Gericht | Schadensumfang und Begründung |
BVerfG | |
BVerfG Beschl. v. 14.1.2021 – 1 BvR 2853/19 = ZD 2021, 266 mAnm Blasek | 0 EUR Das AG hat Art. 101 Abs. 1 S. 2 GG verletzt, indem es von einem Vorabentscheidungsersuchen wegen der zu klärenden Frage, ob im vom Bf. vorgetragenen Fall der datenschutzwidrigen Verwendung einer E-Mail-Adresse und der Übersendung einer ungewollten E-Mail an das geschäftliche E-Mail-Konto des Bf. nach Art. 82 Abs. 1 DS-GVO ein Schmerzensgeldanspruch des Bf. in Betracht kommt. Das AG hätte nicht ohne Vorabentscheidungsersuchen an den EuGH entscheiden dürfen, dass sich kein Anspruch des Bf. aus der ohne seine ausdrückliche Einwilligung erfolgten Übersendung der E-Mail aus Art. 82 DS-GVO ergebe, weil ein Schaden nicht eingetreten sei. Der im Ausgangsverfahren zu beurteilende Sachverhalt warf die Frage auf, unter welchen Voraussetzungen Art. 82 Abs. 1 DS-GVO einen Geldentschädigungsanspruch gewährt und welches Verständnis dieser Vorschrift insb. im Hinblick auf Erwägungsgrund 146 S. 3 DS-GVO zu geben ist, der eine weite Auslegung des Schadensbegriffs im Lichte der Rspr. des EuGH verlangt, die den Zielen der DS-GVO in vollem Umfang entspricht. Dieser Geldentschädigungsanspruch ist in der Rspr. des EuGH weder erschöpfend geklärt noch kann er in seinen einzelnen, für die Beurteilung des im Ausgangsverfahrens vorgetragenen Sachverhalts notwendigen Voraussetzungen unmittelbar aus der DS-GVO bestimmt werden. Auch in der bislang vorliegenden Lit., die sich im Hinblick auf Erwägungsgrund 146 DS-GVO wohl für ein weites Verständnis des Schadensbegriffes ausspricht, sind die Details und der genaue Umfang des Anspruchs noch unklar. Von einer richtigen Anwendung des Unionsrechts, die derart offenkundig ist, dass für vernünftige Zweifel kein Raum bliebe (acte clair), konnte das AG ebenfalls nicht ausgehen. Dies gilt umso mehr, als Art. 82 DS-GVO ausdrücklich immaterielle Schäden einbezieht. Die angegriffene Entscheidung zeigt, dass das AG die Problematik der Auslegung des Art. 82 Abs. 1 DS-GVO durchaus gesehen hat. Es hat sodann aber verfassungsrechtlich relevant fehlerhaft eine eigene Auslegung des Unionsrechts vorgenommen, indem es sich für die Ablehnung des Anspruchs auf ein Merkmal fehlender Erheblichkeit gestützt hat, das so weder unmittelbar in der DS-GVO angelegt ist, noch von der Lit. befürwortet oder vom EuGH verwendet wird. Gleiches gilt für den vom Bf. mitangegriffenen Beschluss des AG, mit dem es die erhobene Gehörsrüge des Bf. zurückgewiesen hat. Auch hier rekurriert das AG auf das Bestehen eines bislang ungeklärten Merkmals eines Bagatellverstoßes iRd Art. 82 Abs. 1 DS-GVO. Die Antwort auf die Rechtsfrage, wie Art. 82 Abs. 1 DS-GVO vor dem Hintergrund von Erwägungsgrund 146 DS-GVO in Fällen der Übersendung einer E-Mail ohne Zustimmung auszulegen ist, war für die Entscheidung über den vom Bf. geltend gemachten Zahlungsanspruch entscheidungserheblich. |
BGH | |
BGH Urt. v. 22.2.2022 – VI ZR 1175/20 = ZD 2023, 308 (Ls.) | 0 EUR Ein Anspruch aus Art. 82 Abs. 1 DS-GVO wird verneint. Auf Grund der Öffnungsklausel des Art. 85 Abs. 2 DS-GVO sind Datenverarbeitungen zu journalistischen Zwecken von den die Rechtmäßigkeit der Datenverarbeitung betreffenden Vorschriften in Art. 6 und Art. 7 DS-GVO durch Regelungen der Länder ausgenommen worden. Es liegt auf der Hand, dass ein Schadensersatzanspruch gem. Art. 82 Abs. 1 DS-GVO nicht auf die Verletzung datenschutzrechtlicher Bestimmungen durch eine journalistische Tätigkeit gestützt werden kann, wenn die Bestimmungen für die Tätigkeit gar nicht gelten. Insoweit spielt es auch keine Rolle, dass die Öffnungsklausel des Art. 85 Abs. 2 DS-GVO die in Kap. VIII der VO enthaltene Vorschrift des Art. 82 Abs. 1 DS-GVO nicht erfasst. |
BGH Beschl. v. 16.2.2021 – VI ZA 6/20 = ZD 2021, 340 (Ls.) | 0 EUR Ein Anspruch aus Art. 82 Abs. 1 DS-GVO wurde verneint. Auf Grund der Öffnungsklausel des Art. 85 DS-GVO sind Datenverarbeitungen zu journalistischen Zwecken von den die Rechtmäßigkeit der Datenverarbeitung betreffenden Vorschriften in Art. 6 und 7 DS-GVO durch nationale Regelungen ausgenommen. |
Oberlandesgerichte | |
NEU OLG Hamm Beschl. v. 21.12.2022 – 11 W 62/22 | 0 EUR Die Zulässigkeit des vom Kl. beschrittenen Rechtsweges zu den ordentlichen Gerichten ergibt sich für den Klageantrag zu 9 aus Art. 34 S. 3 GG iVm § 17 Abs. 2 S. 1 GVG. Dabei kann dahinstehen, ob es sich bei dem Anspruch aus Art. 82 Abs. 1 DS-GVO um einen, wie das Hess. LSG meint, Schadensersatzanspruch aus Amtspflichtverletzung iSv Art. 34 S. 3 GG handelt. Wie das LG in seiner Nichtabhilfeentscheidung v. 29.8.2022 zutreffend ausgeführt hat, kommt auf der Grundlage des Klagevortrags für den mit dem Klageantrag zu 9 geltend gemachten Schadensersatzanspruch als konkurrierende Anspruchsgrundlage auch ein Amtshaftungsanspruch aus § 839 BGB iVm Art. 34 S. 1 GG zumindest in Betracht. Mit seinem Schriftsatz v. 2.5.2022 hat der Kl. die von der Bekl. mit der Klageerwiderung vorgetragenen (Entschuldigungs-)Gründe, weshalb sie das vorprozessuale Auskunftsbegehren nicht schon innerhalb der Monatsfrist des Art. 12 Abs. 3 DS-GVO erfüllt hat, zurückgewiesen und dabei u. a. ausdrücklich mit Nichtwissen bestritten, dass die Bekl. wegen krankheitsbedingtem Ausfall von Mitarbeitern und des pandemiebedingten Arbeitens von Mitarbeitern im Homeoffice zu einer zeitnahen Erteilung der von ihm begehrten Auskünfte nicht in der Lage gewesen sei. Weiter hat der Kl. vorgetragen, dass er tatsächlich davon ausgehe, dass die Bekl. den von ihm geltend gemachten Anspruch einfach ignoriert habe. Sollte dies zutreffend sein, wäre hierin zweifelsohne eine schuldhafte Verletzung der der Bekl. nach der DS-GVO ggü. dem Kl. obliegenden Amtspflichten zu sehen. Die Entscheidung über den damit für den Zahlungsantrag zu 9 ebenfalls in Betracht kommenden Schadensersatzanspruch aus § 839 Abs. 1 BGB iVm Art. 34 S. 1 GG ist, wie sich auch aus § 17 Abs. 2 S. 2 GVG ergibt, gem. Art. 34 S. 3 GG allein den ordentlichen Gerichten vorbehalten. Wegen ihm kann nicht durch einfache gesetzliche Regelung die Zuständigkeit einer Sondergerichtsbarkeit begründet werden. Entsprechend wird die Zuständigkeit der ordentlichen Gerichte für den Amtshaftungsanspruch aus § 839 Abs. 1 BGB iVm Art. 34 S. 1 GG vorliegend auch nicht durch den für das Schadensersatzverlangen ebenfalls in Betracht kommenden, konkurrierenden Anspruch aus Art. 82 Abs. 1 DS-GVO beseitigt. Vielmehr führt die sachliche Zuständigkeit des vom Kl. angerufenen LG Essen für den in Betracht kommenden Amtshaftungsanspruch aus § 839 Abs. 1 BGB iVm Art. 34 S. 1 GG vorliegend dazu, dass vom LG Essen gem. § 17 Abs. 2 S. 1 GVG auch ein etwaiger Schadensersatzanspruch aus Art. 82 DS-GVO zu prüfen sein wird. Denn nach § 17 Abs. 2 S. 1 GVG hat das Gericht des zulässigen Rechtsweges den Rechtsstreit unter allen in Betracht kommenden rechtlichen Gesichtspunkten zu entscheiden. § 17 Abs. 2 GVG räumt damit dem Gericht des zulässig eröffneten Rechtswegs eine umfassende, auch rechtswegüberschreitende Sachkompetenz ein. Kommen danach – wie hier – für einen einheitlichen Streitgegenstand iSe prozessualen Anspruchs mehrere Anspruchsgrundlagen in Betracht, so hat das Gericht des zulässigen Rechtsweg den Rechtsstreit unter allen in Betracht kommenden rechtlichen Gesichtspunkten zu entscheiden, sofern der zu ihm beschrittene Rechtsweg für einen Klagegrund zulässig ist. Gegenteiliges ergibt sich auch nicht aus der von der Bekl. angeführten Entscheidung des BFH v. 28.6.2022 (II B 92/21), insb. dessen Ausführungen unter lit. II. 2. b) cc) der Entscheidungsgründe. Soweit der BFH dort ausführt, dass der Schadensersatzanspruch nach der DS-GVO in Anspruchskonkurrenz neben einen Amtshaftungsanspruch aus § 839 BGB iVm Art. 34 GG treten könne, dies aber nicht bedeute, dass die Rechtswegzuweisung sich auf den jeweils konkurrierenden Anspruch erstrecke, sondern vielmehr nach § 17 Abs. 2 S. 2 GVG eine Rechtswegspaltung eintrete, ist dies vor dem Hintergrund zu sehen, dass in dem der Entscheidung des BFH zu Grunde liegenden Fall der dortige Kl. den Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO vor dem Finanzgericht geltend gemacht hatte. Damit musste es in dem dortigen Fall schon deshalb zu einer Rechtswegspaltung kommen, weil die Vorschrift des § 17 Abs. 2 S. 1 GVG gem. § 17 Abs. 2 S. 2 GVG auf den Amtshaftungsanspruch nicht anwendbar ist und deshalb das vom dortigen Kl. angerufene Finanzgericht zu einer Prüfung auch des Amtshaftungsanspruch aus § 839 BGB iVm Art. 34 GG nicht befugt war. Der Senat hat gem. § 17 a Abs. 4 S. 4 und S. 5 GVG die Rechtsbeschwerde zugelassen, weil die Frage, ob das vom Kl. angerufene ordentliche Gericht auch über einen Anspruch aus Art. 82 Abs. 1 DS-GVO zu entscheiden hat, wenn nach dem Klagevortrag als Anspruchsgrundlage für das auf Art. 82 Abs. 1 DS-GVO gestützte Schadensersatzbegehren auch ein Amtshaftungsanspruch nach § 839 BGB iVm Art. 34 zumindest ernstlich in Betracht kommt, von grundsätzlicher Bedeutung und – soweit ersichtlich – bislang noch nicht höchstrichterlich entschieden ist. |
NEU OLG Hamm Beschl. v. 19.12.2022 – 11 W 69/22 | 50 EUR Unabhängig von den fehlenden Voraussetzungen eines Amtshaftungsanspruchs kommt ein Schadensersatzanspruch des Kl. gem. Art. 82 DS-GVO infrage. Dass die Bestimmungen dieser EU-Verordnung von der Bekl. zu beachten waren, ist zwischen den Parteien nicht im Streit. Ihr sachlicher Anwendungsbereich (Art. 2 DS-GVO) ist eröffnet, nachdem die Bekl. personenbezogene Daten des Kl. gespeichert hat. Es liegt auch ein Verstoß gegen die Vorschriften dieser Verordnung vor, weil die Speicherung der Daten gem. Art. 17 Abs. 1 lit. a DS-GVO unzulässig war. IRd europarechtlich auszulegenden Verordnung – diese verlangt auf Grund des Erwägungsgrundes 146 S. 3 eine weite Auslegung des Schadensbegriffs im Lichte der Rspr. des EuGH, die den Zielen der DS-GVO in vollem Umfang entspricht, ist derzeit ungeklärt, ob immaterieller Schadensersatz zu versagen ist, wenn es an einer erheblichen Persönlichkeitsrechtsverletzung fehlt. Diese Frage ist in einem PKH-Prüfungsverfahren nicht zu Lasten der antragstellenden Partei zu beantworten, sondern im Hauptsacheverfahren einer Klärung zuzuführen. Deswegen kommt Prozesskostenhilfe für einen Schadensersatzanspruch gem. Art. 82 DS-GVO im vorliegenden Fall grds. in Betracht. Allerdings ergibt sich aus dem vorgetragenen Sachverhalt kein Gesichtspunkt, der eine Schmerzensgeldzahlung von über 50 EUR rechtfertigen könnte. Dies auch dann, wenn man zu Gunsten des Kl. eine weite, europarechtliche Auslegung des Schadensbegriffs zu Grunde legt, die neben einem individuellen Ausgleich wegen der Schutzgutverletzung, eine den Verstoß feststellende Genugtuungsfunktion und letztendlich auch eine generalpräventive Einwirkung auf den Schädiger in die Betrachtung einbeziehen. Zu bewerten sind in der Sache insoweit dieselben Gesichtspunkte, die im Rahmen der Amtshaftung die Bewertung rechtfertigen, dass eine dort zu berücksichtigende Bagatellgrenze nicht überschritten worden ist. |
NEU OLG Köln Urt. v. 16.12.2022 – 7 U 184/21 | 0 EUR Ein Anspruch aus Art. 82 DS-GVO scheidet von vornherein aus, da die DS-GVO auf die Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit, und mithin auf die streitgegenständliche Datenspeicherung nicht anwendbar ist (Art. 2 Abs. 2 lit. d DS-GVO). |
NEU OLG Karlsruhe Urt. v. 30.11.2022 – 7 U 75/22 = ZD 2023, 218 | 0 EUR Der noch verbleibende Klageantrag Ziff. 3 ist unbegründet. Dem Kl. steht kein Schmerzensgeldanspruch gem. Art. 82 DS-GVO gegen die Bekl. zu, weil in der Vornahme, Aufrechterhaltung und Nutzung der streitgegenständlichen Eintragung kein Verstoß gegen die DS-GVO iSd Art. 82 Abs. 1 DS-GVO gelegen hat, nachdem diese nicht entgegen einer bestehenden Löschungspflicht gem. Art. 17 Abs. 1 DS-GVO, einer Berichtigungspflicht gem. Art. 16 DS-GVO oder einer Unterlassungspflicht gem. § 823 Abs. 2 BGB iVm § 1004 Abs. 1 BGB erfolgt ist, weshalb der Ersatz eines dem Kl. entstandenen immateriellen Schadens nicht in Betracht kommt. In der Datenverarbeitung bis zur Löschung der streitgegenständlichen Eintragung lag nicht deshalb ein Verstoß gegen die DS-GVO, weil die Eintragung deutlich früher hätte gelöscht werden müssen. Im Gegenteil hatte der Kl. gegen die Bekl. weder einen Anspruch auf Löschung des Eintrags über die Restschuldbefreiung aus Art. 17 Abs. 1 lit. d DS-GVO, noch aus Art. 17 Abs. 1 lit. a DS-GVO oder aus Art. 17 Abs. 1 lit. c iVm Art. 21 Abs. 1 DS-GVO. In der Datenverarbeitung bis zur Löschung der streitgegenständlichen Eintragung lag auch nicht deshalb ein Verstoß iSd Art. 82 Abs. 1 DS-GVO, weil die Eintragung hätte berichtigt werden müssen. Voraussetzung eines Berichtigungsanspruchs gem. Art. 16 Abs. 1 DS-GVO ist, dass es sich bei der gespeicherten Eintragung um eine unrichtige Tatsache handelt. Dies war aber nicht der Fall. In der Datenverarbeitung bis zur Löschung der streitgegenständlichen Eintragung lag auch nicht deshalb ein Verstoß iSd Art. 82 Abs. 1 DS-GVO, weil der Kl. einen Anspruch auf Unterlassung derselben gem. § 823 Abs. 2 BGB iVm § 1004 Abs. 1 BGB analog gehabt hätte. Voraussetzung eines derartigen Unterlassungsanspruchs wäre das Bestehen eines rechtswidrigen Zustands gewesen, der auf Grund der Rechtmäßigkeit der Datenverarbeitung aber gerade nicht vorgelegen hat. Nachdem die Datenverarbeitung bis zur erfolgten Löschung rechtmäßig iSd DS-GVO erfolgt ist, fehlt es bereits an einem Verordnungsverstoß iSd Art. 82 Abs. 1 DS-GVO. Soweit der Kl. – unstreitig – durch die Eintragung in psychischer Hinsicht in seiner Gesundheit beeinträchtigt ist, und der Genesungsverlauf von den mit der streitgegenständlichen Eintragung einhergehenden Belastungen beeinflusst wurde, kommt ein Ersatz des damit verbundenen immateriellen Schadens mithin nicht in Betracht. |
OLG Celle Urt. v. 3.11.2022 – 5 U 31/22 = ZD 2023, 95 | 0 EUR Ein Schadensersatzanspruch des Kl. aus Art. 82 DS-GVO folgt nicht aus dem Umstand, dass die Bekl. nach Erlass des Anerkenntnisurteils durch das LG Hannover am 25.1.2021 (13 O 133/20) den Datensatz betreffend den Kl. nicht unverzüglich, sondern – auch unter Zubilligung einer Organisationsfrist – erst deutlich verspätet am 15.3.2021 gelöscht hat. Das Anerkenntnisurteil entfaltet keine Rechtskraftwirkung hinsichtlich der (ursprünglichen) Rechtswidrigkeit der Datenverarbeitung durch die Bekl. Ein Schadensersatzanspruch aus Art. 82 Abs. 1 DS-GVO ergibt sich insb. auch nicht für die verbleibende Zeit der Speicherung nach Erlass des Anerkenntnisurteils bis zur endgültigen Löschung. Dabei kann dahingestellt bleiben, ob die für rund sieben Wochen fortlaufende Speicherung der Daten ab Erlass des vollstreckbaren Anerkenntnisurteils oder nach dessen Rechtskraft nunmehr eine rechtswidrige Datenverarbeitung iSd Art 6 DS-GVO darstellte. Offenbleiben kann auch, ob in dem „bloßen Nichtstun“ auf Seiten der Bekl. eine „Verarbeitung“ der Daten iSv Art. 4 Ziff. 2 DS-GVO zu sehen ist, wofür sprechen könnte, dass jedenfalls nach der durch das Anerkenntnisurteil ausgesprochenen Verpflichtung, den Datensatz zur Löschung zu bringen, und der damit verbundenen Zäsurwirkung für die Speicherung das anschließende „Unterlassen“ der Löschung einem aktiven Speichern entsprechen dürfte. Denn es fehlt jedenfalls an dem für einen Schadensersatzanspruch aus Art. 82 Abs. 1 DS-GVO vorausgesetzten materiellen oder immateriellen Schaden. Zutreffend hat das Landgericht in der angefochtenen Entscheidung zwar herausgearbeitet, dass ein immaterieller Schaden in Form eines Eingriffs in das allgemeine Persönlichkeitsrecht des Betroffenen auch darin liegen kann, dass für die Kreditwürdigkeit relevante Daten Dritten zur Verfügung gestellt und auf Anfrage potenziellen Kreditgebern übermittelt werden; insoweit kann auf die Begründung der angefochtenen Entscheidung Bezug genommen werden. Der Senat hat jedoch seiner Entscheidung zugrunde zu legen, dass die ursprüngliche Speicherung der Daten durch die Bekl. rechtmäßig war. Ein kausaler immaterieller Schaden auf Seiten des Kl. wäre danach nur gegeben, wenn noch nach Erlass des Anerkenntnisurteils die für die Dauer von rund sieben Wochen weiterhin gespeicherten Daten in irgendeiner Form die Sphäre der Bekl. erneut verlassen und zu einer zusätzlichen Beeinträchtigung geführt hätte, oder der Kl. andere Tatsachen vorgetragen hätte, die einen immateriellen Schaden gerade als Folge der unterlassenen Löschung der Daten nach Erlass des Anerkenntnisurteils begründen. Dies ist nicht der Fall. Alleiniger Anknüpfungspunkt für einen immateriellen Schaden des Kl. könnte deswegen allein der Umstand sein, dass die Daten überhaupt bei der Bekl. weiterhin gespeichert waren. Eine solche Rechtsansicht würde aber dazu führen, dass die haftungsbegründenden Tatbestandsmerkmale des Art. 82 DS-GVO, nämlich zum einen der „Verstoß gegen diese Verordnung“ und zum anderen die (darauf beruhende) Entstehung eines materiellen oder immateriellen Schadens, grds. zusammenfallen würden. Dies ist mit dem Wortlaut der DS-GVO nicht zu vereinbaren. |
OLG Hamm Beschl. v. 23.9.2022 – 26 W 6/22 | 0 EUR In der Sache selbst hat das LG mit zutreffender und ausführlicher Begründung – welcher sich der Senat anschließt – dargelegt, dass der Kl. gegen die Bekl. keine Ansprüche gem. Art. 15, 82 DS-GVO zugestehen, da die DS-GVO vorliegend nicht anwendbar ist. Auf die entsprechenden Ausführungen wird insoweit vorab Bezug genommen. Gem. Art. 91 DS-GVO dürfen, wenn eine Kirche oder eine religiöse Vereinigung oder Gemeinschaft in einem Mitgliedstaat zum Zeitpunkt des Inkrafttretens dieser Verordnung umfassende Regeln zum Schutz natürlicher Personen bei der Verarbeitung anwendet, diese Regeln weiter angewandt werden, sofern sie mit dieser VO in Einklang gebracht werden. Soweit die Kl. unter Hinweis auf die Entscheidung des BVerfG (Beschl. v. 14.1.2021 – 1 BvR 2853/19) der Ansicht ist, die vorliegende Rechtsfrage sei von grundsätzlicher Bedeutung für das vollvereinheitliche europäische Datenschutzrecht und bedürfe damit letztlich einer Klärung durch den EuGH, hält der Senat eine Vorabentscheidung nach Art. 267 Abs. 3 AEUV nicht für geboten. Im dortigen Fall ging es um die Auslegung des Schadensbegriffs aus Art. 82 Abs. 1 DS-GVO. Vorliegend ist die DS-GVO jedoch bereits auf Grund tatsächlicher Umstände nicht anwendbar. |
NEU OLG Celle Urt. v. 22.9.2022 – 11 U 107/21 | 0 EUR Der Kl. steht kein Anspruch aus Art. 82 DS-GVO gegen die Bekl. auf Ersatz des von ihr geltend gemachten materiellen und immateriellen Schadens im Zusammenhang mit der Bearbeitung der Personalakten durch Landesbedienstete zu. Die Voraussetzungen für einen Geldentschädigungsanspruch in Bezug auf einen der Kl. zugefügten materiellen oder immateriellen Schaden liegen nach Auffassung des Senats nicht vor, da es jedenfalls an der Darlegung der Wahrscheinlichkeit des Eintritts eines Schadens bei der Kl. fehlt. Das BAG vertritt die Auffassung, dass der Rechtsanspruch auf immateriellen Schadensersatz nach Art. 82 Abs. 1 DS-GVO über eine Verletzung der DS-GVO hinaus nicht zusätzlich erfordert, dass die verletzte Person einen (weiteren) von ihr erlittenen immateriellen Schaden darlegt. In der Rspr. des EuGH ist das zutreffende Verständnis des Schadensbegriffs bislang nicht geklärt. Der Begriff kann auch nicht in seinen einzelnen, für die Beurteilung des Sachverhalts notwendigen Voraussetzungen unmittelbar aus der DS-GVO bestimmt werden. Die Details und der genaue Umfang des Anspruchs sind in der bislang vorliegenden Lit., die sich unter Bezugnahme auf den Erwägungsgrund 146 für ein weites Verständnis des Schadensbegriffs ausspricht, noch unklar. Der bloße Verstoß gegen Bestimmungen der DS-GVO reicht nicht aus. Der Schaden ist nicht mit der zugrundeliegenden Rechtsgutsverletzung gleichzusetzen. Denn ausdrücklich muss der Schaden „erlitten" werden, woraus folgt, dass dieser tatsächlich entstanden sein muss und nicht lediglich befürchtet wird. Nach stRspr erkennt das Unionsrecht einen Entschädigungsanspruch an, sofern drei Voraussetzungen erfüllt sind, nämlich dass die Rechtsnorm, gegen die verstoßen worden ist, bezweckt, dem Einzelnen Rechte zu verleihen, dass der Verstoß hinreichend qualifiziert ist und dass zwischen dem Verstoß gegen die dem Staat obliegende Verpflichtung und dem den geschädigten Personen entstandenen Schaden ein unmittelbarer Kausalzusammenhang besteht. Auch hiernach ist ein entstandener Schaden also Voraussetzung für einen Entschädigungsanspruch. Danach erscheint es dem Senat nicht wahrscheinlich, dass der EuGH der Rechtsauffassung des BAG folgen wird. Erwägungsgrund 146 DS-GVO steht diesem Verständnis nicht entgegen. Insb. S. 3 und S. 6 schließen ein, dass Schadensersatzforderungen abschrecken und weitere Verstöße unattraktiv machen sollen. Jedoch spricht S. 1 wiederum von „Schäden, die …. entstehen“. Als mögliche entstehende Schäden benennt Erwägungsgrund 85 S. 1 etwa den Verlust der Kontrolle einer Person über ihre personenbezogenen Daten oder die Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person. Durch die Aufzählung der durch die Datenschutzverletzung möglichen Schäden wird zugleich deutlich, dass der Schaden mit der Datenschutzverletzung nicht identisch ist, zumal durchaus denkbar ist, dass eine Datenschutzverletzung nicht zum Eintritt eines der benannten Schäden führt. Vor diesem Hintergrund muss in jedem Einzelfall betrachtet werden, ob ein Schaden überhaupt entstanden ist. Ein Verlust der Kontrolle über die personenbezogenen Daten liegt etwa in Übermittlung personenbezogener Daten an einen unbeteiligten und unberechtigten Dritten, wodurch der Betroffene bloßgestellt wird und ihm mittelbar eine potenzielle Stigmatisierung droht. Zu einem immateriellen Schaden zählen auch Ängste, Stress sowie Komfort- und Zeiteinbußen. Der Verpflichtung zum Ausgleich eines immateriellen Schadens muss aber eine benennbare und insoweit tatsächliche Persönlichkeitsverletzung gegenüberstehen, die zB in der mit einer unrechtmäßigen Zugänglichmachung von Daten liegenden „Bloßstellung" liegen kann. Es muss ein objektiviertes Verständnis der persönlichen Beeinträchtigung maßgeblich sein. Das Gericht hat einzelfallbezogen zu beurteilen, ob durch die DS-GVO-Verletzung eine durchschnittlich im Datenschutz sensibilisierte Person solch negative Gefühle entwickeln würde, die über jene hinausgehen, welche man automatisch entwickelt, wenn ein Gesetz zu seinen Ungunsten verletzt wird. Der Geschädigte muss daher einen solchen Nachteil erlitten haben, dem infolge der Beeinträchtigung der Interessen ein Gewicht zukommen muss. Nicht schon jeder, allein durch die Verletzung an sich hervorgerufene Ärger oder sonstige Gefühlsschaden ist auszugleichen, sondern nur ein darüberhinausgehendes besonderes immaterielles Interesses). Entscheidend ist, dass die Datenschutzverletzung über eine individuell empfundene Unannehmlichkeit hinausgeht oder das Selbstbild oder Ansehen einer Person ernsthaft beeinträchtigt, wenn nicht der datenschutzrechtliche Verstoß eine Vielzahl von Personen in gleicher Weise betrifft und Ausdruck einer bewussten, rechtswidrigen und im großen Stil betriebenen Kommerzialisierung ist, weil dann schon auf Grund der Vielzahl der gleichgelagerten Fälle von einer bloßen Unannehmlichkeit nicht mehr die Rede sein kann. Übertragen auf den vorliegenden Einzelfall hat die Kl. die Wahrscheinlichkeit des Eintritts eines konkreten – immateriellen – Schadens nicht dargetan. Einen konkreten immateriellen Schaden behauptet die Kl. erst ab dem 28.10.2020 – mithin ab einem Zeitpunkt, als die Datenschutzrechtsverletzung durch Umorganisation seit mehr als einem Jahr beseitigt war. Im Übrigen beschränkt sich die Kl. auf die – erneute – Darlegung des Datenschutzverstoßes. In dem bloßen – abstrakten – Kontrollverlust über die Daten liegt hier aber nicht der Schaden. Zunächst ist – anders als bei der Veröffentlichung von Daten – kein Kontrollverlust gegeben, denn die Landesbediensteten sind hier im Rahmen einer Verwaltungspraxis für die Bundesbehörde tätig geworden. Die Landesbediensteten unterliegen im gleichen Umfange der dienstlichen Verschwiegenheit wie Bundesbeamte, die in der Personalverwaltung tätig sind. Die Kl. behauptet zudem weder ein Gefühl der Hilflosigkeit noch der Bloßstellung. Zwar wurde die Datenschutzverletzung nicht nur gegenüber der Kl., sondern auch gegenüber weiteren Bundesbeamten begangen, jedoch ist sie nicht Ausdruck einer bewussten, rechtswidrigen und im großen Stil betriebenen Kommerzialisierung. |
OLG München Urt. v. 20.9.2022 – 18 U 6314/20 Pre | 0 EUR Ein Anspruch des Kl. auf Ersatz des immateriellen Schadens nach Art. 82 Abs. 1 DS-GVO scheidet aus. Nach dieser Vorschrift hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen. Die Verarbeitung der Daten der Kl. durch die Bekl. verstieß aber nicht gegen die DS-GVO; denn sie beruhte auf der vorab erteilten Zustimmung zu den Nutzungsbedingungen der Bekl. iSd Art. 6 Abs. 1 S. 1 lit. a DS-GVO und auf Art. 6 Abs. 1 S. 1 lit. f DS-GVO. IÜ gilt auch für diese Anspruchsgrundlage, dass ersatzfähig alle Nachteile sind, die der Geschädigte an seinem Vermögen oder an sonst rechtlich geschützten Gütern erleidet. Ein solch immaterieller Schaden, der hier allenfalls an eine – ggf. auch weniger schwerwiegende – Verletzung des Persönlichkeitsrechts anknüpfen könnte, liegt jedoch wie dargelegt nicht vor. Die bloße Sperrung des klägerischen Nutzerkontos begründet einen solchen Schaden nicht. |
OLG Köln Urt. v. 14.7.2022 – 15 U 137/21 = ZD 2022, 617 | 500 EUR Eine verzögerte Datenauskunft nach Art. 15 DS-GVO rechtfertigt einen immateriellen Schadensersatzanspruch iHv 500 EUR. Der Senat folgt insofern nicht der Auffassung des LG, dass Art. 82 DS-GVO nur solche Schäden erfasst, die „durch eine nicht dieser Verordnung entsprechende Verarbeitung“ entstanden sind und dass damit Verstöße gegen Auskunftspflichten aus Art. 12 Abs. 3 bzw. Art. 15 DS-GVO nicht als Grundlage für einen Ersatzanspruch dienen können. In Art. 82 Abs. 1 DS-GVO ist von einem „Verstoß gegen diese Verordnung“ die Rede und gerade nicht von einer verordnungswidrigen Datenverarbeitung. Die Auffassung des LG, dass diese in Art. 82 Abs. 1 DS-GVO enthaltene Regelung dann durch Art. 82 Abs. 2 DS-GVO konkretisiert – sprich: eingeschränkt – werden sollte, ist weder dem Gesamtkontext noch dem Sinn und Zweck oder aber der Entstehungsgeschichte der Norm mit hinreichender Sicherheit zu entnehmen. Zwar spricht auch Erwägungsgrund 146 DS-GVO davon, dass Schäden ersetzt werden sollen, die „einer Person auf Grund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht“. Allerdings ist der Begriff der Verarbeitung in Art. 4 Ziff. 2 DS-GVO weit gefasst und umfasst zB auch die „Offenlegung durch Übermittlung“, worunter letztlich auch die hier streitgegenständliche Auskunft zu fassen ist. Daneben ergibt sich aus Erwägungsgrund 60 DS-GVO, dass die Grundsätze einer fairen und transparenten Verarbeitung es erforderlich machen, dass die betroffene Person über die Existenz des Verarbeitungsvorgangs und seine Zwecke unterrichtet wird. Dafür wird ihr (vgl. insoweit Erwägungsgrund 63 und 75 DS-GVO) ein entsprechendes Auskunftsrecht („problemlos und in angemessenen Abständen“) zugebilligt, um sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können. Wenn aber in dieser Hinsicht der Schutz des Betroffenen gerade durch Auskunfts- und Informationsrechte gestärkt und damit für Fairness und Transparenz beim Verarbeitungsvorgang gesorgt werden soll, spricht dies entscheidend dafür, die Ersatzpflicht nach Art. 82 Abs. 1 DS-GVO auf jeden Verstoß gegen Regelungen der VO anzuwenden. Durch dieses Verhalten des Bekl. ist der Kl. ein immaterieller Schaden iSv Art. 82 Abs. 1 DS-GVO entstanden. Dabei kommt es vorliegend nicht auf die umstrittene Frage an, ob allein die Verletzung einer Vorschrift der DS-GVO für einen Anspruch aus Art. 82 Abs. 1 DS-GVO ausreicht oder ob es darüber hinaus der Darlegung und des Nachweises eines konkreten Schadens bedarf. Denn vorliegend hat die Kl. umfassend und vom Bekl. unwidersprochen dazu vorgetragen, welche (immateriellen) Folgen die verweigerte Datenauskunft des Bekl. für sie hatte. Diese von der Kl. vorgetragenen Umstände reichen auch aus, um einen immateriellen Schaden iSv Art. 82 Abs. 1 DS-GVO zu begründen. Die Kl. beruft sich vorliegend in erster Linie darauf, dass sie durch die verzögerte Datenauskunft des Bekl. psychisch belastet wurde; sie habe Stress und Sorge im Hinblick auf die Regulierung ihrer Ansprüche aus dem Verkehrsunfallgeschehen empfunden. Vor dem Hintergrund dessen, dass der Begriff des Schadens nach Erwägungsgrund 146 DS-GVO weit ausgelegt werden muss und in Erwägungsgrund 75 DS-GVO beispielhaft Handlungen aufgezählt werden, die zum Schadensersatz führen können, kann ein immaterieller Schaden der Kl. iSe solchen „Kontrollverlustes“ über ihre Daten sowie ein drohender Einfluss auf ihre wirtschaftliche Position, insb. ein Zeitverlust im Zusammenhang mit der Abwicklung des Verkehrsunfallschadens mit dem gegnerischen Haftpflichtversicherer, nicht in Abrede gestellt werden. Die Frage eines sog. Bagatellvorbehalts – soweit sie sich mit Blick auf die Entscheidung des BVerfG v. 14.1.2021 überhaupt noch stellt – spielt im vorliegenden Fall schon deshalb keine Rolle, weil die von der Kl. geltend gemachten Beeinträchtigungen durch die verzögerte Datenauskunft des Bekl. über eine reine Bagatelle hinausgehen. Die Kl. ist für eine nicht unerhebliche Dauer vom Bekl. über das weitere Schicksal des Mandates im Unklaren gelassen worden und war über Monate nicht in der Lage, auf die Handakte zuzugreifen, Kenntnis über den Inhalt der dort gespeicherten Daten zu erlangen und das sie betreffende Verfahren mit dem neuen Prozessbevollmächtigten voran zu treiben. Der Höhe nach hält der Senat den von der Kl. letztlich noch geltend gemachten Betrag iHv 500 EUR für ausreichend und angemessen, um die von ihr erlittenen immateriellen Schäden nach Art. 82 Abs. 1 DS-GVO auszugleichen. Dabei hat er neben den vorstehend dargelegten Umständen, die in Kombination mit dem vorsätzlichen Verhalten des Bekl. für die Kl. sprechen, zu Gunsten des Bekl. berücksichtigt, dass die Daten der Kl. keinem Dritten zugänglich gemacht worden sind und die Frage einer Präventionsfunktion der Entschädigung im vorliegenden Fall auf Grund der sich aus den Akten ergebenden zeitweisen Erkrankungen des Bekl. keine durchgreifende Rolle spielt und letztlich damit keine höhere Entschädigung rechtfertigen kann. |
OLG Frankfurt/M. Urt. v. 30.6.2022 – 16 U 229/20 = MMR 2023, 212 | 0 EUR Die Voraussetzungen für einen immateriellen Schadensersatzanspruch nach Art. 82 DS-GVO liegen nicht vor. In der etwaigen Weiternutzung der bei der Bekl. vorhandenen Daten des Kl. während der teilweisen Sperre seines Kontos liegt kein Verstoß gegen zwingende Vorgaben der DS-GVO. Diese beruhte nämlich auf der vom Kl. vorab erteilten Zustimmung zu den Nutzungsbedingungen der Bekl. (Art. 6 Abs. 1 S. 1 lit. a DS-GVO), welche nicht daran geknüpft ist, dass auch die Bekl. ihren vertraglichen Verpflichtungen nachkommt, und daher auch Zeiträume umfasst, in denen das klägerische Konto gesperrt ist. Die zeitweise Teilsperrung des Nutzerkontos des Kl. stellt bereits keine Verarbeitung von dessen Daten iSv Art. 4 Ziff. 2 DS-GVO dar. Aus diesem Grund ist nicht ersichtlich, dass die teilweise Sperrung der Nutzungsmöglichkeiten des Dienstes gegen Vorschriften der DS-GVO verstoßen hat. Allenfalls hat es sich um eine Einschränkung der Verarbeitung iSv Art. 4 Ziff. 3 DS-GVO gehandelt, weil hierdurch die Erhebung und weitere Verarbeitung der klägerischen Daten verhindert wird. Aus der DS-GVO ergibt sich jedoch kein Anspruch des Kl., dass seine als Posts (Mitteilungen/Kommentare) eingegebenen Daten von der Bekl. weiterverarbeitet und für andere Nutzer zugänglich gemacht werden. Ein solcher Anspruch ergibt sich allein auf vertraglicher Grundlage. Auch sonst ist nicht ersichtlich, gegen welche Vorschrift der DS-GVO die Bekl. durch die teilweise Sperrung des Nutzerkontos verstoßen haben sollte. Durch die Löschung des Beitrags ist dem Kl. kein immaterieller Schaden iSd Art. 82 DS-GVO entstanden, weshalb dahingestellt bleiben kann, ob die Löschung eines Textbeitrags überhaupt als eine Datenverarbeitung iSv Art. 4 DS-GVO zu qualifizieren ist. Art. 82 DS-GVO kann nicht dahin ausgelegt werden, dass er einen Schadensersatzanspruch bereits bei jeder individuell empfundenen Unannehmlichkeit oder bei Bagatellverstößen ohne ernsthafte Beeinträchtigung für das Selbstbild oder Ansehen einer Person begründet. Auch wenn in der Lit. unter Bezug auf Erwägungsgrund 146 DS-GVO vereinzelt die Auffassung vertreten wird, eine wirksame Durchsetzung europäischer Datenschutzrechte erfordere einen Abschreckungseffekt und den Verzicht auf die nach bisherigem Recht geltende Erheblichkeitsschwelle, rechtfertigt dies keinen Ausgleich immaterieller Bagatellschäden. Das Datenschutzrecht schützt zwar per se ein subjektives Recht, das einen starken Bezug zum persönlichen Empfinden des Einzelnen hat. Dennoch ist Art. 82 DS-GVO nicht so auszulegen, dass er einen Schadensersatzanspruch bereits bei jeder individuell empfundenen Unannehmlichkeit oder bei Bagatellverstößen ohne ernsthafte Beeinträchtigung für das Selbstbild oder Ansehen einer Person begründet. Insb. kann der Hinweis auf einen „vollständigen und wirksamen Schadensersatz“ in Erwägungsgrund 146 DS-GVO nicht in diesem Sinne verstanden werden. Die Wahrung des Rechts auf informationelle Selbstbestimmung als Bestandteil des allgemeinen Persönlichkeitsrechts nach Art. 2 Abs. 1 GG und des Schutzes personenbezogener Daten nach Art. 8 GRCh gebieten einen solchen Ausgleich regelmäßig nicht. Anders mag dies in den Fällen sein, in denen der datenschutzrechtliche Verstoß eine Vielzahl von Personen in gleicher Weise betrifft und Ausdruck einer bewussten, rechtswidrigen und im großen Stil betriebenen Kommerzialisierung ist. So liegen die Dinge hier indes nicht. Demnach muss es um eine objektiv nachvollziehbare Beeinträchtigung von persönlichkeitsbezogenen Belangen gehen, die zwar jetzt nicht mehr „besonders schwerwiegend“ sein, aber trotzdem für den Betroffenen ein gewisses Gewicht haben muss. Gegen eine weitere Ausdehnung des immateriellen Schadensersatzes auf Bagatellschäden spricht auch das erhebliche Missbrauchsrisiko, das mit der Schaffung eines auf Rechtsfolgenseite nahezu voraussetzungslosen Geldentschädigungsanspruchs gerade im Bereich des Datenschutzrechts einherginge. Angesichts dessen sowie der damit verbundenen vollständigen Abkehr von der bisher geltenden Rechtslage wäre zu erwarten gewesen, dass eine solche Änderung im Verordnungstext oder in den Erwägungsgründen einen deutlichen Ausdruck gefunden hätte. Dies ist jedoch nicht der Fall. Der Kl. hat eine Beeinträchtigung von ausreichendem Gewicht nicht vorgetragen. Die behauptete Hemmung in der Persönlichkeitsentfaltung durch die Unterdrückung eines einzelnen Posts hat allenfalls Bagatellcharakter, was die Zuerkennung eines immateriellen Schadensersatzes nicht rechtfertigt. Dabei ist der Beweggrund der Bekl. bei Vornahme einer Löschung zu berücksichtigen. Diese erfolgt seitens der Bekl. zur Beseitigung von angenommener „Hassrede“ mit der Intention, das Persönlichkeitsrecht anderer Nutzer zu schützen. Bejahte man bereits in solchen Fällen einen Schadensersatzanspruch, entstünde ein unangemessenes Spannungsverhältnis zwischen der Löschungspflicht des Portalbetreibers bei Kenntnis von rechtswidrigen Inhalten einerseits und dem hiermit verbundenen unverhältnismäßigen Schadensersatzrisiko andererseits. Die Bekl. wäre bereits dann Schadensersatzansprüchen ausgesetzt, wenn sie eine unzutreffende Interessenabwägung im Rahmen ihrer Löschungspflicht vorgenommen hätte. Dem Kl. ist auch kein nach Art. 82 Abs. 1 DS-GVO zu ersetzender materieller Schaden entstanden. Als materieller Schaden iSd Vorschrift ist der beim Betroffenen eingetretene materielle Schaden iSd §§ 249 ff. BGB zu ersetzen. Ein materieller Schaden besteht aus der Differenz zwischen zwei Vermögenslagen des Geschädigten: Der tatsächlich durch das Schadensereignis geschaffenen und der unter Ausschaltung dieses Ereignisses gedachten. Allein das Vorliegen einer unzulässigen Verarbeitung genügt nicht. Dass der Kl. durch die Entfernung seines Posts eine Vermögensminderung erfahren hätte, ist weder vorgetragen noch ersichtlich. Der zeitweiligen Einschränkung der privaten Kommunikationsmöglichkeit auf Facebook kommt für sich genommenen kein Vermögenswert zu; sie stellt daher keinen Schaden in diesem Sinne dar. Das bloße Affektionsinteresse ist gem. den bürgerlich rechtlichen Schadensersatzvorschriften nicht ersetzbar. |
OLG Koblenz Urt. v. 18.5.2022 – 5 U 2141/21 = ZD 2022, 617 | 500 EUR Der Kl. steht wegen Verstößen gegen Art. 5, 6 DS-GVO iVm Art. 4 Ziff. 2 DS-GVO ein Schadensersatzanspruch nach Art. 82 DS-GVO iHv 500 EUR abzüglich des auf die Klageforderung anerkannten Betrags von 54,74 EUR zu, indem sie eine Datenmitteilung an die SCHUFA vornahm, obwohl die Interessen der Bekl. an einer Nichtveröffentlichung ihrer Daten hinsichtlich der zwischen den Parteien noch in Streit stehenden Forderung das Interesse der Kl. an einer Mitteilung überwog. Voraussetzung des Anspruchs nach Art. 82 DS-GVO ist mithin zunächst ein Verstoß gegen die Bestimmungen der DS-GVO. Dabei ist schon streitig, ob es sich um einen Anspruch der Verschuldens- oder der Gefährdungshaftung handelt. Steht der Verstoß fest, sind in Rspr. und Lit. die weiteren Voraussetzungen zur Höhe des Schadensersatzanspruchs umstritten. Auf die Streitfrage, ob ein Verschulden erforderlich ist, um den immateriellen Schadensersatzanspruch zu begründen, kommt es nicht an. Der Begriff des immateriellen Schadens iSv Art. 82 Abs. 1 DS-GVO ist – europarechtlich autonom und die in den Erwägungsgründen zur DS-GVO niedergelegten Zielsetzungen aufnehmend – weit auszulegen. Bereits aus dem Wortlaut der Norm ergibt sich, dass ein immaterieller Schadensersatzanspruch kausale Folge der Pflichtverletzung sein kann. Es muss mithin ein irgendwie gearteter immaterieller Schaden entstanden sein. Zwar geht der Anspruch dann in seiner Zielrichtung über einen erlittenen Schaden heraus, verzichtet aber auf Grund weitergehender Zielsetzungen hierauf nicht. Insoweit bleibt Grundlage des Anspruchs ein Individualrecht zu schützen. Art. 82 DS-GVO ist nicht Teil des kollektiven Rechtsschutzes. Das wirft die Frage auf, wann von einem erlittenen Schaden auszugehen ist. Diese Fragestellung ist von der Annahme abzugrenzen, iRv Art. 82 Abs. 1 DS-GVO sei eine Bagatellgrenze zu berücksichtigen. Eine Bagatellgrenze normiert Art. 82 Abs. 1 DS-GVO seinem Wortlaut nach nicht und eine solche erscheint auch iÜ nicht angezeigt. Der Schadensbegriff des Art. 82 Abs. 1 DS-GVO ist ein europarechtlicher Begriff, bei dessen Ausfüllung nicht auf nationale Erheblichkeitsschwellen oder andere Einschränkungen abgestellt werden darf. Der Begriff des Schadens soll nach Erwägungsgrund 146 S. 3 DS-GVO „im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht.“ Einen Ausschluss vermeintlicher Bagatellschäden sieht die DS-GVO nicht vor. In diesem Sinne kommt Art. 82 DS-GVO kein Strafcharakter zu – dieser ist vielmehr das staatliche Gewaltmonopol respektierend in Art. 84 DS-GVO niedergelegt, sehr wohl aber eine Anreizfunktion für den Verantwortlichen, hinreichende Sicherungsmaßnahmen zum Schutz der personenbezogenen Daten der betroffenen Person zu treffen. Einen Schaden erst dann anzunehmen, wenn es zu einer mit einer unrechtmäßigen Zugänglichmachung von Daten liegenden (öffentlichen) Bloßstellung, einem Identitätsdiebstahl, einer Weitergabe sensibler Informationen oder einer anderen ernsthaften Beeinträchtigung für das Selbstbild oder Ansehen einer Person kommt, und ein besonderes immaterielles Interesse zu verlangen, das über den allein durch die Verletzung an sich hervorgerufenen Ärger oder sonstige Gefühlsschäden hinausgeht, verkennt den autonom und nach Erwägungsgrund 146 DS-GVO ausdrücklich weit auszulegenden Begriff des Schadens und missachtet den individuellen Ausgleichsanspruch im Hinblick auf die aufgezeigten Folgen. Eine solche Sichtweise greift also zu kurz. Die o. g. Beschränkungen bleiben bei der Frage nach dem Schadensersatzanspruch dem Grunde nach außer Betracht, sondern sind erst im Kontext der Höhe des Ersatzanspruchs zu berücksichtigen. Maßgeblich ist, ob die betroffene Person mit dem Beweismaß des § 286 ZPO die immaterielle Betroffenheit darlegen und nachweisen kann. Deren Intensität ist dann mit dem Beweismaß des § 287 ZPO bei der Höhe des Anspruchs zu berücksichtigen. Erst hier kommen dann die weiter denkbaren immateriellen Beeinträchtigungen der Bloßstellung oder das notwendige Schutzniveau der betroffenen Daten zum Tragen. Die Genugtuungsfunktion kommt dann – ergänzend – zum Tragen, wenn es zu einer tatsächlichen Beeinträchtigung der Schutzgüter im Verhältnis zu Dritten iSe Verwendung der pflichtwidrig verarbeiteten personenbezogenen Daten ggü. Dritten gekommen ist. Hier greift also nicht (nur) die Sorge vor der Stigmatisierung, Diskriminierung oder Rufschädigung, sondern das in dem Datenschutzverstoß liegende Risiko hat sich nun verwirklicht. Das steigert einerseits die Anforderungen an die Ausgleichsfunktion und begründet zugleich innerhalb des einheitlich zu bestimmenden immateriellen Ersatzanspruchs die Genugtuung als Bestimmungsmerkmal für die Höhe. Genau diese Verarbeitung unter Beteiligung Dritter bewirkt die zu korrigierende Bloßstellung außerhalb dadurch verursachter materieller Schäden. Dies kann bei der Konfrontation mit Negativauskünften bei einer Kreditanfrage ebenso der Fall sein, wie bei der Bewerbung um eine Mietwohnung oder negativen Auskünften iRe Arbeitsverhältnisses. Auch die Verweigerung von Postpaid-Angeboten wegen negativer Scores kann hierzu gehören. Die betroffene Person hat auf der Grundlage der ihr zustehenden Auskunftsansprüche nach Art. 15 DS-GVO regelmäßig keine Schwierigkeiten die Verarbeitung der Daten ggü. Dritten nachzuweisen und auf dieser Grundlage die Genugtuungsfunktion geltend zu machen. Nicht übersehen werden darf die generalpräventive Wirkung des immateriellen Schadensersatzanspruchs. Im Spannungsfeld zwischen dem Risiko der entgeltlichen Sanktionierung von folgenlosen Verstößen gegen die DS-GVO durch einen immateriellen Schadensersatzanspruch nach Art. 82 DS-GVO, den Aufgaben des kollektiven Rechtsschutzes durch Aufsichtsbehörden mit den Sanktionsmöglichkeiten nach Art. 84 DS-GVO, dem Verhältnismäßigkeitsgrundsatz und dem Grundsatz, die gleiche Pflichtverletzung mit der gleichen Zielsetzung nicht doppelt zu sanktionieren, muss dem Grundanliegen der DS-GVO, schon die Verarbeitung der Daten im Kontext der Schutzzwecke zu gewährleisten, Rechnung getragen werden. Schon bei der Bestimmung der Zwecke, den angenommenen Rechtsfertigungsgründen und der ggf. vorzunehmenden Datenschutzfolgeabwägung muss das Schutzniveau auch durch den immateriellen Schadensersatzanspruch effektiv gewahrt werden. Hier gilt es also im Lichte des immateriellen Schadensersatzanspruchs nach Art. 82 DS-GVO Anreize zu schaffen, dass das Schutzniveau so hoch ist, dass es zur Realisierung des Schadensersatzrisikos erst gar nicht kommt. Dabei muss die generalpräventive Wirkung sich nicht in besonders hohen immateriellen Schadensersatzansprüchen niederschlagen, sondern kann gerade in der Breitenwirkung – auch kleine Verstöße werden ohne Bagatellgrenze sanktioniert – ihre Funktion erfüllen. Wo Menschen arbeiten, passieren Fehler. Kommt es hierzu im Einzelfall, ist die geringere Sanktion verhältnismäßig und gleichwohl spürbar und damit effektiv. Kommt es dagegen zu vielfachen Pflichtverletzungen und Rechtsverstößen, wird sich aus vielen kleinen Ansprüchen – zumal diese auch sowohl kollektiv als iRv Legal-Tech-Angeboten sehr breit geltend gemacht werden –, schnell ein großer finanzieller Verlust bei dem betroffenen Unternehmen einstellen. Bei großer oder größerer Quantität der Pflichtverletzungen wird also auch eine höhere Effektivität kleinerer Schadensersatzansprüche im Einzelfall erreicht. Dabei muss auch das weiter in Art. 1 DS-GVO formulierte Ziel gesehen werden, den freien Verkehr von Daten sehr wohl zu ermöglichen. Bonitätsprüfungen schützen nicht nur Wirtschaftsunternehmen vor leistungsunfähigen und -unwilligen Kunden, sondern auch Verbraucher vor einer übermäßigen Verschuldung gerade im bargeldlosen Zahlungsverkehr. Die generalpräventive Wirkung darf in der Bemessung des immateriellen Schadensersatzes deshalb nicht dazu führen, dass wegen des Schadensersatzrisikos keine Einmeldungen bei Wirtschaftsauskunfteien mehr erfolgen, weil dann andere Schutzzwecke negativ tangiert werden. Der in seinen finanziellen Verhältnissen nicht gefestigte Verbraucher soll durch Einmeldungen davor geschützt werden, schnell in die Verschuldung zu geraten. Die Warnfunktion durch die Beschränkung kreditierter Geschäfte ist ein Baustein, um dies zu gewährleisten. In diesem Kontext ist dann auch zu bewerten, dass die Zuerkennung immateriellen Schadensersatzes nicht die einzige Sanktionsform ggü. dem pflichtwidrig handelnden Unternehmen darstellt, gerade dann, wenn über Beschwerden an Aufsichtsbehörden beharrliche Rechtsverstöße festzustellen sind. Auch darf am Ende keine Motivation bestehen, wegen hoher immaterieller Ersatzansprüche Datenschutzverstöße zu provozieren, insb., wenn schon ein geringes Verschulden oder sogar nur der objektive Pflichtverstoß den Anspruch auslöst. Bei der Bewertung der generalpräventiven Wirkung in der Bemessung des immateriellen Schadensersatzanspruchs der Höhe nach ist deshalb auch zu berücksichtigen, inwieweit im konkreten Einzelfall die verfolgten Ziele schon durch Ausgleich und Genugtuung erreicht sind oder es einer überschießenden Wirkung bedarf. Ausgehend von diesem immateriellen Schadensbegriff hat die Bekl. einen ihr entstandenen immateriellen Schaden dem Grunde nach hinreichend dargelegt. Sie hat hierzu ausgeführt, die unberechtigt weitergegebenen Daten seien geeignet gewesen, ihre Kreditwürdigkeit erheblich herabzusetzen und ihre Teilhabe am Wirtschaftsleben zu erschweren. So sei die Kreditvergabe bei ihrer Hausbank angehalten worden und es sei zu befürchten, dass ihr künftig bei im Internet abgeschlossenen Geschäften Käufe auf Rechnung versagt würden. Bereits diese allgemein vorgetragenen potenziellen Schwierigkeiten bei der Teilhabe am Wirtschaftsleben in Form des Abschlusses von Internetkäufen sind ausreichend, einen ihr bereits entstandenen – und nicht erst zu befürchtenden – immateriellen Schaden iSd Ausgleichsfunktion darzulegen. Die mit den dargelegten Gefahren verbundenen Ängste sind nachvollziehbar. Gerade im eCommerce ist es gerichtsbekannt üblich, den Vertragskontakt durch Bonitätsabfragen abzusichern. Bonitäts-Scores beruhen dabei in der Regel auf den Merkmalen, die die großen Auskunfteien, darunter die SCHUFA, mitteilen. Vor diesem Hintergrund begründet schon die Einmeldung und die daraus folgende Nutzbarkeit des Negativmerkmals den immateriellen Schaden und nicht erst die – durch die betroffene Person kaum nachweisbare – Nutzung der eingetragenen Daten zu ihrem Nachteil. Zugleich zeigen schon das vorliegende Verfahren wie andere veröffentlichte Entscheidungen, dass die Beseitigung einer fehlerhaften Einmeldung nicht ohne Weiteres gelingt, insb. wenn damit die Wiederherstellung des Zustands vor der Einmeldung erstrebt wird und nicht nur eine Korrektur für die Zukunft. Ob daneben ein materieller Schaden entstanden ist, ist hier nicht zu entscheiden. Die Kl. kann sich von der vermuteten Haftung nach Art. 82 Abs. 1 DS-GVO nicht befreien. Bloßes Mitverschulden des Geschädigten entlastet nicht, ebenso nicht eine Mitverantwortung Dritter oder Mitverursachung durch höhere Gewalt. Ein Verantwortlicher kann sich schließlich nicht dadurch entlasten, dass er nachweist, dass sein Auftragsverarbeiter eine rechtmäßige Weisung missachtet oder sonst gegen seine eigenen Pflichten verstoßen hat. Dies ergibt sich nicht zuletzt aus der in Art. 82 Abs. 4 DS-GVO angeordneten gesamtschuldnerischen Haftung von Verantwortlichem und Auftragsverarbeiter, da das Gebot des wirksamen Schadensersatzes (Erwägungsgrund 146 S. 6 DS-GVO) ansonsten unterlaufen würde. Die Höhe des Anspruchs auf materiellen Schadensersatz ist mit dem von der Bekl. iRd offenen Teilklage geltend gemachten Betrag iHv 6.000 EUR jedoch nach Maßgabe des § 287 ZPO gänzlich überzogen und steht außer Verhältnis zu immateriellen Ersatzansprüchen im Kontext anderer Schädigungshandlungen, wie etwa bei physischen Auswirkungen von Körperverletzungen. Es werden damit die maßgeblichen Umstände des konkreten Einzelfalles im Gesamtkontext nicht hinreichend berücksichtigt. Der Senat hält ein Schmerzensgeld von 500 EUR für angemessen, aber auch ausreichend, um einerseits der Ausgleichs- und Genugtuungsfunktion zu genügen, und andererseits der generalpräventiven Funktion des immateriellen Schadensersatzes hinreichend Rechnung zu tragen. Art. 82 DS-GVO enthält keine Kriterien zur Bestimmung der Höhe des Anspruchs auf immateriellen Schadensersatz. Ausgangspunkt für dessen Berechnung ist der weit auszulegende europarechtliche Schadensbegriff. Zu berücksichtigen sind neben der inhaltlichen Schwere des Verstoßes, seiner Dauer und dem Kontext, in dem der Verstoß erfolgte, auch die Ausgleichs-, Genugtuungs- und Vorbeugefunktion des Schadensersatzanspruchs sowie drohende Folgen. Wesentlich sind die konkreten Umstände des Einzelfalles. Um den verschiedenen Funktionen des Schadensersatzanspruchs Rechnung zu tragen, ist es nicht zwingend, die Beträge hoch anzusetzen, um die geforderte Wirksamkeit und abschreckende Wirkung zu erzielen. Eine solche Betrachtungsweise lässt die Summe der konkreten Umstände des Einzelfalles außer Betracht und fokussiert sich allein auf die generalpräventive Wirkung. Auch lässt dies außer Betracht, dass ein konkreter Anspruchsteller mit seiner Betroffenheit zu entschädigen ist, während das Allgemeininteresse im Schwerpunkt nach Art. 83 DS-GVO durch Bußgelder gewahrt wird. Mit einer solchen Sichtweise wird aber die Schwelle zu einer strafenden Funktion unangemessen überschritten. Art. 82 DS-GVO will aber keinen Strafanspruch verwirklichen, was ohnehin allein dem Staat und nicht einem Einzelnen zusteht –, sondern allein general-präventiv zu Sicherungsmaßnahmen motivieren. Den Kontext betrachtend muss gesehen werden, dass es sich bei dem Forderungsmanagement in bestimmten Wirtschaftsbereichen um Massenverfahren handelt. Die Einzelforderung ist dabei außerordentlich gering und verbleibt auch in der Summe mehrerer Monate meist im Korridor der geringfügigen Forderungen bis 500 EUR. Schon der Einzelfall eines immateriellen Schadensersatzanspruchs in dem als angemessenen erachteten Umfang, verursacht also einen die Hauptsacheforderung übersteigenden Ertragsverlust. Im Hinblick auf die Vergütungsforderung des (Rechts-)Dienstleisters, der in diesen Kontexten regelmäßig die Einmeldung veranlasst, übersteigt der Anspruch sogar ein Vielfaches seiner Vergütung. Kommt es im Einzelfall zu einem Rechtsverstoß, wird der konkreten niedrigschwelligen Ausgleichsfunktion wie der im konkreten Fall notwendigen Genugtuung im Hinblick auf die Bloßstellung ggü. dem eigenen Kreditinstitut durch den zuerkannten immateriellen Schadensersatzanspruch genügt. Die Beeinträchtigungen sind primär wirtschaftlicher und nicht höchstpersönlicher Natur und kommen körperlichen Beeinträchtigungen nicht nahe. Kommt es zu vielen Fällen von Rechtsverstößen durch den gleichen Verantwortlichen (Verletzter), ist die hohe abschreckende Wirkung ebenso in der Breite der Schadensersatzpflicht, dh in der Summe aller immateriellen Ersatzansprüche, zu sehen. Daneben tritt dann noch die Gefahr ganz erheblicher materieller Ersatzansprüche. Würde man den immateriellen Schadensersatzanspruch zu hoch ansetzen, begründete dies die Gefahr, dass aus wirtschaftlichen Gründen Einmeldungen gänzlich unterbleiben. Dies ließe die verbraucherschützende Funktion der Einmeldung, eine Verschuldung zu erschweren, in unvertretbarer Weise gänzlich in den Hintergrund treten. Der vom Senat für angemessen erachtete Ersatzanspruch berücksichtigt danach auch den Grundsatz der Verhältnismäßigkeit. Zu sehen ist daneben, dass die betroffene Person eine Vielzahl von Rechten und Möglichkeiten hat, die Beeinträchtigung gering und kurz zu halten, sodass der immaterielle Schadensersatz auch in seiner Sanktionswirkung nicht alleine steht. |
OLG Hamm Beschl. v. 19.5.2022 – 6 U 137/21 | 0 EUR Ein Schmerzensgeldanspruch ergibt sich auch nicht aus Art. 82 DS-GVO. Nach Art. 82 Abs. 1 DS-GVO käme ein Schmerzensgeldanspruch in Betracht, wenn dem Kl. durch eine Verletzung der DS-GVO durch die Bekl. ein immaterieller Schaden entstanden wäre. Eine Verletzung der DS-GVO durch die Bekl. wegen Verstoßes gegen Art. 6 und Art. 14 DS-GVO ist, entgegen der Ansicht des Kl., nicht gegeben. Zwar hat die Bekl. durch das Speichern der Daten des Kl., die dieser bei seiner Registrierung angegeben hat, iSd Art. 4 Ziff. 2 DS-GVO Daten des Kl. verarbeitet. Allerdings war dies nach Art. 6 Abs. 1 S. 1 lit. b DS-GVO gerechtfertigt, da die Daten der Anbahnung des Vertrags auf Anfrage des Kl. zwischen der Bekl. und dem Kl. dienten. Der Kl. hat eine Registrierung bei der Bekl. angefragt und dabei seine Daten an diese übersendet. Die Daten dienten der Vorbereitung des Vertrages zwischen Kl. und Bekl. mit dem Inhalt der jederzeitigen kostenlosen und unbefristeten Nutzung der Meldeplattform der Bekl. durch den Kl. Eine Datenerhebung iSd Art. 14 DS-GVO liegt nicht vor, da die Bekl. die Daten bei dem Kl. als betroffener Person erhoben hat. Der Senat sieht keine Vorlagepflicht an den EuGH, da es nicht, wie in dem vom Kl. zitierten Fall (BVerfG Beschl. v. 14.1.2021 – 1 BvR 2853/19), auf die Auslegung des Schadensbegriffes des Art. 82 Abs. 1 DS-GVO ankommt. |
OLG Karlsruhe Urt. v. 26.4.2022 – 14 U 270/20 = MMR 2022, 702 (Ls.) | 0 EUR Die rechtswidrige Sperrung eines Kontos bei einem sozialen Netzwerk begründet keinen Schadensersatzanspruch nach Art. 82 DS-GVO. Dabei kann bei der Bestimmung auch des immateriellen Schadens auf den Wert der Daten und ihrer Nutzung aus Sicht des Verantwortlichen abgestellt werden, insb., wenn diese Daten kommerziell genutzt werden. Eine schwerwiegende Verletzung des Persönlichkeitsrechts ist grds. nicht Voraussetzung des Schadensersatzanspruchs. Es fehlt jedoch an einer Darlegung seitens des Kl., inwiefern ein Verstoß der Bekl. gegen Vorschriften der DS-GVO vorlag und auf welche Weise ein immaterieller Schaden verursacht worden sein soll. Ein Verstoß gegen die DS-GVO stellt nicht bereits den Eintritt eines – auch immateriellen – Schadens dar. Außerdem ist ein Verstoß nicht schlüssig vorgetragen worden. Soweit der Kl. die Rechtsauffassung vertritt, dass die Einwilligung des Nutzers gem. Art. 6 Abs. 1 S. 1 lit. a, lit. f DS-GVO ihre Wirksamkeit von selbst verliere, wenn die Bekl. eine teilweise Sperre des Kontos veranlasse, kann dem nicht gefolgt werden. Auf welche Weise sich eine solche Einschränkung oder Bedingung der Zustimmung zur Datenvereinbarung in rechtlicher Hinsicht ergeben sollte, ist nicht nachzuvollziehen. |
OLG Frankfurt/M. Urt. v. 14.4.2022 – 3 U 21/20 = ZD 2022, 621 | 500 EUR Dem Kl. steht wegen der rechtswidrigen Übersendung des Kontoabschlusses und der Meldung einer unzutreffenden „früheren Adresse“ an die SCHUFA ein Schmerzensgeldanspruch nach Art. 82 Abs. 1 DS-GVO iVm Art. 6 DS-GVO, §§ 249, 253 BGB iHv 500 EUR ebenso zu wie ein materieller Schadensersatzanspruch hinsichtlich der Erstattung anteiliger vorgerichtlicher Rechtsanwaltskosten. Beim Kl. liegt eine spürbare Beeinträchtigung seines durch die DS-GVO geschützten Rechts an den eigenen persönlichen Daten vor. Dem Kl. ist zwar – von den vorgerichtlichen Anwaltskosten abgesehen – kein materieller Schaden, aber ein gem. Art. 82 DS-GVO ersatzfähiger immaterieller Schaden entstanden. Aus dem Wortlaut von Art. 82 Abs. 1 DS-GVO ergibt sich, dass ein Anspruch auf Schadensersatz nur besteht, wenn ein materieller oder immaterieller Schaden entstanden ist. Der Schaden muss erlitten sein, dh entstanden und nicht nur befürchtet werden. Dies führt aber nicht dazu, dass der Senat einen vom Kl. erlittenen Schaden nicht feststellen könnte, auch wenn dieser im Wesentlichen „immaterieller“ Art ist. Zu beachten ist bei der Auslegung von Art. 82 Abs. 1 DS-GVO, dass nach Erwägungsgrund 146 S. 3 DS-GVO der Begriff des Schadens im Lichte der Rspr. des Gerichtshofs „weit und auf eine Art und Weise ausgelegt werden“ soll, „die den Zielen dieser Verordnung entspricht“. Hier bedarf die in Rspr. und Lit. umstrittene Frage, ob die nach der DS-GVO selbst gebotene weite Auslegung dazu führt, dass grds. jeder DS-GVO-Verstoß auch einen immateriellen Schaden begründet, nicht der Entscheidung. Nach dieser Auffassung ist die Schwere des immateriellen Schadens für die Begründung des Anspruchs nach Art. 82 Abs. 1 DS-GVO irrelevant und wirkt sich lediglich auf die Schadenshöhe aus. Die bisherige deutsche Rspr., die immateriellen Schadensersatz überhaupt nur bei schwerwiegenden Persönlichkeitsrechtsverletzungen zugesprochen hat, was auch der ausdrücklichen Regelung in § 8 Abs. 2 BDSG aF entsprach, ist nicht mehr anwendbar. Der Senat ist auch nicht der Auffassung, dass hier ein Bagatellfall vorliegt, der von der Anwendbarkeit der DS-GVO grds. auszuschließen wäre. Einen Ausschluss vermeintlicher Bagatellschäden wegen fehlender Erheblichkeit sieht weder das Gesetz vor, noch ist es (bisher) Grundlage der EuGH-Rspr. Der Schadensbegriff in Art. 82 DS-GVO ist, soweit dieser nicht autonom auszulegen ist, jedenfalls im Lichte von Erwägungsgrund 146 DS-GVO und der Rspr. des EuGH weit auszulegen, sodass die Ziele der DS-GVO in vollen Umfang erreicht werden. Danach liegt beim Kl. eine spürbare Beeinträchtigung seines durch die DS-GVO geschützten Rechts an den eigenen personenbezogenen Daten durch das Zusammenspiel der folgenden Faktoren vor: Weiterleitung des Kontoabschlusses an den Dritten, begründete Befürchtung des Kl., dass es angesichts des Ende Januar/Anfang Februar 2019 im Online-Zugang des Kl. eingestellten Kontoauszugs, der die Adresse des Dritten in Stadt auswies, wieder zu einer Datenpanne gekommen sein könnte und Meldung einer unzutreffenden „früheren Adresse“ zum SCHUFA-Profil des Kl. durch die ehemalige Bekl. zu 2). Eine wirtschaftliche Betrachtung zur Ermittlung des immateriellen Schadens verbietet sich. Der immaterielle Schaden des Kl. liegt u. a. in dem Verlust der Kontrolle über seine personenbezogenen Daten. Unbefugte Datenverarbeitungen können zu einem Gefühl des Beobachtetwerdens und der Hilfslosigkeit führen. Der Kl. hat auch Zeit und Mühe aufgewendet, um sich vor drohendem (weiteren) Missbrauch zu schützen, was ebenfalls eine relevante Beeinträchtigung iSv Art. 82 Abs. 1 DS-GVO darstellt. Die Verletzung von Persönlichkeitsrechten zeichnet sich gerade dadurch aus, dass nicht zwangsläufig eine bilanzierungsfähige Vermögensminderung auf Seiten des Verletzten eintritt, sondern oft ausschließlich seelischer oder moralischer Unbill und Aufwendung der Ressource Zeit. Der Bekl. hat auch schuldhaft gehandelt. Allerdings hat sich hinsichtlich der Bemessung des auf Grund von Art. 82 Abs. 1 DS-GVO zu gewährenden immateriellen Schadensersatzes noch keine gefestigte Rspr. oder einhellige Meinung herausgebildet, auch wenn die zu § 253 BGB entwickelten Grundsätze herangezogen werden können. Die Geschädigten sollen gem. Erwägungsgrund 146 S. 6 DS-GVO einen „vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten“. Diese Stoßrichtung wird mit Blick auf die einschlägige Rspr. des EuGH dahingehend interpretiert, dass die Schadensersatzhöhe unter Berücksichtigung des unionsrechtlichen Effektivitätsgrundsatzes so zu bemessen sei, dass eine Abschreckungswirkung entfaltet werde. Unstreitig sind für die Bemessung des Schmerzensgelds auch die Kriterien des Art. 83 Abs. 2 DS-GVO, der für die Verhängung von Geldbußen durch die Aufsichtsbehörden gilt, heranzuziehen, also die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung von Art, Umfang oder Zweck der betreffenden Verarbeitung sowie die betroffenen Kategorien personenbezogener Daten. Der Schmerzensgeldanspruch ist angesichts dessen, dass der eingetretene Schaden am unteren Rand möglicher Beeinträchtigungen des Persönlichkeitsrechts des Kl. und seiner Rechte aus Art. 6 DS-GVO anzusiedeln ist, grds. nicht sehr hoch zu bemessen. Auch ist nur bekannt, dass lediglich zwei Personen hiervon entgegen Art. 6 DS-GVO Kenntnis erlangt haben. Die vom Kl. geltend gemachten vorgerichtlichen Rechtsanwaltskosten sind aus Art. 82 Abs. 1 DS-GVO iVm mit den zu § 249 Abs. 1 BGB entwickelten Grundsätzen begründet. Der sich aus Art. 82 Abs. 1 DS-GVO iVm § 249 Abs. 1 BGB ergebende Anspruch auf Freistellung nach § 257 S. 1 BGB hätte sich jedenfalls gem. § 280 Abs. 1 und Abs. 3 sowie § 281 Abs. 1 S. 1 BGB in einen Zahlungsanspruch umgewandelt. |
OLG Dresden Urt. v. 8.3.2022 – 4 U 1050/21 = MMR 2022, 479 | 0 EUR Ein Schadensersatzanspruch wegen rechtswidriger Beitragslöschungen und vorübergehender Sperrrungen folgt nicht aus Art. 82 DS-GVO. Dabei kann bei der Bestimmung auch des immateriellen Schadens auf den Wert der Daten und ihrer Nutzung aus Sicht des Verantwortlichen abgestellt werden, insb., wenn diese Daten kommerziell genutzt werden. Eine schwerwiegende Verletzung des Persönlichkeitsrechts ist grds. nicht Voraussetzung des Schadensersatzanspruchs. Es fehlt an einer Darlegung seitens des Kl, inwiefern ein Verstoß der Bekl. gegen Vorschriften der DS-GVO vorlag und auf welche Weise ein immaterieller Schaden verursacht worden sein soll. Ein Verstoß gegen die DS-GVO stellt nicht bereits den Eintritt eines – auch immateriellen – Schadens dar. Außerdem ist ein Verstoß nicht schlüssig vorgetragen worden. Soweit die Kl. die Auffassung vertritt, dass die Einwilligung des Nutzers gem. Art. 6 Ziff. 1 lit. a, lit. f DS-GVO ihre Wirksamkeit von selbst verliere, wenn die Bekl. eine teilweise Sperre des Kontos veranlasse, kann dem nicht gefolgt werden. Auf welche Weise sich eine solche Einschränkung oder Bedingung der Zustimmung zur Datenvereinbarung in rechtlicher Hinsicht ergeben sollte, ist nicht nachzuvollziehen. |
OLG Frankfurt/M. Urt. v. 2.3.2022 – 13 U 206/20 = ZD 2022, 333 mAnm Schemmel | 0 EUR Art. 82 DS-GVO erfordert die Darlegung des Eintritts eines Schadens. Die Frage, ob bereits der Datenschutzverstoß als solcher für das Entstehen eines Schadensersatzanspruchs ausreicht oder es darüber hinaus der Darlegung und des Nachweises eines konkreten (auch: immateriellen) Schadens bedarf, ist in Rspr. und Lit. umstritten. Der Senat folgt im Ergebnis der Auffassung, wonach über den festgestellten Verstoß gegen die Vorschriften des DS-GVO hinaus Voraussetzung für eine Entschädigung in Geld der Nachweis eines konkreten (auch immateriellen) Schadens ist. Hierfür spricht zunächst bereits der Wortlaut von Art. 82 Abs. 1 DS-GVO, der über den Verstoß hinaus ausdrücklich die Entstehung eins Schadens („… Schaden entstanden ist“) voraussetzt. Hätte der Verordnungsgeber eine nur an den Rechtsverstoß anknüpfende, vom Nachweis eines konkreten Schadens unabhängige Zahlungspflicht anordnen wollen, hätte es demgegenüber nahegelegen, dies – wie zB im Luftverkehrsrecht gem. Art. 7 Abs. 1 FluggastrechteVO (VO (EG) 261/2004) – durch Pauschalen zu regeln. In Erwägungsgrund 146 S. 3 DS-GVO heißt es zwar, dass der Begriff des Schadens im Lichte der Rspr. des EuGH weit auf eine Art und Weise ausgelegt werden soll, die den Zielen der VO in vollem Umfang entspricht. Der Anspruch soll nach Erwägungsgrund 146 S. 6 DS-GVO sicherstellen, dass die betroffenen Personen einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden enthalten. Das schließt ein, dass Schadensersatzforderungen abschrecken und weitere Verstöße unattraktiv machen sollen. Der Begriff des Schadens in Art. 82 DS-GVO ist autonom auszulegen, mithin kommt es nicht darauf an, ob ein bestimmter Schaden nach nationalem Recht als Schaden angesehen werden könnte. Auch hiernach ist der Schaden jedoch nicht mit der zu Grunde liegenden Rechtsgutsverletzung gleichzusetzen. Denn ausdrücklich muss der Schaden „erlitten“ werden, woraus folgt, dass dieser tatsächlich entstanden sein muss und nicht lediglich befürchtet wird. Der bloße Verstoß gegen Bestimmungen der DS-GVO reicht daher nicht aus. Hinzu kommt schließlich, dass weder Art. 82 DS-GVO noch dessen Erwägungsgründe einen Hinweis darauf enthalten, dass geringfügige (Bagatellschäden) nicht auszugleichen wären; vielmehr sieht Erwägungsgrund 148 S. 2 DS-GVO vor, dass lediglich ausnahmsweise bei geringfügigen Verstößen auf die Verhängung einer Geldbuße verzichtet werden kann. Das Erfordernis des Nachweises eines tatsächlich erlittenen Schadens ist daher auch der Sache nach erforderlich, um ein vom Verordnungsgeber nicht gewolltes Ausufern von Schadensersatzforderungen in allen Fällen eines – tatsächlich für den Betroffenen folgenlosen – Datenschutzverstoßes zu vermeiden. Das Vorliegen eines konkreten – immateriellen – Schadens, wozu auch Ängste, Stress sowie Komfort- und Zeiteinbußen zählen, hat der Kl. nicht dargetan. |
LSG Hessen Beschl. v. 26.1.2022 – L 6 SF 7/21 DS = ZD 2022, 573 | 0 EUR Bei dem unmittelbar auf Art. 82 Abs. 1 DS-GVO gestützten Anspruch, den der Kl. geltend macht, handelt es sich um einen Schadensersatzanspruch aus Amtspflichtverletzung iSv Art. 34 S. 3 GG. Für hieran anknüpfende Schadensersatzansprüche ist die ausschließliche Zuständigkeit der ordentlichen Gerichte gegeben. Anknüpfungspunkt für entsprechende Überlegungen ist Art. 82 Abs. 6 DS-GVO: Danach sind mit Gerichtsverfahren zur Inanspruchnahme des Rechts auf Schadensersatz die Gerichte zu befassen, die nach den in Art. 79 Abs. 2 DS-GVO genannten Rechtsvorschriften des Mitgliedstaats zuständig sind. Dieser legt in seinem S. 1 fest, dass für Klagen gegen einen Verantwortlichen oder gegen einen Auftragsverarbeiter die Gerichte des Mitgliedstaats zuständig sind, in dem der Verantwortliche oder der Auftragsverarbeiter eine Niederlassung hat. Wahlweise können nach Art. 79 Abs. 2 S. 2 DS-GVO solche Klagen auch bei den Gerichten des Mitgliedstaats erhoben werden, in dem die betroffene Person ihren Aufenthaltsort hat, es sei denn, es handelt sich bei dem Verantwortlichen oder dem Auftragsverarbeiter um eine Behörde eines Mitgliedstaats, die in Ausübung ihrer hoheitlichen Befugnisse tätig geworden ist. Bezieht man den Verweis aus Art. 82 Abs. 6 DS-GVO unmittelbar auf „die Gerichte“ des Mitgliedstaats nach Art. 79 Abs. 2 DS-GVO könnte dem zu entnehmen sein, dass primärer und sekundärer Rechtsschutz nicht auseinanderlaufen sollen und die europarechtlichen Vorgaben also dem für das deutsche Recht typischen gespaltenen Rechtsweg entgegenstehen. Die mit § 81 b SGB X getroffene Zuständigkeitsregelung wäre dann nach den europarechtlichen Vorgaben auch für die Schadensersatzansprüche aus Art. 82 DS-GVO maßgeblich. Der Wortlaut lässt allerdings auch ein Verständnis der Verweisungsregelung aus Art. 82 Abs. 6 DS-GVO zu, dass sich nur allgemein auf die Regelungen des nach Art. 79 Abs. 2 DS-GVO zuständigen Mitgliedstaats bezieht und die internen Zuweisungen der gerichtlichen Zuständigkeit den innerstaatlichen Regelungen überlässt. Dementsprechend wird Art. 82 Abs. 6 DS-GVO schon unabhängig von der hiesigen Problematik überwiegend nur als Regelung der internationalen Zuständigkeit und also des zuständigen Mitgliedstaats angesehen. |
OLG Celle Urt. v. 20.1.2022 – 13 U 84/19 = MMR 2022, 399 | 0 EUR Es lag kein Verstoß gegen die DS-GVO vor. Die Nutzung der Daten des Kl. erfolgte mit dessen Zustimmung. Daran ändert es nichts, dass sich die Bekl. bei der Löschung des Posts und der Sperrung pflichtwidrig verhalten hat. |
OLG Düsseldorf Hinweisbeschluss v. 11.1.2022 – 16 U 130/21 = ZD 2022, 388 mAnm Abel | 0 EUR Der Kl. hat keinen Anspruch auf Ersatz von vorgerichtlichen Rechtsanwaltskosten nach Art. 82 DS-GVO. Nach Art. 82 Abs. 1 und 2 DS-GVO setzt die Schadensersatzhaftung des Verantwortlichen voraus, dass der Schaden infolge eines dem Verantwortlichen zurechenbaren Verstoß gegen die DS-GVO entstanden ist. Wie sich aus Art. 82 Abs. 2 DS-GVO und Erwägungsgrund 146 S. 1 DS-GVO ergibt, knüpft diese Haftung an eine Verarbeitung des Verantwortlichen an. Gemessen daran scheidet eine Schadensersatzhaftung der Bekl. schon deshalb aus, weil nach den vorstehenden Ausführungen ein von der Bekl. zu verantwortender Verstoß gegen die DS-GVO durch die streitgegenständliche Einmeldung nicht festzustellen ist. |
OLG München Urt. v. 14.12.2021 – 18 U 6997/20 Pre MMR 2022, 808 (Ls.) | 0 EUR Ersatzfähig als Schaden sind alle Nachteile, die der Geschädigte an seinem Vermögen oder an sonst rechtlich geschützten Gütern erleidet. Ein solch immaterieller Schaden, der hier allenfalls an eine – ggf. auch weniger schwerwiegende – Verletzung des Persönlichkeitsrechts anknüpfen könnte, liegt nicht vor. Die bloße Sperrung des klägerischen Nutzerkontos begründet einen solchen Schaden nicht. |
OLG Dresden Urt. v. 30.11.2021 – 4 U 1158/21 = ZD 2022, 159 | 5.000 EUR Anknüpfungspunkt für einen Anspruch aus Art. 82 Abs. 1 DS-GVO ist die „Verantwortlichkeit“, die immer dann zu bejahen ist, wenn eine natürliche oder juristische Person alleine oder gemeinsam mit anderen über die Zwecke und die Mittel der Verarbeitung von personenbezogenen Daten entscheiden kann und entscheidet. Damit entfällt zwar in aller Regel die Verantwortlichkeit weisungsgebundener Angestellter oder sonstiger Beschäftigter. IRd nach § 287 ZPO vorzunehmenden Schadensschätzung sind auch iRd Art. 82 DS-GVO allgemein die Art, Schwere, Dauer des Verstoßes, Grad des Verschuldens, Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens, frühere einschlägige Verstöße sowie die Kategorien der betroffenen personenbezogenen Daten in die Erwägung mit einzubeziehen. Nach Erwägungsgrund 146 DS-GVO soll der Begriff des Schadens im Lichte der Rspr. des EuGH weit und auf eine Art und Weise ausgelegt werden, „die den Zielen dieser Verordnung in vollem Umfang entspricht“. Nach dem Effektivitätsprinzip (effet utile) ist insoweit auch eine abschreckende Sanktion nicht ausgeschlossen. Dies bedeutet aber nicht, dass die Geldentschädigung zwingend „Strafcharakter“ haben muss, sondern die Höhe des Anspruchs muss auf der Basis des Effektivitätsprinzips eine abschreckende Wirkung haben. In einer Gesamtabwägung hält der Senat das bereits vom LG ausgeurteilte Schmerzensgeld iHv 5.000 EUR für angemessen. |
OLG Stuttgart Urt. v. 24.11.2021 – 4 U 484/20 | 0 EUR Ein Anspruch aus Art. 82 Abs. 2 DS-GVO besteht nicht. Art. 82 Abs. 2 DS-GVO stellt insoweit klar, dass jeder an einer Verarbeitung Verantwortliche für den Schaden haftet, der durch eine nicht dieser Verordnung entsprechende Verarbeitung von Daten entstanden ist. Durch Art. 82 DS-GVO wird insoweit unmittelbar ein deliktsrechtlicher Anspruch begründet, der neben den allgemeinen vertrags- und deliktsrechtlichen Ansprüchen steht. Ein Verstoß gegen die DS-GVO ist nicht ersichtlich. Insb. liegt keine datenschutzrechtrechtlich unzulässige Verarbeitung von Daten vor. Die Datenverarbeitung beruht, auf einer wirksamen klägerischen Einwilligung, die während der Sperrzeit fortbestand. Soweit der Kl. geltend macht, die Sperrung hindere den Nutzer bewusst daran, seine Meinung zu verbreiten, um die konkrete Meinungsäußerung zu unterbinden, umfasst der Schutzzweck der DS-GVO dies bereits nicht – weder im Hinblick auf den geltend gemachten materiellen noch den weiter geltend gemachten immateriellen Schadensersatz. Die bloße Sperrung der Daten stellt ebenso wie der Datenverlust zudem noch keinen Schaden iSd DS-GVO dar. Der Senat macht sich die Erwägungen des OLG Dresden BeckRS 2019, 12941 Rn. 13 zu Eigen. |
OLG Düsseldorf Urt. v. 28.10.2021 – 16 U 275/20 = ZD 2022, 337 | 2.255,85 EUR (2.000 EUR Schmerzensgeld; 255,85 EUR vorgerichtliche Rechtsanwaltskosten) Die Kl. hat gegen die Bekl. infolge eines fehlerhaften Versandes einer Gesundheitsakte einen immateriellen Schadensanspruch aus Art. 82 Abs. 1 DS-GVO. Es kann dahinstehen, ob Art. 82 Abs. 1 DS-GVO für das sozialrechtliche Rechtsverhältnis zwischen der Kl. und der Bekl. unmittelbar gilt. Art. 82 Abs. 1 DS-GVO ist auch nicht deshalb unanwendbar, weil es bei der von der Bekl. an das falsche E-Mail-Konto versandten Gesundheitsakte um eine Verbreitung personenbezogener Daten geht, die den Schutzbereich des allgemeinen Persönlichkeitsrechts betreffen. Infolge des in dem E-Mail-Versand an das falsche E-Mail-Postfach liegenden Verstoßes gegen die Vorschriften der DS-GVO hat die Kl. einen immateriellen Schaden erlitten. Als immaterieller Schaden der Kl. stellt sich die mit dem Verlust der Datenkontrolle verbundene seelisch belastende Ungewissheit über das Schicksal ihrer Daten dar. Dafür, dass darin ein immaterieller Schaden iSv Art. 82 Abs. 1 DS-GVO liegen kann, spricht nicht nur Erwägungsgrund 75 DS-GVO, wo dem Schadensbegriff auch der Verlust der Kontrolle über personenbezogene Daten zugeordnet wird. Dafür spricht auch, dass in den meisten Rechtsordnungen mit dem Begriff des immateriellen Schadens Schäden wie seelisches Leid oder Beeinträchtigungen der Lebensqualität erfasst werden und der EuGH ein vergleichbares Schadensverständnis auch für das Unionsprimärrecht vertritt. Der Gerichtshof verlangt dort zwar, dass ein Schaden tatsächlich und sicher sein muss, andererseits kann bereits ein langanhaltender Zustand belastender Ungewissheit einen immateriellen Schaden darstellen. Dahinstehen kann hier, ob Voraussetzung eines Schadensersatzanspruchs nach Art. 82 Abs. 1 DS-GVO ist, dass der durch den Datenschutzverstoß entstandene immaterielle Schaden ein gewisses Gewicht erreicht haben muss. Der der Kl. hier entstandene immaterielle Schaden hat ausreichendes Gewicht. Sie hat nicht nur einen Bagatellschaden erlitten, der ggf. keines Ausgleichs nach Art. 82 Abs. 1 DS-GVO bedürfte. Angesichts des Umfangs und der Bedeutung der Daten, über welche die Kl. über viele Monate die Kontrolle verloren hat, und angesichts der Sorgen und Befürchtungen, unter denen sie auf Grund des Datenverlusts in dieser Zeit gelitten hat, ist eine etwaige Bagatellschwelle zweifelsfrei überschritten. Insoweit ist zu berücksichtigen, dass die DS-GVO Gesundheitsdaten iSv Art. 4 Ziff. 15 DS-GVO, wie sie hier betroffen sind, durch das grds. Verarbeitungsverbot in Art. 9 Abs. 1 DS-GVO als besonders sensible Datenkategorie anerkennt. Es kommt hinzu, dass der hier betroffene Auszug aus der Gesundheitsakte der Kl. nicht nur sehr umfangreich war, sondern auch höchst intime Gesundheitsinformationen enthielt. Für die Bemessung von Schadensersatzansprüchen nach Art. 82 Abs. 1 DS-GVO enthält die DS-GVO nur wenige Vorgaben. Aus dem Nebeneinander von materiellem und immateriellem Schaden folgt, dass auch solche Schäden auszugleichen sind, die sich nicht unmittelbar in Geld bemessen lassen. Nach Erwägungsgrund 146 S. 3 DS-GVO sollte der Begriff des Schadens im Lichte der Rspr. des Gerichtshofs zudem weit auf eine Art und Weise ausgelegt werden, die den Zielen der VO in vollem Umfang entspricht. Nach Erwägungsgrund 146 S. 6 DS-GVO sollten die betroffenen Personen einen vollständigen und wirksamen Schadensersatz für erlittene Schäden erhalten. Hiernach hat sich der Schadensersatz zuvörderst an dem Ziel des Schadensausgleichs zu orientieren. Das gilt, weil die Vorschrift nicht zwischen den Schadensarten differenziert, auch im Falle immaterieller Schäden. Darüber hinaus wird bei immateriellen Einbußen auch die Genugtuungsfunktion Bedeutung erlangen und als ein Umstand bei der Schadensbemessung berücksichtigt werden können, wenn die Umstände des konkreten Falles hierfür Anlass geben. Letztlich können – wie dies auch bei Art. 340 Abs. 2 AEUV der Fall ist – für die Bemessung des Ersatzanspruchs für immaterielle Schäden nur die Umstände des konkreten Einzelfalls entscheidend sein. Zu berücksichtigen sein können etwa Art, Schwere und Dauer des Datenschutzverstoßes, das Verhalten des Verantwortlichen sowie die Auswirkungen des Verstoßes für den Betroffenen. Solche Kriterien sind nach Art. 83 Abs. 2 S. 2 DS-GVO auch bei der Verhängung von Geldbußen für Datenschutzverstöße zu berücksichtigen. Bei der Ermittlung der danach angemessenen Art der Entschädigung und der Bestimmung des ggf. zuzuerkennenden Schadensersatzbetrags haben die Gerichte einen erheblichen Spielraum. Ausgehend hiervon sind hier jedenfalls die Kategorie der betroffenen personenbezogenen Daten, Art, Schwere und Dauer des Datenschutzverstoßes, die seelischen Auswirkungen bei der Kl., der Grad des Verschuldens, die ergriffenen Maßnahmen zur Minderung der Schadensfolgen sowie der Gesichtspunkt in den Blick zu nehmen, ob eine dauerhafte Beeinträchtigung der Herrschaft über die eigenen Daten und der seelischen Gesundheit verbleibt. Die genannten Umstände, insb. die psychischen Auswirkungen des Datenschutzverstoßes bei der Kl., sprechen in der Gesamtschau dafür, dass der ihr entstandene immaterielle Schaden nur durch eine Geldzahlung, nicht aber durch andere Maßnahmen wie etwa eine erklärte Entschuldigung vollständig ausgeglichen werden kann. Hinsichtlich der vorgenannten Daten der Kl. bestand ein zehnmonatiger Kontrollverlust. Ob einem nach Art. 82 Abs. 1 DS-GVO zuzusprechenden Schadensersatzbetrag per se eine abschreckende Wirkung zukommen muss, wie teilweise vertreten wird, hält der Senat für zweifelhaft. Eine Minderung des Schadensersatzbetrags nach § 254 Abs. 1 BGB kommt nach den für den Senat bindenden tatsächlichen Feststellungen des LG nicht in Betracht. Ein Freistellungsanspruch der Kl. hinsichtlich außergerichtlicher Rechtsverfolgungskosten ergibt sich dem Grunde nach aus Art. 82 Abs. 1 DS-GVO iVm § 249 BGB. |
OLG München Urt. v. 27.10.2021 – 20 U 7051/20 = ZD 2022, 38 (bestätigt LG Landshut Urt. v. 6.11.2020 – 51 O 513/20 = ZD 2021, 161) | 0 EUR Es wurde kein Verstoß gegen die DS-GVO festgestellt. Die Nennung von Eigentümern, in deren Wohnung ein Salmonellenbefall festgestellt wurde, ggü. anderen Eigentümern einer Wohnungseigentümergemeinschaft ist nach Art. 6 Abs. 1 S. 1 lit. c, lit. f DS-GVO zulässig. |
OLG Dresden Urt. v. 14.10.2021 – 4 U 1278/21 = ZD 2022, 235 | 0 EUR Der Kl. hat den Eintritt eines kausal auf die Pflichtverletzung der Bekl. zurückzuführenden Schadens nicht schlüssig dargelegt. Der Wortlaut von Art. 82 Abs. 1 DS-GVO setzt den Eintritt eines Schadens voraus. Erst wenn der Eintritt des Schadens feststeht, ist in einem zweiten Schritt zu entscheiden, ob ein erheblicher Schaden oder ein Bagatellschaden vorliegt. Auch aus den Ausführungen im Erwägungsgrund 75 DS-GVO lässt sich entnehmen, dass von dem Erfordernis des Eintritts eines Schadens nicht abgesehen wird. |
KG Urt. v. 15.9.2021 – 5 U 35/20 = ZD 2022, 506 | 0 EUR Der Anspruch des Art. 82 DS-GVO unterliegt dem allgemeinen nationalen Haftungsregime des BGB, sodass die §§ 249 ff. BGB zur Anwendung kommen. Aus diesem Grund kann die deutsche Rechtsauslegung zur fehlenden Erforderlichkeit und Zweckmäßigkeit der Rechtsanwaltskosten verwiesen werden. Die dort dargestellten Grundsätze sind nicht nur dem deutschen Schadensrecht immanent und verstoßen auch nicht gegen den unionsrechtlichen Effektivitätsgrundsatz, denn auch bei Befolgung dieser Grundsätze wird die Ausübung der durch die Unionsrechtsordnung verliehenen Rechte weder praktisch unmöglich gemacht noch übermäßig erschwert. Zudem vertritt der EuGH im Rahmen seiner Rspr. zur unionsrechtlichen Amtshaftung ohnehin die Auffassung, vorgerichtliche Rechtsanwaltskosten, etwa für eine außergerichtliche Aufforderung, seien nicht erstattungsfähig, weil ihr Entstehen auf einer freien Entscheidung des Geschädigten beruhe. Art. 82 Abs. 1 DS-GVO sieht aber nur Ersatz für einen Schaden vor, der wegen eines Verstoßes gegen die DS-GVO entstanden ist. |
OLG Hamm Urt. v. 31.8.2021 – 9 U 56/20 | 4.000 EUR Diese Entscheidung weist neben dem Tenor keine Gründe auf. |
OLG Dresden Urt. v. 31.8.2021 – 4 U 324/21 = ZD 2022, 40 | 0 EUR Jede Person, der wegen eines DS-GVO-Verstoßes ein materieller oder immaterieller Schaden entstanden ist, hat hiernach Anspruch auf Schadensersatz gegen den Verantwortlichen. Jeder an einer Verarbeitung beteiligte Verantwortliche haftet dabei für den Schaden, der durch eine nicht dieser VO entsprechende Verarbeitung verursacht wurde. Ein solcher Verstoß liegt hier aber nicht vor. Der Kl. hatte konkludent seine Einwilligung in die mit dem Austausch der Festplatte einhergehende Datenlöschung erteilt. Ob der zwischen den Parteien bestehende Kaufvertrag und die damit einhergehenden vertraglichen Verpflichtungen wirksam nach §§ 305 ff. BGB abgeändert wurden, kann iRd Anspruchs nach Art. 82 DS-GVO dahinstehen. Auch, ob der bloße Datenverlust einen immateriellen Schaden iSd Art. 82 DS-GVO darstellt oder ob hierfür eine erhebliche Beeinträchtigung erforderlich ist. Es fehlt an jeglichem Vortrag des Kl. zu den Auswirkungen des behaupteten Datenverlusts. Der geltend gemachte immaterielle Schaden (10.000 EUR) dient ersichtlich nur dazu, ein Drohpotenzial aufzubauen. |
OLG Brandenburg Beschl. v. 11.8.2021 – 1 U 69/20 = ZD 2021, 693 | 0 EUR Ein Entschädigungsanspruch aus Art. 82 Abs. 1 DS-GVO setzt das Vorliegen eines Schadens voraus, den die anspruchstellende Partei im Rechtsstreit darzulegen hat. Hier wurde ein solcher Schaden nicht schlüssig dargelegt. Aus Art. 82 Abs. 3 DS-GVO iVm Erwägungsgrund 146 S. 2 DS-GVO folgt keine Beweislastumkehr für das Vorliegen eines Schadens. Nach dem klaren und eindeutigen Wortlaut des Art. 82 Abs. 3 DS-GVO und Erwägungsgrund 146 DS-GVO bezieht sich die Nachweisobliegenheit des Verantwortlichen allein auf seine Verantwortlichkeit für die Umstände, die den Schaden herbeigeführt haben, nicht aber – auch – auf den Schaden selbst. Einer Vorlage an den EuGH bedurfte es auf Grund des eindeutigen Wortlauts des Art. 82 Abs. 1, Abs. 3 DS-GVO nicht. |
OLG Bremen Beschl. v. 16.7.2021 – 1 W 18/21 = ZD 2021, 652 | 0 EUR Ein Anspruch auf Schadensersatz nach Art. 82 DS-GVO setzt den Eintritt eines materiellen oder immateriellen Schadens voraus. Zur Geltendmachung eines Anspruchs auf Ersatz immaterieller Schäden genügt die Behauptung eines DS-GVO-Verstoßes ohne Vorbringen zu einem hierdurch entstandenen immateriellen Schaden nicht. |
OLG Schleswig-Holstein Urt. v. 2.7.2021 – 17 U 15/21 = ZD 2021, 584 (Revision: BGH VI ZR 225/21) | 887,03 EUR Der Kl. hat gegen die Bekl. einen Anspruch auf Ersatz der von ihm geltend gemachten vorgerichtlichen Rechtsanwaltskosten iHv 887,03 EUR aus Art. 82 Abs. 1 DS-GVO, § 249 BGB. |
OLG Hamm Urt. v. 29.6.2021 – I-4 U 189/20 = ZD 2022, 42 mAnm Gulden | 0 EUR Ein Verstoß gegen die DS-GVO sowie die Löschung und Zahlung eines Schmerzensgelds nach Art. 82 DS-GVO iHv 500 EUR wurden abgelehnt. Die Namensnennung iRe Online-Bewertung bei Google ist durch das Recht auf freie Meinungsäußerung gerechtfertigt (Art. 17 Abs. 3 lit. a DS-GVO). |
OLG Stuttgart Urt. v. 18.5.2021 – 12 U 296/20 = ZD 2022, 105 | 0 EUR Dem Kl. steht wegen der erfolgten Videoüberwachung kein Schmerzensgeldanspruch zu. Als Nichtvermögensschaden durch Verstöße gegen das Datenschutzrecht kommen etwa die öffentliche Bloßstellung durch Zugänglichmachen personenbezogener Daten für Dritte, soziale Diskriminierung, Hemmung in der freien Persönlichkeitsentfaltung, Reduzierung des Menschen auf ein Datenverarbeitungsobjekt, psychische Auswirkungen bei der betroffenen Person infolge des Datenschutzverstoßes oder Identitätsdiebstahl bzw. -betrug in Betracht. Bei Beachtung dessen ist nicht ersichtlich, dass dem Kl. ein erheblicher oder gar schwerwiegender Schaden entstanden ist, der durch ein Schmerzensgeld auszugleichen wäre. |
OLG Stuttgart Urt. v. 31.3.2021 – 9 U 34/21 = ZD 2021, 375 (Revision beim BGH unter Az. VI ZR 111/21 eingelegt) | 0 EUR Art. 82 Abs. 1 DS-GVO fasst den Begriff der Pflichtverletzung, die vorliegend auf Grund der rechtzeitigen Auskunftsbeantwortung nicht vorlag, denkbar weit und schließt grds. jede Verletzung materieller oder formeller Bestimmungen der VO ein. Es gelten die Beweisregeln des nationalen Prozessrechts, während sich die Rechenschaftspflicht des Art. 5 Abs. 2, 24 Abs. 1 DS-GVO nur auf die Verantwortlichkeit ggü. der Datenschutzbehörde bezieht. Auf die Rechenschaftspflicht kann keine Beweislastumkehr oder Beweiserleichterung gestützt werden. Die Vermutung betrifft nur das Verschulden, Art. 82 Abs. 2 DS-GVO. Eine Beweislastumkehr würde zu einer vom Verordnungsgeber nicht gewollten Risikohaftung führen. Auf Grund des Effektivitätsgrundsatzes darf das nationale Beweisrecht keinen unüberbrückbaren Hürden für die Geltendmachung des Auskunftsanspruchs vorsehen. Durch die Heranziehung der Grundsätze über die sekundäre Beweislast sind die Anforderungen gewahrt. |
OLG Schleswig-Holstein Beschl. v. 1.3.2021 – 7 U 152/20 | 0 EUR Weil die Bekl. mit der Sperrung der Social-Media-Plattform keine Rechtsverletzung begangen hat, stehen dem Kl. keine Schadensersatzansprüche zu. Ein Anspruch auf Zahlung iHv 1.500 EUR scheidet mangels Anspruchsgrundlage für einen Zahlungsanspruch aus. Ein Verstoß gegen die Vorgaben der DS-GVO liegt jedoch nicht vor. Erhebung und Verarbeitung seiner Daten, wozu gem. Art. 4 Ziff. 2 DS-GVO auch die Löschung des streitgegenständlichen Posts und die Sperrung seines Kontos zählen, beruhen auf der vom Kl. vorab erteilten Zustimmung zu den Nutzungsbedingungen der Bekl. (Art. 6 Abs. 1 S. 1 lit. a DS-GVO). Diese ist gerade nicht daran geknüpft, dass auch die Bekl. ihren vertraglichen Verpflichtungen nachkommt und umfasst daher auch Zeiträume, in denen der Account gesperrt ist. Dass dem Kl. durch die Sperrung ein materieller oder immaterieller Schaden iSd Art. 82 DS-GVO entstanden wäre, ist weder dargetan noch ersichtlich. Die bloße Sperrung seiner Daten stellt ebenso wie ein etwaiger Datenverlust noch keinen Schaden iSd DS-GVO dar. Die behauptete Hemmung in der Persönlichkeitsentfaltung durch die (rechtmäßige) dreißigtägige Sperrung hat allenfalls Bagatellcharakter, was die Zuerkennung eines immateriellen Schadensersatzes ausschließt. |
OLG Düsseldorf Beschl. v. 16.2.2021 – 16 U 269/20 = ZD 2022, 47 | 0 EUR Der Anspruch aus Art. 82 DS-GVO erfasst nach dem Schutzzweck der Norm nur solche Sachverhalte, in denen die Art der Informationserlangung gerügt wird und der Vorwurf einer intransparenten Datenverarbeitung im Raum steht, es also um das Recht auf informationelle Selbstbestimmung geht. Knüpft die Beeinträchtigung dagegen an das Ergebnis des Kommunikationsprozesses, nämlich die Veröffentlichung und Verbreitung der personenrelevanten Daten an, so ist allein der Schutzbereich des allgemeinen Persönlichkeitsrechts betroffen, und eine Anwendung des Art. 82 DS-GVO kommt nicht in Betracht. Der Anspruch aus Art. 82 DS-GVO erfasst nach dem Schutzzweck der Norm nur solche Sachverhalte, in denen es um die Art der Informationserlangung geht. |
OLG Karlsruhe Urt. v. 23.2.2021 – 14 U 3/19 = ZD 2021, 376 | 0 EUR Vorliegend lag kein Verstoß gegen die DS-GVO vor, sodass auch kein Anspruch aus Art. 82 Abs. 1 DS-GVO zugesprochen wurde. |
KG Beschl. v. 2.2.2021 – 9 W 1117/20 = ZD 2021, 378 | 0 EUR Es wurde kein immaterieller Schadensersatz zugesprochen, da die Verletzungshandlungen vor Anwendbarkeit der DS-GVO erfolgten. |
OLG Dresden Urt. v. 12.1.2021 – 4 U 1600/20 = MMR 2021, 575 | 0 EUR Für einen Geldentschädigungsanspruch wird ein schwerwiegender Persönlichkeitseingriff verlangt. Die Löschung eines Posts und die dreißigtägige Versetzung in den „Read-only-Modus“ berührt nur die Sozialsphäre der betroffenen Person, sie wird nicht öffentlich mitgeteilt und zeitigt keine „Prangerwirkung“. |
OLG München Urt. v. 8.12.2020 – 18 U 5493/19 Pre | 0 EUR Die bloße Sperrung des Nutzerprofils begründet keinen Schaden. |
OLG Köln Urt. v. 26.11.2020 – 15 U 39/20 = ZD 2021, 323 | 0 EUR Es besteht iRe journalistischen Tätigkeit keine Schadensersatzpflicht nach Art. 82 Abs. 2 DS-GVO bei einer Verletzung des Art. 6 DS-GVO, da Art. 6 DS-GVO wegen Art. 85 Abs. 2 DS-GVO auf Grund der nationalen Vorgaben in den Presse- und Mediengesetzen nicht anwendbar ist. |
OLG Dresden Urt. v. 20.8.2020 – 4 U 784/20 = ZD 2021, 93 | 0 EUR Die Löschung von Posts auf einem sozialen Netzwerk stellt für sich genommen noch keinen ersatzfähigen Schaden dar. Die dreißigtägige Sperrung des Nutzerkontos hat Bagatellcharakter, was die Zuerkennung eines immateriellen Schadensersatzes nicht rechtfertigt. |
OLG Nürnberg Urt. v. 4.8.2020 – 3 U 3641/19 = MMR 2020, 873 (Ls.) | 0 EUR Der Kl. hatte nach eigener Behauptung keinen Schaden durch unerlaubten Umgang seiner personenbezogenen Daten erlitten. |
OLG Köln Urt. v. 30.7.2020 – 15 U 313/10 | 0 EUR Ein Anspruch scheitert am sog. Medienprivileg. Auch wenn in Art. 85 Abs. 2 DS-GVO das Kap. VIII der DS-GVO, welches Art. 82 DS-GVO enthält, gerade nicht vom Anwendungsbereich der DS-GVO für die journalistische Tätigkeit ausgenommen ist, hält der Senat die Schadensersatzpflicht zu Lasten der Medien bei einem – hier bei Anwendung der DS-GVO iÜ allein in Betracht kommenden – Verstoß gegen Art. 6 Abs. 1 lit. f DS-GVO nicht für anwendbar, weil mangels Geltung der Pflichten aus Art. 6 DS-GVO auch keine Verletzung dieser Vorschrift vorliegen kann. |
OLG München Urt. v. 12.5.2020 – 18 U 2689/19 Pre | 0 EUR Ein Anspruch der Kl. auf Schadensersatz iHv insgesamt 4.200 EUR ist bereits deshalb nicht gegeben, weil es an einer Pflichtverletzung der Bekl. in Form von einer oder mehreren rechtswidrigen Sperren des klägerischen Nutzerprofils fehlt. Die Verarbeitung der Daten der Kl. durch die Bekl. verstieß nicht gegen die DS-GVO, denn sie beruhte auf der vorab erteilten Zustimmung zu den Nutzungsbedingungen der Bekl. (Art. 6 Abs. 1 lit. a DS-GVO). |
OLG Köln Urt. v. 26.3.2020 – 15 U 193/19 | 0 EUR Art. 82 DS-GVO erfordert weder eine schwere Persönlichkeitsrechtsverletzung des Betroffenen noch ein Verschulden des sich Äußernden und es geht aus Erwägungsgrund 146 DS-GVO auch nicht hervor, dass der Ersatz eines immateriellen Schadens des Betroffenen unabweislich geboten sein muss. Art. 82 Abs. 1 DS-GVO ist hier aber schon dem Grunde nach nicht anwendbar, da die Veröffentlichung der Bildnisse durch die Bekl. eine „Verarbeitung zu journalistischen Zwecken“ darstellt und damit das Medienprivileg nach Art. 85 Abs. 2 DS-GVO iVm § 19 Abs. 1 BlnDSG eingreift. Auch wenn Art. 85 Abs. 2 DS-GVO gerade keine Möglichkeit für Abweichungen oder Ausnahmeregelungen der Mitgliedstaaten vorsieht, ist die Schadensersatzpflicht zu Lasten der Medien bei einem Verstoß gegen Art. 6 Abs. 1 lit. f DS-GVO nicht anwendbar. Mangels Geltung der Pflichten kann aus Art. 6 DS-GVO auch keine Verletzung dieser Vorschrift vorliegen. |
OLG München Urt. v. 18.2.2020 – 18 U 3465/19 = MMR 2021, 71 | 0 EUR Vorliegend lag kein Verstoß gegen die DS-GVO vor, sodass auch kein Anspruch aus Art. 82 Abs. 1 DS-GVO zugesprochen wurde. Die betroffene Person hatte eine vorherige Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a DS-GVO bzgl. der Nutzungsbedingen der Social-Media-Plattform Facebook erteilt. |
OLG Bamberg Beschl. v. 6.2.2020 – 8 U 246/19 | 0 EUR In der Löschung eines Kommentars und der zeitweisen sowie partiellen Sperrung der Nutzungsmöglichkeiten der Internet-Plattform liegt kein DS-GVO-Verstoß. |
OLG Braunschweig Urt. v. 5.2.2020 – 1 U 9/20 = MMR 2021, 920 | 0 EUR Die Sperrung des Posts und die Funktionsbeeinträchtigung des Accounts des Kl. stellten keinen Verstoß gegen zwingende Vorgaben der DS-GVO dar. Die bloße Sperrung der Daten stellen ebenso wie ein Datenverlust für sich genommen noch keinen Schaden dar. |
OLG Dresden Hinweisbeschluss v. 11.12.2019 – 4 U 1680/19 = ZD 2020, 413 | 0 EUR Die bloße Sperrung des Nutzerkontos auf einem sozialen Netzwerk stellt ebenso wie der Datenverlust noch keinen Schaden iSd DS-GVO dar. Die dreißigtägige Sperrung des Nutzerkontos hat Bagatellcharakter, was die Zuerkennung eines immateriellen Schadensersatzes nicht rechtfertigt. |
OLG Dresden Hinweisbeschluss v. 11.6.2019 – 4 U 760/19 = ZD 2019, 567 | 0 EUR Die bloße Sperrung des Nutzerkontos auf einem sozialen Netzwerk stellt ebenso wie der Datenverlust noch keinen Schaden iSd DS-GVO dar. Bloße Bagatellverstöße ohne ernsthafte Beeinträchtigung für das Selbstbild oder Ansehen einer Person rechtfertigen keinen Schadensersatz. |
OLG Frankfurt/M. Urt. v. 12.2.2019 – 11 U 114/17 = ZD 2019, 364 | 0 EUR Es liegt kein Verstoß gegen den Datenschutz vor, wenn eine Haftpflichtversicherung ein Gutachten an ein von ihr beauftragtes Unternehmen zu Kontrollzwecken weiterreicht. Somit kein Schadensersatz nach Art. 82 DS-GVO. |
Landgerichte | |
NEU LG Frankfurt Urt. v. 30.12.2022 – 2-31 O 148/22 | 0 EUR Der Kl. hat keinen Anspruch auf Zahlung eines immateriellen Schadensersatzes aus Art. 82 DS-GVO. Ob die Bekl. gegen die DS-GVO verstoßen hat, kann dahingestellt bleiben. Denn selbst einen Verstoß unterstellt, hätte der Kl. keinen kausalen Schaden erlitten. Der Kl. trägt insofern vor, dass er durch den Scraping-Sachverhalt einen erheblichen Kontrollverlust über seine Daten erlitten habe und in einem Zustand großen Unwohlseins und Sorge über möglichen Missbrauch seiner Daten verbleibe, was sich u. a. in einem verstärkten Misstrauen bzgl. E-Mails und Anrufen von unbekannten Nummern und Adressen, aber auch in der ständigen Sorge, dass die veröffentlichten Daten von Kriminellen für unlautere Zwecke verwendet werden könnten, manifestiere. Durch die aus Sicht des Kl. unterlassene Information über den Scraping-Sachverhalt sei eine Intensivierung des Schadens eingetreten. Dadurch habe er die Einleitung von Schritten zur Risikominimierung und Absicherung unterlassen. Dies habe zu einer Steigerung seines Unwohlseins und seiner Sorgen geführt. Ob ein Kontrollverlust oder ein (gesteigertes) Unwohlsein einen immateriellen Schaden darstellt, ist vorliegend nicht entscheidend. Selbst unterstellt, dies wäre der Fall, müsste der Kl. weiterhin nachweisen, dass ihm in Folge eines Verstoßes gegen die DS-GVO dieser immaterielle Schaden entstanden ist. Die Verletzung der DS-GVO müsste kausal sein für den von ihm behaupteten Schaden. Die Regelung setzt damit voraus, dass es auch Verstöße geben kann, die nicht in einem Schaden resultieren. Die Regelung spricht dafür, dass es gerade keinen Gleichklang gibt zwischen einem DS-GVO-Verstoß („Verstoßes gegen diese Verordnung“) und dem immateriellen Schaden. Die Kausalität wäre aber nur zu bejahen, wenn es eine objektiv nachvollziehbare Beeinträchtigung gibt. Die vom Kl. behaupteten Beeinträchtigungen sind aber objektiv nicht nachvollziehbar, und zwar weder hinsichtlich des Scraping-Sachverhalts an sich, noch hinsichtlich des Vorwurfs der unterlassenen Information nach Bekanntwerden des Scraping-Sachverhalts. Der Kl. behauptet insofern ein verstärktes Misstrauen bzgl. E-Mails und Anrufen von unbekannten Nummern und Adressen. Bereits dies indiziert, dass (1.) der Kl. von (ihm) Unbekannten über seine E-Mail-Adresse und Telefonnummer schon vor dem Scraping-Sachverhalt kontaktiert wurde, und (2.) dass der Kl. solchen Kontaktversuchen schon vor dem Scraping-Sachverhalt misstrauisch ggü. war. Insofern ist es objektiv nicht nachvollziehbar, dass der Scraping-Sachverhalt zu einem gesteigerten Unwohlsein oder Kontrollverlust geführt haben soll. Entsprechendes gilt für die Behauptung des Kl. bzgl. der ständigen Sorge, dass die veröffentlichten Daten von Kriminellen für unlautere Zwecke verwendet werden. Entsprechendes gilt für die Behauptung der unterlassenen Information über den Scraping-Sachverhalt. Die fehlende objektive Nachvollziehbarkeit wird vorliegend dadurch gesteigert, dass nicht lediglich der Kl. als Einzelperson vom Scraping-Sachverhalt betroffen ist, sondern „ca. 533 Millionen F.-Nutzern aus 106 Ländern“. Aus objektiver Sicht kann hieraus kein gesteigertes Unwohlsein, Opfer von „kriminelle[n] Machenschaften, wie Internetbetrug,“ zu werden, folgen, wenn mit dem Kl. über eine halbe Milliarde Nutzer betroffen ist. Gleichwohl es bedauerlich ist, dass die Daten vom Kl. (Telefonnummer iVm. anderen Informationen) ungewollt ins Internet gelangt sind, schafft die schiere Masse an anderen betroffenen Personen eine gewisse Anonymität und damit einen gewissen Schutz davor, dass ausgerechnet der Kl. Opfer von kriminellen Machenschaften wird. Anders wäre der Sachverhalt, wenn der Kl. mit einigen wenigen anderen Nutzern betroffen wäre. Dann ist die Wahrscheinlichkeit, dass der Kl. gezielt Adressat von kriminellen Machenschaften wird, nämlich höher. Gegen das Vorliegen einer objektiv nachvollziehbaren Beeinträchtigung spricht auch, dass der Kl. nicht einmal behauptet, seine Telefonnummer und/oder E-Mail auf Grund des Scraping-Sachverhalts gewechselt zu haben, um sein (gesteigertes) Unwohlsein bzw. seinen (gesteigerten) Kontrollverlust zu adressieren. Auch andere in Betracht kommende Anspruchsgrundlagen für Schadensersatzansprüche würden an der fehlenden Kausalität scheitern. Der Anspruch auf die geltend gemachten Prozesszinsen teilt das Schicksal der geltend gemachten Hauptforderung. Die Klage auf Feststellung einer Ersatzpflicht künftiger Schäden ist mangels Vorliegens eines Schadens (siehe zuvor) unbegründet. |
NEU LG Halle (Saale) Urt. v. 28.12.2022 – 6 O 195/22 = ZD 2023, 287 | 0 EUR Der Zulässigkeit der Klage steht nicht die Unbestimmtheit des Klageantrages zu 1 (§ 253 Abs. 2 ZPO) entgegen. Da die Bemessung der Höhe des Schmerzensgeldes in das Ermessen des Gerichts gestellt ist, ist die Stellung eines unbezifferten Zahlungsantrags ausnahmsweise zulässig. Die nötige Bestimmtheit wird hier dadurch erreicht, dass der Kl. in der Klagebegründung die Berechnungs- und Schätzungsgrundlagen umfassend dargelegt und die Größenordnung seiner Vorstellungen mit einem Betrag iHv 1.000 EUR angegeben hat. Auch der Klageantrag zu 3 weist die erforderliche Bestimmtheit auf. Eine auslegungsbedürftige Antragsformulierung ist dann hinzunehmen, wenn dies zur Gewährleistung eines effektiven Rechtsschutzes erforderlich ist, mithin die Klägerseite ihren Antrag nicht konkreter fassen kann. Dies ist hier der Fall. Selbst bei einer Benennung derzeitiger technischer Schutzvorkehrungen würde dies in Anbetracht der technischen Weiterentwicklung dazu führen, dass die aktuellen Vorkehrungen veralten, sodass der Kl. erneut klagen müsste. Dies stünde einem effektiven Rechtsschutz entgegen. Dem Kl. steht kein Anspruch auf Zahlung eines immateriellen Schmerzensgeldes aus Art. 82 DS-GVO zu. Insoweit fehlt es bereits an einer schadensersatzauslösenden Pflichtverletzung der Bekl. iSd DS-GVO. Ein Verstoß gegen Art. 5 Abs. 1 DS-GVO liegt schon deshalb nicht vor, weil es auch bei Informationspflichten der Rücksichtnahme auf den Grundsatz des Art. 5 Abs. 1 DS-GVO bedarf. Demnach müssen personenbezogene Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden. Dieser Grundsatz der Transparenz überträgt sich dann in die Informations- und Aufklärungspflicht nach Art. 13 DS-GVO. Die Aufklärung über die Zwecke der Verarbeitung muss insb. für den Nutzer klar verständlich und nachvollziehbar sein. Das ist vorliegend der Fall. Bei dieser Abwägung war auch maßgeblich darauf abzustellen, dass die Nutzung der Plattform als solche freiwillig ist. Es liegt auch kein Verstoß der Bekl. gegen die in Art. 32 DS-GVO statuierte Pflicht zum ausreichenden Schutz der personenbezogenen Daten der Nutzer vor. Art. 32 DS-GVO verlangt lediglich ein angemessenes Schutzniveau. Von daher war die Bekl. nicht verpflichtet, Schutzmaßnahmen zu treffen, um die Erhebung der immer öffentlich zugänglichen Informationen des Profils des Kl. zu verhindern. Der Betreiber einer Social-Media-Plattform ist insoweit nicht verpflichtet, Nutzerdaten vor der Verarbeitung durch Scraper zu schützen, soweit die Daten – wie hier – für jedermann ohne Zugangskontrolle ober Überwindung technischer Zugangsbeschränkungen abrufbar sind und dies dem Nutzer bekannt ist; die Erhebung dieser Daten als solche erfolgte daher nicht unrechtmäßig. Das Risiko, dass über technische Programme selbst gewählte Freigaben personenbezogener Daten ausgenutzt und missbraucht werden, ist bei der Internetnutzung vom Nutzer zu tragen, wenn sich dieser eigenverantwortlich zur Nutzung entschlossen hat und – wie hier – selbst entscheiden konnte, wie weit er die Angebote nutzt. Darüber hinaus liegt auch kein Verstoß der Bekl. gegen Art. 24, 25 Abs. 2 DS-GVO vor. Die Bekl. hat im vorliegenden Rechtsstreit detailliert und damit ausreichend dargelegt, dass sie technische Maßnahmen ergriffen hat, um Scraping zu erschweren, indem sie nämlich u. a. eine Hürde implementiert hat, wonach Abfragen in gewissem Umfang von ein und derselben IP-Adresse in einem bestimmten Zeitraum nicht möglich sind bzw. gestoppt werden. Zudem ist das Vorliegen eines konkreten, immateriellen Schadens, wozu auch Ängste, Sorgen, Stress sowie Komfort – und Zeiteinbußen zählen, nicht ersichtlich. Der Kl. hat zwar ausgeführt, dass er einen erheblichen Kontrollverlust über seine Daten erlitten habe und deshalb unter großem Unwohlsein und Sorgen leide. Gegen das tatsächliche Vorliegen und die Plausibilität der vom Kl. behaupteten Beeinträchtigungen spricht jedoch bereits der Umstand, dass es sich bei den gescrapten Daten des Kl. um Daten handelt, die immer öffentlich sind. Es ist diesen Daten gerade immanent, dass sie jedem und jederzeit zugänglich sind. Von daher ist nicht nachvollziehbar, weshalb eine weitere Veröffentlichung dieser Daten beim Kl. zu einem unguten Gefühl geführt haben sollte. Darüber hinaus hat der Kl. im Rahmen seiner persönlichen Anhörung in der mündlichen Verhandlung vom 7.12.2022 vorgetragen, dass er mit seinem ursprünglichen Nachnamen … kontaktiert wurde, obwohl er 2014 geheiratet und den Nachnamen der Ehefrau … angenommen habe. Insofern ist die Kausalität zum Scraping–Sachverhalt widerlegt. Denn schon nach dem eigenen Vortrag des Kl. ist allein der gegenwärtige Nachname … des Kl. von dem Scraping – Sachverhalt betroffen. Kontaktaufnahmeversuche unter Bezugnahme auf den ursprünglichen Nachnamen … können somit nicht auf den Scraping–Sachverhalt zurückgeführt werden. |
NEU LG Baden-Baden Urt. v. 21.12.2022 – 3 O 277/22 | 0 EUR Bei den Schreiben des Verfügungsbekl. handelt es sich um rechtswidrige Abmahnungen, da ihm kein Schmerzensgeldanspruch aus einer Verletzung von Art. 82 DS-GVO zusteht. Dahinstehen kann an dieser Stelle, ob ein Eingriff in das Recht auf informationelle Selbstbestimmung nur dann erfolgen kann, wenn der Betroffene die jeweilige Internetseite händisch aufgerufen hat oder ob dies auch dann möglich ist, wenn er sich beim Seitenaufruf technischer Hilfsmittel wie zB eines „Bots“ oder „Crawlers“ bedient hat. Der Verfügungsbekl. hat nämlich durch das Aufsuchen der Internetseiten der Verfügungskl. konkludent in die dortige Datenverarbeitung eingewilligt gem. Art. 6 Abs. 1 UAbs. 1 lit. a DS-GVO. Dies ergibt sich daraus, dass entgegen dem Vorbringen des Verfügungsbekl. sein primäres Interesse beim Aufruf der beanstandeten Internetseiten das Generieren von Schmerzensgeldansprüchen ggü. deren Betreibern war. Den Angaben des Verfügungsbekl., dass es ihm vor allem darum gegangen sei, Datenschutzverletzungen anzuprangern, schenkt das Gericht keinen Glauben. Hier kann in die Wertung einfließen, dass der Verfügungsbekl. es vorgezogen hat, auf die Fragen des Gerichts, wie viele Betroffene von ihm angeschrieben worden sind und welcher Gesamtbetrag ihm durch die Schreiben zugeflossen ist, nicht zu antworten. Auch der Wortlaut der Serienschreiben, die der Verfügungsbekl. über Rechtsanwalt hat verschicken lassen, stützt diese Auslegung. Entgegen den Ausführungen des Verfügungsbekl. ist bereits im Betreff von einer Abmahnung die Rede. Der Zweck des Schreibens fokussiert sich alleine auf die Zahlung des Geldbetrags von 170 EUR. Auf den gem. § 296 a S. 1 ZPO nicht mehr zulassungsfähigen Schriftsatz der Verfügungsklägerin v. 22.12.2022 mit Hinweis auf die PM der GStA Berlin bzgl. der am 21.12.2022 erfolgten Durchsuchungen beim Verfügungsbekl. wegen des Verdachts des (versuchten) Abmahnbetrugs und der (versuchten) Erpressung in mindestens 2418 Fällen kam es für diese Bewertung daher gar nicht mehr an. Wenn aber der eigentliche Zweck beim Aufsuchen der Internetseiten die Generierung von Schmerzensgeldansprüchen war, hat der Verfügungsbekl. denklogisch in die Übertragung seiner IP-Adresse in die USA eingewilligt, da der von ihm erstrebte Schmerzensgeldanspruch nur so entstehen konnte. Sein Geschäftsmodell konnte nur dadurch funktionieren, dass die IP-Adresse des von ihm verwendeten Rechners – seinem Wunsch entsprechend – in die USA übertragen wurde. Der Verfügungskl. ist darüber hinaus allenfalls ein geringfügiges Verschulden iSv Art. 82 Abs. 3 DS-GVO zur Last zu legen. Sie hat bereits im August 2022 und somit vor den Schreiben des Verfügungsbekl. die Problematik erkannt und versucht, diese über einen Software-Dienstleister zu beheben. Von den beanstandeten (im Aufbau befindlichen) Internetseiten abgesehen ist ihr das auch unstreitig gelungen. Die Gefahr, dass ein unbedarfter Nutzer auf diese Seiten gerät, war sehr gering. Hier geschah es nur deshalb, weil sich der Verfügungsbekl. gezielt auf die Suche nach Seiten machte, bei denen er eine Datenschutzverletzungen geltend machen konnte und zu diesem Zweck massenweise Internetseiten über seinen Webcrawler aufrufen ließ. Die Abmahnungen des Verfügungsbekl. gegenüber den Partnerunternehmen der Verfügungsklägerin waren zudem rechtsmissbräuchlich iSv § 242 BGB. Es ist gemeinschaftsrechtlich zulässig, dass ein nationales Gericht eine Bestimmung des nationalen Rechts anwendet, nach der es prüft, ob ein Recht aus einer gemeinschaftsrechtlichen Bestimmung missbräuchlich ausgeübt wird. Vorliegend kann daher die Anwendung von Art. 82 DS-GVO an den Maßstäben von Treu und Glauben gem. § 242 BGB gemessen werden. Gegen diesen Maßstab hat der Verfügungsbekl. verstoßen. Zur Auslegung von § 242 BGB kann der Rechtsgedanke von § 8 c UWG herangezogen werden. Hier hat der Verfügungsbekl. eine erhebliche Anzahl von Verstößen gegen die gleiche Rechtsvorschrift durch Abmahnungen geltend gemacht. Auch ist von einem Rechtsmissbrauch auszugehen, wenn das beherrschende Motiv bei der Geltendmachung eines Unterlassungsanspruchs sachfremde, für sich genommen nicht schutzwürdige Interessen und Ziele sind. Auch das ist hier der Fall. Vor diesem Hintergrund kann dahinstehen, ob es bei Art. 82 DS-GVO eine Bagatellgrenze gibt, die die Liquidierung geringfügiger Schäden – wie vorliegend gegeben – verhindert. |
NEU LG Paderborn Urt. v. 19.12.2022 – 3 O 193/22 | 200 EUR Der Klageantrag zu 1 ist zulässig; dieser ist entgegen der Auffassung der Bekl. insb. hinreichend bestimmt. Dem Kl. steht gegen die Bekl. einen Anspruch auf Schadensersatz iHv 100 EUR aus Art. 82 Abs. 1 DS-GVO zu. Die Bekl. ist der ihr nach Art. 13 DS-GVO auferlegten Informations- und Aufklärungspflicht nicht in vollständigem Umfang nachgekommen. Die Verletzung der nach Art. 13 DS-GVO bestehenden Informations- und Aufklärungspflichten ist vom Anwendungsbereich des Schadensersatzanspruches des Art. 82 DS-GVO erfasst. Die Bekl. als Verantwortliche iSd Art. 4 Ziff. 7 DS-GVO verstieß auf Grund unzureichender Sicherheitsmaßnahmen bezüglich der Nutzung des Kontakt-Import-Tools (CIT) auch gegen Art. 32, 24, 5 Abs. 1 lit. f DS-GVO. Die Bekl. hat zudem ihre Meldepflicht aus Art. 33 DS-GVO verletzt. Schließlich ist ein Verstoß gegen die Meldepflicht geeignet, für den Verantwortlichen eine Haftung und eine Schadensersatzpflicht gem. Art. 82 DS-GVO zu begründen. Denn die Vorschrift dient sowohl dem Schutz des Betroffenen, als auch der Ermöglichung von Maßnahmen zur Eindämmung und Ahndung der Rechtsverletzung durch die Aufsichtsbehörde. Insofern genügt bereits ein solch formeller Verstoß gegen die DS-GVO zur Begründung eines Schadensersatzanspruchs dem Grunde nach. Ein Verstoß gegen Art. 34 Abs. 1 DS-GVO liegt vor. Auch ein Verstoß gegen diese Vorschrift ist geeignet, einen Schadensersatzanspruch zu begründen. Die Bekl. verstößt mit ihren Grundeinstellungen zur Sichtbarkeit zumindest hinsichtlich der E-Mail-Adresse und zur Suchbarkeit über die Telefonnummer der Benutzer der Facebook-Plattform gegen Art. 25 DS-GVO. Dies verhilft der Kl. indes jedoch nicht zu einem Anspruch gem. Art. 82 Abs. 1 DS-GVO. Allein aus einem Verstoß gegen Art. 25 DS-GVO kann wegen seines organisatorischen Charakters ein Anspruch nach Art. 82 Abs. 1 DS-GVO jedoch nicht begründet werden. Die Vorschrift entfaltet bereits vor dem eigentlichen Beginn der Datenverarbeitung ihren Regelungscharakter. Zu diesem, einer tatsächlichen Datenverarbeitung vorgelagerten Zeitpunkt entfaltet die DS-GVO jedoch nach Art. 2 Abs. 1 DS-GVO noch keine Wirkung. Die Anwendbarkeit der DS-GVO setzt vielmehr eine tatsächliche Verarbeitung personenbezogener Daten voraus. Ein Anspruch aus Art. 82 DS-GVO setzt daher darüber hinaus voraus, dass weitere Verstöße gegen die DS-GVO vorliegen. Ob die Bekl. dem Auskunftsersuchen der Kl. über ihre personenbezogenen Daten nicht in ausreichendem Maße nachgekommen ist und dadurch gegen Art. 15 DS-GVO verstoßen hat – worauf die Kammer im Klageantrag zu 4 noch näher eingehen wird – kann dahinstehen, da ein etwaiger Verstoß keinen Schadensersatzanspruch nach Art. 82 DS-GVO auslöst. Daher kommt nur ein Verstoß durch die Verarbeitung selbst in Betracht, die verordnungswidrig sein muss, um einen Schadensersatzanspruch auszulösen. Auf Grund von anderen Verstößen, die nicht durch eine der DS-GVO zuwiderlaufende Verarbeitung verursacht worden sind, kommt eine Haftung nach Art. 82 Abs. 1 DS-GVO nicht in Betracht. Daran gemessen stellt eine – nach Auffassung des Kl. – nicht ausreichende Auskunftserteilung keine Verarbeitung personenbezogener Daten iSd DS-GVO dar. Der Bekl. gelingt zur Abwendung des Anspruchs auch nicht die Exkulpation gem. Art. 82 Abs. 3 DS-GVO. Damit wird die Verantwortlichkeit der Bekl. widerleglich vermutet. Zwar ist der Begriff der Verantwortlichkeit iSd § 82 Abs. 3 DS-GVO nicht näher definiert. So wird dieser vorwiegend mit dem Begriff des Verschuldens gleichgesetzt. Teilweise wird dies hingegen nicht angenommen mit der Folge, dass Art. 82 DS-GVO möglicherweise als Gefährdungshaftungstatbestand zu begreifen sei, sodass dem Verantwortlichen oder Auftragsverarbeiter unabhängig von jedwedem Verschulden lediglich ganz ungewöhnliche Kausalverläufe, die jeder Lebenserfahrung widersprechen, sowie Fälle höherer Gewalt und weit überwiegenden eigenen Fehlverhaltens der betroffenen Person nicht anzulasten seien. Hierauf kommt es vorliegend jedoch nicht an. Denn der Bekl. gelingt weder der Nachweis fehlenden Verschuldens noch des Vorliegens ganz ungewöhnlicher Kausalverläufe, eines Falles höherer Gewalt oder weit überwiegenden eigenen Fehlverhaltens des Kl. Im Übrigen behauptet die Bekl. das Vorliegen ganz ungewöhnlicher Kausalverläufe, einen Fall höherer Gewalt oder ein weit überwiegendes eigenes Fehlverhalten des Kl. nicht. Dem Kl. ist nach Auffassung des Gerichts ein immaterieller Schaden iSd Art. 82 DS-GVO entstanden. Ein bloßer Datenschutzverstoß als solcher genügt für das Entstehen des Schadensersatzanspruches nicht. Vielmehr folgt bereits aus dem Wortlaut der Vorschrift, dass der Verordnungsgeber keine allein an den Rechtsverstoß anknüpfende Zahlungspflicht begründen wollte. Der Begriff des Schadens ist nach dem Erwägungsgrund 146 S. 3 im Lichte der Rspr. des EuGH weit und auf eine Art und Weise auszulegen, die den Zielen der Verordnung in vollem Umfang entspricht. Die Ziele der DS-GVO bestehen dabei u. a. darin, den Risiken für die Rechte und Freiheit natürlicher Personen zu begegnen, die – mit unterschiedlicher Eintrittswahrscheinlichkeit und Schwere – aus einer Verarbeitung personenbezogener Daten hervorgehen und zu einem immateriellen Schaden führen können. In den Erwägungsgründen 75 und 85 wird der Kontrollverlust über die personenbezogenen Daten gerade als ein Beispiel für das Vorliegen eines solchen Schadens aufgeführt. Ein derartiger Kontrollverlust ist aus Sicht des Kl. eingetreten, da jedenfalls seine Telefonnummer, Facebook-ID, sein Name und Geschlecht im sog. „Darknet“ auf einer für jedermann abrufbaren Datenbank veröffentlicht wurden. Soweit die Bekl. die Veröffentlichung der Daten im „Darknet“ mit Nichtwissen bestreitet, kann sie damit nicht gehört werden. Im Übrigen tritt der Kontrollverlust– unabhängig von der Veröffentlichung im „Darknet“ – bereits durch den „Scraping“-Vorfall und das damit verbundene Abschöpfen der Daten ein. Unerheblich ist, dass der Name, das Geschlecht und die Facebook-ID nach den Nutzereinstellungen des Kl. öffentlich waren. Denn jedenfalls die Verknüpfung mit seiner Telefonnummer war bis dahin nicht hergestellt. Darüber hinaus sieht Erwägungsgrund 75 vor, dass ein immaterieller Schaden auch dann anzunehmen ist, wenn die Verarbeitung eine große Menge personenbezogener Daten und eine große Anzahl von Personen betrifft. Auch dies ist auf Grund der Tatsache, dass im Rahmen des „Scraping“-Vorfall die Daten von Millionen von Facebook-Nutzern veröffentlicht wurden, anzunehmen. Ob eine erhebliche Beeinträchtigung etwa in Form eines schwerwiegenden Persönlichkeitseingriffs vorliegen muss ist umstritten, kann aber im Ergebnis dahinstehen. Zwar geht auch der Generalanwalt in seinen Schlussanträgen davon aus, dass es den nationalen Gerichten obliegt herauszuarbeiten, wann ein subjektives Unmutsgefühl die Grenze zwischen bloßem nicht ersatzfähigem Ärger und echtem ersatzfähigen immateriellen Schaden überschreitet. Vorliegend handelt es jedoch nicht um einen bloßen Bagatellschaden. Denn durch die Veröffentlichung der personenbezogenen Daten des Kl. im „Darknet“ ist die Weiterverarbeitung durch einen unbegrenzten und unbestimmten Personenkreis, insb. auch für den gezielten Missbrauch etwa in Form von Betrugsanrufen, ermöglicht. Die gem. den vorstehenden Ausführungen festgestellten Gesetzesverletzungen sind kausal für den bei dem Kl. entstandenen Schaden. Der Verantwortliche haftet lediglich für kausal durch die rechtswidrige Verarbeitung verursachte Schäden. Eine Mitursächlichkeit des Verstoßes genügt. Die Verletzung der Informations- und Aufklärungspflichten des Art. 13 Abs. 1 lit. c DS-GVO ist kausal für den bei dem Kl. entstandenen Schaden. Gem. vorstehender Erwägungen hat die Bekl. den Kl. bereits bei Erhebung seiner Mobilfunknummer nur unzureichend über die Verwendung seiner Mobilfunknummer im Hinblick auf das CIT aufgeklärt, sodass bezogen auf die Mobilfunknummer eine rechtswidrige Verarbeitung vorliegt. Diese ist auch kausal für den beim Kl. entstandenen Schaden, da es durch die Verwendung des CIT zu einem Kontrollverlust auf Seiten des Kl. kam. Auch der Verstoß gegen Art. 32, 24, 5 Abs. 1 lit. f DS-GVO ist für den eingetretenen Schaden kausal, denn durch die unzureichenden Schutzmaßnahmen ermöglichte bzw. erleichterte der Bekl. ein Ausnutzen des CIT durch „Scraping“. Dieses hat einen Kontrollverlust über die personenbezogenen Daten zur Folge. Der Schaden beruht zudem kausal auf einem Verstoß gegen Art. 33 und Art. 34 DS-GVO. Zwar ist der geltend gemachte Kontrollverlust bereits durch das „Scraping“ der Daten erstmals eingetreten. Durch die unterlassene Benachrichtigung des Kl. wurde ihm jedoch die Möglichkeit genommen, geeignete Maßnahmen zu ergreifen, um das Risiko des Missbrauchs seiner Daten zu minimieren. Auch die zuständige Datenschutzbehörde konnte mangels rechtzeitiger Meldung keine Schritte zur Risikominimierung und Absicherung der Daten einleiten. Die Kammer hält ein Schmerzensgeld von 200 EUR für angemessen, aber auch ausreichend, um einerseits der Ausgleichs- und Genugtuungsfunktion zu genügen, und andererseits der generalpräventiven Funktion des immateriellen Schadensersatzes hinreichend Rechnung zu tragen. Dabei hat das Gericht von dem ihm gem. § 287 Abs. 1 ZPO eingeräumten Ermessen Gebrauch gemacht. Unter Berücksichtigung des Erwägungsgrundes 146 S. 6 soll die betroffene Person einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten. Zur Bemessung der Höhe des immateriellen Schadensersatzes können die Kriterien des Art. 83 Abs. 2 DS-GVO herangezogen werden. Nach dieser Vorschrift sind für die Ermittlung der Höhe einer Geldbuße u. a. die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung, der Grad des Verschuldens, Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens, frühere einschlägige Verstöße sowie die Kategorien der betroffenen personenbezogenen Daten zu betrachten. Je intimer, finanziell bedrohlicher, potenziell ehrverletzender oder kränkender und persönlich wichtiger die abgeflossenen Daten sind, desto höher muss der immaterielle Schaden ausfallen. Darüber hinaus ist zu berücksichtigen, dass dem Schadensersatzanspruch unter Berücksichtigung der Erwägungsgründe 75 und 85 eine abschreckende Wirkung zukommen und DS-GVO durch eine empfindliche Anspruchshöhe zu einer effektiven Geltung verhelfen soll. Wenn es zu vielen Fällen von Rechtsverstößen durch den gleichen Verantwortlichen kommt, kann die Abschreckung allerdings auch in der Breite der Schadensersatzpflicht, d. h. in der Summe aller immateriellen Ersatzansprüche gesehen werden. Wesentlich sind am Ende allerdings die konkreten Umstände des Einzelfalles. Vorliegend hat das Gericht seiner Entscheidung zugrunde gelegt, dass sich die Bekl. mehrere Verstöße gegen die DS-GVO vorwerfen lassen muss, die einen sehr weitgehenden Kontrollverlust der personenbezogenen Daten des Kl. ermöglicht und begünstigt haben. Eine Reduzierung des klägerseits angegebenen Mindestbetrages war indes gerechtfertigt, da die Kammer im Rahmen der persönlichen Anhörung des Kl. keine besondere persönliche Betroffenheit feststellen konnte. Weder hat der Kl. sein Facebook-Profil gelöscht und seine Handynummer geändert, noch sonstige Maßnahmen vergleichbare Maßnahmen ergriffen, um seine Daten zu schützen. Auf Nachfrage, ob er die Suchbarkeitseinstellungen geändert habe, konnte er lediglich angeben, diese angeschaut zu haben und davon auszugehen, dass die nur privat einsehbar seien. Dies kann die Kammer nur so interpretieren, dass er gerade keine Änderungen vorgenommen hat, obwohl die Bekl. umfassende Informationen zu den Tools der Privatsphäre-Einstellungen erteilt hatte und die Problematik der Suchbarkeit des klägerischen Profils und der dort hinterlegten Daten über die Telefonnummer zentraler Gegenstand des der Kammer zur Entscheidung vorgelegten Rechtsstreits war. Der Umstand verdeutlicht, dass der objektive Kontrollverlust der personenbezogenen Daten den Kl. jedenfalls subjektiv nicht sonderlich stark getroffen hat, da der streitgegenständliche „Scraping-Vorfall“ den Kl. offenbar nicht dazu angehalten hat selbst Konsequenzen zu ziehen und einem möglichen Missbrauch der Daten in Zukunft aktiv entgegenzutreten. Soweit der Kl. im Rahmen seiner persönlichen Anhörung den Erhalt von zahlreichen Anrufen bzw. SMS-Nachrichten schildert, ist zwar nicht auszuschließen, dass dies mit dem streitgegenständlichen Geschehen in Zusammenhang steht – eine diesbezügliche Überzeugung ist für die Kammer aber nicht zu gewinnen, weil nicht auszuschließen ist, dass die Telefonnummer auch in anderem Zusammenhang Unbekannten zur Kenntnis gelangt und deshalb von diesen bestimmungswidrig eingesetzt wurde. So ist der Kammer aus eigener Anschauung bekannt, dass man die vom Kl. geschilderten "Anrufe von Interpol" auch erhalten kann, ohne jemals einen Facebook-Account angemeldet zu haben. Der mit dem Klageantrag zu 2 geltend gemachte Feststellungsantrag ist auch begründet. Gem. vorstehender Ausführungen hat der Kl. gegenüber der Bekl. wegen Verletzung der DS-GVO einen Anspruch auf Schadensersatz nach Art. 82 DS-GVO. Die jeweiligen Gesetzesverletzungen sind – wie bereits erörtert – zudem kausal für den unkontrollierten Datenverlust des Kl. Die vorgerichtlichen Rechtsanwaltskosten sind als Teil des zu ersetzenden Schadens gem. Art. 82 Abs. 1 DS-GVO zu erstatten. |
NEU LG Paderborn Urt. v. 19.12.2022 – 2 O 236/22 | 500 EUR Wie LG Paderborn Urt. v. 19.12.2022 – 3 O 193/22. |
NEU LG Paderborn Urt. v. 19.12.2022 – 2 O 185/22 | 100 EUR Wie LG Paderborn Urt. v. 19.12.2022 – 3 O 193/22. |
LG Paderborn Urt. v. 19.12.2022 – 3 O 99/22 = ZD 2023, 290 | 500 EUR Wie LG Paderborn Urt. v. 19.12.2022 – 3 O 193/22. |
LG Bielefeld Urt. v. 19.12.2022 – 8 O 182/22 = ZD 2023, 288 | 0 EUR Der Kl. hat keinen Anspruch auf Zahlung eines immateriellen Schadensersatzes aus Art. 82 Abs. 1 DS-GVO oder einer anderen denkbaren Anspruchsgrundlage. Denn jedenfalls fehlt es am Eintritt eines immateriellen Schadens. Nach Art. 82 Abs. 1 DS-GVO hat jede Person, der wegen eines Verstoßes gegen diese VO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Kontrovers diskutiert wird, unter welchen Voraussetzungen ein ersatzfähiger immaterieller Schadensersatz entsteht und sodann gewährt werden kann. Das Merkmal des immateriellen Schadens ist autonom auszulegen. Erwägungsgrund 146 (und in diesem S. 3) DS-GVO sieht vor, dass der Begriff des Schadens im Lichte der Rspr. des Gerichtshofs weit auf eine Art und Weise ausgelegt werden soll, die den Zielen dieser Verordnung in vollem Umfang entspricht. Erwägungsgrund 75 DS-GVO nennt etwa Identitätsdiebstahl, finanzielle Verluste, Rufschädigung oder den Verlust der Kontrolle personenbezogener Daten. Ein deutsches Verständnis zum Begriff des Schadens – etwa eine enge Auslegung – ist mithin nicht angezeigt. Eine Erheblichkeitsschwelle für das Vorliegen eines solchen Schadens ergibt sich gerade nicht aus der DS-GVO. Bagatellschäden sind nicht auszuschließen. Zu verlangen ist aber jedenfalls, dass ein konkreter immaterieller Schaden auch tatsächlich eingetreten („entstanden“) ist. Diesen muss der Kl. darlegen und ggf. beweisen. Auch und gerade unter Berücksichtigung eines weiten Verständnisses des immateriellen Schadens, das ausdrücklich auch Bagatellschäden einschließt, kann das Gericht nicht erkennen (§ 287 Abs. 1 ZPO), dass der Kl. einen solchen Schaden tatsächlich erlitten hat. Die in den Schriftsätzen beschriebenen formelhaften Ängste und Sorgen, das Unwohlsein, die aufgewendete Zeit und der Stress haben sich in der persönlichen Anhörung in der mündlichen Verhandlung nicht mehr gezeigt. Sie sind Teil einer Klageschrift und Replik, die mit dem gleichen Inhalt in einer Vielzahl von Verfahren rechtshängig wurden. Schon deswegen war der persönliche Eindruck des erkennenden Gerichts vom Kl. in seiner Anhörung in der mündlichen Verhandlung entscheidend. In dieser hat der Kl. zunächst geschildert, er habe sich zwischen 2009 und 2010 auf … angemeldet und nutze die Plattform bis heute. Es ist festzuhalten, dass alle Daten – bis auf die Handynummer – aus dem öffentlichen Profil des Kl. „abgelesen“ wurden, die der Kl. bereitwillig dort selbst eingetragen hat. Ein Identitätsdiebstahl hat insoweit nicht stattgefunden. Soweit diese Daten öffentlich waren, standen sie bereits bei ihrer Eingabe nicht mehr unter der ausschließlichen klägerischen Kontrolle. Ein Kontrollverlust kann sich daraus gerade nicht ergeben. Die schriftsätzliche Argumentation, der Kl. sei verstärkt misstrauisch bzgl. Spam-E-Mails, ist zurückzuweisen. Die E-Mail-Adresse des Kl. war nicht betroffen. Während dies in der Klage noch behauptet wurde (s. nur: „unbekannte Kontaktversuche … per Mail“; „Auch von [der Klagepartei] wurden Daten wie … Mailadresse abgegriffen“), hat sich dies aus der persönlichen Anhörung gerade nicht ergeben: Nach den Kenntnissen des Kl. sei die E-Mail-Adresse nicht betroffen. Es passt zudem nicht zu den schriftsätzlichen Schilderungen des Kl. bzgl. des Scraping-Vorfalls. Es wäre völlig unklar, wie die Scraper an die E-Mail-Adresse des Kl. gekommen sein sollten. Das Gericht konnte nicht erkennen, dass der Kl. sich tatsächlich „beobachtet“ gefühlt hat. Er wirkte nicht hilflos oder sah sich zu einem reinen Objekt der Datenverarbeitung degradiert. Zu erkennen war lediglich ein verständlicher Ärger („Mist“) über die Veröffentlichung der Handynummer im Internet, der nicht genügt. Das Gericht hält schriftsätzlich behauptete Sorgen und Ängste des Kl. nicht für glaubhaft. Der Kl. war bis zum Schluss der mündlichen Verhandlung auf Facebook angemeldet. (Drastische) Konsequenzen hat er nicht gezogen. Im Hinblick auf die schriftsätzlichen Behauptungen ist ein solches Verhalten aber gerade nicht plausibel. Er hat, und das ist mitentscheidend, entsprechende Suchbarkeitseinstellungen bzgl. seiner Handynummer bis zum Schluss der mündlichen Verhandlung überhaupt nicht geändert oder aber seine Handynummer aus den Nutzereinstellungen entfernt. Der Kl. hat in der mündlichen Verhandlung bekundet, er wisse bis heute nicht, wie sich die Einstellungen ändern ließen. Er kenne diese Funktion nicht. Selbst wenn dem Kl. vor Klageeinreichung – wie behauptet – die Einstellungsmöglichkeiten auf … nicht intuitiv und nachvollziehbar vorgekommen sein sollten, hätte er die verschiedenen Einstellungsmöglichkeiten nunmehr mittels Klageerwiderung und eigener Replik nachvollziehen können müssen. Schließlich hat er die unterschiedlichen Suchbarkeitseinstellungen selbst vortragen lassen und arbeitet überdies in der IT-Branche. Soweit der Kl. Ängste und Misstrauen bzgl. Spam-SMS, im konkreten bzgl. des Erhalts sog. „Paketshop-SMS“ dargelegt hat, ist unklar, ob diese SMS tatsächlich im Zusammenhang mit dem Scraping-Vorfall verschickt wurden, was auch dem Kl. bewusst ist. Es ist gerichtsbekannt, dass auch Inhaber von Mobilfunknummern, die niemals bei … angemeldet waren, solche oder ähnliche Spam-SMS enthalten. IÜ ist ein geschärftes Bewusstsein beim Erhalt von SMS stets angezeigt. Das erkennende Gericht ist nicht davon überzeugt, dass der Kl. überhaupt irgendwelche Komfort- und Zeiteinbußen im Zusammenhang mit dem Scraping-Vorfall erlitten hat. Anders als schriftsätzlich vorgetragen, musste sich der Kl. gerade nicht mit der Bekl. selbst auseinandersetzen. Er musste insb. nicht selbst um Auskunft bitten oder weitere Nachforschungen bzgl. des Scraping-Vorfalls anstellen und hat dies auch nicht getan. Er musste auch nicht den Sachverhalt ermitteln. Er hat geschildert, er habe ein YouTube-Video eines Rechtsanwalts der Prozessbevollmächtigten über den Scraping-Vorfall gesehen und sodann ein Formular auf einer Internetseite genutzt, um zu überprüfen, ob die eigene Handynummer betroffen sei. Dies sei der Fall gewesen. Sodann hätten ihm die Prozessbevollmächtigten bereits auf dieser Website die Möglichkeit eröffnet, sich bei diesen zu melden, um dann gegen die Bekl. vorzugehen. Soweit der Kl. bekundet hat, es sei viel Arbeit gewesen, den gesamten Schriftverkehr zwischen den Prozessbevollmächtigten zu lesen, genügt dies nicht. Welche Zeit der Kl. iÜ dafür aufgewendet haben will, sich vor drohendem Missbrauch zu schützen, ist unklar geblieben. Eine Vorlagepflicht nach Art. 267 AEUV bestand nicht. Der Feststellungsantrag zu 2) ist unbegründet, weil der Eintritt künftiger Schäden – mangels Vorliegens eines Schadens – bereits nicht hinreichend wahrscheinlich ist. |
LG Paderborn Urt. v. 13.12.2022 – 2 O 212/22 | 500 EUR Dem Kl. steht gegen die Bekl. ein Anspruch auf Schadensersatz iHv 500 EUR aus Art. 82 Abs. 1 DS-GVO zu. Zur Begründung kann auf die Ausführungen zu LG Paderborn Urt. v. 19.12.2022 – 3 O 99/22 verwiesen werden, die sich überschneiden. |
LG Essen Urt. v. 10.11.2022 – 6 O 111/22 | 0 EUR Der Kl. hat indes unter keinem rechtlichen Gesichtspunkt einen Anspruch auf immateriellen Schadensersatz in geltend gemachter Höhe von 1.000 EUR. Es fehlt an einer Schadensersatzauslösenden Pflichtverletzung der Bekl. iSd DS-GVO. Soweit der Kl. der Bekl. mehrere Verstöße vorwirft, nämlich ungenügende Information und Aufklärung über die Verarbeitung der sie betreffenden Daten durch ungenügende Aufklärung zur Verwendung und Geheimhaltung der Telefonnummer (Art. 5 Abs. 1 lit. a DS-GVO), unmittelbaren Verstoß gegen Art. 13, 14 DS-GVO, die konkrete Informationspflichten enthielten, die seitens der Bekl. nicht eingehalten worden seien, ungenügender Schutz der personenbezogenen Daten der Nutzer von F. (Art. 24, 32 DS-GVO), unvollständig Auskunftserteilung nach Art. 15 DS-GVO, da nicht mitgeteilt worden sei, welchen Empfängern die Daten des Kl. durch Ausnutzung des Kontakt Import Tools zugänglich gemacht worden seien (Art. 33, 34 DS-GVO), sind solche Verstöße schon nicht vom Schutzzweck des Art. 82 DS-GVO umfasst und waren auch nach persönlicher Anhörung des Kl. Gem. § 141 ZPO nicht feststellbar, selbst wenn man – entgegen der hier vertretenen Ansicht – den Anwendungsbereich des Art. 82 DS-GVO für eröffnet halten wollte. Insoweit konnte dann auch dahinstehen, ob sich der Kl. iRd Geltung der DS-GVO ein anspruchsausschließendes Mitverschulden gem. § 254 Abs. 2 BGB analog entgegenhalten lassen muss. Der sachliche Anwendungsbereich des Art. 82 DS-GVO ist zunächst bezogen auf die Geltendmachung behaupteter verspäteter Auskunftsansprüche gem. Art. 15 DS-GVO und Art. 34 DS-GVO nicht eröffnet. Der Schutzbereich des Art. 82 DS-GVO als hier maßgebliche Anspruchsgrundlage umfasst ebenso wenig Verstöße gegen Art. 34 DS-GVO. Schließlich lässt sich auch von vornherein aus Art. 24 DS-GVO kein subjektives Recht herleiten. Selbiges gilt für Art. 25 DS-GVO. Daher kann auch dahinstehen, ob Verstöße etwa gegen Art. 13, 14 und 34 DS-GVO durch die Bekl. erfolgten, da auch sie nicht unter den Schutzbereich des Art. 82 DS-GVO fallen, weil auch sie „lediglich“ Informationspflichten über die Verarbeitung enthalten, nicht aber die Verarbeitung als solche zum Gegenstand haben. Es fehlt – aber ohnehin – unabhängig von den aufgestellten Erwägungen an entsprechenden Pflichtverstößen der Bekl. gegen Normen der DS-GVO, soweit man den Anwendungsbereich – entgegen der hier vertretenen Auffassung – für eröffnet erachtet. Unabhängig davon fehlt es an einem ersatzfähigen Schaden des Kl. iSd Art. 82 Abs. 1 DS-GVO. Für den – hier geltend gemachten – immateriellen Schadensersatz gelten dabei die im Rahmen von § 253 BGB entwickelten Grundsätze; die Ermittlung obliegt dem Gericht nach § 287 ZPO. Es können für die Bemessung die Kriterien des Art. 83 Abs. 2 DS-GVO herangezogen werden. Zu berücksichtigen ist auch, dass die beabsichtigte abschreckende Wirkung nur durch für den Anspruchsverpflichtenden empfindliche Schmerzensgelder erreicht wird, insb. wenn eine Kommerzialisierung fehlt. Ein genereller Ausschluss von Bagatellfällen ist damit nicht zu vereinbaren. Die Pflicht zur Erstattung immaterieller Schäden ist daher nicht nur auf schwere Schäden beschränkt. Ein genereller Ausschluss von Bagatellschäden ist im Lichte dieser Erwägungsgründe nicht vertretbar. Dies wird auch aus Art. 4 Abs. 3 AEUV abgeleitet, der die Mitgliedsstaaten dazu anhält, Verstöße wirksam mit Sanktionen zu belegen, denn nur so könne man eine effektive Durchsetzbarkeit des EU-Rechts und damit auch der DS-GVO erzielen. Allein eine Verletzung des Datenschutzrechts als solche begründet allerdings nicht bereits für sich gesehen einen Schadensersatzanspruch für betroffene Personen. Die Verletzungshandlung muss in jedem Fall auch zu einer konkreten, nicht nur völlig unbedeutenden oder empfundenen Verletzung von Persönlichkeitsrechten der betroffenen Personen geführt haben. Verletzung und Schaden sind nicht gleichzusetzen. Es ist zwar eine schwere Verletzung des Persönlichkeitsrechts nicht (mehr) erforderlich. Andererseits ist auch weiterhin nicht für einen Bagatellverstoß ohne ernsthafte Beeinträchtigung bzw. für jede bloß individuelle empfundene Unannehmlichkeit ein Schmerzensgeld zu gewähren; vielmehr muss dem Betroffenen ein spürbarer Nachteil entstanden sein und es muss um eine objektiv nachvollziehbare, mit gewissem Gewicht erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen gehen. In den Erwägungsgründen Ziff. 75 und 85 werden einige mögliche Schäden aufgezählt, darunter Identitätsdiebstahl, finanzielle Verluste, Rufschädigung, aber auch der Verlust der Kontrolle über die eigenen Daten sowie die Erstellung unzulässiger Persönlichkeitsprofile. Zudem nennt Erwägungsgrund 75 auch die bloße Verarbeitung einer großen Menge personenbezogener Daten einer großen Anzahl von Personen. Der Schaden ist zwar weit zu verstehen, er muss jedoch auch wirklich „erlitten“ (Erwägungsgrund 146 S. 6), das heißt „spürbar“, objektiv nachvollziehbar, von gewissem Gewicht sein, um bloße Unannehmlichkeiten oder Bagatellschäden auszuschließen. Gemessen an diesen Grundsätzen hat der Kl. schon keine spürbare Beeinträchtigung – hervorgerufen durch Datenverlust – von persönlichen Belangen dargelegt. Der Kl. trägt vor, einen erheblichen Kontrollverlust über seine Daten erlitten und Sorge vor Missbrauch seiner Daten zu haben. Der Sinn der Verordnung wird aber nicht gewahrt, indem man jeglichem „Unwohlsein“ eine Schadensposition einräumt. Vielmehr muss zumindest ein ernsthaftes Risiko bestehen, dass die Daten missbraucht werden. Dies konnte die Kammer im Lichte der Angaben des persönlich gehörten Kl. nicht feststellen, der bis heute seine Suchbarkeitseinstellungen trotz behaupteten Unwohlseins nicht verändert hat. |
LG Gießen Urt. v. 3.11.2022 – 5 O 195/22 = ZD 2023, 103 | 0 EUR Dem Kl. steht kein Anspruch auf Zahlung eines immateriellen Schadensersatzes gem. Art. 82 Abs. 1 DS-GVO zu. Diesbezüglich ist es dem Kl. nicht gelungen, den Eintritt eines (eigenen) Schadens als überwiegend wahrscheinlich (§ 287 ZPO) nachzuweisen. Nach dem ausdrücklichen Wortlaut der Vorschrift muss der Schaden „erlitten“ werden, woraus sich ergibt, dass dieser tatsächlich entstanden sein muss und nicht lediglich befürchtet wird. Zwar ist der Begriff des Schadens nach dem Erwägungsgrund 146 S. 3 weit auszulegen, sodass die Betroffenen einen wirksamen Ersatz bekommen; nach Auffassung der Kammer reicht jedoch ein bloßer Verstoß gegen Vorschriften der DS-GVO nicht aus, um (immateriellen) Schadensersatz verlangen zu können. Es bedarf vielmehr der Darlegung eines konkreten (auch immateriellen) Schadens. Allerdings ist es nicht erforderlich, dass der eingetretene Schaden erheblich ist; mithin sind auch Bagatellschäden ersatzfähig. Das Vorliegen eines konkreten, immateriellen Schadens, wozu auch Ängste, Sorgen, Stress sowie Komfort- und Zeiteinbußen zählen, hat der Kl. nicht hinreichend dargetan. Er hat zwar im Rahmen der Klageschrift ausführen lassen, dass er einen erheblichen Kontrollverlust über seine Daten erlitten habe und deshalb unter großem Unwohlsein und Sorgen leide sowie einen Missbrauch befürchte; der Anordnung zum persönlichen Erscheinen (zur Sachverhaltsaufklärung) ist er gleichwohl nicht nachgekommen, was das Gericht frei zu würdigen hatte. Letztlich kann die Kammer nicht mit hinreichender Wahrscheinlichkeit davonausgehen, dass der Kl. unter den in der Klageschrift beschriebenen Ängsten und Sorgen tatsächlich leidet. Dagegen spricht bereits der Umstand, dass es sich bei den „gescrapten“ Daten des Kl. mit – Ausnahme der Mobilfunknummer – um Daten handelt, die immer (!) öffentlich sind. Es ist diesen Daten gerade immanent, dass sie jedem und jederzeit zugänglich zu sind. Auf diesen Umstand weist die Bekl. ihre Nutzer auch ausdrücklich hin, sodass es für die Kammer nicht nachvollziehbar ist, weshalb eine „weitere Veröffentlichung“ dieser Daten, bei dem Kl. zu einem unguten Gefühl geführt haben sollte. Dagegen spricht weiterhin der Umstand, dass es sich offensichtlich um eine standardisierte Klageschrift handelt, die für eine Vielzahl von betroffenen Nutzern eingereicht wird. So ist beispielsweise vorgetragen, dass sich der hiesige Kl. auf Grund des Vorfalles mit betrügerischen E-Mails auseinandersetzen müsse, obwohl die E-Mail-Adresse – nach dem Vortrag der Klägerseite – gar nicht „gescrapt“ worden ist; sprich seine E-Mail-Adresse durch den Vorfall überhaupt nicht öffentlich verbreitet worden ist. Ebenso kann die Kammer keinen konkreten immateriellen Schaden aus der Veröffentlichung der Mobilfunknummer ersehen. Erhebliche Zweifel an dem in der Klageschrift vorgetragenem Gemütszustand des Kl. ergeben sich für das Gericht diesbezüglich bereits aus dem Umstand, dass die Eingabe der Mobilfunknummer freiwillig erfolgte, mithin für die Registrierung nicht erforderlich ist. Dass der Kl. diese gleichwohl trotzdem angab, spricht eher dafür, dass er kein besonderes Interesse daran hatte, die Möglichkeit einer Verbreitung seiner Mobilfunknummer zu kontrollieren; zumal auch diesbezüglich die Bekl. in ihren Einstellungen entsprechende Einschränkungsmöglichkeiten bereithält. Ein anderes Bild hätte sich lediglich im Rahmen seiner persönlichen Anhörung ergeben können. Auf Grund der vorgenannten Ausführungen kam es auf die Frage, ob und inwieweit die Bekl. gegen die DS-GVO verstoßen hat, nicht an. |
NEU LG Ravensburg Urt. v. 26.10.2022 – 1 O 89/22 | 0 EUR Der Kl. hat gegen die Bekl. keinen Anspruch auf Zahlung eines immateriellen Schadensersatzes gem. Art. 82 Abs. 1 DS-GVO. Diesbezüglich ist es dem Kl. nicht gelungen, den Eintritt eines eigenen Schadens nachzuweisen. Nach dem ausdrücklichen Wortlaut der Vorschrift muss der Schaden „erlitten“ werden, woraus sich ergibt, dass dieser tatsächlich entstanden sein muss und nicht lediglich befürchtet wird. Zwar ist der Begriff des Schadens nach dem Erwägungsgrund 146 S. 3 weit auszulegen, sodass die Betroffenen einen wirksamen Ersatz bekommen; allein ein (möglicher) Verstoß gegen die DS-GVO reicht jedoch nicht aus, um einen immateriellen Schaden zu begründen. Es bedarf vielmehr der Darlegung und ggf. des Nachweises eines konkreten Schadens. Hierzu können auch Ängste, Sorgen, Stress sowie Komfort- und Zeiteinbußen zählen. Einen dahingehenden Schaden hat der Kl. nicht erlitten. Zwar hat er in der Klageschrift ausgeführt, er habe einen erheblichen Kontrollverlust über seine Daten erlitten. Er habe sich unwohl gefühlt und große Sorge wegen eines Datenmissbrauchs gehabt. Seit dem Vorfall erhalte er regelmäßig unbekannte Kontaktversuche via SMS und E-Mail. Im Rahmen seiner informatorischen Anhörung gab er an, er habe Pin-Anrufe erhalten, Werbeanrufe, Anrufe von Personen, die sich als amerikanische Polizisten ausgaben und er habe Spam-Nachrichten erhalten. Er wisse nicht mehr, ob von dem Datenleck auch seine Emailadresse betroffen worden sei. Er habe damals seine Telefonnummer, die bei f. hinterlegt worden sei, auch auf anderen Webseiten hinterlegt, u. a. bei mehreren Kreditkartenunternehmen. Ein Zusammenhang zwischen dem streitgegenständlichen Datenmissbrauch und den erhaltenen Anrufen und Nachrichten lässt sich daher nicht herstellen. Die Klage auf Feststellung einer Ersatzpflicht künftiger materieller und immaterieller Schäden ist mangels Vorliegen eines Schadens unbegründet. |
LG Köln Urt. v. 28.9.2022 – 28 O 21/22 = ZD 2023, 158 | 4.000 EUR Der Kl. hat gegen die Bekl. zu 1) einen Anspruch auf Zahlung eines Schadensersatzes iHv 4.000 EUR aus Art. 82 DS-GVO. Die Bekl. zu 1) hat personenbezogene Daten des Kl. iSd des Art. 4 Ziff. 2 DS-GVO dadurch verarbeitet, dass sie die streitgegenständliche E-Mail an Herrn K. versandt hat. Sie muss sich dabei die Handlung ihres Angestellten, des Bekl. zu 2), zurechnen lassen. Zur Verarbeitung iSd DS-GVO zählt auch die „Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung“. Die Offenlegung der Vertragsverhältnisse zwischen der Bekl. zu 1) und dem Kl. an den Vorgesetzten des Kl. war auch rechtswidrig. Sie unterfällt keinem Rechtfertigungstatbestand nach Art. 6 Abs. 1 DS-GVO. Insbesondere ist sie nicht zur Erfüllung des Vertrags mit dem Kl. „erforderlich“, Art. 6 Abs. 1 S. 1 lit. b DS-GVO. Erforderlichkeit setzt voraus, dass ein unmittelbarer Zusammenhang zwischen der Verarbeitung und dem konkreten Zweck des Vertragsverhältnisses besteht. Ein solcher Zusammenhang ist hier nicht ersichtlich. Der Vorgesetzte des Kl. ist in keiner Weise in den Vertrag involviert und für die private Lebensführung des Kl. auch offensichtlich in keiner Weise verantwortlich. Es ist nicht im Ansatz zu erkennen, warum der Gläubiger eines Schuldverhältnisses sich veranlasst sehen dürfte, sich an den Vorgesetzten seines Schuldners zu wenden um diesen dazu zu bringen, auf den Schuldner einzuwirken. Etwas anderes ergibt sich auch nicht aus dem Umstand, dass der Kl. ebenfalls als Autoverkäufer in einem Konkurrenzunternehmen tätig ist. Gerade in diesem Fall drängt sich der Gedanke förmlich auf, dass dem Kl. aus einer Offenlegung seiner Geschäftsbeziehungen zu einem Konkurrenzunternehmen Probleme erwachsen können, was für die Erfüllung des Vertrags nicht förderlich sein dürfte. Die Bekl. zu 1) ist für den Verstoß gegen Art. 6 Abs. 1 DS-GVO auch verantwortlich und muss sich das Verhalten ihres Mitarbeiters zurechnen lassen. Eine Exkulpation nach Art. 82 Abs. 3 DS-GVO kommt nicht in Betracht. Soweit die Bekl. zu 1) schlicht darauf abstellt, dass der Bekl. zu 2) dem Kl. keinen Schaden habe zufügen wollen, verfängt dies nicht. Die Versendung der E-Mail erfolgte vorsätzlich. Eine Schädigungsabsicht setzt Art. 82 DS-GVO nicht voraus. Der Verstoß ist auch derart gravierend, dass er eine Schadensersatzpflicht der Bekl. zu 1) auslöst, allerdings nur in tenorierter Höhe. Allein der Verstoß gegen datenschutzrechtliche Vorschriften führt nicht zu einer Verpflichtung des Verantwortlichen zur Zahlung von Schadensersatz. Voraussetzung eines Anspruchs auf Schadensersatz aus Art. 82 Abs. 1 DS-GVO, der im nationalen Recht unmittelbar Anwendung findet und andere Anspruchsgrundlagen nicht ausschließt, ist ein Verstoß gegen die DS-GVO und ein hierdurch verursachter Schaden, was ein Kl. darzulegen und zu beweisen hat. Nach dem Erwägungsgrund 146 ist der Begriff des Schadens weit auszulegen, sodass Betroffene einen wirksamen Ersatz erhalten. Erwägungsgrund 85 besagt, dass eine Verletzung des Schutzes personenbezogener Daten einen physischen, materiellen oder immateriellen Schaden für natürliche Personen – wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung oder Rufschädigung – nach sich ziehen kann, wenn nicht rechtzeitig und angemessen reagiert wird. Es bedarf danach zwar keiner schweren Verletzung des Persönlichkeitsrechts, um einen immateriellen Schaden geltend zu machen. Dennoch führt nicht bereits jeder Verstoß gegen die DS-GVO zu einer Ausgleichspflicht, denn der Verpflichtung zum Ausgleich eines immateriellen Schadens muss eine benennbar und insoweit tatsächliche Persönlichkeitsverletzung gegenüberstehen, die z. B. in der mit einer unrechtmäßigen Zugänglichmachung von Daten liegenden „Bloßstellung“ liegen kann. Die Ermittlung des Schadens obliegt nach § 287 ZPO dem Gericht. Der Verstoß der Bekl. zu 1) gegen die Regeln der DS-GVO ist bereits für sich derart gravierend, dass er eine entschädigungspflichtige Persönlichkeitsrechtsverletzung des Kl. begründet. Dass sich der Bekl. zu 2) hier an den Vorgesetzten des Kl. gewandt haben, ist nicht nur unangebracht und ein Verstoß gegen die DS-GVO, sondern für den Kl. auch peinlich und mit erheblichen Unannehmlichkeiten verbunden, weil er sich – unabhängig von der tatsächlichen Reaktion seines Vorgesetzten – genötigt fühlen könnte, sich gegenüber seinem Arbeitgeber dafür rechtfertigen zu müssen, bei der Konkurrenz ein Auto gekauft zu haben. Dies ist mit einem erheblichen Gefühl der Scham verbunden. Es handelt sich bei den Vertragsinformationen zwar nicht um hochsensible und höchstpersönliche Daten, der Kl. hatte jedoch ein offensichtliches Geheimhaltungsinteresse. Der Verstoß führt insoweit auch zu einem völligen Verlust der Kontrolle über die Daten, auch wenn die Information nur an eine Person geleitet wurde. Zudem erfolgte der Verstoß vorsätzlich, auch wenn der Bekl. zu 2), wie die Bekl. zu 1) unbestritten vorgetragen hat, keine Schädigungsabsicht gehabt hat. Für die Frage der Schadensbemessung ist von Bedeutung, dass die Kammer die von dem Kl. behaupteten Folgen des Datenschutzverstoßes ihrer Entscheidung nicht zu Grunde legen kann. Die Kammer will nicht in Abrede stellen, dass der Kl. tatsächlich unter hohem psychischen Druck steht. Er war in der mündlichen Verhandlung sichtlich angefasst und schien deutlich zu leiden. Dieses Leiden ist jedoch nicht derart substantiiert im Prozess vorgetragen worden, dass es für die Kammer prozessual verwertbar wäre und für die Einholung eines psychologischen Sachverständigengutachtens gereicht hätte. Dies gilt nicht nur für den Vortrag des Kl. hinsichtlich des Vorliegens einer Depression, sondern auch für die Frage, ob gerade der Datenschutzverstoß der Bekl. für die Krankheit des Kl. kausal geworden ist. Die Einholung eines Sachverständigengutachtens würde vor diesem Hintergrund einem Ausforschungsbeweis gleichkommen. Bei der Bemessung des Schmerzensgelds war weiterhin zu berücksichtigen, dass die Bekl. zu 1) eine strafbewehrte Unterlassungserklärung abgegeben und sich bereits mit E-Mail vom 20.7.2021 beim Kl. entschuldigt hat. Weiterhin war zu berücksichtigen, dass nach Sinn und Zweck von Art. 82 DS-GVO das Schmerzensgeld so zu bemessen ist, dass es eine abschreckende Wirkung auf die Bekl. ausübt. Dabei war jedoch auch darauf zu achten, dass auch nach der Konzeption des Art. 82 DS-GVO der Schadensersatz nicht in einen Strafschadensersatz ausartet, sondern in erster Linie der Kompensation tatsächlich entstandener Schäden beim Kl. dient (vgl. Erwägungsgrund (146) S. 5 DS-GVO: „erlittener Schaden“). In diesem Zusammenhang war für die Kammer entscheidend auf die finanzielle Situation der Bekl. zu 1) abzustellen, nicht hingegen auf die Finanzkraft des „V-Konzern s“ insgesamt. Die Bekl. zu 1) mag zum V-Konzern gehören, sie ist aber rechtlich unabhängig. Der Kl. hat nicht die „V-AG“ verklagt, sodassder Vortrag zu deren Umsätzen unbeachtlich ist. Vortrag zur finanziellen Situation der Bekl. zu 1) fehlt indes. Daher verbietet sich auch eine Orientierung an einem möglicherweise von der Aufsichtsbehörde noch zu verhängendem Bußgeld gegen die Bekl. zu 1). Der Vortrag des Kl. zur Höhe dieses Bußgelds, insb. dass dieses die Höchstgrenze des Art. 83 Abs. 4 DS-GVO von 10 Mrd. EUR erreichen könnte, stellt sich vor diesem Hintergrund nicht als eine ernsthafte Prognose dar. Unter Berücksichtigung sämtlicher dieser zuvor genannten Umstände hält die Kammer gem. § 287 ZPO insgesamt einen Schadensersatz von 4.000 EUR für notwendig, aber auch ausreichend zur Kompensation des dem Kl. entstandenen Schadens. |
NEU LG Zwickau Versäumnisurt. v. 14.9.2022 – 7 O 334/22 | 1.000 EUR Die Verstöße der Bekl. gegen die DS-GVO bestehen zusammenfassend darin, dass die Bekl. als Verantwortlicher, Art. 4 Ziff. 7 DS-GVO, im Jahr 2019 die Klägerseite betreffende personenbezogene Daten, Art. 4 Ziff. 1 DS-GVO, zum einen ohne Rechtsgrundlage, Art. 6, 7 DS-GVO, und ausreichender Informationen iSv Art. 13, 14 DS-GVO verarbeitet, Art. 4 Ziff. 2 DS-GVO, sowie diese Daten unbefugten Dritten zugänglich machte und hierbei die Pflichten aus Art. 5 Abs. lit. a, lit. b, lit. c, lit. f, 25 Abs. 1, Abs. 2, 32, 34 Abs. 1, Abs. 2 DS-GVO sowie Betroffenenrechte der Kl. gem. Art. 15, 17, 18 DS-GVO verletzt. Der Kl. hat gem. Art. 82 Abs. 1 DS-GVO gegen die Bekl. einen Anspruch auf Schadensersatz iHv 1.000 EUR nebst Zinsen gem. §§ 288 Abs.1, 291 BGB und Rechtsanwaltskosten. Das Verhalten der Bekl. begründet mehrere Verstöße gegen die DS-GVO. Zunächst hat die Bekl. die Kl. nicht im ausreichenden Maße über die Verarbeitung sie betreffender personenbezogener Daten, die sie dort angegeben hat, informiert bzw. aufgeklärt. Weiterhin hat die Bekl. im Jahr 2019 die personenbezogenen Daten ihrer Nutzer, so auch die der Kl., nicht im ausreichenden Maße und nicht den Anforderungen der DS-GVO entsprechend, geschützt. Unabhängig von etwaigen Sicherheitslücken verstößt die Bekl. mit den von ihr vorgenommenen Einstellungen zur Privatsphäre gegen die in Art. 25 DS-GVO niedergelegten Grundsätze der „Privacy by Design“ und „Privacy by default“. Die Bekl. hat darüber hinaus weder der Klägerseite noch die zuständige Aufsichtsbehörde, die Irish Data Protection Commission, von dem Datenschutzverstoß informiert. Sie ist somit weder ihrer Informationspflicht nach Art. 34 noch nach Art. 33 DS-GVO nachgekommen. Schlussendlich ist die Bekl. dem Auskunftsersuchen der Kl. über ihre personenbezogenen Daten nicht in ausreichendem Maße des Schutzes nachgekommen. Nach Art. 82 Abs. 1 DS-GVO hat die betroffene Person, die einen Schaden erlitten hat, gegen den verantwortlichen einen Schadensersatzanspruch. Der Schaden ist zwar weit zu verstehen, er muss jedoch auch wirklich „erlitten“ (Erwägungsgrund 146 S. 6), das heißt „spürbar“, objektiv nachvollziehbar, von gewissem Gewicht sein, um bloße Unannehmlichkeiten oder Bagatellschäden auszuschließen. Mit wenigen Ausnahmen hatten bisher vor allem Untergerichte über geltend gemachte Schadensersatzansprüche nach Art. 82 DS-GVO zu entscheiden. In knapp einem Dutzend veröffentlichten Urteilen wurde ein immaterieller Schadensersatz zugesprochen. Einige der Gerichte haben dabei ausdrücklich auf die notwendige Abschreckungswirkung Bezug genommen. Die Gerichte taxierten die Ersatzpflicht für die verspätete Auskunft mit 500 bis 1.000 EUR pro Monat. Der Schadensersatzanspruch nach Art. 82 DS-GVO hat eine abschreckende Präventionsfunktion. Der Sinn und Zweck dieser Vorschrift würde ausgehöhlt werden, wenn man übermäßige Anforderungen an die Schwere und die Darlegung einer Beeinträchtigung stellen würde. Datenschutzrechtliche Fälle sind nämlich gerade durch ein hohes Maß an Ungewissheit geprägt, dass selbst bei drastischen Verstößen und substanziellen Risiken für die Betroffenen nicht zulässt, erhebliche, konkrete und „objektiv nachvollziehbare“ Schäden zu belegen. Zudem beruht der Schaden auf einem Datenleck, von dem eine unüberschaubare Vielzahl von Personen betroffen ist. Verstöße dieser Art werden von Erwägungsgrund 75 aE DS-GVO („wenn die Verarbeitung eine große Menge personenbezogener Daten und eine große Anzahl von betroffenen Personen betrifft“) beispielhaft als ein Fall des erlittenen Schadens verstanden. Daraus ist zu schließen, dass unter der DS-GVO die Folgen von Verstößen wie dem vorliegenden grundsätzlich als Schaden zu behandeln sind, um dem Zweck der DS-GVO, ein möglichst hohes und umfassendes Schutzniveau der Betroffenen zu gewährleisten, gerecht zu werden. Es ist deswegen auch im Wege des effet utile-Grundsatzes geboten, in Fällen wie dem vorliegenden einen Schadensersatz zu gewähren, um die effektive Durchsetzung des Unionsrechts umfassend zu gewährleisten. Der Schaden ist „wegen“ der Verstöße gegen diese Verordnung eingetreten. Die zivilrechtlichen Grundsätze zur Kausalität sind anwendbar. Ausreichend ist eine Mitursächlichkeit bei Entstehung des Schadens. Allerdings muss der eingetretene Schaden gerade durch den geltend gemachten Rechtsverstoß eingetreten sein. Der Exculpationsnachweis nach Abs. 3, nach welchem derjenige von einer Ersatzpflicht frei wird, der unter „keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist“, hat die Bekl. nicht erbracht. Ein Schadensersatz iHv 1.000 EUR ist vorliegend angemessen. Art. 82 Abs. 1 DS-GVO macht zwar bezüglich der Höhe des Schadensersatzanspruchs keine Vorgaben und auch in der Rspr. bestehen bezüglich der Höhe Unsicherheiten. Bedenkt man jedoch das Ziel des Schadensersatzanspruches nach Art. 82 Abs. 1 DS-GVO, Verstöße effektiv und vor allem abschreckend zu sanktionieren, ist ein Schadensersatzanspruch in der Höhe von mind. 1.000 EUR für die vorliegenden Verstöße der Bekl. gerechtfertigt. Auch Erwägungsgrund 146 S. 6 fordert, dass die betroffene Person „einen vollständigen und wirksamen Schadensersatz“ für den erlittenen Schaden erhalten soll. In der bisherigen Rspr. lagen zugesprochene Ersatzsummen im mittleren vierstelligen Bereich. Zu erwarten ist aber, dass Entschädigungszahlungen künftig deutlich höher ausfallen werden, da dem Schadensersatzanspruch nicht nur eine generell präventive, sondern zugleich auch sanktionierende Wirkung zukommt. Die Höhe des Anspruchs ist bei immateriellen Schäden nicht willkürlich, sondern auf der Grundlage der inhaltlichen Schwere und Dauer der Rechtsverletzung zu beurteilen. Genugtuungs- und Vorbeugungsfunktion spielen bei der Bezifferung eine Rolle. Ausgangspunkt für die Berechnung des immateriellen Schadensersatzes ist der weit auszulegende europarechtliche Schadensbegriff. Konkret bedeutet das, die Beträge hoch anzusetzen, um die geforderte wirksame und abschreckende Wirkung zu erzielen. Bei den bisher zugesprochenen Schadensersatzansprüchen variieren die Beträge zwischen 300 und 5.000 EUR. Bemerkenswert sind dabei Entscheidungen, die wegen der Verletzung von Auskunftsansprüchen 1.500 bzw. 5.000 EUR zugesprochen haben, obwohl sie den entstandenen immateriellen Schaden als „nicht sehr groß“ und „nicht erheblich“ angesehen haben. Der Schaden liegt in der Ungewissheit über die Verarbeitung der eigenen Daten. Die Gerichte taxierten die Ersatzpflicht für die verspätete Auskunft mit 500 bis 1.000 EUR pro Monat. Im Vergleich zu den genannten Beispielen handelt es sich im vorliegenden Fall um einen Schaden mittlerer Intensität: Die entwendeten Daten sind zwar keine so höchstpersönlichen oder sensiblen, dass ein besonders intensiver Eingriff in die Privatsphäre der Kl. vorläge. Allerdings sind sie sehr umfangreich und ermöglichen in Verknüpfung mit dem Facebook-Profil vielfältige Möglichkeiten für kriminelle Akteure, was der Kl. große Sorgen und gehöriges Unwohlsein bereitet. Hinzu kommt die fehlerhafte Auskunftserteilung über die Empfänger der Daten. Im Vergleich zu den oben bezifferten Schadensfällen liegt hier ein schwerer Verstoß vor als im Falle einer bloßen verspäteten Auskunftserteilung, die regelmäßig mit 500 EUR pro Monat angesetzt wird: Der befürchtete Kontrollverlust über die Daten ist hier tatsächlich eingetreten und birgt tatsächliche Risiken für die Klägerseite. Damit ist der ausgleichsbedürftige Schaden höher als derartige Auskunftsersuche anzusetzen, die hier dennoch erschwerend hinzukommen: Hier wirken sowohl Datenschutzverstoß als auch mangelhafte Erfüllung des Auskunftsbegehrens kumulativ zusammen. Ähnlich wiegt der Verstoß schwerer als etwa das bloße versehentliche Versenden einer E-Mail an einen einzelnen falschen Empfänger, welcher sogar mit einer Schadenshöhe von 1.000 Erwägungsgrund angesetzt wurde. Auf Grund dessen ist ein Schadensersatzanspruch iHv 1.000 EUR angemessen. Aus der Verpflichtung der Bekl. zur Leistung von Schadensersatz aus dem dargestellten Schadensereignis folgt auch die Pflicht, zukünftige Schäden, die auf Grund der entwendeten Daten entstehen, zu tragen. So kann zum jetzigen Zeitpunkt noch nicht abgesehen werden, welche Dritten Zugriff auf die Daten des Kl. erhalten haben und für welche konkreten kriminellen Zwecke die Daten missbraucht werden. Um einen zukünftigen Prozess zu vermeiden, kann bereits jetzt mit Feststellungsinteresse iSd § 256 ZPO festgestellt werden, dass die Bekl. für die aus dem Schadensereignis kausal entstehenden Schäden einzustehen hat. Ihrem Wesen nach zeigen sich die Folgen von Datenschutzverletzungen erst spät, oft bleiben sie lange unerkannt. Dies zeigt sich nicht zuletzt daran, dass auch das Datenleck bei Facebook, das schon seit Jahren bestand, erst vor Kurzem offenbar wurde. Es ist deshalb im Interesse des Kl. und der allgemeinen Rechtssicherheit, eine Haftung der Bekl. schon jetzt festzustellen, um später auf Grund des Zeitablaufs entstehende Unsicherheiten zu vermeiden. |
LG Berlin Urt. v. 15.7.2022 – 63 O 213/20 = ZD 2023, 44 mAnm Bukatz | 5.000 EUR immaterieller Schadensersatz/2.011,52 EUR materieller Schadensersatz Der Kl. kann Schadensersatz wegen Verstößen gegen sein Recht auf informationelle Selbstbestimmung und die Vorschriften der DS-GVO verlangen. Die Haftung folgt für die Zeit von März 2017 bis zum 25.5.2018 aus § 823 Abs. 1 analog BGB iVm dem allgemeinen Persönlichkeitsrecht (Art. 1, 2 GG) und § 823 Abs. 2 iVm § 6 b BDSG aF, ab dem 25.5.2018 bis einschließlich November 2019 direkt aus Art. 82 DS-GVO. Mit der Überwachung der Außenfläche des Grundstücks und Aufnahme, Speicherung und Benutzung der Daten beeinträchtigte die Bekl. das Recht des Kl. auf informationelle Selbstbestimmung. Er durfte selbst entscheiden, ob Videoaufnahmen von ihm gefertigt werden oder nicht. Dennoch hat die Bekl. ohne seine Zustimmung die Außenfläche seit März 2017 bis November 2019 per Video überwacht und ihn dort gefilmt bzw. durch die Überwachung daran gehindert, die Flächen zu nutzen. Die im Termin vorgelegte Aufnahme zeigt, dass nicht nur die Stellfläche, sondern auch der Spielplatzbereich aufgenommen worden sind. Im Hintergrund der Aufnahme sind ein Spielhäuschen und sogar das Nachbarhaus zu erkennen. Die Stellfläche ist der einzige Weg, wie Kinder und deren Eltern den Bereich wieder verlassen können. Sie konnten einer Aufnahme nicht ausweichen, wenn sie den Spielplatz nutzen wollten. Dieser Eingriff war rechtswidrig. Weder § 6 b Abs. 1 S. 2 oder 3 BDSG aF noch Art. 6 DS-GVO erlaubten den Eingriff. Die Kammer ist bereits nicht überzeugt, dass eine Videoüberwachung erforderlich war. Auch nach der Rechtslage ab dem 25.5.2018 war der Eingriff nicht gerechtfertigt. Die Voraussetzungen für die Rechtmäßigkeit ergeben sich aus Art. 6 DS-GVO. Dort kommt allein der Absatz 1 lit. f als Rechtfertigung in Betracht. Gem. Absatz 2 der Vorschrift ist für diesen Bereich keine Öffnungsklausel vorgesehen, sodass die Vorschriften der aktuellen Fassung des BDSG in § 4 nicht angewandt werden dürfen. Es fehlt an der Erforderlichkeit und es überwiegen die Interessen des Kl. Die rechtswidrige Videoüberwachung hat zu einem Schaden geführt. Der Begriff des Schadens ist nach Erwägungsgrund 146 S. 3 DS-GVO weit und unter Berücksichtigung der Ziele der DS-GVO auszulegen. Der Anspruch soll nach Erwägungsgrund 146 S. 6 DS-GVO einen vollständigen und wirksamen Ersatz des erlittenen Schadens sicherstellen. Es lag sowohl ein materieller als auch ein immaterieller Schaden vor. Der Kl. konnte den Außenbereich mit dem Spielplatz nicht mehr nutzen, ohne das Gefühl zu haben, beobachtet zu werden und ohne zu wissen, was mit etwaigen Aufnahmen geschieht. Faktisch hat er sich deshalb an der Nutzung gehindert gesehen, die ihm aber rechtlich auf Grund des Mietvertrags zustand und für die er auch einen Teil des Mietzinses zahlt. Die Kammer geht von einer schuldhaften Verletzung aus. Spätestens seit der Abmahnung v. 23.3.2017 mit dem Hinweis auf die Unzulässigkeit der Videoüberwachung hätte es der Bekl. obliegen, die Voraussetzungen des BDSG aF und später der DS-GVO genauer zu prüfen. Ein Rechtsirrtum war jedenfalls vermeidbar. Rechtsfolge ist die Verpflichtung zur Leistung von Schadensersatz gem. § 249 BGB bzw. Art. 82 Abs. 1 DS-GVO. Gegen die Berechnung des materiellen Schadensersatzes auf Grundlage der geschuldeten Miete und der Einschränkung der Gebrauchstauglichkeit bestehen keine Bedenken. Es kann offenbleiben, ob für den Zeitraum bis 25.5.2018 immaterieller Schadensersatz geschuldet war. Nach der damaligen Rechtslage war dies nur bei schwerwiegenden Verletzungen des allgemeinen Persönlichkeitsrechts und nur dann geschuldet, wenn die Beeinträchtigung nicht in anderer Weise befriedigend ausgeglichen werden konnte. Jedenfalls für den Zeitraum Mai 2018 bis November 2019 ist Schmerzensgeld nach Art. 82 DS-GVO in der beantragten Höhe geschuldet. Wie der Kl. richtig ausgeführt hat, soll mit der Norm des Art. 82 DS-GVO eine effektive Durchsetzung des Datenschutzes und eine Abschreckung erreicht werden. Für die Höhe des Schadensersatzes kann das Gericht auf die Kriterien des Art. 83 DS-GVO zurückgreifen, die für die Höhe eines Bußgelds bestimmend sind. Danach kann das Gericht berücksichtigen, dass die Bekl. trotz Abmahnung, Beschwerden des Verwalters und gerichtlichem Versäumnisurteil die Überwachung lange Zeit fortgesetzt hat, die Daten offensichtlich noch gespeichert sind und bis heute verwandt werden. Anders als die Bekl. erklärt hat, ist das Verfahren vor dem Datenschutzbeauftragten nicht eingestellt, sondern die Bekl. ist verwarnt worden. Sie hat auch gegen die Pflicht zur Löschung der Aufnahmen verstoßen, indem sie jedenfalls das Foto des Kl. behalten und in der mündlichen Verhandlung vorgelegt hat. Eine Ausnahme, Aufnahmen für bestimmte Zwecke wie die Strafverfolgung behalten zu dürfen, hat das AG nicht ausgesprochen. Mildernd ist zu berücksichtigen, dass die Videoüberwachung mit schützenswerten Kindesinteressen begründet worden ist und das erstinstanzliche Gericht zumindest vorläufig die Rechtsansicht der Bekl. geteilt hat. Ein Ausschluss des Anspruchs gem. Art. 82 Abs. 3 DS-GVO scheidet aus, weil die Bekl. nicht nachgewiesen hat, dass sie für den Schaden nicht verantwortlich ist. |
LG Köln Teilurt. v. 7.7.2022 – 14 O 266/21 | 0 EUR Dem Bekl. stehen gegen den Kl. keine Zahlungsansprüche wegen unzulässiger Verwendung personenbezogener Daten des Bekl. und von dessen Ehefrau gem. Art. 82 DS-GVO oder nach dem Kunsturhebergesetz (KUG) noch aus anderem Rechtsgrund zu. Der Anwendbarkeit der §§ 22, 23 KUG steht im vorliegenden Fall die zwischenzeitlich eingetretene Geltung der DS-GVO nicht entgegen. Auf Grund der Öffnungsklausel des Art. 85 DS-GVO sind Datenverarbeitungen zu journalistischen Zwecken von den die Rechtmäßigkeit der Datenverarbeitung betreffenden Vorschriften in Art. 6 und 7 DS-GVO ausgenommen (so zB in § 19 Abs. 1 BlnDSG v. 13.6.2018) und die §§ 22, 23 KUG im Hinblick auf die Beurteilung der Zulässigkeit von Bildveröffentlichungen im journalistischen Bereich als die Öffnungsklausel des Art. 85 DS-GVO ausfüllende Gesetze anzusehen. Die angegriffenen Bildwiedergaben auf dem Instagram-Account, der Homepage www.t1.com des Kl. sowie dessen Internetseite www.u.de dienen der Verarbeitung von personenbezogenen Daten zu journalistischen Zwecken iSv Art. 85 Abs. 1 DS-GVO. |
LG Ravensburg Beschl. v. 30.6.2022 – 1 S 27/22 = ZD 2022, 697 | 0 EUR Es handelt sich um eine Vorlagefrage an den EuGH. Die Kammer geht davon aus, dass die Bekl. durch die Veröffentlichung der personenbezogenen Daten der Kl. im Internet gegen Art. 5 Abs. 1 lit. a DS-GVO verstoßen hat. Die Kammer neigt zu der Annahme, der bloße Verlust der Datenhoheit genüge im vorliegenden Fall nicht aus, um einen immateriellen Schaden der Kl. gem. Art. 82 Abs. 1 DS-GVO zu rechtfertigen. Für die Bejahung eines immateriellen Schadens müsse eine Bagatellgrenze überschritten sein, die bei einem lediglich kurzfristigen Verlust der Datenhoheit, der keinerlei spürbare Nachteile für die betroffenen Personen verursacht habe, nicht überschritten sei. Es besteht in der Lit. und Rspr. weitgehend Einigkeit, dass die deutsche Rspr., die immateriellen Schadensersatz bei Persönlichkeitsrechtsverletzungen nur bei einer schwerwiegenden Verletzung zuerkennt, für die Auslegung von Art. 82 Abs.1 DS-GVO nicht herangezogen werden kann. Die Kammer hat in einem früheren Berufungsverfahren (Az. 1 S 108/20) die Auffassung vertreten, nicht jeder Verstoß gegen die DS-GVO, insb. nicht jede unzulässige Verarbeitung personenbezogener Daten, führe automatisch zu einem Anspruch auf immateriellen Schadensersatz. Schmerzensgeld solle auch nach Art. 82 Abs.1 DS-GVO nicht für jeden Bagatellverstoß ohne ernsthafte Beeinträchtigung bzw. lediglich individuell empfundene Unannehmlichkeiten gewährt werden. Vielmehr müsse ein spürbarer Nachteil entstanden sein und es müsse eine objektiv nachvollziehbare Beeinträchtigung persönlichkeitsbezogener Belange vorliegen. Will ein Gericht, wie vorliegend, infolge der Verneinung eines (immateriellen) Schadens eine Klage abweisen, weil es von dem Vorhandensein einer sog. „Bagatellgrenze“ ausgeht, die für einen Anspruch auf Zahlung eines Schmerzensgelds überschritten sein muss, ist es zu einer eigenständigen Auslegung des Schadensbegriffs nicht berechtigt, sondern hat die Frage, wie der Schadensbegriff des Art. 82 Abs. 1 DS-GVO auszulegen ist, dem EuGH vorzulegen. |
NEU LG Frankenthal Beschl. v. 28.6.2022 – 8 O 163/22 | 0 EUR Dabei sperrt der Schadensersatzanspruch aus Art. 82 DS-GVO nach zutreffender Auffassung nicht etwaige weitergehende oder daneben bestehende Beseitigungs- und Unterlassungsansprüche aus nationalem Recht. Schutzzweck der DS-GVO ist gerade ein umfassender Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten. Eine Sperrwirkung bzw. Beschränkung der Betroffenenrechte auf Schadensersatzansprüche würde diesem Ziel entgegenstehen. Die Folge einer derartigen Einschränkung wäre, dass ein effektiver Schutz des Persönlichkeitsrechts nur außerhalb des Anwendungsbereichs der DS-GVO gewährleistet wäre. |
LG Köln Urt. v. 22.6.2022 – 25 O 9/22 = ZD 2022, 564 | 0 EUR Die Klage ist unbegründet, soweit die Kl. Zahlung eines angemessenen Schmerzensgelds wegen der Nichterteilung der Datenauskunft nach Art. 15 DS-GVO geltend macht. Es ist nicht ersichtlich, in welcher Weise der im Jahr 2008 geborenen also heute 14-jährigen Kl. durch die Vorenthaltung der Datenauskunft ein immaterieller Schaden entstanden sein könnte, der durch ein Schmerzensgeld sanktionierbar wäre. Jeglicher nachvollziehbare Vortrag dazu fehlt. |
LG Köln Urt. v. 18.5.2022 – 28 O 328/21 = ZD 2022, 506 | 1.200 EUR Das Gericht spricht einen Schadensersatz iHv 1.200 EUR wegen eines Verstoßes gegen die DS-GVO zu, da ein unberechtigter Zugriff auf Nutzerdaten eines Online-Finanzdienstleisters vorlag. Für einen Schadensersatzanspruch aus Art. 82 DS-GVO genügt es, wenn dieses Versäumnis für einen unberechtigten Zugriff auf Nutzerdaten mitursächlich war. Die Bekl. hat dadurch, dass sie die der Fa. C. zur Verfügung gestellten Zugangsdaten nach Ende der Vertragsbeziehung nicht änderte, gegen ihre Verpflichtung aus Art. 32 DS-GVO sowie aus Art. 5 DS-GVO verstoßen. Damit schuf die Bekl. das Risiko, dass die Daten der Betroffenen nicht nur im Falle von ihr selbst zu verantwortender Unzulänglichkeiten, sondern auch durch von Seiten von Mitarbeitern der C. vorsätzlich oder fahrlässig ermöglichte Zugriffe einem Missbrauch ausgesetzt waren. Die Bekl. kann sich angesichts der Sensibilität der gespeicherten Kundendaten insb. nicht darauf berufen, sie habe davon ausgehen können, dass die Daten seitens C. dauerhaft und vollständig gelöscht werden würden. Dem Kl. entstand auch ein Schaden iSd Art. 82 DS-GVO. Erwägungsgrund 75 und 85 DS-GVO zählen beispielhaft auf, welche konkreten Beeinträchtigungen einen „physischen, materiellen oder immateriellen Schaden“ darstellen können, so etwa Diskriminierung, Identitätsdiebstahl oder -betrug, finanzieller Verlust, Rufschädigung, unbefugte Aufhebung einer Pseudonymisierung oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile. Nach Erwägungsgrund 146 DS-GVO muss der Begriff des Schadens zudem „im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht“ und die „betroffenen Personen sollen einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten“. Im Vordergrund steht hier eine abschreckende Wirkung des Schadensersatzes, die insb. durch dessen Höhe erreicht werden soll. Dieser Gedanke wird auch aus Art. 4 Abs. 3 EUV abgeleitet. Danach sind die Mitgliedstaaten angehalten, Verstöße wirksam zu sanktionieren, weil nur so eine effektive Durchsetzung des EU-Rechts – und damit auch der DS-GVO – gewährleistet ist. Für die Bemessung der Höhe des Schadensersatzes können die Kriterien des Art. 83 Abs. 2 DS-GVO herangezogen werden, wie etwa die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung, die betroffenen Kategorien personenbezogener Daten, wobei die Ermittlung iÜ dem Gericht nach § 287 ZPO obliegt. Hier war bei der Bemessung der Höhe zu berücksichtigen, dass ein Missbrauch der Daten zu Lasten des Kl. bislang nicht festgestellt werden musste, und es daher einstweilen bei einer Gefährdung geblieben ist. Die abschreckende Wirkung des Schadensersatzes muss berücksichtigt werden. |
LG Heidelberg Urt. v. 16.3.2022 – 4 S 1/21 = ZD 2022, 468 | 25 EUR Die unverlangte Zusendung eines Werbeschreibens per E-Mail auf Grund eines Verstoßes gegen Art. 6 DS-GVO durch die unzulässige Verarbeitung der personenbezogenen Daten rechtfertigt ein Schadensersatz nach Art. 82 Abs. 1 DS-GVO. Zwar ist der unbezifferte Antrag des Kl. auf die Zahlung eines angemessenen Schmerzensgelds gerichtet, jedoch stützt der Kl. seinen Anspruch auf Art. 82 DS-GVO, eine Norm des europäischen Rechts. Maßgeblich sind damit nicht die deutschen Begrifflichkeiten, sondern die des europäischen Rechts bzw. die der DS-GVO. Der Begriff „Schmerzensgeld“ findet jedoch in Art. 82 DS-GVO und auch den übrigen Normen der DS-GVO keine Verwendung. Art. 82 Abs. 1 DS-GVO normiert lediglich einen „Anspruch auf Schadensersatz“ für jede Person, der wegen eines Verstoßes gegen die DS-GVO „ein materieller oder immaterieller Schaden“ entstanden ist. Ob der Kl. den begehrten Schadensersatz dabei nach seinem Vortrag allein auf einen „materiellen“ oder „immateriellen“ Schaden stützt, ist unerheblich. Art. 82 Abs. 1 DS-GVO liegt ein weit auszulegender Schadensbegriff zu Grunde. Die DS-GVO kennt – anders als das deutsche Recht etwa mit § 253 BGB – insoweit keine unterschiedlichen Normen bzw. Anspruchsgrundlagen, sondern enthält in Art. 82 Abs. 1 DS-GVO eine einheitliche Anspruchsgrundlage für einen einheitlichen Schadensersatzanspruch. Ein weites Verständnis des Schadensbegriffs legen auch die Erwägungsgründe zur DS-GVO nahe. Maßgeblich ist insoweit zunächst Erwägungsgrund 146 DS-GVO, der sich auf den Schadensersatzanspruch in Art. 82 DS-GVO bezieht. Begrifflich differenziert dieser Erwägungsgrund nicht zwischen materiellen und immateriellen Schäden. Vielmehr wird hier ausschließlich der Begriff „Schaden“ verwendet, ohne dass dieser so zu verstehen sein dürfte, dass nur materielle oder nur immaterielle Schäden gemeint sind. Eine weite Auslegung des Schadensbegriffs wird auch nach S. 3 des Erwägungsgrunds gefordert, wonach der Begriff des Schadens im Lichte der Rechtsprechung des Gerichtshofs „weit“ ausgelegt werden soll. Für einen einheitlich zu verstehenden Schadensbegriff spricht auch Erwägungsgrund 75 DS-GVO. Die Aufzählung differenziert ebenfalls nicht zwischen verschiedenen Schadensarten, sondern enthält vielmehr sowohl mögliche materielle, als auch immaterielle Beeinträchtigungen. Dem Kl. ist dadurch ein Schaden entstanden, dass er sich mit den unerwünschten Werbemails der Bekl. auseinandersetzen, deren Herkunft ermitteln, sich um eine Auskunft von der Bekl. mittels eines Schreibens bemühen und die unerwünschten E-Mails löschen musste. Eine den Kl. beeinträchtigende Außenwirkung des Verstoßes iSe Gefahr einer Schädigung des Ansehens oder Berufs oder einer diskriminierenden Wirkung ggü. Dritten ist nicht ersichtlich. Zur Entschädigung der erlittenen Beeinträchtigungen erachtet die Kammer die Zahlung von 25 EUR, ähnlich der in Verkehrsunfällen für die Umstände und Aufwendungen im Zusammenhang mit der Schadensabwicklung üblichen Auslagenpauschale, für angemessen. |
LG Bonn Urt. v. 11.3.2022 – 9 O 224/21 = ZD 2023, 161 | 0 EUR In Anbetracht des Umstands, dass der Begriff des Schadens im Lichte der Rspr. des EuGH weit auf eine Art und Weise ausgelegt werden sollte, die den Zielen der DS-GVO in vollem Umfang entspricht (s. Erwägungsgrund 146 DS-GVO), ergibt sich eine Gleichsetzung zwischen Pflichtverletzung und Schaden durch den Verordnungsgeber nicht. So erhellt sich aus Erwägungsgrund 148 DS-GVO eindeutig, dass der Verstoß gegen die VO nicht zugleich Schaden ist; vielmehr kann hieraus ein Schaden unterschiedlicher Intensität entstehen. Erwägungsgrund 75 und 85 DS-GVO fordern zur Erfüllung der Voraussetzung eines Schadens im Sinne dieser VO zusätzlich zum Verstoß – jedenfalls – das Eintreten erheblicher wirtschaftlicher oder gesellschaftlicher Nachteile. Dies zu verhindern ist, wie auch Erwägungsgrund 83 DS-GVO zu entnehmen ist, ein erklärtes Ziel der VO. Es steht fest, dass dem Kl. ein geltend gemachter immaterieller Schaden nicht entstanden ist. An den geltend gemachten Auskünften oder etwaig unterbliebenen Auskünften zeigte er keinerlei Interesse oder persönliche Betroffenheit. |
LG Stuttgart Urt. v. 25.2.2022 – 17 O 807/21 = ZD 2022, 508 | 0 EUR Es lag kein Verstoß gegen Art. 82 Abs. 1 DS-GVO vor, insb. war die Zusendung der Werbeschreiben und die dem zu Grunde liegende Verarbeitung der Adressdaten (Art. 4 Ziff. 2 DS-GVO) rechtmäßig iSv Art. 6 Abs. 1 S. 1 lit. f DS-GVO. Soweit der Kl. dargelegt, weitere Verletzungen der DS-GVO durch die Bekl. behauptet, hat er für die insoweit streitigen Behauptungen trotz entsprechenden Vortrags der Bekl. keine Beweise angeboten (Beweislast beim Kl.). |
LG Köln Urt. v. 16.2.2022 – 28 O 303/20 = ZD 2022, 390 | 0 EUR Der Kl. hat keinen Anspruch auf Zahlung von Schadensersatz wegen verzögerter Erteilung der Auskunft aus Art. 15 DS-GVO gegen die Bekl. Zwar liegt ein Verstoß gegen die DS-GVO vor, da die Bekl. dem Kl. nicht innerhalb der Monatsfrist nach Art. 12 Abs. 3 DS-GVO Auskunft nach Art. 15 Abs. 1 DS-GVO erteilt hat und eine Kopie der verarbeiteten Daten nach Art. 15 Abs. 3 DS-GVO noch nicht vorgelegt hat. Ein Anspruch des Kl. scheitert aber daran, dass diesem kein Schaden entstanden ist. In Lit. und Rspr. ist umstritten, ob zum Einen Voraussetzung des Anspruchs nach Art. 82 Abs. 1 DS-GVO lediglich eine Verletzung einer Pflicht aus der DS-GVO ist oder ob tatsächlich ein immaterieller Schaden entstanden sein muss, sowie zum Anderen, ob dieser immaterielle Schaden eine Erheblichkeitsschwelle überschreiten, also über den Ärger über die Verzögerung hinausgehen muss. Der Begriff des Schadens ist nach Erwägungsgrund 146 S. 3 DS-GVO „weit auf eine Art und Weise auszulegen, die den Zielen dieser Verordnung in vollem Umfang entspricht“. Erwägungsgrund 146 S. 3 DS-GVO spricht für eine weite Auslegung des Begriffs des Schadens in Art. 82 Abs. 1 DS-GVO. Damit dürfte etwa eine Erheblichkeitsschwelle in dem Sinne, dass immaterielle Bagatellschäden nicht ausgeglichen werden müssen, nicht zu vereinbaren sein. Art. 82 Abs. 1 DS-GVO setzt nach seinem Wortlaut jedoch voraus, dass der betroffenen Person ein materieller oder immaterieller Schaden entstanden ist. Erwägungsgrund 146 S. 1 DS-GVO spricht von Schäden, „die einer Person auf Grund einer Verarbeitung entstehen“. Mit diesem Wortlaut ist eine Auslegung der Norm, nach der die Entstehung eines immateriellen Schadens nicht Tatbestandsvoraussetzung ist, nicht zu vereinbaren. Bei einer solchen Auslegung würde ein reiner Strafschadensersatz iSe „punitive damage“ vorliegen, der der kontinentaleuropäischen Zivilrechtsordnung fremd ist. Es wäre auch nicht zu erklären, warum bei einem immateriellen Schaden die Darlegung eines tatsächlichen entstandenen Schadens entbehrlich sein sollte, bei einem materiellen Schaden hingegen schon. Auf das Erfordernis eines tatsächlich entstandenen immateriellen Schadens kann daher nicht verzichtet werden. Einen solchen Schaden hat der Kl. jedoch nicht dargelegt, und ein solcher ist auch nicht ersichtlich. Es handelt sich um einen für beide Seiten geschäftlichen Vertrag mit sehr beschränktem Umfang. Eine gravierende und spürbare Beeinträchtigung des Kl. durch die Verzögerung der Auskunftserteilung, die über den hervorgerufenen Ärger hinausgeht, ist nicht dargetan und auch ansonsten nicht erkennbar. |
LG Hannover Urt. v. 14.2.2022 – 13 O 129/21 (Folgeurteil liegt vor – OLG Celle Urt. v. 3.11.2022 – 5 U 31/22 = ZD 2023, 95) | 5.000 EUR Die veranlassten Negativeinträge haben den Kl. rechtswidrig in seinem allgemeinen Persönlichkeitsrecht verletzt. Soweit der Kl. in seinem Persönlichkeitsrecht verletzt ist, bedarf es keiner Feststellung, dass es sich dabei um eine schwerwiegende handelt. Anders als für die Zubilligung eines Schmerzensgelds nach §§ 823 Abs. 1, 249, 253 BGB, Art. 1 und 2 GG wird eine solche von Art. 82 DS-GVO nicht vorausgesetzt. Ein Verschulden ist – wie schon Art. 82 Abs. 3 DS-GVO zeigt – auch iRe Haftung nach Art. 82 DS-GVO erforderlich und wird zunächst mit der Möglichkeit einer Exkulpation vermutet. Es kann dahinstehen, ob auch unter Berücksichtigung des weiten Schadensbegriffs (vgl. Erwägungsgrund 146 DS-GVO) nicht bereits jeder Verstoß gegen die DS-GVO zu einer Ausgleichspflicht führt, weil der Verpflichtung zum Ausgleich eines immateriellen Schadens eine benennbar und insoweit tatsächliche Persönlichkeitsverletzung gegenüberstehen muss. Denn jedenfalls eine in einer unrechtmäßigen Zugänglichmachung von Daten liegenden „Bloßstellung“ stellt eine solche dar. Für den immateriellen Schadensersatz nach Art. 82 DS-GVO gelten die iRv § 253 BGB entwickelten allgemeinen Grundsätze. Deswegen kann auch das Mitverschulden des Betroffenen analog § 254 BGB bei der Bemessung der Schadensersatzhöhe zu berücksichtigen sein. |
LG München I Urt. v. 31.1.2022 – 42 O 4307/19 = ZD 2022, 288 | 0 EUR Ein Anspruch aus Art. 82 Abs. 1 DS-GVO scheidet aus, da für die Datenverarbeitung durch die Bekl. die zuvor erteilte Zustimmung des Kl. zu den Nutzungsbedingungen der Bekl. vorlag. |
LG München I Urt. v. 20.1.2022 – 3 O 17493/20 = ZD 2022, 290 mAnm Fischer | 100 EUR Die dynamische IP-Adresse stellt für einen Webseitenbetreiber ein personenbezogenes Datum dar, denn dieser verfügt abstrakt über rechtliche Mittel, die vernünftigerweise eingesetzt werden könnten, um mithilfe Dritter, und zwar der zuständigen Behörde und des Internetzugangsanbieters, die betreffende Person anhand der gespeicherten IP-Adressen bestimmen zu lassen. Dabei reicht es aus, dass für die Bekl. die abstrakte Möglichkeit der Bestimmbarkeit der Personen hinter der IP-Adresse besteht. Darauf, ob die Bekl. oder Google die konkrete Möglichkeit hat, die IP-Adresse mit dem Kl. zu verknüpfen, kommt es nicht an. Die Bekl. verletzte das Recht des Kl. auf informationelle Selbstbestimmung, indem die Bekl. die dynamische IP-Adresse an Google weiterleitete, als der Kl. die Webseite der Bekl. aufrief (konkret: Google Fonts). Der Kl. hatte keine Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a DS-GVO erteilt. Ein berechtigtes Interesse der Bekl. iSd Art. 6 Abs. 1 S. 1 lit. f DS-GVO liegt nicht vor, denn Google Fonts kann durch die Bekl. auch genutzt werden, ohne dass beim Aufruf der Webseite eine Verbindung zu einem Google-Server hergestellt wird und eine Übertragung der IP-Adresse der Webseitennutzer an Google stattfindet. Der Kl. war auch nicht verpflichtet, vor dem Aufrufen der Webseite der Bekl. seine eigene IP-Adresse zu verschlüsseln. Der Begriff des Schadens iSd Art. 82 DS-GVO ist nach Erwägungsgrund 146 S. 3 DS-GVO dabei weit auszulegen. Die Auslegung soll den Zielen dieser VO in vollem Umfang entsprechen, auch dem Ziel der Sanktion und Prävention. Ausreichend ist gern. Art. 82 Abs. 1 DS-GVO dabei auch ein immaterieller Schaden. Ob eine Erheblichkeitsschwelle erreicht bzw. überschritten sein muss und sog. Bagatellschäden auszuschließen sind, ist umstritten, kann im hiesigen Fall dahingestellt bleiben. Die Übermittlung der IP-Adresse erfolgte damit nicht nur einmalig. Der damit verbundene Eingriff in das allgemeine Persönlichkeitsrecht ist im Hinblick auf den Kontrollverlust des Kl. über ein personenbezogenes Datum an Google, ein Unternehmen, das bekanntermaßen Daten über seine Nutzer sammelt und das damit vom Kl. empfundene individuelle Unwohlsein so erheblich, dass ein Schadensersatzanspruch gerechtfertigt ist. Berücksichtigt werden muss dabei auch, dass unstreitig die IP-Adresse an einen Server von Google in den USA übermittelt wurde, wobei dort kein angemessenes Datenschutzniveau gewährleistet ist und die Haftung aus Art. 82 Abs. 1 DS-GVO präventiv weiteren Verstößen vorbeugen soll und Anreiz für Sicherungsmaßnahmen schaffen soll. Die Hohe des geltend gemachten Schadensersatzes ist im Hinblick auf die inhaltliche Schwere und Dauer der Rechtsverletzung angemessen und wird von der Bekl. auch nicht angegriffen. |
LG Berlin Urt. v. 27.1.2022 – 26 O 177/21 = ZD 2023, 109 | 0 EUR Die Kl. hat keinen Schadensersatzanspruch gem. Art. 82 DS-GVO. Die bloße Adresse ohne Bezugnahme auf eine Person – sei es durch namentliche Nennung, sei es durch die Bezugnahme auf ein diese Adresse betreffendes Eigentums-, Besitz- oder Mietverhältnis o. Ä. – stellt keinen hinreichenden Personenbezug dar. Es fehlt bereits an einem Verstoß gegen die DS-GVO. Insb. hat der Bekl. weder personenbezogene Daten entgegen Art. 5 DS-GVO nicht rechtmäßig verarbeitet noch liegt eine unzulässige Übermittlung von personenbezogenen Daten in einen Drittstaat und damit ein Verstoß gegen Art. 44 DS-GVO vor. |
LG Leipzig Urt. v. 23.12.2021 – 03 O 1268/21 = ZD 2022, 340 | 0 EUR In der Lit. wird unter Geltung der DS-GVO überwiegend für eine Absenkung der Voraussetzungen für die Gewährung immateriellen Schadensersatzes und für eine Verschärfung der Haftung mit deutlich höheren Beträgen ggü. den bisherigen plädiert. Dies folge aus dem weiten Schadensbegriff der DS-GVO sowie daraus, dass der EuGH bei der Wahl zivilrechtlicher Sanktionen zur Umsetzung von Unionsrecht generell eine abschreckende Wirkung verlange. Insb. dürfe der zugesprochene Schadensersatz nicht nur symbolisch sein. Auch dürfe die Gewährung immateriellen Schadensersatzes nicht mehr von einer schwerwiegenden Persönlichkeitsrechtsverletzung abhängig gemacht werden. Die abschreckende Wirkung zivilrechtlicher Sanktionen sei nur zu erreichen, wenn entsprechend hohe Beträge ausgeurteilt würden. Hiervon unabhängig kann als gesichert gelten, dass das Unionsrecht die Mitgliedsstaaten grds. nicht zu überkompensatorischem Schadensersatz verpflichtet. Allein der Verstoß gegen die DS-GVO reicht für sich genommen noch nicht aus, einen Schadensersatzanspruch auszulösen. Ohne Schaden gibt es keinen Schadensersatzanspruch. Vielmehr muss dem von einem Datenschutzverstoß Betroffenen ein spürbarer Nachteil entstanden sein. Es muss eine objektiv nachvollziehbare, mit gewissem Gewicht erfolgte, Beeinträchtigung von persönlichkeitsbezogenen Belangen vorliegen. Die Beeinträchtigung muss von einer gewissen Erheblichkeit sein. Einen normativen Anknüpfungspunkt hierzu gibt die DS-GVO in Erwägungsgrund 75 und 85 DS-GVO. Im Anschluss an die beispielhafte Aufzählung möglicher – hier nicht geltend gemachter – Beeinträchtigungen durch Datenschutzverletzungen (Diskriminierung, Identitätsdiebstahl oder -betrug, Rufschädigung, Verlust der Vertraulichkeit von einem Berufsgeheimnis unterliegenden Daten) ist dort ergänzend allgemein von anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen die Rede. Demzufolge kann die Bekl. keine Entschädigung für eine verspätete Datenauskunft sowie für die bislang noch nicht vollständig erteilte Datenauskunft von der Kl. beanspruchen. Allein der Umstand, dass die Bekl. auf die (vollständige) Datenauskunft noch warten muss, kann keinen ersatzfähigen Schaden begründen. Es muss auch bei einem immateriellen Schaden eine Beeinträchtigung eingetreten sein, die unabhängig von einer Erheblichkeitsschwelle wenigstens spürbar sein muss. Anderenfalls scheidet ein Schaden schon begrifflich aus. |
LG München I Urt. v. 9.12.2021 – 31 O 16606/20 = ZD 2022, 242 (rechtskräftig) | 2.500 EUR Das Gericht verurteilt die Bekl. zum Ersatz aller künftigen materiellen Schäden des Kl. Nach Art. 82 Abs. 3 DS-GVO trägt die Darlegungs- und Beweislast für die haftungsbegründenden Voraussetzungen nach allgemeinen zivilprozessualen Grundsätzen der Anspruchsberechtigte. Eine Beweislastumkehr ist in Art. 82 Abs. 3 DS-GVO ausdrücklich nur bzgl. des Gesichtspunkts des Verschuldens vorgesehen. Dem Verletzten obliegt es daher auch, den Datenschutzverstoß zu beweisen. Die allgemeine Rechenschaftspflicht der Art. 5 Abs. 2, 24 Abs. 1 DS-GVO bezieht sich auf eine Verantwortlichkeit ggü. der Behörde. Hierauf kann jedoch eine Beweislastumkehr oder Beweiserleichterung nicht gestützt werden. Der Datenschutzverstoß lag vorliegend darin begründet, dass keine angemessenen Datensicherheitsmaßnahmen iSd Art. 32 DS-GVO ergriffen wurden. Denn die Bekl. hatte selbst keine ausreichenden organisatorischen Maßnahmen vorgenommen, um den streitgegenständlichen Datenverlust zu verhindern (vgl. auch Art. 82 Abs. 4 DS-GVO). Es lag auch die erforderliche Kausalität zwischen dem „DS-GVO-Verstoß“ und dem „Schaden“ vor. Art. 82 Abs. 1 DS-GVO verlangt, dass der Schaden infolge eines konkreten DS-GVO-Verstoßes eintritt. Es genügt zwar nicht, dass ein Schaden bloß auf eine Verarbeitung personenbezogener Daten zurückzuführen ist, in deren Rahmen es zu einem Rechtsverstoß gekommen war, vorliegend beruhte der Schaden aber nicht nur auf eine solche Verarbeitung. Es ist davon auszugehen, dass es bei Einhaltung der als adäquat geltenden Sicherheitsmaßstäbe nicht zu dem konkreten Datenvorfall gekommen wäre. Ein Schmerzensgeldanspruch nach Art. 82 DS-GVO ist nicht auf schwere Schäden beschränkt. Im Vordergrund steht eine abschreckende Wirkung des Schadensersatzes, die insb. durch dessen Höhe erreicht werden soll. Dieser Gedanke wird auch aus Art. 4 Abs. 3 EUV abgeleitet. Danach sind die Mitgliedstaaten angehalten, Verstöße wirksam zu sanktionieren. Denn nur so wäre eine effektive Durchsetzung des EU-Rechts – und damit auch der DS-GVO – gewährleistet. Für die Bemessung der Höhe des Schadensersatzes können die Kriterien des Art. 83 Abs. 2 DS-GVO herangezogen werden, wie etwa die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung von Art, Umfang oder Zweck der betreffenden Verarbeitung, die betroffenen Kategorien personenbezogener Daten, wobei die Ermittlung iÜ dem Gericht nach § 287 ZPO obliegt. Bei der Bemessung der Höhe des immateriellen Schadensersatzes muss auch berücksichtigt werden, ob die Daten bisher missbraucht worden sind. |
LG Mainz Urt. v. 12.11.2021 – 3 O 12/20 = ZD 2022, 163 | 5.000 EUR Die rechtswidrige Ersteinmeldung eines Eintrags bei der SCHUFA rechtfertigt einen immateriellen Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO. Die Ersteinmeldung der Bekl. an die SCHUFA stellte einen „Verstoß gegen diese Verordnung“ iSd Art. 82 Abs. 1 DS-GVO dar. Nach Erwägungsgrund 146 DS-GVO genügt entgegen dem Wortlaut von Art. 82 Abs. 1 DS-GVO auch ein Verstoß gegen die erlassenen delegierten Rechtsakte und Durchführungsrechtsakte sowie präzisierenden Rechtsvorschriften der Mitgliedstaaten, sodass es nicht darauf ankommt, ob sich vorliegend die Unzulässigkeit der Ersteinmeldung aus der DS-GVO selbst oder aus den präzisierenden Rechtsvorschriften des nationalen Rechts ergibt. „Verantwortung“ iSd Art. 82 Abs. 3 DS-GVO meint das Verschulden iSd deutschen Rechtsterminologie, nicht die datenschutzrechtliche Verantwortung. Ausreichend ist Vorsatz oder Fahrlässigkeit. Das Verschulden wird nach dem insoweit eindeutigen Wortlaut des Art. 82 Abs. 3 DS-GVO vermutet (Beweislastumkehr). Voraussetzung für einen Schadensersatzanspruch für immaterielle Schäden nach Art. 82 Abs. 1 DS-GVO ist eine benennbare und tatsächliche Persönlichkeitsverletzung. Die in der bisherigen deutschen Rspr. für Schmerzensgeld geforderte Voraussetzung einer schwerwiegenden Persönlichkeitsverletzung verträgt sich hingegen nicht mit Art. 82 Abs. 2 DS-GVO; sie ist weder vorgesehen noch von dessen Ziel und Entstehungsgeschichte gedeckt, der Anspruch ist hiervon grds. unabhängig. Die schwerwiegende Persönlichkeitsverletzung kann vor diesem Hintergrund auch nicht als untere Grenze einer Schmerzensgeldhöhe wieder eingelesen werden. Vielmehr ist der immaterielle Schaden umfassend zu ersetzen. Eine schwerwiegende Persönlichkeitsverletzung wird regelmäßig zu einem hohen Schmerzensgeld führen. Mit dieser Einschränkung gelten für den immateriellen Schadensersatz nach Art. 82 Abs. 2 DS-GVO die iRv § 253 BGB entwickelten Grundsätze; die Ermittlung obliegt dem Gericht nach § 287 ZPO. Bei der Bemessung des „vollständigen und wirksamen Schadensersatzes für den erlittenen Schaden“ (Erwägungsgrund 146 DS-GVO) ist auch die Genugtuungs- und Abschreckungsfunktion des Anspruchs aus Art. 82 DS-GVO zu berücksichtigen. Die massive Beeinträchtigung des sozialen Ansehens iSd Einschätzung seiner Kreditwürdigkeit durch Dritte stellt einen solchen Schaden dar. Ein Anspruch aus § 823 Abs. 1 BGB oder aus § 823 Abs. 2 BGB iVm datenschutzrechtlichen Vorschriften würde keinen weitergehenden Schaden abdecken als denjenigen, den der Kl. aus Art. 82 DS-GVO ersetzt verlangen kann. |
LG Frankfurt/M. Urt. v. 1.11.2021 – 2-01 S 191/20 = ZD 2022, 107 mAnm Nikol | 0 EUR Unter Schaden ist jeder Nachteil, den jemand durch ein bestimmtes Ereignis erleidet, zu verstehen. Nach Art. 82 DS-GVO muss ein solcher Schaden gerade durch die Datenverarbeitung eingetreten sein. Für das Vorliegen eines solchen Nachteils ist der Anspruchsteller – also der Kl. – darlegungs- und beweisbelastet. Es reicht dabei nicht aus, dass dargelegt und bewiesen ist, dass eine nicht über Art. 6 DS-GVO abgedeckte Datenverarbeitung erfolgt ist. Andernfalls würde mit jeder nicht gerechtfertigten Datenverarbeitung sogleich ein Anspruch entstehen und das selbst dann, wenn diese Verarbeitung für den Betroffenen keinerlei Nachteil mit sich gebracht haben sollte. Ein solches System würde die Grundprinzipien des Schadensrechtes völlig verkennen. Eine Schadensersatzpflicht soll nämlich vorrangig erlittenes Unrecht kompensieren und nicht als Bestrafung für den Handelnden fungieren. Bei der Höhe von Schmerzensgeld vermag dieser Bestrafungsaspekt zwar durchaus auch von Relevanz zu sein, nicht aber als Alleinstellungsmerkmal dienen. Andernfalls würde der Schadensersatzanspruch nach Art. 82 DS-GVO zu einer Art Straftatbestand im privatrechtlichen Kontext konvertiert. Schadensersatz und Schmerzensgeld sollen erlittene Nachteile kompensieren. Daher bemisst sich dann auch an dem Grad des Nachteils die Höhe der Entschädigung. Ist aber kein Schaden erlitten, bedarf es auch keines Ausgleichs. Vorliegend ist noch nicht einmal ein Bagatellschaden dargelegt worden. |
LG Koblenz U. v. 29.10.2021 – 12 O 59/21 | 0 EUR Die Bekl. hat gegen die Kl. keinen Schadensersatzanspruch gem. Art. 82 Abs. 1 DS-GVO. Vorliegend hat die Kl. zwar in Folge der unzulässigen Datenübermittlung an die SCHUFA eine Pflicht nach Art. 5, 6 DS-GVO iVm Art. 4 Ziff. 2 DS-GVO verletzt, die Bekl. hat jedoch nicht hinreichend darzulegen vermocht, dass ihr hieraus ein immaterieller Schaden iSd § 253 BGB entstanden ist. Der kausale Schaden ist von der Bekl. darzulegen und zu beweisen. Ein solcher ist nicht hinreichend substanziiert dargelegt worden, weil die Bekl. nicht ausreichend dargelegt hat, dass ihr in Folge des Verstoßes ein kausaler Nachteil entstanden ist. Der von der Kl. zu verantwortende Verstoß unter Berücksichtigung des Umstands, dass sich aus den übermittelten Daten auch die vergleichsweise geringe Höhe des ausstehenden Rechnungsbetrags ergab, dass die Forderung überdies berechtigt war und mit Blick darauf, dass die Kl. weniger als zwei Wochen nach der Datenübermittlung die Löschung der Eintragung beantragte, war in der Gesamtschau derart gering, dass nicht ersichtlich ist, in welcher Form der Bekl. hieraus unmittelbar Nachteile entstanden sein können. |
LG Düsseldorf Urt. v. 28.10.2021 – 16 O 128/20 = ZD 2022, 48 | 0 EUR Die Bekl. war schon dem Grunde nach wegen einer Verletzung der Auskunftspflicht nach Art. 15 DS-GVO nicht gem. Art. 82 Abs. 1, Abs. 2 DS-GVO zum Schadensersatz verpflichtet. Zwar ist Art. 82 Abs. 1 DS-GVO dem Wortlaut nach weit gefasst, der lediglich einen „Verstoß … gegen diese Verordnung“ verlangt; unter Berücksichtigung von Art. 82 Abs. 2 und Erwägungsgrund 146 DS-GVO sind lediglich solche Schäden umfasst, die auf Grund einer Verarbeitung entstehen. Gem. Art. 82 Abs. 2 DS-GVO haftet jeder an einer Verarbeitung beteiligte Verantwortliche für den Schaden, der durch eine nicht dieser VO entsprechende Verarbeitung verursacht wurde. Dies steht im Einklang mit Erwägungsgrund 146 DS-GVO. Die verzögerliche Reaktion auf ein Auskunftsverlangen ist jedoch keine Verarbeitung personenbezogener Daten iSd DS-GVO. Art. 82 DS-GVO wird z. T. deutlich weiter ausgelegt; dem schließt sich das Gericht nicht an. Zudem hatte der Kl. keinen konkreten Schaden dargelegt. Jedenfalls wäre neben dem bloßen Verstoß erforderlich, dass „wegen eines Verstoßes“ ein immaterieller Schaden entstanden ist. Der Begriff des Schadens ist autonom auszulegen, auf die Erheblichkeitsschwelle kann nicht abgestellt werden. Allerdings bedarf es nach Art. 82 Abs. 1 DS-GVO neben der bloßen Verletzung der VO eines hierauf beruhenden, kausalen immateriellen Schadens. |
LG Essen Urt. v. 23.9.2021 – 6 O 190/21 = ZD 2022, 50 | 0 EUR Der Kl. forderte mindestens 30.000 EUR immateriellen Schadensersatz im Zusammenhang mit dem vermeintlichen Verlust eines USB-Sticks, auf dem sich personenbezogene Daten des Kl. und seiner Ehefrau befanden. Eine Aktivlegitimation des Kl. zur Geltendmachung eines Anspruchs aus Art. 82 Abs. 1 DS-GVO für seine Frau wurde bejaht, da der o. g. Anspruch nach § 398 BGB abtretbar ist. In der fehlenden Mitteilung der Bekl. an die Datenschutzbehörde und an die betroffene Person nach Art. 33, 34 Abs. 2 DS-GVO liegt ein Verstoß gegen die DS-GVO. Der Kl. hat aber nicht hinreichend substanziiert darlegt, dass ein erheblicher Schaden entstanden ist. Für den immateriellen Schadensersatz nach Art. 82 DS-GVO gelten die iRv § 253 BGB entwickelten Grundsätze. Für die Bemessung können die Kriterien des Art. 83 Abs. 2 DS-GVO herangezogen werden. Eine abschreckende Wirkung kann nur durch empfindliche Schmerzensgelder erreicht werden, insb. wenn eine Kommerzialisierung fehlt. Ein genereller Ausschluss von Bagatellfällen ist damit nicht zu vereinbaren. Die Pflicht zur Erstattung immaterieller Schäden ist daher nicht nur auf schwere Schäden beschränkt. Allein die Verletzung des Datenschutzrechts als solche begründet aber noch keinen Schadensersatzanspruch. Die Verletzungshandlung muss zu einer konkreten, nicht nur unbedeutenden oder empfundenen Verletzung von Persönlichkeitsrechten geführt haben. Eine schwere Verletzung des Persönlichkeitsrechts ist nicht erforderlich. Ein Bagatellverstoß reicht aber nicht aus. Der betroffenen Person muss ein spürbarer Nachteil entstanden sein und es muss um eine objektiv nachvollziehbare, mit gewissem Gewicht erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen gehen. |
LG Hamburg Urt. v. 3.9.2021 – 324 O 86/20 | 0 EUR Dem Kl. steht gegen die Bekl. kein Anspruch auf Ersatz immaterieller Schäden („Schmerzensgeld“) aus Art. 82 DS-GVO oder einem sonstigen rechtlichen Aspekt zu. Voraussetzung eines Anspruchs auf Schadensersatz aus Art. 82 Abs. 1 DS-GVO, der im nationalen Recht unmittelbar Anwendung findet und andere Anspruchsgrundlagen nicht ausschließt, ist ein Verstoß gegen die DS-GVO und ein hierdurch verursachter Schaden, was ein Kl. darzulegen und zu beweisen hat. Nach dem Erwägungsgrund 146 ist der Begriff des Schadens weit auszulegen, sodass Betroffene einen wirksamen Ersatz erhalten. Erwägungsgrund 85 DS-GVO besagt, dass eine Verletzung des Schutzes personenbezogener Daten einen physischen, materiellen oder immateriellen Schaden für natürliche Personen – wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung oder Rufschädigung – nach sich ziehen kann, wenn nicht rechtzeitig und angemessen reagiert wird. Es bedarf danach zwar keiner schweren Verletzung des Persönlichkeitsrechts, um einen immateriellen Schaden geltend zu machen. Dennoch führt nicht bereits jeder Verstoß gegen die DS-GVO zu einer Ausgleichspflicht, denn der Verpflichtung zum Ausgleich eines immateriellen Schadens muss eine benennbar und insoweit tatsächliche Persönlichkeitsverletzung gegenüberstehen, die zB in der mit einer unrechtmäßigen Zugänglichmachung von Daten liegenden „Bloßstellung“ liegen kann. Der Kl. hat weder den Eintritt eines Schadens dargelegt noch ist ein Schaden sonst ersichtlich. Allein der Verstoß gegen datenschutzrechtliche Vorschriften führt nicht zu einer Verpflichtung des Verantwortlichen zur Zahlung von Schadensersatz. |
LG München I Urt. v. 2.9.2021 – 23 O 10931/20 = ZD 2022, 52 | 0 EUR Der Kl. hat weder einen Verstoß der Bekl. gegen die DS-GVO nachvollziehbar dargelegt noch einen ersatzfähigen Schaden. Zwar kann nach Art. 82 DS-GVO auch ein durch einen Verstoß gegen die VO entstandener Schaden ersetzt werden. In den Erwägungsgründen sind auch Nichtvermögenschäden durch Diskriminierung, Identitätsdiebstahl oder -betrug, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten oder gesellschaftliche Nachteile genannt. Einen vergleichbaren schwerwiegenden Eingriff hat der Kl. allerdings nicht vorgebracht. Der Vortrag, der Schaden bestehe im Verlust der Kontrolle seiner Daten genügt nicht, um einen bemessbaren immateriellen Schaden festzustellen. |
LG Köln Urt. v. 3.8.2021 – 5 O 84/21 = ZD 2021, 52 | 0 EUR Der Kl. forderte 8.000 EUR Schmerzensgeld für die nicht anonymisierte Weiterleitung eines gerichtlichen Beschlusses an einen größeren Kreis von Interessierten. Die Übersendung an Mitarbeiter anderer Kommunen ohne Unkenntlichmachung der Identität des Kl. verstößt gegen die DS-GVO. Die vom Kl. geschilderten Beeinträchtigungen sind jedoch nicht notwendigerweise auf die Weiterleitung zurückzuführen. Es muss auch ein Schaden eingetreten sein, der auf den Verstoß zurückzuführen ist, wobei eine Mitursächlichkeit genügt. Dem Kl. steht hier kein Schadensersatz zu, da keine immateriellen Beeinträchtigungen des Kl. ersichtlich sind. Neben der abschreckenden Wirkung soll es nicht zu einer uferlosen Häufung von Ansprüchen kommen – immerhin bestehe nach Art. 83 DS-GVO auch die Möglichkeit, bei Verstößen Geldbußen in erheblichem Umfang zu verhängen. Für den immateriellen Schadensersatz gelten die iRv § 253 BGB entwickelten Grundsätze, die Ermittlung obliegt dem Gericht nach § 287 ZPO. Es können für die Bemessung die Kriterien des Art. 83 Abs. 2 DS-GVO herangezogen werden, zB die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung, die betroffenen Kategorien personenbezogener Daten. Zu berücksichtigen ist auch, dass die beabsichtigte abschreckende Wirkung nur durch für den Anspruchsverpflichtenden empfindliche Schmerzensgelder erreicht wird, insb. wenn eine Kommerzialisierung fehlt. Eine Beweislastumkehr oder eine Beweiserleichterung greift zu Gunsten des Kl. nicht. Die Beweislast auch für diese Voraussetzung obliegt dem Anspruchsberechtigten, dies entspricht den allgemeinen deliktischen Voraussetzungen. Eine Beweislastumkehr ist der Norm ausdrücklich nur bzgl. des Gesichtspunkts des Verschuldens zu entnehmen. |
LG Düsseldorf Urt. v. 13.7.2021 – 7 O 63/20 | 0 EUR Gem. Art. 82 DS-GVO hat jede Person, der wegen eines Verstoßes gegen die DS-GVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Im Grundsatz trägt derjenige, der einen Anspruch aus Art. 82 DS-GVO geltend macht, die volle Darlegungslast für die anspruchsbegründenden Tatsachen. Ein solcher DS-GVO-Verstoß liegt weder in einer vermeintlich verspäteten Auskunftserteilung noch in dem „Datenleck“ bei der Bekl. bzw. dem Auftragsverarbeiter, da vorliegend kein Verstoß gegen die DS-GVO vorlag. |
LG Bonn Urt. v. 1.7.2021 – 15 O 372/20 = ZD 2021, 586 | 0 EUR Art. 82 DS-GVO spricht nur demjenigen einen Schadensersatzanspruch zu, der wegen eines Verstoßes gegen diese VO einen Schaden erlitten hat. Gem. Art. 82 Abs. 2 DS-GVO haften die Verantwortlichen für den Schaden, der durch eine nicht dieser VO entsprechende Verarbeitung entstanden ist. Daher kommt nur ein Verstoß durch die Verarbeitung selbst in Betracht, die verordnungswidrig sein muss. Eine bloße Verletzung der Informationsrechte der betroffenen Person aus Art. 12-15 DS-GVO führt daher nicht dazu, dass eine Datenverarbeitung, infolge derer das Informationsrecht entstanden ist, selbst verordnungswidrig ist. Die nach Art. 12 Abs. 3 S. 1 DS-GVO verspätete Erfüllung von Auskunftsansprüchen löst nach Art. 15 DS-GVO grds. keinen Schadensersatzanspruch aus. Allein dass die Kl. auf die Datenauskunft „warten“ musste, kann auch nach dem Schadensmaßstab der DS-GVO keinen ersatzfähigen Schaden begründen. Es muss auch bei einem immateriellen Schaden eine spürbare Beeinträchtigung eingetreten sein. |
LG Bonn Urt. v. 1.7.2021 – 15 O 355/20 | 0 EUR Es besteht kein Schmerzensgeldanspruch gem. Art. 82 DS-GVO wegen einer nach acht Monaten erteilen Datenauskunft. Eine bloße Verletzung der Informationsrechte der betroffenen Person aus Art. 12-15 DS-GVO führt nicht dazu, dass eine Datenverarbeitung, infolge derer das Informationsrecht entstanden ist, selbst verordnungswidrig ist. |
LG Bonn Urt. v. 1.7.2021 – 15 O 356/20 = ZD 2021, 652 | 0 EUR Der Kl. steht wegen der erst nach neun Monaten erteilen Datenauskunft kein Schmerzensgeld aus Art. 82 DS-GVO zu. Die Norm spricht nur demjenigen einen Schadensersatzanspruch zu, der wegen eines Verstoßes gegen diese VO einen Schaden erlitten hat. Gem. Art. 82 Abs. 2 DS-GVO haften die Verantwortlichen – insoweit konkretisierend – für den Schaden, der durch eine nicht dieser VO entsprechende Verarbeitung entstanden ist. Daher kommt nur ein Verstoß durch die Verarbeitung selbst in Betracht, die verordnungswidrig sein muss, um einen Schadensersatzanspruch auszulösen. Bei Verstößen, die nicht durch eine der DS-GVO zuwiderlaufende Verarbeitung verursacht worden sind, kommt eine Haftung nach Art. 82 Abs. 1 DS-GVO nicht in Betracht. Eine bloße Verletzung der Informationsrechte der betroffenen Person aus Art. 12-15 DS-GVO führt nicht dazu, dass eine Datenverarbeitung, infolge derer das Informationsrecht entstanden ist, selbst verordnungswidrig ist. Somit löst die nach Art. 12 Abs. 3 S. 1 DS-GVO verspätete Erfüllung von Auskunftsansprüchen nach Art. 15 DS-GVO grds. keinen Schadensersatzanspruch gem. Art. 82 DS-GVO aus. Ein Schaden wurde hier zudem nicht dargelegt. Allein dass die Kl. auf die Datenauskunft „warten“ musste, kann auch nach dem Schadensmaßstab der DS-GVO keinen ersatzfähigen Schaden begründen. Es muss auch bei einem immateriellen Schaden eine spürbare Beeinträchtigung eingetreten sein, unabhängig von einer Erheblichkeitsschwelle; andernfalls scheidet ein „Schaden“ begrifflich schon aus. |
NEU LG Münster Urt. v. 17.6.2021 – 2 O 11/21 | 0 EUR Da die Bekl. die E-Mail an den Kl. auf Grund dessen Registrierung versendet hat, scheidet von Vornherein auch ein Anspruch auf immateriellen Schadensersatz aus. |
LG Dresden U v. 26.5.2021 – 8 O 1286/19 | 5.000 EUR Die Bekl. haben einen Anspruch auf Schadensersatz nach Art. 82 DS-GVO wegen Verstößen gegen Art. 6 Abs. 1 S. 1 lit. a und 34 DS-GVO. Verletzungshandlung ist durch die Beauftragung des Detektivbüros, unter Weitergabe der Daten des Kl. aus seinem Antrag auf Mitgliedschaft beabsichtigte Ausspionieren seiner Person. Der Kl. hatte die Weitergabe der Daten in seinem Aufnahmeantrag untersagt („Nein“ angekreuzt). Nach der Haftungsregelung der DS-GVO ist damit vorliegend auch eine Außenhaftung des Organs „Geschäftsführung/Vorstand“ – in der von den Bekl. übereinstimmend und unstreitig angegebenen Besetzung – zusammen mit der Bekl. zu 1) gem. Art. 82 Abs. 1 und 4 DS-GVO iVm § 421 BGB gegeben. Der Bekl. zu 2) handelte hierbei auch vorsätzlich; sein Handeln ist der Bekl. zu 1) nach §§ 278, 31 BGB zuzurechnen. Für den immateriellen Schadensersatz gelten dabei die iRv § 253 BGB entwickelten Grundsätze, die Ermittlung obliegt dem Gericht nach § 287 ZPO. Es können für die Bemessung die Kriterien des Art. 83 Abs. 2 DS-GVO herangezogen werden, zB Art, Schwere und Dauer des Verstoßes unter Berücksichtigung von Art, Umfang oder Zweck der betreffenden Verarbeitung, die betroffenen Kategorien personenbezogener Daten. Zu berücksichtigen ist auch, dass die beabsichtigte abschreckende Wirkung nur durch für den Anspruchsverpflichtenden empfindliche Schmerzensgelder erreicht wird, insb. wenn eine Kommerzialisierung fehlt. Ein genereller Ausschluss von Bagatellfällen ist damit nicht zu vereinbaren. |
LG Karlsruhe Urt. v. 9.2.2021 – 4 O 67/20 = ZD 2021, 55 | 0 EUR Eine schwere Verletzung des Persönlichkeitsrechts ist nicht notwendig, um einen immateriellen Schaden geltend zu machen. Jedoch führt nicht jeder Verstoß gegen die DS-GVO zu einer Ausgleichspflicht; es muss eine benennbare und insoweit tatsächliche Persönlichkeitsverletzung vorliegen. Art. 82 DS-GVO begründet einen Schadensersatzanspruch nicht bereits bei jeder individuell empfundenen Unannehmlichkeit oder bei Bagatellverstößen ohne ernsthafte Beeinträchtigung für das Selbstbild oder Ansehen einer Person. Verbreitung des Namens, Geburtsdatums, Geschlechts, der E-Mail-Adresse und der Telefonnummer stellen nur Bagatellschäden dar. |
LG Frankfurt/M. Urt. v. 18.1.2021 – 2-30 O 147/20 = ZD 2021, 653 (n. rk.) | 0 EUR Kein Anspruch aus Art. 82 Abs. 1 DS-GVO, da die Pflichtverletzung nicht schlüssig vorgetragen wurde. Ein bloßes Datenleck indiziert noch nicht, dass dies auf einer Pflichtverletzung beruht. Es bestehe keine Beweislastumkehr bzgl. der Pflichtverletzung zu Lasten der Bekl. Der Kl. muss darlegen und beweisen, dass der Verstoß auf Pflichtverletzung der Bekl. beruht und ein Schaden besteht. |
LG Meiningen Urt. v. 23.12.2020 – (122) 3 O 363/20 | 10.000 EUR Die unzulässige Weitergabe von Gesundheitsdaten des Kl. durch einen Unfallversicherer rechtfertigt ein Schmerzensgeld iHv 10.000 EUR aus § 241 Abs. 2 BGB. Ob auch ein Anspruch gem. Art. 82 Abs. 1 DS-GVO, der eine ausdrückliche Reglung zum immateriellen Schadensersatz enthält, besteht, kommt es nach nicht an. Die schwerwiegende Verletzung des allgemeinen Persönlichkeitsrechts rechtfertigt bereits einen vertraglichen Schmerzensgeldanspruch. |
LG Landshut Urt. v. 6.11.2020 – 51 O 513/20 = ZD 2021, 161 | 0 EUR Allein die Verletzung des Datenschutzrechts als solche begründet nicht bereits für sich gesehen einen Schadensersatzanspruch für Betroffene. Die Verletzungshandlung muss zu einer konkreten, nicht nur unbedeutenden oder empfundenen Verletzung von Persönlichkeitsrechten der betroffenen Person geführt haben. Eine schwere Verletzung des Persönlichkeitsrechts ist nicht erforderlich. Jedoch ist nicht für jede bloß individuelle empfundene Unannehmlichkeit ein Schmerzensgeld zu gewähren; vielmehr muss dem Betroffenen ein spürbarer Nachteil entstanden sein und es muss um eine objektiv nachvollziehbare, mit gewissem Gewicht erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen gehen. |
LG Essen Urt. v. 29.10.2020 – 4 O 9/20 = ZD 2021, 163 mAnm Bente/Gulden | 0 EUR Eine Online-Rezension über eine unfreundliche, namentlich genannte Bedienung in einem Café begründet keinen Löschungsanspruch gegen den Plattformbetreiber und damit auch keinen Schmerzensgeldanspruch nach Art. 82 DS-GVO. |
LG Frankfurt/M. Urt. v. 28.10.2020 – 2-01 O 32/20 | 0 EUR Der Kl. hat keinen Anspruch auf Zahlung von Schadensersatz aus Art. 82 DS-GVO. Ob die Bekl. oder deren Drittanbieter gegen Datenschutzrecht verstoßen haben, kann dahinstehen. Denn es fehlt bereits am Vorliegen eines Schadens. Zutreffend hat der Klägervertreter darauf hingewiesen, dass die Regelung des Art. 82 DS-GVO autonom auszulegen ist. Vor diesem Hintergrund ist nach wohl allgemeiner Meinung der Begriff des (immateriellen) Schadens nach der Verordnung weit auszulegen. Einigkeit besteht darin, dass ein schwerwiegender Eingriff in Persönlichkeitsrechte, wie er in Deutschland unter dem Reglement des BDSG gefordert wurde, im Rahmen des Art. 82 DS-GVO eine unzulässige Einschränkung dieser Norm wäre. Auch Erwägungsgrund 75 unterstreicht diese Deutung, denn er besagt, dass der Kontrollverlust bei der Bearbeitung personenbezogener Daten ein Risiko für die Rechte und Freiheiten natürlicher Personen darstellen können, die wiederum u. a. zu einem immateriellen Schaden führen können. Wenn also unter bestimmten Kautelen ein Kontrollverlust zu einem Schaden führen kann, spricht dies dafür, weitere einschränkende Voraussetzungen nicht vorzusehen. Indes kann nicht alleine mit dem Verstoß gegen datenschützende Normen ein Schaden iSd Art. 82 DS-GVO bejaht werden. Abs. 1 dieser Regelung benennt den Schaden ausdrücklich als eigenes Tatbestandsmerkmal. Auch Erwägungsgrund 146 S. 6 der Verordnung spricht von einem „erlittenen“ Schaden. Nur eine in irgendeiner Weise messbare Beeinträchtigung kann entschädigt werden. Für die bloße Missachtung datenschutzrechtlicher Regeln gewährt Art. 82 DS-GVO keine Kompensation. Streitig ist hier, ob bloße Bagatellschäden vom Anwendungsbereich der Verordnung ausgenommen sind. Das wird teilweise mit der Begründung bejaht, Ziel der DS-GVO sei eine Abschreckung. Deswegen dürfe auch der zugesprochene Schadensersatz nicht rein symbolischer Natur sein, sondern müsse einiges Gewicht haben. Dagegen wird eingewandt, Erwägungsrund 146 der Verordnung verlange auch bei weiter Auslegung nicht, dass jede individuell empfundene Unannehmlichkeit und jeder Bagatellverstoß einen Schadensersatzanspruch begründe. Die Kammer schließt sich diesem Verständnis an. Bagatellverstöße ohne ernsthafte Beeinträchtigung des Betroffenen können keine Ersatzpflicht nach Art. 82 DS-GVO auslösen. Dies folgt nicht nur aus dem Erfordernis eines „erlittenen“ Schadens (Erwägungsgrund 146). Eine Kompensation setzt naturgemäß voraus, dass eine tatsächlich messbare Beeinträchtigung vorliegen muss. Keinesfalls überzeugt das Argument, Bagatellen könnten deswegen nicht von Art. 82 DS-GVO ausgenommen werden, weil die Verordnung spürbare Schadensersatzsummen fordere. Von einer erstrebten Rechtsfolge kann nämlich nicht auf deren Voraussetzungen geschlossen werden. Zudem käme Art. 82 DS-GVO dann einem Strafschadensersatz gleich. Dieses Verständnis ist der Verordnung aber nicht zu entnehmen. Auch generalpräventive Überlegungen rechtfertigen es nicht, nicht oder kaum messbare Bagatellen mit Schadensersatzfolgen zu belegen. Andernfalls bestünden ein erhebliches Missbrauchsrisiko und unangemessene Risiken für Unternehmen, die sich bei unmaßgeblichen und im Geschäftsverkehr kaum auszuschließenden marginalen Datenschutzverstößen Schadensersatzforderungen ausgesetzt sähen. Außerdem ist der Schadensersatzanspruch aus Art. 82 DS-GVO nicht das einzige Sanktionsinstrument der DS-GVO: Neben der Meldung an Aufsichtsbehörden sind Sanktionen und Geldbußen vorgesehen. Die Ziele der Verordnung und ihre Wirkungskraft können also auch auf andere Weise verwirklicht werden. In Betracht käme ein Schadensersatzanspruch bei Bagatellverstößen zur Überzeugung der Kammer allenfalls dann, wenn der Verantwortliche sich durch sein rechtswidriges Verhalten auf Kosten des Betroffenen bereichert hat und er den Verstoß gegen Datenschutzrecht in Kauf nimmt. Nach diesen Maßstäben ist ein immaterieller Schaden des Kl. nicht erkennbar. Dass die Bekl. den Datenvorfall bewusst veranlasst hätte, um sich dadurch einen finanziellen Vorteil zu verschaffen und zu bereichern, ist offenkundig nicht der Fall. Die Angelegenheit kann für die Bekl. eher geschäftsschädigend sein. Die Beeinträchtigung des Kl. hat iÜ nur Bagatellcharakter und rechtfertigt keine Kompensation. Der Kl. hat nicht dargetan und es ist nicht bekannt geworden, dass – mit Ausnahme des Klägervertreters – Dritte seine im Internet zugänglich gewordenen Daten tatsächlich überhaupt zur Kenntnis genommen haben. Ein Identitätsdiebstahl ist daher ebenso wenig ersichtlich wie eine soziale Diskriminierung oder gar ein Eingriff in seine Intimsphäre. Richtig ist zwar, dass der Kl. durch die Zugänglichmachung seiner Daten im Internet während dieser Zeit die Kontrolle über seine Daten nicht vollständig innehatte. Die DS-GVO besagt aber nicht, dass jeder Kontrollverlust einen Schaden darstellt, sondern nur, dass dies der Fall sein kann. Da keinerlei unzulässige Nutzung der klägerischen Daten durch Dritte bekannt geworden ist, ist mit dem „Kontrollverlust“ aber keinerlei „öffentliche Bloßstellung“ verbunden, die insoweit auch von den Befürwortern einer Ersatzpflicht bei Bagatellverstößen zumindest verlangt wird. Eine Bloßstellung setzt denknotwendig voraus, dass überhaupt jemand Kenntnis von dem Vorgang erlangt hat. Sofern der Kl. vortragen lässt, auf Grund des Datenvorfalls müsse er eine erhöhte Aufmerksamkeit und Mühe aufbringen, um einem Identitätsdiebstahl, einem Missbrauch der Kreditkartennummer und Phishingversuchen vorzubeugen, begründet das im vorliegenden Fall keine Beeinträchtigung, die über eine Bagatelle hinausgeht. Es ist nicht überzeugend, dass der Kl. einen Missbrauch seiner Kreditkarte tatsächlich ernsthaft befürchtet. Die Kammer ist davon überzeugt, dass er dann längst von dem Angebot Gebrauch gemacht hätte, kostenlos seine Kreditkarte auszutauschen. |
LG Köln Urt. v. 7.10.2020 – 28 O 71/20 = ZD 2021, 47 (n. rk.) | 0 EUR Für den immateriellen Schadensersatz gelten die iRv § 253 BGB entwickelten Grundsätze. Es können für die Bemessung die Kriterien des Art. 83 Abs. 2 DS-GVO herangezogen werden. Ein genereller Ausschluss von Bagatellfällen ist damit nicht zu vereinbaren. |
LG Traunstein Urt. v. 1.10.2020 – 8 O 332/20 | 0 EUR Dem Kl. steht kein Ersatzanspruch für materielle oder immaterielle Schäden nach Art. 82 Abs. 2 S. 1 DS-GVO zu. Soweit dieser Anspruch mit einer Einschränkung der Datenverarbeitung durch den Kl. infolge der Sperrung seines Nutzerkontos bei F. begründet wird, ist schon der sachliche Anwendungsbereich der Verordnung nicht eröffnet, die nach Art. 2 Abs. 2 lit. c DS-GVO keine Anwendung findet auf die Verarbeitung personenbezogener Daten durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten (sog. Haushaltsausnahme); über persönliche Tätigkeiten hinausgehende Nutzungszwecke wurden vom Kl. nicht vorgetragen. Auch wird lediglich der Eintritt eines materiellen Schadens durch die Sperrung des Nutzerkontos behauptet, weil der Kl. gehindert gewesen sei, seine geäußerte Meinung weiter zu verbreiten, ohne diesen behaupteten Schaden konkret darzulegen oder sonst nachvollziehbar zu begründen. Soweit zur Begründung auf die Grundsätze zur Geldentschädigung bei Persönlichkeitsrechtsverletzungen zurückgegriffen wird, gilt aber das oben Ausgeführte, wonach eine solche Geldentschädigung nur unter einschränkenden Voraussetzungen, die hier gerade nicht vorliegen, zu gewähren wäre. Sollten demgegenüber die Ausführungen zu Art. 82 DS-GVO so zu verstehen sein, dass die Bekl. ohne wirksame Einwilligung während der Dauer der unberechtigten Sperrung des klägerischen Nutzerkontos die Daten des Kl. weiter genutzt hat, läge der kausale Schaden demgegenüber nicht – wie vorgetragen – in der Unterbindung weiterer Meinungsäußerungen durch den Kl. auf F. Ein Anspruch auf der Grundlage des Art. 82 DS-GVO kommt daher nicht in Betracht. |
LG Frankfurt/M. Urt. v. 18.9.2020 – 2-27 O 100/20 = ZD 2020, 639 | 0 EUR Die Zugänglichmachung von personenbezogenen Daten einer betroffenen Person an Dritte ohne Einverständnis fällt unter Art. 82 Abs. 1 DS-GVO (sog. Bloßstellung). Der Kl. ist für den DS-GVO-Verstoß darlegungs- und beweisbelastet. |
LG Hamburg Urt. V. 4.9.2020 – 324 S 9/19 = ZD 2021, 99 | 0 EUR Allein der Verstoß gegen datenschutzrechtliche Vorschriften führt nicht zu einer Verpflichtung des Verantwortlichen zur Zahlung von Schadensersatz, es bedarf des Eintritts eines Schadens, den der Kl. darzulegen und zu beweisen hat. Es bedarf zwar keiner schweren Verletzung des Persönlichkeitsrechts, jedoch reicht nicht jeder Verstoß aus. |
LG Frankfurt/M. Urt. v. 3.9.2020 – 2-03 O 48/19 = MMR 2021, 271 | 0 EUR Bloße Löschung eines Beitrags durch einen Betreiber eines sozialen Netzwerks oder die Sperrung eines Nutzerkontos stellt keinen Schaden iSd DS-GVO dar. |
LG Wuppertal Urt. v. 3.8.2020 – 3 O 101/19 | 4.000 EUR Der Kl. ist vorliegend auf Grund eines Verstoßes der Bekl. gegen Art. 32 DS-GVO ein immaterieller Schaden entstanden. Die Bekl. hat gegen die ihr obliegenden Pflichten verstoßen, indem sie geeignete technische und organisatorische Maßnahmen innerhalb ihres Geschäftsbetriebs nicht unternommen hat, um zu verhindern, dass ihre Mitarbeiter Sozialdaten – wie vorliegend die elektronische Gesundheitsakte der Kl. – als unverschlüsselte Anlage mit unverschlüsselter E-Mail versenden können. Vorliegend hätte es der Bekl. oblegen, entweder durch geeignete Schulungen ihrer Mitarbeiter diese dahingehend zu sensibilisieren, sensible Gesundheitsdaten nicht ungeschützt und ungesichert per E-Mail zu versenden oder durch geeignete technische und organisatorische Vorrichtungen sicherzustellen, dass Sozialdaten ungeschützt und unverschlüsselt bereits nicht versendet werden können. Der Bekl. ist es vorliegend nicht gelungen, sich als Verantwortliche iSv Art. 24 DS-GVO zu entlasten, Art. 82 Abs. 3 DS-GVO. Denn bereits durch das unverschlüsselte Versenden sensibler Gesundheitsdaten – ungeachtet der behaupteten Zustimmung der Betroffenen (hier: der Kl.) – hat die Bekl. als Verantwortliche gegen Art. 32 DS-GVO verstoßen. Denn dass die Kl. auch in die unverschlüsselte Versendung der Gesundheitsakte mit E-Mail eingewilligt hat, hat selbst die Bekl. nicht vorgetragen, zumal ein Verzicht auf ein verschlüsseltes Versenden von Daten nach der DS-GVO nicht möglich ist. Der Kl. ist durch das unverschlüsselte Versenden der elektronischen Gesundheitsakte ein immaterieller Schaden gem. Art. 82 DS-GVO entstanden. Denn bereits das unverschlüsselte Versenden der die Kl. betreffenden Gesundheitsdaten führt zu einer erheblichen Verletzung ihres allgemeinen Persönlichkeitsrechts nach Art. 2 Abs. 1 GG iVm Art. 1 Abs. 1 GG. Zwar führt ein bloßer Verstoß gegen die DS-GVO, ohne dass eine Schadensfolge eintritt, nicht zu einer Haftung nach Art. 82 DS-GVO. Auch reicht ein Bagatellverstoß ohne ernsthafte Beeinträchtigung bzw. eine bloß individuell empfundene Unannehmlichkeit des Betroffenen nicht aus. Allerdings ist eine schwere Verletzung des Persönlichkeitsrechts nicht (mehr) erforderlich. Vielmehr genügt es, dass dem Betroffenen ein spürbarer Nachteil entstanden und eine objektiv nachvollziehbare, mit gewissem Gewicht erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen gegeben ist. Dieses Ergebnis deckt sich auch mit der Intention des europäischen Gesetzgebers. Ausweislich Erwägungsgrund 146 S. 3 DS-GVO soll der Begriff des Schadens im Lichte der Rspr. des EuGH weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser VO in vollem Umfang entspricht. Es kann dahinstehen, ob § 254 Abs. 1 BGB vorliegend unmittelbar oder entsprechend zur Anwendung gelangen würde. Bei der Höhe des anzusetzenden Schmerzensgelds kommt es auf den konkreten Einzelfall an. Bußgeldkriterien können in der Bemessung berücksichtigt werden, müssen aber stärker im Lichte des Kompensations- und nicht des Strafcharakters eingestellt werden, um eine sog. Doppelbestrafung zu vermeiden. Ausgangspunkt der Betrachtung ist stets, welche Daten abgeflossen sind und welche Folgen dies haben kann und/oder bereits hatte. Je intimer, finanziell bedrohlicher, potenziell ehrverletzender oder kränkender und persönlich gewichtiger die abgeflossenen Daten sind, desto höher fällt der immaterielle Schaden aus. Dabei ist auch die Verknüpfbarkeit von Daten zu berücksichtigen (etwa mit Hilfe von Metadaten). Metadaten erlauben bei entsprechender Menge und Beziehbarkeit auf andere eine Profilbildung, die Einblicke in das Intimleben erlaubt. Die die Schadensersatzhöhe beeinflussende Faktoren auf Seiten des Verantwortlichen können etwa das Ausmaß der Pflichtverletzung(en) sein. In diesem Zusammenhang auch relevant sind der Grad des Verschuldens, das Verhalten des Verantwortlichen nach dem Vorfall ggü. dem Betroffenen sowie das Ob und Wie von Maßnahmen zur Schadensvermeidung oder -minimierung. Bemessungsfaktor für die Höhe der Entschädigung ist damit auf einer objektiven Ebene zunächst die Art und Intensität der Verletzungshandlung, die Kategorie der betroffenen personenbezogenen Daten, der Umfang der „verloren gegangenen Daten“, der zeitliche Umfang der Datenschutzrechtsverletzung, der Umgang des datenverarbeitenden Verantwortlichen mit der Datenschutzrechtsverletzung, die Unternehmensgröße des datenverarbeitenden Verantwortlichen und die an ihn zu stellenden Ansprüche bzgl. der Datensicherheit, Organisation und technische Maßnahmen. Auf einer subjektiven Ebene ist der Verschuldensgrad des Verantwortlichen sowie die subjektive Empfindung des Betroffenen vor dem Hintergrund der verlustig gegangenen Daten zu berücksichtigen. Das Gericht führt eine umfassende Abwägung durch, welche Faktoren bei der Bemessung der Schadenshöhe einzubeziehen sind. |
LG Lüneburg Urt. v. 14.7.2020 – 9 O 145/19 = ZD 2021, 275 mAnm Wybitul/Wuermeling/Ganz | 1.000 EUR Ein rechtswidriger Negativeintrag bei einer Wirtschaftsauskunftei kann ein Schmerzensgeld rechtfertigen. Es bedarf keiner schwerwiegenden Persönlichkeitsverletzung mehr. Sie ist weder vorgesehen noch von dessen Ziel und Entstehungsgeschichte gedeckt. |
NEU LG Arnsberg Urt. v. 16.6.2020 – 1 O 44/20 | 0 EUR Ein Anspruch gem. Art. 82 Abs. 1 DS-GVO kommt nicht in Betracht, weil die unrechtmäßige Übermittlung der Daten durch die X nicht in den Verantwortungsbereich der Bekl. fällt. |
LG Darmstadt Urt. v. 26.5.2020 – 13 O 244/19 = ZD 2020, 642 mAnm Wybitul/Brams (n. rk.; Berufung s. OLG Frankfurt/M. Urt. 2.3.2022 – 13 U 206/20 = ZD 2022, 333 mAnm Schemmel) | 1.000 EUR Die Versendung von personenbezogenen Daten eines Bewerbers an einen falschen Empfänger ohne den Willen des Bewerbers (hier: Name und Geschlecht des Betroffenen, Position, für die er sich beworben hat, sowie Gehaltsinformationen), begründete einen Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO. |
LG Mannheim Urt. v. 13.5.2020 – 14 O 32/19 = MMR 2020, 796 (Ls.) | 0 EUR Wurde der Beitrag einer betroffenen Person auf einem sozialen Netzwerk zu Unrecht gelöscht und sein Konto für einige Zeit gesperrt, steht der betroffenen Person in der Regel keine Geldentschädigung zu (hier wurde zudem kein DS-GVO-Verstoß gesehen). |
LG Ravensburg Urt. v. 6.3.2020 – 2 O 363/19 | 0 EUR Der Klageantrag („Die Bekl. zu verurteilen, an den Kl. ein angemessenes Schmerzensgeld gem. Art. 82 Ziff. 1 DS-GVO, dessen Höhe in das Ermessen des Gerichts gestellt wird, nebst Zinsen i. H. v. 5 % – Punkten über dem Basiszinssatz seit Zustellung der Klageschrift zu zahlen“) ist ausreichend bestimmt, § 253 Abs. 2 ZPO. Es handelt sich um einen Antrag auf Schmerzensgeld. Die Höhe des Schmerzensgelds ist regelmäßig durch das erkennende Gericht zu bemessen, § 253 BGB, § 287 ZPO, sodass es für einen hinreichend bestimmten Antrag ausreichend ist, wenn der Kl. iRd Klagebegründung die Schätzgrundlagen sowie eine Größenordnung darlegt. Dies ist vorliegend geschehen, als Mindestbetrag gab der Kl. 20.000 EUR an. Der iRv Art. 82 DS-GVO geltend gemachte Schaden muss kausal auf die Verletzungshandlung, mithin den festgestellten Verstoß gegen die DS-GVO, zurückzuführen sein. Den Betroffenen trifft regelmäßig die Beweislast für das Vorliegen der Tatbestandsmerkmale. Lediglich das Verschulden wird nach Art. 82 Abs. 3 DS-GVO widerleglich vermutet. Inwiefern die verweigerte Auskunft zu einer Ehrverletzung des Kl. geführt haben soll, ist nicht erkennbar. Inwiefern die Nichterteilung der allgemeinen Auskunft nach Art. 15 DS-GVO zu einer erheblichen Ehrverletzung, mithin einem immateriellen Schaden des Kl., geführt haben soll, ist nicht erkennbar. |
LG Bochum Urt. v. 22.1.2020 – I-2 O 186/19 (durch OLG Hamm Urt. v. 31.8.2021 – I-9 U 56/20 auf 4.000 EUR reduziert) | 8.000 EUR Es besteht ein Schmerzensgeldanspruch nach Art. 82 DS-GVO iHv 8.000 EUR wegen unberechtigter Weitergabe personenbezogener Daten im Konzern. Der Schmerzensgeldantrag ist dem Grunde nach gegeben und ergibt sich aus Art. 82 DS-GVO. Bei der Höhe ist zu berücksichtigen, dass der immaterielle Schadensersatzanspruch aus Art. 82 DS-GVO gerade auch eine abschreckende Wirkung haben soll. Insoweit sind die ausgeurteilten 8.000 EUR erforderlich, aber auch ausreichend. Insoweit war zu Gunsten der Bekl. immerhin zu berücksichtigen, dass diese ein durchaus legitimes Informationsinteresse hat, auch wenn dieses nicht das zur Zweckerreichung erfolgte Vorgehen rechtfertigt. Die Bekl. haftet jedoch nur gesamtschuldnerisch mit der in der Arbeitsgerichtsbarkeit verklagten Arbeitgeberin der Kl. Dies ergibt sich aus Art. 82 Abs. 4, 5 DS-GVO. |
LG München I Urt. v. 7.11.2019 – 34 O 13123/19 = ZD 2020, 204 | 0 EUR Die bloße verordnungswidrige Datenverarbeitung stellt gerade noch keine Rechtsverletzung dar. |
LG Hamburg Urt. v. 18.10.2019 – 316 O 331/17 | 0 EUR Ein Schadensersatzanspruch steht dem Kl. nach Art. 82 Abs. 2 S. 1 DS-GVO nicht zu, da der temporale Anwendungsbereich der Verordnung im Zeitpunkt der streitgegenständlichen Sperrungen noch nicht eröffnet war. |
LG Karlsruhe Urt. v. 11.10.2019 – 8 O 282/19 | 0 EUR Die Anwendung von Art. 82 Abs. 3 DS-GVO setzt einen schadensverursachenden Verstoß gegen die DS-GVO voraus. Der Nachweis der Ursächlichkeit und des Eintritts eines Schadens als haftungsbegründenden Umstand obliegt dabei dem Betroffenen. Die Exkulpationsmöglichkeit bezieht sich ausschließlich auf das Verschulden hinsichtlich des den Schaden auslösenden Ereignisses. Art. 82 Abs. 3 DS-GVO enthält keinen allgemeinen, übertragbaren Rechtsgedanken, dass schon bei einem Verdacht unzureichender Datenschutzvorkehrungen und einem damit abstrakt drohenden Schaden die datenverarbeitende Stelle sich zunächst umfassend entlasten müsste, um Unterlassungsansprüchen zu entgehen. |
LG Regensburg Urt. v. 27.8.2019 – 72 O 1943/18 KOIN | 0 EUR Soweit dieser Anspruch mit einer Einschränkung der Datenverarbeitung durch den Kl. infolge der Sperrung seines Nutzerkontos begründet wird, ist schon der sachliche Anwendungsbereich der DS-GVO nicht eröffnet, die nach Art. 2 Abs. 2 lit. c DS-GVO keine Anwendung findet auf die Verarbeitung personenbezogener Daten durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten. Auch wurde lediglich der Eintritt eines materiellen Schadens durch die Sperrung des Nutzerkontos behauptet, weil der Kl. gehindert gewesen sei, seine geäußerte Meinung weiter zu verbreiten, ohne diesen behaupteten Schaden konkret darzulegen oder sonst nachvollziehbar zu begründen. |
LG Karlsruhe Urt. v. 2.8.2019 – 8 O 26/19 = ZD 2019, 511 | 0 EUR Es bedarf keiner schweren Verletzung des Persönlichkeitsrechts mehr, um einen immateriellen Schaden geltend zu machen. Die Verpflichtung zum Ausgleich eines immateriellen Schadens muss eine benennbar und insoweit tatsächliche Persönlichkeitsverletzung gegenüberstehen, zB bei der mit einer unrechtmäßigen Zugänglichmachung von Daten liegenden „Bloßstellung“. Die Ablehnung eines Kreditvertrags durch ein Kreditinstitut reicht dafür in der Regel jedoch nicht aus. |
LG Coburg Urt. v. 31.7.2019 – 24 O 422/18 | 0 EUR Kein DS-GVO-Schadensersatzanspruch, da eine vorübergehende Funktionssperrung eines Social-Media-Accounts nicht erheblich ist und zudem eine Einwilligung abgegeben wurde. Der Kl. könne auch während einer Sperrung auf seinen Account zugreifen und seine Kontakte einsehen. |
LG Traunstein Urt. v 2.5.2019 – 8 O 3510/18 | 0 EUR Soweit dieser Anspruch mit einer Einschränkung der Datenverarbeitung durch den Kl. infolge der Sperrung seines Nutzerkontos bei begründet wird, ist schon der sachliche Anwendungsbereich der DS-GVO nicht eröffnet, die nach Art. 2 Abs. 2 lit. c DS-GVO keine Anwendung findet auf die Verarbeitung personenbezogener Daten durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten. Auch wurde lediglich der Eintritt eines materiellen Schadens durch die Sperrung des Nutzerkontos behauptet, weil der Kl. gehindert gewesen sei, seine geäußerte Meinung weiter zu verbreiten, ohne diesen behaupteten Schaden konkret darzulegen oder sonst nachvollziehbar zu begründen. Soweit zur Begründung auf die Grundsätze zur Geldentschädigung bei Persönlichkeitsrechtsverletzungen zurückgegriffen wird, gilt, dass eine solche Geldentschädigung nur unter einschränkenden Voraussetzungen zu gewähren wäre. |
LG Wuppertal Urt. v. 29.3.2019 – 17 O 178/18 = ZD 2020, 548 (Ls.) | 923,38 EUR Der Kl. wurde ein Anspruch auf Freistellung von der Verbindlichkeit ggü. ihren Prozessbevollmächtigen für die außergerichtliche Rechtsverfolgung iHv 923,38 EUR aus Art. 82 Abs. 1 DS-GVO zugesprochen. |
LG Göttingen Urt. v. 20.2.2019 – 9 O 4/18 | 0 EUR Ebenso scheidet ein Anspruch aus Art. 82 Abs. 1, 2 S. 1 DS-GVO von vornherein aus. Eine etwaige Datenverarbeitung durch die Bekl. erfolgte – entgegen der Auffassung des Kl. – mit fortbestehender Einwilligung des Kl.. Selbst wenn man, wie der Kl. meint, § 320 Abs. 1 BGB im vorliegenden Vertragsverhältnis für anwendbar hielte, handelte es sich bei § 320 Abs. 1 BGB doch um eine Einrede, die hätte geltend gemacht werden müssen. |
LG Frankfurt/M. Urt. v. 20.12.2018 – 2-05 O 151/18 = ZD 2019, 467 | 0 EUR Der immaterielle Schaden liegt in der potenziellen Stigmatisierung, die durch einen „-Eintrag“ bei einer Wirtschaftsauskunftei entstehen kann (im vorliegenden Fall lag jedoch kein Verstoß gegen die DS-GVO vor). |
Amtsgerichte | |
AG Strausberg Urt. v. 13.10.2022 – 25 C 95/21 = ZD 2023, 109 | 0 EUR Dem Kl. steht gegen die Bekl. kein Anspruch auf Schadensersatz in Form eines Schmerzensgeldes aus Art. 82 DS-GVO wegen verspäteter Erfüllung des Auskunftsanspruchs des Art. 15 DS-GVO zu. Art. 82 Abs. 2 DS-GVO regelt den anspruchsbegründenden Sachverhalt. Gem. Art. 82 Abs. 2 S. 1 DS-GVO haftet danach jeder an einer Verarbeitung beteiligte Verantwortliche für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. Anknüpfungspunkt für eine Haftung ist also eine der Verordnung nicht entsprechende Verarbeitung iSd Art. 4 Ziff. 2 DS-GVO. Dies steht im Einklang mit Erwägungsgrund 146, wonach der Verantwortlicher oder der Auftragsverarbeiter Schäden, die einer Person auf Grund einer Verarbeitung entstehen, die mit der DS-GVO nicht im Einklang stehen, ersetzen sollte. Die verspätete Erteilung einer Datenauskunft ist aber keine Verarbeitung personenbezogener Daten iSd Art. 4 Ziff. 2 DS-GVO. Der Kl. hat auch keinen Anspruch auf Schmerzensgeld aus Art. 82 DS-GVO wegen eines etwaigen Verstoßes der Bekl. gegen die in Art. 34 DS-GVO geregelte Benachrichtigungspflicht. Dem Kl. steht auch kein Anspruch auf Schadensersatz wegen eines etwaigen Verstoßes gegen Art. 32 Abs. 1 iVm Abs. 2 DS-GVO zu. |
NEU AG Wesel Beschl. v. 5.8.2022 – 30 C 138/21 | 0 EUR Insofern stellt sich zunächst die Frage, ob bereits die Verletzung von Vorschriften, die den Schutz der personenbezogenen Daten der anspruchstellenden Person bezwecken, für sich genommen einen Anspruch auf Ersatz begründen kann. Ob die Frage zu bejahen ist, ergibt sich nicht aus dem Wortlaut der o. g. Vorschriften. Aus Erwägungsgrund 146 DS-GVO lässt sich aber entnehmen, dass der Schadensbegriff grundsätzlich weit auszulegen ist und die Auslegung den spezifischen Maßgaben der DS-GVO zu folgen hat. Im Zusammenspiel mit Erwägungsgrund 85 könnte sich die Schlussfolgerung ergeben, dass bereits der aus einem DS-GVO-Verstoß folgende (mögliche) Verlust der Kontrolle über die eigenen personenbezogenen Daten einen Anspruch auf immateriellen Schadensersatz begründet, und zwar unabhängig davon, ob über die bloße Verletzung der Vorschriften hinaus eine Beeinträchtigung eingetreten ist. Hingegen nennt Erwägungsgrund 85 auch „erhebliche […] Nachteile“, was dagegen sprechen könnte. Die Beantwortung dieser Frage ist selbst dann relevant, wenn eine weitere Beeinträchtigung vorliegt. Denn hinsichtlich der Höhe des zu leistenden immateriellen Schadensersatzes nimmt die DS-GVO keine konkrete Eingrenzung vor, sodass diese letztlich durch die Gerichte vorzunehmen ist. Dabei wird es bei der Bestimmung eines konkret zu leistenden Betrages auf die Schwere des Verstoßes und der hierdurch verursachten Beeinträchtigungen ankommen. Die Ausfüllung dieser Begriffe erfolgt jedoch notwendigerweise immer in Relation zu anderen möglichen Verstößen. Insofern ist es auch für Fallkonstellationen, in denen eine weitergehende Beeinträchtigung feststeht, von Relevanz, ob bereits die bloße Verletzung von Vorschriften der DS-GVO ausreicht, um einen Anspruch auf immateriellen Schadensersatz zu begründen, da hierdurch die Untergrenze gedanklich nach oben verschoben würde. Dem deutschen Recht war bislang ein Anspruch auf Ersatz von immateriellen Schäden, ohne dass eine über die Verletzung einer Gesetzesvorschrift hinausgehende erhebliche Beeinträchtigung festgestellt werden könnte, fremd. Die nationale höchstrichterliche Rspr. nahm einen Anspruch auf Geldentschädigung bei Verletzungen des allgemeinen Persönlichkeitsrechts an, wenn es sich um einen schwerwiegenden Eingriff handelt und die Beeinträchtigung nicht in anderer Weise befriedigend ausgeglichen werden kann. Ob eine so schwerwiegende Verletzung des Persönlichkeitsrechts vorliegt, dass die Zahlung einer Geldentschädigung erforderlich ist, könne nur auf Grund der gesamten Umstände des Einzelfalls beurteilt werden. Hierbei sind insb. die Bedeutung und Tragweite des Eingriffs, Anlass und Beweggrund des Handelnden sowie der Grad seines Verschuldens zu berücksichtigen. Ob diese nationale Rechtsanwendung sich auch für die Auslegung von Art. 82 DS-GVO eignet, erscheint nicht nur, aber auch, auf Grund der o. g. Erwägungsgründe zweifelhaft. Würde der Schadensbegriff im o. g. Sinne weit ausgelegt, könnte auch die (objektiv berechtigte) Besorgnis, dass personenbezogene Daten in unberechtigte Hände gelangt sind, einen zu ersetzenden immateriellen Schaden darstellen. Diese Frage ist für den vorliegenden Rechtsstreit besonders relevant, weil nicht aufgeklärt werden konnte, inwiefern die neuen Bewohner Kenntnis vom Inhalt der an die Kläger gerichteten Postsendung erlangt haben. Denn es erscheint jedenfalls möglich, dass die neuen Bewohner den Sendungsinhalt tatsächlich weitgehender zur Kenntnis genommen haben, als sie es im Rahmen ihrer Zeugenaussagen bekundet haben. Zudem haben die neuen Bewohner die Postsendung nicht selbst verwahrt, sondern den geöffneten Umschlag bei den (Schwieger-)Eltern zur Abholung bereitgelegt. Sofern die anhand objektiver Anhaltspunkte berechtigterweise bestehende Sorge, dass personenbezogene Daten in fremde Hände gelangt sein könnten, zur Begründung eines Anspruchs auf immateriellen Schadensersatz für sich genommen ausreichen sollte, wäre den Klägern ein solcher zuzusprechen. Zugleich würde sich hieraus eine Änderung der relativen Schwere anderer Verstöße ergeben, die sich auf die Bemessung des konkreten Schadensersatzbetrags auswirkt. Der DS-GVO lässt sich für den Bereich des immateriellen Schadensersatzes keine dem für die Verhängung von Geldbußen geltenden Art. 83 DS-GVO vergleichbare Norm entnehmen, nach der die Höhe des geschuldeten Ersatzes einheitlich bestimmt werden könnte. Insofern läge es nahe, die dortigen Kriterien – soweit übertragbar – auch bei der Bemessung des immateriellen Schadensersatzes heranzuziehen. Gleichzeitig ließe sich gegen eine Heranziehung der Vorschrift einwenden, dass der Verordnungsgeber die Regelungen in Art. 83 DS-GVO explizit auf den Bereich der Geldbußen beschränkt hat. Dies könnte einer Erstreckung des Anwendungsbereichs auf den immateriellen Schadensersatz entgegenstehen, wenngleich sich in Teilbereichen notwendigerweise Überschneidungen ergäben (Schwere des Verstoßes, Erheblichkeit der Auswirkungen). Nicht zuletzt kommt der Frage nach der entsprechenden Anwendung des Art. 83 Abs. 5 DS-GVO erhebliche Bedeutung zu, da hierdurch für dessen (entsprechenden) Anwendungsbereich Obergrenzen vorgegeben wären. Erwägungsgrund 146 enthält die Maßgabe, dass der Schadensbegriff weit auf eine Art und Weise ausgelegt werden soll, die den Zielen dieser Verordnung in vollem Umfang entspricht und dafür Sorge trägt, dass die betroffene Person einen vollständigen und wirksamen Schadensersatz erhält. Insb. die Bezugnahme auf die Wirksamkeit könnte dafür sprechen, dass durch die Bemessung von immateriellen Schadensersatzansprüchen auch eine Abschreckungsfunktion entfaltet werden soll. Wäre das nicht der Fall und würden die geschuldeten Schadensersatzbeträge vergleichsweise niedrig angesetzt, könnte durch Verantwortliche eine Abwägung zwischen den Kosten der DS-GVO-konformen Ausgestaltung und den ggf. zu zahlenden Schadensersatzbeträgen stattfinden. Gegen die Annahme, dass Art. 82 DS-GVO ein Abschreckungseffekt zugedacht sei, könnte allerdings sprechen, dass die Verhängung von Geldbußen durch die zuständigen Behörden eine ausreichende Abschreckung darstellt, die eine weitere Abschreckung über die Bemessung des immateriellen Schadensersatzes nicht erfordert. Die Kläger sind der Ansicht, dass die gleichzeitige Verletzung des vorbenannten Berufsrechts im Rahmen der Bemessung des nach Art. 82 DS-GVO geschuldeten immateriellen Schadensersatzes zu berücksichtigen sei. Hieran bestehen Zweifel, weil Erwägungsgrund 146 sich mit Verstößen gegen nationales Recht befasst und insoweit ausschließlich auf nach Maßgabe der vorliegenden Verordnung erlassene delegierte Rechtsakte und Durchführungsrechtsakte und Rechtsvorschriften der Mitgliedstaaten zur Präzisierung von Bestimmungen der vorliegenden Verordnung Bezug nimmt. Die iRd Vorlagefragen aufgeworfenen Rechtsprobleme sind in der Rspr. des EuGH bislang nicht geklärt und können auch aus dem Wortlaut der DS-GVO selbst nicht mit hinreichender Deutlichkeit einer Klärung zugeführt werden. Insb. zeigt sich in der nationalen Rspr. sowie Rechtswissenschaft, dass ein Teil die bisher zum nationalen Recht vertretene Sichtweise, dass der Zuspruch immateriellen Schadensersatzes sowohl dem Grunde als auch der Höhe nach restriktiv zu handhaben sei, auch auf Art. 82 DS-GVO anwenden will. Dieser Linie hat sich offenbar auch das dem hiesigen AG übergeordnete LG Duisburg angeschlossen. Dieses hat den Rechtsstreit trotz der von den Klägern angegebenen Größenordnung (15.000 EUR) wegen sachlicher Unzuständigkeit (das Landgericht wäre ab Überschreiten der Wertgrenze von 5.000 EUR zuständig, das Amtsgericht für die darunter liegenden Werte) an das Amtsgericht verwiesen. Das Landgericht ging hierbei davon aus, dass die klägerseits erfolgte Schätzung fernliegend und übertrieben sei, vielmehr ein immaterieller Schadensersatzanspruch maximal in Höhe von 2.000 EUR denkbar wäre. Soweit der ÖOGH mit Beschl. v. 15.4.2021 (ZD 2021, 631) und das LG Saarbrücken mit Beschl. v. 22.11.2021 (ZD 2022, 162) – Rs. C-741/21 und C-300/21 bereits Vorabentscheidungsersuchen an den EuGH gerichtet haben, stimmen die dortigen Fragen nur teilweise mit den hier gestellten Fragen überein. |
AG München Urt. v. 4.8.2022 – 211 C 578/22 = ZD 2023, 111 | 0 EUR Der Kl. hat gegen die Bekl. keinen Anspruch auf Zahlung von immateriellem Schadensersatz iHv 4.500 EUR aus Art. 82 Abs. 1 DS-GVO iVm Art. 32 Abs. 1 DS-GVO. Zwischen den Parteien ist strittig, ob die Bekl. gegen die DS-GVO verstoßen hat. Der Kl. trägt nach den allgemeinen zivilprozessualen Grundsätzen die Darlegungs- und Beweislast für die haftungsbegründenden Voraussetzungen. Aus Art. 82 Abs. 3 DS-GVO ergibt sich lediglich hinsichtlich des Verschuldens eine Beweislastumkehr. Damit trägt der Kl. die Darlegungs- und Beweislast hinsichtlich eines Verstoßes der Bekl. gegen die DS-GVO und eines daraus kausal entstandenen Schadens. Der Kl. behauptet, dass die Bekl. die gem. Art. 32 Abs. 1 DS-GVO erforderlichen Maßnahmen hinsichtlich des Zugangs des Kl. zu dem Kundenkonto nicht getroffen habe. Der Kl. macht geltend, dass eine Zwei-Faktor-Authentifizierung Stand der Technik gewesen sei. Die Bekl. ist jedoch kein Zahlungsdienstleister. Der Kl. hat nicht ausreichend dargelegt, dass die Zwei-Faktor-Authentifizierung auch bei bloßen Kundenbindungsprogrammen Stand der Technik ist und die vorliegende Authentifizierung beim Programm der Bekl. diesen nicht erfüllt. Danach sind zwar die einzelnen zum Kunden-Login erforderlichen Informationen teilweise nicht geheim, sondern ggü. einzelnen Vertragspartnern anzugeben oder im näheren Umfeld des Kunden bekannt. Für die Kombination der verschiedenen Merkmale beim Login wurde dies aber nicht vorgetragen. Auch hat die Bekl. ein dokumentiertes Informationssicherheits-Managementsystem im Unternehmen umgesetzt und unterliegt einer regelmäßigen Auditierung durch unabhängige Dritte. Dies erfolgt am ISO-Standard 27001 und den Sicherheitslinien des BSI. Zudem hat die Bekl. ein sog. Security Information and Event Management zur Überwachung implementiert. Ein Verstoß hiergegen wurde seitens des Kl. nicht vorgetragen. Darüber hinaus ist der Stand der Technik nur ein Gesichtspunkt in der von Art. 32 Abs. 1 und Abs. 2 DS-GVO vorgeschrieben Abwägung. Umstände für die Gesamtabwägung aller genannten Faktoren, die danach gegen ein angemessenes Schutzniveau sprechen, werden von dem Kl. nicht vorgetragen. Ein Verstoß gegen Art. 32 DS-GVO liegt danach nicht vor. Aus Art. 32 DS-GVO folgt kein Anspruch auf eine Zwei-Faktor-Authentifizierung im vorliegenden Fall. Ein etwaiger Verstoß der Bekl. gegen Art. 32 DS-GVO wäre jedenfalls auch nicht kausal für den behaupteten Punkteklau. |
AG Pankow Urt. v. 28.3.2022 – 4 C 199/21 = ZD 2023, 48 | 0 EUR Ein Verstoß gegen die DS-GVO lag nicht vor. Voraussetzung ist nicht nur ein Verstoß, sondern auch, dass der Kl. einen Schaden erlitten hat. Allein, dass der Kl. die Auskunft nicht erhalten hat bzw. die Löschung nicht verhindert wurde, kann keinen ersatzfähigen Schaden begründen. Es muss auch bei einem immateriellen Schaden eine Beeinträchtigung eingetreten sein, die unabhängig von einer Erheblichkeitsschwelle wenigstens spürbar sein muss. |
AG Pforzheim Urt. v. 27.1.2022 – 2 C 381/21 = ZD 2022, 512 | 1.500 EUR Durch die Weitergabe des Namens und der Adresse des Kl. ohne dessen Einwilligung an das Abrechnungszentrum hat die Bekl. gegen Art. 6 Abs. 1 DS-GVO verstoßen und des Weiteren pflichtwidrig den Kl. hierüber nicht nach Art. 14 Abs. 1 DS-GVO informiert. Auf Grund dessen steht dem Kl. ein Schadensersatzanspruch gem. Art. 82 Abs. 1 DS-GVO zu, wobei das Gericht einen Betrag iHv 1.500 EUR (zzgl. 4 EUR für Mahnkosten) für angemessen, aber auch ausreichend hält. Hierbei wurde zum einen berücksichtigt, dass sich der von der Bekl. begangene Verstoß nicht als besonders schwerwiegend darstellt, insb. keinerlei Anhaltspunkte für ein systematisches Vorgehen oder gar eine Schädigungs- oder Bereicherungsabsicht erkennen lassen. Andererseits sieht das Gesetz einen Ausschluss vermeintlicher Bagatellschäden nicht vor. Vielmehr ist der Schadensbegriff der DS-GVO weit auszulegen und, da es sich um einen europarechtlichen Anspruch handelt, nicht mit den bisher in Deutschland üblichen Beträgen für einen immateriellen Schadensersatz zu vergleichen. Um die geforderte Abschreckung zu erreichen, muss der zuzusprechende Schadensersatz über einen rein symbolischen Betrag hinaus gehen. Unter Berücksichtigung all dessen erachtet das Gericht einen Betrag iHv 1.500 EUR für insgesamt angemessen. Eine Weitergabe von Daten an ihren Prozessbevollmächtigten läge in ihrem anerkennungswerten berechtigten Interesse, Art. 6 Abs. 1 S. 1 lit. f DS-GVO. |
AG Pfaffenhofen Urt. v. 9.9.2021 – 2 C 133/21 = MMR 2021, 1005 | 300 EUR Die Bekl. hat die E-Mail-Adresse des Kl. ohne Rechtfertigung iSd Art. 6 DS-GVO verarbeitet und dem Kl. verspätet bzw. zunächst nicht vollständig Auskunft erteilt. Eine entsprechende Rechtsgrundlage wurde nicht dargelegt. Es lagen zudem Verstöße gegen Art. 14, 15 DS-GVO vor. Es kann dahinstehen, ob eine Haftung gem. Art. 82 DS-GVO von vornherein als verschuldensunabhängig zu sehen ist oder von einer Verschuldensvermutung oder Beweislastumkehr auszugehen ist. Der Verstoß muss kausal zu einem Schaden geführt haben. Eine „Erheblichkeitsschwelle“ ist in der DS-GVO nicht erkennbar und für einen weiten Schadensbegriff spricht auch die Zielsetzung der DS-GVO. Die Schwere des immateriellen Schadens wirkt sich nur noch bei der Höhe des Anspruchs aus. Der Schaden kann auch bereits etwa in dem unguten Gefühl liegen, dass personenbezogene Daten Unbefugten bekannt geworden sind, insb. wenn nicht ausgeschlossen ist, dass die Daten unbefugt weiterverwendet werden, auch bereits in der Ungewissheit, ob personenbezogene Daten an Unbefugte gelangt sind. Unbefugte Datenverarbeitungen können zu einem Gefühl des Beobachtetwerdens und der Hilfslosigkeit führen, was die betroffenen Personen letztlich zu einem reinen Objekt der Datenverarbeitung degradiert. Den Kontrollverlust nennt Erwägungsgrund 75 DS-GVO ausdrücklich als „insbesondere“ zu erwartenden Schaden. Desweiteren kommen etwa Ängste, Stress, Komfort- und Zeiteinbußen in Betracht. Die erkennbaren Auswirkungen liegen darin, dass sich der Kl. mit der Abwehr der von ihm unerwünschten Werbung und der Herkunft der Daten auseinandersetzen musste. Dies ist geeignet, zu einem durchaus belastenden Eindruck des Kontrollverlusts zu führen, zumal dies auch die Auseinandersetzung mit dem Verstoß und auch die Abwehr ggf. drohender anderweitiger Verstöße erschwert. Die Höhe des Anspruchs ist auf der Grundlage der inhaltlichen Schwere und Dauer der Rechtsverletzung zu beurteilen, unter Berücksichtigung des Kontexts, der Umstände eines Verstoßes. Genugtuungs- und Vorbeugungsfunktion können bei der Bezifferung eine Rolle spielen. Die zögerlich gegebene Information muss im Interesse einer effektiven Abschreckung als schmerzensgelderhöhend berücksichtigt werden. |
AG Hamburg-Bergedorf Urt. v. 7.12.2020 – 410 d C 197/20 = ZD 2021, 587 | 0 EUR Der Versand einer E-Mail an einen gewerblichen Empfänger begründet keinen DS-GVO-Schadensersatzanspruch. Der Verstoß gegen Art. 6 Abs. 1 DS-GVO allein ist nicht ausreichend. Es muss eine objektiv benennbare Beeinträchtigung des Geschädigten vorliegen, die über den bloßen Ärger oder die individuell empfundene Unannehmlichkeit des Verstoßes hinausgeht. |
AG Frankfurt/M. Urt. v. 16.10.2020 – 30 C 2705/19 (47) | 0 EUR Unabhängig von der Frage, ob überhaupt ein Verstoß gegen die DS-GVO erfolgte und die Datenverarbeitung rechtswidrig iSd Art. 5 f. DS-GVO erfolgte, ist weder ein materieller, noch ein immaterieller Schaden bei dem Kl. erkennbar. Ein immaterieller Schaden besteht nicht alleine durch die Weitergabe der Information über den Kl., dass und welche Trainervergütung er innerhalb des Vereins erhält. An einer erkennbaren Persönlichkeitsverletzung, die zu einem immateriellen Schadensersatzanspruch führen könnte, fehlt es hier. Mit der Einführung von Art. 82 Abs. 1 DS-GVO kann eine betroffene Person für jede Verletzung der DS-GVO durch Verarbeitung ihrer personenbezogenen Daten auch ein angemessenes Schmerzensgeld verlangen. Insb. bei der Zugänglichmachung von Daten einer betroffenen Person für Dritte ohne ihr Einverständnis muss ein Schadensersatzanspruch einen immateriellen Schaden abdecken. Ein irgendwie gearteter (immaterieller) Schaden ist jedoch Voraussetzung für einen Schadensersatzanspruch. Schadensersatzpflichten könnten Schutzvorschriften der DS-GVO auch auf praktischer Ebene durchsetzen, was grds. für ein weites Verständnis des immateriellen Schadensersatzanspruchs nach Art. 82 Abs. 1 der DS-GVO sprechen würde. Auch bedarf es entsprechend des Wortlauts von Art. 82 Abs. 1 DS-GVO keiner schwerwiegenden Persönlichkeitsrechtsverletzung mehr für ein Entstehen eines Schadensersatzanspruchs. Dafür spreche Erwägungsgrund 146 DS-GVO. Der Verpflichtung zum Ausgleich eines immateriellen Schadens muss eine benennbare und tatsächliche Persönlichkeitsverletzung gegenüberstehen. Diese Persönlichkeitsrechtsverletzung kann insb. in einer „Bloßstellung“ liegen. Ein irgendwie gearteter Schaden muss einer Ersatzpflicht vorausgehen, immaterielle Bagatellschäden sind nicht ersatzfähig. Soweit die Schwelle von bloßer Unannehmlichkeit zu ernsthafter Beeinträchtigung nicht überwunden ist, besteht keine Ersatzpflicht für den Datenverarbeiter. Ein immaterieller Schaden kann insb. in einer „öffentliche Bloßstellung“ liegen, die dann durch den Schadensersatzanspruch kompensiert werden kann. Die entfernte Möglichkeit einer Rufschädigung genügt den Substantiierungsanforderungen iRv Art. 82 Abs. 1 DS-GVO nicht. |
AG Hildesheim Urt. v. 5.10.2020 – 43 C 145/19 = ZD 2021, 384 | 800 EUR Die Zugänglichmachung von personenbezogenen Daten auf einem retournierten PC an einen Dritten rechtfertigt nach Art. 82 Abs. 1 DS-GVO ein Schmerzensgeld, wenn keine Einwilligung der betroffenen Person vorliegt. Der Begriff des immateriellen Schadens ist im Zusammenhang mit der Verletzung der DS-GVO weit auszulegen, um dem europäischen Recht (effet utile) und den Zielen der DS-GVO zur Wirkung zu verhelfen. Immaterielle Schadensersatzansprüche haben einen abschreckenden Charakter und sollen der DS-GVO zu einer effektiven Geltung verhelfen. Das Gericht berücksichtigt die Ausgleichs- und Genugtuungsfunktion des Schmerzensgelds. |
AG Hamburg-Barmbek Urt. v. 18.8.2020 – 816 C 33/20 | 0 EUR Die betroffene Person muss die Datenschutzverletzung nach Art. 82 Abs. 1 DS-GVO darlegen und erläutern, worin die Beeinträchtigung liegt. Werden nach einer Datenschutzverletzung personenbezogene Daten wie Name, Anschrift, Geburtsdatum und Kreditkartennummer im Internet veröffentlicht, begründet dies allein noch keinen Schadensersatzanspruch. |
AG Frankfurt/M. Urt. v. 10.7.2020 – 385 C 155/19 (70) = ZD 2021, 47 | 0 EUR Für einen DS-GVO-Schadensersatzanspruch bedarf es einer ernsthaften Beeinträchtigung. Eine individuell empfundene Unannehmlichkeit oder ein Bagatellverstoß ohne ernsthafte Beeinträchtigung für das Selbstbild oder Ansehen einer Person reicht dafür nicht aus. |
AG Pforzheim Urt. v. 25.3.2020 – 13 C 160/19 = ZD 2021, 50 | 4.000 EUR Gibt ein Psychotherapeut die Gesundheitsdaten über den Ehemann seiner Patientin iRe familienrechtlichen Auseinandersetzung unerlaubt an deren Verfahrensbevollmächtigten weiter, liegt ein Verstoß gegen Art. 9 DS-GVO vor. Dies berechtigt die betroffene Person zu einem angemessenen Schmerzensgeld nach Art. 82 Abs. 1 DS-GVO. Der Betrag von 4.000 EUR sei ausreichend, aber auch erforderlich, um eine Abschreckungswirkung zu erzielen und der betroffenen Person zugleich Genugtuung für das erlittene Unrecht zu gewährleisten. |
AG Hannover Urt. v. 9.3.2020 – 531 C 10952/19 = ZD 2021, 176 (Ls.) | 0 EUR Nicht jede Datenschutzrechtsverletzung ist ein ersatzfähiger Schaden. Für einen Bagatellverstoß ohne ernsthafte Beeinträchtigung bzw. für jede bloß individuell empfundene Unannehmlichkeit ist kein Schmerzensgeld iSd Art. 82 Abs. 1 DS-GVO zu gewähren. Der betroffenen Person muss ein spürbarer Nachteil entstanden sein und es muss sich um eine objektiv nachvollziehbare, mit gewissem Gewicht erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen handeln. Eine schwere Verletzung des Persönlichkeitsrechts ist nicht erforderlich. |
AG Brake Urt. v. 19.12.2019 – 3 C 153/19 | 0 EUR Ein Anspruch auf Schadensersatz nach Art. 82 Abs. 1 DS-GVO setzt voraus, dass wegen eines Verstoßes gegen die DS-GVO ein materieller oder immaterieller Schaden entstanden ist. Ein bloßer Verstoß gegen die DS-GVO, ohne dass eine Schadensfolge eintritt, führt nicht zu einer Haftung. Zwar ist eine schwere Verletzung des Persönlichkeitsrechts nicht (mehr) erforderlich; es muss aber dem Betroffenen ein spürbarer Nachteil entstanden sein und es muss um eine objektiv nachvollziehbare, mit gewissem Gewicht erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen gehen. Der Kl. hat nicht dargelegt, dass ihm ein solcher immaterieller Schaden entstanden ist. Er hat lediglich ausgeführt, dass das Verhalten der Bekl. für ihn eine Rufschädigung darstelle und er von dem negativen Ansehen betroffen sei, dass die anderen Teilhaber durch die offene Darstellung seiner – gar nicht vorhandenen – Rückstandsbeträge von ihm gewonnen haben dürften und dass Nachbarn und Mitbewohner sowie darüber hinaus plakativ und falsch damit konfrontiert würden. Es kann dahinstehen, ob die Auflistung des Kl. in der Saldoliste überhaupt geeignet war, den Ruf des Kl. zu schädigen. Es mag schließlich valide Gründe für einen Beitragsrückstand geben. Jedenfalls aber hat der Kl. nicht dargelegt, dass sein Ruf durch die Aufführung in der Saldoliste tatsächlich geschädigt worden ist und er hierdurch Nachteile erlitten hat. |
AG Goslar Urt. v. 27.9.2019 – 28 C 7/19 | 0 EUR Der Versand einer einzigen E-Mail an eine berufliche E-Mail-Adresse ohne vorherige Einwilligung, die nicht zur Unzeit versandt wurde und die auf Grund ihres äußeren Erscheinungsbilds deutlich gezeigt habt, dass es sich um Werbung handelt und die ein längeres Befassen mir ihr nicht notwendig gemacht habt, begründet keinen Schaden nach der DS-GVO. Die Verletzung des allgemeinen Persönlichkeitsrechts führt nur dann zu einem Anspruch auf Geldentschädigung, wenn es sich um einen schwerwiegenden Eingriff handelt und die Beeinträchtigung nicht in anderer Weise befriedigend ausgeglichen werden kann. Ob eine schwere Persönlichkeitsverletzung vorliegt, bemisst sich an objektiven Kriterien und nicht an der subjektiven Empfindlichkeit und hängt insb. von der Bedeutung und Tragweite des Eingriffs, Anlass und Beweggrund des Handelnden sowie von dem Grad seines Verschuldens ab. Der Schadensbegriff wird im Zweifel weit ausgelegt; gleichwohl muss er „erlitten“ sein. |
AG Bochum Beschl. v. 11.3.2019 – 65 C 485/18 | 0 EUR Ein Anspruch aus Art. 82 DS-GVO wurde iErg nicht schlüssig dargelegt. |
AG Diez Urt. v. 7.11.2018 – 8 C 130/18 = ZD 2019, 85 | 0 EUR Der Verstoß gegen die DS-GVO alleine führt nicht direkt zum Schadensersatz. Eine schwere Verletzung des Persönlichkeitsrechts ist nicht erforderlich. Für einen Bagatellverstoß ohne ernsthafte Beeinträchtigung bzw. für jede bloß individuell empfundene Unannehmlichkeit ist kein Schmerzensgeld zu gewähren; dem Betroffenen muss ein spürbarer Nachteil entstanden sein und es muss um eine objektiv nachvollziehbare, mit gewissem Gewicht erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen gehen. Das Gericht sah hier den Schmerzensgeldanspruch mit dem bereits anerkannten Betrag iHv 50 EUR als abgegolten an. |
Verwaltungsgerichte | |
VG Weimar Urt. v. 13.4.2022 – 3 K 1832/20 We | 0 EUR Das Gericht ist der Auffassung, dass sich der in Art. 80 Abs. 1 DS-GVO letzter Halbsatz vorgesehene Vorbehalt nationalen Rechts nur auf die vertretungsweise Geltendmachung von Schadensersatz nach Art. 82 DS-GVO bezieht. |
Finanzgerichte | |
BFH Beschl. v. 28.6.2022 – II B 92/21 = ZD 2022, 574 mAnm Filusch/Fünfstück/Henrich | 0 EUR Für die Geltendmachung von Schadensersatzansprüchen gegen Finanzbehörden wegen behaupteter Verstöße gegen die DS-GVO ist der Finanzrechtsweg gegeben. Einfachgesetzlich ist der Finanzrechtsweg für den Schadensersatzanspruch aus Art. 82 DS-GVO gem. § 33 Abs. 1 Ziff. 4 FGO iVm § 32 i Abs. 2 S. 1 AO eröffnet. Eine Klage auf Schadensersatz nach Art. 82 Abs. 1 DS-GVO ist eine Klage „hinsichtlich der Verarbeitung personenbezogener Daten … wegen eines Verstoßes gegen datenschutzrechtliche Bestimmungen im Anwendungsbereich der [DS-GVO]“ iSd § 32 i Abs. 2 S. 1 Alt. 1 AO. Die Wendungen in Art. 82 Abs. 1 DS-GVO einerseits („Verstoß gegen diese Verordnung“) und in § 32 i Abs. 2 S. 1 Alt. 1 AO andererseits („Verstoß gegen datenschutzrechtliche Bestimmungen im Anwendungsbereich der DS-GVO“) sind gleichbedeutend, denn die DS-GVO enthält nur datenschutzrechtliche Bestimmungen. Die Schadensersatzklage ist auch eine Klage „hinsichtlich der Verarbeitung personenbezogener Daten …“, wie es der erste Satzteil des § 32 i Abs. 2 S. 1 Alt. 1 AO erfordert. Ein Verstoß gegen die DS-GVO, wie ihn Art. 82 DS-GVO verlangt, ist deshalb ohne Verarbeitung nicht denkbar. Aus § 40 Abs. 2 S. 1 VwGO, der für Schadensersatzansprüche aus der Verletzung öffentlich-rechtlicher Pflichten, die nicht auf einem öffentlich-rechtlichen Vertrag beruhen, den ordentlichen Rechtsweg vorsieht, folgt einfachgesetzlich schon deshalb nichts Gegenteiliges, weil § 32 i Abs. 2 AO nur als lex specialis zu dieser Vorschrift verstanden werden kann. Auch aus verfassungsrechtlichen Gründen ergibt sich keine Zuständigkeit der ordentlichen Gerichte für den streitigen Schadensersatzanspruch. Es handelt sich nicht um einen Amtshaftungsanspruch iSd Art. 34 S.1 GG. Der Anspruch aus Art. 82 Abs. 1 DS-GVO ist auch dann, wenn er sich gegen eine Behörde richtet, kein Anspruch aus der Verletzung von Amtspflichten iSd Art. 34 S. 1 GG, da es sich nicht um eine auf die Behörde übergeleitete Haftung des Amtsträgers, sondern um eine originäre Haftung der Behörde handelt. Der Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO richtet sich gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Sowohl der Begriff des Verantwortlichen als auch der des Auftragsverarbeiters ist institutionell zu verstehen. Soweit in einer Behörde Daten verarbeitet werden, ist damit nicht der jeweilige Amtsträger persönlich Verantwortlicher iSd DS-GVO und folglich auch nicht Adressat des Anspruchs. Der Anspruch richtet sich vielmehr unmittelbar gegen den Staat bzw. eine seiner Institutionen. Damit handelt es sich um einen ggü. den in Art. 34 GG erfassten Amtshaftungsansprüchen grundlegend anders gearteten Anspruch. Der Schadensersatzanspruch nach der DS-GVO kann in Anspruchskonkurrenz neben einen Amtshaftungsanspruch aus § 839 BGB iVm Art. 34 GG treten. Davon geht die DS-GVO ausweislich Erwägungsgrund 146 S. 4 DS-GVO selbst aus. Das entspricht dem Grundsatz, dass auch sonst zwischen einem Amtshaftungsanspruch und einem auf demselben Tatsachenkomplex beruhenden Entschädigungsanspruch Anspruchskonkurrenz bestehen kann. Soweit das LSG Hessen in seinem Beschl. v. 26.1.2022 (ZD 2022, 573) in dem Anspruch aus Art. 82 Abs. 1 DS-GVO einen Amtshaftungsanspruch sieht, für den die Rechtswegzuweisung des Art. 34 S. 3 GG der spezialgesetzlichen Zuweisung der DS-GVO-Sachen zur Sozialgerichtsbarkeit gem. § 81 b Abs. 1 SGB X, einer mit § 32 i Abs. 2 S. 1 AO weitgehend wortgleichen Vorschrift, vorgehe, teilt der Senat diese Auffassung nicht. Das LSG Hessen geht davon aus, Art. 34 S. 3 GG umfasse (jegliche) Schadensersatzrechtliche Haftungsregelungen des Staates, wenn hoheitliches Handeln eines seiner Amtswalter rechtswidrig einen kompensationsfähigen Schaden verursacht habe (Rn. 23). Der Senat erachtet dieses Verständnis sowohl angesichts des Wortlauts des Art. 34 S. 3 GG als auch angesichts des Urteils des BverfG in BverfGE 61, 149 für zu weitgehend. Es ist zwar zutreffend, dass Art. 34 GG für sich genommen kein Verschuldenserfordernis kennt, worauf das LSG Hessen abstellt. Damit allein wird die Amtspflicht jedoch nicht definiert. Die vom LSG Hessen in diesem Zusammenhang zitierten Literaturauffassungen gehen in Übereinstimmung mit dem BverfG davon aus, dass die Staatshaftung nach aktueller Rechtslage lediglich durch Überleitung der Eigenhaftung des Amtsträgers auf den Staat entsteht. Eine Vorlage des Rechtsstreits an den EuGH nach Art. 267 AEUV ist nicht veranlasst. Es ist nicht im Ansatz erkennbar, warum Art. 82 DS-GVO einer nationalen Regelung entgegenstehen könnte, die den Schadensersatzanspruch ebenso wie andere datenschutzrechtliche Ansprüche der Finanzgerichtsbarkeit zuweist. Ob umgekehrt unionsrechtliche Bedenken bestünden und deshalb ggf. eine Vorlage angezeigt wäre, wenn das nationale Recht die allgemeinen datenschutzrechtlichen Ansprüche einerseits und den Schadensersatzanspruch andererseits unterschiedlichen Gerichten zuwiese, muss nicht mehr entschieden werden. |
BFH Beschl. v. 28.6.2022 – II B 93/21 | 0 EUR Inhaltsgleich mit BFH Beschl. v. 28.6.2022 – II B 92/21 = ZD 2022, 574 mAnm Filusch/Fünfstück/Henrich |
FG Berlin-Brandenburg Beschl. v. 27.10.2021 – 16 K 16155/21 = ZD 2022, 172 | 0 EUR Art. 82 Abs. 1 DS-GVO ist, soweit er sich gegen staatliche Stellen richtet, entsprechend der verfahrensrechtlichen Regelungen des jeweiligen Mitgliedstaats zur Durchsetzung von Ansprüchen bei Amtspflichtverletzungen geltend zu machen, in Deutschland mithin vor den ordentlichen Gerichten. Die Auslegung des Art. 79 Abs. 2 DS-GVO, auf den Art. 82 Abs. 6 DS-GVO verweist, iSe internationalen Zuständigkeitsregelung ist vorzugswürdig. Für dieses Ergebnis spricht Erwägungsgrund 145 DS-GVO, wonach es bei Verfahren gegen Verantwortliche oder Auftragsverarbeiter dem Kl. überlassen bleiben soll, ob er die Gerichte des Mitgliedstaats anruft, in dem der Verantwortliche oder der Auftragsverarbeiter eine Niederlassung hat, oder des Mitgliedstaats, in dem die betroffene Person ihren Aufenthaltsort hat. Es sind mithin grenzüberschreitende Sachverhalte angesprochen. Außerdem ergibt sich aus Erwägungsgrund 147 DS-GVO, dass die spezifischen Vorschriften der DS-GVO über die Gerichtsbarkeit – insb. in Bezug auf Verfahren im Hinblick auf einen gerichtlichen Rechtsbehelf einschließlich Schadensersatz gegen einen Verantwortlichen oder Auftragsverarbeiter – Geltung beanspruchen. Damit ist das Verhältnis der DS-GVO zu den zentralen Vorschriften des unionsrechtlichen (Zivil-)Prozessrechts angesprochen. Nicht zuletzt wird diese Auslegung dadurch gestützt, dass dem Europäischen Parlament und dem Rat der Europäischen Union für die verfahrensrechtliche Durchsetzung von Ansprüchen innerhalb der Mitgliedstaaten schon keine Regelungskompetenz zukommt. Eine solche Kompetenz ergibt sich weder aus Art. 16 AEUV, auf den die DS-GVO maßgeblich gestützt wird, noch aus anderer ausdrücklicher Ermächtigung oder Annexkompetenz. |
FG Baden-Württemberg Urt. v. 18.10.2021 – 10 K 759/21 = ZD 2022, 308 (Ls.) | 0 EUR Gem. Art. 82 Abs. 6, Art. 79 Abs. 2 DS-GVO iVm § 32 i Abs. 2 AO ist für Klagen der betroffenen Personen hinsichtlich der Verarbeitung personenbezogener Daten gegen Finanzbehörden oder gegen deren Auftragsverarbeiter wegen eines Verstoßes gegen datenschutzrechtliche Bestimmungen im Anwendungsbereich der DS-GVO oder der darin enthaltenen Rechte der betroffenen Personen der Finanzrechtsweg gegeben. Der Nachweis einer Pflichtverletzung durch den Bekl. sowie der Eintritt eines Schadens beim Kl. ist nicht gelungen. Daher kommt ein Anspruch auf Schadensersatz weder nach Art. 82 Abs. 1 DS-GVO noch nach anderen Anspruchsgrundlagen in Betracht. Jeder Verantwortliche oder Auftragsverarbeiter wird von der Haftung befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist (Art. 82 Abs. 3 DS-GVO). Es ist auch nicht allein auf die Datenverarbeitung abzustellen, sondern auch Vorbereitungsmaßnahmen können einen entsprechenden Anspruch begründen. Danach stellt die Entgegennahme einer Einkommensteuererklärung mit Anlagen und Belegen und deren Sichtung und Verwendung für Zwecke der Einkommensteuerveranlagung eine Verarbeitung personenbezogener Daten durch die Finanzbehörde als Verantwortliche dar, unabhängig davon, ob Teile der eingereichten Unterlagen nach dem Verarbeitungsvorgang zur Rückgabe an den Steuerpflichtigen bestimmt sind. Der Senat konnte sich nicht die volle richterliche Überzeugung davon verschaffen, dass beim Kl. infolge einer Pflichtverletzung des Bekl. ein zu einem Schmerzensgeld führender immaterieller Schaden eingetreten ist. Die Darlegungs- und Beweislast für die haftungsbegründenden Voraussetzungen trägt nach allgemeinen zivilprozessualen Grundsätzen der Anspruchsberechtigte. Eine Beweislastumkehr ist in Art. 82 Abs. 3 DS-GVO ausdrücklich nur bzgl. des Gesichtspunkts des Verschuldens vorgesehen. Dem Verletzten obliegt es daher auch, den Datenschutzverstoß zu beweisen. Selbst wenn man von der Übersendung von Unterlagen an die Zeugin ausgehen würde, wäre beim Kl. kein Schaden entstanden. Nach Erwägungsgrund 146 S. 3 und 6 DS-GVO soll der Begriff des Schadens im Lichte der Rspr. des EuGH weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser VO in vollem Umfang entspricht. Die betroffenen Personen sollen einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten. Die Beweislast auch für diese Voraussetzung obliegt dem Anspruchsberechtigten. Dies entspricht den allgemeinen deliktischen Voraussetzungen. Eine Beweislastumkehr ist der Norm ausdrücklich nur bezüglich des Gesichtspunkts des Verschuldens zu entnehmen. Für den immateriellen Schadensersatz gelten die iRv § 253 BGB entwickelten Grundsätze, die Ermittlung obliegt dem Gericht nach § 287 ZPO. Es können für die Bemessung die Kriterien des Art. 83 Abs. 2 DS-GVO herangezogen werden, zB die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung, die betroffenen Kategorien personenbezogener Daten. Auf die im Beschluss des BverfG v. 14.1.2021 (ZD 2021, 266 mAnm Blasek) aufgeworfene Frage, ob ein Bagatellschaden zu einem nach Art. 82 DS-GVO zu ersetzenden Schadensersatzanspruch führen kann, kommt es im vorliegenden Streitfall nicht an, da nach der Überzeugung des Senats überhaupt kein Schaden eingetreten ist. |
BAG | |
NEU BAG EuGH-Vorlage vom 22.9.2022 – 8 AZR 209/21 (A) | 0 EUR Mit seiner vierten Vorlagefrage möchte der Senat wissen, ob Art. 82 Abs. 1 DS-GVO dahin auszulegen ist, dass Personen ein Recht auf Ersatz des immateriellen Schadens bereits dann haben, wenn ihre personenbezogenen Daten entgegen den Vorgaben der DS-GVO verarbeitet wurden oder ob der Anspruch auf Ersatz des immateriellen Schadens darüber hinaus voraussetzt, dass die betroffene Person einen von ihr erlittenen immateriellen Schaden – von einigem Gewicht – darlegt. Insoweit geht der Senat in Kenntnis des Vorabentscheidungsersuchens des ÖOGH – C-300/21 – und unter Bezugnahme auf sein eigenes Vorabentscheidungsersuchen – C-667/21 – davon aus, dass Art. 82 Abs. 1 DS-GVO ein Recht auf Schadensersatz nur für Personen vorsieht, die selbst wegen der Verletzung einer oder mehrerer Bestimmungen der DS-GVO bei der Verarbeitung „ihrer“ personenbezogenen Daten (vgl. 2. Erwägungsgrund der DS-GVO) in ihren (subjektiven) Rechten verletzt worden, die also selbst Opfer eines Verstoßes bzw. mehrerer Verstöße gegen die DS-GVO geworden sind. Ferner geht der Senat davon aus, dass der Rechtsanspruch auf immateriellen Schadensersatz nach Art. 82 Abs. 1 DS-GVO über eine solche Verletzung der DS-GVO hinaus nicht zusätzlich erfordert, dass die verletzte Person einen (weiteren) von ihr erlittenen immateriellen Schaden darlegt. Sie muss also aus Sicht des Senats keine „Konsequenz oder Folge der Rechtsverletzung von zumindest einigem Gewicht“ dartun. Nach Auffassung des Senats führt demnach bereits der Umstand, dass eine Person infolge der Verletzung einer oder mehrerer Bestimmungen der DS-GVO bei der Verarbeitung „ihrer“ personenbezogenen Daten (vgl. 2. Erwägungsgrund der DS-GVO) in ihren (subjektiven) Rechten verletzt wurde, zu einem auszugleichenden immateriellen Schaden. Insb. kann nach Auffassung des Senats nicht den einzelnen mitgliedstaatlichen Gerichten die Prüfung überlassen bleiben, ob ein – nach den unterschiedlichen innerstaatlichen Regeln – ausgleichsfähiger immaterieller Schaden eingetreten ist. Soweit der EuGH allerdings der Auffassung sein sollte, dass der Umstand, dass eine Person infolge der Verletzung einer oder mehrerer Bestimmungen der DS-GVO bei der Verarbeitung „ihrer“ personenbezogenen Daten (vgl. 2. Erwägungsgrund der DS-GVO) in ihren (subjektiven) Rechten verletzt wurde, nicht ausreicht, sondern dass zusätzlich erforderlich ist, dass die verletzte Person einen (weiteren) von ihr erlittenen immateriellen Schaden – ggf. von einigem Gewicht – darzulegen hat, ist es für die Entscheidung des Senats im Ausgangsverfahren erforderlich zu erfahren, welche Kriterien dafür maßgebend sind. Der Kl. des Ausgangsverfahrens vertritt insoweit die Auffassung, dass die aus seiner Sicht nicht erforderliche Datenverarbeitung in Workday, jedenfalls aber der unrechtmäßige Abfluss seiner Daten und deren Zugänglichkeit innerhalb des Konzerns – auch für unbefugte Dritte – zu einem immateriellen Schaden geführt haben. Es habe zudem die Gefahr der missbräuchlichen Nutzung seiner Daten durch Dritte bestanden, wodurch er als Betroffener in eine Situation der Unsicherheit versetzt worden sei. So sei es angesichts der Möglichkeiten und Zwecke von Workday denkbar, dass seine personenbezogenen Daten zu einem Profiling, dh zu einer Profilerstellung und/oder -nutzung verwendet würden bzw. verwendet worden seien. Da er als Arbeitnehmer nicht habe wissen können, ob und ggf. auf welche Weise und zu welchen Zwecken seine von der Bekl. innerhalb des Konzerns übermittelten Daten von der Bekl. und/oder von Dritten benutzt würden bzw. bereits benutzt worden seien, könne im Hinblick auf derartige Umstände die Darlegungs- und Beweislast nicht ihn, sondern müsse die Bekl. treffen. Im Übrigen reiche bereits allein die Möglichkeit des Missbrauchs seiner Daten zur Begründung eines immateriellen Schadens aus, weil er bereits hierdurch entgegen den Vorgaben des Erwägungsgrundes 85 der DS-GVO die Kontrolle über seine personenbezogenen Daten verloren habe. Darüber hinaus sei zu berücksichtigen, dass die Bekl. entgegen den Vorgaben der DS-GVO und des BDSG kein Löschkonzept für die in Workday verarbeiteten Daten vorhalte. Durch die Verstöße gegen die DS-GVO und das BDSG sowie durch die damit verbundenen Missbrauchsgefahren sei sein Persönlichkeitsrecht in schwerwiegender Art und Weise verletzt worden. Er müsse einen wirksamen Schadensersatz erhalten, wofür auch der Erwägungsgrund 146 der DS-GVO spreche. Erschwerend komme hinzu, dass die Verstöße der Bekl. vorsätzlich, unter bewusster Umgehung von datenschutz- und betriebsverfassungsrechtlichen Vorgaben begangen worden seien. Soweit der EuGH der Auffassung sein sollte, dass die verletzte Person einen (weiteren) von ihr erlittenen immateriellen Schaden darzulegen hat, ist es für die Entscheidung im Ausgangsverfahren insb. erforderlich zu wissen, welche Kriterien nach Art. 82 Abs. 1 DS-GVO für das Vorliegen eines Schadens, die Kausalität und für die Darlegungs- und Beweislast maßgebend sind. So könnte sich im weiteren Verfahren die Frage stellen, ob bereits in dem Umstand, dass die personenbezogenen Daten des Kl. entgegen den Vorgaben der DS-GVO für eine Profilerstellung und/oder -nutzung iSv Art. 4 Ziff. 4 DS-GVO verwendet wurden, ein (weiterer) Schaden von einigem Gewicht läge oder ob ein solcher (weiterer Schaden) nur dann angenommen werden könnte, wenn ein solches Profil eine negative Wirkung für den Kl. hätte, indem er bspw. in einem Bewerbungsverfahren „wegen“ des Profils erfolglos geblieben wäre. Damit im Zusammenhang steht die Frage, wer – angesichts der tatsächlichen Schwierigkeiten der Beschäftigten, substantiiert einen (weiteren) Schaden darzulegen – für welche Umstände die Darlegungs- und Beweislast hat und wie dieser Darlegungs- und Beweislast im Einzelnen genügt werden kann. Mit seiner fünften Vorlagefrage, die der vierten Vorlagefrage im Vorabentscheidungsersuchen – C-667/21 – des Senats entspricht, möchte der Senat wissen, ob Art. 82 Abs. 1 DS-GVO neben seiner Ausgleichsfunktion auch spezial- bzw. generalpräventiven Charakter hat und ob der Senat dies bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DS-GVO zulasten des Verantwortlichen (bzw. Auftragsverarbeiters) zu berücksichtigen hat. Nach dem 146. Erwägungsgrund der DS-GVO sollen die betroffenen Personen einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten. Dabei geht der Senat davon aus, dass bei der Bemessung des immateriellen Schadensersatzes durch das Gericht alle Umstände des Einzelfalls zu berücksichtigen sind und dass ein tatsächlicher und wirksamer rechtlicher Schutz der aus der DS-GVO hergeleiteten Rechte gewährleistet werden soll. Deshalb könnte es darauf ankommen, dass – wie in anderen Bereichen des Unionsrechts – die Höhe eines immateriellen Schadensersatzes der Schwere des mit ihm geahndeten Verstoßes gegen die DS-GVO entspricht, wobei vermutlich eine wirklich abschreckende Wirkung – ggf. mit spezial- bzw. generalpräventivem Charakter – zu gewährleisten, zugleich aber der allgemeine Grundsatz der Verhältnismäßigkeit zu wahren wäre. Neben dem damit ua angesprochenen Grundsatz der Effektivität könnte bei der Höhe eines immateriellen Schadensersatzes zudem der Grundsatz der Äquivalenz zu berücksichtigen sein. Dabei geht der Senat zwar davon aus, dass Art. 82 DS-GVO keine Verweisung auf das Recht der Mitgliedstaaten der EU enthält und in der gesamten Union eine autonome und einheitliche Auslegung erfahren muss. Gleichwohl könnten angesichts womöglich in der Praxis unterschiedlich hoher Entschädigungsbeträge in den Mitgliedstaaten in vergleichbaren Fällen bei der Höhe eines immateriellen Schadensersatzes Gesichtspunkte der Äquivalenz zu berücksichtigen sein. Mit seiner sechsten Vorlagefrage, die der fünften Vorlagefrage im Vorabentscheidungsersuchen – C-667/21 – des Senats entspricht, möchte der Senat wissen, ob es bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DS-GVO auf den Grad des Verschuldens des Verantwortlichen (bzw. Auftragsverarbeiters) ankommt. In diesem Zusammenhang ist insb. fraglich, ob ein nicht vorliegendes oder geringes Verschulden auf Seiten des Verantwortlichen (bzw. Auftragsverarbeiters) zu dessen Gunsten berücksichtigt werden darf. Diese Frage stellt sich für den Senat insb. vor dem Hintergrund des deutschen Zivilrechts, in dem es neben verschuldensunabhängigen Haftungstatbeständen auch verschuldensabhängige gibt, wobei das Verschulden im nationalen allgemeinen Schuldrecht mit „Vertretenmüssen“ bezeichnet wird. Insoweit ist in § 276 Abs. 1 S. 1 BGB geregelt, dass der Schuldner in der Regel Vorsatz und Fahrlässigkeit zu vertreten hat, wenn nicht eine strengere oder mildere Haftung bestimmt ist. Würde für Art. 82 Abs. 1 DS-GVO ähnliches gelten, müsste für eine Haftung zu dem bloßen Verstoß gegen die DS-GVO etwas Weiteres hinzutreten, nämlich die subjektive Vorwerfbarkeit wegen Vorsatz oder Fahrlässigkeit. Der Senat nimmt allerdings an, dass die Haftung des Verantwortlichen (bzw. Auftragsverarbeiters) nach Art. 82 Abs. 1 DS-GVO verschuldensunabhängig ist, also diese Bestimmung die Haftung des Urhebers eines Verstoßes keineswegs vom Vorliegen oder dem Nachweis eines Verschuldens abhängig macht. Wie ausgeführt, geht der Senat davon aus, dass bereits die Verletzung der DS-GVO als solche für einen Anspruch nach Art. 82 Abs. 1 DS-GVO ausreicht. Schließlich ist der Senat der Auffassung, dass sich insoweit aus Art. 82 Abs. 3 DS-GVO nichts Abweichendes ergibt. Die darin enthaltene Bestimmung, wonach bei Nachweis der Nichtverantwortlichkeit für den Umstand, durch den der Schaden eingetreten ist, eine Befreiung von der Haftung eintritt, betrifft nach Auffassung des Senats nicht das Verschulden im Sinne eines „Vertretenmüssens“. Art. 82 Abs. 3 DS-GVO betrifft vielmehr lediglich die Frage nach einer „Beteiligung“ (iSv.: „beteiligt“ oder „nicht beteiligt“) – etwa in von außen schwer durchschaubaren Datenverarbeitungszusammenhängen mit mehreren potentiellen Beteiligten – bzw. die Frage nach der Urheberschaft iSd Kausalität. Letzteres kann bspw. anzunehmen sein, wenn der haftungsbegründende Umstand auf einem unzulässigen Zugriff eines Dritten beruht, der trotz aller gebotenen Sicherheitsmaßnahmen Erfolg hatte. |
BAG Urt. v. 5.5.2022 – 2 AZR 363/21 = ZD 2022, 699 | 1.000 EUR Das LAG Hamm hat der Kl. zu Recht keinen über 1.000 EUR hinausgehenden Schadensersatz nach Art. 82 DS-GVO zugesprochen. Die Würdigung des LAG, die gem. § 287 Abs. 1 S. 1 ZPO festzusetzende Höhe des der Kl. nach Art. 82 Abs. 1 DS-GVO gegen die Bekl. zustehenden Schadensersatzanspruchs betrage unter Berücksichtigung und Abwägung aller Umstände des Einzelfalls nicht mehr als 1.000 EUR, hält einer revisionsrechtlichen Überprüfung stand. Zu Gunsten der Kl. kann unterstellt werden, dass ihr ein Anspruch auf Zahlung immateriellen Schadensersatzes gem. Art. 82 Abs. 1 DS-GVO wegen eines Verstoßes der Bekl. gegen ihre Verpflichtungen aus Art. 15 Abs. 1 DS-GVO zusteht und der Anspruch nicht nach der vertraglichen Ausschlussfrist verfallen ist. Da sich die Bekl. gegen ihre Verurteilung nicht mit einem eigenen Rechtsmittel gewandt hat, ist die Entscheidung des LAG insoweit mit dem Ablauf der Frist für eine mögliche Anschlussrevision rechtskräftig geworden. Es bedarf daher keiner Entscheidung, ob allein eine nicht vollständige Erfüllung des Auskunftsanspruchs gem. Art. 15 Abs. 1 DS-GVO einen immateriellen Schaden iSv Art. 82 Abs. 1 DS-GVO begründen kann. Zweifel daran könnten sich ergeben, weil der Erwägungsgrund 146 S. 1 DS-GVO nur von solchen Schäden spricht, „die einer Person auf Grund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht“. Die Nichterfüllung oder nicht vollständige Erfüllung des Auskunftsanspruchs nach Art. 15 Abs. 1 DS-GVO muss danach für sich genommen nicht gleichbedeutend sein mit einer verordnungswidrigen „Verarbeitung“. Ebenso kann zu Gunsten der Kl. unterstellt werden, dass ein Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO keinen in bestimmter Weise qualifizierten Verstoß gegen die DS-GVO, also kein Überschreiten einer gewissen Erheblichkeitsschwelle, voraussetzt. Das LAG hat zu Recht angenommen, dass es bei der Bestimmung der von der Kl. in sein Ermessen gestellten Höhe des Schadensersatzes gem. § 287 Abs. 1 S. 1 ZPO alle Umstände des Einzelfalls würdigen musste. Davon kann der Senat für die Beurteilung der Revision der Kl. ohne ein darauf bezogenes Vorabentscheidungsersuchen an den EuGH nach Art. 267 Abs. 3 AEUV ausgehen. Nach der stRspr des EuGH ist es mangels einschlägiger unionsrechtlicher Vorschriften nach dem Grundsatz der Verfahrensautonomie Sache der innerstaatlichen Rechtsordnung jedes Mitgliedstaats, die Verfahrensmodalitäten für Klagen, die den Schutz der dem Einzelnen aus dem Unionsrecht erwachsenden Rechte gewährleisten sollen, zu regeln, wobei die betreffenden Anforderungen jedoch nicht ungünstiger sein dürfen als diejenigen, die gleichartige, dem innerstaatlichen Recht unterliegende Sachverhalte regeln (Äquivalenzgrundsatz), und die Ausübung der durch das Unionsrecht verliehenen Rechte nicht praktisch unmöglich machen oder übermäßig erschweren dürfen (Effektivitätsgrundsatz). Dies führt im Streitfall mangels einschlägiger unionsrechtlicher Vorschriften zur Anwendbarkeit von § 287 Abs. 1 S. 1 ZPO. Art. 82 DS-GVO regelt selbst keine Verfahrensmodalitäten zur Durchsetzung des Schadensersatzanspruchs. Art. 79 Abs. 1 DS-GVO sieht lediglich vor, dass jede betroffene Person das Recht auf einen wirksamen gerichtlichen Rechtsbehelf hat, wenn sie der Ansicht ist, dass die ihr auf Grund der DS-GVO zustehenden Rechte infolge einer nicht mit ihr im Einklang stehenden Verarbeitung ihrer personenbezogenen Daten verletzt wurden. Dem Äquivalenz- oder Effektivitätsgrundsatz ist durch die Anwendung von § 287 Abs. 1 S. 1 ZPO Rechnung getragen. Die Bestimmung findet im nationalen Recht ebenso bei der Durchsetzung anderer Ansprüche auf immateriellen Schadensersatz Anwendung. Sie ermöglicht überdies in besonderer Weise eine effektive Durchsetzung von Schadensersatzansprüchen, weil sie nach Wahl des Kl. das Beweismaß mindert. Das LAG hat die Höhe des immateriellen Schadensersatzes mit 1.000 EUR nicht ermessensfehlerhaft zu niedrig festgesetzt. Bei der Bemessung der Höhe eines Schadensersatzanspruchs nach § 287 Abs. 1 ZPO steht den Tatsachengerichten ein weiter Ermessensspielraum zu, innerhalb dessen sie die Besonderheiten jedes einzelnen Falles zu berücksichtigen haben. Die Festsetzung unterliegt nur einer eingeschränkten Überprüfung durch das Revisionsgericht. Sie kann von diesem nur darauf überprüft werden, ob die Rechtsnorm zutreffend ausgelegt, ein Ermessen ausgeübt, die Ermessensgrenze nicht überschritten wurde und ob das Berufungsgericht von seinem Ermessen einen fehlerfreien Gebrauch gemacht hat, indem es sich mit allen für die Bemessung der Entschädigung maßgeblichen Umständen ausreichend auseinandergesetzt und nicht von sachfremden Erwägungen hat leiten lassen. Ob die vom Berufungsgericht als „naheliegend“ erachtete Orientierung am Kriterienkatalog in Art. 83 Abs. 2 S. 2 DS-GVO möglich oder sogar geboten ist, kann dahinstehen. Selbst wenn dies nicht der Fall sein sollte, hätte sich das LAG nicht von sachfremden Erwägungen zulasten der Kl. leiten lassen. Es hat zunächst zu Gunsten der Kl. in Rechnung gestellt, dass die Bekl. eine vollständige Auskunft nach Art. 15 Abs. 1 DS-GVO bis zuletzt nicht erteilt und ihre Verpflichtung jedenfalls grob fahrlässig verkannt habe. Selbst wenn das Berufungsgericht einen dieser Gesichtspunkte zu Unrecht in seine Erwägungen eingestellt hätte, wäre die Kl. dadurch nicht beschwert. Das LAG hat ferner ohne Rechtsfehler in seine Würdigung einbezogen, dass die persönliche Betroffenheit der Kl. durch die nicht vollständige Erfüllung ihres Auskunftsanspruchs in Anbetracht des maßgeblichen Anliegens ihres Auskunftsbegehrens „überschaubar“ gewesen sei. Soweit das Berufungsgericht bei der Anspruchsbemessung nicht ausdrücklich problematisiert hat, ob der Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO auch einen präventiven Charakter hat und damit auch eine Abschreckungsfunktion erfüllen muss, ist dies im Ergebnis ebenfalls ohne Rechtsfehler. Zu Gunsten der Kl. kann unterstellt werden, dass dem Anspruch ein solcher Präventionscharakter zukommt. Seine vom Berufungsgericht festgesetzte Höhe hat hinreichend abschreckende Wirkung. Der Betrag von 1.000 EUR ist fühlbar und hat nicht nur symbolischen Charakter. Bloß symbolisch wäre es etwa, die Entschädigung einer Person, die Opfer einer Diskriminierung beim Zugang zur Beschäftigung wurde, auf die Erstattung ihrer Bewerbungskosten zu beschränken. Darüber geht der hier zugesprochene Schadensersatz deutlich hinaus. Ebenfalls eine Präventionsfunktion hat eine wegen einer Verletzung des allgemeinen Persönlichkeitsrechts geschuldete Entschädigung; auch diese kann mit einem Betrag iHv 1.000 EUR ausreichend bemessen sein, wie etwa im Falle einer datenschutzwidrigen Observation mit heimlichen Videoaufnahmen durch einen Detektiv. Der immaterielle Schaden nach Art. 82 Abs. 1 DS-GVO hat – anders als eine Entschädigung nach § 15 Abs. 2 AGG – keinen erkennbaren Bezug zur Höhe eines dem Gläubiger zustehenden Arbeitsentgelts, sodass keine Anhaltspunkte dafür bestehen, dass es sich dabei um ein relevantes Bemessungskriterium für die Höhe des Schadensersatzes handeln könnte. Selbst wenn dies anders zu sehen sein sollte, entspräche der hier festgesetzte Betrag mehr als dem zweifachen der zwischen den Parteien vereinbarten monatlichen Vergütung. Für eine Entschädigung nach § 15 Abs. 2 AGG, die ebenfalls eine Abschreckungsfunktion erfüllen muss, ist bereits ein Betrag in Höhe des 1,5-fachen des auf einer Stelle erzielbaren Entgelts als ausreichend anzusehen, um die notwendige abschreckende Wirkung zu erzielen. Entgegen der Auffassung der Kl. musste das LAG dem Umstand, dass die Bekl. anwaltlich vertreten war, auch unter dem Gesichtspunkt der Prävention keine den Schadensersatzanspruch erhöhende Bedeutung beimessen. Die Abschreckungsfunktion kann sich nur auf die Vermeidung künftiger Verstöße gegen die DS-GVO beziehen, nicht aber darauf, ob sich eine Partei bei der Erfüllung ihrer Verpflichtungen nach der DS-GVO anwaltlich hat vertreten lassen. Die Hinzuziehung eines Rechtsanwalts ist weder allgemein noch nach der DS-GVO verpönt. |
Landesarbeits-gerichte | |
NEU LAG Hamm Urt. v. 2.12.2022 – 19 Sa 756/22 | 0 EUR Der Kl. steht kein Anspruch auf Zahlung eines immateriellen Schadensersatzes gegen die Bekl. aus Art. 82 Abs. 1 DS-GVO zu. Es fehlt an der Darlegung eines immateriellen Schadens. Die Kl. durfte die Höhe des von ihr begehrten immateriellen Schadensersatzes in das Ermessen des Gerichts stellen. Ausreichend ist es, dass sie diejenigen Tatsachen, die dem Gericht eine Schätzung nach § 287 Abs. 1 S. 1 ZPO ermöglichen, dargelegt sowie die Größenordnung der geltend gemachten Forderung angegeben hat. Die Voraussetzungen für den Schadensersatzanspruch hat die Kl. nicht ausreichend dargelegt. Die Bekl. ist Verantwortliche iSd Art. 82 Abs. 1 DS-GVO. Dies trifft auf die Bekl. als Arbeitgeberin der Kl. zu. Es liegt ein Verstoß der Bekl. gegen die Vorgaben der DS-GVO vor. Die Auskunft der Bekl. hinsichtlich der von ihr verarbeiteten und nicht in der Personalakte der Kl. gespeicherten personenbezogenen Leistungs- und Verhaltensdaten nach Art. 15 Abs. 1 DS-GVO erfolgte um drei Wochen verspätet. Angesichts der Monatsfrist des Art. 12 Abs. 3 DS-GVO und der Regelung des § 193 BGB hätte die Bekl. die geforderte Auskunft spätestens am 28.6.2021 erteilen müssen. Die Bekl. hat auch nicht eingewandt, dass ihre Prozessbevollmächtigten hinsichtlich des Auskunftsanspruchs nicht mandatiert gewesen seien. Auf eine Fristverlängerung iSd Art. 12 Abs. 3 DS-GVO hat sich die Bekl. weder berufen noch ist das Vorliegen der Voraussetzungen einer Fristverlängerung erkennbar. Soweit sich die Kl. auf eine unvollständige Auskunft der Bekl. stützt, ist ein solcher Verstoß nicht ersichtlich. Es ist nicht erkennbar, dass die Bekl. im Zusammenhang mit den Vorwürfen einer schlechten Beurteilung auf der Plattform „B“ zwangsläufig personenbezogene Daten der Kl. gespeichert haben muss. Soweit sich die Kl. darüber hinaus auch auf einen Verstoß gegen die Pflicht zur Übermittlung von Kopien nach Art. 15 Abs. 3 S. 1 DS-GVO beruft, liegt ein solcher nicht vor. Es ist nicht erkennbar, dass die Kl. die Bekl. hinreichend konkret zur Übermittlung einer Kopie von personenbezogenen Daten aufgefordert hat. Die rein am Wortlaut des Art. 15 Abs. 3 S. 1 DS-GVO ausgerichteten Aufforderungen im Schreiben vom 26.5.2021 und im Rahmen des vorliegenden Rechtsstreits genügen angesichts der erforderlichen Konkretisierung nicht, um einen Verstoß gegen die Pflicht zur Überlassung von Kopien personenbezogener Daten zu begründen. Offen bleiben kann, ob die Haftung des Verantwortlichen nach Art. 82 Abs. 1 DS-GVO verschuldensunabhängig ist oder ein Verschulden nach Art. 82 Abs. 3 DS-GVO vermutet wird. Die Bekl. hat keinen Vortrag erbracht, der der Annahme eines Verschuldens entgegenstehen könnte. Es fehlt an der Darlegung eines immateriellen Schadens durch die Kl. Die Kl. hat nicht dargelegt, dass ihr auf Grund der um drei Wochen verspäteten Auskunftserteilung ein immaterieller Schaden entstanden ist. Aus Sicht der Kammer genügt allein der bloße Verstoß gegen die Vorgaben der DS-GVO nicht, um einen Schadensersatzanspruch gem. Art. 82 Abs. 1 DS-GVO zu begründen. Es handelt sich nicht um einen von dem Vorliegen eines konkreten Schadens losgelösten „Strafschadensersatz“. Erforderlich ist das Vorliegen eines immateriellen Schadens. Dafür spricht der Wortlaut des Art. 82 Abs. 1 DS-GVO, wonach Personen, denen ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz haben. Die reine Sanktionierung von Verstößen ist davon losgelöst durch die Geldbußen nach Art. 83 DS-GVO und weiteren Sanktionsmöglichkeiten nach Art. 84 DS-GVO geregelt. Zwar soll nach Erwägungsgrund 146 S. 3 DS-GVO der Begriff des Schadens im Lichte der Rspr. des EuGH weit auf eine Art und Weise ausgelegt werden, die den Zielen der DS-GVO in vollem Umfang entspricht. Ein weites Verständnis des Schadensbegriffs bedeutet aber nicht, dass vom Vorliegen eines konkreten Schadens gänzlich abzusehen ist. So beinhaltet Erwägungsgrund 146 S. 6 DS-GVO, dass die betroffenen Personen einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten sollen. Art. 82 Abs. 1 DS-GVO enthält aus Sicht der Kammer auch keine – unwiderlegbare oder widerlegbare – Vermutung dahingehend, dass der mit einem Verstoß gegen die DS-GVO einhergehende Kontrollverlust über die eigenen Daten als solcher stets zu einem ersatzfähigen immateriellen Schaden führt. Die auf Schadensersatz nach Art. 82 Abs. 1 DS-GVO klagende Partei hat einen immateriellen Schaden darzulegen. Zwar enthalten die Erwägungsgründe 75 und 85 DS-GVO die Aussage, eine Verletzung des Schutzes personenbezogener Daten könne einen physischen, materiellen oder immateriellen Schaden für natürliche Personen nach sich ziehen, wenn sie gehindert werden, die sie betreffenden personenbezogenen Daten zu kontrollieren (vgl. Erwägungsgrund 75 und 85 S. 1 DS-GVO). Diese Erwägungsgründe benennen jedoch lediglich eine Möglichkeit und keine zwangsläufige Folge. Im Übrigen verhalten sie sich nicht zur Auslegung der Generalklausel des Art. 82 S. 1 DS-GVO. Der Wortlaut des Art. 82 Abs. 1 DS-GVO beinhaltet keine Vermutungsregel. Auch die Beweisregel des Art. 82 Abs. 3 DS-GVO bezieht sich nicht auf eine Schadensvermutung. Dem Vortrag der Kl. ist die Darlegung eines konkreten immateriellen Schadens nicht zu entnehmen. Sie stellt sich mit Schriftsatz vom 31.5.2022 vielmehr auf den Standpunkt, allein ein Verstoß gegen Vorschriften der DS-GVO begründe einen Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO und bereits der auch in ihrem Fall eingetretene Verlust über die Kontrolle der Daten könne nach den Erwägungsgründen 75 und 85 DS-GVO einen immateriellen Schaden begründen. Vortrag dahingehend, welcher konkrete immaterielle Schaden ihr auf Grund der um drei Wochen verspäteten Auskunftserteilung entstanden ist, ist nicht erfolgt. Ein ausdrücklicher richterlicher Hinweis, dass die Darlegung eines Schadens aus Sicht der Kammer erforderlich ist, war nicht geboten, da die Bekl. bereits mit Schriftsatz vom 29.3.2022 die fehlende Darlegung eines Schadens gerügt hat und die Kammer zudem im Rahmen der mündlichen Verhandlung am 2.12.2022 darauf hingewiesen hat, dass die Frage des Erfordernisses der Darlegung eines konkreten immateriellen Schadens Gegenstand eines Vorabentscheidungsersuchens sei. Angesichts der fehlenden Darlegung eines Schadens kann dahinstehen, ob eine gewisse Erheblichkeitsschwelle überschritten sein muss, um eine Schadensersatzpflicht auszulösen, also Bagatellfälle ausgenommen sind. Gründe für eine Zulassung der Revision bestanden, soweit Ansprüche der Kl. nach der DS-GVO betroffen sind. Insoweit liegt eine grds. Bedeutung iSd § 72 Abs. 2 Ziff. 1 ArbGG vor. Hinsichtlich des Schadensersatzanspruchs nach Art. 82 Abs. 1 DS-GVO war die Revision zudem wegen einer Abweichung iSd § 72 Abs. 2 Ziff.. 2 ArbGG zuzulassen. |
LAG Schleswig-Holstein Beschl. v. 1.6.2022 – 6 Ta 49/22 = ZD 2022, 571 | 2.000 EUR (Hinweis: Es handelt sich um keine Sachentscheidung, sondern um ein PKH-Verfahren) Der Rechtsanspruch auf immateriellen Schadensersatz nach Art. 82 Abs. 1 DS-GVO erfordert über die Verletzung der DS-GVO hinaus nicht zusätzlich, dass die verletzte Person einen (weiteren) von ihr erlittenen Schaden darlegt. Bereits die Verletzung der DS-GVO selbst führt zu einem auszugleichenden immateriellen Schaden. Für dieses Verständnis spricht Erwägungsgrund 146 S. 3 DS-GVO, wonach der Begriff des Schadens im Lichte der Rspr. des EuGH weit und auf eine Weise ausgelegt werden soll, die den Zielen der VO in vollem Umfang entspricht. Die Beschwerdekammer geht iÜ mit dem ArbG davon aus, dass im Streitfall die Grenze einer erheblichen Rechtsverletzung überschritten ist. Nach Erwägungsgrund 146 S. 6 DS-GVO sollen die betroffenen Personen einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten. Bei der Bemessung des immateriellen Schadensersatzes durch das Gericht sind daher alle Umstände des Einzelfalls zu betrachten. Außerdem ist zu berücksichtigen, dass ein tatsächlicher und wirksamer rechtlicher Schutz der aus der DS-GVO hergeleiteten Rechte gewährleistet werden soll. Angesichts dessen geht die Beschwerdekammer davon aus, dass Art. 82 Abs. 1 DS-GVO neben seiner Ausgleichsfunktion auch spezial- bzw. generalpräventiven Charakter hat und dies bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens zu Lasten des Verantwortlichen zu berücksichtigen ist. Verstöße müssen effektiv sanktioniert werden. Der Schadensersatz bei Datenschutzverstößen soll eine abschreckende Wirkung haben, um der DS-GVO zum Durchbruch zu verhelfen (effet utile). Unter Berücksichtigung und Abwägung aller Umstände des Einzelfalls stellt ein Schadensersatz iHv 2.000 EUR die Obergrenze dar. Das ArbG hat zu Recht darauf abgestellt, dass die Beeinträchtigung des Rechts der Kl. am eigenen Bild hier nicht schwerwiegend war, da die Kl. um die streitbefangenen Aufnahmen wusste. Sie hatte an dem Videodreh freiwillig mitgewirkt. Die Kl. hatte sich mit den Aufnahmen einverstanden erklärt, allein nicht in der gebotenen schriftlichen Form und ohne vorherige Unterrichtung über den Verarbeitungszweck und das Widerrufsrecht. Dass die Aufnahmen (Einsteigen ins Auto, im Auto sitzend) die Intimsphäre der Kl. berührt oder sie diskriminiert hätten, ist nicht erkennbar. Das ArbG durfte bei der Bemessung des Schmerzensgelds auch berücksichtigen, dass die Bekl. das Video umgehend aus dem Netz genommen hat, nachdem die Kl. sie aufgefordert hatte, die Nutzung des Videos zu unterlassen. Selbst wenn zu Gunsten der Kl. berücksichtigt wird, dass es sich nicht nur um Fotos, sondern um kommerziell genutzte Bewegtbilder gehandelt hat und ein möglicherweise nur geringes Verschulden nicht zu Gunsten der Bekl. in die Betrachtung eingestellt wird, ist nach den Umständen des Falles kein 2.000 EUR übersteigendes Schmerzensgeld gerechtfertigt. Richtig ist, dass bei der Festlegung der Obergrenze eines im Hauptsacheverfahren etwaig zuzuerkennenden Schmerzensgelds auf eine angemessene Relation der Anspruchshöhe zu in anderen Fällen von Persönlichkeitsrechtsverletzungen ausgeurteilten Entschädigungsbeträgen zu achten ist. |
LAG Hamm Urt. v. 14.12.2021 – 17 Sa 1185/20 = ZD 2022, 295 | 2.000 EUR Anspruchsberechtigter des Art. 82 Abs. 1 DS-GVO ist die betroffene Person iSd Art. 4 Ziff. 1 DS-GVO. Die Haftung des Verantwortlichen nach Art. 82 Abs. 1 DS-GVO ist verschuldensunabhängig, dh Sie setzt nicht das Vorliegen oder den Nachweis eines Verschuldens voraus. Aus Art. 82 Abs. 3 DS-GVO ergibt sich nichts Abweichendes. Die darin enthaltene Bestimmung, wonach bei Nachweis der Nichtverantwortlichkeit für den Umstand, durch den der Schaden eingetreten ist, eine Befreiung von der Haftung eintritt, betrifft nach Auffassung des BAG nicht das Verschulden iSe „Vertretenmüssens“, sondern die Frage nach einer „Beteiligung“ bzw. nach der Urheberschaft iSd Kausalität. Der Rechtsanspruch auf immateriellen Schadensersatz nach Art. 82 Abs. 1 DS-GVO erfordert über eine Verletzung der DS-GVO hinaus nicht zusätzlich, dass die verletzte Person einen (weiteren) von ihr erlittenen immateriellen Schaden darlegt. Sie muss also keine „Konsequenz oder Folge der Rechtsverletzung von zumindest einigem Gewicht“ oder das Überschreiten einer „Erheblichkeitsschwelle“ darlegen. Bereits die Verletzung der DS-GVO selbst führt zu einem auszugleichenden immateriellen Schaden. Für dieses Verständnis spricht Erwägungsgrund 146 S. 3 DS-GVO, wonach der Begriff des Schadens im Lichte der Rspr. des EuGH weit und auf eine Weise ausgelegt werden soll, die den Zielen der VO in vollem Umfang entspricht. Bereits der – auch hier eingetretene – Verlust über die Kontrolle der eigenen personenbezogenen Daten kann nach Erwägungsgrund 75 und 85 DS-GVO einen immateriellen Schaden begründen. Bei diesem Verständnis bleiben die Schwere eines Pflichtenverstoßes und das Ausmaß der damit einhergehenden Beeinträchtigungen auch nicht unberücksichtigt. Sie können effektiv iRd Bemessung der Höhe des Schadensersatzes berücksichtigt werden. Nach Erwägungsgrund 146 S. 6 DS-GVO sollen die betroffenen Personen einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten. Bei der Bemessung des immateriellen Schadensersatzes durch das Gericht sind daher alle Umstände des Einzelfalles zu berücksichtigen. Es soll ein tatsächlicher und wirksamer rechtlicher Schutz, der aus der DS-GVO hergeleiteten Rechte gewährleistet werden. Berücksichtigt werden muss das Verschulden des Verantwortlichen und etwaige Verstöße gegen die DS-GVO. Eine gesamtschuldnerische Haftung kommt nach Art. 82 Abs. 4 DS-GVO nur bei der Beteiligung mehrerer Verantwortlicher an „derselben Verarbeitung“ in Betracht. |
LAG Berlin-Brandenburg Urt. v. 18.11.2021 – 10 Sa 443/21 = ZD 2022, 341 | 2.000 EUR Der Kl. hatte Auskunft nach Art. 15 DS-GVO zu zwei Vorgängen verlangt, die verspätet bzw. gar nicht erteilt wurde. Es besteht unabhängig von dem Erreichen einer Erheblichkeitsschwelle bei Verstößen gegen Regelungen der DS-GVO ein immaterieller Schadensersatzanspruch. Hierbei ist zu berücksichtigen, dass gerade ausgehend von Erwägungsgrund 146 S. 3 DS-GVO eine weite Auslegung geboten ist, um den Zielen der VO in vollem Umfang zu entsprechen. Hiermit wäre es unvereinbar, würde eine Schadensersatzpflicht nur bei erheblichen Rechtsverstößen eintreten, da dann eine Vielzahl von Fallgestaltungen denkbar wäre, in denen Betroffene trotz Verstößen gegen die Regelungen der DS-GVO keine Kompensation erhielten. Ferner kann, um die Regelungen der DS-GVO effektiv durchzusetzen, auch auf eine abschreckende Wirkung des Schadensersatzes abgestellt werden. Zudem sollen die betroffenen Personen nach Erwägungsgrund 146 S. 3 DS-GVO einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten. Dass ein Schaden erlitten ist, ergibt sich nicht erst bei Überschreiten einer gewissen Erheblichkeitsschwelle – der Schwere der Pflichtverstöße und damit einhergehenden Beeinträchtigungen kann vielmehr effektiv auf Ebene der Höhe des Schadensersatzes begegnet werden. Indem die Bekl. ihrer Auskunftsverpflichtung inhaltlich nicht hinreichend nachgekommen ist, hat der Kl. keine ausreichenden Kenntnisse über die Verarbeitung seiner personenbezogenen Daten erlangt. Insofern ist ein Kontrollverlust eingetreten und ihm wurde die Möglichkeit der Überprüfung der Rechtmäßigkeit der Verarbeitung seiner personenbezogenen Daten unmöglich gemacht oder erschwert. Die Kausalität lag vor. Der Anspruch des Kl. ist auch nicht verwirkt oder aus anderem Grunde rechtsmissbräuchlich geltend gemacht worden. Die Schadensersatzansprüche sollen generell eine Abschreckungswirkung haben. Unter Berücksichtigung von Erwägungsgrund 146 S. 6 DS-GVO soll die betroffene Person einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten. Verstöße müssen effektiv sanktioniert werden. Schadensersatz bei Datenschutzverstößen sollen eine abschreckende Wirkung haben, um der DS-GVO zum Durchbruch zu verhelfen. Gemessen an der Zweckrichtung des Schadensersatzes hält die Kammer unter Berücksichtigung und Abwägung der Umstände des vorliegenden Falls einen immateriellen Schadensersatz iHv 1.000 EUR je unvollständig beantwortetem Auskunftsverlangen für angemessen. Durch die unzureichende Auskunft hatte der Kl. keine umfassende Kenntnis über die Verarbeitung seiner personenbezogenen Daten durch die Bekl. bei zwei für ihn nachteiligen Sachverhalten (Versetzung und Abmahnung). Durch einen Schadensersatz von jeweils 1.000 EUR wird ausreichend sichergestellt, dass durch die Zahlung eines spürbaren Betrags Art. 15 DS-GVO zur Geltung verholfen wird und die Verpflichteten angehalten werden, die entsprechenden Maßgaben einzuhalten. |
LAG Niedersachsen Urt. v. 22.10.2021 – 16 Sa 761/20 = ZD 2022, 61 | 1.250 EUR Der Anspruch auf Ersatz immateriellen Schadens nach Art. 82 DS-GVO erfordert nicht das Überschreiten einer Erheblichkeitsschwelle. Vorliegend geht es um die Datenverarbeitung in Bezug auf den Kl. iRd Arbeitsverhältnisses mit der Bekl. und im Zusammenhang mit der sog. „Dieselaffäre“. Der Arbeitgeber ist als Verantwortlicher Verpflichteter iSd Art. 82 Abs. 1 DS-GVO. Ein Verstoß gegen diese VO iSd Art. 82 Abs. 1 DS-GVO ist gegeben. Hierbei ist jeglicher Verstoß gegen eine Vorschrift der DS-GVO einschließlich der Formvorschriften ausreichend. Es kann nicht davon ausgegangen werden, dass ein Rechtsverstoß bei einer Datenverarbeitung vor dem Geltungszeitpunkt der DS-GVO die fortgesetzte Datenverarbeitung „infiziert“ und zu einem Schadensersatzanspruch führt. Die Bekl. hat ihre Pflichten nach Art. 15 Abs. 1 DS-GVO verletzt. Der Auskunftsanspruch nach Art. 15 DS-GVO besteht auch in einem Arbeitsrechtsverhältnis. Die allgemeinen Bestimmungen der DS-GVO enthalten eine Vollregelung, auch zum Beschäftigtendatenschutz. Den Schadensersatzansprüchen soll generell eine Abschreckungswirkung innewohnen. |
LAG Hessen Urt. v. 18.10.2021 – 16 Sa 380/20 | 1.500 EUR Immaterieller Schadensersatz nach Art. 82 Abs. 1 DS-GVO wegen rechtswidriger Detektivüberwachung setzt keine schwerwiegende Persönlichkeitsrechtsverletzung voraus. Einen Ausschluss vermeintlicher Bagatellschäden sieht das Gesetz nicht vor. Gerade bei immateriellen Schäden ist die Rspr. des EuGH zu berücksichtigen, dass der geschuldete Schadensersatz „eine wirklich abschreckende Wirkung“ haben muss. Die bisherige deutsche Rspr., die immateriellen Schadensersatz überhaupt nur bei schwerwiegenden Persönlichkeitsrechtsverletzungen zugesprochen hat, was auch der ausdrücklichen Regelung in § 8 Abs. 2 BDSG aF entspricht, ist nicht mehr anwendbar. Da der Begriff des Schadens in Art. 82 DS-GVO ein europarechtlicher ist, darf nicht auf nationale Erheblichkeitsschwellen oder andere Einschränkungen abgestellt werden. Einen Ausschluss vermeintlicher Bagatellschäden sieht das Gesetz nicht vor. Der Verantwortliche haftet für jede „nicht dieser Verordnung entsprechende Verarbeitung“ (Art. 82 Abs. 2 S. 1 DS-GVO), solange diese kausal für den Schaden ist. Der Begriff der Beteiligung ist weit zu verstehen, sodass insb. die schädigende Handlung nicht von dem in Anspruch genommenen Verantwortlichen ausgegangen sein muss. Die Höhe des Schadensersatzes ergibt sich aus dem Gesichtspunkt der Genugtuung des Opfers sowie der Prävention. |
LAG Rheinland-Pfalz Beschl. v. 22.6.2021 u. 19.11.2021 – 8 Sa 338/20 | 0 EUR Unveröffentlicht. |
LAG Hamm Urt. v. 11.5.2021 – 6 Sa 1260/20 = ZD 2021, 710 (Revision BAG ZD 2022, 699) | 1.000 EUR Die Nichterteilung einer Auskunft nach Art. 15 DS-GVO über sechs Monate begründet einen immateriellen Schadensersatzanspruch nach Art. 82 DS-GVO. Der Auskunftsanspruch besteht auch in einem Arbeitsverhältnis. Weder der DS-GVO noch ihren Erwägungsgründen lässt sich entnehmen, dass der Schadensersatzanspruch einen qualifizierten Verstoß gegen die DS-GVO voraussetzt. Für die Annahme einer Erheblichkeitsschwelle oder die Ausnahme von Bagatellfällen, gibt es keinen Anhaltspunkt. Unter Berücksichtigung von Erwägungsgrund 146 S. 3 DS-GVO soll der Begriff des Schadens im Lichte der Rspr. des EuGH weit und auf eine Weise ausgelegt werden, die den Zielen der VO in vollem Umfang entspricht. Die Schwere des immateriellen Schadens, mithin das Gewicht der Beeinträchtigung, das die Kl. – subjektiv – wegen der bestehenden Unsicherheit und des Kontrollverlustes empfinden mag, ist für die Begründung der Haftung nach Art. 82 Abs. 1 DS-GVO und mithin für die Frage des „Ob“ eines entstandenen Schadens nicht erheblich. Unter Berücksichtigung des Erwägungsgrunds 146 (S. 6) DS-GVO soll die betroffene Person einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten. Insoweit erscheint eine Orientierung an dem Kriterienkatalog für die Bemessung von Bußgeldern in Art. 83 Abs. 2 S. 2 DS-GVO naheliegend. Bei der Bemessung der Entschädigung für immaterielle Schäden kommt den Gerichten grds. ein weites Ermessen zu, § 287 Abs. 1 S. 1 ZPO. Es müssen mithin sowohl sämtliche Auswirkungen des konkreten Datenschutzverstoßes für die geschädigte Person als auch sämtliche in der Person des Schädigers liegenden, insb. die Tatsituation und den Verschuldensgrad betreffenden, Umstände berücksichtigt werden. Inwieweit die Höhe des Schadensersatzes auch von dem nach Art. 4 Ziff. 7 DS-GVO Verantwortlichen und dessen Finanzkraft abhängen mag, kann dahinstehen. Zweifel an der Nachhaltigkeit des Auskunftsverlangens kann bei der Bemessung der Höhe des immateriellen Schadensersatzes zu berücksichtigen sein. |
LAG Baden-Württemberg Urt. v. 25.2.2021 – 17 Sa 37/20 = ZD 2021, 436 | 0 EUR Verlangt ein Beschäftigter wegen der überschießenden Datenverarbeitung durch die Konzernmutter in den USA vom verantwortlichen Arbeitgeber nach Art. 82 Abs. 1, Abs. 2 DS-GVO immateriellen Schadensersatz und macht er als immateriellen Schaden die Gefahr eines Missbrauchs der Daten durch Ermittlungsbehörden in den USA oder andere Konzerngesellschaften bzw. einen Kontrollverlust geltend, kommen diese Umstände grds. zur Begründung eines immateriellen Schadens iSv Art. 82 DS-GVO in Betracht. Für eine Haftung des Arbeitgebers ist jedoch zusätzlich erforderlich, dass der Schaden „wegen eines Verstoßes“ gegen die DS-GVO entstanden ist, dh einem Verordnungsverstoß zugeordnet werden kann (Kausalität). Daran fehlt es, wenn der Arbeitgeber weder gegen die Bestimmungen des V. Kapitels der DS-GVO noch gegen Art. 28 DS-GVO verstoßen hat. Der verbleibende Verstoß gegen § 26 Abs. 4 BDSG iVm den Bestimmungen der Betriebsvereinbarung löst allein keinen Schadensersatzanspruch nach Art. 82 DS-GVO aus. Der Anspruchsteller muss darlegen und ggf. beweisen, dass der Anspruchsgegner irgendwie an der Verarbeitung beteiligt war, während der Anspruchsgegner darlegen und ggf. beweisen (Vollbeweis) muss, sämtliche Vorschriften iSv Art. 82 Abs. 1, Abs. 2 DS-GVO eingehalten zu haben. |
LAG Köln Urt. v. 14.9.2020 – 2 Sa 358/20 = ZD 2021, 168 | 300 EUR Das Auffinden einer PDF-Datei mit einer ehemaligen Arbeitnehmerin auf der Homepage rechtfertigt einen Schmerzensgeldanspruch, da gegen Art. 17 DS-GVO verstoßen wurde. |
LAG Düsseldorf Urt. v. 11.3.2020 – 12 Sa 186/19 = ZD 2021, 592 | 0 EUR Vorliegend lag kein Verstoß gegen die DS-GVO vor. |
Arbeitsgerichte | |
ArbG Berlin Teilurteil v. 15.6.2022 – 55 Ca 456/21, 55 Ca 5659/21 = ZD 2023, 165 | 5.000 EUR Wegen der Nichterfüllung des Auskunftsanspruchs nach Art. 15 Abs. 1 DS-GVO besteht ein Entschädigungsanspruch des Kl. gem. Art. 82 DS-GVO. Eine Haftung für die Verstöße könnte nur entfallen, wenn die Bekl. für diese nicht verantwortlich wäre, Art. 83 Abs. 3 DS-GVO. Dies hat die Bekl. nicht dargetan. Dem Kl. ist durch die fehlende Erteilung der Auskunft ein immaterieller Schaden entstanden. Weder der DS-GVO noch ihren Erwägungsgründen lässt sich entnehmen, dass der Schadensersatzanspruch einen qualifizierten Verstoß gegen die DS-GVO voraussetzt. Für die Annahme einer Erheblichkeitsschwelle oder – andersherum formuliert – die Ausnahme von Bagatellfällen, gibt es keinen Anhaltspunkt. Unter Berücksichtigung des Erwägungsgrunds 146 S. 3 DS-GVO soll der Begriff des Schadens im Lichte der Rspr. des EuGH weit und auf eine Weise ausgelegt werden, die den Zielen der VO in vollem Umfang entspricht. Die Ziele der DS-GVO bestehen dabei u. a. darin, den Risiken für die Rechte und Freiheit natürlicher Personen zu begegnen, die – mit unterschiedlicher Eintrittswahrscheinlichkeit und Schwere – aus einer Verarbeitung personenbezogener Daten hervorgehen und zu einem immateriellen Schaden führen können. Dabei kann ein immaterieller Schaden nicht nur in einer Diskriminierung, einem Identitätsdiebstahl oder -betrug, einem finanziellen Verlust, einer Rufschädigung, einem Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten, der unbefugten Aufhebung der Pseudonymisierung oder anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen liegen. Er kann (bereits) entstehen, wenn die von der Verarbeitung personenbezogener Daten betroffenen Personen daran gehindert werden, die sie betreffenden personenbezogenen Daten zu kontrollieren (vgl. Erwägungsgrund 75 DS-GVO). Der Kl. hat die Bemessung der Höhe des immateriellen Schadensersatzes in das Ermessen des Gerichts gestellt, § 287 Abs. 1 S. 1 ZPO. Unter Würdigung aller Umstände des Einzelfalles geht die Kammer davon aus, dass dem Kl. zur Abgeltung des immateriellen Schadens ein Geldanspruch iHv 5.000 EUR zusteht. Unter Berücksichtigung des Erwägungsgrunds 146 S. 6 DS-GVO soll die betroffene Person einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten. Insoweit erscheint eine Orientierung an dem Kriterienkatalog für die Bemessung von Bußgeldern in Art. 83 Abs. 2 S. 2 DS-GVO naheliegend. Danach sind für die Ermittlung der Höhe einer Geldbuße u. a. die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung, der Grad des Verschuldens, Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens, frühere einschlägige Verstöße sowie die Kategorien der betroffenen personenbezogenen Daten zu betrachten. Bei der Bemessung der Entschädigung für immaterielle Schäden kommt den Gerichten grds. ein weites Ermessen zu, § 287 Abs. 1 S. 1 ZPO. Es müssen mithin sowohl sämtliche Auswirkungen des konkreten Datenschutzverstoßes für die geschädigte Person als auch sämtliche in der Person des Schädigers liegenden, insb. die Tatsituation und den Verschuldensgrad betreffenden, Umstände berücksichtigt werden. In Anwendung des zuvor dargestellten Maßstabs ist unter Berücksichtigung und Abwägung aller Umstände des Einzelfalls ein Schadensersatz iHv 5.000 EUR angemessen. Dabei hat die Kammer zu Lasten der Bekl. berücksichtigt, dass diese die Auskunft nach Art. 15 Abs. 1 DS-GVO bis zum heutigen Tag nicht erteilt hat. Die Bekl. hat dem Kl. bislang, also inzwischen eineinhalb Jahre nach seinem Ausscheiden und acht Monate nach seiner Geltendmachung, keinerlei Auskünfte erteilt. Damit hat die Bekl. den Auskunftsanspruch nicht erfüllt. Hinzukommt, dass die Bekl. offensichtlich keinerlei Respekt vor dem Schutz personenbezogener Daten des Kl. zeigt, wenn sie ohne erkennbaren Grund und ungefragt vermeintliche Gründe für ein Ausscheiden des Kl. aus dem Arbeitsverhältnis der Öffentlichkeit zugänglich macht, indem sie diese an Vertragspartner und Behörden weiterleitet. Die Bekl. hat auch bis heute nicht erkennen lassen, dass sie ihren diesbezüglichen Auskunftspflichten in Zukunft nachkommen will. Inwieweit die Höhe des Schadensersatzes auch von dem nach Art. 4 Ziff. 7 DS-GVO Verantwortlichen und dessen Finanzkraft abhängen mag, kann dahinstehen. Keine der Parteien hat vorliegend Angaben diesbezüglich getätigt. |
NEU ArbG Bamberg Urt. v. 11.5.2022 – 2 Ca 942/20 | 4.000 EUR Die Klage ist in Höhe von 4.000 EUR begründet, soweit die Kl. wegen der Verletzung der Datenauskunftspflicht durch die Bekl. gem. Art. 82 Abs. 1 iVm Art. 15 DS-GVO immateriellen Schadensersatz fordert. Im Übrigen war die Klage abzuweisen. Die auf Datenauskunft und Zurverfügungstellung einer Datenkopie gerichteten Klageanträge sind nicht hinreichend bestimmt und daher unzulässig. Hinsichtlich des geltend gemachten Entschädigungsanspruchs wegen Mobbing ist die Klage unbegründet. Die Kl. hat gegen die Bekl. gem. Art. 82 Abs. 1 iVm Art. 15 DS-GVO einen Anspruch auf Zahlung eines immateriellen Schadensersatzes iHv 4.000. Insoweit ist der darauf bezogene Klageantrag begründet. Soweit die Kl. insoweit einen höheren Betrag fordert, war die Klage abzuweisen. Die Bekl. hat als Verantwortliche iSd Art. 4 Ziff. 7 DS-GVO ihre Pflichten im Zusammenhang dem Auskunftsersuchen der Kl. vom 12.6.2020 nach Art. 15 Abs. 1 und 3 DS-GVO (in erheblicher Weise) verletzt. Der Auskunftsanspruch nach Art. 15 DS-GVO besteht auch in einem Arbeitsrechtsverhältnis. Die allgemeinen Bestimmungen der DS-GVO enthalten eine Vollregelung, auch zum Beschäftigtendatenschutz. Nach Art. 15 Abs. 1 DS-GVO hat die betroffene Person hat das Recht, von dem Verantwortlichen iSd. Art. 4 Ziff. 7 DS-GVO eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf bestimmte, Art. 15 Abs. 1 lit. a bis h DS-GVO näher aufgezählte Informationen. Nach Art. 15 Abs. 3 DS-GVO ist der Verantwortliche verpflichtet, der betroffenen Person eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung stellen. Die Kl. hat mit Schreiben ihrer Prozessbevollmächtigten vom 12.6.2020 ein solches, ausdrücklich auf Art. 15 Abs. 1 und 3 DS-GVO gestütztes Auskunftsbegehren gegenüber der Bekl. geltend gemacht und die Auskunft damit iSd Art. 15 Abs. 1 S. 1 DS- GVO „verlangt“. Dabei musste das Auskunftsbegehren der Kl. nicht den prozessualen Anforderungen an einen bestimmten Klageantrag iSd § 253 Abs. 2 ZPO genügen, um die Pflicht der Bekl. zur Auskunftserteilung auszulösen. Insoweit ist zwischen dem materiellen Anspruch auf Auskunftserteilung, der gem. Art. 15 Abs. 1 S. 1 DS-GVO auf bloßes „Verlangen“ entsteht und seiner prozessualen, vollstreckungsfähigen Durchsetzung zu unterscheiden. Die Bekl., die als Verantwortliche iSd Art. 4 Ziff. 7 DS-GVO unzweifelhaft personenbezogene Daten der Kl. verarbeitet hat, hat auf das Auskunftsverlangen der Kl. mit Schreiben ihres Prozessbevollmächtigten vom 17.6.2020 auch nicht eine etwaige Unbestimmtheit des Verlangens beanstandet, sondern ohne Angabe von Gründen jegliche Auskunft verweigert unter Hinweis darauf, dass die Kl. den Anspruch einklagen müsse. Durch diese Auskunftspflichtverletzung hat die Kl. einen immateriellen Schaden iSd Art. 82 Abs. 1 DS-GVO erlitten. Dabei ist zu berücksichtigen, dass das BAG davon ausgeht, dass der Rechtsanspruch auf immateriellen Schadensersatz nach Art. 82 Abs. 1 DS-GVO über eine solche Verletzung der DS-GVO hinaus nicht zusätzlich erfordert, dass die verletzte Person einen (weiteren) von ihr erlittenen immateriellen Schaden darlegt. Sie muss also keine „Konsequenz oder Folge der Rechtsverletzung von zumindest einigem Gewicht“ darlegen. Nach Auffassung des BAG führt demnach bereits die Verletzung der DS-GVO selbst zu einem auszugleichenden immateriellen Schaden. Aber selbst wenn man das Erreichen einer Erheblichkeitsschwelle bei Verstößen gegen Regelungen der DS-GVO für den Entschädigungsanspruch fordert, wäre diese vorliegend überschritten. Die Kl. weist zu Recht daraufhin, dass die Bekl. auf ihr Auskunftsbegehren hin die Auskunft vollständig und vorsätzlich verweigert hat. Die Bekl. hat im Schreiben ihrer Bevollmächtigten vom 17.6.2020 ohne Angabe von Gründen (und damit willkürlich) überhaupt keine Auskunft erteilt und mit Nachdruck zu erkennen gegeben, ihre sich aus Art. 15 DS-GVO ergebende Auskunftspflicht freiwillig nicht erfüllen zu wollen, in dem sie betont hat, dass die Kl. den Anspruch schon gerichtlich durchsetzen („einklagen“) müsse. Dies stellt eine besonders schwerwiegende Rechtsverletzung dar, die geeignet ist, den Eindruck zu erwecken, dass die – rechtskundig beratene – Bekl. nicht gewillt ist, ihren datenschutzrechtlichen Verpflichtungen gegenüber der Kl. nachzukommen. Zum Ausgleich dieses immateriellen Schadens hält die Kammer einen Betrag iHv 4.000 EUR für geboten und angemessen. In Anlehnung an Art. 83 Abs. 2 DS-GVO sind bei der Festsetzung der Entschädigungshöhe Art, Schwere, Dauer des Verstoßes, Grad des Verschuldens, Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens, frühere einschlägige Verstöße sowie die Kategorien der betroffenen personenbezogenen Daten zu berücksichtigen. Zu berücksichtigen ist außerdem, dass nach dem Erwägungsgrund 146 (S. 6) zur DS-GVO die betroffene Person einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten soll. Verstöße müssen effektiv sanktioniert werden. Schadenersatz bei Datenschutzverstößen sollen eine abschreckende Wirkung haben, um der DS-GVO zum Durchbruch zu verhelfen (effet utile). Dies zu Grunde gelegt, hält die Kammer einen Betrag iHv 4.000 EUR für geboten und angemessen. Dabei war für die Kammer insbesondere ausschlaggebend, dass die Bekl. die Auskunftspflicht im Schreiben vom 17.6.2020 in schwerwiegender Weise – nämlich vorsätzlich, nachdrücklich und willkürlich – verletzt hat, vor der Klageerhebung überhaupt keine Auskunft erteilt hat und dass sie erst im Schriftsatz vom 5.1.2021, dh mehr als ein halbes Jahr nach dem Auskunftsbegehren der Kl. vom 12.6.2020 erstmals ansatzweise Auskünfte erteilt hat. Allerdings waren auch diese erkennbar unzureichend, weil sie allgemeiner Natur ohne konkreten Bezug gerade auf die Kl. waren und z. B. keine konkreten Angaben zur Dauer der Speicherung der personenbezogenen Daten, zum Beschwerderecht, zur Datenherkunft und zu den Datenempfängern enthalten haben. Auch hat die Bekl. der Kl. entgegen Art. 15 Abs. 3 DS -GVO bis zuletzt keine Kopie der von ihr verarbeiteten personenbezogenen Daten zur Verfügung gestellt. |
ArbG Kiel Beschl. v. 28.4.2022 – 2 Ca 82 e/22 | 2.000 EUR (Hinweis: Es handelt sich um keine Sachentscheidung, sondern um ein PKH-Verfahren) Die Nutzung von Videoaufnahmen einer Angestellten für ein Werbevideo ohne wirksame Einwilligung kann einen Schmerzensgeldanspruch rechtfertigen. Die Kl. hat mit hinreichender Wahrscheinlichkeit dargelegt, dass die Bekl. als Verantwortliche iSd Art. 82 Abs. 1 DS-GVO iVm Art. 4 Ziff. 7 DS-GVO personenbezogene Daten, nämlich das Video, auf dem die Kl. zu identifizieren ist, verarbeitet hat. Es ist weiter davon auszugehen, dass diese Verarbeitung nicht DS-GVO-konform erfolgte, da weder eine rechtswirksame Einwilligung der Kl. iSd Art. 6 Abs. 1 S. 1 lit. a DS-GVO/§ 26 BDSG noch ein sonstiger Erlaubnistatbestand vorlag. Eine summarische Prüfung anhand des Maßstabs des § 114 Abs. 1 ZPO, ob ein bestimmtes Schmerzensgeld angemessen erscheint, kann sich iRd Prozesskostenhilfeverfahrens in der Regel nur darauf beschränken, ob die durch den Antragssteller begehrte Kompensation sich, ausgehend von den konkreten Umständen des Einzelfalls, der Höhe nach innerhalb eines vertretbaren Rahmens bewegt. Die abschließende Prüfung, in welcher Höhe innerhalb dieses Rahmens ein Schmerzensgeld im konkreten Fall angemessen ist oder nicht, bleibt dem Hauptsacheverfahren vorbehalten. Die Höhe einer Entschädigung für die Verletzung des allgemeinen Persönlichkeitsrechts richtet sich nach der Intensität, die von der Art, Bedeutung und Tragweite des Eingriffs, Anlass und Beweggrund des Handelns sowie dem Grad seines Verschuldens und der Qualität des geschützten Bereichs. Die Höhe der im jeweiligen Einzelfall als immaterielle Entschädigung zuerkannten Beträge variieren entsprechend. Für eine Begrenzung der Obergrenze von 2.000 EUR sprechen die Umstände dieses Einzelfalls. Die mit der Veröffentlichung des Videos für die Kl. eingehende Beeinträchtigung ihres Rechts am eigenen Bild ist nicht derart schwerwiegend, dass auch unter Berücksichtigung des Ermessensspielraums des Gerichts im Hauptsacheverfahren eine höhere Entschädigung in Betracht käme. Dabei ist zu Gunsten der Kl. zu berücksichtigen, dass die Veröffentlichung von Bewegtbildern ggf. schwerer wiegt als die eines einzelnen Fotos. Auch ist zu berücksichtigen, dass die Bekl. das Video kommerziell genutzt hat. Der Inhalt des Videos berührt allerdings weder die Intimsphäre der Kl. noch geschah die Aufnahme heimlich. Es ist zwar nicht auszuschließen, dass die Kl. auch auf Grund ihres Alters im Verhältnis zu den anderen dargestellten Personen ausgewählt wurde. Da das Video aber nicht im Kern darauf abzielt die Altersunterschiede darzustellen, sondern für die die Bekl. als sympathische Arbeitgeberin zu werben, stellt eine etwaige Diskriminierung lediglich eine Begleiterscheinung am Rande dar und kann nicht als entscheidendes Argument für einen besonders hohen Entschädigungsrahmen herangezogen werden. Schließlich ist anzuerkennen, dass das Video der Kl. nach der Aufforderung, die Nutzung des Videos zu unterlassen, unmittelbar aus dem Netz genommen wurde. Die Kl. hatte außergerichtlich die Unterlassung zuvor nicht verlangt, sodass der Bekl. zugutezuhalten ist, dass sie jedenfalls ab dem Zeitpunkt, ab dem sie positiv wusste, dass die Kl. mit der Veröffentlichung des Videos nicht einverstanden war, alles getan hat, um den Schaden zu minimieren. Zuletzt ist zu würdigen, dass auch Ansprüche auf Schadensersatz für immaterielle Schäden, die auf einer Verletzung von Normen der DS-GVO beruhen, sich summenmäßig nicht völlig außerhalb dessen bewegen dürfen, was üblicherweise in der Rspr. für die Verletzung des allgemeinen Persönlichkeitsrechts ausgeurteilt wird. Dabei ist zu betonen, dass ein Rahmen bis 2.000 EUR, dh von ca. einem Bruttomonatsgehalt, keineswegs eine lediglich symbolhafte Entschädigung darstellt. Gerade in Anbetracht des sehr kurzen Arbeitsverhältnisses ist eine Entschädigung, die diesen Rahmen ausschöpft, für die Bekl. wirtschaftlich deutlich spürbar und trägt damit zur effektiven Wirksamkeit der DS-GVO bzw. des BDSG bei. |
NEU ArbG Mannheim Urt. v. 1.4.2022 – 12 Ca 165/21 | 11.250 EUR Die Widerklage ist überwiegend begründet, denn der Bekl. hat gegen die Kl. einen Anspruch auf Schadensersatz iHv 11.250 EUR. Nach Art. 82 Abs. 1 DS-GVO hat jede Person, der wegen eines Verstoßes gegen die DS-GVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Diese Voraussetzungen liegen hier vor, denn die Kl. als die für die Verarbeitung der personenbezogenen Daten des Bekl. iSv Art. 4 Ziff. 7 DS-GVO Verantwortliche hat ihre Pflichten auf das Auskunftsersuchen des Bekl. nach Art. 15 Abs. 1 DS-GVO hin verletzt, indem sie es unbeantwortet gelassen hat. Die DS-GVO gilt gem. Art. 288 Abs. 2 S. 2 AEUV unmittelbar in jedem Mitgliedsstaat. Ausreichend ist jeder Verstoß gegen eine Vorschrift der DS-GVO einschließlich der Formvorschriften. Ein Verstoß gegen die Verpflichtung aus Art. 15 Abs. 1 und 3, 12 Abs. 3 bis 5 DS-GVO liegt vor. Der Auskunftsanspruch nach Art. 15 DS-GVO besteht im Arbeitsverhältnis und auch nach seiner Beendigung. Er gibt der betroffenen Person das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob betreffende personenbezogene Daten verarbeitet werden. Ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf bestimmte Informationen, wobei sich die genauen Anforderungen an die Auskunft aus Art. 12 Abs. 3 bis 5 DS-GVO ergeben. Dieser Pflicht ist die Kl. nicht nachgekommen. Der Bekl. hat u. a. seinen Auskunftsanspruch aus Art. 15 Abs. 1 DS-GVO mit außergerichtlichem Schreiben vom 28.4.2020 unter Fristsetzung bis 15.5.2020 ggü. der Kl. geltend gemacht. Die Kammer teilt dabei nicht die Auffassung der Kl., wonach ein Auskunftsersuchen, welches im Falle einer Klageerhebung die Anforderungen an § 253 Ziff. 2 ZPO nicht erfüllen würde, nicht beantwortet werden müsse, denn es war dem Schreiben klar zu entnehmen, welche Auskünfte der Bekl. verlangt hat. Die Kl. hat sich ferner erstmals auf die Widerklage hin mit Schriftsatz v. 27.5.2021 zu dem Auskunftsersuchen geäußert. Mit ihren dortigen Ausführungen, wonach der Bekl. die von ihm geforderten Informationen selbst im Besitz habe, wurde das Auskunftsersuchen nicht ordnungsgemäß erfüllt. Vor dem Hintergrund, dass mit der Klage lediglich die E-Mail vom 6./7./8.12.2019 zwei Mal vorgelegt wurde, ist auch die weitere Mitteilung, dass nur diese E-Mails verarbeitet worden seien, offenkundig unvollständig und damit nicht ordnungsgemäß. Die Kl. zitierte vielmehr aus weiteren E-Mails des Bekl., etwa vom 3.12.2019. Weitere Ausführungen zu dem Auskunftsersuchen erfolgten erst mit dem Schriftsatz v. 30.3.2022. Sie können daher an dem zurückliegenden Zeitraum nichts mehr ändern. Das Verschulden der Kl. wird nach Art. 82 Abs. 3 DS-GVO vermutet. Entgegenstehende Anhaltspunkte sind nicht ersichtlich. Es liegt zudem ein kausaler, immaterieller Schaden vor. Es ist von einem weiten Schadensverständnis auszugehen. Die Kammer schließt sich der Auffassung an, wonach unabhängig von dem Erreichen einer Erheblichkeitsschwelle bei Verstößen gegen Regelungen der DS-GVO ein immaterieller Schadensersatz in Betracht kommt. Eine weite Auslegung ist ausgehend von Erwägungsgrund 146 S. 3 geboten, um den Zielen der Verordnung in vollem Umfang zu entsprechen. Ferner kann, um die Regelungen der DS-GVO effektiv durchzusetzen, auch auf eine abschreckende Wirkung des Schadensersatzes abgestellt werden. Dem Anspruch steht entgegen der Auffassung der Kl. nicht die Abgeltungsklausel des Aufhebungsvertrages entgegen. Zwar ist die Klausel wirksam, allerdings ist der Auskunftsanspruch nach Art. 15 DS-GVO durch Art. 8 Abs. 2 GRCh in den Rang eines europäischen Grundrechts erhoben. Da darüber hinaus eine effektive Rechtsdurchsetzung zu gewährleisten ist, sind die Auskunftsansprüche jedenfalls für die Zukunft nicht abdingbar. Da es – was sich aus dem Vortrag der Klägerin selbst ergibt – vorliegend jedenfalls auch um E-Mails geht, die die Kl. nach Abschluss des Aufhebungsvertrages ausgewertet hat, sind diese von der Abgeltungsklausel nicht erfasst. Dem Bekl. ist daher nach richterlichem Ermessen gem. § 287 Abs. 1 ZPO ein immaterieller Schadensersatz iHv 11.250 EUR zuzusprechen. Da ausgehend von der vom Bekl. geäußerten Vorstellung von 15.000 EUR damit ein Unterliegen mit rund 25 % anzunehmen ist, unterlag die Widerklage insoweit der Abweisung. Den Schadensersatzansprüchen soll generell eine Abschreckungswirkung innewohnen. Insb. soll die betroffene Person einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten. Verstöße müssen effektiv sanktioniert werden, weshalb Schadensersatz bei Datenschutzverstößen eine abschreckende Wirkung haben müssen, um der DS-GVO zum Durchbruch zu verhelfen. Gemessen hieran hält die Kammer unter Berücksichtigung der Umstände des vorliegenden Falles 500 EUR für jeden Monat der Nichterteilung bzw. der nicht ordnungsgemäßen Erteilung der Auskunft für angemessen, aber auch ausreichend. Maßgeblich hierbei ist, dass die Kl. ihre Verpflichtung zwischen dem 15.5.2020 und dem 27.5.2021 vollständig und fortlaufend ignoriert hat. Da die Ausführungen vom 27.5.2021 keine ordnungsgemäße Auskunft beinhalten, war auch der Zeitraum bis zum Zeitpunkt der mündlichen Verhandlung zu berücksichtigen. Insgesamt wurden daher 22,5 Monate mit jeweils 500 EUR pro Monat zu Grunde gelegt. |
ArbG Neuruppin Urt. v. 14.12.2021 – 2 Ca 554/21 = ZD 2022, 396 | 1.000 EUR Mit Art. 82 DS-GVO enthält die DS-GVO eine eigenständige deliktische Haftungsnorm. Voraussetzung ist eine rechtswidrige Datenverarbeitung, die zu einem Schaden der betroffenen Person (Art. 4 Ziff. 1 DS-GVO) führt. Nicht jeder einer betroffenen Person entstandene Schaden ist jedoch auszugleichen. Voraussetzung ist, dass der Verstoß gegen die Bestimmungen der DS-GVO, delegierte Rechtsakte oder konkretisierende nationale Bestimmungen kausal für den eingetretenen Schaden ist. Dabei gewährt Art. 82 DS-GVO ggü. der verantwortlichen Stelle, einen Anspruch auf Ersatz des Schadens, der durch die unrichtige bzw. unzulässige Verwendung von personenbezogenen Daten entstanden ist. Der unbefugte Umgang mit den Daten muss darüber hinaus schuldhaft iSv § 276 BGB erfolgen, damit vorsätzlich oder zumindest fahrlässig. Dabei wird mit der nunmehr seit Mai 2018 geltenden Norm des Art. 82 Abs. 3 DS-GVO ein schuldhaftes Verhalten vermutet, was eine deutliche Verschärfung ggü. dem bis dahin geltenden Recht bedeutet. Von dieser Vermutung kann sich der Verantwortliche oder auch der Auftragsverarbeiter gem. Art. 82 Abs. 3 DS-GVO nur dann entlasten (exkulpieren), wenn er in keinerlei Hinsicht für den Umstand, durch welchen der Schaden entstanden ist, verantwortlich ist. Der Schaden kann ein materieller sein. Ebenfalls ist jedoch ein immaterieller Schaden wegen Verletzung des allgemeinen Persönlichkeitsrechts auszugleichen. Erwägungsgrund 146 DS-GVO stellt für die Auslegung von Art. 82 DS-GVO klar, dass es sich um einen „vollständigen und wirksamen Schadensersatz“ handeln muss. Dies zielt auf die Ersatzhöhe ab. Dem Grunde nach sind damit sämtliche Verletzungen des allgemeinen Persönlichkeitsrechts erfasst. Da der Schadensersatzanspruch nach Art. 82 DS-GVO iÜ auch im Umfang auch die Elemente der Wirksamkeit und Abschreckung enthalten soll, können in die Berechnung des Haftungsumfangs auch präventive Gesichtspunkte einfließen. Erwägungsgrund 75 und 85 DS-GVO stehen dem Anspruch ebenfalls nicht entgegen. Die dort genannten Gründe sind weder abschließend, noch dazu geeignet, den Anspruch der Kl. dem Grunde nachzunegieren. Unter Berücksichtigung vorstehender Rspr. ist davon auszugehen, dass der Kl. ein Schadensersatzanspruch in der ausgeurteilten Höhe zuzugestehen ist, da die Bekl. trotz des entsprechenden Begehrens der Kl. über mehrere Monate hin deren Daten auf ihrer Internetseite nicht gelöscht hat. Dies auch unabhängig von der Tatsache, dass die Kl. keine immateriellen Beeinträchtigungen vorgetragen hat. Dieses ist auch nicht erforderlich, da Art. 82 DS-GVO ebenfalls eine Warn- und Abschreckungsfunktion beinhaltet. Schließlich vermögen deswegen auch die Argumente nicht zu überzeugen, dass ein Schadensersatzanspruch deswegen nicht auszuurteilen sei, da einer „uferlosen“ Geltendmachung solcher Ansprüche entsprechend zu begegnen sei. Derartige Überlegungen müssen bei der Ausurteilung von Schadensersatzansprüchen grds. ausscheiden. |
ArbG Mannheim Urt. v. 20.5.2021 – 14 Ca 135/20 | 7.500 EUR Die Bekl. war zu verurteilen, an den Kl. Schadensersatz iHv 7.500 EUR netto zu bezahlen. IÜ war der Antrag auf Schadensersatz abzuweisen. Der Anspruch steht dem Kl. zu im Hinblick im Hinblick auf die Auswertung der WhatsApp Kommunikation des Kl. und die Zitierung von auch privater WhatsApp Kommunikation im Verfahren. Der immaterielle Schadensersatz iSv Art. 82 DS-GVO schließt ein, dass Schadensersatzforderungen abschreckend wirken und weitere Verstöße unattraktiv gemacht werden sollen. Der vom Kl. geltend gemachte Schaden der Verwertung auch privater WhatsApp Kommunikation beruht auf einem Verstoß der Bekl. gegen § 26 BDSG iVm Art. 6 DS-GVO, sodassdie erforderliche Kausalität vorliegt. Der Kl. hat den erlittenen Schaden infolge eines Verordnungsverstoßes durch die Bekl. erlitten. Nicht erforderlich ist, dass es sich um eine schwerwiegende Persönlichkeitsrechtsverletzung handelt. Deshalb kann ein Schaden etwa auch bereits in einem unguten Gefühl liegen, dass personenbezogene Daten Unbefugten bekannt geworden sind, wenn nicht ausgeschlossen werden kann, dass die Daten unbefugt weiterverwendet werden. Auch ein Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten kann ein zu berücksichtigender Nachteil sein, ebenso wie der Verlust, die personenbezogenen Daten kontrollieren zu können. Hinsichtlich der Höhe des Schadens kommt es an auf die Intensität der Rechtsverletzung und es ist auch ein etwaiges Mitverschulden des Arbeitnehmers zu berücksichtigen. Hierbei hat die Kammer berücksichtigt, dass einerseits das Persönlichkeitsrecht des Kl. verletzt wurde durch die Auswertung und Zitierung der auch privaten Kommunikation. Andererseits hat die Bekl. in den Prozess nur eingeführt, WhatsApp Kommunikation mit Bezug zum Arbeitsverhältnis. Auch hat die Kammer ein Mitverschulden des Kl. berücksichtigt, der ausweislich der E-Mail-Nachrichten in nicht berechtigter Weise Informationen über die Bekl. an Dritte weitergegeben hat. Angesichts dessen erscheint ein Schadensersatz in der Höhe von einer Bruttomonatsvergütung als angemessen. |
ArbG Münster Urt. v. 25.3.2021 – 3 Ca 391/20 = ZD 2021, 534 | 5.000 EUR Die Verwendung eines Bildes in einem auf die Hautfarbe bezogenen Zusammenhang ohne eine schriftliche Einverständniserklärung rechtfertigt ein Schmerzensgeld nach Art. 82 Abs. 1 DS-GVO, § 823 BGB iVm § 22 KUG. |
ArbG Mannheim Urt. v. 25.3.2021 – 8 Ca 409/20 | 0 EUR Ein Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO wurde nicht schlüssig dargelegt, da nicht vorgetragen wurde, gegen welche Schutzvorschriften der DS-GVO oder des BDSG verstoßen wurde. Die Übersendung und Kenntnisnahme der Meldebescheinigung an/durch den Betriebsleiter ist eine gerechtfertigte Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses iSd § 26 BDSG, der ggü. der DS-GVO vorrangig anwendbar ist. |
ArbG Berlin Urt. v. 21.1.2021 – 27 Ca 1237/19 | 0 EUR Zwar dürfte Art. 82 Abs. 1 DS-GVO im nationalen Recht unmittelbar Anwendung finden. Allerdings kann der Bekl. die Verletzung einer Auskunftsverpflichtung nach Art. 15, 12 DS-GVO nicht vorgeworfen werden. Zudem dürfte die auf die Verletzung der Auskunftspflicht nach Art. 15 DS-GVO gestützte Geltendmachung des Schadensersatzanspruchs auch rechtsmissbräuchlich sein. Denn die Bekl. hat das Schreiben des Kl. binnen der Frist des Art. 12 Abs. 3 S. 1 DS-GVO beantwortet. |
ArbG Herne Urt. v. 4.9.2020 – 5 Ca 178/20 | 0 EUR Der auf Zahlung einer der Höhe nach in das Ermessen des Gerichts gestellten Entschädigung gerichtete Klageantrag ist hinreichend bestimmt. Es handelt sich bei den Ansprüchen auf Ersatz des materiellen und des immateriellen Schadens nach Art. 82 Abs. 1 DS-GVO um zwei unterschiedliche Streitgegenstände. Eine immaterielle Entschädigung setzt nach dem Wortlaut des Art 82 Abs. 1 DS-GVO voraus, dass ein Verstoß gegen die DS-GVO gegeben ist. Die Bekl. hat gegen die DS-GVO verstoßen, indem sie das Auskunftsersuchen der Kl. vom 30.1.2020 nicht innerhalb der Fristen des Art. 12 Abs. 3 und 4 DS-GVO beantwortet hat. Neben dem Vorstoß gegen die DS-GVO setzt Art. 82 Abs. 1 DS-GVO aber auch einen (erstattungsfähigen) immateriellen Schaden voraus. Einen solchen Schaden hat die Kl. nicht dargelegt. Keiner abschließenden Entscheidung bedurfte hier die Frage, ob ein Verstoß gegen die DS-GVO stets auch eine Verletzung des Grundrechts des Betroffenen auf informationelle Selbstbestimmung aus Art. 2 Abs. 1 GG iVm Art. 1 Abs. 1 GG indiziert. Denn nicht jeder Eingriff in das allgemeine Persönlichkeitsrecht hat einen Entschädigungsanspruch zur Folge. |
ArbG Dresden Urt. v. 26.8.2020 – 13 Ca 1046/20 = ZD 2021, 54 | 1.500 EUR Der Begriff des Schadens ist auf eine Art und Weise auszulegen, die den Zielen der DS-GVO in vollem Umfange entspricht. Ein immaterieller Schaden entsteht nicht nur in den „auf der Hand liegenden Fällen“, wenn die datenschutzwidrige Verarbeitung zu einer Diskriminierung, einem Verlust der Vertraulichkeit, einer Rufschädigung oder anderen gesellschaftlichen Nachteilen führt, sondern auch, wenn die betroffene Person um ihre Rechte und Freiheiten gebracht oder daran gehindert ist, die sie betreffenden personenbezogen Daten zu kontrollieren. Vorliegend wurden Gesundheitsdaten an andere Behörden übermittelt, ohne hierzu berechtigt gewesen zu sein. |
ArbG Neumünster Urt. v. 11.8.2020 – 1 Ca 247 c/20 = ZD 2021, 171 | 1.500 EUR Gerichte können sich bei der Bemessung des immateriellen Schadensersatzes auch an Art. 83 Abs. 2 DS-GVO orientieren, sodass Zumessungskriterien u. a. Art, Schwere, Dauer des Verstoßes, Grad des Verschuldens, Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens, frühere einschlägige Verstöße sowie die Kategorien der betroffenen personenbezogenen Daten sind. Vorliegend wurde gegen die Auskunftspflicht nach Art. 15 DS-GVO verstoßen. Da der Verstoß drei Monate andauerte, wurde ein immaterieller Schadensersatz von insgesamt 1.500 EUR verhängt. |
ArbG Köln Urt. v. 12.3.2020 – 5 Ca 4806/19 | 300 EUR Das Auffinden einer PDF-Datei mit einer ehemaligen Arbeitnehmerin auf der Homepage rechtfertigt einen Schmerzensgeldanspruch, da gegen Art. 17 DS-GVO verstoßen wurde. Einer schwerwiegenden Persönlichkeitsrechtsverletzung bedarf es für die Haftung nicht. |
ArbG Düsseldorf Urt. v. 5.3.2020 – 9 Ca 6557/18 = ZD 2020, 649 (Berufung beim LAG Düsseldorf unter Az. 14 Sa 294/20 anhängig) | 5.000 EUR Vorliegend wurde gegen Art. 12 Abs. 3 S. 1 bis S. 3 sowie Art. 15 Abs. 1 lit. a, lit. b iVm 12 Abs. 1 S. 1 DS-GVO verstoßen. Der Begriff des Schadens ist weit auf eine Art und Weise auszulegen, die den Zielen der DS-GVO in vollem Umfang entspricht. Ein immaterieller Schaden entsteht nicht nur in den „auf der Hand liegenden Fällen“, wenn die datenschutzwidrige Verarbeitung zu einer Diskriminierung, einem Verlust der Vertraulichkeit, einer Rufschädigung oder anderen gesellschaftlichen Nachteilen führt, sondern auch, wenn die betroffene Person um ihre Rechte und Freiheiten gebracht oder daran gehindert wird, die sie betreffenden personenbezogenen Daten zu kontrollieren. Die Schwere des immateriellen Schadens ist für die Begründung der Haftung nach Art. 82 Abs. 1 DS-GVO irrelevant und wirkt sich nur noch bei der Höhe des Anspruchs aus. |
ArbG Lübeck Beschl. v. 20.6.2019 – 1 Ca 538/19 = ZD 2020, 422 | 1.000 EUR Die Veröffentlichung eines Facebook-Posts ohne Einwilligung der betroffenen Person rechtfertigt einen Schadensersatzanspruch. Betont wird jedoch, dass 1.000 EUR die Obergrenze eines Schmerzensgeldbetrags darstellt. |
ArbG Düsseldorf Urt. v. 22.2.2019 – 4 Ca 6116/18 (bestätigt durch LAG Düsseldorf Urt. v. 11.3.2020 – 12 Sa 186/19) | 0 EUR Vorliegend lag kein Verstoß gegen die DS-GVO vor, da der Medizinische Dienst unter bestimmten Voraussetzungen Sozialdaten erheben, speichern, nutzen und verarbeiten darf und § 276 Abs. 2 S. 1 und S. 3 SGB V den Anforderungen des Art. 6 Abs. 3 S. 2 2. Alt und S. 4 DS-GVO genügen. |
Niederlande | |
Rb. Rotterdam Urt. v. 25.2.2022 – 9435922\CV EXPL 21-30280 | 250 EUR Der Verantwortliche hatte ohne Rechtsgrundlage eine Excel-Tabelle mit personenbezogenen Daten an eine Vielzahl von Personen geschickt. In Erwägungsgrund 146 DS-GVO wird erläutert, dass der Begriff „Schaden“ im Lichte der Rspr. des EuGH weit auszulegen ist, und zwar in einer Weise, die den Zielen dieser VO in vollem Umfang Rechnung trägt. Aus dieser Erwägung ergibt sich auch, dass die Betroffenen einen vollständigen und tatsächlichen Ersatz des ihnen entstandenen Schadens erhalten müssen. Aus der o. g. Rechtsvorschrift und ihrer Begründung ergibt sich, dass der Begriff des Schadens als Gemeinschaftsautonomie auszulegen ist, um eine wirksame Einhaltung der DS-GVO mit einem gleichwertigen Schutzniveau in allen Mitgliedstaaten zu gewährleisten (Erwägungsgründ 10 und 11 DS-GVO). Der Verstoß gegen die DS-GVO muss kausal für den materiellen Schaden geworden sein. Der Kl. erklärte, dass er sich unsicher und beobachtet fühle und dass sein Vertrauen in die Menschen abgenommen habe. Der Kontrollverlust kann einen Schaden darstellen. |
Rand van State Urt. V. 2.2.2022 – 202004314/1/A3 | 0 EUR Der von der Rechtsmittelführerin zu 1 geltend gemachte materielle Schaden besteht aus Kosten für die externe Unterstützung im Zusammenhang mit der Beurteilung des Artikelentwurfs des Journalisten und der Kommunikation mit der AP und der BFT, dem Zeitpunkt der Rechtsmittelführerinnen zu 2 und anderen der Gesellschaft sowie dem Einkommensverlust der Aktionäre auf Grund des verpassten Verkaufs der Yards Deurwaardersdiensten B. V. infolge des Artikels des Journalisten. Nach Ansicht der Abteilung hat der Bf. Zu 1 nicht glaubhaft gemacht, dass diese Kosten das Ergebnis der rechtswidrigen Verarbeitung ihrer Namen sind. Die BFT war daher zu Recht der Ansicht, dass dieser materielle Schaden nicht ersatzfähig sei. Für die Beurteilung eines Antrags auf Ersatz immaterieller Schäden wird nach stRspr ein Zusammenhang mit dem Zivilschadensersatzgesetz gesucht. Wie das Gericht festgestellt hat, gilt dies auch für die Beurteilung immaterieller Schäden auf der Grundlage von Art. 82 DS-GVO. Diese Beeinträchtigung liegt in jedem Fall vor, wenn der Geschädigte eine psychische Verletzung erlitten hat. Die Person, die sich darauf beruft, muss ausreichende konkrete Beweise vorlegen, aus denen geschlossen werden kann, dass im Zusammenhang mit den Umständen des Falles ein psychischer Schaden entstanden ist. Selbst wenn das Vorliegen einer psychischen Verletzung nicht vermutet werden kann, kann nicht ausgeschlossen werden, dass die Art und Schwere der Verletzung der Norm und ihrer Folgen für den Geschädigten dazu führen, dass seine Person „auf andere Weise“ iSv Art. 6:106 Einleitung und unter b des niederländischen Bürgerlichen Gesetzbuches geschädigt wird. In diesem Fall muss die Person, die sich darauf beruft, den Schaden in ihrer Person mit konkreten Daten belegen. Etwas anderes ist nur, wenn die Art und Schwere des Verstoßes gegen die Norm dazu führen, dass die insoweit relevanten nachteiligen Folgen für den Geschädigten so offensichtlich sind, dass von einer Beeinträchtigung der Person ausgegangen werden kann. Eine Beeinträchtigung der Person „auf andere Weise“ iSv Art. 6:106 Einleitung und unter b des niederländischen Bürgerlichen Gesetzbuches liegt nicht bereits in der bloßen Verletzung eines Grundrechts vor. |
Rand van State Urt. v. 26.1.2022 – 202100213/1/A3 | 0 EUR Zwischen den Parteien ist unstreitig, dass die Weiterleitung der E-Mail-Nachricht ohne die E-Mail-Adresse der Bf. Unleserlich zu machen, als rechtswidrig anzusehen ist. Wie das Gericht festgestellt hat, stellt der Verlust der Kontrolle über personenbezogene Daten eine Verletzung eines Persönlichkeitsrechts dar. Jede Person hat das Recht auf Schutz und richtige, rechtmäßige Verarbeitung ihrer personenbezogenen Daten. Wie das Gericht weiter ausgeführt hat, gibt es keine Grundlage für die Auffassung, dass ein Verstoß gegen die DS-GVO lediglich eine Beeinträchtigung der Integrität einer Person impliziert und somit zu einem entschädigungsfähigen Schaden führt. Die Tatsache, dass eine Verletzung des Schutzes personenbezogener Daten zu einem (im)materiellen Schaden führen kann und dass eine betroffene Person eine vollständige und wirksame Entschädigung für den von ihr erlittenen Schaden erhalten muss, bedeutet nicht, dass ein Verstoß gegen die Normen notwendigerweise zu einem Schaden führt. Ausgangspunkt der Beurteilung ist, dass die Beschwerdeführerin die Beeinträchtigung bei der Person plausibel machen und den von ihr behaupteten Schaden mit konkreten Daten belegen muss. Das Gericht hat zu Recht entschieden, dass die Rechtsmittelführerin nicht plausibel gemacht hat, dass die Zuwiderhandlung zur Beeinträchtigung ihrer Person geführt hat und dass die Folgen der Zuwiderhandlung sie unmittelbar betroffen haben. Sie hat die nachteiligen Folgen, die sich für sie aus der Weiterleitung ihrer E-Mail-Adresse ergeben, nicht plausibel gemacht. Entgegen dem Vorbringen der Bf. Vertrat das Gericht nicht die Auffassung, dass ein Opfer von „Stalking“ keinen Anspruch auf Schutz personenbezogener Daten nach der DS-GVO erheben könne. Das Gericht ging nur davon aus, dass die Bf. „gestalkt“ wurde, bevor ihre E-Mail-Adresse den Nachbarn bekannt wurde, und dass dieser Umstand daher keine Folge des Kontrollverlusts über ihre E-Mail-Adresse ist. |
Gericht von Overijssel Urt. v. 11.8.2021 – ak_20_2097 | 0 EUR Das Gericht ist der Auffassung, dass der Kl. nicht glaubhaft gemacht hat, dass ihm durch die Weitergabe seiner personenbezogenen Daten an Dritte oder durch die erstmalige Angabe seiner E-Mail-Adresse an KCM ein materieller oder immaterieller Schaden entstanden ist. Es handelt sich nicht um ein schwer schuldhaftes Verhalten mit so schwerwiegenden Folgen, dass es als Verletzung eines Grundrechts einzustufen ist. Nach Ansicht des Gerichts ist es nicht so, dass ein Verstoß gegen die DS-GVO lediglich eine Schädigung der Integrität einer Person impliziert und somit zu einem erstattungsfähigen Schaden führt. Der Kl. hat nicht deutlich gemacht, warum die Bereitstellung personenbezogener Daten, die ihn in dem versehentlich adressierten Brief betreffen, oder die Angabe seiner E-Mail-Adresse zur Kundenforschung als Beeinträchtigung seiner Person eingestuft werden kann. Er machte auch nicht plausibel, welche nachteiligen Folgen die Bereitstellung dieser Informationen für ihn hatte. Es gibt keine Hinweise darauf, dass die Daten missbraucht wurden. |
Rb. Rotterdam Urt. V. 12.7.2021 – ROT 20/3286 | 2.500 EUR Der Kl. hat einen immateriellen Schaden dadurch erlitten, dass medizinische Daten von der Bekl. zehn Jahre lang gespeichert und verarbeitet wurden, nachdem sie mehrere Anträge des Kl. auf Löschung der Daten abgelehnt hatte. Auf einen konkreten Verstoß gegen die DS-GVO wurde nicht eingegangen. |
Gericht von Overijssel Urt. v. 31.5.2021 – al_20_1535 | 125 EUR an den Kl. und 125 EUR an den Sohn Nach Auffassung des Gerichts war der Sohn infolge der angefochtenen Entscheidung, die rechtswidriger Natur ist, persönlich vom Verlust der Kontrolle über seine personenbezogenen Daten betroffen. Es handelt sich um eine Verletzung eines Persönlichkeitsrechts. Dies bedeutet, dass der Kl. auf der Grundlage von Art. 82 DS-GVO iVm Art. 6:106 des niederländischen Bürgerlichen Gesetzbuches Anspruch auf eine fair zu bestimmende Entschädigung hat. Das Gericht hält eine Entschädigung iHv 125 EUR für den Kl. und den gleichen Schadensersatz für den Sohn für angemessen. |
Rb. Noord-Nederland Urt. v. 12.1.2021 – 8187989 | 500 EUR Im vorliegenden Verfahren ist die zentrale Frage, ob der Kl. Ersatz des materiellen und immateriellen Schadens verlangen kann, den er im Zusammenhang mit einer Reihe von Datenschutzverletzungen auf der kommunalen Webseite, auf der seine Sozialversicherungsnummer, E-Mail-Adresse und Telefonnummer veröffentlicht sind, geltend macht. Der Anspruch auf Schadensersatz bei vertragswidrigen Handlungen gegen die DS-GVO ergibt sich unmittelbar aus der DS-GVO. Die DS-GVO bestimmt jedoch nicht, welches Gericht in einem Mitgliedstaat für die Entscheidung über den Anspruch auf Entschädigung zuständig ist, wenn der Verstoß, wie hier, von einer Verwaltungsstelle begangen wurde. Im vorliegenden Fall hält sich das Bezirksgericht angesichts der zivilrechtlichen Grundlage der Forderungen des Kl. und der Höhe des geforderten Betrags für die Entscheidung über den Rechtsstreit zuständig. Zwar ergibt sich aus Art. 82 DS-GVO, dass der vollständige Ersatz des tatsächlichen Schadens, der sich aus dem/den Verstoß(en) gegen die DS-GVO ergibt, in einer Weise erfolgen muss, die den Zielen dieser VO gerecht wird, doch legt die DS-GVO nicht fest, wie der Schaden der betroffenen Person zu ermitteln und zu berechnen ist. Nach ständiger Rspr. des EuGH ist es in Ermangelung einer Gemeinschaftsregelung Sache der innerstaatlichen Rechtsordnung jedes Mitgliedstaats, die Regeln für die Ausübung des Entschädigungsanspruchs festzulegen, sofern die Grundsätze der Äquivalenz und der Effektivität beachtet werden. Bei der Ausübung des in Art. 82 DS-GVO vorgesehenen Entschädigungsanspruchs ist jedoch der Erwägungsgrund 146 DS-GVO zu berücksichtigen. Darin heißt es u. a., dass der für die Verarbeitung Verantwortliche den Schaden ersetzen muss, den eine Person infolge einer gegen diese VO verstoßenden Verarbeitung erleiden kann. Der Begriff des Schadens ist im Lichte der Rspr. des EuGH in einer Weise weit auszulegen, die den Zielen der DS-GVO in vollem Umfang entspricht. Es wird auch festgestellt, dass die betroffenen Personen einen vollständigen und wirksamen Ersatz des ihnen entstandenen Schadens erhalten müssen. Die bloße Tatsache, dass der Schaden nicht genau spezifiziert werden kann und von geringem Umfang sein kann, ist kein Grund, einen Anspruch darauf abzulehnen. Der EuGH hat den Begriff des Schadens oder den entschädigungsfähigen (materiellen und immateriellen) Schaden im Falle einer unrechtmäßigen Verarbeitung personenbezogener Daten noch nicht erläutert. Nach stRspr des EuGH führt ein Verstoß gegen Normen nicht notwendigerweise zu einem Schaden. IÜ muss der zu ersetzende Schaden real und sicher sein. Das nationale Recht ist für die Beantwortung der Frage ausschlaggebend, ob ein behaupteter Schaden ersatzfähig ist. Das Gericht ist der Auffassung, dass die wiederholten Datenlecks auf der Webseite der Gemeinde, in denen bestimmte personenbezogene Daten des Kl. ohne seine (vorherige) Zustimmung veröffentlicht wurden, nämlich seine E-Mail-Adresse, Sozialversicherungsnummer und Telefonnummer, als Verletzung der Privatsphäre des Kl. iSv Art. 4 Abs. 12 DS-GVO anzusehen sind. Es muss zumindest eine ernsthafte Gefahr eines Schadens infolge des betreffenden Ereignisses bestehen, damit diese Kosten erstattet werden können. Die vorgenannte „Beeinträchtigung der Person“ ist in jedem Fall dann ein Schaden, wenn der Geschädigte infolge des den Schaden verursachenden Ereignisses eine psychische Verletzung erlitten hat. Die Person, die sich darauf beruft, muss ausreichende konkrete Beweise vorlegen, aus denen geschlossen werden kann, dass im Zusammenhang mit den Umständen des Falles ein psychischer Schaden entstanden ist. Das Gericht ist dann der Ansicht, dass ein Verstoß gegen die DS-GVO nicht notwendigerweise eine Beeinträchtigung der Integrität einer Person impliziert und somit zu einem erstattungsfähigen immateriellen Schaden führt. Der Geschädigte muss die Beeinträchtigung seiner Person plausibel machen und den behaupteten Schaden mit konkreten Daten belegen. Nach Ansicht des Gerichts hat der Kl. nicht zumindest unzureichend erklärt, dass er durch das rechtswidrige Verhalten der Gemeinde aus objektiven Gründen iSe in der Psychiatrie anerkannten Krankheitsbilds eine psychische Verletzung erlitten habe. Nur ein mehr oder weniger starkes psychisches Unbehagen, wie vorübergehender Stress oder Angstzustände, reicht nicht aus, um immaterielle Schäden auszugleichen. |
Staatsrat Urt. v. 1.4.2020 – 201902417/1/A2 | 0 EUR Es ist nach nationalem Recht zu bestimmen, welches Gericht für die Entscheidung über Schadensersatzansprüche zuständig ist. Art. 15–22 DS-GVO sind untrennbar mit der Kontrolle der Verarbeitung personenbezogener Daten verbunden und ermöglichen es den betroffenen Personen, festzustellen, ob personenbezogene Daten rechtmäßig verarbeitet wurden, und u. a. Schadensersatz für unrechtmäßige Verarbeitung zu verlangen. Das Gericht meint, dass es möglich sein muss, einen Anspruch auf Ersatz des Schadens infolge eines Verstoßes gegen die DS-GVO durch eine Verwaltungsbehörde sowohl vor dem Verwaltungsgericht als auch vor dem Zivilgericht geltend zu machen. Der Kl. machte geltend, Anspruch auf Schadensersatz zu haben, weil das Kollegium seine personenbezogenen Daten zu Unrecht in das VNG-Forum eingeordnet habe und weil das Kollegium ihn zu spät über die Datenverarbeitung informiert habe. Das Gericht ist der Auffassung, dass in diesem Fall die Verarbeitung der personenbezogenen Daten nicht rechtswidrig ist. Zwar sieht Art. 82 Abs. 1 DS-GVO vor, dass der vollständige Ersatz des tatsächlichen immateriellen Schadens, der sich aus Verstößen gegen die DS-GVO ergibt, in einer Weise erfolgen muss, die den Zielen der VO gerecht wird, doch legt die DS-GVO nicht fest, wie der immaterielle Schaden zu bestimmen und zu berechnen ist. Nach stRspr des EuGH ist es in Ermangelung einer Gemeinschaftsregelung Sache der innerstaatlichen Rechtsordnung jedes Mitgliedstaats, die Regeln für die Ausübung des Entschädigungsanspruchs festzulegen, sofern die Grundsätze der Äquivalenz und der Effektivität beachtet werden. Bei der Ausübung des Rechts auf Entschädigung gem. Art. 82 DS-GVO ist jedoch der Erwägungsgrund DS-GVO zu berücksichtigen. Darin heißt es u. a., dass der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter für jeden Schaden aufkommen muss, der einer Person infolge einer gegen diese VO verstoßenden Verarbeitung entstehen kann. Der Begriff des Schadens sollte im Lichte der Rspr. des EuGH in einer Weise weit ausgelegt werden, die den Zielen dieser VO in vollem Umfang entspricht. Es wird auch festgestellt, dass die betroffenen Personen vollen und wirksamen Ersatz des ihnen entstandenen Schadens erhalten müssen. Nach stRspr des EuGH muss der zu ersetzende Schaden jedoch real und sicher sein. Unter Berücksichtigung der genannten Rspr. des EuGH und des Erwägungsgrundes 146 DS-GVO ist daher das nationale Recht wichtig für die Feststellung, ob der geltend gemachte Schaden ersatzfähig ist. Für die Beurteilung eines Antrags auf Ersatz immaterieller Schäden wird ein Zusammenhang mit dem Zivilschadensersatzrecht gesucht. Auch hier gilt der allgemeine Grundsatz, dass der behauptete Schaden begründet werden muss. Es gibt keine Grundlage für die Annahme, dass ein Verstoß gegen die DS-GVO lediglich eine Beeinträchtigung der Integrität einer Person darstellt und somit zu einem erstattungsfähigen Schaden führt. Entgegen dem Vorbringen der Rechtsmittelführerin lässt sich dies nicht aus den Erwägungsgründen 85 und 146 DS-GVO ableiten. Die Tatsache, dass ein Verstoß gegen die DS-GVO zu einem (im)materiellen Schaden führen kann und dass eine betroffene Person eine vollständige und wirksame Entschädigung für den von ihr erlittenen Schaden erhalten muss, bedeutet nicht, dass ein Verstoß gegen die Normen notwendigerweise zu einem Schaden führt und dass der Schaden nicht „real und sicher“ erlitten haben darf. Der Zweck des Schadens besteht darin, eine rechtswidrige Verletzung der Privatsphäre zu reparieren oder eine Entschädigung zu leisten. Die Verhängung einer Strafsanktion wie einer von ihr zu unterscheidenden Geldbuße geht hier nicht in Frage und soll dem Täter der verletzten Norm Leid zufügen. Entgegen dem Vorbringen der Rechtsmittelführerin heißt es im Erwägungsgrund 146 DS-GVO nicht, dass die Entschädigung wirksam und „hinreichend abschreckend“ sein muss. In Erwägungsgrund 146 DS-GVO heißt es, dass Schäden, die sich aus der unrechtmäßigen Verarbeitung personenbezogener Daten ergeben, wirksam und vollständig entschädigt werden müssen. Daraus lässt sich nicht ableiten, dass im Falle eines Verstoßes gegen die DS-GVO eine Verpflichtung zur Zuerkennung von Schadensersatz besteht, der über den vollen Ersatz des tatsächlich erlittenen Schadens hinausgeht. Ausgangspunkt ist daher, dass die Rechtsmittelführerin den Schaden an sich selbst plausibel machen und den ihm entstandenen Schaden mit konkreten Angaben belegen muss. |
Rb. Noord-Nederland Urt. v. 15.1.2020 – C/ 18/189406/HA ZA 19-6 | 250 EUR Vorliegend hat das Gericht ein Schadensersatzanspruch iHv 250 EUR wegen unrechtmäßiger Offenlegung personenbezogener Daten über soziale Netzwerke zugesprochen, da dies bei dem Bekl. zu Angst und Stress geführt hatte. Der Kl. verstoße gegen Art. 5 Abs. 1 lit. f, Art. 6 und Art. 32 Abs. 2 DS-GVO. Jeder Schaden ist zu ersetzen, und der Schadensbegriff ist – entsprechend den Zielen der DS-GVO – weit auszulegen (Erwägungsgrund 146 DS-GVO), was bedeutet, dass der bloße Umstand, dass der Schaden nicht genau spezifiziert werden kann und von relativ geringem Umfang sein kann, keinen Grund für die Ablehnung eines Anspruchs dagegen darstellen kann. |
Gericht von Amsterdam Urt. v. 2.9.2019 – 7560515 Lebenslauf EXPL 19-4611 | 250 EUR Der Verantwortliche muss einer Mitarbeiterin 250 EUR Entschädigung zahlen, weil sie zu Unrecht Informationen über ihr früheres Burnout mit dem neuen Arbeitgeber der Arbeitnehmerin geteilt hat. Ein Anspruch auf Ersatz immaterieller Schäden kann auch außerhalb von Fällen psychischer Verletzungen bestehen, nämlich dann, wenn die Art und Schwere des Verstoßes gegen die Norm dazu führen, dass die insoweit relevanten nachteiligen Folgen für den Geschädigten so offensichtlich sind, dass von einer Beeinträchtigung der Person ausgegangen werden kann. Jeder Fall muss jedoch nach seinen eigenen Verdiensten beurteilt werden. Es hängt auch von dem verletzten Standard und den von ihm geschützten Interessen ab, ob ein Verstoß vorliegt, der auf Grund seiner Art oder auf Grund seiner Schwere so beschaffen ist, dass von einem erheblichen Verstoß gegen die Person ausgegangen werden kann. Darüber hinaus muss davon ausgegangen werden, dass die DS-GVO selbst Grundsätze für die Beurteilung des Verstoßes, des Schadens und des Kausalzusammenhangs zwischen ihnen festlegt. Insoweit beruht die DS-GVO auf dem Grundsatz (146. Erwägungsgrund), dass der Begriff „Schaden“ im Lichte der Rspr. des EuGH in einer Weise weit auszulegen ist, die den Zielen dieser VO in vollem Umfang entspricht. Im vorliegenden Fall führt dies zu Folgendem: Auf der Grundlage der vorgelegten Unterlagen und der insoweit nicht bestrittenen Erläuterungen ist hinreichend erwiesen, dass die rechtswidrige Bekanntgabe der Tatsache, dass die Kl. seit langem krank war oder ggü. ihrem neuen Arbeitgeber folgende Folgen hatte: Gegen den Willen der Kl. haben Dritte (nämlich die Geschäftsführer und bestimmte Mitarbeiter des neuen Arbeitgebers) von der Krankheit der Kl. erfahren. Da die fragliche Mitteilung während eines Zeitraums erfolgte, in dem der neue Arbeitgeber entscheiden musste, ob er den Arbeitsvertrag der Kl. verlängern wollte oder nicht, erhöht sich das Risiko, dass dieser Vertrag nicht verlängert würde. Die genannten Umstände verursachten der Kl. Angst und Stress, deren Schwere durch die Tatsache, dass sie kurz zuvor einen Burnout hatte, negativ beeinflusst wurde. Der genannte Schaden ist dauerhaft und irreparabel, das Risiko eines wirtschaftlichen und sozialen Schadens ist letztlich nicht eingetreten, aber es kann davon ausgegangen werden, dass dieses Risiko für einen Zeitraum von etwa sechs Wochen zu den genannten Ängsten und Belastungen beigetragen hat. Bei der Beurteilung der Art und Schwere der Verletzung der Rechte der Kl. ist Folgendes besonders wichtig. Infolge dieses Verstoßes erlitt die Kl. tatsächliche und nicht zu vernachlässigende Nachteile. Die Interessen, von denen sie betroffen ist, sind die Interessen, die die Vorschriften der DS-GVO schützen sollen. Art. 82 DS-GVO sieht vor, dass die Person, die infolge eines Verstoßes gegen diese VO einen materiellen oder immateriellen Schaden erlitten hat, das Recht hat, von dem für die Verarbeitung Verantwortlichen oder den Auftragsverarbeiter Schadensersatz für den erlittenen Schaden zu verlangen. Jeder Schaden ist zu ersetzen, und der Begriff des Schadens ist – im Einklang mit den Zielen der DS-GVO – weit auszulegen (Erwägungsgrund 146), was bedeutet, dass die bloße Tatsache, dass der Schaden (tatsächlich, aber) relativ gering ist, keinen Grund für die Ablehnung eines Anspruchs darauf darstellen kann. Da der Verlust der Kontrolle über ihre personenbezogenen Daten über die Langzeitkrankheit dauerhaft ist, dies dagegen nur Arbeitnehmer von dem Arbeitergeber 2 betrifft und dies keine Folgen für ihre wirtschaftliche oder soziale Stellung hatte, während die Angst und der Stress, die infolge des Verstoßes aufgetreten sind, zeitlich begrenzt waren, wird eine Entschädigung iHv 250 EUR als angemessen und fair angesehen. |
Gericht von Overijssel Urt. v. 28.5.2019 – AK_18_2047 | 500 EUR Der Gerichtshof weist darauf hin, dass zur Beantwortung der Frage, ob auf dem von der Kl. genannten Grund immaterieller Schadensersatz zugesprochen werden kann, so weit wie möglich ein Zusammenhang mit dem zivilrechtlichen Entschädigungsrecht gesucht werden muss. Das Gericht folgt daher nicht dem Argument des Vertreters des Kl., dass die Bekl. und das Verwaltungsgericht nur unter Berücksichtigung des Ex-nunc-Grundsatzes nur unter Einhaltung der DS-GVO entscheiden sollten. Nach Ansicht des Gerichts ändert Art. 82 DS-GVO nichts daran, dass die Zuerkennung von Schadensersatz an die niederländische Rechtsordnung geknüpft sein kann und muss. Es ist nicht ersichtlich, dass die Anwendung dieses Systems dem in Art. 82 DS-GVO genannten Schadensersatz nicht oder nicht ausreichend gerecht werden kann. Nach Auffassung des Gerichts war der Kl. infolge dieser rechtswidrigen Entscheidung persönlich betroffen, weil er die Kontrolle über seine personenbezogenen Daten verloren hatte. Das ist ein Persönlichkeitsrecht. Dies bedeutet, dass der Kl. auf der Grundlage von Art. 82 DS-GVO iVm Art. 6:106 des niederländischen Bürgerlichen Gesetzbuches Anspruch auf eine Entschädigung hat, die nach Fairness zu bestimmen ist. In Bezug auf die Höhe dieser Entschädigung berücksichtigt das Gericht, dass die rechtswidrige Entscheidung keine Rechtfertigung für die Verarbeitung der personenbezogenen Daten des Kl. darstellte. Das Gericht berücksichtigt auch die Bestimmungen unter Erwägungsgründe 75, 85 und 146 DS-GVO. |
Rumänien | |
Judecatoria SECTORUL 5 BUCURESTI Entsch. v. 6.2.2019 – Nr. 747/2019 | Ca. 2.049 EUR (10.000 Leu) Das Gericht sprach immateriellen Schadensersatz zu, da personenbezogene Daten der betroffenen Person wie Adresse, persönliche Identifikationsnummer, Datum und Ort der Ausstellung des Personalausweises auf Internetplattformen sowie auch in Facebook unrechtmäßig veröffentlicht wurden. Es lag insb. keine Zustimmung zur Veröffentlichung der Daten vor. Zudem wurde gegen den Grundsatz der Datenminimierung verstoßen. Da das Gericht den Schaden nicht messen konnte, stellte es auf die Auswirkungen der Verarbeitung der personenbezogenen Daten und die sonstigen Konsequenzen zur Beurteilung der Schadenshöhe ab. |
Österreich | |
OLG Linz Entsch. v. 10.11.2021 – 2R149/21a | 1.649,34 EUR Kosten aus einem Vorverfahren fallen, auch wenn dieses ein Verwaltungsverfahren ist, iSe Rettungsaufwands unter den allgemeinen Schadensbegriff des § 1293 ABGB iVm Art. 82 DS-GVO, § 29 DSG. |
ÖOGH Beschl. v. 15.4.2021 – 6 Ob 35/21 x = ZD 2021, 631 mAnm Leibold/Laoutoumai | 500 EUR Art. 82 DS-GVO statuiert eine eigenständige datenschutzrechtliche Haftungsnorm. Auf die zum Ersatz immaterieller Schäden im nationalen Schadensersatzregime entwickelten Rechtsprechungsgrundsätze kann nicht ohne Weiteres zurückgegriffen werden. Der zugesprochene Betrag muss über eine rein symbolische Entschädigung hinausgehen. Es muss ein (ideeller) Schaden tatsächlich eingetreten sein. Der Umstand, dass der Auskunftspflichtige seiner gesetzlichen Pflicht zur Bekanntgabe der Herkunft von Daten nicht nachkommt, stellt für sich allein noch keinen ideellen Schaden des Betroffenen dar. Es muss eine Konsequenz oder Folge der Rechtsverletzung gegeben sein, die über den an sich durch die Rechtsverletzung hervorgerufenen Ärger bzw. Gefühlsschaden hinausgeht. Aus der Rechtsverletzung resultierende Gefühlsbeeinträchtigungen wie Ängste, Stress oder Leidenszustände auf Grund einer erfolgten oder auch nur drohenden Bloßstellung, Diskriminierung oder Ähnlichem können als immaterielle Schäden zu einem Ersatzanspruch führen. Eine besonders schwerwiegende Beeinträchtigung der Gefühlswelt ist nicht zu fordern. Bei der Bemessung des Schadens kommt es nicht auf das Verhalten des Schädigers, sondern ausschließlich auf die Auswirkungen bei der geschädigten Person an, wobei diese mit der Kategorie der Daten, der Schwere und Dauer des Verstoßes sowie etwaigen Dritten, denen Daten übermittelt wurden, in direktem Zusammenhang stehen werden. Erwägungsgrund 146 DS-GVO spricht dafür, dass der Schadensersatz nicht zu knapp zu bemessen ist; ein künstlich niedrig bezifferter Betrag mit symbolischer Wirkung reicht nicht aus, um die praktische Wirksamkeit des Unionsrechts sicherzustellen. Der Schadensersatz muss spürbar sein, um eine präventive und abschreckende Wirkung enthalten zu können. Die Tatsache, dass man von einer Datenverarbeitung „massiv genervt“ ist, kann ausreichen. |
OLG Wien Urt. v. 7.12.2020 – 11 R 153/20 f, 154/20 b = ZD 2021, 633 | 500 EUR Vorliegend wurde gegen die Auskunftspflicht nach Art. 15 DS-GVO verstoßen, sodass ein immaterieller Schadensersatz iHv 500 EUR als angemessen angesehen wurde. |
LGZ Wien Urt. v. 30.6.2020 – 3 Cg 52/14k-91 = ZD 2021, 25 mAnm Messner/Mosing (bestätigt durch OLG Wien Urt. v. 7.12.2020 – 11 R 153/20 f, 154/20 b) | 500 EUR Ein Verstoß gegen die Auskunftspflicht nach Art. 15 DS-GVO berechtigt zu einem immateriellen Schadensersatz iHv 500 EUR. |
OLG Innsbruck Urt. v. 13.2.2020 – 1 R 182/19 b = ZD 2020, 304 mAnm Wirthensohn | 0 EUR Ein Datenschutzverstoß muss in die Gefühlssphäre des Geschädigten eingreifen, damit von einem wegen eines Verstoßes gegen die DS-GVO entstandenen immateriellen Schaden (Art. 82 Abs. 1 DS-GVO) gesprochen werden kann. Nicht jeder Verstoß führt zu einem immateriellen Schadensersatz. Der Verpflichtung zum Ausgleich eines immateriellen Schadens muss eine benennbar und insoweit tatsächliche Persönlichkeitsverletzung gegenüberstehen, zB in der mit einer unrechtmäßigen Zugänglichmachung von Daten liegenden „Bloßstellung“. |
LG Feldkirch/Österr. Beschl. v. 7.8.2019 – 57 Cg 30/19 b – 15 = ZD 2019, 562 mAnm Wirthensohn | 800 EUR Der Schadensbegriff nach der DS-GVO ist weit und autonom auszulegen. Er umfasst den physischen, materiellen und immateriellen Schaden. Die DS-GVO normiert keine Erheblichkeitsschwelle für den Ersatz des immateriellen Schadens. Dennoch sind nicht alle Unlustgefühle, die mit einer Rechtsverletzung verbunden sind, ersatzfähig, sondern muss der Interessenbeeinträchtigung ein Gewicht zukommen. Vorliegend wurden die Parteiaffinitäten der betroffenen Person ohne dessen Einwilligung und Information ermittelt und gespeichert. |
Polen | |
NEU Bezirksgericht Warschau-Praga Urt. v. 17.3.2022 – II C 1228/19 | ca. 212 EUR Das Gericht bestätigte, dass der Vorfall eine „Verletzung des Schutzes personenbezogener Daten" iSv Art. 4 Abs. 12 DS-GVO darstellt. Es erinnerte auch daran, dass jede Person, die auf Grund eines Verstoßes gegen die DS-GVO einen materiellen oder immateriellen Schaden erlitten hat, gem. Art. 82 Abs. 1 DS-GVO das Recht hat, von dem für die Verarbeitung Verantwortlichen oder dem Auftragsverarbeiter Schadensersatz zu verlangen. Das Gericht bewertete das Ausmaß des vom Kl. erlittenen Schadens. Es betrachtete die personenbezogenen Daten, die bei der Sicherheitsverletzung offengelegt wurden, als "hochsensibel". Das Gericht stellte fest, dass die Befürchtung der Kl., ihre Daten könnten von Dritten unbefugt verwendet werden, angesichts der in den Medien verbreiteten Nachrichten über die illegale Verwendung personenbezogener Daten zur Aufnahme von Krediten bei anderen Personen als "real" anzusehen ist. Das Gericht stellte fest, dass die Bekl. nach Bekanntwerden des Verstoßes alle erforderlichen Maßnahmen ergriffen hat, um zu verhindern, dass der Schaden weiter zunimmt. Die Maßnahmen des Bekl. führten dazu, dass die Datei mit den personenbezogenen Daten aus dem Besitz des Unbefugten gelöscht wurde, wodurch jede weitere Möglichkeit eines Schadens beseitigt wurde. Das Gericht kam zu dem Schluss, dass die Kl. abgesehen von der Befürchtung, dass ihre personenbezogenen Daten von einem unbefugten Dritten verwendet werden könnten, von keinen weiteren Folgen betroffen war. Daher war der immaterielle Schaden gering und die Forderung von 20.000 PLN (ca. 4.247 EUR) überhöht und dem Ausmaß des erlittenen Schadens nicht angemessen. Das Gericht entschied, dass der Kl. wegen des unzureichenden Schutzes gem. der DS-GVO und der Verletzung ihres Rechts auf Privatsphäre ein Betrag von 1.000 PLN (ca. 212 EUR) zuzusprechen sei. |
Sąd Okręgowy w Warszawie Urt. v. 6.8.2020 – XXV C 2596/19 | ca. 328 EUR Die Weitergabe personenbezogener Daten durch einen Versicherer auf Grund eines Verkehrsunfalls erfolgte vorliegend ohne Rechtsgrundlage. Personenbezogene Daten des Geschädigten als Halter des an dem Verkehrsunfall beteiligten Fahrzeugs dürfen in der Regel dem Geschädigten zur Verfügung gestellt werden, auch wenn der Geschädigte das Fahrzeug während des Unfalls nicht geführt hat. Wenn der Geschädigte eines Verkehrsunfalls in den Besitz von Daten über den Eigentümer des Fahrzeugs (den Halter) gelangt, soll er in die Lage versetzt werden, Ansprüche im Zusammenhang mit dem erlittenen Sach- oder Nichtvermögensschaden geltend zu machen. Dabei ist der Grundsatz der Datenminimierung nach Art. 5 Abs. 1 lit. c DS-GVO zu beachten, der vorliegend verletzt wurde. Für diese Zwecke reicht es aus, wenn Vor- und Nachname des Fahrzeugeigentümers und die Nummer der Haftpflichtversicherungspolice (und ggf. der Wohnort) vorliegen und den Eigentümer des Fahrzeugs hinreichend identifizieren. Die Übermittlung der persönlichen Identifikationsnummer (PESEL) und der Telefonnummer des Fahrzeughalters geht sicherlich über diese Zwecke hinaus. Der beklagten Versicherungsgesellschaft kann ein subjektives Verschulden im oben beschriebenen Sinne angelastet werden. Die o. g. gesetzlichen Bestimmungen über den Schutz personenbezogener Daten (Schutz der Persönlichkeitsrechte) hätten den Vertretern der Bekl., die dem Geschädigten des Verkehrsunfalls die Schadensunterlagen ausgehändigt haben, bekannt sein müssen, da die Bekl. beruflich im Versicherungswesen tätig ist, das u. a. die Schadensregulierung umfasst. Infolge dieses Vorfalls verlor die Kl. ihr Sicherheitsgefühl und bekam Angst vor der Möglichkeit, dass andere Personen ihre persönlichen Daten unbefugt nutzen könnten, indem sie in ihrem Namen Bankgeschäfte tätigten oder unerwünschte Telefonanrufe bei ihr tätigten. Der Schaden, der dem Kl. auf diese Weise entstanden ist, verpflichtet den Bekl. gem. Art. 82 Abs. 1 DS-GVO zur Wiedergutmachung des Schadens durch Zahlung einer Geldentschädigung. Mit der Gewährung einer finanziellen Entschädigung soll der durch die unerlaubte Handlung verursachte Schaden des Geschädigten (immaterieller Schaden) gemildert werden. Die Entschädigung für den erlittenen Schaden muss auf Grund ihres Ausgleichscharakters einen wirtschaftlich wahrnehmbaren Wert darstellen. Andererseits darf die Höhe der Entschädigung im Verhältnis zum erlittenen Schaden und zu den derzeitigen finanziellen Verhältnissen der Gesellschaft nicht zu hoch sein, da sie den Schaden mindern und nicht zu einer Bereicherung des Opfers führen soll. Die Elemente, die die Höhe der Entschädigung bestimmen, sind die Art des verletzten persönlichen Gutes, der Grad des Verschuldens des Täters, die Intensität des Eingriffs des Täters in das oder die persönlichen Güter und die und die Dauer des Verstoßes, die Art und Weise, wie der Geschädigte die rechtswidrige Handlung des Täters in seiner Psyche empfunden hat. Nach Ansicht des Gerichts ist der Betrag iHv 1.500 PLN (ca. 328 EUR) eine angemessene Entschädigung für die Kl. im Hinblick auf das Ausmaß ihres Schadens. Dieser Betrag soll den immateriellen Schaden ausgleichen, der der Antragstellerin durch die Verletzung ihrer Persönlichkeitsrechte durch den Antragsgegner entstanden ist. Es handelt sich um einen finanziellen Gewinn für die Kl., der ihr eine moralische Genugtuung verschafft, die dem Ausmaß der Verletzung ihrer Persönlichkeitsrechte entspricht, und somit ihre Entschädigungsfunktion erfüllt. Andererseits wird dieser Betrag nicht übermäßig hoch sein und nicht zu einer ungerechtfertigten Bereicherung des Kl. auf Kosten des Bekl. führen. |
United Kingdom | |
High Court of Justice, Queen’s Bench division (London) Entsch. v. 28.5.2021 – Case No: QB-2020-002788 | 0 EUR Der Vertreter nach Art. 27 DS-GVO ist für Schäden nach Art. 82 DS-GVO oder die Einhaltung der DS-GVO durch den Verantwortlichen nicht verantwortlich. |