Skip to content

BGH legt EuGH vor: Anspruch gegen Arzt auf kostenfreie Zurverfügungstellung der Patientenakte nach Art. 15 Abs. 3 DSGVO und Möglichkeit der Beschränkung nach § 630g Abs. 2 Satz 2 BGB

BGH
Beschluss vom 29.03.2022
VI ZR 1352/20
Verordnung (EU) 2016/679 Art. 12 Abs. 5, Art. 15 Abs. 3 Satz 1, Art. 23 Abs. 1; BGB § 630g Abs. 2 Satz 2


Der BGH hat dem EuGH zur Vorabentscheidung vorgelegt, ob bzw. in welchem Umfang der Anspruch des Patienten gegen seinen Arzt auf kostenfreie Zurverfügungstellung der in der Patientenakte gespeicherten personenbezogenen Daten nach Art. 15 Abs. 3 DSGVO durch § 630g Abs. 2 Satz 2 BGB beschränkt ist.

Leitsatz des BGH:
Vorlagefragen an den Gerichtshof der Europäischen Union zur Auslegung von Art. 15 Abs. 3 Satz 1 i.V.m. Art. 12 Abs. 5 und Art. 23 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, DS-GVO, ABl. EU L 119 vom 4. Mai 2016 S. 1) bezüglich der Reichweite des unionsrechtlichen Anspruchs des Patienten gegen den behandelnden Arzt auf kostenfreie Zurverfügungstellung einer ersten Kopie seiner in der Patientenakte verarbeiteten personenbezogenen Daten und der Möglichkeit einer Beschränkung dieses Anspruchs durch § 630g Abs. 2 Satz 2 BGB.

BGH, Beschluss vom 29. März 2022 - VI ZR 1352/20 - LG Dessau-Roßlau - AG Köthen

Den Volltext der Entscheidung finden Sie hier:


LG München: Unterlassungsanspruch und 100 EURO Schadensersatz aus Art. 82 DSGVO wegen Verwendung von Google Fonts mit Übermittlung von IP-Daten an Google

LG München
Urteil vom 20.01.2022
3 O 17493/20


Das LG München hat entschieden, dass der Besucher einer Website gegen den Websitebetreiber einen Unterlassungsanspruch aus §§ 1004, 823 BGB sowie einen Anspruch auf 100 EURO Schadensersatz aus Art. 82 DSGVO wegen der Verwendung von Google Fonts in der Variante, bei der eine Übermittlung von IP-Daten an Google erfolgt, hat.

Auch wir raten unseren Mandanten seit Jahren entweder auf Google Fonts komplett zu verzichten oder in der Variante zu verwenden, bei der keine IP-Daten-Übermittlung an Google erfolgt und die Schriftarten auf dem eigenen Server hinterlegt werden.

Aus den Entscheidungsgründen:

Der Kläger hat gegen die Beklagte einen Anspruch auf Unterlassung der Weitergabe von IP-Adressen des Klägers an Google aus § 823 Abs. 1 i.V.m. § 1004 BGB analog.

Die unerlaubte Weitergabe der dynamischen IP-Adresse des Klägers durch die Beklagte an Google stellt eine Verletzung des allgemeinen Persönlichkeitsrechtes in Form des informationellen Selbstbestimmungsrechts nach § 823 Abs. 1 BGB dar. Das Recht auf informationelle Selbstbestimmung beinhaltet das Recht des Einzelnen, über die Preisgabe und Verwendung seiner personenbezogenen Daten zu bestimmen.

1. Bei der von der Beklagten an Google weitergegebenen dynamischen IP-Adresse handelt es sich um ein personenbezogenes Datum im Sinne von § 12 Abs. 1 und 2 TMG (in der zum Übermittlungszeitraum geltenden Fassung, im weiteren alte Fassung), § 3 Abs. 1 BDSG, Art. 4 Nr. 1 DS-GVO.

Die dynamische IP-Adresse stellt für einen Webseitenbetreiber ein personenbezogenes Datum dar, denn der Webseitenbetreiber verfügt abstrakt über rechtliche Mittel, die vernünftigerweise eingesetzt werden könnten, um mithilfe Dritter, und zwar der zuständigen Behörde und des Internetzugangsanbieters, die betreffende Person anhand der gespeicherten IP-Adressen bestimmen zu lassen (BGH, Urteil vom 16.05.2017 - VI ZR 135/13). Dabei reicht es aus, dass für die Beklagte die abstrakte Möglichkeit der Bestimmbarkeit der Personen hinter der IP-Adresse besteht. Darauf, ob die Beklagte oder Google die konkrete Möglichkeit hat, die IP-Adresse mit dem Kläger zu verknüpfen, kommt es nicht an.

2. Die Beklagte verletzte das Recht des Klägers auf informationelle Selbstbestimmung, indem die Beklagte die dynamische IP-Adresse an Google weiterleitete, als der Kläger die Webseite der Beklagten aufrief.

Die automatische Weitergabe der IP-Adresse durch die Beklagte an Google war ein nach dem Datenschutzrecht unzulässiger Eingriff in das allgemeine Persönlichkeitsrecht des Klägers, da der Kläger unstreitig in diesem Eingriff nicht gemäß § 13 Abs. 2 TMG a.F., Art. 6 Abs. 1 a) DSGVO eingewilligt hat.

3. Es liegt auch kein Rechtfertigungsgrund für den Eingriff in das allgemeine Persönlichkeitsrecht vor. Ein berechtigtes Interesse der Beklagten i.S.d. Art. 6 Abs. 1 f) DS-GVO, wie von ihr behauptet, liegt nicht vor, denn Google Fonts kann durch die Beklagte auch genutzt werden, ohne dass beim Aufruf der Webseite eine Verbindung zu einem Google-Server hergestellt wird und eine Übertragung der IP-Adresse der Webseitennutzer an Google stattfindet.

4. Der Kläger war auch nicht verpflichtet, vor dem Aufrufen der Webseite der Beklagten seine eigene IP-Adresse zu verschlüsseln. Dies vom Kläger zu verlangen, würde dem Zweck des hier betroffenen Datenschutzrechtes, welches in erster Linie den Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten vor Beeinträchtigung bezweckt, zuwiderlaufen, sondern diesen vielmehr umkehren, da durch eine solche Verpflichtung der Rechteinhaber bei der Ausübung seiner schützenswerten Rechte eingeschränkt werden würde {LG Dresden, Urteil vom 11.01.2019, Aktenzeichen 1 AO 1582/18).

5. Wiederholungsgefahr ist zu bejahen. Unstreitig wurde die IP-Adresse des Klägers bei Besuchen des Klägers auf der Webseite der Beklagten an Google weitergeleitet. Vorangegangene rechtswidrige Beeinträchtigungen begründen eine tatsächliche Vermutung für die Wiederholungsgefahr, die durch die Beklagte nicht widerlegt wurde. Die Wiederholungsgefahr wird nicht dadurch ausgeräumt, dass die Beklagte mittlerweile Google Fonts so benutzt, dass eine Kundgabe der IP-Adresse der Webseitenbesucher an Google nicht mehr stattfindet. Die Wiederholungsgefahr kann lediglich durch eine strafbewehrte Unterlassungserklärung beseitigt werden.

II. Der Auskunftsanspruch des Klägers folgt aus Art. 15, Art. 4 Nr. 2 DS-GVO.

III. Dem Kläger steht ein Schadensersatzanspruch aus Art. 82 Abs. 1 DS-GVO zu. Der Begriff des Schadens i.S.d. Art. 82 DS-GVO ist nach dem Erwägungsgrund 146 S. 3 dabei weit auszulegen. Die Auslegung soll den Zielen dieser Verordnung in vollem Umfang entsprechen, auch dem Ziel der Sanktion und Prävention (BeckOK Datenschutzrecht, Wolff/Bring, 38. Edition, DS-GVO Art. 82, Rn. 24). Ausreichend ist gern. Art. 82 Abs. 1 DS-GVO dabei auch ein immaterieller Schaden. Ob eine Erheblichkeitsschwelle erreicht bzw. überschritten sein muss und so genannte Bagatellschäden auszuschließen sind, ist umstritten (vgl. BVerfG NJW 2021, 1005,Rz. 20 m.w.N.; Kohn ZD 2019, 498 (501); Paal MMR 2020, 14 (16)), kann aber im hiesigen Fall dahingestellt bleiben. Die Beklagte räumt ein, dass sie vor der Modifizierung ihrer Webseite bei den Besuchen des Klägers auf ihrer Webseite dessen IP-Adresse an Google übermittelt hat. Die Übermittlung der IP-Adresse erfolgte damit nicht nur einmalig. Der damit verbundene Eingriff in das allgemeine Persönlichkeitsrecht ist im Hinblick auf den Kontrollverlust des Klägers über ein personenbezogenes Datum an Google, ein Unternehmen, das bekanntermaßen Daten über seine Nutzer sammelt und das damit vom Kläger empfundene individuelle Unwohlsein so erheblich, dass ein Schadensersatzanspruch gerechtfertigt ist. Berücksichtigt werden muss dabei auch, dass unstreitig die IP-Adresse an einen Server von Google in den USA übermittelt wurde, wobei dort kein angemessenes Datenschutzniveau gewährleistet ist (vgl. EuGH, Urteil vom 16.7.2020 - C-311/18 (Facebook Ireland u. Schrems), NJW 2020, 2613) und die Haftung aus Art. 82 Abs. 1 DS-GVO präventiv weiteren Verstößen vorbeugen soll und Anreiz für Sicherungsmaßnahmen schaffen soll. Die Hohe des geltend gemachten Schadensersatzes ist im Hinblick auf die inhaltliche Schwere und Dauer der Rechtsverletzung angemessen und wird von der Beklagten auch nicht angegriffen.


Den Volltext der Entscheidung finden Sie hier:

OLG Dresden: Geschäftsführer ist neben der GmbH Verantwortlicher im Sinne von Art. 4 DSGVO und haftet als Gesamtschuldner mit der GmbH für Ansprüche aus Art. 82 DSGVO

OLG Dresden
Urteil vom 30.11.2021
4 U 1158/21


Das OLG Dresden hat entschieden, dass der Geschäftsführer einer GmbH neben der GmbH Verantwortlicher im Sinne von Art. 4 DSGVO ist und persönlich als Gesamtschuldner mit der GmbH für Ansprüche aus Art. 82 DSGVO haftet.

Aus den Entscheidungsgründen:
1. Nach Rücknahme der Berufungen durch die Beklagten und deren Streithelfer steht ein jeweils selbstständiger Verstoß gegen die Vorschriften der DS-GVO durch die Beklagten rechtskräftig fest. Sowohl der Beklagte zu 1) als auch der Beklagte zu 2) sind verantwortlich im Sinne von Art. 4 Nr. 7 DS-GVO, denn Anknüpfungspunkt für einen Anspruch aus Art. 82 Abs. 1 DS-GVO ist zunächst die „Verantwortlichkeit“, die immer dann zu bejahen ist, wenn eine natürliche oder juristische Person alleine oder gemeinsam mit anderen über die Zwecke und die Mittel der Verarbeitung von personenbezogenen Daten entscheiden kann und entscheidet (Gola, Bearb. Gola, DS-GVO-Kommentar, 2. Aufl. 2018, Art. 4 Rz. 48; Ambrock ZD 2020, S. 429 - nach beck-online). Damit entfällt zwar in aller Regel die Verantwortlichkeit weisungsgebundener Angestellter oder sonstiger Beschäftigter, für den Geschäftsführer, wie es der Beklagte zu 2) zum Zeitpunkt der Beauftragung des Streithelfers war, gilt dies allerdings nicht.

Die Beklagten haben auch personenbezogene Daten im Sinne des Art. 4 Ziff. 1 DS-GVO verarbeitet. Denn nach Art. 4 Ziff. 2 DS-GVO fällt hierunter das Erheben und Erfassen von Daten ebenso wie die Offenlegung durch Übermittlung oder das Abfragen sowie die Verbreitung oder eine andere Form der Bereitstellung.

Die in dieser Weise durch die Beklagten als Verantwortliche durchgeführte Datenverarbeitung war unrechtmäßig. Dabei ist unerheblich, dass der Kläger seine Einwilligung nur im Hinblick auf die Weitergabe seiner Daten zu werblichen Zwecken ausdrücklich untersagt hat. Nach der Regelungsstruktur der DS-GVO ist jede Verarbeitung personenbezogener Daten ohne aktiv erteilte Einwilligung rechtswidrig, es sei denn, es greift einer der in Art. 6 DS-GVO genannten Rechtfertigungsgründe. Allerdings ist auch dies vorliegend nicht der Fall, wie das Landgericht zutreffend erkannt hat. Eine Rechtfertigung nach Art. 6 Abs. 1f DS-GVO kommt vorliegend nicht in Betracht. Dabei bedarf es noch nicht einmal der bei Vorliegen der Tatbestandsvoraussetzungen nach Art. 6 Abs. 1 f DS-GVO erforderlichen Interessenabwägung, denn die im Ausspähen des Klägers liegende und dem Beklagten zuzurechnende Datenverarbeitung war bereits nicht erforderlich. Der Erforderlichkeitsgrundsatz ist ein Ausfluss des Zweckbindungsgrundsatzes im Sinne von Art. 5 Abs. 1 b DS-GVO, der der Ausfüllung und Konkretisierung im Einzelfall bedarf. Er darf zwar nicht im Sinne einer zwingenden Notwendigkeit überinterpretiert werden, verlangt werden muss indessen, dass die Datenverarbeitung zur Erreichung des Zweckes nicht nur objektiv tauglich ist, sondern dass eine für die betroffene Person weniger invasive Alternative entweder nicht vorliegt oder für den Verantwortlichen nicht zumutbar ist (Gola-Schulz, a.a.O., Art. 6 Rz. 20 m.w.N.). Dies war hier nicht der Fall. Dabei kann offenbleiben, ob nach § 2 Abs. 2 der Satzung des Beklagten zu 1) grundsätzlich nicht auch ehemaligen Straftätern oder nicht einwandfrei beleumundeten Personen die Möglichkeit einer Vereinsmitgliedschaft - in Abhängigkeit von der Art der zuvor begangenen Verfehlungen - zu gewähren wäre. Auch wenn es danach gerechtfertigt wäre, extremistische politische Gesinnungen aus dem Verein fernzuhalten oder Personen allein wegen eines gegen diese geführten Ermittlungsverfahrens von vornherein auszuschließen, so hätte es vorliegend genügt, den Kläger zunächst zur ergänzenden Selbstauskunft, gegebenenfalls Vorlage eines polizeilichen Führungszeugnisses aufzufordern, nachdem dieser auch nach Behauptung des Beklagten zu 1) von sich aus ein gegen ihn geführtes Ermittlungsverfahren angesprochen haben soll. Die durch den Streithelfer abzuklärenden etwaigen Vorstrafen des Klägers verstoßen darüber hinaus auch gegen Art. 10 DS-GVO, der die Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln grundsätzlich nur unter behördlicher Aufsicht gestattet.

2. Die unzulässige Datenverarbeitung durch die Beklagten zu 1) und 2) rechtfertigt einen immateriellen Schadensersatz nach Art. 82 DS-VGO allerdings lediglich in der vom Landgericht ausgeurteilten Höhe. Die hiergegen gerichteten Einwendungen des Klägers in der Berufungsbegründung der mündlichen Verhandlung vor dem Senat greifen nicht durch.

Im Einzelnen:

a) Entgegen der Auffassung der Beklagten überschritt die Ausspähung des Klägers eindeutig die Bagatellschwelle. Die Datenweitergabe mit den daraus resultierenden Folgen ging über die reine Privatsphäre oder das Privatverhältnis zwischen dem Kläger und dem Beklagten zu 2) weit hinaus, denn nachdem dieser die Weitergabe der erhobenen Daten angeordnet hatte, wurden die hieraus gewonnenen Ergebnisse den übrigen Vorstandsmitgliedern des Beklagten zu 1) bekannt gegeben. Des Weiteren wurde dem Kläger die Mitgliedschaft im Verein versagt, was zwar nicht unmittelbar zu wirtschaftlichen Einbußen geführt, aber sein Interesse beeinträchtigt hat, als Autohändler auch durch die Mitorganisation der Oldtimer-Ausfahrten auf sich aufmerksam zu machen. Des Weiteren musste der Kläger subjektiv damit rechnen, dass die über ihn eingeholten Daten nicht lediglich an zwei Vorstandsmitglieder gelangt sind und damit Details aus seiner Vergangenheit möglicherweise in einem größeren Umfeld bekannt geworden sind.

Damit ist unabhängig von der Frage, wie glaubwürdig die Einlassungen des Klägers zu seinen negativen Erfahrungen im Zusammenhang mit DDR-Recht sind, die Schwelle zur Bagatellverletzung überschritten und handelt es sich nicht um eine völlig unerhebliche Beeinträchtigung.

Im Rahmen der nach § 287 ZPO vorzunehmenden Schadensschätzung sind auch i.R.d. Art. 82 DS-VGO allgemein die Art, Schwere, Dauer des Verstoßes, Grad des Verschuldens, Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens, frühere einschlägige Verstöße sowie die Kategorien der betroffenen personenbezogenen Daten in die Erwägung mit einzubeziehen (vgl. Arbeitsgericht Düsseldorf, Urt. v. 05.03.2020 - 9 Ca 6557/18, juris, Rz. 104; Albrecht, Urteilsanmerkung in juris PR-ITR 19/20 vom 18.09.2020; Pahl-Alibrandi, ZD 2021 „auch immaterieller Schadensersatz bei Datenschutzverstößen - Bestandsaufnahme und Einordnung der bisherigen Rechtsprechung zu Art. 82 DS-GVO, S. 241 - 247). Nach Erwägungsgrund Nr. 146 der DS-GVO soll der Begriff des Schadens im Lichte der Rechtsprechung des EuGH weit und auf eine Art und Weise ausgelegt werden, „die den Zielen dieser Verordnung in vollem Umfang entspricht“. Nach dem Effektivitätsprinzip (effet utile) ist insoweit - entgegen der Auffassung der Beklagten - auch eine abschreckende Sanktion nicht ausgeschlossen (Gola, a.a.O., Art. 82 Rz. 3 m.w.N.). Dies bedeutet aber nicht, dass die Geldentschädigung zwingend „Strafcharakter“ haben muss, sondern die Höhe des Anspruchs muss auf der Basis des Effektivitätsprinzips eine abschreckende Wirkung haben (vgl. EuGH, Urteil vom 17.12.2015 - C 407/14 Rz. 44). Vorliegend handelte es sich aber lediglich um einen einmaligen Verstoß, dass bei der Beklagten regelhaft Daten über alle Antragsteller durch Einschaltung eines Detektivbüros erhoben werden, hat der Kläger zu beweisen, die Beklagtenseite hat insoweit unwidersprochen vorgetragen, dass frühere „Ausspähungen“ nur im Rahmen von Arbeitsverhältnissen und zur Überprüfung konkreter Verdachtsmomente im Hinblick auf Straftaten erfolgt sind. Ebenso wenig ist der Senat von den Darlegungen des Klägers im Hinblick auf seine persönliche besondere Betroffenheit wegen vorheriger traumatischer Erfahrungen seiner Familie im Rahmen des DDR-Regimes überzeugt. Weiter ist zu berücksichtigen, dass nach den insoweit ebenfalls unwidersprochen gebliebenen Ausführungen des Beklagten zu 2) in der mündlichen Verhandlung vom 09.11.2021 der Beklagte zu 1) insoweit Konsequenzen gezogen hat, als er den Beklagten zu 2) von sämtlichen leitenden Funktionen bei der Beklagten zu 1) u. a. wegen des streitgegenständlichen Vorfalls ausgeschlossen hat. Umgekehrt ist allerdings zu Lasten der Beklagten zu berücksichtigen, dass es sich bei den erhobenen Daten mit Strafrechtsbezug um besonders sensible Daten handelte, so dass insofern der Verstoß, auch wenn die über den Kläger erhobenen Daten nicht weitergegeben worden sein sollten, hinreichend schwer wiegt. In der Gesamtabwägung hält der Senat das bereits vom Landgericht ausgeurteilte Schmerzensgeld in Höhe von 5.000,00 € für angemessen. Zur Vermeidung von Wiederholungen nimmt er auf die umfassende Abwägung in der angefochtenen Entscheidung Bezug.


Den Volltext der Entscheidung finden Sie hier:


LG Heidelberg: Kein Auskunftsanspruch nach Art. 15 DSGVO gegen verarbeitende Stelle wenn der Aufwand unverhältnismäßig ist - Sichtung und Anonymisierung von über 10.000 E-Mails

LG Heidelberg
Urteil vom 06.02.2020
4 O 6/19


Das LG Heidelberg hat entschieden, dass kein Auskunftsanspruch nach Art. 15 DSGVO gegen die verarbeitende Stelle besteht, wenn der Aufwand unverhältnismäßig ist. Vorliegend hat das Gericht eine Unverhältnismäßigkeit bejaht, da die Sichtung und Anonymisierung von über 10.000 E-Mails erforderlich gewesen wäre.