BECKMANN UND NORDA - Rechtsanwälte Bielefeld

EuGH
Urteil vom 11.04.2024
C-741/21

Der EuGH hat entschieden, dass Verstoß gegen Bestimmungen der DSGVO oder Kontrollverlust allein noch keinen Schadensersatzanspruch aus Art. 82 DSGVO begründen. Vielmehr ist der Nachweis eines konkreten immateriellen Schadens erforderlich.

Tenor der Entscheidung:
1. Art. 82 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass ein Verstoß gegen Bestimmungen dieser Verordnung, die der betroffenen Person Rechte verleihen, für sich genommen nicht ausreicht, um unabhängig vom Schweregrad des von dieser Person erlittenen Schadens einen „immateriellen Schaden“ im Sinne dieser Bestimmung darzustellen.

2. Art. 82 der Verordnung 2016/679 ist dahin auszulegen, dass es für eine Befreiung des Verantwortlichen von seiner Haftung nach Art. 82 Abs. 3 dieser Verordnung nicht ausreicht, dass er geltend macht, dass der in Rede stehende Schaden durch ein Fehlverhalten einer ihm im Sinne von Art. 29 der Verordnung unterstellten Person verursacht wurde.

3. Art. 82 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen, dass zur Bemessung des Betrags des auf diese Bestimmung gestützten Anspruchs auf Schadenersatz zum einen die in Art. 83 dieser Verordnung vorgesehenen Kriterien für die Festsetzung des Betrags von Geldbußen nicht entsprechend anzuwenden sind und zum anderen nicht zu berücksichtigen ist, dass die Person, die Schadenersatz verlangt, von mehreren Verstößen gegen die Verordnung betroffen ist, die sich auf denselben Verarbeitungsvorgang beziehen.

Den Volltext der Entscheidung finden Sie hier:

EuGH
Urteil vom 25.01.2024
C-687/21
[...] gegen MediaMarktSaturn Hagen-Iserlohn GmbH, vormals Saturn Electro-Handelsgesellschaft mbH Hagen,

Der EuGH hat entschieden, dass ein Betroffener für einen Schadensersatzanspruch aus Art. 82 DSGVO nachweisen muss, dass ein DSGVO-Verstoß einen konkreten materiellen oder immateriellen Schaden verursacht hat. Der bloße Kontrollverlust über personenbezogene Daten reicht nicht. Zudem führt der EuGH aus, dass der Anspruch aus Art. 82 DSGVO kein "Strafschadensersatz" ist.

Tenor der Entscheidung:
1. Die Art. 5, 24, 32 und 82 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) sind zusammen betrachtet dahin auszulegen, dass im Rahmen einer auf Art. 82 gestützten Schadensersatzklage der Umstand, dass Mitarbeiter des für die Verarbeitung Verantwortlichen irrtümlich ein Dokument mit personenbezogenen Daten an einen unbefugten Dritten weitergegeben haben, für sich genommen nicht ausreicht, um davon auszugehen, dass die technischen und organisatorischen Maßnahmen, die der für die betreffende Verarbeitung Verantwortliche getroffen hat, nicht „geeignet“ im Sinne der Art. 24 und 32 waren.

2. Art. 82 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen, dass der in dieser Bestimmung vorgesehene Schadensersatzanspruch, insbesondere im Fall eines immateriellen Schadens, eine Ausgleichsfunktion hat, da eine auf sie gestützte Entschädigung in Geld es ermöglichen soll, den konkret aufgrund des Verstoßes gegen die Verordnung 2016/679 erlittenen Schaden vollständig auszugleichen, und keine Straffunktion erfüllt.

3. Art. 82 der Verordnung 2016/679 ist dahin auszulegen, dass er nicht verlangt, dass die Schwere des von dem für die Verarbeitung Verantwortlichen begangenen Verstoßes für die Zwecke des Ersatzes eines Schadens auf der Grundlage dieser Bestimmung berücksichtigt wird.

4. Art. 82 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen, dass die Person, die aufgrund dieser Bestimmung Schadensersatz verlangt, nicht nur den Verstoß gegen Bestimmungen der Verordnung 2016/679 nachweisen muss, sondern auch, dass ihr dadurch ein materieller oder immaterieller Schaden entstanden ist.

5. Art. 82 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen, dass in einem Fall, in dem ein Dokument, das personenbezogene Daten enthält, an einen unbefugten Dritten weitergegeben wurde, der diese Daten erwiesenermaßen nicht zur Kenntnis genommen hat, nicht schon deshalb ein „immaterieller Schaden“ im Sinne dieser Bestimmung vorliegt, weil die betroffene Person befürchtet, dass im Anschluss an die Weitergabe, die es ermöglichte, vor der Rückgabe des Dokuments eine Kopie von ihm anzufertigen, in der Zukunft eine Weiterverbreitung oder gar ein Missbrauch ihrer Daten stattfindet.

Den Volltext der Entscheidung finden Sie hier:

OLG Hamm
Beschluss vom 21.12.2023
7 U 137/23

Das OLG Hamm hat seine Rechtsansicht bekräftigt, wonach ein Kontrollverlust über personenbezogene Daten bei unrechtmäßiger Datenverarbeitung allein keinen Anspruch auf immateriellen Schadensersatz aus Art. 82 DSGVO begründet.

Aus den Entscheidungsgründen:
1. Die Berufung hat offensichtlich keine Aussicht auf Erfolg (§ 522 Abs. 2 Satz 1 Nr. 1 ZPO).

Mit Blick auf den vorliegend fehlenden kausalen immateriellen Schaden folgen die Ausführungen im Hinweisbeschluss des Senats der Rechtsprechung des EuGH (Urt. v. 14.12.2023 – C-340/21, BeckRS 2023, 35786 Rn. 84, 85). Danach hat der Kläger als Person, die von einem Verstoß gegen die DSGVO betroffen ist, der für sie negative Folgen gehabt hat, nachzuweisen, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 DSGVO darstellen. Dem folgend sieht der Senat somit den Kläger zutreffend in der Pflicht, den Indizienbeweis zum Eintritt eines kausalen immateriellen Schadens zu führen. Indem der Senat sich mit den vom Kläger dargelegten Indizien befasst und diese (hier als nicht den Eintritt eines kausalen immateriellen Schadens tragend) würdigt, setzt der Senat schlicht die weitere Vorgabe des EuGH um; denn danach ist das angerufene nationale Gericht, wenn sich eine Person auf die Befürchtung beruft, dass ihre personenbezogenen Daten in Zukunft aufgrund eines solchen Verstoßes missbräuchlich verwendet werden, gehalten zu prüfen, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann.

2. Die Sache hat auch keine grundsätzliche Bedeutung (§ 522 Abs. 2 Satz 1 Nr. 2 ZPO). Ebenso wenig ist eine Entscheidung des BGH zur Fortbildung des Rechts oder zur Sicherung einer einheitlichen Rechtsprechung erforderlich (§ 522 Abs. 2 Satz 1 Nr. 3 ZPO); denn die im vorliegenden Rechtsstreit entscheidungserheblichen Rechtsfragen sind durch die Rechtsprechung des EuGH und des BGH hinreichend geklärt und im Übrigen solche des Einzelfalls.

a) Mit Blick auf das Tatbestandsmerkmal „Eintritt eines kausalen immateriellen Schadens“ im Sinne des Art. 82 Abs. 1 DSGVO bietet der vorliegende Einzelfall keinen Anhaltspunkt für die Annahme einer weiteren klärungsbedürftigen und klärungsfähigen Rechtsfrage; vielmehr ist die streitgegenständliche Rechtsfrage zur fehlenden Qualität der negativen Folge eines bloßen Kontrollverlusts als immaterieller Schaden durch die aufgezeigten aktuellen Entscheidungen des EuGH geklärt. Die Vorlagefrage 4 aus dem Beschluss des BGH vom 26.09.2023 (VI ZR 97/22) betrifft eine andere Konstellation (vgl. hierzu i.E. Senat Beschl. v. 18.10.2023 – I-7 U 77/23, BeckRS 2023, 32741 Rn. 4).

b) Soweit das OLG Stuttgart (Urt. v. 22.11.2023 - 4 U 20/23, GRUR-RS 2023, 32883, Rn. 89 ff., 257 ff.) von der hiesigen Senatsrechtsprechung abweichend den dortigen und hiesigen Antrag zu 2. auf Feststellung der Ersatzpflicht der Beklagten für künftige materielle und immaterielle Schäden als zulässig und begründet ansieht, folgt aus dieser (vermeintlichen) Divergenz obergerichtlicher Entscheidungen kein Bedarf einer Klärung durch den BGH.

Klärungsbedürftig und damit von grundsätzlicher Bedeutung ist nur eine entscheidungserhebliche Rechtsfrage und auch nur dann, wenn ihre Beantwortung zweifelhaft ist oder wenn zu ihr unterschiedliche Auffassungen vertreten werden und die Frage höchstrichterlich noch nicht geklärt ist (vgl. BGH Beschl. v. 6.3.2019 – IV ZR 108/18, Rn. 13).

An einer grundsätzlichen Bedeutung in diesem Sinne fehlt es zunächst deshalb, weil das OLG Stuttgart (Urt. v. 22.11.2023 - 4 U 20/23, GRUR-RS 2023, 32883, Rn. 81) und der Senat (vgl. hierzu i.E. Senat Urt. v. 15.8.2023 – 7 U 19/23, GRUR-RS 2023, 22505 Rn. 191 ff.) übereinstimmend in rechtlicher Hinsicht die höchstrichterliche Rechtsprechung zugrunde legen, wonach für Schäden, die aus der behaupteten Verletzung des allgemeinen Persönlichkeitsrechts, also eines sonstigen absolut geschützten Rechtsguts im Sinne von § 823 Abs. 1 BGB, resultieren, bereits die Möglichkeit materieller oder weiterer immaterieller Schäden für die Annahme eines Feststellungsinteresses ausreicht.

Eine Divergenz in den obergerichtlichen Entscheidungen besteht lediglich insoweit, als das OLG Stuttgart anders als der Senat im Zuge der Subsumtion nicht auf den zu entscheidenden Einzelfall abstellt, sondern apodiktisch ohne die Betrachtung der Umstände des konkreten Einzelfalls die abstrakte, theoretische Möglichkeit eines (materiellen und immateriellen) Schadenseintritts für ausreichend erachtet.

Dies rechtfertigt es jedoch nicht, eine grundsätzliche Bedeutung anzunehmen; denn durch die gefestigte Rechtsprechung des BGH (vgl. nur BGH Urt. v. 5.10.2021 – VI ZR 136/20, NJW-RR 2022, 23 Rn. 28 m.w.N.) ist bereits höchstrichterlich geklärt, dass die Frage der Möglichkeit eines Schadenseintritts gerade nicht abstrakt, sondern aus der Sicht des konkret Geschädigten in verständiger Würdigung zu beurteilen ist. Dem folgt der Senat in Achtung der zugrundeliegenden Intention, der Beklagtenpartei keinen Rechtsstreit über nur theoretische Fragen aufzuzwingen, in ständiger Rechtsprechung (vgl. Senat Urt. v. 15.8.2023 – 7 U 19/23, GRUR-RS 2023, 22505 Rn. 194 m.w.N.). Dies mag das OLG Stuttgart (Urt. v. 22.11.2023 - 4 U 20/23, GRUR-RS 2023, 32883, Rn. 93 f.) verkannt haben. Eine solche vereinzelte, nicht nachvollziehbar begründete Entscheidung zwingt den Senat jedenfalls nicht zur Zulassung der Revision und damit zugleich zur Abkehr vom Verfahren nach § 522 Abs. 2 ZPO (vgl. dazu BGH Beschl. v. 6.3.2019 - IV ZR 108/18, r+s 2019, 272 Rn. 14; BGH Beschl. v. 8.2.2010 - II ZR 156/09, NJW-RR 2010, 978 Rn. 3; BGH Beschl. v. 27.11.2013 - VII ZR 371/12, NJW 2014, 456 Rn. 9).

Mit Blick darauf ist auch eine Entscheidung des BGH zur Fortbildung des Rechts nicht geboten. Ebenso wenig liegt eine tragende Rechtssatzabweichung von der Rechtsprechung eines höher- oder gleichrangigen anderen Gerichts vor, die eine höchstrichterliche Entscheidung zur Sicherung einer einheitlichen Rechtsprechung erforderte (vgl. hierzu BGH Beschl. v. 6.3.2019 - IV ZR 108/18, r+s 2019, 272 Rn. 15).

c. Entsprechendes gilt insoweit, als das OLG Stuttgart (Urt. v. 22.11.2023 – 4 U 20/23, GRUR-RS 2023, 32883 Rn. 98 ff. und 272) anders als der Senat (Urt. v. 15.8.2023 – 7 U 19/23, GRUR-RS 2023, 22505 Rn. 203 ff.) die Unterlassungsanträge als zulässig erachtet und mit Blick darauf, dass in der Sache über die Unterlassungsansprüche letztlich doch die Implementierung bestimmter Sicherheitsmaßnahmen und damit im Ergebnis eine Leistung verlangt werde, erst die Begründetheit verneint; denn das OLG Stuttgart setzt sich in keiner Weise mit den Ausführungen des Senats zur Unzulässigkeit der beiden Unterlassungsanträge, die auf entsprechender Rechtsprechung des BGH fußen, auseinander. Infolgedessen lassen sich über den jeweiligen Einzelfall hinaus schon keine (weiteren) Unklarheiten in der höchstrichterlichen Rechtsprechung, die eine zusätzliche Klärung durch den BGH erforderten (vgl. hierzu BGH Beschl. v. 8.2.2010 - II ZR 156/09, NJW-RR 2010, 978 Rn. 3; BGH Beschl. v. 27.11.2013 - VII ZR 371/12, NJW 2014, 456 Rn. 9), feststellen.

d. Allein die Vielzahl bundesweit anhängiger gleichgerichteter Rechtsstreite vermag vor dem Hintergrund, dass die entscheidungserheblichen Rechtsfragen sämtlich durch EuGH und BGH geklärt sind, dem Einzelfall keine grundsätzliche Bedeutung zu verleihen.

3. Auch die Durchführung einer mündlichen Verhandlung (§ 522 Abs. 2 Satz 1 Nr. 4 ZPO) ist nicht geboten. Es wird insoweit auf die Ausführungen im Hinweisbeschluss vom 24.11.2023 (Bl. 149 ff. der zweitinstanzlichen elektronischen Gerichtsakte) Bezug genommen.

II. Die Kostenentscheidung beruht auf § 97 Abs. 1 ZPO; die Entscheidung über die vorläufige Vollstreckbarkeit folgt aus § 544 Abs. 2, § 708 Nr. 10, § 713 ZPO.

III. Aus dem Umstand, dass das OLG Stuttgart im Tenor seines Urteils (v. 22.11.2023 – 4 U 20/23, GRUR-RS 2023, 32883) ohne weitere Begründung in seinem Einzelfall den Streitwert für das Berufungsverfahren auf 7.000,00 EUR festgesetzt hat, ergibt sich für den Senat für den vorliegenden Einzelfall kein Grund von seiner Praxis zur Streitwertfestsetzung abzuweichen. Auch insoweit orientiert sich der Senat an ständiger Rechtsprechung des BGH (Senat Urt. v. 15.8.2023 – 7 U 19/23, GRUR-RS 2023, 22505 Rn. 254 ff.).

Den Volltext der Entscheidung finden Sie hier:

EuGH
Urteil vom 21.12.2023
C‑667/21
Medizinischer Dienst der Krankenversicherung Nordrhein

Der EuGH hat entschieden, dass Verarbeitung von Gesundheitsdaten auf Grundlage von Art. 9 Abs. 2 lit. h DSGVO auch die Voraussetzungen von Art. 6 Abs. 1 DSGVO erfüllen muss. Ferner hat der EuGH entschieden, dass ein Schadensersatzanspruch aus Art. 82 DSGVO die Kompensation für einen konkreten Schaden darstellt.

Tenor der Entscheidung:
1. Art. 9 Abs. 2 Buchst. h der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass die in dieser Bestimmung vorgesehene Ausnahme unter dem Vorbehalt, dass die betreffende Datenverarbeitung die in Buchst. h und in Art. 9 Abs. 3 ausdrücklich vorgeschriebenen Voraussetzungen und Garantien erfüllt, auf Situationen anwendbar ist, in denen eine Stelle für medizinische Begutachtung Gesundheitsdaten eines ihrer Arbeitnehmer nicht als Arbeitgeber, sondern als Medizinischer Dienst verarbeitet, um die Arbeitsfähigkeit dieses Arbeitnehmers zu beurteilen.

2. Art. 9 Abs. 3 der Verordnung 2016/679 ist dahin auszulegen, dass der für eine auf Art. 9 Abs. 2 Buchst. h dieser Verordnung gestützte Verarbeitung von Gesundheitsdaten Verantwortliche gemäß diesen Bestimmungen nicht verpflichtet ist, zu gewährleisten, dass kein Kollege der betroffenen Person Zugang zu den Daten über ihren Gesundheitszustand hat. Eine solche Pflicht kann dem für eine solche Verarbeitung Verantwortlichen jedoch gemäß einer von einem Mitgliedstaat auf der Grundlage von Art. 9 Abs. 4 dieser Verordnung erlassenen Regelung oder aufgrund der in Art. 5 Abs. 1 Buchst. f dieser Verordnung genannten und in ihrem Art. 32 Abs. 1 Buchst. a und b konkretisierten Grundsätze der Integrität und der Vertraulichkeit obliegen.

3. Art. 9 Abs. 2 Buchst. h und Art. 6 Abs. 1 der Verordnung 2016/679 sind dahin auszulegen, dass eine auf die erstgenannte Bestimmung gestützte Verarbeitung von Gesundheitsdaten nur dann rechtmäßig ist, wenn sie nicht nur die sich aus dieser Bestimmung ergebenden Anforderungen einhält, sondern auch mindestens eine der in Art. 6 Abs. 1 genannten Rechtmäßigkeitsvoraussetzungen erfüllt.

4. Art. 82 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen, dass der in dieser Bestimmung vorgesehene Schadenersatzanspruch eine Ausgleichsfunktion hat, da eine auf diese Bestimmung gestützte Entschädigung in Geld ermöglichen soll, den konkret aufgrund des Verstoßes gegen diese Verordnung erlittenen Schaden vollständig zu ersetzen, und keine abschreckende oder Straffunktion erfüllt.

5. Art. 82 der Verordnung 2016/679 ist dahin auszulegen, dass zum einen die Haftung des Verantwortlichen vom Vorliegen eines ihm anzulastenden Verschuldens abhängt, das vermutet wird, wenn er nicht nachweist, dass die Handlung, die den Schaden verursacht hat, ihm nicht zurechenbar ist, und dass Art. 82 zum anderen nicht verlangt, dass der Grad dieses Verschuldens bei der Bemessung der Höhe des als Entschädigung für einen immateriellen Schaden auf der Grundlage dieser Bestimmung gewährten Schadenersatzes berücksichtigt wird.

Den Volltext der Entscheidung finden Sie hier:

AG München
Urteil vom 01.02.2023
171 C 11188/22

Das AG München hat entschieden, dass ein Unterlassungsanspruch wegen einer Persönlichkeitsrechtsverletzung besteht, wenn eine Wildüberwachungskamera auf dem Nachbargrundstück auch das Grundstück des Betroffenen filmt.

Die Pressemitteilung des Gerichts:
Streit um Kamera auf Nachbargrundstück
In einem Nachbarschaftsstreit sah das Amtsgericht München in dem Aufstellen einer Kamera auf dem Nachbargrundstück eine Persönlichkeitsrechtsverletzung und bestätigte mit Urteil vom 01.02.2023 eine einstweilige Verfügung, wonach der Antragsgegnerin dies untersagt wurde.

Die Parteien sind unmittelbare Nachbarn in München und stritten über eine im April 2022 auf der Terrasse der Antragsgegnerin aufgestellte Wildüberwachungskamera, die von der Terrasse der Antragstellerin aus sichtbar war. Die Antragstellerin wehrte sich hiergegen unter Verweis auf ihre Persönlichkeitsrechte und forderte die Antragsgegnerin im Juli 2022 u.a. auf, die Videoüberwachung zu beenden und künftig zu unterlassen. Die Antragsgegnerin verweigerte dies mit der Begründung, dass es sich nicht um eine Videoüberwachung, sondern um eine sogenannte Wild-Kamera handeln würde. Es ginge ausschließlich um die Kontrolle des eigenen Gartens.

Am 12.08.2022 erließ das Amtsgericht München im einstweiligen Rechtsschutz auf Antrag der Antragstellerin eine einstweilige Verfügung. Danach wurde es der Antragsgegnerin untersagt, auf ihrem Grundstück eine Überwachungskamera aufzustellen, die die Terrasse oder den Garten der Antragstellerin erfasst oder erfassen kann oder den Eindruck hiervon erweckt. Anschließend entfernte die Antragsgegnerin die Kamera.

Auf Antrag der Antragstellerin bestätigte das Amtsgericht München mit Urteil vom 01.02.2023 die einstweilige Verfügung und begründete dies wie folgt:

„Die vormals aufgestellte Kamera hat die Antragstellerin in ihrem Persönlichkeitsrecht verletzt. Dabei kommt es nicht entscheidend darauf an, ob die Kamera tatsächlich ausschließlich den Bereich der Antragsgegnerin erfasst hat oder nicht. Die Antragstellerseite verweist insoweit mit Erfolg auf die Entscheidung des BGH vom 16.03.2010 (VI ZR 176/09). Das Gericht darf eine Passage aus dieser Entscheidung zitieren:

„Nach Ansicht des erkennenden Senats kommt es insoweit auf die Umstände des Einzelfalls an. Die Befürchtung, durch vorhandene Überwachungsgeräte überwacht zu werden, ist dann gerechtfertigt, wenn sie auf Grund konkreter Umstände als nachvollziehbar und verständlich erscheint, etwa im Hinblick auf einen eskalierenden Nachbarstreit (vgl. OLG Köln, NJW 2009, 1827 = NZM 2009, 600) oder auf Grund objektiv Verdacht erregender Umstände. Liegen solche Umstände vor, kann das Persönlichkeitsrecht des (vermeintlich) Überwachten schon auf Grund der Verdachtssituation beeinträchtigt sein. Allein die hypothetische Möglichkeit einer Überwachung durch Videokameras und ähnliche Überwachungsgeräte beeinträchtigt hingegen das allgemeine Persönlichkeitsrecht derjenigen, die dadurch betroffen sein könnten, nicht. […].“

Unter Berücksichtigung dieses Maßstabs hatte die Antragstellerin einen Anspruch auf Beseitigung der Kamera und entsprechende Unterlassung der etwaigen weiteren Installation einer vergleichbaren Kamera. Nach Ansicht der Lichtbilder ist das Gericht der Überzeugung, dass die Antragstellerin zu der Ansicht gelangen konnte, dass ihr Grundstück von der Kamera erfasst werde. Es handelte sich nicht mehr um die rein hypothetische Möglichkeit der Überwachung.

Weiterhin fehlte es auch nicht an einem Verfügungsgrund. Das Gericht schließt sich insoweit der überzeugenden Argumentation der Antragstellerseite an. Die Antragstellerin hatte sich von Anfang an gegen die Kamera zur Wehr gesetzt und die Antragsgegnerin war über diesen Umstand informiert.

Der Sachverhalt hat sich zwar mittlerweile maßgeblich verändert, da die Kamera entfernt worden ist. Weiterhin hat die Antragsgegnerin im Rahmen der mündlichen Verhandlung dargelegt, dass sie nicht die Absicht habe, eine weitere Kamera aufzustellen. Dieser Umstand alleine kann aber nicht ausreichen, die indizierte Wiederholungsgefahr aufzuheben.“

Urteil des Amtsgerichts München vom 01.02.2023
Aktenzeichen des AG München: 171 C 11188/22
Das Urteil ist rechtskräftig.

EuGH
Urteil vom 14.12.2023
C-340/21
Natsionalna agentsia za prihodite

Der EuGH hat entschieden, dass schon die bloße Befürchtung eines möglichen Missbrauchs personenbezogener Daten nach einem Cyberangriff / einer Hackerattacke einen Anspruch auf immateriellen Schadensersatz gemäß Art. 82 DSGVO begründen kann.

Tenor der Entscheidung:
1. Die Art. 24 und 32 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz- rundverordnung) sind dahin auszulegen, dass eine unbefugte Offenlegung von bzw. ein unbefugter Zugang zu personenbezogenen Daten durch „Dritte“ im Sinne von Art. 4 Nr. 10 dieser Verordnung allein nicht ausreicht, um anzunehmen, dass die technischen und organisatorischen Maßnahmen, die der für die betreffende Verarbeitung Verantwortliche getroffen hat, nicht „geeignet“ im Sinne der Art. 24 und 32 dieser Verordnung waren.

2. Art. 32 der Verordnung 2016/679 ist dahin auszulegen, dass die Geeignetheit der vom Verantwortlichen nach diesem Artikel getroffenen technischen und organisatorischen Maßnahmen von den nationalen Gerichten konkret zu beurteilen ist, wobei die mit der betreffenden Verarbeitung verbundenen Risiken zu berücksichtigen sind und zu beurteilen ist, ob Art, Inhalt und Umsetzung dieser Maßnahmen diesen Risiken angemessen sind.

3. Der in Art. 5 Abs. 2 der Verordnung 2016/679 formulierte und in Art. 24 dieser Verordnung konkretisierte Grundsatz der Rechenschaftspflicht des Verantwortlichen ist dahin auszulegen, dass im Rahmen einer auf Art. 82 der Verordnung gestützten Schadenersatzklage der für die betreffende Verarbeitung Verantwortliche die Beweislast dafür trägt, dass die von ihm getroffenen Sicherheitsmaßnahmen im Sinne von Art. 32 dieser Verordnung geeignet waren.

4. Art. 32 der Verordnung 2016/679 und der unionsrechtliche Effektivitätsgrundsatz sind dahin auszulegen, dass für die Beurteilung der Geeignetheit der Sicherheitsmaßnahmen, die der Verantwortliche nach diesem Artikel getroffen hat, ein gerichtliches Sachverständigengutachten kein generell notwendiges und ausreichendes Beweismittel sein kann.

5. Art. 82 Abs. 3 der Verordnung 2016/679 ist dahin auszulegen, dass der Verantwortliche von seiner nach Art. 82 Abs. 1 und 2 dieser Verordnung bestehenden Pflicht zum Ersatz des einer Person entstandenen Schadens nicht allein deshalb befreit werden kann, weil dieser Schaden die Folge einer unbefugten Offenlegung von bzw. eines unbefugten Zugangs zu personenbezogenen Daten durch „Dritte“ im Sinne von Art. 4 Nr. 10 dieser Verordnung ist, wobei der Verantwortliche dann nachweisen muss, dass er in keinerlei Hinsicht für den Umstand, durch den der betreffende Schaden eingetreten ist, verantwortlich ist.

6. Art. 82 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen, dass allein der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen diese Verordnung befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, einen „immateriellen Schaden“ im Sinne dieser Bestimmung darstellen kann.

Pressemitteilung des EuGH:
Cyberkriminalität: Die Befürchtung eines möglichen Missbrauchs personenbezogener Daten kann für sich genommen einen immateriellen Schaden darstellen

Die bulgarische Nationale Agentur für Einnahmen (NAP) ist dem bulgarischen Finanzminister unterstellt. Sie ist u. a. mit der Feststellung, Sicherung und Einziehung öffentlicher Forderungen betraut. In diesem Rahmen ist sie für die Verarbeitung personenbezogener Daten verantwortlich. Am 15. Juli 2019 wurde in den Medien darüber berichtet, dass in das IT-System der NAP eingedrungen worden sei und infolge dieses Cyberangriffs in diesem System enthaltene personenbezogene Daten von Millionen von Menschen im Internet veröffentlicht worden seien. Zahlreiche Personen verklagten die NAP auf Ersatz des immateriellen Schadens, der ihnen aus der Befürchtung eines möglichen Missbrauchs ihrer Daten entstanden sein soll.

Das bulgarische Oberste Verwaltungsgericht legt dem Gerichtshof mehrere Fragen zur Auslegung der Datenschutz-Grundverordnung (DSGVO) zur Vorabentscheidung vori . Es möchte klären lassen, unter welchen Bedingungen eine Person, deren personenbezogene Daten, die sich im Besitz einer öffentlichen Agentur befinden, nach einem Angriff von Cyberkriminellen im Internet veröffentlicht wurden, Ersatz des immateriellen Schadens verlangen kann.

In seinem Urteil antwortet der Gerichtshof wie folgt:

1. Im Fall der unbefugten Offenlegung von bzw. des unbefugten Zugangs zu personenbezogenen Daten können die Gerichte aus diesem Umstand allein nicht ableiten, dass die Schutzmaßnahmen, die der für die Datenverarbeitung Verantwortliche ergriffen hat, nicht geeignet waren. Die Gerichte müssen die Geeignetheit dieser Maßnahmen konkret beurteilen.

2. Der Verantwortliche trägt die Beweislast dafür, dass die getroffenen Schutzmaßnahmen geeignet waren.

3. Im Fall der unbefugten Offenlegung von bzw. des unbefugten Zugangs zu personenbezogenen Daten durch „Dritte“ (wie Cyberkriminelle) kann der Verantwortliche gegenüber den Personen, denen ein Schaden entstanden ist, ersatzpflichtig sein, es sei denn, er weist nach, dass er in keinerlei Hinsicht für den Schaden verantwortlich ist.

4. Allein der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen die DSGVO befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, kann einen „immateriellen Schaden“ darstellen.

Den Volltext der Entscheidung finden Sie hier:

OLG Karlsruhe
Urteil vom 07.11.2023
19 U 23/23

Das OLG Karlsruhe hat entschieden, dass für einen immateriellen Schadensersatz aus Art. 82 DSGVO bei einem Datenleck ein konkreter kausaler Schaden als Folge der Rechtsverletzung nachgewiesen werden muss.

Leitsätze des Gerichts:
1. Im Fall einer geltend gemachten Verletzung der Grundrechte auf Achtung des Privat- und Familienlebens aus Art. 7 GRCh und auf Schutz personenbezogener Daten aus Art. 8 GRCh reicht bereits die Möglichkeit des Eintritts eines Schadens für die Annahme eines Feststellungsinteresses aus.

2. Das Vorliegen eines „Verstoßes gegen diese Verordnung“ im Sinne von Art. 82 Abs. 1 DSGVO erfordert nicht mehr als die „unbefugte Offenlegung“ von oder den „unbefugten Zugang“ zu personenbezogenen Daten im Sinne von Art. 4 Nr. 12 DSGVO.

3. Ein potentieller oder hypothetischer Schaden oder die bloße Beunruhigung wegen des Diebstahls der eigenen personenbezogenen Daten reicht für das Vorliegen eines immateriellen Schadens im Sinne von Art. 82 Abs. 1 DS-GVO nicht aus.

4. Stellt sich der geltend gemachte immaterielle Schaden als Folge der Rechtsgutsverletzung in Gestalt der Verletzung der Grundrechte der betroffenen Person auf Achtung des Privat- und Familienlebens aus Art. 7 GRCh und auf Schutz personenbezogener Daten aus Art. 8 GRCh dar (Sekundärschaden), ist das Beweismaß des § 287 ZPO anzuwenden.

5. Die betroffene Person muss nachweisen, dass ein kausaler Zusammenhang zwischen dem Verstoß gegen die Verordnung im Sinne von Art. 82 Abs. 1 DSGVO und dem ihr entstandenen Schaden besteht.

6. Gem. Art. 82 Abs. 3 DSGVO reicht jedes fahrlässige (Mit-)Verschulden oder Versehen des Verantwortlichen aus, um die Anwendung der Befreiung auszuschließen. Dabei stellt indes nicht schon das Vorliegen einer Systemverletzung einen Beweis dafür dar, dass die von der verantwortlichen Person ergriffenen Maßnahmen nicht im Sinne von Art. 32 DSGVO geeignet waren.

Den Volltext der Entscheidung finden Sie hier:

BGH
Beschluss vom 26.09.2023
VI ZR 97/22
Verordnung (EU) 2016/679 Art. 17, Art. 18, Art. 79, Art. 82 Abs. 1, Art. 84; GG Art. 2 Abs. 1; BGB §§ 253, 823, § 1004 Abs. 1

Wir hatten bereits in dem Beitrag BGH legt EuGH vor: Voraussetzungen und Höhe des Anspruchs auf immateriellen Schadensersatz aus Art. 82 DSGVO - Unterlassungsanspruch des Betroffenen bei DSGVO-Verstoß über die Entscheidung berichtet.

Leitsatz des BGH:
Vorlagefragen an den Gerichtshof der Europäischen Union zur Auslegung von Art. 17, Art. 18, Art. 79, Art. 82 Abs. 1 und Art. 84 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, DSGVO, ABl. EU L 119 vom 4. Mai 2016, S. 1) zur Frage des Bestehens eines unionsrechtlichen Unterlassungsanspruchs der betroffenen Person, deren personenbezogene Daten von dem Verantwortlichen unrechtmäßig durch Weiterleitung offengelegt wurden, bzw. zu der insoweit bestehenden Möglichkeit eines Rückgriffs auf das nationale Recht und zum Begriff des immateriellen Schadens im Sinne von Art. 82 Abs. 1 DSGVO.

BGH, Beschluss vom 26. September 2023 - VI ZR 97/22 - OLG Frankfurt in Darmstadt - LG Darmstadt

Die Vorlagefragen:

Dem Gerichtshof der Europäischen Union werden zur Auslegung der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (DatenschutzGrundverordnung, DSGVO, ABl. EU L 119 vom 4. Mai 2016, S. 1) folgende Fragen zur Vorabentscheidung vorgelegt:

1. a) Ist Art. 17 DSGVO dahingehend auszulegen, dass der betroffenen Person, deren personenbezogene Daten von dem Verantwortlichen unrechtmäßig durch Weiterleitung offengelegt wurden, ein Anspruch gegen den Verantwortlichen auf Unterlassung einer erneuten unrechtmäßigen Weiterleitung dieser Daten zusteht, wenn sie vom Verantwortlichen keine Löschung der Daten verlangt?

b) Kann sich ein solcher Unterlassungsanspruch (auch) aus Art. 18 DSGVO oder einer sonstigen Bestimmung der DSGVO ergeben?

2. Falls Fragen 1a) und/oder 1b) bejaht werden:

a) Besteht der unionsrechtliche Unterlassungsanspruch nur dann, wenn künftig weitere Beeinträchtigungen der sich aus der DSGVO ergebenden Rechte der betroffenen Person zu besorgen sind (Wiederholungsgefahr)?

b) Wird das Bestehen der Wiederholungsgefahr gegebenenfalls aufgrund des bereits vorliegenden Verstoßes gegen die DSGVO vermutet?

3. Falls Fragen 1a) und 1b) verneint werden:

Sind Art. 84 i.V.m. Art. 79 DSGVO dahingehend auszulegen, dass sie es dem nationalen Richter erlauben, der betroffenen Person, deren personenbezogene Daten von dem Verantwortlichen unrechtmäßig durch Weiterleitung offengelegt wurden, neben dem Ersatz des materiellen oder immateriellen Schadens nach Art. 82 DSGVO und den sich aus Art. 17 und Art. 18 DSGVO ergebenden Ansprüchen einen Anspruch gegen den Verantwortlichen auf Unterlassung einer erneuten unrechtmäßigen Weiterleitung dieser Daten nach den Bestimmungen des nationalen Rechts zuzusprechen?

4. Ist Art. 82 Abs. 1 DSGVO dahingehend auszulegen, dass für die Annahme eines immateriellen Schadens im Sinne dieser Bestimmung bloße negative Gefühle wie z.B. Ärger, Unmut, Unzufriedenheit, Sorge und Angst, die an sich Teil des allgemeinen Lebensrisikos und oft des täglichen Erlebens sind, genügen? Oder ist für die Annahme eines Schadens ein über diese Gefühle hinausgehender Nachteil für die betroffene natürliche Person erforderlich?

5. Ist Art. 82 Abs. 1 DSGVO dahingehend auszulegen, dass bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens der Grad des Verschuldens des Verantwortlichen oder Auftragsverarbeiters bzw. seiner Mitarbeiter ein relevantes Kriterium darstellt? 6. Falls Fragen 1a), 1b) oder 3 bejaht werden: Ist Art. 82 Abs. 1 DSGVO dahingehend auszulegen, dass bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens als anspruchsmindernd berücksichtigt werden kann, dass der betroffenen Person neben dem Anspruch auf Schadensersatz ein Unterlassungsanspruch zusteht?

6. Falls Fragen 1a), 1b) oder 3 bejaht werden:

Ist Art. 82 Abs. 1 DSGVO dahingehend auszulegen, dass bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens als anspruchsmindernd berücksichtigt werden kann, dass der betroffenen Person neben dem Anspruch auf Schadensersatz ein Unterlassungsanspruch zusteht?

Den Volltext der Entscheidung finden Sie hier:

EuGH-Generalanwalt
Schlussanträge vom 26.10.2023
Verbundene Rechtssachen C‑182/22 und C‑189/22

Der EuGH-Generalanwalt kommt in seinen Schlussanträgen zu dem Ergebnis, dass ein Anspruch auf immateriellen Schadensersatz aus Art. 82 DSGVO beim Diebstahl sensibler personenbezogener Daten einen Verstoß gegen die Bestimmungen der DSGVO, einen konkreten Schaden und einen Kausalzusammenhang voraussetzt.

Ergebnis:
Art. 82 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)

ist wie folgt auszulegen:

Der Diebstahl sensibler personenbezogener Daten einer betroffenen Person durch einen unbekannten Straftäter kann zu einem Anspruch auf immateriellen Schadensersatz führen, wenn der Nachweis eines Verstoßes gegen die Datenschutz-Grundverordnung, eines konkreten erlittenen Schadens und eines Kausalzusammenhangs zwischen dem Schaden und diesem Verstoß erbracht wird. Für die Gewährung eines solchen Schadensersatzes ist es nicht erforderlich, dass der Straftäter die Identität der betroffenen Person angenommen hat, und der Besitz von Daten, die die betroffene Person identifizierbar machen, stellt für sich genommen keinen Identitätsdiebstahl dar.

Rechtliche Würdigung:
Das vorlegende Gericht möchte mit seiner fünften Frage wissen, ob der einfache Diebstahl der sensiblen personenbezogenen Daten einer betroffenen Person durch einen unbekannten Straftäter einen Identitätsdiebstahl darstellt, der einen Schadensersatzanspruch begründet, oder ob der Straftäter für die Annahme eines Identitätsdiebstahls die Identität der betroffenen Person tatsächlich annehmen oder zu diesem Zweck Anstrengungen unternehmen muss. Diese Frage wird im Zusammenhang mit der Feststellung gestellt, dass unbekannte Straftäter bestimmte sensible personenbezogene Daten von JU und SO aus der Trading-App von Scalable Capital gestohlen haben. Obwohl keine weitere (missbräuchliche) Verwendung der Daten erfolgt zu sein scheint, kann, da die Identität der Straftäter unbekannt ist und diese noch nicht ergriffen worden sind, eine solche künftige (missbräuchliche) Verwendung nicht ausgeschlossen werden.

23. Art. 82 der DSGVO bestätigt allgemein den Anspruch jeder betroffenen Person, der wegen eines Verstoßes gegen die DSGVO „ein materieller oder immaterieller Schaden“ entstanden ist, auf Schadensersatz und teilt die Haftung zwischen dem (den) Verantwortlichen und/oder dem (den) Auftragsverarbeiter(n) auf. Diese Bestimmung benennt weder die genaue Art noch die Form eines solchen Schadens. Die DSGVO verweist zur Definition der Bedeutung und des Anwendungsbereichs des Begriffs „immaterieller Schaden“ nicht auf das Recht der Mitgliedstaaten. Dieser Begriff ist daher als autonomer Begriff des Unionsrechts zu behandeln und in allen Mitgliedstaaten einheitlich auszulegen.

24. Nach Art. 82 der DSGVO ist Schadensersatz zu leisten, wenn der Nachweis eines Verstoßes gegen die DSGVO, eines „tatsächlich erlittenen Schadens“ und eines Kausalzusammenhangs zwischen diesem Verstoß und diesem Schaden erbracht wird. Die DSGVO sieht kein System der verschuldensunabhängigen Haftung vor. Die Ausgleichsfunktion der durch Art. 82 Abs. 1 der DSGVO eingeführten Regelung schließt auch den Zuspruch von Strafschadensersatz aus. Eine solche Entschädigung muss vollständig und wirksam sein und damit „den aufgrund des Verstoßes gegen [die DSGVO] konkret erlittenen Schaden in vollem Umfang ausgleichen“. Der immaterielle Schaden, den die betroffene Person erlitten hat, braucht keinen bestimmten Grad an Erheblichkeit zu erreichen. Auch wenn es keine Geringfügigkeitsschwelle für die Höhe des immateriellen Schadens gibt, bedarf es eindeutiger und präziser Beweise dafür, dass die betroffene Person einen solchen Schaden erlitten hat. Ein potenzieller oder hypothetischer Schaden oder die bloße Beunruhigung wegen des Diebstahls der eigenen personenbezogenen Daten reicht nicht aus.

25. Art. 82 Abs. 3 der DSGVO befreit den Verantwortlichen oder den Auftragsverarbeiter von der Haftung, „wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist“. Der Gerichtshof hatte bisher noch keine Gelegenheit, Art. 82 Abs. 3 der DSGVO ausführlich zu prüfen. Eine wörtliche Auslegung dieser Bestimmung scheint darauf hinauszulaufen, dass jedes fahrlässige (Mit‑)Verschulden oder Versehen des Verantwortlichen oder des Auftragsverarbeiters ausreicht, um die Anwendung der Befreiung auszuschließen. Zudem kann die dem (den) Verantwortlichen oder dem (den) Auftragsverarbeiter(n), der (die) von der Befreiung Gebrauch machen möchte(n), nach dieser Bestimmung obliegende Beweislast die Umsetzung fortlaufender Maßnahmen zur Vorbeugung gegen Datenschutzverletzungen auferlegen.

26. Der Diebstahl der personenbezogenen Daten einer betroffenen Person begründet einen Anspruch auf Ersatz des immateriellen Schadens nach Art. 82 Abs. 1 der DSGVO, wenn die drei im Urteil Österreichische Post aufgestellten Voraussetzungen erfüllt sind. Der siebte Erwägungsgrund der DSGVO bestimmt: „Natürliche Personen sollten die Kontrolle über ihre eigenen Daten besitzen.“ Der Umstand, dass betroffene Personen „daran gehindert werden, die sie betreffenden personenbezogenen Daten zu kontrollieren“, oder dass natürliche Personen die „Kontrolle über ihre personenbezogenen Daten“ verlieren, kann zu einem immateriellen Schaden führen. Dies ist der Kontext, in dem das vorlegende Gericht fragt, ob der Diebstahl personenbezogener Daten einen Identitätsdiebstahl darstellt.

27. Die operativen Bestimmungen der DSGVO erwähnen den Identitätsdiebstahl nicht und definieren ihn auch nicht. Die Erwägungsgründe 75 und 85 der DSGVO erwähnen den „Identitätsdiebstahl oder ‑betrug“ nur. Der 75. Erwägungsgrund nennt in einer nicht erschöpfenden Liste von Beispielen den „Identitätsdiebstahl oder ‑betrug“ als ein Beispiel für die Risiken für die Ausübung der Rechte und Freiheiten natürlicher Personen aufgrund der Verarbeitung ihrer personenbezogenen Daten. In ähnlicher Weise erwähnt der 85. Erwägungsgrund der DSGVO den „Identitätsdiebstahl oder ‑betrug“ als ein Beispiel für den Schaden, der durch das Versäumnis entsteht, auf eine Verletzung des Schutzes personenbezogener Daten rechtzeitig und angemessen zu reagieren.

28. In einer Reihe von Erwägungsgründen und Bestimmungen in anderen Rechtsvorschriften der Union werden Begriffe wie „Identitätsdiebstahl“, „Identitätsbetrug“ und „Identitätsdiebstahl oder ‑betrug“ erwähnt. Ich habe keine Bestimmung des Unionsrechts gefunden, in der die diese Begriffe definiert werden(33). Der Unionsgesetzgeber nennt diese Begriffe daher beispielhaft.

29. Dies wird auch aus einer Betrachtung der verschiedenen Sprachfassungen dieser Begriffe in den Erwägungsgründen 75 und 85 der DSGVO ersichtlich. Während die deutsche (Identitätsdiebstahl oder –betrug), die englische (identity theft or fraud), die estnische (identiteedivargust või –pettust), die irische (goid aitheantais nó calaois aitheantais), die litauische (būti pavogta ar suklastota tapatybė), die niederländische (identiteitsdiefstal of –fraude), die polnische (kradzieżą tożsamości lub oszustwem dotyczącym tożsamości), die rumänische (furt sau fraudă a identității) und die slowakische (krádeži totožnosti alebo podvodu) Sprachfassung weitgehend ähnlich sind, weichen andere Sprachfassungen in unterschiedlichem Maß hiervon ab: die tschechische (krádeži či zneužití identity), die französische (vol ou une usurpation d’identité), die griechische (κατάχρηση ή υποκλοπή ταυτότητας), die portugiesische (usurpação ou roubo da identidade), die italienische (furto o usurpazione d’identità) und die spanische (usurpación de identidad o fraude). Die verschiedenen Sprachfassungen der maßgeblichen Erwägungsgründe der DSGVO deuten darauf hin, dass sich die Begriffe Identitätsdiebstahl, Identitätsbetrug, Identitätsmissbrauch, missbräuchliche Verwendung der Identität, Identitätsaneignung und Identitätsanmaßung überschneiden und dass sie zumindest zu einem gewissen Grad als austauschbar angesehen werden können. Folglich unterscheiden die Erwägungsgründe 75 und 85 der DSGVO entgegen dem in Nr. 18 der vorliegenden Schlussanträge dargelegten Vorbringen von SO nicht klar zwischen Identitätsdiebstahl und Identitätsbetrug.

30. Die Erwägungsgründe 75 und 85 unterscheiden zwischen dem Beispiel des „Verlusts der Kontrolle“ oder der Unmöglichkeit, personenbezogene Daten zu „kontrollieren“, und dem Beispiel des „Identitätsdiebstahls oder ‑betrugs“. Daher stellt der Diebstahl personenbezogener Daten allein selbst dann keinen Identitätsdiebstahl dar, wenn dieser Diebstahl zu einer künftigen (missbräuchlichen) Verwendung dieser Daten führen kann. Ein Identitätsdiebstahl erfordert eine zusätzliche Handlung oder einen zusätzlichen Schritt mit über den Diebstahl der personenbezogenen Daten hinausgehenden, nachteiligen Auswirkungen auf die betroffene Person. Wer die personenbezogenen Daten einer betroffenen Person stiehlt, muss diese Daten ohne Einwilligung der betroffenen Person (missbräuchlich) zu rechtswidrigen Zwecken verwenden oder konkrete Schritte hierzu unternehmen. Mit einer solchen Handlung ist typischerweise ein Betrug oder eine andere Form der Täuschung verbunden, und sie wird im Allgemeinen zur Erzielung eines finanziellen oder anderweitigen Gewinns durchgeführt oder um der betroffenen Person oder ihrer Umgebung Schaden zuzufügen.

31. Aus den vorstehenden Erwägungen folgt, dass der Diebstahl personenbezogener Daten zwar keinen Identitätsdiebstahl oder ‑betrug darstellt, jedoch zur Entstehung eines immateriellen Schadens und zu einem Schadensersatzanspruch nach Art. 82 Abs. 1 der DSGVO führen kann. Der Nachweis eines immateriellen Schadens kann einfacher zu erbringen sein, wenn festgestellt wird, dass die betroffene Person infolge des Diebstahls ihrer personenbezogenen Daten Opfer eines Identitätsdiebstahls oder ‑betrugs geworden ist. Ein Anspruch auf Ersatz des immateriellen Schadens nach Art. 82 Abs. 1 der DSGVO wegen des Diebstahls personenbezogener Daten hängt jedoch nicht vom Vorliegen eines Identitätsdiebstahls oder ‑betrugs ab. Ein immaterieller Schaden und der Schadensersatzanspruch nach Art. 82 Abs. 1 der DSGVO sind unter Berücksichtigung aller Umstände einzelfallbezogen zu beurteilen.

Den Volltext der Schlussanträge finden Sie hier:

BGH
Beschluss vom 26. 09.2023
VI ZR 97/22

Der BGH hat dem EuGH diverse sehr praxisrelevante Fragen zur Auslegung der DSGVO zur Entscheidung vorgelegt. Zunächst geht es um die Frage, unter welchen Voraussetzungen ein Anspruch auf immateriellen Schadensersatz aus Art. 82 DSGVO besteht und welche Kriterien bei der Bemessung der Höhe des Schadens zu berücksichtigen sind. Ferner soll die Streitfrage geklärt werden, ob der Betroffene bei einem DSGVO-Verstoß einen Unterlassungsanspruch hat und ob dieser aus der DSGVO oder anderen Vorschriften außerhalb der DSGVO hergeleitet werden kann.

Die Pressemitteilung des BGH:
Bundesgerichtshof legt dem Gerichtshof der Europäischen Union Fragen zum Bestehen eines
unionsrechtlichen Unterlassungsanspruchs und zum Begriff des immateriellen Schadens nach der
Datenschutz-Grundverordnung vor

Der unter anderem für Ansprüche nach der EU-Datenschutz-Grundverordnung zuständige VI. Zivilsenat des Bundesgerichtshofes hat dem Gerichtshof der Europäischen Union Fragen zur Vorabentscheidung zur Auslegung von Bestimmungen der Datenschutz-Grundverordnung (DSGVO) hinsichtlich des Bestehens eines unionsrechtlichen Unterlassungsanspruchs der betroffenen Person, deren personenbezogene Daten von dem Verantwortlichen unrechtmäßig durch Weiterleitung offengelegt wurden, bzw. zu der insoweit bestehenden Möglichkeit eines Rückgriffs auf das nationale Recht und zum Begriff des immateriellen Schadens im Sinne von Art. 82 Abs. 1 DSGVO vorgelegt.

Sachverhalt:

Der Kläger nimmt die Beklagte wegen der Weitergabe persönlicher Daten auf Unterlassung und Ersatz immateriellen Schadens in Anspruch. Er befand sich bei der beklagten Privatbank in einem Bewerbungsprozess, der über ein Online-Portal stattfand. Im Zuge dessen versandte eine Mitarbeiterin der Beklagten über den Messenger-Dienst des Portals eine nur für den Kläger bestimmte Nachricht auch an eine dritte, nicht am Bewerbungsprozess beteiligte Person, die mit dem Kläger vor einiger Zeit in derselben Holding gearbeitet hatte und ihn deshalb kannte. In der Nachricht wird unter anderem mitgeteilt, dass die Beklagte die Gehaltsvorstellungen des Klägers nicht erfüllen könne.

Der Kläger macht geltend, sein - immaterieller - Schaden liege nicht im abstrakten Kontrollverlust über die offenbarten Daten, sondern darin, dass nunmehr mindestens eine weitere Person, die den Kläger und potentielle wie ehemalige Arbeitgeber kenne, über Umstände Kenntnis habe, die der Diskretion unterlägen. Es sei zu befürchten, dass der in der gleichen Branche tätige Dritte die in der Nachricht enthaltenen Daten weitergegeben habe oder sich durch ihre Kenntnis als Konkurrent auf etwaige Stellen im Bewerbungsprozess einen Vorteil habe verschaffen können. Zudem empfinde er das "Unterliegen" in den Gehaltsverhandlungen als Schmach, die er nicht an Dritte - vor allem nicht an potentielle Konkurrenten - weitergegeben hätte.

Bisheriger Prozessverlauf:

Das Landgericht hat der Klage teilweise stattgegeben, die Beklagte antragsgemäß zur Unterlassung verurteilt und dem Kläger, der immateriellen Schadensersatz von mindestens 2.500 € fordert, einen Betrag in Höhe von 1.000 € zuerkannt. Auf die Berufung der Beklagten hat das Oberlandesgericht das Urteil des Landgerichts hinsichtlich des geltend gemachten Anspruchs auf immateriellen Schadensersatz abgeändert und die Klage insoweit abgewiesen. Dagegen wendet sich der Kläger mit seiner vom Berufungsgericht zugelassenen Revision, mit der er seine Ansprüche in vollem Umfang weiterverfolgt. Die Beklagte begehrt mit ihrer Revision die vollständige Abweisung der Klage.

Entscheidung des Bundesgerichtshofs:

Der Bundesgerichtshof hat das Verfahren ausgesetzt und dem Gerichtshof der Europäischen Union zur Auslegung der Datenschutz-Grundverordnung (DSGVO) folgende Fragen zur Vorabentscheidung vorgelegt:

1. a)Ist Art. 17 DSGVO dahingehend auszulegen, dass der betroffenen Person, deren personenbezogene Daten von dem Verantwortlichen unrechtmäßig durch Weiterleitung offengelegt wurden, ein Anspruch gegen den Verantwortlichen auf Unterlassung einer erneuten unrechtmäßigen Weiterleitung dieser Daten zusteht, wenn sie vom Verantwortlichen keine Löschung der Daten verlangt?

b)Kann sich ein solcher Unterlassungsanspruch (auch) aus Art. 18 DSGVO oder einer sonstigen Bestimmung der DSGVO ergeben?

2. Falls Fragen 1a) und/oder 1b) bejaht werden:

a)Besteht der unionsrechtliche Unterlassungsanspruch nur dann, wenn künftig weitere Beeinträchtigungen der sich aus der DSGVO ergebenden Rechte der betroffenen Person zu besorgen sind (Wiederholungsgefahr)?

b)Wird das Bestehen der Wiederholungsgefahr gegebenenfalls aufgrund des bereits vorliegenden Verstoßes gegen die DSGVO vermutet?

3.Falls Fragen 1a) und 1b) verneint werden:

Sind Art. 84 i.V.m. Art. 79 DSGVO dahingehend auszulegen, dass sie es dem nationalen Richter erlauben, der betroffenen Person, deren personenbezogene Daten von dem Verantwortlichen unrechtmäßig durch Weiterleitung offengelegt wurden, neben dem Ersatz des materiellen oder immateriellen Schadens nach Art. 82 DSGVO und den sich aus Art. 17 und Art. 18 DSGVO ergebenden Ansprüchen einen Anspruch gegen den Verantwortlichen auf Unterlassung einer erneuten unrechtmäßigen Weiterleitung dieser Daten nach den Bestimmungen des nationalen Rechts zuzusprechen?

4.Ist Art. 82 Abs. 1 DSGVO dahingehend auszulegen, dass für die Annahme eines immateriellen Schadens im Sinne dieser Bestimmung bloße negative Gefühle wie z.B. Ärger, Unmut, Unzufriedenheit, Sorge und Angst, die an sich Teil des allgemeinen Lebensrisikos und oft des täglichen Erlebens sind, genügen? Oder ist für die Annahme eines Schadens ein über diese Gefühle hinausgehender Nachteil für die betroffene natürliche Person erforderlich?

5.Ist Art. 82 Abs. 1 DSGVO dahingehend auszulegen, dass bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens der Grad des Verschuldens des Verantwortlichen oder Auftragsverarbeiters bzw. seiner Mitarbeiter ein relevantes Kriterium darstellt?

6.Falls Fragen 1a), 1b) oder 3 bejaht werden:

Ist Art. 82 Abs. 1 DSGVO dahingehend auszulegen, dass bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens als anspruchsmindernd berücksichtigt werden kann, dass der betroffenen Person neben dem Anspruch auf Schadensersatz ein Unterlassungsanspruch zusteht?

Vorinstanzen:

LG Darmstadt - Urteil vom 26. Mai 2020 - 13 O 244/19

OLG Frankfurt am Main - Urteil vom 2. März 2022 - 13 U 206/20

Die maßgeblichen Vorschriften lauten:

Art. 17 der Datenschutz-Grundverordnung (DSGVO)

Recht auf Löschung ("Recht auf Vergessenwerden")

(1) Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:

a)

Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.

b)

Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.

c)

Die betroffene Person legt gemäß Artikel 21 Absatz 1 Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder die betroffene Person legt gemäß Artikel 21 Absatz 2 Widerspruch gegen die Verarbeitung ein.

d)

Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.

e)

Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt.

f)

Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Artikel 8 Absatz 1 erhoben.

(2) Hat der Verantwortliche die personenbezogenen Daten öffentlich gemacht und ist er gemäß Absatz 1 zu deren Löschung verpflichtet, so trifft er unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, um für die Datenverarbeitung Verantwortliche, die die personenbezogenen Daten verarbeiten, darüber zu informieren, dass eine betroffene Person von ihnen die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt hat.

(3) Die Absätze 1 und 2 gelten nicht, soweit die Verarbeitung erforderlich ist

a)

zur Ausübung des Rechts auf freie Meinungsäußerung und Information;

b)

zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;

c)

aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit gemäß Artikel 9 Absatz 2 Buchstaben h und i sowie Artikel 9 Absatz 3;

d)

für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1, soweit das in Absatz 1 genannte Recht voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt, oder

e)

zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Art. 18 der Datenschutz-Grundverordnung (DSGVO)

Recht auf Einschränkung der Verarbeitung

(1) Die betroffene Person hat das Recht, von dem Verantwortlichen die Einschränkung der Verarbeitung zu verlangen, wenn eine der folgenden Voraussetzungen gegeben ist:

a)

die Richtigkeit der personenbezogenen Daten von der betroffenen Person bestritten wird, und zwar für eine Dauer, die es dem Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen,

b)

die Verarbeitung unrechtmäßig ist und die betroffene Person die Löschung der personenbezogenen Daten ablehnt und stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangt;

c)

der Verantwortliche die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger benötigt, die betroffene Person sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt, oder

d)

die betroffene Person Widerspruch gegen die Verarbeitung gemäß Artikel 21 Absatz 1 eingelegt hat, solange noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen.

(2) Wurde die Verarbeitung gemäß Absatz 1 eingeschränkt, so dürfen diese personenbezogenen Daten - von ihrer Speicherung abgesehen - nur mit Einwilligung der betroffenen Person oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedstaats verarbeitet werden.

(3) …

Art. 79 der Datenschutz-Grundverordnung (DSGVO)

Recht auf wirksamen gerichtlichen Rechtsbehelf gegen Verantwortliche
oder Auftragsverarbeiter

(1) Jede betroffene Person hat unbeschadet eines verfügbaren verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs einschließlich des Rechts auf Beschwerde bei einer Aufsichtsbehörde gemäß Artikel 77 das Recht auf einen wirksamen gerichtlichen Rechtsbehelf, wenn sie der Ansicht ist, dass die ihr aufgrund dieser Verordnung zustehenden Rechte infolge einer nicht im Einklang mit dieser Verordnung stehenden Verarbeitung ihrer personenbezogenen Daten verletzt wurden.

(2) …

Art. 82 der Datenschutz-Grundverordnung (DSGVO)

Haftung und Recht auf Schadenersatz

(1) Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

(2) …

Art. 84 der Datenschutz-Grundverordnung (DSGVO)

Sanktionen

(1) Die Mitgliedstaaten legen die Vorschriften über andere Sanktionen für Verstöße gegen diese Verordnung - insbesondere für Verstöße, die keiner Geldbuße gemäß Artikel 83 unterliegen - fest und treffen alle zu deren Anwendung erforderlichen Maßnahmen. Diese Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein.

(2) …

LAG Baden-Württemberg
Urteil vom 27.7.2023
3 Sa 33/22

Das LAG Baden-Württemberg hat entschieden, dass ein ehemaliger Arbeitnehmer einen Anspruch auf Schadensersatz gegen seinen ehemaligen Arbeitgeber in Höhe von 10.000 EURO aus Art. 82 DSGVO wegen der unautorisierten Verwendung von Video- und Fotoaufnahmen hat..

Aus den Entscheidungsgründen:
Auf die Berufung des Klägers waren diesem wegen der unautorisierten Verwendung ihn betreffenden Bildmaterials in Video- und Fotoaufnahmen nicht nur 3.000,00 EUR, sondern 10.000,00 EUR als Schadensersatz zuzusprechen.

1. Wegen der Verpflichtung der Beklagten dem Grunde nach zur Zahlung von Schadensersatz wegen Verstoßes gegen Art. 17 Abs. 3 Satz 1 i.V.m. Art. 82 Abs. 1 DSGVO bzw. zur Zahlung einer Geldentschädigung wegen Verletzung des Persönlichkeitsrechts des Klägers durch die Nutzung von Film- und Fotoaufnahmen, die den Kläger erkennbar über längeren Zeitraum zeigen, kann zunächst auf die Ausführungen des Arbeitsgerichts unter II. 2. lit. b der Entscheidungsgründe seines Urteils (Bl. 214 bis 217 d. ArbG-Akte) verwiesen werden. Die hiergegen gerichteten Einwände der Beklagten in ihrer Berufungsbegründung liegen neben der Sache.

Wenn die Beklagte ausführt, dass „zwischen den Parteien abgestimmt gewesen“ sei, dass die Beklagte das Schulungsvideo auch nach Ausscheiden des Klägers vollumfänglich mit dem Bild des Klägers weiter nutzen könne, so ist nicht ansatzweise ersichtlich, wer - bei der Beklagten handelt es sich um eine juristische Person - mit wem wann welche konkrete Regelung vereinbart haben soll. Der Kläger hat eine entsprechende Abrede bestritten.

Auch wenn der Kläger im Zeitpunkt des Anfertigens des Bildmaterials hiermit und mit der Verwertung des Bildmaterials zu Werbezwecken für die Beklagte einverstanden war, so bedeutet dies nicht, dass dieses Einverständnis über den Zeitpunkt seines Ausscheidens bei der Beklagten hinaus fortbestand, zumal der Kläger in unmittelbarem zeitlichen Anschluss in vergleichbarer Position bei einem Wettbewerber tätig wurde. Vielmehr hätte die Beklagte sämtliche Bildnisse des Klägers von sich aus spätestens im Zeitpunkt des Ausscheidens des Klägers aus ihren Werbemedien entfernen müssen (vgl. ArbG Neuruppin 14. Dezember 2021 - 2 Ca 554/21 - ZD 2022, 396). Dies hat die Beklagte jedoch nicht getan, sondern in der Folgezeit ein das Persönlichkeitsrecht des Klägers in erheblichem Maße beeinträchtigendes Verhalten an den Tag gelegt.

a) Im Ansatz zu Recht gibt die Beklagte an, dass nicht jedwede Verletzung des allgemeinen Persönlichkeitsrechts, also auch nicht jede Verletzung des Rechts am eigenen Bild, einen Anspruch des Betroffenen auf eine Geldentschädigung gegen den Urheber auslöst (BGH 12. Dezember 1995 - VI ZR 223/94 - NJW 1996, 984). Erforderlich ist vielmehr eine Bewertung aufgrund der gesamten Umstände des Einzelfalles. Hierbei sind insbesondere die Bedeutung und Tragweite des Eingriffs, also das Ausmaß der Verbreitung der Veröffentlichung, die Nachhaltigkeit und Fortdauer der Interessen- oder Rufschädigung des Verletzten, ferner Anlass und Beweggrund des Handelnden sowie der Grad seines Verschuldens zu berücksichtigen. Bei Verletzungen des Rechts am eigenen Bild sind im Regelfall geringere Anforderungen an die Zusprechung einer Geldentschädigung zu stellen, da die Rechtsverletzung, anders als bei das Persönlichkeitsrecht beeinträchtigenden Äußerungen, regelmäßig nicht mehr rückgängig gemacht werden kann (BGH 17. Dezember 2013 - VI ZR 211/12 - BGHZ 199, 237). Bei dieser Entschädigung steht regelmäßig der Gesichtspunkt der Genugtuung des Opfers im Vordergrund. Außerdem soll sie der Prävention dienen.

Im vorliegenden Fall liegt eine erhebliche Beeinträchtigung des Persönlichkeitsrechts des Klägers vor. Auch wenn dieser zunächst mit der Anfertigung von Bildnissen einverstanden war und diese möglicherweise aktiv befördert hat, war für die Beklagte ohne Weiteres ersichtlich, dass dies jedenfalls ab dem Zeitpunkt des Ausscheidens des Klägers und seines Wechsels zu einem Konkurrenzunternehmen nicht mehr der Fall war. Die Beklagte hat dennoch weder von sich aus und zunächst auch nicht auf mehrmaliges Drängen des Klägers die Foto- und Videoaufnahmen mit dem Kläger aus ihren Werbemedien entfernt, sondern dies erst im Februar 2020 und somit über 9 Monate nach seinem Ausscheiden vollständig getan.

b) Nicht ausreichend berücksichtigt hat das Arbeitsgericht bei der Festsetzung der Höhe der Geldentschädigung, dass die Beklagte den Kläger über den Bestand des Arbeitsverhältnisses hinaus zur Verfolgung eigener kommerzieller Interessen eingesetzt hat. Dies bedeutet zwar nicht, dass eine „Gewinnabschöpfung“ vorzunehmen ist, wohl aber, dass die Erzielung von Gewinnen aus der Rechtsverletzung als Bemessungsfaktor in die Entscheidung über die Höhe der Geldentschädigung mit einzubeziehen ist. In solchen Fällen muss von der Höhe der Geldentschädigung ein echter Hemmungseffekt ausgehen; als weiterer Bemessungsfaktor kann die Intensität der Persönlichkeitsrechtsverletzung berücksichtigt werden (BGH 5. Dezember 1995 - VI ZR 332/94 - NJW 1996, 984).

Die Beklagte hat die Angaben des Klägers nicht substanziiert bestritten, wonach sie im Zeitraum vom 1. Mai 2019 bis 21. Februar 2020 viertägige Lehrgänge zum Erlernen von Foliertechniken angeboten habe, die zum Preis von 1.999,00 EUR von ca. 6 Personen je Lehrgang besucht worden seien. Dabei habe die Beklagte etwa 7.000,00 EUR Gewinn je Lehrgang vereinnahmt. Wie die Erörterungen in den mündlichen Verhandlungen vor der Berufungskammer ergeben haben, kann allerdings nicht davon ausgegangen werden, dass die Teilnehmer des Lehrgangs aufgrund des den Kläger zeigenden Werbematerials speziell wegen der Person des Klägers bei der Beklagten gebucht haben. Die Beklagte hat nicht mit dem Namen des Klägers geworben, der auch selbst nicht behauptet hat, in der Branche bekannt gewesen zu sein, weshalb Teilnehmer gezielt Schulungen mit ihm besucht haben könnten. Andererseits hat die Beklagte selbst vorgetragen, dass der Kläger seine jetzige Position bei Mitbewerbern auch deshalb bekleide, weil er durch die entsprechenden Schulungen und Veröffentlichungen bekannt geworden sei. Somit hat die Beklagte einen gewissen Werbeeffekt ausgenutzt, was bei der Bemessung des Entschädigungsbetrags zu berücksichtigen ist ebenso wie der Umstand, dass sie vermeiden wollte, das mit viel Aufwand und Kosten angefertigte Schulungsvideo nicht mehr unverändert verwerten zu können.

c) Unter Abwägung dieser Umstände hält die Kammer einen Entschädigungsbetrag von 10.000,00 EUR für angemessen. Auch unter dem Gesichtspunkt der Prävention nicht anspruchserhöhend wirkt sich die anwaltliche Vertretung der Beklagten spätestens seit Anfang Februar 2020 aus (vgl. BAG 5. Mai 2022 - 2 AZR 263/21 - NZA 2022, 1191).

Den Volltext der Entscheidung finden Sie hier:

AG München
Urteil vom 03.08.2023
241 C 10374/23

Das AG München hat entschieden, dass der Erhalt einer Benachrichtigung über einen Datenschutzverstoß nach Art. 34 DSGVO nicht genügt, um einen Schadensersatzanspruch nach Art 82 DSGVO schlüssig darzulegen und zu beweisen.

Aus den Entscheidungsgründen:
1. Die Klage ist hinsichtlich des Feststellungsantrags in Ziffer 2. unzulässig, im Übrigen aber zulässig.

Ein Feststellungsinteresse liegt bezüglich des Antrags Ziffer 2. nicht vor. Bei Vermögensschäden bedarf es für die Zulässigkeit der Klage der Wahrscheinlichkeit eines auf die Verletzungshandlung zurückzuführenden Schadenseintritts (BGH, Urteil vom 26.07.2018 – ZR 274/16, NJW-RR 2018, 1301 Rn. 20, beck-online). Der Kläger als Anspruchsteller hat die Darlegungs- und Beweislast für die Tatsachen, aus denen sich die Wahrscheinlichkeit eines auf die Verletzungshandlung zurückzuführenden Schadens ergibt. Vorliegend ist den Ausführungen des Klägers nicht zu entnehmen, welche Nachteile ihm drohen könnten, zumal seit dem Abgreifen der Daten bereits 3 Jahre verstrichen sind, ohne dass es zu einem Missbrauch der Daten gekommen ist. Es ist kein Grund ersichtlich, wieso jetzt mit dem Eintritt eines Schadens zu rechnen wäre.

2. Die Klage ist in Ziffer 1. unbegründet

a) Der Kläger hat keinen Anspruch auf Ersatz immateriellen Schadens in Höhe von mindestens 1 .OOO € gegen die Beklagte gem. Art. 82 DGSVO.

Nach dieser Vorschrift hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen.

Die Darlegungs- und Beweislast für die haftungsbegründenden Voraussetzungen trägt der Anspruchsberechtigte (Rn 51 zu Art.82 DS-GVO, BeckOK Datenschutzrecht, 44. Auflage, 01.05.2023, beck-online).

Trotz Hinweis des Gerichts in der mündlichen Verhandlung vom 13.07.2023 hat der Kläger weder dargelegt, welche Pflichtverletzung nach der DSGVO er der Beklagten vorwirft, noch welcher konkrete, immaterielle Schaden hierdurch eingetreten sein soll.

Aus dem Schreiben vom 19.10.202 folgt nicht ein vorheriger Verstoß der Beklagten gegen die DGSVO. Die Benachrichtigungspflicht gem. Art.34 DSGVO setzt eine „Verletzung des Schutzes personenbezogener Daten“ gem. Art. 4 Nr. 12 DSGVO voraus. Auf ein Verschulden oder eine Mitverursachung durch den Verantwortlichen kommt es hierbei nicht an (Rn 23 zu Art. 34 DGSVO, BeckOK Datenschutzrecht, 01.02.2022, 44 Auflage, beck-online)

Selbst wenn ein Verstoß gegen die DSGVO vorgelegen hätte, führt der Datenschutzverstoß an sich nicht zu einem Ersatzanspruch nach Art. 82 DSGVO, da der „Verstoß gegen diese Verordnung“ und der „Schaden“ zwei unterschiedliche Tatbestandsmerkmale der Vorschrift sind. Auch reicht der bloße Kontrollverlust über Daten nicht für das Vorliegen eines Schadens aus.

b) Mangels konkreten Schadens steht dem Kläger gegen die Beklagte auch kein Anspruch aus vertraglichen oder deliktischen Ansprüchen nach dem BGB zu.

Den Volltext der Entscheidung finden Sie hier:https://www.gesetze-bayern.de/Content/Document/Y-300-Z-GRURRS-B-2023-N-20971?hl=true

OLG Düsseldorf
Urteil vom 09.03.2023
16 U 154/21

Das OLG Düsseldorf hat entschieden, dass ein Schadensersatzanspruch aus Art. 82 DSGVO den Nachweis eines konkreten ggf. auch immateriellen Schadens voraussetzt.

Aus den Entscheidungsgründen:
Die Berufung ist zwar zulässig, hat in der Sache aber keinen Erfolg. Die angefochtene Entscheidung beruht – in dem für das Berufungsverfahren noch relevanten Umfang – weder auf einer Rechtsverletzung im Sinne des § 546 ZPO durch das Landgericht, noch rechtfertigen die gemäß § 529 ZPO zugrunde zu legenden Tatsachen eine andere Entscheidung, § 513 Abs. 1 ZPO. Vielmehr hat das Landgericht die Klage mit weitgehend zutreffender und überzeugender Begründung abgewiesen.

Die Klage ist zwar zulässig, jedoch unbegründet.

1. Dem Kläger steht gegen die Beklagte zunächst kein Anspruch auf weitergehende Auskunft gemäß Art. 15 Abs. 1, 3 DS-GVO zu. Insoweit hat das Landgericht mit zutreffender und in jeder Hinsicht überzeugender Begründung, der sich der Senat nach eigener Würdigung vollumfänglich anschließt, eine Erfüllung dieses ursprünglich bestehenden und vom Landgericht auch zutreffend angenommenen Anspruchs bejaht. Dabei geben die Angriffe des Klägers im Berufungsverfahren lediglich noch Anlass zu folgenden ergänzenden Ausführungen:

Entgegen der Ansicht des Klägers sind die vom Bundesgerichtshof in seinem Urteil vom 15.06.2021 – VI ZR 576/19 – aufgestellten Grundsätze für die Bejahung der Erfüllung eines Auskunftsanspruchs, die das Landgericht zutreffend dargestellt und auf den zugrunde liegenden Streitfall angewandt hat, vorliegend gegeben. Erfüllt im Sinne des § 362 Abs. 1 BGB ist ein Auskunftsanspruch demnach grundsätzlich dann, wenn die Angaben nach dem erklärten Willen des Schuldners die Auskunft im geschuldeten Gesamtumfang darstellen. Wird die Auskunft in dieser Form erteilt, steht ihre etwaige inhaltliche Unrichtigkeit einer Erfüllung nicht entgegen. Der Verdacht, dass die erteilte Auskunft unvollständig oder unrichtig ist, kann einen Anspruch auf Auskunft in weitergehendem Umfang nicht begründen. Wesentlich für die Erfüllung des Auskunftsanspruchs ist daher die - gegebenenfalls konkludente - Erklärung des Auskunftsschuldners, dass die Auskunft vollständig ist (vgl. BGH, Urteil vom 15.06.2021 – VI ZR 576/18, juris, Rn. 19). Die Annahme eines derartigen Erklärungsinhalts setzt demnach voraus, dass die erteilte Auskunft erkennbar den Gegenstand des berechtigten Auskunftsbegehrens vollständig abdecken soll. Daran fehlt es beispielsweise dann, wenn sich der Auskunftspflichtige hinsichtlich einer bestimmten Kategorie von Auskunftsgegenständen nicht erklärt hat, etwa weil er irrigerweise davon ausgeht, er sei hinsichtlich dieser Gegenstände nicht zur Auskunft verpflichtet. Dann kann der Auskunftsberechtigte eine Ergänzung der Auskunft verlangen (vgl. BGH, a.a.O., Rn. 20).

Hier hat die Beklagte dem Kläger im Verlauf des erstinstanzlichen Verfahrens letztlich Auskunft in Form der Anlage B11 erteilt. Die Übermittlung dieser unstreitig auch der Form des Art. 15 Abs. 3 DS-GVO genügenden Unterlagen war verbunden mit der ausdrücklichen Erklärung der Beklagten, über weitergehende Unterlagen bzw. den Kläger betreffende personenbezogene Daten nicht zu verfügen. Einzige Ausnahme bilden nach Auskunft der Beklagten dabei Unterlagen der Rechtsabteilung, die sich auf die Kommunikation im Zusammenhang mit dem zugrunde liegenden Rechtsstreit, u.a. auch zwischen der Beklagten und deren Prozessvertretern, beziehen. Auf eine Auskunft über diese Kommunikation hat der Kläger aber bereits erstinstanzlich im Schriftsatz vom 05.05.2021 verzichtet, weshalb die Frage des Eingreifens einer etwaigen Bereichsausnahme für entsprechende Unterlagen vorliegend keiner Erörterung bedarf. Bereits diese, die Vorlage der Anlage B11 begleitenden Angaben der Beklagten belegen nach Auffassung des Senats aber eindeutig, dass die Beklagte sich grundsätzlich zur umfassenden Auskunftserteilung verpflichtet sah. Vor diesem Hintergrund ist sodann ihre – nicht einmal nur konkludent, sondern sogar ausdrücklich erfolgte – Vollständigkeitserklärung zu werten. Hinzu kommt, dass sich die begleitende Erklärung der Beklagten auch ausdrücklich zu den Vertragsverhältnissen verhielt, hinsichtlich derer der Kläger vorträgt, dass weitere Unterlagen mit Blick auf die Aufbewahrungspflicht gemäß § 147 Abs. 1 AO vorhanden sein müssten. Insoweit verkennt der Kläger bei seiner Argumentation aber bereits, dass der Umstand, dass etwas nach den gesetzlichen Vorgaben vorhanden sein bzw. aufbewahrt werden müsste, nichts dazu aussagt, dass dem auch tatsächlich genügt worden ist. Zudem ist dieser Umstand nicht geeignet, die von der Beklagten in Kenntnis ihrer umfassenden Auskunftspflicht abgegebene Vollständigkeitserklärung in Zweifel zu ziehen. Vielmehr handelt es sich insoweit allenfalls um einen Umstand, der im Zusammenhang mit der Frage der Pflicht zur Abgabe einer eidesstattlichen Versicherung Bedeutung erlangen kann (siehe dazu unten). Bereits aus diesem Grund hat das Landgericht hinsichtlich der zwischen den Parteien streitigen Frage der Erfüllung des Auskunftsanspruchs in nicht zu beanstandender Weise von der Einvernahme des Datenschutzbeauftragten der Beklagten abgesehen. Hierin lag entgegen der Auffassung des Klägers mithin auch keine Verletzung seines Anspruchs auf rechtliches Gehör. Soweit der Kläger zudem Zweifel daran äußert, dass das Landgericht die Anlage B11 hinreichend bei seiner Entscheidung gewürdigt habe, vermag der Senat dem nicht beizutreten. Hierbei handelt es sich um eine pauschale Behauptung ins Blaue hinein, die durch keinerlei Tatsachen belegt oder auch nur gestützt wird. Im Gegenteil verhalten sich die erstinstanzlichen Entscheidungsgründe ausdrücklich zu Anlage B11. Hieran vermag auch der Umstand, dass die Anlage B11 im Zusammenhang mit der Berufungseinlegung zunächst versehentlich nicht vom Landgericht an das Oberlandesgericht übermittelt worden ist, nichts zu ändern. Denn dieses Übermittlungsversehen hat keinerlei Aussagegehalt in Bezug auf die Frage, ob dem erstinstanzlichen Gericht die Anlage B11 bei seiner Entscheidung tatsächlich vorlag.

2. Dem Kläger steht, wie das Landgericht ebenfalls im Ergebnis und mit zum Teil überzeugender Begründung ausgeführt hat, auch kein Anspruch aus Art. 82 DS-GVO gegen die Beklagte auf Ersatz des von ihm geltend gemachten immateriellen Schadens wegen einer verzögerlichen und unvollständigen Datenauskunftserteilung zu (vgl. zum Ganzen, OLG Frankfurt a.M., Urteil vom 02.03.2022 – 13 U 206/20, juris, Rn. 64 ff.).

Nach Art. 82 Abs. 1 DS-GVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde, Art. 82 Abs. 2 Satz 1 DS-GVO. Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist, Art. 82 Abs. 3 DS-GVO. Die Voraussetzungen für einen Geldentschädigungsanspruch in Bezug auf einen dem Kläger zugefügten immateriellen Schaden liegen nach Auffassung des Senats nicht vor, da es jedenfalls an der Darlegung des Eintritts eines Schadens bei dem Kläger fehlt, worauf bereits das Landgericht im Rahmen seiner Entscheidung zumindest auch abgestellt hat.

Die Frage, ob bereits der Datenschutzverstoß als solcher für das Entstehen eines Schadensersatzanspruchs ausreicht oder es darüber hinaus der Darlegung und des Nachweises eines konkreten (auch: immateriellen) Schadens bedarf, ist in Rechtsprechung und Literatur umstritten (vgl. Nachweise zum Streitstand: OLG Frankfurt a.M., a.a.O., Rn. 68). Sowohl der österreichische Oberste Gerichtshof (Vorabentscheidungsersuchen vom 12.05.2021, ZD 2021, S. 631, wobei der Gerichtshof die Auffassung vertritt, es sei der Nachweis eines Schadens erforderlich) als auch das Bundesarbeitsgericht (Vorabentscheidungsersuchen vom 26.08.2021, 8 AZR 253/20-A, wobei das BAG den Nachweis eines Schadens nicht für notwendig hält) haben die hiermit zusammenhängenden Fragen dem Europäischen Gerichtshof zur Vorabentscheidung vorgelegt.

Der Senat folgt im Ergebnis der Auffassung, wonach über den festgestellten Verstoß gegen die Vorschriften des DS-GVO hinaus Voraussetzung für eine Entschädigung in Geld der Nachweis eines konkreten (auch immateriellen) Schadens ist. Hierfür spricht zunächst bereits der Wortlaut von Art. 82 Abs. 1 DS-GVO, der über den Verstoß hinaus ausdrücklich die Entstehung eins Schadens („...Schaden entstanden ist") voraussetzt. Dieser Differenzierung im Wortlaut hätte es nicht bedurft, wenn bereits der Verstoß als solcher konstitutiv für den Anspruch wäre. Hätte der Verordnungsgeber eine nur an den Rechtsverstoß anknüpfende, vom Nachweis eines konkreten Schadens unabhängige Zahlungspflicht anordnen wollen, hätte es zudem demgegenüber nahegelegen, dies - wie z.B. im Luftverkehrsrecht gem. Art. 7 Abs. 1 FluggastrechteVO (EG) 261/2004 - durch Pauschalen zu regeln (vgl. OLG Frankfurt a.M., a.a.O., Rn. 70 m.w.N.; OLG Koblenz, Urteil vom 18.05.2022 – 5 U 2141/21, juris, Rn. 73 f., m.w.N.). In dem Erwägungsgrund 146 S. 3 zu der DS-GVO heißt es zwar, dass der Begriff des Schadens im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden soll, die den Zielen der Verordnung in vollem Umfang entspricht. Der Anspruch soll nach Erwägungsgrund 146 S. 6 sicherstellen, dass die betroffenen Personen einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten. Das schließt ein, dass Schadensersatzforderungen abschrecken und weitere Verstöße unattraktiv machen sollen. Der Begriff des Schadens in Art. 82 DS-GVO ist autonom auszulegen, mithin kommt es nicht darauf an, ob ein bestimmter Schaden nach nationalem Recht als Schaden angesehen werden könnte. Auch hiernach ist der Schaden jedoch nicht mit der zugrunde liegenden Rechtsgutsverletzung gleichzusetzen. Denn ausdrücklich muss der Schaden „erlitten" werden, woraus folgt, dass dieser tatsächlich entstanden sein muss und nicht lediglich befürchtet wird. Der bloße Verstoß gegen Bestimmungen der DS-GVO reicht daher nicht aus (OLG Frankfurt a.M., a.a.O., Rn. 71; LAG Baden-Württemberg, Urteil vom 25.02.2021, 17 Sa 37/20, juris, Rn. 96 m.w.N.).

Das Vorliegen eines konkreten - immateriellen - Schadens, etwa Ängste oder starken Stress, hat der Kläger vorliegend nicht dargetan. Soweit der Kläger im Rahmen seiner Klageerweiterung mit Schriftsatz vom 07.04.2021 vorträgt, erschöpfen sich seine Ausführungen in der Darlegung des Datenschutzverstoßes – also einer verzögerlichen und seiner Ansicht nach unvollständigen Datenauskunftserteilung – ohne irgendwelche hierdurch bedingte Einbußen oder Beeinträchtigungen immaterieller Art aufzuzeigen. Diesen Vortrag ergänzt der Kläger auch zweitinstanzlich nicht. Vielmehr beruft er sich auch in der Berufungsbegründung letztlich auf seine – von dem Senat aus den vorstehend dargestellten Erwägungen nicht geteilte – Ansicht, wonach allein der Datenschutzverstoß in der vorliegenden Konstellation einen Schaden begründe. Ergänzend verweist er auf seinen – wie dargestellt – bereits erstinstanzlich unzureichenden Vortrag. Nichts anderes gilt, soweit er im Schriftsatz vom 21.01.2023 einen „Kontrollverlust über die Daten“ als Schaden anführt. Dies stellt lediglich eine Umschreibung des von ihm geltend gemachten Gesetzesverstoßes dar, aber keinen davon zu unterscheidenden Schaden immaterieller oder materieller Art. Da sich die Ausführungen des Klägers letztlich im Wesentlichen auf die Darlegung seiner abweichenden Rechtsauffassung, unter Bezugnahme auf Rechtsprechung und Literatur beschränken, aber keinerlei Tatsachenvortrag enthalten, der geeignet wäre, einen etwaigen immateriellen Schaden konkret des Klägers zu belegen, vermag der Senat, der – ebenso wie das Landgericht – zum Erfordernis der Darlegung eines Schadens eine vom Kläger abweichende Rechtsauffassung vertritt, auch keine Verletzung dessen Anspruchs auf Gewährung rechtlichen Gehörs zu erkennen.

Auf den konkreten Umfang des Auskunftsanspruchs gemäß Art. 15 Abs. 1, 3 DS-GVO und darauf, ob entgegen dem Landgericht die unter Berücksichtigung der in Art. 12 Abs. 3 Satz 1 DS-GVO verzögerliche Aukunftserteilung eine taugliche Verletzungshandlung im Sinne des Art. 82 Abs. 1 DS-GVO darstellt (vgl. dazu: OLG Köln, Urteil vom 14.07.2022 – 15 U 137/21, juris, Rn. 24; Quaas, in: Wolff/Brink, BeckOK Datenschutzrecht, 41. Edition, Stand: 01.08.2022, Art. 82 DS-GVO, Rn. 14), kommt es nach dem Vorstehenden an dieser Stelle mithin nicht entscheidungserheblich an.

3. Soweit der Kläger erstmals mit der Berufungsbegründung hilfsweise die Abgabe einer eidesstattlichen Versicherung betreffend die Vollständigkeit und Richtigkeit der erteilten Datenauskunft beantragt, ist die hierin liegende Klageänderung zwar zulässig, jedoch dringt der Kläger mit seinem Begehren in der Sache auch insoweit nicht durch.

a. Die Klageänderung ist zunächst gemäß § 533 ZPO zulässig. Zwar hat die Beklagte insoweit ausdrücklich nicht eingewilligt (§ 533 Nr. 1, 1. Alt. ZPO), jedoch ist diese nach Auffassung des Senats vorliegend sachdienlich (§ 533 Nr. 1, 2. Alt. ZPO). Bei der Beurteilung der Sachdienlichkeit sind die beiderseitigen Interessen zu bewerten und abzuwägen. Es kommt auf die objektive Beurteilung an, ob und inwieweit die Zulassung der Klageänderung den sachlichen Streitstoff im Rahmen des anhängigen Rechtsstreits ausräumt und einem anderenfalls zu führenden Rechtsstreit vorbeugt. Maßgeblich ist der Gesichtspunkt der Prozesswirtschaftlichkeit, wobei nicht die beschleunigte Entscheidung des anhängigen Prozesses, sondern die Erledigung der Streitpunkte zwischen den Parteien entscheidend ist (vgl. Wulf, in: Vorwerk/Wolf, BeckOK, 47. Edition, Stand 01.12.2022, § 533 Rn. 11). Das ist vorliegend zu bejahen, da die Frage der Erfüllung bzw. deren Umfang weiterhin zwischen den Parteien in Streit steht. Auch die Voraussetzung des § 533 Nr. 2 ZPO ist vorliegend gegeben. Danach hängt die Zulässigkeit einer zweitinstanzlichen Klageänderung davon ab, dass sie auf Tatsachen gestützt werden kann, die das Berufungsgericht seiner Verhandlung und Entscheidung über die Berufung ohnehin nach § 529 ZPO zugrunde zu legen hat. Maßgeblich ist gemäß § 529 i.V.m. § 531 Abs. 2 ZPO mithin der erstinstanzliche Sach- und Streitstand (vgl. Rimmelspacher, in: MüKo/ZPO, 6. Auflage 2020, § 533 Rn. 14). Vorliegend stand die Frage der Erfüllung des Auskunftsanspruchs bzw. einer vollständigen Erfüllung bereits erstinstanzlich zwischen den Parteien in Streit, sodass die für die Entscheidung des klageerweiternd geltend gemachten Anspruchs maßgeblichen Umstände bereits erstinstanzlich Gegenstand der Erörterung gewesen sind.

b. In der Sache kann der Kläger von der Beklagte aber nach §§ 259 Abs. 2, 260 Abs. 2 BGB nicht die Abgabe der begehrten eidesstattlichen Versicherung verlangen. Hiernach hat der Verpflichtete die Vollständigkeit und Richtigkeit seiner Angaben auf Verlangen an Eides statt zu versichern, wenn die Besorgnis besteht, dass diese nicht mit der erforderlichen Sorgfalt gemacht worden sind. Erforderlich sind insoweit mithin Unvollständigkeit der Rechnungslegung / Auskunft und dass dies auf mangelnder Sorgfalt des Verpflichteten beruht. Beide Punkte müssen nicht feststehen. Erforderlich, aber auch ausreichend ist insoweit ein auf Tatsachen gründender Verdacht, die der Berechtigte darlegen und notfalls beweisen muss (vgl. Krüger, in: MüKo/BGB, 9. Auflage 2022, § 260 Rn. 47, § 259 Rn. 38 f.). Daran fehlt es vorliegend im Ergebnis jedoch.

So ist nach Auffassung des Senats bereits die Unvollständigkeit der erteilten Auskunft nicht hinreichend substantiiert dargetan. Soweit der Kläger in diesem Zusammenhang das Vorhandensein weiterer Unterlagen mit der Aufbewahrungspflicht des § 147 Abs. 1 AO begründet, verkennt er bereits, dass das Bestehen einer entsprechenden Aufbewahrungspflicht nichts über den Umfang einer tatsächlich erfolgten Aufbewahrung und Speicherung aussagt. Eine Auskunftspflicht kann sich dabei aber von vornherein nur auf tatsächlich aufbewahrte und gespeicherte Unterlagen und Daten beziehen. In diesem Zusammenhang ist mit Blick auf den Umfang der tatsächlich erteilten Auskunft für den Senat nicht ansatzweise erkennbar, dass und weshalb die Beklagte weitergehende Vertragsunterlagen zu den genannten Kundennummern, die sie selbst bestätigt hat, nicht herausgeben sollte, sondern letztlich „lieber“ einen etwaigen Verstoß gegen ihre Pflichten gemäß § 147 AO einräumen sollte. Dies gilt umso mehr, als die Beklagte das Vorhandensein weiterer Unterlagen, zu deren Herausgabe sie nicht bereit war – Stichwort: Rechtsabteilung –, eingeräumt hat. Aber selbst wenn man davon ausgehen wollte, dass allein der Pflichtenverstoß der Beklagten gegen § 147 AO einen Verdacht auf die Unvollständigkeit im Sinne der §§ 259 Abs. 2, 260 Abs. 2 BGB begründet, wäre auch insoweit dem Beweisangebot des Klägers auf Einvernahme der Datenschutzbeauftragten der Beklagten nicht nachzugehen, da es jedenfalls an einer hinreichend substantiierten Darlegung etwaiger Tatsachen fehlt, nach denen davon auszugehen wäre, dass die – unterstellt unvollständige – Auskunftserteilung als solche auf mangelnder Sorgfalt der Beklagten beruht. Im Gegenteil. So bemängelt der Kläger wiederholt über das gesamte Verfahren hinweg die administrative Organisation der Beklagten. Dies wird sogar noch belegt durch die wiederholten unberechtigten Abbuchungen von dessen Konto, die ebenfalls Gegenstand eines zwischenzeitlich übereinstimmend für erledigt erklärten Klageantrags gewesen sind. All dies mag für durchaus gravierende Versäumnisse der Beklagten im Zusammenhang mit ihrer Organisation, der Datenerfassung und –aufbewahrung, insbesondere auch der Achtung gesetzlicher Pflichten wie solchen gemäß § 147 AO sprechen, ist aber in keiner Weise geeignet, Zweifel dahingehend zu begründen, dass die Beklagte nicht sämtliche bei ihr vorhandene Daten und Unterlagen letztlich vollständig – also abgesehen von den, seitens des Klägers nicht begehrten Unterlagen der Rechtsabteilung – herausgegeben hat. Der sich aus dem Vortrag des Klägers allenfalls hinreichend substantiiert ergebende Vorwurf belegt mithin jedenfalls keine mangelnde Sorgfalt bei der Erteilung der Auskunft, sondern ggfls. im Vorfeld.

Damit kommt es auf die von der Beklagten aufgeworfene Frage eines Eingreifens der §§ 259 Abs. 3, 260 Abs. 3 BGB ebenso wenig an wie darauf, ob § 260 Abs. 2 BGB überhaupt auf einen Anspruch aus Art. 15 DS-GVO anwendbar ist (aufgeworfen von: BGH, Urteil vom 15.06.2021 – VI ZR 576/19, juris, Rn. 34).

4. Aufgrund der vorstehenden Ausführungen ist auch die erstinstanzliche Kostenentscheidung in keiner Weise zu beanstanden.

III. Die Kostenentscheidung beruht auf § 97 Abs. 1 ZPO. Die Entscheidung über die vorläufige Vollstreckbarkeit folgt aus §§ 708 Nr. 10, 711 ZPO.

Die Zulassung der Revision hat gemäß § 543 Abs. 2 Nr. 1 ZPO teilweise zu erfolgen: Hinsichtlich der datenschutzrechtlichen Ansprüche des Klägers auf Zahlung eines Schadenersatzes liegt eine grundsätzliche Bedeutung i.S.d. § 543 Abs. 2 Nr. 1 ZPO vor, da die Voraussetzungen des Geldentschädigungsanspruchs nach Art. 82 Abs. 1 DS-GVO und das Verständnis dieser Vorschrift bislang nicht höchstrichterlich geklärt sind und sich nicht unmittelbar aus den Regelungen der DS-GVO ergeben (vgl. auch BVerfG, Beschluss vom 14.01.2021 – 1 BvR 2853/19, Rn. 20).

Hinsichtlich des Auskunftsanspruchs war die Zulassung der Revision hingegen nicht geboten, weil die Rechtssache insoweit keine grundsätzliche Bedeutung hat und eine Entscheidung des Revisionsgerichts weder zur Fortbildung des Rechts noch zur Sicherung einer einheitlichen Rechtsprechung erforderlich ist (§ 543 Abs. 1 ZPO). Eine Rechtssache hat grundsätzliche Bedeutung, wenn eine klärungsbedürftige Frage zu entscheiden ist, deren Auftreten in einer unbestimmten Vielzahl von Fällen zu erwarten ist und deshalb das abstrakte Interesse der Allgemeinheit an einheitlicher Entwicklung und Handhabung des Rechts berührt (BGH, Beschluss vom 04.07.2002 – V ZB 16/02, juris Rn. 4; Beschluss vom 04.07.2002 – V ZR 75/02, juris, Rn. 5). Klärungsbedürftig ist eine Rechtsfrage, wenn zu ihr unterschiedliche Auffassungen vertreten werden und noch keine höchstrichterliche Entscheidung vorliegt (BVerfG, Beschluss vom 08.12.2010 – 1 BvR 381/10, juris, Rn. 12). Die Frage, wann ein Auskunftsanspruch erfüllt ist, hat der BGH zwischenzeitlich in dem hier zugrunde gelegten Sinne entschieden. Ob im konkreten Fall Erfüllung eingetreten ist, ist dagegen eine Frage des Einzelfalls.

Der Streitwert für das Berufungsverfahren wird gemäß §§ 39, 43, 47, 48 Abs. 1 GKG, 3 ZPO auf 2.400,00 € festgesetzt.

Den Volltext der Entscheidung finden Sie hier:

EuGH
Urteil vom 04.05.2023
C-300/21
Österreichische Post (Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten)

Der EuGH hat entschieden, dass ein DSGVO-Verstoß nicht automatisch einen Schadensersatzanspruch gemäß Art. 82 DSGVO begründet. Es kommt aber nicht darauf an, dass ein Erheblichkeitsschwelle überschritten wird.

Tenor der Entscheidung:
1. Art. 82 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen,
dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadenersatzanspruch zu begründen.

2. Art. 82 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen,
dass er einer nationalen Regelung oder Praxis entgegensteht, die den Ersatz eines immateriellen Schadens im Sinne dieser Bestimmung davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat.

3. Art. 82 der Verordnung 2016/679 ist dahin auszulegen,
dass die nationalen Gerichte bei der Festsetzung der Höhe des Schadenersatzes, der aufgrund des in diesem Artikel verankerten Schadenersatzanspruchs geschuldet wird, die innerstaatlichen Vorschriften der einzelnen Mitgliedstaaten über den Umfang der finanziellen Entschädigung anzuwenden haben, sofern die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität beachtet werden.

Die Pressemitteilung des EuGH:
Der bloße Verstoß gegen die DSGVO begründet keinen Schadenersatzanspruch

Der Schadenersatzanspruch hängt jedoch nicht davon ab, dass der entstandene immaterielle Schaden eine gewisse Erheblichkeit erreicht.

Ab dem Jahr 2017 sammelte die Österreichische Post Informationen über die politischen Affinitäten der österreichischen Bevölkerung. Mit Hilfe eines Algorithmus definierte sie anhand sozialer und demografischer Merkmale „Zielgruppenadressen“. Aus den so gesammelten Daten leitete die Österreichische Post ab, dass ein bestimmter Bürger eine hohe Affinität zu einer bestimmten österreichischen politischen Partei habe. Die verarbeiteten Daten wurden jedoch nicht an Dritte übermittelt.

Der betroffene Bürger, der der Verarbeitung seiner personenbezogenen Daten nicht zugestimmt hatte, behauptet, er habe dadurch, dass ihm eine besondere Affinität zu der fraglichen Partei zugeschrieben worden sei, großes Ärgernis und einen Vertrauensverlust sowie ein Gefühl der Bloßstellung verspürt. Als Ersatz des ihm angeblich entstandenen immateriellen Schadens begehrt er vor den österreichischen Gerichten die Zahlung von 1 000 Euro.

Der österreichische Oberste Gerichtshof äußerte Zweifel in Bezug auf den Schadensersatzanspruch, den die Datenschutz-Grundverordnung (DSGVO)1 für den Fall vorsieht, dass wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist. Dieses Gericht möchte vom Gerichtshof wissen, ob der bloße Verstoß gegen die DSGVO ausreicht, um einen Schadenersatzanspruch zu begründen, und ob für den Ersatz der entstandene immaterielle Schaden einen bestimmten Grad an Erheblichkeit erreichen muss. Des Weiteren möchte es wissen, welche unionsrechtlichen Vorgaben für die Festsetzung der Höhe des Schadenersatzes bestehen.

In seinem heutigen Urteil stellt der Gerichtshof als Erstes fest, dass der in der DSGVO vorgesehene Schadenersatzanspruch eindeutig an drei kumulative Voraussetzungen geknüpft ist: einen Verstoß gegen die DSGVO, einen materiellen oder immateriellen Schaden, der aus diesem Verstoß resultiert, und einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß. Demnach eröffnet nicht jeder Verstoß gegen die DSGVO für sich genommen den Schadenersatzanspruch. Eine andere Auslegung liefe dem klaren Wortlaut der DSGVO zuwider. Zudem führt nach dem Wortlaut der Erwägungsgründe der DSGVO, die speziell den Schadenersatzanspruch betreffen, ein Verstoß gegen die DSGVO nicht zwangsläufig zu einem Schaden und muss ein Kausalzusammenhang zwischen dem fraglichen Verstoß und dem entstandenen Schaden bestehen, um einen Schadenersatzanspruch zu begründen. Somit unterscheidet sich die Schadenersatzklage von anderen in der DSGVO vorgesehenen Rechtsbehelfen – insbesondere von jenen, die die Verhängung von Geldbußen erlauben –, für die das Vorliegen eines individuellen Schadens nicht nachgewiesen werden muss. Als Zweites stellt der Gerichtshof fest, dass der Schadenersatzanspruch nicht auf immaterielle Schäden beschränkt ist, die eine gewisse Erheblichkeit erreichen. In der DSGVO wird ein solches Erfordernis nicht erwähnt, und eine solche Beschränkung stünde zu dem vom Unionsgesetzgeber gewählten weiten Verständnis des Begriffs „Schaden“ im Widerspruch. Würde der Ersatz eines immateriellen Schadens von einer Erheblichkeitsschwelle abhängig gemacht, könnte dies zudem die Kohärenz der mit der DSGVO eingeführten Regelung beeinträchtigen. Die graduelle Abstufung, von der die Möglichkeit, Schadenersatz zu erhalten, abhinge, könnte nämlich je nach Beurteilung durch die angerufenen Gerichte unterschiedlich hoch ausfallen.

Als Drittes und Letztes stellt der Gerichtshof zu den Regeln für die Bemessung des Schadenersatzes fest, dass die DSGVO keine Bestimmung enthält, die sich diesen Regeln widmet. Daher sind die Ausgestaltung von Klageverfahren, die den Schutz der dem Einzelnen insoweit aus der DSGVO erwachsenden Rechte gewährleisten sollen, und insbesondere die Festlegung der Kriterien für die Ermittlung des Umfangs des in diesem Rahmen geschuldeten Schadenersatzes Aufgabe des Rechts des einzelnen Mitgliedstaats, wobei der Äquivalenz- und der Effektivitätsgrundsatz zu beachten sind. In diesem Zusammenhang betont der Gerichtshof die Ausgleichsfunktion des in der DSGVO vorgesehenen Schadenersatzanspruchs und weist darauf hin, dass dieses Instrument einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden sicherstellen soll.

Den Volltext der Entscheidung finden Sie hier:

EuGH-Generalanwalt
Schlussanträge vom 27.04.2023
C-340/21 | Natsionalna agentsia za prihodite

Der EuGH-Generalanwalt kommt in seinen Schlussanträgen zu dem Ergebnis, dass bei einem Datenleck oder Hackerangriff ein Anspruch auf Ersatz des immateriellen Schadens aus Art. 82 DSGVO gegen die verarbeitende Stelle für die Befürchtung eines künftigen Missbrauchs der Daten bestehen kann.

Die Pressemitteilung des EuGH:
Bei einem unbefugten Zugang zu personenbezogenen Daten durch Dritte haftet der Verantwortliche für mutmaßliches Verschulden und es kommt eventuell ein Ersatz des immateriellen Schadens in Betracht

Für eine Haftungsbefreiung muss der Verantwortliche nachweisen, dass er für den Umstand, durch den der Schaden eingetreten ist, in keinerlei Hinsicht verantwortlich ist. Die Befürchtung eines künftigen Missbrauchs personenbezogener Daten kann nur dann einen immateriellen Schaden darstellen, wenn es sich um einen realen und sicheren emotionalen Schaden und nicht nur um ein Ärgernis oder eine Unannehmlichkeit handelt.

Am 15. Juli 2019 verbreiteten die bulgarischen Medien die Nachricht, dass ein unbefugter Zugang zum Informationssystem der bulgarischen Nationalen Agentur für Einnahmen (NAP) erfolgt sei und dass verschiedene Steuer- und Sozialversicherungsdaten von Millionen von Menschen im Internet veröffentlicht worden seien. Mehrere Personen, darunter V.B., verklagten die NAP auf Ersatz des immateriellen Schadens, der sich in Sorgen und Befürchtungen des künftigen Missbrauchs ihrer personenbezogenen Daten äußere. Nach Ansicht von V.B. hatte die NAP gegen nationale Vorschriften und ihre Verpflichtung verstoßen, geeignete Maßnahmen zu ergreifen, um als Verantwortliche bei der Verarbeitung personenbezogener Daten angemessene Sicherheitsstandards zu gewährleisten. Das erstinstanzliche Gericht wies die Klage mit der Begründung ab, dass die Veröffentlichung der Daten nicht der NAP zuzurechnen sei, dass die Beweislast für die Geeignetheit der Maßnahmen bei V.B. liege und dass kein immaterieller Schaden geltend gemacht werden könne. Das mit der Kassationsbeschwerde befasste Oberste Verwaltungsgericht hat dem Gerichtshof einige Fragen zur Auslegung der DatenschutzGrundverordnung1 zur Vorabentscheidung vorgelegt, um zu klären, unter welchen Bedingungen eine Person, deren personenbezogene Daten, die sich im Besitz einer öffentlichen Agentur befinden, nach einem Hackerangriff im Internet veröffentlicht wurden, Ersatz des immateriellen Schadens verlangen kann.

In den heutigen Schlussanträgen weist Generalanwalt Giovanni Pitruzzella zunächst darauf hin, dass der Verantwortliche geeignete technische und organisatorische Maßnahmen umsetzen müsse, um sicherzustellen, dass die Verarbeitung personenbezogener Daten gemäß der Verordnung erfolge. Die Geeignetheit dieser Maßnahmen werde unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen auf der Grundlage einer Einzelfallprüfung bestimmt.

Der Generalanwalt führt erstens aus, dass das Vorliegen einer „Verletzung des Schutzes personenbezogener Daten“ an sich nicht ausreiche, um anzunehmen, dass die vom Verantwortlichen ergriffenen technischen und organisatorischen Maßnahmen nicht „geeignet" gewesen seien, um den Schutz der Daten zu gewährleisten. Bei der Auswahl der Maßnahmen müsse der Verantwortliche eine Reihe von Faktoren berücksichtigen, darunter den „Stand der Technik“, der eine Begrenzung des technologischen Niveaus der Maßnahmen auf das, was zum Zeitpunkt des Ergreifens der Maßnahmen vernünftigerweise möglich sei, zulasse, wobei auch die Implementierungskosten zu berücksichtigen seien. Die Entscheidung des Verantwortlichen unterliege einer möglichen gerichtlichen Prüfung der Vereinbarkeit mit der Verordnung. Die Beurteilung der Geeignetheit der Maßnahmen müsse auf einer Abwägung zwischen den Interessen der betroffenen Person und den wirtschaftlichen Interessen und technischen Möglichkeiten des Verantwortlichen unter Wahrung des allgemeinen Verhältnismäßigkeitsgrundsatzes beruhen.

Zweitens müsse das nationale Gericht bei der Prüfung der Frage, ob die Maßnahmen geeignet gewesen seien, eine Überprüfung vornehmen, die sich auf eine konkrete Analyse sowohl des Inhalts der Maßnahmen als auch der Art und Weise ihrer Durchführung und ihrer praktischen Auswirkungen erstrecke. Bei der gerichtlichen Überprüfung müssten daher alle Faktoren berücksichtigt werden, die in der Verordnung enthalten seien. Unter diesen Faktoren könne die Einführung von Verhaltensregeln oder Zertifizierungssystemen ein nützliches Element der Bewertung zum Zweck der Erfüllung der Beweispflicht sein, wobei der Verantwortliche nachweisen müsse, dass er die in den Verhaltensregeln vorgesehenen Maßnahmen tatsächlich ergriffen habe, während die Zertifizierung als solche den Beweis für die Übereinstimmung der durchgeführten Verarbeitungen mit der Verordnung darstelle. Da diese Maßnahmen erforderlichenfalls überprüft und aktualisiert werden müssten, habe das Gericht auch diesen Umstand zu würdigen.

Drittens obliege dem Verantwortlichen der Nachweis, dass die Maßnahmen geeignet seien. Gemäß dem Grundsatz der Verfahrensautonomie sei es Sache der innerstaatlichen Rechtsordnung jedes Mitgliedstaats, die zulässigen Beweismittel und deren Beweiskraft, einschließlich der Ermittlungsmaßnahmen, zu bestimmen.

Viertens stelle der Umstand, dass der Verstoß gegen die Verordnung von einem Dritten begangen worden sei, für sich genommen keinen Grund dar, den Verantwortlichen von der Haftung zu befreien. Für eine Haftungsbefreiung müsse der Verantwortliche mit hohem Beweisniveau nachweisen, dass er für den Umstand, durch den der Schaden eingetreten sei, in keinerlei Hinsicht verantwortlich sei. Bei der Haftung für die unrechtmäßige Verarbeitung personenbezogener Daten handele es sich nämlich um eine verschärfte Haftung für mutmaßliches Verschulden. Der Verantwortliche habe daher die Möglichkeit, einen Entlastungsbeweis vorzulegen.

Schließlich ist der Generalanwalt der Ansicht, dass der Schaden, der in der Befürchtung eines möglichen künftigen Missbrauchs der personenbezogenen Daten bestehe und dessen Vorhandensein die betroffene Person nachgewiesen habe, einen immateriellen Schaden darstellen könne, der einen Schadensersatzanspruch begründe. Dies gelte aber nur, wenn es sich um einen realen und sicheren emotionalen Schaden und nicht nur um ein Ärgernis oder eine Unannehmlichkeit handele.

Die vollständigen Schlussanträge finden Sie hier: