Das OLG Hamburg hat entschieden, dass dem Betroffenen 4.000 EURO immaterieller Schadensersatz aus Art. 82 DSGVO wegen zwei unberechtigter Schufameldungen zustehen.
Aus den Entscheidungsgründen: Der Kläger hat gegen die Beklagte Anspruch auf Ersatz immateriellen Schadens gem. Art. 82 Abs. 1, Abs. 2 S. 1. DSGVO in Höhe von insgesamt 4.000,00.
Die Beklagte hat als „Verantwortlicher" i.S.d. Art. Nr. DSGVO gegen ihre Pflichten aus Art. 5, 6 i.V.m. Art.4 Abs.2 DSGVO verstoßen, indem sie ihre Forderungen gegen den Kläger zweimal an die Schufa gemeldet hat, obwohl die Voraussetzungen hierfür nicht vorlagen. Zur Begründung wird auf die zutreffenden Ausführungen des Landgerichts Bezug genommen, welchen sich das Berufungsgericht vollen Umfangs anschließt.
Hierdurch ist dem Kläger auch ein ersatzfähiger immaterieller Schaden entstanden. Das Landgericht hat sorgfältig und überzeugend begründet, dass der Kläger durch die zweifache unberechtigte Meldung an die Schufa eine Beeinträchtigung seines sozialen Ansehens durch die Darstellung als unzuverlässiger Schuldner hinnehmen musste.
Der Kläger hat zudem belegt, dass sich aus der Auskunft der Schufa und der verschlechterten Einschätzung des Bonitätsrisikos konkrete negative Konsequenzen in Bezug auf die Gewährung eines Kredits durch die ING (Anlage K16) sowie die Sperrung seiner Kreditkarte bei der Hanseatic Bank (Anlage 17) ergeben habe.
Bei der Bemessung des danach zuzuerkennenden Schmerzensgeldes sind nach Auffassung des Berufungsgerichts jedoch nicht alle Umstände hinreichend gewichtet worden.
Der EuGH (Urteil vom 4.5.2023, C-300/21, Rz. 51) hat zur Bemessung des geschuldeten Schadenersatzes festgestellt, dass die DSGVO keine Bestimmung enthält, die sich den Regeln für die Bemessung des Schadenersatzes widmet, auf den eine betroffene Person nach Art. 82 DSGVO Anspruch hat, wenn ihr durch einen Verstoß gegen die Verordnung ein Schaden entstanden ist, und dass ... die Festlegung der Kriterien für die Ermittlung des Umfangs des geschuldeten Schadenersatzes in Ermanglung einschlägiger unionsrechtlicher Vorschriften Aufgabe des Rechts des einzelnen Mitgliedsstaates ist, wobei der Äquivalenz- und der Effektivitätsgrundsatz zu beachten sind.
Maßgeblich sind hiernach die im deutschen Recht für die Schmerzensgeldbemessung maßgeblichen Kriterien, womit die Höhe des Ersatzanspruchs auf Grund einer Würdigung der Gesamtumstände des Falls unter Berücksichtigung der dem Schmerzensgeld zukommenden Ausgleichs- und Genugtuungsfunktion festzusetzen.
Danach muss zum einen dem Umstand, dass auf Seiten der Beklagten jedenfalls bedingter Vorsatz angenommen werden muss, besondere Bedeutung beigemessen werden. Die Beklagte hat die erste Meldung vorgenommen, obwohl der Kläger die Forderung auf ihren eigenen Hinweis hin, dass eine Meldung an die Schufa (nur dann) erfolgen werde, sofern er die Forderung nicht bestritten habe, mit Schreiben vom 1.12.2019, Anlage 7, ausdrücklich bestritten hat. Auch die zweite Meldung erfolgte trotz weiteren Bestreitens durch den Kläger (Schreiben vom 29.12.2019, Anlage 11), seiner Aufforderung zur Löschung und einer zwischenzeitlich erfolgten Löschung durch die Schufa selbst (Anlage 14). Ein solches Verhalten kann nicht anders gedeutet werden, als dass die Beklagte wissentlich und jedenfalls unter billigender Inkaufnahme des als möglich erkannten pflichtwidrigen Erfolges ihre Pflichten aus der DSGVO verletzt hat. Hinzu kommt, dass die Beklagte sich trotz Aufforderung durch den Kläger und Darlegung der Rechtswidrigkeit der Meldung geweigert hat, den Negativeintrag zu widerrufen.
Unter Berücksichtigung der dargestellten Umstände und im Hinblick auf einen kürzlich vom Senat entschiedenen vergleichbaren Fall, wo es weder zu konkreten Auswirkungen durch die Schufa-Meldung gekommen war noch ein vorsätzliches Vorgehen der Beklagten festgestellt werden konnte (13 71/21) und vom Senat ein Schmerzensgeld in Höhe von 1.000,- je Meldung zuerkannt worden war, wird ein deutlich höherer Betrag in Höhe von 2.000,- je Meldung, mithin insgesamt 4.000,00 als angemessen, aber auch als ausreichend erachtet, so dass die weitergehende Berufung zurückzuweisen ist.
Das VG Hannover hat entschieden, dass die Videoüberwachung der Sitzbereiche eines Wettbüros weder nach Art. 6 Abs. 1 lit. c DSGVO noch nach Art. 6 Abs. 1 lit. f DSGVO gerichtfertigt und somit rechtswidrig ist.
Aus den Entscheidungsgründen: I. Die Klage ist zulässig. Gemäß § 20 Abs. 1 Satz 1 Bundesdatenschutzgesetz (hiernach: BDSG) ist für Rechtsansprüche aus der der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, hiernach: DS-GVO) nach Artikel 78 Abs. 1 und 2 der DS-GVO der Verwaltungsrechtsweg gegeben. Das Verwaltungsgericht Hannover ist gemäß § 20 Abs. 3 BDSG örtlich zuständig. Die Klage gegen die Verfügungen des Beklagten aus dem Bescheid vom 20. Mai 2020 ist als Anfechtungsklage statthaft.
II. Die Klage ist unbegründet. Der Bescheid des Beklagten vom 20. Mai 2020 ist rechtmäßig und verletzt die Klägerin nicht in ihren Rechten (§ 113 Abs. 1 Satz 1 VwGO).
1. Die unter Ziffer 1 ausgesprochene Anweisung, die Ausgestaltung der von der Klägerin betriebenen Videoüberwachung so einzurichten, dass die Erhebung von personenbezogenen Daten von Personen in den Sitzbereichen während der Öffnungszeiten ausgeschlossen ist (Kameras 1,3, 4, 5 und 9) und die Überarbeitung der Kameraeinstellungen durch die Übersendung entsprechender Screenshots nachzuweisen, ist rechtmäßig.
a) Die Rechtsgrundlage für diese Anweisung findet sich in Art. 58 Abs. 2 lit. d DS-GVO. Danach verfügt die Aufsichtsbehörde über sämtliche Befugnisse, die es ihr gestatten, den Verantwortlichen anzuweisen, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit der DS-GVO zu bringen.
b) Der Bescheid ist in formeller Hinsicht nicht zu beanstanden. Der Beklagte ist für den Erlass des Bescheides zuständig. Dies ergibt sich aus § 40 Abs. 1 des Bundesdatenschutzgesetzes vom 30. Juni 2017 (BDSG), § 22 Satz 1 Nr. 1 des Niedersächsischen Datenschutzgesetzes vom 16. Mai 2018 (NDSG) und Art. 55 f. DS-GVO. Die Klägerin ist vor Erlass des angegriffenen Bescheids angehört worden.
c) Die Anweisung ist auch materiell rechtmäßig. Die Videoüberwachung durch die fünf streitgegenständlichen Kameras steht in ihrer derzeitigen Ausgestaltung nicht in Einklang mit der DS-GVO. Nach Art. 5 Abs. 1 lit. a DS-GVO müssen personenbezogene Daten auf rechtmäßige Weise verarbeitet werden. Die hier in Rede stehende Videoüberwachung, bei der die im Wettbüro der Klägerin installierten Kameras 1, 3, 4, 5 und 9 als "verlängertes Auge" der Beschäftigten genutzt werden, verstößt gegen die DS-GVO, weil sie nicht nach Art. 6 DS-GVO gerechtfertigt ist.
aa. Die DS-GVO ist anwendbar. Nach Art. 2 Abs. 1 DS-GVO gilt diese Verordnung für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
Bei der Beobachtung der Gäste des Wettbüros durch Kameras, die als "verlängertes Auge" der Beschäftigten genutzt werden, handelt es sich um eine Verarbeitung personenbezogener Daten im Sinne des Art. 4 Nr. 1 und Nr. 2 DS-GVO. Nach Art. 4 Nr. 2 DSGVO meint "Verarbeitung" jeden Vorgang, der mit oder ohne Hilfe automatisierter Verfahren im Zusammenhang mit personenbezogenen Daten ausgeführt wird. Die sich an diese Begriffsbestimmung anschließende, ersichtlich umfassende Aufzählung von Vorgängen in Art. 4 Nr. 2 DSGVO zeigt, dass der Begriff der Verarbeitung jeglichen Umgang mit personenbezogenen Daten erfasst (vgl. BVerwG, Urteil vom 27.3.2019 - 6 C 2/18 -, juris Rn. 43). Die Daten sind nach Art. 4 Nr. 1 DS-GVO "personenbezogen", wenn es sich um Informationen handelt, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann. Die Aufzeichnung des Bildes einer Person durch Kameras ermöglicht es den Betrachtern der Bilder, die erfassten Personen zu identifizieren (vgl. BVerwG, Urteil vom 27.3.2019 - 6 C 2/18 -, juris Rn. 43).
bb. Das hier eingesetzte Kamera-Monitor-System ist in seiner derzeitigen Ausgestaltung gemäß Art. 6 DS-GVO rechtswidrig. Danach ist die Verarbeitung nur rechtmäßig, wenn mindestens eine der unter Art. 6 Abs. 1 lit. a - f genannten Bedingungen erfüllt ist. Dies ist nicht der Fall.
aaa. Zunächst haben die von der Videoüberwachung betroffenen Personen (s. Art. 4 Nr. 1 DS-GVO) nicht nach Art. 6 Abs. 1 lit. a DS-GVO ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben. Eine Einwilligung ist gemäß Art. 4 Nr. 11 DS-GVO jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Damit betroffene Personen in Kenntnis der Sachlage ihre Einwilligung geben können, sollten sie mindestens wissen, wer der Verantwortliche ist und für welche Zwecke ihre personenbezogenen Daten verarbeitet werden sollen. Es sollte nur dann davon ausgegangen werden, dass sie ihre Einwilligung freiwillig gegeben haben, wenn sie eine echte oder freie Wahl haben und somit in der Lage sind, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden (vgl. Erwägungsgrund Nr. 42 zur DS-GVO). Danach liegt im vorliegenden Fall keine Einwilligung der Gäste vor. Es kann bereits nicht angenommen werden, dass die Gäste beim Betreten des Wettbüros - auch nicht bei deutlich sichtbar angebrachten Hinweisen auf die Beobachtung - den Umfang und die Ausgestaltung der Videoüberwachung sowie deren Zwecke zur Kenntnis nehmen, sodass schon keine Willensbekundung "in informierter Weise" stattfinden kann (vgl. BVerfG, Stattgebender Kammerbeschluss vom 23.2.2007 - 1 BvR 2368.06 -, juris Rn. 40; BVerwG, Urteil vom 27.3.2019 - 6 C 2.18 -, juris Rn. 23). Auch kann im Eintritt in das Wettbüro und den dortigen Aufenthalt ohne ausdrücklichen Protest keine unmissverständliche Willensbekundung erkannt werden (vgl. BVerfG, Stattgebender Kammerbeschluss vom 23.2.2007, a.a.O.). Schließlich haben die Gäste auch keine freie Wahl, ob sie mit der Videoüberwachung der Sitzbereiche während ihres Aufenthaltes in dem Wettbüro einverstanden sind; sie können sich nur zu ihrem Nachteil entscheiden, das Wettbüro gar nicht erst zu betreten.
bbb. Die Videoüberwachung ist auch nicht gemäß Art. 6 Abs. 1 lit. c DS-GVO zur Erfüllung einer rechtlichen Verpflichtung erforderlich, welcher der Verantwortliche unterliegt. Gemeint ist damit die Verpflichtung kraft Rechts der Union oder eines Mitgliedstaates, vgl. Art. 6 Abs. 3 UAbs. 1. Die in einer Vorschrift des objektiven Rechts vorgesehene "rechtliche Verpflichtung" muss sich dabei unmittelbar auf die Datenverarbeitung beziehen; allein der Umstand, dass ein Verantwortlicher, um irgendeine rechtliche Verpflichtung erfüllen zu können, auch personenbezogene Daten verarbeiten muss, reicht nicht aus (Albers/Veit in: BeckOK DatenschutzR, 44. Ed. 1.5.2023, DS-GVO Art. 6 Rn. 48 m.w.N.). Nach diesem Maßstab vermögen die in § 7 Abs. 3 Nr. 1 Spielverordnung genannten Vorgaben, wonach Geld- oder Warenspielgeräte unter anderem dann unverzüglich aus dem Verkehr zu ziehen sind, wenn sie in ihrer ordnungsgemäßen Funktion gestört sind, keine rechtliche Verpflichtung in diesem Sinne zu bieten, weil diese rechtliche Vorgabe keinen unmittelbaren Bezug zu einer irgendwie gearteten Datenverarbeitung herstellt.
Die Videoüberwachung ist auch nicht zur Erfüllung der Verpflichtung aus § 10c des Niedersächsischen Spielbankgesetzes (NSpielbG) erforderlich. Nach § 10 c Abs. 1 Satz 1 NSpielbG sind zu den dort bestimmten Zwecken die Eingänge, die Ausgänge, die Bereiche, in denen üblicherweise der Transport, die Zählung oder die Aufbewahrung von Bargeld oder Spielmarken erfolgt, sowie die Spielräume der Spielbank, die Spieltische und Glücksspielautomaten der Spielbank mit Videokameras zu überwachen. Die Vorschrift ist bereits nicht anwendbar, weil es sich bei dem Wettbüro der Klägerin nicht um eine im Sinne des § 1 Abs. 1 Satz 1 NSpielbG zugelassene Spielbank handelt. Eine analoge Anwendung der Vorschrift auf das Wettbüro der Klägerin kommt schon deswegen nicht in Betracht, weil die Interessenlage nicht vergleichbar ist. Spielbanken sind Örtlichkeiten, in denen Spiele mit grundsätzlich hoher Manipulationsanfälligkeit und herausragendem Suchtpotenzial angeboten werden, zu denen traditionell Tischspiele mit und ohne Bankhalter wie Roulette, Black Jack und Poker sowie spezielle stationäre Automatenspiele gehören, welche den Einschränkungen des gewerblichen Spiels und des Online-Glücksspiels nicht unterliegen (vgl. Begründung zur Änderung des NSpielbG vom 13.10.2021, Landtag-Drs. 18/10075, S. 17). Derartige Spiele finden im Wettbüro der Klägerin nicht statt; soweit auch in ihren Räumlichkeiten Spielautomaten aufgestellt sind und in dem (der Öffentlichkeit nicht zugänglichen) Bürobereich mit größeren Mengen Bargeld umgegangen wird, hat der Beklagte die Videoüberwachung nicht beanstandet.
Unabhängig davon folgt eine Verpflichtung zu einer Videoüberwachung, wie die Klägerin sie derzeit betreibt, selbst dann nicht aus § 10 c NSpielbG, wenn man die Vorschrift auf den vorliegenden Fall analog anwenden wollte. Unter "Spielräumen" sind solche Bereiche zu verstehen, in denen sich Gäste zum Zwecke der Teilnahme an Spielen aufhalten. Bereiche wie die hier in Rede stehenden, die fast ausschließlich - mit Ausnahme vereinzelter Automaten, an denen Wetten abgegeben werden können - dem Aufenthalt oder dem Verzehr von Getränken dienen, sind dort gerade nicht angesprochen. Der Gesetzgeber hat zuletzt die zu überwachenden Bereiche angepasst und "die gegebenenfalls getrennt von den Eingängen vorhandenen Ausgänge" aufgenommen (vgl. Landtag-Drs. 18/10075, S. 37). Er hat sich also bewusst gegen die Aufnahme von anderen, dem Aufenthalt von Gästen dienenden Bereichen entschieden. Dafür, dass der Gesetzgeber beabsichtigt hat, solche vornehmlich dem Aufenthalt dienenden Bereiche gerade nicht mit der gesetzlichen Verpflichtung zur Videoüberwachung zu belegen, spricht auch, dass die Regelung überhaupt explizit Bereiche nennt, in denen die Videoüberwachung stattzufinden hat. Wäre die Videoüberwachung einschränkungslos auch in Bereichen obligatorisch, in denen keine manipulationsanfälligen Spiele stattfinden, hätte der Gesetzgeber anstelle einer expliziten Aufzählung von Bereichen schlicht die verpflichtende Videoüberwachung für die gesamte Spielbank anordnen können.
ccc. Die Videoüberwachung ist auch nicht nach Art. 6 Abs. 1 lit. f DS-GVO gerechtfertigt. Dies wäre nur dann der Fall, wenn die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
(1) Das berechtigte Interesse an der hier noch streitigen Videoüberwachung durch die Kameras 1, 3, 4, 5 und 9 ist anzunehmen.
Als berechtigt darf jedes rechtliche, tatsächliche, wirtschaftliche oder ideelle Interesse des Verantwortlichen angesehen werden, soweit es von der Rechtsordnung nicht missbilligt wird. Das berechtigte Interesse muss auf einen konkreten Verarbeitungs- oder Nutzungszweck gerichtet sein. Aus Art. 5 Abs. 1 lit. b DS-GVO folgt, dass das Interesse nur berechtigt sein kann, wenn die Verarbeitung legitim ist (vgl. Taeger in: Taeger/Gabel, DSGVO-BDSG-TTDSG, 4. Aufl. 2022, Art. 6 Rn. 129). Es muss zum Zeitpunkt der Datenverarbeitung entstanden und vorhanden sein und darf zu diesem Zeitpunkt nicht hypothetisch sein (EuGH, Urteil vom 11.12.2019 - C-708/18 -, juris Rn. 44). Der Verantwortliche hat sein berechtigtes Interesse substantiiert vorzutragen und zu belegen (vgl. Art. 5 Abs. 2 DS-GVO; Taeger in: Taeger/Gabel, DSGVO-BDSG-TTDSG, 4. Aufl. 2022, Art. 6 Rn. 135; vgl. auch EuGH, Urteil vom 24.2.2022 - C-175/20 -, juris Rn. 77; BVerwG, Urteil vom 2.3.2022 - 6 C 7.20 -, juris Rn. 50). Dieser speziellen Substantiierung bedarf es nur dann nicht, wenn eine Situation gegeben ist, die nach allgemeiner Lebenserfahrung typischerweise gefährlich ist und der Überwachung bedarf. Eine solch abstrakte Gefährdungslage kann beispielsweise bei Einkaufszentren und Kaufhäusern anzunehmen sein (vgl. zur alten Rechtslage Nds. OVG, Urteil vom 29.9.2014 - 11 LC 114/13 -, juris Rn. 44; vgl. VG Hannover, Urteil vom 13.3.2023 - 10 A 1443/19 -, juris Rn. 57; vgl. zur Anwendbarkeit dieser Grundsätze auch im Anwendungsbereich der DS-GVO Taeger in: Taeger/Gabel, DSGVO-BDSG-TTDSG, 4. Aufl. 2022, Art. 6 Rn. 135).
Die Verhinderung und Aufklärung von Straftaten stellen grundsätzlich berechtigte Interessen im Sinne von Art. 6 Abs. 1 lit. f DS-GVO dar. Sie können eine Videoüberwachung jedoch nur dann als objektiv begründbar rechtfertigen, wenn eine Gefährdungslage besteht, die über das allgemeine Lebensrisiko hinausgeht. Eine solche Gefährdung kann sich nur aus tatsächlichen Erkenntnissen ergeben; subjektive Befürchtungen oder ein Gefühl der Unsicherheit reichen nicht aus (vgl. zum alten Recht BVerwG, Urteil vom 27.3.2019 - 6 C 2/18 -, juris Rn. 28 m.w.N.). Allerdings kann bei der Beurteilung aller Umstände des jeweiligen Falles nicht zwingend verlangt werden, dass die Sicherheit des Eigentums und der Personen zuvor beeinträchtigt wurde (EuGH, Urteil vom 11.12.2019 - C-708/18 -, juris Rn. 44). Konkrete Vorfälle müssen nicht in jedem Fall beim Überwachenden selbst stattgefunden haben, sondern die Gefahrenlage kann sich auch daraus ergeben, dass vergleichbare Vorfälle oder Übergriffe in der unmittelbaren Nachbarschaft stattgefunden haben (vgl. Orientierungshilfe Videoüberwachung durch nicht-öffentliche Stellen" der Datenschutzkonferenz - DSK - vom 17. Juli 2020, S. 8 f. m.V.a. Art. 5 Abs. 2 DS-GVO und EuGH, Urteil vom 11.12.2019 - C-708/18 -, juris Rn. 44; Leitlinien 3/2019 zur Verarbeitung personenbezogener Daten durch Videogeräte des European Data Protection Board vom 29.1.2020, Rn. 18 ff.).
Danach hat die Klägerin - dies hat auch der Beklagte anerkannt - grundsätzlich ein berechtigtes Interesse an der Videoüberwachung ihres Wettbüros dargelegt, um damit Straftaten zu unterbinden und nachzuverfolgen. Sie hat konkrete Straftaten benannt, die sich in den hier in Rede stehenden Räumlichkeiten ereignet haben und durch den Verweis auf Vorkommnisse in anderen Filialen dargelegt, dass (unter anderem) aufgrund der größeren Mengen Bargeld, mit denen in Wettbüros umgegangen wird, ein potentiell hohes Risiko für das Begehen von Straftaten besteht. Dementsprechend hat der Beklagte der Klägerin die Überwachung diverser Bereiche der Liegenschaft zugestanden (Kameras 2, 6, 7 und 8). Dabei hat der Beklagte die Videoüberwachung der Laufwege zugelassen, sodass etwaige Straftäter jedenfalls beim Verlassen der Räumlichkeiten erfasst werden, sowie die Orte, an denen mit Bargeld umgegangen wird (z.B. der Tresor). Außerhalb der Öffnungszeiten dürfen die Videoaufnahmen aufgezeichnet werden, um das unbefugte Betreten der Filiale abzuwenden oder ggf. nachverfolgen zu können.
(2) Die Videoüberwachung ist in ihrer derzeitigen Ausgestaltung zur Wahrung der Interessen der Klägerin aber nicht erforderlich. Die personenbezogenen Daten sollten für die Zwecke, zu denen sie verarbeitet werden, angemessen und erheblich sowie auf das für die Zwecke ihrer Verarbeitung notwendige Maß beschränkt sein; sie sollten nur verarbeitet werden dürfen, wenn der Zweck der Verarbeitung nicht in zumutbarer Weise durch andere Mittel erreicht werden kann (vgl. Erwägungsgrund 39 zur DS-GVO).Voraussetzung für die Erforderlichkeit der Videoüberwachung ist also, dass kein milderes, gleich effektives Mittel zur Verfügung steht, um die Interessen des Verantwortlichen zu erreichen (Buchner/Petri in: Kühling/Buchner, 3. Aufl. 2020, DS-GVO Art. 6 Rn. 147a). Die Einschränkungen beim Datenschutz müssen sich "auf das absolut Notwendige" beschränken (vgl. EuGH, Urteil vom 11.12.2019 - C-708/18 -, juris Rn. 46). Eine bloße Zweckdienlichkeit der Datenverarbeitung reicht jedenfalls nicht aus und auch das Ansinnen einer "bestmöglichen Effizienz" macht die Datenverarbeitung noch nicht zu einer erforderlichen. Entsprechend kann die Erforderlichkeit auch nicht allein damit begründet werden, dass es sich bei der beabsichtigten Datenverarbeitung um die aus Sicht des Verantwortlichen wirtschaftlich sinnvollste Alternative handelt (Petri in: Kühling/Buchner/Buchner, 3. Aufl. 2020, DS-GVO Art. 6 Rn. 147a m.w.N.).
Nach diesem Maßstab ist die Videoüberwachung der Sitzbereiche durch die Kameras 1,3, 4, 5 und 9 nicht erforderlich. Es ist derzeit nicht ersichtlich, dass die Erhebung der dadurch gewonnenen personenbezogenen Daten überhaupt geeignet - also erheblich - ist, um die von der Klägerin verfolgten Zwecke zu erreichen. Auf Grundlage der bisherigen Unterlagen ist nicht erkennbar, dass die von der Beklagten konkret benannten Straftaten überhaupt im Zusammenhang mit einem Aufenthalt von Gästen in den Sitzbereichen gestanden haben. Die Klägerin stützt sich im Wesentlichen auf befürchtete Straftaten und sonstiges Fehlverhalten, welches in der "Szene" oder dem "Milieu", aus dem die Gäste der Klägerin stammen, üblich sein soll. Die von der Klägerin benannten Straftaten lassen teilweise eindeutig erkennen, dass sich der oder die Täter(in) vor der jeweils begangenen Tat gerade nicht in den Sitzbereichen aufgehalten oder die Tat als solche dort stattgefunden hat; dies gilt für die Öffnung des Tresors, der sich in dem für die Öffentlichkeit nicht zugänglichen Bereich befindet, sowie für die Entwendung von Bargeld durch Beschäftigte der Klägerin, einen Überfall unter Einsatz von Waffengewalt, eingeschmissene Schaufensterscheiben und das unberechtigte Betreten der Geschäftsräume außerhalb der Öffnungszeiten. Die übrigen von der Klägerin genannten Taten und Vorkommnisse lassen nicht erkennen, ob diese in den für Gäste vorgesehenen Sitzbereichen stattgefunden haben; dies gilt für die Angabe "milieubedingte Kriminalität in den Geschäftsräumen, zum Beispiel Übergabe von Drogen gegen Bargeld" und Trickbetrug durch das Erzwingen von Wechselgeldfehlern. Konkrete Vorfälle in der Nachbarschaft hat die Klägerin zwar behauptet, jedoch nicht substantiiert. Soweit sie sich auf die befürchtete Manipulation von Spielgeräten und die ihr glückspielrechtlich obliegende Verpflichtung, manipulierte Geräte unverzüglich aus dem Verkehr zu ziehen, beruft, hat sie derartige Vorfälle weder für die hier in Rede stehende noch für andere Filialen oder Einrichtungen in der Nachbarschaft vorgetragen. Es fehlen auch nähere Angaben dazu, wie "Vorbereitungshandlungen" für eine Manipulation von Spielgeräten konkret aussehen und aus welchem Grund sie befürchtet, dass solche gerade in den Sitzbereichen für Gäste stattfinden könnten. Den Konsum von und Handel mit Rauschgift hat sie bislang nur behauptet, aber nicht belegt. Auch hinsichtlich der weiteren, im Laufe des gerichtlichen Verfahrens genannten Straftaten, die sich im Zeitraum vom 3. August 2016 und dem 9. Oktober 2021 in der hier streitgegenständlichen Filiale ereignet haben sollen, nämlich eine Unterschlagung von Bargeld, ein Diebstahl von Bargeld durch einen Kunden, ein Diebstahl eines Gegenstandes durch einen Kunden und zwei Raubüberfälle, ist nicht erkennbar, dass diese Straftaten im Zusammenhang mit einem Aufenthalt in den Sitzbereichen des Wettbüros standen.
Es ist außerdem nicht erkennbar, dass die Videoüberwachung der Sitzbereiche überhaupt dazu geeignet wäre, die von der Klägerin genannten Straftaten - sowohl die in der Unternehmensgruppe als auch die in der hier in Rede stehenden Filiale begangenen - zu verhindern oder bei der Aufklärung dieser Straftat einen nennenswerten Mehrwert zu bringen. Dies gilt insbesondere für die genannten Raubüberfälle, Einbrüche und Sachbeschädigungen, die - soweit ersichtlich - nicht von Personen begangen worden sind, die sich zuvor in dem Wettbüro aufgehalten haben. Auch diejenigen Straftaten, die von Beschäftigten der Klägerin begangen worden sind, wie zum Beispiel das unberechtigte Betreten der Geschäftsräume außerhalb der Öffnungszeiten, die Unterschlagung von Bargeld oder die Öffnung der Tresore und Entwendung von Bargeld, ließen sich nicht durch eine Überwachung der Sitzbereiche für Gäste verhindern. Einzig denkbar wäre dies bezüglich des genannten Trickbetruges durch das Erzwingen von Wechselgeldfehlern oder den Handel mit sowie Konsum von Rauschgift. Insoweit ist aber fraglich, ob die Beschäftigten in der Lage wären, die Monitore derart aufmerksam zu beobachten, dass ihnen Wechselgeldfehler oder der Konsum von Rauschmitteln überhaupt auffallen könnte.
Die Fortsetzung der Videoüberwachung in ihrer jetzigen Form ist auch nicht deswegen erforderlich, weil andernfalls unzumutbar hohe Betriebskosten entstünden. Bei dem Bestreben, Kosten einzusparen, handelt es sich grundsätzlich um ein berechtigtes Interesse. Allerdings muss der Verantwortliche darlegen, dass er diese Kosten auch durch andere Vorkehrungen, insbesondere durch organisatorische Veränderungen anstelle der Videoüberwachung nicht vermeiden oder in einer hinnehmbaren Größenordnung halten kann. Die Kostenersparnis kann die Erforderlichkeit der Videoüberwachung jedenfalls nur dann begründen, wenn die ansonsten entstehenden Kosten im Verhältnis zu dem Umfang der geschäftlichen Tätigkeit ins Gewicht fallen oder gar deren Wirtschaftlichkeit in Frage stellten (vgl. BVerwG, Urteil vom 27.3.2019 - 6 C 2.18 -, juris Rn. 32). Die Klägerin hat dazu nicht substantiiert vorgetragen. Aus dem von ihr hierzu zitierten Urteil des OVG des Saarlandes vom 14. Dezember 2017 ergibt sich nicht, ob der dortige Kläger substantiierte Angaben dazu gemacht hat, aus welchem Grund ihm der Einsatz von Wachpersonal wirtschaftlich nicht zumutbar ist (Az. 2 A 662/17 -, juris Rn. 47). Zudem ist der dortige Fall auch schon deswegen nicht mit dem hier zu entscheidenden vergleichbar, weil es sich bei dem dortigen Kläger um eine Apotheke gehandelt hat, die - im Gegensatz zu der Klägerin - nicht ohnehin Wachpersonal beschäftigt.
Die Klägerin kann ihrem berechtigten Interesse daran, dass kein Rauschgift in ihrer Filiale gehandelt oder konsumiert wird oder andere Straftaten begangen werden, auch durch mildere und gleich effektive Mittel begegnen. Dem Beklagten dürfte darin zu folgen sein, dass die bereits vorhandenen Beschäftigten in regelmäßigen Abständen die Sitzbereiche begehen könnten. Der Auffassung der Klägerin, die Präsenz von Wachleuten werde von Gästen als deutlich gravierenderer Eingriff wahrgenommen, sodass darin kein milderes Mittel zu sehen sei, kann nicht gefolgt werden. Anders als in der von der Klägerin dazu angeführten Entscheidung des Niedersächsischen Oberverwaltungsgerichts steht hier keine "permanente Beobachtung" der Gäste durch Wachleute in Rede (vgl. Urteil vom 29.9.2014 - 11 LC 114/13 -, juris Rn. 57), sondern gelegentliche Rundgänge von ohnehin anwesendem Personal. Hinsichtlich der von der Klägerin bezweckten Abschreckungswirkung wirken auch nur gelegentlich die Räumlichkeit abschreitende Beschäftigte mindestens ebenso effektiv abschreckend wie die vorhandenen Kameras (vgl. VG Stuttgart, Urteil vom 12.3.2021 - 18 K 8202/19 -, n.v.). Ihre Beschäftigten können sich vor eventuell aggressiv auftretenden Gästen schützen, indem sie die Polizei kontaktieren, anstatt sie selbst anzusprechen oder des Hauses zu verweisen. Für die Beschäftigten dürfte der zeitliche und personelle Aufwand, die fünf streitigen Kameras neben ihren anderen Aufgaben dauerhaft aufmerksam zu beobachten, um die in den Sitzbereichen befürchteten Vorbereitungshandlungen für Straftaten zu entdecken, als ebenso hoch zu bewerten sein wie die Durchführung regelmäßiger Kontrollgänge durch die Sitzbereiche. Der Gefahr von durch Betrug erzwungenen Wechselgeldfehlern könnte die Klägerin begegnen, indem die Gäste ihre Getränke nur noch am Tresen bezahlen, der außerdem von der nicht mehr streitgegenständlichen Kamera 2 erfasst wird.
Aus dem bisherigen Vortrag der Klägerin ist auch nicht nachvollziehbar, aus welchem Grund das von dem Beklagten vorgeschlagene mildere Mittel, die streitigen Kameras mit einer Folie zu versehen oder eine "Privatzonenmaskierung" einzurichten, sodass die sitzenden Gäste nicht mehr identifizierbar sind, nicht ebenso geeignet ist, wie die Videoüberwachung in ihrer derzeitigen Form. Ihr Vortrag, in dem Fall seien Vorbereitungshandlungen für eine Manipulation eines Spielgerätes schwieriger erkennbar, ist ohne konkretere Angaben dazu, wie solche Vorbereitungshandlungen aussehen, nicht nachvollziehbar. Unabhängig davon sind solche Manipulationsversuche offenbar bislang nicht vorgekommen; jedenfalls ist dies nicht vorgetragen worden.
Schließlich führt auch die in § 10 c NSpielbG zum Ausdruck gekommene Wertung des Niedersächsischen Gesetzgebers nicht dazu, die Videoüberwachung für das hier in Rede stehende Wettbüro als erforderlich anzusehen. Insoweit wird auf die obigen Ausführungen verwiesen (s. II. 1. c. bb. bbb.).
(3) Im Übrigen und selbst für den Fall, dass die Verarbeitung der durch die Videokameras 1, 3, 4, 5 und 9 verarbeiteten personenbezogenen Daten zur Wahrung des berechtigten Interesses der Klägerin erforderlich wäre, überwiegen im vorliegenden Fall die Interessen der von der Videoüberwachung betroffenen Personen das Interesse der Klägerin. Ausgangspunkt der Abwägung sind einerseits die Auswirkungen, die eine Datenverarbeitung für die betroffene Person mit sich bringt, und andererseits die Interessen des Verantwortlichen oder Dritten. In diesem Zusammenhang sind Art, Inhalt und Aussagekraft der betroffenen Daten an dem mit der Datenverarbeitung verfolgten Zweck zu messen. Außerdem können die vernünftigen Erwartungen der betroffenen Person einbezogen werden; entscheidend soll sein, ob die betroffene Person zum Zeitpunkt der Datenerhebung angesichts der näheren Umstände "vernünftigerweise absehen kann", dass eine Datenverarbeitung für einen bestimmten Zweck stattfinden wird (vgl. Petri in: Kühling/Buchner/Buchner, 3. Aufl. 2020, DS-GVO Art. 6 Rn. 149 ff.)
Für die von der Videoüberwachung betroffenen Gäste streitet ihr Recht auf Schutz der personenbezogenen Daten nach Art. 8 GRCh sowie ihr Recht auf Achtung des Privat- und Familienlebens nach Art. 7 GRCh und Art. 8 EMRK. Demgegenüber hat die Klägerin ein Interesse an dem Schutz ihres Eigentums, der Verhinderung und Aufklärung von Straftaten sowie an der Gewährleistung der Einhaltung der ihr obliegenden gesetzlichen Verpflichtungen (Jugendschutz, gesperrte Spieler, glücksspielrechtliche Vorgaben bezüglich der Spielautomaten).
Zugunsten der Klägerin ist hier zu berücksichtigen, dass die Videoaufnahmen nicht gespeichert werden und ihr in der Vergangenheit durch begangene Straftaten erhebliche Vermögensschäden entstanden sind. Demgegenüber dienen die Bereiche einem längeren Verweilen von Gästen, die ganz überwiegend keinerlei böse Absichten hegen. Die Überwachung erfolgt anlasslos, regelmäßig und personengenau und betrifft in den allermeisten Fällen Personen, die weder die körperliche Unversehrtheit der Beschäftigten noch dem Eigentum der Klägerin schaden möchten (vgl. VG Stuttgart, Urteil vom 12.3.2021 - 18 K 8202/19 -, S. 23). Eine durchgängige Überwachung auch bei Beschäftigungen, die in keinem Zusammenhang zu der Art des Etablissements stehen, in dem sich die Gäste aufhalten, können sie auch nicht "vernünftigerweise" erwarten.
cc. Der Beklagte hat das ihm gemäß Art. 58 Abs. 2 DS-GVO zustehende Entschließungs- und Auswahlermessen schließlich auch fehlerfrei ausgeübt. Gemäß Art. 58 Abs. 2 DS-GVO verfügt der Beklagte über sämtliche Abhilfebefugnisse, die es ihm gestatten, den Verantwortlichen anzuweisen, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit dieser Verordnung zu bringen (Buchstabe d) sowie eine vorübergehende Beschränkung oder Verbot der Verarbeitung zu verhängen (Buchstabe f). Die Aufsichtsbehörde kann von ihrer Abhilfebefugnis Gebrauch machen, wenn sie einen Verstoß gegen Datenschutzbestimmungen festgestellt hat. Bei der Ausübung des ihr dann eingeräumten Ermessens hat sie den Verhältnismäßigkeitsgrundsatz zu beachten. Bei festgestellten Verstößen ist die Aufsichtsbehörde in der Regel gehalten, dagegen mit dem Ziel der Abstellung des Verstoßes vorzugehen. Hinsichtlich des Entschließungsermessens ist daher von einem intendierten Ermessen auszugehen, wenn die Aufsichtsbehörde - wie hier - einen Rechtsverstoß festgestellt hat.
Es ist auch kein Fehler bei der Ausübung des Auswahlermessens zu erkennen. Bei der Auswahl der geeigneten Abhilfemaßnahme nach Art. 58 Abs. 2 DSGVO muss die Aufsichtsbehörde den Verhältnismäßigkeitsgrundsatz beachten und insofern auch die Eingriffsintensität berücksichtigen (vgl. VGH Baden-Württemberg, Beschluss vom 22.1.2020 - VGH 1 S 3001/19 -, juris Rn. 61; VG Mainz, Urteil vom 24.9.2020 - 1 K 584/19.MZ -, juris Rn. 51). Das hier ausgesprochene Verbot der Videoüberwachung in den Sitzbereichen ist geeignet, um die beeinträchtigten Rechte der Gäste zu wahren. Es war auch erforderlich. Ein milderes, gleich geeignetes Mittel ist nicht ersichtlich. In Art. 58 Abs. 2 DS-GVO ist kein abgestuftes System dahingehend zu erkennen, dass der Beklagte zuerst eine Verwarnung hätte aussprechen müssen. Eine Verwarnung kommt regelmäßig bei einfachen Verletzungen der DS-GVO in Frage, welche zu keiner erheblichen Gefährdung des Datenschutzgrundrechts geführt haben. Eine Verwarnung wird eine Datenschutz-Aufsichtsbehörde aussprechen, wenn die Schwelle zur Verhängung einer Geldbuße noch nicht erreicht ist; die Verwarnung lässt sich daher auch als "kleine Schwester der Geldbuße" bezeichnen, also als Abhilfemaßnahme, die bei geringfügigen Verstößen gegen die DS-GVO oder sonstigen Gründen der Verhältnismäßigkeit "anstelle einer Geldbuße" (so explizit Erwägungsgrund 148 Satz 2 DS-GVO) verhängt werden kann (Selmayr in: Ehmann/Selmayr, 2. Aufl. 2018, DS-GVO Art. 58 Rn. 20 m.w.N.). Hier steht gerade kein geringfügiger Verstoß in Rede, sondern die Gäste des Wettbüros werden anlasslos und dauerhaft gefilmt und beobachtet. Der Beklagte hat dem Verhältnismäßigkeitsgrundsatz insofern schon im Vorfeld des gerichtlichen Verfahrens Rechnung getragen, als dass er die Videoüberwachung in weiten Teilen des Wettbüros nicht mehr beanstandet.
Das AG Düsseldorf hat entschieden, dass dem Kunden eines Online-Shops ein Anspruch auf 500 Euro immateriellen Schadensersatz aus Art. 82 DSGVO zusteht, wenn ein Online-Shop keine Auskunft gemäß Art. 15 DSGVO erteilt.
Aus den Entscheidungsgründen: a. Der Beklagte hat gegen die Beklagte einen Anspruch auf Herausgabe einer Kopie sämtlicher Daten, die sie über ihn verarbeitet sowie auf Auskunftserteilung, an welche anderen Unternehmen die Beklagte seine Daten übermittelt hat gemäß Art. 15 Abs. 1 und 3 DSGVO.
Die Klägerin hat mit der Replik erklärt die entsprechende Forderung des Beklagten zu erfüllen. Getan hat sie dies indes nicht. Berechtigte Einwände die Erfüllung nicht zu leisten, bestehen nicht. Es kann dahinstehen, ob der Beklagte die Klägerin bereits unter dem 23.12.2022 oder erst am 02.06.2023 zur Auskunft aufgefordert hat. Die Frist des Art 12 Abs. 3 S. 1 und DSGVO ist jedenfalls nunmehr abgelaufen.
Auch kann die Klägerin nicht verlangen, dass der Beklagte sich zuvor mit einem Personaldokument limitiert. Ein solcher Anspruch besteht, falls nicht sicher ist, dass der Anspruchsteller nicht die Person, die er behauptet zu sein, Art. 12 Abs. 6 DSGVO. Derartige begründete Zweifel bestehen hier jedoch nicht.
b. Weiter hat der Beklagte gegen die Klägerin einen Anspruch auf immateriellen Schadensersatz in Höhe von 500,00 € gemäß Art. 82 Abs. 1 DSGVO
Indem die Klägerin die dem Beklagten nach Art. 15 DSGVO zustehenden Ansprüche nicht erfüllt, führt dies zu einem Schadensersatzanspruch.
Der Umstand, dass der Beklagte systematisch Verstöße gegen die DSGVO in Bezug auf seine Person verfolgt, ist bei der Höhe des Schadenersatzes zu berücksichtigen, führt aber nicht dazu, dass dies einen Anspruch wegen rechtsmissbräuchlichen Handelns ausschließt.
Ein immaterieller Schadensersatz dient der Genugtuung, soll aber keine Einnahmequelle darstellen. Weiter kommt es bei der Höhe des Betrages nicht darauf an, wie wirtschaftlich potent der Anspruchsgegner ist. Der immaterielle Schadensersatzanspruch des geschädigten hat insoweit keine Straffunktion, so dass es auf eines „abschreckende“ Wirkung nicht ankommt.
Eine Erhöhung kommt auch nicht unter dem Gesichtspunkt in Betracht, dass die Klägerin sich - rechtlich unbegründet - weigert die Auskunft zu erteilen und verlangten Daten herauszugeben. Dies wäre nur der Fall, wenn die Klägerin mit den Daten weiter arbeiten würde, insbesondere sie seit dem spätestens 02.06.2023 an weitere Dritte weitergegeben hätte weitergeben würde und allein damit den Schaden des Beklagten vertiefen würde. Dies ist aber nicht ersichtlich.
Das LG Köln hat dem Betroffenen in diesem Fall 4.000 EURO immateriellen Schadensersatz aus Art. 82 Abs. 1 DSGVO wegen der Offenlegung einer Geschäftsbeziehung zu einem Konkurrenzunternehmen gegenüber einem Vorgesetzten zugesprochen. Der Betroffene hatte mit seiner Klage 100.000 EURO Schadensersatz verlangt. Die Klage wurde daher überwiegend abgewiesen.
Aus den Entscheidungsgründen: Der Kläger hat gegen die Beklagte zu 1) einen Anspruch auf Zahlung eines Schadensersatzes in Höhe von 4.000 € aus Art. 82 Datenschutz-Grundverordnung (im Folgenden: DS-GVO).
1. Die Beklagte zu 1) hat personenbezogene Daten des Klägers im Sinne des Art. 4 Nr. 2 DS-GVO dadurch verarbeitet, dass sie die streitgegenständliche E-Mail an Herrn K. versandt hat. Sie muss sich dabei die Handlung ihres Angestellten, des Beklagten zu 2), zurechnen lassen. Zur Verarbeitung im Sinne der DS-GVO zählt auch die „Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung“.
Die Offenlegung der Vertragsverhältnisse zwischen der Beklagten zu 1) und dem Kläger an den Vorgesetzten des Klägers war auch rechtswidrig. Sie unterfällt keinem Rechtfertigungstatbestand nach Art. 6 Abs. 1 DS-GVO. Insbesondere ist sie nicht zur Erfüllung des Vertrags mit dem Kläger „erforderlich“, Art. 6 Abs. 1 lit. b) DS-GVO. Erforderlichkeit setzt voraus, dass ein unmittelbarer Zusammenhang zwischen der Verarbeitung und dem konkreten Zweck des Vertragsverhältnisses besteht. Ein solcher Zusammenhang ist hier nicht ersichtlich. Der Vorgesetzte des Klägers ist in keiner Weise in den Vertrag involviert und für die private Lebensführung des Klägers auch offensichtlich in keiner Weise verantwortlich. Es ist nicht im Ansatz zu erkennen, warum der Gläubiger eines Schuldverhältnisses sich veranlasst sehen dürfte, sich an den Vorgesetzten seines Schuldners zu wenden um diesen dazu zu bringen, auf den Schuldner einzuwirken. Etwas anderes ergibt sich auch nicht aus dem Umstand, dass der Kläger ebenfalls als Autoverkäufer in einem Konkurrenzunternehmen tätig ist. Gerade in diesem Fall drängt sich der Gedanke förmlich auf, dass dem Kläger aus einer Offenlegung seiner Geschäftsbeziehungen zu einem Konkurrenzunternehmen Probleme erwachsen können, was für die Erfüllung des Vertrags nicht förderlich sein dürfte.
Die Beklagte zu 1) ist für den Verstoß gegen Art. 6 Abs. 1 DS-GVO auch verantwortlich und muss sich das Verhalten ihres Mitarbeiters zurechnen lassen. Eine Exkulpation nach Art. 82 Abs. 3 DS-GVO kommt nicht in Betracht. Soweit die Beklagte zu 1) schlicht darauf abstellt, dass der Beklagte zu 2) dem Kläger keinen Schaden habe zufügen wollen, verfängt dies nicht. Die Versendung der E-Mail erfolgte vorsätzlich. Eine Schädigungsabsicht setzt Art. 82 DS-GVO nicht voraus.
2. Der Verstoß ist auch derart gravierend, dass er eine Schadensersatzpflicht der Beklagten zu 1) auslöst, allerdings nur in tenorierter Höhe.
Allein der Verstoß gegen datenschutzrechtliche Vorschriften führt nicht zu einer Verpflichtung des Verantwortlichen zur Zahlung von Schadensersatz (so auch LG Karlsruhe ZD 2019, 511). Voraussetzung eines Anspruchs auf Schadensersatz aus Art. 82 Abs. 1 DS-GVO, der im nationalen Recht unmittelbar Anwendung findet und andere Anspruchsgrundlagen nicht ausschließt (Nemitz, in: Ehmann/Selmayr, DS-GVO, 2. Aufl., Art. 82 Rn. 7), ist ein Verstoß gegen die DS-GVO und ein hierdurch verursachter Schaden, was ein Kläger darzulegen und zu beweisen hat (LG Karlsruhe, a.a.O.). Nach dem Erwägungsgrund 146 ist der Begriff des Schadens weit auszulegen, sodass Betroffene einen wirksamen Ersatz erhalten. Erwägungsgrund 85 besagt, dass eine Verletzung des Schutzes personenbezogener Daten einen physischen, materiellen oder immateriellen Schaden für natürliche Personen – wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung oder Rufschädigung – nach sich ziehen kann, wenn nicht rechtzeitig und angemessen reagiert wird. Es bedarf danach zwar keiner schweren Verletzung des Persönlichkeitsrechts, um einen immateriellen Schaden geltend zu machen (Gola/Piltz, DS-GVO, 2. Aufl., Art. 82 Rn. 13).Dennoch führt nicht bereits jeder Verstoß gegen die DS-GVO zu einer Ausgleichspflicht, denn der Verpflichtung zum Ausgleich eines immateriellen Schadens muss eine benennbar und insoweit tatsächliche Persönlichkeitsverletzung gegenüberstehen, die z.B. in der mit einer unrechtmäßigen Zugänglichmachung von Daten liegenden „Bloßstellung“ liegen kann (LG Karlsruhe, a.a.O.). Die Ermittlung des Schadens obliegt nach § 287 ZPO dem Gericht.
Der Verstoß der Beklagten zu 1) gegen die Regeln der DS-GVO ist bereits für sich derart gravierend, dass er eine entschädigungspflichtige Persönlichkeitsrechtsverletzung des Klägers begründet. Dass sich der Beklagte zu 2) hier an den Vorgesetzten des Klägers gewandt haben, ist nicht nur unangebracht und ein Verstoß gegen die DS-GVO, sondern für den Kläger auch peinlich und mit erheblichen Unannehmlichkeiten verbunden, weil er sich – unabhängig von der tatsächlichen Reaktion seines Vorgesetzten – genötigt fühlen könnte, sich gegenüber seinem Arbeitgeber dafür rechtfertigen zu müssen, bei der Konkurrenz ein Auto gekauft zu haben. Dies ist mit einem erheblichen Gefühl der Scham verbunden. Es handelt sich bei den Vertragsinformationen zwar nicht um hochsensible und höchstpersönliche Daten, der Kläger hatte jedoch ein offensichtliches Geheimhaltungsinteresse. Der Verstoß führt insoweit auch zu einem völligen Verlust der Kontrolle über die Daten, auch wenn die Information nur an eine Person geleitet wurde. Zudem erfolgte der Verstoß vorsätzlich, auch wenn der Beklagte zu 2), wie die Beklagte zu 1) unbestritten vorgetragen hat, keine Schädigungsabsicht gehabt hat.
Für die Frage der Schadensbemessung ist von Bedeutung, dass die Kammer die von dem Kläger behaupteten Folgen des Datenschutzverstoßes ihrer Entscheidung nicht zu Grunde legen kann.
Der Vortrag des Klägers zur Zerrüttung seines Arbeitsverhältnisses ist unsubstantiiert und prozessual unbeachtlich. Die Beklagte zu 1) hat sich offenbar im Betrieb des Klägers informiert und in ihrem Schriftsatz vom 23.08.2022 detailliert vorgetragen, dass es zu keiner Zerrüttung des Arbeitsverhältnisses gekommen ist. Dabei hat sie auch auf Ungereimtheiten im Vortrag des Klägers hingewiesen, die dieser selbst nicht entkräften konnte. So erfolgte die erste Krankschreibung des Klägers nicht unmittelbar nach dem streitgegenständlichen Vorfall, sondern erst einige Wochen später. Soweit der Kläger im April 2022 vorgetragen hat, seine Stelle sei neu besetzt worden und sein Vertrag ende „bald“, fehlt es an Vortrag dazu, wann dieser Zeitpunkt konkret sein soll. Da der Kläger noch mit Schriftsatz vom 02.08.2022 eine aktuelle Arbeitsunfähigkeitsbescheinigung bis zum 15.08.2022 vorgelegt hat, scheinen deutliche Zweifel angebracht, ob das Arbeitsverhältnis überhaupt in absehbarer Zeit enden wird. Auch fehlt es an substantiiertem Vortrag zu einer dauerhaften Arbeitsunfähigkeit des Klägers, da dieser nach den vorliegenden Unterlagen lediglich im Zeitraum Ende August bis Anfang Oktober 2021 und im Zeitraum um die Replik im August 2022 krankgeschrieben gewesen ist, somit lediglich für wenige Wochen. Da der Kläger auf den Vortrag der Beklagten zu 1) in ihrem Schriftsatz vom 23.08.2022 nicht mehr reagiert hat, gilt der Vortrag der Beklagten zu 1) als zugestanden.
Auch soweit der Kläger vorgetragen hat, an einer Depression zu leiden, ist sein Vortrag unbeachtlich. Ein ärztliches Attest, das diese Diagnose belegen könnte, hat er nicht vorgelegt. Sein Hausarzt hat ihm am 24.09.2021 lediglich eine „depressive Episode“ diagnostiziert. Substantiierter Sachvortrag zu seinen konkreten Symptomen, die es erlauben würden, die Diagnose einer Depression, egal in welcher Form, zu stellen, ist nicht erfolgt. Etwas anderes ergibt sich auch nicht aus dem Schreiben des Prof. X (Anlage K020). Hierbei handelt es sich nicht etwa um ein Privatgutachten, das geeignet wäre, den klägerischen Vortrag zu substantiieren, sondern um ein in einem reißerischen Tonfall geschriebenes Gefälligkeitsschreiben, das für die Kammer insgesamt unbeachtlich war. Nicht nur lässt es Prof. X an jeglicher Neutralität in Bezug auf den hier anhängigen Rechtsstreit vermissen. Es ergibt sich aus dem Schreiben noch nicht einmal, ob der Kläger bei Prof. X überhaupt in Behandlung war, so dass für die Kammer nicht ersichtlich ist, auf welcher therapeutischen Grundlage sich der Prof. X überhaupt ein Urteil zum Gesundheitszustand des Klägers anmaßt.
Die Kammer will nicht in Abrede stellen, dass der Kläger tatsächlich unter hohem psychischen Druck steht. Er war in der mündlichen Verhandlung sichtlich angefasst und schien deutlich zu leiden. Dieses Leiden ist jedoch nicht derart substantiiert im Prozess vorgetragen worden, dass es für die Kammer prozessual verwertbar wäre und für die Einholung eines psychologischen Sachverständigengutachtens gereicht hätte. Dies gilt nicht nur für den Vortrag des Klägers hinsichtlich des Vorliegens einer Depression, sondern auch für die Frage, ob gerade der Datenschutzverstoß der Beklagten für die Krankheit des Klägers kausal geworden ist. Die Einholung eines Sachverständigengutachtens würde vor diesem Hintergrund einem Ausforschungsbeweis gleichkommen.
Bei der Bemessung des Schmerzensgelds war weiterhin zu berücksichtigen, dass die Beklagte zu 1) eine strafbewehrte Unterlassungserklärung abgegeben und sich bereits mit E-Mail vom 20.07.2021 beim Kläger entschuldigt hat. Weiterhin war zu berücksichtigen, dass nach Sinn und Zweck von Art. 82 DS-GVO das Schmerzensgeld so zu bemessen ist, dass es eine abschreckende Wirkung auf die Beklagte ausübt. Dabei war jedoch auch darauf zu achten, dass auch nach der Konzeption des Art. 82 DS-GVO der Schadensersatz nicht in einen Strafschadensersatz ausartet, sondern in erster Linie der Kompensation tatsächlich entstandener Schäden beim Kläger dient (vgl. Erwägungsgrund (146) S. 5 DS-GVO: „erlittener Schaden“). In diesem Zusammenhang war für die Kammer entscheidend auf die finanzielle Situation der Beklagten zu 1) abzustellen, nicht hingegen auf die Finanzkraft des „V-Konzern s“ insgesamt. Die Beklagte zu 1) mag zum V-Konzern gehören, sie ist aber rechtlich unabhängig. Der Kläger hat nicht die Volkswagen AG verklagt, so dass der Vortrag zu deren Umsätzen unbeachtlich ist. Vortrag zur finanziellen Situation der Beklagten zu 1) fehlt indes. Daher verbietet sich auch eine Orientierung an einem möglicherweise von der Aufsichtsbehörde noch zu verhängendem Bußgeld gegen die Beklagte zu 1). Der Vortrag des Klägers zur Höhe dieses Bußgelds, insbesondere dass dieses die Höchstgrenze des Art. 83 Abs. 4 DS-GVO von 10 Milliarden EUR erreichen könnte, stellt sich vor diesem Hintergrund nicht als eine ernsthafte Prognose dar.
Unter Berücksichtigung sämtlicher dieser zuvor genannten Umstände hält die Kammer gemäß § 287 ZPO insgesamt einen Schadensersatz von 4.000 EUR für notwendig, aber auch ausreichend zur Kompensation des dem Kläger entstandenen Schadens.
Das LG Berlin hat entschieden, dass ein Mieter einen Anspruch auf immateriellen Schadensersatz aus Art. 82 DSGVO gegen den Vermieter bei datenschutzwidriger Videoüberwachung des Innenhofs zusteht. Die Höhe richtet sich nach den Umständen des Einzelfalls.
Das AG München hat in diesem Fall einen Anspruch auf immateriellen Schadensersatz aus Art. 82 Abs. 1 DSGVO gegen den Anbieter eines Treuepunktesystems für Punkteverlust mangels Substantiierung der Kausalität einer behaupteten unzureichenden Zugangssicherung abgelehnt.
Aus den Entscheidungsgründen: 2. Der Kläger hat gegen die Beklagte keinen Anspruch auf Zahlung von immateriellem Schadensersatz in Höhe von 4.500,00 € aus Art. 82 Abs. 1 DSGVO in Verbindung mit Art. 32 Abs. 1 DSGVO.
Gemäß Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder den Auftragsverarbeiter.
Zwischen den Parteien ist strittig, ob die Beklagte gegen die Datenschutzgrundverordnung verstoßen hat. Der Kläger trägt nach den allgemeinen zivilprozessualen Grundsätzen die Darlegungsund Beweislast für die haftungsbegründenden Voraussetzungen (mwN Paulus in: BeckOK, Datenschutzrecht, 37. Ed., Art. 82 DSGVO, Rn. 51; LG München I, Urt. v. 9.12.2021 – 31 O 16606/20; zu weitgehend LAG Baden-Württemberg, Urt. v. 25.02.2021 - 17 Sa 37/20, Rz. 99, die dort angeführte Rechenschaftspflicht bezieht sich auf eine Verantwortlichkeit gegenüber der Behörde). Aus Art. 82 Abs. 3 DSGVO ergibt sich lediglich hinsichtlich des Verschuldens eine Beweislastumkehr. Damit trägt der Kläger die Darlegungs- und Beweislast hinsichtlich eines Verstoßes der Beklagten gegen die Datenschutzgrundverordnung und eines daraus kausal entstandenen Schadens.
b) Der Kläger behauptet, dass die Beklagte die gemäß § 32 Abs. 1 DSGVO erforderlichen Maßnahmen hinsichtlich des Zugangs des Klägers zu dem Kundenkonto nicht getroffen habe.
Der Kläger macht geltend, dass eine Zwei-Faktor-Authentifizierung Stand der Technik gewesen sei. Er bezieht sich in der Klageschrift zunächst darauf, dass es sich bei dem Kundenkonto um E-Geld handeln würde. Das vom Kläger vorgelegte Privatgutachten (Anlage K13 zum Schriftsatz vom 08.06.2022) stellt hinsichtlich der Zwei-Faktor-Authentifizierung ebenfalls auf das Vorliegen eines E-Geld-Kontos ab. Die Beklagte ist jedoch kein Zahlungsdienstleister. Der Kläger hat nicht ausreichend dargelegt, dass die Zwei-Faktor-Authentifizierung auch bei bloßen Kundenbindungsprogrammen Stand der Technik ist und die vorliegende Authentifizierung beim Programm der Beklagten diesen nicht erfüllt. Danach sind zwar die einzelnen zum Kunden-Login erforderlichen Informationen teilweise nicht geheim, sondern gegenüber einzelnen Vertragspartnern anzugeben oder im näheren Umfeld des Kunden bekannt. Für die Kombination der verschiedenen Merkmale beim Login wurde dies aber nicht vorgetragen. Auch hat die Beklagte ein dokumentiertes Informationssicherheits- Managementsystem im Unternehmen umgesetzt und unterliegt einer regelmäßigen Auditierung durch unabhängige Dritte. Dies erfolgt am ISO-Standard 27001 und den Sicherheitslinien des Bundesamtes für Sicherheit in der Informationstechnik. Zudem hat die Beklagte ein sogenanntes Security Information and Event Management zur Überwachung implementiert. Ein Verstoß hiergegen wurde seitens des Klägers nicht vorgetragen. Darüber hinaus ist der Stand der Technik nur ein Gesichtspunkt in der von § 32 Abs. 1 und Abs. 2 DSGVO vorgeschrieben Abwägung. Danach sind unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Umstände für die Gesamtabwägung aller genannten Faktoren, die danach gegen ein angemessenes Schutzniveau sprechen, werden von dem Kläger nicht vorgetragen. Ein Verstoß gegen Art. 32 DSGVO liegt danach nicht vor. Aus Art. 32 DSGVO folgt kein Anspruch auf eine Zwei-Faktor-Authentifizierung im vorliegenden Fall.
c) Der Kläger macht insbesondere geltend, dass die von der Beklagten vorgegebenen Regelungen zum Passwort unzureichend seien und nicht dem Stand der Technik entsprechen würden. Die Einlog-Modalitäten sehen vor, dass Kunden sich mit der Eingabe der Kartennummer in Verbindung mit der Angabe des Geburtsdatums und der Postleitzahl in das Kundenkonto einloggen können oder mit der Eingabe der Kartennummer und einer vierstelligen PIN, die aus einer vierstelligen Zahlenkombination besteht. Der Kläger führt aus, dass als Stand der Technik eine Mindestlänge von 10 Zeichen anzusehen sei und eine Einschränkung der verwendbaren Zeichen nicht zum Stand der Technik gehöre. Insoweit übersieht die Argumentation, dass darüber hinaus auch die Kartennummer als zusätzliche Anforderung erforderlich ist.
Ein etwaiger Verstoß der Beklagten gegen Art. 32 DSGVO – wie hier nicht – wäre jedenfalls auch nicht kausal für den behaupteten Punkteklau. Nach Vortrag der Beklagten in der Klageerwiderung (S. 9 f.) ist es technisch zwingend notwendig für die Einlösung der [...] Punkte in einen Warengutschein für [...] die [...] App zu nutzen und diese mit dem [...] Konto zu verbinden. Eine Möglichkeit [...] Gutscheine im Prämienshop der Beklagten mit Punkten zu erwerben besteht nicht (Anlage B6 zum Schriftsatz vom 23.06.2022). Auf diese [...] App hat die Beklagte keinen Einfluss. Inwieweit durch die Verknüpfung des Programms der Beklagten mit der App ein Verstoß gegen Art. 32 DSGVO vorliegen soll, hat der darlegungs- und beweisbelastete Kläger nicht substantiiert vorgetragen. Es liegt damit kein Verstoß der Beklagten gegen Art. 32 DSGVO vor.
BGH
Urteil vom 17.05.2022 - VI ZR 123/21
Urteil vom 17.05.2022 - VI ZR 124/21
Urteil vom 17.05.2022 - VI ZR 125/21
Urteil vom 17.05.2022 - VI ZR 141/21
GG Art. 1 Abs. 1, Art. 2 Abs. 1, Art. 5 Abs. 1; BGB § 823 Abs. 1, § 1004 Abs. 1 Satz 2
Der BGH hat in mehreren Verfahren entschieden, dass Presseberichterstattung über Umstände des Todes eines nahen Angehörigen im Einzelfall auch das Persönlichkeitsrecht des nahen Angehörigen verletzen kann.
Leitsätze des BGH:
a) Zur Verletzung des allgemeinen Persönlichkeitsrechts des Ehemanns durch eine Berichterstattung über die Umstände des Todes der Ehefrau.
b) Gegen rechtsverletzende Eingriffe in das Persönlichkeitsrecht kann nur der unmittelbar Verletzte, nicht auch derjenige vorgehen, der von den Fernwirkungen eines Eingriffs in das Persönlichkeitsrecht eines anderen nur mittelbar belastet wird, solange diese Auswirkungen nicht auch als Verletzung des eigenen Persönlichkeitsrechts zu qualifizieren sind. Es hängt von den Umständen einer Berichterstattung über den Tod einer Person im Einzelfall ab, ob sie das Persönlichkeitsrecht eines nahen Angehörigen unmittelbar oder nur mittelbar beeinträchtigt.
c) Eine vom Recht auf Achtung der Privatsphäre umfasste Situation großer emotionaler Belastung kann auch die des Bangens um das Leben eines nahen Angehörigen sein.
BGH, Urteil vom 17. Mai 2022 - VI ZR 123/21
BGH, Urteil vom 17. Mai 2022 - VI ZR 124/21
BGH, Urteil vom 17. Mai 2022 - VI ZR 125/21
BGH, Urteil vom 17. Mai 2022 - VI ZR 141/21
KG Berlin - LG Berlin
Das LG Köln hat in diesem Fall entschieden, dass der Betroffene einen Anspruch auf 1.200 EURO Schadensersatz aus Art. 82 Abs. 1 DSGVO hat, da der Verantwortliche die Zugangsdaten eines ehemaligen IT-Dienstleister nicht zeitnah gelöscht hatte.
Aus den Entscheidungsgründen:
Der Kläger hat im tenorierten Umfang Anspruch auf Ersatz eines immateriellen Schadens aus Art. 82 Abs. 1 DSGVO. Nach dieser Vorschrift hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.
Die Beklagte hat dadurch, dass sie die der Fa. C. zur Verfügung gestellten Zugangsdaten nach Ende der Vertragsbeziehung nicht änderte, gegen ihre Verpflichtung aus Art. 32 DSGVO sowie aus Art. 5 DSGVO verstoßen. Nach Art. 32 DSGVO haben der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Gemäß Art. 5 Abs. 1 lit. f) DSGVO müssen personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“).
Die Kammer nimmt einen Verstoß gegen diese Vorgaben aufgrund des zwischen den Parteien unstreitigen Umstandes an, dass die der Fa. C. zur Verfügung gestellten Zugangsdaten nach Beendigung der vertraglichen Beziehung zu der Vertragspartnerin über mehrere Jahre nicht verändert wurden. Damit schuf die Beklagte das Risiko, dass die Daten der Betroffenen nicht nur im Falle von ihr selbst zu verantwortender Unzulänglichkeiten, sondern auch durch von Seiten von Mitarbeitern der C. vorsätzlich oder fahrlässig ermöglichte Zugriffe einem Missbrauch ausgesetzt waren. Die Beklagte kann sich angesichts der Sensibilität der gespeicherten Kundendaten insbesondere nicht darauf berufen, sie habe davon ausgehen können, dass die Daten seitens C. dauerhaft und vollständig gelöscht werden würden (so auch in einem Parallelfall LG München I, Urt. v. 9.12.2021, 31 O 16606/20, juris, Rn. 36). Jedenfalls wäre eine Überprüfung der Löschung angezeigt gewesen, die die Beklagte aber ebenfalls nicht vorträgt.
Das der Beklagten anzulastende Versäumnis war – was ausreichend ist – jedenfalls mitursächlich für den dem Kläger entstandenen Schaden (vgl. LG München I a.a.O. Rn. 39).
Dem Kläger entstand auch ein Schaden im Sinne des Art. 82 DSGVO. Die Erwägungsgründe 75 und 85 DS-GVO zählen beispielhaft auf, welche konkreten Beeinträchtigungen einen "physischen, materiellen oder immateriellen Schaden" darstellen können, so etwa Diskriminierung, Identitätsdiebstahl oder -betrug, finanzieller Verlust, Rufschädigung, unbefugte Aufhebung einer Pseudonymisierung oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile. Nach Erwägungsgrund 146 DS-GVO muss der Begriff des Schadens zudem "im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht" und die "betroffenen Personen sollen einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten". Im Vordergrund steht hier eine abschreckende Wirkung des Schadensersatzes, die insbesondere durch dessen Höhe erreicht werden soll. Dieser Gedanke wird auch aus Art. 4 III EUV abgeleitet. Danach sind die Mitgliedstaaten angehalten, Verstöße wirksam zu sanktionieren, weil nur so eine effektive Durchsetzung des EU-Rechts – und damit auch der DS-GVO – gewährleistet ist (LG München I a.a.O. Rn. 41 mit w.N.).
Aufgrund des dem Kläger mit Schreiben vom 19.10.2020 mitgeteilten Umfangs der entwendeten persönlichen Daten geht die Beklagte ausweislich dieses Schreibens selbst davon aus, dass versucht werden konnte, die Betroffenen zu bestimmten Verhaltensweisen zu bewegen, insbesondere zur Preisgabe von weiteren vertraulichen Informationen oder Zahlungen zu veranlassen, sowie dass die Gefahr bestand, dass es mit Hilfe der Daten zu Identitätsmissbrauchsversuchen kommen würde. Auf die weiteren, teilweise zwischen den Parteien streitigen, Umstände der tatsächlichen oder gefühlten Beeinträchtigung des Klägers durch den Vorfall kommt es nach Auffassung der Kammer vor diesem Hintergrund nicht maßgeblich an.
Für die Bemessung der Höhe des Schadensersatzes können die Kriterien des Art. 83 Abs. 2 herangezogen werden, wie etwa die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung, die betroffenen Kategorien personenbezogener Daten, wobei die Ermittlung im Übrigen dem Gericht nach § 287 ZPO obliegt (LG München I a.a.O. Rn. 44 m.w.N.).
Hier war bei der Bemessung der Höhe zu berücksichtigen, dass ein Missbrauch der Daten zu Lasten des Klägers bislang nicht festgestellt werden musste, und es daher einstweilen bei einer Gefährdung geblieben ist. Wie vom LG München I a.a.O. zutreffend herausgearbeitet, muss allerdings auch die Absicht des EU-Verordnungsgebers berücksichtigt werden, mit Hilfe des Schadensersatzanspruchs eine abschreckende Wirkung zu erzielen. Zu Gunsten der Beklagten fällt allerdings – wie in der mündlichen Verhandlung bereits ausgeführt, ins Gewicht, dass der ihr zuzurechnende Datenschutzverstoß nur eine von mehreren Ursachen war, die erst im Zusammenwirken den Schadenseintritt bewirkten. Denn hinzu kam ein weiterer mindestens fahrlässiger Verstoß bei der Fa. C. sowie nicht zuletzt das vorsätzliche rechtswidrige Vorgehen der Hacker selbst. Zu berücksichtigen ist auch, dass die Beklagte dem Kläger vorübergehend das „meine Schufa Plus“ Angebot finanzierte. Unter Abwägung der maßgeblichen Gesichtspunkte erachtet die Kammer damit eine Schadensersatzzahlung in der tenorierten Höhe für angemessen.
Das LG Hannover hat entschieden, dass dem Betroffenen 5.000 EURO immaterieller Schadensersatz aus Art. 82 DSGVO wegen eines unberechtigten Negativeintrags in einer Auskunftei zusteht. Der Betroffene hatte den Betreiber der Auskunftei verklagt.
Aus den Entscheidungsgründen:
A. Die Klage ist zulässig, insbesondere ist das Landgericht Hannover örtlich gemäß § 44 Abs. 1 BDSG zuständig.
B. Die Klage ist in Höhe eines Betrages von 5.000,00 € (nachfolgend zu 1.) nebst Verzugszinsen (nachfolgend zu 2.) sowie im Hinblick auf die Freistellung des Klägers von vorgerichtlichen Rechtsanwaltskosten in Höhe von 282,15 € (nachfolgend zu 3.) begründet. Im Übrigen ist die Klage abzuweisen (nachfolgend zu 4.).
Im Einzelnen:
1. Der Kläger kann von der Beklagten Schadensersatz in Höhe von 5.000,00 € aus Art. 82 Abs. 1 DSGVO verlangen.
a. Die von der Telekom veranlassten Negativeinträge vom 10.01.2018 haben den Kläger rechtswidrig in seinem allgemeinen Persönlichkeitsrecht verletzt.
Eine nicht von den Bestimmungen des zum Zeitpunkt des Negativeintrags insoweit noch maßgeblichen § 28a BDSG (Art 6 Abs. 1 Buchst, f DSGVO (i.V.m. § 31 BDSG n.F.) gilt gern, deren Art. 99 Abs. 2 ab dem 25.05.2018) gedeckte Übermittlung personenbezogener Daten stellt eine Verletzung des allgemeinen Persönlichkeitsrechts dar, das als sonstiges Recht im Sinne des § 823 Abs. 1 BGB Schutz genießt (BGH, Urteil vom 07.07.1983- III ZR 159/82-, Rn. 14, juris; OLG Düsseldorf, Urteil vom 12.09.2014- 1-16 U 7/14-, Rn. 5, juris). Nach §4 Abs. 1 BDSG a.F. ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur zulässig, soweit das BDSG oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat. Eine Einwilligung hat der Kläger nicht erteilt. Deswegen ist die Übermittlung der Daten aus dem Vertragsverhältnis zwischen dem Kläger und der Telekom an die Beklagte an § 28a BDSG a.F. zu messen. Vorliegend scheitert deren Zulässigkeit schon an der Voraussetzung des § 28a Abs. 1 Satz 1 Nr. 4 Buchst, a) BDSG a.F., weil sich nicht feststellen lässt, dass die Telekom den Kläger mindestens zweimal schriftlich gemahnt hat.
Die Darlegungs- und Beweislast für die Zulässigkeit der Übermittlung von Daten trägt grundsätzlich die übermittelnde Stelle (vgl. OLG Köln, Urteil vom 21.10.2014 - 1-15 U 107/14-, Rn. 59, juris; OLG Düsseldorf a.a.O., Rn. 5; LG Lüneburg, Urteil vom 14.07.2020- 9 O 145/19-, Rn. 31, 47) resp. vorliegend die Beklagte als die die Daten verarbeitende Stelle i.S.v. § 29 Abs. 1 Satz 1 Nr. 3 BDSG a.F. Im Übrigen beruft sich die Beklagte auf die Mahnungen als ihr günstige - weil sie zur Aufnahme des Negativeintrags in ihre Auskunftei berechtigende - Tatsache und trägt damit auch nach allgemeinen Grundsätzen die Last des Beweises (vgl. Arnold in: Erman, BGB, 16. Aufl. 2020, § 130 BGB, Rn. 33).
Soweit die Telekom Mahnungen an den Kläger unter dessen seinerzeit für ihn nicht mehr aktuelle Anschrift (nur noch) seiner Eltern gesandt hat, lässt sich deren Zugang beim Kläger unabhängig davon nicht feststellen, ob diese den Eltern des Klägers zugegangen sind. Der Kläger mag durch sein Verhalten, seine neue Adresse nicht an seine Vertragspartner mitgeteilt zu haben, eine Ursache dafür gesetzt haben, dass ihn die an ihn gerichtete Post und damit auch die Mahnungen nicht erreicht haben. Das ändert aber nichts daran, dass sich ein Zugang beim Kläger nicht feststellen lässt und ist für die Frage der Zulässigkeit der Datenverarbeitung zunächst ohne Belang. Nach dem Sinn und Zweck der in § 28 a Abs. 1 Satz 1 Nr. 4 Buchst, a) bis c) BDSG aufgestellten Erfordernisse reicht eine bloße Versendung von Mahnungen nicht aus; vielmehr ist grundsätzlich ein Zugang beim Betroffenen erforderlich, um die beabsichtigte Warnfunktion zu erfüllen und diesem so entweder einen Ausgleich der Forderung zu ermöglichen oder ihn in die Lage zu versetzen, Einwendungen gegen die Forderung zu erheben (vgl. BR-Drs. 548/08, S. 25 f.); dabei obliegt auch allein dem Absender der Nachweis eines Zugangs von ihm versandter Schreiben, der das durch es ein geeignetes Versandverfahren sicher stellen könnte; das wäre im Hinblick auf die Folgen einer negativen Eintragung im Hinblick auf die Kreditwürdigkeit des Betroffenen auch ohne weiteres zumutbar und der Mahnende trägt das Risiko, wenn er sich so der Möglichkeit des Nachweises begibt; auch ein Anscheinsbeweis greift insofern grundsätzlich nicht ein, weil es vielfache Ursache dafür geben kann, dass ein Schreiben den Empfänger nicht erreicht (vgl. OLG Köln, a.a.O., Rn. 59, juris).
b. Die Beklagte hat gegen Art. 6 Abs. 1 DSGVO durch die nicht im Sinne der Vorschrift rechtmäßige Datenverarbeitung verstoßen, weil diese gemessen an §§ 28a Abs. 1 Nr. 4 Buchst, a), 29 Abs. 1 Satz 1 Nr. 3 BDSG a.F. bzw. § 31 Abs. 2 Nr. 4 Buchst, a) BDSG n.F. (auch wenn diese Neufassung nicht mehr die Übermittlungsvoraussetzungen definiert, sondern nur Anforderungen an den Datenkranz, der für die Ermittlung von Wahrscheinlichkeitswerten verwendet werden darf, so werden dadurch die Übermittlungsvoraussetzungen doch zumindest mittelbar bestimmt und in gewisserWeise durch den Gesetzgeber fortgeschrieben, vgl. Kamlah in: Plath, DSGVO/BDSG, 3. Aufl. 2018, §31 BDSG, Rn. 49) mangels (nachgewiesener) Mahnungen des Klägers durch die Telekom nicht rechtmäßig war.
c. Soweit der Kläger mithin in seinem Persönlichkeitsrecht verletzt ist, bedarf es keiner Feststellung, dass es sich dabei um eine schwerwiegende handelt.
Anders als für die Zubilligung eines Schmerzensgeldes nach §§ 823 Abs. 1, 249, 253 BGB, Art 1 und 2 GG wird eine solche von Art. 82 GG nicht vorausgesetzt (vgl. (BeckOK DatenschutzR/Quaas, 38. Ed. 1.11.2021, DS-GVO Art. 82 Rn. 32; Gola DS-GVO/Gola/Piltz, 2. Aufl. 2018, DS-GVO Art. 82 Rn. 13; LG Hamburg, Urteil vom 04.09.2020 - 324 S 9/19 -, Rn. 34, juris; LG Lüneburg, a.a.O., Rn. 55, juris).
d. Die Beklagte hat auch schuldhaft gehandelt.
Ein solches Verschulden ist - wie nach Auffassung der Kammer schon Art. 82 Abs. 3 DSGVO zeigt - auch im Rahmen einer Haftung nach Art. 82 DSGVO erforderlich und wird zunächst mit der Möglichkeit einer Exkulpation vermutet (vgl. OLG Stuttgart, Urteil vom 31.03.2021 - 9 U 34/21 -, Rn. 43, juris; LG Karlsruhe, Urteil vom 02.08.2019- 8 O 26/19-, Rn. 15, juris; Gola DS-GVO, a.a.O., Rn. 9; BeckOK DatenschutzR, a.a.O., Rn. 17; a.A. wohl: BAG, EuGH-Vorlage vom 26.08.2021 - 8 AZR 253/20 (A) -, Rn. 39, juris).
Daran gemessen traf die Beklagte zunächst nicht der Vorwurf eines schulhaften Verhaltens, weil ihr die Prüfung der Voraussetzung der Übermittlung in § 28a Abs. 1 Satz 1 Nr. 4 Buchst, a) BDSG a.F. zunächst nicht oblag (vgl. LG Stuttgart Urt. v. 15.05.2002 - 21 O 97/01, BeckRS 2002, 31212889, beck-online). Die Beklagte musste mithin nicht ohne irgendeinen Anhaltspunkt überprüfen, ob der Kläger nach Eintritt der Fälligkeit der Forderung der Telekom mindestens zweimal schriftlich gemahnt worden war, sondern durfte sich vielmehr darauf verlassen, dass die Telekom als übermittelnde Stelle das getan hatte.
Die Beklagte hatte dann aber Anlass zur Prüfung dieser Frage, nachdem ihr der Kläger im April 2019 mitgeteilt hatte, dass er nicht gemahnt worden sei, die Voraussetzungen für die Negativeinträge also - jedenfalls aus seiner Sicht - nicht Vorlagen. Soweit sie mangels der Kenntnis der Problematik der Mahnungen und ihres Zugangs beim Kläger deswegen bis dahin i.S.v. Art. 82 Abs. 3 DSGVO exkulpiert war und (noch) nicht schuldhaft handelte, gelingt ihr das für die Zeit ab April 2019 nicht mehr und das Verschulden der Beklagten seitdem ist zu vermuten. Die Beklagte hatte ab April 2019 Anlass, die Frage der Rechtmäßigkeit zu prüfen. Die ihr obliegende Sorgfalt hätte das auch erfordert und die Beklagte handelte seitdem mindestens fahrlässig, solange sie das nicht tat.
e. Der Kläger hat auch einen immateriellen Schaden erlitten.
Es kann dahinstehen, ob auch unter Berücksichtigung des weiten Schadensbegriffs (vgl. Erwägungsgrund 146) nicht bereits jeder Verstoß gegen die DSGVO zu einer Ausgleichspflicht führt, weil der Verpflichtung zum Ausgleich eines immateriellen Schadens eine benennbar und insoweit tatsächliche Persönlichkeitsverletzung gegenüberstehen muss (LG Hamburg, a.a.O.-, Rn. 33 f., juris). Denn jedenfalls eine in einer unrechtmäßigen Zugänglichmachung von Daten liegenden "Bloßstellung" stellt eine solche dar (vgl. LG Hamburg, a.a.O.; LG Karlsruhe, a.a.O., Rn. 19, juris; LG Lüneburg, a.a.O., Rn. 55; Ehmann/Selmayr/Nemitz, DS-GVO, 2. Auflage, Art. 82 Rn. 13).
Die Beklagte hat daran gemessen, die mit den Negativeinträgen verbundenen Daten ihren Vertragspartnern zum Abruf bereit- und schon dadurch den Kläger "bloßgestellt". Bei der Beklagten handelt es sich um eine Schutzgemeinschaft für allgemeine Kreditsicherung, ein Warnsystem der Kreditwirtschaft, dessen Aufgabe es ist, ihren Vertragspartnern Informationen zur Verfügung zu stellen, um sie vor Verlusten im Kreditgeschäft mit natürlichen Personen zu schützen (vgl. dazu OLG Düsseldorf, Urteil vom 13.02.2015- 1-16 U 41/14-, Rn. 28, juris). Innerhalb dieses Systems hat die Beklagte die Daten nicht nur zur Verfügung gestellt, sie wurden ausweislich der Auskunft vom 04.03.2021 auch mehrfach und sowohl im Kontext privater Anfragen als auch bezogen auf die Tätigkeit des Klägers als Inhaber einer Physiotherapiepraxis abgerufen. Darauf, ob die Negativeinträge auch dazu führten, dass dem Kläger kein Kredit oder ein solcher zu anderen (schlechteren) Bedingungen gewährt wurde als er ohne die Einträge gewährt worden wäre, kommt es indes für den immateriellen Ersatzanspruch nicht an.
f. Die Verletzung des Persönlichkeitsrechts des Klägers rechtfertigt und erfordert die Zahlung eines Schmerzensgeldes in Höhe von 5.000,00 €.
aa. Für den immateriellen Schadensersatz nach Art. 82 DSGVO gelten die im Rahmen von § 253 BGB entwickelten allgemeinen Grundsätze (BeckOK DatenschutzR/Quaas, a.a.O., Rn. 31; Gola DS-GVO, a.a.O., Rn. 9). Deswegen kann auch das Mitverschulden des Betroffenen analog § 254 BGB bei der Bemessung der Schadensersatzhöhe zu berücksichtigen sein (vgl. BeckOK DatenschutzR/Quaas, a.a.O., Rn. 28; Ehmann/Selmayr/Nemitz, a.a.O., Rn. 15; a.A. wohl Kühling/Buchner/Bergt, 3. Aufl. 2020, DS-GVO Art. 82; BAG, a.a.O.).
bb. Vorliegend rechtfertigt der Verstoß der Beklagten unter Berücksichtigung aller Umstände des vorliegenden Einzelfalls ein Schmerzensgeld in Höhe von 5.000,00 €.
(1) Die Daten zur Bonität des Klägers sind schützenswerte und sensible Daten, die sowohl seine berufliche Tätigkeit als auch seine Kreditwürdigkeit im privaten Rahmen betreffen. Sie können maßgeblichen negativen Einfluss auf die Teilnahme am wirtschaftlichen Verkehr in diesen Bereichen haben, indem Kredite versagt oder vom Kläger angestrebte Verträge mit ihm nicht abgeschlossen werden. Dass die Beklagte als Warnsystem der Kreditwirtschaft mit ihren Auskünften und dem ersichtlich zu diesem Zweck und auf der Grundlage der Einträge ja errechneten Basisscore (der -wenn auch die Algorithmen zu dessen Bildung nicht bekannt sind und der Wert damit nicht nachvollziehbar ist - sich am 25.04.2019 auf 55,2% (vgl. Anlage Kl), am 04.03.2021 auf 69,56 € (vgl. Anlage K7) und am 07.09.2021 und mithin nach Löschung der Negativeinträge auf 91,79% belief) auf derartiges keinen Einfluss ausübt, wird man nicht ernsthaft annehmen können. Dieser Einfluss - ohne dass es im Rahmen eines immateriellen Anspruchs der konkreten Feststellung der materiellen Nachteile bedarf - ist auch von einigem Gewicht; zutreffend weist das LG Lüneburg darauf hin, dass dadurch mittelbar Grundrechte wie die Berufsfreiheit und die allgemeine Handlungsfreiheit beeinträchtigt werden können (LG Lüneburg, a.a.O., Rn. 58).
(2) Für die Bemessung des Schmerzensgeldes sind die Negativeinträge sind April 2019 bis zur Löschung wohl kurz nach dem 04.03.2021 zu berücksichtigen und hatten damit ungefähr zwei Jahre Bestand.
(3) Sie fielen auch in einen Zeitraum, der aufgrund der Corona-Pandemie ohnehin für am Wirtschaftsleben Teilnehmende mit großen wirtschaftlichen Risiken und Probleme verbunden war, der Kläger war damit für die Folgen der Negativauskünfte in besonderem Maße anfällig.
(4) Weiter ist vorliegend zu berücksichtigen, dass die Beklagte zwar einerseits zunächst kein erhebliches Verschulden traf, mit zunehmender Dauer des rechtswidrigen Zustandes ab den ersten Hinweisen durch den Kläger im April 2019 über die Klageerhebung im Mai 2020 ihr die Zweifel an der Rechtmäßigkeit ihres Handelns hätten immer stärker hätten aufkommen müssen. Das gilt ganz besonders für die Zeit nach Erlass des Anerkenntnisurteils vom 25.01.2021 und dem Umstand, dass die Negativeinträge auch am 04.03.2021 noch gespeichert waren.
(5) Gleichermaßen kann nicht unberücksichtigt bleiben, dass der Kläger eine zu den Negativeinträgen führende Ursache selbst gesetzt hat. Dadurch, dass er der Telekom die Änderung seiner Adresse nicht mitgeteilt hat, hat er ihr die Möglichkeit genommen, ihn mit ihren Mahnungen auf dem zwar im Hinblick auf den Nachweis des Zugangs riskanten, aber immerhin ganz üblichen Versandweg eines einfachen Briefs auch zu erreichen. Das Verhalten des Klägers nach Kenntnis von den Rückständen lässt vermuten, dass es dann sogleich zum Ausgleich der Forderungen der Telekom gekommen wäre und die Negativeinträge nicht lanciert worden wären.
cc. Nach alledem ist-wie geschehen - ein einheitliches Schmerzensgeld zu bilden.
Die vom Kläger vorgenommene Berechnung nach Zeitabschnitten ist mithin nicht vorzunehmen. Soweit eine Bemessung eines Schmerzensgeldes nach (zwei) Zeitabschnitten ausnahmsweise dann vorgenommen werden kann, wenn es einerseits um die Zahlung von Kapital und andererseits um Rente geht (vgl. BGH, Urteil vom 08.06.1976 - VI ZR 216/74 -, juris), kommt eine solche im Übrigen und insbesondere bei einer Zahlung (nur) von Kapital nicht in Betracht (vgl. OLG Hamm, Urteil vom 11.02.2000 - 9 U 204/99 -, Rn. 17, juris; OLG Frankfurt, Beschluss vom 14.04.2020 -15 W 18/20 -, Rn. 17 -18, juris; jeweils m.w.N.).
2. Der Kläger kann Verzugszinsen ab dem 10.04.2019 aufgrund des ablehnenden Schreibens der Beklagten vom 09.04.2019 gern. §§ 286 Abs. 2 Nr. 3, 288 Abs. 1 BGB verlangen, wobei entsprechend § 187 Abs. 1 BGB die Verzinsung erst an dem auf den Verzugseintritt folgenden Tag beginnt (vgl. Staudinger/Repgen (2019) BGB § 187, Rn. 5; Grünberg-Ellenberger, Bürgerliches Gesetzbuch, 81. Aufl., Rn. 1 zu § 187 m.w.N.).
3. Schließlich hat der Kläger einen Anspruch auf Freistellung der zur Rechts Verfolgung erforderlichen vorgerichtlichen Rechtsanwaltskosten. Bei einem Gegenstandswert von 5.000,00 € (maßgeblich ist der berechtigte Teils der außergerichtlich geltend gemachten Forderung (vgl. BGH, Urteil vom 18.07.2017 -VI ZR 465/16 -, Rn. 7, juris; BGH, Urteil vom 12.12.2017 - VI ZR 611/16 -, Rn. 5, juris)) belaufen sich diese nach §§13 Abs. 1, i.V.m. Nrn. 2300, 7002, 7008 VV RVG auf die angemessene 1,3 Geschäftsgebühren nebst Auslagenpauschale und Mehrwertsteuer unter Anrechnung einer 0,65 Geschäftsgebühr gern. Vorbemerkung 3 Abs. 4 RVG, § 15a RVG, mithin auf (217,10 € + 20,00 € + 45,05 € =) 282,15 €.
Das LAG Hamm hat entschieden, dass einem Arbeitnehmer ein Unterlassungsanspruch und immaterieller Schadensersatz in Höhe von 2.000 EURO zusteht, wenn der Arbeitgeber durch Datenweitergabe innerhalb des Konzerns, die nicht für die Durchführungen des Arbeitsverhältnisses erforderlich ist, gegen die Vorgaben der DSGVO verstößt.
Aus den Entscheidungsgründen:
1. Die Klägerin hat gegen die Beklagte einen Anspruch auf Unterlassung der Übermittlung der streitgegenständlichen Daten an die AKG. Der Anspruch folgt aus § 1004 Abs. 1 BGB, § 823 Abs. 2 Satz 1 BGB iVm. Art. 5 Abs. 1 Buchstabe a Var. 1, Art. 6 Abs. 1 DSGVO.
a) Nach allgemeinen Grundsätzen kann in entsprechender Anwendung des § 1004 Abs. 1 BGB die Unterlassung objektiv rechtswidriger Eingriffe in geschützte Rechtsgüter im Sinne des § 823 Abs. 2 Satz 1 BGB verlangt werden. Demnach ist derjenige, der gegen ein den Schutz eines anderen bezweckendes Gesetz im Sinne des § 823 Abs. 2 Satz 1 BGB verstößt, dem anderen entsprechend § 1004 Abs. 1 BGB zur Unterlassung verpflichtet. Ist nach dem Inhalt des Gesetzes ein Verstoß gegen dieses auch ohne Verschulden möglich, so tritt die Unterlassungspflicht - anders als die Ersatzpflicht (§ 823 Abs. 2 Satz 2 BGB) - auch ohne ein Verschulden des Verletzers ein (BGH 17.07.2008 – I ZR 219/05 – Rn. 13; Grüneberg/Sprau BGB 81. Aufl. Einf. v. § 823 Rn. 27ff.).
b) Art. 5 Abs. 1 Buchstabe a Var. 1 und Art. 6 Abs. 1 DSGVO sind Schutzgesetze iSd. § 823 Abs. 2 Satz 1 BGB.
aa) Eine Rechtsnorm ist ein Schutzgesetz iSd. § 823 Abs. 2 BGB, wenn sie zumindest auch dazu dienen soll, den Einzelnen oder einzelne Personenkreise gegen die Verletzung eines bestimmten Rechtsguts zu schützen. Dafür kommt es nicht auf die Wirkung, sondern auf Inhalt und Zweck des Gesetzes sowie darauf an, ob der Gesetzgeber bei Erlass des Gesetzes gerade einen Rechtsschutz, wie er wegen der behaupteten Verletzung in Anspruch genommen wird, zugunsten von Einzelpersonen oder bestimmten Personenkreisen gewollt oder doch mitgewollt hat. Es genügt, dass die Norm auch das Interesse des Einzelnen schützen soll, mag sie auch in erster Linie dasjenige der Allgemeinheit im Auge haben. Nicht ausreichend ist aber, dass der Individualschutz durch Befolgung der Norm nur als ihr Reflex objektiv erreicht wird; er muss vielmehr im Aufgabenbereich der Norm liegen (BGH 25.05.2020 – VI ZR 252/19 - Rn. 73 mwN).
bb) Gemäß Art. 5 Abs. 1 Buchstabe a Var. 1 DSGVO müssen personenbezogene Daten auf rechtmäßige Weise verarbeitet werden. Gemäß Art. 6 Abs. 1 DSGVO ist die Verarbeitung nur rechtmäßig, wenn mindestens eine der in den Buchstaben a bis f aufgeführten Bedingungen erfüllt ist. Die zitierten Bestimmungen dienen dem Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (vgl. Art. 1 Abs. 1 DSGVO). Der in ihnen zum Ausdruck kommende Grundsatz der Rechtmäßigkeit der Verarbeitung personenbezogener Daten schützt gemeinsam mit den anderen in Art. 5 DSGVO niedergelegten Grundsätzen die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten (vgl. Art. 1 Abs. 2 DSGVO). Dass dieser Schutz im Aufgabenbereich der Normen liegt, wird auch aus den Erwägungsgründen (fortan: EG) der DSGVO deutlich: Gemäß EG 2 DSGVO sollen durch die Grundsätze zum Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten - zu diesen gehört nach EG 39 Satz 1 DSGVO auch der hier maßgebliche Grundsatz der Rechtmäßigkeit der Verarbeitung - gewährleistet werden, dass ihre Grundrechte und Grundfreiheiten und insbesondere ihr Recht auf Schutz personenbezogener Daten ungeachtet ihrer Staatsangehörigkeit oder ihres Aufenthaltsorts gewahrt bleiben. Art. 5 Abs. 1 Buchstabe a Var. 1 und Art. 6 Abs. 1 DSGVO sind daher als Schutzgesetze iSd. § 823 Abs. 2 Satz 1 BGB einzuordnen (im Ergebnis ebenso Frenzel in Paal/Pauly DSGVO 3. Aufl. Art. 6 Rn. 2; zur Einordnung von Regelungen des BDSG als Schutzgesetze vgl. BGH 24.07.2018 – VI ZR 330/17 – Rn. 30; 27.02.2018 – VI ZR 489/16 – Rn. 42).
c) Der Anwendungsbereich der DSGVO ist eröffnet (Art. 2 DSGVO). Die von der AKG angefragten Informationen über die Klägerin stellen personenbezogene Daten iSd. Art. 4 Nr. 1 DSGVO dar. Durch die Übermittlung an die AKG hat die Beklagte diese Daten iSv. Art. 4 Nr. 2 DSGVO verarbeitet. Es liegt auch eine zumindest teilweise automatisierte Verarbeitung vor, weil die Daten per E-Mail übermittelt wurden (vgl. Ernst in Paal/Pauly DSGVO 3. Aufl. Art. 2 Rn. 5). Zudem ist davon auszugehen, dass die AKG die übermittelten Daten zur Vergleichsbildung in einem Dateisystem iSd. Art. 4 Nr. 6 DSGVO gespeichert hat. Ein Ausnahmetatbestand nach Art. 2 Abs. 2 DSGVO liegt im Streitfall nicht vor.
d) Die Beklagte ist im Hinblick auf die streitgegenständliche Datenübermittlung „Verantwortlicher“ iSd. Art. 4 Nr. 7 DSGVO, weil ihr die Entscheidungsgewalt über die Daten oblag und sie über das Ob und den Umfang der Datenübermittlung entschied (vgl LAG Baden-Württemberg 25.02.2021 – 17 Sa 37/20 – Rn. 45; EuArbRK/Franzen 4. Aufl. Art. 4 DSGVO Rn. 12; Hartung in Kühling/Buchner DSGVO 3. Aufl. Art. 4 Nr. 7 Rn. 13; Spindler/Dalby in Spindler/Schuster, Recht der elektronischen Medien 4. Aufl. Art. 4 DSGVO Rn. 18). Die Beklagte war damit gemäß Art. 5 Abs. 2 DSGVO für die Einhaltung von Art. 5 Abs. 1 Buchstabe a Var. 1 und Art. 6 Abs. 1 DSGVO verantwortlich.
e) Es liegt ein Verstoß gegen Art. 5 Abs. 1 Buchstabe a Var. 1 DSGVO („Grundsatz der Rechtmäßigkeit der Verarbeitung“) vor. Keiner der in Art. 6 Abs. 1 Buchstabe a bis f genannten Tatbestände ist im Streitfall erfüllt.
aa) Eine Einwilligung der Klägerin iSv. Art. 6 Abs. 1 Buchstabe a DSGVO liegt nicht vor. Auch die Tatbestände in Art. 6 Abs. 1 Buchstabe c, d und e kommen hier als Rechtsgrundlage erkennbar nicht in Betracht.
bb) Die Beklagte kann die Verarbeitung auch nicht auf § 26 BDSG stützen, der als speziellere Vorschrift Art. 6 Abs. 1 Buchstabe b DSGVO im Beschäftigungskontext verdrängt.
(1) § 26 BDSG stellt eine spezifischere Vorschrift iSv. Art. 88 DSGVO dar, welche ihrerseits den Erlaubnistatbestand des Art. 6 Abs. 1 Buchstabe b DSGVO im Beschäftigungskontext konkretisiert. Demnach verdrängt § 26 BDSG in seinem Anwendungsbereich die Regelung des Art. 6 Abs. 1 Buchstabe b DSGVO (LAG Baden-Württemberg 25.02.2021 – 17 Sa 37/20 – Rn. 74; ErfK/Franzen 22. Aufl. § 26 BDSG Rn. 4f. mwN; HWK/Lembke Arbeitsrecht Kommentar 9. Aufl. Einl. DSGVO Rn. 64; Buchner/Petri in: Kühling/Buchner Art. 6 DSGVO Rn. 49f.). Demgegenüber bleiben die übrigen Tatbestände des Art. 6 Abs. 1 DSGVO weiterhin anwendbar (ErfK/Franzen 22. Aufl. § 26 BDSG Rn. 4f.; Gola in: Gola DSGVO 2. Aufl. Art. 6 Rn. 101; Gräber/Nolden in: Paal/Pauly DSGVO 3. Aufl. § 26 BDSG Rn. 10).
(2) Die Verarbeitung ist nicht nach § 26 Abs. 1 BDSG gerechtfertigt.
(a) Nach dieser Vorschrift dürfen personenbezogene Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist. Für die Durchführung des Arbeitsverhältnisses ist eine Verarbeitung von personenbezogenen Daten danach erforderlich, wenn und soweit der Arbeitgeber sie benötigt, um die Pflichten zu erfüllen und die Rechte geltend machen zu können, welche im Hinblick auf das Arbeitsverhältnis in gesetzlichen Vorschriften, Kollektivverträgen und Individualvereinbarungen mit dem Arbeitnehmer geregelt sind (vgl. HWK/Lembke Arbeitsrecht Kommentar 9. Aufl. Art. 88 DSGVO Rn. 29; BeckOK DatenschutzR/Riesenhuber, 37. Ed. § 26 BDSG Rn. 114).
(b) Die streitgegenständliche Datenübermittlung war zur Durchführung des Arbeitsverhältnisses mit der Klägerin nicht erforderlich. Die AKG ist keine Personalabteilung oder personalverwaltende Stelle der Beklagten. Sämtliche das Arbeitsverhältnis der Klägerin betreffenden Abrechnungs- und Personalverwaltungsvorgänge werden ohne Mitwirkung der AKG vorgenommen. Das Arbeitsverhältnis weist auch keinen anderweitigen Konzernbezug auf (vgl. hierzu allg. Gola in: Gola/Heckmann BDSG 13. Aufl. § 26 Rn. 92; BeckOK DatenschutzR/Riesenhuber, 37. Ed. § 26 BDSG Rn. 183; Gola in: Gola DSGVO 2. Aufl. Art. 6 Rn. 104). Insbesondere ist ein konzernweiter Einsatz der Klägerin nicht vorgesehen; die Versetzungsklausel in § 1 Abs. 5 des Arbeitsvertrags beschränkt den Einsatz auf andere Orte „innerhalb des Unternehmens“. Auch die Beklagte hat nicht behauptet, sie sei zur Durchführung des Arbeitsverhältnisses mit der Klägerin auf die Übermittlung der Daten angewiesen. Sie hat vielmehr geltend gemacht, eine Übermittlung der Daten an die AKG sei für interne Verwaltungszwecke, nämlich zur Schaffung einer einheitlichen Vergütungsstruktur im Konzern, erforderlich.
(3) Die Verarbeitung ist auch nicht nach § 26 Abs. 4 BDSG gerechtfertigt. Zwar existiert die BV LNT. Die hier im Streit stehende Datenübermittlung erfolgte jedoch nicht unter Nutzung der Software, auf die sich die BV LNT bezieht, sondern per E-Mail.
cc) Die Datenverarbeitung ist auch nicht nach Art. 6 Abs. 1 Buchstabe f DSGVO gerechtfertigt.
aa) Nach dieser Bestimmung ist die Verarbeitung personenbezogener Daten rechtmäßig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt. Ob die Voraussetzungen der Norm erfüllt sind, ist anhand einer dreistufigen Prüfung zu ermitteln (LAG Baden-Württemberg 25.02.2021 – 17 Sa 37/20 – Rn. 75; Buchner/Petri in: Kühling/Buchner Art. 6 DSGVO Rn. 146).
(1) Zunächst ist zu klären, ob zum Zeitpunkt der Verarbeitung ein berechtigtes Interesse des Verantwortlichen oder eines Dritten, dem die Daten übermittelt werden, vorliegt. Zu den berechtigten Interessen des Verantwortlichen oder Dritten zählen neben rechtlichen auch tatsächliche, wirtschaftliche oder ideelle Interessen, nicht jedoch bloße Allgemeininteressen (Buchner/Petri in: Kühling/Buchner, Art. 6 DS-GVO Rn. 146 f.). Die in den EG 47–50 der DSGVO genannten Beispiele berechtigter Interessen wie unter anderem die Verarbeitung im Rahmen einer konzerninternen Übermittlung (EG 48 Satz 1 DSGVO) zeigen, dass vielfältige und unterschiedlich bedeutsame berechtigte Interessen berücksichtigungsfähig sind (BGH 12.07.2018 – III ZR 183/17 - Rn. 76).
(2) Sind die Interessen, die mit einer Datenverarbeitung verfolgt werden, grundsätzlich als berechtigte Interessen einzustufen, ist in einem weiteren Schritt zu klären, ob die konkrete Datenverarbeitung zur Wahrung dieser berechtigten Interessen auch erforderlich ist. Der EuGH hat im Hinblick auf das Kriterium der Erforderlichkeit darauf hingewiesen, dass sich die Ausnahmen und Einschränkungen in Bezug auf den Schutz der personenbezogenen Daten auf das absolut Notwendige beschränken müssen (vgl. zur Vorgängerregelung in Art. 7 Buchst. f der RL 95/46/EG EuGH 11.12.2019 – C-708/18 –Rn. 46; 04.05.2017 – C-13/16 – Rn. 30). Das Gericht hat im Einzelfall zu prüfen, ob das berechtigte Interesse des Verantwortlichen nicht mit anderen Mitteln, die weniger stark in die Grundrechte und Grundfreiheiten der betroffenen Personen eingreifen, vernünftigerweise ebenso wirksam erreicht werden kann (EuGH 11.12.2019 – C-708/18 – Rn. 46). Entsprechende Anhaltspunkte für das Kriterium der Erforderlichkeit finden sich auch in EG 39 DSGVO: Nach dessen Satz 7 soll die Verarbeitung der personenbezogen Daten auf das für sie notwendige Maß beschränkt sein. Satz 9 bestimmt, dass personenbezogene Daten nur verarbeitet werden dürfen, wenn der Zweck der Verarbeitung nicht in zumutbarer Weise durch andere Mittel erreicht werden kann. Die Datenverarbeitung ist daher erforderlich, wenn kein milderes, gleich effektives Mittel zur Verfügung steht, um die Interessen des Verantwortlichen zu erreichen (BGH 12.7.2018 – III ZR 183/17 - Rn. 82; ebenso zum Begriff der Erforderlichkeit in Art. 6 Abs. 1 Buchstabe c und e DSGVO BAG 26.08.2021 – 8 AZR 253/20 (A) - Rn. 31).
[...]
bb) Die Voraussetzungen des Art. 6 Abs. 1 Buchstabe f DSGVO liegen im Streitfall nicht vor.
(1) Es besteht allerdings grundsätzlich ein berechtigtes Interesse der Beklagten, der AKG und der DRV KBS an der Übermittlung der Gehaltsdaten der Klägerin. Diese Verarbeitung soll einen konzernweiten Vergleich der Gehälter und sonstigen Entgeltbestandteile der im Konzern beschäftigten AT-Mitarbeiter ermöglichen. Das damit verbundene Ziel, die Vergütungspraxis von außertariflichen Angestellten in vergleichbaren Positionen konzernweit einheitlich und widerspruchsfrei zu gestalten, ist ein berechtigtes wirtschaftliches Interesse iSd. Vorschrift. Die konzerninterne Datenübermittlung für solche internen Verwaltungszwecke wird auch durch EG 48 Satz 1 DSGVO grundsätzlich anerkannt.
Dieses berechtigte Interesse hat zum einen die AKG als „Dritter“ iSd. Vorschrift, weil sie die übermittelten Daten unmittelbar für die genannten Ziele nutzen kann. Daneben besteht auch ein eigenes berechtigtes Interesse der Beklagten an der Verarbeitung. Den bezweckten Gehältervergleich kann sie zwar nicht unmittelbar selbst nutzen, weil sie nach eigenem Vortrag keinen Zugriff auf die Daten hat. Die Verarbeitung kommt ihr aber jedenfalls mittelbar zugute, indem die Erkenntnisse bei zukünftigen Vertragsabschlüssen und - änderungen, die gemäß § 7 Abs. 2 Buchstabe e GO-AKG jeweils der Zustimmung der AKG bedürfen, zu ihren Gunsten Berücksichtigung finden. Ein durch Art. 6 Abs. 1 Buchstabe f DSGVO geschütztes Interesse an der Schaffung konzernweit einheitlicher Vergütungsstrukturen hat schließlich auch die DRV KBS als Konzernobergesellschaft.
(2) Die Übermittlung der Daten war in ihrer konkreten Ausgestaltung jedoch nicht erforderlich. Die Gehaltsdaten der Klägerin hätten in pseudonymisierter Form übermittelt werden können.
(a) Der Zweck der Verarbeitung bestand nach dem Vorbringen der Beklagten darin, einen Überblick über das aktuelle Gehaltsgefüge der AT-Mitarbeiter der Verbundkliniken zu erhalten, um zukünftig homogene Arbeitsbedingungen für diese Personengruppe zu schaffen und die Gehälter der AT-Mitarbeiter bei zukünftigen Vertragsabschlüssen bzw. -änderungen an vergleichbare Positionen anzupassen. Zur Erreichung dieses Zwecks war lediglich die Übermittlung der Gehaltsdaten (Jahresbruttogehalt, Zielprämie und sonstige Leistungen), der Funktion des jeweiligen Beschäftigten und seiner Organisationseinheit erforderlich. Die weiteren von der Beklagten übermittelten Daten der Klägerin (Name, Vorname, Personalnummer, Geburtsdatum, Privatadresse, Konzerngesellschaft, bei der sie tätig ist, Krankenhaus, in dem sie tätig ist, Arbeitsvertrag) sind für die Vergleichsdatenbildung hingegen nicht erforderlich. Denn auch ohne diese Daten könnte die AKG das Gehaltsgefüge vergleichbarer AT-Mitarbeiter in den Verbundkliniken feststellen und in der Zukunft für homogene Arbeitsbedingungen sorgen. Dass die Beklagte mehr Daten übermittelte, als zur Erreichung des Zwecks erforderlich waren, belegt auch der Umstand, dass die AKG nach dem Vortrag der Beklagten unmittelbar nach Erhalt der Daten einige dieser Daten wieder löschte und auf den Arbeitsverträgen schwärzte. Soweit die Beklagte zur Rechtfertigung dieses Vorgehens vorbringt, es habe verhindert werden sollen, dass „Daten durcheinander geraten“ und „falsche Zuordnungen“ erfolgen, ist dies für die Berufungskammer nicht nachvollziehbar. Eine ordnungsgemäße Nutzung und Einordnung der Daten für den angestrebten Zweck wäre ohne weiteres auch dann möglich gewesen, wenn nur die notwendigen, oben aufgeführten Daten übermittelt worden wären. In diesem Fall hätten die Gehaltsdaten der Klägerin nicht ohne Hinzuziehung zusätzlicher Informationen zugeordnet werden können (vgl. zum Begriff der Pseudonomysierung Art. 4 Nr. 5 DS-GVO).
(b) Die Beklagte hat eingewandt, dass eine derart eingeschränkte Datenübermittlung nicht zielführend sei. Da nur ein kleiner Personenkreis von der Datenverarbeitung betroffen sei und zum Teil in den einzelnen Unternehmen nur jeweils eine Person mit einem entsprechenden Tätigkeitsfeld arbeite, was auch auf die Klägerin zutreffe, könnten die Gehaltsdaten der Klägerin auch ohne Mitteilung des Namens und weiterer persönlicher Daten zugeordnet werden. Dieser Einwand greift nicht durch. Zum einen handelt es sich nicht um einen kleinen Personenkreis, sondern um 156 Mitarbeiter, davon 21 bei der Beklagten. Für die Kammer ist zudem nicht nachvollziehbar, wie die Identität der Klägerin ohne weitere Informationen herausgefunden werden könnte, wenn lediglich ihre Gehaltsdaten, ihre Funktion und ihre Organisationseinheit mitgeteilt würden. Da keine weiteren Daten, insbesondere auch nicht die Konzerngesellschaft und das Krankenhaus, in dem die Klägerin beschäftigt ist, übermittelt werden müssen, handelte es sich, selbst wenn die Position der Klägerin in jeder Klinikgesellschaft nur einmal vorhanden wäre, um einen Kreis von dann immerhin sechs Personen. Aber selbst wenn eine Identifizierung der Klägerin auch bei einer Datenübermittlung in dem oben dargelegten, eingeschränkten Umfang noch (theoretisch) möglich wäre, wäre die Identifizierung jedenfalls erheblich erschwert, weil diese erst unter Zuhilfenahme anderer Informationsquellen durchgeführt werden könnte. Durch eine solche Pseudonymisierung würden die datenschutzrechtlichen Risiken für die Klägerin folglich gesenkt (vgl. EG 29 Satz 1 DSGVO). Zudem entspräche ein solches Vorgehen dem Grundsatz der Datenminimierung (Art. 5 Abs. 1 Buchstabe c DSGVO). Eine pseudonymisierte Übermittlung der Gehaltsdaten würde daher in jedem Fall weniger stark in die Grundrechte der Klägerin eingreifen, den von der Beklagten erstrebten Zweck aber ebenso wirksam erreichen. Die Datenübermittlung in ihrer konkreten Ausgestaltung war daher nicht erforderlich.
[...]
dd) Art. 6 Abs. 4 DSGVO kann die Datenübermittlung an die AKG ebenfalls nicht rechtfertigen.
(1) Zwar liegt im Streitfall eine Verarbeitung zu einem anderen Zweck als zu demjenigen, zu dem die personenbezogenen Daten erhoben wurden, vor (s.o.). Die Klägerin hat in diese jedoch nicht eingewilligt. Die Datenübermittlung beruht auch nicht auf einer Rechtsvorschrift zum Schutz der in Art. 23 Abs. 1 DSGVO genannten Ziele iSv. § 6 Abs. 4 DSGVO. Die Voraussetzungen des § 24 Abs. 1 BDSG liegen ebenfalls nicht vor.
(2) In einem solchen Fall berücksichtigt der Verantwortliche – um festzustellen, ob die Verarbeitung zu einem anderen Zweck mit demjenigen, zu dem die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist – unter anderem die in Art. 6 Abs. 4 Buchstabe a bis e DSGVO genannten Kriterien. Der Rechtscharakter dieser Regelung wird uneinheitlich beurteilt. Nach einer Ansicht ist sie als ein Erlaubnistatbestand für eine zweckändernde Weiterverarbeitung personenbezogener Daten einzuordnen. Wenn die Voraussetzungen der Regelung vorliegen, bedarf es danach für die Zulässigkeit der Weiterverarbeitung keiner gesonderten Rechtsgrundlage iSv. Art. 6 Abs. 1 DSGVO. Ausreichend soll dann vielmehr gemäß EG 50 Satz 2 DSGVO der ursprüngliche Legitimationstatbestand für die Datenerhebung sein (Schulz in: Gola DSGVO 2. Aufl. Art. 6 Rn. 210 mwN; EuArbRK/Franzen 4. Aufl. Art. 6 DSGVO Rn. 14). Nach der Gegenansicht beschränkt sich die Funktion des Art. 6 Abs. 4 DSGVO auf einen Kompatibilitätstest. Danach bedarf auch eine nach Abs. 4 zweckkompatible Weiterverarbeitung von Daten darüber hinaus stets zusätzlich noch einer entsprechenden Rechtsgrundlage iSd. Art. 6 Abs. 1 DSGVO (Buchner/Petri in: Kühling/Buchner DSGVO 3. Aufl. Art. 6 Rn. 182ff. mwN; BeckOK DatenschutzR/Albers/Veit 38. Ed. Art. 6 DSGVO Rn. 96 ff.; Heberlein in: Ehmann/Selmayr 2. Aufl. DSGVO Art. 6 Rn. 48).
(a) Aus Sicht der Berufungskammer ist der letztgenannten Ansicht zu folgen. Der Einordnung von Art. 6 Abs. 4 DSGVO als selbständiger Erlaubnistatbestand steht der Wortlaut des Art. 6 Abs. 1 DSGVO entgegen, nach dem eine Verarbeitung „nur rechtmäßig“ ist, wenn einer der dort genannten Erlaubnistatbestände erfüllt ist; einen Vorbehalt hinsichtlich Abs. 4 macht Art. 6 Abs. 1 DSGVO gerade nicht (Buchner/Petri in: Kühling/Buchner 3. Aufl. Art. 6 DSGVO Rn. 183). Ein entsprechendes Verständnis kommt auch in der englischen und der französischen Fassung von Art. 6 Abs. 1 DSGVO zum Ausdruck.
Art. 6 Abs. 4 DSGVO betrifft nicht den Grundsatz der Rechtmäßigkeit der Datenverarbeitung iSv. Art. 5 Abs. 1 Buchstabe a Var. 1 DSGVO, sondern konkretisiert den Grundsatz der Zweckbindung iSd. Art. 5 Abs. 1 Buchstabe b DSGVO und regelt die Frage, ob der neue mit einer Datenverarbeitung verfolgte Zweck mit dem ursprünglich verfolgten vereinbar ist (Buchner/Petri in: Kühling/Buchner 3. Aufl. Art. 6 DSGVO Rn. 183; Heberlein in: Ehmann/Selmayr 2. Aufl. DSGVO Art. 6 Rn. 48). Die Grundsätze der Zweckbindung und der Rechtmäßigkeit sind jedoch unabhängig voneinander zu erfüllen (EuGH 01.10.2015 – C-201/14 – Rn. 30 mwN.).
(b) Selbst wenn man der Gegenansicht folgte, führte dies im Streitfall zu keinem anderen Ergebnis. Die Beklagte, die als Verantwortliche für die Rechtmäßigkeit der Datenverarbeitung verantwortlich ist und die Einhaltung dieses Grundsatzes nachweisen muss (Art. 5 Abs. 2 DSGVO), hat nicht behauptet, vor der Datenübermittlung den nach Art. 6 Abs. 4 vorgesehenen Kompatibilitätstest durchgeführt zu haben (vgl. zum Charakter der Regelung als Vorgabe für den Verantwortlichen auch BeckOK DatenschutzR/Albers/Veit, 38. Ed. Art. 6 DSGVO Rn. 102; Heberlein in: Ehmann/Selmayr 2. Aufl. DSGVO Art. 6 Rn. 49). Zudem ist die Datenübermittlung an die AKG unter Berücksichtigung der in Art. 6 Abs. 4 Buchstabe a bis e DSGVO genannten Kriterien mit dem ursprünglichen Erhebungszweck nicht kompatibel. Eine Pseudonymisierung wurde im Streitfall nicht vorgenommen, obwohl dies möglich gewesen wäre (Buchstabe e). Die Datenübermittlung hätte wie oben dargelegt nachteilige Auswirkungen für die Klägerin haben können (Buchstabe d). Die Daten wurden ausschließlich zum Zwecke der Begründung und Durchführung des Arbeitsverhältnisses erhoben. Die Klägerin musste nicht davon ausgehen, dass die Daten für andere Zwecke genutzt würden (Buchstabe b, vgl. auch EuArbRK/Franzen 4. Aufl. Art. 6 DSGVO Rn. 17). Es handelt sich um Personaldaten, die der Arbeitgeber grundsätzlich vertraulich zu behandeln hat (Buchstabe c). Der ursprüngliche Zweck für die Erhebung der Daten steht auch in keinem unmittelbaren Zusammenhang mit der Übermittlung der Daten zum Zwecke der Schaffung einer konzernweiten Vergleichsdatenbank (Buchstabe a).
f) Es besteht auch die erforderliche Wiederholungsgefahr.
aa) Die Besorgnis weiterer Beeinträchtigungen (§ 1004 Abs. 1 Satz 2 BGB) ist Tatbestandsmerkmal des auf §§ 1004, 823 BGB gestützten Unterlassungsanspruchs und damit materielle Anspruchsvoraussetzung (BAG 20.11.2012 - 1 AZR 179/11 - Rn. 82 mwN). Künftige Beeinträchtigungen eines geschützten Rechts sind grundsätzlich zu besorgen, wenn sie auf einer Verletzungshandlung beruhen (Wiederholungsgefahr) oder eine solche ernsthaft zu befürchten ist (Erstbegehungsgefahr). Wiederholungsgefahr ist die objektive Gefahr der erneuten Begehung einer konkreten Verletzungshandlung. Sie ist nicht auf die identische Verletzungsform beschränkt, sondern umfasst alle im Kern gleichartigen Verletzungsformen (BAG 18.11.2014 - 1 AZR 257/13 - Rn. 39). Für sie besteht eine tatsächliche Vermutung, wenn es bereits zu einer Verletzung des geschützten Rechts gekommen ist (BAG 07.06.2017 – 1 ABR 32/15 – Rn. 24).
bb) Angesichts des Verstoßes der Beklagten gegen Art. 5 Abs. 1 Buchstabe a Var. 1, Art. 6 Abs. 1 DSGVO besteht eine tatsächliche Vermutung für eine Wiederholungsgefahr, der die Beklagte nicht entgegengetreten ist. Sie macht vielmehr weiterhin geltend, dass die streitgegenständliche Datenübermittlung rechtmäßig gewesen sei (vgl. hierzu Staudinger/Thole BGB Neubearb. 2019 § 1004 Rn. 461).
2. Die Klägerin hat gegen die Beklagte gemäß Art. 82 Abs. 1 DSGVO Anspruch auf Ersatz des immateriellen Schadens. Nach dieser Vorschrift hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Diese Voraussetzungen liegen vor.
a) Die Klägerin ist anspruchsberechtigt. Sie gehört zu den von Art. 82 Abs. 1 DSGVO geschützten betroffenen Personen iSv. Art. 4 Nr. 1 DS-GVO. Die Verletzung von Bestimmungen der DSGVO geschah bei der Verarbeitung „ihrer“ personenbezogenen Daten (vgl. BAG 26.08.2021 – 8 AZR 253/20 (A) – Rn. 33; LAG Niedersachsen 22.10.2021 – 16 Sa 761/20 – Rn. 185).
b) Die Beklagte ist anspruchsverpflichtet. Wie bereits oben ausgeführt, ist sie im Hinblick auf die durchgeführte Datenübermittlung „Verantwortlicher“ iSd. Art. 4 Nr. 7 DSGVO und haftet daher für den Schaden, der durch eine nicht der DSGVO entsprechende Verarbeitung verursacht wurde.
c) Es liegt ein Verstoß gegen die DSGVO vor. Die personenbezogenen Daten der Klägerin wurden entgegen den Vorgaben von Art. 5 Abs. 1 Buchstabe a Var. 1 und Art. 6 Abs. 1 DSGVO nicht in rechtmäßiger Weise übermittelt. Auf die Ausführungen im Rahmen des Klageantrags zu 1) wird verwiesen.
d) Die Beklagte ist für den Verstoß gegen die DSGVO auch verantwortlich iSv. Art. 82 Abs. 3 DSGVO.
aa) Die Haftung des Verantwortlichen nach Art. 82 Abs. 1 DSGVO ist verschuldensunabhängig, dh. sie setzt nicht das Vorliegen oder den Nachweis eines Verschuldens voraus (BAG 26.08.2021 - 8 AZR 253/20 (A) – Rn. 39). Aus Art. 82 Abs. 3 DSGVO ergibt sich nichts Abweichendes. Die darin enthaltene Bestimmung, wonach bei Nachweis der Nichtverantwortlichkeit für den Umstand, durch den der Schaden eingetreten ist, eine Befreiung von der Haftung eintritt, betrifft nach Auffassung des BAG nicht das Verschulden im Sinne eines „Vertretenmüssens“, sondern die Frage nach einer „Beteiligung“ bzw. nach der Urheberschaft im Sinne der Kausalität (BAG 26.08.2021 - 8 AZR 253/20 (A) – Rn. 40). Danach ist die Beklagte hier verantwortlich, weil sie den Verstoß gegen die DSGVO durch die von ihr vorgenommene Datenübermittlung kausal verursacht hat.
bb) Selbst wenn man demgegenüber Verantwortlichkeit iSd. Art. 82 Abs. 3 DSGVO im Sinne von Verschulden verstünde (vgl. LAG Niedersachsen 22.10.2021 – 16 Sa 761/20 – Rn. 223; EuArbRK/Franzen 4. Aufl. Art. 82 DSGVO Rn. 17); führte dies zu keinem anderen Ergebnis. Denn das Verschulden der Beklagten wird nach Art. 82 Abs. 3 DSGVO vermutet. Die Beklagte hat keinen entgegenstehenden Vortrag geleistet. Sie handelte zumindest fahrlässig, was unter näher ausgeführt wird.
e) Durch den Verstoß der Beklagten gegen Bestimmungen der DSGVO ist der Klägerin ein immaterieller Schaden entstanden.
Der Rechtsanspruch auf immateriellen Schadenersatz nach Art. 82 Abs. 1 DSGVO erfordert über eine Verletzung der DSGVO hinaus nicht zusätzlich, dass die verletzte Person einen (weiteren) von ihr erlittenen immateriellen Schaden darlegt. Sie muss also keine „Konsequenz oder Folge der Rechtsverletzung von zumindest einigem Gewicht“ oder das Überschreiten einer „Erheblichkeitsschwelle“ darlegen. Bereits die Verletzung der DSGVO selbst führt zu einem auszugleichenden immateriellen Schaden (BAG 26.08.2021 – 8 AZR 253/20 (A) – Rn. 33; LAG Hamm 11.05.2021 – 6 Sa 1260/20 – Rn. 62ff.; LAG Niedersachsen 22.10.2021 – 16 Sa 761/20 – Rn. 228). Für dieses Verständnis spricht EG 146 Satz 3 DSGVO, wonach der Begriff des Schadens im Lichte der Rechtsprechung des EuGH weit und auf eine Weise ausgelegt werden soll, die den Zielen der Verordnung in vollem Umfang entspricht. Bereits der - auch hier eingetretene - Verlust über die Kontrolle der eigenen personenbezogenen Daten kann nach EG 75 und 85 DSGVO einen immateriellen Schaden begründen. Bei diesem Verständnis bleiben die Schwere eines Pflichtenverstoßes und das Ausmaß der damit einhergehenden Beeinträchtigungen auch nicht unberücksichtigt. Sie können effektiv im Rahmen der Bemessung der Höhe des Schadensersatzes berücksichtigt werden (LAG Niedersachsen 22.10.2021 – 16 Sa 761/20 – Rn. 228).
f) Die Klägerin hat die Bemessung der Höhe des immateriellen Schadensersatzes in das Ermessen des Gerichts gestellt, § 287 Abs. 1 Satz 1 ZPO. Unter Würdigung aller Umstände des Einzelfalles geht die Berufungskammer im Einklang mit der Entscheidung des Arbeitsgerichts davon aus, dass der Klägerin zur Abgeltung des immateriellen Schadens ein Geldanspruch in Höhe von 2.000,00 € zusteht.
aa) Nach EG 146 Satz 6 der DSGVO sollen die betroffenen Personen einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten. Bei der Bemessung des immateriellen Schadenersatzes durch das Gericht sind daher alle Umstände des Einzelfalls zu berücksichtigen. Es soll ein tatsächlicher und wirksamer rechtlicher Schutz der aus der DSGVO hergeleiteten Rechte gewährleistet werden BAG 26.08.2021 – 8 AZR 253/20 (A) – Rn. 36).
bb) Unter Berücksichtigung und Abwägung aller Umstände des Einzelfalls ist ein Schadensersatz in Höhe von 2.000,00 € angemessen.
(1) Ein vorsätzliches Handeln der Beklagten ist nicht festzustellen. Sie holte vor Durchführung der streitgegenständlichen Verarbeitung eine rechtliche Stellungnahme eines Rechtsanwalts und Fachanwalts für Arbeitsrecht und Informationstechnologierecht ein, nach der die Datenübermittlung aufgrund eines gesetzlichen Erlaubnistatbestandes grundsätzlich zulässig sein sollte. Zu berücksichtigen ist auch, dass die konkrete Rechtsfrage im Zeitpunkt der Datenverarbeitung nicht höchstrichterlich geklärt war. Die Beklagte hat den Verstoß gegen die DSGVO jedoch fahrlässig herbeigeführt. Sie hätte bei Beachtung der im Verkehr erforderlichen Sorgfalt (§ 276 Abs. 2 BGB) erkennen können und müssen, dass die Verarbeitung in ihrer durchgeführten Form nicht erforderlich war, sondern über das für den Zweck erforderliche Maß hinausging. Das eingeholte rechtliche Gutachten wies selbst darauf hin, dass eine anonymisierte Weitergabe der Daten Vorrang hätte, wenn die Vorgaben der Geschäftsführung durch eine solche Weitergabe ebenso erreicht werden könnten. Der Personalleiter der Beklagten E. hatte in seiner E-Mail vom 22.01.2019 (Bl. 157 GA) ebenfalls auf die Möglichkeit einer anonymisierten bzw. pseudonymisierten Datenübermittlung hingewiesen. Darüber hinaus sieht auch die BV LNT, die nur drei Wochen vor der hier in Rede stehenden Datenvereinbarung abgeschlossen worden war, vor, dass Beschäftigtendaten für Controlling- und Benchmark-Zwecke grundsätzlich nur pseudonymisiert genutzt werden dürfen. Auch vor diesem Hintergrund lag eine pseudonymisierte Verarbeitung der Daten nahe. Die Übermittlung beinhaltete in ihrer konkreten Form schließlich auch Daten wie das Geburtsdatum und die Privatadresse der Klägerin, die von vornherein und ganz offensichtlich nicht vom Zweck der Übermittlung gedeckt waren.
(2) Zulasten der Beklagten war darüber hinaus zu berücksichtigen, dass sie den Grundsatz der Transparenz (Art. 5 Abs. 1 Buchstabe a Var. 3 DSGVO) nicht beachtet und die ihr gegenüber der Klägerin obliegenden Informationspflichten im Hinblick auf die Datenübermittlung nachhaltig nicht erfüllt hat, obwohl sie in dem eingeholten Rechtsgutachten vom 05.03.2019 ausdrücklich auf die ihr obliegenden Informationspflichten nach der DSGVO hingewiesen worden war. Deshalb hatte die Klägerin keine Möglichkeit, ihr Widerspruchsrecht nach Art. 21 Abs. 1 DSGVO rechtzeitig und effektiv auszuüben. Zur Vermeidung von Wiederholungen wird insoweit auf die obigen Ausführungen verwiesen. Zudem entsprach die Datenübermittlung in ihrer konkreten Ausgestaltung nicht dem Grundsatz der Datenminimierung (Art. 5 Abs. 1 Buchstabe c DSGVO). Die Klägerin musste auch nicht mit einer Übermittlung ihrer Daten an die AKG rechnen. Die Verarbeitung betraf Personaldaten der Klägerin, die grundsätzlich vertraulich zu behandeln sind. Die Datenübermittlung war auch - jedenfalls bis zur Löschung der Daten durch die AKG - geeignet, sich für die Klägerin nachteilig auszuwirken. Ergänzend wird auch bezüglich dieser Aspekte auf die obigen Ausführungen Bezug genommen.
(3) Die Berufungskammer hat auch berücksichtigt, dass die Beklagte mit Schreiben vom 16.01.2020 – und damit wenige Tage vor dem am 22.01.2020 stattfindenden Termin vor dem Landgericht Bochum – einen Versuch unternommen hat, die streitgegenständliche Datenübermittlung im Nachhinein zu legitimieren. Sie übersandte der Klägerin eine „Information und Einverständniserklärung zur Verarbeitung ihrer Beschäftigtendaten“ mit dem Ziel, dass die Klägerin ihr schriftliches Einverständnis zur Übermittlung von Daten an die AKG geben würde. Dabei hat die Beklagte der Klägerin jedoch keine vollständige Wahlfreiheit im Hinblick auf die Erteilung einer Einwilligung eingeräumt, sondern mitgeteilt, dass die Klägerin ihre Zielvereinbarung für das Jahr 2020 (erst) erhalten würde, wenn sie die beigefügte Einverständniserklärung unterzeichnet an die Personalabteilung zurückgegeben hätte. Ein solches Vorgehen steht im Widerspruch zu Art. 7 Abs. 4 DSGVO. Die Klägerin hat gemäß § 2 Abs. 3 des Arbeitsvertrags einen Anspruch auf eine jährliche Zielvereinbarung. Die von der Beklagten verlangte Einwilligungserklärung war für den Abschluss der Zielvereinbarung nicht erforderlich und stand mit dieser in keinem Zusammenhang.
(4) Zugunsten der Beklagten war zu berücksichtigen, dass sie Maßnahmen zum Schutz der personenbezogenen Daten der Klägerin ergriffen hat. Einer ersten Aufforderung zur Datenübermittlung hat sich der Personalleiter der Beklagten E. mit E-Mail vom 22.01.2019 unter Hinweis auf datenschutzrechtliche Bedenken widersetzt. In der Folge wurde ein Rechtsgutachten eingeholt, um die Rechtslage klären zu lassen. Vor der Datenübermittlung wurde erörtert, wer Zugriff auf die Daten erhalten sollte, was sich unter anderem aus der E-Mail der MKSG vom 17.01.2019 (Bl. 65 GA) ergibt. Für die Datenübermittlung innerhalb des Konzerns bestand auch grundsätzlich ein berechtigtes Interesse. Eine Weitergabe der Daten an externe Dritte außerhalb des Konzerns ist nicht erfolgt. Es handelte sich um eine einmalige Datenübermittlung. Es ist nicht erkennbar, dass aus ihr konkrete nachteilige Folgen materieller Art für die Klägerin resultieren. Die Berufungskammer hat allerdings auch berücksichtigt, dass die wenn auch nur einmalige Datenübermittlung dauerhafte, auch nachteilige Auswirkungen für die Klägerin hätte haben können (s.o.). Dass derartige Auswirkungen zukünftig nicht eintreten werden, beruht nicht auf einem Verhalten der Beklagten, sondern auf dem Umstand, dass die AKG gerichtlich zur Löschung der Daten verurteilt wurde.
(5) Die Berufungskammer hat beachtet, dass die AKG im Hinblick auf die im Anschluss an die Übermittlung erfolgte Speicherung und Nutzung der personenbezogenen Daten der Klägerin durch das rechtskräftige Urteil des OLG Hamm vom 31.08.2021 zur Zahlung eines Schadensersatzes gemäß Art. 82 Abs. 1 DSGVO iHv. 4000,00 € verurteilt worden ist. Im vorliegenden Verfahren war allein der immaterielle Schaden der Klägerin zu bemessen, der durch die Datenübermittlung an die AKG entstanden ist.
(6) Unter Berücksichtigung der vorgenannten Aspekte und aller weiteren Umstände des vorliegenden Streitfalls, welche die Berufungskammer bei ihrer Entscheidung ebenfalls berücksichtigt hat, hält sie einen Schadensersatz iHv. 2.000,00 € für angemessen. Nach Überzeugung der Berufungskammer erhält die Klägerin damit einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden, der gleichzeitig gegenüber der Beklagten eine abschreckende Wirkung entfaltet.
g) Die Beklagte haftet allein und nicht gemeinsam mit der AKG als Gesamtschuldner. Eine gesamtschuldnerische Haftung kommt nach Art. 82 Abs. 4 DSGVO nur bei der Beteiligung mehrerer Verantwortlicher an „derselben Verarbeitung“ in Betracht. Hier liegen mit der Übermittlung der Daten durch die Beklagte einerseits und der Speicherung und Nutzung der Daten durch die AKG andererseits zwei unterschiedliche Verarbeitungsvorgänge iSd. Art. 4 Nr. 2 DSGVO mit jeweils unterschiedlichen Verantwortlichen vor. Das in zweiter Instanz durch das OLG Hamm entschiedene Verfahren der Klägerin gegen die AKG betraf nicht den hier streitgegenständlichen Verarbeitungsvorgang, sondern ausschließlich die Speicherung und Nutzung der Daten durch die AKG.
Das LG München hat in diesem Verfahren dem Betroffenen 2.500 EURO immateriellen Schadensersatz aus Art. 82 Abs. 1 DSGVO bei Nichtlöschung der Zugangsdaten nach Vertragsbeendigung und Zugriff auf das Dokumentenarchiv durch Unbefugte zugesprochen.
Aus den Entscheidungsgründen:
Der Kläger hat gegenüber der Beklagten einen Anspruch auf Zahlung von 2.500, - Euro gem. Art. 82 Abs. 1 DSGVO als immateriellen Schadensersatz.
Nach dieser Vorschrift hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.
Nach Art. 82 Abs. 3 DSGVO trägt die Darlegungs- und Beweislast für die haftungsbegründenden Voraussetzungen nach allgemeinen zivilprozessualen Grundsätzen der Anspruchsberechtigte. Eine Beweislastumkehr ist in Art. 82 Abs. 3 ausdrücklich nur bezüglich des Gesichtspunkts des Verschuldens vorgesehen. Dem Verletzten obliegt es daher auch, den Datenschutzverstoß zu beweisen. Die allgemeine Rechenschaftspflicht der Art. 5 Abs. 2, 24 Abs. 1 DS-GVO bezieht sich auf eine Verantwortlichkeit gegenüber der Behörde. Hierauf kann jedoch eine Beweislastumkehr oder Beweiserleichterung nicht gestützt werden (Quaas BeckOK Datenschutzrecht, Wolff/Brink; 36. Edition Stand: 01.05.2021 § 82 Rn. 51; 9 U 34/21 OLG Stuttgart Urteil vom 31.03.2021; LG Frankfurt vom 18.01.2021 — 2-30 O 147/20).
Im Hinblick auf die Frage des Datenschutzverstoßes verlangt Art. 32 DSGVO (Sicherheit der Verarbeitung) geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Zudem können die Anforderungen bzw. Vorgaben für einen ordnungsgemäßen und sicheren Umgang mit den Daten aus Artikel 5 Abs. 1 Lit. f DSGVO (Grundsätze für die Verarbeitung personenbezogener Daten), aus den Erwägungsgründen 39 und 78 Verordnung (EU) 2016/679 S. 12 sowie der Anlage zu § 9 BDSG 2003. (vgl. Kühling/Buchner/Herbst, 3. Aufl. 2020, DS-GVO Art. 5 Rn. 76) entnommen werden.
Insbesondere nennt der Erwägungsgrund 39 als geforderte Maßnahmen, dass gewährleistet ist, dass Unbefugte keinen Zugang zu den Daten haben und weder die Daten noch die Geräte, mit denen diese verarbeitet werden, benutzen können. Die Anlage zu § 9 BDSG 2003 listete technische und organisatorische Maßnahmen auf, die auch zur Erfüllung der Anforderungen des Art. 5 Abs. 1 lit. f eingesetzt werden können.
Unter Zugrundelegung dieser Vorgaben hat die Beklagte einen Datenschutzverstoß begangen.
Hierbei kann dahingestellt bleiben, ob der Beklagten etwaige Sicherheitsmängel bei dem Drittunternehmen zugerechnet werden können. Denn die Beklagte hat selbst keine ausreichenden organisatorischen Maßnahmen vorgenommen, um den streitgegenständlichen Datenverlust zu verhindern (vgl. auch Art. 82 Abs. 4 DSGVO).
So ist unstreitig, dass die Beklagte die Zugangsdaten für das Unternehmen CS. nach Beendigung der Geschäftsbeziehung nicht geändert hat. Darauf, wie die Beklagte vorträgt, dass sie davon ausgehen musste, dass die Zugangsinformationen vollständig und dauerhaft seitens CS. gelöscht werden, durfte sie sich im Hinblick auf den großen Umfang (Zugriff auf das vollständige IT-System) sowie aufgrund der Qualität und Sensibilität der gespeicherten Daten nicht verlassen. Da die Beklagte die Löschung offensichtlich nicht überprüft hat, war es fahrlässig gewesen, die Zugangsdaten seit Beendigung der Geschäftsbeziehung im Jahre 2015 bis zum Zugriff auf die Kundendaten der Beklagten im Jahre 2020 mehrere Jahre lang unverändert zu lassen. Die Beklagte kann sich auch nicht durch die umfangreichen Ausführungen über die technischen und organisatorischen Maßnahmen (TOMs) insoweit entlasten. Unerheblich wäre hierbei im Übrigen, wenn - wie die Beklagte vorträgt, das Dokumentarchiv im Jahr 2015 noch keine Kundendaten enthalten haben sollte. Denn jedenfalls sind diese dann in der Folgezeit in das Archiv aufgenommen worden.
Sofern die Beklagte ausweislich Ihres Schreibens vom 19.10.2020 nach dem Vorfall umgehend alle erforderlichen Maßnahmen ergriffen hat, um weitere unrechtmäßige Zugriffe auf das digitale Dokumentenarchiv auszuschließen, so ist es - entgegen der Ansicht des Beklagten - nicht als unzumutbar anzusehen, dass dies bereits unmittelbar nach Beendigung der Geschäftsbeziehung mit dem Unternehmen CS. hätte getan werden können. Auch wenn dies einen gewissen Aufwand erfordert hätte - und jetzt ja auch erfordert hat, kann dies keine Berechtigung dafür sein, die Daten der Kunden in einem bestimmten Bereich der Gefährdung durch einen (möglichen) unerlaubten Zugriff von außen ausgesetzt sein zu lassen.
Wenn die Beklagte außerdem betont, dass es sich bei CS. um ein unabhängiges Uhnternehmen handelt, dessen etwaige Unzulänglichkeiten ihr daher von vornherein nicht zugerechnet werden können, ist dies unerheblich. Denn es lag eben auch eine Unzulänglichkeit auf Seiten der Beklagten bzw. ein eigener DSGVO-Verstoß vor, und gerade die seitens der Beklagten vorgetragene fehlende rechtliche und tatsächliche Möglichkeit, den Löschungsprozess bei CS. zu beaufsichtigen, zu kontrollieren oder anzuweisen erforderte auf Seiten der Beklagten die Vornahme entsprechender eigener Sicherungsmaßnahmen.
Es liegt auch die erforderliche Kausalität zwischen dem „DSGVO-Verstoß“ und dem „Schaden“ vor. Art. 82 Abs. 1 DSGVO verlangt, dass der Schaden infolge eines konkreten DSGVO-Verstoßes eintritt. Es genügt zwar nicht, dass ein Schaden bloß auf eine Verarbeitung personenbezogener Daten zurückzuführen ist, in deren Rahmen es zu einem Rechtsverstoß gekommen war (OLG Stuttgart, Urteil vom 31. März 2021, Az. 9 U 34/21, S. 8, Anlage B 2; Paal, MMR 2020, 14, 17 m.w.N.), vorliegend beruht der Schaden aber nicht nur auf eine solche Verarbeitung. Es ist davon auszugehen, dass es bei Einhaltung der als adäquat geltenden Sicherheitsmaßstäbe nicht zu dem konkreten Datenvorfall gekommen wäre (vgl. Quaas, in: BeckOK Datenschutzrecht, Wolff/Brink, 33. Ed., 01.08.2020, Art. 82 DSGVO Rn. 51; 26 - Mitursächlichkeit genügt).
Sofern die Beklagte das Urteil das LG München I vom 02.09.2021, 23 O 10931/20 angeführt, sprechen dessen Entscheidungsgründe gerade dafür, dass im vorliegenden Fall ein Schaden gegeben ist. So weist das Landgericht zutreffend darauf hin, dass nach Art. 82 DS-GVO auch ein durch einen Verstoß gegen die Verordnung entstandener immaterieller Schaden ersetzt werden kann sowie dass in den Erwägungsgründen (Nr. 75) (insbesondere) auch Nichtvermögensschäden durch Diskriminierung, Indentitätsdiebstahl oder -betrug, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten oder gesellschaftliche Nachteile genannt sind (Vgl. BeckOK Datenschutz/Quaas DSGVO Art. 82 Rz. 23). Im dortigen Verfahren hat das Gericht seine Entscheidung insbesondere darauf gestützt, dass der Kläger sich darauf beschränkt hat, vorzutragen, sein Schaden bestehe im Verlust der Kontrolle über seine Daten (was aber auch im Erwägungsgrund Nr. 75 genannt ist!). Während dort ein Angriff auf den Account der E-Mail-Adresse zugrunde liegt, sind im vorliegenden Fall wesentlich umfangreichere und sensiblere Daten abgegriffen worden. Entgegen der Ansicht des LG Essen, Urteil vom 23.9.2021 - 6 O 190/21 liegt darin eine nicht nur „unbedeutende oder empfundene Verletzung von Persönlichkeitsrechten“. Im Übrigen erwähnt das LG Essen auch, dass ein Schmerzensgeldanspruch nach Art. 82 DS-GVO nicht auf schwere Schäden beschränkt ist, sodass sich ein genereller Ausschluss von Bagatellfällen verbietet. Das Gericht geht zudem offensichtlich (und zutreffend) auch davon aus, dass ein Identitätsdiebstahl für einen Schmerzensgeldanspruch ausreichen würde.
Die Erwägungsgründe 75 und 85 DS-GVO zählen beispielhaft auf, welche konkreten Beeinträchtigungen einen „physischen, materiellen oder immateriellen Schaden“ darstellen können, so etwa Diskriminierung, Identitätsdiebstahl oder -betrug, finanzieller Verlust, Rufschädigung, unbefugte Aufhebung einer Pseudonymisierung oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile. Nach Erwägungsgrund 146 DS-GVO muss der Begriff des Schadens zudem „im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht“ und die „betroffenen Personen sollen einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten“. Im Vordergrund steht hier eine abschreckende Wirkung des Schadensersatzes, die insbesondere durch dessen Höhe erreicht werden soll. Dieser Gedanke wird auch aus Art. 4 Ill EUV abgeleitet. Danach sind die Mitgliedstaaten angehalten, Verstöße wirksam zu sanktionieren. Denn nur so wäre eine effektive Durchsetzung des EU-Rechts — und damit auch der DS-GVO — gewährleistet (Wybitul/Haß/Albrecht: NJW 2018, 113, beck-online; vgl. auch Korch, NJW 2021, 978 - „Aus Erwägungsgrund 146 S. 3 ergibt sich, dass der Begriff des Schadens weit zu verstehen ist“).
Im vorliegenden Fall muss aufgrund des Umfanges und Art der entwendeten Daten des Klägers ein solcher Identitätsdiebstahl angenommen werden, welcher einen Anspruch auf Schadensersatz begründet.
So hat die Beklagte mit Schreiben vom 19.10.2020 (Anlage K 7) den betroffenen Kunden, somit auch dem Kläger mitgeteilt, dass die folgenden Daten von dem Vorfall betroffen sind wie „Personalien und Kontaktdaten, Daten zur gesetzlich erforderlichen Identifizierung des Kunden (etwa Ausweisdaten), die im Rahmen der Geeignetheitsprüfung erfassten Informationen, Daten bezogen auf Konto und/oder Wertpapierdepot (etwa Referenzkontoverbindung, Berichte, Wertpapierabrechnungen, Rechnungen) sowie steuerliche Daten (etwa Steueridentifikationsnummer)“ und dass der Versuch unternommen werden könnte, Dritte mit der Identität des Kunden zu täuschen, um sich Vorteile zu verschaffen (Identitätsmissbrauch).
Für die Bemessung der Höhe des Schadensersatzes können die Kriterien des Art. 83 Abs. 2 herangezogen werden, wie etwa die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung, die betroffenen Kategorien personenbezogener Daten (vgl. Quaas BeckOK Datenschutzrecht, Wolff/Brink 37. Edition Stand: 01.08.2021 Rn. 31), wobei die Ermittlung im Übrigen dem Gericht nach § 287 ZPO obliegt (BeckOK DatenschutzR/Quaas, 32. Ed. 1.2.2020, DS-GVO Art. 82 Rn. 31).
Allerdings muss bei der Bemessung der Höhe des immateriellen Schadensersatzes berücksichtigt werden, dass die streitgegenständlichen Daten offensichtlich bislang noch nicht, jedenfalls nicht zu Lasten des Klägers missbraucht worden sind und von daher allenfalls eine mehr oder weniger hohe Gefährdung angenommen werden kann. Berücksichtigt werden muss jedoch auch - wie oben angesprochen - die gesetzgeberisch beabsichtigte abschreckende Wirkung des Schadensersatzes. Unter Abwägung dieser gesamten Gesichtspunkte erachtet das Gericht einen (immateriellen) Schadensersatz in Höhe von 2.500, - Euro als angemessen.
Sofern die Beklagte meint, es sei eine Vorabentscheidung des EuGH zwingend erforderlich, was jüngst das BVerfG, Beschluss von 14.1.2021 - 1 BvR 2853/19 festgestellt hat, so übersieht sie Art. 267 Abs. 3 AEUV. Während nämlich bei dem, der genannten Entscheidung zugrunde liegenden Sachverhalt weder die Berufungsbeschwer erreicht war, noch das Amtsgericht die Berufung zugelassen hatte, ist diese vorliegend unzweifelhaft gegeben (vgl. § 511 Abs. 1, 2 Ziff. 1 ZPO), so dass keine letztinstanzliche Entscheidung gegeben ist.
