Skip to content

LG Köln: 1.200 EURO Schadensersatz aus Art. 82 Abs. 1 DSGVO wenn Verantwortlicher Zugangsdaten eines ehemaligen IT-Dienstleister nicht zeitnah löscht

LG Köln
Urteil vom 18.05.2022
28 O 328/21


Das LG Köln hat in diesem Fall entschieden, dass der Betroffene einen Anspruch auf 1.200 EURO Schadensersatz aus Art. 82 Abs. 1 DSGVO hat, da der Verantwortliche die Zugangsdaten eines ehemaligen IT-Dienstleister nicht zeitnah gelöscht hatte.

Aus den Entscheidungsgründen:

Der Kläger hat im tenorierten Umfang Anspruch auf Ersatz eines immateriellen Schadens aus Art. 82 Abs. 1 DSGVO. Nach dieser Vorschrift hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

Die Beklagte hat dadurch, dass sie die der Fa. C. zur Verfügung gestellten Zugangsdaten nach Ende der Vertragsbeziehung nicht änderte, gegen ihre Verpflichtung aus Art. 32 DSGVO sowie aus Art. 5 DSGVO verstoßen. Nach Art. 32 DSGVO haben der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Gemäß Art. 5 Abs. 1 lit. f) DSGVO müssen personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“).

Die Kammer nimmt einen Verstoß gegen diese Vorgaben aufgrund des zwischen den Parteien unstreitigen Umstandes an, dass die der Fa. C. zur Verfügung gestellten Zugangsdaten nach Beendigung der vertraglichen Beziehung zu der Vertragspartnerin über mehrere Jahre nicht verändert wurden. Damit schuf die Beklagte das Risiko, dass die Daten der Betroffenen nicht nur im Falle von ihr selbst zu verantwortender Unzulänglichkeiten, sondern auch durch von Seiten von Mitarbeitern der C. vorsätzlich oder fahrlässig ermöglichte Zugriffe einem Missbrauch ausgesetzt waren. Die Beklagte kann sich angesichts der Sensibilität der gespeicherten Kundendaten insbesondere nicht darauf berufen, sie habe davon ausgehen können, dass die Daten seitens C. dauerhaft und vollständig gelöscht werden würden (so auch in einem Parallelfall LG München I, Urt. v. 9.12.2021, 31 O 16606/20, juris, Rn. 36). Jedenfalls wäre eine Überprüfung der Löschung angezeigt gewesen, die die Beklagte aber ebenfalls nicht vorträgt.

Das der Beklagten anzulastende Versäumnis war – was ausreichend ist – jedenfalls mitursächlich für den dem Kläger entstandenen Schaden (vgl. LG München I a.a.O. Rn. 39).

Dem Kläger entstand auch ein Schaden im Sinne des Art. 82 DSGVO. Die Erwägungsgründe 75 und 85 DS-GVO zählen beispielhaft auf, welche konkreten Beeinträchtigungen einen "physischen, materiellen oder immateriellen Schaden" darstellen können, so etwa Diskriminierung, Identitätsdiebstahl oder -betrug, finanzieller Verlust, Rufschädigung, unbefugte Aufhebung einer Pseudonymisierung oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile. Nach Erwägungsgrund 146 DS-GVO muss der Begriff des Schadens zudem "im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht" und die "betroffenen Personen sollen einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten". Im Vordergrund steht hier eine abschreckende Wirkung des Schadensersatzes, die insbesondere durch dessen Höhe erreicht werden soll. Dieser Gedanke wird auch aus Art. 4 III EUV abgeleitet. Danach sind die Mitgliedstaaten angehalten, Verstöße wirksam zu sanktionieren, weil nur so eine effektive Durchsetzung des EU-Rechts – und damit auch der DS-GVO – gewährleistet ist (LG München I a.a.O. Rn. 41 mit w.N.).

Aufgrund des dem Kläger mit Schreiben vom 19.10.2020 mitgeteilten Umfangs der entwendeten persönlichen Daten geht die Beklagte ausweislich dieses Schreibens selbst davon aus, dass versucht werden konnte, die Betroffenen zu bestimmten Verhaltensweisen zu bewegen, insbesondere zur Preisgabe von weiteren vertraulichen Informationen oder Zahlungen zu veranlassen, sowie dass die Gefahr bestand, dass es mit Hilfe der Daten zu Identitätsmissbrauchsversuchen kommen würde. Auf die weiteren, teilweise zwischen den Parteien streitigen, Umstände der tatsächlichen oder gefühlten Beeinträchtigung des Klägers durch den Vorfall kommt es nach Auffassung der Kammer vor diesem Hintergrund nicht maßgeblich an.

Für die Bemessung der Höhe des Schadensersatzes können die Kriterien des Art. 83 Abs. 2 herangezogen werden, wie etwa die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung, die betroffenen Kategorien personenbezogener Daten, wobei die Ermittlung im Übrigen dem Gericht nach § 287 ZPO obliegt (LG München I a.a.O. Rn. 44 m.w.N.).

Hier war bei der Bemessung der Höhe zu berücksichtigen, dass ein Missbrauch der Daten zu Lasten des Klägers bislang nicht festgestellt werden musste, und es daher einstweilen bei einer Gefährdung geblieben ist. Wie vom LG München I a.a.O. zutreffend herausgearbeitet, muss allerdings auch die Absicht des EU-Verordnungsgebers berücksichtigt werden, mit Hilfe des Schadensersatzanspruchs eine abschreckende Wirkung zu erzielen. Zu Gunsten der Beklagten fällt allerdings – wie in der mündlichen Verhandlung bereits ausgeführt, ins Gewicht, dass der ihr zuzurechnende Datenschutzverstoß nur eine von mehreren Ursachen war, die erst im Zusammenwirken den Schadenseintritt bewirkten. Denn hinzu kam ein weiterer mindestens fahrlässiger Verstoß bei der Fa. C. sowie nicht zuletzt das vorsätzliche rechtswidrige Vorgehen der Hacker selbst. Zu berücksichtigen ist auch, dass die Beklagte dem Kläger vorübergehend das „meine Schufa Plus“ Angebot finanzierte. Unter Abwägung der maßgeblichen Gesichtspunkte erachtet die Kammer damit eine Schadensersatzzahlung in der tenorierten Höhe für angemessen.


Den Volltext der Entscheidung finden Sie hier:


OLG Koblenz: Höhe des immateriellen Schadensersatzanspruchs aus Art 82 DSGVO ist unter Berücksichtigung seiner Funktion zum Ausgleich, zur Genugtuung und zur Generalprävention zu bestimmen

OLG Koblenz
Urteil vom 18.05.2022
5 U 2141/21


Das OLG Koblenz hat entschieden, dass die Höhe des immateriellen Schadensersatzanspruchs aus Art 82 DSGVO unter Berücksichtigung seiner Funktion zum Ausgleich, zur Genugtuung und zur Generalprävention zu bestimmen ist.

Leitsätze des Gerichts:

1. Der immaterielle Schadensersatzanspruch nach Art 82 DSGVO bestimmt sich der Höhe nach unter Berücksichtigung seiner Funktion zum Ausgleich, zur Genugtuung und zur Generalprävention.

2. Die Höhe muss berücksichtigen, dass der Einmeldung von Zahlungsstörungen auch im Verbraucherinteresse liegt, so dass die Verantwortlichen durch die Höhe des immateriellen Schadensersatzes nicht gänzlich davon abgehalten werden dürfen, Einmeldungen vorzunehmen.

Aus den Entscheidungsgründen:

a) Der Begriff des immateriellen Schadens im Sinne von Art. 82 Abs. 1 DSGVO ist - europarechtlich autonom und die in den Erwägungsgründen zur DSGVO niedergelegten Zielsetzungen aufnehmend - weit auszulegen.

Bereits aus dem Wortlaut der Norm ergibt sich, dass ein immaterieller Schadensersatzanspruch kausale Folge der Pflichtverletzung sein kann. Er ist allerdings von den materiellen Schäden, etwa wegen einer verweigerten oder nur zu ungünstigeren Bedingungen zustande gekommenen Kreditgewährung oder der Versagung bestimmter Zahlungsmethoden mit der Folge höherer Transaktionskosten, abzugrenzen und zu unterscheiden. Diese Trennung gelingt der Beklagten in ihren Erwägungen zur Höhe des Anspruches nicht immer.

Andererseits spricht der Wortlaut der Norm dafür, dass der europäische Gesetzgeber nicht davon ausgeht, dass schon allein die Pflichtverletzung den materiellen Schaden begründet (so auch Laoutoumai, K&R 2022, 25, 27; LG Saarbrücken v. 22.11.2021, 5 O 151/19 in seinem Vorlagebeschluss an den EuGH). Ein Anspruch auf den Schadensersatz besteht nämlich nur, wenn „ein materieller oder immaterieller Schaden entstanden ist“. Dieser Differenzierung im Wortlaut hätte es nicht bedurft, wenn bereits der Verstoß konstitutiv für den Anspruch wäre. Insoweit folgt der Senat nicht dem Bundesarbeitsgericht (26.08.2021, 8 AZR 253/20, Rn. 33 - juris), welches annimmt, dass „bereits die Verletzung der DSGVO selbst zu einem auszugleichenden immateriellen Schaden“ führt. Es muss mithin ein irgendwie gearteter immaterieller Schaden entstanden sein. Zwar geht der Anspruch dann in seiner Zielrichtung über einen erlittenen Schaden heraus, verzichtet aber aufgrund weitergehender Zielsetzungen hierauf nicht. Insoweit bleibt Grundlage des Anspruchs ein Individualrecht zu schützen. Art 82 DSGVO ist nicht Teil des kollektiven Rechtsschutzes. Das wirft die Frage auf, wann von einem erlittenen Schaden auszugehen ist.

Diese Fragestellung ist von der Annahme abzugrenzen, im Rahmen von Art. 82 Abs. 1 DSGVO sei eine Bagatellgrenze zu berücksichtigen. Eine Bagatellgrenze normiert Art. 82 Abs. 1 DSGVO seinem Wortlaut nach nicht und eine solche erscheint auch im Übrigen nicht angezeigt. Schon im nationalen Recht wurden einer solchen Grenze im Rahmen der Schuldrechtsreform 2002 verfassungsrechtliche Bedenken entgegengehalten (Ebert in: Erman, BGB, 16. Aufl. 2020, § 253 BGB, Rn. 14a). Der Gesetzgeber verwarf solche Ansätze deshalb (BT-Drucks. 14/8780). Ist ein immaterieller Schaden entstanden, ist dessen Schwere im Rahmen der Höhe des Ersatzanspruches zu berücksichtigen, nicht aber bei einer notwendigerweise nur willkürlich zu setzenden Bagatellgrenze zu finden. Soweit der BGH eine Korrektur aus Gründen der Billigkeit angenommen hat (BGH NJW 1992, 1043, Rn. 8; BGH NJW 1993, 2173) beruhte dies einerseits auf einer heute nicht mehr gültigen Norm (§ 847 BGB) und knüpfte andererseits nicht an einer Bagatellgrenze an, sondern an dem Umstand, dass weder die Ausgleichs- noch die Genugtuungsfunktion derart tangiert waren, dass ein immaterieller Schaden überhaupt entstanden ist. Es fehlt also in der zuletzt genannten Konstellation an einem „erlittenen Schaden“.

Da der bisherige § 8 Abs. 2 BDSG, der den Ersatz immaterieller Schäden von einer schweren Verletzung des Persönlichkeitsrechts des Betroffenen abhängig machte, nicht mehr anwendbar ist, kann auf die dazu ergangene Rechtsprechung zum Schadensbegriff nicht zurückgegriffen werden. Insoweit ist auch die nationale Rechtsprechung, die daran - teilweise bei nur verbaler Distanzierung - festhält (vgl. OLG Dresden v. 12.1.2021, 4 U 1600/20, Rn. 31 - juris; OLG Dresden v. 20.08.2020, 4 U 784/20, Rn. 32 - juris; AG Hannover v. 09.03.2020, 531 C 10952/19, Rn. 21 ff. - juris; AG Frankfurt a.M. v. 10.07.2020, 385 C 155/19, Rn. 28 - juris), abzulehnen.

Die Kategorien des nationalen Schadensersatzrechtes sind mithin nicht zielführend, um den Begriff des immateriellen Schadensersatzes im Sinne des Art. 82 DSGVO europarechtlich autonom auszulegen. Der Schadensbegriff des Art. 82 Abs. 1 DSGVO ist ein europarechtlicher Begriff, bei dessen Ausfüllung nicht auf nationale Erheblichkeitsschwellen oder andere Einschränkungen abgestellt werden darf (vgl. Kühling/Buchner/Bergt, 3. Aufl. 2020, DS-GVO Art. 82 Rn. 18a-18b).

Der Begriff des Schadens soll nach dem Erwägungsgrund 146 S. 3 EU-DSGVO „im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht.“ Daraus kann abgeleitet werden, dass der nach Abs. 1 bereits weite – weil Ansprüche aus § 253 BGB bereits umfassende – Schadensbegriff im Zweifel nicht begrenzend auszulegen sein wird (vgl. Paal/Pauly/Frenzel, 3. Aufl. 2021, DS-GVO Art. 82 Rn. 10). Einen Ausschluss vermeintlicher Bagatellschäden sieht die DSGVO nicht vor.

Der immaterielle Schadensersatz ist mithin auch ein Instrument, um die Ziele der DSGVO, wie sie in deren Art. 1 niedergelegt sind, unter dem Schutzzweck des Individualrechtsschutzes zu verwirklichen. Kern ist danach der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten im Schutzbereich der Grundrechte und der Grundfreiheiten im konkreten Einzelfall.

Der Funktion eines immateriellen Schadensersatzanspruches dienend, sind deshalb verschiedene Aspekte in die Bemessung des immateriellen Schadensersatzes der Höhe nach einzube-

ziehen. Zunächst die immaterielle und individuelle Ausgleichsfunktion wegen der Schutzgutverletzung, sodann die den Verstoß feststellende Genugtuungsfunktion und letztlich die generalpräventive Einwirkung auf den Schädiger zur künftigen Beachtung des Datenschutzes. In diesem Sinne kommt Art. 82 DSGVO kein Strafcharakter zu - dieser ist vielmehr das staatliche Gewaltmonopol respektierend in Art. 84 DSGVO niedergelegt, sehr wohl aber eine Anreizfunktion für den Verantwortlichen, hinreichende Sicherungsmaßnahmen zum Schutz der personenbezogenen Daten der betroffenen Person zu treffen.

Wegen der in Erwägungsgrund 146 S. 3 geforderten weiten Auslegung sieht der Senat mit Stimmen in der Literatur bereits in dem unguten Gefühl der Ungewissheit, ob personenbezogene Daten Unbefugten bekannt geworden sind, einen erlittenen immateriellen Schaden. Potentielle Schäden sind deshalb beispielsweise Ängste, Stress sowie Komfort- und Zeiteinbußen und die potentielle Stigmatisierung, die Diskriminierung, die Rufschädigung und der Verlust von Vertraulichkeit durch einen Negativeintrag bei einer Auskunftei, ohne dass dieser an Dritte übermittelt wird (vgl. hierzu auch Kühling/Buchner/Bergt, 3. Aufl. 2020, DS-GVO Art. 82 Rn. 18a-18b; Quaas, BeckOK Datenschutzrecht, 39. Ed., Stand 01.11.2021, Rn. 24). Dieser immaterielle Schaden, auch, wenn er im Einzel- und Regelfall niederschwellig sein wird, ist auszugleichen. Einen Schaden erst dann anzunehmen, wenn es zu einer mit einer unrechtmäßigen Zugänglichmachung von Daten liegenden (öffentlichen) Bloßstellung, einem Identitätsdiebstahl, einer Weitergabe sensibler Informationen oder einer anderen ernsthaften Beeinträchtigung für das Selbstbild oder Ansehen einer Person kommt, und ein besonderes immaterielles Interesse zu verlangen, das über den allein durch die Verletzung an sich hervorgerufenen Ärger oder sonstige Gefühlsschäden hinausgeht, verkennt den autonom und nach Erwägungsgrund 146 ausdrücklich weit auszulegenden Begriff des Schadens (Kühling/Buchner/Bergt, 3. Aufl. 2020, DS-GVO Art. 82 Rn. 18a-18b) und missachtet den individuellen Ausgleichsanspruch im Hinblick auf die aufgezeigten Folgen. Eine solche Sichtweise greift also zu kurz. Die vorgenannten Beschränkungen bleiben bei der Frage nach dem Schadensersatzanspruch dem Grunde nach außer Betracht, sondern sind erst im Kontext der Höhe des Ersatzanspruches zu berücksichtigen. Maßgeblich ist, ob die betroffene Person mit dem Beweismaß des § 286 ZPO die immaterielle Betroffenheit darlegen und nachweisen kann. Deren Intensität ist dann mit dem Beweismaß des § 287 ZPO bei der Höhe des Anspruches zu berücksichtigen. Erst hier kommen dann die weiter denkbaren immateriellen Beeinträchtigungen der Bloßstellung oder das notwendige Schutzniveau der betroffenen Daten zum Tragen.

Die Genugtuungsfunktion kommt dann - ergänzend - zum Tragen, wenn es zu einer tatsächlichen Beeinträchtigung der Schutzgüter im Verhältnis zu Dritten im Sinne einer Verwendung der pflichtwidrig verarbeiteten personenbezogenen Daten gegenüber Dritten gekommen ist. Hier greift also nicht (nur) die Sorge vor der Stigmatisierung, Diskriminierung oder Rufschädigung, sondern das in dem Datenschutzverstoß liegende Risiko hat sich nun verwirklicht. Das steigert einerseits die Anforderungen an die Ausgleichsfunktion und begründet zugleich innerhalb des

einheitlich zu bestimmenden immateriellen Ersatzanspruchs die Genugtuung als Bestimmungsmerkmal für die Höhe. Genau diese Verarbeitung unter Beteiligung Dritter bewirkt die zu korrigierende Bloßstellung außerhalb dadurch verursachter materieller Schäden. Dies kann bei der Konfrontation mit Negativauskünften bei einer Kreditanfrage ebenso der Fall sein, wie bei der Bewerbung um eine Mietwohnung oder negativen Auskünften im Rahmen eines Arbeitsverhältnisses. Auch die Verweigerung von Postpaid-Angeboten wegen negativer Scores kann hierzu gehören. Die betroffene Person hat auf der Grundlage der ihr zustehenden Auskunftsansprüche nach Art. 15 DSGVO regelmäßig keine Schwierigkeiten die Verarbeitung der Daten gegenüber Dritten nachzuweisen und auf dieser Grundlage die Genugtuungsfunktion geltend zu machen.

