Internet Explorer: Unsere Empfehlung

×
Sie nutzen noch den Interenet Explorer 11 (IE11) und wir empfehlen Ihnen, bis zum 15. Juni 2022 auf den neuen Browser „Microsoft Edge“ oder eine aktuelle Version eines anderen gängigen Internet-Browsers (Firefox, Chrome, usw.) umzusteigen. Wir folgen damit den Empfehlungen des Unternehmens Microsoft, das ebenfalls schrittweise begonnen hat, die Unterstützung dieser Browserversion einzustellen. Bei Fragen wenden Sie sich bitte an unsere Hotline unter der Telefonnummer 089-38189-421.
CHB_RSW_Logo_mit_Welle_trans
Zeitschrift für Datenschutz | Banner

Übersicht über den Schadensersatzanspruch nach Art. 82 DS-GVO – im Jahr 2023 Update

Kevin Leibold, LL. M., ist Rechtsanwalt; auf Twitter/X unter: @kleibold23.
ZD-Aktuell 2023, 01426       Hier findet sich eine von Kevin Leibold, LL. M., erstellte Übersicht über den Schadensersatzanspruch nach Art. 82 DS-GVO ab dem Jahr 2023 mit dem aktuellen Stand vom 22.10.2023.

Die Vielzahl der Gerichtsentscheidungen hat es erforderlich gemacht, den Inhalt der Entscheidungen auf ein notwendiges Maß zu reduzieren und sich auf die Verwendung von Stichworten zu beschränken. Die Stichworte sollen als Anhaltspunkt für weitere Recherchen zu der jeweiligen Entscheidung dienen. Zur Übersicht über den Schadensersatzanspruch nach Art. 82 DS-GVO in den Jahren 2018 – 2022 vgl. ZD-Aktuell 2023, 01194 und zur Übersicht über den Schadensersatzanspruch nach Art. 82 DS-GVO – im Jahr 2023 vgl. ZD-Aktuell 2023, 01193.

Gericht

Schadensumfang und Begründung

EuGH

 

NEU EuGH (3. Kammer) Urt. v. 4.5.2023 – C-300/21 – UI/Österreichische Post AG = ZD 2023, 446 mAnm Mekat/Ligocki

0 EUR Art. 82 Abs. 1 DS-GVO ist dahin auszulegen, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadenersatzanspruch zu begründen. Art. 82 Abs. 1 DS-GVO ist dahin auszulegen, dass er einer nationalen Regelung oder Praxis entgegensteht, die den Ersatz eines immateriellen Schadens iSd Bestimmung davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat. Art. 82 DS-GVO ist dahin auszulegen, dass die nationalen Gerichte bei der Festsetzung der Höhe des Schadenersatzes, der auf Grund des in diesem Artikel verankerten Schadenersatzanspruchs geschuldet wird, die innerstaatlichen Vorschriften der einzelnen Mitgliedstaaten über den Umfang der finanziellen Entschädigung anzuwenden haben, sofern die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität beachtet werden.

BGH

 

BGH Beschl. v. 9.1.2023 – VI ZR 365/22

0 EUR Die Kl. nimmt die beklagte Bundesrepublik Deutschland auf Schadensersatz in Anspruch. Das LG hat die Klage abgewiesen.

Oberlandesgerichte

 

NEU OLG München Verfügung v. 14.9.2023 – 14 U 3190/23 e

0 EUR Das Ersturteil arbeitet überzeugend heraus, dass der Bekl. eine schadenskausale Pflichtverletzung, die in den Anwendungsbereich des Art. 82 DS-GVO fiele, nicht angelastet werden kann. Der Schadensbegriff reicht im Prinzip weit, setzt aber eine fühlbare reale Beeinträchtigung voraus. An dieser fehlt es hier. Erwägungsgrund 85 besagt nicht, dass jeder Kontrollverlust ein Schaden ist.

NEU OLG Dresden Beschl. v. 29.8.2023 – 4 U 1078/23

1.500 EUR Für die Bemessung des immateriellen Schadensersatzanspruches wegen einer Datenschutzverletzung ist auf die im Erwägungsgrund 146 der DS-GVO genannten Faktoren abzustellen. Für die Herbeiführung einer rechtswidrigen Schufa-Eintragung kann die immaterielle Entschädigung mit 1.500 EUR bemessen werden.

NEU OLG Karlsruhe Beschl. v. 24.8.2023 – 19 U 28/23

Anspruch auf materielle Schäden Der Kl. hat gegen den Bekl. gem. Art. 82 Abs. 1 DS-GVO einen Anspruch auf Schadensersatz wegen der materiellen Schäden, die ihm durch die verordnungswidrige Übersendung des Schreibens vom 5. Dezember 2018 an den Rechtsanwalt der Frau W.-B. entstanden sind. Da er geltend macht, dass der Schaden noch in der Entwicklung begriffen sei, kann er gem. § 256 Abs. 1 ZPO die Feststellung des Bestehens dieser Ersatzpflicht verlangen. Ohne Bedeutung für das Bestehen der Ersatzpflicht dem Grunde nach ist dabei der vom Bekl. hervorgehobene Umstand, dass der Kl. selbst die im Schreiben enthaltenen, ansehensbeeinträchtigenden Informationen an zahlreiche Dritte weitergegeben hat. Die Frage, ob ein konkreter geltend gemachter Schaden tatsächlich auf den Versand des Schreibens durch den Bekl. zurückzuführen ist, wird ggf. in einem sich anschließenden Leistungsverfahren zu klären sein. Der Anspruch des Kl. auf materiellen Schadensersatz gem. Art. 82 Abs. 1 DS-GVO umfasst auch die Erstattung der dem Kl. entstandenen vorgerichtlichen Rechtsanwaltskosten.

NEU OLG Hamm Urt. v. 15.8.2023 – 7 U 19/23

0 EUR Ein Anspruch aus Art. 82 Abs. 2, Abs. 1 DS-GVO (iVm Art. 288 Abs. 2 AEUV) besteht nicht. Ein Anspruch aus Art. 82 Abs. 2, Abs. 1 DS-GVO setzt zunächst voraus, dass diese Regelung zeitlich, sachlich und räumlich anwendbar ist. IÜ hat Art. 82 Abs. 2 DS-GVO, der die Haftungsregelung, deren Grundsatz in Abs. 1 dieses Artikels festgelegt ist, präzisiert, drei Voraussetzungen für die Entstehung des Schadensersatzanspruchs, nämlich eine Verarbeitung personenbezogener Daten unter Verstoß gegen die Bestimmungen der DS-GVO, einen der betroffenen Person entstandenen Schaden und einen Kausalzusammenhang zwischen der rechtswidrigen Verarbeitung und diesem Schaden. Obwohl es sich bei dem für die Haftung nach Art. 82 DS-GVO erforderlichen Verstoß gegen die DS-GVO im Zuge der Datenverarbeitung um eine anspruchsbegründende Voraussetzung handelt, ist nicht die Kl. für einen solchen Verstoß darlegungs- und beweisbelastet. Die DS-GVO enthält indes in Art. 5 Abs. 2 DS-GVO eine spezifische Beweislastregelung. Er muss damit also generell nach dem in Art. 5 Abs. 2 DS-GVO verankerten Grundsatz der Rechenschaftspflicht nachweisen können, dass er die in Abs. 1 dieses Artikels festgelegten Grundsätze für die Verarbeitung personenbezogener Daten einhält. Konkret nicht ausgeräumt hat die Bekl. neben Verstößen gegen Art. 5 Abs. 1 lit. a, 6 Abs. 1 UAbs. 1 DS-GVO zudem auch solche gegen Art. 5 Abs. 1 lit. b, 25 Abs. 1 und Abs. 2 DS-GVO und Art. 5 Abs. 1 lit. f, 32 DS-GVO. Es oblag der Kl., einen über die Datenschutzverstöße und über den damit mittelbar einhergehenden Kontrollverlust hinausgehenden immateriellen Schaden in Form einer persönlichen / psychologischen Beeinträchtigung auf Grund der Datenschutzverstöße und des Kontrollverlustes darzulegen. Der von der Kl. ins Feld geführte „völlige Kontrollverlust“ rechtfertigt als solcher keine Entschädigungsverpflichtung. Auch wenn es keine Erheblichkeitsschwelle gibt, so bedeutet dies indes nicht, dass die aus dem Datenschutzverstoß resultierenden negativen Folgen per se einen haftungsbegründenden Schaden darstellen. Die Annahme eines solchen konkreten Schadens setzt in unionsautonomer Auslegung nach ständiger Rspr. des EuGH voraus, dass dieser „tatsächlich und sicher“ besteht. Schließlich hat die Kl. auch die erforderliche Kausalität zwischen Verarbeitungsverstoß und vermeintlich immateriellem Schaden nicht dargelegt und bewiesen. Mangels feststellbaren Schadens kann dahinstehen, dass die Bekl. den Entschuldigungsnachweis nach Art. 82 Abs. 3 DS-GVO bereits mangels hinreichender Darlegung nicht geführt hätte. Denn wie die vorstehenden Ausführungen zu den Verstößen gegen die DS-GVO zeigen, hätte die Bekl. in jedem dieser Fälle vermeidend tätig werden können. Diese Rspr. zum allgemeinen Persönlichkeitsrecht ist unter dem Gesichtspunkt von Äquivalenz und Effektivität auf den vorliegenden Fall der Verletzung des nach Art. 82 DS-GVO absolut geschützten Rechtsguts Datenschutz als (abschließende) europarechtliche Ausformung des deutschen allgemeinen Persönlichkeitsrechts zu übertragen.

NEU OLG Köln Urt. v. 11.8.2023 – 15 U 149/22

0 EUR Das Landgericht hat zu Recht angenommen, dass der Kl. ein Anspruch auf Ersatz eines immateriellen Schadens gem. Art. 82 Abs. 1 DS-GVO nicht zusteht. Zwar hat der Senat entschieden, dass Verstöße gegen Auskunftspflichten aus Art. 15 DS-GVO Grundlage für einen Ersatzanspruch gem. Art. 82 Abs. 1 DS-GVO sein können. Das Landgericht hat aber zutreffend ausgeführt, dass im Streitfall jeglicher nachvollziehbare Vortrag dazu fehlt, dass der Kl. ein immaterieller Schaden entstanden ist. Ein solcher Vortrag ist auch nicht entbehrlich. Denn der EuGH hat mit Urt. v. 4. Mai 2023 – C-300/21 – entschieden, dass der bloße Verstoß gegen Bestimmungen der DS-GVO nicht ausreicht, um einen Schadensersatzanspruch zu begründen. Vielmehr muss die von einem Verstoß gegen die DS-GVO betroffene Person nachweisen, dass der Verstoß für sie negative Folgen gehabt hat und diese Folgen einen immateriellen Schaden darstellen, wobei es dann nicht auf einen bestimmten Grad an Erheblichkeit ankommt. Im Streitfall hat die Kl. den ihr obliegenden Nachweis eines immateriellen Schadens auch im Berufungsverfahren nicht erbracht. Die Berufungsbegründung enthält zwar abstrakte Ausführungen zur Funktion des Anspruchs aus Art. 82 Abs. 1 DS-GVO und zu einem ohnmächtigen Kontrollverlust der betroffenen Person im Falle der Nichterfüllung einer verlangten Auskunft. Diese Ausführungen haben aber keinen konkreten Bezug zum Streitfall. IÜ verweist die Berufung lediglich auf den Zeitablauf seit dem vorgerichtlichen Auskunftsverlangen und eine fortgesetzte Erfüllungsverweigerung der Bekl., ohne irgendwelche negativen Folgen des geltend gemachten Verstoßes gegen Art. 15 DS-GVO für die Kl. aufzuzeigen.

NEU OLG Köln Urt. v. 10.8.2023 – 15 U 78/22 = ZD 2023, 557

0 EUR Ansprüche des Kl. aus Art. 82 Abs. 1 DS-GVO bestehen nicht. Zwar hat der Senat entschieden, dass Verstöße gegen Auskunftspflichten aus Art. 15 DS-GVO Grundlage für einen Ersatzanspruch gem. Art. 82 Abs. 1 DS-GVO sein können. Das Landgericht hat aber zutreffend ausgeführt, dass im Streitfall gerade kein immaterieller Schaden des Kl. erkennbar ist. Auch in Ansehung der Tatsache, dass es nach der zwischenzeitlich vorliegenden Rspr. des EuGH keinen sog. „Bagatellvorbehalt“ und keine „Erheblichkeitsschwelle“ bei Art. 82 Abs. 1 DS-GVO gibt, bedeutet dies gerade nicht, dass eine Person, die von einem Verstoß gegen die DS-GVO betroffen ist, der für sie negative Folgen gehabt haben soll, vollständig vom Nachweis befreit wäre, dass überhaupt solche Folgen bei ihr vorliegen und einen immateriellen Schaden iSv Art. 82 DS-GVO darstellen. Mit Blick auf den Kl. ist dazu bis zuletzt aber nichts ersichtlich. Dem Kl. ist keine belastende Unsicherheit über den Fortgang eines anderen, für ihn wichtigen gerichtlichen Verfahrens entstanden. Denn der Haftpflichtprozess war ohne weiteres auch ohne die weitere Auskunftserteilung durch die Bekl. als bloßem Haftpflichtversicherer des Schädigers ohne weiteres schon lange problemlos führbar. Die im Regressprozess gegen den Versicherungsnehmer der Bekl. vom Kl. eingereichte Klageschrift datiert vom 31.12.2017 und das Auskunftsverlangen wurde erst am 20.6.2020 kurz vor der mündlichen Verhandlung vom 8.7.2020 in erster Instanz des Haftpflichtprozesses konkret geltend gemacht. Auch ein – wie auch immer gelagerter – „Kontrollverlust“ mit entsprechenden immateriellen Folgen für den Kl. ist weder vorgetragen noch ersichtlich. Was den Haftungsprozess angeht, lag zudem ohnehin von Anfang an klar auf der Hand, dass selbst eine weitergehende Beauskunftung von etwaigen in internen Vermerken und/oder Anwaltskorrespondenz enthaltenen personenbezogen Daten des Kl. und die Übergabe von etwaigen (u. U. teilgeschwärzten) Kopien davon mit Blick auf Art. 15 Abs. 4 DS-GVO dem Kl. jedenfalls nicht ohne weiteres einen tiefergehenden Einblick in eine wie auch immer gelagerte „Verteidigungsstrategie“ der Bekl. im Haftpflichtprozess hätte eröffnen können. Soweit im Schriftsatz vom 9.9.2021 nur vage angedeutet worden ist, dass der Kl. durch die verzögerte Auskunft der Bekl. jedenfalls ein Führen von Verhandlungen im Haftungsprozess nicht ausreichend habe nachweisen können, ist das schon in sich nicht schlüssig, weil er an solchen Verhandlungen – sonst wären es keine – zwangsläufig selbst beteiligt gewesen sein muss. Es ist weder dargetan noch sonst ersichtlich, welche unter Art. 15 Abs. 1 bzw. Abs. 3 DS-GVO fallenden Auskünfte/Unterlagen für den Kl. noch hätten relevant werden sollen; all dies erläutert auch die Berufung nicht mehr weiter.

NEU OLG Köln Urt. v. 10.8.2023 – 15 U 184/22

0 EUR Das Schadensersatzbegehren iSd Art. 82 Abs. 1 DS-GVO, welches mit der Berufung unter Anpassung der Mindestbetragsvorstellungen weiterverfolgt wird, hat das Landgericht hier zu Recht abgewiesen. Die Kammer hat zu Recht angenommen, dass der Kl. ein Anspruch auf Ersatz eines immateriellen Schadens gem. Art. 82 Abs. 1 DS-GVO nicht zusteht. Zwar hat der Senat entschieden, dass Verstöße gegen Auskunftspflichten aus Art. 15 DS-GVO durchaus eine Grundlage für einen Ersatzanspruch gem. Art. 82 Abs. 1 DS-GVO sein können. Das Landgericht hat indes zutreffend ausgeführt, dass im Streitfall jeglicher nachvollziehbare Vortrag dazu fehlt, dass und warum der Kl. ein immaterieller Schaden entstanden sein sollte. Ein solcher Vortrag ist auch nicht entbehrlich. Denn der EuGH hat mit Urt. v. 4. Mai 2023 – C-300/21 entschieden, dass jedenfalls der bloße Verstoß gegen Bestimmungen der DS-GVO nicht ausreicht, um einen Schadensersatzanspruch zu begründen. Vielmehr muss die von einem Verstoß gegen die DS-GVO betroffene Person nachweisen, dass der Verstoß für sie negative Folgen gehabt hat und diese Folgen einen immateriellen Schaden darstellen, wobei es dann nicht auf eine Erheblichkeit ankommt. Diesen ihr obliegenden Nachweis hat die Kl. trotz des Hinweises des Landgerichts v. 12.8.2022 – auch bis zuletzt im Berufungsverfahren nicht erbracht. Allein eine lange Verzögerung und ein unterstellter „böser Wille“ machen keinen „Schaden“ aus.

NEU OLG Brandenburg Urt. v. 26.5.2023 – 7 U 166/22 = ZD 2023, 556

0 EUR Die Bekl. ist für die Verarbeitung der unrichtigen Daten nicht verantwortlich, Art. 82 Abs. 3 DS-GVO. Die Bekl. erhielt von ihrer Vertragspartnerin unrichtige Informationen.

NEU OLG Köln Urt. v. 4.5.2023 – 15 U 3/23

1.500 EUR Der Anspruch des Kl. ergibt sich jedoch dem Grunde nach aus Art. 82 Abs. 1 DS-GVO, der im Zeitpunkt der ersten unstreitigen Verwendung des Namens im Jahre 2019 bereits in Kraft war (Art. 99 DS-GVO) und auf den vom Kl. geltend gemachten Anspruch mangels eines für die Bekl. eingreifenden Medienprivilegs – der Versandkatalog ist keine journalistische Tätigkeit gem. Art. 85 DS-GVO iSd Rspr. des EuGH. Der Senat ist weiter der Auffassung, dass jedenfalls in Fällen wie dem vorliegenden, also bei einem Eingriff in die vermögenswerten Bestandteile des allgemeinen Persönlichkeitsrechts des Betroffenen durch Verwendung derselben in einem kommerziellen Kontext, der Anspruch auf Ersatz des materiellen Schadens nach Art. 82 Abs. 1 DS-GVO auch die fiktive Lizenzgebühr umfassen kann (Lizenzanalogie). In Erwägungsgrund 146 S. 6 ist die Zielsetzung enthalten, der betroffenen Person einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden zukommen zu lassen. Insofern erscheint es vorzugswürdig, dass der autonom auszulegende Schadensbegriff des Art. 82 Abs. 1 DS-GVO insoweit für eine Ausgestaltung offen ist und mangels konkreter Regeln im Unionsrecht auch mitgliedstaatliche Rechtsgrundsätze – und damit hier die Grundsätze der sog. dreifachen Schadensberechnung – zur Berechnung des ersatzfähigen materiellen Schadens herangezogen werden können, wobei allerdings die Vorgaben des Äquivalenz- und Effektivitätsgrundsatzes hinsichtlich Haftungshöchstbetrag und etwaigem Strafschadensersatz zu beachten sind. Im Fall einer nach Art. 82 Abs. 1 DS-GVO als Schadensersatz zu zahlenden fiktiven Lizenzgebühr ist deren Höhe vom Tatgericht gem. der prozessrechtlichen nationalen Regelung des § 287 Abs. 2 ZPO zu schätzen. Zu fragen ist, was vernünftige Vertragspartner als Vergütung für die vom Verletzer vorgenommenen Benutzungshandlungen vereinbart hätten. Im Rahmen der Ermittlung des objektiven Werts der Benutzungsberechtigung, der für die Bemessung der Lizenzgebühr maßgebend ist, müssen die gesamten relevanten Umstände des Einzelfalls in Betracht gezogen und umfassend gewürdigt werden. Zum anderen liegt der Sinn und Zweck des Anspruchs auf Ersatz jedenfalls des materiellen Schadens nach Art. 82 Abs. 1 DS-GVO – um den es hier allein geht – ausweislich des Erwägungsgrunds 146 in einem schlichten Ausgleich der an den vermögenswerten Rechtspositionen des Betroffenen eingetretenen Beeinträchtigungen und nicht etwa in einer über diese reine Kompensation noch hinausgehenden „Bestrafung“ des Verletzers, wozu auf Seiten der Bekl., die sich im Hinblick auf die verworrene tatsächliche Situation rund um die Einwilligung zur Veröffentlichung von Name und Zitat letztlich subjektiv als berechtigt angesehen hat, den Versandkatalog mit den personenbezogenen Daten des Kl. zu versehen, iÜ auch kein Anlass besteht.

NEU OLG Köln Beschl. v. 26.4.2023 – 15 U 24/23

0 EUR Auch wenn man auf die DS-GVO abstellen wollte, gelten zudem die Grundsätze der bereicherungsrechtlichen Haftung auf eine sog. Lizenzanalogie über §§ 812 ff. BGB wegen Eingriffs in die vermögenswerten Bestandteile des Persönlichkeitsrechts fort. Schon mit Blick auf Erwägungsgrund Nr. 146 S. 4 der DS-GVO ist die Regelung in Art. 82 DS-GVO selbst im Bereich von Schadensersatzansprüchen keinesfalls abschließend, sondern konkurriert mit anderen nationalen Ansprüchen, was erst recht (und auch im Lichte des Art 79 Abs. 1 DS-GVO) für sonstige Ansprüche und Ausgleichsinstrumentarien des nationalen Rechts im Fall rechtswidriger Eingriffe in das Persönlichkeitsrecht gelten muss. Ob man ansonsten iRd Art. 82 DS-GVO bei einer unterstellt rechtswidrigen Datenverarbeitung den materiellen Schaden generell wahlweise auch im Wege einer Lizenzanalogie berechnen könnte, ob jedenfalls bei Eingriffen in die vermögenswerten Bestandteile des allgemeinen Persönlichkeitsrechts sogar ein Rückgriff auf die Grundsätze der sog. dreifachen Schadensberechnung möglich ist oder ob etwa im Lichte von Art. 13 der Richtlinie 2004/48/EG – Enforcement-RL – die allerdings als solche das allgemeine Persönlichkeitsrecht nicht als Immaterialrechtsgut erfasst und harmonisiert) – jedenfalls bei kommerzieller Ausnutzung vermögenswerter Persönlichkeitsrechtsbestandteile statt einer konkreten Berechnung eines materiellen oder immateriellen Schadens stets zumindest die Lizenzanalogie als eine besondere Form der Schadenspauschalierung eröffnet ist, bedarf hier mangels Entscheidungserheblichkeit keiner Klärung. Dies gilt auch für die weitere und vom Senat schon im Hinweisbeschluss vom 17.11.2022- 15 U 133/22, n. v. offen gelassene Frage, ob über Art. 82 DS-GVO und dem danach ggf. auch zu zahlenden immateriellen Schadensersatz wegen der Präventionsfunktion des Art. 82 Abs. 1 DS-GVO im Einzelfall flankierend höhere Lizenzanalogien denkbar sein könnten. Denn der konkret ausgeurteilte Betrag ist auch schon ohne solche „Zuschläge“ mit dem Landgericht über die §§ 812 ff. BGB gerechtfertigt, sodass es darauf nicht mehr für die Entscheidung des Senats ankommt.

NEU OLG Frankfurt/M. Urt. v. 30.3.2023 – 16 U 22/22 = ZD 2023, 459

0 EUR Der vom Kl. geltend gemacht Unterlassungsanspruch ergibt sich nicht aus Art. 82 DS-GVO. Zwar kann sich unter Umständen – jedenfalls nach deutschem Verständnis der Schadensrestitution iSv § 249 Abs. 1 BGB – aus einem Schadensersatzanspruch auch ein Unterlassungsanspruch ergeben. Allerdings sind die Voraussetzungen dafür hier nicht gegeben. Der Kl. hat schon einen konkreten Schaden, der ihm durch die Weiterleitung der Daten als Folge der von ihm vorgetragenen dreimaligen Aufrufe der Webseite der Bekl. entstanden sein soll, nicht dargelegt. Ein Anspruch setzt aber die Entstehung eines – unter Umständen auch immateriellen – Schadens voraus. Der Generalanwalt führt in seinen Schlussanträgen vom 6.10.2022 zu dem beim Europäischen Gerichtshof anhängigen Verfahren C-300/21 Tz. 117 dementsprechend aus: „Für die Anerkennung eines Anspruchs auf Ersatz des Schadens, den eine Person infolge eines Verstoßes gegen die genannte Verordnung erlitten hat, reicht die bloße Verletzung der Norm als solche nicht aus, wenn mit ihr keine entsprechenden materiellen oder immateriellen Schäden einhergehen. Der in der Verordnung 2016/679 geregelte Ersatz immaterieller Schäden erstreckt sich nicht auf bloßen Ärger, zu dem die Verletzung ihrer Vorschriften bei der betroffenen Person geführt haben mag.“ Zum anderen, und das ist entscheidend, kann sich aus dem Gesichtspunkt des Schadensersatzes nur dann ein Unterlassungsanspruch ergeben, wenn die erfolgte Verletzungshandlung noch andauert oder der pflichtwidrig geschaffene Zustand fortdauert. Der Kl. verlangt hier jedoch nicht die Beseitigung von Datenweitergaben, welche anlässlich der drei behaupteten Nutzungen der Website erfolgt sind, oder die Beseitigung von deren Folgen, sondern die Unterlassung von Datenübermittlungen bei einer künftigen Nutzung der Online-Shop-Seite der Bekl. Es handelt es insofern um einen vorbeugenden Unterlassungsanspruch.

OLG München Entscheidung v. 23.3.2023 – 5 W 194/23 e

0 EUR Die Frage, ob ein Verstoß gegen die DS-GVO für das Entstehen eines Schadensersatzanspruchs gem. Art. 82 Abs. 1 DS-GVO ausreicht oder es darüber hinaus der Darlegung und des Nachweises eines konkreten Schadens bedarf, ist in Rspr. und Lit. umstritten. In der Kommentarliteratur wird zum Teil vertreten, dass mit der Verletzung datenschutzrechtlicher Normen letztlich immer ein immaterieller Schaden einhergeht, soweit es nicht um reine Formfehler wie Verstöße gegen Dokumentationspflichten geht. Nach anderer Ansicht reicht der Verstoß alleine nicht aus, sondern muss auch ein Schaden eingetreten sein, der schlüssig darzulegen ist, wobei bloße Unannehmlichkeiten oder Bagatellschäden auszuschließen sind. Auch in der Rspr. gibt es hierzu divergierende Entscheidungen. Das Bundesverfassungsgericht hat vor diesem Hintergrund festgestellt, dass es mangels Klärung des Schadensbegriffs in Art. 82 Abs. 1 DS-GVO mit dem Recht auf den gesetzlichen Richter (Art. 101 Abs. 1 S. 2 GG) unvereinbar ist, wenn ein letztinstanzliches Gericht bei Entscheidungserheblichkeit dieser Frage seiner Vorlagepflicht an den EuGH entgegen Art. 267 Abs. 3 AEUV nicht nachkommt. Das BAG hat zwischenzeitlich unter anderem im Hinblick auf Art. 82 Abs. 1 DS-GVO den EuGH um Vorabentscheidung gem. Art. 267 AEUV ersucht und hierbei die Ansicht vertreten, dass bereits die Verletzung der DS-GVO selbst zu einem auszugleichenden immateriellen Schaden führt. Vorliegend durfte daher der Bekl. Prozesskostenhilfe im Hinblick auf die mit Schriftsatz v. 7.12.2021 angekündigte widerklagende Verfolgung immaterieller Schadensersatzansprüche nicht versagt werden. Der Beschluss des LG München I v. 25.1.2023 war daher im Umfang der sofortigen Beschwerde aufzuheben und Prozesskostenhilfe auch insoweit zu bewilligen, § 572 ZPO.

OLG Düsseldorf Urt. v. 9.3.2023 – I-16 U 154/21

0 EUR Dem Kl. steht, wie das LG ebenfalls im Ergebnis und mit zum Teil überzeugender Begründung ausgeführt hat, auch kein Anspruch aus Art. 82 DS-GVO gegen die Bekl. auf Ersatz des von ihm geltend gemachten immateriellen Schadens wegen einer verzögerlichen und unvollständigen Datenauskunftserteilung zu. Die Voraussetzungen für einen Geldentschädigungsanspruch in Bezug auf einen dem Kl. zugefügten immateriellen Schaden liegen nach Auffassung des Senats nicht vor, da es jedenfalls an der Darlegung des Eintritts eines Schadens bei dem Kl. fehlt, worauf bereits das LG im Rahmen seiner Entscheidung zumindest auch abgestellt hat. Die Frage, ob bereits der Datenschutzverstoß als solcher für das Entstehen eines Schadensersatzanspruchs ausreicht oder es darüber hinaus der Darlegung und des Nachweises eines konkreten (auch: immateriellen) Schadens bedarf, ist in Rspr. und Lit. umstritten. Sowohl der österreichische Oberste Gerichtshof (Vorabentscheidungsersuchen v. 12.5.2021, ZD 2021, S. 631, wobei der Gerichtshof die Auffassung vertritt, es sei der Nachweis eines Schadens erforderlich) als auch das Bundesarbeitsgericht (Vorabentscheidungsersuchen v. 26.8.2021, 8 AZR 253/20-A, wobei das BAG den Nachweis eines Schadens nicht für notwendig hält) haben die hiermit zusammenhängenden Fragen dem EuGH zur Vorabentscheidung vorgelegt. Der Senat folgt im Ergebnis der Auffassung, wonach über den festgestellten Verstoß gegen die Vorschriften des DS-GVO hinaus Voraussetzung für eine Entschädigung in Geld der Nachweis eines konkreten (auch immateriellen) Schadens ist. Hierfür spricht zunächst bereits der Wortlaut von Art. 82 Abs. 1 DS-GVO, der über den Verstoß hinaus ausdrücklich die Entstehung eins Schadens („…Schaden entstanden ist“) voraussetzt. Dieser Differenzierung im Wortlaut hätte es nicht bedurft, wenn bereits der Verstoß als solcher konstitutiv für den Anspruch wäre. Hätte der Verordnungsgeber eine nur an den Rechtsverstoß anknüpfende, vom Nachweis eines konkreten Schadens unabhängige Zahlungspflicht anordnen wollen, hätte es zudem demgegenüber nahegelegen, dies – wie zB im Luftverkehrsrecht gem. Art. 7 Abs. 1 FluggastrechteVO (EG) 261/2004 – durch Pauschalen zu regeln. In dem Erwägungsgrund 146 S. 3 zu der DS-GVO heißt es zwar, dass der Begriff des Schadens im Lichte der Rspr. des EuGH weit auf eine Art und Weise ausgelegt werden soll, die den Zielen der Verordnung in vollem Umfang entspricht. Der Anspruch soll nach Erwägungsgrund 146 S. 6 sicherstellen, dass die betroffenen Personen einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten. Das schließt ein, dass Schadensersatzforderungen abschrecken und weitere Verstöße unattraktiv machen sollen. Der Begriff des Schadens in Art. 82 DS-GVO ist autonom auszulegen, mithin kommt es nicht darauf an, ob ein bestimmter Schaden nach nationalem Recht als Schaden angesehen werden könnte. Auch hiernach ist der Schaden jedoch nicht mit der zugrunde liegenden Rechtsgutsverletzung gleichzusetzen. Denn ausdrücklich muss der Schaden „erlitten“ werden, woraus folgt, dass dieser tatsächlich entstanden sein muss und nicht lediglich befürchtet wird. Der bloße Verstoß gegen Bestimmungen der DS-GVO reicht daher nicht aus. Das Vorliegen eines konkreten – immateriellen – Schadens, etwa Ängste oder starken Stress, hat der Kl. vorliegend nicht dargetan. Soweit der Kl. im Rahmen seiner Klageerweiterung mit Schriftsatz v. 7.4.2021 vorträgt, erschöpfen sich seine Ausführungen in der Darlegung des Datenschutzverstoßes – also einer verzögerlichen und seiner Ansicht nach unvollständigen Datenauskunftserteilung – ohne irgendwelche hierdurch bedingte Einbußen oder Beeinträchtigungen immaterieller Art aufzuzeigen. Diesen Vortrag ergänzt der Kl. auch zweitinstanzlich nicht. Vielmehr beruft er sich auch in der Berufungsbegründung letztlich auf seine – von dem Senat aus den vorstehend dargestellten Erwägungen nicht geteilte – Ansicht, wonach allein der Datenschutzverstoß in der vorliegenden Konstellation einen Schaden begründe. Ergänzend verweist er auf seinen – wie dargestellt – bereits erstinstanzlich unzureichenden Vortrag. Nichts anderes gilt, soweit er im Schriftsatz v. 21.1.2023 einen „Kontrollverlust über die Daten“ als Schaden anführt. Dies stellt lediglich eine Umschreibung des von ihm geltend gemachten Gesetzesverstoßes dar, aber keinen davon zu unterscheidenden Schaden immaterieller oder materieller Art. Da sich die Ausführungen des Kl. letztlich im Wesentlichen auf die Darlegung seiner abweichenden Rechtsauffassung, unter Bezugnahme auf Rspr. und Lit. beschränken, aber keinerlei Tatsachenvortrag enthalten, der geeignet wäre, einen etwaigen immateriellen Schaden konkret des Kl. zu belegen, vermag der Senat, der – ebenso wie das LG – zum Erfordernis der Darlegung eines Schadens eine vom Kl. abweichende Rechtsauffassung vertritt, auch keine Verletzung dessen Anspruchs auf Gewährung rechtlichen Gehörs zu erkennen. Auf den konkreten Umfang des Auskunftsanspruchs gem. Art. 15 Abs. 13 DS-GVO und darauf, ob entgegen dem LG die unter Berücksichtigung der in Art. 12 Abs. 3 S. 1 DS-GVO verzögerliche Aukunftserteilung eine taugliche Verletzungshandlung iSd Art. 82 Abs. 1 DS-GVO darstellt, kommt es nach dem Vorstehenden an dieser Stelle mithin nicht entscheidungserheblich an. Hinsichtlich der datenschutzrechtlichen Ansprüche des Kl. auf Zahlung eines Schadenersatzes liegt eine grundsätzliche Bedeutung iSd § 543 Abs. 2 Ziff. 1 ZPO vor, da die Voraussetzungen des Geldentschädigungsanspruchs nach Art. 82 Abs. 1 DS-GVO und das Verständnis dieser Vorschrift bislang nicht höchstrichterlich geklärt sind und sich nicht unmittelbar aus den Regelungen der DS-GVO ergeben.

KG Beschl. v. 17.2.2023 – 10 U 146/22 = ZD 2023, 464

0 EUR Dem Kl. steht ggü. dem Bekl. der auf Art. 82 Abs. 1 DS-GVO gestützte Schadenersatzanspruch wegen mehrerer geltend gemachter Datenschutzverstöße nicht zu. Zur Begründung, warum die Berufung offensichtlich unbegründet ist, nimmt der Senat gem. § 522 Abs. 2 S. 3 ZPO Bezug auf seine Verfügung v. 4.1.2023. Dort heißt es unter anderem: „Mit dem Landgericht ist davon auszugehen, dass dem Kl. auch wegen der Weitergabe von Daten an Rechtsanwalt … kein Anspruch aus Art. 82 Abs. 1, Abs. 2 S. 1 DS-GVO zusteht. Der Senat schließt sich der Begründung des Landgerichts an, dass die Datenverarbeitung nach Art. 6 Abs. 1 UAbs. 1 lit. f DS-GVO zulässig war. Die Berufung könnte insoweit iÜ unzulässig sein, da das LG die Abweisung dieses Anspruches auf eine weitere Begründung gestützt hat, nämlich an der fehlenden Darlegung eines kausal verursachten Schadens. Mit dieser weiteren Begründung setzt sich die Berufung aber nicht auseinander. Hat das Erstgericht die Abweisung der Klage auf mehrere voneinander unabhängige, selbstständig tragende rechtliche Erwägungen gestützt, muss die Berufungsbegründung indes jede dieser Erwägungen angreifen. Mit dem LG ist ferner davon auszugehen, dass dem Kl. auch wegen der Weitergabe von Daten an die Eheleute … kein Anspruch aus Art. 82 Abs. 1, Abs. 2 S. 1 DS-GVO zusteht. Zum einen, weil nicht erwiesen ist, dass der Bekl. die medizinischen Unterlagen des Kl. den Eheleuten … übergeben hat. Zum anderen, weil der Bekl. darauf vertrauen durfte, dass Rechtsanwalt … die medizinischen Unterlagen nicht für andere Zwecke einsetzt. Die Berufung könnte insoweit iÜ auch an dieser Stelle unzulässig sein, da das LG die Abweisung dieses Anspruches auf eine weitere Begründung gestützt hat, nämlich an der fehlenden Darlegung eines kausal verursachten Schadens. Mit dieser weiteren Begründung setzt sich die Berufung aber nicht auseinander. Hat das Erstgericht die Abweisung der Klage auf mehrere voneinander unabhängige, selbstständig tragende rechtliche Erwägungen gestützt, muss die Berufungsbegründung indes jede dieser Erwägungen angreifen. IÜ bestehen Bedenken wegen der Fassung des Hauptantrages. Zwar hat der Kl. für die von ihm beantragte Geldentschädigung eine Größenordnung angegeben. Nach der ständigen Rspr. des BGH müsste der Kl. für seine offene Antragstellung aber zusätzlich auch die Berechnungs- bzw. Schätzungsgrundlagen umfassend darlegen. Hieran dürfte es fehlen. Der Kl. hat zu diesen Hinweisen mit Schriftsatz v. 31.1.2023 Stellung genommen. Diese Stellungnahme führt zu keiner anderen Bewertung. Hinsichtlich der vom Kl. beanstandeten Datenschutzverstöße durch Beiträge auf dem vom Bekl. betriebenen Blog auf dessen Internetseite kann sich der Bekl. auf das Medienprivileg berufen, weil er die Beiträge zu journalistischen Zwecken veröffentlicht hat. Soweit der Kl. hierzu unter Bezugnahme auf das Gutachten der Berliner Beauftragten für Datenschutz und Informationsfreiheit eine andere Auffassung vertritt, ist der Senat an deren rechtliche Beurteilung nicht gebunden. Vielmehr hat er das Vorliegen der Voraussetzungen für den geltend gemachten Schadenersatzanspruch nach Art. 82 Abs. 1 DS-GVO eigenständig zu prüfen. Die Auffassung des Kl., er habe erstinstanzlich zu den entstandenen Schäden ausreichend vorgetragen, dass er durch die Weitergabe der Gesundheitsdaten an seine Vermieter „öffentlich bloßgestellt“ worden sei, was eine „entsprechende Kompensation indiziere“, genügt dies nicht, um hinreichend nachvollziehbar darzulegen, dass der Schaden in der mit dem Antrag zu Ziffer 1. geltend gemachten Höhe liegt. Selbst wenn zu seinen Gunsten angenommen wird, dass es für die Zuerkennung eines Schadenersatzanspruchs der bloße – hier gerade nicht vorliegende – Verstoß gegen die „datenschutzrechtliche Gesetze“ ausreiche, lässt sich daraus jedenfalls die angemessene Höhe nicht herleiten. Solche Angaben lassen sich auch nicht dem erstinstanzlichen Vortrag entnehmen, worauf der Senat mit der Verfügung v. 4.1.2023 hingewiesen hat. Soweit der Kl. meint, für die Höhe des Schadenersatzanspruchs sei zu berücksichtigen, dass durch den Bekl. medizinische Daten an die Eheleute … bzw. deren Anwalt gelangt seien, genügt dies nicht. Wie ausgeführt, ist eine Weitergabe der Daten an die ehemaligen Vermieter durch den Bekl. nicht erwiesen. In Bezug auf Rechtsanwalt … durfte der Bekl. darauf vertrauen, dass dieser als Rechtsanwalt die Unterlagen unter Berücksichtigung seiner berufs- und standesrechtlichen Pflichten nicht weitergeben würde.

OLG Koblenz Urt. v. 13.2.2023 – 12 U 2194/21

0 EUR Soweit der Kl. Schadensersatz für ihm durch die vermeintlich unberechtigte(n) Einmeldung(en) nach seiner Behauptung entstandene Schäden verlangt, vermag der Senat einen anspruchsbegründenden Sachverhalt nicht zu erkennen. Voraussetzung für eine Entschädigung in Geld der Nachweis eines konkreten (auch immateriellen) Schadens ist. Der Schaden muss erlitten sein, dh entstanden sein und nicht nur befürchtet werden. Hieran fehlt es im vorliegenden Fall; jedenfalls hat der Kl. zur Überzeugung des Senats einen solchen ihm entstandenen Schaden nicht dargelegt. Soweit der Kl. vorträgt, es habe ein Scheitern einer Immobilienfinanzierung gedroht, ist festzuhalten, dass ein solcher Schaden glücklicherweise offenbar nicht eingetreten ist. Ein lediglich drohender oder von dem Betroffenen befürchteter materieller Schaden reicht für sich genommen nicht, wenn sich hieraus keine Weiterungen – wie vorliegend nicht erkennbar und von dem Kl. auch nicht substantiiert vorgetragen – ergeben. Für die Frage, ob ein ausgleichsfähiger Schaden vorliegt, sind jedoch – wie bei der Bemessung des immateriellen Schadens nach nationalem Recht (vgl. zB § 253 BGB) auch – entsprechend den Ausführungen des Generalsanwalts in seinen Schlussanträgen die tatsächlichen individuellen Verhältnisse des „Geschädigten“ zu berücksichtigen; es ist darauf abzustellen, wie sich das „Schadensereignis“ konkret bei ihm ausgewirkt hat. Insoweit genügt der Kl. seiner Darlegungslast nicht, wenn er unter Hinweis auf die Entscheidung des 5. Zivilsenats des OLG Koblenz vorträgt, die unberechtigt weitergegebenen Daten seien geeignet gewesen, seine Kreditwürdigkeit erheblich herabzusetzen und seine Teilhabe am Wirtschaftsleben zu erschweren und „diese allgemein vorgetragenen potenziellen Schwierigkeiten bei der Teilhabe am Wirtschaftsleben … sind ausreichend, einen … bereits entstandenen – und nicht erst zu befürchtenden … – immateriellen Schaden im Sinne der Ausgleichsfunktion darzulegen“. Gleiches gilt in Bezug auf die Behauptung des Kl., er habe „ca. 20 Stunden in Schriftverkehr, Telefonate usw. investiert“. Unabhängig von der Tatsache, dass auch diese pauschale Behauptung nicht mit Substanz gefüllt ist, sind im vorliegenden Fall jedenfalls die besonderen Umstände (wird nachfolgend ausgeführt) zu berücksichtigen, die der Sache hier ein eigenes Gepräge verleihen und sie damit entgegen den den vorgenannten Entscheidungen jeweils zugrundeliegenden Sachverhalten einer abweichenden rechtlichen Bewertung zuführen. Dabei hat der Senat durchaus Verständnis für die Argumentation des Kl., der unter Berufung auf die in diesem Zusammenhang auszugsweise zitierte Entscheidung des OLG Nürnberg, in der es heißt: „…und hierbei insb. der über die zweimalige Kündigung ihres Dispositionskredits hinausgehenden Sorgen und Probleme mit ihrer Hausbank, die die Kl. mit ihrem Schriftsatz v. 17.2.2022 konkret und umfassend dargelegt hat, ist ein Schadensersatz von … angemessen“, die Auffassung vertritt, schon der allgemeine Lauf der Dinge bringe es mit sich, dass bestehende Ungereimtheiten mit der kreditführenden Bank stets zu Unannehmlichkeiten führten, die einen finanziellen Ausgleich in Form von Schadensersatz verdienten. Diese Rechtsauffassung wird in ihrer Tendenz auch in der Entscheidung des OLG Frankfurt/M. deutlich, wenn es dort heißt: „Die Verletzung von Persönlichkeitsrechten zeichnet sich gerade dadurch aus, dass nicht zwangsläufig eine bilanzierungsfähige Vermögensminderung auf Seiten des Verletzten eintritt, sondern oft ausschließlich seelischer oder moralischer Unbill und Aufwendung der Ressource Zeit.“ Die „ungefilterte“ Übernahme dieser rechtlichen Feststellung würde jedoch die Besonderheiten des vorliegenden Falles außer Acht lassen und der Wertigkeit des von dem Kl. behaupteten Verstoßes der Bekl. gegen die datenschutzrechtlichen Grundsätzen nicht gerecht werden. Wie bereits ausgeführt, resultierte das vermeintliche Unrecht, das dem Kl. infolge der Einmeldung an die SCHUFA widerfahren ist bzw. sein könnte, nicht daraus, dass die Bekl. die titulierte Verbindlichkeit überhaupt gemeldet hat, sondern ist allenfalls darin zu sehen, dass dem Kl. nicht ausreichend Gelegenheit gegeben wurde, dieser Maßnahme entgegenzuwirken, weil er – nach seiner Behauptung – nicht frühzeitig vorgewarnt und über die Folgen aufgeklärt worden sein soll. Dass es zu dieser „einmeldefähigen“ Sollstellung hier überhaupt gekommen ist, ist indes nicht der Bekl. zuzuschreiben, sondern dem Kl., der einen Ausgleich der Forderung erst nach deren Titulierung vorgenommen hat. Bei dieser Sachlage erscheint es dem Senat selbst unter Berücksichtigung eines von dem BAG zu Grunde gelegten spezial- bzw. generalpräventiven Charakters des Art. 82 Abs. 1 DS-GVO (so das BAG) und unter Berücksichtigung einer dieser unionsrechtlichen Bestimmung (vermeintlich) immanenten Genugtuungsfunktion für den Betroffenen im vorliegenden Fall nicht vertretbar, jede Unannehmlichkeit und Mühewaltung als anspruchsbegründenden Schaden zu werten. Dass es in Fällen von Säumnis bei der Tilgung von Verbindlichkeiten auch zu persönlichem Ärger und zu Komplikationen im Verhältnis zu den Gläubigern und/oder kreditführenden Instituten kommen kann mit der Folge, dass die Behebung einer solchen Situation ein gewisses Maß an finanziellem und/oder zeitlichem Aufwand erfordert, stellt ein allgemeines Lebensrisiko dar, dessen Bewältigung nicht schon nach einem niederschwelligen schadensrechtlichen Ausgleich verlangt. Selbst wenn der Kl. daher – nicht substantiiert, in einer der Beweisaufnahme zugänglichen Weise – behauptet, er habe ca. 20 Stunden aufwenden müssen, um eine drohende Kündigung seines Kredits abzuwenden und sich gegen sonstige nachteilige wirtschaftliche Folgen zu wehren, ist dieser Aufwand angesichts der besonderen Umstände des hier zu beurteilenden Sachverhalts nicht schadensersatzbewehrt. Dabei sieht sich der Senat auch im Einklang mit der Bewertung durch den Generalanwalt in seinen Schlussanträgen v. 6.10.2022. Nach allem ist ein Anspruch des Kl. auf Schadensersatz vorliegend nicht gegeben.

OLG Hamm Urt. v. 20.1.2023 – 11 U 88/22

100 EUR Die Klage ist zulässig, insb. auch hinsichtlich eines Anspruchs aus Art. 82 Abs. 1 DS-GVO. Art. 82 DS-GVO, der gem. Art. 288 Abs. 2 AEUV unmittelbar gilt, wird entgegen der Auffassung der Bekl. auch nicht durch § 839 BGB verdrängt. Es liegt auch ein Verstoß gegen die DS-GVO iSv Art. 82 Abs. 1 DS-GVO vor. Nach Wortlaut und Zielrichtung der Norm muss kein Verstoß gegen in der DS-GVO geregelte Datenschutzbestimmungen vorliegen; es genügt vielmehr ein Verstoß gegen die Verordnung selbst. Im Hinblick auf Erwägungsgrund 146 S. 1 zur DS-GVO muss allerdings bei einer Verarbeitung gegen die DS-GVO verstoßen worden sein. Die Beweislast für einen solchen Verstoß obliegt grundsätzlich dem Anspruchsteller, wobei die allgemeine Rechenschaftspflicht nach Art. 5 Abs. 2 DS-GVO zu Erleichterungen führen kann. Es liegt ein Verstoß gegen Art. 5 Abs. 1 lit. a DS-GVO vor. Es liegt auch ein Verstoß gegen Art. 5 Abs. 1 lit. f DS-GVO vor. Zudem liegt ein Verstoß gegen Art. 9 Abs. 1 DS-GVO vor. Ob auch ein Verstoß gegen Art. 32 Abs. 1 DS-GVO gegeben ist, den das LG bejaht hat, kann der Senat offenlassen. Ein eventueller Verstoß hätte ein geringes Gewicht und fiele neben den Verstößen gegen Art. 5 Abs. 1 lit. a und f und 9 Abs. 1 DS-GVO nicht ins Gewicht. Die Bekl. ist nicht gem. Art. 82 Abs. 3 DS-GVO von der Haftung befreit. Gem. Art. 82 Abs. 3 DS-GVO wird der Anspruchsverpflichtete von der Haftung befreit, wenn er in keinerlei Hinsicht für den schadensverursachenden Umstand verantwortlich ist. Verantwortung ist hier das Verschulden iSd deutschen Rechtsterminologie und nicht die datenschutzrechtliche Verantwortung. Das Verschulden wird nach dem Wortlaut der Norm grundsätzlich vermutet. Die allgemeinen Grundsätze des § 278 BGB gelten auch hier. Die Absendung der E-­Mail ohne das vorherige Entfernen der angehängten Excel-Datei ist zumindest als fahrlässig iSv § 276 Abs. 2 BGB einzustufen. Bei Beachtung der gebotenen Sorgfalt wäre vor dem Absenden der E-­Mail zunächst die angehängte Datei bemerkt und dann noch entfernt worden. Für das Verhalten ihrer Mitarbeiter haftet die Bekl. als Verantwortliche, ohne sich entlasten zu können. Soweit die Auffassung vertreten wird, Art. 82 Abs. 1 DS-GVO regle einen Fall verschuldensunabhängiger Haftung, kommt es auf die Entscheidung dieser Frage für den vorliegenden Fall nicht an, da von einem fahrlässigen und damit auch schuldhaften Verstoß auszugehen ist. Entgegen der Auffassung der Bekl. kann sie sich auch nicht unter Verweis auf § 831 Abs. 1 S. 2 BGB entlasten. Denn diese Exkulpationsregel ist nach Auffassung des Senats nicht anzuwenden. Zwar mag die Einordnung des Anspruchs aus Art. 82 DS-GVO als deliktischer Anspruch dafürsprechen, die allgemeinen Regeln des deutschen Deliktsrechts ergänzend heranzuziehen. Allerdings spricht bereits der Wortlaut von Art. 82 Abs. 3 DS-GVO dagegen. Dieser lässt eine Entlastung des Verantwortlichen oder Auftragsverarbeiters nur dann zu, wenn er in keinerlei Hinsicht für den Umstand, durch den der Schaden entstanden ist, verantwortlich ist. Hiernach genügt es nicht, dass der Verantwortliche bei einer arbeitsteilig organisierten Datenverarbeitung seine mit der Datenverarbeitung befassten Mitarbeiter sorgfältig aussucht und überwacht. Deswegen sind bei der Beurteilung dieser Frage auch die datenschutzrechtlichen Sonderregelungen mit ihren Organisationspflichten in den Blick zu nehmen, die auf diese Weise ausgehebelt werden könnten. Dies wäre mit dem von Art. 82 DS-GVO beabsichtigten wirkungsvollen und umfassenden Schadensersatz iSv Erwägungsgrund 146 S. 3 zur DS-GVO nicht zu vereinbaren. Dem Kl. ist auch ein immaterieller Schaden entstanden. Einen solchen sieht der Kl. insb. in dem mit dem Versand der Excel-Datei verbundenen Kontrollverlust seiner in der Datei aufgeführten personenbezogenen Daten und dem späteren Erhalt einer Phishing-E-­Mail am 18.8.2021, den er auf diesen Kontrollverlust zurückführt. Der Begriff des immateriellen Schadens iSv Art. 82 Abs. 1 DS-GVO ist – europarechtlich autonom und unter Berücksichtigung der in den Erwägungsgründen zur DS-GVO niedergelegten Zielsetzungen – weit auszulegen. Der Eintritt eines Schadens setzt auch nicht voraus, dass dem Betroffenen durch den Verstoß gegen die DS-GVO ein spürbarer Nachteil entstanden ist oder es zu einer objektiv nachvollziehbaren Beeinträchtigung von persönlichkeitsbezogenen Belangen mit gewissem Gewicht gekommen ist. Insoweit wird vertreten, dass für einen Bagatellverstoß ohne ernsthafte Beeinträchtigung bzw. für eine bloß individuell empfundene Unannehmlichkeit kein Schmerzensgeld zu gewähren sei. Ausgehend von dem bereits dargestellten Schadensbegriff gelten bei der Bemessung der Schadenshöhe die iRv § 253 BGB entwickelten Grundsätze; der Schaden ist nach § 287 ZPO zu schätzen. Eine wie auch immer geartete Sanktionswirkung neben dem Ausgleich eines konkret entstandenen immateriellen Schadens ist daher bei der Bemessung der dem Kl. zustehenden Entschädigung nicht in Betracht zu ziehen. Insoweit bestimmt Art. 83 DS-GVO, dass die zuständige Aufsichtsbehörde im Falle eines Verstoßes gegen die DS-GVO neben einem etwaigen individuellen Anspruch auf Schadensersatz nach Art. 82 Abs. 1 DS-GVO eine Geldbuße verhängen kann. Unter Beachtung der vorstehenden Erwägungen hält der Senat bei einer Gesamtbetrachtung des vorliegenden Falles und seiner Besonderheiten im Hinblick auf den eingetretenen dauerhaften Kontrollverlust und den Erhalt einer unerwünschten E-­Mail den durch das LG zuerkannten Betrag iHv 100 EUR für angemessen, aber auch ausreichend, um den beim Kl. eingetretenen immateriellen Schaden nach Maßgabe des in der DS-GVO geregelten Schadensersatzanspruchs zu kompensieren. Ein weitergehender Anspruch folgt auch nicht aus § 839 Abs. 1 S. 1 BGB iVm Art. 34 S. 1 GG, der grundsätzlich neben einem Anspruch nach Art. 82 Abs. 1 DS-GVO in Betracht kommt. Die Revision ist zuzulassen, da bislang eine höchstrichterliche Klärung der für den vorliegenden Fall der Geltendmachung eines Anspruchs auf immateriellen Schadensersatz nach Art. 82 Abs. 1 DS-GVO maßgeblichen Fragen – soweit ersichtlich – noch nicht erfolgt ist.

Landgerichte

 

NEU LG Freiburg (Breisgau) Urt. v. 15.9.2023 – 8 O 184/22

500 EUR Die Kl. hat gegen die Bekl. gem. Art. 82 Abs. 1 DS-GVO wegen des Scraping-Sachverhalts einen Anspruch auf immateriellen Schadensersatz iHv 500 EUR auf Grund der Verletzung von Vorschriften der DS-GVO. Der Maßstab für Verstöße gegen die DS-GVO iSd Art. 82 Abs. 1 DS-GVO ist weit zu fassen. Es kommen materielle wie formelle Verstöße in Betracht. Auch ist nicht allein auf die Datenverarbeitung abzustellen, sondern sämtliche Maßnahmen, so auch Vorbereitungsmaßnahmen, können einen entsprechenden Anspruch begründen. Der Bekl. kann sich nicht gem. Art. 82 Abs. 3 DS-GVO, der das Verschulden widerleglich vermutet, exkulpieren. Soweit in der Vorschrift von der Verantwortlichkeit für den Schaden die Rede ist, ist dies iSv Verschulden aufzufassen. Art. 82 Abs. 3 DS-GVO ordnet eine Beweislastumkehr hinsichtlich des Verschuldens an. Der Anspruchsverpflichtete kann sich daher nur entlasten, indem er beweist, dass er die am Maßstab des Stands der Technik und im Verkehr, dh am allgemeinen Schutzinteresse orientierte erforderliche Sorgfalt iSv § 276 Abs. 2 BGB angewendet hat. Der Ersatz eines immateriellen Schadens nach Art 82 DS-GVO ist aber nicht davon abhängig, dass der entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht, sodass auch Bagatellschäden einen Schadensersatzanspruch begründen. Deshalb kann ein Schaden auch bereits in einem unguten Gefühl, in der Angst und Besorgnis liegen, dass personenbezogene Daten Unbefugten bekannt geworden sind, wenn die Gefahr besteht, dass die Daten unbefugt weiterverwendet werden. Die erforderliche Kausalität zwischen den Verstößen der Bekl. gegen die DS-GVO und dem Schaden der Klagepartei liegt vor. Bei der Bestimmung des vom Kl. in das Ermessen des Gerichts gestellten Höhe des Schadenersatzes gem. § 287 Abs. 1 S. 1 ZPO sind alle Umstände des Einzelfalls zu würdigen. Die Kriterien des Art. 83 Abs. 2 DS-GVO, die Anhaltspunkte für die Höhe der von der Aufsichtsbehörde zu verhängenden Geldbuße geben sollen, können auch für die Bemessung des immateriellen Schadenersatzes herangezogen werden. Die vorgerichtlichen Rechtsanwaltskosten sind als Teil des zu ersetzenden Schadens gem. Art. 82 Abs. 1 DS-GVO zu erstatten.

NEU LG Freiburg (Breisgau) Urt. v. 15.9.2023 – 8 O 21/23

0 EUR Der Verlust über die Kontrolle der Daten ist nicht zwangsläufig ein immaterieller Schaden iSd Art. 82 DS-GVO, sondern hierdurch muss Angst oder Besorgnis beim Betroffenen entstehen, was mit den Daten geschehen könnte. Dies muss das Gericht feststellen. Die bloße Verärgerung über den Datenschutzverstoß als solchen genügt für die Annahme eines immateriellen Schadens nicht. Der Maßstab für Verstöße gegen die DS-GVO iSd Art. 82 Abs. 1 DS-GVO ist weit zu fassen. Es kommen materielle wie formelle Verstöße in Betracht. Auch ist nicht allein auf die Datenverarbeitung abzustellen, sondern sämtliche Maßnahmen, so auch Vorbereitungsmaßnahmen, können einen entsprechenden Anspruch begründen. Ein Verstoß gegen Art. 25 Abs. 2 DS-GVO kann zu einem Schadenersatzanspruch führen, weil aus der Verletzung der sich aus Art. 25 DS-GVO ergebenden Pflichten eine Erhöhung der Gefahr eines Schadenseintritts resultiert. Soweit in der Vorschrift von der Verantwortlichkeit für den Schaden die Rede ist, ist dies iSv Verschulden aufzufassen. Art. 82 Abs. 3 DS-GVO ordnet eine Beweislastumkehr hinsichtlich des Verschuldens an. Die vorgerichtlichen Rechtsanwaltskosten sind als Teil des zu ersetzenden Schadens gem. Art. 82 Abs. 1 DS-GVO zu erstatten.

NEU LG Bielefeld Urt. v. 7.7.2023 – 4 O 275/22

0 EUR Die Kl. hat gegen die Bekl. keinen Anspruch auf Zahlung eines immateriellen Schadensersatzes aus Art. 82 Abs. 1 DS-GVO oder einer anderen denkbaren Anspruchsgrundlage wegen des Kopierens ihres Personalausweises in der Praxis der Bekl. Denn jedenfalls fehlt es am Eintritt eines immateriellen Schadens. Eine Erheblichkeitsschwelle für das Vorliegen eines solchen Schadens ergibt sich gerade nicht aus der DS-GVO. Bagatellschäden sind nicht auszuschließen. Zu verlangen ist aber jedenfalls, dass ein konkreter immaterieller Schaden auch tatsächlich eingetreten („entstanden“) ist. Die in den Schriftsätzen formelhaft beschriebenen Ängste und Sorgen, das Unwohlsein sowie die Verunsicherung der Kl. haben sich in der persönlichen Anhörung iRd mündlichen Verhandlung nicht bestätigt.

NEU LG Deggendorf Urt. v. 20.6.2023 – 33 O 461/22 = ZD 2023, 639 (Ls.)

0 EUR Die Kl. hat keinen Anspruch auf Ersatz immaterieller Schäden gem. Art. 82 Abs. 1 DS-GVO. Es liegt kein Verstoß gegen die DS-GVO vor. Ob die Bekl. gegen die Vorgaben des Art. 25 DS-GVO verstoßen hat, kann dahinstehen. Denn selbst ein unterstellter Verstoß könnte keinen Schadensersatzanspruch nach Art. 82 DS-GVO begründen. Allein aus einem Verstoß gegen Art. 25 DS-GVO kann wegen seines organisatorischen Charakters ein Anspruch nach Art. 82 Abs. 1 DS-GVO nicht begründet werden. Die Anwendbarkeit der DS-GVO setzt vielmehr eine tatsächliche Verarbeitung personenbezogener Daten voraus. Ungeachtet eines etwaigen Verstoßes gegen die DS-GVO fehlt es jedenfalls (auch) an einem ersatzfähigen Schaden iSd Art. 82 Abs. 1 DS-GVO. Für den immateriellen Schadensersatz gelten dabei die iRv § 253 BGB entwickelten Grundsätze; die Ermittlung obliegt dem Gericht nach § 287 ZPO. Es können für die Bemessung die Kriterien des Art. 83 Abs. 2 DS-GVO herangezogen werden, beispielsweise die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie die betroffenen Kategorien personenbezogener Daten. Zu berücksichtigen ist auch, dass die beabsichtigte abschreckende Wirkung nur durch für den Anspruchsverpflichtenden empfindliche Schmerzensgelder erreicht wird, insbesondere wenn eine Kommerzialisierung fehlt. Ein genereller Ausschluss von Bagatellfällen ist damit nicht zu vereinbaren. Die Pflicht zur Erstattung immaterieller Schäden ist daher nicht auf schwere Schäden beschränkt. Bestätigt wurde dies jüngst durch eine Entscheidung des EuGH, wonach der Ersatz eines immateriellen Schadens iSd Art. 82 Abs. 1 DS-GVO nicht davon abhängig gemacht werden kann, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat.

NEU LG Saarbrücken Urt. v. 20.6.2023 – 4 O 168/22

0 EUR Ein entsprechender Anspruch ergibt sich nicht aus Art. 82 Abs. 1 DS-GVO. Der sachliche Anwendungsbereich ist hinsichtlich der klägerseits behaupteten verspäteten Auskunftserteilung gem. Art. 3334 DS-GVO und der Verpflichtung zu datenschutzfreundlichen Voreinstellungen gem. Art. 25 Abs. 2 DS-GVO nicht eröffnet. Denn Art. 82 Abs. 2 S. 1 DS-GVO setzt eine nicht der DS-GVO entsprechende Verarbeitung voraus. Dem unterfällt die verspätete Mitteilung gem. Art. 3334 DS-GVO jedoch nicht. Die verspätete Auskunft findet sich schon nicht im Katalog des Art. 4 Nr. 2 DS-GVO. Sie steht den dort explizit aufgeführten Beispielen auch nicht gleich. Der klägerische Vorwurf liegt vorliegend in einem Unterlassen der Benachrichtigung, mithin im Unterlassen eines Datenverarbeitungsvorganges. Würde man das Unterlassen der Datenverarbeitung dem positiven Tun insoweit gleichstellen, so würde der Begriff der Verarbeitung praktisch nicht mehr abgrenzbar. Auch ein möglicher Verstoß gegen die Pflicht aus Art. 25 Abs. 2 DS-GVO ist vom Anwendungsbereich des Art. 82 Abs. 1 DS-GVO nicht erfasst. Denn die Norm stellt in erster Linie eine organisatorische Verpflichtung der Verantwortlichen dar; als bloße Verfahrensvorschrift ist die Einhaltung daher keine Voraussetzung für die Rechtmäßigkeit eines Verarbeitungsvorgangs. Die Verpflichtung gem. Art. 25 Abs. 2 DS-GVO betrifft einen Zeitpunkt vor der eigentlichen Datenverarbeitung und entfaltet daher bereits vor dem eigentlichen Beginn der Datenverarbeitung ihren Regelungscharakter. Zwar besteht ein enger Zusammenhang zum Grundsatz der Datenminimierung gem. Art. 5 Abs. 1 lit. c DS-GVO. Da aber auch eine nicht datenminimierte Verarbeitung rechtmäßig sein kann, sofern dies für die Datenverarbeitung erforderlich ist, ist die Rechtmäßigkeit einer Verarbeitung vorrangig nach den jeweils geltenden Regeln, bei der die Erforderlichkeit geprüft wird, zu beurteilen und erst danach ist Art. 25 Abs. 2 DS-GVO iRd sich dann ergebenden Optionen bei den Voreinstellungen zu berücksichtigen. Soweit der Anwendungsbereich eröffnet ist, fehlt es an einer Verletzung von Vorschriften der DS-GVO. Zunächst scheidet ein Verstoß gegen Art. 5 Abs. 1 lit. a, 1314 DS-GVO aus. Auch einen Verstoß gegen Art. 5 Abs. 1 lit. f DS-GVO durch einen unzureichenden Schutz der Daten der Nutzer vermag die Kammer vorliegend nicht festzustellen. Auch ein Verstoß gegen den datenschutzrechtlichen Grundsatz „privacy by default“ datenschutzfreundliche Voreinstellungen) gem. Art. 25 Abs. 2 DS-GVO ist zu verneinen. Es fehlt vorliegend jedenfalls an einem kausalen Schaden in der Person der Kl. Einen solchen hat die Kl. – der insoweit die Darlegungs- und Beweislast obliegt – jedenfalls nicht zur Überzeugung der Kammer nachgewiesen. Bei der Schadensberechnung unterliegt das Gericht nicht den Anforderungen des Strengbeweises nach § 286 ZPO. Vielmehr kann das Gericht gem. § 287 Abs. 1 S. 1 BGB auch zu einer Schätzung greifen. Die Schätzung darf nicht völlig abstrakt erfolgen, sondern muss dem jeweiligen Einzelfall Rechnung tragen. Sie darf nicht mangels greifbarer, vom Kl. vorzutragender Anhaltspunkte „völlig in der Luft hängen“. Die Frage, ob bereits der Datenschutzverstoß als solcher für das Entstehen eines Schadensersatzanspruchs ausreicht oder es darüber hinaus der Darlegung und des Nachweises eines konkreten (auch: immateriellen) Schadens bedarf, war in Rspr. und Lit. umstritten. Die Kammer hält die Auffassung für vorzugswürdig, wonach über den festgestellten Verstoß gegen die Vorschriften der DS-GVO hinaus Voraussetzung für eine Entschädigung in Geld der Nachweis eines konkreten (auch immateriellen) Schadens ist. Für diese Auffassung spricht schon der Wortlaut des Art. 82 Abs. 1 DS-GVO, der explizit einen entstandenen materiellen oder immateriellen Schaden voraussetzt. Hätte der Verordnungsgeber eine nur an den Rechtsverstoß anknüpfende, vom Nachweis eines konkreten Schadens unabhängige Zahlungspflicht anordnen wollen, hätte es demgegenüber nahegelegen, dies – wie z. B. im Luftverkehrsrecht gem. Art. 7 Abs. 1 FluggastrechteVO (EG) 261/2004 – durch Pauschalen zu regeln. In diesem Sinne hat nunmehr auch der EuGH mit Urt. v. 4.5.2023 zum Aktenzeichen C-300/21 entschieden. Zugleich hat der EuGH entschieden, dass keine Grenze dergestalt zu ziehen ist, dass – in Anlehnung an die deutsche Dogmatik – lediglich ein erheblicher Schaden ausgleichspflichtig ist. Ein Schaden ist aber ausgehend von den aufgezeigten Parametern vorliegend auch bei Außerachtlassung der Erheblichkeitsschwelle durch die Kammer nicht feststellbar. Der EuGH hat in der zitierten Entscheidung keine konkrete Untergrenze des Schadens definiert. Gleichwohl setzt er eine solche denklogisch voraus, denn zugleich postulierte der Gerichtshof – wie bereits dargetan –, dass nicht jeder Verstoß gegen die Regelungen der DS-GVO einen Schadensersatzanspruch nach sich ziehe. Ein Schaden als eigenständiges Tatbestandsmerkmal sei stets erforderlich. Ein potenzieller Schaden wäre jedenfalls auch nicht kausal auf das Scraping-Ereignis rückführbar. Das Vorliegen eines konkreten, immateriellen Schadens, wozu auch Ängste, Sorgen, Stress sowie Komfort- und Zeiteinbußen zählen, hat die Kl. nicht hinreichend dargetan. Die Kl. schilderte ein Gefühl der Belästigung durch erhaltene Spam-Mails. Sie hat angegeben, dass sie zunächst aus den Medien erfahren, dass Daten abhanden gekommen seien. Kurz danach sei es bei ihr losgegangen mit Spamanrufen, mit Bots und auch mit Stöhnanrufen. Sie habe 20-30 Anrufe pro Tag erhalten. Sie sei gestresst gewesen auf Grund der Anrufe, habe zugleich aber auch Angst gehabt nicht ans Telefon zu gehen, da ihr Großvater zur selben Zeit im Krankenhaus gelegen habe. Im Hinblick auf die Vielzahl der Anrufe sei es auch zu Konflikten mit ihrem Arbeitgeber gekommen. Besserung sei erst durch ein neu erworbenes Google Pixel Smartphone eingetreten, das in der Lage gewesen sei, Spamanrufe automatisch herauszufiltern. Hierin kann das Gericht keinen Schaden erblicken. Das bloße Gefühl einer geringen Belästigung vermag einen solchen nicht zu begründen. Der Empfang von Spam in einem gewissen Umfang stellt eine übliche Belastung dar, die bei Nutzung des Internets unter Verwendung eigener Daten gerichtsbekannt regelmäßig auftritt.

NEU LG Darmstadt Urt. v. 19.6.2023 – 27 O 194/22

0 EUR Der Kl. hat gegen die Bekl. keinen Anspruch auf Ersatz immateriellen Schadens nach Art. 82 Abs. 1 DS-GVO. Das Gericht hat bereits erheblich Zweifel daran, ob es sich bei dem Großteil der durch den Kl. bei F. angegebenen Informationen um „personenbezogene Daten“ iSv Art. 4 Nr. 1 DS-GVO handelt. Keine personenbezogenen Daten sind dabei solche Informationen, die anonymisiert sind, also infolge ihrer Veränderung unter Aufhebung des Personenbezugs entweder keine Re-Identifizierung der betroffenen Person (mehr) zulassen oder ein Personenbezug nur mit einem unverhältnismäßigen Aufwand an Zeit, Kosten und Arbeitskraft wiederhergestellt werden kann. Der Kl. hat im Rahmen angegeben, bei F. keinen Klarnamen angegeben, sondern seinen Namen lediglich abgekürzt zu haben mit „„. Damit hat der Kl. aber den Bezug des dort angegebenen Namens zu seiner Person soweit aufgehoben, dass eine Identifizierung seiner Person praktisch ausgeschlossen ist. Dies gilt auch im Hinblick auf seine eMail-Adresse, die ebenfalls keinen Klarnamen enthält („) und damit aus sich heraus ebenso wenig Rückschlüsse auf die tatsächliche Person des Kl. zulässt. Jedenfalls fehlt aber es an einem ersatzfähigen Schaden des Kl. iSv Art. 82 Abs. 1 DS-GVO. Nach Erwägungsgrund 146 S. 3 DS-GVO ist der Schadensbegriff weit auszulegen. Der Schaden muss demnach indes „erlitten“, also tatsächlich entstanden sein. Ein bloßer Verstoß gegen die DS-GVO bei der Datenverarbeitung reicht insofern für einen Anspruch auf Ersatz immaterieller Schäden nicht aus. Es muss vielmehr eine kausal hierauf beruhende spürbare Beeinträchtigung des Geschädigten in persönlichkeitsbezogenen Belangen hinzutreten, um von einem Schaden sprechen zu können. Gemessen hieran ist ein Schaden des Kl. nicht ersichtlich. Soweit der Kl. behauptet, einen „Kontrollverlust über seine Daten“ erlitten zu haben und daher an großem Unwohlsein und großer Sorge über möglichen Missbrauch der ihn betreffenden Daten zu leiden, kann das Gericht dies schon nicht feststellen. Das Gericht geht insofern nicht mit hinreichender Wahrscheinlichkeit davon aus, dass der Kl. unter den in der Klageschrift beschriebenen Ängsten und Sorgen tatsächlich leidet. Obiter dicta sei Folgendes angemerkt: In Zusammenschau mit dem Vorstehenden bestehen auch erhebliche Zweifel an der Kausalität des Scraping-Vorfalls mit den Spam-Anrufen und – SMS. So hat der Kl. zwar ausgeführt, im Jahr 2021 erstmalig Spam-Anrufe und -SMS bekommen zu haben, die nach der Deaktivierung seines Kontos indes aufgehört und erst im Jahr 2023 – ohne die erneute Angabe in sozialen Medien – erneut begonnen haben. Da die Handynummer des Kl. nach seinem Vortrag indes im Internet frei zugänglich gewesen sei, ist nicht nachvollziehbar, warum die vorgetragenen Spam-Anrufe und -SMS mit der Deaktivierung des F.-Profils aufhören und danach erneut ohne Reaktivierung des Profils beginnen sollten. Zudem erklärte der Kl., die mit seinem ehemaligen F.-Konto verknüpfte Handynummer schon eine lange Zeit – bis zu 20 Jahre – zu nutzen. Es ist daher unschwer vorstellbar, dass er diese Nummer an vielen Stellen analog und digital als Kontakt hinterlassen hat und es damit ebenso vielfältige Möglichkeiten gibt, wie Unbekannte an dessen Nummer gelangt sein könnten, nicht zuletzt auch durch Datenlecks bei Dritten, denen der Kl. seine Nummer einmal gegeben hat. Zuletzt hat der Kl. angegeben, „sensible Daten“ auf für lediglich ihn selbst sichtbar bzw. nur für Freunde sichtbar eingestellt zu haben. Damit steht schon in Zweifel, ob und in welchem Umfang überhaupt „stets öffentliche“ persönliche Informationen des Kl. – wie etwa Namen, Wohnort und ähnliches – iRd Scrapings abgeschöpft wurden.

NEU LG Duisburg Urt. v. 14.6.2023 – 10 O 126/22 = ZD 2023, 640 (Ls.)

0 EUR Die klägerische Partei hat unter keinem rechtlichen Gesichtspunkt einen Anspruch auf Ersatz eines immateriellen Schadens gegen die Bekl. Der Anspruch ergibt sich weder aus Art. 82 Abs. 1 DS-GVO noch aus einer vertraglichen oder deliktischen Haftung der Bekl. nach Normen des BGB. Ein nach Art. 82 Abs. 1 DS-GVO erforderlicher Verstoß gegen die DS-GVO ist nicht festzustellen. Teilweise dürfte der Anwendungsbereich des Art. 82 DS-GVO für die durch die Kl. geltend gemachten Verstöße bereits nicht eröffnet sein, jedenfalls aber ist der Bekl. kein Verstoß gegen die DS-GVO zur Last zu legen. Insoweit ist umstritten, wer die Darlegungs- und Beweislast für das Vorliegen der Pflichtverletzung trägt. Aus Sicht der Kammer sprechen gute Gründe dafür, die Darlegungs- und Beweislast nach allgemeinen schadensrechtlichen Grundsätzen dem Anspruchsteller aufzuerlegen. Die in Art. 82 Abs. 3 DS-GVO geregelte Beweislastverteilung – Beweislast des Verantwortlichen – bezieht sich seinem Wortlaut nach einzig auf das Verschulden des Verantwortlichen gegenüber den Behörden und nicht auf den zugrundeliegenden DS-GVO-Verstoß. Auch aus der in Art. 5 Abs. 2 DS-GVO statuierten Rechenschaftspflicht des Verantwortlichen kann nicht auf eine diesbezügliche Beweislastumkehr geschlossen werden. Andernfalls würde hierdurch auf einem Umweg der Verantwortliche gegenüber jedem Betroffenen rechenschaftspflichtig, wobei die DS-GVO dem Betroffenen aber gerade nur eingeschränkte Rechte zugesteht, wie z. B. das Auskunftsrecht aus Art. 15 DS-GVO. Das Prozessrecht bietet darüber hinaus hinreichend Möglichkeiten, einer unter Umständen bestehenden Darlegungs- und Beweisnot des Anspruchstellers – gerade im Hinblick auf Vorgänge, in welche der Betroffene keinen Einblick hat – zu begegnen, wie z. B. die aus der DS-GVO folgenden Informationsrechte oder aber die Begründung einer sekundären Darlegungslast der Verantwortlichen. Soweit die Kl. sich im Rahmen ihres Schadensersatzbegehrens auf Informationspflichtverletzungen (Art. 1314 DS-GVO), Meldepflichtverletzungen (Art. 33 DS-GVO) und unterlassene Auskünfte (Art. 1534 DS-GVO) der Bekl. beruft, sind diese bereits nicht vom Anwendungsbereich der Art. 82 DS-GVO umfasst, da es sich hierbei nicht um eine Verarbeitung personenbezogener Daten iSd Art. 4 Nr. 2 DS-GVO handelt. Der Anwendungsbereich des Art. 82 Abs. 1 DS-GVO umfasst allein solche Verstöße gegen die DS-GVO, die auf einer Verarbeitung personenbezogener Daten iSd Art. 4 Nr. 2 DS-GVO beruhen, Art. 82 Abs. 2 S. 1 DS-GVO. Auch wenn der Wortlaut des Art. 82 Abs. 1 DS-GVO allein auf einen Verstoß „gegen diese Verordnung“ Bezug nimmt, ergibt sich aus Art. 82 Abs. 2 DS-GVO eindeutig, dass eine Haftung nur für solche Schäden entstehen soll, die durch eine nicht der DS-GVO entsprechenden Verarbeitung verursacht wurden. Diese Auslegung steht auch im Einklang mit den Erwägungsgründen 146 und 75 DS-GVO. Der Erwägungsgrund 146 stellt auf eine Verarbeitung der personenbezogenen Daten ab. Der Erwägungsgrund 75 beschreibt beispielhaft Risiken, die aus der Verarbeitung personenbezogener Daten resultieren und aus denen materielle und immaterielle Schäden entstehen können, welche gerade über Art. 82 Abs. 1 DS-GVO Ersatz finden sollen. Darüber hinaus fehlt es an einem ersatzfähigen immateriellen Schaden der Kl. Nach Auffassung der Kammer setzt ein Anspruch auf Schadensersatz nach Art. 82 DS-GVO neben der Verletzung einer Vorschrift der DS-GVO auch einen hierauf beruhenden Schaden voraus, der durch den Anspruchsteller darzulegen und notfalls zu beweisen. Als Bewertungskriterien können zudem die in Art. 83 DS-GVO genannten Kriterien der Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie die betroffenen Kategorien personenbezogener Daten herangezogen werden. Ein genereller Ausschluss von Bagatellschäden ist im Lichte der Erwägungsgründe nicht vertretbar.

NEU LG Ravensburg Urt. v. 13.6.2023 – 2 O 228/22

1.000 EUR Dem Kl. steht gegen die Bekl. als Verantwortliche iSv Art. 4 Nr. 7 DS-GVO anzusehen ist ein Anspruch auf immateriellen Schadensersatz iHv 1.000 EUR aus Art. 82 Abs. 1 DS-GVO auf Grund von verschiedenen Verstößen gegen die DS-GVO zu. Die Bekl. hat gegen Art. 32 Abs. 1 DS-GVO verstoßen, da sie den Datensatz des Kl. nicht genügend gegen einen Angriff durch „Web-Scraping“ geschützt hat. Durch Verwendung von „Sicherheitscaptchas“ wäre ein Angriff durch maschinelles Abfragen von Daten mittels Eingabe von Nummernfolgen verhindert oder jedenfalls wesentlich erschwert worden. Die Bekl. hat nicht konkret behauptet, dass insoweit konkret „Sicherheitscaptchas“ verwendet wurden. Die Bekl. hat auch nicht konkret vorgetragen, dass sie gleichwertige Maßnahmen ergriffen hat, um die nahliegende Möglichkeit des Missbrauchs des CIT (Contact-Import-Tool) zu verhindern. Die nach dem Vorbringen der Bekl. erfolgten Übertragungsbeschränkungen, die die Anzahl von Anfragen reduzieren, die pro Nutzer oder einer bestimmten IP-Adresse in einem bestimmten Zeitraum gemacht werden können, war offenkundig unzureichend. Außerdem hat die Bekl. gegen Art. 33 Abs. 1 DS-GVO verstoßen, indem sie, wie der Kl. vorträgt, den Datenschutzverstoß nicht unverzüglich innerhalb von 72 Stunden nach Bekanntwerden bei der zuständigen Behörde gemeldet hat, und außerdem gegen Art. 34 Abs. 1 DS-GVO, indem sie den Kl. nicht unverzüglich nach Bekanntwerden informiert hat. Die Bekl. hat diesen Vortrag nicht qualifiziert bestritten, sodass der entsprechende Vortrag des Kl. gem. § 138 Abs. 3 ZPO als zugestanden gilt. Durch die unbefugte Veröffentlichung seiner personenbezogenen Daten hat der Kl. einen ersatzfähigen Schaden erlitten. Zwar ist ein bloßer Verstoß gegen die DS-GVO nicht ausreichend, um einen Schadenersatzanspruch gem. Art. 82 Abs. 1 DS-GVO zu begründen. Der Kl. ist jedoch konkret und individuell geschädigt worden, denn seine persönlichen Daten sind infolge des Verstoßes tatsächlich an unbefugte Personen abgeflossen und in einem öffentlichen Forum ins Internet gestellt worden. Dieser Schaden durch Datenverlust an unbefugte Dritte ist auch erheblich genug für die Zuerkennung eines Schadenersatzanspruchs. Denn der Ersatz eines immateriellen Schadens ist nicht davon abhängig, dass eine bestimmte Erheblichkeitsschwelle erreicht ist. Bei einer Gesamtwürdigung ist zu berücksichtigen, dass unterschiedliche Datenschutzverstöße vorliegen, nämlich einerseits der unzureichende Schutz im Vorfeld des Datenabflusses und andererseits die fehlende Information im Anschluss daran. Letzteres ist ebenfalls gravierend. Der Geschädigte hat ein erhebliches Interesse daran, dass er selbst und die zuständige Behörde frühzeitig von einem Verstoß in Kenntnis gesetzt werden. Insgesamt war ein maßvoller Schadenersatzbetrag von 1.000 EUR festzusetzen. Der mit dem Klageantrag Ziff. 2 geltend gemachte Schadenersatzanspruch gem. Art. 82 Abs. 1 DS-GVO besteht nicht. Es kann dahingestellt bleiben, ob die Bekl. gegen Art. 15 Abs. 1 DS-GVO verstoßen hat, indem sie eine ungenügende Auskunft erteilt hat. Ein solcher Verstoß kann schon deshalb keinen Schadenersatzanspruch begründen, weil dadurch kein zusätzlicher immaterieller Schaden des Kl. entstanden ist. Im Rahmen des materiellen Schadensersatzanspruchs nach Art. 82 Abs. 1 DS-GVO kann der Kl. auch die Freistellung vom Anspruch der Prozessbevollmächtigten des Kl. auf Bezahlung vorgerichtlich angefallener Rechtsanwaltsgebühren beanspruchen. Verzugseintritt ist dazu nicht notwendig, denn der Anspruch auf Schadensersatz entsteht mit der Verletzungshandlung. Verzugszinsen kann der Kl. insoweit nicht verlangen, denn für einen etwaigen Zahlungsverzug ist er selbst verantwortlich.

NEU LG Stralsund Urt. v. 9.6.2023 – 6 O 181/22

0 EUR Der Antrag zu 1.) war mangels Eintritts eines Schadens abzuweisen. Das LG Essen hatte hierzu bereit mit Urt. v. 10.11.2022 – 6 O 111/22 ausgeführt. Auch eine Verletzung des Auskunftsrechts nach Art. 15 DS-GVO vermag eine Pflichtverletzung nach Art. 82 DS-GVO und somit einen Schadensersatzanspruch zu begründen. Nach dem Wortlaut der Norm ist der Haftungstatbestand somit nicht auf bloße Datenverarbeitungsvorgänge beschränkt. Zwar heißt es im Erwägungsgrund Nr. 146, dass der Verantwortliche oder der Auftragsverarbeiter solche Schäden ersetzen sollen, die einer Person auf Grund einer Verarbeitung entstehen. Im Wortlaut der Rechtsverordnung findet diese Einschränkung jedoch keine Erwähnung. Es spricht auch nichts dafür, dass Art. 82 Abs.1 DS-GVO durch Art. 82 Abs. 2 DS-GVO, dieser benennt ausdrücklich die Datenverarbeitung, eingeschränkt werden soll. Hätte der Verordnungsgeber eine solche Einschränkung tatsächlich gewollt, hätte er bereits in Abs. 1 nicht den „Verstoß gegen die Verordnung“, sondern wie in Abs. 2 die „Verarbeitung“ sanktioniert. Darüber hinaus meint „Verarbeitung“ gem. Art. 4 Nr. 2 DS-GVO auch die Offenlegung durch Übermittlung worunter auch die Auskunft zu erfassen ist. Erforderlich für einen Schadensersatzanspruch ist aber neben dem Eintritt eines solchen Schadens die Ursächlichkeit der Pflichtverletzung für den eingetretenen Schaden. Da der Schaden gerade durch den Rechtsverstoß entstanden sein muss genügt es nicht, dass der Schaden durch eine Verarbeitung entstanden ist, in deren Rahmen es zu einem Rechtsverstoß gekommen ist. Die Klagepartei vermochte nicht zu beweisen, dass ihr auf Grund einer etwaigen Auskunftspflichtverletzung überhaupt ein Schaden entstanden ist. Gemäß § 286 Abs. 1 ZPO hat das Gericht unter Berücksichtigung des gesamten Inhalts der Verhandlungen und des Ergebnisses einer etwaigen Beweisaufnahme nach freier Überzeugung zu entscheiden, ob eine tatsächliche Behauptung für wahr oder für nicht wahr zu erachten sei. Dabei dürfen keine „unerfüllbaren Beweisanforderungen“ gestellt werden, und das Gericht darf keine unumstößliche Gewissheit bei der Prüfung verlangen, ob eine Behauptung wahr und erwiesen ist. Der Richter darf und muss sich aber in tatsächlich zweifelhaften Fällen mit einem für das praktische Leben brauchbaren Grad von Gewissheit begnügen, der den Zweifeln Schweigen gebietet, ohne sie völlig auszuschließen.

NEU LG Augsburg Urt. v. 9.6.2023 – 022 O 2669/22

0 EUR Die Klage ist bereits unschlüssig, da die von der Kl. geschilderten SMS und Anrufe von Anfang bis Mitte 2019 jedenfalls nicht kausal auf das Datenscraping bei der Bekl. zurückzuführen sind. Der Kl. stünde gegen die Bekl. jedoch auch sonst kein Anspruch auf Zahlung eines immateriellen Schadensersatzes zu. Auf der Grundlage des klägerischen Vorbringens würde es bereits an einem Verstoß gegen die Bestimmungen der DS-GVO fehlen. Ein Verstoß gegen die Transparenzpflichten aus Art. 5 Abs. 1 lit. a, 1314 DS-GVO liegt nicht vor. Es liegt auch kein Verstoß gegen die Datenschutzpflichten aus Art. 5 1 lit. f, 32 DS-GVO vor. Die Bekl. hat auch nicht gegen die Pflicht zu datenschutzfreundlichen Voreinstellungen gem. Art. 25 Abs. 12 DS-GVO verstoßen. Schließlich ist der Bekl. kein Verstoß gegen die Meldepflicht nach Art. 33 DS-GVO vorzuwerfen, da es schon an einem meldepflichtigen Verstoß gegen die DS-GVO fehlt. Endlich liegt auch kein Verstoß gegen die Auskunftspflicht der Bekl. nach Art. 15 DS-GVO vor. Weiter würde es an einem immateriellen Schaden der Kl. fehlen. Zu den Anspruchsvoraussetzungen des Art. 82 Abs. 1 DS-GVO zählt neben dem Verstoß gegen die DS-GVO auch der Eintritt eines immateriellen Schadens. In Anbetracht der Erwägungsgründe 7585146 und 148 DS-GVO hatte der Verordnungsgeber insoweit Diskriminierung, Identitätsdiebstahl, Identitätsbetrug, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden persönlichen Daten oder gesellschaftliche Nachteile ohne den Ausschluss von Bagatellschäden im Blick. Hinsichtlich eines möglichen künftigen Missbrauchs personenbezogener Daten wird ein immaterieller Schaden aber nur dann zu begründen sein, wenn es sich um einen realen und sicheren emotionalen Schaden handelt und nicht nur um ein Ärgernis oder eine Unannehmlichkeit. Gemessen an diesen Maßstäben ist ein immaterieller Schaden der Kl. zu verneinen. Die Kl. wurde bisher unstreitig nicht Opfer eines Identitätsdiebstahls; ihr Account bei F. wurde auch nicht durch unbekannte Dritte übernommen.

NEU LG Bonn Urt. v. 7.6.2023 – 13 O 126/22

250 EUR Der Kl. hat gegen die Bekl. einen Anspruch auf Schadensersatz in Form eines Schmerzensgeldes in Höhe von 250 EUR (Art. 82 Abs. 1 DS-GVO). Indem die Bekl. es unterlassen hat, das A-B-Tool technisch so abzusichern, dass automatisierte Abrufe mit beliebigen Ziffernfolgen ausgeschlossen gewesen sind, hat sie gegen ihre Pflicht zur „Integrität und Vertraulichkeit“ gem. Art. 5 Abs. 1 lit. f, 25 Abs. 1 und 2 sowie Art. 32 Abs. 1 DS-GVO verstoßen. Durch den Verstoß ist es zu einer unzulässigen Datenverarbeitung iSd Art. 6 Abs. 1 DS-GVO gekommen. Sowohl für die Verletzung der Integritäts- und Vertraulichkeitspflicht als auch die hierdurch ermöglichte unzulässige Datenverarbeitung ist die Bekl. i. S. d. Art. 82 Abs. 2 und 3 DS-GVO „verantwortlich“. Maßgeblich hierfür ist, wem die Verstöße zuzurechnen sind. Dabei erfolgt die Zurechnung der Verletzung der Integritäts- und Vertraulichkeitspflicht bereits daraus, dass es das eigene Unterlassen der Bekl. gewesen ist, das die Pflichtverletzung begründet. Die unzulässige Datenverarbeitung ist zwar nicht unmittelbar durch die Bekl. erfolgt, sondern stellt ein Verhalten der Unbekannten dar. Dieses ist der Bekl. jedoch infolge des Verstoßes gegen die Integritäts- und Vertraulichkeitspflicht zurechenbar, da durch deren Verletzung die unzulässige Datenverarbeitung unmittelbar ermöglicht worden ist. Dem Kl. ist auch ein abstrakter Schaden in Form der Beeinträchtigung der grds. ihm zustehenden Kontrolle über seine Daten bezüglich seiner Mobilfunknummer und der hiermit wie dargestellt verknüpften Daten entstanden (von einem Kontrollverlust zu sprechen, geht indes zu weit). Eine konkrete Kausalität für die behaupteten konkreten Beeinträchtigungen zu Lasten der Bekl. kann daher nicht bejaht werden, sondern nur dahingehend, dass die Datenschutzverstöße der Bekl. zu einer Beeinträchtigung der Kontrolle des Kl. über seine Daten mit der abstrakten Folge des potenziellen Missbrauchs (durch Dritte) geführt hat. Auch dies ist allerdings ein Schaden, der ein Schmerzensgeld rechtfertigt – wenn auch nur ein vergleichsweise geringes. Das Schmerzensgeld muss nach Sinn und Zweck der DS-GVO abschreckend sein und sich an Ausgleichs- und Genugtuungsfunktion orientieren, wobei es auf die konkreten Umstände des Einzelfalls ankommt und der Katalog des Art. 83 Abs. 2 DS-GVO Berücksichtigung finden kann. Hierbei ist schmerzensgelderhöhend zu berücksichtigen, dass es sich bei der streitgegenständlichen Verknüpfung – wie iRd Schadens ausgeführt – um eine sensible Kombination mit hohem Missbrauchspotential handelt. Das Gericht verkennt dabei nicht, dass sämtliche Daten des Kl. – mit Ausnahme der Mobiltelefonnummer – ohnehin für Dritte öffentlich einsehbar und damit beliebig kopierbar, weiterverwendbar und missbrauchbar gewesen sind. Schmerzensgeldmindernd ist zu berücksichtigen, dass es sich sämtlich um Daten aus der – grds. am wenigstens schutzwürdigen – Sozialsphäre des Kl. nach der insoweit maßgeblichen Rspr. des BVerfG zum allgemeinen Persönlichkeitsrecht handelt.

NEU LG Berlin Urt. v. 7.6.2023 – 26 O 240/22

0 EUR Ein Entschädigungsanspruch ist nicht begründet. Dabei braucht nicht abschließend entschieden zu werden, ob der Bekl. ein Verstoß gegen (den Kl. zu Entschädigung berechtigende) Regelungen der DS-GVO, insb. das Verhältnis zwischen den Parteien bestimmende Grundsätze von Treu und Glauben, Transparenz, damit verbundene Informationspflichten (Art. 51314 DS-GVO) und Verpflichtungen, als Datenverarbeiter unter Berücksichtigung des Standes der Technik und der Interessen der Beteiligten (also auch des zwar informierten aber nur durchschnittlich aufmerksamen und sorgsamen Nutzers) geeignete technische und organisatorische Maßnahmen zum Schutz der ihr anvertrauten Daten zu treffen, vorzuwerfen ist. Es kann auch offenbleiben, ob die Bekl. dadurch, dass das von ihr bereitgestellte Instrumentarium (insb. das CIT) das Scraping durch Dritte, die dieses Instrumentarium für eigene Zwecke missbrauchten, begünstigt hat. Ebenso kann schließlich dahinstehen, welche Bedeutung es dabei haben könnte, dass die Bekl. einen durchschnittlich informierten, aufmerksamen und verständigen Nutzer erwarten konnte. Denn unabhängig hiervon fehlt es hier jedenfalls an einer ausreichenden Darlegung eines hierdurch verursachten Schadens. Dass ein Anspruch nach Art. 82 DS-GVO einen Schaden voraussetzt, hat der EuGH in seinem Urt. v. 4.5.2023 (C-300/21), auf das Bezug genommen wird, überzeugend ausgeführt. Soweit der Kl. geltend macht, er habe einen Kontrollverlust über seine Daten erlitten, stellt das allein einen zur Entschädigung berechtigenden Schaden nicht dar, weil eine solche Betrachtung im Widerspruch zu Wortlaut des Art. 82 DS-GVO und Systematik der Vorschriften der DS-GVO stünde. Ein Verstoß gegen die DS-GVO besteht stets darin, dass Daten entgegen der durch den Nutzer erteilten Einwilligung verarbeitet oder – wie hier geltend gemacht – auf Grund technischer Einstellungen dem unbefugten Zugriff Dritter ausgesetzt sind. In jedem dieser Fälle erfährt der Nutzer durch den Verstoß gegen die DS-GVO einen Verlust an Kontrolle über die Verwendung seiner Daten, die nicht (mehr) entsprechend seiner Einwilligung, durch die seine Kontrolle definiert wird, verarbeitet werden. Besteht aber der Verstoß gegen die DS-GVO, den der Kl. der Bekl. vorwirft, gerade darin, dass die Bekl. seine Daten nicht ausreichend geschützt hat und diese so, (wie auch die auf Unterlassung einer Verwendung entgegen seiner Einwilligung gerichteten Anträgen des Kl. ergeben) anders als vom Kl. gewollt, durch Dritte erlangt worden sind, sie also durch den Verstoß seiner Kontrolle entzogen werden, macht das deutlich, dass ein Kontrollverlust allein noch keinen (messbaren) Schaden darstellen kann. Da ein Verstoß gegen die DS-GVO immer einen Kontrollverlust desjenigen bedeutet, der seine Daten dem Datenverarbeiter anvertraut hat, kann nicht gleichzeitig der Kontrollverlust für sich genommen ein Schaden sein. Ist danach ein konkreter Schaden erforderlich, ist der Kl. als derjenige, der von dem Verstoß gegen die DS-GVO betroffen ist, darlegungsbelastet dafür, dass die behaupteten negativen Folgen einen immateriellen Schaden darstellen (Art. 82 Abs. 3 DS-GVO). Die DS-GVO – wie sich auch aus Erwägungsgrund 75 ergibt – begründet keine reine Gefährdungshaftung. Bloßer Ärger und Zorn stellt einen Schaden nicht dar.

NEU LG Bamberg Urt. v. 6.6.2023 – 42 O 782/22 = ZD 2023, 637 (Ls.)

0 EUR Der Kl. hat unter keinem rechtlichen Gesichtspunkt einen Anspruch auf immateriellen Schadensersatz in geltend gemachter Höhe von 1.000 EUR. Ein Anspruch gegen die Bekl. ergibt sich weder aus nationalen Vorschriften noch aus Art. 82 DS-GVO. Es fehlt sowohl an einer schadenersatzauslösenden Pflichtverletzung der Bekl. iSv Art. 82 DS-GVO als auch an einem ersatzfähigen Schaden. Soweit der Kl. der Bekl. mehrere Verstöße vorwirft, nämlich ungenügende Information und Aufklärung über die Verarbeitung der ihn betreffenden Daten durch ungenügende Aufklärung zur Verwendung und Geheimhaltung der Telefonnummer (Art. 5 Abs. 1 lit. a DS-GVO), unmittelbaren Verstoß gegen Art. 1314 DS-GVO, die konkrete Informationspflichten enthielten, die seitens der Bekl. nicht eingehalten worden seien, ungenügender Schutz der personenbezogenen Daten der Nutzer von F. (Art. 242532 DS-GVO), fehlerhafte, weil nicht datenschutzfreundlichste Voreinstellung (Art. 25 Abs. 2 DS-GVO), nicht erfolgte Information der zuständigen Aufsichtsbehörde (Art. 3334 DS-GVO) und unvollständige Auskunftserteilung nach Art. 15 DS-GVO, da nicht mitgeteilt worden sei, welchen Empfängern die Daten des Kl. durch Ausnutzung des Kontakt-Import Tools zugänglich gemacht worden seien (Art. 3334 DS-GVO), sind solche Verstöße schon nicht vom Schutzzweck des Art. 82 DS-GVO umfasst. Ausreichend ist nicht ein Verstoß gegen jegliche Vorgabe der DS-GVO, sondern aus Art. 82 Abs. 2 DS-GVO ergibt sich, dass Schutzgegenstand der Vorschrift, die verletzt wurde, die Datenverarbeitung selbst sein muss. Art. 82 Abs. 1 DS-GVO ist demgegenüber lediglich als generelle Umschreibung bzw. Klarstellung der Haftungsverpflichtung von allen Anspruchsverpflichteten zu verstehen. Anknüpfungspunkt für eine Haftung ist also eine der Verordnung nicht entsprechende Verarbeitung iSd Art. 4 Nr. 2 DS-GVO. Dies steht im Einklang mit Erwägungsgrund 146, wonach der Verantwortliche oder der Auftragsverarbeiter Schäden, die einer Person auf Grund einer Verarbeitung entstehen, die mit der DS-GVO nicht im Einklang stehen, ersetzen sollte. Benachrichtigungs-­, Aufklärungs- und Informationspflichten nach Art. 5 Abs. 1 lit. a DS-GVO, nach Art. 131415 DS-GVO und nach Art. 3334 DS-GVO stellen keine Datenverarbeitung dar, sodass Verstöße gegen diese Normen von Art. 82 Abs. 12 DS-GVO nicht umfasst sind. Schließlich lässt sich auch von vornherein aus Art. 24 DS-GVO kein subjektives Recht herleiten. Selbiges gilt für Art. 25 DS-GVO. Unabhängig davon fehlt es an einem ersatzfähigen Schaden des Kl. iSd Art. 82 Abs. 1 DS-GVO. Für den immateriellen Schadensersatz gelten dabei die iRv § 253 BGB entwickelten Grundsätze; die Ermittlung obliegt dem Gericht nach § 287 ZPO. Es können für die Bemessung die Kriterien des Art. 83 Abs. 2 DS-GVO herangezogen werden, beispielsweise die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie die betroffenen Kategorien personenbezogener Daten. Zu berücksichtigen ist auch, dass die beabsichtigte abschreckende Wirkung nur durch für den Anspruchsverpflichtenden empfindliche Schmerzensgelder erreicht wird, insbesondere wenn eine Kommerzialisierung fehlt. Ein genereller Ausschluss von Bagatellfällen ist damit nicht zu vereinbaren. Die Pflicht zur Erstattung immaterieller Schäden ist daher nicht nur auf schwere Schäden beschränkt. Ein genereller Ausschluss von Bagatellschäden ist im Lichte dieser Erwägungsgründe nicht vertretbar. Dies wird auch aus Art. 4 Abs. 3 AEUV abgeleitet, der die Mitgliedsstaaten dazu anhält, Verstöße wirksam mit Sanktionen zu belegen, denn nur so könne man eine effektive Durchsetzbarkeit des EU-Rechts und damit auch der DS-GVO erzielen. Allein eine Verletzung des Datenschutzrechts als solche begründet allerdings nicht bereits für sich gesehen einen Schadensersatzanspruch für betroffene Personen. Die Verletzungshandlung muss in jedem Fall auch zu einer konkreten, nicht nur völlig unbedeutenden oder empfundenen Verletzung von Persönlichkeitsrechten der betroffenen Personen geführt haben. Verletzung und Schaden sind nicht gleichzusetzen. Es ist zwar eine schwere Verletzung des Persönlichkeitsrechts nicht (mehr) erforderlich. Andererseits ist auch weiterhin nicht für einen Bagatellverstoß ohne ernsthafte Beeinträchtigung bzw. für jede bloß individuelle empfundene Unannehmlichkeit ein Schmerzensgeld zu gewähren; vielmehr muss dem Betroffenen ein spürbarer Nachteil entstanden sein und es muss um eine objektiv nachvollziehbare, mit gewissem Gewicht erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen gehen.

NEU LG Tübingen Urt. v. 6.6.2023 – 7 O 144/22 = ZD 2023, 639 (Ls.)

0 EUR Dem Kl. steht kein Anspruch auf Zahlung eines Schadensersatzes iHv 1.000 EUR gem. Art. 82 Abs. 1 DS-GVO zu. Der sachliche Anwendungsbereich des Art. 82 DS-GVO ist bezogen auf die Geltendmachung behaupteter verspäteter Auskunftsansprüche gem. Art. 15 DS-GVO und Art. 34 DS-GVO nicht eröffnet. Denn Art. 82 Abs. 1 DS-GVO legt fest, dass jeder Person, der wegen eines Verstoßes gegen die DS-GVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter hat. Art. 82 Abs. 2 DS-GVO regelt den anspruchsbegründenden Sachverhalt. Anknüpfungspunkt für eine Haftung ist eine der Verordnung nicht entsprechende Verarbeitung iSd Art. 4 Nr. 2 DS-GVO. Der Schutzbereich des Art. 82 DS-GVO als hier maßgebliche Anspruchsgrundlage umfasst ebenso wenig Verstöße gegen Art. 34 DS-GVO. Schließlich lässt sich auch von vornherein aus Art. 24 DS-GVO kein subjektives Recht herleiten. Daher kann auch dahinstehen, ob Verstöße etwa gegen Artikel 1314 und 34 DS-GVO durch die Bekl. erfolgten, da auch sie nicht unter den Schutzbereich des Art. 82 DS-GVO fallen, weil auch sie „lediglich“ Informationspflichten über die Verarbeitung enthalten, nicht aber die Verarbeitung als solche zum Gegenstand haben.

NEU LG Bochum Urt. v. 5.6.2023 – 6 O 86/22

0 EUR Ein Anspruch gegen die Bekl. ergibt sich weder aus Art. 82 Abs. 1 DS-GVO noch aus sonstigen Vorschriften. Hier lassen sich weder schadensersatzrelevante und – auslösende Pflichtverletzungen der Bekl. noch ein diesbezüglicher Schaden feststellen. Zwar verkennt der erkennende Einzelrichter nicht, dass die Voraussetzungen der relevanten Grundlagen und Normen von den erstinstanzlichen Gerichten unterschiedlich ausgelegt werden und eine Vielzahl an Gerichten beide Voraussetzungen bejahen und damit entsprechenden Klagen stattgegeben haben. Die Kammer hält jedoch die von einer Vielzahl von anderen Gerichten vertretene Gegenmeinung für zutreffend, die diesbezügliche Klagen abgewiesen haben, weil weder die Voraussetzung einer schadensersatzbegründenden Pflichtverletzung der Bekl. noch ein diesbezüglicher Schaden gegeben bzw. feststellbar ist. Demnach steht dem Kl. nach Meinung des erkennenden Einzelrichters kein Anspruch auf Schadensersatz zu. Zunächst einmal lässt sich eine schadensersatzbegründende Pflichtverletzung der Bekl. nicht feststellen, da die von dem Kl. geltend gemachten Verstöße der Bekl. gegen mehrere Vorschriften und Grundsätze der DS-GVO nicht gegeben sind. Ausgehend davon, dass stets ein gewisses Risiko, dass über technische Programme selbst gewählte Freigaben ausgenutzt und missbraucht werden, bei einer Internetnutzung verbleibt, ist dies hier nicht von der Bekl., sondern vom Kl. zu tragen, der sich eigenverantwortlich zur Nutzung des sozialen Netzwerks entschlossen hat und nach Zustimmung zur Datenschutzrichtlinie und nach Bereitstellung von Hilfestellungsmöglichkeiten danach eigenverantwortlich und selbst entschieden hat, wie und in welchem Umfang er die Angebote nutzt. Unabhängig von der Frage, ob die Kl. vom geltend gemachten Verstöße überhaupt alle vom Anwendungsbereich des Art. 82 Abs. 1 DS-GVO erfasst sind, was dahingestellt bleiben kann, sind hier bereits schadenersatzrelevante und -auslösende Pflichtverletzung der Bekl. bezüglich der gerügten Verstöße nicht gegeben, sodass allein deshalb ein Schadensersatzanspruch gem. Art. 82 Abs. 1 DS-GVO ausscheidet, sodass auch die streitige Frage dahingestellt bleiben kann, welche konkreten Daten des Kl. von dem Scraping jenseits des Namens, der Benutzer-ID, des Geschlechts und der Mobilnummer des Kl. tatsächlich betroffen waren.

NEU LG München I Urt. v. 5.6.2023 – 15 O 4501/22

0 EUR Die Kl. hat keinen Anspruch auf Zahlung eines immateriellen Schadensersatzes aus Art. 82 Abs. 1 DS-GVO oder einer anderen denkbaren Anspruchsgrundlage. Denn jedenfalls fehlt es am Eintritt eines immateriellen Schadens, der sich kausal auf den Scraping-Vorfall zurückführen lässt. Das Merkmal des immateriellen Schadens ist autonom auszulegen. Erwägungsgrund 146 (und in diesem S. 3) zur DS-GVO sieht vor, dass der Begriff des Schadens im Lichte der Rspr. des EuGH weit auf eine Art und Weise ausgelegt werden soll, die den Zielen dieser Verordnung in vollem Umfang entspricht. Eine Erheblichkeitsschwelle für das Vorliegen eines solchen Schadens ergibt sich gerade nicht aus der DS-GVO. Bagatellschäden sind nicht auszuschließen. Zu verlangen ist aber jedenfalls, dass ein konkreter immaterieller Schaden auch tatsachlich eingetreten („entstanden“) ist. Diesen muss die Kl. darlegen und ggf. beweisen. Auch und gerade unter Berücksichtigung eines weiten Verständnisses des immateriellen Schadens, das ausdrücklich auch Bagatellschaden einschließt, kann das Gericht nicht erkennen (§ 287 Abs. 1 ZPO), dass die Kl. im vorliegenden Fall einen solchen Schaden tatsachlich erlitten hat. Zwar schilderte der Kl. einerseits, vermehrt Spam-E-­Mails, SMS und Anrufe erhalten habe. Allerdings schilderte der Kl. andererseits auch, dass er trotz des Vorfalls und trotz der Kontaktaufnahmeversuche weiterhin die Plattform weiter nutze.

NEU LG Detmold Urt. v. 2.6.2023 – 02 O 184/22 = ZD 2023, 638 (Ls.)

0 EUR Der verfolgte Schmerzensgeldanspruch besteht unter keinem rechtlichen Gesichtspunkt. Ein Anspruch aus Art. 82 Abs. 1 DS-GVO kommt nicht in Betracht. Aus Sicht der Kammer mangelt es bereits an einem Verstoß gegen die DS-GVO wie auch an einem bei dem Kl. eingetretenen Schaden. Auch der Anwendungsbereich der DS-GVO ist aus Sicht der Kammer nicht für jeden der geltend gemachten Verstöße eröffnet. Es liegt kein Verstoß gegen Art. 5 Abs. 1 lit. f DS-GVO vor, da die Bekl. nicht gegen die sie treffende Obliegenheit, personenbezogene Daten vor unbefugter oder unrechtmäßiger Verarbeitung zu schützen, verstoßen hat. Ein Verstoß gegen Art. 2432 DS-GVO ist ebenso nicht gegeben. Nach Auffassung der Kammer liegt auch kein Verstoß gegen Art. 25 DS-GVO vor. Soweit der Kl. der Bekl. weitere Verstöße gegen die DS-GVO vorwirft, nämlich ungenügende Information und Aufklärung über die Verarbeitung der sie betreffenden Daten durch ungenügende Aufklärung zur Verwendung und Geheimhaltung der Telefonnummer (Art. 5 Abs. 1 lit. a), einen unmittelbaren Verstoß gegen Art. 1314 DS-GVO, die konkrete Informationspflichten enthalten, die seitens der Bekl. nicht eingehalten worden seien, unvollständige Auskunftserteilung nach Art. 15 DS-GVO, da nicht mitgeteilt worden sei, welchen Empfängern ihre Daten zugänglich gemacht worden seien (Art. 3334 DS-GVO), sind solche Verstöße bereits weder vom Schutzzweck des Art. 82 DS-GVO noch von dessen sachlichen Anwendungsbereich umfasst. Art. 82 Abs. 1 DS-GVO erfasst nur solche Pflichtverstöße, die im Rahmen einer „Verarbeitung“ geschehen, was sich aus dem Wortlaut des Art. 82 Abs. 2 DS-GVO ergibt („durch eine nicht dieser Verordnung entsprechende Verarbeitung“). Art. 5 Abs. 1 lit. a, 131415 DS-GVO begründen Informationspflichten gegenüber betroffenen Personen. Auch Art. 3334 DS-GVO begründen eine Pflicht zur Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde (Art. 33 DS-GVO) bzw. die Pflicht zur Benachrichtigung der betroffenen Person (Art. 34 DS-GVO). Die Erteilung von Informationen über die Verarbeitung personenbezogener Daten, die Benachrichtigung über eine Verletzung des Schutzes personenbezogener Daten gegenüber Nutzern und die Erteilung einer beantragten Auskunft stellen jedoch keine Verarbeitungen iSv Art. 4 Nr. 2 DS-GVO dar, sodass sich aus ihrer etwaigen Verletzung kein Anspruch aus Art. 82 Abs. 1 DS-GVO ableiten lässt. IÜ fehlt es auch an einem Schaden iSv Art. 82 Abs. 1 DS-GVO. Anders als der Kl. meint, genügt nicht allein der Verstoß gegen die DS-GVO, um einen Ausgleich / eine Kompensation verlangen zu können. Dies widerspricht dem Schadensrecht, unabhängig vom Wortlaut des Art. 82 Abs. 1 DS-GVO. Ein Schadens- und auch Schmerzensgeldanspruch setzt stets einen immateriellen oder materiellen Schaden voraus. Verletzung und Schaden sind nicht gleichzusetzen. Es ist nicht für jede bloß individuell empfundene Unannehmlichkeit ein Schmerzensgeld zu gewähren; vielmehr muss dem Betroffenen ein spürbarer Nachteil entstanden sein und es muss um eine objektiv nachvollziehbare, mit gewissem Gewicht erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen gehen. Allein der Kontrollverlust des Kl. über seine Daten stellt keinen Schaden dar.

NEU LG Ingolstadt Urt. v. 1.6.2023 – 81 O 549/22

0 EUR Die Voraussetzungen für den vom Kl. geltend gemachten Geldentschädigungsanspruch in Bezug auf einen ihm zugefügten immateriellen Schaden liegen nicht vor. Das Gericht konnte sich auf Grundlage des schriftsätzlichen Vorbringens iVm der persönlichen Anhörung des Kl. keine Überzeugung vom Vorhandensein eines immateriellen Schadens bilden. Der Begriff des Schadens ist autonom auszulegen, ohne dass es darauf ankommt, ob ein bestimmter Schaden nach nationalem Recht als Schaden angesehen werden könnte. Nach Auffassung der Kammer ist für den erforderlichen Schadenseintritt der bloße Verstoß gegen Bestimmungen der DS-GVO nicht ausreichend. Der Schaden ist nicht mit der zugrundeliegenden Rechtsgutsverletzung gleich zu setzen. Es bedarf vielmehr des Nachweises eines von der zugrunde liegenden Rechtsgutsverletzung zu unterscheidenden konkret entstandenen Schadens. Hierfür spricht bereits der Wortlaut von Art. 82 Abs. 1 DS-GVO, der über den Verstoß hinaus ausdrücklich die Entstehung eines Schadens voraussetzt. Umgekehrt führt der fehlende Hinweis in den Vorschriften der DS-GVO und den maßgeblichen Erwägungsgründen darauf, dass Bagatellschäden nicht auszugleichen wären, dazu, dass der Nachweis eines tatsächlich erlittenen Schadens erforderlich ist, um ein vom Verordnungsgeber nicht gewolltes Ausufern von Schadensersatzforderungen in allen Fällen eines – tatsächlich für den Betroffenen folgenlosen – Datenschutzverstoßes zu vermeiden. Auch die Aufzählung der durch die Datenschutzverletzung möglichen Schäden im Erwägungsgrund 85 S. 1 macht deutlich, dass der Schaden mit der Datenschutzverletzung nicht identisch ist, zumal durchaus denkbar ist, dass eine Datenschutzverletzung nicht zum Eintritt eines der benannten Schäden führt. Vor diesem Hintergrund muss in jedem Einzelfall betrachtet werden, ob ein Schaden überhaupt entstanden ist. Gegen eine Ausdehnung des immateriellen Schadensersatzes spricht auch das erhebliche Missbrauchsrisiko, das mit der Schaffung eines lediglich auf einen Verstoß gegen Vorschriften der DS-GVO beschränkten und im übrigen voraussetzungslosen Schmerzensgeldanspruchs gerade im Bereich des Datenschutzrechts einherginge. Bei der Beurteilung, ob ein konkreter (immaterieller) Schaden entstanden ist, hat das Gericht einzelfallbezogen zu beurteilen, ob durch die DS-GVO-Verletzung eine durchschnittlich im Datenschutz sensibilisierte Person solch negative Gefühle entwickeln würde, die über jene hinausgehen, welche man automatisch entwickelt, wenn ein Gesetz zu seinen Ungunsten verletzt wird. Der Geschädigte muss daher einen solchen Nachteil erlitten haben, dem infolge der Beeinträchtigung der Interessen ein Gewicht zukommen muss. Nicht schon jeder, allein durch die Verletzung an sich hervorgerufene Ärger oder sonstige Gefühlsschaden ist auszugleichen, sondern nur ein darüberhinausgehendes besonderes immaterielles Interesse. Entscheidend ist, dass die Datenschutzverletzung über eine individuell empfundene Unannehmlichkeit hinausgeht oder das Selbstbild oder Ansehen einer Person ernsthaft beeinträchtigt. Unter Anwendung der vorstehenden Grundsätze konnte sich das Gericht vom Vorhandensein eines dem Kl. entstandenen konkreten immateriellen Schadens keine Überzeugung bilden. Dem pauschalen Vorbringen zufolge hat die Kl. „einen erheblichen Kontrollverlust über ihre Daten erlitten“ und verbleibt „in einem Zustand großen Unwohlseins und Sorge über möglichen Missbrauch ihrer Daten“ was sich unter anderem in einem „verstärkten Misstrauen bezüglich E-­Mail zum Anrufen von unbekannten Nummern und Adressen, aber auch in der ständigen Sorge, dass die veröffentlichten Daten von Kriminellen für unlautere Zwecke verwendet werden könnten“ manifestiert habe. Die Verwendung der männlichen und weiblichen Personalpronomina liegt nahe, dass es sich auch bei diesem Sachvortrag um einen Textbaustein handelt, der über das streitgegenständliche Verfahren hinaus Verwendung findet und damit nicht geeignet ist, einen konkreten Schaden des Kl. zu beschreiben. Soweit die Kl. weitere Daten des Kl. von dem Scraping-Vorfall betroffen sieht, liegt bereits ein substantiierter Sachvortrag dazu, welche konkreten Daten der Kl. überdies in seinem F.Profil eingestellt haben will, die er nicht öffentlich zugänglich machen wollte, nicht vor.

NEU LG München I Urt. v. 31.5.2023 – 18 O 4509/22

0 EUR Dem Kl. steht kein Anspruch auf Schadensersatz gem. Art. 82 DS-GVO zu. Bezogen auf die Geltendmachung behaupteter verspäteter Auskunftsansprüche gem. Art. 15 DS-GVO und Art. 34 DS-GVO ist bereits der sachliche Anwendungsbereich des Art. 82 DS-GVO nicht eröffnet. Gemäß Art. 2 Abs. 1 DS-GVO umfasst der sachliche Anwendungsbereich die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Anknüpfungspunkt für eine Haftung ist eine der Verordnung nicht entsprechende Verarbeitung iSd Art. 4 Nr. 2 DS-GVO. Die behauptete Verletzung von bloßen Benachrichtigungspflichten bzw. Informationsrechte sind hiervon jedoch nicht erfasst. Dasselbe gilt für Verstöße gegen Art. 34 DS-GVO. Letztlich lässt sich aus Art. 24 und 25 DS-GVO von vorneherein kein subjektives Recht herleiten. Unabhängig von obigen Ausführungen, fehlt es – selbst bei unterstellten Pflichtverstößen der Bekl. gegen die DS-GVO – jedenfalls an einem ersatzfähigen Schaden des Kl. iSd Art. 82 Abs. 1 DS-GVO. Bereits nach dem Wortlaut des Art. 82 DS-GVO muss dem Anspruchsberechtigten ein Schaden entstanden sein. Er darf also nicht lediglich befürchtet werden. Der Schaden muss gem. Art. 82 Abs. 5 DS-GVO „erlitten“ sein, was heißt, er muss „spürbar“, objektiv nachvollziehbar und von gewissem Gewicht sein. Allein eine Verletzung des Datenschutzrechts reicht nicht aus. Zwar soll der Begriff des Schadens nach dem Erwägungsgrund 146 S. 3 weit ausgelegt werden; auch sind reine Bagatellschäden grds. ersatzfähig. In den Erwägungsgründen Nr. 75 und 85 werden hierbei einige mögliche Schäden aufgezählt, darunter Identitätsdiebstahl, finanzielle Verluste, Rufschädigung, aber auch der Verlust der Kontrolle über die eigenen Daten sowie die Erstellung unzulässiger Persönlichkeitsprofile. Allerdings hat der Kl. für das Gericht (§ 287 ZPO) auch unter Berücksichtigung dieser weiten Auslegung und gemessen an den vorgenannten Grundsätzen nicht hinreichend dargelegt, dass der Kl. einen ersatzfähigen, „spürbaren“ Schaden erlitten hat. Der Kl. hat in seinen Schriftsätzen formelhaft und pauschal vortragen lassen, dass er einen erheblichen Kontrollverlust über seine Daten erlitten habe und deshalb unter großem Unwohlsein und Sorge leide sowie einen Missbrauch befürchte. Auch lässt er vortragen, vermehrt unbekannte Kontaktversuche via SMS und E-­Mail zu erhalten. Der Vortrag ist Teil einer Klageschrift und Replik, die mit dem gleichen Inhalt in einer Vielzahl von Verfahren rechtshängig wurden. Letztlich fehlt es auch an einer Kausalität für einen – hier nicht festzustellenden – Schaden. Der Kl. scheint hierbei selbst an einer Kausalität zu zweifeln.

NEU LG Köln Urt. v. 31.5.2023 – 28 O 138/22

0 EUR Dem Kl. steht kein Anspruch auf Ersatz immateriellen Schadens gegen die Bekl. nach Art. 82 Abs.1 DS-GVO zu. Dabei kann offenbleiben, ob der Bekl. Verstöße gegen die DS-GVO iSd Art. 82 Abs. 1 DS-GVO vorzuwerfen sind, denn der Kl. hat diesbezüglich jedoch nicht vorgetragen, dass ihm ein Schaden entstanden ist. Art. 82 Abs. 1 DS-GVO ist dahin auszulegen, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadenersatzanspruch zu begründen. Vielmehr muss der Kl. einen konkreten immateriellen oder materiellen Schaden darlegen und beweisen. Die nationalen Gerichte haben bei der Festsetzung der Höhe des Schadenersatzes die innerstaatlichen Vorschriften der einzelnen Mitgliedstaaten über den Umfang der finanziellen Entschädigung anzuwenden, sofern die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität beachtet werden. Art. 82 Abs. 1 DS-GVO setzt nach seinem Wortlaut jedoch voraus, dass der betroffenen Person ein materieller oder immaterieller Schaden entstanden ist. Erwägungsgrund 146 S. 1 DS-GVO spricht von Schäden, „die einer Person auf Grund einer Verarbeitung entstehen“. Mit diesem Wortlaut ist eine Auslegung der Norm, nach der die Entstehung eines immateriellen Schadens nicht Tatbestandsvoraussetzung ist, nicht zu vereinbaren. Bei einer solchen Auslegung würde ein reiner Strafschadensersatz im Sinne eines „punitive damage“ vorliegen, der der kontinentaleuropäischen Zivilrechtsordnung fremd ist. Es wäre auch nicht zu erklären, warum bei einem immateriellen Schaden die Darlegung eines tatsächlichen entstandenen Schadens entbehrlich sein sollte, bei einem materiellen Schaden hingegen nicht. Auf das Erfordernis eines tatsächlich entstandenen immateriellen Schadens kann daher nicht verzichtet werden. „Bloßer Ärger“ oder „emotionales Ungemach“, zu dem die Verletzung der Vorschriften der DS-GVO bei der betroffenen Person geführt haben mag, reicht als solcher nicht bereits als immaterieller Schaden aus. Einen über bloßen Ärger bzw. bloßes Unwohlsein hinausgehenden Schaden hat der Kl. jedoch nicht dargelegt, und ein solcher ist auch nicht ersichtlich.

NEU LG Aachen Urt. v. 26.5.2023 – 8 O 267/22 = ZD 2023, 632 (Ls.)

0 EUR Die Kl. hat gegen die Bekl. keinen Anspruch auf immateriellen Schadensersatz, weder aus Art. 82 Abs. 1 DS-GVO noch aus einer anderen Anspruchsgrundlage. Nach Auffassung der Kammer ist der sachliche Anwendungsbereich des Art. 82 Abs. 1 DS-GVO eröffnet, auch soweit hier die Verletzung von Informationspflichten geltend gemacht und der Schmerzensgeldanspruch zumindest auch darauf gestützt wird. Aus dem Wortlaut der Vorschrift ergibt sich gerade nicht dass Art. 82 Abs. 1 DS-GVO durch Art. 82 Abs. 2 DS-GVO konkretisiert und eingeschränkt werden soll, sodass nur Pflichtverletzungen im Zusammenhang mit einer Verarbeitung von Daten den Schadensersatzanspruch auslösen könnten. Auf der Grundlage des klägerischen Vorbringens ist jedoch ein Verstoß der Bekl. gegen die DS-GVO nicht festzustellen. Unabhängig davon, ob überhaupt ein Verstoß gegen Vorschriften der DS-GVO vorliegt, scheitert ein Anspruch aus Art. 82 Abs. 1 DS-GVO aber jedenfalls daran, dass hier kein restitutionsfähiger (immaterieller) Schaden vorliegt. Für den immateriellen Schadensersatz gelten dabei die iRv § 253 BGB entwickelten Grundsätze; die Ermittlung obliegt dem Gericht nach § 287 ZPO. Es können für die Bemessung die Kriterien des Art. 83 Abs. 2 DS-GVO herangezogen werden, beispielsweise die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie die betroffenen Kategorien personenbezogener Daten. Zu berücksichtigen ist auch, dass die beabsichtigte abschreckende Wirkung nur durch für den Anspruchsverpflichtenden empfindliche Schmerzensgelder erreicht wird, insb. wenn eine Kommerzialisierung fehlt. Ein genereller Ausschluss von Bagatellfällen ist damit nicht zu vereinbaren. Die Pflicht zur Erstattung immaterieller Schäden ist daher nicht auf schwere Schäden beschränkt. Allein eine Verletzung des Datenschutzrechts als solche begründet allerdings nicht bereits für sich gesehen einen Schadensersatzanspruch für betroffene Personen. Die Verletzungshandlung muss in jedem Fall auch zu einer konkreten Verletzung von Persönlichkeitsrechten der betroffenen Personen geführt haben. Die Verletzung der Vorschriften der DS-GVO ist nicht mit einem Schadenseintritt gleichzusetzen. Es ist zwar keine schwere Verletzung des Persönlichkeitsrechts erforderlich. Andererseits ist aber auch weiterhin nicht für jede im Grunde nicht spürbare Beeinträchtigung bzw. für jede bloß individuelle empfundene Unannehmlichkeit ein Schmerzensgeld zu gewähren. Vielmehr muss dem Betroffenen ein spürbarer Nachteil entstanden sein und es muss um eine objektiv nachvollziehbare, tatsächlich erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen gehen. Nach Auffassung der Kammer hat Art. 82 Abs. 1 DS-GVO zwei eigene, separate Voraussetzungen, nämlich: (1.) einen Verstoß gegen die DS-GVO und (2.) einen tatsächlich eingetretenen materiellen oder immateriellen Schaden. Läge bei jedem DS-GVO-Verstoß automatisch ein immaterieller Schaden vor, wäre der Schaden als Anspruchsvoraussetzung überflüssig. Auf die Frage des konkreten Schadens kommt es hier aber deshalb nicht entscheidungserheblich an, weil die Klage auch aus anderen Gründen ohne Erfolg bleibt, da schon kein Verstoß gegen die DS-GVO festgestellt werden kann und iÜ die Kl. die Betroffenheit ihres Kontos auch nicht ausreichend dargelegt hat.

NEU LG Lübeck Urt. v. 25.5.2023 – 15 O 74/22

500 EUR Scraping-Sachverhalt. Eine für die Bejahung eines Schadens ausreichende Verletzung des allgemeinen Persönlichkeitsrechts in der Ausprägung des Rechts auf informationelle Selbstbestimmung liegt vor. Dieses Recht der Kl. wurde und wird bis heute fortlaufend verletzt. Infolge der Verstöße gegen die einschlägigen Bestimmungen der DS-GVO gelangten die streitgegenständlichen Daten inzwischen unstreitig auf jedenfalls eine online betriebene Seite, auf der sie rechtswidrig und massenhaft zum weiteren Vertrieb angeboten werden und damit fortgesetzt das geschützte Recht der Kl. verletzen, selbst zu entscheiden, wo und ob sie diese Daten offenbaren möchte. Wie sich die Kl. dabei fühlt, ist für das Vorliegen eines Schadens unerheblich, da ein solcher bereits in der tatsächlich stattfindenden (und nicht nur befürchteten) Persönlichkeitsrechtsverletzung durch Dritte liegt. Ein Abstellen auf die emotionale Befindlichkeit der Kl. wäre nur dann erheblich, wenn die Rechtsgutverletzung maßgeblich in einer Verletzung des Rechts auf körperliche Unversehrtheit zu sehen wäre. Dies ist jedoch nicht der Fall. Eine Verletzung von Art. 32 DS-GVO ist generell vom Schutzbereich des Art. 82 DS-GVO umfasst. Verletzung von Art. 25 DS-GVO ist nicht vom Schutzbereich des Art. 82 DS-GVO umfasst und kann daher keine Schadensersatzansprüche auslösen. Die vorgerichtlichen Rechtsanwaltskosten sind Teil des gem. Art. 82 Abs. 1 DS-GVO zu ersetzenden Schadens.

NEU LG Köln Urt. v. 24.5.2023 – 28 O 198/22

0 EUR Dem Kl. steht kein Anspruch auf Ersatz immateriellen Schadens gegen die Bekl. nach Art. 82 Abs.1 DS-GVO zu. Dabei kann offenbleiben, ob der Bekl. Verstöße gegen die DS-GVO iSd Art. 82 Abs. 1 DS-GVO vorzuwerfen sind, denn der Kl. hat diesbezüglich jedoch nicht vorgetragen, dass ihm ein Schaden entstanden ist. Nach der zu dieser Frage ergangenen Entscheidung des EuGH (Urt. v. 4.5.2023 – C-300/21) gilt Folgendes: Art. 82 Abs. 1 DS-GVO ist dahin auszulegen, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadenersatzanspruch zu begründen. Vielmehr muss der Kl. einen konkreten immateriellen oder materiellen Schaden darlegen und beweisen. Die nationalen Gerichte haben bei der Festsetzung der Höhe des Schadenersatzes die innerstaatlichen Vorschriften der einzelnen Mitgliedstaaten über den Umfang der finanziellen Entschädigung anzuwenden, sofern die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität beachtet werden. Einen über bloßen Ärger bzw. bloßes Unwohlsein hinausgehenden Schaden hat der Kl. jedoch nicht dargelegt, und ein solcher ist auch nicht ersichtlich. Soweit der Kl. vorträgt, er habe einen erheblichen Kontrollverlust über seine Daten erlitten und verbleibe in einem Zustand des Unwohlseins und der Sorge über möglichen Missbrauch seiner Daten, was zu verstärktem Misstrauen bezüglich E-­Mails und Kontaktversuchen etwa durch Anrufe oder SMS führe, wird dies damit begründet, dass der Kl., der seine Telefonnummer stets bewusst und zielgerichtet weitergebe und diese nicht wahl- und grundlos der Öffentlichkeit zugänglich mache, seit dem Vorfall Anrufe mit Vorwahlen aus afrikanischen oder „zum Teil“ osteuropäischen Ländern erhalten habe und bei dem Versuch, diese Anrufer zu erreichen, immer auf einem Anrufbeantworter „gelandet“ sei.

NEU LG Dortmund Urt. v. 22.5.2023 – 24 O 20/23

0 EUR Ein Anspruch des Kl. auf Zahlung eines immateriellen Schadensersatzes ergibt sich nicht aus Art. 82 Abs. 1 DS-GVO. Ein Verstoß gegen die Bestimmungen der DS-GVO liegt hingegen nicht vor, sodass auch offenbleiben kann, ob die Art. 13141524253234 DS-GVO in den Schutzbereich des Art. 82 DS-GVO fallen. IÜ mangelt es an einem ersatzfähigen Schaden des Kl. iSd Art. 82 Abs. 1 DS-GVO. Der Eintritt des Schadens muss dabei iSd § 287 ZPO als überwiegend wahrscheinlich dargetan werden. Dabei kann dahinstehen, wie der Schadensbegriff des Art. 82 Abs. 1 DS-GVO konkret zu verstehen ist. Denn es ist es dem Kl. bereits nicht gelungen, jedweden Ansatzpunkt für einen ersatzfähigen Schaden hinreichend konkret darzulegen.

NEU LG Stuttgart Urt. v. 17.5.2023 – 8 O 38/23

400 EUR Dem Kl. steht gegen die Bekl. ein Anspruch auf Schadensersatz gem. Art. 82 Abs. 1 DS-GVO zu. Die Anspruchsvoraussetzungen des Art. 82 Abs. 1 DS-GVO sind vorliegend erfüllt. Die Bekl. hat jedenfalls gegen Art. 25 Abs. 2 DS-GVO sowie Art. 13 Abs. 1 lit. c DS-GVO verstoßen. Der Kl. ist ein immaterieller Schaden entstanden, für welchen die Verstöße gegen die DS-GVO kausal waren. Die Bekl. kann sich hinsichtlich der genannten Verstöße gegen die DS-GVO nicht exkulpieren, ein Mitverschulden muss sich die Klagepartei nicht anrechnen lassen. Der immaterielle Schadensersatzanspruch ist im vorliegenden Fall mit 400 EUR zu bemessen. Grund und damit unabdingbare Voraussetzung der Haftung ist eine Pflichtverletzung, wenngleich es auf einen Schutznormcharakter der verletzten Vorschrift nicht ankommt, der Begriff der Pflichtverletzung also denkbar weit gefasst ist und letztlich jede Verletzung materieller oder formeller Bestimmungen der Verordnung einschließt. Ein Verstoß gegen Art. 25 Abs. 2 DS-GVO vermag iVm Art. 82 Abs. DS-GVO einen Schadensersatzanspruch begründen. Die Gegenauffassung, nach der ein auf Art. 25 Abs. 2 DS-GVO gestützter Schadensersatzanspruch wegen seines organisatorischen Charakters nicht in Betracht kommt, vermag nicht zu überzeugen. Art. 82 Abs. 1 DS-GVO setzt schlicht einen Verstoß gegen die DS-GVO voraus, der vorliegend zu bejahen ist. Dass Art. 25 Abs. 2 DS-GVO bereits vor dem eigentlichen Beginn der Datenverarbeitung ihren Regelungscharakter entfaltet, ändert daran nichts. Haftungsbegründend kann eine Datenverarbeitung nämlich auch dann sein, wenn bei dem eigentlichen Verarbeitungsvorgang vor- oder nachgelagerte Pflichten verletzt werden. Auch solcherlei Pflichtverstöße können eine Schadensersatzpflicht begründen, wenn diese im Zusammenhang mit einer Datenverarbeitung stehen – und dies letztlich zu einem Schaden auf Seiten der betroffenen Person geführt hat. Vielmehr kann aus der Verletzung der sich aus Art. 25 DS-GVO ergebenden Pflichten eine Erhöhung der Gefahr eines Schadens resultieren, was vorliegend ohne weiteres ersichtlich ist: Denn hätten die Voreinstellung den Anforderungen von Art. 25 Abs. 2 DS-GVO entsprochen, wäre ein Abgreifen der Mobiltelefonnummer des Kl. so, wie letztlich geschehen, nicht ohne weiteres möglich gewesen. Eine Beschränkung von Art. 82 DS-GVO auf unmittelbar mit der tatsächlichen Datenverarbeitung im Zusammenhang stehende Pflichten nach der DS-GVO vermag daher nicht zu überzeugen. Der Begriff des Schadens ist gem. Erwägungsgrund 146 S. 3 DS-GVO weit und unter Berücksichtigung der Ziele der DS-GVO auszulegen. Er erfasst sowohl materielle als auch immaterielle Schäden. Der Anspruch soll „einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten“ (vgl. Erwägungsgrund 146 S. 6), der Schadensersatz soll – gerade vor dem Hintergrund des Auslegungsziels des effet utile – abschrecken und weitere Verstöße unattraktiv machen. Da der Schadensbegriff des Art. 82 DS-GVO europarechtlich-autonom auszulegen ist, kommt es iÜ auch nicht darauf an, ob bestimmte Schadenspositionen im nationalen Recht nicht als Schaden angesehen werden. Vor diesem Hintergrund kann der Schaden bereits in der Ungewissheit bestehen, ob personenbezogene Daten an Unbefugte gelangt sind. Da die Daten des Kl. vorliegend unstreitig an Dritte gelangt sind, ein Kontrollverlust also konkret eingetreten ist, ist ein Schaden iSv Art. 82 DS-GVO zweifellos gegeben. Die festgestellten Verstöße gegen die DS-GVO sind kausal für den bei dem Kl. entstandenen Schaden. Der Verantwortliche haftet nach Art. 82 DS-GVO nur für kausal durch die rechtswidrige Verarbeitung verursachte Schäden, eine Mitursächlichkeit des Verstoßes genügt jedoch. Die Bekl. kann sich hinsichtlich der festgestellten Verstöße auch nicht nach Art. 82 Abs. 3 DS-GVO exkulpieren. Insofern kann dahinstehen, ob überhaupt ein Verschulden erforderlich ist bzw. ob die Haftung nach Art. 82 DS-GVO zur Sicherstellung eines möglichst wirksamen Schadensersatzes als Gefährdungshaftung gestaltet ist. Denn der Bekl. ist bereits nach ihrem eigenen Vorbringen eine Entlastung, hinsichtlich derer ihr die Darlegungs- und Beweislast obliegt, nicht gelungen. Denn dies wäre nur dann der Fall, wenn sie sämtliche Sorgfaltsanforderungen erfüllt hat und ihr nicht die geringste Fahrlässigkeit vorzuwerfen ist. Die Kl. muss sich auch kein Mitverschulden nach § 254 Abs. 1 BGB anrechnen lassen, weil er die Datenschutzeinstellungen seines Facebook-Profils nicht rechtzeitig geändert und dadurch auch den Zugriff der Daten-Scraper mit ermöglicht hat. Insoweit kann dahinstehen, ob ein Mitverschulden des Geschädigten iRv Art. 82 DS-GVO überhaupt zu berücksichtigen ist. Denn jedenfalls würde ein etwaiges Mitverschulden des Kl. (§ 254 BGB) hinter die Verstöße der Bekl. zurücktreten. Bei der Schadensbemessung ist der Ausgleichs- und Genugtuungsfunktion sowie der generalpräventiven Funktion des immateriellen Schadensersatzes Rechnung zu tragen. Zum einen ist – mit Blick auf den generalpräventiven Auftrag des Art. 82 DS-GVO – vorliegend zu berücksichtigen, dass die Art und Weise der Datenerhebung durch die Bekl. systematisch gegen die Vorgaben der DS-GVO verstößt, um damit Sinn und Zweck der von ihr betriebenen Facebook-Plattform zu fördern. Zuletzt unstreitig kam es bei der Kl. zu einem Abgreifen personenbezogener Daten und einem hiermit einhergehenden Kontrollverlust, der weitere Beeinträchtigungen durch unerwünschte Spam-Anrufe und sonstige Kontaktversuche befürchten lässt, zumal sich die abgegriffenen Daten nicht löschen lassen und diese daher potenziell dauerhaft verfügbar sind. Zudem konnte Kl. im Rahmen seiner persönlichen Anhörung zur Überzeugung des Gerichtes glaubhaft darlegen, dass er in Folge dieses Datenverlustes für einen Zeitraum von ungefähr drei Monaten unerwünschte – und unangenehme – Anrufe im Zwei-Wochen-Takt gab, zudem weiterhin Spam-Nachrichten, vereinzelte Anrufe sowie unerwünschte E-­Mails, die jedoch von dem Kl. als nicht übermäßig störend, vielmehr als „normal“ wahrgenommen werden und daher nicht besonders ins Gewicht fallen. Andererseits ist auch der Umfang der bei dem Kl. abgegriffenen Daten zu berücksichtigen, der im Grunde für den Kl. noch überschaubar ist. In der Gesamtabwägung erscheint daher ein Schadensersatz in Höhe von 400 EUR angemessen. Der Anspruch auf vorgerichtliche Rechtsanwaltskosten folgt aus Art. 82 Abs. 1 DS-GVO.

NEU LG Trier Urt. v. 16.5.2023 – 3 O 137/23

400 EUR Scraping-Sachverhalt.

NEU LG Regensburg Endurt. v. 11.5.2023 – 72 O 1413/22 KOIN = ZD 2023, 638 (Ls.)

0 EUR Die Kl. hat insb. keinen Anspruch auf Ersatz immaterieller Schäden gem. Art. 82 Abs. 1 DS-GVO. Es liegt kein Verstoß gegen die DS-GVO vor. Ein Verstoß gegen Art. 5 Abs. 1 lit. a DS-GVO liegt nicht vor. Zudem liegt auch kein Verstoß gegen Art. 32 DS-GVO bzw. Art. 5 Abs. 1 lit. f DS-GVO vor. Ob die Bekl. gegen die Vorgaben des Art. 25 DS-GVO verstoßen hat, kann dahinstehen. Denn selbst ein unterstellter Verstoß führte nicht zu einem Schadensersatzanspruch nach Art. 82 DS-GVO. Die Vorschrift entfaltet bereits vor dem eigentlichen Beginn der Datenverarbeitung ihren Regelungscharakter. Zu diesem, einer tatsächlichen Datenverarbeitung vorgelagerten Zeitpunkt entfaltet die DS-GVO jedoch nach Art. 2 Abs. 1 DS-GVO noch keine Wirkung. Die Anwendbarkeit der DS-GVO setzt vielmehr eine tatsächliche Verarbeitung personenbezogener Daten voraus. Ein Anspruch aus Art. 82 DS-GVO kommt daher nur in Betracht, wenn weitere Verstöße gegen die DS-GVO vorliegen. Zudem besteht kein Schadenersatzanspruch infolge eines etwaigen Verstoßes gegen Art. 33 DS-GVO. Zwar wird nicht verkannt, dass ein derartiger Verstoß grds. eine Schadensersatzpflicht gem. Art. 82 DS-GVO begründen kann. Dessen ungeachtet fehlt es jedenfalls an der erforderlichen Kausalität zwischen Rechtsverstoß und Schaden. Für den vom Kl. vorgetragenen Schaden ist es ohne Relevanz, ob der Scraping-Vorfall pflichtgemäß gemeldet wurde oder nicht. Die Daten waren ohnehin schon durch Dritte gesammelt worden und es sind keine Anhaltspunkte ersichtlich, dass auf Grund der Meldung an die Aufsichtsbehörde die Folgen irgendwie hätten reduziert werden können. Auch eine etwaige Verletzung der Auskunftspflicht (vgl. Art. 15 DS-GVO) in Bezug auf das Auskunftsersuchen der Kl. vermag keinen Anspruch der Kl. aus Art. 82 DS-GVO zu begründen. Ungeachtet eines etwaigen Verstoßes gegen die DS-GVO fehlt es jedenfalls (auch) an einem ersatzfähigen Schaden iSd Art. 82 Abs. 1 DS-GVO. Für den immateriellen Schadensersatz gelten dabei die iRv § 253 BGB entwickelten Grundsätze; die Ermittlung obliegt dem Gericht nach § 287 ZPO. Es können für die Bemessung die Kriterien des Art. 83 Abs. 2 DS-GVO herangezogen werden, beispielsweise die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie die betroffenen Kategorien personenbezogener Daten. Zu berücksichtigen ist auch, dass die beabsichtigte abschreckende Wirkung nur durch für den Anspruchsverpflichtenden empfindliche Schmerzensgelder erreicht wird, insbesondere wenn eine Kommerzialisierung fehlt. Ein genereller Ausschluss von Bagatellfällen ist damit nicht zu vereinbaren. Die Pflicht zur Erstattung immaterieller Schäden ist daher nicht auf schwere Schäden beschränkt. Bestätigt wurde dies jüngst durch eine Entscheidung des EuGH, wonach der Ersatz eines immateriellen Schadens iSd Art. 82 Abs. 1 DS-GVO nicht davon abhängig gemacht werden kann, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat. Ein genereller Ausschluss von Bagatellschäden ist im Lichte der Erwägungsgründe nicht vertretbar. Allein eine etwaige Verletzung des Datenschutzrechts als solche begründete allerdings nicht bereits für sich gesehen einen Schadensersatzanspruch für betroffene Personen. Die Verletzungshandlung muss in jedem Fall auch zu einer konkreten Verletzung von Persönlichkeitsrechten der betroffenen Personen geführt haben. Die Verletzung der Vorschriften der DS-GVO ist nicht mit einem Schadenseintritt gleichzusetzen. Es ist zwar keine schwere Verletzung des Persönlichkeitsrechts erforderlich. Andererseits ist aber auch weiterhin nicht für jede im Grunde nicht spürbare Beeinträchtigung bzw. für jede bloß individuelle empfundene Unannehmlichkeit ein Schmerzensgeld zu gewähren. Vielmehr muss dem Betroffenen ein spürbarer Nachteil entstanden sein und es muss um eine objektiv nachvollziehbare, tatsächlich erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen gehen. Diese Grundsätze erfuhren jüngst Bestätigung durch eine Entscheidung des EuGH; danach reicht der bloße Verstoß gegen Bestimmungen der DS-GVO nicht aus, um einen Schadensersatzanspruch zu begründen. Denn die gesonderte Erwähnung eines „Schadens“ und eines „Verstoßes“ in Art. 82 Abs. 1 DS-GVO wäre überflüssig, wenn der Gesetzgeber davon ausgegangen wäre, dass ein Verstoß gegen die Bestimmungen der DS-GVO für sich allein in jedem Fall ausreichend wäre, um einen Schadenersatzanspruch zu begründen. Ferner kann im Ergebnis dahinstehen, ob neben Art. 82 Abs. 1 DS-GVO auch nationales Recht anwendbar ist, oder das nationale Recht von den europarechtlichen Vorschriften der DS-GVO verdrängt wird.

NEU LG Regensburg Urt. v. 11.5.2023 – 72 O 731/22 KOIN

0 EUR Die Kl. hat keinen Anspruch auf Ersatz immaterieller Schäden gem. Art. 82 Abs. 1 DS-GVO. Allerdings liegt schon kein Verstoß gegen die DS-GVO vor. Ob die Bekl. gegen die Vorgaben des Art. 25 DS-GVO verstoßen hat, kann dahinstehen. Denn selbst ein unterstellter Verstoß führte nicht zu einem Schadensersatzanspruch nach Art. 82 DS-GVO. Zudem besteht kein Schadenersatzanspruch infolge eines etwaigen Verstoßes gegen Art. 33 DS-GVO. Zwar wird nicht verkannt, dass ein derartiger Verstoß grds. eine Schadensersatzpflicht gem. Art. 82 DS-GVO begründen kann. Auch eine etwaige Verletzung der Auskunftspflicht (vgl. Art. 15 DS-GVO) in Bezug auf das Auskunftsersuchen der Kl. vermag keinen Anspruch der Kl. aus Art. 82 DS-GVO zu begründen. Denn selbst eine unterstellte Auskunftspflichtverletzung konnte schon in zeitlicher Hinsicht nicht für den Scrapingvorfall und damit auch nicht für die behaupteten, dadurch verursachten Beeinträchtigungen der Kl. kausal werden. Ungeachtet eines etwaigen Verstoßes gegen die DS-GVO fehlt es jedenfalls (auch) an einem ersatzfähigen Schaden iSd Art. 82 Abs. 1 DS-GVO. Für den immateriellen Schadensersatz gelten dabei die iRv § 253 BGB entwickelten Grundsätze; die Ermittlung obliegt dem Gericht nach § 287 ZPO. Bemessungskriterien werden dargestellt. Als Schaden iSd DS-GVO kann nicht das vom Kl. behauptete erhöhte Spam-SMS-Aufkommen gewertet werden.

NEU LG Stuttgart Urt. v. 11.5.2023 – 15 O 148/22

500 EUR Scraping-Sachverhalt.

NEU LG Stuttgart Urt. v. 11.5.2023 – 15 O 149/22

500 EUR Scraping-Sachverhalt.

NEU LG Bückeburg Urt. v. 10.5.2023 – 1 O 84/22

0 EUR Dem Kl. steht gegen die Bekl. kein Anspruch auf Ersatz immateriellen Schadens aus Art. 82 DS-GVO zu. Ein Pflichtverstoß der Bekl. ist nicht ersichtlich. Voraussetzung für einen Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO ist, dass der Schaden durch eine nicht der DS-GVO entsprechende Verarbeitung verursacht wurde. Ein Verstoß gegen Art. 25 Abs. 2 DS-GVO ist vom Anwendungsbereich des Art. 82 Abs. 1 DS-GVO nicht erfasst. Denn die Norm stellt in erster Linie eine organisatorische Verpflichtung der Verantwortlichen dar; als bloße Verfahrensvorschrift ist die Einhaltung daher keine Voraussetzung für die Rechtmäßigkeit eines Verarbeitungsvorgangs. Gleiches gilt für die Art. 1314 und Art. 3334 DS-GVO. Diese begründen Informationspflichten gegenüber betroffenen Personen bzw. begründen Pflicht zur Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde (Art. 33 DS-GVO) bzw. die Pflicht zur Benachrichtigung der betroffenen Person (Art. 34 DS-GVO). Die Erteilung von Informationen über die Verarbeitung personenbezogener Daten, die Benachrichtigung über eine Verletzung des Schutzes personenbezogener Daten gegenüber Nutzern und die Erteilung eine beantragte Auskunft sind aber keine Verarbeitungen iSv Art. 4 Nr. 2 DS-GVO. Ein etwaiger Verstoß gegen diese Normen führt nicht zu einem Schadensersatzanspruch gem. Art. 82 Abs. 1 DS-GVO. Es ist auch kein Verstoß der Bekl. gegen das in Art. 2425 Abs. 2 DS-GVO verankerte Prinzip „Privacy by default“ gegeben. Jedenfalls fehlt es an der Darlegung eines immateriellen Schadens. Denn ein Datenschutzverstoß als solcher reicht für das Entstehen eines Schadensersatzanspruchs nach Art. 82 Abs. 1 DS-GVO nicht aus. Es bedarf darüber hinaus der Darlegung und des Nachweises eines konkreten – auch immateriellen – Schadens. Das folgt bereits aus dem Wortlaut der Vorschrift, die zwischen Verstoß und wegen des Verstoßes entstandenem Schaden differenziert Die Verletzungshandlung muss in jedem Fall auch zu einer konkreten, nicht nur völlig unbedeutenden oder empfundenen Verletzung von Persönlichkeitsrechten der betroffenen Personen geführt haben.

NEU LG Frankfurt/M. Beschl. v. 10.5.2023 – 2-13 T 33/23

0 EUR Der Anspruch nach Art. 82 DS-GVO ist individueller Natur und daher von dem Beeinträchtigten geltend zu machen und nicht von der Gemeinschaft.

NEU LG Bonn Urt. v. 10.5.2023 – 3 O 201/22 = ZD 2023, 635 (Ls.)

0 EUR Der Kl. hat gegen die Bekl. keinen Anspruch auf Zahlung eines Schmerzensgeldes. Ein solcher Anspruch ergibt sich insb. nicht aus Art. 82 Abs. 1 DS-GVO. Insoweit bedurfte es keiner Entscheidung darüber, ob der Anwendungsbereich des Art. 82 DS-GVO im vorliegenden Fall eröffnet ist und ob eine Pflichtverletzung iSd Art. 82 DS-GVO durch Verstoß gegen die Vorschriften der DS-GVO (insb. Art. 322425 Abs. 2333515 DS-GVO) vorliegt, da es jedenfalls an einem ersatzfähigen Schaden des Kl. fehlt. Für einen von dem Kl. geltend gemachten immateriellen Schadensersatz in Geld gelten dabei die im Zusammenhang mit § 253 Abs. 2 BGB entwickelten Grundsätze, sodass die Ermittlung des Schadens nach § 287 ZPO dem Gericht obliegt. Der Begriff des Schadens ist jedoch autonom, das heißt iRd DS-GVO nach deren Erwägungsgrund 146 S. 3 im Lichte der Rspr. des EuGH weit und auf eine Art und Weise auszulegen, die den Zielen der Verordnung in vollem Umfang entspricht. Schadenersatzforderungen sollen abschrecken und weitere Verstöße unattraktiv machen. Im Lichte dieser Erwägungen ist die Pflicht aus Art. 82 Abs. 1 DS-GVO zur Erstattung immaterieller Schäden entgegen § 8 Abs. 2 BDSG aF nicht nur auf schwere Verletzungen des Persönlichkeitsrechts des Betroffenen beschränkt. Gleichzeitig ist auch ein genereller Ausschluss von Bagatellschäden nicht vertretbar, da die beabsichtigte abschreckende Wirkung für den Anspruchsverpflichteten nur durch empfindliche Schmerzensgelder erreicht werden kann. Ein bloßer Datenschutzverstoß als solcher genügt für das Entstehen eines Schadenersatzanspruchs jedoch nicht, sondern es bedarf darüber hinaus der Darlegung und des Nachweises eines konkreten (auch: immateriellen) Schadens. Für das Erfordernis, neben einem Verstoß gegen die Regelungen der DS-GVO den Eintritt eines konkreten Schadens nachzuweisen, spricht dabei zunächst bereits der Wortlaut von Art. 82 Abs. 1 DS-GVO, der über den Verstoß hinaus ausdrücklich die Entstehung eines Schadens („…Schaden entstanden ist“) voraussetzt. Dies entspricht letztlich auch der Rechtsauffassung des EuGH, der in seinem Urt. v. 4.5.2023 – C-300/21, ausgeführt hat, dass Art. 82 Abs. 1 DS-GVO dahingehend auszulegen ist, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadenersatzanspruch zu begründen. Dass der EuGH in dem genannten Urteil darüber hinaus festgestellt hat, dass Art. 82 Abs. 1 DS-GVO dahin auszulegen ist, dass er einer nationalen Regelung oder Praxis entgegensteht, die den Ersatz eines immateriellen Schadens iSd Bestimmung davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat, bedeutet – worauf der EuGH ausdrücklich hinweist – nicht, dass eine Person, die von einem Verstoß gegen die DS-GVO betroffen ist, der für sie negative Folgen gehabt hat, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden iSd Art. 82 DS-GVO darstellen. Vielmehr hat auch der EuGH darauf abgestellt, dass ein konkreter Schaden im jeweiligen Einzelfall festzustellen ist. Auf dieser Grundlage konnte das Gericht einen konkreten Schaden in Form einer spürbaren, über ein bloßes Ärgernis und/oder eine bloß individuell empfundene Unannehmlichkeit hinausgehenden Beeinträchtigung von persönlichen Belangen des Kl., die zudem nachweislich auf den streitgegenständlichen Scraping-Vorfall zurückzuführen sein müsste, nicht erkennen.

NEU LG Lüneburg Urt. v. 9.5.2023 – 3 O 151/22

300 EUR Scraping-Sachverhalt.

NEU LG Lüneburg Urt. v. 9.5.2023 – 3 O 119/22

300 EUR Scraping-Sachverhalt.

NEU LG Offenburg Urt. v. 5.5.2023 – 3 O 311/22

0 EUR Der Kl. hat keinen Anspruch auf Zahlung eines immateriellen Schadensersatzes aus Art. 82 Abs. 1 DS-GVO oder einer anderen denkbaren Anspruchsgrundlage. Unabhängig vom Vorliegen der Anspruchsvoraussetzungen iÜ, fehlt es jedenfalls am Eintritt eines immateriellen Schadens. Das Merkmal des immateriellen Schadens ist autonom auszulegen. Erwägungsgrund 146 (und in diesem S. 3) zur DS-GVO sieht vor, dass der Begriff des Schadens im Lichte der Rspr. des EuGH weit auf eine Art und Weise ausgelegt werden soll, die den Zielen dieser Verordnung in vollem Umfang entspricht. Ein nationales Verständnis zum Begriff des Schadens – etwa eine enge Auslegung – ist mithin nicht angezeigt. Dabei ist davon auszugehen, dass der Schaden iSd Art. 82 Abs. 1 DS-GVO nicht bereits in der Verletzung der DS-GVO als solcher liegt, sondern vielmehr ein auf einem Verstoß gegen die DS-GVO beruhender Schaden darzulegen ist. Eine Erheblichkeitsschwelle für das Vorliegen eines solchen Schadens ergibt sich aus der DS-GVO nicht. Bagatellschäden sind daher nicht auszuschließen. Zu verlangen ist aber jedenfalls, dass ein konkreter immaterieller Schaden auch tatsächlich eingetreten („entstanden“) ist.

NEU LG Ulm Urt. v. 4.5.2023 – 4 O 115/22

350 EUR Scraping-Sachverhalt.

NEU LG Kiel Urt. v. 4.5.2023 – 6 O 314/22 = ZD 2023, 640 (Ls.)

0 EUR Ein Anspruch des Kl. auf Zahlung eines immateriellen Schadensersatzes ergibt sich nicht aus Art. 82 Abs. 1 DS-GVO. Ein Verstoß gegen die Bestimmungen der DS-GVO liegt nicht vor, sodass auch offenbleiben kann, ob die Art. 13141524253234 DS-GVO in den Schutzbereich des Art. 82 DS-GVO fallen. IÜ mangelt es an einem ersatzfähigen Schaden des Kl. iSd Art. 82 Abs. 1 DS-GVO. Der Eintritt des Schadens muss dabei iSd § 287 ZPO als überwiegend wahrscheinlich dargetan werden. Auch wenn der Schadensbegriff im Lichte des Erwägungsgrundes 146 S. 3 DS-GVO weit zu verstehen ist, so ist es dem Kl. nicht gelungen, diesen unter Zugrundelegung des vorbezeichneten Maßstabs hinreichend konkret darzulegen. Der Kl. benennt zwar als immaterielle Schadenspositionen Ängste, unter denen er leide, die daraus resultierten, dass er einen erheblichen Kontrollverlust über seine Daten erlitten habe und deshalb großem Unwohlsein und Sorgen in Bezug auf einen potenziellen Missbrauch seiner Daten durch Dritte ausgesetzt sei. Zudem sei es seit dem Scraping-Vorfall zu einem Anstieg an offenkundigen Betrugsversuchen in Form von Phishing-Mails und Anrufen gekommen. Das Gericht kann nicht mit hinreichender Wahrscheinlichkeit davon ausgehen, dass der Kl. unter den in der Klageschrift beschriebenen Ängsten und Sorgen tatsachlich leidet.

NEU LG Paderborn Urt. v. 2.5.2023 – 2 O 406/22

500 EUR Scraping-Sachverhalt.

NEU LG Augsburg Urt. v. 2.5.2023 – 031 O 1709/22 = ZD 2023, 639 (Ls.)

0 EUR Dem Kl. steht gegen die Bekl. kein Anspruch auf Zahlung eines immateriellen Schadensersatzes zu. Es fehlt auf der Grundlage des klägerischen Vorbringens bereits an einem Verstoß gegen die Bestimmungen der DS-GVO. Ein Verstoß gegen die Transparenzpflichten aus Art. 5 Abs. 1 lit. a, 1314 DS-GVO liegt nicht vor. Es liegt auch kein Verstoß gegen die Datenschutzpflichten aus Art. 5 Abs. 1 lit. f, 32 DS-GVO vor. Die Bekl. hat auch nicht gegen die Pflicht zu datenschutzfreundlichen Voreinstellungen gem. Art. 25 Abs. 12 DS-GVO verstoßen. Schließlich ist der Bekl. kein Verstoß gegen die Meldepflicht nach Art. 33 DS-GVO vorzuwerfen, da es schon an einem meldepflichtigen Verstoß gegen die DS-GVO fehlt. Endlich liegt auch kein Verstoß gegen die Auskunftspflicht der Bekl. nach Art. 15 DS-GVO vor. Es fehlt ferner an einem immateriellen Schaden des Kl. Zu den Anspruchsvoraussetzungen des Art. 82 Abs. 1 DS-GVO zählt neben dem Verstoß gegen die DS-GVO auch der Eintritt eines immateriellen Schadens. Hinsichtlich eines möglichen künftigen Missbrauchs personenbezogener Daten wird ein immaterieller Schaden aber nur dann zu begründen sein, wenn es sich um einen realen und sicheren emotionalen Schaden handelt und nicht nur um ein Ärgernis oder eine Unannehmlichkeit.

NEU LG Konstanz Urt. v. 28.4.2023 – D 6 O 98/22 = ZD 2023, 636 (Ls.)

0 EUR Dem Kl. steht gegen die Bekl. unter keinen rechtlichen Gesichtspunkten ein Schadensersatzanspruch gerichtete auf die Erstattung immateriellen Schadens zu. Ob vorliegend der sachliche Anwendungsbereich des Art. 82 Abs. 1 DS-GVO für klägerseits behaupteten Verletzungen der DS-GVO durch die Bekl. eröffnet ist und ob in diesem Falle der Bekl. zudem ein Verstoß gegen die DS-GVO anzulasten wäre, kann vorliegend dahinstehen, denn der Kl. konnte nicht nachweisen, dass ihm auch bei unterstellten Verstößen der Bekl. gegen die DS-GVO hieraus resultierend ein Schaden entstanden ist. Es fehlt bereits am Eintritt eines ersatzfähigen Schadens des Kl. iSd Art. 82 Abs. 1 DS-GVO. Nach den Erwägungsgründen der europäischen Grundrechtscharta ist der Schadensbegriff weit auszulegen. Schadenersatzforderungen sollen abschrecken und weitere Verstöße unattraktiv machen. Darüber hinaus sollen die betroffenen Personen eine vollständige und wirksame Kompensation für den erlittenen Schaden erhalten. Zwar ist nach der DS-GVO im Vergleich zum alten Recht eine schwere Verletzung des Persönlichkeitsrechts nicht mehr erforderlich und auch der EuGH erteilt in seinem aktuellen Urteil (v. 4.5.2023 – C-300/21) der teilweise vertretenen Ansicht, dass Bagatellschäden per se nicht ausgleichspflichtig sind und eine Erheblichkeitsschwelle überschritten sein müsse, eine Absage. Gleichwohl vermag aber allein eine Verletzung des Datenschutzrechts als solche nicht bereits aus generalpräventiven Gründen für sich gesehen einen Schadensersatzanspruch für betroffene Personen rechtfertigen. Die Verletzungshandlung muss in jedem Fall auch zu einer konkret erlittenen, nicht nur empfundenen Verletzung von Persönlichkeitsrechten der betroffenen Personen geführt haben. Verletzung und Schaden sind insoweit nicht gleichzusetzen. Vielmehr geht bereits aus dem Wortlaut der Bestimmung klar hervor, dass das Vorliegen eines „Schadens“ eine der Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadenersatzanspruch darstellt, ebenso wie das Vorliegen eines Verstoßes gegen die DS-GVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind. Hiernach muss dem Betroffenen ein spürbarer Nachteil tatsächlich entstanden sein und es muss um eine objektiv nachvollziehbare Beeinträchtigung von persönlichkeitsbezogenen Belangen gehen. Das Datenschutzrecht schützt zwar per se ein subjektives Recht, das einen starken Bezug zum persönlichen Empfinden des Einzelnen hat. Dennoch ist Art. 82 nicht so auszulegen, dass die Norm einen Schadensersatzanspruch bereits bei jeder individuell empfundenen Unannehmlichkeit ohne ernsthafte Beeinträchtigung für das Selbstbild oder Ansehen einer Person begründet. Gemessen an diesen Grundsätzen hat der Kl. schon keine spürbare Beeinträchtigung von persönlichen Belangen dargelegt. Würde der konkrete Nachweis einer möglichen Betroffenheit genügen, um eine Haftung zu begründen, käme dies einem sog. Strafschadensersatz („punitiv damage“) gleich, der im Haftungssystem des Art. 82 DS-GVO keine Grundlage findet. Vielmehr sind die Ausgleichsfunktion des Art. 82 DS-GVO und die Sanktionsfunktion des Art. 83 DS-GVO, der es Aufsichtsbehörden erlaubt, Bußgelder zu verhängen, strikt voneinander zu trennende Mittel für die Gewährleistung eines effektiven Datenschutzes. Letztlich konnte der Kl. seiner Darlegungs- und Beweislast in Bezug auf das Kausalitätserfordernis nicht nachkommen.

NEU LG Detmold Urt. v. 28.4.2023 – 02 O 184/22 = ZD 2023, 638 (Ls.)

0 EUR Ein Anspruch aus Art. 82 Abs. 1 DS-GVO kommt nicht in Betracht. Aus Sicht der Kammer mangelt es bereits an einem Verstoß gegen die DS-GVO wie auch an einem bei dem Kl. eingetretenen Schaden. Auch der Anwendungsbereich der DS-GVO ist aus Sicht der Kammer nicht für jeden der geltend gemachten Verstöße eröffnet. Es liegt kein Verstoß gegen Art. 5 Abs. 1 lit. f DS-GVO vor, da die Bekl. nicht gegen die sie treffende Obliegenheit, personenbezogene Daten vor unbefugter oder unrechtmäßiger Verarbeitung zu schützen, verstoßen hat. Ein Verstoß gegen Art. 2432 DS-GVO ist ebenso nicht gegeben. Nach Auffassung der Kammer liegt auch kein Verstoß gegen Art. 25 DS-GVO vor. Soweit der Kl. der Bekl. weitere Verstöße gegen die DS-GVO vorwirft, nämlich ungenügende Information und Aufklärung über die Verarbeitung der sie betreffenden Daten durch ungenügende Aufklärung zur Verwendung und Geheimhaltung der Telefonnummer (Art. 5 Abs. 1 lit. a), einen unmittelbaren Verstoß gegen Art. 1314 DS-GVO, die konkrete Informationspflichten enthalten, die seitens der Bekl. nicht eingehalten worden seien, unvollständige Auskunftserteilung nach Art. 15 DS-GVO, da nicht mitgeteilt worden sei, welchen Empfängern ihre Daten zugänglich gemacht worden seien (Art. 3334 DS-GVO), sind solche Verstöße bereits weder vom Schutzzweck des Art. 82 DS-GVO noch von dessen sachlichen Anwendungsbereich umfasst. Art. 82 Abs. 1 DS-GVO erfasst nur solche Pflichtverstöße, die im Rahmen einer „Verarbeitung“ geschehen, was sich aus dem Wortlaut des Art. 82 Abs. 2 DS-GVO ergibt („durch eine nicht dieser Verordnung entsprechende Verarbeitung“). IÜ fehlt es auch an einem Schaden iSv Art. 82 Abs. 1 DS-GVO. Anders als der Kl. meint, genügt nicht allein der Verstoß gegen die DS-GVO, um einen Ausgleich / eine Kompensation verlangen zu können. Dies widerspricht dem Schadensrecht, unabhängig vom Wortlaut des Art. 82 Abs. 1 DS-GVO. Ein Schadens- und auch Schmerzensgeldanspruch setzt stets einen immateriellen oder materiellen Schaden voraus. Dies lässt sich nach Auffassung der Kammer auch dem Wortlaut des Art. 82 Abs. 1 DS-GVO entnehmen, wonach sowohl ein Verstoß gegen diese (DS-GVO) Verordnung nötig ist, als auch ein daraus resultierender materieller oder immaterieller Schaden. Die Verletzungshandlung muss in jedem Fall zu einer konkreten, nicht nur völlig unbedeutenden oder empfundenen Verletzung von Persönlichkeitsrechten der betroffenen Person geführt haben. Verletzung und Schaden sind nicht gleichzusetzen. Es ist nicht für jede bloß individuell empfundene Unannehmlichkeit ein Schmerzensgeld zu gewähren; vielmehr muss dem Betroffenen ein spürbarer Nachteil entstanden sein und es muss um eine objektiv nachvollziehbare, mit gewissem Gewicht erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen gehen. Allein der Kontrollverlust des Kl. über seine Daten stellt keinen Schaden dar. Seine Sorge oder Angst um die verwendeten Daten und die Befürchtung, Opfer von Betrugsfällen oder Identitätsdiebstahl zu werden, kann zwar nicht gemessen werden, ist hierfür jedoch noch nicht ausreichend. Immerhin darf nicht außer Acht gelassen werden, dass jedenfalls Name, F.-ID und Geschlecht von ihm öffentlich bekanntgegeben wurden und damit bereits nicht mehr unter seiner ausschließlichen Kontrolle standen. Letztlich ist also insoweit überhaupt nicht mehr bekannt geworden als das, was von ihm selbst bereits im Internet veröffentlicht wurde. In Bezug auf die bekannt gewordene Telefonnummer mag ein gewisser Kontrollverlust vorliegen. Ob und inwieweit jedoch der Kontrolle über die Telefonnummer überhaupt ein Wert zukommt, mag bezweifelt werden. IÜ reicht für einen Schadensersatzanspruch ein bloßes Unmutsgefühl nach Auffassung der Kammer nicht aus. Dass der Erhalt dubioser Anrufe unbekannter Nummern und der Erhalt von Spamanrufen tatsächlich auf das Bekanntwerden seiner Telefonnummer zurückzuführen sind, ist nicht zwingend. Es ist bekannt, dass unerwünschte E-­Mails, SMS und Anrufe auch Personen erhalten, die keinen F.-Account haben oder Nutzer, die dort ihre Telefonnummer nicht hinterlegt haben. Dass der Kl. seit der Veröffentlichung seiner Daten unregelmäßig unbekannte Kontaktversuche via SMS und E-­Mail erhalte, die Nachrichten mit offensichtlichen Betrugsversuchen und potenziellen Virenlinks enthalten, ist allein nicht ausreichend, um einen sicheren Zusammenhang zu dem streitgegenständlichen Datenverlust herzustellen. Es ändert auch nichts an dem Erfordernis eines Datenschutzverstoßes seitens der Bekl. als vorgelagerter Voraussetzungen für einen Anspruch auf Schadensersatz.

NEU LG Stuttgart Urt. v. 27.4.2023 – 54 O 9/23

600 EUR Scraping-Sachverhalt.

NEU LG München Urt. v. 20.4.2023 – 15 O 6231/22

500 EUR Scraping-Sachverhalt.

NEU LG München Urt. v. 20.4.2023 – 15 O 4507/22

600 EUR Scraping-Sachverhalt.

NEU LG Stuttgart Urt. v. 19.4.2023 – 53 O 129/22

0 EUR Ein Anspruch des Kl. aus Art. 82 DS-GVO scheitert an einer fehlenden schadensersatzauslösenden Pflichtverletzung der Bekl. Etwaige Verstöße gegen die Pflicht zur Information und Aufklärung über die Verwendung und Geheimhaltung der Telefonnummer iSv Art. 5 Abs. 1 lit. a DS-GVO sowie gegen Informationspflichten nach Art. 1314 DS-GVO und die behauptete unvollständige Auskunftserteilung gem. Art. 15 DS-GVO sind bereits nicht vom Schutzzweck des Art. 82 DS-GVO erfasst, da Benachrichtigungspflichten keine Verarbeitung iSd Art. 4 Abs. 2 DS-GVO darstellen. Auch werden vom Schutzbereich des Art. 82 DS-GVO Verstöße gegen Art. 34 DS-GVO nicht erfasst.

NEU LG Limburg Urt. v. 14.4.2023 – 1 O 171/22

0 EUR Der Kl. hat keinen Anspruch auf immateriellen Schadensersatz. Ein Anspruch gegen die Bekl. ergibt sich weder aus Art. 82 DS-GVO noch aus sonstigen Vorschriften. Dem Kl. ist es nicht gelungen, den Eintritt eines (eigenen) Schadens als überwiegend wahrscheinlich (§ 287 ZPO) nachzuweisen. Nach dem ausdrücklichen Wortlaut der Vorschrift muss der Schaden „erlitten“ werden, woraus sich ergibt, dass dieser tatsächlich entstanden sein muss und nicht lediglich befürchtet wird. Zwar ist der Begriff des Schadens nach dem Erwägungsgrund 146 S. 3 weit auszulegen, sodass die Betroffenen einen wirksamen Ersatz bekommen; nach Auffassung der Kammer reicht jedoch ein bloßer Verstoß gegen Vorschriften der DS-GVO nicht aus, um (immateriellen) Schadensersatz verlangen zu können. Es bedarf vielmehr der Darlegung eines konkreten (auch immateriellen) Schadens. Allerdings ist es nicht erforderlich, dass der eingetretene Schaden erheblich ist; mithin sind auch Bagatellschäden ersatzfähig. Das Vorliegen eines konkreten, immateriellen Schadens, wozu auch Ängste, Sorgen, Stress sowie Komfort- und Zeiteinbußen zählen, hat der Kl. nicht hinreichend dargetan. Er hat zwar ausführen lassen, dass er einen erheblichen Kontrollverlust über seine Daten erlitten habe und deshalb unter großem Unwohlsein und Sorgen leide sowie einen Missbrauch befürchte; nach dem Datenleck seien vermehrt Spam-Nachrichten und Spam-Anrufe eingegangen. Diese Angaben sind – hierauf hat die Bekl. hingewiesen – völlig unsubstantiiert. Dass der Kl. unter den von ihm beschriebenen Ängsten und Sorgen tatsächlich leidet, ist auf dieser Grundlage nicht festzustellen.

NEU LG Kassel Urt. v. 6.4.2023 – 10 O 851/22 = ZD 2023, 635 (Ls.)

0 EUR Dem Kl. steht gegen die Bekl. kein Anspruch auf Zahlung eines immateriellen Schadensersatzes zu. Die Bekl. ist zwar als Verantwortliche iSv Art. 4 Nr. 7 DS-GVO anzusehen. Sie hat jedoch nicht gegen die DS-GVO verstoßen.

NEU LG Aachen Urt. v. 6.4.2023 – 8 O 154/22 = ZD 2023, 637 (Ls.)

0 EUR Der geltend gemachte Anspruch auf immateriellen Schadensersatz ergibt sich nicht aus Art. 82 Abs. 1 DS-GVO. Zwar ist hier der räumliche und sachliche Anwendungsbereich der DS-GVO bzw. des Art. 82 Abs. 1 DS-GVO eröffnet, jedoch ergibt sich aus dem klägerischen Vorbringen weder ein Verstoß der Bekl. gegen die Vorschriften der DS-GVO noch ein konkreter Schadenseintritt auf klägerischer Seite. Nach Auffassung der Kammer ist auch der sachliche Anwendungsbereich des Art. 82 Abs. 1 DS-GVO eröffnet, auch soweit hier die Verletzung von Informationspflichten geltend gemacht und der Schmerzensgeldanspruch zumindest auch darauf gestützt wird. Aus dem Wortlaut der Vorschrift ergibt sich gerade nicht dass Art. 82 Abs. 1 DS-GVO durch Art. 82 Abs. 2 DS-GVO konkretisiert und eingeschränkt werden soll, sodass nur Pflichtverletzungen im Zusammenhang mit einer Verarbeitung von Daten den Schadensersatzanspruch auslösen könnten. Auf der Grundlage des klägerischen Vorbringens bzw. des unstreitigen Sachverhalts ist jedoch ein Verstoß der Bekl. gegen die DS-GVO nicht festzustellen. Ein Verstoß gegen Art. 5 Abs. 1 lit. a DS-GVO liegt nicht vor. Es liegt ferner kein Verstoß gegen Art. 32 DS-GVO bzw. Art. 5 Abs. 1 lit. f DS-GVO vor. Die Bekl. hat auch nicht gegen das in Art. 2425 Abs. 2 DS-GVO verankerte Prinzip „Privacy by default“ verstoßen. Die Bekl. hat auch nicht eine etwaige Pflicht gem. Art. 33 DS-GVO verletzt, der zuständigen Aufsichtsbehörde einen Datenschutzverstoß zu melden. Schließich hat die Bekl. auch nicht gegen Art. 15 DS-GVO verstoßen, indem sie der Kl. keine bzw. unvollständige Auskünfte erteilt hätte. Unabhängig davon, ob hier überhaupt ein Verstoß gegen Vorschriften der DS-GVO vorliegt, scheitert ein Anspruch aus Art. 82 Abs. 1 DS-GVO aber jedenfalls daran, dass hier kein restitutionsfähiger (immaterieller) Schaden vorliegt. Für den immateriellen Schadensersatz gelten dabei die iRv § 253 BGB entwickelten Grundsätze; die Ermittlung obliegt dem Gericht nach § 287 ZPO. Es können für die Bemessung die Kriterien des Art. 83 Abs. 2 DS-GVO herangezogen werden, beispielsweise die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie die betroffenen Kategorien personenbezogener Daten. Zu berücksichtigen ist auch, dass die beabsichtigte abschreckende Wirkung nur durch für den Anspruchsverpflichtenden empfindliche Schmerzensgelder erreicht wird, insb. wenn eine Kommerzialisierung fehlt. Ein genereller Ausschluss von Bagatellfällen ist damit nicht zu vereinbaren. Die Pflicht zur Erstattung immaterieller Schäden ist daher nicht auf schwere Schäden beschränkt. Ein genereller Ausschluss von Bagatellschäden ist im Lichte der Erwägungsgründe nicht vertretbar. Allein eine Verletzung des Datenschutzrechts als solche begründet allerdings nicht bereits für sich gesehen einen Schadensersatzanspruch für betroffene Personen. Die Verletzungshandlung muss in jedem Fall auch zu einer konkreten Verletzung von Persönlichkeitsrechten der betroffenen Personen geführt haben. Die Verletzung der Vorschriften der DS-GVO ist nicht mit einem Schadenseintritt gleichzusetzen. Es ist zwar keine schwere Verletzung des Persönlichkeitsrechts erforderlich. Andererseits ist aber auch weiterhin nicht für jede im Grunde nicht spürbare Beeinträchtigung bzw. für jede bloß individuelle empfundene Unannehmlichkeit ein Schmerzensgeld zu gewähren. Vielmehr muss dem Betroffenen ein spürbarer Nachteil entstanden sein und es muss um eine objektiv nachvollziehbare, tatsächlich erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen gehen. Die bloße Gefährdung oder Befürchtung einer Gefährdung ist für die Annahme eines Schadens iSd DS-GVO nicht ausreichend. Nach Auffassung der Kammer hat Art. 82 Abs. 1 DS-GVO zwei eigene, separate Voraussetzungen, nämlich: (1.) einen Verstoß gegen die DS-GVO und (2.) einen tatsächlich eingetretenen materiellen oder immateriellen Schaden. Läge bei jedem DS-GVO-Verstoß automatisch ein immaterieller Schaden vor, wäre der Schaden als Anspruchsvoraussetzung überflüssig. Auf die Frage des konkreten Schadens kommt es hier aber deshalb nicht entscheidungserheblich an, weil die Klage auch aus anderen Gründen ohne Erfolg bleibt, da schon kein Verstoß gegen die DS-GVO festgestellt werden kann. Es kann im Ergebnis dahinstehen, ob neben Art. 82 Abs. 1 DS-GVO auch nationales Recht anwendbar ist, oder das nationale Recht von den europarechtlichen Vorschriften der DS-GVO verdrängt wird.

NEU LG Paderborn Urt. v. 31.3.2023 – 2 O 308/22

500 EUR Scraping-Sachverhalt.

NEU LG Heidelberg Urt. v. 31.3.2023 – 7 O 14/22

250 EUR Wie LG Heidelberg Urt. v. 31.3.2023 – 7 O 10/22.

NEU LG Heidelberg Urt. v. 31.3.2023 – 7 O 10/22

250 EUR Der Kl. hat gegen die Bekl. gem. Art. 82 Abs. 1 DS-GVO Anspruch auf immateriellen Schadensersatz iHv 250 EUR auf Grund der Verletzung von Vorschriften der DS-GVO. Der Maßstab für Verstöße gegen die DS-GVO iSd Art. 82 Abs. 1 DS-GVO ist weit zu fassen. Es kommen materielle wie formelle Verstöße in Betracht. Auch ist nicht allein auf die Datenverarbeitung abzustellen, sondern sämtliche Maßnahmen, so auch Vorbereitungsmaßnahmen, können einen entsprechenden Anspruch begründen. Dies ergibt sich aus dem Wortlaut des Art. 82 Abs. 1 DG-SVO selbst, der allgemein von „Verstoß gegen die DS-GVO“ spricht und damit jeglichen Verstoß einschließt. Etwas Anderes folgt nicht etwa aus Erwägungsgrund 146 S. 1. Soweit dort von Schäden, die einer Person auf Grund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht, die Rede ist, ist dies nicht etwa dahingehend aufzufassen, dass nur Verstöße bei der Verarbeitung von Daten im engeren Sinne gemeint sind. Dies widerspräche dem in Art. 1 Abs. 2 DS-GVO postulierten Ziel der Verordnung, die Grundrechte und Grundfreiheiten natürlicher Personen und insb. deren Recht auf Schutz personenbezogener Daten zu schützen. Vielmehr bezieht sich die gesamte DS-GVO auf die Verarbeitung von Daten und stellt Regeln auf, die bei der dem sachlichen Anwendungsbereich gem. Art. 2 unterfallenden Datenverarbeitung einzuhalten sind. Eine Begrenzung erfolgt iRd Kausalität. Die Bekl. hat gegen die gem. Art. 13 Abs. 1 lit. c DS-GVO bestehende Informationspflicht bei Erhebung von personenbezogenen Daten verstoßen, indem sie den Kl. bei der Anmeldung auf der F.-Plattform nicht ausreichend über die Zwecke, für die seine Telefonnummer verwendet werden sollte, informiert hat. Mangels hinreichender Information erfolge die Verarbeitung der Telefonnummer auch nicht rechtmäßig. Keine Verletzung der Informationspflicht ist – entgegen dem Verständnis des Kl. – hingegen in der mangelnden Aufklärung über die Möglichkeit missbräuchlichen Abgreifens von Daten. Die Bekl. hat zudem gegen die Verpflichtung gem. Art. 24325 Abs. 1 lit. f DS-GVO, die Sicherheit der Verarbeitung zu gewährleisten, verstoßen, indem sie keine ausreichend geeigneten technischen und organisatorischen Maßnahmen getroffen hat, um die personenbezogenen Daten des Kl., namentlich seine F.-ID, seinen Vornamen und Namen, sein Geschlecht, seinen Geburts- und Wohnort sowie seinen Arbeitgeber, gegen unbefugten Zugriff zu schützen. Die Bekl. hat überdies gegen in Art. 25 Abs. 2 DS-GVO das Gebot, Datenschutz durch datenschutzfreundliche Voreinstellungen zu gewährleisten, verstoßen, indem sie standardmäßig die Suchbarkeit der Nutzer über deren Telefonnummer „für alle“ voreingestellt hat. Ein Verstoß gegen diese Vorschrift kann zu einem Schadenersatzanspruch iSd Art. 82 DS-GVO führen. Das Gericht teilt nicht die gegenteilige Ansicht, der zufolge es sich in erster Linie um eine organisatorische Verpflichtung handelt. Vielmehr kann aus der Verletzung der sich aus Art. 25 DS-GVO ergebenden Pflichten eine Erhöhung der Gefahr eines Schadens resultieren. Der Bekl. kann sich nicht gem. Art. 82 Abs. 3 DS-GVO, der das Verschulden widerleglich vermutet, exkulpieren. Soweit in der Vorschrift von der Verantwortlichkeit für den Schaden die Rede ist, ist dies iSv Verschulden aufzufassen. Der Anspruchsverpflichtete kann sich daher nur entlasten, indem er beweist, dass er die am Maßstab des Stands der Technik und im Verkehr, dh am allgemeinen Schutzinteresse orientierte erforderliche Sorgfalt iSv § 276 Abs. 2 BGB angewendet hat. Die Bekl. hat keinerlei Umstände angeführt, die sie hinsichtlich der unzureichend erteilten Informationen in Bezug auf die Verarbeitung der Telefonnummer, die fehlenden Sicherheitsmaßnahmen zur Vermeidung des automatisierten Abgreifens von Daten über das CIT mittels Telefonnummern und die datenschutzunfreundliche Standardeinstellung bei der Suchbarkeit über die Telefonnummer entlasten könnte. Dem Kl. ist durch die Verstöße der Bekl. gegen die genannten Vorschriften DS-GVO ein immaterieller Schaden iSd Art. 82 Abs. 1 DS-GVO entstanden. Der Begriff des Schadens ist gem. Erwägungsgrund 146 S. 3 DS-GVO weit auf eine Art und Weise auszulegen, die den Zielen dieser Verordnung in vollem Umfang entspricht. Allerdings ist er nicht mit der zugrundeliegenden Rechtsgutsverletzung gleichzusetzen; der bloße Verstoß gegen Bestimmungen der DS-GVO reicht daher nicht aus. Allerdings können auch Bagatellschäden eine Ersatzpflicht hervorrufen. Denn eine Erheblichkeitsschwelle ist weder Art. 82 DS-GVO noch den Erwägungsgründen zu entnehmen. Erwägungsgrund 148 S. 2 sieht lediglich vor, dass (ausnahmsweise) bei geringfügigen Verstößen auf die Verhängung einer Geldbuße verzichtet werden kann. Deshalb kann ein Schaden auch bereits in einem unguten Gefühl, in der Angst und Besorgnis liegen, dass personenbezogene Daten Unbefugten bekannt geworden sind, wenn die Gefahr besteht, dass die Daten unbefugt weiterverwendet werden. Die erforderliche Kausalität zwischen den Verstößen der Bekl. gegen die DS-GVO und dem Schaden des Kl. liegt vor. Soweit sich der Kl. auf die Verletzung der Meldepflicht nach Art. 33 DS-GVO gegenüber der zuständigen Aufsichtsbehörde sowie der Pflicht zur Benachrichtigung der betroffenen Person nach Art. 34 DS-GVO beruft, sind zwar auch derartige Verstöße grds. geeignet, Schadenersatzansprüche auszulösen. Vorliegend kann die Verletzung der genannten Gebote indes dahinstehen, da ein daraus resultierender Schaden für den Kl. nicht erkennbar ist. Bei der Bestimmung des vom Kl. in das Ermessen des Gerichts gestellten Höhe des Schadenersatzes gem. § 287 Abs. 1 S. 1 ZPO sind alle Umstände des Einzelfalls zu würdigen. Die Kriterien des Art. 83 Abs. 2 DS-GVO, die Anhaltspunkte für die Höhe der von der Aufsichtsbehörde zu verhängenden Geldbuße geben sollen, können auch für die Bemessung des immateriellen Schadenersatzes herangezogen werden. Im streitgegenständlichen Fall hält das Gericht unter Berücksichtigung der Ausgleichs- und Genugtuungsfunktion sowie der generalpräventiven Funktion des immateriellen Schadenersatzes einen Betrag iHv 250 EUR erforderlich, aber auch ausreichend. Dabei fließt anspruchserhöhend ein, dass der Bekl. mehrere schadensursächliche Verstöße gegen die DS-GVO zur Last zu legen sind, wobei die den Zweck von F. fördernde Art der Datenerhebung die Regeln der DS-GVO nicht nur im Einzelfall, sondern systematisch und über einen längeren Zeitraum missachtet hat. Anspruchsmindernd ist zu berücksichtigen, dass der Kl. durch das Ausspähen seiner Daten in seiner Lebensführung nur wenig beeinträchtigt wurde und sich seine Sorge ersichtlich derart in Grenzen gehalten hat, dass er im Rahmen seiner persönlichen Abwägung von Vor- und Nachteilen davon abgesehen hat, seinen F.-Account aufzulösen, die dortigen Einstellungen zu seinem Schutz abzuändern oder seine Telefonnummer zu wechseln. Bei den gescrapten Daten handelt es sich zudem nicht um besonders sensible Informationen wie Gesundheits- oder Kontodaten. Die vorgerichtlichen Rechtsanwaltskosten sind als Teil des zu ersetzenden Schadens gem. Art. 82 Abs. 1 DS-GVO zu erstatten.

NEU LG Heidelberg Urt. v. 31.3.2023 – 7 O 9/22

0 EUR Der Kl. hat gegen die Bekl. gem. Art. 82 Abs. 1 DS-GVO keinen Anspruch auf immateriellen Schadensersatz auf Grund der Verletzung von Vorschriften der DS-GVO. Denn es ist nicht feststellbar, dass ihm ein Schaden entstanden ist. Der Maßstab für Verstöße gegen die DS-GVO iSd Art. 82 Abs. 1 DS-GVO ist weit zu fassen. Es kommen materielle wie formelle Verstöße in Betracht. Auch ist nicht allein auf die Datenverarbeitung abzustellen, sondern sämtliche Maßnahmen, so auch Vorbereitungsmaßnahmen, können einen entsprechenden Anspruch begründen. Dies ergibt sich aus dem Wortlaut des Art. 82 Abs. 1 DG-SVO selbst, der allgemein von „Verstoß gegen die DS-GVO“ spricht und damit jeglichen Verstoß einschließt. Etwas Anderes folgt nicht etwa aus Erwägungsgrund 146 S. 1. Soweit dort von Schäden, die einer Person auf Grund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht, die Rede ist, ist dies nicht etwa dahingehend aufzufassen, dass nur Verstöße bei der Verarbeitung von Daten im engeren Sinne gemeint sind. Dies widerspräche dem in Art. 1 Abs. 2 DS-GVO postulierten Ziel der Verordnung, die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten zu schützen. Vielmehr bezieht sich die gesamte DS-GVO auf die Verarbeitung von Daten und stellt Regeln auf, die bei der dem sachlichen Anwendungsbereich gem. Art. 2 unterfallenden Datenverarbeitung einzuhalten sind. Eine Begrenzung erfolgt iRd Kausalität. Die Bekl. hat gegen die gem. Art. 13 Abs. 1 lit. c DS-GVO bestehende Informationspflicht bei Erhebung von personenbezogenen Daten verstoßen, indem sie den Kl. bei der Anmeldung auf der F.-Plattform nicht ausreichend über die Zwecke, für die seine Telefonnummer verwendet werden sollte, informiert hat. Mangels hinreichender Information erfolge die Verarbeitung der Telefonnummer auch nicht rechtmäßig. Die Bekl. hat zudem gegen die Verpflichtung gem. Art. 24325 Abs. 1 lit. f DS-GVO, die Sicherheit der Verarbeitung zu gewährleisten, verstoßen, indem sie keine ausreichend geeigneten technischen und organisatorischen Maßnahmen getroffen hat, um die personenbezogenen Daten des Kl., namentlich seine F.-ID, seinen Namen und sein Geschlecht gegen unbefugten Zugriff zu schützen. Die Bekl. hat überdies gegen in Art. 25 Abs. 2 DS-GVO das Gebot, Datenschutz durch datenschutzfreundliche Voreinstellungen zu gewährleisten, verstoßen, indem sie standardmäßig die Suchbarkeit der Nutzer über deren Telefonnummer „für alle“ voreingestellt hat. Ein Verstoß gegen diese Vorschrift kann zu einem Schadenersatzanspruch iSd Art. 82 DS-GVO führen. Das Gericht teilt nicht die gegenteilige Ansicht, der zufolge es sich in erster Linie um eine organisatorische Verpflichtung handelt. Vielmehr kann aus der Verletzung der sich aus Art. 25 DS-GVO ergebenden Pflichten eine Erhöhung der Gefahr eines Schadens resultieren. Der Bekl. kann sich nicht gem. Art. 82 Abs. 3 DS-GVO, der das Verschulden widerleglich vermutet, exkulpieren. Soweit in der Vorschrift von der Verantwortlichkeit für den Schaden die Rede ist, ist dies iSv Verschulden aufzufassen. Der Anspruchsverpflichtete kann sich daher nur entlasten, indem er beweist, dass er die am Maßstab des Stands der Technik und im Verkehr, dh am allgemeinen Schutzinteresse orientierte erforderliche Sorgfalt iSv § 276 Abs. 2 BGB angewendet hat. Der Begriff des Schadens ist gem. Erwägungsgrund 146 S. 3 DS-GVO weit auf eine Art und Weise auszulegen, die den Zielen dieser Verordnung in vollem Umfang entspricht. Allerdings ist er nicht mit der zugrundeliegenden Rechtsgutsverletzung gleichzusetzen; der bloße Verstoß gegen Bestimmungen der DS-GVO reicht daher nicht aus. Allerdings können auch Bagatellschäden eine Ersatzpflicht hervorrufen. Denn eine Erheblichkeitsschwelle ist weder Art. 82 DS-GVO noch den Erwägungsgründen zu entnehmen. Erwägungsgrund 148 S. 2 sieht lediglich vor, dass (ausnahmsweise) bei geringfügigen Verstößen auf die Verhängung einer Geldbuße verzichtet werden kann. Die Schwere eines Schadens wirkt sich nur iRd Festlegung der Schadenshöhe aus. Deshalb kann ein Schaden auch bereits in einem unguten Gefühl, in der Angst und Besorgnis liegen, dass personenbezogene Daten Unbefugten bekannt geworden sind, wenn die Gefahr besteht, dass die Daten unbefugt weiterverwendet werden. Soweit sich der Kl. auf die Verletzung der Meldepflicht nach Art. 33 DS-GVO gegenüber der zuständigen Aufsichtsbehörde sowie der Pflicht zur Benachrichtigung der betroffenen Person nach Art. 34 DS-GVO beruft, sind zwar auch derartige Verstöße grds. geeignet, Schadenersatzansprüche auszulösen. Vorliegend kann die Verletzung der genannten Gebote indes dahinstehen, da ein daraus resultierender Schaden für den Kl. ist nicht erkennbar ist. Nicht anderes gilt für einen etwaigen Verstoß gegen die Auskunftsverpflichtung. Der Feststellungsantrag ist indessen begründet. Der Kl. hat gem. Art. 82 DS-GVO Anspruch auf Feststellung der Ersatzpflicht der Bekl. für materielle Schäden, die aus dem von der Bekl. nach dem Gesagten mitzuverantwortenden Scraping-Vorfall gegebenenfalls entstanden sind oder noch entstehen werden.

LG München I Beschl. v. 30.3.2023 – 4 O 13063/22 = ZD 2023, 558

0 EUR Der Bekl. hatte gegen den Kl. auch keinen Schmerzensgeldanspruch, sodass der Kl. Feststellung verlangen kann, dass der insoweit berühmte Anspruch nicht besteht. Es fehlt bereits an den Voraussetzungen eines Anspruchs aus Art. 82 DS-GVO. Dieser setzt einen, ggf. auch immateriellen, Schaden des Anspruchsstellers voraus. Ein solcher Schaden lag hier aber offensichtlich nicht vor. In der Rspr. ist umstritten, inwieweit Angstgefühle oder Verunsicherung für sich genommen ausreichend sind, um einen Anspruch auf Schadensersatz aus Art. 82 DS-GVO zu begründen. Auf diese Frage kommt es hier jedoch nicht an, weil der Bekl. tatsächlich solche Gefühle auf Grund des Einsatzes eines automatisierten Programms gar nicht gehabt haben kann: Wer gar nicht weiß, welche Websites „in seinem Namen“ besucht werden, kann sich überhaupt nicht individuell Gedanken dazu machen, dass ihm aus der Übertragung seiner IP-Adresse Unannehmlichkeiten entstehen könnten. IÜ wäre ein etwaig doch gegebenener Schadensersatzanspruch aus Art. 82 DS-GVO oder aus § 823 Abs. 1 BGB oder aus anderer Rechtgrundlage auch wegen Rechtsmissbrauch, § 242 BGB ausgeschlossen. Der Bekl. ließ gezielt durch den Crawler Websites aufsuchen, gerade um behauptete Verletzungen seines allgemeinen Persönlichkeitsrechts zu begründen. Es ist aber nicht Sinn und Zweck des allgemeinen Persönlichkeitsrechts oder der Datenschutzvorgaben nach der DS-GVO, Personen eine Erwerbsquelle zu verschaffen wegen behaupteter Verletzungen ihres allgemeinen Persönlichkeitsrechts. Wer einen Verstoß gegen sein Persönlichkeitsrecht gezielt provoziert, um daraus hernach Ansprüche zu begründen, verstößt gegen das Verbot selbstwidersprüchlichen Verhaltens.

NEU LG Bonn Urt. v. 30.3.2023 – 3 O 208/22 = ZD 2023, 638 (Ls.)

0 EUR Die Kl. hat gegen die Bekl. keinen Anspruch auf Zahlung eines Schmerzensgeldes in der geltend gemachten Höhe von 1.000 EUR. Ein solcher Anspruch ergibt sich insb. nicht aus Art. 82 Abs. 1 DS-GVO. Insoweit bedurfte es keiner Entscheidung darüber, ob der Anwendungsbereich des Art. 82 DS-GVO im gegebenen Fall eröffnet ist und ob eine Pflichtverletzung iSd Art. 82 DS-GVO durch Verstoß gegen die Vorschriften der DS-GVO (insb. Art. 322425 Abs. 2333515 DS-GVO) vorliegt, da es jedenfalls an einem ersatzfähigen Schaden der Kl. fehlt. Für einen von der Kl. geltend gemachten immateriellen Schadensersatz in Geld gelten dabei die im Zusammenhang mit § 253 Abs. 2 BGB entwickelten Grundsätze, sodass die Ermittlung des Schadens nach § 287 ZPO dem Gericht obliegt. Der Begriff des Schadens ist jedoch autonom, das heißt iRd DS-GVO nach deren Erwägungsgrund 146 S. 3 im Lichte der Rspr. des EuGH weit und auf eine Art und Weise auszulegen, die den Zielen der Verordnung in vollem Umfang entspricht. Schadenersatzforderungen sollen abschrecken und weitere Verstöße unattraktiv machen. Nach Erwägungsgrund 75 DS-GVO kann ein Schaden dann aus einer Verarbeitung personenbezogener Daten resultieren, wenn diese u. a. zu einer Diskriminierung, einem Identitätsdiebstahl oder -betrug, einem finanziellen Verlust, einer Rufschädigung oder anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen führt. Zusätzlich nennt Erwägungsgrund 85 DS-GVO daneben den Verlust der Kontrolle über personenbezogene Daten. Im Lichte dieser Erwägungen ist die Pflicht aus Art. 82 Abs. 1 DS-GVO zur Erstattung immaterieller Schäden entgegen § 8 Abs. 2 BDSG aF nicht nur auf schwere Verletzungen des Persönlichkeitsrechts des Betroffenen beschränkt. Gleichzeitig ist auch ein genereller Ausschluss von Bagatellschäden nicht vertretbar, da die beabsichtigte abschreckende Wirkung für den Anspruchsverpflichteten nur durch empfindliche Schmerzensgelder erreicht werden kann. Ein bloßer Datenschutzverstoß als solcher genügt für das Entstehen eines Schadensersatzanspruchs jedoch nicht, sondern es bedarf darüber hinaus der Darlegung und des Nachweises eines konkreten (auch: immateriellen) Schadens. Für das Erfordernis, neben einem Verstoß gegen die Regelungen der DS-GVO den Eintritt eines konkreten Schadens nachzuweisen, spricht dabei zunächst bereits der Wortlaut von Art. 82 Abs. 1 DS-GVO, der über den Verstoß hinaus ausdrücklich die Entstehung eines Schadens („…Schaden entstanden ist“) voraussetzt. Außerdem sieht Erwägungsgrund 146 S. 6 DS-GVO vor, dass die Betroffenen einen vollständigen und wirksamen Schadensersatz für den „erlittenen“ Schaden erhalten, woraus ebenfalls folgt, dass dem Betroffenen ein spürbarer Nachteil entstanden und eine objektiv nachvollziehbare, mit gewissem Gewicht erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen eingetreten sein muss. Würde man demgegenüber jedes Unwohlsein und jede Sorge unter den Schadensbegriff fassen, so würde dieser überdehnt und eine ausufernde Haftung begründet. Für einen Bagatellverstoß ohne ernsthafte Beeinträchtigung oder für eine bloß individuell empfundene Unannehmlichkeit ist daher ein Schmerzensgeld nicht zu gewähren. Diese Handhabung läuft entgegen der Auffassung der Kl. auch der Präventionsfunktion des Art. 82 DS-GVO und der hierfür erforderlichen Abschreckungswirkung nicht zuwider, da eine Sanktionierung entsprechender Datenschutzrechtsverstöße weiterhin im Wege des Art. 83 DS-GVO möglich bleibt.

NEU LG Bonn Urt. v. 29.3.2023 – 13 O 125/22

250 EUR Scraping-Sachverhalt.

NEU LG Detmold Urt. v. 28.3.2023 – 02 O 85/22 = ZD 2023, 637 (Ls.)

0 EUR Der verfolgte Schmerzensgeldanspruch besteht unter keinem rechtlichen Gesichtspunkt. Ein Anspruch aus Art. 82 Abs. 1 DS-GVO kommt nicht in Betracht. Aus Sicht der Kammer mangelt es bereits an einem Verstoß gegen die DS-GVO wie auch an einem bei der Kl. eingetretenen Schaden. Auch der Anwendungsbereich der DS-GVO ist aus Sicht der Kammer nicht für jeden der geltend gemachten Verstöße eröffnet. Es liegt kein Verstoß gegen Art. 5 Abs. 1 lit. f DS-GVO vor, da die Bekl. nicht gegen die sie treffende Obliegenheit, personenbezogene Daten vor unbefugter oder unrechtmäßiger Verarbeitung zu schützen, verstoßen hat. Ein Verstoß gegen Art. 2432 DS-GVO ist ebenso nicht gegeben. Nach Auffassung der Kammer liegt auch kein Verstoß gegen Art. 25 DS-GVO vor. Soweit die Kl. der Bekl. weitere Verstöße gegen die DS-GVO vorwirft, nämlich ungenügende Information und Aufklärung über die Verarbeitung der sie betreffenden Daten durch ungenügende Aufklärung zur Verwendung und Geheimhaltung der Telefonnummer (Art. 5 Abs. 1 lit. a), einen unmittelbaren Verstoß gegen Art. 1314 DS-GVO, die konkrete Informationspflichten enthalten, die seitens der Bekl. nicht eingehalten worden seien, unvollständige Auskunftserteilung nach Art. 15 DS-GVO, da nicht mitgeteilt worden sei, welchen Empfängern ihre Daten zugänglich gemacht worden seien (Art. 3334 DS-GVO) sind solche Verstöße bereits weder vom Schutzzweck des Art. 82 DS-GVO noch von dessen sachlichen Anwendungsbereich umfasst. Art. 82 Abs. 1 DS-GVO erfasst nur solche Pflichtverstöße, die im Rahmen einer „Verarbeitung“ geschehen, was sich aus dem Wortlaut des Art. 82 Abs. 2 DS-GVO ergibt („durch eine nicht dieser Verordnung entsprechende Verarbeitung“). IÜ fehlt es auch an einem Schaden iSv Art. 82 Abs. 1 DS-GVO. Anders als die Kl. meint, genügt nicht allein der Verstoß gegen die DS-GVO, um einen Ausgleich / eine Kompensation verlangen zu können. Dies widerspricht dem Schadensrecht, unabhängig vom Wortlaut des Art. 82 Abs. 1 DS-GVO. Ein Schadens- und auch Schmerzensgeldanspruch setzt stets einen immateriellen oder materiellen Schaden voraus. Dies lässt sich nach Auffassung der Kammer auch dem Wortlaut des Art. 82 Abs. 1 DS-GVO entnehmen, wonach sowohl ein Verstoß gegen diese (DS-GVO) Verordnung nötig ist, als auch ein daraus resultierender materieller oder immaterieller Schaden. Die Verletzungshandlung muss in jedem Fall zu einer konkreten, nicht nur völlig unbedeutenden oder empfundenen Verletzung von Persönlichkeitsrechten der betroffenen Person geführt haben. Verletzung und Schaden sind nicht gleichzusetzen. Es ist nicht für jede bloß individuell empfundene Unannehmlichkeit ein Schmerzensgeld zu gewähren; vielmehr muss dem Betroffenen ein spürbarer Nachteil entstanden sein und es muss um eine objektiv nachvollziehbare, mit gewissem Gewicht erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen gehen. Allein der Kontrollverlust der Kl. über ihre Daten stellt keinen Schaden dar. Ihre Sorge oder Angst um die verwendeten Daten und die Befürchtung, Opfer von Betrugsfällen oder Identitätsdiebstahl zu werden, kann zwar nicht gemessen werden, ist hierfür jedoch noch nicht ausreichend. Immerhin darf nicht außer Acht gelassen werden, dass jedenfalls Name, F.-ID und Geschlecht von ihr öffentlich bekanntgegeben wurden und damit bereits nicht mehr unter ihrer ausschließlichen Kontrolle standen. Letztlich ist also insoweit überhaupt nicht mehr bekannt geworden als das, was von ihr selbst bereits im Internet veröffentlicht wurde. In Bezug auf die bekannt gewordene Telefonnummer mag ein gewisser Kontrollverlust vorliegen. Ob und inwieweit jedoch der Kontrolle über die Telefonnummer überhaupt ein Wert zukommt, mag bezweifelt werden. IÜ reicht für einen Schadensersatzanspruch ein bloßes Unmutsgefühl nach Auffassung der Kammer nicht aus.

NEU LG Stuttgart Urt. v. 28.3.2023 – 54 O 165/22

600 EUR Dem Kl. steht gegen die Bekl. einen Anspruch auf Schadensersatz iHv 600 EUR aus Art. 82 Abs. 1 DS-GVO zu. Die Anspruchsvoraussetzungen des Art. 82 Abs. 1 DS-GVO sind im Streitfall gegeben. Die Bekl. hat gegen Art. 25 Abs. 2 DS-GVO, gegen Art. 13 Abs. 1 lit. c DS-GVO, gegen Art. 32245 Abs. 1 lit. f DS-GVO, gegen Art. 33 DS-GVO und gegen Art. 34 Abs. 1 DS-GVO verstoßen. Hingegen liegt ein Verstoß gegen Art. 15 DS-GVO nicht vor. Der Klagepartei ist ein immaterieller Schaden entstanden. Die Verstöße gegen die DS-GVO sind auch kausal für den bei dem Kl. entstandenen Schaden. Die Bekl. handelte auch schuldhaft. Die Kl. hat sich auch kein Mitverschulden nach § 254 Abs. 1 BGB anrechnen zu lassen. Infolgedessen steht der Kl. ein immaterieller Schadensersatzanspruch iHv 600 EUR zu.

NEU LG Stuttgart Urt. v. 27.3.2023 – 27 O 100/22 = ZD 2023, 640 (Ls.)

0 EUR Die unbezifferte, lediglich mit einem Mindestbetrag erhobene Leistungsklage ist vor dem Hintergrund der Regelung des Art. 82 Abs. 1 DS-GVO, nach der ausdrücklich ein immaterieller Schadensersatz verlangt werden kann, zulässig. Der Kl. hat keinen Anspruch auf Zahlung eines immateriellen Schadensersatzes aus Art. 82 DS-GVO. Ob die Bekl. gegen die DS-GVO verstoßen hat, kann vorliegend dahingestellt bleiben. Denn selbst einen Verstoß unterstellt, hätte der Kl. keinen kausalen Schaden erlitten. Ob ein Kontrollverlust oder ein (gesteigertes) Unwohlsein überhaupt einen immateriellen Schaden darstellen und ob für das Vorliegen eines Schadens eine spürbare Beeinträchtigung zu fordern ist, ist vorliegend nicht entscheidend. Selbst unterstellt, dies wäre der Fall, müsste der Kl. weiterhin nachweisen, dass ihm in Folge eines Verstoßes gegen die DS-GVO dieser immaterielle Schaden entstanden ist. Die Verletzung der DS-GVO müsste folglich kausal sein für den von ihm behaupteten Schaden. Das anderslautende Verständnis, auf das sich der Kl. beruft und nach dem bereits die Verletzung der DS-GVO selbst zu einem auszugleichenden immateriellen Schaden führe teilt das Gericht nicht. Ein solches Verständnis gibt Art. 82 Abs. 1 DS-GVO nach Auffassung des Gerichts nicht her. Die Regelung setzt damit voraus, dass es auch Verstöße geben kann, die nicht in einem Schaden resultieren. Die Regelung spricht dafür, dass es gerade keinen Gleichklang gibt zwischen einem DS-GVO-Verstoß („Verstoß gegen diese Verordnung“) und dem immateriellen Schaden. Die Kausalität wäre nur dann zu bejahen, wenn der Kl. eine objektiv nachvollziehbare Beeinträchtigung erlitten hätte.

NEU LG München I Endurt. v. 23.3.2023 – 26 O 1859/22

0 EUR Der Kl. hat keinen Anspruch auf einen immateriellen Schadensersatz iHv 5.100 EUR gem. Art. 82 Abs. 1 DS-GVO. Denn auch wenn die Bekl., indem sie die Zugangsinformationen für die Fa. … nach Beendigung der vertraglichen Beziehungen nicht änderte und somit gegen Art. 32 Abs. 1 DS-GVO verstieß, so ist dem Kl. doch kein ursächlich auf die streitgegenständlichen Datenvorfälle zurückzuführender, immaterieller Schaden entstanden, der gem. Art. 82 Abs. 1 DS-GVO ersatzfähig wäre. Die Bekl. ist Verantwortliche iSv Art. 82 Abs. 14 Nr. 7 DS-GVO, weil sie Kundendaten iRd Anmeldeprozesses abfragt und in einem Datenarchiv abspeichert. Auch sind die von den streitgegenständlichen Datenvorfällen erfassten Daten personenbezogene Daten iSv Art. 4 Nr. 1 DS-GVO, weil sie den Kl. identifizierbar machen. Allerdings ist dem Kl. durch die streitgegenständlichen Datenvorfälle weder ein immaterieller noch ein materieller Schaden entstanden, der eine Ersatzpflicht nach Art. 82 Abs. 1 DS-GVO auslösen würde. Der Anspruch auf Schadensersatz setzt nach dem ausdrücklichen Wortlaut des Art. 82 Abs. 1 DS-GVO voraus, dass dem Betroffenen „wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist“. Die Darlegungs- und Beweislast dafür tritt – den allgemeinen zivilprozessualen Regeln, dass die klagende Partei grds. die den Anspruch begründenden Umstände beweisen muss – der Kl. Diesen Maßstab zugrunde gelegt, hat der Kl. nicht ausreichend dargetan, dass bei ihm ein materieller oder immaterieller Schaden eingetreten sei. Entgegen der Auffassung des Kl. kann ein Schaden auch nicht allein wegen des Verstoßes der Bekl. gegen Art. 32 DS-GVO angenommen werden, mit der Begründung, dass bereits der Verstoß gegen die DS-GVO an sich einen Schaden iSv Art. 82 Abs. 1 DS-GVO begründe. Aus den gleichen Erwägungen kann der Kl. auch keinen Schadensersatz gem. Art. 82 Abs. 1 DS-GVO wegen eines Verstoßes gegen Art. 34 Abs. 1 DS-GVO geltend machen. Und es kann auch dahingestellt bleiben, ob Art. 34 DS-GVO überhaupt in den Schutzbereich des Art. 82 Abs. 1 DS-GVO fällt. Demgegenüber erweist sich der Antrag auf Feststellung einer Ersatzpflicht für etwaige künftige materielle Schäden auf Grund der beiden Datenvorfälle vom August und Oktober 2020 gem. Art. 82 Abs. 1 DS-GVO als begründet. Wie oben ausgeführt, hat die Bekl. als Verantwortliche schuldhaft gegen Art. 32 Abs. 1 DS-GVO verstoßen. Erleidet der Kl. in Zukunft materielle Schäden durch den unbefugten Zugriff Dritter auf das Datenarchiv der Bekl., die damit kausal zu dem Verstoß der Bekl. gegen Art. 32 DS-GVO sind, so steht ihm gegen die Bekl. ein Schadensersatzanspruch gem. Art. 82 Abs. 1 DS-GVO zu. Die Möglichkeit des Eintritts materieller Schäden besteht und ist auch nicht gänzlich auszuschließen, weil die Daten des Kl. noch immer „verloren“ sind und damit potenziell missbraucht werden können. Auch wenn der Datenabgriff bereits im Jahr 2020 stattfand, ist unter dem Gesichtspunkt „Das Internet vergisst nicht“ nicht auszuschließen, dass die personenbezogenen Daten des Kl., die über den Datenvorfall erlangt wurden, in Zukunft missbraucht werden und so zu einem Schaden bei dem Kl. führen, zumal ein nicht unerheblicher Bestandteil an personenbezogenen Daten des Kl. betroffen ist.

NEU LG Oldenburg Urt. v. 22.3.2023 – 5 O 1809/22

0 EUR Der Kl. hat entgegen seiner ihm nach § 138 Abs. 1 ZPO obliegenden Darlegungslast schon nicht ausreichend dargetan, dass er mit seinen bei … eingegebenen Daten persönlich von dem Scraping-Vorfall betroffen ist. Seine Darlegung beschränkt sich darauf, allgemein zu behaupten, dass ein Datensatz mit …Profilen von Nutzern veröffentlicht worden sei, welche die Mobilfunknummer und einige der Informationen wie Name, …ID, den Wohnort, Geburtsdatum und/oder Geburtsort, E-­Mail-Adresse beinhalte, und die Klagepartei nach einer eigenen Recherche festgestellt habe, dass mindestens eine Information von ihr (die Telefonnummer) im vorbenannten Datensatz enthalten ist und diese nunmehr öffentlich verfügbar und widerrechtlich zugänglich gemacht worden sei. Der Kl. sei also ein/e vom „Datenleck“ betroffene/r Nutzer/in.

NEU LG München I Urt. v. 22.3.2023 – 26 O 1037/21 = MMR 2023, 602

0 EUR Dem Kl. steht auch kein Anspruch auf Schadensersatz oder Geldentschädigung nach Art. 82 Abs. 1 DS-GVO zu. Voraussetzung für einen Anspruch auf Ersatz materieller und immaterieller Schäden ist danach ein Verstoß gegen die DS-GVO. Ein solcher wurde nicht festgestellt. Auf die weiteren Voraussetzungen eines materiellen oder immateriellen Schadensersatzanspruchs kommt es daher schon nicht mehr an. Dem Kl. stehen mangels Verstoßes gegen die DS-GVO keine Ansprüche zu. Dasselbe gilt für den geltend gemachte Anspruch auf Ersatz außergerichtlicher Rechtsanwaltskosten. Mangels Pflichtverletzung der Bekl. scheidet auch ein solcher Anspruch ebenfalls aus.

LG Frankfurt/M. Urt. v. 21.3.2023 – 2-18 O 114/22

500 EUR Der Klageantrag zu 1 ist hinreichend bestimmt. Der Antrag auf Zahlung eines in das Ermessen des Gerichts gestellten unbezifferten Betrags begegnet angesichts des begehrten Ersatzes für immaterielle Schäden keinen Bedenken. Der Kl. hat gegen die Bekl. einen Anspruch auf Schadensersatz gem. Art. 82 Abs. 1 DS-GVO iHv 500 EUR und kann die begehrte Feststellung der Ersatzpflicht für weitere künftige Schäden verlangen. Die Bekl. hat bei der Verarbeitung der klägerischen Daten zur Überzeugung des Gerichts diverse Verstöße gegen die DS-GVO begangen. Die Bekl. hat gegen Art. 13 Abs. 1 lit. c DS-GVO verstoßen. Die Verletzung des Art. 13 DS-GVO führt auch zu einer grundsätzlichen Ersatzpflicht nach Art. 82 DS-GVO, da sie im vorliegenden Fall unmittelbar auf die Rechtmäßigkeit der Datenerhebung ausstrahlt. Zwar ist bei einem Verstoß gegen Art. 13 Abs. 1 DS-GVO die Datenerhebung nicht zwangsläufig auch rechtswidrig; vielmehr kommt es auf eine Einzelfallbetrachtung an. Die Bekl. hat zudem gegen Art. 32 Abs. 1 DS-GVO verstoßen. Die Verletzung von Art. 32 DS-GVO ist vom Schutzbereich des Art. 82 DS-GVO auch umfasst; ein Verstoß kann die Schadensersatzpflicht auslösen. In der Konsequenz aus den beiden vorgenannten Verstößen folgt auch eine Verletzung der Meldepflicht aus Art. 33 DS-GVO durch die Bekl. Der Verstoß gegen Art. 33 DS-GVO kann auch zu einer Haftung nach Art. 82 DS-GVO führen. Das vorstehend Gesagte gilt auch hinsichtlich eines Verstoßes gegen Art. 34 Abs. 1 DS-GVO, nachdem die Bekl. auch den Kl. als betroffene Person unverzüglich hätte benachrichtigen müssen. IÜ kann es dahinstehen, ob der Bekl. auch ein Verstoß gegen Art. 25 DS-GVO vorzuwerfen ist, da ein solcher jedenfalls für sich genommen keinen Anspruch aus Art. 82 DS-GVO auslösen könnte, weil die Anforderungen des Art. 25 DS-GVO schon vor der eigentlichen Verarbeitung von Daten anknüpfen. Gleiches gilt für einen möglichen Verstoß gegen Art. 15 DS-GVO, da es sich hierbei nicht um einen Verstoß gegen Pflichten bei der Verarbeitung von personenbezogenen Daten handelt. Der Bekl. gelingt sodann nicht die Entlastung gem. Art. 82 Abs. 3 DS-GVO. Der Kl. hat auch einen immateriellen Schaden iSd Norm erlitten. Der Begriff des Schadens ist nach dem Erwägungsgrund 146 S. 3 weit auszulegen. Es soll ein vollständiger und wirksamer Ersatz des erlittenen Schadens sichergestellt werden. Dies beinhaltet auch eine Abschreckungswirkung des Schadensersatzes zur Wahrung des Effektivitätsgrundsatzes. Auf eine schwerwiegende Persönlichkeitsrechtsverletzung kommt es wegen der notwendigen unionsrechtlichen Auslegung des Schadensbegriffs nicht an. Allerdings erfordert die Ersatzpflicht das Vorhandensein eines konkreten Schadens über den bloßen Verstoß gegen die Vorschriften des DS-GVO hinaus. Dem Gericht steht insoweit gem. § 287 ZPO ein Ermessen zu. Die der Bekl. vorzuwerfenden DS-GVO-Verstöße sind für den Schaden iÜ kausal, wobei eine Mitursächlichkeit ausreicht. Bei einer ordnungsgemäßen umfänglichen Information des Kl. über die Implementierung des Kontaktimporttools hätte eine Einschränkung der Suchbarkeit des Profils und damit eine Umgehung der Verknüpfung von Mobilnummer und Profil stattfinden können. Nach gegenwärtigem allgemeinen Verständnis – entsprechend des Beklagtenvorbringens – waren Daten von Nutzern, deren Suchbarkeit eingeschränkt oder ausgestellt war, nicht vom Scraping-Vorfall betroffen. Dass der Kl. eine solche Einstellung bei umfassender Aufklärung vorgenommen hätte, ist nach seinem Vorbringen unter Würdigung nach allgemeiner Lebenserfahrung anzunehmen. Dass der Kl. seine Suchbarkeitseinstellung nach Kenntnis vom Scraping-Vorfall womöglich nicht oder nicht gleich geändert hat, steht dem nicht entgegen. Denn zu diesem Zeitpunkt hatte die Bekl. bereits neue, verbesserte Schutzvorkehrungen implementiert und kommuniziert, sodass die Entscheidung eines Nutzers auf einer neuen und fundierten Grundlage erfolgte. Überdies war auch die Nichteinhaltung des Art. 32 Abs. 1 DS-GVO ursächlich für den Schaden, da ein höheres angemessenes Schutzniveau zur Vermeidung von Scraping-Attacken eine solche bei praxisnaher Betrachtung und angesichts des Beklagtenvorbringens zu den von ihr im Nachgang zu diesem Vorfall ergriffenen Maßnahmen hätte vermeiden oder zumindest signifikant erschweren können. Insb. die Einschränkungen der Nutzung des Kontaktimporttools (etwa durch Begrenzung abrufbarer Nummern) oder die Einführung des „Social Connection Checks“ hätten das automatisierte Datenabgreifen ersichtlich verhindern können, da sie die uneingeschränkte und unkontrollierte Verknüpfung von wahllos zusammengestellten Mobilnummern mit jeweiligem Facebookprofil unattraktiv oder gar unmöglich gemacht hätte. Dies entspricht nicht zuletzt dem Beklagtenvorbringen zu der Effektivität der von ihr – im Nachgang zum hiesigen Vorfall – ergriffenen Maßnahmen. Gleiches gilt für die Verletzung der Meldepflichten, nachdem diese jedenfalls iSd Mitursächlichkeit bei rechtzeitiger Einhaltung eine Risikominimierung ermöglicht hätten, dies etwa durch zeitige Änderung von Telefonnummern, Passwörtern oder Profildaten. Insgesamt steht dem Kl. nach alledem der beantragte Schadensersatzanspruch aus Art. 82 Abs. 1 DS-GVO iHv 500 EUR zu. Der Kl. kann von der Bekl. auch die Feststellung der Ersatzpflicht für mögliche künftige Schäden verlangen. Die für eine solche Feststellung erforderliche Möglichkeit künftiger Schäden, liegt, wie beschrieben, hier vor. Insb. sind künftige materielle Schäden nicht schlechterdings ausgeschlossen, sollte es in Zukunft zu einer vermögensgefährdenden oder –schädigenden Nutzung der gewonnen Daten kommen. Der Kl. kann auf Grund von Art. 82 Abs. 1 DS-GVO den Ersatz vorgerichtlich aufgewendeter Rechtsanwaltskosten zur Anspruchsdurchsetzung als Schaden geltend machen.

LG Chemnitz Urt. v. 20.3.2023 – 1 O 429/22

500 EUR Ein Anspruch auf Schadensersatz iHv 500 EUR besteht gem. Art. 82 Abs. 1 DS-GVO. Die Bekl. hat gegen mehrere Art. der DS-GVO verstoßen, einschließlich Art. 25 Abs. 23233 und 34 Abs. 1 DS-GVO. Die Bekl. hat gegen ihre Pflichten zur Informations- und Aufklärungspflicht gem. Art. 13 DS-GVO verstoßen und hat unzureichende Sicherheitsmaßnahmen getroffen, um den „Scraping-Vorfall“ zu verhindern. Die Verstöße gegen die DS-GVO haben dem Kl. einen immateriellen Schaden zugefügt, indem er das Unwohlsein empfunden hat, den Kontrollverlust über seine Daten erlitten zu haben. Der Kl. hat Anspruch auf Schadensersatz, da die Verstöße gegen die DS-GVO ohne die Verletzung des Kl. nicht denkbar wären. Die Bekl. hat auch gegen Art. 5 Abs. 1 lit. f DS-GVO verstoßen, indem sie die Telefonnummer des Kl. erhoben hat, ohne ihn ausreichend über die Zwecke der Erhebung und Verarbeitung zu informieren.

LG Trier Urt. v. 17.3.2023 – 2 O 50/22

500 EUR Entgegen der Auffassung der Bekl. ist der Klageantrag zu 1 hinreichend bestimmt. Die Kammer ist der Auffassung, dass der Anwendungsbereich des Art. 82 Abs. 1 DS-GVO nur eröffnet ist, wenn bei einer Verarbeitung von Daten gegen die DS-GVO verstoßen wurde. Nicht jeglicher Verstoß gegen Normen der DS-GVO begründet einen Anspruch auf Schadensersatz nach Art. 82 Abs. 1 DS-GVO. Es ist vielmehr erforderlich, dass der Verstoß iRe Verarbeitung personenbezogener Daten begangen wird. Der Begriff der Verarbeitung ist ausweislich der Legaldefinition des Art. 4 Ziff. 2 DS-GVO weit gefasst und schließt jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten ein. Hierbei verkennt die Kammer nicht, dass Teile der Lit. und der Rspr. unter Bezugnahme auf den weiten Wortlaut des Art. 82 Abs. 1 DS-GVO davon ausgehen, dass jeder materielle und formelle Verstoß gegen die Verordnung genügt, um eine Haftung nach dieser Norm auszulösen. Diese Auffassung verkennt aber, dass der sachliche Anwendungsbereich der Verordnung gem. Art. 2 DS-GVO auf die „Verarbeitung personenbezogener Daten“ beschränkt wird. Diese Auslegung steht in Einklang zu Art. 82 Abs. 2 DS-GVO und zu dem Erwägungsgrund 146 S. 1 DS-GVO, aus der die eigentliche Zielsetzung des europäischen Gesetzgebers ersichtlich wird: Der Verantwortliche oder der Auftragsverarbeiter soll Schäden ersetzen, die einer Person auf Grund einer Verarbeitung entstehen, die mit der DS-GVO nicht in Einklang zu bringen sind. Vor diesem Hintergrund ist auch Art. 82 Abs. 1 DS-GVO in diesem Sinne auszulegen. Unter Berücksichtigung dessen ist die Kammer zu der Überzeugung gelangt, dass die Bekl. als Verantwortliche nach Art. 4 Ziff. 7 DS-GVO keine geeigneten organisatorischen Maßnahmen getroffen hat, um die personenbezogenen Daten des Kl. zu schützen. Über das Vorliegen der weiteren von dem Kl. behaupteten Verstöße der Bekl. gegen die DS-GVO brauchte die Kammer nicht mehr zu entscheiden. Aufgrund unzureichender Sicherheitsmaßnahmen bzgl. der Nutzung des Contact-Import-Tools (CIT) verstieß die Bekl. gegen Art. 32245 Abs. 1 lit. f DS-GVO. Nach der von der Kammer vertretenen Rechtsauffassung konnte offengelassen werden, ob die Bekl. gegen die von dem Kl. vorgetragenen weiteren Pflichten verstoßen hat (Art. 1315253334 DS-GVO), da selbst bei einem Verstoß der Anwendungsbereich des Art. 82 Abs. 1 DS-GVO nicht eröffnet wäre. Dem steht auch nicht entgegen, dass die irische Datenschutzbehörde unter Rückgriff auf Art. 25 DS-GVO ein Bußgeld gegen die Bekl. verhängt hat, da im hiesigen Verfahren der Individualanspruch eines Facebook-Nutzers gegen die Bekl. im Raum steht. Die Bekl. hat sich nicht von der Haftung exkulpiert (Art. 82 Abs. 3 DS-GVO). Der Bekl. gelingt vorliegend nämlich weder der Nachweis fehlenden Verschuldens noch des Vorliegens eines solchen Ausnahmefalls. Die Haftungsbefreiung greift bei der Annahme, dass ein Verschulden vorauszusetzen ist, nur dann ein, wenn der Verantwortliche sämtliche Sorgfaltsanforderungen erfüllt hat und ihm nicht die geringste Fahrlässigkeit vorzuwerfen ist. Die Bekl. hat aber fahrlässig gehandelt. Das Risiko von „Scraping“ war ihr bekannt. Dem Kl. ist ein immaterieller Schaden entstanden. Aus dem Wortlaut des Art. 82 DS-GVO folgt, dass der europäische Gesetzgeber nicht davon ausgeht, schon allein die Pflichtverletzung begründe den Schaden. Denn ein Anspruch besteht nur, wenn ein materieller oder immaterieller Schaden „entstanden“ ist. Dieser Unterscheidung hätte es nicht bedürft, wenn ein bloßer Pflichtenverstoß konstitutiv für den Anspruch wäre. Der Verstoß der Bekl. gegen die DS-GVO ist auch kausal für den Schaden des Kl. Es besteht kein Zweifel daran, dass der Kontrollverlust über die eigenen Daten, die der Kl. erlitten hat, auf das unzureichende technische Schutzniveau des sozialen Netzwerks zurückzuführen ist. Soweit verschiedentlich die Auffassung vertreten wird, dass unklar sei, ob etwaige Spam-Nachrichten oder Anrufe auf den „Scraping-Vorfall“ zurückgehen würden und deshalb die Kausalität zwischen Pflichtverletzung und Schaden verneint wird, wird verkannt, dass bei einem so engen Verständnis des Schadensbegriffs ein Kausalitätsnachweis faktisch nie zu führen wäre und damit der Schadensersatzanspruch des Art. 82 DS-GVO entgegen der gesetzgeberischen Konzeption entwertet würde. Der Schaden des Kl. war für die Bekl. auch vorhersehbar. Denn ein völlig atypischer Verlauf, der die Kausalität ausschließen würde, liegt nicht vor und wurde auch nicht vorgetragen. Die Kammer erachtet ein Schmerzensgeld iHv 500 EUR für angemessen. Art. 82 DS-GVO enthält keine Kriterien zur Bestimmung der Höhe des Anspruchs auf immateriellen Schadensersatz. Ausgangspunkt für dessen Bewertung ist der weit auszulegende europarechtliche Schadensbegriff, wobei die Ermittlung gem. § 287 ZPO der Kammer obliegt. Die Höhe des von der Kammer angesetzten immateriellen Schadensersatzanspruchs berücksichtigt den Grundsatz der Verhältnismäßigkeit. Unter Abwägung der genannten Gesichtspunkte erachtet die Kammer einen immateriellen Schadensersatzanspruch iHv 500 EUR für angemessen aber auch ausreichend. Der mit dem Antrag zu 2) geltend gemacht Feststellungsantrag ist begründet. Nach den Ausführungen unter B. I. steht dem Kl. ein Schadensersatzanspruch aus Art. 82 DS-GVO zu, der ein feststellungsfähiges Rechtsverhältnis darstellt. Da die Möglichkeit noch unbekannter materieller Schäden nicht auszuschließen ist, ist der Feststellungsantrag begründet. Der Kl. hat gegen die Bekl. einen Anspruch auf Zahlung der außergerichtlichen Rechtsanwaltskosten, allerdings nur unter Berücksichtigung eines Gegenstandswerts iHv 500 EUR. Bei einem teilweisen Obsiegen kann der Kl. grds. die Rechtsanwaltskosten nur einfordern, soweit er mit dem vorgerichtlich geltend gemachten Anspruch später vor Gericht durchdringt. Vorliegend dringt er mit dem Klageantrag zu 1 teilweise (Gegenstandswert: 500 EUR) durch. Zwar obsiegt er außerdem mit dem Klageantrag zu 2, allerdings wurde die Bekl. vorgerichtlich nicht aufgefordert, ihre Einstandspflicht für materielle Schäden anzuerkennen, sodass insoweit keine vergütungspflichtige Tätigkeit entfaltet wurde. Der Anspruch auf Zahlung der außergerichtlichen Rechtsanwaltskosten beläuft sich damit auf 90,96 EUR.

LG Trier Urt. v. 17.3.2023 – 2 O 99/22

500 EUR Wie LG Trier Urt. v. 17.3.2023 – 2 O 50/22.

LG Trier Urt. v. 17.3.2023 – 2 O 116/22

500 EUR Wie LG Trier Urt. v. 17.3.2023 – 2 O 50/22.

NEU LG Aurich Urt. v. 17.3.2023 – 5 O 227/22 = ZD 2023, 636 (Ls.)

0 EUR Dem Kl. steht gegen die Bekl. kein Anspruch auf Zahlung eines immateriellen Schadensersatzes zu. Ein Verstoß gegen die Bestimmungen der DS-GVO liegt nicht vor, sodass auch offenbleiben kann, ob die Art. 13141524253234 DS-GVO in den Schutzbereich des Art. 82 DS-GVO fallen. IÜ mangelt es an einem ersatzfähigen Schaden des Kl. iSd Art. 82 Abs. 1 DS-GVO. Der Eintritt des Schadens muss dabei iSd § 287 ZPO als überwiegend wahrscheinlich dargetan werden. Auch wenn der Schadensbegriff im Lichte des Erwägungsgrundes 146 S. 3 DS-GVO weit zu verstehen ist, so ist es dem Kl. nicht gelungen, diesen unter Zugrundelegung des vorbezeichneten Maßstabs hinreichend konkret darzulegen. Der Kl. benennt zwar als immaterielle Schadenspositionen Ängste, unter denen er leide, die daraus resultierten, dass er einen erheblichen Kontrollverlust über seine Daten erlitten habe und deshalb großem Unwohlsein und Sorgen in Bezug auf einen potenziellen Missbrauch seiner Daten durch Dritte ausgesetzt sei. Zudem sei es seit dem Scraping-Vorfall zu einem Anstieg an offenkundigen Betrugsversuchen in Form von Phishing-Mails und Anrufen gekommen. Das Gericht kann nicht mit hinreichender Wahrscheinlichkeit davon ausgehen, dass der Kl. unter den in der Klageschrift beschriebenen Ängsten und Sorgen tatsächlich leidet.

LG Karlsruhe Urt. v. 16.3.2023 – 4 O 108/22

300 EUR Der Klageantrag zu 1 ist nicht unbestimmt. Vorliegend hat die Bekl. gegen die sich aus Art. 25 Abs. 2 DS-GVO ergebende Verpflichtung verstoßen. Der Einzelrichter folgt nicht der Auffassung, dass ein Verstoß gegen Art. 25 Abs. 2 DS-GVO einen Ersatzanspruch nicht auszulösen vermag. Vielmehr kann aus der Verletzung der sich aus Art. 25 DS-GVO ergebenden Pflichten eine Erhöhung der Gefahr eines Schadens resultieren. Das wird hier augenscheinlich dadurch, dass bei einer Voreinstellung, die mit Art. 25 Abs. 2 DS-GVO konform gewesen wäre, die Mobiltelefonnummer des Kl. und deren Verknüpfung mit dessen Facebook-Profil nicht ohne Weiteres durch die Scraper hätte „ermittelt“ werden können. Denn bei einer entsprechenden Voreinstellung wäre die Suchbarkeit anhand der Mobilfunknummer nicht jedermann eröffnet gewesen, sondern allenfalls einem – auf Grund einer individuellen Auswahl des Kl. begrenztem – Nutzerkreis. Die Bekl. kann sich mit Blick auf den Daten-Scraping-Vorfall nicht nach Art. 82 Abs. 3 DS-GVO entlasten. Insofern kann dahinstehen, ob überhaupt ein Verschulden erforderlich ist bzw. ob die Haftung nach Art. 82 DS-GVO zur Sicherstellung eines möglichst wirksamen Schadensersatzes als Gefährdungshaftung gestaltet ist. Denn der Bekl. ist bereits nach ihrem eigenen Vorbringen eine Entlastung, hinsichtlich derer ihr die Darlegungs- und Beweislast obliegt, nicht gelungen. Sie bringt vor, dass die Daten-Scraper Verfahren eingesetzt hätten, um in großem Umfang Daten mit automatisierten Tools und Methoden zu sammeln, was nach den Nutzungsbedingungen von Facebook untersagt gewesen sei. Damit räumt sie die technische Möglichkeit des Abgreifens von Daten durch die von ihr gewählte Architektur der Facebook- Plattform ein. Wenn aber der Bekl. bewusst ist, dass Daten-Scraper bestimmte Funktionen missbrauchen können, dann wäre es an der Bekl. gewesen, gerade das zu unterbinden. Auch wenn das dem eigenen Verständnis der Facebook-Plattform zuwiderlaufen mag, dem Interesse der Nutzer an der Wahrung ihrer datenschutzrechtlichen Belange entspräche das indes sehr wohl. IÜ liegt es auf der Hand, dass der vorliegend unzulässige „default“ hinsichtlich der allgemein zugänglichen Suchbarkeit per Telefonnummereingabe durch entsprechend sorgfältige Überprüfung anhand der Vorgaben des Art. 25 DS-GVO von der Bekl. mit überschaubarem Aufwand hätte erkannt und vermieden werden können. Hierdurch hätte – ohne eine durch den Nutzer veranlassten Änderung der dann datenschutzfreundlicheren Voreinstellung – das vorliegende „Scraping“ der Nutzerddaten und die Verknüpfung mit den Telefonnummern anhand der öffentlich zugänglichen Telefonnummernsuche nicht stattfinden können und es wäre nicht zum streitgegenständlichen „Datenleak“ gekommen. Insoweit verfängt auch der Einwand der Bekl. nicht, wonach nicht sie, sondern die „Scraper“ die Telefonnummern bereitgestellt und damit die Rufnummernsuche missbraucht hätten. Denn es wäre Sache der Bekl. gewesen, durch entsprechende datenschutzfreundliche Voreinstellungen ein solches automatisiertes Verfahren, wie es von den Scrapern angewendet wurden, von vornherein zu unterbinden. Dem Kl. ist im Zusammenhang mit dem Daten-Scraping-Vorfall auch ein nach Art. 82 DS-GVO ersatzfähiger – immaterieller – Schaden entstanden, für den die Verstöße der Bekl. gegen die DS-GVO kausal waren. Hierbei kann dahinstehen, ob ein Datenschutzverstoß als solcher für das Entstehen eines Schadensersatzanspruchs ausreicht oder es darüber hinaus der Darlegung und des Nachweises eines konkreten – auch immateriellen – Schadens bedarf. Denn ein solcher Schaden ist vom Kl. ausreichend dargetan worden und das Gericht ist auf Grund der persönlichen Anhörung des Kl. auch davon überzeugt, dass die – eine Bagatellgrenze überschreitenden Beeinträchtigungen – auch auf dem streitgegenständlichen „Datenleak“ beruhen. Der Kl. hat insoweit in lebendiger und zusammenhängender Schilderung berichtet, wie er auf das Datenleak aufmerksam geworden sei und in welchem Umfang er seit ca. 2-3 Jahren eine signifikant höhere Zahl an offensichtlichen betrügerisch motivierten Anrufen und SMS auf seine Mobilfunknummer erhalte. Diese Angaben waren nicht nur etwa allgemeiner Art und floskelhaft, sondern der Kl. schilderte im Einzelnen, welche Art von Anrufen und SMS unbekannter Herkunft er in jüngerer Zeit verstärkt erhalte (zB Anrufe vermeintliche Telefondienstleister oder sonstige Unternehmen mit der Zielrichtung der Preisgabe seiner Bankverbindung; offensichtlich betrügerische Zahlungsaufforderungen, Mahnungen angeblicher Zahlungsrückstände etc.; zum Teil gebrochen Deutsch bzw. mit starkem osteuropäischem Akzent sprechende Anrufer). Seine Angabe waren auch deshalb glaubhaft, weil er sich keineswegs nur als „Opfer“ ruchloser Machenschaften darstellte, sondern – im Gegenteil – ungefragt auch Aspekte berichtete, die gegen eine schwere Verletzung seiner persönlichen Datenintegrität sprechen. So teilte er ungefragt mit, dass er derartige Anrufe und SMS zwar einerseits als lästig und bedenklich empfinde, andererseits auf Grund seines beruflichen Hintergrundes im IT-Bereich mit derartigen Betrugsversuchen umzugehen wisse und sich teilweise sogar darüber amüsiere – wenn er gut aufgelegt sei und Zeit habe, verwickle er die offensichtlich kriminell agierenden Anrufer sogar in Gespräche, in deren Verlauf diese irgendwann „entnervt“ aufgeben und den Anruf abbrechen würden. Andererseits verspüre er angesichts seiner nunmehr im Internet veröffentlichten Personendaten – insb. der mit ihm verknüpften Mobilfunknummer – schon ein Unwohlsein angesichts der Tatsache, dass seine Telefonnummer nun jedermann – auch osteuropäischen Kriminellen etc. – zugänglich sei. Auch sei die signifikant gestiegene Zahl an Anrufen und SMS nicht zu jedem Zeitpunkt amüsant, sondern nach den Umständen auch sehr lästig. In einer Gesamtschau der vom Kl. glaubhaft berichteten spürbaren Folgen bewertet das Gericht die Beeinträchtigungen als über eine Bagatellgrenze hinausgehend. Hiergegen spricht nicht, dass der Kl. bisher weder seine Mobilfunknummer gewechselt, noch seine Datenschutzeinstellungen bei Facebook geändert hat, was er freimütig einräumte. Denn für beides konnte er nachvollziehbare Gründe anführen. Das Gericht ist auf Grund der vom Kl. berichteten Anrufe und SMS, insb. deren signifikante Zunahme in einem mit dem streitgegenständlichen Leak korrespondierenden Zeitraum auch davon überzeugt, dass jedenfalls eine Mitursächlichkeit zwischen dem Datenleak im Jahr 2019 und den vielfältigen „Kontaktversuchen“ unbekannter Anrufer etc. besteht. Zum einen liegt ein zeitlicher Zusammenhang vor, zum anderen entsprechen die tatsächlichen Folgen (betrügerisch motivierte Anrufe, SMS) den mit der missbräuchlichen Veröffentlichung der Daten im Internet bzw. „Darknet“ evident intendierten kriminellen Zwecken. Der dem Kl. zuzuerkennende Schadensersatz für den erlittenen immateriellen Schaden ist entsprechend seinem Begehren für den lediglich als gerechtfertigt angesehen Ersatzanspruch wegen der Verstöße im Zusammenhang mit dem Daten-Scraping-Vorfall mit 300 EUR zu bemessen (§ 287 Abs. 1 S. 1 ZPO). Damit kann einerseits der Ausgleichs- und Genugtuungsfunktion genügt werden, andererseits der generalpräventiven Funktion des immateriellen Schadensersatzes hinreichend Rechnung getragen werden. Zum einen ist – mit Blick auf den generalpräventiven Auftrag des Art. 82 DS-GVO – insoweit zu berücksichtigen, dass die Art und Weise der Datenerhebung durch die Bekl. systematisch gegen die Vorgaben der DS-GVO verstößt, um damit Sinn und Zweck der von ihr betriebenen Facebook-Plattform zu fördern. Andererseits ist auch der Umfang der Daten des Kl., die abgegriffen worden sind, zu berücksichtigen. Hierunter ist seine Mobilfunknummer, die über den Vorfall nunmehr für die Allgemeinheit mit seinem Namen verbunden werden kann, ebenso auch das Profil bei Facebook, sodass der Kl. über diesen Weg kontaktiert werden kann. Letztgenannte Profildaten (Vor- und Name, Facebook ID und Geschlecht) hatte der Kl. allerdings ohnehin bereits vor dem streitgegenständlichen Vorfall im Grunde für jedermann zugänglich gemacht, indem diese Daten in seinem öffentlichen Facebook-Profil enthalten waren. Weitergehende Daten, die eine Kontaktaufnahme ermöglichen könnten, sind – nach derzeitigem Kenntnisstand – nicht „gescrapt“ worden. Daher ist der mögliche Schaden, auch die Gefahr eines Identitätsdiebstahls und des „social engineering“ beim Kl., ist damit – auch auf Grund dessen Versiertheit im Umgang mit den einschlägigen Gefahren – letztlich noch überschaubar. Der mit dem Klageantrag zu 2 geltend gemachte Feststellungsantrag ist ebenfalls begründet. Gem. vorstehender Ausführungen hat der Kl. ggü. der Bekl. wegen Verletzung der DS-GVO einen Anspruch auf Schadensersatz nach Art. 82 DS-GVO. Die jeweiligen Gesetzesverletzungen sind – wie bereits erörtert – zudem kausal für den Datenverlust des Kl.. Dass dem Kl. durch das Datenleak künftig noch (materielle) Schäden – etwa infolge erfolgreicher Phising-Anrufe unter Nutzung der veröffentlichten Mobilfunknummer – entstehen können, ist nach den konkreten Umständen zwar eher unwahrscheinlich, indes nicht ausgeschlossen. Die vorgerichtlichen Rechtsanwaltskosten sind als Teil des zu ersetzenden Schadens gem. Art. 82 Abs. 1 DS-GVO zu erstatten.

LG Fulda Urt. v. 14.3.2023 – 3 O 73/22

0 EUR Der Klageantrag zu 1 ist hinreichend bestimmt iSd § 253 Abs. 2 Ziff. 2 ZPO. Dem Kl. steht gegen die Bekl. kein Anspruch auf Ersatz immateriellen Schadens aus Art. 82 DS-GVO zu. Insoweit schießt sich die Kammer der Entscheidungen des LG Frankfurt/M. v. 27.1.2023 (2-27 O 158/22) und des LG Coburgs v. 8.2.2023 (14 O 224/22) an. Die verspätete Erteilung einer Datenauskunft gem. Art. 15 DS-GVO ist keine Verarbeitung personenbezogener Daten iSd Art. 4 Ziff. 2 DS-GVO. Der Kl. hat aus den aufgeführten Gründen auch keinen Anspruch auf immateriellen Schadensersatz aus Art. 82 DS-GVO wegen eines etwaigen Verstoßes der Bekl. gegen die in Art. 34 DS-GVO geregelte Benachrichtigungspflicht. Der Kl. kann den geltend gemachten Anspruch auf Ersatz immateriellen Schadens zudem nicht auf einen Verstoß gegen Art. 5 Abs. 1 lit. f, 32 Abs. 12 DS-GVO wegen unzureichender Sicherheitsvorkehrungen stützen. Zwar umfasst der Anknüpfungspunkt für den Verstoß gegen die DS-GVO nicht nur die Verletzung spezifischer Pflichten, sondern auch allgemeiner Vorgaben wie den Datenschutzgrundsätzen in Art. 5 DS-GVO oder den Anforderungen an die Datensicherheit nach Art. 32 DS-GVO, solange die Verletzung dieser Pflichten wiederum auf einer konkreten Verarbeitung beruhen bzw. sich auf eine solche auswirken. Jedoch hat die Bekl. nicht gegen die ihr dort auferlegte Obliegenheit, personenbezogene Daten vor unbefugter oder unrechtmäßiger Verarbeitung zu schützen, verstoßen. Verstöße gegen das in Art. 2425 Abs. 2 DS-GVO verankerte Prinzip „Privacy by default“ sind ebenfalls nicht feststellbar. Der Kl. kann den geltend gemachten Schadensersatz auch nicht auf eine Verletzung des Art. 35 DS-GVO durch die Bekl. wegen unterlassener Datenschutz-Folgenabschätzung stützen. Jedenfalls fehlt es aber an einem ersatzfähigen Schaden des Kl. iSd Art. 82 Abs. 1 DS-GVO. Zwar ist nach Erwägungsgrund 146 S. 3 zur DS-GVO der Schadensbegriff weit auszulegen; der wirksame Schadensersatz muss auch Abschreckungscharakter haben. Grundvoraussetzung ist jedoch nach Erwägungsgrund 146 zur DS-GVO, dass der immaterielle Schaden „erlitten“, also tatsächlich entstanden sein muss (und nicht lediglich befürchtet werden darf). Daraus folgt auch, dass ein bloßer Verstoß gegen die DS-GVO bei der Datenverarbeitung für einen Anspruch auf Ersatz immaterieller Schäden nicht ausreicht. Es muss eine kausal hierauf beruhende spürbare Beeinträchtigung des Geschädigten hinzutreten, um von einem Schaden sprechen zu können, zB eine benennbare und nachweisbare Persönlichkeitsverletzung wie etwa eine „Bloßstellung“. Nach diesen Grundsätzen, denen das Gericht folgt, ist ein Schaden des Kl. weder substantiiert vorgetragen noch ersichtlich. Der klägerseits behauptete „Kontrollverlust über seine Daten“ stellt keine spürbare Beeinträchtigung iSe Persönlichkeitsverletzung und damit keinen Schaden dar. Dasselbe gilt für einen behaupteten „Zustand großen Unwohlseins und Sorge über möglichen Missbrauch seiner Daten“. Die Behauptung, der Kl. habe vermehrt dubiose Nachrichten von unbekannten Adressen und Nummern erhalten, genügt ebenfalls nicht. Ferner gehört derartiges in der digitalisierten Welt mittlerweile zum allgemeinen Lebensrisiko, insb. dann, wenn man – wie der Kl. – durch Unterhaltung eines F.-Accounts seine personenbezogenen Daten ins Internet stellt. Angebliche Spam-E-­Mails und -nachrichten können damit genauso von Personen stammen, die legal durch Teilnahme an einem sozialen Netzwerk an E-­Mail-Adresse und Telefonnummer des Kl. gelangt sind.

LG Berlin Urt. v. 14.3.2023 – 56 O 75/22

250 EUR Der Klageantrag zu 1 ist hinreichend bestimmt. Der Anspruch auf Schadensersatz beruht auf Art. 82 Abs. 12 S. 1 DS-GVO. Die Bekl. hat die personenbezogenen Daten des Kl. nicht in einer den Vorgaben der DS-GVO entsprechenden Weise verarbeitet. Für die erfolgte Verarbeitung fehlt es bereits an einer tauglichen Rechtsgrundlage. Das Vorliegen einer solchen Rechtsgrundlage hat die Bekl. nicht dargetan. Der Bekl. fällt bereits ein Verstoß gegen die Transparenzpflichten aus Art. 5 Abs. 1 lit. a, 1314 DS-GVO zur Last. Die Bekl. hat überdies gegen die Verpflichtung zum Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen aus Art. 25 DS-GVO verstoßen. Der Verstoß gegen Art. 25 Abs. 2 DS-GVO ist auch dazu geeignet, einen Ersatzanspruch nach Art. 82 DS-GVO auszulösen, da aus der Verletzung der sich aus Art. 25 DS-GVO ergebenden Pflichten eine Erhöhung der Gefahr eines Schadens resultieren kann. Diese Gefahr hat sich vorliegend realisiert. Bei einer mit Art. 25 Abs. 2 DS-GVO konformen Voreinstellung wäre den unbekannten Dritten ein Abgreifen der Telefonnummer des Kl. nicht ohne Weiteres möglich gewesen. Die Bekl. hat auch gegen ihre Pflichten aus Art. 3224 DS-GVO zur Ergreifung geeigneter technischer und organisatorischer Schutzmaßnahmen verstoßen. Nach alledem liegt ein Verstoß gegen Art. 32245 Abs. 1 lit. f DS-GVO vor, der bei Vorliegen der übrigen Anspruchsvoraussetzungen einen Anspruch nach Art. 82 DS-GVO zur Folge hat. Es kann dahinstehen, ob die Bekl. auch gegen ihre Pflichten aus Art. 33 (Meldung an die Aufsichtsbehörde), Art. 34 (Information des Kl.) und Art. 15 (Auskunftserteilung) DS-GVO verstoßen hat. Zum einen folgt aus diesen Verstößen letztlich kein weitergehender Unrechtsgehalt als aus den bereits dargelegten Verstößen. Zum anderen hatten auch eine ordnungsgemäße Meldung der Verstöße an die Aufsichtsbehörde nach Art. 33 DS-GVO, eine Benachrichtigung des Kl. über die Verstöße nach Art. 34 DS-GVO und die Erteilung einer ordnungsgemäßen Auskunft über die verarbeiteten Daten nach Art. 15 DS-GVO den beim Kl. auf Grund des Scraping-Vorfalls verursachten Schäden nicht mehr mindern können. Etwaige Verstöße sind für den eingetretenen Schaden mithin nicht kausal. Die Bekl. kann sich mit Blick auf den Scraping-Vorfall nicht nach Art. 82 Abs. 3 DS-GVO entlasten. Insofern kann dahinstehen, ob überhaupt ein Verschulden erforderlich ist bzw. ob die Haftung nach Art. 82 DS-GVO zur Sicherstellung eines möglichst wirksamen Schadensersatzes als Gefährdungshaftung gestaltet ist. Der Bekl. ist bereits nach ihrem eigenen Vorbringen eine Entlastung, hinsichtlich derer ihr die Darlegungs- und Beweislast obliegt, nicht gelungen. Sie bringt vor, dass die Daten-Scraper Verfahren eingesetzt hatten, um in großem Umfang Daten mit automatisierten Tools und Methoden zu sammeln, was nach den Nutzungsbedingungen von Facebook untersagt gewesen sei. Damit räumt sie die technische Möglichkeit des Abgreifens von Daten durch die von ihr gewählte Architektur der Facebook-Plattform ein. Wenn aber der Bekl. bewusst ist, dass Daten-Scraper bestimmte Funktionen missbrauchen können, dann wäre es an der Bekl. gewesen, gerade das zu unterbinden – notfalls auch durch Deaktivierung des CIT. Auch wenn das dem eigenen Verständnis der Facebook-Plattform zuwiderlaufen mag – dem Interesse der Nutzer an der Wahrung ihrer datenschutzrechtlichen Belange entspräche das indes sehr wohl. Die Bekl. trägt überdies nichts Konkretes dazu vor, was sie gegen die ihr bekannte Möglichkeit unternommen haben will. Sie bringt nur – letztlich recht pauschal – vor, sie habe Maßnahmen getroffen, um das Risiko von Scraping zu unterbinden, und entwickle ihre eigenen Maßnahmen zur Bekämpfung von Scraping kontinuierlich und als Reaktion auf die sich ständig ändernden Techniken und Strategien weiter. Ebenso wenig konkret und nachvollziehbar ist die pauschale Feststellung der Bekl., in der Regel wurden lediglich die Methoden, mit denen auf die maßgeblichen Funktionen zugegriffen werden könne, beschränkt, um zu verhindern, dass die gesamte zugrundeliegende Funktion beseitigt werde. Anderes ergibt sich auch nicht aus der ergänzenden Darstellung der Klageerwiderung und des Schriftsatzes v. 25.1.2023, vielmehr gesteht die Bekl. zu, dass die zutreffende Reaktion zur Verhinderung des hier stattgefundenen Daten-Scraping gewesen sei, das Verknüpfen von Telefonnummern mit bestimmten Facebook-Nutzern durch das CIT zu verhindern. Das hatte sie – wie sie im Schriftsatz v. 25.1.2023 mitteilt – nicht gemacht, weil zunächst Scraping-Aktivitäten über das CIT nicht festgestellt worden seien. Das nach dem Vorbringen der Bekl. erfolgte Absenken der Übertragungsbeschränkungen war offenkundig unzureichend. Soweit die Bekl. darauf abstellt, es handele sich dabei um eine legitime, nützliche Nutzerfunktion, mag dies zwar nützlich und hilfreich für einzelne Nutzer sein, erforderlich ist es indes nicht. Auch der Hinweis, dass die Telefonnummern von den Daten-Scrapern „bereitgestellt“ worden sei, entlastet die Bekl. nicht. Wie bereits dargelegt, wurden die fiktiven Telefonnummern erst durch die Zuordnung über die Suchfunktion der Bekl. zu einzelnen Nutzerprofilen zu personenbezogenen Daten. Es wäre an der Bekl. gewesen, ein solch automatisiertes Verfahren zu verhindern. Dem Kl. ist im Zusammenhang mit dem Scraping-Vorfall auch ein nach Art. 82 DS-GVO ersatzfähiger – immaterieller – Schaden entstanden, für den die Verstöße der Bekl. gegen die DS-GVO kausal waren. Nach richterlichem Ermessen gem. § 287 Abs. 1 ZPO ist dem Kl. für die erlittenen immateriellen Schäden ein Schmerzensgeld iHv 250 EUR zu zuzusprechen (§ 287 Abs. 1 S. 1 ZPO). Es kann insofern dahinstehen, ob ein Datenschutzverstoß als solcher für das Entstehen eines Schadensersatzanspruchs ausreicht oder es darüber hinaus der Darlegung und des Nachweises eines konkreten – auch immateriellen – Schadens bedarf. Der Kl. hat einen konkreten, in Zusammenhang mit dem Scraping-Vorfall stehenden Schaden behauptet und zur Überzeugung des Gerichts im Rahmen seiner persönlichen Anhörung nachvollziehbar erläutert. Das Merkmal des immateriellen Schadens ist autonom auszulegen. Erwägungsgrund (146) (und in diesem S. 3) zur DS-GVO sieht vor, dass der Begriff des Schadens im Lichte der Rspr. des EuGH weit auf eine Art und Weise ausgelegt werden soll, die den Zielen dieser Verordnung in vollem Umfang entspricht. Damit ist insb. die Rspr. des EuGH in Bezug genommen, wonach der Schaden so bemessen werden muss, dass ihm eine hinreichend abschreckende Funktion im Hinblick auf den Schutz der betroffenen Rechtsgüter zukommt. Erwägungsgrund (75) zur DS-GVO nennt etwa Identitätsdiebstahl oder -betrug, finanzielle Verluste, Rufschädigung oder den Verlust der Kontrolle personenbezogener Daten. Ein nationales Verständnis zum Begriff des Schadens – etwa eine enge Auslegung – ist mithin nicht angezeigt. Ersatzfähig als Schaden sind grds. alle zurechenbaren Nachteile, die der Geschädigte an seinem Vermögen oder an sonstigen rechtlich geschützten Gütern erleidet. Der Schaden kann auch bereits etwa in dem unguten Gefühl liegen, dass personenbezogene Daten Unbefugten bekannt geworden sind, insb. wenn nicht ausgeschlossen ist, dass die Daten unbefugt weiterverwendet werden – ja bereits in der Ungewissheit, ob personenbezogene Daten an Unbefugte gelangt sind. So können unbefugte Datenverarbeitungen zu einem Gefühl des Beobachtetwerdens und der Hilfslosigkeit führen, was die betroffenen Personen letztlich zu einem reinen Objekt der Datenverarbeitung degradiert. Den Kontrollverlust nennt Erwägungsgrund 75 ausdrücklich als „insb.“ zu erwartenden Schaden; denknotwendig kann es sich dabei regelmäßig nur um einen immateriellen Schaden handeln. Spezifische Angaben, wie konkret sich der Kontrollverlust auf die Persönlichkeit und auf das Leben der betroffenen Person ausgewirkt hat, sind nicht erforderlich. Als mögliche Schäden kommen darüber hinaus zB auch Ängste, Stress sowie Komfort- und Zeiteinbußen in Betracht, die sich vor allem nach den im konkreten Fall erforderlichen Abhilfemaßnahmen richten. Gerade aktuelle Skandale unterstreichen die Aussage des Bundesverfassungsgerichts aus dem Volkszählungsurteil, dass es keine belanglosen Daten mehr gibt, weil gerade die vermeintlich harmlosen Einzelangaben genutzt werden, um biometrische Daten zu gewinnen, Persönlichkeitsprofile zu erstellen, Wahlen zu beeinflussen etc. Zwar ist der Bekl. darin recht zu geben, dass die von dem Kl. vorgetragenen Belästigungen durch Anrufe und SMSen nicht notwendigerweise auf die mit dem Scraping-Vorfall verbundene Veröffentlichung der klägerischen Daten zurückzufuhren sind. Der Kl. hat jedoch nachvollziehbar zum Ausdruck gebracht, dass er als nicht „besonders kommunikativer“ Mensch ähnliche Belästigungen auf Grund des Scraping-Vorfalls befürchtet. Die diesbezüglichen Angaben des Kl. erachtet das Gericht als glaubhaft, er selbst wirkt glaubwürdig. Er räumte ohne Weiteres ein, dass er Verschiedenes nicht mehr genau wusste, und war keineswegs bemüht, die floskelhaften Formulierungen der Klage zu wiederholen, sondern schilderte das, was ihn gestört hat, ohne Übertreibung und ohne erkennbaren Blick auf das, was seinem Begehren vermeintlich dienlicher sein konnte. Die geschilderten Beeinträchtigungen des Kl. mögen nicht massiv sein. Aus Sicht des Gerichts sind sie jedoch – auch angesichts der Zugriffsmöglichkeit durch jedermann – nicht als so unerheblich zu qualifizieren, dass dem Kl. ein entsprechender Schadensersatzanspruch auf Grund der Geltendmachung eines sog. Bagatellschadens nicht zuzubilligen wäre. Einen Ausschluss vermeintlicher Bagatellschäden sieht das Gesetz auch gar nicht vor. Es wäre widersinnig, für denselben Verstoß auf der einen Seite hohe Geldbußen nach Art. 83 DS-GVO vorzusehen und auf der anderen Seite jeglichen Schaden bei der betroffenen Person zu verneinen. Im Gegenteil fehlt gerade bei den Erwägungsgründen zum Schadensersatz der in Erwägungsgrund 148 S. 2 zu findende Hinweis auf geringfügige Verstöße, bei denen ausnahmsweise auf die Verhängung einer Geldbuße verzichtet werden kann. Soweit es nicht um reine Formfehler wie Verstöße gegen Dokumentationspflichten geht, geht mit der Verletzung datenschutzrechtlicher Normen letztlich immer ein immaterieller Schaden einher. Der immaterielle Schaden kann auch allein darin liegen, dass personenbezogene Daten Dritten – unabhängig von der Frage, wozu sie von diesen verwendet werden konnten – ohne Einverständnis zugänglich gemacht wurden. Dies gebietet das sog. Effektivitätsgebots, das die Rspr. gem. Art. 4 Abs. 3 EUV dazu verpflichtet, der DS-GVO effektiv Wirkung zu verschaffen. Dabei ist auch – anders als von der Bekl. angenommen – anhand der im Internet veröffentlichen personenbezogenen Daten des Kl. unter Nennung seiner Facebook-ID und seiner bis zu diesem Zeitpunkt grds. nicht öffentlich zugänglichen Telefonnummer – zugrunde zu legen, dass auch die Telefonnummer des Kl. Gegenstand des Scraping-Vorfalls geworden ist. Die Verstöße sind schließlich für den eingetretenen Schaden auch kausal. Die Veröffentlichung der Telefonnummer des Kl. ist ohne die Verletzung der Pflichten der Bekl. nach Art. 6, Art. 25 Abs. 2 und Art. 13 DS-GVO nicht denkbar. Aufgrund des Verstoßes gegen die Verpflichtung eines Datenschutzes durch Voreinstellung und durch den unterbliebenen Hinweis auf die Auffindbarkeit der Telefonnummer bei Nutzung des CITs ist es erst möglich geworden, dass personenbezogene Daten von Dritten abgegriffen worden sind. Eine Mitursächlichkeit ist ausreichend, eine alleinige Kausalität nicht gefordert, daher ist insofern nicht erheblich, dass der Kl. nach der erstmaligen Anmeldung bei Facebook die Datenschutzeinstellungen nicht geändert hat. Es kann dahinstehen, ob ein Mitverschulden des Geschädigten iRv Art. 82 DS-GVO zu berücksichtigen ist. Ein etwaiges Mitverschulden des Kl. (§ 254 BGB), weil er die Datenschutzeinstellungen seines Facebook-Profils nicht geändert und den Zugriff durch die Daten-Scraper mit ermöglicht hat, tritt jedenfalls hinter den Verstößen der Bekl. zurück. Die Bekl. zielt mit ihren Voreinstellungen gerade darauf ab, dass Nutzer diese Einstellungen zur Förderung der Netzwerkaktivitäten beibehalten. Sie kann sich daher nicht, wenn sich die Gefahren, die sich durch ihr verordnungswidriges Verhalten ergeben, realisiert haben, darauf berufen, es sei am Kl. gewesen, dies iSd Schutzes seiner personenbezogenen Daten zu korrigieren. Das gilt umso mehr für das CIT, über dessen Funktionsweise und die damit verbundenen Gefahren seitens der Bekl. nicht hinreichend aufgeklärt wird. Das Gericht hält ein Schmerzensgeld iHv 250 EUR für angemessen, aber auch ausreichend, um sowohl dessen Ausgleichs- und Genugtuungsfunktion als auch dessen generalpräventiver Funktion des immateriellen Schadensersatzes hinreichend Rechnung zu tragen. Zum einen ist – mit Blick auf den generalpräventiven Auftrag des Art. 82 DS-GVO – insoweit zu berücksichtigen, dass die Art und Weise der Datenerhebung durch die Bekl. systematisch gegen die Vorgaben der DS-GVO verstößt, um damit Sinn und Zweck der von ihr betriebenen Facebook-Plattform zu fördern. Andererseits ist auch der Umfang der Daten des Kl., die abgegriffen worden sind, zu berücksichtigen. Die auf Grund des Scraping-Vorfalls erlangte Telefonnummer des Kl. ermöglicht, dass der Kl. ungewollt kontaktiert werden kann. Weitergehende Daten, die eine Kontaktaufnahme ermöglichen könnten, wurden – nach derzeitigem Kenntnisstand – jedoch nicht von Dritten gescrapt. Daher ist der mögliche Schaden, auch wenn die Gefahr eines Identitätsdiebstahls nicht ausgeschlossen werden kann, für den Kl. letztlich noch überschaubar.

NEU LG Heilbronn Urt. v. 10.3.2023 – Ri 1 O 48/22 = ZD 2023, 637 (Ls.)

0 EUR Dem Kl. steht gegen die Bekl. kein Anspruch auf immateriellen Schadensersatz gem. Art. 82 Abs. 1 DS-GVO zu. Ein Verstoß gegen Vorschriften der DS-GVO, der einen Schadensersatzanspruch des Kl. gegen die Bekl. als Verantwortliche nach Art. 82 Abs. 1 DS-GVO begründen könnte, ist nicht festzustellen. Dahinstehen kann, ob die Bekl. wegen Verletzung von Informationspflichten, unzureichender Auskünfte, Meldungen oder Benachrichtigungen gegen Art. 13141533 und 34 DS-GVO verstoßen hat. Verstöße gegen diese Vorschriften sind bereits nicht vom Schutzbereich des Art. 82 DS-GVO umfasst. Dies ergibt sich zwar nicht allein aus Art. 82 Abs. 1 DS-GVO, der auf einen Verstoß gegen die DS-GVO abstellt, folgt aber aus der klarstellenden Regelung in Art. 82 Abs. 2 DS-GVO, wonach jeder an einer Verarbeitung beteiligte Verantwortliche für den Schaden haftet, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. Daraus folgt, dass Anknüpfungspunkt für die Haftung eine der Verordnung nicht entsprechende Verarbeitung iSv Art. 4 Nr. 2 DS-GVO ist. Dies steht auch im Einklang mit dem Erwägungsgrund 146 zur DS-GVO. Ein Schadensersatzanspruch gem. Art. 82 Abs. 1 DS-GVO scheitert auch an fehlenden Nachweis, dass durch einen – unterstellten – Verstoß beim Kl. ein Schaden verursacht wurde. Hinsichtlich des Eintritts eines Schadens durch den Rechtsverstoß ist der Ast. beweisbelastet. Die Verordnung bietet keine Grundlage für eine Beweiserleichterung. Dass Dritte mit unbefugt erlangten Daten regelmäßig versuchen, den Kl. per E-­Mail oder telefonisch zu erreichen ist nicht erwiesen. Es steht aber auch nicht fest, dass der Kl. mit Spam-Nachrichten, insb. in Form von verlinkten Textnachrichten, belästigt wird, die auf das Scraping bei der Bekl. zurückzuführen sind. IÜ dürfte bei einem einmaligen Kontaktversuch vor jedenfalls bald einem Jahr kaum eine auch bei Art. 82 DS-GVO zu beachtende Bagatellgrenze überschritten sein.

LG Bielefeld Urt. v. 10.3.2023 – 19 O 147/22 = ZD 2023, 634 (Ls.)

0 EUR Der Zulässigkeit der Klage steht nicht die Unbestimmtheit (§ 253 Abs. 2 ZPO) entgegen. Es fehlt zunächst an einer schadenersatzauslösenden Pflichtverletzung der Bekl. Unabhängig davon fehlt es an einem ersatzfähigen Schaden des Kl. iSd Art. 82 Abs. 1 DS-GVO. Nach den Erwägungsgründen der europäischen Grundrechtscharta ist der Schadensbegriff weit auszulegen (s. Erwägungsgrund 146, auch wenn er in der DS-GVO nicht näher definiert wird). Allein eine unterstellte Verletzung des Datenschutzrechts als solche begründet allerdings nicht bereits für sich gesehen einen Schadensersatzanspruch für betroffene Personen. Die Verletzungshandlung muss in jedem Fall auch zu einer konkreten, nicht nur völlig unbedeutenden oder empfundenen Verletzung von Persönlichkeitsrechten der betroffenen Personen geführt haben. In den Erwägungsgründen Ziff. 75 und 85 werden einige mögliche Schäden aufgezählt, darunter Identitätsdiebstahl, finanzielle Verluste, Rufschädigung, aber auch der Verlust der Kontrolle über die eigenen Daten sowie die Erstellung unzulässiger Persönlichkeitsprofile. Der Schaden ist zwar weit zu verstehen, er muss jedoch auch wirklich „erlitten“ (Erwägungsgrund 146 S. 6), das heißt „spürbar“, objektiv nachvollziehbar, von gewissem Gewicht sein, um bloße Unannehmlichkeiten auszuschließen. Gemessen an diesen Grundsätzen hat der Kl. schon keine spürbare Beeinträchtigung – hervorgerufen durch Datenverlust – von persönlichen Belangen dargelegt. Der Kl. trägt vor, einen erheblichen Kontrollverlust über seine Daten erlitten und Sorge vor Missbrauch seiner Daten zu haben. Seit dem Scraping-Vorfall 2019 und Veröffentlichung im April 2021 auf der eingangs benannten Seite sei es zu einem Anstieg von SMS und Mails gekommen. Zugleich hat er aber im Rahmen seiner Anhörung gem. § 141 ZPO bekundet, seit Entdeckung des Scraping-Vorfalls im April 2021 nichts an seinen Profileinstellungen bei F. geändert zu haben oder sein F.-Konto gelöscht zu haben. Erst im Verfahren habe er die Suchbarkeitsfunktion der Telefonnummer geändert und daher bis dato selbst dafür gesorgt, dass seine Telefonnummer mit seinem Profil in Verbindung gebracht werden konnte. Schon dieser Umstand lässt die Angabe, Furcht vor einem Kontrollverlust über seine Daten zu haben, unplausibel erscheinen. Insb., da sich der Kl. als Informatiker auch nicht auf mangelnde Fachkenntnisse berufen kann. Die Möglichkeit der Weiterverarbeitung der Daten an sich kann nicht ausreichend sein, um einen genügenden Schaden annehmen zu können, insb. da dadurch nicht konkrete entstandene Konsequenzen beim Kl. vorgetragen werden. Die schriftsätzliche Argumentation, der Kl. sei verstärkt misstrauisch bzgl. Spam-E-­Mails, ist zudem zurückzuweisen. Die E-­Mail-Adresse des Kl. war nicht betroffen. Während dies in der Klageschrift noch behauptet wurde, hat sich dies aus der persönlichen Anhörung gerade nicht ergeben: Nach den Kenntnissen des Kl. sei die E-­Mail-Adresse nicht betroffen. Es passt zudem nicht zu den schriftsätzlichen Schilderungen des Kl. bzgl. des Scraping-Vorfalls. Es wäre völlig unklar, wie die Scraper an die E-­Mail-Adresse des Kl. gekommen sein sollten. Es bedurfte auch keiner Aussetzung des Verfahrens und Vorlage an den EuGH mit Blick auf die anstehende Entscheidung des EuGH zur Rechtssache C 300/21 (Österreichische Post) zu der Frage, ob es eines konkreten, messbaren Schadens bedarf. Da keine letztinstanzliche Entscheidung vorliegt, besteht keine Vorlagepflicht gem. Art. 267 Abs. 3 AEUV. Schließlich fehlt es vorliegend auch an einer Kausalität. Soweit der Kl. behauptet, er erhalte unerwünschte Anrufe und Nachrichten, so handelt es sich insoweit ebenfalls um eine Erscheinung, die bereits mit der Nutzung als solcher zusammenhängt. Selbst wenn beim Kl. tatsächlich derartige Anrufe erst seit April 2021 bestehen, so ist völlig unklar, worauf dies fußt. Es ist völlig unbekannt, ob und welche Daten der Kl. an anderer Stelle freigegeben hat und ob ein unberechtigter Datenzugriff an anderer Stelle zu diesem – zu Gunsten des Kl. als wahr unterstellten vermehrten unerwünschten SMS und Anruf-Aufkommens – geführt hat. Auch hat der Kl. erst im laufenden Verfahren die Suchbarkeitseinstellung geändert und nicht schon nach Erhalt der ersten Spamnachrichten oder -anrufe. Die Klage auf Feststellung einer Ersatzpflicht künftiger materieller und immaterieller Schäden ist mangels Vorliegens einer Pflichtverletzung und eines Schadens unbegründet.

LG Berlin Urt. v. 9.3.2023 – 65 O 92/22 = ZD 2023, 561

0 EUR Der Klageantrag zu 1 genügt den Bestimmtheitsanforderungen des § 253 Abs. 2 Ziff. 2 ZPO. Danach muss die Klageschrift die bestimmte Angabe des Gegenstandes und des Grundes des erhobenen Anspruchs, sowie einen bestimmten Antrag enthalten. Ebene diese Voraussetzungen liegen vor. Der Kl. hat insb. einen Mindestbetrag für die vom Gericht – ggf. – vorzunehmende Schätzung des immateriellen Schadens angegeben. Auch der Klageantrag zu 2 ist zulässig. Er ist den unter Ziff. 1 dargestellten Anforderungen gem. hinreichend bestimmt; bereits aus dem Inhalt des Klageantrags ergibt sich, dass der Kl. den Ersatz „künftiger“ Schäden begehrt, den er aus dem in der Klageschrift dargestellten Sachverhalt herleitet. Der Kl. hat keinen Anspruch auf immateriellen Schadensersatz iHv mindestens 1.000 EUR. Der Anspruch ergibt sich unter keinem rechtlichen Gesichtspunkt, insb. nicht aus Art. 82 Abs. 1 DS-GVO. Hier fehlt es an jedem Hinweis dafür, dass dem Kl. überhaupt ein immaterieller Schaden entstanden ist. Das Merkmal des immateriellen Schadens ist autonom auszulegen. Erwägungsgrund 146 S. 3 zur DS-GVO sieht vor, dass der Begriff des Schadens im Lichte der Rspr. des EuGH weit auf eine Art und Weise ausgelegt werden soll, die den Zielen dieser Verordnung in vollem Umfang entspricht. Erwägungsgrund 75 zur DS-GVO nennt etwa Identitätsdiebstahl, finanzielle Verluste, Rufschädigung oder den Verlust der Kontrolle personenbezogener Daten. Eine Erheblichkeitsschwelle für das Vorliegen eines Schadens ergibt sich zwar nicht aus der DS-GVO, Bagatellschäden sind daher nicht auszuschließen. Zu verlangen ist aber jedenfalls, dass ein konkreter immaterieller Schaden auch tatsächlich eingetreten („entstanden“) ist. Hierzu trägt der Kl. konkret nichts vor. Er beschränkt sich auf allgemeine Floskeln, die einen persönlichen Bezug bzw. einen Bezug zu dem geltend gemachten Schadenereignis vollständig vermissen lassen. Misstrauen ggü. E-­Mails und Anrufen von unbekannten Nummern und Adressen ist vollkommen unabhängig vom hier geltend gemachten Sachverhalt stets angezeigt; vor der Rufannahme oder dem Anklicken von Mails unbekannter Absender wird – allgemein bekannt, § 291 ZPO – regelmäßig gewarnt. Ebenso verhält es sich mit den vom Kl. nicht näher spezifizierten, „unregelmäßig unbekannten Kontaktversuchen“; auch solchen ist jedermann in unregelmäßigen Abständen – allgemein bekannt – ausgesetzt, ohne dass sich ein Bezug zur Bekl. Unabhängig davon müsste der Kl. sich ein die Ersatzpflicht der Bekl. ausschließendes Mitverschulden deshalb entgegenhalten lassen, weil er selbst – frei und autonom – entschieden hat, die Informationen zu seiner Person auf der Plattform der Bekl. öffentlich einsehbar zu stellen. Ein Mindestmaß an Information und Kenntnisnahme der erkennbaren, bereits aus der verwendeten Begrifflichkeit drängen sich die offenkundigen Unterschiede zwischen „Privatsphäre“-Einstellungen und der Einstellung „öffentlich“ auf. Wenn der Kl. davon absieht, sich näher zu informieren, geht eben dies zu seinen Lasten. herstellen ließe. Der Klageantrag zu 2 ist ebenfalls unbegründet. Es ergibt sich aus dem Vortrag des Kl. kein Anhaltspunkt dafür, dass ihm aus dem bereits mehrere Jahre zurückliegenden Ereignis jemals ein Schaden entstanden ist oder entstehen könnte.

LG Memmingen Urt. v. 9.3.2023 – 35 O 1036/22

0 EUR Der unbestimmte Klageantrag zu 1 der Klage führt nicht zu einer Unzulässigkeit. Ein Anspruch auf Ersatz des immateriellen Schadens in der geltend gemachten Höhe von 1.000 EUR steht der Klagepartei nicht zu. Der Anspruch auf Ersatz des immateriellen Schadens ergibt sich nicht aus Art. 82 DS-GVO. Der Anspruch ergibt sich bereits nicht aus Art. 82 DS-GVO, da der Schutzbereich nicht eröffnet ist. Art. 82 DS-GVO erfasst Verstöße, welche durch eine nicht der Verordnung der DS-GVO entsprechende Verarbeitung (von Daten) entstanden sind, vgl. Art. 82 Abs. 2 DS-GVO. Erforderlich ist daher von vornherein eine Verarbeitung von Daten iSv Art. 4 Ziff. 2 DS-GVO. Die von Klageseite vorgebrachten Verstöße gegen Art. 1314 DS-GVO, Art. 34 DS-GVO und Art. 15 DS-GVO betreffen einzig und allein Informationspflichten ggü. den betroffenen Personen. Die Information über die Verarbeitung von personenbezogenen Daten stellt aber keine Verarbeitung von personenbezogenen Daten iSv Art. 4 Ziff. 2 DS-GVO dar, sodass der Klageseite ein entsprechender Schadensersatzanspruch aus etwaigen (nicht vorliegenden) Verstößen nicht zustehen kann. Unabhängig von der Frage, ob der Schutzbereich eröffnet ist, scheitert der geltend gemachte Anspruch jedoch vorliegend an den entsprechenden Pflichtverletzungen der Bekl. Ein Verstoß gegen die Transparenzpflichten aus Art. 5 Abs. 1 lit. a, Art. 1314 DS-GVO fällt der Bekl. nicht zur Last. Es liegt auch kein Verstoß der Bekl. gegen Art. 24 Abs. 132 Abs. 1 DS-GVO vor. Auch ein Verstoß gegen Art. 25 Abs. 2 DS-GVO ist nicht gegeben. Ein Verstoß gegen Art. 33 DS-GVO liegt ebenfalls nicht vor. Auch ein Verstoß gegen Art. 35 DS-GVO ist nicht gegeben. Auch einen Verstoß gegen die Auskunftspflicht gem. Art. 15 DS-GVO kann die Kammer vorliegend nicht erkennen. Der geltend gemachte Schadensersatzanspruch scheitert darüber hinaus auch daran, dass ein ersatzfähiger Schaden iSv Art. 82 Abs. 1 DS-GVO nicht vorliegt. Der Eintritt des Schadens muss dabei iSd § 287 ZPO als überwiegend wahrscheinlich dargetan werden. Das Gericht verkennt dabei nicht, dass der Schadensbegriff im Lichte des Erwägungsgrundes Ziff. 146 DS-GVO weit zu verstehen ist, sodass ein genereller Ausschluss von Bagatellschäden im Lichte dieser Erwägungsgründe nicht vertretbar ist. Dennoch muss jedenfalls ein Schaden tatsächlich „erlitten“ worden sein (Erwägungsgrund 146 S. 6), das heißt jedenfalls ersichtlich, spürbar, objektiv nachvollziehbar und von einem gewissen Gewicht sein. Dem Kl. ist es letztlich nicht gelungen, eine solche spürbare Beeinträchtigung unter Berücksichtigung der vorgenannten Umstände konkret darzulegen. Die Klageseite führt als immaterielle Schadenspositionen Ängste, unter denen der leide, die daraus resultierten, dass er einen erheblichen Kontrollverlust über seine Daten erlitten habe und deshalb großem Unwohlsein und Sorgen in Bezug auf einen potenziellen Missbrauch seiner Daten durch Dritte ausgesetzt sei. Zudem sei es seit dem Scraping-Vorfall zu einem Anstieg an offenkundigen Betrugsversuchen in Form von Phishing-Mails und Anrufen gekommen. Selbst bei Unterstellung der geschilderten Umstände als wahr, genügt dies den obigen Anforderungen jedoch nicht. Selbst Personen, die keinen F. Account nutzen und dort nicht ihre Mobilfunknummer hinterlegt haben, erhalten gerichtsbekannt unerwünschte E-­Mails und Nachrichten. Soweit die Klageseite vorbringt, dass nur den Wenigsten eine konkrete Schadendarstellung auf Grund der Reichweite und der Größe des Datenlecks gelingen dürfte und daher schon auf Grund einer bloßen Gefährdung einen Schaden annehmen will, kann sich die Kammer diesen Erwägungen nicht anschließen. Insgesamt erscheint ein Identitätsmissbrauch allein auf Grund einer Telefonnummer eher unwahrscheinlich. Insb. würde der Schadenbegriff so aufgeweicht und ausgedehnt und es würde der konkrete Nachweis einer möglichen Betroffenheit genügen, um eine Haftung zu begründen. Dies käme einer reinen Gefährdungshaftung gleich und widerspricht letztlich auch dem Erwägungsgrund 75. Eine Vorlagepflicht gem. Art. 267 Abs. 3 AEUV trifft das Gericht hierbei nicht, da sie nicht letztinstanzlich über die Sache entscheidet. Von der Möglichkeit zur Vorlage nach § 267 Abs. 2 AEUV macht die Kammer schon deshalb keinen Gebrauch, weil die Sache darüber hinaus bereits aus anderen Gründen keinen Erfolg hat. Zudem fehlt es an der Kausalität zwischen dem Vorwurf und dem in den Raum gestellten Schaden. Soweit der Kl. behauptet, er erhalte unerwünschte SMS und E-­Mails, so handelt es sich um ein „Phänomen“, das bereits mit der Nutzung des Internets als solcher zusammenhängt. Der Kammer ist bekannt, dass selbst Personen, welche keinen F. Account besitzen unerwünschte Anrufe und Nachrichten erhalten. Insb. sind Spam-E-­Mails mit Werbung oder Hinweis auf eine ausstehende Paketlieferung weit verbreitet. Auch Nachrichten, in welchen sich die Unbekannten Täter als Kind in Not mit neuer Handynummer ausgeben, sind üblich und gehen beinahe überall ein. Selbst wenn beim Kl. tatsächlich derartige Anrufe und Nachrichten seit April 2021 zugenommen haben mögen, so kann dies vielerlei Ursachen haben. Es ist völlig unklar und unbekannt, ob und welche Daten der Kl. an anderer Stelle freigegeben hat (zB im Rahmen weiter verbreiteter Phishing E-­Mails) und ob ein unberechtigter Datenzugriff an anderer Stelle zu dem vom Kl. behaupteten vermehrten unerwünschten Nachrichtenaufkommen geführt hat. Ausführungen zur Höhe des geltend gemachten Schmerzensgeld können daher auf Grund der vorgenannten Umstände unterbleiben. Das Verhältnis der Vorschriften der DS-GVO zu denen des materiellen Rechts kann dabei letztlich dahinstehen, da sich auch aus dem nationalen Recht kein Anspruch ergibt. Mangels Anspruch in der Hauptsache besteht auch kein Anspruch auf Zahlung außergerichtlicher Rechtsanwaltskosten gem. § 280 Abs. 1 BGB oder aus Art. 82 Abs. 1 DS-GVO.

LG Itzehoe Urt. v. 9.3.2023 – 10 O 87/22 = ZD 2023, 633 (Ls.)

0 EUR Die Klaganträge sind hinreichend bestimmt iSd § 253 Abs. 2 Ziff. 2 ZPO. Der Kl. hat keinen Anspruch auf Entschädigung aus Art. 82 DS-GVO. Ein Verstoß gegen die DS-GVO ist nicht feststellbar. Lediglich ergänzend kann auch ein kausaler Schaden nicht erkannt werden. Es ist nicht dargelegt, dass der Kl. einen Schaden erlitten hat, weil die Bekl. die verlangten Auskünfte nicht zur Zufriedenheit des Kl. erteilt hat. Dabei ist kein Strafschadensersatz auszusprechen, wie im Umkehrschluss aus Art. 83 DS-GVO folgt, wo von einer abschreckenden Geldbuße die Rede ist. Auch wenn nach dem Wortlaut des Art. 82 DS-GVO keine schwere Verletzung des Persönlichkeitsrechts vorliegen muss, reicht nicht bereits ein Verstoß gegen die DS-GVO selbst zur Begründung eines Schmerzensgeldanspruchs aus. Der Verstoß muss nach dem Wortlaut des Art. 82 DS-GVO eine Rechtsverletzung nach sich ziehen, die als immaterieller Schaden, entsprechend der in ErwG 75 aufgelisteten Beispiele, qualifiziert werden kann. Der als bloße Belästigung empfundene Verstoß gegen die DS-GVO selbst genügt nicht. Als Schaden iSd DS-GVO kann nicht das vom Kl. behauptete erhöhte Spam-SMS-Aufkommen gewertet werden. Es ist schon zweifelhaft, ob diese Behauptung überhaupt ausreichend konkret dargelegt ist, denn die Behauptung eines immensen Spam-Aufkommens ist äußerst pauschal. Für einen konkreten Vortrag bedarf es der Darstellung bis zu welchem Zeitpunkt wieviele solcher Nachrichten auf dem Handy eingegangen sind und ab wann sich dieses in welcher Form verändert hat. Der Vortrag, dass Lebenszeit aufgewendet werden musste, um diese Nachrichten zu löschen bzw. die Absender zu sperren, ist dementsprechend pauschal. Letztlich kann dies dahinstehen, denn es ist bereits der Kausalzusammenhang zwischen diesem und dem Scraping-Vorfall klägerseits nicht nachgewiesen worden. Unerwünschte Anrufe oder SMS erhalten gerichtsbekannt nämlich auch Personen, die keinen Facebook-Account haben. Der vom Kl. vorgetragene Kontrollverlust über seine persönlichen Daten und die damit verbundene Unsicherheit reichen nicht aus, um einen Schaden iSd DS-GVO zu begründen. Allein ein Verstoß gegen die DS-GVO begründet noch keine Haftung nach Art. 82 DS-GVO wie bereits ausgeführt. Das Gericht verkennt dabei nicht, dass der Schadensbegriff weit auszulegen ist, wie aus den Erwägungungsgründen der europäischen Grundrechtscharta folgt (Erwägungsgrund 146). Es ist aber erforderlich, dass – die hier allerdings nicht festgestellte – Verletzungshandlung zu einer konkreten, nicht nur völlig unbedeutenden oder empfundenen Verletzung von Persönlichkeitsrechten der betroffenen Person geführt hat. Es muss eine objektiv nachvollziehbare Beeinträchtigung von persönlichkeitsbezogenen Belangen vorliegen, ein Schaden tatsächlich „erlitten“ sein, nicht lediglich befürchtet werden. Das kann hier nicht festgestellt werden. Es bedarf vielmehr der Darlegung eines konkreten (auch immateriellen) Schadens. Dabei verkennt das Gericht nicht, dass es nicht erforderlich ist, dass der eingetretene Schaden erheblich ist; mithin sind auch Bagatellschäden ersatzfähig. Gleichwohl ist bei der Bewertung zu berücksichtigen, dass der Kl. selbst die Daten (Name, Geschlecht, Telefonnummer) preisgegeben hat bei seiner Anmeldung auf der von der Bekl. betriebenen Plattform. Ausgehend von diesen Maßstäben kann das Gericht keinen Schaden erkennen. Die textbausteinartigen Ausführungen, dass der Kl. unter Unwohlsein leide, sind angesichts des Umstands, dass er selbst seine Daten auf facebook öffentlich gemacht hat, nicht nachvollziehbar. Aus diesen Gründen hat der Kl. auch keinen Anspruch auf Erstattung der ihm vorprozessual entstandenen Rechtsanwaltskosten. Ein solcher Anspruch folgt weder aus § 280 Abs. 1 BGB noch aus Art. 82 Abs. 1 DS-GVO, da es in der Hauptsache bereits an einem Anspruch mangelt.

LG Baden-Baden Urt. v. 9.3.2023 – 3 O 248/22

0 EUR Der Klageantrag 1 ist unbegründet. Die Klagepartei hat unter keinem rechtlichen Gesichtspunkt einen Anspruch auf immateriellen Schadensersatz in geltend gemachter Höhe. Ein Anspruch gegen die Bekl. ergibt sich weder aus Art. 82 Abs. 12 DS-GVO noch aus nationalen Vorschriften. Soweit die Klagepartei der Bekl. vorwirft, keine geeigneten technischen und organisatorischen Maßnahmen getroffen zu haben gem. Art. 25 Abs. 2 DS-GVO, über Datenschutzverletzungen weder die Klagepartei benachrichtigt noch diese bei der zuständigen Behörde gemeldet zu haben gem. Art. 3334 DS-GVO sowie sind solche Verstöße bereits nicht vom Schutzbereich des Art. 82 DS-GVO umfasst. Zunächst führt nicht jeder Verstoß gegen die DS-GVO zu einem Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO, auch wenn der Wortlaut der Norm insoweit offen formuliert ist. Voraussetzung ist vielmehr, dass der Schaden durch eine nicht der DS-GVO entsprechende Verarbeitung verursacht wurde. Denn Art. 82 Abs. 2 DS-GVO stellt klar, dass gerade die Verarbeitung selbst verordnungswidrig sein muss, da nur für Schäden gehaftet werden soll, die durch eine nicht der Verordnung entsprechenden Verarbeitung verursacht worden sind, und konkretisiert den Abs. 1 insofern. Ein Verstoß gegen Art. 25 Abs. 2 DS-GVO ist vom Anwendungsbereich des Art. 82 Abs. 1 DS-GVO nicht erfasst. Denn die Norm stellt in erster Linie eine organisatorische Verpflichtung der Verantwortlichen dar; als bloße Verfahrensvorschrift ist die Einhaltung daher keine Voraussetzung für die Rechtmäßigkeit eines Verarbeitungsvorgangs. Ein Verstoß gegen Art. 25 Abs. 2 DS-GVO führt daher nicht zur Rechtswidrigkeit der Verarbeitung und hat daher auch keine Auswirkung auf eine Verarbeitungsreihe. Ein Verstoß gegen die Art. 3334 DS-GVO ist ebenfalls nicht vom Anwendungsbereich des Art. 82 Abs. 1 DS-GVO erfasst. IÜ ist der Schutzbereich in Bezug auf die von der Klagepartei geltend gemachten Verstöße der Bekl. gegen Art. 13145 Abs. 1 lit. a DS-GVO sowie gegen Art. 25 Abs. 124 und 32 DS-GVO grds. eröffnet, da insofern mögliche Verstöße Auswirkungen auf die Rechtmäßigkeit einer Verordnung haben. Die Klagepartei hat den zeitlichen Anwendungsbereich der DS-GVO teilweise schon nicht aufgezeigt. Der Annahme eines Anspruchs auf Schadensersatz nach Art. 82 Abs. 1 und 2 DS-GVO steht bereits entgegen, dass die Klagepartei nicht ausreichend darlegt, wann der Scraping-Vorfall stattgefunden haben soll, sodass bereits nicht festzustellen ist, dass im Zeitpunkt des Scraping-Vorfalls und damit auch im Zeitpunkt der denklogisch vor dem Scraping-Vorfall liegenden behaupteten Verstöße der Bekl. die DS-GVO überhaupt bereits in zeitlicher Hinsicht gegolten hat. Die Nichtvornahme der gebotenen Information über die Datenverwendung bzw. Aufklärung über die Datenverwendung kann nur dann einen „Verstoß gegen eine Vorschrift der DS-GVO“ als Anspruchsvoraussetzung des Art. 82 DS-GVO darstellen, wenn im Zeitpunkt der Datenerhebung die DS-GVO bereits galt, mithin die Eingabe der Telefonnummer nach dem 24.5.2018 durch die Klagepartei auf der Plattform F. erfolgte. Davor bestanden keine Ge- und Verbote der DS-GVO, sodass eine vorher durchgeführte Datenverarbeitung bereits nicht gegen diese verstoßen konnte. Hinsichtlich des gerügten Verstoßes gegen Art. 2425 Abs. 1 DS-GVO infolge der behaupteten unzureichenden Schutzmaßnahmen durch die Bekl. gilt entsprechendes. Da nach nicht widerlegter Behauptung der Bekl. bereits im Januar 2018 das Datenscraping stattgefunden haben soll und dieses auf Grund unzureichender Schutzvorrichtungen möglich gewesen sein soll, liegt insoweit kein Verstoß gegen die DS-GVO im Zeitpunkt der gerügten Verletzung vor. Die Normen der DS-GVO galten erst ab dem 24.5.2018. Hinsichtlich des gerügten Verstoßes gegen Art. 25 Abs. 2 DS-GVO (datenschutzfreundliche Grundeinstellungen) gilt ebenso das oben Gesagte entsprechend. Die Klagepartei hat bereits nicht mitgeteilt, wann sie auf der Plattform F. ihre Telefonnummer erstmals angegeben haben will. Hat sie jedoch die Telefonnummer vor dem Inkrafttreten der DS-GVO angegeben, dann hat die Bekl. durch ihre Voreinstellungen unabhängig von der konkreten Ausgestaltung jedenfalls nicht gegen Art. 25 Abs. 2 DS-GVO verstoßen. Diese galt in diesem Fall nämlich noch nicht. Der Klagepartei steht ein Anspruch aus Art. 82 Abs. 1 und 2 DS-GVO unabhängig von dem zeitlichen und sachlichen Anwendungsbereich hinsichtlich der gerügten Verstöße auch deshalb nicht zu, weil die Kammer die behaupteten Verstöße bereits nicht festzustellen vermag. Zu den Verstößen im Einzelnen ist wie folgt auszuführen: Es liegt kein Verstoß der Bekl. gegen Art. 5 iVm Art. 13 und 14 DS-GVO wegen Verletzung der Aufklärungs- und Informationspflichten bei erstmaliger Verarbeitung der Daten vor. Die Bekl. hat nicht gegen ihre Pflicht zur Implementierung angemessener technischer und organisatorischer Maßnahmen gem. Art. 24, Art. 25 Abs. 1325 Abs. 2 lit. f DS-GVO verstoßen. Es liegt kein Verstoß gegen Art. 25 Abs. 2 DS-GVO und damit dem Gebot datenschutzfreundlicher Voreinstellungen vor. Die Bekl. hat nicht gegen ihre Meldepflicht aus Art. 33 DS-GVO oder ihre Benachrichtigungspflicht gem. Art. 34 Abs. 1 DS-GVO verstoßen. Die Klagepartei hat insb. nicht schlüssig aufgezeigt, dass die Voraussetzungen eines immateriellen Schadens iSd Art. 82 DS-GVO vorliegen. Allein eine Verletzung der DS-GVO als solche begründet nicht bereits für sich gesehen einen Schadensersatzanspruch für betroffene Personen. Bereits nach dem Wortlaut von Art. 82 DS-GVO setzt ein Anspruch auf Schadensersatz voraus, dass einer natürlichen Person wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist. Im Erwägungsgrund 146 S. 6 zur DS-GVO ist insoweit ausdrücklich von einem „erlittenen Schaden“ die Rede. Der Schaden ist daher nicht mit der zugrunde liegenden Verletzung der DS-GVO gleichzusetzen. Auch ein immaterieller Schaden muss daher konkret dargelegt werden. In den Erwägungsgründen Ziff. 75 und 85 werden einige mögliche Schäden aufgezählt, darunter Identitätsdiebstahl, finanzielle Verluste, Rufschädigung, aber auch der Verlust der Kontrolle über die eigenen Daten sowie die Erstellung unzulässiger Persönlichkeitsprofile. Für den hier geltend gemachten immateriellen Schadensersatz gelten dabei die iRv § 253 BGB entwickelten Grundsätze; die Ermittlung obliegt dem Gericht nach § 287 ZPO. Es können für die Bemessung die Kriterien des Art. 83 Abs. 2 DS-GVO herangezogen werden, zB die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung, den Grad des Verschuldens, Maßnahmen zur Minderung des entstandenen Schadens, frühere Verstöße sowie die Kategorie der betroffenen personenbezogenen Daten. Art. 4 Abs. 3 EUV hält die Mitgliedsstaaten dazu an, Verstöße wirksam mit Sanktionen zu belegen, denn nur so könne man eine effektive Durchsetzbarkeit des EU-Rechts und damit auch der DS-GVO erzielen. Zu berücksichtigen ist daher auch, dass die beabsichtigte abschreckende Wirkung nur durch empfindliche Schmerzensgelder erreicht wird. Ein genereller Ausschluss von Bagatellfällen ist damit nicht zu vereinbaren. Wenn auch der Schaden weit zu verstehen ist und die Pflicht zur Erstattung immaterieller Schäden nicht nur auf schwere Schäden beschränkt ist muss der Schaden doch konkret eingetreten und auch wirklich „erlitten“ sein (Erwägungsgrund 146 S. 6), er muss „spürbar“ und objektiv nachvollziehbar sein, um bloße Unannehmlichkeiten auszuschließen. Der Sinn der Verordnung wird nicht gewahrt, indem man jeglichem „Unwohlsein“ eine Schadensposition einräumt. Vielmehr muss zumindest ein ernsthaftes Risiko bestehen, dass die Daten missbraucht werden. Insoweit muss die Verletzungshandlung auch zu einer konkreten, nicht nur völlig unbedeutenden oder nur empfundenen Verletzung von Persönlichkeitsrechten der betroffenen Personen geführt haben. Die Darlegungs- und Beweislast für den Eintritt eines Schadens trägt die Klagepartei. Gemessen an diesen Grundsätzen hat die Klagepartei schon keine eigene konkrete immaterielle Beeinträchtigung von persönlichen Belangen schlüssig aufgezeigt. Die Klagepartei lässt pauschal und in einer Vielzahl von Verfahren formelhaft vortragen, einen erheblichen Kontrollverlust über die eigenen Daten erlitten und Sorge vor Missbrauch der eigenen Daten zu haben, weshalb sie sich in einem Zustand größten Unwohlseins und großer Sorge über möglichen Missbrauch ihrer sie betreffenden Daten befinde, ohne dies allerdings konkret nachvollziehbar aufzuzeigen. Formelhaft führt sie insoweit nur an, dass sich dies in einem verstärkten Misstrauen bzgl. E-­Mails und Anrufen von unbekannten Nummern und Adressen äußere, sie Ängste oder Stress verspüre oder sie nach Bekanntwerden des Vorfalls Zeit und Mühe habe aufwenden müssen. Ihr Vorbringen lässt jedoch jeglichen individuellen Bezug zur Klagepartei selbst und der sich konkret bei ihr zeigenden Beeinträchtigung vermissen und beschränkt sich auf die Wiedergabe einzelner Erwägungsgründe oder in der formelhaften Wiedergabe von Entscheidungsgründen aus immateriellen Schadensersatz zusprechenden Urteilen. Soweit die Klagepartei von einem unerwünscht erhöhten Anfall von E-­Mails, Anrufen und SMS-Nachrichten spricht und in Bezug auf die Nachrichten mit Anlage KGR 6 einen Screenshot der „unerwünschten Kontaktaufnahmen“ vorgelegt hat, ergibt sich hieraus nichts Anderes. Die darin erfassten Spam-Nachrichten zählen zur Höchstzeit fünf Nachrichten im gesamten Monat Oktober 2021, iÜ sind Spam-Nachrichten in unregelmäßigen, teilweise monatelangen Abständen verzeichnet. Dass aus dem Bekanntwerden einer Telefonnummer ein Identitätsmissbrauch entstehen kann, ist eher unwahrscheinlich. Insb. würde der Schadenbegriff so aufgeweicht und ausgedehnt und es würde der konkrete Nachweis einer möglichen Betroffenheit genügen, um eine Haftung zu begründen. Dies käme einer reinen Gefährdungshaftung gleich und widerspricht letztlich auch dem Erwägungsgrund 75. Schließlich ist nicht konkret aufgezeigt, dass und inwieweit sich die Klagepartei selbst mit dem im Streit stehenden Datenleak habe auseinandersetzen müssen, um die Hintergründe zu ermitteln, sich um eine Auskunft kümmern und weitere Maßnahmen ergreifen zu müssen, inwieweit sie „Zeit und Mühe“ aufgewandt habe, sich vor drohendem Missbrauch zu schützen. Nach dem Wortlaut von Art. 82 Abs. 1 DS-GVO („wegen“) ist zudem ein Kausalzusammenhang zwischen der Verletzungshandlung bzw. dem Verstoß gegen die DS-GVO und dem geltend gemachten Schaden erforderlich, wobei eine Mitursächlichkeit ausreichend ist. An der schlüssigen Darlegung dieser Kausalität fehlt es. Unerwünschte E-­Mails, SMS und Anrufe erhalten gerichtsbekannt auch Personen, die keinen F.-Account haben und die ihre Telefonnummer dort nicht hinterlegt haben, was bereits mit der Nutzung des Internets als solcher zusammenhängt. Es ist auch völlig unklar und unbekannt, ob und welche Daten die Klagepartei auch noch an anderer Stelle freigegeben hat und ob ausgeschlossen werden kann, dass die mit dem Screenshot Anlage KGR 6 vorgetragene Häufung von Spam-Nachrichten auf einer Freigabe der eigenen Daten an anderer Stelle beruht. Konkrete Umstände, die jedenfalls indiziell einen Rückschluss auf den im Streit stehenden Vorfall erlauben, sind von der Klagepartei nicht aufgezeigt und ergeben sich auch nicht aus dem vorgelegten Screenshot. Es fehlt überdies zumindest hinsichtlich des behaupteten Verstoßes gegen die Aufklärungs- und Informationspflicht (Art. 51314 DS-GVO) an der erforderlichen Kausalität des Verstoßes für den Schadenseintritt. Die spätestens seit Inanspruchnahme anwaltlicher Hilfe informierte und über die Verwendung ihrer Telefonnummer in Kenntnis gesetzte Klagepartei hat ausweislich der durch die Bekl. vorgelegten Anlage, deren Inhalt unstreitig ist, die Suchbarkeitseinstellungen seit dem Jahr 2017 nicht verändert. Dass die Klagepartei daher bei – unterstellt nicht ordnungsgemäßer Aufklärung und Information über die Datenverarbeitung in Bezug auf die angegebene Telefonnummer – gehöriger Information und Aufklärung ihre Einstellungen geändert oder die Telefonnummer schon nicht angegeben hätte, ist auf Grund des eigenen Verhaltens der Klagepartei zur Überzeugung der Kammer widerlegt. Der mit Klageantrag zu 2 geltend gemachte Schadensersatzanspruch wegen Nichterteilung der Auskunft gem. Art. 15 DS-GVO ist unbegründet. Ein Anspruch gegen die Bekl. ergibt sich weder aus Art. 82 Abs. 12 DS-GVO noch aus nationalen Vorschriften. Der sachliche Anwendungsbereich des Art. 82 Abs. 12 DS-GVO ist bereits für Verstöße gegen Art. 15 DS-GVO nicht eröffnet. Denn die bloße Verletzung von Informationsrechten nach dieser Norm führt nicht dazu, dass eine Datenverarbeitung, infolge derer das Informationsrecht entstanden ist, selbst verordnungswidrig ist. Zwar kann die Reaktion auf ein Auskunftsverlangen eine Datenverarbeitung darstellen, wenn insofern ein Abgleich personenbezogener Daten vorgenommen wird. Eine unrechtmäßige Datenverarbeitung infolge oder durch das Auskunftsverlangen selbst behauptet die Klagepartei jedoch bereits nicht. Vielmehr geht die Klagepartei von einem Schadensersatzanspruch wegen Nichterteilung der Auskunft aus. Die bloße Nichterteilung führt jedoch nicht zu einer rechtswidrigen Datenverarbeitung. Eine rechtswidrige Verarbeitung iRd Auskunftsverlangens wäre insofern auch für den geltend gemachten Schaden nicht kausal. Eine mögliche verspätete Erfüllung von Auskunftsansprüchen nach Art. 15 DS-GVO löst keinen Schadensersatzanspruch gem. Art. 82 DS-GVO aus. Überdies hat die Bekl. nicht gegen Art. 15 Abs. 1 DS-GVO verstoßen, indem sie der Klagepartei keine oder unvollständige Auskünfte erteilt hat. Danach hat die betroffene Person das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten sowie u. a. über die Verarbeitungszwecke (lit. a), Kategorien personenbezogener Daten, die verarbeitet werden (lit. b) sowie die Empfänger oder Kategorien von Empfängern, ggü. denen die personenbezogenen Daten offengelegt worden sind (lit. c). Mit Schreiben v. 29.7.2022 hat die Klagepartei die Bekl. zur Auskunft aufgefordert und konkrete Fragen im Zusammenhang „mit dem im April 2021 bekannt gewordenen Datenschutzvorfall“ gestellt. Diese Fragen betreffen lediglich die durch das Scraping betroffene Daten, nicht jedoch alle von der Bekl. verarbeiteten personenbezogenen Daten der Klagepartei. Die Bekl. hat mit Schreiben v. 29.8.2022 diese Auskunftspflicht erfüllt gem. § 362 Abs. 1 BGB, der Auskunftsanspruch der Klagepartei ist daher erloschen. Eine Erfüllung ist dann anzunehmen, wenn die Angaben nach dem erklärten Willen des Schuldners die Auskunft im geschuldeten Gesamtumfang darstellen. Wird die Auskunft in dieser Form erteilt, steht ihre etwaige inhaltliche Unrichtigkeit einer Erfüllung nicht entgegen. Die Bekl. hat in dem Auskunftsschreiben erklärt, dass sie keine Kopie der Rohdaten hält, welche die durch Scraping abgerufenen Daten enthalten. Auf Grundlage der bislang vorgenommenen Analysen sei es jedoch gelungen, der Nutzer-ID der Klagepartei die folgenden Datenkategorien zuzuordnen, die nach ihrem Verständnis in den Scraping abgerufenen Daten erscheinen und mit den auf dem F.-Profil der Klagepartei verfügbaren Informationen übereinstimmen: Nutzer-ID, Vorname, Nachname, Geschlecht. Darüber hinaus sei nach ihrem Verständnis die Telefonnummer nicht in den durch Scraping abgerufenen Daten enthalten. Damit hat die Bekl. zum Ausdruck gebracht, dass sie die Auskunft im geschuldeten Umfang erteilen wollte. In ihrem Schreiben hat die Bekl. zwar nicht beantwortet, welchen Empfängern die Daten der Klagepartei zugänglich gemacht worden sind, obwohl die Klagepartei mit Frage Ziff. 5 Auskunft darüber begehrt hat, von wem die Sicherheitslücke ausgenutzt wurde. Dies steht jedoch der konkludenten Erklärung des Auskunftsschuldners, dass die Auskunft im Auskunftsschreiben vollständig ist, nicht entgegen. Denn mit der Klageerwiderung hat die Bekl. erklärt, dass sie nicht dazu imstande ist die Fragen betreffend die Verarbeitungstätigkeiten Dritter zu beantworten. Damit hat die Bekl. zum Ausdruck gebracht, das Auskunftsbegehren der Klagepartei bereits zuvor vollständig erfüllt zu haben. Zudem fehlt, wie bereits oben ausgeführt, es an einer schlüssigen Darlegung des Schadens sowie der Kausalität. Inwieweit sich durch unterlassene Auskünfte der Bekl. ein vermeintlich hiernach bestehender Schaden noch weiter vertieft habe, ist nicht konkret aufgezeigt. Der Klageantrag zu 5 ist unbegründet. Mangels eines Anspruchs in der Hauptsache auf Schadensersatz gem. Art. 82 Abs. 1 DS-GVO oder § 280 Abs. 1 BGB hat die Klagepartei keinen Anspruch auf Ersatz außergerichtlicher Rechtsanwaltskosten. Ein Verzug der Beklagtenpartei mit dem vorgerichtlichen Auskunftsbegehren gem. Art. 15 Abs. 1 DS-GVO lag zumindest vor Anfall der Rechtsanwaltskosten noch nicht vor, da die Bekl. erst mit dem Schreiben in Anlage KGR 4, für das die Klagepartei die Rechtsanwaltsgebühren begehrt, zur Auskunft aufgefordert wurde.

NEU LG Baden-Baden Urt. v. 9.3.2023 – 3 O 145/22 = ZD 2023, 636 (Ls.)

0 EUR Der Kl. steht gegen die Bekl., die als Verantwortliche iSv Art. 4 Nr. 7 DS-GVO anzusehen ist, kein Anspruch auf Schadensersatz aus Art. 82 Abs. 12 DS-GVO zu. Der sachliche Anwendungsbereich des Art. 82 DS-GVO ist für die von der Kl. geltend gemachten Verstöße nur teilweise eröffnet. Soweit die Kl. der Bekl. vorwirft, keine geeigneten technischen und organisatorischen Maßnahmen getroffen zu haben gem. Art. 25 Abs. 2 DS-GVO, über Datenschutzverletzungen weder die Kl. benachrichtigt noch diese bei der zuständigen Behörde gemeldet zu haben gem. Art. 3334 DS-GVO sowie unvollständig Auskunft gem. Art. 15 DS-GVO erteilt zu haben sind solche Verstöße bereits nicht vom Schutzbereich des Art. 82 DS-GVO umfasst. Zunächst führt nicht jeder Verstoß gegen die DS-GVO zu einem Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO, auch wenn der Wortlaut der Norm insoweit offen formuliert ist. Voraussetzung ist vielmehr, dass der Schaden durch eine nicht der DS-GVO entsprechende Verarbeitung verursacht wurde. Denn Art. 82 Abs. 2 DS-GVO stellt klar, dass gerade die Verarbeitung selbst verordnungswidrig sein muss, da nur für Schäden gehaftet werden soll, die durch eine nicht der Verordnung entsprechenden Verarbeitung verursacht worden sind, und konkretisiert den Abs. 1 insofern. Der Anwendungsbereich des Schadensersatzanspruchs gem. Art. 82 Abs. 1 DS-GVO ist demgemäß nur eröffnet, wenn ein Verstoß durch die Verarbeitung selbst in Betracht kommt, die verordnungswidrig sein muss. Es ist daher darauf abzustellen, ob eine Datenverarbeitung entgegen den Vorgaben der DS-GVO vorliegt. Der Anwendungsbereich des Art. 82 Abs. 1 DS-GVO erfasst auch Verarbeitungsreihen, bei denen durch einen einzelnen Verstoß die gesamte Verarbeitung rechtswidrig wird. Das vorwerfbare Verhalten muss daher nicht zwangsläufig die Verarbeitung selbst sein, sondern die Verarbeitung kann auch dadurch rechtswidrig werden, dass im Vorfeld Maßnahmen, die im engen Zusammenhang zur Verarbeitung stehen und Grundsätze der Datenverarbeitung betreffen, nicht getroffen wurden. Der Annahme eines Anspruchs auf Schadensersatz nach Art. 82 Abs. 1 und 2 DS-GVO steht bereits entgegen, dass die Kl. nicht ausreichend darlegt, wann der Scraping-Vorfall stattgefunden haben soll, sodass bereits nicht festzustellen ist, dass im Zeitpunkt des Scraping-Vorfalls und damit auch im Zeitpunkt der denklogisch vor dem Scraping-Vorfall liegenden behaupteten Verstöße der Bekl. die DS-GVO überhaupt bereits in zeitlicher Hinsicht gegolten hat. Der Kl. steht ein Anspruch aus Art. 82 Abs. 1 und 2 DS-GVO unabhängig von dem zeitlichen und sachlichen Anwendungsbereich hinsichtlich der gerügten Verstöße auch deshalb nicht zu, weil die Kammer die behaupteten Verstöße bereits nicht festzustellen vermag. Die Kl. hat insb. nicht schlüssig aufgezeigt, dass die Voraussetzungen eines immateriellen Schadens iSd Art. 82 DS-GVO vorliegen. Allein eine Verletzung der DS-GVO als solche begründet nicht bereits für sich gesehen einen Schadensersatzanspruch für betroffene Personen. Bereits nach dem Wortlaut von Art. 82 DS-GVO setzt ein Anspruch auf Schadensersatz voraus, dass einer natürlichen Person wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist. Für den hier geltend gemachten immateriellen Schadensersatz gelten dabei die iRv § 253 BGB entwickelten Grundsätze; die Ermittlung obliegt dem Gericht nach § 287 ZPO. Es können für die Bemessung die Kriterien des Art. 83 Abs. 2 DS-GVO herangezogen werden. Die Darlegungs- und Beweislast für den Eintritt eines Schadens trägt die Kl. Nach dem Wortlaut von Art. 82 Abs. 1 DS-GVO („wegen“) ist zudem ein Kausalzusammenhang zwischen der Verletzungshandlung bzw. dem Verstoß gegen die DS-GVO und dem geltend gemachten Schaden erforderlich, wobei eine Mitursächlichkeit ausreichend ist.

NEU LG Kaiserslautern Urt. v. 9.3.2023 – 2 O 352/22

0 EUR Die Voraussetzungen eines Anspruchs nach Art. 82 DS-GVO liegen bereits dem Grunde nach nicht vor. Der Kl. kann sich iRv Art. 82 DS-GVO nicht mit Erfolg auf einen Verstoß gegen Auskunfts- oder Informationspflichten (Art. 1534 DS-GVO) berufen. Vor diesem Hintergrund setzt der Anwendungsbereich des Art. 82 DS-GVO eine Verarbeitung von Daten voraus. Die Verletzung von Auskunfts- oder Informationspflichten kann einen Anspruch nach Art. 82 DS-GVO nicht begründen. Die Bekl. hat auch nicht gegen die sich aus Art. 32 DS-GVO ergebende Pflicht, die personenbezogenen Daten der Nutzer, inklusive des Kl., ausreichend zu schützen, verstoßen. Es ist auch nicht ersichtlich, dass dem Kl. durch den behaupteten Datenschutzverstoß ein Schaden iSd Art. 82 Abs. 1 DS-GVO entstanden ist. Zwar ist der Schadensbegriff des Art. 82 Abs. 1 DS-GVO weit auszulegen. Denn Schadensersatzforderungen sollen abschrecken und weitere Verstöße unattraktiv machen. Darüber hinaus sollen die betroffenen Personen einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden haben. Dabei wird vor allem die abschreckende Wirkung des Schadensersatzes betont, welche insb. durch seine Höhe erzielt werden soll. Nach den Erwägungsgründen Nr. 75 kann ein Nichtvermögensschaden durch Diskriminierung, Identitätsdiebstahl oder -betrug, Rufschädigung, Verluste der Vertraulichkeit von dem Berufsgeheimnis unterliegenden persönlichen Daten oder gesellschaftliche Nachteile eintreten. Ein genereller Ausschluss von Bagatellschäden ist im Lichte dieser Erwägungsgründe somit nicht vertretbar. Dies wird auch aus Art. 4 Abs. 3 AEUV abgeleitet, der die Mitgliedsstaaten dazu anhält, Verstöße wirksam mit Sanktionen zu belegen, denn nur so könne man eine effektive Durchsetzbarkeit des EU-Rechts und damit auch der DS-GVO erzielen. Allerdings ist es auch unter diesen Erwägungen zur Feststellung eines Schadens erforderlich, dass die behauptete Verletzungshandlung zu einer konkreten, nicht nur völlig unbedeutenden oder empfundenen Verletzung von Persönlichkeitsrechten der betroffenen Person geführt hat. Dem Betroffenen muss ein spürbarer Nachteil entstanden sein und es muss um eine objektiv nachvollziehbare, mit gewissem Gewicht erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen gehen. Die Annahme, dass der Kl. unter Furcht vor einem Kontrollverlust leidet, reicht zur Annahme eines Schadens iSd DS-GVO nicht aus. Der Kl. spricht allgemein von unerwünschten bzw. dem unerwünschten erhöhten Anfall von E-­Mails und Nachrichten. Unerwünschte E-­Mails und Anrufe erhalten gerichtsbekannt aber auch Personen, die keinen F.-Account haben und dort ihre Telefonnummer hinterlegt haben. Schließlich fehlt es vorliegend auch an einer Kausalität. Soweit der Kl. behauptet, er erhalte unerwünschte Anrufe, Nachrichten und E-­Mails, so handelt es sich insoweit ebenfalls um eine Erscheinung, die bereits mit der Nutzung des Internets als solcher zusammenhängt. Der Kammer ist insoweit aus eigener Anschauung bekannt, dass auch Personen ohne F.-Account unerwünschte Anrufe erhalten. Selbst wenn beim Kl. tatsächlich derartige Anrufe seit April 2021 zugenommen haben mögen, so kann dies vielerlei Ursachen haben. Es ist völlig unklar und unbekannt, ob und welche Daten der Kl. an anderer Stelle freigegeben hat und ob ein unberechtigter Datenzugriff an anderer Stelle zu diesem – zu Gunsten des Kl. als wahr unterstellten vermehrten unerwünschten E-­Mail und Anruf-Aufkommens – geführt hat. Das gleiche gilt für die Schilderungen des Kl. im Rahmen seiner informatorischen Anhörung, wonach ihm durch Dritte Payback-Punkte entwendet worden sein sollen.

NEU LG München I Endurt. v. 9.3.2023 – 4 O 6009/22

0 EUR Der Kl. hat gegen die Bekl. keinen Anspruch auf Zahlung eines Betrags iHv 5.100 EUR als Schadensersatz bzw. eines niedrigeren oder höheren Betrags aus demselben Rechtsgrund. Es fehlt jedenfalls an einem nachgewiesenen materiellen oder immateriellen Schaden des Kl. iSv Art. 82 DS-GVO. Für den Schadenseintritt ist der Kl. beweisbelastet. Unabhängig von diesen Erwägungen erachtet es das Gericht auch für äußerst unwahrscheinlich, dass alle Kunden der Bekl., die von dem Datenschutzvorfall betroffen waren, die genau gleichen Ängste hatten oder in gleicher Weise mit aus dem Vorfall resultierenden Problemen konfrontiert waren. Der identische Sachvortrag dazu dürfte eher auf einer Arbeitsökonomisierung der Prozessbevollmächtigten des Kl., die gerichtsbekannt zahlreiche Kl. gegen die Bekl. vertreten, beruhen. Zuletzt gab auch die im Termin für den Kl. anwesende Rechtsanwältin an, ihr seien über die vorgetragenen Beeinträchtigungen hinaus keine konkreten Beeinträchtigungen bekannt. Anzufügen ist noch, dass nach zutreffender Auffassung der bloße DS-GVO-Verstoß selber noch nicht zu einem Ersatzanspruch nach Art. 82 DS-GVO führt. Eine abweichende Auffassung würde den Begriff des Schadens sowie von „Schadensersatz“ in Art. 82 Abs. 1 DS-GVO ad absurdum führen. Auch reicht ein bloßer Kontrollverlust über Daten führt einen Ersatzanspruch nicht aus. Hingegen hat der Kl. Anspruch auf Feststellung der grundsätzlichen Ersatzpflicht für zukünftige Schäden, welche aus dem Datenschutzvorfall bei der Bekl. resultieren. Der entsprechende Anspruch ergibt sich aus Art. 82 DS-GVO. Die Bekl. ist Verantwortliche iSv Art. 82 Abs. 14 Nr. 7 DS-GVO, da sie Kundendaten iRd Anmeldeprozesses abfragt und in einem Datenarchiv abspeichert. Die Bekl. hat gegen Art. 32 Abs. 1 DS-GVO verstoßen. Das Verschulden der Bekl. ist ebenfalls gegeben, weil die Bekl. gehalten gewesen wäre, die Zugangsdaten nach Kündigung der Vertragsbeziehung mit der Fa. … zu verändern, was sie aber bewusst nicht getan hat. Die grundsätzliche Möglichkeit des Eintritts materieller Schäden besteht, da die Daten des Kl. noch immer „verloren“ sind und damit potenziell missbraucht werden könnten. Auch wenn der Datenabgriff bereits im Jahr 2020 stattfand, ist unter dem Gesichtspunkt „Das Internet vergisst nicht“ nicht ansatzweise ausgeschlossen, dass die personenbezogenen Daten des Kl., die über den Datenvorfall erlangt wurden, in Zukunft zu einem Schaden bei diesem führen. Der eingetretene Datenverlust betrifft einen nicht unerheblichen Bestandteil an personenbezogenen Daten des Kl. Für den Feststellungsantrag ist hingegen unerheblich, ob dem Kl. in einem etwaigen späteren Bezifferungsprozess tatsächlich der Nachweis gelingen würde, dass ihm entstandene Schäden gerade auf das Datenleck bei der Bekl. zurückzuführen sind.

LG Bonn Urt. v. 8.3.2023 – 17 O 165/22

0 EUR Entgegen der Auffassung der Bekl. ist der Klageantrag zu 1 hinreichend bestimmt iSd § 253 Abs. 2 Ziff. 2 ZPO. Unabhängig davon, ob der Anwendungsbereich des Art. 82 DS-GVO überhaupt eröffnet ist und ob bereits keine Pflichtverletzung iSd Art. 82 DS-GVO durch Verstoß gegen die Vorschriften der DS-GVO (insb. Art. 322425 Abs. 2333515 DS-GVO) vorliegt, fehlt es jedenfalls an einem ersatzfähigen Schaden des Kl. Für den immateriellen Schadensersatz gelten die im Zusammenhang mit § 253 BGB entwickelten Grundsätze, die Ermittlung obliegt daher dem Gericht nach § 287 ZPO. Für die Bemessung können die Kriterien des Art. 83 Abs. 2 DS-GVO herangezogen werden. Dies umfasst die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung, der Grad des Verschuldens, Maßnahmen zur Minderung des entstandenen Schadens sowie die Kategorien der betroffenen personenbezogenen Daten. Darüber hinaus ist zu berücksichtigen, dass die beabsichtigte abschreckende Wirkung für den Anspruchsverpflichteten nur durch empfindliche Schmerzensgelder erreicht werden kann. Ein genereller Ausschluss von Bagatellfällen ist damit nicht zu vereinbaren. Dies lässt sich auch aus Art. 4 Abs. 3 EUV herleiten, wonach die Mitgliedstaaten Verstöße angemessen sanktionieren sollen. Ferner ist auch nach dem Erwägungsgrund 146 S. 3 der Schaden weit auszulegen. Allerdings reicht ein bloßer Datenschutzverstoß als solcher nicht aus, um einen Schadensersatzanspruch zu begründen. Die Betroffenen sollen nach dem Erwägungsgrund 146 S. 6 einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten. Der Schaden muss daher spürbar, objektiv nachvollziehbar und von gewissem Gewicht sein, um bloße Unannehmlichkeiten oder Bagatellschäden auszuschließen. Verletzung und Schaden sind nicht gleichzusetzen. Zwar ist eine schwere Verletzung des Persönlichkeitsrechts nicht erforderlich, andererseits ist für einen Bagatellverstoß ohne ernsthafte Beeinträchtigung oder für jede bloß individuelle empfundene Unannehmlichkeit ein Schmerzensgeld nicht zu gewähren; vielmehr muss dem Betroffenen ein spürbarer Nachteil entstanden sein und es muss um eine objektiv nachvollziehbar, mit gewissem Gewicht erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen gehen. Als Beispiele nennt der Erwägungsgrund 75 zur DS-GVO Identitätsdiebstahl oder – betrug, finanziellen Verlust oder Rufschädigung; Erwägungsgrund 85 zur DS-GVO nennt daneben auch den Verlust der Kontrolle über personenbezogene Daten. Würde man jedes Unwohlsein und jede Sorge unter den Schadensbegriff fassen, so würde der Schadensbegriff überdehnt und eine ausufernde Haftung begründet. Ausschlaggebend ist mithin das ernsthafte Risiko eines Datenmissbrauchs. Dies zugrunde gelegt konnte das Gericht keine spürbare Beeinträchtigung von persönlichen Belangen des Kl. erkennen. Er hat eine solche nicht hinreichend dargelegt. Der Kl. trägt lediglich schriftsätzlich vor, er habe einen erheblichen Kontrollverlust über seine Daten erlitten und leide unter großem Unwohlsein und großer Sorge vor einem möglichen Missbrauch seiner Daten. Er erhalte unregelmäßig E-­Mails sowie regelmäßig Anrufe von unbekannten Telefonnummern und SMS-Benachrichtigungen mit dubiosen Aufforderungen zum Anklicken von unbekannten Links. Die Auswirkungen der Ängste, des Stresses, der Komfort- und Zeiteinbußen lägen darin, dass er sich mit dem Datenleak und der Herkunft der Daten habe auseinandersetzen müssen. Dies führe bei ihm zu dem Gefühl des Kontrollverlusts, des Beobachtetwerdens und der Hilflosigkeit. Er habe auch zusätzlich Zeit und Mühe aufgewendet, um sich vor drohendem (weiteren) Missbrauch zu schützen. Zunächst ist anzumerken, dass diese Ausführungen mit gleichem Wortlaut und Inhalt in einer Vielzahl weitere Verfahren vorgetragen werden. Diese formelhaft beschriebenen Ängste und Sorgen sowie das Unwohlsein haben sich zudem in der mündlichen Verhandlung nicht bestätigt. Der Kl. persönlich gehört hat in der mündlichen Verhandlung am 8.2.2023 lediglich angegeben, er habe vor dem Wechsel seiner Telefonnummer Werbeanrufe und SMS erhalten. Zudem erhalte ernach wie vor auch Spam-Mails. Dabei hat der Kl. selbst angegeben, er wisse nicht, ob dies in einem Zusammenhang mit dem Scraping-Vorfall stehe und hat erklärt, dass der Scraping-Vorfall für sich genommen auch nicht Anlass war, seine Handynummer zu wechseln. Zu einem Wechsel der Telefonnummer ist es nach den eigenen Angaben des Kl. lediglich gekommen, da der Kl. im Zuge eines Vertragswechsels, der aus Kostengründen erfolgte, sich auch zu einem Wechsel der Telefonnummer entschieden hat. Die pauschal und allgemein gehaltenen Erläuterungen des Kl. sind nicht ausreichend. Das von dem Kl. beschriebene Phänomen des Erhalts von Spam-Mails, unlauteren SMS und Werbeanrufen stellt ein allgemeines Lebensrisiko dar, dem auch Personen ausgesetzt sind, die Social-Media-Kanäle nicht nutzen. Es bleibt auch unklar, ob diese tatsächlich im Zusammenhang mit dem Scraping-Vorfall stehen. Es ist gerichtsbekannt, dass auch Inhaber von Mobilfunknummern, die niemals bei Facebook angemeldet waren, solche oder ähnliche Kontaktanfragen erhalten. IÜ ist ein geschärftes Bewusstsein beim Erhalt von SMS stets angezeigt. Zudem mag der Kl. mit seinem Vortrag, er habe einen Kontrollverlust erlitten nicht durchzudringen. Nach den eigenen Angaben des Kl. im Rahmen seiner persönlichen Anhörung sind lediglich seine Telefonnummer und E-­Mail-Adresse öffentlich gestellt worden. Dabei handelt es sich nicht um besonders sensible Daten. Sowohl die E-­Mail-Adresse als auch die Telefonnummer kann man wechseln und auch ein Identitätsmissbrauch aus dem Bekanntwerden der Telefonnummer erscheint äußerst unwahrscheinlich. IÜ war auch die Eingabe der Telefonnummer freiwillig. Unglaubhaft sind vor dem Hintergrund des Ergebnisses der persönlichen Anhörung des Kl. ferner dessen schriftsätzlichen Ausführungen, er sei voller Sorge und habe Angst. Nach den Konsequenzen und Beeinträchtigungen durch den Scraping-Vorfall befragt, hat der Kl. lediglich angegeben, mit ungewollten SMS, E-­Mails und Werbeanrufen konfrontiert gewesen zu sein. Das Auftreten von Ängsten und Sorgen hat der Kl. nicht geschildert. Zudem war der Kl. bis zum Schluss der mündlichen Verhandlung am 8.2.2023 bei Facebook angemeldet, wenngleich er Änderungen an seinen Profileinstellungen vorgenommen haben mag und hat zudem erklärt, neben Facebook auch die Socialmedia-Plattform Instagram zu nutzen. Schließlich ist nicht ersichtlich, dass der Kl. irgendwelche Komfort- und Zeiteinbußen im Zusammenhang mit dem Scraping-Vorfall erlitten hat. Er hat geschildert, er habe ein You-Tube-Video seiner Prozessbevollmächtigten über den Scraping-Vorfall gesehen und sodann ein Formular auf einer Internetseite genutzt, um zu prüfen, ob die eigene Nummer betroffen sei. Dies sei der Fall gewesen. Im Anschluss hätte er sodann seine Prozessbevollmächtigten mit der Klageerhebung beauftragt. Eine Vorlagepflicht nach Art. 267 AEUV bestand nicht. Nur anzumerken ist an dieser Stelle, dass es darüber hinaus auch an der erforderlichen Kausalität fehlt. Insoweit ist auf die Ausführungen in dem Urt. des LG Essen v. 10.11.2022 (Az. 6 O 111/22) hinzuweisen. Der Kl. selbst hat angegeben, nicht zu wissen, ob die vor Wechsel der Telefonnummer erhaltenen SMS und Werberufe sowie die nach wie vor bei ihm eingehenden Werbe-Emails auf den Scraping-Vorfall zurückzuführen seien. Mangels Vorliegens eines Schadens ist auch der Feststellungsantrag des Kl. unbegründet.

LG Detmold Urt. v. 7.3.2023 – 02 O 67/22

0 EUR Dem Kl. steht gegen die Bekl. kein Schmerzensgeldanspruch zu. Ein Anspruch aus Art. 82 Abs. 1 DS-GVO kommt nicht in Betracht. Es liegt kein Verstoß gegen Art. 5 Abs. 1 lit. f DS-GVO vor, da die Bekl. nicht gegen die sie treffende Obliegenheit, personenbezogene Daten vor unbefugter oder unrechtmäßiger Verarbeitung zu schützen, verstoßen hat. Ein Verstoß gegen Art. 2432 DS-GVO liegt gleichermaßen nicht vor. Nach Auffassung der Kammer liegt auch kein Verstoß gegen Art. 25 DS-GVO vor. Soweit der Kl. der Bekl. weitere Verstöße gegen die DS-GVO vorwirft, nämlich ungenügende Information und Aufklärung über die Verarbeitung der ihn betreffenden Daten durch ungenügende Aufklärung zur Verwendung und Geheimhaltung der Telefonnummer (Art. 5 Abs. 1 lit. a, unmittelbaren Verstoß gegen Art. 1314 DS-GVO, die konkrete Informationspflichten enthalten, die seitens der Bekl. nicht eingehalten worden seien, unvollständige Auskunftserteilung nach Art. 15 DS-GVO, da nicht mitgeteilt worden sei, welchen Empfängern seine Daten zugänglich gemacht worden seien (Art. 3334 DS-GVO) sind solche Verstöße bereits nicht vom Schutzzweck des Art. 82 DS-GVO umfasst. Art. 82 Abs. 1 DS-GVO erfasst nur solche Pflichtverstöße, die iRe „Verarbeitung“ geschehen, was sich aus dem Wortlaut des Art. 82 Abs. 2 DS-GVO ergibt („durch eine nicht dieser Verordnung entsprechende Verarbeitung“). Datenverarbeitung bezeichnet jedoch nur jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgehensreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. Art. 5 Abs. 1 lit. a, 131415 DS-GVO begründen Informationspflichten ggü. betroffenen Personen. Auch Art. 3334 DS-GVO begründen eine Pflicht zur Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde (Art. 33 DS-GVO) bzw. die Pflicht zur Benachrichtigung der betroffenen Person (Art. 34 DS-GVO). Die Erteilung von Informationen über die Verarbeitung personenbezogener Daten, die Benachrichtigung über eine Verletzung des Schutzes personenbezogener Daten ggü. Nutzern und die Erteilung einer beantragten Auskunft stellen jedoch keine Verarbeitungen iSv Art. 4 Ziff. 2 DS-GVO dar, sodass sich aus ihrer etwaigen Verletzung kein Anspruch aus Art. 82 Abs. 1 DS-GVO ableiten lässt. IÜ scheitert ein etwaiger Schadensersatzanspruch des Kl. auch am Fehlen eines Schadens iSv Art. 82 Abs. 1 DS-GVO. Anders als der Kl. meint, genügt nicht allein der Verstoß gegen die DS-GVO, um einen Ausgleich / eine Kompensation verlangen zu können. Das widerspricht dem Schadensrecht, unabhängig vom Wortlaut des Art. 82 Abs. 1 DS-GVO. Ein Schadens- und auch Schmerzensgeldanspruch setzt stets einen immateriellen oder materiellen Schaden voraus. Dies lässt sich nach Auffassung der Kammer auch dem Wortlaut des Art. 82 Abs. 1 DS-GVO entnehmen, wonach (1) ein Verstoß gegen diese Verordnung (DS-GVO) nötig ist, der (2) zu einem materiellen oder immateriellen Schaden geführt haben muss. Die – hier nicht feststellbare – Verletzungshandlung muss in jedem Fall zu einer konkreten, nicht nur völlig unbedeutenden oder empfundenen Verletzung von Persönlichkeitsrechen der betroffenen Person geführt haben. Allein der Kontrollverlust des Kl. über seine Daten stellt keinen Schaden dar. Seine Sorge oder Angst um die verwendeten Daten und die Befürchtung, Opfer von Betrugsfällen zu werden, kann zwar nicht gemessen werden, ist hierfür jedoch noch nicht ausreichend. Immerhin darf nicht außer Acht gelassen werden, dass jedenfalls Name, Facebook-ID und Geschlecht von ihm öffentlich bekanntgegeben wurden und damit bereits nicht mehr unter seiner ausschließlichen Kontrolle standen. Letztlich ist also insoweit überhaupt nicht mehr bekannt geworden als das, was von ihm selbst bereits im Internet veröffentlich wurde. Dass der Kl. insoweit keine über ein bloßes Unwohlsein gesteigerten Einschränkungen und Sorgen hinnehmen musste, zeigt auch der Umstand, dass er im Rahmen seiner Anhörung erklärt hat, noch immer bei „Facebook“ angemeldet zu sein. In Bezug auf die bekannt gewordene Telefonnummer mag ein gewisser Kontrollverlust vorliegen. Ob und inwieweit jedoch der Kontrolle über die Telefonnummer überhaupt ein Wert zukommt, mag bezweifelt werden. IÜ reicht ein Schadensersatzanspruch für ein bloßes Unmutsgefühl nach Auffassung der Kammer zu weit. Dass die vom Kl. vorgelegten SMS tatsächlich auf das Bekanntwerden seiner Telefonnummer zurückzuführen sind, ist nicht ersichtlich. Gleiches gilt für die von ihm dargestellten Telefonanrufe. Es ist bekannt, dass unerwünschte E-­Mails und Anrufe auch Personen erhalten, die keinen Facebook-Account haben und dort ihre Telefonnummer hinterlegt haben.

LG Berlin Urt. v. 7.3.2023 – 13 O 79/22

0 EUR Hinsichtlich des Antrags zu 1) war der dort als Mindestsatz begehrte Zahlbetrag in Ansatz zu bringen. Die Kl. hat keinen Anspruch auf Zahlung eines immateriellen Schadensersatzes. Dies gilt sowohl für Ansprüche gem. Art. 82 Abs. 12 DS-GVO als auch nach einer anderen denkbaren Anspruchsgrundlage. Dementsprechend ist auch der Zinsantrag unbegründet. Art. 82 Abs. 1 DS-GVO bestimmt, dass jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, einen Anspruch auf Schadensersatz gegen den Verantwortlichen hat. Abs. 2 S. 1 konkretisiert dies dahin, dass jeder an einer Verarbeitung beteiligte Verantwortliche für den Schaden haftet, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. Indes liegen diese Voraussetzungen hinsichtlich der von der Kl. gerügten Verstöße der Bekl. gegen die Vorgaben der DS- GVO nicht vor. Im Einzelnen: Soweit die Kl. den Anspruch aus Art. 82 Abs. 12 DS-GVO auf eine Verletzung von Art. 3224 DS-GVO stützt, fehlt es bereits an einem Verstoß der Bekl. gegen die diesbezüglichen Vorgaben des DS-GVO. Auch ein Verstoß gegen die Transparenzpflichten aus Art. 5 Abs. 1 lit. a, 1314 DS-GVO fällt der Bekl. nicht zur Last. Einen Schadensersatzanspruch kann die Kl. auch nicht auf den von ihr behaupteten Verstoß der Bekl. gegen die Vorgaben der Art. 33 (Meldung an die Aufsichtsbehörde), Art. 34 (Information der Kl.) sowie Art. 15 (Auskunftserteilung) DS-GVO stützen. Dabei kann dahinstehen, ob die Bekl. gegen diese Vorschriften verstoßen hat. Denn die Kl. legt bereits nicht da, dass ihr auf Grund einer unterstellten Verletzung ein kausaler Schaden entstanden sein kann. Das Merkmal des immateriellen Schadens ist autonom auszulegen. Erwägungsgrund 146 S. 3 zur DS-GVO sieht vor, dass der Begriff des Schadens im Lichte der Rspr. des EuGH weit auf eine Art und Weise ausgelegt werden soll, die den Zielen dieser Verordnung in vollem Umfang entspricht. Erwägungsgrund 75 zur DS-GVO nennt etwa Identitätsdiebstahl oder -betrug, finanzielle Verluste, Rufschädigung oder den Verlust der Kontrolle personenbezogener Daten. Ein nationales Verständnis zum Begriff des Schadens – etwa eine enge Auslegung – ist mithin nicht angezeigt. Dabei ist davon auszugehen, dass der Schaden im Sinn des Art. 82 Abs. 1 DS-GVO nicht bereits in der Verletzung der DS-GVO als solcher liegt, sondern vielmehr ein auf einem Verstoß gegen die DS-GVO beruhender Schaden darzulegen ist. Das Erfordernis eines zusätzlich zum Verstoß gegen die DS-GVO eintretenden Schadens folgt dabei bereits aus dem Wortlaut des Art. 82 Abs. 1 DS-GVO, der davon spricht, dass jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz hat. Die Regelung setzt damit voraus, dass es auch Verstöße geben kann, die nicht in einem Schaden resultieren, und lässt somit erkennen, dass es – unbeschadet des Umstands, dass auch Bagatellschäden erfasst werden – gerade keinen Gleichklang zwischen einem Verstoß gegen die DS-GVO und dem immateriellen Schaden gibt. Darlegungs- und beweisbelastet ist die Klägerseite. Nach diesem Maßstab ist im vorliegenden Fall logisch ausgeschlossen, dass der von der Kl. behauptete Schaden durch die unterstellte Verletzung der Vorgaben der Art. 3334 und 15 DS-GVO durch die Bekl. hervorgerufen worden ist. Die Kl. macht geltend, sie habe durch das Scraping und die Veröffentlichung der Daten einen erheblichen Kontrollverlust über ihre Daten erlitten und sei in einem Zustand großen Unwohlseins und großer Sorge über möglichen Missbrauch ihrer sie betreffenden Daten verblieben. Dies manifestiere sich u. a. in einem verstärkten Misstrauen bzgl. E-­Mails und Anrufen von unbekannten Nummern und Adressen. Sie erhalte seit dem Vorfall unregelmäßig unbekannte Kontaktversuche via SMS und E-­Mail und habe Stress, Komfort- und Zeiteinbußen erlitten. Der Vorfall habe zu einem Gefühl des Kontrollverlustes, des Beobachtetwerdens und der Hilfslosigkeit, mithin einem überschattenden Gefühl der Angst geführt. Diese hier zugunsten der Kl. zu unterstellenden Beeinträchtigungen können nicht durch Verstöße gegen die vorgenannten Normen verursacht worden sein, sondern allenfalls durch den Scraping-Vorfall an sich. Auf diesen konnten die hypothetischen Verstöße aber keinen Einfluss entfalten. Im Einzelnen: Ob die Bekl. ihre Meldepflicht an die Aufsichtsbehörde (vgl. Art. 33 DS-GVO) erfüllt oder nicht vermag nichts an dem Umstand zu ändern, dass die Daten der Kl. bereits abgegriffen worden sind und ins Darknet eingestellt werden konnten. Mithin kann der Umgang der Bekl. mit der Meldeverpflichtung auch keine Rolle für die von der Kl. behaupteten immateriellen Beeinträchtigungen haben. Nichts anderes gilt für die Information der Kl. über den Vorfall (vgl. Art. 34 DS-GVO). Wäre die Kl. noch früher oder umfassender informiert worden als mit dem Schreiben geschehen, hätte dies an dem Scraping-Vorfall und den zu unterstellenden eingetretenen Beeinträchtigungen nichts zugunsten der Kl. geändert – allenfalls wären bei einer früheren Information diese Umstände bei der Kl. zu einem noch früheren Zeitpunkt eingetreten, was das Ausmaß der Beeinträchtigung in zeitlicher Hinsicht sogar noch vertieft hätte. Entsprechendes gilt schließlich auch für die unterstellte Verletzung der Auskunftspflicht (vgl. Art. 15 DS-GVO) in Bezug auf das Auskunftsersuchen der Kl. v. 18.2.2022. Auch diese konnte schon in zeitlicher Hinsicht nicht für den Scrapingvorfall und mithin die behaupteten dadurch verursachten Beeinträchtigungen der Kl. kausal werden. Ob die Bekl. gegen die Vorgaben des Art. 25 DS-GVO verstößt, kann dahinstehen. Denn selbst ein unterstellter Verstoß führt nicht zu einem Schadensersatzanspruch nach Art. 82 DS-GVO. Allein aus einem Verstoß gegen Art. 25 DS-GVO kann wegen seines organisatorischen Charakters ein Anspruch nach Art. 82 Abs. 1 DS-GVO nicht begründet werden. Die Vorschrift entfaltet bereits vor dem eigentlichen Beginn der Datenverarbeitung ihren Regelungscharakter. Zu diesem, einer tatsächlichen Datenverarbeitung vorgelagerten Zeitpunkt entfaltet die DS-GVO jedoch nach Art. 2 Abs. 1 DS-GVO noch keine Wirkung. Die Anwendbarkeit der DS-GVO setzt vielmehr eine tatsächliche Verarbeitung personenbezogener Daten voraus. Ein Anspruch aus Art. 82 DS-GVO kommt daher nur in Betracht, wenn weitere Verstöße gegen die DS-GVO vorliegen. Das ist hier indes, wie vorstehend ausgeführt, gerade nicht der Fall. Der Feststellungsantrag ist entsprechend den vorstehenden Ausführungen unbegründet. Soweit die Vorschriften der Art. 3224513 und 14 DS-GVO betroffen sind, fällt der Bekl. kein Verstoß gegen die DS-GVO zur Last. Ein etwaiger Verstoß gegen Art. 25 DS-GVO ist nicht ohne Weiteres geeignet, einen Schadensersatzanspruch nach Art. 82 DS-GVO zu begründen. Hinsichtlich eines etwaigen Verstoßes gegen die Vorschriften der Art. 3334 und 15 DS-GVO hat die Kl. einen möglichen hierauf beruhenden Schaden nicht dargelegt.

LG Münster Urt. v. 7.3.2023 – 02 O 54/22 = ZD 2023, 689

0 EUR Der Klageantrag zu 1 ist hinreichend bestimmt. Dem Kl. steht kein Anspruch auf immateriellen Schadensersatz aus Art. 82 DS-GVO zu. Es fehlt an einer schadenersatzauslösenden Pflichtverletzung der Bekl. iSd DS-GVO. Soweit der Kl. der Bekl. mehrere Verstöße vorwirft, nämlich ungenügende Information und Aufklärung über die Verarbeitung der sie betreffenden Daten durch ungenügende Aufklärung zur Verwendung und Geheimhaltung der Telefonnummer (Art. 5 Abs. 1 lit. a DS-GVO), einen unmittelbaren Verstoß gegen Art. 1314 DS-GVO, die konkrete Informationspflichten enthielten, die seitens der Bekl. nicht eingehalten worden seien, einen ungenügenden Schutz der personenbezogenen Daten der Nutzer von F. (Art. 2432 DS-GVO), eine unvollständige Auskunftserteilung nach Art. 15 DS-GVO, da nicht mitgeteilt worden sei, welchen Empfängern die Daten des Kl.- durch Ausnutzung des Kontakt-Import Tools zugänglich gemacht worden seien (Art. 3334 DS-GVO), sind solche Verstöße schon nicht vom Schutzzweck des Art. 82 DS-GVO umfasst. Es kann daher auch offenbleiben – wenngleich hierfür sehr viel spricht –, ob sich der Kl. iRd Geltung der DS-GVO ein anspruchsausschließendes Mitverschulden gem. § 254 Abs. 2 BGB analog entgegenhalten lassen muss. Der Anwendungsbereich der DS-GVO ist eröffnet. Der sachliche Anwendungsbereich des Art. 82 DS-GVO ist zunächst bezogen auf die Geltendmachung behaupteter verspäteter Auskunftsansprüche gem. Art. 15 DS-GVO und Art. 34 DS-GVO nicht eröffnet. Der Schutzbereich des Art. 82 DS-GVO umfasst ebenso wenig Verstöße gegen Art. 34 DS-GVO. Schließlich lässt sich auch von vornherein aus Art. 24 und 25 DS-GVO kein subjektives Recht herleiten. Daher kann auch offenbleiben, ob Verstöße etwa gegen Art. 1314 und 34 DS-GVO durch die Bekl. erfolgten, da auch sie nicht unter den Schutzbereich des Art. 82 DS-GVO fallen, weil auch sie „lediglich“ Informationspflichten über die Verarbeitung enthalten, nicht aber die Verarbeitung als solche zum Gegenstand haben. Unabhängig von den vorstehenden Ausführungen unter 1.1 fehlt es aber ohnehin an entsprechenden Pflichtverstößen der Bekl. gegen Normen der DS-GVO, wenn man den Anwendungsbereich für eröffnet erachten sollte. Es ist kein Verstoß gegen Art. 5 Abs. 1 DS-GVO gegeben, weil es auch bei Informationspflichten der Rücksichtname auf den Grundsatz des Art. 5 Abs. 1 DS-GVO bedarf. Es ist kein Verstoß der Bekl. gegen ihre Pflicht, die personenbezogenen Daten der Nutzer, inklusive der des Kl., ausreichend gem. Art. 32 DS-GVO zu schützen, festzustellen. Es ist kein Verstoß der Bekl. gegen das in Art. 2425 Abs. 2 DS-GVO verankerte Prinzip „Privacy by default“ gegeben. Die Bekl. hat ihre Pflicht gem. Art. 33 DS-GVO, der zuständigen Aufsichtsbehörde den Datenschutzverstoß zu melden, nicht verletzt. Es ist kein Verstoß gegen Art. 35 DS-GVO gegeben mit der Behauptung, die Bekl. habe keine Datenschutz-Folgeabschätzung im Sinne dieser Vorschrift durchgeführt. Die Bekl. hat auch nicht gegen Art. 15 DS-GVO verstoßen, indem sie dem Kl. keine bzw. unvollständige Auskünfte erteilt hat. Unabhängig von den vorstehenden Ausführungen fehlt es (auch) an einem ersatzfähigen Schaden des Kl. iSd Art. 82 Abs. 1 DS-GVO. Für den immateriellen Schadensersatz gelten dabei die iRv § 253 BGB entwickelten Grundsätze; die Ermittlung obliegt dem Gericht nach § 287 ZPO. Für die Bemessung können die Kriterien des Art. 83 Abs. 2 DS-GVO herangezogen werden, zB die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie die betroffenen Kategorien personenbezogener Daten. Zu berücksichtigen ist auch, dass die beabsichtigte abschreckende Wirkung nur durch für den Anspruchsverpflichtenden empfindliche Schmerzensgelder erreicht wird, insb. wenn eine Kommerzialisierung fehlt. Ein genereller Ausschluss von Bagatellfällen ist damit nicht zu vereinbaren. Die Pflicht zur Erstattung immaterieller Schäden ist daher nicht nur auf schwere Schäden beschränkt. Nach den Erwägungsgründen der Europäischen Grundrechtscharta ist der Schadensbegriff weit auszulegen (s. Erwägungsgrund 146, auch wenn er in der DS-GVO nicht näher definiert wird). Schadenersatzforderungen sollen abschrecken und weitere Verstöße unattraktiv machen. Darüber hinaus sollen die betroffenen Personen einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden haben. Dabei wird vor allem die abschreckende Wirkung des Schadensersatzes betont, welche insb durch seine Höhe erzielt werden soll. Nach den Erwägungsgründen Ziff. 75 kann ein Nichtvermögensschaden durch Diskriminierung, Identitätsdiebstahl oder -betrug, Rufschädigung, Verluste der Vertraulichkeit von dem Berufsgeheimnis unterliegenden persönlichen Daten oder gesellschaftliche Nachteile eintreten. Ein genereller Ausschluss von Bagatellschäden ist im Lichte dieser Erwägungsgründe nicht vertretbar. Dies wird auch aus Art. 4 Abs. 3 AEUV abgeleitet, der die Mitgliedsstaaten dazu anhält, Verstöße wirksam mit Sanktionen zu belegen, denn nur so könne man eine effektive Durchsetzbarkeit des EU-Rechts und damit auch der DS-GVO erzielen. Allein eine Verletzung des Datenschutzrechts als solche begründet allerdings nicht bereits für sich gesehen einen Schadensersatzanspruch für betroffene Personen. Die Verletzungshandlung muss in jedem Fall auch zu einer konkreten, nicht nur völlig unbedeutenden oder empfundenen Verletzung von Persönlichkeitsrechten der betroffenen Personen geführt haben. Verletzung und Schaden sind nicht gleichzusetzen. Einerseits ist zwar eine schwere Verletzung des Persönlichkeitsrechts nicht (mehr) erforderlich, andererseits ist auch weiterhin nicht für einen Bagatellverstoß ohne ernsthafte Beeinträchtigung bzw. für jede bloß individuelle empfundene Unannehmlichkeit ein Schmerzensgeld zu gewähren. Dem Betroffenen muss vielmehr ein spürbarer Nachteil entstanden sein und es muss um eine objektiv nachvollziehbare, mit gewissem Gewicht erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen gehen. Der Schaden ist zwar weit zu verstehen, er muss jedoch auch wirklich „erlitten“ (Erwägungsgrund 146 S. 6), d. h. „spürbar“, objektiv nachvollziehbar und von gewissem Gewicht sein, um bloße Unannehmlichkeiten oder Bagatellschäden auszuschließen. Unter Anwendung dieser Maßstäbe hat der Kl. schon keine spürbare Beeinträchtigung von persönlichen Belangen, die durch Datenverlust hervorgerufen worden ist, dargelegt. Der Kl. trägt vor, einen erheblichen Kontrollverlust über seine Daten erlitten und Sorge vor Missbrauch seiner Daten zu haben. Seit dem Scraping-Vorfall 2019 und Veröffentlichung im April 2021 sei es zu einem Anstieg von SMS und Mails gekommen. Dies genügt nicht, um einen Schaden iSd DS-GVO zu bejahen. Der Kl. spricht lediglich allgemein von unerwünschten bzw. dem unerwünschten erhöhten Anfall von E-­Mails und Nachrichten. Unerwünschte E-­Mails und Anrufe erhalten gerichtsbekannt aber auch Personen, die keinen Facebook-Account haben und dort ihre Telefonnummer hinterlegt haben. Hierbei hat das Gericht auch berücksichtigt, dass die Möglichkeit besteht, eine Telefonnummer zu wechseln. Dass aus dem Bekanntwerden einer Telefonnummer ein Identitätsmissbrauch entstehen kann, ist eher unwahrscheinlich. Bei anderer Sichtweise genügte der konkrete Nachweis einer möglichen Betroffenheit, um eine Haftung zu begründen. Dies käme einer reinen Gefährdungshaftung gleich, was letztlich auch dem Erwägungsgrund 75 widerspräche. Es fehlt jedenfalls auch an einer Kausalität etwaiger – hier nicht festzustellender – Verstöße der Bekl. gegen die DS-GVO für einen – hier nicht festzustellenden – Schaden. Soweit der Kl. behauptet, er erhalte unerwünschte SMS und E-­Mails, so handelt es sich um eine Erscheinung, die bereits mit der Nutzung des Internets als solcher zusammenhängt. Dem Gericht ist aus eigener Anschauung bekannt, dass auch Personen ohne Facebook-Account unerwünschte Anrufe oder Nachrichten erhalten. Selbst wenn beim Kl. tatsächlich derartige Anrufe seit April 2021 zugenommen haben mögen, so kann dies vielerlei Ursachen haben. Es ist völlig unklar und unbekannt, ob und welche Daten der Kl. an anderer Stelle freigegeben hat und ob ein unberechtigter Datenzugriff an anderer Stelle zu dem vom Kl. behaupteten vermehrten unerwünschten Nachrichtenaufkommen geführt hat. Mangels Anspruch dem Grunde nach sind auch vertiefte Ausführungen zur Höhe des geltend gemachten Schadensersatzanspruchs entbehrlich. Zuzugestehen mag dem Kl. wegen des präventiven und sanktionellen Charakters des Schmerzensgeldanspruchs aus der DS-GVO sein, dass ein Schmerzensgeld iHv 1.000 EUR bei einem Verstoß nicht fernliegend wäre. Dies deckt sich auch mit dem europarechtlich weit gefassten Schadenbegriff, der nur bei einer entsprechenden Weite seiner intendierten Abschreckungswirkung gerecht werden kann. Es ist jedoch anzumerken, dass sich der Kammer mangels entsprechender Ausführungen schon nicht erschließt, warum außergerichtlich ein Schmerzensgeld iHv 500 EUR begehrt wurde und nunmehr bei gleichbleibender Argumentation im gerichtlichen Verfahren 1.000 EUR begehrt werden.

LG Osnabrück Urt. v. 3.3.2023 – 11 O 834/22

0 EUR Der Klageantrag zu 1 ist hinreichend bestimmt (§ 253 Abs. 2 Ziff. 2 ZPO). Unabhängig von einem etwaigen Verstoß gegen Vorschriften der DS-GVO, fehlt es jedenfalls am Eintritt eines immateriellen Schadens. Nach Art. 82 Abs. 1 DS-GVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Die Frage, ob bereits der Datenschutzverstoß als solcher für das Entstehen eines Schadensersatzanspruchs ausreicht oder es darüber hinaus der Darlegung und des Nachweises eines konkreten (auch: immateriellen) Schadens bedarf, ist in Rspr. und Lit. umstritten. Die Kammer folgt der Auffassung, wonach über den festgestellten Verstoß gegen die Vorschriften des DS-GVO hinaus Voraussetzung für eine Entschädigung in Geld der Nachweis eines konkreten (auch immateriellen) Schadens ist. Hierfür spricht zunächst bereits der Wortlaut von Art. 82 Abs. 1 DS-GVO, der über den Verstoß hinaus ausdrücklich die Entstehung eines Schadens („…Schaden entstanden ist“) voraussetzt. Hätte der Verordnungsgeber eine nur an den Rechtsverstoß anknüpfende, vom Nachweis eines konkreten Schadens unabhängige Zahlungspflicht anordnen wollen, hätte es demgegenüber nahegelegen, dies – wie zB im Luftverkehrsrecht gem. Art. 7 Abs. 1 FluggastrechteVO (EG) 261/2004 – durch Pauschalen zu regeln. In dem Erwägungsgrund 146 S. 3 zur DS-GVO heißt es zwar, dass der Begriff des Schadens im Lichte der Rspr. des Gerichtshofs weit auf eine Art und Weise ausgelegt werden soll, die den Zielen der Verordnung in vollem Umfang entspricht. Der Anspruch soll nach Erwägungsgrund 146 S. 6 sicherstellen, dass die betroffenen Personen einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten. Das schließt ein, dass Schadensersatzforderungen abschrecken und weitere Verstöße unattraktiv machen sollen. Der Begriff des Schadens in Art. 82 DS-GVO ist autonom auszulegen, mithin kommt es nicht darauf an, ob ein bestimmter Schaden nach nationalem Recht als Schaden angesehen werden könnte. Auch hiernach ist der Schaden jedoch nicht mit der zugrundeliegenden Rechtsgutsverletzung gleichzusetzen. Denn ausdrücklich muss der Schaden „erlitten“ werden, woraus folgt, dass dieser tatsächlich entstanden sein muss und nicht lediglich befürchtet wird. Der bloße Verstoß gegen Bestimmungen der DS-GVO reicht daher nicht aus. Das Erfordernis des Nachweises eines tatsächlich erlittenen Schadens ist auch der Sache nach erforderlich, um ein vom Verordnungsgeber nicht gewolltes Ausufern von Schadensersatzforderungen in allen Fällen eines – tatsächlich für den Betroffenen folgenlosen – Datenschutzverstoßes zu vermeiden. Auch der Generalanwalt beim EuGH legt Art. 82 Abs. 1 DS-GVO dahin aus, dass eine Auslegung, die den Begriff „Verstoß“ automatisch, ohne Erfordernis eines Schadens, mit dem Begriff „Ausgleich“ in Verbindung bringe, nicht mit dem Wortlaut von Art. 82 der DS-GVO im Einklang stehe. Es könne nicht bereits aus einem Verstoß gegen die DS-GVO, der zu einem Kontrollverlust über Daten geführt habe, auf einen ersatzfähigen Schaden geschlossen werden. Die DS-GVO sehe zudem keinen Strafschadensersatz vor, der ggf. unabhängig von einem konkret erlittenen Schaden als Sanktion für einen festgestellten Datenschutzverstoß zugesprochen werden könne. Der in Art. 82 Abs. 1 der DS-GVO vorgesehene Anspruch auf Schadensersatz sei nicht das geeignete Instrument, um gegen Verstöße bei der Verarbeitung personenbezogener Daten vorzugehen, wenn sie bei der betroffenen Person lediglich zu Zorn oder Ärger führten. Im Allgemeinen werde jeder Verstoß gegen eine Norm über den Schutz personenbezogener Daten zu einer negativen Reaktion der betroffenen Person führen. Ein Schadensersatz, der sich aus einem bloßen Unmutsgefühl wegen der Nichtbeachtung des Rechts durch einen anderen ergäbe, würde letztlich zur Zuerkennung eines nach dem System der DS-GVO gerade nicht vorgesehenen Schadensersatzes ohne Schaden führen. Für den – hier geltend gemachten – immateriellen Schadensersatz gelten dabei die iRv § 253 BGB entwickelten Grundsätze; die Ermittlung obliegt dem Gericht nach § 287 ZPO. Es können für die Bemessung die Kriterien des Art. 83 Abs. 2 DS-GVO herangezogen werden, zB die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie die betroffenen Kategorien personenbezogener Daten. Zu berücksichtigen ist auch, dass die beabsichtigte abschreckende Wirkung nur durch für den Anspruchsverpflichtenden empfindliche Schmerzensgelder erreicht wird, insb. wenn eine Kommerzialisierung fehlt. Ein genereller Ausschluss von Bagatellfällen ist damit nicht zu vereinbaren. Die Pflicht zur Erstattung immaterieller Schäden ist daher nicht nur auf schwere Schäden beschränkt. Nach den Erwägungsgründen der europäischen Grundrechtscharta ist der Schadensbegriff weit auszulegen (s. Erwägungsgrund 146). Schadenersatzforderungen sollen abschrecken und weitere Verstöße unattraktiv machen. Darüber hinaus sollen die betroffenen Personen einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden haben. Dabei wird vor allem die abschreckende Wirkung des Schadensersatzes betont, welche insb. durch seine Höhe erzielt werden soll. Nach dem Erwägungsgrund 75 kann ein Nichtvermögensschaden durch Diskriminierung, Identitätsdiebstahl oder -betrug, Rufschädigung, Verluste der Vertraulichkeit von dem Berufsgeheimnis unterliegenden persönlichen Daten oder gesellschaftliche Nachteile eintreten. Ein genereller Ausschluss von Bagatellschäden ist im Lichte dieser Erwägungsgründe nicht vertretbar. Dies wird auch aus Art. 4 Abs. 3 AEUV abgeleitet, der die Mitgliedsstaaten dazu anhält, Verstöße wirksam mit Sanktionen zu belegen, denn nur so könne man eine effektive Durchsetzbarkeit des EU-Rechts und damit auch der DS-GVO erzielen. Demgegenüber begründet – wie bereits ausgeführt – allein eine Verletzung des Datenschutzrechts als solche nicht bereits für sich gesehen einen Schadensersatzanspruch für betroffene Personen. Die Verletzungshandlung muss in jedem Fall auch zu einer konkreten, nicht nur völlig unbedeutenden oder empfundenen Verletzung von Persönlichkeitsrechten der betroffenen Personen geführt haben. Es ist zwar eine schwere Verletzung des Persönlichkeitsrechts nicht (mehr) erforderlich. Andererseits ist auch weiterhin nicht für einen Verstoß ohne ernsthafte Beeinträchtigung bzw. für jede bloß individuelle empfundene Unannehmlichkeit ein Schmerzensgeld zu gewähren; vielmehr muss dem Betroffenen ein spürbarer Nachteil entstanden sein und es muss um eine objektiv nachvollziehbare, mit gewissem Gewicht erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen gehen. In den Erwägungsgründen Ziff. 75 und 85 werden einige mögliche Schäden aufgezählt, darunter unter den bereits genannten Kategorien des Identitätsdiebstahls und der Rufschädigung, auch finanzielle Verluste, der Verlust der Kontrolle über die eigenen Daten sowie die Erstellung unzulässiger Persönlichkeitsprofile. Zudem nennt Erwägungsgrund 75 auch die bloße Verarbeitung einer großen Menge personenbezogener Daten einer großen Anzahl von Personen. Der Schaden ist zwar weit zu verstehen, er muss jedoch auch wirklich „erlitten“ (Erwägungsgrund 146 S. 6), das heißt „spürbar“, objektiv nachvollziehbar, von gewissem Gewicht sein, um bloße Unannehmlichkeiten auszuschließen. Gemessen an diesen Grundsätzen hat der Kl. schon keine spürbare Beeinträchtigung – hervorgerufen durch Datenverlust – von persönlichen Belangen dargelegt. Der Kl. trägt vor, einen erheblichen Kontrollverlust über seine Daten erlitten und Sorge vor dem Missbrauch seiner Daten zu haben. Seit dem Scraping-Vorfall 2019 und Veröffentlichung im April 2021 auf der eingangs benannten Seite sei es zu einem Anstieg von SMS und E-­Mails gekommen. Insoweit ist zunächst festzuhalten, dass alle Daten mit Ausnahme der Handynummer aus dem öffentlichen Profil des Kl. „abgelesen“ wurden. Der Kl. hat diese Daten also bereitwillig selbst auf der Plattform eingetragen. Ein Identitätsdiebstahl hat insoweit nicht stattgefunden. Soweit diese Daten öffentlich waren, standen sie vielmehr bereits bei ihrer Eingabe nicht mehr unter der ausschließlichen klägerischen Kontrolle. Ein Kontrollverlust kann sich daraus gerade nicht ergeben. Ebenso wenig folgt ein solcher Identitätsdiebstahl oder Kontrollverlust in Bezug auf die Mobilfunknummer aus dem streitgegenständlichen Scraping-Vorfall. Zwischen den Parteien ist unstreitig, dass die Mobilfunknummer des Kl. nicht aus seinem Facebook-Profil ausgelesen, sondern von den unbekannt gebliebenen „Scrapern“ im Wege einer massenhaften Generierung von Zahlenfolgen erzeugt worden war; der diesbezügliche Datenverlust beruht mithin auf einem nicht von der Bekl. zu verantwortenden Handeln Dritter. Dass schließlich gerade auf Grund der im Wege des Scrapings hergestellten Verknüpfung der öffentlich verfügbaren Daten des Kl. mit dessen Mobilfunknummer ein darüberhinausgehender Kontrollverlust eingetreten ist, ergibt sich aus dem Vorbringen des Kl. nicht. So nimmt der Kl., wie bereits ausgeführt, lediglich in allgemeiner Form Bezug auf einen Anstieg unerwünschter Nachrichten; dass es hier jedoch über seine – womöglich rein „maschinell“ erzeugte – Mobilfunknummer hinaus zu einer Nutzung seiner persönlichen Daten kommt und mithin die durch das Scraping erzeugte Verknüpfung in irgendeiner Form zum Tragen kommt, hat der Kl. nicht dargelegt. Legt man die Angaben des Kl. zugrunde, können zudem die behaupteten E-­Mails und Anrufe bereits nicht mit einer vernünftigen Zweifeln Schweigen gebietenden Sicherheit dem hiesigen Scraping-Vorfall zugeordnet werden. Der Kl. spricht lediglich allgemein von unerwünschten bzw. dem unerwünschten erhöhten Anfall von E-­Mails und Nachrichten. Insoweit ist vorliegend zunächst zu würdigen, dass auch nach dem Vorbringen des Kl. lediglich seine Mobilfunknummer Gegenstand des Scraping-Vorfalls war, nicht dagegen seine E-­Mail-Adresse. Da der Kl. hier weder in qualitativer noch in quantitativer Hinsicht zwischen den behaupteten unerwünschten E-­Mails bzw. SMS differenziert, ist nach seinem Vortrag nicht erkennbar, in welchem Ausmaß etwaige unerwünschte Nachrichten tatsächlich mit dem streitgegenständlichen Vorfall in Verbindung stehen. Unerwünschte E-­Mails und Anrufe erhalten gerichtsbekannt zudem auch in großer Zahl Personen, die keinen Facebook-Account haben und dort ihre Telefonnummer hinterlegt haben; die Ursachen für das Erlangen insb. der Mobilfunknummer durch Dritte in einer digital vernetzen Welt sind ausgesprochen vielfältig. Gerade in Hinblick auf die Mobilfunknummer kann dies – wie auch vorliegend – auch auf eine rein technische Erzeugung von Nummernfolgen zurückzuführen sein. Ein danach allein verbleibender etwaiger Zustand großen Unwohlseins und großer Sorge über den Missbrauch seiner Daten genügt jedoch – wie bereits ausgeführt – gerade nicht, um einen Schaden des Kl. iSv Art. 82 Abs. 1 DS-GVO zu begründen. Nach alledem steht dem Kl. kein immaterieller Schadensersatzanspruch zu. Der Feststellungsantrag zu Ziff. 2) ist unbegründet, weil der Eintritt künftiger Schäden – mangels Vorliegens eines Schadens – bereits nicht hinreichend wahrscheinlich ist.

LG Heilbronn Urt. v. 3.3.2023 – 1 O 78/22

0 EUR Entgegen der Auffassung der Bekl. liegen dem Klageantrag zu 1 nicht zwei eigenständige Streitgegenstände zugrunde. Dem Kl. steht gegen die Bekl. kein Anspruch auf Zahlung immateriellen Schadensersatzes gem. Art. 82 Abs. 1 DS-GVO zu. Gem. Art. 82 Abs. 1 DS-GVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Ein Verstoß gegen Vorschriften der DS-GVO, der einen Schadensersatzanspruch des Kl. gegen die Bekl. nach Art. 82 Abs. 1 DS-GVO begründen würde, kann nicht festgestellt werden. Dahinstehen kann, ob die Bekl. gegen Art. 13141533 und 34 DS-GVO verstoßen hat. Verstöße gegen diese Vorschriften sind bereits nicht vom Schutzbereich des Art. 82 DS-GVO umfasst. Dies ergibt sich zwar nicht unmittelbar aus Art. 82 Abs. 1 DS-GVO, folgt aber aus dem Zusammenspiel dieser Norm mit Art. 82 Abs. 2 DS-GVO. Gem. Art. 82 Abs. 2 S. 1 DS-GVO haftet jeder an einer Verarbeitung beteiligte Verantwortliche für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. Daraus folgt, dass gerade die Verarbeitung selbst verordnungswidrig sein muss und nur für Schäden gehaftet werden soll, die durch eine nicht der DS-GVO entsprechende Verarbeitung verursacht wurden. Dies ergibt sich zudem aus Erwägungsgrund 146 S. 1 zur DS-GVO, welcher vorsieht: „Der Verantwortliche oder der Auftragsverarbeiter sollte Schäden, die einer Person auf Grund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht, ersetzen.“ Die bloße Verletzung von Informationsrechten der betroffenen Person aus Art. 12 bis 15 DS-GVO führt daher nicht dazu, dass eine Datenverarbeitung, infolge derer das Informationsrecht entstanden ist, selbst verordnungswidrig ist und löst dementsprechend keine Schadensersatzansprüche nach Art. 82 DS-GVO aus. Ebensowenig erfasst Art. 82 DS-GVO Verstöße gegen die Melde- und Benachrichtigungspflichten nach Art. 3334 DS-GVO. Ein Verstoß gegen Art. 5 Abs. 1 lit. a DS-GVO iVm Art. 13 DS-GVO liegt nicht vor. Ein Verstoß gegen Art. 5 Abs. 1 lit. f DS-GVO iVm Art. 32 DS-GVO ist nicht feststellbar. Der Kl. trägt entgegen seiner Ansicht nach allgemeinen zivilprozessualen Grundsätzen die Darlegungs- und Beweislast für eine haftungsbegründende Pflichtverletzung der Bekl. Nichts anderes ergibt sich aus Art. 5 Abs. 2 DS-GVO, weil die DS-GVO kein Beweisrecht enthält, sondern insoweit die Beweisregeln des jeweiligen nationalen Prozessrechts gelten. Die Bekl. trifft freilich eine sekundäre Darlegungslast. Ferner liegt auch kein Verstoß der Bekl. gegen Art. 25 DS-GVO vor. Schließlich liegt auch kein Verstoß gegen Art. 6 Abs. 1 lit. a, 7 Abs. 2 DS-GVO vor. Da nach alledem schon kein zum Schadensersatz gem. Art. 82 Abs. 1 DS-GVO verpflichtender Verstoß der Bekl. gegen Vorschriften der DS-GVO gegeben ist, kann auf sich beruhen, ob dem Kl. ein ersatzfähiger Schaden iSd Art. 82 Abs. 1 DS-GVO entstanden ist und dieser kausal auf die vermeintlichen Pflichtverletzungen der Bekl. zurückgeführt werden kann. Insb. kann offenbleiben, ob Daten des Kl. überhaupt von dem streitgegenständlichen Scraping-Vorfall betroffen sind. Nachdem wie dargelegt dem Kl. bereits dem Grunde nach kein Schadensersatzanspruch gegen die Bekl. gem. Art. 82 Abs. 1 DS-GVO zusteht, ist auch der Klageantrag zu 2 (Feststellungsantrag) unbegründet.

LG Frankfurt/M. Urt. v. 2.3.2023 – 2-03 O 164/22

0 EUR Gem. § 253 Abs. 2 Ziff. 2 ZPO wird der Streitgegenstand durch das Rechtsschutzbegehren (Antrag) und den Lebenssachverhalt (Anspruchsgrund) bestimmt, aus dem der Kl. die begehrte Rechtsfolge herleitet. Dem Kl. steht gegen die Bekl. kein Anspruch auf Ersatz eines materiellen oder immateriellen Schadens nach Art. 82 Abs. 1 DS-GVO oder nach nationalen Vorschriften zu. Es erscheint schon zweifelhaft, ob die vom Kl. geltend gemachten Datenschutzverstöße vorliegen. Ein Verstoß gegen die Transparenzpflichten aus Art. 5 Abs. 1 lit. a, 1314 DS-GVO liegt nicht vor. Der Anspruch ist unbegründet, soweit der Kl. den Verstoß gegen Art. 15 DS-GVO geltend macht. Denn die Bekl. hat nicht gegen ihre Verpflichtung aus Art. 15 Abs. 1 DS-GVO verstoßen. Die Bekl. ist ihrer Verpflichtung zur Auskunftserteilung hinreichend nachgekommen. Mit Anwaltsschreiben v. 25.11.2021 hat die Bekl. umfassend die Zwecke, zu denen personenbezogene Daten des Kl. verarbeitet werden, angegeben. Außerdem wurden die Kategorien personenbezogener Daten, die von der Bekl. erfasst und verarbeitet werden sowie die Quellen und Kategorien der Empfänger, an die die Informationen weitergegen werden können, angegeben. Der Kl. kann darüber hinaus nicht Auskunft darüber verlangen, „welche Daten durch welche Empfänger zu welchem Zeitpunkt bei der Bekl. durch Scraping oder durch Anwendung des Kontaktimporttools erlangt werden konnten“, verlangen. Nach der neusten Entscheidung des EuGH ist der Anspruch aus Art. 15 Abs. 1 lit. c DS-GVO eingeschränkt, wenn die Identität der konkreten Empfänger (noch) nicht bekannt sind. So liegt der Fall hier. Die Bekl. hat mitgeteilt, dass sie keine Rohdaten habe und über die Verarbeitungstätigkeiten Dritter keine Angaben machen könne. Es kann dahinstehen, ob damit bereits kein Anspruch besteht oder der Anspruch im Wege einer Nullauskunft erloschen ist. In keinem Fall liegt ein Verstoß gegen Art. 15 DS-GVO vor. Selbst wenn die geltend gemachten Datenschutzverstöße unterstellt werden würden, fehlt es an der erforderlichen Kausalität. Der Verstoß gegen die DS-GVO muss kausal für den Schaden sein. Der gegenteiligen Auffassung des Kl. kann nicht gefolgt werden. Nach dem Wortlaut der Vorschrift ist der Schaden, der „wegen eines Verstoßes“ entsteht, zu ersetzen, der auf einen Ursachenzusammenhang hindeutet. Da für den Begriff der Kausalität keine unionsrechtliche Regelung besteht, sind im Grundsatz die nationalen Rechtsordnungen maßgeblich, wobei der Äquivalenz- und der Effektivitätsgrundsatz zu beachten sind. Vor diesem Hintergrund ist zur Gewährleistung der vollen Wirksamkeit der europarechtlichen Vorschrift ein „unmittelbarer Ursachenzusammenhang“ nicht zu fordern. Es genügt eine „Mitursächlichkeit“ des Verstoßes. Die Kammer kann nicht feststellen, dass die klägerseits vorgetragenen Verstöße für die Störung und Belästigung des Kl. mitursächlich geworden sind. Nach allgemeinen Grundsätzen obliegt es dem Kl. die Mitursächlichkeit darzulegen und ggf. zu beweisen. Die DS-GVO selbst sieht insoweit keine Beweiserleichterung vor; insb. bezieht sich Art. 82 Abs. 3 DS-GVO nur auf das Verschulden und nicht auf die Kausalität. Soweit sich der Kl. auf ein Editorial von Hense (ZD 2022, 413) und auf ein EuGH Urt. v. 24.2.2022 bezieht, ergibt sich nichts anderes. Nach dem EuGH obliegt es dem Datenverarbeiter auf Grund der Rechenschaftspflicht nach Art. 5 Abs. 2 DS-GVO nachzuweisen, dass die Vorschriften der DS-GVO eingehalten wurden. Daraus folgt aber noch nicht, dass aus einem – unterstellten – Verstoß auch ein kausaler Schaden herrührt. Nach § 286 Abs. 1 ZPO hat das Tatgericht den gesamten Inhalt der Verhandlung einschließlich die Äußerung bei der Anhörung gem. § 141 ZPO zu würdigen. Der Kl. hat im Rahmen seiner informatorischen Anhörung angegeben, dass die Anrufe seit drei Jahren bestehen. Insb. hat der Kl. selbst im Rahmen seiner informatorischen Anhörung angegeben, dass seine Handy-Nummer bis vor acht bis neun Jahren nicht auf privat gestellt war und dass sein Account vor drei bis vier Jahren gehackt worden war. Die geltend gemachten Datenschutzverstöße wären nur dann kausal, wenn ausgeschlossen werden kann, dass die entsprechenden Daten weder über den hier nicht streitgegenständlichen Hackangriff noch durch die öffentliche Preisgabe durch den Kl. erfolgt wäre. Beides kann der Kl. nicht ausschließen. Insb. traten die Belästigungen bereits vor Veröffentlichung des Datensatzes auf, nämlich vor drei Jahren, während die Daten vor zwei Jahren (April 2021) veröffentlicht wurden. Das spricht gegen eine Kausalität mit dem Scraping-Vorfall. Überdies genügt das klägerische Vorbringen nebst Erklärungen iRd Anhörung nicht, um einen immateriellen Schaden iSd Art. 82 Abs. 1 DS-GVO zu begründen. Auch wenn der unionsrechtliche Begriff des Schadens iSd Art. 82 Abs. 1 DS-GVO noch nicht geklärt ist, kann selbst unter Zugrundelegung eines weiten Schadensbegriffs ein Schaden nicht festgestellt werden. Der Kl. gibt zwar insb. Ängste und das Gefühl des Kontrollverlustes an. Die Kammer ist aber nach Anhörung des Kl. nicht in dem nach §§ 286287 ZPO erforderlichen Maße davon überzeugt, dass der Kl. tatsächlich unter solchen Ängsten leidet. Vielmehr kann die Kammer lediglich eine „Störung“ im Alltag feststellen, die als solche für die Annahme eines Schadens nicht genügt. Denn auf die explizite Frage, wie sich der Kl. „fühle“, antwortete er lediglich damit, dass die Anrufe stören. Gegen Angstgefühle spricht auch der Umstand, dass der Kl. im Rahmen seiner Anhörung angegeben hat, dass er Gespräche nicht sofort abbricht, sondern „normal fortführt“. Insb. hat der Kl. bzgl. Spam-E-­Mails und Spam SMS-Nachrichten selbst ausgeführt, dass sie nicht wegen F. kommen.

LG Hamburg Urt. v. 1.3.2023 – 316 O 188/22

0 EUR Der Klageantrag zu 1 ist entgegen der Auffassung der Bekl. iSv § 253 Abs. 2 Ziff. 2 ZPO hinreichend bestimmt. Ein Anspruch gegen die Bekl. ergibt sich weder aus nationalen Vorschriften noch aus Art. 82 DS-GVO. Der Kl. hat gegen die Bekl. keinen Anspruch aus Art. 82 Abs. 1 DS-GVO. Nach dieser Vorschrift hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Es kann dahinstehen, ob die Pflichtverletzungen vorliegen, die der Kl. der Bekl. vorwirft, namentlich Verstöße gegen Art. 5 Abs. 1 lit. A, 13142432 DS-GVO sowie Art. 15 DS-GVO. Denn ein Datenschutzverstoß als solcher reicht für das Entstehen eines Schadensersatzanspruchs nach Art. 82 Abs. 1 DS-GVO nicht aus. Es bedarf darüber hinaus der Darlegung und des Nachweises eines konkreten – auch immateriellen – Schadens. Das folgt bereits aus dem Wortlaut der Vorschrift, die zwischen Verstoß und wegen des Verstoßes entstandenem Schaden differenziert. Vorliegend fehlt es an der substantiierten Darlegung eines Schadens. Zwar werden auch Bagatellschäden von der Vorschrift erfasst, eine Erheblichkeitsschwelle muss nicht erreicht bzw. überschritten werden. Der Kl. hat jedoch lediglich vorgetragen, er habe durch die unbefugte Veröffentlichung seiner personenbezogenen Daten einen erheblichen Kontrollverlust über seine Daten erlitten und verbleibe in einem Zustand großen Unwohlseins und Sorge über möglichen Missbrauch seiner Daten. Dies manifestiere sich u. a. in einem verstärkten Misstrauen bzgl. E-­Mails und Anrufen von unbekannten Nummern und Adressen, aber auch in der ständigen Sorge, dass die veröffentlichten Daten von Kriminellen für unlautere Zwecke verwendet werden könnten. Seit April 2021 erhalte er vermehrt dubiose Nachrichten und E-­Mails der oben beschriebenen Art. Die abgegriffenen und veröffentlichten Daten bedeuteten für ihn ein hohes Risiko und Unsicherheit, wer die Daten zu welchen Zwecken unbefugt benutze. Die negativen Folgen könnten vielfältig sein und schwere Nachteile mit sich bringen, angefangen von vermehrter Belästigung durch Spam- und Werbemails bzw. Spam- und Werbenachrichten an die Mobilfunknummer, über die Zusendung von Viren, einen möglichen Identitätsdiebstahl bis hin zu vermögenswirksamen Handlungen im Namen und zu Lasten des Kl. Hierbei handelt es sich lediglich um pauschale Behauptungen und abstrakte Befürchtungen. Zu Anzahl und Art der Nachrichten von unbekannten Nummern und E-­Mail-Adressen macht der Kl. keine konkreten Angaben. Auch soweit der Kl. ergänzend vorträgt, er habe Zeit und Mühe aufgewendet, um sich vor drohendem (weiteren) Missbrauch zu schützen, er habe Stress und Ängste und ein Gefühl des Beobachtetwerdens verspürt, handelt es sich lediglich um allgemeine, nicht auf die konkrete Person des Kl. und seinen Umgang mit dem Vorfall bezogene Ausführungen.

LG Stuttgart Urt. v. 28.2.2023 – 24 O 56/22

1.000 EUR Die unbezifferte, lediglich mit einem Mindestbetrag erhobene Leistungsklage ist vor dem Hintergrund der Regelung des Art. 82 Abs. 1 DS-GVO, nach der ausdrücklich immaterieller Schadensersatz verlangt werden kann, ebenfalls zulässig. Der Kl. hat einen Anspruch aus Art. 82 Abs. 1 DS-GVO auf Ersatz immateriellen Schadens iHv 1.000 EUR gegen die Bekl. Der Kl. ist als Inhaber des streitgegenständlichen Facebook-Profils von einem Scraping-Vorfall betroffen und es liegen seitens der Bekl. mehrere Verstöße gegen die DS-GVO vor, welche in diesem Zusammenhang zur Auslösung einer entsprechenden Schadensersatzpflicht geeignet sind. Der Kl. ist Inhaber des streitgegenständlichen Facebook-Profils. Zwar mag es zutreffend sein, dass das streitgegenständliche Facebook-Profil nicht mit der vom Kl. ursprünglich genannten E-­Mail-Adresse verknüpft ist, wie die Bekl. vorträgt. Der Kl. hat zu einem späteren Zeitpunkt aber dargelegt, dass das streitgegenständliche Facebook-Profil mit seiner Handynummer verknüpft ist. Bereits dies hat die Bekl. nicht mehr substantiiert bestritten, sondern lediglich eingewandt, die Inhaberschaft am streitgegenständlichen Facebook-Profil sei auf Grund der widersprüchlichen Angaben des Kl. nicht zweifelsfrei aufklärbar und sie werde im Verfahren keine Auskünfte erteilen, um keinen Datenschutzverstoß zu begehen. Überdies hat der Kl. sich iRd mündlichen Verhandlung an seinem Handy auch in das streitgegenständliche Facebook-Profil eingeloggt, was seine Inhaberschaft nach Überzeugung des Gerichts selbst im Falle eines substantiierten Bestreitens durch die Bekl. belegen würde. Die Bekl. hat zudem nicht substantiiert bestritten, dass die vom Kl. genannten personenbezogenen Daten vom Scraping-Vorfall betroffen waren und im Darknet von jedermann abgerufen werden können. Die Bekl. hat zudem mehrere Verstöße gegen die DS-GVO begangen, welche zur Auslösung einer entsprechenden Schadensersatzpflicht geeignet sind. Es fehlt bereits eine ordnungsgemäße, ausreichende Belehrung des Kl. durch die Bekl. zum Zeitpunkt der Datenerhebung hinsichtlich der Mobilfunknummer des Kl. gem. Art. 13 DS-GVO. Zudem liegt ein datenschutzrechtlicher Verstoß der Bekl., der die Schadensersatzpflicht nach Art. 82 Abs. 1 DS-GVO auslöst, gem. Art. 32245 Abs. 1 lit. f DS-GVO vor. Es kann dahinstehen, ob die Bekl. außerdem Melde-­, Benachrichtigungs- und Transparenzpflichten aus Art. 3334 und 25 DS-GVO verletzte und ob eine etwaige Verletzung dieser Vorschriften geeignet wäre, eine Schadensersatzpflicht gem. Art. 82 Abs. 1 DS-GVO auszulösen, da die Bekl. bereits aus den dargelegten Verstößen gegen Art. 1332245 Abs. 1 lit. f DS-GVO haftet. Die Bekl. kann sich im Hinblick auf die oben dargelegten Datenschutzverstöße auch nicht mit Erfolg gem. Art. 82 Abs. 3 DS-GVO exkulpieren. Eine solche Exkulpation wäre nur möglich, wenn die Bekl. sämtliche Sorgfaltsanforderungen erfüllt hätte und ihr nicht die geringste Fahrlässigkeit vorzuwerfen wäre. Dies kann im vorliegenden Fall bereits wegen des Verstoßes der Bekl. gegen Art. 13 DS-GVO ausgeschlossen werden, weil die Bekl. insoweit nichts vorbringt, was nicht zumindest leichte Fahrlässigkeit hinsichtlich des fehlenden Hinweises auf die Verarbeitung der Mobilfunknummer des Kl. durch das Contact-Import-Tool (CIT)vermuten lässt. Auch im Hinblick auf die unzureichenden Sicherheitsmaßnahmen gem. Art. 32 DS-GVO konnte die Bekl. nicht jegliche Verantwortung ihrerseits widerlegen. Vielmehr nutzten unbekannte Dritte bereits erkannte oder erkennbare Angriffswege, um auf Daten zuzugreifen, sodass die Nichtverantwortlichkeit des Verantwortlichen nicht nachgewiesen werden kann. Scraping ist ausweislich des Beklagtenvorbringens „eine gängige Taktik“. Es war jedenfalls erkennbar, dass das CIT durch Scraping ausgenutzt werden kann. Dies begründet sich bereits aus dem Umstand, dass die Bekl. selbst Schutzmaßnahmen behauptet und somit von der Notwendigkeit dieser ausgeht. IÜ behauptet die Bekl. das Vorliegen ganz ungewöhnlicher Kausalverläufe, einen Fall höherer Gewalt oder ein weit überwiegendes eigenes Fehlverhalten des Kl. nicht. Dem Kl. steht auf Grund der vorstehenden Ausführungen ein Anspruch auf immateriellen Schadensersatz zu, der der Höhe nach mit 1.000 EUR zu bemessen war. Hierbei kann es auch dahinstehen, ob iRd Art. 82 Abs. 1 DS-GVO ein über den datenschutzrechtlichen Verstoß des Verantwortlichen hinausgehender Schaden erforderlich ist oder ob bei bloßen Bagatellfällen der Schadensersatz jedenfalls zu verneinen ist. Denn der Kl. hat jedenfalls einen konkreten Schaden, welcher nicht lediglich eine Bagatelle darstellt, dargelegt. Ein solcher Schaden iSd Art. 82 Abs. 1 DS-GVO ist bereits dann anzunehmen, wenn die datenschutzwidrige Verarbeitung dazu führt, dass die betroffene Person um ihre Rechte und Freiheiten gebracht oder daran gehindert wird, die sie betreffenden personenbezogen Daten zu kontrollieren. Dass auf Grund des Scraping-Vorfalls lediglich personenbezogene Daten veröffentlicht wurden, die der Kl. öffentlich auf seinem Facebook-Profil preisgab und welche dort für jedermann einsehbar waren, steht einem Schaden nicht entgegen. Auch der Umstand, dass die Mobilfunknummer von den Unbekannten ermittelt wurde und nicht aus dem Datenbestand der Bekl. abgeschöpft wurde, schließt einen Schaden nicht aus. Entscheidend ist nämlich die Verbindung zwischen der Mobilfunknummer und den sonstigen personenbezogenen Daten, welche den Unbekannten nur auf Grund der Datenschutzverstöße der Bekl. im Zusammenhang mit dem CIT ermöglicht wurde. Gerade diese Korrelation zwischen der nicht durch den Kl. veröffentlichten Mobilfunknummer und den sonstigen öffentlich auf dem Profil des Kl. einsehbaren personenbezogenen Daten war nur auf Grund der Möglichkeit der rechtswidrigen Nutzung des CIT möglich. Dies muss sich die Bekl. vorwerfen lassen, da sie zum Schutz der Daten der Nutzer ihrer Plattform dazu verpflichtet war, einen entsprechenden Vorfall zu verhindern. Hierauf beruht der datenschutzrechtlich relevante Schaden des Kl. Denn dem Kl. kam es entscheidend darauf an, dass seine Mobilfunknummer nicht mit den sonstigen personenbezogenen Daten auf seinem Facebook-Profil in Verbindung gebracht werden konnte. Im Zuge der Abschöpfung und Veröffentlichung der Daten fand eine Korrelation mit der Mobilfunknummer des Kl. statt, was nicht nur dazu führte, dass etwaige Facebook-Kontakte des Kl. die Möglichkeit hatten, die private Mobilfunknummer des Kl. zu erfahren und diese seinem Facebook-Profil zuzuordnen, sondern auch sonstige Dritte, welche damit potenziell auch die Möglichkeit hatten und haben, diese Informationen für kriminelle Zwecke ggü. dem Kl. zu nutzen. Ein solcher Kontrollverlust stellt einen erheblichen Schaden iSd Art. 82 Abs. 1 DS-GVO dar. Von untergeordneter Bedeutung ist dabei die Tatsache, dass der Kl. nicht seinen Klarnamen, sondern das Pseudonym „Kobra Kahn“ bei Facebook verwendete. Denn in einem Klammerzusatz findet sich auch der richtige, bürgerliche Namen des Kl. Was das Gewicht des immateriellen Schadens und den hierauf basierenden Schadensersatzanspruch des Kl. anbelangt, ist zu berücksichtigen, dass der Bekl. eine Löschung der veröffentlichten personenbezogenen Daten nicht möglich ist und realistischerweise auch künftig nicht möglich sein wird. Denn diese personenbezogenen Daten kursieren frei und potenziell auf ewige Zeit im Internet. Der Kl. hat auch plausibel und glaubhaft Beeinträchtigungen durch Spam-Nachrichten, insb. durch Spam-SMS, dargelegt, welche im kausalen Zusammenhang mit der Veröffentlichung ihrer personenbezogenen Daten stehen können. Auch in Zukunft kann mit einer erhöhten Anzahl an entsprechenden Nachrichten auf Grund dessen gerechnet werden. Im Rahmen des ihm zustehenden Anspruchs auf immateriellen Schadensersatz kann der Kl. auch die Erstattung vorgerichtlicher Rechtsanwaltsgebühren beanspruchen.

LG Offenburg Urt. v. 28.2.2023 – 2 O 98/22

0 EUR Der Klageantrag zu 1 ist hinreichend bestimmt, § 253 Abs. 2 Ziff. 2 ZPO. Der Kl. hat keinen Anspruch auf Zahlung eines immateriellen Schadensersatzes aus Art. 82 Abs. 1 DS-GVO oder einer anderen denkbaren Anspruchsgrundlage. Unabhängig vom Vorliegen der Anspruchsvoraussetzungen iÜ, fehlt es jedenfalls am Eintritt eines immateriellen Schadens. Nach Art. 82 Abs. 1 DS-GVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Kontrovers diskutiert wird, unter welchen Voraussetzungen ein ersatzfähiger immaterieller Schadensersatz entsteht und sodann gewährt werden kann. Das Merkmal des immateriellen Schadens ist autonom auszulegen. Erwägungsgrund 146 S. 3 zur DS-GVO sieht vor, dass der Begriff des Schadens im Lichte der Rspr. des EuGH weit auf eine Art und Weise ausgelegt werden soll, die den Zielen dieser Verordnung in vollem Umfang entspricht. Erwägungsgrund 75 zur DS-GVO nennt etwa Identitätsdiebstahl, finanzielle Verluste, Rufschädigung oder den Verlust der Kontrolle personenbezogener Daten. Ein nationales Verständnis zum Begriff des Schadens – etwa eine enge Auslegung – ist mithin nicht angezeigt. Dabei ist davon auszugehen, dass der Schaden im Sinn des Art. 82 Abs. 1 DS-GVO nicht bereits in der Verletzung der DS-GVO als solcher liegt, sondern vielmehr ein auf einem Verstoß gegen die DS-GVO beruhender Schaden darzulegen ist. Das Erfordernis eines zusätzlich zum Verstoß gegen die DS-GVO eintretenden Schadens folgt dabei bereits aus dem Wortlaut des Art. 82 Abs. 1 DS-GVO, der davon spricht, dass jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz hat. Die Regelung setzt damit voraus, dass es auch Verstöße geben kann, die nicht in einem Schaden resultieren, und lässt somit erkennen, dass es gerade keinen Gleichklang gibt zwischen einem Verstoß gegen die DS-GVO und dem immateriellen Schaden. Eine Erheblichkeitsschwelle für das Vorliegen eines solchen Schadens ergibt sich aus der DS-GVO nicht. Bagatellschäden sind daher nicht auszuschließen. Zu verlangen ist aber jedenfalls, dass ein konkreter immaterieller Schaden auch tatsächlich eingetreten („entstanden“) ist. Diesen muss der Kl. darlegen und ggf. beweisen. Auch und gerade unter Berücksichtigung eines weiten Verständnisses des immateriellen Schadens, das ausdrücklich auch Bagatellschäden einschließt, kann das Gericht nicht erkennen (§ 287 Abs. 1 ZPO), dass der Kl. einen solchen Schaden tatsächlich erlitten hat. Die in den Schriftsätzen beschriebenen formelhaften Ängste und Sorgen, das Unwohlsein, die aufgewendete Zeit und der Stress haben sich in der persönlichen Anhörung in der mündlichen Verhandlung nicht gezeigt. Sie sind Teil einer Klageschrift und Replik, die mit dem gleichen Inhalt in einer Vielzahl von Verfahren rechtshängig wurden. Schon deswegen war der persönliche Eindruck des erkennenden Gerichts vom Kl. in seiner Anhörung in der mündlichen Verhandlung entscheidend. In dieser hat der Kl. zunächst geschildert, er habe sich spätestens im Jahr 2001 auf F. angemeldet. Sein F.-Konto bestehe bis heute noch, wobei er dieses noch lediglich sporadisch nutze. Es ist festzuhalten, dass alle Daten – bis auf die Handynummer – aus dem öffentlichen Profil des Kl. „abgelesen“ wurden, die der Kl. bereitwillig dort selbst eingetragen hat. Ein Identitätsdiebstahl hat insoweit nicht stattgefunden. Soweit diese Daten öffentlich waren, standen sie bereits bei ihrer Eingabe nicht mehr unter der ausschließlichen klägerischen Kontrolle. Das Gefühl eines Kontrollverlustes kann sich daraus gerade nicht nachvollziehbar ergeben. Soweit die Klägerseite schriftsätzlich Ängste und Misstrauen bzgl. Spam-E-­Mails und Spam-SMS dargelegt hat, ist unklar, ob diese E-­Mails und SMS tatsächlich im Zusammenhang mit dem Scraping-Vorfall verschickt wurden. Es ist gerichtsbekannt, dass auch Inhaber von Mobilfunknummern, die niemals bei F. angemeldet waren, Spam-E-­Mails und Spam-SMS enthalten. Zumal ein geschärftes Bewusstsein beim Erhalt von E-­Mail und SMS sowie ein sorgsamer Umgang mit persönlichen Daten, wie ihn auch der Kl. bei seiner Anhörung geschildert hat, stets angezeigt ist. Bezüglich der E-­Mail-Adresse lässt sich iÜ schon gar nicht feststellen, ob diese überhaupt von dem Scraping-Vorfall betroffen ist. Während dies in der Klage noch behauptet wurde – was die Bekl. bestritten hat –, ergibt sich aus dem mit der Replik mitgeteilten Datensatz, dass dieser die E-­Mail-Adresse des Kl. nicht umfasst. Das Gericht konnte nicht erkennen, dass der Kl. sich tatsächlich „beobachtet“ gefühlt habe. Er wirkte nicht hilflos oder sah sich zu einem reinen Objekt der Datenverarbeitung degradiert. Das Gericht hält schriftsätzlich behauptete Sorgen und Ängste des Kl. nicht für glaubhaft. Der Kl. war bis zum Schluss der mündlichen Verhandlung auf F. angemeldet. Erkennbare Konsequenzen hat er nicht gezogen. So kann mit den Angaben des Kl. bei seiner persönlichen Anhörung eine Verhaltensänderung des Kl. bzgl. der Nutzung von Internet, E-­Mail oder SMS im Hinblick auf seine Betroffenheit von dem Scraping-Vorfall gerade nicht festgestellt werden. Im Hinblick auf die schriftsätzlichen Behauptungen ist ein solches Verhalten aber nicht plausibel. Der Kl. hat, und das ist mitentscheidend, entsprechende Suchbarkeitseinstellungen bzgl. seiner Handynummer bis zum Schluss der mündlichen Verhandlung überhaupt nicht geändert oder aber seine Handynummer aus den Nutzereinstellungen entfernt. So hat der Kl. in der mündlichen Verhandlung bekundet, er habe nach Kenntnis der Betroffenheit von dem Scraping-Vorfall sich die „Nutzereinstellungen“ seines F.-Kontos angesehen. Die Einstellung bzgl. der Handynummer sei so gewesen, dass eine Sichtbarkeit nur für ihn gegeben sei. Dies bezieht sich auf die Profileinstellungen. Eine Änderung der Einstellungen habe der Kl. nicht vorgenommen. Damit wurde auch eine Änderung der Suchbarkeitseinstellungen nicht vorgenommen. Selbst wenn dem Kl. vor Klageeinreichung – wie behauptet – die Einstellungsmöglichkeiten auf F. nicht intuitiv und nachvollziehbar vorgekommen sein sollten, hätte er die verschiedenen Einstellungsmöglichkeiten nunmehr mittels Klageerwiderung und eigener Replik nachvollziehen können müssen. Schließlich hat er die unterschiedlichen Suchbarkeitseinstellungen selbst vortragen lassen. Das Gericht ist nicht davon überzeugt, dass der Kl. überhaupt irgendwelche Komfort- und Zeiteinbußen im Zusammenhang mit dem Scraping-Vorfall erlitten hat. Anders als schriftsätzlich vorgetragen, musste sich der Kl. gerade nicht mit der Bekl. selbst auseinandersetzen. Er musste insb. nicht selbst um Auskunft bitten oder weitere Nachforschungen bzgl. des Scraping-Vorfalls anstellen und hat dies auch nicht getan. Er musste auch nicht den Sachverhalt ermitteln. Er hat geschildert, dass ihn der Scraping-Vorfall, nachdem er aus den Medien von ihm erfahren habe, zunächst nicht näher interessiert habe. Zu einem späteren Zeitpunkt sei er auf die Internetseite der Kanzlei seiner nunmehrigen Prozessbevollmächtigten aufmerksam geworden und habe ein auf der Internetseite angebotenes Abfrageformular genutzt, um zu überprüfen, ob die eigene Handynummer betroffen sei. Dies sei der Fall gewesen. Sodann habe er den Auftrag zur Klageerhebung entweder online oder telefonisch erteilt. Die weitere Kommunikation mit seinen Prozessbevollmächtigten sei per E-­Mail erfolgt. Er sei seitens seiner Prozessbevollmächtigten über den Sachstand informiert worden; ein- oder zweimal habe er von sich aus nach dem Bearbeitungsstand gefragt. Am Vortag der mündlichen Verhandlung habe er ein Telefonat mit seinen Prozessbevollmächtigten geführt. Nach alledem kann das Gericht einen für den Kl. konkret entstandenen immateriellen Schaden nicht erkennen (§ 287 Abs. 1 ZPO). Aufgrund der vorgenannten Ausführungen kommt es auf die Frage, ob und inwieweit die Bekl. gegen die DS-GVO verstoßen hat, nicht an. Insb. ist es insoweit nicht von Belang, dass die für die Bekl. zuständige irische Datenschutzbehörde – wie der Kl. mit Schriftsatz v. 13.12.2022 vorträgt – im November 2022 wegen des 533 Mio. Datensätze betreffenden Scraping-Vorfalls eine Geldbuße iHv 265 Mio. EUR gegen die Bekl. verhängt hat. Eine Vorlagepflicht nach Art. 267 Abs. 2 und Abs. 3 AEUV bestand nicht.

LG Münster Urt. v. 27.2.2023 – 017 O 344/22

0 EUR Die Kl. hat keinen Schmerzensgeldanspruch aus Art. 5 Abs. 1 lit. f DS-GVO. Die Bekl. hat nicht gegen die ihr dort auferlegte Obliegenheit, personenbezogene Daten vor unbefugter oder unrechtmäßiger Verarbeitung zu schützen, verstoßen. Soweit es um das Abrufen der immer öffentlich zugängigen Informationen des F. …-Profils der Kl. geht, sind diese zwar von Dritten erhoben (gescrapt) und damit verarbeitet worden iSd Art. 4 Ziff. 2 DS-GVO. Allerdings war die Bekl. nicht verpflichtet, diese Daten vor der Verarbeitung durch Dritte zu schützen, da diese Daten nicht unbefugt bzw. unrechtmäßig verarbeitet worden sind. Es handelt sich bei den gescapten personenbezogenen Daten der Kl. um Daten, die für jedermann ohne Zugangskontrolle oder Überwindung technischer Zugangsbeschränkungen abrufbar sind. Damit erfolgte die Erhebung der Daten als solche nicht unbefugt bzw. unrechtmäßig. Auch soweit der Kl. im Zeitpunkt der Registrierung die Standarteinstellungen auf der F. …-Plattform nicht bekannt gewesen sein sollten, weil sie diese nicht umfassend gewertet hat, rechtfertigt dies nicht die Annahme, die Bekl. habe gegen ihr obliegende Schutzpflichten verstoßen. Denn die Bekl. durfte davon ausgehen, dass die Nutzerin die ihr zur Verfügung gestellten Informationen zur Kenntnis nimmt. Unstreitig hat die Bekl. die Kl., bevor sich diese auf der F. …-Plattform registrieren konnte, auf ihre Datenverwendungsrichtlinien hingewiesen. Sie hätte die Standardeinstellungen ändern können. Der von den Scrapern unter Nutzung des Contect-Import-Pools hergestellte Abgleich zwischen der von ihnen manipulativ hergestellten unzähligen hochgeladenen Telefonnummern und dem Nutzerkonto der Kl. stellte zwar eine Verarbeitung iSd DS-GVO dar. Dieser Verstoß ist jedoch nicht der Bekl. zuzurechnen. Die war nicht verpflichtet, das F. …-Konto der Kl. vor deren Auffinden über die Telefonnummer des Kl. zu schützen, da der von den Scrapern hergestellte Abgleich als solcher nicht unbefugt bzw. unrechtmäßig war. Allein die Tatsache, dass der Kl. nach ihrem Vorbringen nicht bekannt war, dass alle Personen über ihre Telefonnummer ihr F. …-Konto finden könnten, hat nicht zur Folge, dass die Bekl. verpflichtet war, Schutzmaßnahmen zu ergreifen, die das F. …-Konto der Kl. vor einem Auffinden über ihre Telefonnummer schützen. Denn die Bekl. musste annehmen, dass der Kl. bekannt ist, dass ihr F. …-Konto über ihre Telefonnummer für jedermann aufzufinden ist. Denn sie musste vor der Registrierung bestätigen, die Datenverwendungsrichtlinien der Bekl. gelesen zu haben. Diese enthalten die Information, dass es die Bekl. allen Personen, die über ihre Telefonnummer verfügen, gestattet, den Nutzer auf F. … zu finden. Weiter heißt es, dass der Nutzer über seine Privatsphäre Einstellungen auswählen kann, wer mit Hilfe der Telefonnummer des Nutzers nach diesem suchen kann. Die Kl. hatte es also in der Hand, über die Privatsphäre Einstellungen auszuwählen, wer mit Hilfe der Telefonnummer des Nutzers nach diesem suchen kann. Ein Schadensersatzanspruch der Kl. folgt auch nicht aus Art. 32 Abs. 1 iVm Abs. 2 der DS-GVO. In Art. 32 Abs. 1 DS-GVO iVm Abs. 2 DS-GVO wird der allgemeine Grundsatz der Integrität und Vertraulichkeit aus Art. 5 Abs. 1 lit. f DS-GVO näher definiert. Hiernach wird verlangt, dass Verarbeitungsprozesse ein angemessenes Schutzniveau für die Sicherheit personenbezogener Daten gewährleisten, um damit angemessenen Systemdatenschutz sicherzustellen. Hierdurch sollen personenbezogene Daten durch geeignete technische und organisatorische Maßnahmen u. a. davor geschützt werden, dass Dritte diese unbefugt oder unrechtmäßig verarbeiten. Gegen diese sich hieraus ergebene Verpflichtung hat die Bekl. nicht verstoßen. Insb. war sie aus den vorgenannten Gründen nicht verpflichtet, weitere Schutzmaßnahmen zu treffen, um die Erhebung der immer öffentlich zugänglichen Information des F. …-Profils der Kl. durch Dritte und eine Verknüpfung mit der von ihr hochgeladenen Telefonnummer u. a. zu dem Zweck, sie auffindbar zu machen, zu verhindern. Der Kl. hat keinen Anspruch gegen die Bekl. auf Schadensersatz in Form eines Schmerzensgeldes aus Art. 82 DS-GVO. Eine schadensersatzauslösende Pflichtverletzung der Bekl. iSd DS-GVO liegt nicht vor. Gem. Art. 82 Abs. 1 DS-GVO steht jeder Person, der wegen eines Verstoßes gegen die DS-GVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter vor. Danach haftet jeder an einer Datenverarbeitung beteiligte Verantwortliche für den Schaden, der durch eine nicht dieser Verordnung entsprechenden Verarbeitung verursacht wurde. Abzustellen ist daher auf eine der Verordnung nicht entsprechende Verarbeitung iSd Art. 4 Abs. 2 DS-GVO. Die verspätete Erteilung einer Datenauskunft ist aber keine Verarbeitung personenbezogener Daten iSd Art. 4 Ziff. 2 DS-GVO. Datenverarbeitung bezeichnet gem. Art. 4 Ziff. 2 DS-GVO nur den Vorgang im Zusammenhang mit personenbezogenen Daten wie das Erheben, Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. Die Verletzung von Benachrichtigungspflichten ist hierdurch jedoch nicht erfasst. Die Kl. hat auch keinen Anspruch gegen die Bekl. auf Schadensersatz in Form eines Schmerzensgeldes aus Art. 82 DS-GVO. Eine schadensersatzauslösende Pflichtverletzung der Bekl. iSd DS-GVO liegt nicht vor. Gem. Art. 82 Abs. 1 DS-GVO steht jeder Person, der wegen eines Verstoßes gegen die DS-GVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter vor. Danach haftet jeder an einer Datenverarbeitung beteiligte Verantwortliche für den Schaden, der durch eine nicht dieser Verordnung entsprechenden Verarbeitung verursacht wurde. Abzustellen ist daher auf eine der Verordnung nicht entsprechende Verarbeitung iSd Art. 4 Abs. 2 DS-GVO. Außerdem hat die Kl. auch keinen ersatzfähigen Schaden oder eine schmerzensgeldauslösende Beeinträchtigung substantiiert vorgetragen. Ihr Vortrag, auf Grund des erlittenen Kontrollverlusts über ihre Daten sei sie in einem Zustand großen Unwohlseins verblieben und in großer Sorge über möglichen Missbrauch ihrer sie betreffenden Daten, reicht nicht aus für die Zuerkennung von Schadensersatz und Schmerzensgeld in der geltend gemachten Höhe. Sie hat hierzu lediglich vorgetragen, dies manifestiere sich u. a. in einem verstärkten Misstrauen bzgl. E-­Mails und Anrufen von unbekannten Nummern und Adressen. Wieweit dieses Misstrauen über dasjenige Misstrauen hinausgeht, das ggü. E-­Mails und Anrufern von unbekannten Kontakten ohnehin angemessen ist, hat sie nicht dargelegt. Soweit sie behauptet, sie erhalte seit dem Vorfall unregelmäßig unbekannte Kontaktversuche via SMS und E-­Mail, mag dies ein zeitlicher Zusammenhang sein. Einen kausalen Zusammenhang mit ihren bei F. … „gescrapten“ Daten hat sie nicht herstellen können. Ihr Vortrag, diese Kontaktaufnahmen enthielten Nachrichten mit offensichtlichen Betrugsversuchen und potenziellen Virenlinks ist ebenfalls pauschal und ersetzt keinen substantiierten Sachvortrag. Schließlich hat sie nicht einmal konkret dazu vorgetragen, welche ihrer Daten konkret auf den entsprechenden Portalen veröffentlicht wurden. Da bereits kein Verstoß der Bekl. gegen die DS-GVO vorliegt, steht der Kl. auch nicht die Feststellung zu, dass die Bekl. verpflichtet ist, der Klägerseite weitere künftige Schäden zu ersetzen.

LG Itzehoe Urt. v. 27.2.2023 – 10 O 159/22

0 EUR Der Zulässigkeit der Klage steht nicht die Unbestimmtheit des Klageantrags zu 1 entgegen, § 253 Abs. 2 ZPO. Dem Kl. steht gegen die Bekl. kein Anspruch auf Zahlung eines immateriellen Schadensersatzes zu. Ein solcher folgt nicht aus Art. 82 Abs. 1 DS-GVO. Ein Schadensersatzanspruch nach Art. 82 DS-GVO kann nur dann begründet werden, wenn ein Schaden durch eine nicht dieser Verordnung entsprechenden Verarbeitung verursacht wurde, Art. 82 Abs. 2 S. 1 DS-GVO. Nach dieser Vorschrift hat jede Person, der wegen eines Verstoßes gegen die DS-GVO ein materieller oder immaterieller Schaden entstanden ist, einen Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Verantwortlicher in diesem Sinne ist gem. Art. 4 Ziff. 7 DS-GVO jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden. Zwar ergibt sich aus dem Vortrag der Bekl., dass sich diese als Verantwortliche im Sinne dieser Norm ansieht. Ein Verstoß gegen die Bestimmungen der DS-GVO liegt aber nicht vor. Daher kann auch offenbleiben, ob die Art. 513141524253234 DS-GVO in den Schutzbereich des Art. 82 DS-GVO fallen. Ungeachtet dieser Ausführungen zu einem möglichen Verstoß gegen Vorgaben der DS-GVO, steht dem Kl. jedenfalls auch mangels Schaden kein Anspruch auf Zahlung eines immateriellen Schadensersatzes gem. Art. 82 Abs. 1 DS-GVO zu. Es ist dem Kl. nicht gelungen, den Eintritt eines (eigenen) Schadens als überwiegend wahrscheinlich (§ 287 ZPO) nachzuweisen. Nach dem ausdrücklichen Wortlaut der Vorschrift muss der Schaden „erlitten“ werden, woraus sich ergibt, dass dieser tatsächlich entstanden sein muss und nicht lediglich befürchtet wird. Zwar ist der Begriff des Schadens nach dem Erwägungsgrund 146 S. 3 weit auszulegen, sodass die Betroffenen einen wirksamen Ersatz bekommen; nach Auffassung des Gerichts reicht jedoch ein bloßer Verstoß gegen Vorschriften der DS-GVO nicht aus, um (immateriellen) Schadensersatz verlangen zu können. Es bedarf vielmehr der Darlegung eines konkreten (auch immateriellen) Schadens. Allerdings ist es nicht erforderlich, dass der eingetretene Schaden erheblich ist; mithin sind auch Bagatellschäden ersatzfähig. Ausgehend von diesen Maßstäben gelangt das Gericht nicht zu der nach § 286 ZPO erforderlichen Überzeugung, dass der Kl. unter den in der Klageschrift beschriebenen Ängsten und Sorgen tatsächlich „leidet“. Der Kl. äußerte zwar auch in der mündlichen Verhandlung, dass er unter Ängsten leide, die daraus resultierten, dass er einen erheblichen Kontrollverlust über seine Daten erlitten habe und deshalb großem Unwohlsein und Sorgen in Bezug auf einen potenziellen Missbrauch seiner Daten durch Dritte ausgesetzt sei. Dieser Vortrag ist jedoch zu pauschal. Der Kl. hat keine näheren Angaben dazu gemacht, wie sich diese Ängste konkret äußern und zu einer Beeinträchtigung seinerseits führen. Vielmehr spricht gegen die Annahme eines Schadens, dass der Kl. auf Nachfrage des Gerichts in der mündlichen Verhandlung angab, dass sich seine Ängste nicht in körperlichen Symptomen niederschlagen würden. Zudem hat er bekundet, seit Entdeckung des Scraping-Vorfalls nichts an seinen Profileinstellungen bei Facebook geändert zu haben. Auch dieser Umstand lässt den klägerischen Vortrag, Furcht vor einem Kontrollverlust über seine Daten zu haben, unplausibel erscheinen. Als Schaden iSd DS-GVO kann auch nicht das vom Kl. behauptete erhöhte Mail- und SMS-Aufkommen gewertet werden. Hier ist bereits der Kausalzusammenhang zwischen diesem und dem Scraping-Vorfall klägerseits nicht nachgewiesen worden. Unerwünschte E-­Mails und Anrufe erhalten gerichtsbekannt nämlich auch Personen, die keinen Facebook-Account haben und dort ihre Telefonnummer oder E-­Mail-Adresse hinterlegt haben. Selbst bei Wahrunterstellung der Kausalität mangelt es dennoch an der Darlegung einer konkreten Schadensposition. Der Kl. hat insofern nur bekundet, er müsse Zeit für das Löschen von Mails und SMS sowie das Blockieren der Absender aufwenden. In welchem Umfang dies erforderlich ist, hat der Kl. jedoch nicht dargelegt und bewiesen. Der Kl. hat keinen Anspruch auf Erstattung vorgerichtlicher Rechtsanwaltskosten aus § 280 Abs. 1 BGB oder aus Art. 82 Abs. 1 DS-GVO, da es in der Hauptsache bereits an einem Anspruch mangelt.

LG Halle Urt. v. 24.2.2023 – 3 O 177/22

0 EUR Dem Kl. steht kein Anspruch auf Zahlung von Schmerzensgeld aus Art. 82 DS-GVO zu. Insoweit fehlt es bereits an einer schadensersatzauslösenden Pflichtverletzung der Bekl. iSd DS-GVO. Ein Verstoß gegen Art. 5 Abs. 1 DS-GVO liegt schon deshalb nicht vor, weil es auch bei Informationspflichten der Rücksichtnahme auf den Grundsatz des Art. 5 Abs. 1 DS-GVO bedarf. Demnach müssen personenbezogene Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden. Dieser Grundsatz der Transparenz überträgt sich dann in die Informations- und Aufklärungspflicht nach Art. 13 DS-GVO. Die Aufklärung über die Zwecke der Verarbeitung muss insb. für den Nutzer klar verständlich und nachvollziehbar sein. Das ist vorliegend der Fall. Bei dieser Abwägung war auch maßgeblich darauf abzustellen, dass die Nutzung der Plattform als solche freiwillig ist. Es liegt auch kein Verstoß der Bekl. gegen die in Art. 32 DS-GVO statuierte Pflicht zum ausreichenden Schutz der personenbezogenen Daten der Nutzer vor. Art. 32 DS-GVO verlangt lediglich ein angemessenes Schutzniveau. Von daher war die Bekl. nicht verpflichtet, Schutzmaßnahmen zu treffen, um die Erhebung der immer öffentlich zugänglichen Informationen des Profils des Kl. zu verhindern. Der Betreiber einer Social-Media-Plattform ist insoweit nicht verpflichtet, Nutzerdaten vor der Verarbeitung durch Scraper zu schützen, soweit die Daten – wie hier – für jedermann ohne Zugangskontrolle ober Überwindung technischer Zugangsbeschränkungen abrufbar sind und dies dem Nutzer bekannt ist; die Erhebung dieser Daten als solche erfolgte daher nicht unrechtmäßig. Das Risiko, dass über technische Programme selbst gewählte Freigaben personenbezogener Daten ausgenutzt und missbraucht werden, ist bei der Internetnutzung vom Nutzer zu tragen, wenn sich dieser eigenverantwortlich zur Nutzung entschlossen hat und – wie hier – selbst entscheiden konnte, wie weit er die Angebote nutzt. Darüber hinaus liegt auch kein Verstoß der Bekl. gegen Art. 2425 Abs. 2 DS-GVO vor. Die Bekl. hat im vorliegenden Rechtsstreit detailliert und damit ausreichend dargelegt, dass sie technische Maßnahmen ergriffen hat, um Scraping zu erschweren, indem sie nämlich u. a. eine Hürde implementiert hat, die bewirkt, dass Abfragen in gewissem Umfang von ein- und derselben Adresse IP-Adresse in einem bestimmten Zeitraum nicht möglich sind bzw. gestoppt werden. Zudem ist das Vorliegen eines konkreten, immateriellen Schadens, wozu auch Ängste, Sorgen, Stress sowie Komfort – und Zeiteinbußen zählen, nicht ersichtlich. Der Kl. hat zwar ausgeführt, dass er einen erheblichen Kontrollverlust über seine Daten erlitten habe und deshalb unter großem Unwohlsein und Sorgen leide. Gegen das tatsächliche Vorliegen und die Plausibilität der vom Kl. behaupteten Beeinträchtigungen spricht jedoch bereits der Umstand, dass es sich bei den gescrapten Daten des Kl. um Daten handelt, die immer öffentlich sind. Es ist diesen Daten gerade immanent, dass sie jedem und jederzeit zugänglich sind. Von daher ist nicht nachvollziehbar, weshalb eine weitere Veröffentlichung dieser Daten beim Kl. zu einem unguten Gefühl geführt haben sollte. Dementsprechend stehen dem Kl. auch die erhobenen Nebenforderungen auf Erstattung vorgerichtlich angefallenen Rechtsanwaltshonorars und Zahlung von Zinsen nicht zu.

LG Verden Urt. v. 24.2.2023 – 1 O 205/22

0 EUR Die Klageanträge zu Ziffern 1 und 3 sind auch hinreichend bestimmt. Der klagenden Partei steht weder aus Art. 82 Abs. 1 DS-GVO noch aus einer anderen rechtlichen Grundlage ein Anspruch auf Zahlung eines immateriellen Schadensersatzes zu. Soweit die klagende Partei Verstöße der Bekl. gegen Art. 5 Abs. 1 lit. a DS-GVO durch ungenügende Information und Aufklärung, insb. zur Verwendung und Geheimhaltung ihrer Telefonnummer, einen unmittelbaren Verstoß gegen Art. 13 und 14 DS-GVO durch Nichteinhaltung konkreter Informationspflichten und eine unzureichende Auskunftserteilung als weiteren Pflichtenverstoß gegen Art. 15 DS-GVO geltend macht, ist von vornherein für keinen der behaupteten Verstöße der Anwendungsbereich des Art. 82 DS-GVO eröffnet. Gem. Art. 82 Abs. 2 S. 1 DS-GVO haftet jeder an einer Verarbeitung beteiligte Verantwortliche für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. Die verspätete Erteilung einer Datenauskunft stellt jedoch keine Verarbeitung personenbezogener Daten iSd Art. 4 Ziff. 2 DS-GVO dar. Die Verletzung von Benachrichtigungs- und Informationspflichten ist hiervon nicht umfasst. Dasselbe gilt für die behaupteten Verstöße gegen Art. 131425 und 34 DS-GVO, da auch sie lediglich Informationspflichten über die Verarbeitung enthalten, jedoch die Verarbeitung nicht selbst zum Gegenstand haben. Doch selbst wenn man den Anwendungsbereich des Art. 82 DS-GVO bei den hier behaupteten Verstößen eröffnet sähe, scheitert ein Schadensersatzanspruch daran, dass Pflichtenverstöße der Bekl. nicht vorliegen. Der Bekl. fällt ein Verstoß gegen die Transparenzpflichten aus Art. 5 Abs. 1 lit. a, 13 und 14 DS-GVO nicht zur Last. Auch ein Verstoß gegen Art. 32 DS-GVO ist der Bekl. nicht anzulasten. Ein Verstoß gegen Art. 35 DS-GVO liegt ebenfalls nicht vor. Die Bekl. hat auch nicht gegen Art. 15 und 13 DS-GVO verstoßen. Ein Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO scheitert zudem an einem ersatzfähigen Schaden. Soweit die klagende Partei den Rechtsstandpunkt vertritt, dass zulasten der Bekl. eine vollständige Darlegungs- und Beweislastumkehr eingetreten sei, teilt das Gericht diese Auffassung nicht. Die klagende Partei muss darlegen und beweisen, dass sie einen Schaden „erlitten“ hat und diesen nicht lediglich befürchtet. Zwar ist der Begriff des Schadens weit auszulegen. Nach Auffassung des Gerichts reicht jedoch nicht jeder Verstoß gegen die Vorschriften der DS-GVO, sondern es bedarf der Darlegung eines konkreten (auch immateriellen) Schadens. Insoweit hat die klagende Partei lediglich ausgeführt, dass sie einen erheblichen Kontrollverlust bzgl. ihrer Daten erlitten habe und deshalb unter großem Unwohlsein leide und einen Missbrauch ihrer Daten befürchte. Das sind lediglich Ängste und Sorgen, die keinen Schaden im o. g. Sinne darstellen. Soweit die klagende Partei vorträgt, sie erhalte seither vermehrt E-­Mails und Anrufe unbekannter Personen, genügt auch das nicht. Derartiges gehört mittlerweile zum Risiko eines jeden Nutzers digitaler Medien. Davon ist schon jede Person betroffen, die ein E-­Mail-Postfach unterhält, unabhängig davon, ob sie einen Facebook Account hat oder nicht. Gerade die freiwillige Nutzung sozialer Netzwerke erhöht insoweit aber das Risiko. Dies ist nicht der Bekl. anzulasten.

LG Paderborn Urt. v. 24.2.2023 – 3 O 220/22

1.000 EUR Der Klageantrag zu 1 ist zulässig; dieser ist entgegen der Auffassung der Bekl. insb. hinreichend bestimmt. Der Kl. hat die Möglichkeit des Eintritts zukünftiger materieller Schäden hinreichend dargelegt. Dem Kl. steht gegen die Bekl. einen Anspruch auf Schadensersatz iHv 1.000 EUR aus Art. 82 Abs. 1 DS-GVO zu. Nach dieser Vorschrift hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Zur Überzeugung der Kammer hat die Bekl. als Verantwortliche iSd Art. 4 Ziff. 7 DS-GVO gegen mehrere Vorschriften aus der DS-GVO verstoßen. Die Bekl. ist der ihr nach Art. 13 DS-GVO auferlegten Informations- und Aufklärungspflicht nicht in vollständigem Umfang nachgekommen. Die Kammer vermochte nicht festzustellen, dass die Bekl. den Kl. zum Zeitpunkt der Datenerhebung seiner Mobilfunknummer hinreichend über die Zwecke der Verarbeitung seiner Mobilfunknummer aufgeklärt hat. Die Verletzung der nach Art. 13 DS-GVO bestehenden Informations- und Aufklärungspflichten ist vom Anwendungsbereich des Schadensersatzanspruches des Art. 82 DS-GVO erfasst. Ein Schadensersatzanspruch nach Art. 82 DS-GVO kann nur dann begründet werden, wenn nach dessen Absatz 2 S. 1 ein Schaden durch eine nicht dieser Verordnung entsprechenden Verarbeitung verursacht wurde. Entsprechend der Legaldefinition des Art. 4 Ziffer 2 DS-GVO entstehen die Informations- und Aufklärungspflichten des Art. 13 DS-GVO bereits mit der Erhebung personenbezogener Daten. Bereits zu diesem Zeitpunkt hat der Verantwortliche – wie noch auszuführen sein wird – ggü. dem Betroffenen umfangreiche Informationspflichten zu erfüllen. Bildet – wie hier – die Einwilligung des Betroffenen nach Art. 6 Abs. 1 lit. a DS-GVO die Grundlage des Datenerhebungs- und somit auch des Datenverarbeitungsvorganges, kann eine solche Einwilligung unter Berücksichtigung der in der DS-GVO vorherrschenden Grundsätze einer fairen und transparenten Verarbeitung von personenbezogenen Daten keinen Bestand haben, wenn dem Betroffenen nicht bereits bei Datenerhebung sämtliche nach Art. 13 DS-GVO erforderlichen Informationen mitgeteilt werden. Die Bekl. als Verantwortliche iSd Art. 4 Ziff. 7 DS-GVO verstieß auf Grund unzureichender Sicherheitsmaßnahmen bzgl. der Nutzung des CIT auch gegen Art. 32245 Abs. 1 lit. f DS-GVO. Die Bekl. hat zudem ihre Meldepflicht aus Art. 33 DS-GVO verletzt. Schließlich ist ein Verstoß gegen die Meldepflicht geeignet, für den Verantwortlichen eine Haftung und eine Schadensersatzpflicht gem. Art. 82 DS-GVO zu begründen. Denn die Vorschrift dient sowohl dem Schutz des Betroffenen, als auch der Ermöglichung von Maßnahmen zur Eindämmung und Ahndung der Rechtsverletzung durch die Aufsichtsbehörde. Insofern genügt bereits ein solch formeller Verstoß gegen die DS-GVO zur Begründung eines Schadensersatzanspruchs dem Grunde nach. Auch ein Verstoß gegen Art. 34 Abs. 1 DS-GVO liegt vor. Auch ein Verstoß gegen diese Vorschrift ist geeignet, einen Schadensersatzanspruch zu begründen. Die Bekl. verstößt mit ihren Grundeinstellungen zur Sichtbarkeit zumindest hinsichtlich der E-­Mail-Adresse und zur Suchbarkeit über die Telefonnummer der Benutzer der Facebook-Plattform gegen Art. 25 DS-GVO. Dies verhilft der Kl. indes jedoch nicht zu einem Anspruch gem. Art. 82 Abs. 1 DS-GVO. Allein aus einem Verstoß gegen Art. 25 DS-GVO kann wegen seines organisatorischen Charakters ein Anspruch nach Art. 82 Abs. 1 DS-GVO jedoch nicht begründet werden. Die Vorschrift entfaltet bereits vor dem eigentlichen Beginn der Datenverarbeitung ihren Regelungscharakter. Zu diesem, einer tatsächlichen Datenverarbeitung vorgelagerten Zeitpunkt entfaltet die DS-GVO jedoch nach Art. 2 Abs. 1 DS-GVO noch keine Wirkung. Die Anwendbarkeit der DS-GVO setzt vielmehr eine tatsächliche Verarbeitung personenbezogener Daten voraus. Ein Anspruch aus Art. 82 DS-GVO setzt daher darüber hinaus voraus, dass weitere Verstöße gegen die DS-GVO vorliegen. Ob die Bekl. dem Auskunftsersuchen der Klägerseite über ihre personenbezogenen Daten nicht in ausreichendem Maße nachgekommen ist und dadurch gegen Art. 15 DS-GVO verstoßen hat – worauf die Kammer im Klageantrag zu 4 noch näher eingehen wird – kann dahinstehen, da ein etwaiger Verstoß keinen Schadensersatzanspruch nach Art. 82 DS-GVO auslöst. Die Norm spricht zwar demjenigen einen Schadensersatzanspruch zu, der wegen eines Verstoßes gegen diese DS-GVO einen Schaden erlitten hat. Gem. Art. 82 Abs. 2 DS-GVO haften die Verantwortlichen – insoweit konkretisierend – jedoch nur für den Schaden, der durch eine nicht der DS-GVO entsprechende Verarbeitung entstanden ist. Dies steht im Einklang mit Erwägungsgrund 146 S. 1, in dem es lautet „Der Verantwortliche oder der Auftragsverarbeiter sollte Schäden, die einer Person auf Grund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht, ersetzen.“ Daher kommt nur ein Verstoß durch die Verarbeitung selbst in Betracht, die verordnungswidrig sein muss, um einen Schadensersatzanspruch auszulösen. Auf Grund von anderen Verstößen, die nicht durch eine der DS-GVO zuwiderlaufende Verarbeitung verursacht worden sind, kommt eine Haftung nach Art. 82 Abs. 1 DS-GVO nicht in Betracht. Datenverarbeitung bezeichnet gem. Art. 4 Ziff. 2 DS-GVO nur jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. Daran gemessen stellt eine – nach Auffassung des Kl. – nicht ausreichende Auskunftserteilung keine Verarbeitung personenbezogener Daten iSd DS-GVO dar. Der Bekl. gelingt zur Abwendung des Anspruchs auch nicht die Exkulpation gem. Art. 82 Abs. 3 DS-GVO. Demnach gelingt eine Befreiung nur, wenn der Verantwortliche oder der Auftragsverarbeiter nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. Damit wird die Verantwortlichkeit der Bekl. widerleglich vermutet. Zwar ist der Begriff der Verantwortlichkeit iSd Art. 82 Abs. 3 DS-GVO nicht näher definiert. So wird dieser vorwiegend mit dem Begriff des Verschuldens gleichgesetzt. Teilweise wird dies hingegen nicht angenommen mit der Folge, dass Art. 82 DS-GVO möglicherweise als Gefährdungshaftungstatbestand zu begreifen sei, sodass dem Verantwortlichen oder Auftragsverarbeiter unabhängig von jedwedem Verschulden lediglich ganz ungewöhnliche Kausalverläufe, die jeder Lebenserfahrung widersprechen, sowie Fälle höherer Gewalt und weit überwiegenden eigenen Fehlverhaltens der betroffenen Person nicht anzulasten seien. Hierauf kommt es vorliegend jedoch nicht an. Denn der Bekl. gelingt weder der Nachweis fehlenden Verschuldens noch des Vorliegens ganz ungewöhnlicher Kausalverläufe, eines Falles höherer Gewalt oder weit überwiegenden eigenen Fehlverhaltens des Kl. Die Bekl. kann nicht nachweisen, dass sie im vorliegenden Fall kein Verschulden trifft. Das wäre nur dann der Fall, wenn sie sämtliche Sorgfaltsanforderungen erfüllt hat und ihm nicht die geringste Fahrlässigkeit vorzuwerfen ist. Das Verschulden wird vorliegend bereits allein dadurch indiziert, dass sich ein Verstoß der Bekl. gegen Art. 25 DS-GVO feststellen lässt. Denn jedenfalls wohnt einem Verstoß gegen Art. 25 DS-GVO praktisch immer eine Erhöhung der Gefahr eines Schadens inne. Eine Exkulpation ist dann nicht bzw. nur unter erschwerten Bedingungen möglich. Soweit die Bekl. hierzu vorträgt, dass sie ihre Pflichten aus der DS-GVO nicht verletzt hat, verfängt dies auf Grund der obigen Ausführungen bereits nicht. Auch der Verweis der Bekl. auf fehlende Rspr., aufsichtsbehördliche Leitlinien oder Literatur hinsichtlich des Umgangs mit Scraping-Sachverhalten verhilft dieser nicht zu einer Exkulpation. Es lässt sich hieraus schon nicht entnehmen, dass die Bekl. sämtliche Sorgfaltsanforderungen erfüllt hat oder ihr nicht die geringste Fahrlässigkeit vorzuwerfen ist. Vielmehr nutzten Dritte bereits erkannte oder erkennbare Angriffswege, um auf Daten zuzugreifen, sodass die Nichtverantwortlichkeit des Verantwortlichen nicht nachgewiesen werden kann. Scraping ist ausweislich des Beklagtenvorbringens „eine gängige Taktik“. Es war jedenfalls erkennbar, dass das CIT durch Scraping ausgenutzt werden kann. Dies begründet sich bereits aus dem Umstand, dass die Bekl. selbst Schutzmaßnahmen behauptet und somit von der Notwendigkeit dieser ausgeht. IÜ behauptet die Bekl. das Vorliegen ganz ungewöhnlicher Kausalverläufe, einen Fall höherer Gewalt oder ein weit überwiegendes eigenes Fehlverhalten des Kl. nicht. Dem Kl. ist nach Auffassung des Gerichts ein immaterieller Schaden iSd Art. 82 DS-GVO entstanden. Ein bloßer Datenschutzverstoß als solcher genügt für das Entstehen des Schadensersatzanspruches nicht. Vielmehr folgt bereits aus dem Wortlaut der Vorschrift, dass der Verordnungsgeber keine allein an den Rechtsverstoß anknüpfende Zahlungspflicht begründen wollte. So stellt auch der Generalanwalt in seinen Schlussanträgen iRd Vorabentscheidungsersuchens des österreichischen Obersten Gerichtshofs v. 12.5.2021 auf das Erfordernis eines konkreten Schadens ab. Der Begriff des Schadens ist nach dem Erwägungsgrund 146 S. 3 im Lichte der Rspr. des EuGH weit und auf eine Art und Weise auszulegen, die den Zielen der Verordnung in vollem Umfang entspricht. Die Ziele der DS-GVO bestehen dabei u. a. darin, den Risiken für die Rechte und Freiheit natürlicher Personen zu begegnen, die – mit unterschiedlicher Eintrittswahrscheinlichkeit und Schwere – aus einer Verarbeitung personenbezogener Daten hervorgehen und zu einem immateriellen Schaden führen können. In den Erwägungsgründen 75 und 85 wird der Kontrollverlust über die personenbezogenen Daten gerade als ein Beispiel für das Vorliegen eines solchen Schadens aufgeführt. Ein derartiger Kontrollverlust ist aus Sicht des Kl. eingetreten, da jedenfalls seine Telefonnummer, Facebook-ID, sein Name und Geschlecht im sog. „Darknet“ auf einer für jedermann abrufbaren Datenbank veröffentlicht wurden. Soweit die Bekl. die Veröffentlichung der Daten im „Darknet“ mit Nichtwissen bestreitet, kann sie damit nicht gehört werden. IÜ tritt der Kontrollverlust– unabhängig von der Veröffentlichung im „Darknet“ – bereits durch den „Scraping“-Vorfall und das damit verbundene Abschöpfen der Daten ein. Unerheblich ist, dass der Name, das Geschlecht und die Facebook-ID nach den Nutzereinstellungen des Kl. öffentlich waren. Denn jedenfalls die Verknüpfung mit seiner Telefonnummer war bis dahin nicht hergestellt. Darüber hinaus sieht Erwägungsgrund 75 vor, dass ein immaterieller Schaden auch dann anzunehmen ist, wenn die Verarbeitung eine große Menge personenbezogener Daten und eine große Anzahl von Personen betrifft. Auch dies ist auf Grund der Tatsache, dass iRd „Scraping“-Vorfall die Daten von Mio. von Facebook-Nutzern veröffentlicht wurden, anzunehmen. Ob eine erhebliche Beeinträchtigung etwa in Form eines schwerwiegenden Persönlichkeitseingriffs vorliegen muss ist umstritten, kann aber im Ergebnis dahinstehen. Zwar geht auch der Generalanwalt in seinen Schlussanträgen davon aus, dass es den nationalen Gerichten obliegt herauszuarbeiten, wann ein subjektives Unmutsgefühl die Grenze zwischen bloßem nicht ersatzfähigem Ärger und echtem ersatzfähigen immateriellen Schaden überschreitet. Vorliegend handelt es jedoch nicht um einen bloßen Bagatellschaden. Denn durch die Veröffentlichung der personenbezogenen Daten des Kl. im „Darknet“ ist die Weiterverarbeitung durch einen unbegrenzten und unbestimmten Personenkreis, insb. auch für den gezielten Missbrauch etwa in Form von Betrugsanrufen, ermöglicht. Die gem. den vorstehenden Ausführungen festgestellten Gesetzesverletzungen sind kausal für den bei dem Kl. entstandenen Schaden. Der Verantwortliche haftet lediglich für kausal durch die rechtswidrige Verarbeitung verursachte Schäden. Eine Mitursächlichkeit des Verstoßes genügt. Die Verletzung der Informations- und Aufklärungspflichten des Art. 13 Abs. 1 lit. c DS-GVO ist kausal für den bei dem Kl. entstandenen Schaden. Gem. vorstehender Erwägungen hat die Bekl. den Kl. bereits bei Erhebung seiner Mobilfunknummer nur unzureichend über die Verwendung seiner Mobilfunknummer im Hinblick auf das CIT aufgeklärt, sodass bezogen auf die Mobilfunknummer eine rechtswidrige Verarbeitung vorliegt. Diese ist auch kausal für den beim Kl. entstandenen Schaden, da es durch die Verwendung des CIT zu einem Kontrollverlust auf Seiten des Kl. kam. Auch der Verstoß gegen Art. 32245 Abs. 1 lit. f DS-GVO ist für den eingetretenen Schaden kausal, denn durch die unzureichenden Schutzmaßnahmen ermöglichte bzw. erleichterte der Bekl. ein Ausnutzen des CIT durch „Scraping“. Dieses hat einen Kontrollverlust über die personenbezogenen Daten zur Folge. Der Schaden beruht zudem kausal auf einem Verstoß gegen Art. 33 und Art 34 DS-GVO. Zwar ist der geltend gemachte Kontrollverlust bereits durch das „Scraping“ der Daten erstmals eingetreten. Durch die unterlassene Benachrichtigung des Kl. wurde ihm jedoch die Möglichkeit genommen, geeignete Maßnahmen zu ergreifen, um das Risiko des Missbrauchs seiner Daten zu minimieren. Auch die zuständige Datenschutzbehörde konnte mangels rechtzeitiger Meldung keine Schritte zur Risikominimierung und Absicherung der Daten einleiten. Die Kammer hält ein Schmerzensgeld von 1.000 EUR für angemessen, aber auch ausreichend, um einerseits der Ausgleichs- und Genugtuungsfunktion zu genügen, und andererseits der generalpräventiven Funktion des immateriellen Schadensersatzes hinreichend Rechnung zu tragen. Dabei hat das Gericht von dem ihm gem. § 287 Abs. 1 ZPO eingeräumten Ermessen Gebrauch gemacht. Unter Berücksichtigung des Erwägungsgrunds 146 S. 6 soll die betroffene Person einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten. Zur Bemessung der Höhe des immateriellen Schadensersatzes können die Kriterien des Art. 83 Abs. 2 DS-GVO herangezogen werden. Nach dieser Vorschrift sind für die Ermittlung der Höhe einer Geldbuße u. a. die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung, der Grad des Verschuldens, Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens, frühere einschlägige Verstöße sowie die Kategorien der betroffenen personenbezogenen Daten zu betrachten. Je intimer, finanziell bedrohlicher, potenziell ehrverletzender oder kränkender und persönlich wichtiger die abgeflossenen Daten sind, desto höher muss der immaterielle Schaden ausfallen. Darüber hinaus ist zu berücksichtigen, dass dem Schadensersatzanspruch unter Berücksichtigung der Erwägungsgründe 75 und 85 eine abschreckende Wirkung zukommen und der DS-GVO durch eine empfindliche Anspruchshöhe zu einer effektiven Geltung verhelfen soll. Wenn es zu vielen Fällen von Rechtsverstößen durch den gleichen Verantwortlichen kommt, kann die Abschreckung allerdings auch in der Breite der Schadensersatzpflicht, d. h. in der Summe aller immateriellen Ersatzansprüche gesehen werden. Wesentlich sind am Ende allerdings die konkreten Umstände des Einzelfalles. Vorliegend hat das Gericht seiner Entscheidung zugrunde gelegt, dass sich die Bekl. mehrere Verstöße gegen die DS-GVO vorwerfen lassen muss, die einen sehr weitgehenden Kontrollverlust der personenbezogenen Daten des Kl. ermöglicht und begünstigt haben. Berücksichtigung gefunden hat insb., dass der Kl. den „Scraping“-Vorfall zum Anlass genommen hat, seine von dem „Scraping“-Vorfall betroffene Handynummer, die im Zeitraum v. 2.3.2014 bis zum 26.3.2021 mit seinem Facebook-Profil verknüpft war, zu ändern. Die Kammer verkennt nicht, dass der Kl. nach wie vor aktiver Nutzer der Plattform Facebook ist. Allerdings war der Entscheidung positiv zugrunde zu legen, dass der Kl. nicht nur seine von dem „Scraping“-Vorfall betroffene Handynummer gewechselt, sondern darüber hinaus gleichzeitig eine Überprüfung der „Suchbarkeits-Einstellung“ durch den Kl. erfolgt ist. Weiter hat der Kl. im Rahmen seiner persönlichen Anhörung nachvollziehbar ausgeführt, dass er vor dem Wechsel seiner Handynummer täglich zwischen 2 bis 10 Spamanrufe erhalten habe, wobei er immer mit seinem Nachnamen angesprochen worden sei und die nunmehr unter Verwendung der neuen Handynummer nicht mehr erfolgten. Diese Umstände verdeutlichen, dass der objektive Kontrollverlust der personenbezogenen Daten den Kl. jedenfalls subjektiv so stark getroffen hat, dass dieser durch den streitgegenständlichen „Scraping-Vorfall“ aktiv dazu angehalten wurde, selbst Konsequenzen zu ziehen und einem möglichen Missbrauch der Daten in Zukunft aktiv entgegenzutreten. Dem steht nicht entgegen, dass der Kl. sein Facebook-Profil seit dem 26.3.2021 mit seiner neuen Handynummer verknüpft hat. Der Kl. hat im Rahmen seiner persönlichen Anhörung nachvollziehbar zum Ausdruck gebracht, die Verknüpfung der neuen Handynummer auf Grund der damit verbundenen Funktionalitäten – wie zB das Suchen und Auffinden unter Freunden – vorgenommen zu haben. Der mit dem Klageantrag zu 2 geltend gemachte Feststellungsantrag ist auch begründet. Gem. vorstehender Ausführungen hat der Kl. ggü. der Bekl. wegen Verletzung der DS-GVO einen Anspruch auf Schadensersatz nach Art. 82 DS-GVO. Die jeweiligen Gesetzesverletzungen sind – wie bereits erörtert – zudem kausal für den unkontrollierten Datenverlust des Kl. Die vorgerichtlichen Rechtsanwaltskosten sind als Teil des zu ersetzenden Schadens gem. Art. 82 Abs. 1 DS-GVO zu erstatten. Aufgrund der Schwierigkeit der Sach- und Rechtslage war die Hinzuziehung eines Rechtsanwalts zur effektiven Durchsetzung der klägerischen Ansprüche erforderlich und notwendig. Ausgehend von einem Wert des berechtigten Verlangens des Kl. von bis zu 4.000 EUR zum Zeitpunkt der außergerichtlichen Tätigkeit ergibt dies Kosten iHv 453,87 EUR. Der Zinsanspruch folgt aus §§ 288291 BGB.

LG Bonn Urt. v. 23.2.2023 – 10 O 142/22

0 EUR Der Klageantrags zu 1 ist zulässig und nicht unbestimmt iSv § 253 Abs. 2 ZPO. Dem Kl. steht kein Anspruch auf Zahlung eines immateriellen Schadensersatzes iHv 1.000 EUR gem. Art. 82 Abs. 1 DS-GVO oder einer anderen Anspruchsgrundlage zu. Dabei kann bereits dahinstehen, ob überhaupt ein Verstoß der Bekl. gegen die DS-GVO vorliegt, der als schadensersatzauslösende Pflichtverletzung innerhalb des Schutzzwecks des Art. 82 DS-GVO liegt. Denn dem Kl. ist es auch nach seiner persönlichen Anhörung in der mündlichen Verhandlung jedenfalls nicht gelungen, den Eintritt eines (eigenen) kausal verursachten Schadens als überwiegend wahrscheinlich (§ 287 ZPO) nachzuweisen. Für den geltend gemachten immateriellen Schadensersatz gelten die iRv § 253 BGB entwickelten Grundsätze. Die Ermittlung obliegt dem Gericht nach § 287 ZPO, wobei Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie die konkret betroffenen personenbezogenen Daten zu berücksichtigen sind. Auch sind in diesem Zusammenhang die Erwägungsgründen der europäischen Grundrechtscharta zu beachten, wonach der Schadensbegriff weit auszulegen ist (dazu Erwägungsgrund 146). Darüber hinaus sollen die betroffenen Personen einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten. Insoweit wird die abschreckende Wirkung des Schadensersatzes betont und ein effektiver Rechtsschutz in den Vordergrund gerückt. Nach dem Erwägungsgrund Ziff. 75 DS-GVO kann zB ein Nichtvermögensschaden durch Diskriminierung, Identitätsdiebstahl, Betrug, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden persönlichen Daten oder gesellschaftliche Nachteile eintreten. Einerseits ist ein genereller Ausschluss von Bagatellschäden im Lichte dieser Erwägungsgründe nicht vertretbar, andererseits genügt ein bloßer Ärger über den Datenschutzverstoß oder Kontrollverlust an Daten oder ein subjektives Unmutsgefühl nicht, um einen immateriellen Schaden anzunehmen. Allein eine Verletzung des Datenschutzrechts begründet ebenfalls entgegen der Auffassung der Klagepartei für sich genommen noch nicht einen Schadensersatzanspruch für die betroffene Person, solange damit nicht im Einzelfall ein (immaterieller) Schaden verbunden ist, d. h. kausal negative Konsequenzen für den Betroffenen. Das Gericht folgt hier den Ausführungen des Schlussantrags des Generalanwalts in dem Verfahren vor dem EuGH – C-300/21. Dafür spricht auch der Wortlaut des Art. 82 Abs. 5 DS-GVO, nach dem der Schaden „erlitten“ sein muss. Das ist nur der Fall, wenn dieser wegen eines Verstoßes gegen die Verordnung (Art. 82 Abs. 1 DS-GVO) tatsächlich entstanden, spürbar und objektiv nachvollziehbar ist und nicht nur von dem Betroffenen befürchtet wird. Es bedarf dazu nach Auffassung des Gerichts der Darlegung eines konkreten (auch immateriellen) Schadens. Allerdings ist es nicht erforderlich, dass der eingetretene Schaden eine bestimmte Erheblichkeitsschwelle überschreitet, denn auch Bagatellschäden sind grundsätzlich ersatzfähig. Das Vorliegen eines konkreten, immateriellen Schadens, wozu auch Ängste, Sorgen, Stress sowie Komfort- und Zeiteinbußen zählen, hat der Kl. im Ergebnis nicht hinreichend dargetan noch bewiesen. Er hat zwar iRd Klageschrift ausführen lassen, dass er einen erheblichen Kontrollverlust über seine Daten erlitten habe und deshalb unter großem Unwohlsein und Sorgen leide sowie einen Missbrauch befürchte; letztlich geht das Gericht aber nicht mit hinreichender Wahrscheinlichkeit davon aus, dass der Kl. unter den in der Klageschrift beschriebenen Ängsten und Sorgen tatsächlich kausal verursacht durch das Abgreifen persönlicher Daten iRd hier streitgegenständlichen „Datenlecks“ leidet. Dagegen spricht bereits der Umstand, dass es sich bei den „gescrapten“ Daten des Kl. mit – Ausnahme der Mobilfunknummer – um Daten handelt, die immer öffentlich sind. Es ist diesen Daten gerade immanent, dass sie jedem und jederzeit zugänglich sind. Dies wird auch nach den Angaben des Kl. in der mündlichen Verhandlung grundsätzlich so gewünscht, da er ja schließlich aus diesem Grund auf F. nach wie vor aktiv ist, um „gefunden“ zu werden und sein hobby auszuüben. Auf diesen Umstand weist die Bekl. ihre Nutzer auch ausdrücklich hin (dazu im einzelnen Ausführungen im Hilfebereich zu „Was sind öffentliche Informationen auf F.“, sodass nicht nachvollziehbar ist, weshalb eine „weitere Veröffentlichung“ dieser Daten nach dem sog. Scraping bei dem Kl. zu einem unguten Gefühl und/oder verstärkter Unsicherheit geführt haben sollte. Dagegen spricht auch der Umstand, dass es sich offensichtlich um eine standardisierte Klageschrift handelt, die für eine Vielzahl von betroffenen Nutzern eingereicht worden ist und jeweils die gleichen „Symptome“ der Unsicherheit und Sorge beklagt werden. Auch wurde vorgetragen, dass sich der Kl. auf Grund des Vorfalles mit betrügerischen E-­Mails auseinandersetzen müsse, obwohl die E-­Mail-Adresse – nach dem Vortrag der Klägerseite und auch auf ausdrücklich Nachfrage bestätigt in der mündlichen Verhandlung gar nicht „gescrapt“ worden ist; d. h. seine E-­Mail-Adresse ist durch den streitgegenständlichen Vorfall überhaupt nicht öffentlich verbreitet worden. Das Gericht ist aber auch nach der Anhörung des Kl. in der mündlichen Verhandlung nicht zu der Überzeugung gekommen, dass dem Kl. wegen des Scraping-Vorfalls betreffend die Veröffentlichung der Mobilfunknummer ein konkreter immaterieller Schaden entstanden ist. Dabei ist zunächst zu berücksichtigen, dass auch die Angabe der Mobilfunknummer bei der Anmeldung auf F. freiwillig erfolgt und nicht für die Registrierung erforderlich ist. Die Bekl. hat das belegt durch Vorlage der entsprechenden Informationen zu Privatsphäre-Einstellungen, die der Anmelder sich bei dem Anmeldevorgang ohne Probleme beschaffen kann und auf die auch ausreichend klar hingewiesen wird. Für die Privatsphäre-Einstellung „Suchbarkeit“ konnte der Kl. in dem relevanten Zeitraum festlegen, dass nur „Freunde von Freunden“ oder „Freunde“ das Profil finden können, auch wenn erst ab Mai 2019 den Nutzern die Option „Nur ich“ zur Verfügung stand. Dennoch hat der Kl. seine Telefonnummer angegeben und die Suchbarkeit jedenfalls bis zum 13.11.2018 gar nicht beschränkt, obwohl eine Beschränkung auf „Freunde“ möglich gewesen wäre. Dies steht für das Gericht auf Grund des Screen-Shots mit ausreichender Wahrscheinlichkeit fest, die Vernünftigen Zweifeln Schweigen gebietet. Soweit der Kl. in der mündlichen Verhandlung demgegenüber angegeben hat, er habe bereits 2012 bestimmte Einstellungen auf „nur für mich“ und andere auf „nur für Freunde“ geändert, da er in einem sicherheitsrelevanten Bereich der Bundeswehr gearbeitet habe, so blieb dies Angabe insoweit vage, als er nicht mitteilte, welche Einstellungen er denn hinsichtlich welcher Daten geändert haben will. Soweit er angab, er bezweifele, dass die von Beklagtenseite erläuterten Einstellungsmöglichkeiten auch bereits 2008 bestanden, genügen derartige Zweifel nicht, denn die Anmeldung hat er selbst vorgenommen und die Umstände unterliegen damit seiner eigenen Wahrnehmung. Angesichts des konkreten Vortrags der Bekl., dass diese Einstellungen der Privatsphäre so zu jeder Zeit wie in der Klageerwiderung geltend gemacht und mit Unterlagen belegt bestanden, hätte es eines konkreten Gegenvortrags bedurft. So hat der Kl. auch lediglich ausgeführt, dass die Bekl. im Jahr 2008 „suggeriert“ habe, die Angabe der Telefonnummer sei verpflichtend; das wiederum spricht aber dafür, dass auch im Jahr 2008 eine Verpflichtung bei Anmeldung tatsächlich nicht bestand. Soweit sich der Kl. darauf beruft, die Informationen der Bekl. seien unübersichtlich und nicht verständlich, ist das bereits nicht glaubhaft, da der Kl. angegeben hat, selbst im IT-Bereich zu arbeiten und sich erkennbar gut mit den Möglichkeiten der Sicherung von Daten auskannte. Dass er die Erklärungen der Bekl. zu den Einstellungen der Privatsphäre zur „Suchbarkeit“ danach nicht verstanden haben will, ist für das Gericht nicht nachvollziehbar. Dass der Kl. die Telefonnummer angab, spricht eher dafür, dass er zum Zeitpunkt der Anmeldung auf F. jedenfalls noch kein besonderes Interesse daran hatte, die Möglichkeit einer Verbreitung seiner Mobilfunknummer zu kontrollieren. Soweit der Kl. zu der Veröffentlichung der Telefonnummer auf Grund des Scraping-Vorfalls bzgl. des konkreten Schadens in der mündlichen Verhandlung angegeben hat, er habe danach „eigentlich schlagartig ab 2019“ vermehrt typische Telefonanrufe von CIA oder BKA oder DHL-SMS ca. alle 3-4 Wochen erhalten, hat die Bekl. dieses Vorbringen bestritten. Geeignete Beweise hat der Kl. dafür nicht vorgelegt. Insb. die Anlage K 7 kann dafür nicht als Beleg dienen, da es sich insoweit um Telefonanrufe aus September/Oktober 2021 handelt, bei denen ein konkreter Zusammenhang zu dem behaupteten „Datenleck“ nicht ersichtlich ist. Insoweit wurde auch in der mündlichen Verhandlung bereits darauf hingewiesen, dass Anrufe von unbekannten Telefonnummern gerichtsbekannt auch ohne Registrierung bei F. nicht unüblich sind und auf vielerlei Ursachen beruhen können. Eine kausale Schädigung auch immaterieller Art lässt sich dadurch nicht belegen.

LG Krefeld Urt. v. 22.2.2023 – 7 O 113/22 = ZD 2023, 634 (Ls.)

0 EUR Der Klageantrag zu 1 ist – entgegen der Ansicht der Bekl. – hinreichend iSd § 253 Abs. 2 Ziff. 2 ZPO bestimmt. Der Kl. hat schon nicht ausreichend dargelegt, dass er von dem streitgegenständlichen Scraping-Vorfall betroffen ist. Dem Kl. steht kein Anspruch auf Zahlung eines immateriellen Schadensersatzes gem. Art. 82 Abs. 1 DS-GVO zu. Die Norm statuiert auf Tatbestandsebene das Vorliegen eines Verstoßes gegen die DS-GVO, den Eintritt eines materiellen oder immateriellen Schadens und die Kausalität der beiden Voraussetzungen („wegen“). Zwar ist der sachliche (Art. 2 DS-GVO) und räumliche (Art. 3 DS-GVO) Anwendungsbereich der Verordnung im konkreten Fall der Nutzung einer social-media Plattform in der Europäischen Union eröffnet. Es liegt auch ein Verstoß seitens der Bekl. gegen Art. 25 Abs. 1 und 2 DS-GVO vor. Dem Kl. ist es jedoch nicht gelungen, den Eintritt eines ihm entstandenen kausalen Schadens als überwiegend wahrscheinlich iSd § 287 ZPO nachzuweisen. Der Kl. kann den geltend gemachten Schmerzensgeldanspruch nicht auf einen Verstoß gegen Art. 5 Abs. 1 lit. a DS-GVO iVm Art. 12 und 1314 DS-GVO stützen. Es liegt auch kein Verstoß gegen Art. 3224 DS-GVO vor. Auch ein Verstoß der Bekl. gegen die in Art. 33 und 34 DS-GVO geregelte Benachrichtigungspflicht kommt nicht in Betracht. Ein Verstoß liegt auch nicht wegen verspäteter Erfüllung des Auskunftsanspruchs des Art. 15 DS-GVO vor. Ein Verstoß gegen Art. 25 Abs. 2 DS-GVO liegt nicht vor. Dem Kl. ist es auch nicht gelungen, den Eintritt eines ihm entstandenen kausalen Schadens als überwiegend wahrscheinlich iSd § 287 ZPO nachzuweisen. Für den immateriellen Schadensersatz gelten dabei die iRv § 253 BGB entwickelten Grundsätze; die Ermittlung obliegt dem Gericht nach § 287 ZPO. Nach dem ausdrücklichen Wortlaut des geltend gemachten Art. 82 DS-GVO muss der Schaden „entstanden“ sein, woraus sich ergibt, dass ein bloßes Befürchten desselben nicht ausreicht. Voraussetzung ist somit der tatsächliche Schadenseintritt. Der einfache Verstoß gegen die Vorschriften der DS-GVO reicht nicht schon aus. Zwar ist der Begriff des Schadens nach den Erwägungen der DS-GVO (Erwägungsgrund 146 S. 3) weit auszulegen; es bedarf hierfür aber der zusätzlichen Darlegung eines konkreten (auch immateriellen) Schadens. Nicht erforderlich ist demgegenüber, dass der eingetretene Schaden erheblich ist. Betrachtet man bei teleologischer Auslegung die Erwägungen des Verordnungsgebers, wird deutlich, dass der Schadensbegriff des Art. 82 DS-GVO so extensiv zu verstehen ist, dass auch Bagatellschäden erfasst sind. Für die Annahme eines immateriellen Schadens in einer solchen Konstellation könnten zwar Erwägungsgrund 75 S. 1 und 85 S. 1 DS-GVO sprechen, die explizit auf den Kontrollverlust über personenbezogene Daten Bezug nehmen. Bei näherer Betrachtung stellt sich eine solche Schlussfolgerung aber als voreilig dar: Erwägungsgrund 85 DS-GVO nimmt bereits systematisch nicht auf Art. 82 DS-GVO, sondern auf Art. 34 DS-GVO Bezug, sodass seine Aussagekraft für die Auslegung des Schadensbegriffs stark eingeschränkt ist. In Erwägungsgrund 75 DS-GVO wird der Verlust der Kontrolle über personenbezogene Daten zudem (nur) als ein „Risiko“ bezeichnet, also gerade nicht per se mit einem (immateriellen) Schaden gleichgesetzt. Vielmehr ist für die Annahme eines immateriellen Schadens zu fordern, dass der Tatsachenvortrag der betroffenen Person das Vorliegen einer immateriellen Beeinträchtigung trägt, die über den schlichten Kontrollverlust hinausgeht. Bloß unspezifische Behauptungen und reine Unannehmlichkeiten werden hierbei nicht genügen. Denn Erwägungsgrund 75 S. 1 DS-GVO fordert nach Wortlaut und Systematik das Vorliegen eines (physischen, materiellen oder immateriellen) Schadens, der hinsichtlich seines Gewichts zu „erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen führen kann“. Zwar wurden die klägerischen Daten, die dieser einem gewissen Nutzerkreis der Plattform zugänglich machte, durch den Scraping-Vorfall abgegriffen und allgemein-zugänglich im Internet veröffentlicht; gegen einen Kontrollverlust spricht aber bereits der Umstand, dass es sich bei den „gescrapten“ Daten des Kl. mit – Ausnahme der Mobilfunknummer – um Daten handelt, die immer öffentlich sind. Es ist diesen Daten daher gerade immanent, dass sie jedem und jederzeit zugänglich sind. Auf diesen Umstand weist die Bekl. ihre Nutzer auch ausdrücklich hin, sodass es für die Kammer nicht nachvollziehbar ist, weshalb eine „weitere Veröffentlichung“ dieser Daten, bei dem Kl. zu Kontrollverlust geführt haben sollte. Neben einem mangelnden Kontrollverlust des Kl. beziehen sich die Erwägungsgründe allerdings auch nur auf Regelbeispiele, sodass weitere immaterielle Schadensbilder wie etwa ein allgemeines Unwohlsein grundsätzlich denkbar sind. Das Vorliegen eines solchen konkreten, immateriellen Schadens, wozu immer auch körperliche Manifestationen durch Ängste, Sorgen, Stress sowie Komfort- und Zeiteinbußen zählen, hat der Kl. allerdings nicht hinreichend dargetan. Er hat zwar iRd Klageschrift ausgeführt, dass er unter großem Unwohlsein und Sorgen leide sowie einen Missbrauch befürchte. Letztlich kann die Kammer aber nicht mit hinreichender Wahrscheinlichkeit davon ausgehen, dass sich die vom Kl. unter den in der Klageschrift beschriebenen Ängsten und Sorgen auch tatsächlich im Sinne eines immateriellen Schadens manifestiert haben. Der in der Verordnung geregelte Ersatz immaterieller Schäden erstreckt sich auch nicht auf bloßen Ärger, zu dem die Verletzung ihrer Vorschriften bei der betroffenen Person geführt haben mag. Es ist vielmehr Sache der nationalen Gerichte, herauszuarbeiten, wann das subjektive Unmutsgefühl auf Grund seiner Merkmale im Einzelfall als immaterieller Schaden angesehen werden kann. Ebenso kann die Kammer keinen konkreten immateriellen Schaden aus der Veröffentlichung der Mobilfunknummer ersehen. Zweifel an dem in der Klageschrift vorgetragenem Gemütszustand des Kl. ergeben sich für das Gericht diesbezüglich bereits aus dem Umstand, dass die Eingabe der Mobilfunknummer freiwillig erfolgte, mithin für die Registrierung nicht erforderlich war. Dass der Kl. diese gleichwohl trotzdem angab, spricht dafür, dass sein allgemeines psychisches Wohlbefinden wohl nicht von der möglichst restriktiven Geheimhaltung seiner Mobilfunknummer abhängig ist. Dies umso mehr vor dem Hintergrund, dass es sich bei dem betroffenen Mobil-Telefon um ein Diensttelefon handelt und der Kl. selbst in der IT-Branche tätig ist und eigenem Bekunden nach die Sicherheitsinteressen kennt. Daneben wurde der Kl. in den Suchbarkeits- und Kontaktierungseinstellungen ausdrücklich darauf hingewiesen, dass sein Profil anhand der von ihm angegebenen Telefonnummer auffindbar war. Zudem hat der Kl. nicht ausreichend dargelegt, dass seine Telefonnummer durch den Scraping-Vorfall abgegriffen wurde. IÜ erhalten gerichtsbekannt auch Personen unerwünschte E-­Mails und Anrufe, die keinen Account bei der Bekl. haben und dort ihre Telefonnummer hinterlegt haben, was auch gegen eine eventuelle Kausalität des Schadens spricht. In seiner informatorischen Anhörung ist auch nicht deutlich geworden, dass er durch den Vorfall erheblich iSd obigen Ausführungen betroffen war. So gab er an, eine Video der Kanzlei der Prozessbevollmächtigten auf Youtube gesehen zu haben. Er danach sei bei ihm der Verdacht aufgekommen, dass die vielen Phishing-Links und -SMS im Zusammenhang mit der Bekl. stehen könnten. Über einen Wechsel seiner Telefonnummer habe er nicht nachgedacht. Es könne, so der Kl., „nicht sein, dass das mein Problem ist, wenn dort Datenlecks bestehen“. IÜ hätte ein solcher Wechsel wegen der vielen Kundenkontakte auf seinem Handy auch aus seiner Sicht nicht in Relation zu dem Vorfall gestanden. Hinsichtlich des Verstoßes gegen Art. 25 DS-GVO fehlt es zudem am notwendigen Zusammenhang mit einer konkreten Datenverarbeitung. Schließlich hat der Kl. auch ein Verschulden des Bekl. hinsichtlich des Scraping-Vorfalls nicht ausreichend dargelegt. Der Anspruch auf Ersatz vorgerichtlicher Rechtsanwaltskosten sowie der Zinsanspruch teilen das Schicksal der Hauptforderungen.

NEU LG Bonn Urt. v. 22.2.2023 – 7 O 101/22 = ZD 2023, 635 (Ls.)

0 EUR Der Kl. hat keinen Anspruch auf Zahlung eines immateriellen Schadensersatzes aus Art. 82 Abs. 1 DS-GVO oder einer anderen in Betracht kommenden Anspruchsgrundlage. Denn jedenfalls fehlt es am Eintritt eines immateriellen Schadens. Materielle Schäden macht der Kl. schon nicht geltend. Der Begriff des immateriellen Schadens ist dabei unionsrechtlich autonom auszulegen. Ein deutsches Verständnis zum Begriff des Schadens – etwa eine enge Auslegung – ist mithin nicht angezeigt. Eine Erheblichkeitsschwelle für das Vorliegen eines solchen Schadens ergibt sich gerade nicht aus der DS-GVO. Bagatellschäden sind ebenfalls erfasst. Zu verlangen ist aber jedenfalls, dass ein konkreter immaterieller Schaden auch tatsächlich eingetreten („entstanden“) ist. Diesen muss der Kl. darlegen und ggf. beweisen. Diesen Beweis hat der Kl. vorliegend aber nicht geführt.

LG Hildesheim Urt. v. 21.2.2023 – 3 O 89/22 = ZD 2023, 635 (Ls.)

0 EUR Zwingende Prozessvoraussetzung für jede Klage ist ein allgemeines Rechtsschutzinteresse oder Rechtsschutzbedürfnis, d. h. ein schutzwürdiges Interesse an der gerichtlichen Geltendmachung des eingeklagten Rechts. Der Kl. hat ggü. der Bekl. keinen Anspruch auf die Leistung eines Ersatzes für immaterielle Schäden nach Art. 82 Abs. 1 DS-GVO. Dahinstehen kann dabei, ob die Bekl. Verstöße gegen die DS-GVO begangen hat, ob die entsprechenden etwaigen Verstöße von der Schadensersatzpflicht aus Art. 82 Abs. 1 DS-GVO erfasst sind und ob für die Auslösung einer Schadensersatzpflicht nach dieser Norm eine erhebliche Beeinträchtigung erforderlich ist. In jedem Fall steht dem Kl. aus etwaig erfolgten Verstößen der Bekl. gegen die DS-GVO kein immaterieller Schadensausgleich zu. Für die Bemessung von Schadensersatzansprüchen nach Art. 82 Abs. 1 DS-GVO enthält die DS-GVO nur wenige Vorgaben. Aus dem Nebeneinander von materiellem und immateriellem Schaden folgt, dass auch solche Schäden auszugleichen sind, die sich nicht unmittelbar in Geld bemessen lassen. Nach Erwägungsgrund 146 S. 3 zu der Verordnung sollte der Begriff des Schadens im Lichte der Rspr. des EuGH zudem weit auf eine Art und Weise ausgelegt werden, die den Zielen der Verordnung in vollem Umfang entspricht. Nach Erwägungsgrund 146 S. 6 sollten die betroffenen Personen einen vollständigen und wirksamen Schadensersatz für erlittene Schäden erhalten. Nach dem ausdrücklichen Wortlaut der Vorschrift muss der Schaden hierbei „erlitten“ worden sein, woraus sich ergibt, dass dieser tatsächlich entstanden sein muss und nicht lediglich befürchtet wird. Zwar ist der Begriff des Schadens – wie dargestellt – weit auszulegen, sodass die Betroffenen einen wirksamen Ersatz bekommen; nach Auffassung der Kammer reicht jedoch ein bloßer Verstoß gegen Vorschriften der DS-GVO nicht aus, um (immateriellen) Schadensersatz verlangen zu können. Es bedarf vielmehr der Darlegung eines konkreten (auch immateriellen) Schadens. Zwischen dem eingetretenen Schaden und einem etwaigen Verstoß des Datenverarbeiters gegen Normen der DS-GVO muss ein ursächlicher Zusammenhang bestehen, wobei eine Mitursächlichkeit ausreicht. Gerade einen solchen Zusammenhang vermochte der Kl. nicht aufzuzeigen. Dies gilt selbst dann, wenn man eine emotionale Betroffenheit durch den Scraping-Vorfall unterstellen und das Ausmaß der Betroffenheit für die Entstehung eines Anspruchs auf immateriellen Schadensausgleich ausreichen lassen würde. Soweit klägerseits eine emotionale Betroffenheit dadurch vorgetragen wird, dass der Kl. infolge des Scraping-Vorfalls mit einer Vielzahl von missbräuchlichen Kontaktaufnahme etwa über Telefon, per SMS oder Mail konfrontiert wurde, steht nicht mit hinreichender Sicherheit fest, dass die Kontaktaufnahme auf den konkreten Scraping-Vorfall zurückgeht. Die Beweislast auch für diese Voraussetzung obliegt dem Anspruchsberechtigten, dies entspricht den allgemeinen deliktischen Voraussetzungen. Eine Beweislastumkehr ist der Norm ausdrücklich nur bzgl. des Gesichtspunkts des Verschuldens zu entnehmen. Dieser Beweislast vermochte der Kl. nicht zur Überzeugung der Kammer zu genügen. Maßstab für die Überzeugungsbildung der Kammer ist der Grundsatz der freien Beweiswürdigung nach § 286 ZPO, der bedeutet, dass der Richter lediglich an die Denk-­, Natur-­, und Erfahrungsgesetze gebunden ist, ansonsten aber die im Prozess gewonnenen Erkenntnisse grds. ohne Bindung an gesetzliche Beweisregeln nach seiner individuellen Einschätzung bewerten darf. Der Vorgang der Überzeugungsbildung ist nicht von objektiven Kriterien abhängig, sondern beruht auf Erfahrungswissen und Judiz des erkennenden Richters. Als Beweismaß, d. h. Kriterium für das Bewiesensein der streitigen Behauptung erforderlich, aber auch ausreichend ist die persönliche richterliche Gewissheit, die den Zweifel schweigen gebietet, ohne sie völlig auszuschließen. An diesem Maßstab gemessen verbleiben der Kammer Zweifel daran, dass der Scraping-Vorfall Ursache für die (zugenommene) missbräuchliche Kontaktaufnahme unbekannter Dritter mit dem Kl. war. Hierbei sieht sie sehr wohl, dass der Kl. im Rahmen seiner informatorischen Anhörung angab, im Nachgang zu dem Scraping-Vorfall sei er durch Spam-Anrufe und -SMS kontaktiert worden. Der Kammer ist insoweit aus eigener Anschauung bekannt, dass auch Personen ohne F.-Account unerwünschte Anrufe oder Nachrichten erhalten. Selbst wenn beim Kl. tatsächlich derartige Anrufe seit April 2021 zugenommen haben mögen, so kann dies vielerlei Ursachen haben. In diesem Zusammenhang mag auch unterstellt werden, dass der Kl. im Internet iÜ umsichtig mit der Angabe von Daten umgeht und diese nicht bei einer Mehrzahl von Stellen angibt. Gleichwohl ist weder vorgetragen noch ersichtlich und iÜ auch lebensfern, dass der Kl. die streitgegenständlichen persönlichen Daten allein bei F. hinterlegte. Zweifel an einem ursächlichen Zusammenhang zwischen Scraping-Vorfall und den konkreten Kontaktaufnahmen weckt auch der Umstand, dass der Kl. in seiner informatorischen Anhörung angab, die Kontaktierungen erfolgten nicht personenbezogen an ihn adressiert. Sollte eine Kontaktierung gerade auf die abgeschöpften persönlichen Daten des Kl. zurückgehen, läge es näher, Nachrichten an ihn persönlich zu versenden. Soweit der Kl. schriftsätzlich vorträgt, er sei bereits durch den Verlust der Kontrolle über seine Daten infolge des Scraping-Vorfalls emotional beeinträchtigt worden, hat dies die informatorische Anhörung des Kl. nicht zur Überzeugung der Kammer bestätigen können. In dieser stellte der Kl. maßgeblich auf eine Belästigung durch unerwünschte Kontaktaufnahmen und sonstige konkreten Verwendungen seiner Daten unmittelbar im Zusammenhang mit seiner Person, nicht jedoch auf die Besorgnis ab, gescrapte Daten könnten an weitere Dritte verbreitet werden. Soweit der Kl. eine Verärgerung über die Möglichkeit des Geschehens des Scraping-Vorfalls und ein nicht näher differenziertes Unwohlsein hinsichtlich des Verbleibs seiner Daten empfand, ist dies nicht hinreichend zur Begründung eines immateriellen Schadensersatzanspruchs. Schließlich ließ sich der informatorischen Anhörung des Kl. in keiner Weise entnehmen, eine emotionale Betroffenheit habe sich aus dem behaupteten zögerlichen Aufklärungsverhalten der Bekl. über den Vorfall ergeben. Im Gegenteil war ein solches Verhalten in keiner Weise Gegenstand der klägerischen Ausführungen. Soweit der Kl. insoweit schriftsätzlich behauptet, eine zeitgerechte Information durch die Bekl. hätte ihm Gelegenheit gegeben, zeitnah Schritte zur Risikominimierung zu unternehmen, kann dies nicht nachvollzogen werden. Weder wird vorgetragen noch ist ersichtlich, in welcher Weise eine Risikominimierung hätte erfolgen können. Insb. wurden vorliegend anders als in typischen Hacking-Fällen keine Zugangsdaten oder Zahlungsinformationen abgeschöpft, woraufhin eine Änderung von Passwörtern oder Sperrung von Kreditkarten hätte erfolgen können. Im Gegenteil ist davon auszugehen, dass unabhängig von einer zeitgerechten Mitteilung durch die Bekl. und auch ggf. auch noch zum heutigen Zeitpunkt die Daten des Kl. unverändert in entsprechenden Foren abgerufen werden können.

LG Paderborn Urt. v. 20.2.2023 – 4 O 190/22

350 EUR Der Klageantrag zu 1 ist zulässig. Entgegen der Auffassung der Bekl. ist er insb. hinreichend bestimmt. Dem Kl. steht gegen die Bekl. einen Anspruch auf Schadensersatz iHv 350 EUR aus Art. 82 Abs. 1 DS-GVO zu. Nach dieser Vorschrift hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Zur Überzeugung der Kammer hat die Bekl. als Verantwortliche iSd Art. 4 Ziff. 7 DS-GVO gegen mehrere Vorschriften aus der DS-GVO verstoßen. Die Bekl. ist der ihr nach Art. 13 DS-GVO auferlegten Informations- und Aufklärungspflicht nicht in vollständigem Umfang nachgekommen. Die Kammer vermochte nicht festzustellen, dass die Bekl. den Kl. zum Zeitpunkt der Datenerhebung seiner Mobilfunknummer hinreichend über die Zwecke der Verarbeitung seiner Mobilfunknummer aufgeklärt hat. Die Verletzung der nach Art. 13 DS-GVO bestehenden Informations- und Aufklärungspflichten ist vom Anwendungsbereich des Schadensersatzanspruches des Art. 82 DS-GVO erfasst. Ein Schadensersatzanspruch nach Art. 82 DS-GVO kann nur dann begründet werden, wenn nach dessen Absatz 2 S. 1 ein Schaden durch eine nicht dieser Verordnung entsprechenden Verarbeitung verursacht wurde. Entsprechend der Legaldefinition des Art. 4 Ziffer 2 DS-GVO entstehen die Informations- und Aufklärungspflichten des Art. 13 DS-GVO bereits mit der Erhebung personenbezogener Daten. Bereits zu diesem Zeitpunkt hat der Verantwortliche – wie noch auszuführen sein wird – ggü. dem Betroffenen umfangreiche Informationspflichten zu erfüllen. Bildet – wie hier – die Einwilligung des Betroffenen nach Art. 6 Abs. 1 lit. a DS-GVO die Grundlage des Datenerhebungs- und somit auch des Datenverarbeitungsvorganges, kann eine solche Einwilligung unter Berücksichtigung der in der DS-GVO vorherrschenden Grundsätze einer fairen und transparenten Verarbeitung von personenbezogenen Daten keinen Bestand haben, wenn dem Betroffenen nicht bereits bei Datenerhebung sämtliche nach Art. 13 DS-GVO erforderlichen Informationen mitgeteilt werden. Die Bekl. als Verantwortliche iSd Art. 4 Ziff. 7 DS-GVO verstieß auf Grund unzureichender Sicherheitsmaßnahmen bzgl. der Nutzung des CIT auch gegen Art. 32245 Abs. 1 lit. f DS-GVO. Die Bekl. hat zudem ihre Meldepflicht aus Art. 33 DS-GVO verletzt. Schließlich ist ein Verstoß gegen die Meldepflicht geeignet, für den Verantwortlichen eine Haftung und eine Schadensersatzpflicht gem. Art. 82 DS-GVO zu begründen. Denn die Vorschrift dient sowohl dem Schutz des Betroffenen, als auch der Ermöglichung von Maßnahmen zur Eindämmung und Ahndung der Rechtsverletzung durch die Aufsichtsbehörde. Insofern genügt bereits ein solch formeller Verstoß gegen die DS-GVO zur Begründung eines Schadensersatzanspruchs dem Grunde nach. Auch ein Verstoß gegen Art. 34 Abs. 1 DS-GVO liegt vor. Auch ein Verstoß gegen diese Vorschrift ist geeignet, einen Schadensersatzanspruch zu begründen. Die Bekl. verstößt mit ihren Grundeinstellungen zur Sichtbarkeit zumindest hinsichtlich der Emailadresse und zur Suchbarkeit über die Telefonnummer der Benutzer der Facebook-Plattform gegen Art. 25 DS-GVO. Dies verhilft der Kl. indes jedoch nicht zu einem Anspruch gem. Art. 82 Abs. 1 DS-GVO. Allein aus einem Verstoß gegen Art. 25 DS-GVO kann wegen seines organisatorischen Charakters ein Anspruch nach Art. 82 Abs. 1 DS-GVO jedoch nicht begründet werden. Die Vorschrift entfaltet bereits vor dem eigentlichen Beginn der Datenverarbeitung ihren Regelungscharakter. Zu diesem, einer tatsächlichen Datenverarbeitung vorgelagerten Zeitpunkt, entfaltet die DS-GVO jedoch nach Art. 2 Abs. 1 DS-GVO noch keine Wirkung. Die Anwendbarkeit der DS-GVO setzt vielmehr eine tatsächliche Verarbeitung personenbezogener Daten voraus. Ein Anspruch aus Art. 82 DS-GVO setzt daher darüber hinaus voraus, dass weitere Verstöße gegen die DS-GVO vorliegen. Ob die Bekl. dem Auskunftsersuchen der Klägerseite über ihre personenbezogenen Daten nicht in ausreichendem Maße nachgekommen ist und dadurch gegen Art. 15 DS-GVO verstoßen hat – worauf die Kammer im Klageantrag zu 4 noch näher eingehen wird – kann dahinstehen, da ein etwaiger Verstoß keinen Schadensersatzanspruch nach Art. 82 DS-GVO auslöst. Die Norm spricht zwar demjenigen einen Schadensersatzanspruch zu, der wegen eines Verstoßes gegen diese DS-GVO einen Schaden erlitten hat. Gem. Art. 82 Abs. 2 DS-GVO haften die Verantwortlichen – insoweit konkretisierend – jedoch nur für den Schaden, der durch eine nicht der DS-GVO entsprechende Verarbeitung entstanden ist. Dies steht im Einklang mit Erwägungsgrund 146 S. 1, in dem es lautet „Der Verantwortliche oder der Auftragsverarbeiter sollte Schäden, die einer Person auf Grund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht, ersetzen.“ Daher kommt nur ein Verstoß durch die Verarbeitung selbst in Betracht, die verordnungswidrig sein muss, um einen Schadensersatzanspruch auszulösen. Auf Grund von anderen Verstößen, die nicht durch eine der DS-GVO zuwiderlaufende Verarbeitung verursacht worden sind, kommt eine Haftung nach Art. 82 Abs. 1 DS-GVO nicht in Betracht. Datenverarbeitung bezeichnet gem. Art. 4 Ziff. 2 DS-GVO nur jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. Daran gemessen stellt eine – nach Auffassung des Kl. – nicht ausreichende Auskunftserteilung keine Verarbeitung personenbezogener Daten iSd DS-GVO dar. Der Bekl. gelingt zur Abwendung des Anspruchs auch nicht die Exkulpation gem. Art. 82 Abs. 3 DS-GVO. Demnach gelingt eine Befreiung nur, wenn der Verantwortliche oder der Auftragsverarbeiter nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. Damit wird die Verantwortlichkeit der Bekl. widerleglich vermutet. Zwar ist der Begriff der Verantwortlichkeit iSd Art. 82 Abs. 3 DS-GVO nicht näher definiert. So wird dieser vorwiegend mit dem Begriff des Verschuldens gleichgesetzt. Teilweise wird dies hingegen nicht angenommen mit der Folge, dass Art. 82 DS-GVO möglicherweise als Gefährdungshaftungstatbestand zu begreifen sei, sodass dem Verantwortlichen oder Auftragsverarbeiter unabhängig von jedwedem Verschulden lediglich ganz ungewöhnliche Kausalverläufe, die jeder Lebenserfahrung widersprechen, sowie Fälle höherer Gewalt und weit überwiegenden eigenen Fehlverhaltens der betroffenen Person nicht anzulasten seien. Hierauf kommt es vorliegend jedoch nicht an. Denn der Bekl. gelingt weder der Nachweis fehlenden Verschuldens noch des Vorliegens ganz ungewöhnlicher Kausalverläufe, eines Falles höherer Gewalt oder weit überwiegenden eigenen Fehlverhaltens des Kl. Die Bekl. kann nicht nachweisen, dass sie im vorliegenden Fall kein Verschulden trifft. Das wäre nur dann der Fall, wenn sie sämtliche Sorgfaltsanforderungen erfüllt hat und ihm nicht die geringste Fahrlässigkeit vorzuwerfen ist. Das Verschulden wird vorliegend bereits allein dadurch indiziert, dass sich ein Verstoß der Bekl. gegen Art. 25 DS-GVO feststellen lässt. Denn jedenfalls wohnt einem Verstoß gegen Art. 25 DS-GVO praktisch immer eine Erhöhung der Gefahr eines Schadens inne. Eine Exkulpation ist dann nicht bzw. nur unter erschwerten Bedingungen möglich. Soweit die Bekl. hierzu vorträgt, dass sie ihre Pflichten aus der DS-GVO nicht verletzt hat, verfängt dies auf Grund der obigen Ausführungen bereits nicht. Auch der Verweis der Bekl. auf fehlende Rspr., aufsichtsbehördliche Leitlinien oder Lit. hinsichtlich des Umgangs mit Scraping-Sachverhalten verhilft dieser nicht zu einer Exkulpation. Es lässt sich hieraus schon nicht entnehmen, dass die Bekl. sämtliche Sorgfaltsanforderungen erfüllt hat oder ihr nicht die geringste Fahrlässigkeit vorzuwerfen ist. Vielmehr nutzten Dritte bereits erkannte oder erkennbare Angriffswege, um auf Daten zuzugreifen, sodass die Nichtverantwortlichkeit des Verantwortlichen nicht nachgewiesen werden kann. Scraping ist ausweislich des Beklagtenvorbringens „eine gängige Taktik“. Es war jedenfalls erkennbar, dass das CIT durch Scraping ausgenutzt werden kann. Dies begründet sich bereits aus dem Umstand, dass die Bekl. selbst Schutzmaßnahmen behauptet und somit von der Notwendigkeit dieser ausgeht. IÜ behauptet die Bekl. das Vorliegen ganz ungewöhnlicher Kausalverläufe, einen Fall höherer Gewalt oder ein weit überwiegendes eigenes Fehlverhalten des Kl. nicht. Dem Kl. ist nach Auffassung des Gerichts ein immaterieller Schaden iSd Art. 82 DS-GVO entstanden. Ein bloßer Datenschutzverstoß als solcher genügt für das Entstehen des Schadensersatzanspruches nicht. Vielmehr folgt bereits aus dem Wortlaut der Vorschrift, dass der Verordnungsgeber keine allein an den Rechtsverstoß anknüpfende Zahlungspflicht begründen wollte. So stellt auch der Generalanwalt in seinen Schlussanträgen iRd Vorabentscheidungsersuchens des österreichischen Obersten Gerichtshofs v. 12.5.2021 auf das Erfordernis eines konkreten Schadens ab. Der Begriff des Schadens ist nach dem Erwägungsgrund 146 S. 3 im Lichte der Rspr. des EuGH weit und auf eine Art und Weise auszulegen, die den Zielen der Verordnung in vollem Umfang entspricht. Die Ziele der DS-GVO bestehen dabei u. a. darin, den Risiken für die Rechte und Freiheit natürlicher Personen zu begegnen, die – mit unterschiedlicher Eintrittswahrscheinlichkeit und Schwere – aus einer Verarbeitung personenbezogener Daten hervorgehen und zu einem immateriellen Schaden führen können. In den Erwägungsgründen 75 und 85 wird der Kontrollverlust über die personenbezogenen Daten gerade als ein Beispiel für das Vorliegen eines solchen Schadens aufgeführt. Ein derartiger Kontrollverlust ist aus Sicht des Kl. eingetreten, da jedenfalls seine Telefonnummer, Facebook-ID, sein Name und Geschlecht im sog. „Darknet“ auf einer für jedermann abrufbaren Datenbank veröffentlicht wurden. Soweit die Bekl. die Veröffentlichung der Daten im Darknet mit Nichtwissen bestreitet, kann sie damit nicht gehört werden. IÜ tritt der Kontrollverlust– unabhängig von der Veröffentlichung im „Darknet“ – bereits durch den „Scraping“-Vorfall und das damit verbundene Abschöpfen der Daten ein. Unerheblich ist, dass der Name, das Geschlecht und die Facebook-ID nach den Nutzereinstellungen des Kl. öffentlich waren. Denn jedenfalls die Verknüpfung mit seiner Telefonnummer war bis dahin nicht hergestellt. Darüber hinaus sieht Erwägungsgrund 75 vor, dass ein immaterieller Schaden auch dann anzunehmen ist, wenn die Verarbeitung eine große Menge personenbezogener Daten und eine große Anzahl von Personen betrifft. Auch dies ist auf Grund der Tatsache, dass iRd „Scraping“-Vorfall die Daten von Mio. von Facebook-Nutzern veröffentlicht wurden, anzunehmen. Ob eine erhebliche Beeinträchtigung etwa in Form eines schwerwiegenden Persönlichkeitseingriffs vorliegen muss ist umstritten, kann aber im Ergebnis dahinstehen. Zwar geht auch der Generalanwalt in seinen Schlussanträgen davon aus, dass es den nationalen Gerichten obliegt herauszuarbeiten, wann ein subjektives Unmutsgefühl die Grenze zwischen bloßem nicht ersatzfähigem Ärger und echtem ersatzfähigen immateriellen Schaden überschreitet. Vorliegend handelt es jedoch nicht um einen bloßen Bagatellschaden. Denn durch die Veröffentlichung der personenbezogenen Daten des Kl. im „Darknet“ ist die Weiterverarbeitung durch einen unbegrenzten und unbestimmten Personenkreis, insb. auch für den gezielten Missbrauch etwa in Form von Betrugsanrufen, ermöglicht. Die Verletzung der Informations- und Aufklärungspflichten des Art. 13 Abs. 1 lit. c DS-GVO ist kausal für den bei dem Kl. entstandenen Schaden. Der Verantwortliche haftet lediglich für kausal durch die rechtswidrige Verarbeitung verursachte Schäden. Gem. vorstehender Erwägungen hat die Bekl. den Kl. bereits bei Erhebung seiner Mobilfunknummer nur unzureichend über die Verwendung seiner Mobilfunknummer im Hinblick auf das CIT aufgeklärt, sodass bezogen auf die Mobilfunknummer eine rechtswidrige Verarbeitung vorliegt. Diese ist auch kausal für den beim Kl. entstandenen Schaden, da es durch die Verwendung des CIT zu einem Kontrollverlust auf Seiten des Kl. kam. Auch der Verstoß gegen Art. 32245 Abs. 1 lit. f DS-GVO ist für den eingetretenen Schaden kausal, denn durch die unzureichenden Schutzmaßnahmen ermöglichte bzw. erleichterte die Bekl. ein Ausnutzen des CIT durch Scraping. Dieses hat einen Kontrollverlust über die personenbezogenen Daten zur Folge. Der Schaden beruht zudem kausal auf einem Verstoß gegen Art. 33 und Art 34 DS-GVO. Dabei ist zu beachten, dass bei der Auslegung europarechtlicher Regelungen eine effektive Anwendung des Europarechts zu gewährleisten ist. Eine Mitursächlichkeit des Verstoßes genügt. Zwar ist der geltend gemachte Kontrollverlust bereits durch das „Scraping“ der Daten erstmals eingetreten. Durch die unterlassene Benachrichtigung des Kl. wurde ihm jedoch die Möglichkeit genommen, geeignete Maßnahmen zu ergreifen, um das Risiko des Missbrauchs seiner Daten zu minimieren. Auch die zuständige Datenschutzbehörde konnte mangels rechtzeitiger Meldung keine Schritte zur Risikominimierung und Absicherung der Daten einleiten. Die Kammer hält ein Schmerzensgeld von 350 EUR für angemessen, aber auch ausreichend, um einerseits der Ausgleichs- und Genugtuungsfunktion zu genügen, und andererseits der generalpräventiven Funktion des immateriellen Schadensersatzes hinreichend Rechnung zu tragen. Dabei hat das Gericht von dem ihm gem. § 287 Abs. 1 ZPO eingeräumten Ermessen Gebrauch gemacht. Unter Berücksichtigung des Erwägungsgrundes 146 S. 6 soll die betroffene Person einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten. Zur Bemessung der Höhe des immateriellen Schadensersatzes können die Kriterien des Art. 83 Abs. 2 DS-GVO herangezogen werden. Nach dieser Vorschrift sind für die Ermittlung der Höhe einer Geldbuße u. a. die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung, der Grad des Verschuldens, Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens, frühere einschlägige Verstöße sowie die Kategorien der betroffenen personenbezogenen Daten zu betrachten. Je intimer, finanziell bedrohlicher, potenziell ehrverletzender oder kränkender und persönlich wichtiger die abgeflossenen Daten sind, desto höher muss der immaterielle Schaden ausfallen. Darüber hinaus ist zu berücksichtigen, dass dem Schadensersatzanspruch unter Berücksichtigung der Erwägungsgründe 75 und 85 eine abschreckende Wirkung zukommen und der DS-GVO durch eine empfindliche Anspruchshöhe zu einer effektiven Geltung verhelfen soll. Wenn es zu vielen Fällen von Rechtsverstößen durch den gleichen Verantwortlichen kommt, kann die Abschreckung allerdings auch in der Breite der Schadensersatzpflicht, d. h. in der Summe aller immateriellen Ersatzansprüche gesehen werden. Wesentlich sind am Ende allerdings die konkreten Umstände des Einzelfalles. Vorliegend hat das Gericht seiner Entscheidung zugrunde gelegt, dass sich die Bekl. mehrere Verstöße gegen die DS-GVO vorwerfen lassen muss, die eine sehr weitgehenden Kontrollverlust der personenbezogenen Daten des Kl. ermöglicht und begünstigt haben. Hinzu kommt, dass der Kl. plausibel und glaubhaft den Erhalt von Spam-Anrufen und Phishing-SMS mit vermögensschädigenden Inhalten geschildert hat. Im Rahmen seiner persönlichen Anhörung hat der Kl. erklärt, dass er derzeit zwei bis drei Nachrichten pro Woche erhalte. Vor dem Scraping-Vorfall habe er zwar auch schon gelegentlich Phishing-Nachrichten erhalten, jedoch habe die Häufigkeit deutlich zugenommen. Eine Reduzierung des klägerseits angegebenen Mindestbetrages war indes gerechtfertigt, da das Gericht iRd persönlichen Anhörung des Kl. keine besondere persönliche Betroffenheit feststellen konnte. So hat der Kl. keine besonderen Maßnahmen ergriffen, um seine Daten zu schützen. Zwar hat der Kl. im Rahmen seiner persönlichen Anhörung erklärt, dass er seine Passwörter geändert und seine Einstellungen auf möglichst privat eingestellt habe, er nutze Facebook jedoch weiterhin sowohl privat als auch im Rahmen seines Gewerbes. Generell wurde bei der Anhörung deutlich, dass der Kl. keine besonders hohe Sorgfalt auf den Schutz seiner privaten Daten zu verwenden scheint. So nutzt er sowohl für den privaten, als auch für den gewerblichen Bereich eine einheitliche Handynummer. Diese ist zudem auf der Internetseite seines Gewerbebetriebes veröffentlicht. Daneben besitzt der Kl. noch immer einen Account bei Instagram. Er ist also in einem weiteren sozialen Netzwerk aktiv, welches gewerbsmäßig Daten seiner Nutzer verarbeitet und verwertet. Der geltend gemachte Anspruch auf Rechtshängigkeitszinsen folgt aus §§ 288291 BGB. Der mit dem Antrag zu 2) geltend gemachte Feststellungsantrag ist auch begründet. Da der Antrag zu 1) begründet ist, ist mit Blick auf die vom Kl. gesetzte innerprozessuale Bedingung auch über den Antrag zu 2) zu entscheiden. Gem. vorstehender Ausführungen hat der Kl. ggü. der Bekl. wegen Verletzung der DS-GVO einen Anspruch auf Schadensersatz nach Art. 82 DS-GVO. Die jeweiligen Gesetzesverletzungen sind – wie bereits erörtert – zudem kausal für den unkontrollierten Datenverlust des Kl.

LG Memmingen Endurt. v. 16.2.2023 – 24 O 913/22

0 EUR Der unbestimmte Klageantrag in 1 der Klage führt nicht zu einer Unzulässigkeit. Vorliegend ist das Stellen eines unbezifferten Klageantrags ausnahmsweise zulässig, da die Bemessung der Höhe des Schmerzensgeldes in das Ermessen des Gerichts gestellt ist. Der Anspruch auf Ersatz des immateriellen Schadens ergibt sich nicht aus Art. 82 DS-GVO. Der Anspruch ergibt sich bereits nicht aus Art. 82 DS-GVO, da der Schutzbereich nicht eröffnet ist. Art. 82 DSG-VO erfasst Verstöße, welche durch eine nicht der Verordnung der DS-GVO entsprechende Verarbeitung (von Daten) entstanden sind, vgl. Art. 82 Abs. 2 DS-GVO. Erforderlich ist daher von vornherein eine Verarbeitung von Daten iSv Art. 4 Ziff. 2 DS-GVO. Gem. Art. 4 Ziff. 2 DS-GVO handelt es sich bei um jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. Soweit die Klageseite der Bekl. Verstöße gegen Informationspflichten vorwirft, kann sich hieraus somit bereits kein Anspruch aus Art. 82 DS-GVO ergeben, da es sich um keinen Verstoß im Hinblick auf die Verarbeitung von Daten handelt. Die von Klageseite vorgebrachten Verstöße gegen Art. 131434 DS-GVO und Art. 15 DS-GVO betreffen einzig und allein Informationspflichten ggü. den betroffenen Personen. Die Information über die Verarbeitung von personenbezogenen Daten stellt aber keine Verarbeitung von personenbezogenen Daten iSv Art. 4 Ziff. 2 DS-GVO dar, sodass der Klageseite ein entsprechender Schadensersatzanspruch aus etwaigen (nicht vorliegenden) Verstößen nicht zustehen kann. Unabhängig von der Frage, ob der Schutzbereich eröffnet ist, scheitert der geltend gemachte Anspruch jedoch vorliegend an den entsprechenden Pflichtverletzungen der Bekl. Ein Verstoß gegen die Transparenzpflichten aus Art. 5 Abs. 1 lit. a, 1314 DS-GVO fällt der Bekl. nicht zur Last. Es liegt auch kein Verstoß der Bekl. gegen Art. 24 Abs. 132 Abs. 1 DS-GVO vor. Auch ein Verstoß gegen Art. 25 Abs. 2 DS-GVO ist nicht gegeben. Ein Verstoß gegen Art. 33 DS-GVO liegt ebenfalls nicht vor. Auch ein Verstoß gegen Art. 35 DS-GVO ist nicht gegeben. Auch einen Verstoß gegen die Auskunftspflicht gem. Art. 15 DS-GVO kann die Kammer vorliegend nicht erkennen. Die betroffene Person hat gem. Art. 15 Abs. 1 lit. a und Abs. 1 lit. c DS-GVO das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob er betreffend den Nutzer personenbezogene Daten verarbeitet hat. Ist dies der Fall, so hat der Nutzer ein Recht auf Auskunft über diese personenbezogenen Daten und über die Verarbeitungszwecke (lit. a) und die Empfänger oder Kategorien von Empfängern (lit. c), ggü. denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden insb. bei Empfängern in Drittländern oder bei internationalen Organisationen. Das Schreiben der Bekl. informiert den Kl. insoweit umfassend. Damit ist der Anspruch insoweit erfüllt und erloschen (§ 362 Abs. 1 BGB). Nicht beantwortet wird durch die Bekl. in dem außergerichtlichen Schreiben einzig, welchen Empfängern die Daten des Kl. durch Ausnutzung des Kontakt-Import Tools iSd Art. 15 Abs. 1 lit. c DS-GVO zugänglich gemacht wurden. Das Scraping ist allerdings – wie vorstehend ausgeführt – von außen erfolgt und es nicht erkennbar, wer diese Daten gescrapt hat. Die begehrte Auskunftserteilung ist auf Grund des Vorganges des Scrapings unter Ausnutzung von Daten, die auf „öffentlich“ gestellt sind, unmöglich. Ebenso ist im Rechtssinne unmöglich (und es wird auch nicht näher dargelegt, wie die Bekl. dies mitteilen können soll) zu informieren, wann die Daten gescrapt wurden. Die Bekl. hat dem Kl. im Ergebnis also alle Informationen mitgeteilt, die ihr selbst bzgl. des Scraping-Vorfalls zur Verfügung standen. Weitere Angaben kann sie nicht machen. Die Bekl. ist folglich hierzu auch nicht verpflichtet. Der geltend gemachte Schadensersatzanspruch scheitert darüber hinaus auch daran, dass ein ersatzfähiger Schaden iSv Art. 82 Abs. 1 DS-GVO nicht vorliegt. Der Eintritt des Schadens muss dabei iSd § 287 ZPO als überwiegend wahrscheinlich dargetan werden. Das Gericht verkennt dabei nicht, dass der Schadensbegriff im Lichte des Erwägungsgrunds Ziff. 146 der DS-GVO weit zu verstehen ist, sodass ein genereller Ausschluss von Bagatellschäden im Lichte dieser Erwägungsgründe nicht vertretbar ist. Dennoch muss jedenfalls ein Schaden tatsächlich „erlitten“ worden sein (Erwägungsgrund 146 S. 6), das heißt jedenfalls ersichtlich, spürbar, objektiv nachvollziehbar und von einem gewissen Gewicht sein. Dem Kl. ist es letztlich nicht gelungen, eine solche spürbare Beeinträchtigung unter Berücksichtigung der vorgenannten Umstände konkret darzulegen. Die Klageseite führt als immaterielle Schadenspositionen Ängste, unter denen der leide, die daraus resultierten, dass er einen erheblichen Kontrollverlust über seine Daten erlitten habe und deshalb großem Unwohlsein und Sorgen in Bezug auf einen potenziellen Missbrauch seiner Daten durch Dritte ausgesetzt sei. Zudem sei es seit dem Scraping-Vorfall zu einem Anstieg an offenkundigen Betrugsversuchen in Form von Phishing-Mails und Anrufen gekommen. Gleichzeitig berichtet der Kl. iRd persönlichen Anhörung gem. § 141 ZPO in der mündlichen Verhandlung jedoch, dass er zum einen die Einstellungen nicht geändert hat, da er nicht gewusst haben will, wie dies funktionieren soll sowie, dass er weder auf eine unerwünschte Nachricht hin, Gelder an die vermeintlichen Betrüger bezahlt hat sowie, noch dass er bei der Polizei Anzeige erstattet hat hinsichtlich der Betrugsversuche zu seinen Lasten. Die Darstellung des Kl. lassen die in der Klageschrift geschilderten Ängste bereits unplausibel erscheinen. Selbst bei Unterstellung der geschilderten Umstände als wahr, genügt dies den obigen Anforderungen jedoch nicht. Selbst Personen, die keinen F. Account nutzen und dort nicht ihre Mobilfunknummer hinterlegt haben, erhalten gerichtsbekannt unerwünschte E-­Mails und Nachrichten. Soweit die Klageseite vorbringt, dass nur den Wenigsten eine konkrete Schadendarstellung auf Grund der Reichweite und der Größe des Datenlecks gelingen dürfte und daher schon auf Grund einer bloßen Gefährdung einen Schaden annehmen will, kann sich die Kammer diesen Erwägungen nicht anschließen. Insgesamt erscheint ein Identitätsmissbrauch allein auf Grund einer Telefonnummer eher unwahrscheinlich. Insb. würde der Schadenbegriff so aufgeweicht und ausgedehnt und es würde der konkrete Nachweis einer möglichen Betroffenheit genügen, um eine Haftung zu begründen. Dies käme einer reinen Gefährdungshaftung gleich und widerspricht letztlich auch dem Erwägungsgrund 75. Eine Vorlagepflicht gem. § 267 Abs. 3 AEUV trifft die Kammer hierbei nicht, da sie nicht letztinstanzlich über die Sache entscheidet. Von der Möglichkeit zur Vorlage nach § 267 Abs. 2 AEUV macht die Kammer schon deshalb keinen Gebrauch, weil die Sache darüber hinaus bereits aus anderen Gründen keinen Erfolg hat. Zudem fehlt es an der Kausalität zwischen dem Vorwurf und dem in den Raum gestellten Schaden. Soweit der Kl. behauptet, er erhalte unerwünschte SMS und E-­Mails, so handelt es sich um ein „Phänomen“, das bereits mit der Nutzung des Internets als solcher zusammenhängt. Der Kammer ist bekannt, dass selbst Personen, welche keinen F. Account besitzen unerwünschte Anrufe und Nachrichten erhalten. Insb. sind Spam-E-­Mails mit Werbung oder Hinweis auf eine ausstehende Paketlieferung weit verbreitet. Auch Nachrichten, in welchen sich die Unbekannten Täter als Kind in Not mit neuer Handynummer ausgeben, sind üblich und gehen beinahe überall ein. Selbst wenn beim Kl. tatsächlich derartige Anrufe und Nachrichten seit April 2021 zugenommen haben mögen, so kann dies vielerlei Ursachen haben. Es ist völlig unklar und unbekannt, ob und welche Daten der Kl. an anderer Stelle freigegeben hat (zB im Rahmen weiter verbreiteter Phishing E-­Mails) und ob ein unberechtigter Datenzugriff an anderer Stelle zu dem vom Kl. behaupteten vermehrten unerwünschten Nachrichtenaufkommen geführt hat. Ausführungen zur Höhe des geltend gemachten Schmerzensgeld können daher auf Grund der vorgenannten Umstände unterbleiben. Mangels Anspruch in der Hauptsache besteht auch kein Anspruch auf Zahlung außergerichtlicher Rechtsanwaltskosten gem. § 280 Abs. 1 BGB oder aus Art. 82 Abs. 1 DS-GVO.

LG Verden Urt. v. 16.2.2023 – 2 O 51/22 = ZD 2023, 640 (Ls.)

0 EUR Der Kl. hat sein Feststellungsinteresse gem. § 256 Abs. 2 ZPO hinreichend dargelegt. Dem Kl. steht kein Anspruch auf Ersatz immateriellen Schadens aus Art. 82 Abs. 1 DS-GVO zu. Es fehlt bereits an der Anwendbarkeit dieser Norm. Soweit der Kl. der Bekl. mehrere Verstöße vorwirft, etwa ungenügende Information und Aufklärung über die Verarbeitung der ihn betreffenden Daten durch ungenügende Aufklärung zur Verwendung und Geheimhaltung der Telefonnummer (Art. 5 Abs. 1 lit. a DS-GVO), unmittelbaren Verstoß gegen Art. 1314 DS-GVO, die Informationspflichten enthielten, die seitens der Bekl. nicht eingehalten worden seien, ungenügender Schutz der personenbezogenen Daten der Nutzer von F. (Art. 2432 DS-GVO), unvollständig Auskunftserteilung nach Art. 15 DS-GVO, da nicht mitgeteilt worden sei, welchen Empfängern die Daten des Kl. durch Ausnutzung des Kontakt-Import Tools zugänglich gemacht worden seien (Art. 3334 DS-GVO), sind solche Verstöße schon nicht vom Schutzzweck des Art. 82 DS-GVO umfasst. Der sachliche Anwendungsbereich des Art. 82 DS-GVO ist zunächst bezogen auf die Geltendmachung behaupteter verspäteter Auskunftsansprüche gem. Art. 15 DS-GVO und Art. 34 DS-GVO nicht eröffnet. Denn Art. 82 Abs. 1 DS-GVO legt fest, dass jeder Person, der wegen eines Verstoßes gegen die DS-GVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragverarbeiter hat. Art. 82 Abs. 2 DS-GVO regelt den anspruchsbegründenden Sachverhalt. Gem. Art. 82 Abs. 2 S. 1 DS-GVO haftet danach jeder an einer Verarbeitung beteiligte Verantwortliche für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. Gem. Art. 2 DS-GVO umfasst der sachliche Anwendungsbereich die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Anknüpfungspunkt für eine Haftung ist also eine der Verordnung nicht entsprechende Verarbeitung iSd Art. 4 Ziff. 2 DS-GVO. Dies steht im Einklang mit Erwägungsgrund 146, wonach der Verantwortliche oder der Auftragsverarbeiter Schäden, die einer Person auf Grund einer Verarbeitung entstehen, die mit der DS-GVO nicht im Einklang stehen, ersetzen sollte. Gem. Art. 4 Ziff. 1 DS-GVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insb. mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann. Die in jedem Fall veröffentlichten Informationen des Kl. umfassen den Namen, die Nutzer-ID sowie das Geschlecht, ohne die die Nutzung der Plattform der Bekl. nicht möglich ist, worauf direkt bei der Anmeldung hingewiesen wird. Damit ist es möglich, den Kl. zu identifizieren. Es handelt sich mithin um personenbezogene Daten. Die übrigen Daten wie Telefonnummer und E-­Mail-Adresse sind ebenfalls personenbezogen, aber nicht in jedem Fall öffentlich, worauf später noch näher einzugehen ist. Gem. Art. 4 Ziff. 2 DS-GVO ist Verarbeitung jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, durch den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. Die behauptete Verletzung von bloßen Benachrichtigungspflichten bzw. Informationsrechte ist hingegen nicht erfasst. Der Schutzbereich des Art. 82 DS-GVO umfasst ebenso wenig Verstöße gegen Art. 34 DS-GVO. Schließlich lässt sich auch von vornherein aus Art. 24 DS-GVO kein subjektives Recht herleiten, selbiges gilt für Art. 25 DS-GVO. Daher kann dahinstehen, ob Verstöße etwa gegen Art. 13, 14 und 34 durch die Bekl. erfolgten, da auch sie nicht unter den Schutzbereich des Art. 82 DS-GVO fallen, weil auch sie „lediglich“ Informationspflichten über die Verarbeitung enthalten, nicht aber die Verarbeitung als solche zum Gegenstand haben. Zudem fehlt es an entsprechenden Pflichtverstößen der Bekl. gegen Normen der DS-GVO. Es ist kein Verstoß gegen Art. 5 Abs. 1 DS-GVO feststellbar. Es liegt auch kein Verstoß nach Art. 32 DS-GVO vor. Die Bekl. hat auch nicht gegen das in Art. 2425 Abs. 2 DS-GVO verankerte Prinzip „Privacy by default“ verstoßen. Es liegt ferner kein Verstoß gegen Art. 35 DS-GVO vor. Auch hat die Bekl. nicht gegen Art. 15 DS-GVO verstoßen, indem sie dem Kl. keine bzw. unvollständige Auskünfte erteilt hat. Der Anspruch auf Auskunftserteilung ergibt sich aus Art. 15 Abs. 1 lit. a, lit. c DS-GVO. Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und über die Verarbeitungszwecke (lit. a) und über die Empfänger oder Kategorien von Empfängern, ggü. denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden insb. bei Empfängern in Drittländern oder bei internationalen Organisationen (lit. c). Das Schreiben der Bekl. informiert den Kl. insoweit umfassend. Damit ist der Anspruch insoweit erfüllt und erloschen (§ 362 Abs. 1 BGB). Schließlich ist auch ein Verstoß gegen Art. 6 Abs. 113 Abs. 1 DS-GVO nicht feststellbar. Art. 82 Abs. 3 DS-GVO hilft dem Kl. nicht weiter. Die Beweislastumkehr gilt nach dessen eindeutigen Wortlaut nicht für den Schaden, der Eintritt eines solcher wird somit nicht vermutet. Jedenfalls fehlt es an einem ersatzfähigen Schaden des Kl. iSd Art. 82 Abs. 1 DS-GVO. Zwar ist nach Erwägungsgrund 146 S. 3 zur DS-GVO der Schadensbegriff weit auszulegen, der wirksame Schadensersatz muss auch Abschreckungscharakter haben. Grundvoraussetzung ist jedoch nach Erwägungsgrund 146 zur DS-GVO, dass der immaterielle Schaden „erlitten“, also tatsächlich entstanden sein muss (und nicht lediglich befürchtet werden darf). Daraus folgt auch, dass ein bloßer Verstoß gegen die DS-GVO bei der Datenverarbeitung für einen Anspruch auf Ersatz immaterieller Schäden nicht ausreicht. Es muss eine kausal hierauf beruhende spürbare Beeinträchtigung des Geschädigten hinzutreten, um von einem Schaden sprechen zu können, z. B. eine benennbare und nachweisbare Persönlichkeitsverletzung wie etwa eine „Bloßstellung“. Gemessen hieran ist ein Schaden des Kl. weder substantiiert vorgetragen noch ersichtlich. Der klägerseits behauptete „Kontrollverlust über seine Daten“ stellt keine spürbare Beeinträchtigung iSe Persönlichkeitsverletzung und damit keinen Schaden dar. Dasselbe gilt für einen behaupteten „Zustand großen Unwohlseins und Sorge über möglichen Missbrauch seiner Daten“. Die Behauptung, der Kl. habe seit April 2021 vermehrt dubiose E-­Mails und Nachrichten von unbekannten Adressen und Nummern erhalten, genügt ebenfalls nicht. Ferner gehört derartiges in unserer digitalisierten Welt mittlerweile zum allgemeinen Lebensrisiko, insb. dann, wenn man durch Unterhaltung eines F.-Accounts oder durch Teilnahme an anderen sog. sozialen Netzwerken freigiebig seine personenbezogenen Daten ins Internet stellt. Angebliche Spam-Mails und -nachrichten können damit genauso von Personen stammen, die legal durch Teilnahme an einem sozialen Netzwerk an E-­Mail-Adresse und Telefonnummer des Kl. gelangt sind.

LG Ulm Urt. v. 16.2.2023 – 4 O 86/22

500 EUR Klageantrag zu 1 ist – entgegen der Auffassung der Bekl. – hinreichend bestimmt iSd § 253 Abs. 2 Ziff. 2 ZPO. Dem Kl. steht gegen die Bekl. einen Anspruch auf Schadensersatz iHv 500 EUR aus Art. 82 Abs. 1 DS-GVO zu. Die Bekl. hat als Verantwortliche iSd Art. 4 Ziff. 7 DS-GVO gegen mehrere Vorschriften aus der DS-GVO verstoßen. Die Bekl. ist der ihr nach Art. 13 DS-GVO auferlegten Informations- und Aufklärungspflicht nicht in vollständigem Umfang nachgekommen. Denn es ist nicht feststellbar, dass die Bekl. den Kl. zum Zeitpunkt der Datenerhebung seiner Mobilfunknummer hinreichend über die Zwecke der Verarbeitung seiner Mobilfunknummer aufgeklärt hat. Die Verletzung der nach Art. 13 DS-GVO bestehenden Informations- und Aufklärungspflichten ist auch vom Anwendungsbereich des Schadensersatzanspruches des Art. 82 DS-GVO erfasst. Ein Schadensersatzanspruch nach Art. 82 DS-GVO kann nur dann begründet werden, wenn nach dessen Absatz 2 S. 1 ein Schaden durch eine nicht dieser Verordnung entsprechenden Verarbeitung verursacht wurde. Entsprechend der Legaldefinition des Art. 4 Ziffer 2 DS-GVO entstehen die Informations- und Aufklärungspflichten des Art. 13 DS-GVO bereits mit der Erhebung personenbezogener Daten. Bereits zu diesem Zeitpunkt hat der Verantwortliche ggü. dem Betroffenen umfangreiche Informationspflichten zu erfüllen. Bildet – wie hier – die Einwilligung des Betroffenen nach Art. 6 Abs. 1 lit. a DS-GVO die Grundlage des Datenerhebungs- und somit auch des Datenverarbeitungsvorganges, kann eine solche Einwilligung unter Berücksichtigung der in der DS-GVO vorherrschenden Grundsätze einer fairen und transparenten Verarbeitung von personenbezogenen Daten keinen Bestand haben, wenn dem Betroffenen nicht bereits bei Datenerhebung sämtliche nach Art. 13 DS-GVO erforderlichen Informationen mitgeteilt werden. Zudem hat die Bekl. als Verantwortliche auf Grund unzureichender Sicherheitsmaßnahmen bzgl. der Nutzung des CIT auch gegen Art. 32245 Abs. 1 lit. f DS-GVO verstoßen. Der Verstoß gegen Art. 32 DS-GVO ist auch vom Anwendungsbereich des Schadensersatzanspruches des Art. 82 DS-GVO erfasst. Zudem hat die Bekl. gegen Art. 33 DS-GVO verstoßen. Der Verstoß gegen Art. 33 DS-GVO, der auch dem Schutz des Betroffenen dient, ist auch geeignet eine Schadensersatzpflicht gem. Art. 82 DS-GVO zu begründen. Die Bekl. hat zudem auch gegen Art. 34 DS-GVO verstoßen, da sie den Kl. nicht über den Scraping-Vorfall informiert hat. Da sich aus einem Verstoß gegen Art. 25 DS-GVO wegen seines organisatorischen Charakters ein Anspruch auf Schadensersatz nach Art. 82 DS-GVO nicht begründen lässt, kann dahinstehen, ob zudem noch ein Verstoß der Bekl. gegen Art. 25 DS-GVO vorliegt. Die Bekl. kann sich auch nicht gem. Art. 82 Abs. 3 DS-GVO exkulpieren. Danach wird der Verantwortliche von der Haftung nach Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. Unabhängig davon, ob man den Begriff der Verantwortlichkeit mit Teilen der Rspr. und der Lit. mit dem Begriff des Verschuldens gleichgesetzt oder Art. 82 DS-GVO als Gefährdungshaftungstatbestand versteht, kann die Bekl. sich vorliegend nicht entlasten. Denn der Bekl. gelingt weder der Nachweis fehlenden Verschuldens noch des Vorliegens ganz ungewöhnlicher Kausalverläufe, eines Falles höherer Gewalt oder weit überwiegenden eigenen Fehlverhaltens des Kl. Die Bekl. kann nicht nachweisen, dass sie kein Verschulden trifft. Das wäre nämlich nur dann der Fall, wenn sie sämtliche Sorgfaltsanforderungen erfüllt hätte und ihr nicht die geringste Fahrlässigkeit vorzuwerfen wäre. Hält der Anspruchsgegner etwa sämtliche erforderlichen Sicherheitsmaßnahmen (Art. 32 DS-GVO) ein und kommt es dennoch zu einem unbefugten Datenzugriff, fehlt es an einem Verschulden. War der Angriffsweg dagegen bekannt oder auch nur erkennbar, ist der Entlastungsbeweis nicht geführt. Da vorliegend die nach Art. 32 DS-GVO erforderlichen Sicherheitsmaßnahmen von der Bekl. nicht eingehalten wurden, kann die Bekl. nicht nachweisen, dass sie kein Verschulden trifft. Dem Kl. ist auch ein kausaler immaterieller Schaden iSd Art. 82 DS-GVO entstanden. Die gem. den vorstehenden Ausführungen festgestellten Gesetzesverletzungen sind auch kausal für den beim Kl. entstandenen Schaden. Die Verletzung der Informations- und Aufklärungspflichten des Art. 13 Abs. 1 lit. c DS-GVO ist kausal für den bei dem Kl. entstandenen Schaden. Gem. vorstehender Erwägungen hat die Bekl. den Kl. bereits bei Erhebung seiner Mobilfunknummer nur unzureichend über die Verwendung seiner Mobilfunknummer im Hinblick auf das CIT aufgeklärt, sodass bezogen auf die Mobilfunknummer eine rechtswidrige Verarbeitung vorliegt. Diese ist auch kausal für den beim Kl. entstandenen Schaden, da es durch die Verwendung des CIT zu einem Kontrollverlust auf Seiten des Kl. kam. Auch der Verstoß gegen Art. 32245 Abs. 1 lit. f DS-GVO ist für den eingetretenen Schaden kausal, denn durch die unzureichenden Schutzmaßnahmen ermöglichte bzw. erleichterte der Bekl. ein Ausnutzen des CIT durch „Scraping“. Dieses hat einen Kontrollverlust über die personenbezogenen Daten zur Folge. Der Schaden beruht zudem kausal auf einem Verstoß gegen Art. 33 und Art. 34 DS-GVO. Zwar ist der geltend gemachte Kontrollverlust bereits durch das „Scraping“ der Daten erstmals eingetreten. Durch die unterlassene Benachrichtigung des Kl. wurde ihm jedoch die Möglichkeit genommen, geeignete Maßnahmen zu ergreifen, um das Risiko des Missbrauchs seiner Daten zu minimieren. Auch die zuständige Datenschutzbehörde konnte mangels rechtzeitiger Meldung keine Schritte zur Risikominimierung und Absicherung der Daten einleiten. Auch ein Schaden ist gegeben. Zwar genügt ein bloßer Datenschutzverstoß als solcher nicht für das Entstehen des Schadensersatzanspruches. Der Begriff des Schadens ist nach dem Erwägungsgrund 146 S. 3 im Lichte der Rspr. des EuGH allerdings weit und auf eine Art und Weise auszulegen, die den Zielen der Verordnung in vollem Umfang entspricht. Die Ziele der DS-GVO bestehen dabei u. a. darin, den Risiken für die Rechte und Freiheit natürlicher Personen zu begegnen, die – mit unterschiedlicher Eintrittswahrscheinlichkeit und Schwere – aus einer Verarbeitung personenbezogener Daten hervorgehen und zu einem immateriellen Schaden führen können. In den Erwägungsgründen 75 und 85 wird der Kontrollverlust über die personenbezogenen Daten als ein Beispiel für das Vorliegen eines solchen Schadens aufgeführt. Ein derartiger Kontrollverlust ist aus Sicht des Kl. eingetreten, da jedenfalls seine Telefonnummer, Nutzer-ID, sein Name und Geschlecht gescrapt wurden. Unerheblich ist dabei, dass der Name, das Geschlecht und die Nutzer-ID nach den Nutzereinstellungen des Kl. öffentlich waren. Denn jedenfalls die Verknüpfung mit seiner Telefonnummer war bis dahin nicht hergestellt. Dabei handelt es sich vorliegend auch nicht um einen bloßen Bagatellschaden. Denn durch das Scrapen der klägerischen Daten ist grds. die Weiterverarbeitung durch einen unbegrenzten und unbestimmten Personenkreis, insb. auch für den gezielten Missbrauch etwa in Form von Betrugsanrufen, ermöglicht. Dabei hält die erkennende Einzelrichterin im vorliegenden Einzelfall ein Schmerzensgeld iHv 500 EUR angemessen, aber auch ausreichend, um einerseits der Ausgleichs- und Genugtuungsfunktion zu genügen, und andererseits der generalpräventiven Funktion des immateriellen Schadensersatzes hinreichend Rechnung zu tragen. Vorliegend war zu berücksichtigen, dass sich die Bekl. mehrere Verstöße gegen die DS-GVO vorwerfen lassen muss, die einen sehr weitgehenden Kontrollverlust der personenbezogenen Daten des Kl. ermöglicht und begünstigt haben. Da jedoch – auch iRd informatorischen Anhörung – keine besondere persönliche Betroffenheit des Kl. festgestellt werden konnte, sind 500 EUR auch ausreichend. Auch der mit dem Klageantrag zu 2 geltend gemachte Feststellungsantrag ist begründet. Gem. vorstehender Ausführungen hat der Kl. ggü. der Bekl. wegen Verletzung der DS-GVO einen Anspruch auf Schadensersatz nach Art. 82 DS-GVO. Die jeweiligen Gesetzesverletzungen sind – wie bereits erörtert – zudem kausal für den unkontrollierten Datenverlust des Kl. Die vorgerichtlichen Rechtsanwaltskosten sind als Teil des zu ersetzenden Schadens gem. Art. 82 Abs. 1 DS-GVO zu erstatten. Aufgrund der Schwierigkeit der Sach- und Rechtslage war die Hinzuziehung eines Rechtsanwalts zur effektiven Durchsetzung der klägerischen Ansprüche erforderlich und notwendig. Ausgehend von einem Wert des berechtigten Verlangens des Kl. von 3.000 EUR zum Zeitpunkt der außergerichtlichen Tätigkeit ergibt dies Kosten iHv 367,23 EUR (1,3-fache Geschäftsgebühr nebst Pauschale nach Ziff. 7002 VV RVG zzgl. 19 % MwSt.).

NEU LG Detmold Urt. v. 7.3.2023 – 02 O 67/22

0 EUR Dem Kl. steht gegen die Bekl. kein Schmerzensgeldanspruch zu. Ein Anspruch aus Art. 82 Abs. 1 DS-GVO kommt nicht in Betracht. Es liegt kein Verstoß gegen Art. 5 Abs. 1 lit. f DS-GVO vor, da die Bekl. nicht gegen die sie treffende Obliegenheit, personenbezogene Daten vor unbefugter oder unrechtmäßiger Verarbeitung zu schützen, verstoßen hat. Ein Verstoß gegen Art. 2432 DS-GVO liegt gleichermaßen nicht vor. Nach Auffassung der Kammer liegt auch kein Verstoß gegen Art. 25 DS-GVO vor. Soweit der Kl. der Bekl. weitere Verstöße gegen die DS-GVO vorwirft, nämlich ungenügende Information und Aufklärung über die Verarbeitung der ihn betreffenden Daten durch ungenügende Aufklärung zur Verwendung und Geheimhaltung der Telefonnummer (Art. 5 Abs. 1 lit. a DS-GVO, unmittelbaren Verstoß gegen Art. 1314 DS-GVO, die konkrete Informationspflichten enthalten, die seitens der Bekl. nicht eingehalten worden seien, unvollständige Auskunftserteilung nach Art. 15 DS-GVO, da nicht mitgeteilt worden sei, welchen Empfängern seine Daten zugänglich gemacht worden seien (Art. 3334 DS-GVO) sind solche Verstöße bereits nicht vom Schutzzweck des Art. 82 DS-GVO umfasst. Art. 82 Abs. 1 DS-GVO erfasst nur solche Pflichtverstöße, die im Rahmen einer „Verarbeitung“ geschehen, was sich aus dem Wortlaut des Art. 82 Abs. 2 DS-GVO ergibt („durch eine nicht dieser Verordnung entsprechende Verarbeitung“). Art. 5 Abs. 1 lit. a, 131415 DS-GVO begründen Informationspflichten gegenüber betroffenen Personen. Auch Art. 3334 DS-GVO begründen eine Pflicht zur Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde (Art. 33 DS-GVO) bzw. die Pflicht zur Benachrichtigung der betroffenen Person (Art. 34 DS-GVO). Die Erteilung von Informationen über die Verarbeitung personenbezogener Daten, die Benachrichtigung über eine Verletzung des Schutzes personenbezogener Daten gegenüber Nutzern und die Erteilung einer beantragten Auskunft stellen jedoch keine Verarbeitungen iSv Art. 4 Nr. 2 DS-GVO dar, sodass sich aus ihrer etwaigen Verletzung kein Anspruch aus Art. 82 Abs. 1 DS-GVO ableiten lässt. IÜ scheitert ein etwaiger Schadensersatzanspruch des Kl. auch am Fehlen eines Schadens iSv Art. 82 Abs. 1 DS-GVO. Anders als der Kl. meint, genügt nicht allein der Verstoß gegen die DS-GVO, um einen Ausgleich / eine Kompensation verlangen zu können. Das widerspricht dem Schadensrecht, unabhängig vom Wortlaut des Art. 82 Abs. 1 DS-GVO. Ein Schadens- und auch Schmerzensgeldanspruch setzt stets einen immateriellen oder materiellen Schaden voraus. Dies lässt sich nach Auffassung der Kammer auch dem Wortlaut des Art. 82 Abs. 1 DS-GVO entnehmen, wonach (1) ein Verstoß gegen diese (DS-GVO) Verordnung nötig ist, der (2) zu einem materiellen oder immateriellen Schaden geführt haben muss. Die – hier nicht feststellbare – Verletzungshandlung muss in jedem Fall zu einer konkreten, nicht nur völlig unbedeutenden oder empfundenen Verletzung von Persönlichkeitsrechen der betroffenen Person geführt haben. Allein der Kontrollverlust des Kl. über seine Daten stellt keinen Schaden dar. Seine Sorge oder Angst um die verwendeten Daten und die Befürchtung, Opfer von Betrugsfällen zu werden, kann zwar nicht gemessen werden, ist hierfür jedoch noch nicht ausreichend. Immerhin darf nicht außer Acht gelassen werden, dass jedenfalls Name, F.-ID und Geschlecht von ihm öffentlich bekanntgegeben wurden und damit bereits nicht mehr unter seiner ausschließlichen Kontrolle standen. Letztlich ist also insoweit überhaupt nicht mehr bekannt geworden als das, was von ihm selbst bereits im Internet veröffentlicht wurde. Dass der Kl. insoweit keine über ein bloßes Unwohlsein gesteigerten Einschränkungen und Sorgen hinnehmen musste, zeigt auch der Umstand, dass er im Rahmen seiner Anhörung erklärt hat, noch immer bei „F.“ angemeldet zu sein. In Bezug auf die bekannt gewordene Telefonnummer mag ein gewisser Kontrollverlust vorliegen. Ob und inwieweit jedoch der Kontrolle über die Telefonnummer überhaupt ein Wert zukommt, mag bezweifelt werden. IÜ reicht ein Schadensersatzanspruch für ein bloßes Unmutsgefühl nach Auffassung der Kammer zu weit. Dass die vom Kl. vorgelegten SMS tatsächlich auf das Bekanntwerden seiner Telefonnummer zurückzuführen sind, ist nicht ersichtlich. Gleiches gilt für die von ihm dargestellten Telefonanrufe. Es ist bekannt, dass unerwünschte E-­Mails und Anrufe auch Personen erhalten, die keinen F.-Account haben und dort ihre Telefonnummer hinterlegt haben.

LG Bonn Urt. v. 10.2.2023 – 3 O 77/22

0 EUR Entgegen der Auffassung der Bekl. ist der Klageantrag zu 1 iSd § 253 Abs. 2 Ziff. 2 ZPO hinreichend bestimmt. Der Kl. hat gegen die Bekl. keinen Anspruch auf Zahlung eines Schmerzensgeldes in der geltend gemachten Höhe von 1.000 EUR. Ein solcher Anspruch ergibt sich insb. nicht aus Art. 82 Abs. 1 DS-GVO. Insoweit bedurfte es keiner Entscheidung darüber, ob der Anwendungsbereich des Art. 82 DS-GVO im gegebenen Fall eröffnet ist und ob eine Pflichtverletzung iSd Art. 82 DS-GVO durch Verstoß gegen die Vorschriften der DS-GVO (insb. Art. 322425 Abs. 2333515 DS-GVO) vorliegt, da es jedenfalls an einem ersatzfähigen Schaden des Kl. fehlt. Gem. Art. 82 Abs. 1 DS-GVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen. Für einen von dem Kl. geltend gemachten immateriellen Schadensersatz in Geld gelten dabei die im Zusammenhang mit § 253 Abs. 2 BGB entwickelten Grundsätze, sodass die Ermittlung des Schadens nach § 287 ZPO dem Gericht obliegt. Der Begriff des Schadens ist jedoch autonom, das heißt iRd DS-GVO nach deren Erwägungsgrund 146 S. 3 im Lichte der Rspr. des EuGH weit und auf eine Art und Weise auszulegen, die den Zielen der Verordnung in vollem Umfang entspricht. Schadenersatzforderungen sollen abschrecken und weitere Verstöße unattraktiv machen. Nach Erwägungsgrund 75 DS-GVO kann ein Schaden dann aus einer Verarbeitung personenbezogener Daten resultieren, wenn diese u. a. zu einer Diskriminierung, einem Identitätsdiebstahl oder -betrug, einem finanziellen Verlust, einer Rufschädigung oder anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen führt. Zusätzlich nennt Erwägungsgrund 85 DS-GVO daneben den Verlust der Kontrolle über personenbezogene Daten. Im Lichte dieser Erwägungen ist die Pflicht aus Art. 82 Abs. 1 DS-GVO zur Erstattung immaterieller Schäden entgegen § 8 Abs. 2 BDSG aF nicht nur auf schwere Verletzungen des Persönlichkeitsrechts des Betroffenen beschränkt. Gleichzeitig ist auch ein genereller Ausschluss von Bagatellschäden nicht vertretbar, da die beabsichtigte abschreckende Wirkung für den Anspruchsverpflichteten nur durch empfindliche Schmerzensgelder erreicht werden kann. Ein bloßer Datenschutzverstoß als solcher genügt für das Entstehen eines Schadensersatzanspruchs jedoch nicht, sondern es bedarf darüber hinaus der Darlegung und des Nachweises eines konkreten (auch: immateriellen) Schadens. Für das Erfordernis, neben einem Verstoß gegen die Regelungen der DS-GVO den Eintritt eines konkreten Schadens nachzuweisen, spricht dabei zunächst bereits der Wortlaut von Art. 82 Abs. 1 DS-GVO, der über den Verstoß hinaus ausdrücklich die Entstehung eines Schadens („…Schaden entstanden ist“) voraussetzt. Außerdem sieht Erwägungsgrund 146 S. 6 DS-GVO vor, dass die Betroffenen einen vollständigen und wirksamen Schadensersatz für den „erlittenen“ Schaden erhalten, woraus ebenfalls folgt, dass dem Betroffenen ein spürbarer Nachteil entstanden und eine objektiv nachvollziehbare, mit gewissem Gewicht erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen eingetreten sein muss. Würde man demgegenüber jedes Unwohlsein und jede Sorge unter den Schadensbegriff fassen, so würde dieser überdehnt und eine ausufernde Haftung begründet. Für einen Bagatellverstoß ohne ernsthafte Beeinträchtigung oder für eine bloß individuell empfundene Unannehmlichkeit ist daher ein Schmerzensgeld nicht zu gewähren. Diese Handhabung läuft entgegen der Auffassung des Kl. auch der Präventionsfunktion des Art. 82 DS-GVO und der hierfür erforderlichen Abschreckungswirkung nicht zuwider, da eine Sanktionierung entsprechender Datenschutzrechtsverstöße weiterhin im Wege des Art. 83 DS-GVO möglich bleibt. Auf dieser Grundlage konnte das Gericht eine erforderliche spürbare Beeinträchtigung von persönlichen Belangen des Kl., die zudem auf den streitgegenständlichen Scraping-Vorfall zurückzuführen sein müsste, nicht erkennen. Der Kl. trägt lediglich vor, er habe einen erheblichen Kontrollverlust über seine Daten erlitten und leide unter großem Unwohlsein und großer Sorge vor einem möglichen Missbrauch seiner Daten. Dies manifestierte sich u. a. in einem verstärkten Misstrauen ggü. E-­Mails und Anrufen von unbekannten Nummern und Adressen. Der Kl. erhalte unregelmäßig Nachrichten per SMS und per E-­Mail, die offensichtliche Betrugsversuche und potenzielle Virenlinks enthalten würden. Dabei würden u. a. bekannte Plattformen oder Zahlungsdienstleister impersoniert und durch Angabe der entwendeten Daten versucht, ein gesteigertes Vertrauen zu erwecken. Besonders hervorzuheben sei, dass der Kl. regelmäßig E-­Mails seitens der Bekl. erhalte, aus welchen offensichtlich hervorgehe, dass Dritte versuchen das F.-Passwort des Kl. zurückzusetzten bzw. sich im Account des Kl. anzumelden. Vor diesem Hintergrund habe sich der Kl. mit dem Datenleak und der Herkunft der Daten auseinandersetzen müssen. Dass die benannten Daten in Kombination sogar im Darknet gehandelt würden, vergrößere die Ängste und den Stress des Kl. Dies führe bei ihm zu dem Gefühl des Kontrollverlusts, des Beobachtetwerdens und der Hilflosigkeit. Er habe auch zusätzlich Zeit und Mühe aufgewendet, um sich vor drohendem (weiteren) Missbrauch zu schützen. Hierzu ist zunächst anzumerken, dass die klägerischen Ausführungen gerichtsbekannt mit teils identischem Wortlaut und Inhalt in einer Vielzahl weiterer Verfahren u. a. auch vor der zuständigen Kammer vorgetragen werden, weswegen bereits fraglich erscheint, inwieweit Sie tatsächlich für den hiesigen Kl. Geltung beanspruchen. Soweit dieser im Anschluss an seinen schriftsätzlichen Vortrag in seiner persönlichen Anhörung vor der Kammer erklärt hat, er bekomme „vermehrt“ SMS von dubiosen Absendern, in denen es darum gehe, dass eine Sendung verschickt worden sei und er dies anhand eines Links bestätigen soll, hat er auf das Bestreiten der Bekl. weiteren Beweis nicht angetreten. Insb. befinden sich Screenshots oder eine anderweitige Dokumentation solcher Nachrichten nicht bei der Akte. Ungeachtet dessen lässt sich nicht im Ansatz verifizieren, ob die von dem Kl. behaupteten Nachrichten ganz oder zum Teil im Zusammenhang mit dem streitgegenständlichen Scraping-Vorfall verschickt wurden. Gegen einen solchen Zusammenhang spricht vielmehr, dass ein Scraping von Daten auf der Plattform der Bekl. für den Versand solcher SMS soweit ersichtlich überhaupt nicht notwendig war, da die Telefonnummer des Kl. iRd Scraping unstreitig nicht „abgegriffen“, sondern vorab künstlich erzeugt wurde, um in der Folge weitere Daten mit dieser Nummer zu verknüpfen. Die von dem Kl. geschilderten betrügerischen Anfragen hätten demgegenüber, ohne dass es dazu weiterer Daten bedurft hätte, per SMS an die erzeugten Telefonnummern versandt werden können. Dementsprechend ist gerichtsbekannt, dass auch Personen, die entweder niemals bei F. angemeldet waren oder dort jedenfalls zu keinem Zeitpunkt ihre Mobilfunknummer hinterlegt hatten, solche oder ähnliche Kontaktanfragen erhalten. Dass die betreffenden Nachrichten zB anhand seines Namens oder seines Wohnortes personalisiert gewesen wären, hat der Kl. nicht vorgetragen. Dessen ungeachtet ist ein geschärftes Bewusstsein beim Erhalt von SMS stets angezeigt. Soweit der Kl. außerdem geschildert hat, er bekomme sehr häufig E-­Mails, dass jemand anhand seiner Telefonnummer sein F.-Konto zurücksetzen möchte, lässt sich den als Anlage K3 vorgelegten Ausdrucken bzw. Screenshots gerade nicht entnehmen, dass die betreffenden Anfragen „anhand seiner Telefonnummer“ gestellt bzw. mit seiner Telefonnummer ausgelöst worden wären. Hierzu ist wiederum gerichtsbekannt, das ein „Zurücksetzen“ des Passworts durch bloße Auswahl der Funktion „Passwort vergessen?“ in der Anmeldemaske zur Plattform der Bekl. ausgelöst werden kann. Um zuordnen zu können, zu welchem Account das Passwort zurücksetzt werden soll muss zusätzlich die dort hinterlegte E-­Mail-Adresse oder Telefonnummer eingegeben werden. In der Folge gilt aber wiederum, dass hierzu – wie bereits ausgeführt – ein vorheriges Scraping nicht notwendig ist, sondern die künstlich generierten Telefonnummern unmittelbar für eine entsprechende Vorgehensweise genutzt werden könnten. Hinzu kommt, worauf die Prozessbevollmächtigte der Bekl. in der mündlichen Verhandlung zutreffend verwiesen hat, dass eine Anfrage zum Zurücksetzen des Passwortes jederzeit auch von dem Kl. selbst oder jeglichem Dritten ausgelöst werden könnte, der die Telefonnummer oder E-­Mail-Adresse des Kl. kennt. Darüber hinaus werden die weiteren in der Anlage K3 mit Blatt 407 bis 410, 412 und 414 bis 416 vorgelegten Anfragen zum Teil – auch insoweit gerichtsbekannt – bereits automatisch generiert, wenn sich Nutzer von einem anhand der IP-Adresse zu identifizierenden unüblichen Ort oder einem anderen internetfähigen Gerät anmelden. Insgesamt stellt sich aber auch dieses Phänomen als allgemeines Lebensrisiko dar und ist eher Beweis dafür, dass die Sicherungsmaßnahmen der Bekl. funktionieren, um einen unbefugten Zugang zu einem F.-Profil auch präventiv zu unterbinden. Der Vortrag des Kl., er habe einen Kontrollverlust erlitten, vermag daher unter Berücksichtigung aller Umstände des Einzelfalls nicht zu überzeugen. Dies gilt vor allem vor dem Hintergrund, dass sämtliche betroffenen Daten des Kl. mit Ausnahme seiner Mobilfunknummer auf der Plattform der Bekl. zu jeder Zeit öffentlich und damit auch jedermann jederzeit zugänglich sind. Sie wurden von dem Kl. selbst in Kenntnis dessen dort eingegeben, sodass es wenig plausibel erscheint, dass eine „weitere Veröffentlichung“ dieser Daten bei dem Kl. zu einem unguten Gefühl geführt haben sollte. Eine maßgebliche Änderung ist überdies auch mit der Verknüpfung zwischen diesen Daten und der Telefonnummer des Kl. nicht verbunden, zumal der Kl. keinerlei Folgen oder Beeinträchtigungen vorgetragen hat, die aus eben dieser Verknüpfung resultieren. Hinzu kommt, dass die Nutzung von Mobiltelefonen im täglichen Leben zwischenzeitlich allgegenwärtig ist, wobei die Inanspruchnahme einer Vielzahl damit verbundener Dienste die Angabe der Mobilfunknummer voraussetzt, die damit nicht (mehr) zu den besonders sensiblen persönlichen Daten gezählt werden kann. Gerade die Telefonnummer kann wechseln und auch ein Identitätsmissbrauch aus dem Bekanntwerden der Telefonnummer erscheint äußerst unwahrscheinlich. Schließlich ist auch die Eingabe der Telefonnummer seitens des Kl. im Ausgangspunkt freiwillig erfolgt. Zudem haben sich die schriftsätzlich formelhaft beschriebenen Ängste und Sorgen sowie das Unwohlsein in der mündlichen Verhandlung nicht bestätigt. Entsprechende Angaben wären aber unter Berücksichtigung des Einzelfalles auch nicht glaubhaft. Der Kl. war bis zum Schluss der mündlichen Verhandlung am 16.12.2022 bei F. angemeldet. Er hat ferner im Rahmen seiner persönlichen Anhörung ausdrücklich erklärt, seine Einstellungen bei F. seit dem sog. Scraping-Vorfall, der bereits im Jahr 2019, also vor beinahe vier Jahren stattfand und vor rund zwei Jahren öffentlich bekannt wurde, nicht geändert zu haben. Konsequenzen hat er mithin nicht gezogen. Er hat sich weder bei F. abgemeldet noch hat er angegeben, seine Mobilfunknummer bzw. auch nur die im Zentrum des Scraping stehende Einstellung zur Suchbarkeit seiner Telefonnummer geändert zu haben. Darüber hinaus hat er bekundet neben F. auch die – gerichtsbekannt ebenfalls von dem M. Konzern betriebene – Social-Media-Plattform Instagram zu nutzen. Schließlich ist nicht ersichtlich, dass der Kl. irgendwelche Komfort- und Zeiteinbußen im Zusammenhang mit dem Scraping-Vorfall erlitten hat. Er hat lediglich geschildert, aus den Medien „auf das Datenleck“ aufmerksam geworden zu sein und sodann ein Formular auf der Internetseite seiner heutigen Prozessbevollmächtigten genutzt zu haben, um zu prüfen, ob die eigene Nummer betroffen sei. Nachdem dies sei der Fall gewesen sei, habe er im Anschluss seine Prozessbevollmächtigten mit der Angelegenheit beauftragt. Mangels Bestehens der Hauptforderung ist die Klage auch hinsichtlich der geltend gemachten Nebenforderungen in Form von vorgerichtlich entstandenen Rechtsanwaltskosten und Zinsen unbegründet.

LG Aachen Urt. v. 10.2.2023 – 8 O 177/22

0 EUR Der Klageantrag zu 1 ist zulässig. Der geltend gemachte Anspruch auf immateriellen Schadensersatz ergibt sich nicht aus Art. 82 Abs. 1 DS-GVO. Zwar ist hier der räumliche und sachliche Anwendungsbereich der DS-GVO bzw. des Art. 82 Abs. 1 DS-GVO eröffnet, jedoch ergibt sich aus dem klägerischen Vorbringen weder ein Verstoß der Bekl. gegen die Vorschriften der DS-GVO noch ein konkreter Schadenseintritt auf klägerischer Seite. Nach Auffassung der Kammer ist – entgegen der Ansicht des LG Essen – auch der sachliche Anwendungsbereich des Art. 82 Abs. 1 DS-GVO eröffnet, auch soweit hier die Verletzung von Informationspflichten geltend gemacht und der Schmerzensgeldanspruch zumindest auch darauf gestützt wird. Aus dem Wortlaut der Vorschrift ergibt sich gerade nicht, dass Art. 82 Abs. 1 DS-GVO durch Art. 82 Abs. 2 DS-GVO konkretisiert und eingeschränkt werden soll, sodass nur Pflichtverletzungen im Zusammenhang mit einer den Schadensersatzanspruch auslösen könnten. Das OLG Köln hat hierzu in seinem Urt. v. 14.7.2022 (I-15 U 137/21) zutreffend wie folgt ausgeführt: „In Art. 82 Abs. 1 DS-GVO ist von einem „Verstoß gegen diese Verordnung“ die Rede und gerade nicht von einer verordnungswidrigen Datenverarbeitung. Die Auffassung des LG, dass diese in Art. 82 Abs. 1 DS-GVO enthaltene Regelung dann durch Art. 82 Abs. 2 DS-GVO konkretisiert – sprich: eingeschränkt – werden sollte, ist weder dem Gesamtkontext noch dem Sinn und Zweck oder aber der Entstehungsgeschichte der Norm mit hinreichender Sicherheit zu entnehmen. Zwar spricht auch Erwägungsgrund 146 davon, dass Schäden ersetzt werden sollen, die „einer Person auf Grund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht“. Allerdings ist der Begriff der Verarbeitung in Art. 4 Ziff. 2 DS-GVO weit gefasst und umfasst zB auch die „Offenlegung durch Übermittlung“, worunter letztlich auch die hier streitgegenständliche Auskunft zu fassen ist. Daneben ergibt sich aus Erwägungsgrund 60, dass die Grundsätze einer fairen und transparenten Verarbeitung es erforderlich machen, dass die betroffene Person über die Existenz des Verarbeitungsvorgangs und seine Zwecke unterrichtet wird. Dafür wird ihr (vgl. insoweit Erwägungsgrund 63 und 75) ein entsprechendes Auskunftsrecht („problemlos und in angemessenen Abständen“) zugebilligt, um sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können. Wenn aber in dieser Hinsicht der Schutz des Betroffenen gerade durch Auskunfts- und Informationsrechte gestärkt und damit für Fairness und Transparenz beim Verarbeitungsvorgang gesorgt werden soll, spricht dies entscheidend dafür, die Ersatzpflicht nach Art. 82 Abs. 1 DS-GVO auf jeden Verstoß gegen Regelungen der Verordnung anzuwenden.“ Diesen Erwägungen schließt sich die Kammer vollumfänglich an. Auf der Grundlage des klägerischen Vorbringens bzw. des unstreitigen Sachverhalts ist jedoch ein Verstoß der Bekl. gegen die DS-GVO nicht festzustellen. Ein Verstoß gegen Art. 5 Abs. 1 lit. a DS-GVO liegt nicht vor. Es liegt ferner kein Verstoß gegen Art. 32 DS-GVO bzw. Art. 5 Abs. 1 lit. f vor. Die Bekl. hat auch nicht gegen das in Art. 2425 Abs. 2 DS-GVO verankerte Prinzip „Privacy by default“ verstoßen. Die Bekl. hat auch nicht eine etwaige Pflicht gem. Art. 33 DS-GVO verletzt, der zuständigen Aufsichtsbehörde einen Datenschutzverstoß zu melden. Schließich hat die Bekl. auch nicht gegen Art. 15 DS-GVO verstoßen, indem sie der Klagepartei keine bzw. unvollständige Auskünfte erteilt hätte. Unabhängig davon, ob hier – von der Kammer verneint – überhaupt ein Verstoß gegen Vorschriften der DS-GVO vorliegt, scheitert ein Anspruch aus Art. 82 Abs. 1 DS-GVO aber jedenfalls daran, dass hier kein restitutionsfähiger (immaterieller) Schaden vorliegt. Für den – hier geltend gemachten – immateriellen Schadensersatz gelten dabei die iRv § 253 BGB entwickelten Grundsätze; die Ermittlung obliegt dem Gericht nach § 287 ZPO. Es können für die Bemessung die Kriterien des Art. 83 Abs. 2 DS-GVO herangezogen werden, zB die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie die betroffenen Kategorien personenbezogener Daten. Zu berücksichtigen ist auch, dass die beabsichtigte abschreckende Wirkung nur durch für den Anspruchsverpflichtenden empfindliche Schmerzensgelder erreicht wird, insb. wenn eine Kommerzialisierung fehlt. Ein genereller Ausschluss von Bagatellfällen ist damit nicht zu vereinbaren. Die Pflicht zur Erstattung immaterieller Schäden ist daher nicht auf schwere Schäden beschränkt. Nach den Erwägungsgründen der europäischen Grundrechtscharta ist der Schadensbegriff weit auszulegen (s. Erwägungsgrund Ziff. 146, auch wenn er in der DS-GVO nicht näher definiert wird). Schadenersatzforderungen sollen abschrecken und weitere Verstöße unattraktiv machen. Darüber hinaus sollen die betroffenen Personen einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden haben. Dabei wird vor allem die abschreckende Wirkung des Schadensersatzes betont, welche insb. durch seine Höhe erzielt werden soll. Nach den Erwägungsgründen Ziff. 75 kann ein Nichtvermögensschaden insb. durch Diskriminierung, Identitätsdiebstahl oder -betrug, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden persönlichen Daten oder gesellschaftliche Nachteile eintreten. Ein genereller Ausschluss von Bagatellschäden ist im Lichte dieser Erwägungsgründe nicht vertretbar. Dies wird auch aus Art. 4 Abs. 3 AEUV abgeleitet, der die Mitgliedsstaaten dazu anhält, Verstöße wirksam mit Sanktionen zu belegen, denn nur so könne man eine effektive Durchsetzbarkeit des EU-Rechts und damit auch der DS-GVO erzielen. Allein eine Verletzung des Datenschutzrechts als solche – die die Kammer nicht festzustellen vermochte – begründet allerdings nicht bereits für sich gesehen einen Schadensersatzanspruch für betroffene Personen. Die Verletzungshandlung muss in jedem Fall auch zu einer konkreten Verletzung von Persönlichkeitsrechten der betroffenen Personen geführt haben. Die Verletzung der Vorschriften der DS-GVO ist nicht mit einem Schadenseintritt gleichzusetzen. Es ist zwar keine schwere Verletzung des Persönlichkeitsrechts erforderlich. Andererseits ist aber auch weiterhin nicht für jede im Grunde nicht spürbare Beeinträchtigung bzw. für jede bloß individuelle empfundene Unannehmlichkeit ein Schmerzensgeld zu gewähren. Vielmehr muss dem Betroffenen ein spürbarer Nachteil entstanden sein und es muss um eine objektiv nachvollziehbare, tatsächlich erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen gehen. In den Erwägungsgründen 75 und 85 werden einige mögliche Schäden aufgezählt, darunter Identitätsdiebstahl, finanzielle Verluste, Rufschädigung, aber auch der Verlust der Kontrolle über die eigenen Daten sowie die Erstellung unzulässiger Persönlichkeitsprofile. Zudem nennt Erwägungsgrund 75 auch die bloße Verarbeitung einer großen Menge personenbezogener Daten einer großen Anzahl von Personen. Der Schaden ist zwar weit zu verstehen, er muss jedoch auch wirklich „erlitten“ (Erwägungsgrund 146), das heißt „spürbar“, objektiv nachvollziehbar und tatsächlich eingetreten sein, um bloß abstrakte, nicht wirklich eingetretene Beeinträchtigungen auszuschließen. Gemessen an diesen Grundsätzen hat die Klagepartei schon keine spürbare Beeinträchtigung – hervorgerufen durch Datenverlust – von persönlichen Belangen dargelegt, für die überhaupt Anhaltspunkte bestehen, dass sie kausal auf den hier streitgegenständlichen Scraping-Vorfall zurückzuführen sein könnte. Die Klagepartei trägt vor, einen erheblichen Kontrollverlust über ihre Daten erlitten und Sorge vor Missbrauch ihrer Daten zu haben. Seit dem Scraping-Vorfall 2019 und Veröffentlichung im April 2021 sei es zu einem Anstieg von unerwünschten Anrufen, SMS und E-­Mails gekommen. Dass die Klagepartei angeblich unter einer Furcht vor einem Kontrollverlust leidet, genügt indes nicht um einen Schaden iSd DS-GVO zu bejahen. Die Klagepartei spricht lediglich allgemein von unerwünschten bzw. dem unerwünschten erhöhten Anfall von E-­Mails, SMS und Anrufen. Unerwünschte E-­Mails und Anrufe erhalten gerichtsbekannt aber auch Personen, die keinen Facebook-Account haben und dort ihre Telefonnummer deshalb nicht hinterlegt haben. Außerdem fällt in diesem Zusammenhang auf, dass es sich offensichtlich um eine standardisierte Klageschrift handelt, die für eine Vielzahl von betroffenen Nutzern eingereicht wird. So ist zB vorgetragen, dass sich die hiesige Klagepartei auf Grund des Vorfalles mit betrügerischen E-­Mails auseinandersetzen müsse, obwohl die E-­Mail-Adresse – nach dem Vortrag der Klägerseite – gar nicht „gescrapt“ worden ist; sprich ihre E-­Mail-Adresse durch den Vorfall überhaupt nicht öffentlich verbreitet worden ist. Ferner kann die Kammer aber auch unabhängig von dieser Überlegung nicht mit hinreichender Wahrscheinlichkeit davonausgehen, dass die Klagepartei unter den in der Klageschrift beschriebenen Ängsten und Sorgen tatsächlich leidet. Dagegen spricht bereits der Umstand, dass es sich bei den „gescrapten“ Daten der Klagepartei mit – Ausnahme der Mobilfunknummer – um Daten handelt, die nach den Nutzungsbedingungen von Facebook immer (!) öffentlich sind. Es ist diesen Daten gerade immanent, dass sie jedem und jederzeit zugänglich sind. Auf diesen Umstand weist die Bekl. ihre Nutzer auch ausdrücklich hin, sodass es für die Kammer nicht nachvollziehbar ist, weshalb eine „weitere Veröffentlichung“ dieser Daten, bei der Klagepartei zu einem unguten Gefühl geführt haben sollte. Dieses ungute Gefühl hätte dann unmittelbar nach Registrierung auf Facebook schon gleichermaßen bestehen müssen und hat nichts mit dem hier streitgegenständlichen Scraping-Vorfall zu tun. Denn die betreffenden Daten waren schon vorher öffentliche Daten. Deshalb ergeben sich für die Kammer erhebliche Zweifel an dem in der Klageschrift vorgetragenem Gemütszustand der Klagepartei und dem Vortrag, dass dieser durch das Scraping hervorgerufen worden sein soll. Zu bedenken ist hier auch der Umstand, dass die Eingabe der Mobilfunknummer freiwillig erfolgte oder jedenfalls die Nummer freiwillig auf Facebook belassen wurde. Dass die Klagepartei diese gleichwohl trotzdem angab und trotz entsprechend verständlich Information in den Suchbarkeitseinstellungen nicht sperrte, spricht eher dafür, dass sie kein besonderes Interesse daran hatte, die Möglichkeit einer Verbreitung ihrer Mobilfunknummer zu kontrollieren. Hierfür spricht auch, dass die Klagepartei ihre Suchbarkeitseinstellungen auch im Nachgang zu dem hier streitgegenständlichen Scrapingvorfall erst am 3.8.2021 geändert hat. Die bloße Gefährdung oder Befürchtung einer Gefährdung ist für die Annahme eines Schadens iSd DS-GVO nicht ausreichend, auch nicht im Hinblick auf das Urteil des LG München v. 9.12.2021. Denn diese Rspr. ist nicht ohne Weiteres auf die vorliegende Konstellation übertragbar. Das LG München hat Schadensersatz auf Grund einer Gefährdung eines Identitätsmissbrauchs zugesprochen. In dem zu Grunde liegenden Fall wurden Daten veröffentlicht, nämlich „Personalien und Kontaktdaten, Daten zur gesetzlich erforderlichen Identifizierung des Kunden (etwa Ausweisdaten), die iRd Geeignetheitsprüfung erfassten Informationen, Daten bezogen auf Konto und/oder Wertpapierdepot (etwa Referenzkontoverbindung, Berichte, Wertpapierabrechnungen, Rechnungen) sowie steuerliche Daten (etwa Steueridentifikationsnummer)“. Vorliegend geht es um ein öffentliches Profil nebst Telefonnummer und damit deutlich weniger sensible Daten. Eine Telefonnummer kann man wechseln. Dass aus dem Bekanntwerden einer Telefonnummer ein Identitätsmissbrauch entstehen kann, ist eher unwahrscheinlich. Insb. würde der Schadenbegriff so aufgeweicht und ausgedehnt und es würde der konkrete Nachweis der bloßen Möglichkeit einer Betroffenheit genügen, um eine Haftung zu begründen. Dies käme einer reinen Gefährdungshaftung gleich und widerspricht letztlich auch dem Erwägungsgrund 75. Der Erwägungsgrund 75 stützt die Auffassung der Kammer, da aus Risiken für die Rechte und Freiheiten natürlicher Personen physische, materielle oder immaterielle Schaden lediglich entstehen können, aber nicht müssen. Insoweit sind Schäden gerade nicht zwangsweise Folge aus einem Risiko für die Rechte und Freiheiten natürlicher Personen aus einer Verarbeitung personenbezogenen Daten, vielmehr sind solche nur möglich. Der Sinn der Verordnung wird aber nicht gewahrt, indem man jeglichem „Unwohlsein“ eine Schadensposition einräumt. Vielmehr muss zumindest ein ernsthaftes und konkretes Risiko bestehen, dass die Daten missbraucht werden. Dies konnte die Kammer im Lichte des Klägervortrags nicht feststellen. Schließlich hat die Klagepartei auch nicht hinreichend substantiiert dargelegt, inwiefern bei ihr persönlich ein immaterieller Schaden eingetreten sein soll. Lediglich pauschal und nichtssagend wird vorgetragen, die Klagepartei leide unter Sorge vor Missbrauch und Furcht vor Kontrollverlust. Wie sich dies konkret in der Person der Klagepartei äußert und welche Symptome im Einzelnen in welcher Häufigkeit und Intensität auftreten, wird jedoch nicht ausgeführt. Auch im Rahmen seiner persönlichen Anhörung im Termin v. 13.1.2022 konnte der Kl. nicht zur Überzeugung der Kammer darlegen, dass er tatsächlich unter dem angeblichen Kontrollverlust seiner Daten und den schriftsätzlich behaupteten Folgen leidet. Der Kl. hat zwar betont, dass er mit seinen Daten relativ sorgsam umgehe und zur Reduzierung der mit der Zusendung von Spams etc. verbundenen Gefahren mehrere E-­Mail-Adressen habe, die er für unterschiedliche Zwecke einsetze. Dass die Einrichtung mehrerer E-­Mail-Anschriften erst als Folge des streitgegenständlichen Vorfalles erfolgt sei, hat der Kl. allerdings nicht vorgetragen. Der Kl. konnte zudem keinerlei überzeugende Erklärung dafür abgeben, aus welchen Gründen er – obwohl bereits durch seine berufliche Tätigkeit als IT-Systemadministrator für diese Themen sensibilisiert – weder im Zuge der Aktualisierung der Nutzungsbedingungen und der Datenrichtlinie im April 2018 Veranlassung gesehen hat, seine Einstellungen zu überprüfen noch das Bekanntwerden des streitgegenständlichen Vorfalls ihn dazu zeitnah veranlasst hat. Die Einstellung ist vielmehr erst am 3.8.21 geändert worden, nachdem er bereits die Bekl. außergerichtlich in Anspruch hat nehmen lassen. Es bedurfte auch keiner Aussetzung des Verfahrens und Vorlage an den EuGH nach § 148 ZPO mit Blick auf die anstehende Entscheidung des EuGH zur Rechtssache C-300/21 (Österreichische Post) zu der Frage, ob es iRd Art. 82 Abs. 1 DS-GVO eines konkreten, messbaren Schadens bedarf. Nach Auffassung der Kammer hat Art. 82 Abs. 1 DS-GVO zwei eigene, separate Voraussetzungen, nämlich: (1.) einen Verstoß gegen die DS-GVO und (2.) einen tatsächlich eingetretenen materiellen oder immateriellen Schaden. Läge bei jedem DS-GVO-Verstoß automatisch ein immaterieller Schaden vor, wäre der Schaden als Anspruchsvoraussetzung überflüssig. Auf die Frage des konkreten Schadens kommt es hier aber deshalb nicht entscheidungserheblich an, weil die Klage – wie ausgeführt – auch aus anderen Gründen ohne Erfolg bleibt, da schon kein Verstoß gegen die DS-GVO festgestellt werden kann. Da die Kammer außerdem im vorliegenden Falle nicht letztinstanzlich entscheidet, trifft sie keine Vorlagepflicht gem. Art. 267 Abs. 3 AEUV. Allenfalls wäre ihr eine Vorlagemöglichkeit gem. Art. 267 Abs. 2 AEUV eröffnet, zu der sie aus den nachfolgenden Gründen keinen Anlass sieht. Die Vorlage einer Auslegungsfrage an den EuGH ist dann nicht angezeigt, wenn die gerichtliche Anwendung des Gemeinschaftsrechts derart offenkundig ist, dass für einen vernünftigen Zweifel keinerlei Raum bleibt oder wenn es – wie hier und bereits ausgeführt – auf diese Frage nicht alleinentscheidend ankommt, da vorliegend ein Anspruch auch an anderen Voraussetzungen scheitert. Daher war die Kammer auch nach Ausübung pflichtgemäßen Ermessens nicht zur Vorlage verpflichtet. Es kann im Ergebnis dahinstehen, ob neben Art. 82 Abs. 1 DS-GVO auch nationales Recht anwendbar ist, oder das nationale Recht von den europarechtlichen Vorschriften der DS-GVO verdrängt wird. Denn auch bei der Annahme eines Nebeneinanders hat die Klagepartei mangels restitutionsfähigem Schaden keinen Schadensersatzanspruch gegen die Bekl., weder aus § 280 Abs. 1253 Abs. 2 BGB noch aus einer anderen nationalen Schadensersatz gewährenden Anspruchsgrundlage. Auf die obigen Ausführungen wird Bezug genommen.

LG Heilbronn Urt. v. 9.2.2023 – 2 O 125/22 = ZD 2023, 634 (Ls.)

0 EUR Der Zahlungsantrag ist hinreichend bestimmt. Dem Kl. steht kein Anspruch auf Ersatz immateriellen Schadens aus Art. 82 Abs. 1 DS-GVO zu. Hieran scheitern die Klageanträge zu 1 und 2 a) Es fehlt bereits an der Anwendbarkeit dieser Norm. Soweit der Kl. der Bekl. mehrere Verstöße vorwirft, etwa ungenügende Information und Aufklärung über die Verarbeitung der ihn betreffenden Daten durch ungenügende Aufklärung zur Verwendung und Geheimhaltung der Telefonnummer (Art. 5 Abs. 1 lit. a DS-GVO), unmittelbaren Verstoß gegen Art. 1314 DS-GVO, die Informationspflichten enthielten, die seitens der Bekl. nicht eingehalten worden seien, ungenügender Schutz der personenbezogenen Daten der Nutzer von F. (Art. 2432 DS-GVO), unvollständig Auskunftserteilung nach Art. 15 DS-GVO, da nicht mitgeteilt worden sei, welchen Empfängern die Daten des Kl. durch Ausnutzung des Kontakt-Import-Tools zugänglich gemacht worden seien (Art. 3334 DS-GVO), sind solche Verstöße schon nicht vom Schutzzweck des Art. 82 DS-GVO umfasst. Der sachliche Anwendungsbereich des Art. 82 DS-GVO ist zunächst bezogen auf die Geltendmachung behaupteter verspäteter Auskunftsansprüche gem. Art. 15 DS-GVO und Art. 34 DS-GVO nicht eröffnet. Denn Art. 82 Abs. 1 DS-GVO legt fest, dass jeder Person, der wegen eines Verstoßes gegen die DS-GVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragverarbeiter hat. Art. 82 Abs. 2 DS-GVO regelt den anspruchsbegründenden Sachverhalt. Gem. Art. 82 Abs. 2 S. 1 DS-GVO haftet danach jeder an einer Verarbeitung beteiligte Verantwortliche für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. Gem. Art. 2 DS-GVO umfasst der sachliche Anwendungsbereich die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Anknüpfungspunkt für eine Haftung ist also eine der Verordnung nicht entsprechende Verarbeitung iSd Art. 4 Ziff. 2 DS-GVO. Dies steht im Einklang mit Erwägungsgrund 146, wonach der Verantwortliche oder der Auftragsverarbeiter Schäden, die einer Person auf Grund einer Verarbeitung entstehen, die mit der DS-GVO nicht im Einklang stehen, ersetzen sollte. Gem. Art. 4 Ziff. 1 DS-GVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insb. mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann. Die in jedem Fall veröffentlichten Informationen des Kl. umfassen den Namen, die Nutzer-ID sowie das Geschlecht, ohne die die Nutzung der Plattform der Bekl. nicht möglich ist, worauf direkt bei der Anmeldung hingewiesen wird. Damit ist es möglich, den Kl. zu identifizieren. Es handelt sich mithin um personenbezogene Daten. Die übrigen Daten wie Telefonnummer und E-­Mail-Adresse sind ebenfalls personenbezogen, aber nicht in jedem Fall öffentlich, worauf später noch näher einzugehen ist. Gem. Art. 4 Ziff. 2 DS-GVO ist Verarbeitung jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, durch den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. Die behauptete Verletzung von bloßen Benachrichtigungspflichten bzw. Informationsrechte ist hingegen nicht erfasst. Der Schutzbereich des Art. 82 DS-GVO umfasst ebenso wenig Verstöße gegen Art. 34 DS-GVO. Schließlich lässt sich auch von vornherein aus Art. 24 DS-GVO kein subjektives Recht herleiten, selbiges gilt für Art. 25 DS-GVO. Daher kann dahinstehen, ob Verstöße etwa gegen Art. 13, 14 und 34 durch die Bekl. erfolgten, da auch sie nicht unter den Schutzbereich des Art. 82 DS-GVO fallen, weil auch sie „lediglich“ Informationspflichten über die Verarbeitung enthalten, nicht aber die Verarbeitung als solche zum Gegenstand haben. Zudem fehlt es an entsprechenden Pflichtverstößen der Bekl. gegen Normen der DS-GVO. Es ist kein Verstoß gegen Art. 5 Abs. 1 DS-GVO feststellbar. Es liegt auch kein Verstoß nach Art. 32 DS-GVO vor. Die Bekl. hat auch nicht gegen das in Art. 2425 Abs. 2 DS-GVO verankerte Prinzip „Privacy by default“ verstoßen. Es liegt ferner kein Verstoß gegen Art. 35 DS-GVO vor. Auch hat die Bekl. nicht gegen Art. 15 DS-GVO verstoßen, indem sie dem Kl. keine bzw. unvollständige Auskünfte erteilt hat. Schließlich ist auch ein Verstoß gegen Art. 6 Abs. 113 Abs. 1 DS-GVO nicht feststellbar. Art. 82 Abs. 3 DS-GVO hilft dem Kl. nicht weiter. Die Beweislastumkehr gilt nach dessen eindeutigen Wortlaut nicht für den Schaden, der Eintritt eines solcher wird somit nicht vermutet. Jedenfalls was die Telefonnummer des Kl. betrifft, ist zudem eine Kausalität des Scraping-Vorfalls für die klägerseits vorgetragenen dubiosen SMS und Spam-E-­Mails nicht festzustellen. Denn aus Anlage B 17 geht hervor, dass der Kl. im Zeitraum des Scraping-Vorfalls in den Einstellungen seines F. Accounts seine Telefonnummer für jedermann („Everyone“) sichtbar gestellt hatte, also nicht lediglich für seine Freunde oder für niemanden („Only me“). Somit konnte in dem genannten Zeitraum bis zur Änderung der Einstellungen am 27.12.2019 jeder, der ebenfalls einen F.-Account unterhielt, die Telefonnummer des Kl. legal und ohne Scraping in Erfahrung bringen. Jedenfalls fehlt es an einem ersatzfähigen Schaden des Kl. iSd Art. 82 Abs. 1 DS-GVO. Zwar ist nach Erwägungsgrund 146 S. 3 zur DS-GVO der Schadensbegriff weit auszulegen, der wirksame Schadensersatz muss auch Abschreckungscharakter haben. Grundvoraussetzung ist jedoch nach Erwägungsgrund 146 zur DS-GVO, dass der immaterielle Schaden „erlitten“, also tatsächlich entstanden sein muss (und nicht lediglich befürchtet werden darf). Daraus folgt auch, dass ein bloßer Verstoß gegen die DS-GVO bei der Datenverarbeitung für einen Anspruch auf Ersatz immaterieller Schäden nicht ausreicht. Es muss eine kausal hierauf beruhende spürbare Beeinträchtigung des Geschädigten hinzutreten, um von einem Schaden sprechen zu können, z. B. eine benennbare und nachweisbare Persönlichkeitsverletzung wie etwa eine „Bloßstellung“. Gemessen hieran ist ein Schaden des Kl. weder substantiiert vorgetragen noch ersichtlich. Der klägerseits behauptete „Kontrollverlust über seine Daten“ stellt keine spürbare Beeinträchtigung iSe Persönlichkeitsverletzung und damit keinen Schaden dar. Dasselbe gilt für einen behaupteten „Zustand großen Unwohlseins und Sorge über möglichen Missbrauch seiner Daten“. Die Behauptung, der Kl. habe seit April 2021 vermehrt dubiose E-­Mails und Nachrichten von unbekannten Adressen und Nummern erhalten, genügt ebenfalls nicht. Ferner gehört derartiges in unserer digitalisierten Welt mittlerweile zum allgemeinen Lebensrisiko, insb. dann, wenn man – wie der Kl. – durch Unterhaltung eines F.-Accounts oder durch Teilnahme an anderen sog. sozialen Netzwerken freigiebig seine personenbezogenen Daten ins Internet stellt. Angebliche Spam-Mails und -nachrichten können damit genauso von Personen stammen, die legal durch Teilnahme an einem sozialen Netzwerk an E-­Mail-Adresse und Telefonnummer des Kl. gelangt sind.

NEU LG München I Endurt. v. 9.2.2023 – 5 O 5853/22

0 EUR Der Kl. hat gegen die Bekl. keinen Anspruch auf Zahlung von mindestens 5.100 EUR nebst Zinsen hieraus iHv 5 Prozentpunkten über dem Basiszinssatz seit Rechtshängigkeit. Ein solcher ergibt sich nicht aus Art. 82 Abs. 1 DS-GVO, weitere Anspruchsgrundlagen sind vorliegend nicht ersichtlich. Die Bekl. hat zwar gegen die DS-GVO verstoßen, dem Kl. ist dadurch jedoch kein Schaden entstanden. Die Bekl. ist Verantwortliche iSv Art. 82 Abs. 14 Nr. 7 DS-GVO, da sie Kundendaten iRd Anmeldeprozesses abfragt und in einem Datenarchiv abspeichert. Die Bekl. hat gegen Art. 32 Abs. 1 DS-GVO verstoßen. Dem Kl. ist jedoch durch den Datenvorfall weder ein materieller noch ein immaterieller Schaden iSd Art. 82 Abs. 1 DS-GVO entstanden. Für den Schadenseintritt ist die Kl. beweisbelastet, die einen konkret erlittenen Schaden iRd Schadensersatzanspruches darzulegen und zu beweisen hat. Der Kl. hat nicht substantiiert vorgetragen, dass er selbst Beeinträchtigungen erlitten habe, die über ein unkonkretes Gefühl des Kontrollverlustes über seine Daten hinausgingen. Insb. gelang es ihm nicht substantiiert vorzutragen, dass es zu einem Missbrauch seiner Daten kam oder dass seine Daten im Darknet angeboten worden seien. Dass andere von dem Datenvorfall betroffene Personen einen Schaden erlitten haben, bspw. durch das Erhalten von Spam-E-­Mails, kann keinen Schaden des Kl. begründen, da es an einem eigenen erlittenen Nachteil fehlt. Entgegen der Auffassung des Kl. kann ein Schaden auch nicht bereits wegen des Verstoßes der Bekl. gegen Art. 32 DS-GVO angenommen werden, mit der Begründung, dass bereits der Verstoß gegen die DS-GVO an sich einen Schaden iSv Art. 82 Abs. 1 DS-GVO begründe. Diese Auffassung ist mit dem Wortlaut des Art. 82 Abs. 1 DS-GVO nicht vereinbar. Nach dem Wortlaut besteht ein Schadensersatzanspruch, wenn einer Person wegen eines Verstoßes gegen die DS-GVO ein materieller oder immaterieller Schaden entstanden ist; das Vorliegen eines Verstoßes gegen die DS-GVO und der daraus entstandene Schaden sind folglich zwei unterschiedliche Tatbestandsmerkmale. Wenn jeder Verstoß gegen die DS-GVO an sich bereits einen Schaden und damit einen Anspruch auf Schadensersatz begründen würde, wäre es überflüssig, dass Art. 82 Abs. 1 DS-GVO das Vorliegen eines Schadens als Voraussetzung für den Schaderisersatzanspruch nennt. Der Schaden ist somit nicht mit der zugrundeliegenden Rechtsgutsverletzung gleichzusetzen. Denn ausdrücklich muss der Schaden „erlitten“ werden, woraus folgt, dass dieser tatsächlich entstanden sein muss und nicht lediglich befürchtet wird. Es bedarf somit des Nachweises eines konkreten (auch immateriellen) Schadens. Zudem würde diese Auffassung Verantwortliche iSd DS-GVO unbillig belasten. Der vorliegende Fall zeigt, dass bei einem Datenleck bei großen Unternehmen eine Vielzahl von Personen – hier 33.200 Kunden – betroffen sein kann. Würde jeder dieser Person bereits wegen eines Verstoßes gegen die DS-GVO ein Schadensersatz in fünfstelliger Höhe zustehen, ohne dass die Betroffenen konkrete Beeinträchtigungen erlitten haben müssen, würde dies für Unternehmen möglicherweise existenzbedrohende Zahlungsverpflichtungen nach sich ziehen, obwohl die Beeinträchtigungen der Rechte ihrer Kunden als eher gering einzustufen sind. Das Vorliegen eines konkreten immateriellen Schadens, wozu auch Ängste, Stress sowie Komfort- und Zeiteinbußen zählen, hat der Kl. nicht dargetan. Erleidet der Kl. in Zukunft materielle Schäden durch den unbefugten Zugriff Dritter auf das Datenarchiv der Bekl., die damit kausal zu dem Verstoß der Bekl. gegen Art. 32 DS-GVO sind, so steht ihm gegen die Bekl. ein Schadensersatzanspruch gem. Art. 82 Abs. 1 DS-GVO zu.

LG Coburg Urt. v. 8.2.2023 – 14 O 224/22= ZD 2023, 308 (Ls.)

0 EUR Dem Kl. steht kein Anspruch auf Ersatz immateriellen Schadens aus Art. 82 Abs. 1 DS-GVO zu. Es fehlt vorliegend bereits an der Anwendbarkeit dieser Norm. Soweit der Kl. der Bekl. mehrere Verstöße vorwirft, etwa ungenügende Information und Aufklärung über die Verarbeitung der ihn betreffenden Daten durch ungenügende Aufklärung zur Verwendung und Geheimhaltung der Telefonnummer (Art. 5 Abs. 1 lit. a DS-GVO), unmittelbaren Verstoß gegen Art. 1314 DS-GVO, die Informationspflichten enthielten, die seitens der Bekl. nicht eingehalten worden seien, ungenügender Schutz der personenbezogenen Daten der Nutzer von F. (Art. 2432 DS-GVO), unvollständig Auskunftserteilung nach Art. 15 DS-GVO, da nicht mitgeteilt worden sei, welchen Empfängern die Daten des Kl. durch Ausnutzung des Kontaktimport-Tools zugänglich gemacht worden seien (Art. 3334 DS-GVO), sind solche Verstöße schon nicht vom Schutzzweck des Art. 82 DS-GVO umfasst. Der sachliche Anwendungsbereich des Art. 82 DS-GVO ist zunächst hinsichtlich der behaupteten, verspäteten Auskunftsansprüche aus Art. 15 DS-GVO und Art. 34 DS-GVO nicht eröffnet. Anknüpfungspunkt für eine Haftung ist eine der Verordnung nicht entsprechende Verarbeitung iSd Art. 4 Ziff. 2 DS-GVO. Dies steht im Einklang mit Erwägungsgrund 146, wonach der Verantwortliche oder der Auftragsverarbeiter Schäden, die einer Person auf Grund einer Verarbeitung entstehen, die mit der DS-GVO nicht im Einklang stehen, ersetzen sollte. Vorliegend sind personenbezogene Daten des Kl. betroffen. Die in jedem Fall veröffentlichten Informationen des Kl. umfassen den Namen, die Nutzer-ID sowie das Geschlecht, ohne die die Nutzung der Plattform der Bekl. nicht möglich ist, worauf direkt bei der Anmeldung hingewiesen wird. Damit ist es möglich, den Kl. zu identifizieren. Es handelt sich mithin um personenbezogene Daten. Die übrigen Daten wie Telefonnummer und E-­Mail-Adresse sind ebenfalls personenbezogen. Diese sind jedoch nicht in jedem Fall öffentlich, worauf später noch näher einzugehen ist. Von Art. 82 DS-GVO ist jedoch nur die Verarbeitung von personenbezogenen Daten umfasst. Die behauptete Verletzung von bloßen Benachrichtigungspflichten bzw. Informationsrechten ist hingegen nicht erfasst. Der Schutzbereich des Art. 82 DS-GVO umfasst ebenso wenig Verstöße gegen Art. 34 DS-GVO. Auch aus Art. 24 und Art. 25 DS-GVO lässt sich von vornherein kein subjektives Recht herleiten. Somit kann dahinstehen, ob die Bekl. überhaupt gegen Art. 13, 14 und 34 verstoßen hat, da sie jedenfalls nicht unter den Schutzbereich des Art. 82 DS-GVO fallen, weil sie „lediglich“ Informationspflichten über die Verarbeitung enthalten, nicht aber die Verarbeitung als solche zum Gegenstand haben. Zudem sind vorliegend keine entsprechende Pflichtverstöße der Bekl. gegen Normen der DS-GVO nachgewiesen, selbst wenn man den Anwendungsbereich des Art. 82 DS-GVO als eröffnet ansehen wollte. Es ist kein Verstoß gegen Art. 5 Abs. 1 DS-GVO feststellbar. Es bedarf auch bei Informationspflichten der Rücksichtname auf den Grundsatz des Art. 5 Abs. 1 DS-GVO, wonach personenbezogene Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden müssen. Dieser Grundsatz der Transparenz überträgt sich in die Informations- und Aufklärungspflicht des Art. 13 DS-GVO. Die Aufklärung über die Zwecke der Verarbeitung muss insb. für den Nutzer klar verständlich und nachvollziehbar sein. Dies ist hier der Fall. Es liegt auch kein Verstoß nach Art. 32 DS-GVO vor. Verstöße gegen das in Art. 2425 Abs. 2 DS-GVO verankerte Prinzip „Privacy by default“ sind ebenfalls nicht feststellbar. Es liegt auch kein Verstoß gegen Art. 35 DS-GVO vor. Auch hat die Bekl. nicht gegen Art. 15 DS-GVO verstoßen, indem sie dem Kl. keine bzw. unvollständige Auskünfte erteilt hat. Schließlich ist auch ein Verstoß gegen Art. 6 Abs. 113 Abs. 1 DS-GVO nicht ersichtlich. Die Bekl. hat den Kl. ausreichend aufgeklärt gem. Art. 13 Abs. 1 DS-GVO, insb. über die Zwecke der Verarbeitung sowie deren Rechtsgrundlage und die etwaigen Empfänger oder Kategorien von Empfängern der personenbezogenen Daten. Der Kl. hat zudem mit der Zustimmung zu den Nutzungsbedingungen und der Datenrichtlinie die Einwilligung zu der Verarbeitung der ihn betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben gem. Art. 6 Abs. 1 S. 1 lit. a DS-GVO. Insb. wurden die Datenlinie sowie die Nutzungsbedingungen in einfach verständlicher Sprache abgefasst und sind einfach zugänglich, wenn auch mehrschichtig. Die Website der Bekl. weist den Nutzer sogar mehrfach darauf hin, dass man einen „Privatsphärecheck“ durchführen kann. Insoweit entspricht das Ersuchen der Einwilligung auch den Voraussetzungen des Art. 7 Abs. 2 DS-GVO. Wie bereits ausgeführt, sind bei Auslegung nach dem objektiven Empfängerhorizont gem. §§ 133157 BGB durchaus bei entsprechender Sorgfalt und Inanspruchnahme von Zeit die mehrschichtigen Hinweise nachvollziehbar. Jedenfalls hinsichtlich der Telefonnummer des Kl. ist zudem eine Kausalität des Scraping-Vorfalls für die klägerseits vorgetragenen dubiosen SMS und Spam-E-­Mails nicht nachgewiesen. Zunächst bleibt festzustellen, dass die Klagepartei die angebliche, von der Bekl. jedoch bestrittene Vielzahl dubioser SMS und Spam-E-­Mails nicht nachgewiesen hat. Denn aus Anlage geht hervor, dass der Kl. im Zeitraum des Scraping-Vorfalls in den Einstellungen seines Facebook Accounts seine Telefonnummer für jedermann („Everyone“) sichtbar gestellt hatte, also nicht lediglich für seine Freunde oder für niemanden („Only me“). Somit konnte in dem genannten Zeitraum jeder, der ebenfalls einen Facebook-Account unterhielt, die Telefonnummer des Kl. legal und ohne Scraping in Erfahrung bringen. Dass die vom Kl. vorgetragenen und vereinzelt bewiesenen Spam-SMS und Spam-Emails kausal auf dem Scraping-Vorfall beruhen, ist damit nicht nachgewiesen. Jedenfalls fehlt es aber an einem ersatzfähigen Schaden des Kl. iSd Art. 82 Abs. 1 DS-GVO. Zwar ist nach Erwägungsgrund 146 S. 3 zur DS-GVO der Schadensbegriff weit auszulegen; der wirksame Schadensersatz muss auch Abschreckungscharakter haben. Grundvoraussetzung ist jedoch nach Erwägungsgrund 146 zur DS-GVO, dass der immaterielle Schaden „erlitten“, also tatsächlich entstanden sein muss (und nicht lediglich befürchtet werden darf). Daraus folgt auch, dass ein bloßer Verstoß gegen die DS-GVO bei der Datenverarbeitung für einen Anspruch auf Ersatz immaterieller Schäden nicht ausreicht. Es muss eine kausal hierauf beruhende spürbare Beeinträchtigung des Geschädigten hinzutreten, um von einem Schaden sprechen zu können, zB eine benennbare und nachweisbare Persönlichkeitsverletzung wie etwa eine „Bloßstellung“. Nach diesen Grundsätzen, denen das Gericht folgt, ist ein Schaden des Kl. weder substantiiert vorgetragen noch ersichtlich. Der klägerseits behauptete „Kontrollverlust über seine Daten“ stellt keine spürbare Beeinträchtigung iSe Persönlichkeitsverletzung und damit keinen Schaden dar. Dasselbe gilt für einen behaupteten „Zustand großen Unwohlseins und Sorge über möglichen Missbrauch seiner Daten“. Die Behauptung, der Kl. habe seit April 2021 vermehrt dubiose E-­Mails und Nachrichten von unbekannten Adressen und Nummern erhalten, genügt ebenfalls nicht. Ferner gehört derartiges in der digitalisierten Welt mittlerweile zum allgemeinen Lebensrisiko, insb. dann, wenn man – wie der Kl. – durch Unterhaltung eines Facebook-Accounts oder durch Teilnahme an anderen sog. sozialen Netzwerken wie Instagram seine personenbezogenen Daten ins Internet stellt. Angebliche Spam-E-­Mails und -nachrichten können damit genauso von Personen stammen, die legal durch Teilnahme an einem sozialen Netzwerk an E-­Mail-Adresse und Telefonnummer des Kl. gelangt sind.

LG Mosbach Urt. v. 6.2.2023 – 2 O 113/22= ZD 2023, 308 (Ls.)

0 EUR Der Klageantrag zu 1 ist – entgegen der Ansicht der Bekl. – hinreichend bestimmt iSd § 253 Abs. 2 Ziff. 2 ZPO. Dem Kl. steht kein Anspruch auf Zahlung eines immateriellen Schadensersatzes gem. Art. 82 Abs. 1 DS-GVO zu. Es fehlt bereits an der Anwendbarkeit dieser Norm. Soweit der Kl. der Bekl. mehrere Verstöße vorwirft, etwa ungenügende Information und Aufklärung über die Verarbeitung der ihn betreffenden Daten durch ungenügende Aufklärung zur Verwendung und Geheimhaltung der Telefonnummer (Art. 5 Abs. 1 lit. a DS-GVO), unmittelbaren Verstoß gegen Art. 1314 DS-GVO, die lnformationspflichten enthielten, die seitens der Bekl. nicht eingehalten worden seien, ungenügender Schutz der personenbezogenen Daten der Nutzer von Facebook (Art. 2432 DS-GVO), unvollständige Auskunftserteilung nach Art. 15 DS-GVO, da nicht mitgeteilt worden sei, welchen Empfängern die Daten des Kl. durch Ausnutzung des Contact-Import-Tools zugänglich gemacht worden seien (Art. 3334 DS-GVO), sind solche Verstöße schon nicht vom Schutzzweck des Art. 82 DS-GVO umfasst. Der sachliche Anwendungsbereich des Art. 82 DS-GVO ist zunächst bezogen auf die Geltendmachung behaupteter verspäteter Auskunftsansprüche gem. Art. 15 DS-GVO und Art. 34 DS-GVO nicht eröffnet. Anknüpfungspunkt für eine Haftung ist eine der Verordnung nicht entsprechende Verarbeitung iSd Art. 4 Ziff. 2 DS-GVO. Dies steht im Einklang mit Erwägungsgrund 146, wonach der Verantwortliche oder der Auftragverarbeiter Schäden, die einer Person auf Grund einer Verarbeitung entstehen, die mit der DS-GVO nicht im Einklang stehen, ersetzen sollte. Die behauptete Verletzung von bloßen Benachrichtigungspflichten bzw. Informationsrechten ist hingegen nicht erfasst. Der Schutzbereich des Art. 82 DS-GVO umfasst ebenso wenig Verstöße gegen Art. 34 DS-GVO. Schließlich lässt sich auch von vornherein aus Art. 24 DS-GVO kein subjektives Recht herleiten, selbiges gilt für Art. 25 DS-GVO. Daher kann dahinstehen, ob Verstöße etwa gegen Arttikel 13, 14 und 34 durch die Bekl. erfolgten, da auch sie nicht unter den Schutzbereich des Art. 82 DS-GVO fallen, weil auch sie „lediglich“ lnformationspflichten über die Verarbeitung enthalten, nicht aber die Verarbeitung als solche zum Gegenstand haben. Zudem fehlt es an entsprechenden Pflichtverstößen der Bekl. gegen Normen der DS-GVO. Art. 82 Abs. 3 DS-GVO hilft dem Kl. nicht weiter. Die Beweislastumkehr gilt nach dessen eindeutigen Wortlaut nicht für den Schaden, der Eintritt eines solchen wird somit nicht vermutet. Jedenfalls was die Telefonnummer des Kl. betrifft, ist zudem eine Kausalität des Scrapingvorfalls für die klägerseits vorgetragenen dubiosen SMS und Anrufe nicht festzustellen. Denn aus dem Screenshot auf As. 95 geht hervor, dass der Kl. im Zeitraum des Scrapingvorfalls in den Einstellungen seines Accounts seine Telefonnummer für jedermann („Everyone“) sichtbar gestellt hatte, also nicht lediglich für seine Freunde oder für niemanden. Somit konnte in dem genannten Zeitraum bis zur Änderung der Einstellungen am 20.7.2021 jeder, der ebenfalls einen Facebook-Account unterhielt, die Telefonnummer des Kl. legal und ohne Scraping in Erfahrung bringen. Jedenfalls fehlt es an einem ersatzfähigen Schaden des Kl. iSd Art. 82 Abs. 1 DS-GVO. Zwar ist nach Erwägungsgrund 146 S. 3 zur DS-GVO der Schadensbegriff weit auszulegen; der wirksame Schadensersatz muss auch Abschreckungscharakter haben. Grundvoraussetzung ist jedoch nach Erwägungsgrund 146 zur DS-GVO, dass der immaterielle Schaden „erlitten“, also tatsächlich entstanden sein muss (und nicht lediglich befürchtet werden darf). Daraus folgt auch, dass ein bloßer Verstoß gegen die DS-GVO bei der Datenverarbeitung für einen Anspruch auf Ersatz immaterieller Schäden nicht ausreicht. Es muss eine kausal hierauf beruhende spürbare Beeinträchtigung des Geschädigten hinzutreten, um von einem Schaden sprechen zu können. Gemessen hieran ist ein Schaden des Kl. weder substantiiert vorgetragen noch ersichtlich. Der klägerseits behauptete „Kontrollverlust über seine Daten“ stellt keine spürbare Beeinträchtigung iSe Persönlichkeitsverletzung und damit keinen Schaden dar. Dasselbe gilt für einen behaupteten „Zustand großen Unwohlseins und Sorge über möglichen Missbrauch seiner Daten“. Die Behauptung, der Kl. habe seit April 2021 vermehrt dubiose SMS und Anrufe von unbekannten Nummern erhalten, genügt nicht. Unerwünschte E-­Mails und Anrufe erhalten gerichtsbekannt auch Personen, die keinen Facebook-Account haben und dort ihre Telefonnummer hinterlegt haben. In unserer digitalisierten Welt gehört derartiges mittlerweile zum allgemeinen Lebensrisiko, insb. dann, wenn man – wie der Kl. – durch Unterhaltung eines Facebook- Accounts oder durch Teilnahme an anderen sog. sozialen Netzwerken seine personenbezogenen Daten ins Internet stellt. Angebliche Spam-Nachrichten können damit genauso von Personen stammen, die legal durch Teilnahme an einem sozialen Netzwerk an die Telefonnummer des Kl. gelangt sind.

LG Coburg Urt. v. 6.2.2023 – 2 O 113/22 = ZD 2023, 308 (Ls.)

0 EUR Der Klageantrag zu 1 ist – entgegen der Ansicht der Bekl. – hinreichend bestimmt iSd § 253 Abs. 2 Ziff. 2 ZPO. Dem Kl. steht kein Anspruch auf Zahlung eines immateriellen Schadensersatzes gem. Art. 82 Abs. 1 DS-GVO zu. Es fehlt bereits an der Anwendbarkeit dieser Norm. Soweit der Kl. der Bekl. mehrere Verstöße vorwirft, etwa ungenügende Information und Aufklärung über die Verarbeitung der ihn betreffenden Daten durch ungenügende Aufklärung zur Verwendung und Geheimhaltung der Telefonnummer (Art. 5 Abs. 1 lit. a DS-GVO), unmittelbaren Verstoß gegen Art. 1314 DS-GVO, die Informationspflichten enthielten, die seitens der Bekl. nicht eingehalten worden seien, ungenügender Schutz der personenbezogenen Daten der Nutzer von F. (Art. 2432 DS-GVO), unvollständige Auskunftserteilung nach Art. 15 DS-GVO, da nicht mitgeteilt worden sei, welchen Empfängern die Daten des Kl. durch Ausnutzung des Contact-Import-Tools zugänglich gemacht worden seien (Art. 3334 DS-GVO), sind solche Verstöße schon nicht vom Schutzzweck des Art. 82 DS-GVO umfasst. Der sachliche Anwendungsbereich des Art. 82 DS-GVO ist zunächst bezogen auf die Geltendmachung behaupteter verspäteter Auskunftsansprüche gem. Art. 15 DS-GVO und Art. 34 DS-GVO nicht eröffnet. Anknüpfungspunkt für eine Haftung ist eine der Verordnung nicht entsprechende Verarbeitung iSd Art. 4 Ziff. 2 DS-GVO. Dies steht im Einklang mit Erwägungsgrund 146, wonach der Verantwortliche oder der Auftragverarbeiter Schäden, die einer Person auf Grund einer Verarbeitung entstehen, die mit der DS-GVO nicht im Einklang stehen, ersetzen sollte. Die behauptete Verletzung von bloßen Benachrichtigungspflichten bzw. Informationsrechten ist hingegen nicht erfasst. Der Schutzbereich des Art. 82 DS-GVO umfasst ebenso wenig Verstöße gegen Art. 34 DS-GVO. Schließlich lässt sich auch von vornherein aus Art. 24 DS-GVO kein subjektives Recht herleiten, selbiges gilt für Art. 25 DS-GVO. Daher kann dahinstehen, ob Verstöße etwa gegen Art. 13, 14 und 34 durch die Bekl. erfolgten, da auch sie nicht unter den Schutzbereich des Art. 82 DS-GVO fallen, weil auch sie „lediglich“ Informationspflichten über die Verarbeitung enthalten, nicht aber die Verarbeitung als solche zum Gegenstand haben. Zudem fehlt es an entsprechenden Pflichtverstößen der Bekl. gegen Normen der DS-GVO. Art. 82 Abs. 3 DS-GVO hilft dem Kl. nicht weiter. Die Beweislastumkehr gilt nach dessen eindeutigen Wortlaut nicht für den Schaden, der Eintritt eines solchen wird somit nicht vermutet. Jedenfalls was die Telefonnummer des Kl. betrifft, ist zudem eine Kausalität des Scrapingvorfalls für die klägerseits vorgetragenen dubiosen SMS und Anrufe nicht festzustellen. Denn aus dem Screenshot geht hervor, dass der Kl. im Zeitraum des Scrapingvorfalls in den Einstellungen seines Accounts seine Telefonnummer für jedermann („Everyone“) sichtbar gestellt hatte, also nicht lediglich für seine Freunde oder für niemanden. Somit konnte in dem genannten Zeitraum bis zur Änderung der Einstellungen am 20.7.2021 jeder, der ebenfalls einen F.-Account unterhielt, die Telefonnummer des Kl. legal und ohne Scraping in Erfahrung bringen. Jedenfalls fehlt es an einem ersatzfähigen Schaden des Kl. iSd Art. 82 Abs. 1 DS-GVO. Zwar ist nach Erwägungsgrund 146 S. 3 zur DS-GVO der Schadensbegriff weit auszulegen; der wirksame Schadensersatz muss auch Abschreckungscharakter haben. Grundvoraussetzung ist jedoch nach Erwägungsgrund 146 zur DS-GVO, dass der immaterielle Schaden „erlitten“, also tatsächlich entstanden sein muss (und nicht lediglich befürchtet werden darf). Daraus folgt auch, dass ein bloßer Verstoß gegen die DS-GVO bei der Datenverarbeitung für einen Anspruch auf Ersatz immaterieller Schäden nicht ausreicht. Es muss eine kausal hierauf beruhende spürbare Beeinträchtigung des Geschädigten hinzutreten, um von einem Schaden sprechen zu können. Gemessen hieran ist ein Schaden des Kl. weder substantiiert vorgetragen noch ersichtlich. Der klägerseits behauptete „Kontrollverlust über seine Daten“ stellt keine spürbare Beeinträchtigung iSe Persönlichkeitsverletzung und damit keinen Schaden dar. Dasselbe gilt für einen behaupteten „Zustand großen Unwohlseins und Sorge über möglichen Missbrauch seiner Daten“. Die Behauptung, der Kl. habe seit April 2021 vermehrt dubiose SMS und Anrufe von unbekannten Nummern erhalten, genügt nicht. Unerwünschte E-­Mails und Anrufe erhalten gerichtsbekannt auch Personen, die keinen F.-Account haben und dort ihre Telefonnummer hinterlegt haben. In unserer digitalisierten Welt gehört derartiges mittlerweile zum allgemeinen Lebensrisiko, insb. dann, wenn man – wie der Kl. – durch Unterhaltung eines F.-Accounts oder durch Teilnahme an anderen sog. sozialen Netzwerken seine personenbezogenen Daten ins Internet stellt. Angebliche Spam-Nachrichten können damit genauso von Personen stammen, die legal durch Teilnahme an einem sozialen Netzwerk an die Telefonnummer des Kl. gelangt sind.

LG Bonn Urt. v. 3.2.2023 – 2 O 170/22

0 EUR Entgegen der Auffassung der Bekl. ist der Klageantrag zu 1 hinreichend bestimmt iSd § 253 Abs. 2 Ziff. 2 ZPO. Unabhängig davon, ob der Anwendungsbereich des Art. 82 DS-GVO überhaupt eröffnet ist und ob bereits eine Pflichtverletzung iSd Art. 82 DS-GVO durch Verstoß gegen die Vorschriften der DS-GVO (insb. Art. 322425 Abs. 2333515 DS-GVO) vorliegt, fehlt es jedenfalls an einem ersatzfähigen Schaden des Kl. Für den immateriellen Schadensersatz gelten die im Zusammenhang mit § 253 BGB entwickelten Grundsätze, die Ermittlung obliegt daher dem Gericht nach § 287 ZPO. Für die Bemessung können die Kriterien des Art. 83 Abs. 2 DS-GVO herangezogen werden. Dies umfasst die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung, der Grad des Verschuldens, Maßnahmen zur Minderung des entstandenen Schadens sowie die Kategorien der betroffenen personenbezogenen Daten. Darüber hinaus ist zu berücksichtigen, dass die beabsichtigte abschreckende Wirkung für den Anspruchsverpflichteten nur durch empfindliche Schmerzensgelder erreicht werden kann. Ein genereller Ausschluss von Bagatellfällen ist damit nicht zu vereinbaren. Dies lässt sich auch aus Art. 4 Abs. 3 EUV herleiten, wonach die Mitgliedstaaten Verstöße angemessen sanktionieren sollen. Ferner ist auch nach dem Erwägungsgrund 146 S. 3 zur DS-GVO der Schaden weit auszulegen. Allerdings reicht ein bloßer Datenschutzverstoß als solcher nicht aus, um einen Schadensersatzanspruch zu begründen. Die Betroffenen sollen nach dem Erwägungsgrund 146 S. 6 zur DS-GVO einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten. Der Schaden muss daher spürbar, objektiv nachvollziehbar und von gewissem Gewicht sein, um bloße Unannehmlichkeiten oder Bagatellschäden auszuschließen. Verletzung und Schaden sind nicht gleichzusetzen. Zwar ist eine schwere Verletzung des Persönlichkeitsrechts nicht erforderlich, andererseits ist für einen Bagatellverstoß ohne ernsthafte Beeinträchtigung oder für jede bloß individuelle empfundene Unannehmlichkeit ein Schmerzensgeld nicht zu gewähren; vielmehr muss dem Betroffenen ein spürbarer Nachteil entstanden sein und es muss um eine objektiv nachvollziehbar, mit gewissem Gewicht erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen gehen. Als Beispiele nennt der Erwägungsgrund 75 zur DS-GVO Identitätsdiebstahl oder -betrug, finanziellen Verlust oder Rufschädigung; Erwägungsgrund 85 zur DS-GVO nennt daneben auch den Verlust der Kontrolle über personenbezogene Daten. Würde man jedes Unwohlsein und jede Sorge unter den Schadensbegriff fassen, so würde der Schadensbegriff überdehnt und eine ausufernde Haftung begründet. Ausschlaggebend ist mithin das ernsthafte Risiko eines Datenmissbrauchs. Dies zugrunde gelegt konnte das Gericht keine spürbare Beeinträchtigung von persönlichen Belangen des Kl. erkennen. Er hat eine solche nicht hinreichend dargelegt. Er trägt lediglich vor, er habe einen erheblichen Kontrollverlust über seine Daten erlitten und leide unter großem Unwohlsein und großer Sorge vor einem möglichen Missbrauch seiner Daten. Er habe mehr Spammails erhalten, dies allerdings zunächst nicht in Kohärenz mit dem hier streitgegenständlichen Vorfall gesetzt. Diesen Zusammenhang habe er erst gesehen, als er über ein Youtube-Video auf den streitgegenständlichen Vorfall aufmerksam geworden sei. Ferner habe er einmal einen Anruf einer älteren Dame erhalten, die er nicht kannte und ihn fragte, warum er sich nicht zurückmeldet habe. Aus diesem Vorfall habe er geschlossen, dass sich am Telefon jemand mit seiner Identität ausgegeben habe. Die Auswirkungen der Ängste, des Stress, der Komfort- und Zeiteinbußen lägen darin, dass sich der Kl. mit dem Datenleak und der Herkunft der Daten habe auseinandersetzen müssen. Dass die benannten Daten in Kombination sogar im Darknet gehandelt würden, vergrößere die Ängste und den Stress des Kl. Dies führe bei ihm zu dem Gefühl des Kontrollverlusts, des Beobachtetwerdens und der Hilflosigkeit. Er habe auch zusätzlich Zeit und Mühe aufgewendet, um sich vor drohendem (weiteren) Missbrauch zu schützen. Zunächst ist anzumerken, dass diese Ausführungen mit gleichem Wortlaut und Inhalt in einer Vielzahl weitere Verfahren vorgetragen werden. Zudem haben sich diese formelhaft beschriebenen Ängste und Sorgen sowie das Unwohlsein in der mündlichen Verhandlung nicht bestätigt. Denn der Kl. hat insb. bekundet, dass er gar nicht wisse, dass mittlerweile etwas an seinen Einstellungen geändert worden sei. Die pauschal und allgemein gehaltene Erläuterung des Kl., er erhalte ungewollte E-­Mails und SMS und Anrufe reicht zudem nicht. Vielmehr stellt sich dieses Phänomen als allgemeines Lebensrisiko dar, dem auch Personen ausgesetzt sind, die Social-Media-Kanäle nicht nutzen. Soweit der Kl. vorträgt, unregelmäßig E-­Mails und SMS erhalten zu haben, ist unklar, ob diese Mitteilungen tatsächlich im Zusammenhang mit dem Scraping-Vorfall verschickt wurden. Gleiches gilt, soweit der Kl. im Termin zur mündlichen Verhandlung von einem Vorfall berichtet, wonach sich ein Dritter mit seiner Identität ausgegeben hat. Es ist gerichtsbekannt, dass auch Inhaber von Mobilfunknummern, die niemals bei F. angemeldet waren, solche oder ähnliche Kontaktanfragen erhalten. IÜ ist ein geschärftes Bewusstsein beim Erhalt von SMS stets angezeigt. Zudem mag der Kl. mit seinem Vortrag, er habe einen Kontrollverlust erlitten nicht durchdringen. Es geht hier um über das Internet öffentlich zugängliches Profil und zwar auch dann, wenn, wie hier das Profil auf nicht öffentlich eingestellt ist. Denn stets für jedermann sichtbar sind Name, Geschlecht und Nutzer-ID. Ferner hat der Kl. seine Telefonnummer angegeben. Dabei handelt es sich bei diesen Angaben nicht um besonders sensible Daten. Gerade die Telefonnummer kann wechseln und auch ein Identitätsmissbrauch aus dem Bekanntwerden der Telefonnummer erscheint äußerst unwahrscheinlich. IÜ war auch die Eingabe der Telefonnummer freiwillig. Die weiteren betroffenen Daten des Kl. sind solche, die immer öffentlich und damit auch jedermann jederzeit zugänglich sind. Darauf wird ein Nutzer der Bekl. auch ausdrücklich hingewiesen. Es erscheint daher wenig plausibel, dass eine „weitere Veröffentlichung“ dieser Daten bei dem Kl. zu einem unguten Gefühl geführt haben soll. Nicht nachvollziehbar sind ferner die Ausführungen des Kl., er sei voller Sorge und habe Angst. Der Kl. war bis zum Schluss der mündlichen Verhandlung am 3.2.2023 bei F. angemeldet. Er hat ferner im Rahmen seiner Anhörung erklärt, dass er bisher nicht wüsste, ob er an seinen Einstellungen bei F. geändert habe. Drastische Konsequenzen hat er mithin nicht gezogen, obwohl er im Rahmen seiner Anhörung in der mündlichen Verhandlung erklärt hat, dass er wisse, wie er die Einstellungen ändern könne. Trotzdem ist sein Account seit 2013 auf „everyone“, d. h. „alle“ gestellt mit der Folge, dass sein F.-Account mithilfe seiner Telefonnummer gefunden werden kann. Er hat sich ferner weder bei F. abgemeldet noch hat er angegeben, seine Mobilfunknummer geändert zu haben. Darüber hinaus hat er bekundet neben F. auch die Plattform LinkedIn zu nutzen. Schließlich ist nicht ersichtlich, dass der Kl. irgendwelche Komfort- und Zeiteinbußen im Zusammenhang mit dem Scraping-Vorfall erlitten hat. Er hat geschildert, er habe etwa ein halbes Jahr nach dem streitgegenständlichen Vorfall berufsbedingt ein You-Tube-Video über den Scraping-Vorfall gesehen und habe durch Eingabe seiner Daten festgestellt, dass auch er betroffen sei. Dass und in welchem Umfang er durch vermehrt aufgetretene Spammails, die der Kl. nach seiner Anhörung im Termin zunächst nicht in Zusammenhang mit dem Scraping-Vorfall gesetzt hat, in zeitlicher Hinsicht beeinträchtigt war und an Komfort eingebüßt hat, erläutert er nicht näher und wird hier aus den Umständen auch nicht ersichtlich. Eine Vorlagepflicht nach Art. 267 AEUV bestand nicht. Nur anzumerken ist an dieser Stelle, dass es darüber hinaus auch an der erforderlichen Kausalität fehlt. Insoweit ist auf die Ausführungen in dem Urteil des LG Essen v. 10.11.2022 – 6 O 111/22 hinzuweisen. Mangels Vorliegens eines Schadens ist auch der auf Feststellung einer Ersatzpflicht künftiger materieller und immaterieller Schäden gerichtete Klageantrag zu 2 unbegründet. Mangels Anspruch in der Hauptsache besteht auch kein Anspruch auf Zahlung von Zinsen gem. §§ 291288 Abs. 1 BGB und außergerichtlichen Rechtsanwaltskosten gem. § 280 Abs. 1 BGB oder aus Art. 82 Abs. 1 DS-GVO.

LG Bonn Urt. v. 3.2.2023 – 18 O 127/22

0 EUR Entgegen der Auffassung der Bekl. ist der Klageantrag zu 1 hinreichend bestimmt iSd § 253 Abs. 2 Ziff. 2 ZPO. Es kann hier dahinstehen, ob der Anwendungsbereich des Art. 82 DS-GVO überhaupt eröffnet ist und ob bereits keine Pflichtverletzung iSd Art. 82 DS-GVO durch Verstoß gegen die Vorschriften der DS-GVO (insb. Art. 322425 Abs. 2333515 DS-GVO) vorliegt. Denn es fehlt in dem hier konkreten Fall jedenfalls an Eintritt eines immateriellen Schadens. Der in Rede stehende Schadensersatzanspruch umfasst den physischen, materiellen und immateriellen Schaden. Für die konkrete Ermittlung ist das Gericht nach § 287 ZPO – entsprechend der Grundsätze des § 253 ZPO – befugt, eine Schätzung vorzunehmen. In diesem Zusammenhang können die Kriterien des Art. 83 Abs. 2 DS-GVO herangezogen werden. Die Norm stellt insoweit auf die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung, der Grad des Verschuldens, Maßnahmen zur Minderung des entstandenen Schadens sowie die Kategorien der betroffenen personenbezogenen Daten. Im Erwägungsgrund 75 sind außerdem beispielshaft Handlungen aufgezählt, die zum Schadensersatz führen können („… wenn die Verarbeitung zu einer Diskriminierung, einem Identitätsdiebstahl oder -betrug, einem finanziellen Verlust, einer Rufschädigung, einem Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten, der unbefugten Aufhebung der Pseudonymisierung oder anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen führen kann, wenn die betroffenen Personen um ihre Rechte und Freiheiten gebracht oder daran gehindert werden, die sie betreffenden personenbezogenen Daten zu kontrollieren…“). Der Schadensbegriff nach der DS-GVO ist weit und autonom auszulegen, vgl. Erwägungsgrund 146. Schadenersatzforderungen sollen abschrecken und weitere Verstöße unattraktiv machen. Hierbei ist zu berücksichtigen, dass die beabsichtigte abschreckende Wirkung für den Anspruchsverpflichteten nur durch empfindliche Schmerzensgelder erreicht werden kann. Dies lässt sich auch aus Art. 4 Abs. 3 EUV herleiten, wonach die Mitgliedstaaten Verstöße angemessen sanktionieren sollen. Zur Bejahung eines Schadens ist jedoch nicht allein ein Datenschutzverstoß ausreichend. Ausweislich Erwägungsgrund 146 Ziff. 6 muss der Schaden auch tatsächlich erlittenen Schaden sein. Insofern muss er „spürbar“, also objektiv nachvollziehbar und von gewissem Gewicht sein. Würde man jedes Unwohlsein und jede Sorge unter den Schadensbegriff fassen, so würde der Schadensbegriff überdehnt und eine ausufernde Haftung begründet. Ausschlaggebend ist mithin das ernsthafte Risiko eines Datenmissbrauchs. Auch unter Berücksichtigung dieser weiten Maßstäbe vermochte das Gericht eine erforderliche spürbare Beeinträchtigung und damit das Vorliegen eines Schadens der Kl. nicht zu erkennen, § 287 ZPO. Die Kl. beruft sich ohne Erfolg darauf, dass sie unter vergrößerter Angst, einer Hilflosigkeit bzw. eines Gefühls des Beobachtetwerdens leide. In diesem Zusammenhang sei zunächst angemerkt, dass es sich hierbei um eine floskelartige Beschreibung negativer Gefühle handelt, ohne dass diese weiter im Hinblick auf die Kl. individualisiert, d. h. substantiiert werden. Vielmehr kennt das Gericht diese Formulierungen aus einer Vielzahl weiterer Verfahren. Auch vermag das Gericht insofern nicht zu erkennen, dass die Kl. im Zusammenhang mit dem sog. Scraping Vorfall übermäßig viel Zeit investiert bzw. aufgewendet hat. Vielmehr ist aus den Schilderungen des Prozessbevollmächtigten der Kl. in der mündlichen Verhandlung ersichtlich geworden, dass die Kl. auf den YouTube Kanal der Kanzlei ihres Prozessbevollmächtigten auf den sog. Scraping Vorfall aufmerksam geworden ist und dann die entsprechende Mandatierung vorgenommen hat. Ein Vortrag zB dahingehend, dass die Kl. durch eigene Recherchen oder ähnliches sich intensiv im Rahmen ihrer Freizeit mit dem Themenkomplex befasst habe, liegt nicht vor. Sofern die Kl. sich hier darauf beruft, dass sie unter Kontrollverlust leide, vermag auch dies das Gericht nicht zu überzeugen. So ist in diesem Zusammenhang zu berücksichtigen, dass es um eine Telefonnummer sowie ein öffentliches Profil auf einer Social-Media-Plattform geht. Diese Daten sind – im Vergleich zu anderen Daten – nicht besonders sensibel. Außerdem ist ferner zu berücksichtigen, dass die Kl. ihre Telefonnummer im Ergebnis freiwillig angegeben hat. Dies lässt den Schluss zu, dass sie – entgegen ihres Vortrages – keinen derart großen Wert darauf gelegt hat, ihre Daten nur bei tatsächlicher Notwendigkeit anzugeben. Einen besonders zurückhaltenden Umgang mit den eigenen Daten vermag das Gericht also gerade nicht zu erkennen. Zudem ist die Kl. auch zum Zeitpunkt der mündlichen Verhandlung weiterhin bei der Plattform der Bekl. sowie auch weiterer sozialer Netzwerke angemeldet. Auch dies spricht insofern dafür, dass die Kl. nicht sonderlich zurückhaltend mit ihren Daten umgegangen ist. Zwar hat die Kl. ihre Suchbarkeitseinstellungen von „everyone“ zu „friends“ geändert. Dass dies aber in einem Zusammenhang mit dem Scraping Vorfall steht, ist mangels zeitlichen Zusammenhanges nicht zu erkennen und auch nicht vorgetragen. Auch der Einwand, dass die Kl. ungewollte E-­Mails und Anrufe erhalte, reicht zur Feststellung eines immateriellen Schadens nicht aus. Zunächst ist diesbezüglich anzuführen, dass dieser Vortrag sehr pauschal gehalten ist. Außerdem ist dieser Umstand letztlich auch als allgemeinen Lebensrisiko einzustufen, welchem auch solche Menschen ausgesetzt sind, die keine Social-Media-Plattformen nutzen. Letztlich ist festzuhalten, dass der Vortrag, dass die Kl. seit dem Vorfall auch vermehrt betrügerische E-­Mails erhalte dahingehend unwahrscheinlich, dass die E-­Mail Adresse bereits nach eigenen Angaben nicht von dem Vorfall betroffen gewesen ist. Jedenfalls scheitert die Annahme eines Schadens unter Berufen auf die zuvor genannten Aspekte in dem hier konkreten Fall daran, dass die Kl. auf der Internetseite ihre Telefonnummer unter Verknüpfung ihres Namens und ihrer Adresse im Impressum und damit für jedermann zugänglich und veröffentlich hat. Es stellt sich unter Berücksichtigung dessen als Verstoß gegen Treu und Glauben dar, wenn sich die Kl. einerseits unter Inanspruchnahme der Bekl. auf den Kontrollverlust ihrer Daten und die weiteren daraus resultierenden negativen Gefühle und Folgen beruft, andererseits gerade diese Daten jedoch ohne Weiteres im für jedermann zugänglichen Internet öffentlich macht, § 242 BGB. Das Gericht durfte diesen Umstand auch trotz des Bestreitens durch den Prozessbevollmächtigten der Kl. zugrunde legen. Denn es handelt sich hierbei um eine offenkundige Tatsache, § 291 ZPO. Hiernach bedürfen Tatsachen, die bei dem Gericht offenkundig sind, keines Beweises. Konkret ist die Tatsache allgemeinkundig. Allgemeinkundig ist eine Tatsache, die einer beliebig großen Anzahl von Menschen privat bekannt oder ohne Weiteres zuverlässig wahrnehmbar ist. Die Kenntnis darf sich das Gericht ohne Beteiligung der Parteien auch durch private Beobachtung verschaffen. Informationsquelle können Medien sein, auch das Internet, wenn es nur dazu benutzt wird, eine Tatsachenbehauptung der Parteien zu bestätigen oder zu widerlegen. So lag der Fall hier. Nach dem entsprechenden Vortrag der Prozessbevollmächtigten der Bekl. iRd mündlichen Verhandlung steht es für das Gericht fest, dass die zuvor genannte Internetseite und das dort enthaltene Impressum tatsächlich von der Kl. stammen. So stimmt zunächst der Name – der keinesfalls geläufig ist – mit dem hier angegebenen Namen der Kl. überein. Gleiches gilt auch für die Adresse der Kl. Auch sind die im Impressum enthaltene Telefonnummer und diejenige, die nach dem klägerischen Vortrag gescrapt wurde identisch. Konkret ist auf der Seite der Kl. die Telefonnummer angegeben. Im Rahmen ihres Vortrages in der Replik nennt die Kl. ebenfalls die Zahlenkombination wobei es sich hierbei gerade nach dem Vortrag der Kl. um ihre Telefonnummer handelt. Dass die Kl. mit nicht nachgelassenem Schriftsatz v. 22.2.2023 vorträgt, dass die Spams, die sie erhalten habe bereits vorher, nämlich in dem Zeitraum, in dem nach eigenen Angaben der Bekl. das Abgreifen erfolgt sei, begonnen hätten, vermag hieran nichts zu ändern. Denn selbst wenn das Gericht den nicht nachgelassenen Vortrag berücksichtigen würde, vermag dies an der obigen Bewertung nichts zu ändern. Denn der Vortrag erschöpft sich lediglich in einer pauschalen Behauptung ohne jegliche Substantiierung. Mangels Anspruch in der Hauptsache besteht auch keine Anspruch auf Zahlung von Rechtshängigkeitszinsen gem. §§ 291288 Abs. 1 BGB und außergerichtlichen Rechtsanwaltskosten gem. § 280 Abs. 1 BGB oder aus Art. 82 Abs. 1 DS-GVO.

LG Bonn Urt. v. 1.2.2023 – 7 O 101/22 = ZD 2023, 635 (Ls.)

0 EUR Der Klageantrag zu 1 ist hinreichend bestimmt, § 253 Abs. 2 Ziff. 2 ZPO. Der Kl. hat keinen Anspruch auf Zahlung eines immateriellen Schadensersatzes aus Art. 82 Abs. 1 DS-GVO oder einer anderen in Betracht kommenden Anspruchsgrundlage. Denn jedenfalls fehlt es am Eintritt eines immateriellen Schadens. Materielle Schäden macht der Kl. schon nicht geltend. Der Begriff des immateriellen Schadens ist dabei unionsrechtlich autonom auszulegen. Erwägungsgrund 146 zur DS-GVO sieht vor, dass der Begriff des Schadens im Lichte der Rspr. des EuGH weit auf eine Art und Weise ausgelegt werden soll, die den Zielen dieser Verordnung in vollem Umfang entspricht. Erwägungsgrund 75 zur DS-GVO nennt etwa Identitätsdiebstahl, finanzielle Verluste, Rufschädigung oder den Verlust der Kontrolle personenbezogener Daten. Ein deutsches Verständnis zum Begriff des Schadens – etwa eine enge Auslegung – ist mithin nicht angezeigt. Eine Erheblichkeitsschwelle für das Vorliegen eines solchen Schadens ergibt sich gerade nicht aus der DS-GVO. Bagatellschäden sind ebenfalls erfasst. Zu verlangen ist aber jedenfalls, dass ein konkreter immaterieller Schaden auch tatsächlich eingetreten („entstanden“) ist. Diesen Beweis hat der Kl. vorliegend aber nicht geführt. Der Kl. hat in seinen Schriftsätzen nur allgemeine Ausführungen dazu gemacht, welche Folgen der behauptete Datenschutzverstoß für ihn hatte. In Klageschrift und Replik werden Folgen für die Klägerseite umschrieben, etwa ein Zustand des Unwohlseins, der Sorge und des Kontrollverlustes. Zudem sei es vermehrt zu Spam und anderen dubiosen Nachrichten gekommen. Hierzu wird der Screenshot eines SMS vorgelegt, bei der es sich offenbar um eine sog. „Paketshop-Spam“ handelt. Auch die persönliche Anhörung des Kl. hat hierzu keine weiteren Aspekte oder Konkretisierungen ergeben, vielmehr konnte der Kl. auf konkretes Befragen der Kammer den schriftsätzlichen Vortrag schon gar nicht bestätigen. Er hat selbst keine Gefühlslage geschildert, die zu negativen Gefühlen bei der Nutzung des Internets oder sozialer Medien geführt hätte. Er hat zwar berichtet, Vorsichtsmaßnahmen einzuhalten und etwa einen Passwort-Manager zu benutzen. Hierbei handelt es sich aber um eine Maßnahme, die schon in der allgemeinen Medienberichterstattung stets empfohlen wird und die heutzutage gerichtsbekannt mit wenig Aufwand eingesetzt werden kann, schon allein aus dem Grund, dass mittlerweile jeder Internetnutzer eine Vielzahl von Passwörtern nutzt. Dass der Kl. hingegen eine Scheu vor der Nutzung des Internets oder der sozialen Medien entwickelt haben könnte, hat er nicht angegeben und auch die Kammer hat diesen Eindruck nicht gewonnen. Der Kl. erschien vielmehr als aufgeklärter Internetnutzer, der Gefahren kennt und ihnen adäquat begegnen kann, indem er etwa Nutzerkontoeinstellungen anpasst oder eine Zwei-Faktor-Authentifizierung nutzt. Beide Sicherheitsoptionen kannte der Kl. Er gab auch an, Dienste wie Onlinebanking und Paypal zu nutzen, die also Zugriff auf sein Konto erlauben. Sollte der Kl. wirklich in großer Sorge vor einem Datendiebstahl sein, wäre die Nutzung solcher Funktionen nicht zu erwarten. Auch einen Schaden in Form von Komfort- und Zeiteinbußen im Zusammenhang mit dem Vorfall hat der Kl. nicht erlitten. Anders als schriftsätzlich vorgetragen, musste sich der Kl. gerade nicht mit der Bekl. selbst auseinandersetzen. Er musste insb. nicht selbst um Auskunft bitten oder weitere Nachforschungen bzgl. des Scraping-Vorfalls anstellen und hat dies auch nicht getan. Er musste auch nicht den Sachverhalt ermitteln. Zudem hat der Kl. auch klargestellt, seine E-­Mail-Adresse sei nicht betroffen gewesen, wie es auch die Bekl. vorgetragen hat. Während dies in der Klage noch behauptet wurde hat sich dies aus der persönlichen Anhörung gerade nicht ergeben. Hinzu kommt, dass ein Kausalitätsnachweis nicht ansatzweise geführt werden kann. So hat der Kl. selbst in seiner Anhörung auch nicht behauptet, seit dem streitigen Vorfall vermehrt Spam und ähnliches über seine Handynummer erhalten zu haben. Im Gegenteil gab er an, seit 2021 habe es weniger Spam-Nachrichten per SMS gegeben. Zudem erklärte der Kl., die mit dem F.-Konto verknüpfte Handynummer schon eine lange Zeit – bis zu 15 Jahre – zu nutzen. Es ist daher unschwer vorstellbar, dass er diese Nummer an vielen Stellen analog und digital als Kontakt hinterlassen hat und es so vielfältige Möglichkeiten gibt, wie Unbekannte an dies Nummer gelangen könnten, nicht zuletzt auch durch Datenlecks bei Dritten, denen der Kl. seine Nummer einmal gegeben hat. Gerichtsbekannt sind solche Spam-SMS, wie der Kl. sie vorgelegt hat, weit verbreitet und werden auch Personen zugesandt, die die sozialen Medien und insb. F. nicht nutzen. Zuletzt hat der Kl. auch eingeräumt, F. weiterhin zu nutzen. Auch wenn er dies einschränkte, er sei nur passiver Nutzer und nutze die Seite eher zur Information, war ihm die so erzielbare Vernetzung mit Freunden – etwa durch Geburtstagserinnerungen – oder Organisationen aus seinem Umfeld doch wichtig. Der Kl. erklärte zwar, regelmäßig seine Konteneinstellungen zu prüfen, sah sich aber offenbar nicht veranlasst, die Nutzung einzustellen. Dies wäre zu erwarten gewesen, wenn eine große Sorge vor einem Missbrauch von Daten bestehen würde. Es ist zudem zu berücksichtigen, dass alle Daten – bis auf die Handynummer – aus dem öffentlichen Profil des Kl. „abgelesen“ wurden, die der Kl. bereitwillig dort selbst eingetragen hat. Ein Identitätsdiebstahl hat insoweit nicht stattgefunden. Soweit diese Daten öffentlich waren, standen sie bereits bei ihrer Eingabe nicht mehr unter der ausschließlichen klägerischen Kontrolle. Ein Kontrollverlust kann sich daraus gerade nicht ergeben. Eine Vorlagepflicht nach Art. 267 AEUV bestand nicht. Der Feststellungsantrag zu 2) ist unbegründet, weil der Eintritt künftiger Schäden – mangels Vorliegen eines Schadens – bereits nicht hinreichend wahrscheinlich ist.

LG Görlitz Endurt. v. 27.1.2023 – 1 O 101/22 = ZD 2023, 277

0 EUR Da die Bemessung der Höhe des Schmerzensgeldes in das Ermessen des Gerichts gestellt ist, ist die Stellung eines unbezifferten Zahlungsantrags ausnahmsweise zulässig. Es fehlt an einer schadenersatzauslösenden Pflichtverletzung der Bekl. iSd DS- GVO. Soweit der Kl. der Bekl. mehrere Verstöße vorwirft, nämlich – ungenügende Information und Aufklärung über die Verarbeitung der sie betreffenden Daten durch ungenügende Aufklärung zur Verwendung und Geheimhaltung der Telefonnummer (Art. 5 Abs. 1 lit. a DS-GVO), unmittelbaren Verstoß gegen Art. 1314 DS-GVO, die konkrete Informationspflichten enthielten, die seitens der Bekl. nicht eingehalten worden seien, ungenügender Schutz der personenbezogenen Daten der Nutzer von F. (Art. 2432 DS-GVO), unvollständige Auskunftserteilung nach Art. 15 DS-GVO, da nicht mitgeteilt worden sei, welchen Empfängern die Daten des Kl. durch Ausnutzung des Kontaktimporttools zugänglich gemacht worden seien (Art. 3334 DS-GVO) sind solche Verstöße schon nicht vom Schutzzweck des Art. 82 DS-GVO umfasst. Anknüpfungspunkt für eine Haftung ist eine der Verordnung nicht entsprechende Verarbeitung iSd Art. 4 Ziff. 2 DS-GVO. Die behauptete Verletzung von bloßen Benachrichtigungspflichten bzw. Informationsrechten ist hingegen nicht erfasst. Der Schutzbereich des Art. 82 DS-GVO als hier maßgebliche Anspruchsgrundlage umfasst ebensowenig Verstöße gegen Art. 34 DS-GVO. Schließlich lässt sich auch von vornherein aus Art. 24 DS-GVO kein entsprechendes subjektives Recht herleiten. Selbiges gilt für Art. 25 DS-GVO. Daher kann auch dahinstehen, ob Verstöße etwa gegen Art. 13, 14 und 34 durch die Bekl. erfolgten, da auch sie nicht unter den Schutzbereich des Art. 82 DS-GVO fallen, weil auch sie „lediglich“ Informationspflichten über die Verarbeitung enthalten, nicht aber die Verarbeitung als solche zum Gegenstand haben. Zudem wäre, selbst wenn man – entgegen der hier vertretenen Ansicht – den Anwendungsbereich des Art. 82 DS-GVO für eröffnet halten wollte, und auch zur Feststellung von Pflichtverstößen der Bekl. gegen Normen der DS-GVO gelangen würde, ein Schadensersatzanspruch des Kl. nicht gegeben. Nach Art. 82 DS-GVO muss ein solcher Schaden gerade durch die Datenverarbeitung eingetreten sein. Für das Vorliegen eines solchen Nachteils ist der Anspruchsteller – hier also der Kl. – darlegungs- und beweisbelastet. Es reicht dabei nicht aus, dass dargelegt und bewiesen wird, dass eine nicht über Art. 6 DS-GVO abgedeckte Datenverarbeitung erfolgt ist. Andernfalls würde mit jeder nicht gerechtfertigten Datenverarbeitung sogleich ein Anspruch entstehen und das selbst dann, wenn diese Verarbeitung für den Betroffenen keinerlei Nachteil mit sich gebracht haben sollte. Ein solches System würde die Grundprinzipien des Schadensrechtes völlig verkennen. Eine Schadensersatzpflicht soll nämlich vorrangig erlittenes Unrecht kompensieren und nicht als Bestrafung für den Handelnden fungieren. Bei der Höhe von Schmerzensgeld vermag dieser Bestrafungsaspekt zwar durchaus auch von Relevanz zu sein, nicht aber als Alleinstellungsmerkmal dienen. Andernfalls würde der Schadensersatzanspruch nach Art. 82 DS-GVO zu einer Art Straftatbestand im privatrechtlichen Kontext konvertiert. Diesbezüglich ist es dem Kl. nicht gelungen, den Eintritt eines (eigenen) Schadens als überwiegend wahrscheinlich (§ 287 ZPO) nachzuweisen. Nach dem ausdrücklichen Wortlaut der Vorschrift muss der Schaden „erlitten“ werden, woraus sich ergibt, dass dieser tatsächlich entstanden sein muss und nicht lediglich befürchtet wird. Zwar ist der Begriff des Schadens nach dem Erwägungsgrund 146 S. 3 weit auszulegen und ist es nicht erforderlich, dass der eingetretene Schaden erheblich ist. Nach Auffassung des Gerichts reicht jedoch ein bloßer Verstoß gegen Vorschriften der DS-GVO nicht aus, um (immateriellen) Schadensersatz verlangen zu können. Es bedarf vielmehr der Darlegung eines konkreten (auch immateriellen) Schadens. Das Vorliegen eines konkreten, immateriellen Schadens, wozu auch Ängste, Sorgen, Stress sowie Komfort- und Zeiteinbußen zählen, hat der Kl. jedoch nicht hinreichend dargetan. Er hat zwar iRd Klageschrift ausführen lassen, dass er einen erheblichen Kontrollverlust über seine Daten erlitten habe und deshalb unter großem Unwohlsein und Sorgen leide sowie einen Missbrauch befürchte. Daraus kann das Gericht jedoch nicht mit hinreichender Wahrscheinlichkeit herleiten, dass der Kl. unter den in der Klageschrift beschriebenen Ängsten und Sorgen tatsächlich leidet. Dagegen spricht bereits der Umstand, dass es sich bei den „gescrapten“ Daten des Kl. mit – Ausnahme der Mobilfunknummer – um Daten handelt, die immer (!) öffentlich sind. Es ist diesen Daten gerade immanent, dass sie jedem und jederzeit zugänglich zu sind. Auf diesen Umstand weist die Bekl. ihre Nutzer auch ausdrücklich hin, sodass es für das Gericht nicht nachvollziehbar ist, weshalb eine „weitere Veröffentlichung“ dieser Daten, bei dem Kl. zu einem unguten Gefühl geführt haben sollte. Auch konnte die Bekl. annehmen, dass dem Kl. bekannt ist, dass sein F.-Konto über seine Telefonnummer für jedermann aufzufinden ist. Der Kl. hat nämlich vor seiner Registrierung bestätigt, die Datenverwendungsrichtlinien der Bekl. gelesen zu haben. Diese enthalten unter der Überschrift „Auffinden deiner Person auf F.“ die Information, dass es die Bekl. allen Personen, die über die Telefonnummer des F.-Nutzers verfügen, gestattet, den Nutzer auf F. zu finden. Weiter heißt es, dass der Nutzer über seine Privatsphäre-Einstellungen auswählen kann, wer mithilfe der Telefonnummer des Nutzers nach diesem suchen kann. Der Kl. hatte es also in der Hand, unter Zuhilfenahme des jedem Nutzer der F.-Plattform zugänglichen Hilfebereichs die Suchbarkeits-Einstellungen für sein F.-Konto zu ändern und dahin anzupassen, dass nicht alle Personen, die seine Telefonnummer hochladen, sein F.-Konto auffinden. Ebenso kann das Gericht keinen konkreten immateriellen Schaden aus der Veröffentlichung der Mobilfunknummer ersehen. Erhebliche Zweifel an dem in der Klageschrift vorgetragenem Gemütszustand des Kl. ergeben sich für das Gericht diesbezüglich bereits aus dem Umstand, dass die Eingabe der Mobilfunknummer freiwillig erfolgte, mithin für die Registrierung nicht erforderlich war. Dass der Kl. diese gleichwohl trotzdem angab, spricht eher dafür, dass er kein besonderes Interesse daran hatte, die Möglichkeit einer Verbreitung seiner Mobilfunknummer zu kontrollieren, zumal auch diesbezüglich die Bekl. in ihren Einstellungen entsprechende Einschränkungsmöglichkeiten bereithält. Bezug nehmend auf die Ausführungen unter lit. a erweist sich auch der Antrag auf Feststellung einer Ersatzpflicht künftiger materieller und immaterieller Schäden mangels Vorliegen eines Schadens als unbegründet.

LG Frankfurt/M. Urt. v. 27.1.2023 – 2-27 O 158/22 = ZD 2023, 639 (Ls.)

0 EUR Dem Kl. steht gegen die Bekl. kein Anspruch auf Schadensersatz in Form eines Schmerzensgeldes aus Art. 82 DS-GVO zu. Insoweit schießt sich die Kammer der Entscheidungen des LG Essen (Az. 6 O 111/22 v. 10.11.2022) und der des AG Straußberg (Az. 25 C 95/21 v. 22.9.2022) an. Ein bloßer Verstoß gegen jegliche Vorgabe der DS-GVO begründet für die Verantwortlichen dem Wortlaut nach noch keine Haftung. Anknüpfungspunkt für eine Haftung ist eine der Verordnung nicht entsprechende Verarbeitung iSd Art. 4 Ziff. 2 DS-GVO. Der Vorwurf liegt darin, die Datenverarbeitung durchgeführt zu haben, ohne dass sämtliche in der DS-GVO statuierten Pflichten eingehalten wurden und deshalb ein Schaden entstanden ist. Das vorwerfbare Verhalten muss damit nicht zwangsläufig die Datenverarbeitung an sich sein. So wird häufig die Verarbeitung erst dadurch rechtswidrig, dass im Vorfeld Maßnahmen nicht ergriffen wurden, sodass die eigentlich verletzende Handlung bereits vor der Datenverarbeitung lag. Konsequenterweise kann daher bereits der Verstoß gegen solche Pflichten einen Anspruch auf Schadensersatz begründen. Verletzungshandlungen liegen damit vor, wenn die Rechte der betroffenen Personen oder Grundsätze der Datenverarbeitung nur unzureichend beachtet werden. Dies steht im Einklang mit Erwägungsgrund 146, wonach der Verantwortlicher oder der Auftragsverarbeiter Schäden, die einer Person auf Grund einer Verarbeitung entstehen, die mit der DS-GVO nicht im Einklang stehen, ersetzen sollte. Die verspätete Erteilung einer Datenauskunft gem. Art. 15 DS-GVO ist keine Verarbeitung personenbezogener Daten iSd Art. 4 Ziff. 2 DS-GVO. Die Verletzung von Auskunfts- oder Benachrichtigungspflicht im Nachgang an einen Verarbeitungsvorgang ist hingegen nicht erfasst. Denn diesen Pflichten fehlt es an dem verarbeitungsspezifischen Zusammenhang zu personenbezogenen Daten; die Begründung derartiger Pflichten setzt ihrerseits bereits zwingend einen Verarbeitungsvorgang voraus und begründet ihn nicht erst. Der Kl. hat aus den aufgeführten Gründen auch keinen Anspruch auf Schmerzensgeld aus Art. 82 DS-GVO wegen eines etwaigen Verstoßes der Bekl. gegen die in Art. 34 DS-GVO geregelte Benachrichtigungspflicht. Der Kl. kann den geltend gemachten Schmerzensgeldanspruch zudem nicht auf einen Verstoß gegen Art. 5 Abs. 1 lit. f, 32 Abs. 12 DS-GVO wegen unzureichender Sicherheitsvorkehrungen stützen. Zwar umfasst der Anknüpfungspunkt für den Verstoß gegen die DS-GVO nicht nur die Verletzung spezifischer Pflichten, sondern auch allgemeiner Vorgaben wie den Datenschutzgrundsätzen in Art. 5 DS-GVO oder den Anforderungen an die Datensicherheit nach Art. 32 DS-GVO, solange die Verletzung dieser Pflichten wiederum auf einer konkreten Verarbeitung beruhen bzw. sich auf eine solche auswirken. Jedoch hat die Bekl. nicht gegen die ihr dort auferlegte Obliegenheit, personenbezogene Daten vor unbefugter oder unrechtmäßiger Verarbeitung zu schützen, verstoßen. Art. 32 Abs. 1 iVm Abs. 2 DS-GVO formt den allgemeinen Grundsatz der Integrität und Vertraulichkeit aus Art. 5 Abs. 1 lit. f DS-GVO näher aus. Er verlangt Verarbeitungsprozessen ab, ein angemessenes Schutzniveau für die Sicherheit personenbezogener Daten zu gewährleisten, um damit angemessenen Systemdatenschutz sicherzustellen. Das Gebot soll personenbezogene Daten durch geeignete technische und organisatorische Maßnahmen u. a. davor schützen, dass Dritte diese unbefugt oder unrechtmäßig verarbeiten. Die immer öffentlich zugänglichen Informationen des Profils des Kl. sind zwar von Dritten erhoben (gescrapt) und verarbeitet worden iSd Art. 4 Ziff. 2 DS-GVO. Allerdings war die Bekl. nicht verpflichtet, diese Daten vor der Verarbeitung durch die Scraper zu schützen, da die Daten nicht unbefugt bzw. unrechtmäßig verarbeitet worden sind. Es handelt sich bei den unstreitig gescrapten personenbezogenen Daten des Kl., nämlich seinem Namen, seinem Geschlecht und seinem Benutzernamen, um Daten, die für jedermann ohne Zugangskontrolle oder Überwindung technischer Zugangsbeschränkungen wie Logins oder ähnlichem abrufbar sind. Die Erhebung dieser Daten als solche erfolgte daher nicht unbefugt bzw. unrechtmäßig. Auch das Vorbringen des Kl., ihm seien zum Zeitpunkt seiner Registrierung als Nutzer die Standardeinstellungen auf der F-Plattform nicht bekannt gewesen, rechtfertigt nicht die Annahme, die Bekl. habe gegen ihr obliegende Schutzpflichten verstoßen. Denn die Bekl. durfte und musste davon ausgehen, dass dem Kl. bekannt ist, dass sein Name, sein Geschlecht und sein Benutzername für jedermann abrufbar ist und hatte daher keine Veranlassung, diese Daten vor der Erhebung durch Dritte zu schützen. Die Bekl. hat nämlich den Kl., bevor dieser sich auf der F-Plattform registrieren konnte, auf ihre Datenrichtlinien hingewiesen und der Kl. hat diese mit seiner Registrierung bestätigt. Die streitgegenständlichen Datenrichtlinien der Bekl. enthielten die Information, dass u. a. der Name, das Geschlecht und der Nutzername des Nutzers immer öffentlich zugänglich sind und von jeder Person gesehen werden können. Dass nicht öffentlich zugängliche Informationen, nämlich Telefonnummer, Mailadresse, Wohnort (an anderer Stelle konkretisiert als „Bundesland, Land und Stadt“), Beziehungsstatus und „weitere korrelierende Daten“ des Kl. vom klägerischen Profil von Dritten erhoben worden sind, kann nicht festgestellt werden. Es fehlt es an einem substantiierten Vortrag des Kl., welche konkreten Daten erhoben worden sein sollen. Für seine dahingehende Behauptung tritt der Kl. darüber hinaus auch keinen tauglichen Beweis an. Die Inaugenscheinnahme der von ihm angegebenen öffentlich zugänglichen Datenbank mit Inhalt der entwendeten Daten ist als Beweismittel ungeeignet, da dort die durch das Scraping abgerufenen Daten lediglich abstrakt beschrieben werden; welche konkreten personenbezogenen Daten des Kl. – neben den immer öffentlich zugänglichen Informationen – erhoben worden sind, wird dort nicht angegeben. Der von den Scrapern unter Nutzung des Kontakt-Importers der F-Plattform hergestellte Abgleich zwischen der von ihnen generierten und hochgeladenen Telefonnummer des Kl. mit seinem Nutzerkonto stellt zwar eine Verarbeitung iSd DS-GVO dar. Jedoch war die Bekl. nicht verpflichtet, das Nutzerkonto des Kl. vor dessen Auffinden über die Telefonnummer des Kl. zu schützen. Der Kl. hat der Bekl. seine Telefonnummer bereitgestellt, die die Bekl. iRd Suchbarkeits-Einstellungen verwendete, um festzulegen, welche Personen das F-Konto des Kl. anhand dessen Telefonnummer finden können, nämlich alle Personen. Der von den Scrapern veranlasste Abgleich war folglich jeder Person, die – wie die Scraper – über die Telefonnummer des Kl. verfügte, möglich und ist isoliert betrachtet nicht unbefugt bzw. unrechtmäßig. Dass dem Kl. nach seinem Vorbringen nicht bekannt war, dass alle Personen über seine Telefonnummer sein F-Konto finden, hat nicht zur Folge, dass die Bekl. verpflichtet war, Schutzmaßnahmen zu ergreifen, die das F-Konto des Kl. vor einem Auffinden über seine Telefonnummer schützen. Denn die Bekl. musste annehmen, dass dem Kl. bekannt ist, dass sein F-Konto über seine Telefonnummer für jedermann aufzufinden ist, weil dieser vor seiner Registrierung bestätigte, die Datenrichtlinien der Bekl. gelesen zu haben. Diese enthalten unter der Überschrift „Wie kann ich festlegen, wer mich über meine E-­Mail-Adresse oder Handynummer auf F. finden kann?“ die Information, dass es die Bekl. allen Personen, die über die Telefonnummer des F-Nutzers verfügen, gestattet, den Nutzer zu finden. Weiter heißt es, dass der Nutzer über seine Privatsphäre-Einstellungen auswählen kann, wer mithilfe der Telefonnummer des Nutzers nach diesem suchen kann. Der Kl. hatte es also in der Hand, unter Zuhilfenahme des jedem Nutzer der F-Plattform zugänglichen Hilfebereichs die Suchbarkeits-Einstellungen für sein Nutzerkonto zu ändern und dahin anzupassen, dass nicht alle Personen, die seine Telefonnummer hochladen, sein Nutzerkonto auffinden. Der Kl. kann den geltend gemachten Schadensersatz auch nicht auf eine Verletzung des Art. 35 DS-GVO durch die Bekl. wegen unterlassener Datenschutz-Folgenabschätzung stützen. Mangels Verstoß gegen die DS-GVO besteht kein Anspruch des Kl. auf Feststellung hinsichtlich einer Ersatzpflicht der Bekl. mit Blick auf künftige Schäden. Das Gericht ist iÜ nicht gehalten, das vorliegende Verfahren bis zur Entscheidung des EuGH über das Vorabentscheidungsersuchen des AG München v. 3.3.2022 zum Az. 132 C 737/22 oder bis zur Entscheidung des EuGH über das Vorabentscheidungsersuchen des Österreichischen Obersten Gerichtshofs v. 15.4.2021 zum Az. 6 Ob 35/21 x auszusetzen. Denn die dem EuGH vorgelegten Rechtsfragen sind im hiesigen Verfahren nicht entscheidungserheblich.

LG Stuttgart Beschl. v. 26.1.2023 – 24 O 52/22

1.000 EUR Klageantrag zu 1 ist auch hinreichend bestimmt, § 253 Abs. 2 Ziff. 2 ZPO. Die Klagepartei hat einen Anspruch aus Art. 82 Abs. 1 DS-GVO auf Ersatz immateriellen Schadens iHv 1.000 EUR gegen die Bekl. Es liegen seitens der Bekl. mehrere Verstöße gegen die DS-GVO vor, welche zur Auslösung einer entsprechenden Schadensersatzpflicht geeignet sind. So mangelt es an einer ordnungsgemäßen, ausreichenden Belehrung der Klagepartei durch die Bekl. im Zeitpunkt der Datenerhebung hinsichtlich der Mobilfunknummer der Klagepartei gem. Art. 13 DS-GVO. Die Kammer nimmt insoweit in rechtlicher Hinsicht Bezug auf die Ausführungen des LG Paderborn in dessen Urt. v. 19.12.2022 im dortigen Rechtsstreit 2 O 236/22, welche eine andere Klagepartei gegen die hiesige Bekl. führte und welchem ein in wesentlichen Teilen identischer, iÜ jedenfalls vergleichbarer Sachverhalt zugrunde lag. Ein datenschutzrechtlicher, die Schadensersatzpflicht gem. Art. 82 Abs. 1 DS-GVO auslösender Verstoß der Bekl. liegt zudem gem. Art. 32245 Abs. 1 lit. f DS-GVO vor. Auch diesbezüglich nimmt die Kammer auf die rechtlichen Ausführungen des LG Paderborn in dessen Urt. v. 19.12.2022 im dortigen Rechtsstreit 2 O 236/22 Bezug. Ob die Bekl. außerdem Melde-­, Benachrichtigungs- und Transparenzpflichten aus Art. 3334 und 25 DS-GVO verletzte und ob eine etwaige Verletzung dieser Vorschriften geeignet wäre, eine Schadensersatzpflicht gem. Art. 82 Abs. 1 DS-GVO auszulösen kann schließlich dahinstehen, da die Haftung bereits aus den dargelegten Verstößen gegen Art. 1332245 Abs. 1 lit. f DS-GVO begründet ist. Eine Exkulpation gem. Art. 82 Abs. 3 DS-GVO ist der Bekl. nicht gelungen. Das wäre nur dann der Fall, wenn sie sämtliche Sorgfaltsanforderungen erfüllt hat und ihr nicht die geringste Fahrlässigkeit vorzuwerfen ist. Dies kann bereits auf Grund des Verstoßes gegen Art. 13 DS-GVO ausgeschlossen werden. Die Bekl. bringt insoweit nichts vor, was nicht zumindest leichte Fahrlässigkeit hinsichtlich des fehlenden Hinweises auf die Verarbeitung der Mobilfunknummer der Klagepartei durch das CIT vermuten lasst. Auch bzgl. der unzureichenden Sicherheitsmalinahmen gem. Art. 32 DS-GVO konnte die Bekl. nicht jegliche Verantwortung ihrerseits widerlegen. Vielmehr nutzten Dritte bereits erkannte oder erkennbare Angriffswege, um auf Daten zuzugreifen, sodass die Nichtverantwortlichkeit des Verantwortlichen nicht nachgewiesen werden kann. Scraping ist ausweislich des Beklagtenvorbringens „eine gängige Taktik“. Es war jedenfalls erkennbar, dass das CIT durch Scraping ausgenutzt werden kann. Dies begründet sich bereits aus dem Umstand, dass die Bekl. selbst Schutzmaßnahmen behauptet und somit von der Notwendigkeit dieser ausgeht. IÜ behauptet die Bekl. das Vorliegen ganz ungewöhnlicher Kausalverläufe, einen Fall höherer Gewalt oder ein weit überwiegendes eigenes Fehlverhalten des Kl. nicht. Die Klagepartei hat auf Grund der vorhergehenden Ausführungen einen Anspruch auf immateriellen Schadensersatz, welcher der Höhe nach mit 1.000 EUR zu bemessen war. Dabei kann dahinstehen, ob iRd Art. 82 Abs. 1 DS-GVO ein über den datenschutzrechtlichen Verstoß des Verantwortlichen hinausgehender Schaden erforderlich ist oder ob bei bloßen Bagatellfällen der Schadensersatz jedenfalls zu verneinen ist. Denn einen konkreten Schaden, welcher nicht lediglich eine Bagatelle darstellt, hat die Klagepartei jedenfalls dargelegt. Ein solcher Schaden iSd Art. 82 Abs. 1 DS-GVO ist bereits dann anzunehmen, wenn die datenschutzwidrige Verarbeitung dazu führt, dass die betroffene Person um ihre Rechte und Freiheiten gebracht oder daran gehindert wird, die sie betreffenden personenbezogen Daten zu kontrollieren. Dass auf Grund des Scraping-Vorfalls lediglich personenbezogene Daten veröffentlicht wurden, welche die Klagepartei öffentlich auf ihrem facebook-Profil zur Schau stellte und welche dort für jedermann einsehbar waren, steht einem Schaden nicht entgegen. Auch der Umstand, dass die Mobilfunknummer von den Unbekannten ermittelt wurde und nicht aus dem Datenbestand der Bekl. abgeschöpft wurde, schließt einen solchen nicht aus. Denn entscheidend ist die Verbindung zwischen der Mobilfunknummer und den sonstigen personenbezogenen Daten, welche den Unbekannten nur auf Grund der Datenschutzverstöße der Bekl. ermöglicht wurde. Gerade diese Korrelation zwischen der nicht durch die Klagepartei veröffentlichte Mobilfunknummer und den sonstigen öffentlich auf dem Profil der Klagepartei einsehbaren personenbezogenen Daten, war nur auf Grund der Möglichkeit der rechtswidrigen Nutzung des CIT möglich. Dies muss sich die Bekl. vorwerfen lassen, da sie zum Schutz der Daten der Nutzer ihrer Plattform dazu verpflichtet war, einen entsprechenden Vorfall zu verhindern und hierin gründet sich der eigentliche datenschutzrechtliche Schaden der Klagepartei. Denn dieser kam es entscheidend darauf an, dass ihre Mobilfunknummer nicht mit den sonstigen personenbezogenen Daten auf ihrem facebook-Profil korreliert werden konnte. Sie nutzte facebook unstreitig gerade dazu, um mit Menschen Kontakt aufzunehmen, denen sie ihre private Mobilfunknummer nicht preisgeben wollte. Im Zuge der Abschöpfung und Veröffentlichung der Daten fand eine Korrelation mit der Mobilfunknummer der Klagepartei statt, was nicht nur dazu führte, dass etwaige facebook-Kontakte der Klagepartei die Möglichkeit hatten, die private Mobilfunknummer der Klagepartei zu erfahren und diese seinem facebook-Profil zuzuordnen, sondern auch sonstige Dritte, welche damit potenziell auch die Möglichkeit haben, diese Informationen für kriminelle Zwecke ggü. der Klagepartei zu nutzen. Ein solcher Kontrollverlust stellt einen erheblichen Schaden iSd Art. 82 Abs. 1 DS-GVO dar. Von untergeordneter Bedeutung ist dabei die Tatsache, dass die Klagepartei nicht ihren Klarnamen, sondern das Pseudonym „Simon Austin“ bei facebook verwendete. Denn bereits der zutreffende Vorname „Simon“ der Klagepartei ist ausreichend, um Betrugsversuche durch kriminelle Dritte zu ermöglichen und die Identität der Klagepartei in Verbindung mit dem auf facebook zur Schau gestellten Lichtbild, mit der Mobilfunknummer zu verknüpfen. Was die Höhe dieses immateriellen Schadens und den hierauf basierenden Schadensersatzanspruch der Klagepartei angeht, ist zu berücksichtigen, dass der Bekl. eine Löschung der veröffentlichten personenbezogenen Daten nicht möglich ist. Diese kursieren frei, potenziell auf ewige Zeit im Internet. Die Kl. hat auch plausibel und glaubhaft Beeinträchtigungen durch Spam-Nachrichten dargelegt, welche im kausalen Zusammenhang mit der Veröffentlichung ihrer personenbezogenen Daten stehen können. Auch in Zukunft kann mit einer erhöhten Anzahl an entsprechenden Nachrichten auf Grund dessen gerechnet werden. Nicht entscheidend ins Gewicht fällt hingegen, dass die Kl. ihre Privatsphäreeinstellungen bei facebook im Anschluss an die Entdeckung der Datenveröffentlichung nicht änderte. Denn sie hat hierzu glaubhaft vorgetragen, mit Hinblick auf den laufenden Rechtsstreit keine Veränderungen an ihrem Profil vornehmen zu wollen. Es ist für die Kammer durchaus plausibel, dass die Klagepartei als rechtlicher Laie eine etwaige Erschwernis der Beweisführung auf Grund einer Veränderung seiner Einstellung fürchtete und deshalb von einer solchen absah. Da weiter zu berücksichtigen war, dass der Kontrollverlust bzgl. dieser Daten ohnehin bereits eingetreten ist und nicht rückgängig gemachte werden kann erscheint eine nachträgliche Änderung der Profileinstellungen auch nicht dazu geeignet, den Kontrollverlust zu beseitigen. Effektiver erschiene hier ein Wechsel der Mobilfunknummer, welchen die Klagepartei ebenfalls nicht vornahm. Diesbezüglich legte sie jedoch dar, es handele sich bei der veröffentlichten um ihre erste Mobilfunknummer, welche sie nur äußerst ungern wechseln möchte, was der Kammer ebenfalls plausibel erscheint. Der Anspruch auf vorgerichtliche Rechtsanwaltskosten folgt ebenfalls aus Art. 82 Abs. 1 DS-GVO. Die Höhe war jedoch auf den tenorierten Betrag zu reduzieren, da die begründeten Ansprüche des Kl. nur einen Gegenstandswert von 1.000 EUR aufweisen.

LG Stuttgart Urt. v. 26.1.2023 – 53 O 95/22 = ZD 2023, 278

300 EUR Der Kl. stellt die Bemessung des Schmerzensgeldes, hinsichtlich dessen er eine Größenordnung seiner Vorstellungen angegeben hat, zulässigerweise in das Ermessen des Gerichts. Dem Kl. steht gegen die Bekl., die als Verantwortliche iSv Art. 4 Ziff. 7 DS-GVO anzusehen ist, ein Anspruch auf – immateriellen – Schadensersatz iHv 300 EUR aus Art. 82 Abs. 1 DS-GVO zu. Insofern ist ein relevanter Verstoß der Bekl. darin zu sehen, dass diese gegen die sich aus Art 25 Abs. 2 DS-GVO ergebende Verpflichtung verstoßen hat. IÜ ist nicht anzunehmen, dass ein Verstoß gegen Art. 25 Abs. 2 DS-GVO einen Ersatzanspruch nicht auszulösen vermag. Vielmehr kann aus der Verletzung der sich aus Art. 25 DS-GVO ergebenden Pflichten eine Erhöhung der Gefahr eines Schadens resultieren. Das wird hier augenscheinlich dadurch, dass bei einer Voreinstellung, die mit Art. 25 Abs. 2 DS-GVO konform gewesen wäre, ein Abgreifen der Mobiltelefonnummer des Kl. so, wie letztlich geschehen, nicht ohne Weiteres möglich gewesen wäre. Denn bei einer entsprechenden Voreinstellung wäre die Nummer nicht öffentlich zugänglich gewesen, sondern allenfalls auf Grund einer individuellen Auswahl des Kl. Darüber hinaus ist die Bekl. der ihr nach Art. 13 DS-GVO auferlegten Informations- und Aufklärungspflicht nicht in vollständigem Umfang nachgekommen. Ein Verstoß gegen Art. 13 DS-GVO kann – entgegen der Annahme der Bekl. – ohne Weiteres einen Schadensersatzanspruch nach Art. 82 DS-GVO nach sich ziehen. Ob die Bekl. im Vorfeld des Daten-Scraping-Vorfalls weitere Pflichtverletzungen in Ansehung der DS-GVO begangenen hat, kann für die hier zu treffende Entscheidung dahinstehen, da sich daraus weitere Konsequenzen für den dem Kl. insofern zuzubilligenden Schadensersatzanspruch nicht ergeben können. Denn es besteht sich hinsichtlich der vom Kl. der Bekl. vorgeworfenen Verstöße letztlich kein weitergehender Unrechtsgehalt als derjenige, der bereits aus den Verstößen gegen Art. 25 Abs. 2 DS-GVO und aus Art. 13 DS-GVO folgt. Die Bekl. kann sich mit Blick auf den Daten-Scraping-Vorfall nicht nach Art. 82 Abs. 3 DS-GVO entlasten. Insofern kann dahinstehen, ob überhaupt ein Verschulden erforderlich ist bzw. ob die Haftung nach Art. 82 DS-GVO zur Sicherstellung eines möglichst wirksamen Schadensersatzes als Gefährdungshaftung gestaltet ist. Denn der Bekl. ist bereits nach ihrem eigenen Vorbringen eine Entlastung, hinsichtlich derer ihr die Darlegungs- und Beweislast obliegt, nicht gelungen. Sie bringt vor, dass die Daten-Scraper Verfahren eingesetzt hätten, um in großem Umfang Daten mit automatisierten Tools und Methoden zu sammeln, was nach den Nutzungsbedingungen von Facebook untersagt gewesen sei. Damit räumt sie die technische Möglichkeit des Abgreifens von Daten durch die von ihr gewählte Architektur der Facebook-Plattform ein. Wenn aber der Bekl. bewusst ist, dass Daten-Scraper bestimmte Funktionen missbrauchen können, dann wäre es an der Bekl. gewesen, gerade das zu unterbinden. Auch wenn das dem eigenen Verständnis der Facebook-Plattform zuwiderlaufen mag, dem Interesse der Nutzer an der Wahrung ihrer datenschutzrechtlichen Belange entspräche das indes sehr wohl. Die Bekl. trägt überdies nichts Konkretes dazu vor, was sie gegen die ihr bekannte Möglichkeit unternommen haben will. Sie bringt nur – letztlich recht pauschal – vor, sie habe Maßnahmen getroffen, um das Risiko von Scraping zu unterbinden, und entwickle ihre eigenen Maßnahmen zur Bekämpfung von Scraping kontinuierlich und als Reaktion auf die sich ständig ändernden Techniken und Strategien weiter. Ebenso wenig konkret und nachvollziehbar ist die pauschale Feststellung der Bekl., in der Regel würden lediglich die Methoden, mit denen auf die maßgeblichen Funktionen zugegriffen werden könne, beschränkt, um zu verhindern, dass die gesamte zugrundeliegende Funktion beseitigt werde. Anderes ergibt sich auch nicht aus der ergänzenden Darstellung der Klageerwiderung und des Schriftsatzes v. 6.1.2023, vielmehr gesteht die Bekl. zu, dass die zutreffende Reaktion zur Verhinderung des hier stattgefundenen Daten-Scraping gewesen sei, das Verknüpfen von Telefonnummern mit bestimmten Facebook-Nutzern durch das Contact-Import-Tool zu verhindern. Das hatte sie – wie sie im Schriftsatz v. 6.1.2023 mitteilt – nicht gemacht, weil zunächst Scraping-Aktivitäten über das Contact-Import-Tool nicht festgestellt worden seien. Das nach dem Vorbringen der Bekl. erfolgte Absenken der Übertragungsbeschränkungen war offenkundig unzureichend. Soweit die Bekl. darauf abstellt, es handele sich dabei um eine legitime, nützliche Nutzerfunktion, mag dies zwar nützlich und hilfreich für einzelne Nutzer sein, erforderlich ist es indes nicht. Auch der Hinweis, dass die Telefonnummern von den Daten-Scrapern „bereitgestellt“ worden sei, entlastet die Bekl. nicht. Es wäre an ihr gewesen, ein solches automatisiertes Verfahren zu verhindern. Aufgrund der nach Auffassung des Kl. unzureichenden Auskunft im Zusammenhang mit dem Daten-Scraping-Vorfall steht diesem ein Anspruch auf immateriellen Schadensersatz dagegen nicht zu. Zwar kann auch eine bloße Verletzung einer Auskunftspflicht nach Art. 15 DS-GVO insoweit einen Schadensersatzanspruch begründen. Hier ist indes davon auszugehen, dass die Information des Kl., wie sie mit Schreiben v. 23.8.2021 erfolgt ist, dessen Anspruch nach Art. 15 DS-GVO erfüllt hat. Der Kl. hatte sich unter dem 4.6.2021 an die Bekl. „wegen der im April 2021 bekannt gewordenen Onlineveröffentlichung eines Datensatzes mit Facebook-Profilen von Nutzern“ gewandt und konkrete Fragen formuliert, hinsichtlich derer er eine Erklärung der Bekl. wünsche. Diese betreffen ausschließlich die abhanden gekommenen – gescrapten – personenbezogenen Daten und nicht die Frage, über welche personenbezogenen Daten die Bekl. überhaupt verfügt. Dieses Auskunftsverlangen, das sich aus Art. 15 DS-GVO ableiten lässt, hat die Bekl. mit dem Schreiben v. 23.8.2021 erfüllt. Eine Erfüllung ist dann anzunehmen, wenn die Angaben nach dem erklärten Willen des Schuldners die Auskunft im geschuldeten Gesamtumfang darstellen. Wird die Auskunft in dieser Form erteilt, steht ihre etwaige inhaltliche Unrichtigkeit einer Erfüllung nicht entgegen. Die Bekl. hat mitgeteilt, dass sie eine Kopie der Rohdaten, welche die durch Scraping abgerufenen Daten enthielten, nicht habe. Auf Grundlage der bislang vorgenommenen Analysen sei es ihr jedoch gelungen, der Nutzer-ID des Kl. die folgenden Datenkategorien zuzuordnen, die nach ihrem Verständnis in den durch Scraping abgerufenen Daten erschienen und mit den auf dem Facebook-Profil des Kl. verfügbaren Informationen übereinstimmten: Nutzer-ID, Vorname, Nachname, Land, Geschlecht. Dagegen sei die Telefonnummer „nach unserem Verständnis in den durch Scraping abgerufenen Daten enthalten“. Zudem hat die Bekl. erläutert, wie das Daten-Scraping erfolgte. Damit hat die Bekl. zum Ausdruck gebracht, dass sie die von ihr geschuldeten Angaben mitgeteilt hat. Darüber hinaus kann im hier zu beurteilenden Einzelfall nicht angenommen werden, dass – selbst wenn die Auskunft der Bekl. nicht ausreichend gewesen wäre – ein hierauf begründeter Schadensersatzanspruch bestünde. Der Kl. hat in seiner Anhörung im Termin v. 16.1.2023 eingestanden, dass er der Information der Bekl. eine Bedeutung nicht beigemessen hat. Dem Kl. ist im Zusammenhang mit dem Daten-Scraping-Vorfall auch ein nach Art. 82 DS-GVO ersatzfähiger – immaterieller – Schaden entstanden, für den die Verstöße der Bekl. gegen die DS-GVO kausal waren. Es kann insofern dahinstehen, ob ein Datenschutzverstoß als solcher für das Entstehen eines Schadensersatzanspruchs ausreicht oder es darüber hinaus der Darlegung und des Nachweises eines konkreten – auch immateriellen – Schadens bedarf. Der Kl. hat einen konkreten, mit dem Daten-Scraping in Zusammenhang stehenden Schaden behauptet und zur Überzeugung der Kammer im Rahmen seiner persönlichen Anhörung nachvollziehbar erläutert. Dabei sind die Angaben des Kl. glaubhaft, er selbst wirkt seinerseits glaubwürdig. Er räumt ohne Weiteres ein, dass er verschiedenes nicht mehr genau weiß, und ist keineswegs bemüht, die floskelhaften und letztlich nichtssagenden Formulierungen der Klage zu wiederholen, sondern schildert, das, was ihn gestört hat, ohne Übertreibung und ohne erkennbaren Blick auf das, was seinem Begehren vermeintlich dienlicher sein könnte. Danach ist davon auszugehen, dass der Kl. – jedenfalls – Ping-Anrufe erhalten hat, die auf den Daten-Scraping-Vorfall zurückzuführen sind. Zwar konnte er den genauen Zeitraum nicht (mehr) benennen, es ergibt sich aber aus seiner Schilderung, dass er über einen gewissen Zeitraum im Jahr 2021 mehrere solcher Anrufe erhalten hat. Eine nachvollziehbare andere Erklärung hierfür liegt – auch wenn es sich bei Ping-Anrufen um ein nicht nur vereinzeltes, nicht auf Nutzer der Facebook-Plattform begrenztes Phänomen handelt – nicht auf der Hand, zumal ein zeitlicher Zusammenhang mit der Veröffentlichung der gescrapten Daten ohne Weiteres herstellbar ist. Anders ist das indes hinsichtlich der auch vom Kl. angesprochenen Spam-E-­Mails, da diese ein allgemeines und vor allem sehr weit verbreitetes Phänomen darstellen und nicht notwendigerweise auf das Daten-Scraping zurückzuführen sind, zumal ein Abgreifen der E-­Mail-Adresse des Kl. nicht nachgewiesen ist. Darüber hinaus kann mit Blick auf die Anhörung des Kl. nicht davon ausgegangen werden, dass er Angst wegen eines Kontrollverlusts über seine Daten gehabt hätte, vielmehr ist eher das Gegenteil der Fall. Der Kl. hat – unstreitig – seine Voreinstellungen auf Facebook nicht geändert und letztlich hierfür zu keinem Zeitpunkt eine Veranlassung gesehen, weil ihm offenkundig die Nutzung der Plattform mit all ihren Funktionen wichtiger gewesen ist. Das wäre anders, stünde eine – in der Klage wiederum nur floskelhaft und ohne jeden Bezug zum konkreten Mandatsverhältnis behauptete – tatsächliche Sorge über einen Kontrollverlust im Raum. Nachdem mit Blick auf den Erwägungsgrund 75 der DS-GVO als Schaden ausreichend ist, dass die betroffenen Personen um ihre Rechte und Freiheiten gebracht oder daran gehindert werden, die sie betreffenden personenbezogenen Daten zu kontrollieren, erhellt sich ohne Weiteres, dass die sich aus seiner glaubhaften Schilderung ergebenden Konsequenzen des Daten-Scraping-Vorfalls eine über eine Bagatellgrenze hinausreichende Beeinträchtigung darstellen. Es ist mehr als eine bloße Bagatelle, wenn über mehrere Monate hinweg Ping-Anrufe erfolgen, die den Angerufenen immer wieder vor die Frage stellen, ob er die Nummer zurückrufen soll oder nicht. Es ist daher ohne Weiteres nachvollziehbar, wenn der Kl. hiervon „genervt“ gewesen ist. Dabei ist – anders als von der Bekl. angenommen – zugrunde zu legen, dass auch die Mobiltelefonnummer des Kl. Gegenstand des Daten-Scrapings geworden ist. Denn diese stand den Daten-Scrapern vorab nicht zur Verfügung, erst durch die Verbindung mit den weiteren Daten haben diese eine dem Kl. zuzuordnende Telefonnummer erlangt, nicht nur eine elf- oder zwölfstellige Zahl ohne jeden nachvollziehbaren Bezug zu einer Person. Das Scraping der Daten des Kl. ist ohne die Verletzung der Pflichten der Bekl. nach Art. 25 Abs. 2 DS-GVO und nach Art. 13 DS-GVO nicht denkbar. Aufgrund des Verstoßes gegen die Verpflichtung eines Datenschutzes durch Voreinstellung und durch den unterbliebenen Hinweis auf die Auffindbarkeit der Telefonnummer bei Nutzung des Contact-Import-Tools ist es erst möglich geworden, dass personenbezogene Daten von Dritten abgegriffen worden sind. Eine Mitursächlichkeit ist ausreichend, eine alleinige Kausalität nicht gefordert, daher ist insofern nicht erheblich, dass der Kl. nach der erstmaligen Anmeldung bei Facebook die Datenschutzeinstellungen nicht geändert hat. Ein etwaiges Mitverschulden des Kl. (§ 254 BGB) deswegen, weil er die Datenschutzeinstellungen seines Facebook-Profils nicht geändert hat und dadurch auch den Zugriff der Daten-Scraper mit ermöglicht hat, tritt hinter die Verstöße der Bekl. vollkommen zurück. Denn das Verhalten des Kl. – die von der Bekl. vorgegebenen Voreinstellungen zu belassen – ist gerade von der Bekl. intendiert und mit Blick auf den von ihr angenommenen Sinn und Zweck der Facebook-Plattform gewünscht. Dann aber kann die Bekl. sich, wenn sich die Gefahren, die sich durch ihr verordnungswidriges Verhalten ergeben, realisiert haben, nicht darauf berufen, es sei am Kl. dies iSd Schutzes seiner personenbezogenen Daten zu korrigieren. Das gilt umso mehr für das Contact-Import-Tool, über dessen Funktionsweise und die damit verbundenen Gefahren seitens der Bekl. nicht aufgeklärt wird. Vor diesem Hintergrund kann dahinstehen, ob ein Mitverschulden des Geschädigten iRv Art. 82 DS-GVO überhaupt zu berücksichtigen ist. Der dem Kl. zuzuerkennende Schadensersatz für den erlittenen immateriellen Schaden ist entsprechend seinem Begehren für den lediglich als gerechtfertigt angesehen Ersatzanspruch wegen der Verstöße im Zusammenhang mit dem Daten-Scraping-Vorfall mit 300 EUR zu bemessen. Damit kann einerseits der Ausgleichs- und Genugtuungsfunktion genügt werden, andererseits der generalpräventiven Funktion des immateriellen Schadensersatzes hinreichend Rechnung getragen werden. Zum einen ist – mit Blick auf den generalpräventiven Auftrag des Art. 82 DS-GVO – insoweit zu berücksichtigen, dass die Art und Weise der Datenerhebung durch die Bekl. systematisch gegen die Vorgaben der DS-GVO verstößt, um damit Sinn und Zweck der von ihr betriebenen Facebook-Plattform zu fördern. Andererseits ist auch der Umfang der Daten des Kl., die abgegriffen worden sind, zu berücksichtigen. Sicherlich ist die Telefonnummer darunter, die über den Vorfall mit seinem Namen verbunden werden kann, ebenso auch das Profil bei Facebook, sodass der Kl. über diesen Weg kontaktiert werden kann. Weitergehende Daten, die eine Kontaktaufnahme ermöglichen könnten, sind – nach derzeitigem Kenntnisstand – nicht von Dritten gescrapt worden. Daher ist der mögliche Schaden, auch wenn die Gefahr eines Identitätsdiebstahls nicht ausgeschlossen werden kann, im Grunde für den Kl. letztlich noch überschaubar. Das manifestiert sich auch in der persönlichen Anhörung des Kl., der – dem Daten-Scraping zuzuordnen – lediglich über Ping-Anrufe über einen Zeitraum von mehreren Monaten im Jahr 2021 berichtet. Das zugrunde legend und ausgehend von etwa 3 Ping-Anrufen pro Monat über einen Zeitraum eines 3/4 Jahres hinweg – eine Veröffentlichung der Daten erfolgte erst im April 2021 – ist ein Betrag von 300 EUR angemessen und ausreichend. Soweit in Rede steht, dass die Bekl. – was anzunehmen sein sollte – überdies ihre Meldepflicht aus Art. 33 DS-GVO verletzt hat und dass sie – was ebenfalls anzunehmen sein sollte – den Kl. nicht entsprechend ihrer unverzüglich zu erfüllenden Verpflichtung aus Art. 34 Abs. 1 DS-GVO informiert hat, lässt sich hierauf eine Erhöhung des dem Kl. zuzubilligenden Schadens nicht stützen. Durch die Verletzung dieser Pflichten hat sich der Schaden des Kl. nicht vertieft. Der maßgebliche Vorwurf an die Bekl. ergibt sich daraus, dass es möglich war, dass ein Daten-Scraping stattfand. Entscheidend ist insoweit aber, dass der Kl. aus dem späteren Wissen um die Verstöße und um die Möglichkeiten, die Profileinstellungen zu ändern, nicht gehandelt hat. Unstreitig – und vom Kl. im Rahmen seiner persönlichen Anhörung auch zugestanden – sind die maßgeblichen Einstellungen nicht geändert. Daraus wird deutlich, dass der Kl. der Auskunft und der Meldung als solcher ein entscheidendes Gewicht nicht beimisst, dann aber kann das auch nicht relevant für einen von ihm erlittenen Schaden sein. Nachdem dem Kl. ein Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO zusteht, ist auch auf den Klageantrag zu 2 zu erkennen. Es ist nicht ausgeschlossen, dass der Kl. künftig infolge der Verstöße der Bekl. gegen die DS-GVO – auch – materielle Schäden erleidet. Im Rahmen des ihm zustehenden materiellen Schadensersatzanspruchs nach Art. 82 Abs. 1 DS-GVO kann der Kl. auch die Erstattung vorgerichtlich angefallener Rechtsanwaltsgebühren beanspruchen.

LG Ellwangen Urt. v. 25.1.2023 – 2 O 198/22

0 EUR Da die Bemessung der Höhe des Schmerzensgeldes in das Ermessen des Gerichts gestellt ist, ist die Stellung eines unbezifferten Zahlungsantrags ausnahmsweise zulässig. Es fehlt an einer schadenersatzauslösenden Pflichtverletzung der Bekl. iSd DS-GVO. Soweit der Kl. der Bekl. mehrere Verstöße vorwirft, nämlich ungenügende Information und Aufklärung über die Verarbeitung der sie betreffenden Daten durch ungenügende Aufklärung zur Verwendung und Geheimhaltung der Telefonnummer (Art. 5 Abs. 1 lit. a DS-GVO), einen unmittelbaren Verstoß gegen Art. 1314 DS-GVO, die konkrete Informationspflichten enthielten, die seitens der Bekl. nicht eingehalten worden seien, einen ungenügenden Schutz der personenbezogenen Daten der Nutzer von F. (Art. 2432 DS-GVO), eine unvollständige Auskunftserteilung nach Art. 15 DS-GVO, da nicht mitgeteilt worden sei, welchen Empfängern die Daten des Kl. durch Ausnutzung des Kontakt-Import Tools zugänglich gemacht worden seien (Art. 3334 DS-GVO), sind solche Verstöße schon nicht vom Schutzzweck des Art. 82 DS-GVO umfasst. Es kann daher auch offenbleiben, ob sich der Kl. iRd Geltung der DS-GVO ein anspruchsausschließendes Mitverschulden gem. § 254 Abs. 2 BGB analog entgegenhalten lassen muss. Der sachliche Anwendungsbereich des Art. 82 DS-GVO ist zunächst bezogen auf die Geltendmachung behaupteter verspäteter Auskunftsansprüche gem. Art. 15 DS-GVO und Art. 34 DS-GVO nicht eröffnet. Die behauptete Verletzung von bloßen Benachrichtigungspflichten bzw. Informationsrechte ist hingegen nicht erfasst. Der Schutzbereich des Art. 82 DS-GVO umfasst ebenso wenig Verstöße gegen Art. 34 DS-GVO. Schließlich lässt sich auch von vornherein aus Art. 24 DS-GVO kein subjektives Recht herleiten. Selbiges gilt für Art. 25 DS-GVO. Daher kann auch offenbleiben, ob Verstöße etwa gegen Art. 1314 und 34 DS-GVO durch die Bekl. erfolgten, da auch sie nicht unter den Schutzbereich des Art. 82 DS-GVO fallen, weil auch sie „lediglich“ Informationspflichten über die Verarbeitung enthalten, nicht aber die Verarbeitung als solche zum Gegenstand haben. Unabhängig von den vorstehenden Ausführungen fehlt es aber ohnehin an entsprechenden Pflichtverstößen der Bekl. gegen Normen der DS-GVO, wenn man den Anwendungsbereich für eröffnet erachten sollte. Unabhängig von den vorstehenden Ausführungen fehlt es (auch) an einem ersatzfähigen Schaden des Kl. iSd Art. 82 Abs. 1 DS-GVO. Für den immateriellen Schadensersatz gelten dabei die iRv § 253 BGB entwickelten Grundsätze; die Ermittlung obliegt dem Gericht nach § 287 ZPO. Für die Bemessung können die Kriterien des Art. 83 Abs. 2 DS-GVO herangezogen werden, zB die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie die betroffenen Kategorien personenbezogener Daten. Zu berücksichtigen ist auch, dass die beabsichtigte abschreckende Wirkung nur durch für den Anspruchsverpflichtenden empfindliche Schmerzensgelder erreicht wird, insb. wenn eine Kommerzialisierung fehlt. Ein genereller Ausschluss von Bagatellfällen ist damit nicht zu vereinbaren. Die Pflicht zur Erstattung immaterieller Schäden ist daher nicht nur auf schwere Schäden beschränkt. Nach den Erwägungsgründen der Europäischen Grundrechtscharta ist der Schadensbegriff weit auszulegen (s. Erwägungsgrund 146, auch wenn er in der DS-GVO nicht näher definiert wird). Schadenersatzforderungen sollen abschrecken und weitere Verstöße unattraktiv machen. Darüber hinaus sollen die betroffenen Personen einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden haben. Dabei wird vor allem die abschreckende Wirkung des Schadensersatzes betont, welche insb. durch seine Höhe erzielt werden soll. Nach den Erwägungsgründen 75 kann ein Nichtvermögensschaden durch Diskriminierung, Identitätsdiebstahl oder -betrug, Rufschädigung, Verluste der Vertraulichkeit von dem Berufsgeheimnis unterliegenden persönlichen Daten oder gesellschaftliche Nachteile eintreten. Ein genereller Ausschluss von Bagatellschäden ist im Lichte dieser Erwägungsgründe nicht vertretbar. Dies wird auch aus Art. 4 Abs. 3 AEUV abgeleitet, der die Mitgliedsstaaten dazu anhält, Verstöße wirksam mit Sanktionen zu belegen, denn nur so könne man eine effektive Durchsetzbarkeit des EU-Rechts und damit auch der DS-GVO erzielen. Allein eine Verletzung des Datenschutzrechts als solche begründet allerdings nicht bereits für sich gesehen einen Schadensersatzanspruch für betroffene Personen. Die Verletzungshandlung muss in jedem Fall auch zu einer konkreten, nicht nur völlig unbedeutenden oder empfundenen Verletzung von Persönlichkeitsrechten der betroffenen Personen geführt haben. Verletzung und Schaden sind nicht gleichzusetzen. Einerseits ist zwar eine schwere Verletzung des Persönlichkeitsrechts nicht (mehr) erforderlich, andererseits ist auch weiterhin nicht für einen Bagatellverstoß ohne ernsthafte Beeinträchtigung bzw. für jede bloß individuelle empfundene Unannehmlichkeit ein Schmerzensgeld zu gewähren. Dem Betroffenen muss vielmehr ein spürbarer Nachteil entstanden sein und es muss um eine objektiv nachvollziehbare, mit gewissem Gewicht erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen gehen. Der Schaden ist zwar weit zu verstehen, er muss jedoch auch wirklich „erlitten“ (Erwägungsgrund 146 S. 6), dh „spürbar“, objektiv nachvollziehbar und von gewissem Gewicht sein, um bloße Unannehmlichkeiten oder Bagatellschäden auszuschließen. Unter Anwendung dieser Maßstäbe hat der Kl. schon keine spürbare Beeinträchtigung von persönlichen Belangen, die durch Datenverlust hervorgerufen worden ist, dargelegt. Der Kl. trägt vor, einen erheblichen Kontrollverlust über seine Daten erlitten und Sorge vor Missbrauch seiner Daten zu haben. Seit dem Scraping-Vorfall 2019 und Veröffentlichung im April 2021 auf der eingangs benannten Seite sei es zu einem Anstieg von SMS und Mails gekommen. Zugleich hat er aber im Rahmen seiner Anhörung gem. § 141 ZPO bekundet, seit Entdeckung des Scraping-Vorfalls im April 2021 nichts an seinen Profileinstellungen bei F. geändert zu haben. Schon dieser Umstand lässt die Angabe, Furcht vor einem Kontrollverlust über seine Daten zu haben, unplausibel erscheinen. Unabhängig davon genügt aber selbst die Annahme nicht, dass der Kl. unter einer Furcht vor einem Kontrollverlust leidet, um einen Schaden iSd DS-GVO zu bejahen. Der Kl. spricht lediglich allgemein von unerwünschten bzw. dem unerwünschten erhöhten Anfall von E-­Mails und Nachrichten. Unerwünschte E-­Mails und Anrufe erhalten gerichtsbekannt aber auch Personen, die keinen F.-Account haben und dort ihre Telefonnummer hinterlegt haben. Hierbei hat das Gericht auch berücksichtigt, dass die Möglichkeit besteht, eine Telefonnummer zu wechseln. Dass aus dem Bekanntwerden einer Telefonnummer ein Identitätsmissbrauch entstehen kann, ist eher unwahrscheinlich. Insb. würde der Schadenbegriff so aufgeweicht und ausgedehnt und es würde der konkrete Nachweis einer möglichen Betroffenheit genügen, um eine Haftung zu begründen. Dies käme einer reinen Gefährdungshaftung gleich und widerspricht letztlich auch dem Erwägungsgrund 75. Aus Risiken für die Rechte und Freiheiten natürlicher Personen können physische, materielle oder immaterielle Schäden entstehen. Schäden sind aber kein zwangsweises Produkt aus einem Risiko für die Rechte und Freiheiten natürlicher Personen aus einer Verarbeitung personenbezogener Daten, vielmehr sind diese nur fakultativ. Der Sinn der Verordnung wird aber nicht gewahrt, indem man jeglichem „Unwohlsein“ eine Schadensposition einräumt. Vielmehr muss zumindest ein ernsthaftes Risiko bestehen, dass die Daten missbraucht werden. Dies konnte das Gericht im vorliegenden Fall nicht feststellen, da der Kl. im Rahmen seiner informatorischen Anhörung selbst angegeben hat nichts an seinen Profileinstellungen bei F. geändert hat. Läge bei jedem DS-GVO-Verstoß automatisch ein immaterieller Schaden vor, wäre der Schaden als Anspruchsvoraussetzung überflüssig. Auf die Frage des konkreten Schadens kommt es aber deshalb nicht entscheidungserheblich an, weil die Klage auch aus anderen Gründen ohne Erfolg bleibt. Vorliegend scheitert das Klagebegehren nämlich auch an dem Umstand, dass die vom Kl. benannten Normen der DS-GVO schon keinen Schadenersatzanspruch nach Art. 82 DS-GVO auszulösen vermögen, selbst wenn man entgegen der hier vertretenen Ansicht einen oder mehrere Verstöße bejahen sollte. Es fehlt auch an einer Kausalität. Soweit der Kl. behauptet, er erhalte unerwünschte SMS und E-­Mails, so handelt es sich um eine Erscheinung, die bereits mit der Nutzung des Internets als solcher zusammenhängt. Dem Gericht ist aus eigener Anschauung bekannt, dass auch Personen ohne F.-Account unerwünschte Anrufe oder Nachrichten, zB im Spamordner unerwünschte Werbe-E-­Mails erhalten. Selbst wenn beim Kl. tatsächlich derartige Anrufe seit April 2021 zugenommen haben mögen, so kann dies vielerlei Ursachen haben. Es ist völlig unklar und unbekannt, ob und welche Daten der Kl. an anderer Stelle freigegeben hat und ob ein unberechtigter Datenzugriff an anderer Stelle zu dem vom Kl. behaupteten vermehrten unerwünschten Nachrichtenaufkommen geführt hat. Die Kausalität ist aber schon deshalb zu verneinen, weil der Kl. ausweislich seiner eigenen Angaben im Rahmen seiner persönlichen Anhörung gem. § 141 ZPO ausgeführt hat, bis heute keinerlei Änderungen in seinen Profileinstellungen oder sonstige Schutzmaßnahmen ergriffen zu haben. Dann aber ist nicht erkennbar, worin ein kausaler Schaden liegen soll. Soweit der Kl. meint, einen Schmerzensgeldanspruch auf einen Verstoß der Bekl. gegen Art. 34 DS-GVO stützen zu können, weil die Bekl. ihm verspätet Auskünfte erteilt hat, geht er bereits deshalb fehl, weil nicht erkennbar ist, was er unternommen hätte, wenn er eher besagte Auskunft von der Bekl. erhalten hätte. Denn der Kl. hat auch nach aus seiner Sicht verspäteter Auskunftserteilung keinerlei Maßnahmen zum Eigenschutz ergriffen. Da ein Anspruch bereits dem Grunde nach nicht besteht, sind Ausführungen zur Höhe des geltend gemachten Schadensersatzanspruchs (eigentlich) entbehrlich. Wegen des präventiven und sanktionellen Charakters des Schmerzensgeldanspruchs aus der DS-GVO mag es sein, dass ein Schmerzensgeld iHv 1.000 EUR bei einem Verstoß in Betracht kommt. Es erschließt sich jedoch nicht, warum außergerichtlich ein Schmerzensgeld iHv 500 EUR begehrt wurde und nunmehr bei gleichbleibender Argumentation im gerichtlichen Verfahren 1.000 EUR begehrt werden. Es kann vorliegend dahinstehen, ob die DS-GVO als unmittelbar geltendes europäisches Recht nationales Recht verdrängt oder ein Nebeneinander anzunehmen ist, da ein solcher Anspruch auch bei Annahme eines „Nebeneinander“ nicht besteht. Mangels Anspruch in der Hauptsache besteht kein Anspruch des Kl. gegen die Bekl. auf Zahlung außergerichtlicher Rechtsanwaltskosten gem. § 280 Abs. 1 BGB oder aus Art. 82 Abs. 1 DS-GVO.

NEU LG Stuttgart Urt. v. 25.1.2023 – 53 O 129/22

0 EUR Ein Anspruch des Kl. aus Art. 82 DS-GVO scheitert an einer fehlenden schadensersatzauslösenden Pflichtverletzung der Bekl. Etwaige Verstöße gegen die Pflicht zur Information und Aufklärung über die Verwendung und Geheimhaltung der Telefonnummer iSv Art. 5 Abs. 1 lit. a DS-GVO sowie gegen Informationspflichten nach Art. 13, Art. 14 DS-GVO und die behauptete unvollständige Auskunftserteilung gem. Art. 15 DS-GVO sind bereits nicht vom Schutzzweck des Art. 82 DS-GVO erfasst, da Benachrichtigungspflichten keine Verarbeitung iSd Art. 4 Abs. 2 DS-GVO darstellen. Auch werden vom Schutzbereich des Art. 82 DS-GVO Verstöße gegen Art. 34 DS-GVO nicht erfasst. Dahinstehen kann somit, ob die geschilderten Beeinträchtigungen des Kl. einen ersatzfähigen Schaden begründen und in welcher Höhe. Auch kann die von der Bekl. bestrittene Kausalität zu den klägerseits geschilderten Beeinträchtigungen dahinstehen. Ebenso kann dahinstehen, ob die fehlende Prüfung und Änderung der Einstellungen im Nutzerprofils des Kl. nach ausdrücklichem Hinweis der Bekl. ein anspruchsausschließendes Mitverschulden gem. § 254 BGB begründen.

LG Limburg Urt. v. 24.1.2023 – 4 O 278/22

0 EUR Die Kammer macht sich die Begründung in dem Urteil des LG Gießen v. 3.11.2022 (Az. 5 O 195/22, GRUR-RS 2022, 30480) zu Eigen. Im Einzelnen gilt: Es besteht kein Anspruch auf Zahlung eines immateriellen Schadensersatzes gem. Art. 82 Abs. 1 DS-GVO. Dem Kl. ist es nicht gelungen, den Eintritt eines (eigenen) Schadens als überwiegend wahrscheinlich (§ 287 ZPO) nachzuweisen. Nach dem ausdrücklichen Wortlaut der Vorschrift muss der Schaden „erlitten“ werden, woraus sich ergibt, dass dieser tatsächlich entstanden sein muss und nicht lediglich befürchtet wird. Zwar ist der Begriff des Schadens nach dem Erwägungsgrund 146 S. 3 weit auszulegen, sodass die Betroffenen einen wirksamen Ersatz bekommen; nach Auffassung der Kammer reicht jedoch ein bloßer Verstoß gegen Vorschriften der DS-GVO nicht aus, um (immateriellen) Schadensersatz verlangen zu können. Es bedarf vielmehr der Darlegung eines konkreten (auch immateriellen) Schadens. Allerdings ist es nicht erforderlich, dass der eingetretene Schaden erheblich ist; mithin sind auch Bagatellschäden ersatzfähig. Das Vorliegen eines konkreten, immateriellen Schadens, wozu auch Ängste, Sorgen, Stress sowie Komfort- und Zeiteinbußen zählen, hat der Kl. nicht hinreichend dargetan. Er hat zwar ausführen lassen, dass er einen erheblichen Kontrollverlust über seine Daten erlitten habe und deshalb unter großem Unwohlsein und Sorgen leide sowie einen Missbrauch befürchte. Letztlich kann die Kammer aber nicht mit hinreichender Wahrscheinlichkeit davon ausgehen, dass der Kl. unter den von ihm beschriebenen Ängsten und Sorgen tatsächlich leidet. Dagegen spricht bereits der Umstand, dass es sich bei den gescrapten Daten des Kl. mit – Ausnahme der Mobilfunknummer – um Daten handelt, die immer auf der F.-Seite öffentlich sind. Es ist diesen Daten immanent, dass sie jedem jederzeit zugänglich zu sind. Auf diesen Umstand weist die Bekl. ihre Nutzer auch ausdrücklich hin, sodass es für die Kammer nicht nachvollziehbar ist, weshalb eine „weitere Veröffentlichung“ dieser Daten, bei dem Kl. zu einem unguten Gefühl geführt haben sollte. Dagegen spricht weiterhin der Umstand, dass es sich offensichtlich um eine standardisierte Klageschrift handelt, die für eine Vielzahl von betroffenen Nutzern eingereicht wird. So ist zB vorgetragen, dass sich der Kl. auf Grund des Vorfalls mit betrügerischen E-­Mails auseinandersetzen müsse, obwohl die E-­Mail-Adresse gar nicht gescrapt worden sein kann, weil der Kl. sie – unstreitig – nicht angegeben hat. Ebenso kann die Kammer keinen konkreten immateriellen Schaden aus der Veröffentlichung der Mobilfunknummer ersehen. Erhebliche Zweifel an dem in der Klageschrift vorgetragenen Gemütszustand des Kl. ergeben sich bereits daraus, dass der Kl. die Mobilfunknummer angab, ohne von den auf der Website der Bekl. – leicht auffindbar – bereitgestellten Einschränkungsmöglichkeiten bzgl. der Suchbarkeitskriterien zu machen. Der klägerische Vortrag ist nicht hinreichend substantiiert und individualisiert, um den angeblichen immateriellen Schaden nachvollziehbar erscheinen zu lassen. Es ist weder vorgetragen noch ersichtlich, welche kriminellen oder auch nur lästigen Handlungen Dritte mit der Kombination aus immer öffentlich zugänglichen Daten des F.-Nutzers (Name, Profil- und Titelbilder, Netzwerke, Geschlecht, Nutzername und Nutzer-ID) und der Handynummer begehen sollten. Diese Daten gehen nicht über einen bloßen „Telefonbucheintrag“ hinaus. Ein diffuses Bedrohungsgefühl vermag ohne nachvollziehbare Tatsachengrundlage keinen immateriellen Schaden zu begründen. Aufgrund der vorgenannten Ausführungen kam es auf die Frage, ob und inwieweit die Bekl. gegen die DS-GVO verstoßen hat, nicht an. Insb. ist es insoweit nicht von Belang, dass die für die Bekl. zuständige (irische) Datenschutzbehörde – wie der Kl. vorträgt – im November 2022 wegen des 533 Mio. Datensätze betreffenden Scrapings eine Geldbuße i. H. v. 265 Mio. EUR gegen die Bekl. verhängt hat. Obiter dicta sei Folgendes angemerkt: Wollte man – entgegen der Auffassung der Kammer – jedem einzelnen betroffenen Nutzer zB einen Schadensersatzanspruch iHv von 100 EUR zuerkennen, würde dies in Summe einen Betrag iHv 53.300.000.000 (in Worten: dreiundfünfzig Milliarden dreihundert Mio. EUR) bedeuten. Dies stünde außer Verhältnis zur Schwere eines möglichen Datenschutzverstoßes der Bekl. Im Ergebnis liefe dies auf einen Strafschadensersatz (punitive damages) hinaus, der jedenfalls dem deutschen Zivilrecht fremd ist. Auch der Klageantrag zu 2 ist unbegründet. Es ist weder vorgetragen noch ersichtlich, dass dem Kl. auf Grund der von den Scrapern destillierten Kombination aus immer öffentlich zugänglichen Daten (Name, Profil- und Titelbilder, Netzwerke, Geschlecht, Nutzername und Nutzer-ID) und der Handynummer irgendwelche materiellen künftigen Schäden überhaupt entstehen können.

NEU LG Lüneburg Urt. v. 24.1.2023 – 3 O 85/22

0 EUR Die klagende Partei hat gegen die Bekl. keinen Anspruch auf immateriellen Schadensersatz iHv 1.000 EUR gem. Art. 82 Abs. 1 DS-GVO, weil ein ersatzfähiger Schaden der klagenden Partei nicht vorliegt. Der klagenden Partei obliegt es, den Schaden darzulegen und zu beweisen. Die Darlegungs- und Beweislast für die haftungsbegründenden Voraussetzungen und demnach auch den Eintritt eines Schadens trägt nach allgemeinen zivilprozessualen Grundsätzen der Anspruchsberechtigte. Eine Beweislastumkehr ist in Art. 82 Abs. 3 DS-GVO ausdrücklich nur bezüglich des Gesichtspunkts des Verschuldens vorgesehen, eine umfassende, bereichsspezifische Beweislastumkehr ist in der Verordnung nicht angelegt. Auch aus Art. 82 Abs. 3 DS-GVO iVm dem Erwägungsgrund 146 S. 2 DS-GVO folgt keine Beweislastumkehr für das Vorliegen eines Schadens. Nach dem klaren und eindeutigen Wortlaut sowohl des Art. 82 Abs. 3 DS-GVO als auch der Ausführungen im Erwägungsgrund 146 DS-GVO bezieht sich die darin niedergelegte Nachweisobliegenheit des Verantwortlichen allein auf seine Verantwortlichkeit für die Umstände, die den Schaden herbeigeführt haben, nicht aber – auch – auf den Schaden selbst. Der Schaden i. S. d. Art. 82 DS-GVO kann sowohl materiell als auch immateriell sein. Der Schadenbegriff wird dabei weit ausgelegt. Der Schaden muss erlitten worden, d. h. tatsächlich entstanden sein und darf nicht lediglich befürchtet werden. Um bloße Unannehmlichkeiten oder Bagatellschäden auszuschließen, wird gefordert, dass der Schaden „spürbar“, objektiv nachvollziehbar und von gewissem Gewicht sein muss. Gemessen an diesen Voraussetzungen hat die klagende Partei nämlich keinen ersatzfähigen Schaden erlitten. Die klagende Partei hat sämtliche Daten, die nach ihrem Vortrag durch den streitgegenständlichen Vorfall widerrechtlich erlangt wurden, selbst im Internet veröffentlicht.

LG Lüneburg Urt. v. 24.1.2023 – 3 O 116/22

300 EUR Der Klageantrag zu 1 ist hinreichend bestimmt iSd § 253 Abs. 2 Ziff. 2 ZPO. Die klagende Partei hat gegen die Bekl. einen Anspruch auf Zahlung eines immateriellen Schadensersatzes iHv 300 EUR gem. Art. 82 Abs. 1 DS-GVO. Die Bekl. hat gegen die DS-GVO verstoßen und den ihr obliegenden Exkulpationsnachweis nicht geführt. Die klagende Partei hat einen ersatzfähigen Schaden erlitten, der kausal auf die Verstöße der Bekl. zurückzuführen ist und den die Kammer mit 300 EUR beziffert. Die Bekl. hat keine geeigneten technischen und organisatorischen Maßnahmen getroffen, um die personenbezogenen Daten der klagenden Partei zu schützen. Über das Vorliegen der weiteren von der klagenden Partei behaupteten Verstöße der Bekl. gegen die DS-GVO braucht die Kammer nicht zu entscheiden. Die Bekl. hat gegen die ihr gem. Art. 25 Abs. 1 DS-GVO auferlegte Obliegenheit verstoßen, geeignete Maßnahmen zu treffen, um die Rechte der klagenden Partei und ihre personenbezogenen Daten zu schützen. Weiterhin hat die Bekl. gegen Art. 25 Abs. 2 DS-GVO verstoßen, indem sie keine geeigneten technischen und organisatorischen Maßnahmen getroffen hat, die sicherstellen würden, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden. Es kommt insoweit hier nicht darauf an, ob die Bekl. zudem auch gegen Art. 13143334 Abs. 1 und 215 DS-GVO verstoßen hat, indem sie (1) die klagende Partei nicht ausreichend iSd DS-GVO über die Verarbeitung der personenbezogenen Daten informierte, weiterhin (2) die klagende Partei nach dem Scraping-Vorfall nicht von der Verletzung des Schutzes der personenbezogenen Daten der klagenden Partei und auch die zuständige Datenschutzbehörde nicht benachrichtigte und (3) der klagenden Partei in nicht ausreichendem Maße Auskunft erteilt hat. Die Kammer ist der Auffassung, dass nicht jeglicher Verstoß gegen die DS-GVO anspruchsbegründend iSd Art. 82 Abs. 1 DS-GVO ist. Vielmehr ist erforderlich, dass der Verstoß iRe Verarbeitung der personenbezogenen Daten begangen worden ist. Zwar ist Art. 82 Abs. 1 DS-GVO dem Wortlaut nach weit gefasst, wenn als Voraussetzung dort lediglich ein Verstoß gegen die DS-GVO verlangt wird. Art. 82 Abs. 1 DS-GVO ist jedoch unter Berücksichtigung des Art. 82 Abs. 2 DS-GVO und des Erwägungsgrunds 146 DS-GVO dahingehend auszulegen, dass von der Schadensersatzpflicht nur solche Schäden umfasst sind, die auf Grund einer Verarbeitung entstehen. Das Verhalten der Bekl., durch welches sie möglicherweise ihre Auskunfts-­, Informations- oder Benachrichtigungspflichten verletzt hat, stellt evident keine Verarbeitung iSd o. g. Legaldefinition dar und löst deshalb auch keinen Schadensersatzanspruch gem. Art. 82 Abs. 1 DS-GVO aus. Ferner begründet ein bloßer Verstoß des Verantwortlichen gegen die DS-GVO, ohne dass eine Schadenfolge eintritt, keine Haftung. Einen konkreten ersatzfähigen Schaden durch die (vermeintliche) Verletzung der Auskunfts-­, der Informations- und der Benachrichtigungspflicht durch die Bekl. hat die klagende Partei nicht einmal behauptet. Die klagende Partei hat lediglich unsubstantiiert behauptet, dass sie bei zeitnaher Benachrichtigung durch die Bekl. „Schritte zur Risikominimierung und Absicherung“ ergriffen hätte. Selbst eine hinreichende Substantiierung dieser (bestrittenen) Behauptung unterstellt, wäre die klagende Partei mangels eines entsprechenden Beweisangebotes jedenfalls diesbezüglich beweisfällig geblieben. Die Bekl. hat sich nicht gem. Art. 82 Abs. 3 DS-GVO von der vermuteten Haftung befreit. Die Verantwortung des Anspruchsverpflichteten wird zunächst grds. vermutet. Der Begriff des Schadens iSd Art. 82 Abs. 1 DS-GVO ist nach dem Erwägungsgrund 146 S. 3 DS-GVO weit auszulegen. Die Auslegung soll den Zielen der DS-GVO in vollem Umfang entsprechen, auch dem Ziel der Sanktion und Prävention. Ausreichend ist gem. Art. 82 Abs. 1 DS-GVO auch ein immaterieller Schaden. Die Erwägungsgründe 75 und 85 DS-GVO zählen beispielhaft auf, welche konkreten Beeinträchtigungen einen immateriellen Schaden darstellen können, darunter der Verlust der Kontrolle über die eigenen Daten. Ob eine Erheblichkeitsschwelle erreicht bzw. überschritten sein muss und so genannte Bagatellschäden auszuschließen sind, kann im hiesigen Fall dahingestellt bleiben, weil die von der klagenden Partei geltend gemachte Beeinträchtigung über eine reine Bagatelle hinausgeht. Vorliegend erlitt die klagende Partei einen erheblichen Kontrollverlust über ihre personenbezogenen Daten durch die Offenbarung ihrer Telefonnummer, insb. auch, aber nicht nur durch die Verknüpfung dieser Telefonnummer mit weiteren personenbezogenen Daten wie Vor- und Nachname der klagenden Partei. Die abgegriffenen und veröffentlichen Daten bedeuten für die klagende Partei ein hohes Risiko, dass diese Daten unbefugt benutzt werden. Dies auch deshalb, weil die Daten im Darknet veröffentlicht wurden, welches bei entsprechender Kenntnis bekanntermaßen für jedermann zugänglich ist. Die negativen Folgen können dabei vielfältig sein und schwere Nachteile mit sich bringen, wie zum Beispiel die Belästigung durch Spam- und Werbenachrichten, die Zusendung von Viren oder vermögenswirksame Handlungen zu Lasten der klagenden Partei, sodass ein Schadensersatzanspruch gerechtfertigt ist. Es liegt auch die erforderliche Kausalität zwischen dem Verstoß der Bekl. gegen die DS-GVO und dem Schaden der klagenden Partei vor. Der Schaden der klagenden Partei ist auf die genannten Verstöße der Bekl. zurückzuführen. Der Schaden der klagenden Partei war für die Bekl. auch vorhersehbar. Ein völlig atypischer Verlauf, der die Kausalität ausschließen würde, liegt gerade nicht vor. Ein Schadensersatz iHv 300 EUR ist vorliegend angemessen. Art. 82 Abs. 1 DS-GVO macht bzgl. der Höhe des Schadensersatzanspruchs keine Vorgaben, sodass die Ermittlung gem. § 287 ZPO dem Gericht obliegt. Für die Bemessung der Höhe des Schadensersatzes können die Kriterien des Art. 83 Abs. 2 DS-GVO herangezogen werden, wie etwa die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs und des Zwecks der betreffenden Verarbeitung, weiterhin das Ausmaß des von der klagenden Partei erlittenen Schadens sowie die betroffenen Kategorien personenbezogener Daten. Zudem ist das Ziel des Schadensersatzanspruchs nach Art. 82 Abs. 1 DS-GVO zu berücksichtigen, Verstöße gegen die DS-GVO effektiv und abschreckend zu sanktionieren. Wesentlich für die Bemessung der Höhe des Schadensersatzes sind die konkreten Umstände des Einzelfalls. Vorliegend muss bei der Bemessung der Höhe des immateriellen Schadensersatzes der klagenden Partei zunächst berücksichtigt werden, dass der Kontrollverlust über die Daten hier zwar tatsächlich eingetreten ist und die oben beispielhaft dargestellten Risiken für die klagende Partei birgt. Allerdings ist auch zu berücksichtigen, dass die Gefahr von Spam- oder Fishing-Mails, sowie von mit krimineller Intention geführten Telefongesprächen auch zum allgemeinen Lebensrisiko gehört, mit welcher auch ohne den Verstoß gegen die DS-GVO gerechnet werden muss. Eine gesunde Skepsis ggü. Mails und Anrufen ist damit in gewisser Weise ohnehin berechtigt. In ganz erheblichem Maße wirkt sich vorliegend auch aus, dass die klagende Partei den Kontrollverlust ihrer Daten durch einen Wechsel ihrer Telefonnummer, die mit vergleichsweise wenig Umständen und Kosten verbunden ist, beseitigen kann. Aus diesem Grunde hatte die Kammer der Behauptung der klagenden Partei, wonach diese unter psychischen Beeinträchtigungen wie einem Unwohlsein leide, nicht weiter nachzugehen. Berücksichtigt werden muss daneben für die Bemessung der Schadensersatzhöhe auch die gesetzgeberisch beabsichtigte abschreckende Wirkung des Schadensersatzes, wobei die Kammer die hohe Abschreckungswirkung insb. in der Gesamtsumme aller immateriellen Schadensersatzansprüche gegen die Bekl. erblickt und berücksichtigt, dass das Allgemeininteresse im Schwerpunkt nach Art. 83 DS-GVO durch die Verhängung von Bußgeldern gewahrt wird. Die Höhe des von der Kammer angesetzten immateriellen Schadensersatzanspruchs berücksichtigt danach auch den Grundsatz der Verhältnismäßigkeit. Unter Abwägung dieser gesamten Gesichtspunkte erachtet die Kammer einen (immateriellen) Schadensersatz iHv 300 EUR für angemessen, aber auch ausreichend. Der Feststellungsantrag zu Ziff. 2 ist im tenorierten Umfang begründet. Er war im Hinblick auf das festgestellte Schadensereignis wie erfolgt zu präzisieren, weil er ansonsten zu weit gefasst gewesen wäre. Ein zulässiger Feststellungsantrag ist begründet, wenn die sachlichen und rechtlichen Voraussetzungen eines Schadensersatzanspruchs vorliegen, also ein haftungsrechtlich relevanter Tatbestand gegeben ist, der zu möglichen künftigen Schäden führen kann. Es bedarf iRd Begründetheit – entgegen der Auffassung der Bekl. – keiner darüberhinausgehender gewissen Wahrscheinlichkeit des Schadenseintritts. An der Erforderlichkeit eines solchen zusätzlichen Begründungselements hat der BGH – jedenfalls für den Fall, dass Gegenstand der Feststellungsklage ein befürchteter Folgeschaden aus der Verletzung eines deliktsrechtlich geschützten absoluten Rechtsguts ist Zweifel geäußert. Streitgegenständlich sind die nicht von den Bestimmungen der DS-GVO gedeckten Übermittlungen oder Verarbeitungen personenbezogener Daten, welche eine Verletzung des allgemeinen Persönlichkeitsrechts als sonstiges Recht iSd § 823 Abs. 1 BGB darstellen können. Die erkennende Kammer schließt sich diesbezüglich der vom BGH vertretenen Ansicht ausdrücklich an. Demnach reicht vorliegend bereits die Möglichkeit eines Schadens aus. Es liegen, wie dargelegt, die Voraussetzungen des Schadensersatzanspruches aus Art. 82 Abs. 1 DS-GVO vor. Auch die Möglichkeit künftiger materieller Schäden ist zu bejahen. Diese Möglichkeit folgt wie bereits angeführt daraus, dass nicht absehbar ist, welche Dritte möglicherweise Zugriff auf die Daten erhalten haben und für welche kriminellen Zwecke diese möglicherweise missbraucht werden. Es erscheint eben nicht von vorneherein ausgeschlossen, dass die klagende Partei zB betrügerische Anrufe erhält, welche sich durch Ausgabe als Bankmitarbeiter Zugriff zu sensiblen Kontodaten der klagenden Partei erschleichen. Als Teil des der klagenden Partei zustehenden Schadensersatzanspruchs hat sie gegen die Bekl. des Weiteren einen Anspruch auf Zahlung der außergerichtlichen Rechtsanwaltskosten, allerdings nur nach einem Gegenstandswert iHv bis zu 300 EUR, sodass sich ein Anspruch iHv 99,60 EUR (1,3 Geschäftsgebühr iHv 63,70 EUR zzgl. Auslagenpauschale iHv 20 EUR zzgl. Mwst. iHv 15,90 EUR) ergibt. Außergerichtlich ist als Schadensersatz nur der immaterielle Schaden geltend gemacht worden.

LG Lüneburg Urt. v. 24.1.2023 – 3 O 83/22

300 EUR Wie LG Lüneburg Urt. v. 24.1.2023 – 3 O 116/22.

LG Lüneburg Urt. v. 24.1.2023 – 3 O 82/22

300 EUR Wie LG Lüneburg Urt. v. 24.1.2023 – 3 O 116/22.

LG Lüneburg Urt. v. 24.1.2023 – 3 O 81/22

300 EUR Wie LG Lüneburg Urt. v. 24.1.2023 – 3 O 116/22.

LG Lüneburg Urt. v. 24.1.2023 – 3 O 74/22

300 EUR Wie LG Lüneburg Urt. v. 24.1.2023 – 3 O 116/22.

LG Lüneburg Urt. v. 24.1.2023 – 3 O 37/22

300 EUR Wie LG Lüneburg Urt. v. 24.1.2023 – 3 O 116/22.

LG Heilbronn Urt. v. 13.1.2023 – Bu 8 O 131/22 = ZD 2023, 280

0 EUR Dem Kl. steht kein Anspruch auf Ersatz immateriellen Schadens aus Art. 82 Abs. 1 DS-GVO zu. Hieran scheitern die Klageanträge Z. 1 und 2. a. Es fehlt bereits an der Anwendbarkeit dieser Norm. Soweit der Kl. der Bekl. mehrere Verstöße vorwirft, etwa ungenügende Information und Aufklärung über die Verarbeitung der ihn betreffenden Daten durch ungenügende Aufklärung zur Verwendung und Geheimhaltung der Telefonnummer (Art. 5 Abs. 1 lit. a DS-GVO), unmittelbaren Verstoß gegen Art. 1314 DS-GVO, die Informationspflichten enthielten, die seitens der Bekl. nicht eingehalten worden seien, ungenügender Schutz der personenbezogenen Daten der Nutzer von F. (Art. 2432 DS-GVO), unvollständig Auskunftserteilung nach Art. 15 DS-GVO, da nicht mitgeteilt worden sei, welchen Empfängern die Daten des Kl. durch Ausnutzung des Kontakt-Import Tools zugänglich gemacht worden seien (Art. 3334 DS-GVO), sind solche Verstöße schon nicht vom Schutzzweck des Art. 82 DS-GVO umfasst. Der sachliche Anwendungsbereich des Art. 82 DS-GVO ist zunächst bezogen auf die Geltendmachung behaupteter verspäteter Auskunftsansprüche gem. Art. 15 DS-GVO und Art. 34 DS-GVO nicht eröffnet. Anknüpfungspunkt für eine Haftung ist also eine der Verordnung nicht entsprechende Verarbeitung iSd Art. 4 Ziff. 2 DS-GVO. Dies steht im Einklang mit Erwägungsgrund 146, wonach der Verantwortliche oder der Auftragverarbeiter Schäden, die einer Person auf Grund einer Verarbeitung entstehen, die mit der DS-GVO nicht im Einklang stehen, ersetzen sollte. Die behauptete Verletzung von bloßen Benachrichtigungspflichten bzw. Informationsrechte ist hingegen nicht erfasst. Der Schutzbereich des Art. 82 DS-GVO umfasst ebenso wenig Verstöße gegen Art. 34 DS-GVO. Schließlich lässt sich auch von vornherein aus Art. 24 DS-GVO kein subjektives Recht herleiten, selbiges gilt für Art. 25 DS-GVO. Daher kann dahinstehen, ob Verstöße etwa gegen Art. 13, 14 und 34 durch die Bekl. erfolgten, da auch sie nicht unter den Schutzbereich des Art. 82 DS-GVO fallen, weil auch sie „lediglich“ Informationspflichten über die Verarbeitung enthalten, nicht aber die Verarbeitung als solche zum Gegenstand haben. Zudem fehlt es an entsprechenden Pflichtverstößen der Bekl. gegen Normen der DS-GVO. Art. 82 Abs. 3 DS-GVO hilft dem Kl. nicht weiter. Die Beweislastumkehr gilt nach dessen eindeutigen Wortlaut nicht für den Schaden, der Eintritt eines solcher wird somit nicht vermutet. Jedenfalls was die Telefonnummer des Kl. betrifft, ist zudem eine Kausalität des Scraping-Vorfalls für die klägerseits vorgetragenen dubiosen SMS und Spam-E-­Mails nicht festzustellen. Denn aus Anlage B 17 geht hervor, dass der Kl. im Zeitraum des Scraping-Vorfalls in den Einstellungen seines F. Accounts seine Telefonnummer für jedermann („Everyone“) sichtbar gestellt hatte, also nicht lediglich für seine Freunde oder für niemanden („Only me“). Somit konnte in dem genannten Zeitraum bis zur Änderung der Einstellungen am 27.12.2019 jeder, der ebenfalls einen F.-Account unterhielt, die Telefonnummer des Kl. legal und ohne Scraping in Erfahrung bringen. Jedenfalls fehlt es an einem ersatzfähigen Schaden des Kl. iSd Art. 82 Abs. 1 DS-GVO. Zwar ist nach Erwägungsgrund 146 S. 3 zur DS-GVO der Schadensbegriff weit auszulegen, der wirksame Schadensersatz muss auch Abschreckungscharakter haben. Grundvoraussetzung ist jedoch nach Erwägungsgrund 146 zur DS-GVO, dass der immaterielle Schaden „erlitten“, also tatsächlich entstanden sein muss (und nicht lediglich befürchtet werden darf). Daraus folgt auch, dass ein bloßer Verstoß gegen die DS-GVO bei der Datenverarbeitung für einen Anspruch auf Ersatz immaterieller Schäden nicht ausreicht. Es muss eine kausal hierauf beruhende spürbare Beeinträchtigung des Geschädigten hinzutreten, um von einem Schaden sprechen zu können, z. B. eine benennbare und nachweisbare Persönlichkeitsverletzung wie etwa eine „Bloßstellung“. Gemessen hieran ist ein Schaden des Kl. weder substantiiert vorgetragen noch ersichtlich. Der klägerseits behauptete „Kontrollverlust über seine Daten“ stellt keine spürbare Beeinträchtigung iSe Persönlichkeitsverletzung und damit keinen Schaden dar. Dasselbe gilt für einen behaupteten „Zustand großen Unwohlseins und Sorge über möglichen Missbrauch seiner Daten“. Die Behauptung, der Kl. habe seit April 2021 vermehrt dubiose E-­Mails und Nachrichten von unbekannten Adressen und Nummern erhalten, genügt ebenfalls nicht. Ferner gehört derartiges in unserer digitalisierten Welt mittlerweile zum allgemeinen Lebensrisiko, insb. dann, wenn man – wie der Kl. – durch Unterhaltung eines F.-Accounts oder durch Teilnahme an anderen sog. sozialen Netzwerken freigiebig seine personenbezogenen Daten ins Internet stellt. Angebliche Spam-Mails und -nachrichten können damit genauso von Personen stammen, die legal durch Teilnahme an einem sozialen Netzwerk an E-­Mail-Adresse und Telefonnummer des Kl. gelangt sind.

LG Kiel Urt. v. 12.1.2023 – 6 O 154/22 = ZD 2023, 282 mAnm Ebner

0 EUR Der Schmerzensgeldantrag verstößt der Höhe nach nicht gegen den Bestimmtheitsgrundsatz des § 253 Abs. 2 Ziff. 2 ZPO, da der Kl. sowohl in der Klagebegründung als auch im Klageantrag zu 1 einen Mindestbetrag von 1.000 EUR angegeben hat. Dem Kl. steht gegen die Bekl. kein Anspruch auf Zahlung eines immateriellen Schadensersatzes zu. Ein Anspruch des Kl. auf Zahlung eines immateriellen Schadensersatzes ergibt sich nicht aus Art. 82 Abs. 1 DS-GVO. Zwar ergibt sich aus dem Vortrag der Bekl., dass sich diese als Verantwortliche iSd Norm ansieht. Ein Verstoß gegen die Bestimmungen der DS-GVO liegt hingegen nicht vor, sodass auch offenbleiben kann, ob die Art. 13141524253234 DS-GVO in den Schutzbereich des Art. 82 DS-GVO fallen. IÜ mangelt es an einem ersatzfähigen Schaden des Kl. iSd Art. 82 Abs. 1 DS-GVO. Der Eintritt des Schadens muss dabei iSd § 287 ZPO als überwiegend wahrscheinlich dargetan werden. Auch wenn der Schadensbegriff im Lichte des Erwägungsgrundes 146 S. 3 der DS-GVO weit zu verstehen ist, so ist es dem Kl. nicht gelungen, diesen unter Zugrundelegung des vorbezeichneten Maßstabs hinreichend konkret darzulegen. Der Kl. benennt zwar als immaterielle Schadenspositionen Ängste, unter denen er leide, die daraus resultierten, dass er einen erheblichen Kontrollverlust über seine Daten erlitten habe und deshalb großem Unwohlsein und Sorgen in Bezug auf einen potenziellen Missbrauch seiner Daten durch Dritte ausgesetzt sei. Zudem sei es seit dem Scraping-Vorfall zu einem Anstieg an offenkundigen Betrugsversuchen in Form von Phishing-Mails und Anrufen gekommen. Das Gericht kann nicht mit hinreichender Wahrscheinlichkeit davon ausgehen, dass der Kl. unter den in der Klageschrift beschriebenen Ängsten und Sorgen tatsächlich leidet. Gegen das Vorliegen der von dem Kl. behaupteten Ängste spricht entscheidend, dass es sich bei den gescrapten Daten des Kl. um solche handelt, die immer öffentlich sichtbar sind. Es ist diesen Daten gerade immanent, dass sie jedem und jederzeit zugänglich sind. Hierauf wird der Kl. auch durch die Bekl. hingewiesen, sodass nicht nachvollziehbar ist, weshalb eine „weitere Veröffentlichung“ dieser Daten bei dem Kl. zu einem unguten Gefühl geführt haben sollte. In diesem Sinne kann schon nicht von einer Veröffentlichung der Daten durch Dritte gesprochen werden, die der Kl. selbst öffentlich zugänglich gemacht hat. Allenfalls entspricht die Korrellation der öffentlich einsehbaren Daten mit der Telefonnummer und das anschließende Publizieren eines derartig erstellten „Profils“ durch Dritte einem derartigen Verständnis. Die Ermöglichung eines derartigen Umstandes beruht aber gerade nicht auf einem Vorgehen, das der Bekl. zuzurechnen ist, sondern vielmehr auf den Suchbarkeitseinstellungen des Kl., die er jederzeit hätte ändern können. Weiterhin ist die Eingabe der Telefonnummer freiwillig und für die Registrierung nicht erforderlich gewesen. Trotzdem hat der Kl. seine Telefonnummer eingegeben. Wäre dem Kl. an der größtmöglichen Geheimhaltung seiner Telefonnummer gelegen, so hätte er sich darauf beschränken können, nur die notwendigen Informationen, also die für die Registrierung erforderliche E-­Mail, preiszugeben. Dass der Kl. tatsächlich nicht an den beschriebenen Ängsten und Sorgen leidet, ergibt sich nach Auffassung des Gerichts schließlich daraus, dass bei einer – durch den Kl. selbst dargestellten – Offenkundigkeit der Betrugsversuche ein Risiko, tatsächlich das Opfer eines derartigen Betruges zu werden, nicht vorhanden ist. Es ist ein Leichtes für den Kl., zu erkennen, dass Dritte mit derartigen Maßnahmen kriminelle Zwecke verfolgen. Darüber hinaus stehen die fragwürdigen E-­Mails schon gar nicht im Zusammenhang mit dem Scraping-Vorfall, da die E-­Mail-Adresse des Kl. nicht veröffentlicht wurde. Weiterhin hat der Kl. keinen Anspruch auf Erstattung vorgerichtlicher Rechtsanwaltskosten aus § 280 Abs. 1 BGB oder aus Art. 82 Abs. 1 DS-GVO, da es in der Hauptsache bereits an einem Anspruch mangelt.

LG Krefeld Urt. v. 11.1.2023 – 7 O 113/22 = ZD 2023, 634 (Ls.)

0 EUR Der Kl. hat schon nicht ausreichend dargelegt, dass er von dem streitgegenständlichen Scraping-Vorfall betroffen ist. Dem Kl. steht kein Anspruch auf Zahlung eines immateriellen Schadensersatzes gem. Art. 82 Abs. 1 DS-GVO zu. Die Norm statuiert auf Tatbestandsebene das Vorliegen eines Verstoßes gegen die DS-GVO, den Eintritt eines materiellen oder immateriellen Schadens und die Kausalität der beiden Voraussetzungen („wegen“). Es liegt ein Verstoß seitens der Bekl. gegen Art. 25 Abs. 1 und 2 DS-GVO vor. Dem Kl. ist es jedoch nicht gelungen, den Eintritt eines ihm entstandenen kausalen Schadens als überwiegend wahrscheinlich iSd § 287 ZPO nachzuweisen. Der Kl. kann den geltend gemachten Schmerzensgeldanspruch nicht auf einen Verstoß gegen Art. 5 Abs. 1 lit. a DS-GVO iVm Art. 12 und 1314 DS-GVO stützen. Das in Art. 5 Abs. 1 lit. a DS-GVO allgemein normierte und in Art. 1314 DS-GVO speziell ausgeformte Transparenzprinzip im Umfang mit personenbezogenen Daten (Art. 4 Abs. 1 DS-GVO) durch den Verarbeiter wurde hier nicht verletzt. Es liegt auch kein Verstoß gegen Art. 3224 DS-GVO vor. Auch ein Verstoß der Bekl. gegen die in Art. 33 und 34 DS-GVO geregelte Benachrichtigungspflicht kommt nicht in Betracht. Ein Verstoß liegt auch nicht wegen verspäteter Erfüllung des Auskunftsanspruchs des Art. 15 DS-GVO vor. Ein Verstoß gegen Art. 25 Abs. 2 DS-GVO liegt nicht vor. Dem Kl. ist es auch nicht gelungen, den Eintritt eines ihm entstandenen kausalen Schadens als überwiegend wahrscheinlich iSd § 287 ZPO nachzuweisen. Für den – hier geltend gemachten – immateriellen Schadensersatz gelten dabei die iRv § 253 BGB entwickelten Grundsätze; die Ermittlung obliegt dem Gericht nach § 287 ZPO. Es ist vielmehr Sache der nationalen Gerichte, herauszuarbeiten, wann das subjektive Unmutsgefühl auf Grund seiner Merkmale im Einzelfall als immaterieller Schaden angesehen werden kann. Ebenso kann die Kammer keinen konkreten immateriellen Schaden aus der Veröffentlichung der Mobilfunknummer ersehen. Zweifel an dem in der Klageschrift vorgetragenem Gemütszustand des Kl. ergeben sich für das Gericht diesbezüglich bereits aus dem Umstand, dass die Eingabe der Mobilfunknummer freiwillig erfolgte, mithin für die Registrierung nicht erforderlich war. Dass der Kl. diese gleichwohl trotzdem angab, spricht dafür, dass sein allgemeines psychisches Wohlbefinden wohl nicht von der möglichst restriktiven Geheimhaltung seiner Mobilfunknummer abhängig ist. Dies umso mehr vor dem Hintergrund, dass es sich bei dem betroffenen Mobil-Telefon um ein Diensttelefon handelt und der Kl. selbst in der IT-Branche tätig ist und eigenem Bekunden nach die Sicherheitsinteressen kennt. Daneben wurde der Kl. in den Suchbarkeits- und Kontaktierungseinstellungen ausdrücklich darauf hingewiesen, dass sein Profil anhand der von ihm angegebenen Telefonnummer auffindbar war. Zudem hat der Kl. nicht ausreichend dargelegt, dass seine Telefonnummer durch den Scraping-Vorfall abgegriffen wurde. IÜ erhalten gerichtsbekannt auch Personen unerwünschte E-­Mails und Anrufe, die keinen Account bei der Bekl. haben und dort ihre Telefonnummer hinterlegt haben, was auch gegen eine eventuelle Kausalität des Schadens spricht. In seiner informatorischen Anhörung ist auch nicht deutlich geworden, dass er durch den Vorfall erheblich iSd obigen Ausführungen betroffen war. So gab er an, eine Video der Kanzlei der Prozessbevollmächtigten auf Youtube gesehen zu haben. Er danach sei bei ihm der Verdacht aufgekommen, dass die vielen Phishing-Links und -SMS im Zusammenhang mit der Bekl. stehen könnten. Über einen Wechsel seiner Telefonnummer habe er nicht nachgedacht. Es könne, so der Kl., „nicht sein, dass das mein Problem ist, wenn dort Datenlecks bestehen“. IÜ hätte ein solcher Wechsel wegen der vielen Kundenkontakte auf seinem Handy auch aus seiner Sicht nicht in Relation zu dem Vorfall gestanden. Hinsichtlich des Verstoßes gegen Art. 25 DS-GVO fehlt es zudem am notwendigen Zusammenhang mit einer konkreten Datenverarbeitung. Schließlich hat der Kl. auch ein Verschulden des Bekl. hinsichtlich des Scraping-Vorfalls nicht ausreichend dargelegt. Selbst wenn man vorliegend einem Nebeneinander von europäischem Recht und nationalem Recht annimmt, fehlt es nach den obigen Ausführungen an einem Schaden iSd § 249 BGB. Das nationale Schadensrecht verlangt gerade eine spürbare Beeinträchtigung. Eine solche ist angesichts der vorstehenden Ausführungen, die hier sinngemäß gelten, zu verneinen.

LG Mönchengladbach Urt. v. 10.1.2023 – 3 O 87/22 = ZD 2023, 636 (Ls.)

0 EUR Der Kl. steht kein Anspruch auf immateriellen Schadensersatz nach Art. 82 DS-GVO zu. Die Voraussetzungen liegen nicht vor. Die Darlegungs- und Beweislast für die haftungsbegründenden Voraussetzungen trägt nach allgemeinen zivilprozessualen Grundsätzen der Anspruchsberechtigte, hier die Kl. Eine Beweislastumkehr ist in Abs. 3 ausdrücklich nur bzgl. des Gesichtspunkts des Verschuldens vorgesehen. Nach dem ausdrücklichen Wortlaut der Vorschrift muss der Schaden „erlitten“ werden, woraus sich ergibt, dass dieser tatsächlich entstanden sein muss und nicht lediglich befürchtet wird. Läge bei jedem DS-GVO-Verstoß automatisch ein immaterieller Schaden vor, wäre der Schaden als Anspruchsvoraussetzung überflüssig. Zwar ist der Begriff des Schadens nach dem Erwägungsgrund 146 S. 3 weit auszulegen, sodass die Betroffenen einen wirksamen Ersatz bekommen. Aber auch zur Geltendmachung eines Anspruchs auf Ersatz immaterieller Schäden genügt die Behauptung eines Verstoßes gegen die Vorschriften der DS-GVO ohne Vorbringen zu einem hierdurch entstandenen immateriellen Schaden nicht. Es bedarf vielmehr der Darlegung eines konkreten (auch immateriellen) Schadens. Ein solcher wird von der Kl. bereits nicht ausreichend dargelegt. Grds. können zwar auch Ängste, Sorgen und Stress einen immateriellen Schaden darstellen. Die Kl. beruft sich allerdings pauschal darauf, sie habe einen erheblichen Kontrollverlust über ihre Daten erlitten und sei in einem Zustand großen Unwohlseins und großer Sorge über möglichen Missbrauch ihrer Daten, was sie bereits nicht weiter konkretisiert. Gegen einen solchen erheblichen Kontrollverlust spricht bereits, dass – zugunsten der Kl. an dieser Stelle unterstellt – die für jeden abrufbare Datenbank die der Kl. zuzuordnenden Daten in der Form „…“ enthält, dann handelt es sich dabei größtenteils um ohnehin öffentlich einsehbare Daten auf F. mit Ausnahme der Telefonnummer. Die Angabe der Telefonnummer ist dabei ausweislich der Registrierungsabbildung nicht zwingend für das Anlegen eines Nutzerkontos bei f. Soweit sich die Kl. darauf beruft, dass sich ihr Unwohlsein in einem verstärkten Misstrauen bzgl. E-­Mails und Anrufen von unbekannten Nummern und Adressen manifestiere, ist ein vorsichtiger Umfang mit den Medien ohnehin grds. angebracht. Unabhängig von dem konkretem Vorfall sind Betrugsmaschen im Internet und am Telefon verbreitet. Zum anderen legt die Kl. auch bereits keine konkreten Vorfälle dar. Soweit sie sich auf erhaltene E-­Mails bezieht, kann deren Ursache ohnehin nicht in den gescapten, veröffentlichten Daten liegen, weil sich die E-­Mail-Adresse der Kl. schon nach eigenem Vortrag gar nicht unter den veröffentlichten Daten befindet. Dass die Kl. zudem „jedes Mal einen Betrug fürchtet und Unsicherheit verspürt“ erscheint angesichts der Pauschalität nicht glaubhaft. Offen bleibt auch, welche Maßnahmen die Kl. nach ihrem Vortrag ergreifen musste. Darüber hinaus kommt es nicht darauf an, ob der Bekl. datenschutzrechtliche Verstöße anzulasten sind. Ein Schadensersatzanspruch folgt auch nicht aus einer verzögerten Antwort auf das Auskunftsgesuch der Kl. gem. Art. 15 DS-GVO. Danach die betroffene Person das Recht, von dem Verantwortlichen Auskunft zu verlangen. Die Kl. konnte weder vorgerichtlich noch in diesem Rechtsstreit nachweisen, dass sie die betroffene Person ist, zu deren F.-Konto sie Auskunft verlangt. Mit Schreiben v. 9.9.2021 hat die Bekl. die Kl. Auskunft auf Grundlage der von der Kl. mitgeteilten Informationen zum behauptet betroffenen F.-Konto dergestalt erteilt, dass die Identifikation der Kl. anhand der zur Verfügung gestellten Informationen nicht möglich sei und Bereitstellung zusätzlicher Informationen gebeten. Dabei ist die Bekl. ihrer Verpflichtung nach Art. 12 Abs. 6 DS-GVO nachgekommen. Der Verantwortliche hat zu prüfen, ob es sich beim Auskunftsbegehrenden um die betroffene Person handelt, wie Art. 12 Abs. 6 DS-GVO festlegt, da Art. 15 DS-GVO nur die Auskunft an die betroffene Person erfasst. Bestehen Zweifel an der Identität der betroffenen Person, so können gem. Art. 12 Abs. 6 DS-GVO iVm Art. 11 DS-GVO weitere Informationen angefordert werden. Dem ist die Kl. aber erst – beiläufig – in der Replik nachgekommen, indem sie dort ihre F.-ID mitgeteilt hat. Anschließend hat die Bekl. mit Schreiben v. 12.12.2022 die begehrte Auskunft erteilt und den Anspruch der Kl. erfüllt, wobei der Kl. selbst unter Bezug auf die Datenbank bereits bekannt war, welche Daten von ihr veröffentlicht wurden.

LG Hamburg Urt. v. 3.1.2023 – 322 O 112/22 = ZD 2023, 562

0 EUR Die Klage ist zulässig. Die Klaganträge sind hinreichend bestimmt. Eine streitwertmäßige Unzuständigkeit wurde nicht gerügt. Ein Feststellungsinteresse ist nach der BGH- Rspr. nur für iÜ begründete Klagen erforderlich. Die Klage ist jedoch unbegründet. Der Kl. hat keinen der mit den Klaganträgen geltend gemachten Ansprüche, insb. nicht aus den §§ 1004823 Abs. 1823 Abs. 2 BGB iVm DS-GVO. Die geltend gemachten Ansprüche des Kl. scheitert bereits daran, dass der Kl. keinen Beweis dafür angetreten hat, dass er zur fraglichen Zeit einen Account bei der Bekl. hatte, sodass nicht sicher ist, dass er vom Scraping betroffen war. Ob dies daran liegt, dass der Kl. seinen Account gelöscht haben will, kann dahinstehen, da der Kl. auch für das Löschen keinen Beweis angetreten hat. Die Ansprüche des Kl. scheitern darüber hinaus auch bereits daran, dass ein überwiegendes Mitverschulden des Kl. vorliegt. Der Kl. wusste, dass seine Daten von ihm öffentlich gestellt worden waren. Dadurch war der Kl. damit einverstanden, dass jedermann darauf Zugriff nahm. Zwar sahen die Nutzungsbedingungen von F. ein Verbot des Scrapens vor. Das diente jedoch nicht dem Schutz gerade des Kl. Ob der Dritte neben dem Zugriff auf Daten des Kl. auch auf Daten weiterer F.-Nutzer zugriff, war für eine Beeinträchtigung der Interessen des Kl. einerlei. Der Effekt für den Kl. wäre der gleiche, wenn der Dritte ausschließlich auf die Daten des Kl. zugegriffen hätte. Wenn der Kl. seine Daten vor Dritten hätte schützen wollen, so hätte er dies tun können. Er hat jedoch keinerlei diesbezügliche Anstrengungen seinerseits vorgetragen, sodass es unerheblich ist, ob die diesbezüglichen Optionen leicht oder schwer zu finden waren.

Amtsgerichte

 

NEU AG Düsseldorf Urt. v. 24.8.2023 – 51 C 206/23

500 EUR Indem die Kl. die dem Beklagten nach Art. 15 DS-GVO zustehenden Ansprüche nicht erfüllt, führt dies zu einem Schadensersatzanspruch. Der Umstand, dass der Bekl. systematisch Verstöße gegen die DS-GVO in Bezug

auf seine Person verfolgt, ist bei der Höhe des Schadenersatzes zu berücksichtigen, führt aber nicht dazu, dass dies einen Anspruch wegen rechtsmissbräuchlichen Handelns ausschließt. Ein immaterieller Schadensersatz dient der Genugtuung, soll aber keine Einnahmequelle darstellen. Weiter kommt es bei der Höhe des Betrages nicht darauf an, wie wirtschaftlich potent der Anspruchsgegner ist. Der immaterielle Schadensersatzanspruch des geschädigten hat insoweit keine Straffunktion, sodass es auf eines „abschreckende“ Wirkung nicht ankommt. Eine Erhöhung kommt auch nicht unter dem Gesichtspunkt in Betracht, dass die Kl. sich – rechtlich unbegründet – weigert die Auskunft zu erteilen und verlangten Daten herauszugeben. Dies wäre nur der Fall, wenn die Kl. mit den Daten weiterarbeiten würde, insb. sie seit dem spätestens 2.6.2023 an weitere Dritte weitergegeben hätte weitergeben würde und allein damit den Schaden des Bekl. vertiefen würde. Dies ist aber nicht ersichtlich.

NEU AG München, Endurt. v. 3.8.2023 – 241 C 10374/23

0 EUR Der Kl. hat keinen Anspruch auf Ersatz immateriellen Schadens iHv mindestens 1.000 EUR gegen die Bekl. gem. Art. 82 DS-GVO. Die Darlegungs- und Beweislast für die haftungsbegründenden Voraussetzungen trägt der Anspruchsberechtigte. Trotz Hinweis des Gerichts in der mündlichen Verhandlung hat der Kl. weder dargelegt, welche Pflichtverletzung nach der DS-GVO er der Bekl. vorwirft, noch welcher konkrete, immaterielle Schaden hierdurch eingetreten sein soll. Aus dem Schreiben vom 19.10.202 folgt nicht ein vorheriger Verstoß der Bekl. gegen die DS-GVO. Die Benachrichtigungspflicht gem. Art. 34 DS-GVO setzt eine „Verletzung des Schutzes personenbezogener Daten“ gem. Art. 4 Nr. 12 DS-GVO voraus. Auf ein Verschulden oder eine Mitverursachung durch den Verantwortlichen kommt es hierbei nicht an. Selbst wenn ein Verstoß gegen die DS-GVO vorgelegen hätte, führt der Datenschutzverstoß an sich nicht zu einem Ersatzanspruch nach Art. 82 DS-GVO, da der „Verstoß gegen diese Verordnung“ und der „Schaden“ zwei unterschiedliche Tatbestandsmerkmale der Vorschrift sind. Auch reicht der bloße Kontrollverlust über Daten nicht für das Vorliegen eines Schadens aus.

NEU AG Essen Urt. v. 2.5.2023 – 130 C 135/21

600 EUR Der Kl. hat Anspruch auf Schadensersatz gem. Art. 82 Abs. 1 DS-GVO. Vorliegend hat der Bekl. unter der Bezeichnung „Europäischer Verein für Verbraucherschutz“ an die ihm über die Datenpanne der Stadt E… bekannt gewordene E-­Mail-Adresse des Kl. ohne dessen Einwilligung eine E-­Mail gesendet. Damit hat er die E-­Mail-Adresse, die zu den personenbezogenen Daten iSd DS-GVO gehört, verwendet. Die Verarbeitung war auch nicht rechtmäßig iSd Art. 6 DS-GVO. Ein Verschulden des Bekl. als Verantwortlichen wird nach Art. 82 Abs. 3 DS-GVO vermutet. Tatsachen, die diese Vermutung widerlegen würden, hat der Bekl. nicht vorgetragen. Dem Kl. steht auf Grund der zuvor dargestellten Haftung dem Grunde nach ein Schadensersatzanspruch auf Grund immateriellen Schadens zu. Materielle Schäden macht der Kl. nicht geltend. Der Betriff des immateriellen Schadens iSd Art. 82 Abs. 1 DS-GVO ist weit auszulegen. Die Definition des immateriellen Schadens iSd Art. 82 Abs. 1 DS-GVO ist in Rspr. und Lit. in den Einzelheiten umstritten. Grds. muss der Schaden, und zwar auch der immaterielle Schaden, entstanden sein. Das OLG Hamm verweist dabei auf den Erwägungsgrund 146 zur DS-GVO. Auch ein immaterieller Schaden ist daher konkret darzulegen. Nach der o. g. Rspr. des OLG Hamm ist dem Wortlaut des Art. 82 Abs. 1 DS-GVO nicht zu entnehmen, dass wie von einzelnen Gerichten angenommen, eine Erheblichkeitsschwelle erreicht bzw. überschritten sein muss. Ein immaterieller Schaden ist damit grds. auszugleichen, auch wenn er im Einzelfall nur zu einer geringfügigen Beeinträchtigung geführt hat. Zu den zu ersetzenden Schäden gehören auch Angst oder Schrecken. Der Kl. hat hier konkret einen immateriellen Schaden vorgetragen. Er sei durch die E-­Mail in Angst und Schrecken versetzt worden. Da die zuvor durch die Datenpanne der Stadt E… noch abstrakt ausgelöste Angst vor Datenmissbrauch sich nunmehr konkret dargestellt habe. Ebenso habe sich das Gefühl des Kontrollverlustes hierdurch verstärkt. Die von dem Bekl. in Frage gestellten Emotionen des Kl. hat dieser in seiner persönlichen Anhörung nachvollziehbar und ausführlich geschildert. Zwar hat das Gericht hier nicht verkannt, dass es sich bei den Angaben des Kl. um bloßen Parteivortrag und gerade nicht um ein Beweismittel handelt, das Gericht ist jedoch auch berechtigt, bei seiner Überzeugungsbildung die Angaben aus einer Parteianhörung ebenfalls als Erkenntnisquelle heranzuziehen. Da es sich vorliegend zudem um innere Tatsachen handelt, die dem äußeren Beweis nicht zugänglich sind, war das Gericht letztendlich gehalten, seine Feststellungen auf den Parteivortrag sowie die Anhörung des Kl. zu stützen. In seiner Anhörung hat der Kl. beschrieben, dass sich die bereits durch die Information der Stadt E… ausgelöste Sorge bzw. Angst davor, was mit den Daten wohl passieren werde, durch die E-­Mail des Bekl. konkreter geworden ist. Er habe dadurch gesehen, dass die Daten tatsächlich missbraucht werden. Gleiches beschrieb der Kl. hinsichtlich des bereits zuvor eingetretenen Kontrollverlusts über die eigenen Daten. Was für das Gericht nachvollziehbar und plausibel ist. Ein weiterer Schaden liegt darin, dass sich der Kl. mit der Abwehr der unerwünschten Werbung befassen musste. Nicht gefolgt ist das Gericht dem Kl., sofern er sich darauf berufen hat, dass er sich auch damit befassen musste, woher der Bekl. seine Daten hatte. Zum einen hat der Bekl. ihn selbst darauf hingewiesen, dass ihm die Liste aus der Datenpanne bekannt geworden ist, zum anderen war er ja bereits zuvor von der Stadt E… über die Datenpanne informiert worden, sodass er sich die Herkunft ohne Weiteres erschließen konnte. Der vom Kl. geltend gemachte immaterielle Schaden ist eine kausale Folge des Verstoßes gegen die DS-GVO des Bekl. Soweit dieser die Ursächlichkeit der Angst und des Kontrollverlustes des Kl. in Frage gestellt hat, kann dies dahinstehen. Denn es genügt bereits die Mitursächlichkeit, erforderlich ist nicht, dass der Verstoß für den Schaden allein ursächlich geworden ist. Zwar hat auch der Kl. in seiner persönlichen Anhörung bestätigt, dass diese Empfindungen bereits durch die Information über den Datenschutzvorfall der Stadt E… ausgelöst worden sind, dass aber aus der zuvor nur abstrakten Gefahr auf einmal eine konkrete wurde. Die E-­Mail des Bekl. hat also den Schaden noch verstärkt, sodass die erforderliche Mitursächlichkeit vorliegt. Dies war für den Bekl. nach Auffassung des Gerichts auch vorhersehbar. Der dargestellte Schadenseintritt rechtfertigt einen Schadensersatzanspruch des Kl. nach Art. 82 DS-GVO iHv 600 EUR. Bei der Bemessung der Schadenshöhe gelten die iRv § 253 BGB entwickelten Grundsätze; der Schaden ist nach § 287 ZPO zu schätzen. Dabei sind hinsichtlich des Art. 82 DS-GVO allgemein die Art, die Schwere und die Dauer, des Verstoßes, der Grad des Verschuldens, Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens, frühere einschlägige Verstöße, Auswirkungen für die Betroffenen sowie die Kategorien der betroffenen personenbezogenen Daten in die Erwägungen einzubeziehen. Nach Erwägungsgrund Nr. 146 der DS-GVO soll der Begriff des Schadens im Lichte der Rspr. des EuGH weit und auf eine Art und Weise ausgelegt werden, „die den Zielen dieser Verordnung in vollem Umfang entspricht“. Nach dem Effektivitätsprinzip (effet utile) ist insoweit auch eine abschreckende Sanktion nicht ausgeschlossen. Dies bedeutet aber nicht, dass die Geldentschädigung zwingend „Strafcharakter“ haben muss, sondern die Höhe des Anspruchs muss auf der Basis des Effektivitätsprinzips eine abschreckende Wirkung haben. Zunächst ist hier zu berücksichtigen, dass der Bekl. allein die E-­Mail Adresse des Kl. verwendet hat, keine anderen personenbezogenen Daten des Kl. Zudem hat er diese nicht an andere weiter gegeben, sondern sie dazu verwendet, den Kl. über seine E-­Mail Adresse ohne dessen Einwilligung zu kontaktieren. Eine Weiterverbreitung durch den Bekl. ist mithin nicht erfolgt. Unter Beachtung der vorstehenden Erwägungen hält das Gericht bei einer Gesamtbetrachtung des vorliegenden Falles den zuerkannten Betrag iHv 600 EUR für angemessen, aber auch ausreichend. Dem steht auch nicht das Urteil des LG Heidelberg entgegen, dass für den Erhalt einer unerwünschten Werbe E-­Mail lediglich eine Entschädigung iHv 25 EUR zugesprochen hat. Anders als vorliegend hat das LG Heidelberg nicht über die Höhe eines angemessenen immateriellen Schadens entscheiden, sondern vielmehr dem dortigen Kl. einen materiellen Schaden für die erforderlichen Kosten für die Abwehr der unerbetenen Werbung angelehnt an die allgemein anerkannte Kostenpauschale bei Verkehrsunfällen zugesprochen. Soweit das Landgericht einen immateriellen Schaden abgelehnt hat, ist die Sache ebenso nicht vergleichbar mit dem hiesigen Fall, da der dortige Kl. nicht zuvor Betroffener einer Datenschutzpanne gewesen ist, wie es aber vorliegend der Fall war. Der Anspruch des Kl. ist nicht auf Grund der Hilfsaufrechnung des Bekl. gem. § 389 BGB erloschen. Dem Bekl. steht kein Anspruch auf Schadensersatz gegen den Kl. zu, und zwar weder gem. Art. 82 Abs. 1 DS-GVO noch gem. § 97 Abs. 2 UrhG. Ein Anspruch aus Art. 82 Abs. 1 DS-GVO scheitert bereits daran, dass der persönliche Anwendungsbereich gem. Art. 2 Abs. 1 DS-GVO nicht eröffnet ist. Denn der Bekl. hat nicht unter Beweis gestellt, dass der Kl. seine Schriftsätze aus dem hiesigen Verfahren allein zu dem Zwecke weitergeleitet hat, dem Bekl. zu schaden bzw. der Stadt E… „Munition“ gegen ihn zu verschaffen. Dafür dass der persönliche Anwendungsbereich des Art. 2 Abs. 1 DS-GVO eröffnet ist, trägt aber gerade der Anspruchsteller die Beweislast. Letztendlich ist der Bekl. dem Vortrag des Kl., er habe die Schriftsätze zwecks Einholung einer Zweitmeinung weitergeleitet, auch nicht entgegen getreten, sodass dies als zugestanden gilt. Da die Weiterleitung damit nicht iRd beruflichen oder wirtschaftlichen Tätigkeit des Kl. erfolgt ist, ist der Anwendungsbereich nicht eröffnet, Art. 2 Abs. 2 lit. c DS-GVO.

NEU AG München Urt. v. 11.4.2023 – 142 C 14677/22

500 EUR Scraping-Sachverhalt.

NEU AG Siegen Urt. v. 30.3.2023 – 14 C 624/22

500 EUR Scraping-Sachverhalt.

NEU AG Kleve Urt. v. 24.3.2023 – 36 C 44/22

500 EUR Scraping-Sachverhalt.

AG Ludwigsburg Urt. v. 28.2.2023 – 8 C 1361/22

0 EUR Der Widerkläger hat gegen die Widerbeklagte keinen Anspruch auf Unterlassung gem. § 823 Abs. 1 BGB iVm § 1004 Abs. 1 S. 2 BGB analog und auf Schadensersatz gem. Art. 82 Abs. 1 DS-GVO wegen der dynamischen Einbindung von X. Fonts auf der Webseite der Widerbeklagten. Den vom Widerkläger geltend gemachten Ansprüchen steht der Einwand des Rechtsmissbrauchs gem. § 242 BGB entgegen. Die Rechtsausübung ist rechtsmissbräuchlich, wenn ihr kein schutzwürdiges Eigeninteresse zugrunde liegt. Das Interesse ist jedenfalls dann nicht schutzwürdig, wenn mit der Geltendmachung des Anspruchs überwiegend sachfremde, für sich gesehen nicht schutzwürdige Interessen und Ziele verfolgt und diese als beherrschendes Motiv der Verfahrenseinleitung erscheinen, wobei eine Gesamtwürdigung aller Umstände zu erfolgen hat. In § 8c Abs. 2 Ziff. 1 UWG ist geregelt, dass eine rechtsmissbräuchliche Geltendmachung im Zweifel anzunehmen ist, wenn die Geltendmachung der Ansprüche vorwiegend dazu dient, gegen den Zuwiderhandelnden einen Anspruch auf Ersatz von Aufwendungen oder von Kosten der Rechtsverfolgung oder die Zahlung einer Vertragsstrafe entstehen zu lassen. Diese Regelung entspricht im Wesentlichen dem § 8 Abs. 4 Abs. 1 UWG, der allerdings die Vertragsstrafe nicht erwähnte.

AG München Urt. v. 8.2.2023 – 178 C 13527/22 = ZD 2023, 635 (Ls.)

0 EUR Dem Kl. steht kein Anspruch auf Zahlung eines immateriellen Schadensersatzes gem. Art. 82 DS-GVO bzw. § 280 Abs. 1 BGB iVm dem Nutzungsvertrag oder einer anderen Anspruchsgrundlage zu. Aufgrund der gem. § 141 ZPO erfolgten persönlichen Anhörung des Kl. in der Sitzung ist das Gericht davon überzeugt, dass jedenfalls kein Schaden – der zu einer datenschutzrechtlichen Verletzung oder sonstiger Pflichtverletzung hinzukommen muss und nicht gleichgesetzt werden kann – vorliegt, sodass die anderen im Streit stehenden Rechtsfragen hier nicht entschieden werden müssen. Inwieweit der schriftsätzliche Vortrag der Klägervertreter mit der persönlichen Einlassung des Kl. in der mündlichen Verhandlung in Einklang zu bringen ist, ist hier nicht weiter zu diskutieren. Es ist damit unerheblich, ob es sich beim schriftsätzlichen klägerischen Vortrag um Textbausteine handelt, die in hunderten von Klagen – wie die Beklagtenvertreter vortragen – verwendet werden oder nicht. Für das Gericht ist die persönliche Einlassung des Kl. (§ 141 ZPO) in der mündlichen Verhandlung maßgeblich, die es gem. §§ 286287 ZPO seiner rechtlichen Bewertung zugrunde legt und daraus ergibt sich Folgendes: Der Kl. hat persönlich auf Nachfrage des Gerichtes erläutert, ihm habe der Vorfall keine schlaflosen Nächte bereitet, er sei noch nicht einmal aufgeregt gewesen, nachdem er von dem Vorfall Kenntnis erlangt hatte und habe auch nicht seine Einstellungen bei Facebook nachträglich geändert. Insgesamt sei ihm nur unwohl, weil er befürchte, seine Telefonnummer, die im Internet auffindbar ist, könnte für anonyme Anrufe benutzt werden. Dieser Aspekt wurde zudem vom Klägervertreter in der Sitzung an späterer Stelle nochmals aufgegriffen, der betont hat, der Vorfall sei ärgerlich, aber tue dem Kl. nicht weh, dieser habe aber ein ungutes Gefühl bzgl. künftiger Schäden. Der Kl. hat diesen Vortrag seines Prozessbevollmächtigten in der mündlichen Verhandlung auch bestätigt. Ein allgemeines und nicht weiter greifbares Unwohlsein alleine in der dargelegten Form genügt dem Gericht jedoch nicht, um von einem immateriellen Schaden ausgehen zu können, da damit die notwendige spürbare Beeinträchtigung nicht festgestellt werden kann. IÜ fehlt es auch an der Kausalität zwischen behaupteten Datenschutzverstößen und einem Schaden, selbst wenn man diesen anders, etwa allein in Form von Spam Nachrichten und Anrufen und damit letztlich in einem Kontrollverlust über die eigenen Daten begründen wollte. Der Kl. hat in seiner mündlichen Anhörung erklärt, dass er auch weitere soziale Netzwerke im Internet nutzte und nutzt – er selbst hat fünf weitere aufgezählt – sodass das Gericht nicht davon überzeugt ist, der behauptete Vorfall sei ursächlich für das Auffinden der Daten des Kl. im Internet und für behauptete vermehrte Spam Nachrichten und Anrufe – bis auf die Telefonnummer, waren es bei Facebook zudem öffentlich auffindbare Daten, die so vom Kl. hinterlegt wurden. Der Kl. selbst hat hier auch glaubhaft und lebensnah in der mündlichen Verhandlung erläutert, er könne es selbst nicht sagen, ob vermehrte Spam Nachrichten und anonyme Anrufe vom „Facebook-Vorfall“ herrühren.

AG Waldbröl Urt. v. 12.1.2023 – 3 C 100/22 = ZD 2023, 420 (Ls.)

0 EUR Der Klageantrag zu 1 ist hinreichend bestimmt iSd § 253 Abs. 2 Ziff. 2 ZPO. Der Klageantrag zu 1 stellt die Höhe des geltend gemachten Schmerzensgeldanspruchs in das Ermessen des Gerichts und gibt sogar eine Mindesthöhe von 1.000 EUR an. Der Kl. hat keinen Anspruch auf Zahlung eines immateriellen Schadensersatzes in Höhe der mindestens geltend gemachten 1.000 EUR gegen die Bekl. Ein solcher Anspruch ergibt sich weder aus dem unionsrechtlichen Schadensersatzanspruch aus Art. 82 Abs. 1 DS-GVO noch aus anderen denkbaren nationalen Anspruchsgrundlagen. Zur Begründung eines Anspruchs aus Art. 82 Abs. 1 DS-GVO fehlt es jedenfalls an einem Schaden des Kl. Der Kl. hat keine tatsächlichen Anknüpfungspunkte dargelegt, die nach einer an den Maßstäben des § 287 Abs. 1 S. 1 ZPO orientierten Bewertung auf einen ersatzfähigen immateriellen Schaden iSd Art. 82 Abs. 1 DS-GVO hindeuten. Art. 82 DS-GVO setzt den Nachweis des Eintritts eines konkreten (immateriellen) Schadens voraus. Eine bloße Rechtsverletzung iSd DS-GVO reicht nicht allein zur Begründung eines individuellen Schadensersatzanspruchs aus. Nach Ansicht des Gerichts setzt der Anspruch aus Art. 82 Abs. 1 DS-GVO den Nachweis eines konkreten immateriellen Schadens voraus. Die bloße Verletzung einer datenschutzrechtlichen Vorschrift begründet allein noch keinen Schadensersatzanspruch. Es muss der Nachweis eines konkret erlittenen Schadens geführt werden. Ein bloßes Ärgernis über einen Rechtsverstoß reicht nicht aus. Dies ergibt sich schon aus dem Wortlaut des Art. 82 Abs. 1 DS-GVO. Art. 82 Abs. 1 DS-GVO setzt voraus, dass ein Schaden „entstanden“ ist. Die DS-GVO trennt also zwischen Rechtsverstoß und einem „entstandenen“ Schaden. Weiterhin spricht Erwägungsgrund 146 S. 6 für diese Auslegung. Der Schaden muss nach S. 6 des Erwägungsgrundes 146 „erlitten“ worden sein. Auch die Verwendung des Wortes „erlitten“ spricht für eine eigenständige Bedeutung des Schadensbegriffs und dafür, dass der Rechtsverstoß in einer Weise für den Anspruchssteller eine spürbare Beeinträchtigung darstellt. In anderen Worten muss der Rechtsverstoß also zu einer objektiv nachvollziehbaren Beeinträchtigung führen. Den Kl. trifft hinsichtlich des Schadenseintritts die Darlegungs- und Beweislast. Art. 82 DS-GVO sieht keine Beweislastumkehr in Bezug auf den eingetretenen Schaden vor. Dies ergibt sich allein aus einem Umkehrschluss aus der Regelung des Art. 82 Abs. 3 DS-GVO. Etwas anderes ergibt sich auch nicht aus der allgemeinen Rechenschaftspflicht aus Art. 5 Abs. 2 DS-GVO. Im Ergebnis kann die Frage, ob die allgemeine Rechenschaftspflicht in Art. 5 Abs. 2 möglicherweise eine Beweislastumkehr begründet sogar offenbleiben, weil sich die Rechenschaftspflicht aus Art. 5 Abs. 2 DS-GVO nur auf den Rechtsverstoß selbst bezieht. Selbst wenn man also eine Beweislastumkehr in Art. 5 Abs. 2 DS-GVO hineinliest, so greift sie zumindest nicht für den Schadensnachweis. Denn der Nachweis über den Schaden ist – wie oben dargestellt – von der bloßen Rechtsverletzung zu trennen und eine Regelung über den Schadensnachweis trifft Art. 5 DS-GVO in jedem Falle nicht. Soweit der Kl. behauptet, er habe durch den Scraping-Vorfall die Angst vor einem Kontrollverlust über seine Daten erlitten, so ist diese Behauptung unplausibel. Die abgerufenen Daten waren bereits vor dem Scraping-Vorfall öffentlich zugänglich. Daran hat der streitgegenständliche Vorfall nichts geändert. Auch vor dem Vorfall waren die Daten bereits für die Allgemeinheit zugänglich und abrufbar. Es liegt insofern durch das Scraping keine Verschlechterung der Position des Kl. vor. Ein Kontrollverlust kann sich hieraus nicht ergeben, weil der Kl. schon vor dem Vorfall die Kontrolle über die Daten insofern abgegeben hatte. Auch hinsichtlich der Telefonnummer ergibt sich diesbezüglich keine andere Bewertung. Der Kl. hat seine Telefonnummer freiwillig iRd Registrierung hinterlegt. Eine Individualisierbarkeit der persönlichen Empfindungen ist jedoch elementar für die Bewertung nach § 287 ZPO, ob ein immaterieller Schaden beim Kl. vorliegt, denn es reicht für den Schadensersatzanspruch aus Art. 82 Abs. 1 DS-GVO nicht aus, dass eine bloße objektive Rechtsverletzung festgestellt wird. Die Ausführungen des Kl. erschöpfen sich in formelhaften pauschalen Ausführungen, ohne jeglichen persönlichen Bezug oder konkrete Beschreibungen dazu, wie sich die Ängste, Sorgen und das Unwohlsein konkret äußern. Es ist unstreitig zwischen den Parteien, dass die Klageschrift und auch die Replik des Kl. auf standardisierten Schriftsätzen beruhen, die die Prozessbevollmächtigten des Kl. – wiederum unbestritten – in hunderten von Klagen gegen die Bekl. verwenden. Die Schriftsätze enthalten keine Individualisierung, die den Schluss auf einen tatsächlich erlittenen Schaden in Form einer spürbaren persönlichen Beeinträchtigung zulässt. Die Behauptungen des Kl., er habe sich mit dem „Datenleak“ auseinandersetzen, den Sachverhalt ermitteln und um Auskunft von der Bekl. kümmern müssen, begründen ebenfalls keinen ersatzfähigen Schadensposten. Es kann offenbleiben, ob der Kl. diesbezüglich überhaupt eine hinreichend substantiierte und damit anknüpfungsfähige Tatsachengrundlage vorgetragen hat. Denn der klägerische Vortrag bezieht sich lediglich auf vermeintlich getätigte Aufwendungen, die – wenn sie tatsächlich angefallen wären – nur als Begleitschaden und deshalb zumindest nicht ohne ersatzfähigen Hauptschaden zu ersetzen wären. Aufwendungen sind iRd Schadensersatzes nur ersatzfähig, wenn sie zur Beseitigung eines Hauptschadens getätigt werden. Das heißt, Aufwendungen müssen im Hinblick auf ein zumindest konkret drohendes Hauptschadenschadensereignis aufgewendet werden. Außerdem werden Aufwendung zur Betreibung einer Rechtsverfolgung ersetzt, wenn sich diese ebenfalls auf einen zu ersetzenden Hauptschaden bezieht. Vorliegend fehlt es an einem solchen ersatzfähigen Hauptschaden.

Landesarbeitsgerichte

 

NEU LAG Baden-Württemberg Urt. v. 28.7.2023 – 9 Sa 73/21

2.500 EUR Verantwortlicher iSd Art. 4 Nr. 7 DS-GVO kann neben dem Arbeitgeber auch eine Person sein, die sich als „Inhaber“ eines Betriebes ausgibt und eigenverantwortliche Entscheidungen über die Verarbeitung von personenbezogenen Daten trifft. Er haftet dann auf Zahlung einer Entschädigung nach Art. 82 Abs. 1 DS-GVO mit dem Arbeitgeber gesamtschuldnerisch. Ein Anspruch auf Zahlung einer Entschädigung nach Art. 82 DS-GVO setzt nicht voraus, dass ein Auskunftsanspruch gegenüber dem zur Auskunftserteilung Verpflichteten iSd Rspr. des BAG geltend gemacht wurde. Es reicht aus, dass der Verpflichtete erkennen kann, dass der Arbeitnehmer seine Rechte nach Art. 15 Abs. 1 DS-GVO geltend macht. Nimmt der Arbeitgeber dem Arbeitnehmer einen diesem gehörenden USB – Stick mit persönlichen Daten weg und liest diesen aus und sichert die Daten, hat er Auskunft zu erteilen, welche Daten er ausgelesen und gesichert hat. Im Fall der Verletzung dieser Auskunftspflicht haftet er auf Schadensersatz nach Art. 82 DS-GVO.

NEU LAG Baden-Württemberg Urt. v. 27.7.2023 – 3 Sa 33/22

10.000 EUR Die verspätete Auskunftserteilung auf ein Verlangen nach Art. 15 Abs. 1 DS-GVO stellt als solche keinen immateriellen Schaden dar. Ein bloßer Verstoß gegen die Vorgaben der DS-GVO genügt nicht, um einen Schadensersatzanspruch gem. Art. 82 Abs. 1 DS-GVO zu begründen. Art. 82 Abs. 1 DS-GVO enthält auch keine Vermutung dahingehend, dass der mit einem Verstoß gegen die DS-GVO einhergehende Kontrollverlust über die eigenen Daten als solcher zu einem ersatzfähigen immateriellen Schaden führt. Ein Antrag gem. Art. 15 Abs. 1 Satz 1 Hs 2 DS-GVO auf Auskunftserteilung über „sämtliche personenbezogenen Daten“ genügt regelmäßig nicht dem Bestimmtheitserfordernis des § 253 Abs. 2 Nr. 2 ZPO.

NEU LAG Düsseldorf Urt. v. 26.4.2023 – 12 Sa 18/23

1.500 EUR Die Bekl. ist verpflichtet, dem Kl. gem. Art. 82 Abs. 1 DS-GVO eine Entschädigung iHv 1.500 EUR zu zahlen. Eine weitergehende Entschädigung steht dem Kl. nicht zu. Einen solchen Anspruch macht der Kl. hier geltend, auch wenn er im Antrag von einem Schmerzensgeld spricht. Damit bringt er nur zum Ausdruck, dass es ihm insoweit nicht um einen materiellen Schadensersatz geht, sondern den davon zu unterscheidenden immateriellen Schadensersatz gem. Art. 82 Abs. 1 DS-GVO, welchen die Kammer als Entschädigung bezeichnet hat. Davon geht der Kl. zuletzt ausdrücklich aus, wenn er sich zur Begründung seines Begehrens auf Art. 82 Abs. 1 DS-GVO stützt und ausführt, dass es insoweit auf eine schwerwiegende Persönlichkeitsverletzung nicht ankomme und die Observation durch einen Detektiv einen immateriellen Schaden iSv Art. 82 DS-GVO darstelle. Die Bekl. hat das Klagebegehren genauso verstanden, geht indes davon aus, dass die Datenverarbeitung durch sie rechtmäßig erfolgt sei und insb. alleine ein Verstoß gegen die DS-GVO keinen Schaden darstelle. Es liegt der für Art. 82 DS-GVO erforderliche Verstoß gegen deren Bestimmungen vor, weil die Detektivüberwachung des Kl. als Datenverarbeitung im vorliegenden Fall unverhältnismäßig und damit rechtswidrig war. Die Kammer geht dabei zunächst unter Bezugnahme auf den Erwägungsgrund aus 146 Satz 5 davon aus, dass für einen Verstoß „gegen die Verordnung“ auch ein Verstoß gegen die erlassenen delegierten Rechtsakte und Durchführungsrechtsakte sowie präzisierenden Rechtsvorschriften der Mitgliedstaaten ausreicht. Hier liegt ein Verstoß gegen § 26 Abs. 1 BDSG vor, weil die Überwachung des Kl. unverhältnismäßig war. § 26 Abs. 1 BDSG regelt die Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses. Es soll sich um eine Vorschrift auf der Grundlage von Art. 88 DS-GVO handeln. Ein Verstoß gegen § 26 Abs. 1 BDSG bedeutet daher zugleich einen Verstoß gegen die DS-GVO, weil das nationale Recht die DS-GVO insoweit nur ausgestaltet. Es kann offenbleiben, ob § 26 Abs. 1 BDSG unangewendet bleiben muss, weil er den Vorgaben von Art. 88 Abs. 2 DS-GVO nicht entspricht und auch nicht den Anforderungen von Art. 6 Abs. 3 DS-GVO genügt. Wäre dem so, dann würde die Verarbeitung personenbezogener Daten im Beschäftigungskontext im privaten Bereich unmittelbar durch die Bestimmungen der DS-GVO geregelt. Ggfs. kämen hier Art. 6 Abs. 1 S. 1 lit. b DS-GVO in Betracht, wenn die Verarbeitung für die Erfüllung eines Vertrags erforderlich ist oder aber Art. 6 Abs. 1 S. 1 lit. f DS-GVO. Die Datenverarbeitung in Form der Detektivüberwachung des Kl. war nicht erforderlich und zugleich unverhältnismäßig. Die Datenverarbeitung wurde nicht auf das notwendige Maß beschränkt. Die erkennende Kammer hält im konkreten Fall eine Entschädigung von 1.500 EUR für angemessen. Ein höherer Anspruch steht dem Kl. nicht zu. Entgegen der Ansicht der Bekl. scheidet ein Anspruch auf Ersatz des immateriellen Schadens des Kl. nicht deshalb aus, weil es hier um einen bloßen Verstoß gegen die Bestimmungen der DS-GVO geht, der alleine nicht zur Begründung des Schadensersatzes ausreiche. Richtig ist allerdings, dass der EuGH in seinem Urt. v. 4.5.2023 (C-300/21) inzwischen ausgeführt hat, dass Art. 82 Abs. 1 DS-GVO dahin auszulegen ist, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen immateriellen Schadensersatzanspruch zu begründen. Anderseits hat der EuGH in der genannten Entscheidung erkannt, dass der Begriff des immateriellen Schadens autonom und unionsrechtlich einheitlich zu definieren ist. Dabei sie die betroffene Person nicht von dem Nachweis befreit, dass der Verstoß gegen die DS-GVO für sie negative Folgen gehabt habe, welche einen immateriellen Schaden darstellen. Anderseits sei keine Voraussetzung, dass der der betroffenen Person entstandene immaterielle Schaden einen bestimmten Grad an Erheblichkeit erreicht hat. Der Kl. hat auch unter Anwendung dieser Grundsätze einen eigenen immateriellen Schaden im Sinne negativer Folgen dargelegt. Zunächst bedarf es nicht mehr der Feststellung einer schwerwiegenden Persönlichkeitsrechtsverletzung. Eine solche Erheblichkeitsschwelle stellt Art. 82 Abs. 1 DS-GVO nicht auf. Entgegen der Ansicht der Bekl. liegt in der verdeckten Überwachung des Kl. durch die Detektei mit den von ihm angefertigten Bildern nicht nur ein bloßer, nicht für einen Anspruch aus Art. 82 Abs. 1 DS-GVO genügender Verstoß gegen die Bestimmungen der DS-GVO vor. Die verdeckte Observierung durch einen Detektiv wird zutreffend selbst als immaterieller Schaden eingeordnet. Entgegen der Ansicht des Arbeitsgerichts ist es zur Überzeugung der erkennenden Kammer unerheblich, dass die Überwachung des Kl. für diesen zunächst unbemerkt erfolgte. Dies ändert nichts daran, dass bereits in der Überwachung selbst eine negative Einbuße iSd vom EuGH geforderten negativen Folge der unzulässigen Datenverarbeitung gegeben ist. Durch die Observierung wird der Kl. selbst zum bloßen Objekt der Datenverarbeitung. Er verliert die Kontrolle über die eigenen Daten in Form der Beobachtung und der Ablichtung. Bereits dies stellt zur Überzeugung der Kammer einen immateriellen Schaden dar. Zutreffend wird darauf hingewiesen, dass als Aspekt des Schadens in Erwägungsgrund 75 DS-GVO der Kontrollverlust ausdrücklich genannt ist, nämlich dann, wenn die betroffenen Personen um ihre Rechte und Freiheiten gebracht oder daran gehindert werden, die sie betreffenden personenbezogenen Daten zu kontrollieren. Dies gilt nach dem 75. Erwägungsgrund insb. dann, wenn wie hier Gesundheitsdaten erhoben werden sollen um Aspekte der Arbeitsleistung zu bewerten. Art. 82 DS-GVO ist dahingehend auszulegen, dass die nationalen Gerichte bei der Festsetzung der Höhe des Schadensersatzes, der auf Grund des in diesem Artikel verankerten Schadensersatzanspruchs geschuldet wird, die innerstaatlichen Vorschriften der einzelnen Mitgliedstaaten über den Umfang der finanziellen Entschädigung anzuwenden haben, sofern die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität beachtet werden. Der Grad des Verschuldens des Verantwortlichen ist dabei für die Bemessung der Höhe des nach Art. 82 Abs. 1 DS-GVO zu ersetzenden immateriellen Schadens nicht von Bedeutung. Mangels einschlägiger unionsrechtlicher Vorschriften ist die Höhe des Schadens gem. § 287 Abs. 1 S. 1 ZPO zu bestimmen, wonach alle Umstände des Einzelfalls zu würdigen sind. Art. 82 DS-GVO regelt selbst keine Verfahrensmodalitäten zur Durchsetzung des Schadensersatzanspruchs. Art. 79 Abs. 1 DS-GVO sieht lediglich vor, dass jede betroffene Person das Recht auf einen wirksamen gerichtlichen Rechtsbehelf hat, wenn sie der Ansicht ist, dass die ihr auf Grund der DS-GVO zustehenden Rechte infolge einer nicht mit ihr im Einklang stehenden Verarbeitung ihrer personenbezogenen Daten verletzt wurden. Dem Äquivalenz- oder Effektivitätsgrundsatz ist durch die Anwendung von § 287 Abs. 1 S. 1 ZPO Rechnung getragen. Die Bestimmung findet im nationalen Recht ebenso bei der Durchsetzung anderer Ansprüche auf immateriellen Schadensersatz Anwendung. Für die Bemessung der Höhe des immateriellen Schadens sind dabei als einem wichtigen Faktor auf die Intensität der Persönlichkeitsrechtsverletzung abzustellen. In welchen konkreten Situationen erfolgte die Beobachtung. Handelte es sich um Bildaufzeichnungen aus der Intim- oder Privatsphäre oder solche aus der Öffentlichkeitssphäre (z. B. Straße und Waschsalon). Wurde lediglich beobachtet oder aber wurden die Beobachtungen durch Bild- und/oder Videoaufnahme festgehalten? Wem gegenüber wurden die Daten weitergegeben. Handelte es sich um Dritte oder wurden Auszüge lediglich in einem gerichtlichen Verfahren präsentiert? Zu berücksichtigen ist weiter, dass der Anspruch aus Art. 82 Abs. 1 DS-GVO auch einen präventiven Charakter hat und damit auch eine Abschreckungsfunktion erfüllen muss, was sich letztlich aus dem Aspekt der Effektivität ableiten lässt. Bereits ein Betrag von 1.000 EUR kann dabei nicht nur symbolischen, sondern auch abschreckenden Charakter haben. Der immaterielle Schaden nach Art. 82 Abs. 1 DS-GVO hat zudem keinen erkennbaren Bezug zur Höhe eines dem Gläubiger zustehenden Arbeitsentgelts, sodass keine Anhaltspunkte dafür bestehen, dass es sich dabei um ein relevantes Bemessungskriterium für die Höhe des Schadensersatzes handeln könnte.

LAG Schleswig-Holstein Urt. v. 21.2.2023 – 1 Sa 148/22 = ZD 2023, 703

0 EUR Dem Kl. steht keine Entschädigung nach Art. 82 Abs. 1 DS-GVO zu. Allerdings hat die Bekl. jedenfalls nicht alle zugunsten des Kl. bestehenden Vorschriften der DS-GVO eingehalten. Jedoch steht auch dem Entschädigungsanspruch nach Art. 82 Abs. 1 DS-GVO der Einwand des Rechtsmissbrauchs entgegen. Die Bekl. hat in einigen Punkten zum Nachteil des Kl. gegen die DS-GVO verstoßen. Zunächst einmal liegt ein Verstoß gegen Art. 15 Abs. 1 DS-GVO vor. Die Bekl. hat dem Kl. nicht sämtliche der in dieser Vorschrift vorgeschriebenen Auskünfte erteilt. Allerdings hat die Bekl. durch ihren Prozessbevollmächtigten vorgerichtlich mit Schreiben v. 21.9.2021 und im gerichtlichen Verfahren mit Schriftsatz v. 24./30.1.2022 ausdrücklich Auskunft darüber erteilt, welche Informationen sie über den Kl. gespeichert hat und darüber hinaus angegeben, weitere Daten seien über ihn nicht gespeichert worden. Damit hat sie den Auskunftsanspruch im Hinblick auf Art. 15 Abs. 1 lit. a bis d DS-GVO erfüllt. Nicht informiert worden ist der Kl. aber über das Recht auf Berichtigung oder Löschung nach Art. 15 Abs. 1 lit. e DS-GVO sowie das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde (Art. 15 Abs. 1 lit. f DS-GVO). Im Hinblick auf Verstöße gegen Art. 15 Abs. 1 lit. g und lit. h DS-GVO hat der Kl. nichts dazu vorgetragen, dass eine entsprechende Auskunftsverpflichtung besteht. Soweit es um die Datenerhebung bei Dritten geht (lit. g), hat die Bekl. mitgeteilt, von wem sie auf welche Weise die in der Anlage H2 festgehaltenen Informationen über den Kl. erlangt hat. Es ist nicht ersichtlich, dass die darüber hinaus noch etwas Ergänzendes mitteilen könnte. Das hat der Kl. auch nicht behauptet. Vergleichbares gilt für die Auskunft nach lit. h. Die Bekl. hat angegeben, welche Daten sie wie verarbeitet hat; eine automatisierte Entscheidungsfindung hat erkennbar bei ihr nicht stattgefunden. Der Kl. hat hierzu nichts weiter vorgetragen, aber den Auskunftsanspruch auch nicht für erledigt erklärt. Daneben hat die Bekl. gegen die Informationsansprüche des Kl. aus Art. 13 Abs. 1 und 2 DS-GVO verstoßen, da sie die dort genannten Informationen dem Kl. nicht zum Zeitpunkt ihrer Erhebung bereits mitgeteilt hat. Die weiteren vom Kl. in der Berufungsbegründung gerügte Verstöße gegen die DS-GVO liegen demgegenüber nicht vor. Ein Entschädigungsanspruch nach Art. 82 Abs. 1 DS-GVO steht dem Kl. jedoch deshalb nicht zu, da er auch insoweit rechtsmissbräuchlich iSd § 242 BGB handelt. Zu den Fällen des Rechtsmissbrauchs gehören auch die Konstellationen, in denen ein Recht ausgeübt wird als Vorwand für die Erreichung vertragsfremder oder unlauterer Zwecke. Nach Überzeugung des Gerichts dient hier die Geltendmachung der Auskunftsrechte durch den Kl. allein der Erreichung unlauterer Zwecke, nämlich dazu, die Bekl. zur Zahlung einer Entschädigung zu veranlassen. Dies wird belegt durch das Vorgehen des Kl. im Zusammenhang mit dem Entschädigungsbegehren nach dem AGG. Der Kl. hat seine Auskunftsansprüche zeitgleich mit der Entschädigungsklage geltend gemacht. Das Geltungsmachungsschreiben ist offensichtlich aus anderen Schreiben zusammenkopiert. Das zeigt sich schon daran, dass er sich in seinem Geltendmachungsschreiben auf eine streitgegenständliche Bewerbung vor dem Arbeitsgericht K… bezieht. Ferner wird in dem Geltendmachungsschreiben Auskunft über eine Personalakte mit allen Eintragungen bei der Firma K… C… I… GmbH verlangt, gegen die der Kl. ersichtlich vor dem Arbeitsgericht K… zum im Anspruchsschreiben genannten Aktenzeichen einen Rechtstreit führt. Das belegt aus Sicht des Gerichts, dass es der Kl. mit dem Auskunftsverlangen allein darum geht, Druck auf die Bekl. auszuüben, um eine möglichst hohe Entschädigung zu erlangen und dass er dieses Vorgehen systematisch betreibt. Das Auskunftsbegehren erweist sich damit zugleich als Teil einer auf die Zahlung eines möglichst hohen Geldbetrags gerichtete „Gesamtstrategie“ des Kl.. Das wird von der Rechtsordnung nicht gedeckt. Für einen Rechtsmissbrauch des Kl. spricht daneben, dass seine Auskunftsbegehren auch offensichtlich überschießend und unverhältnismäßig sind. Tatsächlich haben die Parteien gerade einmal fünf E-­Mails ausgetauscht, drei hat der Kl. geschrieben, zwei die Bekl.. Die Kl. hat auf das Auskunftsbegehren des Kl. innerhalb einer Woche geantwortet. Trotzdem hat der Kl. sämtliche Auskunftsansprüche mit der Klagerweiterung v. 3.10.2021 noch einmal unverändert eingeklagt. Auch das spricht dafür, dass es dem Kl. nur darum ging, der Bekl. möglichst lästig zu fallen und Arbeit zu bereiten, um sie damit zur Zahlung einer Entschädigung zu veranlassen.

NEU Hessisches LAG Urt. v. 27.1.2023 – 14 Sa 359/22

2.000 EUR Zurecht hat das Arbeitsgericht den Bekl. wegen Verletzung der Auskunftspflicht nach Art. 15 Abs. 1 DS-GVO zur Leistung von Schadensersatz nach Art. 82 Abs. 1 DS-GVO verurteilt. Auch die Höhe des insoweit zuerkannten Schadensersatzes ist nicht zugunsten des Bekl. abzuändern. Mit der Verletzung des Auskunftsrechts der Kl. hat der Bekl. iSd Art. 82 Abs. 1 DS-GVO gegen diese Verordnung verstoßen. Dem steht aus Sicht der Kammer nicht entgegen, dass der Erwägungsgrund 146 S. 1 DS-GVO nur von solchen Schäden spricht, „die einer Person auf Grund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht“. Die Nichterfüllung oder nicht vollständige Erfüllung des Auskunftsanspruchs nach Art. 15 Abs. 1 DS-GVO muss danach für sich genommen nicht gleichbedeutend sein mit einer verordnungswidrigen „Verarbeitung“. Nach Auffassung der Kammer kann der Erwägungsgrund 146 DS-GVO aber nicht dazu führen, Art. 82 DS-GVO hinsichtlich der Tatbestandsmerkmale dergestalt einzuschränken, dass gerade nicht jeder Verstoß gegen die Verordnung zu Schadensersatzansprüchen führen kann, sondern nur solche, die eine Datenverarbeitung zum Gegenstand haben. Der Zweck der Erwägungsgründe liegt in der Veranschaulichung, Begründung und Rechtfertigung der ihnen nachfolgenden gesetzlichen Regelungen. Sie dienen daher zwar als Kriterien der Auslegung und stellen für diese wichtige Orientierungshilfen dar, sie entfalten aber gerade keine originäre Bindungswirkung und nehmen die eigentliche Auslegung weder vorweg noch schränken sie diese über Gebühr ein. Angesichts des Wortlauts des Art. 82 Abs. 1 DS-GVO und der Bedeutung des Auskunftsanspruchs insofern, als dieser häufig dem Betroffenen erst diejenigen Informationen verschafft, die ihm sodann die Geltendmachung weiter Ansprüche ermöglichen, ist Art. 82 Abs. 1 DS-GVO dahingehend auszulegen, dass ein Verstoß gegen die Auskunftspflichten den Tatbestand des Art. 82 Abs. 1 DS-GVO erfüllt und grds. geeignet ist, Schadensersatzpflichten zu begründen. Hierfür spricht auch, dass der Erwägungsgrund 75 DS-GVO ausdrücklich anerkennt, dass gerade die fehlende Möglichkeit des Betroffenen, die verarbeiteten Daten zur kontrollieren, Risiken für seine Rechte und Freiheiten begründet. Dem Anspruch der Kl. steht auch nicht entgegen, dass sie keinen konkreten Nachweis eines Schadens erbracht hätte. Der Rechtsanspruch auf immateriellen Schadensersatz nach Art. 82 Abs. 1 DS-GVO erfordert über eine Verletzung der DS-GVO hinaus nicht zusätzlich, dass die verletzte Person einen (weiteren) von ihr erlittenen immateriellen Schaden darlegt. Ein die Zusprechung von Schadensersatz bedingender Schaden ist bereits deshalb zu bejahen, weil die Kl. im Ungewissen ist, welche personenbezogenen Daten der Bekl. von ihr im Einzelnen in welcher Weise verarbeitet. Es bedarf auch nicht eines bestimmten Gewichts des eingetretenen Schadens – dieses ist vielmehr bei der Schadenshöhe zu berücksichtigen. Die Kammer schließt sich insofern der Auffassung an, dass eine Erheblichkeitsschwelle von Verstößen gegen die DS-GVO als Voraussetzung für die Entstehung eines Schadensersatzanspruchs nicht besteht, weil sich eine solche weder aus der DS-GVO selbst noch aus den Erwägungsgründen ergibt und der Erwägungsgrund 146 DS-GVO gegen die Annahme einer solchen spricht. Auch insoweit ist zu berücksichtigen, dass der Erwägungsgrund 75 DS-GVO der Möglichkeit der Betroffenen, ihre personenbezogenen Daten zur kontrollieren, ein besonderes Gewicht beimisst. Die Kl. hat die Höhe des Schadensersatzes in das Ermessen des Gerichts gestellt. Insofern findet mangels einschlägiger unionsrechtlicher Vorschriften § 287 Abs. 1 S. 2 ZPO Anwendung. Bei der Bestimmung des Schadensersatzes nach § 287 Abs. 1 S. 2 ZPO sind alle Umstände des Einzelfalls zu würdigen. Dazu gehören jedenfalls die Schwere und Dauer des Verstoßes, der Grad des Verschuldens des Verantwortlichen und die Intensität des eingetretenen Schadens beim Betroffenen. Nach dem Erwägungsgrund 146 DS-GVO soll die betroffene Person einen vollständigen und wirksamen Schadensersatz erhalten. Bei Berücksichtigung der genannten Maßstäbe ist die Festsetzung des immateriellen Schadensersatzes mit EUR 1.000 nicht ermessensfehlerhaft zu hoch bemessen. Der Bekl. hat besonders schwer gegen Art. 15 Abs. 1 DS-GVO verstoßen, er hat nämlich nicht nur eine unzureichende Auskunft erteilt, sondern das Auskunftsbegehren der Kl. vollständig ignoriert und zwar besonders hartnäckig, indem er nicht nur auf das Aufforderungsschreiben vom 27. September 2021 hin, sondern auch im weiteren erstinstanzlichen Verfahrensverlauf seit der Klageerweiterung vom 2. November 2021 keine Auskunft erteilt hat. Sein Verschulden wiegt insofern besonders schwer, weil er sich als habilitierter Jurist und Rechtsanwalt über seine Verpflichtungen nach Art. 15 Abs. 1 DS-GVO im Klaren gewesen sein muss, sich die notwendigen Kenntnisse aber jedenfalls leicht hätte verschaffen können. Seine Argumentation, er sei nicht Adressat des Auskunftsschreibens, vermag ihn nicht zu entlasten, im Gegenteil. Der Bekl. bemüht hier erkennbar ein formales und insb. nach der Klagerweiterung fernliegendes Argument und macht damit deutlich, seine rechtlichen Verpflichtungen ohne nachvollziehbare Gründe nicht erfüllen zu wollen. Bei der Bewertung des Gewichts des immateriellen Schadens, der aus der Ungewissheit der Kl. über Art und Umfang der Verarbeitung ihrer persönlichen Daten resultiert, ist zu berücksichtigen, dass der Bekl. ihr gegenüber eine außerordentliche, fristlose Kündigung ausgesprochen hat und unstreitig ein Strafverfahren gegen sie anstrengt. Bei einer derart belastenden Beendigung des Arbeitsverhältnisses sind mit der Ungewissheit über die Verarbeitung der persönlichen Daten für den Arbeitnehmer naturgemäß größere Unsicherheiten und Sorgen verbunden, als bei einer einvernehmlichen Beendigung. Die Kammer vertritt nicht die Auffassung, dass hier zulasten der Kl. zu berücksichtigen ist, dass diese bisher den Auskunftsanspruch nicht gerichtlich geltend gemacht hat. Vor dem Hintergrund der insoweit bestehenden prozessualen Risiken, nämlich der objektiven Unsicherheit betreffend die Voraussetzungen eines § 253 Abs. 2 ZPO entsprechenden Antrags, aber auch im Hinblick darauf, die ohnehin extrem konfliktbelastete Situation der Parteien nicht weiter zu eskalieren, stellt dies aus Sicht der Kammer im konkret zu beurteilenden Fall keinen einen geringeren Schadensersatzanspruch bedingenden Umstand dar. Die Berufung hat aber Erfolg soweit sie sich gegen die Verurteilung des Bekl. zur Leistung von Schadensersatz iHv 1.000 EUR wegen Verletzung von Art. 13 DS-GVO richtet. Der Klageerweiterungsschriftsatz enthält keinerlei Begründung des Antrags, sondern setzt sich lediglich unter II. mit der Verletzung des Art. 15 Abs. 3 DS-GVO und mit der Verletzung von Art. 15 Abs. 12 DS-GVO auseinander. Erwähnt wird auch Art. 6 Abs. 1 DS-GVO. Ausführungen zu Art. 13 DS-GVO finden sich dagegen nicht.

NEU LAG Baden-Württemberg Urt. v. 27.1.2023 – 12 Sa 56/21 = ZD 2023, 696 mAnm Stück

3.000 EUR Dem Kl. steht eine Entschädigung gem. Art. 82 Abs. 1 DS-GVO zu. Dies hat das Arbeitsgericht dem Grunde nach zutreffend erkannt. Lediglich im Hinblick auf die Höhe hält die Kammer die Orientierung an einem Bruttomonatsgehalt für unzutreffend. Vorliegend stützt der Kl. seinen Anspruch auf die Auswertung seiner WhatsApp-Nachrichten durch die Bekl. Insoweit ist der Kl. eine betroffene Person. Die Bekl. ist anspruchsverpflichtet. Danach ist die Bekl. als juristische Person und Arbeitgeberin des Kl. Verantwortliche, da sie die personenbezogenen Daten verarbeitet. Ein Verstoß gegen die Verordnung iSd Art. 82 Abs. 1 DS-GVO ist gegeben. Dafür ist zunächst jeglicher Verstoß gegen eine Vorschrift der DS-GVO einschließlich der Formvorschriften ausreichend. Gemäß Erwägungsgrund 146 S. 5 zur DS-GVO sind auch solche Rechtsvorschriften der Mitgliedstaaten erfasst, welche die DS-GVO „präzisieren“. Dazu zählen alle Rechtsvorschriften des innerstaatlichen Rechts, welche datenschutzrechtliche Regelungen enthalten, um eine Öffnungsklausel der DS-GVO auszufüllen. Hierher gehört auch ein Verstoß gegen § 26 BDSG, der iRd Öffnungsklausel des Art. 88 DS-GVO erlassen wurde. Die Bekl. hat durch die Auswertung der WhatsApp-Nachrichten des Kl. und ihrer Einführung im Kündigungsschutzprozess gegen § 26 BDSG verstoßen. Ein Verstoß iSd Art. 82 Abs. 1 DS-GVO liegt mithin vor. Dem Kl. ist auch ein immaterieller Schaden entstanden. Die Kammer folgt insoweit zwar der zutreffenden Rechtsansicht des Generalanwalts beim EuGH Campos Sánchez-Bordona, wonach für die Anerkennung eines Anspruchs auf Ersatz des Schadens, den eine Person infolge eines Verstoßes gegen datenschutzrechtliche Vorschriften erlitten hat, die bloße Verletzung der Norm als solche nicht ausreicht, wenn mit ihr keine entsprechenden materiellen oder immateriellen Schäden einhergehen. Denn der Tatbestand des Art. 82 Abs. 1 DS-GVO enthält eindeutig zwei Merkmale (Verstoß und Schaden), die beide erfüllt sein müssen. Deshalb kann nicht darauf verzichtet werden, einen erlittenen immateriellen Schaden festzustellen. Das können außer Aufwand an Zeit und Mühe zur Beendigung der Rechtsverletzung auch daraus resultierende Gefühlsbeeinträchtigungen, wie Ängste, Stress, Leidenszustände sein. Der bloße „Ärger“ über den Kontrollverlust an den Daten, ein schieres „Unmutsgefühl“ wegen der Nichtbeachtung des Rechts durch einen anderen, sind aber nicht ausreichend. Die Schwelle für das Vorliegen eines immateriellen Schadens ist hier (deutlich) überschritten, weshalb die Beantwortung der insoweit noch anhängigen Vorlagefragen beim EuGH für den vorliegenden Fall ohne Relevanz ist. Der Kl. hatte nicht nur den bloßen Verlust der Herrschaft über seine Daten zu ertragen und sich allein hierüber geärgert. Vielmehr wurden sehr persönliche Daten von der Bekl. – wie etwa vertrauliche Nachrichten an seinen Bruder und seine Freunde – über einen erheblichen Zeitraum nicht nur ausgewertet, sondern anschließend von der Bekl. im Arbeitsgerichtsprozess eingebracht, um die Kündigung des Arbeitsverhältnisses zu rechtfertigen. Aus der rechtswidrigen Verarbeitung der Daten sind dem Kl. mithin konkrete Gefährdungen erwachsen, insb. der drohende Verlust seines Arbeitsplatzes mit allen einhergehenden materiellen und immateriellen Auswirkungen. Von einem unerheblichen Verstoß, der bloßen unbeachtlichen Ärger oder ein schieres Unmutsgefühl hervorgerufen hat, kann danach nicht ausgegangen werden. Bei der Bemessung der Höhe eines Schadenersatzanspruchs nach § 287 Abs. 1 ZPO steht den Tatsachengerichten ein weiter Ermessensspielraum zu, innerhalb dessen sie die Besonderheiten jedes einzelnen Falls zu berücksichtigen haben. Das vom Kl. und vom Arbeitsgericht herangezogene Kriterium der Lohnhöhe spielt bei der Bemessung des Schadensersatzes aus Art. 82 Abs. 1 DS-GVO nach zutreffender Ansicht keine Rolle. Der immaterielle Schaden nach Art. 82 Abs. 1 DS-GVO hat – anders als eine Entschädigung nach § 15 Abs. 2 AGG – keinen erkennbaren Bezug zur Höhe eines dem Gläubiger zustehenden Arbeitsentgelts, sodass keine Anhaltspunkte dafür bestehen, dass es sich dabei um ein relevantes Bemessungskriterium für die Höhe des Schadenersatzes handeln könnte. Es ist weiter zu beachten, dass der erlittene immaterielle Schaden voll kompensatorisch auszugleichen ist. Dabei spielt es vorliegend eine Rolle, dass der Datenverstoß der Bekl. erhebliche potentielle Konsequenzen für den Kl. hatte, namentlich den drohenden Verlust seines Arbeitsplatzes infolge einer außerordentlichen Kündigung. Zudem hat die Bekl. den bereits in der Auswertung der WhatsApp-Nachrichten liegenden Verstoß durch die Zitierung und Vorlage der Daten im Prozess perpetuiert. Die von der Bekl. zitierten Nachrichten geschrieben an den Bruder (G4), den Freund und Trauzeugen (…) sowie die weiteren Freunde sind erkennbar privater Natur. Durch das Einbringen in den Prozess hat die Bekl. wiederholt gezeigt, dass sie die berechtigte Privatheitserwartung des Kl. im Hinblick auf seine Daten nicht respektiert. Dennoch erscheint der Kammer die vom Arbeitsgericht zuerkannte Entschädigung (7.500 EUR) – die sich irrtümlich am Monatsgehalt des Kl. orientierte – im Ergebnis als zu hoch. Denn iRd Art. 82 Abs. 1 DS-GVO ist auch die Relation zu Schmerzensgeldern betreffend Verletzungen der körperlichen Integrität im Blick zu behalten. Etwaige Spannungslagen und Zielkonflikte sind dahingehend aufzulösen, dass (immaterielle) Schäden, die im Zuge von Datenschutzverletzungen entstehen, zwar vollständig kompensiert werden müssen, aber zugleich durch (zu) hohe, überkompensatorische Schadensersatzpflichten auch keine falschen Anreizwirkungen erzeugt werden dürfen. Ein Schmerzensgeld in ungefähr der Höhe, wie es das Arbeitsgericht als zutreffend erachtet hat, wurde für eine Verletzung der körperlichen Integrität in Form einer Schädelfraktur und eines Schädelhirntraumas mit Narbe am Kopf und verbleibenden Kopfschmerzen nach vier Jahren als angemessen angesehen Die vom Kl. geforderte Summe (22.500 EUR) hat das OLG Frankfurt/M. unlängst nicht einmal in einem Fall zugesprochen, in dem ein junger Mann eine doppelte Wirbelsäulenfraktur und Bandscheibenverletzung mit psychischen Beeinträchtigungen in Form posttraumatischer Belastungsstörungen erlitt, weshalb er seine bisherige berufliche Tätigkeit aufgeben musste und auch seine bislang ausgeübten sportlichen Freizeitaktivitäten nicht mehr verrichten konnte. Vergleichbare Schmerzen hat der Kl. durch den Datenschutzverstoß nicht erlitten. Hinzu kommt, dass der iRd Art. 82 Abs. 1 DS-GVO bei der Bemessung der Entschädigung umstrittene Aspekt eines Präventionszwecks der Norm vorliegend keine maßgebliche Rolle spielt. Denn eine hinreichende general- und spezialpräventive Wirkung geht von dem vorliegenden Urteil bereits auf Grund des angenommenen umfassenden Sachvortragverwertungsverbots im Kündigungsschutzverfahren mit der Folge erheblicher Annahmeverzugslohnverpflichtungen aus. Da zudem ein arbeitsvertraglicher Pflichtverstoß wegen des Verwertungsverbots nicht angenommen werden kann, dürfte dies – vorbehaltlich der Entscheidung des zuständigen Landgerichts Heidelberg – auch erhebliche negative finanzielle Auswirkungen für die Bekl. in der dortigen gesellschaftsrechtlichen Auseinandersetzung haben. Auch wenn diese spürbaren negativen Folgen des Datenschutzverstoßes für die Bekl. den immateriellen Schaden des Kl. nicht entfallen lassen, bedarf es für dessen Kompensation eine wesentliche Erhöhung der Entschädigung aus Gründen der präventiven Verhaltenssteuerung nicht. Unter Abwägung aller Umstände erscheint der Kammer ein Betrag in Höhe von 3.000 EUR als ausreichend. Dieser Betrag ist fühlbar und hat nicht nur symbolischen Charakter. Auch bei Bejahung eines eigenen Präventionszwecks von Art. 82 Abs. 1 DS-GVO ist eine Entschädigung in Höhe von 3.000 EUR im vorliegenden Fall ausreichend.

LAG Nürnberg Urt. v. 25.1.2023 – 4 Sa 201/ 22 = ZD 2023, 413

0 EUR Der Kl. steht gegen die Bekl. bereits dem Grunde nach kein Anspruch auf immateriellen Schadensersatz gem. Art. 82 Abs. 12 DS-GVO zu. Nach einer Auffassung ist Art. 82 Abs. 1 DS-GVO in Anbetracht des Wortlautes und der Zielrichtung weit auszulegen und erfasse als haftungsrelevante Verletzungshandlung jeglichen Verstoß gegen die DS-GVO und somit auch Fälle jenseits einer unrechtmäßigen Datenverarbeitung. Nach anderer Auffassung ist Art. 82 Abs. 1 DS-GVO hingegen einschränkend auszulegen. Diese Auffassung begründet ihre Ansicht mit dem Erwägungsgrund 146. Dessen Einleitungssatz lautet: „Der Verantwortliche oder der Auftragsverarbeiter sollte Schäden, die einer Person auf Grund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht, ersetzen.“ Da es sich bei der Frage der Erfüllung der Auskunftsverpflichtung aber um keine Datenverarbeitung iSd Legaldefinition des Art. 4 Ziff. 2 DS-GVO handele, scheide ein Verstoß gegen Art. 15 DS-GVO als haftungsrelevante Handlung daher bereits dem Grunde nach aus. Der Ansicht der einschränkenden Auslegung ist nach Auffassung der Kammer der Vorzug zu geben. Bei der Auslegung einer Unionsvorschrift sind nicht nur der Wortlaut, sondern auch ihr Zusammenhang und die Ziele zu berücksichtigen, die mit der Regelung, zu der sie gehört, verfolgt werden. Die Entstehungsgeschichte einer unionsrechtlichen Vorschrift kann ebenfalls relevante Anhaltspunkte für deren Auslegung liefern. Unter Berücksichtigung dieser Grundsätze folgt insb. aus dem Erwägungsgrund 146 zur DS-GVO, welcher eine grds. geeignete und wichtige Orientierungshilfe der Auslegung darstellt, dass der Schadensersatzanspruch auf Verstöße gegen eine rechtswidrige Datenverarbeitung iSv Art. 4 Ziff. 2 DS-GVO begrenzt ist und verspätete, falsche oder gar gänzlich unterbliebene Auskünfte an eine Person gem. Art. 15 Abs. 1 DS-GVO somit nicht haftungsauslösend sind. Für dieses Auslegungsergebnis spricht nicht nur der Wortlaut des Erwägungsgrundes 146, welcher ebenso wie der die Haftungsverpflichtung konkretisierende Art. 82 Abs. 2 DS-GVO stets nur eine gegen die DS-GVO verstoßende „Datenverarbeitung“ erwähnt, sondern auch die Entstehungsgeschichte des Art. 82 DS-GVO. Die entsprechende ursprüngliche Regelung in Art. 77 des Kommissionsentwurfes (KOM (2012) 11) sah bzgl. der Schadensersatzpflicht noch vor: „Jede Person, der wegen einer rechtswidrigen Verarbeitung oder einer anderen mit dieser Verordnung nicht zu vereinbarenden Handlung ein Schaden entstanden ist, hat Anspruch auf Schadensersatz gegen den für die Verarbeitung Verantwortlichen oder gegen den Auftragsverarbeiter.“ Dieser Entwurf ging damit vom Wortlaut ursprünglich ersichtlich weiter als zB die spätere Fassung des Vorschlags des Parlaments (Drs. 9565/15), welche im Entwurf zu Art. 77 DS-GVO die Schadensersatzpflicht nur auf Schäden bezog, die einer Person auf Grund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht. Der ursprüngliche Erwägungsgrund 118 (KOM (2012) 11) bzw. der spätere Erwägungsgrund 146 selbst beschränkten sich insoweit vom Wortlaut her von Anfang an nur auf eine rechtswidrige bzw. eine gegen die Verordnung verstoßende Datenverarbeitung. Somit verbleibt es nach zutreffender Auffassung in der vorliegenden Konstellation der Verletzung der Auskunftspflicht nach Art. 15 DS-GVO nur bei der möglichen Sanktionsfolge nach Art. 83 Abs. 5b) DS-GVO.

Arbeitsgerichte

 

NEU ArbG Duisburg Beschl. v. 18.8.2023 – 5 Ca 877/23

0 EUR Der Kl. begehrt die Zahlung eines Schadensersatzes nach der DS-GVO. Das nach Behauptung des Kl. verletzte Auskunftsbegehren liegt dabei inhaltlich in einer Bewerbung des Kl. aus dem Jahre 2017 begründet. Die Bewerbung des Kl. stellt eine „Verhandlung über die Eingehung eines Arbeitsverhältnisses“ iSd § 2 Abs. 1 Nr. 3 lit. c ArbGG dar. Zwar ist das Recht aus Art. 15 DS-GVO nicht an das Vorliegen einer arbeitsrechtlichen Beziehung geknüpft. Liegt eine solche jedoch vor, ist ein arbeitsrechtlicher Bezug gegeben, welcher die Zuständigkeit der Arbeitsgerichte begründet. Der ordentliche Rechtsweg kommt bezüglich Ansprüchen aus der DS-GVO hingehen in Betracht, wenn der geltend gemachte Anspruch nach dem anspruchsbegründenden Sachverhalt auf einem anderen, nicht mit dem Arbeitsverhältnis im Zusammenhang stehenden Rechtsverhältnis beruht. Dies ist hier nicht der Fall. Dem arbeitsrechtlichem Bezug steht entgegen der Auffassung der Bekl. nicht entgegen, dass die Bewerbung des Kl. sieben Jahre zurückliegt. Dies ändert nichts am inhaltlichen Sachzusammenhang.

NEU ArbG Gießen Urt. v. 7.6.2023 – 2 Ca 327/22 = ZD 2023, 632 (Ls.)

0 EUR Der zulässige Antrag zu 5) (Antrag auf immateriellen Schadensersatz) ist unbegründet. Der Kl. hat mit der aktuellen Rspr. des EuGH, der sich das erkennende Gericht anschließt, keinen Anspruch auf einen immateriellen Schadensersatz gem. Art. 82 Abs. 1 DS-GVO wegen Nichterfüllung seiner Ansprüche aus Art. 15 Abs. 13 DS-GVO. Denn Art. 82 Abs. 1 DS-GVO ist dahingehend auszulegen, dass der bloße Verstoß gegen die Bestimmungen der DS-GVO nicht ausreicht, um einen Schadensersatzanspruch zu begründen.

NEU ArbG Duisburg Urt. v. 23.3.2023 – 3 Ca 44/23

10.000 EUR Der Kl. hat gegen die Bekl. Anspruch auf Schadensersatz iHv 10.000 EUR aus Art. 82 Abs. 1 DS-GVO nebst Zinsen. Denn die Bekl. hat in mehrfacher Hinsicht vorsätzlich gegen die DS-GVO verstoßen und ist daher zur Zahlung einer Geldentschädigung in ausgeurteilter Höhe verpflichtet. Die Bekl. hat zum einen gegen die Vorgabe aus Art. 12 Abs. 3 S. 1 DS-GVO verstoßen, wonach die beantragten Informationen nach Art. 15 DS-GVO unverzüglich nach Eingang des Antrags zur Verfügung zu stellen sind, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags. Die Bekl. hat außerdem gegen Art. 15 Abs. 1 lit. c DS-GVO verstoßen als sie dem Kl. die konkreten Empfänger seiner personenbezogenen Daten zunächst gar nicht und mit Schreiben vom 1.12.2022 sodann unzureichend mitgeteilt hat. Die Bekl. hat darüber hinaus gegen Art. 15 Abs. 1 lit. d DS-GVO verstoßen, als sie dem Kl. die geplante Dauer für die Speicherung der jeweiligen personenbezogenen Daten weder im Schreiben vom 27.10.2022, noch im Schreiben v. 11.11.2022 mitgeteilt hat. Die Bekl. hat nicht dargetan, für die Verstöße nicht verantwortlich zu sein, sodass gem. Art. 82 Abs. 3 DS-GVO eine Haftung entfiele. Insb. kann sich die Bekl. nicht darauf zurückziehen, dass dem Kl. die streitgegenständlichen Informationen auf Grund der in 2020 bereits erteilten Auskunft bekannt waren. Denn der Kl. kann in angemessenen Abständen wiederholt Auskunft darüber verlangen, welche Daten der Verantwortliche noch über den Betroffenen verarbeitet. Das Auskunftsverlangen ist nach Ablauf von zwei Jahren unproblematisch in angemessenem Abstand geltend gemacht worden und ob die Auskünfte mit denen in 2020 erteilten Auskünften deckungsgleich sind, ergibt sich für den Kl. ja erst nach erfolgter wiederholter Prüfung und Auskunft der Bekl. Verursacht durch die genannten Verstöße hat der Kl. einen immateriellen Schaden iSd Art. 82 Abs. 1 DS-GVO erlitten, der einen Entschädigungsanspruch des Kl. auslöst und zwar unabhängig von der Erheblichkeit des Schadens. Hierzu im Einzelnen: Der Begriff des Schadens ist weit auf eine Art und Weise auszulegen, die den Zielen der DS-GVO in vollem Umfang entspricht. Ein immaterieller Schaden entsteht nicht nur in den „auf der Hand liegenden Fällen“, wenn die datenschutzwidrige Verarbeitung zu einer Diskriminierung, einem Verlust der Vertraulichkeit, einer Rufschädigung oder anderen gesellschaftlichen Nachteilen führt, sondern auch, wenn die betroffene Person um ihre Rechte und Freiheiten gebracht oder daran gehindert wird, die sie betreffenden personenbezogenen Daten zu kontrollieren (EG 75). Das erkennende Gericht teilt insofern nicht die Auffassung der Bekl. und des OLG Koblenz (Urt. v. 13.2.2023 – 12 U 2194/21), die auf die Schlussanträge des Generalanwalts beim EuGH in Sachen C-300/21 verweisen und den Nachweis eines konkreten Schadens verlangen. Vielmehr schließt sich die erkennende Kammer insoweit der überzeugenden Auffassung des BAG (Urteil v. 26.8.2021 – 8 AZR 253/20) an. Unabhängig von der Frage, ob über die bloße Rechtsverletzung hinaus ein weiterer immaterieller Schaden dargelegt werden muss oder nicht, hat der Kl. jedenfalls vorliegend durch die unzureichende und deutlich verspätete Auskunft der Bekl. einen Kontrollverlust erlitten, der als weiterer immaterieller Schaden zu qualifizieren ist und insofern einen Schaden iSv Art. 82 Abs. 1 DS-GVO darstellt. Indem die Bekl. die Vorgaben aus Art. 15 iVm Art. 12 DS-GVO verletzt hat, hat sie das Auskunftsrecht des Kl. — das zentrale Betroffenenrecht — beeinträchtigt. Verletzt ist zugleich ein europäisches Grundrecht des Kl.; Art. 8 Abs. 2 S. 2 GRCh gewährleistet das Auskunftsrecht ausdrücklich. Durch die monatelang verspätete, dann unzureichende Auskunft war der Kl. im Ungewissen und ihm die Prüfung verwehrt, dann nur eingeschränkt möglich, ob und wie die Bekl. seine personenbezogenen Daten verarbeitet. Die Schwere des immateriellen Schadens ist für die Begründung der Haftung nach Art. 82 Abs. 1 DS-GVO irrelevant und wirkt sich nur noch bei der Höhe des Anspruchs aus. Es kommt also entgegen der Ansicht der Bekl. auf anspruchsbegründender Ebene nicht darauf an, ob eine gewisse Erheblichkeit gegeben ist. Insofern beruft sich der Kl. zurecht auf den Beschluss des BVerfG vom 14.1.2021 (1 BvR 2853/19) in dem das BVerfG ausführt, dass das Merkmal der Erheblichkeit weder unmittelbar in der DS-GVO als Voraussetzung aufgeführt, noch vom EuGH verwendet wird. Zum Ersatz dieses immateriellen Schadens hält die Kammer einen Betrag in Höhe von 10.000 EUR für geboten: Die betroffene Person soll einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten. Verstöße müssen effektiv sanktioniert werden, damit die DS-GVO wirken kann, was vor allem durch Schadensersatz in abschreckender Höhe erreicht wird. Gerichte können sich bei der Bemessung des immateriellen Schadensersatzes auch an Art. 83 Abs. 2 DS-GVO orientieren, sodass als Zumessungskriterien ua Art, Schwere, Dauer des Verstoßes, Grad des Verschuldens, Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens, frühere einschlägige Verstöße sowie die Kategorien der betroffenen personenbezogenen Daten betrachtet werden können. Die Mitgliedstaaten — auch die erkennende Kammer – sind nach dem Gedanken des Art. 4 Abs. 3 EUV verpflichtet, der DS-GVO zur Wirkung zu verhelfen. Diesen Grundsätzen entsprechend muss die Bekl. einen Schadensersatz iHv insgesamt 10.000 EUR zahlen. Dabei hat die Kammer berücksichtigt, dass der europäische Verordnungsgeber das verletzte Recht als bedeutsam einordnet, wie sich neben Art. 8 Abs. 2 S. 2 GRCh auch an der Zuordnung der Art. 12 ff. DS-GVO zu dem Katalog des § 83 Abs. 5 BDSG zeigt. Es handelt sich eben nicht nur um ein einfaches Arbeitspapier. Weiter hielt der Verstoß einige Monate an, in denen der Kl. über die Datenverarbeitung durch die Bekl. im Ungewissen war. Außerdem sind die Anforderungen an die zu erteilende Auskunft nicht nur zeitlich, sondern auch inhaltlich verletzt. Überdies war der nach Vortrag des Kl. beträchtliche Umsatz der Bekl. zu berücksichtigen. Da der Schadensersatz eine angemessene Wirkung erzielen soll, hängt dessen Höhe nicht nur vom eingetretenen immateriellen Schaden, sondern auch von dem nach Art. 4 Nr. 7 DS-GVO Verantwortlichen und dessen Finanzkraft ab. Mit anderen Worten: Die Verletzung der Auskunftspflicht aus Art. 15 DS-GVO durch einen finanzschwächeren Verantwortlichen würde zu geringerem Schadensersatz führen. Besonders schwer wog nach Auffassung der Kammer bei der Höhe der Geldentschädigung aber das vorsätzliche Verhalten der Bekl.: Nach Überzeugung der Kammer erteilte die Bekl. die begehrte bewusst und gewollt sowohl verspätet als auch unzureichend und intransparent. Es wäre für die Bekl. zunächst ein Leichtes gewesen, über den Zeitpunkt der Auskunftserteilung mit dem Kl. in Kommunikation zu treten. Denn der Kl. hatte der Bekl. eine gut zweiwöchige Frist zur Auskunftserteilung gesetzt – was angesichts der Rechtsprechung des BAG zur Wochenfrist im Rahmen einer „unverzüglichen“ Auskunftserteilung durchaus als großzügig zu bewerten ist. Die Bekl. beantwortete das Auskunftsgesuch des Kl. v. 1.10.2022 aber nicht innerhalb dieser Frist und bat auch nicht um Verlängerung derselben. Dies wäre aber angezeigt gewesen, wenn die von der Bekl. vorgetragene eingehende Prüfung des Auskunftsverlangens absehbar war. Allein dieser Umstand zeigt bereits, dass die Bekl. vorsätzlich gegen den Beschleunigungsgrundsatz der DS-GVO verstoßen hat. Dasselbe vorsätzliche Verhalten hat die Kammer bei den inhaltlichen Verstößen der Bekl. gegen die DS-GVO festgestellt: Aufgrund des Schreibens der Bekl. ist die Kammer zu der Überzeugung gelangt, dass die Bekl. dem Kl. ein berechtigtes Interesse an der Auskunftserteilung absprach und daher meinte, inhaltlich nicht entsprechend der Regeln der DS-GVO antworten zu müssen. Denn wie sollen Antwortsätze wie folgende verstanden werden: „In der Regel sind diese Betroffenen (gemeint sind ehemalige Mitarbeiter) nicht an den konkreten Empfängern interessiert. Insoweit bitten wir Sie Ihr Auskunftsersuchen zu spezifizieren und die Kategorien anzugeben, für die Sie die Information über den konkreten Empfänger benötigen. … Soweit Sie spezifizieren wollen, welcher Empfänger der Daten für Sie von Interesse ist und einen Grund angeben, weshalb Sie bereits archivierte Unterlagen (z. B. Arbeitsvertrag) benötigen, stehen wir gerne zur Verfügung.“ Die Bekl. meint offensichtlich, dass nicht etwa sie zur umfassenden und transparenten Information verpflichtet ist, sondern dass erst einmal der Kl. konkret begründen müsse, wie seine Interessenlage ist und welche Informationen und Empfänger seiner Daten ihn aus welchem Grund besonders interessieren. Dies zeigt sich auch im Verlauf des Verfahrens, während dessen die Bekl. sich pauschal auf rechtsmissbräuchliches Verhalten des Kl. beruft und ihm anscheinend seine Rechte aus der DS-GVO absprechen möchte. Dabei verkennt die Bekl. völlig, dass sie fremde Daten, nämlich die des Kl. als rechtmäßiger Inhaber dieser Daten, verarbeitet und speichert und daher die Regeln der DS-GVO einhalten muss. Mit anderen Worten: Es sind nicht ihre Daten, die sie verarbeitet und speichert, und daher ist sie demjenigen, dessen Daten sie verarbeitet und speichert, Rechenschaft schuldig iRd DS-GVO. Dass der Kl. mehr Interesse an seinen Daten hat als andere ehemalige Mitarbeiter, spielt für die Rechte des Kl. keine Rolle. Es bleibt jedem Dateninhaber selbst überlassen, wieviel Kontrolle er über seine Daten ausüben möchte. Das liegt nicht im Entscheidungsspielraum der Bekl. Wenig hilfreich ist in diesem Zusammenhang auch der mehrfache Hinweis der Bekl. darauf, dass die Parteien lediglich einige Tage in einem Arbeitsverhältnis verbunden waren und dass dieses kurze Arbeitsverhältnis bereits seit Jahren beendet sei. Die Bekl. scheint der Auffassung zu sein, dass der Kl. besonders wenig Anspruch auf beschleunigte und umfassende Auskunftserteilung habe, da ja schließlich das sehr kurze Arbeitsverhältnis bereits lange beendet sei. Nach Auffassung der Kammer ist das Gegenteil der Fall: Denn obwohl die Parteien nur sehr kurz und vor mehreren Jahren in einem Vertragsverhältnis verbunden waren, verarbeitet die Bekl. noch immer eine nicht unerhebliche Anzahl relevanter personenbezogener Daten des Kl. wie Bankverbindung, Adresse, Sozialversicherungsnummer etc. Warum sollte der Kl. ohne Kontrolle einfach so darauf vertrauen müssen, dass die Bekl. die personenbezogenen Daten verantwortungsvoll und iSd DS-GVO verarbeitet, obwohl die Parteien innerhalb des zeitlich kurz bemessenen Arbeitsverhältnisses kaum ein gegenseitiges Vertrauen in die Redlichkeit des jeweils anderen aufbauen konnten. Mit anderen Worten: Warum sollte eine kurze Vertragsbeziehung das Interesse des Vertragspartners an der ordnungsgemäßen Verarbeitung und Löschung seiner Daten mindern? Umgekehrt wäre die Argumentation stringent: Je länger das Vertragsverhältnis beendet ist, desto größer ist das berechtigte Interesse des Dateninhabers, dass der Verwender der Daten diese (endlich) löscht. Jedenfalls führt die Kürze der Vertragsbeziehung und der in der Vergangenheit liegende Zeitpunkt derselben auf keinen Fall zu einer Minderung des Schadenersatzanspruchs des Kl. Unter Berücksichtigung all dessen hat die Kammer für die beiden inhaltlichen Verstöße gegen Art. 15 Abs. 1 DS-GVO jeweils 2500 EUR Entschädigung angesetzt und für die vorsätzliche verspätete Auskunft 5000 EUR.

ArbG Oldenburg Urt. v. 9.2.2023 – 3 Ca 150/21 = ZD 2023, 704

10.000 EUR Der Kl. kann von der Bekl. immateriellen Schadensersatz iHv insgesamt 10.000 EUR für den Zeitraum 1.6.2021 – 31.1.2023 gem. Art. 82 Abs. 1 DS-GVO verlangen. Die Bekl. kam diesem Auskunftsverlagen entgegen der sie treffenden Verpflichtung nicht nach. Auf das Auskunftsersuchen des Kl. ist die Bekl. erstmals durch Übersendung des Anlagenkonvoluts am 5.2.2023 sowie in den nachfolgenden Schriftsätzen v. 6.2. und 7.2.2023 eingegangen. Die Bekl. hat damit nicht die zur Erfüllung der Auskunftsansprüche sich aus Art. 12 Abs. 3 S. 1 DS-GVO ergebende Monatsfrist gewahrt. Der Klägervertreter hätte mit einer Erfüllung der Auskunftsansprüche gem. Art. 12 Abs. 3 S. 1 DS-GVO bis zum 19.5.2021 rechnen dürfen mit der Folge, dass immaterielle Schadensersatzanspräche ab diesem Zeitpunkt entstehen könnten. Der Kl. macht immateriellen Schadensersatz iHv 500 EUR für jeden Monat wegen der Nichterfüllung seines auf Art. 15 Abs. 1 Hs. 2, Abs. 2 DS-GVO gestützten Auskunftsverlangens geltend ohne näher darzulegen, worin genau der ihm entstandene immaterielle Schaden iSv Art. 82 Abs. 1 DS-GVO liegen soll. Nach Auffassung des Senats führt demnach bereits die Verletzung der DS-GVO selbst zu einem auszugleichenden immateriellen Schaden. Das BAG hat sich im Nachgang zu dem genannten Vorabentscheidungsersuchen in seiner Entscheidung v. 5.5.2022 (2 AZR 363/21) dahingehend geäußert, dass zugunsten der Kl. unterstellt werden kann, dass dem Anspruch nach Art. 82 Abs. 1 DS-GVO Präventionscharakter und eine Abschreckungsfunktion zukomme. Die Kammer hält dies für überzeugend und schließt sich den Ausführungen des BAG an. Zwar ist das BAG in der Entscheidung v. 5.5.2022 davon ausgegangen, dass die vom Berufungsgericht mit 1.000 EUR festgesetzte Schadenshöhe mit 1.000 EUR hinreichende abschreckende Wirkung habe. Das BAG hat dies in Randnummer 20 jedoch mit der relativ geringen Bedeutung der Beeinträchtigung der Kl. durch die nicht vollständige Erfüllung ihres Auskunftsanspruchs begründet, da es der Kl. maßgeblich um Arbeitsaufzeichnungen gegangen sei. Der Kl. sei es maßgeblich nicht um Auskunft über ihre übrigen bei der Bekl. gespeicherten personenbezogenen Daten gegangen. Letzteres hat jedoch der Kl. ggü. der Bekl. geltend gemacht. Der Kl. verlangt Auskunft über sämtliche seiner bei der Bekl. verarbeiteten personenbezogenen Daten sowie Auskunft zu den sich aus Art. 15 Abs. 1 Hs. 2, Abs. 2 DS-GVO ergebenden Informationen. Das Auskunftsinteresse des Kl. übersteigt dasjenige der Kl. in dem dem BAG zur Beurteilung unterbreiteten Sachverhalt in bedeutendem Maße, weshalb die Kammer Schadensersatz iHv insgesamt 1.000 EUR im Hinblick auf die erforderliche Abschreckungsfunktion des Schadensersatzanspruchs nach Art. 82 Abs. 1 DS-GVO für deutlich zu gering erachtet hat. Bei der Bemessung der Höhe des Schadensersatzes hat die Kammer berücksichtigt, dass die Bekl. erstmals durch Übersendung des Anlagenkonvolutes am 5.2.2023 den Versuch unternommen hat, ihren Auskunftsverpflichtungen nach Art. 15 Abs. 1 Hs. 2, Abs. 2 DS-GVO nachzukommen. Jedenfalls bis zu diesem Zeitpunkt hat die Bekl. über ganze 20 Monate hinweg die sie treffende Auskunftspflicht nicht erfüllt, weshalb die Kammer den vom Kl. in Ansatz gebrachten Schaden iHv 500 EUR pro Monat für nicht unangemessen erachtet hat.

ArbG Dresden Urt. v. 11.1.2023 – 4 Ca 688/22 = ZD 2023, 496

2.500 EUR Die Bekl. ist zu verurteilen, an die Kl. eine Entschädigung iHv 2.500 EUR zu zahlen. Gem. Art. 12 Abs. 3 DS-GVO stellt der Verantwortliche der betroffenen Person Informationen über die auf Antrag gem. den Artikeln 15 bis 22 ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrages zur Verfügung. Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist. Die Kl. hat ihr Auskunftsersuchen mit Schreiben v. 17.3.2022 gestellt. Die 1-Monats-Frist wäre folglich am 18.4.2022 abgelaufen. Mit Schriftsatz v. 19.4.2022 hat die Kl. ihr Auskunftsverlangen im Klagewege geltend gemacht. Hierauf hat die Bekl. erstmals mit Schriftsatz v. 16.6.2022 reagiert und in Aussicht gestellt, dass Auskunft erteilt werde. Sodann hat die Bekl. mit Schreiben v. 28.6.2022 eine Auskunft erteilt, die die Kl. jedoch nicht für vollständig hält. Hieraus ergibt sich der Tatbestand der nicht rechtzeitigen und nicht vollständigen Auskunftserteilung, welcher einen Schadensersatzanspruch iSv Art. 82 DS-GVO zur Folge hat. Gem. Absatz 1 des Art. 82 hat jede Person, die wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Gem. Art. 83 Abs. 2 und 5 lit. b ist eine Geldbuße je nach den Umständen des Einzelfalles nach den Kriterien der Buchstaben a bis k des Absatzes 2 festzulegen, wenn die Rechte der betroffenen Person gem. den Art. 12 bis 22 verletzt wurden. Das Gericht hält eine Geldbuße iHv 2.500 EUR für angemessen. Gem. Art. 83 Abs. 1 soll die Geldbuße in jedem Einzelfall wirksam, verhältnismäßig und abschreckend sein. Das Gericht hält deshalb einen Betrag von 1.000 EUR für gerechtfertigt, nach dem die Bekl. ohne rechtfertigende Gründe die Auskunft deutlich verfristet erteilt hat und einen weiteren Betrag iHv 1.500 EUR für berechtigt, nachdem die erteilte Auskunft unvollständig war.

Finanzgerichte

 

NEU BFH – IX R 11/23

0 EUR Unter welchen Voraussetzungen und in welchem Umfang gewährt Art. 82 der DS-GVO einen Anspruch auf Ersatz von (immateriellen) Schäden?

NEU FG Berlin-Brandenburg Urt. v. 29.3.2023 – 16 K 16036/22

0 EUR Da hinsichtlich des begehrten Schadensersatzes iHv 50.000 EUR verschiedene Begründungen geliefert werden, ist die Klage auch insoweit unzulässig. Die Kl. begründet ihren Schadensersatzanspruch iHv 50.000 EUR aus der Falschauskunft und aus der Verwertung der Patientendaten, aus der staatrechtswidrigen Tatprovokation des Bekl. und verschiedenen anderen im Antrag genannten Gesichtspunkten. Wenn wegen verschiedener schädigender Ereignisse Schadensersatz verlangt wird, handelt es sich um verschiedene Streitgegenstände. Soweit die Kl. vorgetragen hat, dass der Gegenstand des Klagebegehrens die Verletzung des Datenschutzes aus der DS-GVO und der AO unter allen Gesichtspunkten der DS-GVO sei, kann auch darin kein zulässiger Klageantrag gesehen werden, denn der diesbezügliche Vortrag ist vollkommen unsubstantiiert und die Grenzen der Entscheidungsbefugnis des Gerichts sind nicht klar. Im Ergebnis beruft sich die Kl. auf eine allgemeine Rechtswidrigkeit des Handelns des Bekl.

NEU FG Berlin-Brandenburg Urt. v. 9.3.2023 – 16 K 16155/21 = ZD 2023, 705

0 EUR Der Finanzrechtsweg ist für den Schadenersatzanspruch aus Art. 82 DS-GVO gem. § 33 Abs. 1 Nr. 4 FGO iVm § 32i Abs. 2 S. 1 AO eröffnet. Eine auf Schmerzensgeld gerichtete Klage ist als allgemeine Leistungsklage iSv § 40 Abs. 1, 3. Fall FGO statthaft. Bedenken bestehen, ob der Gegenstand des Klagebegehrens hinreichend bezeichnet ist. Es könnte unklar sein, wegen was genau Schmerzensgeld verlangt wird (schädigendes Ereignis), worin der Schaden bestehen soll und ob ein Kausalzusammenhang zwischen schädigendem Ereignis und Schaden besteht. Es könnte weiter unklar sein, welches Rechtsgut wie beeinträchtigt wurde. Im Ergebnis hält der Senat die Klage für gerade noch zulässig, da sich aus dem schriftsätzlichen Vorbringen des Kl. und seinem Vortrag in der mündlichen Verhandlung jedenfalls in grob umrissenen Zügen ergibt, was der Kl. begehrt und worauf er sein Begehren stützt. Dem Kl. steht mangels Schadens kein Anspruch aus Art. 82 DS-GVO gegen den Bekl. auf Ersatz eines -materiellen oder immateriellen- Schadens wegen Verstoßes gegen die DS-GVO zu. Die Frage, ob bereits der Datenschutzverstoß als solcher für das Entstehen eines Schadenersatzanspruchs ausreicht oder es darüber hinaus der Darlegung und des Nachweises eines konkreten (auch: immateriellen) Schadens bedarf, ist in Rspr. und Lit. umstritten. Der Senat folgt der Auffassung, wonach über den festgestellten Verstoß gegen die Vorschriften des DS-GVO hinaus auch der Nachweis eines konkreten (immateriellen) Schadens Voraussetzung für eine Entschädigung in Geld ist. Nach Maßgabe dieser Grundsätze hat der Kl. das Vorliegen eines konkreten – materiellen oder immateriellen – Schadens nicht zur Überzeugung des Senats dargetan.

NEU FG Berlin-Brandenburg Urt. v. 9.3.2023 – 16 K 16034/22

0 EUR Die Kl. hat gegen den Bekl. mangels Vorliegens eines Schadens keinen Anspruch auf Schadensersatz aus Art. 82 Abs. 1 DS-GVO. Die Frage, ob bereits der Datenschutzverstoß als solcher für das Entstehen eines Schadenersatzanspruchs ausreicht oder es darüber hinaus der Darlegung und des Nachweises eines konkreten (auch: immateriellen) Schadens bedarf, ist in Rspr. und Lit. umstritten. Der Senat folgt der Auffassung, wonach über den festgestellten Verstoß gegen die Vorschriften des DS-GVO hinaus auch der Nachweis eines konkreten (immateriellen) Schadens Voraussetzung für eine Entschädigung in Geld ist. In der bloßen Möglichkeit des Bekanntwerdens einer Telefonnummer vermag der Senat keinen Schaden zu erkennen. Auch soweit die Kl. in der mündlichen Verhandlung durch ihren Vertreter hat vortragen lassen, dass ihr ein zivilrechtlicher Ersatzanspruch drohe, würde dieser jedenfalls ebenfalls einen Schaden voraussetzen. In dem bloßen Bekanntwerden einer Mobilfunktelefonnummer vermag das Gericht jedoch nicht einmal einen Bagatellschaden zu erkennen. Hinzu kommt, dass der Vortrag in der mündlichen Verhandlung, dass es sich um eine der Geheimhaltung unterliegenden Nummer handeln würde, ohne jede Glaubhaftmachung oder gar Beweis geblieben ist. Es ist darüber hinaus nicht einmal ansatzweise dargelegt worden, wie diese Nummer, die doch der Geheimhaltung unterliegen sollte, in die Aufzeichnungen der Kl. geraten konnte. Die entsprechende Information müsste also schon vorher durch den Nutzer der entsprechenden Telefonnummer freiwillig und dann natürlich unzulässig bekannt gegeben worden sein. Alternativ denkbar wäre, dass B…, der auch vorliegend für die Kl. auftritt, unter Nutzung dieser Nummer bei der Bekl. angerufen hat, was dann ebenfalls unzulässig gewesen wäre und bedeuten würde, dass er selbst freiwillig und unzulässig seine angebliche Geheimnummer offenbart hätte. Auch aus dem übrigen Akteninhalt vermag der Senat einen ersatzfähigen -materiellen oder immateriellen- Schaden nicht zu erkennen.

NEU FG Berlin-Brandenburg Urt. v. 1.3.2023 – 16 K 16150/21 = ZD 2023, 706

0 EUR Der Finanzrechtsweg ist für den Schadenersatzanspruch aus Art. 82 DS-GVO gem. § 33 Abs. 1 Nr. 4 FGO iVm § 32i Abs. 2 S. 1 AO eröffnet. Die Klage ist nicht begründet, da der Kl. gegen den Bekl. keinen Anspruch auf Schmerzensgeld aus Art. 82 Abs. 1 DS-GVO hat. Dem Kl. steht kein Anspruch aus Art. 82 DS-GVO gegen den Bekl. auf Ersatz des von ihm geltend gemachten immateriellen Schadens (Schmerzensgeld) wegen verzögerter oder unzureichender Erfüllung der Auskunftspflicht nach Art. 15 DS-GVO zu. Im Streitfall fehlt es bereits an einem Verstoß gegen die DS-GVO durch den Bekl. als Verantwortlichen iSv Art. 4 Nr. 7 DS-GVO. Denn der Kl. hat keinen Anspruch auf Zurverfügungstellung von Kopien personenbezogener Daten in Gestalt von (elektronischen) Doppeln ganzer Akten durch das beklagte Finanzamt. Selbst wenn in dem Verhalten des Bekl. ein Verstoß gegen die Auskunftspflicht nach Art. 15 DS-GVO zu sehen sein sollte, liegen nach Überzeugung des Senats die Voraussetzungen für einen Geldentschädigungsanspruch (Schmerzensgeld) in Bezug auf einen dem Kl. zugefügten immateriellen Schaden nicht vor, da es an der Darlegung des Eintritts eines Schadens bei dem Kl. fehlt. Die Frage, ob bereits der Datenschutzverstoß als solcher für das Entstehen eines Schadensersatzanspruchs ausreicht oder es darüber hinaus der Darlegung und des Nachweises eines konkreten (auch: immateriellen) Schadens bedarf, ist in Rspr. und Lit. umstritten. Der Senat folgt der Auffassung, wonach über den festgestellten Verstoß gegen die Vorschriften des DS-GVO hinaus auch der Nachweis eines konkreten (immateriellen) Schadens Voraussetzung für eine Entschädigung in Geld ist. Hierfür spricht zunächst bereits der Wortlaut von Art. 82 Abs. 1 DS-GVO, der über den Verstoß hinaus ausdrücklich die Entstehung eins Schadens („…Schaden entstanden ist“) voraussetzt. Den vom Kl. benannte immaterielle Schaden auf Grund vermeintlicher Ungewissheit über die Verarbeitung der personenbezogenen Daten und eines daher damit einhergehenden Kontrollverlustes auf Seiten des Kl. vermag der Senat nicht zu erkennen. Selbst wenn ein solcher vorläge, begründete dieser keinen ersatzfähigen – immateriellen – Schaden.

Verwaltungsgerichte

 

NEU VG Köln Urt. v. 23.2.2023 – 13 K 278/21

1.000 EUR Eine Zuständigkeit der Verwaltungsgerichte folgt auch nicht aus Art. 82 Abs. 6 DS-GVO iVm Art. 79 Abs. 2 DS-GVO. Art. 82 Abs. 6 DS-GVO verweist hinsichtlich der Zuständigkeit auf Art. 79 Abs. 2 DS-GVO. Die Zuständigkeit der Verwaltungsgerichte folgt auch nicht aus dem Umstand, dass diese für Klagen nach Art. 79 Abs. 1 DS-GVO betreffend behördliche Verstöße gegen die DS-GVO gem. § 40 Abs. 1 S. 1 VwGO als öffentlich- rechtliche Streitigkeit (innerstaatlich) zuständig sind. Die dazu vertretene Ansicht, die als Konsequenz des Art. 82 Abs. 6 DS-GVO dieselbe (innerstaatliche) gerichtliche Zuständigkeit für das Recht auf Schadensersatz wie für alle anderen Ansprüche gegen den Verantwortlichen oder Auftragsverarbeiter sieht, überzeugt nicht. Der Verweis des Art. 82 Abs. 6 DS-GVO auf Art. 79 Abs. 2 DS-GVO erfasst nur die (der innerstaatlichen Zuständigkeit vorgelagerten) Frage der Zuständigkeit des Mitgliedstaates, die von Art. 79 Abs. 2 DS-GVO geregelt wird. Art. 82 Abs. 2, Art. 79 Abs. 2 DS-GVO bestimmen demnach allein welcher Mitgliedstaat zuständig ist und mithin welche nationale Rechtsordnung Anwendung findet. Dem Kl. steht ggü. der Bekl. ein Anspruch auf Zahlung eines Schmerzensgeldes iHv 1.000 EUR zu. Das Bundesverwaltungsamt hat bei der Verarbeitung der personenbezogenen Daten des Kl. jedenfalls gegen Art. 9 Abs. 1 DS-GVO verstoßen. Bei den Beihilfebelegen handelt es sich nicht nur um (einfache) personenbezogene Daten, sondern um besonders sensible Gesundheitsdaten iSv Art. 4 Nr. 15, Art. 9 Abs. 1 DS-GVO. Die Versendung dieser Gesundheitsdaten an einen Dritten war gesetzlich verboten. Ein Ausnahmegrund liegt nicht vor; insbesondere hat der Kl. in die Versendung nicht ausdrücklich eingewilligt, Art. 9 Abs. 2 lit. a DS-GVO. Wegen dieses Verstoßes ist dem Kl. ein immaterieller Schaden entstanden. Art. 82 Abs. 1 DS-GVO erfasst ausdrücklich nicht nur materielle, sondern auch immaterielle Schäden. Der Schadensbegriff ist – wie sich aus Erwägungsgrund 146 S. 3 DS-GVO ergibt – weit auszulegen. Zudem ist die Verarbeitung von personenbezogenen Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen oder religiöse oder weltanschauliche Überzeugungen hervorgehen, sowie von genetischen Daten, Gesundheitsdaten oder das Sexualleben oder strafrechtliche Verurteilungen betreffenden Daten als ein Schaden anzusehen. Die – zwischen den Beteiligten mittlerweile unstreitige – unzulässige Versendung der Beihilfebelege des Kl. an den Dritten begründet einen immateriellen Schaden. Das entspricht dem weiten Schadensverständnis des europäischen Gesetzgebers und deckt sich mit den Wertungen des Erwägungsgrunds 75 DS-GVO. Dass der Kl. diesen Schaden vorliegend nicht näher spezifiziert hat, ist unerheblich. Die ihm entstandenen Nachteile sind offenkundig und bedürfen keiner genaueren Erläuterung. So liegt ein immaterieller Schaden bereits darin begründet, dass der Dritte auf Grund des Fehlversands durch Bundesverwaltungsamt zwangsläufig einen Einblick in die Beihilfebelege des Kl. genommen hat. Diese Gesundheitsdaten erfahren nach Art. 9 Abs. 1 DS-GVO einen besonderen Schutz. Sie enthalten Informationen über die engere Privatsphäre bis zur Intimsphäre des Kl. Ihre Offenbarung gegenüber dem Dritten führt bei dem Betroffenen zu einem Verlust an Vertraulichkeit und einer Bloßstellung. Dass die Offenbarung gegenüber einer einzelnen, dem Kl. bislang unbekannten Person erfolgte, steht der Annahme einer Bloßstellung nicht entgegen. Hinzu kommt das der Kenntnisgabe immanente Risiko, dass der Dritte die sensiblen Daten zum Nachteil des Kl. weiterverbreitet. Die Bekl. hat auch nicht nachgewiesen, dass das Bundesverwaltungsamt für die Umstände des Schadenseintritt in keinerlei Hinsicht verantwortlich gewesen ist, Art. 82 Abs. 3 DS-GVO. Der Fehlversand der Beihilfebelege des Kl. beruhte vielmehr auf einem Büroversehen innerhalb der Poststelle des Bundesverwaltungsamtes und damit auf Fahrlässigkeit. Diese Fahrlässigkeit des handelnden Mitarbeiters muss sich die Bekl. zurechnen lassen. Inwiefern Art. 82 Abs. 1 DS- GVO darüber hinaus voraussetzt, dass der Schaden eine Bagatell- oder Erheblichkeitsschwelle überschreitet, bedarf vorliegend keiner Entscheidung. Denn der immaterielle Schaden des Kl. stellt sich als erheblich dar. Die Beeinträchtigungen des Kl. gehen über ein bloß ungutes Gefühl bzw. das diffuse Gefühl eines Kontrollverlustes hinaus. Sie ermöglichen einen weitreichenden Einblick in die Krankheitsbilder des Kl., welche aus den auf den Arztrechnungen festgehaltenen Leistungen und den Diagnosen, die sowohl den psychischen als auch den physischen Bereich betreffen, abgeleitet werden können. Das Wissen über die Gesundheitsdaten des Kl. könnte von dem Dritten leicht dazu genutzt werden, den Kl. in seinem beruflichen, gesellschaftlichen oder privaten Umfeld zu diskreditieren. Bezüglich der Höhe des immateriellen Schadens hält das Gericht einen Betrag von 1.000 EUR für angemessen, aber auch ausreichend. Die Ermittlung der Schadenshöhe obliegt dem Gericht – mangels einschlägiger unionsrechtlicher Vorschriften – nach § 173 S. 1 Hs. 1 VwGO iVm § 287 Abs. 1 S. 1 ZPO. Das Gericht hat über die Schadenshöhe unter Würdigung aller Umstände nach freier Überzeugung zu entscheiden. Für die Bemessung des immateriellen Schadensersatzes können die Kriterien des Art. 83 Abs. 2 DS-GVO herangezogen werden. Unter Abwägung der maßgeblichen Gesichtspunkte erachtet das Gericht eine Schadensersatzzahlung in Höhe von 1.000 EUR für angemessen und ausreichend. Dieser Geldbetrag schafft Ausgleich für den erlittenen immateriellen Schaden des Kl. Der Betrag berücksichtigt zu Lasten der Bekl., dass es sich bei den fehlversendeten Daten um besonders sensible Gesundheitsdaten des Klägers iSv Art. 9 Abs. 1 DS-GVO gehandelt hat. Insofern wiegt der Verstoß besonders schwer. Ein Mitverschulden fällt dem Kl. nicht zur Last. Allerdings ist mildernd zu berücksichtigen, dass die Daten auf Grund des Fehlversands lediglich einer einzelnen dem Kl. unbekannten Person offengelegt worden sind. Dafür, dass die Daten darüber hinaus weiteren Personen bekannt gemacht worden sind, ist nichts ersichtlich. Insofern ist davon auszugehen, dass sich das Risiko einer Weiterverbreitung der Gesundheitsdaten des Kl. durch den Dritten nicht verwirklicht hat. Soweit dieses Risiko nach der Rücksendung der Beihilfebelege noch fortbesteht, schätzt das Gericht es als äußerst gering ein. Das Bundesverwaltungsamt hat die Beihilfebelege unverzüglich von dem Dritten zurückverlangt und an den Kl. zurückgegeben, nachdem es den Fehlversand bemerkt hatte; dem entsprechenden Vorbringen der Bekl. ist der Kl. nicht entgegengetreten. Der Kl. hat dem Gericht auch keine persönlichen Folgen dargelegt, die über den Vertraulichkeitsverlust und die Bloßstellung hinausgehen, welche schon allgemein anzuerkennen sind. Insofern sind die Folgen des Verstoßes für den Kl. begrenzt. Die Genugtuungsfunktion des Schadensersatzanspruchs fällt demgegenüber in diesem Fall nicht ins Gewicht. Der Fehlversand der Beihilfebelege beruht lediglich auf einfacher Fahrlässigkeit; grobe Fahrlässigkeit oder gar Vorsatz erkennt das Gericht darin nicht. Auch eine Abschreckungsfunktion braucht der Schadensersatz in diesem Fall nicht zu erfüllen, sodass es nicht darauf ankommt, ob eine solche iRd Art. 82 Abs. 1 DS-GVO überhaupt anzuerkennen ist. Die ermittelte Schadenshöhe von 1.000 EUR stellt sich schließlich auch im vergleichenden Blick auf bislang von den Zivil- und Arbeitsgerichten nach Art. 82 Abs. 1 DS-GVO ausgeurteilte Schmerzensgelder als angemessen dar. Deutlich höhere Beträge von 2.000 EUR bis 5.000 EUR sind zuerkannt worden, wenn es sich um schwerwiegende vorsätzliche Verstöße gegen die DS-GVO handelte, wie die Sammlung und Übermittlung von Beschäftigtendaten in einer Klinik, den Identitätsdiebstahl oder das Ausspähen durch ein Detektivbüro. Deutlich niedrigere Beträge um die 500 EUR sind bislang zugesprochen worden, wenn der Verstoß weniger sensible Daten betraf, wie bei der fehlerhaften Versendung eines Kontoabschlusses. Die vom Kl. zusätzlich geltend gemachten vorgerichtlichen Rechtsanwaltskosten sind im tenorierten Umfang aus Art. 82 Abs. 1 DS-GVO iVm den zu § 249 Abs. 1 BGB entwickelten Grundsätzen begründet. Die Inanspruchnahme eines Rechtsanwalts war für den Kl. zur Durchsetzung seines Schadensersatzanspruchs aus Art. 82 Abs. 1 DS-GVO angesichts der schwierigen und unübersichtlichen Rechtslage erforderlich und zweckmäßig. Allerdings sind die vorgerichtlichen Rechtsanwaltskosten nicht auf Grund des Gegenstandswerts von 3.000 EUR zu berechnen. Dem Anspruch ist vielmehr der Wert zugrunde zu legen, der dem berechtigten Schadensersatzanspruch entspricht.

Sozialgerichte

 

BSG Beschl. v. 6.3.2023 – B 1 SF 1/22 R = ZD 2023, 623

0 EUR Für Schadenersatzansprüche nach der DS-GVO wegen datenschutzrechtlicher Verstöße im Rahmen eines der Sozialgerichtsbarkeit zugewiesenen Rechtsverhältnisses ist der Sozialrechtsweg eröffnet. Jedenfalls ist der Schadenersatzanspruch nach Art. 82 Abs. 1 DS-GVO kein Amtshaftungsanspruch, für den Art. 34 S. 3 GG den ordentlichen Rechtsweg garantiert. Nach Art. 82 Abs. 6 DS-GVO sind mit Gerichtsverfahren zur Inanspruchnahme des Rechts auf Schadensersatz die Gerichte zu befassen, die nach den in Art. 79 Abs. 2 DS-GVO genannten Rechtsvorschriften des Mitgliedstaats zuständig sind. Es kann dahinstehen, ob Art. 79 Abs. 2 DS-GVO auch den innerstaatlichen Rechtsweg dahingehend determiniert, dass eine Rechtswegspaltung verhindert werden soll oder es sich lediglich um eine Regelung der internationalen Zuständigkeit handelt. Denn Art. 34 S. 3 GG ist vorliegend von vornherein nicht einschlägig. Nach der erstgenannten Auffassung träte Art. 34 S. 3 GG sogar im Wege des Anwendungsvorrangs hinter Art. 82 Abs. 6 DS-GVO zurück. Der Amtshaftungsanspruch iSd § 839 Abs. 1 BGB ist von dem Schadenersatzanspruch aus Art. 82 Abs. 1 DS-GVO zu unterscheiden. Dabei kann dahinstehen, ob ein Verstoß gegen datenschutzrechtliche Vorschriften zugleich auch eine Amtspflichtverletzung darstellt. Jedenfalls tritt der Anspruch aus Art. 82 Abs. 1 DS-GVO als eigenständiger Anspruch zu einem etwaigen Amtshaftungsanspruch hinzu und wird nicht durch diesen verdrängt. Der Amtshaftungsanspruch nach § 839 Abs. 1 BGB iVm Art. 34 S. 1 GG und der Schadenersatzanspruch nach Art. 82 Abs. 1 DS-GVO können danach zwar in Anspruchskonkurrenz nebeneinandertreten, an der Zuständigkeit der Gerichte der Sozialgerichtsbarkeit für den Streit um Ansprüche aus Art. 82 Abs. 1 DS-GVO ändert dies aber nichts. Der Schadenersatzanspruch aus Art. 82 Abs. 1 DS-GVO ist schon deshalb kein Amtshaftungsanspruch iSd Art. 34 S. 1 und 3 GG, weil er sich nicht gegen einen Amtswalter richtet und sodann auf den Staat übergeleitet wird, sondern unmittelbar gegen den Verantwortlichen.

SG München Urt. v. 26.1.2023 – S 38 KA 72/22

0 EUR Der Schadensersatzanspruch richtet sich gegen den/die Verantwortlichen oder gegen den/die Auftragsverarbeiter (Art. 82 Abs. 12 DS-GVO). Wenn der Vertragszahnarzt als Verantwortlicher in Anspruch genommen wird, ist er seinerseits mit Einwendungen nicht abgeschnitten. So kann er sich nach Art. 82 Abs. 3 DS-GVO exkulpieren, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. Insofern kann er weder für einen Schaden haftbar gemacht werden, der nicht in seiner Sphäre entstanden ist, noch kann er für einen Schaden haftbar gemacht werden, der zwar in seiner Sphäre entstanden ist, den er aber bei bestimmungsgemäßem Anschluss an die TU, bestimmungsgemäßer Nutzung, ordentlicher Wartung und Beachtung der erforderlichen Datenschutzmaßnahmen (zum Beispiel Absicherung der Hard- und Software) nicht zu vertreten hat.

SG München Urt. v. 26.1.2023 – S 38 KA 190/20

0 EUR Wie SG München Urt. v. 26.1.2023 – S 38 KA 72/22.

 

Anzeigen:

ZD 4Wochen Testabonnement

beck-online DatenschutzR

Teilen:

Menü