BECKMANN UND NORDA - Rechtsanwälte Bielefeld

BGH
Urteil vom 22.02.2022
VI ZR 1175/20
BGB § 823 Abs. 1; GG Art. 5

Der BGH hat entschieden, dass kein Anspruch auf Geldentschädigung aus Art. 82 Abs. 1 DSGVO wegen identifizierender Verdachtsberichterstattung in einem Presseartikel besteht. Dem Anspruch steht schon das Medienprivileg entgegen.

Leitsatz des BGH:
Zu den Voraussetzungen einer zulässigen Verdachtsberichterstattung (hier: Pressebericht über bevorstehende Hauptverhandlung im Strafverfahren).

BGH, Urteil vom 22. Februar 2022 - VI ZR 1175/20 - OLG Köln - LG Köln

Aus den Entscheidungsgründen:
Das Berufungsgericht ist zu Recht davon ausgegangen, dass dem Kläger kein Anspruch auf Zahlung einer Geldentschädigung zusteht.

1. Wie das Berufungsgericht zutreffend ausgeführt hat, folgt ein solcher Anspruch nicht aus Art. 82 Abs. 1 DS-GVO. Aufgrund der Öffnungsklausel des Art. 85 Abs. 2 DS-GVO sind Datenverarbeitungen zu journalistischen Zwecken von den die Rechtmäßigkeit der Datenverarbeitung betreffenden Vorschriften in Art. 6 und Art. 7 DS-GVO durch Regelungen der Länder ausgenommen worden (vgl. Senatsurteile vom 7. Juli 2020 - VI ZR 250/19, VersR 2021, 189 Rn. 10; - VI ZR 246/19, NJW 2020, 3715 Rn. 11; jeweils mwN).

Für den Bereich der Telemedien, der die streitgegenständliche Internetberichterstattung umfasst, galt zur Zeit der Berichterstattung § 57 Abs. 1 Satz 4 RStV (jetzt gleichlautend § 23 Abs. 1 Satz 4 MStV). Für die Printberichterstattung existierten und existieren entsprechende Vorschriften der einzelnen Länder (für Berlin, den Sitz der Beklagten zu 2, siehe § 19 Abs. 1 Satz 1 des Berliner Datenschutzgesetzes und jetzt § 22a Abs. 1 Satz 4 des Berliner Pressegesetzes; weitere Nachweise bei Lauber-Rönsberg, AfP 2019, 373 Rn. 29 mit Fn. 50). Es liegt auf der Hand, dass ein Schadensersatzanspruch gemäß § 82 Abs. 1 DS-GVO nicht auf die Verletzung datenschutzrechtlicher Bestimmungen durch eine journalistische Tätigkeit gestützt werden kann, wenn die Bestimmungen für die Tätigkeit gar nicht gelten (vgl. Senatsbeschluss vom 16. Februar 2021 - VI ZA 6/20, juris; Senatsurteile vom 7. Juli 2020 - VI ZR 250/19, VersR 2021, 189 Rn. 10; - VI ZR 246/19, NJW 2020, 3715 Rn. 11). Insoweit spielt es auch keine Rolle, dass die Öffnungsklausel des Art. 85 Abs. 2 DS-GVO die in Kapitel VIII der Verordnung enthaltene Vorschrift des Art. 82 Abs. 1 DS-GVO nicht erfasst. Im Übrigen stellen § 23 Abs. 1 Satz 5 MStV (zuvor § 57 Abs. 1 Satz 5 RStV) und die presserechtlichen Vorschriften der Länder (etwa § 22a Abs. 1 Satz 5 des Berliner Pressegesetzes, § 19 Abs. 1 Satz 2 des Berliner Datenschutzgesetzes) klar, dass Art. 82 Abs. 1 DS-GVO im Geltungsbereich des Medienprivilegs nicht greift (vgl. Lauber-Rönsberg, AfP 2019, 373 Rn. 30). Einer Vorlage an den Gerichtshof der Europäischen Union bedarf es nicht, weil diese Frage klar zu beantworten ist (vgl. zu den Voraussetzungen
der Vorlagepflicht EuGH, EuZW 2018, 1038 Rn. 110 - Kommission/Frankreich mwN).

2. Entgegen der Auffassung der Revision hat das Berufungsgericht dem Kläger zu Recht keine Geldentschädigung wegen Verletzung seines allgemeinen Persönlichkeitsrechts durch die Wort- und Bildberichterstattungen nach § 823 Abs. 1 BGB i.V.m. Art. 1 Abs. 1, Abs. 2 Abs. 1 GG und §§ 22, 23 KUG zuerkannt.

Den Volltext der Entscheidung finden Sie hier:

VG Ansbach
Urteil vom 23.02.2022
AN 14 K 20.00083

Das VG Ansbach hat entschieden, dass ein Verstoß gegen die Vorgaben der DSGVO durch Videoüberwachung der gesamten Trainingsfläche eines Fitnessstudios vorliegt.

Aus den Entscheidungsgründen:
2. Die Klage ist jedoch nur begründet, soweit sie sich gegen Ziffer II des streitgegenständlichen Bescheides wendet. Im Übrigen war sie als unbegründet abzuweisen.

Das Bayerische Landesamt für Datenschutzaufsicht ist richtiger Beklagter gemäß § 20 Abs. 4, Abs. 5 Satz 1 Nr. 2 BDSG.

a) Die Unterlassungsanordnung in Ziffer I des streitgegenständlichen Bescheids ist formell wie materiell rechtmäßig. Es sind keine Verfahrensfehler ersichtlich, insbesondere wurde die Klägerin ordnungsgemäß angehört i.S.d. Art. 28 BayVwVfG (vgl. auch DS-GVO-Erwägungsgrund 129).

Die Untersagungsanordnung beruht als Abhilfemaßnahme auf Art. 58 Abs. 2 DS-GVO. Da es sich um ein Verbot handelt, ist Buchst. f) einschlägig, nicht wie vom Beklagten vorgebracht Buchst. d). Tatbestandsvoraussetzung für die Abhilfemaßnahmen des Art. 58 Abs. 2 DS-GVO ist das Vorliegen eines Verstoßes gegen die DS-GVO (vgl. Nguyen in: Gola, DS-GVO, Art. 58, Rn. 4). Ein solcher Verstoß liegt insbesondere dann vor, wenn Daten ohne entsprechende Rechtsgrundlage verarbeitet werden. Dies war vorliegend der Fall.

(1) Die Videoüberwachung konnte nicht auf eine Einwilligung der Trainierenden gestützt werden. Gemäß Art. 6 Abs. 1 Buchst. a) DS-GVO dürfen personenbezogene Daten verarbeitet werden, wenn die betroffene Person ihre Einwilligung dazu gegeben hat. Eine solche Einwilligung erfordert gemäß Art. 4 Nr. 11 DS-GVO eine freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Eine solche eindeutige bestätigende Handlung der Trainierenden kann allerdings nicht in der bloßen Kenntnisnahme der Hinweise auf die Videoüberwachung in den Datenschutzhinweisen und der Hinweisschilder an der Eingangstür gesehen werden, denn gemäß Satz 3 des DS-GVO-Erwägungsgrundes 32 sollen Stillschweigen oder Untätigkeit gerade keine Einwilligung darstellen. Dass die Klägerin anderweitig ein Einverständnis der Trainierenden mit der Videoüberwachung durch eine eindeutig bestätigende Handlung eingefordert hätte, ist weder vorgetragen noch sonst ersichtlich, sodass die Videoüberwachung nicht gemäß Art. 6 Abs. 1 Buchst. a) DS-GVO erlaubt war.

(2) Die Videoüberwachung konnte auch nicht auf vertragliche (Neben-)Pflichten der Klägerin, ihre Kundschaft im vorgetragenen Umfang vor Diebstählen und Übergriffen zu schützen, gestützt werden. Gemäß Art. 6 Abs. 1 Buchst. b) Alt. 1 DS-GVO ist eine Datenverarbeitung rechtmäßig, wenn sie für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, erforderlich ist. Vertragliche Nebenpflichten wie Rücksichtnahme- und Schutzpflichten sind zwar auch von dieser Vorschrift erfasst (Buchner/Petri in: Kühling/Buchner, DS-GVO BDSG, Art. 6, Rn. 33), jedoch ging die streitgegenständliche lückenlose Videoüberwachung über diese Pflichten hinaus. Nach ständiger Rechtsprechung des BGH ist derjenige, der eine Gefahrenlage - wie hier durch den Betrieb eines Fitnessstudios - schafft, grundsätzlich verpflichtet, die notwendigen und zumutbaren Vorkehrungen zu treffen, um eine Schädigung anderer möglichst zu verhindern; umfasst werden hiervon diejenigen Maßnahmen, die ein umsichtiger und verständiger, in vernünftigen Grenzen vorsichtiger Betreiber für notwendig und ausreichend hält, um andere vor Schäden zu bewahren (vgl. BGH NJW 2018, 2956, Rn. 17 m.w.N.). Es muss dabei aber nicht für alle denkbaren Möglichkeiten eines Schadenseintritts vorgesorgt, sondern nur ein Sicherheitsgrad erreicht werden, den die herrschende Verkehrsauffassung im jeweiligen Bereich für erforderlich hält (vgl. BGH NJW 2018, 2956, Rn. 18 m.w.N.).

Inwiefern die Klägerin eine Schutzpflicht treffen soll, die über das Instandhalten der Fitnessgeräte und die Bereitstellung hilfsbereiten Personals und von Spinden o.Ä. hinausgeht, ist nicht nachvollziehbar. Es ist nicht davon auszugehen, dass es der herrschenden Verkehrsanschauung im Fitnessstudiobetrieb entspricht, die Trainierenden durch lückenlose Videoüberwachung vor Übergriffen und Diebstählen zu schützen oder ihnen eine erleichterte Verfolgung solcher Vorkommnisse durch die Videoüberwachung zu ermöglichen.

(3) Schließlich konnten auch nicht die berechtigten Interessen der Klägerin oder der Trainierenden selbst die Videoüberwachung rechtfertigen. Gemäß Art. 6 Abs. 1 Buchst. f) DS-GVO ist eine Datenverarbeitung rechtmäßig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen […]. Die Klägerin kann zwar berechtigte Interessen im Sinne der Vorschrift geltend machen (hierzu (a)), zu deren Wahrung die Videoüberwachung erforderlich ist (hierzu (b)), jedoch überwiegen die Interessen der Trainierenden, namentlich deren Grundrecht auf informationelle Selbstbestimmung aus Art. 1 Abs. 1 i.V.m. Art. 2 Abs. 1 GG, diese Interessen (hierzu (c)).

(a) Die Klägerin machte als berechtigte Interessen zum einen eigene Interessen (Prävention und Verfolgung von Diebstahl und Sachbeschädigung) und zum anderen Interessen der Trainierenden (Schutz vor Diebstahl und Übergriffen) geltend. Erforderlich, aber auch ausreichend für den Begriff des berechtigten Interesses ist ein „guter Grund“, sprich ein schutzwürdiges und objektiv begründbares Interesse (BVerwG, U. v. 27. März 2019 - 6 C 2/18 - Rn. 25 bei juris (noch zu § 6b Abs. 1 BDSG a.F.)). Die Geltendmachung, Ausübung und Durchsetzung von Rechtsansprüchen (wie Schadensersatzansprüche nach Diebstahl oder Sachbeschädigung) sind berechtigte Interessen (Buchner/Petri in: Kühling/Buchner, DS-GVO BDSG, Art. 6 DS-GVO, Rn. 147). Ebenso kann das Interesse der Trainierenden, von einem Fitnessstudiobetreiber vor Diebstählen und Übergriffen geschützt zu werden, als „berechtigt“ i.S.d. Art. 6 Abs. 1 f) DS-GVO eingeordnet werden, da der Begriff des berechtigten Interesses weit auszulegen ist; eine normative Einschränkung erfolgt erst später im Rahmen der Interessenabwägung (Albers/Veit in: BeckOK Datenschutzrecht, Art. 6, Rn. 50).

(b) Auch die Erforderlichkeit der Videoüberwachung kann noch bejaht werden, da jedenfalls für die Aufklärung von Diebstählen, Sachbeschädigungen und Übergriffen kein anderes, gleich effektives Mittel (vgl. Buchner/Petri in: Kühling/Buchner, DS-GVO BDSG, Art. 6 DS-GVO, Rn. 147a) ersichtlich ist.

(c) Die Interessen der Trainierenden überwiegen jedoch die von der Klägerin vorgebrachten berechtigten Interessen an der Videoüberwachung. Die Trainierenden sind in ihrem Grundrecht auf informationelle Selbstbestimmung als Teil des allgemeinen Persönlichkeitsrechts aus Art. 1 Abs. 1 i.V.m. Art. 2 Abs. 1 GG berührt und zwar in ganz erheblicher Weise. Bei der durchgehenden Videoüberwachung im Fitnessstudio der Klägerin während der gesamten Öffnungszeiten auf allen Trainingsflächen handelt es sich um einen gravierenden Eingriff in dieses Grundrecht aller Trainierenden, mithin einer erheblichen Anzahl von Personen, ohne räumliche oder zeitliche Ausweichmöglichkeit. Schon aufgrund dieser Alternativlosigkeit der Trainierenden überwiegen deren Interessen die der Klägerin. Ihr stehen nämlich durchaus andere, zwar möglicherweise nicht genauso effektive, aber jedenfalls ausreichend effektive Maßnahmen zur Wahrung ihrer Interessen zur Verfügung wie beispielsweise eine Aufstockung des Personals. Die Klägerin kann sich nicht allein darauf berufen, die Videoüberwachung sei gegenüber der Personalaufstockung die wirtschaftlich sinnvollere Alternative (vgl. Buchner/Petri in: Kühling/Buchner, DS-GVO BDSG, Art. 6 DS-GVO, Rn. 147a).

Erschwerend kommt hinzu, dass die Trainierenden nicht mit einer Videoüberwachung im Fitnessstudio rechnen mussten. Bei der Abwägung der beiderseitigen Interessen ist zu berücksichtigen, dass gemäß Satz 4 des DS-GVO-Erwägungsgrundes 47 insbesondere dann, wenn personenbezogene Daten in Situationen verarbeitet werden, in denen eine betroffene Person vernünftigerweise nicht mit einer weiteren Verarbeitung rechnen muss, die Interessen und Grundrechte der betroffenen Person das Interesse des Verantwortlichen überwiegen könnten. Laut den gemäß Art. 70 Abs. 1 Buchst. e) DS-GVO zur Sicherstellung einer einheitlichen Anwendung der DS-GVO erlassenen Leitlinien des Europäischen Datenschutzausschusses (EDSA) ist entscheidendes Kriterium für die Auslegung des Begriffs der vernünftigen Erwartung, ob ein objektiver Dritter vernünftigerweise in der konkreten Situation erwarten kann, dass er überwacht wird (EDSA, Leitlinien 3/2019 zur Verarbeitung personenbezogener Daten durch Videogeräte, Version 2.0, Rn. 36, abgerufen unter edpb_guidelines_201903_video_devices_de.pdf (europa.eu)). Hinweisschilder, die über die Videoüberwachung informieren, sind zur Bestimmung, was eine betroffene Person objektiv in einer bestimmten Situation erwarten kann, unerheblich (EDSA, a.a.O, Rn. 40). In öffentlich zugänglichen Bereichen können betroffene Personen davon ausgehen, dass sie nicht überwacht werden, vor allem, wenn diese Bereiche typischerweise für Freizeitaktivitäten genutzt werden, wie es bei Fitnesseinrichtungen der Fall ist (EDSA, a.a.O., Rn. 38). Da vorliegend nichts dafür spricht, von diesem Grundsatz abzuweichen, führt auch dies zu einem Überwiegen der Interessen der Trainierenden.

Auch bei Betrachtung des Umfangs der der Klägerin entstandenen Schäden ist keine andere Gewichtung der Interessen geboten. Nach den Angaben der Klägerin in der mündlichen Verhandlung belaufen sich die Diebstähle auf circa zehn Fälle jährlich und die Sachbeschädigungen auf circa 10.000 EUR bis 15.000 EUR jährlich, während die Einnahmen beispielhaft im Jahr 2019 200.000 EUR betrugen. Die finanziellen Einbußen der Klägerin halten sich daher in einem Rahmen, der in keinem Verhältnis zu einer lückenlosen Videoüberwachung der Trainierenden steht. Wenn die Klägerin darüber hinaus in der mündlichen Verhandlung ausführt, dass hinsichtlich der Kleingeräte keinerlei Diebstahlsicherungen sinnvoll umsetzbar sind, muss letztlich aus unternehmerischer Sicht hingenommen werden, dass nicht jegliche finanziellen Risiken abgewendet werden können, ganz besonders nicht auf Kosten der informationellen Selbstbestimmung der gesamten Kundschaft.

Auch die berechtigten Interessen der Trainierenden selbst, die die Klägerin ebenfalls geltend macht, begründen kein anderes Abwägungsergebnis. Zwar mag die Videoüberwachung für manche eher ein willkommenes Gefühl der Sicherheit als einen unangenehmen Anpassungsdruck auslösen. Die Risiken der Aufklärbarkeit eines Diebstahls oder Übergriffs liegen aber primär im Verantwortungsbereich der Trainierenden selbst, nicht dem der Klägerin. Wer das Smartphone nicht in den Spind sperrt, ist sich regelmäßig der so erleichterten Möglichkeit eines Diebstahls im Trainingsraum im Fitnessstudio bewusst. Auch dass die Aufklärung von Straftaten in einem verhältnismäßig engen Raum unter vielen sich fremden Menschen erschwert ist, dürfte den Trainierenden als Teil des allgemeinen Lebensrisikos bewusst sein. Es liegt in der Hand der Trainierenden selbst, dieses Risiko bei Bedarf zu minimieren, indem beispielsweise Trainingsgeräte in der Nähe der Empfangstheke gewählt werden oder zu zweit oder zu einer „risikoärmeren“ Uhrzeit trainiert wird. Das Interesse der Trainierenden, vor diesem allgemeinen Lebensrisiko durch die Klägerin mittels Videoüberwachung geschützt zu werden, wiegt nicht so schwer, wie das Interesse daran, im Fitnessstudio überwachungsfrei trainieren zu können.

Das Gericht sieht hier auch keine Vergleichbarkeit mit dem Einzelhandel, da dort zum einen ein deutlich geringerer Eingriff in das allgemeine Persönlichkeitsrecht vorliegt (regelmäßig kürzerer Aufenthalt und auch weniger private Tätigkeit als im Fitnessstudio), zum anderen aber das Diebstahlrisiko und die Aufklärungsschwierigkeiten noch höher sein dürften durch den schnelleren Kundenwechsel, die höhere Zahl an kleinen Gegenständen und die leichteren Verstauungsmöglichkeiten beispielsweise in Jacken- und Hosentaschen.

Da somit mangels Rechtsgrundlage für die Datenverarbeitung mittels Videoüberwachung ein datenschutzrechtlicher Verstoß gegeben war, durfte die Beklagte eine Abhilfemaßnahme nach Art. 58 Abs. 2 DS-GVO ergreifen. Der Aufsichtsbehörde steht bezüglich der Wahl der konkreten Abhilfemaßnahme ein Ermessen zu (vgl. dazu DS-GVO-EG 129), welches gerichtlich nur eingeschränkt überprüfbar ist, § 20 Abs. 2 BDSG i.V.m. § 114 VwGO. Vorliegend sind Ermessensfehler hinsichtlich der Untersagungsanordnung weder vorgetragen noch sonst ersichtlich.

Die Untersagungsanordnung war auch verhältnismäßig (vgl. DS-GVO-Erwägungsgrund 129), insbesondere ist kein milderes, gleich effektives Mittel zur Herstellung des Einklangs mit der DS-GVO ersichtlich. Da die gesamte Trainingsfläche lückenlos überwacht wurde, könnte eine (nachträgliche) Einwilligung i.S.d. Art. 6 Abs. 1 Buchst. a) DS-GVO mangels Freiwilligkeit und Widerruflichkeit i.S.d. Art. 7 DS-GVO nicht wirksam eingeholt werden. Eine mögliche Anordnung des Beklagten nach Art. 58 Abs. 2 Buchst. d) DS-GVO, die Videoüberwachung wirksam zum Bestandteil des Vertrags mit den Trainierenden zu machen (statt des bloßen Hinweises in den Datenschutzhinweisen), erscheint zum einen schon mit Blick auf die zivilrechtlichen Vorschriften zur AGB-Kontrolle problematisch (vgl. dazu LG Koblenz BeckRS 2014, 1243) und hätte zum anderen einen erheblichen Eingriff in die Privatautonomie der Klägerin und somit auch kein milderes Mittel dargestellt. Das Verbot der Videoüberwachung war daher als ultima ratio erforderlich. Das Verbot war auch angemessen, denn das öffentliche Interesse an der Herstellung eines datenschutzkonformen Zustands im Fitnessstudio der Klägerin überwiegt das Interesse der Klägerin an der Videoüberwachung, da ein schwerwiegender Eingriff in das Persönlichkeitsrecht der Trainierenden vorlag (siehe hierzu auch die Ausführungen oben zu Art. 6 Abs. 1 Buchst. f) DS-GVO).

b) Die Mitteilungsanordnung in Ziffer II des streitgegenständlichen Bescheids ist demgegenüber materiell rechtswidrig und daher aufzuheben, denn der streitgegenständliche Bescheid enthält bezüglich seiner Ziffer II keinerlei Begründung i.S.d. Art. 39 BayVwVfG (vgl. auch DS-GVO-Erwägungsgrund 129) oder Ermessenserwägungen. An diesem Ermessensausfall konnte auch der Schriftsatz des Beklagten vom 31. Januar 2022 nichts ändern.

Die fehlende Begründung der Ziffer II stellte zunächst einen Formfehler dar, der aber durch die Ausführungen des Beklagten im Schriftsatz vom 31. Januar 2022 gemäß Art. 45 Abs. 1 Nr. 2, Abs. 2 BayVwVfG geheilt werden konnte, sodass Ziffer II formell rechtmäßig war.

Als Rechtsgrundlage für Ziffer II wurde in diesem Schreiben vom 31. Januar 2022 Art. 58 Abs. 1 Buchst. a) DS-GVO genannt. Hinsichtlich der Wahl der im Einzelfall anzuwendenden Untersuchungsbefugnis des Abs. 1 des Art. 58 DS-GVO steht der Aufsichtsbehörde ein Auswahlermessen zu (vgl. DS-GVO-Erwägungsgrund 129), welches gerichtlich nur eingeschränkt überprüfbar ist gemäß § 20 Abs. 2 BDSG i.V.m. § 114 Satz 1 VwGO. Der streitgegenständliche Bescheid enthält jedoch keine Ausführungen, aus denen ersichtlich wäre, dass der Beklagte dieses Ermessen bezüglich Ziffer II des Bescheids erkannt und ausgeübt hat. Dies allein stellt schon ein starkes Indiz für einen materiellen Ermessensausfall dar (BayVGH NVwZ-RR 2008, 787 (787 f.); Stelkens in: Stelkens/Bonk/Sachs, VwVfG, § 39, Rn. 28 m.w.N.).

Es können auch nicht die zur Untersagungsanordnung in Ziffer I des Bescheids angestellten Ermessenserwägungen auf Ziffer II übertragen werden, da sich diese in keiner Weise mit der Art und Weise, wie die Umsetzung der Untersagung überprüft werden könnte, auseinandersetzen (vgl. zur Übertragung von Ermessenserwägungen BVerwG NVwZ 2007, 470 (471)). Insgesamt ist schlicht nicht erkennbar, dass bei der Wahl der passenden Untersuchungsbefugnis zur Kontrolle der Umsetzung der Untersagungsanordnung die notwendige Abwägung zwischen den öffentlichen Interessen und den privaten Interessen der Klägerin stattgefunden hat. Auch das nachträgliche Vorbringen des Beklagten im Schriftsatz vom 31. Januar 2022 konnte diesbezüglich nicht berücksichtigt werden, denn § 114 Satz 2 VwGO ermöglicht lediglich die Ergänzung defizitärer Ermessenserwägungen, nicht aber die nachträgliche erstmalige Ausübung (BVerwG NVwZ 2007, 470 (471)). Nach alldem lag ein Ermessensausfall vor.

Ziffer II des streitgegenständlichen Bescheids war daher wegen des Ermessensausfalls rechtswidrig. Insoweit war die Klägerin als Adressatin des belastenden Verwaltungsakts auch in ihrem Recht auf wirtschaftliche Handlungsfreiheit aus Art. 2 Abs. 1 i.V.m. Art. 19 Abs. 3 GG verletzt, sodass Ziffer II gemäß § 113 Abs. 1 Satz 1 VwGO aufzuheben war.

c) Die formell rechtmäßige Zwangsgeldandrohung in Ziffer III des streitgegenständlichen Bescheids ist auch materiell rechtmäßig, insbesondere wurde wirksam eine Frist i.S.d. Art. 36 Abs. 1 Satz 2 VwZVG gesetzt. Zwar setzt Ziffer III nach ihrem Wortlaut selbst keine entsprechende Frist, jedoch enthält die Begründung zur Ziffer III auf Seite 4 des streitgegenständlichen Bescheids eindeutig die vom Beklagten beabsichtigte Frist, nämlich zwei Wochen nach Bestandskraft des Bescheids. Da die Begründung zur Bestimmung des Regelungsinhalts eines Verwaltungsakts zu Hilfe zu nehmen ist (Stelkens in: Stelkens/Bonk/Sachs, Verwaltungsverfahrensgesetz, Art. 35, Rn. 76), ist vorliegend eine Frist i.S.d. Art. 36 Abs. 1 Satz 2 VwZVG ordnungsgemäß gesetzt worden. Auch die Bestimmtheit gemäß Art. 37 BayVwVfG ist dabei gewahrt (vgl. hierzu Stelkens in: Stelkens/Bonk/Sachs, Verwaltungsverfahrensgesetz, Art. 39, Rn. 26).

Den Volltext der Entscheidung finden Sie hier:

LG Heidelberg
Urteil vom 16.03.2022
4 S 1/21

Das LG Heidelberg hat entscheiden, dass ein Anspruch auf Zahlung von 25 EURO Schadensersatz aus Art. 82 DSGVO wegen unzulässiger Zusendung einer Werbemail besteht.

Aus den Entscheidungsgründen:
1. Die Berufung ist zulässig.
Die Kammer hat die Berufung gegen das amtsgerichtliche Urteil durch Beschluss vom 16.03.2022 gemäß § 511 Abs. 4 S. 1 ZPO zugelassen.

Zwar übersteigt der Wert des Beschwerdegegenstandes vorliegend entgegen § 511 Abs. 2 Nr. 1 ZPO die Wertgrenze von 600 € nicht, nachdem der Streitwert für den Klageantrag Ziff. 1c auf die Streitwertbeschwerde des Klägers hin mit Beschluss des Landgerichts Heidelberg vom 18.02.2021 (vgl. AS 365 ff. der Akte des Amtsgerichts) antragsgemäß auf 500 € festgesetzt wurde. Auch hat das Amtsgericht die Berufung im Urteil nicht gemäß § 511 Abs. 2 Nr. 2 ZPO zugelassen, da es den Streitwert für den Antrag Ziff. 1c im Urteil zunächst auf 1.000 € festgesetzt hatte und eine Berufungszulassungsentscheidung danach nicht veranlasst war. Hat indes das erstinstanzliche Gericht keine Veranlassung gesehen, die Berufung nach § 511 Abs. 4 ZPO zuzulassen, weil es den Streitwert auf über 600 € festgesetzt hat und deswegen von einem entsprechenden Wert der Beschwer der unterlegenen Partei ausgegangen ist, hält aber das Berufungsgericht diesen Wert nicht für erreicht, so muss das Berufungsgericht, das insoweit nicht an die Streitwertfestsetzung des Erstgerichts gebunden ist, die Entscheidung darüber nachholen, ob die Voraussetzungen für die Zulassung der Berufung nach § 511 Abs. 4 Satz 1 Nr. 1 ZPO erfüllt sind, da die unterschiedliche Bewertung nicht zu Lasten der Parteien gehen darf (vgl. BGH, Urteil vom 14. November 2007, Az.: VIII ZR 340/06 = NJW 2008, 218).

Hier war die Berufung nach § 511 Abs. 4 S. 1 ZPO zuzulassen, da die Rechtssache grundsätzliche Bedeutung hat und die Sicherung einer einheitlichen Rechtsprechung eine Entscheidung des Berufungsgerichts erfordert (§ 511 Abs. 4 S. 1 Nr. 1 ZPO) und der Kläger nach Abänderung des Streitwerts für Antrag Ziff. 1c nicht mit mehr als 600 € beschwert war (§ 511 Abs. 4 S. 1 Ziff. 2 ZPO). Die Frage, ob und gegebenenfalls unter welchen Voraussetzungen ein Schadensersatz- oder Schmerzensgeldanspruch nach Art. 82 DSGVO besteht, wird in der Rechtsprechung und auch der Literatur kontrovers diskutiert und unterschiedlich behandelt.

2. Die Berufung ist in geringem Umfang auch begründet. Soweit der Berufungsantrag nach dem Vortrag des Klägers gerechtfertigt war und dem Kläger 25,00 € zugesprochen wurden, ist aufgrund des Teil-Versäumnisurteils eine Begründung gemäß § 313b Abs. 1 ZPO nicht erforderlich.

Im Übrigen war die Klage abzuweisen und die weitergehende Berufung zurückzuweisen, denn ein weitergehender Anspruch des Klägers besteht nicht. Der Vortrag des Klägers rechtfertigt keinen höheren Schadensersatz- oder Schmerzensgeldanspruch. Die Kammer ist davon überzeugt, dass der Kläger aufgrund des Verstoßes der Beklagten gegen Art. 6 DSGVO durch die unzulässige Verarbeitung seiner personenbezogenen Daten lediglich einen ersatzfähigen Schaden in Höhe von 25,00 € erlitten hat.

a) Die Kammer legt den Antrag des Klägers dahingehend aus, dass dieser Schadensersatz für die aufgrund des DSGVO-Verstoßes der Beklagten erlittenen Beeinträchtigungen begehrt, unabhängig von dem vom Kläger verwendeten Begriff des „Schmerzensgeldes“ aus dem deutschen Zivilrecht.

(1) Dem steht die grundsätzliche Bindung an den Antrag des Klägers gemäß § 308 Abs. 1 ZPO, wonach das Gericht nicht befugt ist, einer Partei etwas zuzusprechen, was nicht beantragt ist, nicht entgegen. Denn entscheidend kann nicht der bloße Wortlaut eines Antrages sein, sondern der durch ihn verkörperte Wille. Dementsprechend ist nicht nur darauf zu sehen, ob der Antrag für sich allein betrachtet einen eindeutigen Sinn ergibt, sondern es ist auch die dem Antrag beigegebene Begründung zu berücksichtigen (MüKo-ZPO/Musielak, 6. Aufl. 2020, ZPO § 308 Rn. 6 m.w.N.). Bei einer vom Gericht vorgenommenen Auslegung ist von dem Grundsatz auszugehen, dass im Zweifel dasjenige gewollt ist, was nach den Maßstäben der Rechtsordnung vernünftig ist und der wohlverstandenen Interessenlage entspricht (MüKo-ZPO/Musielak, 6. Aufl. 2020, ZPO § 308 Rn. 6).

Danach legt die Kammer den Antrag des Klägers vor dem Hintergrund seiner Berufungsbegründung und seines Interesses an einer Entschädigung nach Art. 82 DSGVO dahingehend aus, dass dieser die Zahlung von Schadensersatz von der Beklagten begehrt. Zwar ist der unbezifferte Antrag des Klägers auf die Zahlung eines angemessenen Schmerzensgeldes gerichtet, jedoch stützt der Kläger seinen Anspruch auf Art. 82 DSGVO, eine Norm des europäischen Rechts. Maßgeblich sind damit nicht die deutschen Begrifflichkeiten, sondern die des europäischen Rechts bzw. die der DSGVO. Der Begriff „Schmerzensgeld“ findet jedoch in Art. 82 DSGVO und auch den übrigen Normen der DSGVO keine Verwendung. Art. 82 Abs. 1 DSGVO normiert lediglich einen „Anspruch auf Schadenersatz“ für jede Person, der wegen eines Verstoßes gegen die DSGVO „ein materieller oder immaterieller Schaden“ entstanden ist. Der Antrag Ziff. 1c) des Klägers ist daher nach Überzeugung der Kammer im Lichte dieses auf die DSGVO gestützten Anspruchsbegehrens des Klägers auszulegen und dahin zu verstehen, dass er die Zahlung von Schadensersatz begehrt.

(2) Ob der Kläger den begehrten Schadensersatz dabei nach seinem Vortrag allein auf einen „materiellen“ oder „immateriellen“ Schaden stützt, ist unerheblich. Soweit der Kläger seine Schäden als „immaterielle“ Schäden bezeichnet, bindet dies die Kammer auch nicht an die Prüfung ausschließlich immaterieller Schäden. Zugunsten des Klägers sind vielmehr auch mögliche materielle Schäden, die sich aus dem Vorbringen des Klägers ergeben können, zu prüfen, da Art. 82 Abs. 1 DSGVO nach Überzeugung der Kammer ein einheitlicher, weit auszulegender Schadensbegriff zugrunde liegt. Dies hat die Kammer durch Auslegung ermittelt.
Nach dem Wortlaut von Art. 82 DSGVO hat einen „Anspruch auf Schadenersatz“ jede Person, der wegen eines Verstoßes gegen diese Verordnung „ein materieller oder immaterieller Schaden“ entstanden ist. Die DSGVO kennt − anders als das deutsche Recht etwa mit § 253 BGB − insoweit keine unterschiedlichen Normen bzw. Anspruchsgrundlagen, sondern enthält in Art. 82 Abs. 1 DSGVO eine einheitliche Anspruchsgrundlage für einen einheitlichen Schadensersatzanspruch.

Ein weites Verständnis des Schadensbegriffs legen auch die Erwägungsgründe zur DSGVO nahe. Maßgeblich ist insoweit zunächst der Erwägungsgrund 146, der sich auf den Schadensersatzanspruch in Art. 82 DSGVO bezieht. Begrifflich differenziert dieser Erwägungsgrund nicht zwischen materiellen und immateriellen Schäden. Vielmehr wird hier ausschließlich der Begriff „Schaden“ verwendet, ohne dass dieser so zu verstehen sein dürfte, dass nur materielle oder nur immaterielle Schäden gemeint sind. Eine weite Auslegung des Schadensbegriffs wird auch nach S. 3 des Erwägungsgrundes gefordert, wonach der Begriff des Schadens im Lichte der Rechtsprechung des Gerichtshofs „weit“ ausgelegt werden soll.

Für einen einheitlich zu verstehenden Schadensbegriff spricht auch Erwägungsgrund 75 zur DSGVO, in dem Beispiele genannt sind für mögliche „physische, materielle oder immaterielle Schäden“, die aus einer Verarbeitung personenbezogener Daten hervorgehen können, wie zum Beispiel Diskriminierung, Identitätsdiebstahl oder -betrug, finanzieller Verlust, Rufschädigung oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile. Die Aufzählung differenziert ebenfalls nicht zwischen verschiedenen Schadensarten, sondern enthält vielmehr sowohl mögliche materielle, als auch immaterielle Beeinträchtigungen.
b) Nach Auslegung des Begehrens des Klägers im Lichte eines einheitlichen, weit zu verstehenden Schadensersatzanspruchs nach der DSGVO, steht dem Kläger nach Überzeugung der Kammer ein Schadensersatzanspruch gemäß Art. 82 Abs. 1 DSGVO in Höhe von 25,00 € zu.

Dem Kläger ist dadurch ein Schaden entstanden, dass er sich mit den unerwünschten Werbemails der Beklagten auseinandersetzen, deren Herkunft ermitteln, sich um eine Auskunft von der Beklagten mittels eines Schreibens bemühen und die unerwünschten E-Mails löschen musste. Eine den Kläger beeinträchtigende Außenwirkung des Verstoßes im Sinne einer Gefahr einer Schädigung des Ansehens oder Berufs oder einer diskriminierenden Wirkung gegenüber Dritten ist nicht ersichtlich.
Zur Entschädigung der erlittenen Beeinträchtigungen erachtet die Kammer die Zahlung von 25 €, ähnlich der in Verkehrsunfällen für die Umstände und Aufwendungen im Zusammenhang mit der Schadensabwicklung üblichen Auslagenpauschale, für angemessen.

Ein weiterer Schaden - unabhängig davon, ob materiell oder immateriell - ist dem Kläger nach Überzeugung der Kammer nicht entstanden, sodass ein weitergehender Anspruch nicht besteht.

Den Volltext der Entscheidung finden Sie hier:

AG Pforzheim
Urteil vom 27.01.2022
2 C 381/21

Das AG Pforzheim hat in diesem Fall dem Betroffenen 1.500 EURO Schadensersatz aus Art. 82 DSGVO wegen der unberechtigten Weitergabe von Name und Adresse zugesprochen.

Aus den Entscheidungsgründen:
Durch die Weitergabe des Namens und der Adresse des Klägers ohne dessen Einwilligung an das Abrechnungszentrum Dr. G. hat die Beklagte gegen Art. 6 Abs. 1 DS-GVO verstoßen und des weiteren pflichtwidrig den Kläger hierüber nicht nach Art. 14 Abs. 1 DSGVO informiert. Aufgrund dessen steht dem Kläger ein Schadensersatzanspruch gem. Art. 82 Abs. 1 DS-GVO zu, wobei das Gericht einen Betrag in Höhe von 1.500,- € (zuzüglich 4,- € für Mahnkosten) für angemessen, aber auch ausreichend hält. Hierbei wurde zum einen berücksichtigt, dass sich der von der Beklagten begangene Verstoß nicht als besonders schwerwiegend darstellt, insbesondere keinerlei Anhaltspunkte für ein systematisches Vorgehen oder gar eine Schädigungs- oder Bereicherungsabsicht erkennen lassen. Andererseits sieht das Gesetz einen Ausschluss vermeintlicher Bagatellschäden nicht vor (s. hierzu sowie zum folgenden Kühling-Buchner, DS-GVO, Art. 82, Rd.-Nr. 18 a ff.). Vielmehr ist der Schadensbegriff der DS-GVO weit auszulegen und, da es sich um einen europarechtlichen Anspruch handelt, nicht mit den bisher in Deutschland üblichen Beträgen für einen Immateriellen Schadensersatz zu vergleichen. Um die geforderte Abschreckung zu erreichen, muss der zuzusprechende Schadensersatz über einen rein symbolischen Betrag hinaus gehen. Unter Berücksichtigung all dessen erachtet das Gericht einen Betrag in Höhe von 1.500,- € für insgesamt angemessen.

Weitergehende Ansprüche stehen dem Kläger nicht zu. Insbesondere kann er sich nicht darauf berufen, die Beklagte hätte auch im Folgenden unerlaubt seine geschützten personenbezogenen Daten weitergegeben bzw. verarbeitet, so dass ihm auch aufgrund dessen ein (höherer) Schadensersatzanspruch zustünde bzw. ein weiterer, über das Schreiben der Beklagten vom 21.04.2020 hinausgehender, Auskunftsanspruch. Denn die DSGVO gilt gem. Art. 2 Abs. 1 nur für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Die Voraussetzungen für diesen sachlichen Anwendungsbereich der DS-GVO sind im Übrigen jedoch weder ersichtlich noch hinreichend vorgetragen. Die Beklagte mag weitere Daten des Klägers an dessen geschiedene Ehefrau mitgeteilt haben; dies alleine - nämlich ohne automatisierte Verarbeitung oder Speicherung in einem Dateisystem - fällt jedoch eben nicht in den Anwendungsbereich der DS-GVO. Eine Weitergabe von Daten an ihren Prozessbevollmächtigten läge darüber hinaus in ihrem anerkennungswerten berechtigten Interesse, Art. 6 Abs. 1 Satz 1 f DS-GVO.

Den Volltext der Entscheidung finden Sie hier:

LAG Hamm
Urteil vom 14.12.2021
17 Sa 1185/20

Das LAG Hamm hat entschieden, dass einem Arbeitnehmer ein Unterlassungsanspruch und immaterieller Schadensersatz in Höhe von 2.000 EURO zusteht, wenn der Arbeitgeber durch Datenweitergabe innerhalb des Konzerns, die nicht für die Durchführungen des Arbeitsverhältnisses erforderlich ist, gegen die Vorgaben der DSGVO verstößt.

Aus den Entscheidungsgründen:

1. Die Klägerin hat gegen die Beklagte einen Anspruch auf Unterlassung der Übermittlung der streitgegenständlichen Daten an die AKG. Der Anspruch folgt aus § 1004 Abs. 1 BGB, § 823 Abs. 2 Satz 1 BGB iVm. Art. 5 Abs. 1 Buchstabe a Var. 1, Art. 6 Abs. 1 DSGVO.

a) Nach allgemeinen Grundsätzen kann in entsprechender Anwendung des § 1004 Abs. 1 BGB die Unterlassung objektiv rechtswidriger Eingriffe in geschützte Rechtsgüter im Sinne des § 823 Abs. 2 Satz 1 BGB verlangt werden. Demnach ist derjenige, der gegen ein den Schutz eines anderen bezweckendes Gesetz im Sinne des § 823 Abs. 2 Satz 1 BGB verstößt, dem anderen entsprechend § 1004 Abs. 1 BGB zur Unterlassung verpflichtet. Ist nach dem Inhalt des Gesetzes ein Verstoß gegen dieses auch ohne Verschulden möglich, so tritt die Unterlassungspflicht - anders als die Ersatzpflicht (§ 823 Abs. 2 Satz 2 BGB) - auch ohne ein Verschulden des Verletzers ein (BGH 17.07.2008 – I ZR 219/05 – Rn. 13; Grüneberg/Sprau BGB 81. Aufl. Einf. v. § 823 Rn. 27ff.).

b) Art. 5 Abs. 1 Buchstabe a Var. 1 und Art. 6 Abs. 1 DSGVO sind Schutzgesetze iSd. § 823 Abs. 2 Satz 1 BGB.

aa) Eine Rechtsnorm ist ein Schutzgesetz iSd. § 823 Abs. 2 BGB, wenn sie zumindest auch dazu dienen soll, den Einzelnen oder einzelne Personenkreise gegen die Verletzung eines bestimmten Rechtsguts zu schützen. Dafür kommt es nicht auf die Wirkung, sondern auf Inhalt und Zweck des Gesetzes sowie darauf an, ob der Gesetzgeber bei Erlass des Gesetzes gerade einen Rechtsschutz, wie er wegen der behaupteten Verletzung in Anspruch genommen wird, zugunsten von Einzelpersonen oder bestimmten Personenkreisen gewollt oder doch mitgewollt hat. Es genügt, dass die Norm auch das Interesse des Einzelnen schützen soll, mag sie auch in erster Linie dasjenige der Allgemeinheit im Auge haben. Nicht ausreichend ist aber, dass der Individualschutz durch Befolgung der Norm nur als ihr Reflex objektiv erreicht wird; er muss vielmehr im Aufgabenbereich der Norm liegen (BGH 25.05.2020 – VI ZR 252/19 - Rn. 73 mwN).

bb) Gemäß Art. 5 Abs. 1 Buchstabe a Var. 1 DSGVO müssen personenbezogene Daten auf rechtmäßige Weise verarbeitet werden. Gemäß Art. 6 Abs. 1 DSGVO ist die Verarbeitung nur rechtmäßig, wenn mindestens eine der in den Buchstaben a bis f aufgeführten Bedingungen erfüllt ist. Die zitierten Bestimmungen dienen dem Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (vgl. Art. 1 Abs. 1 DSGVO). Der in ihnen zum Ausdruck kommende Grundsatz der Rechtmäßigkeit der Verarbeitung personenbezogener Daten schützt gemeinsam mit den anderen in Art. 5 DSGVO niedergelegten Grundsätzen die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten (vgl. Art. 1 Abs. 2 DSGVO). Dass dieser Schutz im Aufgabenbereich der Normen liegt, wird auch aus den Erwägungsgründen (fortan: EG) der DSGVO deutlich: Gemäß EG 2 DSGVO sollen durch die Grundsätze zum Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten - zu diesen gehört nach EG 39 Satz 1 DSGVO auch der hier maßgebliche Grundsatz der Rechtmäßigkeit der Verarbeitung - gewährleistet werden, dass ihre Grundrechte und Grundfreiheiten und insbesondere ihr Recht auf Schutz personenbezogener Daten ungeachtet ihrer Staatsangehörigkeit oder ihres Aufenthaltsorts gewahrt bleiben. Art. 5 Abs. 1 Buchstabe a Var. 1 und Art. 6 Abs. 1 DSGVO sind daher als Schutzgesetze iSd. § 823 Abs. 2 Satz 1 BGB einzuordnen (im Ergebnis ebenso Frenzel in Paal/Pauly DSGVO 3. Aufl. Art. 6 Rn. 2; zur Einordnung von Regelungen des BDSG als Schutzgesetze vgl. BGH 24.07.2018 – VI ZR 330/17 – Rn. 30; 27.02.2018 – VI ZR 489/16 – Rn. 42).

c) Der Anwendungsbereich der DSGVO ist eröffnet (Art. 2 DSGVO). Die von der AKG angefragten Informationen über die Klägerin stellen personenbezogene Daten iSd. Art. 4 Nr. 1 DSGVO dar. Durch die Übermittlung an die AKG hat die Beklagte diese Daten iSv. Art. 4 Nr. 2 DSGVO verarbeitet. Es liegt auch eine zumindest teilweise automatisierte Verarbeitung vor, weil die Daten per E-Mail übermittelt wurden (vgl. Ernst in Paal/Pauly DSGVO 3. Aufl. Art. 2 Rn. 5). Zudem ist davon auszugehen, dass die AKG die übermittelten Daten zur Vergleichsbildung in einem Dateisystem iSd. Art. 4 Nr. 6 DSGVO gespeichert hat. Ein Ausnahmetatbestand nach Art. 2 Abs. 2 DSGVO liegt im Streitfall nicht vor.

d) Die Beklagte ist im Hinblick auf die streitgegenständliche Datenübermittlung „Verantwortlicher“ iSd. Art. 4 Nr. 7 DSGVO, weil ihr die Entscheidungsgewalt über die Daten oblag und sie über das Ob und den Umfang der Datenübermittlung entschied (vgl LAG Baden-Württemberg 25.02.2021 – 17 Sa 37/20 – Rn. 45; EuArbRK/Franzen 4. Aufl. Art. 4 DSGVO Rn. 12; Hartung in Kühling/Buchner DSGVO 3. Aufl. Art. 4 Nr. 7 Rn. 13; Spindler/Dalby in Spindler/Schuster, Recht der elektronischen Medien 4. Aufl. Art. 4 DSGVO Rn. 18). Die Beklagte war damit gemäß Art. 5 Abs. 2 DSGVO für die Einhaltung von Art. 5 Abs. 1 Buchstabe a Var. 1 und Art. 6 Abs. 1 DSGVO verantwortlich.

e) Es liegt ein Verstoß gegen Art. 5 Abs. 1 Buchstabe a Var. 1 DSGVO („Grundsatz der Rechtmäßigkeit der Verarbeitung“) vor. Keiner der in Art. 6 Abs. 1 Buchstabe a bis f genannten Tatbestände ist im Streitfall erfüllt.

aa) Eine Einwilligung der Klägerin iSv. Art. 6 Abs. 1 Buchstabe a DSGVO liegt nicht vor. Auch die Tatbestände in Art. 6 Abs. 1 Buchstabe c, d und e kommen hier als Rechtsgrundlage erkennbar nicht in Betracht.

bb) Die Beklagte kann die Verarbeitung auch nicht auf § 26 BDSG stützen, der als speziellere Vorschrift Art. 6 Abs. 1 Buchstabe b DSGVO im Beschäftigungskontext verdrängt.

(1) § 26 BDSG stellt eine spezifischere Vorschrift iSv. Art. 88 DSGVO dar, welche ihrerseits den Erlaubnistatbestand des Art. 6 Abs. 1 Buchstabe b DSGVO im Beschäftigungskontext konkretisiert. Demnach verdrängt § 26 BDSG in seinem Anwendungsbereich die Regelung des Art. 6 Abs. 1 Buchstabe b DSGVO (LAG Baden-Württemberg 25.02.2021 – 17 Sa 37/20 – Rn. 74; ErfK/Franzen 22. Aufl. § 26 BDSG Rn. 4f. mwN; HWK/Lembke Arbeitsrecht Kommentar 9. Aufl. Einl. DSGVO Rn. 64; Buchner/Petri in: Kühling/Buchner Art. 6 DSGVO Rn. 49f.). Demgegenüber bleiben die übrigen Tatbestände des Art. 6 Abs. 1 DSGVO weiterhin anwendbar (ErfK/Franzen 22. Aufl. § 26 BDSG Rn. 4f.; Gola in: Gola DSGVO 2. Aufl. Art. 6 Rn. 101; Gräber/Nolden in: Paal/Pauly DSGVO 3. Aufl. § 26 BDSG Rn. 10).

(2) Die Verarbeitung ist nicht nach § 26 Abs. 1 BDSG gerechtfertigt.

(a) Nach dieser Vorschrift dürfen personenbezogene Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist. Für die Durchführung des Arbeitsverhältnisses ist eine Verarbeitung von personenbezogenen Daten danach erforderlich, wenn und soweit der Arbeitgeber sie benötigt, um die Pflichten zu erfüllen und die Rechte geltend machen zu können, welche im Hinblick auf das Arbeitsverhältnis in gesetzlichen Vorschriften, Kollektivverträgen und Individualvereinbarungen mit dem Arbeitnehmer geregelt sind (vgl. HWK/Lembke Arbeitsrecht Kommentar 9. Aufl. Art. 88 DSGVO Rn. 29; BeckOK DatenschutzR/Riesenhuber, 37. Ed. § 26 BDSG Rn. 114).

(b) Die streitgegenständliche Datenübermittlung war zur Durchführung des Arbeitsverhältnisses mit der Klägerin nicht erforderlich. Die AKG ist keine Personalabteilung oder personalverwaltende Stelle der Beklagten. Sämtliche das Arbeitsverhältnis der Klägerin betreffenden Abrechnungs- und Personalverwaltungsvorgänge werden ohne Mitwirkung der AKG vorgenommen. Das Arbeitsverhältnis weist auch keinen anderweitigen Konzernbezug auf (vgl. hierzu allg. Gola in: Gola/Heckmann BDSG 13. Aufl. § 26 Rn. 92; BeckOK DatenschutzR/Riesenhuber, 37. Ed. § 26 BDSG Rn. 183; Gola in: Gola DSGVO 2. Aufl. Art. 6 Rn. 104). Insbesondere ist ein konzernweiter Einsatz der Klägerin nicht vorgesehen; die Versetzungsklausel in § 1 Abs. 5 des Arbeitsvertrags beschränkt den Einsatz auf andere Orte „innerhalb des Unternehmens“. Auch die Beklagte hat nicht behauptet, sie sei zur Durchführung des Arbeitsverhältnisses mit der Klägerin auf die Übermittlung der Daten angewiesen. Sie hat vielmehr geltend gemacht, eine Übermittlung der Daten an die AKG sei für interne Verwaltungszwecke, nämlich zur Schaffung einer einheitlichen Vergütungsstruktur im Konzern, erforderlich.

(3) Die Verarbeitung ist auch nicht nach § 26 Abs. 4 BDSG gerechtfertigt. Zwar existiert die BV LNT. Die hier im Streit stehende Datenübermittlung erfolgte jedoch nicht unter Nutzung der Software, auf die sich die BV LNT bezieht, sondern per E-Mail.

cc) Die Datenverarbeitung ist auch nicht nach Art. 6 Abs. 1 Buchstabe f DSGVO gerechtfertigt.

aa) Nach dieser Bestimmung ist die Verarbeitung personenbezogener Daten rechtmäßig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt. Ob die Voraussetzungen der Norm erfüllt sind, ist anhand einer dreistufigen Prüfung zu ermitteln (LAG Baden-Württemberg 25.02.2021 – 17 Sa 37/20 – Rn. 75; Buchner/Petri in: Kühling/Buchner Art. 6 DSGVO Rn. 146).

(1) Zunächst ist zu klären, ob zum Zeitpunkt der Verarbeitung ein berechtigtes Interesse des Verantwortlichen oder eines Dritten, dem die Daten übermittelt werden, vorliegt. Zu den berechtigten Interessen des Verantwortlichen oder Dritten zählen neben rechtlichen auch tatsächliche, wirtschaftliche oder ideelle Interessen, nicht jedoch bloße Allgemeininteressen (Buchner/Petri in: Kühling/Buchner, Art. 6 DS-GVO Rn. 146 f.). Die in den EG 47–50 der DSGVO genannten Beispiele berechtigter Interessen wie unter anderem die Verarbeitung im Rahmen einer konzerninternen Übermittlung (EG 48 Satz 1 DSGVO) zeigen, dass vielfältige und unterschiedlich bedeutsame berechtigte Interessen berücksichtigungsfähig sind (BGH 12.07.2018 – III ZR 183/17 - Rn. 76).

(2) Sind die Interessen, die mit einer Datenverarbeitung verfolgt werden, grundsätzlich als berechtigte Interessen einzustufen, ist in einem weiteren Schritt zu klären, ob die konkrete Datenverarbeitung zur Wahrung dieser berechtigten Interessen auch erforderlich ist. Der EuGH hat im Hinblick auf das Kriterium der Erforderlichkeit darauf hingewiesen, dass sich die Ausnahmen und Einschränkungen in Bezug auf den Schutz der personenbezogenen Daten auf das absolut Notwendige beschränken müssen (vgl. zur Vorgängerregelung in Art. 7 Buchst. f der RL 95/46/EG EuGH 11.12.2019 – C-708/18 –Rn. 46; 04.05.2017 – C-13/16 – Rn. 30). Das Gericht hat im Einzelfall zu prüfen, ob das berechtigte Interesse des Verantwortlichen nicht mit anderen Mitteln, die weniger stark in die Grundrechte und Grundfreiheiten der betroffenen Personen eingreifen, vernünftigerweise ebenso wirksam erreicht werden kann (EuGH 11.12.2019 – C-708/18 – Rn. 46). Entsprechende Anhaltspunkte für das Kriterium der Erforderlichkeit finden sich auch in EG 39 DSGVO: Nach dessen Satz 7 soll die Verarbeitung der personenbezogen Daten auf das für sie notwendige Maß beschränkt sein. Satz 9 bestimmt, dass personenbezogene Daten nur verarbeitet werden dürfen, wenn der Zweck der Verarbeitung nicht in zumutbarer Weise durch andere Mittel erreicht werden kann. Die Datenverarbeitung ist daher erforderlich, wenn kein milderes, gleich effektives Mittel zur Verfügung steht, um die Interessen des Verantwortlichen zu erreichen (BGH 12.7.2018 – III ZR 183/17 - Rn. 82; ebenso zum Begriff der Erforderlichkeit in Art. 6 Abs. 1 Buchstabe c und e DSGVO BAG 26.08.2021 – 8 AZR 253/20 (A) - Rn. 31).

[...]

bb) Die Voraussetzungen des Art. 6 Abs. 1 Buchstabe f DSGVO liegen im Streitfall nicht vor.

(1) Es besteht allerdings grundsätzlich ein berechtigtes Interesse der Beklagten, der AKG und der DRV KBS an der Übermittlung der Gehaltsdaten der Klägerin. Diese Verarbeitung soll einen konzernweiten Vergleich der Gehälter und sonstigen Entgeltbestandteile der im Konzern beschäftigten AT-Mitarbeiter ermöglichen. Das damit verbundene Ziel, die Vergütungspraxis von außertariflichen Angestellten in vergleichbaren Positionen konzernweit einheitlich und widerspruchsfrei zu gestalten, ist ein berechtigtes wirtschaftliches Interesse iSd. Vorschrift. Die konzerninterne Datenübermittlung für solche internen Verwaltungszwecke wird auch durch EG 48 Satz 1 DSGVO grundsätzlich anerkannt.

Dieses berechtigte Interesse hat zum einen die AKG als „Dritter“ iSd. Vorschrift, weil sie die übermittelten Daten unmittelbar für die genannten Ziele nutzen kann. Daneben besteht auch ein eigenes berechtigtes Interesse der Beklagten an der Verarbeitung. Den bezweckten Gehältervergleich kann sie zwar nicht unmittelbar selbst nutzen, weil sie nach eigenem Vortrag keinen Zugriff auf die Daten hat. Die Verarbeitung kommt ihr aber jedenfalls mittelbar zugute, indem die Erkenntnisse bei zukünftigen Vertragsabschlüssen und - änderungen, die gemäß § 7 Abs. 2 Buchstabe e GO-AKG jeweils der Zustimmung der AKG bedürfen, zu ihren Gunsten Berücksichtigung finden. Ein durch Art. 6 Abs. 1 Buchstabe f DSGVO geschütztes Interesse an der Schaffung konzernweit einheitlicher Vergütungsstrukturen hat schließlich auch die DRV KBS als Konzernobergesellschaft.

(2) Die Übermittlung der Daten war in ihrer konkreten Ausgestaltung jedoch nicht erforderlich. Die Gehaltsdaten der Klägerin hätten in pseudonymisierter Form übermittelt werden können.

(a) Der Zweck der Verarbeitung bestand nach dem Vorbringen der Beklagten darin, einen Überblick über das aktuelle Gehaltsgefüge der AT-Mitarbeiter der Verbundkliniken zu erhalten, um zukünftig homogene Arbeitsbedingungen für diese Personengruppe zu schaffen und die Gehälter der AT-Mitarbeiter bei zukünftigen Vertragsabschlüssen bzw. -änderungen an vergleichbare Positionen anzupassen. Zur Erreichung dieses Zwecks war lediglich die Übermittlung der Gehaltsdaten (Jahresbruttogehalt, Zielprämie und sonstige Leistungen), der Funktion des jeweiligen Beschäftigten und seiner Organisationseinheit erforderlich. Die weiteren von der Beklagten übermittelten Daten der Klägerin (Name, Vorname, Personalnummer, Geburtsdatum, Privatadresse, Konzerngesellschaft, bei der sie tätig ist, Krankenhaus, in dem sie tätig ist, Arbeitsvertrag) sind für die Vergleichsdatenbildung hingegen nicht erforderlich. Denn auch ohne diese Daten könnte die AKG das Gehaltsgefüge vergleichbarer AT-Mitarbeiter in den Verbundkliniken feststellen und in der Zukunft für homogene Arbeitsbedingungen sorgen. Dass die Beklagte mehr Daten übermittelte, als zur Erreichung des Zwecks erforderlich waren, belegt auch der Umstand, dass die AKG nach dem Vortrag der Beklagten unmittelbar nach Erhalt der Daten einige dieser Daten wieder löschte und auf den Arbeitsverträgen schwärzte. Soweit die Beklagte zur Rechtfertigung dieses Vorgehens vorbringt, es habe verhindert werden sollen, dass „Daten durcheinander geraten“ und „falsche Zuordnungen“ erfolgen, ist dies für die Berufungskammer nicht nachvollziehbar. Eine ordnungsgemäße Nutzung und Einordnung der Daten für den angestrebten Zweck wäre ohne weiteres auch dann möglich gewesen, wenn nur die notwendigen, oben aufgeführten Daten übermittelt worden wären. In diesem Fall hätten die Gehaltsdaten der Klägerin nicht ohne Hinzuziehung zusätzlicher Informationen zugeordnet werden können (vgl. zum Begriff der Pseudonomysierung Art. 4 Nr. 5 DS-GVO).

(b) Die Beklagte hat eingewandt, dass eine derart eingeschränkte Datenübermittlung nicht zielführend sei. Da nur ein kleiner Personenkreis von der Datenverarbeitung betroffen sei und zum Teil in den einzelnen Unternehmen nur jeweils eine Person mit einem entsprechenden Tätigkeitsfeld arbeite, was auch auf die Klägerin zutreffe, könnten die Gehaltsdaten der Klägerin auch ohne Mitteilung des Namens und weiterer persönlicher Daten zugeordnet werden. Dieser Einwand greift nicht durch. Zum einen handelt es sich nicht um einen kleinen Personenkreis, sondern um 156 Mitarbeiter, davon 21 bei der Beklagten. Für die Kammer ist zudem nicht nachvollziehbar, wie die Identität der Klägerin ohne weitere Informationen herausgefunden werden könnte, wenn lediglich ihre Gehaltsdaten, ihre Funktion und ihre Organisationseinheit mitgeteilt würden. Da keine weiteren Daten, insbesondere auch nicht die Konzerngesellschaft und das Krankenhaus, in dem die Klägerin beschäftigt ist, übermittelt werden müssen, handelte es sich, selbst wenn die Position der Klägerin in jeder Klinikgesellschaft nur einmal vorhanden wäre, um einen Kreis von dann immerhin sechs Personen. Aber selbst wenn eine Identifizierung der Klägerin auch bei einer Datenübermittlung in dem oben dargelegten, eingeschränkten Umfang noch (theoretisch) möglich wäre, wäre die Identifizierung jedenfalls erheblich erschwert, weil diese erst unter Zuhilfenahme anderer Informationsquellen durchgeführt werden könnte. Durch eine solche Pseudonymisierung würden die datenschutzrechtlichen Risiken für die Klägerin folglich gesenkt (vgl. EG 29 Satz 1 DSGVO). Zudem entspräche ein solches Vorgehen dem Grundsatz der Datenminimierung (Art. 5 Abs. 1 Buchstabe c DSGVO). Eine pseudonymisierte Übermittlung der Gehaltsdaten würde daher in jedem Fall weniger stark in die Grundrechte der Klägerin eingreifen, den von der Beklagten erstrebten Zweck aber ebenso wirksam erreichen. Die Datenübermittlung in ihrer konkreten Ausgestaltung war daher nicht erforderlich.

[...]

dd) Art. 6 Abs. 4 DSGVO kann die Datenübermittlung an die AKG ebenfalls nicht rechtfertigen.

(1) Zwar liegt im Streitfall eine Verarbeitung zu einem anderen Zweck als zu demjenigen, zu dem die personenbezogenen Daten erhoben wurden, vor (s.o.). Die Klägerin hat in diese jedoch nicht eingewilligt. Die Datenübermittlung beruht auch nicht auf einer Rechtsvorschrift zum Schutz der in Art. 23 Abs. 1 DSGVO genannten Ziele iSv. § 6 Abs. 4 DSGVO. Die Voraussetzungen des § 24 Abs. 1 BDSG liegen ebenfalls nicht vor.

(2) In einem solchen Fall berücksichtigt der Verantwortliche – um festzustellen, ob die Verarbeitung zu einem anderen Zweck mit demjenigen, zu dem die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist – unter anderem die in Art. 6 Abs. 4 Buchstabe a bis e DSGVO genannten Kriterien. Der Rechtscharakter dieser Regelung wird uneinheitlich beurteilt. Nach einer Ansicht ist sie als ein Erlaubnistatbestand für eine zweckändernde Weiterverarbeitung personenbezogener Daten einzuordnen. Wenn die Voraussetzungen der Regelung vorliegen, bedarf es danach für die Zulässigkeit der Weiterverarbeitung keiner gesonderten Rechtsgrundlage iSv. Art. 6 Abs. 1 DSGVO. Ausreichend soll dann vielmehr gemäß EG 50 Satz 2 DSGVO der ursprüngliche Legitimationstatbestand für die Datenerhebung sein (Schulz in: Gola DSGVO 2. Aufl. Art. 6 Rn. 210 mwN; EuArbRK/Franzen 4. Aufl. Art. 6 DSGVO Rn. 14). Nach der Gegenansicht beschränkt sich die Funktion des Art. 6 Abs. 4 DSGVO auf einen Kompatibilitätstest. Danach bedarf auch eine nach Abs. 4 zweckkompatible Weiterverarbeitung von Daten darüber hinaus stets zusätzlich noch einer entsprechenden Rechtsgrundlage iSd. Art. 6 Abs. 1 DSGVO (Buchner/Petri in: Kühling/Buchner DSGVO 3. Aufl. Art. 6 Rn. 182ff. mwN; BeckOK DatenschutzR/Albers/Veit 38. Ed. Art. 6 DSGVO Rn. 96 ff.; Heberlein in: Ehmann/Selmayr 2. Aufl. DSGVO Art. 6 Rn. 48).

(a) Aus Sicht der Berufungskammer ist der letztgenannten Ansicht zu folgen. Der Einordnung von Art. 6 Abs. 4 DSGVO als selbständiger Erlaubnistatbestand steht der Wortlaut des Art. 6 Abs. 1 DSGVO entgegen, nach dem eine Verarbeitung „nur rechtmäßig“ ist, wenn einer der dort genannten Erlaubnistatbestände erfüllt ist; einen Vorbehalt hinsichtlich Abs. 4 macht Art. 6 Abs. 1 DSGVO gerade nicht (Buchner/Petri in: Kühling/Buchner 3. Aufl. Art. 6 DSGVO Rn. 183). Ein entsprechendes Verständnis kommt auch in der englischen und der französischen Fassung von Art. 6 Abs. 1 DSGVO zum Ausdruck.

Art. 6 Abs. 4 DSGVO betrifft nicht den Grundsatz der Rechtmäßigkeit der Datenverarbeitung iSv. Art. 5 Abs. 1 Buchstabe a Var. 1 DSGVO, sondern konkretisiert den Grundsatz der Zweckbindung iSd. Art. 5 Abs. 1 Buchstabe b DSGVO und regelt die Frage, ob der neue mit einer Datenverarbeitung verfolgte Zweck mit dem ursprünglich verfolgten vereinbar ist (Buchner/Petri in: Kühling/Buchner 3. Aufl. Art. 6 DSGVO Rn. 183; Heberlein in: Ehmann/Selmayr 2. Aufl. DSGVO Art. 6 Rn. 48). Die Grundsätze der Zweckbindung und der Rechtmäßigkeit sind jedoch unabhängig voneinander zu erfüllen (EuGH 01.10.2015 – C-201/14 – Rn. 30 mwN.).

(b) Selbst wenn man der Gegenansicht folgte, führte dies im Streitfall zu keinem anderen Ergebnis. Die Beklagte, die als Verantwortliche für die Rechtmäßigkeit der Datenverarbeitung verantwortlich ist und die Einhaltung dieses Grundsatzes nachweisen muss (Art. 5 Abs. 2 DSGVO), hat nicht behauptet, vor der Datenübermittlung den nach Art. 6 Abs. 4 vorgesehenen Kompatibilitätstest durchgeführt zu haben (vgl. zum Charakter der Regelung als Vorgabe für den Verantwortlichen auch BeckOK DatenschutzR/Albers/Veit, 38. Ed. Art. 6 DSGVO Rn. 102; Heberlein in: Ehmann/Selmayr 2. Aufl. DSGVO Art. 6 Rn. 49). Zudem ist die Datenübermittlung an die AKG unter Berücksichtigung der in Art. 6 Abs. 4 Buchstabe a bis e DSGVO genannten Kriterien mit dem ursprünglichen Erhebungszweck nicht kompatibel. Eine Pseudonymisierung wurde im Streitfall nicht vorgenommen, obwohl dies möglich gewesen wäre (Buchstabe e). Die Datenübermittlung hätte wie oben dargelegt nachteilige Auswirkungen für die Klägerin haben können (Buchstabe d). Die Daten wurden ausschließlich zum Zwecke der Begründung und Durchführung des Arbeitsverhältnisses erhoben. Die Klägerin musste nicht davon ausgehen, dass die Daten für andere Zwecke genutzt würden (Buchstabe b, vgl. auch EuArbRK/Franzen 4. Aufl. Art. 6 DSGVO Rn. 17). Es handelt sich um Personaldaten, die der Arbeitgeber grundsätzlich vertraulich zu behandeln hat (Buchstabe c). Der ursprüngliche Zweck für die Erhebung der Daten steht auch in keinem unmittelbaren Zusammenhang mit der Übermittlung der Daten zum Zwecke der Schaffung einer konzernweiten Vergleichsdatenbank (Buchstabe a).

f) Es besteht auch die erforderliche Wiederholungsgefahr.

aa) Die Besorgnis weiterer Beeinträchtigungen (§ 1004 Abs. 1 Satz 2 BGB) ist Tatbestandsmerkmal des auf §§ 1004, 823 BGB gestützten Unterlassungsanspruchs und damit materielle Anspruchsvoraussetzung (BAG 20.11.2012 - 1 AZR 179/11 - Rn. 82 mwN). Künftige Beeinträchtigungen eines geschützten Rechts sind grundsätzlich zu besorgen, wenn sie auf einer Verletzungshandlung beruhen (Wiederholungsgefahr) oder eine solche ernsthaft zu befürchten ist (Erstbegehungsgefahr). Wiederholungsgefahr ist die objektive Gefahr der erneuten Begehung einer konkreten Verletzungshandlung. Sie ist nicht auf die identische Verletzungsform beschränkt, sondern umfasst alle im Kern gleichartigen Verletzungsformen (BAG 18.11.2014 - 1 AZR 257/13 - Rn. 39). Für sie besteht eine tatsächliche Vermutung, wenn es bereits zu einer Verletzung des geschützten Rechts gekommen ist (BAG 07.06.2017 – 1 ABR 32/15 – Rn. 24).

bb) Angesichts des Verstoßes der Beklagten gegen Art. 5 Abs. 1 Buchstabe a Var. 1, Art. 6 Abs. 1 DSGVO besteht eine tatsächliche Vermutung für eine Wiederholungsgefahr, der die Beklagte nicht entgegengetreten ist. Sie macht vielmehr weiterhin geltend, dass die streitgegenständliche Datenübermittlung rechtmäßig gewesen sei (vgl. hierzu Staudinger/Thole BGB Neubearb. 2019 § 1004 Rn. 461).

2. Die Klägerin hat gegen die Beklagte gemäß Art. 82 Abs. 1 DSGVO Anspruch auf Ersatz des immateriellen Schadens. Nach dieser Vorschrift hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Diese Voraussetzungen liegen vor.

a) Die Klägerin ist anspruchsberechtigt. Sie gehört zu den von Art. 82 Abs. 1 DSGVO geschützten betroffenen Personen iSv. Art. 4 Nr. 1 DS-GVO. Die Verletzung von Bestimmungen der DSGVO geschah bei der Verarbeitung „ihrer“ personenbezogenen Daten (vgl. BAG 26.08.2021 – 8 AZR 253/20 (A) – Rn. 33; LAG Niedersachsen 22.10.2021 – 16 Sa 761/20 – Rn. 185).
b) Die Beklagte ist anspruchsverpflichtet. Wie bereits oben ausgeführt, ist sie im Hinblick auf die durchgeführte Datenübermittlung „Verantwortlicher“ iSd. Art. 4 Nr. 7 DSGVO und haftet daher für den Schaden, der durch eine nicht der DSGVO entsprechende Verarbeitung verursacht wurde.

c) Es liegt ein Verstoß gegen die DSGVO vor. Die personenbezogenen Daten der Klägerin wurden entgegen den Vorgaben von Art. 5 Abs. 1 Buchstabe a Var. 1 und Art. 6 Abs. 1 DSGVO nicht in rechtmäßiger Weise übermittelt. Auf die Ausführungen im Rahmen des Klageantrags zu 1) wird verwiesen.

d) Die Beklagte ist für den Verstoß gegen die DSGVO auch verantwortlich iSv. Art. 82 Abs. 3 DSGVO.

aa) Die Haftung des Verantwortlichen nach Art. 82 Abs. 1 DSGVO ist verschuldensunabhängig, dh. sie setzt nicht das Vorliegen oder den Nachweis eines Verschuldens voraus (BAG 26.08.2021 - 8 AZR 253/20 (A) – Rn. 39). Aus Art. 82 Abs. 3 DSGVO ergibt sich nichts Abweichendes. Die darin enthaltene Bestimmung, wonach bei Nachweis der Nichtverantwortlichkeit für den Umstand, durch den der Schaden eingetreten ist, eine Befreiung von der Haftung eintritt, betrifft nach Auffassung des BAG nicht das Verschulden im Sinne eines „Vertretenmüssens“, sondern die Frage nach einer „Beteiligung“ bzw. nach der Urheberschaft im Sinne der Kausalität (BAG 26.08.2021 - 8 AZR 253/20 (A) – Rn. 40). Danach ist die Beklagte hier verantwortlich, weil sie den Verstoß gegen die DSGVO durch die von ihr vorgenommene Datenübermittlung kausal verursacht hat.

bb) Selbst wenn man demgegenüber Verantwortlichkeit iSd. Art. 82 Abs. 3 DSGVO im Sinne von Verschulden verstünde (vgl. LAG Niedersachsen 22.10.2021 – 16 Sa 761/20 – Rn. 223; EuArbRK/Franzen 4. Aufl. Art. 82 DSGVO Rn. 17); führte dies zu keinem anderen Ergebnis. Denn das Verschulden der Beklagten wird nach Art. 82 Abs. 3 DSGVO vermutet. Die Beklagte hat keinen entgegenstehenden Vortrag geleistet. Sie handelte zumindest fahrlässig, was unter näher ausgeführt wird.

e) Durch den Verstoß der Beklagten gegen Bestimmungen der DSGVO ist der Klägerin ein immaterieller Schaden entstanden.

Der Rechtsanspruch auf immateriellen Schadenersatz nach Art. 82 Abs. 1 DSGVO erfordert über eine Verletzung der DSGVO hinaus nicht zusätzlich, dass die verletzte Person einen (weiteren) von ihr erlittenen immateriellen Schaden darlegt. Sie muss also keine „Konsequenz oder Folge der Rechtsverletzung von zumindest einigem Gewicht“ oder das Überschreiten einer „Erheblichkeitsschwelle“ darlegen. Bereits die Verletzung der DSGVO selbst führt zu einem auszugleichenden immateriellen Schaden (BAG 26.08.2021 – 8 AZR 253/20 (A) – Rn. 33; LAG Hamm 11.05.2021 – 6 Sa 1260/20 – Rn. 62ff.; LAG Niedersachsen 22.10.2021 – 16 Sa 761/20 – Rn. 228). Für dieses Verständnis spricht EG 146 Satz 3 DSGVO, wonach der Begriff des Schadens im Lichte der Rechtsprechung des EuGH weit und auf eine Weise ausgelegt werden soll, die den Zielen der Verordnung in vollem Umfang entspricht. Bereits der - auch hier eingetretene - Verlust über die Kontrolle der eigenen personenbezogenen Daten kann nach EG 75 und 85 DSGVO einen immateriellen Schaden begründen. Bei diesem Verständnis bleiben die Schwere eines Pflichtenverstoßes und das Ausmaß der damit einhergehenden Beeinträchtigungen auch nicht unberücksichtigt. Sie können effektiv im Rahmen der Bemessung der Höhe des Schadensersatzes berücksichtigt werden (LAG Niedersachsen 22.10.2021 – 16 Sa 761/20 – Rn. 228).

f) Die Klägerin hat die Bemessung der Höhe des immateriellen Schadensersatzes in das Ermessen des Gerichts gestellt, § 287 Abs. 1 Satz 1 ZPO. Unter Würdigung aller Umstände des Einzelfalles geht die Berufungskammer im Einklang mit der Entscheidung des Arbeitsgerichts davon aus, dass der Klägerin zur Abgeltung des immateriellen Schadens ein Geldanspruch in Höhe von 2.000,00 € zusteht.

aa) Nach EG 146 Satz 6 der DSGVO sollen die betroffenen Personen einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten. Bei der Bemessung des immateriellen Schadenersatzes durch das Gericht sind daher alle Umstände des Einzelfalls zu berücksichtigen. Es soll ein tatsächlicher und wirksamer rechtlicher Schutz der aus der DSGVO hergeleiteten Rechte gewährleistet werden BAG 26.08.2021 – 8 AZR 253/20 (A) – Rn. 36).

bb) Unter Berücksichtigung und Abwägung aller Umstände des Einzelfalls ist ein Schadensersatz in Höhe von 2.000,00 € angemessen.

(1) Ein vorsätzliches Handeln der Beklagten ist nicht festzustellen. Sie holte vor Durchführung der streitgegenständlichen Verarbeitung eine rechtliche Stellungnahme eines Rechtsanwalts und Fachanwalts für Arbeitsrecht und Informationstechnologierecht ein, nach der die Datenübermittlung aufgrund eines gesetzlichen Erlaubnistatbestandes grundsätzlich zulässig sein sollte. Zu berücksichtigen ist auch, dass die konkrete Rechtsfrage im Zeitpunkt der Datenverarbeitung nicht höchstrichterlich geklärt war. Die Beklagte hat den Verstoß gegen die DSGVO jedoch fahrlässig herbeigeführt. Sie hätte bei Beachtung der im Verkehr erforderlichen Sorgfalt (§ 276 Abs. 2 BGB) erkennen können und müssen, dass die Verarbeitung in ihrer durchgeführten Form nicht erforderlich war, sondern über das für den Zweck erforderliche Maß hinausging. Das eingeholte rechtliche Gutachten wies selbst darauf hin, dass eine anonymisierte Weitergabe der Daten Vorrang hätte, wenn die Vorgaben der Geschäftsführung durch eine solche Weitergabe ebenso erreicht werden könnten. Der Personalleiter der Beklagten E. hatte in seiner E-Mail vom 22.01.2019 (Bl. 157 GA) ebenfalls auf die Möglichkeit einer anonymisierten bzw. pseudonymisierten Datenübermittlung hingewiesen. Darüber hinaus sieht auch die BV LNT, die nur drei Wochen vor der hier in Rede stehenden Datenvereinbarung abgeschlossen worden war, vor, dass Beschäftigtendaten für Controlling- und Benchmark-Zwecke grundsätzlich nur pseudonymisiert genutzt werden dürfen. Auch vor diesem Hintergrund lag eine pseudonymisierte Verarbeitung der Daten nahe. Die Übermittlung beinhaltete in ihrer konkreten Form schließlich auch Daten wie das Geburtsdatum und die Privatadresse der Klägerin, die von vornherein und ganz offensichtlich nicht vom Zweck der Übermittlung gedeckt waren.

(2) Zulasten der Beklagten war darüber hinaus zu berücksichtigen, dass sie den Grundsatz der Transparenz (Art. 5 Abs. 1 Buchstabe a Var. 3 DSGVO) nicht beachtet und die ihr gegenüber der Klägerin obliegenden Informationspflichten im Hinblick auf die Datenübermittlung nachhaltig nicht erfüllt hat, obwohl sie in dem eingeholten Rechtsgutachten vom 05.03.2019 ausdrücklich auf die ihr obliegenden Informationspflichten nach der DSGVO hingewiesen worden war. Deshalb hatte die Klägerin keine Möglichkeit, ihr Widerspruchsrecht nach Art. 21 Abs. 1 DSGVO rechtzeitig und effektiv auszuüben. Zur Vermeidung von Wiederholungen wird insoweit auf die obigen Ausführungen verwiesen. Zudem entsprach die Datenübermittlung in ihrer konkreten Ausgestaltung nicht dem Grundsatz der Datenminimierung (Art. 5 Abs. 1 Buchstabe c DSGVO). Die Klägerin musste auch nicht mit einer Übermittlung ihrer Daten an die AKG rechnen. Die Verarbeitung betraf Personaldaten der Klägerin, die grundsätzlich vertraulich zu behandeln sind. Die Datenübermittlung war auch - jedenfalls bis zur Löschung der Daten durch die AKG - geeignet, sich für die Klägerin nachteilig auszuwirken. Ergänzend wird auch bezüglich dieser Aspekte auf die obigen Ausführungen Bezug genommen.

(3) Die Berufungskammer hat auch berücksichtigt, dass die Beklagte mit Schreiben vom 16.01.2020 – und damit wenige Tage vor dem am 22.01.2020 stattfindenden Termin vor dem Landgericht Bochum – einen Versuch unternommen hat, die streitgegenständliche Datenübermittlung im Nachhinein zu legitimieren. Sie übersandte der Klägerin eine „Information und Einverständniserklärung zur Verarbeitung ihrer Beschäftigtendaten“ mit dem Ziel, dass die Klägerin ihr schriftliches Einverständnis zur Übermittlung von Daten an die AKG geben würde. Dabei hat die Beklagte der Klägerin jedoch keine vollständige Wahlfreiheit im Hinblick auf die Erteilung einer Einwilligung eingeräumt, sondern mitgeteilt, dass die Klägerin ihre Zielvereinbarung für das Jahr 2020 (erst) erhalten würde, wenn sie die beigefügte Einverständniserklärung unterzeichnet an die Personalabteilung zurückgegeben hätte. Ein solches Vorgehen steht im Widerspruch zu Art. 7 Abs. 4 DSGVO. Die Klägerin hat gemäß § 2 Abs. 3 des Arbeitsvertrags einen Anspruch auf eine jährliche Zielvereinbarung. Die von der Beklagten verlangte Einwilligungserklärung war für den Abschluss der Zielvereinbarung nicht erforderlich und stand mit dieser in keinem Zusammenhang.

(4) Zugunsten der Beklagten war zu berücksichtigen, dass sie Maßnahmen zum Schutz der personenbezogenen Daten der Klägerin ergriffen hat. Einer ersten Aufforderung zur Datenübermittlung hat sich der Personalleiter der Beklagten E. mit E-Mail vom 22.01.2019 unter Hinweis auf datenschutzrechtliche Bedenken widersetzt. In der Folge wurde ein Rechtsgutachten eingeholt, um die Rechtslage klären zu lassen. Vor der Datenübermittlung wurde erörtert, wer Zugriff auf die Daten erhalten sollte, was sich unter anderem aus der E-Mail der MKSG vom 17.01.2019 (Bl. 65 GA) ergibt. Für die Datenübermittlung innerhalb des Konzerns bestand auch grundsätzlich ein berechtigtes Interesse. Eine Weitergabe der Daten an externe Dritte außerhalb des Konzerns ist nicht erfolgt. Es handelte sich um eine einmalige Datenübermittlung. Es ist nicht erkennbar, dass aus ihr konkrete nachteilige Folgen materieller Art für die Klägerin resultieren. Die Berufungskammer hat allerdings auch berücksichtigt, dass die wenn auch nur einmalige Datenübermittlung dauerhafte, auch nachteilige Auswirkungen für die Klägerin hätte haben können (s.o.). Dass derartige Auswirkungen zukünftig nicht eintreten werden, beruht nicht auf einem Verhalten der Beklagten, sondern auf dem Umstand, dass die AKG gerichtlich zur Löschung der Daten verurteilt wurde.

(5) Die Berufungskammer hat beachtet, dass die AKG im Hinblick auf die im Anschluss an die Übermittlung erfolgte Speicherung und Nutzung der personenbezogenen Daten der Klägerin durch das rechtskräftige Urteil des OLG Hamm vom 31.08.2021 zur Zahlung eines Schadensersatzes gemäß Art. 82 Abs. 1 DSGVO iHv. 4000,00 € verurteilt worden ist. Im vorliegenden Verfahren war allein der immaterielle Schaden der Klägerin zu bemessen, der durch die Datenübermittlung an die AKG entstanden ist.

(6) Unter Berücksichtigung der vorgenannten Aspekte und aller weiteren Umstände des vorliegenden Streitfalls, welche die Berufungskammer bei ihrer Entscheidung ebenfalls berücksichtigt hat, hält sie einen Schadensersatz iHv. 2.000,00 € für angemessen. Nach Überzeugung der Berufungskammer erhält die Klägerin damit einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden, der gleichzeitig gegenüber der Beklagten eine abschreckende Wirkung entfaltet.

g) Die Beklagte haftet allein und nicht gemeinsam mit der AKG als Gesamtschuldner. Eine gesamtschuldnerische Haftung kommt nach Art. 82 Abs. 4 DSGVO nur bei der Beteiligung mehrerer Verantwortlicher an „derselben Verarbeitung“ in Betracht. Hier liegen mit der Übermittlung der Daten durch die Beklagte einerseits und der Speicherung und Nutzung der Daten durch die AKG andererseits zwei unterschiedliche Verarbeitungsvorgänge iSd. Art. 4 Nr. 2 DSGVO mit jeweils unterschiedlichen Verantwortlichen vor. Das in zweiter Instanz durch das OLG Hamm entschiedene Verfahren der Klägerin gegen die AKG betraf nicht den hier streitgegenständlichen Verarbeitungsvorgang, sondern ausschließlich die Speicherung und Nutzung der Daten durch die AKG.

Den Volltext der Entscheidung finden Sie hier:

OLG Düsseldorf
Urteil vom 28.10.2021
16 U 275/20

Das OLG Düsseldorf hat dem Betroffenen in diesem Fall Schadensersatz aus Art. 82 Abs. 1 DSGVO in Höhe von 2.000 EURO zugesprochen. Die Krankenkasse des Betroffenen hatte die Gesundheitsakte an eine falsche E-Mail-Adresse geschickt. Die Gesundheitsakte war dabei auch nicht verschlüsselt.

Aus den Entscheidungsgründen:

Die zulässige Leistungsklage ist jedoch in der Hauptsache nur im Umfang von 2.000,- € auch begründet.

aa) Aufgrund der vom Zeugen A. an die falsche E-Mail-Adresse versandten Gesundheitsakte der Klägerin hat diese gegen die Beklagte infolge eines durch den fehlerhaften Versand erlittenen immateriellen Schadens einen Anspruch auf Schadensersatz aus Art. 82 Abs. 1 DSGVO. Gemäß Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen die Verordnung ein immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen. Verantwortlich im Sinne von Art. 4 Nr. 7 DSGVO für die Verarbeitung der Gesundheitsdaten der Klägerin ist die Beklagte als deren gesetzliche Krankenkasse.

(1) Es kann dahinstehen, ob Art. 82 Abs. 1 DSGVO für das sozialrechtliche Rechtsverhältnis zwischen der Klägerin und der Beklagten unmittelbar gilt. So kann die sachliche Anwendbarkeit der DSGVO gemäß Art. 2 Abs. 2 a) DSGVO zweifelhaft sein, weil zwar Art. 16 Abs. 2 Satz 1 AEUV eine Gesetzgebungskompetenz der Europäischen Union für den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten begründet, zugleich aber Art. 168 Abs. 7 Satz 1 AEUV die Verantwortung der Mitgliedstaaten für die Festlegung ihrer Gesundheitspolitik und für die Organisation des Gesundheitswesens und die medizinische Versorgung unberührt lässt. Selbst wenn die DSGVO auf das Rechtsverhältnis der Klägerin zu ihrer gesetzlichen Krankenkasse nicht unmittelbar anwendbar sein sollte, so wären ihre Vorschriften gemäß § 35 Abs. 2 Satz 2 SGB I jedenfalls entsprechend anzuwenden (siehe BSG, Urteile vom 20. Januar 2021 – B 1 KR 7/20 R, juris, Rn. 25-28, vom 8. Oktober 2019 – B 1 A 3/19 R, juris, Rn. 37, und vom 18. Dezember 2018 – B 1 KR 40/17 R, juris, Rn. 29) und zwar auch auf Datenverarbeitungsvorgänge, welche nicht den Voraussetzungen von Art. 2 Abs. 1 DSGVO entsprechen (vgl. Schifferdecker, in: Kasseler Kommentar Sozialversicherungsrecht, Stand: 114. EL Mai 2021, § 35 SGB I Rn. 86: „Datensammlung auf Notizzettel“). Dadurch wird sichergestellt, dass sämtliche Tätigkeitsbereiche, in denen Sozialdaten verarbeiten werden, demselben datenschutzrechtlichen Regime unterliegen (Greiner, in: Knickrehm/Kreikebohm/Waltermann, Kommentar zum Sozialrecht, 7. Aufl., § 35 SGB I Rn. 3).

(2) Art. 82 Abs. 1 DSGVO, auf den die Klägerin ihr Klagebegehren stützt, ist auch nicht deshalb unanwendbar, weil es bei der von der Beklagten an das falsche E-Mail-Konto versandten Gesundheitsakte um eine Verbreitung personenbezogener Daten geht, die den Schutzbereich des allgemeinen Persönlichkeitsrechts betreffen.

Nach Auffassung des Senats ist die ungewollte Preisgabe von Daten, über die hier zu befinden ist, dem Recht auf informationelle Selbstbestimmung als eigenständigem Teilgehalt des allgemeinen Persönlichkeitsrechts zuzuordnen. Davon zu unterscheiden ist die sichtbare Verbreitung bestimmter Informationen im öffentlichen Raum als Ergebnis eines Kommunikationsprozesses, die den äußerungsrechtlichen Ausprägungen des allgemeinen Persönlichkeitsrechts zuzuordnen ist (siehe BVerfG, Beschluss vom 6. November 2019 – 1 BvR 16/13, juris, Rn. 79-91; Senatsbeschlüsse vom 16. März 2021 – I-16 U 317/20, und vom 16. Februar 2021 – I-16 U 269/20, juris, Rn. 7). Dies zugrunde gelegt, steht eine Eröffnung des Schutzbereichs des allgemeinen Persönlichkeitsrechts aus Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG der Anwendung des Art. 82 Abs. 1 DSGVO hier nicht entgegen, weil es in seiner Ausprägung als Recht auf informationelle Selbstbestimmung betroffen ist, dessen Schutz die datenschutzrechtlichen Regelungen der DSGVO dienen. In der auf einem Schreib- oder Tippfehler beruhenden Versendung der Gesundheitsakte an ein falsches E-Mail-Postfach liegt eine schlichte Preisgabe von Daten ohne ein kommunikatives Ziel. Dies gilt zumal im Hinblick auf den Inhaber des E-Mail-Postfachs, an den die Akte nicht versandt werden sollte. Mit einem Kommunikationsprozess hat die versehentliche Datenpreisgabe nur peripher insofern zu tun, als ihr ein Telefongespräch zwischen der Klägerin und dem Zeugen A. vorausgegangen ist. Für die Eröffnung des Schutzbereichs des allgemeinen Persönlichkeitsrechts in seiner äußerungsrechtlichen Ausprägung reicht das indes nicht aus.

(3) In dem Versand der E-Mail mit der Gesundheitsakte der Klägerin an das falsche E-Mail-Postfach liegt ein Verstoß gegen die DSGVO. Eine Datenverarbeitung, zu der gemäß Art. 4 Nr. 2 DSGVO auch die Offenlegung durch Übermittlung gehört, ist nach der DSGVO nur rechtmäßig, wenn die betroffene Person gemäß Art. 6 Abs. 1 Satz 1 lit. a) DSGVO ihre Einwilligung zu der Verarbeitung gegeben hat oder eine der übrigen in Art. 6 Abs. 1 Satz 1 DSGVO normierten Rechtmäßigkeitsvoraussetzungen vorliegt. Dies ist hier im Hinblick auf den Versand der E-Mail mit der ihr angefügten Gesundheitsakte der Klägerin an die E-Mail-Adresse „B2@fff.de“ jeweils nicht der Fall (siehe für eine vergleichbare Konstellation auch LG Darmstadt, Urteil vom 26. Mai 2020 – 13 O 244/19, juris, Rn. 43 ff.). Die Klägerin hat in die Übersendung an dieses fremde E-Mail-Postfach nicht eingewilligt und es liegen auch keine anderen normierten Rechtmäßigkeitsvoraussetzungen für diese Übersendung vor.

(4) Weitere Datenschutzverstöße zulasten der Klägerin lassen sich hingegen nicht feststellen.

(a) Die vom Landgericht angenommene Verletzung des Art. 32 DSGVO ist nicht zu bejahen. Anders als das Landgericht vermag der Senat aus dem Fehler beziehungsweise Fehlverhalten eines einzelnen Mitarbeiters nicht den Rückschluss zu ziehen, dass die Beklagte kein nach Art. 32 DSGVO ausreichendes Datenschutzniveau implementiert hatte. Weitere für einen solchen Schluss notwendige Anknüpfungstatsachen hat die insoweit darlegungs- und beweisbelastete Klägerin weder ausreichend vorgetragen noch unter Beweis gestellt.

(b) Soweit das Landgericht zudem als einen Datenschutzverstoß der Beklagten beanstandet, dass der Zeuge A. die E-Mail unverschlüsselt und mit unverschlüsselter bzw. nicht pseudonymisierter Gesundheitsakte als Anhang versandt hat, überzeugt auch das nicht. Ein Datenschutzverstoß durch diese Form der Versendung liegt aufgrund einer Einwilligung der Klägerin nach Art. 6 Abs. 1 Satz 1 lit. a) DSGVO nicht vor. Eine Einwilligung ist nach Art. 4 Nr. 11 DSGVO jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Diese Voraussetzungen liegen hier vor.

(aa) Die Klägerin hat unmissverständlich zum Ausdruck gebracht, dass sie mit der Übersendung der Gesundheitsakte per E-Mail einverstanden ist. Im Verlauf des Gesprächs mit dem Zeugen A. teilte sie dem Zeugen ihre E-Mail-Adresse mit. Das konnte dieser nicht anders verstehen und kann auch objektiv nicht anders verstanden werden, als dass die Klägerin die Gesundheitsakte schließlich doch per E-Mail übersandt erhalten wollte. Dabei musste ihr zugleich klar sein, dass diese Übersendung weder verschlüsselt noch in pseudonymisierter Form erfolgen würde. Über solche besonderen Formen der Versendung hatte die Klägerin mit dem Zeugen nicht gesprochen. Entsprechende Wünsche hatte sie nicht geäußert. Ein für die Entschlüsselung notwendiges Passwort war nicht ausgetauscht worden.

(bb) Der wirksamen Einwilligung steht nicht deren fehlende Freiwilligkeit entgegen. Freiwilligkeit wäre zu verneinen, wenn die Erklärung entgegen Erwägungsgrund 42 Satz 5 DSGVO von der Klägerin unter Druck oder Zwang abgegeben worden wäre (vgl. Schulz, in: Gola, DS-GVO, 2. Aufl., Art. 7 Rn. 21). Das war hier indes nicht der Fall. Die Klägerin hatte ungeachtet des nachdrücklichen Werbens des Zeugin A. für den von ihm favorisierten E-Mail-Versand die Möglichkeit, auch ihm gegenüber auf einem Postversand zu bestehen. Sie musste sich der von ihm favorisierten Lösung nicht beugen. Wie sie im Rahmen ihrer informatorischen Anhörung durch den Senat bekundet hat, hatte der Zeuge, der überdies nicht mehr als ein erster Ansprechpartner der Beklagten in der Servicehotline war, den Postversand nicht per se ausgeschlossen. Er hatte nur darauf hingewiesen, dass dieser nicht mehr bis Weihnachten möglich sei. Den sich für die Klägerin aus den nahenden Weihnachtsfeiertagen ergebenden zeitlichen Druck kann sie der Beklagten jedoch nicht entgegenhalten. Diesen hatte sie selbst zu verantworten, weil sie nach dem Gespräch mit dem Versicherungsmakler am 27. November 2018 erst am 14. Dezember 2018 Kontakt zur Beklagten aufgenommen hatte. Es lässt sich auch nicht feststellen, dass die Erklärung des Zeugen A. zur Dauer des Postversands unzutreffend war. Aus dem späteren sehr kurzfristigen Postversand der Gesundheitsakte an die Klägerin ergibt sich nichts anderes. Dieser fand unter besonderen Umständen statt, weil er in die Zeit nach Bekanntwerden des Datenschutzverstoßes zulasten der Klägerin fiel. Es ist nicht auszuschließen, dass die Beklagte die Klägerin ab diesem Zeitpunkt zuvorkommend behandelt und ihre Abläufe beschleunigt hat.

(cc) Der wirksamen Einwilligung der Klägerin steht ebenfalls nicht entgegen, dass sie diese nicht in informierter Weise erklärt hatte. Das Merkmal der Erklärung der Einwilligung in informierter Weise verlangt, dass die betroffene Person abschätzen können muss, welche Auswirkungen die Erteilung der Einwilligung für sie hat (Buchner/Kühling, in: dies., DS-GVO/BDSG, 3. Aufl., Art. 7 Rn. 59). Nach ihrer informatorischen Anhörung hat der Senat nicht die geringsten Zweifel, dass die Klägerin die Problematik und die Gefahren einer unverschlüsselten Versendung ihrer nicht pseudonymisierten Gesundheitsakte erkannt hat. Die Sensibilität der Klägerin für die Gefahren elektronischer Kommunikation wurde anhand ihrer Äußerungen im Rahmen ihrer informatorischen Anhörung sehr deutlich. Sie hat ihre Bedenken gegen die vom Zeugen A. vorgeschlagene Übermittlung, wie sie bekundet hat, schließlich aber zurückgestellt, weil ihr daran gelegen war, die Gesundheitsunterlagen bis Weihnachten zu erhalten.

(dd) Soweit das Landgericht im Zuge seiner Prüfung des Art. 32 DSGVO angenommen hat, ein Verzicht auf ein verschlüsseltes Versenden von Daten sei nach der DSGVO nicht möglich, überzeugt das im Hinblick auf die von der Klägerin erklärte Einwilligung nicht. Die Einwilligung ist ein auf der privatautonomen Entscheidung des Betroffenen beruhender Rechtfertigungstatbestand. Es widerspräche der Privatautonomie, wenn die Einwilligung nicht zu einem Verzicht auf Anonymisierungs-, Pseudonymisierungs- sowie Verschlüsselungstechniken führen könnte (siehe auch Albers/Veit, in: Wolff/Brink, BeckOK Datenschutzrecht, 37. Ed., Stand: 01.05.2020, Art. 6 DS-GVO Rn. 26).

(c) Zutreffend hat das Landgericht allerdings keinen Datenschutzverstoß in der E-Mail-Weiterleitung innerhalb der beklagten Krankenkasse gesehen, weil hierbei keine Einsichtnahme durch Dritte möglich war. Insoweit kann auf die diesbezüglich zutreffenden Gründe der angefochtenen Entscheidung Bezug genommen werden.

(5) Infolge des in dem E-Mail-Versand an das falsche E-Mail-Postfach liegenden Verstoßes gegen die Vorschriften der DSGVO hat die Klägerin einen immateriellen Schaden erlitten. Als immaterieller Schaden der Klägerin stellt sich die mit dem Verlust der Datenkontrolle verbundene seelisch belastende Ungewissheit über das Schicksal ihrer Daten dar. Dafür, dass darin ein immaterieller Schaden im Sinne von Art. 82 Abs. 1 DSGVO liegen kann, spricht nicht nur Erwägungsgrund 75 der DSGVO, wo dem Schadensbegriff auch der Verlust der Kontrolle über personenbezogene Daten zugeordnet wird. Dafür spricht auch, dass in den meisten Rechtsordnungen mit dem Begriff des immateriellen Schadens Schäden wie seelisches Leid oder Beeinträchtigungen der Lebensqualität erfasst werden (siehe Schlussanträge des Generalanwalts N. Wahl vom 25. Juli 2018 in den verbundenen Rechtssachen C-138/17 P und C-146/17 P, juris, Rn. 83) und der Europäische Gerichtshof ein vergleichbares Schadensverständnis auch für das Unionsprimärrecht vertritt. Der Gerichtshof verlangt dort zwar, dass ein Schaden tatsächlich und sicher sein muss (EuGH, Urteil vom 4. April 2017 – C-337/15, juris, Rn. 91), andererseits kann bereits ein lang anhaltender Zustand belastender Ungewissheit einen immateriellen Schaden darstellen (vgl. z.B. EuGH, Urteil vom 13. Dezember 2018 – C-138/17 u.a., juris, Rn. 61; EuG, Urteil vom 17. Dezember 1998 – T-203/96, juris, Rn. 108).

Dahinstehen kann hier, ob Voraussetzung eines Schadensersatzanspruchs nach Art. 82 Abs. 1 DSGVO ist, dass der durch den Datenschutzverstoß entstandene immaterielle Schaden ein gewisses Gewicht erreicht haben muss (siehe OLG Dresden, Beschluss vom 11. Juni 2019 – 4 U 760/19, juris, Rn. 13; siehe dazu auch OGH Österreich, Vorlagebeschluss vom 15. April 2021 – 6 Ob 35/21x = BeckRS 2021, 11950). Der der Klägerin hier entstandene immaterielle Schaden hat ausreichendes Gewicht. Sie hat nicht nur einen Bagatellschaden erlitten, der gegebenenfalls keines Ausgleichs nach Art. 82 Abs. 1 DSGVO bedürfte. Angesichts des Umfangs und der Bedeutung der Daten, über welche die Klägerin über viele Monate die Kontrolle verloren hat, und angesichts der Sorgen und Befürchtungen, unter denen sie aufgrund des Datenverlusts in dieser Zeit gelitten hat, ist eine etwaige Bagatellschwelle zweifelsfrei überschritten. Insoweit ist zu berücksichtigen, dass die DSGVO Gesundheitsdaten im Sinne von Art. 4 Nr. 15 DSGVO, wie sie hier betroffen sind, durch das grundsätzliche Verarbeitungsverbot in Art. 9 Abs. 1 DSGVO als besonders sensible Datenkategorie anerkennt. Es kommt hinzu, dass der hier betroffene Auszug aus der Gesundheitsakte der Klägerin nicht nur sehr umfangreich war, sondern auch höchst intime Gesundheitsinformationen enthielt.

bb) In der Höhe ist der dem Grunde nach hier zu bejahende Schadensersatzanspruch der Klägerin aus Art. 82 Abs. 1 DSGVO allerdings auf einen Betrag von 2.000,- € begrenzt.

(1) Für die Bemessung von Schadensersatzansprüchen nach Art. 82 Abs. 1 DSGVO enthält die DSGVO nur wenige Vorgaben. Aus dem Nebeneinander von materiellem und immateriellem Schaden folgt, dass auch solche Schäden auszugleichen sind, die sich nicht unmittelbar in Geld bemessen lassen. Nach Erwägungsgrund 146 Satz 3 sollte der Begriff des Schadens im Lichte der Rechtsprechung des Gerichtshofs zudem weit auf eine Art und Weise ausgelegt werden, die den Zielen der Verordnung in vollem Umfang entspricht. Nach Erwägungsgrund 146 Satz 6 sollten die betroffenen Personen einen vollständigen und wirksamen Schadensersatz für erlittene Schäden erhalten.

Hiernach hat sich der Schadensersatz zuvörderst an dem Ziel des Schadensausgleichs zu orientieren. Das gilt, weil die Vorschrift nicht zwischen den Schadensarten differenziert, auch im Falle immaterieller Schäden (siehe Eichelberger, WRP 2021, 159, 162 ff.). Darüber hinaus wird bei immateriellen Einbußen auch die Genugtuungsfunktion Bedeutung erlangen und als ein Umstand bei der Schadensbemessung berücksichtigt werden können, wenn die Umstände des konkreten Falles hierfür Anlass geben (vgl. auch Eichelberger, WRP 2021, 159, 165). Letztlich können – wie dies auch bei Art. 340 Abs. 2 AEUV der Fall ist (vgl. EuGH, Urteil vom 30. Mai 2017 – C-45/15 P, juris, Rn. 48) – für die Bemessung des Ersatzanspruchs für immaterielle Schäden nur die Umstände des konkreten Einzelfalls entscheidend sein. Zu berücksichtigen sein können etwa Art, Schwere und Dauer des Datenschutzverstoßes, das Verhalten des Verantwortlichen sowie die Auswirkungen des Verstoßes für den Betroffenen (siehe EuGH, Urteil vom 30. Mai 2017 – C-45/15 P, juris, Rn. 52, zu Art. 340 Abs. 2 AEUV). Solche Kriterien sind nach Art. 83 Abs. 2 Satz 2 DSGVO auch bei der Verhängung von Geldbußen für Datenschutzverstöße zu berücksichtigen. Bei der Ermittlung der danach angemessenen Art der Entschädigung und der Bestimmung des gegebenenfalls zuzuerkennenden Schadensersatzbetrags haben die Gerichte einen erheblichen Spielraum (vgl. für Art. 340 Abs. 2 AEUV Schlussanträge des Generalanwalts N. Wahl vom 25. Juli 2018 in den verbundenen Rechtssachen C-138/17 P und C-146/17 P, juris, Rn. 86), den sie nach billigem Ermessen füllen müssen (siehe für Art. 340 Abs. 2 AEUV EuG, Urteil vom 1. Februar 2017 – T-479/14, juris, Rn. 135, sowie Schlussanträge des Generalanwalts N. Wahl vom 25. Juli 2018 in den verbundenen Rechtssachen C-138/17 P und C-146/17 P, juris, Rn. 85 u. 101).

(2) Ausgehend hiervon sind hier jedenfalls die Kategorie der betroffenen personenbezogenen Daten, Art, Schwere und Dauer des Datenschutzverstoßes, die seelischen Auswirkungen bei der Klägerin, der Grad des Verschuldens, die ergriffenen Maßnahmen zur Minderung der Schadensfolgen sowie der Gesichtspunkt in den Blick zu nehmen, ob eine dauerhafte Beeinträchtigung der Herrschaft über die eigenen Daten und der seelischen Gesundheit verbleibt.

Die vorgenannten Umstände, insbesondere die psychischen Auswirkungen des Datenschutzverstoßes bei der Klägerin, sprechen in der Gesamtschau dafür, dass der ihr entstandene immaterielle Schaden nur durch eine Geldzahlung, nicht aber durch andere Maßnahmen wie etwa eine erklärte Entschuldigung vollständig ausgeglichen werden kann. Zum Ausgleich des immateriellen Schadens ist hier nach den Umständen des Falles ein Betrag von 2.000,- € angemessen, aber auch ausreichend.

(a) Von besonderer Bedeutung für die Bestimmung des angemessenen Schadensersatzbetrags ist die Natur der vom Datenschutzverstoß betroffenen Daten der Klägerin. Es handelte sich dabei nicht nur um Gesundheitsdaten, die bereits für sich genommen von besonderer Sensibilität sind, wie auch ihr datenschutzrechtlicher, berufsrechtlicher und strafrechtlicher Schutz vor unbefugter Offenbarung zeigt. Die betroffenen Gesundheitsdaten waren auch besonders umfangreich. Sie betrafen – auf rund 100 Seiten – sämtliche bei der Beklagten erfassten ärztlichen und sonstigen medizinischen Behandlungen, Therapien und Medikationen der Klägerin aus dem Zeitraum vom 1. Januar 2015 bis zum 14. Dezember 2018 einschließlich der zugehörigen Diagnosen, Leistungszeiträume und Krankschreibungen. In dem Zeitraum hat die Klägerin, eine junge, noch nicht lange berufstätige Frau, wegen unterschiedlichster Beschwerden vielfach ärztliche Hilfe in Anspruch genommen. Dies gilt auch für den gynäkologischen Bereich. In der Gesundheitsakte waren gleich mehrere gynäkologische Befundangaben verzeichnet, die Rückschlüsse auf das Sexualleben und die sexuelle Orientierung der Klägerin zuließen, deren Name und Wohnanschrift in der Akte angegeben waren.

(b) Hinsichtlich der vorgenannten Daten der Klägerin bestand ein zehnmonatiger Kontrollverlust. Erst am 14. August 2019 ist das E-Mail-Postfach, an das die Gesundheitsakte am 14. Dezember 2018 versehentlich versandt worden ist, von FFF. gelöscht worden.

(c) Von der Löschung des fremden E-Mail-Postfachs erfuhr die Klägerin aber nicht sofort, sondern erst durch einen Schriftsatz der Beklagten vom 2. Dezember 2019 im landgerichtlichen Verfahren. Aus diesem erfuhr sie auch, dass das Postfach bis zu diesem Zeitpunkt nicht mehr eingesehen worden ist. Infolgedessen war sie über einen Zeitraum von rund einem Jahr darüber im Ungewissen, ob ein Dritter von ihren Gesundheitsdaten bereits Kenntnis genommen hatte oder dies noch tun würde.

Zwar hatte die Beklagte den Prozessbevollmächtigten der Klägerin bereits mit Schreiben vom 9. Januar 2019 mitgeteilt, von FFF. die Nachricht erhalten zu haben, dass seit der schon länger zurückliegenden Einrichtung des E-Mail-Postfachs darauf kein Zugriff mehr erfolgt ist. Die Klägerin konnte aber bis zur Löschung des Postfachs nicht sicher sein, dass nicht noch ein Zugriff erfolgen würde. Auch konnte sie ungeachtet eines von der Beklagten gegenüber dem Postfachinhaber per E-Mail ausgesprochenen Verwertungsverbots hinsichtlich der Gesundheitsakte nicht sicher sein, ob sich dieser daran halten würde.

Soweit die Klägerin im nicht nachgelassenen Schriftsatz vom 6. Oktober 2021 hingegen meint, die bestehende Ungewissheit sei für sie erst mit einem Schriftsatz der Beklagten vom 6. Juli 2020 beendet gewesen, mit welchem die Beklagte mitgeteilt habe, dass an das betreffende E-Mail-Postfach keine Test-E-Mail mehr erfolgreich habe versandt werden können, folgt der Senat dem nicht. Diese Test-E-Mail der Beklagten bestätigt nur die Löschung des E-Mail-Postfachs, für die bereits der Vermerk des Zeugen E. vom 14. August 2019 sprach, der dem Schriftsatz der Beklagten vom 2. Dezember 2019 beigefügt war.

Nicht gefolgt werden kann schließlich der Ansicht der Klägerin, die Unsicherheit bestünde für sie eigentlich bis heute fort, weil nicht ausgeschlossen werden könne, dass auf dem Übermittlungsweg auf die E-Mail zugegriffen worden sei. Die daraus resultierende Ungewissheit ist für die Bemessung des Schadensersatzbetrags unbeachtlich. Das Risiko des Zugriffs auf die E-Mail auf dem Übermittlungsweg nahm die Klägerin mit ihrer Einwilligung in die Übersendung der Gesundheitsakte per E-Mail in Kauf.

(d) Der Datenschutzverstoß blieb für die Klägerin – auch dies ist für die Bemessung des Schadensersatzes von wesentlicher Bedeutung – nicht ohne psychische Folgen. Sie hat im Termin zur mündlichen Verhandlung vor dem Senat geschildert, wie sie die Ungewissheit über den Verbleib der Daten seelisch belastet hat. Dabei war die Belastung in den ersten Tagen nach dem 14. Dezember 2018 besonders hoch, als das Schicksal der Gesundheitsakte noch weitestgehend unklar war. Die Reaktion der Beklagten auf das Anliegen der Klägerin war am 17. Dezember 2018 und auch darüber hinaus zunächst schleppend, erst mit Schreiben vom 9. Januar 2019 teilte sie den Prozessbevollmächtigten der Klägerin, die am 20. Dezember 2018 mandatiert worden waren, den bis dahin ermittelten Sachstand geordnet mit. Immerhin konnte sich die Klägerin mit Erhalt dieses Schreibens vom 9. Januar 2019 schwache Hoffnungen machen, dass der Inhalt ihrer Gesundheitsakte vielleicht doch nicht von unbefugten Dritten zur Kenntnis genommen werden würde. Nach den von der Beklagten bis dahin eingeholten Erkundigungen, deren Ergebnis sie mit dem Schreiben mitteilte, war das E-Mail-Postfach seit Errichtung nicht aktiv genutzt worden.

(e) Bei der Bemessung des Schadensersatzes ist ferner der Umstand zu berücksichtigen, dass der fehlerhafte Versand auf einem lediglich fahrlässigen Verhalten des Zeugen A. beruhte. Die Beklagte war nach dem Ergebnis der landgerichtlichen Beweisaufnahme zudem bemüht, die verlorenen Daten zurückzuerlangen beziehungsweise deren Weiterverbreitung zu verhindern. Im Schreiben vom 9. Januar 2019 hat sie auch ihr Bedauern über den Vorfall zum Ausdruck gebracht. Allerdings hat sie einen Schadensersatzanspruch der Klägerin im Prozess gleichwohl bis zuletzt in Abrede gestellt.

(f) In der Höhe begrenzend wirkt sich bei der Bemessung des Schadensersatzanspruchs schließlich in besonderem Maße aus, dass es bei einem zeitweisen Kontrollverlust über die Gesundheitsdaten verblieben ist. Zu einer Kenntnisnahme der Daten durch Dritte oder einer Weiterverbreitung oder gar Veröffentlichung ist es nicht gekommen. Die fehlgeleitete E-Mail und ihr Anhang sind bis zur Löschung des E-Mail-Postfachs am 14. August 2019 vom Postfachinhaber nicht mehr zur Kenntnis genommen worden. Die berechtigten Sorgen der Klägerin haben sich letztlich als unbegründet herausgestellt. Nachdem sie hiervon erfahren hatte, bestand auch kein Anlass, sich deswegen noch länger seelisch belastet zu fühlen. Eine etwaige Einsichtnahme in die Daten auf dem Übermittlungsweg, für die im Übrigen nichts spricht, hat aus dem bereits dargelegten Grund unberücksichtigt zu bleiben.

(g) Der Senat hat schließlich keinen Anlass, den Schadensersatzbetrag im Hinblick auf eine damit zu erzielende abschreckende Wirkung gesondert zu erhöhen. Ob einem nach Art. 82 Abs. 1 DSGVO zuzusprechenden Schadensersatzbetrag per se eine abschreckende Wirkung zukommen muss, wie teilweise vertreten wird, hält der Senat für zweifelhaft (wie hier Eichelberger, WRP 2021, 159, 163). Letztlich kann dies hier aber dahinstehen, weil dem der Klägerin zugesprochenen Schadensersatzbetrag jedenfalls auch eine ausreichend präventive Wirkung zukommt.

cc) Eine Minderung des Schadensersatzbetrags nach § 254 Abs. 1 BGB, für welche die Beklagte plädiert, kommt nach den für den Senat bindenden tatsächlichen Feststellungen des Landgerichts nicht in Betracht. Die Beklagte kann mit ihrem erstmals in der Berufungsinstanz gehaltenen Sachvortrag, die Klägerin habe dem Zeugin A. die falsche E-Mail-Adresse angegeben, gemäß § 531 Abs. 2 Satz 1 Nr. 3 ZPO nicht mehr gehört werden. Es beruht auf Nachlässigkeit, dass die Beklagte diesen Vortrag nicht schon in erster Instanz gehalten hat. Auch darüber hinaus bestehen keine ausreichenden Anhaltspunkte, die ein relevantes Mitverschulden der Klägerin an dem fehlerhaften E-Mail-Versand an die falsche E-Mail-Adresse begründen könnten.

Den Volltext der Entscheidung finden Sie hier:

LG München
Urteil vom 20.01.2022
3 O 17493/20

Das LG München hat entschieden, dass der Besucher einer Website gegen den Websitebetreiber einen Unterlassungsanspruch aus §§ 1004, 823 BGB sowie einen Anspruch auf 100 EURO Schadensersatz aus Art. 82 DSGVO wegen der Verwendung von Google Fonts in der Variante, bei der eine Übermittlung von IP-Daten an Google erfolgt, hat.

Auch wir raten unseren Mandanten seit Jahren entweder auf Google Fonts komplett zu verzichten oder in der Variante zu verwenden, bei der keine IP-Daten-Übermittlung an Google erfolgt und die Schriftarten auf dem eigenen Server hinterlegt werden.

Aus den Entscheidungsgründen:

Der Kläger hat gegen die Beklagte einen Anspruch auf Unterlassung der Weitergabe von IP-Adressen des Klägers an Google aus § 823 Abs. 1 i.V.m. § 1004 BGB analog.

Die unerlaubte Weitergabe der dynamischen IP-Adresse des Klägers durch die Beklagte an Google stellt eine Verletzung des allgemeinen Persönlichkeitsrechtes in Form des informationellen Selbstbestimmungsrechts nach § 823 Abs. 1 BGB dar. Das Recht auf informationelle Selbstbestimmung beinhaltet das Recht des Einzelnen, über die Preisgabe und Verwendung seiner personenbezogenen Daten zu bestimmen.

1. Bei der von der Beklagten an Google weitergegebenen dynamischen IP-Adresse handelt es sich um ein personenbezogenes Datum im Sinne von § 12 Abs. 1 und 2 TMG (in der zum Übermittlungszeitraum geltenden Fassung, im weiteren alte Fassung), § 3 Abs. 1 BDSG, Art. 4 Nr. 1 DS-GVO.

Die dynamische IP-Adresse stellt für einen Webseitenbetreiber ein personenbezogenes Datum dar, denn der Webseitenbetreiber verfügt abstrakt über rechtliche Mittel, die vernünftigerweise eingesetzt werden könnten, um mithilfe Dritter, und zwar der zuständigen Behörde und des Internetzugangsanbieters, die betreffende Person anhand der gespeicherten IP-Adressen bestimmen zu lassen (BGH, Urteil vom 16.05.2017 - VI ZR 135/13). Dabei reicht es aus, dass für die Beklagte die abstrakte Möglichkeit der Bestimmbarkeit der Personen hinter der IP-Adresse besteht. Darauf, ob die Beklagte oder Google die konkrete Möglichkeit hat, die IP-Adresse mit dem Kläger zu verknüpfen, kommt es nicht an.

2. Die Beklagte verletzte das Recht des Klägers auf informationelle Selbstbestimmung, indem die Beklagte die dynamische IP-Adresse an Google weiterleitete, als der Kläger die Webseite der Beklagten aufrief.

Die automatische Weitergabe der IP-Adresse durch die Beklagte an Google war ein nach dem Datenschutzrecht unzulässiger Eingriff in das allgemeine Persönlichkeitsrecht des Klägers, da der Kläger unstreitig in diesem Eingriff nicht gemäß § 13 Abs. 2 TMG a.F., Art. 6 Abs. 1 a) DSGVO eingewilligt hat.

3. Es liegt auch kein Rechtfertigungsgrund für den Eingriff in das allgemeine Persönlichkeitsrecht vor. Ein berechtigtes Interesse der Beklagten i.S.d. Art. 6 Abs. 1 f) DS-GVO, wie von ihr behauptet, liegt nicht vor, denn Google Fonts kann durch die Beklagte auch genutzt werden, ohne dass beim Aufruf der Webseite eine Verbindung zu einem Google-Server hergestellt wird und eine Übertragung der IP-Adresse der Webseitennutzer an Google stattfindet.

4. Der Kläger war auch nicht verpflichtet, vor dem Aufrufen der Webseite der Beklagten seine eigene IP-Adresse zu verschlüsseln. Dies vom Kläger zu verlangen, würde dem Zweck des hier betroffenen Datenschutzrechtes, welches in erster Linie den Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten vor Beeinträchtigung bezweckt, zuwiderlaufen, sondern diesen vielmehr umkehren, da durch eine solche Verpflichtung der Rechteinhaber bei der Ausübung seiner schützenswerten Rechte eingeschränkt werden würde {LG Dresden, Urteil vom 11.01.2019, Aktenzeichen 1 AO 1582/18).

5. Wiederholungsgefahr ist zu bejahen. Unstreitig wurde die IP-Adresse des Klägers bei Besuchen des Klägers auf der Webseite der Beklagten an Google weitergeleitet. Vorangegangene rechtswidrige Beeinträchtigungen begründen eine tatsächliche Vermutung für die Wiederholungsgefahr, die durch die Beklagte nicht widerlegt wurde. Die Wiederholungsgefahr wird nicht dadurch ausgeräumt, dass die Beklagte mittlerweile Google Fonts so benutzt, dass eine Kundgabe der IP-Adresse der Webseitenbesucher an Google nicht mehr stattfindet. Die Wiederholungsgefahr kann lediglich durch eine strafbewehrte Unterlassungserklärung beseitigt werden.

II. Der Auskunftsanspruch des Klägers folgt aus Art. 15, Art. 4 Nr. 2 DS-GVO.

III. Dem Kläger steht ein Schadensersatzanspruch aus Art. 82 Abs. 1 DS-GVO zu. Der Begriff des Schadens i.S.d. Art. 82 DS-GVO ist nach dem Erwägungsgrund 146 S. 3 dabei weit auszulegen. Die Auslegung soll den Zielen dieser Verordnung in vollem Umfang entsprechen, auch dem Ziel der Sanktion und Prävention (BeckOK Datenschutzrecht, Wolff/Bring, 38. Edition, DS-GVO Art. 82, Rn. 24). Ausreichend ist gern. Art. 82 Abs. 1 DS-GVO dabei auch ein immaterieller Schaden. Ob eine Erheblichkeitsschwelle erreicht bzw. überschritten sein muss und so genannte Bagatellschäden auszuschließen sind, ist umstritten (vgl. BVerfG NJW 2021, 1005,Rz. 20 m.w.N.; Kohn ZD 2019, 498 (501); Paal MMR 2020, 14 (16)), kann aber im hiesigen Fall dahingestellt bleiben. Die Beklagte räumt ein, dass sie vor der Modifizierung ihrer Webseite bei den Besuchen des Klägers auf ihrer Webseite dessen IP-Adresse an Google übermittelt hat. Die Übermittlung der IP-Adresse erfolgte damit nicht nur einmalig. Der damit verbundene Eingriff in das allgemeine Persönlichkeitsrecht ist im Hinblick auf den Kontrollverlust des Klägers über ein personenbezogenes Datum an Google, ein Unternehmen, das bekanntermaßen Daten über seine Nutzer sammelt und das damit vom Kläger empfundene individuelle Unwohlsein so erheblich, dass ein Schadensersatzanspruch gerechtfertigt ist. Berücksichtigt werden muss dabei auch, dass unstreitig die IP-Adresse an einen Server von Google in den USA übermittelt wurde, wobei dort kein angemessenes Datenschutzniveau gewährleistet ist (vgl. EuGH, Urteil vom 16.7.2020 - C-311/18 (Facebook Ireland u. Schrems), NJW 2020, 2613) und die Haftung aus Art. 82 Abs. 1 DS-GVO präventiv weiteren Verstößen vorbeugen soll und Anreiz für Sicherungsmaßnahmen schaffen soll. Die Hohe des geltend gemachten Schadensersatzes ist im Hinblick auf die inhaltliche Schwere und Dauer der Rechtsverletzung angemessen und wird von der Beklagten auch nicht angegriffen.

Den Volltext der Entscheidung finden Sie hier:

OLG Karlsruhe
Urteil vom 14.12.2021
24 U 19/21

Das OLG Karlsruhe hat entschieden, dass ein unzulässige Diskriminierung vorliegt, wenn ein Online-Shop seinen Kunden die Auswahl einer nichtbinären Geschlechtsidentität nicht ermöglicht. Das Gericht führt weiter aus, dass insoweit keine schwerwiegende Verletzung des allgemeinen Persönlichkeitsrechts vorliegt, so dass kein Schmerzensgeldanspruch besteht.

Die Pressemitteilung des Gerichts:

Unerlaubte Diskriminierung durch Auswahlmöglichkeit von nur zwei Geschlechtern beim Online-Shopping – aber kein Entschädigungsanspruch

Eine Person nichtbinärer Geschlechtsidentität, die beim „Online-Shopping“ nur zwischen den Anreden „Frau“ oder „Herr“ auswählen kann, wird unter Verstoß gegen das Allgemeine Gleichbehandlungsgesetz wegen des Geschlechts benachteiligt und in ihrem Allgemeinen Persönlichkeitsrecht verletzt. Ein Anspruch auf Entschädigung eines deswegen geltend gemachten immateriellen Schadens besteht jedoch nicht, weil die festgestellte Diskriminierung im konkreten Fall nicht die dafür erforderliche Intensität erreichte. Mit dieser Begründung hat der 24. Zivilsenat des Oberlandesgerichts Karlsruhe mit Urteil vom 14. Dezember 2021 einer Berufung gegen ein klageabweisendes Urteil des Landgerichts Mannheim keine Folge gegeben.

Die klagende Person, in deren Personenstandsdaten beim Standesamt „keine Angabe“ unter der Rubrik „Geschlecht“ eingetragen ist, hatte im Herbst 2019 auf der Website des beklagten Bekleidungsunternehmens verschiedene Kleidungsstücke bestellt. Für die Registrierung und den Kauf war eine Auswahl zwischen den beiden Anreden „Frau“ oder „Herr“ erforderlich. Eine dritte Auswahl gab es zum damaligen Zeitpunkt nicht. Die getätigten Käufe wurden unter der Anrede „Herr“ bestätigt.

Die klagende Person macht aufgrund dieses Sachverhalts eine Entschädigung in Geld in Höhe von jedenfalls 2.500 Euro sowie einen Unterlassungsanspruch geltend. Damit hatte sie aber weder außergerichtlich noch vor dem Landgericht Mannheim Erfolg. Dessen klageabweisendes Urteil vom 7. Mai 2021 hat das Oberlandesgericht Karlsruhe jetzt im Ergebnis bestätigt.

Nach den Ausführungen des 24. Zivilsenats liegt zwar eine nach dem Allgemeinen Gleichbehandlungsgesetz verbotene unmittelbare Benachteiligung der klagenden Person wegen des Geschlechts bei der Begründung eines zivilrechtlichen Schuldverhältnisses im Rahmen eines sog. Massengeschäfts vor. Die klagende Person konnte – anders als eine Person mit männlichem oder weiblichem Geschlecht – den Kaufvorgang nicht abschließen, ohne im dafür vorgesehenen Feld eine Angabe zu machen, die der eigenen geschlechtlichen Identität nicht entspricht. Hierdurch wurde zugleich das Allgemeines Persönlichkeitsrecht der klagenden Person in seiner Ausprägung des Schutzes der geschlechtlichen Identität verletzt.

Ansprüche auf Unterlassung oder eine Entschädigung in Geld können aufgrund der konkreten Gestaltung des Einzelfalls jedoch nach den weiteren Ausführungen des Senats nicht mit Erfolg geltend gemacht werden.

Ein Anspruch auf Unterlassung besteht mangels einer dafür erforderlichen Wiederholungsgefahr nicht. Zwischenzeitlich hat das beklagte Unternehmen im Anredefeld neben den Bezeichnungen „Frau“ und „Herr“ die Auswahlmöglichkeit „Divers/keine Anrede“ aufgenommen. Sie hat damit eine geschlechtsneutrale Anrede für die Zukunft sichergestellt. Die klagende Person wird bei der Auswahl dieses Feldes nur noch mit der Höflichkeitsform „Guten Tag [Vorname Nachname]“ angesprochen. Ihr wird nicht mehr zugemutet, sich mit der Wahl einer geschlechtsspezifischen Anrede einer Identität zuzuordnen, die der eigenen nicht entspricht. Deshalb sowie nach den weiteren Umständen des Streitfalles sind weitere Verletzungen des Benachteiligungsverbots nicht mehr ernsthaft zu erwarten.

Auch ein Anspruch auf Zahlung einer Entschädigung in Geld steht der klagenden Person nicht zu. Nicht jede Berührung des Allgemeinen Persönlichkeitsrechts löst einen Anspruch auf Geldentschädigung aus. Dafür erforderlich ist vielmehr eine schwerwiegende Verletzung des Benachteiligungsverbots, die eine gewisse Intensität der Herab- und Zurücksetzung erreicht. Diese Voraussetzungen liegen im vorliegend zu entscheidenden Einzelfall jedoch nicht vor. Die Benachteiligung wurde nur im privaten Bereich und nicht in der Öffentlichkeit vorgenommen; sie wiegt deshalb weniger schwer. Der Grad des Verschuldens der Beklagten ist gering. Ihr kam es ersichtlich nicht darauf an, einer kaufinteressierten Person eine Angabe zu ihrer geschlechtlichen Zuordnung abzuverlangen; Zweck der vorzunehmenden Auswahl war lediglich, eine im Kundenverkehr übliche korrekte Anrede der bestellenden Person im Rahmen der weiteren Abwicklung des Massengeschäfts zu ermöglichen. Zudem hat sich die Beklagte bereits auf eine erste Beschwerde der klagenden Person hin bemüht, deren Anliegen durch eine Änderung des Internetauftritts Rechnung zu tragen.

Die Entscheidung ist rechtskräftig.

Oberlandesgericht Karlsruhe, Urteil vom 14.12.2021, Aktenzeichen: 24 U 19/21
Vorinstanz: Landgericht Mannheim, Urteil vom 7.5.2021, Aktenzeichen: 9 O 188/20

LAG Hessen
Urteil vom 18.10.2021
16 Sa 380/20

Das LAG Hessen hat in diesem Fall entschieden, dass Arbeitnehmer einen Anspruch gegen seinen Arbeitgeber auf Zahlung von 1.500 EURO Schadensersatz aus Art. 82 Abs. 1 DSGVO wegen unberechtigter Observation durch einen Detektiv hat.

Aus den Entscheidungsgründen:

Der Kläger kann von der Beklagten Zahlung von 1.500€ nebst Zinsen in Höhe von 5 Prozentpunkten über dem Basiszinssatz seit 4. Dezember 2019 verlangen.

Nach Art. 82 Absatz 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

Verantwortlicher ist gemäß Art. 4 Nr. 7 EU-DSGVO die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Bei einer Aktiengesellschaft ist dies der Vorstand (Schild, BeckOK Datenschutzrecht, Wolff/Brink, DSGVO Art. 4 Rn. 89).

Anspruchsberechtigt ist der Kläger als natürliche Person.

Zu ersetzen sind sowohl materielle als auch immaterielle Schäden. Gerade bei immateriellen Schäden ist die Rechtsprechung des EuGH zu berücksichtigen, dass der geschuldete Schadensersatz „eine wirklich abschreckende Wirkung“ haben muss (EuGH Urt. v. 17.12.2015 – C-407/14, EuZW 2016, 183, 184). Die bisherige deutsche Rechtsprechung, die immateriellen Schadensersatz überhaupt nur bei schwerwiegenden Persönlichkeitsrechtsverletzungen zugesprochen hat, was auch der ausdrücklichen Regelung in § 8 Abs. 2 BDSG aF entspricht, ist nicht mehr anwendbar. Da der Begriff des Schadens in Art. 82 DSGVO ein europarechtlicher ist, darf nicht auf nationale Erheblichkeitsschwellen oder andere Einschränkungen abgestellt werden. Einen Ausschluss vermeintlicher Bagatellschäden sieht das Gesetz nicht vor (Kühling/Buchner – Ct, DS-GVO BDSG, 3. Auflage, Art. 82 DS-GVO Rn. 18a).

Ein immaterieller Schaden kann in einer unzulässigen Observierung durch eine Detektei bestehen (Kühling/Buchner – Ct, a.a.O., Rn. 18c; Däubler/Wedde/Weichert/Sommer, EU-DSGVO und BDSG, 2. Auflage, Art. 82 DSGVO Rn. 16; BAG 19. Februar 2015 – 8 AZR 1007/13 – Rn. 23).

Der Verantwortliche haftet für jede „nicht dieser Verordnung entsprechende Verarbeitung“ (Art. 82 Abs. 2 S. 1 DSGVO), solange diese kausal für den Schaden ist. Der Begriff der Beteiligung ist weit zu verstehen, sodass insbesondere die letztlich schädigende Handlung nicht von dem in Anspruch genommenen Verantwortlichen ausgegangen sein muss (Kühling/Buchner – Ct, a.a.O., Rn.23).

Die Observation des Klägers einschließlich personenbezogener Datenerhebung war rechtswidrig. Ein berechtigtes Interesse der Beklagten nach § 26 Abs. 1 S. 2 BDSG, das in der Aufdeckung einer Straftat im Beschäftigungsverhältnis liegen kann, zur Erhebung personenbezogener Daten im Wege der Observation des Klägers lag nicht vor. Zwar stellt ein versuchter Prozessbetrug eine Straftat dar, die auch eine Detektivüberwachung rechtfertigen kann. Hierfür muss jedoch ein berechtigter Anlass vorliegen.

Der Kläger hatte in dem einstweiligen Verfügungsverfahren vor dem Arbeitsgericht Frankfurt am Main 12 Ga 69/19 vorgetragen und an Eides statt versichert, dass er montags bis mittwochs 7:30 Uhr in der Regel seine beiden Kinder betreuen müsse. Nach der mündlichen Verhandlung vor dem Arbeitsgericht am 27. Mai 2019 bemerkte der Prozessbevollmächtigte der Beklagten auf der Heimfahrt im ICE XXX in Richtung B, einen Mann, von dem er in diesem Moment keinen Zweifel hatte, dass es sich hierbei um den Kläger handelte. Der Prozessbevollmächtigte der Beklagten beauftragte daraufhin eine Detektei mit der Observation des Klägers, die sodann ab 11. Juni 2019 an insgesamt 6 Tagen erfolgte.

Für diese Maßnahme bestand kein berechtigter Anlass. Es wäre dem für die Beklagte handelnden Prozessbevollmächtigten ohne weiteres möglich gewesen, die Person, die er spontan für den Kläger hielt, anzusprechen und sich zu vergewissern, ob es sich tatsächlich um den Kläger handelte. Bei dieser Gelegenheit hätte er den Kläger (sofern es sich bei ihm um die betreffende Person gehandelt haben sollte) auch direkt ansprechen können, wie es sein kann, dass er sich an einem Tag, an dem er sich regelmäßig um seine Kinder kümmern muss, in einem Zug Richtung B befindet. Selbst wenn er nicht sofort hieran gedacht haben sollte, war es ihm immer noch möglich, bis zum ersten Halt des Zuges den Wagen abzulaufen, um die betreffende Person zu finden und anzusprechen. Soweit er im Prozess ausführte, seinen Aktenkoffer nicht auf seinem Platz zurücklassen zu wollen, ist zu berücksichtigen, dass er diesen ohne weiteres auf dem kurzen Gang durch den Waggon hätte mitnehmen können. Letztlich hat er auf eine vage Vermutung hin eine Detektei mit der Observation des Klägers beauftragt.

Die Observation verletzte den Kläger auch in seinem allgemeinen Persönlichkeitsrecht. Der Detektiv beobachtete ihn an sechs Tagen in seinem Privatleben (auf dem Balkon seiner Wohnung und im Garten). Einmal lief er ihm sogar bis in den Park hinterher.

Auch wenn anlässlich der Observation keine Video- und Fotoaufnahmen des Klägers und seiner Kinder angefertigt wurden, hält die Kammer einen immateriellen Schadenersatz in Höhe von insgesamt 1500 € (250 € je für jede der 6 Observationen) für angemessen. Dies ergibt sich aus dem Gesichtspunkt der Genugtuung des Opfers sowie der Prävention.

Der Anspruch auf Verzinsung des zugesprochenen Geldbetrags ergibt sich aus §§ 286 Absatz 1, 288 Absatz 1 BGB.

Den Volltext der Entscheidung finden Sie hier:

LG Saarbrücken
Beschluss vom 22.11.2021
5 O 151/19

Das LG Saarbrücken hat dem EuGH Fragen zum Anspruch auf Ersatz des immateriellen Schadens aus Art. 82 Abs. 1 DSGVO zur Entscheidung vorgelegt.

Die Vorlagefragen:

Dem Gerichtshof der Europäischen Union werden gemäß Art. 267 AEUV folgende Fragen zur Auslegung von Kapitel VIII, insbesondere von Art. 82 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz- Grundverordnung, DSGVO) vorgelegt:

1. Ist der Begriff des immateriellen Schadens in Art. 82 Abs. 1 DSGVO im Hinblick auf den Erwägungsgrund 85 und den Erwägungsgrund 146 S. 3 EUV 2016/679 in dem Sinne zu verstehen, dass er jede Beeinträchtigung der geschützten Rechtsposition erfasst, unabhängig von deren sonstigen Auswirkungen und deren Erheblichkeit ?

2. Wird die Haftung auf Schadenersatz gemäß Art. 82 Abs. 3 DSGVO dadurch ausgeschlossen, dass der Rechtsverstoß auf menschliches Versagen im Einzelfall einer im Sinne von Art. 29 DSGVO unterstellten Person zurückgeführt wird ?

3. Ist bei der Bemessung des immateriellen Schadenersatzes eine Orientierung an den in Art. 83 DSGVO, insbesondere Art. 83 Abs. 2 und Abs. 5 DSGVO genannten Zumessungskriterien erlaubt bzw. geboten ?

4. Ist der Schadenersatz für jeden einzelnen Verstoß zu bestimmen oder werden mehrere - zumindest mehrere gleichgelagerte - Verstöße mit einer Gesamtentschädigung sanktioniert, die nicht durch eine Addition von Einzelbeträgen ermittelt wird, sondern auf einer wertenden Gesamtbetrachtung beruht ?

Den Volltext der Entscheidung finden Sie hier:

EuGH
Urteil vom 21.12.2021
C-251/20
Gtflix Tv gegen DR

Der EuGH hat entschieden, dass bei verunglimpfenden Äußerungen im Internet Schadensersatz vor Gericht in jedem Mitgliedsstaat eingeklagt werden kann, wo der Inhalt aufrufbar war. Dabei kann aber nur Schadensersatz hinsichtlich des im jeweiligen Mitgliedsland entstandenen Schadens eingeklagt werden.

Die Pressemitteilung des EuGH:

Verbreitung angeblich verunglimpfender Äußerungen über das Internet: Ersatz des dadurch im Hoheitsgebiet eines Mitgliedstaats entstandenen Schadens kann vor den Gerichten dieses Mitgliedstaates eingeklagt werden

Diese Zuständigkeit setzt lediglich voraus, dass der verletzende Inhalt in diesem Hoheitsgebiet zugänglich ist oder war.

Gtflix Tv (im Folgenden: Antragstellerin) ist eine Gesellschaft mit Sitz in der Tschechischen Republik, die audiovisuelle Inhalte für Erwachsene produziert und verbreitet. DR, der seinen Wohnsitz in Ungarn hat, ist beruflich im selben Bereich tätig.

Die Antragstellerin, die DR vorwirft, er habe sich auf verschiedenen Websites verunglimpfend über sie geäußert, beantragte bei den französischen Gerichten zum einen die Entfernung dieser Äußerungen sowie die Richtigstellung der veröffentlichten Angaben und zum anderen Ersatz für den durch diese Äußerungen entstandenen Schaden. Die französischen Gerichte sowohl des ersten als auch des zweiten Rechtszugs erklärten sich für unzuständig.

Vor der Cour de cassation (Frankreich) verlangt die Antragstellerin nun Aufhebung des Urteils der Cour d’appel (Berufungsgericht). Dieses Gericht habe gegen die besondere Zuständigkeitsregel des Art. 7 Nr. 2 der Verordnung Nr. 1215/20121 verstoßen, wonach die Gerichte „des Ortes, an dem das schädigende Ereignis eingetreten ist oder einzutreten droht“, zuständig seien, indem sie die Zuständigkeit der französischen Gerichte mit der Begründung ausgeschlossen habe, dass es nicht ausreiche, dass die als verunglimpfend erachteten Äußerungen, die im Internet veröffentlicht wurden, im Zuständigkeitsbereich dieses Gerichts zugänglich seien, sondern dass sie zudem geeignet sein müssten, in diesem Zuständigkeitsbereich einen Schaden zu verursachen.

Da nach Auffassung des vorlegenden Gerichts der Mittelpunkt der Interessen der Antragstellerin in der Tschechischen Republik liegt und DR seinen Wohnsitz in Ungarn hat, hat es entschieden, dass die französischen Gerichte für die Entscheidung über den Antrag auf Entfernung angeblich verunglimpfender Äußerungen und die Richtigstellung der veröffentlichten Angaben unzuständig seien. Das vorlegende Gericht hat jedoch dem Gerichtshof die Frage vorgelegt, ob die französischen Gerichte für die Entscheidung über den Antrag auf Ersatz des Schadens zuständig sind, der der Antragstellerin im Hoheitsgebiet des Mitgliedstaats dieser Gerichte entstanden ist, selbst wenn sie nicht für die Entscheidung über den Antrag auf Richtigstellung und Entfernung zuständig sind.

Der Gerichtshof (Große Kammer) erläutert in seinem Urteil, wie bei Klagen betreffend über das Internet verursachte Schäden das unter dem Gesichtspunkt des Ortes der Verwirklichung des Schadenserfolgs zuständige Gericht zu bestimmen ist.

Würdigung durch den Gerichtshof
Der Gerichtshof stellt fest, dass eine Person, die der Ansicht ist, dass ihre Rechte durch die Verbreitung verunglimpfender Äußerungen über sie im Internet verletzt worden seien, und die sowohl auf Richtigstellung der Angaben und Entfernung der sie betreffenden veröffentlichten Inhalte als auch auf Ersatz des aus dieser Veröffentlichung entstandenen Schadens klagt, vor den
Gerichten jedes Mitgliedstaats, in dessen Hoheitsgebiet diese Äußerungen zugänglich sind oder waren, Ersatz des Schadens verlangen kann, der ihr in dem Mitgliedstaat des angerufenen Gerichts entstanden sein soll, selbst wenn diese Gerichte nicht für die Entscheidung über den Antrag auf Richtigstellung und Entfernung zuständig sind.

Zur Begründung dieses Ergebnisses weist der Gerichtshof darauf hin, dass nach seiner Rechtsprechung die besondere Zuständigkeitsregel des Art. 7 Nr. 2 der Verordnung Nr. 1215/2012, wonach die Gerichte „des Ortes, an dem das schädigende Ereignis eingetreten ist oder einzutreten droht“, zuständig sind, sowohl den Ort des ursächlichen Geschehens als auch
den Ort der Verwirklichung des Schadenserfolgs meint und jeder der beiden Orte je nach Lage des Falles für die Beweiserhebung und für die Gestaltung des Prozesses einen besonders sachgerechten Anhaltspunkt liefern kann.

Was mutmaßliche Verstöße gegen die Persönlichkeitsrechte mittels auf einer Website veröffentlichter Inhalte betrifft, weist der Gerichtshof auch darauf hin, dass die Person, die sich in ihren Rechten verletzt fühlt, die Möglichkeit hat, entweder, unter dem Gesichtspunkt des Ortes des ursächlichen Geschehens, bei den Gerichten des Ortes, an dem der Urheber dieser Inhalte niedergelassen ist, oder, unter dem Gesichtspunkt der Verwirklichung des Schadenserfolgs, bei den Gerichten des Mitgliedstaats, in dem sich der Mittelpunkt ihrer Interessen befindet, eine Klage auf Ersatz des gesamten entstandenen Schadens zu erheben.

Anstelle einer Klage auf Ersatz des gesamten entstandenen Schadens kann diese Person ihre Klage auch vor den Gerichten jedes Mitgliedstaats erheben, in dessen Hoheitsgebiet ein im Internet veröffentlichter Inhalt zugänglich ist oder war. Diese sind jedoch nur für die erhobenen Beweise den Eintritt und die Höhe des geltend gemachten Schadens zu beurteilen.

Schließlich setzt die Zuständigkeit dieser Gerichte für die Entscheidung allein über Schäden, die im Hoheitsgebiet ihres Mitgliedstaats entstanden sind, lediglich voraus, dass der verletzende Inhalt in diesem Hoheitsgebiet zugänglich ist oder war, da Art. 7 Nr. 2 der Verordnung Nr. 1215/2012 insoweit keine zusätzliche Voraussetzung enthält. Die Einführung zusätzlicher Voraussetzungen könnte in der Praxis dazu führen, dass der betroffenen Person die Möglichkeit genommen würde, vor den Gerichten des Ortes, in deren Zuständigkeitsbereich sie meint, einen Schaden erlitten zu haben, auf teilweisen Ersatz des Schadens zu klagen.

Entscheidung über den Schaden zuständig, der im Hoheitsgebiet des Mitgliedstaats des angerufenen Gerichts verursacht worden ist. Folglich kann gemäß Art. 7 Nr. 2 der Verordnung Nr. 1215/2012 in seiner Auslegung durch die bisherige Rechtsprechung eine Person, die sich durch die Veröffentlichung von Angaben auf einer Website in ihren Rechten verletzt fühlt, einen auf Richtigstellung dieser Angaben und Entfernung der veröffentlichten Inhalte gerichteten Antrag entweder bei den Gerichten stellen, die für die Entscheidung über einen Antrag auf Ersatz des gesamten Schadens zuständig sind, d. h. entweder, unter dem Gesichtspunkt des Ortes des ursächlichen Geschehens, bei den Gerichten des Ortes, an dem der Urheber dieser Inhalte niedergelassen ist, oder, unter dem Gesichtspunkt der Verwirklichung des Schadenserfolgs, bei den Gerichten, in deren Zuständigkeitsbereich sich der Mittelpunkt der Interessen der betroffenen Person befindet.

Hierzu führt der Gerichtshof aus, dass ein Antrag auf Richtigstellung von Angaben und Entfernung von Inhalten nicht bei einem anderen als dem Gericht gestellt werden kann, das für die Entscheidung über den gesamten Schadensersatzantrag zuständig ist, weil ein solcher Antrag auf Richtigstellung und Entfernung einheitlich und untrennbar ist.

Dagegen kann sich ein Antrag auf Schadensersatz entweder auf den vollständigen oder auf den teilweisen Ersatz eines Schadens beziehen. Somit wäre es nicht gerechtfertigt, aus diesem Grund dem Antragsteller die Möglichkeit zu nehmen, vor einem anderen Gericht, in dessen Zuständigkeitsbereich er meint, einen Schaden erlitten zu haben, teilweisen Ersatz des Schadens zu beantragen.

Im Übrigen ist der Ausschluss einer solchen Möglichkeit auch nicht im Hinblick auf eine geordnete Rechtspflege geboten, da ein lediglich für die Entscheidung über den in seinem Mitgliedstaat entstandenen Schaden zuständiges Gericht durchaus in der Lage ist, im Rahmen eines in diesem Mitgliedstaat durchgeführten Verfahrens und in Anbetracht der in diesem Mitgliedstaat erhobenen Beweise den Eintritt und die Höhe des geltend gemachten Schadens zu beurteilen.

Schließlich setzt die Zuständigkeit dieser Gerichte für die Entscheidung allein über Schäden, die im Hoheitsgebiet ihres Mitgliedstaats entstanden sind, lediglich voraus, dass der verletzende Inhalt in diesem Hoheitsgebiet zugänglich ist oder war, da Art. 7 Nr. 2 der Verordnung Nr. 1215/2012 insoweit keine zusätzliche Voraussetzung enthält. Die Einführung zusätzlicher Voraussetzungen könnte in der Praxis dazu führen, dass der betroffenen Person die Möglichkeit genommen würde, vor den Gerichten des Ortes, in deren Zuständigkeitsbereich sie meint, einen Schaden erlitten zu haben, auf teilweisen Ersatz des Schadens zu klagen.

Tenor der Entscheidung:

Art. 7 Nr. 2 der Verordnung (EU) Nr. 1215/2012 des Europäischen Parlaments und des Rates vom 12. Dezember 2012 über die gerichtliche Zuständigkeit und die Anerkennung und Vollstreckung von Entscheidungen in Zivil- und Handelssachen ist dahin auszulegen, dass eine Person, die der Ansicht ist, dass ihre Rechte durch die Verbreitung verunglimpfender Äußerungen über sie im Internet verletzt worden seien, und die sowohl auf Richtigstellung der Angaben und Entfernung der sie betreffenden veröffentlichten Inhalte als auch auf Ersatz des durch diese Veröffentlichung entstandenen Schadens klagt, vor den Gerichten jedes Mitgliedstaats, in dessen Hoheitsgebiet diese Äußerungen zugänglich sind oder waren, Ersatz des Schadens verlangen kann, der ihr in dem Mitgliedstaat des angerufenen Gerichts entstanden sein soll, selbst wenn diese Gerichte nicht für die Entscheidung über den Antrag auf Richtigstellung und Entfernung zuständig sind.

Den Volltext der Entscheidung finden Sie hier:

BGH
Urteil vom 29.11.2021
VI ZR 248/18
GG Art. 1 Abs. 1, Art. 2 Abs. 1; BGB § 823; § 1004; ZPO § 554 Abs. 2 Satz 1

Wir hatten bereits in dem Beitrag BGH: "VERMÄCHTNIS – DIE KOHL-PROTOKOLLE" - Kein Geldentschädigungsanspruch wegen Verletzung des allgemeinen Persönlichkeitsrechts für Kohl-Witwe da Anspruch nicht vererblich über die Entscheidung berichtet.

Leitsätze des BGH:
a) Der unzutreffenden Wiedergabe von (angeblichen) Äußerungen eines Verstorbenen kommt ein dessen postmortales Persönlichkeitsrecht verletzendes Gewicht zu, wenn die untergeschobenen Äußerungen nach Qualität und/oder Quantität das Lebensbild des Verstorbenen grob entstellen.

b) Das postmortale Persönlichkeitsrecht schützt den Verstorbenen grundsätzlich nicht davor, mit Aussagen zitiert zu werden, die er zu Lebzeiten im vertraulichen Gespräch mit der ausdrücklichen Erklärung, sie nicht veröffentlichen zu wollen ("Sperrvermerk"), getätigt hat.

c) Zur Reichweite des postmortalen Persönlichkeitsrechts in Bezug auf Buchveröffentlichungen ("VERMÄCHTNIS-DIE KOHL-PROTOKOLLE").

BGH, Urteil vom 29. November 2021 - VI ZR 248/18 - OLG Köln - LG Köln

Den Volltext der Entscheidung finden Sie hier:

BGH
Urteil vom 29.11.2021
VI ZR 258/18
BGB § 823

Der BGH hat entschieden, dass ein Anspruch auf Geldentschädigung wegen einer Persönlichkeitsrechtsverletzung mit Rechtskraft eines Urteils vererblich ist, die vorläufige Vollstreckbarkeit jedoch insoweit nicht genügt.

Leitsatz des BGH:
Der Anspruch auf Geldentschädigung wegen Persönlichkeitsrechtsverletzung wird grundsätzlich erst mit Rechtskraft eines dem Verletzten die Geldentschädigung zusprechenden Urteils vererblich; ein nicht rechtskräftiges, nur vorläufig vollstreckbares Urteil genügt nicht (Fortführungen Senatsurteile vom 23. Mai 2017 - VI ZR 261/16, BGHZ 215, 117; vom 29. April 2014 - VI ZR 246/12, BGHZ 201, 45 Rn. 24).

BGH, Urteil vom 29. November 2021 - VI ZR 258/18 - OLG Köln - LG Köln

Wir hatten bereits in dem Beitrag BGH: "VERMÄCHTNIS – DIE KOHL-PROTOKOLLE" - Kein Geldentschädigungsanspruch wegen Verletzung des allgemeinen Persönlichkeitsrechts für Kohl-Witwe da Anspruch nicht vererblich über die Entscheidung berichtet.

Den Volltext der Entscheidung finden Sie hier:

BGH
Urteil vom 29.11.2021 - VI ZR 248/18
Urteil vom 29.11.2021 - VI ZR 258/18

Der BGH hat in den Rechtsstreitigkeiten um das Buch "VERMÄCHTNIS – DIE KOHL-PROTOKOLLE" zwei Urteile verkündet. Der BGH hat u.a. entschieden, das die Witwe des Altkanzlers Helmut Kohl als Erbin keinen Geldentschädigungsanspruch wegen Verletzung des allgemeinen Persönlichkeitsrechts hat, da ein solcher Anspruch nicht vererblich ist.

Die Pressemitteilung des BGH:

Urteile in den Verfahren zum Buch "VERMÄCHTNIS – DIE KOHL-PROTOKOLLE" verkündet

Der unter anderem für das allgemeine Persönlichkeitsrecht zuständige VI. Zivilsenat des Bundesgerichtshofs hat in zwei Verfahren um das Buch "VERMÄCHTNIS – DIE KOHL-PROTOKOLLE" Urteile verkündet. Die Revision der Klägerin gegen das den von ihr geltend gemachten Geldentschädigungsanspruch verneinende Urteil des Oberlandesgerichts Köln (VI ZR 258/18) hat er zurückgewiesen. Zum Teil erfolgreich waren die Revisionen der Klägerin und des beklagten Verlags ("Drittbeklagte") hinsichtlich des sich mit den Unterlassungsansprüchen befassenden Urteils des Oberlandesgerichts Köln (VI ZR 248/18).

Sachverhalt:

Im Oktober 2014 erschien im H.-Verlag, einer Verlagsmarke der Drittbeklagten, ein vom Erstbeklagten, einem Historiker und Journalisten, zusammen mit dem inzwischen verstorbenen Zweitbeklagten, ebenfalls Journalist, verfasstes Buch mit dem Titel "VERMÄCHTNIS – DIE KOHL-PROTOKOLLE". Das Buch enthält eine Vielzahl angeblicher Äußerungen des vormaligen Klägers Bundeskanzler a. D. Dr. Helmut Kohl. Hinsichtlich sämtlicher Äußerungen machen die Beklagten geltend, dass sie anlässlich von Gesprächen gefallen sind, die der Erstbeklagte mit dem vormaligen Kläger zur Erstellung von dessen Memoiren geführt hatte. Der vormalige Kläger hat geltend gemacht, das Buch verletze ihn in insgesamt 116 Passagen in seinem allgemeinen Persönlichkeitsrecht. Er hat die Beklagten deshalb zum einen auf Unterlassung der wörtlichen oder sinngemäßen Verbreitung dieser Passagen (VI ZR 248/18) und zum anderen auf Zahlung einer Geldentschädigung in einer Größenordnung von mindestens 5 Mio. € nebst Zinsen (VI ZR 258/18) in Anspruch genommen. Bei der nunmehrigen Klägerin handelt es sich um die Witwe und Alleinerbin des am 16. Juni 2017 und damit während der Berufungsverfahren verstorbenen vormaligen Klägers, die den Rechtsstreit fortführt.

VI ZR 258/18 (Geldentschädigung)

Bisheriger Prozessverlauf:

Das Landgericht hat die drei Beklagten als Gesamtschuldner zur Zahlung von 1 Mio. € verurteilt und die Klage im Übrigen abgewiesen. Auf die Berufung der Beklagten hat das Oberlandesgericht die Klage vollumfänglich abgewiesen. Zur Begründung hat es ausgeführt, der Anspruch auf Geldentschädigung wegen Verletzung des allgemeinen Persönlichkeitsrechts sei nicht vererblich, weshalb der Klageanspruch jedenfalls mit dem Tod des vormaligen Klägers erloschen sei. Hiergegen wendet sich die Klägerin mit ihrer vom Berufungsgericht zugelassenen Revision. Sie begehrt weiterhin eine Geldentschädigung in Höhe von mindestens 5 Mio. € nebst Zinsen. Nach dem Tod des Zweitbeklagten ist der Rechtsstreit ihm bzw. seinen Erben gegenüber unterbrochen. Gegenstand des nunmehr verkündeten, die Frage der Geldentschädigung betreffenden Urteils (Teilurteil) sind deshalb nur die gegen den Erstbeklagten und gegen die Drittbeklagte geltend gemachten Ansprüche.

Entscheidung des Bundesgerichtshofs:

Der VI. Zivilsenat hat die Revision der Klägerin zurückgewiesen. Die Annahme des Oberlandesgerichts, der Geldentschädigungsanspruch wegen Verletzung des allgemeinen Persönlichkeitsrechts sei grundsätzlich nicht vererblich und deshalb jedenfalls mit dem Tod des vormaligen Klägers untergegangen, trifft zu. Die grundsätzliche Unvererblichkeit eines solchen Anspruchs entspricht der gefestigten höchstrichterlichen Rechtsprechung. Begründet wird sie mit der Funktion des Geldentschädigungsanspruchs, bei der der Genugtuungsgedanke im Vordergrund steht; einem Verstorbenen kann Genugtuung aber nicht mehr verschafft werden. Durchgreifende Gründe, diese Rechtsprechung aufzugeben, sah der VI. Zivilsenat nicht. Schließlich lagen im Streitfall auch keine besonderen Umstände vor, die (ausnahmsweise) zur Vererblichkeit geführt hätten. Insbesondere wird der Geldentschädigungsanspruch nicht dadurch vererblich, dass er dem Erblasser noch zu dessen Lebzeiten zugesprochen wird, wenn das entsprechende Urteil bei Eintritt des Todes - wie hier - noch nicht rechtskräftig ist.

VI ZR 248/18 (Klage auf Unterlassung):

Bisheriger Prozessverlauf:

Das Landgericht hat der Klage stattgegeben. Hinsichtlich des Erstbeklagten ist es davon ausgegangen, dieser sei bereits aufgrund einer mit dem vormaligen Kläger anlässlich der "Memoirengespräche" konkludent geschlossenen Verschwiegenheitsvereinbarung zur beantragten Unterlassung verpflichtet. Gegenüber den anderen beiden Beklagten ergebe sich der Unterlassungsanspruch aus § 823 Abs. 1, § 830 BGB, § 1004 Abs. 1 Satz 2 BGB analog in Verbindung mit Art. 1 Abs. 1, Art. 2 Abs. 1 GG. Denn mit der Veröffentlichung und Verbreitung der betroffenen Textpassagen hätten sie den (vormaligen) Kläger in seinem allgemeinen Persönlichkeitsrecht verletzt.

Die Berufung des Erstbeklagten hat das Oberlandesgericht zurückgewiesen. Auch nach Auffassung des Oberlandesgerichts ist der Erstbeklagte aufgrund einer mit dem vormaligen Kläger konkludent getroffenen Vereinbarung zur Verschwiegenheit über sämtliche im Rahmen der Memoirengespräche erlangte Informationen verpflichtet. Diese Verpflichtung dauere fort und könne - so das Oberlandesgericht weiter - auch nach dem Tod des vormaligen Klägers durch die Klägerin geltend gemacht werden. Die Revision hat das Oberlandesgericht insoweit nicht zugelassen. Die vom Erstbeklagten dagegen erhobene Nichtzulassungsbeschwerde hat der VI. Zivilsenat des Bundesgerichtshofs bereits mit Beschluss vom 23. März 2021 zurückgewiesen. Insoweit war das Verfahren bereits vor Verkündung des heutigen Urteils abgeschlossen.

Die Berufungen des Zweitbeklagten und der Drittbeklagten hatten in Bezug auf eine der 116 Textpassagen voll und in Bezug auf weitere 40 Textpassagen zum Teil Erfolg. Nach Auffassung des Oberlandesgerichts trifft diese beiden Beklagten zwar eine Unterlassungsverpflichtung wegen Verletzung des - nun postmortalen - Persönlichkeitsrechts des vormaligen Klägers. Diese Unterlassungsverpflichtung sei aber auf die wörtliche Wiedergabe und Verbreitung (angeblich) wörtlicher Zitate des vormaligen Klägers beschränkt. Mit ihrer vom Berufungsgericht zugelassenen Revision begehrt die Klägerin die Wiederherstellung des landgerichtlichen Urteils; der Zweitbeklagte und die Drittbeklagte begehren mit ihren Revisionen weiterhin die Abweisung der Klage. Nach dem Tod des Zweitbeklagten ist auch dieses Verfahren ihm bzw. seinen Erben gegenüber unterbrochen. Gegenstand des nun verkündeten Urteils (Teilurteil) ist deshalb alleine noch der gegen die Drittbeklagte gerichtete Unterlassungsanspruch.

Entscheidung des Bundesgerichtshofs:

Die Revisionen beider Parteien hatten teilweise Erfolg. Der von der Klägerin geltend gemachte, deliktische Unterlassungsanspruch gegenüber der Drittbeklagten, mit der der vormalige Kläger anders als mit dem Erstbeklagten keine (konkludente) Verschwiegenheitsvereinbarung über den Tod hinaus getroffen hatte, beschränkt sich auf die Veröffentlichung und Verbreitung von im Buch vorhandenen Fehlzitaten. Nur insoweit verletzen Veröffentlichung und Verbreitung der angegriffenen Buchpassagen das von der Klägerin wahrgenommene postmortale Persönlichkeitsrecht ihres verstorbenen Ehemannes. Soweit keine Fehlzitate vorliegen, besteht keine Unterlassungspflicht der Drittbeklagten. Eine solche folgt - anders als das Oberlandesgericht meinte - insbesondere nicht daraus, dass der vormalige Kläger einer Veröffentlichung einiger Aussagen schon im Rahmen der Memoirengespräche ausdrücklich widersprochen hatte ("Sperrvermerkszitate"), noch daraus, dass die Wiedergabe wörtlicher Zitate eine unzulässige "bildnisgleiche" bzw. "intensive" Verdinglichung seiner Person darstellte. Soweit sich die Zitate auf der Grundlage der Feststellungen des Oberlandesgerichts abschließend als Fehlzitate einordnen lassen, hat der VI. Zivilsenat deshalb die Revision der Drittbeklagten zurückgewiesen, soweit sie sich abschließend als zutreffend beurteilen lassen, hat er das Berufungsurteil aufgehoben und die Klage abgewiesen. Soweit sich auf der Grundlage der bislang getroffenen Feststellungen nicht beurteilen lässt, ob das jeweilige Zitat richtig oder falsch ist, hat der Senat die Sache an das Oberlandesgericht zurückverwiesen, damit die noch fehlenden Feststellungen dort getroffen werden können.

Die Revision der Klägerin hatte insoweit Erfolg, als das Oberlandesgericht die Unterlassungsverpflichtung der Drittbeklagten auch hinsichtlich der (möglichen) Fehlzitate auf die wörtliche Wiedergabe der im Buch als wörtliche Zitate gekennzeichneten Aussagen beschränkt hatte. Denn das postmortale Persönlichkeitsrecht eines Verstorbenen verletzende Fehlzitate dürfen auch nicht sinngemäß veröffentlicht oder verbreitet werden.

Vorinstanzen:

VI ZR 258/18

LG Köln - 14 O 323/15 - Urteil vom 27. April 2017

OLG Köln - 15 U 64/17 - Urteil vom 29. Mai 2018

und

VI ZR 248/18

LG Köln - 14 O 261/14 - Urteil vom 27. April 2017

OLG Köln - 15 U 65/17 - Urteil vom 29. Mai 2018

Karlsruhe, den 29. November 2021

Die maßgeblichen Vorschriften lauten:

§ 823 des Bürgerlichen Gesetzbuches (BGB):

(1) Wer vorsätzlich oder fahrlässig das Leben, den Körper, die Gesundheit, die Freiheit, das Eigentum oder ein sonstiges Recht eines anderen widerrechtlich verletzt, ist dem anderen zum Ersatz des daraus entstehenden Schadens verpflichtet.

(2) […].

§ 1004 des Bürgerlichen Gesetzbuches (BGB):

(1) Wird das Eigentum in anderer Weise als durch Entziehung oder Vorenthaltung des Besitzes beeinträchtigt, so kann der Eigentümer von dem Störer die Beseitigung der Beeinträchtigung verlangen. Sind weitere Beeinträchtigungen zu besorgen, so kann der Eigentümer auf Unterlassung klagen.

(2) […].

§ 1922 des Bürgerlichen Gesetzbuches (BGB):

(1) Mit dem Tode einer Person (Erbfall) geht deren Vermögen (Erbschaft) als Ganzes auf eine oder mehrere andere Personen (Erben) über.

(2) […].

Art. 1 des Grundgesetzes (GG):

(1) Die Würde des Menschen ist unantastbar. Sie zu achten und zu schützen ist Verpflichtung aller staatlichen Gewalt.

(2) […].

(3) […].

Art. 2 des Grundgesetzes (GG):

(1) Jeder hat das Recht auf die freie Entfaltung seiner Persönlichkeit, soweit er nicht die Rechte anderer verletzt und nicht gegen die verfassungsmäßige Ordnung oder das Sittengesetz verstößt.

(2) […].

Art. 5 des Grundgesetzes (GG):

(1) Jeder hat das Recht, seine Meinung in Wort, Schrift und Bild frei zu äußern und zu verbreiten und sich aus allgemein zugänglichen Quellen ungehindert zu unterrichten. Die Pressefreiheit und die Freiheit der Berichterstattung durch Rundfunk und Film werden gewährleistet. Eine Zensur findet nicht statt.

(2) Diese Rechte finden ihre Schranken in den Vorschriften der allgemeinen Gesetze, den gesetzlichen Bestimmungen zum Schutze der Jugend und in dem Recht der persönlichen Ehre.

(3) Kunst und Wissenschaft, Forschung und Lehre sind frei. Die Freiheit der Lehre entbindet nicht von der Treue zur Verfassung.

OLG München
Urteil vom 27.10.2021
20 U 7051/20

Das OLG München hat entschieden, dass kein Verstoß gegen die DSGVO durch Einladung zur Eigentümerversammlung unter namentlicher Nennung von Wohneinheiten mit Legionellenbefall vorliegt.

Aus den Entscheidungsgründen:

"Die zulässige Berufung des Klägers hat in der Sache keinen Erfolg. Das Landgericht hat zutreffend geurteilt, dass den Beklagten kein Verstoß gegen Vorschriften der DSGVO zur Last fällt. Die Berufung des Klägers war daher zurückzuweisen.

1. Die DSGVO ist - anders als die Beklagten behaupten - auf den hier zu entscheidenden Fall anwendbar. Denn gemäß Art. 2 Abs. 1 DSGVO gilt sie auch für die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder werden sollen. Dabei ist ein Dateisystem jede geordnete manuelle Datensammlung (beckOK, DSG-VO, Art. 2 Rn. 4). Dass der Name des Klägers bei der Beklagten zu 1) nicht in einer Datei, sondern nur zusammenhanglos auf losen Zetteln zu finden wäre, ist schwer vorstellbar und wird von den Beklagten auch nicht behauptet. Gemäß Art. 4 DSGVO stellt bereits die Verwendung der gespeicherten Daten eine „Verarbeitung“ im Sinne der Verordnung dar.

2. Entgegen der Ansicht des Klägers war die Verarbeitung seiner Daten in der mit der Einladung zur Eigentümerversammlung verschickten Tagesordnung (K 1, dort Ziffer 22) rechtmäßig, Art. 6 DSGVO.

a) Der vom Kläger behauptet gegen die DSGVO verstoßende Tagesordnungspunkt 22 „Aussprache und Beschlussfassung über weitergehende Maßnahmen zum Legionellenbefall und deren Finanzierung“ enthält die Information, welche zur Miteigentümergemeinschaft gehörenden Häuser und konkrete Einheiten mit welcher Intensität von dem festgestellten Legionellenbefall betroffen sind, wobei die Nachnamen der Eigentümer genannt werden.

b) Entgegen dem Dafürhalten des Klägers war die Verwendung auch der jeweiligen Eigentümernamen im konkreten Fall rechtmäßig, Art. 6 Abs. 1 lit c), lit f).

aa) Die Beklagte zu 1), die damalige Hausverwaltung, war ebenso wie die Wohnungseigentümergemeinschaft selbst für die Instandhaltung des Gemeinschaftseigentums und die Überprüfung der Leitungen rechtlich verantwortlich (vgl. Bärmann/Seuß, Praxis des Wohnungseigentums, § 111. TrinkwasserVerordnung Rn. 42). Die Beklagte zu 1) war der Wohnungseigentümergemeinschaft darüber hinaus vertraglich zur ordnungsgemäßen Verwaltung verpflichtet.

bb) Die Angabe der Namen der einzelnen Eigentümer in der verschickten Tagesordnung war auch erforderlich. Nur so konnte die Beklagte zu 1) sicherstellen, dass die eingeladenen Miteigentümer über alle für die durchzuführende „Aussprache und Beschlussfassung über weitergehende Maßnahmen zum Legionellenbefall und deren Finanzierung“ erforderlichen Informationen verfügten und die „Aussprache und Beschlussfassung“ vollständig durchführen konnten (vgl. BeckOK, Datenschutzrecht, Art. 6 DSGVO Rn. 17). Denn nur bei Kenntnis, wer von den Teilnehmern der Eigentümerversammlung von dem Legionellenbefall betroffen war, konnten die übrigen Miteigentümer die einzelnen Redebeiträge zutreffend einordnen und Nachfragen an die betroffenen Eigentümer stellen etwa zum Umfang der Arbeiten in den betroffenen Wohnungen oder an den im Sondereigentum stehenden Wasserarmaturen (vgl. VGH 20 CS 14.1663), oder zu - auch vom Kläger selbst behaupteten - angekündigten Mietminderungen des betroffenen Mieters, und mit den betroffenen Eigentümern über etwaige Ansprüche der Miteigentümergemeinschaft oder die Verteilung der entstandenen und noch anfallenden Kosten diskutieren.

cc) Dass - wie der Kläger behauptet - die einzelnen Miteigentümer seinen Namen auch anhand der Wohnungsnummer in Erfahrung bringen hätten können, trifft in dieser Allgemeinheit nicht zu. Denn aus der von ihm angeführten Teilungserklärung ergibt sich der Name der Käufer der einzelnen Wohnungen gerichtsbekannt nicht. Eine als Anhang zur Teilungserklärung vorhandene Eigentümerliste kann keine Aktualität beanspruchen, so dass die einzelnen Eigentümer sich, um die Identität des derzeitigen Eigentümers einer betroffenen Wohnung zu erfahren, wiederum an die Hausverwaltung, die hiesige Beklagte zu 1) wenden hätten müssen. Dies zeigt im Umkehrschluss, dass die Namensnennung bereits in der Tagesordnung erforderlich war. Eine bloße Unbequemlichkeit der Informationsbeschaffung, wie vom Kläger behauptet, liegt gerade nicht vor.

dd) Dass die Interessen des Klägers an der Nichtnennung seines Namens überwiegen würden, ist angesichts der vorstehenden Ausführungen nicht ersichtlich; die Beklagte zu 1) und die Wohnungseigentümergemeinschaft waren zum Vorteil des Klägers zur endgültigen Unterbindung des Legionellenbefalls in der klägerischen Wohnung tätig. Auch ist die Wohnungseigentümergemeinschaft keine anonyme Gemeinschaft (vgl. OLG München, 32 Wx 177/06, juris Rn. 9).

Die unsubstantiierte Behauptung des Klägers, dass ein potentieller Käufer „abgesprungen“ sei, führt nicht zu einer anderen Beurteilung; im Gegenteil wäre ein erst kürzlich beseitigter Legionellenbefall im Verkaufsobjekt dem potentiellen Käufer gegenüber unzweifelhaft vom Kläger selbst zu offenbaren gewesen.

3. Die Weitergabe der Mailadresse des Klägers hat das Landgericht - von der Berufung unangegriffen - ebenfalls zutreffend für rechtmäßig gehalten. Auf die Begründung im landgerichtlichen Urteil wird Bezug genommen. Gleiches gilt für den erstinstanzlich behaupteten Anspruch wegen der Sichtbarkeit der Mailadresse in einem Anschreiben des Beklagtenvertreters.

4. Unabhängig von Vorstehendem scheidet ein Anspruch gegen den Beklagten zu 2) schon deshalb aus, weil dieser nicht „Verantwortlicher“ im Sinne von Art. 4 Nr. 7 DSGVO ist. Aus der E-Mail des Beklagten zu 2) vom 9. August 2019 (Anlagen K 5 - K 8) kann der Kläger nichts für sich herleiten, weil der Beklagte zu 2) dort zwar einen Verstoß des Beklagten zu 1) gegen die DSGVO eingeräumt, selbst allerdings keine Leistung versprochen oder in irgendeiner Weise eine Verpflichtung für seine Person geschaffen oder eine bestehende Schuld bestätigt hat. Wie im vergleichbaren Fall von Erklärungen eines Schädigers im Straßenverkehr („Schuldbekenntnis“ des Unfallfahrers) fehlt es - wie im Regelfall - an einem Rechtsbindungswillen des Erklärenden (vgl. Palandt, BGB, § 781 Rn. 9 mwN)."

Den Volltext der Entscheidung finden Sie hier: