BECKMANN UND NORDA - Rechtsanwälte Bielefeld

OLG Jena
Urteil vom 17.11.2025
3 U 885/24

Das LG Jena hat entschieden, dass die Nutzung einer Gesichtserkennungssoftware durch eine Universität zur Authentifizierung bei einer Online-Prüfung nur mit Einwilligung zulässig ist. Vorliegend hat das Gericht dem Betroffenen 200 EURO Schadensersatz aus Art. 82 DSGVO zugesprochen.

Aus den Entscheidungsgründen:
Der Klägerin steht gemäß Art. 82 Abs. 1 DSGVO ein Anspruch auf Ersatz des ihr entstandenen immateriellen Schadens aufgrund der rechtswidrigen Verarbeitung biometrischer Daten der Kläger durch die Beklagte zu.

Bei der Nutzung der Gesichtserkennungssoftware des Anbieters Uniwise sind biometrische Daten der Klägerin im Sinne von Art. 4 Nr. 14 DSGVO verarbeitet worden. Durch den automatisierten Abgleich der während der Online-Prüfungen aufgenommenen Bilder vom Gesicht der Klägerin mit dem am 09.07.2020 erstellten Referenzbild wurden mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen der Klägerin, die ihre eindeutige Identifizierung ermöglichen oder bestätigen, zur Feststellung möglicher Täuschungsversuche verwendet. Diese Verarbeitung der biometrischen Daten der Klägerin war unter den hier vorliegenden Umständen auch rechtswidrig. Gemäß Art 9 Abs. 1 DSGVO ist die Verarbeitung biometrischer Daten zur eindeutigen Identifizierung einer natürlichen Person grundsätzlich untersagt, es sei denn es liegt ein in Art. 9 Abs. 2 DSGVO geregelter Ausnahmefall vor. Ein solcher Ausnahmefall kann hier jedoch nicht angenommen werden.

Der in § 9 Abs. 2 Buchst. a DSGVO geregelte Fall einer ausdrücklichen Einwilligung der von der Verarbeitung ihrer biometrischen Daten betroffenen Person ist hier nicht gegeben. Eine solche ausdrückliche Einwilligung kann insbesondere nicht durch den Umstand angenommen werden, dass die Klägerin aus dem Katalog der möglichen Durchführung von Prüfungen während der Corona-Pandemie die Möglichkeit 1 (Absolvierung der Prüfung außerhalb des Unicampus) ausgewählt hat. In der Wahl dieser Prüfungsart liegt weder eine konkludente noch eine von der genannten Norm erforderte ausdrückliche Einwilligung der Klägerin mit der Verarbeitung ihrer biometrischen Daten. Der Umstand, dass nach der entsprechenden Auswahl durch die Klägerin ein Referenzbild von ihr angefertigt wurde, konnte zwar die Vermutung der Klägerin begründen, dass bei der Online-Prüfung eine automatisierte Gesichtserkennungssoftware zum Einsatz kommt. Durch die bloße Hinnahme dieses Procederes hat sie jedoch nicht ihr Einverständnis mit der konkreten Verarbeitung ihrer biometrischer Daten durch die zum Einsatz gebrachte Gesichtserkennungssoftware erklärt. Jedenfalls fehlt es insoweit an der im Gesetz vorgeschriebenen Ausdrücklichkeit der Einwilligungserklärung. Hierzu hätte es einer expliziten Belehrung der Klägerin über die durch die Nutzung der Gesichtserkennungssoftware ermöglichte Verarbeitung ihrer biometrischen Daten und einer hierauf bezogenen konkreten Einwilligungserklärung der Klägerin bedurft. Eine solche ausdrückliche Einwilligungserklärung hat sie nicht abgegeben. Auch die Möglichkeit, sich bei Auskunftsstellen der Universität näher über den Prüfungsablauf informieren zu können, ersetzt das Erfordernis einer solchen ausdrücklichen Einwilligungserklärung nicht.

Die Zulässigkeit der Verarbeitung der biometrischen Daten der Klägerin ergibt sich auch nicht aus Art. 9 Abs. 2 Buchst. e DSGVO. Durch die Veröffentlichung von Gesichtsbildern in den sozialen Medien seit dem Jahr 2015 hat die Klägerin keine biometrischen Daten veröffentlicht, sondern lediglich die Möglichkeit geschaffen, dass Dritte biometrische Daten aus diesen Bildern gewinnen können. Ob die Klägerin durch die vorherige Veröffentlichung ihrer Bilder im Internet bereits die Kontrolle über diese personenbezogenen Daten verloren hat, spielt in diesem Zusammenhang keine Rolle, sondern ist erst für die Frage relevant, inwieweit ihr durch den Datenschutzverstoß ein Schaden entstanden ist.

Auch aus der Norm des Art. 9 Abs. 2 Buchst. g DSGVO kann keine Rechtfertigung für die Verarbeitung der biometrischen Daten hergeleitet werden. Zwar mag die Durchführung von Fernprüfungen während der Corona-Pandemie zwecks Aufrechterhaltung des Lehr- und Prüfungsbetriebes in den Hochschulen einem gewissen öffentlichen Interesse entsprochen haben. Dieses öffentliche Interesse erforderte es jedoch nicht wie geschehen eine Verarbeitung biometrischer Daten, durch die nicht unerheblich in das informationelle Selbstbestimmungsrecht des Betroffenen eingegriffen wird, ohne Einholung einer ausdrücklichen Einwilligungserklärung des Betroffenen vorzunehmen, zumal auch andere Möglichkeiten der Prüfungsdurchführung während der Pandemie zur Verfügung standen.

Durch die unzulässige Verarbeitung der biometrischen Daten der Klägerin bei der Durchführung der Online-Prüfungen ist dieser auch ein wenn auch eher als nicht allzu intensiv einzuschätzender Schaden in Form einer psychischen Beeinträchtigung entstanden, für den die Beklagte gemäß Art. 82 Abs. 1 DSGVO Ersatz zu leisten hat.

Die Klägerin hat bei ihrer Anhörung durch das Landgericht erklärt, dass sie während der Fernprüfungen aufgrund der Nutzung der Gesichtserkennungssoftware dauerhaft befürchtet habe, durch bestimmte Bewegungen ihres Kopfes den Übereinstimmungsreferenzwert zwischen aktuellem Bild und dem Referenzbild zu unterschreiten und hierdurch infolge der Softwarefunktion dem Prüfer automatisch Veranlassung zur Überprüfung eines Täuschungsversuches ihrerseits bieten könnte. Der Senat hält diese Bekundungen auch für plausibel. Insbesondere der Umstand, dass eine automatisierte Erkennungssoftware zum Einsatz gekommen ist, lässt das wenn auch vielleicht diffuse Gefühl, dass ohne eigene Einflussmöglichkeit ständig die Möglichkeit besteht, dem Vorwurf eines Täuschungsversuches ausgesetzt zu sein, durchaus nachvollziehbar erscheinen. Entgegen dem Vorbringen der Beklagten ist die Behauptung auch nicht deshalb unglaubhaft, weil sie erst im späteren Verlauf des Verfahrens aufgestellt wurde. Vielmehr hat die Klägerin bereits in der Klageschrift vorgetragen, dass die automatische Überwachung sie während der Prüfungssituation unter erheblichen Stress gesetzt habe und in ihr die Angst ausgelöst habe, dem unbegründeten Verdacht eines Täuschungsversuchs ausgesetzt zu sein. Dass das Landgericht diese Bekundung der Klägerin für unglaubhaft gehalten hat, ergibt sich aus den Ausführungen im Urteil nicht. Vielmehr meinte das Landgericht, hieraus nicht den Schluss ziehen zu können, dass der Klägerin ein immaterieller Schaden entstanden ist. Soweit das Landgericht damit argumentiert hat, dass der Umstand, dass sich die Klägerin vor den Prüfungen nicht bei Auskunftsstellen der Beklagten über den genauen Ablauf der Fernprüfungen informiert habe, gegen die Annahme eines immateriellen Schadens spreche, handelt es sich nach Auffassung des Senats letztlich um die unbewusste Anwendung des Erfordernisses einer Erheblichkeitsschwelle für die Annahme eines immateriellen Schadens durch das Landgericht, da dieses Argument nicht geeignet ist, die Befürchtungen der Klägerin als solche zu widerlegen, sondern die Annahme begründet, dass die Befürchtungen nicht allzu intensiv gewesen sein können. Die weitere Schlussfolgerung des Landgerichts, dass die psychische Beeinträchtigung nicht spezifisch auf die Verarbeitung biometrischer Daten zurückzuführen ist, da anzunehmen sei, dass diese auch bei der Durchführung herkömmlicher videoüberwachter Prüfungen aufgetreten sei, vermag der Senat nicht zu teilen. Zwischen diesen Prüfungssituationen besteht ein erheblicher Unterschied. Während bei einer bloß videoüberwachten Prüfung für den Prüfer nur dann Anlass besteht, Ermittlungen wegen eines möglichen Täuschungsversuchs aufzunehmen, wenn er durch eigene Anschauung entsprechende Anhaltspunkte hierfür gewonnen hat, wird die entsprechende Verdachtsprüfung durch den automatisierten Einsatz der Gesichtserkennungssoftware ausgelöst. Für den Prüfling besteht hierdurch ein Gefühl, „der Technik ausgeliefert zu sein“ und das Auslösen eines Verdachts der Täuschung letztlich nicht beeinflussen zu können. Die von der Klägerin geschilderten Befürchtungen sind also gerade auf die Verwendung der Gesichtserkennungssoftware und die hierdurch erfolgte Verarbeitung biometrischer Daten zurückzuführen.

Eine nochmalige Anhörung der Klägerin war entgegen der Auffassung der Beklagten nicht erforderlich, um bezüglich der Beweiswürdigung in Bezug auf den Eintritt einer psychischen Beeinträchtigung zu einem anderen Ergebnis zu kommen als das Landgericht. Die von derjenigen des Landgerichts abweichende Beweiswürdigung des Senats beruht nicht auf einer unterschiedlichen Einschätzung der Glaubhaftigkeit der Aussage der Klägerin, sondern auf divergierenden Schlussfolgerungen, die aus den Bekundungen der Klägerin im Hinblick auf den Eintritt eines ersatzfähigen Schadens gezogen wurden.

Der Senat bewertet den der Klägerin durch die erlittene psychische Beeinträchtigung entstandenen immateriellen Schaden mit einem Betrag von 200 EUR. Dabei war zu beachten, dass es sich nach Einschätzung durch den Senat vorliegend um eine eher geringfügige Beeinträchtigung von nicht sehr hoher Intensität handelt. Die Befürchtungen bestanden vorliegend nicht dauerhaft, wie das etwa bei der Veröffentlichung personenbezogener Daten im Internet der Fall ist, sondern nur punktuell während der Zeit der Fernprüfungen. Darüber hinaus drohten der Klägerin bei einem Auslösen des „Alarms“ durch die Software bei Unterschreitung des Referenzwertes noch keine unmittelbar nachteiligen Konsequenzen, sondern lediglich Maßnahmen zur Überprüfung des Grundes für das Auslösen der Software. Ein solche Überprüfung ist zwar für den Prüfling nachvollziehbarerweise mit unangenehmen Gefühlen verbunden, stellt aber noch kein so gravierendes Übel dar, dass von einer hohen psychischen Beeinträchtigung ausgegangen werden kann. Hinzu kommt, dass mit der Absolvierung mehrerer Fernprüfungen, bei denen der „Alarm“ durch die Software gerade nicht ausgelöst worden war, bei der Klägerin ein Gewöhnungseffekt eingetreten sein dürfte, der bei den später absolvierten Klausuren die Intensität der Befürchtungen, wenn sie überhaupt noch vorhanden waren, deutlich verringert haben dürfte. Der Senat hält daher die Bewertung des Schmerzensgeldbetrages mit einem im unteren Bereich der Bemessungsskala angesiedelten Betrag für gerechtfertigt.

Ein weitergehender Schaden in Form eines Kontrollverlustes über ihre biometrischen Schaden ist der Klägerin nicht entstanden. Allerdings hat der BGH in seiner nach Erlass des Urteils des Landgerichts ergangenen Leitentscheidung vom 18.11.2024, Az.:VI ZR 10/24, juris entschieden, dass der bloße Kontrollverlust über personenbezogene Daten bei dem von einem Datenschutzverstoß Betroffenen bereits einen ersatzfähigen Schaden darstellt. Jedoch muss der Betroffene den Eintritt eines solchen Kontrollverlusts darlegen und gegebenenfalls beweisen. Der Datenschutzverstoß als solcher stellt noch keinen Nachweis eines Kontrollverlusts dar.

Vorliegend hat die Klägerin durch die Verarbeitung ihrer biometrischen Daten schon deshalb keinen Kontrollverlust erlitten, weil sie zum Zeitpunkt der Datenverarbeitung bereits keine Kontrolle mehr über ihre ihr Gesicht betreffenden biometrischen Daten gehabt hat. Die Klägerin hat unstreitig Fotos von ihrem Gesicht seit 2015 auf stark besuchten Internetplattformen, insbesondere Instagram, veröffentlicht und erst 2022 die Sichtbarkeit dieser Bilder zumindest auf einen beschränkten Personenkreis reduziert. Damit bestand für eine unbegrenzte Vielzahl von Nutzern der Plattform Instagram über eine lange Zeitdauer die potentielle Möglichkeit, aus den Gesichtsfotos der Klägern biometrische Daten zu gewinnen. Dieses Vorbringen der Beklagten hat die Klägerin nicht bestritten. Die Generierung und Nutzung der biometrischen Daten der Klägerin war somit für eine unbegrenzte Vielzahl von Internetnutzern auf aller Welt gegeben, so dass die Klägerin nicht mehr die Kontrolle über ihre biometrischen Daten, soweit sie ihr Gesicht betreffen, besaß. Der Umstand, dass die Generierung und Nutzung von biometrischen Daten aus den von ihr veröffentlichten Bildern regelmäßig rechtswidrig sein dürfte, ändert am Eintritt des Kontrollverlusts nichts. Einem Kontrollverlust über personenbezogene Daten ist es gerade immanent, dass deren - insbesondere missbräuchliche - Verwendung durch Dritte durch den Betroffenen nicht mehr verhindert werden kann. Die Annahme der Klägerin, dass der von einem vor dem Datenschutzverstoß bereits eingetretenen Kontrollverlust Betroffene der Verwendung seiner Daten schutzlos ausgeliefert sei, ist unzutreffend. Selbstverständlich kann der Betroffene bei einer rechtswidrigen Generierung oder Verwendung seiner biometrischen (oder sonstigen personenbezogenen) Daten Schadensersatz geltend machen, wenn ihm hierdurch ein materieller oder immaterieller Schaden entstanden ist. Er kann lediglich keinen Schadensersatz wegen des (bloßen) Kontrollverlusts über seine personenbezogenen Daten mehr verlangen.

Schadensersatz wegen eines etwaigen Kontrollverlusts über ihre biometrischen Daten, der sich angesichts der Rechtsprechung des BGH im Urteil vom 18.11.2024, Az.: VI 10/24, wonach selbst der Kontrollverlust über dauerhaft im Darknet veröffentlichte personenbezogene Daten mit einem Schadensbetrag von etwa 100 EUR zu bewerten ist, ohnehin in einem eher symbolischen Bereich bewegen dürfte, kann die Klägerin somit nicht geltend machen.

Ein Verstoß gegen Art. 22 DSGVO liegt nicht vor. In dem Umstand, dass das Unterschreiten oder Nichtunterschreiten des Referenzwertes die Grundlage für eine Überprüfung des Vorliegens eines Täuschungsversuches bildet, sieht der Senat wie das Landgericht weder eine rechtliche wirksame Entscheidung für die Klägerin noch diese hierdurch „in ähnlicher Weise beeinträchtigt“. Das ist auch dann der Fall, wenn man wie angeblich in anderen Sprachversionen eine „beträchtliche Auswirkung“ fordert. Selbst wenn man einen Verstoß gegen Art. 22 DSGVO bejahen würde, stünde der Klägerin kein weitergehender Ersatz eines Schadens, den sie nicht bereits durch den Verstoß gegen Art. 9 Abs. 1 DSGVO verlangen kann, zu. Aus demselben Grund kann auch dahinstehen, ob dem Grunde nach Schadensersatzansprüche aus § 823 Abs. 2 BGB aus § 839 BGB i.V.m. Art. 34 GG oder aus § 25 TMMG gegeben sind.

Ein Verstoß gegen Art. 44 DSGVO (Übermittlung von Daten in Staaten außerhalb der EU) begründet ebenfalls keinen Schadensersatzanspruch, da eine entsprechende Datenschutzverletzung schon nicht feststeht. Insbesondere steht nicht fest, dass Daten an die in den USA ansässigen Gesellschaften der Mutterkonzerne Amazon bzw. Google übermittelt wurden. Darüber hinaus wäre die Klägerin durch die Übermittlung von Daten an den in den USA ansässigen Mutterkonzern Amazon aufgrund des bereits zuvor eingetretenen Kontrollverlust über ihre biometrischen Daten nicht zusätzlich geschädigt.