Nicht übersehen werden darf die generalpräventive Wirkung des immateriellen Schadensersatzanspruches. Im Spannungsfeld zwischen dem Risiko der entgeltlichen Sanktionierung von folgenlosen Verstößen gegen die DSGVO durch einen immateriellen Schadensersatzanspruch nach Art. 82 DSGVO, den Aufgaben des kollektiven Rechtsschutzes durch Aufsichtsbehörden mit den Sanktionsmöglichkeiten nach Art 84. DSGVO, dem Verhältnismäßigkeitsgrundsatz und dem Grundsatz, die gleiche Pflichtverletzung mit der gleichen Zielsetzung nicht doppelt zu sanktionieren, muss dem Grundanliegen der DSGVO, schon die Verarbeitung der Daten im Kontext der Schutzzwecke zu gewährleisten, Rechnung getragen werden. Schon bei der Bestimmung der Zwecke, den angenommenen Rechtsfertigungsgründen und der ggfs. vorzunehmenden Datenschutzfolgeabwägung muss das Schutzniveau auch durch den immateriellen Schadensersatzanspruch effektiv gewahrt werden. Hier gilt es also im Lichte des immateriellen Schadensersatzanspruches nach Art. 82 DSGVO Anreize zu schaffen, dass das Schutzniveau so hoch ist, dass es zur Realisierung des Schadensersatzrisikos erst gar nicht kommt. Dabei muss die generalpräventive Wirkung sich nicht in besonders hohen immateriellen Schadensersatzansprüchen niederschlagen, sondern kann gerade in der Breitenwirkung - auch kleine Verstöße werden ohne Bagatellgrenze sanktioniert - ihre Funktion erfüllen. Wo Menschen arbeiten, passieren Fehler. Kommt es hierzu im Einzelfall, ist die geringere Sanktion verhältnismäßig und gleichwohl spürbar und damit effektiv. Kommt es dagegen zu vielfachen Pflichtverletzungen und Rechtsverstößen, wird sich aus vielen kleinen Ansprüchen - zumal diese auch sowohl kollektiv als im Rahmen von Legal-Tech-Angeboten sehr breit geltend gemacht werden -, schnell ein großer finanzieller Verlust bei dem betroffenen Unternehmen einstellen. Bei großer oder größerer Quantität der Pflichtverletzungen wird also auch eine höhere Effektivität kleinerer Schadensersatzansprüche im Einzelfall erreicht. Dabei muss auch das weiter in Art. 1 DSGVO formulierte Ziel gesehen werden, den freien Verkehr von Daten sehr wohl zu ermöglichen. Bonitätsprüfungen schützen nicht nur Wirtschaftsunternehmen vor leistungsunfähigen und leistungsunwilligen Kunden, sondern auch Verbraucher vor einer übermäßigen Verschuldung gerade im bargeldlosen Zahlungsverkehr. Die generalpräventive Wirkung darf in der Bemessung des immateriellen Schadensersatzes deshalb nicht dazu führen, dass wegen des Schadensersatzrisikos keine Einmeldungen bei Wirtschaftsauskunfteien mehr erfolgen, weil dann andere Schutzzwecke negativ tangiert werden. Der in seinen finanziellen Verhältnissen nicht gefestigte Verbraucher soll

durch Einmeldungen davor geschützt werden, schnell in die Verschuldung zu geraten. Die Warnfunktion durch die Beschränkung kreditierter Geschäfte ist ein Baustein, um dies zu gewährleisten. In diesem Kontext ist dann auch zu bewerten, dass die Zuerkennung immateriellen Schadensersatzes nicht die einzige Sanktionsform gegenüber dem pflichtwidrig handelnden Unternehmen darstellt, gerade dann, wenn über Beschwerden an Aufsichtsbehörden beharrliche Rechtsverstöße festzustellen sind. Auch darf am Ende keine Motivation bestehen, wegen hoher immaterieller Ersatzansprüche Datenschutzverstöße zu provozieren, insbesondere, wenn schon ein geringes Verschulden oder sogar nur der objektive Pflichtverstoß den Anspruch auslöst. Bei der Bewertung der generalpräventiven Wirkung in der Bemessung des immateriellen Schadensersatzanspruches der Höhe nach ist deshalb auch zu berücksichtigen, inwieweit im konkreten Einzelfall die verfolgten Ziele schon durch Ausgleich und Genugtuung erreicht sind oder es einer überschießenden Wirkung bedarf.


Den Volltext der Entscheidung finden Sie hier:


LG Berlin: Kein Schadensersatz aus Art. 82 DSGVO wegen Recherche nach einer Adresse bei Google Maps - Adresse allein fehlt es schon am Personenbezug

LG Berlin
Urteil vom 27.01.2022
26 O 177/21


Das LG Berlin hat entschieden, dass kein Anspruch auf Schadensersatz aus Art. 82 DSGVO wegen der Recherche nach einer Adresse bei Google Maps besteht. Der Adresse allein fehlt es schon am Personenbezug

Aus den Entscheidungsgründen:
I. Die Klägerin hat keinen Schadensersatzanspruch gemäß Art. 82 DSGVO.

Gemäß Art. 82 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

Es fehlt bereits an einem Verstoß gegen die Datenschutzgrundverordnung. Insbesondere hat der Beklagte weder personenbezogene Daten entgegen Art. 5 DSGVO nicht rechtmäßig verarbeitet noch liegt eine unzulässige Übermittlung von personenbezogenen Daten in einen Drittstaat und damit ein Verstoß gegen Art. 44 DSGVO vor.

Es ist bereits unklar, welche genauen Adressdaten die Richterin bei Google Maps eingegeben hat. Auch wenn bereits die Angabe „...straße, ... Berlin“ ausreichen könnte, um dann zu dem entsprechenden Hausgrundstück mit der Nr. ... in Google Maps zu „wandern“, mag hier unterstellt werden, dass die Richterin die Daten „...straße ..., ... Berlin“ eingegeben hat. Doch auch bei der bloßen Nutzung der Anschrift „...straße ..., ... Berlin“ auf der Website von Google fehlt es an einem personenbezogenen Datum.

„Personenbezogene Daten“ sind gemäß Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.

In der bloßen Eingabe einer (puren) Adresse ist noch kein personenbezogenes Datum zu erblicken. Denn die bloße Adresse ohne Bezugnahme auf eine Person – sei es durch namentliche Nennung, sei es durch die Bezugnahme auf ein diese Adresse betreffendes Eigentums-, Besitz- oder Mietverhältnis o.ä. – stellt keinen hinreichenden Personenbezug dar. Hierbei ist zu berücksichtigen, dass der Zweck der DSGVO der Schutz der Grundrechte natürlicher Personen bei der Verarbeitung der ihnen zugeordneten Daten ist, nicht ein wie auch immer gearteter Schutz der Daten selbst oder wirtschaftlicher oder anderer Interessen der datenverarbeitenden Organisationen. Die Begriffsbestimmungen und andere Regelungen der DSGVO sind daher immer vor dem Hintergrund des möglichen Effekts der Verarbeitung von personenbezogenen Daten auf die betroffenen Personen zu verstehen (Ehmann/Selmayr/Klabunde, 2. Aufl. 2018, DSGVO Art. 4 Rn. 7).

Ohne dass dies entscheidungserheblich wäre, gesteht die Klägerin im Übrigen auf S. 5 f. ihres Schriftsatzes vom 26. Juli 2021 selbst zu, dass die „zugänglichen Luftbildaufnahmen (Google Maps oder Google Earth) der Kreuzungssituation … schon keine personenbezogenen Daten“ darstellen. Ein rechtlich relevanter Unterschied der dort abgerufenen Luftbilder einer Kreuzung in Nordrhein-Westfalen, die auch über die Eingabe der an die Kreuzung angrenzenden Adresse in Google Maps lokalisiert worden sein dürfte, und der hier abgerufenen Luftbilder in Berlin erschließt sich nicht. Soweit die Klägerin hierzu in der mündlichen Verhandlung vorgetragen hat, dass im dortigen Fall auch nicht die Adresse eines Verfahrensbeteiligten „gegoogelt“ worden sei, stellt sich die datenschutzrechtliche Situation hier nicht anders dar. Denn auch hier wurde von der Richterin am Amtsgericht Pankow/Weißensee nicht ein Bezug zwischen Verfahrensbeteiligung/-stellung einer Person und der eingegebenen Adresse hergestellt.

II. Auch ein Amtshaftungsanspruch aus § 839 BGB, Art. 34 GG ist nicht gegeben, weil es bereits an einer Amtspflichtverletzung durch die Richterin am Amtsgericht Pankow-Weißensee fehlt.

Den Volltext der Entscheidung finden Sie hier:



LAG Berlin-Brandenburg: 2.000 EURO Schadensersatz aus Art. 82 DSGVO wegen verspäteter oder unvollständiger Auskunft nach Art. 15 DSGVO

LAG Berlin-Brandenburg
Urteil vom 18.11.2021
10 Sa 443/21

Das LAG Berlin-Brandenburg hat dem Betroffenen in diesem Fall 2.000 EURO Schadensersatz aus Art. 82 DSGVO wegen verspäteter bzw. unvollständiger Auskunft nach Art. 15 DSGVO zugesprochen.

Aus den Entscheidungsgründen:
Die Berufung des Klägers ist aber nur teilweise begründet.

Zutreffend hat die Beklagte in der Berufungserwiderung die jeweiligen Prüffragen für den geltend gemachten Anspruch aufgeworfen.

1. Liegt ein Verstoß gegen Art. 15 DSGVO vor?
2. Ist die Beklagte für einen etwaigen Verstoß verantwortlich?
3. Ist beim Kläger ein Schaden entstanden?
4. Gibt es eine Kausalität zwischen einem etwaigen Verstoß der Beklagten gegen Art. 15 Abs. 1 DSGVO und einem etwaigen beim Kläger eingetretenen Schaden?
5. Trifft den Kläger ein etwaiges Mitverschulden bzw. ist der etwaige Anspruch verwirkt oder rechtsmissbräuchlich geltend gemacht?
6. Ist ggf. die geltend gemachte Entschädigungssumme angemessen?

1. Nach Art. 15 Abs. 1 DSGVO hat der Kläger grundsätzlich das Recht, von der Beklagten eine Bestätigung darüber zu verlangen, ob sie ihn betreffende personenbezogene Daten verarbeitet und ggf. auf Auskunft über diese personenbezogenen Daten und u.a. auf folgende Informationen:

a) die Verarbeitungszwecke;
b) die Kategorien personenbezogener Daten, die verarbeitet werden;
c) die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;
d) falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
e) das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
f) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
g) wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;

Diese Informationen hat die Beklagte dem Kläger nur teilweise erteilt.

2. Es mag sein, dass die Beklagte große Mengen Daten über den Kläger verarbeitet hat. Konkrete Angaben dazu hat die Beklagte nicht gemacht. Anders als das Arbeitsgericht meint, ist das in diesem Fall aber auch unerheblich, da der Kläger keine generelle Auskunft hinsichtlich der von der Beklagten über ihn gespeicherten Daten verlangt hat, sondern beschränkt auf zwei Sachverhalte.

2.1 Zum einen ging es um die Anhörung des Betriebsrates und dessen Zustimmung. Durch die Bezugnahme auf Art. 15 DSGVO war aber in jedem Fall klar und eindeutig, dass der Kläger nicht nur um das Anhörungsschreiben der Arbeitgeberin und das Antwortschreiben des Betriebsrates ging, sondern zugleich auch um die in der Vorschrift genannten weiteren Aspekte. Mit der erteilten Auskunft durch Übersendung der beiden Schreiben hat die Beklagte allenfalls die Auskunftspflicht nach Art. 15 Abs. 1 a) und b) DSGVO erfüllt. Den weitergehenden Anspruch nach Buchst. c) bis g) hat die Beklagte mit ihrer Antwort vom 23. August 2019 offensichtlich nicht erfüllt.

Weder hat die Beklagte mitgeteilt, ob und ggf. gegenüber welchen Personen oder Stellen sie den Versetzungsvorgang offengelegt hat oder noch offenlegen werde noch wann bzw. nach welchen Kriterien eine Löschung der Daten erfolgen werde. Auch auf das Bestehen eines Rechts auf Berichtigung oder Löschung der den Kläger betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch die Beklagte oder eines Widerspruchsrechts gegen diese Verarbeitung und das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde hat die Beklagte nicht hingewiesen. Da die Daten offenbar nicht beim Kläger erhoben worden waren, hätte es auch einer Information über die Herkunft der Daten bedurft, also wer jeweils an dem Vorgang beteiligt war.

2.2 Zum anderen ging es um die Abmahnung vom 29. Mai 2019. Auch hier hat die Beklagte durch die Übersendung des Antrags des Herrn A auf Erteilung einer Abmahnung und dem sogenannten Logbuch-Eintrag allenfalls die Auskunftspflicht nach Art. 15 Abs. 1 a) und b) DSGVO erfüllt. Den weitergehenden Anspruch nach Buchst. c) bis g) hat die Beklagte mit ihrer Antwort vom 23. August 2019 auch zu diesem Vorgang offensichtlich nicht erfüllt.

Weder hat die Beklagte mitgeteilt, ob und ggf. gegenüber welchen Personen oder Stellen sie den Abmahnungsvorgang offengelegt hat oder noch offenlegen werde noch wann bzw. nach welchen Kriterien eine Löschung der Daten erfolgen werde. Auch auf das Bestehen eines Rechts auf Berichtigung oder Löschung der den Kläger betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch die Beklagte oder eines Widerspruchsrechts gegen diese Verarbeitung und das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde hat die Beklagte den Kläger nicht hingewiesen. Da die Daten offenbar nicht beim Kläger erhoben worden waren, hätte es auch einer Information über die Herkunft der Daten bedurft, also wer jeweils an dem Vorgang beteiligt war.

3. Dass diese Informationen fehlen, ist offensichtlich. Denn durch einen einfachen Blick in den Text des Art. 15 Abs. 1 DSGVO hätte die Beklagte feststellen können, was der Kläger von ihr verlangt. Insofern ist die Beklagte auch für die unzureichende Information und damit den Verstoß gegen Art. 15 Abs. 1 DSGVO verantwortlich.

4. Wie der Kläger zutreffend ausgeführt hat, liegt bei ihm ein Schaden vor. Unter Bezugnahme auf eine Entscheidung des LAG Niedersachsen vom 22. Oktober 2021 – 16 Sa 761/20 besteht unabhängig von dem Erreichen einer Erheblichkeitsschwelle bei Verstößen gegen Regelungen der DSGVO ein immaterieller Schadensersatzanspruch. Hierbei ist zu berücksichtigen, dass gerade ausgehend von Erwägungsgrund 146 Satz 3 zur DSGVO eine weite Auslegung geboten ist, um den Zielen der Verordnung in vollem Umfang zu entsprechen. Hiermit wäre es unvereinbar, würde eine Schadensersatzpflicht nur bei erheblichen Rechtsverstößen eintreten, da dann eine Vielzahl von Fallgestaltungen denkbar wäre, in denen Betroffene trotz Verstößen gegen die Regelungen der DSGVO keine Kompensation erhielten. Ferner kann, um die Regelungen der DSGVO effektiv durchzusetzen, auch auf eine abschreckende Wirkung des Schadensersatzes abgestellt werden (vgl. EuGH 17. Dezember 2015 – C-407/14 – Rn. 44). Zudem sollen die betroffenen Personen nach Erwägungsgrund 146 Satz 3 einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten. Dass ein Schaden erlitten ist, ergibt sich nicht erst bei Überschreiten einer gewissen Erheblichkeitsschwelle - der Schwere der Pflichtverstöße und damit einhergehenden Beeinträchtigungen kann vielmehr effektiv auf Ebene der Höhe des Schadensersatzes begegnet werden.

Indem die Beklagte ihrer Auskunftsverpflichtung inhaltlich nicht hinreichend nachgekommen ist, hat der Kläger keine ausreichenden Kenntnisse über die Verarbeitung seiner personenbezogenen Daten erlangt. Insofern ist ein Kontrollverlust eingetreten und ihm wurde die Möglichkeit der Überprüfung der Rechtmäßigkeit der Verarbeitung seiner personenbezogenen Daten unmöglich gemacht oder erschwert.

5. Die Kausalität zwischen der unzureichenden Auskunft der Beklagten und der Ungewissheit beim Kläger, welche Daten bei der Beklagten bezüglich der zwei konkret benannten Sachverhalte verarbeitet worden sind, liegt auf der Hand. Es bedurfte keines ergänzenden Auskunftsverlangens, da allein der Blick in den Verordnungstext ausreicht, um die Unvollständigkeit der Auskunft zu erkennen.

6. Der Anspruch des Klägers ist auch nicht verwirkt oder aus anderem Grunde rechtsmissbräuchlich geltend gemacht worden. Zwar ist es ungewöhnlich, dass der Kläger bereits mit der Klageschrift sein Schreiben vom 22. Juli 2019 und das Antwortschreiben der Beklagten vom 23. August 2019 eingereicht hat, ohne diesbezüglich einen Streitgegenstand hinsichtlich Art. 15 DSGVO zu eröffnen. Dadurch mag ein für die Verwirkung erforderliches Zeitmoment zwischen dem 23. August 2019 und dem 21. Dezember 2020 entstanden sein. Ein darüber hinaus erforderliches Umstandsmoment ist jedoch weder vorgetragen noch ersichtlich. Da sich die beiden Schreiben nicht nur mit Art. 15 DSGVO, sondern auch mit der Rückgängigmachung der Versetzung und der Entfernung der Abmahnung aus der Personalakte des Klägers beschäftigten, war es für eine vollständige Sachverhaltsdarstellung erforderlich, diese der Klageschrift beizufügen. Denn in der Klageschrift ging es zunächst (nur) um diese beiden Sachverhalte.

Angesichts des offensichtlich nicht vollständig erfüllten Auskunftsanspruchs bedurfte es entgegen der Ansicht der Beklagten auch keines Hinweises des Klägers, dass der Anspruch mit dem Schreiben vom 23. August 2019 nicht erfüllt sei.

7. Dem Kläger ist in Anbetracht der Pflichtverstöße der Beklagten nach richterlichem Ermessen gem. § 287 Abs. 1 ZPO ein immaterieller Schadensersatz in Höhe von 2.000,-- Euro zuzusprechen.

Die Schadensersatzansprüche sollen, worauf auch das LAG Niedersachsen in dem Urteil vom 22. Oktober 2021 – 16 Sa 761/20 unter Bezugnahme auf Entscheidungen anderer Gerichte hingewiesen hat, generell eine Abschreckungswirkung haben. Unter Berücksichtigung des Erwägungsgrundes 146 Satz 6 zur DSGVO soll die betroffene Person einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten. Verstöße müssen effektiv sanktioniert werden. Schadenersatz bei Datenschutzverstößen sollen eine abschreckende Wirkung haben, um der Datenschutzgrundverordnung zum Durchbruch zu verhelfen.

Gemessen an der Zweckrichtung des Schadensersatzes hält die Kammer unter Berücksichtigung und Abwägung der Umstände des vorliegenden Falls einen immateriellen Schadensersatz in Höhe von 1.000,-- Euro je unvollständig beantwortetem Auskunftsverlangen für angemessen. Hierbei ist zu berücksichtigen, dass die Auskunft der Beklagten offensichtlich unvollständig erfolgte. Auch nach der Klageerweiterung vom 21. Dezember 2020 hat die Beklagte die Auskunft nicht vervollständigt. Durch die unzureichende Auskunft hatte der Kläger keine umfassende Kenntnis über die Verarbeitung seiner personenbezogenen Daten durch die Beklagte bei zwei für ihn nachteiligen Sachverhalten (Versetzung und Abmahnung).

Durch einen Schadenersatz von jeweils 1.000,-- EUR wird ausreichend sichergestellt, dass durch die Zahlung eines spürbaren Betrages der Regelung des Art. 15 DSGVO zur Geltung verholfen wird und die Verpflichteten angehalten werden, die entsprechenden Maßgaben einzuhalten.


Den Volltext der Entscheidung finden Sie hier:



LG Hannover: 5.000 EURO immaterieller Schadensersatz aus Art. 82 DSGVO wegen unberechtigtem Negativeintrag in Auskunftei

LG Hannover
Urteil vom 14.02.2022
13 O 129/21


Das LG Hannover hat entschieden, dass dem Betroffenen 5.000 EURO immaterieller Schadensersatz aus Art. 82 DSGVO wegen eines unberechtigten Negativeintrags in einer Auskunftei zusteht. Der Betroffene hatte den Betreiber der Auskunftei verklagt.

Aus den Entscheidungsgründen:

A. Die Klage ist zulässig, insbesondere ist das Landgericht Hannover örtlich gemäß § 44 Abs. 1 BDSG zuständig.

B. Die Klage ist in Höhe eines Betrages von 5.000,00 € (nachfolgend zu 1.) nebst Verzugszinsen (nachfolgend zu 2.) sowie im Hinblick auf die Freistellung des Klägers von vorgerichtlichen Rechtsanwaltskosten in Höhe von 282,15 € (nachfolgend zu 3.) begründet. Im Übrigen ist die Klage abzuweisen (nachfolgend zu 4.).

Im Einzelnen:

1. Der Kläger kann von der Beklagten Schadensersatz in Höhe von 5.000,00 € aus Art. 82 Abs. 1 DSGVO verlangen.

a. Die von der Telekom veranlassten Negativeinträge vom 10.01.2018 haben den Kläger rechtswidrig in seinem allgemeinen Persönlichkeitsrecht verletzt.

Eine nicht von den Bestimmungen des zum Zeitpunkt des Negativeintrags insoweit noch maßgeblichen § 28a BDSG (Art 6 Abs. 1 Buchst, f DSGVO (i.V.m. § 31 BDSG n.F.) gilt gern, deren Art. 99 Abs. 2 ab dem 25.05.2018) gedeckte Übermittlung personenbezogener Daten stellt eine Verletzung des allgemeinen Persönlichkeitsrechts dar, das als sonstiges Recht im Sinne des § 823 Abs. 1 BGB Schutz genießt (BGH, Urteil vom 07.07.1983- III ZR 159/82-, Rn. 14, juris; OLG Düsseldorf, Urteil vom 12.09.2014- 1-16 U 7/14-, Rn. 5, juris). Nach §4 Abs. 1 BDSG a.F. ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur zulässig, soweit das BDSG oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat. Eine Einwilligung hat der Kläger nicht erteilt. Deswegen ist die Übermittlung der Daten aus dem Vertragsverhältnis zwischen dem Kläger und der Telekom an die Beklagte an § 28a BDSG a.F. zu messen. Vorliegend scheitert deren Zulässigkeit schon an der Voraussetzung des § 28a Abs. 1 Satz 1 Nr. 4 Buchst, a) BDSG a.F., weil sich nicht feststellen lässt, dass die Telekom den Kläger mindestens zweimal schriftlich gemahnt hat.

Die Darlegungs- und Beweislast für die Zulässigkeit der Übermittlung von Daten trägt grundsätzlich die übermittelnde Stelle (vgl. OLG Köln, Urteil vom 21.10.2014 - 1-15 U 107/14-, Rn. 59, juris; OLG Düsseldorf a.a.O., Rn. 5; LG Lüneburg, Urteil vom 14.07.2020- 9 O 145/19-, Rn. 31, 47) resp. vorliegend die Beklagte als die die Daten verarbeitende Stelle i.S.v. § 29 Abs. 1 Satz 1 Nr. 3 BDSG a.F. Im Übrigen beruft sich die Beklagte auf die Mahnungen als ihr günstige - weil sie zur Aufnahme des Negativeintrags in ihre Auskunftei berechtigende - Tatsache und trägt damit auch nach allgemeinen Grundsätzen die Last des Beweises (vgl. Arnold in: Erman, BGB, 16. Aufl. 2020, § 130 BGB, Rn. 33).

Soweit die Telekom Mahnungen an den Kläger unter dessen seinerzeit für ihn nicht mehr aktuelle Anschrift (nur noch) seiner Eltern gesandt hat, lässt sich deren Zugang beim Kläger unabhängig davon nicht feststellen, ob diese den Eltern des Klägers zugegangen sind. Der Kläger mag durch sein Verhalten, seine neue Adresse nicht an seine Vertragspartner mitgeteilt zu haben, eine Ursache dafür gesetzt haben, dass ihn die an ihn gerichtete Post und damit auch die Mahnungen nicht erreicht haben. Das ändert aber nichts daran, dass sich ein Zugang beim Kläger nicht feststellen lässt und ist für die Frage der Zulässigkeit der Datenverarbeitung zunächst ohne Belang. Nach dem Sinn und Zweck der in § 28 a Abs. 1 Satz 1 Nr. 4 Buchst, a) bis c) BDSG aufgestellten Erfordernisse reicht eine bloße Versendung von Mahnungen nicht aus; vielmehr ist grundsätzlich ein Zugang beim Betroffenen erforderlich, um die beabsichtigte Warnfunktion zu erfüllen und diesem so entweder einen Ausgleich der Forderung zu ermöglichen oder ihn in die Lage zu versetzen, Einwendungen gegen die Forderung zu erheben (vgl. BR-Drs. 548/08, S. 25 f.); dabei obliegt auch allein dem Absender der Nachweis eines Zugangs von ihm versandter Schreiben, der das durch es ein geeignetes Versandverfahren sicher stellen könnte; das wäre im Hinblick auf die Folgen einer negativen Eintragung im Hinblick auf die Kreditwürdigkeit des Betroffenen auch ohne weiteres zumutbar und der Mahnende trägt das Risiko, wenn er sich so der Möglichkeit des Nachweises begibt; auch ein Anscheinsbeweis greift insofern grundsätzlich nicht ein, weil es vielfache Ursache dafür geben kann, dass ein Schreiben den Empfänger nicht erreicht (vgl. OLG Köln, a.a.O., Rn. 59, juris).

b. Die Beklagte hat gegen Art. 6 Abs. 1 DSGVO durch die nicht im Sinne der Vorschrift rechtmäßige Datenverarbeitung verstoßen, weil diese gemessen an §§ 28a Abs. 1 Nr. 4 Buchst, a), 29 Abs. 1 Satz 1 Nr. 3 BDSG a.F. bzw. § 31 Abs. 2 Nr. 4 Buchst, a) BDSG n.F. (auch wenn diese Neufassung nicht mehr die Übermittlungsvoraussetzungen definiert, sondern nur Anforderungen an den Datenkranz, der für die Ermittlung von Wahrscheinlichkeitswerten verwendet werden darf, so werden dadurch die Übermittlungsvoraussetzungen doch zumindest mittelbar bestimmt und in gewisserWeise durch den Gesetzgeber fortgeschrieben, vgl. Kamlah in: Plath, DSGVO/BDSG, 3. Aufl. 2018, §31 BDSG, Rn. 49) mangels (nachgewiesener) Mahnungen des Klägers durch die Telekom nicht rechtmäßig war.

c. Soweit der Kläger mithin in seinem Persönlichkeitsrecht verletzt ist, bedarf es keiner Feststellung, dass es sich dabei um eine schwerwiegende handelt.

Anders als für die Zubilligung eines Schmerzensgeldes nach §§ 823 Abs. 1, 249, 253 BGB, Art 1 und 2 GG wird eine solche von Art. 82 GG nicht vorausgesetzt (vgl. (BeckOK DatenschutzR/Quaas, 38. Ed. 1.11.2021, DS-GVO Art. 82 Rn. 32; Gola DS-GVO/Gola/Piltz, 2. Aufl. 2018, DS-GVO Art. 82 Rn. 13; LG Hamburg, Urteil vom 04.09.2020 - 324 S 9/19 -, Rn. 34, juris; LG Lüneburg, a.a.O., Rn. 55, juris).

d. Die Beklagte hat auch schuldhaft gehandelt.

Ein solches Verschulden ist - wie nach Auffassung der Kammer schon Art. 82 Abs. 3 DSGVO zeigt - auch im Rahmen einer Haftung nach Art. 82 DSGVO erforderlich und wird zunächst mit der Möglichkeit einer Exkulpation vermutet (vgl. OLG Stuttgart, Urteil vom 31.03.2021 - 9 U 34/21 -, Rn. 43, juris; LG Karlsruhe, Urteil vom 02.08.2019- 8 O 26/19-, Rn. 15, juris; Gola DS-GVO, a.a.O., Rn. 9; BeckOK DatenschutzR, a.a.O., Rn. 17; a.A. wohl: BAG, EuGH-Vorlage vom 26.08.2021 - 8 AZR 253/20 (A) -, Rn. 39, juris).

Daran gemessen traf die Beklagte zunächst nicht der Vorwurf eines schulhaften Verhaltens, weil ihr die Prüfung der Voraussetzung der Übermittlung in § 28a Abs. 1 Satz 1 Nr. 4 Buchst, a) BDSG a.F. zunächst nicht oblag (vgl. LG Stuttgart Urt. v. 15.05.2002 - 21 O 97/01, BeckRS 2002, 31212889, beck-online). Die Beklagte musste mithin nicht ohne irgendeinen Anhaltspunkt überprüfen, ob der Kläger nach Eintritt der Fälligkeit der Forderung der Telekom mindestens zweimal schriftlich gemahnt worden war, sondern durfte sich vielmehr darauf verlassen, dass die Telekom als übermittelnde Stelle das getan hatte.

Die Beklagte hatte dann aber Anlass zur Prüfung dieser Frage, nachdem ihr der Kläger im April 2019 mitgeteilt hatte, dass er nicht gemahnt worden sei, die Voraussetzungen für die Negativeinträge also - jedenfalls aus seiner Sicht - nicht Vorlagen. Soweit sie mangels der Kenntnis der Problematik der Mahnungen und ihres Zugangs beim Kläger deswegen bis dahin i.S.v. Art. 82 Abs. 3 DSGVO exkulpiert war und (noch) nicht schuldhaft handelte, gelingt ihr das für die Zeit ab April 2019 nicht mehr und das Verschulden der Beklagten seitdem ist zu vermuten. Die Beklagte hatte ab April 2019 Anlass, die Frage der Rechtmäßigkeit zu prüfen. Die ihr obliegende Sorgfalt hätte das auch erfordert und die Beklagte handelte seitdem mindestens fahrlässig, solange sie das nicht tat.

e. Der Kläger hat auch einen immateriellen Schaden erlitten.

Es kann dahinstehen, ob auch unter Berücksichtigung des weiten Schadensbegriffs (vgl. Erwägungsgrund 146) nicht bereits jeder Verstoß gegen die DSGVO zu einer Ausgleichspflicht führt, weil der Verpflichtung zum Ausgleich eines immateriellen Schadens eine benennbar und insoweit tatsächliche Persönlichkeitsverletzung gegenüberstehen muss (LG Hamburg, a.a.O.-, Rn. 33 f., juris). Denn jedenfalls eine in einer unrechtmäßigen Zugänglichmachung von Daten liegenden "Bloßstellung" stellt eine solche dar (vgl. LG Hamburg, a.a.O.; LG Karlsruhe, a.a.O., Rn. 19, juris; LG Lüneburg, a.a.O., Rn. 55; Ehmann/Selmayr/Nemitz, DS-GVO, 2. Auflage, Art. 82 Rn. 13).

Die Beklagte hat daran gemessen, die mit den Negativeinträgen verbundenen Daten ihren Vertragspartnern zum Abruf bereit- und schon dadurch den Kläger "bloßgestellt". Bei der Beklagten handelt es sich um eine Schutzgemeinschaft für allgemeine Kreditsicherung, ein Warnsystem der Kreditwirtschaft, dessen Aufgabe es ist, ihren Vertragspartnern Informationen zur Verfügung zu stellen, um sie vor Verlusten im Kreditgeschäft mit natürlichen Personen zu schützen (vgl. dazu OLG Düsseldorf, Urteil vom 13.02.2015- 1-16 U 41/14-, Rn. 28, juris). Innerhalb dieses Systems hat die Beklagte die Daten nicht nur zur Verfügung gestellt, sie wurden ausweislich der Auskunft vom 04.03.2021 auch mehrfach und sowohl im Kontext privater Anfragen als auch bezogen auf die Tätigkeit des Klägers als Inhaber einer Physiotherapiepraxis abgerufen. Darauf, ob die Negativeinträge auch dazu führten, dass dem Kläger kein Kredit oder ein solcher zu anderen (schlechteren) Bedingungen gewährt wurde als er ohne die Einträge gewährt worden wäre, kommt es indes für den immateriellen Ersatzanspruch nicht an.

f. Die Verletzung des Persönlichkeitsrechts des Klägers rechtfertigt und erfordert die Zahlung eines Schmerzensgeldes in Höhe von 5.000,00 €.

aa. Für den immateriellen Schadensersatz nach Art. 82 DSGVO gelten die im Rahmen von § 253 BGB entwickelten allgemeinen Grundsätze (BeckOK DatenschutzR/Quaas, a.a.O., Rn. 31; Gola DS-GVO, a.a.O., Rn. 9). Deswegen kann auch das Mitverschulden des Betroffenen analog § 254 BGB bei der Bemessung der Schadensersatzhöhe zu berücksichtigen sein (vgl. BeckOK DatenschutzR/Quaas, a.a.O., Rn. 28; Ehmann/Selmayr/Nemitz, a.a.O., Rn. 15; a.A. wohl Kühling/Buchner/Bergt, 3. Aufl. 2020, DS-GVO Art. 82; BAG, a.a.O.).

bb. Vorliegend rechtfertigt der Verstoß der Beklagten unter Berücksichtigung aller Umstände des vorliegenden Einzelfalls ein Schmerzensgeld in Höhe von 5.000,00 €.

(1) Die Daten zur Bonität des Klägers sind schützenswerte und sensible Daten, die sowohl seine berufliche Tätigkeit als auch seine Kreditwürdigkeit im privaten Rahmen betreffen. Sie können maßgeblichen negativen Einfluss auf die Teilnahme am wirtschaftlichen Verkehr in diesen Bereichen haben, indem Kredite versagt oder vom Kläger angestrebte Verträge mit ihm nicht abgeschlossen werden. Dass die Beklagte als Warnsystem der Kreditwirtschaft mit ihren Auskünften und dem ersichtlich zu diesem Zweck und auf der Grundlage der Einträge ja errechneten Basisscore (der -wenn auch die Algorithmen zu dessen Bildung nicht bekannt sind und der Wert damit nicht nachvollziehbar ist - sich am 25.04.2019 auf 55,2% (vgl. Anlage Kl), am 04.03.2021 auf 69,56 € (vgl. Anlage K7) und am 07.09.2021 und mithin nach Löschung der Negativeinträge auf 91,79% belief) auf derartiges keinen Einfluss ausübt, wird man nicht ernsthaft annehmen können. Dieser Einfluss - ohne dass es im Rahmen eines immateriellen Anspruchs der konkreten Feststellung der materiellen Nachteile bedarf - ist auch von einigem Gewicht; zutreffend weist das LG Lüneburg darauf hin, dass dadurch mittelbar Grundrechte wie die Berufsfreiheit und die allgemeine Handlungsfreiheit beeinträchtigt werden können (LG Lüneburg, a.a.O., Rn. 58).

(2) Für die Bemessung des Schmerzensgeldes sind die Negativeinträge sind April 2019 bis zur Löschung wohl kurz nach dem 04.03.2021 zu berücksichtigen und hatten damit ungefähr zwei Jahre Bestand.

(3) Sie fielen auch in einen Zeitraum, der aufgrund der Corona-Pandemie ohnehin für am Wirtschaftsleben Teilnehmende mit großen wirtschaftlichen Risiken und Probleme verbunden war, der Kläger war damit für die Folgen der Negativauskünfte in besonderem Maße anfällig.

(4) Weiter ist vorliegend zu berücksichtigen, dass die Beklagte zwar einerseits zunächst kein erhebliches Verschulden traf, mit zunehmender Dauer des rechtswidrigen Zustandes ab den ersten Hinweisen durch den Kläger im April 2019 über die Klageerhebung im Mai 2020 ihr die Zweifel an der Rechtmäßigkeit ihres Handelns hätten immer stärker hätten aufkommen müssen. Das gilt ganz besonders für die Zeit nach Erlass des Anerkenntnisurteils vom 25.01.2021 und dem Umstand, dass die Negativeinträge auch am 04.03.2021 noch gespeichert waren.

(5) Gleichermaßen kann nicht unberücksichtigt bleiben, dass der Kläger eine zu den Negativeinträgen führende Ursache selbst gesetzt hat. Dadurch, dass er der Telekom die Änderung seiner Adresse nicht mitgeteilt hat, hat er ihr die Möglichkeit genommen, ihn mit ihren Mahnungen auf dem zwar im Hinblick auf den Nachweis des Zugangs riskanten, aber immerhin ganz üblichen Versandweg eines einfachen Briefs auch zu erreichen. Das Verhalten des Klägers nach Kenntnis von den Rückständen lässt vermuten, dass es dann sogleich zum Ausgleich der Forderungen der Telekom gekommen wäre und die Negativeinträge nicht lanciert worden wären.

cc. Nach alledem ist-wie geschehen - ein einheitliches Schmerzensgeld zu bilden.

Die vom Kläger vorgenommene Berechnung nach Zeitabschnitten ist mithin nicht vorzunehmen. Soweit eine Bemessung eines Schmerzensgeldes nach (zwei) Zeitabschnitten ausnahmsweise dann vorgenommen werden kann, wenn es einerseits um die Zahlung von Kapital und andererseits um Rente geht (vgl. BGH, Urteil vom 08.06.1976 - VI ZR 216/74 -, juris), kommt eine solche im Übrigen und insbesondere bei einer Zahlung (nur) von Kapital nicht in Betracht (vgl. OLG Hamm, Urteil vom 11.02.2000 - 9 U 204/99 -, Rn. 17, juris; OLG Frankfurt, Beschluss vom 14.04.2020 -15 W 18/20 -, Rn. 17 -18, juris; jeweils m.w.N.).

2. Der Kläger kann Verzugszinsen ab dem 10.04.2019 aufgrund des ablehnenden Schreibens der Beklagten vom 09.04.2019 gern. §§ 286 Abs. 2 Nr. 3, 288 Abs. 1 BGB verlangen, wobei entsprechend § 187 Abs. 1 BGB die Verzinsung erst an dem auf den Verzugseintritt folgenden Tag beginnt (vgl. Staudinger/Repgen (2019) BGB § 187, Rn. 5; Grünberg-Ellenberger, Bürgerliches Gesetzbuch, 81. Aufl., Rn. 1 zu § 187 m.w.N.).

3. Schließlich hat der Kläger einen Anspruch auf Freistellung der zur Rechts Verfolgung erforderlichen vorgerichtlichen Rechtsanwaltskosten. Bei einem Gegenstandswert von 5.000,00 € (maßgeblich ist der berechtigte Teils der außergerichtlich geltend gemachten Forderung (vgl. BGH, Urteil vom 18.07.2017 -VI ZR 465/16 -, Rn. 7, juris; BGH, Urteil vom 12.12.2017 - VI ZR 611/16 -, Rn. 5, juris)) belaufen sich diese nach §§13 Abs. 1, i.V.m. Nrn. 2300, 7002, 7008 VV RVG auf die angemessene 1,3 Geschäftsgebühren nebst Auslagenpauschale und Mehrwertsteuer unter Anrechnung einer 0,65 Geschäftsgebühr gern. Vorbemerkung 3 Abs. 4 RVG, § 15a RVG, mithin auf (217,10 € + 20,00 € + 45,05 € =) 282,15 €.


Den Volltext der Entscheidung finden Sie hier:


LG Leipzig: Kein Anspruch auf Schadensersatz aus Art. 82 DSGVO bei verspäteter Auskunftserteilung nach Art. 15 DSGVO

LG Leipzig
Urteil vom 23.12.2021
03 O 1268/21


Das LG Leipzig hat entschieden, dass regelmäßig kein Anspruch auf Schadensersatz aus Art. 82 DSGVO bei verspäteter Auskunftserteilung nach Art. 15 DSGVO besteht.

Aus den Entscheidungsgründen:

9. Der Schmerzensgeldanspruch der Beklagten war demgegenüber im Ergebnis nicht zuzusprechen.

Soweit zwischenzeitlich mit Verfügung vom 4.11.2021 eine abweichende Ansicht vertreten wurde, wird hieran nicht festgehalten. Auf diese Möglichkeit wurde im Termin zur Vermeidung eines Überraschungsurteils ausdrücklich hingewiesen.

Nach Art. 82 Abs. 1 DS - GVO hat jede Person, der wegen eines Verstoßes gegen die DS - GVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder den Auftragsverarbeiter. Auszugleichen sind hiernach ausdrücklich auch immaterielle Schäden.

In der Literatur wird unter Geltung der DS - GVO überwiegend für eine Absenkung der Voraussetzungen für die Gewährung immateriellen Schadensersatzes und für eine Verschärfung der Haftung mit deutlich höheren Beträgen gegenüber den bisherigen plädiert. Dies folge aus dem weiten Schadensbegriff der DS - GVO sowie daraus, dass der EuGH bei der Wahl zivilrechtlicher Sanktionen zur Umsetzung von Unionsrecht generell eine abschreckende Wirkung verlange. Insbesondere dürfe der zugesprochene Schadensersatz nicht nur symbolisch sein. Auch dürfe die Gewährung immateriellen Schadensersatzes nicht mehr von einer schwerwiegenden Persönlichkeitsrechtsverletzung abhängig gemacht werden. Die abschreckende Wirkung zivilrechtlicher Sanktionen sei nur zu erreichen, wenn entsprechend hohe Beträge ausgeurteilt würden (vgl. hierzu die Nachweise bei Eichelberger, WRP 2021, 159 ff.).

Hiervon unabhängig kann als gesichert gelten, dass das Unionsrecht die Mitgliedsstaaten grundsätzlich nicht zu überkompensatorischem Schadensersatz verpflichtet.

Allein der Verstoß gegen die DS - GVO reicht für sich genommen noch nicht aus, einen Schadensersatzanspruch auszulösen.

Ohne Schaden gibt es keinen Schadensersatzanspruch (vgl. hierzu Eichelberger a.a.O.). Vielmehr muss dem von einem Datenschutzverstoß Betroffenen ein spürbarer Nachteil entstanden sein. Es muss eine objektiv nachvollziehbare, mit gewissem Gewicht erfolgte, Beeinträchtigung von persönlichkeitsbezogenen Belangen vorliegen. Die Beeinträchtigung muss von einer gewissen Erheblichkeit sein.

Einen normativen Anknüpfungspunkt hierzu gibt die DS - GVO in ihren Erwägungsgründen 75 und 85. Im Anschluss an die beispielhafte Aufzählung möglicher - hier nicht geltend gemachter - Beeinträchtigungen durch Datenschutzverletzungen (Diskriminierung, Identitätsdiebstahl oder - betrug, Rufschädigung, Verlust der Vertraulichkeit von einem Berufsgeheimnis unterliegenden Daten) ist dort ergänzend allgemein von anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen die Rede (vgl. hierzu Eichelberger a.a.O.).

Demzufolge kann die Beklagte keine Entschädigung für eine verspätete Datenauskunft sowie für die bislang noch nicht vollständig erteilte Datenauskunft von der Klägerin beanspruchen.

Allein der Umstand, dass die Beklagte auf die (vollständige) Datenauskunft noch warten muss, kann keinen ersatzfähigen Schaden begründen.

Es muss auch bei einem immateriellen Schaden eine Beeinträchtigung eingetreten sein, die unabhängig von einer Erheblichkeitsschwelle wenigstens spürbar sein muss. Anderenfalls scheidet ein Schaden schon begrifflich aus (so auch LG Bonn, Urteil vom 01.07.2021, Az.: 15 O 372/20).

Die im Erwägungsgrund 75 der DS - GVO genannten immateriellen Nachteile, wie eine Diskriminierung, ein Identitätsdiebstahl, ein Identitätsbetrug, eine Rufschädigung, ein Verlust der Vertraulichkeit oder sonstige gesellschaftliche Nachteile sind der Beklagten durch die Führung der Handakten durch die von ihr beauftragten Rechtsanwälte in den familiengerichtlichen Verfahren unstreitig nicht erwachsen.

Demzufolge scheidet auch die Zusprechung eines Schmerzensgeldes im Streitfall für die bislang nicht erteilte Datenauskunft nach Art. 15 Abs. 3 DS - GVO aus.

Für diese Erkenntnis bedurfte es keiner Vorlage an den EuGH nach Art. 267 Abs. 3 AEUV. Zum einen entscheidet die Kammer nicht als letztinstanzliches, sondern als erstinstanzliches Gericht, wonach eine Verpflichtung zur Vorlage an den EuGH nicht besteht.

Zum anderen stützt die Kammer ihr Verständnis von der Auslegung des Art. 82 Abs. 1 DS - GVO auf den Erwägungsgrund 75 der DS - GVO, mithin auf die europarechtliche Norm selbst. Unabhängig hiervon erscheint es nicht zielführend, dass jedes Instanzgericht bei Entscheidungen auf der Grundlage der DS - GVO den EuGH mit einem Vorabentscheidungsersuchen bemüht. Sinnvoller erscheint es, dass das letztinstanzliche nationale Gericht die Entscheidung der Instanzgerichte zu Art. 82 Abs. 1 DS - GVO sammelt und in deren Auswertung darüber befindet, ob und wenn ja mit welchen Vorlagefragen es den EuGH nach Art. 267 Abs. 3 AEUV bemüht.


Den Volltext der Entscheidung finden Sie hier:


OLG Düsseldorf: 2.000 EURO Schadensersatz aus Art. 82 Abs. 1 DSGVO wenn Krankenkasse Gesundheitsakte an falsche E-Mail-Adresse schickt

OLG Düsseldorf
Urteil vom 28.10.2021
16 U 275/20


Das OLG Düsseldorf hat dem Betroffenen in diesem Fall Schadensersatz aus Art. 82 Abs. 1 DSGVO in Höhe von 2.000 EURO zugesprochen. Die Krankenkasse des Betroffenen hatte die Gesundheitsakte an eine falsche E-Mail-Adresse geschickt. Die Gesundheitsakte war dabei auch nicht verschlüsselt.

Aus den Entscheidungsgründen:

Die zulässige Leistungsklage ist jedoch in der Hauptsache nur im Umfang von 2.000,- € auch begründet.

aa) Aufgrund der vom Zeugen A. an die falsche E-Mail-Adresse versandten Gesundheitsakte der Klägerin hat diese gegen die Beklagte infolge eines durch den fehlerhaften Versand erlittenen immateriellen Schadens einen Anspruch auf Schadensersatz aus Art. 82 Abs. 1 DSGVO. Gemäß Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen die Verordnung ein immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen. Verantwortlich im Sinne von Art. 4 Nr. 7 DSGVO für die Verarbeitung der Gesundheitsdaten der Klägerin ist die Beklagte als deren gesetzliche Krankenkasse.

(1) Es kann dahinstehen, ob Art. 82 Abs. 1 DSGVO für das sozialrechtliche Rechtsverhältnis zwischen der Klägerin und der Beklagten unmittelbar gilt. So kann die sachliche Anwendbarkeit der DSGVO gemäß Art. 2 Abs. 2 a) DSGVO zweifelhaft sein, weil zwar Art. 16 Abs. 2 Satz 1 AEUV eine Gesetzgebungskompetenz der Europäischen Union für den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten begründet, zugleich aber Art. 168 Abs. 7 Satz 1 AEUV die Verantwortung der Mitgliedstaaten für die Festlegung ihrer Gesundheitspolitik und für die Organisation des Gesundheitswesens und die medizinische Versorgung unberührt lässt. Selbst wenn die DSGVO auf das Rechtsverhältnis der Klägerin zu ihrer gesetzlichen Krankenkasse nicht unmittelbar anwendbar sein sollte, so wären ihre Vorschriften gemäß § 35 Abs. 2 Satz 2 SGB I jedenfalls entsprechend anzuwenden (siehe BSG, Urteile vom 20. Januar 2021 – B 1 KR 7/20 R, juris, Rn. 25-28, vom 8. Oktober 2019 – B 1 A 3/19 R, juris, Rn. 37, und vom 18. Dezember 2018 – B 1 KR 40/17 R, juris, Rn. 29) und zwar auch auf Datenverarbeitungsvorgänge, welche nicht den Voraussetzungen von Art. 2 Abs. 1 DSGVO entsprechen (vgl. Schifferdecker, in: Kasseler Kommentar Sozialversicherungsrecht, Stand: 114. EL Mai 2021, § 35 SGB I Rn. 86: „Datensammlung auf Notizzettel“). Dadurch wird sichergestellt, dass sämtliche Tätigkeitsbereiche, in denen Sozialdaten verarbeiten werden, demselben datenschutzrechtlichen Regime unterliegen (Greiner, in: Knickrehm/Kreikebohm/Waltermann, Kommentar zum Sozialrecht, 7. Aufl., § 35 SGB I Rn. 3).

(2) Art. 82 Abs. 1 DSGVO, auf den die Klägerin ihr Klagebegehren stützt, ist auch nicht deshalb unanwendbar, weil es bei der von der Beklagten an das falsche E-Mail-Konto versandten Gesundheitsakte um eine Verbreitung personenbezogener Daten geht, die den Schutzbereich des allgemeinen Persönlichkeitsrechts betreffen.

Nach Auffassung des Senats ist die ungewollte Preisgabe von Daten, über die hier zu befinden ist, dem Recht auf informationelle Selbstbestimmung als eigenständigem Teilgehalt des allgemeinen Persönlichkeitsrechts zuzuordnen. Davon zu unterscheiden ist die sichtbare Verbreitung bestimmter Informationen im öffentlichen Raum als Ergebnis eines Kommunikationsprozesses, die den äußerungsrechtlichen Ausprägungen des allgemeinen Persönlichkeitsrechts zuzuordnen ist (siehe BVerfG, Beschluss vom 6. November 2019 – 1 BvR 16/13, juris, Rn. 79-91; Senatsbeschlüsse vom 16. März 2021 – I-16 U 317/20, und vom 16. Februar 2021 – I-16 U 269/20, juris, Rn. 7). Dies zugrunde gelegt, steht eine Eröffnung des Schutzbereichs des allgemeinen Persönlichkeitsrechts aus Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG der Anwendung des Art. 82 Abs. 1 DSGVO hier nicht entgegen, weil es in seiner Ausprägung als Recht auf informationelle Selbstbestimmung betroffen ist, dessen Schutz die datenschutzrechtlichen Regelungen der DSGVO dienen. In der auf einem Schreib- oder Tippfehler beruhenden Versendung der Gesundheitsakte an ein falsches E-Mail-Postfach liegt eine schlichte Preisgabe von Daten ohne ein kommunikatives Ziel. Dies gilt zumal im Hinblick auf den Inhaber des E-Mail-Postfachs, an den die Akte nicht versandt werden sollte. Mit einem Kommunikationsprozess hat die versehentliche Datenpreisgabe nur peripher insofern zu tun, als ihr ein Telefongespräch zwischen der Klägerin und dem Zeugen A. vorausgegangen ist. Für die Eröffnung des Schutzbereichs des allgemeinen Persönlichkeitsrechts in seiner äußerungsrechtlichen Ausprägung reicht das indes nicht aus.

(3) In dem Versand der E-Mail mit der Gesundheitsakte der Klägerin an das falsche E-Mail-Postfach liegt ein Verstoß gegen die DSGVO. Eine Datenverarbeitung, zu der gemäß Art. 4 Nr. 2 DSGVO auch die Offenlegung durch Übermittlung gehört, ist nach der DSGVO nur rechtmäßig, wenn die betroffene Person gemäß Art. 6 Abs. 1 Satz 1 lit. a) DSGVO ihre Einwilligung zu der Verarbeitung gegeben hat oder eine der übrigen in Art. 6 Abs. 1 Satz 1 DSGVO normierten Rechtmäßigkeitsvoraussetzungen vorliegt. Dies ist hier im Hinblick auf den Versand der E-Mail mit der ihr angefügten Gesundheitsakte der Klägerin an die E-Mail-Adresse „B2@fff.de“ jeweils nicht der Fall (siehe für eine vergleichbare Konstellation auch LG Darmstadt, Urteil vom 26. Mai 2020 – 13 O 244/19, juris, Rn. 43 ff.). Die Klägerin hat in die Übersendung an dieses fremde E-Mail-Postfach nicht eingewilligt und es liegen auch keine anderen normierten Rechtmäßigkeitsvoraussetzungen für diese Übersendung vor.

(4) Weitere Datenschutzverstöße zulasten der Klägerin lassen sich hingegen nicht feststellen.

(a) Die vom Landgericht angenommene Verletzung des Art. 32 DSGVO ist nicht zu bejahen. Anders als das Landgericht vermag der Senat aus dem Fehler beziehungsweise Fehlverhalten eines einzelnen Mitarbeiters nicht den Rückschluss zu ziehen, dass die Beklagte kein nach Art. 32 DSGVO ausreichendes Datenschutzniveau implementiert hatte. Weitere für einen solchen Schluss notwendige Anknüpfungstatsachen hat die insoweit darlegungs- und beweisbelastete Klägerin weder ausreichend vorgetragen noch unter Beweis gestellt.

(b) Soweit das Landgericht zudem als einen Datenschutzverstoß der Beklagten beanstandet, dass der Zeuge A. die E-Mail unverschlüsselt und mit unverschlüsselter bzw. nicht pseudonymisierter Gesundheitsakte als Anhang versandt hat, überzeugt auch das nicht. Ein Datenschutzverstoß durch diese Form der Versendung liegt aufgrund einer Einwilligung der Klägerin nach Art. 6 Abs. 1 Satz 1 lit. a) DSGVO nicht vor. Eine Einwilligung ist nach Art. 4 Nr. 11 DSGVO jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Diese Voraussetzungen liegen hier vor.

(aa) Die Klägerin hat unmissverständlich zum Ausdruck gebracht, dass sie mit der Übersendung der Gesundheitsakte per E-Mail einverstanden ist. Im Verlauf des Gesprächs mit dem Zeugen A. teilte sie dem Zeugen ihre E-Mail-Adresse mit. Das konnte dieser nicht anders verstehen und kann auch objektiv nicht anders verstanden werden, als dass die Klägerin die Gesundheitsakte schließlich doch per E-Mail übersandt erhalten wollte. Dabei musste ihr zugleich klar sein, dass diese Übersendung weder verschlüsselt noch in pseudonymisierter Form erfolgen würde. Über solche besonderen Formen der Versendung hatte die Klägerin mit dem Zeugen nicht gesprochen. Entsprechende Wünsche hatte sie nicht geäußert. Ein für die Entschlüsselung notwendiges Passwort war nicht ausgetauscht worden.

(bb) Der wirksamen Einwilligung steht nicht deren fehlende Freiwilligkeit entgegen. Freiwilligkeit wäre zu verneinen, wenn die Erklärung entgegen Erwägungsgrund 42 Satz 5 DSGVO von der Klägerin unter Druck oder Zwang abgegeben worden wäre (vgl. Schulz, in: Gola, DS-GVO, 2. Aufl., Art. 7 Rn. 21). Das war hier indes nicht der Fall. Die Klägerin hatte ungeachtet des nachdrücklichen Werbens des Zeugin A. für den von ihm favorisierten E-Mail-Versand die Möglichkeit, auch ihm gegenüber auf einem Postversand zu bestehen. Sie musste sich der von ihm favorisierten Lösung nicht beugen. Wie sie im Rahmen ihrer informatorischen Anhörung durch den Senat bekundet hat, hatte der Zeuge, der überdies nicht mehr als ein erster Ansprechpartner der Beklagten in der Servicehotline war, den Postversand nicht per se ausgeschlossen. Er hatte nur darauf hingewiesen, dass dieser nicht mehr bis Weihnachten möglich sei. Den sich für die Klägerin aus den nahenden Weihnachtsfeiertagen ergebenden zeitlichen Druck kann sie der Beklagten jedoch nicht entgegenhalten. Diesen hatte sie selbst zu verantworten, weil sie nach dem Gespräch mit dem Versicherungsmakler am 27. November 2018 erst am 14. Dezember 2018 Kontakt zur Beklagten aufgenommen hatte. Es lässt sich auch nicht feststellen, dass die Erklärung des Zeugen A. zur Dauer des Postversands unzutreffend war. Aus dem späteren sehr kurzfristigen Postversand der Gesundheitsakte an die Klägerin ergibt sich nichts anderes. Dieser fand unter besonderen Umständen statt, weil er in die Zeit nach Bekanntwerden des Datenschutzverstoßes zulasten der Klägerin fiel. Es ist nicht auszuschließen, dass die Beklagte die Klägerin ab diesem Zeitpunkt zuvorkommend behandelt und ihre Abläufe beschleunigt hat.

(cc) Der wirksamen Einwilligung der Klägerin steht ebenfalls nicht entgegen, dass sie diese nicht in informierter Weise erklärt hatte. Das Merkmal der Erklärung der Einwilligung in informierter Weise verlangt, dass die betroffene Person abschätzen können muss, welche Auswirkungen die Erteilung der Einwilligung für sie hat (Buchner/Kühling, in: dies., DS-GVO/BDSG, 3. Aufl., Art. 7 Rn. 59). Nach ihrer informatorischen Anhörung hat der Senat nicht die geringsten Zweifel, dass die Klägerin die Problematik und die Gefahren einer unverschlüsselten Versendung ihrer nicht pseudonymisierten Gesundheitsakte erkannt hat. Die Sensibilität der Klägerin für die Gefahren elektronischer Kommunikation wurde anhand ihrer Äußerungen im Rahmen ihrer informatorischen Anhörung sehr deutlich. Sie hat ihre Bedenken gegen die vom Zeugen A. vorgeschlagene Übermittlung, wie sie bekundet hat, schließlich aber zurückgestellt, weil ihr daran gelegen war, die Gesundheitsunterlagen bis Weihnachten zu erhalten.

(dd) Soweit das Landgericht im Zuge seiner Prüfung des Art. 32 DSGVO angenommen hat, ein Verzicht auf ein verschlüsseltes Versenden von Daten sei nach der DSGVO nicht möglich, überzeugt das im Hinblick auf die von der Klägerin erklärte Einwilligung nicht. Die Einwilligung ist ein auf der privatautonomen Entscheidung des Betroffenen beruhender Rechtfertigungstatbestand. Es widerspräche der Privatautonomie, wenn die Einwilligung nicht zu einem Verzicht auf Anonymisierungs-, Pseudonymisierungs- sowie Verschlüsselungstechniken führen könnte (siehe auch Albers/Veit, in: Wolff/Brink, BeckOK Datenschutzrecht, 37. Ed., Stand: 01.05.2020, Art. 6 DS-GVO Rn. 26).

(c) Zutreffend hat das Landgericht allerdings keinen Datenschutzverstoß in der E-Mail-Weiterleitung innerhalb der beklagten Krankenkasse gesehen, weil hierbei keine Einsichtnahme durch Dritte möglich war. Insoweit kann auf die diesbezüglich zutreffenden Gründe der angefochtenen Entscheidung Bezug genommen werden.

(5) Infolge des in dem E-Mail-Versand an das falsche E-Mail-Postfach liegenden Verstoßes gegen die Vorschriften der DSGVO hat die Klägerin einen immateriellen Schaden erlitten. Als immaterieller Schaden der Klägerin stellt sich die mit dem Verlust der Datenkontrolle verbundene seelisch belastende Ungewissheit über das Schicksal ihrer Daten dar. Dafür, dass darin ein immaterieller Schaden im Sinne von Art. 82 Abs. 1 DSGVO liegen kann, spricht nicht nur Erwägungsgrund 75 der DSGVO, wo dem Schadensbegriff auch der Verlust der Kontrolle über personenbezogene Daten zugeordnet wird. Dafür spricht auch, dass in den meisten Rechtsordnungen mit dem Begriff des immateriellen Schadens Schäden wie seelisches Leid oder Beeinträchtigungen der Lebensqualität erfasst werden (siehe Schlussanträge des Generalanwalts N. Wahl vom 25. Juli 2018 in den verbundenen Rechtssachen C-138/17 P und C-146/17 P, juris, Rn. 83) und der Europäische Gerichtshof ein vergleichbares Schadensverständnis auch für das Unionsprimärrecht vertritt. Der Gerichtshof verlangt dort zwar, dass ein Schaden tatsächlich und sicher sein muss (EuGH, Urteil vom 4. April 2017 – C-337/15, juris, Rn. 91), andererseits kann bereits ein lang anhaltender Zustand belastender Ungewissheit einen immateriellen Schaden darstellen (vgl. z.B. EuGH, Urteil vom 13. Dezember 2018 – C-138/17 u.a., juris, Rn. 61; EuG, Urteil vom 17. Dezember 1998 – T-203/96, juris, Rn. 108).

Dahinstehen kann hier, ob Voraussetzung eines Schadensersatzanspruchs nach Art. 82 Abs. 1 DSGVO ist, dass der durch den Datenschutzverstoß entstandene immaterielle Schaden ein gewisses Gewicht erreicht haben muss (siehe OLG Dresden, Beschluss vom 11. Juni 2019 – 4 U 760/19, juris, Rn. 13; siehe dazu auch OGH Österreich, Vorlagebeschluss vom 15. April 2021 – 6 Ob 35/21x = BeckRS 2021, 11950). Der der Klägerin hier entstandene immaterielle Schaden hat ausreichendes Gewicht. Sie hat nicht nur einen Bagatellschaden erlitten, der gegebenenfalls keines Ausgleichs nach Art. 82 Abs. 1 DSGVO bedürfte. Angesichts des Umfangs und der Bedeutung der Daten, über welche die Klägerin über viele Monate die Kontrolle verloren hat, und angesichts der Sorgen und Befürchtungen, unter denen sie aufgrund des Datenverlusts in dieser Zeit gelitten hat, ist eine etwaige Bagatellschwelle zweifelsfrei überschritten. Insoweit ist zu berücksichtigen, dass die DSGVO Gesundheitsdaten im Sinne von Art. 4 Nr. 15 DSGVO, wie sie hier betroffen sind, durch das grundsätzliche Verarbeitungsverbot in Art. 9 Abs. 1 DSGVO als besonders sensible Datenkategorie anerkennt. Es kommt hinzu, dass der hier betroffene Auszug aus der Gesundheitsakte der Klägerin nicht nur sehr umfangreich war, sondern auch höchst intime Gesundheitsinformationen enthielt.

bb) In der Höhe ist der dem Grunde nach hier zu bejahende Schadensersatzanspruch der Klägerin aus Art. 82 Abs. 1 DSGVO allerdings auf einen Betrag von 2.000,- € begrenzt.

(1) Für die Bemessung von Schadensersatzansprüchen nach Art. 82 Abs. 1 DSGVO enthält die DSGVO nur wenige Vorgaben. Aus dem Nebeneinander von materiellem und immateriellem Schaden folgt, dass auch solche Schäden auszugleichen sind, die sich nicht unmittelbar in Geld bemessen lassen. Nach Erwägungsgrund 146 Satz 3 sollte der Begriff des Schadens im Lichte der Rechtsprechung des Gerichtshofs zudem weit auf eine Art und Weise ausgelegt werden, die den Zielen der Verordnung in vollem Umfang entspricht. Nach Erwägungsgrund 146 Satz 6 sollten die betroffenen Personen einen vollständigen und wirksamen Schadensersatz für erlittene Schäden erhalten.

Hiernach hat sich der Schadensersatz zuvörderst an dem Ziel des Schadensausgleichs zu orientieren. Das gilt, weil die Vorschrift nicht zwischen den Schadensarten differenziert, auch im Falle immaterieller Schäden (siehe Eichelberger, WRP 2021, 159, 162 ff.). Darüber hinaus wird bei immateriellen Einbußen auch die Genugtuungsfunktion Bedeutung erlangen und als ein Umstand bei der Schadensbemessung berücksichtigt werden können, wenn die Umstände des konkreten Falles hierfür Anlass geben (vgl. auch Eichelberger, WRP 2021, 159, 165). Letztlich können – wie dies auch bei Art. 340 Abs. 2 AEUV der Fall ist (vgl. EuGH, Urteil vom 30. Mai 2017 – C-45/15 P, juris, Rn. 48) – für die Bemessung des Ersatzanspruchs für immaterielle Schäden nur die Umstände des konkreten Einzelfalls entscheidend sein. Zu berücksichtigen sein können etwa Art, Schwere und Dauer des Datenschutzverstoßes, das Verhalten des Verantwortlichen sowie die Auswirkungen des Verstoßes für den Betroffenen (siehe EuGH, Urteil vom 30. Mai 2017 – C-45/15 P, juris, Rn. 52, zu Art. 340 Abs. 2 AEUV). Solche Kriterien sind nach Art. 83 Abs. 2 Satz 2 DSGVO auch bei der Verhängung von Geldbußen für Datenschutzverstöße zu berücksichtigen. Bei der Ermittlung der danach angemessenen Art der Entschädigung und der Bestimmung des gegebenenfalls zuzuerkennenden Schadensersatzbetrags haben die Gerichte einen erheblichen Spielraum (vgl. für Art. 340 Abs. 2 AEUV Schlussanträge des Generalanwalts N. Wahl vom 25. Juli 2018 in den verbundenen Rechtssachen C-138/17 P und C-146/17 P, juris, Rn. 86), den sie nach billigem Ermessen füllen müssen (siehe für Art. 340 Abs. 2 AEUV EuG, Urteil vom 1. Februar 2017 – T-479/14, juris, Rn. 135, sowie Schlussanträge des Generalanwalts N. Wahl vom 25. Juli 2018 in den verbundenen Rechtssachen C-138/17 P und C-146/17 P, juris, Rn. 85 u. 101).

(2) Ausgehend hiervon sind hier jedenfalls die Kategorie der betroffenen personenbezogenen Daten, Art, Schwere und Dauer des Datenschutzverstoßes, die seelischen Auswirkungen bei der Klägerin, der Grad des Verschuldens, die ergriffenen Maßnahmen zur Minderung der Schadensfolgen sowie der Gesichtspunkt in den Blick zu nehmen, ob eine dauerhafte Beeinträchtigung der Herrschaft über die eigenen Daten und der seelischen Gesundheit verbleibt.

Die vorgenannten Umstände, insbesondere die psychischen Auswirkungen des Datenschutzverstoßes bei der Klägerin, sprechen in der Gesamtschau dafür, dass der ihr entstandene immaterielle Schaden nur durch eine Geldzahlung, nicht aber durch andere Maßnahmen wie etwa eine erklärte Entschuldigung vollständig ausgeglichen werden kann. Zum Ausgleich des immateriellen Schadens ist hier nach den Umständen des Falles ein Betrag von 2.000,- € angemessen, aber auch ausreichend.

(a) Von besonderer Bedeutung für die Bestimmung des angemessenen Schadensersatzbetrags ist die Natur der vom Datenschutzverstoß betroffenen Daten der Klägerin. Es handelte sich dabei nicht nur um Gesundheitsdaten, die bereits für sich genommen von besonderer Sensibilität sind, wie auch ihr datenschutzrechtlicher, berufsrechtlicher und strafrechtlicher Schutz vor unbefugter Offenbarung zeigt. Die betroffenen Gesundheitsdaten waren auch besonders umfangreich. Sie betrafen – auf rund 100 Seiten – sämtliche bei der Beklagten erfassten ärztlichen und sonstigen medizinischen Behandlungen, Therapien und Medikationen der Klägerin aus dem Zeitraum vom 1. Januar 2015 bis zum 14. Dezember 2018 einschließlich der zugehörigen Diagnosen, Leistungszeiträume und Krankschreibungen. In dem Zeitraum hat die Klägerin, eine junge, noch nicht lange berufstätige Frau, wegen unterschiedlichster Beschwerden vielfach ärztliche Hilfe in Anspruch genommen. Dies gilt auch für den gynäkologischen Bereich. In der Gesundheitsakte waren gleich mehrere gynäkologische Befundangaben verzeichnet, die Rückschlüsse auf das Sexualleben und die sexuelle Orientierung der Klägerin zuließen, deren Name und Wohnanschrift in der Akte angegeben waren.

(b) Hinsichtlich der vorgenannten Daten der Klägerin bestand ein zehnmonatiger Kontrollverlust. Erst am 14. August 2019 ist das E-Mail-Postfach, an das die Gesundheitsakte am 14. Dezember 2018 versehentlich versandt worden ist, von FFF. gelöscht worden.

(c) Von der Löschung des fremden E-Mail-Postfachs erfuhr die Klägerin aber nicht sofort, sondern erst durch einen Schriftsatz der Beklagten vom 2. Dezember 2019 im landgerichtlichen Verfahren. Aus diesem erfuhr sie auch, dass das Postfach bis zu diesem Zeitpunkt nicht mehr eingesehen worden ist. Infolgedessen war sie über einen Zeitraum von rund einem Jahr darüber im Ungewissen, ob ein Dritter von ihren Gesundheitsdaten bereits Kenntnis genommen hatte oder dies noch tun würde.

Zwar hatte die Beklagte den Prozessbevollmächtigten der Klägerin bereits mit Schreiben vom 9. Januar 2019 mitgeteilt, von FFF. die Nachricht erhalten zu haben, dass seit der schon länger zurückliegenden Einrichtung des E-Mail-Postfachs darauf kein Zugriff mehr erfolgt ist. Die Klägerin konnte aber bis zur Löschung des Postfachs nicht sicher sein, dass nicht noch ein Zugriff erfolgen würde. Auch konnte sie ungeachtet eines von der Beklagten gegenüber dem Postfachinhaber per E-Mail ausgesprochenen Verwertungsverbots hinsichtlich der Gesundheitsakte nicht sicher sein, ob sich dieser daran halten würde.

Soweit die Klägerin im nicht nachgelassenen Schriftsatz vom 6. Oktober 2021 hingegen meint, die bestehende Ungewissheit sei für sie erst mit einem Schriftsatz der Beklagten vom 6. Juli 2020 beendet gewesen, mit welchem die Beklagte mitgeteilt habe, dass an das betreffende E-Mail-Postfach keine Test-E-Mail mehr erfolgreich habe versandt werden können, folgt der Senat dem nicht. Diese Test-E-Mail der Beklagten bestätigt nur die Löschung des E-Mail-Postfachs, für die bereits der Vermerk des Zeugen E. vom 14. August 2019 sprach, der dem Schriftsatz der Beklagten vom 2. Dezember 2019 beigefügt war.

Nicht gefolgt werden kann schließlich der Ansicht der Klägerin, die Unsicherheit bestünde für sie eigentlich bis heute fort, weil nicht ausgeschlossen werden könne, dass auf dem Übermittlungsweg auf die E-Mail zugegriffen worden sei. Die daraus resultierende Ungewissheit ist für die Bemessung des Schadensersatzbetrags unbeachtlich. Das Risiko des Zugriffs auf die E-Mail auf dem Übermittlungsweg nahm die Klägerin mit ihrer Einwilligung in die Übersendung der Gesundheitsakte per E-Mail in Kauf.

(d) Der Datenschutzverstoß blieb für die Klägerin – auch dies ist für die Bemessung des Schadensersatzes von wesentlicher Bedeutung – nicht ohne psychische Folgen. Sie hat im Termin zur mündlichen Verhandlung vor dem Senat geschildert, wie sie die Ungewissheit über den Verbleib der Daten seelisch belastet hat. Dabei war die Belastung in den ersten Tagen nach dem 14. Dezember 2018 besonders hoch, als das Schicksal der Gesundheitsakte noch weitestgehend unklar war. Die Reaktion der Beklagten auf das Anliegen der Klägerin war am 17. Dezember 2018 und auch darüber hinaus zunächst schleppend, erst mit Schreiben vom 9. Januar 2019 teilte sie den Prozessbevollmächtigten der Klägerin, die am 20. Dezember 2018 mandatiert worden waren, den bis dahin ermittelten Sachstand geordnet mit. Immerhin konnte sich die Klägerin mit Erhalt dieses Schreibens vom 9. Januar 2019 schwache Hoffnungen machen, dass der Inhalt ihrer Gesundheitsakte vielleicht doch nicht von unbefugten Dritten zur Kenntnis genommen werden würde. Nach den von der Beklagten bis dahin eingeholten Erkundigungen, deren Ergebnis sie mit dem Schreiben mitteilte, war das E-Mail-Postfach seit Errichtung nicht aktiv genutzt worden.

(e) Bei der Bemessung des Schadensersatzes ist ferner der Umstand zu berücksichtigen, dass der fehlerhafte Versand auf einem lediglich fahrlässigen Verhalten des Zeugen A. beruhte. Die Beklagte war nach dem Ergebnis der landgerichtlichen Beweisaufnahme zudem bemüht, die verlorenen Daten zurückzuerlangen beziehungsweise deren Weiterverbreitung zu verhindern. Im Schreiben vom 9. Januar 2019 hat sie auch ihr Bedauern über den Vorfall zum Ausdruck gebracht. Allerdings hat sie einen Schadensersatzanspruch der Klägerin im Prozess gleichwohl bis zuletzt in Abrede gestellt.

(f) In der Höhe begrenzend wirkt sich bei der Bemessung des Schadensersatzanspruchs schließlich in besonderem Maße aus, dass es bei einem zeitweisen Kontrollverlust über die Gesundheitsdaten verblieben ist. Zu einer Kenntnisnahme der Daten durch Dritte oder einer Weiterverbreitung oder gar Veröffentlichung ist es nicht gekommen. Die fehlgeleitete E-Mail und ihr Anhang sind bis zur Löschung des E-Mail-Postfachs am 14. August 2019 vom Postfachinhaber nicht mehr zur Kenntnis genommen worden. Die berechtigten Sorgen der Klägerin haben sich letztlich als unbegründet herausgestellt. Nachdem sie hiervon erfahren hatte, bestand auch kein Anlass, sich deswegen noch länger seelisch belastet zu fühlen. Eine etwaige Einsichtnahme in die Daten auf dem Übermittlungsweg, für die im Übrigen nichts spricht, hat aus dem bereits dargelegten Grund unberücksichtigt zu bleiben.

(g) Der Senat hat schließlich keinen Anlass, den Schadensersatzbetrag im Hinblick auf eine damit zu erzielende abschreckende Wirkung gesondert zu erhöhen. Ob einem nach Art. 82 Abs. 1 DSGVO zuzusprechenden Schadensersatzbetrag per se eine abschreckende Wirkung zukommen muss, wie teilweise vertreten wird, hält der Senat für zweifelhaft (wie hier Eichelberger, WRP 2021, 159, 163). Letztlich kann dies hier aber dahinstehen, weil dem der Klägerin zugesprochenen Schadensersatzbetrag jedenfalls auch eine ausreichend präventive Wirkung zukommt.

cc) Eine Minderung des Schadensersatzbetrags nach § 254 Abs. 1 BGB, für welche die Beklagte plädiert, kommt nach den für den Senat bindenden tatsächlichen Feststellungen des Landgerichts nicht in Betracht. Die Beklagte kann mit ihrem erstmals in der Berufungsinstanz gehaltenen Sachvortrag, die Klägerin habe dem Zeugin A. die falsche E-Mail-Adresse angegeben, gemäß § 531 Abs. 2 Satz 1 Nr. 3 ZPO nicht mehr gehört werden. Es beruht auf Nachlässigkeit, dass die Beklagte diesen Vortrag nicht schon in erster Instanz gehalten hat. Auch darüber hinaus bestehen keine ausreichenden Anhaltspunkte, die ein relevantes Mitverschulden der Klägerin an dem fehlerhaften E-Mail-Versand an die falsche E-Mail-Adresse begründen könnten.


Den Volltext der Entscheidung finden Sie hier:


LG Mainz: Schadensersatzanspruch in Höhe von 5.000 EURO aus Art. 82 DSGVO wegen unberechtigtem Schufa-Eintrag

LG Mainz
Urteil vom 12.11.2021
3 O 12/20


Das LG Mainz hat in diesem Fall Schadensersatzanspruch in Höhe von 5.000 EURO aus Art. 82 DSGVO wegen eines unberechtigten Schufa-Eintrags zugesprochen.

Aus den Entscheidungsgründen:

Auf den Klageantrag zu 4. sind dem Kläger 5.000,- € zuzusprechen.

Der Antrag ist dahin gehend zu verstehen, dass lediglich die Beklagte (im Singular), nicht die Beklagten (im Plural) zu verurteilen sind. Soweit der Antrag auf die Verurteilung mehrerer Beklagter gerichtet ist, handelt es sich angesichts des Umstandes, dass im Verfahren immer nur eine Beklagte in Anspruch genommen worden ist, um ein offenkundiges Schreibversehen.

Die Beklagte hat dem Kläger Schadenersatz zu leisten in Höhe von 5.000,- €. Soweit der Kläger darüber hinaus Schadenersatz in Höhe von insgesamt 10.000,- € geltend macht, ist die Klage unbegründet, weil weder ein erstattungsfähiger materieller Schaden hinreichend dargelegt und bewiesen ist, noch der festzustellende immaterielle Schaden einen Ersatzanspruch von mehr als 5.000,- € rechtfertigt.

a. Ein Anspruch des Klägers gegen die Beklagte auf Schadenersatz ist in Höhe von 5.000,- € aus Art. 82 DSGVO begründet.

Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.

Die Ersteinmeldung der Beklagten an die SCH. Holding AG vom 16.07.2019 war ein "Verstoß gegen diese Verordnung“ im Sinne des Art. 82 Abs. 1 DSGVO. Nach Erwägungsgrund 146 genügt entgegen dem Wortlaut von Art. 82 Abs. 1 DSGVO auch ein Verstoß gegen die erlassenen delegierten Rechtsakte und Durchführungsrechtsakte sowie präzisierenden Rechtsvorschriften der Mitgliedstaaten (so ausdrücklich Erwägungsgrund 146 zur DSGVO; vgl. ferner Wolff/Brink, BeckOK Datenschutzrecht, 37. Ed. Stand 01.08.2021, Art. 82 DSGVO Rın. 15; Ehrmann/Selmayr DSGVO, 2. Aufl. 2018, Art 82 Rn 9), so dass es nicht darauf ankommt, ob sich vorliegend die Unzulässigkeit der Ersteinmeldung aus der DSGVO selbst oder aus den präzisierenden Rechtsvorschriften des nationalen Rechts ergibt. Dass die Einmeldung als solche rechtswidrig war, ist bereits festgestellt worden.

Es ist der Beklagten auch nicht gelungen, im Sinne des Art. 82 Abs. 3 DSGVO nachzuweisen, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. „Verantwortung“ meint hier das Verschulden im Sinne der deutschen Rechtsterminologie, nicht die datenschutzrechtliche Verantwortung (Wolff/Brink, BeckOK Datenschutzrecht, 37. Ed. Stand 01.08.2021, Art 82 DSGVO Rn. 17). Ausreichend ist Vorsatz oder Fahrlässigkeit (Ehrmann/Selmayer, DSGVO, 2. Aufl. 2018, Art 82 Rn 14). Das Verschulden wird nach dem insoweit eindeutigen Wortlaut des Art. 82 Abs. 3 DSGVO vermutet (Beweislastumkehr, Wolff/Brink, BeckOK Datenschutzrecht, 37. Ed. Stand 01.08.2021, Art 82 DSGVO Rn 17; Ehrmann/Selmayr DSGVO, 2. Aufl. 2018, Art 82 Rn 4, 19). Die mithin zur Meidung einer Haftung erforderliche Exkulpation ist der Beklagten nicht gelungen. Sie hatte keine tragfähigen Anhaltspunkte für die Beurteilung der Frage, ob der Mahnbescheid dem Kläger wirksam zugestellt oder dem Kläger sonst in der gebotenen Weise rechtliches Gehör gewährt worden war, ob ihm etwa die Mahnschreiben der Beklagten einschließlich insbesondere der Ankündigung, ggf. die Forderung an die SCH. Holding AG zu melden, tatsächlich zugegangen waren. Unter diesen Umständen hätte die Beklagte die ihr obliegenden Sorgfaltspflichten nur erfüllt, wenn sie vorsorglich zusätzlich eine kurze Karenzfrist nach Erlass des Titels abgewartet hätte.

Der Kläger hat durch die Ersteinmeldung der Beklagten an die SCH. Holding AG vom 16.07.2019 zwar keinen von ihm bezifferten materiellen Schaden erlitten. Er behauptet, er habe aufgrund des Negativeintrages „massive wirtschaftliche Konsequenzen und Nachteile, die bis jetzt andauerten“, ohne konkret darzutun, in welcher Hinsicht und in welchem Umfang es über eine bloße Vermögensgefährdung hinaus zu einer konkreten Vermögensbeeinträchtigung gekommen sein soll.

Der Kläger hat jedoch einen nach Art. 82 DSGVO gleichfalls ersatzfähigen immateriellen Schaden erlitten. Voraussetzung für einen Schadenersatzanspruch für immaterielle Schäden nach Art. 82 Abs. 1 DSGVO ist eine benennbare und tatsächliche Persönlichkeitsverletzung. Die in der bisherigen deutschen Rechtsprechung für Schmerzensgeld geforderte Voraussetzung einer schwerwiegenden Persönlichkeitsverletzung verträgt sich hingegen nicht mit Art. 82 Abs. 2 DSGVO; sie ist weder vorgesehen noch von dessen Ziel und Entstehungsgeschichte gedeckt, der Anspruch ist hiervon grundsätzlich unabhängig. Die schwerwiegende Persönlichkeitsverletzung kann vor diesem Hintergrund auch nicht als untere Grenze einer Schmerzensgeldhöhe wieder eingelesen werden. Vielmehr ist der immaterielle Schaden umfassend zu ersetzen. Eine schwerwiegende Persönlichkeitsverletzung wird regelmäßig zu einem hohen Schmerzensgeld führen (Wolff/Brink, BeckOK Datenschutzrecht, 37. Ed. Stand 01.08.2021, Art. 82 DSGVO Rn. 32). Mit dieser Einschränkung gelten für den immateriellen Schadenersatz nach Art. 82 Abs. 2 DSGVO die im Rahmen von § 253 BGB entwickelten Grundsätze; die Ermittlung obliegt dem Gericht nach 8 287 ZPO (Wolff/Brink, BeckOK Datenschutzrecht, 37. Ed. Stand 01.08.2021, Art. 82 DSGVO Rn. 31). Bei der Bemessung des „vollständigen und wirksamen Schadenersatzes für den erlittenen Schaden“ (Erwägungsgrund 146 zur DSGVO) ist auch die Genugtuungs- und Abschreckungsfunktion des Anspruchs aus Art. 82 DSGVO zu berücksichtigen.

Der Kläger hat plausibel und im Kern unbestritten dargelegt, durch den SCH.-Eintrag eine massive Beeinträchtigung seines sozialen Ansehens im Sinne der Einschätzung seiner Kreditwürdigkeit durch Dritte erlitten zu haben. Die Beklagte hat lediglich die weitere Behauptung des Klägers in Abrede gestellt, die konkret in Rede stehende Einmeldung der Beklagten an die SCH. Holding AG sei auch ursächlich dafür gewesen, dass dem Kläger Kreditkarten gesperrt worden seien und dass seineImmobilienfinanzierung gefährdet gewesen sei. Für diese damitverbundene Verletzung des allgemeinen Persönlichkeitsrechts des Klägers erachtet die Kammereinen Schadenersatzanspruch von 5.000,- € als angemessen, aber auch ausreichend.


Den Volltext der Entscheidung finden Sie hier:

LAG Hannover: 1.250 EURO Schadensersatz aus Art. 82 DSGVO für verspätete Auskunftserteilung gemäß Art. 15 DSGVO - keine Erheblichkeitsschwelle für Anspruch

LAG Hannover
Urteil vom 22.10.2021
16 Sa 761/20


Das LAG Hannover hat in diesem Fall einem Arbeitnehmer im Rahmen einer Kündigungsschutzklage 1.250 EURO Schadensersatz aus Art. 82 DSGVO für eine verspätete Auskunftserteilung gemäß Art. 15 DSGVO zugesprochen. Das Gericht ist dabei der Ansicht, dass ein solcher Anspruch nicht das Überschreiten einer Erheblichkeitsschwelle voraussetzt.

Aus den Entscheidungsgründen:

Ein Anspruch des Klägers auf Ersatz des immateriellen Schadens folgt aus Art. 82 Abs. 1 DS-GVO. Danach hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Diese Voraussetzungen liegen vor.

(1) Der Kläger ist anspruchsberechtigt. Er gehört zu den von Art. 82 Abs. 1 DS-GVO geschützten betroffenen Personen iSv. Art. 4 Nr. 1 DS-GVO als diejenige Person, auf die sich die Daten beziehen, welche verarbeitet werden (vgl. EuArbRK/Franzen, 3. Aufl. 2020, DS-GVO Art. 82 Rn. 3). Vorliegend geht es um die Datenverarbeitung in Bezug auf den Kläger im Rahmen des Arbeitsverhältnisses mit der Beklagten und iZm. der sog. „Dieselaffäre“. Insoweit ist der Kläger eine betroffene Person.

(2) Die Beklagte ist anspruchsverpflichtet. Gemäß Art. 82 Abs. 1 Satz 1 DS-GVO haftet jeder an einer Verarbeitung beteiligte Verantwortliche für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. Hierunter zu fassen sind die Verantwortlichen nach Art. 4 Nr. 7 DS-GVO (vgl. EuArbRK/Franzen, 3. Aufl. 2020, DS-GVO Art. 82 Rn. 6). Dies ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Danach ist die Beklagte als juristische Person und Arbeitgeberin des Klägers Verantwortliche, da sie die personenbezogenen Daten verarbeitet.

(3) Ein Verstoß gegen diese Verordnung iSd. § 82 Abs. 1 DS-GVO ist gegeben. Hierbei ist jeglicher Verstoß gegen eine Vorschrift der DS-GVO einschließlich der Formvorschriften ausreichend (hM - vgl. EuArbRK/Franzen, 3. Aufl. 2020, DS-GVO Art. 82 Rn. 10; Kühling/Buchner/Bergt, 3. Aufl. 2020, DS-GVO Art. 82 Rn. 23; Paal/Pauly/Frenzel, 3. Aufl. 2021, DS-GVO Art. 82 Rn. 8, jeweils mwN).

(a) Ein solcher ist jedoch nicht in der möglicherweise fehlerhaften Auskunftserteilung im Jahr 2016 und der Übermittlung der Personalakte Ende des Jahres 2016 und weiterer Unterlagen an unterschiedliche Stellen in den USA vor dem 25.05.2018 zu erblicken.

(aa) Zwar tritt die DS-GVO gem. Art. 99 Abs. 1 DS-GVO am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft. In Anbetracht der am 04.05.2016 erfolgten Veröffentlichung war dies der 25.05.2016. Sie gilt nach Art. 99 Abs. 2 DS-GVO jedoch ab dem 25.05.2018. Die DS-GVO ist im Übergangszeitraum aber noch nicht anwendbar und datenverarbeitende Stellen (Verantwortliche und Auftragsverarbeiter) oder Betroffene können sich noch nicht auf sie berufen. Die Artikel der DS-GVO beanspruchen erst ab dem 25.5.2018 Gültigkeit (Gola DS-GVO/Piltz, 2. Aufl. 2018, DS-GVO Art. 99 Rn. 5).

(bb) Vor diesem Hintergrund sind etwaige datenschutzrechtliche Verstöße der Beklagten, die vor dem 25.05.2018 erfolgten, nicht geeignet, einen Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO zu begründen. Es handelte sich bei der Übertragung der Personalakte und weiterer Unterlagen und der ggf. unzureichenden bzw. fehlerhaften Beantwortung des Auskunftsbegehrens des Klägers auch um bereits abgeschlossene Handlungen der Beklagten. Diese Pflichtverletzungen wirken nicht fort, sind daher nicht seit dem 25.05.2018 auf Grundlage der Vorschriften der DS-GVO zu beurteilen und können zu keinen kausalen Schäden iSd. Art. 82 DS-GVO führen. Die Datenübermittlung ist ein Akt, der sich in der Weitergabe der Daten erschöpft. Das Verbleiben der Daten bei der Stelle, an welche die Übermittlung erfolgte, ist nicht mehr zu der Übermittlung selbst zu zählen, sondern eine Folge davon. Auch die Beantwortung des Auskunftsbegehrens ist abgeschlossen, indem die Beklagte entsprechende Mitteilungen tätigte. Es kann nicht davon ausgegangen werden, dass ein Rechtsverstoß bei einer Datenverarbeitung vor dem Geltungszeitpunkt der DS-GVO die fortgesetzte Datenverarbeitung „infiziert“ und zu einem Schadensersatzanspruch führt (LAG Baden-Württemberg 25. Februar 2021 – 17 Sa 37/20 – Rn. 85; Kühling/Buchner/Bergt, 3. Aufl. 2020, DS-GVO Art. 82).

(b) Die Beklagte hat ihre Pflichten iZm. dem Auskunftsersuchen des Klägers nach Art. 15 Abs. 1 DS-GVO verletzt. Der Auskunftsanspruch nach Art. 15 DS-GVO besteht auch in einem Arbeitsrechtsverhältnis. Die allgemeinen Bestimmungen der DS-GVO enthalten eine Vollregelung, auch zum Beschäftigtendatenschutz (LAG Baden-Württemberg 20. Dezember 2018 – 17 Sa 11/18 – Rn. 172). Nach Art. 15 Abs. 1 DS-GVO hat die betroffene Person das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf bestimmte, in der Norm aufgezählte Informationen. Der Kläger hat mit Schriftsatz vom 09.08.2018 ein solches Auskunftsbegehren gegenüber der Beklagten geltend gemacht und dieses auf die Daten, die bezüglich des Klägers im Zusammenhang mit der „vermeintlichen Diesel-Affäre“ gespeichert sind, beschränkt. Mit Schreiben vom 27.09.2018 hat er dieses Begehren konkretisiert. Dieses Auskunftsverlangen ist mit Schreiben der Beklagten vom 15.10.2018 nur unvollständig beantwortet worden.

(aa) Der Umfang der Auskunft wird nicht einheitlich beurteilt.

Gemäß Art. 4 Nr. 1 Hs. 1 DS-GVO sind „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Nach dieser Definition und der Rechtsprechung des EuGH ist der Begriff weit zu verstehen. Er ist nicht auf sensible oder private Informationen beschränkt, sondern umfasst potenziell alle Arten von Informationen sowohl objektiver als auch subjektiver Natur in Form von Stellungnahmen oder Beurteilungen, unter der Voraussetzung, dass es sich um Informationen über die in Rede stehende Person handelt. Die letztgenannte Voraussetzung ist erfüllt, wenn die Information aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer bestimmten Person verknüpft ist (BGH 15. Juni 2021 – VI ZR 576/19 – Rn. 22 mit Verweis auf EuGH 20. Dezember 2017 – C-434/16). Der Personenbezug im Rahmen von Art. 15 DS GVO setzt nicht voraus, dass es um „signifikante biografische Informationen“ gehe, die „im Vordergrund“ des fraglichen Dokuments stünden (BGH 15. Juni 2021 – VI ZR 576/19 – Rn. 22). Die umfasst auch Korrespondenzen mit Dritten sowie interne Vermerke oder interne Kommunikation, soweit auf die Person des Klägers bezogene Daten enthalten sind (BGH 15. Juni 2021 – VI ZR 576/19 – Rn. 26, 27). Auch solche Aussagen, die eine subjektive und/oder objektive Einschätzung zu einer identifizieren oder identifizierbaren Person liefern, weisen einen Personenbezug auf (OLG Köln 26. Juli 2019 – 20 U 75/18 – Rn. 62).Rechtliche Analysen können zwar personenbezogene Daten enthalten, die auf der Grundlage dieser personenbezogenen Daten vorgenommene Beurteilung der Rechtslage selbst stellt aber keine Information über den Betroffenen und damit kein personenbezogenes Datum dar(BGH 15. Juni 2021 – VI ZR 576/19 – Rn. 28 mit Verweis auf EuGH 17. Juli 2014 – C-141/12 und C-372/12 – Rn. 39 ff.).

Nach anderer Ansicht bezieht sich der Auskunftsanspruch aber nicht auf sämtliche internen Vorgänge der Beklagten, wie z.B. Vermerke, oder darauf, dass die betreffende Person sämtlichen gewechselten Schriftverkehr, der dem Betroffenen bereits bekannt ist, erneut ausgedruckt und übersendet erhalten kann. Der Anspruch aus Art. 15 DS-GVO dient nicht der vereinfachten Buchführung des Betroffenen, sondern soll sicherstellen, dass der Betroffene den Umfang und Inhalt der gespeicherten personenbezogenen Daten beurteilen kann (LG Köln 19. Juni 2019 – 26 S 13/18 – Rn. 23).

Die Kammer folgt der Ansicht, wonach die Auskunftspflicht nach Art. 15 Abs. 1 DS-GVO einem weitreichenden Verständnis unterliegt. Der Wortlaut der Norm gibt keinen Anlass, eine Einschränkung vorzunehmen. Vielmehr bezieht sich die Vorschrift uneingeschränkt auf personenbezogene Daten. Auch Erwägungsgrund 63 Satz 1 verweist umfassend auf ein Auskunftsrecht hinsichtlich der personenbezogenen Daten mit dem Zweck, sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit zu überprüfen. Insoweit ist auf die Definition in Art. 4 Ziff. 1 DS-GVO abzustellen, wonach es sich bei den personenbezogenen Daten um alle Informationen handelt, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Nur bei einem weiten Verständnis der personenbezogenen Daten ist es der betroffenen Person möglich, zweckentsprechend die Rechtmäßigkeit der Verarbeitung zu überprüfen.

(bb) Dementsprechend wurde durch die Beklagte keine umfassende Auskunft erteilt, da sie keine abstrakte Zusammenstellung aller verarbeiteten, personenbezogenen Daten des Klägers enthält. Die Beklagte verwies in ihrem Schreiben vom 15.10.2018 auf die in der Anlage 2 übermittelten, teils unkenntlich gemachten Dokumente, die Gegenstand der Auflistung der Anlage 3 sind. Sie verwies weiter darauf, dass darüber hinausgehend Dokumente existieren, die wegen Art. 15 Abs. 4 DS-GVO nicht als Kopien in Anlage 2 enthalten sind. Diese wurden dementsprechend auch nicht aufgelistet. Ferner wurden nach Mitteilung in der Auskunft keine Dokumente beigefügt, in denen die relevanten Informationen weiterverwendet wurden – bspw. in Bewertungen der Rechtsabteilung. Insofern ist erkennbar, dass die Auskunft sich nicht auf alle relevanten Informationen erstreckte, da die Beklagte schon nicht mitteilte, in welchen weiteren Dokumenten personenbezogene Daten des Klägers enthalten sind, die weder aufgelistet waren noch beigefügt. Die Beklagte selbst trägt vor, dass Informationen aufgrund eines überwiegenden Interesses Dritter nicht beauskunftet werden konnten.

(cc) Dass die Beklagte zu einer eingeschränkten Auskunft berechtigt war, ergibt sich aus ihren Darlegungen nicht hinreichend. Die Beklagte beruft sich insoweit auf entgegenstehende Rechte und Freiheiten anderer Personen - auch der Beklagten selbst - und den Schutz von Betriebs- und Geschäftsgeheimnissen.

(aaa) Nach § 34 Abs. 1 BDSG iVm. § 29 Abs. 1 Satz 2 BDSG besteht das Recht auf Auskunft der betroffenen Person gemäß Artikel 15 der Verordnung (EU) 2016/679 nicht, soweit durch die Auskunft Informationen offenbart würden, die nach einer Rechtsvorschrift oder ihrem Wesen nach, insbesondere wegen der überwiegenden berechtigten Interessen eines Dritten, geheim gehalten werden müssen.

Nach Art. 15 Abs. 4 DS-GVO darf das Recht auf Erhalt einer Kopie die Rechte und Freiheiten anderer Personen nicht beeinträchtigen. Ob sich Art. 15 Abs. 4 DS-GVO allein auf die Herausgabe von Kopien bezieht oder auch den aus Art. 15 Abs. 1 DS-GVO folgenden Auskunftsanspruch umfasst (so: Paal/Pauly/Paal, 3. Aufl. 2021, DS-GVO Art. 15 Rn. 41; Sydow, Europäische Datenschutzgrundverordnung, 2. Aufl. 2018, DSGVO Art. 15 Rn. 22), kann dahingestellt bleiben, auch wenn grds. auch der Verantwortliche selbst dem Anwendungsbereich des Art. 15 Abs. 4 DS-GVO unterfällt (vgl. Kühling/Buchner/Bäcker, 3. Aufl. 2020, DS-GVO Art. 15 Rn. 42).

Bezüglich beider Vorschriften ist nicht ersichtlich, dass die Voraussetzungen vorliegen.

(bbb) Dass die Beklagte berechtigt war, die entsprechenden Auskünfte zu verweigern, hat sie nicht hinreichend vorgetragen.

(aaaa) Inwieweit tatsächlich fremde Rechte der reinen Informationserteilung entgegenstehen können (was von Erwägungsgrund 63 zumindest angedeutet wird), ist in Ansehung des vorbehaltlos gewährleisteten Art. 8 Abs. 2 S. 2 GRCh in jedem Einzelfall und nach strengen Maßstäben kritisch zu prüfen (Gola DS-GVO/Franck, 2. Aufl. 2018, DS-GVO Art. 15). Soweit die Verpflichtete mit dem Hinweis auf schützenswerte Interessen Dritter den Auskunftsanspruch verweigert, ist sie für die maßgeblichen Umstände in der Darlegungslast (vgl. LAG Baden-Württemberg 20. Dezember 2018 – 17 Sa 11/18 – Rn. 183; LAG Baden-Württemberg 17. März 2021 – 21 Sa 43/20 – Rn. 32). Gegenläufige Rechte und Freiheiten schließen das Recht auf eine Datenkopie allerdings nur in einer konkreten Kollisionslage aus, für die der Verantwortliche die Beweislast trägt. Die stets begründbare allgemeine Besorgnis, dass die betroffene Person mit hinreichendem Zusatzwissen aus der Datenkopie auf sensible Informationen schließen könnte, reicht nicht aus (Kühling/Buchner/Bäcker, 3. Aufl. 2020, DS-GVO Art. 15). Bei der Darlegung im Prozess wird verlangt, dass dafür Sorge getragen werden müsse, dass die Darlegungen nicht so weit gehen müssen, als dass aus der Darstellung des Hinderungsgrundes für den Arbeitnehmer die gewünschten Informationen zu entnehmen sind (Fuhlrott, NZA-RR 2019, 242 (252)).

(bbbb) Diesen Anforderungen genügt der Vortrag der Beklagten nicht, ein die Einschränkungen hinreichend begründender Tatsachenvortrag ist nicht erfolgt. Die Beklagte hat pauschal vorgetragen, dass Daten oder Informationen wegen der Beschränkungen des Art. 15 Abs. 4 DS-GVO zurückgehalten wurden, dass eine Auskunft über die Verarbeitung durch die Rechts- und Compliance-Abteilungen in Form der rechtlichen Bewertungen, Analysen, Gutachten und Vermerke nicht erfolgte. Zudem sei ein Schutz von Geschäfts- und Betriebsgeheimnissen auch über § 29 Abs. 1 Satz 2 BDSG gerechtfertigt und auch ihre eigenen Rechte seien im Rahmen des Art. 15 Abs. 4 DS-GVO zu berücksichtigen und vor diesem Hintergrund sei ein Zurückhalten der Daten gerechtfertigt. Schließlich machte die Beklagte eine Einschränkung im Hinblick auf das arbeitsgerichtliche Verfahren zwischen den Parteien geltend.

Dieser Vortrag ist in der vorgenommenen Pauschalität jedoch nicht nachprüfbar. Inwieweit in diesem Zusammenhang ein berechtigtes entgegenstehendes Interesse Dritter oder Betriebsgeheimnisse es im Einzelnen notwendig machten, die Auskunft nicht vorzunehmen, begründete die Beklagte nicht mit konkretem Tatsachenvortrag. Dementsprechend ist mangels Vortrages nicht nachvollziehbar, erwiderungsfähig oder überprüfbar, ob berechtigte Ausnahmen einer Auskunftserteilung entgegenstehen. Jedenfalls in Grundzügen wäre von der Beklagten zu verlangen, dass sie Vortrag leistet, aus dem sich ergeben kann, dass das Auskunftsbegehren mit den Rechten und Freiheiten Dritter, ihren eigenen Belangen oder Geschäftsgeheimnissen kollidiert. Es müsste wenigstens ein gewisser diesbezüglicher Mindestvortrag erfolgen. Anderenfalls könnte allein durch die bloße Behauptung, die Voraussetzungen der Ausnahmeregelungen liegen vor, die Auskunft – teilweise – verweigert werden. Die Beklagte hätte beispielsweise benennen können, um welche Informationen es sich handelt und stichwortartig unter zeitlicher Eingrenzung umschreiben können, was Gegenstand dieser ist, ohne den genauen Inhalt wiedergeben zu müssen. Die Beklagte belässt es jedoch dabei auszuführen, dass weitere Auskünfte nicht erteilt und Unterlagen nicht zur Verfügung gestellt würden, ohne dass auch nur im Ansatz ersichtlich ist, worauf die Beklagte sich bezieht. Weder nach der Anzahl noch dem Gegenstand der Informationen hat die Beklagte eine Konkretisierung vorgenommen.

(dd) Der Beklagten stand kein Verweigerungsrecht nach Art. 12 Abs. 5 Satz 2 lit. b DS-GVO zu, wobei dahingestellt bleiben kann, ob diese Regelung auf die Ansprüche aus Art. 15 DS-GVO übertragbar ist. Der Antrag des Klägers war nicht offensichtlich unbegründet, exzessiv oder rechtsmissbräuchlich. Dass dem Kläger ein Antragsrecht nach Art. 15 DS-GVO zustand, steht zwischen den Parteien nicht im Streit. Zudem scheidet eine exzessive Nutzung des Antragsrechts aus. Exzessiv ist eine Antragstellung insbes. dann, wenn sie ohne tragfähigen Grund häufig wiederholt wird oder einen unverhältnismäßigen Umfang aufweist (Paal/Pauly/Paal/Hennemann, 3. Aufl. 2021, DS-GVO Art. 12 Rn. 64). Es sollen rechtsmissbräuchliche Anträge unterbunden werden, die ua vornehmlich auf die Schikanierung des Verantwortlichen abzielen (Paal/Pauly/Paal/Hennemann, 3. Aufl. 2021, DS-GVO Art. 12 Rn. 66). Dies ist nicht der Fall. Der Kläger stellte 2016 und 2018 jeweils einen Auskunftsantrag, so dass bereits die Häufigkeit nicht für eine exzessive Nutzung spricht. Es ist zudem zu berücksichtigen, dass der Kläger seinen Auskunftsanspruch explizit auf die iZm. der „Dieselaffäre“ verarbeiteten Daten bezog und nicht auf alle, während der gesamten Dauer des Arbeitsverhältnisses erhobenen Daten richtete. Dem Kläger war daher nicht daran gelegen, die Beklagten mit unverhältnismäßigem Aufwand zu belasten, sondern er nahm seine Rechte zielgerichtet im Rahmen seiner Interessen wahr. Auch ein rechtsmissbräuchliches Vorgehen des Klägers ist nicht ersichtlich. Dass das Auskunftsverlangen darauf gerichtet war, die Beklagte auszuforschen, vermutet sie in Anbetracht des zeitlichen Zusammenhangs mit der Anhörung zum Kündigungssachverhalt. Dies kann für den Kläger jedoch auch nur Anlass gewesen sein, über die Verarbeitung seiner personenbezogenen Daten Auskunft zu begehren, um deren Rechtmäßigkeit beurteilen zu können.

(ee) Ein Verweigerungsrecht wegen unverhältnismäßigen Aufwands ist nicht gegeben. Ein solches ist in Art. 15 DS-GVO nicht ausdrücklich normiert, jedoch anerkannt (Gola DS-GVO/Franck, 2. Aufl. 2018, DS-GVO Art. 15 Rn. 38). Vorliegend ist zu berücksichtigen, dass der Kläger sein Auskunftsverlangen präzisiert und damit die Möglichkeit, die in Erwägungsgrund 63 aE niedergelegt ist, bereits wahrgenommen hat. Der Kläger verlangt gerade nicht Auskunft über alle im Rahmen des gesamten Arbeitsverhältnisses verarbeiteten Daten, sondern grenzt sein Begehren auf diejenigen ein, die mit der „Diesel-Thematik“ im Zusammenhang stehen.

(c) Die Beklagte hat nicht gegen ihre Verpflichtungen nach Art. 15 Abs. 3 Satz 1 DS-GVO verstoßen, indem sie zu einem Großteil geschwärzte Unterlagen und Kopien an den Kläger übermittelte. Gemäß Art. 15 Abs. 3 Satz 1 DS-GVO stellt der Verantwortliche eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung. Der Kläger hat in seinem Schreiben vom 27.09.2018 ausdrücklich auch auf die Pflicht zur Verfügungstellung von Kopien der personenbezogenen Daten hingewiesen.

(aa) Die Reichweite des Art. 15 Abs. 3 Satz 1 DS-GVO ist streitig.

Nach einer Ansicht soll der Anspruch auf Erteilung einer Kopie über die personenbezogenen Daten auf diejenigen bezogen sein, auf die sich auch das Auskunftsrecht nach Art. 15 Abs. 1 DS-GVO bezieht (vgl. LAG Niedersachsen 9. Juni 2020 – 9 Sa 608/19 - Rn. 45; LAG Baden-Württemberg 17. März 2021 – 21 Sa 43/20 – Rn. 29; Paal/Pauly/Paal, 3. Aufl. 2021, DS-GVO Art. 15 Rn. 33, ArbG Bonn 16. Juli 2020 – 3 Ca 2026/19 – Rn. 56). Nach der anderen Auffassung widerspreche eine solche Auslegung dem der DS-GVO zugrunde liegenden weit gefassten Begriff der personenbezogenen Daten und dem Sinn und Zweck des Art. 15 Abs. 3 Satz 1 DS-GVO (vgl. OVG Münster 8. Juni 2021 – 16 A 1582/20 – Rn. 73 ff.; OLG München 4. Oktober 2021 – 3 U 2906/20 – Rn. 20), die Datenkopie soll nicht identisch mit der Auskunft über die verarbeiteten Daten sein (Kühling/Buchner/Bäcker, 3. Aufl. 2020, DS-GVO Art. 15 Rn. 39).

(bb) Die Kammer schließt sich der Ansicht an, wonach die Ansprüche nach Art. 15 Abs. 1 und Art. 15 Abs. 3 Satz 1 DS-GVO nicht nebeneinander stehen, sondern sich der Anspruch auf Kopien auf die Auskünfte des Art. 15 Abs. 1 DS-GVO bezieht. Sinn und Zweck des aus Art. 15 DS-GVO folgenden Auskunftsrechts ist es, den betroffenen Personen eine Überprüfung der Rechtmäßigkeit der Datenverarbeitung zu ermöglichen, was aus Erwägungsgrund 63 Satz 1 folgt. Danach sollte eine betroffene Person ein Auskunftsrecht hinsichtlich der sie betreffenden personenbezogenen Daten, die erhoben worden sind, besitzen, um sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können. Dieses Ziel der Ermöglichung der Überprüfung wird erreicht, wenn die aus Art. 15 Abs. 1 DS-GVO folgenden Auskünfte in Kopie zur Verfügung gestellt werden. Hierfür bedarf es nicht der Vorlage der gesamten Unterlagen in Kopie. Ferner folgt aus dem Wortlaut des Art. 15 Abs. 3 Satz 1 DS-GVO, dass personenbezogene Daten, die Gegenstand der Verarbeitung sind, zur Verfügung gestellt werden. Art. 15 Abs. 1 DS-GVO bezieht sich jedoch gerade auf die Auskunft über diese personenbezogenen Daten.

Dementsprechend ist die Beklagte ihrer Pflicht aus Art. 15 Abs. 3 Satz 1 DS-GVO, eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung zu stellen, jedenfalls in dem Umfang, in dem sie eine Auskunft vorgenommen hat, hinreichend nachgekommen.

(d) Das Auskunftsverlangen des Klägers wurde verspätet beantwortet.

Nach Art. 12 Abs. 3 Satz 1 DS-GVO stellt der Verantwortliche der betroffenen Person Informationen über die auf Antrag gemäß den Artikeln 15 bis 22 ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung. Gemäß Art. 12 Abs. 3 Satz 2 DS-GVO kann diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist. Der Verantwortliche unterrichtet die betroffene Person innerhalb eines Monats nach Eingang des Antrags über eine Fristverlängerung, zusammen mit den Gründen für die Verzögerung Art. 12 Abs. 3 Satz 3 DS-GVO.

Diese Vorgaben wurden durch die Beklagte nicht gewahrt. Das Auskunftsbegehren des Klägers vom 09.08.2018 wurde per E-Mail an die Prozessbevollmächtigten der Beklagten übersandt. Dass eine Empfangsbevollmächtigung der Prozessbevollmächtigten auch insoweit vorlag, wird von der Beklagten nicht in Abrede gestellt. Auch wenn nicht ersichtlich ist, wann genau dieses Schreiben der Beklagten zugegangen ist, ist jedoch erkennbar, dass jedenfalls am 26.09.2018 die Monatsfrist abgelaufen war. Mit Schreiben vom 26.09.2018 teilte die Beklagte zwar mit, dass sie von der Fristverlängerung um zwei Monate nach Art. 12 Abs. 3 Satz 2 DS-GVO Gebrauch machen würde, zu diesem Zeitpunkt war jedoch unstreitig der Fristablauf bereits eingetreten. Der Wortlaut des Art. 12 Abs. 3 Satz 3 DS-GVO ist insoweit eindeutig, als darin gefordert wird, dass innerhalb eines Monats nach Antragseingang über die Fristverlängerung zu unterrichten ist (vgl. Paal/Pauly/Paal/Hennemann, 3. Aufl. 2021, DS-GVO Art. 12 Rn. 54; (Gola DS-GVO/Franck, 2. Aufl. 2018, DS-GVO Art. 12 Rn. 26). Die E-Mail vom 20.08.2018 stellte bereits kein Schreiben iSv. Art. 12 Abs. 3 Satz 3 DS-GVO dar, da in diesem nicht auf eine Fristverlängerung hingewiesen, sondern mitgeteilt wurde, dass binnen Monatsfrist eine Antwort erfolgen wird.

(e) Eine Pflichtverletzung ist nicht darin zu sehen, dass die Beklagte eine Rechtsgrundlage für die Übermittlung der Daten in die USA nicht benannt hat.

Die Informationspflicht aus Art. 13 Abs. 1 c), Art. 14 Abs. 1 c) DS-GVO umfasst die Mitteilung der Rechtsgrundlage der Verarbeitung, in Art. 15 Abs. 1 DS-GVO ist eine solche Mitteilungspflicht gerade nicht normiert (vgl. auch Gola DS-GVO/Franck, 2. Aufl. 2018 Rn. 7, DS-GVO Art. 15 Rn. 7). Eine solche könnte gegeben sein, wenn die betroffene Person ein berechtigtes Interesse an einer rechtlichen Würdigung plausibilisiert (Kühling/Buchner/Bäcker, 3. Aufl. 2020, DS-GVO Art. 15 Rn. 13). Dies ist vorliegend nicht der Fall.

(f) Auch ein Verstoß gegen die Datensicherheit ist durch die Übermittlung der Kopien mittels Taxi nicht ersichtlich. Der Kläger selbst hat nicht vorgetragen, dass es sich um einen offenen Karton handelte, in welchem die Kopien enthalten waren, so dass jederzeit ein unbefugter Zugriff ermöglicht worden wäre. Auch wenn die Unterlagen auf dem Postweg übersandt worden wären, hätte ein Überbringen durch die Beklagte selbst oder ihrer Vertreter nicht stattgefunden. In Anbetracht des Umfangs der Unterlagen war es zudem der Beklagten zuzugestehen, nicht den Postweg, sondern einen Kurierfahrer mit der Übermittlung zu beauftragen.

(g) Dass die Auskunft unvollständig war, da sie sich nicht auf einen Ergebnisbericht der Kanzlei JD bezog, ist nicht erkennbar. Der Kläger vermutet lediglich, dass ein solcher existieren müsse. Die Beklagte hatte von Anfang an vorgetragen, dass dieser nicht vorliege. Der Kläger, der mittlerweile Einsicht in die strafrechtlichen Ermittlungsakten hatte, hat auch nicht vorgetragen, dass in diesen ein solcher enthalten war und auch keine weiteren Anhaltspunkte dargelegt, die auf die Existenz eines solchen schließen lassen.

(4) Das Verschulden der Beklagten wird nach Art. 82 Abs. 3 DS-GVO vermutet. Die Beklagte hat keinen entgegenstehenden Vortrag geleistet.

(5) Es liegt zudem ein kausaler, immaterieller Schaden vor. Es ist hierbei von einem weiten Schadensverständnis auszugehen.

(a) Der Schadensbegriff wird in Rechtsprechung und Literatur nicht einheitlich beantwortet.

So verlange Erwägungsgrund 146 S. 3 eine weite Auslegung des Schadensbegriffs im Lichte der Rspr. des EuGH, die den Zielen der DS-GVO in vollem Umfang entspricht (vgl. BVerfG 14. Januar 2021 – 1 BvR 2853/19 – Rn. 19; ArbG Neumünster, 11. August 2020 – 1 Ca 247 c/20 – Rn. 38). Die Forderung einer schwerwiegenden Persönlichkeitsrechtsverletzung vertrage sich nicht mit Art. 82 DS-GVO, da sie weder von dessen Ziel und Entstehungsgeschichte gedeckt sei (LG Lüneburg 14. Juli 2020 – 9 O 145/19 – Rn. 49), dies wirke sich nur noch bei der Höhe des Anspruchs aus (vgl. ArbG D-Stadt 5. März 2020 – 9 Ca 6557/18 - Rn. 84, mwN). Ein immaterieller Schaden entstehe auch, wenn die betroffene Person um ihre Rechte und Freiheiten gebracht oder daran gehindert ist, die sie betreffenden personenbezogen Daten zu kontrollieren (vgl. ArbG Dresden 26. August 2020 – 13 Ca 1046/20 – Rn. 14). Weder der DSGVO noch ihren Erwägungsgründen lasse sich entnehmen, dass der Schadensersatzanspruch einen qualifizierten Verstoß gegen die DSGVO voraussetzt. Für die Annahme einer Erheblichkeitsschwelle oder anders - herum formuliert - die Ausnahme von Bagatellfällen, gebe es keinen Anhaltspunkt (vgl. LAG Hamm 11. Mai 2021 – 6 Sa 1260/20 – Rn. 50). Soweit es nicht um reine Formfehler wie Verstöße gegen Dokumentationspflichten geht, gehe mit der Verletzung datenschutzrechtlicher Normen letztlich immer ein immaterieller Schaden einher (vgl. Kühling/Buchner/Bergt, 3. Aufl. 2020, DS-GVO Art. 82 Rn. 18a). Erwägungsgrund 146 S. 6 spreche gegen die Einschränkung des Entschädigungsanspruchs auf schwere Beeinträchtigungen, die Schwere der Beeinträchtigung sei nur bei der Frage der Höhe des Anspruchs zu berücksichtigen, wobei Bagatellfälle außer Betracht bleiben können (vgl. Gola DS-GVO/Gola/Piltz, 2. Aufl. 2018, DS-GVO Art. 82 Rn. 13). Damit könne eine betroffene Person nun mehr für jede Verletzung der DS-GVO durch Verarbeitung ihrer personenbezogenen Daten auch ein angemessenes Schmerzensgeld verlangen (vgl. Ehmann/Selmayr/Nemitz, 2. Aufl. 2018, DS-GVO Art. 82 Rn. 13).

Nach anderer Meinung führe nicht jeder Verstoß zu einem Schadensersatzanspruch. Allein die Verletzung des Datenschutzrechts als solche begründe nicht bereits für sich gesehen einen Schadensersatzanspruch für betroffene Personen. Die Verletzungshandlung müsse in jedem Fall auch zu einer konkreten, nicht nur unbedeutenden oder empfundenen Verletzung von Persönlichkeitsrechten der betroffenen Person geführt haben (vgl. LG Landshut 6. November 2020 – 51 O 513/20 - Rn. 18). Die Anwendung von Strafschadenersatz sei aufgrund Art. 82 nicht zugelassen (vgl. Spindler/Schuster/Spindler/Horváth, 4. Aufl. 2019, DS-GVO Art. 82 Rn. 8). Daher werde man im Grundsatz weiterhin davon ausgehen können, dass immaterielle Schäden im vorliegenden Zusammenhang nur entstehen, wenn das allgemeine Persönlichkeitsrecht der betroffenen Person nicht unerheblich verletzt wurde (vgl. EuArbRK/Franzen, 3. Aufl. 2020, DS-GVO Art. 82 Rn. 22). Es müsse auch bei einem immateriellen Schaden eine Beeinträchtigung eingetreten sein, die unabhängig von einer Erheblichkeitsschwelle wenigstens spürbar sein muss. Andernfalls scheide ein "Schaden" begrifflich schon aus (vgl. LG Bonn 1. Juli 2021 – 15 O 372/20 – Rn. 42). Der Schaden müsse – wie auch der Anwendungsbereich mancher Norm des EU-Rechts – weit verstanden werden; gleichwohl muss er „erlitten“ (ErwGr 146 S. 6), maW „spürbar“, objektiv nachvollziehbar, von gewissem Gewicht sein (vgl. Paal/Pauly/Frenzel, 3. Aufl. 2021, DS-GVO Art. 82 Rn. 10).

(b) Die Kammer folgt den Erwägungen, wonach unabhängig von dem Erreichen einer Erheblichkeitsschwelle bei Verstößen gegen Regelungen der DS-GVO ein immaterieller Schadensersatz in Betracht kommt. Hierbei ist zu berücksichtigen, dass gerade ausgehend von Erwägungsgrund 146 Satz 3 eine weite Auslegung geboten ist, um den Zielen der Verordnung in vollem Umfang zu entsprechen. Hiermit wäre es unvereinbar, würde eine Schadensersatzpflicht nur bei erheblichen Rechtsverstöße eintreten, da dann eine Vielzahl von Fallgestaltungen denkbar wäre, in denen Betroffene trotz Verstößen gegen die Regelungen der DS-GVO keine Kompensation erhielten. Ferner kann, um die Regelungen der DS-GVO effektiv durchzusetzen, auch auf eine abschreckende Wirkung des Schadensersatzes abgestellt werden (vgl. EuGH 17. Dezember 2015 – C-407/14 – Rn. 44). Zudem sollen die betroffenen Personen nach Erwägungsgrund 146 Satz 3 einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten. Dass ein Schaden erlitten ist, ergibt sich nicht erst bei Überschreiten einer gewissen Erheblichkeitsschwelle – der Schwere der Pflichtverstöße und damit einhergehenden Beeinträchtigungen kann vielmehr effektiv auf Ebene der Höhe des Schadensersatzes begegnet werden.

Indem die Beklagte ihrer Auskunftsverpflichtung zeitlich und inhaltlich nicht hinreichend nachgekommen ist, hat der Kläger keine zeitgerechten, ausreichenden Kenntnisse über die Verarbeitung seiner personenbezogenen Daten erlangt – insofern ist ein Kontrollverlust eingetreten und ihm wird die Möglichkeit der Überprüfung der Rechtmäßigkeit der Verarbeitung seiner personenbezogenen Daten unmöglich gemacht oder erschwert.

(6) Dem Kläger ist in Anbetracht der Pflichtverstöße der Beklagten nach richterlichem Ermessen gem. § 287 Abs. 1 ZPO ein immaterieller Schadensersatz in Höhe von 1.250,-- Euro zuzusprechen.

(a) Den Schadensersatzansprüchen soll generell eine Abschreckungswirkung innewohnen (Sydow, Europäische Datenschutzgrundverordnung, 2. Aufl. 2018, DSGVO Art. 82 Rn. 10, mwN).). Unter Berücksichtigung des Erwägungsgrundes 146 (Satz 6) zur DSGVO soll die betroffene Person einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten(LAG Hamm 11. Mai 2021 – 6 Sa 1260/20 – Rn. 50). Verstöße müssen effektiv sanktioniert werden. Schadenersatz bei Datenschutzverstößen sollen eine abschreckende Wirkung haben, um der Datenschutzgrundverordnung zum Durchbruch zu verhelfen (effet utile) (ArbG Dresden 26. August 2020 – 13 Ca 1046/20 – Rn. 16).

(b) Gemessen an der Zweckrichtung des Schadensersatzes hält die Kammer unter Berücksichtigung und Abwägung der Umstände des vorliegenden Falls einen immateriellen Schadensersatz in Höhe von 1.250,-- Euro angemessen, aber auch ausreichend. Hierbei ist zu berücksichtigen, dass die verspätete Auskunft der Beklagten erfolgte, weil sie nicht innerhalb des ersten Monats die Inanspruchnahme der Verlängerung um zwei Monate begründet mitteilte. Im Ergebnis wurde die Auskunft jedoch innerhalb von gut zwei Monaten nach Geltendmachung des Auskunftsbegehrens und somit noch vor dem Ablauf von drei Monaten erteilt, die der Gesetzgeber dem Verantwortlichen grundsätzlich maximal zubilligt. Hierbei ist auch zu berücksichtigen, dass der Kläger im September 2018 sein Begehren präzisierte und die Beklagte dem in ihrer Antwort Rechnung trug. Andererseits ist erkennbar, dass der Beklagten die einmonatige Frist durchaus bewusst war, da deren Prozessbevollmächtigte im Schreiben vom 20.08.2018 mitteilte, dass eine Erledigung innerhalb dieser Frist erfolgen würde. Insgesamt ist in Anbetracht dieser Gesamtumstände, die dazu führten, dass der Kläger nur für einen vergleichsweise kurzen Zeitraum nach Antragstellung über die Datenverarbeitung im Unklaren war, ein immaterieller Schadensersatz von 250,-- Euro zuzuerkennen. Schwerer wiegt demgegenüber der Verstoß gegen Art. 15 Abs. 1 DS-GVO. Da durch die unzureichende Auskunft der Erkenntnisgewinn des Klägers über die Verarbeitung seiner personenbezogenen Daten nicht umfassend war und die Beklagte hierfür keine ausreichend nachvollziehbare Begründung angeben konnte, erscheint der Kammer ein Schadensersatz in Höhe von 1.000,-- Euro angemessen. Hierdurch wird ausreichend sichergestellt, dass durch die Zahlung eines spürbaren Betrages der Regelung des Art. 15 DS-GVO zur Geltung verholfen wird und die Verpflichteten angehalten werden, die entsprechenden Maßgaben einzuhalten. In die Überlegung einzustellen ist, dass die Beklagte nicht versehentlich die Auskunft hinsichtlich bestimmter Informationen mit personenbezogenen Daten unterlassen hat, sondern diese bewusst zurückgehalten hat, ohne dass ein Grund hierfür nachvollziehbar dargelegt wurde. Anzuknüpfen ist hierbei nach Sicht der Kammer weder an den Verdienst des Klägers noch die finanzielle Leistungsfähigkeit der Beklagten, da beide Komponenten in keinem Zusammenhang mit den datenschutzrechtlichen Verstößen stehen.

Den Volltext der Entscheidung finden Sie hier:


OLG Frankfurt: Keine Rubbellose in der Apotheke - Verstoß gegen Arzneimittelpreisbindung, wenn Kunden für Einlösung von Kassenrezepten Rubellose erhalten

OLG Frankfurt
Urteil vom 10.07.2014
6 U 32/14


Das OLG Frankfurt hat entschieden, dass ein Verstoß gegen die Arzneimittelpreisbindung vorliegt, wenn Kunden für die Einlösung von Kassenrezepten Rubbellose erhalten. Kunden konnten mit den Rubbellosen Einkaufsgutscheine über 1 EURO gewinnen.

Aus den Entscheidungsgründen:

"Die Aushändigung eines Loses, dessen Gewinn in einem Einkaufsgutschein über 1,- € besteht, anlässlich der Abgabe eines rezeptpflichtigen, preisgebundenen Arzneimittels verstößt gegen § 78 II 2, 3, III 1 AMG, § 3 AMPreisV.

Die genannten Bestimmungen des Arzneimittelpreisrechts sollen die Einhaltung eines einheitlichen Apothekenabgabepreises sichern, d.h. jeden Preiswettbewerb zwischen Apotheken beim Verkauf preisgebundener Arzneimittel verhindern. Nach der Rechtsprechung des Bundesgerichtshofs (vgl. GRUR 2013, 1264 - RezeptBonus, juris-Tz. 13; GRUR 2010, 1136 - UNSER DANKESCHÖN FÜR SIE, juris-Tz. 17 ff.; MPR 2010, 204 - Bonussystem, juris-Tz. 14) liegt ein Verstoß gegen die arzneimittelrechtliche Preisbindung daher auch vor, wenn dem Kunden gekoppelt mit dem Erwerb des - zum festgesetzten Preis abgegebenen - Arzneimittels Vorteile gewährt werden, die den Erwerb für ihn wirtschaftlich günstiger erscheinen lassen. Etwas anderes kann allenfalls dann gelten, wenn - was hier allerdings nicht in Rede steht - der Vorteil auch aus einem anderen Grund, etwa weil der Kunde beim Erwerb Unannehmlichkeiten in Kauf nehmen muss, gewährt wird (vgl. BGH - RezeptBonus a.a.O.). Als unzulässige wirtschaftliche Vorteile kommen dabei grundsätzlich auch Prämien oder Gutscheine von geringem Wert in Betracht (im Fall „Bonussystem“ a.a.O. in Höhe von 0,40 €), solange sie nur geeignet sind, den unerwünschten Preiswettbewerb zwischen Apotheken zu beeinflussen, weil der Verbraucher veranlasst werden kann, sich künftig erneut für die Apotheke zu entscheiden, von der er den Vorteil erhalten hat.

Bei Anwendung dieser Grundsätze auf den vorliegenden Fall ist ein Verstoß gegen die arzneimittelrechtliche Preisbindung zu bejahen. Der Wert des dem Kunden gewährten Einkaufsgutscheins von 1,- € liegt als solcher über der Grenze, die den Preiswettbewerb beeinflussen kann. Eine andere Beurteilung ist auch nicht deshalb geboten, weil die Antragsgegnerin diesen Einkaufsgutschein nicht „offen“, sondern als Gewinn innerhalb eines überreichten „Rubbelloses“ gewährt. Auch wenn der Kunde erst nach dem „Freirubbeln“ des Loses erfährt, dass sein Gewinn in einem Einkaufsgutschein besteht, kann ihn dies veranlassen, sich bei nächster Gelegenheit zur Einlösung eines Rezepts wiederum an die Apotheke der Antragsgegnerin zu wenden, weil er hofft, dass auch der Gewinn des nächsten Loses wiederum in einem solchen Einkaufsgutschein oder in einem sonstigen wirtschaftlichen Vorteil von gleichem Wert besteht. Auf die Frage, wie hoch die Gewinnchance dabei tatsächlich ist, kommt es nicht an. Denn gerade wenn der Kunde bereits einen Einkaufsgutschein gewonnen hat, wird er die - ihm nicht bekannte - Gewinnchance nicht so gering einschätzen, als dass seine künftige Kaufentscheidung davon unbeeinflusst bliebe.

2. In der Verletzung der genannten arzneimittelpreisrechtlichen Bestimmungen liegt zugleich ein unlauteres Verhalten nach § 4 Nr. 11 UWG, da es sich bei diesen Vorschriften um Marktverhaltensregeln handelt (vgl. BGH - UNSER DANKESCHÖN FÜR SIE, a.a.O., juris-Tz. 22).

Das beanstandete Verhalten der Antragsgegnerin ist auch im Sinne von § 3 I UWG geeignet, die Interessen von Mitbewerbern und sonstigen Marktteilnehmern spürbar zu beeinträchtigen.

Bei Anwendung der insoweit anzustellenden allgemeinen Erwägungen ist die Spürbarkeitsgrenze des § 3 I UWG angesichts der bestehenden Nachahmungsgefahr und im Hinblick darauf überschritten, dass wegen der vorgeschriebenen strikten Preisbindung schon geringfügige Durchbrechungen dieses Gebots beträchtliche Auswirkungen auf den Markt haben können (vgl. hierzu die - insoweit auch vom Bundesgerichtshof nicht beanstandeten - Ausführungen des erkennenden Senats in dem der „Bonussystem“-Entscheidung vorausgegangenen Berufungsurteil vom 5.6.2008 - 6 U 118/07, juris-Tz. 22).

b) Allerdings hat der Bundesgerichtshof in seiner bisherigen Rechtsprechung die Gewährung von Einkaufsgutscheinen im Wert von bis zu 1,-- € deshalb als unterhalb der Spürbarkeitsgrenze des § 3 I UWG liegend angesehen, weil die Gewährung derartiger Vorteile mit § 7 I 1 Nr. 1 Fall 2 HWG a.F. vereinbar war (vgl. BGH - UNSER DANKESCHÖN FÜR SIE, a.a.O. juris-Tz. 24; BGH - Bonussystem, a.a.O. juris-Tz. 20, 21; BGH - RezeptBonus, a.a.O., juris-Tz. 20). Dieser besonderen, der Vermeidung von Wertungswidersprüchen dienenden Beurteilung ist jedoch die Grundlage entzogen, nachdem der Gesetzgeber mit der Änderung von § 7 I 1 Nr. 1 HWG in der seit dem 13.8.2013 geltenden Fassung die heilmittelrechtliche Zulässigkeit von Zuwendungen verschärft und im letzten Halbsatz ausdrücklich geregelt hat, dass derartiger Zuwendungen stets unzulässig sind, soweit sie entgegen den Preisvorschriften gewährt werden, die auf Grund des Arzneimittelgesetzes gelten. Diese Gesetzesänderung diente nach der Entwurfsbegründung (Bundestagsdrucksache 17/13770, S. 21) erklärtermaßen dazu, als Reaktion auf die Rechtsprechung des Bundesgerichtshofs die Einheitlichkeit der Rechtsordnung wiederherzustellen. Unter diesen Umständen kann auch im vorliegenden Fall die Spürbarkeit im Sinne von § 3 I UWG nicht mehr unter Hinweis auf den Wertungswiderspruch verneint werden, der sich nach der Rechtsprechung des Bundesgerichtshofs aus den unterschiedlichen Regelungen im Arzneimittelrecht und im Heilmittelwerberecht in der bis zum 12.8.2013 geltenden Fassung ergab (ebenso LG Berlin, Urteil vom 16.1.2014 - 52 O 272/13, juris-Tz. 72).

Die zur Aufhebung des zuvor bestehenden Wertungswiderspruchs führende Änderung des § 7 I 1 Nr. 1 HWG ist auch mit dem Unionsrecht vereinbar; insbesondere widerspricht sie nicht der Richtlinie 2001/83/EG. Die vorgenommene Verschärfung des Heilmittelwerberechts beschränkt sich - wie bisher bereits die Vorschrift des § 7 I 1 Nr. 2 HWG - auf die Regelung von Sachverhalten, die unter die arzneimittelrechtlichen Preisbestimmungen fallen. Damit fällt diese Änderung von § 7 I 1 Nr. 1 HWG - ebenso wie die arzneimittelrechtlichen Preisvorschriften selbst - unter die Bereichsausnahme des Art. 4 III der Richtlinie (ebenso LG Berlin a.a.O., juris-Tz. 75)."


Den Volltext der Entscheidung finden Sie hier: