BECKMANN UND NORDA - Rechtsanwälte Bielefeld

AG Ludwigsburg
Urteil vom 28.02.2023
8 C 1361/22

Das AG Ludwigsburg hat zutreffend entschieden, dass die Google Fonts-Abmahnungen eine Serienabmahners rechtsmissbräuchlich waren. Daher besteht auch kein Anspruch auf Unterlassung, Schadensersatz und Erstattung der Abmahnkosten.

Aus den Entscheidungsgründen:
Der Widerkläger hat gegen die Widerbeklagte keinen Anspruch auf Unterlassung gem. § 823 Abs. 1 in Verbindung mit § 1004 Abs. 1 S. 2 BGB analog und auf Schadensersatz gem. Art. 82 Abs. 1 DS-GVO wegen der dynamischen Einbindung von X. Fonts auf der Webseite der Widerbeklagten.

1. Das Landgericht München I (Urteil vom 20.01.2022 -3017493/20 -, juris) hat entschieden, dass die unerlaubte Weitergabe der IP-Adresse eines Webseitenbesuchers wegen der dynamischen Einbindung von X. Fonts auf der Webseite eine Verletzung des allgemeinen Persönlichkeitsrechts des Webseitenbesuchers darstellt und ein Unterlassungsanspruch gem. § 823 Abs. 1 in Verbindung mit § 1004 Abs. 1 S. 2 BGB analog sowie ein Schadensersatzanspruch gern. Art. 82 Abs. 1 DS-GVO bestehen, wenn keine Rechtfertigungsgründe in Betracht kommen.

14
Unbestritten hat der Widerkläger am 17.09.2022 die Webseite der Widerbeklagten unter Einsatzes eines Webcrawlers aufgesucht. Ob der Besuch mit der IP-Adresse des Widerklägers (…) erfolgte, ob die Widerbeklagte einen Link zugunsten von X. in den USA zur Weiterleitung der IP-Adresse des Besuchers der Webseite eingerichtet hatte und die IP-Adresse des Widerklägers an einen Server von X. in den USA gesandt wurde, kann dahinstehen. Ebenso kann dahinstehen, ob ein Schadensersatzanspruch gem. Art. 82 Abs. 1 DS-GVO beim Aufsuchen der Webseite mittels eines Webcrawlers überhaupt in Betracht kommt.

2. Den vom Widerkläger geltend gemachten Ansprüchen steht der Einwand des Rechtsmissbrauchs gemäß § 242 BGB entgegen.

Die Rechtsausübung ist rechtsmissbräuchlich, wenn ihr kein schutzwürdiges Eigeninteresse zugrunde liegt (Grüneberg, BGB, 81. Aufl., §242 Rn. 50). Das Interesse ist jedenfalls dann nicht schutzwürdig, wenn mit der Geltendmachung des Anspruchs überwiegend sachfremde, für sich gesehen nicht schutzwürdige Interessen und Ziele verfolgt und diese als beherrschendes Motiv der Verfahrenseinleitung erscheinen, wobei eine Gesamtwürdigung aller Umstände zu erfolgen hat (BGH, Urteil vom 28.05.2020 -1 ZR 129/19 -, juris).

In § 8c Abs. 2 Nr. 1 UWG ist geregelt, dass eine rechtsmissbräuchliche Geltendmachung im Zweifel anzunehmen ist, wenn die Geltendmachung der Ansprüche vorwiegend dazu dient, gegen den Zuwiderhandelnden einen Anspruch auf Ersatz von Aufwendungen oder von Kosten der Rechtsverfolgung oder die Zahlung einer Vertragsstrafe entstehen zu lassen. Diese Regelung entspricht im Wesentlichen dem § 8 Abs. 4 Abs. 1 UWG, der allerdings die Vertragsstrafe nicht erwähnte. Der Gesichtspunkt des rechtsmissbräuchlichen Einnahmeerzielungs- und Kostenbelastungsinteresse ist in der Rechtsprechung zum Wettbewerbsrecht seit langem anerkannt (Köhler-Bornkamm-Feddersen, UWG, 41. AufI. § 8c Rn. 14).

Auch wenn diese Vorschrift mangels eines Wettbewersbverhältnisses der Parteien und einer gewerblichen Tätigkeit des Widerklägers keine direkte Anwendung findet, ändert dies nichts daran, dass der Rechtsgedanke des § 8c Abs. 2 Nr. 1 UWG auch im Rahmen des § 242 BGB zu berücksichtigen ist (LG Dresden, Urteil vom 11.01.2019 -1a O 1582/18 -, juris).

Unter Berücksichtigung dieser Erwägungen erscheint die Rechtsausübung des Widerklägers rechtsmissbräuchlich, da nach einer Gesamtwürdigung aller Umstände beim Widerkläger nicht das Unterlassungsinteresse, sondern das Interesse an einer Einnahmeerzielung im Vordergrund steht.

a. Der Widerkläger hat innerhalb des Zeitraums vom 14.09.2022 bis 20.10.2022 unter Berücksichtigung der nach fortlaufenden Nummern vergebenen Aktenzeichen 217.540 Anschreiben verschickt, welche dem an die Widerbeklagte unter dem Datum vom 20.10.2022 verschickten Anschreiben entsprechen. Dass die Aktenzeichen nach fortlaufenden Nummern vergeben wurden, hat der Widerkläger, der dies vorgerichtlich noch in Abrede gestellt hatte, nicht bestritten.

Bei den verschickten Anschreiben handelt es sich nicht um klassische Abmahnungen, da nicht die Abgabe einer strafbewehrten Unterlassung verlangt wird. Vielmehr wird zur umfassenden Abgeltung der datenschutzrechtlichen Ansprüche eine Zahlung von 170,00 Euro als Vergleich angeboten. Hätten alle im oben genannten Zeitraum Angeschriebenen den Betrag von 170,00 Euro bezahlt, hätte der Widerkläger einen Betrag in Höhe von 36.981.800,00 Euro eingenommen.

Der Widerkläger selbst hat angegeben, dass es ihm vorrangig darum ging, Aufmerksamkeit für das Thema X. Fonts zu erzeugen, um hierüber eine Änderung des Nutzerverhaltens zu er reichen. Dass dies nur dadurch zu erreichen war, dass eine so große Anzahl von Anschreiben verschickt wird verbunden mit der Aufforderung 170,00 Euro an den Widerkläger zu bezahlen, um die Sache auf sich beruhen zu lassen, ist weder dargelegt noch ersichtlich. Soweit der Widerkläger vorträgt, dass es sich bei diesem Betrag um eine Schmerzensgeldforderung handle, wird darauf hingewiesen, dass dies dem Anschreiben nicht zu entnehmen ist. In dem Anschreiben wird der Betrag in Höhe von 170,00 Euro vielmehr als Ausgleichszahlung zur Abgeltung der vorgenannten Ansprüche gefordert. Im Abmahnschreiben vom 12.12.2022 hat der Widerkläger dann erstmals einen Betrag in Höhe von 170,00 Euro als Schmerzensgeld gefordert.

b. Weiter ist zu berücksichtigen, dass das Unterlassungsinteresse des Widerklägers durch Zahlung eines Betrages in Höhe von 170,00 Euro besänftigt hätte werden können.

Mit Abgabe der Unterlassungserklärung soll zukünftigen Rechtsverletzungen vorgebeugt werden. Bereits dadurch, dass der Widerkläger im Anschreiben vom 20.10.2022 angeboten hat, bei Zahlung eines Betrages in Höhe von 170,00 Euro die Sache auf sich beruhen zu lassen, kommt zum Ausdruck, dass es dem Widerkläger nicht vorrangig darum ging, dass weitere datenschutzrechtliche Verstöße unterbleiben, sondern um die Erzielung von Einnahmen. Der Widerkläger selbst hat ausgeführt, dass die Abgabe einer Unterlassungserklärung zwar zielführender gewesen wäre, diese aber im Zweifel nicht notwendig sei. Dies begründet der Widerkläger damit, dass wer auf seiner Webseite X. Fonts einmal zulässig eingestellt hat, dies kaum wieder rückgängig machen wird. Dies mag zwar so sein, ändert jedoch nichts daran, dass jedenfalls eine Wiederholungsgefahr besteht, welche der Widerkläger in Kauf nimmt, wenn er dafür 170,00 Euro erhält.

Darüber hinaus hat der Widerklägervertreter in der mündlichen Verhandlung dargelegt, dass der Widerkläger davon ausgegangen wäre, dass mit der Bezahlung des Betrages von 170,00 Euro durch den Angeschriebenen die Webseite datenschutzkonform ausgerichtet wurde. Dem Vorbringen ist jedoch nicht zu entnehmen, dass eine Überprüfung stattgefunden hätte, ob tatsächlich eine datenschutzkonforme Ausrichtung erfolgt ist. Auch dieser Umstand spricht dafür, dass es dem Widerkläger in erster Linie darum ging, von den Angeschriebenen die 170,00 Euro zu erhalten.

Dass es rechtsmissbräuchlich ist, wenn sich der Abmahnende seinen Unterlassungsanspruch vom Abgemahnten abkaufen lässt, ist auch im Wettbewerbsrecht anerkannt (OLG München, Urteil vom 22.12.2011 - 29 U 3463/11-, juris; OLG Hamburg, Urteil vom 07.07.2010 - 5 U 16/10-, juris).

c. Für ein im Vordergrund stehendes Einnahmeerzielungsinteresse spricht auch, dass der Widerkläger bislang nur dann weitere Maßnahmen ergriffen hat, wenn von den Angeschriebenen negative Feststellungsklage erhoben wurde, obwohl nur insgesamt 2.418 Angeschriebene die geforderten 170,00 Euro bezahlt haben. Soweit der Widerklägervertreter ausführt, dass auch im Hinblick auf den hohen Verwaltungsaufwand die Ansprüche bislang nicht weiter verfolgt worden seien, überzeugt dies nicht. Zum einen gab der Widerklägervertreter an, dass dies „auch“ am hohen Verwaltungsaufwand liege, ohne noch einen weiteren Grund zu nennen. Zum anderen ist nicht nachvollziehbar, warum nicht jedenfalls gegen eine gewisse Anzahl der Angeschriebenen, welche nach Ablauf der gesetzten Zahlungsfrist die Vergleichssumme nicht bezahlt hat und auch keine negative Feststellungsklage erhoben hat, weiter vorgegangen wurde, zumal dem Anschreiben eindeutig zu entnehmen ist, dass nur bei Bezahlung der Vergleichssumme der Widerkläger die Sache auf sich beruhen lässt. Tatsächlich war es aber so, dass - anstatt die Ansprüche der bereits Angeschriebenen weiterzuverfolgen -immer noch weitere Anschreiben verschickt wurden.

d. Für eine rechtsmissbräuchliche Ausübung spricht auch, dass unter Berücksichtigung des Umfangs der Aktion und des Kostenrisikos sowohl auf Seiten des Widerklägers als auch auf Seiten des Widerklägervertreters anzunehmen ist, dass der Widerkläger mit seinem Bevollmächtigten in kollusiver Weise eine Teilung des erwirtschafteten Gewinns vereinbart hat.

Es oblag dem Widerkläger im Rahmen der sekundären Darlegungslast nachvollziehbar darzulegen, wie das Mandat abgerechnet wird bzw. was er an seinen Bevollmächtigten bezahlt hat. Der Widerkläger hat trotz des Bestreitens der Widerbeklagten, dass überhaupt eine Beauftragung erfolgt ist und, wenn doch, dass der Widerkläger seinen Bevollmächtigten bezahlt hat, dies weder nachvollziehbar dargelegt noch unter Beweis gestellt. Der Widerkläger hat lediglich ausgeführt, dass er den von ihm beauftragten Anwalt für seine Tätigkeit, und zwar für jedes Mandat, gemäß Gesetzeslage bezahlt. Hinsichtlich der Gesetzeslage hat er auf die Novembermann Entscheidung des BGH (BGH, Urteil vom 06.06.2019 -I ZR 150/18-, juris) hingewiesen und dargelegt, dass ein kumulierter Streitwert aller inhaltsgleicher Verfahren zugrunde zu legen sei. Dies führe unter Berücksichtigung von 217.540 Anschreiben zu einem je Angeschriebenen zu zahlenden Betrag in Höhe von brutto 1,89 Euro (Streitwert 36.981.180,00 Euro, 1,3 Geschäftsgebühr 161.185,70 Euro zzgl. Postkosten 184.909,00 Euro zzgl. 19 % MwSt. ergibt 411.852.69 Euro). Dem Rechenmodell liegt eine ex-post-Betrachtung für den Zeitraum 14.09. - 20.10.2022 zugrunde. Insoweit wurden vom Widerkläger die Angaben der Widerbeklagten hinsichtlich der Anzahl der in diesem Zeitraum verschickten Anschreiben übernommen. Unbestritten verschickte der Widerkläger aber entsprechende Anschreiben über mehrere Monate, also über einen längeren Zeitraum als vom 14.09 - 20.10.2022. Unter Berücksichtigung, dass der Widerkläger den Widerklägervertreter in Bezug auf jedes Mandat vergütet haben will, ergibt sich aus diesem Vorbringen nicht, auf welchen Betrag sich die Vergütung für das Tätigwerden des Widerklägervertreters beläuft. Des Weiteren mag die aufgrund der vorgenommenen Berechnung pro Anschreiben berechnete Vergütung gering sein, in Anbetracht der großen Anzahl von Anschreiben ist die Vergütung aber hoch und es ist nicht plausibel, dass der Widerkläger dieses Kostenrisiko selbst trägt. Es widerspricht aber auch der Lebenserfahrung, dass der Widerklägervertreter tätig wird, obwohl ihm unter Berücksichtigung der von ihm vorgenommenen Berechnung seiner Vergütung für den Zeitraum 14.09 -20.10.2022 bereits unter Berücksichtigung der Portokosten für die Anschreiben keine kostendeckende Vergütung mehr zustehen dürfte.

3. Der Anspruch auf vorgerichtliche Rechtsanwaltsgebühren für das Abmahnschreiben vom 12.12.2022 teilt das Schicksal der Hauptforderung.

Den Volltext der Entscheidung finden Sie hier:

OLG München
Urteil v. 20.09.2022
18 U 6314/20 Pre

Das OLG München hat entschieden, dass die Sperrung eines Social-Media-Accounts begründet werden muss. Zudem hat das Gericht entschieden, dass kein Anspruch auf immateriellen Schadensersatz aus Art. 82 DSGVO bei rechtswidriger Sperrung besteht.

Leitsätze des Gerichts:
1. Zum grundsätzlich bestehenden vertraglichen Anspruch des Nutzers eines sozialen Netzwerks gegen dessen Anbieter auf Unterlassung einer erneuten Kontosperrung und Beitragslöschung bei Fehlen einer Bestimmung in den Geschäftsbedingungen, wonach sich der Anbieter verpflichtet, den Nutzer über die Entfernung seines Beitrags zumindest unverzüglich nachträglich und über eine beabsichtigte Sperrung seines Nutzerkontos vorab zu informieren, ihm den Grund dafür mitzuteilen und eine Möglichkeit zur Gegenäußerung einzuräumen, an die sich eine Neubescheidung anschließt (im Anschluss an BGH, Urteil vom 29.07.2021 - III ZR 179/20 und BGH, Urteil vom 29.07.2021 - III ZR 192/20).

2. Der Antrag des Nutzers auf Unterlassung künftiger Sperren, ohne ihm unverzüglich den Anlass der Sperrung mitzuteilen, ist auf Unterlassung und nicht auf Erteilung einer - nicht selbständig einklagbaren - Information gerichtet (entgegen KG, Urteil vom 14.3.2022 - 10 U 1075/20).

3. Der Nutzer hat grundsätzlich Anspruch auf Unterlassung künftiger Sperren, ohne ihm unverzüglich den Anlass der Sperrung mitzuteilen. Eine weitergehende Begründung im Sinne einer rechtlichen Subsumtion, weshalb es sich um einen Verstoß handeln soll, kann er nicht verlangen.

Aus den Entscheidungsgründen:

Bei Verhängung der Sperre wurde zudem ausweislich der Screenshots auf S. 18 der Klage (Bl. 18 d.A.) ein Grund hierfür nicht angegeben.

d) Bei der Verletzung von Vertragspflichten kann sich nach der höchstrichterlichen Rechtsprechung aus § 280 Abs. 1 BGB ein Unterlassungsanspruch ergeben (vgl. BGH a.a.O., Rn. 102 m.w.N.). Ein solcher ist auch in der vorliegenden Konstellation, in der die Beklagte bereits einmal ihre Pflichten aus dem - fortbestehenden - Vertragsverhältnis verletzt hat, anzunehmen. Dies gilt ungeachtet der zwischenzeitlichen Löschung des Nutzerkontos (s. hierzu nachfolgend unter Ziff. III 1), nachdem der Kläger seinen Angaben in der mündlichen Verhandlung vom 16.07.2020 zufolge die Einrichtung eines neuen Kontos anstrebt.

Dem stehen auch nicht die Erwägungen des Kammergerichts Berlin in dem von der Beklagten zitierten Urteil vom 14.03.2022 (Az. 10 U 1075/20) entgegen. Das Kammergericht weist darin einen gleichlautenden Unterlassungsantrag des (dortigen) Klägers ab und führt zur Begründung aus, dass die vom Bundesgerichtshof angenommenen Informationspflichten der Beklagten gegenüber dem Nutzer nicht selbständig einklagbar seien. Da die Entfernungs- und Sperrvorbehalte in den Geschäftsbedingungen der Beklagten (unter anderem) den Anforderungen an die Informationspflicht nicht genügten, seien die genannten Vorbehalte gemäß § 307 Abs. 1 BGB unwirksam mit der Folge, dass eine vertragliche Grundlage für Löschungen und Sperrungen fehle. Gegen Löschungen von Beiträgen und Teilsperrungen seines Nutzerkontos könne der Nutzer im Klagewege vorgehen. Nur in diesem Zusammenhang komme den Informationspflichten eine Bedeutung zu. Da die Informationspflichten keinen eigenen Leistungszweck verfolgten, bestehe kein eigener, auf die Erfüllung der unselbständigen Unterlassungspflicht bezogener Unterlassungsanspruch (KG a.a.O.).

Anders als das Kammergericht meint, handelt es sich vorliegend jedoch nicht um einen auf Erteilung einer Information gerichteten Antrag, die nicht selbständig einklagbar wäre und die nicht zum Gegenstand eines Unterlassungsanspruchs gemacht werden könnte. Denn der Kläger begehrt die Unterlassung einer erneuten Sperre, schränkt dies allerdings zulässigerweise in Übereinstimmung mit dem bereits erfolgten Vertragsverstoß dahin ein, dass er sich (nur) gegen eine erneute Sperre ohne Angabe eines Grundes wendet. Er begehrt mithin das Unterlassen der rechtswidrigen Sperre; ein isolierter Anspruch auf Erteilung einer Information wird damit nicht geltend gemacht.

Darüber hinaus sprechen auch prozessökonomische Gründe für die Zulassung des Antrags, da der Kläger andernfalls gezwungen wäre, trotz gleichbleibenden Sachverhalts bei unveränderten Allgemeinen Geschäftsbedingungen der Beklagten jeweils erneut gegen derartige Sperrungen im Klagewege vorzugehen.

e) In inhaltlicher Hinsicht kann der Kläger von der Beklagten verlangen, es zu unterlassen, ihn (erneut) zu sperren, ohne ihm unverzüglich den Anlass der Sperrung mitzuteilen. Ein darüber hinausgehender Anspruch besteht jedoch nicht.

aa) Hinsichtlich des Umfangs der Mitteilungspflichten kann der Kläger allein die Mitteilung verlangen, welches Verhalten zum Anlass der Sperre genommen wurde, nicht jedoch eine weitergehende Begründung im Sinne einer rechtlichen Subsumtion, weshalb es sich um einen Verstoß handeln soll. Dies ergibt sich auch aus einem Vergleich mit dem NetzDG: So soll nach dessen Gesetzesbegründung „die in den Beschwerdesystemen der sozialen Netzwerke übliche Multiple-Choice-Begründungsform“ im Rahmen der in § 3 Abs. 2 Nr. 5 NetzDG normierten Begründungspflicht ausreichen (BT-Drs. 18/12356, S. 23). Wenn die Sperre auf Gründe gestützt wird, die sich nicht auf rechtswidrige Inhalte nach dem NetzDG beziehen, kann insoweit kein strengerer Maßstab gelten.

Gleiches gilt für die vom Kläger geforderte Mitteilung „in speicherbarer Form“, die im NetzDG ebenfalls nicht vorgesehen ist. Es erscheint dem Kläger zumutbar, eine über die Plattform mitgeteilte Begründung ggf. durch einen Screenshot zu sichern.

bb) Die Mitteilung des Anlasses der Sperrung hat außerdem nach nochmaliger Prüfung unter Berücksichtigung der höchstrichterlichen Rechtsprechung nur „unverzüglich“ (anstatt wie beantragt „zugleich“) zu erfolgen, d.h. ohne schuldhaftes Zögern (§ 121 Abs. 1 Satz 1 BGB).

Dem Bundesgerichtshof zufolge ist die erforderliche Anhörung des Nutzers - die neben der einleitenden Information über eine beabsichtigte Kontosperrung und der Mitteilung des Grundes hierfür auch die Möglichkeit des Nutzers zur Gegenäußerung mit einer anschließenden Neubescheidung umfasst - grundsätzlich vor der Sperrung des Kontos durchzuführen und nur in eng begrenzten, in Allgemeinen Geschäftsbedingungen näher zu bestimmenden Ausnahmefällen kann von einer vorherigen Durchführung abgesehen werden (vgl. BGH, Urteil vom 29.07.2021 - III ZR 179/20, NJW 2021, 3179, Rn. 85 und 87). Die vom Kläger im Streitfall begehrte Mitteilung des Grundes bzw. Anlasses der Sperrung ist danach Teil des vom Bundesgerichtshofs geforderten Anhörungsverfahrens, das zwar regelmäßig, aber nicht ausnahmslos vor der Kontosperrung durchzuführen ist. Um auch die vom Bundesgerichtshof erwähnten Ausnahmefälle angemessen berücksichtigen zu können, erscheint es zu weitgehend, dem Kläger einen Anspruch auf Mitteilung „zugleich“ mit der Sperre - im Sinne von „gleichzeitig“ bzw. „zeitgleich“ - zuzubilligen. Vielmehr kann der Kläger als „Minus“ gegenüber seinem ursprünglichen Antrag nur eine unverzügliche Mitteilung des Anlasses der Sperrung verlangen. Damit wird zudem ein Gleichlauf mit der vom Bundesgerichtshof im Hinblick auf die Löschung eines Beitrags geforderten unverzüglichen nachträglichen Anhörung (vgl. BGH a.a.O., Rn. 88) sowie mit § 3 Abs. 2 Nr. 5 NetzDG erreicht, der in den unter das NetzDG fallenden Konstellationen ebenfalls eine unverzügliche Information und Begründung verlangt. In der Mehrzahl der Fälle dürfte das Erfordernis einer unverzüglichen Mitteilung allerdings faktisch ohnehin darauf hinauslaufen, dass die Begründung wiederum zugleich mit der Sperre zu erfolgen hat. Denn regelmäßig sollte die Prüfung im Zeitpunkt der Verhängung der Sperre auf Seiten der Beklagten bereits abgeschlossen und die Mitteilung des Grundes der Beklagten möglich und zumutbar sein.

[...]

c) Schließlich scheidet auch ein Anspruch des Klägers auf Ersatz des immateriellen Schadens nach Art. 82 Abs. 1 DS-GVO aus.

Nach dieser Vorschrift hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen. Die Verarbeitung der Daten der Klägerin durch die Beklagte verstieß aber nicht gegen die DS-GVO; denn sie beruhte auf der vorab erteilten Zustimmung zu den Nutzungsbedingungen der Beklagten im Sinne des Art. 6 Abs. 1 lit. a) DS-GVO und auf Art. 6 Abs. 1 lit. f) DS-GVO.

Im Übrigen gilt auch für diese Anspruchsgrundlage, dass ersatzfähig alle Nachteile sind, die der Geschädigte an seinem Vermögen oder an sonst rechtlich geschützten Gütern erleidet (vgl. Kühling/Buchner/Bergt, DS-GVO, 3. Aufl. 2020, Art. 82 Rn. 19). Ein solch immaterieller Schaden, der hier allenfalls an eine - ggf. auch weniger schwerwiegende - Verletzung des Persönlichkeitsrechts anknüpfen könnte (vgl. hierzu Becker in: Plath, DSGVO/BDSG, 3. Aufl. 2018, Art. 82 DSGVO Rn. 4c; Wybitul, Immaterieller Schadensersatz wegen Datenschutzverstößen, NJW 2019, 3265, 3267), liegt jedoch wie dargelegt nicht vor. Die bloße Sperrung des klägerischen Nutzerkontos begründet einen solchen Schaden nicht

Den Volltext der Entscheidung finden Sie hier:

EuGH-Generalanwalt
Schlussanträge vom 06.10.2022
C‑300/21
UI gegen Österreichische Post AG

Der EuGH-Generalanwalt kommt in seinen Schlussanträgen zu dem Ergebnis, dass ein Anspruch auf Schadensersatz aus Art. 82 DSGVO einen tatsächlichen materiellen oder immateriellen Schaden voraussetzt.

Das Ergebnis des EuGH-Generalanwalts:
Art. 82 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist wie folgt auszulegen:

Für die Anerkennung eines Anspruchs auf Ersatz des Schadens, den eine Person infolge eines Verstoßes gegen die genannte Verordnung erlitten hat, reicht die bloße Verletzung der Norm als solche nicht aus, wenn mit ihr keine entsprechenden materiellen oder immateriellen Schäden einhergehen.

Der in der Verordnung 2016/679 geregelte Ersatz immaterieller Schäden erstreckt sich nicht auf bloßen Ärger, zu dem die Verletzung ihrer Vorschriften bei der betroffenen Person geführt haben mag. Es ist Sache der nationalen Gerichte, herauszuarbeiten, wann das subjektive Unmutsgefühl aufgrund seiner Merkmale im Einzelfall als immaterieller Schaden angesehen werden kann.

Die vollständigen Schlussanträge finden Sie hier:

AG München
Urteil vom 09.04.2021
142 C 14251/20

Das AG München hat entschieden, dass eine verfallene Burg als "Lost Place" bezeichnet werden darf und kein Anspruch auf Zahlung einer Geldentschädigung besteht.

Die Pressemitteilung des Gerichts:
"Lost Places" - verfallene Burg darf als „lost Place“ bezeichnet werden

Mit Urteil vom 09.04.2021 wies das Amtsgericht München die Klage einer US-amerikanischen Gesellschaft auf Schadenersatz wegen einer Urheberrechtsverletzung ab.

Die Klägerin ist Eigentümerin eines in Thüringen gelegenen historischen Schlosses. Das Schloss wurde im neunten Jahrhundert erstmals erwähnt. Im vierzehnten Jahrhundert wurde es nach einem Brand wiederhergestellt.

Der Beklagte betreibt eine Internetseite. Auf dieser veröffentlichte er 2018 in der Rubrik „Lost Places“ diverse Fotografien der Burg, die diese unter Anderem von innen zeigen.

Die Klägerin behauptet, das Gebäude sei urheberrechtlich geschützt und sie sei Inhaberin der Urheberrechte. Die ungenehmigte Anfertigung der Bilder und das rechtswidrige Eindringen stellten eine Verletzung des „ausländischen Copyrights“ der Klägerin dar. Als Schadenersatz verlangte sie 3.000,00 €. Dies entspräche dem Pauschalpreis, den sie einer Film-Crew bis zu vier Personen für die Lizenz berechne.

Die Verbreitung der Fotos verletze den ‚foreign copyright claim‘ und moralische Rechte. Die Bezeichnung der Burg als „Lost Place“ sei unwahr. Die Burg sei weder verloren noch verlassen. Der Schadensersatz hierfür betrage 1.500,00 €.

Der Beklagte war hingegen der Ansicht, dass sich der Zustand des Gebäudes einer Ruine ohne jeglichen materiellen oder immateriellen Wert annähere. In diesem Zustand komme der Burg kein Urheberrechtschutz zu. Zudem sei das Grundstück frei zugänglich, Nachteile oder ein Schaden könnten der Klägerin daher durch das Anfertigen von Fotografien nicht entstanden sein.

Das Gericht wies die Klage vollumfänglich ab. Der zuständige Richter führte in der Begründung aus:

„Urheberrechtlicher Schutz nach § 11 S. 1 UrhG kann der Klägerin (…) von Vornherein nicht zukommen, da sie entgegen ihrer auch insoweit unschlüssigen Behauptung nicht Urheberin der (…)burg ist. Urheber können zum einen nur natürliche, nicht dagegen auch juristische Personen sein (Begr. BT-Drs. IV/270, 41; BeckOK UrhR/Ahlberg, 29. Ed. 20.4.2018, UrhG § 7 Rn. 7). Zum anderen ist nicht dargelegt, dass die Klägerin die (…)burg errichtet hat, was angesichts des Fertigstellungsdatums jedenfalls des Wiederaufbaus im Jahr 1375 wohl auch eher fernliegen dürfte. Zu abgeleiteten Schutzrechten ist ebenso nichts vorgetragen, ein Entstehen solcher ist angesichts der lange zurückliegenden Errichtung ebenfalls völlig abwegig.

Soweit die Klägerin ihren Antrag (…) (auch) darauf stützen will, dass der Beklagte die Immobilie der Klägerin auf seiner Internetseite als „lost place“ bezeichnet hat, scheiden Schadensersatzansprüche ebenfalls aus. Insbesondere kommt ein Anspruch auf Geldentschädigung nach §§ 823 Abs. 1 BGB i.V.m. einer Verletzung des allgemeinen Persönlichkeitsrechts bzw. des Rechts am eingerichteten und ausgeübten Gewerbebetrieb nicht in Betracht.

Die Klägerin verlangt insoweit offenbar Geldentschädigung für immaterielle Schäden (“Verletzung moralischer Rechte“). Eine solche kann zum einen nur natürlichen Personen zustehen und kommt zum anderen nur in Betracht, wenn eine schwere Beeinträchtigung vorliegt, die nach Art der Verletzung nicht in anderer Weise ausgeglichen werden kann (vgl. hierzu i.E. Palandt-Sprau, 79. Aufl., § 823 BGB Rn. 130 m.w.N.). Die erstgenannte Voraussetzung ist offenkundig nicht erfüllt, auch eine schwerwiegende Beeinträchtigung durch die Äußerung des Beklagten ist nicht annähernd ausreichend dargetan oder ersichtlich.

Überdies scheidet auch insoweit eine Verletzungshandlung offensichtlich aus. Aus den von der Klägerin selbst (…) vorgelegten Lichtbildern ergibt sich unzweifelhaft, dass das Objekt leer steht, nach der Außenansicht zu urteilen ist es zudem tatsächlich in einem äußerst schlechten baulichen Zustand, so dass zumindest der Verfall droht. Wenn der Beklagte eine derartige Immobilie als „lost place“ bezeichnet handelt es sich daher um eine offenkundig wahre Tatsachenbehauptung.“

Urteil des Amtsgerichts München vom 09.04.2021

Aktenzeichen 142 C 14251/20

In der Online-Ausgabe der PZ - Pharmazeutische Zeitung erschien ein Beitrag von Melanie Höhn mit dem Titel "Google Fonts - Gefahr der Massenabmahnungen für Apotheker" mit einigen Statements von Rechtsanwalt Marcus Beckmann zu den relevanten rechtlichen Aspekten.

Siehe auch zum Thema: LG München: Unterlassungsanspruch und 100 EURO Schadensersatz aus Art. 82 DSGVO wegen Verwendung von Google Fonts mit Übermittlung von IP-Daten an Google

BFH
Beschluss vom 28.06.2022
II B 92/21

Der BFH hat entschieden, dass für einen Schadenersatzanspruch aus Art. 82 DSGVO gegen Finanzbehörden der Finanzrechtsweg eröffnet ist.

Aus den Entscheidungsgründen:
1. Einfachgesetzlich ist der Finanzrechtsweg für den Schadenersatzanspruch aus Art. 82 DSGVO gemäß § 33 Abs. 1 Nr. 4 FGO i.V.m. § 32i Abs. 2 Satz 1 AO eröffnet.

a) Nach § 33 Abs. 1 Nr. 4 FGO ‑‑Nrn. 1 bis 3 kommen ersichtlich nicht in Betracht‑‑ ist in anderen als den in den Nrn. 1 bis 3 bezeichneten öffentlich-rechtlichen Streitigkeiten der Finanzrechtsweg gegeben, soweit er für diese durch Bundesgesetz oder Landesgesetz eröffnet ist. Nach § 32i Abs. 2 Satz 1 AO (vormals § 32i Abs. 2 AO) ist für Klagen der betroffenen Person hinsichtlich der Verarbeitung personenbezogener Daten gegen Finanzbehörden oder gegen deren Auftragsverarbeiter wegen eines Verstoßes gegen datenschutzrechtliche Bestimmungen im Anwendungsbereich der DSGVO oder der darin enthaltenen Rechte der betroffenen Person der Finanzrechtsweg gegeben.

b) Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ‑‑mithin die DSGVO‑‑ ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

c) Eine Klage auf Schadenersatz nach Art. 82 Abs. 1 DSGVO ist eine Klage "hinsichtlich der Verarbeitung personenbezogener Daten ... wegen eines Verstoßes gegen datenschutzrechtliche Bestimmungen im Anwendungsbereich der [DSGVO]" i.S. des § 32i Abs. 2 Satz 1 Alternative 1 AO.

aa) Die Wendungen in Art. 82 Abs. 1 DSGVO einerseits ("Verstoß gegen diese Verordnung") und in § 32i Abs. 2 Satz 1 Alternative 1 AO andererseits ("Verstoß gegen datenschutzrechtliche Bestimmungen im Anwendungsbereich der DSGVO") sind gleichbedeutend, denn die DSGVO enthält nur datenschutzrechtliche Bestimmungen.

bb) Die Schadenersatzklage ist auch eine Klage "hinsichtlich der Verarbeitung personenbezogener Daten ...", wie es der erste Satzteil des § 32i Abs. 2 Satz 1 Alternative 1 AO erfordert. Nach Art. 4 Nr. 2 DSGVO ist "Verarbeitung" jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten. Der Begriff umfasst, wie die folgende beispielhafte Aufzählung verdeutlicht, jeglichen Umgang mit Daten. Ein Verstoß gegen die DSGVO, wie ihn Art. 82 DSGVO verlangt, ist deshalb ohne Verarbeitung nicht denkbar.

d) Aus § 40 Abs. 2 Satz 1 VwGO, der für Schadenersatzansprüche aus der Verletzung öffentlich-rechtlicher Pflichten, die nicht auf einem öffentlich-rechtlichen Vertrag beruhen, den ordentlichen Rechtsweg vorsieht, folgt einfachgesetzlich schon deshalb nichts Gegenteiliges, weil § 32i Abs. 2 AO nur als lex specialis zu dieser Vorschrift verstanden werden kann.

2. Auch aus verfassungsrechtlichen Gründen ergibt sich keine Zuständigkeit der ordentlichen Gerichte für den streitigen Schadenersatzanspruch. Es handelt sich nicht um einen Amtshaftungsanspruch i.S. des Art. 34 Satz 1 GG.

a) Verletzt jemand in Ausübung eines ihm anvertrauten öffentlichen Amtes die ihm einem Dritten gegenüber obliegende Amtspflicht, so trifft nach Art. 34 Satz 1 GG die Verantwortlichkeit grundsätzlich den Staat oder die Körperschaft, in deren Dienst er steht. Art. 34 Satz 3 GG verbietet es, für Amtshaftungsansprüche die Zuständigkeit der allgemeinen ordentlichen Gerichte auszuschließen (Dagtoglou in: Kahl/Waldhoff/Walter, Bonner Kommentar zum Grundgesetz, 1. Aufl. 2021, Art. 34, Rz 359).

b) Der Anspruch aus Art. 82 Abs. 1 DSGVO ist auch dann, wenn er sich gegen eine Behörde richtet, kein Anspruch aus der Verletzung von Amtspflichten i.S. des Art. 34 Satz 1 GG, da es sich nicht um eine auf die Behörde übergeleitete Haftung des Amtsträgers, sondern um eine originäre Haftung der Behörde handelt.

aa) Die Rechtsweggarantie des Art. 34 Satz 3 GG hat, soweit sie den Anspruch gegen die Anstellungskörperschaft betrifft, allein die übergeleitete Haftung des Amtsträgers zum Gegenstand, nicht hingegen Ansprüche aus unmittelbarer Staatshaftung. Die in Art. 34 Satz 1 GG angesprochene Amtspflicht ist die Pflicht des Amtsträgers persönlich. Art. 34 GG leitet die durch § 839 des Bürgerlichen Gesetzbuchs (BGB) begründete persönliche Haftung des Beamten auf den Staat über. § 839 BGB ist die haftungsbegründende Vorschrift, während Art. 34 GG die haftungsverlagernde Norm darstellt. Der Staat wird durch die Übernahme der persönlichen Beamtenhaftung nach § 839 BGB zwar Haftungssubjekt, aber nicht Zurechnungssubjekt (Urteil des Bundesverfassungsgerichts ‑‑BVerfG‑‑ vom 19.10.1982 - 2 BvF 1/81 "Amtshaftung", BVerfGE 61, 149, BGBl I 1982, 1493, unter C.I.2.b dd (1)). Das bedeutet, dass Art. 34 Satz 3 GG neben dem Rückgriffsanspruch gegen den Amtsträger auch nur die Ansprüche des Art. 34 Satz 1 GG erfasst, namentlich den Schadenersatzanspruch gegen den Amtsträger selbst sowie den übergeleiteten Haftungsanspruch gegen den Staat. Art. 34 GG verbietet es zwar nicht, unmittelbare Staatshaftungsansprüche einzuführen (BVerfG-Urteil in BVerfGE 61, 149, BGBl I 1982, 1493, unter C.I.2.b dd (1)), trifft dafür aber auch keine Regelung.

bb) Der Schadenersatzanspruch nach Art. 82 Abs. 1 DSGVO richtet sich gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Verantwortlicher ist nach Art. 4 Nr. 7 DSGVO die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Sowohl der Begriff des Verantwortlichen als auch der des Auftragsverarbeiters ist mithin institutionell zu verstehen. Soweit in einer Behörde Daten verarbeitet werden, ist damit nicht der jeweilige Amtsträger persönlich Verantwortlicher i.S. der DSGVO und folglich auch nicht Adressat des Anspruchs. Der Anspruch richtet sich vielmehr unmittelbar gegen den Staat bzw. eine seiner Institutionen. Damit handelt es sich um einen gegenüber den in Art. 34 GG erfassten Amtshaftungsansprüchen grundlegend anders gearteten Anspruch.

cc) Der Schadenersatzanspruch nach der DSGVO kann in Anspruchskonkurrenz neben einen Amtshaftungsanspruch aus § 839 BGB i.V.m. Art. 34 GG treten (vgl. Urteil des Oberlandesgerichts Düsseldorf vom 28.10.2021 - 16 U 275/20, Monatsschrift für Deutsches Recht 2022, 435, Rz 69; BeckOK DatenschutzR/Quaas, 39. Ed. 01.11.2021, DSGVO Art. 82 Rz 8; Hans-Jürgen Schaffland; Gabriele Holthaus in: Schaffland/Wiltfang, Datenschutz-Grundverordnung/Bundesdatenschutzgesetz, Stand April 2022, Art. 82, Rz 34a; Gola DSGVO/Gola/Piltz, 2. Aufl. 2018, DSGVO Art. 82 Rz 28; Paal/Pauly/Frenzel, 3. Aufl. 2021, DSGVO Art. 82 Rz 20). Davon geht die DSGVO ausweislich Erwägungsgrund 146 Satz 4 selbst aus (vgl. Ehmann/Selmayr/Nemitz, 2. Aufl. 2018, DSGVO Art. 82 Rz 7). Das entspricht dem Grundsatz, dass auch sonst zwischen einem Amtshaftungsanspruch und einem auf demselben Tatsachenkomplex beruhenden Entschädigungsanspruch Anspruchskonkurrenz bestehen kann (so zu einem enteignungsgleichen Eingriff Urteil des Bundesgerichtshofs vom 11.01.2007 - III ZR 302/05, BGHZ 170, 260, Neue Juristische Wochenschrift 2007, 830, unter B.II.2.a; ausdrücklich für den unionsrechtlichen Staatshaftungsanspruch BeckOK GG/Grzeszick, 51. Ed. 15.05.2022, GG Art. 34 Rz 4).

Das bedeutet jedoch nicht, dass die Rechtswegzuweisung des Art. 34 Satz 3 GG sich auch auf den jeweils konkurrierenden Anspruch erstreckt. Ebenso wenig gilt die Rechtswegzuweisung nach § 32i Abs. 2 AO für den Amtshaftungsanspruch. Nach § 17 Abs. 2 Satz 2 GVG tritt vielmehr eine Rechtswegspaltung ein.

dd) Soweit das Hessische Landessozialgericht (LSG) in seinem Beschluss vom 26.01.2022 - L 6 SF 7/21 DS (juris, Beschwerde beim Bundessozialgericht anhängig unter B 1 SF 1/22 R) in dem Anspruch aus Art. 82 Abs. 1 DSGVO einen Amtshaftungsanspruch sieht, für den die Rechtswegzuweisung des Art. 34 Satz 3 GG der spezialgesetzlichen Zuweisung der DSGVO-Sachen zur Sozialgerichtsbarkeit gemäß § 81b Abs. 1 des Zehnten Buchs Sozialgesetzbuch, einer mit § 32i Abs. 2 Satz 1 AO weitgehend wortgleichen Vorschrift, vorgehe, teilt der Senat diese Auffassung nicht. Das Hessische LSG geht davon aus, Art. 34 Satz 3 GG umfasse (jegliche) schadenersatzrechtliche Haftungsregelungen des Staates, wenn hoheitliches Handeln eines seiner Amtswalter rechtswidrig einen kompensationsfähigen Schaden verursacht habe (Rz 23). Der Senat erachtet dieses Verständnis sowohl angesichts des Wortlauts des Art. 34 Satz 3 GG als auch angesichts des Urteils des BVerfG in BVerfGE 61, 149, BGBl I 1982, 1493 für zu weitgehend. Es ist zwar zutreffend, dass Art. 34 GG für sich genommen kein Verschuldenserfordernis kennt, worauf das Hessische LSG abstellt. Damit allein wird die Amtspflicht jedoch nicht definiert. Die vom Hessischen LSG in diesem Zusammenhang zitierten Literaturauffassungen gehen in Übereinstimmung mit dem BVerfG davon aus, dass die Staatshaftung nach aktueller Rechtslage lediglich durch Überleitung der Eigenhaftung des Amtsträgers auf den Staat entsteht (Papier/Shirvani in Dürig/Herzog/Scholz, Komm. z. GG, Art. 34 Rz 17, 218; BeckOK GG/Grzeszick, a.a.O., Rz 19 bis 20.1).

3. Eine Vorlage des Rechtsstreits an den EuGH nach Art. 267 AEUV ist nicht veranlasst. Es ist nicht im Ansatz erkennbar, warum Art. 82 DSGVO einer nationalen Regelung entgegenstehen könnte, die den Schadenersatzanspruch ebenso wie andere datenschutzrechtliche Ansprüche der Finanzgerichtsbarkeit zuweist. Ob umgekehrt unionsrechtliche Bedenken bestünden und deshalb ggf. eine Vorlage angezeigt wäre, wenn das nationale Recht die allgemeinen datenschutzrechtlichen Ansprüche einerseits und den Schadenersatzanspruch andererseits unterschiedlichen Gerichten zuwiese ‑‑so wie es der Auffassung des FG, aber auch des Hessischen LSG entspricht‑‑, muss nicht mehr entschieden werden.

Den Volltext der Entscheidung finden Sie hier:

LG Ravensburg
Beschluss vom 30.06.2022
1 S 27/22

Das LG Ravensburg hat dem EuGH Fragen zur Auslegung von Art. 82 DSGVO zur Entscheidung vorgelegt. U.a. geht es um die Frage, ob eine Bagatellgrenze / Erheblichkeitsschwelle für Ansprüche aus Art. 82 DSGVO besteht.

Aus den Entscheidungsgründen:

Das Vorabentscheidungsersuchen betrifft die Auslegung von Artikel 82 Abs. 1 DSGVO.

Das Vorabentscheidungsersuchen ergeht im Rahmen eines Rechtsstreits zwischen den Klägern und der Beklagten. Die Kläger nehmen die Beklagte unter anderem auf Zahlung eines Schmerzensgeldes für die Verletzung der DSGVO in Anspruch. Die Beklagte hatte am 19.06.2020 ohne Einverständnis der Kläger im Internet eine Tagesordnung für eine Gemeinderatssitzung veröffentlicht, in der mehrfach die Namen der Kläger genannt wurden, und ein am 10.03.2020 vom Verwaltungsgericht Sigmaringen verkündetes Urteil veröffentlicht, in dessen Rubrum die Kläger ungeschwärzt mit Vor- und Nachname und ihrer Anschrift aufgeführt waren. Diese Unterlagen waren auf der Homepage der Beklagten bis zum 22.06.2020 einsehbar.

Artikel 82 Abs. 1 DSGVO lautet:

"Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter".

Erwägungsgrund Nr. 146 Satz 3 und Satz 6 der DSGVO hat auszugsweise folgenden Wortlaut:

"Der Begriff des Schadens sollte im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht [...]. Die betroffenen Personen sollten einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten".

Die Kammer geht davon aus, dass die Beklagte durch die Veröffentlichung der personenbezogenen Daten der Kläger im Internet gegen Artikel 5 Abs. 1 a DSGVO verstoßen hat. Die Kammer hat daher darüber zu entscheiden, ob den Klägern ein Anspruch auf Zahlung eines Schmerzensgeldes zusteht. Die Kammer neigt zu der Annahme, der bloße Verlust der Datenhoheit genüge im vorliegenden Fall nicht aus, um einen immateriellen Schaden der Kläger gemäß Artikel 82 Abs. 1 DSGVO zu rechtfertigen. Die Kammer neigt zu der Annahme, für die Bejahung eines immateriellen Schadens müsse eine Bagatellgrenze überschritten sein, die bei einem lediglich kurzfristigen Verlust der Datenhoheit, der keinerlei spürbare Nachteile für die betroffenen Personen verursacht habe, nicht überschritten sei. Die Entscheidung des Rechtsstreits hängt daher von der Vorlagefrage ab.

Es besteht in der Literatur und Rechtsprechung weitgehend Einigkeit, dass die deutsche Rechtsprechung, die immateriellen Schadensersatz bei Persönlichkeitsrechtsverletzungen nur bei einer schwerwiegenden Verletzung zuerkennt, für die Auslegung von Artikel 82 Abs.1 DSGVO nicht herangezogen werden kann (Kühling/Buchner/Bergt, DSGVO, 3. Auflage, Artikel 82 Rn. 17 ff; Wolff/Brink/Quaas; BeckOK, Datenschutzrecht, Artikel 82 DSGVO Rn. 31 f; Gola/Piltz, Datenschutzgrundverordnung, 2. Auflage, Artikel 82 DSGVO, Rn. 12 f; Spittka, GRUR-Prax 2019, 475; LG Darmstadt, ZE 2020, 642; LG Frankfurt, ZE 2020, 639; einschränkend Wytibul, NJW 2019, 3265). Die Kammer hat in einem früheren Berufungsverfahren (Az. 1 S 108/20) die Auffassung vertreten, nicht jeder Verstoß gegen die DSGVO, insbesondere nicht jede unzulässige Verarbeitung personenbezogener Daten, führe automatisch zu einem Anspruch auf immateriellen Schadensersatz. Schmerzensgeld solle auch nach Artikel 82 Abs.1 DSGVO nicht für jeden Bagatellverstoß ohne ernsthafte Beeinträchtigung bzw. lediglich individuell empfundene Unannehmlichkeiten gewährt werden. Vielmehr müsse ein spürbarer Nachteil entstanden sein und es müsse eine objektiv nachvollziehbare Beeinträchtigung persönlichkeitsbezogener Belange vorliegen.

Will ein Gericht, wie vorliegend, infolge der Verneinung eines (immateriellen) Schadens eine Klage abweisen, weil es von dem Vorhandensein einer sog. "Bagatellgrenze" ausgeht, die für einen Anspruch auf Zahlung eines Schmerzensgeldes überschritten sein muss, ist es zu einer eigenständigen Auslegung des Schadensbegriffs nicht berechtigt, sondern hat die Frage, wie der Schadensbegriff des Artikel 82 Abs. 1 DSGVO auszulegen ist, dem EuGH vorzulegen (BVerfG, Beschluss von 14.1.2021 – 1 BvR 2853/19 = NJW 2021, 1005).

Bis zur Entscheidung des EuGH über die Vorlagefrage wird das Berufungsverfahren ausgesetzt.

Den Volltext der Entscheidung finden Sie hier:

OLG Koblenz
Urteil vom 18.05.2022
5 U 2141/21

Das OLG Koblenz hat entschieden, dass die Höhe des immateriellen Schadensersatzanspruchs aus Art 82 DSGVO unter Berücksichtigung seiner Funktion zum Ausgleich, zur Genugtuung und zur Generalprävention zu bestimmen ist.

Leitsätze des Gerichts:

1. Der immaterielle Schadensersatzanspruch nach Art 82 DSGVO bestimmt sich der Höhe nach unter Berücksichtigung seiner Funktion zum Ausgleich, zur Genugtuung und zur Generalprävention.

2. Die Höhe muss berücksichtigen, dass der Einmeldung von Zahlungsstörungen auch im Verbraucherinteresse liegt, so dass die Verantwortlichen durch die Höhe des immateriellen Schadensersatzes nicht gänzlich davon abgehalten werden dürfen, Einmeldungen vorzunehmen.

Aus den Entscheidungsgründen:

a) Der Begriff des immateriellen Schadens im Sinne von Art. 82 Abs. 1 DSGVO ist - europarechtlich autonom und die in den Erwägungsgründen zur DSGVO niedergelegten Zielsetzungen aufnehmend - weit auszulegen.

Bereits aus dem Wortlaut der Norm ergibt sich, dass ein immaterieller Schadensersatzanspruch kausale Folge der Pflichtverletzung sein kann. Er ist allerdings von den materiellen Schäden, etwa wegen einer verweigerten oder nur zu ungünstigeren Bedingungen zustande gekommenen Kreditgewährung oder der Versagung bestimmter Zahlungsmethoden mit der Folge höherer Transaktionskosten, abzugrenzen und zu unterscheiden. Diese Trennung gelingt der Beklagten in ihren Erwägungen zur Höhe des Anspruches nicht immer.

Andererseits spricht der Wortlaut der Norm dafür, dass der europäische Gesetzgeber nicht davon ausgeht, dass schon allein die Pflichtverletzung den materiellen Schaden begründet (so auch Laoutoumai, K&R 2022, 25, 27; LG Saarbrücken v. 22.11.2021, 5 O 151/19 in seinem Vorlagebeschluss an den EuGH). Ein Anspruch auf den Schadensersatz besteht nämlich nur, wenn „ein materieller oder immaterieller Schaden entstanden ist“. Dieser Differenzierung im Wortlaut hätte es nicht bedurft, wenn bereits der Verstoß konstitutiv für den Anspruch wäre. Insoweit folgt der Senat nicht dem Bundesarbeitsgericht (26.08.2021, 8 AZR 253/20, Rn. 33 - juris), welches annimmt, dass „bereits die Verletzung der DSGVO selbst zu einem auszugleichenden immateriellen Schaden“ führt. Es muss mithin ein irgendwie gearteter immaterieller Schaden entstanden sein. Zwar geht der Anspruch dann in seiner Zielrichtung über einen erlittenen Schaden heraus, verzichtet aber aufgrund weitergehender Zielsetzungen hierauf nicht. Insoweit bleibt Grundlage des Anspruchs ein Individualrecht zu schützen. Art 82 DSGVO ist nicht Teil des kollektiven Rechtsschutzes. Das wirft die Frage auf, wann von einem erlittenen Schaden auszugehen ist.

Diese Fragestellung ist von der Annahme abzugrenzen, im Rahmen von Art. 82 Abs. 1 DSGVO sei eine Bagatellgrenze zu berücksichtigen. Eine Bagatellgrenze normiert Art. 82 Abs. 1 DSGVO seinem Wortlaut nach nicht und eine solche erscheint auch im Übrigen nicht angezeigt. Schon im nationalen Recht wurden einer solchen Grenze im Rahmen der Schuldrechtsreform 2002 verfassungsrechtliche Bedenken entgegengehalten (Ebert in: Erman, BGB, 16. Aufl. 2020, § 253 BGB, Rn. 14a). Der Gesetzgeber verwarf solche Ansätze deshalb (BT-Drucks. 14/8780). Ist ein immaterieller Schaden entstanden, ist dessen Schwere im Rahmen der Höhe des Ersatzanspruches zu berücksichtigen, nicht aber bei einer notwendigerweise nur willkürlich zu setzenden Bagatellgrenze zu finden. Soweit der BGH eine Korrektur aus Gründen der Billigkeit angenommen hat (BGH NJW 1992, 1043, Rn. 8; BGH NJW 1993, 2173) beruhte dies einerseits auf einer heute nicht mehr gültigen Norm (§ 847 BGB) und knüpfte andererseits nicht an einer Bagatellgrenze an, sondern an dem Umstand, dass weder die Ausgleichs- noch die Genugtuungsfunktion derart tangiert waren, dass ein immaterieller Schaden überhaupt entstanden ist. Es fehlt also in der zuletzt genannten Konstellation an einem „erlittenen Schaden“.

Da der bisherige § 8 Abs. 2 BDSG, der den Ersatz immaterieller Schäden von einer schweren Verletzung des Persönlichkeitsrechts des Betroffenen abhängig machte, nicht mehr anwendbar ist, kann auf die dazu ergangene Rechtsprechung zum Schadensbegriff nicht zurückgegriffen werden. Insoweit ist auch die nationale Rechtsprechung, die daran - teilweise bei nur verbaler Distanzierung - festhält (vgl. OLG Dresden v. 12.1.2021, 4 U 1600/20, Rn. 31 - juris; OLG Dresden v. 20.08.2020, 4 U 784/20, Rn. 32 - juris; AG Hannover v. 09.03.2020, 531 C 10952/19, Rn. 21 ff. - juris; AG Frankfurt a.M. v. 10.07.2020, 385 C 155/19, Rn. 28 - juris), abzulehnen.

Die Kategorien des nationalen Schadensersatzrechtes sind mithin nicht zielführend, um den Begriff des immateriellen Schadensersatzes im Sinne des Art. 82 DSGVO europarechtlich autonom auszulegen. Der Schadensbegriff des Art. 82 Abs. 1 DSGVO ist ein europarechtlicher Begriff, bei dessen Ausfüllung nicht auf nationale Erheblichkeitsschwellen oder andere Einschränkungen abgestellt werden darf (vgl. Kühling/Buchner/Bergt, 3. Aufl. 2020, DS-GVO Art. 82 Rn. 18a-18b).

Der Begriff des Schadens soll nach dem Erwägungsgrund 146 S. 3 EU-DSGVO „im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht.“ Daraus kann abgeleitet werden, dass der nach Abs. 1 bereits weite – weil Ansprüche aus § 253 BGB bereits umfassende – Schadensbegriff im Zweifel nicht begrenzend auszulegen sein wird (vgl. Paal/Pauly/Frenzel, 3. Aufl. 2021, DS-GVO Art. 82 Rn. 10). Einen Ausschluss vermeintlicher Bagatellschäden sieht die DSGVO nicht vor.

Der immaterielle Schadensersatz ist mithin auch ein Instrument, um die Ziele der DSGVO, wie sie in deren Art. 1 niedergelegt sind, unter dem Schutzzweck des Individualrechtsschutzes zu verwirklichen. Kern ist danach der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten im Schutzbereich der Grundrechte und der Grundfreiheiten im konkreten Einzelfall.

Der Funktion eines immateriellen Schadensersatzanspruches dienend, sind deshalb verschiedene Aspekte in die Bemessung des immateriellen Schadensersatzes der Höhe nach einzube-

ziehen. Zunächst die immaterielle und individuelle Ausgleichsfunktion wegen der Schutzgutverletzung, sodann die den Verstoß feststellende Genugtuungsfunktion und letztlich die generalpräventive Einwirkung auf den Schädiger zur künftigen Beachtung des Datenschutzes. In diesem Sinne kommt Art. 82 DSGVO kein Strafcharakter zu - dieser ist vielmehr das staatliche Gewaltmonopol respektierend in Art. 84 DSGVO niedergelegt, sehr wohl aber eine Anreizfunktion für den Verantwortlichen, hinreichende Sicherungsmaßnahmen zum Schutz der personenbezogenen Daten der betroffenen Person zu treffen.

Wegen der in Erwägungsgrund 146 S. 3 geforderten weiten Auslegung sieht der Senat mit Stimmen in der Literatur bereits in dem unguten Gefühl der Ungewissheit, ob personenbezogene Daten Unbefugten bekannt geworden sind, einen erlittenen immateriellen Schaden. Potentielle Schäden sind deshalb beispielsweise Ängste, Stress sowie Komfort- und Zeiteinbußen und die potentielle Stigmatisierung, die Diskriminierung, die Rufschädigung und der Verlust von Vertraulichkeit durch einen Negativeintrag bei einer Auskunftei, ohne dass dieser an Dritte übermittelt wird (vgl. hierzu auch Kühling/Buchner/Bergt, 3. Aufl. 2020, DS-GVO Art. 82 Rn. 18a-18b; Quaas, BeckOK Datenschutzrecht, 39. Ed., Stand 01.11.2021, Rn. 24). Dieser immaterielle Schaden, auch, wenn er im Einzel- und Regelfall niederschwellig sein wird, ist auszugleichen. Einen Schaden erst dann anzunehmen, wenn es zu einer mit einer unrechtmäßigen Zugänglichmachung von Daten liegenden (öffentlichen) Bloßstellung, einem Identitätsdiebstahl, einer Weitergabe sensibler Informationen oder einer anderen ernsthaften Beeinträchtigung für das Selbstbild oder Ansehen einer Person kommt, und ein besonderes immaterielles Interesse zu verlangen, das über den allein durch die Verletzung an sich hervorgerufenen Ärger oder sonstige Gefühlsschäden hinausgeht, verkennt den autonom und nach Erwägungsgrund 146 ausdrücklich weit auszulegenden Begriff des Schadens (Kühling/Buchner/Bergt, 3. Aufl. 2020, DS-GVO Art. 82 Rn. 18a-18b) und missachtet den individuellen Ausgleichsanspruch im Hinblick auf die aufgezeigten Folgen. Eine solche Sichtweise greift also zu kurz. Die vorgenannten Beschränkungen bleiben bei der Frage nach dem Schadensersatzanspruch dem Grunde nach außer Betracht, sondern sind erst im Kontext der Höhe des Ersatzanspruches zu berücksichtigen. Maßgeblich ist, ob die betroffene Person mit dem Beweismaß des § 286 ZPO die immaterielle Betroffenheit darlegen und nachweisen kann. Deren Intensität ist dann mit dem Beweismaß des § 287 ZPO bei der Höhe des Anspruches zu berücksichtigen. Erst hier kommen dann die weiter denkbaren immateriellen Beeinträchtigungen der Bloßstellung oder das notwendige Schutzniveau der betroffenen Daten zum Tragen.

Die Genugtuungsfunktion kommt dann - ergänzend - zum Tragen, wenn es zu einer tatsächlichen Beeinträchtigung der Schutzgüter im Verhältnis zu Dritten im Sinne einer Verwendung der pflichtwidrig verarbeiteten personenbezogenen Daten gegenüber Dritten gekommen ist. Hier greift also nicht (nur) die Sorge vor der Stigmatisierung, Diskriminierung oder Rufschädigung, sondern das in dem Datenschutzverstoß liegende Risiko hat sich nun verwirklicht. Das steigert einerseits die Anforderungen an die Ausgleichsfunktion und begründet zugleich innerhalb des

einheitlich zu bestimmenden immateriellen Ersatzanspruchs die Genugtuung als Bestimmungsmerkmal für die Höhe. Genau diese Verarbeitung unter Beteiligung Dritter bewirkt die zu korrigierende Bloßstellung außerhalb dadurch verursachter materieller Schäden. Dies kann bei der Konfrontation mit Negativauskünften bei einer Kreditanfrage ebenso der Fall sein, wie bei der Bewerbung um eine Mietwohnung oder negativen Auskünften im Rahmen eines Arbeitsverhältnisses. Auch die Verweigerung von Postpaid-Angeboten wegen negativer Scores kann hierzu gehören. Die betroffene Person hat auf der Grundlage der ihr zustehenden Auskunftsansprüche nach Art. 15 DSGVO regelmäßig keine Schwierigkeiten die Verarbeitung der Daten gegenüber Dritten nachzuweisen und auf dieser Grundlage die Genugtuungsfunktion geltend zu machen.

Nicht übersehen werden darf die generalpräventive Wirkung des immateriellen Schadensersatzanspruches. Im Spannungsfeld zwischen dem Risiko der entgeltlichen Sanktionierung von folgenlosen Verstößen gegen die DSGVO durch einen immateriellen Schadensersatzanspruch nach Art. 82 DSGVO, den Aufgaben des kollektiven Rechtsschutzes durch Aufsichtsbehörden mit den Sanktionsmöglichkeiten nach Art 84. DSGVO, dem Verhältnismäßigkeitsgrundsatz und dem Grundsatz, die gleiche Pflichtverletzung mit der gleichen Zielsetzung nicht doppelt zu sanktionieren, muss dem Grundanliegen der DSGVO, schon die Verarbeitung der Daten im Kontext der Schutzzwecke zu gewährleisten, Rechnung getragen werden. Schon bei der Bestimmung der Zwecke, den angenommenen Rechtsfertigungsgründen und der ggfs. vorzunehmenden Datenschutzfolgeabwägung muss das Schutzniveau auch durch den immateriellen Schadensersatzanspruch effektiv gewahrt werden. Hier gilt es also im Lichte des immateriellen Schadensersatzanspruches nach Art. 82 DSGVO Anreize zu schaffen, dass das Schutzniveau so hoch ist, dass es zur Realisierung des Schadensersatzrisikos erst gar nicht kommt. Dabei muss die generalpräventive Wirkung sich nicht in besonders hohen immateriellen Schadensersatzansprüchen niederschlagen, sondern kann gerade in der Breitenwirkung - auch kleine Verstöße werden ohne Bagatellgrenze sanktioniert - ihre Funktion erfüllen. Wo Menschen arbeiten, passieren Fehler. Kommt es hierzu im Einzelfall, ist die geringere Sanktion verhältnismäßig und gleichwohl spürbar und damit effektiv. Kommt es dagegen zu vielfachen Pflichtverletzungen und Rechtsverstößen, wird sich aus vielen kleinen Ansprüchen - zumal diese auch sowohl kollektiv als im Rahmen von Legal-Tech-Angeboten sehr breit geltend gemacht werden -, schnell ein großer finanzieller Verlust bei dem betroffenen Unternehmen einstellen. Bei großer oder größerer Quantität der Pflichtverletzungen wird also auch eine höhere Effektivität kleinerer Schadensersatzansprüche im Einzelfall erreicht. Dabei muss auch das weiter in Art. 1 DSGVO formulierte Ziel gesehen werden, den freien Verkehr von Daten sehr wohl zu ermöglichen. Bonitätsprüfungen schützen nicht nur Wirtschaftsunternehmen vor leistungsunfähigen und leistungsunwilligen Kunden, sondern auch Verbraucher vor einer übermäßigen Verschuldung gerade im bargeldlosen Zahlungsverkehr. Die generalpräventive Wirkung darf in der Bemessung des immateriellen Schadensersatzes deshalb nicht dazu führen, dass wegen des Schadensersatzrisikos keine Einmeldungen bei Wirtschaftsauskunfteien mehr erfolgen, weil dann andere Schutzzwecke negativ tangiert werden. Der in seinen finanziellen Verhältnissen nicht gefestigte Verbraucher soll

durch Einmeldungen davor geschützt werden, schnell in die Verschuldung zu geraten. Die Warnfunktion durch die Beschränkung kreditierter Geschäfte ist ein Baustein, um dies zu gewährleisten. In diesem Kontext ist dann auch zu bewerten, dass die Zuerkennung immateriellen Schadensersatzes nicht die einzige Sanktionsform gegenüber dem pflichtwidrig handelnden Unternehmen darstellt, gerade dann, wenn über Beschwerden an Aufsichtsbehörden beharrliche Rechtsverstöße festzustellen sind. Auch darf am Ende keine Motivation bestehen, wegen hoher immaterieller Ersatzansprüche Datenschutzverstöße zu provozieren, insbesondere, wenn schon ein geringes Verschulden oder sogar nur der objektive Pflichtverstoß den Anspruch auslöst. Bei der Bewertung der generalpräventiven Wirkung in der Bemessung des immateriellen Schadensersatzanspruches der Höhe nach ist deshalb auch zu berücksichtigen, inwieweit im konkreten Einzelfall die verfolgten Ziele schon durch Ausgleich und Genugtuung erreicht sind oder es einer überschießenden Wirkung bedarf.

Den Volltext der Entscheidung finden Sie hier:

LG Heidelberg
Urteil vom 16.03.2022
4 S 1/21

Das LG Heidelberg hat entscheiden, dass ein Anspruch auf Zahlung von 25 EURO Schadensersatz aus Art. 82 DSGVO wegen unzulässiger Zusendung einer Werbemail besteht.

Aus den Entscheidungsgründen:
1. Die Berufung ist zulässig.
Die Kammer hat die Berufung gegen das amtsgerichtliche Urteil durch Beschluss vom 16.03.2022 gemäß § 511 Abs. 4 S. 1 ZPO zugelassen.

Zwar übersteigt der Wert des Beschwerdegegenstandes vorliegend entgegen § 511 Abs. 2 Nr. 1 ZPO die Wertgrenze von 600 € nicht, nachdem der Streitwert für den Klageantrag Ziff. 1c auf die Streitwertbeschwerde des Klägers hin mit Beschluss des Landgerichts Heidelberg vom 18.02.2021 (vgl. AS 365 ff. der Akte des Amtsgerichts) antragsgemäß auf 500 € festgesetzt wurde. Auch hat das Amtsgericht die Berufung im Urteil nicht gemäß § 511 Abs. 2 Nr. 2 ZPO zugelassen, da es den Streitwert für den Antrag Ziff. 1c im Urteil zunächst auf 1.000 € festgesetzt hatte und eine Berufungszulassungsentscheidung danach nicht veranlasst war. Hat indes das erstinstanzliche Gericht keine Veranlassung gesehen, die Berufung nach § 511 Abs. 4 ZPO zuzulassen, weil es den Streitwert auf über 600 € festgesetzt hat und deswegen von einem entsprechenden Wert der Beschwer der unterlegenen Partei ausgegangen ist, hält aber das Berufungsgericht diesen Wert nicht für erreicht, so muss das Berufungsgericht, das insoweit nicht an die Streitwertfestsetzung des Erstgerichts gebunden ist, die Entscheidung darüber nachholen, ob die Voraussetzungen für die Zulassung der Berufung nach § 511 Abs. 4 Satz 1 Nr. 1 ZPO erfüllt sind, da die unterschiedliche Bewertung nicht zu Lasten der Parteien gehen darf (vgl. BGH, Urteil vom 14. November 2007, Az.: VIII ZR 340/06 = NJW 2008, 218).

Hier war die Berufung nach § 511 Abs. 4 S. 1 ZPO zuzulassen, da die Rechtssache grundsätzliche Bedeutung hat und die Sicherung einer einheitlichen Rechtsprechung eine Entscheidung des Berufungsgerichts erfordert (§ 511 Abs. 4 S. 1 Nr. 1 ZPO) und der Kläger nach Abänderung des Streitwerts für Antrag Ziff. 1c nicht mit mehr als 600 € beschwert war (§ 511 Abs. 4 S. 1 Ziff. 2 ZPO). Die Frage, ob und gegebenenfalls unter welchen Voraussetzungen ein Schadensersatz- oder Schmerzensgeldanspruch nach Art. 82 DSGVO besteht, wird in der Rechtsprechung und auch der Literatur kontrovers diskutiert und unterschiedlich behandelt.

2. Die Berufung ist in geringem Umfang auch begründet. Soweit der Berufungsantrag nach dem Vortrag des Klägers gerechtfertigt war und dem Kläger 25,00 € zugesprochen wurden, ist aufgrund des Teil-Versäumnisurteils eine Begründung gemäß § 313b Abs. 1 ZPO nicht erforderlich.

Im Übrigen war die Klage abzuweisen und die weitergehende Berufung zurückzuweisen, denn ein weitergehender Anspruch des Klägers besteht nicht. Der Vortrag des Klägers rechtfertigt keinen höheren Schadensersatz- oder Schmerzensgeldanspruch. Die Kammer ist davon überzeugt, dass der Kläger aufgrund des Verstoßes der Beklagten gegen Art. 6 DSGVO durch die unzulässige Verarbeitung seiner personenbezogenen Daten lediglich einen ersatzfähigen Schaden in Höhe von 25,00 € erlitten hat.

a) Die Kammer legt den Antrag des Klägers dahingehend aus, dass dieser Schadensersatz für die aufgrund des DSGVO-Verstoßes der Beklagten erlittenen Beeinträchtigungen begehrt, unabhängig von dem vom Kläger verwendeten Begriff des „Schmerzensgeldes“ aus dem deutschen Zivilrecht.

(1) Dem steht die grundsätzliche Bindung an den Antrag des Klägers gemäß § 308 Abs. 1 ZPO, wonach das Gericht nicht befugt ist, einer Partei etwas zuzusprechen, was nicht beantragt ist, nicht entgegen. Denn entscheidend kann nicht der bloße Wortlaut eines Antrages sein, sondern der durch ihn verkörperte Wille. Dementsprechend ist nicht nur darauf zu sehen, ob der Antrag für sich allein betrachtet einen eindeutigen Sinn ergibt, sondern es ist auch die dem Antrag beigegebene Begründung zu berücksichtigen (MüKo-ZPO/Musielak, 6. Aufl. 2020, ZPO § 308 Rn. 6 m.w.N.). Bei einer vom Gericht vorgenommenen Auslegung ist von dem Grundsatz auszugehen, dass im Zweifel dasjenige gewollt ist, was nach den Maßstäben der Rechtsordnung vernünftig ist und der wohlverstandenen Interessenlage entspricht (MüKo-ZPO/Musielak, 6. Aufl. 2020, ZPO § 308 Rn. 6).

Danach legt die Kammer den Antrag des Klägers vor dem Hintergrund seiner Berufungsbegründung und seines Interesses an einer Entschädigung nach Art. 82 DSGVO dahingehend aus, dass dieser die Zahlung von Schadensersatz von der Beklagten begehrt. Zwar ist der unbezifferte Antrag des Klägers auf die Zahlung eines angemessenen Schmerzensgeldes gerichtet, jedoch stützt der Kläger seinen Anspruch auf Art. 82 DSGVO, eine Norm des europäischen Rechts. Maßgeblich sind damit nicht die deutschen Begrifflichkeiten, sondern die des europäischen Rechts bzw. die der DSGVO. Der Begriff „Schmerzensgeld“ findet jedoch in Art. 82 DSGVO und auch den übrigen Normen der DSGVO keine Verwendung. Art. 82 Abs. 1 DSGVO normiert lediglich einen „Anspruch auf Schadenersatz“ für jede Person, der wegen eines Verstoßes gegen die DSGVO „ein materieller oder immaterieller Schaden“ entstanden ist. Der Antrag Ziff. 1c) des Klägers ist daher nach Überzeugung der Kammer im Lichte dieses auf die DSGVO gestützten Anspruchsbegehrens des Klägers auszulegen und dahin zu verstehen, dass er die Zahlung von Schadensersatz begehrt.

(2) Ob der Kläger den begehrten Schadensersatz dabei nach seinem Vortrag allein auf einen „materiellen“ oder „immateriellen“ Schaden stützt, ist unerheblich. Soweit der Kläger seine Schäden als „immaterielle“ Schäden bezeichnet, bindet dies die Kammer auch nicht an die Prüfung ausschließlich immaterieller Schäden. Zugunsten des Klägers sind vielmehr auch mögliche materielle Schäden, die sich aus dem Vorbringen des Klägers ergeben können, zu prüfen, da Art. 82 Abs. 1 DSGVO nach Überzeugung der Kammer ein einheitlicher, weit auszulegender Schadensbegriff zugrunde liegt. Dies hat die Kammer durch Auslegung ermittelt.
Nach dem Wortlaut von Art. 82 DSGVO hat einen „Anspruch auf Schadenersatz“ jede Person, der wegen eines Verstoßes gegen diese Verordnung „ein materieller oder immaterieller Schaden“ entstanden ist. Die DSGVO kennt − anders als das deutsche Recht etwa mit § 253 BGB − insoweit keine unterschiedlichen Normen bzw. Anspruchsgrundlagen, sondern enthält in Art. 82 Abs. 1 DSGVO eine einheitliche Anspruchsgrundlage für einen einheitlichen Schadensersatzanspruch.

Ein weites Verständnis des Schadensbegriffs legen auch die Erwägungsgründe zur DSGVO nahe. Maßgeblich ist insoweit zunächst der Erwägungsgrund 146, der sich auf den Schadensersatzanspruch in Art. 82 DSGVO bezieht. Begrifflich differenziert dieser Erwägungsgrund nicht zwischen materiellen und immateriellen Schäden. Vielmehr wird hier ausschließlich der Begriff „Schaden“ verwendet, ohne dass dieser so zu verstehen sein dürfte, dass nur materielle oder nur immaterielle Schäden gemeint sind. Eine weite Auslegung des Schadensbegriffs wird auch nach S. 3 des Erwägungsgrundes gefordert, wonach der Begriff des Schadens im Lichte der Rechtsprechung des Gerichtshofs „weit“ ausgelegt werden soll.

Für einen einheitlich zu verstehenden Schadensbegriff spricht auch Erwägungsgrund 75 zur DSGVO, in dem Beispiele genannt sind für mögliche „physische, materielle oder immaterielle Schäden“, die aus einer Verarbeitung personenbezogener Daten hervorgehen können, wie zum Beispiel Diskriminierung, Identitätsdiebstahl oder -betrug, finanzieller Verlust, Rufschädigung oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile. Die Aufzählung differenziert ebenfalls nicht zwischen verschiedenen Schadensarten, sondern enthält vielmehr sowohl mögliche materielle, als auch immaterielle Beeinträchtigungen.
b) Nach Auslegung des Begehrens des Klägers im Lichte eines einheitlichen, weit zu verstehenden Schadensersatzanspruchs nach der DSGVO, steht dem Kläger nach Überzeugung der Kammer ein Schadensersatzanspruch gemäß Art. 82 Abs. 1 DSGVO in Höhe von 25,00 € zu.

Dem Kläger ist dadurch ein Schaden entstanden, dass er sich mit den unerwünschten Werbemails der Beklagten auseinandersetzen, deren Herkunft ermitteln, sich um eine Auskunft von der Beklagten mittels eines Schreibens bemühen und die unerwünschten E-Mails löschen musste. Eine den Kläger beeinträchtigende Außenwirkung des Verstoßes im Sinne einer Gefahr einer Schädigung des Ansehens oder Berufs oder einer diskriminierenden Wirkung gegenüber Dritten ist nicht ersichtlich.
Zur Entschädigung der erlittenen Beeinträchtigungen erachtet die Kammer die Zahlung von 25 €, ähnlich der in Verkehrsunfällen für die Umstände und Aufwendungen im Zusammenhang mit der Schadensabwicklung üblichen Auslagenpauschale, für angemessen.

Ein weiterer Schaden - unabhängig davon, ob materiell oder immateriell - ist dem Kläger nach Überzeugung der Kammer nicht entstanden, sodass ein weitergehender Anspruch nicht besteht.

Den Volltext der Entscheidung finden Sie hier:

AG Pforzheim
Urteil vom 27.01.2022
2 C 381/21

Das AG Pforzheim hat in diesem Fall dem Betroffenen 1.500 EURO Schadensersatz aus Art. 82 DSGVO wegen der unberechtigten Weitergabe von Name und Adresse zugesprochen.

Aus den Entscheidungsgründen:
Durch die Weitergabe des Namens und der Adresse des Klägers ohne dessen Einwilligung an das Abrechnungszentrum Dr. G. hat die Beklagte gegen Art. 6 Abs. 1 DS-GVO verstoßen und des weiteren pflichtwidrig den Kläger hierüber nicht nach Art. 14 Abs. 1 DSGVO informiert. Aufgrund dessen steht dem Kläger ein Schadensersatzanspruch gem. Art. 82 Abs. 1 DS-GVO zu, wobei das Gericht einen Betrag in Höhe von 1.500,- € (zuzüglich 4,- € für Mahnkosten) für angemessen, aber auch ausreichend hält. Hierbei wurde zum einen berücksichtigt, dass sich der von der Beklagten begangene Verstoß nicht als besonders schwerwiegend darstellt, insbesondere keinerlei Anhaltspunkte für ein systematisches Vorgehen oder gar eine Schädigungs- oder Bereicherungsabsicht erkennen lassen. Andererseits sieht das Gesetz einen Ausschluss vermeintlicher Bagatellschäden nicht vor (s. hierzu sowie zum folgenden Kühling-Buchner, DS-GVO, Art. 82, Rd.-Nr. 18 a ff.). Vielmehr ist der Schadensbegriff der DS-GVO weit auszulegen und, da es sich um einen europarechtlichen Anspruch handelt, nicht mit den bisher in Deutschland üblichen Beträgen für einen Immateriellen Schadensersatz zu vergleichen. Um die geforderte Abschreckung zu erreichen, muss der zuzusprechende Schadensersatz über einen rein symbolischen Betrag hinaus gehen. Unter Berücksichtigung all dessen erachtet das Gericht einen Betrag in Höhe von 1.500,- € für insgesamt angemessen.

Weitergehende Ansprüche stehen dem Kläger nicht zu. Insbesondere kann er sich nicht darauf berufen, die Beklagte hätte auch im Folgenden unerlaubt seine geschützten personenbezogenen Daten weitergegeben bzw. verarbeitet, so dass ihm auch aufgrund dessen ein (höherer) Schadensersatzanspruch zustünde bzw. ein weiterer, über das Schreiben der Beklagten vom 21.04.2020 hinausgehender, Auskunftsanspruch. Denn die DSGVO gilt gem. Art. 2 Abs. 1 nur für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Die Voraussetzungen für diesen sachlichen Anwendungsbereich der DS-GVO sind im Übrigen jedoch weder ersichtlich noch hinreichend vorgetragen. Die Beklagte mag weitere Daten des Klägers an dessen geschiedene Ehefrau mitgeteilt haben; dies alleine - nämlich ohne automatisierte Verarbeitung oder Speicherung in einem Dateisystem - fällt jedoch eben nicht in den Anwendungsbereich der DS-GVO. Eine Weitergabe von Daten an ihren Prozessbevollmächtigten läge darüber hinaus in ihrem anerkennungswerten berechtigten Interesse, Art. 6 Abs. 1 Satz 1 f DS-GVO.

Den Volltext der Entscheidung finden Sie hier:

OLG Frankfurt
Urteil vom 02.03.2022
13 U 206/20

Das OLG Frankfurt hat entschieden, dass ein Schadensersatzanspruch aus Art. 82 DSGVO den Nachweis eines konkreten Schadens erfordert. Zudem führt das Gericht aus, dass sich aus Art. 17 DSGVO auch ein Unterlassungsanspruch ergibt.

Aus den Entscheidungsgründen:

Hinsichtlich der Verurteilung im Hinblick auf den Unterlassungsanspruch ist die Berufung der Beklagten hingegen unbegründet.

Dem Kläger steht ein Anspruch gegen die Beklagte auf Unterlassung der Verarbeitung seiner personenbezogenen Daten zu, sofern diese in der Form erfolgt wie mit der Nachricht vom 23.10.2018 an einen Dritten. Dies ergibt sich aus Art. 17 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, ABl. 2016 L 119 S. 1, berichtigt in ABl. 2016 L 314 S. 72 und ABl. 2018 L 127 S. 2; im Folgenden: DS-GVO), wie zwischenzeitlich höchstrichterlich geklärt wurde (vgl. BGH, Urteile vom 12.10.2021 - VI ZR 488/19 - VI ZR 489/19 -, jeweils Rn. 10, juris; BGH, Urteil vom 27. Juli 2020 - VI ZR 405/18, BGHZ 226, 285 Rn. 20, 23 [zur Auslistung]; BSGE 127, 181 Rn. 13), so dass ein Rückgriff auf §§ 823 Abs. 1 i.V.m. 1004 BGB nicht erforderlich ist, um einen lückenlosen Individualrechtsschutz hinsichtlich der Verarbeitung personenbezogener Daten von natürlichen Personen zu gewährleisten (so noch: OLG Dresden, Urteil vom 14. Dezember 2021 - 4 U 1278/21 -, Rn. 47, juris; OLG München, Urteil vom 19. Januar 2021 - 18 U 7243/19 Pre -, Rn. 62, 65, juris).

Die Voraussetzungen des sich aus Art. 17 Abs. 1 DS-GVO (auch) ergebenden Unterlassungsanspruchs sind erfüllt.

Die DS-GVO ist vorliegend anwendbar, da sie seit dem 25.5.2018 (Art. 99 Abs. 2 DS-GVO) unmittelbar in jedem Mitgliedstaat der Europäischen Union Geltung erlangt hat (BGH, Urteil vom 27. Juli 2020 - VI ZR 405/18 -, BGHZ 226, 285-310, Rn. 110 - 13).

Die Beklagte hat durch die Übermittlung der Nachricht vom 23.10.2018 „personenbezogene Daten" des Klägers im Sinne von Art. Art. 4 Nr. 1 DS-GVO an einen Dritten offenbart. Insoweit sind der Name, das Geschlecht, die Tatsache des laufenden Bewerbungsverfahrens und die Gehaltsvorstellung des Klägers als personenbezogene Daten anzusehen.

Sofern die Beklagte dies hinsichtlich der Anrede „Herr B" verneint, vermag der Senat dem nicht zu folgen, da der Name in der Legaldefinition sogar ausdrücklich erwähnt wird. Art. 4 Nr. 1 DS-GVO benennt beispielhaft Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, der Name wird im Rahmen der alternativen Aufzählung an erster Stelle aufgeführt.

Nach der Definition sind „personenbezogene Daten" alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann. Der Begriff der "personenbezogenen Daten" nach Art. 4 DS-GVO ist damit weit gefasst und umfasst nach der Legaldefinition alle Informationen, die sich auf eine identifizierbare natürliche Person beziehen.

Unter die Vorschrift fallen damit neben Identifikationsmerkmalen und äußeren Merkmalen auch sachliche Informationen wie etwa Vermögens- und Eigentumsverhältnisse, Kommunikations- und Vertragsbeziehungen und alle sonstigen Beziehungen der betroffenen Person zu Dritten und ihrer Umwelt (Klar/Kühling in Kühling/Buchner, DS-GVO/BDSG, Art. 4 DS-GVO Rn. 8; Ernst in: Paal/Pauly, DS-GVO/BDSG, Auflage 2021, Art. 4 Rn. 14; OLG Köln, Urteil vom 26. Juli 2019 - I-20 U 75/18 -, Rn. 304, juris).

Die hier offenbarten Informationen, nämlich der Nachname des Klägers und sein der Anrede zu entnehmendes Geschlecht, sowie die aus der Nachricht herauslesbaren Angaben, insbesondere die Tatsache eines laufenden Bewerbungsprozesses bei der Beklagten, stellen persönliche Informationen dar. Auch die Gehaltsvorstellung des Klägers, die sich aus der angegebenen Gehaltsobergrenze der Beklagten rückschließen lässt, stellt eine sachliche Information dar. Dabei kann die Angabe „80k + variable Vergütung" nicht mit Angaben in einer Stellenanzeige gleichgesetzt werden, wie es die Berufung meint. Eine dahingehende Interpretation lässt den Kontext der Nachricht außer Acht. Dort wird ausdrücklich erwähnt, dass die Gehaltsvorstellungen des Klägers nicht erfüllt werden können und im Anschluss äußert die Beklagte ihrerseits eine Gehaltsobergrenze. Aus diesen beiden Angaben lassen sich Rückschlüsse auf die Gehaltsvorstellungen des Klägers ziehen.

Auch die Identifizierbarkeit ist zu bejahen. Dies gilt auch dann, wenn der Nachname häufig vorkommen sollte. Sofern die Beklagte einwendet, das Landgericht habe die Anlage B 3 und die darin aufgeführten weiteren Nutzer der Plattform Xing mit gleichem Nachnamen nicht hinreichend gewürdigt, verhilft dies der Berufung nicht zum Erfolg. Insoweit kann als zutreffend unterstellt werden, dass auf der Plattform Xing mehrere Personen den Nachnamen des Klägers tragen, dies hindert jedoch die Identifizierbarkeit nicht. Es ist insbesondere nicht erforderlich, dass sich alle zur Identifizierung der betreffenden Person erforderlichen Informationen in den Händen einer einzigen Person befinden (vgl. EuGH, Urteil vom 20. Dezember 2017 - Rs. C- 434/16, NJW 2018, 767, Nowak). Der Nachname ist ein gängiges Identifikationsmerkmal, es ist nicht erforderlich, dass die Identifikation „zweifelsfrei" ermöglicht wird, eine dahingehende Voraussetzung, die die Beklagte postulieren will, besteht nicht, da eine solche Einschränkung dem Text der Verordnung nicht zu entnehmen ist. Zudem ist es vorliegend dem Dritten unmittelbar gelungen, den Kläger zu identifizieren, da er sich nach Erhalt der Nachricht direkt an diesen gewandt hat. Auf die Frage, ob dem Adressaten der Nachricht die Identifikation des Klägers aufgrund der übermittelten Angaben möglich war, oder ob er, wie es die Berufung meint, auf dessen Antwort angewiesen war, kommt es für die Qualifikation als „personenbezogene Daten" i.S. d. Art. 4 Nr. 1 DS-GVO nicht an (zu Namensangaben: BGH, Urteil vom Oktober 2021 - VI ZR 489/19 -, Rn. 26, juris; zu Name, Geschlecht, Religion und Sprache: EuGH, Urteil vom 17.07.2014 - Rs. C-141/12, Rs. C-372/12, CR 2015, 103, 104).

Die Versendung einer Nachricht, fällt, sofern sie - wie hier - personenbezogene Daten enthält, in den sachlichen Anwendungsbereich der Datenschutz Grundverordnung (Art. 2 Abs. 1 DS-GVO).

Die Beklagte ist verantwortliche Stelle für die Verarbeitung von Daten und damit "Verantwortlicher" im Sinne von Art. 4 Nr. 7 DS-GVO (Ernst in: Paal/Pauly, a.a.O., Art. 4 Rn. 55).

Indem die Beklagte die Daten im Rahmen des Bewerbungsverfahrens erhebt, erfasst, ordnet, speichert und gegenüber Dritten offenlegt, "verarbeitet" sie diese Daten im Sinne von Art. 4 Nr. 2 DS-GVO. Danach ist eine „Verarbeitung" jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

Die Übermittlung der Nachricht mit den enthaltenen personenbezogenen Daten des Klägers an einen unbeteiligten Dritten stellt eine Verarbeitung seiner Daten in Form der beispielhaft genannten „Offenlegung durch Übermittlung" dar.

Die Berufung wendet ein, es handele sich vorliegend nicht um eine Verarbeitung, da mit dem versehentlichen „Klick", mit dem die Nachricht an den falschen Empfänger geschickt wurde, eine manuelle Handlung vorgenommen worden sei. Ein solches manuelles Verklicken stelle bereits keinen „Vorgang" im Sinne des Art. 4 Nr. 2 DS-GVO dar. Dies ist abzulehnen, da die Legaldefinition auch Vorgänge ohne Hilfe automatisierter Verfahren benennt und damit das manuelle Handeln ausdrücklich einschließt.

Auch die Versendung an einen zufälligen Adressaten schadet dabei nicht. Insoweit hat der Europäische Gerichtshof mit Urteil vom 25.11.2021 zu Inbox-Werbung klargestellt, dass eine „Verwendung elektronischer Post für die Zwecke der Direktwerbung" im Sinne der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) darstellt, ohne dass die Bestimmung der Empfänger dieser Nachrichten nach dem Zufallsprinzip von Bedeutung ist (EuGH, Urteil vom 25. November 2021 - C-102/20 -, juris). Dies gilt für die hier maßgebliche Nachricht in gleicher Weise.

Die Verarbeitung der personenbezogenen Daten des Klägers durch Versendung an einen in das Bewerbungsverfahren nicht eingebundenen Dritten war unrechtmäßig und insbesondere nicht von einer Einwilligung des Klägers erfasst. Durch den Umstand des Bewerbungsverfahrens hat der Kläger weder in die Verarbeitung seiner personenbezogenen Daten durch Offenlegung gegenüber Dritten gemäß Art. 6 Abs. a) DS-GVO eingewilligt noch sind die in Art. 6 b) bis f) genannten Voraussetzungen, etwa die Notwendigkeit der Weitergabe im Bewerbungsverfahren, diesbezüglich gegeben.

Auch die für eine Begründetheit des Unterlassungsanspruchs erforderliche Wiederholungsgefahr ist gegeben. Im Umfang des vorliegenden Datenschutzverstoßes besteht insofern eine tatsächliche Vermutung (Grüneberg/Herrler, BGB 81. Aufl., § 1004, Rn. 32), welche die Beklagte nicht widerlegt hat. Denn insofern vertritt sie weiterhin die Auffassung, dass es sich nicht um einen Datenschutzverstoß handelte, keine persönlichen Daten offenbart wurden und eine Unterlassungserklärung im Umfang des Klageantrages von ihr nicht geschuldet ist (ebenso: OLG Dresden, Urteil vom 14. Dezember 2021 - 4 U 1278/21 -, Rn. 47, juris).

Soweit der Klageantrag auch Daten erfasst, die nicht Gegenstand der Nachricht vom 23.10.2018 waren, ergibt sich die insofern erforderliche Erstbegehungsgefahr aus dem unstreitigen bzw. bewiesenen Sachverhalt. Denn die Beklagte beruft sich auf ein fahrlässiges „Verklicken" einer Mitarbeiterin im Rahmen der Kommunikation über Xing. Eine bewusste Auswahl hinsichtlich der weitergegebenen Daten erfolgte hierbei nicht, da die Weiterleitung an Herrn A ja unbeabsichtigt geschah und die Mitarbeiterin, Frau D, meinte, die Nachricht an den Kläger zu senden, was datenschutzrechtlich unbedenklich gewesen wäre. Solange die Beklagte nichts unternimmt, Fehler dieser Art künftig zu vermeiden, besteht daher die Gefahr entsprechender Datenschutzverstöße. Soweit hierbei andere von dem Kläger über Xing mitgeteilte Daten betroffen sind, besteht eine erstmals ernsthaft drohende Beeinträchtigung, was für eine Unterlassungsanspruch ausreichend ist (Grüneberg/Herrler, a.a.O.).

Mangels hinreichender Unterlassungserklärung, der es im Regelfall zur Widerlegung der Wiederholungs- bzw. der Erstbegehungsgefahr bedarf (OLG München, Urteil vom 19.1.2021 - 18 U 7243/19, Rn. 63 juris), besteht diese fort. Zwar lässt eine (ordnungsgemäße) Unterlassungsverpflichtungserklärung auch ohne Annahme durch den Gläubiger die Wiederholungsgefahr grundsätzlich entfallen; hierzu muss die Erklärung den Unterlassungsanspruch nach Inhalt und Umfang aber voll abdecken (BGH, Urteil vom 21.6.2005. VI ZR 122/04, Rn. 6, juris m.w.N.). Dies ist jedoch nicht der Fall, denn die strafbewehrte Unterlassungserklärung vom 4.3.2019 (Anlage K 5, Bl. 29 d.A.) beschränkte sich auf den genauen Wortlaut der streitgegenständlichen Nachricht. Vor neuen Verletzungshandlungen schützt sie daher nicht in ausreichender Weise.

Der Kläger muss nämlich insgesamt vor der rechtswidrigen Weitergabe seiner personenbezogenen Daten geschützt werden. Diese Gefahr besteht nicht nur im Hinblick auf die konkrete Nachricht, sondern auch hinsichtlich der Weitergabe seiner Angaben an Dritte in vergleichbarer Weise. Da die Begrenzung der Unterlassungserklärung auf den konkreten Wortlaut der Nachricht zu eng gefasst ist, ist die Berufung hinsichtlich des Unterlassungsanspruchs unbegründet.

Dass der konkrete Verstoß mit gleichem Wortlaut erneut erfolgen könnte, liegt angesichts der Individualität der Nachricht fern. Vergleichbare Verstöße hingegen, die bei nicht ausreichend sorgsamen Umgang mit persönlichen Daten drohen könnten, sind nicht ausgeschlossen. Sofern die Berufung einwendet, eine Wiederholung sei ausgeschlossen, da es sich um ein Augenblicksversagen einer Mitarbeiterin gehandelt habe, ist dies für die Bewertung der Wiederholungsgefahr nach Auffassung des Senats nicht der entscheidende Gesichtspunkt. Es obliegt der Beklagten als Verantwortliche für die von ihr verarbeiteten personenbezogenen Daten, ihre Mitarbeiter im Umgang ausreichend zu schulen (so auch: Golland, DSB 2020, 286-288; Gündel, Grundeigentum 2021, 1109-1111) sowie ggf. durch technische Maßnahmen vorhersehbare Fehlanwendungen zu vermeiden.

Insoweit hat das Landgericht richtigerweise Beweis erhoben durch Vernehmung des Zeugen E zu den seitens der Beklagten im Zusammenhang mit dem Rechtsverstoß ergriffenen Maßnahmen. Es ist dabei zu der Überzeugung gelangt, dass keine Schulungsmaßnahmen oder anderweitige Vorkehrungen von der Beklagten hinsichtlich der betreffenden Mitarbeiterin oder deren Kollegen veranlasst worden sind, die mit der notwendigen Sicherheit etwaige künftige Rechtsverstöße vermeiden und damit die Vermutung widerlegen könnten. Das Landgericht hat festgestellt, dass der Zeuge nicht bestätigen konnte, dass alle relevanten Mitarbeiter hinsichtlich des Umgangs mit personenbezogenen Daten geschult worden seien. Zwischen der streitgegenständlichen Nachricht und der Benachrichtigung des Zeugen lag ein Zeitraum von mehr als sechs Wochen, so dass auch eine unverzügliche Reaktion auf den Datenschutzverstoß seitens der Beklagten nicht festgestellt werden konnte. Zudem hat die Beweisaufnahme ergeben, dass neue Mitarbeiter der Beklagten nicht im Hinblick auf die Problematik geschult werden, sondern lediglich eine Erklärung abgeben müssen, dass sie die Datenschutzbestimmungen einhalten werden.

Der Senat teilt die Einschätzung des Landgerichts, wonach diese Maßnahmen nicht ausreichen, um eine Wiederholungsgefahr auszuschließen. Denkbar wären Schulungsmaßnahmen zwecks Sensibilisierung der Mitarbeiter hinsichtlich konkreter Fehlerquellen oder die Vorgabe anderer Kommunikationswege als die direkt über das Portal Xing zugeleitete Nachricht, die ein hohes Risiko der Falschadressierung birgt. Die Berufung greift die Feststellungen des Landgerichts zum Ergebnis der durchgeführten Beweisaufnahme nicht an.

Die Wiederholungsgefahr entfällt schließlich auch nicht teilweise im Umfang der abgegebenen Erklärung. Zwar sind - im Falle einer sachlich teilbaren Wiederholungsgefahr - Teilunterwerfungserklärungserklärungen möglich (BGH, Urteil vom 21.6.2005, a.a.O). Dies ist vorliegend jedoch nicht in relevanter Weise gegeben. Denn ein nochmaliges Versenden der gleichen Nachricht, was allein Gegenstand der abgegebenen Unterlassungserklärung ist, steht nicht in Rede. Zwar sind Unterlassungserklärungen der Auslegung zugänglich. Eine Auslegung dahingehend, dass die Beklagte sich strafbewehrt zur Unterlassung jeder künftigen Verletzung der in der Nachricht vom 23.10.2018 gegenständlichen Daten (Nachname, Geschlecht, Umstand der Bewerbung, Gehaltsvorstellung) verpflichtet hat, lässt sich dieser aufgrund des ausdrücklich eng beschränkten Wortlauts jedoch nicht entnehmen. Hiergegen spricht zudem die von der Beklagten nach wie vor vertretenen Auffassung, es liege überhaupt kein Datenschutzverstoß vor und sie dürfe die genannten Daten daher weiterverarbeiten.

Die Geltendmachung des Anspruchs innerhalb eines angemessenen Zeitraums nach dem Verstoß ist nicht zu beanstanden. Das Abwarten des Bewerbungsprozesses ist nicht rechtsmissbräuchlich. Der Anspruchsinhaber darf die Durchsetzung seines Rechts zunächst zurückstellen, ohne dass die sich anschließende Geltendmachung als missbräuchlich darstellt. Die Enttäuschung über die Nichtberücksichtigung im Bewerbungsverfahren mag für die Geltendmachung des Unterlassungsanspruchs mitursächlich sein, den Einwand des Rechtsmissbrauchs vermag sie nicht auszulösen.

Im Hinblick auf den zugesprochenen Schadenersatzanspruch hat die Berufung der Beklagten Erfolg, zugleich ist der Anschlussberufung des Klägers der Erfolg zu versagen, da die Zahlungsklage unbegründet ist.

Dem Kläger steht kein Anspruch aus Art. 82 DS-GVO gegen die Beklagte auf Ersatz des von ihm geltend gemachten immateriellen Schadens im Zusammenhang mit der rechtswidrigen Datenverarbeitung zu.

Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde, Art. 82 Abs. 2 Satz 1 DSGVO. Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist, Art. 82 Abs. 3 DSGVO.

Die Voraussetzungen für einen Geldentschädigungsanspruch in Bezug auf einen dem Kläger zugefügten immateriellen Schaden liegen nach Auffassung des Senats nicht vor, da es jedenfalls an der Darlegung des Eintritts eines Schadens bei dem Kläger fehlt.

Zwar liegt, wie ausgeführt, ein Verstoß durch Übermittlung von personenbezogenen Daten an einen unbeteiligten Dritten vor. Zudem ist das Landgericht auch richtigerweise zusätzlich von einem Verstoß gegen Art. 34 Abs. 1 DS-GVO ausgegangen und hat ein durch die Verletzung des Schutzes personenbezogener Daten voraussichtlich hohes Risiko für die persönlichen Rechte und Freiheiten angenommen. Die Information des Klägers über den Datenschutzverstoß erfolgte nicht unverzüglich, sondern erst auf dessen Nachfrage.

Die Frage, ob bereits der Datenschutzverstoß als solcher für das Entstehen eines Schadensersatzanspruchs ausreicht oder es darüber hinaus der Darlegung und des Nachweises eines konkreten (auch: immateriellen) Schadens bedarf, ist in Rechtsprechung und Literatur umstritten (für ein Ausreichen des Eingriffs in das allgemeine Persönlichkeitsrecht: z.B. OLG München, Urteil vom 4.2.2019 - 15 U 3688/18 -, juris, Rn. 19 ff., Ehmann/Selmayr/Nemitz, Datenschutz-Grundverordnung, 2. Aufl., Art. 82 DS-GVO Rn. 11-13; für das Erfordernis eines nachgewiesenen Schadens z.B. LAG Baden-Württemberg, Urt. v. 25.02.2021, 17 Sa 37/20, zit. nach juris, Rn. 96, LG Karlsruhe, Urt. v. 02.08.2019, 8 O 26/19, zit. nach juris, Rn. 19, Ernst, juris PR-ITR 1/2021 Anm. 6 in einer Anmerkung zu dem vorliegend angefochtenen Urteil des Landgerichts Darmstadt v. 26.05.2020, 13 O 244/19, m.w.N.). Insbesondere von den Verfechtern eines Anspruchs ohne Nachweis eines konkreten Schadens wird zudem vertreten, dass die Beeinträchtigung über eine bloße Bagatellverletzung hinausgehen muss (vgl. hierzu die Quellenangaben bei Ernst, a.a.O.).

Sowohl der österreichische Oberste Gerichtshof (Vorabentscheidungsersuchen vom 12.05.2021, ZD 2021, S. 631, wobei der Gerichtshof die Auffassung vertritt, es sei der Nachweis eines Schadens erforderlich) als auch das Bundesarbeitsgericht (Vorabentscheidungsersuchen vom 26.08.2021, 8 AZR 253/20-A, wobei das BAG den Nachweis eines Schadens nicht für notwendig hält) haben die hiermit zusammenhängenden Fragen dem Europäischen Gerichtshof zur Vorabentscheidung vorgelegt.

Der Senat folgt im Ergebnis der Auffassung, wonach über den festgestellten Verstoß gegen die Vorschriften des DS-GVO hinaus Voraussetzung für eine Entschädigung in Geld der Nachweis eines konkreten (auch immateriellen) Schadens ist. Hierfür spricht zunächst bereits der Wortlaut von Art. 82 Abs. 1 DS-GVO, der über den Verstoß hinaus ausdrücklich die Entstehung eins Schadens („...Schaden entstanden ist") voraussetzt (Eichelberger, WRP 2021, 159-167; Wybitul/Brams, ZD 2020, 644-646). Hätte der Verordnungsgeber eine nur an den Rechtsverstoß anknüpfende, vom Nachweis eines konkreten Schadens unabhängige Zahlungspflicht anordnen wollen, hätte es demgegenüber nahegelegen, dies - wie z.B. im Luftverkehrsrecht gem. Art. 7 Abs. 1 FluggastrechteVO (EG) 261/2004 - durch Pauschalen zu regeln (Eichelberger, aaO. Rn. 24). In dem Erwägungsgrund 146 S. 3 zu der DS-GVO heißt es zwar, dass der Begriff des Schadens im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden soll, die den Zielen der Verordnung in vollem Umfang entspricht. Der Anspruch soll nach Erwägungsgrund 146 S. 6 sicherstellen, dass die betroffenen Personen einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten. Das schließt ein, dass Schadensersatzforderungen abschrecken und weitere Verstöße unattraktiv machen sollen. Der Begriff des Schadens in Art. 82 DSGVO ist autonom auszulegen, mithin kommt es nicht darauf an, ob ein bestimmter Schaden nach nationalem Recht als Schaden angesehen werden könnte (Bergt in: Kühling/Buchner, DS-GVO BDSG, 3. Aufl. 2020, Art. 82 Rn. 17; vgl. in diesem Zusammenhang auch: BVerfG 14.1.2021 - 1 BvR 2853/19 - Rn. 20, juris).

Auch hiernach ist der Schaden jedoch nicht mit der zugrundeliegenden Rechtsgutsverletzung gleichzusetzen. Denn ausdrücklich muss der Schaden „erlitten" werden, woraus folgt, dass dieser tatsächlich entstanden sein muss und nicht lediglich befürchtet wird (LAG Baden-Württemberg, Urte. v. 25.02.2021, 17 Sa 37/20, zit. nach juris, Rn. 96 unter Bezug auf Frenzel in: Paal/Pauly, a.a.O., Art. 82, Rn. 10 und Klein GRUR-Prax 2020, 433). Der bloße Verstoß gegen Bestimmungen der DS-GVO reicht daher nicht aus.

Hinzu kommt schließlich, dass weder Art. 82 DS-GVO noch dessen Erwägungsgründe einen Hinweis darauf enthalten, dass geringfügige (Bagatellschäden) nicht auszugleichen wären; vielmehr sieht Erwägungsgrund 148 Satz 2 vor, dass lediglich ausnahmsweise bei geringfügigen Verstößen auf die Verhängung einer Geldbuße verzichtet werden kann (LAG Baden-Württemberg, a.a.O. m.w.N.).

Das Erfordernis des Nachweises eines tatsächlich erlittenen Schadens ist daher auch der Sache nach erforderlich, um ein vom Verordnungsgeber nicht gewolltes Ausufern von Schadensersatzforderungen in allen Fällen eines - tatsächlich für den Betroffenen folgenlosen - Datenschutzverstoßes zu vermeiden (so insbesondere auch Ernst, a.a.O.).

Das Vorliegen eines konkreten -immateriellen- Schadens, wozu auch Ängste, Stress sowie Komfort- und Zeiteinbußen zählen (Bergt in: Kühling/Buchner, DS- GVO BDSG, 3. Auflage 2020, Rn. 18 b), hat der Kläger nicht dargetan. Der Vortrag in seinem auf einen entsprechenden Hinweis des Senats eingereichten Schriftsatz vom 11.1.2022 (Bl. 326 ff. d. A.) erschöpft sich in der - erneuten- Darlegung des Datenschutzverstoßes. Insofern führt der Kläger an, dass der Schaden nicht in dem bloßen, abstrakten Kontrollverlust über die offenbarten Daten, sondern in der Tatsache liege, dass nunmehr mindestens eine weitere Person, die den Kläger und potentielle wie ehemalige Arbeitgeber kenne, über Umstände Kenntnis habe, die der Diskretion unterlägen. Zudem empfinde der Kläger das „Unterliegen" in den Gehaltsverhandlungen als Schmach, die er nicht an Dritte - vor allem nicht an potentiellen Konkurrenten - weitergegeben hätte.

Nähere Ausführungen zu einem Schaden erfolgen klägerseits nicht. Selbst bei Unterstellung einer „Schmach", vermag der Senat diese nicht als einen immateriellen Schaden zu bewerten. Denn der Kläger hat schon nicht mitgeteilt, welche Größenordnung des Gehaltsrahmens angestrebt, ob die angebotene Summe, die durch variable Anteile ohnehin nicht die Obergrenze bildete und im noch laufenden Bewerbungsverfahren vorläufig war, mit einer Diskreditierung verbunden war.

Dem Kläger steht ein Anspruch auf Erstattung vorgerichtlicher Rechtsanwaltskosten aus dem Gegenstandswert der berechtigt geltend gemachten Unterlassungsansprüche und damit aus der Gebührenstufe bis 15.000,- € zu. Die Hinzuziehung eines Rechtsanwalts war notwendig, da es sich um schwierige Rechtsfragen handelt, für deren Klärung eine anwaltliche Beratung erforderlich ist. Der Anspruch beläuft sich gemäß §§ 2 Abs. 2, 13 RVG Nr. 2300 VV RVG auf 1.029,35 €. Da die Anschlussberufung den erstinstanzlich zuerkannten Betrag von 1.025,55 € nicht angreift, hat es bei diesem zu verbleiben.

Entgegen der Ansicht der Beklagten ist der Senat nicht gehalten, das vorliegende Verfahren auszusetzen und die Sache dem EuGH zur Vorabentscheidung nach Art. 267 Abs. 2, 1 AEUV über die Auslegung von Art. 15 DS-GVO vorzulegen.

Die hier maßgeblichen Rechtsfragen liegen dem EuGH bereits in anhängigen Verfahren (BAG, EuGH-Vorlage vom 26. August 2021 - 8 AZR 253/20 (A) -, Rn. 33, juris; Vorabentscheidungsersuchen des Obersten Gerichtshofs (Österreich) eingereicht am 12. Mai 2021 - juris) vor. Zudem besteht eine Pflicht zur Vorlage nach Art. 267 Abs. 3 AEUV im vorliegenden Verfahren schon deshalb nicht, weil das vorliegende Urteil hier nicht als Entscheidung eines Gerichts ergeht, dessen Entscheidungen selbst im Sinne von Art. 267 Abs. 3 AEUV nicht mehr mit Rechtsmitteln des innerstaatlichen Rechts angefochten werden können. Dem Kläger steht es infolge der diesbezüglich zuzulassenden Revision - dazu unten - frei, die Entscheidung durch den Bundesgerichtshof überprüfen zu lassen (s. OLG Köln, Urteil vom 26. Juli 2019 - I-20 U 75/18 -, Rn. 328, juris).

Den Volltext der Entscheidung finden Sie hier:

OLG Düsseldorf
Urteil vom 28.10.2021
16 U 275/20

Das OLG Düsseldorf hat dem Betroffenen in diesem Fall Schadensersatz aus Art. 82 Abs. 1 DSGVO in Höhe von 2.000 EURO zugesprochen. Die Krankenkasse des Betroffenen hatte die Gesundheitsakte an eine falsche E-Mail-Adresse geschickt. Die Gesundheitsakte war dabei auch nicht verschlüsselt.

Aus den Entscheidungsgründen:

Die zulässige Leistungsklage ist jedoch in der Hauptsache nur im Umfang von 2.000,- € auch begründet.

aa) Aufgrund der vom Zeugen A. an die falsche E-Mail-Adresse versandten Gesundheitsakte der Klägerin hat diese gegen die Beklagte infolge eines durch den fehlerhaften Versand erlittenen immateriellen Schadens einen Anspruch auf Schadensersatz aus Art. 82 Abs. 1 DSGVO. Gemäß Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen die Verordnung ein immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen. Verantwortlich im Sinne von Art. 4 Nr. 7 DSGVO für die Verarbeitung der Gesundheitsdaten der Klägerin ist die Beklagte als deren gesetzliche Krankenkasse.

(1) Es kann dahinstehen, ob Art. 82 Abs. 1 DSGVO für das sozialrechtliche Rechtsverhältnis zwischen der Klägerin und der Beklagten unmittelbar gilt. So kann die sachliche Anwendbarkeit der DSGVO gemäß Art. 2 Abs. 2 a) DSGVO zweifelhaft sein, weil zwar Art. 16 Abs. 2 Satz 1 AEUV eine Gesetzgebungskompetenz der Europäischen Union für den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten begründet, zugleich aber Art. 168 Abs. 7 Satz 1 AEUV die Verantwortung der Mitgliedstaaten für die Festlegung ihrer Gesundheitspolitik und für die Organisation des Gesundheitswesens und die medizinische Versorgung unberührt lässt. Selbst wenn die DSGVO auf das Rechtsverhältnis der Klägerin zu ihrer gesetzlichen Krankenkasse nicht unmittelbar anwendbar sein sollte, so wären ihre Vorschriften gemäß § 35 Abs. 2 Satz 2 SGB I jedenfalls entsprechend anzuwenden (siehe BSG, Urteile vom 20. Januar 2021 – B 1 KR 7/20 R, juris, Rn. 25-28, vom 8. Oktober 2019 – B 1 A 3/19 R, juris, Rn. 37, und vom 18. Dezember 2018 – B 1 KR 40/17 R, juris, Rn. 29) und zwar auch auf Datenverarbeitungsvorgänge, welche nicht den Voraussetzungen von Art. 2 Abs. 1 DSGVO entsprechen (vgl. Schifferdecker, in: Kasseler Kommentar Sozialversicherungsrecht, Stand: 114. EL Mai 2021, § 35 SGB I Rn. 86: „Datensammlung auf Notizzettel“). Dadurch wird sichergestellt, dass sämtliche Tätigkeitsbereiche, in denen Sozialdaten verarbeiten werden, demselben datenschutzrechtlichen Regime unterliegen (Greiner, in: Knickrehm/Kreikebohm/Waltermann, Kommentar zum Sozialrecht, 7. Aufl., § 35 SGB I Rn. 3).

(2) Art. 82 Abs. 1 DSGVO, auf den die Klägerin ihr Klagebegehren stützt, ist auch nicht deshalb unanwendbar, weil es bei der von der Beklagten an das falsche E-Mail-Konto versandten Gesundheitsakte um eine Verbreitung personenbezogener Daten geht, die den Schutzbereich des allgemeinen Persönlichkeitsrechts betreffen.

Nach Auffassung des Senats ist die ungewollte Preisgabe von Daten, über die hier zu befinden ist, dem Recht auf informationelle Selbstbestimmung als eigenständigem Teilgehalt des allgemeinen Persönlichkeitsrechts zuzuordnen. Davon zu unterscheiden ist die sichtbare Verbreitung bestimmter Informationen im öffentlichen Raum als Ergebnis eines Kommunikationsprozesses, die den äußerungsrechtlichen Ausprägungen des allgemeinen Persönlichkeitsrechts zuzuordnen ist (siehe BVerfG, Beschluss vom 6. November 2019 – 1 BvR 16/13, juris, Rn. 79-91; Senatsbeschlüsse vom 16. März 2021 – I-16 U 317/20, und vom 16. Februar 2021 – I-16 U 269/20, juris, Rn. 7). Dies zugrunde gelegt, steht eine Eröffnung des Schutzbereichs des allgemeinen Persönlichkeitsrechts aus Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG der Anwendung des Art. 82 Abs. 1 DSGVO hier nicht entgegen, weil es in seiner Ausprägung als Recht auf informationelle Selbstbestimmung betroffen ist, dessen Schutz die datenschutzrechtlichen Regelungen der DSGVO dienen. In der auf einem Schreib- oder Tippfehler beruhenden Versendung der Gesundheitsakte an ein falsches E-Mail-Postfach liegt eine schlichte Preisgabe von Daten ohne ein kommunikatives Ziel. Dies gilt zumal im Hinblick auf den Inhaber des E-Mail-Postfachs, an den die Akte nicht versandt werden sollte. Mit einem Kommunikationsprozess hat die versehentliche Datenpreisgabe nur peripher insofern zu tun, als ihr ein Telefongespräch zwischen der Klägerin und dem Zeugen A. vorausgegangen ist. Für die Eröffnung des Schutzbereichs des allgemeinen Persönlichkeitsrechts in seiner äußerungsrechtlichen Ausprägung reicht das indes nicht aus.

(3) In dem Versand der E-Mail mit der Gesundheitsakte der Klägerin an das falsche E-Mail-Postfach liegt ein Verstoß gegen die DSGVO. Eine Datenverarbeitung, zu der gemäß Art. 4 Nr. 2 DSGVO auch die Offenlegung durch Übermittlung gehört, ist nach der DSGVO nur rechtmäßig, wenn die betroffene Person gemäß Art. 6 Abs. 1 Satz 1 lit. a) DSGVO ihre Einwilligung zu der Verarbeitung gegeben hat oder eine der übrigen in Art. 6 Abs. 1 Satz 1 DSGVO normierten Rechtmäßigkeitsvoraussetzungen vorliegt. Dies ist hier im Hinblick auf den Versand der E-Mail mit der ihr angefügten Gesundheitsakte der Klägerin an die E-Mail-Adresse „B2@fff.de“ jeweils nicht der Fall (siehe für eine vergleichbare Konstellation auch LG Darmstadt, Urteil vom 26. Mai 2020 – 13 O 244/19, juris, Rn. 43 ff.). Die Klägerin hat in die Übersendung an dieses fremde E-Mail-Postfach nicht eingewilligt und es liegen auch keine anderen normierten Rechtmäßigkeitsvoraussetzungen für diese Übersendung vor.

(4) Weitere Datenschutzverstöße zulasten der Klägerin lassen sich hingegen nicht feststellen.

(a) Die vom Landgericht angenommene Verletzung des Art. 32 DSGVO ist nicht zu bejahen. Anders als das Landgericht vermag der Senat aus dem Fehler beziehungsweise Fehlverhalten eines einzelnen Mitarbeiters nicht den Rückschluss zu ziehen, dass die Beklagte kein nach Art. 32 DSGVO ausreichendes Datenschutzniveau implementiert hatte. Weitere für einen solchen Schluss notwendige Anknüpfungstatsachen hat die insoweit darlegungs- und beweisbelastete Klägerin weder ausreichend vorgetragen noch unter Beweis gestellt.

(b) Soweit das Landgericht zudem als einen Datenschutzverstoß der Beklagten beanstandet, dass der Zeuge A. die E-Mail unverschlüsselt und mit unverschlüsselter bzw. nicht pseudonymisierter Gesundheitsakte als Anhang versandt hat, überzeugt auch das nicht. Ein Datenschutzverstoß durch diese Form der Versendung liegt aufgrund einer Einwilligung der Klägerin nach Art. 6 Abs. 1 Satz 1 lit. a) DSGVO nicht vor. Eine Einwilligung ist nach Art. 4 Nr. 11 DSGVO jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Diese Voraussetzungen liegen hier vor.

(aa) Die Klägerin hat unmissverständlich zum Ausdruck gebracht, dass sie mit der Übersendung der Gesundheitsakte per E-Mail einverstanden ist. Im Verlauf des Gesprächs mit dem Zeugen A. teilte sie dem Zeugen ihre E-Mail-Adresse mit. Das konnte dieser nicht anders verstehen und kann auch objektiv nicht anders verstanden werden, als dass die Klägerin die Gesundheitsakte schließlich doch per E-Mail übersandt erhalten wollte. Dabei musste ihr zugleich klar sein, dass diese Übersendung weder verschlüsselt noch in pseudonymisierter Form erfolgen würde. Über solche besonderen Formen der Versendung hatte die Klägerin mit dem Zeugen nicht gesprochen. Entsprechende Wünsche hatte sie nicht geäußert. Ein für die Entschlüsselung notwendiges Passwort war nicht ausgetauscht worden.

(bb) Der wirksamen Einwilligung steht nicht deren fehlende Freiwilligkeit entgegen. Freiwilligkeit wäre zu verneinen, wenn die Erklärung entgegen Erwägungsgrund 42 Satz 5 DSGVO von der Klägerin unter Druck oder Zwang abgegeben worden wäre (vgl. Schulz, in: Gola, DS-GVO, 2. Aufl., Art. 7 Rn. 21). Das war hier indes nicht der Fall. Die Klägerin hatte ungeachtet des nachdrücklichen Werbens des Zeugin A. für den von ihm favorisierten E-Mail-Versand die Möglichkeit, auch ihm gegenüber auf einem Postversand zu bestehen. Sie musste sich der von ihm favorisierten Lösung nicht beugen. Wie sie im Rahmen ihrer informatorischen Anhörung durch den Senat bekundet hat, hatte der Zeuge, der überdies nicht mehr als ein erster Ansprechpartner der Beklagten in der Servicehotline war, den Postversand nicht per se ausgeschlossen. Er hatte nur darauf hingewiesen, dass dieser nicht mehr bis Weihnachten möglich sei. Den sich für die Klägerin aus den nahenden Weihnachtsfeiertagen ergebenden zeitlichen Druck kann sie der Beklagten jedoch nicht entgegenhalten. Diesen hatte sie selbst zu verantworten, weil sie nach dem Gespräch mit dem Versicherungsmakler am 27. November 2018 erst am 14. Dezember 2018 Kontakt zur Beklagten aufgenommen hatte. Es lässt sich auch nicht feststellen, dass die Erklärung des Zeugen A. zur Dauer des Postversands unzutreffend war. Aus dem späteren sehr kurzfristigen Postversand der Gesundheitsakte an die Klägerin ergibt sich nichts anderes. Dieser fand unter besonderen Umständen statt, weil er in die Zeit nach Bekanntwerden des Datenschutzverstoßes zulasten der Klägerin fiel. Es ist nicht auszuschließen, dass die Beklagte die Klägerin ab diesem Zeitpunkt zuvorkommend behandelt und ihre Abläufe beschleunigt hat.

(cc) Der wirksamen Einwilligung der Klägerin steht ebenfalls nicht entgegen, dass sie diese nicht in informierter Weise erklärt hatte. Das Merkmal der Erklärung der Einwilligung in informierter Weise verlangt, dass die betroffene Person abschätzen können muss, welche Auswirkungen die Erteilung der Einwilligung für sie hat (Buchner/Kühling, in: dies., DS-GVO/BDSG, 3. Aufl., Art. 7 Rn. 59). Nach ihrer informatorischen Anhörung hat der Senat nicht die geringsten Zweifel, dass die Klägerin die Problematik und die Gefahren einer unverschlüsselten Versendung ihrer nicht pseudonymisierten Gesundheitsakte erkannt hat. Die Sensibilität der Klägerin für die Gefahren elektronischer Kommunikation wurde anhand ihrer Äußerungen im Rahmen ihrer informatorischen Anhörung sehr deutlich. Sie hat ihre Bedenken gegen die vom Zeugen A. vorgeschlagene Übermittlung, wie sie bekundet hat, schließlich aber zurückgestellt, weil ihr daran gelegen war, die Gesundheitsunterlagen bis Weihnachten zu erhalten.

(dd) Soweit das Landgericht im Zuge seiner Prüfung des Art. 32 DSGVO angenommen hat, ein Verzicht auf ein verschlüsseltes Versenden von Daten sei nach der DSGVO nicht möglich, überzeugt das im Hinblick auf die von der Klägerin erklärte Einwilligung nicht. Die Einwilligung ist ein auf der privatautonomen Entscheidung des Betroffenen beruhender Rechtfertigungstatbestand. Es widerspräche der Privatautonomie, wenn die Einwilligung nicht zu einem Verzicht auf Anonymisierungs-, Pseudonymisierungs- sowie Verschlüsselungstechniken führen könnte (siehe auch Albers/Veit, in: Wolff/Brink, BeckOK Datenschutzrecht, 37. Ed., Stand: 01.05.2020, Art. 6 DS-GVO Rn. 26).

(c) Zutreffend hat das Landgericht allerdings keinen Datenschutzverstoß in der E-Mail-Weiterleitung innerhalb der beklagten Krankenkasse gesehen, weil hierbei keine Einsichtnahme durch Dritte möglich war. Insoweit kann auf die diesbezüglich zutreffenden Gründe der angefochtenen Entscheidung Bezug genommen werden.

(5) Infolge des in dem E-Mail-Versand an das falsche E-Mail-Postfach liegenden Verstoßes gegen die Vorschriften der DSGVO hat die Klägerin einen immateriellen Schaden erlitten. Als immaterieller Schaden der Klägerin stellt sich die mit dem Verlust der Datenkontrolle verbundene seelisch belastende Ungewissheit über das Schicksal ihrer Daten dar. Dafür, dass darin ein immaterieller Schaden im Sinne von Art. 82 Abs. 1 DSGVO liegen kann, spricht nicht nur Erwägungsgrund 75 der DSGVO, wo dem Schadensbegriff auch der Verlust der Kontrolle über personenbezogene Daten zugeordnet wird. Dafür spricht auch, dass in den meisten Rechtsordnungen mit dem Begriff des immateriellen Schadens Schäden wie seelisches Leid oder Beeinträchtigungen der Lebensqualität erfasst werden (siehe Schlussanträge des Generalanwalts N. Wahl vom 25. Juli 2018 in den verbundenen Rechtssachen C-138/17 P und C-146/17 P, juris, Rn. 83) und der Europäische Gerichtshof ein vergleichbares Schadensverständnis auch für das Unionsprimärrecht vertritt. Der Gerichtshof verlangt dort zwar, dass ein Schaden tatsächlich und sicher sein muss (EuGH, Urteil vom 4. April 2017 – C-337/15, juris, Rn. 91), andererseits kann bereits ein lang anhaltender Zustand belastender Ungewissheit einen immateriellen Schaden darstellen (vgl. z.B. EuGH, Urteil vom 13. Dezember 2018 – C-138/17 u.a., juris, Rn. 61; EuG, Urteil vom 17. Dezember 1998 – T-203/96, juris, Rn. 108).

Dahinstehen kann hier, ob Voraussetzung eines Schadensersatzanspruchs nach Art. 82 Abs. 1 DSGVO ist, dass der durch den Datenschutzverstoß entstandene immaterielle Schaden ein gewisses Gewicht erreicht haben muss (siehe OLG Dresden, Beschluss vom 11. Juni 2019 – 4 U 760/19, juris, Rn. 13; siehe dazu auch OGH Österreich, Vorlagebeschluss vom 15. April 2021 – 6 Ob 35/21x = BeckRS 2021, 11950). Der der Klägerin hier entstandene immaterielle Schaden hat ausreichendes Gewicht. Sie hat nicht nur einen Bagatellschaden erlitten, der gegebenenfalls keines Ausgleichs nach Art. 82 Abs. 1 DSGVO bedürfte. Angesichts des Umfangs und der Bedeutung der Daten, über welche die Klägerin über viele Monate die Kontrolle verloren hat, und angesichts der Sorgen und Befürchtungen, unter denen sie aufgrund des Datenverlusts in dieser Zeit gelitten hat, ist eine etwaige Bagatellschwelle zweifelsfrei überschritten. Insoweit ist zu berücksichtigen, dass die DSGVO Gesundheitsdaten im Sinne von Art. 4 Nr. 15 DSGVO, wie sie hier betroffen sind, durch das grundsätzliche Verarbeitungsverbot in Art. 9 Abs. 1 DSGVO als besonders sensible Datenkategorie anerkennt. Es kommt hinzu, dass der hier betroffene Auszug aus der Gesundheitsakte der Klägerin nicht nur sehr umfangreich war, sondern auch höchst intime Gesundheitsinformationen enthielt.

bb) In der Höhe ist der dem Grunde nach hier zu bejahende Schadensersatzanspruch der Klägerin aus Art. 82 Abs. 1 DSGVO allerdings auf einen Betrag von 2.000,- € begrenzt.

(1) Für die Bemessung von Schadensersatzansprüchen nach Art. 82 Abs. 1 DSGVO enthält die DSGVO nur wenige Vorgaben. Aus dem Nebeneinander von materiellem und immateriellem Schaden folgt, dass auch solche Schäden auszugleichen sind, die sich nicht unmittelbar in Geld bemessen lassen. Nach Erwägungsgrund 146 Satz 3 sollte der Begriff des Schadens im Lichte der Rechtsprechung des Gerichtshofs zudem weit auf eine Art und Weise ausgelegt werden, die den Zielen der Verordnung in vollem Umfang entspricht. Nach Erwägungsgrund 146 Satz 6 sollten die betroffenen Personen einen vollständigen und wirksamen Schadensersatz für erlittene Schäden erhalten.

Hiernach hat sich der Schadensersatz zuvörderst an dem Ziel des Schadensausgleichs zu orientieren. Das gilt, weil die Vorschrift nicht zwischen den Schadensarten differenziert, auch im Falle immaterieller Schäden (siehe Eichelberger, WRP 2021, 159, 162 ff.). Darüber hinaus wird bei immateriellen Einbußen auch die Genugtuungsfunktion Bedeutung erlangen und als ein Umstand bei der Schadensbemessung berücksichtigt werden können, wenn die Umstände des konkreten Falles hierfür Anlass geben (vgl. auch Eichelberger, WRP 2021, 159, 165). Letztlich können – wie dies auch bei Art. 340 Abs. 2 AEUV der Fall ist (vgl. EuGH, Urteil vom 30. Mai 2017 – C-45/15 P, juris, Rn. 48) – für die Bemessung des Ersatzanspruchs für immaterielle Schäden nur die Umstände des konkreten Einzelfalls entscheidend sein. Zu berücksichtigen sein können etwa Art, Schwere und Dauer des Datenschutzverstoßes, das Verhalten des Verantwortlichen sowie die Auswirkungen des Verstoßes für den Betroffenen (siehe EuGH, Urteil vom 30. Mai 2017 – C-45/15 P, juris, Rn. 52, zu Art. 340 Abs. 2 AEUV). Solche Kriterien sind nach Art. 83 Abs. 2 Satz 2 DSGVO auch bei der Verhängung von Geldbußen für Datenschutzverstöße zu berücksichtigen. Bei der Ermittlung der danach angemessenen Art der Entschädigung und der Bestimmung des gegebenenfalls zuzuerkennenden Schadensersatzbetrags haben die Gerichte einen erheblichen Spielraum (vgl. für Art. 340 Abs. 2 AEUV Schlussanträge des Generalanwalts N. Wahl vom 25. Juli 2018 in den verbundenen Rechtssachen C-138/17 P und C-146/17 P, juris, Rn. 86), den sie nach billigem Ermessen füllen müssen (siehe für Art. 340 Abs. 2 AEUV EuG, Urteil vom 1. Februar 2017 – T-479/14, juris, Rn. 135, sowie Schlussanträge des Generalanwalts N. Wahl vom 25. Juli 2018 in den verbundenen Rechtssachen C-138/17 P und C-146/17 P, juris, Rn. 85 u. 101).

(2) Ausgehend hiervon sind hier jedenfalls die Kategorie der betroffenen personenbezogenen Daten, Art, Schwere und Dauer des Datenschutzverstoßes, die seelischen Auswirkungen bei der Klägerin, der Grad des Verschuldens, die ergriffenen Maßnahmen zur Minderung der Schadensfolgen sowie der Gesichtspunkt in den Blick zu nehmen, ob eine dauerhafte Beeinträchtigung der Herrschaft über die eigenen Daten und der seelischen Gesundheit verbleibt.

Die vorgenannten Umstände, insbesondere die psychischen Auswirkungen des Datenschutzverstoßes bei der Klägerin, sprechen in der Gesamtschau dafür, dass der ihr entstandene immaterielle Schaden nur durch eine Geldzahlung, nicht aber durch andere Maßnahmen wie etwa eine erklärte Entschuldigung vollständig ausgeglichen werden kann. Zum Ausgleich des immateriellen Schadens ist hier nach den Umständen des Falles ein Betrag von 2.000,- € angemessen, aber auch ausreichend.

(a) Von besonderer Bedeutung für die Bestimmung des angemessenen Schadensersatzbetrags ist die Natur der vom Datenschutzverstoß betroffenen Daten der Klägerin. Es handelte sich dabei nicht nur um Gesundheitsdaten, die bereits für sich genommen von besonderer Sensibilität sind, wie auch ihr datenschutzrechtlicher, berufsrechtlicher und strafrechtlicher Schutz vor unbefugter Offenbarung zeigt. Die betroffenen Gesundheitsdaten waren auch besonders umfangreich. Sie betrafen – auf rund 100 Seiten – sämtliche bei der Beklagten erfassten ärztlichen und sonstigen medizinischen Behandlungen, Therapien und Medikationen der Klägerin aus dem Zeitraum vom 1. Januar 2015 bis zum 14. Dezember 2018 einschließlich der zugehörigen Diagnosen, Leistungszeiträume und Krankschreibungen. In dem Zeitraum hat die Klägerin, eine junge, noch nicht lange berufstätige Frau, wegen unterschiedlichster Beschwerden vielfach ärztliche Hilfe in Anspruch genommen. Dies gilt auch für den gynäkologischen Bereich. In der Gesundheitsakte waren gleich mehrere gynäkologische Befundangaben verzeichnet, die Rückschlüsse auf das Sexualleben und die sexuelle Orientierung der Klägerin zuließen, deren Name und Wohnanschrift in der Akte angegeben waren.

(b) Hinsichtlich der vorgenannten Daten der Klägerin bestand ein zehnmonatiger Kontrollverlust. Erst am 14. August 2019 ist das E-Mail-Postfach, an das die Gesundheitsakte am 14. Dezember 2018 versehentlich versandt worden ist, von FFF. gelöscht worden.

(c) Von der Löschung des fremden E-Mail-Postfachs erfuhr die Klägerin aber nicht sofort, sondern erst durch einen Schriftsatz der Beklagten vom 2. Dezember 2019 im landgerichtlichen Verfahren. Aus diesem erfuhr sie auch, dass das Postfach bis zu diesem Zeitpunkt nicht mehr eingesehen worden ist. Infolgedessen war sie über einen Zeitraum von rund einem Jahr darüber im Ungewissen, ob ein Dritter von ihren Gesundheitsdaten bereits Kenntnis genommen hatte oder dies noch tun würde.

Zwar hatte die Beklagte den Prozessbevollmächtigten der Klägerin bereits mit Schreiben vom 9. Januar 2019 mitgeteilt, von FFF. die Nachricht erhalten zu haben, dass seit der schon länger zurückliegenden Einrichtung des E-Mail-Postfachs darauf kein Zugriff mehr erfolgt ist. Die Klägerin konnte aber bis zur Löschung des Postfachs nicht sicher sein, dass nicht noch ein Zugriff erfolgen würde. Auch konnte sie ungeachtet eines von der Beklagten gegenüber dem Postfachinhaber per E-Mail ausgesprochenen Verwertungsverbots hinsichtlich der Gesundheitsakte nicht sicher sein, ob sich dieser daran halten würde.

Soweit die Klägerin im nicht nachgelassenen Schriftsatz vom 6. Oktober 2021 hingegen meint, die bestehende Ungewissheit sei für sie erst mit einem Schriftsatz der Beklagten vom 6. Juli 2020 beendet gewesen, mit welchem die Beklagte mitgeteilt habe, dass an das betreffende E-Mail-Postfach keine Test-E-Mail mehr erfolgreich habe versandt werden können, folgt der Senat dem nicht. Diese Test-E-Mail der Beklagten bestätigt nur die Löschung des E-Mail-Postfachs, für die bereits der Vermerk des Zeugen E. vom 14. August 2019 sprach, der dem Schriftsatz der Beklagten vom 2. Dezember 2019 beigefügt war.

Nicht gefolgt werden kann schließlich der Ansicht der Klägerin, die Unsicherheit bestünde für sie eigentlich bis heute fort, weil nicht ausgeschlossen werden könne, dass auf dem Übermittlungsweg auf die E-Mail zugegriffen worden sei. Die daraus resultierende Ungewissheit ist für die Bemessung des Schadensersatzbetrags unbeachtlich. Das Risiko des Zugriffs auf die E-Mail auf dem Übermittlungsweg nahm die Klägerin mit ihrer Einwilligung in die Übersendung der Gesundheitsakte per E-Mail in Kauf.

(d) Der Datenschutzverstoß blieb für die Klägerin – auch dies ist für die Bemessung des Schadensersatzes von wesentlicher Bedeutung – nicht ohne psychische Folgen. Sie hat im Termin zur mündlichen Verhandlung vor dem Senat geschildert, wie sie die Ungewissheit über den Verbleib der Daten seelisch belastet hat. Dabei war die Belastung in den ersten Tagen nach dem 14. Dezember 2018 besonders hoch, als das Schicksal der Gesundheitsakte noch weitestgehend unklar war. Die Reaktion der Beklagten auf das Anliegen der Klägerin war am 17. Dezember 2018 und auch darüber hinaus zunächst schleppend, erst mit Schreiben vom 9. Januar 2019 teilte sie den Prozessbevollmächtigten der Klägerin, die am 20. Dezember 2018 mandatiert worden waren, den bis dahin ermittelten Sachstand geordnet mit. Immerhin konnte sich die Klägerin mit Erhalt dieses Schreibens vom 9. Januar 2019 schwache Hoffnungen machen, dass der Inhalt ihrer Gesundheitsakte vielleicht doch nicht von unbefugten Dritten zur Kenntnis genommen werden würde. Nach den von der Beklagten bis dahin eingeholten Erkundigungen, deren Ergebnis sie mit dem Schreiben mitteilte, war das E-Mail-Postfach seit Errichtung nicht aktiv genutzt worden.

(e) Bei der Bemessung des Schadensersatzes ist ferner der Umstand zu berücksichtigen, dass der fehlerhafte Versand auf einem lediglich fahrlässigen Verhalten des Zeugen A. beruhte. Die Beklagte war nach dem Ergebnis der landgerichtlichen Beweisaufnahme zudem bemüht, die verlorenen Daten zurückzuerlangen beziehungsweise deren Weiterverbreitung zu verhindern. Im Schreiben vom 9. Januar 2019 hat sie auch ihr Bedauern über den Vorfall zum Ausdruck gebracht. Allerdings hat sie einen Schadensersatzanspruch der Klägerin im Prozess gleichwohl bis zuletzt in Abrede gestellt.

(f) In der Höhe begrenzend wirkt sich bei der Bemessung des Schadensersatzanspruchs schließlich in besonderem Maße aus, dass es bei einem zeitweisen Kontrollverlust über die Gesundheitsdaten verblieben ist. Zu einer Kenntnisnahme der Daten durch Dritte oder einer Weiterverbreitung oder gar Veröffentlichung ist es nicht gekommen. Die fehlgeleitete E-Mail und ihr Anhang sind bis zur Löschung des E-Mail-Postfachs am 14. August 2019 vom Postfachinhaber nicht mehr zur Kenntnis genommen worden. Die berechtigten Sorgen der Klägerin haben sich letztlich als unbegründet herausgestellt. Nachdem sie hiervon erfahren hatte, bestand auch kein Anlass, sich deswegen noch länger seelisch belastet zu fühlen. Eine etwaige Einsichtnahme in die Daten auf dem Übermittlungsweg, für die im Übrigen nichts spricht, hat aus dem bereits dargelegten Grund unberücksichtigt zu bleiben.

(g) Der Senat hat schließlich keinen Anlass, den Schadensersatzbetrag im Hinblick auf eine damit zu erzielende abschreckende Wirkung gesondert zu erhöhen. Ob einem nach Art. 82 Abs. 1 DSGVO zuzusprechenden Schadensersatzbetrag per se eine abschreckende Wirkung zukommen muss, wie teilweise vertreten wird, hält der Senat für zweifelhaft (wie hier Eichelberger, WRP 2021, 159, 163). Letztlich kann dies hier aber dahinstehen, weil dem der Klägerin zugesprochenen Schadensersatzbetrag jedenfalls auch eine ausreichend präventive Wirkung zukommt.

cc) Eine Minderung des Schadensersatzbetrags nach § 254 Abs. 1 BGB, für welche die Beklagte plädiert, kommt nach den für den Senat bindenden tatsächlichen Feststellungen des Landgerichts nicht in Betracht. Die Beklagte kann mit ihrem erstmals in der Berufungsinstanz gehaltenen Sachvortrag, die Klägerin habe dem Zeugin A. die falsche E-Mail-Adresse angegeben, gemäß § 531 Abs. 2 Satz 1 Nr. 3 ZPO nicht mehr gehört werden. Es beruht auf Nachlässigkeit, dass die Beklagte diesen Vortrag nicht schon in erster Instanz gehalten hat. Auch darüber hinaus bestehen keine ausreichenden Anhaltspunkte, die ein relevantes Mitverschulden der Klägerin an dem fehlerhaften E-Mail-Versand an die falsche E-Mail-Adresse begründen könnten.

Den Volltext der Entscheidung finden Sie hier:

LG München
Urteil vom 20.01.2022
3 O 17493/20

Das LG München hat entschieden, dass der Besucher einer Website gegen den Websitebetreiber einen Unterlassungsanspruch aus §§ 1004, 823 BGB sowie einen Anspruch auf 100 EURO Schadensersatz aus Art. 82 DSGVO wegen der Verwendung von Google Fonts in der Variante, bei der eine Übermittlung von IP-Daten an Google erfolgt, hat.

Auch wir raten unseren Mandanten seit Jahren entweder auf Google Fonts komplett zu verzichten oder in der Variante zu verwenden, bei der keine IP-Daten-Übermittlung an Google erfolgt und die Schriftarten auf dem eigenen Server hinterlegt werden.

Aus den Entscheidungsgründen:

Der Kläger hat gegen die Beklagte einen Anspruch auf Unterlassung der Weitergabe von IP-Adressen des Klägers an Google aus § 823 Abs. 1 i.V.m. § 1004 BGB analog.

Die unerlaubte Weitergabe der dynamischen IP-Adresse des Klägers durch die Beklagte an Google stellt eine Verletzung des allgemeinen Persönlichkeitsrechtes in Form des informationellen Selbstbestimmungsrechts nach § 823 Abs. 1 BGB dar. Das Recht auf informationelle Selbstbestimmung beinhaltet das Recht des Einzelnen, über die Preisgabe und Verwendung seiner personenbezogenen Daten zu bestimmen.

1. Bei der von der Beklagten an Google weitergegebenen dynamischen IP-Adresse handelt es sich um ein personenbezogenes Datum im Sinne von § 12 Abs. 1 und 2 TMG (in der zum Übermittlungszeitraum geltenden Fassung, im weiteren alte Fassung), § 3 Abs. 1 BDSG, Art. 4 Nr. 1 DS-GVO.

Die dynamische IP-Adresse stellt für einen Webseitenbetreiber ein personenbezogenes Datum dar, denn der Webseitenbetreiber verfügt abstrakt über rechtliche Mittel, die vernünftigerweise eingesetzt werden könnten, um mithilfe Dritter, und zwar der zuständigen Behörde und des Internetzugangsanbieters, die betreffende Person anhand der gespeicherten IP-Adressen bestimmen zu lassen (BGH, Urteil vom 16.05.2017 - VI ZR 135/13). Dabei reicht es aus, dass für die Beklagte die abstrakte Möglichkeit der Bestimmbarkeit der Personen hinter der IP-Adresse besteht. Darauf, ob die Beklagte oder Google die konkrete Möglichkeit hat, die IP-Adresse mit dem Kläger zu verknüpfen, kommt es nicht an.

2. Die Beklagte verletzte das Recht des Klägers auf informationelle Selbstbestimmung, indem die Beklagte die dynamische IP-Adresse an Google weiterleitete, als der Kläger die Webseite der Beklagten aufrief.

Die automatische Weitergabe der IP-Adresse durch die Beklagte an Google war ein nach dem Datenschutzrecht unzulässiger Eingriff in das allgemeine Persönlichkeitsrecht des Klägers, da der Kläger unstreitig in diesem Eingriff nicht gemäß § 13 Abs. 2 TMG a.F., Art. 6 Abs. 1 a) DSGVO eingewilligt hat.

3. Es liegt auch kein Rechtfertigungsgrund für den Eingriff in das allgemeine Persönlichkeitsrecht vor. Ein berechtigtes Interesse der Beklagten i.S.d. Art. 6 Abs. 1 f) DS-GVO, wie von ihr behauptet, liegt nicht vor, denn Google Fonts kann durch die Beklagte auch genutzt werden, ohne dass beim Aufruf der Webseite eine Verbindung zu einem Google-Server hergestellt wird und eine Übertragung der IP-Adresse der Webseitennutzer an Google stattfindet.

4. Der Kläger war auch nicht verpflichtet, vor dem Aufrufen der Webseite der Beklagten seine eigene IP-Adresse zu verschlüsseln. Dies vom Kläger zu verlangen, würde dem Zweck des hier betroffenen Datenschutzrechtes, welches in erster Linie den Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten vor Beeinträchtigung bezweckt, zuwiderlaufen, sondern diesen vielmehr umkehren, da durch eine solche Verpflichtung der Rechteinhaber bei der Ausübung seiner schützenswerten Rechte eingeschränkt werden würde {LG Dresden, Urteil vom 11.01.2019, Aktenzeichen 1 AO 1582/18).

5. Wiederholungsgefahr ist zu bejahen. Unstreitig wurde die IP-Adresse des Klägers bei Besuchen des Klägers auf der Webseite der Beklagten an Google weitergeleitet. Vorangegangene rechtswidrige Beeinträchtigungen begründen eine tatsächliche Vermutung für die Wiederholungsgefahr, die durch die Beklagte nicht widerlegt wurde. Die Wiederholungsgefahr wird nicht dadurch ausgeräumt, dass die Beklagte mittlerweile Google Fonts so benutzt, dass eine Kundgabe der IP-Adresse der Webseitenbesucher an Google nicht mehr stattfindet. Die Wiederholungsgefahr kann lediglich durch eine strafbewehrte Unterlassungserklärung beseitigt werden.

II. Der Auskunftsanspruch des Klägers folgt aus Art. 15, Art. 4 Nr. 2 DS-GVO.

III. Dem Kläger steht ein Schadensersatzanspruch aus Art. 82 Abs. 1 DS-GVO zu. Der Begriff des Schadens i.S.d. Art. 82 DS-GVO ist nach dem Erwägungsgrund 146 S. 3 dabei weit auszulegen. Die Auslegung soll den Zielen dieser Verordnung in vollem Umfang entsprechen, auch dem Ziel der Sanktion und Prävention (BeckOK Datenschutzrecht, Wolff/Bring, 38. Edition, DS-GVO Art. 82, Rn. 24). Ausreichend ist gern. Art. 82 Abs. 1 DS-GVO dabei auch ein immaterieller Schaden. Ob eine Erheblichkeitsschwelle erreicht bzw. überschritten sein muss und so genannte Bagatellschäden auszuschließen sind, ist umstritten (vgl. BVerfG NJW 2021, 1005,Rz. 20 m.w.N.; Kohn ZD 2019, 498 (501); Paal MMR 2020, 14 (16)), kann aber im hiesigen Fall dahingestellt bleiben. Die Beklagte räumt ein, dass sie vor der Modifizierung ihrer Webseite bei den Besuchen des Klägers auf ihrer Webseite dessen IP-Adresse an Google übermittelt hat. Die Übermittlung der IP-Adresse erfolgte damit nicht nur einmalig. Der damit verbundene Eingriff in das allgemeine Persönlichkeitsrecht ist im Hinblick auf den Kontrollverlust des Klägers über ein personenbezogenes Datum an Google, ein Unternehmen, das bekanntermaßen Daten über seine Nutzer sammelt und das damit vom Kläger empfundene individuelle Unwohlsein so erheblich, dass ein Schadensersatzanspruch gerechtfertigt ist. Berücksichtigt werden muss dabei auch, dass unstreitig die IP-Adresse an einen Server von Google in den USA übermittelt wurde, wobei dort kein angemessenes Datenschutzniveau gewährleistet ist (vgl. EuGH, Urteil vom 16.7.2020 - C-311/18 (Facebook Ireland u. Schrems), NJW 2020, 2613) und die Haftung aus Art. 82 Abs. 1 DS-GVO präventiv weiteren Verstößen vorbeugen soll und Anreiz für Sicherungsmaßnahmen schaffen soll. Die Hohe des geltend gemachten Schadensersatzes ist im Hinblick auf die inhaltliche Schwere und Dauer der Rechtsverletzung angemessen und wird von der Beklagten auch nicht angegriffen.

Den Volltext der Entscheidung finden Sie hier:

LAG Hessen
Urteil vom 18.10.2021
16 Sa 380/20

Das LAG Hessen hat in diesem Fall entschieden, dass Arbeitnehmer einen Anspruch gegen seinen Arbeitgeber auf Zahlung von 1.500 EURO Schadensersatz aus Art. 82 Abs. 1 DSGVO wegen unberechtigter Observation durch einen Detektiv hat.

Aus den Entscheidungsgründen:

Der Kläger kann von der Beklagten Zahlung von 1.500€ nebst Zinsen in Höhe von 5 Prozentpunkten über dem Basiszinssatz seit 4. Dezember 2019 verlangen.

Nach Art. 82 Absatz 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

Verantwortlicher ist gemäß Art. 4 Nr. 7 EU-DSGVO die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Bei einer Aktiengesellschaft ist dies der Vorstand (Schild, BeckOK Datenschutzrecht, Wolff/Brink, DSGVO Art. 4 Rn. 89).

Anspruchsberechtigt ist der Kläger als natürliche Person.

Zu ersetzen sind sowohl materielle als auch immaterielle Schäden. Gerade bei immateriellen Schäden ist die Rechtsprechung des EuGH zu berücksichtigen, dass der geschuldete Schadensersatz „eine wirklich abschreckende Wirkung“ haben muss (EuGH Urt. v. 17.12.2015 – C-407/14, EuZW 2016, 183, 184). Die bisherige deutsche Rechtsprechung, die immateriellen Schadensersatz überhaupt nur bei schwerwiegenden Persönlichkeitsrechtsverletzungen zugesprochen hat, was auch der ausdrücklichen Regelung in § 8 Abs. 2 BDSG aF entspricht, ist nicht mehr anwendbar. Da der Begriff des Schadens in Art. 82 DSGVO ein europarechtlicher ist, darf nicht auf nationale Erheblichkeitsschwellen oder andere Einschränkungen abgestellt werden. Einen Ausschluss vermeintlicher Bagatellschäden sieht das Gesetz nicht vor (Kühling/Buchner – Ct, DS-GVO BDSG, 3. Auflage, Art. 82 DS-GVO Rn. 18a).

Ein immaterieller Schaden kann in einer unzulässigen Observierung durch eine Detektei bestehen (Kühling/Buchner – Ct, a.a.O., Rn. 18c; Däubler/Wedde/Weichert/Sommer, EU-DSGVO und BDSG, 2. Auflage, Art. 82 DSGVO Rn. 16; BAG 19. Februar 2015 – 8 AZR 1007/13 – Rn. 23).

Der Verantwortliche haftet für jede „nicht dieser Verordnung entsprechende Verarbeitung“ (Art. 82 Abs. 2 S. 1 DSGVO), solange diese kausal für den Schaden ist. Der Begriff der Beteiligung ist weit zu verstehen, sodass insbesondere die letztlich schädigende Handlung nicht von dem in Anspruch genommenen Verantwortlichen ausgegangen sein muss (Kühling/Buchner – Ct, a.a.O., Rn.23).

Die Observation des Klägers einschließlich personenbezogener Datenerhebung war rechtswidrig. Ein berechtigtes Interesse der Beklagten nach § 26 Abs. 1 S. 2 BDSG, das in der Aufdeckung einer Straftat im Beschäftigungsverhältnis liegen kann, zur Erhebung personenbezogener Daten im Wege der Observation des Klägers lag nicht vor. Zwar stellt ein versuchter Prozessbetrug eine Straftat dar, die auch eine Detektivüberwachung rechtfertigen kann. Hierfür muss jedoch ein berechtigter Anlass vorliegen.

Der Kläger hatte in dem einstweiligen Verfügungsverfahren vor dem Arbeitsgericht Frankfurt am Main 12 Ga 69/19 vorgetragen und an Eides statt versichert, dass er montags bis mittwochs 7:30 Uhr in der Regel seine beiden Kinder betreuen müsse. Nach der mündlichen Verhandlung vor dem Arbeitsgericht am 27. Mai 2019 bemerkte der Prozessbevollmächtigte der Beklagten auf der Heimfahrt im ICE XXX in Richtung B, einen Mann, von dem er in diesem Moment keinen Zweifel hatte, dass es sich hierbei um den Kläger handelte. Der Prozessbevollmächtigte der Beklagten beauftragte daraufhin eine Detektei mit der Observation des Klägers, die sodann ab 11. Juni 2019 an insgesamt 6 Tagen erfolgte.

Für diese Maßnahme bestand kein berechtigter Anlass. Es wäre dem für die Beklagte handelnden Prozessbevollmächtigten ohne weiteres möglich gewesen, die Person, die er spontan für den Kläger hielt, anzusprechen und sich zu vergewissern, ob es sich tatsächlich um den Kläger handelte. Bei dieser Gelegenheit hätte er den Kläger (sofern es sich bei ihm um die betreffende Person gehandelt haben sollte) auch direkt ansprechen können, wie es sein kann, dass er sich an einem Tag, an dem er sich regelmäßig um seine Kinder kümmern muss, in einem Zug Richtung B befindet. Selbst wenn er nicht sofort hieran gedacht haben sollte, war es ihm immer noch möglich, bis zum ersten Halt des Zuges den Wagen abzulaufen, um die betreffende Person zu finden und anzusprechen. Soweit er im Prozess ausführte, seinen Aktenkoffer nicht auf seinem Platz zurücklassen zu wollen, ist zu berücksichtigen, dass er diesen ohne weiteres auf dem kurzen Gang durch den Waggon hätte mitnehmen können. Letztlich hat er auf eine vage Vermutung hin eine Detektei mit der Observation des Klägers beauftragt.

Die Observation verletzte den Kläger auch in seinem allgemeinen Persönlichkeitsrecht. Der Detektiv beobachtete ihn an sechs Tagen in seinem Privatleben (auf dem Balkon seiner Wohnung und im Garten). Einmal lief er ihm sogar bis in den Park hinterher.

Auch wenn anlässlich der Observation keine Video- und Fotoaufnahmen des Klägers und seiner Kinder angefertigt wurden, hält die Kammer einen immateriellen Schadenersatz in Höhe von insgesamt 1500 € (250 € je für jede der 6 Observationen) für angemessen. Dies ergibt sich aus dem Gesichtspunkt der Genugtuung des Opfers sowie der Prävention.

Der Anspruch auf Verzinsung des zugesprochenen Geldbetrags ergibt sich aus §§ 286 Absatz 1, 288 Absatz 1 BGB.

Den Volltext der Entscheidung finden Sie hier:

OLG Dresden
Urteil vom 30.11.2021
4 U 1158/21

Das OLG Dresden hat entschieden, dass der Geschäftsführer einer GmbH neben der GmbH Verantwortlicher im Sinne von Art. 4 DSGVO ist und persönlich als Gesamtschuldner mit der GmbH für Ansprüche aus Art. 82 DSGVO haftet.

Aus den Entscheidungsgründen:
1. Nach Rücknahme der Berufungen durch die Beklagten und deren Streithelfer steht ein jeweils selbstständiger Verstoß gegen die Vorschriften der DS-GVO durch die Beklagten rechtskräftig fest. Sowohl der Beklagte zu 1) als auch der Beklagte zu 2) sind verantwortlich im Sinne von Art. 4 Nr. 7 DS-GVO, denn Anknüpfungspunkt für einen Anspruch aus Art. 82 Abs. 1 DS-GVO ist zunächst die „Verantwortlichkeit“, die immer dann zu bejahen ist, wenn eine natürliche oder juristische Person alleine oder gemeinsam mit anderen über die Zwecke und die Mittel der Verarbeitung von personenbezogenen Daten entscheiden kann und entscheidet (Gola, Bearb. Gola, DS-GVO-Kommentar, 2. Aufl. 2018, Art. 4 Rz. 48; Ambrock ZD 2020, S. 429 - nach beck-online). Damit entfällt zwar in aller Regel die Verantwortlichkeit weisungsgebundener Angestellter oder sonstiger Beschäftigter, für den Geschäftsführer, wie es der Beklagte zu 2) zum Zeitpunkt der Beauftragung des Streithelfers war, gilt dies allerdings nicht.

Die Beklagten haben auch personenbezogene Daten im Sinne des Art. 4 Ziff. 1 DS-GVO verarbeitet. Denn nach Art. 4 Ziff. 2 DS-GVO fällt hierunter das Erheben und Erfassen von Daten ebenso wie die Offenlegung durch Übermittlung oder das Abfragen sowie die Verbreitung oder eine andere Form der Bereitstellung.

Die in dieser Weise durch die Beklagten als Verantwortliche durchgeführte Datenverarbeitung war unrechtmäßig. Dabei ist unerheblich, dass der Kläger seine Einwilligung nur im Hinblick auf die Weitergabe seiner Daten zu werblichen Zwecken ausdrücklich untersagt hat. Nach der Regelungsstruktur der DS-GVO ist jede Verarbeitung personenbezogener Daten ohne aktiv erteilte Einwilligung rechtswidrig, es sei denn, es greift einer der in Art. 6 DS-GVO genannten Rechtfertigungsgründe. Allerdings ist auch dies vorliegend nicht der Fall, wie das Landgericht zutreffend erkannt hat. Eine Rechtfertigung nach Art. 6 Abs. 1f DS-GVO kommt vorliegend nicht in Betracht. Dabei bedarf es noch nicht einmal der bei Vorliegen der Tatbestandsvoraussetzungen nach Art. 6 Abs. 1 f DS-GVO erforderlichen Interessenabwägung, denn die im Ausspähen des Klägers liegende und dem Beklagten zuzurechnende Datenverarbeitung war bereits nicht erforderlich. Der Erforderlichkeitsgrundsatz ist ein Ausfluss des Zweckbindungsgrundsatzes im Sinne von Art. 5 Abs. 1 b DS-GVO, der der Ausfüllung und Konkretisierung im Einzelfall bedarf. Er darf zwar nicht im Sinne einer zwingenden Notwendigkeit überinterpretiert werden, verlangt werden muss indessen, dass die Datenverarbeitung zur Erreichung des Zweckes nicht nur objektiv tauglich ist, sondern dass eine für die betroffene Person weniger invasive Alternative entweder nicht vorliegt oder für den Verantwortlichen nicht zumutbar ist (Gola-Schulz, a.a.O., Art. 6 Rz. 20 m.w.N.). Dies war hier nicht der Fall. Dabei kann offenbleiben, ob nach § 2 Abs. 2 der Satzung des Beklagten zu 1) grundsätzlich nicht auch ehemaligen Straftätern oder nicht einwandfrei beleumundeten Personen die Möglichkeit einer Vereinsmitgliedschaft - in Abhängigkeit von der Art der zuvor begangenen Verfehlungen - zu gewähren wäre. Auch wenn es danach gerechtfertigt wäre, extremistische politische Gesinnungen aus dem Verein fernzuhalten oder Personen allein wegen eines gegen diese geführten Ermittlungsverfahrens von vornherein auszuschließen, so hätte es vorliegend genügt, den Kläger zunächst zur ergänzenden Selbstauskunft, gegebenenfalls Vorlage eines polizeilichen Führungszeugnisses aufzufordern, nachdem dieser auch nach Behauptung des Beklagten zu 1) von sich aus ein gegen ihn geführtes Ermittlungsverfahren angesprochen haben soll. Die durch den Streithelfer abzuklärenden etwaigen Vorstrafen des Klägers verstoßen darüber hinaus auch gegen Art. 10 DS-GVO, der die Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln grundsätzlich nur unter behördlicher Aufsicht gestattet.

2. Die unzulässige Datenverarbeitung durch die Beklagten zu 1) und 2) rechtfertigt einen immateriellen Schadensersatz nach Art. 82 DS-VGO allerdings lediglich in der vom Landgericht ausgeurteilten Höhe. Die hiergegen gerichteten Einwendungen des Klägers in der Berufungsbegründung der mündlichen Verhandlung vor dem Senat greifen nicht durch.

Im Einzelnen:

a) Entgegen der Auffassung der Beklagten überschritt die Ausspähung des Klägers eindeutig die Bagatellschwelle. Die Datenweitergabe mit den daraus resultierenden Folgen ging über die reine Privatsphäre oder das Privatverhältnis zwischen dem Kläger und dem Beklagten zu 2) weit hinaus, denn nachdem dieser die Weitergabe der erhobenen Daten angeordnet hatte, wurden die hieraus gewonnenen Ergebnisse den übrigen Vorstandsmitgliedern des Beklagten zu 1) bekannt gegeben. Des Weiteren wurde dem Kläger die Mitgliedschaft im Verein versagt, was zwar nicht unmittelbar zu wirtschaftlichen Einbußen geführt, aber sein Interesse beeinträchtigt hat, als Autohändler auch durch die Mitorganisation der Oldtimer-Ausfahrten auf sich aufmerksam zu machen. Des Weiteren musste der Kläger subjektiv damit rechnen, dass die über ihn eingeholten Daten nicht lediglich an zwei Vorstandsmitglieder gelangt sind und damit Details aus seiner Vergangenheit möglicherweise in einem größeren Umfeld bekannt geworden sind.

Damit ist unabhängig von der Frage, wie glaubwürdig die Einlassungen des Klägers zu seinen negativen Erfahrungen im Zusammenhang mit DDR-Recht sind, die Schwelle zur Bagatellverletzung überschritten und handelt es sich nicht um eine völlig unerhebliche Beeinträchtigung.

Im Rahmen der nach § 287 ZPO vorzunehmenden Schadensschätzung sind auch i.R.d. Art. 82 DS-VGO allgemein die Art, Schwere, Dauer des Verstoßes, Grad des Verschuldens, Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens, frühere einschlägige Verstöße sowie die Kategorien der betroffenen personenbezogenen Daten in die Erwägung mit einzubeziehen (vgl. Arbeitsgericht Düsseldorf, Urt. v. 05.03.2020 - 9 Ca 6557/18, juris, Rz. 104; Albrecht, Urteilsanmerkung in juris PR-ITR 19/20 vom 18.09.2020; Pahl-Alibrandi, ZD 2021 „auch immaterieller Schadensersatz bei Datenschutzverstößen - Bestandsaufnahme und Einordnung der bisherigen Rechtsprechung zu Art. 82 DS-GVO, S. 241 - 247). Nach Erwägungsgrund Nr. 146 der DS-GVO soll der Begriff des Schadens im Lichte der Rechtsprechung des EuGH weit und auf eine Art und Weise ausgelegt werden, „die den Zielen dieser Verordnung in vollem Umfang entspricht“. Nach dem Effektivitätsprinzip (effet utile) ist insoweit - entgegen der Auffassung der Beklagten - auch eine abschreckende Sanktion nicht ausgeschlossen (Gola, a.a.O., Art. 82 Rz. 3 m.w.N.). Dies bedeutet aber nicht, dass die Geldentschädigung zwingend „Strafcharakter“ haben muss, sondern die Höhe des Anspruchs muss auf der Basis des Effektivitätsprinzips eine abschreckende Wirkung haben (vgl. EuGH, Urteil vom 17.12.2015 - C 407/14 Rz. 44). Vorliegend handelte es sich aber lediglich um einen einmaligen Verstoß, dass bei der Beklagten regelhaft Daten über alle Antragsteller durch Einschaltung eines Detektivbüros erhoben werden, hat der Kläger zu beweisen, die Beklagtenseite hat insoweit unwidersprochen vorgetragen, dass frühere „Ausspähungen“ nur im Rahmen von Arbeitsverhältnissen und zur Überprüfung konkreter Verdachtsmomente im Hinblick auf Straftaten erfolgt sind. Ebenso wenig ist der Senat von den Darlegungen des Klägers im Hinblick auf seine persönliche besondere Betroffenheit wegen vorheriger traumatischer Erfahrungen seiner Familie im Rahmen des DDR-Regimes überzeugt. Weiter ist zu berücksichtigen, dass nach den insoweit ebenfalls unwidersprochen gebliebenen Ausführungen des Beklagten zu 2) in der mündlichen Verhandlung vom 09.11.2021 der Beklagte zu 1) insoweit Konsequenzen gezogen hat, als er den Beklagten zu 2) von sämtlichen leitenden Funktionen bei der Beklagten zu 1) u. a. wegen des streitgegenständlichen Vorfalls ausgeschlossen hat. Umgekehrt ist allerdings zu Lasten der Beklagten zu berücksichtigen, dass es sich bei den erhobenen Daten mit Strafrechtsbezug um besonders sensible Daten handelte, so dass insofern der Verstoß, auch wenn die über den Kläger erhobenen Daten nicht weitergegeben worden sein sollten, hinreichend schwer wiegt. In der Gesamtabwägung hält der Senat das bereits vom Landgericht ausgeurteilte Schmerzensgeld in Höhe von 5.000,00 € für angemessen. Zur Vermeidung von Wiederholungen nimmt er auf die umfassende Abwägung in der angefochtenen Entscheidung Bezug.

Den Volltext der Entscheidung finden Sie hier: