Skip to content

LG Heidelberg: 25 EURO Schadensersatz aus Art. 82 DSGVO wegen unzulässiger Zusendung einer Werbemail

LG Heidelberg
Urteil vom 16.03.2022
4 S 1/21


Das LG Heidelberg hat entscheiden, dass ein Anspruch auf Zahlung von 25 EURO Schadensersatz aus Art. 82 DSGVO wegen unzulässiger Zusendung einer Werbemail besteht.

Aus den Entscheidungsgründen:
1. Die Berufung ist zulässig.
Die Kammer hat die Berufung gegen das amtsgerichtliche Urteil durch Beschluss vom 16.03.2022 gemäß § 511 Abs. 4 S. 1 ZPO zugelassen.

Zwar übersteigt der Wert des Beschwerdegegenstandes vorliegend entgegen § 511 Abs. 2 Nr. 1 ZPO die Wertgrenze von 600 € nicht, nachdem der Streitwert für den Klageantrag Ziff. 1c auf die Streitwertbeschwerde des Klägers hin mit Beschluss des Landgerichts Heidelberg vom 18.02.2021 (vgl. AS 365 ff. der Akte des Amtsgerichts) antragsgemäß auf 500 € festgesetzt wurde. Auch hat das Amtsgericht die Berufung im Urteil nicht gemäß § 511 Abs. 2 Nr. 2 ZPO zugelassen, da es den Streitwert für den Antrag Ziff. 1c im Urteil zunächst auf 1.000 € festgesetzt hatte und eine Berufungszulassungsentscheidung danach nicht veranlasst war. Hat indes das erstinstanzliche Gericht keine Veranlassung gesehen, die Berufung nach § 511 Abs. 4 ZPO zuzulassen, weil es den Streitwert auf über 600 € festgesetzt hat und deswegen von einem entsprechenden Wert der Beschwer der unterlegenen Partei ausgegangen ist, hält aber das Berufungsgericht diesen Wert nicht für erreicht, so muss das Berufungsgericht, das insoweit nicht an die Streitwertfestsetzung des Erstgerichts gebunden ist, die Entscheidung darüber nachholen, ob die Voraussetzungen für die Zulassung der Berufung nach § 511 Abs. 4 Satz 1 Nr. 1 ZPO erfüllt sind, da die unterschiedliche Bewertung nicht zu Lasten der Parteien gehen darf (vgl. BGH, Urteil vom 14. November 2007, Az.: VIII ZR 340/06 = NJW 2008, 218).

Hier war die Berufung nach § 511 Abs. 4 S. 1 ZPO zuzulassen, da die Rechtssache grundsätzliche Bedeutung hat und die Sicherung einer einheitlichen Rechtsprechung eine Entscheidung des Berufungsgerichts erfordert (§ 511 Abs. 4 S. 1 Nr. 1 ZPO) und der Kläger nach Abänderung des Streitwerts für Antrag Ziff. 1c nicht mit mehr als 600 € beschwert war (§ 511 Abs. 4 S. 1 Ziff. 2 ZPO). Die Frage, ob und gegebenenfalls unter welchen Voraussetzungen ein Schadensersatz- oder Schmerzensgeldanspruch nach Art. 82 DSGVO besteht, wird in der Rechtsprechung und auch der Literatur kontrovers diskutiert und unterschiedlich behandelt.

2. Die Berufung ist in geringem Umfang auch begründet. Soweit der Berufungsantrag nach dem Vortrag des Klägers gerechtfertigt war und dem Kläger 25,00 € zugesprochen wurden, ist aufgrund des Teil-Versäumnisurteils eine Begründung gemäß § 313b Abs. 1 ZPO nicht erforderlich.

Im Übrigen war die Klage abzuweisen und die weitergehende Berufung zurückzuweisen, denn ein weitergehender Anspruch des Klägers besteht nicht. Der Vortrag des Klägers rechtfertigt keinen höheren Schadensersatz- oder Schmerzensgeldanspruch. Die Kammer ist davon überzeugt, dass der Kläger aufgrund des Verstoßes der Beklagten gegen Art. 6 DSGVO durch die unzulässige Verarbeitung seiner personenbezogenen Daten lediglich einen ersatzfähigen Schaden in Höhe von 25,00 € erlitten hat.

a) Die Kammer legt den Antrag des Klägers dahingehend aus, dass dieser Schadensersatz für die aufgrund des DSGVO-Verstoßes der Beklagten erlittenen Beeinträchtigungen begehrt, unabhängig von dem vom Kläger verwendeten Begriff des „Schmerzensgeldes“ aus dem deutschen Zivilrecht.

(1) Dem steht die grundsätzliche Bindung an den Antrag des Klägers gemäß § 308 Abs. 1 ZPO, wonach das Gericht nicht befugt ist, einer Partei etwas zuzusprechen, was nicht beantragt ist, nicht entgegen. Denn entscheidend kann nicht der bloße Wortlaut eines Antrages sein, sondern der durch ihn verkörperte Wille. Dementsprechend ist nicht nur darauf zu sehen, ob der Antrag für sich allein betrachtet einen eindeutigen Sinn ergibt, sondern es ist auch die dem Antrag beigegebene Begründung zu berücksichtigen (MüKo-ZPO/Musielak, 6. Aufl. 2020, ZPO § 308 Rn. 6 m.w.N.). Bei einer vom Gericht vorgenommenen Auslegung ist von dem Grundsatz auszugehen, dass im Zweifel dasjenige gewollt ist, was nach den Maßstäben der Rechtsordnung vernünftig ist und der wohlverstandenen Interessenlage entspricht (MüKo-ZPO/Musielak, 6. Aufl. 2020, ZPO § 308 Rn. 6).

Danach legt die Kammer den Antrag des Klägers vor dem Hintergrund seiner Berufungsbegründung und seines Interesses an einer Entschädigung nach Art. 82 DSGVO dahingehend aus, dass dieser die Zahlung von Schadensersatz von der Beklagten begehrt. Zwar ist der unbezifferte Antrag des Klägers auf die Zahlung eines angemessenen Schmerzensgeldes gerichtet, jedoch stützt der Kläger seinen Anspruch auf Art. 82 DSGVO, eine Norm des europäischen Rechts. Maßgeblich sind damit nicht die deutschen Begrifflichkeiten, sondern die des europäischen Rechts bzw. die der DSGVO. Der Begriff „Schmerzensgeld“ findet jedoch in Art. 82 DSGVO und auch den übrigen Normen der DSGVO keine Verwendung. Art. 82 Abs. 1 DSGVO normiert lediglich einen „Anspruch auf Schadenersatz“ für jede Person, der wegen eines Verstoßes gegen die DSGVO „ein materieller oder immaterieller Schaden“ entstanden ist. Der Antrag Ziff. 1c) des Klägers ist daher nach Überzeugung der Kammer im Lichte dieses auf die DSGVO gestützten Anspruchsbegehrens des Klägers auszulegen und dahin zu verstehen, dass er die Zahlung von Schadensersatz begehrt.

(2) Ob der Kläger den begehrten Schadensersatz dabei nach seinem Vortrag allein auf einen „materiellen“ oder „immateriellen“ Schaden stützt, ist unerheblich. Soweit der Kläger seine Schäden als „immaterielle“ Schäden bezeichnet, bindet dies die Kammer auch nicht an die Prüfung ausschließlich immaterieller Schäden. Zugunsten des Klägers sind vielmehr auch mögliche materielle Schäden, die sich aus dem Vorbringen des Klägers ergeben können, zu prüfen, da Art. 82 Abs. 1 DSGVO nach Überzeugung der Kammer ein einheitlicher, weit auszulegender Schadensbegriff zugrunde liegt. Dies hat die Kammer durch Auslegung ermittelt.
Nach dem Wortlaut von Art. 82 DSGVO hat einen „Anspruch auf Schadenersatz“ jede Person, der wegen eines Verstoßes gegen diese Verordnung „ein materieller oder immaterieller Schaden“ entstanden ist. Die DSGVO kennt − anders als das deutsche Recht etwa mit § 253 BGB − insoweit keine unterschiedlichen Normen bzw. Anspruchsgrundlagen, sondern enthält in Art. 82 Abs. 1 DSGVO eine einheitliche Anspruchsgrundlage für einen einheitlichen Schadensersatzanspruch.

Ein weites Verständnis des Schadensbegriffs legen auch die Erwägungsgründe zur DSGVO nahe. Maßgeblich ist insoweit zunächst der Erwägungsgrund 146, der sich auf den Schadensersatzanspruch in Art. 82 DSGVO bezieht. Begrifflich differenziert dieser Erwägungsgrund nicht zwischen materiellen und immateriellen Schäden. Vielmehr wird hier ausschließlich der Begriff „Schaden“ verwendet, ohne dass dieser so zu verstehen sein dürfte, dass nur materielle oder nur immaterielle Schäden gemeint sind. Eine weite Auslegung des Schadensbegriffs wird auch nach S. 3 des Erwägungsgrundes gefordert, wonach der Begriff des Schadens im Lichte der Rechtsprechung des Gerichtshofs „weit“ ausgelegt werden soll.

Für einen einheitlich zu verstehenden Schadensbegriff spricht auch Erwägungsgrund 75 zur DSGVO, in dem Beispiele genannt sind für mögliche „physische, materielle oder immaterielle Schäden“, die aus einer Verarbeitung personenbezogener Daten hervorgehen können, wie zum Beispiel Diskriminierung, Identitätsdiebstahl oder -betrug, finanzieller Verlust, Rufschädigung oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile. Die Aufzählung differenziert ebenfalls nicht zwischen verschiedenen Schadensarten, sondern enthält vielmehr sowohl mögliche materielle, als auch immaterielle Beeinträchtigungen.
b) Nach Auslegung des Begehrens des Klägers im Lichte eines einheitlichen, weit zu verstehenden Schadensersatzanspruchs nach der DSGVO, steht dem Kläger nach Überzeugung der Kammer ein Schadensersatzanspruch gemäß Art. 82 Abs. 1 DSGVO in Höhe von 25,00 € zu.

Dem Kläger ist dadurch ein Schaden entstanden, dass er sich mit den unerwünschten Werbemails der Beklagten auseinandersetzen, deren Herkunft ermitteln, sich um eine Auskunft von der Beklagten mittels eines Schreibens bemühen und die unerwünschten E-Mails löschen musste. Eine den Kläger beeinträchtigende Außenwirkung des Verstoßes im Sinne einer Gefahr einer Schädigung des Ansehens oder Berufs oder einer diskriminierenden Wirkung gegenüber Dritten ist nicht ersichtlich.
Zur Entschädigung der erlittenen Beeinträchtigungen erachtet die Kammer die Zahlung von 25 €, ähnlich der in Verkehrsunfällen für die Umstände und Aufwendungen im Zusammenhang mit der Schadensabwicklung üblichen Auslagenpauschale, für angemessen.

Ein weiterer Schaden - unabhängig davon, ob materiell oder immateriell - ist dem Kläger nach Überzeugung der Kammer nicht entstanden, sodass ein weitergehender Anspruch nicht besteht.


Den Volltext der Entscheidung finden Sie hier:

AG Pforzheim: 1.500 EURO Schadensersatz aus Art. 82 DSGVO wegen unberechtigter Weitergabe von Name und Adresse

AG Pforzheim
Urteil vom 27.01.2022
2 C 381/21


Das AG Pforzheim hat in diesem Fall dem Betroffenen 1.500 EURO Schadensersatz aus Art. 82 DSGVO wegen der unberechtigten Weitergabe von Name und Adresse zugesprochen.

Aus den Entscheidungsgründen:
Durch die Weitergabe des Namens und der Adresse des Klägers ohne dessen Einwilligung an das Abrechnungszentrum Dr. G. hat die Beklagte gegen Art. 6 Abs. 1 DS-GVO verstoßen und des weiteren pflichtwidrig den Kläger hierüber nicht nach Art. 14 Abs. 1 DSGVO informiert. Aufgrund dessen steht dem Kläger ein Schadensersatzanspruch gem. Art. 82 Abs. 1 DS-GVO zu, wobei das Gericht einen Betrag in Höhe von 1.500,- € (zuzüglich 4,- € für Mahnkosten) für angemessen, aber auch ausreichend hält. Hierbei wurde zum einen berücksichtigt, dass sich der von der Beklagten begangene Verstoß nicht als besonders schwerwiegend darstellt, insbesondere keinerlei Anhaltspunkte für ein systematisches Vorgehen oder gar eine Schädigungs- oder Bereicherungsabsicht erkennen lassen. Andererseits sieht das Gesetz einen Ausschluss vermeintlicher Bagatellschäden nicht vor (s. hierzu sowie zum folgenden Kühling-Buchner, DS-GVO, Art. 82, Rd.-Nr. 18 a ff.). Vielmehr ist der Schadensbegriff der DS-GVO weit auszulegen und, da es sich um einen europarechtlichen Anspruch handelt, nicht mit den bisher in Deutschland üblichen Beträgen für einen Immateriellen Schadensersatz zu vergleichen. Um die geforderte Abschreckung zu erreichen, muss der zuzusprechende Schadensersatz über einen rein symbolischen Betrag hinaus gehen. Unter Berücksichtigung all dessen erachtet das Gericht einen Betrag in Höhe von 1.500,- € für insgesamt angemessen.

Weitergehende Ansprüche stehen dem Kläger nicht zu. Insbesondere kann er sich nicht darauf berufen, die Beklagte hätte auch im Folgenden unerlaubt seine geschützten personenbezogenen Daten weitergegeben bzw. verarbeitet, so dass ihm auch aufgrund dessen ein (höherer) Schadensersatzanspruch zustünde bzw. ein weiterer, über das Schreiben der Beklagten vom 21.04.2020 hinausgehender, Auskunftsanspruch. Denn die DSGVO gilt gem. Art. 2 Abs. 1 nur für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Die Voraussetzungen für diesen sachlichen Anwendungsbereich der DS-GVO sind im Übrigen jedoch weder ersichtlich noch hinreichend vorgetragen. Die Beklagte mag weitere Daten des Klägers an dessen geschiedene Ehefrau mitgeteilt haben; dies alleine - nämlich ohne automatisierte Verarbeitung oder Speicherung in einem Dateisystem - fällt jedoch eben nicht in den Anwendungsbereich der DS-GVO. Eine Weitergabe von Daten an ihren Prozessbevollmächtigten läge darüber hinaus in ihrem anerkennungswerten berechtigten Interesse, Art. 6 Abs. 1 Satz 1 f DS-GVO.


Den Volltext der Entscheidung finden Sie hier:


OLG Frankfurt: Schadensersatzanspruch aus Art. 82 DSGVO erfordert Nachweis eines konkreten Schadens - aus Art. 17 DSGVO ergibt sich auch ein Unterlassungsanspruch

OLG Frankfurt
Urteil vom 02.03.2022
13 U 206/20


Das OLG Frankfurt hat entschieden, dass ein Schadensersatzanspruch aus Art. 82 DSGVO den Nachweis eines konkreten Schadens erfordert. Zudem führt das Gericht aus, dass sich aus Art. 17 DSGVO auch ein Unterlassungsanspruch ergibt.

Aus den Entscheidungsgründen:

Hinsichtlich der Verurteilung im Hinblick auf den Unterlassungsanspruch ist die Berufung der Beklagten hingegen unbegründet.

Dem Kläger steht ein Anspruch gegen die Beklagte auf Unterlassung der Verarbeitung seiner personenbezogenen Daten zu, sofern diese in der Form erfolgt wie mit der Nachricht vom 23.10.2018 an einen Dritten. Dies ergibt sich aus Art. 17 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, ABl. 2016 L 119 S. 1, berichtigt in ABl. 2016 L 314 S. 72 und ABl. 2018 L 127 S. 2; im Folgenden: DS-GVO), wie zwischenzeitlich höchstrichterlich geklärt wurde (vgl. BGH, Urteile vom 12.10.2021 - VI ZR 488/19 - VI ZR 489/19 -, jeweils Rn. 10, juris; BGH, Urteil vom 27. Juli 2020 - VI ZR 405/18, BGHZ 226, 285 Rn. 20, 23 [zur Auslistung]; BSGE 127, 181 Rn. 13), so dass ein Rückgriff auf §§ 823 Abs. 1 i.V.m. 1004 BGB nicht erforderlich ist, um einen lückenlosen Individualrechtsschutz hinsichtlich der Verarbeitung personenbezogener Daten von natürlichen Personen zu gewährleisten (so noch: OLG Dresden, Urteil vom 14. Dezember 2021 - 4 U 1278/21 -, Rn. 47, juris; OLG München, Urteil vom 19. Januar 2021 - 18 U 7243/19 Pre -, Rn. 62, 65, juris).

Die Voraussetzungen des sich aus Art. 17 Abs. 1 DS-GVO (auch) ergebenden Unterlassungsanspruchs sind erfüllt.

Die DS-GVO ist vorliegend anwendbar, da sie seit dem 25.5.2018 (Art. 99 Abs. 2 DS-GVO) unmittelbar in jedem Mitgliedstaat der Europäischen Union Geltung erlangt hat (BGH, Urteil vom 27. Juli 2020 - VI ZR 405/18 -, BGHZ 226, 285-310, Rn. 110 - 13).

Die Beklagte hat durch die Übermittlung der Nachricht vom 23.10.2018 „personenbezogene Daten" des Klägers im Sinne von Art. Art. 4 Nr. 1 DS-GVO an einen Dritten offenbart. Insoweit sind der Name, das Geschlecht, die Tatsache des laufenden Bewerbungsverfahrens und die Gehaltsvorstellung des Klägers als personenbezogene Daten anzusehen.

Sofern die Beklagte dies hinsichtlich der Anrede „Herr B" verneint, vermag der Senat dem nicht zu folgen, da der Name in der Legaldefinition sogar ausdrücklich erwähnt wird. Art. 4 Nr. 1 DS-GVO benennt beispielhaft Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, der Name wird im Rahmen der alternativen Aufzählung an erster Stelle aufgeführt.

Nach der Definition sind „personenbezogene Daten" alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann. Der Begriff der "personenbezogenen Daten" nach Art. 4 DS-GVO ist damit weit gefasst und umfasst nach der Legaldefinition alle Informationen, die sich auf eine identifizierbare natürliche Person beziehen.

Unter die Vorschrift fallen damit neben Identifikationsmerkmalen und äußeren Merkmalen auch sachliche Informationen wie etwa Vermögens- und Eigentumsverhältnisse, Kommunikations- und Vertragsbeziehungen und alle sonstigen Beziehungen der betroffenen Person zu Dritten und ihrer Umwelt (Klar/Kühling in Kühling/Buchner, DS-GVO/BDSG, Art. 4 DS-GVO Rn. 8; Ernst in: Paal/Pauly, DS-GVO/BDSG, Auflage 2021, Art. 4 Rn. 14; OLG Köln, Urteil vom 26. Juli 2019 - I-20 U 75/18 -, Rn. 304, juris).

Die hier offenbarten Informationen, nämlich der Nachname des Klägers und sein der Anrede zu entnehmendes Geschlecht, sowie die aus der Nachricht herauslesbaren Angaben, insbesondere die Tatsache eines laufenden Bewerbungsprozesses bei der Beklagten, stellen persönliche Informationen dar. Auch die Gehaltsvorstellung des Klägers, die sich aus der angegebenen Gehaltsobergrenze der Beklagten rückschließen lässt, stellt eine sachliche Information dar. Dabei kann die Angabe „80k + variable Vergütung" nicht mit Angaben in einer Stellenanzeige gleichgesetzt werden, wie es die Berufung meint. Eine dahingehende Interpretation lässt den Kontext der Nachricht außer Acht. Dort wird ausdrücklich erwähnt, dass die Gehaltsvorstellungen des Klägers nicht erfüllt werden können und im Anschluss äußert die Beklagte ihrerseits eine Gehaltsobergrenze. Aus diesen beiden Angaben lassen sich Rückschlüsse auf die Gehaltsvorstellungen des Klägers ziehen.

Auch die Identifizierbarkeit ist zu bejahen. Dies gilt auch dann, wenn der Nachname häufig vorkommen sollte. Sofern die Beklagte einwendet, das Landgericht habe die Anlage B 3 und die darin aufgeführten weiteren Nutzer der Plattform Xing mit gleichem Nachnamen nicht hinreichend gewürdigt, verhilft dies der Berufung nicht zum Erfolg. Insoweit kann als zutreffend unterstellt werden, dass auf der Plattform Xing mehrere Personen den Nachnamen des Klägers tragen, dies hindert jedoch die Identifizierbarkeit nicht. Es ist insbesondere nicht erforderlich, dass sich alle zur Identifizierung der betreffenden Person erforderlichen Informationen in den Händen einer einzigen Person befinden (vgl. EuGH, Urteil vom 20. Dezember 2017 - Rs. C- 434/16, NJW 2018, 767, Nowak). Der Nachname ist ein gängiges Identifikationsmerkmal, es ist nicht erforderlich, dass die Identifikation „zweifelsfrei" ermöglicht wird, eine dahingehende Voraussetzung, die die Beklagte postulieren will, besteht nicht, da eine solche Einschränkung dem Text der Verordnung nicht zu entnehmen ist. Zudem ist es vorliegend dem Dritten unmittelbar gelungen, den Kläger zu identifizieren, da er sich nach Erhalt der Nachricht direkt an diesen gewandt hat. Auf die Frage, ob dem Adressaten der Nachricht die Identifikation des Klägers aufgrund der übermittelten Angaben möglich war, oder ob er, wie es die Berufung meint, auf dessen Antwort angewiesen war, kommt es für die Qualifikation als „personenbezogene Daten" i.S. d. Art. 4 Nr. 1 DS-GVO nicht an (zu Namensangaben: BGH, Urteil vom Oktober 2021 - VI ZR 489/19 -, Rn. 26, juris; zu Name, Geschlecht, Religion und Sprache: EuGH, Urteil vom 17.07.2014 - Rs. C-141/12, Rs. C-372/12, CR 2015, 103, 104).

Die Versendung einer Nachricht, fällt, sofern sie - wie hier - personenbezogene Daten enthält, in den sachlichen Anwendungsbereich der Datenschutz Grundverordnung (Art. 2 Abs. 1 DS-GVO).

Die Beklagte ist verantwortliche Stelle für die Verarbeitung von Daten und damit "Verantwortlicher" im Sinne von Art. 4 Nr. 7 DS-GVO (Ernst in: Paal/Pauly, a.a.O., Art. 4 Rn. 55).

Indem die Beklagte die Daten im Rahmen des Bewerbungsverfahrens erhebt, erfasst, ordnet, speichert und gegenüber Dritten offenlegt, "verarbeitet" sie diese Daten im Sinne von Art. 4 Nr. 2 DS-GVO. Danach ist eine „Verarbeitung" jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

Die Übermittlung der Nachricht mit den enthaltenen personenbezogenen Daten des Klägers an einen unbeteiligten Dritten stellt eine Verarbeitung seiner Daten in Form der beispielhaft genannten „Offenlegung durch Übermittlung" dar.

Die Berufung wendet ein, es handele sich vorliegend nicht um eine Verarbeitung, da mit dem versehentlichen „Klick", mit dem die Nachricht an den falschen Empfänger geschickt wurde, eine manuelle Handlung vorgenommen worden sei. Ein solches manuelles Verklicken stelle bereits keinen „Vorgang" im Sinne des Art. 4 Nr. 2 DS-GVO dar. Dies ist abzulehnen, da die Legaldefinition auch Vorgänge ohne Hilfe automatisierter Verfahren benennt und damit das manuelle Handeln ausdrücklich einschließt.

Auch die Versendung an einen zufälligen Adressaten schadet dabei nicht. Insoweit hat der Europäische Gerichtshof mit Urteil vom 25.11.2021 zu Inbox-Werbung klargestellt, dass eine „Verwendung elektronischer Post für die Zwecke der Direktwerbung" im Sinne der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) darstellt, ohne dass die Bestimmung der Empfänger dieser Nachrichten nach dem Zufallsprinzip von Bedeutung ist (EuGH, Urteil vom 25. November 2021 - C-102/20 -, juris). Dies gilt für die hier maßgebliche Nachricht in gleicher Weise.

Die Verarbeitung der personenbezogenen Daten des Klägers durch Versendung an einen in das Bewerbungsverfahren nicht eingebundenen Dritten war unrechtmäßig und insbesondere nicht von einer Einwilligung des Klägers erfasst. Durch den Umstand des Bewerbungsverfahrens hat der Kläger weder in die Verarbeitung seiner personenbezogenen Daten durch Offenlegung gegenüber Dritten gemäß Art. 6 Abs. a) DS-GVO eingewilligt noch sind die in Art. 6 b) bis f) genannten Voraussetzungen, etwa die Notwendigkeit der Weitergabe im Bewerbungsverfahren, diesbezüglich gegeben.

Auch die für eine Begründetheit des Unterlassungsanspruchs erforderliche Wiederholungsgefahr ist gegeben. Im Umfang des vorliegenden Datenschutzverstoßes besteht insofern eine tatsächliche Vermutung (Grüneberg/Herrler, BGB 81. Aufl., § 1004, Rn. 32), welche die Beklagte nicht widerlegt hat. Denn insofern vertritt sie weiterhin die Auffassung, dass es sich nicht um einen Datenschutzverstoß handelte, keine persönlichen Daten offenbart wurden und eine Unterlassungserklärung im Umfang des Klageantrages von ihr nicht geschuldet ist (ebenso: OLG Dresden, Urteil vom 14. Dezember 2021 - 4 U 1278/21 -, Rn. 47, juris).

Soweit der Klageantrag auch Daten erfasst, die nicht Gegenstand der Nachricht vom 23.10.2018 waren, ergibt sich die insofern erforderliche Erstbegehungsgefahr aus dem unstreitigen bzw. bewiesenen Sachverhalt. Denn die Beklagte beruft sich auf ein fahrlässiges „Verklicken" einer Mitarbeiterin im Rahmen der Kommunikation über Xing. Eine bewusste Auswahl hinsichtlich der weitergegebenen Daten erfolgte hierbei nicht, da die Weiterleitung an Herrn A ja unbeabsichtigt geschah und die Mitarbeiterin, Frau D, meinte, die Nachricht an den Kläger zu senden, was datenschutzrechtlich unbedenklich gewesen wäre. Solange die Beklagte nichts unternimmt, Fehler dieser Art künftig zu vermeiden, besteht daher die Gefahr entsprechender Datenschutzverstöße. Soweit hierbei andere von dem Kläger über Xing mitgeteilte Daten betroffen sind, besteht eine erstmals ernsthaft drohende Beeinträchtigung, was für eine Unterlassungsanspruch ausreichend ist (Grüneberg/Herrler, a.a.O.).

Mangels hinreichender Unterlassungserklärung, der es im Regelfall zur Widerlegung der Wiederholungs- bzw. der Erstbegehungsgefahr bedarf (OLG München, Urteil vom 19.1.2021 - 18 U 7243/19, Rn. 63 juris), besteht diese fort. Zwar lässt eine (ordnungsgemäße) Unterlassungsverpflichtungserklärung auch ohne Annahme durch den Gläubiger die Wiederholungsgefahr grundsätzlich entfallen; hierzu muss die Erklärung den Unterlassungsanspruch nach Inhalt und Umfang aber voll abdecken (BGH, Urteil vom 21.6.2005. VI ZR 122/04, Rn. 6, juris m.w.N.). Dies ist jedoch nicht der Fall, denn die strafbewehrte Unterlassungserklärung vom 4.3.2019 (Anlage K 5, Bl. 29 d.A.) beschränkte sich auf den genauen Wortlaut der streitgegenständlichen Nachricht. Vor neuen Verletzungshandlungen schützt sie daher nicht in ausreichender Weise.

Der Kläger muss nämlich insgesamt vor der rechtswidrigen Weitergabe seiner personenbezogenen Daten geschützt werden. Diese Gefahr besteht nicht nur im Hinblick auf die konkrete Nachricht, sondern auch hinsichtlich der Weitergabe seiner Angaben an Dritte in vergleichbarer Weise. Da die Begrenzung der Unterlassungserklärung auf den konkreten Wortlaut der Nachricht zu eng gefasst ist, ist die Berufung hinsichtlich des Unterlassungsanspruchs unbegründet.

Dass der konkrete Verstoß mit gleichem Wortlaut erneut erfolgen könnte, liegt angesichts der Individualität der Nachricht fern. Vergleichbare Verstöße hingegen, die bei nicht ausreichend sorgsamen Umgang mit persönlichen Daten drohen könnten, sind nicht ausgeschlossen. Sofern die Berufung einwendet, eine Wiederholung sei ausgeschlossen, da es sich um ein Augenblicksversagen einer Mitarbeiterin gehandelt habe, ist dies für die Bewertung der Wiederholungsgefahr nach Auffassung des Senats nicht der entscheidende Gesichtspunkt. Es obliegt der Beklagten als Verantwortliche für die von ihr verarbeiteten personenbezogenen Daten, ihre Mitarbeiter im Umgang ausreichend zu schulen (so auch: Golland, DSB 2020, 286-288; Gündel, Grundeigentum 2021, 1109-1111) sowie ggf. durch technische Maßnahmen vorhersehbare Fehlanwendungen zu vermeiden.

Insoweit hat das Landgericht richtigerweise Beweis erhoben durch Vernehmung des Zeugen E zu den seitens der Beklagten im Zusammenhang mit dem Rechtsverstoß ergriffenen Maßnahmen. Es ist dabei zu der Überzeugung gelangt, dass keine Schulungsmaßnahmen oder anderweitige Vorkehrungen von der Beklagten hinsichtlich der betreffenden Mitarbeiterin oder deren Kollegen veranlasst worden sind, die mit der notwendigen Sicherheit etwaige künftige Rechtsverstöße vermeiden und damit die Vermutung widerlegen könnten. Das Landgericht hat festgestellt, dass der Zeuge nicht bestätigen konnte, dass alle relevanten Mitarbeiter hinsichtlich des Umgangs mit personenbezogenen Daten geschult worden seien. Zwischen der streitgegenständlichen Nachricht und der Benachrichtigung des Zeugen lag ein Zeitraum von mehr als sechs Wochen, so dass auch eine unverzügliche Reaktion auf den Datenschutzverstoß seitens der Beklagten nicht festgestellt werden konnte. Zudem hat die Beweisaufnahme ergeben, dass neue Mitarbeiter der Beklagten nicht im Hinblick auf die Problematik geschult werden, sondern lediglich eine Erklärung abgeben müssen, dass sie die Datenschutzbestimmungen einhalten werden.

Der Senat teilt die Einschätzung des Landgerichts, wonach diese Maßnahmen nicht ausreichen, um eine Wiederholungsgefahr auszuschließen. Denkbar wären Schulungsmaßnahmen zwecks Sensibilisierung der Mitarbeiter hinsichtlich konkreter Fehlerquellen oder die Vorgabe anderer Kommunikationswege als die direkt über das Portal Xing zugeleitete Nachricht, die ein hohes Risiko der Falschadressierung birgt. Die Berufung greift die Feststellungen des Landgerichts zum Ergebnis der durchgeführten Beweisaufnahme nicht an.

Die Wiederholungsgefahr entfällt schließlich auch nicht teilweise im Umfang der abgegebenen Erklärung. Zwar sind - im Falle einer sachlich teilbaren Wiederholungsgefahr - Teilunterwerfungserklärungserklärungen möglich (BGH, Urteil vom 21.6.2005, a.a.O). Dies ist vorliegend jedoch nicht in relevanter Weise gegeben. Denn ein nochmaliges Versenden der gleichen Nachricht, was allein Gegenstand der abgegebenen Unterlassungserklärung ist, steht nicht in Rede. Zwar sind Unterlassungserklärungen der Auslegung zugänglich. Eine Auslegung dahingehend, dass die Beklagte sich strafbewehrt zur Unterlassung jeder künftigen Verletzung der in der Nachricht vom 23.10.2018 gegenständlichen Daten (Nachname, Geschlecht, Umstand der Bewerbung, Gehaltsvorstellung) verpflichtet hat, lässt sich dieser aufgrund des ausdrücklich eng beschränkten Wortlauts jedoch nicht entnehmen. Hiergegen spricht zudem die von der Beklagten nach wie vor vertretenen Auffassung, es liege überhaupt kein Datenschutzverstoß vor und sie dürfe die genannten Daten daher weiterverarbeiten.

Die Geltendmachung des Anspruchs innerhalb eines angemessenen Zeitraums nach dem Verstoß ist nicht zu beanstanden. Das Abwarten des Bewerbungsprozesses ist nicht rechtsmissbräuchlich. Der Anspruchsinhaber darf die Durchsetzung seines Rechts zunächst zurückstellen, ohne dass die sich anschließende Geltendmachung als missbräuchlich darstellt. Die Enttäuschung über die Nichtberücksichtigung im Bewerbungsverfahren mag für die Geltendmachung des Unterlassungsanspruchs mitursächlich sein, den Einwand des Rechtsmissbrauchs vermag sie nicht auszulösen.

Im Hinblick auf den zugesprochenen Schadenersatzanspruch hat die Berufung der Beklagten Erfolg, zugleich ist der Anschlussberufung des Klägers der Erfolg zu versagen, da die Zahlungsklage unbegründet ist.

Dem Kläger steht kein Anspruch aus Art. 82 DS-GVO gegen die Beklagte auf Ersatz des von ihm geltend gemachten immateriellen Schadens im Zusammenhang mit der rechtswidrigen Datenverarbeitung zu.

Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde, Art. 82 Abs. 2 Satz 1 DSGVO. Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist, Art. 82 Abs. 3 DSGVO.

Die Voraussetzungen für einen Geldentschädigungsanspruch in Bezug auf einen dem Kläger zugefügten immateriellen Schaden liegen nach Auffassung des Senats nicht vor, da es jedenfalls an der Darlegung des Eintritts eines Schadens bei dem Kläger fehlt.

Zwar liegt, wie ausgeführt, ein Verstoß durch Übermittlung von personenbezogenen Daten an einen unbeteiligten Dritten vor. Zudem ist das Landgericht auch richtigerweise zusätzlich von einem Verstoß gegen Art. 34 Abs. 1 DS-GVO ausgegangen und hat ein durch die Verletzung des Schutzes personenbezogener Daten voraussichtlich hohes Risiko für die persönlichen Rechte und Freiheiten angenommen. Die Information des Klägers über den Datenschutzverstoß erfolgte nicht unverzüglich, sondern erst auf dessen Nachfrage.

Die Frage, ob bereits der Datenschutzverstoß als solcher für das Entstehen eines Schadensersatzanspruchs ausreicht oder es darüber hinaus der Darlegung und des Nachweises eines konkreten (auch: immateriellen) Schadens bedarf, ist in Rechtsprechung und Literatur umstritten (für ein Ausreichen des Eingriffs in das allgemeine Persönlichkeitsrecht: z.B. OLG München, Urteil vom 4.2.2019 - 15 U 3688/18 -, juris, Rn. 19 ff., Ehmann/Selmayr/Nemitz, Datenschutz-Grundverordnung, 2. Aufl., Art. 82 DS-GVO Rn. 11-13; für das Erfordernis eines nachgewiesenen Schadens z.B. LAG Baden-Württemberg, Urt. v. 25.02.2021, 17 Sa 37/20, zit. nach juris, Rn. 96, LG Karlsruhe, Urt. v. 02.08.2019, 8 O 26/19, zit. nach juris, Rn. 19, Ernst, juris PR-ITR 1/2021 Anm. 6 in einer Anmerkung zu dem vorliegend angefochtenen Urteil des Landgerichts Darmstadt v. 26.05.2020, 13 O 244/19, m.w.N.). Insbesondere von den Verfechtern eines Anspruchs ohne Nachweis eines konkreten Schadens wird zudem vertreten, dass die Beeinträchtigung über eine bloße Bagatellverletzung hinausgehen muss (vgl. hierzu die Quellenangaben bei Ernst, a.a.O.).

Sowohl der österreichische Oberste Gerichtshof (Vorabentscheidungsersuchen vom 12.05.2021, ZD 2021, S. 631, wobei der Gerichtshof die Auffassung vertritt, es sei der Nachweis eines Schadens erforderlich) als auch das Bundesarbeitsgericht (Vorabentscheidungsersuchen vom 26.08.2021, 8 AZR 253/20-A, wobei das BAG den Nachweis eines Schadens nicht für notwendig hält) haben die hiermit zusammenhängenden Fragen dem Europäischen Gerichtshof zur Vorabentscheidung vorgelegt.

Der Senat folgt im Ergebnis der Auffassung, wonach über den festgestellten Verstoß gegen die Vorschriften des DS-GVO hinaus Voraussetzung für eine Entschädigung in Geld der Nachweis eines konkreten (auch immateriellen) Schadens ist. Hierfür spricht zunächst bereits der Wortlaut von Art. 82 Abs. 1 DS-GVO, der über den Verstoß hinaus ausdrücklich die Entstehung eins Schadens („...Schaden entstanden ist") voraussetzt (Eichelberger, WRP 2021, 159-167; Wybitul/Brams, ZD 2020, 644-646). Hätte der Verordnungsgeber eine nur an den Rechtsverstoß anknüpfende, vom Nachweis eines konkreten Schadens unabhängige Zahlungspflicht anordnen wollen, hätte es demgegenüber nahegelegen, dies - wie z.B. im Luftverkehrsrecht gem. Art. 7 Abs. 1 FluggastrechteVO (EG) 261/2004 - durch Pauschalen zu regeln (Eichelberger, aaO. Rn. 24). In dem Erwägungsgrund 146 S. 3 zu der DS-GVO heißt es zwar, dass der Begriff des Schadens im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden soll, die den Zielen der Verordnung in vollem Umfang entspricht. Der Anspruch soll nach Erwägungsgrund 146 S. 6 sicherstellen, dass die betroffenen Personen einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten. Das schließt ein, dass Schadensersatzforderungen abschrecken und weitere Verstöße unattraktiv machen sollen. Der Begriff des Schadens in Art. 82 DSGVO ist autonom auszulegen, mithin kommt es nicht darauf an, ob ein bestimmter Schaden nach nationalem Recht als Schaden angesehen werden könnte (Bergt in: Kühling/Buchner, DS-GVO BDSG, 3. Aufl. 2020, Art. 82 Rn. 17; vgl. in diesem Zusammenhang auch: BVerfG 14.1.2021 - 1 BvR 2853/19 - Rn. 20, juris).

Auch hiernach ist der Schaden jedoch nicht mit der zugrundeliegenden Rechtsgutsverletzung gleichzusetzen. Denn ausdrücklich muss der Schaden „erlitten" werden, woraus folgt, dass dieser tatsächlich entstanden sein muss und nicht lediglich befürchtet wird (LAG Baden-Württemberg, Urte. v. 25.02.2021, 17 Sa 37/20, zit. nach juris, Rn. 96 unter Bezug auf Frenzel in: Paal/Pauly, a.a.O., Art. 82, Rn. 10 und Klein GRUR-Prax 2020, 433). Der bloße Verstoß gegen Bestimmungen der DS-GVO reicht daher nicht aus.

Hinzu kommt schließlich, dass weder Art. 82 DS-GVO noch dessen Erwägungsgründe einen Hinweis darauf enthalten, dass geringfügige (Bagatellschäden) nicht auszugleichen wären; vielmehr sieht Erwägungsgrund 148 Satz 2 vor, dass lediglich ausnahmsweise bei geringfügigen Verstößen auf die Verhängung einer Geldbuße verzichtet werden kann (LAG Baden-Württemberg, a.a.O. m.w.N.).

Das Erfordernis des Nachweises eines tatsächlich erlittenen Schadens ist daher auch der Sache nach erforderlich, um ein vom Verordnungsgeber nicht gewolltes Ausufern von Schadensersatzforderungen in allen Fällen eines - tatsächlich für den Betroffenen folgenlosen - Datenschutzverstoßes zu vermeiden (so insbesondere auch Ernst, a.a.O.).

Das Vorliegen eines konkreten -immateriellen- Schadens, wozu auch Ängste, Stress sowie Komfort- und Zeiteinbußen zählen (Bergt in: Kühling/Buchner, DS- GVO BDSG, 3. Auflage 2020, Rn. 18 b), hat der Kläger nicht dargetan. Der Vortrag in seinem auf einen entsprechenden Hinweis des Senats eingereichten Schriftsatz vom 11.1.2022 (Bl. 326 ff. d. A.) erschöpft sich in der - erneuten- Darlegung des Datenschutzverstoßes. Insofern führt der Kläger an, dass der Schaden nicht in dem bloßen, abstrakten Kontrollverlust über die offenbarten Daten, sondern in der Tatsache liege, dass nunmehr mindestens eine weitere Person, die den Kläger und potentielle wie ehemalige Arbeitgeber kenne, über Umstände Kenntnis habe, die der Diskretion unterlägen. Zudem empfinde der Kläger das „Unterliegen" in den Gehaltsverhandlungen als Schmach, die er nicht an Dritte - vor allem nicht an potentiellen Konkurrenten - weitergegeben hätte.

Nähere Ausführungen zu einem Schaden erfolgen klägerseits nicht. Selbst bei Unterstellung einer „Schmach", vermag der Senat diese nicht als einen immateriellen Schaden zu bewerten. Denn der Kläger hat schon nicht mitgeteilt, welche Größenordnung des Gehaltsrahmens angestrebt, ob die angebotene Summe, die durch variable Anteile ohnehin nicht die Obergrenze bildete und im noch laufenden Bewerbungsverfahren vorläufig war, mit einer Diskreditierung verbunden war.

Dem Kläger steht ein Anspruch auf Erstattung vorgerichtlicher Rechtsanwaltskosten aus dem Gegenstandswert der berechtigt geltend gemachten Unterlassungsansprüche und damit aus der Gebührenstufe bis 15.000,- € zu. Die Hinzuziehung eines Rechtsanwalts war notwendig, da es sich um schwierige Rechtsfragen handelt, für deren Klärung eine anwaltliche Beratung erforderlich ist. Der Anspruch beläuft sich gemäß §§ 2 Abs. 2, 13 RVG Nr. 2300 VV RVG auf 1.029,35 €. Da die Anschlussberufung den erstinstanzlich zuerkannten Betrag von 1.025,55 € nicht angreift, hat es bei diesem zu verbleiben.

Entgegen der Ansicht der Beklagten ist der Senat nicht gehalten, das vorliegende Verfahren auszusetzen und die Sache dem EuGH zur Vorabentscheidung nach Art. 267 Abs. 2, 1 AEUV über die Auslegung von Art. 15 DS-GVO vorzulegen.

Die hier maßgeblichen Rechtsfragen liegen dem EuGH bereits in anhängigen Verfahren (BAG, EuGH-Vorlage vom 26. August 2021 - 8 AZR 253/20 (A) -, Rn. 33, juris; Vorabentscheidungsersuchen des Obersten Gerichtshofs (Österreich) eingereicht am 12. Mai 2021 - juris) vor. Zudem besteht eine Pflicht zur Vorlage nach Art. 267 Abs. 3 AEUV im vorliegenden Verfahren schon deshalb nicht, weil das vorliegende Urteil hier nicht als Entscheidung eines Gerichts ergeht, dessen Entscheidungen selbst im Sinne von Art. 267 Abs. 3 AEUV nicht mehr mit Rechtsmitteln des innerstaatlichen Rechts angefochten werden können. Dem Kläger steht es infolge der diesbezüglich zuzulassenden Revision - dazu unten - frei, die Entscheidung durch den Bundesgerichtshof überprüfen zu lassen (s. OLG Köln, Urteil vom 26. Juli 2019 - I-20 U 75/18 -, Rn. 328, juris).


Den Volltext der Entscheidung finden Sie hier:





OLG Düsseldorf: 2.000 EURO Schadensersatz aus Art. 82 Abs. 1 DSGVO wenn Krankenkasse Gesundheitsakte an falsche E-Mail-Adresse schickt

OLG Düsseldorf
Urteil vom 28.10.2021
16 U 275/20


Das OLG Düsseldorf hat dem Betroffenen in diesem Fall Schadensersatz aus Art. 82 Abs. 1 DSGVO in Höhe von 2.000 EURO zugesprochen. Die Krankenkasse des Betroffenen hatte die Gesundheitsakte an eine falsche E-Mail-Adresse geschickt. Die Gesundheitsakte war dabei auch nicht verschlüsselt.

Aus den Entscheidungsgründen:

Die zulässige Leistungsklage ist jedoch in der Hauptsache nur im Umfang von 2.000,- € auch begründet.

aa) Aufgrund der vom Zeugen A. an die falsche E-Mail-Adresse versandten Gesundheitsakte der Klägerin hat diese gegen die Beklagte infolge eines durch den fehlerhaften Versand erlittenen immateriellen Schadens einen Anspruch auf Schadensersatz aus Art. 82 Abs. 1 DSGVO. Gemäß Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen die Verordnung ein immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen. Verantwortlich im Sinne von Art. 4 Nr. 7 DSGVO für die Verarbeitung der Gesundheitsdaten der Klägerin ist die Beklagte als deren gesetzliche Krankenkasse.

(1) Es kann dahinstehen, ob Art. 82 Abs. 1 DSGVO für das sozialrechtliche Rechtsverhältnis zwischen der Klägerin und der Beklagten unmittelbar gilt. So kann die sachliche Anwendbarkeit der DSGVO gemäß Art. 2 Abs. 2 a) DSGVO zweifelhaft sein, weil zwar Art. 16 Abs. 2 Satz 1 AEUV eine Gesetzgebungskompetenz der Europäischen Union für den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten begründet, zugleich aber Art. 168 Abs. 7 Satz 1 AEUV die Verantwortung der Mitgliedstaaten für die Festlegung ihrer Gesundheitspolitik und für die Organisation des Gesundheitswesens und die medizinische Versorgung unberührt lässt. Selbst wenn die DSGVO auf das Rechtsverhältnis der Klägerin zu ihrer gesetzlichen Krankenkasse nicht unmittelbar anwendbar sein sollte, so wären ihre Vorschriften gemäß § 35 Abs. 2 Satz 2 SGB I jedenfalls entsprechend anzuwenden (siehe BSG, Urteile vom 20. Januar 2021 – B 1 KR 7/20 R, juris, Rn. 25-28, vom 8. Oktober 2019 – B 1 A 3/19 R, juris, Rn. 37, und vom 18. Dezember 2018 – B 1 KR 40/17 R, juris, Rn. 29) und zwar auch auf Datenverarbeitungsvorgänge, welche nicht den Voraussetzungen von Art. 2 Abs. 1 DSGVO entsprechen (vgl. Schifferdecker, in: Kasseler Kommentar Sozialversicherungsrecht, Stand: 114. EL Mai 2021, § 35 SGB I Rn. 86: „Datensammlung auf Notizzettel“). Dadurch wird sichergestellt, dass sämtliche Tätigkeitsbereiche, in denen Sozialdaten verarbeiten werden, demselben datenschutzrechtlichen Regime unterliegen (Greiner, in: Knickrehm/Kreikebohm/Waltermann, Kommentar zum Sozialrecht, 7. Aufl., § 35 SGB I Rn. 3).

(2) Art. 82 Abs. 1 DSGVO, auf den die Klägerin ihr Klagebegehren stützt, ist auch nicht deshalb unanwendbar, weil es bei der von der Beklagten an das falsche E-Mail-Konto versandten Gesundheitsakte um eine Verbreitung personenbezogener Daten geht, die den Schutzbereich des allgemeinen Persönlichkeitsrechts betreffen.

Nach Auffassung des Senats ist die ungewollte Preisgabe von Daten, über die hier zu befinden ist, dem Recht auf informationelle Selbstbestimmung als eigenständigem Teilgehalt des allgemeinen Persönlichkeitsrechts zuzuordnen. Davon zu unterscheiden ist die sichtbare Verbreitung bestimmter Informationen im öffentlichen Raum als Ergebnis eines Kommunikationsprozesses, die den äußerungsrechtlichen Ausprägungen des allgemeinen Persönlichkeitsrechts zuzuordnen ist (siehe BVerfG, Beschluss vom 6. November 2019 – 1 BvR 16/13, juris, Rn. 79-91; Senatsbeschlüsse vom 16. März 2021 – I-16 U 317/20, und vom 16. Februar 2021 – I-16 U 269/20, juris, Rn. 7). Dies zugrunde gelegt, steht eine Eröffnung des Schutzbereichs des allgemeinen Persönlichkeitsrechts aus Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG der Anwendung des Art. 82 Abs. 1 DSGVO hier nicht entgegen, weil es in seiner Ausprägung als Recht auf informationelle Selbstbestimmung betroffen ist, dessen Schutz die datenschutzrechtlichen Regelungen der DSGVO dienen. In der auf einem Schreib- oder Tippfehler beruhenden Versendung der Gesundheitsakte an ein falsches E-Mail-Postfach liegt eine schlichte Preisgabe von Daten ohne ein kommunikatives Ziel. Dies gilt zumal im Hinblick auf den Inhaber des E-Mail-Postfachs, an den die Akte nicht versandt werden sollte. Mit einem Kommunikationsprozess hat die versehentliche Datenpreisgabe nur peripher insofern zu tun, als ihr ein Telefongespräch zwischen der Klägerin und dem Zeugen A. vorausgegangen ist. Für die Eröffnung des Schutzbereichs des allgemeinen Persönlichkeitsrechts in seiner äußerungsrechtlichen Ausprägung reicht das indes nicht aus.

(3) In dem Versand der E-Mail mit der Gesundheitsakte der Klägerin an das falsche E-Mail-Postfach liegt ein Verstoß gegen die DSGVO. Eine Datenverarbeitung, zu der gemäß Art. 4 Nr. 2 DSGVO auch die Offenlegung durch Übermittlung gehört, ist nach der DSGVO nur rechtmäßig, wenn die betroffene Person gemäß Art. 6 Abs. 1 Satz 1 lit. a) DSGVO ihre Einwilligung zu der Verarbeitung gegeben hat oder eine der übrigen in Art. 6 Abs. 1 Satz 1 DSGVO normierten Rechtmäßigkeitsvoraussetzungen vorliegt. Dies ist hier im Hinblick auf den Versand der E-Mail mit der ihr angefügten Gesundheitsakte der Klägerin an die E-Mail-Adresse „B2@fff.de“ jeweils nicht der Fall (siehe für eine vergleichbare Konstellation auch LG Darmstadt, Urteil vom 26. Mai 2020 – 13 O 244/19, juris, Rn. 43 ff.). Die Klägerin hat in die Übersendung an dieses fremde E-Mail-Postfach nicht eingewilligt und es liegen auch keine anderen normierten Rechtmäßigkeitsvoraussetzungen für diese Übersendung vor.

(4) Weitere Datenschutzverstöße zulasten der Klägerin lassen sich hingegen nicht feststellen.

(a) Die vom Landgericht angenommene Verletzung des Art. 32 DSGVO ist nicht zu bejahen. Anders als das Landgericht vermag der Senat aus dem Fehler beziehungsweise Fehlverhalten eines einzelnen Mitarbeiters nicht den Rückschluss zu ziehen, dass die Beklagte kein nach Art. 32 DSGVO ausreichendes Datenschutzniveau implementiert hatte. Weitere für einen solchen Schluss notwendige Anknüpfungstatsachen hat die insoweit darlegungs- und beweisbelastete Klägerin weder ausreichend vorgetragen noch unter Beweis gestellt.

(b) Soweit das Landgericht zudem als einen Datenschutzverstoß der Beklagten beanstandet, dass der Zeuge A. die E-Mail unverschlüsselt und mit unverschlüsselter bzw. nicht pseudonymisierter Gesundheitsakte als Anhang versandt hat, überzeugt auch das nicht. Ein Datenschutzverstoß durch diese Form der Versendung liegt aufgrund einer Einwilligung der Klägerin nach Art. 6 Abs. 1 Satz 1 lit. a) DSGVO nicht vor. Eine Einwilligung ist nach Art. 4 Nr. 11 DSGVO jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Diese Voraussetzungen liegen hier vor.

(aa) Die Klägerin hat unmissverständlich zum Ausdruck gebracht, dass sie mit der Übersendung der Gesundheitsakte per E-Mail einverstanden ist. Im Verlauf des Gesprächs mit dem Zeugen A. teilte sie dem Zeugen ihre E-Mail-Adresse mit. Das konnte dieser nicht anders verstehen und kann auch objektiv nicht anders verstanden werden, als dass die Klägerin die Gesundheitsakte schließlich doch per E-Mail übersandt erhalten wollte. Dabei musste ihr zugleich klar sein, dass diese Übersendung weder verschlüsselt noch in pseudonymisierter Form erfolgen würde. Über solche besonderen Formen der Versendung hatte die Klägerin mit dem Zeugen nicht gesprochen. Entsprechende Wünsche hatte sie nicht geäußert. Ein für die Entschlüsselung notwendiges Passwort war nicht ausgetauscht worden.

(bb) Der wirksamen Einwilligung steht nicht deren fehlende Freiwilligkeit entgegen. Freiwilligkeit wäre zu verneinen, wenn die Erklärung entgegen Erwägungsgrund 42 Satz 5 DSGVO von der Klägerin unter Druck oder Zwang abgegeben worden wäre (vgl. Schulz, in: Gola, DS-GVO, 2. Aufl., Art. 7 Rn. 21). Das war hier indes nicht der Fall. Die Klägerin hatte ungeachtet des nachdrücklichen Werbens des Zeugin A. für den von ihm favorisierten E-Mail-Versand die Möglichkeit, auch ihm gegenüber auf einem Postversand zu bestehen. Sie musste sich der von ihm favorisierten Lösung nicht beugen. Wie sie im Rahmen ihrer informatorischen Anhörung durch den Senat bekundet hat, hatte der Zeuge, der überdies nicht mehr als ein erster Ansprechpartner der Beklagten in der Servicehotline war, den Postversand nicht per se ausgeschlossen. Er hatte nur darauf hingewiesen, dass dieser nicht mehr bis Weihnachten möglich sei. Den sich für die Klägerin aus den nahenden Weihnachtsfeiertagen ergebenden zeitlichen Druck kann sie der Beklagten jedoch nicht entgegenhalten. Diesen hatte sie selbst zu verantworten, weil sie nach dem Gespräch mit dem Versicherungsmakler am 27. November 2018 erst am 14. Dezember 2018 Kontakt zur Beklagten aufgenommen hatte. Es lässt sich auch nicht feststellen, dass die Erklärung des Zeugen A. zur Dauer des Postversands unzutreffend war. Aus dem späteren sehr kurzfristigen Postversand der Gesundheitsakte an die Klägerin ergibt sich nichts anderes. Dieser fand unter besonderen Umständen statt, weil er in die Zeit nach Bekanntwerden des Datenschutzverstoßes zulasten der Klägerin fiel. Es ist nicht auszuschließen, dass die Beklagte die Klägerin ab diesem Zeitpunkt zuvorkommend behandelt und ihre Abläufe beschleunigt hat.

(cc) Der wirksamen Einwilligung der Klägerin steht ebenfalls nicht entgegen, dass sie diese nicht in informierter Weise erklärt hatte. Das Merkmal der Erklärung der Einwilligung in informierter Weise verlangt, dass die betroffene Person abschätzen können muss, welche Auswirkungen die Erteilung der Einwilligung für sie hat (Buchner/Kühling, in: dies., DS-GVO/BDSG, 3. Aufl., Art. 7 Rn. 59). Nach ihrer informatorischen Anhörung hat der Senat nicht die geringsten Zweifel, dass die Klägerin die Problematik und die Gefahren einer unverschlüsselten Versendung ihrer nicht pseudonymisierten Gesundheitsakte erkannt hat. Die Sensibilität der Klägerin für die Gefahren elektronischer Kommunikation wurde anhand ihrer Äußerungen im Rahmen ihrer informatorischen Anhörung sehr deutlich. Sie hat ihre Bedenken gegen die vom Zeugen A. vorgeschlagene Übermittlung, wie sie bekundet hat, schließlich aber zurückgestellt, weil ihr daran gelegen war, die Gesundheitsunterlagen bis Weihnachten zu erhalten.

(dd) Soweit das Landgericht im Zuge seiner Prüfung des Art. 32 DSGVO angenommen hat, ein Verzicht auf ein verschlüsseltes Versenden von Daten sei nach der DSGVO nicht möglich, überzeugt das im Hinblick auf die von der Klägerin erklärte Einwilligung nicht. Die Einwilligung ist ein auf der privatautonomen Entscheidung des Betroffenen beruhender Rechtfertigungstatbestand. Es widerspräche der Privatautonomie, wenn die Einwilligung nicht zu einem Verzicht auf Anonymisierungs-, Pseudonymisierungs- sowie Verschlüsselungstechniken führen könnte (siehe auch Albers/Veit, in: Wolff/Brink, BeckOK Datenschutzrecht, 37. Ed., Stand: 01.05.2020, Art. 6 DS-GVO Rn. 26).

(c) Zutreffend hat das Landgericht allerdings keinen Datenschutzverstoß in der E-Mail-Weiterleitung innerhalb der beklagten Krankenkasse gesehen, weil hierbei keine Einsichtnahme durch Dritte möglich war. Insoweit kann auf die diesbezüglich zutreffenden Gründe der angefochtenen Entscheidung Bezug genommen werden.

(5) Infolge des in dem E-Mail-Versand an das falsche E-Mail-Postfach liegenden Verstoßes gegen die Vorschriften der DSGVO hat die Klägerin einen immateriellen Schaden erlitten. Als immaterieller Schaden der Klägerin stellt sich die mit dem Verlust der Datenkontrolle verbundene seelisch belastende Ungewissheit über das Schicksal ihrer Daten dar. Dafür, dass darin ein immaterieller Schaden im Sinne von Art. 82 Abs. 1 DSGVO liegen kann, spricht nicht nur Erwägungsgrund 75 der DSGVO, wo dem Schadensbegriff auch der Verlust der Kontrolle über personenbezogene Daten zugeordnet wird. Dafür spricht auch, dass in den meisten Rechtsordnungen mit dem Begriff des immateriellen Schadens Schäden wie seelisches Leid oder Beeinträchtigungen der Lebensqualität erfasst werden (siehe Schlussanträge des Generalanwalts N. Wahl vom 25. Juli 2018 in den verbundenen Rechtssachen C-138/17 P und C-146/17 P, juris, Rn. 83) und der Europäische Gerichtshof ein vergleichbares Schadensverständnis auch für das Unionsprimärrecht vertritt. Der Gerichtshof verlangt dort zwar, dass ein Schaden tatsächlich und sicher sein muss (EuGH, Urteil vom 4. April 2017 – C-337/15, juris, Rn. 91), andererseits kann bereits ein lang anhaltender Zustand belastender Ungewissheit einen immateriellen Schaden darstellen (vgl. z.B. EuGH, Urteil vom 13. Dezember 2018 – C-138/17 u.a., juris, Rn. 61; EuG, Urteil vom 17. Dezember 1998 – T-203/96, juris, Rn. 108).

Dahinstehen kann hier, ob Voraussetzung eines Schadensersatzanspruchs nach Art. 82 Abs. 1 DSGVO ist, dass der durch den Datenschutzverstoß entstandene immaterielle Schaden ein gewisses Gewicht erreicht haben muss (siehe OLG Dresden, Beschluss vom 11. Juni 2019 – 4 U 760/19, juris, Rn. 13; siehe dazu auch OGH Österreich, Vorlagebeschluss vom 15. April 2021 – 6 Ob 35/21x = BeckRS 2021, 11950). Der der Klägerin hier entstandene immaterielle Schaden hat ausreichendes Gewicht. Sie hat nicht nur einen Bagatellschaden erlitten, der gegebenenfalls keines Ausgleichs nach Art. 82 Abs. 1 DSGVO bedürfte. Angesichts des Umfangs und der Bedeutung der Daten, über welche die Klägerin über viele Monate die Kontrolle verloren hat, und angesichts der Sorgen und Befürchtungen, unter denen sie aufgrund des Datenverlusts in dieser Zeit gelitten hat, ist eine etwaige Bagatellschwelle zweifelsfrei überschritten. Insoweit ist zu berücksichtigen, dass die DSGVO Gesundheitsdaten im Sinne von Art. 4 Nr. 15 DSGVO, wie sie hier betroffen sind, durch das grundsätzliche Verarbeitungsverbot in Art. 9 Abs. 1 DSGVO als besonders sensible Datenkategorie anerkennt. Es kommt hinzu, dass der hier betroffene Auszug aus der Gesundheitsakte der Klägerin nicht nur sehr umfangreich war, sondern auch höchst intime Gesundheitsinformationen enthielt.

bb) In der Höhe ist der dem Grunde nach hier zu bejahende Schadensersatzanspruch der Klägerin aus Art. 82 Abs. 1 DSGVO allerdings auf einen Betrag von 2.000,- € begrenzt.

(1) Für die Bemessung von Schadensersatzansprüchen nach Art. 82 Abs. 1 DSGVO enthält die DSGVO nur wenige Vorgaben. Aus dem Nebeneinander von materiellem und immateriellem Schaden folgt, dass auch solche Schäden auszugleichen sind, die sich nicht unmittelbar in Geld bemessen lassen. Nach Erwägungsgrund 146 Satz 3 sollte der Begriff des Schadens im Lichte der Rechtsprechung des Gerichtshofs zudem weit auf eine Art und Weise ausgelegt werden, die den Zielen der Verordnung in vollem Umfang entspricht. Nach Erwägungsgrund 146 Satz 6 sollten die betroffenen Personen einen vollständigen und wirksamen Schadensersatz für erlittene Schäden erhalten.

Hiernach hat sich der Schadensersatz zuvörderst an dem Ziel des Schadensausgleichs zu orientieren. Das gilt, weil die Vorschrift nicht zwischen den Schadensarten differenziert, auch im Falle immaterieller Schäden (siehe Eichelberger, WRP 2021, 159, 162 ff.). Darüber hinaus wird bei immateriellen Einbußen auch die Genugtuungsfunktion Bedeutung erlangen und als ein Umstand bei der Schadensbemessung berücksichtigt werden können, wenn die Umstände des konkreten Falles hierfür Anlass geben (vgl. auch Eichelberger, WRP 2021, 159, 165). Letztlich können – wie dies auch bei Art. 340 Abs. 2 AEUV der Fall ist (vgl. EuGH, Urteil vom 30. Mai 2017 – C-45/15 P, juris, Rn. 48) – für die Bemessung des Ersatzanspruchs für immaterielle Schäden nur die Umstände des konkreten Einzelfalls entscheidend sein. Zu berücksichtigen sein können etwa Art, Schwere und Dauer des Datenschutzverstoßes, das Verhalten des Verantwortlichen sowie die Auswirkungen des Verstoßes für den Betroffenen (siehe EuGH, Urteil vom 30. Mai 2017 – C-45/15 P, juris, Rn. 52, zu Art. 340 Abs. 2 AEUV). Solche Kriterien sind nach Art. 83 Abs. 2 Satz 2 DSGVO auch bei der Verhängung von Geldbußen für Datenschutzverstöße zu berücksichtigen. Bei der Ermittlung der danach angemessenen Art der Entschädigung und der Bestimmung des gegebenenfalls zuzuerkennenden Schadensersatzbetrags haben die Gerichte einen erheblichen Spielraum (vgl. für Art. 340 Abs. 2 AEUV Schlussanträge des Generalanwalts N. Wahl vom 25. Juli 2018 in den verbundenen Rechtssachen C-138/17 P und C-146/17 P, juris, Rn. 86), den sie nach billigem Ermessen füllen müssen (siehe für Art. 340 Abs. 2 AEUV EuG, Urteil vom 1. Februar 2017 – T-479/14, juris, Rn. 135, sowie Schlussanträge des Generalanwalts N. Wahl vom 25. Juli 2018 in den verbundenen Rechtssachen C-138/17 P und C-146/17 P, juris, Rn. 85 u. 101).

(2) Ausgehend hiervon sind hier jedenfalls die Kategorie der betroffenen personenbezogenen Daten, Art, Schwere und Dauer des Datenschutzverstoßes, die seelischen Auswirkungen bei der Klägerin, der Grad des Verschuldens, die ergriffenen Maßnahmen zur Minderung der Schadensfolgen sowie der Gesichtspunkt in den Blick zu nehmen, ob eine dauerhafte Beeinträchtigung der Herrschaft über die eigenen Daten und der seelischen Gesundheit verbleibt.

Die vorgenannten Umstände, insbesondere die psychischen Auswirkungen des Datenschutzverstoßes bei der Klägerin, sprechen in der Gesamtschau dafür, dass der ihr entstandene immaterielle Schaden nur durch eine Geldzahlung, nicht aber durch andere Maßnahmen wie etwa eine erklärte Entschuldigung vollständig ausgeglichen werden kann. Zum Ausgleich des immateriellen Schadens ist hier nach den Umständen des Falles ein Betrag von 2.000,- € angemessen, aber auch ausreichend.

(a) Von besonderer Bedeutung für die Bestimmung des angemessenen Schadensersatzbetrags ist die Natur der vom Datenschutzverstoß betroffenen Daten der Klägerin. Es handelte sich dabei nicht nur um Gesundheitsdaten, die bereits für sich genommen von besonderer Sensibilität sind, wie auch ihr datenschutzrechtlicher, berufsrechtlicher und strafrechtlicher Schutz vor unbefugter Offenbarung zeigt. Die betroffenen Gesundheitsdaten waren auch besonders umfangreich. Sie betrafen – auf rund 100 Seiten – sämtliche bei der Beklagten erfassten ärztlichen und sonstigen medizinischen Behandlungen, Therapien und Medikationen der Klägerin aus dem Zeitraum vom 1. Januar 2015 bis zum 14. Dezember 2018 einschließlich der zugehörigen Diagnosen, Leistungszeiträume und Krankschreibungen. In dem Zeitraum hat die Klägerin, eine junge, noch nicht lange berufstätige Frau, wegen unterschiedlichster Beschwerden vielfach ärztliche Hilfe in Anspruch genommen. Dies gilt auch für den gynäkologischen Bereich. In der Gesundheitsakte waren gleich mehrere gynäkologische Befundangaben verzeichnet, die Rückschlüsse auf das Sexualleben und die sexuelle Orientierung der Klägerin zuließen, deren Name und Wohnanschrift in der Akte angegeben waren.

(b) Hinsichtlich der vorgenannten Daten der Klägerin bestand ein zehnmonatiger Kontrollverlust. Erst am 14. August 2019 ist das E-Mail-Postfach, an das die Gesundheitsakte am 14. Dezember 2018 versehentlich versandt worden ist, von FFF. gelöscht worden.

(c) Von der Löschung des fremden E-Mail-Postfachs erfuhr die Klägerin aber nicht sofort, sondern erst durch einen Schriftsatz der Beklagten vom 2. Dezember 2019 im landgerichtlichen Verfahren. Aus diesem erfuhr sie auch, dass das Postfach bis zu diesem Zeitpunkt nicht mehr eingesehen worden ist. Infolgedessen war sie über einen Zeitraum von rund einem Jahr darüber im Ungewissen, ob ein Dritter von ihren Gesundheitsdaten bereits Kenntnis genommen hatte oder dies noch tun würde.

Zwar hatte die Beklagte den Prozessbevollmächtigten der Klägerin bereits mit Schreiben vom 9. Januar 2019 mitgeteilt, von FFF. die Nachricht erhalten zu haben, dass seit der schon länger zurückliegenden Einrichtung des E-Mail-Postfachs darauf kein Zugriff mehr erfolgt ist. Die Klägerin konnte aber bis zur Löschung des Postfachs nicht sicher sein, dass nicht noch ein Zugriff erfolgen würde. Auch konnte sie ungeachtet eines von der Beklagten gegenüber dem Postfachinhaber per E-Mail ausgesprochenen Verwertungsverbots hinsichtlich der Gesundheitsakte nicht sicher sein, ob sich dieser daran halten würde.

Soweit die Klägerin im nicht nachgelassenen Schriftsatz vom 6. Oktober 2021 hingegen meint, die bestehende Ungewissheit sei für sie erst mit einem Schriftsatz der Beklagten vom 6. Juli 2020 beendet gewesen, mit welchem die Beklagte mitgeteilt habe, dass an das betreffende E-Mail-Postfach keine Test-E-Mail mehr erfolgreich habe versandt werden können, folgt der Senat dem nicht. Diese Test-E-Mail der Beklagten bestätigt nur die Löschung des E-Mail-Postfachs, für die bereits der Vermerk des Zeugen E. vom 14. August 2019 sprach, der dem Schriftsatz der Beklagten vom 2. Dezember 2019 beigefügt war.

Nicht gefolgt werden kann schließlich der Ansicht der Klägerin, die Unsicherheit bestünde für sie eigentlich bis heute fort, weil nicht ausgeschlossen werden könne, dass auf dem Übermittlungsweg auf die E-Mail zugegriffen worden sei. Die daraus resultierende Ungewissheit ist für die Bemessung des Schadensersatzbetrags unbeachtlich. Das Risiko des Zugriffs auf die E-Mail auf dem Übermittlungsweg nahm die Klägerin mit ihrer Einwilligung in die Übersendung der Gesundheitsakte per E-Mail in Kauf.

(d) Der Datenschutzverstoß blieb für die Klägerin – auch dies ist für die Bemessung des Schadensersatzes von wesentlicher Bedeutung – nicht ohne psychische Folgen. Sie hat im Termin zur mündlichen Verhandlung vor dem Senat geschildert, wie sie die Ungewissheit über den Verbleib der Daten seelisch belastet hat. Dabei war die Belastung in den ersten Tagen nach dem 14. Dezember 2018 besonders hoch, als das Schicksal der Gesundheitsakte noch weitestgehend unklar war. Die Reaktion der Beklagten auf das Anliegen der Klägerin war am 17. Dezember 2018 und auch darüber hinaus zunächst schleppend, erst mit Schreiben vom 9. Januar 2019 teilte sie den Prozessbevollmächtigten der Klägerin, die am 20. Dezember 2018 mandatiert worden waren, den bis dahin ermittelten Sachstand geordnet mit. Immerhin konnte sich die Klägerin mit Erhalt dieses Schreibens vom 9. Januar 2019 schwache Hoffnungen machen, dass der Inhalt ihrer Gesundheitsakte vielleicht doch nicht von unbefugten Dritten zur Kenntnis genommen werden würde. Nach den von der Beklagten bis dahin eingeholten Erkundigungen, deren Ergebnis sie mit dem Schreiben mitteilte, war das E-Mail-Postfach seit Errichtung nicht aktiv genutzt worden.

(e) Bei der Bemessung des Schadensersatzes ist ferner der Umstand zu berücksichtigen, dass der fehlerhafte Versand auf einem lediglich fahrlässigen Verhalten des Zeugen A. beruhte. Die Beklagte war nach dem Ergebnis der landgerichtlichen Beweisaufnahme zudem bemüht, die verlorenen Daten zurückzuerlangen beziehungsweise deren Weiterverbreitung zu verhindern. Im Schreiben vom 9. Januar 2019 hat sie auch ihr Bedauern über den Vorfall zum Ausdruck gebracht. Allerdings hat sie einen Schadensersatzanspruch der Klägerin im Prozess gleichwohl bis zuletzt in Abrede gestellt.

(f) In der Höhe begrenzend wirkt sich bei der Bemessung des Schadensersatzanspruchs schließlich in besonderem Maße aus, dass es bei einem zeitweisen Kontrollverlust über die Gesundheitsdaten verblieben ist. Zu einer Kenntnisnahme der Daten durch Dritte oder einer Weiterverbreitung oder gar Veröffentlichung ist es nicht gekommen. Die fehlgeleitete E-Mail und ihr Anhang sind bis zur Löschung des E-Mail-Postfachs am 14. August 2019 vom Postfachinhaber nicht mehr zur Kenntnis genommen worden. Die berechtigten Sorgen der Klägerin haben sich letztlich als unbegründet herausgestellt. Nachdem sie hiervon erfahren hatte, bestand auch kein Anlass, sich deswegen noch länger seelisch belastet zu fühlen. Eine etwaige Einsichtnahme in die Daten auf dem Übermittlungsweg, für die im Übrigen nichts spricht, hat aus dem bereits dargelegten Grund unberücksichtigt zu bleiben.

(g) Der Senat hat schließlich keinen Anlass, den Schadensersatzbetrag im Hinblick auf eine damit zu erzielende abschreckende Wirkung gesondert zu erhöhen. Ob einem nach Art. 82 Abs. 1 DSGVO zuzusprechenden Schadensersatzbetrag per se eine abschreckende Wirkung zukommen muss, wie teilweise vertreten wird, hält der Senat für zweifelhaft (wie hier Eichelberger, WRP 2021, 159, 163). Letztlich kann dies hier aber dahinstehen, weil dem der Klägerin zugesprochenen Schadensersatzbetrag jedenfalls auch eine ausreichend präventive Wirkung zukommt.

cc) Eine Minderung des Schadensersatzbetrags nach § 254 Abs. 1 BGB, für welche die Beklagte plädiert, kommt nach den für den Senat bindenden tatsächlichen Feststellungen des Landgerichts nicht in Betracht. Die Beklagte kann mit ihrem erstmals in der Berufungsinstanz gehaltenen Sachvortrag, die Klägerin habe dem Zeugin A. die falsche E-Mail-Adresse angegeben, gemäß § 531 Abs. 2 Satz 1 Nr. 3 ZPO nicht mehr gehört werden. Es beruht auf Nachlässigkeit, dass die Beklagte diesen Vortrag nicht schon in erster Instanz gehalten hat. Auch darüber hinaus bestehen keine ausreichenden Anhaltspunkte, die ein relevantes Mitverschulden der Klägerin an dem fehlerhaften E-Mail-Versand an die falsche E-Mail-Adresse begründen könnten.


Den Volltext der Entscheidung finden Sie hier:


LG München: Unterlassungsanspruch und 100 EURO Schadensersatz aus Art. 82 DSGVO wegen Verwendung von Google Fonts mit Übermittlung von IP-Daten an Google

LG München
Urteil vom 20.01.2022
3 O 17493/20


Das LG München hat entschieden, dass der Besucher einer Website gegen den Websitebetreiber einen Unterlassungsanspruch aus §§ 1004, 823 BGB sowie einen Anspruch auf 100 EURO Schadensersatz aus Art. 82 DSGVO wegen der Verwendung von Google Fonts in der Variante, bei der eine Übermittlung von IP-Daten an Google erfolgt, hat.

Auch wir raten unseren Mandanten seit Jahren entweder auf Google Fonts komplett zu verzichten oder in der Variante zu verwenden, bei der keine IP-Daten-Übermittlung an Google erfolgt und die Schriftarten auf dem eigenen Server hinterlegt werden.

Aus den Entscheidungsgründen:

Der Kläger hat gegen die Beklagte einen Anspruch auf Unterlassung der Weitergabe von IP-Adressen des Klägers an Google aus § 823 Abs. 1 i.V.m. § 1004 BGB analog.

Die unerlaubte Weitergabe der dynamischen IP-Adresse des Klägers durch die Beklagte an Google stellt eine Verletzung des allgemeinen Persönlichkeitsrechtes in Form des informationellen Selbstbestimmungsrechts nach § 823 Abs. 1 BGB dar. Das Recht auf informationelle Selbstbestimmung beinhaltet das Recht des Einzelnen, über die Preisgabe und Verwendung seiner personenbezogenen Daten zu bestimmen.

1. Bei der von der Beklagten an Google weitergegebenen dynamischen IP-Adresse handelt es sich um ein personenbezogenes Datum im Sinne von § 12 Abs. 1 und 2 TMG (in der zum Übermittlungszeitraum geltenden Fassung, im weiteren alte Fassung), § 3 Abs. 1 BDSG, Art. 4 Nr. 1 DS-GVO.

Die dynamische IP-Adresse stellt für einen Webseitenbetreiber ein personenbezogenes Datum dar, denn der Webseitenbetreiber verfügt abstrakt über rechtliche Mittel, die vernünftigerweise eingesetzt werden könnten, um mithilfe Dritter, und zwar der zuständigen Behörde und des Internetzugangsanbieters, die betreffende Person anhand der gespeicherten IP-Adressen bestimmen zu lassen (BGH, Urteil vom 16.05.2017 - VI ZR 135/13). Dabei reicht es aus, dass für die Beklagte die abstrakte Möglichkeit der Bestimmbarkeit der Personen hinter der IP-Adresse besteht. Darauf, ob die Beklagte oder Google die konkrete Möglichkeit hat, die IP-Adresse mit dem Kläger zu verknüpfen, kommt es nicht an.

2. Die Beklagte verletzte das Recht des Klägers auf informationelle Selbstbestimmung, indem die Beklagte die dynamische IP-Adresse an Google weiterleitete, als der Kläger die Webseite der Beklagten aufrief.

Die automatische Weitergabe der IP-Adresse durch die Beklagte an Google war ein nach dem Datenschutzrecht unzulässiger Eingriff in das allgemeine Persönlichkeitsrecht des Klägers, da der Kläger unstreitig in diesem Eingriff nicht gemäß § 13 Abs. 2 TMG a.F., Art. 6 Abs. 1 a) DSGVO eingewilligt hat.

3. Es liegt auch kein Rechtfertigungsgrund für den Eingriff in das allgemeine Persönlichkeitsrecht vor. Ein berechtigtes Interesse der Beklagten i.S.d. Art. 6 Abs. 1 f) DS-GVO, wie von ihr behauptet, liegt nicht vor, denn Google Fonts kann durch die Beklagte auch genutzt werden, ohne dass beim Aufruf der Webseite eine Verbindung zu einem Google-Server hergestellt wird und eine Übertragung der IP-Adresse der Webseitennutzer an Google stattfindet.

4. Der Kläger war auch nicht verpflichtet, vor dem Aufrufen der Webseite der Beklagten seine eigene IP-Adresse zu verschlüsseln. Dies vom Kläger zu verlangen, würde dem Zweck des hier betroffenen Datenschutzrechtes, welches in erster Linie den Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten vor Beeinträchtigung bezweckt, zuwiderlaufen, sondern diesen vielmehr umkehren, da durch eine solche Verpflichtung der Rechteinhaber bei der Ausübung seiner schützenswerten Rechte eingeschränkt werden würde {LG Dresden, Urteil vom 11.01.2019, Aktenzeichen 1 AO 1582/18).

5. Wiederholungsgefahr ist zu bejahen. Unstreitig wurde die IP-Adresse des Klägers bei Besuchen des Klägers auf der Webseite der Beklagten an Google weitergeleitet. Vorangegangene rechtswidrige Beeinträchtigungen begründen eine tatsächliche Vermutung für die Wiederholungsgefahr, die durch die Beklagte nicht widerlegt wurde. Die Wiederholungsgefahr wird nicht dadurch ausgeräumt, dass die Beklagte mittlerweile Google Fonts so benutzt, dass eine Kundgabe der IP-Adresse der Webseitenbesucher an Google nicht mehr stattfindet. Die Wiederholungsgefahr kann lediglich durch eine strafbewehrte Unterlassungserklärung beseitigt werden.

II. Der Auskunftsanspruch des Klägers folgt aus Art. 15, Art. 4 Nr. 2 DS-GVO.

III. Dem Kläger steht ein Schadensersatzanspruch aus Art. 82 Abs. 1 DS-GVO zu. Der Begriff des Schadens i.S.d. Art. 82 DS-GVO ist nach dem Erwägungsgrund 146 S. 3 dabei weit auszulegen. Die Auslegung soll den Zielen dieser Verordnung in vollem Umfang entsprechen, auch dem Ziel der Sanktion und Prävention (BeckOK Datenschutzrecht, Wolff/Bring, 38. Edition, DS-GVO Art. 82, Rn. 24). Ausreichend ist gern. Art. 82 Abs. 1 DS-GVO dabei auch ein immaterieller Schaden. Ob eine Erheblichkeitsschwelle erreicht bzw. überschritten sein muss und so genannte Bagatellschäden auszuschließen sind, ist umstritten (vgl. BVerfG NJW 2021, 1005,Rz. 20 m.w.N.; Kohn ZD 2019, 498 (501); Paal MMR 2020, 14 (16)), kann aber im hiesigen Fall dahingestellt bleiben. Die Beklagte räumt ein, dass sie vor der Modifizierung ihrer Webseite bei den Besuchen des Klägers auf ihrer Webseite dessen IP-Adresse an Google übermittelt hat. Die Übermittlung der IP-Adresse erfolgte damit nicht nur einmalig. Der damit verbundene Eingriff in das allgemeine Persönlichkeitsrecht ist im Hinblick auf den Kontrollverlust des Klägers über ein personenbezogenes Datum an Google, ein Unternehmen, das bekanntermaßen Daten über seine Nutzer sammelt und das damit vom Kläger empfundene individuelle Unwohlsein so erheblich, dass ein Schadensersatzanspruch gerechtfertigt ist. Berücksichtigt werden muss dabei auch, dass unstreitig die IP-Adresse an einen Server von Google in den USA übermittelt wurde, wobei dort kein angemessenes Datenschutzniveau gewährleistet ist (vgl. EuGH, Urteil vom 16.7.2020 - C-311/18 (Facebook Ireland u. Schrems), NJW 2020, 2613) und die Haftung aus Art. 82 Abs. 1 DS-GVO präventiv weiteren Verstößen vorbeugen soll und Anreiz für Sicherungsmaßnahmen schaffen soll. Die Hohe des geltend gemachten Schadensersatzes ist im Hinblick auf die inhaltliche Schwere und Dauer der Rechtsverletzung angemessen und wird von der Beklagten auch nicht angegriffen.


Den Volltext der Entscheidung finden Sie hier:

LAG Hessen: Arbeitnehmer hat Anspruch gegen Arbeitgeber auf Zahlung von 1.500 EURO Schadensersatz aus Art. 82 Abs. 1 DSGVO wegen unberechtigter Observation durch Detektiv

LAG Hessen
Urteil vom 18.10.2021
16 Sa 380/20


Das LAG Hessen hat in diesem Fall entschieden, dass Arbeitnehmer einen Anspruch gegen seinen Arbeitgeber auf Zahlung von 1.500 EURO Schadensersatz aus Art. 82 Abs. 1 DSGVO wegen unberechtigter Observation durch einen Detektiv hat.

Aus den Entscheidungsgründen:

Der Kläger kann von der Beklagten Zahlung von 1.500€ nebst Zinsen in Höhe von 5 Prozentpunkten über dem Basiszinssatz seit 4. Dezember 2019 verlangen.

Nach Art. 82 Absatz 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

Verantwortlicher ist gemäß Art. 4 Nr. 7 EU-DSGVO die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Bei einer Aktiengesellschaft ist dies der Vorstand (Schild, BeckOK Datenschutzrecht, Wolff/Brink, DSGVO Art. 4 Rn. 89).

Anspruchsberechtigt ist der Kläger als natürliche Person.

Zu ersetzen sind sowohl materielle als auch immaterielle Schäden. Gerade bei immateriellen Schäden ist die Rechtsprechung des EuGH zu berücksichtigen, dass der geschuldete Schadensersatz „eine wirklich abschreckende Wirkung“ haben muss (EuGH Urt. v. 17.12.2015 – C-407/14, EuZW 2016, 183, 184). Die bisherige deutsche Rechtsprechung, die immateriellen Schadensersatz überhaupt nur bei schwerwiegenden Persönlichkeitsrechtsverletzungen zugesprochen hat, was auch der ausdrücklichen Regelung in § 8 Abs. 2 BDSG aF entspricht, ist nicht mehr anwendbar. Da der Begriff des Schadens in Art. 82 DSGVO ein europarechtlicher ist, darf nicht auf nationale Erheblichkeitsschwellen oder andere Einschränkungen abgestellt werden. Einen Ausschluss vermeintlicher Bagatellschäden sieht das Gesetz nicht vor (Kühling/Buchner – Ct, DS-GVO BDSG, 3. Auflage, Art. 82 DS-GVO Rn. 18a).

Ein immaterieller Schaden kann in einer unzulässigen Observierung durch eine Detektei bestehen (Kühling/Buchner – Ct, a.a.O., Rn. 18c; Däubler/Wedde/Weichert/Sommer, EU-DSGVO und BDSG, 2. Auflage, Art. 82 DSGVO Rn. 16; BAG 19. Februar 2015 – 8 AZR 1007/13 – Rn. 23).

Der Verantwortliche haftet für jede „nicht dieser Verordnung entsprechende Verarbeitung“ (Art. 82 Abs. 2 S. 1 DSGVO), solange diese kausal für den Schaden ist. Der Begriff der Beteiligung ist weit zu verstehen, sodass insbesondere die letztlich schädigende Handlung nicht von dem in Anspruch genommenen Verantwortlichen ausgegangen sein muss (Kühling/Buchner – Ct, a.a.O., Rn.23).

Die Observation des Klägers einschließlich personenbezogener Datenerhebung war rechtswidrig. Ein berechtigtes Interesse der Beklagten nach § 26 Abs. 1 S. 2 BDSG, das in der Aufdeckung einer Straftat im Beschäftigungsverhältnis liegen kann, zur Erhebung personenbezogener Daten im Wege der Observation des Klägers lag nicht vor. Zwar stellt ein versuchter Prozessbetrug eine Straftat dar, die auch eine Detektivüberwachung rechtfertigen kann. Hierfür muss jedoch ein berechtigter Anlass vorliegen.

Der Kläger hatte in dem einstweiligen Verfügungsverfahren vor dem Arbeitsgericht Frankfurt am Main 12 Ga 69/19 vorgetragen und an Eides statt versichert, dass er montags bis mittwochs 7:30 Uhr in der Regel seine beiden Kinder betreuen müsse. Nach der mündlichen Verhandlung vor dem Arbeitsgericht am 27. Mai 2019 bemerkte der Prozessbevollmächtigte der Beklagten auf der Heimfahrt im ICE XXX in Richtung B, einen Mann, von dem er in diesem Moment keinen Zweifel hatte, dass es sich hierbei um den Kläger handelte. Der Prozessbevollmächtigte der Beklagten beauftragte daraufhin eine Detektei mit der Observation des Klägers, die sodann ab 11. Juni 2019 an insgesamt 6 Tagen erfolgte.

Für diese Maßnahme bestand kein berechtigter Anlass. Es wäre dem für die Beklagte handelnden Prozessbevollmächtigten ohne weiteres möglich gewesen, die Person, die er spontan für den Kläger hielt, anzusprechen und sich zu vergewissern, ob es sich tatsächlich um den Kläger handelte. Bei dieser Gelegenheit hätte er den Kläger (sofern es sich bei ihm um die betreffende Person gehandelt haben sollte) auch direkt ansprechen können, wie es sein kann, dass er sich an einem Tag, an dem er sich regelmäßig um seine Kinder kümmern muss, in einem Zug Richtung B befindet. Selbst wenn er nicht sofort hieran gedacht haben sollte, war es ihm immer noch möglich, bis zum ersten Halt des Zuges den Wagen abzulaufen, um die betreffende Person zu finden und anzusprechen. Soweit er im Prozess ausführte, seinen Aktenkoffer nicht auf seinem Platz zurücklassen zu wollen, ist zu berücksichtigen, dass er diesen ohne weiteres auf dem kurzen Gang durch den Waggon hätte mitnehmen können. Letztlich hat er auf eine vage Vermutung hin eine Detektei mit der Observation des Klägers beauftragt.

Die Observation verletzte den Kläger auch in seinem allgemeinen Persönlichkeitsrecht. Der Detektiv beobachtete ihn an sechs Tagen in seinem Privatleben (auf dem Balkon seiner Wohnung und im Garten). Einmal lief er ihm sogar bis in den Park hinterher.

Auch wenn anlässlich der Observation keine Video- und Fotoaufnahmen des Klägers und seiner Kinder angefertigt wurden, hält die Kammer einen immateriellen Schadenersatz in Höhe von insgesamt 1500 € (250 € je für jede der 6 Observationen) für angemessen. Dies ergibt sich aus dem Gesichtspunkt der Genugtuung des Opfers sowie der Prävention.

Der Anspruch auf Verzinsung des zugesprochenen Geldbetrags ergibt sich aus §§ 286 Absatz 1, 288 Absatz 1 BGB.


Den Volltext der Entscheidung finden Sie hier:


OLG Dresden: Geschäftsführer ist neben der GmbH Verantwortlicher im Sinne von Art. 4 DSGVO und haftet als Gesamtschuldner mit der GmbH für Ansprüche aus Art. 82 DSGVO

OLG Dresden
Urteil vom 30.11.2021
4 U 1158/21


Das OLG Dresden hat entschieden, dass der Geschäftsführer einer GmbH neben der GmbH Verantwortlicher im Sinne von Art. 4 DSGVO ist und persönlich als Gesamtschuldner mit der GmbH für Ansprüche aus Art. 82 DSGVO haftet.

Aus den Entscheidungsgründen:
1. Nach Rücknahme der Berufungen durch die Beklagten und deren Streithelfer steht ein jeweils selbstständiger Verstoß gegen die Vorschriften der DS-GVO durch die Beklagten rechtskräftig fest. Sowohl der Beklagte zu 1) als auch der Beklagte zu 2) sind verantwortlich im Sinne von Art. 4 Nr. 7 DS-GVO, denn Anknüpfungspunkt für einen Anspruch aus Art. 82 Abs. 1 DS-GVO ist zunächst die „Verantwortlichkeit“, die immer dann zu bejahen ist, wenn eine natürliche oder juristische Person alleine oder gemeinsam mit anderen über die Zwecke und die Mittel der Verarbeitung von personenbezogenen Daten entscheiden kann und entscheidet (Gola, Bearb. Gola, DS-GVO-Kommentar, 2. Aufl. 2018, Art. 4 Rz. 48; Ambrock ZD 2020, S. 429 - nach beck-online). Damit entfällt zwar in aller Regel die Verantwortlichkeit weisungsgebundener Angestellter oder sonstiger Beschäftigter, für den Geschäftsführer, wie es der Beklagte zu 2) zum Zeitpunkt der Beauftragung des Streithelfers war, gilt dies allerdings nicht.

Die Beklagten haben auch personenbezogene Daten im Sinne des Art. 4 Ziff. 1 DS-GVO verarbeitet. Denn nach Art. 4 Ziff. 2 DS-GVO fällt hierunter das Erheben und Erfassen von Daten ebenso wie die Offenlegung durch Übermittlung oder das Abfragen sowie die Verbreitung oder eine andere Form der Bereitstellung.

Die in dieser Weise durch die Beklagten als Verantwortliche durchgeführte Datenverarbeitung war unrechtmäßig. Dabei ist unerheblich, dass der Kläger seine Einwilligung nur im Hinblick auf die Weitergabe seiner Daten zu werblichen Zwecken ausdrücklich untersagt hat. Nach der Regelungsstruktur der DS-GVO ist jede Verarbeitung personenbezogener Daten ohne aktiv erteilte Einwilligung rechtswidrig, es sei denn, es greift einer der in Art. 6 DS-GVO genannten Rechtfertigungsgründe. Allerdings ist auch dies vorliegend nicht der Fall, wie das Landgericht zutreffend erkannt hat. Eine Rechtfertigung nach Art. 6 Abs. 1f DS-GVO kommt vorliegend nicht in Betracht. Dabei bedarf es noch nicht einmal der bei Vorliegen der Tatbestandsvoraussetzungen nach Art. 6 Abs. 1 f DS-GVO erforderlichen Interessenabwägung, denn die im Ausspähen des Klägers liegende und dem Beklagten zuzurechnende Datenverarbeitung war bereits nicht erforderlich. Der Erforderlichkeitsgrundsatz ist ein Ausfluss des Zweckbindungsgrundsatzes im Sinne von Art. 5 Abs. 1 b DS-GVO, der der Ausfüllung und Konkretisierung im Einzelfall bedarf. Er darf zwar nicht im Sinne einer zwingenden Notwendigkeit überinterpretiert werden, verlangt werden muss indessen, dass die Datenverarbeitung zur Erreichung des Zweckes nicht nur objektiv tauglich ist, sondern dass eine für die betroffene Person weniger invasive Alternative entweder nicht vorliegt oder für den Verantwortlichen nicht zumutbar ist (Gola-Schulz, a.a.O., Art. 6 Rz. 20 m.w.N.). Dies war hier nicht der Fall. Dabei kann offenbleiben, ob nach § 2 Abs. 2 der Satzung des Beklagten zu 1) grundsätzlich nicht auch ehemaligen Straftätern oder nicht einwandfrei beleumundeten Personen die Möglichkeit einer Vereinsmitgliedschaft - in Abhängigkeit von der Art der zuvor begangenen Verfehlungen - zu gewähren wäre. Auch wenn es danach gerechtfertigt wäre, extremistische politische Gesinnungen aus dem Verein fernzuhalten oder Personen allein wegen eines gegen diese geführten Ermittlungsverfahrens von vornherein auszuschließen, so hätte es vorliegend genügt, den Kläger zunächst zur ergänzenden Selbstauskunft, gegebenenfalls Vorlage eines polizeilichen Führungszeugnisses aufzufordern, nachdem dieser auch nach Behauptung des Beklagten zu 1) von sich aus ein gegen ihn geführtes Ermittlungsverfahren angesprochen haben soll. Die durch den Streithelfer abzuklärenden etwaigen Vorstrafen des Klägers verstoßen darüber hinaus auch gegen Art. 10 DS-GVO, der die Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln grundsätzlich nur unter behördlicher Aufsicht gestattet.

2. Die unzulässige Datenverarbeitung durch die Beklagten zu 1) und 2) rechtfertigt einen immateriellen Schadensersatz nach Art. 82 DS-VGO allerdings lediglich in der vom Landgericht ausgeurteilten Höhe. Die hiergegen gerichteten Einwendungen des Klägers in der Berufungsbegründung der mündlichen Verhandlung vor dem Senat greifen nicht durch.

Im Einzelnen:

a) Entgegen der Auffassung der Beklagten überschritt die Ausspähung des Klägers eindeutig die Bagatellschwelle. Die Datenweitergabe mit den daraus resultierenden Folgen ging über die reine Privatsphäre oder das Privatverhältnis zwischen dem Kläger und dem Beklagten zu 2) weit hinaus, denn nachdem dieser die Weitergabe der erhobenen Daten angeordnet hatte, wurden die hieraus gewonnenen Ergebnisse den übrigen Vorstandsmitgliedern des Beklagten zu 1) bekannt gegeben. Des Weiteren wurde dem Kläger die Mitgliedschaft im Verein versagt, was zwar nicht unmittelbar zu wirtschaftlichen Einbußen geführt, aber sein Interesse beeinträchtigt hat, als Autohändler auch durch die Mitorganisation der Oldtimer-Ausfahrten auf sich aufmerksam zu machen. Des Weiteren musste der Kläger subjektiv damit rechnen, dass die über ihn eingeholten Daten nicht lediglich an zwei Vorstandsmitglieder gelangt sind und damit Details aus seiner Vergangenheit möglicherweise in einem größeren Umfeld bekannt geworden sind.

Damit ist unabhängig von der Frage, wie glaubwürdig die Einlassungen des Klägers zu seinen negativen Erfahrungen im Zusammenhang mit DDR-Recht sind, die Schwelle zur Bagatellverletzung überschritten und handelt es sich nicht um eine völlig unerhebliche Beeinträchtigung.

Im Rahmen der nach § 287 ZPO vorzunehmenden Schadensschätzung sind auch i.R.d. Art. 82 DS-VGO allgemein die Art, Schwere, Dauer des Verstoßes, Grad des Verschuldens, Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens, frühere einschlägige Verstöße sowie die Kategorien der betroffenen personenbezogenen Daten in die Erwägung mit einzubeziehen (vgl. Arbeitsgericht Düsseldorf, Urt. v. 05.03.2020 - 9 Ca 6557/18, juris, Rz. 104; Albrecht, Urteilsanmerkung in juris PR-ITR 19/20 vom 18.09.2020; Pahl-Alibrandi, ZD 2021 „auch immaterieller Schadensersatz bei Datenschutzverstößen - Bestandsaufnahme und Einordnung der bisherigen Rechtsprechung zu Art. 82 DS-GVO, S. 241 - 247). Nach Erwägungsgrund Nr. 146 der DS-GVO soll der Begriff des Schadens im Lichte der Rechtsprechung des EuGH weit und auf eine Art und Weise ausgelegt werden, „die den Zielen dieser Verordnung in vollem Umfang entspricht“. Nach dem Effektivitätsprinzip (effet utile) ist insoweit - entgegen der Auffassung der Beklagten - auch eine abschreckende Sanktion nicht ausgeschlossen (Gola, a.a.O., Art. 82 Rz. 3 m.w.N.). Dies bedeutet aber nicht, dass die Geldentschädigung zwingend „Strafcharakter“ haben muss, sondern die Höhe des Anspruchs muss auf der Basis des Effektivitätsprinzips eine abschreckende Wirkung haben (vgl. EuGH, Urteil vom 17.12.2015 - C 407/14 Rz. 44). Vorliegend handelte es sich aber lediglich um einen einmaligen Verstoß, dass bei der Beklagten regelhaft Daten über alle Antragsteller durch Einschaltung eines Detektivbüros erhoben werden, hat der Kläger zu beweisen, die Beklagtenseite hat insoweit unwidersprochen vorgetragen, dass frühere „Ausspähungen“ nur im Rahmen von Arbeitsverhältnissen und zur Überprüfung konkreter Verdachtsmomente im Hinblick auf Straftaten erfolgt sind. Ebenso wenig ist der Senat von den Darlegungen des Klägers im Hinblick auf seine persönliche besondere Betroffenheit wegen vorheriger traumatischer Erfahrungen seiner Familie im Rahmen des DDR-Regimes überzeugt. Weiter ist zu berücksichtigen, dass nach den insoweit ebenfalls unwidersprochen gebliebenen Ausführungen des Beklagten zu 2) in der mündlichen Verhandlung vom 09.11.2021 der Beklagte zu 1) insoweit Konsequenzen gezogen hat, als er den Beklagten zu 2) von sämtlichen leitenden Funktionen bei der Beklagten zu 1) u. a. wegen des streitgegenständlichen Vorfalls ausgeschlossen hat. Umgekehrt ist allerdings zu Lasten der Beklagten zu berücksichtigen, dass es sich bei den erhobenen Daten mit Strafrechtsbezug um besonders sensible Daten handelte, so dass insofern der Verstoß, auch wenn die über den Kläger erhobenen Daten nicht weitergegeben worden sein sollten, hinreichend schwer wiegt. In der Gesamtabwägung hält der Senat das bereits vom Landgericht ausgeurteilte Schmerzensgeld in Höhe von 5.000,00 € für angemessen. Zur Vermeidung von Wiederholungen nimmt er auf die umfassende Abwägung in der angefochtenen Entscheidung Bezug.


Den Volltext der Entscheidung finden Sie hier:


LG Saarbrücken legt EuGH Fragen zum Anspruch auf Ersatz des immateriellen Schadens aus Art. 82 Abs. 1 DSGVO zur Entscheidung vor

LG Saarbrücken
Beschluss vom 22.11.2021
5 O 151/19

Das LG Saarbrücken hat dem EuGH Fragen zum Anspruch auf Ersatz des immateriellen Schadens aus Art. 82 Abs. 1 DSGVO zur Entscheidung vorgelegt.

Die Vorlagefragen:

Dem Gerichtshof der Europäischen Union werden gemäß Art. 267 AEUV folgende Fragen zur Auslegung von Kapitel VIII, insbesondere von Art. 82 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz- Grundverordnung, DSGVO) vorgelegt:

1. Ist der Begriff des immateriellen Schadens in Art. 82 Abs. 1 DSGVO im Hinblick auf den Erwägungsgrund 85 und den Erwägungsgrund 146 S. 3 EUV 2016/679 in dem Sinne zu verstehen, dass er jede Beeinträchtigung der geschützten Rechtsposition erfasst, unabhängig von deren sonstigen Auswirkungen und deren Erheblichkeit ?

2. Wird die Haftung auf Schadenersatz gemäß Art. 82 Abs. 3 DSGVO dadurch ausgeschlossen, dass der Rechtsverstoß auf menschliches Versagen im Einzelfall einer im Sinne von Art. 29 DSGVO unterstellten Person zurückgeführt wird ?

3. Ist bei der Bemessung des immateriellen Schadenersatzes eine Orientierung an den in Art. 83 DSGVO, insbesondere Art. 83 Abs. 2 und Abs. 5 DSGVO genannten Zumessungskriterien erlaubt bzw. geboten ?

4. Ist der Schadenersatz für jeden einzelnen Verstoß zu bestimmen oder werden mehrere - zumindest mehrere gleichgelagerte - Verstöße mit einer Gesamtentschädigung sanktioniert, die nicht durch eine Addition von Einzelbeträgen ermittelt wird, sondern auf einer wertenden Gesamtbetrachtung beruht ?

Den Volltext der Entscheidung finden Sie hier:


EuGH: Bei verunglimpfenden Äußerungen im Internet kann Schadensersatz vor Gericht in jedem Mitgliedsstaat eingeklagt werden wo der Inhalt aufrufbar war

EuGH
Urteil vom 21.12.2021
C-251/20
Gtflix Tv gegen DR


Der EuGH hat entschieden, dass bei verunglimpfenden Äußerungen im Internet Schadensersatz vor Gericht in jedem Mitgliedsstaat eingeklagt werden kann, wo der Inhalt aufrufbar war. Dabei kann aber nur Schadensersatz hinsichtlich des im jeweiligen Mitgliedsland entstandenen Schadens eingeklagt werden.

Die Pressemitteilung des EuGH:

Verbreitung angeblich verunglimpfender Äußerungen über das Internet: Ersatz des dadurch im Hoheitsgebiet eines Mitgliedstaats entstandenen Schadens kann vor den Gerichten dieses Mitgliedstaates eingeklagt werden

Diese Zuständigkeit setzt lediglich voraus, dass der verletzende Inhalt in diesem Hoheitsgebiet zugänglich ist oder war.

Gtflix Tv (im Folgenden: Antragstellerin) ist eine Gesellschaft mit Sitz in der Tschechischen Republik, die audiovisuelle Inhalte für Erwachsene produziert und verbreitet. DR, der seinen Wohnsitz in Ungarn hat, ist beruflich im selben Bereich tätig.

Die Antragstellerin, die DR vorwirft, er habe sich auf verschiedenen Websites verunglimpfend über sie geäußert, beantragte bei den französischen Gerichten zum einen die Entfernung dieser Äußerungen sowie die Richtigstellung der veröffentlichten Angaben und zum anderen Ersatz für den durch diese Äußerungen entstandenen Schaden. Die französischen Gerichte sowohl des ersten als auch des zweiten Rechtszugs erklärten sich für unzuständig.

Vor der Cour de cassation (Frankreich) verlangt die Antragstellerin nun Aufhebung des Urteils der Cour d’appel (Berufungsgericht). Dieses Gericht habe gegen die besondere Zuständigkeitsregel des Art. 7 Nr. 2 der Verordnung Nr. 1215/20121 verstoßen, wonach die Gerichte „des Ortes, an dem das schädigende Ereignis eingetreten ist oder einzutreten droht“, zuständig seien, indem sie die Zuständigkeit der französischen Gerichte mit der Begründung ausgeschlossen habe, dass es nicht ausreiche, dass die als verunglimpfend erachteten Äußerungen, die im Internet veröffentlicht wurden, im Zuständigkeitsbereich dieses Gerichts zugänglich seien, sondern dass sie zudem geeignet sein müssten, in diesem Zuständigkeitsbereich einen Schaden zu verursachen.

Da nach Auffassung des vorlegenden Gerichts der Mittelpunkt der Interessen der Antragstellerin in der Tschechischen Republik liegt und DR seinen Wohnsitz in Ungarn hat, hat es entschieden, dass die französischen Gerichte für die Entscheidung über den Antrag auf Entfernung angeblich verunglimpfender Äußerungen und die Richtigstellung der veröffentlichten Angaben unzuständig seien. Das vorlegende Gericht hat jedoch dem Gerichtshof die Frage vorgelegt, ob die französischen Gerichte für die Entscheidung über den Antrag auf Ersatz des Schadens zuständig sind, der der Antragstellerin im Hoheitsgebiet des Mitgliedstaats dieser Gerichte entstanden ist, selbst wenn sie nicht für die Entscheidung über den Antrag auf Richtigstellung und Entfernung zuständig sind.

Der Gerichtshof (Große Kammer) erläutert in seinem Urteil, wie bei Klagen betreffend über das Internet verursachte Schäden das unter dem Gesichtspunkt des Ortes der Verwirklichung des Schadenserfolgs zuständige Gericht zu bestimmen ist.

Würdigung durch den Gerichtshof
Der Gerichtshof stellt fest, dass eine Person, die der Ansicht ist, dass ihre Rechte durch die Verbreitung verunglimpfender Äußerungen über sie im Internet verletzt worden seien, und die sowohl auf Richtigstellung der Angaben und Entfernung der sie betreffenden veröffentlichten Inhalte als auch auf Ersatz des aus dieser Veröffentlichung entstandenen Schadens klagt, vor den
Gerichten jedes Mitgliedstaats, in dessen Hoheitsgebiet diese Äußerungen zugänglich sind oder waren, Ersatz des Schadens verlangen kann, der ihr in dem Mitgliedstaat des angerufenen Gerichts entstanden sein soll, selbst wenn diese Gerichte nicht für die Entscheidung über den Antrag auf Richtigstellung und Entfernung zuständig sind.

Zur Begründung dieses Ergebnisses weist der Gerichtshof darauf hin, dass nach seiner Rechtsprechung die besondere Zuständigkeitsregel des Art. 7 Nr. 2 der Verordnung Nr. 1215/2012, wonach die Gerichte „des Ortes, an dem das schädigende Ereignis eingetreten ist oder einzutreten droht“, zuständig sind, sowohl den Ort des ursächlichen Geschehens als auch
den Ort der Verwirklichung des Schadenserfolgs meint und jeder der beiden Orte je nach Lage des Falles für die Beweiserhebung und für die Gestaltung des Prozesses einen besonders sachgerechten Anhaltspunkt liefern kann.

Was mutmaßliche Verstöße gegen die Persönlichkeitsrechte mittels auf einer Website veröffentlichter Inhalte betrifft, weist der Gerichtshof auch darauf hin, dass die Person, die sich in ihren Rechten verletzt fühlt, die Möglichkeit hat, entweder, unter dem Gesichtspunkt des Ortes des ursächlichen Geschehens, bei den Gerichten des Ortes, an dem der Urheber dieser Inhalte niedergelassen ist, oder, unter dem Gesichtspunkt der Verwirklichung des Schadenserfolgs, bei den Gerichten des Mitgliedstaats, in dem sich der Mittelpunkt ihrer Interessen befindet, eine Klage auf Ersatz des gesamten entstandenen Schadens zu erheben.

Anstelle einer Klage auf Ersatz des gesamten entstandenen Schadens kann diese Person ihre Klage auch vor den Gerichten jedes Mitgliedstaats erheben, in dessen Hoheitsgebiet ein im Internet veröffentlichter Inhalt zugänglich ist oder war. Diese sind jedoch nur für die erhobenen Beweise den Eintritt und die Höhe des geltend gemachten Schadens zu beurteilen.

Schließlich setzt die Zuständigkeit dieser Gerichte für die Entscheidung allein über Schäden, die im Hoheitsgebiet ihres Mitgliedstaats entstanden sind, lediglich voraus, dass der verletzende Inhalt in diesem Hoheitsgebiet zugänglich ist oder war, da Art. 7 Nr. 2 der Verordnung Nr. 1215/2012 insoweit keine zusätzliche Voraussetzung enthält. Die Einführung zusätzlicher Voraussetzungen könnte in der Praxis dazu führen, dass der betroffenen Person die Möglichkeit genommen würde, vor den Gerichten des Ortes, in deren Zuständigkeitsbereich sie meint, einen Schaden erlitten zu haben, auf teilweisen Ersatz des Schadens zu klagen.

Entscheidung über den Schaden zuständig, der im Hoheitsgebiet des Mitgliedstaats des angerufenen Gerichts verursacht worden ist. Folglich kann gemäß Art. 7 Nr. 2 der Verordnung Nr. 1215/2012 in seiner Auslegung durch die bisherige Rechtsprechung eine Person, die sich durch die Veröffentlichung von Angaben auf einer Website in ihren Rechten verletzt fühlt, einen auf Richtigstellung dieser Angaben und Entfernung der veröffentlichten Inhalte gerichteten Antrag entweder bei den Gerichten stellen, die für die Entscheidung über einen Antrag auf Ersatz des gesamten Schadens zuständig sind, d. h. entweder, unter dem Gesichtspunkt des Ortes des ursächlichen Geschehens, bei den Gerichten des Ortes, an dem der Urheber dieser Inhalte niedergelassen ist, oder, unter dem Gesichtspunkt der Verwirklichung des Schadenserfolgs, bei den Gerichten, in deren Zuständigkeitsbereich sich der Mittelpunkt der Interessen der betroffenen Person befindet.

Hierzu führt der Gerichtshof aus, dass ein Antrag auf Richtigstellung von Angaben und Entfernung von Inhalten nicht bei einem anderen als dem Gericht gestellt werden kann, das für die Entscheidung über den gesamten Schadensersatzantrag zuständig ist, weil ein solcher Antrag auf Richtigstellung und Entfernung einheitlich und untrennbar ist.

Dagegen kann sich ein Antrag auf Schadensersatz entweder auf den vollständigen oder auf den teilweisen Ersatz eines Schadens beziehen. Somit wäre es nicht gerechtfertigt, aus diesem Grund dem Antragsteller die Möglichkeit zu nehmen, vor einem anderen Gericht, in dessen Zuständigkeitsbereich er meint, einen Schaden erlitten zu haben, teilweisen Ersatz des Schadens zu beantragen.

Im Übrigen ist der Ausschluss einer solchen Möglichkeit auch nicht im Hinblick auf eine geordnete Rechtspflege geboten, da ein lediglich für die Entscheidung über den in seinem Mitgliedstaat entstandenen Schaden zuständiges Gericht durchaus in der Lage ist, im Rahmen eines in diesem Mitgliedstaat durchgeführten Verfahrens und in Anbetracht der in diesem Mitgliedstaat erhobenen Beweise den Eintritt und die Höhe des geltend gemachten Schadens zu beurteilen.

Schließlich setzt die Zuständigkeit dieser Gerichte für die Entscheidung allein über Schäden, die im Hoheitsgebiet ihres Mitgliedstaats entstanden sind, lediglich voraus, dass der verletzende Inhalt in diesem Hoheitsgebiet zugänglich ist oder war, da Art. 7 Nr. 2 der Verordnung Nr. 1215/2012 insoweit keine zusätzliche Voraussetzung enthält. Die Einführung zusätzlicher Voraussetzungen könnte in der Praxis dazu führen, dass der betroffenen Person die Möglichkeit genommen würde, vor den Gerichten des Ortes, in deren Zuständigkeitsbereich sie meint, einen Schaden erlitten zu haben, auf teilweisen Ersatz des Schadens zu klagen.


Tenor der Entscheidung:

Art. 7 Nr. 2 der Verordnung (EU) Nr. 1215/2012 des Europäischen Parlaments und des Rates vom 12. Dezember 2012 über die gerichtliche Zuständigkeit und die Anerkennung und Vollstreckung von Entscheidungen in Zivil- und Handelssachen ist dahin auszulegen, dass eine Person, die der Ansicht ist, dass ihre Rechte durch die Verbreitung verunglimpfender Äußerungen über sie im Internet verletzt worden seien, und die sowohl auf Richtigstellung der Angaben und Entfernung der sie betreffenden veröffentlichten Inhalte als auch auf Ersatz des durch diese Veröffentlichung entstandenen Schadens klagt, vor den Gerichten jedes Mitgliedstaats, in dessen Hoheitsgebiet diese Äußerungen zugänglich sind oder waren, Ersatz des Schadens verlangen kann, der ihr in dem Mitgliedstaat des angerufenen Gerichts entstanden sein soll, selbst wenn diese Gerichte nicht für die Entscheidung über den Antrag auf Richtigstellung und Entfernung zuständig sind.

Den Volltext der Entscheidung finden Sie hier:




LG Regensburg: Kein Schadensersatzanspruch aus Art. 82 DSGVO oder wegen Persönlichkeitsrechtsverletzung bei unberechtigter Sperrung eines Facebook-Accounts

LG Regensburg
Urteil vom 27.08.2019
72 O 1943/18


Das LG Regensburg hat entschieden, dass kein Schadensersatzanspruch aus Art. 82 DSGVO oder wegen einer Persönlichkeitsrechtsverletzung bei unberechtigter Sperrung eines Facebook-Accounts besteht.

Aus den Entscheidungsgründen:
5. Der Kläger hat keinen Schadensersatzanspruch gem. §§ 280 BGB, 287 Abs. 1 S. 1 ZPO oder § 823 Abs. 1 BGB i.V.m. Art. 2 Abs. 1, Art. 1 Abs. 1 GG.

a) Die Sperrung des Klägers war rechtmäßig. Auf die Ausführungen zu Ziffer 1 wird verwiesen.

b) Selbst für den Fall der unrechtmäßigen Sperrung liegen jedoch die besonderen Voraussetzungen für die Gewährung einer Geldentschädigung nicht vor, sodass unter keinen Umständen ein entsprechender Zahlungsanspruch des Klägers gegeben ist.

aa) Nach der höchstrichterlichen Rechtsprechung begründet die schuldhafte Verletzung des allgemeinen Persönlichkeitsrechts einen Anspruch auf eine Geldentschädigung, wenn es sich um einen schwerwiegenden Eingriff handelt und die Beeinträchtigung nicht in anderer Weise aufgefangen werden kann. Ob eine so schwerwiegende Verletzung des allgemeinen Persönlichkeitsrechts vorliegt, dass die Zahlung einer Geldentschädigung erforderlich ist, kann, nur aufgrund der gesamten Umstände des Einzelfalls beurteilt werden. Zu berücksichtigen sind insbesondere die Bedeutung und Tragweite des Eingriffs, also Umfang, Nachhaltigkeit und Fortdauer der Interessen- oder Rufschädigung des Verletzten, ferner Anlass und Beweggrund des Handelnden sowie der Grad seines Verschuldens (BGH, Urteil vom 17.12.2013, Az: VI ZR 211/12). Zweifelhaft ist bereits, ob der Kläger durch die teilweise berechtigte Löschung seines Beitrags und die dreitägige Versetzung in den „read only“-Modus in seinem allgemeinen Persönlichkeitsrecht verletzt ist. Der behauptete Eingriff betrifft vorliegend jedenfalls die Sozialsphäre und gerade nicht die Privat- oder Intimsphäre. Der Kläger konnte während dieses kurzen Zeitraums weiterhin Nachrichten empfangen und wesentliche Funktionen des …-Dienstes nutzen (vgl. Auch OLG München, Beschluss vom 24.05.2019, Az: 18 U 335/19; LG Traunstein, Urteil vom 04.04.2019, Az: 8 O 3510/18).

bb) Dem Kläger ist auch kein materieller Schaden entstanden, z.B. infolge der Nutzung seiner persönlichen Inhalte durch die Beklagte während des Sperrzeitraums. Nach der sogenannten Differenzhypothese wird die tatsächlich eingetretene Vermögenslage mit der hypothetischen Vermögenslage verglichen, die ohne das haftungsbegründende Ereignis eingetreten wäre (BGH, Urteil vom 5.2.2015, Az: IX ZR 167/13). Der Schadensbegriff orientiert sich im gesamten Schadensrecht stets am Leistungsinteresse des Gläubigers. Für den vom Kläger angenommenen Schaden bzw. die behauptete ungerechtfertigte Bereicherung auf Seiten der Beklagten ist es daher nicht ausreichend, dass der Beklagten während der Dauer der Einschränkung der Benutzungsrechte des Klägers die uneingeschränkte Nutzungsmöglichkeit von deren Daten offenstand (vgl. LG Traunstein, Urteil vom 04.04.2019, Az: 8 O 3510/18).

Einen konkreten finanziellen Schaden hat der Kläger schon nicht substantiiert dargelegt. Zwar mögen seine Kommunikationsmöglichkeiten in Folge der Sperre kurzzeitig eingeschränkt gewesen sein; ein Schaden allein unter dem abstrakten Gesichtspunkt des Verlusts von Kommunikationsmöglichkeiten kommt bei einer nicht im unternehmerischen Verkehr stehenden Person nicht in Betracht. Der Kläger erhielt und erhält auch ohne Sperrung keine Lizenzgebühr für die Nutzung seiner Daten, sodass eine fiktive Lizenzgebühr von 50 Euro täglich nicht als Schaden angesetzt werden kann. Weiterhin ist fraglich, ob der Kläger selbst bereit wäre, für die uneingeschränkte Nutzungsmöglichkeit eine tägliche Gebühr in der genannten Höhe zu zahlen. Sinn und Zweck des Schadensersatzes ist es gerade, eingetretene Schäden auszugleichen, nicht, diese überzukompensieren (vgl. BGH, Urteil vom 22.2.2018. Az: VII ZR 46/17). Das Gericht schließt sich zudem der höchstrichterlichen Rechtsprechung an, derzufolge eine fiktive wie auch abstrakt-normative Schadensberechnung Ausnahmefällen vorbehalten ist (vgl. Heinemeyer: Ende der fiktiven Mängelbeseitigungskosten auch im Kaufrecht?, NJW 2018, 2441; BGH, Urteil vom 22.03.1990, Az: I ZR 59/88).

cc) Schließlich steht dem Kläger auch nach Art. 82 Abs. 2 S. 1 DSGVO kein Ersatzanspruch für materielle oder immaterielle Schäden zu. Soweit dieser Anspruch mit einer Einschränkung der Datenverarbeitung durch den Kläger infolge der Sperrung seines Nutzerkontos bei … begründet wird, ist schon der sachliche Anwendungsbereich der Verordnung nicht eröffnet, die nach Art. 2 Abs. 2 c) keine Anwendung findet auf die Verarbeitung personenbezogener Daten durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten; über persönliche Tätigkeiten hinausgehende Nutzungszwecke wurden vom Kläger nicht vorgetragen. Auch wird lediglich der Eintritt eines materiellen Schadens durch die Sperrung des Nutzerkontos behauptet, weil der Kläger gehindert gewesen sei, seine geäußerte Meinung weiter zu verbreiten, ohne diesen behaupteten Schaden konkret darzulegen oder sonst nachvollziehbar zu begründen (vgl. LG Traunstein, Urteil vom 04.04.2019, Az: 8 O 3510/18).


Den Volltext der Entscheidung finden Sie hier:

OLG München: Kein Verstoß gegen DSGVO durch Einladung zur Eigentümerversammlung unter namentlicher Nennung von Wohneinheiten mit Legionellenbefall

OLG München
Urteil vom 27.10.2021
20 U 7051/20


Das OLG München hat entschieden, dass kein Verstoß gegen die DSGVO durch Einladung zur Eigentümerversammlung unter namentlicher Nennung von Wohneinheiten mit Legionellenbefall vorliegt.

Aus den Entscheidungsgründen:

"Die zulässige Berufung des Klägers hat in der Sache keinen Erfolg. Das Landgericht hat zutreffend geurteilt, dass den Beklagten kein Verstoß gegen Vorschriften der DSGVO zur Last fällt. Die Berufung des Klägers war daher zurückzuweisen.

1. Die DSGVO ist - anders als die Beklagten behaupten - auf den hier zu entscheidenden Fall anwendbar. Denn gemäß Art. 2 Abs. 1 DSGVO gilt sie auch für die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder werden sollen. Dabei ist ein Dateisystem jede geordnete manuelle Datensammlung (beckOK, DSG-VO, Art. 2 Rn. 4). Dass der Name des Klägers bei der Beklagten zu 1) nicht in einer Datei, sondern nur zusammenhanglos auf losen Zetteln zu finden wäre, ist schwer vorstellbar und wird von den Beklagten auch nicht behauptet. Gemäß Art. 4 DSGVO stellt bereits die Verwendung der gespeicherten Daten eine „Verarbeitung“ im Sinne der Verordnung dar.

2. Entgegen der Ansicht des Klägers war die Verarbeitung seiner Daten in der mit der Einladung zur Eigentümerversammlung verschickten Tagesordnung (K 1, dort Ziffer 22) rechtmäßig, Art. 6 DSGVO.

a) Der vom Kläger behauptet gegen die DSGVO verstoßende Tagesordnungspunkt 22 „Aussprache und Beschlussfassung über weitergehende Maßnahmen zum Legionellenbefall und deren Finanzierung“ enthält die Information, welche zur Miteigentümergemeinschaft gehörenden Häuser und konkrete Einheiten mit welcher Intensität von dem festgestellten Legionellenbefall betroffen sind, wobei die Nachnamen der Eigentümer genannt werden.

b) Entgegen dem Dafürhalten des Klägers war die Verwendung auch der jeweiligen Eigentümernamen im konkreten Fall rechtmäßig, Art. 6 Abs. 1 lit c), lit f).

aa) Die Beklagte zu 1), die damalige Hausverwaltung, war ebenso wie die Wohnungseigentümergemeinschaft selbst für die Instandhaltung des Gemeinschaftseigentums und die Überprüfung der Leitungen rechtlich verantwortlich (vgl. Bärmann/Seuß, Praxis des Wohnungseigentums, § 111. TrinkwasserVerordnung Rn. 42). Die Beklagte zu 1) war der Wohnungseigentümergemeinschaft darüber hinaus vertraglich zur ordnungsgemäßen Verwaltung verpflichtet.

bb) Die Angabe der Namen der einzelnen Eigentümer in der verschickten Tagesordnung war auch erforderlich. Nur so konnte die Beklagte zu 1) sicherstellen, dass die eingeladenen Miteigentümer über alle für die durchzuführende „Aussprache und Beschlussfassung über weitergehende Maßnahmen zum Legionellenbefall und deren Finanzierung“ erforderlichen Informationen verfügten und die „Aussprache und Beschlussfassung“ vollständig durchführen konnten (vgl. BeckOK, Datenschutzrecht, Art. 6 DSGVO Rn. 17). Denn nur bei Kenntnis, wer von den Teilnehmern der Eigentümerversammlung von dem Legionellenbefall betroffen war, konnten die übrigen Miteigentümer die einzelnen Redebeiträge zutreffend einordnen und Nachfragen an die betroffenen Eigentümer stellen etwa zum Umfang der Arbeiten in den betroffenen Wohnungen oder an den im Sondereigentum stehenden Wasserarmaturen (vgl. VGH 20 CS 14.1663), oder zu - auch vom Kläger selbst behaupteten - angekündigten Mietminderungen des betroffenen Mieters, und mit den betroffenen Eigentümern über etwaige Ansprüche der Miteigentümergemeinschaft oder die Verteilung der entstandenen und noch anfallenden Kosten diskutieren.

cc) Dass - wie der Kläger behauptet - die einzelnen Miteigentümer seinen Namen auch anhand der Wohnungsnummer in Erfahrung bringen hätten können, trifft in dieser Allgemeinheit nicht zu. Denn aus der von ihm angeführten Teilungserklärung ergibt sich der Name der Käufer der einzelnen Wohnungen gerichtsbekannt nicht. Eine als Anhang zur Teilungserklärung vorhandene Eigentümerliste kann keine Aktualität beanspruchen, so dass die einzelnen Eigentümer sich, um die Identität des derzeitigen Eigentümers einer betroffenen Wohnung zu erfahren, wiederum an die Hausverwaltung, die hiesige Beklagte zu 1) wenden hätten müssen. Dies zeigt im Umkehrschluss, dass die Namensnennung bereits in der Tagesordnung erforderlich war. Eine bloße Unbequemlichkeit der Informationsbeschaffung, wie vom Kläger behauptet, liegt gerade nicht vor.

dd) Dass die Interessen des Klägers an der Nichtnennung seines Namens überwiegen würden, ist angesichts der vorstehenden Ausführungen nicht ersichtlich; die Beklagte zu 1) und die Wohnungseigentümergemeinschaft waren zum Vorteil des Klägers zur endgültigen Unterbindung des Legionellenbefalls in der klägerischen Wohnung tätig. Auch ist die Wohnungseigentümergemeinschaft keine anonyme Gemeinschaft (vgl. OLG München, 32 Wx 177/06, juris Rn. 9).

Die unsubstantiierte Behauptung des Klägers, dass ein potentieller Käufer „abgesprungen“ sei, führt nicht zu einer anderen Beurteilung; im Gegenteil wäre ein erst kürzlich beseitigter Legionellenbefall im Verkaufsobjekt dem potentiellen Käufer gegenüber unzweifelhaft vom Kläger selbst zu offenbaren gewesen.

3. Die Weitergabe der Mailadresse des Klägers hat das Landgericht - von der Berufung unangegriffen - ebenfalls zutreffend für rechtmäßig gehalten. Auf die Begründung im landgerichtlichen Urteil wird Bezug genommen. Gleiches gilt für den erstinstanzlich behaupteten Anspruch wegen der Sichtbarkeit der Mailadresse in einem Anschreiben des Beklagtenvertreters.

4. Unabhängig von Vorstehendem scheidet ein Anspruch gegen den Beklagten zu 2) schon deshalb aus, weil dieser nicht „Verantwortlicher“ im Sinne von Art. 4 Nr. 7 DSGVO ist. Aus der E-Mail des Beklagten zu 2) vom 9. August 2019 (Anlagen K 5 - K 8) kann der Kläger nichts für sich herleiten, weil der Beklagte zu 2) dort zwar einen Verstoß des Beklagten zu 1) gegen die DSGVO eingeräumt, selbst allerdings keine Leistung versprochen oder in irgendeiner Weise eine Verpflichtung für seine Person geschaffen oder eine bestehende Schuld bestätigt hat. Wie im vergleichbaren Fall von Erklärungen eines Schädigers im Straßenverkehr („Schuldbekenntnis“ des Unfallfahrers) fehlt es - wie im Regelfall - an einem Rechtsbindungswillen des Erklärenden (vgl. Palandt, BGB, § 781 Rn. 9 mwN)."


Den Volltext der Entscheidung finden Sie hier:


LG Köln: Kein immaterieller Schadensersatz aus Art. 82 Abs. 1 DSGVO wegen Weiterleitung nicht anonymisierter Entscheidung an diverse Rechtsämter

LG Köln
Urteil vom 03.08.2021
5 O 84/21

Das LG Köln hat entschieden, dass kein Anspruch auf immateriellen Schadensersatz aus Art. 82 Abs. 1 DSGVO wegen der Weiterleitung einer nicht anonymisierten Entscheidung an diverse Rechtsämter besteht.

Aus den Entscheidungsgründen:

Die zulässige Klage ist unbegründet.

Der Klageantrag zu 1) ist zulässig, da keine verdeckte Teilklage vorliegt. Der Kläger begehrt ein angemessenes Schmerzensgeld für den Schaden, den er infolge der streitgegenständlichen Datenschutzverletzung erlitten haben will. Nur weil er außergerichtlich ein höheres Schmerzensgeld gefordert hat, kann nicht bereits von einer Teilklage ausgegangen werden.

Die Beklagte hat den Anspruch nicht dem Grunde nach anerkannt. Ein entsprechender Rechtsbindungswille der Beklagten geht aus dem Schreiben vom 05.06.2020 nicht hervor. Nur weil die Beklagte äußerte, eine Entschädigungsleistung sei denkbar, hat sie noch nicht anerkannt, dass eine Haftung dem Grunde nach besteht.

Ein Anspruch auf Zahlung von Schmerzensgeld besteht nicht, da der Kläger nicht dargelegt hat, dass ihm infolge der streitgegenständlichen Datenschutzverletzung ein immaterieller Schaden entstanden ist. Nach Art. 82 Abs. 1 DS-GVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Die streitgegenständliche Übersendung des Beschlusses des Verwaltungsgerichts Köln an die Rechtsamtsleiterinnen und Rechtsamtsleiter anderer Kommunen stellt einen Verstoß gegen die Datenschutzgrundverordnung dar. Die Beklagte durfte den Beschluss zur Information und zur Sicherstellung einer einheitlichen Rechtsanwendung jedenfalls nicht unanonymisiert übersenden.

Allerdings reicht ein Verstoß alleine zur Anspruchsbegründung nicht aus, es muss auch ein Schaden eingetreten sein (Paal/Pauly/Frenzel, 3. Aufl. 2021, DS-GVO Art. 82 Rn. 10). Der Schaden muss auf den Verstoß zurückzuführen sein, wobei eine Mitursächlichkeit genügt (Quaas, in: BeckOK DatenschutzR, 35. Ed. 1.11.2020, DS-GVO Art. 82 Rn. 26).

Vorliegend bestreitet die Beklagte in zulässiger Weise, dass die klägerseits behaupteten Beeinträchtigungen durch den streitgegenständlichen Verstoß verursacht wurden. In Bezug auf den vorgelegten Chat im Internet ist festzuhalten, dass aus diesem nicht hervorgeht, dass er sich auf den Kläger bezieht. Auch ist nicht ersichtlich, warum die Chatteilnehmer die Information der Beteiligung des Klägers am verwaltungsgerichtlichen Verfahren ausgerechnet über die Rechtsamtsleiterinnen und Rechtsamtsleiter erhalten haben sollen. Diesbezüglich hat die Beklagte dargelegt, dass insgesamt 24 Spielhallenbetreiber ein verwaltungsgerichtliches Verfahren angestrengt hätten. Es ist nicht auszuschließen, dass diese an den Beschluss gelangt sind und ihn verbreitet haben. Jedenfalls trägt die Klägerin keine Hinweise dafür vor, dass die streitgegenständliche Übersendung die einzige oder auch nur naheliegende Möglichkeit dafür war, dass weitere Personen Kenntnis von dem Beschluss erlangten.

Gleiches gilt für die hinterlassene Nachricht an der Windschutzscheibe. Der klägerische Vortrag lässt bereits offen, wer diese Nachricht hinterlassen hat.

Eine Beweislastumkehr oder eine Beweiserleichterung greift vorliegend zu Gunsten des Klägers nicht. Die Beweislast auch für diese Voraussetzung obliegt dem Anspruchsberechtigten, dies entspricht den allgemeinen deliktischen Voraussetzungen. Eine Beweislastumkehr ist der Norm ausdrücklich nur bezüglich des Gesichtspunkts des Verschuldens zu entnehmen (Quaas, in: BeckOK DatenschutzR, 36. Ed. 1.5.2021, DS-GVO Art. 82 Rn. 27). Dies ist auch interessengerecht, denn die Beklagte kann genauso wenig wie der Kläger wissen, wer noch Kenntnis von dem Beschluss des Verwaltungsgerichts hatte.

Nach alledem ist nicht ersichtlich, welchen immateriellen Schaden der Kläger dadurch erlitten haben soll, dass der Beschluss an 62 Rechtsamtsleiterinnen und Rechtsamtsleiter versandt wurde. Für den immateriellen Schadensersatz gelten dabei die im Rahmen von § 253 BGB entwickelten Grundsätze, die Ermittlung obliegt dem Gericht nach § 287 ZPO (Quaas, in: BeckOK DatenschutzR, 32. Ed. 1.2.2020, DS-GVO Art. 82 Rn. 31). Es können für die Bemessung die Kriterien des Art. 83 Abs. 2 DS-GVO herangezogen werden, z.B. die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung, die betroffenen Kategorien personenbezogener Daten. Zu berücksichtigen ist auch, dass die beabsichtigte abschreckende Wirkung nur durch für den Anspruchsverpflichtenden empfindliche Schmerzensgelder erreicht wird, insbesondere wenn eine Kommerzialisierung fehlt (LG Köln, ZD 2021, 47 Rn. 12). Vorliegend ist eine Beeinträchtigung des Klägers nicht ersichtlich, nachdem nicht feststeht, dass die von ihm behaupteten Vorfälle auf den streitgegenständlichen Verstoß zurückgeführt werden können. Da die Adressaten der streitgegenständlichen E-Mail selbst dienstlichen Verschwiegenheitspflichten obliegen, bleibt bereits unklar, ob der Beschluss auf diesem Wege weiteren Personen zur Kenntnis gelangt ist. Das Zuerkennen von Schmerzensgeld in einem derartigen Bagatellfall würde die Gefahr einer nahezu uferlosen Häufung der Geltendmachung von Ansprüchen bergen, was nicht Sinn und Zweck von Art. 82 DS-GVO entsprechen kann (vgl. LG Köln, ZD 2021, 47 Rn. 14). Zudem ist eine extensive Auslegung des Begriffs des immateriellen Schadens nicht geboten, weil nach Art. 83 DS-GVO die Möglichkeit besteht, Geldbußen in erheblichem Umfang zu verhängen (vgl. Franzen, in: EuArbRK, 3. Aufl. 2020, DS-GVO Art. 82 Rn. 22).

Eine Vorlagepflicht an den EuGH besteht nach Art. 267 Abs. 3 AEUV bereits deshalb nicht, weil vorliegend nicht letztinstanzlich entschieden wird.

Die mit dem Klageantrag zu 2) geltend gemachte Nebenforderung teilt das Schicksal der Hauptforderung.

Die Kostenentscheidung beruht auf § 91 Abs. 1 ZPO. Die Entscheidung über die vorläufige Vollstreckbarkeit folgt aus § 709 Satz 1 und 2 ZPO.

Der Streitwert wird auf 8.000,00 EUR festgesetzt.


Den Volltext der Entscheidung finden Sie hier:


AG Pfaffenhofen: 300 EURO Geldentschädigung aus Art. 82 DGSVO bei unbefugter Zusendung einer Werbe-E-Mail und unzureichender Auskunft über Herkunft der Daten

AG Pfaffenhofen
Urteil vom 09.09.2021
2 C 133/21


Das AG Pfaffenhofen hat entschieden, dass eine Geldentschädigung in Höhe von 300 EURO aus Art. 82 DGSVO bei unbefugter Zusendung einer Werbe-E-Mail und unzureichender Auskunft über Herkunft der Daten angemessen ist.

Aus den Entscheidungsgründen:

"Dem Kläger steht gem. Art. 82 DSGVO ein Anspruch auf Ersatz immateriellen Schadens zu, den das Gericht wie tenoriert bemisst.

Die Beklagte hat gegen Bestimmungen der DS-GVO verstoßen, die Verstöße haben nach dem - insoweit auch unwidersprochen gebliebenen und damit zugestandenen (§ 138 Abs. 3 ZPO) Vorbringen des Klägers kausal zu einem immateriellen Schaden geführt.

Die Beklagte hat zum einen die Email-Adresse des Klägers ohne Rechtfertigung iSd Art. 6 DSGVO verarbeitet, zum anderen dem Kläger verspätet bzw. zunächst nicht vollständig Auskunft erteilt.

a. Die Beklagte hat unstreitig iSd Art. 4 DS-GVO die Email-Adresse des Klägers verarbeitet (erhoben, erfasst und gespeichert, und durch ihr Anschreiben weiter verwendet).

Hierfür - jedenfalls für die Speicherung und Verwendung wie erfolgt - konnte die Beklagte keinen rechtfertigenden Tatbestand iSd Art. 6 Abs. 1 DS-GVO darlegen. Die Beklagte behauptet insbesondere schon selbst nicht (geschweige denn belegt dies), dass der Kläger hierin eingewilligt hätte. Sie behauptet im Prozess schon selbst nicht, dass der Kläger ihr etwa seine Email-Adresse (und dies mit entsprechender Einwilligung) mitgeteilt hätte oder (auch wenn dies in der streitgegenständlichen Email so angegeben gewesen war) der Kläger eine Anfrage an die Beklagte gesandt hätte (Fall der Nachfragewerbung, vgl.
Eckhardt in Auer-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, 3. Aufl., § 25 b) Rdnr. 82 m.Nw., zit. nach beck-online) oder etwa ein Fall des § 7 Abs. 3 UWG vorgelegen hätte (dies würde u.a. voraussetzen, dass ein Unternehmer - hier die Beklagte - im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung von einem Kunden dessen elektronische Postadresse erhalten hat; dies war unstreitig ebenfalls nicht der Fall). Die Beklagte trug vielmehr vor, die Email-Adresse des Klägers aus frei zugänglicher Quelle im Internet gefunden zu haben, bei der Suche nach einer Rechtsberatung. Sie hat die Email-Adresse jedoch - selbst wenn die ursprüngliche Erfassung zu einem berechtigten Zweck erfolgt sein sollte, wie die Beklagte wohl behauptet - unstreitig nicht hierfür gespeichert und verwendet, sondern (als auch nach ihrem eigenen Vorbringen der ursprüngliche Zweck längst entfallen gewesen wäre) zum Zwecke der Werbung, die jedoch mangels vorheriger Einwilligung des Klägers gegen § 7 Abs. 2 Nr. 3 UWG und Art. 6 Abs. 1 S. 1 verstieß.

Die Werbung mittels E-Mail-Marketing setzt für ihre Zulässigkeit außerhalb der Fälle des § 7 Abs. 3 UWG eine - vorherige und ausdrückliche - Einwilligung voraus, mithin eine Willensbekundung, die ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erfolgt (vgl. Eckhardt a.a.O. Rdnr. 86 m.Nw.). Eine solche wird schon durch die Beklagte - welche insoweit darlegungs- und beweisbelastet wäre - nicht im Ansatz behauptet oder vorgetragen.

Ebensowenig ist aus dem Vorbringen einer - auch nur z.B. konkludent - erteilte Einwilligung iSd Art. 6 Abs. 1 S. 1 lit a. DSGVO zu entnehmen. Auch keiner der weiteren Fälle der Vorschrift ist zu erkennen, insbesondere auch nicht ein Fall des Art. 6 Abs. 1 S. 1 lit. f. DSGVO m(überwiegende berechtigte Interessen des Verwantwortlichen oder eines Dritten). Gem. Erwägungsgrund 47 ist im Rahmen der Interessenabwägung nach lit. f zu prüfen, „ob eine betroffene Person zum Zeitpunkt der Datenerhebung und angesichts der Umstände, unter denen sie erfolgt, vernünftigerweise absehen kann, dass möglicherweise eine Verarbeitung
für diesen Zweck erfolgen wird“(vgl. Gola DS-GVO/Schulz, 2. Aufl. 2018, DS-GVO Art. 6 Rn. 61). Im Rahmen der Interessenabwägung ist zunächst der vom Datenverarbeiter verfolgte Zweck mit der Art, dem Inhalt sowie der Aussagekraft der Daten gegenüberzustellen; zu berücksichtigen sind sodann insbesondere die vernünftige Erwartungshaltung der betroffenen
Person bzw. die Absehbarkeit (Branchenüblichkeit) der Verarbeitung sowie ihre Beziehung zu dem Verantwortlichen (BeckOK DatenschutzR/Albers/Veit, 36. Ed. 1.5.2020, DS-GVO Art. 6 Rn. 53). Vorliegend führt bereits vor diesem Hintergrund die Abwägung hier zu dem Ergebnis, dass die schutzwürdigen Interessen des Klägers - welcher unstreitig in keinerlei vorheriger Beziehung zur Beklagten gestanden und auch sonst nicht nachweisbar seine Email-Adresse selbst in einer Weise, die
solche Verwendung absehbar gemacht hätte, mitgeteilt oder veröffentlich hatte - die Interessen der Beklagten an einer Werbemaßnahme für von ihr vertriebene Masken überwogen. Zudem spricht viel dafür, auch insoweit die Maßstäbe des § 7 Abs. 2 UWG zu berücksichtigen. Das OVG Saarlouis (B.v. 16.02.2021, 2 A 355/19, NJW 2021, 2225) führte in einem Fall der unerlaubten Telefonwerbung hierzu aus „dass die Bewertungsmaßstäbe des § 7 II Nr. 2 UWG, welcher der Umsetzung RL 2002/58/EG dient, auch im Rahmen des Art. 6 I Buchst. f DSGVO zu berücksichtigen wären. Es ist zwar zutreffend, dass auch die Verarbeitung personenbezogener Daten für Direktwerbung ein berechtigtes Interesse nach dem Erwägungsgrund 47 DS-GVO darstellen kann. Aber auch in diesem Zusammenhang ist zu berücksichtigen, dass die Ziele, die mit der Verarbeitung verfolgt werden, unionrechtskonform sein müssen. Daher gilt auch in diesem Zusammenhang die Wertung des § 7 II Nr. 2 UWG Geltung beanspruchen, mit der Folge, dass sich die Kl. nicht auf ein „berechtigtes“ Interesse berufen kann. Für dieses Ergebnis spricht im Übrigen auch die Forderung, für die Auslegung des Art. 6 I Buchst. f DSGVO als Ausgangspunkt konkret gefasste Erlaubnistatbestände aus dem nationalen Recht heranzuziehen, um dem allgemeinen Erlaubnistatbestand Konturen zu verleihen und Rechtssicherheit herzustellen“. Diese Ausführungen überzeugen und gelten ebenso für den hier vorliegenden Fall der Direktwerbung per Email, der ebenfalls von Art. 13 der Richtlinie 2002/58/EG erfasst und in § 7 Abs. 2 Nr. 3 UWG konkret geregelt ist.

Zudem hat die Beklagte auch gegen Art. 14 sowie 15 DS-GVO verstoßen. Gemäß Art. 14 DSGVO hat der Verantwortliche in dem Fall, dass die Erhebung der Daten nicht bei der betroffenen Person selbst erfolgt ist - was hier unstrittig der Fall war - eine Informationspflicht gegenüber dem Betroffenen über die in Art. 14 Abs. 1, 2 genannten Einzelheiten, welche gem. Art. 14 Abs. 3 lit, a, b DSGVO unter Berücksichtigung der spezifischen Umstände der Verarbeitung der personenbezogenen Daten innerhalb einer angemessenen Frist nach Erlangung der personenbezogenen Daten, längstens jedoch innerhalb eines Monats, bzw. falls die personenbezogenen Daten zur Kommunikation mit der betroffenen Person verwendet werden sollen, spätestens zum Zeitpunkt der ersten Mitteilung an sie (auch in diesem Fall jedoch spätestens innerhalb eines Monats, vgl. Kühling/Buchner/Bäcker, 3. Aufl. 2020, DSGVO Art. 14 Rn. 33; Paal/Pauly/Paal/Hennemann, 3. Aufl. 2021, DS-GVO Art. 14 Rn. 34) zu erfüllen ist. Eine Erfüllung dieser Pflicht - insbesondere innerhalb der Frist (die Beklagte speicherte die Daten ihrer eigenen Einlassung nach bereits ab 25.12.2020) - wurde nicht ersichtlich.

[...]

Die Höhe des Anspruchs ist dabei nicht willkürlich, sondern auf der Grundlage der inhaltlichen Schwere und Dauer der Rechtsverletzung zu beurteilen, unter Berücksichtigung des Kontexts, der Umstände eines Verstoßes. Genugtuungs- und Vorbeugungsfunktion können bei der Bezifferung eine Rolle spielen. Einerseits darf die Höhe des Schadensersatzes keine Strafwirkung entfalten. Andererseits reicht ein künstlich niedrig bezifferter Betrag mit symbolischer Wirkung nicht aus, um die praktische Wirksamkeit des Unionsrechts sicherzustellen (vgl. Paal/Pauly/Frenzel, 3. Aufl. 2021, DS-GVO Art. 82 Rn. 12a).

So sprach etwa das AG Hildesheim (U.v. 05.10.2020, 43 C 145/19, ZD 2021, 384) 800,00 € zu in einem Fall, in dem auf einem wiederaufbereiteten und weiterveräußerten PC private Daten des ursprünglichen Besitzers noch vorhanden und somit an den Dritten gelangt waren.

Das LG Lüneburg ( Urteil vom 14.7.2020 – 9 O 145/19, ZD 2021, 275) etwa sprach 1.000,00 € zu in einem Fall eines rechtswidrigen Schufa-Eintrags.

Vorliegend berücksichtigt das Gericht, dass der Kläger (der selbst zunächst von der Beklagten 300,00 € gefordert hatte, im Rahmen der prozessualen Geltendmachung dann einen Bereich von nicht unter 100,00 € für angemessen hielt) nicht nur von einem, sondern von mehreren Verstößen der Beklagten gegen Vorschriften der DSGVO betroffen war (s.o.). Andererseits blieben die Auswirkungen für den Kläger - anders als etwa in den beiden o.g. Fällen des AG Hildesheim und des LG Lüneburg im „eigenen Bereich“ des Klägers, es wurde von den Verstößen kein Bereich tangiert (jedenfalls wurde derartiges nicht erkennbar), der Beziehungen des Klägers zu anderen Dritten betraf, etwa (auch nur potentiell) die Gefahr einer Schädigung seines Ansehens, seiner Kreditwürdigkeit o.ä. bot. Die erkennbaren Auswirkungen lagen vielmehr darin, dass der Kläger sich - wie er unwidersprochen vortrug - sich mit der Abwehr der von ihm unerwünschten Werbung und der Herkunft der Daten auseinandersetzen musste. Gerade letzteres - zumal unter Berücksichtigung der Dauer des Verstoßes und der zunächst nicht ansatzweise zielführend erfolgten Auskunftserteilung - ist geeignet, zu einem durchaus belastenden Eindruck des Kontrollverlusts zu führen, zumal dies auch die Auseinandersetzung mit dem Verstoß und auch die Abwehr ggf. drohender anderweitiger Verstöße erschwert (die Quelle der Daten kann ja - und wird erfahrungsgemäß - auch die Quelle für andere sein, die ggf. unter Verstoß gegen die DSGVO diese Daten verarbeiten). Vor diesem Hintergrund ist insbesondere die bestenfalls als zögerlich zu bezeichnende Information durch die Beklagte (die insoweit auch im Prozess recht vage blieb, wenn auch der Kläger dies nicht mehr weiter verfolgte) im Interesse einer effektiven Abschreckung als schmerzensgelderhöhend zu berücksichtigen. Soweit die Beklagte mit ihrem letzten Vorbringen möglicherweise behaupten will, nur zur Versorgung ihrer Mitmenschen agiert zu haben (quasi altruistisch) erscheint dies im Übrigen wenig lebensnah. Nicht zu berücksichtigen war dagegen, dass der Kläger zwischenzeitlich weitere unerwünschte Emails erhalten haben mag; eine Verantwortung der Beklagten hierfür wird schon nicht behauptet oder ersichtlich.

Das Gericht erachtet - auch im Vergleich mit den o.g. Entscheidungen, denen noch deutlich gravierendere (zumindest potentielle) Auswirkungen zugrundelagen - vorliegend im Ergebnis eine Entschädigung von 300,00 € für angemessen."


Den Volltext der Entscheidung finden Sie hier:


BVerfG: Streitrelevante Fragen zur Auslegung des Geldentschädigungsanspruchs aus Art. 82 DSGVO müssen EuGH zur Entscheidung vorgelegt werden

BVerfG
Beschluss vom 14.01.2021
1 BvR 2853/19

Das Bundesverfassungsgericht hat entschieden, dass streitrelevante Fragen zur Auslegung des Geldentschädigungsanspruchs aus Art. 82 DSGVO dem EuGH zur Entscheidung vorgelegt werden müssen, da insofern noch keine erschöpfende Klärung durch den EuGH erfolgt ist und viele offene Rechtsfragen bestehen.

Aus den Entscheidungsgründen:

Die Kammer nimmt die zulässige Verfassungsbeschwerde zur Entscheidung an und gibt ihr statt, weil dies zur Durchsetzung des als verletzt gerügten Rechts des Beschwerdeführers auf den gesetzlichen Richter gemäß Art. 101. Abs. 1 Satz 2 GG angezeigt ist, § 93a Abs. 2 Buchstabe b BVerfGG. Diese Entscheidung kann von der Kammer getroffen werden, weil die maßgeblichen verfassungsrechtlichen Fragen durch das Bundesverfassungsgericht bereits entschieden sind und die Verfassungsbeschwerde danach offensichtlich begründet ist, § 93c Abs. 1 Satz 1 BVerfGG.

1. Das Amtsgericht hat das Recht des Beschwerdeführers auf den gesetzlichen Richter verletzt, indem es aufgrund der teilweisen Klageabweisung, der dadurch für den Beschwerdeführer nicht erreichten Berufungsbeschwer (§ 511 Abs. 2 Nr. 1 ZPO) und der nicht zugelassenen Berufung letztinstanzlich tätig geworden ist und entgegen Art 267 Abs. 3 AEUV von einem Vorabentscheidungsersuchen an den Gerichtshof der Europäischen Union abgesehen hat

a) Der Gerichtshof der Europäischen Union ist gesetzlicher Richter im Sinne des Art. 101 Abs. 1 Satz 2 GG (vgl. BVerfGE 73,339 <366>; 82, 159 <192>; 126, 286 <315>; 128, 157 <186 f.>; 129,78 <105>; 135, 155 <230 f. Rn. 177>). Unter den Voraussetzungen des Art. 267 Abs. 3 AEUV sind die nationalen Gerichte von Amts wegen gehalten, den Gerichtshof anzurufen (vgl. BVerfGE 82, 159 <192 f.>; 128, 157 <187>; 129,78 <105». Es kann einen Entzug des gesetzlichen Richters darstellen, wenn ein nationales Gericht seiner Pflicht zur Anrufung des Gerichtshofs im Wege des Vorabentscheidungsverfahrens nach Art. 267 Abs. 3 AEUV nicht nachkommt (vgl. BVerfGE 73, 339 <366 f.>; 82, 159 <192 ff.>; 135, 155 <230 f. Rn.177>; st Rspr).

Nach der Rechtsprechung des Gerichtshofs der Europäischen Union (EuGH, Urteil vom 6. Oktober 1982, C.I.L.F.I.T., C-283/81, EU:C:1982:335, Rn. 21; Urteil vom 15. September 2005, C-495/03, EU:C:2005:552, Rn. 33; Urteil vom 6. Dezember 2005, C-461/03, EU:C:2005:742, Rn. 16; st Rspr) muss ein nationales letztinstanzliches Gericht seiner Vorlagepflicht nachkommen, Wenn sich in einem bei ihm schwebenden Verfahren eine Frage des Unionsrechts stellt, es sei denn, das Gericht hat festgestellt, dass die gestellte Frage nicht entscheidungserheblich ist, dass die betreffende unionsrechtliche Bestimmung bereits Gegenstand einer Auslegung durch den Gerichtshof war (acte éclairé) oder dass die richtige Anwendung des Unionsrechts derart offenkundig ist, dass für einen vernünftigen Zweifel keinerlei Raum bleibt (acte clair) (vgl. auch BVerfGE 82, 159 <193>; 128, 157 <187>; 129,78 <105 f.>; 140,317 <376 Rn. 125>; 147,364 <378 f. Rn. 37>). Davon darf das innerstaatliche Gericht aber nur ausgehen, wenn es überzeugt ist, dass auch für die Gerichte der übrigen Mitgliedstaaten und für den Gerichtshof der Europäischen Union die gleiche Gewissheit bestünde. Nur dann darf das Gericht von einer Vorlage absehen und die Frage in eigener Verantwortung lösen (vgl. EuGH, Urteil vom 6. Oktober 1982, C.I.L.F.I.T., C-283/81, EU:C:1982:335, Rn. 16).

Diese Grundsatze gelten auch für die unionsrechtliche Zuständigkeitsvorschrift des Art. 267 Abs. 3 AEUV. Daher stellt nicht jede Verletzung der unionsrechtlichen Vorlagepflicht zugleich einen Verstoß gegen Art. 101 Abs. 1 Satz 2 GG dar (vgl. BVerfGE 126, 286 <315>; 147, 364 <380 Rn. 40>). Das Bundesverfassungsgericht überprüft nur, ob die Auslegung und Anwendung der Zuständigkeitsregel des Art. 267 Abs. 3 AEUV bei verständiger Würdigung der das Grundgesetz bestimmenden Gedanken nicht mehr verständlich erscheint und offensichtlich unhaltbar ist (vgl. BVerfGE 126, 286 <315 f.>; 128, 157 <187>; 129, 78 <106>). Durch die zurückgenommene verfassungsrechtliche Prüfung behalten die Fachgerichte bei der Auslegung und Anwendung von Unionsrecht einen Spielraum eigener Einschätzung und Beurteilung, der demjenigen' bei der Handhabung einfachrechtlicher Bestimmungen der deutschen Rechtsordnung entspricht. Das Bundesverfassungsgericht wacht allein über die Einhaltung der Grenzen dieses Spielraums (vgl. BVerfGE 126, 286 <316>). Ein "oberstes Vorlagenkontrollgericht" ist es nicht (vgl. BVerfGE 126, 286 <316>; 135, 155 <231 f. :Rn. 180>; 147, 364 <379 f. Rn. 39>; BVerfGE 13, 506 <512>; 14, 230 <233>; 16, 328 <336>; BVerfG, Beschluss der 1. Kammer des Zweiten Senats vom 9. November 1987 - 2 BvR 808/82 -, NJW 1988, S. 1456 [1457]).

Die Vorlagepflicht nach Art. 267 AEUV zur Klärung der Auslegung unionsrechtlicher Vorschriften wird in verfassungswidriger Weise gehandhabt, wenn ein letztinstanzliches Gericht eine Vorlage trotz der - seiner Auffassung nach bestehenden - Entscheidungserheblichkeit der unionsrechtlichen Frage überhaupt nicht in Erwägung zieht, obwohl es selbst Zweifel hinsichtlich der richtigen Beantwortung der Frage hat (grundsätzliche Verkennung der Vorlagepflicht; vgl. BVerfGE 82, 159 <195 f.>; 126,286 <316 f.>; 128, 157 <187 f.>; 129,78 <106 f.>; 135, 155 <232 Rn. 181>; 147,364 <380 Rn. 41>).

Gleiches gilt in den Fällen, in denen das letztinstanzliche Gericht in seiner Entscheidung bewusst von der Rechtsprechung des Gerichtshofs zu entscheidungserheblichen Fragen abweicht .und gleichwohl nicht oder nicht neuerlich vorlegt (bewusstes Abweichen von der Rechtsprechung des Gerichtshofs ohne Vorlagebereitschaft; vgl. BVerfGE 75, 223 <245>; 82,159 <195>; 126,286 <316 f.>; 128, 157 <187 f.>; 129, 78 <106 f.>; 135, 155 .<232 Rn. 182>; 147, 364 <381 Rn. 42>).

Liegt zu einer entscheidungserheblichen Frage des Unionsrechts einschlägige Rechtsprechung des Gerichtshofs der Europäischen Union noch nicht vor oder hat er die entscheidungserhebliche Frage möglicherweise noch nicht erschöpfend beantwortet oder erscheint eine Fortentwicklung der Rechtsprechung des Gerichtshofs nicht nur als entfernte Möglichkeit (Unvollständigkeit der Rechtsprechung), so wird Art. 101 Abs. 1 Satz 2 GG verletzt, wenn das letztinstanzliche Hauptsachegericht den ihm in solchen Fällen notwendig zukommenden Beurteilungsrahmen in unvertretbarer Weise überschritten hat (vgl. BVerfGE 82, 159 <195 f.>; 126, 286 <316 f.>; 128, 157 <187 f.>; 129, 78 <106 f.>; 135, 155 <232 f. Rn. 183>). Dies kann insbesondere dann der Fall sein, wenn mögliche Gegenauffassungen zu der entscheidungserheblichen Frage des Unionsrechts gegenüber der vom Gericht vertretenen Meinung eindeutig vorzuziehen sind (vgl. BVerfGE 82, 159 <195 f.>; BVerfGK 10,19 <29>). Jedenfalls bei willkürlicher Annahme eines "acte clair" oder eines "acte éclairé" durch die Fachgerichte ist der Beurteilungsrahmen in unvertretbarer Weise überschritten (vgl. BVerfGE 135, 155 <232 f. Rn. 183>; 147; 364 <381 Rn. 43>).

In diesem Zusammenhang ist auch zu prüfen, ob sich das Gericht hinsichtlich des Unionsrechts ausreichend kundig gemacht hat. Etwaige einschlägige Rechtsprechung des Gerichtshofs der Europäischen Union muss es auswerten und seine Entscheidung hieran orientieren (vgl. BVerfGE 82, 159 <196>; 128, 157 <189>). Auf dieser Grundlage muss das Fachgericht unter Anwendung und Auslegung des materiellen Unionsrechts (vgl. BVerfGE 75, 223 <234>; 128, 157 <188>; 129, 78 <107>) die vertretbare Überzeugung bilden, dass die Rechtslage entweder von vornherein eindeutig ("acte clair") oder durch Rechtsprechung in einer Weise geklärt ist, die keinen vernünftigen Zweifel offen lässt ("acte eclaine"; vgl. BVerfGE 129, 78 <107>). Hat es dies nicht getan, verkennt es regelmäßig die Bedingungen für die Vorlagepflicht. Zudem hat das Fachgericht Gründe anzugeben, die dem Bundesverfassungsgericht eine Kontrolle am Maßstab des Art. 101 Abs. 1 Satz 2 GG ermöglichen (vgl. BVerfGE 147,364 <380 f. Rn. 41>; BVerfGE 8, 401 <405>; 10, 19 <30 f.>; BVerfG, Beschluss der 2. Kammer des Ersten Senats vom 9. Januar 2001 - 1 BvR 1036/99 -, Rn. 21; Beschluss der 3. Kammer des Ersten Senats vom 20. Februar 2008 - 1 BvR 2722/06 -; Beschluss der 3. Kammer des Ersten Senats vom 25. Februar 2010 - 1 BvR 230/09 -, Rn. 19).

Bei den in der Rechtsprechung des Bundesverfassungsgerichts genannten Fallgruppen handelt es sich um eine nicht abschließende Aufzählung von Beispielen für eine verfassungsrechtlich erhebliche Verletzung der Vorlagepflicht. Für die Frage nach einer Verletzung des Rechts auf den gesetzlichen Richter gemäß Art. 101 Abs. 1 Satz 2 GG durch Nichtvorlage an den Gerichtshof der Europäischen-Union kommt es im Ausgangspunkt nicht in erster Linie auf die Vertretbarkeit der fachgerichtlichen Auslegung des für den Streitfall maßgeblichen materiellen Unionsrechts - hier der DSGVO - an, sondern auf die Beachtung oder Verkennung der Voraussetzungen der Vorlagepflicht nach der Vorschrift des Art. 267 Abs. 3 AEUV, die den gesetzlichen Richter im Streitfall bestimmt (vgl. BVerfGE 128, 157 <188>; BVerfG, Beschluss der 3. Kammer des Ersten Senats vom 25. Februar 2010 - 1 BvR 230109 -, Rn. 20; Beschluss der 2. Kammer des Ersten Senats vom 30. August 2010 - 1 BvR 1631/08, Rn. 48).

b) Unter Berücksichtigung dieser Grundsätze hat das Amtsgericht Art. 101 Abs. 1 Satz 2 GG verletzt, indem es von einem Vorabentscheidungsersuchen wegen der zu klärenden Frage, ob im vom Beschwerdeführer vorgetragenen Fall der datenschutzwidrigen Verwendung einer Email-Adresse und der Übersendung einer ungewollten Email an das geschäftliche Email-Konto des Beschwerdeführers nach Art. 82 Abs. 1 DSGVO ein Schmerzensgeldanspruch des Beschwerdeführers in Betracht kommt.

aa) Das Amtsgericht hätte nicht ohne Vorabentscheidungsersuchen an den Gerichtshof der Europäischen Union entscheiden dürfen, dass sich kein Anspruch des Beschwerdeführers aus der ohne seine, ausdrückliche Einwilligung erfolgten Übersendung der Email aus Art. 82 DSGVO ergebe, weil ein Schaden nicht eingetreten sei.

Der im Ausgangsverfahren zu beurteilende Sachverhalt warf die Frage auf, unter welchen Voraussetzungen Art. 82 Abs. 1 DSGVO einen Geldentschädigungsanspruch gewährt und welches Verständnis dieser Vorschrift insbesondere im Hinblick auf Erwägungsgrund 146 Satz 3 zu geben ist; der eine weite Auslegung des Schadensbegriffs im Lichte der Rechtsprechung des Gerichtshofs der Europäischen Union verlangt, die den Zielen der DSGVO in vollem Umfang entspricht. Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen, also diejenige natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (vgl. Art. 4 Nr. 7 DSGVO).

Dieser Geldentschädigungsanspruch ist in der Rechtsprechung des Gerichtshofs der Europäischen Union weder erschöpfend geklärt noch kann er in seinen einzelnen, für die Beurteilung des im Ausgangsverfahrens vorgetragenen Sachverhalts notwendigen Voraussetzungen unmittelbar aus der DSGVO bestimmt werden. Auch in der bislang vorliegenden Literatur, die sich im Hinblick auf Erwägungsgrund 146 wohl für ein weites Verständnis des Schadensbegriffes ausspricht, sind die Details und der genaue Umfang des Anspruchs noch unklar (vgl. Gola/Piltz, in: Gola, DSGVO, 2. Aufl., 2018, Art. 82 Rn. 12 f.; Quaas, in: BeckOK Datenschutzrecht, 34. Ed., 11/2020, Art. 82 Rn. 23 f.; Bergt, in: Kühling/Buchner, DSGVO BDSG, 3. Aufl., 2020, Art. 82, Rn. 17 f.; Boehm, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 1. Aufl., 2019, Art. 82 Rn. 11 f.; Frenzel, In: Paal/Pauly, DSGVO BDSG, 2. Aufl., 2018, Art. 82 Rn. 10). Von einer richtigen Anwendung des Unionsrechts, die derart offenkundig ist, dass für vernünftige Zweifel kein Raum bliebe (acte clair), konnte das Amtsgericht ebenfalls nicht ausgehen. Dies gilt umso mehr, als Art. 82 DSGVO ausdrücklich immaterielle Schäden einbezieht.

bb) Die angegriffene Entscheidung zeigt, dass das Amtsgericht die Problematik der Auslegung des Art. 82 Abs. 1 DSGVO durchaus gesehen hat. Es hat sodann aber verfassungsrechtlich relevant fehlerhaft eine eigene Auslegung des Unionsrechts vorgenommen, indem es sich für die Ablehnung des Anspruchs auf ein Merkmal fehlender Erheblichkeit gestützt hat, das so weder unmittelbar in der DSGVO angelegt ist, noch von der Literatur befürwortet oder vom Gerichtshof der Europäischen Union verwendet wird.

Gleiches gilt für den vom Beschwerdeführer mit angegriffenen Beschluss des Amtsgerichts, mit dem es die erhobene Gehörsrüge des Beschwerdeführers zurückgewiesen hat. Auch hier rekurriert das Amtsgericht auf das Bestehen eines bislang ungeklärten Merkmals eines Bagatellverstoßes im Rahmen des Art. 82 Abs. 1 DSGVO.

cc) Die Antwort auf die Rechtsfrage, wie Art. 82 Abs. 1 DSGVO vor dem Hintergrund von Erwägungsgrund 146 in Fällen der Übersendung einer Email ohne Zustimmung auszulegen ist, war für die Entscheidung über den vom Beschwerdeführer geltend gemachten Zahlungsanspruch entscheidungserheblich.


Den Volltext der Entscheidung finden Sie hier:



LG Frankfurt: Schadensersatz gem. Art. 82 DSGVO - Rechtsgut der betroffenen Person muss infolge der Verletzung einer DSGVO-Norm im Vergleich zum status quo ante nachteilig verändert worden sein

LG Frankfurt
Urteil vom 18.09.2020
2-27 O 100/20


Das LG Frankfurt hat entschieden, dass ein Schadensersatzanspruch gemäß Art. 82 DSGVO voraussetzt, dass ein Rechtsgut der betroffenen Person infolge der Verletzung einer Norm der DSGVO im Vergleich zum status quo ante nachteilig verändert wurde.

Aus den Entscheidungsgründen:

Ein Anspruch des Klägers gegen die Beklagte auf Zahlung von 8400,00 € nach Art. 82 DSGVO besteht nicht.

Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen die Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen. Dem Kläger ist zwar unstreitig bisher kein materieller Schaden entstanden, wohl aber ein immaterieller Schaden. Dieser liegt darin, dass seine personenbezogenen Daten Dritten ohne sein Einverständnis zugänglich wurden. Die Kompensation einer solchen öffentlichen "Bloßstellung" fällt unter Art. 82 Abs. 1 DSGVO (Ehmann/Selmayr, DSGVO, 2. Aufl., Art. 82 Rn. 13; Sydow, DSGVO, 2. Aufl., Art. 82 Rn. 6). Die Beklagte ist auch tauglicher Anspruchsgegner. Sie war Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO, da sie über die Zwecke und Mittel der - unstreitig - stattgefundenen Verarbeitung der Daten des Klägers entschied.

Der Schaden muss jedoch wegen eines Verstoßes gegen die DSGVO entstanden sein. Es muss also ein Verstoß gegen die DSGVO und dessen Kausalität für den Schaden festgestellt werden. Ein Rechtsgut der betroffenen Person muss infolge der Verletzung einer Norm der DSGVO im Vergleich zum status quo ante nachteilig verändert worden sein (Ehmann/Selmayr, DS-GVO 2. Aufl. Art. 82 Rn. 11).

Die Veröffentlichung der Daten, für die der Kläger einen Schadensersatz von 2000,00 € geltend macht, stellt an sich keinen Verstoß der Beklagten gegen die DSGVO dar. Die Veröffentlichung könnte nur dann als Verstoß gegen Art. 5 Abs, 1 a) oder f) DSGVO eingeordnet werden, wenn die Beklagte bzw, BB sie unberechtigt vorgenommen hätte. Dies lässt sich aber nicht feststellen und wird auch von dem Kläger nicht konkret vorgetragen. Der Kläger ist jedoch für den Verstoß gegen die DSGVO darlegungs- und beweisbelastet; erst hinsichtlich der Verantwortlichkeit für den Verstoß sieht Art, 82 Abs, 3 DSGVO eine Vermutung zu Lasten des Anspruchsgegners vor. Hat die Beklagte bzw. BB die Veröffentlichung nicht selbst vorgenommen, so kann sie lediglich die Folge einer Verletzung der Pflichten aus der DSGVO durch die Beklagte bzw. BB sein, nicht aber der Verstoß an sich.

Der Schadensersatzanspruch folgt weiter nicht daraus, dass die Beklagte die BB GmbH nicht nach Art. 28 Abs. 1 DSGVO ordnungsgemäß ausgewählt oder überwacht hat. Dass dies nicht geschehen ist, lässt sich nach dem Sach- und Streitstand schon nicht feststellen. Ein entsprechendes Beweisangebot des Klägers fehlt, ebenso entsprechende Indizien. Insbesondere kann der Kläger sich nicht darauf berufen, es sei offensichtlich, dass die BB GmbH ihr auferlegte Sicherheitsvorkehrungen nicht einhalten könne, weil es sich bei dem Firmensitz um ein Einfamilienhaus in einer Wohnsiedlung handele. Dass sich der Firmensitz dort befindet, sagt nichts darüber aus, wo die Datenverarbeitung erfolgt. Darüber hinaus lässt sich die Kausalität eines etwaigen Verstoßes gegen Pflichten der Beklagten aus der DSGVO für den Datenvorfall und damit für den Schaden des Klägers nicht feststellen. Denn letztlich ist - auch nach dem zuletzt gehaltenen und bestrittenen Vortrag des Klägers hinsichtlich des nicht geänderten Initialpassworts - letztlich unklar geblieben, wodurch das Datenleck verursacht wurde. Dass es durch ein anderes Auswahlverfahren, andere Sicherheitsvorkehrungen oder andere Überwachungen verhindert hätte werden können, bleibt danach Spekulation, Hinzu kommt, dass ein werkseitig individuell voreingestelltes Passwort im Ausgangspunkt nicht weniger sicher als ein vom Nutzer persönlich eingestelltes Passwort sein muss (BGH, Urteil vom 24. November 2016 - I ZR 220/15 —, Rn. 16, juris).

Soweit der Kläger seinen Anspruch in Höhe von 700,00 € darauf stützt, dass seine Daten nach dem 19.08.2019 noch verfügbar gewesen seien und jedenfalls während eines IT-Checks am 29.08.2019 jedermann habe auf sie zugreifen können, vermag dies ebenfalls keinen Schadensersatzanspruch zu begründen. Es kann dahinstehen, ob überhaupt ein Verstoß gegen die DSGVO vorliegt. Denn jedenfalls ist dem Kläger kein Schaden entstanden. Der Kläger behauptet nicht, dass nach dem 19,08.2019 seine Daten nochmals veröffentlicht worden seien oder sie von Unbefugten etwa während des Checks tatsächlich zur Kenntnis genommen worden wären. Dann aber steht dem Kläger kein Schadensersatzanspruch zu. Denn nicht jede Datenschutzrechtverletzung in Form einer nicht (vollständig) rechtskonformen Datenverarbeitung ist automatisch ein ersatzfähiger Schaden (vgl. etwa Wybitul, NJW 2019, 3265 mwN), Vielmehr muss die Verletzungshandlung auch zu einer konkreten Verletzung von Persönlichkeitsrechten der betroffenen Person geführt haben (Wybitul, aaO), Eine weite Auslegung des Schadensbegriffs nach Art. 82 DSGVO, nach dem mit jedem Verstoß ein Schaden begründet wird (sowohl Ehmann/Selmayr, DS-GVO, 2. Aufl., Art. 82 Rn. 13), widerspricht der Systematik des deutschen Rechts. Die mitgliedsstaatlichen Gerichte sind zu einem überkompensatorischen Strafschadensersatz grundsätzlich nicht verpflichtet; nach dem Äquivalenzgrundsatz wäre ein solcher nur dann erforderlich, wenn die mitgliedstaatliche Rechtsordnung allgemein Strafschadensersatz vorsieht (Wytibul, aaO). Das ist jedoch in Deutschland nicht der Fall.

Aus dem identischen Grund steht dem Kläger kein Anspruch in Höhe von 700,00 € wegen Änderung des Administratorenpasswortes im Mai 2019 zu.

Ferner kann der Kläger nicht damit gehört werden, die Beklagte habe gegen Art. 28 DSGVO verstoßen, weil ein Vertrag nach dieser Norm mit BB fehle. Ein Schadensersatzanspruch in Höhe von 800,00 € besteht insofern nicht. Die Beklagte hat einen Datenverarbeitungsvertrag mit der BB GmbH geschlossen. Zwar ist in dem Vertrag kein Rechtsformzusatz für die dort bezeichnete "B..." genannt. Allerdings ergibt sich aus den weiteren zu ihr genannten Daten, dass es sich um die GmbH handelte. Dass der Vertrag nicht von sämtlichen Parteien unterzeichnet wurde, ist unerheblich. Nach Art. 28 Abs. 9 DSGVO bedarf es einer schriftlichen Abfassung, auch in elektronischem Format. Danach ist keine Unterzeichnung erforderlich (vgl. Ehmann/Semayr, DS-GVO, 2. Aufl., Art. 28 Rn. 12); es genügt die Abfassung in Textform nach § 126b BGB. Diesem Erfordernis genügt der Vertrag. Ferner ist nicht ersichtlich, dass der Vertrag den Anforderungen des Art. 28 DSGVO nicht genügen würde. Dass mit der BB Ltd. kein gesonderter Vertrag geschlossen wurde, ist ebenfalls unschädlich. Denn es war vertraglich unter Ziffer 7 des Vertrages geregelt, dass die BB GmbH bei einem Einsatz von Unterverarbeitern diesen gegenüber mindestens dieselben Datenschutzverpflichtungen festzulegen hatte, wie sie der Vertrag zwischen der Beklagten und der BB GmbH vorsah. Dies entspricht Art. 28 Abs. 4 DSGVO. Auch der hierfür geltend gemachte Anspruch in Höhe von 1000,00 € besteht nicht.

Auf die unterlassene Verwendung von Hashes kann der Kläger gleichfalls keinen Schadensersatzanspruch stützen, weil ein Verstoß gegen die DSGVO nicht vorliegt. Bei der Verarbeitung der personenbezogenen Daten muss eine angemessene Sicherheit gewährleistet sein, Art. 5 Abs. 1 f) DSGVO, Dies erfordert geeignete technische und organisatorische Maßnahmen zum Schutz vor unbefugter und unrechtmäßiger Verarbeitung, wobei die Anforderungen in Art. 32 DSGVO festgelegt werden. Art, 32 Abs. 1 a) DSGVO erwähnt zwar Verschlüsselung als technisches Maßnahme, fordert die Anwendung von Hashes aber gerade nicht. Selbiges gilt für die PCC-DSS-Standards. Für seine Behauptung, es sei auch keine anderweitige Kryptografie erfolgt bietet der Kläger keinen Beweis an.

Der Kläger hat gegen die Beklagte keinen Anspruch auf Schadensersatz in Höhe von 1000,00 €, weil Daten gegenüber der M... International inc. ohne Rechtsgrundlage zugänglich gemacht worden wären. Dass der M... International Inc. im Rahmen des Priceless Specials Programms erhobene Daten von Kunden preisgegeben wurden, trägt der Kläger schon nicht substantiiert vor. Erst recht gilt dies für seine konkreten Daten. Dass die M... International Inc. an der Datenverarbeitung beteiligt war, ist aufgrund des als Anlage B 5 vorgelegten Vertrages auch keineswegs zwingend. Dies gilt auch dann, wenn die M... Inc. gemeinsame Verantwortliche nach Art, 26 DSGVO gewesen sein sollte. Denn der Verantwortliche hat die Entscheidungsgewalt über Zweck und Mittel der Verarbeitung; diese kann auch ausgeübt werden, ohne dass der Verantwortliche selbst an der Durchführung der Verarbeitung beteiligt ist (Ehmann/Selmayr, DS-GVO, 2. Aufl., Art. 4 Rn. 36). Es fehlt danach an einem Schaden des Klägers.

Die Behauptung des Klägers, es fehle an einer Vereinbarung zur gemeinsamen Verantwortlichkeit, was ihm zusätzlich nicht mitgeteilt worden sei, rechtfertigt keinen Schadensersatzanspruch in Höhe von insgesamt 1200,00 €. Erneut fehlt es an einem Schaden des Klägers, weil nicht ersichtlich ist, dass seine Daten der M... International Inc. überhaupt zugänglich gemacht wurden. Überdies regelt Art. 26 DSGVÖ lediglich, dass bei zwei oder mehr Verantwortlichen festzulegen ist, wer welche Verpflichtung gemäß der Verordnung erfüllt. Wo der Schaden des Klägers liegen soll, wenn dies nicht geschehen ist und er nicht informiert wurde, ist nicht ersichtlich. Dies gilt insbesondere vor dem Hintergrund des Art. 26 Abs. 3 DSGVO. Schließlich kann der Kläger keinen Schadensersatz in Höhe von 1000,00 € deswegen gegen die Beklagte geltend machen, weil keine ausreichende Vereinbarung von Binding Corporate Rules für Zugriffsmöglichkeiten durch ein US-Unternehmen auf Daten erfolgt sei. Erneut ist schon eine Beeinträchtigung des Klägers nicht feststellbar (s.o.). Ungeachtet dessen lag für die M... International Inc. eine geeignete Garantie in Form von verbindlichen internen Datenschutzvorschriften nach Art. 46 Abs. 1, Abs. 2b), 47 DSGVO vor. Aus dem Datenverarbeitungsvertrag ergibt sich, dass durch die zuständige Aufsichtsbehörde genehmigte Binding Corporate Rules existierten, was ausreichend ist. Für seinen das in Abrede stellenden Vortrag ist der Kläger beweisfällig geblieben.

Für andere deliktische Ansprüche besteht eine Sperrwirkung der DSGVO (Sydow, DSGVO, 2. Aufl., Art. 82 Rn.27).

Ein Anspruch aus § 280 Abs. 1 BGB besteht gleichfalls nicht, weil sich nach den obigen Ausführungen nicht feststellen lässt, dass die Beklagte eine Vertragspflichtverletzung begangen hat, die kausal zu einem Schaden, nämlich der Beeinträchtigung des Allgemeinen Persönlichkeitsrechts des Klägers, geführt hat.

Den Volltext der Entscheidung finden Sie hier: