Skip to content

AG Pfaffenhofen: 300 EURO Geldentschädigung aus Art. 82 DGSVO bei unbefugter Zusendung einer Werbe-E-Mail und unzureichender Auskunft über Herkunft der Daten

AG Pfaffenhofen
Urteil vom 09.09.2021
2 C 133/21


Das AG Pfaffenhofen hat entschieden, dass eine Geldentschädigung in Höhe von 300 EURO aus Art. 82 DGSVO bei unbefugter Zusendung einer Werbe-E-Mail und unzureichender Auskunft über Herkunft der Daten angemessen ist.

Aus den Entscheidungsgründen:

"Dem Kläger steht gem. Art. 82 DSGVO ein Anspruch auf Ersatz immateriellen Schadens zu, den das Gericht wie tenoriert bemisst.

Die Beklagte hat gegen Bestimmungen der DS-GVO verstoßen, die Verstöße haben nach dem - insoweit auch unwidersprochen gebliebenen und damit zugestandenen (§ 138 Abs. 3 ZPO) Vorbringen des Klägers kausal zu einem immateriellen Schaden geführt.

Die Beklagte hat zum einen die Email-Adresse des Klägers ohne Rechtfertigung iSd Art. 6 DSGVO verarbeitet, zum anderen dem Kläger verspätet bzw. zunächst nicht vollständig Auskunft erteilt.

a. Die Beklagte hat unstreitig iSd Art. 4 DS-GVO die Email-Adresse des Klägers verarbeitet (erhoben, erfasst und gespeichert, und durch ihr Anschreiben weiter verwendet).

Hierfür - jedenfalls für die Speicherung und Verwendung wie erfolgt - konnte die Beklagte keinen rechtfertigenden Tatbestand iSd Art. 6 Abs. 1 DS-GVO darlegen. Die Beklagte behauptet insbesondere schon selbst nicht (geschweige denn belegt dies), dass der Kläger hierin eingewilligt hätte. Sie behauptet im Prozess schon selbst nicht, dass der Kläger ihr etwa seine Email-Adresse (und dies mit entsprechender Einwilligung) mitgeteilt hätte oder (auch wenn dies in der streitgegenständlichen Email so angegeben gewesen war) der Kläger eine Anfrage an die Beklagte gesandt hätte (Fall der Nachfragewerbung, vgl.
Eckhardt in Auer-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, 3. Aufl., § 25 b) Rdnr. 82 m.Nw., zit. nach beck-online) oder etwa ein Fall des § 7 Abs. 3 UWG vorgelegen hätte (dies würde u.a. voraussetzen, dass ein Unternehmer - hier die Beklagte - im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung von einem Kunden dessen elektronische Postadresse erhalten hat; dies war unstreitig ebenfalls nicht der Fall). Die Beklagte trug vielmehr vor, die Email-Adresse des Klägers aus frei zugänglicher Quelle im Internet gefunden zu haben, bei der Suche nach einer Rechtsberatung. Sie hat die Email-Adresse jedoch - selbst wenn die ursprüngliche Erfassung zu einem berechtigten Zweck erfolgt sein sollte, wie die Beklagte wohl behauptet - unstreitig nicht hierfür gespeichert und verwendet, sondern (als auch nach ihrem eigenen Vorbringen der ursprüngliche Zweck längst entfallen gewesen wäre) zum Zwecke der Werbung, die jedoch mangels vorheriger Einwilligung des Klägers gegen § 7 Abs. 2 Nr. 3 UWG und Art. 6 Abs. 1 S. 1 verstieß.

Die Werbung mittels E-Mail-Marketing setzt für ihre Zulässigkeit außerhalb der Fälle des § 7 Abs. 3 UWG eine - vorherige und ausdrückliche - Einwilligung voraus, mithin eine Willensbekundung, die ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erfolgt (vgl. Eckhardt a.a.O. Rdnr. 86 m.Nw.). Eine solche wird schon durch die Beklagte - welche insoweit darlegungs- und beweisbelastet wäre - nicht im Ansatz behauptet oder vorgetragen.

Ebensowenig ist aus dem Vorbringen einer - auch nur z.B. konkludent - erteilte Einwilligung iSd Art. 6 Abs. 1 S. 1 lit a. DSGVO zu entnehmen. Auch keiner der weiteren Fälle der Vorschrift ist zu erkennen, insbesondere auch nicht ein Fall des Art. 6 Abs. 1 S. 1 lit. f. DSGVO m(überwiegende berechtigte Interessen des Verwantwortlichen oder eines Dritten). Gem. Erwägungsgrund 47 ist im Rahmen der Interessenabwägung nach lit. f zu prüfen, „ob eine betroffene Person zum Zeitpunkt der Datenerhebung und angesichts der Umstände, unter denen sie erfolgt, vernünftigerweise absehen kann, dass möglicherweise eine Verarbeitung
für diesen Zweck erfolgen wird“(vgl. Gola DS-GVO/Schulz, 2. Aufl. 2018, DS-GVO Art. 6 Rn. 61). Im Rahmen der Interessenabwägung ist zunächst der vom Datenverarbeiter verfolgte Zweck mit der Art, dem Inhalt sowie der Aussagekraft der Daten gegenüberzustellen; zu berücksichtigen sind sodann insbesondere die vernünftige Erwartungshaltung der betroffenen
Person bzw. die Absehbarkeit (Branchenüblichkeit) der Verarbeitung sowie ihre Beziehung zu dem Verantwortlichen (BeckOK DatenschutzR/Albers/Veit, 36. Ed. 1.5.2020, DS-GVO Art. 6 Rn. 53). Vorliegend führt bereits vor diesem Hintergrund die Abwägung hier zu dem Ergebnis, dass die schutzwürdigen Interessen des Klägers - welcher unstreitig in keinerlei vorheriger Beziehung zur Beklagten gestanden und auch sonst nicht nachweisbar seine Email-Adresse selbst in einer Weise, die
solche Verwendung absehbar gemacht hätte, mitgeteilt oder veröffentlich hatte - die Interessen der Beklagten an einer Werbemaßnahme für von ihr vertriebene Masken überwogen. Zudem spricht viel dafür, auch insoweit die Maßstäbe des § 7 Abs. 2 UWG zu berücksichtigen. Das OVG Saarlouis (B.v. 16.02.2021, 2 A 355/19, NJW 2021, 2225) führte in einem Fall der unerlaubten Telefonwerbung hierzu aus „dass die Bewertungsmaßstäbe des § 7 II Nr. 2 UWG, welcher der Umsetzung RL 2002/58/EG dient, auch im Rahmen des Art. 6 I Buchst. f DSGVO zu berücksichtigen wären. Es ist zwar zutreffend, dass auch die Verarbeitung personenbezogener Daten für Direktwerbung ein berechtigtes Interesse nach dem Erwägungsgrund 47 DS-GVO darstellen kann. Aber auch in diesem Zusammenhang ist zu berücksichtigen, dass die Ziele, die mit der Verarbeitung verfolgt werden, unionrechtskonform sein müssen. Daher gilt auch in diesem Zusammenhang die Wertung des § 7 II Nr. 2 UWG Geltung beanspruchen, mit der Folge, dass sich die Kl. nicht auf ein „berechtigtes“ Interesse berufen kann. Für dieses Ergebnis spricht im Übrigen auch die Forderung, für die Auslegung des Art. 6 I Buchst. f DSGVO als Ausgangspunkt konkret gefasste Erlaubnistatbestände aus dem nationalen Recht heranzuziehen, um dem allgemeinen Erlaubnistatbestand Konturen zu verleihen und Rechtssicherheit herzustellen“. Diese Ausführungen überzeugen und gelten ebenso für den hier vorliegenden Fall der Direktwerbung per Email, der ebenfalls von Art. 13 der Richtlinie 2002/58/EG erfasst und in § 7 Abs. 2 Nr. 3 UWG konkret geregelt ist.

Zudem hat die Beklagte auch gegen Art. 14 sowie 15 DS-GVO verstoßen. Gemäß Art. 14 DSGVO hat der Verantwortliche in dem Fall, dass die Erhebung der Daten nicht bei der betroffenen Person selbst erfolgt ist - was hier unstrittig der Fall war - eine Informationspflicht gegenüber dem Betroffenen über die in Art. 14 Abs. 1, 2 genannten Einzelheiten, welche gem. Art. 14 Abs. 3 lit, a, b DSGVO unter Berücksichtigung der spezifischen Umstände der Verarbeitung der personenbezogenen Daten innerhalb einer angemessenen Frist nach Erlangung der personenbezogenen Daten, längstens jedoch innerhalb eines Monats, bzw. falls die personenbezogenen Daten zur Kommunikation mit der betroffenen Person verwendet werden sollen, spätestens zum Zeitpunkt der ersten Mitteilung an sie (auch in diesem Fall jedoch spätestens innerhalb eines Monats, vgl. Kühling/Buchner/Bäcker, 3. Aufl. 2020, DSGVO Art. 14 Rn. 33; Paal/Pauly/Paal/Hennemann, 3. Aufl. 2021, DS-GVO Art. 14 Rn. 34) zu erfüllen ist. Eine Erfüllung dieser Pflicht - insbesondere innerhalb der Frist (die Beklagte speicherte die Daten ihrer eigenen Einlassung nach bereits ab 25.12.2020) - wurde nicht ersichtlich.

[...]

Die Höhe des Anspruchs ist dabei nicht willkürlich, sondern auf der Grundlage der inhaltlichen Schwere und Dauer der Rechtsverletzung zu beurteilen, unter Berücksichtigung des Kontexts, der Umstände eines Verstoßes. Genugtuungs- und Vorbeugungsfunktion können bei der Bezifferung eine Rolle spielen. Einerseits darf die Höhe des Schadensersatzes keine Strafwirkung entfalten. Andererseits reicht ein künstlich niedrig bezifferter Betrag mit symbolischer Wirkung nicht aus, um die praktische Wirksamkeit des Unionsrechts sicherzustellen (vgl. Paal/Pauly/Frenzel, 3. Aufl. 2021, DS-GVO Art. 82 Rn. 12a).

So sprach etwa das AG Hildesheim (U.v. 05.10.2020, 43 C 145/19, ZD 2021, 384) 800,00 € zu in einem Fall, in dem auf einem wiederaufbereiteten und weiterveräußerten PC private Daten des ursprünglichen Besitzers noch vorhanden und somit an den Dritten gelangt waren.

Das LG Lüneburg ( Urteil vom 14.7.2020 – 9 O 145/19, ZD 2021, 275) etwa sprach 1.000,00 € zu in einem Fall eines rechtswidrigen Schufa-Eintrags.

Vorliegend berücksichtigt das Gericht, dass der Kläger (der selbst zunächst von der Beklagten 300,00 € gefordert hatte, im Rahmen der prozessualen Geltendmachung dann einen Bereich von nicht unter 100,00 € für angemessen hielt) nicht nur von einem, sondern von mehreren Verstößen der Beklagten gegen Vorschriften der DSGVO betroffen war (s.o.). Andererseits blieben die Auswirkungen für den Kläger - anders als etwa in den beiden o.g. Fällen des AG Hildesheim und des LG Lüneburg im „eigenen Bereich“ des Klägers, es wurde von den Verstößen kein Bereich tangiert (jedenfalls wurde derartiges nicht erkennbar), der Beziehungen des Klägers zu anderen Dritten betraf, etwa (auch nur potentiell) die Gefahr einer Schädigung seines Ansehens, seiner Kreditwürdigkeit o.ä. bot. Die erkennbaren Auswirkungen lagen vielmehr darin, dass der Kläger sich - wie er unwidersprochen vortrug - sich mit der Abwehr der von ihm unerwünschten Werbung und der Herkunft der Daten auseinandersetzen musste. Gerade letzteres - zumal unter Berücksichtigung der Dauer des Verstoßes und der zunächst nicht ansatzweise zielführend erfolgten Auskunftserteilung - ist geeignet, zu einem durchaus belastenden Eindruck des Kontrollverlusts zu führen, zumal dies auch die Auseinandersetzung mit dem Verstoß und auch die Abwehr ggf. drohender anderweitiger Verstöße erschwert (die Quelle der Daten kann ja - und wird erfahrungsgemäß - auch die Quelle für andere sein, die ggf. unter Verstoß gegen die DSGVO diese Daten verarbeiten). Vor diesem Hintergrund ist insbesondere die bestenfalls als zögerlich zu bezeichnende Information durch die Beklagte (die insoweit auch im Prozess recht vage blieb, wenn auch der Kläger dies nicht mehr weiter verfolgte) im Interesse einer effektiven Abschreckung als schmerzensgelderhöhend zu berücksichtigen. Soweit die Beklagte mit ihrem letzten Vorbringen möglicherweise behaupten will, nur zur Versorgung ihrer Mitmenschen agiert zu haben (quasi altruistisch) erscheint dies im Übrigen wenig lebensnah. Nicht zu berücksichtigen war dagegen, dass der Kläger zwischenzeitlich weitere unerwünschte Emails erhalten haben mag; eine Verantwortung der Beklagten hierfür wird schon nicht behauptet oder ersichtlich.

Das Gericht erachtet - auch im Vergleich mit den o.g. Entscheidungen, denen noch deutlich gravierendere (zumindest potentielle) Auswirkungen zugrundelagen - vorliegend im Ergebnis eine Entschädigung von 300,00 € für angemessen."


Den Volltext der Entscheidung finden Sie hier:


LG Frankfurt: Schadensersatz gem. Art. 82 DSGVO - Rechtsgut der betroffenen Person muss infolge der Verletzung einer DSGVO-Norm im Vergleich zum status quo ante nachteilig verändert worden sein

LG Frankfurt
Urteil vom 18.09.2020
2-27 O 100/20


Das LG Frankfurt hat entschieden, dass ein Schadensersatzanspruch gemäß Art. 82 DSGVO voraussetzt, dass ein Rechtsgut der betroffenen Person infolge der Verletzung einer Norm der DSGVO im Vergleich zum status quo ante nachteilig verändert wurde.

Aus den Entscheidungsgründen:

Ein Anspruch des Klägers gegen die Beklagte auf Zahlung von 8400,00 € nach Art. 82 DSGVO besteht nicht.

Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen die Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen. Dem Kläger ist zwar unstreitig bisher kein materieller Schaden entstanden, wohl aber ein immaterieller Schaden. Dieser liegt darin, dass seine personenbezogenen Daten Dritten ohne sein Einverständnis zugänglich wurden. Die Kompensation einer solchen öffentlichen "Bloßstellung" fällt unter Art. 82 Abs. 1 DSGVO (Ehmann/Selmayr, DSGVO, 2. Aufl., Art. 82 Rn. 13; Sydow, DSGVO, 2. Aufl., Art. 82 Rn. 6). Die Beklagte ist auch tauglicher Anspruchsgegner. Sie war Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO, da sie über die Zwecke und Mittel der - unstreitig - stattgefundenen Verarbeitung der Daten des Klägers entschied.

Der Schaden muss jedoch wegen eines Verstoßes gegen die DSGVO entstanden sein. Es muss also ein Verstoß gegen die DSGVO und dessen Kausalität für den Schaden festgestellt werden. Ein Rechtsgut der betroffenen Person muss infolge der Verletzung einer Norm der DSGVO im Vergleich zum status quo ante nachteilig verändert worden sein (Ehmann/Selmayr, DS-GVO 2. Aufl. Art. 82 Rn. 11).

Die Veröffentlichung der Daten, für die der Kläger einen Schadensersatz von 2000,00 € geltend macht, stellt an sich keinen Verstoß der Beklagten gegen die DSGVO dar. Die Veröffentlichung könnte nur dann als Verstoß gegen Art. 5 Abs, 1 a) oder f) DSGVO eingeordnet werden, wenn die Beklagte bzw, BB sie unberechtigt vorgenommen hätte. Dies lässt sich aber nicht feststellen und wird auch von dem Kläger nicht konkret vorgetragen. Der Kläger ist jedoch für den Verstoß gegen die DSGVO darlegungs- und beweisbelastet; erst hinsichtlich der Verantwortlichkeit für den Verstoß sieht Art, 82 Abs, 3 DSGVO eine Vermutung zu Lasten des Anspruchsgegners vor. Hat die Beklagte bzw. BB die Veröffentlichung nicht selbst vorgenommen, so kann sie lediglich die Folge einer Verletzung der Pflichten aus der DSGVO durch die Beklagte bzw. BB sein, nicht aber der Verstoß an sich.

Der Schadensersatzanspruch folgt weiter nicht daraus, dass die Beklagte die BB GmbH nicht nach Art. 28 Abs. 1 DSGVO ordnungsgemäß ausgewählt oder überwacht hat. Dass dies nicht geschehen ist, lässt sich nach dem Sach- und Streitstand schon nicht feststellen. Ein entsprechendes Beweisangebot des Klägers fehlt, ebenso entsprechende Indizien. Insbesondere kann der Kläger sich nicht darauf berufen, es sei offensichtlich, dass die BB GmbH ihr auferlegte Sicherheitsvorkehrungen nicht einhalten könne, weil es sich bei dem Firmensitz um ein Einfamilienhaus in einer Wohnsiedlung handele. Dass sich der Firmensitz dort befindet, sagt nichts darüber aus, wo die Datenverarbeitung erfolgt. Darüber hinaus lässt sich die Kausalität eines etwaigen Verstoßes gegen Pflichten der Beklagten aus der DSGVO für den Datenvorfall und damit für den Schaden des Klägers nicht feststellen. Denn letztlich ist - auch nach dem zuletzt gehaltenen und bestrittenen Vortrag des Klägers hinsichtlich des nicht geänderten Initialpassworts - letztlich unklar geblieben, wodurch das Datenleck verursacht wurde. Dass es durch ein anderes Auswahlverfahren, andere Sicherheitsvorkehrungen oder andere Überwachungen verhindert hätte werden können, bleibt danach Spekulation, Hinzu kommt, dass ein werkseitig individuell voreingestelltes Passwort im Ausgangspunkt nicht weniger sicher als ein vom Nutzer persönlich eingestelltes Passwort sein muss (BGH, Urteil vom 24. November 2016 - I ZR 220/15 —, Rn. 16, juris).

Soweit der Kläger seinen Anspruch in Höhe von 700,00 € darauf stützt, dass seine Daten nach dem 19.08.2019 noch verfügbar gewesen seien und jedenfalls während eines IT-Checks am 29.08.2019 jedermann habe auf sie zugreifen können, vermag dies ebenfalls keinen Schadensersatzanspruch zu begründen. Es kann dahinstehen, ob überhaupt ein Verstoß gegen die DSGVO vorliegt. Denn jedenfalls ist dem Kläger kein Schaden entstanden. Der Kläger behauptet nicht, dass nach dem 19,08.2019 seine Daten nochmals veröffentlicht worden seien oder sie von Unbefugten etwa während des Checks tatsächlich zur Kenntnis genommen worden wären. Dann aber steht dem Kläger kein Schadensersatzanspruch zu. Denn nicht jede Datenschutzrechtverletzung in Form einer nicht (vollständig) rechtskonformen Datenverarbeitung ist automatisch ein ersatzfähiger Schaden (vgl. etwa Wybitul, NJW 2019, 3265 mwN), Vielmehr muss die Verletzungshandlung auch zu einer konkreten Verletzung von Persönlichkeitsrechten der betroffenen Person geführt haben (Wybitul, aaO), Eine weite Auslegung des Schadensbegriffs nach Art. 82 DSGVO, nach dem mit jedem Verstoß ein Schaden begründet wird (sowohl Ehmann/Selmayr, DS-GVO, 2. Aufl., Art. 82 Rn. 13), widerspricht der Systematik des deutschen Rechts. Die mitgliedsstaatlichen Gerichte sind zu einem überkompensatorischen Strafschadensersatz grundsätzlich nicht verpflichtet; nach dem Äquivalenzgrundsatz wäre ein solcher nur dann erforderlich, wenn die mitgliedstaatliche Rechtsordnung allgemein Strafschadensersatz vorsieht (Wytibul, aaO). Das ist jedoch in Deutschland nicht der Fall.

Aus dem identischen Grund steht dem Kläger kein Anspruch in Höhe von 700,00 € wegen Änderung des Administratorenpasswortes im Mai 2019 zu.

Ferner kann der Kläger nicht damit gehört werden, die Beklagte habe gegen Art. 28 DSGVO verstoßen, weil ein Vertrag nach dieser Norm mit BB fehle. Ein Schadensersatzanspruch in Höhe von 800,00 € besteht insofern nicht. Die Beklagte hat einen Datenverarbeitungsvertrag mit der BB GmbH geschlossen. Zwar ist in dem Vertrag kein Rechtsformzusatz für die dort bezeichnete "B..." genannt. Allerdings ergibt sich aus den weiteren zu ihr genannten Daten, dass es sich um die GmbH handelte. Dass der Vertrag nicht von sämtlichen Parteien unterzeichnet wurde, ist unerheblich. Nach Art. 28 Abs. 9 DSGVO bedarf es einer schriftlichen Abfassung, auch in elektronischem Format. Danach ist keine Unterzeichnung erforderlich (vgl. Ehmann/Semayr, DS-GVO, 2. Aufl., Art. 28 Rn. 12); es genügt die Abfassung in Textform nach § 126b BGB. Diesem Erfordernis genügt der Vertrag. Ferner ist nicht ersichtlich, dass der Vertrag den Anforderungen des Art. 28 DSGVO nicht genügen würde. Dass mit der BB Ltd. kein gesonderter Vertrag geschlossen wurde, ist ebenfalls unschädlich. Denn es war vertraglich unter Ziffer 7 des Vertrages geregelt, dass die BB GmbH bei einem Einsatz von Unterverarbeitern diesen gegenüber mindestens dieselben Datenschutzverpflichtungen festzulegen hatte, wie sie der Vertrag zwischen der Beklagten und der BB GmbH vorsah. Dies entspricht Art. 28 Abs. 4 DSGVO. Auch der hierfür geltend gemachte Anspruch in Höhe von 1000,00 € besteht nicht.

Auf die unterlassene Verwendung von Hashes kann der Kläger gleichfalls keinen Schadensersatzanspruch stützen, weil ein Verstoß gegen die DSGVO nicht vorliegt. Bei der Verarbeitung der personenbezogenen Daten muss eine angemessene Sicherheit gewährleistet sein, Art. 5 Abs. 1 f) DSGVO, Dies erfordert geeignete technische und organisatorische Maßnahmen zum Schutz vor unbefugter und unrechtmäßiger Verarbeitung, wobei die Anforderungen in Art. 32 DSGVO festgelegt werden. Art, 32 Abs. 1 a) DSGVO erwähnt zwar Verschlüsselung als technisches Maßnahme, fordert die Anwendung von Hashes aber gerade nicht. Selbiges gilt für die PCC-DSS-Standards. Für seine Behauptung, es sei auch keine anderweitige Kryptografie erfolgt bietet der Kläger keinen Beweis an.

Der Kläger hat gegen die Beklagte keinen Anspruch auf Schadensersatz in Höhe von 1000,00 €, weil Daten gegenüber der M... International inc. ohne Rechtsgrundlage zugänglich gemacht worden wären. Dass der M... International Inc. im Rahmen des Priceless Specials Programms erhobene Daten von Kunden preisgegeben wurden, trägt der Kläger schon nicht substantiiert vor. Erst recht gilt dies für seine konkreten Daten. Dass die M... International Inc. an der Datenverarbeitung beteiligt war, ist aufgrund des als Anlage B 5 vorgelegten Vertrages auch keineswegs zwingend. Dies gilt auch dann, wenn die M... Inc. gemeinsame Verantwortliche nach Art, 26 DSGVO gewesen sein sollte. Denn der Verantwortliche hat die Entscheidungsgewalt über Zweck und Mittel der Verarbeitung; diese kann auch ausgeübt werden, ohne dass der Verantwortliche selbst an der Durchführung der Verarbeitung beteiligt ist (Ehmann/Selmayr, DS-GVO, 2. Aufl., Art. 4 Rn. 36). Es fehlt danach an einem Schaden des Klägers.

Die Behauptung des Klägers, es fehle an einer Vereinbarung zur gemeinsamen Verantwortlichkeit, was ihm zusätzlich nicht mitgeteilt worden sei, rechtfertigt keinen Schadensersatzanspruch in Höhe von insgesamt 1200,00 €. Erneut fehlt es an einem Schaden des Klägers, weil nicht ersichtlich ist, dass seine Daten der M... International Inc. überhaupt zugänglich gemacht wurden. Überdies regelt Art. 26 DSGVÖ lediglich, dass bei zwei oder mehr Verantwortlichen festzulegen ist, wer welche Verpflichtung gemäß der Verordnung erfüllt. Wo der Schaden des Klägers liegen soll, wenn dies nicht geschehen ist und er nicht informiert wurde, ist nicht ersichtlich. Dies gilt insbesondere vor dem Hintergrund des Art. 26 Abs. 3 DSGVO. Schließlich kann der Kläger keinen Schadensersatz in Höhe von 1000,00 € deswegen gegen die Beklagte geltend machen, weil keine ausreichende Vereinbarung von Binding Corporate Rules für Zugriffsmöglichkeiten durch ein US-Unternehmen auf Daten erfolgt sei. Erneut ist schon eine Beeinträchtigung des Klägers nicht feststellbar (s.o.). Ungeachtet dessen lag für die M... International Inc. eine geeignete Garantie in Form von verbindlichen internen Datenschutzvorschriften nach Art. 46 Abs. 1, Abs. 2b), 47 DSGVO vor. Aus dem Datenverarbeitungsvertrag ergibt sich, dass durch die zuständige Aufsichtsbehörde genehmigte Binding Corporate Rules existierten, was ausreichend ist. Für seinen das in Abrede stellenden Vortrag ist der Kläger beweisfällig geblieben.

Für andere deliktische Ansprüche besteht eine Sperrwirkung der DSGVO (Sydow, DSGVO, 2. Aufl., Art. 82 Rn.27).

Ein Anspruch aus § 280 Abs. 1 BGB besteht gleichfalls nicht, weil sich nach den obigen Ausführungen nicht feststellen lässt, dass die Beklagte eine Vertragspflichtverletzung begangen hat, die kausal zu einem Schaden, nämlich der Beeinträchtigung des Allgemeinen Persönlichkeitsrechts des Klägers, geführt hat.

Den Volltext der Entscheidung finden Sie hier: