Skip to content

AG München: Benachrichtigung über Datenschutzverstoß nach Art. 34 DSGVO genügt nicht um Schadensersatzanspruch nach Art 82 DSGVO schlüssig darzulegen und zu beweisen

AG München
Urteil vom 03.08.2023
241 C 10374/23

Das AG München hat entschieden, dass der Erhalt einer Benachrichtigung über einen Datenschutzverstoß nach Art. 34 DSGVO nicht genügt, um einen Schadensersatzanspruch nach Art 82 DSGVO schlüssig darzulegen und zu beweisen.

Aus den Entscheidungsgründen:
1. Die Klage ist hinsichtlich des Feststellungsantrags in Ziffer 2. unzulässig, im Übrigen aber zulässig.

Ein Feststellungsinteresse liegt bezüglich des Antrags Ziffer 2. nicht vor. Bei Vermögensschäden bedarf es für die Zulässigkeit der Klage der Wahrscheinlichkeit eines auf die Verletzungshandlung zurückzuführenden Schadenseintritts (BGH, Urteil vom 26.07.2018 – ZR 274/16, NJW-RR 2018, 1301 Rn. 20, beck-online). Der Kläger als Anspruchsteller hat die Darlegungs- und Beweislast für die Tatsachen, aus denen sich die Wahrscheinlichkeit eines auf die Verletzungshandlung zurückzuführenden Schadens ergibt. Vorliegend ist den Ausführungen des Klägers nicht zu entnehmen, welche Nachteile ihm drohen könnten, zumal seit dem Abgreifen der Daten bereits 3 Jahre verstrichen sind, ohne dass es zu einem Missbrauch der Daten gekommen ist. Es ist kein Grund ersichtlich, wieso jetzt mit dem Eintritt eines Schadens zu rechnen wäre.

2. Die Klage ist in Ziffer 1. unbegründet

a) Der Kläger hat keinen Anspruch auf Ersatz immateriellen Schadens in Höhe von mindestens 1 .OOO € gegen die Beklagte gem. Art. 82 DGSVO.

Nach dieser Vorschrift hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen.

Die Darlegungs- und Beweislast für die haftungsbegründenden Voraussetzungen trägt der Anspruchsberechtigte (Rn 51 zu Art.82 DS-GVO, BeckOK Datenschutzrecht, 44. Auflage, 01.05.2023, beck-online).

Trotz Hinweis des Gerichts in der mündlichen Verhandlung vom 13.07.2023 hat der Kläger weder dargelegt, welche Pflichtverletzung nach der DSGVO er der Beklagten vorwirft, noch welcher konkrete, immaterielle Schaden hierdurch eingetreten sein soll.

Aus dem Schreiben vom 19.10.202 folgt nicht ein vorheriger Verstoß der Beklagten gegen die DGSVO. Die Benachrichtigungspflicht gem. Art.34 DSGVO setzt eine „Verletzung des Schutzes personenbezogener Daten“ gem. Art. 4 Nr. 12 DSGVO voraus. Auf ein Verschulden oder eine Mitverursachung durch den Verantwortlichen kommt es hierbei nicht an (Rn 23 zu Art. 34 DGSVO, BeckOK Datenschutzrecht, 01.02.2022, 44 Auflage, beck-online)

Selbst wenn ein Verstoß gegen die DSGVO vorgelegen hätte, führt der Datenschutzverstoß an sich nicht zu einem Ersatzanspruch nach Art. 82 DSGVO, da der „Verstoß gegen diese Verordnung“ und der „Schaden“ zwei unterschiedliche Tatbestandsmerkmale der Vorschrift sind. Auch reicht der bloße Kontrollverlust über Daten nicht für das Vorliegen eines Schadens aus.

b) Mangels konkreten Schadens steht dem Kläger gegen die Beklagte auch kein Anspruch aus vertraglichen oder deliktischen Ansprüchen nach dem BGB zu.


Den Volltext der Entscheidung finden Sie hier:https://www.gesetze-bayern.de/Content/Document/Y-300-Z-GRURRS-B-2023-N-20971?hl=true

OLG Düsseldorf: Schadensersatzanspruch aus Art. 82 DSGVO setzt Nachweis eines konkreten ggf. auch immateriellen Schadens voraus

OLG Düsseldorf
Urteil vom 09.03.2023
16 U 154/21


Das OLG Düsseldorf hat entschieden, dass ein Schadensersatzanspruch aus Art. 82 DSGVO den Nachweis eines konkreten ggf. auch immateriellen Schadens voraussetzt.

Aus den Entscheidungsgründen:
Die Berufung ist zwar zulässig, hat in der Sache aber keinen Erfolg. Die angefochtene Entscheidung beruht – in dem für das Berufungsverfahren noch relevanten Umfang – weder auf einer Rechtsverletzung im Sinne des § 546 ZPO durch das Landgericht, noch rechtfertigen die gemäß § 529 ZPO zugrunde zu legenden Tatsachen eine andere Entscheidung, § 513 Abs. 1 ZPO. Vielmehr hat das Landgericht die Klage mit weitgehend zutreffender und überzeugender Begründung abgewiesen.

Die Klage ist zwar zulässig, jedoch unbegründet.

1. Dem Kläger steht gegen die Beklagte zunächst kein Anspruch auf weitergehende Auskunft gemäß Art. 15 Abs. 1, 3 DS-GVO zu. Insoweit hat das Landgericht mit zutreffender und in jeder Hinsicht überzeugender Begründung, der sich der Senat nach eigener Würdigung vollumfänglich anschließt, eine Erfüllung dieses ursprünglich bestehenden und vom Landgericht auch zutreffend angenommenen Anspruchs bejaht. Dabei geben die Angriffe des Klägers im Berufungsverfahren lediglich noch Anlass zu folgenden ergänzenden Ausführungen:

Entgegen der Ansicht des Klägers sind die vom Bundesgerichtshof in seinem Urteil vom 15.06.2021 – VI ZR 576/19 – aufgestellten Grundsätze für die Bejahung der Erfüllung eines Auskunftsanspruchs, die das Landgericht zutreffend dargestellt und auf den zugrunde liegenden Streitfall angewandt hat, vorliegend gegeben. Erfüllt im Sinne des § 362 Abs. 1 BGB ist ein Auskunftsanspruch demnach grundsätzlich dann, wenn die Angaben nach dem erklärten Willen des Schuldners die Auskunft im geschuldeten Gesamtumfang darstellen. Wird die Auskunft in dieser Form erteilt, steht ihre etwaige inhaltliche Unrichtigkeit einer Erfüllung nicht entgegen. Der Verdacht, dass die erteilte Auskunft unvollständig oder unrichtig ist, kann einen Anspruch auf Auskunft in weitergehendem Umfang nicht begründen. Wesentlich für die Erfüllung des Auskunftsanspruchs ist daher die - gegebenenfalls konkludente - Erklärung des Auskunftsschuldners, dass die Auskunft vollständig ist (vgl. BGH, Urteil vom 15.06.2021 – VI ZR 576/18, juris, Rn. 19). Die Annahme eines derartigen Erklärungsinhalts setzt demnach voraus, dass die erteilte Auskunft erkennbar den Gegenstand des berechtigten Auskunftsbegehrens vollständig abdecken soll. Daran fehlt es beispielsweise dann, wenn sich der Auskunftspflichtige hinsichtlich einer bestimmten Kategorie von Auskunftsgegenständen nicht erklärt hat, etwa weil er irrigerweise davon ausgeht, er sei hinsichtlich dieser Gegenstände nicht zur Auskunft verpflichtet. Dann kann der Auskunftsberechtigte eine Ergänzung der Auskunft verlangen (vgl. BGH, a.a.O., Rn. 20).

Hier hat die Beklagte dem Kläger im Verlauf des erstinstanzlichen Verfahrens letztlich Auskunft in Form der Anlage B11 erteilt. Die Übermittlung dieser unstreitig auch der Form des Art. 15 Abs. 3 DS-GVO genügenden Unterlagen war verbunden mit der ausdrücklichen Erklärung der Beklagten, über weitergehende Unterlagen bzw. den Kläger betreffende personenbezogene Daten nicht zu verfügen. Einzige Ausnahme bilden nach Auskunft der Beklagten dabei Unterlagen der Rechtsabteilung, die sich auf die Kommunikation im Zusammenhang mit dem zugrunde liegenden Rechtsstreit, u.a. auch zwischen der Beklagten und deren Prozessvertretern, beziehen. Auf eine Auskunft über diese Kommunikation hat der Kläger aber bereits erstinstanzlich im Schriftsatz vom 05.05.2021 verzichtet, weshalb die Frage des Eingreifens einer etwaigen Bereichsausnahme für entsprechende Unterlagen vorliegend keiner Erörterung bedarf. Bereits diese, die Vorlage der Anlage B11 begleitenden Angaben der Beklagten belegen nach Auffassung des Senats aber eindeutig, dass die Beklagte sich grundsätzlich zur umfassenden Auskunftserteilung verpflichtet sah. Vor diesem Hintergrund ist sodann ihre – nicht einmal nur konkludent, sondern sogar ausdrücklich erfolgte – Vollständigkeitserklärung zu werten. Hinzu kommt, dass sich die begleitende Erklärung der Beklagten auch ausdrücklich zu den Vertragsverhältnissen verhielt, hinsichtlich derer der Kläger vorträgt, dass weitere Unterlagen mit Blick auf die Aufbewahrungspflicht gemäß § 147 Abs. 1 AO vorhanden sein müssten. Insoweit verkennt der Kläger bei seiner Argumentation aber bereits, dass der Umstand, dass etwas nach den gesetzlichen Vorgaben vorhanden sein bzw. aufbewahrt werden müsste, nichts dazu aussagt, dass dem auch tatsächlich genügt worden ist. Zudem ist dieser Umstand nicht geeignet, die von der Beklagten in Kenntnis ihrer umfassenden Auskunftspflicht abgegebene Vollständigkeitserklärung in Zweifel zu ziehen. Vielmehr handelt es sich insoweit allenfalls um einen Umstand, der im Zusammenhang mit der Frage der Pflicht zur Abgabe einer eidesstattlichen Versicherung Bedeutung erlangen kann (siehe dazu unten). Bereits aus diesem Grund hat das Landgericht hinsichtlich der zwischen den Parteien streitigen Frage der Erfüllung des Auskunftsanspruchs in nicht zu beanstandender Weise von der Einvernahme des Datenschutzbeauftragten der Beklagten abgesehen. Hierin lag entgegen der Auffassung des Klägers mithin auch keine Verletzung seines Anspruchs auf rechtliches Gehör. Soweit der Kläger zudem Zweifel daran äußert, dass das Landgericht die Anlage B11 hinreichend bei seiner Entscheidung gewürdigt habe, vermag der Senat dem nicht beizutreten. Hierbei handelt es sich um eine pauschale Behauptung ins Blaue hinein, die durch keinerlei Tatsachen belegt oder auch nur gestützt wird. Im Gegenteil verhalten sich die erstinstanzlichen Entscheidungsgründe ausdrücklich zu Anlage B11. Hieran vermag auch der Umstand, dass die Anlage B11 im Zusammenhang mit der Berufungseinlegung zunächst versehentlich nicht vom Landgericht an das Oberlandesgericht übermittelt worden ist, nichts zu ändern. Denn dieses Übermittlungsversehen hat keinerlei Aussagegehalt in Bezug auf die Frage, ob dem erstinstanzlichen Gericht die Anlage B11 bei seiner Entscheidung tatsächlich vorlag.

2. Dem Kläger steht, wie das Landgericht ebenfalls im Ergebnis und mit zum Teil überzeugender Begründung ausgeführt hat, auch kein Anspruch aus Art. 82 DS-GVO gegen die Beklagte auf Ersatz des von ihm geltend gemachten immateriellen Schadens wegen einer verzögerlichen und unvollständigen Datenauskunftserteilung zu (vgl. zum Ganzen, OLG Frankfurt a.M., Urteil vom 02.03.2022 – 13 U 206/20, juris, Rn. 64 ff.).

Nach Art. 82 Abs. 1 DS-GVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde, Art. 82 Abs. 2 Satz 1 DS-GVO. Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist, Art. 82 Abs. 3 DS-GVO. Die Voraussetzungen für einen Geldentschädigungsanspruch in Bezug auf einen dem Kläger zugefügten immateriellen Schaden liegen nach Auffassung des Senats nicht vor, da es jedenfalls an der Darlegung des Eintritts eines Schadens bei dem Kläger fehlt, worauf bereits das Landgericht im Rahmen seiner Entscheidung zumindest auch abgestellt hat.

Die Frage, ob bereits der Datenschutzverstoß als solcher für das Entstehen eines Schadensersatzanspruchs ausreicht oder es darüber hinaus der Darlegung und des Nachweises eines konkreten (auch: immateriellen) Schadens bedarf, ist in Rechtsprechung und Literatur umstritten (vgl. Nachweise zum Streitstand: OLG Frankfurt a.M., a.a.O., Rn. 68). Sowohl der österreichische Oberste Gerichtshof (Vorabentscheidungsersuchen vom 12.05.2021, ZD 2021, S. 631, wobei der Gerichtshof die Auffassung vertritt, es sei der Nachweis eines Schadens erforderlich) als auch das Bundesarbeitsgericht (Vorabentscheidungsersuchen vom 26.08.2021, 8 AZR 253/20-A, wobei das BAG den Nachweis eines Schadens nicht für notwendig hält) haben die hiermit zusammenhängenden Fragen dem Europäischen Gerichtshof zur Vorabentscheidung vorgelegt.

Der Senat folgt im Ergebnis der Auffassung, wonach über den festgestellten Verstoß gegen die Vorschriften des DS-GVO hinaus Voraussetzung für eine Entschädigung in Geld der Nachweis eines konkreten (auch immateriellen) Schadens ist. Hierfür spricht zunächst bereits der Wortlaut von Art. 82 Abs. 1 DS-GVO, der über den Verstoß hinaus ausdrücklich die Entstehung eins Schadens („...Schaden entstanden ist") voraussetzt. Dieser Differenzierung im Wortlaut hätte es nicht bedurft, wenn bereits der Verstoß als solcher konstitutiv für den Anspruch wäre. Hätte der Verordnungsgeber eine nur an den Rechtsverstoß anknüpfende, vom Nachweis eines konkreten Schadens unabhängige Zahlungspflicht anordnen wollen, hätte es zudem demgegenüber nahegelegen, dies - wie z.B. im Luftverkehrsrecht gem. Art. 7 Abs. 1 FluggastrechteVO (EG) 261/2004 - durch Pauschalen zu regeln (vgl. OLG Frankfurt a.M., a.a.O., Rn. 70 m.w.N.; OLG Koblenz, Urteil vom 18.05.2022 – 5 U 2141/21, juris, Rn. 73 f., m.w.N.). In dem Erwägungsgrund 146 S. 3 zu der DS-GVO heißt es zwar, dass der Begriff des Schadens im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden soll, die den Zielen der Verordnung in vollem Umfang entspricht. Der Anspruch soll nach Erwägungsgrund 146 S. 6 sicherstellen, dass die betroffenen Personen einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten. Das schließt ein, dass Schadensersatzforderungen abschrecken und weitere Verstöße unattraktiv machen sollen. Der Begriff des Schadens in Art. 82 DS-GVO ist autonom auszulegen, mithin kommt es nicht darauf an, ob ein bestimmter Schaden nach nationalem Recht als Schaden angesehen werden könnte. Auch hiernach ist der Schaden jedoch nicht mit der zugrunde liegenden Rechtsgutsverletzung gleichzusetzen. Denn ausdrücklich muss der Schaden „erlitten" werden, woraus folgt, dass dieser tatsächlich entstanden sein muss und nicht lediglich befürchtet wird. Der bloße Verstoß gegen Bestimmungen der DS-GVO reicht daher nicht aus (OLG Frankfurt a.M., a.a.O., Rn. 71; LAG Baden-Württemberg, Urteil vom 25.02.2021, 17 Sa 37/20, juris, Rn. 96 m.w.N.).

Das Vorliegen eines konkreten - immateriellen - Schadens, etwa Ängste oder starken Stress, hat der Kläger vorliegend nicht dargetan. Soweit der Kläger im Rahmen seiner Klageerweiterung mit Schriftsatz vom 07.04.2021 vorträgt, erschöpfen sich seine Ausführungen in der Darlegung des Datenschutzverstoßes – also einer verzögerlichen und seiner Ansicht nach unvollständigen Datenauskunftserteilung – ohne irgendwelche hierdurch bedingte Einbußen oder Beeinträchtigungen immaterieller Art aufzuzeigen. Diesen Vortrag ergänzt der Kläger auch zweitinstanzlich nicht. Vielmehr beruft er sich auch in der Berufungsbegründung letztlich auf seine – von dem Senat aus den vorstehend dargestellten Erwägungen nicht geteilte – Ansicht, wonach allein der Datenschutzverstoß in der vorliegenden Konstellation einen Schaden begründe. Ergänzend verweist er auf seinen – wie dargestellt – bereits erstinstanzlich unzureichenden Vortrag. Nichts anderes gilt, soweit er im Schriftsatz vom 21.01.2023 einen „Kontrollverlust über die Daten“ als Schaden anführt. Dies stellt lediglich eine Umschreibung des von ihm geltend gemachten Gesetzesverstoßes dar, aber keinen davon zu unterscheidenden Schaden immaterieller oder materieller Art. Da sich die Ausführungen des Klägers letztlich im Wesentlichen auf die Darlegung seiner abweichenden Rechtsauffassung, unter Bezugnahme auf Rechtsprechung und Literatur beschränken, aber keinerlei Tatsachenvortrag enthalten, der geeignet wäre, einen etwaigen immateriellen Schaden konkret des Klägers zu belegen, vermag der Senat, der – ebenso wie das Landgericht – zum Erfordernis der Darlegung eines Schadens eine vom Kläger abweichende Rechtsauffassung vertritt, auch keine Verletzung dessen Anspruchs auf Gewährung rechtlichen Gehörs zu erkennen.

Auf den konkreten Umfang des Auskunftsanspruchs gemäß Art. 15 Abs. 1, 3 DS-GVO und darauf, ob entgegen dem Landgericht die unter Berücksichtigung der in Art. 12 Abs. 3 Satz 1 DS-GVO verzögerliche Aukunftserteilung eine taugliche Verletzungshandlung im Sinne des Art. 82 Abs. 1 DS-GVO darstellt (vgl. dazu: OLG Köln, Urteil vom 14.07.2022 – 15 U 137/21, juris, Rn. 24; Quaas, in: Wolff/Brink, BeckOK Datenschutzrecht, 41. Edition, Stand: 01.08.2022, Art. 82 DS-GVO, Rn. 14), kommt es nach dem Vorstehenden an dieser Stelle mithin nicht entscheidungserheblich an.

3. Soweit der Kläger erstmals mit der Berufungsbegründung hilfsweise die Abgabe einer eidesstattlichen Versicherung betreffend die Vollständigkeit und Richtigkeit der erteilten Datenauskunft beantragt, ist die hierin liegende Klageänderung zwar zulässig, jedoch dringt der Kläger mit seinem Begehren in der Sache auch insoweit nicht durch.

a. Die Klageänderung ist zunächst gemäß § 533 ZPO zulässig. Zwar hat die Beklagte insoweit ausdrücklich nicht eingewilligt (§ 533 Nr. 1, 1. Alt. ZPO), jedoch ist diese nach Auffassung des Senats vorliegend sachdienlich (§ 533 Nr. 1, 2. Alt. ZPO). Bei der Beurteilung der Sachdienlichkeit sind die beiderseitigen Interessen zu bewerten und abzuwägen. Es kommt auf die objektive Beurteilung an, ob und inwieweit die Zulassung der Klageänderung den sachlichen Streitstoff im Rahmen des anhängigen Rechtsstreits ausräumt und einem anderenfalls zu führenden Rechtsstreit vorbeugt. Maßgeblich ist der Gesichtspunkt der Prozesswirtschaftlichkeit, wobei nicht die beschleunigte Entscheidung des anhängigen Prozesses, sondern die Erledigung der Streitpunkte zwischen den Parteien entscheidend ist (vgl. Wulf, in: Vorwerk/Wolf, BeckOK, 47. Edition, Stand 01.12.2022, § 533 Rn. 11). Das ist vorliegend zu bejahen, da die Frage der Erfüllung bzw. deren Umfang weiterhin zwischen den Parteien in Streit steht. Auch die Voraussetzung des § 533 Nr. 2 ZPO ist vorliegend gegeben. Danach hängt die Zulässigkeit einer zweitinstanzlichen Klageänderung davon ab, dass sie auf Tatsachen gestützt werden kann, die das Berufungsgericht seiner Verhandlung und Entscheidung über die Berufung ohnehin nach § 529 ZPO zugrunde zu legen hat. Maßgeblich ist gemäß § 529 i.V.m. § 531 Abs. 2 ZPO mithin der erstinstanzliche Sach- und Streitstand (vgl. Rimmelspacher, in: MüKo/ZPO, 6. Auflage 2020, § 533 Rn. 14). Vorliegend stand die Frage der Erfüllung des Auskunftsanspruchs bzw. einer vollständigen Erfüllung bereits erstinstanzlich zwischen den Parteien in Streit, sodass die für die Entscheidung des klageerweiternd geltend gemachten Anspruchs maßgeblichen Umstände bereits erstinstanzlich Gegenstand der Erörterung gewesen sind.

b. In der Sache kann der Kläger von der Beklagte aber nach §§ 259 Abs. 2, 260 Abs. 2 BGB nicht die Abgabe der begehrten eidesstattlichen Versicherung verlangen. Hiernach hat der Verpflichtete die Vollständigkeit und Richtigkeit seiner Angaben auf Verlangen an Eides statt zu versichern, wenn die Besorgnis besteht, dass diese nicht mit der erforderlichen Sorgfalt gemacht worden sind. Erforderlich sind insoweit mithin Unvollständigkeit der Rechnungslegung / Auskunft und dass dies auf mangelnder Sorgfalt des Verpflichteten beruht. Beide Punkte müssen nicht feststehen. Erforderlich, aber auch ausreichend ist insoweit ein auf Tatsachen gründender Verdacht, die der Berechtigte darlegen und notfalls beweisen muss (vgl. Krüger, in: MüKo/BGB, 9. Auflage 2022, § 260 Rn. 47, § 259 Rn. 38 f.). Daran fehlt es vorliegend im Ergebnis jedoch.

So ist nach Auffassung des Senats bereits die Unvollständigkeit der erteilten Auskunft nicht hinreichend substantiiert dargetan. Soweit der Kläger in diesem Zusammenhang das Vorhandensein weiterer Unterlagen mit der Aufbewahrungspflicht des § 147 Abs. 1 AO begründet, verkennt er bereits, dass das Bestehen einer entsprechenden Aufbewahrungspflicht nichts über den Umfang einer tatsächlich erfolgten Aufbewahrung und Speicherung aussagt. Eine Auskunftspflicht kann sich dabei aber von vornherein nur auf tatsächlich aufbewahrte und gespeicherte Unterlagen und Daten beziehen. In diesem Zusammenhang ist mit Blick auf den Umfang der tatsächlich erteilten Auskunft für den Senat nicht ansatzweise erkennbar, dass und weshalb die Beklagte weitergehende Vertragsunterlagen zu den genannten Kundennummern, die sie selbst bestätigt hat, nicht herausgeben sollte, sondern letztlich „lieber“ einen etwaigen Verstoß gegen ihre Pflichten gemäß § 147 AO einräumen sollte. Dies gilt umso mehr, als die Beklagte das Vorhandensein weiterer Unterlagen, zu deren Herausgabe sie nicht bereit war – Stichwort: Rechtsabteilung –, eingeräumt hat. Aber selbst wenn man davon ausgehen wollte, dass allein der Pflichtenverstoß der Beklagten gegen § 147 AO einen Verdacht auf die Unvollständigkeit im Sinne der §§ 259 Abs. 2, 260 Abs. 2 BGB begründet, wäre auch insoweit dem Beweisangebot des Klägers auf Einvernahme der Datenschutzbeauftragten der Beklagten nicht nachzugehen, da es jedenfalls an einer hinreichend substantiierten Darlegung etwaiger Tatsachen fehlt, nach denen davon auszugehen wäre, dass die – unterstellt unvollständige – Auskunftserteilung als solche auf mangelnder Sorgfalt der Beklagten beruht. Im Gegenteil. So bemängelt der Kläger wiederholt über das gesamte Verfahren hinweg die administrative Organisation der Beklagten. Dies wird sogar noch belegt durch die wiederholten unberechtigten Abbuchungen von dessen Konto, die ebenfalls Gegenstand eines zwischenzeitlich übereinstimmend für erledigt erklärten Klageantrags gewesen sind. All dies mag für durchaus gravierende Versäumnisse der Beklagten im Zusammenhang mit ihrer Organisation, der Datenerfassung und –aufbewahrung, insbesondere auch der Achtung gesetzlicher Pflichten wie solchen gemäß § 147 AO sprechen, ist aber in keiner Weise geeignet, Zweifel dahingehend zu begründen, dass die Beklagte nicht sämtliche bei ihr vorhandene Daten und Unterlagen letztlich vollständig – also abgesehen von den, seitens des Klägers nicht begehrten Unterlagen der Rechtsabteilung – herausgegeben hat. Der sich aus dem Vortrag des Klägers allenfalls hinreichend substantiiert ergebende Vorwurf belegt mithin jedenfalls keine mangelnde Sorgfalt bei der Erteilung der Auskunft, sondern ggfls. im Vorfeld.

Damit kommt es auf die von der Beklagten aufgeworfene Frage eines Eingreifens der §§ 259 Abs. 3, 260 Abs. 3 BGB ebenso wenig an wie darauf, ob § 260 Abs. 2 BGB überhaupt auf einen Anspruch aus Art. 15 DS-GVO anwendbar ist (aufgeworfen von: BGH, Urteil vom 15.06.2021 – VI ZR 576/19, juris, Rn. 34).

4. Aufgrund der vorstehenden Ausführungen ist auch die erstinstanzliche Kostenentscheidung in keiner Weise zu beanstanden.

III. Die Kostenentscheidung beruht auf § 97 Abs. 1 ZPO. Die Entscheidung über die vorläufige Vollstreckbarkeit folgt aus §§ 708 Nr. 10, 711 ZPO.

Die Zulassung der Revision hat gemäß § 543 Abs. 2 Nr. 1 ZPO teilweise zu erfolgen: Hinsichtlich der datenschutzrechtlichen Ansprüche des Klägers auf Zahlung eines Schadenersatzes liegt eine grundsätzliche Bedeutung i.S.d. § 543 Abs. 2 Nr. 1 ZPO vor, da die Voraussetzungen des Geldentschädigungsanspruchs nach Art. 82 Abs. 1 DS-GVO und das Verständnis dieser Vorschrift bislang nicht höchstrichterlich geklärt sind und sich nicht unmittelbar aus den Regelungen der DS-GVO ergeben (vgl. auch BVerfG, Beschluss vom 14.01.2021 – 1 BvR 2853/19, Rn. 20).

Hinsichtlich des Auskunftsanspruchs war die Zulassung der Revision hingegen nicht geboten, weil die Rechtssache insoweit keine grundsätzliche Bedeutung hat und eine Entscheidung des Revisionsgerichts weder zur Fortbildung des Rechts noch zur Sicherung einer einheitlichen Rechtsprechung erforderlich ist (§ 543 Abs. 1 ZPO). Eine Rechtssache hat grundsätzliche Bedeutung, wenn eine klärungsbedürftige Frage zu entscheiden ist, deren Auftreten in einer unbestimmten Vielzahl von Fällen zu erwarten ist und deshalb das abstrakte Interesse der Allgemeinheit an einheitlicher Entwicklung und Handhabung des Rechts berührt (BGH, Beschluss vom 04.07.2002 – V ZB 16/02, juris Rn. 4; Beschluss vom 04.07.2002 – V ZR 75/02, juris, Rn. 5). Klärungsbedürftig ist eine Rechtsfrage, wenn zu ihr unterschiedliche Auffassungen vertreten werden und noch keine höchstrichterliche Entscheidung vorliegt (BVerfG, Beschluss vom 08.12.2010 – 1 BvR 381/10, juris, Rn. 12). Die Frage, wann ein Auskunftsanspruch erfüllt ist, hat der BGH zwischenzeitlich in dem hier zugrunde gelegten Sinne entschieden. Ob im konkreten Fall Erfüllung eingetreten ist, ist dagegen eine Frage des Einzelfalls.

Der Streitwert für das Berufungsverfahren wird gemäß §§ 39, 43, 47, 48 Abs. 1 GKG, 3 ZPO auf 2.400,00 € festgesetzt.


Den Volltext der Entscheidung finden Sie hier:

ArbG Oldenburg: 10.000 EURO immaterieller Schadensersatz aus Art. 82 DSGVO für ehemaligen Arbeitnehmer wegen unterbliebener Auskunftserteilung gemäß Art. 15 DSGVO durch Arbeitgeber

ArbG Oldenburg
Urteil 09.02.2023
3 Ca 150/21


Das Arbeitsgericht Oldenburg hat einem ehemaligen Arbeitnehmer 10.000 EURO immateriellen Schadensersatz aus Art. 82 DSGVO wegen unterbliebener Auskunftserteilung gemäß Art. 15 DSGVO durch den Arbeitgeber zugesprochen. Die Auskunftserteilung war über 20 Monate nicht erfolgt und das Gericht hielt 500 EURO pro Monat für angemessen. Das Gericht ist der Ansicht, dass Art. 82 DSGVO abschrecken und generalpräventiv wirken soll.


Vorlagebeschluss liegt im Volltext vor - BAG legt EuGH Fragen zur Auslegung von Art. 82 DSGVO und Art. 88 DGSVO vor

BAG
Beschluss vom 22.09.2022
8 AZR 209/21


Wir hatten bereits in dem Beitrag "BAG legt EuGH Fragen zur Auslegung von Art. 82 DSGVO und Art. 88 DGSVO vor - Immaterieller Schadensersatz bei Verarbeitung personenbezogener Daten im Rahmen eines Beschäftigungsverhältnisses" über die Entscheidung berichtet.

Tenor der Entscheidung:

I. Der Gerichtshof der Europäischen Union wird gemäß Art. 267 AEUV um Vorabentscheidung über die Fragen ersucht:

1. Ist eine nach Art. 88 Abs. 1 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung; im Folgenden DSGVO) erlassene nationale Rechtsvorschrift – wie etwa § 26 Abs. 4 Bundesdatenschutzgesetz, im Folgenden BDSG -, in der bestimmt ist, dass die Verarbeitung personenbezogener Daten – einschließlich besonderer Kategorien personenbezogener Daten – von Beschäftigten für Zwecke des Beschäftigungsverhältnisses auf der Grundlage von Kollektivvereinbarungen unter Beachtung von Art. 88 Abs. 2 DSGVO zulässig ist, dahin auszulegen, dass stets auch die sonstigen Vorgaben der DSGVO – wie etwa Art. 5, Art. 6 Abs. 1 und Art. 9 Abs. 1 und Abs. 2 DSGVO – einzuhalten sind?

2. Sofern die Frage zu 1. bejaht wird:

Darf eine nach Art. 88 Abs. 1 DSGVO erlassene nationale Rechtsvorschrift – wie § 26 Abs. 4 BDSG – dahin ausgelegt werden, dass den Parteien einer Kollektivvereinbarung (hier den Parteien einer Betriebsvereinbarung) bei der Beurteilung der Erforderlichkeit der Datenverarbeitung im Sinne der Art. 5, Art. 6 Abs. 1 und Art. 9 Abs. 1 und Abs. 2 DSGVO ein Spielraum zusteht, der gerichtlich nur eingeschränkt überprüfbar ist?

3. Sofern die Frage zu 2. bejaht wird:

Worauf darf in einem solchen Fall die gerichtliche Kontrolle beschränkt werden?

4. Ist Art. 82 Abs. 1 DSGVO dahin auszulegen, dass Personen ein Recht auf Ersatz des immateriellen Schadens bereits dann haben, wenn ihre personenbezogenen Daten entgegen den Vorgaben der DSGVO verarbeitet wurden oder setzt der Anspruch auf Ersatz des immateriellen Schadens darüber hinaus voraus, dass die betroffene Person einen von ihr erlittenen immateriellen Schaden – von einigem Gewicht – darlegt?

5. Hat Art. 82 Abs. 1 DSGVO spezial- bzw. generalpräventiven Charakter und muss dies bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DSGVO zulasten des Verantwortlichen bzw. Auftragsverarbeiters berücksichtigt werden?

6. Kommt es bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DSGVO auf den Grad des Verschuldens des Verantwortlichen bzw. Auftragsverarbeiters an? Insbesondere, darf ein nicht vorliegendes oder geringes Verschulden auf Seiten des Verantwortlichen bzw. Auftragsverarbeiters zu dessen Gunsten berücksichtigt werden?

II. Das Revisionsverfahren wird bis zur Entscheidung des Gerichtshofs der Europäischen Union über das Vorabentscheidungsersuchen ausgesetzt.

Den Volltext der Entscheidung finden Sie hier:

LG Köln: 4.000 EURO immaterieller Schadensersatz aus Art. 82 Abs. 1 DSGVO wegen Offenlegung einer Geschäftsbeziehung zu einem Konkurrenzunternehmen gegenüber Vorgesetzten

LG Köln
Urteil vom 28.09.2022
28 O 21/22


Das LG Köln hat dem Betroffenen in diesem Fall 4.000 EURO immateriellen Schadensersatz aus Art. 82 Abs. 1 DSGVO wegen der Offenlegung einer Geschäftsbeziehung zu einem Konkurrenzunternehmen gegenüber einem Vorgesetzten zugesprochen. Der Betroffene hatte mit seiner Klage 100.000 EURO Schadensersatz verlangt. Die Klage wurde daher überwiegend abgewiesen.

Aus den Entscheidungsgründen:
Der Kläger hat gegen die Beklagte zu 1) einen Anspruch auf Zahlung eines Schadensersatzes in Höhe von 4.000 € aus Art. 82 Datenschutz-Grundverordnung (im Folgenden: DS-GVO).

1. Die Beklagte zu 1) hat personenbezogene Daten des Klägers im Sinne des Art. 4 Nr. 2 DS-GVO dadurch verarbeitet, dass sie die streitgegenständliche E-Mail an Herrn K. versandt hat. Sie muss sich dabei die Handlung ihres Angestellten, des Beklagten zu 2), zurechnen lassen. Zur Verarbeitung im Sinne der DS-GVO zählt auch die „Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung“.

Die Offenlegung der Vertragsverhältnisse zwischen der Beklagten zu 1) und dem Kläger an den Vorgesetzten des Klägers war auch rechtswidrig. Sie unterfällt keinem Rechtfertigungstatbestand nach Art. 6 Abs. 1 DS-GVO. Insbesondere ist sie nicht zur Erfüllung des Vertrags mit dem Kläger „erforderlich“, Art. 6 Abs. 1 lit. b) DS-GVO. Erforderlichkeit setzt voraus, dass ein unmittelbarer Zusammenhang zwischen der Verarbeitung und dem konkreten Zweck des Vertragsverhältnisses besteht. Ein solcher Zusammenhang ist hier nicht ersichtlich. Der Vorgesetzte des Klägers ist in keiner Weise in den Vertrag involviert und für die private Lebensführung des Klägers auch offensichtlich in keiner Weise verantwortlich. Es ist nicht im Ansatz zu erkennen, warum der Gläubiger eines Schuldverhältnisses sich veranlasst sehen dürfte, sich an den Vorgesetzten seines Schuldners zu wenden um diesen dazu zu bringen, auf den Schuldner einzuwirken. Etwas anderes ergibt sich auch nicht aus dem Umstand, dass der Kläger ebenfalls als Autoverkäufer in einem Konkurrenzunternehmen tätig ist. Gerade in diesem Fall drängt sich der Gedanke förmlich auf, dass dem Kläger aus einer Offenlegung seiner Geschäftsbeziehungen zu einem Konkurrenzunternehmen Probleme erwachsen können, was für die Erfüllung des Vertrags nicht förderlich sein dürfte.

Die Beklagte zu 1) ist für den Verstoß gegen Art. 6 Abs. 1 DS-GVO auch verantwortlich und muss sich das Verhalten ihres Mitarbeiters zurechnen lassen. Eine Exkulpation nach Art. 82 Abs. 3 DS-GVO kommt nicht in Betracht. Soweit die Beklagte zu 1) schlicht darauf abstellt, dass der Beklagte zu 2) dem Kläger keinen Schaden habe zufügen wollen, verfängt dies nicht. Die Versendung der E-Mail erfolgte vorsätzlich. Eine Schädigungsabsicht setzt Art. 82 DS-GVO nicht voraus.

2. Der Verstoß ist auch derart gravierend, dass er eine Schadensersatzpflicht der Beklagten zu 1) auslöst, allerdings nur in tenorierter Höhe.

Allein der Verstoß gegen datenschutzrechtliche Vorschriften führt nicht zu einer Verpflichtung des Verantwortlichen zur Zahlung von Schadensersatz (so auch LG Karlsruhe ZD 2019, 511). Voraussetzung eines Anspruchs auf Schadensersatz aus Art. 82 Abs. 1 DS-GVO, der im nationalen Recht unmittelbar Anwendung findet und andere Anspruchsgrundlagen nicht ausschließt (Nemitz, in: Ehmann/Selmayr, DS-GVO, 2. Aufl., Art. 82 Rn. 7), ist ein Verstoß gegen die DS-GVO und ein hierdurch verursachter Schaden, was ein Kläger darzulegen und zu beweisen hat (LG Karlsruhe, a.a.O.). Nach dem Erwägungsgrund 146 ist der Begriff des Schadens weit auszulegen, sodass Betroffene einen wirksamen Ersatz erhalten. Erwägungsgrund 85 besagt, dass eine Verletzung des Schutzes personenbezogener Daten einen physischen, materiellen oder immateriellen Schaden für natürliche Personen – wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung oder Rufschädigung – nach sich ziehen kann, wenn nicht rechtzeitig und angemessen reagiert wird. Es bedarf danach zwar keiner schweren Verletzung des Persönlichkeitsrechts, um einen immateriellen Schaden geltend zu machen (Gola/Piltz, DS-GVO, 2. Aufl., Art. 82 Rn. 13).Dennoch führt nicht bereits jeder Verstoß gegen die DS-GVO zu einer Ausgleichspflicht, denn der Verpflichtung zum Ausgleich eines immateriellen Schadens muss eine benennbar und insoweit tatsächliche Persönlichkeitsverletzung gegenüberstehen, die z.B. in der mit einer unrechtmäßigen Zugänglichmachung von Daten liegenden „Bloßstellung“ liegen kann (LG Karlsruhe, a.a.O.). Die Ermittlung des Schadens obliegt nach § 287 ZPO dem Gericht.

Der Verstoß der Beklagten zu 1) gegen die Regeln der DS-GVO ist bereits für sich derart gravierend, dass er eine entschädigungspflichtige Persönlichkeitsrechtsverletzung des Klägers begründet. Dass sich der Beklagte zu 2) hier an den Vorgesetzten des Klägers gewandt haben, ist nicht nur unangebracht und ein Verstoß gegen die DS-GVO, sondern für den Kläger auch peinlich und mit erheblichen Unannehmlichkeiten verbunden, weil er sich – unabhängig von der tatsächlichen Reaktion seines Vorgesetzten – genötigt fühlen könnte, sich gegenüber seinem Arbeitgeber dafür rechtfertigen zu müssen, bei der Konkurrenz ein Auto gekauft zu haben. Dies ist mit einem erheblichen Gefühl der Scham verbunden. Es handelt sich bei den Vertragsinformationen zwar nicht um hochsensible und höchstpersönliche Daten, der Kläger hatte jedoch ein offensichtliches Geheimhaltungsinteresse. Der Verstoß führt insoweit auch zu einem völligen Verlust der Kontrolle über die Daten, auch wenn die Information nur an eine Person geleitet wurde. Zudem erfolgte der Verstoß vorsätzlich, auch wenn der Beklagte zu 2), wie die Beklagte zu 1) unbestritten vorgetragen hat, keine Schädigungsabsicht gehabt hat.

Für die Frage der Schadensbemessung ist von Bedeutung, dass die Kammer die von dem Kläger behaupteten Folgen des Datenschutzverstoßes ihrer Entscheidung nicht zu Grunde legen kann.

Der Vortrag des Klägers zur Zerrüttung seines Arbeitsverhältnisses ist unsubstantiiert und prozessual unbeachtlich. Die Beklagte zu 1) hat sich offenbar im Betrieb des Klägers informiert und in ihrem Schriftsatz vom 23.08.2022 detailliert vorgetragen, dass es zu keiner Zerrüttung des Arbeitsverhältnisses gekommen ist. Dabei hat sie auch auf Ungereimtheiten im Vortrag des Klägers hingewiesen, die dieser selbst nicht entkräften konnte. So erfolgte die erste Krankschreibung des Klägers nicht unmittelbar nach dem streitgegenständlichen Vorfall, sondern erst einige Wochen später. Soweit der Kläger im April 2022 vorgetragen hat, seine Stelle sei neu besetzt worden und sein Vertrag ende „bald“, fehlt es an Vortrag dazu, wann dieser Zeitpunkt konkret sein soll. Da der Kläger noch mit Schriftsatz vom 02.08.2022 eine aktuelle Arbeitsunfähigkeitsbescheinigung bis zum 15.08.2022 vorgelegt hat, scheinen deutliche Zweifel angebracht, ob das Arbeitsverhältnis überhaupt in absehbarer Zeit enden wird. Auch fehlt es an substantiiertem Vortrag zu einer dauerhaften Arbeitsunfähigkeit des Klägers, da dieser nach den vorliegenden Unterlagen lediglich im Zeitraum Ende August bis Anfang Oktober 2021 und im Zeitraum um die Replik im August 2022 krankgeschrieben gewesen ist, somit lediglich für wenige Wochen. Da der Kläger auf den Vortrag der Beklagten zu 1) in ihrem Schriftsatz vom 23.08.2022 nicht mehr reagiert hat, gilt der Vortrag der Beklagten zu 1) als zugestanden.

Auch soweit der Kläger vorgetragen hat, an einer Depression zu leiden, ist sein Vortrag unbeachtlich. Ein ärztliches Attest, das diese Diagnose belegen könnte, hat er nicht vorgelegt. Sein Hausarzt hat ihm am 24.09.2021 lediglich eine „depressive Episode“ diagnostiziert. Substantiierter Sachvortrag zu seinen konkreten Symptomen, die es erlauben würden, die Diagnose einer Depression, egal in welcher Form, zu stellen, ist nicht erfolgt. Etwas anderes ergibt sich auch nicht aus dem Schreiben des Prof. X (Anlage K020). Hierbei handelt es sich nicht etwa um ein Privatgutachten, das geeignet wäre, den klägerischen Vortrag zu substantiieren, sondern um ein in einem reißerischen Tonfall geschriebenes Gefälligkeitsschreiben, das für die Kammer insgesamt unbeachtlich war. Nicht nur lässt es Prof. X an jeglicher Neutralität in Bezug auf den hier anhängigen Rechtsstreit vermissen. Es ergibt sich aus dem Schreiben noch nicht einmal, ob der Kläger bei Prof. X überhaupt in Behandlung war, so dass für die Kammer nicht ersichtlich ist, auf welcher therapeutischen Grundlage sich der Prof. X überhaupt ein Urteil zum Gesundheitszustand des Klägers anmaßt.

Die Kammer will nicht in Abrede stellen, dass der Kläger tatsächlich unter hohem psychischen Druck steht. Er war in der mündlichen Verhandlung sichtlich angefasst und schien deutlich zu leiden. Dieses Leiden ist jedoch nicht derart substantiiert im Prozess vorgetragen worden, dass es für die Kammer prozessual verwertbar wäre und für die Einholung eines psychologischen Sachverständigengutachtens gereicht hätte. Dies gilt nicht nur für den Vortrag des Klägers hinsichtlich des Vorliegens einer Depression, sondern auch für die Frage, ob gerade der Datenschutzverstoß der Beklagten für die Krankheit des Klägers kausal geworden ist. Die Einholung eines Sachverständigengutachtens würde vor diesem Hintergrund einem Ausforschungsbeweis gleichkommen.

Bei der Bemessung des Schmerzensgelds war weiterhin zu berücksichtigen, dass die Beklagte zu 1) eine strafbewehrte Unterlassungserklärung abgegeben und sich bereits mit E-Mail vom 20.07.2021 beim Kläger entschuldigt hat. Weiterhin war zu berücksichtigen, dass nach Sinn und Zweck von Art. 82 DS-GVO das Schmerzensgeld so zu bemessen ist, dass es eine abschreckende Wirkung auf die Beklagte ausübt. Dabei war jedoch auch darauf zu achten, dass auch nach der Konzeption des Art. 82 DS-GVO der Schadensersatz nicht in einen Strafschadensersatz ausartet, sondern in erster Linie der Kompensation tatsächlich entstandener Schäden beim Kläger dient (vgl. Erwägungsgrund (146) S. 5 DS-GVO: „erlittener Schaden“). In diesem Zusammenhang war für die Kammer entscheidend auf die finanzielle Situation der Beklagten zu 1) abzustellen, nicht hingegen auf die Finanzkraft des „V-Konzern s“ insgesamt. Die Beklagte zu 1) mag zum V-Konzern gehören, sie ist aber rechtlich unabhängig. Der Kläger hat nicht die Volkswagen AG verklagt, so dass der Vortrag zu deren Umsätzen unbeachtlich ist. Vortrag zur finanziellen Situation der Beklagten zu 1) fehlt indes. Daher verbietet sich auch eine Orientierung an einem möglicherweise von der Aufsichtsbehörde noch zu verhängendem Bußgeld gegen die Beklagte zu 1). Der Vortrag des Klägers zur Höhe dieses Bußgelds, insbesondere dass dieses die Höchstgrenze des Art. 83 Abs. 4 DS-GVO von 10 Milliarden EUR erreichen könnte, stellt sich vor diesem Hintergrund nicht als eine ernsthafte Prognose dar.

Unter Berücksichtigung sämtlicher dieser zuvor genannten Umstände hält die Kammer gemäß § 287 ZPO insgesamt einen Schadensersatz von 4.000 EUR für notwendig, aber auch ausreichend zur Kompensation des dem Kläger entstandenen Schadens.


Den Volltext der Entscheidung finden Sie hier:

BAG legt EuGH Fragen zur Auslegung von Art. 82 DSGVO und Art. 88 DGSVO vor - Immaterieller Schadensersatz bei Verarbeitung personenbezogener Daten im Rahmen eines Beschäftigungsverhältnisses

BAG
Beschluss vom 22.09.2022
8 AZR 209/21


Der BAG hat dem EuGH Fragen zur Auslegung von Art. 82 DSGVO und Art. 88 DSGVO zur Entscheidung vorgelegt. Es geht dabei um die Zulässigkeit der Verarbeitung personenbezogener Daten im Rahmen eines Beschäftigungsverhältnisses und möglichen Ansprüchen auf immateriellen Schadensersatz.

Die Vorlagefragen:

I. Der Gerichtshof der Europäischen Union wird gemäß Art. 267 AEUV um Vorabentscheidung über die Fragen ersucht:

1. Ist eine nach Art. 88 Abs. 1 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung; im Folgenden DSGVO) erlassene nationale Rechtsvorschrift – wie etwa § 26 Abs. 4 Bundesdatenschutzgesetz, im Folgenden BDSG – in der bestimmt ist, dass die Verarbeitung personenbezogener Daten – einschließlich besonderer Kategorien personenbezogener Daten – von Beschäftigten für Zwecke des Beschäftigungsverhältnisses auf der Grundlage von Kollektivvereinbarungen unter Beachtung von Art. 88 Abs. 2 DSGVO zulässig ist, dahin auszulegen, dass stets auch die sonstigen Vorgaben der DSGVO – wie etwa Art. 5, Art. 6 Abs. 1 und Art. 9 Abs. 1 und Abs. 2 DSGVO – einzuhalten sind?

2. Sofern die Frage zu 1. bejaht wird:
Darf eine nach Art. 88 Abs. 1 DSGVO erlassene nationale Rechtsvorschrift – wie § 26 Abs. 4 BDSG – dahin ausgelegt werden, dass den Parteien einer Kollektivvereinbarung (hier den Parteien einer Betriebsvereinbarung) bei der Beurteilung der Erforderlichkeit der Datenverarbeitung im Sinne der Art. 5, Art. 6 Abs. 1 und Art. 9 Abs. 1 und Abs. 2 DSGVO ein Spielraum zusteht, der gerichtlich nur eingeschränkt überprüfbar ist?

3. Sofern die Frage zu 2. bejaht wird:
Worauf darf in einem solchen Fall die gerichtliche Kontrolle beschränkt werden?

4. Ist Art. 82 Abs. 1 DSGVO dahin auszulegen, dass Personen ein Recht auf Ersatz des immateriellen Schadens bereits dann haben, wenn ihre personenbezogenen Daten entgegen den Vorgaben der DSGVO verarbeitet wurden oder setzt der Anspruch auf Ersatz des immateriellen Schadens darüber hinaus voraus, dass die betroffene Person einen von ihr erlittenen immateriellen Schaden – von einigem Gewicht – darlegt?

5. Hat Art. 82 Abs. 1 DSGVO spezial- bzw. generalpräventiven Charakter und muss dies bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DSGVO zulasten des Verantwortlichen bzw. Auftragsverarbeiters berücksichtig werden?

6. Kommt es bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DSGVO auf den Grad des Verschuldens des Verantwortlichen bzw. Auftragsverarbeiters an? Insbesondere, darf ein nicht vorliegendes oder geringes Verschulden auf Seiten des Verantwortlichen bzw. Auftragsverarbeiters zu dessen Gunsten berücksichtigt werden?

II. Das Revisionsverfahren wird bis zur Entscheidung des Gerichtshofs der Europäischen Union über das Vorabentscheidungsersuchen ausgesetzt.



BAG: 1.000 EURO immaterieller Schadensersatz aus Art. 82 DSGVO wegen verspäteter Auskunft nach Art. 15 DSGVO nicht zu niedrig

BAG
Urteil vom 05.05.2022
2 AZR 363/21

Das BAG hat entschieden, dass 1.000 EURO immaterieller Schadensersatz aus Art. 82 DSGVO wegen verspäteter Auskunft nach Art. 15 DSGVO nicht zu niedrig ist.

Aus den Entscheidungsgründen:
Das Landesarbeitsgericht hat die Höhe des immateriellen Schadenersatzes mit 1.000,00 Euro nicht ermessensfehlerhaft zu niedrig festgesetzt.

a) Bei der Bemessung der Höhe eines Schadenersatzanspruchs nach § 287 Abs. 1 ZPO steht den Tatsachengerichten ein weiter Ermessensspielraum zu, innerhalb dessen sie die Besonderheiten jedes einzelnen Falls zu berücksichtigen haben. Die Festsetzung unterliegt nur einer eingeschränkten Überprüfung durch das Revisionsgericht. Sie kann von diesem nur darauf überprüft werden, ob die Rechtsnorm zutreffend ausgelegt, ein Ermessen ausgeübt, die Ermessensgrenze nicht überschritten wurde und ob das Berufungsgericht von seinem Ermessen einen fehlerfreien Gebrauch gemacht hat, indem es sich mit allen für die Bemessung der Entschädigung maßgeblichen Umständen ausreichend auseinandergesetzt und nicht von sachfremden Erwägungen hat leiten lassen (vgl. BAG 28. Mai 2020 - 8 AZR 170/19 - Rn. 28, BAGE 170, 340; BGH 23. April 2012 - II ZR 163/10 - Rn. 68, BGHZ 193, 110).

b) Danach ist die Bemessung der Höhe des Schadenersatzes durch das Landesarbeitsgericht revisionsrechtlich nicht zu beanstanden. Ob die vom Berufungsgericht als „naheliegend“ erachtete Orientierung am Kriterienkatalog in Art. 83 Abs. 2 Satz 2 DSGVO möglich oder sogar geboten ist, kann dahinstehen. Selbst wenn dies nicht der Fall sein sollte, hätte sich das Landesarbeitsgericht nicht von sachfremden Erwägungen zulasten der Klägerin leiten lassen.

aa) Es hat zunächst zugunsten der Klägerin in Rechnung gestellt, dass die Beklagte eine vollständige Auskunft nach Art. 15 Abs. 1 DSGVO bis zuletzt nicht erteilt und ihre Verpflichtung jedenfalls grob fahrlässig verkannt habe. Selbst wenn das Berufungsgericht einen dieser Gesichtspunkte zu Unrecht in seine Erwägungen eingestellt hätte, wäre die Klägerin dadurch nicht beschwert.

bb) Das Landesarbeitsgericht hat ferner ohne Rechtsfehler in seine Würdigung einbezogen, dass die persönliche Betroffenheit der Klägerin durch die nicht vollständige Erfüllung ihres Auskunftsanspruchs in Anbetracht des maßgeblichen Anliegens ihres Auskunftsbegehrens „überschaubar“ gewesen sei.

(1) Es hat das Auskunftsbegehren dahin ausgelegt, dass es der Klägerin maßgeblich um die Arbeitszeitaufzeichnungen gegangen sei. Diese habe ihr die Beklagte mit Schreiben vom 13. August 2020 aber übersandt. Damit hat das Landesarbeitsgericht eine Gewichtung des konkreten Ausmaßes der Beeinträchtigung der Klägerin durch die nicht vollständige Erfüllung ihres Auskunftsanspruchs vorgenommen und dieser eine relativ geringere Bedeutung beigemessen, als wenn es der Klägerin ebenso maßgeblich um Auskunft über ihre übrigen bei der Beklagten gespeicherten personenbezogenen Daten gegangen wäre.

(2) Das lässt keinen Ermessensfehlgebrauch erkennen. Wenn die Erlangung von Kontrolle über ihre übrigen personenbezogenen Daten nicht das primäre Ziel der Klägerin war, wiegt auch die Beeinträchtigung durch das Vorenthalten dieses Teils der begehrten Auskunft weniger schwer. Einen Rechtsfehler zeigt insoweit auch die Revision nicht auf. Sie beanstandet zwar, das Landesarbeitsgericht habe nicht berücksichtigen dürfen, dass die Klägerin den Auskunftsanspruch gerichtlich nicht weiterverfolgt habe. Das Berufungsgericht hat dies aber nicht für sich genommen als einen die Beklagte entlastenden Umstand bewertet, wie die Klägerin meint, sondern lediglich als - weiteren - Beleg für sein Verständnis des primären Ziels des Auskunftsverlangens. Dass dieses Verständnis unzutreffend sei, macht auch die Klägerin nicht geltend.

cc) Andere Aspekte hat das Landesarbeitsgericht nicht zulasten der Klägerin gewürdigt.

dd) Soweit das Berufungsgericht bei der Anspruchsbemessung nicht ausdrücklich problematisiert hat, ob der Schadenersatzanspruch nach Art. 82 Abs. 1 DSGVO auch einen präventiven Charakter hat und damit auch eine Abschreckungsfunktion erfüllen muss (vgl. auch zu dieser Fragestellung das Vorabentscheidungsersuchen BAG 26. August 2021 - 8 AZR 253/20 (A) -, vor dem EuGH anhängig unter - C-667/21 - [Krankenversicherung Nordrhein]), ist dies im Ergebnis ebenfalls ohne Rechtsfehler. Zugunsten der Klägerin kann unterstellt werden, dass dem Anspruch ein solcher Präventionscharakter zukommt. Seine vom Berufungsgericht festgesetzte Höhe hat hinreichend abschreckende Wirkung.

(1) Der Betrag von 1.000,00 Euro ist fühlbar und hat nicht nur symbolischen Charakter (vgl. zur nicht ausreichenden Umsetzung der Richtlinien 2000/43/EG und 2000/78/EG bei einer nur symbolischen Sanktion EuGH 15. April 2021 - C-30/19 - [Braathens Regional Aviation] Rn. 39; 25. April 2013 - C-81/12 - [Asociaţia Accept] Rn. 64). Bloß symbolisch wäre es etwa, die Entschädigung einer Person, die Opfer einer Diskriminierung beim Zugang zur Beschäftigung wurde, auf die Erstattung ihrer Bewerbungskosten zu beschränken (EuGH 10. April 1984 - C-14/83 - [von Colson] Rn. 24). Darüber geht der hier zugesprochene Schadenersatz deutlich hinaus.

(2) Ebenfalls eine Präventionsfunktion hat eine wegen einer Verletzung des allgemeinen Persönlichkeitsrechts geschuldete Entschädigung; auch diese kann mit einem Betrag in Höhe von 1.000,00 Euro ausreichend bemessen sein, wie etwa im Falle einer datenschutzwidrigen Observation mit heimlichen Videoaufnahmen durch einen Detektiv (BAG 19. Februar 2015 - 8 AZR 1007/13 - Rn. 14 und 33).

(3) Der immaterielle Schaden nach Art. 82 Abs. 1 DSGVO hat - anders als eine Entschädigung nach § 15 Abs. 2 AGG (dazu BAG 28. Mai 2020 - 8 AZR 170/19 - Rn. 17 ff., BAGE 170, 340) - keinen erkennbaren Bezug zur Höhe eines dem Gläubiger zustehenden Arbeitsentgelts, so dass keine Anhaltspunkte dafür bestehen, dass es sich dabei um ein relevantes Bemessungskriterium für die Höhe des Schadenersatzes handeln könnte. Selbst wenn dies anders zu sehen sein sollte, entspräche der hier festgesetzte Betrag mehr als dem zweifachen der zwischen den Parteien vereinbarten monatlichen Vergütung. Für eine Entschädigung nach § 15 Abs. 2 AGG, die ebenfalls eine Abschreckungsfunktion erfüllen muss, ist bereits ein Betrag in Höhe des 1,5-fachen des auf einer Stelle erzielbaren Entgelts als ausreichend anzusehen, um die notwendige abschreckende Wirkung zu erzielen (BAG 28. Mai 2020 - 8 AZR 170/19 - Rn. 39, aaO).

(4) Entgegen der Auffassung der Klägerin musste das Landesarbeitsgericht dem Umstand, dass die Beklagte anwaltlich vertreten war, auch unter dem Gesichtspunkt der Prävention keine den Schadenersatzanspruch erhöhende Bedeutung beimessen. Die Abschreckungsfunktion kann sich nur auf die Vermeidung künftiger Verstöße gegen die DSGVO beziehen, nicht aber darauf, ob sich eine Partei bei der Erfüllung ihrer Verpflichtungen nach der DSGVO anwaltlich hat vertreten lassen. Die Hinzuziehung eines Rechtsanwalts ist weder allgemein noch nach der DSGVO verpönt.


Den Volltext der Entscheidung finden Sie hier:


OLG Köln: 500 EURO immaterieller Schadensersatz aus Art. 82 DSGVO wegen verspäteter Auskunft nach Art. 15 DSGVO kann gerechtfertigt sein

OLG Köln
Urteil vom 14.07.2022
15 U 137/21


Das OLG Köln hat entschieden, dass 500 EURO immaterieller Schadensersatz aus Art. 82 DSGVO wegen verspäteter Auskunft nach Art. 15 DSGVO gerechtfertigt sein kann.

LG Köln: 1.200 EURO Schadensersatz aus Art. 82 Abs. 1 DSGVO wenn Verantwortlicher Zugangsdaten eines ehemaligen IT-Dienstleister nicht zeitnah löscht

LG Köln
Urteil vom 18.05.2022
28 O 328/21


Das LG Köln hat in diesem Fall entschieden, dass der Betroffene einen Anspruch auf 1.200 EURO Schadensersatz aus Art. 82 Abs. 1 DSGVO hat, da der Verantwortliche die Zugangsdaten eines ehemaligen IT-Dienstleister nicht zeitnah gelöscht hatte.

Aus den Entscheidungsgründen:

Der Kläger hat im tenorierten Umfang Anspruch auf Ersatz eines immateriellen Schadens aus Art. 82 Abs. 1 DSGVO. Nach dieser Vorschrift hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

Die Beklagte hat dadurch, dass sie die der Fa. C. zur Verfügung gestellten Zugangsdaten nach Ende der Vertragsbeziehung nicht änderte, gegen ihre Verpflichtung aus Art. 32 DSGVO sowie aus Art. 5 DSGVO verstoßen. Nach Art. 32 DSGVO haben der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Gemäß Art. 5 Abs. 1 lit. f) DSGVO müssen personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“).

Die Kammer nimmt einen Verstoß gegen diese Vorgaben aufgrund des zwischen den Parteien unstreitigen Umstandes an, dass die der Fa. C. zur Verfügung gestellten Zugangsdaten nach Beendigung der vertraglichen Beziehung zu der Vertragspartnerin über mehrere Jahre nicht verändert wurden. Damit schuf die Beklagte das Risiko, dass die Daten der Betroffenen nicht nur im Falle von ihr selbst zu verantwortender Unzulänglichkeiten, sondern auch durch von Seiten von Mitarbeitern der C. vorsätzlich oder fahrlässig ermöglichte Zugriffe einem Missbrauch ausgesetzt waren. Die Beklagte kann sich angesichts der Sensibilität der gespeicherten Kundendaten insbesondere nicht darauf berufen, sie habe davon ausgehen können, dass die Daten seitens C. dauerhaft und vollständig gelöscht werden würden (so auch in einem Parallelfall LG München I, Urt. v. 9.12.2021, 31 O 16606/20, juris, Rn. 36). Jedenfalls wäre eine Überprüfung der Löschung angezeigt gewesen, die die Beklagte aber ebenfalls nicht vorträgt.

Das der Beklagten anzulastende Versäumnis war – was ausreichend ist – jedenfalls mitursächlich für den dem Kläger entstandenen Schaden (vgl. LG München I a.a.O. Rn. 39).

Dem Kläger entstand auch ein Schaden im Sinne des Art. 82 DSGVO. Die Erwägungsgründe 75 und 85 DS-GVO zählen beispielhaft auf, welche konkreten Beeinträchtigungen einen "physischen, materiellen oder immateriellen Schaden" darstellen können, so etwa Diskriminierung, Identitätsdiebstahl oder -betrug, finanzieller Verlust, Rufschädigung, unbefugte Aufhebung einer Pseudonymisierung oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile. Nach Erwägungsgrund 146 DS-GVO muss der Begriff des Schadens zudem "im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht" und die "betroffenen Personen sollen einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten". Im Vordergrund steht hier eine abschreckende Wirkung des Schadensersatzes, die insbesondere durch dessen Höhe erreicht werden soll. Dieser Gedanke wird auch aus Art. 4 III EUV abgeleitet. Danach sind die Mitgliedstaaten angehalten, Verstöße wirksam zu sanktionieren, weil nur so eine effektive Durchsetzung des EU-Rechts – und damit auch der DS-GVO – gewährleistet ist (LG München I a.a.O. Rn. 41 mit w.N.).

Aufgrund des dem Kläger mit Schreiben vom 19.10.2020 mitgeteilten Umfangs der entwendeten persönlichen Daten geht die Beklagte ausweislich dieses Schreibens selbst davon aus, dass versucht werden konnte, die Betroffenen zu bestimmten Verhaltensweisen zu bewegen, insbesondere zur Preisgabe von weiteren vertraulichen Informationen oder Zahlungen zu veranlassen, sowie dass die Gefahr bestand, dass es mit Hilfe der Daten zu Identitätsmissbrauchsversuchen kommen würde. Auf die weiteren, teilweise zwischen den Parteien streitigen, Umstände der tatsächlichen oder gefühlten Beeinträchtigung des Klägers durch den Vorfall kommt es nach Auffassung der Kammer vor diesem Hintergrund nicht maßgeblich an.

Für die Bemessung der Höhe des Schadensersatzes können die Kriterien des Art. 83 Abs. 2 herangezogen werden, wie etwa die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung, die betroffenen Kategorien personenbezogener Daten, wobei die Ermittlung im Übrigen dem Gericht nach § 287 ZPO obliegt (LG München I a.a.O. Rn. 44 m.w.N.).

Hier war bei der Bemessung der Höhe zu berücksichtigen, dass ein Missbrauch der Daten zu Lasten des Klägers bislang nicht festgestellt werden musste, und es daher einstweilen bei einer Gefährdung geblieben ist. Wie vom LG München I a.a.O. zutreffend herausgearbeitet, muss allerdings auch die Absicht des EU-Verordnungsgebers berücksichtigt werden, mit Hilfe des Schadensersatzanspruchs eine abschreckende Wirkung zu erzielen. Zu Gunsten der Beklagten fällt allerdings – wie in der mündlichen Verhandlung bereits ausgeführt, ins Gewicht, dass der ihr zuzurechnende Datenschutzverstoß nur eine von mehreren Ursachen war, die erst im Zusammenwirken den Schadenseintritt bewirkten. Denn hinzu kam ein weiterer mindestens fahrlässiger Verstoß bei der Fa. C. sowie nicht zuletzt das vorsätzliche rechtswidrige Vorgehen der Hacker selbst. Zu berücksichtigen ist auch, dass die Beklagte dem Kläger vorübergehend das „meine Schufa Plus“ Angebot finanzierte. Unter Abwägung der maßgeblichen Gesichtspunkte erachtet die Kammer damit eine Schadensersatzzahlung in der tenorierten Höhe für angemessen.


Den Volltext der Entscheidung finden Sie hier:


LAG Berlin-Brandenburg: 2.000 EURO Schadensersatz aus Art. 82 DSGVO wegen verspäteter oder unvollständiger Auskunft nach Art. 15 DSGVO

LAG Berlin-Brandenburg
Urteil vom 18.11.2021
10 Sa 443/21

Das LAG Berlin-Brandenburg hat dem Betroffenen in diesem Fall 2.000 EURO Schadensersatz aus Art. 82 DSGVO wegen verspäteter bzw. unvollständiger Auskunft nach Art. 15 DSGVO zugesprochen.

Aus den Entscheidungsgründen:
Die Berufung des Klägers ist aber nur teilweise begründet.

Zutreffend hat die Beklagte in der Berufungserwiderung die jeweiligen Prüffragen für den geltend gemachten Anspruch aufgeworfen.

1. Liegt ein Verstoß gegen Art. 15 DSGVO vor?
2. Ist die Beklagte für einen etwaigen Verstoß verantwortlich?
3. Ist beim Kläger ein Schaden entstanden?
4. Gibt es eine Kausalität zwischen einem etwaigen Verstoß der Beklagten gegen Art. 15 Abs. 1 DSGVO und einem etwaigen beim Kläger eingetretenen Schaden?
5. Trifft den Kläger ein etwaiges Mitverschulden bzw. ist der etwaige Anspruch verwirkt oder rechtsmissbräuchlich geltend gemacht?
6. Ist ggf. die geltend gemachte Entschädigungssumme angemessen?

1. Nach Art. 15 Abs. 1 DSGVO hat der Kläger grundsätzlich das Recht, von der Beklagten eine Bestätigung darüber zu verlangen, ob sie ihn betreffende personenbezogene Daten verarbeitet und ggf. auf Auskunft über diese personenbezogenen Daten und u.a. auf folgende Informationen:

a) die Verarbeitungszwecke;
b) die Kategorien personenbezogener Daten, die verarbeitet werden;
c) die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;
d) falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
e) das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
f) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
g) wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;

Diese Informationen hat die Beklagte dem Kläger nur teilweise erteilt.

2. Es mag sein, dass die Beklagte große Mengen Daten über den Kläger verarbeitet hat. Konkrete Angaben dazu hat die Beklagte nicht gemacht. Anders als das Arbeitsgericht meint, ist das in diesem Fall aber auch unerheblich, da der Kläger keine generelle Auskunft hinsichtlich der von der Beklagten über ihn gespeicherten Daten verlangt hat, sondern beschränkt auf zwei Sachverhalte.

2.1 Zum einen ging es um die Anhörung des Betriebsrates und dessen Zustimmung. Durch die Bezugnahme auf Art. 15 DSGVO war aber in jedem Fall klar und eindeutig, dass der Kläger nicht nur um das Anhörungsschreiben der Arbeitgeberin und das Antwortschreiben des Betriebsrates ging, sondern zugleich auch um die in der Vorschrift genannten weiteren Aspekte. Mit der erteilten Auskunft durch Übersendung der beiden Schreiben hat die Beklagte allenfalls die Auskunftspflicht nach Art. 15 Abs. 1 a) und b) DSGVO erfüllt. Den weitergehenden Anspruch nach Buchst. c) bis g) hat die Beklagte mit ihrer Antwort vom 23. August 2019 offensichtlich nicht erfüllt.

Weder hat die Beklagte mitgeteilt, ob und ggf. gegenüber welchen Personen oder Stellen sie den Versetzungsvorgang offengelegt hat oder noch offenlegen werde noch wann bzw. nach welchen Kriterien eine Löschung der Daten erfolgen werde. Auch auf das Bestehen eines Rechts auf Berichtigung oder Löschung der den Kläger betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch die Beklagte oder eines Widerspruchsrechts gegen diese Verarbeitung und das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde hat die Beklagte nicht hingewiesen. Da die Daten offenbar nicht beim Kläger erhoben worden waren, hätte es auch einer Information über die Herkunft der Daten bedurft, also wer jeweils an dem Vorgang beteiligt war.

2.2 Zum anderen ging es um die Abmahnung vom 29. Mai 2019. Auch hier hat die Beklagte durch die Übersendung des Antrags des Herrn A auf Erteilung einer Abmahnung und dem sogenannten Logbuch-Eintrag allenfalls die Auskunftspflicht nach Art. 15 Abs. 1 a) und b) DSGVO erfüllt. Den weitergehenden Anspruch nach Buchst. c) bis g) hat die Beklagte mit ihrer Antwort vom 23. August 2019 auch zu diesem Vorgang offensichtlich nicht erfüllt.

Weder hat die Beklagte mitgeteilt, ob und ggf. gegenüber welchen Personen oder Stellen sie den Abmahnungsvorgang offengelegt hat oder noch offenlegen werde noch wann bzw. nach welchen Kriterien eine Löschung der Daten erfolgen werde. Auch auf das Bestehen eines Rechts auf Berichtigung oder Löschung der den Kläger betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch die Beklagte oder eines Widerspruchsrechts gegen diese Verarbeitung und das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde hat die Beklagte den Kläger nicht hingewiesen. Da die Daten offenbar nicht beim Kläger erhoben worden waren, hätte es auch einer Information über die Herkunft der Daten bedurft, also wer jeweils an dem Vorgang beteiligt war.

3. Dass diese Informationen fehlen, ist offensichtlich. Denn durch einen einfachen Blick in den Text des Art. 15 Abs. 1 DSGVO hätte die Beklagte feststellen können, was der Kläger von ihr verlangt. Insofern ist die Beklagte auch für die unzureichende Information und damit den Verstoß gegen Art. 15 Abs. 1 DSGVO verantwortlich.

4. Wie der Kläger zutreffend ausgeführt hat, liegt bei ihm ein Schaden vor. Unter Bezugnahme auf eine Entscheidung des LAG Niedersachsen vom 22. Oktober 2021 – 16 Sa 761/20 besteht unabhängig von dem Erreichen einer Erheblichkeitsschwelle bei Verstößen gegen Regelungen der DSGVO ein immaterieller Schadensersatzanspruch. Hierbei ist zu berücksichtigen, dass gerade ausgehend von Erwägungsgrund 146 Satz 3 zur DSGVO eine weite Auslegung geboten ist, um den Zielen der Verordnung in vollem Umfang zu entsprechen. Hiermit wäre es unvereinbar, würde eine Schadensersatzpflicht nur bei erheblichen Rechtsverstößen eintreten, da dann eine Vielzahl von Fallgestaltungen denkbar wäre, in denen Betroffene trotz Verstößen gegen die Regelungen der DSGVO keine Kompensation erhielten. Ferner kann, um die Regelungen der DSGVO effektiv durchzusetzen, auch auf eine abschreckende Wirkung des Schadensersatzes abgestellt werden (vgl. EuGH 17. Dezember 2015 – C-407/14 – Rn. 44). Zudem sollen die betroffenen Personen nach Erwägungsgrund 146 Satz 3 einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten. Dass ein Schaden erlitten ist, ergibt sich nicht erst bei Überschreiten einer gewissen Erheblichkeitsschwelle - der Schwere der Pflichtverstöße und damit einhergehenden Beeinträchtigungen kann vielmehr effektiv auf Ebene der Höhe des Schadensersatzes begegnet werden.

Indem die Beklagte ihrer Auskunftsverpflichtung inhaltlich nicht hinreichend nachgekommen ist, hat der Kläger keine ausreichenden Kenntnisse über die Verarbeitung seiner personenbezogenen Daten erlangt. Insofern ist ein Kontrollverlust eingetreten und ihm wurde die Möglichkeit der Überprüfung der Rechtmäßigkeit der Verarbeitung seiner personenbezogenen Daten unmöglich gemacht oder erschwert.

5. Die Kausalität zwischen der unzureichenden Auskunft der Beklagten und der Ungewissheit beim Kläger, welche Daten bei der Beklagten bezüglich der zwei konkret benannten Sachverhalte verarbeitet worden sind, liegt auf der Hand. Es bedurfte keines ergänzenden Auskunftsverlangens, da allein der Blick in den Verordnungstext ausreicht, um die Unvollständigkeit der Auskunft zu erkennen.

6. Der Anspruch des Klägers ist auch nicht verwirkt oder aus anderem Grunde rechtsmissbräuchlich geltend gemacht worden. Zwar ist es ungewöhnlich, dass der Kläger bereits mit der Klageschrift sein Schreiben vom 22. Juli 2019 und das Antwortschreiben der Beklagten vom 23. August 2019 eingereicht hat, ohne diesbezüglich einen Streitgegenstand hinsichtlich Art. 15 DSGVO zu eröffnen. Dadurch mag ein für die Verwirkung erforderliches Zeitmoment zwischen dem 23. August 2019 und dem 21. Dezember 2020 entstanden sein. Ein darüber hinaus erforderliches Umstandsmoment ist jedoch weder vorgetragen noch ersichtlich. Da sich die beiden Schreiben nicht nur mit Art. 15 DSGVO, sondern auch mit der Rückgängigmachung der Versetzung und der Entfernung der Abmahnung aus der Personalakte des Klägers beschäftigten, war es für eine vollständige Sachverhaltsdarstellung erforderlich, diese der Klageschrift beizufügen. Denn in der Klageschrift ging es zunächst (nur) um diese beiden Sachverhalte.

Angesichts des offensichtlich nicht vollständig erfüllten Auskunftsanspruchs bedurfte es entgegen der Ansicht der Beklagten auch keines Hinweises des Klägers, dass der Anspruch mit dem Schreiben vom 23. August 2019 nicht erfüllt sei.

7. Dem Kläger ist in Anbetracht der Pflichtverstöße der Beklagten nach richterlichem Ermessen gem. § 287 Abs. 1 ZPO ein immaterieller Schadensersatz in Höhe von 2.000,-- Euro zuzusprechen.

Die Schadensersatzansprüche sollen, worauf auch das LAG Niedersachsen in dem Urteil vom 22. Oktober 2021 – 16 Sa 761/20 unter Bezugnahme auf Entscheidungen anderer Gerichte hingewiesen hat, generell eine Abschreckungswirkung haben. Unter Berücksichtigung des Erwägungsgrundes 146 Satz 6 zur DSGVO soll die betroffene Person einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten. Verstöße müssen effektiv sanktioniert werden. Schadenersatz bei Datenschutzverstößen sollen eine abschreckende Wirkung haben, um der Datenschutzgrundverordnung zum Durchbruch zu verhelfen.

Gemessen an der Zweckrichtung des Schadensersatzes hält die Kammer unter Berücksichtigung und Abwägung der Umstände des vorliegenden Falls einen immateriellen Schadensersatz in Höhe von 1.000,-- Euro je unvollständig beantwortetem Auskunftsverlangen für angemessen. Hierbei ist zu berücksichtigen, dass die Auskunft der Beklagten offensichtlich unvollständig erfolgte. Auch nach der Klageerweiterung vom 21. Dezember 2020 hat die Beklagte die Auskunft nicht vervollständigt. Durch die unzureichende Auskunft hatte der Kläger keine umfassende Kenntnis über die Verarbeitung seiner personenbezogenen Daten durch die Beklagte bei zwei für ihn nachteiligen Sachverhalten (Versetzung und Abmahnung).

Durch einen Schadenersatz von jeweils 1.000,-- EUR wird ausreichend sichergestellt, dass durch die Zahlung eines spürbaren Betrages der Regelung des Art. 15 DSGVO zur Geltung verholfen wird und die Verpflichteten angehalten werden, die entsprechenden Maßgaben einzuhalten.


Den Volltext der Entscheidung finden Sie hier:



LG Leipzig: Kein Anspruch auf Schadensersatz aus Art. 82 DSGVO bei verspäteter Auskunftserteilung nach Art. 15 DSGVO

LG Leipzig
Urteil vom 23.12.2021
03 O 1268/21


Das LG Leipzig hat entschieden, dass regelmäßig kein Anspruch auf Schadensersatz aus Art. 82 DSGVO bei verspäteter Auskunftserteilung nach Art. 15 DSGVO besteht.

Aus den Entscheidungsgründen:

9. Der Schmerzensgeldanspruch der Beklagten war demgegenüber im Ergebnis nicht zuzusprechen.

Soweit zwischenzeitlich mit Verfügung vom 4.11.2021 eine abweichende Ansicht vertreten wurde, wird hieran nicht festgehalten. Auf diese Möglichkeit wurde im Termin zur Vermeidung eines Überraschungsurteils ausdrücklich hingewiesen.

Nach Art. 82 Abs. 1 DS - GVO hat jede Person, der wegen eines Verstoßes gegen die DS - GVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder den Auftragsverarbeiter. Auszugleichen sind hiernach ausdrücklich auch immaterielle Schäden.

In der Literatur wird unter Geltung der DS - GVO überwiegend für eine Absenkung der Voraussetzungen für die Gewährung immateriellen Schadensersatzes und für eine Verschärfung der Haftung mit deutlich höheren Beträgen gegenüber den bisherigen plädiert. Dies folge aus dem weiten Schadensbegriff der DS - GVO sowie daraus, dass der EuGH bei der Wahl zivilrechtlicher Sanktionen zur Umsetzung von Unionsrecht generell eine abschreckende Wirkung verlange. Insbesondere dürfe der zugesprochene Schadensersatz nicht nur symbolisch sein. Auch dürfe die Gewährung immateriellen Schadensersatzes nicht mehr von einer schwerwiegenden Persönlichkeitsrechtsverletzung abhängig gemacht werden. Die abschreckende Wirkung zivilrechtlicher Sanktionen sei nur zu erreichen, wenn entsprechend hohe Beträge ausgeurteilt würden (vgl. hierzu die Nachweise bei Eichelberger, WRP 2021, 159 ff.).

Hiervon unabhängig kann als gesichert gelten, dass das Unionsrecht die Mitgliedsstaaten grundsätzlich nicht zu überkompensatorischem Schadensersatz verpflichtet.

Allein der Verstoß gegen die DS - GVO reicht für sich genommen noch nicht aus, einen Schadensersatzanspruch auszulösen.

Ohne Schaden gibt es keinen Schadensersatzanspruch (vgl. hierzu Eichelberger a.a.O.). Vielmehr muss dem von einem Datenschutzverstoß Betroffenen ein spürbarer Nachteil entstanden sein. Es muss eine objektiv nachvollziehbare, mit gewissem Gewicht erfolgte, Beeinträchtigung von persönlichkeitsbezogenen Belangen vorliegen. Die Beeinträchtigung muss von einer gewissen Erheblichkeit sein.

Einen normativen Anknüpfungspunkt hierzu gibt die DS - GVO in ihren Erwägungsgründen 75 und 85. Im Anschluss an die beispielhafte Aufzählung möglicher - hier nicht geltend gemachter - Beeinträchtigungen durch Datenschutzverletzungen (Diskriminierung, Identitätsdiebstahl oder - betrug, Rufschädigung, Verlust der Vertraulichkeit von einem Berufsgeheimnis unterliegenden Daten) ist dort ergänzend allgemein von anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen die Rede (vgl. hierzu Eichelberger a.a.O.).

Demzufolge kann die Beklagte keine Entschädigung für eine verspätete Datenauskunft sowie für die bislang noch nicht vollständig erteilte Datenauskunft von der Klägerin beanspruchen.

Allein der Umstand, dass die Beklagte auf die (vollständige) Datenauskunft noch warten muss, kann keinen ersatzfähigen Schaden begründen.

Es muss auch bei einem immateriellen Schaden eine Beeinträchtigung eingetreten sein, die unabhängig von einer Erheblichkeitsschwelle wenigstens spürbar sein muss. Anderenfalls scheidet ein Schaden schon begrifflich aus (so auch LG Bonn, Urteil vom 01.07.2021, Az.: 15 O 372/20).

Die im Erwägungsgrund 75 der DS - GVO genannten immateriellen Nachteile, wie eine Diskriminierung, ein Identitätsdiebstahl, ein Identitätsbetrug, eine Rufschädigung, ein Verlust der Vertraulichkeit oder sonstige gesellschaftliche Nachteile sind der Beklagten durch die Führung der Handakten durch die von ihr beauftragten Rechtsanwälte in den familiengerichtlichen Verfahren unstreitig nicht erwachsen.

Demzufolge scheidet auch die Zusprechung eines Schmerzensgeldes im Streitfall für die bislang nicht erteilte Datenauskunft nach Art. 15 Abs. 3 DS - GVO aus.

Für diese Erkenntnis bedurfte es keiner Vorlage an den EuGH nach Art. 267 Abs. 3 AEUV. Zum einen entscheidet die Kammer nicht als letztinstanzliches, sondern als erstinstanzliches Gericht, wonach eine Verpflichtung zur Vorlage an den EuGH nicht besteht.

Zum anderen stützt die Kammer ihr Verständnis von der Auslegung des Art. 82 Abs. 1 DS - GVO auf den Erwägungsgrund 75 der DS - GVO, mithin auf die europarechtliche Norm selbst. Unabhängig hiervon erscheint es nicht zielführend, dass jedes Instanzgericht bei Entscheidungen auf der Grundlage der DS - GVO den EuGH mit einem Vorabentscheidungsersuchen bemüht. Sinnvoller erscheint es, dass das letztinstanzliche nationale Gericht die Entscheidung der Instanzgerichte zu Art. 82 Abs. 1 DS - GVO sammelt und in deren Auswertung darüber befindet, ob und wenn ja mit welchen Vorlagefragen es den EuGH nach Art. 267 Abs. 3 AEUV bemüht.


Den Volltext der Entscheidung finden Sie hier:


LG Mainz: Schadensersatzanspruch in Höhe von 5.000 EURO aus Art. 82 DSGVO wegen unberechtigtem Schufa-Eintrag

LG Mainz
Urteil vom 12.11.2021
3 O 12/20


Das LG Mainz hat in diesem Fall Schadensersatzanspruch in Höhe von 5.000 EURO aus Art. 82 DSGVO wegen eines unberechtigten Schufa-Eintrags zugesprochen.

Aus den Entscheidungsgründen:

Auf den Klageantrag zu 4. sind dem Kläger 5.000,- € zuzusprechen.

Der Antrag ist dahin gehend zu verstehen, dass lediglich die Beklagte (im Singular), nicht die Beklagten (im Plural) zu verurteilen sind. Soweit der Antrag auf die Verurteilung mehrerer Beklagter gerichtet ist, handelt es sich angesichts des Umstandes, dass im Verfahren immer nur eine Beklagte in Anspruch genommen worden ist, um ein offenkundiges Schreibversehen.

Die Beklagte hat dem Kläger Schadenersatz zu leisten in Höhe von 5.000,- €. Soweit der Kläger darüber hinaus Schadenersatz in Höhe von insgesamt 10.000,- € geltend macht, ist die Klage unbegründet, weil weder ein erstattungsfähiger materieller Schaden hinreichend dargelegt und bewiesen ist, noch der festzustellende immaterielle Schaden einen Ersatzanspruch von mehr als 5.000,- € rechtfertigt.

a. Ein Anspruch des Klägers gegen die Beklagte auf Schadenersatz ist in Höhe von 5.000,- € aus Art. 82 DSGVO begründet.

Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.

Die Ersteinmeldung der Beklagten an die SCH. Holding AG vom 16.07.2019 war ein "Verstoß gegen diese Verordnung“ im Sinne des Art. 82 Abs. 1 DSGVO. Nach Erwägungsgrund 146 genügt entgegen dem Wortlaut von Art. 82 Abs. 1 DSGVO auch ein Verstoß gegen die erlassenen delegierten Rechtsakte und Durchführungsrechtsakte sowie präzisierenden Rechtsvorschriften der Mitgliedstaaten (so ausdrücklich Erwägungsgrund 146 zur DSGVO; vgl. ferner Wolff/Brink, BeckOK Datenschutzrecht, 37. Ed. Stand 01.08.2021, Art. 82 DSGVO Rın. 15; Ehrmann/Selmayr DSGVO, 2. Aufl. 2018, Art 82 Rn 9), so dass es nicht darauf ankommt, ob sich vorliegend die Unzulässigkeit der Ersteinmeldung aus der DSGVO selbst oder aus den präzisierenden Rechtsvorschriften des nationalen Rechts ergibt. Dass die Einmeldung als solche rechtswidrig war, ist bereits festgestellt worden.

Es ist der Beklagten auch nicht gelungen, im Sinne des Art. 82 Abs. 3 DSGVO nachzuweisen, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. „Verantwortung“ meint hier das Verschulden im Sinne der deutschen Rechtsterminologie, nicht die datenschutzrechtliche Verantwortung (Wolff/Brink, BeckOK Datenschutzrecht, 37. Ed. Stand 01.08.2021, Art 82 DSGVO Rn. 17). Ausreichend ist Vorsatz oder Fahrlässigkeit (Ehrmann/Selmayer, DSGVO, 2. Aufl. 2018, Art 82 Rn 14). Das Verschulden wird nach dem insoweit eindeutigen Wortlaut des Art. 82 Abs. 3 DSGVO vermutet (Beweislastumkehr, Wolff/Brink, BeckOK Datenschutzrecht, 37. Ed. Stand 01.08.2021, Art 82 DSGVO Rn 17; Ehrmann/Selmayr DSGVO, 2. Aufl. 2018, Art 82 Rn 4, 19). Die mithin zur Meidung einer Haftung erforderliche Exkulpation ist der Beklagten nicht gelungen. Sie hatte keine tragfähigen Anhaltspunkte für die Beurteilung der Frage, ob der Mahnbescheid dem Kläger wirksam zugestellt oder dem Kläger sonst in der gebotenen Weise rechtliches Gehör gewährt worden war, ob ihm etwa die Mahnschreiben der Beklagten einschließlich insbesondere der Ankündigung, ggf. die Forderung an die SCH. Holding AG zu melden, tatsächlich zugegangen waren. Unter diesen Umständen hätte die Beklagte die ihr obliegenden Sorgfaltspflichten nur erfüllt, wenn sie vorsorglich zusätzlich eine kurze Karenzfrist nach Erlass des Titels abgewartet hätte.

Der Kläger hat durch die Ersteinmeldung der Beklagten an die SCH. Holding AG vom 16.07.2019 zwar keinen von ihm bezifferten materiellen Schaden erlitten. Er behauptet, er habe aufgrund des Negativeintrages „massive wirtschaftliche Konsequenzen und Nachteile, die bis jetzt andauerten“, ohne konkret darzutun, in welcher Hinsicht und in welchem Umfang es über eine bloße Vermögensgefährdung hinaus zu einer konkreten Vermögensbeeinträchtigung gekommen sein soll.

Der Kläger hat jedoch einen nach Art. 82 DSGVO gleichfalls ersatzfähigen immateriellen Schaden erlitten. Voraussetzung für einen Schadenersatzanspruch für immaterielle Schäden nach Art. 82 Abs. 1 DSGVO ist eine benennbare und tatsächliche Persönlichkeitsverletzung. Die in der bisherigen deutschen Rechtsprechung für Schmerzensgeld geforderte Voraussetzung einer schwerwiegenden Persönlichkeitsverletzung verträgt sich hingegen nicht mit Art. 82 Abs. 2 DSGVO; sie ist weder vorgesehen noch von dessen Ziel und Entstehungsgeschichte gedeckt, der Anspruch ist hiervon grundsätzlich unabhängig. Die schwerwiegende Persönlichkeitsverletzung kann vor diesem Hintergrund auch nicht als untere Grenze einer Schmerzensgeldhöhe wieder eingelesen werden. Vielmehr ist der immaterielle Schaden umfassend zu ersetzen. Eine schwerwiegende Persönlichkeitsverletzung wird regelmäßig zu einem hohen Schmerzensgeld führen (Wolff/Brink, BeckOK Datenschutzrecht, 37. Ed. Stand 01.08.2021, Art. 82 DSGVO Rn. 32). Mit dieser Einschränkung gelten für den immateriellen Schadenersatz nach Art. 82 Abs. 2 DSGVO die im Rahmen von § 253 BGB entwickelten Grundsätze; die Ermittlung obliegt dem Gericht nach 8 287 ZPO (Wolff/Brink, BeckOK Datenschutzrecht, 37. Ed. Stand 01.08.2021, Art. 82 DSGVO Rn. 31). Bei der Bemessung des „vollständigen und wirksamen Schadenersatzes für den erlittenen Schaden“ (Erwägungsgrund 146 zur DSGVO) ist auch die Genugtuungs- und Abschreckungsfunktion des Anspruchs aus Art. 82 DSGVO zu berücksichtigen.

Der Kläger hat plausibel und im Kern unbestritten dargelegt, durch den SCH.-Eintrag eine massive Beeinträchtigung seines sozialen Ansehens im Sinne der Einschätzung seiner Kreditwürdigkeit durch Dritte erlitten zu haben. Die Beklagte hat lediglich die weitere Behauptung des Klägers in Abrede gestellt, die konkret in Rede stehende Einmeldung der Beklagten an die SCH. Holding AG sei auch ursächlich dafür gewesen, dass dem Kläger Kreditkarten gesperrt worden seien und dass seineImmobilienfinanzierung gefährdet gewesen sei. Für diese damitverbundene Verletzung des allgemeinen Persönlichkeitsrechts des Klägers erachtet die Kammereinen Schadenersatzanspruch von 5.000,- € als angemessen, aber auch ausreichend.


Den Volltext der Entscheidung finden Sie hier:

LAG Hannover: 1.250 EURO Schadensersatz aus Art. 82 DSGVO für verspätete Auskunftserteilung gemäß Art. 15 DSGVO - keine Erheblichkeitsschwelle für Anspruch

LAG Hannover
Urteil vom 22.10.2021
16 Sa 761/20


Das LAG Hannover hat in diesem Fall einem Arbeitnehmer im Rahmen einer Kündigungsschutzklage 1.250 EURO Schadensersatz aus Art. 82 DSGVO für eine verspätete Auskunftserteilung gemäß Art. 15 DSGVO zugesprochen. Das Gericht ist dabei der Ansicht, dass ein solcher Anspruch nicht das Überschreiten einer Erheblichkeitsschwelle voraussetzt.

Aus den Entscheidungsgründen:

Ein Anspruch des Klägers auf Ersatz des immateriellen Schadens folgt aus Art. 82 Abs. 1 DS-GVO. Danach hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Diese Voraussetzungen liegen vor.

(1) Der Kläger ist anspruchsberechtigt. Er gehört zu den von Art. 82 Abs. 1 DS-GVO geschützten betroffenen Personen iSv. Art. 4 Nr. 1 DS-GVO als diejenige Person, auf die sich die Daten beziehen, welche verarbeitet werden (vgl. EuArbRK/Franzen, 3. Aufl. 2020, DS-GVO Art. 82 Rn. 3). Vorliegend geht es um die Datenverarbeitung in Bezug auf den Kläger im Rahmen des Arbeitsverhältnisses mit der Beklagten und iZm. der sog. „Dieselaffäre“. Insoweit ist der Kläger eine betroffene Person.

(2) Die Beklagte ist anspruchsverpflichtet. Gemäß Art. 82 Abs. 1 Satz 1 DS-GVO haftet jeder an einer Verarbeitung beteiligte Verantwortliche für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. Hierunter zu fassen sind die Verantwortlichen nach Art. 4 Nr. 7 DS-GVO (vgl. EuArbRK/Franzen, 3. Aufl. 2020, DS-GVO Art. 82 Rn. 6). Dies ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Danach ist die Beklagte als juristische Person und Arbeitgeberin des Klägers Verantwortliche, da sie die personenbezogenen Daten verarbeitet.

(3) Ein Verstoß gegen diese Verordnung iSd. § 82 Abs. 1 DS-GVO ist gegeben. Hierbei ist jeglicher Verstoß gegen eine Vorschrift der DS-GVO einschließlich der Formvorschriften ausreichend (hM - vgl. EuArbRK/Franzen, 3. Aufl. 2020, DS-GVO Art. 82 Rn. 10; Kühling/Buchner/Bergt, 3. Aufl. 2020, DS-GVO Art. 82 Rn. 23; Paal/Pauly/Frenzel, 3. Aufl. 2021, DS-GVO Art. 82 Rn. 8, jeweils mwN).

(a) Ein solcher ist jedoch nicht in der möglicherweise fehlerhaften Auskunftserteilung im Jahr 2016 und der Übermittlung der Personalakte Ende des Jahres 2016 und weiterer Unterlagen an unterschiedliche Stellen in den USA vor dem 25.05.2018 zu erblicken.

(aa) Zwar tritt die DS-GVO gem. Art. 99 Abs. 1 DS-GVO am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft. In Anbetracht der am 04.05.2016 erfolgten Veröffentlichung war dies der 25.05.2016. Sie gilt nach Art. 99 Abs. 2 DS-GVO jedoch ab dem 25.05.2018. Die DS-GVO ist im Übergangszeitraum aber noch nicht anwendbar und datenverarbeitende Stellen (Verantwortliche und Auftragsverarbeiter) oder Betroffene können sich noch nicht auf sie berufen. Die Artikel der DS-GVO beanspruchen erst ab dem 25.5.2018 Gültigkeit (Gola DS-GVO/Piltz, 2. Aufl. 2018, DS-GVO Art. 99 Rn. 5).

(bb) Vor diesem Hintergrund sind etwaige datenschutzrechtliche Verstöße der Beklagten, die vor dem 25.05.2018 erfolgten, nicht geeignet, einen Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO zu begründen. Es handelte sich bei der Übertragung der Personalakte und weiterer Unterlagen und der ggf. unzureichenden bzw. fehlerhaften Beantwortung des Auskunftsbegehrens des Klägers auch um bereits abgeschlossene Handlungen der Beklagten. Diese Pflichtverletzungen wirken nicht fort, sind daher nicht seit dem 25.05.2018 auf Grundlage der Vorschriften der DS-GVO zu beurteilen und können zu keinen kausalen Schäden iSd. Art. 82 DS-GVO führen. Die Datenübermittlung ist ein Akt, der sich in der Weitergabe der Daten erschöpft. Das Verbleiben der Daten bei der Stelle, an welche die Übermittlung erfolgte, ist nicht mehr zu der Übermittlung selbst zu zählen, sondern eine Folge davon. Auch die Beantwortung des Auskunftsbegehrens ist abgeschlossen, indem die Beklagte entsprechende Mitteilungen tätigte. Es kann nicht davon ausgegangen werden, dass ein Rechtsverstoß bei einer Datenverarbeitung vor dem Geltungszeitpunkt der DS-GVO die fortgesetzte Datenverarbeitung „infiziert“ und zu einem Schadensersatzanspruch führt (LAG Baden-Württemberg 25. Februar 2021 – 17 Sa 37/20 – Rn. 85; Kühling/Buchner/Bergt, 3. Aufl. 2020, DS-GVO Art. 82).

(b) Die Beklagte hat ihre Pflichten iZm. dem Auskunftsersuchen des Klägers nach Art. 15 Abs. 1 DS-GVO verletzt. Der Auskunftsanspruch nach Art. 15 DS-GVO besteht auch in einem Arbeitsrechtsverhältnis. Die allgemeinen Bestimmungen der DS-GVO enthalten eine Vollregelung, auch zum Beschäftigtendatenschutz (LAG Baden-Württemberg 20. Dezember 2018 – 17 Sa 11/18 – Rn. 172). Nach Art. 15 Abs. 1 DS-GVO hat die betroffene Person das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf bestimmte, in der Norm aufgezählte Informationen. Der Kläger hat mit Schriftsatz vom 09.08.2018 ein solches Auskunftsbegehren gegenüber der Beklagten geltend gemacht und dieses auf die Daten, die bezüglich des Klägers im Zusammenhang mit der „vermeintlichen Diesel-Affäre“ gespeichert sind, beschränkt. Mit Schreiben vom 27.09.2018 hat er dieses Begehren konkretisiert. Dieses Auskunftsverlangen ist mit Schreiben der Beklagten vom 15.10.2018 nur unvollständig beantwortet worden.

(aa) Der Umfang der Auskunft wird nicht einheitlich beurteilt.

Gemäß Art. 4 Nr. 1 Hs. 1 DS-GVO sind „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Nach dieser Definition und der Rechtsprechung des EuGH ist der Begriff weit zu verstehen. Er ist nicht auf sensible oder private Informationen beschränkt, sondern umfasst potenziell alle Arten von Informationen sowohl objektiver als auch subjektiver Natur in Form von Stellungnahmen oder Beurteilungen, unter der Voraussetzung, dass es sich um Informationen über die in Rede stehende Person handelt. Die letztgenannte Voraussetzung ist erfüllt, wenn die Information aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer bestimmten Person verknüpft ist (BGH 15. Juni 2021 – VI ZR 576/19 – Rn. 22 mit Verweis auf EuGH 20. Dezember 2017 – C-434/16). Der Personenbezug im Rahmen von Art. 15 DS GVO setzt nicht voraus, dass es um „signifikante biografische Informationen“ gehe, die „im Vordergrund“ des fraglichen Dokuments stünden (BGH 15. Juni 2021 – VI ZR 576/19 – Rn. 22). Die umfasst auch Korrespondenzen mit Dritten sowie interne Vermerke oder interne Kommunikation, soweit auf die Person des Klägers bezogene Daten enthalten sind (BGH 15. Juni 2021 – VI ZR 576/19 – Rn. 26, 27). Auch solche Aussagen, die eine subjektive und/oder objektive Einschätzung zu einer identifizieren oder identifizierbaren Person liefern, weisen einen Personenbezug auf (OLG Köln 26. Juli 2019 – 20 U 75/18 – Rn. 62).Rechtliche Analysen können zwar personenbezogene Daten enthalten, die auf der Grundlage dieser personenbezogenen Daten vorgenommene Beurteilung der Rechtslage selbst stellt aber keine Information über den Betroffenen und damit kein personenbezogenes Datum dar(BGH 15. Juni 2021 – VI ZR 576/19 – Rn. 28 mit Verweis auf EuGH 17. Juli 2014 – C-141/12 und C-372/12 – Rn. 39 ff.).

Nach anderer Ansicht bezieht sich der Auskunftsanspruch aber nicht auf sämtliche internen Vorgänge der Beklagten, wie z.B. Vermerke, oder darauf, dass die betreffende Person sämtlichen gewechselten Schriftverkehr, der dem Betroffenen bereits bekannt ist, erneut ausgedruckt und übersendet erhalten kann. Der Anspruch aus Art. 15 DS-GVO dient nicht der vereinfachten Buchführung des Betroffenen, sondern soll sicherstellen, dass der Betroffene den Umfang und Inhalt der gespeicherten personenbezogenen Daten beurteilen kann (LG Köln 19. Juni 2019 – 26 S 13/18 – Rn. 23).

Die Kammer folgt der Ansicht, wonach die Auskunftspflicht nach Art. 15 Abs. 1 DS-GVO einem weitreichenden Verständnis unterliegt. Der Wortlaut der Norm gibt keinen Anlass, eine Einschränkung vorzunehmen. Vielmehr bezieht sich die Vorschrift uneingeschränkt auf personenbezogene Daten. Auch Erwägungsgrund 63 Satz 1 verweist umfassend auf ein Auskunftsrecht hinsichtlich der personenbezogenen Daten mit dem Zweck, sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit zu überprüfen. Insoweit ist auf die Definition in Art. 4 Ziff. 1 DS-GVO abzustellen, wonach es sich bei den personenbezogenen Daten um alle Informationen handelt, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Nur bei einem weiten Verständnis der personenbezogenen Daten ist es der betroffenen Person möglich, zweckentsprechend die Rechtmäßigkeit der Verarbeitung zu überprüfen.

(bb) Dementsprechend wurde durch die Beklagte keine umfassende Auskunft erteilt, da sie keine abstrakte Zusammenstellung aller verarbeiteten, personenbezogenen Daten des Klägers enthält. Die Beklagte verwies in ihrem Schreiben vom 15.10.2018 auf die in der Anlage 2 übermittelten, teils unkenntlich gemachten Dokumente, die Gegenstand der Auflistung der Anlage 3 sind. Sie verwies weiter darauf, dass darüber hinausgehend Dokumente existieren, die wegen Art. 15 Abs. 4 DS-GVO nicht als Kopien in Anlage 2 enthalten sind. Diese wurden dementsprechend auch nicht aufgelistet. Ferner wurden nach Mitteilung in der Auskunft keine Dokumente beigefügt, in denen die relevanten Informationen weiterverwendet wurden – bspw. in Bewertungen der Rechtsabteilung. Insofern ist erkennbar, dass die Auskunft sich nicht auf alle relevanten Informationen erstreckte, da die Beklagte schon nicht mitteilte, in welchen weiteren Dokumenten personenbezogene Daten des Klägers enthalten sind, die weder aufgelistet waren noch beigefügt. Die Beklagte selbst trägt vor, dass Informationen aufgrund eines überwiegenden Interesses Dritter nicht beauskunftet werden konnten.

(cc) Dass die Beklagte zu einer eingeschränkten Auskunft berechtigt war, ergibt sich aus ihren Darlegungen nicht hinreichend. Die Beklagte beruft sich insoweit auf entgegenstehende Rechte und Freiheiten anderer Personen - auch der Beklagten selbst - und den Schutz von Betriebs- und Geschäftsgeheimnissen.

(aaa) Nach § 34 Abs. 1 BDSG iVm. § 29 Abs. 1 Satz 2 BDSG besteht das Recht auf Auskunft der betroffenen Person gemäß Artikel 15 der Verordnung (EU) 2016/679 nicht, soweit durch die Auskunft Informationen offenbart würden, die nach einer Rechtsvorschrift oder ihrem Wesen nach, insbesondere wegen der überwiegenden berechtigten Interessen eines Dritten, geheim gehalten werden müssen.

Nach Art. 15 Abs. 4 DS-GVO darf das Recht auf Erhalt einer Kopie die Rechte und Freiheiten anderer Personen nicht beeinträchtigen. Ob sich Art. 15 Abs. 4 DS-GVO allein auf die Herausgabe von Kopien bezieht oder auch den aus Art. 15 Abs. 1 DS-GVO folgenden Auskunftsanspruch umfasst (so: Paal/Pauly/Paal, 3. Aufl. 2021, DS-GVO Art. 15 Rn. 41; Sydow, Europäische Datenschutzgrundverordnung, 2. Aufl. 2018, DSGVO Art. 15 Rn. 22), kann dahingestellt bleiben, auch wenn grds. auch der Verantwortliche selbst dem Anwendungsbereich des Art. 15 Abs. 4 DS-GVO unterfällt (vgl. Kühling/Buchner/Bäcker, 3. Aufl. 2020, DS-GVO Art. 15 Rn. 42).

Bezüglich beider Vorschriften ist nicht ersichtlich, dass die Voraussetzungen vorliegen.

(bbb) Dass die Beklagte berechtigt war, die entsprechenden Auskünfte zu verweigern, hat sie nicht hinreichend vorgetragen.

(aaaa) Inwieweit tatsächlich fremde Rechte der reinen Informationserteilung entgegenstehen können (was von Erwägungsgrund 63 zumindest angedeutet wird), ist in Ansehung des vorbehaltlos gewährleisteten Art. 8 Abs. 2 S. 2 GRCh in jedem Einzelfall und nach strengen Maßstäben kritisch zu prüfen (Gola DS-GVO/Franck, 2. Aufl. 2018, DS-GVO Art. 15). Soweit die Verpflichtete mit dem Hinweis auf schützenswerte Interessen Dritter den Auskunftsanspruch verweigert, ist sie für die maßgeblichen Umstände in der Darlegungslast (vgl. LAG Baden-Württemberg 20. Dezember 2018 – 17 Sa 11/18 – Rn. 183; LAG Baden-Württemberg 17. März 2021 – 21 Sa 43/20 – Rn. 32). Gegenläufige Rechte und Freiheiten schließen das Recht auf eine Datenkopie allerdings nur in einer konkreten Kollisionslage aus, für die der Verantwortliche die Beweislast trägt. Die stets begründbare allgemeine Besorgnis, dass die betroffene Person mit hinreichendem Zusatzwissen aus der Datenkopie auf sensible Informationen schließen könnte, reicht nicht aus (Kühling/Buchner/Bäcker, 3. Aufl. 2020, DS-GVO Art. 15). Bei der Darlegung im Prozess wird verlangt, dass dafür Sorge getragen werden müsse, dass die Darlegungen nicht so weit gehen müssen, als dass aus der Darstellung des Hinderungsgrundes für den Arbeitnehmer die gewünschten Informationen zu entnehmen sind (Fuhlrott, NZA-RR 2019, 242 (252)).

(bbbb) Diesen Anforderungen genügt der Vortrag der Beklagten nicht, ein die Einschränkungen hinreichend begründender Tatsachenvortrag ist nicht erfolgt. Die Beklagte hat pauschal vorgetragen, dass Daten oder Informationen wegen der Beschränkungen des Art. 15 Abs. 4 DS-GVO zurückgehalten wurden, dass eine Auskunft über die Verarbeitung durch die Rechts- und Compliance-Abteilungen in Form der rechtlichen Bewertungen, Analysen, Gutachten und Vermerke nicht erfolgte. Zudem sei ein Schutz von Geschäfts- und Betriebsgeheimnissen auch über § 29 Abs. 1 Satz 2 BDSG gerechtfertigt und auch ihre eigenen Rechte seien im Rahmen des Art. 15 Abs. 4 DS-GVO zu berücksichtigen und vor diesem Hintergrund sei ein Zurückhalten der Daten gerechtfertigt. Schließlich machte die Beklagte eine Einschränkung im Hinblick auf das arbeitsgerichtliche Verfahren zwischen den Parteien geltend.

Dieser Vortrag ist in der vorgenommenen Pauschalität jedoch nicht nachprüfbar. Inwieweit in diesem Zusammenhang ein berechtigtes entgegenstehendes Interesse Dritter oder Betriebsgeheimnisse es im Einzelnen notwendig machten, die Auskunft nicht vorzunehmen, begründete die Beklagte nicht mit konkretem Tatsachenvortrag. Dementsprechend ist mangels Vortrages nicht nachvollziehbar, erwiderungsfähig oder überprüfbar, ob berechtigte Ausnahmen einer Auskunftserteilung entgegenstehen. Jedenfalls in Grundzügen wäre von der Beklagten zu verlangen, dass sie Vortrag leistet, aus dem sich ergeben kann, dass das Auskunftsbegehren mit den Rechten und Freiheiten Dritter, ihren eigenen Belangen oder Geschäftsgeheimnissen kollidiert. Es müsste wenigstens ein gewisser diesbezüglicher Mindestvortrag erfolgen. Anderenfalls könnte allein durch die bloße Behauptung, die Voraussetzungen der Ausnahmeregelungen liegen vor, die Auskunft – teilweise – verweigert werden. Die Beklagte hätte beispielsweise benennen können, um welche Informationen es sich handelt und stichwortartig unter zeitlicher Eingrenzung umschreiben können, was Gegenstand dieser ist, ohne den genauen Inhalt wiedergeben zu müssen. Die Beklagte belässt es jedoch dabei auszuführen, dass weitere Auskünfte nicht erteilt und Unterlagen nicht zur Verfügung gestellt würden, ohne dass auch nur im Ansatz ersichtlich ist, worauf die Beklagte sich bezieht. Weder nach der Anzahl noch dem Gegenstand der Informationen hat die Beklagte eine Konkretisierung vorgenommen.

(dd) Der Beklagten stand kein Verweigerungsrecht nach Art. 12 Abs. 5 Satz 2 lit. b DS-GVO zu, wobei dahingestellt bleiben kann, ob diese Regelung auf die Ansprüche aus Art. 15 DS-GVO übertragbar ist. Der Antrag des Klägers war nicht offensichtlich unbegründet, exzessiv oder rechtsmissbräuchlich. Dass dem Kläger ein Antragsrecht nach Art. 15 DS-GVO zustand, steht zwischen den Parteien nicht im Streit. Zudem scheidet eine exzessive Nutzung des Antragsrechts aus. Exzessiv ist eine Antragstellung insbes. dann, wenn sie ohne tragfähigen Grund häufig wiederholt wird oder einen unverhältnismäßigen Umfang aufweist (Paal/Pauly/Paal/Hennemann, 3. Aufl. 2021, DS-GVO Art. 12 Rn. 64). Es sollen rechtsmissbräuchliche Anträge unterbunden werden, die ua vornehmlich auf die Schikanierung des Verantwortlichen abzielen (Paal/Pauly/Paal/Hennemann, 3. Aufl. 2021, DS-GVO Art. 12 Rn. 66). Dies ist nicht der Fall. Der Kläger stellte 2016 und 2018 jeweils einen Auskunftsantrag, so dass bereits die Häufigkeit nicht für eine exzessive Nutzung spricht. Es ist zudem zu berücksichtigen, dass der Kläger seinen Auskunftsanspruch explizit auf die iZm. der „Dieselaffäre“ verarbeiteten Daten bezog und nicht auf alle, während der gesamten Dauer des Arbeitsverhältnisses erhobenen Daten richtete. Dem Kläger war daher nicht daran gelegen, die Beklagten mit unverhältnismäßigem Aufwand zu belasten, sondern er nahm seine Rechte zielgerichtet im Rahmen seiner Interessen wahr. Auch ein rechtsmissbräuchliches Vorgehen des Klägers ist nicht ersichtlich. Dass das Auskunftsverlangen darauf gerichtet war, die Beklagte auszuforschen, vermutet sie in Anbetracht des zeitlichen Zusammenhangs mit der Anhörung zum Kündigungssachverhalt. Dies kann für den Kläger jedoch auch nur Anlass gewesen sein, über die Verarbeitung seiner personenbezogenen Daten Auskunft zu begehren, um deren Rechtmäßigkeit beurteilen zu können.

(ee) Ein Verweigerungsrecht wegen unverhältnismäßigen Aufwands ist nicht gegeben. Ein solches ist in Art. 15 DS-GVO nicht ausdrücklich normiert, jedoch anerkannt (Gola DS-GVO/Franck, 2. Aufl. 2018, DS-GVO Art. 15 Rn. 38). Vorliegend ist zu berücksichtigen, dass der Kläger sein Auskunftsverlangen präzisiert und damit die Möglichkeit, die in Erwägungsgrund 63 aE niedergelegt ist, bereits wahrgenommen hat. Der Kläger verlangt gerade nicht Auskunft über alle im Rahmen des gesamten Arbeitsverhältnisses verarbeiteten Daten, sondern grenzt sein Begehren auf diejenigen ein, die mit der „Diesel-Thematik“ im Zusammenhang stehen.

(c) Die Beklagte hat nicht gegen ihre Verpflichtungen nach Art. 15 Abs. 3 Satz 1 DS-GVO verstoßen, indem sie zu einem Großteil geschwärzte Unterlagen und Kopien an den Kläger übermittelte. Gemäß Art. 15 Abs. 3 Satz 1 DS-GVO stellt der Verantwortliche eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung. Der Kläger hat in seinem Schreiben vom 27.09.2018 ausdrücklich auch auf die Pflicht zur Verfügungstellung von Kopien der personenbezogenen Daten hingewiesen.

(aa) Die Reichweite des Art. 15 Abs. 3 Satz 1 DS-GVO ist streitig.

Nach einer Ansicht soll der Anspruch auf Erteilung einer Kopie über die personenbezogenen Daten auf diejenigen bezogen sein, auf die sich auch das Auskunftsrecht nach Art. 15 Abs. 1 DS-GVO bezieht (vgl. LAG Niedersachsen 9. Juni 2020 – 9 Sa 608/19 - Rn. 45; LAG Baden-Württemberg 17. März 2021 – 21 Sa 43/20 – Rn. 29; Paal/Pauly/Paal, 3. Aufl. 2021, DS-GVO Art. 15 Rn. 33, ArbG Bonn 16. Juli 2020 – 3 Ca 2026/19 – Rn. 56). Nach der anderen Auffassung widerspreche eine solche Auslegung dem der DS-GVO zugrunde liegenden weit gefassten Begriff der personenbezogenen Daten und dem Sinn und Zweck des Art. 15 Abs. 3 Satz 1 DS-GVO (vgl. OVG Münster 8. Juni 2021 – 16 A 1582/20 – Rn. 73 ff.; OLG München 4. Oktober 2021 – 3 U 2906/20 – Rn. 20), die Datenkopie soll nicht identisch mit der Auskunft über die verarbeiteten Daten sein (Kühling/Buchner/Bäcker, 3. Aufl. 2020, DS-GVO Art. 15 Rn. 39).

(bb) Die Kammer schließt sich der Ansicht an, wonach die Ansprüche nach Art. 15 Abs. 1 und Art. 15 Abs. 3 Satz 1 DS-GVO nicht nebeneinander stehen, sondern sich der Anspruch auf Kopien auf die Auskünfte des Art. 15 Abs. 1 DS-GVO bezieht. Sinn und Zweck des aus Art. 15 DS-GVO folgenden Auskunftsrechts ist es, den betroffenen Personen eine Überprüfung der Rechtmäßigkeit der Datenverarbeitung zu ermöglichen, was aus Erwägungsgrund 63 Satz 1 folgt. Danach sollte eine betroffene Person ein Auskunftsrecht hinsichtlich der sie betreffenden personenbezogenen Daten, die erhoben worden sind, besitzen, um sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können. Dieses Ziel der Ermöglichung der Überprüfung wird erreicht, wenn die aus Art. 15 Abs. 1 DS-GVO folgenden Auskünfte in Kopie zur Verfügung gestellt werden. Hierfür bedarf es nicht der Vorlage der gesamten Unterlagen in Kopie. Ferner folgt aus dem Wortlaut des Art. 15 Abs. 3 Satz 1 DS-GVO, dass personenbezogene Daten, die Gegenstand der Verarbeitung sind, zur Verfügung gestellt werden. Art. 15 Abs. 1 DS-GVO bezieht sich jedoch gerade auf die Auskunft über diese personenbezogenen Daten.

Dementsprechend ist die Beklagte ihrer Pflicht aus Art. 15 Abs. 3 Satz 1 DS-GVO, eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung zu stellen, jedenfalls in dem Umfang, in dem sie eine Auskunft vorgenommen hat, hinreichend nachgekommen.

(d) Das Auskunftsverlangen des Klägers wurde verspätet beantwortet.

Nach Art. 12 Abs. 3 Satz 1 DS-GVO stellt der Verantwortliche der betroffenen Person Informationen über die auf Antrag gemäß den Artikeln 15 bis 22 ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung. Gemäß Art. 12 Abs. 3 Satz 2 DS-GVO kann diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist. Der Verantwortliche unterrichtet die betroffene Person innerhalb eines Monats nach Eingang des Antrags über eine Fristverlängerung, zusammen mit den Gründen für die Verzögerung Art. 12 Abs. 3 Satz 3 DS-GVO.

Diese Vorgaben wurden durch die Beklagte nicht gewahrt. Das Auskunftsbegehren des Klägers vom 09.08.2018 wurde per E-Mail an die Prozessbevollmächtigten der Beklagten übersandt. Dass eine Empfangsbevollmächtigung der Prozessbevollmächtigten auch insoweit vorlag, wird von der Beklagten nicht in Abrede gestellt. Auch wenn nicht ersichtlich ist, wann genau dieses Schreiben der Beklagten zugegangen ist, ist jedoch erkennbar, dass jedenfalls am 26.09.2018 die Monatsfrist abgelaufen war. Mit Schreiben vom 26.09.2018 teilte die Beklagte zwar mit, dass sie von der Fristverlängerung um zwei Monate nach Art. 12 Abs. 3 Satz 2 DS-GVO Gebrauch machen würde, zu diesem Zeitpunkt war jedoch unstreitig der Fristablauf bereits eingetreten. Der Wortlaut des Art. 12 Abs. 3 Satz 3 DS-GVO ist insoweit eindeutig, als darin gefordert wird, dass innerhalb eines Monats nach Antragseingang über die Fristverlängerung zu unterrichten ist (vgl. Paal/Pauly/Paal/Hennemann, 3. Aufl. 2021, DS-GVO Art. 12 Rn. 54; (Gola DS-GVO/Franck, 2. Aufl. 2018, DS-GVO Art. 12 Rn. 26). Die E-Mail vom 20.08.2018 stellte bereits kein Schreiben iSv. Art. 12 Abs. 3 Satz 3 DS-GVO dar, da in diesem nicht auf eine Fristverlängerung hingewiesen, sondern mitgeteilt wurde, dass binnen Monatsfrist eine Antwort erfolgen wird.

(e) Eine Pflichtverletzung ist nicht darin zu sehen, dass die Beklagte eine Rechtsgrundlage für die Übermittlung der Daten in die USA nicht benannt hat.

Die Informationspflicht aus Art. 13 Abs. 1 c), Art. 14 Abs. 1 c) DS-GVO umfasst die Mitteilung der Rechtsgrundlage der Verarbeitung, in Art. 15 Abs. 1 DS-GVO ist eine solche Mitteilungspflicht gerade nicht normiert (vgl. auch Gola DS-GVO/Franck, 2. Aufl. 2018 Rn. 7, DS-GVO Art. 15 Rn. 7). Eine solche könnte gegeben sein, wenn die betroffene Person ein berechtigtes Interesse an einer rechtlichen Würdigung plausibilisiert (Kühling/Buchner/Bäcker, 3. Aufl. 2020, DS-GVO Art. 15 Rn. 13). Dies ist vorliegend nicht der Fall.

(f) Auch ein Verstoß gegen die Datensicherheit ist durch die Übermittlung der Kopien mittels Taxi nicht ersichtlich. Der Kläger selbst hat nicht vorgetragen, dass es sich um einen offenen Karton handelte, in welchem die Kopien enthalten waren, so dass jederzeit ein unbefugter Zugriff ermöglicht worden wäre. Auch wenn die Unterlagen auf dem Postweg übersandt worden wären, hätte ein Überbringen durch die Beklagte selbst oder ihrer Vertreter nicht stattgefunden. In Anbetracht des Umfangs der Unterlagen war es zudem der Beklagten zuzugestehen, nicht den Postweg, sondern einen Kurierfahrer mit der Übermittlung zu beauftragen.

(g) Dass die Auskunft unvollständig war, da sie sich nicht auf einen Ergebnisbericht der Kanzlei JD bezog, ist nicht erkennbar. Der Kläger vermutet lediglich, dass ein solcher existieren müsse. Die Beklagte hatte von Anfang an vorgetragen, dass dieser nicht vorliege. Der Kläger, der mittlerweile Einsicht in die strafrechtlichen Ermittlungsakten hatte, hat auch nicht vorgetragen, dass in diesen ein solcher enthalten war und auch keine weiteren Anhaltspunkte dargelegt, die auf die Existenz eines solchen schließen lassen.

(4) Das Verschulden der Beklagten wird nach Art. 82 Abs. 3 DS-GVO vermutet. Die Beklagte hat keinen entgegenstehenden Vortrag geleistet.

(5) Es liegt zudem ein kausaler, immaterieller Schaden vor. Es ist hierbei von einem weiten Schadensverständnis auszugehen.

(a) Der Schadensbegriff wird in Rechtsprechung und Literatur nicht einheitlich beantwortet.

So verlange Erwägungsgrund 146 S. 3 eine weite Auslegung des Schadensbegriffs im Lichte der Rspr. des EuGH, die den Zielen der DS-GVO in vollem Umfang entspricht (vgl. BVerfG 14. Januar 2021 – 1 BvR 2853/19 – Rn. 19; ArbG Neumünster, 11. August 2020 – 1 Ca 247 c/20 – Rn. 38). Die Forderung einer schwerwiegenden Persönlichkeitsrechtsverletzung vertrage sich nicht mit Art. 82 DS-GVO, da sie weder von dessen Ziel und Entstehungsgeschichte gedeckt sei (LG Lüneburg 14. Juli 2020 – 9 O 145/19 – Rn. 49), dies wirke sich nur noch bei der Höhe des Anspruchs aus (vgl. ArbG D-Stadt 5. März 2020 – 9 Ca 6557/18 - Rn. 84, mwN). Ein immaterieller Schaden entstehe auch, wenn die betroffene Person um ihre Rechte und Freiheiten gebracht oder daran gehindert ist, die sie betreffenden personenbezogen Daten zu kontrollieren (vgl. ArbG Dresden 26. August 2020 – 13 Ca 1046/20 – Rn. 14). Weder der DSGVO noch ihren Erwägungsgründen lasse sich entnehmen, dass der Schadensersatzanspruch einen qualifizierten Verstoß gegen die DSGVO voraussetzt. Für die Annahme einer Erheblichkeitsschwelle oder anders - herum formuliert - die Ausnahme von Bagatellfällen, gebe es keinen Anhaltspunkt (vgl. LAG Hamm 11. Mai 2021 – 6 Sa 1260/20 – Rn. 50). Soweit es nicht um reine Formfehler wie Verstöße gegen Dokumentationspflichten geht, gehe mit der Verletzung datenschutzrechtlicher Normen letztlich immer ein immaterieller Schaden einher (vgl. Kühling/Buchner/Bergt, 3. Aufl. 2020, DS-GVO Art. 82 Rn. 18a). Erwägungsgrund 146 S. 6 spreche gegen die Einschränkung des Entschädigungsanspruchs auf schwere Beeinträchtigungen, die Schwere der Beeinträchtigung sei nur bei der Frage der Höhe des Anspruchs zu berücksichtigen, wobei Bagatellfälle außer Betracht bleiben können (vgl. Gola DS-GVO/Gola/Piltz, 2. Aufl. 2018, DS-GVO Art. 82 Rn. 13). Damit könne eine betroffene Person nun mehr für jede Verletzung der DS-GVO durch Verarbeitung ihrer personenbezogenen Daten auch ein angemessenes Schmerzensgeld verlangen (vgl. Ehmann/Selmayr/Nemitz, 2. Aufl. 2018, DS-GVO Art. 82 Rn. 13).

Nach anderer Meinung führe nicht jeder Verstoß zu einem Schadensersatzanspruch. Allein die Verletzung des Datenschutzrechts als solche begründe nicht bereits für sich gesehen einen Schadensersatzanspruch für betroffene Personen. Die Verletzungshandlung müsse in jedem Fall auch zu einer konkreten, nicht nur unbedeutenden oder empfundenen Verletzung von Persönlichkeitsrechten der betroffenen Person geführt haben (vgl. LG Landshut 6. November 2020 – 51 O 513/20 - Rn. 18). Die Anwendung von Strafschadenersatz sei aufgrund Art. 82 nicht zugelassen (vgl. Spindler/Schuster/Spindler/Horváth, 4. Aufl. 2019, DS-GVO Art. 82 Rn. 8). Daher werde man im Grundsatz weiterhin davon ausgehen können, dass immaterielle Schäden im vorliegenden Zusammenhang nur entstehen, wenn das allgemeine Persönlichkeitsrecht der betroffenen Person nicht unerheblich verletzt wurde (vgl. EuArbRK/Franzen, 3. Aufl. 2020, DS-GVO Art. 82 Rn. 22). Es müsse auch bei einem immateriellen Schaden eine Beeinträchtigung eingetreten sein, die unabhängig von einer Erheblichkeitsschwelle wenigstens spürbar sein muss. Andernfalls scheide ein "Schaden" begrifflich schon aus (vgl. LG Bonn 1. Juli 2021 – 15 O 372/20 – Rn. 42). Der Schaden müsse – wie auch der Anwendungsbereich mancher Norm des EU-Rechts – weit verstanden werden; gleichwohl muss er „erlitten“ (ErwGr 146 S. 6), maW „spürbar“, objektiv nachvollziehbar, von gewissem Gewicht sein (vgl. Paal/Pauly/Frenzel, 3. Aufl. 2021, DS-GVO Art. 82 Rn. 10).

(b) Die Kammer folgt den Erwägungen, wonach unabhängig von dem Erreichen einer Erheblichkeitsschwelle bei Verstößen gegen Regelungen der DS-GVO ein immaterieller Schadensersatz in Betracht kommt. Hierbei ist zu berücksichtigen, dass gerade ausgehend von Erwägungsgrund 146 Satz 3 eine weite Auslegung geboten ist, um den Zielen der Verordnung in vollem Umfang zu entsprechen. Hiermit wäre es unvereinbar, würde eine Schadensersatzpflicht nur bei erheblichen Rechtsverstöße eintreten, da dann eine Vielzahl von Fallgestaltungen denkbar wäre, in denen Betroffene trotz Verstößen gegen die Regelungen der DS-GVO keine Kompensation erhielten. Ferner kann, um die Regelungen der DS-GVO effektiv durchzusetzen, auch auf eine abschreckende Wirkung des Schadensersatzes abgestellt werden (vgl. EuGH 17. Dezember 2015 – C-407/14 – Rn. 44). Zudem sollen die betroffenen Personen nach Erwägungsgrund 146 Satz 3 einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten. Dass ein Schaden erlitten ist, ergibt sich nicht erst bei Überschreiten einer gewissen Erheblichkeitsschwelle – der Schwere der Pflichtverstöße und damit einhergehenden Beeinträchtigungen kann vielmehr effektiv auf Ebene der Höhe des Schadensersatzes begegnet werden.

Indem die Beklagte ihrer Auskunftsverpflichtung zeitlich und inhaltlich nicht hinreichend nachgekommen ist, hat der Kläger keine zeitgerechten, ausreichenden Kenntnisse über die Verarbeitung seiner personenbezogenen Daten erlangt – insofern ist ein Kontrollverlust eingetreten und ihm wird die Möglichkeit der Überprüfung der Rechtmäßigkeit der Verarbeitung seiner personenbezogenen Daten unmöglich gemacht oder erschwert.

(6) Dem Kläger ist in Anbetracht der Pflichtverstöße der Beklagten nach richterlichem Ermessen gem. § 287 Abs. 1 ZPO ein immaterieller Schadensersatz in Höhe von 1.250,-- Euro zuzusprechen.

(a) Den Schadensersatzansprüchen soll generell eine Abschreckungswirkung innewohnen (Sydow, Europäische Datenschutzgrundverordnung, 2. Aufl. 2018, DSGVO Art. 82 Rn. 10, mwN).). Unter Berücksichtigung des Erwägungsgrundes 146 (Satz 6) zur DSGVO soll die betroffene Person einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten(LAG Hamm 11. Mai 2021 – 6 Sa 1260/20 – Rn. 50). Verstöße müssen effektiv sanktioniert werden. Schadenersatz bei Datenschutzverstößen sollen eine abschreckende Wirkung haben, um der Datenschutzgrundverordnung zum Durchbruch zu verhelfen (effet utile) (ArbG Dresden 26. August 2020 – 13 Ca 1046/20 – Rn. 16).

(b) Gemessen an der Zweckrichtung des Schadensersatzes hält die Kammer unter Berücksichtigung und Abwägung der Umstände des vorliegenden Falls einen immateriellen Schadensersatz in Höhe von 1.250,-- Euro angemessen, aber auch ausreichend. Hierbei ist zu berücksichtigen, dass die verspätete Auskunft der Beklagten erfolgte, weil sie nicht innerhalb des ersten Monats die Inanspruchnahme der Verlängerung um zwei Monate begründet mitteilte. Im Ergebnis wurde die Auskunft jedoch innerhalb von gut zwei Monaten nach Geltendmachung des Auskunftsbegehrens und somit noch vor dem Ablauf von drei Monaten erteilt, die der Gesetzgeber dem Verantwortlichen grundsätzlich maximal zubilligt. Hierbei ist auch zu berücksichtigen, dass der Kläger im September 2018 sein Begehren präzisierte und die Beklagte dem in ihrer Antwort Rechnung trug. Andererseits ist erkennbar, dass der Beklagten die einmonatige Frist durchaus bewusst war, da deren Prozessbevollmächtigte im Schreiben vom 20.08.2018 mitteilte, dass eine Erledigung innerhalb dieser Frist erfolgen würde. Insgesamt ist in Anbetracht dieser Gesamtumstände, die dazu führten, dass der Kläger nur für einen vergleichsweise kurzen Zeitraum nach Antragstellung über die Datenverarbeitung im Unklaren war, ein immaterieller Schadensersatz von 250,-- Euro zuzuerkennen. Schwerer wiegt demgegenüber der Verstoß gegen Art. 15 Abs. 1 DS-GVO. Da durch die unzureichende Auskunft der Erkenntnisgewinn des Klägers über die Verarbeitung seiner personenbezogenen Daten nicht umfassend war und die Beklagte hierfür keine ausreichend nachvollziehbare Begründung angeben konnte, erscheint der Kammer ein Schadensersatz in Höhe von 1.000,-- Euro angemessen. Hierdurch wird ausreichend sichergestellt, dass durch die Zahlung eines spürbaren Betrages der Regelung des Art. 15 DS-GVO zur Geltung verholfen wird und die Verpflichteten angehalten werden, die entsprechenden Maßgaben einzuhalten. In die Überlegung einzustellen ist, dass die Beklagte nicht versehentlich die Auskunft hinsichtlich bestimmter Informationen mit personenbezogenen Daten unterlassen hat, sondern diese bewusst zurückgehalten hat, ohne dass ein Grund hierfür nachvollziehbar dargelegt wurde. Anzuknüpfen ist hierbei nach Sicht der Kammer weder an den Verdienst des Klägers noch die finanzielle Leistungsfähigkeit der Beklagten, da beide Komponenten in keinem Zusammenhang mit den datenschutzrechtlichen Verstößen stehen.

Den Volltext der Entscheidung finden Sie hier:


LArbG Hamm: Schadensersatzanspruch aus Art. 82 Abs. 1 DSGVO bei verspäteter oder unvollständiger Auskunftserteilung nach Art. 15 Abs. 1 DSGVO

LArbG Hamm
Urteil vom 11.05.2021
6 Sa 1260/20


Das LArbG Hamm hat entschieden, dass ein Schadensersatzanspruch aus Art. 82 Abs. 1 DSGVO bei verspäteter oder unvollständiger Auskunftserteilung nach Art. 15 Abs. 1 DSGVO besteht. Im vorliegenden Fall hat das Gericht einem Arbeitnehmer 1.000 EURO zugesprochen.

Aus den Entscheidungsgründen:

II. Soweit die Klägerin den in erster Instanz unbezifferten gestellten Klageantrag nunmehr im Rahmen der Berufungsbegründung beziffert, liegt eine Klageänderung - die im Rahmen der Berufung an den Voraussetzungen des § 533 ZPO zu messen wäre - nicht vor. Gemäß § 264 Nr. 2 ZPO ist es nicht als Klageänderung anzusehen, wenn ohne Änderung des Klagegrundes der Klageantrag in der Hauptsache erweitert wird. Darunter fällt auch der Übergang von einem nicht bezifferten Feststellungsantrag zu einem bezifferten Zahlungsantrag (vgl. BGH vom 12.05.1992 – VI ZR 118/91 -; BGH vom 13.11.2014 – IX ZR 267/13-).Wird zunächst eine Stufenlage erhoben und der Auskunftsantrag gestellt, stellt der Kläger dann aber, ohne die Bescheidung des Auskunftsanspruchs abzuwarten, sogleich den Zahlungsantrag, ist dieser Antrag ebenfalls nach § § 264 Nr. 2 ZPO zulässig. Um eine Klageänderung handelt es sich nicht (BGH vom 13.11.2014 – IX ZR 267/13 - ). Für den Zahlungsantrag, der in erster Instanz noch nicht beziffert war, gilt hier nicht anderes.

B) Die Berufung ist indes nur im Hinblick auf die Verurteilung der Beklagten zur Zahlung eines in das Ermessen des Gerichts gestellten immateriellen Schadensersatzanspruchs begründet. Insoweit hat das Arbeitsgericht die Klage zu Unrecht abgewiesen. Im Übrigen ist die Berufung unbegründet.

I. Die Berufung ist teilweise begründet, soweit die Klägerin die Zahlung eines immateriellen Schadensersatzes begehrt. Sie hat aus Art. 82 Abs. 1 DSGVO einen Anspruch auf Zahlung eines solchen Schadensersatzes in Höhe von 1.000,00 Euro.

1. Der Klageantrag ist zunächst bestimmt genug, § 253 Abs. 2 Nr. 2 ZPO. Bei einem Schadensersatzanspruch auf Geldentschädigung, bei dem die Bestimmung des Betrages von der Ermittlung der Schadenshöhe durch Beweisaufnahme oder durch gerichtliche Schätzung oder vom billigen Ermessen des Gerichts abhängt, ist es ausreichend, wenn die zahlenmäßige Feststellung der Klageforderung dem Gericht überlassen wird, sofern dem Gericht zugleich die tatsächlichen Grundlagen gegeben werden, die ihm die Feststellung der Höhe des gerechtfertigten Klageanspruchs ermöglichen (vgl. BGH vom 13.03.1967 – III ZR 8/66 m.z.N.). Selbes gilt, wenn – wie hier - die ziffernmäßige Festlegung der Schadenshöhe entscheidend von der Ausübung des richterlichen Ermessens oder einer richterlichen Schätzung nach § 287 Abs. 1 ZPO abhängt (BGH vom 13.03.1967 – III ZR 8/66 m.z.N.). Vorliegend hat die Klägerin zudem angegeben, dass sie einen Mindestschaden von 6.000,00 Euro (vgl. Berufungsbegründung vom 21.12.2020) für angemessen erachtet.

2. Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen.

Die DSGVO, die seit dem 25.05.2018 in Kraft getreten ist (Art. 99 Abs. 2 DSGVO) gilt gemäß Art. 288 AEUV unmittelbar in jedem Mitgliedsstaat der Europäischen Union, ohne dass es einer weiteren Umsetzung durch nationales Recht bedarf.

a) Verantwortlicher im Sinne des Art. 82 Abs. 1 DSGVO ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (Art. 4 Ziff. 7 DSGVO), mithin die Beklagte.

b) Die Beklagte hat vorliegend gegen ihre Auskunftspflicht gegenüber der Klägerin aus Art. 15 Abs. 1 DSGVO verstoßen. Der Auskunftsanspruch besteht auch in einem Arbeitsverhältnis. Die allgemeinen Bestimmungen der EU-DSVO enthalten eine Vollregelung, auch zum Beschäftigtendatenschutz (vgl. LAG Baden-Württemberg vom 20.12.2018 – 17 Sa 11/18 -). Der Auskunftsanspruch ist ein Grundrecht (Art. 8 Abs. 2 GRCh, Art. 6 Abs. 1 EUV) und gehört zur „Magna Charta“ der Betroffenenrechte (Lemke, der Datenschutzrechtliche Auskunftsanspruch im Arbeitsverhältnis, NJW 2020, 1841ff).

Nach Art. 15 Abs. 1 DSGVO hat die betroffene Person (Art. 4 Ziff. 7 DSGVO) das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden und – soweit dies der Fall ist – das weitere Recht auf die unter lit. a) bis h) der Vorschrift benannten Informationen. Nach der Vorgabe des Art. 12 Abs. 3 S. 1-3 DSGVO ist ein solches Auskunftsbegehren binnen eines Monats nach Eingang, nach einer Unterrichtung über eine Fristverlängerung binnen zwei weiterer Monate zu beantworten.

(1) Ein solches Verlangen hat die Klägerin vorliegend mit außergerichtlichem Schreiben ihres heutigen Prozessbevollmächtigten vom 30.01.2020 gestellt. Darin hat sie unter Bezugnahme auf die Datenschutzgrundverordnung Auskunft über „sämtliche bei Ihnen gespeicherten Daten, insbesondere die Daten der Arbeitszeiterfassung“ begehrt. Das Auskunftsbegehren unterliegt nach den Bestimmungen der DSGVO keinen besonders geregelten Anforderungen an Form und Inhalt. Es kann dahinstehen, ob sich der Anspruch der Klägerin inhaltlich auf den gesamten Umfang der mit dem Schreiben geltend gemachten Daten bezieht. Aus diesem verlangen konnte die Beklagte hinreichend konkret erkennen, auf welche Rechtsgrundlage die Klägerin ihr begehren stützt. Aus Art. 4 Ziff. 2 DSGVO ergibt sich zudem, dass sich die Verarbeitung, die Gegenstand des Auskunftsanspruchs nach Art. 15 DSGVO ist, auf jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten bezieht. Eine Einschränkung auf einen bestimmten Auskunftsteil hat die Klägerin nicht vorgenommen. Sie hat nur formuliert, dass sich ihr Begehren „insbesondere“ aber nicht erkennbar nicht ausschließlich auf die Daten der Zeiterfassung beziehe.

(2) Der Auskunftsanspruch bezieht sich inhaltlich auf personenbezogene Daten. Dabei handelt es sich nach Art. 4 Ziff. 1 DSGVO um alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person“) beziehen. Zur Verarbeitung gehört nach Art. 4 Ziff. 2 DSGVO insbesondere das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung und die Verwendung solcher Daten. In einem Arbeitsverhältnis verarbeitet der Arbeitgeber zwangsläufig personenbezogene Daten der bei ihm beschäftigten Arbeitnehmer. Bei diesen Daten kann es sich neben den Kontaktdaten der Person etwa um Informationen über das Bestehen und die Dauer einer Arbeitsunfähigkeit, über die Gewährung von Urlaubsansprüchen oder auch über Leistungs- und Verhaltensdaten handeln. Die Beklagte hat bis heute keine Auskunft darüber erteilt, ob und zu welchem Verarbeitungszweck (Art. 15 Abs. 1 lit. a)) und nach welchen Kategorien (Art. 15 Abs. 1 lit. b)) sie entsprechende Daten der Klägerin verarbeitet. Die Beklagte hat auf das gestellte Auskunftsverlangen erstmals unter dem 13.08.2020 reagiert und der Klägerin - offenbar auch im Hinblick auf das zu diesem Zeitpunkt klageweise rechtshängig gemachte und auf den Umfang der geleisteten Arbeitszeit im Arbeitsverhältnis beschränkten Auskunftsantrag – Arbeitszeitnachweise zugesendet. Eine weitere Auskunft ist – bis heute – nicht erfolgt.

(3) Eine Haftung für die Verstöße könnte nur entfallen, wenn die Beklagte für diese nicht verantwortlich wäre, Art. 83 Abs. 3 DSGVO. Dies hat die Beklagte nicht dargetan.

c) Entgegen der Auffassung der Beklagten ist der Klägerin durch die fehlende Erteilung der Auskunft ein immaterieller Schaden entstanden.

Das zutreffende Verständnis des Schadensbegriffs ist in der Rechtsprechung des Gerichtshofs der Europäischen Union bislang nicht geklärt. Der Begriff kann auch nicht in seinen einzelnen, für die Beurteilung des vorliegenden Sachverhalts notwendigen Voraussetzungen unmittelbar aus der DSGVO bestimmt werden. Auch in der bislang vorliegenden Literatur, die sich unter Bezugnahme auf den Erwägungsgrund 146 überwiegend für ein weites Verständnis des Schadensbegriffs ausspricht, sind die Details und der genaue Umfang des Anspruchs noch unklar (vgl. dazu: BVerfG vom 14.01.2021 – 1 BvR 2853/19 – mit zahlreichen Nachweisen).

Weder der DSGVO noch ihren Erwägungsgründen lässt sich indes entnehmen, dass der Schadensersatzanspruch einen qualifizierten Verstoß gegen die DSGVO voraussetzt. Für die Annahme einer Erheblichkeitsschwelle oder anders - herum formuliert – die Ausnahme von Bagatellfällen, gibt es keinen Anhaltspunkt (so auch BVerfG vom 14.01.2021 – 1 BvR 2853/19 -).

Unter Berücksichtigung des Erwägungsgrundes 146 S. 3 zur DSGVO soll der Begriff des Schadens im Lichte der Rechtsprechung des Europäischen Gerichtshofes weit und auf eine Weise ausgelegt werden, die den Zielen der Verordnung in vollem Umfang entspricht. Die Ziele der DSGVO bestehen dabei u.a. darin, den Risiken für die Rechte und Freiheit natürlicher Personen zu begegnen, die - mit unterschiedlicher Eintrittswahrscheinlichkeit und Schwere - aus einer Verarbeitung personenbezogener Daten hervorgehen und zu einem immateriellen Schaden führen können. Dabei kann ein immaterieller Schaden nicht nur in einer Diskriminierung, einem Identitätsdiebstahl oder -betrug, einem finanziellen Verlust, einer Rufschädigung, einem Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten, der unbefugten Aufhebung der Pseudonomisierung oder anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen liegen. Er kann (bereits) entstehen, wenn die von der Verarbeitung personenbezogener Daten betroffenen Personen daran gehindert werden, die sie betreffenden personenbezogenen Daten zu kontrollieren (vgl. Erwägungsgrund 75).

In jedem Arbeitsverhältnis verarbeitet der Arbeitgeber zwangsläufig personenbezogene Daten seiner Mitarbeiter. Jeder Arbeitgeber wird mindestens die Kontaktdaten, die Bankdaten zwecks Überweisung des Entgelts sowie Anwesenheits- und Fehlzeitendaten seiner Mitarbeiter erheben, speichern und verwenden. In welchem Umfang und in welchen Kategorien eine solche Verwendung erfolgt, ist Arbeitnehmern nicht ohne weiteres ersichtlich. Ebenso können Arbeitnehmer nicht von sich aus erkennen, ob Daten auch Dritten zur Verfügung gestellt und für welche Dauer – ggf. auch nach Beendigung des Arbeitsverhältnisses – diese Daten gespeichert bleiben. Die Beklagte wendet vorliegend nicht ein, dass sie über die der Klägerin im August 2020 übersendeten Arbeitszeitnachweise keine Weiteren personenbezogenen Daten der Klägerin verarbeitet. Eine Kontrolle über diese Daten hat die Klägerin indes nicht, solange die Beklagte ihrer Auskunftspflicht – in erster Stufe zumindest hinsichtlich der Bestätigung des „Ob“ der Verarbeitung personenbezogener Daten - nicht nachkommt. Der Klägerin fehlt dabei nicht nur die Kenntnis, welche Kategorien von Daten die Beklagte formalisiert oder nicht formalisiert verarbeitet. Sie kann ebenso nicht beurteilen, wie lange solche Daten nach Beendigung des Arbeitsverhältnisses weiter gespeichert bleiben und an welche Dritte die Beklagte solche Daten ggf. weiterreicht. Die Schwere des immateriellen Schadens, mithin das Gewicht der Beeinträchtigung, das die Klägerin – subjektiv – wegen der bestehenden Unsicherheit und des Kontrollverlustes empfinden mag, ist für die Begründung der Haftung nach Art. 82 Abs. 1 DSGVO und mithin für die Frage des „ob“ eines entstandenen Schadens nicht erheblich (so auch ArbG Düsseldorf vom 05.03.2020 – 9 Ca 6557/18).

d) Die Klägerin hat die Bemessung der Höhe des immateriellen Schadensersatzes in das Ermessen des Gerichts gestellt, § 287 Abs. 1 S. 1 ZPO. Unter Würdigung aller Umstände des Einzelfalles geht die Berufungskammer davon aus, dass der Klägerin zur Abgeltung des immateriellen Schadens ein Geldanspruch in Höhe von 1.000,00 Euro zusteht.

(1) Unter Berücksichtigung des Erwägungsgrundes 146 (Satz 6) zur DSGVO soll die betroffene Person einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten. Insoweit erscheint eine Orientierung an dem Kriterienkatalog für die Bemessung von Bußgeldern in Art. 83 Abs. 2 S. 2 DSGVO naheliegend (so auch ArbG Düsseldorf vom 05.03.2020 – 9 Ca 6557/18 -). Danach sind für die Ermittlung der Höhe einer Geldbuße u. a. die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung, der Grad des Verschuldens, Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens, frühere einschlägige Verstöße sowie die Kategorien der betroffenen personenbezogenen Daten zu betrachten. Bei der Bemessung der Entschädigung für immaterielle Schäden kommt den Gerichten grundsätzlich ein weites Ermessen zu, § 287 Abs. 1 S. 1 ZPO. Es müssen mithin sowohl sämtliche Auswirkungen des konkreten Datenschutzverstoßes für die geschädigte Person als auch sämtliche in der Person des Schädigers liegenden, insbesondere die Tatsituation und den Verschuldensgrad betreffenden, Umstände berücksichtigt werden (vgl. Oetker in MüKoBGB, 8. Auflage 2019, § 253 ZPO Rz. 36 ff).

2) In Anwendung des zuvor dargestellten Maßstabs ist unter Berücksichtigung und Abwägung aller Umstände des Einzelfalls ein Schadensersatz in Höhe von 1.000,00 Euro angemessen.

Dabei hat die Kammer zu Lasten der Beklagten berücksichtigt, dass diese die Auskunft nach Art. 5 Abs. 1 DSGVO bis zum heutigen Tag nicht erteilt hat. Die Beklagte hat der Klägerin lediglich im August 2020 Arbeitszeitnachweise übermittelt. Damit hat die Beklagte den Auskunftsanspruch allenfalls rudimentär erfüllt. Schriftsätzlich hat sich die Beklagte auf den Standpunkt gestellt, dass die Klägerin in dem Schreiben vom 30.01.2020 zu Unrecht Auskunft über „sämtliche Daten“ gefordert habe, obgleich ein Anspruch sich allenfalls auf solche Daten beziehe könne, die die Klägerin persönlich betreffen. Soweit die Beklagte darin eine Rechtfertigung erblickt, einem aus ihrer Sicht unklaren oder überzogenen Begehren nicht nachkommen zu müssen, kann dies nur zu ihren Lasten berücksichtigt werden. Zum einen erscheint eine derart weite Auslegung des Begehrens der Klägerin im Kontext des Schreibens bereits fernliegend. So erläutert der Prozessvertreter in dem Schreiben vom 30.01.2020, dass die Beklagte nach Auskunft seiner Mandantin, die Arbeitszeit elektronisch erfasse, dass es sich bei der Erfassung dieser Daten um personenbezogene Daten handele und die Mandantin daher „ihren“ Auskunftsanspruch nach der Datenschutz-Grundverordnung geltend mache. Auch für einen unbefangenen Leser ist erkennbar, dass die Klägerin keine Auskunft über Daten begehrt, die mit ihrer Person nicht in Zusammenhang stehen. Von dieser Auslegung ist die Beklagte indes auch im Kammertermin nicht abgerückt. Ein Problembewusstsein der Beklagten im Hinblick auf die Verletzung eines Rechts, dass der Europäischen Verordnungsgeber, wie sich bereits aus Art. 8 Abs. 2 der Grundrechtscharta zeigt, als sehr bedeutsam einordnet, vermochte die Berufungskammer nicht zu erkennen. Es ist auch nicht ersichtlich, dass die Klägerin die tatsächliche Erteilung der Auskunft in der Zukunft noch außergerichtlich erreichen wird. Zugunsten der Beklagten kann insoweit nur unterstellt werden, dass einschlägige frühere Verstöße nicht vorliegen.

Obwohl das vorgehend dargestellte Verhalten die Annahme nahelegt, dass die Beklagte den Umfang und die Bedeutung ihrer Verpflichtung aus der Datenschutzgrundverordnung jedenfalls fahrlässig grob verkennt, ist zu Lasten der Klägerin zu berücksichtigen, dass sie die tatsächliche Erlangung der ihr nach Art. 15 Abs. 1 DSGVO zustehenden Informationen in Erkennung des Umstandes, dass die Beklagte diesem Auskunftsbegehren nicht ohne Weiteres nachkommen wird, bislang nicht konsequent verfolgt hat. Nachdem die Beklagte im August 2020 Arbeitsnachweise erteilt hat, hat die Klägerin den Auskunftsanspruch insoweit für erledigt erklärt. Sie hat aber in der Folgezeit davon abgesehen, ihr Auskunftsverlangen im Weiteren gerichtlich geltend zu machen, um eine tatsächliche Durchsetzung zu erreichen. Vielmehr hat die Klägerin sich darauf beschränkt, unter Berufung auf die fehlende Auskunft einen immateriellen Schadensersatzanspruch gerichtlich einzuklagen. Ihr Prozessverhalten deutet für die Berufungskammer darauf hin, dass die tatsächliche Erlangung einer Kontrolle über die von ihr verarbeiteten personenbezogenen Daten nicht ihr primäres Ziel ist. Es drängt sich vielmehr für die Berufungskammer der Eindruck auf, dass es ihr in dem außergerichtlichen Schreiben vom 30.01.2020 maßgeblich um die Herausgabe der Arbeitsaufzeichnungen zum Zwecke der Bezifferung einer beabsichtigten Überstundenklage ging. Obwohl sie durch die nach wie vor ausstehende Auskunft nach wie vor keine Kontrolle über ihre personenbezogenen Daten hat, die bei der Beklagten – auch nach Beendigung des Arbeitsverhältnisses – gegebenenfalls weiter verwendet werden, lässt das Verhalten der Klägerin nicht erkennen, dass dieser Umstand als solcher eine besondere Belastung für sie darstellt, die nicht jedenfalls mit der Zahlung eines Schadensersatzbetrages kompensiert werden könnte. Insbesondere ist nicht erkennbar, dass die Klägerin beabsichtigt, die tatsächliche Erteilung der Auskunft auch im Falle der Zahlung eines Schadensersatzes durch die Beklagte weiterzuverfolgen. Dies deutet darauf hin, dass ihre persönliche Betroffenheit im Hinblick auf die fehlende Möglichkeit der Kontrolle ihrer personenbezogenen Daten überschaubar ist und Zweifel an der Nachhaltigkeit des Auskunftsverlangens berechtigt erscheinen. Dieser Umstand ist bei der Bemessung der Höhe des immateriellen Schadensersatzes - anders als bei der Frage des Entstehens eines solchen - zu berücksichtigen.

Inwieweit die Höhe des Schadensersatzes auch von dem nach Art. 4 Ziffer 7 DSGVO Verantwortlichen und dessen Finanzkraft abhängen mag (so ArbG Düsseldorf 5. März 2020 – 9 Ca 6557/18), kann dahinstehen. Keine der Parteien hat vorliegend Angaben diesbezüglich getätigt. Der Umstand, dass es sich bei der Beklagten um einen Kleinbetrieb handelt, hat für sich genommen keine Aussagekraft hinsichtlich der Finanzkraft des Unternehmens.

Unter Berücksichtigung all dessen hat die Kammer für den Verstoß der Beklagten gegen Art. 15 Abs. 1 DSGVO insgesamt einen Schadensersatzanspruch in Höhe von 1.000,00 Euro angesetzt.


Den Volltext der Entscheidung finden Sie hier:

LG Bonn: Kein Schadensersatz aus Art. 82 DSGVO für unvollständige oder verspätete Auskunftserteilung gemäß Art. 15 DSGVO

LG Bonn
Urteil vom 01.07.21
15 O 372/20


Das LG Bonn hat entschieden, dass ein Betroffener keinen Anspruch auf Schadensersatz bzw. Geldentschädigung aus Art. 82 DSGVO für eine unvollständige oder verspätete Auskunftserteilung gemäß Art. 15 DSGVO zusteht.