Ein Verstoß gegen die Verpflichtung der Beklagten, gemäß Art. 28 Abs. 3 und 4 DSGVO Verträge mit dem dort geregelten Inhalt mit den Auftrags- bzw. Unterauftragsverarbeitern zu schließen, dürfte zwar vorliegen, da die Beklagte solche Verträge trotz ausdrücklichen Bestreitens der Behauptung durch die Klägerin, dass solche existieren, nicht vorgelegt hat. Auch diesbezüglich hat die Klägerin jedoch keinen weitergehenden Schaden erlitten.

Auf die Geltendmachung von Schadensersatz wegen der Übermittlung von IP-Adressen der Klägerin an den Google-Konzern im Zusammenhang mit der Verwendung der Software WISEflow hat diese im Laufe des Verfahrens verzichtet. Die streitige Rechtsfrage (vgl. den Vorlagebeschluss des BGH an den EuGH vom 28.08.2025, Az.: VI ZR 258/24), in welchen Konstellationen an Dritte übermittelte IP-Adressen als personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO anzusehen sind, kann somit offenbleiben.

Die Klägerin kann ebenfalls keinen Schadensersatz wegen der Verwendung des Lock-Down-Browsers der Firma Respondus verlangen. Hierbei handelt es sich nicht um einen Datenschutzverstoß durch die Beklagte. Dass durch den Zugriff auf das seitens der Klägerin auf ihrem Laptop installierte Programm auf auf dem Endgerät gespeicherte Daten zugegriffen wurde, die über die Programmbibliotheken des Lock-Down-Programms selbst hinausgehen, hat die Klägerin weder substantiiert vorgetragen noch hierzu Beweis angetreten. Der Zugriff auf die Daten des Programms, welches die Klägerin selbst auf Veranlassung der Beklagten zur Verhinderung der Inanspruchnahme unerlaubter Hilfsmittel bei den Fernprüfungen installiert hat, ist nicht rechtswidrig. Die Klägerin hat sich durch die Installation des Programms zwecks Teilnahme an der Fernprüfung mit dem Zugriff auf die Programmdaten während der Prüfung zumindest konkludent einverstanden erklärt. Zudem ist nicht ersichtlich, dass die Klägerin durch den Zugriff auf die Programmbibliotheken des Lock-Down-Programms einen Schaden erlitten hat.

Die Klägerin hat gegen die Beklagte daher einen Anspruch auf Ersatz des ihr entstandenen immateriellen Schadens in Höhe von 200 EUR, so dass das Urteil des Landgerichts entsprechend abzuändern war.

Den Volltext der Entscheidung finden Sie hier:

LAG Hamm
Urteil vom 28.05.2025
18 SLa 959/24

Das LAG Hamm hat dem betroffenen Arbeitnehmer eine Geldentschädigung aus §§ 823 Abs. 1, 253 Abs. 2 BGB in Höhe von 15.000 EURO wegen unzulässiger dauerhafter Videoüberwachung durch den Arbeitgeber über einen Zeitraum von 22 Monaten zugesprochen.

Aus den Entscheidungsgründen:
1. Dem Kläger steht der Unterlassungsanspruch nicht zu, den er mit dem Klageantrag zu 1) geltend macht.

An dieser Stelle kann offenbleiben, ob das Persönlichkeitsrecht des Klägers in rechtswidriger Weise beeinträchtigt wurde, weil er einer übermäßigen Kameraüberwachung ausgesetzt war. Voraussetzung für einen Unterlassungsanspruch analog § 1004 Abs. 1 Satz 2 BGB ist, dass "weitere Beeinträchtigungen zu besorgen" sind, dass also eine Wiederholungsgefahr besteht (vgl. nur Ebbing, in: Erman, 17. Aufl. 2023, § 1004 BGB Rdnr. 76 m.w.N.). An dieser Wiederholungsgefahr fehlt es im Streitfall, nachdem das Arbeitsverhältnis der Parteien beendet ist. Es sind keine Anhaltspunkte dafür ersichtlich, dass der Kläger zukünftig noch den Betrieb der Beklagten aufsuchen muss und von den dort installierten Kameras überwacht wird.

2. Der Kläger kann von der Beklagten die Zahlung einer Geldentschädigung in Höhe von 15.000,00 € verlangen.

Der Anspruch ergibt sich daraus, dass die Beklagte das Persönlichkeitsrecht des Klägers durch eine übermäßige Kameraüberwachung in rechtswidriger, schuldhafter und erheblicher Weise verletzt hat. Der Anspruch folgt aus § 280 Abs. 1 BGB (die Beklagte hat die sie gemäß § 241 Abs. 2 BGB treffende vertragliche Nebenpflicht, das Persönlichkeitsrecht des Klägers zu schützen, verletzt) und aus § 823 Abs. 1 BGB (das Persönlichkeitsrecht ist als sonstiges Recht durch § 823 Abs. 1 BGB geschützt), jeweils in Verbindung mit § 253 Abs. 2 BGB.

Das Arbeitsgericht hat dem Kläger richtigerweise eine Entschädigung in Höhe von 15.000,00 € zugesprochen. Es besteht keine Veranlassung, das ausführlich und sorgfältig begründete Urteil abzuändern.

a) Die Voraussetzungen für die Zahlung einer Geldentschädigung wegen einer Verletzung des Persönlichkeitsrechts liegen im Streitfall vor.

Das Arbeitsgericht hat die insoweit zu stellenden Anforderungen an die Zubilligung einer Geldentschädigung unter Bezugnahme auf die einschlägige höchstrichterliche Rechtsprechung (BAG, Urteil vom 19.02.2015 - 8 AZR 1007/13 m.w.N.) im Einzelnen unter I 2 b aa der Entscheidungsgründe des erstinstanzlichen Urteils dargelegt. Die erkennende Kammer tritt dem bei (§ 69 Abs. 2 ArbGG).

aa) Die Beklagte griff in das Persönlichkeitsrecht des Klägers ein.

Der Eingriff erfolgte dadurch, dass die Beklagte mit den Videokameras, die in der Betriebshalle installiert sind, Bildaufnahmen vom Kläger fertigte. Das Persönlichkeitsrecht umfasst auch das Recht am eigenen Bild (BAG, Urteil vom 19.02.2015 - 8 AZR 1007/13). Es gehört zum Selbstbestimmungsrecht eines jeden Menschen, selbst darüber zu entscheiden, ob Filmaufnahmen von ihm gemacht und möglicherweise verwendet werden dürfen.

bb) Der Eingriff in das Persönlichkeitsrecht des Klägers war rechtswidrig.

Ob ein Eingriff in das Recht am eigenen Bild durch Videoaufnahmen rechtswidrig ist, beurteilt sich nach den Bestimmungen des Bundesdatenschutzgesetzes sowie der DSGVO. Die dort niedergelegten Anforderungen an eine zulässige Datenverarbeitung konkretisieren und aktualisieren den Schutz des Rechts auf informationelle Selbstbestimmung und am eigenen Bild (vgl. BAG, Urteil vom 23.08.2018 - 2 AZR 133/18, Urteil vom 19.02.2019 - 8 AZR 1007/13, Urteil vom 12.02.2025 - 6 AZR 845/13, jeweils zum Bundesdatenschutzgesetz:). Das Anfertigen von Videoaufnahmen stellt eine Verarbeitung personenbezogener Daten im Sinne des Art. 4 Nr. 1 und 2 DSGVO dar.

(1) Die Kameraüberwachung ist nicht nach den Bestimmungen des Bundesdatenschutzgesetzes zulässig.

(a) Die (erleichterten) Zulässigkeitsvoraussetzungen für die Videoüberwachung öffentlich zugänglicher Räume gemäß § 4 BDSG kommen im Streitfall nicht zum Tragen.

Bei der Betriebshalle der Beklagten handelt es sich nicht um öffentlich zugängliche Räume. Das hat das Arbeitsgericht unter Heranziehung der Gesetzesmaterialien, der Literatur und der einschlägigen Rechtsprechung unter I 2 b bb (1) (a) der Entscheidungsgründe des erstinstanzlichen Urteils überzeugend begründet. Diesen Ausführungen des Arbeitsgerichts, die die Beklagte mit der Berufungsbegründung nicht angegriffen hat, schließt die erkennende Kammer sich an (§ 69 Abs. 2 ArbGG).

(b) Die Videoüberwachung ist nicht nach § 26 Abs. 1 BDSG zulässig.

(aa) § 26 Abs. 1 Satz 1 BDSG vermag die Videoüberwachung nicht zu rechtfertigen.

Die Norm kommt als rechtliche Grundlage für die Datenverarbeitung nicht in Betracht, da sie den Anforderungen, die Art. 88 DSGVO an Vorschriften des nationalen Rechts stellt, nicht erfüllt (BAG, Beschluss vom 09.05.2023 - 1 ABR 14/22). Dies gilt schon deshalb, weil Schutzmaßnahmen im Sinne des Art. 88 Abs. 2 DSGVO nicht vorgesehen sind.

(bb) Die Zulässigkeit der Videoüberwachung folgt nicht aus § 26 Abs. 1 Satz 2 BDSG.

Dokumentierte tatsächliche Anhaltspunkte dafür, dass der Kläger oder ein anderer Arbeitnehmer eine Straftat beging, liegen nicht vor. Bei den Manipulationen an den Maschinen, die sich - der Behauptung der Beklagten zufolge - in der Vergangenheit zutrugen, handelt es sich nicht um Straftaten. Der Einbruchsversuch, der im Frühjahr 2024 geschah, ist aufgeklärt. Sonstige Anhaltspunkte für Straftaten, die eine Überwachung im vorgesehenen Umfang zu ihrer Aufdeckung als erforderlich erscheinen lassen, sind nicht ersichtlich.

(2) Die Videoüberwachung ist auch nicht nach Art. 6 DSGVO zulässig.

(a) An einer wirksamen Einwilligung des Klägers im Sinne des Art. 6 Abs. 1 Buchstabe a DSGVO fehlt es.

Zwar hat sich der Kläger gemäß § 14 des Arbeitsvertrages vom 01.08.2020 mit der Verarbeitung personenbezogener Daten einverstanden erklärt. Damit willigte er jedoch nicht wirksam in die Videoüberwachung ein. Es fehlt schon an der erforderlichen Freiwilligkeit der Einwilligung (§ 26 Abs. 2 Satz 1 BDSG, Art. 7 Abs. 4 DSGVO). In Maßnahmen der Mitarbeiterüberwachung kann durch den Abschluss des Arbeitsvertrages nicht vorab wirksam eingewilligt werden (vgl. etwa Gola, BB 2017, 1462, 1468; Wybitul, NZA 2017, 413, 416), da der Abschluss des Arbeitsvertrages von der Erklärung der Einwilligung abhängt und die Einwilligung dem Arbeitnehmer in dieser Situation nur Nachteile bringt. Es kommt hinzu, dass eine Belehrung über das Widerrufsrecht gemäß § 26 Abs. 2 Satz 4 BDSG nicht erteilt wurde und die Erklärung der Einwilligung von den übrigen arbeitsvertraglichen Vereinbarungen nicht gemäß Art. 7 Abs. 2 Satz 1 DSGVO klar unterscheidbar ist.

(b) Die Videoüberwachung ist schließlich nicht nach Art. 6 Abs. 1 Buchstabe f DSGVO zulässig.

Diese Vorschrift erlaubt die Datenverarbeitung zur Wahrung berechtigter Interessen. Datenverarbeitende Maßnahmen, sollen sie nach Art. 6 Abs. 1 Buchstabe f DSGVO statthaft sein, müssen allerdings einer Verhältnismäßigkeitsprüfung standhalten (EuGH, Urteil vom 11.12.2019 - C - 708/18). Das ergibt sich bereits aus dem Wortlaut der Vorschrift. Im Streitfall ist die Videoüberwachung als unverhältnismäßig anzusehen.

(aa) Soweit die Beklagte unter Hinweis auf einen Diebstahl, der sich auf dem Nachbargelände ereignete, die Kameraüberwachung mit der Verhinderung von Straftaten und Vandalismus auf ihrem Betriebsgelände rechtfertigen will, sind die Voraussetzungen einer verhältnismäßigen Datenverarbeitung erkennbar nicht erfüllt.

Es fehlt schon an der Eignung der Maßnahme. Eine Kameraüberwachung in der Betriebshalle vermag die aus Sicht der Beklagten drohenden Gefahren auf dem Betriebsgelände nicht oder allenfalls teilweise abzuwenden oder zu dokumentieren. Jedenfalls stellt die Überwachung des Außenbereichs ein milderes Mittel dar.

(bb) Soweit die Beklagte vorbringt, in der Betriebshalle befänden sich Maschinen zur Stahlbearbeitung, hochwertiges Werkzeug sowie Materialvorräte, kann dies die Überwachung im vorliegenden Ausmaß nicht rechtfertigen.

Dabei mag zugunsten der Beklagten davon ausgegangen werden, dass diese Gegenstände, anders als die von ihr hergestellten Produkte, leicht Gegenstand einer Entwendung oder Beschädigung sein können. Die Beklagte hat aber schon nicht vorgetragen, an welchen Standorten in der Betriebshalle sich diese Gegenstände befinden. Die Beklagte hat auch nicht vorgetragen, inwieweit diese Erwägungen auf den Arbeitsplatz des Klägers zutreffen. Schließlich hat die Beklagte keinen Vortrag dazu gehalten, inwiefern aufgrund von Vorkommnissen in der Vergangenheit ein nennenswertes Sicherheitsrisiko besteht. Es ist nicht ersichtlich, dass es zu einer Sachbeschädigung, einem Diebstahl oder einem Diebstahlsversuch durch die in der Halle tätigen Arbeitnehmer kam. Für die Kammer ist auch nicht erkennbar, inwiefern das konkrete Risiko eines Diebstahls durch betriebsfremde dritte Personen besteht. Insoweit wäre jedenfalls eine Überwachung des Eingangs- und Außenbereichs als gefahrabwendende Maßnahme zureichend.

(cc) Das Vorbringen der Beklagten zu Manipulationen an Maschinen begründet nicht Zulässigkeit der Kameraüberwachung.

Es lässt sich nicht feststellen, inwiefern es in der Vergangenheit zu derartigen Manipulationen kam. Der Kläger hat dies bestritten. Eine Beweiserhebung durch die Vernehmung des Betriebsleiters, den die Beklagte als Zeugen benannt hat, ist als Ausforschungsbeweis unzulässig. Die Beklagte hat die Tatsachen, über welche die Vernehmung des Zeugen stattfinden soll, nicht hinreichend genau gemäß § 373 ZPO bezeichnet. Sie hat die Manipulationen nur pauschal behauptet und weder nach Ort, Art oder Zeitpunkt konkretisiert. Zwar ist der Beklagten zuzugeben, dass Manipulationen an Maschinen grundsätzlich denkbar sind. Will die Beklagte durch eine Kameraüberwachung des vorliegenden Ausmaßes aber nur einer abstrakten Manipulationsgefahr begegnen, so ist die Maßnahme offenkundig unverhältnismäßig.

(dd) Auch unter dem Gesichtspunkt der Arbeitssicherheit und der beabsichtigten Auswertung von Arbeitsunfällen erweist sich die Videoüberwachung nicht als zulässig.

Im Hinblick auf Vorkommnisse im Außenbereich, die für die Arbeitssicherheit relevant sein könnten, stellt die Kameraüberwachung innerhalb der Betriebshalle schon keine geeignete Maßnahme dar. Im Hinblick auf den Bereich innerhalb der Betriebshalle fehlt es an einer konkreten Darlegung der Beklagten, wann sich welche Arbeitsunfälle ereigneten und inwiefern eine Auswertung von Kameraaufzeichnungen nützlich wäre. Die Beklagte hat auch nicht vorgebracht, inwiefern das Gefahrenpotential für die Arbeitnehmer so hoch ist, dass die Überwachung des gesamten Hallenbereichs notwendig erscheint, insbesondere bezogen auf den Arbeitsplatz des Klägers

(ee) Bezüglich der beabsichtigten Nachverfolgung von Maschinenausfällen ist die Kameraüberwachung ebenfalls unverhältnismäßig.

Die Beklagte hat nicht dargelegt, in welcher Häufigkeit es in der Vergangenheit zu Ausfällen von Maschinen kam und ob der Arbeitsplatz des Klägers davon betroffen war. Es ist auch nicht ersichtlich, warum eine Videoaufzeichnung hilfreich wäre. Ein zeitnaher Eingriff, um auf den Ausfall zu reagieren, wäre nur möglich, wenn eine ständige "Live-Auswertung" der Kamerabilder erfolgte. Das hat die Beklagte jedoch nicht vorgetragen. Darüber hinaus ist nicht ersichtlich, welche Schäden bei einem Ausfall von Maschinen drohen und inwiefern zur Abwendung dieser Schäden die intensive Kameraüberwachung erforderlich ist.

(ff) Wenn die Beklagte vorbringt, die Kameraüberwachung erfolge, um nachweisen zu können, dass korrektes Material verladen wurde, ist auch dieser Gesichtspunkt nicht geeignet, die Rechtmäßigkeit der Überwachungsmaßnahme darzutun.

Die Überwachung erweist sich insoweit als unverhältnismäßig, denn sie betrifft den gesamten Innenbereich der Halle und nicht nur den Bereich, in dem die Verladung stattfindet. Diesen Bereich hat die Beklagte nicht näher konkretisiert. Sie hat keinen Vortrag dazu gehalten, inwiefern auch die Überwachung des Arbeitsplatzes, an dem der Kläger tätig war, unter diesem Gesichtspunkt erforderlich ist. Bei einer Löschung der Aufzeichnungen nach 48 Stunden dürfte im Regelfall die Kameraaufzeichnung als Beweismittel nicht mehr zur Verfügung stehen, wenn es zu einem Streit um die Verladung des ordnungsgemäßen Materials kommt. Schließlich ist nicht ersichtlich, warum es für die Beklagte nicht möglich ist, den gewünschten Nachweis durch Zeugen zu erbringen.

cc) Die Beklagte handelte im Hinblick auf die Kameraüberwachung schuldhaft.

Die Beklagte führte die Überwachungsmaßnahme vorsätzlich durch. Sie handelte bewusst und gewollt.

dd) Durch die Überwachung fand ein schwerer Eingriff in das Persönlichkeitsrecht des Klägers statt, der einen Anspruch auf Geldentschädigung auslöst.

Dabei ist zwar zugunsten der Beklagten zu berücksichtigen, dass die Überwachung nicht heimlich, sondern offen stattfand. Es ist auch nicht ersichtlich, dass aufgrund der Kameraüberwachung konkrete disziplinarische Maßnahmen gegenüber dem Kläger getroffen wurden. Ob dies, wie der Kläger vorträgt, gegenüber anderen Arbeitnehmern der Fall war, ist im Hinblick auf die Beeinträchtigung der Rechtsposition des Klägers unerheblich.

Andererseits ist zu berücksichtigen, dass die Überwachung in einem besonders langen Zeitraum stattfand. Der Kläger wurde von Januar 2023 bis Oktober 2024, also über einen Zeitraum von 22 Monaten, arbeitstäglich dauerüberwacht. Außerhalb der Pausen-, Umkleide- und Sanitärräume gab es in der Betriebshalle keinen Raum, in den der Kläger sich zum Schutze vor der Kameraüberwachung hätte zurückziehen können. Ob in den Büroräumen eine Kameraüberwachung tatsächlich nicht stattfand, ist insoweit unerheblich, da der Kläger als gewerblicher Arbeitnehmer sich dort kaum aufgehalten haben wird. Wenngleich er bei seiner regulären Arbeit nur von hinten aufgenommen wurde, war die Tätigkeit des Klägers am Arbeitsplatz war Gegenstand permanenter Überwachung. Beim Verlassen des Arbeitsplatzes wurde der Kläger von vorn aufgenommen. Dass insoweit auch die Möglichkeit bestand, das Kamerabild zu "zoomen", hat die Beklagte nicht konkret bestritten. Auch nach dem Vorbringen der Beklagten war der Zugriff auf die Bilddaten jederzeit durch mehrere Personen möglich. Wie die Beklagte in der mündlichen Verhandlung vor der erkennenden Kammer eingeräumt hat, erlaubte die eingesetzte Überwachungstechnik nicht nur, Einsicht in aufgezeichnete Kameradaten durch nachträgliches "Abspielen" zu nehmen; vielmehr bestand auch die Möglichkeit einer "Live-Überwachung" durch Einsichtnahme in die aktuell laufenden Kameraaufzeichnungen. Es entspricht allgemeiner Lebenserfahrung und bedarf keines besonderen Vortrages, dass dadurch ein extrem hoher Anpassungsdruck für den Kläger - und die anderen in der Halle tätigen Arbeitnehmer - hervorgerufen wurde. Es kommt hinzu, dass die Beklagte die Videoüberwachung unverändert fortführte, obgleich der Kläger mit dem Schreiben vom 18.12.2023 auf deren Unerwünschtheit und Unverhältnismäßigkeit hingewiesen hatte. Das Vorbringen der Beklagten, sie habe eine Überarbeitung des Überwachungskonzepts zu Beginn des Jahres 2024 in Auftrag gegeben, stellt die Schwere des Eingriffs in das Persönlichkeitsrecht nicht in Frage. Eine Modifikation erfolgte bis zum Ende der Beschäftigungszeit des Klägers nicht und wurde auch nicht konkret in Aussicht gestellt.

b) Die rechtswidrige, schuldhafte und besonders schwere Verletzung des Persönlichkeitsrechts zieht die Verpflichtung der Beklagten nach sich, eine Geldentschädigung gemäß § 253 Abs. 2 BGB zu zahlen, deren durch das Arbeitsgericht festgesetzte Höhe aus Sicht der erkennenden Kammer nicht zu beanstanden ist.

So hat das Landesarbeitsgericht Mecklenburg-Vorpommern (Urteil vom 25.05.2019 - 2 Sa 214/18) eine Überwachung des Arbeitnehmers durch drei Kameras im nicht öffentlich zugänglichen Bereich der Tankstelle für einen Zeitraum von mehr als acht Monaten für unzulässig gehalten und den Arbeitgeber zur Zahlung einer Geldentschädigung in Höhe von 2.000,00 € verurteilt. Das Landesarbeitsgericht Hamm (Urteil vom 30.10.2012 - 9 Sa 158/12) hat einem Arbeitnehmer, der über einen Zeitraum von 20 Monaten durch zwei Kameras für einen Zeitraum von 15 bis 20 Minuten je Arbeitstag überwacht wurde, eine Geldentschädigung in Höhe von 4.000,00 € zugesprochen. Das Hessische Landesarbeitsgericht (Urteil vom 25.10.2010 - 7 Sa 1586/09) hat den Arbeitgeber zur Zahlung einer Geldentschädigung in Höhe von 7.000,00 € für eine dreimonatige Dauerüberwachung verurteilt. Die im Streitfall erfolgte Kameraüberwachung war deutlich intensiver als in den Sachverhalten, die diesen Entscheidungen zugrunde lagen. Unter Berücksichtigung der Geldentwertung und des nicht geringen Verschuldens der Beklagten ist im Streitfall eine Geldentschädigung in Höhe von 15.000,00 € angemessen. Die Beklagte hat sich in eklatanter Weise über die Vorgaben des Datenschutzrechts hinweggesetzt. Anhaltspunkte dafür, dass sie hätte glauben dürfen, ihr Vorgehen seien rechtmäßig, sind nicht ersichtlich. Insbesondere hat die Beklagte nicht vorgebracht, sich vor der Installation der Kameraüberwachungsanlage datenschutzrechtlich beraten lassen zu haben. Zudem handelt es sich angesichts der Dauer und Intensität der Überwachung um einen besonders schweren Eingriff in das Persönlichkeitsrecht des Klägers; insoweit kann auf die Ausführungen unter II 2 a dd der Entscheidungsgründe Bezug genommen werden.

Den Volltext der Entscheidufng dinen Sie hier:

BAG
Urteil vom 05.06.2025
8 AZR 117/24

Das BAG hat vorliegend entschieden, dass dem Betroffenen 1.000 EURO immaterieller Schadensersatz aus Art. 82 DSGVO zustehen, nachdem der potentielle Arbeitgeber eine Google Recherche über einen Bewerber durchgeführt hat, ohne diesen nach Art. 14 DSGVO zu informieren.

Aus den Entscheidungsgründen:
bb) Der mit dem Feststellungsantrag verfolgte Anspruch auf materiellen Schadenersatz steht dem Kläger auch nicht aus Art. 82 Abs. 1 DSGVO zu.

(1) Nach dieser Bestimmung hat jede Person, der wegen eines Verstoßes gegen die Datenschutz-Grundverordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen.

(2) Hiervon ausgehend kann dahingestellt bleiben, ob die Beklagte, soweit sie im Auswahlverfahren Daten über das gegen den Kläger vor dem Landgericht München I geführte Strafverfahren verarbeitet hat, gegen die Datenschutz-Grundverordnung verstoßen hat, insbesondere ob hier ein Verstoß gegen Art. 6, Art. 10 und/oder Art. 14 DSGVO vorliegt. Dies kann vielmehr zugunsten des Klägers unterstellt werden. Es fehlt jedenfalls an der Darlegung eines Kausalzusammenhangs zwischen den vom Kläger angeführten Verstößen gegen die Datenschutz-Grundverordnung und dem geltend gemachten materiellen Schaden als einer der drei kumulativen Voraussetzungen eines Schadenersatzanspruchs nach Art. 82 Abs. 1 DSGVO (vgl. dazu: EuGH 4. Oktober 2024 – C-200/23 – [Agentsia po vpisvaniyata] Rn. 140; 4. Mai 2023 – C-300/21 – [Österreichische Post] Rn. 32; BAG 20. Februar 2025 – 8 AZR 61/24 – Rn. 10 mwN).

Bei den geltend gemachten Verstößen gegen die Datenschutz-Grundverordnung handelt es sich um Fehler im Auswahlverfahren, die für sich betrachtet nicht ursächlich für einen dem Kläger durch die Nichteinstellung entstandenen Schaden geworden sein können. Dieser Schaden ist vielmehr darauf zurückzuführen, dass er wegen objektiv begründeter Zweifel an seiner charakterlichen Eignung nicht als geeigneter Bewerber angesehen werden kann und schon deshalb keine Verpflichtung der Beklagten bestand, die ausgeschriebene Stelle mit ihm zu besetzen.

2. Der zulässige Klageantrag zu 2. ist, soweit Gegenstand der Revision, unbegründet. Das Landesarbeitsgericht hat dem Kläger zu Recht keinen über 1.000,00 Euro zzgl. Zinsen ab dem 28. Oktober 2022 hinausgehenden immateriellen Schadenersatz zugesprochen.

a) Da sich die Beklagte gegen ihre Verurteilung zur Zahlung einer Entschädigung nicht mit einem eigenen Rechtsmittel gewandt hat, ist die Entscheidung des Landesarbeitsgerichts insoweit mit dem Ablauf der Frist für eine mögliche Anschlussrevision rechtskräftig geworden (vgl. BAG 5. Mai 2022 – 2 AZR 363/21 – Rn. 10 mwN).

b) Zugunsten des Klägers kann unterstellt werden, dass ihm nicht nur – wie vom Landesarbeitsgericht angenommen – ein Anspruch auf Zahlung immateriellen Schadenersatzes gemäß Art. 82 Abs. 1 DSGVO wegen eines Verstoßes der Beklagten gegen ihre Informationspflichten aus Art. 14 Abs. 1 Buchst. d DSGVO zusteht, sondern die Beklagte bereits die Daten über das gegen den Kläger anhängige Strafverfahren mangels Eingreifens eines Erlaubnistatbestands iSv. Art. 6 und Art. 10 DSGVO unter Verstoß gegen Bestimmungen der Datenschutz-Grundverordnung erhoben hat, und demzufolge mehrere Verstöße gegen die Verordnung vorliegen. Dies führt aber nicht dazu, dass der vom Landesarbeitsgericht festgesetzte Entschädigungsbetrag rechtsfehlerhaft bemessen wäre.

aa) Bei der Bemessung der Höhe des nach Art. 82 Abs. 1 DSGVO geschuldeten Schadenersatzes haben die nationalen Gerichte in Ermangelung einer Bestimmung in der Datenschutz-Grundverordnung die innerstaatlichen Vorschriften der einzelnen Mitgliedstaaten über den Umfang der finanziellen Entschädigung anzuwenden, sofern die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität beachtet werden. Art. 82 Abs. 1 DSGVO verlangt dabei nicht, dass die Schwere des Verschuldens berücksichtigt wird. Die Ausgleichsfunktion des in Art. 82 Abs. 1 DSGVO verankerten Schadenersatzanspruchs schließt es sogar aus, dass eine etwaige Vorsätzlichkeit des Verstoßes gegen die Datenschutz-Grundverordnung bei der Bemessung des Schadenersatzes zum Tragen kommt. Der Betrag ist jedoch so festzulegen, dass er den konkret aufgrund des Verstoßes gegen die Datenschutz-Grundverordnung erlittenen Schaden in vollem Umfang ausgleicht (vgl. EuGH 20. Juni 2024 – C-182/22, C-189/22 – [Scalable Capital] Rn. 27 ff. mwN; BAG 25. Juli 2024 – 8 AZR 225/23 – Rn. 36).

bb) Hinsichtlich der nach diesen Maßgaben vorzunehmenden Bemessung der Höhe eines Schadenersatzes steht den Tatsachengerichten nach § 287 Abs. 1 ZPO ein weiter Ermessensspielraum zu, innerhalb dessen sie die Besonderheiten jedes einzelnen Falls zu berücksichtigen haben. Die Festsetzung unterliegt nur der eingeschränkten Überprüfung durch das Revisionsgericht (vgl. BAG 25. Juli 2024 – 8 AZR 225/23 – Rn. 37; 20. Juni 2024 – 8 AZR 124/23 – Rn. 16).

cc) Der vom Landesarbeitsgericht ausgeurteilte Betrag von 1.000,00 Euro ist jedenfalls ausreichend, um einen dem Kläger entstandenen immateriellen Schaden auszugleichen.

(1) Das Landesarbeitsgericht hat darauf abgestellt, dass der Kläger durch die Art und Weise der Verarbeitung der Daten über das gegen ihn anhängige Strafverfahren in erheblicher Weise zum bloßen Objekt der Verarbeitung geworden sei, was seinen Achtungsanspruch als Person herabgesetzt habe und mit einem erheblichen Kontrollverlust einhergegangen sei. Damit hat es die vom Kläger angeführten tatsächlichen Beeinträchtigungen umfassend gewürdigt. Der auf dieser Grundlage festgesetzte Entschädigungsbetrag hält sich im tatrichterlichen Beurteilungsspielraum.

(2) Soweit der Kläger eine ausreichend „abschreckende Wirkung“ der ihm zuerkannten Entschädigung vermisst, zeigt er keinen Gesichtspunkt auf, der eine Erhöhung rechtfertigen könnte. Durch die Rechtsprechung des Gerichtshofs der Europäischen Union ist geklärt, dass der in Art. 82 Abs. 1 DSGVO geregelte Schadenersatzanspruch ausschließlich eine ausgleichende und keine strafende Funktion hat, und dass die Höhe eines auf der Grundlage dieser Bestimmung gewährten Schadenersatzes nicht über das hinausgehen darf, was zum Ausgleich eines erlittenen Schadens erforderlich ist (zuletzt EuGH 4. Oktober 2024 – C-507/23 – Rn. 40 ff.). Der danach maßgebliche Charakter des Entschädigungsanspruchs als Anspruch auf Ausgleich eines tatsächlich erlittenen Schadens ist nicht davon abhängig, ob Regelungen im nationalen Recht wegen eines Verstoßes gegen die Datenschutz-Grundverordnung die Verhängung eines Bußgelds gegen den Verantwortlichen ermöglichen oder nicht.

(3) Der Kläger zeigt auch keinen revisiblen Rechtsfehler auf, soweit er geltend macht, das Landesarbeitsgericht sei lediglich von einem Verstoß gegen die Datenschutz-Grundverordnung ausgegangen, während tatsächlich mehrere Verstöße vorlägen. Selbst wenn Letzteres – was zugunsten des Klägers unterstellt werden kann – zutreffen sollte, beziehen sich die behaupteten Verstöße jedenfalls auf denselben Verarbeitungsvorgang. In einem solchen Fall kann, wie der Gerichtshof der Europäischen Union bereits erkannt hat, der Umstand, dass der Verantwortliche mehrere Verstöße gegenüber derselben Person begangen hat, nicht als relevantes Kriterium für die Bemessung des der betroffenen Person gemäß Art. 82 DSGVO zu gewährenden Schadenersatzes herangezogen werden. Um den Betrag der als Ausgleich geschuldeten finanziellen Entschädigung festzulegen, ist allein der vom Betroffenen konkret erlittene Schaden zu berücksichtigen (EuGH 11. April 2024 – C-741/21 – [juris] Rn. 64).

Den Volltext der Entscheidung finden Sie hier:

BGH
Urteil vom 29.07.2025
VI ZR 426/24
GG Art. 1 Abs. 1 Satz 1, Art. 2 Abs. 1 Satz 1, Art. 5 Abs. 1 Satz 2; BGB § 823 Ah; DSGVO Art. 85 Abs. 2; MStV § 23 Abs. 1

Wr hatten bereits in dem Beitrag BGH: Kein Schadensersatzanspruch wegen namentlicher Nennung eines Bundestagsabsabgeordneten in einem Demonstrationsaufruf über die Entscheidung berichtet.

Leitsätze des BGH:
a) Einer auf Unterlassung einer Äußerung gerichteten Klage ist grundsätzlich bereits dann stattzugeben, wenn die Äußerung einen mehrdeutigen Aussagegehalt aufweist und in einer der nicht fernliegenden Deutungsvarianten das allgemeine Persönlichkeitsrecht des von ihr Betroffenen verletzt. Demgegenüber ist bei der Prüfung zivilrechtlicher Sanktionen - wozu auch der Anspruch auf Geldentschädigung gehört - der rechtlichen Beurteilung diejenige Deutungsvariante zu Grunde zu legen, die dem in Anspruch Genommenen günstiger ist und den Betroffenen weniger beeinträchtigt.

b) Ein sich aus der Verletzung der unionsrechtlichen Bestimmungen zum Datenschutz ergebender Anspruch aus Art. 82 Abs. 1 DSGVO schließt Schadensersatzforderungen wegen Verstoßes gegen nationale Vorschriften nicht aus; ein Anspruch auf Ersatz materiellen oder immateriellen Schadens kann sich auch im Falle der uneingeschränkten Geltung der Datenschutz-Grundverordnung unter dem Gesichtspunkt der Verletzung des allgemeinen Persönlichkeitsrechts ggf. zusätzlich aus § 823 Abs. 1 BGB i.V.m. Art. 1 Abs. 1, Art. 2 Abs. 1 GG ergeben.

c) Unterfällt ein Datenverarbeitungsvorgang dem Medienprivileg (hier: Art. 85 Abs. 2 DSGVO i.V.m. § 23 Abs. 1 Satz 4 MStV), muss er sich nicht an Art. 6 und Art. 7 DSGVO messen lassen mit der Folge, dass ein auf die Verletzung dieser Bestimmungen gestützter Schadensersatzanspruch aus Art. 82 DSGVO nicht in Betracht kommt.

d) Der Begriff "Unternehmen der Presse" im Sinne von § 23 Abs. 1 Satz 4 MStV ist verfassungs- und europarechtskonform dahingehend auszulegen, dass er alle Anbieter von Telemedien zu journalistischen Zwecken erfasst. Hierunter können auch politische Parteien fallen, selbst wenn sie nicht über eine organisatorisch selbständige, für Publikationen zuständige Abteilung verfügen (Abgrenzung zu BVerwG, Beschluss vom 29. Oktober 2015 - 1 B 32/15, K&R 2016, 66).

e) Die Formulierung "zu journalistischen Zwecken" im Sinne von § 23 Abs. 1 Satz 4 MStV ist weit und in Anlehnung an die unionsrechtliche Terminologie in Art. 85 DSGVO auszulegen.

f) Zum Anspruch auf Zahlung einer fiktiven Lizenzgebühr wegen unbefugter Nutzung des Namens einer Person zu kommerziellen Zwecken.

BGH, Urteil vom 29. Juli 2025 - VI ZR 426/24 - OLG Dresden LG Leipzig

Den Volltext der Entscheidung finden Sie hier:

BGH
Urteil vom 13.05.2025
VI ZR 186/22
DSGVO Art. 82 Abs. 1

Der BGH hat entschieden, dass kein Schadensersatzanspruch aus Art. 82 DSGVO bei einem rein hypothetischen Risiko der missbräuchlichen Verwendung personenbezogener Daten durch einen unbefugten Dritten besteht.

Leitsatz des BGH:
Ein rein hypothetisches Risiko der missbräuchlichen Verwendung personenbezogener Daten durch einen unbefugten Dritten kann nicht zu einer Entschädigung gemäß Art. 82 Abs. 1 DSGVO führen.

BGH, Urteil vom 13. Mai 2025 - VI ZR 186/22 - OLG Oldenburg - LG Osnabrück

Aus den Entscheidungsgründen:
bb) Jedenfalls hat der Kläger nicht dargelegt, einen immateriellen Schaden erlitten zu haben.

(1) Der bloße Verstoß gegen die Datenschutzgrundverordnung reicht nicht aus, um einen Schadensersatzanspruch gemäß Art. 82 Abs. 1 DSGVO zu begründen. Denn das Vorliegen eines materiellen oder immateriellen "Schadens" stellt ebenso eine der Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadensersatzanspruch dar, wie das Vorliegen eines Verstoßes gegen die Datenschutzgrundverordnung und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind. Insofern muss die Person, die auf der Grundlage dieser Bestimmung Ersatz eines immateriellen Schadens verlangt, nicht nur den Verstoß gegen Bestimmungen dieser Verordnung nachweisen, sondern auch, dass ihr durch diesen Verstoß ein solcher Schaden entstanden ist. Ein solcher Schaden kann daher nicht allein aufgrund des Eintritts dieses Verstoßes vermutet werden. Insbesondere muss eine Person, die von einem Verstoß gegen die Datenschutzgrundverordnung betroffen ist, der für sie nachteilige Folgen hatte, den Nachweis erbringen, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 Abs. 1 DSGVO darstellen (vgl. EuGH, Urteil vom 4. Oktober 2024 - C-200/23, DB 2024, 2952 Rn. 140 ff.; Senat, Urteil vom 18. November 2024 - VI ZR 10/24, BGHZ 242, 180 Rn. 28 f.; jeweils mwN).


Aus der im ersten Satz des 85. Erwägungsgrundes der Datenschutzgrundverordnung enthaltenen beispielhaften Aufzählung der "Schäden", die den betroffenen Personen entstehen können, geht hervor, dass der Unionsgesetzgeber unter den Begriff "Schaden" insbesondere auch den bloßen "Verlust der Kontrolle" über ihre eigenen Daten infolge eines Verstoßes gegen die Datenschutzgrundverordnung fassen wollte, selbst wenn konkret keine missbräuchliche Verwendung der betreffenden Daten zum Nachteil dieser Personen erfolgt sein sollte (vgl. EuGH, Urteil vom 4. Oktober 2024 - C-200/23, DB 2024, 2952 Rn. 145 mwN).


Nicht nur aus dem Wortlaut von Art. 82 Abs. 1 DSGVO im Licht ihrer Erwägungsgründe 85 und 146, wonach der Begriff "immaterieller Schaden" im Sinne dieses Artikels weit zu verstehen ist, sondern auch aus dem mit der Datenschutzgrundverordnung verfolgten Ziel der Gewährleistung eines hohen Schutzniveaus für natürliche Personen bei der Verarbeitung personenbezogener Daten ergibt sich, dass die durch einen Verstoß gegen die Datenschutzgrundverordnung ausgelöste Befürchtung einer betroffenen Person, ihre personenbezogenen Daten könnten von Dritten missbräuchlich verwendet werden, für sich genommen einen "immateriellen Schaden" im Sinne von Art. 82 Abs. 1 DSGVO darstellen kann (vgl. EuGH, Urteil vom 4. Oktober 2024 - C-200/23, DB 2024, 2952 Rn. 144 mwN).


Wenn sich eine Person, die auf der Grundlage von Art. 82 Abs. 1 DSGVO Schadensersatz fordert, auf die Befürchtung beruft, dass ihre personenbezogenen Daten in Zukunft aufgrund eines solchen Verstoßes missbräuchlich verwendet werden, ist zu prüfen, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann (vgl. EuGH, Urteil vom 4. Oktober 2024 - C-200/23, DB 2024, 2952 Rn. 143 mwN).

Die bloße Behauptung einer Befürchtung ohne nachgewiesene negative Folgen reicht nicht aus (vgl. EuGH, Urteil vom 20. Juni 2024 - C590/22, DB 2024, 1676 Rn. 35). Ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten kann nicht zu einer Entschädigung führen (vgl. EuGH, Urteil vom 25. Januar 2024 - C-687/21, DB 2024, 519 Rn. 68).

Den Volltext der Entscheidung finden Sie hier:

BAG
Beschluss vom 24.06.2025
8 AZR 4/25 (A)

Das BAG hat das vorliegende Verfahren nach § 72 Abs. 5 ArbGG iVm. § 555 Abs. 1 ZPO ausgesetzt bis der EuGH über einen möglichen Schadensersatzanspruch gemäß Art. 82 Abs. 1 DSGVO bei verspäteter oder unvollständiger Auskunft nach Art. 15 DSGVO entschieden hat.

Aus den Entscheidungsgründen:
I. Die Parteien streiten über einen Anspruch des Klägers auf immateriellen Schadenersatz gemäß Art. 82 Abs. 1 DSGVO wegen Verletzung des Auskunftsrechts nach Art. 15 DSGVO. Der Kläger hat sich ua. auf einen ihm entstandenen Schaden durch Einschränkung seiner Rechte aus der Datenschutz-Grundverordnung und einen Kontrollverlust berufen.

II. Die Verhandlung im vorliegenden Verfahren wird gemäß § 72 Abs. 5 ArbGG iVm. § 555 Abs. 1 ZPO und einer entsprechenden Anwendung von § 148 Abs. 1 ZPO bis zu einer Entscheidung des Gerichtshofs der Europäischen Union über das durch den Bundesgerichtshof mit Vorlagebeschluss vom 6. Mai 2025 (- VI ZR 53/23 -) an den Gerichtshof der Europäischen Union gestellte Vorabentscheidungsersuchen (Art. 267 AEUV) ausgesetzt.

1. Der Bundesgerichtshof hat dem Gerichtshof der Europäischen Union mit vorbezeichnetem Beschluss vom 6. Mai 2025 ua. folgende Fragen zur Vorabentscheidung nach Art. 267 AEUV vorgelegt:

„II. [ … ]

2. a) Falls die Datenschutz-Grundverordnung anwendbar ist:
[ … ]
Sind die Regelungen in Art. 82 Abs. 1, Abs. 2 Satz 1 DSGVO dahingehend zu verstehen, dass sie einer betroffenen Person auch wegen Verletzung ihres Auskunftsrechts nach Art. 15 DSGVO einen Anspruch auf Schadensersatz für den wegen einer verspäteten oder unvollständigen Auskunft entstandenen immateriellen Schaden einräumen?


3. Falls Frage 2 a) oder … bejaht wird:
Stellt bereits die mit einer Verletzung der Auskunftspflicht (nach Art. 15 DSGVO bzw. …) einhergehende Ungewissheit des Betroffenen über die Verarbeitung seiner personenbezogenen Daten und die daraus resultierende Hinderung daran, die Rechtmäßigkeit der Datenverarbeitung zu überprüfen und etwaige diesbezügliche Rechte geltend zu machen, einen immateriellen Schaden im Sinne von Art. 82 DSGVO bzw. … dar?“

2. Die Frage zu II 2 a) und – soweit sie sich auf die Auslegung von Art. 82 DSGVO bezieht – die Frage zu II 3 sind auch im vorliegenden Verfahren entscheidungserheblich. Der Senat hält es daher – nach Anhörung der Parteien, die insoweit ihr Einverständnis erklärt haben – für angemessen, die Verhandlung im vorliegenden Revisionsverfahren analog § 148 Abs. 1 ZPO wegen Vorgreiflichkeit der im Vorlageersuchen des Bundesgerichtshofs (- VI ZR 53/23 -) gestellten Fragen zu II 2 a) und zu II 3 bis zu einer Entscheidung des Gerichtshofs der Europäischen Union auszusetzen (zur Zulässigkeit dieser Vorgehensweise: vgl. BAG 7. September 2021 – 9 AZR 3/21 (A) – Rn. 41 ff.; 28. Juli 2021 – 10 AZR 397/20 (A) – Rn. 14 ff. mwN, BAGE 175, 296; BGH 21. Februar 2023 – VI ZR 330/21 – Rn. 9 mwN).

Den Volltext der Entscheidung finden Sie hier:

BGH
Urteil vom 29.07.2025
VI ZR 426/24

Der BGH hat entschieden, dass kein Schadensersatzanspruch wegen namentlicher Nennung eines Bundestagsabsabgeordneten in einem Demonstrationsaufruf beseht.

Die Pressemitteilung des BGH:
Bundesgerichtshof zur Namensnennung in Demonstrationsaufruf

Der unter anderem für das allgemeine Persönlichkeitsrecht zuständige VI. Zivilsenat des Bundesgerichtshofs hat entschieden, dass dem Bundestagsabgeordneten für die Partei Die Linke, der in einem Demonstrationsaufruf der Partei Freie Sachsen namentlich genannt worden war, kein Schadensersatzanspruch wegen dieser Namensnennung zusteht.

Sachverhalt:

Der Kläger ist Bundestagsabgeordneter für die Partei Die Linke im Wahlkreis Leipzig-Süd. Die Beklagte ist eine Landespartei; sie wird vom Sächsischen Landesamt für Verfassungsschutz als "rechtsextremistische Kleinstpartei" beschrieben.

Der Kläger hatte für den 5. September 2022, 19.00 Uhr unter dem Titel "Preise runter - Energie und Essen müssen bezahlbar sein" eine Demonstration auf dem Leipziger Augustusplatz vor der Oper angemeldet. Hieran anknüpfend meldete auch die Beklagte für denselben Tag zur selben Uhrzeit auf demselben Platz vor dem Gewandhaus eine Demonstration unter dem Titel "Freie Sachsen unterstützen den Montagsprotest von S.[…] P.[…Name des Klägers] und Der Linken - gemeinsam gegen die da oben" an. Am 31. August 2022 um 17.48 Uhr veröffentlichte die Beklagte über den von ihr betriebenen eigenen Telegram-Kanal "Freie Sachsen" einen Beitrag mit der Überschrift "GETRENNT MARSCHIEREN, GEMEINSAM SCHLAGEN!". Der Beitrag ist mit dem Motto "LIEBER DEMONSTRIEREN ALS ZU HAUSE FRIEREN!" versehen und enthält die Unterüberschrift "Montag (5. September) großer Protest in Leipzig - quer durch alle politischen Lager der Opposition!" Zwischen der Überschrift und der Unterüberschrift werden sechs Personen aufgelistet. An der ersten bis vierten Stelle werden u.a. dem Compact-Magazin, dem Demokratischen Widerstand und den Freien Sachsen zugeordnete Personen unter voller Namensnennung genannt. An fünfter und sechster Stelle werden ein langjähriger Spitzenpolitiker und der Kläger jeweils für die Partei Die Linke aufgeführt. Der Kläger erwirkte am 2. September 2022 eine Unterlassungsverfügung, woraufhin die Beklagte den Beitrag am 3. September 2022 löschte.

Im vorliegenden Verfahren begehrt der Kläger die Zahlung einer Geldentschädigung in Höhe von 15.000 €. Er macht geltend, sein guter Ruf und seine Glaubwürdigkeit als Politiker seien erheblich dadurch beeinträchtigt worden, dass in dem Beitrag zu Unrecht der Eindruck erweckt worden sei, er kooperiere mit einer "Rechtspartei". Ergänzend hat der Kläger seinen Anspruch auf Art. 82 DSGVO gestützt.

Bisheriger Prozessverlauf:

Das Landgericht hat die Beklagte wegen einer schwerwiegenden Persönlichkeitsrechtsverletzung zur Zahlung einer Geldentschädigung in Höhe von 10.000 € verurteilt. Auf die Berufung der Beklagten hat das Oberlandesgericht das landgerichtliche Urteil aufgehoben und die Klage abgewiesen. Zwar verletze der Beitrag der Beklagten das allgemeine Persönlichkeitsrecht des Klägers. In ihm werde die unwahre Tatsachenbehauptung aufgestellt, der Kläger "paktiere" mit der Beklagten. Die Persönlichkeitsrechtsverletzung erreiche aber nicht den Erheblichkeitsgrad, der für die Zubilligung einer Geldentschädigung erforderlich sei. Ein Anspruch aus Art. 82 DSGVO komme ebenfalls nicht in Betracht. Die Norm sei im Bereich der politischen Auseinandersetzung nicht einschlägig.

Entscheidung des Bundesgerichtshofs:

Die Revision hatte im Ergebnis keinen Erfolg. Dem Kläger steht gegen die Beklagte unter keinem rechtlichen Gesichtspunkt ein Anspruch auf Zahlung einer Geldentschädigung zu.

Ein solcher Anspruch ergibt sich zunächst nicht aus § 823 Abs. 1 BGB i.V.m. Art. 1 Abs. 1, Art. 2 Abs. 1 GG. Es fehlt an der für die Zuerkennung einer Geldentschädigung erforderlichen Verletzung des allgemeinen Persönlichkeitsrechts des Klägers. Dem angegriffenen Beitrag ist die Aussage, der Kläger paktiere mit Kräften des äußersten rechten Spektrums, auf die der Kläger seinen Anspruch stützt, nicht eindeutig zu entnehmen. Der Beitrag weist vielmehr einen mehrdeutigen Aussagegehalt auf. Er lässt - am Maßstab des unvoreingenommenen und verständigen Durchschnittsrezipienten gemessen - mehrere Deutungsalternativen zu, die sich jeweils als nicht fernliegend erweisen. So wird ein Teil der Leser den Beitrag dahingehend verstehen, dass darin eine von einem gemeinschaftlichen Willen aller benannten Personen getragene einheitliche Demonstration angekündigt wird und dass diese Personen, mithin auch der Kläger, sich diesbezüglich abgesprochen bzw. zusammengewirkt haben. Demgegenüber wird ein anderer Teil der Leser dem angegriffenen Beitrag eine Kooperation des Klägers mit den benannten Vertretern der Beklagten nicht entnehmen. Ausgehend von der ins Auge fallenden Überschrift "GETRENNT MARSCHIEREN, GEMEINSAM SCHLAGEN!" und dem im Plural gefassten Text im weiß umrandeten Kasten "ALLE KUNDGEBUNGEN SIND GENEHMIGT" wird dieser Teil der Leser im nachfolgenden Text eine Beschreibung getrennter, unabhängig voneinander organisierter Protestmärsche erwarten. Dieser Teil der Leser wird das Wort "gemeinsam" im Folgetext allein auf das mit dem Protest verfolgte Ziel beziehen. In der zuletzt genannten Deutungsvariante verletzt der angegriffene Beitrag das allgemeine Persönlichkeitsrecht des Klägers nicht. Aus diesem Grund hat die Verhängung zivilrechtlicher Sanktionen nach gefestigter höchstrichterlicher Rechtsprechung zu unterbleiben. Denn lassen die Formulierung oder die Umstände der Äußerung eine nicht das Persönlichkeitsrecht verletzende Deutung zu, so verstößt die Verurteilung zum Schadensersatz - anders als die Verurteilung zur Unterlassung - gegen Art. 5 Abs. 1 Satz 1 GG.

Der Kläger kann den von ihm geltend gemachten immateriellen Schadensersatzanspruch auch nicht auf Art. 82 Abs. 1 DSGVO stützen. Denn die Verbreitung des den Namen des Klägers nennenden Beitrags auf dem Telegram-Kanal der Beklagten fällt in den Geltungsbereich des Medienprivilegs (Art. 85 Abs. 2 DSGVO i.V.m. § 23 Abs. 1 Satz 4 MStV). § 23 Abs. 1 Satz 4 MStV schützt die Datenverarbeitung aller Anbieter von Telemedien zu journalistischen Zwecken unabhängig von deren organisatorischer Selbstständigkeit. Die Beklagte hat die in ihrem Beitrag enthaltenen personenbezogenen Daten, so u.a. den Namen des Klägers, als Anbieterin eines Telemediums zu journalistischen Zwecken verarbeitet. Die Formulierung "zu journalistischen Zwecken" im Sinne von § 23 Abs. 1 Satz 4 MStV ist weit zu verstehen. Nach der Rechtsprechung des Gerichtshofs der Europäischen Union erfolgt eine Verarbeitung personenbezogener Daten zu journalistischen Zwecken dann, wenn sie zum Zweck hat, Informationen, Meinungen oder Ideen mit welchem Übertragungsmittel auch immer, in der Öffentlichkeit zu verbreiten. Dies ist hier der Fall. Der Beitrag diente dem Ziel, auf die öffentliche Meinungsbildung ein- und an der politischen Willensbildung mitzuwirken.

Vorinstanzen:

Landgericht Leipzig - 8 O 852/23 - Entscheidung vom 19. Dezember 2023

Oberlandesgericht Dresden - 4 U 3/24 - Entscheidung vom 23. April 2024

§ 823 BGB

(1) Wer vorsätzlich oder fahrlässig das Leben, den Körper, die Gesundheit, die Freiheit, das Eigentum oder ein sonstiges Recht eines anderen widerrechtlich verletzt, ist dem anderen zum Ersatz des daraus entstehenden Schadens verpflichtet.

(2) Die gleiche Verpflichtung trifft denjenigen, welcher gegen ein den Schutz eines anderen bezweckendes Gesetz verstößt. Ist nach dem Inhalt des Gesetzes ein Verstoß gegen dieses auch ohne Verschulden möglich, so tritt die Ersatzpflicht nur im Falle des Verschuldens ein.

Art. 82 DSGVO

(1) Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

OLG Frankfurt
Urteil vom 17.07.2025
16 U 7/24

Das OLG Frankfurt hat einem Model 3.000 EURO Geldentschädigung für die Veröffentlichung eines unfreiwilligen Busenblitzer-Fotos in Print- und Online-Presse zugesprochen.

Die Pressemitteilung des Gerichts:
Persönlichkeitsrecht - Veröffentlichung eines Fotos eines Models mit unfreiwillig entblößter Brust

3.000 € Geldentschädigung wegen der Veröffentlichung eines Fotos ist angemessen.

Wird ein Model mit einer erkennbar ungewollt aufgrund eines abrutschenden Oberteils entblößten Brust fotografiert, liegt in der Veröffentlichung des Fotos eine Persönlichkeitsrechtsverletzung. Unter Abwägung der Umstände des Einzelfalls hat das Oberlandesgericht Frankfurt am Main (OLG) mit heute verkündeter Entscheidung dafür eine Entschädigung in Höhe von 3.000,00 € für angemessen gehalten.

Die Klägerin arbeitete als Model auf einer Modewoche in Frankfurt am Main. Am Laufsteg waren an drei Stationen Fotografen positioniert. An der letzten der Stationen sollten die Models vor dem Verlassen des Laufstegs vor einem Sponsorenaufsteller eine einstudierte Pose zeigen. Nachdem die Klägerin bereits an den ersten beiden Stationen vorbeigelaufen war, bemerkte sie, dass ihr Oberteil begonnen hatte abzurutschen. Bei der letzten Station vor dem Sponsorenaufsteller, als die Klägerin die einstudierte Pose zeigte, nahm ein Fotograf das streitgegenständliche Foto auf. Auf ihm sieht man aufgrund des heruntergerutschten Oberteils die linke Brust der Klägerin bis unterhalb der Brustwarze. Das Foto wurde online und Print von der Beklagten, die eine bundesdeutsche Boulevard-Zeitung herausgibt, veröffentlicht, obwohl die Klägerin sich vorher gegen eine Veröffentlichung ausgesprochen hatte.

Nachdem sich die Beklagte verpflichtet hatte, die Veröffentlichung des Fotos zu unterlassen, hat die Klägerin eine Geldentschädigung von mindestens 10.000,00 € begehrt. Das Landgericht hat der Klage in Höhe von 5.000,00 € stattgegeben. Auf die hiergegen von beiden Seiten eingelegte Berufung hat der für Presserecht zuständige 16. Zivilsenat des OLG das Urteil abgeändert und die Beklagte unter Zurückweisung der weitergehenden Begehren zur Zahlung von 3.000,00 € verurteilt.

Der Klägerin stehe ein Anspruch auf Geldentschädigung zu, bestätigte der Senat die angefochtene Entscheidung. Die Veröffentlichung des Fotos verletze ihr Persönlichkeitsrecht. Die Klägerin habe in die Veröffentlichung dieses Fotos nicht eingewilligt. Ihre Einwilligung habe sich auf die regulären Posen für die Fotografen beschränkt. Die Klägerin habe mit bedeckter Brust ihren „Walk“ begonnen und so überwiegend absolviert. Auch für die Beklagte, die im Textbeitrag die Formulierung „Busen-Blitzer“ verwendete, sei erkennbar gewesen, dass der nackte Busen und die Brustwarze „ungewollt zum Vorschein gekommen“ seien. Sie habe selbst dem Verhalten der Klägerin den Erklärungswert beigemessen, „dass die Entblößung ihrer Brust möglicherweise unbemerkt, jedenfalls aber unfreiwillig erfolgte“. Die Klägerin habe „erkennbar eine unzutreffende Vorstellung von ihrem äußeren Erscheinungsbild“ gehabt, als sie an der dritten Station für die Fotografen posierte.

Gewicht und Tragweite der Verletzung und das Verschulden auf Seiten der Beklagten rechtfertigten hier eine Geldentschädigung. Es liege eine schwerwiegende Beeinträchtigung des Persönlichkeitsrechts vor. Auch wenn das Zeigen der (sekundären) Geschlechtsmerkmale nicht in jedem Fall als anstößig empfunden werde, obliege es allein der Klägerin, darüber zu entscheiden, ob sie sich mit unbekleideter Brust öffentlich zur Schau stellen möchte. Bedeutung erlange zudem, dass es sich um den ersten „Walk“ der damals 22-jährigen, unerfahrenen Klägerin gehandelt habe. Die Klägerin sei durch die Veröffentlichung „nicht nur in ihrem moralisch-sittlichen Gefühl gedemütigt worden, sondern auch dadurch, dass die Beklagte sich über ihren explizit erklärten Willen hinwegsetzte“. Abwägungsrelevant sei auch die Auflagenstärke des von der Beklagten verlegten Printmediums mit 1,1 Mio. verkauften Exemplaren und des bundesweit abrufbaren Onlineartikels. Die Beklagte treffe zudem ein grobes Verschulden gegen journalistische Sorgfaltspflichten.

Angemessen sei hier eine Entschädigung von 3.000,00 €. Dabei erlange u.a. Bedeutung, dass die Klägerin sich sowohl unmittelbar vor als auch nach dem Vorfall auf von ihr veröffentlichten Fotos zum Teil „recht freizügig“ gezeigt habe. Auf ihrem eigenen Instagram-Account sei ein Foto zu sehen, auf dem das präsentierte Oberteil „erst unmittelbar über den Brustwarzen an(setze) und den gesamten darüber liegenden Bereich der Brüste unbedeckt (lasse)“, führte der Senat weiter an. Damit führe die Klägerin dem Betrachter sofort auch wieder das streitgegenständliche Foto vor Augen. Nachhaltige und fortwirkende Beeinträchtigungen durch die Veröffentlichung seien im Rahmen der persönlichen Anhörung der Klägerin nicht zu erkennen gewesen. Substanziierter Vortrag zu der behaupteten Ausgrenzung, Diskriminierung und Benachteiligung fehle.

Oberlandesgericht Frankfurt am Main, Urteil vom 17.7.2025, Az. 16 U 7/24
(vorausgehend Landgericht Frankfurt, Urteil vom 4.1.2024, Az. 2-03 O 588/23)

LG Leipzig
Urteil vom 04.07.2025
05 O 2351/23

Das LG Leipzig hat entschieden, dass ein Facebook-Nutzer gegen Meta einen Anspruch auf Schadensersatz in Höhe von 5.000 EURO aus Art. 82 DGSVO wegen Verwendung der Meta Business Tools hat.

Die Pressemitteilung des Gerichts:
Landgericht Leipzig spricht Facebook-Nutzer eine Entschädigung von 5.000 Euro wegen Datenschutzverstößen durch die Business Tools von Meta zu

In der gegen Meta Platforms Ireland betriebenen Klage hat die für Datenschutzrecht zuständige 5. Zivilkammer des Landgerichts Leipzig mit Urteil vom 4. Juli 2025 einem Nutzer von Facebook eine Entschädigung wegen Datenschutzverstößen von 5.000 Euro zugesprochen.

Damit, dass Meta mit seinen Business Tools massiv gegen europarechtlichen Datenschutz verstößt, die personenbezogenen Daten zu einem Profiling der Nutzer von Facebook verarbeitet und Meta mit dem Geschäftsmodell der personalisierten Werbung Milliardengewinne einfährt, hat das Gericht die hohe Entschädigungssumme gerechtfertigt.

Meta, Betreiberin der sozialen Netzwerke Instagram und Facebook, hat Business Tools entwickelt, die von zahlreichen Betreibern auf ihren Webseiten und Apps eingebunden werden und die Daten der Nutzer von Instagram und Facebook an Meta senden. Jeder Nutzer ist für Meta zu jeder Zeit individuell erkennbar, sobald er sich auf den Dritt-Webseiten bewegt oder eine App benutzt hat, auch wenn er sich nicht über den Account von Instagram und Facebook angemeldet hat. Die Daten sendet Meta Ireland ausnahmslos weltweit in Drittstaaten, insbesondere in die USA. Dort wertet sie die Daten in für den Nutzer unbekanntem Maß aus.

Das Gericht hat den Anspruch auf Ersatz des immateriellen Schadens ausschließlich auf Art. 82 der Datenschutz-Grundverordnung (DSGVO) gestützt, damit auf Europarecht und nicht (wie andere Gerichte in vergleichbaren Fällen) auf das nationale Recht bei Persönlichkeitsrechtsverletzungen. Das Landgericht Leipzig hat sich dabei auf Feststellungen des Europäischen Gerichtshofs (EuGH) in einem Verfahren gegen Meta gestützt, in dem es ebenfalls um die Zulässigkeit der Business Tools ging. Da die Verarbeitung personenbezogener Daten besonders umfangreich ist – sie betrifft potenziell unbegrenzte Datenmengen und hat nahezu die vollständige Überwachung des Online-Verhaltens des Nutzers zur Folge – führt nach dem EuGH zu einem Gefühl, dass das gesamte Privatleben kontinuierlich überwacht wird.

Die Höhe des europarechtsautonom auszulegenden Schmerzensgeldes nach Art. 82 DSGVO muss, so das Landgericht Leipzig, über die in der nationalen Rechtsprechungspraxis etablierten Schmerzensgeldbeträge hinausgehen. Bei der Schadensschätzung wurde an den Wert der personenbezogenen Daten zu Zwecken personalisierter Werbung für Meta angeknüpft. Nach dem Bundeskartellamt (Beschl. v. 2.5.2022, Az. B 6-27/21) verfügt Meta im Bereich der sozialen Medien über eines der führenden Werbeangebote. Im Jahr 2021 erzielte Meta bereits 115 Mrd. USD Werbeeinnahmen bei einem Gesamtumsatz von 118 Mrd. USD, sodass die Werbeeinnahmen 97 % vom Umsatz ausmachen. Der finanzielle Wert eines einzigen Nutzerprofils, in dem sämtliche Daten über die Person gespeichert sind, ist auf datenverarbeitenden Märkte enorm. Dass der hohe Wert von Daten auch der Wahrnehmung in der Gesellschaft entspricht, sieht das Gericht durch diverse Studien bestätigt.

Auf eine informatorische Anhörung des Klägers – so wie die meisten anderen Gerichte bislang – hat das Landgericht Leipzig verzichtet. Bei einer Anhörung des Klägers wären keine weiteren Erkenntnisse zu erwarten gewesen, der über die Mitteilung des im Allgemeinen eher diffusen Gefühls des Datenverlusts und der Verunsicherung hinausgeht. Denn es ist ja gerade das Problem der Klagepartei und auch des Gerichts, festzustellen, was konkret Meta mit den Daten macht und noch vorhat. Das Gericht stellt deshalb für eine Mindestentschädigung von 5.000 Euro auf die allgemeine Betroffenheit des aufmerksamen und verständigen »Durchschnitts«-Betroffenen im Sinne der DSGVO ab.

Die Kammer ist sich der Folgen ihrer Entscheidung bewusst. Auch wenn sie dazu führen könnte, dass viele Facebook-Nutzer Klage erheben, ohne einen individuellen Schaden explizit darzulegen, widerspricht dies nicht den gesetzgeberischen Zielen der DSGVO, gerade auch mittels Private Enforcement den Datenschutz vor Zivilgerichten und damit jenseits rein behördlicher Maßnahmen effektiv durchzusetzen.

Aktenzeichen: 05 O 2351/23

LG Erfurt
Beschluss vom 03.04.2025
8 O 895/23

Das LG Erfurt hat dem EuGH Fragen zum Schadensersatz aus Art. 82 DSGVO bei Kontrollverlust im Zusammenhang mit Facebook-Scraping zur Vorabentscheidung vorgelegt.

Tenor:
Das Ausgangsverfahren wird ausgesetzt. Dem Gerichtshof der Europäischen Union werden gemäß Art. 267 AEUV die folgenden Fragen zur Auslegung von Art. 56 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) und der Datenschutz-Grundverordnung (DSGVO) vorgelegt:

Frage 1
Ist Art. 82 Abs. 1 DSGVO dahin auszulegen, dass ein nationales Gericht bei einem Verstoß gegen die DSGVO einer betroffenen Person Schadensersatz zusprechen muss, die lediglich nachgewiesen hat, dass ein Dritter (und nicht der beklagte datenschutzrechtlich Verantwortliche) ihre personenbezogenen Daten im Internet veröffentlicht hat? Mit anderen Worten: Stellt der bloße und ggf. nur kurzzeitige Verlust der Kontrolle über eigene Daten einen immateriellen Schaden im Sinne des Art. 82 Abs. 1 DSGVO dar?

Frage 2
Falls Frage 1 bejaht wird: Inwieweit unterscheidet sich die Antwort oder macht es einen Unterschied, wenn die veröffentlichten Daten nur aus bestimmten personenbezogenen Daten bestehen (einschließlich allenfalls numerische Nutzer-ID, Name und Geschlecht), welche die betroffene Person bereits selbst im Internet veröffentlicht hatte, in Verbindung mit der Telefonnummer der betroffenen Person, die ein Dritter (bei dem es sich nicht um den beklagten datenschutzrechtlich Verantwortlichen handelt) mit diesen personenbezogenen Daten verknüpft hat?

Aus den Entscheidungsgründen:
I. Gegenstand des Ausgangsverfahrens und zugrundeliegender Sachverhalt

Mit ihrer beim Landgericht Erfurt eingereichten Klage - einem Scraping-Fall - macht die Klägerin immateriellen Schadensersatz und eine Reihe weiterer Ansprüche aufgrund von Verstößen der Beklagten gegen die Datenschutz-Grundverordnung („DSGVO“) geltend. Die Beklagte, deren Sitz in Irland ist, betreibt die Social-Media-Plattform Facebook in Europa („Plattform der Beklagten”).

Die Klägerin unterhält ein Nutzerkonto auf der Plattform der Beklagten. Im Rahmen der Registrierung auf der Plattform der Beklagten müssen Nutzer bestimmte Informationen wie Name und Geschlecht angeben. Diese Informationen (zusammen mit der von der Beklagten generierten Nutzer-ID) sind im Rahmen des Nutzerprofils stets öffentlich einsehbar, worüber Nutzer in Kenntnis gesetzt werden. Diese öffentlichen Nutzerinformationen erleichtern die Kontaktaufnahme mit anderen Menschen. Dies entspricht dem Unternehmenszweck der Plattform der Beklagten, nämlich Menschen die Möglichkeit zu geben, Gemeinschaften zu bilden und die Welt näher zusammenzubringen.

Neben den immer öffentlichen Nutzerinformationen können Nutzer in ihrem Profil nach ihrer individuellen Präferenz weitere Informationen angeben. In diesem Zusammenhang können sie festlegen, welche anderen Gruppen von Nutzern diese Informationen sehen können („Freunde“, [auch] „Freunde von Freunden“, „Öffentlich“). Die Beklagte stellt hierfür Privatsphäre-Einstellungen zur Verfügung, durch die Nutzer bestimmen können, inwieweit von ihnen bereitgestellte Informationen öffentlich einsehbar sein sollen (sog. „Zielgruppenauswahl“). Über die Funktion und Bedeutung dieser Privatsphäre-Einstellungen informierte die Beklagte ihre Nutzer in ihrem Hilfebereich.

Entschied sich ein Nutzer - wie die Klägerin - dafür, seine Telefonnummer anzugeben, war die Standard-Zielgruppenauswahl während des relevanten Zeitraums „Freunde“. Die Telefonnummer war demnach nicht öffentlich einsehbar. Im Hinblick auf die Sichtbarkeit ihrer Handynummer hatte die Klägerin es bei der Standardeinstellung der Beklagten belassen, sodass diese nicht öffentlich sichtbar war.

Die Privatsphäre-Einstellungen auf der Plattform der Beklagten ermöglichten es den Nutzern auch, festzulegen, wer ihre Profile anhand ihrer Telefonnummern suchen kann (sog. „Suchbarkeits-Einstellungen“). Entschied sich ein Nutzer dafür, seine Telefonnummer anzugeben, war die Standard-Suchbarkeitseinstellung während des relevanten Zeitraums „Alle“. Nutzer konnten jedoch ihre Suchbarkeitseinstellungen jederzeit auf „Freunde“, „Freunde von Freunden“ oder (ab Mai 2019) auf „Nur ich“ festlegen. Die letztgenannte Einstellung verhinderte, dass andere Nutzer das betreffende Profil über die Telefonnummer finden konnten.

Die Möglichkeit, das Profil eines Nutzers anhand einer Telefonnummer zu finden, sollte ebenfalls dem Ziel dienen, Menschen miteinander zu verbinden. Die Plattform der Beklagten hat weltweit Milliarden von Nutzern. Die Suche nach einem Nutzerprofil allein anhand des Namens mag daher nicht ausreichen, um einen anderen Nutzer sicher zu identifizieren.

Die Klägerin entschloss sich dazu, ihre Telefonnummer auf der Plattform der Beklagten anzugeben, wobei sie die Standard-Suchbarkeitseinstellung „Alle“ nicht änderte.

Bis September 2019 ermöglichte die sog. Kontakt-Importer-Funktion Nutzern, Kontakte von ihren Mobilgeräten auf der Plattform der Beklagten hochzuladen. Hierdurch konnten die Nutzer diese Kontakte auf der Plattform der Beklagten finden und mit ihnen in Kontakt treten, sofern die Suchbarkeitseinstellungen des gesuchten Nutzers auf „Alle“ eingestellt waren (so wie dies bei der Klagepartei der Fall war).

Über einen bestimmten Zeitraum hinweg haben unbekannte Dritte (sog. „Scraper“), die in keiner Verbindung zur Beklagten standen, über die Kontakt-Importer-Funktion Mobiltelefonnummern hochgeladen. Die Mobiltelefonnummern hatten die Scraper bereits vorher anderweitig (d. h. nicht auf der Plattform der Beklagten) erlangt oder generiert. Wurden beim Hochladen der Telefonnummern Nutzerprofile gefunden, sammelten die unbekannten Dritten die Daten, die in den Profilen der Nutzer öffentlich einsehbar waren, und machten sich diese nutzbar.

Bei der Kontakt-Importer-Funktion handelte es sich um eine regulär vorgesehene Funktion der Plattform der Beklagten. Die Scraper wandten automatisierte Tools an, um diese Funktion auszunutzen und um auf Daten zuzugreifen, die in diesem Fall öffentlich einsehbar waren. Diese ohne Erlaubnis erfolgte Datenerhebung mit automatisierten Tools und Methoden fand während des relevanten Zeitraums statt und war (und ist immer noch) durch die Nutzungsbedingungen der Beklagten untersagt.

Die Scraper sammelten unzulässigerweise öffentlich einsehbare Daten zahlreicher Nutzer, fügten diese den Telefonnummern dieser Nutzer hinzu und veröffentlichten diese Daten in einer Datenbank im Internet bzw. Darknet. Dieses Vorgehen umfasste auch personenbezogene Daten der Klägerin, nämlich deren Telefonnummer in Verbindung mit den aus ihrem öffentlich einsehbaren Profil abgegriffenen Informationen (Nutzer-ID, Vorname, Nachname und Geschlecht).

Die Klägerin fordert unter anderem immateriellen Schadensersatz auf der Grundlage von Art. 82 DSGVO. Sie bringt vor, sie habe allein aufgrund der Tatsache, dass ihre Daten abgegriffen und in einer Datenbank veröffentlicht wurden, die Kontrolle über diese Daten verloren. Nach Ansicht der Klägerin stellt dieser Kontrollverlust schon als solcher einen immateriellen Schaden dar.

Die Beklagte macht demgegenüber geltend, dass Art. 82 DSGVO nicht dazu diene, vom Scraping betroffenen Personen Schadensersatz zu gewähren, die zwar von Datenschutzverletzungen betroffen sind, aber keinen konkreten, über den bloßen Kontrollverlust hinausgehenden Schaden erlitten haben. Dabei ist die Beklagte der Auffassung, dass der Scraping-Sachverhalt bereits keinen „Datenschutzverstoß“ darstelle. Die Beklagte macht ferner geltend, dass die bloße erneute Veröffentlichung der Daten der Klagepartei – die gemäß ihren individuellen Privatsphäre-Einstellungen bereits vorher öffentlich einsehbar waren – keinen immateriellen Schadensersatz begründen könne.


II. Einschlägige unionsrechtliche Bestimmungen

Art. 82 DSGVO (Haftung und Recht auf Schadensersatz)

Erwägungsgrund 75 DSGVO (Risiken für die Rechte und Freiheiten natürlicher Personen)

Erwägungsgrund 83 S. 3 DSGVO (Sicherheit der Verarbeitung)

Erwägungsgrund 85 S. 1 DSGVO (Pflicht zur Meldung von Datenschutzverletzungen an die Aufsichtsbehörde)

III. Relevante nationale Rechtsprechung

Die deutsche Rechtsprechung divergiert zu der Frage, ob der bloße Kontrollverlust einen immateriellen Schaden darstellt. Die bereits vorliegenden Entscheidungen des Gerichtshofes der Europäischen Union werden unterschiedlich interpretiert.

In nahezu identischen Verfahren haben mehrere deutsche Oberlandesgerichte Klagen auf immateriellen Schadensersatz abgewiesen. Sie haben dabei festgestellt, dass die auf Scraping beruhende erneute oder erstmalige Veröffentlichung von Daten und der damit einhergehende Kontrollverlust allein nicht ausreichen, um einen immateriellen Schaden zu begründen.

Der Bundesgerichtshof hat allerdings kürzlich in einem Verfahren wegen des unzulässigen Datenscrapings judiziert, dass ein bloßer und selbst kurzzeitiger Verlust der Kontrolle über eigene personenbezogene Daten schon an sich als immaterieller Schaden im Sinne von Art. 82 DSGVO einzuordnen ist und zu einem, wenn auch überschaubaren, Geldanspruch führt (BGH, Urteil vom 18.11.2024 - VI ZR 10/24). Dies soll somit unabhängig davon gelten, ob die Klagepartei individuelle immaterielle Beeinträchtigungen und Nachteile aufgrund des Kontrollverlusts darlegt und nachweist. Weder muss eine konkrete missbräuchliche Verwendung der Daten zum Nachteil des Betroffenen erfolgt sein, wie ein Identitätsdiebstahl, noch bedarf es sonstiger zusätzlicher spürbarer negativer Folgen.

Zu dem jedenfalls erforderlichen „Kontrollverlust“ fehlt es allerdings an einer Definition oder näheren Maßgaben.

IV. Entscheidungserheblichkeit und Erläuterung der Vorlagefragen

Die Antworten des Gerichtshofes der Europäischen Union zu den Vorlagefragen sind entscheidungserheblich. Das vorlegende Gericht geht von einem Datenschutzverstoß der Beklagten mit negativen Folgen aus. Es ist jedoch zweifelhaft, ob ein immaterieller Schaden zu bejahen ist. Abhängig davon, ob die bloße - erneute oder erstmalige - Veröffentlichung von personenbezogenen Daten im Internet als immaterieller Schaden eingestuft wird oder nicht, kann das Gericht dem Klageantrag auf immateriellen Schadenersatz entweder (zumindest teilweise) stattgeben oder ihn abweisen.

Insbesondere hält das Gericht eine Klarstellung des Gerichtshofs für erforderlich, ob Art. 82 Abs. 1 DSGVO es einem nationalen Gericht ermöglicht, einer betroffenen Person Schadensersatz zuzusprechen, obwohl diese keinen konkreten und individuellen materiellen oder immateriellen Schaden nachgewiesen hat, wie begründete Befürchtungen eines Missbrauchs oder andere psychische Beeinträchtigungen, sondern sich lediglich darauf beruft, dass ihre Daten im Internet veröffentlicht wurden und sie somit die Kontrolle hierüber verloren habe. Dieser Klarstellung dient die Vorlagefrage zu 1.

Für den Fall, dass die Vorlagefrage zu 1 bejaht wird, ersucht das Gericht mit der Vorlagefrage zu 2. den Gerichtshof um Klärung, ob der Gerichtshof zu einer anderen Einschätzung gelangt, wenn die (erneut) veröffentlichten Daten lediglich aus solchen personenbezogenen Daten bestehen, deren Veröffentlichung im Internet die betroffene Person vorher selbst veranlasst hatte (einschließlich allenfalls numerische Nutzer-ID, Name und Geschlecht), sowie der Telefonnummer der betroffenen Person.

Bei dieser Bewertung könnte zu berücksichtigen sein, dass die unzulässiger Weise abgegriffenen Daten der Klägerin auf deren Nutzerprofil öffentlich einsehbar waren, während die Mobiltelefonnummer der Klägerin weder abgegriffen noch anderweitig aus dem Nutzerprofil der Klagepartei abgerufen wurde. Damit unterscheidet sich dieser Sachverhalt wohl von den Fällen, die bisher Gegenstand von Vorabentscheidungsverfahren zu Art. 82 DSGVO waren. Es stellt sich die Frage, ob die Klägerin nicht bereits vor dem Datenschutzverstoß die Kontrolle über ihre vom Scraping betroffenen personenbezogenen Daten verloren hatte, was zu einem Ausschluss von Ersatzansprüchen führen könnte.

Nach alledem bestehen Zweifel, ob es sich bei der Problematik des „bloßen Kontrollverlustes“ bereits um einen „acte éclairé“ handelt. Die bisherigen Urteile des Gerichtshofes könnten jedenfalls so verstanden werden, dass ein bloßer Kontrollverlust als solcher noch keinen Schaden darstellt, vielmehr - mit höherem Begründungs- und Beweisaufwand - weitere Voraussetzungen und Umstände hinzutreten müssen, wie etwa psychische Beeinträchtigungen oder ein tatsächlicher Missbrauch von Daten (s. nur EuGH, Urteil vom 25.01.2024, C-687/21, Rn. 67, EuGH, Urteil vom 14.12.2023, C-340/21, Rn. 84, und EuGH, Urteil vom 14.12.2023, C-456/22, Rn. 22).

Den Parteien des Ausgangsverfahrens wurde ausgiebig rechtliches Gehör gewährt. Die Befugnis des Einzelrichters, unionsrechtliche Fragestellungen zu würdigen und vor den Gerichtshof zu bringen, beruht auf Art. 267 AEUV (eingehend LG Erfurt, Hinweisbeschluss vom 4. Februar 2025 - 8 O 211/24, juris). Ein Einzelrichter ist nicht gehalten, gemäß § 348 Abs. 3 ZPO seine Kammer zur Entscheidung über eine Übernahme anzurufen. Dies hat Generalanwalt Rantos in einem Dieselfall herausgestellt (EuGH, Schlussanträge des Generalanwalts vom 2. Juni 2022, C-100/21, Rn. 75 ff.):

„Daher bin ich der Ansicht, dass Art. 267 AEUV einer nationalen Regelung entgegensteht, die, wenn ein Einzelrichter meint, dass sich im Rahmen einer bei ihm anhängigen Rechtssache eine Frage nach der Auslegung oder der Gültigkeit des Unionsrechts stellt, die eine Entscheidung des Gerichtshofs erfordert, diesem vorschreibt, diese Frage einer Zivilkammer vorzulegen, und er folglich daran gehindert ist, den Gerichtshof um Vorabentscheidung zu ersuchen.“

Den Volltext der Entscheidung finden Sie hier:

BAG
Urteil vom 20.02.2025
8 AZR 61/24

Das BAG hat entschieden, das ein ungutes Gefühl allein bei verspäteter Auskunftserteilung nach Art. 15 DSGVO keinen Schadensersatzanspruch aus Art. 82 DSGVO begründet.

Aus den Entscheidungsgründen:
bb) Das Landesarbeitsgericht hat ausgehend vom Vorbringen des Klägers auch einen Schaden in Form von negativen Gefühlen allein wegen der verspäteten Erfüllung des Auskunftsanspruchs rechtsfehlerfrei verneint.

(1) Ein immaterieller Schaden kann allein in negativen Gefühlen bestehen (vgl. BAG 17. Oktober 2024 – 8 AZR 215/23 – Rn. 18). Dies betrifft Konstellationen, in denen der bloße Verstoß gegen die Datenschutz-Grundverordnung zu der Befürchtung eines Datenmissbrauchs führt (vgl. EuGH 4. Oktober 2024 – C-200/23 – [Agentsia po vpisvaniyata] Rn. 144 mit Verweis auf die Erwägungsgründe 85 und 146 zur DSGVO; 20. Juni 2024 – C-590/22 – [PS (Fehlerhafte Anschrift)] Rn. 32). Da solche Gefühle für sich genommen nicht beweisbar sind, hat das nationale Gericht die Gesamtsituation und letztlich auch die Glaubwürdigkeit der jeweiligen Klagepartei auf der Grundlage eines substantiierten Sachvortrags zu beurteilen. Steht ein Verstoß gegen die Datenschutz-Grundverordnung iSv. Art. 82 Abs. 1 DSGVO nach richterlicher Beweiswürdigung iSv. § 286 Abs. 1 ZPO zum Nachteil der Klagepartei als geschützter Person fest, mindert sich das Beweismaß bzgl. der Entstehung und der Höhe des Schadens nach § 287 Abs. 1 ZPO (BAG 20. Juni 2024 – 8 AZR 124/23 – Rn. 16 unter Bezugnahme auf BAG 5. Mai 2022 – 2 AZR 363/21 – Rn. 14).

(2) Die verspätete Erfüllung des Auskunftsanspruchs löst geradezu zwangsläufig die Sorge eines Verstoßes gegen sonstige Verpflichtungen aus der Datenschutz-Grundverordnung aus. Dies mag sich mit der Revision als eine besondere Form des Kontrollverlusts darstellen, kann aber auch als eigenständige Fallgruppe verstanden werden. Letztlich ist diese Frage der Einordnung nicht entscheidungserheblich. Wäre schon das Berufen auf solche abstrakten Befürchtungen ausreichend für die Annahme eines Schadens, würde jeder Verstoß gegen Art. 15 DSGVO – so ein Verstoß dagegen einen Schadenersatzanspruch nach Art. 82 Abs. 1 DSGVO dem Grunde nach begründen könnte – zu einem immateriellen Schaden führen. Die eigenständige Voraussetzung des Schadens würde damit bedeutungslos (BAG 17. Oktober 2024 – 8 AZR 215/23 – Rn. 16). Sie wäre stets erfüllt. Dies ist jedoch mit dem dargestellten Normverständnis des Gerichtshofs von Art. 82 Abs. 1 DSGVO, das strikt zwischen Verstoß und Schaden unterscheidet, ebenso wenig zu vereinbaren wie mit den Anforderungen des nationalen Prozessrechts, das die substantiierte Darlegung eines Schadens verlangt (BAG 20. Juni 2024 – 8 AZR 124/23 – Rn. 18; 20. Juni 2024 – 8 AZR 91/22 – Rn. 18).

(a) Entgegen der Auffassung der Revision wird damit keine „vierte Tatbestandsvoraussetzung“, wonach „der Schaden keine dem Verordnungsverstoß immanente Folge sein darf“, geschaffen. Es bedeutet auch nicht, dass „eine besonders enge Kausalität zwischen Verordnungsverstoß und Schaden“ für die Annahme eines Schadens „schädlich“ wäre. Die Rechtsprechung des Gerichtshofs und des Senats folgt nur der in Art. 82 Abs. 1 DSGVO angelegten Eigenständigkeit des Erfordernisses eines Schadens. Dabei ist im Einzelfall zu beurteilen, ob der Verstoß gegen die Datenschutz-Grundverordnung ggf. so schwerwiegende Konsequenzen aufweist, dass ein Schaden in Form von Befürchtungen selbstverständlich angenommen werden kann (zB Datenleck bzgl. Bank- oder Gesundheitsdaten) oder ob der Schaden gesondert begründet werden muss. Dementsprechend besteht auch kein Widerspruch zum Urteil des Senats vom 25. Juli 2024 (- 8 AZR 225/23 -). Der Senat hat in diesem Fall einer unzulässigen Überwachung durch Detektive ausgeführt, der Verlust von Kontrolle und die daraus folgende Befürchtung weiterer Überwachung sei selbsterklärend und bedürfe keiner näheren Darlegung (BAG 25. Juli 2024 – 8 AZR 225/23 – Rn. 34). Diese Begründung war der Schwere der Auswirkungen des Verstoßes geschuldet und kann nicht auf eine lediglich verspätete Auskunftserteilung übertragen werden. Dementsprechend geht auch der Hinweis auf die einen anderen Sachverhalt (Datenabfluss) betreffende Entscheidung des Bundesgerichtshofs vom 18. November 2024 (- VI ZR 10/24 -) fehl.

(b) Gleiches gilt bzgl. der von der Revision angeführten Entscheidung des Obersten Gerichtshofs (Österreich) vom 23. Juni 2021 (- 6 Ob 56/21k -). Dieser Beschluss erging vor den maßgeblichen Urteilen des Gerichtshofs der Europäischen Union.

(c) Die von der Revision unter Bezugnahme auf Rechtsprechung und Schrifttum zutreffend angeführte Bedeutung des Auskunftsanspruchs für die Transparenz der Datenverarbeitung (vgl. hierzu EuGH 22. Juni 2023 – C-579/21 – [Pankki S] Rn. 59 mwN) steht dem Erfordernis der gesonderten Begründung eines Schadens nicht entgegen. Der Verstoß gegen Art. 15 DSGVO begründet auch dann für sich genommen keinen immateriellen Schaden iSv. Art. 82 Abs. 1 DSGVO, wenn die verzögerte oder zunächst verweigerte Auskunftserteilung der Durchsetzung von Rechten entgegensteht, denn dies steht in keinem Zusammenhang mit dem Zweck des Schadenersatzanspruchs. Dieser hat nur eine Ausgleichsfunktion, da eine auf Art. 82 Abs. 1 DSGVO gestützte Entschädigung in Geld ermöglichen soll, den konkret aufgrund des Verstoßes gegen diese Verordnung erlittenen Schaden vollständig auszugleichen. Er erfüllt keine Abschreckungs- oder Straffunktion (EuGH 25. Januar 2024 – C-687/21 – [MediaMarktSaturn] Rn. 50; 21. Dezember 2023 – C-667/21 – [Krankenversicherung Nordrhein] Rn. 87). Daran ändern auch die im Erwägungsgrund 75 zur Datenschutz-Grundverordnung beschriebenen Risiken nichts (aA Gola/Heckmann/Franck 3. Aufl. DSG-VO Art. 15 Rn. 72; Kühling/Buchner/Bergt 4. Aufl. DSG-VO Art. 82 Rn. 18c). Gleiches gilt für die im Erwägungsgrund 85 zur Datenschutz-Grundverordnung angeführten Schadensarten. Der von einem Verstoß gegen die Auskunftspflicht betroffenen Person bleibt zudem der Anspruch auf Ersatz eines etwaigen materiellen Schadens.

(d) Soweit die Revision die angeführte Rechtsprechung des Senats im Widerspruch zum unionsrechtlichen Grundsatz der Äquivalenz sieht, dringt sie ebenfalls nicht durch. Sie begründet diese These mit einem Vergleich zum Ersatz immaterieller Schäden nach § 15 Abs. 2 AGG. Bei diesem Anspruch liege der immaterielle Schaden bereits in der Rechtsverletzung selbst. Gleiches müsse für den Anspruch nach Art. 82 Abs. 1 DSGVO gelten, weil der Erwägungsgrund 85 zur Datenschutz-Grundverordnung die „Diskriminierung“ als Regelschaden benenne. Diese Argumentation verkennt, dass sich der Äquivalenzgrundsatz auf die Ausgestaltung des Verfahrens zur Rechtsdurchsetzung bezieht (vgl. EuGH 9. April 2024 – C-582/21 – [Profi Credit Polska] Rn. 40; BAG 5. Mai 2022 – 2 AZR 363/21 – Rn. 13 ff.). Die Revision behauptet selbst nicht, dass ein Anspruch aus Art. 82 Abs. 1 DSGVO im Hinblick auf das nationale Verfahrensrecht schwerer durchsetzbar wäre als ein solcher aus § 15 Abs. 2 AGG. Sie nimmt lediglich einen Vergleich der materiellen Tatbestandsvoraussetzungen der verschiedenen Normen vor. Deren unterschiedliche Ausgestaltung wird durch den Äquivalenzgrundsatz nicht berührt.

(3) Das Landesarbeitsgericht hat vor diesem Hintergrund zu Recht ausgeführt, dass der Vortrag des Klägers bzgl. angeblich zu befürchtenden „Schindluders“ keine nachvollziehbare Begründung enthält, wo die Beklagte doch in den vergangenen sechs Jahren unstreitig kein „Schindluder“ betrieben habe. Ebenfalls rechtsfehlerfrei ist die Auffassung des Landesarbeitsgerichts, wonach behauptete Emotionen wie Ärger oder Frust („genervt sein“), keinen immateriellen Schaden darstellen (vgl. Fuhlrott/Fischer NZA 2023, 606, 610). Es handelt sich hierbei nur um pauschal gehaltene Unmutsbekundungen.

2. Entgegen der Auffassung der Revision bedarf es keines Vorabentscheidungsersuchens nach Art. 267 AEUV zu der Frage, ob die Nichterfüllung des Auskunftsanspruchs aus Art. 15 iVm. Art. 12 Abs. 3 DSGVO ohne Weiteres einen immateriellen Schaden darstellt. Die Rechtslage ist aus den genannten Gründen durch den Gerichtshof geklärt. Aus demselben Grund muss auch die Antwort des Gerichtshofs auf die achte Vorlagefrage des Amtsgerichts Arnsberg im Verfahren – C-526/24 – [Brillen Rottler] vor dem Gerichtshof nicht abgewartet werden.

Den Volltext der Entscheidung finden Sie hier:

BGH
Urteil vom 28.01.2025
VI ZR 109/23
DSGVO Art. 82 Abs. 1

Der BGH hat entschieden, dass die Zusendung einer Werbe-E-Mail allein nicht zur Begründung eines Schadensersatzanspruchs aus Art. 82 Abs. 1 DSGVO genügt.

Leitsatz des BGH:
Zur Frage des immateriellen Schadens im Sinne des Art. 82 Abs. 1 DSGVO.

BGH, Urteil vom 28. Januar 2025 - VI ZR 109/23 - LG Rottweil - AG Tuttlingen

Aus den Entscheidungsgründen:
a) Die Ablehnung einer Erheblichkeitsschwelle durch den Gerichtshof bedeutet nicht, dass eine Person, die von einem Verstoß gegen die Datenschutz-Grundverordnung betroffen ist, der für sie negative Folgen gehabt hat, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 dieser Verordnung darstellen (vgl. EuGH, Urteil vom 20. Juni 2024 - C-590/22, DB 2024, 1676 Rn. 27 - PS GbR; Senatsurteil vom 18. November 2024 - VI ZR 10/24, DB 2024, 3091 Rn. 29; jeweils mwN). Der bloße Verstoß gegen die Bestimmungen der Datenschutz-Grundverordnung reicht nach der Rechtsprechung des Gerichtshofs nicht aus, um einen Schadensersatzanspruch zu begründen, vielmehr ist darüber hinaus - im Sinne einer eigenständigen Anspruchsvoraussetzung - der Eintritt eines Schadens (durch diesen Verstoß) erforderlich (st. Rspr., vgl. EuGH, Urteil vom 20. Juni 2024 - C-590/22, DB 2024, 1676 Rn. 25 - PS GbR; Senatsurteil vom 18. November 2024 - VI ZR 10/24, DB 2024, 3091 Rn. 28; jeweils mwN).

b) Das Berufungsgericht hat den Vortrag des Klägers - auch den Vortrag in der Klageschrift, auf den die Revision verweist - zu Recht als nicht hinreichend zur Darlegung eines immateriellen Schadens des Klägers angesehen. Deshalb bedarf es keiner Entscheidung, ob überhaupt ein Verstoß gegen die Datenschutz-Grundverordnung vorlag (Art. 95 DSGVO, Art. 13 Abs. 2 der Richtlinie 2002/58/EG, § 7 Abs. 3 UWG).

Die Revision ist der Ansicht, der Kläger habe ausreichend zu einem immateriellen Schaden vorgetragen, der ihm aus dem gerügten Verstoß gegen die Datenschutz-Grundverordnung entstanden sei. So habe er bereits in der Klageschrift darauf hingewiesen, durch Zusendungen der in Rede stehenden Art werde das ungute Gefühl erweckt, dass personenbezogene Daten Unbefugten bekannt gemacht worden seien, eben weil die Daten unbefugt verwendet worden seien. Der Kläger habe sich mit der Abwehr der von ihm unerwünschten Werbung und der Herkunft der Daten auseinandersetzen müssen, was zu einem durchaus belastenden Eindruck des Kontrollverlusts geführt habe. Außerdem habe der Beklagte nach dem Verstoß zunächst einmal nicht reagiert; darin komme eine erneute Missachtung des Klägers zum Ausdruck.

Aus diesem Vortrag ergibt sich jedoch nicht, dass dem Kläger durch die Verwendung seiner E-Mail-Adresse ohne Einwilligung zum Zweck der Zusendung einer Werbe-E-Mail ein immaterieller Schaden entstanden wäre. Es liegt weder ein auf dem gerügten Verstoß beruhender Kontrollverlust des Klägers über seine personenbezogenen Daten vor (hierzu unter aa)), noch ist die vom Kläger geäußerte Befürchtung eines Kontrollverlusts substantiiert dargelegt (unter bb)). Das Berufungsgericht hat auch keine weiteren Umstände festgestellt, aus denen sich ein immaterieller Schaden ergäbe. Die Revision zeigt insoweit keinen übergangenen Vortrag auf (unter cc)).

aa) Der Gerichtshof hat in seiner jüngeren Rechtsprechung unter Bezugnahme auf ErwG 85 DSGVO (vgl. ferner ErwG 75 DSGVO) klargestellt, dass schon der - selbst kurzzeitige - Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden darstellen kann, ohne dass dieser Begriff des "immateriellen Schadens" den Nachweis zusätzlicher spürbarer negativer Folgen erfordert (EuGH, Urteil vom 4. Oktober 2024 - C-200/23, juris Rn. 145, 156 i.V.m. 137 - Agentsia po vpisvaniyata; Senatsurteil vom 18. November 2024 - VI ZR 10/24, DB 2024, 3091 Rn. 30 mwN)

Freilich muss auch insoweit die betroffene Person den Nachweis erbringen, dass sie einen solchen - d.h. in einem bloßen Kontrollverlust als solchem bestehenden - Schaden erlitten hat (vgl. EuGH, Urteil vom 20. Juni 2024 - C-590/22, DB 2024, 1676 Rn. 33 - PS GbR; Senatsurteil vom 18. November 2024 - VI ZR 10/24, DB 2024, 3091 Rn. 31 mwN). Ist dieser Nachweis erbracht, steht der Kontrollverlust also fest, stellt dieser selbst den immateriellen Schaden dar und es bedarf keiner sich daraus entwickelnden besonderen Befürchtungen oder Ängste der betroffenen Person; diese wären lediglich geeignet, den eingetretenen immateriellen Schaden noch zu vertiefen oder zu vergrößern (Senatsurteil vom 18. November 2024 - VI ZR 10/24, DB 2024, 3091 Rn. 31).

Weder den Feststellungen des Berufungsgerichts noch den Angaben in der Klageschrift, auf die die Revision verweist, ist zu entnehmen, dass der Kläger aufgrund der Verwendung seiner E-Mail-Adresse zur Übersendung der Werbe-E-Mail am 20. März 2020 einen Kontrollverlust über seine personenbezogenen Daten erlitten hätte. Ein Kontrollverlust könnte allenfalls dann vorliegen, wenn der Beklagte die Daten des Klägers mit der Übersendung der Werbe-E-Mail zugleich Dritten zugänglich gemacht hätte. Das war aber nicht der Fall (zu den Voraussetzungen eines Kontrollverlusts auch BAG, DB 2024, 3114 Rn. 18).

bb) Wenn ein Kontrollverlust nicht nachgewiesen werden kann, reicht die begründete Befürchtung einer Person, dass ihre personenbezogenen Daten aufgrund eines Verstoßes gegen die Verordnung von Dritten missbräuchlich verwendet werden, aus, um einen Schadensersatzanspruch zu begründen (vgl. EuGH, Urteil vom 25. Januar 2024 - C-687/21, CR 2024, 160 Rn. 67 - MediaMarktSaturn; Senatsurteil vom 18. November 2024 - VI ZR 10/24, DB 2024, 3091 Rn. 32 mwN). Die Befürchtung samt ihrer negativen Folgen muss dabei ordnungsgemäß nachgewiesen sein (vgl. EuGH, Urteil vom 20. Juni 2024 - C-590/22, DB 2024, 1676 Rn. 36 - PS GbR; Senatsurteil vom 18. November 2024 - VI ZR 10/24, DB 2024, 3091 Rn. 32 mwN). Demgegenüber genügt die bloße Behauptung einer Befürchtung ohne nachgewiesene negative Folgen ebenso wenig wie ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten (vgl. EuGH, Urteile vom 20. Juni 2024 C-590/22, DB 2024, 1676 Rn. 35 - PS GbR; Senatsurteil vom 18. November 2024 - VI ZR 10/24, DB 2024, 3091 Rn. 32 mwN).

Die Revision verweist hierzu auf Vortrag des Klägers, aus dem sich die Befürchtung ergebe, der Beklagte werde die E-Mail-Adresse des Klägers auch Dritten zugänglich machen, da er sie bereits unbefugt (gegenüber dem Kläger) verwendet habe. Damit legt der Kläger aber nur die - im Übrigen aus sich heraus nicht ohne Weiteres nachvollziehbare - Befürchtung weiterer Verstöße gegen die Datenschutz-Grundverordnung durch den Beklagten dar. Diese könnten unter Umständen zu eigenständigen Schadensersatzansprüchen führen. Ein sich daraus gegebenenfalls ergebender Kontrollverlust hätte seine Ursache aber nicht in dem streitgegenständlichen Verstoß. Auch die von der Revision angeführte Abwehr der unerwünschten Werbung rechtfertigt den behaupteten Eindruck eines Kontrollverlusts für sich genommen nicht.

cc) Das Berufungsgericht hat ausgeführt, der Kläger habe zu einer objektiv nachvollziehbaren Beeinträchtigung persönlichkeitsbezogener Belange nicht hinreichend vorgetragen. Demgegenüber macht die Revision geltend, ein immaterieller Schaden liege in der Missachtung des Klägers, die sich auch in der fehlenden Reaktion des Beklagten auf die E-Mail des Klägers vom 20. März 2020 und auf ein gleichlautendes Fax vom 20. April 2020 zeige.

Die Übersendung der Werbe-E-Mail begründet allenfalls den gerügten Verstoß gegen die Datenschutz-Grundverordnung. Dieser reicht allein nicht aus, um zugleich einen immateriellen Schaden im Sinne des Art. 82 Abs. 1 DSGVO zu begründen (vgl. EuGH, Urteil vom 11. April 2024 - C-741/21, VersR 2024, 1147 Rn. 18 f., 30, 37, 43 - juris, zur Direktwerbung per E-Mail trotz Widerspruchs). Die - durch Übersendung der Werbe-E-Mail erfolgte - Kontaktaufnahme als solche ist nicht ehrverletzend (vgl. Senatsurteil vom 10. Juli 2018 - VI ZR 225/17, BGHZ 219, 233 Rn. 14 mwN). Die unterbliebene Reaktion des Beklagten auf die E-Mail vom 20. April 2019 und das Fax vom 6. April 2020 könnte einen immateriellen Schaden des Klägers allenfalls vertiefen, aber nicht begründen.

Den Volltext der Entscheidung finden Sie hier:

VG Köln
Urteil vom 23.01.2025
15 K 4797/23

Das VG Köln hat entschieden, dass der Ex-BSI-Präsident Schönbohm keinen Anspruch auf Schadensersatz wegen Mobbings bzw. Verletzung der Fürsorgepflicht gegen die Bundesrepublik Deutschland hat.

Die Pressemitteilung des Gerichts:
VG Köln: Ex-BSI-Präsident Schönbohm unterliegt mit Klage gegen Bundesinnenministerium wegen Mobbings

Dem früheren Präsidenten des Bundesamts für Sicherheit in der Informationstechnik (BSI) Arne Schönbohm steht kein Anspruch auf Schadensersatz wegen Mobbings oder einer sonstigen Verletzung der Fürsorgepflicht durch seinen Dienstherrn zu. Dies hat das Verwaltungsgericht Köln mit einem heute verkündeten Urteil entschieden und damit eine Klage Schönbohms gegen die Bundesrepublik Deutschland, vertreten durch das Bundesministerium des Innern und für Heimat (BMI), abgewiesen.

Der Kläger war seit 2016 Präsident des BSI. In der Sendung ZDF Magazin Royale vom 07.10.2022 wurde der Eindruck erweckt, er habe Verbindungen zu russischen Geheimdienstkreisen. Die Sendung löste ein erhebliches mediales Echo im Hinblick auf die Stellung des Klägers als Leiter einer großen sicherheitsrelevanten Bundesbehörde aus. Mitte Oktober 2022 stellte der Kläger einen Antrag auf Einleitung eines Disziplinarverfahrens, um die aus seiner Sicht haltlosen Vorwürfe gegen seine Person aufklären zu lassen. Kurz darauf untersagte das BMI dem Kläger vorläufig die Führung seiner Dienstgeschäfte. Gegen diese Maßnahme beantragte er beim Verwaltungsgericht Köln die Gewährung von Eilrechtsschutz. Noch während des Gerichtsverfahrens versetzte das BMI den Kläger zum BMI und übertrug ihm zum 01.01.2023 die Funktion des Präsidenten der Bundesakademie für öffentliche Verwaltung (BAköV). Damit erledigte sich das Verbot der Führung der Dienstgeschäfte. Die disziplinarrechtlichen Vorermittlungen stellte das BMI Ende April 2023 ein. Ende August 2023 erhob der Kläger Klage, mit der er Schadensersatz in Höhe von 5.000 Euro forderte, wobei er sich die Geltendmachung eines weitergehenden Schadens vorbehielt. Zur Begründung trug er im Wesentlichen vor, die Beklagte habe die ihm gegenüber bestehende Fürsorgepflicht in mehrfacher Hinsicht verletzt, um zielgerichtet seine Absetzung als Präsident des BSI zu betreiben. Das Verhalten sei angesichts der gesamten Umstände sogar als Mobbing zu bezeichnen.

Dem ist das Gericht nicht gefolgt. In der mündlichen Urteilsbegründung hat es ausgeführt: Zwar spricht vieles dafür, dass die Beklagte ihrer Fürsorgepflicht nicht hinreichend nachgekommen ist, indem sie sich nicht stärker schützend vor den Kläger gestellt hat. Es lässt sich aber nicht feststellen, dass gerade daraus eine für den geltend gemachten Anspruch erforderliche schwerwiegende Verletzung der Persönlichkeitsrechte des Klägers resultierte. Dieser stand aufgrund der ZDF-Sendung im Fokus der öffentlichen Auseinandersetzung mit den damit verbundenen negativen Folgen für seine Person. Dafür, dass das vom Kläger beanstandete Verhalten den Tatbestand des Mobbings erfüllt, gibt es ebenfalls keine hinreichenden Anhaltspunkte. Unter Mobbing ist nach gefestigter Rechtsprechung ein systematisches Anfeinden, Schikanieren und Diskriminieren zu verstehen. Dass derlei gegenüber dem Kläger stattgefunden hätte, lässt sich bei einer zusammenfassenden Würdigung der Ereignisse nicht feststellen. Ob das Verbot der Führung der Dienstgeschäfte rechtmäßig war, muss insoweit nicht entschieden werden. Es war jedenfalls nicht fernliegend, in der damaligen Situation mit dieser Personalmaßnahme auf die öffentliche Debatte zu reagieren. Dass das Verbot gezielt eingesetzt worden wäre, um den Kläger dauerhaft von seiner Position als Präsident des BSI zu entbinden, ist nicht erkennbar. Dagegen spricht auch, dass der Kläger als Beamter ohnehin jederzeit aus dienstlichen Gründen versetzbar war. Ein Beamter hat kein Recht auf Beibehaltung seines bisherigen Aufgabenbereichs. Die Versetzung zur BAköV noch während des laufenden Eilverfahrens vor dem Verwaltungsgericht Köln spricht vor diesem Hintergrund ebenfalls nicht für ein systematisches Anfeinden des Klägers, zumal das Amt des Präsidenten der BAköV der Besoldungsgruppe B 8 der Bundesbesoldungsordnung und damit derselben Besoldungsgruppe zugeordnet ist, wie auch das Amt des Präsidenten des BSI. In der Besoldung kommt zugleich zum Ausdruck, dass das Amt des Präsidenten des BSI mit einer exponierten Stellung und einer hohen Verantwortung verbunden ist. In einer solchen Position muss ein Beamter umso eher damit rechnen, in eine auch politisch aufgeladene Auseinandersetzung zu geraten. Dass die Stelle des Präsidenten der BAköV erst kurz vor der Versetzung des Klägers und, wie dieser geltend macht, unter Missbrauch von Steuergeldern von B 6 nach B 8 angehoben worden ist, mag angreifbar sein, lässt für eine Schädigungsabsicht aber ebenfalls nichts Hinreichendes erkennen. Im Ergebnis nichts anderes ergibt sich aus dem Umstand, dass die disziplinarrechtlichen Vorermittlungen gegen den Kläger erst Ende April 2023 eingestellt worden sind, obwohl die Fachebene des BMI bereits im Februar für eine Einstellung votiert hatte.

Soweit der Kläger neben dem Ausgleich immaterieller Nachteile den Ersatz materieller Schäden begehrt, hat die Klage ebenfalls keinen Erfolg. Die Kosten für seine anwaltliche Vertretung in dem verwaltungsgerichtlichen Eilverfahren sind nur in der Höhe der gesetzlich bestimmten Gebühren erstattungsfähig. In dieser Höhe sind die Anwaltskosten des Klägers aber bereits erstattet worden. Im Hinblick auf Kosten für eine vorgerichtliche Beratung fehlte es zum damaligen Zeitpunkt an einer Fürsorgepflichtverletzung, die einen solchen Anspruch begründen könnte.

Gegen das Urteil kann der Kläger einen Antrag auf Zulassung der Berufung stellen, über den das Oberverwaltungsgericht für das Land Nordrhein-Westfalen in Münster entscheiden würde.

Aktenzeichen: 15 K 4797/23

BGH
Beschluss vom 10.12.2024
VI ZR 7/24

Der BGH hat sich in diesem Beschluss zur Bemessung des Streitwerts in Facebook-Scraping-Fällen für Ansprüche auf Unterlassung, Zahlung, Auskunft und Feststellung geäußert.

Aus den Entscheidungsgründen:
Der Senat hat den Streitwert für das Revisionsverfahren auf die Gebührenstufe bis 4.000 € festgesetzt und die Klageanträge dabei - wie zuvor das Berufungsgericht - wie folgt bemessen: 1.000 € (Zahlungsantrag) + 500 € (Feststellungsantrag) + 1.500 € (Unterlassungsanträge) + 500 € (Auskunftsantrag) = 3.500 €. Der Prozessbevollmächtigte des Klägers wendet sich allein gegen die Wertfestsetzung für die Unterlassungsanträge, die er - wie zuvor das Landgericht - mit insgesamt 5.000 € (2 x 2.500 €) bemessen haben möchte.

Eine Höherfestsetzung des Streitwerts für die Unterlassungsanträge ist nicht veranlasst. Der Streitwert ist nach allgemeinen Regeln unter Berücksichtigung aller Umstände des Einzelfalls, insbesondere des Umfangs und der Bedeutung der Sache und der Vermögens- und Einkommensverhältnisse der Parteien, nach Ermessen zu bestimmen (§ 48 Abs. 2 Satz 1, Abs. 1 GKG, § 3 ZPO). Maßgeblich bei einem Unterlassungsantrag nach - wie im Streitfall geltend gemacht - bereits erfolgter Verletzungshandlung ist das Interesse des Anspruchstellers an der Unterbindung weiterer gleichartiger Verstöße, welches maßgeblich durch die Art des Verstoßes, insbesondere seine Gefährlichkeit und Schädlichkeit für den Inhaber des verletzten Rechts bestimmt wird. Allerdings kann auch anderen, von der bereits erfolgten Verletzungshandlung unabhängigen Faktoren - etwa dem Grad der Wahrscheinlichkeit künftiger Zuwiderhandlungen - Rechnung zu tragen sein (vgl. BGH, Urteil vom 12. Mai 2016 - I ZR 1/15, NJW 2017, 814 Rn. 33 ff. mwN). Das Gefährdungspotential ist dabei allein mit Blick auf das konkrete Streitverhältnis zu bestimmen. Für generalpräventive Erwägungen ist bei der Bewertung eines zivilrechtlichen Unterlassungsanspruchs ebenso wenig Raum (BGH, Urteil vom 12. Mai 2016 - I ZR 1/15, NJW 2017, 814 Rn. 42 mwN) wie für eine Orientierung an einem etwaigen (Gesamt-)Schaden unter Einbeziehung anderer Betroffener (vgl. Senat, Beschluss vom 30. November 2004 - VI ZR 65/04, juris Rn. 2; OLG Hamm, Urteil vom 15. August 2023 - 7 U 19/23, juris Rn. 277; OLG Frankfurt/M., K&R 2024, 673). Schließlich darf das Gesamtgefüge der Bewertung nichtvermögensrechtlicher Streitgegenstände nicht aus den Augen verloren werden (BGH, Beschluss vom 26. November 2020 - III ZR 124/20, K&R 2021, 127 Rn. 11).

Nach diesen Grundsätzen ist die erfolgte Festsetzung des Wertes der Unterlassungsanträge auf insgesamt 1.500 € (2 x 750 €) sachgerecht (vgl. zu Parallelfällen auch OLG Hamm, Urteil vom 15. August 2023 - 7 U 19/23, juris Rn. 279 ff.; OLG Frankfurt/M., K&R 2024, 673: jeweils insgesamt 1.000 €). Der Kläger selbst hat seinen Zahlungsanspruch auf Ersatz des bereits eingetretenen Schadens auf 1.000 € beziffert. Der Senat hat hierzu in einem weiteren Parallelverfahren näher ausgeführt, dass er auch eine Bemessung in der Größenordnung von 100 € für den bloßen Kontrollverlust von Rechts wegen nicht beanstanden würde (Urteil vom 18. November 2024 - VI ZR 10/24, juris Rn. 100). Seinen Antrag auf Feststellung hinsichtlich etwaiger zukünftiger Schäden hat auch der Kläger mit 500 € bewertet; dies erscheint angesichts der absehbaren Schwierigkeiten beim Nachweis der Ursächlichkeit künftiger Schäden auch sachgerecht. Die Verletzungshandlung liegt bereits fünf Jahre zurück, ohne dass es bislang jenseits des bloßen Kontrollverlustes zum Eintritt nachweisbarer Schäden oder einer weiteren Verletzungshandlung gekommen wäre; die Beklagte hat die Suchbarkeitsfunktion in der dem Streitfall inmitten stehenden Ausgestaltung vielmehr zwischenzeitlich deaktiviert. Beide Unterlassungsanträge nehmen ihren Ausgangspunkt in derselben Verletzungshandlung und hängen in der Sache eng zusammen.

Den Volltext der Entscheidung finden Sie hier:

EuG
Urteil vom 08.01.2025
T-354/22
Bindl ./. EU-Kommission

Das EuG hat entschieden, dass die EU-Kommission einem Nutzer der Website der Konferenz zur Zukunft Europas Schadensersatz für die datenschutzwidrige Übermittlung personenbezogener Daten in die USA zahlen muss.

Sowohl der Kläger wie auch die EU-Kommission haben Rechtsmittel gegen die Entscheidung des EuG eingelegt, so das der EuGH Gelegenheit erhält, die Sache zu entscheiden.

Die Pressemitteilung des Gerichts_
Das Gericht verurteilt die Kommission, einem Besucher der Website der Konferenz zur Zukunft Europas, die von der Kommission betrieben wird, den durch die Übermittlung personenbezogener Daten an die Vereinigten Staaten entstandenen Schaden zu ersetzen

Mit dem auf der Website von „EU Login“ angezeigten Hyperlink „Sign in with Facebook“ hat die Kommission die Voraussetzungen dafür geschaffen, dass die IP-Adresse des Betroffenen an das amerikanische Unternehmen Meta Platforms, Inc. übermittelt wurde.

Ein in Deutschland lebender Bürger wirft der Kommission vor, sein Recht auf Schutz seiner personenbezogenen Daten verletzt zu haben, als er 2021 und 2022 die von der Kommission betriebene Website der Konferenz zur Zukunft Europas1 besucht habe. Er hatte sich über diese Website zu der Veranstaltung „GoGreen“ angemeldet und hierzu den Authentifizierungsdienst „EU Login“ der Kommission verwendet, bei dem er sich für die Anmeldeoption „Mit Facebook anmelden“ entschieden hatte.

Der Betroffene meint, bei seinen Besuchen der Website der Konferenz zur Zukunft Europas seien ihn betreffende personenbezogene Daten an Empfänger in den Vereinigten Staaten übermittelt worden, insbesondere seine IPAdresse sowie Browser- und Geräteinformationen.

Ihn betreffende personenbezogene Daten seien zum einen an das amerikanische Unternehmen Amazon Web Services übermittelt worden, das das Content Delivery Network „Amazon CloudFront“ betreibe, über das die betreffende Website laufe, und zum anderen an das amerikanische Unternehmen Meta Platforms, Inc., nämlich bei seiner Anmeldung zu der Veranstaltung „GoGreen“ über sein Facebook-Konto.

Die Vereinigten Staaten hätten aber kein angemessenes Schutzniveau. Die ihn betreffenden personenbezogenen Daten seien deshalb der Gefahr eines Zugriffs durch die Sicherheits- und Nachrichtendienste der Vereinigten Staaten ausgesetzt. Die Kommission habe keine geeigneten Schutzmaßnahmen genannt, die die Datenübermittlungen zu rechtfertigen vermöchten.

Der Betroffene beantragt als Ersatz des immateriellen Schadens, der ihm durch die streitigen Datenübermittlungen entstanden sei, 400 Euro. Er beantragt ferner, die Übermittlungen der ihn betreffenden personenbezogenen Daten für nichtig zu erklären, festzustellen, dass die Kommission es rechtswidrig unterlassen habe, zu einem Antrag auf Auskunft Stellung zu nehmen, und die Kommission zu verurteilen, an ihn als Ersatz des immateriellen Schadens, der ihm durch die Verletzung seines Auskunftsrechts entstanden sei, 800 Euro zu zahlen.

Das Gericht weist den Antrag auf Nichtigerklärung als unzulässig ab und stellt fest, dass der Rechtsstreit, was den Antrag auf Feststellung der Untätigkeit angeht, in der Hauptsache erledigt ist. Es weist auch den auf die Verletzung des Auskunftsrechts gestützten Schadensersatzantrag zurück, weil der behauptete immaterielle Schaden nicht vorliegt.

Den auf die streitigen Datenübermittlungen gestützten Schadensersatzantrag weist das Gericht zurück, soweit es um die Datenübermittlungen über „Amazon CloudFront“ geht.

Das Gericht stellt insoweit fest, dass bei einer der streitigen Verbindungen die Daten nicht an die Vereinigten Staaten, sondern nach dem Prinzip der Proximität an einen Server4 in München übermittelt worden sind. Nach dem Vertrag, den die Kommission mit dem Betreiber von „Amazon CloudFront“, der luxemburgischen Gesellschaft Amazon Web Services EMEA SARL, geschlossen hat, musste Letztere gewährleisten, dass die Daten im Ruhezustand und bei der Übermittlung in Europa bleiben.

Bei einer anderen Verbindung ist die Weiterleitung an Server in den Vereinigten Staaten, die durch den RoutingMechanismus von „Amazon CloudFront“ erfolgte, auf das Verhalten des Betroffenen selbst zurückzuführen. Dieser gab sich nämlich mit Hilfe einer technischen Einstellung für jemanden aus, der sich in den Vereinigten Staaten befand.

Soweit es um Anmeldung des Betroffenen zu der Veranstaltung „GoGreen“ geht, stellt das Gericht hingegen fest, dass die Kommission mit dem Hyperlink „Sign in with Facebook“, der auf der Website von „EU Login“ angezeigt wird, die Voraussetzungen für die Übermittlung der IP-Adresse des Betroffenen an Facebook geschaffen hat. Die IPAdresse des Betroffenen gehört zu den personenbezogenen Daten. Sie wurde mit dem Hyperlink „Sign in with Facebook“ an die Meta Platforms, Inc., eine Gesellschaft mit Sitz in den Vereinigten Staaten, übermittelt. Diese Datenübermittlung ist der Kommission zuzurechnen.

Zum Zeitpunkt dieser Datenübermittlung (30. März 2022) gab es aber keinen Beschluss, mit dem festgestellt worden wäre, dass die Vereinigten Staaten für die personenbezogenen Daten der Unionsbürger ein angemessenes Schutzniveau geboten hätten. Die Kommission hat auch nicht dargetan, ja nicht einmal behauptet, dass es eine geeignete Garantie gegeben hätte, etwa eine Standarddatenschutzklausel oder eine Vertragsklausel5 . Für die Anzeige des Hyperlinks „Sign in with Facebook“ auf der Website von „EU Login“ galten schlicht und einfach die Nutzungsbedingungen von Facebook.

Mithin hat die Kommission die Voraussetzungen für die Übermittlung personenbezogener Daten an ein Drittland durch ein Organ, eine Einrichtung oder eine Stelle der Union nicht beachtet.

Das Gericht stellt fest, dass die Kommission einen hinreichend qualifizierten Verstoß gegen eine Rechtsnorm, die bezweckt, dem Einzelnen Rechte zu verleihen, begangen hat. Der Betroffene hat auch einen immateriellen Schaden erlitten. Er befindet sich nämlich in einer Lage, in der er nicht sicher ist, wie die ihn betreffenden personenbezogenen Daten, insbesondere seine IP-Adresse, verarbeitet werden. Außerdem besteht zwischen dem von der Kommission begangenen Verstoß und dem immateriellen Schaden, der dem Betroffenen entstanden ist, ein hinreichend unmittelbarer Kausalzusammenhang.

Da die Voraussetzungen der außervertraglichen Haftung der Union erfüllt sind, verurteilt das Gericht die Kommission, an den Betroffenen, wie von ihm beantragt, 400 Euro zu zahlen.

Den Volltext der Entscheidung finden Sie hier: