LG Frankfurt: Schadensersatz gem. Art. 82 DSGVO - Rechtsgut der betroffenen Person muss infolge der Verletzung einer DSGVO-Norm im Vergleich zum status quo ante nachteilig verändert worden sein
LG Frankfurt
Urteil vom 18.09.2020
2-27 O 100/20
Das LG Frankfurt hat entschieden, dass ein Schadensersatzanspruch gemäß Art. 82 DSGVO voraussetzt, dass ein Rechtsgut der betroffenen Person infolge der Verletzung einer Norm der DSGVO im Vergleich zum status quo ante nachteilig verändert wurde.
Aus den Entscheidungsgründen:
Ein Anspruch des Klägers gegen die Beklagte auf Zahlung von 8400,00 € nach Art. 82 DSGVO besteht nicht.
Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen die Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen. Dem Kläger ist zwar unstreitig bisher kein materieller Schaden entstanden, wohl aber ein immaterieller Schaden. Dieser liegt darin, dass seine personenbezogenen Daten Dritten ohne sein Einverständnis zugänglich wurden. Die Kompensation einer solchen öffentlichen "Bloßstellung" fällt unter Art. 82 Abs. 1 DSGVO (Ehmann/Selmayr, DSGVO, 2. Aufl., Art. 82 Rn. 13; Sydow, DSGVO, 2. Aufl., Art. 82 Rn. 6). Die Beklagte ist auch tauglicher Anspruchsgegner. Sie war Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO, da sie über die Zwecke und Mittel der - unstreitig - stattgefundenen Verarbeitung der Daten des Klägers entschied.
Der Schaden muss jedoch wegen eines Verstoßes gegen die DSGVO entstanden sein. Es muss also ein Verstoß gegen die DSGVO und dessen Kausalität für den Schaden festgestellt werden. Ein Rechtsgut der betroffenen Person muss infolge der Verletzung einer Norm der DSGVO im Vergleich zum status quo ante nachteilig verändert worden sein (Ehmann/Selmayr, DS-GVO 2. Aufl. Art. 82 Rn. 11).
Die Veröffentlichung der Daten, für die der Kläger einen Schadensersatz von 2000,00 € geltend macht, stellt an sich keinen Verstoß der Beklagten gegen die DSGVO dar. Die Veröffentlichung könnte nur dann als Verstoß gegen Art. 5 Abs, 1 a) oder f) DSGVO eingeordnet werden, wenn die Beklagte bzw, BB sie unberechtigt vorgenommen hätte. Dies lässt sich aber nicht feststellen und wird auch von dem Kläger nicht konkret vorgetragen. Der Kläger ist jedoch für den Verstoß gegen die DSGVO darlegungs- und beweisbelastet; erst hinsichtlich der Verantwortlichkeit für den Verstoß sieht Art, 82 Abs, 3 DSGVO eine Vermutung zu Lasten des Anspruchsgegners vor. Hat die Beklagte bzw. BB die Veröffentlichung nicht selbst vorgenommen, so kann sie lediglich die Folge einer Verletzung der Pflichten aus der DSGVO durch die Beklagte bzw. BB sein, nicht aber der Verstoß an sich.
Der Schadensersatzanspruch folgt weiter nicht daraus, dass die Beklagte die BB GmbH nicht nach Art. 28 Abs. 1 DSGVO ordnungsgemäß ausgewählt oder überwacht hat. Dass dies nicht geschehen ist, lässt sich nach dem Sach- und Streitstand schon nicht feststellen. Ein entsprechendes Beweisangebot des Klägers fehlt, ebenso entsprechende Indizien. Insbesondere kann der Kläger sich nicht darauf berufen, es sei offensichtlich, dass die BB GmbH ihr auferlegte Sicherheitsvorkehrungen nicht einhalten könne, weil es sich bei dem Firmensitz um ein Einfamilienhaus in einer Wohnsiedlung handele. Dass sich der Firmensitz dort befindet, sagt nichts darüber aus, wo die Datenverarbeitung erfolgt. Darüber hinaus lässt sich die Kausalität eines etwaigen Verstoßes gegen Pflichten der Beklagten aus der DSGVO für den Datenvorfall und damit für den Schaden des Klägers nicht feststellen. Denn letztlich ist - auch nach dem zuletzt gehaltenen und bestrittenen Vortrag des Klägers hinsichtlich des nicht geänderten Initialpassworts - letztlich unklar geblieben, wodurch das Datenleck verursacht wurde. Dass es durch ein anderes Auswahlverfahren, andere Sicherheitsvorkehrungen oder andere Überwachungen verhindert hätte werden können, bleibt danach Spekulation, Hinzu kommt, dass ein werkseitig individuell voreingestelltes Passwort im Ausgangspunkt nicht weniger sicher als ein vom Nutzer persönlich eingestelltes Passwort sein muss (BGH, Urteil vom 24. November 2016 - I ZR 220/15 —, Rn. 16, juris).
Soweit der Kläger seinen Anspruch in Höhe von 700,00 € darauf stützt, dass seine Daten nach dem 19.08.2019 noch verfügbar gewesen seien und jedenfalls während eines IT-Checks am 29.08.2019 jedermann habe auf sie zugreifen können, vermag dies ebenfalls keinen Schadensersatzanspruch zu begründen. Es kann dahinstehen, ob überhaupt ein Verstoß gegen die DSGVO vorliegt. Denn jedenfalls ist dem Kläger kein Schaden entstanden. Der Kläger behauptet nicht, dass nach dem 19,08.2019 seine Daten nochmals veröffentlicht worden seien oder sie von Unbefugten etwa während des Checks tatsächlich zur Kenntnis genommen worden wären. Dann aber steht dem Kläger kein Schadensersatzanspruch zu. Denn nicht jede Datenschutzrechtverletzung in Form einer nicht (vollständig) rechtskonformen Datenverarbeitung ist automatisch ein ersatzfähiger Schaden (vgl. etwa Wybitul, NJW 2019, 3265 mwN), Vielmehr muss die Verletzungshandlung auch zu einer konkreten Verletzung von Persönlichkeitsrechten der betroffenen Person geführt haben (Wybitul, aaO), Eine weite Auslegung des Schadensbegriffs nach Art. 82 DSGVO, nach dem mit jedem Verstoß ein Schaden begründet wird (sowohl Ehmann/Selmayr, DS-GVO, 2. Aufl., Art. 82 Rn. 13), widerspricht der Systematik des deutschen Rechts. Die mitgliedsstaatlichen Gerichte sind zu einem überkompensatorischen Strafschadensersatz grundsätzlich nicht verpflichtet; nach dem Äquivalenzgrundsatz wäre ein solcher nur dann erforderlich, wenn die mitgliedstaatliche Rechtsordnung allgemein Strafschadensersatz vorsieht (Wytibul, aaO). Das ist jedoch in Deutschland nicht der Fall.
Aus dem identischen Grund steht dem Kläger kein Anspruch in Höhe von 700,00 € wegen Änderung des Administratorenpasswortes im Mai 2019 zu.
Ferner kann der Kläger nicht damit gehört werden, die Beklagte habe gegen Art. 28 DSGVO verstoßen, weil ein Vertrag nach dieser Norm mit BB fehle. Ein Schadensersatzanspruch in Höhe von 800,00 € besteht insofern nicht. Die Beklagte hat einen Datenverarbeitungsvertrag mit der BB GmbH geschlossen. Zwar ist in dem Vertrag kein Rechtsformzusatz für die dort bezeichnete "B..." genannt. Allerdings ergibt sich aus den weiteren zu ihr genannten Daten, dass es sich um die GmbH handelte. Dass der Vertrag nicht von sämtlichen Parteien unterzeichnet wurde, ist unerheblich. Nach Art. 28 Abs. 9 DSGVO bedarf es einer schriftlichen Abfassung, auch in elektronischem Format. Danach ist keine Unterzeichnung erforderlich (vgl. Ehmann/Semayr, DS-GVO, 2. Aufl., Art. 28 Rn. 12); es genügt die Abfassung in Textform nach § 126b BGB. Diesem Erfordernis genügt der Vertrag. Ferner ist nicht ersichtlich, dass der Vertrag den Anforderungen des Art. 28 DSGVO nicht genügen würde. Dass mit der BB Ltd. kein gesonderter Vertrag geschlossen wurde, ist ebenfalls unschädlich. Denn es war vertraglich unter Ziffer 7 des Vertrages geregelt, dass die BB GmbH bei einem Einsatz von Unterverarbeitern diesen gegenüber mindestens dieselben Datenschutzverpflichtungen festzulegen hatte, wie sie der Vertrag zwischen der Beklagten und der BB GmbH vorsah. Dies entspricht Art. 28 Abs. 4 DSGVO. Auch der hierfür geltend gemachte Anspruch in Höhe von 1000,00 € besteht nicht.
Auf die unterlassene Verwendung von Hashes kann der Kläger gleichfalls keinen Schadensersatzanspruch stützen, weil ein Verstoß gegen die DSGVO nicht vorliegt. Bei der Verarbeitung der personenbezogenen Daten muss eine angemessene Sicherheit gewährleistet sein, Art. 5 Abs. 1 f) DSGVO, Dies erfordert geeignete technische und organisatorische Maßnahmen zum Schutz vor unbefugter und unrechtmäßiger Verarbeitung, wobei die Anforderungen in Art. 32 DSGVO festgelegt werden. Art, 32 Abs. 1 a) DSGVO erwähnt zwar Verschlüsselung als technisches Maßnahme, fordert die Anwendung von Hashes aber gerade nicht. Selbiges gilt für die PCC-DSS-Standards. Für seine Behauptung, es sei auch keine anderweitige Kryptografie erfolgt bietet der Kläger keinen Beweis an.
Der Kläger hat gegen die Beklagte keinen Anspruch auf Schadensersatz in Höhe von 1000,00 €, weil Daten gegenüber der M... International inc. ohne Rechtsgrundlage zugänglich gemacht worden wären. Dass der M... International Inc. im Rahmen des Priceless Specials Programms erhobene Daten von Kunden preisgegeben wurden, trägt der Kläger schon nicht substantiiert vor. Erst recht gilt dies für seine konkreten Daten. Dass die M... International Inc. an der Datenverarbeitung beteiligt war, ist aufgrund des als Anlage B 5 vorgelegten Vertrages auch keineswegs zwingend. Dies gilt auch dann, wenn die M... Inc. gemeinsame Verantwortliche nach Art, 26 DSGVO gewesen sein sollte. Denn der Verantwortliche hat die Entscheidungsgewalt über Zweck und Mittel der Verarbeitung; diese kann auch ausgeübt werden, ohne dass der Verantwortliche selbst an der Durchführung der Verarbeitung beteiligt ist (Ehmann/Selmayr, DS-GVO, 2. Aufl., Art. 4 Rn. 36). Es fehlt danach an einem Schaden des Klägers.
Die Behauptung des Klägers, es fehle an einer Vereinbarung zur gemeinsamen Verantwortlichkeit, was ihm zusätzlich nicht mitgeteilt worden sei, rechtfertigt keinen Schadensersatzanspruch in Höhe von insgesamt 1200,00 €. Erneut fehlt es an einem Schaden des Klägers, weil nicht ersichtlich ist, dass seine Daten der M... International Inc. überhaupt zugänglich gemacht wurden. Überdies regelt Art. 26 DSGVÖ lediglich, dass bei zwei oder mehr Verantwortlichen festzulegen ist, wer welche Verpflichtung gemäß der Verordnung erfüllt. Wo der Schaden des Klägers liegen soll, wenn dies nicht geschehen ist und er nicht informiert wurde, ist nicht ersichtlich. Dies gilt insbesondere vor dem Hintergrund des Art. 26 Abs. 3 DSGVO. Schließlich kann der Kläger keinen Schadensersatz in Höhe von 1000,00 € deswegen gegen die Beklagte geltend machen, weil keine ausreichende Vereinbarung von Binding Corporate Rules für Zugriffsmöglichkeiten durch ein US-Unternehmen auf Daten erfolgt sei. Erneut ist schon eine Beeinträchtigung des Klägers nicht feststellbar (s.o.). Ungeachtet dessen lag für die M... International Inc. eine geeignete Garantie in Form von verbindlichen internen Datenschutzvorschriften nach Art. 46 Abs. 1, Abs. 2b), 47 DSGVO vor. Aus dem Datenverarbeitungsvertrag ergibt sich, dass durch die zuständige Aufsichtsbehörde genehmigte Binding Corporate Rules existierten, was ausreichend ist. Für seinen das in Abrede stellenden Vortrag ist der Kläger beweisfällig geblieben.
Für andere deliktische Ansprüche besteht eine Sperrwirkung der DSGVO (Sydow, DSGVO, 2. Aufl., Art. 82 Rn.27).
Ein Anspruch aus § 280 Abs. 1 BGB besteht gleichfalls nicht, weil sich nach den obigen Ausführungen nicht feststellen lässt, dass die Beklagte eine Vertragspflichtverletzung begangen hat, die kausal zu einem Schaden, nämlich der Beeinträchtigung des Allgemeinen Persönlichkeitsrechts des Klägers, geführt hat.
Den Volltext der Entscheidung finden Sie hier:
Urteil vom 18.09.2020
2-27 O 100/20
Das LG Frankfurt hat entschieden, dass ein Schadensersatzanspruch gemäß Art. 82 DSGVO voraussetzt, dass ein Rechtsgut der betroffenen Person infolge der Verletzung einer Norm der DSGVO im Vergleich zum status quo ante nachteilig verändert wurde.
Aus den Entscheidungsgründen:
Ein Anspruch des Klägers gegen die Beklagte auf Zahlung von 8400,00 € nach Art. 82 DSGVO besteht nicht.
Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen die Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen. Dem Kläger ist zwar unstreitig bisher kein materieller Schaden entstanden, wohl aber ein immaterieller Schaden. Dieser liegt darin, dass seine personenbezogenen Daten Dritten ohne sein Einverständnis zugänglich wurden. Die Kompensation einer solchen öffentlichen "Bloßstellung" fällt unter Art. 82 Abs. 1 DSGVO (Ehmann/Selmayr, DSGVO, 2. Aufl., Art. 82 Rn. 13; Sydow, DSGVO, 2. Aufl., Art. 82 Rn. 6). Die Beklagte ist auch tauglicher Anspruchsgegner. Sie war Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO, da sie über die Zwecke und Mittel der - unstreitig - stattgefundenen Verarbeitung der Daten des Klägers entschied.
Der Schaden muss jedoch wegen eines Verstoßes gegen die DSGVO entstanden sein. Es muss also ein Verstoß gegen die DSGVO und dessen Kausalität für den Schaden festgestellt werden. Ein Rechtsgut der betroffenen Person muss infolge der Verletzung einer Norm der DSGVO im Vergleich zum status quo ante nachteilig verändert worden sein (Ehmann/Selmayr, DS-GVO 2. Aufl. Art. 82 Rn. 11).
Die Veröffentlichung der Daten, für die der Kläger einen Schadensersatz von 2000,00 € geltend macht, stellt an sich keinen Verstoß der Beklagten gegen die DSGVO dar. Die Veröffentlichung könnte nur dann als Verstoß gegen Art. 5 Abs, 1 a) oder f) DSGVO eingeordnet werden, wenn die Beklagte bzw, BB sie unberechtigt vorgenommen hätte. Dies lässt sich aber nicht feststellen und wird auch von dem Kläger nicht konkret vorgetragen. Der Kläger ist jedoch für den Verstoß gegen die DSGVO darlegungs- und beweisbelastet; erst hinsichtlich der Verantwortlichkeit für den Verstoß sieht Art, 82 Abs, 3 DSGVO eine Vermutung zu Lasten des Anspruchsgegners vor. Hat die Beklagte bzw. BB die Veröffentlichung nicht selbst vorgenommen, so kann sie lediglich die Folge einer Verletzung der Pflichten aus der DSGVO durch die Beklagte bzw. BB sein, nicht aber der Verstoß an sich.
Der Schadensersatzanspruch folgt weiter nicht daraus, dass die Beklagte die BB GmbH nicht nach Art. 28 Abs. 1 DSGVO ordnungsgemäß ausgewählt oder überwacht hat. Dass dies nicht geschehen ist, lässt sich nach dem Sach- und Streitstand schon nicht feststellen. Ein entsprechendes Beweisangebot des Klägers fehlt, ebenso entsprechende Indizien. Insbesondere kann der Kläger sich nicht darauf berufen, es sei offensichtlich, dass die BB GmbH ihr auferlegte Sicherheitsvorkehrungen nicht einhalten könne, weil es sich bei dem Firmensitz um ein Einfamilienhaus in einer Wohnsiedlung handele. Dass sich der Firmensitz dort befindet, sagt nichts darüber aus, wo die Datenverarbeitung erfolgt. Darüber hinaus lässt sich die Kausalität eines etwaigen Verstoßes gegen Pflichten der Beklagten aus der DSGVO für den Datenvorfall und damit für den Schaden des Klägers nicht feststellen. Denn letztlich ist - auch nach dem zuletzt gehaltenen und bestrittenen Vortrag des Klägers hinsichtlich des nicht geänderten Initialpassworts - letztlich unklar geblieben, wodurch das Datenleck verursacht wurde. Dass es durch ein anderes Auswahlverfahren, andere Sicherheitsvorkehrungen oder andere Überwachungen verhindert hätte werden können, bleibt danach Spekulation, Hinzu kommt, dass ein werkseitig individuell voreingestelltes Passwort im Ausgangspunkt nicht weniger sicher als ein vom Nutzer persönlich eingestelltes Passwort sein muss (BGH, Urteil vom 24. November 2016 - I ZR 220/15 —, Rn. 16, juris).
Soweit der Kläger seinen Anspruch in Höhe von 700,00 € darauf stützt, dass seine Daten nach dem 19.08.2019 noch verfügbar gewesen seien und jedenfalls während eines IT-Checks am 29.08.2019 jedermann habe auf sie zugreifen können, vermag dies ebenfalls keinen Schadensersatzanspruch zu begründen. Es kann dahinstehen, ob überhaupt ein Verstoß gegen die DSGVO vorliegt. Denn jedenfalls ist dem Kläger kein Schaden entstanden. Der Kläger behauptet nicht, dass nach dem 19,08.2019 seine Daten nochmals veröffentlicht worden seien oder sie von Unbefugten etwa während des Checks tatsächlich zur Kenntnis genommen worden wären. Dann aber steht dem Kläger kein Schadensersatzanspruch zu. Denn nicht jede Datenschutzrechtverletzung in Form einer nicht (vollständig) rechtskonformen Datenverarbeitung ist automatisch ein ersatzfähiger Schaden (vgl. etwa Wybitul, NJW 2019, 3265 mwN), Vielmehr muss die Verletzungshandlung auch zu einer konkreten Verletzung von Persönlichkeitsrechten der betroffenen Person geführt haben (Wybitul, aaO), Eine weite Auslegung des Schadensbegriffs nach Art. 82 DSGVO, nach dem mit jedem Verstoß ein Schaden begründet wird (sowohl Ehmann/Selmayr, DS-GVO, 2. Aufl., Art. 82 Rn. 13), widerspricht der Systematik des deutschen Rechts. Die mitgliedsstaatlichen Gerichte sind zu einem überkompensatorischen Strafschadensersatz grundsätzlich nicht verpflichtet; nach dem Äquivalenzgrundsatz wäre ein solcher nur dann erforderlich, wenn die mitgliedstaatliche Rechtsordnung allgemein Strafschadensersatz vorsieht (Wytibul, aaO). Das ist jedoch in Deutschland nicht der Fall.
Aus dem identischen Grund steht dem Kläger kein Anspruch in Höhe von 700,00 € wegen Änderung des Administratorenpasswortes im Mai 2019 zu.
Ferner kann der Kläger nicht damit gehört werden, die Beklagte habe gegen Art. 28 DSGVO verstoßen, weil ein Vertrag nach dieser Norm mit BB fehle. Ein Schadensersatzanspruch in Höhe von 800,00 € besteht insofern nicht. Die Beklagte hat einen Datenverarbeitungsvertrag mit der BB GmbH geschlossen. Zwar ist in dem Vertrag kein Rechtsformzusatz für die dort bezeichnete "B..." genannt. Allerdings ergibt sich aus den weiteren zu ihr genannten Daten, dass es sich um die GmbH handelte. Dass der Vertrag nicht von sämtlichen Parteien unterzeichnet wurde, ist unerheblich. Nach Art. 28 Abs. 9 DSGVO bedarf es einer schriftlichen Abfassung, auch in elektronischem Format. Danach ist keine Unterzeichnung erforderlich (vgl. Ehmann/Semayr, DS-GVO, 2. Aufl., Art. 28 Rn. 12); es genügt die Abfassung in Textform nach § 126b BGB. Diesem Erfordernis genügt der Vertrag. Ferner ist nicht ersichtlich, dass der Vertrag den Anforderungen des Art. 28 DSGVO nicht genügen würde. Dass mit der BB Ltd. kein gesonderter Vertrag geschlossen wurde, ist ebenfalls unschädlich. Denn es war vertraglich unter Ziffer 7 des Vertrages geregelt, dass die BB GmbH bei einem Einsatz von Unterverarbeitern diesen gegenüber mindestens dieselben Datenschutzverpflichtungen festzulegen hatte, wie sie der Vertrag zwischen der Beklagten und der BB GmbH vorsah. Dies entspricht Art. 28 Abs. 4 DSGVO. Auch der hierfür geltend gemachte Anspruch in Höhe von 1000,00 € besteht nicht.
Auf die unterlassene Verwendung von Hashes kann der Kläger gleichfalls keinen Schadensersatzanspruch stützen, weil ein Verstoß gegen die DSGVO nicht vorliegt. Bei der Verarbeitung der personenbezogenen Daten muss eine angemessene Sicherheit gewährleistet sein, Art. 5 Abs. 1 f) DSGVO, Dies erfordert geeignete technische und organisatorische Maßnahmen zum Schutz vor unbefugter und unrechtmäßiger Verarbeitung, wobei die Anforderungen in Art. 32 DSGVO festgelegt werden. Art, 32 Abs. 1 a) DSGVO erwähnt zwar Verschlüsselung als technisches Maßnahme, fordert die Anwendung von Hashes aber gerade nicht. Selbiges gilt für die PCC-DSS-Standards. Für seine Behauptung, es sei auch keine anderweitige Kryptografie erfolgt bietet der Kläger keinen Beweis an.
Der Kläger hat gegen die Beklagte keinen Anspruch auf Schadensersatz in Höhe von 1000,00 €, weil Daten gegenüber der M... International inc. ohne Rechtsgrundlage zugänglich gemacht worden wären. Dass der M... International Inc. im Rahmen des Priceless Specials Programms erhobene Daten von Kunden preisgegeben wurden, trägt der Kläger schon nicht substantiiert vor. Erst recht gilt dies für seine konkreten Daten. Dass die M... International Inc. an der Datenverarbeitung beteiligt war, ist aufgrund des als Anlage B 5 vorgelegten Vertrages auch keineswegs zwingend. Dies gilt auch dann, wenn die M... Inc. gemeinsame Verantwortliche nach Art, 26 DSGVO gewesen sein sollte. Denn der Verantwortliche hat die Entscheidungsgewalt über Zweck und Mittel der Verarbeitung; diese kann auch ausgeübt werden, ohne dass der Verantwortliche selbst an der Durchführung der Verarbeitung beteiligt ist (Ehmann/Selmayr, DS-GVO, 2. Aufl., Art. 4 Rn. 36). Es fehlt danach an einem Schaden des Klägers.
Die Behauptung des Klägers, es fehle an einer Vereinbarung zur gemeinsamen Verantwortlichkeit, was ihm zusätzlich nicht mitgeteilt worden sei, rechtfertigt keinen Schadensersatzanspruch in Höhe von insgesamt 1200,00 €. Erneut fehlt es an einem Schaden des Klägers, weil nicht ersichtlich ist, dass seine Daten der M... International Inc. überhaupt zugänglich gemacht wurden. Überdies regelt Art. 26 DSGVÖ lediglich, dass bei zwei oder mehr Verantwortlichen festzulegen ist, wer welche Verpflichtung gemäß der Verordnung erfüllt. Wo der Schaden des Klägers liegen soll, wenn dies nicht geschehen ist und er nicht informiert wurde, ist nicht ersichtlich. Dies gilt insbesondere vor dem Hintergrund des Art. 26 Abs. 3 DSGVO. Schließlich kann der Kläger keinen Schadensersatz in Höhe von 1000,00 € deswegen gegen die Beklagte geltend machen, weil keine ausreichende Vereinbarung von Binding Corporate Rules für Zugriffsmöglichkeiten durch ein US-Unternehmen auf Daten erfolgt sei. Erneut ist schon eine Beeinträchtigung des Klägers nicht feststellbar (s.o.). Ungeachtet dessen lag für die M... International Inc. eine geeignete Garantie in Form von verbindlichen internen Datenschutzvorschriften nach Art. 46 Abs. 1, Abs. 2b), 47 DSGVO vor. Aus dem Datenverarbeitungsvertrag ergibt sich, dass durch die zuständige Aufsichtsbehörde genehmigte Binding Corporate Rules existierten, was ausreichend ist. Für seinen das in Abrede stellenden Vortrag ist der Kläger beweisfällig geblieben.
Für andere deliktische Ansprüche besteht eine Sperrwirkung der DSGVO (Sydow, DSGVO, 2. Aufl., Art. 82 Rn.27).
Ein Anspruch aus § 280 Abs. 1 BGB besteht gleichfalls nicht, weil sich nach den obigen Ausführungen nicht feststellen lässt, dass die Beklagte eine Vertragspflichtverletzung begangen hat, die kausal zu einem Schaden, nämlich der Beeinträchtigung des Allgemeinen Persönlichkeitsrechts des Klägers, geführt hat.
Den Volltext der Entscheidung finden Sie hier: