Skip to content

LG Düsseldorf: Keine freie Bearbeitung nach § 23 UrhG durch plagiieren eines Gemäldes wenn der Gesamteindruck mit dem Original übereinstimmt

LG Düsseldorf
Urteil vom 14.08.2024
12 O 156/23


Das LG Düsseldorf hat entschieden, dass keine freie Bearbeitung nach § 23 UrhG durch plagiieren eines Gemäldes vorliegt, wenn der Gesamteindruck mit dem Original übereinstimmt.

Aus den Entscheidungsgründen:
Die Klage ist zulässig und bis auf einen Teil der Nebenforderungen begründet. Die zulässige Widerklage ist ebenfalls teilweise begründet.

I.) Dem Kläger steht gegen den Beklagten ein Anspruch auf Schadenersatz in Höhe von 26.000 EUR aus § 97 Abs. 2 UrhG zu.

1.) Der Beklagte hat das Urheberrecht des Klägers an den drei streitgegenständlichen Bildern in schuldhafter Weise verletzt.

a) Der Kläger ist unstreitig Urheber (§ 7 UrhG) der drei Werke „C“, „M“ und „I“.

Die Gemälde sind als Werke der bildenden Kunst gemäß § 2 Abs. 1 Nr. 4, Abs. 2 UrhG urheberrechtlich schutzfähig. Es handelt sich um persönliche geistige Schöpfungen des Klägers, die ohne weiteres auch die erforderliche Schöpfungshöhe erreichen. Sie weisen ein hohes Maß an Originalität und Individualität auf.

b) Der Beklagte hat das Urheberrecht des Klägers verletzt, indem er ohne dessen Erlaubnis Vervielfältigungsstücke hiervon angefertigt (§ 16 Abs. 1 UrhG), diese verkauft und damit verbreitet (§ 17 Abs. 1 UrhG) und indem er Fotos dieser Werke auf seinem Instagram-Kanal öffentlich zugänglich gemacht hat (§ 19a UrhG).

aa) Bei den drei Bildern, von denen der Beklagte auf seinem Instagram-Kanal Fotos veröffentlicht hat, handelt es sich um Vervielfältigungsstücke der drei streitgegenständlichen Original-Gemälde des Klägers. Eine Vervielfältigung jede körperliche Festlegung eines Werkes, die geeignet ist, das Werk den menschlichen Sinnen auf irgendeine Weise unmittelbar oder mittelbar wahrnehmbar zu machen (BGH GRUR 1991, 449, 453 - Betriebssystem).

Bei den von dem Beklagten geschaffenen Bildern handelt es sich auch nicht um freie Bearbeitungen der klägerischen Vorlage im Sinne des § 23 Abs. 1 S. 2 UrhG. Dies setzt eine wesentliche Veränderung der verwendeten Vorlage dergestalt voraus, dass angesichts der Eigenart des neuen Werkes die entlehnten eigenpersönlichen Züge des geschützten älteren Werkes verblassen (BGH GRUR 1994, 191 [193] – Asterix-Persiflagen). Das neue Werk muss aufgrund seiner Eigenart selbstständig urheberrechtlich schutzfähig sein und zwar unabhängig von den anregenden Elementen des Originals (vgl. BGH GRUR 1961, 631 [632] – Fernsprechbuch). Auch bei der Bearbeitung und Umgestaltung iSd § 23 UrhG handelt es sich um besondere Fälle der Vervielfältigung eines Werkes (BGH GRUR 2014, 65 - Beuys-Aktion). Ein Eingriff in das Vervielfältigungsrecht des Urhebers liegt dann vor, wenn die Werkumgestaltung ohne eigene schöpferische Ausdruckskraft geblieben ist und sich daher – trotz der vorgenommenen Umgestaltung – noch im Schutzbereich des Originals hält, bei dessen Eigenart auch in der Nachbildung erhalten bleibt und ein übereinstimmender Gesamteindruck besteht (BGH GRUR 1988, 533 [535] – Vorentwurf II; GRUR 1965, 45 [47] - Stadtpläne).

Letzteres ist hier der Fall. Der Gesamteindruck der Bearbeitungen des Beklagten stimmt mit den Originalen des Klägers überein. Die Bearbeitungen bleiben trotz der vorhandenen Unterschiede gegenüber den Originalen des Klägers ohne eigene schöpferische Ausdruckskraft und lassen die Züge des Originals gerade nicht verblassen. Der Beklagte verwendete jeweils ein zur Vorlage des Klägers identisches Motiv, welches er in der gleichen Art und Weise, insbesondere unter überwiegender Beibehaltung der Linienführung und der Farbgebung, umsetzte.

Hiervon ausgehend, werden die Werke im Einzelnen nachfolgend erörtert, wobei jeweils das Original des Klägers links und die Bearbeitung des Beklagten rechts dargestellt sind.

Hinsichtlich des Bildes „C“ ist ersichtlich, dass der Beklagte in seiner Bearbeitung nur leicht andere Rottöne und insgesamt im Hintergrund eine geringere Anzahl von Farben verwendet. Zudem sind das dargestellte Gesicht und die Gesamtkomposition der abgebildeten Figur leicht anders. Der Gesamteindruck des Werkes, der Darstellung eines überwiegend in Gelb gehaltenen menschlichen Kopfes bzw. Oberkörpers, der in Linien vor einem überwiegend Burgunderrot gestalteten Hintergrund abgebildet ist, ist jedoch in der Bearbeitung des Beklagten erhalten geblieben, ohne dass ein eigener, schöpferischer Ausdruck hinzugetreten wäre.

Im Falle von „I“ ist erkennbar, dass der Beklagte für den Hintergrund in der unteren Bildhälfte im Vergleich zur klägerischen Vorlage einen leicht unterschiedlichen, kräftigeren Rotton verwendete. Ferner erscheinen die neben den beiden abgebildeten Figuren dargestellten „Blasen“ oder „Punkte“ in der Arbeit des Beklagten dunkler als beim Original zu sein. Auch insoweit überwiegt aber der übereinstimmende Gesamteindruck. Die beiden, überwiegend in grün, gelb sowie einem dunkleren Farbton gestalteten Figuren in der Mitte des Bildes sowie die sich daneben befindlichen „Punkte“ weisen in beiden Fällen eine nahezu exakt gleiche Anordnung auf. Ferner ist die Komposition und Linienführung der Figuren überwiegend identisch. Hinzu kommt der das Werk prägende, über die Mitte des Bildes hinausgehende, rote Hintergrund.

Bei „M“ können nach dem Gesamteindruck als wesentliche Unterschiede zum einen festgestellt werden, dass für die im oberen Bilddrittel dargestellten Köpfe bzw. Gesichter in der Bearbeitung des Beklagten ein hellerer, kräftigerer Rotton im Vergleich zur Vorlage des Klägers verwendet wurde. Ferner scheint das das vom Betrachter aus gesehen linke der beiden Gesichter in der Bearbeitung des Beklagten den Betrachter direkt anzusehen, wohingegen es im Original an dem Betrachter rechts vorbeischaut. Diese Unterschiede verleihen der Bearbeitung des Beklagten jedoch keinen eigenschöpferischen Ausdruck. Es überwiegt jedoch erneut der das klägerische Original prägende Gesamteindruck, der durch die Wahl des Motivs (zwei Köpfe über einem Ozean, in dem Fische schwimmen, um das ein Rahmen mit überwiegend roter, beigegebener und grüner Farbgebung gesetzt ist) der Linienführung und Farbauswahl geprägt ist.

bb) Entgegen der Auffassung des Beklagten handelt es sich nicht um Privatkopien im Sinne des § 53 Abs. 1 UrhG. Denn dies würde voraussetzen, dass die Kopien weder mittelbar noch unmittelbar Erwerbszwecken dienten. Dem steht jedoch entgegen, dass der Beklagte die Gemälde nach seinem eigenen Vortrag zum Preis von 1.600,00 EUR, 2.000,00 EUR und 1.000,00 EUR an einen Bekannten veräußerte. Damit hat der Beklagte durch Veräußerungen ohne weiteres einen Gewinn erzielt, selbst wenn man seinem Vortrag, die Materialkosten hätten 650 EUR betragen, zugrundelegt. Die erzielten Preise stellen sich damit als mehr als bloße Aufwandsentschädigungen dar.

b) In der Veräußerung der Werke liegt zugleich eine Verletzung des Urheberrechts des Klägers unter dem Gesichtspunkt des Verbreitens im Sinne des § 17 UrhG.

c) Schließlich hat der Beklagte das Urheberrecht des Klägers dadurch verletzt, dass er Fotos der plagiierten Werke bei Instagram veröffentlichte und sich damit das Recht des Klägers als Urheber zur öffentlichen Zugänglichmachung gemäß § 19a UrhG angemaßt hat.

d) Diese Urheberrechtsverletzungen erfolgten schuldhaft im Sinne des § 97 Abs. 2 UrhG. Angesichts der oben dargestellten Vielzahl an Übereinstimmungen zwischen den Bearbeitungen des Beklagten und den Originalen des Klägers ist vorsätzlichen Verletzungshandlungen des Beklagten auszugehen. Dieser hat selbst eingeräumt, sich die klägerischen Werke zum Vorbild genommen zu haben. Hinsichtlich der Verletzungshandlung des öffentlich Zugänglichmachens (§ 19a UrhG) durch die Veröffentlichung auf Instagram überzeugt die Argumentation des Beklagten, diese sei aus reiner „Unachtsamkeit“ geschehen, unabhängig davon nicht, dass auch eine solche Unachtsamkeit zumindest ein Fahrlässigkeitsvorwurf (§ 276 Abs. 2 BGB) begründen würde. Auf den bei Instagram veröffentlichten Lichtbildern sind die plagiierten Werke jeweils eindeutig und im Bildmittelpunkt zuerkennen. Damit liegt es fern, dass die Gemälde nur zufällig und aus Unachtsamkeit vom Bild erfasst wurden. Vielmehr muss davon ausgegangen werden, dass es gerade das Ziel des Beklagten war, diese zu fotografieren und zu veröffentlichen. Hierfür spricht auch die Bildunterschrift der Instagram-Veröffentlichung „Q.“ (Deutsch: „Q“). Dies deutet darauf hin, dass die Präsentation der Bilder auf den Fotos gerade Ziel des Instagram-Posts war.

e) Der Beklagte ist dem Kläger demnach zum Schadenersatz verpflichtet. Der Kläger berechnet den Schadenersatz vorliegend im Wege der Lizenzanalogie, § 97 Abs. 2 S. 3 UrhG. Insoweit ist danach zu fragen, welche Lizenzzahlung der Rechtsinhaber zu erwarten gehabt hätte, wenn die Verwertung seines Schutzrechts mit seiner Zustimmung erfolgt wäre (BGH GRUR 1993, 899 - Dia-Duplikate). Dies zugrundegelegt, ist weder maßgeblich, welchen Marktwert die Originale der streitgegenständlichen Gemälde des Klägers erzielen, noch, zu welchem Preis der Beklagte die Plagiate weiterveräußerte.

Da feststeht, dass ein Schadenersatz dem Grunde nach geschuldet ist, ist die Kammer gemäß § 287 ZPO berechtigt, die Höhe desselben zu schätzen. Hier liegen auch ausreichende Anknüpfungstatsachen für eine solche Schätzung vor. Denn der Beklagte trägt selbst vor, dass der Kläger sogenannte „Editionen“ bzw. „Multiples“ seiner Werke anfertigt und verkauft, welche Preise von 9.600 bzw. 9.900 EUR erzielen. Diese „Editionen“, bei welchen ein Druck des Originals auf Papier erfolgt, der dann vom Kläger nochmals von Hand übermalt wird, erscheinen durchaus mit einer Lizenzierung für eine Kopie des Originals vergleichbar. Demnach erscheint der vom Kläger pro Bild angesetzte Preis für eine Lizenz von 10.000 EUR angemessen, weshalb der Schadensersatz mit 30.000 EUR zu bemessen ist.

Abzüglich der vom Beklagten vorgerichtlich bereits gezahlten 4.000 EUR verbleibt eine Summe von 26.000 EUR.

f) Der Zinsanspruch folgt aus §§ 288 Abs. 1 S. 2, 291 BGB. Der Kläger kann indes keine Zinsen in Höhe von neun, sondern lediglich in Höhe von fünf Prozentpunkten über Basiszinssatz beanspruchen. Der von dem Kläger begehrte Verzugszins ist gemäß § 288 Abs. 2 BGB nur dann anzusetzen, wenn es sich um eine Entgeltforderung handelt. Gemeint hiermit ist das Entgelt für die Lieferung von Gütern oder die Erbringung von Dienstleistungen aus einem gegenseitigen Vertrag (Lorenz in: BeckOK BGB, 70. Ed. 1.5.2024, BGB § 286 Rn. 40). Eine Schadensersatzforderung, wie der Kläger sie hier geltend macht, stellt hingegen keine Entgeltforderung dar.

2.) Allerdings hat der Kläger gegen den Beklagten keinen Anspruch auf Erstattung der vorgerichtlichen Rechtsanwaltskosten aus § 97a Abs. 3 UrhG. Zwar lag eine Urheberrechtsverletzung des Beklagten, wie ausgeführt, vor, weshalb die Abmahnung durch das anwaltliche Schreiben vom 09.05.2023 dem Grunde nach berechtigt war. Diese erfüllte aber nicht die Voraussetzungen des § 97a Abs. 2 Nr. 1-4 UrhG. Voraussetzung einer formal wirksamen Abmahnung ist nach § 97 Abs. 2 Nr. 4 UrhG insbesondere, dass, sofern in die Abmahnung eine Aufforderung zur Abgabe einer Unterlassungsverpflichtung enthält, anzugeben ist, inwieweit die vorgeschlagene Unterlassungsverpflichtung über die abgemahnte Rechtsverletzung hinausgeht. Dem wird die streitgegenständliche Abmahnung des Klägers nicht gerecht. Grundlage für die Abmahnung war die Kopie der klägerischen Werke „C“, „I“ und „M“. Die vorgeschlagene Unterlassungsverpflichtungserklärung (Bl. 24 Anlagenband KV) bezieht sich jedoch unterschiedslos auf „Kunstwerke, welche von M hergestellt wurden und/oder an welchen M die ausschließlichen Nutzungsrechte zustehen“. Sie erfasst damit auf sämtliche Kunstwerke des Klägers und geht über die abgemahnte Rechtsverletzung an lediglich dreien hiervon hinaus. Auf diesen Umstand ist indes in der Abmahnung nicht hingewiesen.

Andere Anspruchsgrundlagen, aufgrund derer der Kläger Anspruch auf Ersatz seiner vorgerichtlichen Rechtsverfolgungskosten gegen den Beklagten hätte, sind nicht ersichtlich.

II.) Die Widerklage ist teilweise begründet.

Dem Beklagten steht gegen den Kläger ein Anspruch auf Zahlung von 367,23 EUR an vorgerichtlichen Rechtsanwaltskosten aus § 97a Abs. 4 S. 1 UrhG zu. Ein weitergehender Anspruch besteht hingegen nicht.

Nach der soeben genannten Vorschrift kann der Abgemahnte die Kosten seiner Rechtsverteidigung ersetzt verlangen, soweit die Abmahnung unwirksam war. Letzteres war hier, wie soeben unter I.2.) ausgeführt, der Fall. Dem Beklagten sind für das anwaltliche Schreiben vom 17.05.2023, durch welches die klägerischen Ansprüche abgewehrt wurden, seinerseits Rechtsanwaltskosten entstanden.

Entgegen der Auffassung des Beklagten waren diese Rechtsanwaltskosten jedoch nicht aus dem Gegenstandswert der Abmahnung in Höhe von 80.000 EUR zu berechnen, sondern lediglich aus demjenigen Wert, der sich aufgrund der Unwirksamkeit der Abmahnung ergab. Dies folgt bereits aus dem Wortlaut des § 97a Abs. 4 S. 1 UrhG, wonach der Abgemahnte Ersatz der für seine Rechtsverteidigung erforderlichen Aufwendungen verlangen kann soweit die Abmahnung unberechtigt oder unwirksam ist. Erforderlich sind damit nur diejenigen Rechtsanwaltskosten, die auf den unberechtigten Teil der Abmahnung entfallen (vgl. BGH GRUR 2019, 82, Rn. 38 – Jogginghosen; GRUR 2016, 516, Rn. 45 - Wir helfen im Trauerfall). Dies waren nach den vorstehenden Ausführungen allein die klägerseits geltend gemachten Rechtsanwaltskosten in Höhe von 2.293,25 EUR. Denn die klägerische Forderung war lediglich insoweit unbegründet, da aufgrund der Formunwirksamkeit der Abmahnung ein Erstattungsanspruch gegen den Beklagten nicht bestand.

Aus dem für die Rechtsverteidigung zugrunde zu legenden Gegenstandswert von 2.293,25 EUR betragen die für die Rechtsverteidigung erforderlichen Aufwendungen des Beklagten an Rechtsanwaltskosten 367,23 EUR.


Den Volltext der Entscheidung finden Sie hier:

Volltext BGH liegt vor: Bestimmung zum Leitentscheidungsverfahren nach § 552b ZPO - Schadensersatz aus Art. 82 DSGVO in Facebook-Scraping-Fällen

BGH
Beschluss vom 31.10.2024
VI ZR 10/24
ZPO § 552b


Wir hatten bereits in dem Beitrag BGH bestimmt Rechtsstreit um möglichen Schadensersatz aus Art. 82 DSGVO in Facebook-Scraping-Fällen zum Leitentscheidungsverfahren nach § 552b ZPO über die Entscheidung berichtet.

Leitsatz des BGH:
Zur Bestimmung eines Leitentscheidungsverfahrens gemäß § 552b ZPO in der Fassung des Gesetzes zur Einführung eines Leitentscheidungsverfahrens beim Bundesgerichtshof vom 24. Oktober 2024 (BGBl. I Nr. 328).

BGH, Beschluss vom 31. Oktober 2024 - VI ZR 10/24 - OLG Köln - LG Bonn

Aus den Entscheidungsgründen:
Die Revision wirft Rechtsfragen auf, die für eine Vielzahl anderer Verfahren von Bedeutung sind. Der Senat bestimmt das vorliegende Verfahren daher zum Leitentscheidungsverfahren im Sinne des § 552b ZPO in der Fassung des Gesetzes zur Einführung eines Leitentscheidungsverfahrens beim Bundesgerichtshof vom 24. Oktober 2024 (BGBl. I Nr. 328; im Folgenden: § 552b ZPO nF).

1. Die formalen Voraussetzungen zur Bestimmung des vorliegenden Verfahrens zum Leitentscheidungsverfahren liegen vor. Das Gesetz zur Einführung eines Leitentscheidungsverfahrens beim Bundesgerichtshof vom 24. Oktober 2024 ist nach seinem Art. 7 am Tag nach der Verkündung, mithin am 31. Oktober 2024 in Kraft getreten. Die Revisionsbegründung des Klägers wurde der Beklagten am 8. April 2024 zugestellt, die Revisionserwiderung der Beklagten ist am 15. Oktober 2024 eingegangen (§ 552b Satz 1 ZPO nF). Eine Anhörung der Parteien im Rahmen der Bestimmung des Verfahrens zum Leitentscheidungsverfahren ist nicht erforderlich (arg e contr. § 148 Abs. 4 ZPO nF; vgl. ferner Allgayer, Stellungnahme als Sachverständiger zum [Regierungs-]Entwurf eines Gesetzes zur Einführung eines Leitentscheidungsverfahrens bei Bundesgerichtshof, BTRechtsausschuss vom 13. Dezember 2023, S. 4); etwas anderes würde auch die Zielsetzung des Gesetzes unterlaufen, eine zügige höchstrichterliche Klärung trotz der Rücknahme von Revisionen aus prozesstaktischen Gründen oder aufgrund eines Vergleiches zu ermöglichen (vgl. BT-Drs. 20/8762 S. 10).

2. Das Verfahren wirft die folgenden Rechtsfragen auf:

a) Liegt in der Implementierung der sog. Kontakt-Import-Funktion in Verbindung mit der Standardvoreinstellung "alle" ein Verstoß der Beklagten gegen die Datenschutz-Grundverordnung im Sinne des Art. 82 Abs. 1 DSGVO ?

b) Ist der bloße Verlust der Kontrolle über die gescrapten und nunmehr mit der Mobiltelefonnummer des Betroffenen verknüpften Daten geeignet, einen immateriellen Schaden im Sinne des Art. 82 Abs. 1 DSGVO zu begründen? Falls ja, wie wäre der Ersatz für einen solchen Schaden zu bemessen ?

c) Welche Anforderungen sind an die Substantiierung einer Schadensersatzklage nach Art. 82 Abs. 1 DSGVO zu stellen ?

d) Reicht die bloße Möglichkeit des Eintritts künftiger Schäden in einem Fall wie dem vorliegenden aus, um ein Feststellungsinteresse im Sinne des § 256 Abs. 1 ZPO zu begründen?

e) Genügen die vom Kläger gestellten Anträge, dass die Beklagte es unterlasse,

- personenbezogene Daten der Klägerseite unbefugten Dritten über eine Software zum Importieren von Kontakten zugänglich zu machen, ohne die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzusehen, um die Ausnutzung des Systems für andere Zwecke als der Kontaktaufnahme zu verhindern, und

- die Telefonnummer des Klägers auf Grundlage einer Einwilligung zu verarbeiten, die wegen der unübersichtlichen und unvollständigen Informationen durch die Beklagte erlangt wurde, namentlich ohne eindeutige Informationen darüber, dass die Telefonnummer auch bei Einstellung auf 'privat' noch durch Verwendung des Kontaktimporttools verwendet werden kann, wenn nicht explizit hierfür die Berechtigung verweigert und, im Falle der Nutzung der FacebookMessenger App, hier ebenfalls explizit die Berechtigung verweigert wird,

dem Bestimmtheitsgebot des § 253 Abs. 2 Nr. 2 ZPO ?

3. Die Entscheidung dieser Rechtsfragen ist für eine Vielzahl anderer Verfahren von Bedeutung (§ 552b Satz 1 ZPO n.F.). Beim erkennenden Senat sind derzeit 25 weitere Revisionsverfahren zu dem Scraping-Vorfall bei der Beklagten anhängig. In den Tatsacheninstanzen sind bei unterschiedlichen Gerichten noch insgesamt mehrere tausend Verfahren anhängig (vgl. OLG Stuttgart, GRUR-RS 2023, 32883 Rn. 136: über 100 eigene und bundesweit mehr als 6.000 Parallelverfahren; OLG Hamm, GRUR-RS 2024, 16856 Rn. 23: Vielzahl eigener Parallelverfahren; OLG Köln, GRUR-RS 2023, 37347 Rn. 29: Vielzahl gleichgelagerter eigener Verfahren).


Den Volltext der Entscheidung finden Sie hier:

BAG: Schadensersatzanspruch aus Art. 82 DSGVO bei rechtswidriger heimlicher Überwachung eines Arbeitnehmers durch Detektei zur Bewertung des Gesundheitszustandes

BAG
Urteil vom 25.07.2024
8 AZR 225/23


Da BAG hat entschieden, dass ein Schadensersatzanspruch aus Art. 82 DSGVO bei rechtswidriger heimlicher Überwachung eines Arbeitnehmers durch eine vom Arbeitsgeber beauftragte Detektei zur Bewertung des Gesundheitszustandes des Arbeitnehmers besteht.

Leitsatz des BAG:
Lässt ein Arbeitgeber einen Arbeitnehmer wegen des Verdachts einer vorgetäuschten Arbeitsunfähigkeit durch eine Detektei überwachen und dokumentiert diese dabei den sichtbaren Gesundheitszustand des Arbeitnehmers, handelt es sich um die Verarbeitung von Gesundheitsdaten im Sinne der Datenschutz-Grundverordnung.

Den Volltext der Entscheidung finden Sie hier:

BGH bestimmt Rechtsstreit um möglichen Schadensersatz aus Art. 82 DSGVO in Facebook-Scraping-Fällen zum Leitentscheidungsverfahren nach § 552b ZPO

BGH
Beschluss vom 31.10.2024
VI ZR 10/24


BGH hat einen Rechtsstreit um möglichen Schadensersatz aus Art. 82 DSGVO in Facebook-Scraping-Fällen zum Leitentscheidungsverfahren nach § 552b ZPO bestimmt.

Die Pressemitteilung des BGH:
Bundesgerichtshof bestimmt Leitentscheidungsverfahren in dem sog. Scraping-Komplex (Ansprüche im Zusammenhang mit einem Datenschutzvorfall beim sozialen Netzwerk Facebook)

Der u.a. für Rechtsstreitigkeiten über Ansprüche aus der Datenschutz-Grundverordnung zuständige VI. Zivilsenat hat in dem sog. Scraping-Komplex (Pressemitteilung 115/24) das Revisionsverfahren VI ZR 10/24 zum Leitentscheidungsverfahren bestimmt. Nach der durch das Gesetz zur Einführung eines Leitentscheidungsverfahrens beim Bundesgerichtshof vom 24. Oktober 2024 (BGBl. I Nr. 328) neu geschaffenen Vorschrift des § 552b ZPO kann der Bundesgerichtshof ein bei ihm anhängiges Revisionsverfahren zum Leitentscheidungsverfahren bestimmen, wenn die Revision Rechtsfragen aufwirft, deren Entscheidung für eine Vielzahl von Verfahren von Bedeutung ist. Mit der Bestimmung zum Leitentscheidungsverfahren ist eine Entscheidung über die Rechtsfragen auch dann zu treffen, wenn eine inhaltliche Entscheidung über die Revision aus prozessualen Gründen nicht mehr ergehen kann. Damit soll eine zügige höchstrichterliche Klärung trotz der Rücknahme von Revisionen aus prozesstaktischen Gründen oder aufgrund eines Vergleichs ermöglicht werden.

Das zum Leitentscheidungsverfahren bestimmte Revisionsverfahren VI ZR 10/24 wirft die Rechtsfragen auf,

ob in der von der Beklagten bei Implementierung der sog. Kontakt-Import-Funktion vorgenommenen Standardvoreinstellung auf "alle" ein Verstoß der Beklagten gegen die Datenschutz-Grundverordnung im Sinne des Art. 82 Abs. 1 DSGVO liegt,

ob der bloße Verlust der Kontrolle über die gescrapten und nunmehr mit der Mobiltelefonnummer des jeweiligen Betroffenen verknüpften Daten geeignet ist, einen immateriellen Schaden im Sinne des Art. 82 Abs. 1 DSGVO zu begründen,

wie in einem solchen Fall der Schaden zu bemessen wäre,

welche Anforderungen an die Substantiierung einer Schadensersatzklage nach Art. 82 Abs. 1 DSGVO zu stellen sind,

ob die bloße Möglichkeit des Eintritts künftiger Schäden ausreicht, um ein Feststellungsinteresse im Sinne des § 256 Abs. 1 ZPO zu begründen,

ob die vom Kläger gestellten Unterlassungsanträge dem Bestimmtheitsgebot des § 253 Abs. 2 Nr. 2 ZPO genügen.

Diese Rechtsfragen sind für eine Vielzahl beim Bundesgerichtshof und in den Tatsacheninstanzen anhängiger, in wesentlichen Teilen gleichgearteter Verfahren von Bedeutung. Diese Verfahren können nunmehr grundsätzlich bis zur Erledigung des Leitentscheidungsverfahrens ausgesetzt werden.

In zwei zunächst zur Verhandlung am 8. Oktober 2024 vorgesehenen Verfahren sind die Revisionen von den Klägern kurzfristig vor dem Termin zurückgenommen worden (Pressemitteilung 190/24). Für den 11. November 2024 ist Termin zur mündlichen Verhandlung in dem nunmehr zum Leitentscheidungsverfahren bestimmten Revisionsverfahren VI ZR 10/24 anberaumt (Pressemitteilung 195/24). In dem weiteren für den 11. November 2024 terminierten Verfahren VI ZR 186/24 ist die Revision zwischenzeitlich ebenfalls zurückgenommen worden.

Vorinstanzen:

LG Bonn - Urteil vom 29. März 2023 - 13 O 125/22

OLG Köln - Urteil vom 7. Dezember 2023 - 15 U 67/23

Die maßgeblichen Vorschriften lauten:

§ 552b ZPO n.F.: Bestimmung zum Leitentscheidungsverfahren

Wirft die Revision Rechtsfragen auf, deren Entscheidung für eine Vielzahl anderer Verfahren von Bedeutung ist, so kann das Revisionsgericht nach Eingang einer Revisionserwiderung oder nach Ablauf eines Monats nach Zustellung der Revisionsbegründung das Revisionsverfahren durch Beschluss zum Leitentscheidungsverfahren bestimmen. Der Beschluss enthält eine Darstellung des Sachverhalts und der Rechtsfragen, deren Entscheidung für eine Vielzahl anderer Verfahren von Bedeutung ist.

§ 565 ZPO n.F.: Leitentscheidung

(1) Endet die zum Leitentscheidungsverfahren bestimmte Revision, ohne dass ein mit inhaltlicher Begründung versehenes Urteil ergeht, so trifft das Revisionsgericht durch Beschluss eine Leitentscheidung. Der Beschluss ergeht ohne mündliche Verhandlung.

(2) In dem Beschluss wird

1. festgestellt, dass die Revision beendet ist, und

2. eine Leitentscheidung zu den im Beschluss nach § 552b benannten Rechtsfragen getroffen.

(3) Der Beschluss ist zu begründen. Die Begründung ist auf die Erwägungen zur Entscheidung der maßgeblichen Rechtsfragen zu beschränken.

§ 148 ZPO n.F.: Aussetzung bei Vorgreiflichkeit

(…)

(4) Das Gericht kann ferner, wenn die Entscheidung des Rechtsstreits von Rechtsfragen abhängt, die den Gegenstand eines bei dem Revisionsgericht anhängigen Leitentscheidungsverfahrens bilden, nach Anhörung der Parteien anordnen, dass die Verhandlung bis zur Erledigung des Leitentscheidungsverfahrens auszusetzen ist. Eine Aussetzung hat zu unterbleiben, wenn eine Partei der Aussetzung widerspricht und gewichtige Gründe hierfür glaubhaft macht. (…)


OLG Dresden: Unzureichende Kontrolle des Auftragsverarbeiters kann Schadensersatz aus Art. 82 DSGVO des Betroffenen gegen den Verantwortlichen begründen

OLG Dresden
Urteil vom 15.10.2024
4 U 940/24


Das OLG Dresden hat entschieden, dass die unzureichende Kontrolle des Auftragsverarbeiters einen Schadensersatzanspruch aus Art. 82 DSGVO des Betroffenen gegen den Verantwortlichen begründen kann.

Aus den Entscheidungsgründen:
1. Die internationale Zuständigkeit deutscher Gerichte ist gemäß Art. 18 Abs. 1 EuGVVO sowie gemäß Art. 79 Abs. 2, Satz 2 DSGVO gegeben, denn die Klagepartei hat ihren gewöhnlichen Aufenthalt in Deutschland. Der sachliche, räumliche und zeitliche Anwendungsbereich der am 25.05.2018 in Kraft getretenen Datenschutzgrundverordnung ist eröffnet.

2. Die Beklagte ist der Klagepartei dem Grunde nach gemäß Art. 82 DSGVO zum Schadensersatz verpflichtet. Der Verantwortliche und Auftragsverarbeiter haftet im Grundsatz nach Art. 82 DSGVO für das Handeln seiner Auftragsverarbeiter und deren Mitarbeiter jedenfalls dann, wenn dem Mitarbeiter erst durch die ihm vom Verantwortlichen oder Auftragsverarbeiter übertragene Tätigkeit die Gelegenheit gegeben wurde, auf die Rechtsgüter der betroffenen Person einzuwirken. Der Verantwortliche haftet auch, wenn der Auftragsverarbeiter die Weisungen des Verantwortlichen ausführt und dadurch ein Schaden entsteht. Missachtet der Auftragsverarbeiter eine rechtmäßige Weisung des Verantwortlichen, haftet der Verantwortliche auch hierfür (Hans-Jürgen Schaffland; Gabriele Holthaus in: Schaffland/Wiltfang, Datenschutz-Grundverordnung (DS-GVO)/Bundesdatenschutzgesetz (BDSG), 8. Ergänzungslieferung 2024, Art. 82 EUV 2016/679, Rz. 30a). Zwar besteht in diesem Fall auch eine Haftung des Auftragsdatenverarbeiters. Der Verantwortliche kann den Betroffenen aber nicht auf dessen vorrangige Inanspruchnahme verweisen, weil dies einem „wirksamen Schadensersatz“ im Sinne des Art. 82 Abs. 4 DSGVO (vgl. auch Erwägungsgrund 146 S. 6) entgegenstünde. Ein Abschieben der Haftung auf den Auftragsverarbeiter widerspricht auch dem Grundgedanken der Auftragsverarbeitung, wonach der Verantwortliche zwar ohne Weiteres Dritte einschalten darf, aber gegenüber der betroffenen Person verantwortlich bleibt. Der Auftragsverarbeiter ist letztlich – mit einigen formalen und inhaltlichen Anforderungen, die aus der fehlenden arbeitsrechtlichen Weisungsbefugnis und tatsächlichen Kontrollmöglichkeit herrühren – wie ein sonstiger Mitarbeiter zu behandeln (vgl. Bergt, in: Kühling/Buchner, DSGVO, 4. Auflage, 2024, Art. 82 Rn. 55 mwN).

a) Die Beklagte hat gegen die ihr obliegende Pflicht zur sorgfältigen Überwachung des von ihr beauftragten externen Auftragsdatenverarbeiters verstoßen, Art. 28, 32 DSGVO.

Art 28 Abs. 1 DSGVO regelt unmittelbar nur die Anforderungen an die Auswahl des Auftragsverarbeiters durch den Verantwortlichen. Dieser darf nur solche Auftragnehmer als Auftragsverarbeiter beauftragen, „die hinreichende Garantie dafür bieten, dass geeignete technische und organisatorische Maßnahmen“ im Einklang mit der DSGVO durchgeführt werden. Dies führt aber nicht nur zu einer Pflicht zur sorgfältigen Auswahl, sondern auch zu einer Pflicht zur sorgfältigen Überwachung des Auftragsverarbeiters durch den Verantwortlichen. Diese Pflicht zur Überwachung des Auftragsverarbeiters - im Anschluss an dessen Auswahl - ist in Art. 28 Abs. 1 DSGVO zwar nicht ausdrücklich geregelt, ergibt sich jedoch aus der Formulierung der Norm („arbeitet [...] nur mit“). Absatz 3 lit h) setzt eine solche Kontrollpflicht voraus, was auch die ordnungsgemäße Datenlöschung betrifft. Zugleich enthält er eine Verpflichtung der Vertragsparteien, die Details zu den Prüfrechten auszugestalten und hierdurch eine effektive Kontrolle durch den Verantwortlichen sicherzustellen (Schaffland/Wiltfang, Datenschutz-Grundverordnung (DSGVO)/Bundesdatenschutzgesetz (BDSG), 8. Ergänzungslieferung 2024, Art. 28 EUV 2016/679, Rn. 61). De facto ist die Pflicht zur Überwachung daher auch ohne konkrete zeitliche Vorgaben als Dauerpflicht zu verstehen (vgl. Plath in: Plath, DSGVO/BDSG/TTDSG, 4. Auflage 2023, Rz. 17 mwN). Durch diese vertragliche Ausgestaltung werden aber nicht nur die Pflichten des Auftragsdatenverarbeiters, sondern auch die korrespondierenden Prüfpflichten des Unternehmers konkretisiert. Ob dies auch dann gilt, wenn dem Auftragsdatenverarbeiter Pflichten auferlegt werden, die über das nach der DSGVO gebotenen Schutzniveau hinausgehen, bedarf hier entgegen der Auffassung der Beklagten im Schriftsatz vom 9.9.2024 keiner Entscheidung, weil die durch Ziff. 9 des Nachtrags geregelten Pflichten nicht über diese Mindestanforderungen hinausgehen. Wie die Beklagte im Schriftsatz vom 9.9.2024 insofern zu Recht geltend macht, ist der Auftragsverarbeiter nämlich nach Vertragsende – als Ausfluss der allgemeinen Grundsätze der „Rechtmäßigkeit“, (Art. 5 Abs. 1 lit. (a) DSGVO), der „Datenminimierung“ (Art. 5 Abs. 1 lit. (c) DSGVO) sowie der Speicherbegrenzung (Art. 5 Abs. 1 (e) DSGVO) – verpflichtet, alle noch vorhandenen personenbezogenen Daten entweder zu löschen oder zurückzugeben (vgl. Paal/Pauly/Martini, 3. Aufl. 2021, DS-GVO Art. 28 Rn. 22, 23, beck-online mit Verweisen auf Spoerr in BeckOK DatenschutzR DS-GVO Art. 28 Rn. 78). Dies entspricht Art. 9 des Nachtrags.

Die Anforderungen an Auswahl und Überwachung dürfen dabei in der Praxis zwar nicht überspannt werden. Wählt ein Unternehmen z.B. einen führenden und am Markt als zuverlässig bekannten IT-Dienstleister aus, so darf es grundsätzlich auf dessen Fachwissen und Zuverlässigkeit vertrauen, ohne dass etwa eine - vollkommen praxisfremde - Vor-OrtKontrolle erforderlich wäre (Schaffland/Wiltfang aaO.). Gesteigerte Anforderungen ergeben sich indes, soweit z.B. große Datenmengen oder besonders sensible Daten gehostet werden sollen (Plath, a.a.O., Rz. 18). Diese gesteigerten Kontrollpflichten gelten auch außerhalb der Verarbeitung personenbezogener Daten nach Art. 9, 10 DSGVO. Ungeachtet der Frage, ob die von dem zwischen der Beklagten und dem Autragsdatenverarbeiter geschlossenen Vertrag erfassten Daten auch Daten über das Nutzerverhalten und hieraus zu erstellende Profile beinhalteten, betraf die Verarbeitung vorliegend jedenfalls nicht unbedeutende Datenmengen, deren Verlust potentiell vielen Millionen Nutzern Schaden zufügen konnte. Infolgedessen war die Beklagte auch nach Vertragsbeendigung zu einer Überwachung ihres Auftragsdatenverarbeiters dahingehend angehalten, dass dieser die ihm zur Verfügung gestellten Daten tatsächlich löscht und hierüber eine aussagekräftige Bescheinigung ausstellt. Diese durch die DSGVO gesetzlich aufgestellten Anforderungen werden in Ziff. 9 der am 18.7.2019 geschlossenen Zusatzvereinbarung (Anlage B 2a) Datenschutznachtrag ("Nachtrag") als Teil des Dienstleistungsvertrags vom 01. Dezember 2016 wie folgt präzisiert:

„9. BEENDIGUNG DER VERARBEITUNG
9.1 Vorbehaltlich des Abschnitts 9.2, ist der Anbieter verpflichtet, nach Wahl des Unternehmens entweder (a) eine vollständige Kopie aller Personenbezogenen Daten des Unternehmens durch sichere Dateiübertragung in einem Format, das das Unternehmen dem Anbieter in angemessener Weise mitteilt, an das Unternehmen zurückzusenden und anschließend alle anderen Kopien der Personenbezogenen Daten des Unternehmens, die vom Anbieter oder den Unterauftragsverarbeitern verarbeitet wurden, innerhalb von einundzwanzig (21) Kalendertagen nach dem Datum der Beendigung der Dienstleistungen, die die Verarbeitung Personenbezogener Daten des Unternehmens beinhalten (das "Beendigungsdatum"), zu löschen und für die Löschung zu sorgen oder (b) die Daten innerhalb von einundzwanzig (21) Kalendertagen nach dem Beendigungsdatum zu löschen und für die Löschung aller anderen Kopien der Personenbezogenen Daten des Unternehmens, die vom Anbieter oder den Unterauftragsverarbeitern verarbeitet wurden, zu sorgen.

9.2 Der Anbieter und jeder Unterauftragsverarbeiter dürfen Personenbezogene Daten des Unternehmens nur in dem Umfang und für den Zeitraum aufbewahren, wie es die anwendbaren EU-Gesetze vorschreiben, und immer nur unter der Voraussetzung, dass der Anbieter die Vertraulichkeit aller Personenbezogenen Daten des Unternehmens sicherstellt und gewährleistet, dass diese Personenbezogenen Daten des Unternehmens nur für Zwecke verarbeitet werden, die mit denen vereinbar sind, für die sie gemäß Artikel 5.1 (b) der DSGVO erhoben wurden, und wie es die anwendbaren EU-Gesetze vorschreiben, die ihre Speicherung vorschreiben.

9.3 Der Anbieter muss dem Unternehmen schriftlich bestätigen, dass er und jeder Unterauftragsverarbeiter diesen Abschnitt 9 innerhalb von einundzwanzig (21) Kalendertagen nach dem Beendigungsdatum vollständig eingehalten haben.

In Ergänzung hierzu regelt Ziff. 10.1 des Nachtrags das Recht der Beklagten, von dem Auftragsdatenverarbeiter „alle erforderlichen Informationen“ verlangen zu dürfen, „soweit dies vernünftigerweise erforderlich ist“. Folgerichtig war die Beklagte zum einen verpflichtet, von ihrem Wahlrecht nach Ziff. 9.1. Gebrauch zu machen, d.h. entweder die Rückübertragung oder die Löschung der von dem Auftragsdatenverarbeiter gehosteten Daten innerhalb der dort genannten Fristen zu verlangen. Zum anderen war sie gehalten, die Erfüllung der den Auftragsdatenverarbeiter hiernach treffenden Verpflichtungen zu kontrollieren, also die nach dem Vertrag erforderlichen Bestätigungen einzuholen, bei deren Ausbleiben innerhalb der 21-Tage Frist die Vorlage unverzüglich anzumahnen und ggf. auch eine Vorort-Prüfung nach Art. 10 des Nachtrags vorzunehmen. Nichts davon ist hier geschehen. Dem Vortrag der Beklagten lässt sich bereits nicht entnehmen, dass diese gegenüber dem Auftragsdatenverarbeiter ihr Wahlrecht gem. Ziff. 9.1. des Nachtrags überhaupt ausgeübt hätte, ein entsprechendes Schreiben ist nicht vorgelegt worden.

Insbesondere hat sie aber dadurch gegen ihre Kontrollpflichten aus Art. 28 DSGVO verstoßen, dass sie nicht nach Ablauf der vertraglich geregelten 21-tägigen Frist von ihrer Auftragsverarbeiterin die ausdrückliche schriftliche Bestätigung einer tatsächlich durchgeführten Löschung aller bei dieser vorhandenen Datensätze angefordert hat, die eine detaillierte Auflistung der gelöschten Daten enthielt. Die von dem Auftragsdatenverarbeiter unter dem Datum 9.12.2020 versandte Mail genügte dessen vertraglichen Verpflichtungen nicht, schon weil sie nicht dem Schriftformerfordernis in Ziff. 9.3. (“written certification“ in der englischen Originalfassung Anlage B 2b) entsprach (in diesem Sinne auch LG Lübeck, Beschluss vom 8. Mai 2024 – 15 O 224/23 –, Rn. 16, juris). Auch wenn, wozu die Parteien nichts vorgetragen haben, der Nachtrag dem französischen Zivilrecht unterfallen sollte, wäre die elektronische Form der Schriftform nur gleichgestellt, wenn die Identität der Person, die es erstellt hat, eindeutig nachgewiesen und die Integrität der E-Mail gewährleistet wäre (Art. 1366 cc:..“sous réserve que puisse être dûment identifiée la personne dont il émane et qu'il soit établi et conservé dans des conditions de nature à en garantir l'intégrité“). Da aus der als Anlage B4 vorgelegten anonymisierten Kopie deren Absender nicht erkenntlich ist, liegen auch diese Voraussetzungen nicht vor. Art. 28 Abs. 9 DSGVO der nur für den „Vertrag oder das andere Rechtsinstrument im Sinne der Absätze 3 und 4“ gilt, ist auf die Löschungsbestätigung, für die die Parteien ausdrücklich die Schriftform gewählt haben, nicht anwendbar. Schwerer wiegt indes, dass die E-Mail des Auftragsdatenverarbeiters vom 9.12.2020 lediglich die Ankündigung einer bevorstehenden, nicht aber die Bestätigung einer erfolgten Löschung enthielt. Die bloße Ankündigung einer Maßnahme ist jedoch nicht gleichwertig zu einer Bestätigung über deren Ausführung. Es ist allgemein bekannt, dass gleich ob in kleinen oder großen Unternehmen anstehende Vorgänge aufgeschoben und in der Folge auch vergessen werden können. Indem die Bestätigung der tatsächlichen Durchführung einer vertraglich festgelegten Aufgabe eingefordert wird, minimiert der Verantwortliche das Risiko, dass es beim Auftragsverarbeiter bei der bloßen Ankündigung eines Tätigwerdens bleibt und sorgt zugleich dafür, dass der Auftragsverarbeiter in seiner eigenen Sphäre überprüft, ob die vertraglich übernommene Verpflichtung tatsächlich gewissenhaft erfüllt wurde - auch um das eigene Haftungsrisiko zu minimieren.

Die als Anlage B4 vorgelegte Löschungsankündigung des Auftragsdatenverarbeiters erfüllte aber auch unabhängig hiervon nicht die zum Zwecke und zur Sicherstellung der gesetzlichen Pflichten vertraglich festgelegten Anforderungen, weil sie sich lediglich auf „your site and all the data on the site“, d.h. die unmittelbar von der Beklagten zur Verfügung gestellte Website einschließlich der dort befindlichen Daten, nicht jedoch auf die „Löschung aller anderen Kopien der personenbezogenen Daten des Unternehmens, die vom Anbieter ... verarbeitet wurden“.

erstreckte, wie es Ziff. 9.1. vorsieht. Angesichts dessen hätte sich die Beklagte mit dieser weder formal noch inhaltlich hinreichenden Ankündigung nicht zufrieden geben dürfen, sondern auf eine vollständige und rechtzeitige Löschungsbestätigung hinwirken müssen. Wäre diese auf Anforderung nicht unverzüglich vorgelegt worden, hätte sie ggf. eine nach Ziff. 10.1. des Nachtrags vorgesehene Vor-Ort Kontrolle durchführen müssen. Dies ist indes unstreitig nicht geschehen. Eine Nachfrage beim Auftragsdatenverarbeiter ist nach dem eigenen Vorbringen der Beklagten nicht vor dem Jahr 2023 erfolgt. Die als Anlage B5 vorgelegte, als „Declaration of Data Destruction“ bezeichnete E-Mail vom 22.3.2023 liegt aber weit außerhalb eines für diese nach Art. 28 DSGVO erforderliche Kontrolle vertretbaren Prüfzeitraums. Ob sie eine hinreichende Bescheinigung im Sinne von Ziff. 9 Abs. 1 des Nachtrags enthält, kann schon aus diesem Grund dahinstehen. Schließlich kann auch die Kausalität dieser Kontrollpflichtenverletzung für den streitgegenständlichen Hacking-Vorfall nicht verneint werden. Ausgehend vom Regelfall des redlichen Auftragsdatenverarbeiters muss vielmehr angenommen werden, dass die Mitarbeiter der Firma O...... spätestens auf eine Nachfrage der Beklagten reagiert und die bei ihnen noch vorhandenen Daten gelöscht hätten; jedenfalls die Ankündigung einer Vorort-Kontrolle hätte dazu geführt, dass entsprechende Aktivitäten in die Wege geleitet worden wären. Zu einem Abgreifen der Daten, das nach dem Vorbringen der Beklagten erst im Jahr 2022 erfolgt ist, wäre es dann nicht gekommen. Dass der Dienstleister unter dem Eindruck des erfolgten und ihm bekannten Datenlecks und angesichts der zu erwartenden Haftungsansprüche am 22.3.2023 nachträglich eine unrichtige Löschungsbescheinigung erteilt hat, lässt keinen Rückschluss darauf zu, dass er dies auch im Jahr 2020 getan hätte. Anders wäre dies lediglich dann, wenn der Auftragsdatenverarbeiter selbst unredlich gehandelt und die Daten deshalb nicht gelöscht hätte, um sie selbst später weiter zu veräußern oder für eigenen Zwecke zu verarbeiten. Anhaltspunkte für einen solchen Verdacht sind von der hierfür beweisbelasteten Beklagten indes nicht aufgezeigt worden. Nur in einem solchen Fall käme auch ein Auftragverarbeiterexzess gem. Art. 82 Abs. 3 DSGVO in Betracht, der die Verantwortlichkeit der Beklagten entfallen ließe (vgl. zu deren Voraussetzungen i.E. unter 2. d)). Das bloß versehentliche Nichtlöschen der Daten, das noch dazu durch eine unzureichende Kontrolle seitens der Beklagten maßgeblich erleichtert wurde, hält sich jedoch noch im Rahmen des Erwartbaren und erfüllt damit die Voraussetzungen des Art. 82 Abs. 3 DSGVO nicht.

b) Angesichts des Verstoßes der Beklagten gegen ihre Kontroll- und Überwachungspflichten kommt es nicht darauf an, ob sie ihrer Pflicht zur Einhaltung aller erforderlichen technischen und organisatorischen sowie personellen Sicherheitsstandards im eigenen Hause nachgekommen ist. Gleiches gilt im Ergebnis für die Einhaltung der technischen Sicherheitsstandards im Hause des Auftragsdatenverarbeiters „O......“. Den hierauf abzielenden Behauptungen der Klägerseite war auch deshalb nicht nachzugehen, weil sie ersichtlich „ins Blaue hinein“ erfolgen. Dies gilt insbesondere für die Behauptung, der Hacking-Vorfall habe sich bereits 2019 ereignet. Hierfür ist nach den von der Beklagten vorgelegten Ermittlungsergebnissen, insbesondere den zeitnah erfolgten Meldungen an die CNIL nichts ersichtlich. Angesichts des detaillierten Vortrags der Beklagtenseite zum Zustandekommen ihrer irrtümlichen Erstmeldung, des Verweises auf die Ermittlungsergebnisse und wegen der Tatsache der Erstveröffentlichung der Daten im Jahre 2022, die eine Erbeutung der Daten bereits im Jahre 2019 als äußerst unwahrscheinlich erscheinen lassen, hätte es der Klagepartei nach den Grundsätzen der gestuften Darlegungslast oblegen, diesen Beklagtenvortrag substantiiert zu bestreiten.

Gleiches gilt im Ergebnis für die Behauptung eines Datenschutzverstoßes im direkten Verantwortungsbereich der Beklagten oder bei der Übermittlung der Daten an den Auftragsdatenverarbeiter. Steht - wie hier - ein objektiver Verstoß gegen Datenschutzvorschriften fest bzw ist unstreitig, so obliegt die Beweislast für die Einhaltung der Grundsätze des Art. 32 DSGVO allerdings dem Verantwortlichen (EuGH, Urteil vom Urteil vom 14.12.2023 - C-340/21, Rz. 57). Vorliegend steht ein solcher Verstoß jedoch lediglich im Bereich der Kontrollpflichten fest; Verstöße im eigenen Bereich der Beklagten sind jedoch nicht ersichtlich und angesichts des Umstandes, dass die Daten unstreitig bei dem Auftragsdatenverarbeiter abhanden gekommen sind, auch nicht plausibel. Angesichts des Umstandes, dass die Beklagte umfangreich zu den von ihr ergriffenen Sicherheits- und Überprüfungsmaßnahmen vorgetragen und detailliert und dabei sowohl ihre IT-Infrastruktur, den von ihr benutzten Sicherheitssystemen beim IP-Transit, bei der Kommunikation als solcher, ihre Firewalls, ihre physische Zutrittskontrollen, insbesondere zu den Datenzentren dargelegt hat und auch zur Ausgestaltung ihrer Zugriffsrechte, insbesondere zu den Authentifizierungssystemen, zur Rückverfolgbarkeit, zur Isolierung der Anmeldedaten, zu Warnsystemen, und zur Bot-Analyse vorgetragen (S. 8 - 12 der Klageerwiderung) umfangreichen Sachvortrag gehalten hat, hätte es der Klagepartei nach den Grundsätzen der gestuften Darlegungslast oblegen, ihre Behauptungen zu einem vermeintlichen Datenschutzverstoß zu präzisieren.

c) Offenbleiben kann ebenfalls, ob die Beklagte ihre Benachrichtigungspflicht aus Art. 34 DSGVO gegenüber der Klagepartei, aus Art. 33 DSGVO gegenüber der Aufsichtsbehörde oder die Auskunftspflicht nach Art. 15 DSGVO verletzt hat, denn ein kausaler Schaden der Klagepartei, der auf der Verletzung von Benachrichtigungspflichten beruhen könnte, ist nicht ersichtlich (vgl. hierzu auch OLG Hamm, Urteil vom 15.08.2023 - 7 U 19/23, Rn 147 - juris). Die Klagepartei hat nicht dargelegt, welcher Schaden ihr daraus entstanden sein soll. Der Kontrollverlust und die Veröffentlichung der Daten und die nach der Behauptung der Klagepartei darauf beruhenden ungebetenen spam e-mails können nur auf dem HackingVorfall und nicht auf der Verletzung von Benachrichtigungs- und Auskunftspflichten zurückzuführen sein.

Unabhängig davon kann ein Schadensersatzanspruch nach Art. 82 DSGVO ohnehin nicht auf die Verletzung der vorgenannten Pflichten gestützt werden, da keine „Verarbeitung personenbezogener Daten“ vorliegt. Nach der Rechtsprechung des EuGH setzt der Anspruch die Verarbeitung personenbezogener Daten unter Verstoß gegen die Bestimmung der DSGVO voraus (vgl. EuGH, Urteil vom 04.05.2023 - C - 300/21, Rn 36 - juris; vgl. Moos/Schlefzig in Taeger/Gabel (Hrsg.) DSGVO, 2022, Art. 82 Rn 22). Dies belegt auch die Formulierung in Erwägungsgrund Nr. 146, wonach Schäden ersetzt werden, die „aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht“.

d) Die Beklagte kann sich nicht nach Art. 82 Absatz 3 DSGVO entlasten.

Der Verantwortliche oder der Auftragsverarbeiter wird nach dem Wortlaut dieser Vorschrift von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. „Nicht verantwortlich“ bedeutet, dass den Verantwortlichen bzw. den Auftragsverarbeiter keinerlei Verschulden an dem Ereignis trifft, das den Schaden auslöste (Bergt in Kühling/Buchner, DS-GVO/BDSG, 3. Aufl., Art. 82 Rdn. 49; im Ergebnis auch Spindler, DB 2016, 937 ff. (947) Schaffland/Wiltfang, a.a.O, Rz. 28). „In keinerlei Hinsicht“ bedeutet, dass der Verantwortliche bzw. der Auftragsverarbeiter nachweist, er habe alle Sorgfaltspflichten erfüllt und damit ihm nicht die geringste Fahrlässigkeit vorgeworfen werden kann (Becker in Plath, DSGVO/BDSG/TTDSG, 4. Aufl., Art. 82 DS-GVO Rdn. 5). Hält er alle erforderlichen technischen und organisatorischen Datensicherungsmaßnahmen ein und kommt es dennoch zu einem unbefugten Datenzugriff, kann ihm dies nicht angelastet werden (Becker in Plath, DSGVO/BDSG/TTDSG, 4. Aufl., Art. 82 DS-GVO Rdn. 5; Frenzel in Paal/Pauly, DSGVO/BDSG, 3. Aufl., Art. 82 Rdn. 15; Bergt in Kühling/Buchner, DS-GVO/BDSG, 3. Aufl., Art. 82 Rdn. 54; Schaffland/Wiltfang, a.a.O, Rz. 29). Die Haftung des Verantwortlichen für das Verhalten eines Auftragsverarbeiters erstreckt sich grundsätzlich nicht auf die Fälle, in denen der Auftragsverarbeiter personenbezogene Daten für eigene Zwecke verarbeitet hat oder diese Daten auf eine Weise verarbeitet hat, die nicht mit dem Rahmen oder den Modalitäten der Verarbeitung, wie sie vom Verantwortlichen festgelegt wurden, vereinbar ist oder auf eine Weise, bei der vernünftigerweise nicht davon ausgegangen werden kann, dass der Verantwortliche ihr zugestimmt hätte (EuGH, Urteil vom 5. Dezember 2023 – C-683/21 –, juris Rz. 85).

Vorliegend hat der Auftragsdatenverarbeiter zwar sowohl gegen allgemeine Regeln der DSGVO als auch gegen seine vertraglichen Pflichten verstoßen. Ungeachtet vertraglicher Verpflichtungen ist der Auftragsverarbeiter bereits nach der DSGVO im Rahmen der Auftragsverarbeitung grundsätzlich nicht berechtigt, die im Auftrag verarbeiteten Daten für eigene Zwecke bzw. für die Zwecke Dritter zu verarbeiten. Darüber hinaus hat der Auftragsverarbeiter die Rückgabe- und Löschpflichten nach Beendigung des Auftrags zu beachten (vgl. Plath in: Plath, DSGVO/BDSG/TTDSG, 4. Auflage 2023, Rz. 17 mwN). Vorliegend ist unstreitig, dass Datensätze der Beklagten bei der Firma O...... zum einen unzulässigerweise von der Produktiv- in eine Testumgebung überführt wurden, deren Sphäre verlassen haben und anschließend im Darknet zum Verkauf angeboten wurden, nachdem Mitarbeiter dieser Firma entgegen ihrer Zusicherung aus dem Jahre 2023 nicht alle Datensätze der Beklagten wie vertraglich vereinbart unverzüglich nach Vertragsende gelöscht hatten, sondern zumindest einer der Datensätze schließlich entweder von Hackern erbeutet, oder von Mitarbeitern unbefugt weitergegeben wurden.

Wie oben ausgeführt, käme die Beklagte allerdings nur dann in den Genuss der Haftungsprivilegierung nach Art. 82 Abs. 3 DSGVO, wenn ihr selbst keinerlei Fahrlässigkeit vorzuwerfen wäre. Dies ist vorliegend angesichts des eigenen Pflichtenverstoßes der Beklagten nicht der Fall. Dem kann auch nicht das fehlende Zugriffsrecht der Beklagten nach Ablauf des Auftragsverarbeitungsverhältnisses entgegen gehalten werden; wie aufgezeigt standen hier nämlich der Beklagten die in Ziff. 9, 10 des Nachtrags geregelten nachwirkenden Kontrollmöglichkeiten offen.




LG Lübeck: Fehlende Vereinbarung über Auftragsverarbeitung nach Art. 28 DSGVO zwischen Auftragsverarbeiter und Unterauftragsverarbeiter kann Schadensersatzanspruch nach Art. 82 DSGVO zur Folge haben

LG Lübeck
Urteil vom 04.10.2024
15 O 216/23

Das LG Lübeck hat entschieded, dass das Fehlen einer Auftragsverarbeitungsvereinbarung nach Art. 28 DSGVO zwischen Auftragsverarbeiter und Unterauftragsverarbeiter einen Schadensersatzanspruch nach Art. 82 DSGVO zur Folge haben kann.

Aus den Entscheidungsgründen:
bbb. Das Gericht ist jedoch überzeugt, dass bereits die Übertragung der streitgegenständlichen Daten von der Beklagten an die O. (vgl. oben) unter Verstoß gegen Bestimmungen der DSGVO erfolgte.

Dabei ergeben sich die Anforderungen an die Übertragung von Daten auf Auftragsverarbeiter aus Art. 28 DSGVO. Hiernach setzt die Verarbeitung von Daten durch Auftragsverarbeiter (und entsprechend die Übergabe der Daten an den Auftragsverarbeiter) voraus, dass zwischen der Beklagten und dem Auftragsverarbeiter ein Vertrag oder ein anderes Rechtsinstrument gem. Art. 28 Abs. 3 DSGVO vorliegt, der die dort im Einzelnen aufgezählten Maßnahmen und Gewährleistungen vorsieht. Entsprechendes gilt für eventuelle Unterauftragsverarbeiter: diesen muss ebenfalls verbindlich durch Vertrag oder ein anderes Rechtsinstrument dieselben Datenschutzpflichten auferlegt worden sein wie dem Auftragsverarbeiter selbst, § 28 Abs. 4 DSGVO. Fehlt es an diesen Voraussetzungen, so stellt sich (entgegen der hierzu geäußerten Rechtsansicht der Beklagten im Termin zur mündlichen Verhandlung) auch die Übermittlung der Daten von dem Verantwortlichen an den Auftragsverarbeiter oder Unterauftragsverarbeiter als rechtswidrig dar (vgl. hierzu etwa BeckOK DatenschutzR/Spoerr, 49. Ed. 1.8.2024, DS-GVO Art. 28 Rn. 29-32.1 m.w.N. zur dogmatischen Herleitung; Kühling/Buchner/Hartung, 4. Aufl. 2024, DS-GVO Art. 28 Rn. 61-63: „Umgekehrt ist eine fehlende oder unvollständige Vereinbarung ein eigener Normverstoß (…)“).

Diese vorgenannten Voraussetzungen für die rechtskonforme Übermittlung geschützter Daten an Auftragsdatenverarbeiter wurden hier nicht beachtet. Dabei kann dahinstehen, ob die O. als Auftragsdatenverarbeiter oder - wie dies der Vortrag der Beklagten nahelegt - als Unterauftragsdatenverarbeiter der M. tätig wurde. Denn nach dem insoweit unstreitigen Sachverhalt liegt weder ein den Anforderungen des Art. 28 Abs. 3 DSGVO genügender Auftragsverarbeitungsvertrag zwischen der Beklagten und der O. vor - an welche aber dennoch die Daten herausgegeben wurden -, noch ein Unterauftragsverarbeitungsvertrag zwischen der O. und der M.. Auch auf entsprechenden Hinweis vom 8. Mai 2024 erfolgte hierzu kein weiterer Sachvortrag. Eine wirksame Übertragung von Datenschutzverpflichtungen auf die O. lag damit entgegen der Vorgaben der DSGVO zu keinem Zeitpunkt vor.

Dem kann die Beklagte auch nicht entgegenhalten, dass es „marktüblich und nicht zu beanstanden“ sei, „dass Verträge innerhalb eines Konzerns von der Muttergesellschaft (auch mit Wirkung für verbundene Unternehmen) abgeschlossen werden“. Dies überzeugt die Kammer nicht. Nach deutschem und europäischen Gesellschaftsrecht handelt es sich auch bei konzernverbundenen Gesellschaften grundsätzlich um rechtlich selbständige Rechtspersönlichkeiten. Eine automatische Verpflichtung der Konzerntochter durch einen Vertrag der Konzernmutter findet nicht statt, so dass auch vertragliche Datenschutzpflichten der Konzernmutter nicht ohne weiteres zugleich sämtliche Töchter verpflichten. Entsprechend nimmt es nicht Wunder, dass auch in der einschlägigen datenschutzrechtlichen Literatur betont wird, dass es sich bei konzernverbundenen Gesellschaften um getrennte Organisationen handelt und auch datenschutzrechtlich eine Privilegierung von Konzernen nicht stattfindet (vgl. Nickel: Alternativen der konzerninternen Auftragsverarbeitung, ZD 2021, 140).

ccc. Des Weiteren muss sich die Beklagte auch die bei O. selbst unstreitig geschehenen Verstöße gegen die DSGVO zurechnen lassen.

(1) Die Verarbeitung der Daten bei der O. erfolgte unter Außerachtlassung des nach der DSGVO erforderlichen Schutzniveaus, welches - im Wege der Vertragsgestaltung nach Art. 28 Abs. 3 und 4 - sicherzustellen die Beklagte verpflichtet war. Da die Beklagte es unterlassen hat, die entsprechenden Verträge zu schließen bzw. deren Abschluss durch die M. zu gewährleisten, sieht die Kammer insoweit die Beklagte zumindest in der sekundären Darlegungslast, dass dennoch und entgegen des entsprechenden Anscheins bei der O. durchgängig ein den Vorgaben der DSGVO hinreichendes Schutzniveau aufrechterhalten wurde. Dieser sekundären Darlegungslast ist die Beklagte schon deshalb nicht nachgekommen, da sie selbst vorträgt, dass Mitarbeiter der O. die streitgegenständlichen Daten weisungswidrig aus der hierfür vorgesehenen Produktivumgebung („production environment") entnommen und in eine vom Dienstleister außerhalb der Vertragsbeziehung mit der Beklagten betriebene Nicht-Produktivumgebung („non-production environment“) überführt hätten. Vortrag der Beklagten, dass in dieser vertragswidrigen Produktivumgebung dennoch alle maßgeblichen und erforderlichen Schutzvorkehrungen gewahrt wurden, findet sich nicht. Vielmehr geht auch die Beklagte davon aus, dass gerade diese Verschiebung der Daten in einen nicht hinreichend gesicherten Bereich ursächlich für den Datenschutzvorfall war.

(2) Diese Verstöße muss sich die Beklagte - entgegen der vorläufigen Einschätzung der Kammer in der Verhandlung am 22. Februar 2024 (vgl. hierzu auch den nachfolgenden Hinweis vom 8. Mai 2024) - zurechnen lassen. Der Begriff der Beteiligung an einer rechtswidrigen Datenverarbeitung nach der DSGVO geht insoweit deutlich weiter als von der Kammer zunächst angenommen. In der einschlägigen Literatur ist insoweit weitgehend Konsens, dass eine Beteiligung im Sinne der Verordnung nicht zwingend voraussetzt, dass der Verantwortliche selbst an dem letztlich schadensauslösenden Vorgang direkt mitgewirkt hat. Vielmehr genügt es grundsätzlich, wenn er im Sinne einer conditio sine qua non an der Vorgangsreihe beteiligt war, die letztlich die schädigende Handlung ermöglicht hat (Kühling/Buchner/Bergt, 4. Aufl. 2024, DS-GVO Art. 82 Rn. 22; Paal/Pauly/Frenzel, 3. Aufl. 2021, DS-GVO Art. 82 Rn. 13, 14; Paal, MMR 2020, 14, 15; Spindler/Schuster/Spindler/Horváth, 4. Aufl. 2019, DS-GVO Art. 82 Rn. 9, 10; i.d.S. wohl auch: BeckOK DatenschutzR/Quaas, 47. Ed. 1.2.2024, DS-GVO Art. 82 Rn. 39-43). Hieraus folgt, dass selbst ein Verantwortlicher, der rechtmäßig Daten an einen Dritten weitergibt, an der weiteren, auch weisungswidrigen Verarbeitung dieser Daten durch den Dritten weiterhin „beteiligt“ im Sinne der Verordnung ist (Paal/Pauly/Frenzel, 3. Aufl. 2021, DS-GVO Art. 82 Rn. 13, 14). Vor diesem Hintergrund liegt hier eine Beteiligung der Beklagten im Rechtssinne an der Datenverarbeitung durch Mitarbeiter von O. vor. Denn die Beklagte hat jedenfalls durch die (zudem rechtswidrige) Herausgabe der Daten an O. eine conditio sine qua non für diese nachfolgende Verarbeitung gesetzt. Durch diese weite Zurechnung wird auch nicht die Haftung der Verantwortlichen überzogen. Eine Begrenzung der Haftung findet vielmehr nach der Konzeption des Art. 82 DSGVO nicht über den weiteren Begriff der „Beteiligung“, sondern über die Exkulpationsmöglichkeit des Art. 82 Abs. 3 DSGVO statt.

dd. Soweit nach den obigen Ausführungen haftungsbegründende und der Beklagten zuzurechnende Verletzungen der DSGVO vorliegen, sind diese auch von der Beklagten zu vertreten.

Dabei kann für das vorliegende Verfahren dahinstehen, ob Art. 82 DSGVO eine verschuldensunabhängige Haftung begründet (BAG, EuGH-Vorlage vom 26. August 2021 - 8 AZR 253/20 (A) -, juris Rn. 40), eine Gefährdungshaftung mit der bloßen Möglichkeit der rechtsvernichtenden Einwendung fehlenden Verschuldens (vgl. hierzu etwa BeckOK DatenschutzR/Quaas DS-GVO Art. 82 Rn. 17-22) oder ob mit der wohl h.M. angenommen werden kann, Art. 82 Abs. 3 DSGVO enthalte ein Verschuldenserfordernis im Sinne der gängigen deutschen Terminologie mit einer entsprechenden Vermutung zu Lasten des Normverletzers und einer bei dem Verpflichteten liegenden Beweislast, dass weder Vorsatz noch Fahrlässigkeit vorlag (vgl. etwa BeckOK DatenschutzR/Quaas DS-GVO Art. 82 Rn. 17-22; Ehmann/Selmayr/Nemitz, 2. Aufl. 2018, DS-GVO Art. 82 Rn. 14, 15; so wohl auch: Hans-Jürgen Schaffland; Gabriele Holthaus in: Schaffland/Wiltfang, Datenschutz-Grundverordnung (DS-GVO)/Bundesdatenschutzgesetz (BDSG), Artikel 82 Haftung und Recht auf Schadenersatz; EuArbRK/Franzen, 4. Aufl. 2022, EU (VO) 2016/679 Art. 82 Rn. 17, 18; Gola/Heckmann/Gola/Piltz, 3. Aufl. 2022, DS-GVO Art. 82 Rn. 24-26).


Den Volltext der Entscheidung finden Sie hier:

BGH: § 287 ZPO erleichtert für den Geschädigten nicht nur die Beweisführung sondern auch die Darlegungslast

BGH
Beschluss vom 30.07.2024
VI ZR 122/23
ZPO § 287


Der BGH hat entschieden, dass § 287 ZPO für den Geschädigten nicht nur die Beweisführung sondern auch die Darlegungslast erleichtert.

Leitsatz des BGH:
Dem Geschädigten wird durch § 287 ZPO nicht nur die Beweisführung, sondern bereits die Darlegung erleichtert. Er muss zur substantiierten Darlegung des mit der Klage geltend gemachten Schadens weder ein Privatgutachten vorlegen, noch ein vorgelegtes Privatgutachten dem Ergebnis der Beweisaufnahme oder der gerichtlichen Überzeugungsbildung entsprechend ergänzen. Der Geschädigte kann durch einen gerichtlich bestellten Sachverständigen aufklären lassen, in welcher geringeren als von ihm ursprünglich geltend gemachten Höhe Reparaturkosten anfallen.

BGH, Beschluss vom 30. Juli 2024 - VI ZR 122/23 - OLG Frankfurt am Main - LG Gießen

Den Volltext der Entscheidung finden Sie hier:

BAG: Anspruch aus Art. 82 Abs. 1 DSGVO setzt Darlegung und Beweis eines konkreten Schadens voraus der durch gerügten DSGVO-Verstoß kausal verursacht wurde

BAG
Urteil vom 20.06.2024
8 AZR 91/22


Das BAG hat entschieden, dass ein Anspruch aus Art. 82 Abs. 1 DSGVO Darlegung und Beweis eines konkreten Schadens voraussetzt, der durch gerügten DSGVO-Verstoß kausal verursacht wurde.

Aus den Entscheidungsgründen:
1. Das Erfordernis eines Schadens und die entsprechende Darlegungslast der Klagepartei ist durch die jüngsten Entscheidungen des Gerichtshofs der Europäischen Union hinreichend geklärt (vgl. hierzu BAG 25. April 2024 – 8 AZR 209/21 (B) – Rn. 5 f.).

a) Aus dem Wortlaut des Art. 82 Abs. 1 DSGVO geht klar hervor, dass das Vorliegen eines „Schadens“ eine der Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadenersatzanspruch darstellt, ebenso wie das Vorliegen eines Verstoßes gegen die Datenschutz-Grundverordnung und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind (EuGH 25. Januar 2024 – C-687/21 – [MediaMarktSaturn] Rn. 58; 14. Dezember 2023 – C-340/21 – [Natsionalna agentsia za prihodite] Rn. 77; 4. Mai 2023 – C-300/21 – [Österreichische Post] Rn. 32). Der Schadenersatzanspruch hat, insbesondere im Fall eines immateriellen Schadens, eine Ausgleichsfunktion, da eine auf Art. 82 Abs. 1 DSGVO gestützte Entschädigung in Geld ermöglichen soll, den konkret aufgrund des Verstoßes gegen diese Verordnung erlittenen Schaden vollständig auszugleichen, und erfüllt keine Abschreckungs- oder Straffunktion (EuGH 25. Januar 2024 – C-687/21 – [MediaMarktSaturn] Rn. 50; 21. Dezember 2023 – C-667/21 – [Krankenversicherung Nordrhein] Rn. 87). Der Schaden muss keinen bestimmten Grad an Erheblichkeit erreicht haben (EuGH 14. Dezember 2023 – C-456/22 – [Gemeinde Ummendorf] Rn. 16 und – C-340/21 – [Natsionalna agentsia za prihodite] Rn. 78; 4. Mai 2023 – C-300/21 – [Österreichische Post] Rn. 51).

b) Hinsichtlich der Darlegungs- und Beweislast hat der Gerichtshof der Europäischen Union klargestellt, dass die Person, die auf der Grundlage von Art. 82 Abs. 1 DSGVO den Ersatz eines immateriellen Schadens verlangt, nicht nur den Verstoß gegen Bestimmungen dieser Verordnung nachweisen muss, sondern auch, dass ihr durch diesen Verstoß ein solcher Schaden entstanden ist (EuGH 11. April 2024 – C-741/21 – [juris] Rn. 35; 25. Januar 2024 – C-687/21 – [MediaMarktSaturn] Rn. 60 f.). Da der 85. Erwägungsgrund der Datenschutz-Grundverordnung ausdrücklich den „Verlust der Kontrolle“ zu den Schäden zählt, die durch eine Verletzung des Schutzes personenbezogener Daten verursacht werden können, hat der Gerichtshof entschieden, dass der – selbst kurzzeitige – Verlust der Kontrolle über solche Daten einen „immateriellen Schaden“ iSv. Art. 82 Abs. 1 DSGVO darstellen kann, der einen Schadenersatzanspruch begründet, sofern die betroffene Person den Nachweis erbringt, dass sie tatsächlich einen solchen Schaden – so geringfügig er auch sein mag – erlitten hat (EuGH 11. April 2024 – C-741/21 – [juris] Rn. 42; 25. Januar 2024 – C-687/21 – [MediaMarktSaturn] Rn. 66). Dabei kann die durch einen Verstoß gegen die Datenschutz-Grundverordnung ausgelöste Befürchtung einer betroffenen Person, ihre personenbezogenen Daten könnten von Dritten missbräuchlich verwendet werden, für sich genommen einen „immateriellen Schaden“ iSv. Art. 82 Abs. 1 DSGVO darstellen (EuGH 25. Januar 2024 – C-687/21 – [MediaMarktSaturn] Rn. 65; 14. Dezember 2023 – C-340/21 – [Natsionalna agentsia za prihodite] Rn. 79 ff.). Ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten kann jedoch nicht zu einer Entschädigung führen (EuGH 25. Januar 2024 – C-687/21 – [MediaMarktSaturn] Rn. 68). Das angerufene nationale Gericht muss vielmehr prüfen, ob die Befürchtung der missbräuchlichen Datenverwendung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann (EuGH 14. Dezember 2023 – C-340/21 – [Natsionalna agentsia za prihodite] Rn. 85).

c) Vor dem Hintergrund dieser aktuellen Rechtsprechung des Gerichtshofs der Europäischen Union zum Erfordernis eines Schadens und der entsprechenden Darlegungslast der Klagepartei kommt es nach Auffassung des Senats auf die Vorlage des Bundesgerichtshofs vom 26. September 2023 (- VI ZR 97/22 – Rn. 30 ff.) nicht an. Der Bundesgerichtshof hat dem Gerichtshof der Europäischen Union die Frage gestellt, ob Art. 82 Abs. 1 DSGVO dahin gehend auszulegen ist, dass für die Annahme eines immateriellen Schadens bloße negative Gefühle wie zB Ärger, Unmut, Unzufriedenheit, Sorge und Angst genügen oder ob für die Annahme eines Schadens ein über diese Gefühle hinausgehender Nachteil für die betroffene natürliche Person erforderlich ist. Diese Frage ist durch die nach der Vorlage des Bundesgerichtshofs ergangene Rechtsprechung des Gerichtshofs der Europäischen Union jedenfalls bezogen auf die Sorge vor Datenverlust bzw. unrechtmäßiger Datenverwendung beantwortet (aA Rombach/Hoeren WuB 2024, 28, 32; Scharpf jurisPR-ITR 8/2024 Anm. 5 unter C; vgl. auch BGH 12. Dezember 2023 – VI ZR 277/22 – Rn. 6).

aa) Nach der Rechtsprechung des Gerichtshofs der Europäischen Union können negative Gefühle („Befürchtung“) in solchen Konstellationen einen Anspruch auf Ersatz des immateriellen Schadens begründen. Das bloße Berufen auf eine bestimmte Gefühlslage reicht aber nicht aus, denn das Gericht hat, wie dargestellt, zu prüfen, ob das Gefühl unter Berücksichtigung der konkreten Umstände „als begründet angesehen werden kann“ (EuGH 14. Dezember 2023 – C-340/21 – [Natsionalna agentsia za prihodite] Rn. 85). Dies setzt zwingend die Anwendung eines objektiven Maßstabs voraus (idS auch Halder/Maluszczak jurisPR-ITR 3/2024 Anm. 4 unter D; Sorber/Lohmann BB 2023, 1652, 1655; Peisker/Zhou BB 2024, 308, 310; aA Rudkowski NZA 2024, 1, 7). Dabei ist ua. die objektive Bestimmung des Missbrauchsrisikos der Daten von Bedeutung (vgl. Arning/Dirkers DB 2024, 381, 383).

bb) Dem steht nicht entgegen, dass Art. 82 Abs. 1 DSGVO nach der Rechtsprechung des Gerichtshofs der Europäischen Union nicht verlangt, dass ein erlittener Nachteil spürbar oder eine Beeinträchtigung objektiv sein muss (EuGH 14. Dezember 2023 – C-456/22 – [Gemeinde Ummendorf] Rn. 17). Damit hat der Gerichtshof nur klargestellt, dass es keine „Bagatellgrenze“ gibt. Der objektive Maßstab bzgl. des Vorliegens eines Schadens als solchen ist hiervon zu unterscheiden. Besteht der Schaden in negativen Gefühlen, die für sich genommen nicht beweisbar sind, hat das nationale Gericht die Gesamtsituation und letztlich auch die Glaubwürdigkeit der jeweiligen Klagepartei auf der Grundlage eines substantiierten Sachvortrags zu beurteilen. Steht ein Verstoß gegen die Datenschutz-Grundverordnung iSv. Art. 82 Abs. 1 DSGVO nach richterlicher Beweiswürdigung iSv. § 286 Abs. 1 ZPO zum Nachteil der Klagepartei als geschützter Person fest, mindert sich das Beweismaß bzgl. der Entstehung und der Höhe des Schadens nach § 287 Abs. 1 ZPO (vgl. BAG 5. Mai 2022 – 2 AZR 363/21 – Rn. 14).

2. Der Kläger hat geltend gemacht, durch die jahrelang verspätete Auskunft bleibe er weiterhin über wesentliche Faktoren der Datenverarbeitung im Dunkeln und ihm sei die Prüfung verwehrt, ob und wie die Beklagte seine personenbezogenen Daten verarbeite. Ausgehend von der Rechtsprechung des Gerichtshofs der Europäischen Union hat der Kläger damit keinen immateriellen Schaden dargelegt.

a) Entgegen der Auffassung des Landesarbeitsgerichts kann ein Schaden nicht allein mit der Begründung angenommen werden, durch eine Verletzung des Auskunftsanspruchs aus Art. 15 Abs. 1 DSGVO – so ein Verstoß dagegen einen Anspruch nach Art. 82 Abs. 1 DSGVO dem Grunde nach begründen könnte – trete ein Kontrollverlust ein, weil die Überprüfung verhindert werde, ob personenbezogene Daten rechtmäßig verarbeitet werden. Zwar dient der Auskunftsanspruch des Art. 15 Abs. 1 DSGVO dem Zweck, Betroffenen die Ausübung der Rechte auf Berichtigung, Löschung, Einschränkung der Verarbeitung und Widerspruch gegen die Verarbeitung nach Art. 16 bis 18 und Art. 21 DSGVO zu ermöglichen (vgl. EuGH 4. Mai 2023 – C-487/21 – [Österreichische Datenschutzbehörde] Rn. 35). Ein derartiger Kontrollverlust geht jedoch mit jeder Verletzung des Auskunftsanspruchs aus Art. 15 Abs. 1 DSGVO zwingend einher. Er ist daher nicht geeignet einen von der bloßen Verletzung des Art. 15 Abs. 1 DSGVO unterscheidbaren Schaden zu begründen (aA Brandt/Goffart NZA 2024, 240, 242). Die eigenständige Voraussetzung des Schadens würde damit bedeutungslos. Sie wäre stets erfüllt. Dies ist jedoch mit dem Normverständnis des Gerichtshofs von Art. 82 Abs. 1 DSGVO ebenso wenig zu vereinbaren wie mit den Anforderungen des nationalen Prozessrechts, das die substantiierte Darlegung eines Schadens verlangt (vgl. LAG Rheinland-Pfalz 8. Februar 2024 – 5 Sa 154/23 – zu II 1 b der Gründe; LAG Baden-Württemberg 27. Juli 2023 – 3 Sa 33/22 – zu B II 1 b der Gründe; Barrein/Fuhlrott NZA 2024, 443, 446).

b) Soweit der Kläger im Hinblick auf einen Verlust der Kontrolle vorträgt, ihm sei die Prüfung verwehrt, ob und wie die Beklagte seine personenbezogenen Daten verarbeite, legt er lediglich ein hypothetisches Risiko einer missbräuchlichen Verwendung dar. Ein objektiv erhöhtes Missbrauchsrisiko in Bezug auf die von dem Auskunftsanspruch betroffenen personenbezogenen Daten zeigt der Kläger gerade nicht auf. Anders als bei einem Datenleck verschlechtert sich durch die unterbliebene Auskunft die Sicherheit der Daten nicht unmittelbar. Es hätte in der vorliegenden Fallgestaltung ergänzender Darlegungen des Klägers bedurft, aus welchen Gründen ein mehr als nur hypothetisches Risiko einer missbräuchlichen Verwendung seiner personenbezogenen Daten bestehen soll.

c) Soweit sich aus dem Vortrag des Klägers – andeutungsweise – negative Gefühle in Form einer Befürchtung der missbräuchlichen Datenverwendung ergeben, können diese unter den gegebenen Umständen nicht als begründet angesehen werden. Das bloße Berufen auf Befürchtungen dieser Art reicht nicht aus. Um zu prüfen, ob das Gefühl als begründet angesehen werden kann, ist ein objektiver Maßstab anzulegen. Dabei ist insbesondere das objektive Risiko eines Missbrauchs in den Blick zu nehmen, zu dem es vorliegend an ausreichenden Darlegungen fehlt.

3. Soweit der Kläger Schadenersatz hilfsweise aus vertraglicher, hierzu hilfsweise vertragsähnlicher, hierzu hilfsweise deliktischer Haftung nach nationalen Rechtsvorschriften geltend gemacht hat, fehlt es ebenfalls an einem hinreichend dargelegten Schaden.


Den Volltext der Entscheidung finden Sie hier:

Verbotene Praktiken nach Art. 5 der KI-Verordnung - Manipulative KI-Systeme - Ausnutzung der Schwächen von Personengruppen - Social Scoring - Biometrische Fernidentifizierung im öffentlichen Raum

Mit Inkrafttreten der Verordnung (EU) 2024/1689 zur Regulierung von Künstlicher Intelligenz (KI-Verordnung) hat die Europäische Union einen neuen regulatorischen Rahmen geschaffen, um die Nutzung von KI-Systemen zu steuern und Risiken für Sicherheit, Gesundheit und Grundrechte zu minimieren. Die Verordnung basiert auf einem risikobasierten Ansatz und enthält klare Vorgaben für den Einsatz von KI-Systemen. Im Mittelpunkt steht dabei die Unterscheidung zwischen verschiedenen Risikokategorien, wobei die gefährlichsten KI-Praktiken vollständig verboten sind.

Artikel 5 der KI-Verordnung benennt abschließend bestimmte verbotene KI-Praktiken. Diese Praktiken gelten als so schwerwiegend, dass ihr Einsatz unabhängig vom Verwendungszweck oder der jeweiligen Branche vollständig untersagt ist. Unternehmen, die solche KI-Systeme entwickeln oder einsetzen, müssen mit erheblichen Sanktionen rechnen. In diesem Beitrag wird detailliert erläutert, wann verbotene KI-Praktiken vorliegen, welche Vorschriften dies regeln und welche rechtlichen Konsequenzen dies für Unternehmen hat.

I. Wann liegen verbotene KI-Praktiken vor?
Die KI-Verordnung unterscheidet in Artikel 5 zwischen verschiedenen KI-Praktiken, die per se verboten sind, da sie gegen fundamentale Rechte und Werte verstoßen oder erhebliche Risiken für die öffentliche Sicherheit darstellen. Diese Praktiken sind abschließend aufgelistet und umfassen folgende Hauptkategorien:

1. Manipulative KI-Systeme
Artikel 5 Abs. 1 lit. a verbietet den Einsatz von KI-Systemen, die durch unterbewusste Techniken das Verhalten von Personen in einer Weise manipulieren, dass dies zu physischen oder psychischen Schäden führt. Ziel dieser Vorschrift ist der Schutz der Autonomie und des freien Willens von Individuen. Manipulative Systeme, die gezielt unterbewusste Techniken nutzen, um Menschen zu bestimmten Handlungen zu verleiten, stellen ein erhebliches Risiko dar.

Beispielsweise könnte ein KI-System, das unbewusst Kaufentscheidungen beeinflusst oder Menschen zu gesundheitsschädlichem Verhalten verleitet, unter diese Kategorie fallen. Ein solches System würde das Risiko mit sich bringen, dass die betroffene Person gegen ihren Willen zu Handlungen gedrängt wird, die ihr schaden.

2. Ausnutzung von Schwächen bestimmter Personengruppen
Nach Artikel 5 Abs. 1 lit. b ist der Einsatz von KI-Systemen verboten, die die besonderen Schwächen bestimmter Personengruppen ausnutzen, wie z. B. Kinder oder Menschen mit Behinderungen. Diese Vorschrift zielt auf den Schutz besonders schutzbedürftiger Gruppen ab, die durch KI-Systeme besonders leicht zu manipulieren oder zu beeinflussen sind.

Ein Beispiel wäre eine KI, die Kinder gezielt dazu verleitet, exzessiv Videospiele zu spielen oder Käufe zu tätigen, indem sie deren mangelnde kognitive Reife oder emotionale Schwächen ausnutzt.

3. KI-Systeme zur sozialen Bewertung (Social Scoring)
Artikel 5 Abs. 1 lit. c verbietet den Einsatz von KI-Systemen durch Behörden zur Bewertung des Verhaltens von Bürgern über einen längeren Zeitraum hinweg und zur Vergabe von sozialen Vorteilen oder Nachteilen (sogenanntes „Social Scoring“). Ein solches System könnte dazu führen, dass Personen aufgrund ihres Verhaltens oder anderer Kriterien in diskriminierender Weise behandelt werden.

Ein bekanntes Beispiel hierfür ist das Social Credit System, das in einigen Staaten zur Bewertung des Verhaltens von Bürgern eingesetzt wird. Dieses Vorgehen birgt das Risiko, dass soziale, wirtschaftliche oder rechtliche Entscheidungen auf Grundlage ungenauer oder unverhältnismäßiger Bewertungen getroffen werden.

4. Biometrische Fernidentifizierung im öffentlichen Raum
Artikel 5 Abs. 1 lit. d der KI-Verordnung untersagt den Einsatz von KI-Systemen zur biometrischen Fernidentifizierung in Echtzeit in öffentlichen Räumen, es sei denn, sie sind ausdrücklich durch das Recht der Union oder der Mitgliedstaaten erlaubt. Derartige Systeme, wie beispielsweise Gesichtserkennungstechnologien, können eine massive Überwachung ermöglichen und das Recht auf Privatsphäre erheblich einschränken.

Ausnahmen bestehen nur in streng geregelten Fällen, etwa bei der Verhinderung schwerer Straftaten oder zur Terrorismusbekämpfung, und müssen von den zuständigen Behörden genehmigt werden.

II. Rechtliche Konsequenzen für Unternehmen
Für Unternehmen, die verbotene KI-Praktiken anwenden, hat die Nichteinhaltung der Vorschriften schwerwiegende Folgen. Die Verordnung sieht umfassende Sanktionen vor, die insbesondere in Artikel 71 geregelt sind.

1. Bußgelder
Verstöße gegen Artikel 5 der KI-Verordnung können mit erheblichen Bußgeldern geahndet werden. Artikel 71 Abs. 3 legt fest, dass Unternehmen bei Verstößen gegen die Verbotsvorschriften Geldbußen von bis zu 30 Millionen Euro oder 6 % des weltweiten Jahresumsatzes des Unternehmens zu zahlen haben, je nachdem, welcher Betrag höher ist. Diese hohen Bußgelder unterstreichen den Stellenwert der Verordnung und die Schwere von Verstößen.

Diese Sanktionen stehen in ihrer Höhe den Bußgeldern der Datenschutz-Grundverordnung (DSGVO) nahe und verdeutlichen die Entschlossenheit der EU, die Einhaltung der Vorschriften durchzusetzen.

2. Betriebseinstellungen und Vertriebsverbote
Neben Bußgeldern kann die zuständige Aufsichtsbehörde gemäß Artikel 71 Abs. 4 auch andere Sanktionen verhängen, darunter:

Einstellung des Betriebs eines KI-Systems, das gegen die Verbote verstößt,
Rückruf von Produkten, die verbotene KI-Systeme enthalten,
Verbot des Inverkehrbringens oder der Bereitstellung von solchen Systemen auf dem europäischen Markt.
Diese Maßnahmen können für Unternehmen besonders schwerwiegend sein, da sie direkt den Fortbestand des Geschäftsmodells oder den Einsatz von innovativen Technologien betreffen.

3. Haftung für Schäden
Unternehmen, die verbotene KI-Systeme einsetzen, können zudem zivilrechtlich für Schäden haftbar gemacht werden, die durch den Einsatz solcher Systeme verursacht wurden. Dies ergibt sich aus den allgemeinen Haftungsvorschriften im Zivilrecht, aber auch aus der DSGVO, sofern personenbezogene Daten betroffen sind. Geschädigte Personen haben das Recht, auf Schadensersatz zu klagen, insbesondere wenn durch den Einsatz eines verbotenen KI-Systems ihre Grundrechte verletzt wurden.

III. Praktische Herausforderungen für Unternehmen
Die Implementierung der Vorschriften der KI-Verordnung erfordert von Unternehmen erhebliche Anstrengungen. Insbesondere die Einhaltung der Verbote nach Artikel 5 stellt Unternehmen vor praktische Herausforderungen:

1. Risikoabschätzung und Compliance
Unternehmen müssen sicherstellen, dass ihre KI-Systeme im Einklang mit den Verboten stehen. Hierzu sind umfassende Risikomanagement-Systeme erforderlich, die mögliche Risiken von KI-Anwendungen erfassen und geeignete Maßnahmen zur Vermeidung von Verstößen festlegen. Da KI-Systeme oft komplex und schwer durchschaubar sind, müssen Unternehmen sicherstellen, dass sie die Funktionsweise ihrer Systeme genau kennen und regelmäßig überprüfen.

2. Interne Kontrollen und Prüfmechanismen
Ein wichtiger Bestandteil der Compliance-Strategie ist die Implementierung von internen Prüfmechanismen, die sicherstellen, dass verbotene KI-Praktiken nicht unbewusst in die Unternehmensprozesse eingebaut werden. Dies erfordert insbesondere regelmäßige Audits und die Einrichtung von Kontrollinstanzen innerhalb des Unternehmens, etwa durch Ethik- oder Datenschutzbeauftragte, die den Einsatz von KI-Systemen überwachen.

3. Schulung und Sensibilisierung der Mitarbeiter
Da KI-Systeme oft tief in den Unternehmensprozessen verankert sind, ist es notwendig, die Mitarbeiter regelmäßig zu schulen und für die rechtlichen Anforderungen zu sensibilisieren. Dies gilt insbesondere für Entwickler und Anwender von KI-Systemen, die für die Einhaltung der Vorschriften verantwortlich sind.

Fazit
Artikel 5 KI-Verordnung soll sicherstellen, dass besonders gefährliche und ethisch bedenkliche KI-Praktiken vollständig verboten werden. Für Unternehmen ist die Einhaltung dieser Verbote von entscheidender Bedeutung, da Verstöße nicht nur zu erheblichen Bußgeldern, sondern auch zu Betriebsverboten und anderen schwerwiegenden Konsequenzen führen können.

Unternehmen müssen daher umfassende Compliance-Strategien entwickeln, um sicherzustellen, dass ihre KI-Systeme im Einklang mit der Verordnung stehen. Besonders im Hinblick auf die verbotenen Praktiken erfordert dies ein hohes Maß an Transparenz und interne Prüfmechanismen, um die Risiken, die von der Nutzung von KI ausgehen, wirksam zu kontrollieren. Rechtsprechung und Aufsichtspraxis werden zeigen, wie streng die Vorschriften der KI-Verordnung durchgesetzt werden. Ein Blick in die Vergangenheit zeigt, dass sich immer Gerichte und Aufsichtsbehörden finden, welche einen besonder strengen Maßstab bei der Auslegung rechtliche Vorgaben anglegen.


EuGH: Eine Entschuldigung kann als angemessener Ersatz eines immateriellen Schadens nach Art. 82 DSGVO ausreichend sein

EuGH
Urteil vom 04.10.2024
C‑507/23


Der EuGH hat entschieden, dass eine Entschuldigung als angemessener Ersatz eines immateriellen Schadens nach Art. 82 DSGVO ausreichend sein kann.

Tenor der Entscheidung:
1. Art. 82 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist in Verbindung mit Art. 8 Abs. 1 der Charta der Grundrechte der Europäischen Union dahin auszulegen, dass ein Verstoß gegen Bestimmungen dieser Verordnung für sich genommen nicht ausreicht, um einen „Schaden“ im Sinne von Art. 82 Abs. 1 DSGVO darzustellen.

2. Art. 82 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen, dass eine Entschuldigung einen angemessenen Ersatz eines immateriellen Schadens auf der Grundlage dieser Bestimmung darstellen kann, insbesondere, wenn es nicht möglich ist, die Lage vor dem Eintritt des Schadens wiederherzustellen, sofern diese Form des Schadenersatzes geeignet ist, den der betroffenen Person entstandenen Schaden in vollem Umfang auszugleichen.

3. Art. 82 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen, dass er der Möglichkeit entgegensteht, die Haltung und die Beweggründe des Verantwortlichen zu berücksichtigen, um der betroffenen Person gegebenenfalls einen Schadenersatz zu gewähren, der geringer ist als der Schaden, der ihr konkret entstanden ist.

Den Volltext der Entscheidung finden Sie hier:

OLG Düsseldorf: Patentinhaber hat bei Patentverletzung regelmäßig Anspruch auf Auskunft und Rechnungslegung in elektronisch auswertbarer Form

OLG Düsseldorf
Urteil vom 24.05.2024
2 U 67/23


Das OLG Düsseldorf hat entschieden, dass ein Patentinhaber bei einer Patentverletzung regelmäßig einen Anspruch auf Auskunft und Rechnungslegung in elektronisch auswertbarer Form hat.

Aus den Entscheidungsgründen:
b) Die Klägerin kann auch Auskunft und Rechnungslegung in elektronischer Form beanspruchen.

Angesichts der weitgehenden Digitalisierung der Geschäftswelt kann der Gläubiger des Auskunfts- und Rechnungslegungsanspruchs regelmäßig vom Schuldner desselben verlangen, die Auskunft und Rechnungslegung in elektronisch auswertbarer Form zu erhalten. Als elektronisch auswertbare Form ist hierbei eine Form zu verstehen, bei der die Daten von einem Computer unmittelbar ausgewertet werden können – also beispielsweise Microsoft Excel. Nicht genügend ist dagegen die Übermittlung von digitalisierten Fotos oder Scans schriftlicher Dokumente (außer im Rahmen der Belegvorlage; vgl. Senat, Urt. v. 25.06.2020 – I-2 U 54/19; Urt. v. 13.08.2020 – I- 2 U 52/19, GRUR-RS 2020, 49189 Rn. 95 – WC-Sitzgelenk II; Urt. v. 13.08.2020 – I-2 U 10/19, GRUR-RS 2020, 44647 Rn. 105 – Zündkerze; BeckOK PatR/Fricke, 31. Ed. 15.1.2024, PatG § 140b Rn. 26 m.w.N.). Es entspricht den heutigen Gepflogenheiten im Geschäftsverkehr, dass die entsprechenden Daten beim Schuldner bereits digital verfügbar sind. Dementsprechend ist es ihm regelmäßig möglich und zumutbar, dem Gläubiger dasjenige elektronische Element zu überlassen, das ohnehin die Basis einer Auskunftserteilung und Rechnungslegung in Papierform bildet. Der Schuldner wird hierdurch offensichtlich nicht belastet und dem Gläubiger wird die Verwertung der Auskünfte zum Zwecke der weiteren Rechtsverfolgung entscheidend erleichtert. Liegen die entsprechenden Daten dem Schuldner ausnahmsweise nur in analoger Form vor, ist es ihm ein Leichtes, dies im Verletzungsprozess einzuwenden und seinen Einwand mit entsprechendem Sachvortrag zu untermauern. Unterbleibt dies, wie hier, besteht regelmäßig kein Grund, dem Gläubiger einen Anspruch auf Auskunftserteilung und Rechnungslegung in elektronischer Form zu versagen (Senat, Urt. v. 13.08.2020 – I-2 U 10/19, GRUR-RS 2020, 44647 Rn. 105 – Zündkerze; BeckOK PatR/Fricke, 31. Ed. 15.1.2024, PatG § 140b Rn. 26 m.w.N.; Kühnen, a.a.O., Kap. D Rn. 1000).

Den Volltext der Entscheidung finden Sie hier:

LG Traunstein: Nutzer eines weltweit agierenden sozialen Netzwerks hat nach der DSGVO keinen Anspruch auf Unterlassung der Weitergabe und Übermittlung personenbezogener Daten in die USA

LG Traunstein
Urteil vom 08.07.2024
9 O 173/24


Das LG Traunstein hat entschieden, dass der Nutzer eines weltweit agierenden sozialen Netzwerks nach der DSGVO keinen Anspruch auf Unterlassung der Weitergabe und Übermittlung personenbezogener Daten in die USA hat.

Aus den Entscheidungsgründen:
Die Klage ist nur teilweise zulässig.

I. Das Landgericht Traunstein ist sachlich nach §§ 1 ZPO, 71 Abs. 1, 23 GVG, international nach Art. 79 Abs. 2 S. 2, 82 Abs. 6 DSGVO und örtlich nach § 44 Abs. 1 S. 2 BDSG zuständig.

II.Der auf die Feststellung der Ersatzpflicht der Beklagten gegenüber der Klagepartei für künftige Schäden gerichtete Antrag ist nicht hinreichend bestimmt gern. § 253 Abs. 2 Nr. 2 ZPO. Der auf die Feststellung der Ersatzpflicht der Beklagten gegenüber der Klagepartei für künftige Schäden gerichtete Antrag ist nicht hinreichend bestimmt gern. § 253 Abs. 2 Nr. 2 ZPO. Der Antrag bezieht sich auf „künftige Schäden“, „die der Klägerseite (…) entstanden sind und/oder noch entstehen werden.„Auch unter Berücksichtigung des gesamten klägerischen Vorbringens ist für das Gericht nicht zu erkennen, ob sich der Antrag nur auf künftige Schäden oder auch bereits entstandene, aber ggfs. noch nicht bekannte Schäden erstrecken soll.

III. Hinsichtlich des Feststellungsantrags besteht auch kein ausreichendes Feststellungsinteresse (§ 256 Abs. 1 ZPO). Ein Feststellungsinteresse ist zu verneinen, wenn aus der Sicht des Geschädigten bei verständiger Würdigung kein Grund besteht, mit dem Eintritt eines Schadens wenigstens zu rechnen (BGH NJW-RR 2007, 601). Welcher Schaden der Klagepartei dadurch entstehen soll, dass die Beklagte rechtswidrig ihre MessengerNachrichten überwacht, OffF Daten verarbeitet und Daten in die USA übermitteln sollte, ist für das Gericht nicht ersichtlich und wird auch nicht plausibel dargelegt.

IV. Der Unterlassungsantrag zu Ziff. 4 a) der Klageanträge ist nicht hinlänglich bestimmt, § 253 Abs. 2 Nr. 2 ZPO. Das Wort „anlasslos“ schränkt das Unterlassungsbegehren in objektiv nicht abgrenzbarer Weise ein. Ein entsprechender Ausspruch wäre nicht vollstreckungsfähig.

V. Hinsichtlich des Unterlassungsantrags zu Ziff. 4b) fehlt der Klagepartei das Rechtsschutzbedürfnis. Die Klagepartei hat die Möglichkeit, über die Einstellungen die Behandlung der „Off-...- Daten“ bzw. „Aktivitäten außerhalb der ...-Technologien“ selbst zu steuern. Dies muss der Klagepartei spätestens aufgrund des Beklagtenvortrags im Rechtsstreit auch bekannt sein. Da ihr ein einfacherer Weg zur Erreichung ihres Rechtsschutzziels zur Verfügung steht, fehlt ihr für eine Unterlassungsklage das Rechtsschutzbedürfnis.

VI. Der Antrag auf Löschung „anlasslos gespeicherter“ Daten (Ziff. 5a und b der Klageanträge) ist aus den oben unter Ziff. IV genannten Erwägungen wegen Unbestimmtheit unzulässig.

VII. Im Übrigen ist die Klage zulässig.
B.

Die Klage ist – soweit sie unzulässig ist, jedenfalls auch – unbegründet.
23
I. Der Klagepartei stehen keine Ansprüche gegen die Beklagte im Zusammenhang mit den behaupteten Vorwürfen hinsichtlich des ...-Messenger-Dienstes zu. Es fehlt bereits an einem relevanten Verstoß gegen die Bestimmungen der DSGVO.

Die Klagepartei hat nicht schlüssig dargelegt, woraus sich ergeben soll, dass die Beklagte die über den ...-Messenger-Dienst ausgetauschten Inhalte systematisch automatisiert überwacht im Sinne eines „crawlings“ der Inhalte. Aus der Datenschutzrichtlinie der Beklagten ergibt sich solches jedenfalls nicht. Die Beklagte hat vielmehr plausibel dargelegt, dass sie die übertragenen Nachrichten entsprechend der gesetzlichen Vorgaben, insbesondere der ePrivacy-Richtlinie, behandelt und ein zulässiges CSAM (child sexual abuse material)-Scanning zur Identifikation kinderpornographischer Inhalte durchführt. Soweit die Klagepartei die Länge und Unübersichtlichkeit der Datenschutzrichtlinie der Beklagten rügt, lässt sich kein Verstoß gegen Art. 13, 14 DSGVO erkennen. Die umfangreichen datenschutzrechtlichen Anforderungen, die von Rechts wegen an die Beklagte gestellt werden, in Verbindung mit der Komplexität der von der Beklagten zur Verfügung gestellten Dienstleistungen lassen keine knappere oder einfachere Darstellung der datenschutzrechtlichen Rahmenbedingungen zu. Dass die Beklagte die über den MessengerDienst ausgetauschten Inhalte als solche speichert und an den Adressaten übermittelt, ist zur Bereitstellung dieser Dienstleistung unumgänglich, Art. 6 Abs. 1 Buchst. B DSGVO. Für einen Verstoß gegen das Gebot der Datenminimierung (Art. 5 Abs. 1 Buchst. c DSGVO) sieht das Gericht deswegen ebenfalls keine Anhaltspunkte. Das CSAM-Scanning ist von Art. 6 Abs. 1 Buchst. f DSGVO gedeckt. Im Übrigen ist es der Klagepartei – wie jedem „f-Nutzer selbst überlassen, ob sie den MessengerDienst überhaupt verwenden will oder nicht.

II. Der Klagepartei stehen auch keine Ansprüche gegen die Beklagte im Zusammenhang mit den behaupteten Vorwürfen hinsichtlich der “Off-...-Daten“ zu.

1. Auch insoweit ist kein datenschutzrechtlicher Verstoß ersichtlich. Die Verarbeitung von Daten im Zusammenhang mit „Aktivitäten außerhalb der ...-Technologien“ („Off-...-Daten“) ist durch die Einwilligung des Nutzers gedeckt, Art. 6 Abs. 1 Buchst. a und Art. 9 Abs. 2 Buchst. a DSGVO. Nach dem Vortrag der Beklagten, an dessen Richtigkeit das Gericht keine Zweifel hat, holt sie die Einwilligung der Nutzer mittels eines im Schriftsatz vom 04.03.2024 auf S. 11 abgebildeten CookieBanners ein. Die entsprechenden Einstellungen werden durch Hinweise nachvollziehbar beschrieben und können vom Benutzer nachträglich abgeändert werden. Die Klagepartei ist bei „...“ angemeldet, so dass sie selbst die entsprechenden Einstellungen vornehmen kann. Wie es sich bei Personen verhält, die nicht bei „...“ angemeldet sind, kann dahinstehen, weil die Klagepartei nicht zu diesem Personenkreis gehört. Dass die Schaltfläche „Alle Cookies erlauben“ blau eingefärbt ist, stellt keinen Verstoß gegen Art. 25 Abs. 2 DSGVO (datenschutzfreundliche Voreinstellung) dar. Denn es handelt sich um keine „Voreinstellung“, sondern um eine übliche und erlaubte optische Hervorhebung, die die aktive Entscheidungsmöglichkeit des Nutzers unberührt lässt. Soweit die Beklagte Informationen von Cookies und ähnlichen Technologien von Dritten erhält, verarbeitet sie diese nach eigenen Angaben ohne Zustimmung des Nutzers nur zu Sicherheits- und Integritätszwecken, was durch Art. 6 Abs. 1 Buchst. b ff. DSGVO bzw. Art. 9 Abs. 2 Buchst. B ff. DSGVO gedeckt ist. Substanziell Entgegenstehendes wurde durch die Klagepartei nicht in den Rechtsstreit getragen.

2. Soweit die Beklagte bis zum Beschluss des Bundeskartellamts vom 06.02.2019 (s. Pressemitteilung vom 07.02.2019, Anlage KE-4) die „Off-...-Daten“ ohne eine erforderliche Einwilligung verarbeitet haben sollte, wird schon nicht vorgetragen, dass die Beklagte „Off ... Daten“ aus diesem Zeitraum bezogen auf die Klagepartei überhaupt noch vorhält. Im Übrigen wären daraus resultierende Ansprüche der Klagepartei jedenfalls verjährt, §§ 195, 199 Abs. 1, 214 Abs. 1 BGB. Die Klagepartei musste jedenfalls infolge der vorgenannten Pressemitteilung die tatsächlichen Anspruchsvoraussetzungen kennen oder sich dem Vorwurf grob fahrlässiger Unkenntnis aussetzen. Verjährung wäre somit zum Ende des Jahres 2022 eingetreten.

III. Der Klagepartei stehen schließlich keine Ansprüche gegen die Beklagte im Zusammenhang mit den behaupteten Vorwürfen im Zusammenhang mit der Datenübermittlung in die USA zu.

1. Eine rechtswidrige Datenübermittlung kann das Gericht nicht erkennen. Die Plattform „...“ und der MKonzern stammen aus den USA. „...“ ist als globale Plattform konzipiert. Um dieses weltweite Netzwerk unterhalten zu können, müssen zwangsläufig Daten international ausgetauscht werden. Dass in diesem Zusammenhang auch Daten durch die Beklagte in die USA übermittelt werden, liegt folglich nahe. Dieses Erfordernis ist auch unabhängig davon, ob die Klagepartei mit USamerikanischen „...“-Nutzern „befreundet“ ist oder nicht. Denn allein die Suche nach Nutzern in anderen Rechtsgebieten kann nur funktionieren, wenn ein grenzüberschreitender Datenaustausch stattfindet. All dies muss jedem „..."-Nutzer, auch der Klagepartei, hinlänglich bekannt sein. Die Klagepartei hat keinen Anspruch darauf, dass „...“ dergestalt betrieben wird, dass sämtliche Daten in Europa gespeichert und verarbeitet werden im Sinne eines rein europäischen „...“. Die unternehmerische Entscheidung des Betreibers der Plattform „...“, Daten in den Vereinigten Staaten von Amerika zu verarbeiten, ist von den Nutzern hinzunehmen, zumal niemand dazu gezwungen wird, die Plattform „...“ zu nutzen.

2. Die Datenübermittlung ist daher grundsätzlich zur Vertragserfüllung erforderlich, Art. 6 Abs. 1 Buchst. b DSGVO. Dafür dass die Beklagte, was die Klagepartei letztlich behauptet, darüber hinaus ihren gesamten Datenbestand dem amerikanischen Auslandsgeheimdienst voraussetzungslos zur freien Verfügung stellt, gibt es keine hinreichenden tatsächlichen Anhaltspunkte. Was die USamerikanische Regierung insoweit „zugegeben“ haben soll, wird klägerseits nicht konkret dargelegt. Die Beklagte jedenfalls hat solches bestritten und Beweis wurde klägerseits nicht geführt.

3. Die Voraussetzungen für die Datenübermittlung in Drittländer nach Kapitel V DSGVO werden von der Beklagten eingehalten.

a) Aktuell erfolgt die Datenübermittlung aufgrund des Angemessenheitsbeschlusses der Kommission vom 10.07.2023. Dieser stellt eine taugliche Grundlage für die Datenübermittlung dar, Art. 45 Abs. 3 DSGVO. Eine weitergehende Überprüfung der Angemessenheit des Schutzniveaus erübrigt sich dadurch.

b) Für den vorangegangenen Zeitraum stellen die von der Kommission erlassenen Standardvertragsklauseln 2010 und 2021 in Verbindung mit Art. 46 Abs. 1, Abs. 2 Buchst. c) DSGVO eine ausreichende Rechtsgrundlage dar. Nach Art. 46 Abs. 1 DSGVO müssen den Betroffenen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen, um ein dem EURecht gleichwertiges Schutzniveau zu gewährleisten. Die Klagepartei rügt insoweit, dass der USamerikanische Rechtsbehelfsmechanismus auf einer Verordnung der Regierung und nicht auf formellem Gesetz beruhe. Auch bei einer Verordnung handelt es sich aber um ein Gesetz im materiellen Sinne. Wieso hierdurch kein gleichwertiger Rechtsschutz zur Verfügung gestellt werden könne, ist nicht zu erkennen.

c) Schließlich ist die Datenübermittlung, wie bereits oben ausgeführt, zur Vertragserfüllung erforderlich und damit auf Grundlage von Art. 49 Abs. 1 S. 1 b DSGVO zulässig.

d) Soweit Datenschutzbehörden abweichende Auffassungen vertreten, sind diese für das Gericht nicht bindend.

4. Für eine Verletzung von Art. 5 Abs. 1 Buchst. f bzw. Art. 32 DSGVO ist schlüssig nichts vorgetragen. Wieso Anlass zur Annahme bestehen sollte, dass die Beklagte die Daten der Klagepartei in technischer oder organisatorischer Hinsicht nicht hinlänglich schützt, ergibt sich aus dem Klagevortrag nicht.

5. Eine Verletzung von Art. 13 DSGVO kann das Gericht ebenfalls nicht erkennen. Die Beklagte hat die Fundstellen genannt, unter denen sich der Nutzer über die Notwendigkeit der Datenübermittlung an ausländische Unternehmen, namentlich die .., Inc., wie auch über die Beauskunftung von Regierungsanfragen informieren kann. Dass die Beklagte ihrer Informationspflicht nicht nachgekommen wäre, ist nicht ersichtlich.

6. Soweit US-Regierungsbehörden einschließlich der Geheimdienste von .., Inc., nach USamerikanischem Recht Auskünfte verlangen können, ist dies Folge der rechtmäßigen Datenübermittlung in den Herrschaftsbereich der Vereinigten Staaten von Amerika. Diese Möglichkeit steht der Gewährleistung eines im Wesentlichen gleichen Schutzniveaus nicht entgegen, da sie auch unter europäischem Datenschutzregime nach Art. 6 Abs. 1 Buchst. c DSGVO (Erfüllung einer rechtlichen Verpflichtung) zulässig wäre.

IV. Für einen Schadensersatzanspruch aus Art. 82 DSGVO fehlt es zudem an einem kausalen Schaden der Klagepartei. Diese gab im Rahmen ihrer informatorischen Anhörung lediglich an, dass sie erst durch die Klägervertreter auf etwaige Datenschutzverstöße im Zusammenhang mit der Übermittlung von Daten bzw. dem Messenger gebracht worden sei. Erst auf Hinweis des Gerichtes wurde ihr offenbar, dass die hiesige Klage sich nicht auf die Scraping-Fälle bezieht. Schließlich wird Bezug genommen auf die Entscheidung des OLG München, Az. 14 U 3359/23 e, Verfügung vom 19.12.23, in welcher folgendes ausgeführt wird:
„Die Befürchtung (noch deutlicher: englisch „fear“ und französisch „crainte“), in der der EuGH einen materiellen Schaden erblickt, kann nur etwas sein, was der Geschädigte (a) persönlich erlebt und was ihn (b) seelisch belastet, mithin psychisch beeinträchtigt. Vermag das Tatgericht nichts dergleichen zu erkennen, so ist der Eintritt des immateriellen Schadens nicht überwiegend wahrscheinlich im Sinne von § 287 Abs. 1 ZPO.“

So liegt der Fall hier: allein die im Rahmen der informatorischen Anhörung (erst) auf Vorhalt ihres Prozessbevollmächtigten angegebene „große Sorge“ (nachdem zunächst angegeben wurde, dass man es „auch schlimm findet“) stellt keinen immateriellen Schaden dar.

V. Auskunftsansprüche nach Art. 15 DSGVO stehen der Klagepartei gegen die Beklagte nicht zu.

1. Soweit begehrt wird Auskunft bezüglich der Daten „aus der Überwachung des FMessengers“ zu erteilen, „ChatProtokolle vorzulegen und deren interne Bewertung offenzulegen“, können die Chat-Verläufe durch die Klagepartei selbst heruntergeladen werden. Der Auskunftsanspruch ist dadurch erfüllt, § 362 Abs. 1 BGB. Was unter einer „internen Bewertung“ zu verstehen sein soll, erschließt sich dem Gericht nicht; eine Subsumtion unter eine der Kategorien des Art. 15 Abs. 1 DSGVO ist insoweit nicht möglich.

2. Soweit Auskunft begehrt wird, welche „Off-...-Daten“ durch die Beklagte an der IP-Adresse der Klägerseite gesammelt und zu welchem Zweck sie gespeichert und verwendet wurden, verweist die Beklagte zu Recht auf die von ihr zur Verfügung gestellte Selbstauskunftsmöglichkeit und hinsichtlich der Verarbeitungszwecke auf eine bestimmte Seite im Hilfebereich. Die Auskunft ist damit erteilt, § 362 Abs. 1 BGB.

3. Hinsichtlich etwaiger an die NSA übermittelter Daten kann die Beklagte die Auskunft verweigern, weil zum einen eine Geheimhaltungspflicht nach USamerikanischem Rechts besteht und es sich zum anderen um ihrem Wesen nach geheimhaltungsbedürftige Informationen handelt, Art. 23 DSGVO i.V.m. § 29 Abs. 1 S. 2 BDSG, wobei sich letztgenannte Vorschrift entgegen der Auffassung der Klagepartei schon dem Wortlaut nach nicht auf Berufsgeheimnisträger beschränkt. Es versteht sich von selbst, dass die Information, ob und welche Auskünfte an Geheimdienste erteilt werden, ihrem Wesen nach geheimhaltungsbedürftig ist. Im Übrigen erfolgt die Beauskunftung an die NSA nicht durch die Beklagte, sondern durch die .., Inc., so dass die Beklagte hinsichtlich eines Auskunftsanspruchs auch nicht passivlegitimiert wäre.

VI. Die Löschungsanträge nach Art. 17 DSGVO (Ziff. 5 b und c der Klageanträge) gehen ins Leere, weil sie unter der Voraussetzung gestellt sind, dass die Datenverarbeitung „anlasslos“ erfolgt. Selbst wenn man diesem Begriff die Bedeutung „nicht notwendig“ (Art. 17 Abs. 1 Buchst. a DSGVO), „ohne Rechtsgrundlage“ (Art. 17 Abs. 1 Buchst. b DSGVO), oder „unrechtmäßig“ (Art. 17 Abs. 1 Buchst. d DSGVO) beimessen wollte, liegen diese Voraussetzungen, wie unter Ziffer I. bis II. ausgeführt, nicht vor.

VII. Sämtliche Unterlassungsansprüche scheitern am Fehlen eines Verstoßes gegen die DSGVO, s.o. Ziff. I bis III. Bezüglich der „Off-...-Daten“ tritt hinzu, dass es der Nutzer selbst in der Hand hat, die diesbezüglichen Einstellungen zu verwalten. Die Klagepartei handelt widersprüchlich, wenn sie die Einstellungen so belässt, wie sie sind, und andererseits von der Beklagten verlangt, die Daten nicht auf Grundlage dieser Einstellungen zu verarbeiten.


Den Volltext der Entscheidung finden Sie hier:

OLG Hamm: Ansprüche aus Art. 82 DSGVO sind keine höchstpersönlichen Ansprüche und können abgetreten werden

OLG Hamm
Urteil vom 24.07.2024
11 U 69/23


Das OLG Hamm hat entschieden, dass Ansprüche aus Art. 82 Abs. 1 und 2 DSGVO keine höchstpersönlichen Ansprüche sind und abgetreten werden können.

Aus den Entscheidungsgründen:
Die Zedenten K. und W. konnten ihre Ansprüche aus Art. 82 Abs. 1, 2 DSGVO auch wirksam an die Klägerin abtreten. Ein Verstoß gegen einen Abtretungsausschluss nach § 399 Var. 1 BGB, wonach insbesondere höchstpersönliche Ansprüche nicht abgetreten werden können, liegt nicht vor.

Zwar wird teilweise die Auffassung vertreten, dass es sich bei einem Anspruch aus Art. 82 Abs.1, 2 DSGVO um einen höchstpersönlichen Anspruch handelt, weil dort die Genugtuung sowie eine Kompensation mittels einer Entschädigung für die Persönlichkeitsrechtsverletzung im Vordergrund stehe, die nur gegenüber der betroffenen Person zur Linderung führen könne (AG Hannover, Urteil vom 9. März 2020 - 531 C 10952/19 -, BeckRS 2019, 43221, Rn. 15,; vgl. zum Meinungsstand Wybitul/Leibold, Risiken für Unternehmen durch neue Rechtsprechung zum DS-GVO-Schadensersatz, ZD 2022, 207, 208). Überwiegend wird dies jedoch abweichend beurteilt. So handele es sich bei Art 82 Abs. 1, 2 DSGVO um einen eigenständigen deliktischen Anspruch, der dem allgemeinen nationalen Haftungsregime des BGB unterliege, was auch für die Übertragbarkeit des Anspruchs gelte (LG Essen, Urteil vom 23. September 2021 - 6 O 190/21 -, ZD 2022, 50, Rn. 36 f.; Quaas in: BeckOK Datenschutzrecht, 48. Ed. 1. Mai 2024, DSGVO Art. 82 Rn. 10 f.). Eine Persönlichkeitsverletzung sei gerade keine Anspruchsvoraussetzung. Art. 82 Abs. 1, 2 DSGVO diene auch der Vermeidung von zukünftigen Verstößen, sodass ihm ein spezialpräventiver Charakter und damit auch eine objektive Aufgabe zukomme. Zudem verfolge die DSGVO das Ziel, einen "vollständigen und wirksamen Schadensersatz" zu gewährleisten, sodass auch die Notwendigkeit der tatsächlichen Durchsetzbarkeit dieses Anspruchs im Vordergrund stehe. Die Rechtsprechung des BGH zu schweren Persönlichkeitsverletzungen sei auf Art. 82 DSGVO nicht übertragbar (Quaas in: BeckOK Datenschutzrecht, 48. Ed. 1. Mai 2024, DSGVO Art. 82 Rn. 11; vgl. zum Meinungsstand Wybitul/Leibold, a.a.O., ZD 2022, 207, 208). Die Wirksamkeit dieses Schadensersatzes im Sinne von Erwgr. 146 S. 6 DSGVO wäre wesentlich beeinträchtigt, wenn der Anspruch nicht zum Zwecke der Geltendmachung an Dritte übertragen werden könnte (Hellgardt, Die Schadensersatzhaftung für Datenschutzverstöße im System des unionalen Haftungsrechts, ZEuP 2022, 7, 33).

Der Senat schließt sich im Ergebnis der letztgenannten Auffassung an. Nach § 399 Var. 1 BGB ist eine Forderung nicht übertragbar, wenn die Leistung an einen anderen als den ursprünglichen Gläubiger nicht ohne Veränderung ihres Inhalts erfolgen kann. Dies ist dann anzunehmen, wenn die Leistung auf höchstpersönlichen Ansprüchen des Berechtigten beruht, die er nur selbst erheben kann, oder wenn ein Gläubigerwechsel zwar rechtlich vorstellbar, das Interesse des leistenden Schuldners an der Beibehaltung einer bestimmten Gläubigerperson aber besonders schutzwürdig ist, oder wenn ohne Veränderung des Leistungsinhalts die dem Gläubiger gebührende Leistung mit seiner Person derart verknüpft ist, dass die Leistung an einen anderen Gläubiger als eine andere Leistung erschiene. In allen diesen drei Fallgruppen ist die Abtretbarkeit ausgeschlossen, weil andernfalls die Identität der abgetretenen Forderung nicht gewahrt bliebe (BGH, Urteil vom 24. März 2011 - IX ZR 180/10 -, Rn. 42, juris).

Ansprüche wegen immaterieller Schäden sind nach der Rechtsprechung des BGH seit dem 1. Juli 1990 uneingeschränkt übertragbar und pfändbar, nachdem durch das Gesetz zur Änderung des BGB und anderer Gesetze vom 14. März 1990 (BGBl. I S. 478) § 847 Abs. 1 S. 2 BGB aF gestrichen wurde (BGH, Beschluss vom 18. Juni 2020 - IX ZB 11/19 -, Rn. 14, juris; vgl. auch BGH, Urteil vom 24. März 2011 - IX ZR 180/10 -, Rn. 33, juris zu Ansprüchen aus Staatshaftung). Ob dies auch für Ansprüche wegen Verletzung des Persönlichkeitsrechts gilt, ist noch nicht höchstrichterlich entschieden (vgl. BGH Beschluss vom 18. Juni 2020 - IX ZB 11/19 -, Rn. 15, juris), vom BGH in Bezug auf einen Anspruch aus § 15 Abs. 2 AGG jedoch bejaht worden (vgl. BGH Beschluss vom 18. Juni 2020 - IX ZB 11/19 -, Rn. 18 ff., juris).

Nach Auffassung des Senats handelt es sich bei Art. 82 Abs. 1, 2 DSGVO nicht um einen höchstpersönlichen Anspruch. Anspruchsvoraussetzung ist ein Datenschutzverstoß, durch den der Anspruchsteller persönlich betroffen sein muss. Anders als bei einer Verletzung des Allgemeinen Persönlichkeitsrecht steht hier nicht der Genugtuungsgedanke im Vordergrund, sondern es soll der aufgrund eines Verstoßes gegen die DSGVO entstandene Schaden vollständig und wirksam finanziell entschädigt werden, womit eine Ausgleichsfunktion verbunden ist (vgl. auch EuGH, Urteil vom 21. Dezember 2023 - C-667/21 -, Rn. 85, juris). Darüber hinaus erfüllt Art. 82 DSGVO einen weiteren Normzweck, mit dem ihm eine spezial- und auch generalpräventive Aufgabe zukommt, indem er dazu beitragen soll, dass innerhalb der Union ein gleichmäßiges und hohes Schutzniveau von natürlichen Personen bei der Verarbeitung personenbezogener Daten gewährleistet (vgl. EuGH, Urteil vom 4. Mai 2023 - C-300/21 -, NZA 2023, 621, Rn. 48) und ein Anreiz für die Einhaltung der DSGVO geschaffen wird (EuGH, Urteil vom 4. Mai 2023 - C-300/21 -, NZA 2023, 621, Rn. 40; EuGH, Urteil vom 21. Dezember 2023 - C-667/21 -, Rn. 85, juris). Schließlich enthält Art. 82 DSGVO eine eigenständige Anspruchsgrundlage für einen Ersatzanspruch, sodass die Grundsätze, die für einen Anspruch auf Geldentschädigung wegen einer Verletzung des Allgemeinen Persönlichkeitsrechts gelten, nicht anzuwenden sind. Insbesondere ist nicht erforderlich, dass es sich um einen schwerwiegenden Eingriff handelt; der EuGH hat eine Erheblichkeitsschwelle ausdrücklich verneint (EuGH, Urteil vom 4. Mai 2023 - C-300/21 -,NZA 2023, 621, Rn. 43 ff.). Grundsätzlich ist daher jeder Datenschutzverstoß geeignet, einen Schadensersatzanspruch aus Art. 82 Abs. 1, 2 DSGVO zu begründen.

Ferner ist ein schutzwürdiges Interesse des Schuldners an der Beibehaltung der Person des Gläubigers nicht erkennbar und die Leistung ist auch nicht dergestalt mit der Person des Gläubigers verknüpft, dass die Leistung an einen anderen Gläubiger als eine andere Leistung erschiene.


Den Volltext der Entscheidung finden Sie hier:

AG München: Keine materiell-rechtliche Verletzung des deutschen Urheberrechts durch Nutzung eines Fotos auf rein spanischsprachiger Website

AG München
Urteil vom 23.08.2024
161 C 12981/24


Das AG München hat entschieden, dass keine materiell-rechtliche Verletzung des deutschen Urheberrechts durch Nutzung eines Fotos auf einer rein spanischsprachigen Website vorliegt.

Aus den Entscheidungsgründen:
Die zulässige Klage ist unbegründet.

I. Die Klage ist zulässig, insbesondere ist die örtliche Zuständigkeit des Gerichts gegeben. Das Amtsgericht München ist für eine Entscheidung über denjenigen Schaden zuständig, der im Hoheitsgebiet der Bundesrepublik Deutschland verursacht wurde. Die internationale Zuständigkeit folgt aus Art. 7 Nr. 2 der EU-Verordnung Nr. 1215/2012 des Europäischen Parlaments und des Rates über die gerichtliche Zuständigkeit und die Anerkennung und Vollstreckung von Entscheidungen in Zivil- und Handelssachen vom 12.12.2012 (Brüssel Ia-VO; EuGVVO). Hiernach kann eine Person, die ihren Wohnsitz im Hoheitsgebiet eines Mitgliedsstaats hat, in einem anderen Mitgliedsstaat verklagt werden, wenn eine unerlaubte Handlung oder eine Handlung, die einer unerlaubten Handlung gleichgestellt ist, oder wenn Ansprüche aus einer solchen Handlung den Gegenstand des Verfahrens bilden. Der EuGH wendet dabei die klägerfreundliche Ubiquitätstheorie an, die sowohl den Handlungs- als auch den Erfolgsort zum Tatort erklärt. Fallen Handlungs- und Erfolgsort auseinander, steht dem Kläger ein Wahlrecht zu (BeckOK IT-Reht/Rühl, Stand 01.10.2023, VO (EU) Nr. 1215/2012 Art. 7 Rn. 9).

Die Klägerin verfolgt hier Ansprüche am Erfolgsort. Im Rahmen einer deliktischen Haftung wegen der Veröffentlichung von Fotografien im Internet unter Verletzung von Urheberrechten bestimmt sich der Erfolgsort nach zwei Gesichtspunkten. Erstens muss das betroffene Recht in dem Mitgliedsstaat des angerufenen Gerichts überhaupt geschützt sein (EuGH, Urteil vom 22.01.2015 – C-441/13 Rn. 29; EuGH, Urteil vom 03.10.2013 – C-170/12 Rn. 32, 33). Zweitens muss die Internetseite, über die die Urheberrechtsverletzung begangen wurde, im Mitgliedsstaat des angerufenen Gerichts zugänglich sein. Dabei ist unerheblich, ob die Inhalte der Seite sich auch bestimmungsgemäß an ein Publikum im Mitgliedsstaat des angerufenen Gerichts richten (EuGH, Urteil vom 22.01.2015 – C-441/13 Rn 31-34; EuGH, Urteil vom 03.10.2013 – C-170/12 Rn. 42, 47; so auch der BGH für § 32 ZPO: BGH, Urteil vom 21.04.2016 – I ZR 43/14 – An Evening with Marlene Dietrich, Rn. 18) (AG Köln, Urteil vom 13.04.2021 – 125 C 319/18, GRUR-RS 2021, 9276).

Die von der Klägerin geltend gemachten Rechte sind in Deutschland und damit auch im Gerichtsbezirk des Amtsgerichts München geschützt. Weiterhin war der Internetauftritt der Beklagten in Deutschland und im Gerichtsbezirk M. abrufbar, wobei es insoweit auch nicht darauf ankommt, ob sich dieser bestimmungsgemäß an Personen in Deutschland richtete.

Die Klägerin hat zwar auch vorgetragen, dass der Handlungsort der Beklagten in Deutschland sei, da die Beklagte die Erlaubnis zur Werknutzung in Deutschland hätte einholen müssen bzw. diese in Deutschland erteilt worden wäre. Dieser Vortrag führt aber nicht dazu, dass der Handlungsort der Rechtsverletzung i.S.d. § 19 a UrhG, für welche der Schadensersatzanspruch geltend gemacht wird, in Deutschland ist. Denn hierbei ist auf den Ort abzustellen, an dem der rechtswidrige Inhalt hochgeladen wird (EuGH, Urt. v. 22.1.2015 – C-441/13, GRUR 2015, 296, BeckOK IT-Reht/Rühl, Stand 01.10.2023, VO (EU) Nr. 1215/2012 Art. 7 Rn. 12) und nicht auf den Ort an dem eine vorherige Erlaubnis zur Nutzung zuvor hätte eingeholt werden müssen. Dies ist infolge des Wahlrechts der Klägerin aber hinsichtlich der Zulässigkeit der Klage unschädlich.

II. Die Klage ist unbegründet. Zwar ist das deutsche Recht im vorliegenden Fall anwendbar, allerdings steht der Klägerin der Schadensersatzanspruch mangels Vorliegens einer materiell-rechtlichen Verletzung deutschen Urheberrechts nicht zu.

1. Vorliegend ist deutsches Recht anwendbar. Dies folgt aus dem Territorialitätsprinzip. Danach gilt jedes Urheberrecht nur auf dem Territorium desjenigen Staates, der es erlassen hat (Peukert, 19. Aufl. 2023, Urheberrecht und verwandte Schutzrechte, § 49 Rn. 23, 24).

Urhebern stehen keine einheitlichen Schutzrechte zu, die einem einzigen Statut unterliegen, sondern sie verfügen über ein Bündel nationaler Schutzrechte (BGH GRUR 2007, 691, 691 – Staatsgeschenk). Demnach sind bei einer grenzüberschreitenden Rechtsverletzung, entsprechend einer Mosaikbetrachtung, alle betroffenen Rechtsordnungen anzuwenden, allerdings jede nur für das jeweilige Territorium (Katzenberger/Metzger, in: Schricker/Loewenheim, 5. Aufl. 2017, Vor §§ 120 ff. UrhG Rn. 143). Das Territorialitätsprinzip verweist wiederum auf das Schutzlandprinzip. Danach ist auf alle Fragen, die das Urheberrecht und die verwandten Schutzrechte betreffen, das Urheberrecht des Staates anzuwenden, für den Schutz beansprucht wird (lex loci protectionis; BGH GRUR Int 2003, 470, 471). Beruft sich der Kläger vor einem deutschen Gericht nur auf das UrhG, folgt daraus zugleich, dass Schutz nur für das Inland geltend gemacht wird (BGH ZUM 2014, 517, 518; BGH GRUR 2010, 628, 629) (LG Düsseldorf, Urteil vom 17.04.2019 – 12 O 48/18, GRUR-RS 2019, 60596).

2. Der Klägerin steht allerdings kein Anspruch aus § 97 Abs. 2 S. 1 UrhG zu.

a) Ein inländisches Urheberrecht kann grundsätzlich nur durch eine zumindest teilweise im Inland begangene Handlung verletzt werden (vgl. BGH, Urteil vom 24. Mai 2007 – I ZR 42/04 – Staatsgeschenk, Rn. 31, juris, m.w.N.). Daher wird in der Rechtsprechung und im Schrifttum hinsichtlich des Rechts der öffentlichen Zugänglichmachung mehrheitlich darauf abgestellt, in welchen Ländern ein Angebot bestimmungsgemäß abrufbar ist, an welche inländischen Internet-Nutzer sich ein Angebot also gezielt richtet; als Kriterien werden hierbei die Sprache des Angebots sowie ggf. Zahlungs- und Versandmodalitäten herangezogen (BeckOK UrhR, UrhG Kollisionsrecht und internationale Zuständigkeit, Rn. 26, beck-online).

Dabei ist eine Gesamtabwägung vorzunehmen, bei der auf der einen Seite zu berücksichtigen ist, wie groß die Auswirkungen der Nutzungshandlung auf die inländischen wirtschaftlichen Interessen des Schutzrechtsinhabers sind. Auf der anderen Seite ist maßgebend, ob und inwieweit die Rechtsverletzung sich als unvermeidbare Begleiterscheinung technischer oder organisatorischer Sachverhalte darstellt, auf die die Beklagte keinen Einfluss hat oder ob die Beklagte vielmehr zielgerichtet von der inländischen Erreichbarkeit profitiert und die Beeinträchtigung des Schutzrechtsinhabers dadurch nicht nur unwesentlich ist (LG Düsseldorf, Urteil vom 17.04.2019 – 12 O 48/18, GRUR-RS 2019, 60596; BGH, Urteil vom 8.3.2012 – I ZR 75/10, GRUR 2012, 621, Schricker/Loewenheim/Katzenberger/Metzger, 6. Auflage 2020, UrhG Vor §§ 120 ff Rn. 146).

Bei Anwendung dieser Kriterien liegt kein ausreichender Inlandsbezug vor. Die Websites „…“ sowie „…“ sowie die Beiträge auf I. und F. sind ausschließlich auf Spanisch verfasst. Die Beklagte ist lediglich in Spanien tätig und die Mitarbeiter der Beklagten können kein Deutsch. Sie wenden sich nicht an deutsche Kunden und die Beklagte hat keine Kunden in Deutschland. Insofern richten sich die Websites bzw. die Einträge auf F. und I. nicht an Personen im Inland. Hieran ändert auch die Verwendung der Top-Level Domain der Website „…“ nichts, da ansonsten kein weiteres Indiz auf das Inland verweist. Sofern die Klägerin im nicht nachgelassenen Schriftsatz vom 09.08.2024 nunmehr ausführt, die Sprache auf F. sei in aller Regel die Sprache des Benutzers, also in Deutschland deutsch, so dass Personen die in Spanien etwas auf spanisch posten würden, zumindest billigend in Kauf nehmen würden, dass der Post im Ausland in die jeweilige Landessprache übersetzt wird, vermag auch dies nach Auffassung des Gerichts – selbst bei Zugrundelegung dieses Vortrags – nichts am mangelnden Inlandsbezug zu verändern. Denn selbst bei Zugrundelegung dieser Tatsache handelt es sich letztlich nur um eine technisch unvermeidbare Begleiterscheinung, auf die die Beklagte keinen Einfluss hat. Im Übrigen würde eine Bejahung des Inlandsbezugs infolge dieser Tatsache letztlich wiederum dazu führen, dass infolge der weltweiten Abrufbarkeit des Beitrags auf F. , nur der Inhaber weltweiter Nutzungsrechte F. insoweit ohne Risiko nutzen könnte. Dies hätte für den jeweiligen Nutzer kaum vorhersehbare und mitunter unangemessene Folgen. Gerade um dies zu vermeiden, verlangt die Rechtsprechung und die überwiegende Literatur mehrheitlich einen hinreichenden Inlandsbezug. Dieses Erfordernis würde aber gerade unterlaufen werden, würde man eine automatische Übersetzung durch etwaige Internetportale in die jeweilige Benutzersprache des Benutzers der Plattform ausreichen lassen, um diesen zu bejahen.

3. Auch der Vortrag der Klägerin, dass deutsches Urheberrecht zur Anwendung komme, da die Beklagte mangels Einholung einer Erlaubnis zur Verwendung der Bilder die Schadensursache in Deutschland gesetzt habe, verfängt nicht. Zöge man dies als Kriterium für den Inlandsbezug heran, würde dessen Zweck, dem Recht des jeweiligen Landes nur solche Urheberrechtsverletzungshandlungen zu unterwerfen, die einen Bezug zu ebendiesem Land aufweisen, wiederum verfehlt. Eine derartige Herleitung des Inlandsbezugs würde letztlich dazu führen, dass bei einer Verletzung des Rechts der öffentlichen Zugänglichmachung immer in dem Land, in dem der Rechteinhaber seinen Sitz hat, eine Verletzung des Urheberrechts in Betracht kommen würde. Dann müsste der jeweilige Verwerter bzw. Nutzer eines urheberrechtlich geschützten Werks wiederum jeweils vor einer Nutzung den Sitz des Rechteinhabers und die dort geltenden Urheberrechtsbestimmungen recherchieren, was zu einer immensen Rechtsunsicherheit führen würde. Auch würde dies dazu führen, dass durch die Verlegung des Sitzes der jeweiligen Urheber, diese die Geltung der jeweiligen Urheberrechte herbeiführen könnten.

4. Mangels materiell-rechtlicher Verletzung des deutschen Urheberrechts stehen dem Kläger auch die mit den weiteren Klageanträgen geltend gemachten Ansprüche – jedenfalls vor dem angerufenen Gericht – nicht zu.

Den Volltext der Entscheiung finden Sie hier:

OLG Frankfurt: Bei Persönlicheitsrechtsverletzungen in Presse und Medien ist regelmäßig ein Streitwert zwischen 5.000 EUR und 15.000 EUR je selbständiger inhaltsverschiedener Äußerung angemessen

OLG Frankfurt
Beschluss vom 03.06.2024
16 W 18/24


Das OLG Frankfurt hat entschieden, dass bei Persönlicheitsrechtsverletzungen in Presse und Medien regelmäßig ein Streitwert zwischen 5.000 EUR und 15.000 EUR je selbständiger inhaltsverschiedener Äußerung angemessen ist.

Aus den Entscheidungsgründen:
1. Der für die Streitwertfestsetzung gewählte Ausgangspunkt des Landgerichts ist rechtlich nicht zu beanstanden.

a) Bei der Abwehr von Persönlichkeitsrechtsverletzungen durch Äußerungen in der Presse oder anderen Medien ist der Streitwert gemäß § 48 Abs. 2 Satz 1 GKG unter Berücksichtigung aller Umstände des Einzelfalls nach Ermessen zu bestimmen. Abhängig vorwiegend davon, in welcher Sphäre seines Persönlichkeitsrechts der Betroffene durch die Äußerung berührt wird, welche Schwere ein hiermit verbundener Eingriff hat und welcher Verbreitungsgrad dem gewählten Medium zukommt, geht der Senat dabei unter Orientierung am Auffangwert des § 52 Abs. 2 GKG (vgl. BGH, Beschl. v. 17. Januar 2023 - VI ZB 114/21 -, Rn. 11; Herget in: Zöller, Zivilprozessordnung, 35. Auflage 2024, § 3 ZPO, Rn. 16.57) von einem Streitwert zwischen etwa 5.000,00 EUR und 15.000,00 EUR je selbständiger, inhaltsverschiedener Äußerung aus. Höhere Beträge kommen regelmäßig nur bei der Betroffenheit von Prominenten oder bei besonders spektakulären Fällen in Betracht (vgl. OLG Frankfurt, Beschl. v. 2. Juni 2023 - 16 W 27/23 -, Rn. 21) bzw. dann, wenn statt einzelner Äußerungen die durch eine komplexere Schrift geschaffene Herabsetzung des Betroffenen insgesamt in Rede steht (vgl. OLG Frankfurt, Beschl. v. 21. September 1999 - 16 W 39/98 -, Rn. 5).

b) Wird um entsprechenden Rechtsschutz im Wege der einstweiligen Verfügung nachgesucht, wird der Streitwert gemäß § 53 Abs. 1 Nr. 1 GKG i.V.m. § 3 ZPO von dem Gericht nach freiem Ermessen festgesetzt. Er bleibt dann im Allgemeinen unter dem Streitwert der Hauptsache, weil das in diesem Verfahren verfolgte Sicherungsinteresse des Betroffenen im Regelfall nicht sein Befriedigungsinteresse erreicht. Da das Presserecht grundsätzlich von dem Erfordernis einer schnellen Reaktion geprägt ist (vgl. BVerfG, Beschl. v. 12. März 2024 - 1 BvR 605/24 -, Rn. 16) und dem Sicherungsinteresse daher in äußerungsrechtlichen Sachverhalten häufig höheres Gewicht zukommt, erachtet der Senat einen Abschlag von mehr als 1/3 gegenüber dem Hauptsachewert allerdings regelmäßig für nicht angezeigt (vgl. OLG Frankfurt, Beschl. v. 2. Juni 2023 - 16 W 27/23 -, Rn. 22; vom 22. Dezember 2020 - 16 W 83/20 -, Rn. 31).

c) Mehrere Streitwerte werden gemäß § 39 GKG zusammengerechnet. Das gilt im Äußerungsrecht sowohl für die Beanstandung mehrerer selbständiger, inhaltsverschiedener Äußerungen, wie ebenso für die Inanspruchnahme mehrerer Unterlassungsschuldner. Denn diese schulden Unterlassung - hier aus § 1004 Abs. 1 Satz 2 BGB analog, § 823 Abs. 1 BGB i.V.m. Art. 2 Abs. 1, Art. 1 Abs. 1 GG - nicht nur einmal, sondern jeder für sich (vgl. BGH, Urt. v. 27. November 2020 - V ZR 121/19 -, Rn. 35; v. 15. April 1975 - VI ZR 93/73 -, Rn. 19).

2. Dies zugrunde gelegt, ist die Festsetzung des Streitwerts auch in der Sache zu Recht mit 20.000 Euro erfolgt.

Die angegriffene Berichterstattung berichtet über das angebliche Angebot des Antragstellers, an seine Lebensgefährtin herangetragene Geldforderungen durch eine Einmalzahlung abzugelten, und betrifft damit Umstände, die auf Seiten des Antragstellers allenfalls dem äußeren Rand seiner Privatsphäre zuzurechnen sind. Zudem ist der Antragsteller - anders als seine Lebensgefährtin, die eine gewisse Boulevardprominenz genießt - einer breiteren Öffentlichkeit wenig bekannt. Bei dieser Sachlage war das verfolgte Unterlassungsbegehren unter Berücksichtigung der vorgenannten Kriterien wie geschehen mit einem Streitwert von 10.000 Euro zu bewerten, ein am Sicherungsinteresse des Antragstellers ausgerichteter Abschlag von 1/3 vorzunehmen und mit der Anzahl der Antragsgegner zu multiplizieren.


Den Volltext der Entscheidung finden Sie hier: