskunft über Herkunft der Daten

AG Pfaffenhofen
Urteil vom 09.09.2021
2 C 133/21


Das AG Pfaffenhofen hat entschieden, dass eine Geldentschädigung in Höhe von 300 EURO aus Art. 82 DGSVO bei unbefugter Zusendung einer Werbe-E-Mail und unzureichender Auskunft über Herkunft der Daten angemessen ist.

Aus den Entscheidungsgründen:

"Dem Kläger steht gem. Art. 82 DSGVO ein Anspruch auf Ersatz immateriellen Schadens zu, den das Gericht wie tenoriert bemisst.

Die Beklagte hat gegen Bestimmungen der DS-GVO verstoßen, die Verstöße haben nach dem - insoweit auch unwidersprochen gebliebenen und damit zugestandenen (§ 138 Abs. 3 ZPO) Vorbringen des Klägers kausal zu einem immateriellen Schaden geführt.

Die Beklagte hat zum einen die Email-Adresse des Klägers ohne Rechtfertigung iSd Art. 6 DSGVO verarbeitet, zum anderen dem Kläger verspätet bzw. zunächst nicht vollständig Auskunft erteilt.

a. Die Beklagte hat unstreitig iSd Art. 4 DS-GVO die Email-Adresse des Klägers verarbeitet (erhoben, erfasst und gespeichert, und durch ihr Anschreiben weiter verwendet).

Hierfür - jedenfalls für die Speicherung und Verwendung wie erfolgt - konnte die Beklagte keinen rechtfertigenden Tatbestand iSd Art. 6 Abs. 1 DS-GVO darlegen. Die Beklagte behauptet insbesondere schon selbst nicht (geschweige denn belegt dies), dass der Kläger hierin eingewilligt hätte. Sie behauptet im Prozess schon selbst nicht, dass der Kläger ihr etwa seine Email-Adresse (und dies mit entsprechender Einwilligung) mitgeteilt hätte oder (auch wenn dies in der streitgegenständlichen Email so angegeben gewesen war) der Kläger eine Anfrage an die Beklagte gesandt hätte (Fall der Nachfragewerbung, vgl.
Eckhardt in Auer-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, 3. Aufl., § 25 b) Rdnr. 82 m.Nw., zit. nach beck-online) oder etwa ein Fall des § 7 Abs. 3 UWG vorgelegen hätte (dies würde u.a. voraussetzen, dass ein Unternehmer - hier die Beklagte - im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung von einem Kunden dessen elektronische Postadresse erhalten hat; dies war unstreitig ebenfalls nicht der Fall). Die Beklagte trug vielmehr vor, die Email-Adresse des Klägers aus frei zugänglicher Quelle im Internet gefunden zu haben, bei der Suche nach einer Rechtsberatung. Sie hat die Email-Adresse jedoch - selbst wenn die ursprüngliche Erfassung zu einem berechtigten Zweck erfolgt sein sollte, wie die Beklagte wohl behauptet - unstreitig nicht hierfür gespeichert und verwendet, sondern (als auch nach ihrem eigenen Vorbringen der ursprüngliche Zweck längst entfallen gewesen wäre) zum Zwecke der Werbung, die jedoch mangels vorheriger Einwilligung des Klägers gegen § 7 Abs. 2 Nr. 3 UWG und Art. 6 Abs. 1 S. 1 verstieß.

Die Werbung mittels E-Mail-Marketing setzt für ihre Zulässigkeit außerhalb der Fälle des § 7 Abs. 3 UWG eine - vorherige und ausdrückliche - Einwilligung voraus, mithin eine Willensbekundung, die ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erfolgt (vgl. Eckhardt a.a.O. Rdnr. 86 m.Nw.). Eine solche wird schon durch die Beklagte - welche insoweit darlegungs- und beweisbelastet wäre - nicht im Ansatz behauptet oder vorgetragen.

Ebensowenig ist aus dem Vorbringen einer - auch nur z.B. konkludent - erteilte Einwilligung iSd Art. 6 Abs. 1 S. 1 lit a. DSGVO zu entnehmen. Auch keiner der weiteren Fälle der Vorschrift ist zu erkennen, insbesondere auch nicht ein Fall des Art. 6 Abs. 1 S. 1 lit. f. DSGVO m(überwiegende berechtigte Interessen des Verwantwortlichen oder eines Dritten). Gem. Erwägungsgrund 47 ist im Rahmen der Interessenabwägung nach lit. f zu prüfen, „ob eine betroffene Person zum Zeitpunkt der Datenerhebung und angesichts der Umstände, unter denen sie erfolgt, vernünftigerweise absehen kann, dass möglicherweise eine Verarbeitung
für diesen Zweck erfolgen wird“(vgl. Gola DS-GVO/Schulz, 2. Aufl. 2018, DS-GVO Art. 6 Rn. 61). Im Rahmen der Interessenabwägung ist zunächst der vom Datenverarbeiter verfolgte Zweck mit der Art, dem Inhalt sowie der Aussagekraft der Daten gegenüberzustellen; zu berücksichtigen sind sodann insbesondere die vernünftige Erwartungshaltung der betroffenen
Person bzw. die Absehbarkeit (Branchenüblichkeit) der Verarbeitung sowie ihre Beziehung zu dem Verantwortlichen (BeckOK DatenschutzR/Albers/Veit, 36. Ed. 1.5.2020, DS-GVO Art. 6 Rn. 53). Vorliegend führt bereits vor diesem Hintergrund die Abwägung hier zu dem Ergebnis, dass die schutzwürdigen Interessen des Klägers - welcher unstreitig in keinerlei vorheriger Beziehung zur Beklagten gestanden und auch sonst nicht nachweisbar seine Email-Adresse selbst in einer Weise, die
solche Verwendung absehbar gemacht hätte, mitgeteilt oder veröffentlich hatte - die Interessen der Beklagten an einer Werbemaßnahme für von ihr vertriebene Masken überwogen. Zudem spricht viel dafür, auch insoweit die Maßstäbe des § 7 Abs. 2 UWG zu berücksichtigen. Das OVG Saarlouis (B.v. 16.02.2021, 2 A 355/19, NJW 2021, 2225) führte in einem Fall der unerlaubten Telefonwerbung hierzu aus „dass die Bewertungsmaßstäbe des § 7 II Nr. 2 UWG, welcher der Umsetzung RL 2002/58/EG dient, auch im Rahmen des Art. 6 I Buchst. f DSGVO zu berücksichtigen wären. Es ist zwar zutreffend, dass auch die Verarbeitung personenbezogener Daten für Direktwerbung ein berechtigtes Interesse nach dem Erwägungsgrund 47 DS-GVO darstellen kann. Aber auch in diesem Zusammenhang ist zu berücksichtigen, dass die Ziele, die mit der Verarbeitung verfolgt werden, unionrechtskonform sein müssen. Daher gilt auch in diesem Zusammenhang die Wertung des § 7 II Nr. 2 UWG Geltung beanspruchen, mit der Folge, dass sich die Kl. nicht auf ein „berechtigtes“ Interesse berufen kann. Für dieses Ergebnis spricht im Übrigen auch die Forderung, für die Auslegung des Art. 6 I Buchst. f DSGVO als Ausgangspunkt konkret gefasste Erlaubnistatbestände aus dem nationalen Recht heranzuziehen, um dem allgemeinen Erlaubnistatbestand Konturen zu verleihen und Rechtssicherheit herzustellen“. Diese Ausführungen überzeugen und gelten ebenso für den hier vorliegenden Fall der Direktwerbung per Email, der ebenfalls von Art. 13 der Richtlinie 2002/58/EG erfasst und in § 7 Abs. 2 Nr. 3 UWG konkret geregelt ist.

Zudem hat die Beklagte auch gegen Art. 14 sowie 15 DS-GVO verstoßen. Gemäß Art. 14 DSGVO hat der Verantwortliche in dem Fall, dass die Erhebung der Daten nicht bei der betroffenen Person selbst erfolgt ist - was hier unstrittig der Fall war - eine Informationspflicht gegenüber dem Betroffenen über die in Art. 14 Abs. 1, 2 genannten Einzelheiten, welche gem. Art. 14 Abs. 3 lit, a, b DSGVO unter Berücksichtigung der spezifischen Umstände der Verarbeitung der personenbezogenen Daten innerhalb einer angemessenen Frist nach Erlangung der personenbezogenen Daten, längstens jedoch innerhalb eines Monats, bzw. falls die personenbezogenen Daten zur Kommunikation mit der betroffenen Person verwendet werden sollen, spätestens zum Zeitpunkt der ersten Mitteilung an sie (auch in diesem Fall jedoch spätestens innerhalb eines Monats, vgl. Kühling/Buchner/Bäcker, 3. Aufl. 2020, DSGVO Art. 14 Rn. 33; Paal/Pauly/Paal/Hennemann, 3. Aufl. 2021, DS-GVO Art. 14 Rn. 34) zu erfüllen ist. Eine Erfüllung dieser Pflicht - insbesondere innerhalb der Frist (die Beklagte speicherte die Daten ihrer eigenen Einlassung nach bereits ab 25.12.2020) - wurde nicht ersichtlich.

[...]

Die Höhe des Anspruchs ist dabei nicht willkürlich, sondern auf der Grundlage der inhaltlichen Schwere und Dauer der Rechtsverletzung zu beurteilen, unter Berücksichtigung des Kontexts, der Umstände eines Verstoßes. Genugtuungs- und Vorbeugungsfunktion können bei der Bezifferung eine Rolle spielen. Einerseits darf die Höhe des Schadensersatzes keine Strafwirkung entfalten. Andererseits reicht ein künstlich niedrig bezifferter Betrag mit symbolischer Wirkung nicht aus, um die praktische Wirksamkeit des Unionsrechts sicherzustellen (vgl. Paal/Pauly/Frenzel, 3. Aufl. 2021, DS-GVO Art. 82 Rn. 12a).

So sprach etwa das AG Hildesheim (U.v. 05.10.2020, 43 C 145/19, ZD 2021, 384) 800,00 € zu in einem Fall, in dem auf einem wiederaufbereiteten und weiterveräußerten PC private Daten des ursprünglichen Besitzers noch vorhanden und somit an den Dritten gelangt waren.

Das LG Lüneburg ( Urteil vom 14.7.2020 – 9 O 145/19, ZD 2021, 275) etwa sprach 1.000,00 € zu in einem Fall eines rechtswidrigen Schufa-Eintrags.

Vorliegend berücksichtigt das Gericht, dass der Kläger (der selbst zunächst von der Beklagten 300,00 € gefordert hatte, im Rahmen der prozessualen Geltendmachung dann einen Bereich von nicht unter 100,00 € für angemessen hielt) nicht nur von einem, sondern von mehreren Verstößen der Beklagten gegen Vorschriften der DSGVO betroffen war (s.o.). Andererseits blieben die Auswirkungen für den Kläger - anders als etwa in den beiden o.g. Fällen des AG Hildesheim und des LG Lüneburg im „eigenen Bereich“ des Klägers, es wurde von den Verstößen kein Bereich tangiert (jedenfalls wurde derartiges nicht erkennbar), der Beziehungen des Klägers zu anderen Dritten betraf, etwa (auch nur potentiell) die Gefahr einer Schädigung seines Ansehens, seiner Kreditwürdigkeit o.ä. bot. Die erkennbaren Auswirkungen lagen vielmehr darin, dass der Kläger sich - wie er unwidersprochen vortrug - sich mit der Abwehr der von ihm unerwünschten Werbung und der Herkunft der Daten auseinandersetzen musste. Gerade letzteres - zumal unter Berücksichtigung der Dauer des Verstoßes und der zunächst nicht ansatzweise zielführend erfolgten Auskunftserteilung - ist geeignet, zu einem durchaus belastenden Eindruck des Kontrollverlusts zu führen, zumal dies auch die Auseinandersetzung mit dem Verstoß und auch die Abwehr ggf. drohender anderweitiger Verstöße erschwert (die Quelle der Daten kann ja - und wird erfahrungsgemäß - auch die Quelle für andere sein, die ggf. unter Verstoß gegen die DSGVO diese Daten verarbeiten). Vor diesem Hintergrund ist insbesondere die bestenfalls als zögerlich zu bezeichnende Information durch die Beklagte (die insoweit auch im Prozess recht vage blieb, wenn auch der Kläger dies nicht mehr weiter verfolgte) im Interesse einer effektiven Abschreckung als schmerzensgelderhöhend zu berücksichtigen. Soweit die Beklagte mit ihrem letzten Vorbringen möglicherweise behaupten will, nur zur Versorgung ihrer Mitmenschen agiert zu haben (quasi altruistisch) erscheint dies im Übrigen wenig lebensnah. Nicht zu berücksichtigen war dagegen, dass der Kläger zwischenzeitlich weitere unerwünschte Emails erhalten haben mag; eine Verantwortung der Beklagten hierfür wird schon nicht behauptet oder ersichtlich.

Das Gericht erachtet - auch im Vergleich mit den o.g. Entscheidungen, denen noch deutlich gravierendere (zumindest potentielle) Auswirkungen zugrundelagen - vorliegend im Ergebnis eine Entschädigung von 300,00 € für angemessen."


Den Volltext der Entscheidung finden Sie hier:


Internet World Business-Beitrag von Rechtsanwalt Marcus Beckmann - "Kundenbindung - wo sind die Grenzen" mit einem Überblick über die rechtlichen Rahmenbedingungen.

In Ausgabe 9/21 S. 54-55 der Zeitschrift Internet World Business erschien ein Beitrag von Rechtsanwalt Marcus Beckmann mit dem Titel "Kundenbindung - wo sind die Grenzen" mit einem Überblick über die rechtlichen Rahmenbedingungen.

LAG Hannover: DSGVO gewährt keinen Anspruch auf Entfernung einer Abmahnung jedenfalls aus in Papierform geführter Personalakte

LAG Hannover
Urteil vom 04.05.2021
11 Sa 1180/20


Das LAG Hannover hat entschieden, dass die DSGVO keinen Anspruch auf Entfernung einer Abmahnung jedenfalls aus einer in Papierform geführten Personalakte gewährt.

Aus den Entscheidungsgründen:

3. Die Kammer teilt im Ergebnis die Rechtsauffassung des Arbeitsgerichts, wonach auch unter datenschutzrechtlichen Gesichtspunkten ein Löschungsanspruch nicht besteht.

a) Hinsichtlich der DSGVO (Verordnung (EU) 2016/679) hat das Arbeitsgericht auf Artikel 17 der Verordnung abgestellt, der einen ausdrücklichen Löschungsanspruch regelt. Einschlägig wäre insoweit Abs. 1 Buchst. a)

„wenn die personenbezogenen Daten für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind.“

Ein solcher Anspruch könnte aber nicht abgelehnt werden mit der vom Arbeitsgericht gegebenen Begründung, wonach im Hinblick auf den noch anhängigen Kündigungsrechtstreit noch nicht feststellbar sei, dass die Daten nicht mehr benötigt werden. Da alle hier streitigen Rechtsfragen in einem gemeinsamen Rechtstreit anhängig gemacht werden, wird die Entscheidung über die Wirksamkeit der Kündigung und der Entfernung der Abmahnungen zeitlich koordiniert erfolgen. Im Übrigen steht zum Zeitpunkt der Berufungsentscheidung bereits seit über einem Jahr fest, dass das Arbeitsverhältnis spätestens mit Ablauf des 31.03.2020 beendet ist.

b) Art. 88 DSGVO stellt eine lex specialis hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext dar. Der Artikel stellt jedoch nur eine Öffnungsklausel für besondere Regelungen der Mitgliedstaaten vor, er enthält selbst keine unmittelbar anwendbaren Rechtssätze.

Der Art. 88 DSGVO ausgestaltende § 26 BDSG regelt die Zulässigkeit der Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses. Spezifische Löschungsvorschriften für das Beschäftigungsverhältnis enthält die Vorschrift ihrerseits nicht. Für das Recht auf Löschung verweist § 35 BDSG im Grundsatz auf Art. 17 der DSGVO. Als Ausnahme sieht § 35 Abs.1 BDSG vor, dass bei unverhältnismäßig hohem Aufwand der Löschung an die Stelle einer Löschung die Einschränkung der Verarbeitung tritt.

Art. 17 Abs. 3 DSGVO macht einen generellen Vorbehalt zu Gunsten gesetzlicher Aufbewahrungsfristen. Diese können im Arbeitsverhältnis insbesondere sozialversicherungs- und steuerrechtlicher Art sein. In der Literatur wird dazu vertreten, dass personenbezogene Daten nach Beendigung des Arbeitsverhältnisses generell zu löschen seien, soweit keine Aufbewahrungspflichten gelten (etwa Simitis/Hornung/Spieker, Datenschutzrecht 1. Aufl. 2019, Art. 88 DSGVO Rn. 205 ff.). In der Konsequenz würde dies allerdings bedeuten, dass der Arbeitgeber nach Beendigung eines jedem Arbeitsverhältnisses den vorhandenen Datenbestand des ausscheidenden Arbeitnehmers danach sortieren müsste, ob Aufbewahrungsfristen bestehen oder nicht.

c) Allerdings bestehen für den Anwendungsbereich der noch traditionell in Papierform geführten Personalakten erhebliche Zweifel, ob oder wieweit diese vom Regelungsbereich der DSGVO und des BDSG erfasst werden. In Art. 2 Abs.1 und Art. 4 Nr. 6 DSGVO wird der Begriff der Dateisysteme zugrunde gelegt. Unabhängig von der Frage, ob dieser Begriff zwischen automatisierten und nicht automatisierten Vorgängen unterscheidet (dazu etwa Gierschmann/Schlender Datenschutzgrundverordnung Kommentar 2018, Art. 4 Nr. 6 Rn. 8), ist in Erwägungsgrund 15 der Richtlinie ausdrücklich formuliert, dass Akten, die nicht nach bestimmten Kriterien geordnet sind, nicht in den Anwendungsbereich der Verordnung fallen sollen. Zutreffend weisen Gierschmann/Schlender aaO. Rn. 9 darauf hin, dass für Akten, - insbesondere Personalakten – rechtlich der Grundsatz der Vollständigkeit bestimmend ist und nicht der Grundsatz der Datensparsamkeit. Der Berufungsbegründung lassen sich weiterführende Überlegungen hinsichtlich dieser sehr grundsätzlichen Fragen nicht entnehmen.

Soweit ersichtlich, ist bisher in der Instanzrechtsprechung lediglich vereinzelt ein datenschutzrechtlicher Anspruch auf Entfernung einer Abmahnung nach Ende des Arbeitsverhältnisses angenommen worden (LAG Sachsen-Anhalt 23.11.18, 5 Sa 7/17, NZA-RR 109, 335). Eine klärende Entscheidung des Bundesarbeitsgerichts dazu steht noch aus. Die Kammer ist der Auffassung, dass auch die datenschutzrechtlichen Neuregelungen auf Basis der DSGVO eine derartig grundlegende Veränderung des Rechtsschutzes zumindest im Bereich der in Papierform geführten Personalakten nicht erfordern.

Den Volltext der Entscheidung finden Sie hier:



LAG Köln: Beschluss einer arbeitsrechtlichen Einigungsstelle auch wirksam wenn durch Verwendung des Videokonferenzsystems Cisco Webex möglicherweise gegen DSGVO verstoßen wurde

LAG Köln
Beschluss vom 25.06.2021
9 TaBV 7/21


Das LAG Köln hat entschieden, dass der Beschluss einer arbeitsrechtlichen Einigungsstelle auch wirksam ist, wenn durch Verwendung des Videokonferenzsystems Cisco Webex möglicherweise gegen die Vorgaben der DSGVO verstoßen wurde.

Aus den Entscheidungsgründen:

1.) Der Beschluss der Einigungsstelle begegnet keinen durchgreifenden formellen Bedenken. Dass die Einigungsstelle den Beschluss am 14.05.2020 im Rahmen einer Videokonferenz gefasst hat, führt nicht zu dessen Unwirksamkeit.

a) Die Zulässigkeit von Videokonferenzen im Rahmen von Betriebsratssitzungen und zur Durchführung von Einigungsstellenverfahren war umstritten, wurde zuletzt aber zunehmend bejaht (etwa Fündling/Sorber, NZA 2017, 552; Thüsing/Beden, BB 2019, 372; Lütkehaus/Powietzka NZA 2020, 552; kritisch hingegen Däubler/Klebe, NZA 2020, 545, 546). Gemäß der rückwirkend für die Zeit ab dem 01.01.2020 zunächst bis zum 31.12.2020 befristeten und derzeit bis zum 30.06.2021 verlängerten Vorschrift des § 129 Abs. 1 und 2 BetrVG hatte der Gesetzgeber ausdrücklich festgelegt, dass die Teilnahme an Einigungsstellensitzungen sowie die Beschlussfassung während der Corona-Pandemie mittels Video- und Telefonkonferenz erfolgen können, wenn sichergestellt ist, dass Dritte vom Inhalt der Sitzung keine Kenntnis nehmen können. Letzteres dient dem Datenschutz und konkretisiert zugleich den „elementaren Verfahrensgrundsatz“ (BAG, Beschluss vom 18. Januar 1994 – 1 ABR 43/93 –, BAGE 75, 261-266, Rn. 17), dass die Einigungsstelle einen Spruch in Abwesenheit der Betriebsparteien auf Grund nichtöffentlicher mündlicher Beratung. Dies entspricht dem Prinzip der Nichtöffentlichkeit nach § 30 Abs. 1 Satz 4 BetrVG (Däubler/Klebe, NZA 2020, 545, 548; ErfK/Kania, 21. Aufl. 2021, § 129, Rn. 2). Ein Verstoß gegen diesen Grundsatz würde den Spruch der Einigungsstelle unwirksam machen (vgl. BAG, Beschluss vom 18. Januar 1994 – 1 ABR 43/93 –, BAGE 75, 261-266, Rn. 17; Fitting, 30. Aufl. 2020, § 76 BetrVG, Rn. 74).

b) Die heutigen marktgängigen Konferenzsysteme bieten durchweg die Möglichkeit einer hinreichend sicheren und verschlüsselten Kommunikation (Althoff/Sommer, ArbRAktuell 2020, 250, 252). Auch C W gehört zu den hinreichend sicheren Konferenzsystemen, wie sie der Gesetzgeber bei der Einführung des § 129 BetrVG vor Augen hatte. So heißt es in den Gesetzesmaterialien ausdrücklich, dass die Regelung „für einen begrenzten Zeitraum, Sitzungen und Beschlussfassungen mittels Video- und Telefonkonferenz einschließlich online gestützter Anwendungen wie Webex Meetings oder Skype“ ermöglichen soll (BT-Drs. 19/18753, S. 28). Mit dieser Einschätzung steht der Bundesgesetzgeber nicht allein. Auch der Landesbetrieb IT.NRW, der für die IT-Infrastruktur der nordrhein-westfälischen Landesverwaltung zuständig ist, stellt den Behörden C W zur Durchführung von Online-Konferenzen und Gerichtsverhandlungen zur Verfügung. Eine mutwillige, heimliche und damit unzulässige Aufzeichnung durch Teilnehmer mag zwar technisch nicht ausgeschlossen sein. Dies wäre jedoch kein taugliches Kriterium, um im Einigungsstellenverfahren die Zulässigkeit einer Videokonferenz verneinen zu können. Denn eine technische Aufzeichnung wäre mit Smartphones und Tablets auch bei Präsenzsitzungen nicht ausgeschlossen (Althoff/Sommer, ArbRAktuell 2020, 250, 252).

c) Dass das Videokonferenzsystem C W nach Darlegung der Arbeitgeberin personenbezogene (Daten) ein Land außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums wie die U übermittelt, schloss seine Nutzung für die Einigungsstelle nicht aus.

aa) Eine Übermittlung personenbezogener Daten in Drittländer ist gemäß Art. 44 Satz 1 DSGVO nur zulässig, wenn der Verantwortliche und der Auftragsverarbeiter die Bestimmungen der DSGVO einhalten. Gemäß Art. 45 Abs. 1 Satz 1 DSGVO darf eine Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation vorgenommen werden, wenn die Kommission beschlossen hat, dass das betreffende Drittland ein angemessenes Schutzniveau bietet. Mit Durchführungsbeschluss (EU) 2016/1250 (ABl. L 207 vom 01.08.2016, S. 1-112) hatte die Kommission festgestellt, dass die USA mit der EU-US-Datenschutzvereinbarung (Privacy Shield) ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten. Der Europäische Gerichtshof hat diesen Durchführungsbeschluss zwar für unwirksam erklärt (EuGH, Urteil vom 16. Juli 2020 – C-311/18 –, NJW 2020, 2613 – Schrems II). Jedoch darf ein Verantwortlicher oder ein Auftragsverarbeiter personenbezogene Daten an ein Drittland gemäß Art. 46 DSGVO auch dann übermitteln, wenn er geeignete Garantien vorgesehen hat und den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen. So können die von der Kommission gemäß Art. 46 Abs. 2 Buchst. c DSGVO erlassenen Standarddatenschutzklauseln grundsätzlich weiterhin genutzt werden. C beruft sich insoweit auch darauf, dass die C Datenschutz-Rahmenvereinbarung („Master Data Protection Agreement - MDPA“) schon vor der Schrems-II-Entscheidung die EU-Standarddatenschutzklauseln enthalten habe (https://konferenzen.t .de/fileadmin/Redaktion/conference/c -W /C -Datenschutz-Statement.pdf).

bb) Ob dies ausreicht, um die Anforderungen der DSGVO zu erfüllen, kann hier aber dahin stehen, da die Nutzung des Videokonferenzsystems C W jedenfalls keinen Verstoß gegen elementare Verfahrensgrundsätze darstellt, die zur Unwirksamkeit des Einigungsstellenbeschlusses führen könnte. Denn der Gesetzgeber hat mit der Neuregelung in § 129 BetrVG Rechtssicherheit schaffen wollen. An die notwendige Sicherstellung der Nichtöffentlichkeit dürfen daher keine zu hohen Anforderungen gestellt werden. Solange für den Geschäftsverkehr gängige Konferenzsysteme verwandt werden, die über eine Verschlüsselung nach dem Stand der Technik verfügen, wie dies bei Cisco Webex im Mai 2020 der Fall war, sind keine zusätzlichen technischen Sicherungsmaßnahmen erforderlich (ErfK/Kania, 21. Aufl. 2021, § 129, Rn. 2).

d) Im Übrigen hatte die Einigungsstelle hinreichend sichergestellt, dass Dritte vom Inhalt der Sitzung keine Kenntnis nehmen können. Nach der unwidersprochenen Darlegung des Betriebsrats hatten sich die Sitzungsteilnehmer mit ihrem Namen oder den ihnen zugeordneten Zugangsdaten angemeldet, wobei das Konferenzsystem ständig eine Liste der teilnehmenden Person angezeigt hatte. Die Mitglieder der Einigungsstelle waren belehrt worden, dass sie mitzuteilen hätten, wenn eine andere Person den Raum betrete, indem sie sich befänden. Jeder Teilnehmer hatte zudem auf Nachfrage bestätigt, dass er sich allein in einem geschlossenen Raum befinde. Die Einigungsstelle ist damit den in der Literatur aufgeführten Empfehlungen gefolgt (etwa Däubler/Klebe, NZA 2020, 545, 548 f.).


Den Volltext der Entscheidung finden Sie hier:


LArbG Hamm: Schadensersatzanspruch aus Art. 82 Abs. 1 DSGVO bei verspäteter oder unvollständiger Auskunftserteilung nach Art. 15 Abs. 1 DSGVO

LArbG Hamm
Urteil vom 11.05.2021
6 Sa 1260/20


Das LArbG Hamm hat entschieden, dass ein Schadensersatzanspruch aus Art. 82 Abs. 1 DSGVO bei verspäteter oder unvollständiger Auskunftserteilung nach Art. 15 Abs. 1 DSGVO besteht. Im vorliegenden Fall hat das Gericht einem Arbeitnehmer 1.000 EURO zugesprochen.

Aus den Entscheidungsgründen:

II. Soweit die Klägerin den in erster Instanz unbezifferten gestellten Klageantrag nunmehr im Rahmen der Berufungsbegründung beziffert, liegt eine Klageänderung - die im Rahmen der Berufung an den Voraussetzungen des § 533 ZPO zu messen wäre - nicht vor. Gemäß § 264 Nr. 2 ZPO ist es nicht als Klageänderung anzusehen, wenn ohne Änderung des Klagegrundes der Klageantrag in der Hauptsache erweitert wird. Darunter fällt auch der Übergang von einem nicht bezifferten Feststellungsantrag zu einem bezifferten Zahlungsantrag (vgl. BGH vom 12.05.1992 – VI ZR 118/91 -; BGH vom 13.11.2014 – IX ZR 267/13-).Wird zunächst eine Stufenlage erhoben und der Auskunftsantrag gestellt, stellt der Kläger dann aber, ohne die Bescheidung des Auskunftsanspruchs abzuwarten, sogleich den Zahlungsantrag, ist dieser Antrag ebenfalls nach § § 264 Nr. 2 ZPO zulässig. Um eine Klageänderung handelt es sich nicht (BGH vom 13.11.2014 – IX ZR 267/13 - ). Für den Zahlungsantrag, der in erster Instanz noch nicht beziffert war, gilt hier nicht anderes.

B) Die Berufung ist indes nur im Hinblick auf die Verurteilung der Beklagten zur Zahlung eines in das Ermessen des Gerichts gestellten immateriellen Schadensersatzanspruchs begründet. Insoweit hat das Arbeitsgericht die Klage zu Unrecht abgewiesen. Im Übrigen ist die Berufung unbegründet.

I. Die Berufung ist teilweise begründet, soweit die Klägerin die Zahlung eines immateriellen Schadensersatzes begehrt. Sie hat aus Art. 82 Abs. 1 DSGVO einen Anspruch auf Zahlung eines solchen Schadensersatzes in Höhe von 1.000,00 Euro.

1. Der Klageantrag ist zunächst bestimmt genug, § 253 Abs. 2 Nr. 2 ZPO. Bei einem Schadensersatzanspruch auf Geldentschädigung, bei dem die Bestimmung des Betrages von der Ermittlung der Schadenshöhe durch Beweisaufnahme oder durch gerichtliche Schätzung oder vom billigen Ermessen des Gerichts abhängt, ist es ausreichend, wenn die zahlenmäßige Feststellung der Klageforderung dem Gericht überlassen wird, sofern dem Gericht zugleich die tatsächlichen Grundlagen gegeben werden, die ihm die Feststellung der Höhe des gerechtfertigten Klageanspruchs ermöglichen (vgl. BGH vom 13.03.1967 – III ZR 8/66 m.z.N.). Selbes gilt, wenn – wie hier - die ziffernmäßige Festlegung der Schadenshöhe entscheidend von der Ausübung des richterlichen Ermessens oder einer richterlichen Schätzung nach § 287 Abs. 1 ZPO abhängt (BGH vom 13.03.1967 – III ZR 8/66 m.z.N.). Vorliegend hat die Klägerin zudem angegeben, dass sie einen Mindestschaden von 6.000,00 Euro (vgl. Berufungsbegründung vom 21.12.2020) für angemessen erachtet.

2. Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen.

Die DSGVO, die seit dem 25.05.2018 in Kraft getreten ist (Art. 99 Abs. 2 DSGVO) gilt gemäß Art. 288 AEUV unmittelbar in jedem Mitgliedsstaat der Europäischen Union, ohne dass es einer weiteren Umsetzung durch nationales Recht bedarf.

a) Verantwortlicher im Sinne des Art. 82 Abs. 1 DSGVO ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (Art. 4 Ziff. 7 DSGVO), mithin die Beklagte.

b) Die Beklagte hat vorliegend gegen ihre Auskunftspflicht gegenüber der Klägerin aus Art. 15 Abs. 1 DSGVO verstoßen. Der Auskunftsanspruch besteht auch in einem Arbeitsverhältnis. Die allgemeinen Bestimmungen der EU-DSVO enthalten eine Vollregelung, auch zum Beschäftigtendatenschutz (vgl. LAG Baden-Württemberg vom 20.12.2018 – 17 Sa 11/18 -). Der Auskunftsanspruch ist ein Grundrecht (Art. 8 Abs. 2 GRCh, Art. 6 Abs. 1 EUV) und gehört zur „Magna Charta“ der Betroffenenrechte (Lemke, der Datenschutzrechtliche Auskunftsanspruch im Arbeitsverhältnis, NJW 2020, 1841ff).

Nach Art. 15 Abs. 1 DSGVO hat die betroffene Person (Art. 4 Ziff. 7 DSGVO) das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden und – soweit dies der Fall ist – das weitere Recht auf die unter lit. a) bis h) der Vorschrift benannten Informationen. Nach der Vorgabe des Art. 12 Abs. 3 S. 1-3 DSGVO ist ein solches Auskunftsbegehren binnen eines Monats nach Eingang, nach einer Unterrichtung über eine Fristverlängerung binnen zwei weiterer Monate zu beantworten.

(1) Ein solches Verlangen hat die Klägerin vorliegend mit außergerichtlichem Schreiben ihres heutigen Prozessbevollmächtigten vom 30.01.2020 gestellt. Darin hat sie unter Bezugnahme auf die Datenschutzgrundverordnung Auskunft über „sämtliche bei Ihnen gespeicherten Daten, insbesondere die Daten der Arbeitszeiterfassung“ begehrt. Das Auskunftsbegehren unterliegt nach den Bestimmungen der DSGVO keinen besonders geregelten Anforderungen an Form und Inhalt. Es kann dahinstehen, ob sich der Anspruch der Klägerin inhaltlich auf den gesamten Umfang der mit dem Schreiben geltend gemachten Daten bezieht. Aus diesem verlangen konnte die Beklagte hinreichend konkret erkennen, auf welche Rechtsgrundlage die Klägerin ihr begehren stützt. Aus Art. 4 Ziff. 2 DSGVO ergibt sich zudem, dass sich die Verarbeitung, die Gegenstand des Auskunftsanspruchs nach Art. 15 DSGVO ist, auf jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten bezieht. Eine Einschränkung auf einen bestimmten Auskunftsteil hat die Klägerin nicht vorgenommen. Sie hat nur formuliert, dass sich ihr Begehren „insbesondere“ aber nicht erkennbar nicht ausschließlich auf die Daten der Zeiterfassung beziehe.

(2) Der Auskunftsanspruch bezieht sich inhaltlich auf personenbezogene Daten. Dabei handelt es sich nach Art. 4 Ziff. 1 DSGVO um alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person“) beziehen. Zur Verarbeitung gehört nach Art. 4 Ziff. 2 DSGVO insbesondere das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung und die Verwendung solcher Daten. In einem Arbeitsverhältnis verarbeitet der Arbeitgeber zwangsläufig personenbezogene Daten der bei ihm beschäftigten Arbeitnehmer. Bei diesen Daten kann es sich neben den Kontaktdaten der Person etwa um Informationen über das Bestehen und die Dauer einer Arbeitsunfähigkeit, über die Gewährung von Urlaubsansprüchen oder auch über Leistungs- und Verhaltensdaten handeln. Die Beklagte hat bis heute keine Auskunft darüber erteilt, ob und zu welchem Verarbeitungszweck (Art. 15 Abs. 1 lit. a)) und nach welchen Kategorien (Art. 15 Abs. 1 lit. b)) sie entsprechende Daten der Klägerin verarbeitet. Die Beklagte hat auf das gestellte Auskunftsverlangen erstmals unter dem 13.08.2020 reagiert und der Klägerin - offenbar auch im Hinblick auf das zu diesem Zeitpunkt klageweise rechtshängig gemachte und auf den Umfang der geleisteten Arbeitszeit im Arbeitsverhältnis beschränkten Auskunftsantrag – Arbeitszeitnachweise zugesendet. Eine weitere Auskunft ist – bis heute – nicht erfolgt.

(3) Eine Haftung für die Verstöße könnte nur entfallen, wenn die Beklagte für diese nicht verantwortlich wäre, Art. 83 Abs. 3 DSGVO. Dies hat die Beklagte nicht dargetan.

c) Entgegen der Auffassung der Beklagten ist der Klägerin durch die fehlende Erteilung der Auskunft ein immaterieller Schaden entstanden.

Das zutreffende Verständnis des Schadensbegriffs ist in der Rechtsprechung des Gerichtshofs der Europäischen Union bislang nicht geklärt. Der Begriff kann auch nicht in seinen einzelnen, für die Beurteilung des vorliegenden Sachverhalts notwendigen Voraussetzungen unmittelbar aus der DSGVO bestimmt werden. Auch in der bislang vorliegenden Literatur, die sich unter Bezugnahme auf den Erwägungsgrund 146 überwiegend für ein weites Verständnis des Schadensbegriffs ausspricht, sind die Details und der genaue Umfang des Anspruchs noch unklar (vgl. dazu: BVerfG vom 14.01.2021 – 1 BvR 2853/19 – mit zahlreichen Nachweisen).

Weder der DSGVO noch ihren Erwägungsgründen lässt sich indes entnehmen, dass der Schadensersatzanspruch einen qualifizierten Verstoß gegen die DSGVO voraussetzt. Für die Annahme einer Erheblichkeitsschwelle oder anders - herum formuliert – die Ausnahme von Bagatellfällen, gibt es keinen Anhaltspunkt (so auch BVerfG vom 14.01.2021 – 1 BvR 2853/19 -).

Unter Berücksichtigung des Erwägungsgrundes 146 S. 3 zur DSGVO soll der Begriff des Schadens im Lichte der Rechtsprechung des Europäischen Gerichtshofes weit und auf eine Weise ausgelegt werden, die den Zielen der Verordnung in vollem Umfang entspricht. Die Ziele der DSGVO bestehen dabei u.a. darin, den Risiken für die Rechte und Freiheit natürlicher Personen zu begegnen, die - mit unterschiedlicher Eintrittswahrscheinlichkeit und Schwere - aus einer Verarbeitung personenbezogener Daten hervorgehen und zu einem immateriellen Schaden führen können. Dabei kann ein immaterieller Schaden nicht nur in einer Diskriminierung, einem Identitätsdiebstahl oder -betrug, einem finanziellen Verlust, einer Rufschädigung, einem Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten, der unbefugten Aufhebung der Pseudonomisierung oder anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen liegen. Er kann (bereits) entstehen, wenn die von der Verarbeitung personenbezogener Daten betroffenen Personen daran gehindert werden, die sie betreffenden personenbezogenen Daten zu kontrollieren (vgl. Erwägungsgrund 75).

In jedem Arbeitsverhältnis verarbeitet der Arbeitgeber zwangsläufig personenbezogene Daten seiner Mitarbeiter. Jeder Arbeitgeber wird mindestens die Kontaktdaten, die Bankdaten zwecks Überweisung des Entgelts sowie Anwesenheits- und Fehlzeitendaten seiner Mitarbeiter erheben, speichern und verwenden. In welchem Umfang und in welchen Kategorien eine solche Verwendung erfolgt, ist Arbeitnehmern nicht ohne weiteres ersichtlich. Ebenso können Arbeitnehmer nicht von sich aus erkennen, ob Daten auch Dritten zur Verfügung gestellt und für welche Dauer – ggf. auch nach Beendigung des Arbeitsverhältnisses – diese Daten gespeichert bleiben. Die Beklagte wendet vorliegend nicht ein, dass sie über die der Klägerin im August 2020 übersendeten Arbeitszeitnachweise keine Weiteren personenbezogenen Daten der Klägerin verarbeitet. Eine Kontrolle über diese Daten hat die Klägerin indes nicht, solange die Beklagte ihrer Auskunftspflicht – in erster Stufe zumindest hinsichtlich der Bestätigung des „Ob“ der Verarbeitung personenbezogener Daten - nicht nachkommt. Der Klägerin fehlt dabei nicht nur die Kenntnis, welche Kategorien von Daten die Beklagte formalisiert oder nicht formalisiert verarbeitet. Sie kann ebenso nicht beurteilen, wie lange solche Daten nach Beendigung des Arbeitsverhältnisses weiter gespeichert bleiben und an welche Dritte die Beklagte solche Daten ggf. weiterreicht. Die Schwere des immateriellen Schadens, mithin das Gewicht der Beeinträchtigung, das die Klägerin – subjektiv – wegen der bestehenden Unsicherheit und des Kontrollverlustes empfinden mag, ist für die Begründung der Haftung nach Art. 82 Abs. 1 DSGVO und mithin für die Frage des „ob“ eines entstandenen Schadens nicht erheblich (so auch ArbG Düsseldorf vom 05.03.2020 – 9 Ca 6557/18).

d) Die Klägerin hat die Bemessung der Höhe des immateriellen Schadensersatzes in das Ermessen des Gerichts gestellt, § 287 Abs. 1 S. 1 ZPO. Unter Würdigung aller Umstände des Einzelfalles geht die Berufungskammer davon aus, dass der Klägerin zur Abgeltung des immateriellen Schadens ein Geldanspruch in Höhe von 1.000,00 Euro zusteht.

(1) Unter Berücksichtigung des Erwägungsgrundes 146 (Satz 6) zur DSGVO soll die betroffene Person einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten. Insoweit erscheint eine Orientierung an dem Kriterienkatalog für die Bemessung von Bußgeldern in Art. 83 Abs. 2 S. 2 DSGVO naheliegend (so auch ArbG Düsseldorf vom 05.03.2020 – 9 Ca 6557/18 -). Danach sind für die Ermittlung der Höhe einer Geldbuße u. a. die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung, der Grad des Verschuldens, Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens, frühere einschlägige Verstöße sowie die Kategorien der betroffenen personenbezogenen Daten zu betrachten. Bei der Bemessung der Entschädigung für immaterielle Schäden kommt den Gerichten grundsätzlich ein weites Ermessen zu, § 287 Abs. 1 S. 1 ZPO. Es müssen mithin sowohl sämtliche Auswirkungen des konkreten Datenschutzverstoßes für die geschädigte Person als auch sämtliche in der Person des Schädigers liegenden, insbesondere die Tatsituation und den Verschuldensgrad betreffenden, Umstände berücksichtigt werden (vgl. Oetker in MüKoBGB, 8. Auflage 2019, § 253 ZPO Rz. 36 ff).

2) In Anwendung des zuvor dargestellten Maßstabs ist unter Berücksichtigung und Abwägung aller Umstände des Einzelfalls ein Schadensersatz in Höhe von 1.000,00 Euro angemessen.

Dabei hat die Kammer zu Lasten der Beklagten berücksichtigt, dass diese die Auskunft nach Art. 5 Abs. 1 DSGVO bis zum heutigen Tag nicht erteilt hat. Die Beklagte hat der Klägerin lediglich im August 2020 Arbeitszeitnachweise übermittelt. Damit hat die Beklagte den Auskunftsanspruch allenfalls rudimentär erfüllt. Schriftsätzlich hat sich die Beklagte auf den Standpunkt gestellt, dass die Klägerin in dem Schreiben vom 30.01.2020 zu Unrecht Auskunft über „sämtliche Daten“ gefordert habe, obgleich ein Anspruch sich allenfalls auf solche Daten beziehe könne, die die Klägerin persönlich betreffen. Soweit die Beklagte darin eine Rechtfertigung erblickt, einem aus ihrer Sicht unklaren oder überzogenen Begehren nicht nachkommen zu müssen, kann dies nur zu ihren Lasten berücksichtigt werden. Zum einen erscheint eine derart weite Auslegung des Begehrens der Klägerin im Kontext des Schreibens bereits fernliegend. So erläutert der Prozessvertreter in dem Schreiben vom 30.01.2020, dass die Beklagte nach Auskunft seiner Mandantin, die Arbeitszeit elektronisch erfasse, dass es sich bei der Erfassung dieser Daten um personenbezogene Daten handele und die Mandantin daher „ihren“ Auskunftsanspruch nach der Datenschutz-Grundverordnung geltend mache. Auch für einen unbefangenen Leser ist erkennbar, dass die Klägerin keine Auskunft über Daten begehrt, die mit ihrer Person nicht in Zusammenhang stehen. Von dieser Auslegung ist die Beklagte indes auch im Kammertermin nicht abgerückt. Ein Problembewusstsein der Beklagten im Hinblick auf die Verletzung eines Rechts, dass der Europäischen Verordnungsgeber, wie sich bereits aus Art. 8 Abs. 2 der Grundrechtscharta zeigt, als sehr bedeutsam einordnet, vermochte die Berufungskammer nicht zu erkennen. Es ist auch nicht ersichtlich, dass die Klägerin die tatsächliche Erteilung der Auskunft in der Zukunft noch außergerichtlich erreichen wird. Zugunsten der Beklagten kann insoweit nur unterstellt werden, dass einschlägige frühere Verstöße nicht vorliegen.

Obwohl das vorgehend dargestellte Verhalten die Annahme nahelegt, dass die Beklagte den Umfang und die Bedeutung ihrer Verpflichtung aus der Datenschutzgrundverordnung jedenfalls fahrlässig grob verkennt, ist zu Lasten der Klägerin zu berücksichtigen, dass sie die tatsächliche Erlangung der ihr nach Art. 15 Abs. 1 DSGVO zustehenden Informationen in Erkennung des Umstandes, dass die Beklagte diesem Auskunftsbegehren nicht ohne Weiteres nachkommen wird, bislang nicht konsequent verfolgt hat. Nachdem die Beklagte im August 2020 Arbeitsnachweise erteilt hat, hat die Klägerin den Auskunftsanspruch insoweit für erledigt erklärt. Sie hat aber in der Folgezeit davon abgesehen, ihr Auskunftsverlangen im Weiteren gerichtlich geltend zu machen, um eine tatsächliche Durchsetzung zu erreichen. Vielmehr hat die Klägerin sich darauf beschränkt, unter Berufung auf die fehlende Auskunft einen immateriellen Schadensersatzanspruch gerichtlich einzuklagen. Ihr Prozessverhalten deutet für die Berufungskammer darauf hin, dass die tatsächliche Erlangung einer Kontrolle über die von ihr verarbeiteten personenbezogenen Daten nicht ihr primäres Ziel ist. Es drängt sich vielmehr für die Berufungskammer der Eindruck auf, dass es ihr in dem außergerichtlichen Schreiben vom 30.01.2020 maßgeblich um die Herausgabe der Arbeitsaufzeichnungen zum Zwecke der Bezifferung einer beabsichtigten Überstundenklage ging. Obwohl sie durch die nach wie vor ausstehende Auskunft nach wie vor keine Kontrolle über ihre personenbezogenen Daten hat, die bei der Beklagten – auch nach Beendigung des Arbeitsverhältnisses – gegebenenfalls weiter verwendet werden, lässt das Verhalten der Klägerin nicht erkennen, dass dieser Umstand als solcher eine besondere Belastung für sie darstellt, die nicht jedenfalls mit der Zahlung eines Schadensersatzbetrages kompensiert werden könnte. Insbesondere ist nicht erkennbar, dass die Klägerin beabsichtigt, die tatsächliche Erteilung der Auskunft auch im Falle der Zahlung eines Schadensersatzes durch die Beklagte weiterzuverfolgen. Dies deutet darauf hin, dass ihre persönliche Betroffenheit im Hinblick auf die fehlende Möglichkeit der Kontrolle ihrer personenbezogenen Daten überschaubar ist und Zweifel an der Nachhaltigkeit des Auskunftsverlangens berechtigt erscheinen. Dieser Umstand ist bei der Bemessung der Höhe des immateriellen Schadensersatzes - anders als bei der Frage des Entstehens eines solchen - zu berücksichtigen.

Inwieweit die Höhe des Schadensersatzes auch von dem nach Art. 4 Ziffer 7 DSGVO Verantwortlichen und dessen Finanzkraft abhängen mag (so ArbG Düsseldorf 5. März 2020 – 9 Ca 6557/18), kann dahinstehen. Keine der Parteien hat vorliegend Angaben diesbezüglich getätigt. Der Umstand, dass es sich bei der Beklagten um einen Kleinbetrieb handelt, hat für sich genommen keine Aussagekraft hinsichtlich der Finanzkraft des Unternehmens.

Unter Berücksichtigung all dessen hat die Kammer für den Verstoß der Beklagten gegen Art. 15 Abs. 1 DSGVO insgesamt einen Schadensersatzanspruch in Höhe von 1.000,00 Euro angesetzt.


Den Volltext der Entscheidung finden Sie hier:

OLG Bremen: Schadensersatz nach Art. 82 DSGVO nur wenn materieller oder immaterieller Schaden entstanden ist und substantiiert vorgetragen wird

OLG Bremen
Beschluss vom 16.07.2021
1 W 18/21


Das OLG Bremen hat entschieden, dass Schadensersatz nach Art. 82 DSGVO nur verlangt werden kann, wenn ein materieller oder immaterieller Schaden tatsächlich entstanden ist substantiiert vorgetragen wird.

Aus den Entscheidungsgründen:
"Die sofortige Beschwerde der Antragstellerin vom 29.03.2021 gegen den Beschluss des Landgerichts vom 22.02.2021 war aus den zutreffenden Gründen der angegriffenen Entscheidung sowie des Nichtabhilfebeschlusses vom 23.04.2021 zurückzuweisen. Der Antragstellerin war die begehrte Prozesskostenhilfe zu versagen, da sie weiterhin keinen Sachverhalt vorgetragen hat, aufgrund dessen sich das Vorliegen hinreichender Erfolgsaussichten für die Rechtsverfolgung der Antragstellerin als Voraussetzung für die Bewilligung von Prozesskostenhilfe nach § 114 ZPO ergeben würde. Die Antragstellerin verkennt, dass nach Art. 82 der Datenschutz-Grundverordnung (Verordnung (EU) 2016/679 vom 27.04.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG, nachfolgend: DSGVO) ein Anspruch auf Schadensersatz voraussetzt, dass einer natürlichen Person wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist.
Dem Vorbringen der Antragstellerin ist lediglich ein Vortrag zu einem geltend gemachten Verstoß gegen die Bestimmungen der DSGVO zu entnehmen, dagegen fehlt es an jeglichem Vorbringen zu einem der Antragstellerin hierdurch entstandenen immateriellen Schaden. Einer Vorlage an den Europäischen Gerichtshof bedurfte es bereits im Hinblick auf den eindeutigen Wortlaut des Art. 82 DSGVO nicht: Anders als in der Entscheidung des Bundesverfassungsgerichts vom 14.01.2021 (siehe BVerfG, Beschluss vom 14.1.2021 – 1 BvR 2853/19, juris Rn. 21, NJW 2021, 1005) liegt den vorstehenden Erwägungen nicht die Annahme einer Erheblichkeitsschwelle für den Schadensbegriff des Art. 82 DSGVO zugrunde, sondern es fehlt bereits an jeglichem Vorbringen zu einem der Antragstellerin durch die geltend gemachte Rechtsverletzung entstandenen Schaden. Im Übrigen ist Art. 267 Abs. 3 AEUV eine Vorlagepflicht der einzelstaatlichen Gerichte nur in solchen Verfahren zu entnehmen, in denen die Entscheidungen dieser Gerichte selbst nicht mehr mit Rechtsmitteln des innerstaatlichen Rechts angefochten werden können. Im vorliegenden Verfahren über die Bewilligung von Prozesskostenhilfe gilt aber ebenso wie im Verhältnis zwischen Verfahren des einstweiligen Rechtsschutzes und den Hauptsacheverfahren, dass keine Vorlagepflicht besteht, wenn die zu erlassende Entscheidung das Gericht, dem der Rechtsstreit danach in einem Hauptsacheverfahren vorgelegt wird, nicht bindet und den Parteien eine erneute Überprüfung der zunächst nur vorläufig entschiedenen Frage offensteht (siehe BVerfG, Beschluss vom 19.10.2006 – 2 BvR 2023/06, juris Rn. 13, EuR 2006, 814)."


Den Volltext der Entscheidung finden Sie hier: