Das OLG Koblenz hat entschieden, dass die Höhe des immateriellen Schadensersatzanspruchs aus Art 82 DSGVO unter Berücksichtigung seiner Funktion zum Ausgleich, zur Genugtuung und zur Generalprävention zu bestimmen ist.
Leitsätze des Gerichts:
1. Der immaterielle Schadensersatzanspruch nach Art 82 DSGVO bestimmt sich der Höhe nach unter Berücksichtigung seiner Funktion zum Ausgleich, zur Genugtuung und zur Generalprävention.
2. Die Höhe muss berücksichtigen, dass der Einmeldung von Zahlungsstörungen auch im Verbraucherinteresse liegt, so dass die Verantwortlichen durch die Höhe des immateriellen Schadensersatzes nicht gänzlich davon abgehalten werden dürfen, Einmeldungen vorzunehmen.
Aus den Entscheidungsgründen:
a) Der Begriff des immateriellen Schadens im Sinne von Art. 82 Abs. 1 DSGVO ist - europarechtlich autonom und die in den Erwägungsgründen zur DSGVO niedergelegten Zielsetzungen aufnehmend - weit auszulegen.
Bereits aus dem Wortlaut der Norm ergibt sich, dass ein immaterieller Schadensersatzanspruch kausale Folge der Pflichtverletzung sein kann. Er ist allerdings von den materiellen Schäden, etwa wegen einer verweigerten oder nur zu ungünstigeren Bedingungen zustande gekommenen Kreditgewährung oder der Versagung bestimmter Zahlungsmethoden mit der Folge höherer Transaktionskosten, abzugrenzen und zu unterscheiden. Diese Trennung gelingt der Beklagten in ihren Erwägungen zur Höhe des Anspruches nicht immer.
Andererseits spricht der Wortlaut der Norm dafür, dass der europäische Gesetzgeber nicht davon ausgeht, dass schon allein die Pflichtverletzung den materiellen Schaden begründet (so auch Laoutoumai, K&R 2022, 25, 27; LG Saarbrücken v. 22.11.2021, 5 O 151/19 in seinem Vorlagebeschluss an den EuGH). Ein Anspruch auf den Schadensersatz besteht nämlich nur, wenn „ein materieller oder immaterieller Schaden entstanden ist“. Dieser Differenzierung im Wortlaut hätte es nicht bedurft, wenn bereits der Verstoß konstitutiv für den Anspruch wäre. Insoweit folgt der Senat nicht dem Bundesarbeitsgericht (26.08.2021, 8 AZR 253/20, Rn. 33 - juris), welches annimmt, dass „bereits die Verletzung der DSGVO selbst zu einem auszugleichenden immateriellen Schaden“ führt. Es muss mithin ein irgendwie gearteter immaterieller Schaden entstanden sein. Zwar geht der Anspruch dann in seiner Zielrichtung über einen erlittenen Schaden heraus, verzichtet aber aufgrund weitergehender Zielsetzungen hierauf nicht. Insoweit bleibt Grundlage des Anspruchs ein Individualrecht zu schützen. Art 82 DSGVO ist nicht Teil des kollektiven Rechtsschutzes. Das wirft die Frage auf, wann von einem erlittenen Schaden auszugehen ist.
Diese Fragestellung ist von der Annahme abzugrenzen, im Rahmen von Art. 82 Abs. 1 DSGVO sei eine Bagatellgrenze zu berücksichtigen. Eine Bagatellgrenze normiert Art. 82 Abs. 1 DSGVO seinem Wortlaut nach nicht und eine solche erscheint auch im Übrigen nicht angezeigt. Schon im nationalen Recht wurden einer solchen Grenze im Rahmen der Schuldrechtsreform 2002 verfassungsrechtliche Bedenken entgegengehalten (Ebert in: Erman, BGB, 16. Aufl. 2020, § 253 BGB, Rn. 14a). Der Gesetzgeber verwarf solche Ansätze deshalb (BT-Drucks. 14/8780). Ist ein immaterieller Schaden entstanden, ist dessen Schwere im Rahmen der Höhe des Ersatzanspruches zu berücksichtigen, nicht aber bei einer notwendigerweise nur willkürlich zu setzenden Bagatellgrenze zu finden. Soweit der BGH eine Korrektur aus Gründen der Billigkeit angenommen hat (BGH NJW 1992, 1043, Rn. 8; BGH NJW 1993, 2173) beruhte dies einerseits auf einer heute nicht mehr gültigen Norm (§ 847 BGB) und knüpfte andererseits nicht an einer Bagatellgrenze an, sondern an dem Umstand, dass weder die Ausgleichs- noch die Genugtuungsfunktion derart tangiert waren, dass ein immaterieller Schaden überhaupt entstanden ist. Es fehlt also in der zuletzt genannten Konstellation an einem „erlittenen Schaden“.
Da der bisherige § 8 Abs. 2 BDSG, der den Ersatz immaterieller Schäden von einer schweren Verletzung des Persönlichkeitsrechts des Betroffenen abhängig machte, nicht mehr anwendbar ist, kann auf die dazu ergangene Rechtsprechung zum Schadensbegriff nicht zurückgegriffen werden. Insoweit ist auch die nationale Rechtsprechung, die daran - teilweise bei nur verbaler Distanzierung - festhält (vgl. OLG Dresden v. 12.1.2021, 4 U 1600/20, Rn. 31 - juris; OLG Dresden v. 20.08.2020, 4 U 784/20, Rn. 32 - juris; AG Hannover v. 09.03.2020, 531 C 10952/19, Rn. 21 ff. - juris; AG Frankfurt a.M. v. 10.07.2020, 385 C 155/19, Rn. 28 - juris), abzulehnen.
Die Kategorien des nationalen Schadensersatzrechtes sind mithin nicht zielführend, um den Begriff des immateriellen Schadensersatzes im Sinne des Art. 82 DSGVO europarechtlich autonom auszulegen. Der Schadensbegriff des Art. 82 Abs. 1 DSGVO ist ein europarechtlicher Begriff, bei dessen Ausfüllung nicht auf nationale Erheblichkeitsschwellen oder andere Einschränkungen abgestellt werden darf (vgl. Kühling/Buchner/Bergt, 3. Aufl. 2020, DS-GVO Art. 82 Rn. 18a-18b).
Der Begriff des Schadens soll nach dem Erwägungsgrund 146 S. 3 EU-DSGVO „im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht.“ Daraus kann abgeleitet werden, dass der nach Abs. 1 bereits weite – weil Ansprüche aus § 253 BGB bereits umfassende – Schadensbegriff im Zweifel nicht begrenzend auszulegen sein wird (vgl. Paal/Pauly/Frenzel, 3. Aufl. 2021, DS-GVO Art. 82 Rn. 10). Einen Ausschluss vermeintlicher Bagatellschäden sieht die DSGVO nicht vor.
Der immaterielle Schadensersatz ist mithin auch ein Instrument, um die Ziele der DSGVO, wie sie in deren Art. 1 niedergelegt sind, unter dem Schutzzweck des Individualrechtsschutzes zu verwirklichen. Kern ist danach der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten im Schutzbereich der Grundrechte und der Grundfreiheiten im konkreten Einzelfall.
Der Funktion eines immateriellen Schadensersatzanspruches dienend, sind deshalb verschiedene Aspekte in die Bemessung des immateriellen Schadensersatzes der Höhe nach einzube-
ziehen. Zunächst die immaterielle und individuelle Ausgleichsfunktion wegen der Schutzgutverletzung, sodann die den Verstoß feststellende Genugtuungsfunktion und letztlich die generalpräventive Einwirkung auf den Schädiger zur künftigen Beachtung des Datenschutzes. In diesem Sinne kommt Art. 82 DSGVO kein Strafcharakter zu - dieser ist vielmehr das staatliche Gewaltmonopol respektierend in Art. 84 DSGVO niedergelegt, sehr wohl aber eine Anreizfunktion für den Verantwortlichen, hinreichende Sicherungsmaßnahmen zum Schutz der personenbezogenen Daten der betroffenen Person zu treffen.
Wegen der in Erwägungsgrund 146 S. 3 geforderten weiten Auslegung sieht der Senat mit Stimmen in der Literatur bereits in dem unguten Gefühl der Ungewissheit, ob personenbezogene Daten Unbefugten bekannt geworden sind, einen erlittenen immateriellen Schaden. Potentielle Schäden sind deshalb beispielsweise Ängste, Stress sowie Komfort- und Zeiteinbußen und die potentielle Stigmatisierung, die Diskriminierung, die Rufschädigung und der Verlust von Vertraulichkeit durch einen Negativeintrag bei einer Auskunftei, ohne dass dieser an Dritte übermittelt wird (vgl. hierzu auch Kühling/Buchner/Bergt, 3. Aufl. 2020, DS-GVO Art. 82 Rn. 18a-18b; Quaas, BeckOK Datenschutzrecht, 39. Ed., Stand 01.11.2021, Rn. 24). Dieser immaterielle Schaden, auch, wenn er im Einzel- und Regelfall niederschwellig sein wird, ist auszugleichen. Einen Schaden erst dann anzunehmen, wenn es zu einer mit einer unrechtmäßigen Zugänglichmachung von Daten liegenden (öffentlichen) Bloßstellung, einem Identitätsdiebstahl, einer Weitergabe sensibler Informationen oder einer anderen ernsthaften Beeinträchtigung für das Selbstbild oder Ansehen einer Person kommt, und ein besonderes immaterielles Interesse zu verlangen, das über den allein durch die Verletzung an sich hervorgerufenen Ärger oder sonstige Gefühlsschäden hinausgeht, verkennt den autonom und nach Erwägungsgrund 146 ausdrücklich weit auszulegenden Begriff des Schadens (Kühling/Buchner/Bergt, 3. Aufl. 2020, DS-GVO Art. 82 Rn. 18a-18b) und missachtet den individuellen Ausgleichsanspruch im Hinblick auf die aufgezeigten Folgen. Eine solche Sichtweise greift also zu kurz. Die vorgenannten Beschränkungen bleiben bei der Frage nach dem Schadensersatzanspruch dem Grunde nach außer Betracht, sondern sind erst im Kontext der Höhe des Ersatzanspruches zu berücksichtigen. Maßgeblich ist, ob die betroffene Person mit dem Beweismaß des § 286 ZPO die immaterielle Betroffenheit darlegen und nachweisen kann. Deren Intensität ist dann mit dem Beweismaß des § 287 ZPO bei der Höhe des Anspruches zu berücksichtigen. Erst hier kommen dann die weiter denkbaren immateriellen Beeinträchtigungen der Bloßstellung oder das notwendige Schutzniveau der betroffenen Daten zum Tragen.
Die Genugtuungsfunktion kommt dann - ergänzend - zum Tragen, wenn es zu einer tatsächlichen Beeinträchtigung der Schutzgüter im Verhältnis zu Dritten im Sinne einer Verwendung der pflichtwidrig verarbeiteten personenbezogenen Daten gegenüber Dritten gekommen ist. Hier greift also nicht (nur) die Sorge vor der Stigmatisierung, Diskriminierung oder Rufschädigung, sondern das in dem Datenschutzverstoß liegende Risiko hat sich nun verwirklicht. Das steigert einerseits die Anforderungen an die Ausgleichsfunktion und begründet zugleich innerhalb des
einheitlich zu bestimmenden immateriellen Ersatzanspruchs die Genugtuung als Bestimmungsmerkmal für die Höhe. Genau diese Verarbeitung unter Beteiligung Dritter bewirkt die zu korrigierende Bloßstellung außerhalb dadurch verursachter materieller Schäden. Dies kann bei der Konfrontation mit Negativauskünften bei einer Kreditanfrage ebenso der Fall sein, wie bei der Bewerbung um eine Mietwohnung oder negativen Auskünften im Rahmen eines Arbeitsverhältnisses. Auch die Verweigerung von Postpaid-Angeboten wegen negativer Scores kann hierzu gehören. Die betroffene Person hat auf der Grundlage der ihr zustehenden Auskunftsansprüche nach Art. 15 DSGVO regelmäßig keine Schwierigkeiten die Verarbeitung der Daten gegenüber Dritten nachzuweisen und auf dieser Grundlage die Genugtuungsfunktion geltend zu machen.
Nicht übersehen werden darf die generalpräventive Wirkung des immateriellen Schadensersatzanspruches. Im Spannungsfeld zwischen dem Risiko der entgeltlichen Sanktionierung von folgenlosen Verstößen gegen die DSGVO durch einen immateriellen Schadensersatzanspruch nach Art. 82 DSGVO, den Aufgaben des kollektiven Rechtsschutzes durch Aufsichtsbehörden mit den Sanktionsmöglichkeiten nach Art 84. DSGVO, dem Verhältnismäßigkeitsgrundsatz und dem Grundsatz, die gleiche Pflichtverletzung mit der gleichen Zielsetzung nicht doppelt zu sanktionieren, muss dem Grundanliegen der DSGVO, schon die Verarbeitung der Daten im Kontext der Schutzzwecke zu gewährleisten, Rechnung getragen werden. Schon bei der Bestimmung der Zwecke, den angenommenen Rechtsfertigungsgründen und der ggfs. vorzunehmenden Datenschutzfolgeabwägung muss das Schutzniveau auch durch den immateriellen Schadensersatzanspruch effektiv gewahrt werden. Hier gilt es also im Lichte des immateriellen Schadensersatzanspruches nach Art. 82 DSGVO Anreize zu schaffen, dass das Schutzniveau so hoch ist, dass es zur Realisierung des Schadensersatzrisikos erst gar nicht kommt. Dabei muss die generalpräventive Wirkung sich nicht in besonders hohen immateriellen Schadensersatzansprüchen niederschlagen, sondern kann gerade in der Breitenwirkung - auch kleine Verstöße werden ohne Bagatellgrenze sanktioniert - ihre Funktion erfüllen. Wo Menschen arbeiten, passieren Fehler. Kommt es hierzu im Einzelfall, ist die geringere Sanktion verhältnismäßig und gleichwohl spürbar und damit effektiv. Kommt es dagegen zu vielfachen Pflichtverletzungen und Rechtsverstößen, wird sich aus vielen kleinen Ansprüchen - zumal diese auch sowohl kollektiv als im Rahmen von Legal-Tech-Angeboten sehr breit geltend gemacht werden -, schnell ein großer finanzieller Verlust bei dem betroffenen Unternehmen einstellen. Bei großer oder größerer Quantität der Pflichtverletzungen wird also auch eine höhere Effektivität kleinerer Schadensersatzansprüche im Einzelfall erreicht. Dabei muss auch das weiter in Art. 1 DSGVO formulierte Ziel gesehen werden, den freien Verkehr von Daten sehr wohl zu ermöglichen. Bonitätsprüfungen schützen nicht nur Wirtschaftsunternehmen vor leistungsunfähigen und leistungsunwilligen Kunden, sondern auch Verbraucher vor einer übermäßigen Verschuldung gerade im bargeldlosen Zahlungsverkehr. Die generalpräventive Wirkung darf in der Bemessung des immateriellen Schadensersatzes deshalb nicht dazu führen, dass wegen des Schadensersatzrisikos keine Einmeldungen bei Wirtschaftsauskunfteien mehr erfolgen, weil dann andere Schutzzwecke negativ tangiert werden. Der in seinen finanziellen Verhältnissen nicht gefestigte Verbraucher soll
durch Einmeldungen davor geschützt werden, schnell in die Verschuldung zu geraten. Die Warnfunktion durch die Beschränkung kreditierter Geschäfte ist ein Baustein, um dies zu gewährleisten. In diesem Kontext ist dann auch zu bewerten, dass die Zuerkennung immateriellen Schadensersatzes nicht die einzige Sanktionsform gegenüber dem pflichtwidrig handelnden Unternehmen darstellt, gerade dann, wenn über Beschwerden an Aufsichtsbehörden beharrliche Rechtsverstöße festzustellen sind. Auch darf am Ende keine Motivation bestehen, wegen hoher immaterieller Ersatzansprüche Datenschutzverstöße zu provozieren, insbesondere, wenn schon ein geringes Verschulden oder sogar nur der objektive Pflichtverstoß den Anspruch auslöst. Bei der Bewertung der generalpräventiven Wirkung in der Bemessung des immateriellen Schadensersatzanspruches der Höhe nach ist deshalb auch zu berücksichtigen, inwieweit im konkreten Einzelfall die verfolgten Ziele schon durch Ausgleich und Genugtuung erreicht sind oder es einer überschießenden Wirkung bedarf.
Das LG Berlin hat entschieden, dass kein Anspruch auf Schadensersatz aus Art. 82 DSGVO wegen der Recherche nach einer Adresse bei Google Maps besteht. Der Adresse allein fehlt es schon am Personenbezug
Aus den Entscheidungsgründen: I. Die Klägerin hat keinen Schadensersatzanspruch gemäß Art. 82 DSGVO.
Gemäß Art. 82 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.
Es fehlt bereits an einem Verstoß gegen die Datenschutzgrundverordnung. Insbesondere hat der Beklagte weder personenbezogene Daten entgegen Art. 5 DSGVO nicht rechtmäßig verarbeitet noch liegt eine unzulässige Übermittlung von personenbezogenen Daten in einen Drittstaat und damit ein Verstoß gegen Art. 44 DSGVO vor.
Es ist bereits unklar, welche genauen Adressdaten die Richterin bei Google Maps eingegeben hat. Auch wenn bereits die Angabe „...straße, ... Berlin“ ausreichen könnte, um dann zu dem entsprechenden Hausgrundstück mit der Nr. ... in Google Maps zu „wandern“, mag hier unterstellt werden, dass die Richterin die Daten „...straße ..., ... Berlin“ eingegeben hat. Doch auch bei der bloßen Nutzung der Anschrift „...straße ..., ... Berlin“ auf der Website von Google fehlt es an einem personenbezogenen Datum.
„Personenbezogene Daten“ sind gemäß Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.
In der bloßen Eingabe einer (puren) Adresse ist noch kein personenbezogenes Datum zu erblicken. Denn die bloße Adresse ohne Bezugnahme auf eine Person – sei es durch namentliche Nennung, sei es durch die Bezugnahme auf ein diese Adresse betreffendes Eigentums-, Besitz- oder Mietverhältnis o.ä. – stellt keinen hinreichenden Personenbezug dar. Hierbei ist zu berücksichtigen, dass der Zweck der DSGVO der Schutz der Grundrechte natürlicher Personen bei der Verarbeitung der ihnen zugeordneten Daten ist, nicht ein wie auch immer gearteter Schutz der Daten selbst oder wirtschaftlicher oder anderer Interessen der datenverarbeitenden Organisationen. Die Begriffsbestimmungen und andere Regelungen der DSGVO sind daher immer vor dem Hintergrund des möglichen Effekts der Verarbeitung von personenbezogenen Daten auf die betroffenen Personen zu verstehen (Ehmann/Selmayr/Klabunde, 2. Aufl. 2018, DSGVO Art. 4 Rn. 7).
Ohne dass dies entscheidungserheblich wäre, gesteht die Klägerin im Übrigen auf S. 5 f. ihres Schriftsatzes vom 26. Juli 2021 selbst zu, dass die „zugänglichen Luftbildaufnahmen (Google Maps oder Google Earth) der Kreuzungssituation … schon keine personenbezogenen Daten“ darstellen. Ein rechtlich relevanter Unterschied der dort abgerufenen Luftbilder einer Kreuzung in Nordrhein-Westfalen, die auch über die Eingabe der an die Kreuzung angrenzenden Adresse in Google Maps lokalisiert worden sein dürfte, und der hier abgerufenen Luftbilder in Berlin erschließt sich nicht. Soweit die Klägerin hierzu in der mündlichen Verhandlung vorgetragen hat, dass im dortigen Fall auch nicht die Adresse eines Verfahrensbeteiligten „gegoogelt“ worden sei, stellt sich die datenschutzrechtliche Situation hier nicht anders dar. Denn auch hier wurde von der Richterin am Amtsgericht Pankow/Weißensee nicht ein Bezug zwischen Verfahrensbeteiligung/-stellung einer Person und der eingegebenen Adresse hergestellt.
II. Auch ein Amtshaftungsanspruch aus § 839 BGB, Art. 34 GG ist nicht gegeben, weil es bereits an einer Amtspflichtverletzung durch die Richterin am Amtsgericht Pankow-Weißensee fehlt.
BGH
Urteil vom 22.02.2022 VI ZR 14/21
DS-GVO Art. 15 Abs. 1 Halbsatz 2 lit. g
Der BGH hat entschieden, dass der Auskunftsanspruch aus Art. 15 DSGVO durch datenschutzrechtlich geschützte Interessen Dritter eingeschränkt sein kann. Insofern ist eine Abwägung des Einzelfalls erforderlich.
Leitsatz des BGH:
Zur Beschränkung des Auskunftsrechts über die Herkunft von Daten gemäß Art. 15 Abs. 1 Halbsatz 2 lit. g DS-GVO durch datenschutzrechtlich geschützte Interessen Dritter.
BGH, Urteil vom 22. Februar 2022 - VI ZR 14/21 - OLG Stuttgart - LG Ravensburg
Das OLG Frankfurt hat entschieden, dass ein Schadensersatzanspruch aus Art. 82 DSGVO den Nachweis eines konkreten Schadens erfordert. Zudem führt das Gericht aus, dass sich aus Art. 17 DSGVO auch ein Unterlassungsanspruch ergibt.
Aus den Entscheidungsgründen:
Hinsichtlich der Verurteilung im Hinblick auf den Unterlassungsanspruch ist die Berufung der Beklagten hingegen unbegründet.
Dem Kläger steht ein Anspruch gegen die Beklagte auf Unterlassung der Verarbeitung seiner personenbezogenen Daten zu, sofern diese in der Form erfolgt wie mit der Nachricht vom 23.10.2018 an einen Dritten. Dies ergibt sich aus Art. 17 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, ABl. 2016 L 119 S. 1, berichtigt in ABl. 2016 L 314 S. 72 und ABl. 2018 L 127 S. 2; im Folgenden: DS-GVO), wie zwischenzeitlich höchstrichterlich geklärt wurde (vgl. BGH, Urteile vom 12.10.2021 - VI ZR 488/19 - VI ZR 489/19 -, jeweils Rn. 10, juris; BGH, Urteil vom 27. Juli 2020 - VI ZR 405/18, BGHZ 226, 285 Rn. 20, 23 [zur Auslistung]; BSGE 127, 181 Rn. 13), so dass ein Rückgriff auf §§ 823 Abs. 1 i.V.m. 1004 BGB nicht erforderlich ist, um einen lückenlosen Individualrechtsschutz hinsichtlich der Verarbeitung personenbezogener Daten von natürlichen Personen zu gewährleisten (so noch: OLG Dresden, Urteil vom 14. Dezember 2021 - 4 U 1278/21 -, Rn. 47, juris; OLG München, Urteil vom 19. Januar 2021 - 18 U 7243/19 Pre -, Rn. 62, 65, juris).
Die Voraussetzungen des sich aus Art. 17 Abs. 1 DS-GVO (auch) ergebenden Unterlassungsanspruchs sind erfüllt.
Die DS-GVO ist vorliegend anwendbar, da sie seit dem 25.5.2018 (Art. 99 Abs. 2 DS-GVO) unmittelbar in jedem Mitgliedstaat der Europäischen Union Geltung erlangt hat (BGH, Urteil vom 27. Juli 2020 - VI ZR 405/18 -, BGHZ 226, 285-310, Rn. 110 - 13).
Die Beklagte hat durch die Übermittlung der Nachricht vom 23.10.2018 „personenbezogene Daten" des Klägers im Sinne von Art. Art. 4 Nr. 1 DS-GVO an einen Dritten offenbart. Insoweit sind der Name, das Geschlecht, die Tatsache des laufenden Bewerbungsverfahrens und die Gehaltsvorstellung des Klägers als personenbezogene Daten anzusehen.
Sofern die Beklagte dies hinsichtlich der Anrede „Herr B" verneint, vermag der Senat dem nicht zu folgen, da der Name in der Legaldefinition sogar ausdrücklich erwähnt wird. Art. 4 Nr. 1 DS-GVO benennt beispielhaft Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, der Name wird im Rahmen der alternativen Aufzählung an erster Stelle aufgeführt.
Nach der Definition sind „personenbezogene Daten" alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann. Der Begriff der "personenbezogenen Daten" nach Art. 4 DS-GVO ist damit weit gefasst und umfasst nach der Legaldefinition alle Informationen, die sich auf eine identifizierbare natürliche Person beziehen.
Unter die Vorschrift fallen damit neben Identifikationsmerkmalen und äußeren Merkmalen auch sachliche Informationen wie etwa Vermögens- und Eigentumsverhältnisse, Kommunikations- und Vertragsbeziehungen und alle sonstigen Beziehungen der betroffenen Person zu Dritten und ihrer Umwelt (Klar/Kühling in Kühling/Buchner, DS-GVO/BDSG, Art. 4 DS-GVO Rn. 8; Ernst in: Paal/Pauly, DS-GVO/BDSG, Auflage 2021, Art. 4 Rn. 14; OLG Köln, Urteil vom 26. Juli 2019 - I-20 U 75/18 -, Rn. 304, juris).
Die hier offenbarten Informationen, nämlich der Nachname des Klägers und sein der Anrede zu entnehmendes Geschlecht, sowie die aus der Nachricht herauslesbaren Angaben, insbesondere die Tatsache eines laufenden Bewerbungsprozesses bei der Beklagten, stellen persönliche Informationen dar. Auch die Gehaltsvorstellung des Klägers, die sich aus der angegebenen Gehaltsobergrenze der Beklagten rückschließen lässt, stellt eine sachliche Information dar. Dabei kann die Angabe „80k + variable Vergütung" nicht mit Angaben in einer Stellenanzeige gleichgesetzt werden, wie es die Berufung meint. Eine dahingehende Interpretation lässt den Kontext der Nachricht außer Acht. Dort wird ausdrücklich erwähnt, dass die Gehaltsvorstellungen des Klägers nicht erfüllt werden können und im Anschluss äußert die Beklagte ihrerseits eine Gehaltsobergrenze. Aus diesen beiden Angaben lassen sich Rückschlüsse auf die Gehaltsvorstellungen des Klägers ziehen.
Auch die Identifizierbarkeit ist zu bejahen. Dies gilt auch dann, wenn der Nachname häufig vorkommen sollte. Sofern die Beklagte einwendet, das Landgericht habe die Anlage B 3 und die darin aufgeführten weiteren Nutzer der Plattform Xing mit gleichem Nachnamen nicht hinreichend gewürdigt, verhilft dies der Berufung nicht zum Erfolg. Insoweit kann als zutreffend unterstellt werden, dass auf der Plattform Xing mehrere Personen den Nachnamen des Klägers tragen, dies hindert jedoch die Identifizierbarkeit nicht. Es ist insbesondere nicht erforderlich, dass sich alle zur Identifizierung der betreffenden Person erforderlichen Informationen in den Händen einer einzigen Person befinden (vgl. EuGH, Urteil vom 20. Dezember 2017 - Rs. C- 434/16, NJW 2018, 767, Nowak). Der Nachname ist ein gängiges Identifikationsmerkmal, es ist nicht erforderlich, dass die Identifikation „zweifelsfrei" ermöglicht wird, eine dahingehende Voraussetzung, die die Beklagte postulieren will, besteht nicht, da eine solche Einschränkung dem Text der Verordnung nicht zu entnehmen ist. Zudem ist es vorliegend dem Dritten unmittelbar gelungen, den Kläger zu identifizieren, da er sich nach Erhalt der Nachricht direkt an diesen gewandt hat. Auf die Frage, ob dem Adressaten der Nachricht die Identifikation des Klägers aufgrund der übermittelten Angaben möglich war, oder ob er, wie es die Berufung meint, auf dessen Antwort angewiesen war, kommt es für die Qualifikation als „personenbezogene Daten" i.S. d. Art. 4 Nr. 1 DS-GVO nicht an (zu Namensangaben: BGH, Urteil vom Oktober 2021 - VI ZR 489/19 -, Rn. 26, juris; zu Name, Geschlecht, Religion und Sprache: EuGH, Urteil vom 17.07.2014 - Rs. C-141/12, Rs. C-372/12, CR 2015, 103, 104).
Die Versendung einer Nachricht, fällt, sofern sie - wie hier - personenbezogene Daten enthält, in den sachlichen Anwendungsbereich der Datenschutz Grundverordnung (Art. 2 Abs. 1 DS-GVO).
Die Beklagte ist verantwortliche Stelle für die Verarbeitung von Daten und damit "Verantwortlicher" im Sinne von Art. 4 Nr. 7 DS-GVO (Ernst in: Paal/Pauly, a.a.O., Art. 4 Rn. 55).
Indem die Beklagte die Daten im Rahmen des Bewerbungsverfahrens erhebt, erfasst, ordnet, speichert und gegenüber Dritten offenlegt, "verarbeitet" sie diese Daten im Sinne von Art. 4 Nr. 2 DS-GVO. Danach ist eine „Verarbeitung" jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
Die Übermittlung der Nachricht mit den enthaltenen personenbezogenen Daten des Klägers an einen unbeteiligten Dritten stellt eine Verarbeitung seiner Daten in Form der beispielhaft genannten „Offenlegung durch Übermittlung" dar.
Die Berufung wendet ein, es handele sich vorliegend nicht um eine Verarbeitung, da mit dem versehentlichen „Klick", mit dem die Nachricht an den falschen Empfänger geschickt wurde, eine manuelle Handlung vorgenommen worden sei. Ein solches manuelles Verklicken stelle bereits keinen „Vorgang" im Sinne des Art. 4 Nr. 2 DS-GVO dar. Dies ist abzulehnen, da die Legaldefinition auch Vorgänge ohne Hilfe automatisierter Verfahren benennt und damit das manuelle Handeln ausdrücklich einschließt.
Auch die Versendung an einen zufälligen Adressaten schadet dabei nicht. Insoweit hat der Europäische Gerichtshof mit Urteil vom 25.11.2021 zu Inbox-Werbung klargestellt, dass eine „Verwendung elektronischer Post für die Zwecke der Direktwerbung" im Sinne der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) darstellt, ohne dass die Bestimmung der Empfänger dieser Nachrichten nach dem Zufallsprinzip von Bedeutung ist (EuGH, Urteil vom 25. November 2021 - C-102/20 -, juris). Dies gilt für die hier maßgebliche Nachricht in gleicher Weise.
Die Verarbeitung der personenbezogenen Daten des Klägers durch Versendung an einen in das Bewerbungsverfahren nicht eingebundenen Dritten war unrechtmäßig und insbesondere nicht von einer Einwilligung des Klägers erfasst. Durch den Umstand des Bewerbungsverfahrens hat der Kläger weder in die Verarbeitung seiner personenbezogenen Daten durch Offenlegung gegenüber Dritten gemäß Art. 6 Abs. a) DS-GVO eingewilligt noch sind die in Art. 6 b) bis f) genannten Voraussetzungen, etwa die Notwendigkeit der Weitergabe im Bewerbungsverfahren, diesbezüglich gegeben.
Auch die für eine Begründetheit des Unterlassungsanspruchs erforderliche Wiederholungsgefahr ist gegeben. Im Umfang des vorliegenden Datenschutzverstoßes besteht insofern eine tatsächliche Vermutung (Grüneberg/Herrler, BGB 81. Aufl., § 1004, Rn. 32), welche die Beklagte nicht widerlegt hat. Denn insofern vertritt sie weiterhin die Auffassung, dass es sich nicht um einen Datenschutzverstoß handelte, keine persönlichen Daten offenbart wurden und eine Unterlassungserklärung im Umfang des Klageantrages von ihr nicht geschuldet ist (ebenso: OLG Dresden, Urteil vom 14. Dezember 2021 - 4 U 1278/21 -, Rn. 47, juris).
Soweit der Klageantrag auch Daten erfasst, die nicht Gegenstand der Nachricht vom 23.10.2018 waren, ergibt sich die insofern erforderliche Erstbegehungsgefahr aus dem unstreitigen bzw. bewiesenen Sachverhalt. Denn die Beklagte beruft sich auf ein fahrlässiges „Verklicken" einer Mitarbeiterin im Rahmen der Kommunikation über Xing. Eine bewusste Auswahl hinsichtlich der weitergegebenen Daten erfolgte hierbei nicht, da die Weiterleitung an Herrn A ja unbeabsichtigt geschah und die Mitarbeiterin, Frau D, meinte, die Nachricht an den Kläger zu senden, was datenschutzrechtlich unbedenklich gewesen wäre. Solange die Beklagte nichts unternimmt, Fehler dieser Art künftig zu vermeiden, besteht daher die Gefahr entsprechender Datenschutzverstöße. Soweit hierbei andere von dem Kläger über Xing mitgeteilte Daten betroffen sind, besteht eine erstmals ernsthaft drohende Beeinträchtigung, was für eine Unterlassungsanspruch ausreichend ist (Grüneberg/Herrler, a.a.O.).
Mangels hinreichender Unterlassungserklärung, der es im Regelfall zur Widerlegung der Wiederholungs- bzw. der Erstbegehungsgefahr bedarf (OLG München, Urteil vom 19.1.2021 - 18 U 7243/19, Rn. 63 juris), besteht diese fort. Zwar lässt eine (ordnungsgemäße) Unterlassungsverpflichtungserklärung auch ohne Annahme durch den Gläubiger die Wiederholungsgefahr grundsätzlich entfallen; hierzu muss die Erklärung den Unterlassungsanspruch nach Inhalt und Umfang aber voll abdecken (BGH, Urteil vom 21.6.2005. VI ZR 122/04, Rn. 6, juris m.w.N.). Dies ist jedoch nicht der Fall, denn die strafbewehrte Unterlassungserklärung vom 4.3.2019 (Anlage K 5, Bl. 29 d.A.) beschränkte sich auf den genauen Wortlaut der streitgegenständlichen Nachricht. Vor neuen Verletzungshandlungen schützt sie daher nicht in ausreichender Weise.
Der Kläger muss nämlich insgesamt vor der rechtswidrigen Weitergabe seiner personenbezogenen Daten geschützt werden. Diese Gefahr besteht nicht nur im Hinblick auf die konkrete Nachricht, sondern auch hinsichtlich der Weitergabe seiner Angaben an Dritte in vergleichbarer Weise. Da die Begrenzung der Unterlassungserklärung auf den konkreten Wortlaut der Nachricht zu eng gefasst ist, ist die Berufung hinsichtlich des Unterlassungsanspruchs unbegründet.
Dass der konkrete Verstoß mit gleichem Wortlaut erneut erfolgen könnte, liegt angesichts der Individualität der Nachricht fern. Vergleichbare Verstöße hingegen, die bei nicht ausreichend sorgsamen Umgang mit persönlichen Daten drohen könnten, sind nicht ausgeschlossen. Sofern die Berufung einwendet, eine Wiederholung sei ausgeschlossen, da es sich um ein Augenblicksversagen einer Mitarbeiterin gehandelt habe, ist dies für die Bewertung der Wiederholungsgefahr nach Auffassung des Senats nicht der entscheidende Gesichtspunkt. Es obliegt der Beklagten als Verantwortliche für die von ihr verarbeiteten personenbezogenen Daten, ihre Mitarbeiter im Umgang ausreichend zu schulen (so auch: Golland, DSB 2020, 286-288; Gündel, Grundeigentum 2021, 1109-1111) sowie ggf. durch technische Maßnahmen vorhersehbare Fehlanwendungen zu vermeiden.
Insoweit hat das Landgericht richtigerweise Beweis erhoben durch Vernehmung des Zeugen E zu den seitens der Beklagten im Zusammenhang mit dem Rechtsverstoß ergriffenen Maßnahmen. Es ist dabei zu der Überzeugung gelangt, dass keine Schulungsmaßnahmen oder anderweitige Vorkehrungen von der Beklagten hinsichtlich der betreffenden Mitarbeiterin oder deren Kollegen veranlasst worden sind, die mit der notwendigen Sicherheit etwaige künftige Rechtsverstöße vermeiden und damit die Vermutung widerlegen könnten. Das Landgericht hat festgestellt, dass der Zeuge nicht bestätigen konnte, dass alle relevanten Mitarbeiter hinsichtlich des Umgangs mit personenbezogenen Daten geschult worden seien. Zwischen der streitgegenständlichen Nachricht und der Benachrichtigung des Zeugen lag ein Zeitraum von mehr als sechs Wochen, so dass auch eine unverzügliche Reaktion auf den Datenschutzverstoß seitens der Beklagten nicht festgestellt werden konnte. Zudem hat die Beweisaufnahme ergeben, dass neue Mitarbeiter der Beklagten nicht im Hinblick auf die Problematik geschult werden, sondern lediglich eine Erklärung abgeben müssen, dass sie die Datenschutzbestimmungen einhalten werden.
Der Senat teilt die Einschätzung des Landgerichts, wonach diese Maßnahmen nicht ausreichen, um eine Wiederholungsgefahr auszuschließen. Denkbar wären Schulungsmaßnahmen zwecks Sensibilisierung der Mitarbeiter hinsichtlich konkreter Fehlerquellen oder die Vorgabe anderer Kommunikationswege als die direkt über das Portal Xing zugeleitete Nachricht, die ein hohes Risiko der Falschadressierung birgt. Die Berufung greift die Feststellungen des Landgerichts zum Ergebnis der durchgeführten Beweisaufnahme nicht an.
Die Wiederholungsgefahr entfällt schließlich auch nicht teilweise im Umfang der abgegebenen Erklärung. Zwar sind - im Falle einer sachlich teilbaren Wiederholungsgefahr - Teilunterwerfungserklärungserklärungen möglich (BGH, Urteil vom 21.6.2005, a.a.O). Dies ist vorliegend jedoch nicht in relevanter Weise gegeben. Denn ein nochmaliges Versenden der gleichen Nachricht, was allein Gegenstand der abgegebenen Unterlassungserklärung ist, steht nicht in Rede. Zwar sind Unterlassungserklärungen der Auslegung zugänglich. Eine Auslegung dahingehend, dass die Beklagte sich strafbewehrt zur Unterlassung jeder künftigen Verletzung der in der Nachricht vom 23.10.2018 gegenständlichen Daten (Nachname, Geschlecht, Umstand der Bewerbung, Gehaltsvorstellung) verpflichtet hat, lässt sich dieser aufgrund des ausdrücklich eng beschränkten Wortlauts jedoch nicht entnehmen. Hiergegen spricht zudem die von der Beklagten nach wie vor vertretenen Auffassung, es liege überhaupt kein Datenschutzverstoß vor und sie dürfe die genannten Daten daher weiterverarbeiten.
Die Geltendmachung des Anspruchs innerhalb eines angemessenen Zeitraums nach dem Verstoß ist nicht zu beanstanden. Das Abwarten des Bewerbungsprozesses ist nicht rechtsmissbräuchlich. Der Anspruchsinhaber darf die Durchsetzung seines Rechts zunächst zurückstellen, ohne dass die sich anschließende Geltendmachung als missbräuchlich darstellt. Die Enttäuschung über die Nichtberücksichtigung im Bewerbungsverfahren mag für die Geltendmachung des Unterlassungsanspruchs mitursächlich sein, den Einwand des Rechtsmissbrauchs vermag sie nicht auszulösen.
Im Hinblick auf den zugesprochenen Schadenersatzanspruch hat die Berufung der Beklagten Erfolg, zugleich ist der Anschlussberufung des Klägers der Erfolg zu versagen, da die Zahlungsklage unbegründet ist.
Dem Kläger steht kein Anspruch aus Art. 82 DS-GVO gegen die Beklagte auf Ersatz des von ihm geltend gemachten immateriellen Schadens im Zusammenhang mit der rechtswidrigen Datenverarbeitung zu.
Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde, Art. 82 Abs. 2 Satz 1 DSGVO. Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist, Art. 82 Abs. 3 DSGVO.
Die Voraussetzungen für einen Geldentschädigungsanspruch in Bezug auf einen dem Kläger zugefügten immateriellen Schaden liegen nach Auffassung des Senats nicht vor, da es jedenfalls an der Darlegung des Eintritts eines Schadens bei dem Kläger fehlt.
Zwar liegt, wie ausgeführt, ein Verstoß durch Übermittlung von personenbezogenen Daten an einen unbeteiligten Dritten vor. Zudem ist das Landgericht auch richtigerweise zusätzlich von einem Verstoß gegen Art. 34 Abs. 1 DS-GVO ausgegangen und hat ein durch die Verletzung des Schutzes personenbezogener Daten voraussichtlich hohes Risiko für die persönlichen Rechte und Freiheiten angenommen. Die Information des Klägers über den Datenschutzverstoß erfolgte nicht unverzüglich, sondern erst auf dessen Nachfrage.
Die Frage, ob bereits der Datenschutzverstoß als solcher für das Entstehen eines Schadensersatzanspruchs ausreicht oder es darüber hinaus der Darlegung und des Nachweises eines konkreten (auch: immateriellen) Schadens bedarf, ist in Rechtsprechung und Literatur umstritten (für ein Ausreichen des Eingriffs in das allgemeine Persönlichkeitsrecht: z.B. OLG München, Urteil vom 4.2.2019 - 15 U 3688/18 -, juris, Rn. 19 ff., Ehmann/Selmayr/Nemitz, Datenschutz-Grundverordnung, 2. Aufl., Art. 82 DS-GVO Rn. 11-13; für das Erfordernis eines nachgewiesenen Schadens z.B. LAG Baden-Württemberg, Urt. v. 25.02.2021, 17 Sa 37/20, zit. nach juris, Rn. 96, LG Karlsruhe, Urt. v. 02.08.2019, 8 O 26/19, zit. nach juris, Rn. 19, Ernst, juris PR-ITR 1/2021 Anm. 6 in einer Anmerkung zu dem vorliegend angefochtenen Urteil des Landgerichts Darmstadt v. 26.05.2020, 13 O 244/19, m.w.N.). Insbesondere von den Verfechtern eines Anspruchs ohne Nachweis eines konkreten Schadens wird zudem vertreten, dass die Beeinträchtigung über eine bloße Bagatellverletzung hinausgehen muss (vgl. hierzu die Quellenangaben bei Ernst, a.a.O.).
Sowohl der österreichische Oberste Gerichtshof (Vorabentscheidungsersuchen vom 12.05.2021, ZD 2021, S. 631, wobei der Gerichtshof die Auffassung vertritt, es sei der Nachweis eines Schadens erforderlich) als auch das Bundesarbeitsgericht (Vorabentscheidungsersuchen vom 26.08.2021, 8 AZR 253/20-A, wobei das BAG den Nachweis eines Schadens nicht für notwendig hält) haben die hiermit zusammenhängenden Fragen dem Europäischen Gerichtshof zur Vorabentscheidung vorgelegt.
Der Senat folgt im Ergebnis der Auffassung, wonach über den festgestellten Verstoß gegen die Vorschriften des DS-GVO hinaus Voraussetzung für eine Entschädigung in Geld der Nachweis eines konkreten (auch immateriellen) Schadens ist. Hierfür spricht zunächst bereits der Wortlaut von Art. 82 Abs. 1 DS-GVO, der über den Verstoß hinaus ausdrücklich die Entstehung eins Schadens („...Schaden entstanden ist") voraussetzt (Eichelberger, WRP 2021, 159-167; Wybitul/Brams, ZD 2020, 644-646). Hätte der Verordnungsgeber eine nur an den Rechtsverstoß anknüpfende, vom Nachweis eines konkreten Schadens unabhängige Zahlungspflicht anordnen wollen, hätte es demgegenüber nahegelegen, dies - wie z.B. im Luftverkehrsrecht gem. Art. 7 Abs. 1 FluggastrechteVO (EG) 261/2004 - durch Pauschalen zu regeln (Eichelberger, aaO. Rn. 24). In dem Erwägungsgrund 146 S. 3 zu der DS-GVO heißt es zwar, dass der Begriff des Schadens im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden soll, die den Zielen der Verordnung in vollem Umfang entspricht. Der Anspruch soll nach Erwägungsgrund 146 S. 6 sicherstellen, dass die betroffenen Personen einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten. Das schließt ein, dass Schadensersatzforderungen abschrecken und weitere Verstöße unattraktiv machen sollen. Der Begriff des Schadens in Art. 82 DSGVO ist autonom auszulegen, mithin kommt es nicht darauf an, ob ein bestimmter Schaden nach nationalem Recht als Schaden angesehen werden könnte (Bergt in: Kühling/Buchner, DS-GVO BDSG, 3. Aufl. 2020, Art. 82 Rn. 17; vgl. in diesem Zusammenhang auch: BVerfG 14.1.2021 - 1 BvR 2853/19 - Rn. 20, juris).
Auch hiernach ist der Schaden jedoch nicht mit der zugrundeliegenden Rechtsgutsverletzung gleichzusetzen. Denn ausdrücklich muss der Schaden „erlitten" werden, woraus folgt, dass dieser tatsächlich entstanden sein muss und nicht lediglich befürchtet wird (LAG Baden-Württemberg, Urte. v. 25.02.2021, 17 Sa 37/20, zit. nach juris, Rn. 96 unter Bezug auf Frenzel in: Paal/Pauly, a.a.O., Art. 82, Rn. 10 und Klein GRUR-Prax 2020, 433). Der bloße Verstoß gegen Bestimmungen der DS-GVO reicht daher nicht aus.
Hinzu kommt schließlich, dass weder Art. 82 DS-GVO noch dessen Erwägungsgründe einen Hinweis darauf enthalten, dass geringfügige (Bagatellschäden) nicht auszugleichen wären; vielmehr sieht Erwägungsgrund 148 Satz 2 vor, dass lediglich ausnahmsweise bei geringfügigen Verstößen auf die Verhängung einer Geldbuße verzichtet werden kann (LAG Baden-Württemberg, a.a.O. m.w.N.).
Das Erfordernis des Nachweises eines tatsächlich erlittenen Schadens ist daher auch der Sache nach erforderlich, um ein vom Verordnungsgeber nicht gewolltes Ausufern von Schadensersatzforderungen in allen Fällen eines - tatsächlich für den Betroffenen folgenlosen - Datenschutzverstoßes zu vermeiden (so insbesondere auch Ernst, a.a.O.).
Das Vorliegen eines konkreten -immateriellen- Schadens, wozu auch Ängste, Stress sowie Komfort- und Zeiteinbußen zählen (Bergt in: Kühling/Buchner, DS- GVO BDSG, 3. Auflage 2020, Rn. 18 b), hat der Kläger nicht dargetan. Der Vortrag in seinem auf einen entsprechenden Hinweis des Senats eingereichten Schriftsatz vom 11.1.2022 (Bl. 326 ff. d. A.) erschöpft sich in der - erneuten- Darlegung des Datenschutzverstoßes. Insofern führt der Kläger an, dass der Schaden nicht in dem bloßen, abstrakten Kontrollverlust über die offenbarten Daten, sondern in der Tatsache liege, dass nunmehr mindestens eine weitere Person, die den Kläger und potentielle wie ehemalige Arbeitgeber kenne, über Umstände Kenntnis habe, die der Diskretion unterlägen. Zudem empfinde der Kläger das „Unterliegen" in den Gehaltsverhandlungen als Schmach, die er nicht an Dritte - vor allem nicht an potentiellen Konkurrenten - weitergegeben hätte.
Nähere Ausführungen zu einem Schaden erfolgen klägerseits nicht. Selbst bei Unterstellung einer „Schmach", vermag der Senat diese nicht als einen immateriellen Schaden zu bewerten. Denn der Kläger hat schon nicht mitgeteilt, welche Größenordnung des Gehaltsrahmens angestrebt, ob die angebotene Summe, die durch variable Anteile ohnehin nicht die Obergrenze bildete und im noch laufenden Bewerbungsverfahren vorläufig war, mit einer Diskreditierung verbunden war.
Dem Kläger steht ein Anspruch auf Erstattung vorgerichtlicher Rechtsanwaltskosten aus dem Gegenstandswert der berechtigt geltend gemachten Unterlassungsansprüche und damit aus der Gebührenstufe bis 15.000,- € zu. Die Hinzuziehung eines Rechtsanwalts war notwendig, da es sich um schwierige Rechtsfragen handelt, für deren Klärung eine anwaltliche Beratung erforderlich ist. Der Anspruch beläuft sich gemäß §§ 2 Abs. 2, 13 RVG Nr. 2300 VV RVG auf 1.029,35 €. Da die Anschlussberufung den erstinstanzlich zuerkannten Betrag von 1.025,55 € nicht angreift, hat es bei diesem zu verbleiben.
Entgegen der Ansicht der Beklagten ist der Senat nicht gehalten, das vorliegende Verfahren auszusetzen und die Sache dem EuGH zur Vorabentscheidung nach Art. 267 Abs. 2, 1 AEUV über die Auslegung von Art. 15 DS-GVO vorzulegen.
Die hier maßgeblichen Rechtsfragen liegen dem EuGH bereits in anhängigen Verfahren (BAG, EuGH-Vorlage vom 26. August 2021 - 8 AZR 253/20 (A) -, Rn. 33, juris; Vorabentscheidungsersuchen des Obersten Gerichtshofs (Österreich) eingereicht am 12. Mai 2021 - juris) vor. Zudem besteht eine Pflicht zur Vorlage nach Art. 267 Abs. 3 AEUV im vorliegenden Verfahren schon deshalb nicht, weil das vorliegende Urteil hier nicht als Entscheidung eines Gerichts ergeht, dessen Entscheidungen selbst im Sinne von Art. 267 Abs. 3 AEUV nicht mehr mit Rechtsmitteln des innerstaatlichen Rechts angefochten werden können. Dem Kläger steht es infolge der diesbezüglich zuzulassenden Revision - dazu unten - frei, die Entscheidung durch den Bundesgerichtshof überprüfen zu lassen (s. OLG Köln, Urteil vom 26. Juli 2019 - I-20 U 75/18 -, Rn. 328, juris).
LAG Berlin-Brandenburg
Urteil vom 18.11.2021 10 Sa 443/21
Das LAG Berlin-Brandenburg hat dem Betroffenen in diesem Fall 2.000 EURO Schadensersatz aus Art. 82 DSGVO wegen verspäteter bzw. unvollständiger Auskunft nach Art. 15 DSGVO zugesprochen.
Aus den Entscheidungsgründen: Die Berufung des Klägers ist aber nur teilweise begründet.
Zutreffend hat die Beklagte in der Berufungserwiderung die jeweiligen Prüffragen für den geltend gemachten Anspruch aufgeworfen.
1. Liegt ein Verstoß gegen Art. 15 DSGVO vor?
2. Ist die Beklagte für einen etwaigen Verstoß verantwortlich?
3. Ist beim Kläger ein Schaden entstanden?
4. Gibt es eine Kausalität zwischen einem etwaigen Verstoß der Beklagten gegen Art. 15 Abs. 1 DSGVO und einem etwaigen beim Kläger eingetretenen Schaden?
5. Trifft den Kläger ein etwaiges Mitverschulden bzw. ist der etwaige Anspruch verwirkt oder rechtsmissbräuchlich geltend gemacht?
6. Ist ggf. die geltend gemachte Entschädigungssumme angemessen?
1. Nach Art. 15 Abs. 1 DSGVO hat der Kläger grundsätzlich das Recht, von der Beklagten eine Bestätigung darüber zu verlangen, ob sie ihn betreffende personenbezogene Daten verarbeitet und ggf. auf Auskunft über diese personenbezogenen Daten und u.a. auf folgende Informationen:
a) die Verarbeitungszwecke;
b) die Kategorien personenbezogener Daten, die verarbeitet werden;
c) die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;
d) falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
e) das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
f) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
g) wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;
Diese Informationen hat die Beklagte dem Kläger nur teilweise erteilt.
2. Es mag sein, dass die Beklagte große Mengen Daten über den Kläger verarbeitet hat. Konkrete Angaben dazu hat die Beklagte nicht gemacht. Anders als das Arbeitsgericht meint, ist das in diesem Fall aber auch unerheblich, da der Kläger keine generelle Auskunft hinsichtlich der von der Beklagten über ihn gespeicherten Daten verlangt hat, sondern beschränkt auf zwei Sachverhalte.
2.1 Zum einen ging es um die Anhörung des Betriebsrates und dessen Zustimmung. Durch die Bezugnahme auf Art. 15 DSGVO war aber in jedem Fall klar und eindeutig, dass der Kläger nicht nur um das Anhörungsschreiben der Arbeitgeberin und das Antwortschreiben des Betriebsrates ging, sondern zugleich auch um die in der Vorschrift genannten weiteren Aspekte. Mit der erteilten Auskunft durch Übersendung der beiden Schreiben hat die Beklagte allenfalls die Auskunftspflicht nach Art. 15 Abs. 1 a) und b) DSGVO erfüllt. Den weitergehenden Anspruch nach Buchst. c) bis g) hat die Beklagte mit ihrer Antwort vom 23. August 2019 offensichtlich nicht erfüllt.
Weder hat die Beklagte mitgeteilt, ob und ggf. gegenüber welchen Personen oder Stellen sie den Versetzungsvorgang offengelegt hat oder noch offenlegen werde noch wann bzw. nach welchen Kriterien eine Löschung der Daten erfolgen werde. Auch auf das Bestehen eines Rechts auf Berichtigung oder Löschung der den Kläger betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch die Beklagte oder eines Widerspruchsrechts gegen diese Verarbeitung und das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde hat die Beklagte nicht hingewiesen. Da die Daten offenbar nicht beim Kläger erhoben worden waren, hätte es auch einer Information über die Herkunft der Daten bedurft, also wer jeweils an dem Vorgang beteiligt war.
2.2 Zum anderen ging es um die Abmahnung vom 29. Mai 2019. Auch hier hat die Beklagte durch die Übersendung des Antrags des Herrn A auf Erteilung einer Abmahnung und dem sogenannten Logbuch-Eintrag allenfalls die Auskunftspflicht nach Art. 15 Abs. 1 a) und b) DSGVO erfüllt. Den weitergehenden Anspruch nach Buchst. c) bis g) hat die Beklagte mit ihrer Antwort vom 23. August 2019 auch zu diesem Vorgang offensichtlich nicht erfüllt.
Weder hat die Beklagte mitgeteilt, ob und ggf. gegenüber welchen Personen oder Stellen sie den Abmahnungsvorgang offengelegt hat oder noch offenlegen werde noch wann bzw. nach welchen Kriterien eine Löschung der Daten erfolgen werde. Auch auf das Bestehen eines Rechts auf Berichtigung oder Löschung der den Kläger betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch die Beklagte oder eines Widerspruchsrechts gegen diese Verarbeitung und das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde hat die Beklagte den Kläger nicht hingewiesen. Da die Daten offenbar nicht beim Kläger erhoben worden waren, hätte es auch einer Information über die Herkunft der Daten bedurft, also wer jeweils an dem Vorgang beteiligt war.
3. Dass diese Informationen fehlen, ist offensichtlich. Denn durch einen einfachen Blick in den Text des Art. 15 Abs. 1 DSGVO hätte die Beklagte feststellen können, was der Kläger von ihr verlangt. Insofern ist die Beklagte auch für die unzureichende Information und damit den Verstoß gegen Art. 15 Abs. 1 DSGVO verantwortlich.
4. Wie der Kläger zutreffend ausgeführt hat, liegt bei ihm ein Schaden vor. Unter Bezugnahme auf eine Entscheidung des LAG Niedersachsen vom 22. Oktober 2021 – 16 Sa 761/20 besteht unabhängig von dem Erreichen einer Erheblichkeitsschwelle bei Verstößen gegen Regelungen der DSGVO ein immaterieller Schadensersatzanspruch. Hierbei ist zu berücksichtigen, dass gerade ausgehend von Erwägungsgrund 146 Satz 3 zur DSGVO eine weite Auslegung geboten ist, um den Zielen der Verordnung in vollem Umfang zu entsprechen. Hiermit wäre es unvereinbar, würde eine Schadensersatzpflicht nur bei erheblichen Rechtsverstößen eintreten, da dann eine Vielzahl von Fallgestaltungen denkbar wäre, in denen Betroffene trotz Verstößen gegen die Regelungen der DSGVO keine Kompensation erhielten. Ferner kann, um die Regelungen der DSGVO effektiv durchzusetzen, auch auf eine abschreckende Wirkung des Schadensersatzes abgestellt werden (vgl. EuGH 17. Dezember 2015 – C-407/14 – Rn. 44). Zudem sollen die betroffenen Personen nach Erwägungsgrund 146 Satz 3 einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten. Dass ein Schaden erlitten ist, ergibt sich nicht erst bei Überschreiten einer gewissen Erheblichkeitsschwelle - der Schwere der Pflichtverstöße und damit einhergehenden Beeinträchtigungen kann vielmehr effektiv auf Ebene der Höhe des Schadensersatzes begegnet werden.
Indem die Beklagte ihrer Auskunftsverpflichtung inhaltlich nicht hinreichend nachgekommen ist, hat der Kläger keine ausreichenden Kenntnisse über die Verarbeitung seiner personenbezogenen Daten erlangt. Insofern ist ein Kontrollverlust eingetreten und ihm wurde die Möglichkeit der Überprüfung der Rechtmäßigkeit der Verarbeitung seiner personenbezogenen Daten unmöglich gemacht oder erschwert.
5. Die Kausalität zwischen der unzureichenden Auskunft der Beklagten und der Ungewissheit beim Kläger, welche Daten bei der Beklagten bezüglich der zwei konkret benannten Sachverhalte verarbeitet worden sind, liegt auf der Hand. Es bedurfte keines ergänzenden Auskunftsverlangens, da allein der Blick in den Verordnungstext ausreicht, um die Unvollständigkeit der Auskunft zu erkennen.
6. Der Anspruch des Klägers ist auch nicht verwirkt oder aus anderem Grunde rechtsmissbräuchlich geltend gemacht worden. Zwar ist es ungewöhnlich, dass der Kläger bereits mit der Klageschrift sein Schreiben vom 22. Juli 2019 und das Antwortschreiben der Beklagten vom 23. August 2019 eingereicht hat, ohne diesbezüglich einen Streitgegenstand hinsichtlich Art. 15 DSGVO zu eröffnen. Dadurch mag ein für die Verwirkung erforderliches Zeitmoment zwischen dem 23. August 2019 und dem 21. Dezember 2020 entstanden sein. Ein darüber hinaus erforderliches Umstandsmoment ist jedoch weder vorgetragen noch ersichtlich. Da sich die beiden Schreiben nicht nur mit Art. 15 DSGVO, sondern auch mit der Rückgängigmachung der Versetzung und der Entfernung der Abmahnung aus der Personalakte des Klägers beschäftigten, war es für eine vollständige Sachverhaltsdarstellung erforderlich, diese der Klageschrift beizufügen. Denn in der Klageschrift ging es zunächst (nur) um diese beiden Sachverhalte.
Angesichts des offensichtlich nicht vollständig erfüllten Auskunftsanspruchs bedurfte es entgegen der Ansicht der Beklagten auch keines Hinweises des Klägers, dass der Anspruch mit dem Schreiben vom 23. August 2019 nicht erfüllt sei.
7. Dem Kläger ist in Anbetracht der Pflichtverstöße der Beklagten nach richterlichem Ermessen gem. § 287 Abs. 1 ZPO ein immaterieller Schadensersatz in Höhe von 2.000,-- Euro zuzusprechen.
Die Schadensersatzansprüche sollen, worauf auch das LAG Niedersachsen in dem Urteil vom 22. Oktober 2021 – 16 Sa 761/20 unter Bezugnahme auf Entscheidungen anderer Gerichte hingewiesen hat, generell eine Abschreckungswirkung haben. Unter Berücksichtigung des Erwägungsgrundes 146 Satz 6 zur DSGVO soll die betroffene Person einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten. Verstöße müssen effektiv sanktioniert werden. Schadenersatz bei Datenschutzverstößen sollen eine abschreckende Wirkung haben, um der Datenschutzgrundverordnung zum Durchbruch zu verhelfen.
Gemessen an der Zweckrichtung des Schadensersatzes hält die Kammer unter Berücksichtigung und Abwägung der Umstände des vorliegenden Falls einen immateriellen Schadensersatz in Höhe von 1.000,-- Euro je unvollständig beantwortetem Auskunftsverlangen für angemessen. Hierbei ist zu berücksichtigen, dass die Auskunft der Beklagten offensichtlich unvollständig erfolgte. Auch nach der Klageerweiterung vom 21. Dezember 2020 hat die Beklagte die Auskunft nicht vervollständigt. Durch die unzureichende Auskunft hatte der Kläger keine umfassende Kenntnis über die Verarbeitung seiner personenbezogenen Daten durch die Beklagte bei zwei für ihn nachteiligen Sachverhalten (Versetzung und Abmahnung).
Durch einen Schadenersatz von jeweils 1.000,-- EUR wird ausreichend sichergestellt, dass durch die Zahlung eines spürbaren Betrages der Regelung des Art. 15 DSGVO zur Geltung verholfen wird und die Verpflichteten angehalten werden, die entsprechenden Maßgaben einzuhalten.
Das LG Hannover hat entschieden, dass dem Betroffenen 5.000 EURO immaterieller Schadensersatz aus Art. 82 DSGVO wegen eines unberechtigten Negativeintrags in einer Auskunftei zusteht. Der Betroffene hatte den Betreiber der Auskunftei verklagt.
Aus den Entscheidungsgründen:
A. Die Klage ist zulässig, insbesondere ist das Landgericht Hannover örtlich gemäß § 44 Abs. 1 BDSG zuständig.
B. Die Klage ist in Höhe eines Betrages von 5.000,00 € (nachfolgend zu 1.) nebst Verzugszinsen (nachfolgend zu 2.) sowie im Hinblick auf die Freistellung des Klägers von vorgerichtlichen Rechtsanwaltskosten in Höhe von 282,15 € (nachfolgend zu 3.) begründet. Im Übrigen ist die Klage abzuweisen (nachfolgend zu 4.).
Im Einzelnen:
1. Der Kläger kann von der Beklagten Schadensersatz in Höhe von 5.000,00 € aus Art. 82 Abs. 1 DSGVO verlangen.
a. Die von der Telekom veranlassten Negativeinträge vom 10.01.2018 haben den Kläger rechtswidrig in seinem allgemeinen Persönlichkeitsrecht verletzt.
Eine nicht von den Bestimmungen des zum Zeitpunkt des Negativeintrags insoweit noch maßgeblichen § 28a BDSG (Art 6 Abs. 1 Buchst, f DSGVO (i.V.m. § 31 BDSG n.F.) gilt gern, deren Art. 99 Abs. 2 ab dem 25.05.2018) gedeckte Übermittlung personenbezogener Daten stellt eine Verletzung des allgemeinen Persönlichkeitsrechts dar, das als sonstiges Recht im Sinne des § 823 Abs. 1 BGB Schutz genießt (BGH, Urteil vom 07.07.1983- III ZR 159/82-, Rn. 14, juris; OLG Düsseldorf, Urteil vom 12.09.2014- 1-16 U 7/14-, Rn. 5, juris). Nach §4 Abs. 1 BDSG a.F. ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur zulässig, soweit das BDSG oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat. Eine Einwilligung hat der Kläger nicht erteilt. Deswegen ist die Übermittlung der Daten aus dem Vertragsverhältnis zwischen dem Kläger und der Telekom an die Beklagte an § 28a BDSG a.F. zu messen. Vorliegend scheitert deren Zulässigkeit schon an der Voraussetzung des § 28a Abs. 1 Satz 1 Nr. 4 Buchst, a) BDSG a.F., weil sich nicht feststellen lässt, dass die Telekom den Kläger mindestens zweimal schriftlich gemahnt hat.
Die Darlegungs- und Beweislast für die Zulässigkeit der Übermittlung von Daten trägt grundsätzlich die übermittelnde Stelle (vgl. OLG Köln, Urteil vom 21.10.2014 - 1-15 U 107/14-, Rn. 59, juris; OLG Düsseldorf a.a.O., Rn. 5; LG Lüneburg, Urteil vom 14.07.2020- 9 O 145/19-, Rn. 31, 47) resp. vorliegend die Beklagte als die die Daten verarbeitende Stelle i.S.v. § 29 Abs. 1 Satz 1 Nr. 3 BDSG a.F. Im Übrigen beruft sich die Beklagte auf die Mahnungen als ihr günstige - weil sie zur Aufnahme des Negativeintrags in ihre Auskunftei berechtigende - Tatsache und trägt damit auch nach allgemeinen Grundsätzen die Last des Beweises (vgl. Arnold in: Erman, BGB, 16. Aufl. 2020, § 130 BGB, Rn. 33).
Soweit die Telekom Mahnungen an den Kläger unter dessen seinerzeit für ihn nicht mehr aktuelle Anschrift (nur noch) seiner Eltern gesandt hat, lässt sich deren Zugang beim Kläger unabhängig davon nicht feststellen, ob diese den Eltern des Klägers zugegangen sind. Der Kläger mag durch sein Verhalten, seine neue Adresse nicht an seine Vertragspartner mitgeteilt zu haben, eine Ursache dafür gesetzt haben, dass ihn die an ihn gerichtete Post und damit auch die Mahnungen nicht erreicht haben. Das ändert aber nichts daran, dass sich ein Zugang beim Kläger nicht feststellen lässt und ist für die Frage der Zulässigkeit der Datenverarbeitung zunächst ohne Belang. Nach dem Sinn und Zweck der in § 28 a Abs. 1 Satz 1 Nr. 4 Buchst, a) bis c) BDSG aufgestellten Erfordernisse reicht eine bloße Versendung von Mahnungen nicht aus; vielmehr ist grundsätzlich ein Zugang beim Betroffenen erforderlich, um die beabsichtigte Warnfunktion zu erfüllen und diesem so entweder einen Ausgleich der Forderung zu ermöglichen oder ihn in die Lage zu versetzen, Einwendungen gegen die Forderung zu erheben (vgl. BR-Drs. 548/08, S. 25 f.); dabei obliegt auch allein dem Absender der Nachweis eines Zugangs von ihm versandter Schreiben, der das durch es ein geeignetes Versandverfahren sicher stellen könnte; das wäre im Hinblick auf die Folgen einer negativen Eintragung im Hinblick auf die Kreditwürdigkeit des Betroffenen auch ohne weiteres zumutbar und der Mahnende trägt das Risiko, wenn er sich so der Möglichkeit des Nachweises begibt; auch ein Anscheinsbeweis greift insofern grundsätzlich nicht ein, weil es vielfache Ursache dafür geben kann, dass ein Schreiben den Empfänger nicht erreicht (vgl. OLG Köln, a.a.O., Rn. 59, juris).
b. Die Beklagte hat gegen Art. 6 Abs. 1 DSGVO durch die nicht im Sinne der Vorschrift rechtmäßige Datenverarbeitung verstoßen, weil diese gemessen an §§ 28a Abs. 1 Nr. 4 Buchst, a), 29 Abs. 1 Satz 1 Nr. 3 BDSG a.F. bzw. § 31 Abs. 2 Nr. 4 Buchst, a) BDSG n.F. (auch wenn diese Neufassung nicht mehr die Übermittlungsvoraussetzungen definiert, sondern nur Anforderungen an den Datenkranz, der für die Ermittlung von Wahrscheinlichkeitswerten verwendet werden darf, so werden dadurch die Übermittlungsvoraussetzungen doch zumindest mittelbar bestimmt und in gewisserWeise durch den Gesetzgeber fortgeschrieben, vgl. Kamlah in: Plath, DSGVO/BDSG, 3. Aufl. 2018, §31 BDSG, Rn. 49) mangels (nachgewiesener) Mahnungen des Klägers durch die Telekom nicht rechtmäßig war.
c. Soweit der Kläger mithin in seinem Persönlichkeitsrecht verletzt ist, bedarf es keiner Feststellung, dass es sich dabei um eine schwerwiegende handelt.
Anders als für die Zubilligung eines Schmerzensgeldes nach §§ 823 Abs. 1, 249, 253 BGB, Art 1 und 2 GG wird eine solche von Art. 82 GG nicht vorausgesetzt (vgl. (BeckOK DatenschutzR/Quaas, 38. Ed. 1.11.2021, DS-GVO Art. 82 Rn. 32; Gola DS-GVO/Gola/Piltz, 2. Aufl. 2018, DS-GVO Art. 82 Rn. 13; LG Hamburg, Urteil vom 04.09.2020 - 324 S 9/19 -, Rn. 34, juris; LG Lüneburg, a.a.O., Rn. 55, juris).
d. Die Beklagte hat auch schuldhaft gehandelt.
Ein solches Verschulden ist - wie nach Auffassung der Kammer schon Art. 82 Abs. 3 DSGVO zeigt - auch im Rahmen einer Haftung nach Art. 82 DSGVO erforderlich und wird zunächst mit der Möglichkeit einer Exkulpation vermutet (vgl. OLG Stuttgart, Urteil vom 31.03.2021 - 9 U 34/21 -, Rn. 43, juris; LG Karlsruhe, Urteil vom 02.08.2019- 8 O 26/19-, Rn. 15, juris; Gola DS-GVO, a.a.O., Rn. 9; BeckOK DatenschutzR, a.a.O., Rn. 17; a.A. wohl: BAG, EuGH-Vorlage vom 26.08.2021 - 8 AZR 253/20 (A) -, Rn. 39, juris).
Daran gemessen traf die Beklagte zunächst nicht der Vorwurf eines schulhaften Verhaltens, weil ihr die Prüfung der Voraussetzung der Übermittlung in § 28a Abs. 1 Satz 1 Nr. 4 Buchst, a) BDSG a.F. zunächst nicht oblag (vgl. LG Stuttgart Urt. v. 15.05.2002 - 21 O 97/01, BeckRS 2002, 31212889, beck-online). Die Beklagte musste mithin nicht ohne irgendeinen Anhaltspunkt überprüfen, ob der Kläger nach Eintritt der Fälligkeit der Forderung der Telekom mindestens zweimal schriftlich gemahnt worden war, sondern durfte sich vielmehr darauf verlassen, dass die Telekom als übermittelnde Stelle das getan hatte.
Die Beklagte hatte dann aber Anlass zur Prüfung dieser Frage, nachdem ihr der Kläger im April 2019 mitgeteilt hatte, dass er nicht gemahnt worden sei, die Voraussetzungen für die Negativeinträge also - jedenfalls aus seiner Sicht - nicht Vorlagen. Soweit sie mangels der Kenntnis der Problematik der Mahnungen und ihres Zugangs beim Kläger deswegen bis dahin i.S.v. Art. 82 Abs. 3 DSGVO exkulpiert war und (noch) nicht schuldhaft handelte, gelingt ihr das für die Zeit ab April 2019 nicht mehr und das Verschulden der Beklagten seitdem ist zu vermuten. Die Beklagte hatte ab April 2019 Anlass, die Frage der Rechtmäßigkeit zu prüfen. Die ihr obliegende Sorgfalt hätte das auch erfordert und die Beklagte handelte seitdem mindestens fahrlässig, solange sie das nicht tat.
e. Der Kläger hat auch einen immateriellen Schaden erlitten.
Es kann dahinstehen, ob auch unter Berücksichtigung des weiten Schadensbegriffs (vgl. Erwägungsgrund 146) nicht bereits jeder Verstoß gegen die DSGVO zu einer Ausgleichspflicht führt, weil der Verpflichtung zum Ausgleich eines immateriellen Schadens eine benennbar und insoweit tatsächliche Persönlichkeitsverletzung gegenüberstehen muss (LG Hamburg, a.a.O.-, Rn. 33 f., juris). Denn jedenfalls eine in einer unrechtmäßigen Zugänglichmachung von Daten liegenden "Bloßstellung" stellt eine solche dar (vgl. LG Hamburg, a.a.O.; LG Karlsruhe, a.a.O., Rn. 19, juris; LG Lüneburg, a.a.O., Rn. 55; Ehmann/Selmayr/Nemitz, DS-GVO, 2. Auflage, Art. 82 Rn. 13).
Die Beklagte hat daran gemessen, die mit den Negativeinträgen verbundenen Daten ihren Vertragspartnern zum Abruf bereit- und schon dadurch den Kläger "bloßgestellt". Bei der Beklagten handelt es sich um eine Schutzgemeinschaft für allgemeine Kreditsicherung, ein Warnsystem der Kreditwirtschaft, dessen Aufgabe es ist, ihren Vertragspartnern Informationen zur Verfügung zu stellen, um sie vor Verlusten im Kreditgeschäft mit natürlichen Personen zu schützen (vgl. dazu OLG Düsseldorf, Urteil vom 13.02.2015- 1-16 U 41/14-, Rn. 28, juris). Innerhalb dieses Systems hat die Beklagte die Daten nicht nur zur Verfügung gestellt, sie wurden ausweislich der Auskunft vom 04.03.2021 auch mehrfach und sowohl im Kontext privater Anfragen als auch bezogen auf die Tätigkeit des Klägers als Inhaber einer Physiotherapiepraxis abgerufen. Darauf, ob die Negativeinträge auch dazu führten, dass dem Kläger kein Kredit oder ein solcher zu anderen (schlechteren) Bedingungen gewährt wurde als er ohne die Einträge gewährt worden wäre, kommt es indes für den immateriellen Ersatzanspruch nicht an.
f. Die Verletzung des Persönlichkeitsrechts des Klägers rechtfertigt und erfordert die Zahlung eines Schmerzensgeldes in Höhe von 5.000,00 €.
aa. Für den immateriellen Schadensersatz nach Art. 82 DSGVO gelten die im Rahmen von § 253 BGB entwickelten allgemeinen Grundsätze (BeckOK DatenschutzR/Quaas, a.a.O., Rn. 31; Gola DS-GVO, a.a.O., Rn. 9). Deswegen kann auch das Mitverschulden des Betroffenen analog § 254 BGB bei der Bemessung der Schadensersatzhöhe zu berücksichtigen sein (vgl. BeckOK DatenschutzR/Quaas, a.a.O., Rn. 28; Ehmann/Selmayr/Nemitz, a.a.O., Rn. 15; a.A. wohl Kühling/Buchner/Bergt, 3. Aufl. 2020, DS-GVO Art. 82; BAG, a.a.O.).
bb. Vorliegend rechtfertigt der Verstoß der Beklagten unter Berücksichtigung aller Umstände des vorliegenden Einzelfalls ein Schmerzensgeld in Höhe von 5.000,00 €.
(1) Die Daten zur Bonität des Klägers sind schützenswerte und sensible Daten, die sowohl seine berufliche Tätigkeit als auch seine Kreditwürdigkeit im privaten Rahmen betreffen. Sie können maßgeblichen negativen Einfluss auf die Teilnahme am wirtschaftlichen Verkehr in diesen Bereichen haben, indem Kredite versagt oder vom Kläger angestrebte Verträge mit ihm nicht abgeschlossen werden. Dass die Beklagte als Warnsystem der Kreditwirtschaft mit ihren Auskünften und dem ersichtlich zu diesem Zweck und auf der Grundlage der Einträge ja errechneten Basisscore (der -wenn auch die Algorithmen zu dessen Bildung nicht bekannt sind und der Wert damit nicht nachvollziehbar ist - sich am 25.04.2019 auf 55,2% (vgl. Anlage Kl), am 04.03.2021 auf 69,56 € (vgl. Anlage K7) und am 07.09.2021 und mithin nach Löschung der Negativeinträge auf 91,79% belief) auf derartiges keinen Einfluss ausübt, wird man nicht ernsthaft annehmen können. Dieser Einfluss - ohne dass es im Rahmen eines immateriellen Anspruchs der konkreten Feststellung der materiellen Nachteile bedarf - ist auch von einigem Gewicht; zutreffend weist das LG Lüneburg darauf hin, dass dadurch mittelbar Grundrechte wie die Berufsfreiheit und die allgemeine Handlungsfreiheit beeinträchtigt werden können (LG Lüneburg, a.a.O., Rn. 58).
(2) Für die Bemessung des Schmerzensgeldes sind die Negativeinträge sind April 2019 bis zur Löschung wohl kurz nach dem 04.03.2021 zu berücksichtigen und hatten damit ungefähr zwei Jahre Bestand.
(3) Sie fielen auch in einen Zeitraum, der aufgrund der Corona-Pandemie ohnehin für am Wirtschaftsleben Teilnehmende mit großen wirtschaftlichen Risiken und Probleme verbunden war, der Kläger war damit für die Folgen der Negativauskünfte in besonderem Maße anfällig.
(4) Weiter ist vorliegend zu berücksichtigen, dass die Beklagte zwar einerseits zunächst kein erhebliches Verschulden traf, mit zunehmender Dauer des rechtswidrigen Zustandes ab den ersten Hinweisen durch den Kläger im April 2019 über die Klageerhebung im Mai 2020 ihr die Zweifel an der Rechtmäßigkeit ihres Handelns hätten immer stärker hätten aufkommen müssen. Das gilt ganz besonders für die Zeit nach Erlass des Anerkenntnisurteils vom 25.01.2021 und dem Umstand, dass die Negativeinträge auch am 04.03.2021 noch gespeichert waren.
(5) Gleichermaßen kann nicht unberücksichtigt bleiben, dass der Kläger eine zu den Negativeinträgen führende Ursache selbst gesetzt hat. Dadurch, dass er der Telekom die Änderung seiner Adresse nicht mitgeteilt hat, hat er ihr die Möglichkeit genommen, ihn mit ihren Mahnungen auf dem zwar im Hinblick auf den Nachweis des Zugangs riskanten, aber immerhin ganz üblichen Versandweg eines einfachen Briefs auch zu erreichen. Das Verhalten des Klägers nach Kenntnis von den Rückständen lässt vermuten, dass es dann sogleich zum Ausgleich der Forderungen der Telekom gekommen wäre und die Negativeinträge nicht lanciert worden wären.
cc. Nach alledem ist-wie geschehen - ein einheitliches Schmerzensgeld zu bilden.
Die vom Kläger vorgenommene Berechnung nach Zeitabschnitten ist mithin nicht vorzunehmen. Soweit eine Bemessung eines Schmerzensgeldes nach (zwei) Zeitabschnitten ausnahmsweise dann vorgenommen werden kann, wenn es einerseits um die Zahlung von Kapital und andererseits um Rente geht (vgl. BGH, Urteil vom 08.06.1976 - VI ZR 216/74 -, juris), kommt eine solche im Übrigen und insbesondere bei einer Zahlung (nur) von Kapital nicht in Betracht (vgl. OLG Hamm, Urteil vom 11.02.2000 - 9 U 204/99 -, Rn. 17, juris; OLG Frankfurt, Beschluss vom 14.04.2020 -15 W 18/20 -, Rn. 17 -18, juris; jeweils m.w.N.).
2. Der Kläger kann Verzugszinsen ab dem 10.04.2019 aufgrund des ablehnenden Schreibens der Beklagten vom 09.04.2019 gern. §§ 286 Abs. 2 Nr. 3, 288 Abs. 1 BGB verlangen, wobei entsprechend § 187 Abs. 1 BGB die Verzinsung erst an dem auf den Verzugseintritt folgenden Tag beginnt (vgl. Staudinger/Repgen (2019) BGB § 187, Rn. 5; Grünberg-Ellenberger, Bürgerliches Gesetzbuch, 81. Aufl., Rn. 1 zu § 187 m.w.N.).
3. Schließlich hat der Kläger einen Anspruch auf Freistellung der zur Rechts Verfolgung erforderlichen vorgerichtlichen Rechtsanwaltskosten. Bei einem Gegenstandswert von 5.000,00 € (maßgeblich ist der berechtigte Teils der außergerichtlich geltend gemachten Forderung (vgl. BGH, Urteil vom 18.07.2017 -VI ZR 465/16 -, Rn. 7, juris; BGH, Urteil vom 12.12.2017 - VI ZR 611/16 -, Rn. 5, juris)) belaufen sich diese nach §§13 Abs. 1, i.V.m. Nrn. 2300, 7002, 7008 VV RVG auf die angemessene 1,3 Geschäftsgebühren nebst Auslagenpauschale und Mehrwertsteuer unter Anrechnung einer 0,65 Geschäftsgebühr gern. Vorbemerkung 3 Abs. 4 RVG, § 15a RVG, mithin auf (217,10 € + 20,00 € + 45,05 € =) 282,15 €.
Das LG Leipzig hat entschieden, dass regelmäßig kein Anspruch auf Schadensersatz aus Art. 82 DSGVO bei verspäteter Auskunftserteilung nach Art. 15 DSGVO besteht.
Aus den Entscheidungsgründen:
9. Der Schmerzensgeldanspruch der Beklagten war demgegenüber im Ergebnis nicht zuzusprechen.
Soweit zwischenzeitlich mit Verfügung vom 4.11.2021 eine abweichende Ansicht vertreten wurde, wird hieran nicht festgehalten. Auf diese Möglichkeit wurde im Termin zur Vermeidung eines Überraschungsurteils ausdrücklich hingewiesen.
Nach Art. 82 Abs. 1 DS - GVO hat jede Person, der wegen eines Verstoßes gegen die DS - GVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder den Auftragsverarbeiter. Auszugleichen sind hiernach ausdrücklich auch immaterielle Schäden.
In der Literatur wird unter Geltung der DS - GVO überwiegend für eine Absenkung der Voraussetzungen für die Gewährung immateriellen Schadensersatzes und für eine Verschärfung der Haftung mit deutlich höheren Beträgen gegenüber den bisherigen plädiert. Dies folge aus dem weiten Schadensbegriff der DS - GVO sowie daraus, dass der EuGH bei der Wahl zivilrechtlicher Sanktionen zur Umsetzung von Unionsrecht generell eine abschreckende Wirkung verlange. Insbesondere dürfe der zugesprochene Schadensersatz nicht nur symbolisch sein. Auch dürfe die Gewährung immateriellen Schadensersatzes nicht mehr von einer schwerwiegenden Persönlichkeitsrechtsverletzung abhängig gemacht werden. Die abschreckende Wirkung zivilrechtlicher Sanktionen sei nur zu erreichen, wenn entsprechend hohe Beträge ausgeurteilt würden (vgl. hierzu die Nachweise bei Eichelberger, WRP 2021, 159 ff.).
Hiervon unabhängig kann als gesichert gelten, dass das Unionsrecht die Mitgliedsstaaten grundsätzlich nicht zu überkompensatorischem Schadensersatz verpflichtet.
Allein der Verstoß gegen die DS - GVO reicht für sich genommen noch nicht aus, einen Schadensersatzanspruch auszulösen.
Ohne Schaden gibt es keinen Schadensersatzanspruch (vgl. hierzu Eichelberger a.a.O.). Vielmehr muss dem von einem Datenschutzverstoß Betroffenen ein spürbarer Nachteil entstanden sein. Es muss eine objektiv nachvollziehbare, mit gewissem Gewicht erfolgte, Beeinträchtigung von persönlichkeitsbezogenen Belangen vorliegen. Die Beeinträchtigung muss von einer gewissen Erheblichkeit sein.
Einen normativen Anknüpfungspunkt hierzu gibt die DS - GVO in ihren Erwägungsgründen 75 und 85. Im Anschluss an die beispielhafte Aufzählung möglicher - hier nicht geltend gemachter - Beeinträchtigungen durch Datenschutzverletzungen (Diskriminierung, Identitätsdiebstahl oder - betrug, Rufschädigung, Verlust der Vertraulichkeit von einem Berufsgeheimnis unterliegenden Daten) ist dort ergänzend allgemein von anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen die Rede (vgl. hierzu Eichelberger a.a.O.).
Demzufolge kann die Beklagte keine Entschädigung für eine verspätete Datenauskunft sowie für die bislang noch nicht vollständig erteilte Datenauskunft von der Klägerin beanspruchen.
Allein der Umstand, dass die Beklagte auf die (vollständige) Datenauskunft noch warten muss, kann keinen ersatzfähigen Schaden begründen.
Es muss auch bei einem immateriellen Schaden eine Beeinträchtigung eingetreten sein, die unabhängig von einer Erheblichkeitsschwelle wenigstens spürbar sein muss. Anderenfalls scheidet ein Schaden schon begrifflich aus (so auch LG Bonn, Urteil vom 01.07.2021, Az.: 15 O 372/20).
Die im Erwägungsgrund 75 der DS - GVO genannten immateriellen Nachteile, wie eine Diskriminierung, ein Identitätsdiebstahl, ein Identitätsbetrug, eine Rufschädigung, ein Verlust der Vertraulichkeit oder sonstige gesellschaftliche Nachteile sind der Beklagten durch die Führung der Handakten durch die von ihr beauftragten Rechtsanwälte in den familiengerichtlichen Verfahren unstreitig nicht erwachsen.
Demzufolge scheidet auch die Zusprechung eines Schmerzensgeldes im Streitfall für die bislang nicht erteilte Datenauskunft nach Art. 15 Abs. 3 DS - GVO aus.
Für diese Erkenntnis bedurfte es keiner Vorlage an den EuGH nach Art. 267 Abs. 3 AEUV. Zum einen entscheidet die Kammer nicht als letztinstanzliches, sondern als erstinstanzliches Gericht, wonach eine Verpflichtung zur Vorlage an den EuGH nicht besteht.
Zum anderen stützt die Kammer ihr Verständnis von der Auslegung des Art. 82 Abs. 1 DS - GVO auf den Erwägungsgrund 75 der DS - GVO, mithin auf die europarechtliche Norm selbst. Unabhängig hiervon erscheint es nicht zielführend, dass jedes Instanzgericht bei Entscheidungen auf der Grundlage der DS - GVO den EuGH mit einem Vorabentscheidungsersuchen bemüht. Sinnvoller erscheint es, dass das letztinstanzliche nationale Gericht die Entscheidung der Instanzgerichte zu Art. 82 Abs. 1 DS - GVO sammelt und in deren Auswertung darüber befindet, ob und wenn ja mit welchen Vorlagefragen es den EuGH nach Art. 267 Abs. 3 AEUV bemüht.
Das OLG Düsseldorf hat dem Betroffenen in diesem Fall Schadensersatz aus Art. 82 Abs. 1 DSGVO in Höhe von 2.000 EURO zugesprochen. Die Krankenkasse des Betroffenen hatte die Gesundheitsakte an eine falsche E-Mail-Adresse geschickt. Die Gesundheitsakte war dabei auch nicht verschlüsselt.
Aus den Entscheidungsgründen:
Die zulässige Leistungsklage ist jedoch in der Hauptsache nur im Umfang von 2.000,- € auch begründet.
aa) Aufgrund der vom Zeugen A. an die falsche E-Mail-Adresse versandten Gesundheitsakte der Klägerin hat diese gegen die Beklagte infolge eines durch den fehlerhaften Versand erlittenen immateriellen Schadens einen Anspruch auf Schadensersatz aus Art. 82 Abs. 1 DSGVO. Gemäß Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen die Verordnung ein immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen. Verantwortlich im Sinne von Art. 4 Nr. 7 DSGVO für die Verarbeitung der Gesundheitsdaten der Klägerin ist die Beklagte als deren gesetzliche Krankenkasse.
(1) Es kann dahinstehen, ob Art. 82 Abs. 1 DSGVO für das sozialrechtliche Rechtsverhältnis zwischen der Klägerin und der Beklagten unmittelbar gilt. So kann die sachliche Anwendbarkeit der DSGVO gemäß Art. 2 Abs. 2 a) DSGVO zweifelhaft sein, weil zwar Art. 16 Abs. 2 Satz 1 AEUV eine Gesetzgebungskompetenz der Europäischen Union für den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten begründet, zugleich aber Art. 168 Abs. 7 Satz 1 AEUV die Verantwortung der Mitgliedstaaten für die Festlegung ihrer Gesundheitspolitik und für die Organisation des Gesundheitswesens und die medizinische Versorgung unberührt lässt. Selbst wenn die DSGVO auf das Rechtsverhältnis der Klägerin zu ihrer gesetzlichen Krankenkasse nicht unmittelbar anwendbar sein sollte, so wären ihre Vorschriften gemäß § 35 Abs. 2 Satz 2 SGB I jedenfalls entsprechend anzuwenden (siehe BSG, Urteile vom 20. Januar 2021 – B 1 KR 7/20 R, juris, Rn. 25-28, vom 8. Oktober 2019 – B 1 A 3/19 R, juris, Rn. 37, und vom 18. Dezember 2018 – B 1 KR 40/17 R, juris, Rn. 29) und zwar auch auf Datenverarbeitungsvorgänge, welche nicht den Voraussetzungen von Art. 2 Abs. 1 DSGVO entsprechen (vgl. Schifferdecker, in: Kasseler Kommentar Sozialversicherungsrecht, Stand: 114. EL Mai 2021, § 35 SGB I Rn. 86: „Datensammlung auf Notizzettel“). Dadurch wird sichergestellt, dass sämtliche Tätigkeitsbereiche, in denen Sozialdaten verarbeiten werden, demselben datenschutzrechtlichen Regime unterliegen (Greiner, in: Knickrehm/Kreikebohm/Waltermann, Kommentar zum Sozialrecht, 7. Aufl., § 35 SGB I Rn. 3).
(2) Art. 82 Abs. 1 DSGVO, auf den die Klägerin ihr Klagebegehren stützt, ist auch nicht deshalb unanwendbar, weil es bei der von der Beklagten an das falsche E-Mail-Konto versandten Gesundheitsakte um eine Verbreitung personenbezogener Daten geht, die den Schutzbereich des allgemeinen Persönlichkeitsrechts betreffen.
Nach Auffassung des Senats ist die ungewollte Preisgabe von Daten, über die hier zu befinden ist, dem Recht auf informationelle Selbstbestimmung als eigenständigem Teilgehalt des allgemeinen Persönlichkeitsrechts zuzuordnen. Davon zu unterscheiden ist die sichtbare Verbreitung bestimmter Informationen im öffentlichen Raum als Ergebnis eines Kommunikationsprozesses, die den äußerungsrechtlichen Ausprägungen des allgemeinen Persönlichkeitsrechts zuzuordnen ist (siehe BVerfG, Beschluss vom 6. November 2019 – 1 BvR 16/13, juris, Rn. 79-91; Senatsbeschlüsse vom 16. März 2021 – I-16 U 317/20, und vom 16. Februar 2021 – I-16 U 269/20, juris, Rn. 7). Dies zugrunde gelegt, steht eine Eröffnung des Schutzbereichs des allgemeinen Persönlichkeitsrechts aus Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG der Anwendung des Art. 82 Abs. 1 DSGVO hier nicht entgegen, weil es in seiner Ausprägung als Recht auf informationelle Selbstbestimmung betroffen ist, dessen Schutz die datenschutzrechtlichen Regelungen der DSGVO dienen. In der auf einem Schreib- oder Tippfehler beruhenden Versendung der Gesundheitsakte an ein falsches E-Mail-Postfach liegt eine schlichte Preisgabe von Daten ohne ein kommunikatives Ziel. Dies gilt zumal im Hinblick auf den Inhaber des E-Mail-Postfachs, an den die Akte nicht versandt werden sollte. Mit einem Kommunikationsprozess hat die versehentliche Datenpreisgabe nur peripher insofern zu tun, als ihr ein Telefongespräch zwischen der Klägerin und dem Zeugen A. vorausgegangen ist. Für die Eröffnung des Schutzbereichs des allgemeinen Persönlichkeitsrechts in seiner äußerungsrechtlichen Ausprägung reicht das indes nicht aus.
(3) In dem Versand der E-Mail mit der Gesundheitsakte der Klägerin an das falsche E-Mail-Postfach liegt ein Verstoß gegen die DSGVO. Eine Datenverarbeitung, zu der gemäß Art. 4 Nr. 2 DSGVO auch die Offenlegung durch Übermittlung gehört, ist nach der DSGVO nur rechtmäßig, wenn die betroffene Person gemäß Art. 6 Abs. 1 Satz 1 lit. a) DSGVO ihre Einwilligung zu der Verarbeitung gegeben hat oder eine der übrigen in Art. 6 Abs. 1 Satz 1 DSGVO normierten Rechtmäßigkeitsvoraussetzungen vorliegt. Dies ist hier im Hinblick auf den Versand der E-Mail mit der ihr angefügten Gesundheitsakte der Klägerin an die E-Mail-Adresse „B2@fff.de“ jeweils nicht der Fall (siehe für eine vergleichbare Konstellation auch LG Darmstadt, Urteil vom 26. Mai 2020 – 13 O 244/19, juris, Rn. 43 ff.). Die Klägerin hat in die Übersendung an dieses fremde E-Mail-Postfach nicht eingewilligt und es liegen auch keine anderen normierten Rechtmäßigkeitsvoraussetzungen für diese Übersendung vor.
(4) Weitere Datenschutzverstöße zulasten der Klägerin lassen sich hingegen nicht feststellen.
(a) Die vom Landgericht angenommene Verletzung des Art. 32 DSGVO ist nicht zu bejahen. Anders als das Landgericht vermag der Senat aus dem Fehler beziehungsweise Fehlverhalten eines einzelnen Mitarbeiters nicht den Rückschluss zu ziehen, dass die Beklagte kein nach Art. 32 DSGVO ausreichendes Datenschutzniveau implementiert hatte. Weitere für einen solchen Schluss notwendige Anknüpfungstatsachen hat die insoweit darlegungs- und beweisbelastete Klägerin weder ausreichend vorgetragen noch unter Beweis gestellt.
(b) Soweit das Landgericht zudem als einen Datenschutzverstoß der Beklagten beanstandet, dass der Zeuge A. die E-Mail unverschlüsselt und mit unverschlüsselter bzw. nicht pseudonymisierter Gesundheitsakte als Anhang versandt hat, überzeugt auch das nicht. Ein Datenschutzverstoß durch diese Form der Versendung liegt aufgrund einer Einwilligung der Klägerin nach Art. 6 Abs. 1 Satz 1 lit. a) DSGVO nicht vor. Eine Einwilligung ist nach Art. 4 Nr. 11 DSGVO jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Diese Voraussetzungen liegen hier vor.
(aa) Die Klägerin hat unmissverständlich zum Ausdruck gebracht, dass sie mit der Übersendung der Gesundheitsakte per E-Mail einverstanden ist. Im Verlauf des Gesprächs mit dem Zeugen A. teilte sie dem Zeugen ihre E-Mail-Adresse mit. Das konnte dieser nicht anders verstehen und kann auch objektiv nicht anders verstanden werden, als dass die Klägerin die Gesundheitsakte schließlich doch per E-Mail übersandt erhalten wollte. Dabei musste ihr zugleich klar sein, dass diese Übersendung weder verschlüsselt noch in pseudonymisierter Form erfolgen würde. Über solche besonderen Formen der Versendung hatte die Klägerin mit dem Zeugen nicht gesprochen. Entsprechende Wünsche hatte sie nicht geäußert. Ein für die Entschlüsselung notwendiges Passwort war nicht ausgetauscht worden.
(bb) Der wirksamen Einwilligung steht nicht deren fehlende Freiwilligkeit entgegen. Freiwilligkeit wäre zu verneinen, wenn die Erklärung entgegen Erwägungsgrund 42 Satz 5 DSGVO von der Klägerin unter Druck oder Zwang abgegeben worden wäre (vgl. Schulz, in: Gola, DS-GVO, 2. Aufl., Art. 7 Rn. 21). Das war hier indes nicht der Fall. Die Klägerin hatte ungeachtet des nachdrücklichen Werbens des Zeugin A. für den von ihm favorisierten E-Mail-Versand die Möglichkeit, auch ihm gegenüber auf einem Postversand zu bestehen. Sie musste sich der von ihm favorisierten Lösung nicht beugen. Wie sie im Rahmen ihrer informatorischen Anhörung durch den Senat bekundet hat, hatte der Zeuge, der überdies nicht mehr als ein erster Ansprechpartner der Beklagten in der Servicehotline war, den Postversand nicht per se ausgeschlossen. Er hatte nur darauf hingewiesen, dass dieser nicht mehr bis Weihnachten möglich sei. Den sich für die Klägerin aus den nahenden Weihnachtsfeiertagen ergebenden zeitlichen Druck kann sie der Beklagten jedoch nicht entgegenhalten. Diesen hatte sie selbst zu verantworten, weil sie nach dem Gespräch mit dem Versicherungsmakler am 27. November 2018 erst am 14. Dezember 2018 Kontakt zur Beklagten aufgenommen hatte. Es lässt sich auch nicht feststellen, dass die Erklärung des Zeugen A. zur Dauer des Postversands unzutreffend war. Aus dem späteren sehr kurzfristigen Postversand der Gesundheitsakte an die Klägerin ergibt sich nichts anderes. Dieser fand unter besonderen Umständen statt, weil er in die Zeit nach Bekanntwerden des Datenschutzverstoßes zulasten der Klägerin fiel. Es ist nicht auszuschließen, dass die Beklagte die Klägerin ab diesem Zeitpunkt zuvorkommend behandelt und ihre Abläufe beschleunigt hat.
(cc) Der wirksamen Einwilligung der Klägerin steht ebenfalls nicht entgegen, dass sie diese nicht in informierter Weise erklärt hatte. Das Merkmal der Erklärung der Einwilligung in informierter Weise verlangt, dass die betroffene Person abschätzen können muss, welche Auswirkungen die Erteilung der Einwilligung für sie hat (Buchner/Kühling, in: dies., DS-GVO/BDSG, 3. Aufl., Art. 7 Rn. 59). Nach ihrer informatorischen Anhörung hat der Senat nicht die geringsten Zweifel, dass die Klägerin die Problematik und die Gefahren einer unverschlüsselten Versendung ihrer nicht pseudonymisierten Gesundheitsakte erkannt hat. Die Sensibilität der Klägerin für die Gefahren elektronischer Kommunikation wurde anhand ihrer Äußerungen im Rahmen ihrer informatorischen Anhörung sehr deutlich. Sie hat ihre Bedenken gegen die vom Zeugen A. vorgeschlagene Übermittlung, wie sie bekundet hat, schließlich aber zurückgestellt, weil ihr daran gelegen war, die Gesundheitsunterlagen bis Weihnachten zu erhalten.
(dd) Soweit das Landgericht im Zuge seiner Prüfung des Art. 32 DSGVO angenommen hat, ein Verzicht auf ein verschlüsseltes Versenden von Daten sei nach der DSGVO nicht möglich, überzeugt das im Hinblick auf die von der Klägerin erklärte Einwilligung nicht. Die Einwilligung ist ein auf der privatautonomen Entscheidung des Betroffenen beruhender Rechtfertigungstatbestand. Es widerspräche der Privatautonomie, wenn die Einwilligung nicht zu einem Verzicht auf Anonymisierungs-, Pseudonymisierungs- sowie Verschlüsselungstechniken führen könnte (siehe auch Albers/Veit, in: Wolff/Brink, BeckOK Datenschutzrecht, 37. Ed., Stand: 01.05.2020, Art. 6 DS-GVO Rn. 26).
(c) Zutreffend hat das Landgericht allerdings keinen Datenschutzverstoß in der E-Mail-Weiterleitung innerhalb der beklagten Krankenkasse gesehen, weil hierbei keine Einsichtnahme durch Dritte möglich war. Insoweit kann auf die diesbezüglich zutreffenden Gründe der angefochtenen Entscheidung Bezug genommen werden.
(5) Infolge des in dem E-Mail-Versand an das falsche E-Mail-Postfach liegenden Verstoßes gegen die Vorschriften der DSGVO hat die Klägerin einen immateriellen Schaden erlitten. Als immaterieller Schaden der Klägerin stellt sich die mit dem Verlust der Datenkontrolle verbundene seelisch belastende Ungewissheit über das Schicksal ihrer Daten dar. Dafür, dass darin ein immaterieller Schaden im Sinne von Art. 82 Abs. 1 DSGVO liegen kann, spricht nicht nur Erwägungsgrund 75 der DSGVO, wo dem Schadensbegriff auch der Verlust der Kontrolle über personenbezogene Daten zugeordnet wird. Dafür spricht auch, dass in den meisten Rechtsordnungen mit dem Begriff des immateriellen Schadens Schäden wie seelisches Leid oder Beeinträchtigungen der Lebensqualität erfasst werden (siehe Schlussanträge des Generalanwalts N. Wahl vom 25. Juli 2018 in den verbundenen Rechtssachen C-138/17 P und C-146/17 P, juris, Rn. 83) und der Europäische Gerichtshof ein vergleichbares Schadensverständnis auch für das Unionsprimärrecht vertritt. Der Gerichtshof verlangt dort zwar, dass ein Schaden tatsächlich und sicher sein muss (EuGH, Urteil vom 4. April 2017 – C-337/15, juris, Rn. 91), andererseits kann bereits ein lang anhaltender Zustand belastender Ungewissheit einen immateriellen Schaden darstellen (vgl. z.B. EuGH, Urteil vom 13. Dezember 2018 – C-138/17 u.a., juris, Rn. 61; EuG, Urteil vom 17. Dezember 1998 – T-203/96, juris, Rn. 108).
Dahinstehen kann hier, ob Voraussetzung eines Schadensersatzanspruchs nach Art. 82 Abs. 1 DSGVO ist, dass der durch den Datenschutzverstoß entstandene immaterielle Schaden ein gewisses Gewicht erreicht haben muss (siehe OLG Dresden, Beschluss vom 11. Juni 2019 – 4 U 760/19, juris, Rn. 13; siehe dazu auch OGH Österreich, Vorlagebeschluss vom 15. April 2021 – 6 Ob 35/21x = BeckRS 2021, 11950). Der der Klägerin hier entstandene immaterielle Schaden hat ausreichendes Gewicht. Sie hat nicht nur einen Bagatellschaden erlitten, der gegebenenfalls keines Ausgleichs nach Art. 82 Abs. 1 DSGVO bedürfte. Angesichts des Umfangs und der Bedeutung der Daten, über welche die Klägerin über viele Monate die Kontrolle verloren hat, und angesichts der Sorgen und Befürchtungen, unter denen sie aufgrund des Datenverlusts in dieser Zeit gelitten hat, ist eine etwaige Bagatellschwelle zweifelsfrei überschritten. Insoweit ist zu berücksichtigen, dass die DSGVO Gesundheitsdaten im Sinne von Art. 4 Nr. 15 DSGVO, wie sie hier betroffen sind, durch das grundsätzliche Verarbeitungsverbot in Art. 9 Abs. 1 DSGVO als besonders sensible Datenkategorie anerkennt. Es kommt hinzu, dass der hier betroffene Auszug aus der Gesundheitsakte der Klägerin nicht nur sehr umfangreich war, sondern auch höchst intime Gesundheitsinformationen enthielt.
bb) In der Höhe ist der dem Grunde nach hier zu bejahende Schadensersatzanspruch der Klägerin aus Art. 82 Abs. 1 DSGVO allerdings auf einen Betrag von 2.000,- € begrenzt.
(1) Für die Bemessung von Schadensersatzansprüchen nach Art. 82 Abs. 1 DSGVO enthält die DSGVO nur wenige Vorgaben. Aus dem Nebeneinander von materiellem und immateriellem Schaden folgt, dass auch solche Schäden auszugleichen sind, die sich nicht unmittelbar in Geld bemessen lassen. Nach Erwägungsgrund 146 Satz 3 sollte der Begriff des Schadens im Lichte der Rechtsprechung des Gerichtshofs zudem weit auf eine Art und Weise ausgelegt werden, die den Zielen der Verordnung in vollem Umfang entspricht. Nach Erwägungsgrund 146 Satz 6 sollten die betroffenen Personen einen vollständigen und wirksamen Schadensersatz für erlittene Schäden erhalten.
Hiernach hat sich der Schadensersatz zuvörderst an dem Ziel des Schadensausgleichs zu orientieren. Das gilt, weil die Vorschrift nicht zwischen den Schadensarten differenziert, auch im Falle immaterieller Schäden (siehe Eichelberger, WRP 2021, 159, 162 ff.). Darüber hinaus wird bei immateriellen Einbußen auch die Genugtuungsfunktion Bedeutung erlangen und als ein Umstand bei der Schadensbemessung berücksichtigt werden können, wenn die Umstände des konkreten Falles hierfür Anlass geben (vgl. auch Eichelberger, WRP 2021, 159, 165). Letztlich können – wie dies auch bei Art. 340 Abs. 2 AEUV der Fall ist (vgl. EuGH, Urteil vom 30. Mai 2017 – C-45/15 P, juris, Rn. 48) – für die Bemessung des Ersatzanspruchs für immaterielle Schäden nur die Umstände des konkreten Einzelfalls entscheidend sein. Zu berücksichtigen sein können etwa Art, Schwere und Dauer des Datenschutzverstoßes, das Verhalten des Verantwortlichen sowie die Auswirkungen des Verstoßes für den Betroffenen (siehe EuGH, Urteil vom 30. Mai 2017 – C-45/15 P, juris, Rn. 52, zu Art. 340 Abs. 2 AEUV). Solche Kriterien sind nach Art. 83 Abs. 2 Satz 2 DSGVO auch bei der Verhängung von Geldbußen für Datenschutzverstöße zu berücksichtigen. Bei der Ermittlung der danach angemessenen Art der Entschädigung und der Bestimmung des gegebenenfalls zuzuerkennenden Schadensersatzbetrags haben die Gerichte einen erheblichen Spielraum (vgl. für Art. 340 Abs. 2 AEUV Schlussanträge des Generalanwalts N. Wahl vom 25. Juli 2018 in den verbundenen Rechtssachen C-138/17 P und C-146/17 P, juris, Rn. 86), den sie nach billigem Ermessen füllen müssen (siehe für Art. 340 Abs. 2 AEUV EuG, Urteil vom 1. Februar 2017 – T-479/14, juris, Rn. 135, sowie Schlussanträge des Generalanwalts N. Wahl vom 25. Juli 2018 in den verbundenen Rechtssachen C-138/17 P und C-146/17 P, juris, Rn. 85 u. 101).
(2) Ausgehend hiervon sind hier jedenfalls die Kategorie der betroffenen personenbezogenen Daten, Art, Schwere und Dauer des Datenschutzverstoßes, die seelischen Auswirkungen bei der Klägerin, der Grad des Verschuldens, die ergriffenen Maßnahmen zur Minderung der Schadensfolgen sowie der Gesichtspunkt in den Blick zu nehmen, ob eine dauerhafte Beeinträchtigung der Herrschaft über die eigenen Daten und der seelischen Gesundheit verbleibt.
Die vorgenannten Umstände, insbesondere die psychischen Auswirkungen des Datenschutzverstoßes bei der Klägerin, sprechen in der Gesamtschau dafür, dass der ihr entstandene immaterielle Schaden nur durch eine Geldzahlung, nicht aber durch andere Maßnahmen wie etwa eine erklärte Entschuldigung vollständig ausgeglichen werden kann. Zum Ausgleich des immateriellen Schadens ist hier nach den Umständen des Falles ein Betrag von 2.000,- € angemessen, aber auch ausreichend.
(a) Von besonderer Bedeutung für die Bestimmung des angemessenen Schadensersatzbetrags ist die Natur der vom Datenschutzverstoß betroffenen Daten der Klägerin. Es handelte sich dabei nicht nur um Gesundheitsdaten, die bereits für sich genommen von besonderer Sensibilität sind, wie auch ihr datenschutzrechtlicher, berufsrechtlicher und strafrechtlicher Schutz vor unbefugter Offenbarung zeigt. Die betroffenen Gesundheitsdaten waren auch besonders umfangreich. Sie betrafen – auf rund 100 Seiten – sämtliche bei der Beklagten erfassten ärztlichen und sonstigen medizinischen Behandlungen, Therapien und Medikationen der Klägerin aus dem Zeitraum vom 1. Januar 2015 bis zum 14. Dezember 2018 einschließlich der zugehörigen Diagnosen, Leistungszeiträume und Krankschreibungen. In dem Zeitraum hat die Klägerin, eine junge, noch nicht lange berufstätige Frau, wegen unterschiedlichster Beschwerden vielfach ärztliche Hilfe in Anspruch genommen. Dies gilt auch für den gynäkologischen Bereich. In der Gesundheitsakte waren gleich mehrere gynäkologische Befundangaben verzeichnet, die Rückschlüsse auf das Sexualleben und die sexuelle Orientierung der Klägerin zuließen, deren Name und Wohnanschrift in der Akte angegeben waren.
(b) Hinsichtlich der vorgenannten Daten der Klägerin bestand ein zehnmonatiger Kontrollverlust. Erst am 14. August 2019 ist das E-Mail-Postfach, an das die Gesundheitsakte am 14. Dezember 2018 versehentlich versandt worden ist, von FFF. gelöscht worden.
(c) Von der Löschung des fremden E-Mail-Postfachs erfuhr die Klägerin aber nicht sofort, sondern erst durch einen Schriftsatz der Beklagten vom 2. Dezember 2019 im landgerichtlichen Verfahren. Aus diesem erfuhr sie auch, dass das Postfach bis zu diesem Zeitpunkt nicht mehr eingesehen worden ist. Infolgedessen war sie über einen Zeitraum von rund einem Jahr darüber im Ungewissen, ob ein Dritter von ihren Gesundheitsdaten bereits Kenntnis genommen hatte oder dies noch tun würde.
Zwar hatte die Beklagte den Prozessbevollmächtigten der Klägerin bereits mit Schreiben vom 9. Januar 2019 mitgeteilt, von FFF. die Nachricht erhalten zu haben, dass seit der schon länger zurückliegenden Einrichtung des E-Mail-Postfachs darauf kein Zugriff mehr erfolgt ist. Die Klägerin konnte aber bis zur Löschung des Postfachs nicht sicher sein, dass nicht noch ein Zugriff erfolgen würde. Auch konnte sie ungeachtet eines von der Beklagten gegenüber dem Postfachinhaber per E-Mail ausgesprochenen Verwertungsverbots hinsichtlich der Gesundheitsakte nicht sicher sein, ob sich dieser daran halten würde.
Soweit die Klägerin im nicht nachgelassenen Schriftsatz vom 6. Oktober 2021 hingegen meint, die bestehende Ungewissheit sei für sie erst mit einem Schriftsatz der Beklagten vom 6. Juli 2020 beendet gewesen, mit welchem die Beklagte mitgeteilt habe, dass an das betreffende E-Mail-Postfach keine Test-E-Mail mehr erfolgreich habe versandt werden können, folgt der Senat dem nicht. Diese Test-E-Mail der Beklagten bestätigt nur die Löschung des E-Mail-Postfachs, für die bereits der Vermerk des Zeugen E. vom 14. August 2019 sprach, der dem Schriftsatz der Beklagten vom 2. Dezember 2019 beigefügt war.
Nicht gefolgt werden kann schließlich der Ansicht der Klägerin, die Unsicherheit bestünde für sie eigentlich bis heute fort, weil nicht ausgeschlossen werden könne, dass auf dem Übermittlungsweg auf die E-Mail zugegriffen worden sei. Die daraus resultierende Ungewissheit ist für die Bemessung des Schadensersatzbetrags unbeachtlich. Das Risiko des Zugriffs auf die E-Mail auf dem Übermittlungsweg nahm die Klägerin mit ihrer Einwilligung in die Übersendung der Gesundheitsakte per E-Mail in Kauf.
(d) Der Datenschutzverstoß blieb für die Klägerin – auch dies ist für die Bemessung des Schadensersatzes von wesentlicher Bedeutung – nicht ohne psychische Folgen. Sie hat im Termin zur mündlichen Verhandlung vor dem Senat geschildert, wie sie die Ungewissheit über den Verbleib der Daten seelisch belastet hat. Dabei war die Belastung in den ersten Tagen nach dem 14. Dezember 2018 besonders hoch, als das Schicksal der Gesundheitsakte noch weitestgehend unklar war. Die Reaktion der Beklagten auf das Anliegen der Klägerin war am 17. Dezember 2018 und auch darüber hinaus zunächst schleppend, erst mit Schreiben vom 9. Januar 2019 teilte sie den Prozessbevollmächtigten der Klägerin, die am 20. Dezember 2018 mandatiert worden waren, den bis dahin ermittelten Sachstand geordnet mit. Immerhin konnte sich die Klägerin mit Erhalt dieses Schreibens vom 9. Januar 2019 schwache Hoffnungen machen, dass der Inhalt ihrer Gesundheitsakte vielleicht doch nicht von unbefugten Dritten zur Kenntnis genommen werden würde. Nach den von der Beklagten bis dahin eingeholten Erkundigungen, deren Ergebnis sie mit dem Schreiben mitteilte, war das E-Mail-Postfach seit Errichtung nicht aktiv genutzt worden.
(e) Bei der Bemessung des Schadensersatzes ist ferner der Umstand zu berücksichtigen, dass der fehlerhafte Versand auf einem lediglich fahrlässigen Verhalten des Zeugen A. beruhte. Die Beklagte war nach dem Ergebnis der landgerichtlichen Beweisaufnahme zudem bemüht, die verlorenen Daten zurückzuerlangen beziehungsweise deren Weiterverbreitung zu verhindern. Im Schreiben vom 9. Januar 2019 hat sie auch ihr Bedauern über den Vorfall zum Ausdruck gebracht. Allerdings hat sie einen Schadensersatzanspruch der Klägerin im Prozess gleichwohl bis zuletzt in Abrede gestellt.
(f) In der Höhe begrenzend wirkt sich bei der Bemessung des Schadensersatzanspruchs schließlich in besonderem Maße aus, dass es bei einem zeitweisen Kontrollverlust über die Gesundheitsdaten verblieben ist. Zu einer Kenntnisnahme der Daten durch Dritte oder einer Weiterverbreitung oder gar Veröffentlichung ist es nicht gekommen. Die fehlgeleitete E-Mail und ihr Anhang sind bis zur Löschung des E-Mail-Postfachs am 14. August 2019 vom Postfachinhaber nicht mehr zur Kenntnis genommen worden. Die berechtigten Sorgen der Klägerin haben sich letztlich als unbegründet herausgestellt. Nachdem sie hiervon erfahren hatte, bestand auch kein Anlass, sich deswegen noch länger seelisch belastet zu fühlen. Eine etwaige Einsichtnahme in die Daten auf dem Übermittlungsweg, für die im Übrigen nichts spricht, hat aus dem bereits dargelegten Grund unberücksichtigt zu bleiben.
(g) Der Senat hat schließlich keinen Anlass, den Schadensersatzbetrag im Hinblick auf eine damit zu erzielende abschreckende Wirkung gesondert zu erhöhen. Ob einem nach Art. 82 Abs. 1 DSGVO zuzusprechenden Schadensersatzbetrag per se eine abschreckende Wirkung zukommen muss, wie teilweise vertreten wird, hält der Senat für zweifelhaft (wie hier Eichelberger, WRP 2021, 159, 163). Letztlich kann dies hier aber dahinstehen, weil dem der Klägerin zugesprochenen Schadensersatzbetrag jedenfalls auch eine ausreichend präventive Wirkung zukommt.
cc) Eine Minderung des Schadensersatzbetrags nach § 254 Abs. 1 BGB, für welche die Beklagte plädiert, kommt nach den für den Senat bindenden tatsächlichen Feststellungen des Landgerichts nicht in Betracht. Die Beklagte kann mit ihrem erstmals in der Berufungsinstanz gehaltenen Sachvortrag, die Klägerin habe dem Zeugin A. die falsche E-Mail-Adresse angegeben, gemäß § 531 Abs. 2 Satz 1 Nr. 3 ZPO nicht mehr gehört werden. Es beruht auf Nachlässigkeit, dass die Beklagte diesen Vortrag nicht schon in erster Instanz gehalten hat. Auch darüber hinaus bestehen keine ausreichenden Anhaltspunkte, die ein relevantes Mitverschulden der Klägerin an dem fehlerhaften E-Mail-Versand an die falsche E-Mail-Adresse begründen könnten.
Das LG München hat in diesem Verfahren dem Betroffenen 2.500 EURO immateriellen Schadensersatz aus Art. 82 Abs. 1 DSGVO bei Nichtlöschung der Zugangsdaten nach Vertragsbeendigung und Zugriff auf das Dokumentenarchiv durch Unbefugte zugesprochen.
Aus den Entscheidungsgründen:
Der Kläger hat gegenüber der Beklagten einen Anspruch auf Zahlung von 2.500, - Euro gem. Art. 82 Abs. 1 DSGVO als immateriellen Schadensersatz.
Nach dieser Vorschrift hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.
Nach Art. 82 Abs. 3 DSGVO trägt die Darlegungs- und Beweislast für die haftungsbegründenden Voraussetzungen nach allgemeinen zivilprozessualen Grundsätzen der Anspruchsberechtigte. Eine Beweislastumkehr ist in Art. 82 Abs. 3 ausdrücklich nur bezüglich des Gesichtspunkts des Verschuldens vorgesehen. Dem Verletzten obliegt es daher auch, den Datenschutzverstoß zu beweisen. Die allgemeine Rechenschaftspflicht der Art. 5 Abs. 2, 24 Abs. 1 DS-GVO bezieht sich auf eine Verantwortlichkeit gegenüber der Behörde. Hierauf kann jedoch eine Beweislastumkehr oder Beweiserleichterung nicht gestützt werden (Quaas BeckOK Datenschutzrecht, Wolff/Brink; 36. Edition Stand: 01.05.2021 § 82 Rn. 51; 9 U 34/21 OLG Stuttgart Urteil vom 31.03.2021; LG Frankfurt vom 18.01.2021 — 2-30 O 147/20).
Im Hinblick auf die Frage des Datenschutzverstoßes verlangt Art. 32 DSGVO (Sicherheit der Verarbeitung) geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Zudem können die Anforderungen bzw. Vorgaben für einen ordnungsgemäßen und sicheren Umgang mit den Daten aus Artikel 5 Abs. 1 Lit. f DSGVO (Grundsätze für die Verarbeitung personenbezogener Daten), aus den Erwägungsgründen 39 und 78 Verordnung (EU) 2016/679 S. 12 sowie der Anlage zu § 9 BDSG 2003. (vgl. Kühling/Buchner/Herbst, 3. Aufl. 2020, DS-GVO Art. 5 Rn. 76) entnommen werden.
Insbesondere nennt der Erwägungsgrund 39 als geforderte Maßnahmen, dass gewährleistet ist, dass Unbefugte keinen Zugang zu den Daten haben und weder die Daten noch die Geräte, mit denen diese verarbeitet werden, benutzen können. Die Anlage zu § 9 BDSG 2003 listete technische und organisatorische Maßnahmen auf, die auch zur Erfüllung der Anforderungen des Art. 5 Abs. 1 lit. f eingesetzt werden können.
Unter Zugrundelegung dieser Vorgaben hat die Beklagte einen Datenschutzverstoß begangen.
Hierbei kann dahingestellt bleiben, ob der Beklagten etwaige Sicherheitsmängel bei dem Drittunternehmen zugerechnet werden können. Denn die Beklagte hat selbst keine ausreichenden organisatorischen Maßnahmen vorgenommen, um den streitgegenständlichen Datenverlust zu verhindern (vgl. auch Art. 82 Abs. 4 DSGVO).
So ist unstreitig, dass die Beklagte die Zugangsdaten für das Unternehmen CS. nach Beendigung der Geschäftsbeziehung nicht geändert hat. Darauf, wie die Beklagte vorträgt, dass sie davon ausgehen musste, dass die Zugangsinformationen vollständig und dauerhaft seitens CS. gelöscht werden, durfte sie sich im Hinblick auf den großen Umfang (Zugriff auf das vollständige IT-System) sowie aufgrund der Qualität und Sensibilität der gespeicherten Daten nicht verlassen. Da die Beklagte die Löschung offensichtlich nicht überprüft hat, war es fahrlässig gewesen, die Zugangsdaten seit Beendigung der Geschäftsbeziehung im Jahre 2015 bis zum Zugriff auf die Kundendaten der Beklagten im Jahre 2020 mehrere Jahre lang unverändert zu lassen. Die Beklagte kann sich auch nicht durch die umfangreichen Ausführungen über die technischen und organisatorischen Maßnahmen (TOMs) insoweit entlasten. Unerheblich wäre hierbei im Übrigen, wenn - wie die Beklagte vorträgt, das Dokumentarchiv im Jahr 2015 noch keine Kundendaten enthalten haben sollte. Denn jedenfalls sind diese dann in der Folgezeit in das Archiv aufgenommen worden.
Sofern die Beklagte ausweislich Ihres Schreibens vom 19.10.2020 nach dem Vorfall umgehend alle erforderlichen Maßnahmen ergriffen hat, um weitere unrechtmäßige Zugriffe auf das digitale Dokumentenarchiv auszuschließen, so ist es - entgegen der Ansicht des Beklagten - nicht als unzumutbar anzusehen, dass dies bereits unmittelbar nach Beendigung der Geschäftsbeziehung mit dem Unternehmen CS. hätte getan werden können. Auch wenn dies einen gewissen Aufwand erfordert hätte - und jetzt ja auch erfordert hat, kann dies keine Berechtigung dafür sein, die Daten der Kunden in einem bestimmten Bereich der Gefährdung durch einen (möglichen) unerlaubten Zugriff von außen ausgesetzt sein zu lassen.
Wenn die Beklagte außerdem betont, dass es sich bei CS. um ein unabhängiges Uhnternehmen handelt, dessen etwaige Unzulänglichkeiten ihr daher von vornherein nicht zugerechnet werden können, ist dies unerheblich. Denn es lag eben auch eine Unzulänglichkeit auf Seiten der Beklagten bzw. ein eigener DSGVO-Verstoß vor, und gerade die seitens der Beklagten vorgetragene fehlende rechtliche und tatsächliche Möglichkeit, den Löschungsprozess bei CS. zu beaufsichtigen, zu kontrollieren oder anzuweisen erforderte auf Seiten der Beklagten die Vornahme entsprechender eigener Sicherungsmaßnahmen.
Es liegt auch die erforderliche Kausalität zwischen dem „DSGVO-Verstoß“ und dem „Schaden“ vor. Art. 82 Abs. 1 DSGVO verlangt, dass der Schaden infolge eines konkreten DSGVO-Verstoßes eintritt. Es genügt zwar nicht, dass ein Schaden bloß auf eine Verarbeitung personenbezogener Daten zurückzuführen ist, in deren Rahmen es zu einem Rechtsverstoß gekommen war (OLG Stuttgart, Urteil vom 31. März 2021, Az. 9 U 34/21, S. 8, Anlage B 2; Paal, MMR 2020, 14, 17 m.w.N.), vorliegend beruht der Schaden aber nicht nur auf eine solche Verarbeitung. Es ist davon auszugehen, dass es bei Einhaltung der als adäquat geltenden Sicherheitsmaßstäbe nicht zu dem konkreten Datenvorfall gekommen wäre (vgl. Quaas, in: BeckOK Datenschutzrecht, Wolff/Brink, 33. Ed., 01.08.2020, Art. 82 DSGVO Rn. 51; 26 - Mitursächlichkeit genügt).
Sofern die Beklagte das Urteil das LG München I vom 02.09.2021, 23 O 10931/20 angeführt, sprechen dessen Entscheidungsgründe gerade dafür, dass im vorliegenden Fall ein Schaden gegeben ist. So weist das Landgericht zutreffend darauf hin, dass nach Art. 82 DS-GVO auch ein durch einen Verstoß gegen die Verordnung entstandener immaterieller Schaden ersetzt werden kann sowie dass in den Erwägungsgründen (Nr. 75) (insbesondere) auch Nichtvermögensschäden durch Diskriminierung, Indentitätsdiebstahl oder -betrug, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten oder gesellschaftliche Nachteile genannt sind (Vgl. BeckOK Datenschutz/Quaas DSGVO Art. 82 Rz. 23). Im dortigen Verfahren hat das Gericht seine Entscheidung insbesondere darauf gestützt, dass der Kläger sich darauf beschränkt hat, vorzutragen, sein Schaden bestehe im Verlust der Kontrolle über seine Daten (was aber auch im Erwägungsgrund Nr. 75 genannt ist!). Während dort ein Angriff auf den Account der E-Mail-Adresse zugrunde liegt, sind im vorliegenden Fall wesentlich umfangreichere und sensiblere Daten abgegriffen worden. Entgegen der Ansicht des LG Essen, Urteil vom 23.9.2021 - 6 O 190/21 liegt darin eine nicht nur „unbedeutende oder empfundene Verletzung von Persönlichkeitsrechten“. Im Übrigen erwähnt das LG Essen auch, dass ein Schmerzensgeldanspruch nach Art. 82 DS-GVO nicht auf schwere Schäden beschränkt ist, sodass sich ein genereller Ausschluss von Bagatellfällen verbietet. Das Gericht geht zudem offensichtlich (und zutreffend) auch davon aus, dass ein Identitätsdiebstahl für einen Schmerzensgeldanspruch ausreichen würde.
Die Erwägungsgründe 75 und 85 DS-GVO zählen beispielhaft auf, welche konkreten Beeinträchtigungen einen „physischen, materiellen oder immateriellen Schaden“ darstellen können, so etwa Diskriminierung, Identitätsdiebstahl oder -betrug, finanzieller Verlust, Rufschädigung, unbefugte Aufhebung einer Pseudonymisierung oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile. Nach Erwägungsgrund 146 DS-GVO muss der Begriff des Schadens zudem „im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht“ und die „betroffenen Personen sollen einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten“. Im Vordergrund steht hier eine abschreckende Wirkung des Schadensersatzes, die insbesondere durch dessen Höhe erreicht werden soll. Dieser Gedanke wird auch aus Art. 4 Ill EUV abgeleitet. Danach sind die Mitgliedstaaten angehalten, Verstöße wirksam zu sanktionieren. Denn nur so wäre eine effektive Durchsetzung des EU-Rechts — und damit auch der DS-GVO — gewährleistet (Wybitul/Haß/Albrecht: NJW 2018, 113, beck-online; vgl. auch Korch, NJW 2021, 978 - „Aus Erwägungsgrund 146 S. 3 ergibt sich, dass der Begriff des Schadens weit zu verstehen ist“).
Im vorliegenden Fall muss aufgrund des Umfanges und Art der entwendeten Daten des Klägers ein solcher Identitätsdiebstahl angenommen werden, welcher einen Anspruch auf Schadensersatz begründet.
So hat die Beklagte mit Schreiben vom 19.10.2020 (Anlage K 7) den betroffenen Kunden, somit auch dem Kläger mitgeteilt, dass die folgenden Daten von dem Vorfall betroffen sind wie „Personalien und Kontaktdaten, Daten zur gesetzlich erforderlichen Identifizierung des Kunden (etwa Ausweisdaten), die im Rahmen der Geeignetheitsprüfung erfassten Informationen, Daten bezogen auf Konto und/oder Wertpapierdepot (etwa Referenzkontoverbindung, Berichte, Wertpapierabrechnungen, Rechnungen) sowie steuerliche Daten (etwa Steueridentifikationsnummer)“ und dass der Versuch unternommen werden könnte, Dritte mit der Identität des Kunden zu täuschen, um sich Vorteile zu verschaffen (Identitätsmissbrauch).
Für die Bemessung der Höhe des Schadensersatzes können die Kriterien des Art. 83 Abs. 2 herangezogen werden, wie etwa die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung, die betroffenen Kategorien personenbezogener Daten (vgl. Quaas BeckOK Datenschutzrecht, Wolff/Brink 37. Edition Stand: 01.08.2021 Rn. 31), wobei die Ermittlung im Übrigen dem Gericht nach § 287 ZPO obliegt (BeckOK DatenschutzR/Quaas, 32. Ed. 1.2.2020, DS-GVO Art. 82 Rn. 31).
Allerdings muss bei der Bemessung der Höhe des immateriellen Schadensersatzes berücksichtigt werden, dass die streitgegenständlichen Daten offensichtlich bislang noch nicht, jedenfalls nicht zu Lasten des Klägers missbraucht worden sind und von daher allenfalls eine mehr oder weniger hohe Gefährdung angenommen werden kann. Berücksichtigt werden muss jedoch auch - wie oben angesprochen - die gesetzgeberisch beabsichtigte abschreckende Wirkung des Schadensersatzes. Unter Abwägung dieser gesamten Gesichtspunkte erachtet das Gericht einen (immateriellen) Schadensersatz in Höhe von 2.500, - Euro als angemessen.
Sofern die Beklagte meint, es sei eine Vorabentscheidung des EuGH zwingend erforderlich, was jüngst das BVerfG, Beschluss von 14.1.2021 - 1 BvR 2853/19 festgestellt hat, so übersieht sie Art. 267 Abs. 3 AEUV. Während nämlich bei dem, der genannten Entscheidung zugrunde liegenden Sachverhalt weder die Berufungsbeschwer erreicht war, noch das Amtsgericht die Berufung zugelassen hatte, ist diese vorliegend unzweifelhaft gegeben (vgl. § 511 Abs. 1, 2 Ziff. 1 ZPO), so dass keine letztinstanzliche Entscheidung gegeben ist.
Das LG Mainz hat in diesem Fall Schadensersatzanspruch in Höhe von 5.000 EURO aus Art. 82 DSGVO wegen eines unberechtigten Schufa-Eintrags zugesprochen.
Aus den Entscheidungsgründen:
Auf den Klageantrag zu 4. sind dem Kläger 5.000,- € zuzusprechen.
Der Antrag ist dahin gehend zu verstehen, dass lediglich die Beklagte (im Singular), nicht die Beklagten (im Plural) zu verurteilen sind. Soweit der Antrag auf die Verurteilung mehrerer Beklagter gerichtet ist, handelt es sich angesichts des Umstandes, dass im Verfahren immer nur eine Beklagte in Anspruch genommen worden ist, um ein offenkundiges Schreibversehen.
Die Beklagte hat dem Kläger Schadenersatz zu leisten in Höhe von 5.000,- €. Soweit der Kläger darüber hinaus Schadenersatz in Höhe von insgesamt 10.000,- € geltend macht, ist die Klage unbegründet, weil weder ein erstattungsfähiger materieller Schaden hinreichend dargelegt und bewiesen ist, noch der festzustellende immaterielle Schaden einen Ersatzanspruch von mehr als 5.000,- € rechtfertigt.
a. Ein Anspruch des Klägers gegen die Beklagte auf Schadenersatz ist in Höhe von 5.000,- € aus Art. 82 DSGVO begründet.
Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.
Die Ersteinmeldung der Beklagten an die SCH. Holding AG vom 16.07.2019 war ein "Verstoß gegen diese Verordnung“ im Sinne des Art. 82 Abs. 1 DSGVO. Nach Erwägungsgrund 146 genügt entgegen dem Wortlaut von Art. 82 Abs. 1 DSGVO auch ein Verstoß gegen die erlassenen delegierten Rechtsakte und Durchführungsrechtsakte sowie präzisierenden Rechtsvorschriften der Mitgliedstaaten (so ausdrücklich Erwägungsgrund 146 zur DSGVO; vgl. ferner Wolff/Brink, BeckOK Datenschutzrecht, 37. Ed. Stand 01.08.2021, Art. 82 DSGVO Rın. 15; Ehrmann/Selmayr DSGVO, 2. Aufl. 2018, Art 82 Rn 9), so dass es nicht darauf ankommt, ob sich vorliegend die Unzulässigkeit der Ersteinmeldung aus der DSGVO selbst oder aus den präzisierenden Rechtsvorschriften des nationalen Rechts ergibt. Dass die Einmeldung als solche rechtswidrig war, ist bereits festgestellt worden.
Es ist der Beklagten auch nicht gelungen, im Sinne des Art. 82 Abs. 3 DSGVO nachzuweisen, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. „Verantwortung“ meint hier das Verschulden im Sinne der deutschen Rechtsterminologie, nicht die datenschutzrechtliche Verantwortung (Wolff/Brink, BeckOK Datenschutzrecht, 37. Ed. Stand 01.08.2021, Art 82 DSGVO Rn. 17). Ausreichend ist Vorsatz oder Fahrlässigkeit (Ehrmann/Selmayer, DSGVO, 2. Aufl. 2018, Art 82 Rn 14). Das Verschulden wird nach dem insoweit eindeutigen Wortlaut des Art. 82 Abs. 3 DSGVO vermutet (Beweislastumkehr, Wolff/Brink, BeckOK Datenschutzrecht, 37. Ed. Stand 01.08.2021, Art 82 DSGVO Rn 17; Ehrmann/Selmayr DSGVO, 2. Aufl. 2018, Art 82 Rn 4, 19). Die mithin zur Meidung einer Haftung erforderliche Exkulpation ist der Beklagten nicht gelungen. Sie hatte keine tragfähigen Anhaltspunkte für die Beurteilung der Frage, ob der Mahnbescheid dem Kläger wirksam zugestellt oder dem Kläger sonst in der gebotenen Weise rechtliches Gehör gewährt worden war, ob ihm etwa die Mahnschreiben der Beklagten einschließlich insbesondere der Ankündigung, ggf. die Forderung an die SCH. Holding AG zu melden, tatsächlich zugegangen waren. Unter diesen Umständen hätte die Beklagte die ihr obliegenden Sorgfaltspflichten nur erfüllt, wenn sie vorsorglich zusätzlich eine kurze Karenzfrist nach Erlass des Titels abgewartet hätte.
Der Kläger hat durch die Ersteinmeldung der Beklagten an die SCH. Holding AG vom 16.07.2019 zwar keinen von ihm bezifferten materiellen Schaden erlitten. Er behauptet, er habe aufgrund des Negativeintrages „massive wirtschaftliche Konsequenzen und Nachteile, die bis jetzt andauerten“, ohne konkret darzutun, in welcher Hinsicht und in welchem Umfang es über eine bloße Vermögensgefährdung hinaus zu einer konkreten Vermögensbeeinträchtigung gekommen sein soll.
Der Kläger hat jedoch einen nach Art. 82 DSGVO gleichfalls ersatzfähigen immateriellen Schaden erlitten. Voraussetzung für einen Schadenersatzanspruch für immaterielle Schäden nach Art. 82 Abs. 1 DSGVO ist eine benennbare und tatsächliche Persönlichkeitsverletzung. Die in der bisherigen deutschen Rechtsprechung für Schmerzensgeld geforderte Voraussetzung einer schwerwiegenden Persönlichkeitsverletzung verträgt sich hingegen nicht mit Art. 82 Abs. 2 DSGVO; sie ist weder vorgesehen noch von dessen Ziel und Entstehungsgeschichte gedeckt, der Anspruch ist hiervon grundsätzlich unabhängig. Die schwerwiegende Persönlichkeitsverletzung kann vor diesem Hintergrund auch nicht als untere Grenze einer Schmerzensgeldhöhe wieder eingelesen werden. Vielmehr ist der immaterielle Schaden umfassend zu ersetzen. Eine schwerwiegende Persönlichkeitsverletzung wird regelmäßig zu einem hohen Schmerzensgeld führen (Wolff/Brink, BeckOK Datenschutzrecht, 37. Ed. Stand 01.08.2021, Art. 82 DSGVO Rn. 32). Mit dieser Einschränkung gelten für den immateriellen Schadenersatz nach Art. 82 Abs. 2 DSGVO die im Rahmen von § 253 BGB entwickelten Grundsätze; die Ermittlung obliegt dem Gericht nach 8 287 ZPO (Wolff/Brink, BeckOK Datenschutzrecht, 37. Ed. Stand 01.08.2021, Art. 82 DSGVO Rn. 31). Bei der Bemessung des „vollständigen und wirksamen Schadenersatzes für den erlittenen Schaden“ (Erwägungsgrund 146 zur DSGVO) ist auch die Genugtuungs- und Abschreckungsfunktion des Anspruchs aus Art. 82 DSGVO zu berücksichtigen.
Der Kläger hat plausibel und im Kern unbestritten dargelegt, durch den SCH.-Eintrag eine massive Beeinträchtigung seines sozialen Ansehens im Sinne der Einschätzung seiner Kreditwürdigkeit durch Dritte erlitten zu haben. Die Beklagte hat lediglich die weitere Behauptung des Klägers in Abrede gestellt, die konkret in Rede stehende Einmeldung der Beklagten an die SCH. Holding AG sei auch ursächlich dafür gewesen, dass dem Kläger Kreditkarten gesperrt worden seien und dass seineImmobilienfinanzierung gefährdet gewesen sei. Für diese damitverbundene Verletzung des allgemeinen Persönlichkeitsrechts des Klägers erachtet die Kammereinen Schadenersatzanspruch von 5.000,- € als angemessen, aber auch ausreichend.
Das LAG Hannover hat in diesem Fall einem Arbeitnehmer im Rahmen einer Kündigungsschutzklage 1.250 EURO Schadensersatz aus Art. 82 DSGVO für eine verspätete Auskunftserteilung gemäß Art. 15 DSGVO zugesprochen. Das Gericht ist dabei der Ansicht, dass ein solcher Anspruch nicht das Überschreiten einer Erheblichkeitsschwelle voraussetzt.
Aus den Entscheidungsgründen:
Ein Anspruch des Klägers auf Ersatz des immateriellen Schadens folgt aus Art. 82 Abs. 1 DS-GVO. Danach hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Diese Voraussetzungen liegen vor.
(1) Der Kläger ist anspruchsberechtigt. Er gehört zu den von Art. 82 Abs. 1 DS-GVO geschützten betroffenen Personen iSv. Art. 4 Nr. 1 DS-GVO als diejenige Person, auf die sich die Daten beziehen, welche verarbeitet werden (vgl. EuArbRK/Franzen, 3. Aufl. 2020, DS-GVO Art. 82 Rn. 3). Vorliegend geht es um die Datenverarbeitung in Bezug auf den Kläger im Rahmen des Arbeitsverhältnisses mit der Beklagten und iZm. der sog. „Dieselaffäre“. Insoweit ist der Kläger eine betroffene Person.
(2) Die Beklagte ist anspruchsverpflichtet. Gemäß Art. 82 Abs. 1 Satz 1 DS-GVO haftet jeder an einer Verarbeitung beteiligte Verantwortliche für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. Hierunter zu fassen sind die Verantwortlichen nach Art. 4 Nr. 7 DS-GVO (vgl. EuArbRK/Franzen, 3. Aufl. 2020, DS-GVO Art. 82 Rn. 6). Dies ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Danach ist die Beklagte als juristische Person und Arbeitgeberin des Klägers Verantwortliche, da sie die personenbezogenen Daten verarbeitet.
(3) Ein Verstoß gegen diese Verordnung iSd. § 82 Abs. 1 DS-GVO ist gegeben. Hierbei ist jeglicher Verstoß gegen eine Vorschrift der DS-GVO einschließlich der Formvorschriften ausreichend (hM - vgl. EuArbRK/Franzen, 3. Aufl. 2020, DS-GVO Art. 82 Rn. 10; Kühling/Buchner/Bergt, 3. Aufl. 2020, DS-GVO Art. 82 Rn. 23; Paal/Pauly/Frenzel, 3. Aufl. 2021, DS-GVO Art. 82 Rn. 8, jeweils mwN).
(a) Ein solcher ist jedoch nicht in der möglicherweise fehlerhaften Auskunftserteilung im Jahr 2016 und der Übermittlung der Personalakte Ende des Jahres 2016 und weiterer Unterlagen an unterschiedliche Stellen in den USA vor dem 25.05.2018 zu erblicken.
(aa) Zwar tritt die DS-GVO gem. Art. 99 Abs. 1 DS-GVO am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft. In Anbetracht der am 04.05.2016 erfolgten Veröffentlichung war dies der 25.05.2016. Sie gilt nach Art. 99 Abs. 2 DS-GVO jedoch ab dem 25.05.2018. Die DS-GVO ist im Übergangszeitraum aber noch nicht anwendbar und datenverarbeitende Stellen (Verantwortliche und Auftragsverarbeiter) oder Betroffene können sich noch nicht auf sie berufen. Die Artikel der DS-GVO beanspruchen erst ab dem 25.5.2018 Gültigkeit (Gola DS-GVO/Piltz, 2. Aufl. 2018, DS-GVO Art. 99 Rn. 5).
(bb) Vor diesem Hintergrund sind etwaige datenschutzrechtliche Verstöße der Beklagten, die vor dem 25.05.2018 erfolgten, nicht geeignet, einen Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO zu begründen. Es handelte sich bei der Übertragung der Personalakte und weiterer Unterlagen und der ggf. unzureichenden bzw. fehlerhaften Beantwortung des Auskunftsbegehrens des Klägers auch um bereits abgeschlossene Handlungen der Beklagten. Diese Pflichtverletzungen wirken nicht fort, sind daher nicht seit dem 25.05.2018 auf Grundlage der Vorschriften der DS-GVO zu beurteilen und können zu keinen kausalen Schäden iSd. Art. 82 DS-GVO führen. Die Datenübermittlung ist ein Akt, der sich in der Weitergabe der Daten erschöpft. Das Verbleiben der Daten bei der Stelle, an welche die Übermittlung erfolgte, ist nicht mehr zu der Übermittlung selbst zu zählen, sondern eine Folge davon. Auch die Beantwortung des Auskunftsbegehrens ist abgeschlossen, indem die Beklagte entsprechende Mitteilungen tätigte. Es kann nicht davon ausgegangen werden, dass ein Rechtsverstoß bei einer Datenverarbeitung vor dem Geltungszeitpunkt der DS-GVO die fortgesetzte Datenverarbeitung „infiziert“ und zu einem Schadensersatzanspruch führt (LAG Baden-Württemberg 25. Februar 2021 – 17 Sa 37/20 – Rn. 85; Kühling/Buchner/Bergt, 3. Aufl. 2020, DS-GVO Art. 82).
(b) Die Beklagte hat ihre Pflichten iZm. dem Auskunftsersuchen des Klägers nach Art. 15 Abs. 1 DS-GVO verletzt. Der Auskunftsanspruch nach Art. 15 DS-GVO besteht auch in einem Arbeitsrechtsverhältnis. Die allgemeinen Bestimmungen der DS-GVO enthalten eine Vollregelung, auch zum Beschäftigtendatenschutz (LAG Baden-Württemberg 20. Dezember 2018 – 17 Sa 11/18 – Rn. 172). Nach Art. 15 Abs. 1 DS-GVO hat die betroffene Person das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf bestimmte, in der Norm aufgezählte Informationen. Der Kläger hat mit Schriftsatz vom 09.08.2018 ein solches Auskunftsbegehren gegenüber der Beklagten geltend gemacht und dieses auf die Daten, die bezüglich des Klägers im Zusammenhang mit der „vermeintlichen Diesel-Affäre“ gespeichert sind, beschränkt. Mit Schreiben vom 27.09.2018 hat er dieses Begehren konkretisiert. Dieses Auskunftsverlangen ist mit Schreiben der Beklagten vom 15.10.2018 nur unvollständig beantwortet worden.
(aa) Der Umfang der Auskunft wird nicht einheitlich beurteilt.
Gemäß Art. 4 Nr. 1 Hs. 1 DS-GVO sind „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Nach dieser Definition und der Rechtsprechung des EuGH ist der Begriff weit zu verstehen. Er ist nicht auf sensible oder private Informationen beschränkt, sondern umfasst potenziell alle Arten von Informationen sowohl objektiver als auch subjektiver Natur in Form von Stellungnahmen oder Beurteilungen, unter der Voraussetzung, dass es sich um Informationen über die in Rede stehende Person handelt. Die letztgenannte Voraussetzung ist erfüllt, wenn die Information aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer bestimmten Person verknüpft ist (BGH 15. Juni 2021 – VI ZR 576/19 – Rn. 22 mit Verweis auf EuGH 20. Dezember 2017 – C-434/16). Der Personenbezug im Rahmen von Art. 15 DS GVO setzt nicht voraus, dass es um „signifikante biografische Informationen“ gehe, die „im Vordergrund“ des fraglichen Dokuments stünden (BGH 15. Juni 2021 – VI ZR 576/19 – Rn. 22). Die umfasst auch Korrespondenzen mit Dritten sowie interne Vermerke oder interne Kommunikation, soweit auf die Person des Klägers bezogene Daten enthalten sind (BGH 15. Juni 2021 – VI ZR 576/19 – Rn. 26, 27). Auch solche Aussagen, die eine subjektive und/oder objektive Einschätzung zu einer identifizieren oder identifizierbaren Person liefern, weisen einen Personenbezug auf (OLG Köln 26. Juli 2019 – 20 U 75/18 – Rn. 62).Rechtliche Analysen können zwar personenbezogene Daten enthalten, die auf der Grundlage dieser personenbezogenen Daten vorgenommene Beurteilung der Rechtslage selbst stellt aber keine Information über den Betroffenen und damit kein personenbezogenes Datum dar(BGH 15. Juni 2021 – VI ZR 576/19 – Rn. 28 mit Verweis auf EuGH 17. Juli 2014 – C-141/12 und C-372/12 – Rn. 39 ff.).
Nach anderer Ansicht bezieht sich der Auskunftsanspruch aber nicht auf sämtliche internen Vorgänge der Beklagten, wie z.B. Vermerke, oder darauf, dass die betreffende Person sämtlichen gewechselten Schriftverkehr, der dem Betroffenen bereits bekannt ist, erneut ausgedruckt und übersendet erhalten kann. Der Anspruch aus Art. 15 DS-GVO dient nicht der vereinfachten Buchführung des Betroffenen, sondern soll sicherstellen, dass der Betroffene den Umfang und Inhalt der gespeicherten personenbezogenen Daten beurteilen kann (LG Köln 19. Juni 2019 – 26 S 13/18 – Rn. 23).
Die Kammer folgt der Ansicht, wonach die Auskunftspflicht nach Art. 15 Abs. 1 DS-GVO einem weitreichenden Verständnis unterliegt. Der Wortlaut der Norm gibt keinen Anlass, eine Einschränkung vorzunehmen. Vielmehr bezieht sich die Vorschrift uneingeschränkt auf personenbezogene Daten. Auch Erwägungsgrund 63 Satz 1 verweist umfassend auf ein Auskunftsrecht hinsichtlich der personenbezogenen Daten mit dem Zweck, sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit zu überprüfen. Insoweit ist auf die Definition in Art. 4 Ziff. 1 DS-GVO abzustellen, wonach es sich bei den personenbezogenen Daten um alle Informationen handelt, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Nur bei einem weiten Verständnis der personenbezogenen Daten ist es der betroffenen Person möglich, zweckentsprechend die Rechtmäßigkeit der Verarbeitung zu überprüfen.
(bb) Dementsprechend wurde durch die Beklagte keine umfassende Auskunft erteilt, da sie keine abstrakte Zusammenstellung aller verarbeiteten, personenbezogenen Daten des Klägers enthält. Die Beklagte verwies in ihrem Schreiben vom 15.10.2018 auf die in der Anlage 2 übermittelten, teils unkenntlich gemachten Dokumente, die Gegenstand der Auflistung der Anlage 3 sind. Sie verwies weiter darauf, dass darüber hinausgehend Dokumente existieren, die wegen Art. 15 Abs. 4 DS-GVO nicht als Kopien in Anlage 2 enthalten sind. Diese wurden dementsprechend auch nicht aufgelistet. Ferner wurden nach Mitteilung in der Auskunft keine Dokumente beigefügt, in denen die relevanten Informationen weiterverwendet wurden – bspw. in Bewertungen der Rechtsabteilung. Insofern ist erkennbar, dass die Auskunft sich nicht auf alle relevanten Informationen erstreckte, da die Beklagte schon nicht mitteilte, in welchen weiteren Dokumenten personenbezogene Daten des Klägers enthalten sind, die weder aufgelistet waren noch beigefügt. Die Beklagte selbst trägt vor, dass Informationen aufgrund eines überwiegenden Interesses Dritter nicht beauskunftet werden konnten.
(cc) Dass die Beklagte zu einer eingeschränkten Auskunft berechtigt war, ergibt sich aus ihren Darlegungen nicht hinreichend. Die Beklagte beruft sich insoweit auf entgegenstehende Rechte und Freiheiten anderer Personen - auch der Beklagten selbst - und den Schutz von Betriebs- und Geschäftsgeheimnissen.
(aaa) Nach § 34 Abs. 1 BDSG iVm. § 29 Abs. 1 Satz 2 BDSG besteht das Recht auf Auskunft der betroffenen Person gemäß Artikel 15 der Verordnung (EU) 2016/679 nicht, soweit durch die Auskunft Informationen offenbart würden, die nach einer Rechtsvorschrift oder ihrem Wesen nach, insbesondere wegen der überwiegenden berechtigten Interessen eines Dritten, geheim gehalten werden müssen.
Nach Art. 15 Abs. 4 DS-GVO darf das Recht auf Erhalt einer Kopie die Rechte und Freiheiten anderer Personen nicht beeinträchtigen. Ob sich Art. 15 Abs. 4 DS-GVO allein auf die Herausgabe von Kopien bezieht oder auch den aus Art. 15 Abs. 1 DS-GVO folgenden Auskunftsanspruch umfasst (so: Paal/Pauly/Paal, 3. Aufl. 2021, DS-GVO Art. 15 Rn. 41; Sydow, Europäische Datenschutzgrundverordnung, 2. Aufl. 2018, DSGVO Art. 15 Rn. 22), kann dahingestellt bleiben, auch wenn grds. auch der Verantwortliche selbst dem Anwendungsbereich des Art. 15 Abs. 4 DS-GVO unterfällt (vgl. Kühling/Buchner/Bäcker, 3. Aufl. 2020, DS-GVO Art. 15 Rn. 42).
Bezüglich beider Vorschriften ist nicht ersichtlich, dass die Voraussetzungen vorliegen.
(bbb) Dass die Beklagte berechtigt war, die entsprechenden Auskünfte zu verweigern, hat sie nicht hinreichend vorgetragen.
(aaaa) Inwieweit tatsächlich fremde Rechte der reinen Informationserteilung entgegenstehen können (was von Erwägungsgrund 63 zumindest angedeutet wird), ist in Ansehung des vorbehaltlos gewährleisteten Art. 8 Abs. 2 S. 2 GRCh in jedem Einzelfall und nach strengen Maßstäben kritisch zu prüfen (Gola DS-GVO/Franck, 2. Aufl. 2018, DS-GVO Art. 15). Soweit die Verpflichtete mit dem Hinweis auf schützenswerte Interessen Dritter den Auskunftsanspruch verweigert, ist sie für die maßgeblichen Umstände in der Darlegungslast (vgl. LAG Baden-Württemberg 20. Dezember 2018 – 17 Sa 11/18 – Rn. 183; LAG Baden-Württemberg 17. März 2021 – 21 Sa 43/20 – Rn. 32). Gegenläufige Rechte und Freiheiten schließen das Recht auf eine Datenkopie allerdings nur in einer konkreten Kollisionslage aus, für die der Verantwortliche die Beweislast trägt. Die stets begründbare allgemeine Besorgnis, dass die betroffene Person mit hinreichendem Zusatzwissen aus der Datenkopie auf sensible Informationen schließen könnte, reicht nicht aus (Kühling/Buchner/Bäcker, 3. Aufl. 2020, DS-GVO Art. 15). Bei der Darlegung im Prozess wird verlangt, dass dafür Sorge getragen werden müsse, dass die Darlegungen nicht so weit gehen müssen, als dass aus der Darstellung des Hinderungsgrundes für den Arbeitnehmer die gewünschten Informationen zu entnehmen sind (Fuhlrott, NZA-RR 2019, 242 (252)).
(bbbb) Diesen Anforderungen genügt der Vortrag der Beklagten nicht, ein die Einschränkungen hinreichend begründender Tatsachenvortrag ist nicht erfolgt. Die Beklagte hat pauschal vorgetragen, dass Daten oder Informationen wegen der Beschränkungen des Art. 15 Abs. 4 DS-GVO zurückgehalten wurden, dass eine Auskunft über die Verarbeitung durch die Rechts- und Compliance-Abteilungen in Form der rechtlichen Bewertungen, Analysen, Gutachten und Vermerke nicht erfolgte. Zudem sei ein Schutz von Geschäfts- und Betriebsgeheimnissen auch über § 29 Abs. 1 Satz 2 BDSG gerechtfertigt und auch ihre eigenen Rechte seien im Rahmen des Art. 15 Abs. 4 DS-GVO zu berücksichtigen und vor diesem Hintergrund sei ein Zurückhalten der Daten gerechtfertigt. Schließlich machte die Beklagte eine Einschränkung im Hinblick auf das arbeitsgerichtliche Verfahren zwischen den Parteien geltend.
Dieser Vortrag ist in der vorgenommenen Pauschalität jedoch nicht nachprüfbar. Inwieweit in diesem Zusammenhang ein berechtigtes entgegenstehendes Interesse Dritter oder Betriebsgeheimnisse es im Einzelnen notwendig machten, die Auskunft nicht vorzunehmen, begründete die Beklagte nicht mit konkretem Tatsachenvortrag. Dementsprechend ist mangels Vortrages nicht nachvollziehbar, erwiderungsfähig oder überprüfbar, ob berechtigte Ausnahmen einer Auskunftserteilung entgegenstehen. Jedenfalls in Grundzügen wäre von der Beklagten zu verlangen, dass sie Vortrag leistet, aus dem sich ergeben kann, dass das Auskunftsbegehren mit den Rechten und Freiheiten Dritter, ihren eigenen Belangen oder Geschäftsgeheimnissen kollidiert. Es müsste wenigstens ein gewisser diesbezüglicher Mindestvortrag erfolgen. Anderenfalls könnte allein durch die bloße Behauptung, die Voraussetzungen der Ausnahmeregelungen liegen vor, die Auskunft – teilweise – verweigert werden. Die Beklagte hätte beispielsweise benennen können, um welche Informationen es sich handelt und stichwortartig unter zeitlicher Eingrenzung umschreiben können, was Gegenstand dieser ist, ohne den genauen Inhalt wiedergeben zu müssen. Die Beklagte belässt es jedoch dabei auszuführen, dass weitere Auskünfte nicht erteilt und Unterlagen nicht zur Verfügung gestellt würden, ohne dass auch nur im Ansatz ersichtlich ist, worauf die Beklagte sich bezieht. Weder nach der Anzahl noch dem Gegenstand der Informationen hat die Beklagte eine Konkretisierung vorgenommen.
(dd) Der Beklagten stand kein Verweigerungsrecht nach Art. 12 Abs. 5 Satz 2 lit. b DS-GVO zu, wobei dahingestellt bleiben kann, ob diese Regelung auf die Ansprüche aus Art. 15 DS-GVO übertragbar ist. Der Antrag des Klägers war nicht offensichtlich unbegründet, exzessiv oder rechtsmissbräuchlich. Dass dem Kläger ein Antragsrecht nach Art. 15 DS-GVO zustand, steht zwischen den Parteien nicht im Streit. Zudem scheidet eine exzessive Nutzung des Antragsrechts aus. Exzessiv ist eine Antragstellung insbes. dann, wenn sie ohne tragfähigen Grund häufig wiederholt wird oder einen unverhältnismäßigen Umfang aufweist (Paal/Pauly/Paal/Hennemann, 3. Aufl. 2021, DS-GVO Art. 12 Rn. 64). Es sollen rechtsmissbräuchliche Anträge unterbunden werden, die ua vornehmlich auf die Schikanierung des Verantwortlichen abzielen (Paal/Pauly/Paal/Hennemann, 3. Aufl. 2021, DS-GVO Art. 12 Rn. 66). Dies ist nicht der Fall. Der Kläger stellte 2016 und 2018 jeweils einen Auskunftsantrag, so dass bereits die Häufigkeit nicht für eine exzessive Nutzung spricht. Es ist zudem zu berücksichtigen, dass der Kläger seinen Auskunftsanspruch explizit auf die iZm. der „Dieselaffäre“ verarbeiteten Daten bezog und nicht auf alle, während der gesamten Dauer des Arbeitsverhältnisses erhobenen Daten richtete. Dem Kläger war daher nicht daran gelegen, die Beklagten mit unverhältnismäßigem Aufwand zu belasten, sondern er nahm seine Rechte zielgerichtet im Rahmen seiner Interessen wahr. Auch ein rechtsmissbräuchliches Vorgehen des Klägers ist nicht ersichtlich. Dass das Auskunftsverlangen darauf gerichtet war, die Beklagte auszuforschen, vermutet sie in Anbetracht des zeitlichen Zusammenhangs mit der Anhörung zum Kündigungssachverhalt. Dies kann für den Kläger jedoch auch nur Anlass gewesen sein, über die Verarbeitung seiner personenbezogenen Daten Auskunft zu begehren, um deren Rechtmäßigkeit beurteilen zu können.
(ee) Ein Verweigerungsrecht wegen unverhältnismäßigen Aufwands ist nicht gegeben. Ein solches ist in Art. 15 DS-GVO nicht ausdrücklich normiert, jedoch anerkannt (Gola DS-GVO/Franck, 2. Aufl. 2018, DS-GVO Art. 15 Rn. 38). Vorliegend ist zu berücksichtigen, dass der Kläger sein Auskunftsverlangen präzisiert und damit die Möglichkeit, die in Erwägungsgrund 63 aE niedergelegt ist, bereits wahrgenommen hat. Der Kläger verlangt gerade nicht Auskunft über alle im Rahmen des gesamten Arbeitsverhältnisses verarbeiteten Daten, sondern grenzt sein Begehren auf diejenigen ein, die mit der „Diesel-Thematik“ im Zusammenhang stehen.
(c) Die Beklagte hat nicht gegen ihre Verpflichtungen nach Art. 15 Abs. 3 Satz 1 DS-GVO verstoßen, indem sie zu einem Großteil geschwärzte Unterlagen und Kopien an den Kläger übermittelte. Gemäß Art. 15 Abs. 3 Satz 1 DS-GVO stellt der Verantwortliche eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung. Der Kläger hat in seinem Schreiben vom 27.09.2018 ausdrücklich auch auf die Pflicht zur Verfügungstellung von Kopien der personenbezogenen Daten hingewiesen.
(aa) Die Reichweite des Art. 15 Abs. 3 Satz 1 DS-GVO ist streitig.
Nach einer Ansicht soll der Anspruch auf Erteilung einer Kopie über die personenbezogenen Daten auf diejenigen bezogen sein, auf die sich auch das Auskunftsrecht nach Art. 15 Abs. 1 DS-GVO bezieht (vgl. LAG Niedersachsen 9. Juni 2020 – 9 Sa 608/19 - Rn. 45; LAG Baden-Württemberg 17. März 2021 – 21 Sa 43/20 – Rn. 29; Paal/Pauly/Paal, 3. Aufl. 2021, DS-GVO Art. 15 Rn. 33, ArbG Bonn 16. Juli 2020 – 3 Ca 2026/19 – Rn. 56). Nach der anderen Auffassung widerspreche eine solche Auslegung dem der DS-GVO zugrunde liegenden weit gefassten Begriff der personenbezogenen Daten und dem Sinn und Zweck des Art. 15 Abs. 3 Satz 1 DS-GVO (vgl. OVG Münster 8. Juni 2021 – 16 A 1582/20 – Rn. 73 ff.; OLG München 4. Oktober 2021 – 3 U 2906/20 – Rn. 20), die Datenkopie soll nicht identisch mit der Auskunft über die verarbeiteten Daten sein (Kühling/Buchner/Bäcker, 3. Aufl. 2020, DS-GVO Art. 15 Rn. 39).
(bb) Die Kammer schließt sich der Ansicht an, wonach die Ansprüche nach Art. 15 Abs. 1 und Art. 15 Abs. 3 Satz 1 DS-GVO nicht nebeneinander stehen, sondern sich der Anspruch auf Kopien auf die Auskünfte des Art. 15 Abs. 1 DS-GVO bezieht. Sinn und Zweck des aus Art. 15 DS-GVO folgenden Auskunftsrechts ist es, den betroffenen Personen eine Überprüfung der Rechtmäßigkeit der Datenverarbeitung zu ermöglichen, was aus Erwägungsgrund 63 Satz 1 folgt. Danach sollte eine betroffene Person ein Auskunftsrecht hinsichtlich der sie betreffenden personenbezogenen Daten, die erhoben worden sind, besitzen, um sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können. Dieses Ziel der Ermöglichung der Überprüfung wird erreicht, wenn die aus Art. 15 Abs. 1 DS-GVO folgenden Auskünfte in Kopie zur Verfügung gestellt werden. Hierfür bedarf es nicht der Vorlage der gesamten Unterlagen in Kopie. Ferner folgt aus dem Wortlaut des Art. 15 Abs. 3 Satz 1 DS-GVO, dass personenbezogene Daten, die Gegenstand der Verarbeitung sind, zur Verfügung gestellt werden. Art. 15 Abs. 1 DS-GVO bezieht sich jedoch gerade auf die Auskunft über diese personenbezogenen Daten.
Dementsprechend ist die Beklagte ihrer Pflicht aus Art. 15 Abs. 3 Satz 1 DS-GVO, eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung zu stellen, jedenfalls in dem Umfang, in dem sie eine Auskunft vorgenommen hat, hinreichend nachgekommen.
(d) Das Auskunftsverlangen des Klägers wurde verspätet beantwortet.
Nach Art. 12 Abs. 3 Satz 1 DS-GVO stellt der Verantwortliche der betroffenen Person Informationen über die auf Antrag gemäß den Artikeln 15 bis 22 ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung. Gemäß Art. 12 Abs. 3 Satz 2 DS-GVO kann diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist. Der Verantwortliche unterrichtet die betroffene Person innerhalb eines Monats nach Eingang des Antrags über eine Fristverlängerung, zusammen mit den Gründen für die Verzögerung Art. 12 Abs. 3 Satz 3 DS-GVO.
Diese Vorgaben wurden durch die Beklagte nicht gewahrt. Das Auskunftsbegehren des Klägers vom 09.08.2018 wurde per E-Mail an die Prozessbevollmächtigten der Beklagten übersandt. Dass eine Empfangsbevollmächtigung der Prozessbevollmächtigten auch insoweit vorlag, wird von der Beklagten nicht in Abrede gestellt. Auch wenn nicht ersichtlich ist, wann genau dieses Schreiben der Beklagten zugegangen ist, ist jedoch erkennbar, dass jedenfalls am 26.09.2018 die Monatsfrist abgelaufen war. Mit Schreiben vom 26.09.2018 teilte die Beklagte zwar mit, dass sie von der Fristverlängerung um zwei Monate nach Art. 12 Abs. 3 Satz 2 DS-GVO Gebrauch machen würde, zu diesem Zeitpunkt war jedoch unstreitig der Fristablauf bereits eingetreten. Der Wortlaut des Art. 12 Abs. 3 Satz 3 DS-GVO ist insoweit eindeutig, als darin gefordert wird, dass innerhalb eines Monats nach Antragseingang über die Fristverlängerung zu unterrichten ist (vgl. Paal/Pauly/Paal/Hennemann, 3. Aufl. 2021, DS-GVO Art. 12 Rn. 54; (Gola DS-GVO/Franck, 2. Aufl. 2018, DS-GVO Art. 12 Rn. 26). Die E-Mail vom 20.08.2018 stellte bereits kein Schreiben iSv. Art. 12 Abs. 3 Satz 3 DS-GVO dar, da in diesem nicht auf eine Fristverlängerung hingewiesen, sondern mitgeteilt wurde, dass binnen Monatsfrist eine Antwort erfolgen wird.
(e) Eine Pflichtverletzung ist nicht darin zu sehen, dass die Beklagte eine Rechtsgrundlage für die Übermittlung der Daten in die USA nicht benannt hat.
Die Informationspflicht aus Art. 13 Abs. 1 c), Art. 14 Abs. 1 c) DS-GVO umfasst die Mitteilung der Rechtsgrundlage der Verarbeitung, in Art. 15 Abs. 1 DS-GVO ist eine solche Mitteilungspflicht gerade nicht normiert (vgl. auch Gola DS-GVO/Franck, 2. Aufl. 2018 Rn. 7, DS-GVO Art. 15 Rn. 7). Eine solche könnte gegeben sein, wenn die betroffene Person ein berechtigtes Interesse an einer rechtlichen Würdigung plausibilisiert (Kühling/Buchner/Bäcker, 3. Aufl. 2020, DS-GVO Art. 15 Rn. 13). Dies ist vorliegend nicht der Fall.
(f) Auch ein Verstoß gegen die Datensicherheit ist durch die Übermittlung der Kopien mittels Taxi nicht ersichtlich. Der Kläger selbst hat nicht vorgetragen, dass es sich um einen offenen Karton handelte, in welchem die Kopien enthalten waren, so dass jederzeit ein unbefugter Zugriff ermöglicht worden wäre. Auch wenn die Unterlagen auf dem Postweg übersandt worden wären, hätte ein Überbringen durch die Beklagte selbst oder ihrer Vertreter nicht stattgefunden. In Anbetracht des Umfangs der Unterlagen war es zudem der Beklagten zuzugestehen, nicht den Postweg, sondern einen Kurierfahrer mit der Übermittlung zu beauftragen.
(g) Dass die Auskunft unvollständig war, da sie sich nicht auf einen Ergebnisbericht der Kanzlei JD bezog, ist nicht erkennbar. Der Kläger vermutet lediglich, dass ein solcher existieren müsse. Die Beklagte hatte von Anfang an vorgetragen, dass dieser nicht vorliege. Der Kläger, der mittlerweile Einsicht in die strafrechtlichen Ermittlungsakten hatte, hat auch nicht vorgetragen, dass in diesen ein solcher enthalten war und auch keine weiteren Anhaltspunkte dargelegt, die auf die Existenz eines solchen schließen lassen.
(4) Das Verschulden der Beklagten wird nach Art. 82 Abs. 3 DS-GVO vermutet. Die Beklagte hat keinen entgegenstehenden Vortrag geleistet.
(5) Es liegt zudem ein kausaler, immaterieller Schaden vor. Es ist hierbei von einem weiten Schadensverständnis auszugehen.
(a) Der Schadensbegriff wird in Rechtsprechung und Literatur nicht einheitlich beantwortet.
So verlange Erwägungsgrund 146 S. 3 eine weite Auslegung des Schadensbegriffs im Lichte der Rspr. des EuGH, die den Zielen der DS-GVO in vollem Umfang entspricht (vgl. BVerfG 14. Januar 2021 – 1 BvR 2853/19 – Rn. 19; ArbG Neumünster, 11. August 2020 – 1 Ca 247 c/20 – Rn. 38). Die Forderung einer schwerwiegenden Persönlichkeitsrechtsverletzung vertrage sich nicht mit Art. 82 DS-GVO, da sie weder von dessen Ziel und Entstehungsgeschichte gedeckt sei (LG Lüneburg 14. Juli 2020 – 9 O 145/19 – Rn. 49), dies wirke sich nur noch bei der Höhe des Anspruchs aus (vgl. ArbG D-Stadt 5. März 2020 – 9 Ca 6557/18 - Rn. 84, mwN). Ein immaterieller Schaden entstehe auch, wenn die betroffene Person um ihre Rechte und Freiheiten gebracht oder daran gehindert ist, die sie betreffenden personenbezogen Daten zu kontrollieren (vgl. ArbG Dresden 26. August 2020 – 13 Ca 1046/20 – Rn. 14). Weder der DSGVO noch ihren Erwägungsgründen lasse sich entnehmen, dass der Schadensersatzanspruch einen qualifizierten Verstoß gegen die DSGVO voraussetzt. Für die Annahme einer Erheblichkeitsschwelle oder anders - herum formuliert - die Ausnahme von Bagatellfällen, gebe es keinen Anhaltspunkt (vgl. LAG Hamm 11. Mai 2021 – 6 Sa 1260/20 – Rn. 50). Soweit es nicht um reine Formfehler wie Verstöße gegen Dokumentationspflichten geht, gehe mit der Verletzung datenschutzrechtlicher Normen letztlich immer ein immaterieller Schaden einher (vgl. Kühling/Buchner/Bergt, 3. Aufl. 2020, DS-GVO Art. 82 Rn. 18a). Erwägungsgrund 146 S. 6 spreche gegen die Einschränkung des Entschädigungsanspruchs auf schwere Beeinträchtigungen, die Schwere der Beeinträchtigung sei nur bei der Frage der Höhe des Anspruchs zu berücksichtigen, wobei Bagatellfälle außer Betracht bleiben können (vgl. Gola DS-GVO/Gola/Piltz, 2. Aufl. 2018, DS-GVO Art. 82 Rn. 13). Damit könne eine betroffene Person nun mehr für jede Verletzung der DS-GVO durch Verarbeitung ihrer personenbezogenen Daten auch ein angemessenes Schmerzensgeld verlangen (vgl. Ehmann/Selmayr/Nemitz, 2. Aufl. 2018, DS-GVO Art. 82 Rn. 13).
Nach anderer Meinung führe nicht jeder Verstoß zu einem Schadensersatzanspruch. Allein die Verletzung des Datenschutzrechts als solche begründe nicht bereits für sich gesehen einen Schadensersatzanspruch für betroffene Personen. Die Verletzungshandlung müsse in jedem Fall auch zu einer konkreten, nicht nur unbedeutenden oder empfundenen Verletzung von Persönlichkeitsrechten der betroffenen Person geführt haben (vgl. LG Landshut 6. November 2020 – 51 O 513/20 - Rn. 18). Die Anwendung von Strafschadenersatz sei aufgrund Art. 82 nicht zugelassen (vgl. Spindler/Schuster/Spindler/Horváth, 4. Aufl. 2019, DS-GVO Art. 82 Rn. 8). Daher werde man im Grundsatz weiterhin davon ausgehen können, dass immaterielle Schäden im vorliegenden Zusammenhang nur entstehen, wenn das allgemeine Persönlichkeitsrecht der betroffenen Person nicht unerheblich verletzt wurde (vgl. EuArbRK/Franzen, 3. Aufl. 2020, DS-GVO Art. 82 Rn. 22). Es müsse auch bei einem immateriellen Schaden eine Beeinträchtigung eingetreten sein, die unabhängig von einer Erheblichkeitsschwelle wenigstens spürbar sein muss. Andernfalls scheide ein "Schaden" begrifflich schon aus (vgl. LG Bonn 1. Juli 2021 – 15 O 372/20 – Rn. 42). Der Schaden müsse – wie auch der Anwendungsbereich mancher Norm des EU-Rechts – weit verstanden werden; gleichwohl muss er „erlitten“ (ErwGr 146 S. 6), maW „spürbar“, objektiv nachvollziehbar, von gewissem Gewicht sein (vgl. Paal/Pauly/Frenzel, 3. Aufl. 2021, DS-GVO Art. 82 Rn. 10).
(b) Die Kammer folgt den Erwägungen, wonach unabhängig von dem Erreichen einer Erheblichkeitsschwelle bei Verstößen gegen Regelungen der DS-GVO ein immaterieller Schadensersatz in Betracht kommt. Hierbei ist zu berücksichtigen, dass gerade ausgehend von Erwägungsgrund 146 Satz 3 eine weite Auslegung geboten ist, um den Zielen der Verordnung in vollem Umfang zu entsprechen. Hiermit wäre es unvereinbar, würde eine Schadensersatzpflicht nur bei erheblichen Rechtsverstöße eintreten, da dann eine Vielzahl von Fallgestaltungen denkbar wäre, in denen Betroffene trotz Verstößen gegen die Regelungen der DS-GVO keine Kompensation erhielten. Ferner kann, um die Regelungen der DS-GVO effektiv durchzusetzen, auch auf eine abschreckende Wirkung des Schadensersatzes abgestellt werden (vgl. EuGH 17. Dezember 2015 – C-407/14 – Rn. 44). Zudem sollen die betroffenen Personen nach Erwägungsgrund 146 Satz 3 einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten. Dass ein Schaden erlitten ist, ergibt sich nicht erst bei Überschreiten einer gewissen Erheblichkeitsschwelle – der Schwere der Pflichtverstöße und damit einhergehenden Beeinträchtigungen kann vielmehr effektiv auf Ebene der Höhe des Schadensersatzes begegnet werden.
Indem die Beklagte ihrer Auskunftsverpflichtung zeitlich und inhaltlich nicht hinreichend nachgekommen ist, hat der Kläger keine zeitgerechten, ausreichenden Kenntnisse über die Verarbeitung seiner personenbezogenen Daten erlangt – insofern ist ein Kontrollverlust eingetreten und ihm wird die Möglichkeit der Überprüfung der Rechtmäßigkeit der Verarbeitung seiner personenbezogenen Daten unmöglich gemacht oder erschwert.
(6) Dem Kläger ist in Anbetracht der Pflichtverstöße der Beklagten nach richterlichem Ermessen gem. § 287 Abs. 1 ZPO ein immaterieller Schadensersatz in Höhe von 1.250,-- Euro zuzusprechen.
(a) Den Schadensersatzansprüchen soll generell eine Abschreckungswirkung innewohnen (Sydow, Europäische Datenschutzgrundverordnung, 2. Aufl. 2018, DSGVO Art. 82 Rn. 10, mwN).). Unter Berücksichtigung des Erwägungsgrundes 146 (Satz 6) zur DSGVO soll die betroffene Person einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten(LAG Hamm 11. Mai 2021 – 6 Sa 1260/20 – Rn. 50). Verstöße müssen effektiv sanktioniert werden. Schadenersatz bei Datenschutzverstößen sollen eine abschreckende Wirkung haben, um der Datenschutzgrundverordnung zum Durchbruch zu verhelfen (effet utile) (ArbG Dresden 26. August 2020 – 13 Ca 1046/20 – Rn. 16).
(b) Gemessen an der Zweckrichtung des Schadensersatzes hält die Kammer unter Berücksichtigung und Abwägung der Umstände des vorliegenden Falls einen immateriellen Schadensersatz in Höhe von 1.250,-- Euro angemessen, aber auch ausreichend. Hierbei ist zu berücksichtigen, dass die verspätete Auskunft der Beklagten erfolgte, weil sie nicht innerhalb des ersten Monats die Inanspruchnahme der Verlängerung um zwei Monate begründet mitteilte. Im Ergebnis wurde die Auskunft jedoch innerhalb von gut zwei Monaten nach Geltendmachung des Auskunftsbegehrens und somit noch vor dem Ablauf von drei Monaten erteilt, die der Gesetzgeber dem Verantwortlichen grundsätzlich maximal zubilligt. Hierbei ist auch zu berücksichtigen, dass der Kläger im September 2018 sein Begehren präzisierte und die Beklagte dem in ihrer Antwort Rechnung trug. Andererseits ist erkennbar, dass der Beklagten die einmonatige Frist durchaus bewusst war, da deren Prozessbevollmächtigte im Schreiben vom 20.08.2018 mitteilte, dass eine Erledigung innerhalb dieser Frist erfolgen würde. Insgesamt ist in Anbetracht dieser Gesamtumstände, die dazu führten, dass der Kläger nur für einen vergleichsweise kurzen Zeitraum nach Antragstellung über die Datenverarbeitung im Unklaren war, ein immaterieller Schadensersatz von 250,-- Euro zuzuerkennen. Schwerer wiegt demgegenüber der Verstoß gegen Art. 15 Abs. 1 DS-GVO. Da durch die unzureichende Auskunft der Erkenntnisgewinn des Klägers über die Verarbeitung seiner personenbezogenen Daten nicht umfassend war und die Beklagte hierfür keine ausreichend nachvollziehbare Begründung angeben konnte, erscheint der Kammer ein Schadensersatz in Höhe von 1.000,-- Euro angemessen. Hierdurch wird ausreichend sichergestellt, dass durch die Zahlung eines spürbaren Betrages der Regelung des Art. 15 DS-GVO zur Geltung verholfen wird und die Verpflichteten angehalten werden, die entsprechenden Maßgaben einzuhalten. In die Überlegung einzustellen ist, dass die Beklagte nicht versehentlich die Auskunft hinsichtlich bestimmter Informationen mit personenbezogenen Daten unterlassen hat, sondern diese bewusst zurückgehalten hat, ohne dass ein Grund hierfür nachvollziehbar dargelegt wurde. Anzuknüpfen ist hierbei nach Sicht der Kammer weder an den Verdienst des Klägers noch die finanzielle Leistungsfähigkeit der Beklagten, da beide Komponenten in keinem Zusammenhang mit den datenschutzrechtlichen Verstößen stehen.
Das LArbG Hamm hat entschieden, dass ein Schadensersatzanspruch aus Art. 82 Abs. 1 DSGVO bei verspäteter oder unvollständiger Auskunftserteilung nach Art. 15 Abs. 1 DSGVO besteht. Im vorliegenden Fall hat das Gericht einem Arbeitnehmer 1.000 EURO zugesprochen.
Aus den Entscheidungsgründen:
II. Soweit die Klägerin den in erster Instanz unbezifferten gestellten Klageantrag nunmehr im Rahmen der Berufungsbegründung beziffert, liegt eine Klageänderung - die im Rahmen der Berufung an den Voraussetzungen des § 533 ZPO zu messen wäre - nicht vor. Gemäß § 264 Nr. 2 ZPO ist es nicht als Klageänderung anzusehen, wenn ohne Änderung des Klagegrundes der Klageantrag in der Hauptsache erweitert wird. Darunter fällt auch der Übergang von einem nicht bezifferten Feststellungsantrag zu einem bezifferten Zahlungsantrag (vgl. BGH vom 12.05.1992 – VI ZR 118/91 -; BGH vom 13.11.2014 – IX ZR 267/13-).Wird zunächst eine Stufenlage erhoben und der Auskunftsantrag gestellt, stellt der Kläger dann aber, ohne die Bescheidung des Auskunftsanspruchs abzuwarten, sogleich den Zahlungsantrag, ist dieser Antrag ebenfalls nach § § 264 Nr. 2 ZPO zulässig. Um eine Klageänderung handelt es sich nicht (BGH vom 13.11.2014 – IX ZR 267/13 - ). Für den Zahlungsantrag, der in erster Instanz noch nicht beziffert war, gilt hier nicht anderes.
B) Die Berufung ist indes nur im Hinblick auf die Verurteilung der Beklagten zur Zahlung eines in das Ermessen des Gerichts gestellten immateriellen Schadensersatzanspruchs begründet. Insoweit hat das Arbeitsgericht die Klage zu Unrecht abgewiesen. Im Übrigen ist die Berufung unbegründet.
I. Die Berufung ist teilweise begründet, soweit die Klägerin die Zahlung eines immateriellen Schadensersatzes begehrt. Sie hat aus Art. 82 Abs. 1 DSGVO einen Anspruch auf Zahlung eines solchen Schadensersatzes in Höhe von 1.000,00 Euro.
1. Der Klageantrag ist zunächst bestimmt genug, § 253 Abs. 2 Nr. 2 ZPO. Bei einem Schadensersatzanspruch auf Geldentschädigung, bei dem die Bestimmung des Betrages von der Ermittlung der Schadenshöhe durch Beweisaufnahme oder durch gerichtliche Schätzung oder vom billigen Ermessen des Gerichts abhängt, ist es ausreichend, wenn die zahlenmäßige Feststellung der Klageforderung dem Gericht überlassen wird, sofern dem Gericht zugleich die tatsächlichen Grundlagen gegeben werden, die ihm die Feststellung der Höhe des gerechtfertigten Klageanspruchs ermöglichen (vgl. BGH vom 13.03.1967 – III ZR 8/66 m.z.N.). Selbes gilt, wenn – wie hier - die ziffernmäßige Festlegung der Schadenshöhe entscheidend von der Ausübung des richterlichen Ermessens oder einer richterlichen Schätzung nach § 287 Abs. 1 ZPO abhängt (BGH vom 13.03.1967 – III ZR 8/66 m.z.N.). Vorliegend hat die Klägerin zudem angegeben, dass sie einen Mindestschaden von 6.000,00 Euro (vgl. Berufungsbegründung vom 21.12.2020) für angemessen erachtet.
2. Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen.
Die DSGVO, die seit dem 25.05.2018 in Kraft getreten ist (Art. 99 Abs. 2 DSGVO) gilt gemäß Art. 288 AEUV unmittelbar in jedem Mitgliedsstaat der Europäischen Union, ohne dass es einer weiteren Umsetzung durch nationales Recht bedarf.
a) Verantwortlicher im Sinne des Art. 82 Abs. 1 DSGVO ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (Art. 4 Ziff. 7 DSGVO), mithin die Beklagte.
b) Die Beklagte hat vorliegend gegen ihre Auskunftspflicht gegenüber der Klägerin aus Art. 15 Abs. 1 DSGVO verstoßen. Der Auskunftsanspruch besteht auch in einem Arbeitsverhältnis. Die allgemeinen Bestimmungen der EU-DSVO enthalten eine Vollregelung, auch zum Beschäftigtendatenschutz (vgl. LAG Baden-Württemberg vom 20.12.2018 – 17 Sa 11/18 -). Der Auskunftsanspruch ist ein Grundrecht (Art. 8 Abs. 2 GRCh, Art. 6 Abs. 1 EUV) und gehört zur „Magna Charta“ der Betroffenenrechte (Lemke, der Datenschutzrechtliche Auskunftsanspruch im Arbeitsverhältnis, NJW 2020, 1841ff).
Nach Art. 15 Abs. 1 DSGVO hat die betroffene Person (Art. 4 Ziff. 7 DSGVO) das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden und – soweit dies der Fall ist – das weitere Recht auf die unter lit. a) bis h) der Vorschrift benannten Informationen. Nach der Vorgabe des Art. 12 Abs. 3 S. 1-3 DSGVO ist ein solches Auskunftsbegehren binnen eines Monats nach Eingang, nach einer Unterrichtung über eine Fristverlängerung binnen zwei weiterer Monate zu beantworten.
(1) Ein solches Verlangen hat die Klägerin vorliegend mit außergerichtlichem Schreiben ihres heutigen Prozessbevollmächtigten vom 30.01.2020 gestellt. Darin hat sie unter Bezugnahme auf die Datenschutzgrundverordnung Auskunft über „sämtliche bei Ihnen gespeicherten Daten, insbesondere die Daten der Arbeitszeiterfassung“ begehrt. Das Auskunftsbegehren unterliegt nach den Bestimmungen der DSGVO keinen besonders geregelten Anforderungen an Form und Inhalt. Es kann dahinstehen, ob sich der Anspruch der Klägerin inhaltlich auf den gesamten Umfang der mit dem Schreiben geltend gemachten Daten bezieht. Aus diesem verlangen konnte die Beklagte hinreichend konkret erkennen, auf welche Rechtsgrundlage die Klägerin ihr begehren stützt. Aus Art. 4 Ziff. 2 DSGVO ergibt sich zudem, dass sich die Verarbeitung, die Gegenstand des Auskunftsanspruchs nach Art. 15 DSGVO ist, auf jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten bezieht. Eine Einschränkung auf einen bestimmten Auskunftsteil hat die Klägerin nicht vorgenommen. Sie hat nur formuliert, dass sich ihr Begehren „insbesondere“ aber nicht erkennbar nicht ausschließlich auf die Daten der Zeiterfassung beziehe.
(2) Der Auskunftsanspruch bezieht sich inhaltlich auf personenbezogene Daten. Dabei handelt es sich nach Art. 4 Ziff. 1 DSGVO um alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person“) beziehen. Zur Verarbeitung gehört nach Art. 4 Ziff. 2 DSGVO insbesondere das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung und die Verwendung solcher Daten. In einem Arbeitsverhältnis verarbeitet der Arbeitgeber zwangsläufig personenbezogene Daten der bei ihm beschäftigten Arbeitnehmer. Bei diesen Daten kann es sich neben den Kontaktdaten der Person etwa um Informationen über das Bestehen und die Dauer einer Arbeitsunfähigkeit, über die Gewährung von Urlaubsansprüchen oder auch über Leistungs- und Verhaltensdaten handeln. Die Beklagte hat bis heute keine Auskunft darüber erteilt, ob und zu welchem Verarbeitungszweck (Art. 15 Abs. 1 lit. a)) und nach welchen Kategorien (Art. 15 Abs. 1 lit. b)) sie entsprechende Daten der Klägerin verarbeitet. Die Beklagte hat auf das gestellte Auskunftsverlangen erstmals unter dem 13.08.2020 reagiert und der Klägerin - offenbar auch im Hinblick auf das zu diesem Zeitpunkt klageweise rechtshängig gemachte und auf den Umfang der geleisteten Arbeitszeit im Arbeitsverhältnis beschränkten Auskunftsantrag – Arbeitszeitnachweise zugesendet. Eine weitere Auskunft ist – bis heute – nicht erfolgt.
(3) Eine Haftung für die Verstöße könnte nur entfallen, wenn die Beklagte für diese nicht verantwortlich wäre, Art. 83 Abs. 3 DSGVO. Dies hat die Beklagte nicht dargetan.
c) Entgegen der Auffassung der Beklagten ist der Klägerin durch die fehlende Erteilung der Auskunft ein immaterieller Schaden entstanden.
Das zutreffende Verständnis des Schadensbegriffs ist in der Rechtsprechung des Gerichtshofs der Europäischen Union bislang nicht geklärt. Der Begriff kann auch nicht in seinen einzelnen, für die Beurteilung des vorliegenden Sachverhalts notwendigen Voraussetzungen unmittelbar aus der DSGVO bestimmt werden. Auch in der bislang vorliegenden Literatur, die sich unter Bezugnahme auf den Erwägungsgrund 146 überwiegend für ein weites Verständnis des Schadensbegriffs ausspricht, sind die Details und der genaue Umfang des Anspruchs noch unklar (vgl. dazu: BVerfG vom 14.01.2021 – 1 BvR 2853/19 – mit zahlreichen Nachweisen).
Weder der DSGVO noch ihren Erwägungsgründen lässt sich indes entnehmen, dass der Schadensersatzanspruch einen qualifizierten Verstoß gegen die DSGVO voraussetzt. Für die Annahme einer Erheblichkeitsschwelle oder anders - herum formuliert – die Ausnahme von Bagatellfällen, gibt es keinen Anhaltspunkt (so auch BVerfG vom 14.01.2021 – 1 BvR 2853/19 -).
Unter Berücksichtigung des Erwägungsgrundes 146 S. 3 zur DSGVO soll der Begriff des Schadens im Lichte der Rechtsprechung des Europäischen Gerichtshofes weit und auf eine Weise ausgelegt werden, die den Zielen der Verordnung in vollem Umfang entspricht. Die Ziele der DSGVO bestehen dabei u.a. darin, den Risiken für die Rechte und Freiheit natürlicher Personen zu begegnen, die - mit unterschiedlicher Eintrittswahrscheinlichkeit und Schwere - aus einer Verarbeitung personenbezogener Daten hervorgehen und zu einem immateriellen Schaden führen können. Dabei kann ein immaterieller Schaden nicht nur in einer Diskriminierung, einem Identitätsdiebstahl oder -betrug, einem finanziellen Verlust, einer Rufschädigung, einem Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten, der unbefugten Aufhebung der Pseudonomisierung oder anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen liegen. Er kann (bereits) entstehen, wenn die von der Verarbeitung personenbezogener Daten betroffenen Personen daran gehindert werden, die sie betreffenden personenbezogenen Daten zu kontrollieren (vgl. Erwägungsgrund 75).
In jedem Arbeitsverhältnis verarbeitet der Arbeitgeber zwangsläufig personenbezogene Daten seiner Mitarbeiter. Jeder Arbeitgeber wird mindestens die Kontaktdaten, die Bankdaten zwecks Überweisung des Entgelts sowie Anwesenheits- und Fehlzeitendaten seiner Mitarbeiter erheben, speichern und verwenden. In welchem Umfang und in welchen Kategorien eine solche Verwendung erfolgt, ist Arbeitnehmern nicht ohne weiteres ersichtlich. Ebenso können Arbeitnehmer nicht von sich aus erkennen, ob Daten auch Dritten zur Verfügung gestellt und für welche Dauer – ggf. auch nach Beendigung des Arbeitsverhältnisses – diese Daten gespeichert bleiben. Die Beklagte wendet vorliegend nicht ein, dass sie über die der Klägerin im August 2020 übersendeten Arbeitszeitnachweise keine Weiteren personenbezogenen Daten der Klägerin verarbeitet. Eine Kontrolle über diese Daten hat die Klägerin indes nicht, solange die Beklagte ihrer Auskunftspflicht – in erster Stufe zumindest hinsichtlich der Bestätigung des „Ob“ der Verarbeitung personenbezogener Daten - nicht nachkommt. Der Klägerin fehlt dabei nicht nur die Kenntnis, welche Kategorien von Daten die Beklagte formalisiert oder nicht formalisiert verarbeitet. Sie kann ebenso nicht beurteilen, wie lange solche Daten nach Beendigung des Arbeitsverhältnisses weiter gespeichert bleiben und an welche Dritte die Beklagte solche Daten ggf. weiterreicht. Die Schwere des immateriellen Schadens, mithin das Gewicht der Beeinträchtigung, das die Klägerin – subjektiv – wegen der bestehenden Unsicherheit und des Kontrollverlustes empfinden mag, ist für die Begründung der Haftung nach Art. 82 Abs. 1 DSGVO und mithin für die Frage des „ob“ eines entstandenen Schadens nicht erheblich (so auch ArbG Düsseldorf vom 05.03.2020 – 9 Ca 6557/18).
d) Die Klägerin hat die Bemessung der Höhe des immateriellen Schadensersatzes in das Ermessen des Gerichts gestellt, § 287 Abs. 1 S. 1 ZPO. Unter Würdigung aller Umstände des Einzelfalles geht die Berufungskammer davon aus, dass der Klägerin zur Abgeltung des immateriellen Schadens ein Geldanspruch in Höhe von 1.000,00 Euro zusteht.
(1) Unter Berücksichtigung des Erwägungsgrundes 146 (Satz 6) zur DSGVO soll die betroffene Person einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten. Insoweit erscheint eine Orientierung an dem Kriterienkatalog für die Bemessung von Bußgeldern in Art. 83 Abs. 2 S. 2 DSGVO naheliegend (so auch ArbG Düsseldorf vom 05.03.2020 – 9 Ca 6557/18 -). Danach sind für die Ermittlung der Höhe einer Geldbuße u. a. die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung, der Grad des Verschuldens, Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens, frühere einschlägige Verstöße sowie die Kategorien der betroffenen personenbezogenen Daten zu betrachten. Bei der Bemessung der Entschädigung für immaterielle Schäden kommt den Gerichten grundsätzlich ein weites Ermessen zu, § 287 Abs. 1 S. 1 ZPO. Es müssen mithin sowohl sämtliche Auswirkungen des konkreten Datenschutzverstoßes für die geschädigte Person als auch sämtliche in der Person des Schädigers liegenden, insbesondere die Tatsituation und den Verschuldensgrad betreffenden, Umstände berücksichtigt werden (vgl. Oetker in MüKoBGB, 8. Auflage 2019, § 253 ZPO Rz. 36 ff).
2) In Anwendung des zuvor dargestellten Maßstabs ist unter Berücksichtigung und Abwägung aller Umstände des Einzelfalls ein Schadensersatz in Höhe von 1.000,00 Euro angemessen.
Dabei hat die Kammer zu Lasten der Beklagten berücksichtigt, dass diese die Auskunft nach Art. 5 Abs. 1 DSGVO bis zum heutigen Tag nicht erteilt hat. Die Beklagte hat der Klägerin lediglich im August 2020 Arbeitszeitnachweise übermittelt. Damit hat die Beklagte den Auskunftsanspruch allenfalls rudimentär erfüllt. Schriftsätzlich hat sich die Beklagte auf den Standpunkt gestellt, dass die Klägerin in dem Schreiben vom 30.01.2020 zu Unrecht Auskunft über „sämtliche Daten“ gefordert habe, obgleich ein Anspruch sich allenfalls auf solche Daten beziehe könne, die die Klägerin persönlich betreffen. Soweit die Beklagte darin eine Rechtfertigung erblickt, einem aus ihrer Sicht unklaren oder überzogenen Begehren nicht nachkommen zu müssen, kann dies nur zu ihren Lasten berücksichtigt werden. Zum einen erscheint eine derart weite Auslegung des Begehrens der Klägerin im Kontext des Schreibens bereits fernliegend. So erläutert der Prozessvertreter in dem Schreiben vom 30.01.2020, dass die Beklagte nach Auskunft seiner Mandantin, die Arbeitszeit elektronisch erfasse, dass es sich bei der Erfassung dieser Daten um personenbezogene Daten handele und die Mandantin daher „ihren“ Auskunftsanspruch nach der Datenschutz-Grundverordnung geltend mache. Auch für einen unbefangenen Leser ist erkennbar, dass die Klägerin keine Auskunft über Daten begehrt, die mit ihrer Person nicht in Zusammenhang stehen. Von dieser Auslegung ist die Beklagte indes auch im Kammertermin nicht abgerückt. Ein Problembewusstsein der Beklagten im Hinblick auf die Verletzung eines Rechts, dass der Europäischen Verordnungsgeber, wie sich bereits aus Art. 8 Abs. 2 der Grundrechtscharta zeigt, als sehr bedeutsam einordnet, vermochte die Berufungskammer nicht zu erkennen. Es ist auch nicht ersichtlich, dass die Klägerin die tatsächliche Erteilung der Auskunft in der Zukunft noch außergerichtlich erreichen wird. Zugunsten der Beklagten kann insoweit nur unterstellt werden, dass einschlägige frühere Verstöße nicht vorliegen.
Obwohl das vorgehend dargestellte Verhalten die Annahme nahelegt, dass die Beklagte den Umfang und die Bedeutung ihrer Verpflichtung aus der Datenschutzgrundverordnung jedenfalls fahrlässig grob verkennt, ist zu Lasten der Klägerin zu berücksichtigen, dass sie die tatsächliche Erlangung der ihr nach Art. 15 Abs. 1 DSGVO zustehenden Informationen in Erkennung des Umstandes, dass die Beklagte diesem Auskunftsbegehren nicht ohne Weiteres nachkommen wird, bislang nicht konsequent verfolgt hat. Nachdem die Beklagte im August 2020 Arbeitsnachweise erteilt hat, hat die Klägerin den Auskunftsanspruch insoweit für erledigt erklärt. Sie hat aber in der Folgezeit davon abgesehen, ihr Auskunftsverlangen im Weiteren gerichtlich geltend zu machen, um eine tatsächliche Durchsetzung zu erreichen. Vielmehr hat die Klägerin sich darauf beschränkt, unter Berufung auf die fehlende Auskunft einen immateriellen Schadensersatzanspruch gerichtlich einzuklagen. Ihr Prozessverhalten deutet für die Berufungskammer darauf hin, dass die tatsächliche Erlangung einer Kontrolle über die von ihr verarbeiteten personenbezogenen Daten nicht ihr primäres Ziel ist. Es drängt sich vielmehr für die Berufungskammer der Eindruck auf, dass es ihr in dem außergerichtlichen Schreiben vom 30.01.2020 maßgeblich um die Herausgabe der Arbeitsaufzeichnungen zum Zwecke der Bezifferung einer beabsichtigten Überstundenklage ging. Obwohl sie durch die nach wie vor ausstehende Auskunft nach wie vor keine Kontrolle über ihre personenbezogenen Daten hat, die bei der Beklagten – auch nach Beendigung des Arbeitsverhältnisses – gegebenenfalls weiter verwendet werden, lässt das Verhalten der Klägerin nicht erkennen, dass dieser Umstand als solcher eine besondere Belastung für sie darstellt, die nicht jedenfalls mit der Zahlung eines Schadensersatzbetrages kompensiert werden könnte. Insbesondere ist nicht erkennbar, dass die Klägerin beabsichtigt, die tatsächliche Erteilung der Auskunft auch im Falle der Zahlung eines Schadensersatzes durch die Beklagte weiterzuverfolgen. Dies deutet darauf hin, dass ihre persönliche Betroffenheit im Hinblick auf die fehlende Möglichkeit der Kontrolle ihrer personenbezogenen Daten überschaubar ist und Zweifel an der Nachhaltigkeit des Auskunftsverlangens berechtigt erscheinen. Dieser Umstand ist bei der Bemessung der Höhe des immateriellen Schadensersatzes - anders als bei der Frage des Entstehens eines solchen - zu berücksichtigen.
Inwieweit die Höhe des Schadensersatzes auch von dem nach Art. 4 Ziffer 7 DSGVO Verantwortlichen und dessen Finanzkraft abhängen mag (so ArbG Düsseldorf 5. März 2020 – 9 Ca 6557/18), kann dahinstehen. Keine der Parteien hat vorliegend Angaben diesbezüglich getätigt. Der Umstand, dass es sich bei der Beklagten um einen Kleinbetrieb handelt, hat für sich genommen keine Aussagekraft hinsichtlich der Finanzkraft des Unternehmens.
Unter Berücksichtigung all dessen hat die Kammer für den Verstoß der Beklagten gegen Art. 15 Abs. 1 DSGVO insgesamt einen Schadensersatzanspruch in Höhe von 1.000,00 Euro angesetzt.
Das LG Bonn hat entschieden, dass ein Betroffener keinen Anspruch auf Schadensersatz bzw. Geldentschädigung aus Art. 82 DSGVO für eine unvollständige oder verspätete Auskunftserteilung gemäß Art. 15 DSGVO zusteht.
Das AG Wertheim hat gegen ein Unternehmen nach Verurteilung zur Auskunftserteilung nach Art. 15 DSGVO ein Zwangsgeld in Höhe von 15.000 EURO verhängt, nachdem das Unternehmen seiner Auskunftspflicht nicht vollständig nachgekommen ist. Dabei ging es insbesondere um Informationen über die Herkunft der Daten hinsichtlich personenbezogener Daten, die nicht beim Betroffenen erhoben wurden (Art. 15 Abs. 1 lit. g DSGVO).
Das LG Köln hat sich in dieser Entscheidung mit der Reicheite des Auskunftsanspruchs nach Art. 15 Abs.1 DSGVO befasst. Das Gericht führt aus, dass der Auskunftsanspruch nicht der vereinfachten Buchführung des Betroffenen dienen soll. Vielmehr sollen der Betroffene in die Lage versetzt werden, den Umfang und Inhalt der gespeicherten personenbezogenen Daten zu beruteilen.
Aus den Entscheidungsgründen:
2. Hinsichtlich des Auskunftsanspruchs (Klageantrag Ziffer 1) ist die Klage aber unbegründet. Ein weitergehender Auskunftsanspruch steht der Klägerin nicht zu, nachdem die Beklagte während des Prozesses wiederholt Auskünfte erteilt hat und der Rechtsstreit insoweit übereinstimmend für erledigt erklärt wurde.
Gemäß Art. 15 Abs. 1 DS-GVO steht der betroffenen Person ein umfassender Anspruch auf Auskunft über verarbeitete sie betreffende personenbezogene Daten sowie weitere Informationen zu. Die Information muss u.a. auch die Verarbeitungszwecke (Ziffer a)), die Empfänger von Daten (Ziffer b)) und die geplante Dauer der Speicherung (Ziffer c)) enthalten. Gemäß Artikel 4 Nr. 1 DS-GVO sind „personenbezogene Daten“ in diesem Sinne alle Informationen, die sich auf identifizierte oder identifizierbare natürliche Personen beziehen. Eine „Verarbeitung von Daten“ stellt gemäß Artikel 4 Nr. 2 DS-GVO jeder Vorgang im Zusammenhang mit personenbezogenen Daten dar. Insofern ergibt sich ein umfassendes Auskunftsrecht bezogen auf die gespeicherten bzw. verarbeiteten personenbezogenen Daten. Dies beinhaltet Daten wie Namen oder Geburtsdatum genauso wie jegliche Merkmale, die die Identifizierbarkeit einer Person ermöglichen können, z.B. Gesundheitsdaten, Kontonummer usw. Nach diesen Grundsätzen und auf Grundlage der Erwägungsgründe stellen ärztliche Unterlagen, Gutachten oder sonstige vergleichbare Mitteilungen anderer Quellen ebenfalls „personenbezogene Daten“ dar. Nach der Auffassung der Kammer bezieht sich der Auskunftsanspruch aber nicht auf sämtliche internen Vorgänge der Beklagten, wie z.B. Vermerke, oder darauf, dass die betreffende Person sämtlichen gewechselten Schriftverkehr, der dem Betroffenen bereits bekannt ist, erneut ausgedruckt und übersendet erhalten kann (so das OLG Köln zu § 34 BDSG a.F., Beschluss vom 26.07.2018, 9 W 15/18). Rechtliche Bewertungen oder Analysen stellen insofern ebenfalls keine personenbezogenen Daten in diesem Sinne dar. Der Anspruch aus Art. 15 DS-GVO dient nicht der vereinfachten Buchführung des Betroffenen, sondern soll sicherstellen, dass der Betroffene den Umfang und Inhalt der gespeicherten personenbezogenen Daten beurteilen kann. Folgerichtig bestimmt Artikel 15 Abs. 3 DS-GVO, dass der Betroffene eine Kopie (lediglich) der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, erhält. Vorliegend hat die Beklagte verschiedene Auskünfte und Informationen erteilt (u.a. Bl. 164 ff. d.A. = Anlage K 10; Bl. 234 d.A. = Anlage B 4, Bl. 359 ff. d.A. = SS vom 20.12.2018 nebst Anlage B 5) und angegeben, dass weitere personenbezogene Daten über die Klägerin nicht gespeichert seien bzw. verarbeitet wurden. Substantiierter Vortrag der Klägerin, welche Informationen seitens der Beklagten darüber hinaus noch verarbeitet worden seien könnten, ist nicht erfolgt. Insofern sind konkrete Anhaltspunkte, dass die Auskunft - nach Maßgabe der Rechtsauffassung der Kammer - unvollständig ist, nicht vorhanden. Aus den Auskünften der Beklagten ergeben sich vielmehr die personenbezogenen Daten sowie die sonstigen Informationen i.S.v. Art. 15 Abs. 1a)-h) wie Gruppen von personenbezogenen Daten, Erfassung der Daten, Speicherdauer usw..
