Skip to content

OLG Frankfurt: Bei Augenbrauenpigmentierung besteht ein gewisser künstlerischer Gestaltungsspielraum - kein Anspruch auf Schadensersatz oder Schmerzensgeld

OLG Frankfurt
Hinweisbeschluss vom 05.07.2022
17 U 116/21


Das OLG Frankfurt hat im Rahmen eines Hinweisbeschlusses ausgeführt, dass bei eine kosmetischen Behandlung in Form einer Augenbrauenpigmentierung ein gewisser künstlerischer Gestaltungsspielraum besteht und bei Geschmacksabweichungen kein Anspruch auf Schadensersatz bzw. Schmerzensgeld besteht.

Die Pressemitteilung des Gerichts:
Kein Mangel bei Geschmacksabweichungen über eine Augenbrauenpigmentierung

Eine Augenbrauenpigmentierung betrifft neben der reinen handwerklichen Leistung auch künstlerische Aspekte. Der Besteller hat deshalb grundsätzlich einen künstlerischen Gestaltungsspielraum des Unternehmers hinzunehmen, so dass Geschmacksabweichungen keinen Mangel begründen. Dies ist nur anders, wenn konkrete Vorgaben im Sinne einer Beschaffenheitsvereinbarung gemacht wurden. Da derartige Vorgaben nicht feststellbar waren, hat das Oberlandesgericht Frankfurt am Main (OLG) mit heute veröffentlichter Entscheidung den mit der Berufung weiterverfolgten Ansprüchen auf Schmerzensgeld und Ersatz der Kosten einer Korrekturbehandlung keinen Erfolg beigemessen.

Der Kläger unterzog sich einer kosmetischen Behandlung seiner Augenbrauen in einem Kosmetikstudio der Beklagten in Wiesbaden. Er bestätigte mit seiner Unterschrift unter anderem, dass vor der Pigmentierung das Permanent Make-up vorgezeichnet und mittels Spiegel gezeigt worden sei. Gleiches gelte für das ungefähre Farbendergebnis. Der Kläger unterzeichnete zudem einen als „Abnahme“ bezeichneten Passus, wonach er das Permanent Make-up genauestens überprüft und nach der Behandlung als einwandfrei und ordnungsgemäß beurteilt habe.

Für die Behandlung zahlte er 280 €. Einen Tag später beschwerte er sich über die zu dunkle Farbe; weitere drei Tage später verlangte er das Honorar wegen eines nicht zufriedenstellenden Behandlungsergebnisses zurück. Drei Monate später unterzog er sich einer korrigierenden Laserbehandlung an den Augenbrauen. Diese kostete 289 €.

Der Kläger verlangt nunmehr Schmerzensgeld i.H.v. 3.500 € sowie Erstattung der Kosten der Korrekturbehandlung. Er behauptet, es sei ein so genanntes Micro-Blading vereinbart worden, bei welchem die Linien der Härchen der Augenbrauen eingeschnitten und mit Farbpigmenten in die Haut eingearbeitet würden. Die vorgenommene Pigmentierung der Beklagten entstelle ihn dagegen; ihm seien „zwei schwarze Balken“ in Höhe der Augenbrauen tätowiert worden.

Das Landgericht hatte die Klage abgewiesen. Auch das OLG maß der Berufung keinen Erfolg bei. Der Kläger habe weder Anspruch auf Zahlung der Kosten der Laserbehandlung noch auf Entrichtung eines Schmerzensgeldes, führte das OLG im Hinweisbeschluss aus. Der Kläger habe mit der Beklagten ausweislich der Einwilligungserklärung einen Vertrag zur Durchführung eines Permanent-Make-Ups geschlossen, nicht aber für eine Härchenzeichnung mittels Micro-Blading. Ausweislich der Erklärung habe der Kläger sich ausdrücklich mit einem Permanent Make-up einverstanden erklärt. Der Kläger habe nicht dargelegt, dass die danach geschuldete Permanent Make-up-Behandlung fehlerhaft durchgeführt worden sei.

Das Werk der Beklagten sei auch nicht wegen etwaiger optischer Abweichungen mangelhaft. „Da bei einer Augenbrauenpigmentierung neben der reinen handwerklichen Leistung auch künstlerische Aspekte betroffen sind, hat der Besteller grundsätzlich einen künstlerischen Gestaltungsspielraum des Unternehmers hinzunehmen ..., so dass Geschmacksabweichungen nicht geeignet sind, einen Mangel zu begründen“, betont das OLG. Dies wäre nur anders, wenn der Besteller konkrete Vorgaben gemacht hätte. Dies könne hier nicht festgestellt werden. Der Kläger habe - so das OLG - vielmehr nicht bewiesen, „dass die auf den Lichtbildern erkennbare von der Augenbrauenlinie, der Augenform und der Dicke der Augenbrauen abweichende, zum Teil oberhalb derselben liegende, balkenförmig mit Spitzzulauf ausgeführte Tätowierung von der Absprache abweicht, die der Kläger mit der Beklagten zur Gestaltung der Augenbrauen getroffen hat“. Darüber hinaus habe der Kläger durch Unterzeichnung der Abnahmeerklärung das Werk als einwandfreien ordnungsgemäß gebilligt. Soweit der Farbton der Segmentierung als zu dunkel gerügt werde, habe der Kläger nicht dargelegt, welchen konkreten anderen Farbton er ausgewählt habe.

Der Kläger hat auf diesen Hinweisbeschluss in die Berufung zurückgenommen.

Oberlandesgericht Frankfurt am Main, Hinweisbeschluss vom 5.7.2022, Az. 17 U 116/21

(vorausgehend Landgericht Wiesbaden, Urteil vom 13.10.2021, Az. 1 O 24/21)



LfD Niedersachsen: 900.000 EURO Bußgeld gegen Kreditinstitut wegen datenschutzwidriger Profilbildung zu Werbezwecken - kein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO

Die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen hat gegen ein Kreditinstitut wegen datenschutzwidriger Profilbildung zu Werbezwecken ein Bußgeld in Höhe von 900.000 EURO verhängt. Das Kreditinstitut kann sich nicht auf ein berechtigtes Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO berufen. Vielmehr wäre die Einholung einer Einwilligung erforderlich gewesen.

Die Pressemitteilung der Datenschutzbehörde:
900.000 Euro Bußgeld gegen Kreditinstitut wegen Profilbildung zu Werbezwecken

Die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen hat gegen ein Kreditinstitut eine Geldbuße in Höhe von 900.000 Euro festgesetzt. Der Bußgeldbescheid ist noch nicht rechtskräftig.

Das Unternehmen hatte Daten aktiver sowie ehemaliger Kundinnen und Kunden ohne deren Einwilligung ausgewertet. Dazu analysierte es das digitale Nutzungsverhalten und wertete unter anderem das Gesamtvolumen von Einkäufen in App-Stores, die Häufigkeit der Nutzung von Kontoauszugsdruckern sowie die Gesamthöhe von Überweisungen im Online-Banking im Vergleich zur Nutzung des Filialangebots aus. Hierzu bediente es sich eines Dienstleisters. Ergänzend wurden die Ergebnisse der Analyse mit einer Wirtschaftsauskunftei abgeglichen und von dort angereichert. Ziel war es, Kundinnen und Kunden mit einer erhöhten Neigung für digitale Medien zu identifizieren und diese adressatengerecht für vertragsrelevante oder werbliche Zwecke verstärkt auf elektronischen Kommunikationswegen anzusprechen. Den meisten Kundinnen und Kunden wurden zwar vorab zusammen mit anderen Unterlagen Informationen zugeschickt. Diese ersetzten die notwendigen Einwilligungen allerdings nicht.

Dem Unternehmen wird vorgeworfen, dass die vorgenommene Auswertung nicht mit Artikel 6 Absatz 1 Buchstabe f der Datenschutz-Grundverordnung (DS-GVO) vereinbar war. Danach kann ein Verantwortlicher personenbezogene Daten auf Grundlage einer Interessenabwägung verarbeiten. Die Interessen der betroffenen Person dürfen dabei nicht überwiegen. Bei der Festsetzung der Geldbuße wurde berücksichtigt, dass das Unternehmen die Ergebnisse seiner Auswertungen nicht weiterverwendet hatte. Zudem hat sich das Unternehmen im gesamten Verfahren kooperativ gezeigt.

Häufung ähnlicher Fälle

Der LfD Niedersachsen werden vermehrt Fälle bekannt, in denen Verantwortliche Daten von Kundinnen und Kunden, die zunächst rechtmäßig verarbeitet wurden, zur Profilbildung auswerten. Hierzu nutzen Sie teilweise externe Anbieter oder gleichen ihre Ergebnisse mit diesen ab.

„Die Verantwortlichen holen sich für solche Auswertungen häufig keine Einwilligung der Kundinnen und Kunden ein“, sagt die Landesdatenschutzbeauftragte Barbara Thiel. „Stattdessen berufen sie sich auf eine Interessenabwägung nach Artikel 6 Absatz 1 Buchstabe f DS-GVO. Diese Rechtsgrundlage erlaubt es aber nicht, Profile für Werbezwecke zu bilden, indem man große Datenbestände auswertet.“

Zwar liegt die werbliche Ansprache (potenzieller) Kundinnen und Kunden im Interesse der Verantwortlichen. Der Gesetzgeber stuft dieses Interesse aber als weniger gewichtig ein, indem er für die betroffenen Personen eine erleichterte Widerspruchsmöglichkeit vorsieht. Der Widerspruch muss nicht begründet werden. Bei der Interessenabwägung überwiegen zudem die Interessen der betroffenen Kundinnen und Kunden.

Vernünftige Erwartung maßgeblich

Verantwortliche müssen bei der Interessenabwägung unter anderem die vernünftigen Erwartungen der Kundinnen und Kunden berücksichtigten. „Die Betroffenen erwarten es aber in der Regel nicht, dass Verantwortliche im großen Umfang Datenbestände nutzen, um ihre Neigung zu bestimmten Produktkategorien oder Kommunikationswegen zu identifizieren“, so Barbara Thiel. Verantwortliche können sich in diesen Fällen deshalb nicht auf eine Interessenabwägung berufen und müssen stattdessen Einwilligungen einholen.

Werden zudem externe Stellen einbezogen (z. B. Wirtschaftsauskunfteien), können Daten aus unterschiedlichen Lebensbereichen verkettet und so genauere Profile erstellt werden. Hiermit müssen Kundinnen und Kunden erst recht nicht rechnen, weshalb auch hierfür Einwilligungen eingeholt werden müssen.

LfD Niedersachsen: 1,1 Millionen Euro Bußgeld gegen Volkswagen wegen Verstößen gegen DSGVO bei Forschungsfahrten für Fahrassistenzsystem

Die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen hat gegen die Volkswagen AG ein Bußgeld in Höhe von 1,1 Millionen Euro wegen Verstößen gegen die DSGVO im Zusammenhang mit Forschungsfahrten für ein Fahrassistenzsystem verhängt.

Die Pressemitteilung der Datenschutzbehörde:

1,1 Millionen Euro Bußgeld gegen Volkswagen - DATENSCHUTZVERSTÖSSE IM RAHMEN VON FORSCHUNGSFAHRTEN

Die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen hat gegen die Volkswagen Aktiengesellschaft eine Geldbuße nach Art. 83 Datenschutz-Grundverordnung (DS-GVO) in Höhe von 1,1 Millionen Euro festgesetzt. Grund sind Datenschutzverstöße in Zusammenhang mit dem Einsatz eines Dienstleisters bei Forschungsfahrten für ein Fahrassistenzsystem zur Vermeidung von Verkehrsunfällen. Das Unternehmen hat umfassend mit der LfD Niedersachsen kooperiert und den Bußgeldbescheid akzeptiert.

Ein Erprobungsfahrzeug des Unternehmens wurde im Jahr 2019 durch die österreichische Polizei bei Salzburg für eine Verkehrskontrolle angehalten. Den Polizeibediensteten waren am Fahrzeug ungewöhnliche Anbauten aufgefallen, die sich noch vor Ort als Kameras herausstellten. Das Fahrzeug wurde eingesetzt, um die Funktionsfähigkeit eines Fahrassistenzsystems zur Vermeidung von Verkehrsunfällen zu testen und zu trainieren. Unter anderem zur Fehleranalyse wurde das Verkehrsgeschehen um das Fahrzeug herum aufgezeichnet.

Am Fahrzeug fehlten aufgrund eines Versehens Magnetschilder mit einem Kamerasymbol und den weiteren vorgeschriebenen Informationen für die datenschutzrechtlich Betroffenen, in diesem Fall die anderen Verkehrsteilnehmenden. Diese müssen laut Artikel 13 DS-GVO bei einer Datenverarbeitung unter anderem darüber aufgeklärt werden, wer die Verarbeitung zu welchem Zweck durchführt und wie lange die Daten gespeichert werden. Bei der weiteren Prüfung wurde zudem festgestellt, dass Volkswagen keinen Auftragsverarbeitungsvertrag mit dem Unternehmen abgeschlossen hatte, das die Fahrten durchführte. Dieser wäre nach Artikel 28 DS-GVO erforderlich gewesen. Weiterhin war keine Datenschutz-Folgenabschätzung nach Artikel 35 DS-GVO durchgeführt worden, mit der vor Beginn einer solchen Verarbeitung mögliche Risiken und deren Eindämmung bewertet werden müssen. Schließlich fehlte eine Erläuterung der technischen und organisatorischen Schutzmaßnahmen im Verzeichnis der Verarbeitungstätigkeiten, was einen Verstoß gegen die Dokumentationspflichten nach Artikel 30 DS-GVO darstellte.

Diese vier Verstöße mit jeweils niedrigem Schweregrad, von denen keiner weiterhin andauert, sind Gegenstand des Bußgeldbescheides. Volkswagen hat die Mängel, die in keinem Bezug zu Serienfahrzeugen stehen, im Rahmen des vorangegangenen Prüfverfahrens unverzüglich abgestellt.

„Die eigentlichen Forschungsfahrten waren datenschutzrechtlich nicht zu beanstanden“, sagt die Landesdatenschutzbeauftragte Barbara Thiel. „Gegen die dabei anfallende Erhebung und Weiterverarbeitung personenbezogener Daten bestehen von unserer Seite keine Bedenken.“ Berücksichtigt wurde dabei insbesondere, dass die Verarbeitung dazu dient, ein Fahrassistenzsystem zur Verhinderung von Unfällen zu optimieren und so die Sicherheit im Straßenverkehr zu erhöhen.

Aufgrund der grenzüberschreitenden Verarbeitung personenbezogener Daten beteiligte die LfD vor Erlass des Bußgeldbescheides andere betroffene europäische Datenschutzaufsichtsbehörden im Kooperationsverfahren nach Artikel 60 DS-GVO.



AG München: Verfallene Burg darf als "Lost Place" bezeichnet werden - Kein Anspruch auf Zahlung von Geldentschädigung

AG München
Urteil vom 09.04.2021
142 C 14251/20


Das AG München hat entschieden, dass eine verfallene Burg als "Lost Place" bezeichnet werden darf und kein Anspruch auf Zahlung einer Geldentschädigung besteht.

Die Pressemitteilung des Gerichts:
"Lost Places" - verfallene Burg darf als „lost Place“ bezeichnet werden

Mit Urteil vom 09.04.2021 wies das Amtsgericht München die Klage einer US-amerikanischen Gesellschaft auf Schadenersatz wegen einer Urheberrechtsverletzung ab.

Die Klägerin ist Eigentümerin eines in Thüringen gelegenen historischen Schlosses. Das Schloss wurde im neunten Jahrhundert erstmals erwähnt. Im vierzehnten Jahrhundert wurde es nach einem Brand wiederhergestellt.

Der Beklagte betreibt eine Internetseite. Auf dieser veröffentlichte er 2018 in der Rubrik „Lost Places“ diverse Fotografien der Burg, die diese unter Anderem von innen zeigen.

Die Klägerin behauptet, das Gebäude sei urheberrechtlich geschützt und sie sei Inhaberin der Urheberrechte. Die ungenehmigte Anfertigung der Bilder und das rechtswidrige Eindringen stellten eine Verletzung des „ausländischen Copyrights“ der Klägerin dar. Als Schadenersatz verlangte sie 3.000,00 €. Dies entspräche dem Pauschalpreis, den sie einer Film-Crew bis zu vier Personen für die Lizenz berechne.

Die Verbreitung der Fotos verletze den ‚foreign copyright claim‘ und moralische Rechte. Die Bezeichnung der Burg als „Lost Place“ sei unwahr. Die Burg sei weder verloren noch verlassen. Der Schadensersatz hierfür betrage 1.500,00 €.

Der Beklagte war hingegen der Ansicht, dass sich der Zustand des Gebäudes einer Ruine ohne jeglichen materiellen oder immateriellen Wert annähere. In diesem Zustand komme der Burg kein Urheberrechtschutz zu. Zudem sei das Grundstück frei zugänglich, Nachteile oder ein Schaden könnten der Klägerin daher durch das Anfertigen von Fotografien nicht entstanden sein.

Das Gericht wies die Klage vollumfänglich ab. Der zuständige Richter führte in der Begründung aus:

„Urheberrechtlicher Schutz nach § 11 S. 1 UrhG kann der Klägerin (…) von Vornherein nicht zukommen, da sie entgegen ihrer auch insoweit unschlüssigen Behauptung nicht Urheberin der (…)burg ist. Urheber können zum einen nur natürliche, nicht dagegen auch juristische Personen sein (Begr. BT-Drs. IV/270, 41; BeckOK UrhR/Ahlberg, 29. Ed. 20.4.2018, UrhG § 7 Rn. 7). Zum anderen ist nicht dargelegt, dass die Klägerin die (…)burg errichtet hat, was angesichts des Fertigstellungsdatums jedenfalls des Wiederaufbaus im Jahr 1375 wohl auch eher fernliegen dürfte. Zu abgeleiteten Schutzrechten ist ebenso nichts vorgetragen, ein Entstehen solcher ist angesichts der lange zurückliegenden Errichtung ebenfalls völlig abwegig.

Soweit die Klägerin ihren Antrag (…) (auch) darauf stützen will, dass der Beklagte die Immobilie der Klägerin auf seiner Internetseite als „lost place“ bezeichnet hat, scheiden Schadensersatzansprüche ebenfalls aus. Insbesondere kommt ein Anspruch auf Geldentschädigung nach §§ 823 Abs. 1 BGB i.V.m. einer Verletzung des allgemeinen Persönlichkeitsrechts bzw. des Rechts am eingerichteten und ausgeübten Gewerbebetrieb nicht in Betracht.

Die Klägerin verlangt insoweit offenbar Geldentschädigung für immaterielle Schäden (“Verletzung moralischer Rechte“). Eine solche kann zum einen nur natürlichen Personen zustehen und kommt zum anderen nur in Betracht, wenn eine schwere Beeinträchtigung vorliegt, die nach Art der Verletzung nicht in anderer Weise ausgeglichen werden kann (vgl. hierzu i.E. Palandt-Sprau, 79. Aufl., § 823 BGB Rn. 130 m.w.N.). Die erstgenannte Voraussetzung ist offenkundig nicht erfüllt, auch eine schwerwiegende Beeinträchtigung durch die Äußerung des Beklagten ist nicht annähernd ausreichend dargetan oder ersichtlich.

Überdies scheidet auch insoweit eine Verletzungshandlung offensichtlich aus. Aus den von der Klägerin selbst (…) vorgelegten Lichtbildern ergibt sich unzweifelhaft, dass das Objekt leer steht, nach der Außenansicht zu urteilen ist es zudem tatsächlich in einem äußerst schlechten baulichen Zustand, so dass zumindest der Verfall droht. Wenn der Beklagte eine derartige Immobilie als „lost place“ bezeichnet handelt es sich daher um eine offenkundig wahre Tatsachenbehauptung.“

Urteil des Amtsgerichts München vom 09.04.2021

Aktenzeichen 142 C 14251/20



In der Online-Ausgabe der PZ - Pharmazeutische Zeitung - Statements von Rechtsanwalt Marcus Beckmann zum Thema Google Fonts, DSGVO und Abmahnungen

In der Online-Ausgabe der PZ - Pharmazeutische Zeitung erschien ein Beitrag von Melanie Höhn mit dem Titel "Google Fonts - Gefahr der Massenabmahnungen für Apotheker" mit einigen Statements von Rechtsanwalt Marcus Beckmann zu den relevanten rechtlichen Aspekten.

Siehe auch zum Thema: LG München: Unterlassungsanspruch und 100 EURO Schadensersatz aus Art. 82 DSGVO wegen Verwendung von Google Fonts mit Übermittlung von IP-Daten an Google


BGH: Presseberichterstattung über Umstände des Todes eines nahen Angehörigen kann im Einzelfall auch Persönlichkeitsrecht des Angehörigen verletzen

BGH
Urteil vom 17.05.2022 - VI ZR 123/21
Urteil vom 17.05.2022 - VI ZR 124/21
Urteil vom 17.05.2022 - VI ZR 125/21
Urteil vom 17.05.2022 - VI ZR 141/21
GG Art. 1 Abs. 1, Art. 2 Abs. 1, Art. 5 Abs. 1; BGB § 823 Abs. 1, § 1004 Abs. 1 Satz 2


Der BGH hat in mehreren Verfahren entschieden, dass Presseberichterstattung über Umstände des Todes eines nahen Angehörigen im Einzelfall auch das Persönlichkeitsrecht des nahen Angehörigen verletzen kann.

Leitsätze des BGH:
a) Zur Verletzung des allgemeinen Persönlichkeitsrechts des Ehemanns durch eine Berichterstattung über die Umstände des Todes der Ehefrau.

b) Gegen rechtsverletzende Eingriffe in das Persönlichkeitsrecht kann nur der unmittelbar Verletzte, nicht auch derjenige vorgehen, der von den Fernwirkungen eines Eingriffs in das Persönlichkeitsrecht eines anderen nur mittelbar belastet wird, solange diese Auswirkungen nicht auch als Verletzung des eigenen Persönlichkeitsrechts zu qualifizieren sind. Es hängt von den Umständen einer Berichterstattung über den Tod einer Person im Einzelfall ab, ob sie das Persönlichkeitsrecht eines nahen Angehörigen unmittelbar oder nur mittelbar beeinträchtigt.

c) Eine vom Recht auf Achtung der Privatsphäre umfasste Situation großer emotionaler Belastung kann auch die des Bangens um das Leben eines nahen Angehörigen sein.

BGH, Urteil vom 17. Mai 2022 - VI ZR 123/21
BGH, Urteil vom 17. Mai 2022 - VI ZR 124/21
BGH, Urteil vom 17. Mai 2022 - VI ZR 125/21
BGH, Urteil vom 17. Mai 2022 - VI ZR 141/21
KG Berlin - LG Berlin

Die Volltexte finden Sie hier:
VI ZR 123/21
VI ZR 124/21
VI ZR 125/21
VI ZR 141/21



OLG Frankfurt: Unterlassungsanspruch und 1.000 EURO Entschädigung für Person nicht-binärer Geschlechtszugehörigkeit gegen Deutsche Bahn wegen Diskriminierung durch Anreden "Herr" oder "Frau"

OLG Frankfurt
Urteil vom 21.06.2022
9 U 92/20


Das OLG Frankfurt hat entschieden, dass ein Unterlassungsanspruch und ein Anspruch auf 1.000 EURO Entschädigung für eine Person nicht-binärer Geschlechtszugehörigkeit gegen die Deutsche Bahn wegen Diskriminierung durch Anreden "Herr" oder "Frau" besteht.

Die Pressemitteilung des Gerichts:
Unterlassungs- und Entschädigungsanspruch einer Person nicht-binärer Geschlechtszugehörigkeit

Das Oberlandesgericht (OLG) Frankfurt am Main hat mit heute verkündeter Entscheidung die Vertriebstochter des größten deutschen Eisenbahnkonzerns verpflichtet, es ab dem 01.01.2023 zu unterlassen, die klagende Person nicht-binärer Geschlechtszugehörigkeit dadurch zu diskriminieren, dass diese bei der Nutzung von Angeboten des Unternehmens zwingend eine Anrede als „Herr“ oder „Frau“ angeben muss. Bezüglich der Ausstellung von Fahrkarten, Schreiben des Kundenservice, Werbung und gespeicherter personenbezogener Daten gilt das Unterlassungsgebot ohne Umstellungsfrist sofort. Zudem hat das Unternehmen an die klagende Person eine Entschädigung i.H.v. 1.000 € zu zahlen.

Die Beklagte ist Vertriebstochter des größten deutschen Eisenbahnkonzerns. Die klagende Person besitzt eine nicht-binäre Geschlechtsidentität. Die Person ist Inhaberin einer BahnCard und wird in diesbezüglichen Schreiben sowie Newslettern der Beklagten mit der unzutreffenden Bezeichnung „Herr“ adressiert. Auch beim Online-Fahrkartenverkauf der Beklagten ist es zwingend erforderlich, zwischen einer Anrede als „Frau“ oder „Herr“ auszuwählen. Die klagende Person ist der Ansicht, ihr stünden Unterlassungsansprüche sowie ein Anspruch auf Entschädigung in Höhe von € 5.000 gegen die Beklagte zu, da deren Verhalten diskriminierend sei.

Das Landgericht hatte den Unterlassungsansprüchen der klagenden Person stattgegeben und Entschädigungsansprüche abgewiesen.

Auf die Berufungen der Parteien hin hat das OLG die Unterlassungsansprüche der klagenden Person bestätigt, dabei allerdings der Beklagten hinsichtlich des Unterlassungsgebots bezüglich der Nutzung von Angeboten der Beklagten eine Umstellungsfrist bis zum Jahresende eingeräumt. Zudem hat es eine Entschädigung i.H.v. 1.000 € zugesprochen. Die klagende Person könne wegen einer unmittelbaren Benachteiligung im Sinne der §§ 3, 19 AGG aus Gründen des Geschlechts und der sexuellen Identität bei der Begründung und Durchführung von zivilrechtlichen Schuldverhältnissen im Massenverkehr Unterlassung verlangen, begründete das OLG seine Entscheidung. Das Merkmal der Begründung eines Schuldverhältnisses sei dabei weit auszulegen und nicht nur auf konkrete Vertragsanbahnungen zu beziehen. Es umfasse auch die Verhinderung geschäftlicher Kontakte, wenn Menschen mit nicht-binärer Geschlechtszugehörigkeit gezwungen würden, für einen Online-Vertragsschluss zwingend die Anrede „Herr“ oder „Frau“ auszuwählen.

Allerdings hat das OLG der Beklagten eine Umstellungsfrist bis zum Jahresende von gut sechs Monaten eingeräumt. Dies bezieht sich insbesondere auf die Nutzung des von der Beklagten zur Verfügung gestellten allgemeinen Buchungssystems für Online-Fahrkarten, das sich nicht nur an die klagende Person richtet. Das OLG hat die gewährte Umstellungsfrist nach dem Grundsatz der Verhältnismäßigkeit und Zumutbarkeit im Hinblick auf den für die Anpassung erforderlichen erheblichen Aufwand bemessen.

Keine Umstellungsfrist hat das OLG der Beklagten dagegen gewährt, soweit sich der Unterlassungsanspruch der klagenden Person auf die Ausstellung von Fahrkarten, Schreiben des Kundenservice, Werbung und gespeicherte personenbezogene Daten bezieht. In der diesbezüglichen individuellen Kommunikation sei es für die Beklagte technisch realisierbar und auch im Hinblick auf den finanziellen und personellen Aufwand zumutbar, dem Unterlassungsanspruch ohne Übergangsfrist zu entsprechen.

Das OLG hat der klagenden Person zudem wegen der Verletzung des Benachteiligungsverbots eine Geldentschädigung in Höhe von 1.000 € zugesprochen. Die klagende Person habe infolge der Verletzung des Benachteiligungsverbots einen immateriellen Schaden erlitten, begründet das OLG. Sie erlebe „die Zuschreibung von Männlichkeit“ seitens der Beklagten als Angriff auf die eigene Person, welche zu deutlichen psychischen Belastungen führe. Die Entschädigung in Geld sei angemessen, da sie der klagenden Person Genugtuung für die durch die Benachteiligung zugefügte Herabsetzung und Zurücksetzung verschaffe. Abzuwägen seien dabei die Bedeutung und Tragweite der Benachteiligung für die klagende Person einerseits und die Beweggründe der Beklagten andererseits. Die Benachteiligungen für die klagende Person sei hier als so massiv zu bewerten, dass sie nicht auf andere Weise als durch Geldzahlung befriedigend ausgeglichen werden könnten. Zu Gunsten der Beklagten sei aber zu berücksichtigen, dass keine individuell gegen die Beklagte gerichteten Benachteiligungshandlungen erfolgt seien. Zudem handele es sich bei der Frage der Anerkennung der Persönlichkeitsrechte von Menschen mit nicht-binärer Geschlechtsidentität um eine neuere gesellschaftliche Entwicklung, welche selbst in der Gleichbehandlungsrichtlinie aus dem Jahr 2004 (RL 2004/11/EG) noch keinen Niederschlag gefunden habe. So sei nicht ersichtlich, dass die Beklagte bei Einführung ihrer Software in Bezug auf den Online-Ticketkauf bewusst oder absichtlich zur Benachteiligung nicht-binärer Personen eine geschlechtsneutrale Erwerbsoption ausgespart habe. Allerdings habe die Beklagte ihre IT-Systeme im Unterschied zu anderen großen Unternehmen bislang nicht angepasst. Zudem sei ihr vorzuhalten, dass sie gerade in der individuellen Kommunikation mit der klagenden Person - so etwa hinsichtlich der BahnCard - nach wie vor eine unzutreffende männliche Anrede verwende.

Die Entscheidung ist nicht anfechtbar.

Oberlandesgericht Frankfurt am Main, Urteil vom 21.06.2022, Az. 9 U 92/20

(vorausgehend Landgericht Frankfurt am Main, Schlussurteil vom 03.12.2020, Az. 2-13 O 131/20)

Die Entscheidung ist in Kürze im Volltext unter www.lareda.hessenrecht.hessen.de abrufbar.

Erläuterungen:
Das OLG hat den Anspruch unmittelbar aus dem AGG hergeleitet, so dass es – anders als die angefochtene Entscheidung - keines Rückgriffs auf §§ 823 Abs. 1, 1004 Ab. 1 S. 2 BGB i.V.m. dem allgemeinen Persönlichkeitsrecht bedurfte.

§ 3 AGG Begriffsbestimmungen
(1) 1Eine unmittelbare Benachteiligung liegt vor, wenn eine Person wegen eines in § AGG § 1 genannten Grundes eine weniger günstige Behandlung erfährt, als eine andere Person in einer vergleichbaren Situation erfährt, erfahren hat oder erfahren würde. 2Eine unmittelbare Benachteiligung wegen des Geschlechts liegt in Bezug auf § AGG § 2 Abs. AGG § 2 Absatz 1 Nr. AGG § 2 Absatz 1 Nummer 1 bis AGG § 2 Absatz 1 Nummer 4 auch im Falle einer ungünstigeren Behandlung einer Frau wegen Schwangerschaft oder Mutterschaft vor.

(2) Eine mittelbare Benachteiligung liegt vor, wenn dem Anschein nach neutrale Vorschriften, Kriterien oder Verfahren Personen wegen eines in § AGG § 1 genannten Grundes gegenüber anderen Personen in besonderer Weise benachteiligen können, es sei denn, die betreffenden Vorschriften, Kriterien oder Verfahren sind durch ein rechtmäßiges Ziel sachlich gerechtfertigt und die Mittel sind zur Erreichung dieses Ziels angemessen und erforderlich.

...

§ 19 AGG Zivilrechtliches Benachteiligungsverbot
(1) Eine Benachteiligung aus Gründen der Rasse oder wegen der ethnischen Herkunft, wegen des Geschlechts, der Religion, einer Behinderung, des Alters oder der sexuellen Identität bei der Begründung, Durchführung und Beendigung zivilrechtlicher Schuldverhältnisse, die

1.typischerweise ohne Ansehen der Person zu vergleichbaren Bedingungen in einer Vielzahl von Fällen zustande kommen (Massengeschäfte) oder bei denen das Ansehen der Person nach der Art des Schuldverhältnisses eine nachrangige Bedeutung hat und die zu vergleichbaren Bedingungen in einer Vielzahl von Fällen zustande kommen oder
2.eine privatrechtliche Versicherung zum Gegenstand haben,
ist unzulässig.

...

§ 21 AGG Ansprüche

(1) 1Der Benachteiligte kann bei einem Verstoß gegen das Benachteiligungsverbot unbeschadet weiterer Ansprüche die Beseitigung der Beeinträchtigung verlangen. 2Sind weitere Beeinträchtigungen zu besorgen, so kann er auf Unterlassung klagen.

(2) 1Bei einer Verletzung des Benachteiligungsverbots ist der Benachteiligende verpflichtet, den hierdurch entstandenen Schaden zu ersetzen. 2Dies gilt nicht, wenn der Benachteiligende die Pflichtverletzung nicht zu vertreten hat. 3Wegen eines Schadens, der nicht Vermögensschaden ist, kann der Benachteiligte eine angemessene Entschädigung in Geld verlangen.

(3) Ansprüche aus unerlaubter Handlung bleiben unberührt.


ArbG Neuruppin: 1.000 Euro Geldentschädigung aus Art. 82 DSGVO wenn ehemaliger Mitarbeiter nicht von Website des Arbeitgebers entfernt wird

ArbG Neuruppin
Urteil vom 14.12.2021
2 Ca 554/21


Das ArbG Neuruppin hat entschieden, dass ein Anspruch auf Zahlung von 1.000 Euro Geldentschädigung aus Art. 82 DSGVO besteht, wenn ein ehemaliger Mitarbeiter nicht von der Website des Arbeitgebers entfernt wird.

Aus den Entscheidungsgründen:

Der Anspruch der Klägerin ist in Höhe von 1.000,00 € abzüglich der geleisteten 150,00 Euro begründet. Im Übrigen war die Klage abzuweisen.

I. Der Anspruch der Klägerin folgt zunächst aus Art. 82 DSGVO als sogenannte "Basisvorschrift" (vgl. dazu: Wächter, Datenschutz im Unternehmen, 5. Aufl., Rz. 1158). Mit Art. 82 DSGVO enthält die Grundverordnung eine eigenständige deliktische Haftungsnorm. Voraussetzung ist eine rechtswidrige Datenverarbeitung, die zu einem Schaden der betroffenen Person (Art. 4 Nr. 1 DSGVO) führt. Art. 82 DSGVO ersetzt dabei die zuvor in Art. 23 DS-RL enthaltene Regelung sowie die mitgliedstaatlichen Regelungen zur Umsetzung dieser Vorschrift (im BDSG-alt die §§ 7,8) (vgl. nur: Ehmann/Selmayr, Datenschutzgrundverordnung, Art. 82, Rz. 4m.w.N.). Nicht jeder einer betroffenen Person entstandene Schaden ist jedoch auszugleichen. Voraussetzung ist, dass der Verstoß gegen die Bestimmungen der DSGVO, delegierte Rechtsakte oder konkretisierende nationale Bestimmungen kausal für den eingetretenen Schaden ist (Specht/Manz, Handbuch Europäisches und deutsches Datenschutzrecht, Teil A, Rz. 243). Dabei gewährt Art. 82 DSGVO gegenüber der verantwortlichen Stelle (hier der Beklagten, da sie für den Inhalt ihrer Homepage verantwortlich im datenschutzrechtlichen Sinne ist i.S.v. Art. 4 Ziff. 7 DSGVO), einen Anspruch auf Ersatz des Schadens, der durch die unrichtige bzw. unzulässige Verwendung von personenbezogenen Daten entstanden ist (Weth/Herberger/Wächter/Sorge, Daten- und Persönlichkeitssschutz im Arbeitsverhältnis, 2. Auflage, Teil A XV, Rz. 24). Der unbefugte Umgang mit den Daten muss darüber hinaus schuldhaft i.S.v. § 276 BGB erfolgen, damit vorsätzlich oder zumindest fahrlässig (Weth/Herberger/Wächter/Sorge, a.a.0.). Dabei wird mit der nunmehr seit Mai 2018 geltenden Norm des Art. 82 III DSGVO ein schuldhaftes Verhalten vermutet, was eine deutliche Verschärfung gegenüber dem bis dahin geltenden Recht bedeutet. Von dieser Vermutung kann sich der Verantwortliche oder auch der Auftragsverarbeiter gemäß Art. 82 III DSGVO nur dann entlasten (exkulpieren), wenn er in keinerlei Hinsicht für den Umstand, durch welchen der Schaden entstanden ist, verantwortlich ist (Weth/Herberger/Wächter/Sorge, a.a.O.). Der Schaden kann ein materieller sein. Ebenfalls ist jedoch ein immaterieller Schaden wegen Verletzung des allgemeinen Persönlichkeitsrechtes auszugleichen. Der Erwägungsgrund 146 stellt für die Auslegung von Art. 82 DSGVO klar, dass es sich um einen "vollständigen und wirksamen Schadensersatz" handeln muss. Dies zielt auf die Ersatzhöhe ab (vgl. nur Körner, NZA 2021, 1137 ff. m. w. N.). Dem Grunde nach sind damit sämtliche Verletzungen des allgemeinen Persönlichkeitsrechtes erfasst. Da der Schadensersatzanspruch nach Art. 82 DSGVO im Übrigen auch im Umfang auch die Elemente der Wirksamkeit und Abschreckung enthalten soll, können in die Berechnung des Haftungsumfangs auch präventive Gesichtspunkte einfließen (Specht/Manz, a.a.O. Rz. 247).

II. Die Beklagte hat trotz entsprechender Hinweise der Klägervertreterin im Schreiben vom 28.08.2020 die Daten der Klägerin nicht umgehend von ihrer Internetseite entfernt, obwohl das Arbeitsverhältnis beendet wurde. Unabhängig davon war sie jedoch auch bereits ohne anwaltliches Schreiben dazu verpflichtet gewesen, sämtliche im Zusammenhang mit der Klägerin veröffentlichten Daten von ihrer Homepage zu entfernen, da das Arbeitsverhältnis beendet wurde. Dies ergibt sich nicht nur aufgrund der bestehenden datenschutzrechtlichen Pflichten, sondern stellt auch eine allgemeine Nebenpflicht aus dem Arbeitsverhältnis i.S.v. § 241 Abs. 2 BGB dar. Auch mehrere Monate später waren die entsprechenden Daten jedoch noch verfügbar. Die Klägerin wurde - was unstreitig ist - weiterhin auf der Internetseite geführt, obwohl sie dort nicht als Biologin tätig war, sondern lediglich im Büromanagement beschäftigt wurde, insofern waren die Daten auch nicht zutreffend. Dabei spielt es entgegen der Ansicht der Beklagten auch keine Rolle, dass die Klägerin leidglich mit ihrem "Mädchennamen" dort aufgeführt wird und nicht mit ihrem tatsächlichen "Doppelnamen". Bereits dadurch wurde die Klägerin in ihren Persönlichkeitsrechten verletzt.

Dass die Beklagte erkannt hat, dass sie einen Fehler im datenschutzrechtlichen Sinne begangen hat, zeigt sich insbesondere auch darin, dass sie der Aufforderung der Klägerin entsprechend eine Unterlassungserklärung abgegeben und sodann 150,00 Euro in der Folgezeit gezahlt hat.

Der Hinweis der Beklagten, dass es sich um eine "alte Version" der Homepage gehandelt habe, stellt keine wirksame Exkulpation von der Haftung i.S.v. Art. 82 III DSGVO dar. Die Beklagte als verantwortliche Stelle hätte gerade nach den anwaltlichen Hinweisen der Klägervertreterin ihr besonderes Augenmerk auf ihre Homepage lenken müssen, da sie diesbezüglich zumindest seit dem anwaltlichen Schreiben vom 28.08.2020 sensibilisiert war.

Die Erwägungsgründe 75 und 85 stehen dem Anspruch ebenfalls nicht entgegen. Die dort genannten Gründe sind weder abschließend, noch dazu geeignet, den Anspruch der Klägerin dem Grunde nach zu negieren.

III. Hinsichtlich der Höhe des begehrten Schadensersatzes hat die Kammer einen Anspruch in Höhe von 1.000,00 Euro für angemessen erachtet, wobei berücksichtigt wurde, dass 150,00 Euro bereits geleistet wurden.

Dies auch unter Beachtung der aktuellen Rechtsprechung (vgl. dazu Böhm/Brams NZA RR, 2021, 521 ff.).

Mit einer Entscheidung des LAG Köln vom 14.09.2020 (LAG Köln 14.09.2020, 2 Sa 358/20, juris) wurden der dortigen Klägerin 300,00 Euro zugesprochen. In diesem Fall war jedoch zu beachten, dass die Beklagte nachgewiesen hatte, dass eine fahrlässige Nichtlöschung des Profils der Klägerin vorlag. Die dortige Klägerin war jedoch im Gegensatz zur Klägerin nicht insgesamt weiterhin auf der Homepage der Beklagten "verfügbar", sondern lediglich auf einer weiteren Datei im Internet, welche aufgrund einer "Verknüpfung" zu finden war. Das Arbeitsgericht Neumünster hat mit der Entscheidung vom 11.08.2020 (ArbG Neumünster vom 11.08.2020, 1 Ca 247 c/20, ZD 2021, 171) einen Schadensersatz in Höhe von 1.500,00 Euro wegen verspäteter Auskurftserteilung zugesagt. Auch wenn es in diesem Rechtsstreit nicht um einen Schadensersatz nach Art. 82 DSGVO, sondern um einen solchen wegen verspäteter Auskunft nach Art. 15 DSGVO ging, wurde dort auch bei der Bezifferung des Schadensersatzanspruches auf die Grundsätze der Art. 83 Abs. 2 Satz 9 DSGVO verwiesen. Ein solcher Rückgriff wurde bejaht, da Schadensersatz nach Art. 82 DSGVO ebenso wie Bußgelder nach Art. 83 DSGVO Datenschutzverstöße effektiv sanktionieren und abschreckend wirken sollten.

Das Landesarbeitsgericht Hamm hat mit Entscheidung vom 11.05.2021 (LAG Hamm vom 11.05.2021, 6 Sa 1260/20, juris) wegen verspäteter und unzureichender Datenauskunft einen Schadensersatz in Höhe von 1.000,00 Euro festgesetzt.

Unter Berücksichtigung vorstehender Rechtsprechung ist die Kammer ausdrücklich entgegen der Entscheidung des LG Köln vom 30.09.2021 (LG Köln vom 03.08.2021, 5 O 84/21, juris) sowie des Landgerichtes Bonn (LG Bonn vom 01.07.2021, 15 O 372/20, juris) davon ausgegangen, dass der Klägerin ein Schadensersatzanspruch in der ausgeurteilten Höhe zuzugestehen ist, da die Beklagte trotz des entsprechenden Begehrens der Klägerin über mehrere Monate hin deren Daten auf ihrer Internetseite nicht gelöscht hat. Dies auch unabhängig von der Tatsache, dass die Klägerin keine immateriellen Beeinträchtigungen vorgetragen hat. Dieses ist nach Auffassung der Kammer auch nicht erforderlich, da - wie unter I. dargestellt - Art. 82 DSGVO ebenfalls eine Warn- und Abschreckungsfunktion beinhaltet. Schließlich vermögen deswegen auch die Argumente des LG Bonn nicht zu überzeugen, dass ein Schadensersatzanspruch deswegen nicht auszuurteilen sei, da einer "uferlosen" Geltendmachung solcher Ansprüche" entsprechend zu begegnen sei. Derartige Überlegungen müssen bei der Ausurteilung von Schadensersatzansprüchen grundsätzlich ausscheiden. Dies dürfte zumindest seit dem Inkrafttreten des AGG für das Arbeitsrecht allgemein anerkannt sein.

Im Ergebnis hält die Kammer unter Beachtung der §§ 286, 287 ZPO im vorliegenden Fall einen Anspruch in Höhe von 1.000,00 Euro für angemessen. Hiervon hat die Beklagte bereits 150,00 Euro geleistet, so dass sie verpflichtet ist, weitere 850,00 Euro zu zahlen.

Ein weitergehender Schadensersatzanspruch steht der Klägerin jedoch nicht zu. Dementsprechend war die Klage im Übrigen abzuweisen.


Den Volltext der Entscheidung finden Sie hier:


BGH: Kein Anspruch auf Geldentschädigung aus Art. 82 Abs. 1 DSGVO wegen identifizierender Verdachtsberichterstattung in Presseartikel

BGH
Urteil vom 22.02.2022
VI ZR 1175/20
BGB § 823 Abs. 1; GG Art. 5


Der BGH hat entschieden, dass kein Anspruch auf Geldentschädigung aus Art. 82 Abs. 1 DSGVO wegen identifizierender Verdachtsberichterstattung in einem Presseartikel besteht. Dem Anspruch steht schon das Medienprivileg entgegen.

Leitsatz des BGH:
Zu den Voraussetzungen einer zulässigen Verdachtsberichterstattung (hier: Pressebericht über bevorstehende Hauptverhandlung im Strafverfahren).

BGH, Urteil vom 22. Februar 2022 - VI ZR 1175/20 - OLG Köln - LG Köln

Aus den Entscheidungsgründen:
Das Berufungsgericht ist zu Recht davon ausgegangen, dass dem Kläger kein Anspruch auf Zahlung einer Geldentschädigung zusteht.

1. Wie das Berufungsgericht zutreffend ausgeführt hat, folgt ein solcher Anspruch nicht aus Art. 82 Abs. 1 DS-GVO. Aufgrund der Öffnungsklausel des Art. 85 Abs. 2 DS-GVO sind Datenverarbeitungen zu journalistischen Zwecken von den die Rechtmäßigkeit der Datenverarbeitung betreffenden Vorschriften in Art. 6 und Art. 7 DS-GVO durch Regelungen der Länder ausgenommen worden (vgl. Senatsurteile vom 7. Juli 2020 - VI ZR 250/19, VersR 2021, 189 Rn. 10; - VI ZR 246/19, NJW 2020, 3715 Rn. 11; jeweils mwN).

Für den Bereich der Telemedien, der die streitgegenständliche Internetberichterstattung umfasst, galt zur Zeit der Berichterstattung § 57 Abs. 1 Satz 4 RStV (jetzt gleichlautend § 23 Abs. 1 Satz 4 MStV). Für die Printberichterstattung existierten und existieren entsprechende Vorschriften der einzelnen Länder (für Berlin, den Sitz der Beklagten zu 2, siehe § 19 Abs. 1 Satz 1 des Berliner Datenschutzgesetzes und jetzt § 22a Abs. 1 Satz 4 des Berliner Pressegesetzes; weitere Nachweise bei Lauber-Rönsberg, AfP 2019, 373 Rn. 29 mit Fn. 50). Es liegt auf der Hand, dass ein Schadensersatzanspruch gemäß § 82 Abs. 1 DS-GVO nicht auf die Verletzung datenschutzrechtlicher Bestimmungen durch eine journalistische Tätigkeit gestützt werden kann, wenn die Bestimmungen für die Tätigkeit gar nicht gelten (vgl. Senatsbeschluss vom 16. Februar 2021 - VI ZA 6/20, juris; Senatsurteile vom 7. Juli 2020 - VI ZR 250/19, VersR 2021, 189 Rn. 10; - VI ZR 246/19, NJW 2020, 3715 Rn. 11). Insoweit spielt es auch keine Rolle, dass die Öffnungsklausel des Art. 85 Abs. 2 DS-GVO die in Kapitel VIII der Verordnung enthaltene Vorschrift des Art. 82 Abs. 1 DS-GVO nicht erfasst. Im Übrigen stellen § 23 Abs. 1 Satz 5 MStV (zuvor § 57 Abs. 1 Satz 5 RStV) und die presserechtlichen Vorschriften der Länder (etwa § 22a Abs. 1 Satz 5 des Berliner Pressegesetzes, § 19 Abs. 1 Satz 2 des Berliner Datenschutzgesetzes) klar, dass Art. 82 Abs. 1 DS-GVO im Geltungsbereich des Medienprivilegs nicht greift (vgl. Lauber-Rönsberg, AfP 2019, 373 Rn. 30). Einer Vorlage an den Gerichtshof der Europäischen Union bedarf es nicht, weil diese Frage klar zu beantworten ist (vgl. zu den Voraussetzungen
der Vorlagepflicht EuGH, EuZW 2018, 1038 Rn. 110 - Kommission/Frankreich mwN).

2. Entgegen der Auffassung der Revision hat das Berufungsgericht dem Kläger zu Recht keine Geldentschädigung wegen Verletzung seines allgemeinen Persönlichkeitsrechts durch die Wort- und Bildberichterstattungen nach § 823 Abs. 1 BGB i.V.m. Art. 1 Abs. 1, Abs. 2 Abs. 1 GG und §§ 22, 23 KUG zuerkannt.


Den Volltext der Entscheidung finden Sie hier:

VG Ansbach: Verstoß gegen DSGVO durch Videoüberwachung der gesamten Trainingsfläche eines Fitnessstudios

VG Ansbach
Urteil vom 23.02.2022
AN 14 K 20.00083


Das VG Ansbach hat entschieden, dass ein Verstoß gegen die Vorgaben der DSGVO durch Videoüberwachung der gesamten Trainingsfläche eines Fitnessstudios vorliegt.

Aus den Entscheidungsgründen:
2. Die Klage ist jedoch nur begründet, soweit sie sich gegen Ziffer II des streitgegenständlichen Bescheides wendet. Im Übrigen war sie als unbegründet abzuweisen.

Das Bayerische Landesamt für Datenschutzaufsicht ist richtiger Beklagter gemäß § 20 Abs. 4, Abs. 5 Satz 1 Nr. 2 BDSG.

a) Die Unterlassungsanordnung in Ziffer I des streitgegenständlichen Bescheids ist formell wie materiell rechtmäßig. Es sind keine Verfahrensfehler ersichtlich, insbesondere wurde die Klägerin ordnungsgemäß angehört i.S.d. Art. 28 BayVwVfG (vgl. auch DS-GVO-Erwägungsgrund 129).

Die Untersagungsanordnung beruht als Abhilfemaßnahme auf Art. 58 Abs. 2 DS-GVO. Da es sich um ein Verbot handelt, ist Buchst. f) einschlägig, nicht wie vom Beklagten vorgebracht Buchst. d). Tatbestandsvoraussetzung für die Abhilfemaßnahmen des Art. 58 Abs. 2 DS-GVO ist das Vorliegen eines Verstoßes gegen die DS-GVO (vgl. Nguyen in: Gola, DS-GVO, Art. 58, Rn. 4). Ein solcher Verstoß liegt insbesondere dann vor, wenn Daten ohne entsprechende Rechtsgrundlage verarbeitet werden. Dies war vorliegend der Fall.

(1) Die Videoüberwachung konnte nicht auf eine Einwilligung der Trainierenden gestützt werden. Gemäß Art. 6 Abs. 1 Buchst. a) DS-GVO dürfen personenbezogene Daten verarbeitet werden, wenn die betroffene Person ihre Einwilligung dazu gegeben hat. Eine solche Einwilligung erfordert gemäß Art. 4 Nr. 11 DS-GVO eine freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Eine solche eindeutige bestätigende Handlung der Trainierenden kann allerdings nicht in der bloßen Kenntnisnahme der Hinweise auf die Videoüberwachung in den Datenschutzhinweisen und der Hinweisschilder an der Eingangstür gesehen werden, denn gemäß Satz 3 des DS-GVO-Erwägungsgrundes 32 sollen Stillschweigen oder Untätigkeit gerade keine Einwilligung darstellen. Dass die Klägerin anderweitig ein Einverständnis der Trainierenden mit der Videoüberwachung durch eine eindeutig bestätigende Handlung eingefordert hätte, ist weder vorgetragen noch sonst ersichtlich, sodass die Videoüberwachung nicht gemäß Art. 6 Abs. 1 Buchst. a) DS-GVO erlaubt war.

(2) Die Videoüberwachung konnte auch nicht auf vertragliche (Neben-)Pflichten der Klägerin, ihre Kundschaft im vorgetragenen Umfang vor Diebstählen und Übergriffen zu schützen, gestützt werden. Gemäß Art. 6 Abs. 1 Buchst. b) Alt. 1 DS-GVO ist eine Datenverarbeitung rechtmäßig, wenn sie für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, erforderlich ist. Vertragliche Nebenpflichten wie Rücksichtnahme- und Schutzpflichten sind zwar auch von dieser Vorschrift erfasst (Buchner/Petri in: Kühling/Buchner, DS-GVO BDSG, Art. 6, Rn. 33), jedoch ging die streitgegenständliche lückenlose Videoüberwachung über diese Pflichten hinaus. Nach ständiger Rechtsprechung des BGH ist derjenige, der eine Gefahrenlage - wie hier durch den Betrieb eines Fitnessstudios - schafft, grundsätzlich verpflichtet, die notwendigen und zumutbaren Vorkehrungen zu treffen, um eine Schädigung anderer möglichst zu verhindern; umfasst werden hiervon diejenigen Maßnahmen, die ein umsichtiger und verständiger, in vernünftigen Grenzen vorsichtiger Betreiber für notwendig und ausreichend hält, um andere vor Schäden zu bewahren (vgl. BGH NJW 2018, 2956, Rn. 17 m.w.N.). Es muss dabei aber nicht für alle denkbaren Möglichkeiten eines Schadenseintritts vorgesorgt, sondern nur ein Sicherheitsgrad erreicht werden, den die herrschende Verkehrsauffassung im jeweiligen Bereich für erforderlich hält (vgl. BGH NJW 2018, 2956, Rn. 18 m.w.N.).

Inwiefern die Klägerin eine Schutzpflicht treffen soll, die über das Instandhalten der Fitnessgeräte und die Bereitstellung hilfsbereiten Personals und von Spinden o.Ä. hinausgeht, ist nicht nachvollziehbar. Es ist nicht davon auszugehen, dass es der herrschenden Verkehrsanschauung im Fitnessstudiobetrieb entspricht, die Trainierenden durch lückenlose Videoüberwachung vor Übergriffen und Diebstählen zu schützen oder ihnen eine erleichterte Verfolgung solcher Vorkommnisse durch die Videoüberwachung zu ermöglichen.

(3) Schließlich konnten auch nicht die berechtigten Interessen der Klägerin oder der Trainierenden selbst die Videoüberwachung rechtfertigen. Gemäß Art. 6 Abs. 1 Buchst. f) DS-GVO ist eine Datenverarbeitung rechtmäßig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen […]. Die Klägerin kann zwar berechtigte Interessen im Sinne der Vorschrift geltend machen (hierzu (a)), zu deren Wahrung die Videoüberwachung erforderlich ist (hierzu (b)), jedoch überwiegen die Interessen der Trainierenden, namentlich deren Grundrecht auf informationelle Selbstbestimmung aus Art. 1 Abs. 1 i.V.m. Art. 2 Abs. 1 GG, diese Interessen (hierzu (c)).

(a) Die Klägerin machte als berechtigte Interessen zum einen eigene Interessen (Prävention und Verfolgung von Diebstahl und Sachbeschädigung) und zum anderen Interessen der Trainierenden (Schutz vor Diebstahl und Übergriffen) geltend. Erforderlich, aber auch ausreichend für den Begriff des berechtigten Interesses ist ein „guter Grund“, sprich ein schutzwürdiges und objektiv begründbares Interesse (BVerwG, U. v. 27. März 2019 - 6 C 2/18 - Rn. 25 bei juris (noch zu § 6b Abs. 1 BDSG a.F.)). Die Geltendmachung, Ausübung und Durchsetzung von Rechtsansprüchen (wie Schadensersatzansprüche nach Diebstahl oder Sachbeschädigung) sind berechtigte Interessen (Buchner/Petri in: Kühling/Buchner, DS-GVO BDSG, Art. 6 DS-GVO, Rn. 147). Ebenso kann das Interesse der Trainierenden, von einem Fitnessstudiobetreiber vor Diebstählen und Übergriffen geschützt zu werden, als „berechtigt“ i.S.d. Art. 6 Abs. 1 f) DS-GVO eingeordnet werden, da der Begriff des berechtigten Interesses weit auszulegen ist; eine normative Einschränkung erfolgt erst später im Rahmen der Interessenabwägung (Albers/Veit in: BeckOK Datenschutzrecht, Art. 6, Rn. 50).

(b) Auch die Erforderlichkeit der Videoüberwachung kann noch bejaht werden, da jedenfalls für die Aufklärung von Diebstählen, Sachbeschädigungen und Übergriffen kein anderes, gleich effektives Mittel (vgl. Buchner/Petri in: Kühling/Buchner, DS-GVO BDSG, Art. 6 DS-GVO, Rn. 147a) ersichtlich ist.

(c) Die Interessen der Trainierenden überwiegen jedoch die von der Klägerin vorgebrachten berechtigten Interessen an der Videoüberwachung. Die Trainierenden sind in ihrem Grundrecht auf informationelle Selbstbestimmung als Teil des allgemeinen Persönlichkeitsrechts aus Art. 1 Abs. 1 i.V.m. Art. 2 Abs. 1 GG berührt und zwar in ganz erheblicher Weise. Bei der durchgehenden Videoüberwachung im Fitnessstudio der Klägerin während der gesamten Öffnungszeiten auf allen Trainingsflächen handelt es sich um einen gravierenden Eingriff in dieses Grundrecht aller Trainierenden, mithin einer erheblichen Anzahl von Personen, ohne räumliche oder zeitliche Ausweichmöglichkeit. Schon aufgrund dieser Alternativlosigkeit der Trainierenden überwiegen deren Interessen die der Klägerin. Ihr stehen nämlich durchaus andere, zwar möglicherweise nicht genauso effektive, aber jedenfalls ausreichend effektive Maßnahmen zur Wahrung ihrer Interessen zur Verfügung wie beispielsweise eine Aufstockung des Personals. Die Klägerin kann sich nicht allein darauf berufen, die Videoüberwachung sei gegenüber der Personalaufstockung die wirtschaftlich sinnvollere Alternative (vgl. Buchner/Petri in: Kühling/Buchner, DS-GVO BDSG, Art. 6 DS-GVO, Rn. 147a).

Erschwerend kommt hinzu, dass die Trainierenden nicht mit einer Videoüberwachung im Fitnessstudio rechnen mussten. Bei der Abwägung der beiderseitigen Interessen ist zu berücksichtigen, dass gemäß Satz 4 des DS-GVO-Erwägungsgrundes 47 insbesondere dann, wenn personenbezogene Daten in Situationen verarbeitet werden, in denen eine betroffene Person vernünftigerweise nicht mit einer weiteren Verarbeitung rechnen muss, die Interessen und Grundrechte der betroffenen Person das Interesse des Verantwortlichen überwiegen könnten. Laut den gemäß Art. 70 Abs. 1 Buchst. e) DS-GVO zur Sicherstellung einer einheitlichen Anwendung der DS-GVO erlassenen Leitlinien des Europäischen Datenschutzausschusses (EDSA) ist entscheidendes Kriterium für die Auslegung des Begriffs der vernünftigen Erwartung, ob ein objektiver Dritter vernünftigerweise in der konkreten Situation erwarten kann, dass er überwacht wird (EDSA, Leitlinien 3/2019 zur Verarbeitung personenbezogener Daten durch Videogeräte, Version 2.0, Rn. 36, abgerufen unter edpb_guidelines_201903_video_devices_de.pdf (europa.eu)). Hinweisschilder, die über die Videoüberwachung informieren, sind zur Bestimmung, was eine betroffene Person objektiv in einer bestimmten Situation erwarten kann, unerheblich (EDSA, a.a.O, Rn. 40). In öffentlich zugänglichen Bereichen können betroffene Personen davon ausgehen, dass sie nicht überwacht werden, vor allem, wenn diese Bereiche typischerweise für Freizeitaktivitäten genutzt werden, wie es bei Fitnesseinrichtungen der Fall ist (EDSA, a.a.O., Rn. 38). Da vorliegend nichts dafür spricht, von diesem Grundsatz abzuweichen, führt auch dies zu einem Überwiegen der Interessen der Trainierenden.

Auch bei Betrachtung des Umfangs der der Klägerin entstandenen Schäden ist keine andere Gewichtung der Interessen geboten. Nach den Angaben der Klägerin in der mündlichen Verhandlung belaufen sich die Diebstähle auf circa zehn Fälle jährlich und die Sachbeschädigungen auf circa 10.000 EUR bis 15.000 EUR jährlich, während die Einnahmen beispielhaft im Jahr 2019 200.000 EUR betrugen. Die finanziellen Einbußen der Klägerin halten sich daher in einem Rahmen, der in keinem Verhältnis zu einer lückenlosen Videoüberwachung der Trainierenden steht. Wenn die Klägerin darüber hinaus in der mündlichen Verhandlung ausführt, dass hinsichtlich der Kleingeräte keinerlei Diebstahlsicherungen sinnvoll umsetzbar sind, muss letztlich aus unternehmerischer Sicht hingenommen werden, dass nicht jegliche finanziellen Risiken abgewendet werden können, ganz besonders nicht auf Kosten der informationellen Selbstbestimmung der gesamten Kundschaft.

Auch die berechtigten Interessen der Trainierenden selbst, die die Klägerin ebenfalls geltend macht, begründen kein anderes Abwägungsergebnis. Zwar mag die Videoüberwachung für manche eher ein willkommenes Gefühl der Sicherheit als einen unangenehmen Anpassungsdruck auslösen. Die Risiken der Aufklärbarkeit eines Diebstahls oder Übergriffs liegen aber primär im Verantwortungsbereich der Trainierenden selbst, nicht dem der Klägerin. Wer das Smartphone nicht in den Spind sperrt, ist sich regelmäßig der so erleichterten Möglichkeit eines Diebstahls im Trainingsraum im Fitnessstudio bewusst. Auch dass die Aufklärung von Straftaten in einem verhältnismäßig engen Raum unter vielen sich fremden Menschen erschwert ist, dürfte den Trainierenden als Teil des allgemeinen Lebensrisikos bewusst sein. Es liegt in der Hand der Trainierenden selbst, dieses Risiko bei Bedarf zu minimieren, indem beispielsweise Trainingsgeräte in der Nähe der Empfangstheke gewählt werden oder zu zweit oder zu einer „risikoärmeren“ Uhrzeit trainiert wird. Das Interesse der Trainierenden, vor diesem allgemeinen Lebensrisiko durch die Klägerin mittels Videoüberwachung geschützt zu werden, wiegt nicht so schwer, wie das Interesse daran, im Fitnessstudio überwachungsfrei trainieren zu können.

Das Gericht sieht hier auch keine Vergleichbarkeit mit dem Einzelhandel, da dort zum einen ein deutlich geringerer Eingriff in das allgemeine Persönlichkeitsrecht vorliegt (regelmäßig kürzerer Aufenthalt und auch weniger private Tätigkeit als im Fitnessstudio), zum anderen aber das Diebstahlrisiko und die Aufklärungsschwierigkeiten noch höher sein dürften durch den schnelleren Kundenwechsel, die höhere Zahl an kleinen Gegenständen und die leichteren Verstauungsmöglichkeiten beispielsweise in Jacken- und Hosentaschen.

Da somit mangels Rechtsgrundlage für die Datenverarbeitung mittels Videoüberwachung ein datenschutzrechtlicher Verstoß gegeben war, durfte die Beklagte eine Abhilfemaßnahme nach Art. 58 Abs. 2 DS-GVO ergreifen. Der Aufsichtsbehörde steht bezüglich der Wahl der konkreten Abhilfemaßnahme ein Ermessen zu (vgl. dazu DS-GVO-EG 129), welches gerichtlich nur eingeschränkt überprüfbar ist, § 20 Abs. 2 BDSG i.V.m. § 114 VwGO. Vorliegend sind Ermessensfehler hinsichtlich der Untersagungsanordnung weder vorgetragen noch sonst ersichtlich.

Die Untersagungsanordnung war auch verhältnismäßig (vgl. DS-GVO-Erwägungsgrund 129), insbesondere ist kein milderes, gleich effektives Mittel zur Herstellung des Einklangs mit der DS-GVO ersichtlich. Da die gesamte Trainingsfläche lückenlos überwacht wurde, könnte eine (nachträgliche) Einwilligung i.S.d. Art. 6 Abs. 1 Buchst. a) DS-GVO mangels Freiwilligkeit und Widerruflichkeit i.S.d. Art. 7 DS-GVO nicht wirksam eingeholt werden. Eine mögliche Anordnung des Beklagten nach Art. 58 Abs. 2 Buchst. d) DS-GVO, die Videoüberwachung wirksam zum Bestandteil des Vertrags mit den Trainierenden zu machen (statt des bloßen Hinweises in den Datenschutzhinweisen), erscheint zum einen schon mit Blick auf die zivilrechtlichen Vorschriften zur AGB-Kontrolle problematisch (vgl. dazu LG Koblenz BeckRS 2014, 1243) und hätte zum anderen einen erheblichen Eingriff in die Privatautonomie der Klägerin und somit auch kein milderes Mittel dargestellt. Das Verbot der Videoüberwachung war daher als ultima ratio erforderlich. Das Verbot war auch angemessen, denn das öffentliche Interesse an der Herstellung eines datenschutzkonformen Zustands im Fitnessstudio der Klägerin überwiegt das Interesse der Klägerin an der Videoüberwachung, da ein schwerwiegender Eingriff in das Persönlichkeitsrecht der Trainierenden vorlag (siehe hierzu auch die Ausführungen oben zu Art. 6 Abs. 1 Buchst. f) DS-GVO).

b) Die Mitteilungsanordnung in Ziffer II des streitgegenständlichen Bescheids ist demgegenüber materiell rechtswidrig und daher aufzuheben, denn der streitgegenständliche Bescheid enthält bezüglich seiner Ziffer II keinerlei Begründung i.S.d. Art. 39 BayVwVfG (vgl. auch DS-GVO-Erwägungsgrund 129) oder Ermessenserwägungen. An diesem Ermessensausfall konnte auch der Schriftsatz des Beklagten vom 31. Januar 2022 nichts ändern.

Die fehlende Begründung der Ziffer II stellte zunächst einen Formfehler dar, der aber durch die Ausführungen des Beklagten im Schriftsatz vom 31. Januar 2022 gemäß Art. 45 Abs. 1 Nr. 2, Abs. 2 BayVwVfG geheilt werden konnte, sodass Ziffer II formell rechtmäßig war.

Als Rechtsgrundlage für Ziffer II wurde in diesem Schreiben vom 31. Januar 2022 Art. 58 Abs. 1 Buchst. a) DS-GVO genannt. Hinsichtlich der Wahl der im Einzelfall anzuwendenden Untersuchungsbefugnis des Abs. 1 des Art. 58 DS-GVO steht der Aufsichtsbehörde ein Auswahlermessen zu (vgl. DS-GVO-Erwägungsgrund 129), welches gerichtlich nur eingeschränkt überprüfbar ist gemäß § 20 Abs. 2 BDSG i.V.m. § 114 Satz 1 VwGO. Der streitgegenständliche Bescheid enthält jedoch keine Ausführungen, aus denen ersichtlich wäre, dass der Beklagte dieses Ermessen bezüglich Ziffer II des Bescheids erkannt und ausgeübt hat. Dies allein stellt schon ein starkes Indiz für einen materiellen Ermessensausfall dar (BayVGH NVwZ-RR 2008, 787 (787 f.); Stelkens in: Stelkens/Bonk/Sachs, VwVfG, § 39, Rn. 28 m.w.N.).

Es können auch nicht die zur Untersagungsanordnung in Ziffer I des Bescheids angestellten Ermessenserwägungen auf Ziffer II übertragen werden, da sich diese in keiner Weise mit der Art und Weise, wie die Umsetzung der Untersagung überprüft werden könnte, auseinandersetzen (vgl. zur Übertragung von Ermessenserwägungen BVerwG NVwZ 2007, 470 (471)). Insgesamt ist schlicht nicht erkennbar, dass bei der Wahl der passenden Untersuchungsbefugnis zur Kontrolle der Umsetzung der Untersagungsanordnung die notwendige Abwägung zwischen den öffentlichen Interessen und den privaten Interessen der Klägerin stattgefunden hat. Auch das nachträgliche Vorbringen des Beklagten im Schriftsatz vom 31. Januar 2022 konnte diesbezüglich nicht berücksichtigt werden, denn § 114 Satz 2 VwGO ermöglicht lediglich die Ergänzung defizitärer Ermessenserwägungen, nicht aber die nachträgliche erstmalige Ausübung (BVerwG NVwZ 2007, 470 (471)). Nach alldem lag ein Ermessensausfall vor.

Ziffer II des streitgegenständlichen Bescheids war daher wegen des Ermessensausfalls rechtswidrig. Insoweit war die Klägerin als Adressatin des belastenden Verwaltungsakts auch in ihrem Recht auf wirtschaftliche Handlungsfreiheit aus Art. 2 Abs. 1 i.V.m. Art. 19 Abs. 3 GG verletzt, sodass Ziffer II gemäß § 113 Abs. 1 Satz 1 VwGO aufzuheben war.

c) Die formell rechtmäßige Zwangsgeldandrohung in Ziffer III des streitgegenständlichen Bescheids ist auch materiell rechtmäßig, insbesondere wurde wirksam eine Frist i.S.d. Art. 36 Abs. 1 Satz 2 VwZVG gesetzt. Zwar setzt Ziffer III nach ihrem Wortlaut selbst keine entsprechende Frist, jedoch enthält die Begründung zur Ziffer III auf Seite 4 des streitgegenständlichen Bescheids eindeutig die vom Beklagten beabsichtigte Frist, nämlich zwei Wochen nach Bestandskraft des Bescheids. Da die Begründung zur Bestimmung des Regelungsinhalts eines Verwaltungsakts zu Hilfe zu nehmen ist (Stelkens in: Stelkens/Bonk/Sachs, Verwaltungsverfahrensgesetz, Art. 35, Rn. 76), ist vorliegend eine Frist i.S.d. Art. 36 Abs. 1 Satz 2 VwZVG ordnungsgemäß gesetzt worden. Auch die Bestimmtheit gemäß Art. 37 BayVwVfG ist dabei gewahrt (vgl. hierzu Stelkens in: Stelkens/Bonk/Sachs, Verwaltungsverfahrensgesetz, Art. 39, Rn. 26).


Den Volltext der Entscheidung finden Sie hier:



LG Heidelberg: 25 EURO Schadensersatz aus Art. 82 DSGVO wegen unzulässiger Zusendung einer Werbemail

LG Heidelberg
Urteil vom 16.03.2022
4 S 1/21


Das LG Heidelberg hat entscheiden, dass ein Anspruch auf Zahlung von 25 EURO Schadensersatz aus Art. 82 DSGVO wegen unzulässiger Zusendung einer Werbemail besteht.

Aus den Entscheidungsgründen:
1. Die Berufung ist zulässig.
Die Kammer hat die Berufung gegen das amtsgerichtliche Urteil durch Beschluss vom 16.03.2022 gemäß § 511 Abs. 4 S. 1 ZPO zugelassen.

Zwar übersteigt der Wert des Beschwerdegegenstandes vorliegend entgegen § 511 Abs. 2 Nr. 1 ZPO die Wertgrenze von 600 € nicht, nachdem der Streitwert für den Klageantrag Ziff. 1c auf die Streitwertbeschwerde des Klägers hin mit Beschluss des Landgerichts Heidelberg vom 18.02.2021 (vgl. AS 365 ff. der Akte des Amtsgerichts) antragsgemäß auf 500 € festgesetzt wurde. Auch hat das Amtsgericht die Berufung im Urteil nicht gemäß § 511 Abs. 2 Nr. 2 ZPO zugelassen, da es den Streitwert für den Antrag Ziff. 1c im Urteil zunächst auf 1.000 € festgesetzt hatte und eine Berufungszulassungsentscheidung danach nicht veranlasst war. Hat indes das erstinstanzliche Gericht keine Veranlassung gesehen, die Berufung nach § 511 Abs. 4 ZPO zuzulassen, weil es den Streitwert auf über 600 € festgesetzt hat und deswegen von einem entsprechenden Wert der Beschwer der unterlegenen Partei ausgegangen ist, hält aber das Berufungsgericht diesen Wert nicht für erreicht, so muss das Berufungsgericht, das insoweit nicht an die Streitwertfestsetzung des Erstgerichts gebunden ist, die Entscheidung darüber nachholen, ob die Voraussetzungen für die Zulassung der Berufung nach § 511 Abs. 4 Satz 1 Nr. 1 ZPO erfüllt sind, da die unterschiedliche Bewertung nicht zu Lasten der Parteien gehen darf (vgl. BGH, Urteil vom 14. November 2007, Az.: VIII ZR 340/06 = NJW 2008, 218).

Hier war die Berufung nach § 511 Abs. 4 S. 1 ZPO zuzulassen, da die Rechtssache grundsätzliche Bedeutung hat und die Sicherung einer einheitlichen Rechtsprechung eine Entscheidung des Berufungsgerichts erfordert (§ 511 Abs. 4 S. 1 Nr. 1 ZPO) und der Kläger nach Abänderung des Streitwerts für Antrag Ziff. 1c nicht mit mehr als 600 € beschwert war (§ 511 Abs. 4 S. 1 Ziff. 2 ZPO). Die Frage, ob und gegebenenfalls unter welchen Voraussetzungen ein Schadensersatz- oder Schmerzensgeldanspruch nach Art. 82 DSGVO besteht, wird in der Rechtsprechung und auch der Literatur kontrovers diskutiert und unterschiedlich behandelt.

2. Die Berufung ist in geringem Umfang auch begründet. Soweit der Berufungsantrag nach dem Vortrag des Klägers gerechtfertigt war und dem Kläger 25,00 € zugesprochen wurden, ist aufgrund des Teil-Versäumnisurteils eine Begründung gemäß § 313b Abs. 1 ZPO nicht erforderlich.

Im Übrigen war die Klage abzuweisen und die weitergehende Berufung zurückzuweisen, denn ein weitergehender Anspruch des Klägers besteht nicht. Der Vortrag des Klägers rechtfertigt keinen höheren Schadensersatz- oder Schmerzensgeldanspruch. Die Kammer ist davon überzeugt, dass der Kläger aufgrund des Verstoßes der Beklagten gegen Art. 6 DSGVO durch die unzulässige Verarbeitung seiner personenbezogenen Daten lediglich einen ersatzfähigen Schaden in Höhe von 25,00 € erlitten hat.

a) Die Kammer legt den Antrag des Klägers dahingehend aus, dass dieser Schadensersatz für die aufgrund des DSGVO-Verstoßes der Beklagten erlittenen Beeinträchtigungen begehrt, unabhängig von dem vom Kläger verwendeten Begriff des „Schmerzensgeldes“ aus dem deutschen Zivilrecht.

(1) Dem steht die grundsätzliche Bindung an den Antrag des Klägers gemäß § 308 Abs. 1 ZPO, wonach das Gericht nicht befugt ist, einer Partei etwas zuzusprechen, was nicht beantragt ist, nicht entgegen. Denn entscheidend kann nicht der bloße Wortlaut eines Antrages sein, sondern der durch ihn verkörperte Wille. Dementsprechend ist nicht nur darauf zu sehen, ob der Antrag für sich allein betrachtet einen eindeutigen Sinn ergibt, sondern es ist auch die dem Antrag beigegebene Begründung zu berücksichtigen (MüKo-ZPO/Musielak, 6. Aufl. 2020, ZPO § 308 Rn. 6 m.w.N.). Bei einer vom Gericht vorgenommenen Auslegung ist von dem Grundsatz auszugehen, dass im Zweifel dasjenige gewollt ist, was nach den Maßstäben der Rechtsordnung vernünftig ist und der wohlverstandenen Interessenlage entspricht (MüKo-ZPO/Musielak, 6. Aufl. 2020, ZPO § 308 Rn. 6).

Danach legt die Kammer den Antrag des Klägers vor dem Hintergrund seiner Berufungsbegründung und seines Interesses an einer Entschädigung nach Art. 82 DSGVO dahingehend aus, dass dieser die Zahlung von Schadensersatz von der Beklagten begehrt. Zwar ist der unbezifferte Antrag des Klägers auf die Zahlung eines angemessenen Schmerzensgeldes gerichtet, jedoch stützt der Kläger seinen Anspruch auf Art. 82 DSGVO, eine Norm des europäischen Rechts. Maßgeblich sind damit nicht die deutschen Begrifflichkeiten, sondern die des europäischen Rechts bzw. die der DSGVO. Der Begriff „Schmerzensgeld“ findet jedoch in Art. 82 DSGVO und auch den übrigen Normen der DSGVO keine Verwendung. Art. 82 Abs. 1 DSGVO normiert lediglich einen „Anspruch auf Schadenersatz“ für jede Person, der wegen eines Verstoßes gegen die DSGVO „ein materieller oder immaterieller Schaden“ entstanden ist. Der Antrag Ziff. 1c) des Klägers ist daher nach Überzeugung der Kammer im Lichte dieses auf die DSGVO gestützten Anspruchsbegehrens des Klägers auszulegen und dahin zu verstehen, dass er die Zahlung von Schadensersatz begehrt.

(2) Ob der Kläger den begehrten Schadensersatz dabei nach seinem Vortrag allein auf einen „materiellen“ oder „immateriellen“ Schaden stützt, ist unerheblich. Soweit der Kläger seine Schäden als „immaterielle“ Schäden bezeichnet, bindet dies die Kammer auch nicht an die Prüfung ausschließlich immaterieller Schäden. Zugunsten des Klägers sind vielmehr auch mögliche materielle Schäden, die sich aus dem Vorbringen des Klägers ergeben können, zu prüfen, da Art. 82 Abs. 1 DSGVO nach Überzeugung der Kammer ein einheitlicher, weit auszulegender Schadensbegriff zugrunde liegt. Dies hat die Kammer durch Auslegung ermittelt.
Nach dem Wortlaut von Art. 82 DSGVO hat einen „Anspruch auf Schadenersatz“ jede Person, der wegen eines Verstoßes gegen diese Verordnung „ein materieller oder immaterieller Schaden“ entstanden ist. Die DSGVO kennt − anders als das deutsche Recht etwa mit § 253 BGB − insoweit keine unterschiedlichen Normen bzw. Anspruchsgrundlagen, sondern enthält in Art. 82 Abs. 1 DSGVO eine einheitliche Anspruchsgrundlage für einen einheitlichen Schadensersatzanspruch.

Ein weites Verständnis des Schadensbegriffs legen auch die Erwägungsgründe zur DSGVO nahe. Maßgeblich ist insoweit zunächst der Erwägungsgrund 146, der sich auf den Schadensersatzanspruch in Art. 82 DSGVO bezieht. Begrifflich differenziert dieser Erwägungsgrund nicht zwischen materiellen und immateriellen Schäden. Vielmehr wird hier ausschließlich der Begriff „Schaden“ verwendet, ohne dass dieser so zu verstehen sein dürfte, dass nur materielle oder nur immaterielle Schäden gemeint sind. Eine weite Auslegung des Schadensbegriffs wird auch nach S. 3 des Erwägungsgrundes gefordert, wonach der Begriff des Schadens im Lichte der Rechtsprechung des Gerichtshofs „weit“ ausgelegt werden soll.

Für einen einheitlich zu verstehenden Schadensbegriff spricht auch Erwägungsgrund 75 zur DSGVO, in dem Beispiele genannt sind für mögliche „physische, materielle oder immaterielle Schäden“, die aus einer Verarbeitung personenbezogener Daten hervorgehen können, wie zum Beispiel Diskriminierung, Identitätsdiebstahl oder -betrug, finanzieller Verlust, Rufschädigung oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile. Die Aufzählung differenziert ebenfalls nicht zwischen verschiedenen Schadensarten, sondern enthält vielmehr sowohl mögliche materielle, als auch immaterielle Beeinträchtigungen.
b) Nach Auslegung des Begehrens des Klägers im Lichte eines einheitlichen, weit zu verstehenden Schadensersatzanspruchs nach der DSGVO, steht dem Kläger nach Überzeugung der Kammer ein Schadensersatzanspruch gemäß Art. 82 Abs. 1 DSGVO in Höhe von 25,00 € zu.

Dem Kläger ist dadurch ein Schaden entstanden, dass er sich mit den unerwünschten Werbemails der Beklagten auseinandersetzen, deren Herkunft ermitteln, sich um eine Auskunft von der Beklagten mittels eines Schreibens bemühen und die unerwünschten E-Mails löschen musste. Eine den Kläger beeinträchtigende Außenwirkung des Verstoßes im Sinne einer Gefahr einer Schädigung des Ansehens oder Berufs oder einer diskriminierenden Wirkung gegenüber Dritten ist nicht ersichtlich.
Zur Entschädigung der erlittenen Beeinträchtigungen erachtet die Kammer die Zahlung von 25 €, ähnlich der in Verkehrsunfällen für die Umstände und Aufwendungen im Zusammenhang mit der Schadensabwicklung üblichen Auslagenpauschale, für angemessen.

Ein weiterer Schaden - unabhängig davon, ob materiell oder immateriell - ist dem Kläger nach Überzeugung der Kammer nicht entstanden, sodass ein weitergehender Anspruch nicht besteht.


Den Volltext der Entscheidung finden Sie hier:

AG Pforzheim: 1.500 EURO Schadensersatz aus Art. 82 DSGVO wegen unberechtigter Weitergabe von Name und Adresse

AG Pforzheim
Urteil vom 27.01.2022
2 C 381/21


Das AG Pforzheim hat in diesem Fall dem Betroffenen 1.500 EURO Schadensersatz aus Art. 82 DSGVO wegen der unberechtigten Weitergabe von Name und Adresse zugesprochen.

Aus den Entscheidungsgründen:
Durch die Weitergabe des Namens und der Adresse des Klägers ohne dessen Einwilligung an das Abrechnungszentrum Dr. G. hat die Beklagte gegen Art. 6 Abs. 1 DS-GVO verstoßen und des weiteren pflichtwidrig den Kläger hierüber nicht nach Art. 14 Abs. 1 DSGVO informiert. Aufgrund dessen steht dem Kläger ein Schadensersatzanspruch gem. Art. 82 Abs. 1 DS-GVO zu, wobei das Gericht einen Betrag in Höhe von 1.500,- € (zuzüglich 4,- € für Mahnkosten) für angemessen, aber auch ausreichend hält. Hierbei wurde zum einen berücksichtigt, dass sich der von der Beklagten begangene Verstoß nicht als besonders schwerwiegend darstellt, insbesondere keinerlei Anhaltspunkte für ein systematisches Vorgehen oder gar eine Schädigungs- oder Bereicherungsabsicht erkennen lassen. Andererseits sieht das Gesetz einen Ausschluss vermeintlicher Bagatellschäden nicht vor (s. hierzu sowie zum folgenden Kühling-Buchner, DS-GVO, Art. 82, Rd.-Nr. 18 a ff.). Vielmehr ist der Schadensbegriff der DS-GVO weit auszulegen und, da es sich um einen europarechtlichen Anspruch handelt, nicht mit den bisher in Deutschland üblichen Beträgen für einen Immateriellen Schadensersatz zu vergleichen. Um die geforderte Abschreckung zu erreichen, muss der zuzusprechende Schadensersatz über einen rein symbolischen Betrag hinaus gehen. Unter Berücksichtigung all dessen erachtet das Gericht einen Betrag in Höhe von 1.500,- € für insgesamt angemessen.

Weitergehende Ansprüche stehen dem Kläger nicht zu. Insbesondere kann er sich nicht darauf berufen, die Beklagte hätte auch im Folgenden unerlaubt seine geschützten personenbezogenen Daten weitergegeben bzw. verarbeitet, so dass ihm auch aufgrund dessen ein (höherer) Schadensersatzanspruch zustünde bzw. ein weiterer, über das Schreiben der Beklagten vom 21.04.2020 hinausgehender, Auskunftsanspruch. Denn die DSGVO gilt gem. Art. 2 Abs. 1 nur für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Die Voraussetzungen für diesen sachlichen Anwendungsbereich der DS-GVO sind im Übrigen jedoch weder ersichtlich noch hinreichend vorgetragen. Die Beklagte mag weitere Daten des Klägers an dessen geschiedene Ehefrau mitgeteilt haben; dies alleine - nämlich ohne automatisierte Verarbeitung oder Speicherung in einem Dateisystem - fällt jedoch eben nicht in den Anwendungsbereich der DS-GVO. Eine Weitergabe von Daten an ihren Prozessbevollmächtigten läge darüber hinaus in ihrem anerkennungswerten berechtigten Interesse, Art. 6 Abs. 1 Satz 1 f DS-GVO.


Den Volltext der Entscheidung finden Sie hier:


LAG Hamm: DSGVO-Verstoß durch nicht notwendige Datenübermittlung innerhalb eines Konzerns - Unterlassungsanspruch und Schadensersatz in Höhe von 2.000 EURO

LAG Hamm
Urteil vom 14.12.2021
17 Sa 1185/20


Das LAG Hamm hat entschieden, dass einem Arbeitnehmer ein Unterlassungsanspruch und immaterieller Schadensersatz in Höhe von 2.000 EURO zusteht, wenn der Arbeitgeber durch Datenweitergabe innerhalb des Konzerns, die nicht für die Durchführungen des Arbeitsverhältnisses erforderlich ist, gegen die Vorgaben der DSGVO verstößt.

Aus den Entscheidungsgründen:

1. Die Klägerin hat gegen die Beklagte einen Anspruch auf Unterlassung der Übermittlung der streitgegenständlichen Daten an die AKG. Der Anspruch folgt aus § 1004 Abs. 1 BGB, § 823 Abs. 2 Satz 1 BGB iVm. Art. 5 Abs. 1 Buchstabe a Var. 1, Art. 6 Abs. 1 DSGVO.

a) Nach allgemeinen Grundsätzen kann in entsprechender Anwendung des § 1004 Abs. 1 BGB die Unterlassung objektiv rechtswidriger Eingriffe in geschützte Rechtsgüter im Sinne des § 823 Abs. 2 Satz 1 BGB verlangt werden. Demnach ist derjenige, der gegen ein den Schutz eines anderen bezweckendes Gesetz im Sinne des § 823 Abs. 2 Satz 1 BGB verstößt, dem anderen entsprechend § 1004 Abs. 1 BGB zur Unterlassung verpflichtet. Ist nach dem Inhalt des Gesetzes ein Verstoß gegen dieses auch ohne Verschulden möglich, so tritt die Unterlassungspflicht - anders als die Ersatzpflicht (§ 823 Abs. 2 Satz 2 BGB) - auch ohne ein Verschulden des Verletzers ein (BGH 17.07.2008 – I ZR 219/05 – Rn. 13; Grüneberg/Sprau BGB 81. Aufl. Einf. v. § 823 Rn. 27ff.).

b) Art. 5 Abs. 1 Buchstabe a Var. 1 und Art. 6 Abs. 1 DSGVO sind Schutzgesetze iSd. § 823 Abs. 2 Satz 1 BGB.

aa) Eine Rechtsnorm ist ein Schutzgesetz iSd. § 823 Abs. 2 BGB, wenn sie zumindest auch dazu dienen soll, den Einzelnen oder einzelne Personenkreise gegen die Verletzung eines bestimmten Rechtsguts zu schützen. Dafür kommt es nicht auf die Wirkung, sondern auf Inhalt und Zweck des Gesetzes sowie darauf an, ob der Gesetzgeber bei Erlass des Gesetzes gerade einen Rechtsschutz, wie er wegen der behaupteten Verletzung in Anspruch genommen wird, zugunsten von Einzelpersonen oder bestimmten Personenkreisen gewollt oder doch mitgewollt hat. Es genügt, dass die Norm auch das Interesse des Einzelnen schützen soll, mag sie auch in erster Linie dasjenige der Allgemeinheit im Auge haben. Nicht ausreichend ist aber, dass der Individualschutz durch Befolgung der Norm nur als ihr Reflex objektiv erreicht wird; er muss vielmehr im Aufgabenbereich der Norm liegen (BGH 25.05.2020 – VI ZR 252/19 - Rn. 73 mwN).

bb) Gemäß Art. 5 Abs. 1 Buchstabe a Var. 1 DSGVO müssen personenbezogene Daten auf rechtmäßige Weise verarbeitet werden. Gemäß Art. 6 Abs. 1 DSGVO ist die Verarbeitung nur rechtmäßig, wenn mindestens eine der in den Buchstaben a bis f aufgeführten Bedingungen erfüllt ist. Die zitierten Bestimmungen dienen dem Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (vgl. Art. 1 Abs. 1 DSGVO). Der in ihnen zum Ausdruck kommende Grundsatz der Rechtmäßigkeit der Verarbeitung personenbezogener Daten schützt gemeinsam mit den anderen in Art. 5 DSGVO niedergelegten Grundsätzen die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten (vgl. Art. 1 Abs. 2 DSGVO). Dass dieser Schutz im Aufgabenbereich der Normen liegt, wird auch aus den Erwägungsgründen (fortan: EG) der DSGVO deutlich: Gemäß EG 2 DSGVO sollen durch die Grundsätze zum Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten - zu diesen gehört nach EG 39 Satz 1 DSGVO auch der hier maßgebliche Grundsatz der Rechtmäßigkeit der Verarbeitung - gewährleistet werden, dass ihre Grundrechte und Grundfreiheiten und insbesondere ihr Recht auf Schutz personenbezogener Daten ungeachtet ihrer Staatsangehörigkeit oder ihres Aufenthaltsorts gewahrt bleiben. Art. 5 Abs. 1 Buchstabe a Var. 1 und Art. 6 Abs. 1 DSGVO sind daher als Schutzgesetze iSd. § 823 Abs. 2 Satz 1 BGB einzuordnen (im Ergebnis ebenso Frenzel in Paal/Pauly DSGVO 3. Aufl. Art. 6 Rn. 2; zur Einordnung von Regelungen des BDSG als Schutzgesetze vgl. BGH 24.07.2018 – VI ZR 330/17 – Rn. 30; 27.02.2018 – VI ZR 489/16 – Rn. 42).

c) Der Anwendungsbereich der DSGVO ist eröffnet (Art. 2 DSGVO). Die von der AKG angefragten Informationen über die Klägerin stellen personenbezogene Daten iSd. Art. 4 Nr. 1 DSGVO dar. Durch die Übermittlung an die AKG hat die Beklagte diese Daten iSv. Art. 4 Nr. 2 DSGVO verarbeitet. Es liegt auch eine zumindest teilweise automatisierte Verarbeitung vor, weil die Daten per E-Mail übermittelt wurden (vgl. Ernst in Paal/Pauly DSGVO 3. Aufl. Art. 2 Rn. 5). Zudem ist davon auszugehen, dass die AKG die übermittelten Daten zur Vergleichsbildung in einem Dateisystem iSd. Art. 4 Nr. 6 DSGVO gespeichert hat. Ein Ausnahmetatbestand nach Art. 2 Abs. 2 DSGVO liegt im Streitfall nicht vor.

d) Die Beklagte ist im Hinblick auf die streitgegenständliche Datenübermittlung „Verantwortlicher“ iSd. Art. 4 Nr. 7 DSGVO, weil ihr die Entscheidungsgewalt über die Daten oblag und sie über das Ob und den Umfang der Datenübermittlung entschied (vgl LAG Baden-Württemberg 25.02.2021 – 17 Sa 37/20 – Rn. 45; EuArbRK/Franzen 4. Aufl. Art. 4 DSGVO Rn. 12; Hartung in Kühling/Buchner DSGVO 3. Aufl. Art. 4 Nr. 7 Rn. 13; Spindler/Dalby in Spindler/Schuster, Recht der elektronischen Medien 4. Aufl. Art. 4 DSGVO Rn. 18). Die Beklagte war damit gemäß Art. 5 Abs. 2 DSGVO für die Einhaltung von Art. 5 Abs. 1 Buchstabe a Var. 1 und Art. 6 Abs. 1 DSGVO verantwortlich.

e) Es liegt ein Verstoß gegen Art. 5 Abs. 1 Buchstabe a Var. 1 DSGVO („Grundsatz der Rechtmäßigkeit der Verarbeitung“) vor. Keiner der in Art. 6 Abs. 1 Buchstabe a bis f genannten Tatbestände ist im Streitfall erfüllt.

aa) Eine Einwilligung der Klägerin iSv. Art. 6 Abs. 1 Buchstabe a DSGVO liegt nicht vor. Auch die Tatbestände in Art. 6 Abs. 1 Buchstabe c, d und e kommen hier als Rechtsgrundlage erkennbar nicht in Betracht.

bb) Die Beklagte kann die Verarbeitung auch nicht auf § 26 BDSG stützen, der als speziellere Vorschrift Art. 6 Abs. 1 Buchstabe b DSGVO im Beschäftigungskontext verdrängt.

(1) § 26 BDSG stellt eine spezifischere Vorschrift iSv. Art. 88 DSGVO dar, welche ihrerseits den Erlaubnistatbestand des Art. 6 Abs. 1 Buchstabe b DSGVO im Beschäftigungskontext konkretisiert. Demnach verdrängt § 26 BDSG in seinem Anwendungsbereich die Regelung des Art. 6 Abs. 1 Buchstabe b DSGVO (LAG Baden-Württemberg 25.02.2021 – 17 Sa 37/20 – Rn. 74; ErfK/Franzen 22. Aufl. § 26 BDSG Rn. 4f. mwN; HWK/Lembke Arbeitsrecht Kommentar 9. Aufl. Einl. DSGVO Rn. 64; Buchner/Petri in: Kühling/Buchner Art. 6 DSGVO Rn. 49f.). Demgegenüber bleiben die übrigen Tatbestände des Art. 6 Abs. 1 DSGVO weiterhin anwendbar (ErfK/Franzen 22. Aufl. § 26 BDSG Rn. 4f.; Gola in: Gola DSGVO 2. Aufl. Art. 6 Rn. 101; Gräber/Nolden in: Paal/Pauly DSGVO 3. Aufl. § 26 BDSG Rn. 10).

(2) Die Verarbeitung ist nicht nach § 26 Abs. 1 BDSG gerechtfertigt.

(a) Nach dieser Vorschrift dürfen personenbezogene Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist. Für die Durchführung des Arbeitsverhältnisses ist eine Verarbeitung von personenbezogenen Daten danach erforderlich, wenn und soweit der Arbeitgeber sie benötigt, um die Pflichten zu erfüllen und die Rechte geltend machen zu können, welche im Hinblick auf das Arbeitsverhältnis in gesetzlichen Vorschriften, Kollektivverträgen und Individualvereinbarungen mit dem Arbeitnehmer geregelt sind (vgl. HWK/Lembke Arbeitsrecht Kommentar 9. Aufl. Art. 88 DSGVO Rn. 29; BeckOK DatenschutzR/Riesenhuber, 37. Ed. § 26 BDSG Rn. 114).

(b) Die streitgegenständliche Datenübermittlung war zur Durchführung des Arbeitsverhältnisses mit der Klägerin nicht erforderlich. Die AKG ist keine Personalabteilung oder personalverwaltende Stelle der Beklagten. Sämtliche das Arbeitsverhältnis der Klägerin betreffenden Abrechnungs- und Personalverwaltungsvorgänge werden ohne Mitwirkung der AKG vorgenommen. Das Arbeitsverhältnis weist auch keinen anderweitigen Konzernbezug auf (vgl. hierzu allg. Gola in: Gola/Heckmann BDSG 13. Aufl. § 26 Rn. 92; BeckOK DatenschutzR/Riesenhuber, 37. Ed. § 26 BDSG Rn. 183; Gola in: Gola DSGVO 2. Aufl. Art. 6 Rn. 104). Insbesondere ist ein konzernweiter Einsatz der Klägerin nicht vorgesehen; die Versetzungsklausel in § 1 Abs. 5 des Arbeitsvertrags beschränkt den Einsatz auf andere Orte „innerhalb des Unternehmens“. Auch die Beklagte hat nicht behauptet, sie sei zur Durchführung des Arbeitsverhältnisses mit der Klägerin auf die Übermittlung der Daten angewiesen. Sie hat vielmehr geltend gemacht, eine Übermittlung der Daten an die AKG sei für interne Verwaltungszwecke, nämlich zur Schaffung einer einheitlichen Vergütungsstruktur im Konzern, erforderlich.

(3) Die Verarbeitung ist auch nicht nach § 26 Abs. 4 BDSG gerechtfertigt. Zwar existiert die BV LNT. Die hier im Streit stehende Datenübermittlung erfolgte jedoch nicht unter Nutzung der Software, auf die sich die BV LNT bezieht, sondern per E-Mail.

cc) Die Datenverarbeitung ist auch nicht nach Art. 6 Abs. 1 Buchstabe f DSGVO gerechtfertigt.

aa) Nach dieser Bestimmung ist die Verarbeitung personenbezogener Daten rechtmäßig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt. Ob die Voraussetzungen der Norm erfüllt sind, ist anhand einer dreistufigen Prüfung zu ermitteln (LAG Baden-Württemberg 25.02.2021 – 17 Sa 37/20 – Rn. 75; Buchner/Petri in: Kühling/Buchner Art. 6 DSGVO Rn. 146).

(1) Zunächst ist zu klären, ob zum Zeitpunkt der Verarbeitung ein berechtigtes Interesse des Verantwortlichen oder eines Dritten, dem die Daten übermittelt werden, vorliegt. Zu den berechtigten Interessen des Verantwortlichen oder Dritten zählen neben rechtlichen auch tatsächliche, wirtschaftliche oder ideelle Interessen, nicht jedoch bloße Allgemeininteressen (Buchner/Petri in: Kühling/Buchner, Art. 6 DS-GVO Rn. 146 f.). Die in den EG 47–50 der DSGVO genannten Beispiele berechtigter Interessen wie unter anderem die Verarbeitung im Rahmen einer konzerninternen Übermittlung (EG 48 Satz 1 DSGVO) zeigen, dass vielfältige und unterschiedlich bedeutsame berechtigte Interessen berücksichtigungsfähig sind (BGH 12.07.2018 – III ZR 183/17 - Rn. 76).

(2) Sind die Interessen, die mit einer Datenverarbeitung verfolgt werden, grundsätzlich als berechtigte Interessen einzustufen, ist in einem weiteren Schritt zu klären, ob die konkrete Datenverarbeitung zur Wahrung dieser berechtigten Interessen auch erforderlich ist. Der EuGH hat im Hinblick auf das Kriterium der Erforderlichkeit darauf hingewiesen, dass sich die Ausnahmen und Einschränkungen in Bezug auf den Schutz der personenbezogenen Daten auf das absolut Notwendige beschränken müssen (vgl. zur Vorgängerregelung in Art. 7 Buchst. f der RL 95/46/EG EuGH 11.12.2019 – C-708/18 –Rn. 46; 04.05.2017 – C-13/16 – Rn. 30). Das Gericht hat im Einzelfall zu prüfen, ob das berechtigte Interesse des Verantwortlichen nicht mit anderen Mitteln, die weniger stark in die Grundrechte und Grundfreiheiten der betroffenen Personen eingreifen, vernünftigerweise ebenso wirksam erreicht werden kann (EuGH 11.12.2019 – C-708/18 – Rn. 46). Entsprechende Anhaltspunkte für das Kriterium der Erforderlichkeit finden sich auch in EG 39 DSGVO: Nach dessen Satz 7 soll die Verarbeitung der personenbezogen Daten auf das für sie notwendige Maß beschränkt sein. Satz 9 bestimmt, dass personenbezogene Daten nur verarbeitet werden dürfen, wenn der Zweck der Verarbeitung nicht in zumutbarer Weise durch andere Mittel erreicht werden kann. Die Datenverarbeitung ist daher erforderlich, wenn kein milderes, gleich effektives Mittel zur Verfügung steht, um die Interessen des Verantwortlichen zu erreichen (BGH 12.7.2018 – III ZR 183/17 - Rn. 82; ebenso zum Begriff der Erforderlichkeit in Art. 6 Abs. 1 Buchstabe c und e DSGVO BAG 26.08.2021 – 8 AZR 253/20 (A) - Rn. 31).

[...]

bb) Die Voraussetzungen des Art. 6 Abs. 1 Buchstabe f DSGVO liegen im Streitfall nicht vor.

(1) Es besteht allerdings grundsätzlich ein berechtigtes Interesse der Beklagten, der AKG und der DRV KBS an der Übermittlung der Gehaltsdaten der Klägerin. Diese Verarbeitung soll einen konzernweiten Vergleich der Gehälter und sonstigen Entgeltbestandteile der im Konzern beschäftigten AT-Mitarbeiter ermöglichen. Das damit verbundene Ziel, die Vergütungspraxis von außertariflichen Angestellten in vergleichbaren Positionen konzernweit einheitlich und widerspruchsfrei zu gestalten, ist ein berechtigtes wirtschaftliches Interesse iSd. Vorschrift. Die konzerninterne Datenübermittlung für solche internen Verwaltungszwecke wird auch durch EG 48 Satz 1 DSGVO grundsätzlich anerkannt.

Dieses berechtigte Interesse hat zum einen die AKG als „Dritter“ iSd. Vorschrift, weil sie die übermittelten Daten unmittelbar für die genannten Ziele nutzen kann. Daneben besteht auch ein eigenes berechtigtes Interesse der Beklagten an der Verarbeitung. Den bezweckten Gehältervergleich kann sie zwar nicht unmittelbar selbst nutzen, weil sie nach eigenem Vortrag keinen Zugriff auf die Daten hat. Die Verarbeitung kommt ihr aber jedenfalls mittelbar zugute, indem die Erkenntnisse bei zukünftigen Vertragsabschlüssen und - änderungen, die gemäß § 7 Abs. 2 Buchstabe e GO-AKG jeweils der Zustimmung der AKG bedürfen, zu ihren Gunsten Berücksichtigung finden. Ein durch Art. 6 Abs. 1 Buchstabe f DSGVO geschütztes Interesse an der Schaffung konzernweit einheitlicher Vergütungsstrukturen hat schließlich auch die DRV KBS als Konzernobergesellschaft.

(2) Die Übermittlung der Daten war in ihrer konkreten Ausgestaltung jedoch nicht erforderlich. Die Gehaltsdaten der Klägerin hätten in pseudonymisierter Form übermittelt werden können.

(a) Der Zweck der Verarbeitung bestand nach dem Vorbringen der Beklagten darin, einen Überblick über das aktuelle Gehaltsgefüge der AT-Mitarbeiter der Verbundkliniken zu erhalten, um zukünftig homogene Arbeitsbedingungen für diese Personengruppe zu schaffen und die Gehälter der AT-Mitarbeiter bei zukünftigen Vertragsabschlüssen bzw. -änderungen an vergleichbare Positionen anzupassen. Zur Erreichung dieses Zwecks war lediglich die Übermittlung der Gehaltsdaten (Jahresbruttogehalt, Zielprämie und sonstige Leistungen), der Funktion des jeweiligen Beschäftigten und seiner Organisationseinheit erforderlich. Die weiteren von der Beklagten übermittelten Daten der Klägerin (Name, Vorname, Personalnummer, Geburtsdatum, Privatadresse, Konzerngesellschaft, bei der sie tätig ist, Krankenhaus, in dem sie tätig ist, Arbeitsvertrag) sind für die Vergleichsdatenbildung hingegen nicht erforderlich. Denn auch ohne diese Daten könnte die AKG das Gehaltsgefüge vergleichbarer AT-Mitarbeiter in den Verbundkliniken feststellen und in der Zukunft für homogene Arbeitsbedingungen sorgen. Dass die Beklagte mehr Daten übermittelte, als zur Erreichung des Zwecks erforderlich waren, belegt auch der Umstand, dass die AKG nach dem Vortrag der Beklagten unmittelbar nach Erhalt der Daten einige dieser Daten wieder löschte und auf den Arbeitsverträgen schwärzte. Soweit die Beklagte zur Rechtfertigung dieses Vorgehens vorbringt, es habe verhindert werden sollen, dass „Daten durcheinander geraten“ und „falsche Zuordnungen“ erfolgen, ist dies für die Berufungskammer nicht nachvollziehbar. Eine ordnungsgemäße Nutzung und Einordnung der Daten für den angestrebten Zweck wäre ohne weiteres auch dann möglich gewesen, wenn nur die notwendigen, oben aufgeführten Daten übermittelt worden wären. In diesem Fall hätten die Gehaltsdaten der Klägerin nicht ohne Hinzuziehung zusätzlicher Informationen zugeordnet werden können (vgl. zum Begriff der Pseudonomysierung Art. 4 Nr. 5 DS-GVO).

(b) Die Beklagte hat eingewandt, dass eine derart eingeschränkte Datenübermittlung nicht zielführend sei. Da nur ein kleiner Personenkreis von der Datenverarbeitung betroffen sei und zum Teil in den einzelnen Unternehmen nur jeweils eine Person mit einem entsprechenden Tätigkeitsfeld arbeite, was auch auf die Klägerin zutreffe, könnten die Gehaltsdaten der Klägerin auch ohne Mitteilung des Namens und weiterer persönlicher Daten zugeordnet werden. Dieser Einwand greift nicht durch. Zum einen handelt es sich nicht um einen kleinen Personenkreis, sondern um 156 Mitarbeiter, davon 21 bei der Beklagten. Für die Kammer ist zudem nicht nachvollziehbar, wie die Identität der Klägerin ohne weitere Informationen herausgefunden werden könnte, wenn lediglich ihre Gehaltsdaten, ihre Funktion und ihre Organisationseinheit mitgeteilt würden. Da keine weiteren Daten, insbesondere auch nicht die Konzerngesellschaft und das Krankenhaus, in dem die Klägerin beschäftigt ist, übermittelt werden müssen, handelte es sich, selbst wenn die Position der Klägerin in jeder Klinikgesellschaft nur einmal vorhanden wäre, um einen Kreis von dann immerhin sechs Personen. Aber selbst wenn eine Identifizierung der Klägerin auch bei einer Datenübermittlung in dem oben dargelegten, eingeschränkten Umfang noch (theoretisch) möglich wäre, wäre die Identifizierung jedenfalls erheblich erschwert, weil diese erst unter Zuhilfenahme anderer Informationsquellen durchgeführt werden könnte. Durch eine solche Pseudonymisierung würden die datenschutzrechtlichen Risiken für die Klägerin folglich gesenkt (vgl. EG 29 Satz 1 DSGVO). Zudem entspräche ein solches Vorgehen dem Grundsatz der Datenminimierung (Art. 5 Abs. 1 Buchstabe c DSGVO). Eine pseudonymisierte Übermittlung der Gehaltsdaten würde daher in jedem Fall weniger stark in die Grundrechte der Klägerin eingreifen, den von der Beklagten erstrebten Zweck aber ebenso wirksam erreichen. Die Datenübermittlung in ihrer konkreten Ausgestaltung war daher nicht erforderlich.

[...]

dd) Art. 6 Abs. 4 DSGVO kann die Datenübermittlung an die AKG ebenfalls nicht rechtfertigen.

(1) Zwar liegt im Streitfall eine Verarbeitung zu einem anderen Zweck als zu demjenigen, zu dem die personenbezogenen Daten erhoben wurden, vor (s.o.). Die Klägerin hat in diese jedoch nicht eingewilligt. Die Datenübermittlung beruht auch nicht auf einer Rechtsvorschrift zum Schutz der in Art. 23 Abs. 1 DSGVO genannten Ziele iSv. § 6 Abs. 4 DSGVO. Die Voraussetzungen des § 24 Abs. 1 BDSG liegen ebenfalls nicht vor.

(2) In einem solchen Fall berücksichtigt der Verantwortliche – um festzustellen, ob die Verarbeitung zu einem anderen Zweck mit demjenigen, zu dem die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist – unter anderem die in Art. 6 Abs. 4 Buchstabe a bis e DSGVO genannten Kriterien. Der Rechtscharakter dieser Regelung wird uneinheitlich beurteilt. Nach einer Ansicht ist sie als ein Erlaubnistatbestand für eine zweckändernde Weiterverarbeitung personenbezogener Daten einzuordnen. Wenn die Voraussetzungen der Regelung vorliegen, bedarf es danach für die Zulässigkeit der Weiterverarbeitung keiner gesonderten Rechtsgrundlage iSv. Art. 6 Abs. 1 DSGVO. Ausreichend soll dann vielmehr gemäß EG 50 Satz 2 DSGVO der ursprüngliche Legitimationstatbestand für die Datenerhebung sein (Schulz in: Gola DSGVO 2. Aufl. Art. 6 Rn. 210 mwN; EuArbRK/Franzen 4. Aufl. Art. 6 DSGVO Rn. 14). Nach der Gegenansicht beschränkt sich die Funktion des Art. 6 Abs. 4 DSGVO auf einen Kompatibilitätstest. Danach bedarf auch eine nach Abs. 4 zweckkompatible Weiterverarbeitung von Daten darüber hinaus stets zusätzlich noch einer entsprechenden Rechtsgrundlage iSd. Art. 6 Abs. 1 DSGVO (Buchner/Petri in: Kühling/Buchner DSGVO 3. Aufl. Art. 6 Rn. 182ff. mwN; BeckOK DatenschutzR/Albers/Veit 38. Ed. Art. 6 DSGVO Rn. 96 ff.; Heberlein in: Ehmann/Selmayr 2. Aufl. DSGVO Art. 6 Rn. 48).

(a) Aus Sicht der Berufungskammer ist der letztgenannten Ansicht zu folgen. Der Einordnung von Art. 6 Abs. 4 DSGVO als selbständiger Erlaubnistatbestand steht der Wortlaut des Art. 6 Abs. 1 DSGVO entgegen, nach dem eine Verarbeitung „nur rechtmäßig“ ist, wenn einer der dort genannten Erlaubnistatbestände erfüllt ist; einen Vorbehalt hinsichtlich Abs. 4 macht Art. 6 Abs. 1 DSGVO gerade nicht (Buchner/Petri in: Kühling/Buchner 3. Aufl. Art. 6 DSGVO Rn. 183). Ein entsprechendes Verständnis kommt auch in der englischen und der französischen Fassung von Art. 6 Abs. 1 DSGVO zum Ausdruck.

Art. 6 Abs. 4 DSGVO betrifft nicht den Grundsatz der Rechtmäßigkeit der Datenverarbeitung iSv. Art. 5 Abs. 1 Buchstabe a Var. 1 DSGVO, sondern konkretisiert den Grundsatz der Zweckbindung iSd. Art. 5 Abs. 1 Buchstabe b DSGVO und regelt die Frage, ob der neue mit einer Datenverarbeitung verfolgte Zweck mit dem ursprünglich verfolgten vereinbar ist (Buchner/Petri in: Kühling/Buchner 3. Aufl. Art. 6 DSGVO Rn. 183; Heberlein in: Ehmann/Selmayr 2. Aufl. DSGVO Art. 6 Rn. 48). Die Grundsätze der Zweckbindung und der Rechtmäßigkeit sind jedoch unabhängig voneinander zu erfüllen (EuGH 01.10.2015 – C-201/14 – Rn. 30 mwN.).

(b) Selbst wenn man der Gegenansicht folgte, führte dies im Streitfall zu keinem anderen Ergebnis. Die Beklagte, die als Verantwortliche für die Rechtmäßigkeit der Datenverarbeitung verantwortlich ist und die Einhaltung dieses Grundsatzes nachweisen muss (Art. 5 Abs. 2 DSGVO), hat nicht behauptet, vor der Datenübermittlung den nach Art. 6 Abs. 4 vorgesehenen Kompatibilitätstest durchgeführt zu haben (vgl. zum Charakter der Regelung als Vorgabe für den Verantwortlichen auch BeckOK DatenschutzR/Albers/Veit, 38. Ed. Art. 6 DSGVO Rn. 102; Heberlein in: Ehmann/Selmayr 2. Aufl. DSGVO Art. 6 Rn. 49). Zudem ist die Datenübermittlung an die AKG unter Berücksichtigung der in Art. 6 Abs. 4 Buchstabe a bis e DSGVO genannten Kriterien mit dem ursprünglichen Erhebungszweck nicht kompatibel. Eine Pseudonymisierung wurde im Streitfall nicht vorgenommen, obwohl dies möglich gewesen wäre (Buchstabe e). Die Datenübermittlung hätte wie oben dargelegt nachteilige Auswirkungen für die Klägerin haben können (Buchstabe d). Die Daten wurden ausschließlich zum Zwecke der Begründung und Durchführung des Arbeitsverhältnisses erhoben. Die Klägerin musste nicht davon ausgehen, dass die Daten für andere Zwecke genutzt würden (Buchstabe b, vgl. auch EuArbRK/Franzen 4. Aufl. Art. 6 DSGVO Rn. 17). Es handelt sich um Personaldaten, die der Arbeitgeber grundsätzlich vertraulich zu behandeln hat (Buchstabe c). Der ursprüngliche Zweck für die Erhebung der Daten steht auch in keinem unmittelbaren Zusammenhang mit der Übermittlung der Daten zum Zwecke der Schaffung einer konzernweiten Vergleichsdatenbank (Buchstabe a).

f) Es besteht auch die erforderliche Wiederholungsgefahr.

aa) Die Besorgnis weiterer Beeinträchtigungen (§ 1004 Abs. 1 Satz 2 BGB) ist Tatbestandsmerkmal des auf §§ 1004, 823 BGB gestützten Unterlassungsanspruchs und damit materielle Anspruchsvoraussetzung (BAG 20.11.2012 - 1 AZR 179/11 - Rn. 82 mwN). Künftige Beeinträchtigungen eines geschützten Rechts sind grundsätzlich zu besorgen, wenn sie auf einer Verletzungshandlung beruhen (Wiederholungsgefahr) oder eine solche ernsthaft zu befürchten ist (Erstbegehungsgefahr). Wiederholungsgefahr ist die objektive Gefahr der erneuten Begehung einer konkreten Verletzungshandlung. Sie ist nicht auf die identische Verletzungsform beschränkt, sondern umfasst alle im Kern gleichartigen Verletzungsformen (BAG 18.11.2014 - 1 AZR 257/13 - Rn. 39). Für sie besteht eine tatsächliche Vermutung, wenn es bereits zu einer Verletzung des geschützten Rechts gekommen ist (BAG 07.06.2017 – 1 ABR 32/15 – Rn. 24).

bb) Angesichts des Verstoßes der Beklagten gegen Art. 5 Abs. 1 Buchstabe a Var. 1, Art. 6 Abs. 1 DSGVO besteht eine tatsächliche Vermutung für eine Wiederholungsgefahr, der die Beklagte nicht entgegengetreten ist. Sie macht vielmehr weiterhin geltend, dass die streitgegenständliche Datenübermittlung rechtmäßig gewesen sei (vgl. hierzu Staudinger/Thole BGB Neubearb. 2019 § 1004 Rn. 461).

2. Die Klägerin hat gegen die Beklagte gemäß Art. 82 Abs. 1 DSGVO Anspruch auf Ersatz des immateriellen Schadens. Nach dieser Vorschrift hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Diese Voraussetzungen liegen vor.

a) Die Klägerin ist anspruchsberechtigt. Sie gehört zu den von Art. 82 Abs. 1 DSGVO geschützten betroffenen Personen iSv. Art. 4 Nr. 1 DS-GVO. Die Verletzung von Bestimmungen der DSGVO geschah bei der Verarbeitung „ihrer“ personenbezogenen Daten (vgl. BAG 26.08.2021 – 8 AZR 253/20 (A) – Rn. 33; LAG Niedersachsen 22.10.2021 – 16 Sa 761/20 – Rn. 185).
b) Die Beklagte ist anspruchsverpflichtet. Wie bereits oben ausgeführt, ist sie im Hinblick auf die durchgeführte Datenübermittlung „Verantwortlicher“ iSd. Art. 4 Nr. 7 DSGVO und haftet daher für den Schaden, der durch eine nicht der DSGVO entsprechende Verarbeitung verursacht wurde.

c) Es liegt ein Verstoß gegen die DSGVO vor. Die personenbezogenen Daten der Klägerin wurden entgegen den Vorgaben von Art. 5 Abs. 1 Buchstabe a Var. 1 und Art. 6 Abs. 1 DSGVO nicht in rechtmäßiger Weise übermittelt. Auf die Ausführungen im Rahmen des Klageantrags zu 1) wird verwiesen.

d) Die Beklagte ist für den Verstoß gegen die DSGVO auch verantwortlich iSv. Art. 82 Abs. 3 DSGVO.

aa) Die Haftung des Verantwortlichen nach Art. 82 Abs. 1 DSGVO ist verschuldensunabhängig, dh. sie setzt nicht das Vorliegen oder den Nachweis eines Verschuldens voraus (BAG 26.08.2021 - 8 AZR 253/20 (A) – Rn. 39). Aus Art. 82 Abs. 3 DSGVO ergibt sich nichts Abweichendes. Die darin enthaltene Bestimmung, wonach bei Nachweis der Nichtverantwortlichkeit für den Umstand, durch den der Schaden eingetreten ist, eine Befreiung von der Haftung eintritt, betrifft nach Auffassung des BAG nicht das Verschulden im Sinne eines „Vertretenmüssens“, sondern die Frage nach einer „Beteiligung“ bzw. nach der Urheberschaft im Sinne der Kausalität (BAG 26.08.2021 - 8 AZR 253/20 (A) – Rn. 40). Danach ist die Beklagte hier verantwortlich, weil sie den Verstoß gegen die DSGVO durch die von ihr vorgenommene Datenübermittlung kausal verursacht hat.

bb) Selbst wenn man demgegenüber Verantwortlichkeit iSd. Art. 82 Abs. 3 DSGVO im Sinne von Verschulden verstünde (vgl. LAG Niedersachsen 22.10.2021 – 16 Sa 761/20 – Rn. 223; EuArbRK/Franzen 4. Aufl. Art. 82 DSGVO Rn. 17); führte dies zu keinem anderen Ergebnis. Denn das Verschulden der Beklagten wird nach Art. 82 Abs. 3 DSGVO vermutet. Die Beklagte hat keinen entgegenstehenden Vortrag geleistet. Sie handelte zumindest fahrlässig, was unter näher ausgeführt wird.

e) Durch den Verstoß der Beklagten gegen Bestimmungen der DSGVO ist der Klägerin ein immaterieller Schaden entstanden.

Der Rechtsanspruch auf immateriellen Schadenersatz nach Art. 82 Abs. 1 DSGVO erfordert über eine Verletzung der DSGVO hinaus nicht zusätzlich, dass die verletzte Person einen (weiteren) von ihr erlittenen immateriellen Schaden darlegt. Sie muss also keine „Konsequenz oder Folge der Rechtsverletzung von zumindest einigem Gewicht“ oder das Überschreiten einer „Erheblichkeitsschwelle“ darlegen. Bereits die Verletzung der DSGVO selbst führt zu einem auszugleichenden immateriellen Schaden (BAG 26.08.2021 – 8 AZR 253/20 (A) – Rn. 33; LAG Hamm 11.05.2021 – 6 Sa 1260/20 – Rn. 62ff.; LAG Niedersachsen 22.10.2021 – 16 Sa 761/20 – Rn. 228). Für dieses Verständnis spricht EG 146 Satz 3 DSGVO, wonach der Begriff des Schadens im Lichte der Rechtsprechung des EuGH weit und auf eine Weise ausgelegt werden soll, die den Zielen der Verordnung in vollem Umfang entspricht. Bereits der - auch hier eingetretene - Verlust über die Kontrolle der eigenen personenbezogenen Daten kann nach EG 75 und 85 DSGVO einen immateriellen Schaden begründen. Bei diesem Verständnis bleiben die Schwere eines Pflichtenverstoßes und das Ausmaß der damit einhergehenden Beeinträchtigungen auch nicht unberücksichtigt. Sie können effektiv im Rahmen der Bemessung der Höhe des Schadensersatzes berücksichtigt werden (LAG Niedersachsen 22.10.2021 – 16 Sa 761/20 – Rn. 228).

f) Die Klägerin hat die Bemessung der Höhe des immateriellen Schadensersatzes in das Ermessen des Gerichts gestellt, § 287 Abs. 1 Satz 1 ZPO. Unter Würdigung aller Umstände des Einzelfalles geht die Berufungskammer im Einklang mit der Entscheidung des Arbeitsgerichts davon aus, dass der Klägerin zur Abgeltung des immateriellen Schadens ein Geldanspruch in Höhe von 2.000,00 € zusteht.

aa) Nach EG 146 Satz 6 der DSGVO sollen die betroffenen Personen einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten. Bei der Bemessung des immateriellen Schadenersatzes durch das Gericht sind daher alle Umstände des Einzelfalls zu berücksichtigen. Es soll ein tatsächlicher und wirksamer rechtlicher Schutz der aus der DSGVO hergeleiteten Rechte gewährleistet werden BAG 26.08.2021 – 8 AZR 253/20 (A) – Rn. 36).

bb) Unter Berücksichtigung und Abwägung aller Umstände des Einzelfalls ist ein Schadensersatz in Höhe von 2.000,00 € angemessen.

(1) Ein vorsätzliches Handeln der Beklagten ist nicht festzustellen. Sie holte vor Durchführung der streitgegenständlichen Verarbeitung eine rechtliche Stellungnahme eines Rechtsanwalts und Fachanwalts für Arbeitsrecht und Informationstechnologierecht ein, nach der die Datenübermittlung aufgrund eines gesetzlichen Erlaubnistatbestandes grundsätzlich zulässig sein sollte. Zu berücksichtigen ist auch, dass die konkrete Rechtsfrage im Zeitpunkt der Datenverarbeitung nicht höchstrichterlich geklärt war. Die Beklagte hat den Verstoß gegen die DSGVO jedoch fahrlässig herbeigeführt. Sie hätte bei Beachtung der im Verkehr erforderlichen Sorgfalt (§ 276 Abs. 2 BGB) erkennen können und müssen, dass die Verarbeitung in ihrer durchgeführten Form nicht erforderlich war, sondern über das für den Zweck erforderliche Maß hinausging. Das eingeholte rechtliche Gutachten wies selbst darauf hin, dass eine anonymisierte Weitergabe der Daten Vorrang hätte, wenn die Vorgaben der Geschäftsführung durch eine solche Weitergabe ebenso erreicht werden könnten. Der Personalleiter der Beklagten E. hatte in seiner E-Mail vom 22.01.2019 (Bl. 157 GA) ebenfalls auf die Möglichkeit einer anonymisierten bzw. pseudonymisierten Datenübermittlung hingewiesen. Darüber hinaus sieht auch die BV LNT, die nur drei Wochen vor der hier in Rede stehenden Datenvereinbarung abgeschlossen worden war, vor, dass Beschäftigtendaten für Controlling- und Benchmark-Zwecke grundsätzlich nur pseudonymisiert genutzt werden dürfen. Auch vor diesem Hintergrund lag eine pseudonymisierte Verarbeitung der Daten nahe. Die Übermittlung beinhaltete in ihrer konkreten Form schließlich auch Daten wie das Geburtsdatum und die Privatadresse der Klägerin, die von vornherein und ganz offensichtlich nicht vom Zweck der Übermittlung gedeckt waren.

(2) Zulasten der Beklagten war darüber hinaus zu berücksichtigen, dass sie den Grundsatz der Transparenz (Art. 5 Abs. 1 Buchstabe a Var. 3 DSGVO) nicht beachtet und die ihr gegenüber der Klägerin obliegenden Informationspflichten im Hinblick auf die Datenübermittlung nachhaltig nicht erfüllt hat, obwohl sie in dem eingeholten Rechtsgutachten vom 05.03.2019 ausdrücklich auf die ihr obliegenden Informationspflichten nach der DSGVO hingewiesen worden war. Deshalb hatte die Klägerin keine Möglichkeit, ihr Widerspruchsrecht nach Art. 21 Abs. 1 DSGVO rechtzeitig und effektiv auszuüben. Zur Vermeidung von Wiederholungen wird insoweit auf die obigen Ausführungen verwiesen. Zudem entsprach die Datenübermittlung in ihrer konkreten Ausgestaltung nicht dem Grundsatz der Datenminimierung (Art. 5 Abs. 1 Buchstabe c DSGVO). Die Klägerin musste auch nicht mit einer Übermittlung ihrer Daten an die AKG rechnen. Die Verarbeitung betraf Personaldaten der Klägerin, die grundsätzlich vertraulich zu behandeln sind. Die Datenübermittlung war auch - jedenfalls bis zur Löschung der Daten durch die AKG - geeignet, sich für die Klägerin nachteilig auszuwirken. Ergänzend wird auch bezüglich dieser Aspekte auf die obigen Ausführungen Bezug genommen.

(3) Die Berufungskammer hat auch berücksichtigt, dass die Beklagte mit Schreiben vom 16.01.2020 – und damit wenige Tage vor dem am 22.01.2020 stattfindenden Termin vor dem Landgericht Bochum – einen Versuch unternommen hat, die streitgegenständliche Datenübermittlung im Nachhinein zu legitimieren. Sie übersandte der Klägerin eine „Information und Einverständniserklärung zur Verarbeitung ihrer Beschäftigtendaten“ mit dem Ziel, dass die Klägerin ihr schriftliches Einverständnis zur Übermittlung von Daten an die AKG geben würde. Dabei hat die Beklagte der Klägerin jedoch keine vollständige Wahlfreiheit im Hinblick auf die Erteilung einer Einwilligung eingeräumt, sondern mitgeteilt, dass die Klägerin ihre Zielvereinbarung für das Jahr 2020 (erst) erhalten würde, wenn sie die beigefügte Einverständniserklärung unterzeichnet an die Personalabteilung zurückgegeben hätte. Ein solches Vorgehen steht im Widerspruch zu Art. 7 Abs. 4 DSGVO. Die Klägerin hat gemäß § 2 Abs. 3 des Arbeitsvertrags einen Anspruch auf eine jährliche Zielvereinbarung. Die von der Beklagten verlangte Einwilligungserklärung war für den Abschluss der Zielvereinbarung nicht erforderlich und stand mit dieser in keinem Zusammenhang.

(4) Zugunsten der Beklagten war zu berücksichtigen, dass sie Maßnahmen zum Schutz der personenbezogenen Daten der Klägerin ergriffen hat. Einer ersten Aufforderung zur Datenübermittlung hat sich der Personalleiter der Beklagten E. mit E-Mail vom 22.01.2019 unter Hinweis auf datenschutzrechtliche Bedenken widersetzt. In der Folge wurde ein Rechtsgutachten eingeholt, um die Rechtslage klären zu lassen. Vor der Datenübermittlung wurde erörtert, wer Zugriff auf die Daten erhalten sollte, was sich unter anderem aus der E-Mail der MKSG vom 17.01.2019 (Bl. 65 GA) ergibt. Für die Datenübermittlung innerhalb des Konzerns bestand auch grundsätzlich ein berechtigtes Interesse. Eine Weitergabe der Daten an externe Dritte außerhalb des Konzerns ist nicht erfolgt. Es handelte sich um eine einmalige Datenübermittlung. Es ist nicht erkennbar, dass aus ihr konkrete nachteilige Folgen materieller Art für die Klägerin resultieren. Die Berufungskammer hat allerdings auch berücksichtigt, dass die wenn auch nur einmalige Datenübermittlung dauerhafte, auch nachteilige Auswirkungen für die Klägerin hätte haben können (s.o.). Dass derartige Auswirkungen zukünftig nicht eintreten werden, beruht nicht auf einem Verhalten der Beklagten, sondern auf dem Umstand, dass die AKG gerichtlich zur Löschung der Daten verurteilt wurde.

(5) Die Berufungskammer hat beachtet, dass die AKG im Hinblick auf die im Anschluss an die Übermittlung erfolgte Speicherung und Nutzung der personenbezogenen Daten der Klägerin durch das rechtskräftige Urteil des OLG Hamm vom 31.08.2021 zur Zahlung eines Schadensersatzes gemäß Art. 82 Abs. 1 DSGVO iHv. 4000,00 € verurteilt worden ist. Im vorliegenden Verfahren war allein der immaterielle Schaden der Klägerin zu bemessen, der durch die Datenübermittlung an die AKG entstanden ist.

(6) Unter Berücksichtigung der vorgenannten Aspekte und aller weiteren Umstände des vorliegenden Streitfalls, welche die Berufungskammer bei ihrer Entscheidung ebenfalls berücksichtigt hat, hält sie einen Schadensersatz iHv. 2.000,00 € für angemessen. Nach Überzeugung der Berufungskammer erhält die Klägerin damit einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden, der gleichzeitig gegenüber der Beklagten eine abschreckende Wirkung entfaltet.

g) Die Beklagte haftet allein und nicht gemeinsam mit der AKG als Gesamtschuldner. Eine gesamtschuldnerische Haftung kommt nach Art. 82 Abs. 4 DSGVO nur bei der Beteiligung mehrerer Verantwortlicher an „derselben Verarbeitung“ in Betracht. Hier liegen mit der Übermittlung der Daten durch die Beklagte einerseits und der Speicherung und Nutzung der Daten durch die AKG andererseits zwei unterschiedliche Verarbeitungsvorgänge iSd. Art. 4 Nr. 2 DSGVO mit jeweils unterschiedlichen Verantwortlichen vor. Das in zweiter Instanz durch das OLG Hamm entschiedene Verfahren der Klägerin gegen die AKG betraf nicht den hier streitgegenständlichen Verarbeitungsvorgang, sondern ausschließlich die Speicherung und Nutzung der Daten durch die AKG.


Den Volltext der Entscheidung finden Sie hier:


OLG Düsseldorf: 2.000 EURO Schadensersatz aus Art. 82 Abs. 1 DSGVO wenn Krankenkasse Gesundheitsakte an falsche E-Mail-Adresse schickt

OLG Düsseldorf
Urteil vom 28.10.2021
16 U 275/20


Das OLG Düsseldorf hat dem Betroffenen in diesem Fall Schadensersatz aus Art. 82 Abs. 1 DSGVO in Höhe von 2.000 EURO zugesprochen. Die Krankenkasse des Betroffenen hatte die Gesundheitsakte an eine falsche E-Mail-Adresse geschickt. Die Gesundheitsakte war dabei auch nicht verschlüsselt.

Aus den Entscheidungsgründen:

Die zulässige Leistungsklage ist jedoch in der Hauptsache nur im Umfang von 2.000,- € auch begründet.

aa) Aufgrund der vom Zeugen A. an die falsche E-Mail-Adresse versandten Gesundheitsakte der Klägerin hat diese gegen die Beklagte infolge eines durch den fehlerhaften Versand erlittenen immateriellen Schadens einen Anspruch auf Schadensersatz aus Art. 82 Abs. 1 DSGVO. Gemäß Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen die Verordnung ein immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen. Verantwortlich im Sinne von Art. 4 Nr. 7 DSGVO für die Verarbeitung der Gesundheitsdaten der Klägerin ist die Beklagte als deren gesetzliche Krankenkasse.

(1) Es kann dahinstehen, ob Art. 82 Abs. 1 DSGVO für das sozialrechtliche Rechtsverhältnis zwischen der Klägerin und der Beklagten unmittelbar gilt. So kann die sachliche Anwendbarkeit der DSGVO gemäß Art. 2 Abs. 2 a) DSGVO zweifelhaft sein, weil zwar Art. 16 Abs. 2 Satz 1 AEUV eine Gesetzgebungskompetenz der Europäischen Union für den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten begründet, zugleich aber Art. 168 Abs. 7 Satz 1 AEUV die Verantwortung der Mitgliedstaaten für die Festlegung ihrer Gesundheitspolitik und für die Organisation des Gesundheitswesens und die medizinische Versorgung unberührt lässt. Selbst wenn die DSGVO auf das Rechtsverhältnis der Klägerin zu ihrer gesetzlichen Krankenkasse nicht unmittelbar anwendbar sein sollte, so wären ihre Vorschriften gemäß § 35 Abs. 2 Satz 2 SGB I jedenfalls entsprechend anzuwenden (siehe BSG, Urteile vom 20. Januar 2021 – B 1 KR 7/20 R, juris, Rn. 25-28, vom 8. Oktober 2019 – B 1 A 3/19 R, juris, Rn. 37, und vom 18. Dezember 2018 – B 1 KR 40/17 R, juris, Rn. 29) und zwar auch auf Datenverarbeitungsvorgänge, welche nicht den Voraussetzungen von Art. 2 Abs. 1 DSGVO entsprechen (vgl. Schifferdecker, in: Kasseler Kommentar Sozialversicherungsrecht, Stand: 114. EL Mai 2021, § 35 SGB I Rn. 86: „Datensammlung auf Notizzettel“). Dadurch wird sichergestellt, dass sämtliche Tätigkeitsbereiche, in denen Sozialdaten verarbeiten werden, demselben datenschutzrechtlichen Regime unterliegen (Greiner, in: Knickrehm/Kreikebohm/Waltermann, Kommentar zum Sozialrecht, 7. Aufl., § 35 SGB I Rn. 3).

(2) Art. 82 Abs. 1 DSGVO, auf den die Klägerin ihr Klagebegehren stützt, ist auch nicht deshalb unanwendbar, weil es bei der von der Beklagten an das falsche E-Mail-Konto versandten Gesundheitsakte um eine Verbreitung personenbezogener Daten geht, die den Schutzbereich des allgemeinen Persönlichkeitsrechts betreffen.

Nach Auffassung des Senats ist die ungewollte Preisgabe von Daten, über die hier zu befinden ist, dem Recht auf informationelle Selbstbestimmung als eigenständigem Teilgehalt des allgemeinen Persönlichkeitsrechts zuzuordnen. Davon zu unterscheiden ist die sichtbare Verbreitung bestimmter Informationen im öffentlichen Raum als Ergebnis eines Kommunikationsprozesses, die den äußerungsrechtlichen Ausprägungen des allgemeinen Persönlichkeitsrechts zuzuordnen ist (siehe BVerfG, Beschluss vom 6. November 2019 – 1 BvR 16/13, juris, Rn. 79-91; Senatsbeschlüsse vom 16. März 2021 – I-16 U 317/20, und vom 16. Februar 2021 – I-16 U 269/20, juris, Rn. 7). Dies zugrunde gelegt, steht eine Eröffnung des Schutzbereichs des allgemeinen Persönlichkeitsrechts aus Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG der Anwendung des Art. 82 Abs. 1 DSGVO hier nicht entgegen, weil es in seiner Ausprägung als Recht auf informationelle Selbstbestimmung betroffen ist, dessen Schutz die datenschutzrechtlichen Regelungen der DSGVO dienen. In der auf einem Schreib- oder Tippfehler beruhenden Versendung der Gesundheitsakte an ein falsches E-Mail-Postfach liegt eine schlichte Preisgabe von Daten ohne ein kommunikatives Ziel. Dies gilt zumal im Hinblick auf den Inhaber des E-Mail-Postfachs, an den die Akte nicht versandt werden sollte. Mit einem Kommunikationsprozess hat die versehentliche Datenpreisgabe nur peripher insofern zu tun, als ihr ein Telefongespräch zwischen der Klägerin und dem Zeugen A. vorausgegangen ist. Für die Eröffnung des Schutzbereichs des allgemeinen Persönlichkeitsrechts in seiner äußerungsrechtlichen Ausprägung reicht das indes nicht aus.

(3) In dem Versand der E-Mail mit der Gesundheitsakte der Klägerin an das falsche E-Mail-Postfach liegt ein Verstoß gegen die DSGVO. Eine Datenverarbeitung, zu der gemäß Art. 4 Nr. 2 DSGVO auch die Offenlegung durch Übermittlung gehört, ist nach der DSGVO nur rechtmäßig, wenn die betroffene Person gemäß Art. 6 Abs. 1 Satz 1 lit. a) DSGVO ihre Einwilligung zu der Verarbeitung gegeben hat oder eine der übrigen in Art. 6 Abs. 1 Satz 1 DSGVO normierten Rechtmäßigkeitsvoraussetzungen vorliegt. Dies ist hier im Hinblick auf den Versand der E-Mail mit der ihr angefügten Gesundheitsakte der Klägerin an die E-Mail-Adresse „B2@fff.de“ jeweils nicht der Fall (siehe für eine vergleichbare Konstellation auch LG Darmstadt, Urteil vom 26. Mai 2020 – 13 O 244/19, juris, Rn. 43 ff.). Die Klägerin hat in die Übersendung an dieses fremde E-Mail-Postfach nicht eingewilligt und es liegen auch keine anderen normierten Rechtmäßigkeitsvoraussetzungen für diese Übersendung vor.

(4) Weitere Datenschutzverstöße zulasten der Klägerin lassen sich hingegen nicht feststellen.

(a) Die vom Landgericht angenommene Verletzung des Art. 32 DSGVO ist nicht zu bejahen. Anders als das Landgericht vermag der Senat aus dem Fehler beziehungsweise Fehlverhalten eines einzelnen Mitarbeiters nicht den Rückschluss zu ziehen, dass die Beklagte kein nach Art. 32 DSGVO ausreichendes Datenschutzniveau implementiert hatte. Weitere für einen solchen Schluss notwendige Anknüpfungstatsachen hat die insoweit darlegungs- und beweisbelastete Klägerin weder ausreichend vorgetragen noch unter Beweis gestellt.

(b) Soweit das Landgericht zudem als einen Datenschutzverstoß der Beklagten beanstandet, dass der Zeuge A. die E-Mail unverschlüsselt und mit unverschlüsselter bzw. nicht pseudonymisierter Gesundheitsakte als Anhang versandt hat, überzeugt auch das nicht. Ein Datenschutzverstoß durch diese Form der Versendung liegt aufgrund einer Einwilligung der Klägerin nach Art. 6 Abs. 1 Satz 1 lit. a) DSGVO nicht vor. Eine Einwilligung ist nach Art. 4 Nr. 11 DSGVO jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Diese Voraussetzungen liegen hier vor.

(aa) Die Klägerin hat unmissverständlich zum Ausdruck gebracht, dass sie mit der Übersendung der Gesundheitsakte per E-Mail einverstanden ist. Im Verlauf des Gesprächs mit dem Zeugen A. teilte sie dem Zeugen ihre E-Mail-Adresse mit. Das konnte dieser nicht anders verstehen und kann auch objektiv nicht anders verstanden werden, als dass die Klägerin die Gesundheitsakte schließlich doch per E-Mail übersandt erhalten wollte. Dabei musste ihr zugleich klar sein, dass diese Übersendung weder verschlüsselt noch in pseudonymisierter Form erfolgen würde. Über solche besonderen Formen der Versendung hatte die Klägerin mit dem Zeugen nicht gesprochen. Entsprechende Wünsche hatte sie nicht geäußert. Ein für die Entschlüsselung notwendiges Passwort war nicht ausgetauscht worden.

(bb) Der wirksamen Einwilligung steht nicht deren fehlende Freiwilligkeit entgegen. Freiwilligkeit wäre zu verneinen, wenn die Erklärung entgegen Erwägungsgrund 42 Satz 5 DSGVO von der Klägerin unter Druck oder Zwang abgegeben worden wäre (vgl. Schulz, in: Gola, DS-GVO, 2. Aufl., Art. 7 Rn. 21). Das war hier indes nicht der Fall. Die Klägerin hatte ungeachtet des nachdrücklichen Werbens des Zeugin A. für den von ihm favorisierten E-Mail-Versand die Möglichkeit, auch ihm gegenüber auf einem Postversand zu bestehen. Sie musste sich der von ihm favorisierten Lösung nicht beugen. Wie sie im Rahmen ihrer informatorischen Anhörung durch den Senat bekundet hat, hatte der Zeuge, der überdies nicht mehr als ein erster Ansprechpartner der Beklagten in der Servicehotline war, den Postversand nicht per se ausgeschlossen. Er hatte nur darauf hingewiesen, dass dieser nicht mehr bis Weihnachten möglich sei. Den sich für die Klägerin aus den nahenden Weihnachtsfeiertagen ergebenden zeitlichen Druck kann sie der Beklagten jedoch nicht entgegenhalten. Diesen hatte sie selbst zu verantworten, weil sie nach dem Gespräch mit dem Versicherungsmakler am 27. November 2018 erst am 14. Dezember 2018 Kontakt zur Beklagten aufgenommen hatte. Es lässt sich auch nicht feststellen, dass die Erklärung des Zeugen A. zur Dauer des Postversands unzutreffend war. Aus dem späteren sehr kurzfristigen Postversand der Gesundheitsakte an die Klägerin ergibt sich nichts anderes. Dieser fand unter besonderen Umständen statt, weil er in die Zeit nach Bekanntwerden des Datenschutzverstoßes zulasten der Klägerin fiel. Es ist nicht auszuschließen, dass die Beklagte die Klägerin ab diesem Zeitpunkt zuvorkommend behandelt und ihre Abläufe beschleunigt hat.

(cc) Der wirksamen Einwilligung der Klägerin steht ebenfalls nicht entgegen, dass sie diese nicht in informierter Weise erklärt hatte. Das Merkmal der Erklärung der Einwilligung in informierter Weise verlangt, dass die betroffene Person abschätzen können muss, welche Auswirkungen die Erteilung der Einwilligung für sie hat (Buchner/Kühling, in: dies., DS-GVO/BDSG, 3. Aufl., Art. 7 Rn. 59). Nach ihrer informatorischen Anhörung hat der Senat nicht die geringsten Zweifel, dass die Klägerin die Problematik und die Gefahren einer unverschlüsselten Versendung ihrer nicht pseudonymisierten Gesundheitsakte erkannt hat. Die Sensibilität der Klägerin für die Gefahren elektronischer Kommunikation wurde anhand ihrer Äußerungen im Rahmen ihrer informatorischen Anhörung sehr deutlich. Sie hat ihre Bedenken gegen die vom Zeugen A. vorgeschlagene Übermittlung, wie sie bekundet hat, schließlich aber zurückgestellt, weil ihr daran gelegen war, die Gesundheitsunterlagen bis Weihnachten zu erhalten.

(dd) Soweit das Landgericht im Zuge seiner Prüfung des Art. 32 DSGVO angenommen hat, ein Verzicht auf ein verschlüsseltes Versenden von Daten sei nach der DSGVO nicht möglich, überzeugt das im Hinblick auf die von der Klägerin erklärte Einwilligung nicht. Die Einwilligung ist ein auf der privatautonomen Entscheidung des Betroffenen beruhender Rechtfertigungstatbestand. Es widerspräche der Privatautonomie, wenn die Einwilligung nicht zu einem Verzicht auf Anonymisierungs-, Pseudonymisierungs- sowie Verschlüsselungstechniken führen könnte (siehe auch Albers/Veit, in: Wolff/Brink, BeckOK Datenschutzrecht, 37. Ed., Stand: 01.05.2020, Art. 6 DS-GVO Rn. 26).

(c) Zutreffend hat das Landgericht allerdings keinen Datenschutzverstoß in der E-Mail-Weiterleitung innerhalb der beklagten Krankenkasse gesehen, weil hierbei keine Einsichtnahme durch Dritte möglich war. Insoweit kann auf die diesbezüglich zutreffenden Gründe der angefochtenen Entscheidung Bezug genommen werden.

(5) Infolge des in dem E-Mail-Versand an das falsche E-Mail-Postfach liegenden Verstoßes gegen die Vorschriften der DSGVO hat die Klägerin einen immateriellen Schaden erlitten. Als immaterieller Schaden der Klägerin stellt sich die mit dem Verlust der Datenkontrolle verbundene seelisch belastende Ungewissheit über das Schicksal ihrer Daten dar. Dafür, dass darin ein immaterieller Schaden im Sinne von Art. 82 Abs. 1 DSGVO liegen kann, spricht nicht nur Erwägungsgrund 75 der DSGVO, wo dem Schadensbegriff auch der Verlust der Kontrolle über personenbezogene Daten zugeordnet wird. Dafür spricht auch, dass in den meisten Rechtsordnungen mit dem Begriff des immateriellen Schadens Schäden wie seelisches Leid oder Beeinträchtigungen der Lebensqualität erfasst werden (siehe Schlussanträge des Generalanwalts N. Wahl vom 25. Juli 2018 in den verbundenen Rechtssachen C-138/17 P und C-146/17 P, juris, Rn. 83) und der Europäische Gerichtshof ein vergleichbares Schadensverständnis auch für das Unionsprimärrecht vertritt. Der Gerichtshof verlangt dort zwar, dass ein Schaden tatsächlich und sicher sein muss (EuGH, Urteil vom 4. April 2017 – C-337/15, juris, Rn. 91), andererseits kann bereits ein lang anhaltender Zustand belastender Ungewissheit einen immateriellen Schaden darstellen (vgl. z.B. EuGH, Urteil vom 13. Dezember 2018 – C-138/17 u.a., juris, Rn. 61; EuG, Urteil vom 17. Dezember 1998 – T-203/96, juris, Rn. 108).

Dahinstehen kann hier, ob Voraussetzung eines Schadensersatzanspruchs nach Art. 82 Abs. 1 DSGVO ist, dass der durch den Datenschutzverstoß entstandene immaterielle Schaden ein gewisses Gewicht erreicht haben muss (siehe OLG Dresden, Beschluss vom 11. Juni 2019 – 4 U 760/19, juris, Rn. 13; siehe dazu auch OGH Österreich, Vorlagebeschluss vom 15. April 2021 – 6 Ob 35/21x = BeckRS 2021, 11950). Der der Klägerin hier entstandene immaterielle Schaden hat ausreichendes Gewicht. Sie hat nicht nur einen Bagatellschaden erlitten, der gegebenenfalls keines Ausgleichs nach Art. 82 Abs. 1 DSGVO bedürfte. Angesichts des Umfangs und der Bedeutung der Daten, über welche die Klägerin über viele Monate die Kontrolle verloren hat, und angesichts der Sorgen und Befürchtungen, unter denen sie aufgrund des Datenverlusts in dieser Zeit gelitten hat, ist eine etwaige Bagatellschwelle zweifelsfrei überschritten. Insoweit ist zu berücksichtigen, dass die DSGVO Gesundheitsdaten im Sinne von Art. 4 Nr. 15 DSGVO, wie sie hier betroffen sind, durch das grundsätzliche Verarbeitungsverbot in Art. 9 Abs. 1 DSGVO als besonders sensible Datenkategorie anerkennt. Es kommt hinzu, dass der hier betroffene Auszug aus der Gesundheitsakte der Klägerin nicht nur sehr umfangreich war, sondern auch höchst intime Gesundheitsinformationen enthielt.

bb) In der Höhe ist der dem Grunde nach hier zu bejahende Schadensersatzanspruch der Klägerin aus Art. 82 Abs. 1 DSGVO allerdings auf einen Betrag von 2.000,- € begrenzt.

(1) Für die Bemessung von Schadensersatzansprüchen nach Art. 82 Abs. 1 DSGVO enthält die DSGVO nur wenige Vorgaben. Aus dem Nebeneinander von materiellem und immateriellem Schaden folgt, dass auch solche Schäden auszugleichen sind, die sich nicht unmittelbar in Geld bemessen lassen. Nach Erwägungsgrund 146 Satz 3 sollte der Begriff des Schadens im Lichte der Rechtsprechung des Gerichtshofs zudem weit auf eine Art und Weise ausgelegt werden, die den Zielen der Verordnung in vollem Umfang entspricht. Nach Erwägungsgrund 146 Satz 6 sollten die betroffenen Personen einen vollständigen und wirksamen Schadensersatz für erlittene Schäden erhalten.

Hiernach hat sich der Schadensersatz zuvörderst an dem Ziel des Schadensausgleichs zu orientieren. Das gilt, weil die Vorschrift nicht zwischen den Schadensarten differenziert, auch im Falle immaterieller Schäden (siehe Eichelberger, WRP 2021, 159, 162 ff.). Darüber hinaus wird bei immateriellen Einbußen auch die Genugtuungsfunktion Bedeutung erlangen und als ein Umstand bei der Schadensbemessung berücksichtigt werden können, wenn die Umstände des konkreten Falles hierfür Anlass geben (vgl. auch Eichelberger, WRP 2021, 159, 165). Letztlich können – wie dies auch bei Art. 340 Abs. 2 AEUV der Fall ist (vgl. EuGH, Urteil vom 30. Mai 2017 – C-45/15 P, juris, Rn. 48) – für die Bemessung des Ersatzanspruchs für immaterielle Schäden nur die Umstände des konkreten Einzelfalls entscheidend sein. Zu berücksichtigen sein können etwa Art, Schwere und Dauer des Datenschutzverstoßes, das Verhalten des Verantwortlichen sowie die Auswirkungen des Verstoßes für den Betroffenen (siehe EuGH, Urteil vom 30. Mai 2017 – C-45/15 P, juris, Rn. 52, zu Art. 340 Abs. 2 AEUV). Solche Kriterien sind nach Art. 83 Abs. 2 Satz 2 DSGVO auch bei der Verhängung von Geldbußen für Datenschutzverstöße zu berücksichtigen. Bei der Ermittlung der danach angemessenen Art der Entschädigung und der Bestimmung des gegebenenfalls zuzuerkennenden Schadensersatzbetrags haben die Gerichte einen erheblichen Spielraum (vgl. für Art. 340 Abs. 2 AEUV Schlussanträge des Generalanwalts N. Wahl vom 25. Juli 2018 in den verbundenen Rechtssachen C-138/17 P und C-146/17 P, juris, Rn. 86), den sie nach billigem Ermessen füllen müssen (siehe für Art. 340 Abs. 2 AEUV EuG, Urteil vom 1. Februar 2017 – T-479/14, juris, Rn. 135, sowie Schlussanträge des Generalanwalts N. Wahl vom 25. Juli 2018 in den verbundenen Rechtssachen C-138/17 P und C-146/17 P, juris, Rn. 85 u. 101).

(2) Ausgehend hiervon sind hier jedenfalls die Kategorie der betroffenen personenbezogenen Daten, Art, Schwere und Dauer des Datenschutzverstoßes, die seelischen Auswirkungen bei der Klägerin, der Grad des Verschuldens, die ergriffenen Maßnahmen zur Minderung der Schadensfolgen sowie der Gesichtspunkt in den Blick zu nehmen, ob eine dauerhafte Beeinträchtigung der Herrschaft über die eigenen Daten und der seelischen Gesundheit verbleibt.

Die vorgenannten Umstände, insbesondere die psychischen Auswirkungen des Datenschutzverstoßes bei der Klägerin, sprechen in der Gesamtschau dafür, dass der ihr entstandene immaterielle Schaden nur durch eine Geldzahlung, nicht aber durch andere Maßnahmen wie etwa eine erklärte Entschuldigung vollständig ausgeglichen werden kann. Zum Ausgleich des immateriellen Schadens ist hier nach den Umständen des Falles ein Betrag von 2.000,- € angemessen, aber auch ausreichend.

(a) Von besonderer Bedeutung für die Bestimmung des angemessenen Schadensersatzbetrags ist die Natur der vom Datenschutzverstoß betroffenen Daten der Klägerin. Es handelte sich dabei nicht nur um Gesundheitsdaten, die bereits für sich genommen von besonderer Sensibilität sind, wie auch ihr datenschutzrechtlicher, berufsrechtlicher und strafrechtlicher Schutz vor unbefugter Offenbarung zeigt. Die betroffenen Gesundheitsdaten waren auch besonders umfangreich. Sie betrafen – auf rund 100 Seiten – sämtliche bei der Beklagten erfassten ärztlichen und sonstigen medizinischen Behandlungen, Therapien und Medikationen der Klägerin aus dem Zeitraum vom 1. Januar 2015 bis zum 14. Dezember 2018 einschließlich der zugehörigen Diagnosen, Leistungszeiträume und Krankschreibungen. In dem Zeitraum hat die Klägerin, eine junge, noch nicht lange berufstätige Frau, wegen unterschiedlichster Beschwerden vielfach ärztliche Hilfe in Anspruch genommen. Dies gilt auch für den gynäkologischen Bereich. In der Gesundheitsakte waren gleich mehrere gynäkologische Befundangaben verzeichnet, die Rückschlüsse auf das Sexualleben und die sexuelle Orientierung der Klägerin zuließen, deren Name und Wohnanschrift in der Akte angegeben waren.

(b) Hinsichtlich der vorgenannten Daten der Klägerin bestand ein zehnmonatiger Kontrollverlust. Erst am 14. August 2019 ist das E-Mail-Postfach, an das die Gesundheitsakte am 14. Dezember 2018 versehentlich versandt worden ist, von FFF. gelöscht worden.

(c) Von der Löschung des fremden E-Mail-Postfachs erfuhr die Klägerin aber nicht sofort, sondern erst durch einen Schriftsatz der Beklagten vom 2. Dezember 2019 im landgerichtlichen Verfahren. Aus diesem erfuhr sie auch, dass das Postfach bis zu diesem Zeitpunkt nicht mehr eingesehen worden ist. Infolgedessen war sie über einen Zeitraum von rund einem Jahr darüber im Ungewissen, ob ein Dritter von ihren Gesundheitsdaten bereits Kenntnis genommen hatte oder dies noch tun würde.

Zwar hatte die Beklagte den Prozessbevollmächtigten der Klägerin bereits mit Schreiben vom 9. Januar 2019 mitgeteilt, von FFF. die Nachricht erhalten zu haben, dass seit der schon länger zurückliegenden Einrichtung des E-Mail-Postfachs darauf kein Zugriff mehr erfolgt ist. Die Klägerin konnte aber bis zur Löschung des Postfachs nicht sicher sein, dass nicht noch ein Zugriff erfolgen würde. Auch konnte sie ungeachtet eines von der Beklagten gegenüber dem Postfachinhaber per E-Mail ausgesprochenen Verwertungsverbots hinsichtlich der Gesundheitsakte nicht sicher sein, ob sich dieser daran halten würde.

Soweit die Klägerin im nicht nachgelassenen Schriftsatz vom 6. Oktober 2021 hingegen meint, die bestehende Ungewissheit sei für sie erst mit einem Schriftsatz der Beklagten vom 6. Juli 2020 beendet gewesen, mit welchem die Beklagte mitgeteilt habe, dass an das betreffende E-Mail-Postfach keine Test-E-Mail mehr erfolgreich habe versandt werden können, folgt der Senat dem nicht. Diese Test-E-Mail der Beklagten bestätigt nur die Löschung des E-Mail-Postfachs, für die bereits der Vermerk des Zeugen E. vom 14. August 2019 sprach, der dem Schriftsatz der Beklagten vom 2. Dezember 2019 beigefügt war.

Nicht gefolgt werden kann schließlich der Ansicht der Klägerin, die Unsicherheit bestünde für sie eigentlich bis heute fort, weil nicht ausgeschlossen werden könne, dass auf dem Übermittlungsweg auf die E-Mail zugegriffen worden sei. Die daraus resultierende Ungewissheit ist für die Bemessung des Schadensersatzbetrags unbeachtlich. Das Risiko des Zugriffs auf die E-Mail auf dem Übermittlungsweg nahm die Klägerin mit ihrer Einwilligung in die Übersendung der Gesundheitsakte per E-Mail in Kauf.

(d) Der Datenschutzverstoß blieb für die Klägerin – auch dies ist für die Bemessung des Schadensersatzes von wesentlicher Bedeutung – nicht ohne psychische Folgen. Sie hat im Termin zur mündlichen Verhandlung vor dem Senat geschildert, wie sie die Ungewissheit über den Verbleib der Daten seelisch belastet hat. Dabei war die Belastung in den ersten Tagen nach dem 14. Dezember 2018 besonders hoch, als das Schicksal der Gesundheitsakte noch weitestgehend unklar war. Die Reaktion der Beklagten auf das Anliegen der Klägerin war am 17. Dezember 2018 und auch darüber hinaus zunächst schleppend, erst mit Schreiben vom 9. Januar 2019 teilte sie den Prozessbevollmächtigten der Klägerin, die am 20. Dezember 2018 mandatiert worden waren, den bis dahin ermittelten Sachstand geordnet mit. Immerhin konnte sich die Klägerin mit Erhalt dieses Schreibens vom 9. Januar 2019 schwache Hoffnungen machen, dass der Inhalt ihrer Gesundheitsakte vielleicht doch nicht von unbefugten Dritten zur Kenntnis genommen werden würde. Nach den von der Beklagten bis dahin eingeholten Erkundigungen, deren Ergebnis sie mit dem Schreiben mitteilte, war das E-Mail-Postfach seit Errichtung nicht aktiv genutzt worden.

(e) Bei der Bemessung des Schadensersatzes ist ferner der Umstand zu berücksichtigen, dass der fehlerhafte Versand auf einem lediglich fahrlässigen Verhalten des Zeugen A. beruhte. Die Beklagte war nach dem Ergebnis der landgerichtlichen Beweisaufnahme zudem bemüht, die verlorenen Daten zurückzuerlangen beziehungsweise deren Weiterverbreitung zu verhindern. Im Schreiben vom 9. Januar 2019 hat sie auch ihr Bedauern über den Vorfall zum Ausdruck gebracht. Allerdings hat sie einen Schadensersatzanspruch der Klägerin im Prozess gleichwohl bis zuletzt in Abrede gestellt.

(f) In der Höhe begrenzend wirkt sich bei der Bemessung des Schadensersatzanspruchs schließlich in besonderem Maße aus, dass es bei einem zeitweisen Kontrollverlust über die Gesundheitsdaten verblieben ist. Zu einer Kenntnisnahme der Daten durch Dritte oder einer Weiterverbreitung oder gar Veröffentlichung ist es nicht gekommen. Die fehlgeleitete E-Mail und ihr Anhang sind bis zur Löschung des E-Mail-Postfachs am 14. August 2019 vom Postfachinhaber nicht mehr zur Kenntnis genommen worden. Die berechtigten Sorgen der Klägerin haben sich letztlich als unbegründet herausgestellt. Nachdem sie hiervon erfahren hatte, bestand auch kein Anlass, sich deswegen noch länger seelisch belastet zu fühlen. Eine etwaige Einsichtnahme in die Daten auf dem Übermittlungsweg, für die im Übrigen nichts spricht, hat aus dem bereits dargelegten Grund unberücksichtigt zu bleiben.

(g) Der Senat hat schließlich keinen Anlass, den Schadensersatzbetrag im Hinblick auf eine damit zu erzielende abschreckende Wirkung gesondert zu erhöhen. Ob einem nach Art. 82 Abs. 1 DSGVO zuzusprechenden Schadensersatzbetrag per se eine abschreckende Wirkung zukommen muss, wie teilweise vertreten wird, hält der Senat für zweifelhaft (wie hier Eichelberger, WRP 2021, 159, 163). Letztlich kann dies hier aber dahinstehen, weil dem der Klägerin zugesprochenen Schadensersatzbetrag jedenfalls auch eine ausreichend präventive Wirkung zukommt.

cc) Eine Minderung des Schadensersatzbetrags nach § 254 Abs. 1 BGB, für welche die Beklagte plädiert, kommt nach den für den Senat bindenden tatsächlichen Feststellungen des Landgerichts nicht in Betracht. Die Beklagte kann mit ihrem erstmals in der Berufungsinstanz gehaltenen Sachvortrag, die Klägerin habe dem Zeugin A. die falsche E-Mail-Adresse angegeben, gemäß § 531 Abs. 2 Satz 1 Nr. 3 ZPO nicht mehr gehört werden. Es beruht auf Nachlässigkeit, dass die Beklagte diesen Vortrag nicht schon in erster Instanz gehalten hat. Auch darüber hinaus bestehen keine ausreichenden Anhaltspunkte, die ein relevantes Mitverschulden der Klägerin an dem fehlerhaften E-Mail-Versand an die falsche E-Mail-Adresse begründen könnten.


Den Volltext der Entscheidung finden Sie hier:


LG München: Unterlassungsanspruch und 100 EURO Schadensersatz aus Art. 82 DSGVO wegen Verwendung von Google Fonts mit Übermittlung von IP-Daten an Google

LG München
Urteil vom 20.01.2022
3 O 17493/20


Das LG München hat entschieden, dass der Besucher einer Website gegen den Websitebetreiber einen Unterlassungsanspruch aus §§ 1004, 823 BGB sowie einen Anspruch auf 100 EURO Schadensersatz aus Art. 82 DSGVO wegen der Verwendung von Google Fonts in der Variante, bei der eine Übermittlung von IP-Daten an Google erfolgt, hat.

Auch wir raten unseren Mandanten seit Jahren entweder auf Google Fonts komplett zu verzichten oder in der Variante zu verwenden, bei der keine IP-Daten-Übermittlung an Google erfolgt und die Schriftarten auf dem eigenen Server hinterlegt werden.

Aus den Entscheidungsgründen:

Der Kläger hat gegen die Beklagte einen Anspruch auf Unterlassung der Weitergabe von IP-Adressen des Klägers an Google aus § 823 Abs. 1 i.V.m. § 1004 BGB analog.

Die unerlaubte Weitergabe der dynamischen IP-Adresse des Klägers durch die Beklagte an Google stellt eine Verletzung des allgemeinen Persönlichkeitsrechtes in Form des informationellen Selbstbestimmungsrechts nach § 823 Abs. 1 BGB dar. Das Recht auf informationelle Selbstbestimmung beinhaltet das Recht des Einzelnen, über die Preisgabe und Verwendung seiner personenbezogenen Daten zu bestimmen.

1. Bei der von der Beklagten an Google weitergegebenen dynamischen IP-Adresse handelt es sich um ein personenbezogenes Datum im Sinne von § 12 Abs. 1 und 2 TMG (in der zum Übermittlungszeitraum geltenden Fassung, im weiteren alte Fassung), § 3 Abs. 1 BDSG, Art. 4 Nr. 1 DS-GVO.

Die dynamische IP-Adresse stellt für einen Webseitenbetreiber ein personenbezogenes Datum dar, denn der Webseitenbetreiber verfügt abstrakt über rechtliche Mittel, die vernünftigerweise eingesetzt werden könnten, um mithilfe Dritter, und zwar der zuständigen Behörde und des Internetzugangsanbieters, die betreffende Person anhand der gespeicherten IP-Adressen bestimmen zu lassen (BGH, Urteil vom 16.05.2017 - VI ZR 135/13). Dabei reicht es aus, dass für die Beklagte die abstrakte Möglichkeit der Bestimmbarkeit der Personen hinter der IP-Adresse besteht. Darauf, ob die Beklagte oder Google die konkrete Möglichkeit hat, die IP-Adresse mit dem Kläger zu verknüpfen, kommt es nicht an.

2. Die Beklagte verletzte das Recht des Klägers auf informationelle Selbstbestimmung, indem die Beklagte die dynamische IP-Adresse an Google weiterleitete, als der Kläger die Webseite der Beklagten aufrief.

Die automatische Weitergabe der IP-Adresse durch die Beklagte an Google war ein nach dem Datenschutzrecht unzulässiger Eingriff in das allgemeine Persönlichkeitsrecht des Klägers, da der Kläger unstreitig in diesem Eingriff nicht gemäß § 13 Abs. 2 TMG a.F., Art. 6 Abs. 1 a) DSGVO eingewilligt hat.

3. Es liegt auch kein Rechtfertigungsgrund für den Eingriff in das allgemeine Persönlichkeitsrecht vor. Ein berechtigtes Interesse der Beklagten i.S.d. Art. 6 Abs. 1 f) DS-GVO, wie von ihr behauptet, liegt nicht vor, denn Google Fonts kann durch die Beklagte auch genutzt werden, ohne dass beim Aufruf der Webseite eine Verbindung zu einem Google-Server hergestellt wird und eine Übertragung der IP-Adresse der Webseitennutzer an Google stattfindet.

4. Der Kläger war auch nicht verpflichtet, vor dem Aufrufen der Webseite der Beklagten seine eigene IP-Adresse zu verschlüsseln. Dies vom Kläger zu verlangen, würde dem Zweck des hier betroffenen Datenschutzrechtes, welches in erster Linie den Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten vor Beeinträchtigung bezweckt, zuwiderlaufen, sondern diesen vielmehr umkehren, da durch eine solche Verpflichtung der Rechteinhaber bei der Ausübung seiner schützenswerten Rechte eingeschränkt werden würde {LG Dresden, Urteil vom 11.01.2019, Aktenzeichen 1 AO 1582/18).

5. Wiederholungsgefahr ist zu bejahen. Unstreitig wurde die IP-Adresse des Klägers bei Besuchen des Klägers auf der Webseite der Beklagten an Google weitergeleitet. Vorangegangene rechtswidrige Beeinträchtigungen begründen eine tatsächliche Vermutung für die Wiederholungsgefahr, die durch die Beklagte nicht widerlegt wurde. Die Wiederholungsgefahr wird nicht dadurch ausgeräumt, dass die Beklagte mittlerweile Google Fonts so benutzt, dass eine Kundgabe der IP-Adresse der Webseitenbesucher an Google nicht mehr stattfindet. Die Wiederholungsgefahr kann lediglich durch eine strafbewehrte Unterlassungserklärung beseitigt werden.

II. Der Auskunftsanspruch des Klägers folgt aus Art. 15, Art. 4 Nr. 2 DS-GVO.

III. Dem Kläger steht ein Schadensersatzanspruch aus Art. 82 Abs. 1 DS-GVO zu. Der Begriff des Schadens i.S.d. Art. 82 DS-GVO ist nach dem Erwägungsgrund 146 S. 3 dabei weit auszulegen. Die Auslegung soll den Zielen dieser Verordnung in vollem Umfang entsprechen, auch dem Ziel der Sanktion und Prävention (BeckOK Datenschutzrecht, Wolff/Bring, 38. Edition, DS-GVO Art. 82, Rn. 24). Ausreichend ist gern. Art. 82 Abs. 1 DS-GVO dabei auch ein immaterieller Schaden. Ob eine Erheblichkeitsschwelle erreicht bzw. überschritten sein muss und so genannte Bagatellschäden auszuschließen sind, ist umstritten (vgl. BVerfG NJW 2021, 1005,Rz. 20 m.w.N.; Kohn ZD 2019, 498 (501); Paal MMR 2020, 14 (16)), kann aber im hiesigen Fall dahingestellt bleiben. Die Beklagte räumt ein, dass sie vor der Modifizierung ihrer Webseite bei den Besuchen des Klägers auf ihrer Webseite dessen IP-Adresse an Google übermittelt hat. Die Übermittlung der IP-Adresse erfolgte damit nicht nur einmalig. Der damit verbundene Eingriff in das allgemeine Persönlichkeitsrecht ist im Hinblick auf den Kontrollverlust des Klägers über ein personenbezogenes Datum an Google, ein Unternehmen, das bekanntermaßen Daten über seine Nutzer sammelt und das damit vom Kläger empfundene individuelle Unwohlsein so erheblich, dass ein Schadensersatzanspruch gerechtfertigt ist. Berücksichtigt werden muss dabei auch, dass unstreitig die IP-Adresse an einen Server von Google in den USA übermittelt wurde, wobei dort kein angemessenes Datenschutzniveau gewährleistet ist (vgl. EuGH, Urteil vom 16.7.2020 - C-311/18 (Facebook Ireland u. Schrems), NJW 2020, 2613) und die Haftung aus Art. 82 Abs. 1 DS-GVO präventiv weiteren Verstößen vorbeugen soll und Anreiz für Sicherungsmaßnahmen schaffen soll. Die Hohe des geltend gemachten Schadensersatzes ist im Hinblick auf die inhaltliche Schwere und Dauer der Rechtsverletzung angemessen und wird von der Beklagten auch nicht angegriffen.


Den Volltext der Entscheidung finden Sie hier: