CHB_RSW_Logo_mit_Welle_trans
Zeitschrift für Datenschutz | Banner

Übersicht über den Schadensersatzanspruch nach Art. 82 DS-GVO ab dem Jahr 2023

Kevin Leibold, LL. M., ist Rechtsanwalt; auf Twitter/X unter: @kleibold23.

ZD-Aktuell 2024, 01533   Hier findet sich eine von Kevin Leibold, LL. M., erstellte Übersicht über den Schadensersatzanspruch nach Art. 82 DS-GVO ab dem Jahr 2023 mit dem aktuellen Stand vom 27.1.2024.

Die Vielzahl der Gerichtsentscheidungen hat es erforderlich gemacht, den Inhalt der Entscheidungen auf ein notwendiges Maß zu reduzieren und sich auf die Verwendung von Stichworten zu beschränken. Die Stichworte sollen als Anhaltspunkt für weitere Recherchen zu der jeweiligen Entscheidung dienen.

Zur Übersicht über den Schadensersatzanspruch nach Art. 82 DS-GVO in den Jahren 2018 – 2022 vgl. ZD-Aktuell 2023, 01194; zur Übersicht über den Schadensersatzanspruch nach Art. 82 DS-GVO – im Jahr 2023 vgl. ZD-Aktuell 2023, 01193 und zur Übersicht über den Schadensersatzanspruch nach Art. 82 DS-GVO – im Jahr 2023 Update vgl. ZD-Aktuell 2023, 01426.

Gericht

Schadensumfang und Begründung

EuGH

NEU EuGH (3. Kammer) Urt. v. 25.1.2024 – C-687/21 – MediaMarktSaturn

1. Die Art. 52432 und 82 DS-GVO sind zusammen betrachtet dahin auszulegen, dass im Rahmen einer auf Art. 82 gestützten Schadensersatzklage der Umstand, dass Mitarbeiter des für die Verarbeitung Verantwortlichen irrtümlich ein Dokument mit personenbezogenen Daten an einen unbefugten Dritten weitergegeben haben, für sich genommen nicht ausreicht, um davon auszugehen, dass die technischen und organisatorischen Maßnahmen, die der für die betreffende Verarbeitung Verantwortliche getroffen hat, nicht „geeignet“ iSd Art. 24 und 32 waren.

2. Art. 82 Abs. 1 DS-GVO ist dahin auszulegen, dass der in dieser Bestimmung vorgesehene Schadensersatzanspruch, insbesondere im Fall eines immateriellen Schadens, eine Ausgleichsfunktion hat, da eine auf sie gestützte Entschädigung in Geld es ermöglichen soll, den konkret auf Grund des Verstoßes gegen die DS-GVO erlittenen Schaden vollständig auszugleichen, und keine Straffunktion erfüllt.

3. Art. 82 DS-GVO ist dahin auszulegen, dass er nicht verlangt, dass die Schwere des von dem für die Verarbeitung Verantwortlichen begangenen Verstoßes für die Zwecke des Ersatzes eines Schadens auf der Grundlage dieser Bestimmung berücksichtigt wird.

4. Art. 82 Abs. 1 DS-GVO ist dahin auszulegen, dass die Person, die auf Grund dieser Bestimmung Schadensersatz verlangt, nicht nur den Verstoß gegen Bestimmungen der DS-GVO nachweisen muss, sondern auch, dass ihr dadurch ein materieller oder immaterieller Schaden entstanden ist.

5. Art. 82 Abs. 1 DS-GVO ist dahin auszulegen, dass in einem Fall, in dem ein Dokument, das personenbezogene Daten enthält, an einen unbefugten Dritten weitergegeben wurde, der diese Daten erwiesenermaßen nicht zur Kenntnis genommen hat, nicht schon deshalb ein „immaterieller Schaden“ im Sinne dieser Bestimmung vorliegt, weil die betroffene Person befürchtet, dass im Anschluss an die Weitergabe, die es ermöglichte, vor der Rückgabe des Dokuments eine Kopie von ihm anzufertigen, in der Zukunft eine Weiterverbreitung oder gar ein Missbrauch ihrer Daten stattfindet.

NEU EuGH (3. Kammer) Urt. v. 21.12.2023 – C-667/21 = ZD 2024, 146 – Krankenversicherung Nordrhein

4. Art. 82 Abs. 1 DS-GVO ist dahin auszulegen, dass der in dieser Bestimmung vorgesehene Schadenersatzanspruch eine Ausgleichsfunktion hat, da eine auf diese Bestimmung gestützte Entschädigung in Geld ermöglichen soll, den konkret auf Grund des Verstoßes gegen diese Verordnung erlittenen Schaden vollständig zu ersetzen, und keine abschreckende oder Straffunktion erfüllt.

5. Art. 82 DS-GVO ist dahin auszulegen, dass zum einen die Haftung des Verantwortlichen vom Vorliegen eines ihm anzulastenden Verschuldens abhängt, das vermutet wird, wenn er nicht nachweist, dass die Handlung, die den Schaden verursacht hat, ihm nicht zurechenbar ist, und dass Art. 82 zum anderen nicht verlangt, dass der Grad dieses Verschuldens bei der Bemessung der Höhe des als Entschädigung für einen immateriellen Schaden auf der Grundlage dieser Bestimmung gewährten Schadenersatzes berücksichtigt wird.

NEU EuGH (3. Kammer) Urt. v. 14.12.2023 – C-456/22 – Gemeinde Ummendorf

Art. 82 Abs. 1 DS-GVO ist dahin auszulegen, dass er einer nationalen Rechtsvorschrift oder -praxis entgegensteht, die für einen durch einen Verstoß gegen diese Verordnung verursachten immateriellen Schaden eine „Bagatellgrenze“ vorsieht. Die betroffene Person muss den Nachweis erbringen, dass die Folgen dieses Verstoßes, die sie erlitten zu haben behauptet, ursächlich für einen Schaden waren, der sich von der bloßen Verletzung der Bestimmungen dieser Verordnung unterscheidet.

NEU EuGH (3. Kammer) Urt. v. 14.12.2023 – C-340/21 = ZD 2024, 150 mAnm Ligocki/Sosna- Natsionalna agentsia za prihodite

5. Art. 82 Abs. 3 DS-GVO ist dahin auszulegen, dass der Verantwortliche von seiner nach Art. 82 Abs. 1 und 2 dieser Verordnung bestehenden Pflicht zum Ersatz des einer Person entstandenen Schadens nicht allein deshalb befreit werden kann, weil dieser Schaden die Folge einer unbefugten Offenlegung von bzw. eines unbefugten Zugangs zu personenbezogenen Daten durch „Dritte“ iSv Art. 4 Nr. 10 dieser Verordnung ist, wobei der Verantwortliche dann nachweisen muss, dass er in keinerlei Hinsicht für den Umstand, durch den der betreffende Schaden eingetreten ist, verantwortlich ist.

6. Art. 82 Abs. 1 DS-GVO ist dahin auszulegen, dass allein der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen diese Verordnung befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, einen „immateriellen Schaden“ im Sinne dieser Bestimmung darstellen kann.

EuGH (3. Kammer) Urt. v. 4.5.2023 – C-300/21 –= ZD 2023, 34 (Ls.) mAnm Schumacher/Stegemann – UI/Österreichische Post AG

0 EUR Art. 82 Abs. 1 DS-GVO ist dahin auszulegen, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadenersatzanspruch zu begründen. Art. 82 Abs. 1 DS-GVO ist dahin auszulegen, dass er einer nationalen Regelung oder Praxis entgegensteht, die den Ersatz eines immateriellen Schadens iSd Bestimmung davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat. Art. 82 DS-GVO ist dahin auszulegen, dass die nationalen Gerichte bei der Festsetzung der Höhe des Schadenersatzes, der auf Grund des in diesem Artikel verankerten Schadenersatzanspruchs geschuldet wird, die innerstaatlichen Vorschriften der einzelnen Mitgliedstaaten über den Umfang der finanziellen Entschädigung anzuwenden haben, sofern die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität beachtet werden.

BGH

NEU BGH Beschl. v. 12.12.2023 – VI ZR 277/22

0 EUR So hat sich der Senat auch mit dem Vorbringen in der Nichtzulassungsbeschwerdebegründung befasst, das Berufungsgericht sei von einer zu hohen Schwelle in Bezug auf die Darlegungslast bei immateriellen Schäden nach Art. 82 DS-GVO ausgegangen, ohne sich mit dem diesbezüglichen Meinungsstreit sowie den beim EuGH hierzu anhängigen Vorabentscheidungsverfahren auseinanderzusetzen und das Berufungsverfahren ggf. auszusetzen. Die Kl. hat insoweit die Zulassungsgründe der Verletzung des Anspruchs auf Gewährung rechtlichen Gehörs sowie der Rechtsfortbildung geltend gemacht und die Auffassung vertreten, der Senat müsse ggf. selbst die Frage dem EuGH zur Vorabentscheidung vorlegen oder das Verfahren bis zur Entscheidung des EuGH in anderen Vorabentscheidungsverfahren aussetzen. Der Senat hat das Urteil des EuGH vom 4. Mai 2023 – C-300/21 abgewartet und in seine Entscheidung über die Nichtzulassungsbeschwerde einbezogen. Nach dem genannten Urteil ist Art. 82 Abs. 1 DS-GVO dahin auszulegen, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadenersatzanspruch zu begründen, sondern dass darüber hinaus der Eintritt eines Schadens erforderlich ist. Weiter hat der EuGH ausgeführt, dass Art. 82 Abs. 1 DS-GVO einer nationalen Regelung oder Praxis entgegensteht, die den Ersatz eines immateriellen Schadens iSd Bestimmung davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat. Allerdings hat der Gerichtshof auch erklärt, dass die Ablehnung einer Erheblichkeitsschwelle nicht bedeutet, dass eine Person, die von einem Verstoß gegen die DS-GVO betroffen ist, der für sie negative Folgen gehabt hat, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden iSv Art. 82 dieser Verordnung darstellen. Auch wenn damit noch nicht alle Fragen geklärt sind, wie etwa die Frage, ob negative Gefühle, wie z. B. Ärger, Unmut, Unzufriedenheit, Sorgen und Ängste, bereits einen immateriellen Schaden iSd Norm darstellen, so steht doch inzwischen fest, dass der Betroffene, der Ersatz des immateriellen Schadens verlangt, jedenfalls geltend machen (und ggf. nachweisen) muss, dass der Verstoß gegen die DSGVO negative Folgen für ihn gehabt hat, die einen immateriellen Schaden darstellen könnten. Diese negativen Folgen muss er also zumindest benennen, wie dies etwa der Kl. in dem dem Vorlagebeschluss des Senats vom 26. September 2023 – VI ZR 97/22 zugrundeliegenden Verfahren getan hat. Nach diesem Maßstab war es zulassungsrechtlich nicht zu beanstanden, dass das Berufungsgericht Vortrag der Kl. zu negativen Folgen, die einen immateriellen Schaden darstellen könnten, in den von ihm insoweit erwähnten Schriftsatz oder in den Erklärungen in der mündlichen Verhandlung nicht gesehen hat. Die Kl. hat ihre Klageerweiterung auf Schadensersatz "in angemessener Höhe, jedoch nicht unter 50.000 EUR", der Sache nach mit materiellen – wirtschaftlichen – Nachteilen begründet, die mit entsprechenden wirtschaftlichen Vorteilen für die Bekl. korrespondiert haben sollen und die sie mangels Kenntnis der Mails, die auf dem streitgegenständlichen E-­Mail-Account eingegangen seien, nicht beziffern könne. Negative Folgen, die eventuell einen (vom EuGH noch nicht näher definierten) immateriellen Schaden begründen könnten, enthält weder der Schriftsatz noch sind sie aus dem Sitzungsprotokoll ersichtlich; jedenfalls hat die Nichtzulassungsbeschwerde nicht aufgezeigt, dass und an welcher Stelle diesbezüglicher Vortrag gehalten und vom Berufungsgericht übergangen worden sein soll. Der Vortrag zu negativen Folgen immaterieller Art erst in der Nichtzulassungsbeschwerdebegründung vermochte eine Gehörsverletzung seitens des Berufungsgerichts nicht zu begründen.

NEU BGH Beschl. v. 26.9.2023 – VI ZR 97/22 = ZD 2024, 80

0 EUR In seiner Entscheidung vom 4. Mai 2023 in der Rs. C-300/21 hat der EuGH ausgeführt, dass Art. 82 Abs. 1 DS-GVO dahin auszulegen ist, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadenersatzanspruch zu begründen, sondern darüber hinaus der Eintritt eines Schadens erforderlich ist. Er hat weiter ausgeführt, dass Art. 82 Abs. 1 DS-GVO einer nationalen Regelung oder Praxis entgegensteht, die den Ersatz eines immateriellen Schadens iSd Bestimmung davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat. Allerdings hat der EuGH auch erklärt, dass die Ablehnung einer Erheblichkeitsschwelle nicht bedeutet, dass eine Person, die von einem Verstoß gegen die DS-GVO betroffen ist, der für sie negative Folgen gehabt hat, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden iSv Art. 82 DS-GVO darstellen. Der EuGH hat zur Auslegung von Art. 82 DS-GVO darüber hinaus unter anderem auf die Erwägungsgründe 75 und 85 Bezug genommen. Darin wird der Begriff des Schadens konkretisiert durch einzeln aufgeführte Beispiele "oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person". Angesichts des im Streitfall vorliegenden Verstoßes gegen die DS-GVO und der von dem Betroffenen geltend gemachten Folgen, nämlich der Befürchtung der Weitergabe der Daten an in der gleichen Branche tätige Dritte, Kenntnis einer Person über Umstände, die der Diskretion unterliegen, Schmach wegen des Unterliegens in Gehaltsverhandlungen und der Kenntnis Dritter davon, stellt sich vor diesem Hintergrund die entscheidungserhebliche, über den Einzelfall hinaus bedeutsame und vom EuGH noch nicht geklärte Frage, ob Art. 82 Abs. 1 DS-GVO dahingehend auszulegen ist, dass derartige negative Gefühle, wie zB auch Ärger, Unmut, Unzufriedenheit, Sorge und Ängste vor weiteren Verstößen, Sorge vor einer Rufschädigung, die an sich Teil des allgemeinen Lebensrisikos und oft des täglichen Erlebens sind, bereits einen immateriellen Schaden iSd Norm darstellen. Weder Art. 82 DS-GVO noch die Erwägungsgründe zum Schadensersatz liefern eine eindeutige Antwort auf diese Frage. In seiner Entscheidung vom 4. Mai 2023 in der Rs. C-300/21 hat der EuGH ausgeführt, dass die DS-GVO keine Bestimmung enthält, die sich den Regeln für die Bemessung des Schadenersatzes widmet, auf den eine betroffene Person iSv Art. 4 Nr. 1 DS-GVO nach deren Art. 82 Anspruch hat, wenn ihr durch einen Verstoß gegen diese Verordnung ein Schaden entstanden ist. Daher seien die Ausgestaltung von Klageverfahren, die den Schutz der dem Einzelnen aus Art. 82 DS-GVO erwachsenden Rechte gewährleisten sollen, und insb. die Festlegung der Kriterien für die Ermittlung des Umfangs des in diesem Rahmen geschuldeten Schadenersatzes in Ermangelung einschlägiger unionsrechtlicher Vorschriften Aufgabe des Rechts des einzelnen Mitgliedstaats, wobei der Äquivalenz- und der Effektivitätsgrundsatz zu beachten seien. Was den Effektivitätsgrundsatz betrifft, hat der EuGH ausgeführt, dass es Sache der nationalen Gerichte ist, festzustellen, ob die im nationalen Recht vorgesehenen Modalitäten für die gerichtliche Festsetzung des Schadenersatzes, der auf Grund des in Art. 82 DS-GVO verankerten Schadenersatzanspruchs geschuldet wird, die Ausübung der durch das Unionsrecht und insb. durch diese Verordnung verliehenen Rechte nicht praktisch unmöglich machen oder übermäßig erschweren. Er hat in diesem Zusammenhang darauf hingewiesen, dass der sechste Satz des 146. Erwägungsgrundes der DS-GVO besagt, dass dieses Instrument einen "vollständigen und wirksamen Schadenersatz für den erlittenen Schaden" sicherstellen soll und in Anbetracht der Ausgleichsfunktion des in Art. 82 DS-GVO vorgesehenen Schadenersatzanspruchs eine auf diese Bestimmung gestützte finanzielle Entschädigung als "vollständig und wirksam" anzusehen ist, wenn sie es ermöglicht, den auf Grund des Verstoßes gegen diese Verordnung konkret erlittenen Schaden in vollem Umfang auszugleichen, ohne dass ein solcher vollumfänglicher Ausgleich die Verhängung von Strafschadenersatz erfordert. Damit erscheint aber noch nicht hinreichend geklärt, ob bei der Bemessung der Höhe des nach Art. 82 Abs. 1 DS-GVO zu ersetzenden immateriellen Schadens der Grad des dem Verstoß gegen die DS-GVO zugrundeliegenden Verschuldens als relevantes Kriterium herangezogen werden dar. Nach nationalem Recht ist, wenn das Gesetz eine billige Entschädigung in Geld für immaterielle Schäden vorsieht (Schmerzensgeld), bei der Bemessung der Entschädigung zu berücksichtigen, dass das Schmerzensgeld eine doppelte Funktion hat: Es soll dem Geschädigten einen angemessenen Ausgleich bieten für diejenigen Schäden, die nicht vermögensrechtlicher Art sind (Ausgleichsfunktion). Es soll aber zugleich dem Gedanken Rechnung tragen, dass der Schädiger dem Geschädigten für das, was er ihm angetan hat, Genugtuung schuldet (Genugtuungsfunktion, st. Rspr. zu § 253 BGB). Dabei steht zwar regelmäßig der Ausgleichsgedanke im Vordergrund. Da das Gesetz jedoch eine billige Entschädigung fordert, kann der Ausgleichszweck nicht allein maßgebend für das Ausmaß der Leistung sein. Das alleinige Abstellen auf den Ausgleichsgedanken ist unmöglich, weil sich immaterielle Schäden nicht und Ausgleichsmöglichkeiten nur beschränkt in Geld ausdrücken lassen. Die Genugtuungsfunktion bringt eine durch den Schadensfall hervorgerufene persönliche Beziehung zwischen Schädiger und Geschädigtem zum Ausdruck, die es aus der Natur der Sache heraus gebietet, alle Umstände des Falles in den Blick zu nehmen und, sofern sie dem einzelnen Schadensfall sein besonderes Gepräge geben, bei der Bestimmung der Leistung zu berücksichtigen. Zu diesen Umständen gehört auch der Grad des Verschuldens des Schädigers. Nach diesen Grundsätzen kommt nach Ansicht des Senats eine Berücksichtigung des Verschuldens bei der Bemessung der Höhe des nach Art. 82 Abs. 1 DS-GVO wegen eines erlittenen immateriellen Schadens zu leistenden Schadensersatzes unter Berücksichtigung des Effektivitätsgrundsatzes dann in Betracht, wenn diesem Schadensersatz auch eine Genugtuungsfunktion – die nach nationalem Rechtsverständnis nicht der Rechtfertigung eines Strafschadensersatzes dient – in vergleichbarer Weise wie dem Schmerzensgeld zukommt. Die Schlussanträge des Generalanwalts vom 6. Oktober 2022 in der Rs. C-300/21 deuten darauf hin, dass dies der Fall sein könnte. Allerdings hat der Generalanwalt in seinen Schlussanträgen vom 25. Mai 2023 in der Rs. C-667/21 seine Auffassung, dass der Grad des Verschuldens für die Bemessung der Höhe des nach Art. 82 Abs. 1 DS-GVO zu ersetzenden immateriellen Schadens nicht von Bedeutung ist, unter anderem damit begründet, dass der Schadensersatz "vollständig" sein müsse. Ist dem Kl. im Streitfall ein Unterlassungsanspruch auf unions- oder nationalrechtlicher Grundlage zuzusprechen, stellt sich die Frage, ob dieser Umstand bei der Bemessung der Höhe des immateriellen Schadensersatzes nach Art. 82 Abs. 1 DS-GVO – anspruchsmindernd – berücksichtigt werden kann. Nach dem nationalen Recht ist bei der Bemessung einer Geldentschädigung für ideelle Beeinträchtigungen bei der gebotenen Gesamtwürdigung auch ein erwirkter Unterlassungstitel zu berücksichtigen; der Titel und die damit verbundenen Vollstreckungsmöglichkeiten können den Geldentschädigungsanspruch beeinflussen und im Zweifel sogar ausschließen. Ob und ggf. inwieweit (nur Minderung oder auch völliger Ausschluss möglich?) diese Grundsätze bei Berücksichtigung des Effektivitätsgrundsatzes auf den Anspruch auf Ersatz immateriellen Schadens nach Art. 82 Abs. 1 DS-GVO übertragen werden können, erscheint fraglich und lässt sich anhand der bisherigen Rspr. des EuGH nicht eindeutig beantworten.

BGH Beschl. v. 9.1.2023 – VI ZR 365/22

0 EUR Die Kl. nimmt die beklagte Bundesrepublik Deutschland auf Schadensersatz in Anspruch. Das LG hat die Klage abgewiesen.

Oberlandesgerichte

NEU OLG Hamburg Urt. v. 10.1.2024 – 13 U 70/23

4.498,57 EUR Der Kl. hat gegen die Bekl. Anspruch auf Ersatz immateriellen Schadens gem. Art. 82 Abs. 1, Abs. 2 S. 1 DS-GVO iHv insgesamt 4.000 EUR. Die Bekl. hat als „Verantwortlicher" iSd. Art. 4 Nr. 7 DS-GVO gegen ihre Pflichten aus Art. 56 iVm Art. 4 Nr. 2 DS-GVO verstoßen, indem sie ihre Forderungen gegen den Kl. zweimal an die Schufa gemeldet hat, obwohl die Voraussetzungen hierfür nicht vorlagen. Zur Begründung wird auf die zutreffenden Ausführungen des Landgerichts Bezug genommen, welchen sich das Berufungsgericht vollen Umfangs anschließt. Hierdurch ist dem Kl. auch ein ersatzfähiger

immaterieller Schaden entstanden. Das Landgericht hat sorgfältig und überzeugend begründet, dass der Kl. durch die zweifache unberechtigte Meldung an die Schufa eine Beeinträchtigung seines sozialen Ansehens durch die

Darstellung als unzuverlässiger Schuldner hinnehmen musste. Der Kl. hat zudem belegt, dass sich aus der Auskunft der Schufa und der verschlechterten Einschätzung des Bonitätsrisikos konkrete negative Konsequenzen in Bezug auf die Gewährung eines Kredits sowie die Sperrung seiner Kreditkarte ergeben haben.

NEU OLG Hamm Beschl. v. 21.12.2023 – 7 U 137/23

0 EUR Mit Blick auf den vorliegend fehlenden kausalen immateriellen Schaden folgen die Ausführungen im Hinweisbeschluss des Senats der Rspr. des EuGH (Urt. v. 14.12.2023 – C-340/21). Danach hat der Kl. als Person, die von einem Verstoß gegen die DS-GVO betroffen ist, der für sie negative Folgen gehabt hat, nachzuweisen, dass diese Folgen einen immateriellen Schaden iSv Art. 82 DS-GVO darstellen. Dem folgend sieht der Senat somit den Kl. zutreffend in der Pflicht, den Indizienbeweis zum Eintritt eines kausalen immateriellen Schadens zu führen. Indem der Senat sich mit den vom Kl. dargelegten Indizien befasst und diese (hier als nicht den Eintritt eines kausalen immateriellen Schadens tragend) würdigt, setzt der Senat schlicht die weitere Vorgabe des EuGH um; denn danach ist das angerufene nationale Gericht, wenn sich eine Person auf die Befürchtung beruft, dass ihre personenbezogenen Daten in Zukunft auf Grund eines solchen Verstoßes missbräuchlich verwendet werden, gehalten zu prüfen, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann. Mit Blick auf das Tatbestandsmerkmal „Eintritt eines kausalen immateriellen Schadens“ iSd Art. 82 Abs. 1 DS-GVO bietet der vorliegende Einzelfall keinen Anhaltspunkt für die Annahme einer weiteren klärungsbedürftigen und klärungsfähigen Rechtsfrage; vielmehr ist die streitgegenständliche Rechtsfrage zur fehlenden Qualität der negativen Folge eines bloßen Kontrollverlusts als immaterieller Schaden durch die aufgezeigten aktuellen Entscheidungen des EuGH geklärt.

NEU OLG München Entscheidung v. 13.12.2023 – 31 U 1786/23e

0 EUR Eine Aussetzung des Verfahrens (analog) § 148 ZPO im Hinblick auf den Vorlagebeschluss des BGH vom 26.9.2023 im Verfahren mit dem Az. VI ZR 97/22 ist nicht veranlasst. Die dortige Vorlagefrage Ziffer 4 ist wie folgt formuliert: „Ist Art. 82 Abs. 1 DS-GVO dahingehend auszulegen, dass für die Annahme eines immateriellen Schadens im Sinne dieser Bestimmung bloße negative Gefühle wie zB Ärger, Unmut, Unzufriedenheit, Sorge und Angst, die an sich Teil des allgemeinen Lebensrisikos und oft des täglichen Erlebens sind, genügen? Oder ist für die Annahme eines Schadens ein über diese Gefühle hinausgehender Nachteil für die betroffene natürliche Person erforderlich?“ Diese Frage knüpft an die Entscheidung des EuGH vom 4.5.2023 in der Rechtssache C-300/21 an, in der der Gerichtshof ausgeführt hat, dass Art. 82 Abs. 1 DS-GVO dahin auszulegen sei, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreiche, um einen Schadenersatzanspruch zu begründen, sondern darüber hinaus der Eintritt eines konkreten Schadens erforderlich sei. Weiter hat der EuGH ausgeführt, dass Art. 82 Abs. 1 DS-GVO einer nationalen Regelung oder Praxis entgegenstehe, die den Ersatz eines immateriellen Schadens iSd Bestimmung davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat. Allerdings hat der Gerichtshof auch erklärt, dass die Ablehnung einer Erheblichkeitsschwelle nicht bedeute, dass eine Person, die von einem Verstoß gegen die DS-GVO betroffen ist, der für sie negative Folgen gehabt hat, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden iSv Art. 82 dieser Verordnung darstellen. Der dem Vorlagebeschluss des BGH zugrundeliegende Sachverhalt ist allerdings eine spezielle Konstellation, die sich von dem hier zugrundeliegenden Sachverhalt unterscheidet. Im dortigen Fall ging es um Weitergabe von personenbezogenen Daten im Rahmen eines Bewerbungsprozesses über das Online-Portal X., in dessen Zuge eine Mitarbeiterin der dortigen Bekl. über den Messenger-Dienst des Portals eine nur für den dortigen Kl. bestimmte Nachricht auch an eine dritte, nicht am Bewerbungsprozess beteiligte Person versandt hatte. Der BGH formulierte seine Vorlagefrage in Bezug auf die „Befürchtung der Weitergabe der Daten an in der gleichen Branche tätige Dritte, Kenntnis einer Person über Umstände, die der Diskretion unterliegen, Schmach wegen des Unterliegens in Gehaltsverhandlungen und der Kenntnis Dritter davon“. Das ist mit der hiesigen Sachverhaltskonstellation nicht zu vergleichen. Entscheidungserheblich ist iÜ, dass vorliegend die Kausalität zwischen dem Datenvorfall und der behaupteten großen Zahl von erhaltenen E-­Mails, Nachrichten und Anrufen nicht feststeht. Es ist nämlich unstreitig geblieben, dass der Kl. bei mindestens drei weiteren (früheren) Gelegenheiten Opfer eines „Datenvorfalls“ wurde, bei dem sein Vor- und Nachname, die E-­Mail-Adresse sowie die Telefonnummer abgegriffen wurden. Dem Umstand, dass der Kl. befürchtet, er könne in der Zukunft Opfer eines konkreten Missbrauchs seiner Daten werden, trägt das angefochtene Urteil insoweit Rechnung, als es die Verpflichtung der Bekl. feststellt, dem Kl. etwaige künftige materielle Schäden zu ersetzen, die ihm durch den unbefugten Zugriff Dritter auf das Datenarchiv der Bekl. entstanden sind.

NEU OLG Köln Urt. v. 7.12.2023 – 15 U 108/23

0 EUR Scraping-Sachverhalt. Wie OLG Köln Urt. v. 7.12.2023 – 15 U 33/23.

NEU OLG Köln Urt. v. 7.12.2023 – 15 U 99/23

0 EUR Scraping-Sachverhalt. Wie OLG Köln Urt. v. 7.12.2023 – 15 U 33/23.

NEU OLG Köln Urt. v. 7.12.2023 – 15 U 67/23

0 EUR Scraping-Sachverhalt. Wie OLG Köln Urt. v. 7.12.2023 – 15 U 33/23.

NEU OLG Köln Urt. v. 7.12.2023 – 15 U 33/23

0 EUR Der Antrag ist unbegründet, da dem Kl. der geltend gemachte Schadensersatz weder aus Art. 82 Abs. 1 DS-GVO noch aus einer anderen Anspruchsgrundlage zusteht. Der Bekl. dürften darüber hinaus auch Verstöße gegen Art. 5 Abs. 1 lit. b, 25 Abs. 2, Art. 32 Abs. 1 DS-GVO vorzuwerfen sein, weil sie keine geeigneten technischen und organisatorischen Maßnahmen getroffen hat, die sicherstellen konnten, dass durch die von ihr gewählten Voreinstellungen iRd Suchbarkeit des Profils mithilfe der Telefonnummer und das Zur-Verfügung-Stellen des CIT nur solche personenbezogenen Daten des Kl. verarbeitet wurden, die für den jeweiligen bestimmten Verarbeitungszweck erforderlich waren. Weiter dürfte durch die unterlassene bzw. verspätete Meldung des Vorfalls ggü. dem Kl. und der irischen Datenschutzbehörde auch ein Verstoß gegen Art. 33 Abs. 1 bzw. Art. 34 Abs. 1 DS-GVO vorliegen. Ob und welche Verstöße der Bekl. gegen die DS-GVO vorzuwerfen sind, kann an dieser Stelle allerdings letztlich offen bleiben. Denn es ist aus prozessualen Gründen davon auszugehen, dass dem Kl. jedenfalls kein immaterieller Schaden durch diese – insofern zu seinen Gunsten als vorliegend unterstellten – Datenschutzverstöße der Bekl. entstanden ist. In Bezug auf die sich aus Art. 82 DS-GVO grds. ergebenden Vorgaben für die Zuerkennung von Schadensersatzansprüchen wegen immaterieller Schäden verweist der Senat auf die Ausführungen in den Urteilen der Oberlandesgerichte Hamm vom 15.8.2023 – 7 U 19/23 – und Stuttgart vom 22.11.2023 – 4 U 20/23. Diesen Anforderungen genügt das Klägervorbringen nicht. Der Kl. macht geltend, dass er durch den Scraping-Vorfall einen Kontrollverlust erlitten habe, dass er Angst, Unwohlsein, Misstrauen und Sorge empfinde sowie durch Anrufe, SMS und E-­Mails belästigt werde. Daneben habe er eine Komfort- und Zeiteinbuße erlitten, weil er sich mit den Folgen des Datenlecks habe auseinandersetzen müssen, und er habe Zeit und Mühe aufgewendet, um sich vor drohendem (weiteren) Missbrauch zu schützen. Mit diesen Angaben rügt der Kl. zwar mehr als einen bloßen Verstoß der Bekl. gegen die Vorschriften der DS-GVO. Sein Vortrag reicht jedoch nicht aus, um einen bei ihm entstandenen immateriellen Schaden iSv Art. 82 Abs. 1 DS-GVO anzunehmen, der nach der Rspr. des EuGH nicht nach dem Recht der Mitgliedstaaten, sondern als autonomer Begriff des Unionsrechts einheitlich unionsrechtlichen auszulegen ist. Selbst wenn man vorliegend zugunsten des Kl. unterstellt, dass er durch den Scraping-Vorfall tatsächlich einen Kontrollverlust über seine Telefonnummer erlitten hat, weil diese Nummer in Verbindung mit seinem Vornamen nunmehr durch die Veröffentlichung im sog. Darknet jedenfalls auch einem Personenkreis bekannt geworden ist, dem er sie selbst gerade so nicht mitteilen wollte, liegt damit noch kein immaterieller Schaden iSv Art. 82 Abs. 1 DS-GVO vor. Soweit der Kl. seinen Schadensersatzanspruch schließlich auf eine Verletzung von Art. 15 DS-GVO im Hinblick auf eine vermeintlich unzureichende Auskunft der Bekl. über den Scraping-Vorfall stützt, greift auch dies nicht durch. Dabei kann auch hier dahinstehen, ob ein Verstoß gegen diese Vorschrift in den Schutzbereich von Art. 82 DS-GVO fällt. Denn die Bekl. hat im Hinblick auf die vom Kl. geforderte Auskunft ihre Verpflichtung aus Art. 15 DS-GVO nicht verletzt, da sie weder eine verspätete noch eine unvollständige Auskunft erteilt hat.

NEU OLG Dresden Urt. v. 5.12.2023 – 4 U 709/23

0 EUR Der Kl. steht kein Anspruch auf Ersatz eines immateriellen Schadens aus Art. 82 DS-GVO zu. Die Bekl. hat zwar bei der Verarbeitung der Daten gegen die Bestimmungen der DS-GVO verstoßen, jedoch ist der Kl. daraus kein kausaler Schaden entstanden. Die Bekl. hat in mehrfacher Hinsicht bei der Datenverarbeitung gegen die DS-GVO verstoßen. Sie hat gegen das Gebot der datenschutzfreundlichen Voreinstellung nach Art. 25 Abs. 2 DS-GVO verstoßen. Die Handynummer wurde ohne rechtfertigenden Grund nach Art. 6 DS-GVO verarbeitet. Offenbleiben kann, ob sie ausreichende technische und organisatorische Maßnahmen nach Art. 2432 DS-GVO ergriffen hat und ob sie ihrer Benachrichtigungspflicht aus Art. 3425 DS-GVO und ihrer Auskunftspflicht aus Art. 15 DS-GVO nachgekommen ist. Denn ein kausaler Schaden der Kl., der auf der Verletzung von Benachrichtigungspflichten beruhen könnte, ist nicht ersichtlich. Die Kl. hat nicht dargelegt, welcher Schaden ihr daraus entstanden sein soll. Der Kontrollverlust und die Veröffentlichung der Daten und die nach der Behauptung der Kl. darauf beruhenden ungebetenen Anrufe sowie spam sms und spam e-mails können nur auf dem Scraping Vorfall und nicht auf der Verletzung von Benachrichtigungs- und Auskunftspflichten zurückzuführen sein. Unabhängig davon kann ein Schadensersatzanspruch nach Art. 82 DS-GVO ohnehin nicht auf die Verletzung der vorgenannten Pflichten gestützt werden, da keine „Verarbeitung personenbezogener Daten“ vorliegt. Nach der Rspr. des EuGH setzt der Anspruch die Verarbeitung personenbezogener Daten unter Verstoß gegen die Bestimmung der DS-GVO voraus. Dies belegt auch die Formulierung in Erwägungsgrund Nr. 146, wonach Schäden ersetzt werden, die „auf Grund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht“. Aus den aufgeführten Verstößen gegen die DS-GVO ist der Kl. aber kein kausaler immaterieller Schaden gem. Art. 82 DS-GVO entstanden. Ihr obliegt die Darlegungs- und Beweislast für den bei ihr eingetretenen Schaden sowie den Kausalzusammenhang zwischen der rechtswidrigen Verarbeitung der Daten und diesem Schaden. Dieser Beweis ist nicht erbracht worden. Art. 82 Abs. 2 DS-GVO, der die Haftungsregelung, deren Grundsatz in Abs. 1 dieses Artikels festgelegt ist, präzisiert, übernimmt die drei Voraussetzungen für die Entstehung des Schadenersatzanspruchs, nämlich eine Verarbeitung personenbezogener Daten unter Verstoß gegen die Bestimmungen der DS-GVO, ein der betroffenen Person entstandener Schaden und ein Kausalzusammenhang zwischen der rechtswidrigen Verarbeitung und diesem Schaden. Der europäische Gerichtshof stützt sich auf den 146. Erwägungsgrund, der auf „Schäden“ abstellt, „die einer Person auf Grund einer Verarbeitung entstehen“. Zwar muss der Schaden nicht eine gewisse Erheblichkeit erreichen, jedoch besteht ein Nachweiserfordernis für immaterielle Schäden durch die betroffene Person. Allerdings muss der Schaden tatsächlich und sicher entstanden sein. Hierbei hat der EuGH in einem behaupteten Verlust des Vertrauens in eine Institution keinen ersatzfähigen immateriellen Schaden gesehen. Der Kontrollverlust über die Daten (z. B. Handynummer) stellt keinen immateriellen Schaden iSv Art. 82 DS-GVO dar. Dem Einzelnen die Kontrolle über seine Daten möglichst umfassend zu belassen bzw. dies zu gewährleisten, ist hierfür von grundlegender Bedeutung. Realisiert sich das generelle Risiko, dessen Eintritt verhindert werden soll, kommt es zwangsläufig zum Kontrollverlust. Daraus allein resultiert aber deshalb noch kein tatsächlicher Schaden im konkreten Einzelfall, wenn bzw. – hier eben – weil dieser automatisch bei jedem vom festgestellten Verstoß gegen die DS-GVO Betroffenen in Form der Offenlegung / Zugänglichmachung von Daten eintritt. Daraus folgt, dass es über den Kontrollverlust als Realisierung des generellen Risikos hinaus eines tatsächlichen materiellen oder immateriellen Schadens im konkreten Einzelfall bedarf. Würde man bei jedem Kontrollverlust der personenbezogenen Daten einen immateriellen Schaden annehmen, würde praktisch jeder Datenschutzverstoß zu einem Schaden führen. Kann daher allein der Kontrollverlust über die gescrapten Daten keinen immateriellen Schaden begründen muss die Klagepartei darlegen und beweisen, dass es aus diesem Grund zu einer Rufschädigung, Diskriminierung oder zu persönlichen oder psychologischen Beeinträchtigungen gekommen ist. Damit deckt sich, dass der völlige Kontrollverlust als solcher nicht per se ein immaterieller Schaden ist; denn stellt ein unkontrollierter Datenverlust im konkreten Einzelfall wegen des Werts der Daten eine in Geld messbare Einbuße dar, so ist dies unzweifelhaft ein Vermögensschaden. Die Revision war gem. § 543 Abs. 2 Nr. 2 ZPO zuzulassen, weil die Frage, ob der bloße Kontrollverlust einen Schadensersatz nach Art. 82 DS-GVO begründet, höchstrichterlich noch nicht geklärt und in einer Vielzahl von Fällen entscheidungserheblich ist. Es sind Tausende von Parallelverfahren in Deutschland anhängig.

NEU OLG Dresden Urt. v. 5.12.2023 – 4 U 1094/23

0 EUR Scraping-Sachverhalt. Wie OLG Dresden Urt. v. 5.12.2023 – 4 U 709/23.

NEU OLG Stuttgart Urt. v. 22.11.2023 – 4 U 20/23 = ZD 2023, 60 (Ls.)

0 EUR Scraping-Sachverhalt. Die Tatsache, dass sich der Kl. beim Schadenersatzanspruch auf das kumulative Zusammenwirken mehrerer Verstöße beruft, führt nicht zur Unbestimmtheit des Antrags. Die Berufung des Kl. hat keinen Erfolg. Das Landgericht hat im Ergebnis zutreffend einen Anspruch auf Schadenersatz aus Art. 82 DS-GVO verneint. Der Abgriff der Daten hat zwar einen (endgültigen) Kontrollverlust ausgelöst, auf Grund der Schilderungen des Kl. kann aber keine Überzeugung dahingehend gewonnen werden, dass der Kl. eine spürbare immaterielle Beeinträchtigung erlitten hat. Art. 82 DS-GVO erfasst materielle und immaterielle Schäden. Art. 82 DS-GVO kommt insoweit auch eine Kompensationsfunktion zu. Eine wirtschaftliche Betrachtung zur Ermittlung des immateriellen Schadens verbietet sich. Da der Schaden ausdrücklich „erlitten“ werden muss (Erwägungsgrund 146), nach dem Wortlaut von Art. 82 Abs. 1 DS-GVO verlangt wird, dass der Schaden „entstanden ist“, ist erforderlich, dass dieser tatsächlich entstanden sein muss und nicht lediglich befürchtet wird. Ein bloß abstrakter Kontrollverlust genügt danach nicht. Bezüglich der Höhe des Schadensersatzes sind bei Beachtung des Äquivalenz- und Effektivitätsgrundsatzes alle Umstände des Einzelfalles zu würdigen, wobei iRv § 287 ZPO ein weiter Ermessensspielraum besteht. Primärer Maßstab sind die erlittenen Beeinträchtigungen, die Bedeutung und Tragweite des Eingriffs sowie Anlass und Beweggrund des Handelnden. In Rspr. und Lit. wird auch ein differenzierter und eingeschränkter Rückgriff auf Art. 83 Abs. 2 DS-GVO vorgeschlagen. Abzustellen ist danach darauf, welche Daten konkret abgeflossen sind und welche Folgen dies haben kann beziehungsweise hat. Je intimer, finanziell bedrohlicher, potentiell ehrverletzender oder kränkender und persönlich wichtiger (Eingriff in das Familienleben oder das berufliche Umfeld) die abgeflossenen Daten sind, desto höher ist der immaterielle Schaden zu bemessen. Neben der Schwere des Eingriffs ist auch die Dauer des Verstoßes ein Bemessungskriterium. Da das maßgebliche deutsche Recht für die Bemessung keinen Strafschadenersatz anerkennt, kann nicht auf einen Strafcharakter abgestellt werden. Eine wie auch immer geartete Sanktionswirkung darf deshalb für die Bemessung der Entschädigung keine Rolle spielen. Schon allein deshalb kann – entgegen der Auffassung des Kl. – auch nicht an die Kriterien aus Art. 83 DS-GVO angeknüpft werden. Wegen der generalpräventiven Wirkung des immateriellen Schadenersatzes ist es im Hinblick auf die Ziele der DS-GVO (Art. 1 DS-GVO) geboten, auch kleinere Verstöße ohne Anerkennung einer Bagatellgrenze zu sanktionieren. Art. 82 DS-GVO erfasst jedweden Verstoß gegen die DS-GVO. Der Anspruch auf Schadenersatz nach Art. 82 Abs. 1 DS-GVO setzt nicht voraus, dass eine Schutznorm verletzt wird oder eine rechtswidrige Datenverarbeitung vorliegt, es genügt jede Verletzung materieller oder formeller Bestimmungen der DS-GVO. Soweit in der Lit. ausgeführt wird, die Entscheidungen des Europäischen Gerichtshofs vom 24.2.2022 (C-175/20) und des BVerwG vom 1.3.2022 (6 C 7.20) führten nicht zu einer Änderung der Beweislast, da es nicht um den Nachweis gehe, ob die die Vorgaben aus Art. 5 Abs. 1 DS-GVO eingehalten wurden, sondern um die Feststellung des Vorliegens eines Verstoßes gegen die DS-GVO ist diese Argumentation nicht überzeugend. Denn die Einhaltung beziehungsweise Nichteinhaltung der Vorgaben aus Art. 5 Abs. 1 DS-GVO (und der daran anknüpfenden speziellen Pflichten) beantwortet gleichzeitig auch die Frage, ob ein Verstoß gegen die Verpflichtungen aus der DS-GVO vorliegt. Die Beweislast für eine rechtmäßige Datenverarbeitung liegt danach bei der Bekl. Die Bekl. trifft jedenfalls eine sekundäre Darlegungs- und Behauptungslast, denn der Kl. hat naturgemäß keinen Einblick in die Datenverarbeitungsvorgänge bei der Bekl., die hierzu unschwer vortragen kann. Da es sich bei Art. 82 DS-GVO um einen eigenständigen deliktischen Schadenersatzanspruch handelt, nach den Vorgaben des EuGH die Festlegung der Kriterien für die Ermittlung des Umfangs des iRv Art. 82 Abs. 1 DS-GVO geschuldeten Schadensersatzes in der Aufgabe des jeweiligen Mitgliedsstaats liegt, wobei der Äquivalenz- und Effektivitätsgrundsatz zu beachten sind, können mit dem OLG Schleswig die Rechtsverfolgungskosten als Teil des nach Art. 82 DS-GVO zu ersetzenden Schadens angesehen werden.

NEU KG Berlin Urt. v. 22.11.2023 – 28 U 5/23

0 EUR Einem Schadensersatzanspruch nach Art. 82 DS-GVO steht auch entgegen, dass die Kl. – trotz des konkreten Hinweises des Senats mit der Bestimmung des Berufungstermins – nicht in konkret-individueller Weise vorgetragen hat, wann, wie häufig und auf welchem Weg die hiesige Zedenten konkret von Missbrauchsversuchen betroffen war und vor allem wie sie darauf jeweils reagiert haben oder wie sie unabhängig von diesen Versuchen allein durch die Veröffentlichung des Leak-Datensatzes betroffen waren. Dabei gilt: Der Begriff des ,Schadens" ist autonom und unionsrechtlich einheitlich zu

definieren. Der Wortlaut des Art. 82 DS-GVO spricht nur von materiellem und immateriellem Schaden, ohne eine Erheblichkeitsschwelle zu erwähnen. Das Ziel der DS-GVO, einen umfassenden Schutz der Datenschutzgrundrechte auf einem gleichmäßigen und hohen Niveau zu gewährleisten, erfordert ein weites Begriffsverständnis und schließt eine Erheblichkeitsschwelle aus. Gleichwohl muss die betroffene Person die für sie negativen Folgen eines DS-GVO-Verstoßes aber nachweisen. Deshalb bedarf es der Darlegung eines konkreten (tatsächlichen) immateriellen Schadens, der über den durch die unrechtmäßige Datenverarbeitung ohnehin eingetretenen Kontrollverlust hinausgeht und der vom Betroffenen individuell darzulegen ist. Einen solchen konkret individuellen Vortrag kann dem Vorbringen der Kl. nicht entnommen werden. Ihr Vortrag erschöpft sich in allgemeinen Darstellungen der Folgen der Offenbarung von personenbezogenen Daten. Dies reicht mit Blick auf den hiesigen Sachverhalt nicht aus, um schlüssig zum (immateriellen) Schaden der Zedenten vorzutragen.

NEU OLG Hamm Urt. V. 17.11.2023 – 7 U 71/23

0 EUR Der Senat ist nicht bewusst oder auch nur unbewusst, was der Kl. auch nicht aufzeigt, von der Rspr. des Gerichtshofs (ohne Vorlagebereitschaft) abgewichen, sondern hat sich – insb. hinsichtlich der Frage des kausalen Schadens – vollständig an der Rspr. des Gerichtshofs orientiert und diese auf die jeweils vorliegenden – durch stereotypen Vortrag gleichartigen – Einzelfälle angewandt. Die herangezogene Rspr. des Gerichtshofs ist auch nicht in einem entscheidungserheblichen Punkt unvollständig. Sie ist nicht unvollständig bzgl. der Frage, ob ein bloßer Kontrollverlust einen tatsächlichen und sicheren Schaden darstellt. Sie ist nicht unvollständig bzgl. der Frage, wen die Darlegungs- und Beweislast für den Schadenseintritt trifft. Insb. führt der Gerichtshof explizit aus, dass eine Person, die von einem Verstoß gegen die DS-GVO betroffen ist, der für sie negative Folgen gehabt hat, nicht vom Nachweis befreit ist, dass diese Folgen einen immateriellen Schaden iSv Art. 82 dieser Verordnung darstellen. Die Vorlagefrage 4 aus dem Beschluss des Bundesgerichtshofs vom 26.9.2023 (VI ZR 97/22) ändert hieran nichts, weil es vorliegend bereits an der Darlegung und dem Nachweis haftungsbegründend kausaler negativer Gefühle fehlt. Der Bundesgerichtshof verweist zudem ausweislich Rn. 32 seines Beschlusses auch darauf, dass negative Folgen – also hier der Kontrollverlust, der im Verfahren vor dem Bundesgerichtshof gar nicht als schadensbegründender Umstand vorgetragen worden war (Rn. 5) – als solche nicht ausreichen, sondern diese Folgen zugleich einen immateriellen Schaden darstellen müssen. Der Qualifikation eines Kontrollverlustes als immaterieller Schaden infolge der Veröffentlichung im Darknet steht in diesem Einzelfall jedenfalls entgegen, dass der Kl. sich trotz der von der Bekl. erteilten Auskunft vom 18.7.2022 erst auf Grund des Anrufs seines Prozessbevollmächtigten spät im laufenden Verfahren veranlasst gesehen hat, die Suchbarkeitseinstellungen einschränkend zu verändern und sich bis heute nicht gehalten gesehen hat, seine Mobilfunktelefonnummer zu wechseln; denn damit wird jeglicher Indizwirkung der Boden entzogen.

NEU OLG Karlsruhe Urt. v. 7.11.2023 – 19 U 23/23

0 EUR Der Kl. hat gegen die Bekl. keinen Anspruch auf immateriellen Schadensersatz gem. Art. 82 Abs. 1 DS-GVO. Voraussetzung für das Bestehen eines derartigen Schadensersatzanspruchs gem. Art. 82 Abs. 1 DS-GVO ist, dass ein Verstoß gegen die DS-GVO kausal einen immateriellen Schaden herbeigeführt hat. Ein Verstoß gegen diese Verordnung iSv Art. 82 Abs. 1 DS-GVO liegt in zweierlei Hinsicht vor: einmal nutzte unstreitig ein Support-Mitarbeiter von S. unberechtigt den für ihn bestehenden Zugang, um auf die Datensätze u. a. der Bekl. für eigene Zwecke zuzugreifen und diese zu exportieren. Zudem nutzten unbekannte Hacker eine fehlerhafte Konfiguration des API-Schlüssels in der Zeit vom 25. bis 28. Juni 2020 zu einem Angriff auf die Kundendaten der Bekl. Mehr als die „unbefugte Offenlegung“ von oder der „unbefugte Zugang“ zu personenbezogenen Daten iSv Art. 4 Nr. 12 DS-GVO erfordert das Vorliegen eines „Verstoßes gegen diese Verordnung“ nicht. Der Kl. hat keinen Anspruch auf Ersatz eines immateriellen Schadens, weil der Senat das Vorliegen eines solchen nicht für überwiegend wahrscheinlich hält. Für einen Anspruch auf Schadensersatz gem. Art. 82 Abs. 1 DS-GVO wegen eines immateriellen Schadens reicht das bloße Vorliegen eines Verstoßes gegen die Bestimmungen der Verordnung nicht aus, sondern der betroffenen Person muss tatsächlich ein Schaden entstanden sein. Ein bestimmter Grad an Erheblichkeit muss dabei nicht erreicht werden, doch muss die betroffene Person nachweisen, dass sie negative Folgen erlitten hat und dass diese Folgen einen immateriellen Schaden iSd DS-GVO darstellen. Die Tatsache, dass der Missbrauch personenbezogener Daten nur möglich und nicht bereits eingetreten ist, reicht aus, um davon auszugehen, dass die betroffene Person einen durch den Verstoß gegen die Verordnung verursachten immateriellen Schaden erlitten haben kann, sofern die betroffene Person nachweist, dass die Befürchtung eines solchen Missbrauchs ihr tatsächlich und konkret einen realen und sicheren emotionalen Schaden zugefügt hat. Ein potentieller oder hypothetischer Schaden oder die bloße Beunruhigung wegen des Diebstahls der eigenen personenbezogenen Daten reicht nicht aus. Ob der Kl. einen derartigen realen und sicheren emotionalen Schaden erlitten hat, ist am Beweismaß des § 287 ZPO zu messen. § 287 ZPO ist insoweit anzuwenden, weil sich der geltend gemachte immaterielle Schaden als Folge der Rechtsgutsverletzung in Gestalt der Verletzung der Grundrechte des Kl. auf Achtung des Privat- und Familienlebens aus Art. 7 GRCh und auf Schutz personenbezogener Daten aus Art. 8 GRCh darstellt. Nach der ständigen Rspr. EuGH ist es mangels einschlägiger unionsrechtlicher Vorschriften nach dem Grundsatz der Verfahrensautonomie Sache der innerstaatlichen Rechtsordnung jedes Mitgliedstaats, die Verfahrensmodalitäten für Klagen, die den Schutz der dem Einzelnen aus dem Unionsrecht erwachsenden Rechte gewährleisten sollen, zu regeln, wobei die betreffenden Anforderungen jedoch nicht ungünstiger sein dürfen als diejenigen, die gleichartige, dem innerstaatlichen Recht unterliegende Sachverhalte regeln (Äquivalenzgrundsatz), und die Ausübung der durch das Unionsrecht verliehenen Rechte nicht praktisch unmöglich machen oder übermäßig erschweren dürfen (Effektivitätsgrundsatz). Auf Grund der durchgeführten Anhörung des Kl. hält der Senat es nicht für überwiegend wahrscheinlich (§ 287 ZPO), dass der Kl. einen immateriellen Schaden erlitten hat. Der Kl. hat im Rahmen seiner informatorischen Anhörung angegeben, ihm sei „mulmig“ geworden, als er von dem Datenleck erfahren habe, weil ihm bewusst sei, dass Datenschutzverstöße erhebliche Schäden verursachen könnten. Er müsse, wenn er Phishing-E-­Mails bekomme, immer aufpassen, keinen Fehler zu machen. Aus diesen Angaben geht ein realer und sicherer emotionaler Schaden nicht hervor, sondern lediglich ein gewisses Unbehagen des Kl. und die empfundene Notwendigkeit zu erhöhter Aufmerksamkeit im Umgang mit Phishing-E-­Mails. Eine derartige bloße Beunruhigung stellt keinen immateriellen Schaden iSd Art. 82 DS-GVO dar. Gegen das Vorliegen eines realen und sicheren emotionalen Schadens spricht zudem der Umstand, dass der Kl. nach Bekanntwerden der Veröffentlichung seiner Daten weder seine E-­Mail-Adresse noch seine Mobilnummer geändert hat. Beides ist zwar mit ggf. durchaus erheblichem Aufwand verbunden insb. im Hinblick darauf, regelmäßige Kommunikations- bzw. Vertragspartner über die Änderungen zu informieren. Im Fall des Vorliegens eines realen und sicheren emotionalen Schadens wäre dies im Hinblick auf die geltend gemachten Risiken in Gestalt von Betrugs- und Erpressungsversuchen indes eine naheliegende und wirkungsvolle Abwehrmaßnahme. Dass der Kl. wegen des hiermit verbundenen Aufwands von einer Änderung der E-­Mail-Adresse und/oder Mobilnummer abgesehen hat, spricht dafür, dass ihn die geltend gemachten Risiken gerade nicht in einer Art und Weise beeinträchtigen, die mehr als eine bloße Beunruhigung darstellt. Schließlich begründet auch der vom Kl. angeführte Kontrollverlust über seine Daten nicht schon für sich genommen einen immateriellen Schaden. Insb. stellt der Besitz von Daten, die die betroffene Person identifizierbar machen, für sich genommen keinen Identitätsdiebstahl dar. Selbst dann, wenn man das Vorliegen eines immateriellen Schadens zugunsten des Kl. unterstellt, hält der Senat es nicht für überwiegend wahrscheinlich (§ 287 ZPO), dass ein derartiger Schaden auf die Verletzung der Grundrechte des Kl. gem. Art. 7, Art. 8 GRCh zurückzuführen ist, also die haftungsausfüllende Kausalität gegeben ist. Ob eine unterstellte unzureichende Sicherung der Daten, die nicht den Anforderungen der Art. 24 Abs. 1, Art. 32 Abs. 1 DS-GVO entsprochen hat, den von Dritten rechtswidrig erlangten Zugang zu den Daten des Kl., hierauf beruhende Phishing-Anrufe und Phishing-E-­Mails und damit auch den vom Kl. geltend gemachten Schaden kausal herbeigeführt hat, ist zwischen den Parteien streitig. Die Darlegungs- und Beweislast für diese haftungsausfüllende Kausalität liegt beim Kl. Die DS-GVO enthält hinsichtlich der Beweislast für die Kausalität keine ausdrückliche Regelung. Ob insoweit nationales Prozessrecht Anwendung findet oder ob im Hinblick auf Erwägungsgrund 146, wonach die betroffenen Personen einen „vollständigen und wirksamen Schadensersatz“ erhalten sollten bzw. im Hinblick auf den Effektivitätsgrundsatz im Allgemeinen die Darlegungs- und Beweislast für die fehlende Kausalität die verantwortliche Person trifft, ist in Rspr. und Lit. umstritten. Überwiegend wird unter Anwendung des jeweiligen nationalen Beweisrechts die Person, die den Schadensersatzanspruch geltend macht, hinsichtlich der Kausalität des „Verstoßes gegen diese Verordnung“ iSv Art. 82 Abs. 1 DS-GVO für den geltend gemachten Schaden als darlegungs- und beweisbelastet angesehen. Demgegenüber wird vertreten, den Verantwortlichen treffe die Darlegungs- und Beweislast für das Fehlen einer derartigen Kausalität. Der Senat folgt der Auffassung des Generalanwalts Pitruzzella in seinen Schlussanträgen vom 27. April 2023 (C-340/21), wonach die betroffene Person nachweisen muss, dass ein kausaler Zusammenhang zwischen dem Verstoß gegen die Verordnung und dem ihr entstandenen Schaden besteht. Es handelt sich dabei um eine der Voraussetzungen, die sich auch aus der ständigen Rspr. des EuGH und des Gerichts zur außervertraglichen Haftung der Union ergeben. Die Bekl. ist zudem gem. Art. 82 Abs. 3 DS-GVO von der Haftung befreit. Art. 82 Abs. 3 der DS-GVO befreit den Verantwortlichen von der Haftung, „wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist“. Eine wörtliche Auslegung dieser Bestimmung läuft darauf hinaus, dass jedes fahrlässige (Mit-)Verschulden oder Versehen des Verantwortlichen ausreicht, um die Anwendung der Befreiung auszuschließen. Dabei kann die verantwortliche Person von ihrer Haftung nicht allein deshalb befreit werden, weil der Umstand, auf den der Verstoß zurückzuführen ist, von einer Person außerhalb ihres Kontrollbereichs herbeigeführt wurde. Andererseits stellt nicht schon das Vorliegen einer Systemverletzung einen Beweis dafür dar, dass die von der verantwortlichen Person ergriffenen Maßnahmen nicht iSv Art. 32 DS-GVO geeignet waren. Ob es sich bei der X um einen Auftragsverarbeiter iSv Art. 28 DS-GVO handelt, ist dabei im Hinblick darauf ohne Belang, dass die Bekl., wie vorstehend ausgeführt, auch für das Verhalten von anderen Dritten verantwortlich sein kann. § 278 BGB ist unter Berücksichtigung des Umstands nicht anwendbar, dass der Begriff der Verantwortlichkeit in Art. 82 DS-GVO – ebenso wie dessen übrige Tatbestandsmerkmale – autonom auszulegen ist, um die einheitliche Anwendung in allen Mitgliedstaaten zu sichern. Gründe für die Zulassung der Revision (§ 543 Abs. 2 ZPO) oder für eine Vorlage gem. Art. 267 AEUV liegen nicht vor. Soweit der Senat iRd Prüfung des geltend gemachten Anspruchs auf immateriellen Schadensersatz Art. 82 DS-GVO zu den umstrittenen Fragen der Kausalität und der Verantwortlichkeit auslegt, zu denen noch keine Entscheidung gem. Art. 267 AEUV vorliegt, ist die vorgenommene Auslegung nicht entscheidungserheblich. Die Abweisung des geltend gemachten Anspruchs auf immateriellen Schadensersatz wird selbständig dadurch getragen, dass der Kl. das Vorliegen eines derartigen Schadens nicht bewiesen hat. Die Auslegung von Art. 82 DS-GVO hinsichtlich des Merkmals „immaterieller Schaden“ ihrerseits ist durch die Entscheidung des Gerichtshofs vom 4. Mai 2023 (C-300/21), die der Senat seiner Entscheidung zugrunde gelegt hat, hinreichend geklärt (acte éclairée).

NEU OLG Hamm Beschl. v. 18.10.2023 – 7 U 77/23

0 EUR Die Vorlagefrage 4 aus dem Beschluss des BGH vom 26.9.2023 (VI ZR 97/22) ändert an dem Umstand, dass durch die Rspr. des EuGH geklärt ist, dass der Kontrollverlust allein keinen Schaden darstellt, nichts, weil es bei der Vorlagefrage des BGH gerade nicht darum geht (ein Kontrollverlust liegt im dortigen Verfahren unzweifelhaft vor und gleichwohl stellt der BGH seine Frage) und es vorliegend – anders als im Falle des BGH – bereits an der Darlegung und dem Nachweis haftungsbegründend kausaler negativer Gefühle fehlt. Eine Aussetzung des vorliegenden Verfahrens ist deshalb weiterhin nicht veranlasst.

NEU OLG Hamm Beschl. v. 22.9.2023 – 7 U 77/23

0 EUR Der Antrag ist unbegründet, da auch hier weder dargelegt noch ersichtlich ist, welcher konkrete (zusätzliche) immaterielle Schaden durch die vermeintlich mangelhafte Auskunft entstanden sein sollte. Auch insoweit hat die persönliche Anhörung des Kl. vor dem Landgericht keinerlei Anhaltspunkte für eine persönliche Beeinträchtigung ergeben. Die pauschale behauptete Ungewissheit über die Verarbeitung nach der erteilten Auskunft ist nicht nachvollziehbar.

OLG München Verfügung v. 14.9.2023 – 14 U 3190/23e

0 EUR Das Ersturteil arbeitet überzeugend heraus, dass der Bekl. eine schadenskausale Pflichtverletzung, die in den Anwendungsbereich des Art. 82 DS-GVO fiele, nicht angelastet werden kann. Der Schadensbegriff reicht im Prinzip weit, setzt aber eine fühlbare reale Beeinträchtigung voraus. An dieser fehlt es hier. Erwägungsgrund 85 besagt nicht, dass jeder Kontrollverlust ein Schaden ist.

OLG Dresden Beschl. v. 29.8.2023 – 4 U 1078/23

1.500 EUR Für die Bemessung des immateriellen Schadensersatzanspruches wegen einer Datenschutzverletzung ist auf die im Erwägungsgrund 146 der DS-GVO genannten Faktoren abzustellen. Für die Herbeiführung einer rechtswidrigen Schufa-Eintragung kann die immaterielle Entschädigung mit 1.500 EUR bemessen werden.

OLG Karlsruhe Beschl. v. 24.8.2023 – 19 U 28/23 = ZD 2023, 742

1.054,10 EUR Anspruch auf materielle Schäden. Der Kl. hat gegen den Bekl. gem. Art. 82 Abs. 1 DS-GVO einen Anspruch auf Schadensersatz wegen der materiellen Schäden, die ihm durch die verordnungswidrige Übersendung des Schreibens vom 5. Dezember 2018 an den Rechtsanwalt der Frau W.-B. entstanden sind. Da er geltend macht, dass der Schaden noch in der Entwicklung begriffen sei, kann er gem. § 256 Abs. 1 ZPO die Feststellung des Bestehens dieser Ersatzpflicht verlangen. Ohne Bedeutung für das Bestehen der Ersatzpflicht dem Grunde nach ist dabei der vom Bekl. hervorgehobene Umstand, dass der Kl. selbst die im Schreiben enthaltenen, ansehensbeeinträchtigenden Informationen an zahlreiche Dritte weitergegeben hat. Die Frage, ob ein konkreter geltend gemachter Schaden tatsächlich auf den Versand des Schreibens durch den Bekl. zurückzuführen ist, wird ggf. in einem sich anschließenden Leistungsverfahren zu klären sein. Der Anspruch des Kl. auf materiellen Schadensersatz gem. Art. 82 Abs. 1 DS-GVO umfasst auch die Erstattung der dem Kl. entstandenen vorgerichtlichen Rechtsanwaltskosten.

OLG Hamm Urt. v. 15.8.2023 – 7 U 19/23 = ZD 2024, 36

0 EUR Ein Anspruch aus Art. 82 Abs. 2, Abs. 1 DS-GVO (iVm Art. 288 Abs. 2 AEUV) besteht nicht. Ein Anspruch aus Art. 82 Abs. 2, Abs. 1 DS-GVO setzt zunächst voraus, dass diese Regelung zeitlich, sachlich und räumlich anwendbar ist. IÜ hat Art. 82 Abs. 2 DS-GVO, der die Haftungsregelung, deren Grundsatz in Abs. 1 dieses Artikels festgelegt ist, präzisiert, drei Voraussetzungen für die Entstehung des Schadensersatzanspruchs, nämlich eine Verarbeitung personenbezogener Daten unter Verstoß gegen die Bestimmungen der DS-GVO, einen der betroffenen Person entstandenen Schaden und einen Kausalzusammenhang zwischen der rechtswidrigen Verarbeitung und diesem Schaden. Obwohl es sich bei dem für die Haftung nach Art. 82 DS-GVO erforderlichen Verstoß gegen die DS-GVO im Zuge der Datenverarbeitung um eine anspruchsbegründende Voraussetzung handelt, ist nicht die Kl. für einen solchen Verstoß darlegungs- und beweisbelastet. Die DS-GVO enthält indes in Art. 5 Abs. 2 DS-GVO eine spezifische Beweislastregelung. Er muss damit also generell nach dem in Art. 5 Abs. 2 DS-GVO verankerten Grundsatz der Rechenschaftspflicht nachweisen können, dass er die in Abs. 1 dieses Artikels festgelegten Grundsätze für die Verarbeitung personenbezogener Daten einhält. Konkret nicht ausgeräumt hat die Bekl. neben Verstößen gegen Art. 5 Abs. 1 lit. a, Art. 6 Abs. 1 UAbs. 1 DS-GVO zudem auch solche gegen Art. 5 Abs. 1 lit. b, Art. 25 Abs. 1 und Abs. 2 DS-GVO und Art. 5 Abs. 1 lit. f, Art. 32 DS-GVO. Es oblag der Kl., einen über die Datenschutzverstöße und über den damit mittelbar einhergehenden Kontrollverlust hinausgehenden immateriellen Schaden in Form einer persönlichen / psychologischen Beeinträchtigung auf Grund der Datenschutzverstöße und des Kontrollverlustes darzulegen. Der von der Kl. ins Feld geführte „völlige Kontrollverlust“ rechtfertigt als solcher keine Entschädigungsverpflichtung. Auch wenn es keine Erheblichkeitsschwelle gibt, so bedeutet dies indes nicht, dass die aus dem Datenschutzverstoß resultierenden negativen Folgen per se einen haftungsbegründenden Schaden darstellen. Die Annahme eines solchen konkreten Schadens setzt in unionsautonomer Auslegung nach ständiger Rspr. des EuGH voraus, dass dieser „tatsächlich und sicher“ besteht. Schließlich hat die Kl. auch die erforderliche Kausalität zwischen Verarbeitungsverstoß und vermeintlich immateriellem Schaden nicht dargelegt und bewiesen. Mangels feststellbaren Schadens kann dahinstehen, dass die Bekl. den Entschuldigungsnachweis nach Art. 82 Abs. 3 DS-GVO bereits mangels hinreichender Darlegung nicht geführt hätte. Denn wie die vorstehenden Ausführungen zu den Verstößen gegen die DS-GVO zeigen, hätte die Bekl. in jedem dieser Fälle vermeidend tätig werden können. Diese Rspr. zum allgemeinen Persönlichkeitsrecht ist unter dem Gesichtspunkt von Äquivalenz und Effektivität auf den vorliegenden Fall der Verletzung des nach Art. 82 DS-GVO absolut geschützten Rechtsguts Datenschutz als (abschließende) europarechtliche Ausformung des deutschen allgemeinen Persönlichkeitsrechts zu übertragen.

OLG Köln Urt. v. 11.8.2023 – 15 U 149/22 = ZD 2024, 99

0 EUR Das Landgericht hat zu Recht angenommen, dass der Kl. ein Anspruch auf Ersatz eines immateriellen Schadens gem. Art. 82 Abs. 1 DS-GVO nicht zusteht. Zwar hat der Senat entschieden, dass Verstöße gegen Auskunftspflichten aus Art. 15 DS-GVO Grundlage für einen Ersatzanspruch gem. Art. 82 Abs. 1 DS-GVO sein können. Das Landgericht hat aber zutreffend ausgeführt, dass im Streitfall jeglicher nachvollziehbare Vortrag dazu fehlt, dass der Kl. ein immaterieller Schaden entstanden ist. Ein solcher Vortrag ist auch nicht entbehrlich. Denn der EuGH hat mit Urt. v. 4. Mai 2023 – C-300/21 – entschieden, dass der bloße Verstoß gegen Bestimmungen der DS-GVO nicht ausreicht, um einen Schadensersatzanspruch zu begründen. Vielmehr muss die von einem Verstoß gegen die DS-GVO betroffene Person nachweisen, dass der Verstoß für sie negative Folgen gehabt hat und diese Folgen einen immateriellen Schaden darstellen, wobei es dann nicht auf einen bestimmten Grad an Erheblichkeit ankommt. Im Streitfall hat die Kl. den ihr obliegenden Nachweis eines immateriellen Schadens auch im Berufungsverfahren nicht erbracht. Die Berufungsbegründung enthält zwar abstrakte Ausführungen zur Funktion des Anspruchs aus Art. 82 Abs. 1 DS-GVO und zu einem ohnmächtigen Kontrollverlust der betroffenen Person im Falle der Nichterfüllung einer verlangten Auskunft. Diese Ausführungen haben aber keinen konkreten Bezug zum Streitfall. IÜ verweist die Berufung lediglich auf den Zeitablauf seit dem vorgerichtlichen Auskunftsverlangen und eine fortgesetzte Erfüllungsverweigerung der Bekl., ohne irgendwelche negativen Folgen des geltend gemachten Verstoßes gegen Art. 15 DS-GVO für die Kl. aufzuzeigen.

OLG Köln Urt. v. 10.8.2023 – 15 U 78/22 = ZD 2024, 103

0 EUR Ansprüche des Kl. aus Art. 82 Abs. 1 DS-GVO bestehen nicht. Zwar hat der Senat entschieden, dass Verstöße gegen Auskunftspflichten aus Art. 15 DS-GVO Grundlage für einen Ersatzanspruch gem. Art. 82 Abs. 1 DS-GVO sein können. Das Landgericht hat aber zutreffend ausgeführt, dass im Streitfall gerade kein immaterieller Schaden des Kl. erkennbar ist. Auch in Ansehung der Tatsache, dass es nach der zwischenzeitlich vorliegenden Rspr. des EuGH keinen sog. „Bagatellvorbehalt“ und keine „Erheblichkeitsschwelle“ bei Art. 82 Abs. 1 DS-GVO gibt, bedeutet dies gerade nicht, dass eine Person, die von einem Verstoß gegen die DS-GVO betroffen ist, der für sie negative Folgen gehabt haben soll, vollständig vom Nachweis befreit wäre, dass überhaupt solche Folgen bei ihr vorliegen und einen immateriellen Schaden iSv Art. 82 DS-GVO darstellen. Mit Blick auf den Kl. ist dazu bis zuletzt aber nichts ersichtlich. Dem Kl. ist keine belastende Unsicherheit über den Fortgang eines anderen, für ihn wichtigen gerichtlichen Verfahrens entstanden. Denn der Haftpflichtprozess war ohne weiteres auch ohne die weitere Auskunftserteilung durch die Bekl. als bloßem Haftpflichtversicherer des Schädigers ohne weiteres schon lange problemlos führbar. Die im Regressprozess gegen den Versicherungsnehmer der Bekl. vom Kl. eingereichte Klageschrift datiert vom 31.12.2017 und das Auskunftsverlangen wurde erst am 20.6.2020 kurz vor der mündlichen Verhandlung vom 8.7.2020 in erster Instanz des Haftpflichtprozesses konkret geltend gemacht. Auch ein – wie auch immer gelagerter – „Kontrollverlust“ mit entsprechenden immateriellen Folgen für den Kl. ist weder vorgetragen noch ersichtlich. Was den Haftungsprozess angeht, lag zudem ohnehin von Anfang an klar auf der Hand, dass selbst eine weitergehende Beauskunftung von etwaigen in internen Vermerken und/oder Anwaltskorrespondenz enthaltenen personenbezogen Daten des Kl. und die Übergabe von etwaigen (u. U. teilgeschwärzten) Kopien davon mit Blick auf Art. 15 Abs. 4 DS-GVO dem Kl. jedenfalls nicht ohne weiteres einen tiefergehenden Einblick in eine wie auch immer gelagerte „Verteidigungsstrategie“ der Bekl. im Haftpflichtprozess hätte eröffnen können. Soweit im Schriftsatz vom 9.9.2021 nur vage angedeutet worden ist, dass der Kl. durch die verzögerte Auskunft der Bekl. jedenfalls ein Führen von Verhandlungen im Haftungsprozess nicht ausreichend habe nachweisen können, ist das schon in sich nicht schlüssig, weil er an solchen Verhandlungen – sonst wären es keine – zwangsläufig selbst beteiligt gewesen sein muss. Es ist weder dargetan noch sonst ersichtlich, welche unter Art. 15 Abs. 1 bzw. Abs. 3 DS-GVO fallenden Auskünfte/Unterlagen für den Kl. noch hätten relevant werden sollen; all dies erläutert auch die Berufung nicht mehr weiter.

OLG Köln Urt. v. 10.8.2023 – 15 U 184/22 = ZD 2024, 100 mAnm Riemer

0 EUR Das Schadensersatzbegehren iSd Art. 82 Abs. 1 DS-GVO, welches mit der Berufung unter Anpassung der Mindestbetragsvorstellungen weiterverfolgt wird, hat das Landgericht hier zu Recht abgewiesen. Die Kammer hat zu Recht angenommen, dass der Kl. ein Anspruch auf Ersatz eines immateriellen Schadens gem. Art. 82 Abs. 1 DS-GVO nicht zusteht. Zwar hat der Senat entschieden, dass Verstöße gegen Auskunftspflichten aus Art. 15 DS-GVO durchaus eine Grundlage für einen Ersatzanspruch gem. Art. 82 Abs. 1 DS-GVO sein können. Das Landgericht hat indes zutreffend ausgeführt, dass im Streitfall jeglicher nachvollziehbare Vortrag dazu fehlt, dass und warum der Kl. ein immaterieller Schaden entstanden sein sollte. Ein solcher Vortrag ist auch nicht entbehrlich. Denn der EuGH hat mit Urt. v. 4. Mai 2023 – C-300/21 entschieden, dass jedenfalls der bloße Verstoß gegen Bestimmungen der DS-GVO nicht ausreicht, um einen Schadensersatzanspruch zu begründen. Vielmehr muss die von einem Verstoß gegen die DS-GVO betroffene Person nachweisen, dass der Verstoß für sie negative Folgen gehabt hat und diese Folgen einen immateriellen Schaden darstellen, wobei es dann nicht auf eine Erheblichkeit ankommt. Diesen ihr obliegenden Nachweis hat die Kl. trotz des Hinweises des Landgerichts v. 12.8.2022 – auch bis zuletzt im Berufungsverfahren nicht erbracht. Allein eine lange Verzögerung und ein unterstellter „böser Wille“ machen keinen „Schaden“ aus.

OLG Brandenburg Urt. v. 26.5.2023 – 7 U 166/22 = ZD 2023, 556

0 EUR Die Bekl. ist für die Verarbeitung der unrichtigen Daten nicht verantwortlich, Art. 82 Abs. 3 DS-GVO. Die Bekl. erhielt von ihrer Vertragspartnerin unrichtige Informationen.

OLG Köln Urt. v. 4.5.2023 – 15 U 3/23

1.500 EUR Der Anspruch des Kl. ergibt sich jedoch dem Grunde nach aus Art. 82 Abs. 1 DS-GVO, der im Zeitpunkt der ersten unstreitigen Verwendung des Namens im Jahre 2019 bereits in Kraft war (Art. 99 DS-GVO) und auf den vom Kl. geltend gemachten Anspruch mangels eines für die Bekl. eingreifenden Medienprivilegs – der Versandkatalog ist keine journalistische Tätigkeit gem. Art. 85 DS-GVO iSd Rspr. des EuGH. Der Senat ist weiter der Auffassung, dass jedenfalls in Fällen wie dem vorliegenden, also bei einem Eingriff in die vermögenswerten Bestandteile des allgemeinen Persönlichkeitsrechts des Betroffenen durch Verwendung derselben in einem kommerziellen Kontext, der Anspruch auf Ersatz des materiellen Schadens nach Art. 82 Abs. 1 DS-GVO auch die fiktive Lizenzgebühr umfassen kann (Lizenzanalogie). In Erwägungsgrund 146 S. 6 ist die Zielsetzung enthalten, der betroffenen Person einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden zukommen zu lassen. Insofern erscheint es vorzugswürdig, dass der autonom auszulegende Schadensbegriff des Art. 82 Abs. 1 DS-GVO insoweit für eine Ausgestaltung offen ist und mangels konkreter Regeln im Unionsrecht auch mitgliedstaatliche Rechtsgrundsätze – und damit hier die Grundsätze der sog. dreifachen Schadensberechnung – zur Berechnung des ersatzfähigen materiellen Schadens herangezogen werden können, wobei allerdings die Vorgaben des Äquivalenz- und Effektivitätsgrundsatzes hinsichtlich Haftungshöchstbetrag und etwaigem Strafschadensersatz zu beachten sind. Im Fall einer nach Art. 82 Abs. 1 DS-GVO als Schadensersatz zu zahlenden fiktiven Lizenzgebühr ist deren Höhe vom Tatgericht gem. der prozessrechtlichen nationalen Regelung des § 287 Abs. 2 ZPO zu schätzen. Zu fragen ist, was vernünftige Vertragspartner als Vergütung für die vom Verletzer vorgenommenen Benutzungshandlungen vereinbart hätten. IRd Ermittlung des objektiven Werts der Benutzungsberechtigung, der für die Bemessung der Lizenzgebühr maßgebend ist, müssen die gesamten relevanten Umstände des Einzelfalls in Betracht gezogen und umfassend gewürdigt werden. Zum anderen liegt der Sinn und Zweck des Anspruchs auf Ersatz jedenfalls des materiellen Schadens nach Art. 82 Abs. 1 DS-GVO – um den es hier allein geht – ausweislich des Erwägungsgrunds 146 in einem schlichten Ausgleich der an den vermögenswerten Rechtspositionen des Betroffenen eingetretenen Beeinträchtigungen und nicht etwa in einer über diese reine Kompensation noch hinausgehenden „Bestrafung“ des Verletzers, wozu auf Seiten der Bekl., die sich im Hinblick auf die verworrene tatsächliche Situation rund um die Einwilligung zur Veröffentlichung von Name und Zitat letztlich subjektiv als berechtigt angesehen hat, den Versandkatalog mit den personenbezogenen Daten des Kl. zu versehen, iÜ auch kein Anlass besteht.

OLG Köln Beschl. v. 26.4.2023 – 15 U 24/23

0 EUR Auch wenn man auf die DS-GVO abstellen wollte, gelten zudem die Grundsätze der bereicherungsrechtlichen Haftung auf eine sog. Lizenzanalogie über §§ 812 ff. BGB wegen Eingriffs in die vermögenswerten Bestandteile des Persönlichkeitsrechts fort. Schon mit Blick auf Erwägungsgrund Nr. 146 S. 4 der DS-GVO ist die Regelung in Art. 82 DS-GVO selbst im Bereich von Schadensersatzansprüchen keinesfalls abschließend, sondern konkurriert mit anderen nationalen Ansprüchen, was erst recht (und auch im Lichte des Art 79 Abs. 1 DS-GVO) für sonstige Ansprüche und Ausgleichsinstrumentarien des nationalen Rechts im Fall rechtswidriger Eingriffe in das Persönlichkeitsrecht gelten muss. Ob man ansonsten iRd Art. 82 DS-GVO bei einer unterstellt rechtswidrigen Datenverarbeitung den materiellen Schaden generell wahlweise auch im Wege einer Lizenzanalogie berechnen könnte, ob jedenfalls bei Eingriffen in die vermögenswerten Bestandteile des allgemeinen Persönlichkeitsrechts sogar ein Rückgriff auf die Grundsätze der sog. dreifachen Schadensberechnung möglich ist oder ob etwa im Lichte von Art. 13 der Richtlinie 2004/48/EG – Enforcement-RL – die allerdings als solche das allgemeine Persönlichkeitsrecht nicht als Immaterialrechtsgut erfasst und harmonisiert) – jedenfalls bei kommerzieller Ausnutzung vermögenswerter Persönlichkeitsrechtsbestandteile statt einer konkreten Berechnung eines materiellen oder immateriellen Schadens stets zumindest die Lizenzanalogie als eine besondere Form der Schadenspauschalierung eröffnet ist, bedarf hier mangels Entscheidungserheblichkeit keiner Klärung. Dies gilt auch für die weitere und vom Senat schon im Hinweisbeschluss vom 17.11.2022- 15 U 133/22, n. v. offen gelassene Frage, ob über Art. 82 DS-GVO und dem danach ggf. auch zu zahlenden immateriellen Schadensersatz wegen der Präventionsfunktion des Art. 82 Abs. 1 DS-GVO im Einzelfall flankierend höhere Lizenzanalogien denkbar sein könnten. Denn der konkret ausgeurteilte Betrag ist auch schon ohne solche "Zuschläge" mit dem Landgericht über die §§ 812 ff. BGB gerechtfertigt, so dass es darauf nicht mehr für die Entscheidung des Senats ankommt.

OLG Frankfurt Urt. v. 30.3.2023 – 16 U 22/22 = ZD 2023, 459

0 EUR Der vom Kl. geltend gemacht Unterlassungsanspruch ergibt sich nicht aus Art. 82 DS-GVO. Zwar kann sich unter Umständen – jedenfalls nach deutschem Verständnis der Schadensrestitution iSv § 249 Abs. 1 BGB – aus einem Schadensersatzanspruch auch ein Unterlassungsanspruch ergeben. Allerdings sind die Voraussetzungen dafür hier nicht gegeben. Der Kl. hat schon einen konkreten Schaden, der ihm durch die Weiterleitung der Daten als Folge der von ihm vorgetragenen dreimaligen Aufrufe der Webseite der Bekl. entstanden sein soll, nicht dargelegt. Ein Anspruch setzt aber die Entstehung eines – unter Umständen auch immateriellen – Schadens voraus. Der Generalanwalt führt in seinen Schlussanträgen vom 6.10.2022 zu dem beim Europäischen Gerichtshof anhängigen Verfahren C-300/21 Tz. 117 dementsprechend aus: „Für die Anerkennung eines Anspruchs auf Ersatz des Schadens, den eine Person infolge eines Verstoßes gegen die genannte Verordnung erlitten hat, reicht die bloße Verletzung der Norm als solche nicht aus, wenn mit ihr keine entsprechenden materiellen oder immateriellen Schäden einhergehen. Der in der Verordnung 2016/679 geregelte Ersatz immaterieller Schäden erstreckt sich nicht auf bloßen Ärger, zu dem die Verletzung ihrer Vorschriften bei der betroffenen Person geführt haben mag.“ Zum anderen, und das ist entscheidend, kann sich aus dem Gesichtspunkt des Schadensersatzes nur dann ein Unterlassungsanspruch ergeben, wenn die erfolgte Verletzungshandlung noch andauert oder der pflichtwidrig geschaffene Zustand fortdauert. Der Kl. verlangt hier jedoch nicht die Beseitigung von Datenweitergaben, welche anlässlich der drei behaupteten Nutzungen der Website erfolgt sind, oder die Beseitigung von deren Folgen, sondern die Unterlassung von Datenübermittlungen bei einer künftigen Nutzung der Online-Shop-Seite der Bekl. Es handelt es insofern um einen vorbeugenden Unterlassungsanspruch.

OLG München Entscheidung v. 23.3.2023 – 5 W 194/23e = ZD 2023, 618

0 EUR Die Frage, ob ein Verstoß gegen die DS-GVO für das Entstehen eines Schadensersatzanspruchs gem. Art. 82 Abs. 1 DS-GVO ausreicht oder es darüber hinaus der Darlegung und des Nachweises eines konkreten Schadens bedarf, ist in Rspr. und Lit. umstritten. In der Kommentarliteratur wird zT vertreten, dass mit der Verletzung datenschutzrechtlicher Normen letztlich immer ein immaterieller Schaden einhergeht, soweit es nicht um reine Formfehler wie Verstöße gegen Dokumentationspflichten geht. Nach anderer Ansicht reicht der Verstoß alleine nicht aus, sondern muss auch ein Schaden eingetreten sein, der schlüssig darzulegen ist, wobei bloße Unannehmlichkeiten oder Bagatellschäden auszuschließen sind. Auch in der Rspr. gibt es hierzu divergierende Entscheidungen. Das Bundesverfassungsgericht hat vor diesem Hintergrund festgestellt, dass es mangels Klärung des Schadensbegriffs in Art. 82 Abs. 1 DS-GVO mit dem Recht auf den gesetzlichen Richter (Art. 101 Abs. 1 S. 2 GG) unvereinbar ist, wenn ein letztinstanzliches Gericht bei Entscheidungserheblichkeit dieser Frage seiner Vorlagepflicht an den EuGH entgegen Art. 267 Abs. 3 AEUV nicht nachkommt. Das BAG hat zwischenzeitlich unter anderem im Hinblick auf Art. 82 Abs. 1 DS-GVO den EuGH um Vorabentscheidung gem. Art. 267 AEUV ersucht und hierbei die Ansicht vertreten, dass bereits die Verletzung der DS-GVO selbst zu einem auszugleichenden immateriellen Schaden führt. Vorliegend durfte daher der Bekl. Prozesskostenhilfe im Hinblick auf die mit Schriftsatz v. 7.12.2021 angekündigte widerklagende Verfolgung immaterieller Schadensersatzansprüche nicht versagt werden. Der Beschluss des LG München I v. 25.1.2023 war daher im Umfang der sofortigen Beschwerde aufzuheben und Prozesskostenhilfe auch insoweit zu bewilligen, § 572 ZPO.

OLG Düsseldorf Urt. v. 9.3.2023 – 16 U 154/21 = ZD 2023, 750

0 EUR Dem Kl. steht, wie das LG ebenfalls im Ergebnis und mit zT überzeugender Begründung ausgeführt hat, auch kein Anspruch aus Art. 82 DS-GVO gegen die Bekl. auf Ersatz des von ihm geltend gemachten immateriellen Schadens wegen einer verzögerlichen und unvollständigen Datenauskunftserteilung zu. Die Voraussetzungen für einen Geldentschädigungsanspruch in Bezug auf einen dem Kl. zugefügten immateriellen Schaden liegen nach Auffassung des Senats nicht vor, da es jedenfalls an der Darlegung des Eintritts eines Schadens bei dem Kl. fehlt, worauf bereits das LG im Rahmen seiner Entscheidung zumindest auch abgestellt hat. Die Frage, ob bereits der Datenschutzverstoß als solcher für das Entstehen eines Schadensersatzanspruchs ausreicht oder es darüber hinaus der Darlegung und des Nachweises eines konkreten (auch: immateriellen) Schadens bedarf, ist in Rspr. und Lit. umstritten. Sowohl der österreichische Oberste Gerichtshof (Vorabentscheidungsersuchen v. 12.5.2021, ZD 2021, S. 631, wobei der Gerichtshof die Auffassung vertritt, es sei der Nachweis eines Schadens erforderlich) als auch das Bundesarbeitsgericht (Vorabentscheidungsersuchen v. 26.8.2021, 8 AZR 253/20-A, wobei das BAG den Nachweis eines Schadens nicht für notwendig hält) haben die hiermit zusammenhängenden Fragen dem EuGH zur Vorabentscheidung vorgelegt. Der Senat folgt im Ergebnis der Auffassung, wonach über den festgestellten Verstoß gegen die Vorschriften des DS-GVO hinaus Voraussetzung für eine Entschädigung in Geld der Nachweis eines konkreten (auch immateriellen) Schadens ist. Hierfür spricht zunächst bereits der Wortlaut von Art. 82 Abs. 1 DS-GVO, der über den Verstoß hinaus ausdrücklich die Entstehung eins Schadens („…Schaden entstanden ist“) voraussetzt. Dieser Differenzierung im Wortlaut hätte es nicht bedurft, wenn bereits der Verstoß als solcher konstitutiv für den Anspruch wäre. Hätte der Verordnungsgeber eine nur an den Rechtsverstoß anknüpfende, vom Nachweis eines konkreten Schadens unabhängige Zahlungspflicht anordnen wollen, hätte es zudem demgegenüber nahegelegen, dies – wie zB im Luftverkehrsrecht gem. Art. 7 Abs. 1 FluggastrechteVO (EG) 261/2004 – durch Pauschalen zu regeln. In dem Erwägungsgrund 146 S. 3 zu der DS-GVO heißt es zwar, dass der Begriff des Schadens im Lichte der Rspr. des EuGH weit auf eine Art und Weise ausgelegt werden soll, die den Zielen der Verordnung in vollem Umfang entspricht. Der Anspruch soll nach Erwägungsgrund 146 S. 6 sicherstellen, dass die betroffenen Personen einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten. Das schließt ein, dass Schadensersatzforderungen abschrecken und weitere Verstöße unattraktiv machen sollen. Der Begriff des Schadens in Art. 82 DS-GVO ist autonom auszulegen, mithin kommt es nicht darauf an, ob ein bestimmter Schaden nach nationalem Recht als Schaden angesehen werden könnte. Auch hiernach ist der Schaden jedoch nicht mit der zugrunde liegenden Rechtsgutsverletzung gleichzusetzen. Denn ausdrücklich muss der Schaden „erlitten“ werden, woraus folgt, dass dieser tatsächlich entstanden sein muss und nicht lediglich befürchtet wird. Der bloße Verstoß gegen Bestimmungen der DS-GVO reicht daher nicht aus. Das Vorliegen eines konkreten – immateriellen – Schadens, etwa Ängste oder starken Stress, hat der Kl. vorliegend nicht dargetan. Soweit der Kl. im Rahmen seiner Klageerweiterung mit Schriftsatz v. 7.4.2021 vorträgt, erschöpfen sich seine Ausführungen in der Darlegung des Datenschutzverstoßes – also einer verzögerlichen und seiner Ansicht nach unvollständigen Datenauskunftserteilung – ohne irgendwelche hierdurch bedingte Einbußen oder Beeinträchtigungen immaterieller Art aufzuzeigen. Diesen Vortrag ergänzt der Kl. auch zweitinstanzlich nicht. Vielmehr beruft er sich auch in der Berufungsbegründung letztlich auf seine – von dem Senat aus den vorstehend dargestellten Erwägungen nicht geteilte – Ansicht, wonach allein der Datenschutzverstoß in der vorliegenden Konstellation einen Schaden begründe. Ergänzend verweist er auf seinen – wie dargestellt – bereits erstinstanzlich unzureichenden Vortrag. Nichts anderes gilt, soweit er im Schriftsatz v. 21.1.2023 einen „Kontrollverlust über die Daten“ als Schaden anführt. Dies stellt lediglich eine Umschreibung des von ihm geltend gemachten Gesetzesverstoßes dar, aber keinen davon zu unterscheidenden Schaden immaterieller oder materieller Art. Da sich die Ausführungen des Kl. letztlich im Wesentlichen auf die Darlegung seiner abweichenden Rechtsauffassung, unter Bezugnahme auf Rspr. und Lit. beschränken, aber keinerlei Tatsachenvortrag enthalten, der geeignet wäre, einen etwaigen immateriellen Schaden konkret des Kl. zu belegen, vermag der Senat, der – ebenso wie das LG – zum Erfordernis der Darlegung eines Schadens eine vom Kl. abweichende Rechtsauffassung vertritt, auch keine Verletzung dessen Anspruchs auf Gewährung rechtlichen Gehörs zu erkennen. Auf den konkreten Umfang des Auskunftsanspruchs gem. Art. 15 Abs. 13 DS-GVO und darauf, ob entgegen dem LG die unter Berücksichtigung der in Art. 12 Abs. 3 S. 1 DS-GVO verzögerliche Aukunftserteilung eine taugliche Verletzungshandlung iSd Art. 82 Abs. 1 DS-GVO darstellt, kommt es nach dem Vorstehenden an dieser Stelle mithin nicht entscheidungserheblich an. Hinsichtlich der datenschutzrechtlichen Ansprüche des Kl. auf Zahlung eines Schadenersatzes liegt eine grundsätzliche Bedeutung iSd § 543 Abs. 2 Ziff. 1 ZPO vor, da die Voraussetzungen des Geldentschädigungsanspruchs nach Art. 82 Abs. 1 DS-GVO und das Verständnis dieser Vorschrift bislang nicht höchstrichterlich geklärt sind und sich nicht unmittelbar aus den Regelungen der DS-GVO ergeben.

KG Beschl. v. 17.2.2023 – 10 U 146/22 = ZD 2023, 464

0 EUR Dem Kl. steht ggü. dem Bekl. der auf Art. 82 Abs. 1 DS-GVO gestützte Schadenersatzanspruch wegen mehrerer geltend gemachter Datenschutzverstöße nicht zu. Zur Begründung, warum die Berufung offensichtlich unbegründet ist, nimmt der Senat gem. § 522 Abs. 2 S. 3 ZPO Bezug auf seine Verfügung v. 4.1.2023. Dort heißt es unter anderem: „Mit dem Landgericht ist davon auszugehen, dass dem Kl. auch wegen der Weitergabe von Daten an Rechtsanwalt … kein Anspruch aus Art. 82 Abs. 1, Abs. 2 S. 1 DS-GVO zusteht. Der Senat schließt sich der Begründung des Landgerichts an, dass die Datenverarbeitung nach Art. 6 Abs. 1 UAbs. 1 lit. f DS-GVO zulässig war. Die Berufung könnte insoweit iÜ unzulässig sein, da das LG die Abweisung dieses Anspruches auf eine weitere Begründung gestützt hat, nämlich an der fehlenden Darlegung eines kausal verursachten Schadens. Mit dieser weiteren Begründung setzt sich die Berufung aber nicht auseinander. Hat das Erstgericht die Abweisung der Klage auf mehrere voneinander unabhängige, selbstständig tragende rechtliche Erwägungen gestützt, muss die Berufungsbegründung indes jede dieser Erwägungen angreifen. Mit dem LG ist ferner davon auszugehen, dass dem Kl. auch wegen der Weitergabe von Daten an die Eheleute … kein Anspruch aus Art. 82 Abs. 1, Abs. 2 S. 1 DS-GVO zusteht. Zum einen, weil nicht erwiesen ist, dass der Bekl. die medizinischen Unterlagen des Kl. den Eheleuten … übergeben hat. Zum anderen, weil der Bekl. darauf vertrauen durfte, dass Rechtsanwalt … die medizinischen Unterlagen nicht für andere Zwecke einsetzt. Die Berufung könnte insoweit iÜ auch an dieser Stelle unzulässig sein, da das LG die Abweisung dieses Anspruches auf eine weitere Begründung gestützt hat, nämlich an der fehlenden Darlegung eines kausal verursachten Schadens. Mit dieser weiteren Begründung setzt sich die Berufung aber nicht auseinander. Hat das Erstgericht die Abweisung der Klage auf mehrere voneinander unabhängige, selbstständig tragende rechtliche Erwägungen gestützt, muss die Berufungsbegründung indes jede dieser Erwägungen angreifen. IÜ bestehen Bedenken wegen der Fassung des Hauptantrages. Zwar hat der Kl. für die von ihm beantragte Geldentschädigung eine Größenordnung angegeben. Nach der ständigen Rspr. des BGH müsste der Kl. für seine offene Antragstellung aber zusätzlich auch die Berechnungs- bzw. Schätzungsgrundlagen umfassend darlegen. Hieran dürfte es fehlen. Der Kl. hat zu diesen Hinweisen mit Schriftsatz v. 31.1.2023 Stellung genommen. Diese Stellungnahme führt zu keiner anderen Bewertung. Hinsichtlich der vom Kl. beanstandeten Datenschutzverstöße durch Beiträge auf dem vom Bekl. betriebenen Blog auf dessen Internetseite kann sich der Bekl. auf das Medienprivileg berufen, weil er die Beiträge zu journalistischen Zwecken veröffentlicht hat. Soweit der Kl. hierzu unter Bezugnahme auf das Gutachten der Berliner Beauftragten für Datenschutz und Informationsfreiheit eine andere Auffassung vertritt, ist der Senat an deren rechtliche Beurteilung nicht gebunden. Vielmehr hat er das Vorliegen der Voraussetzungen für den geltend gemachten Schadenersatzanspruch nach Art. 82 Abs. 1 DS-GVO eigenständig zu prüfen. Die Auffassung des Kl., er habe erstinstanzlich zu den entstandenen Schäden ausreichend vorgetragen, dass er durch die Weitergabe der Gesundheitsdaten an seine Vermieter „öffentlich bloßgestellt“ worden sei, was eine „entsprechende Kompensation indiziere“, genügt dies nicht, um hinreichend nachvollziehbar darzulegen, dass der Schaden in der mit dem Antrag zu Ziffer 1. geltend gemachten Höhe liegt. Selbst wenn zu seinen Gunsten angenommen wird, dass es für die Zuerkennung eines Schadenersatzanspruchs der bloße – hier gerade nicht vorliegende – Verstoß gegen die „datenschutzrechtliche Gesetze“ ausreiche, lässt sich daraus jedenfalls die angemessene Höhe nicht herleiten. Solche Angaben lassen sich auch nicht dem erstinstanzlichen Vortrag entnehmen, worauf der Senat mit der Verfügung v. 4.1.2023 hingewiesen hat. Soweit der Kl. meint, für die Höhe des Schadenersatzanspruchs sei zu berücksichtigen, dass durch den Bekl. medizinische Daten an die Eheleute … bzw. deren Anwalt gelangt seien, genügt dies nicht. Wie ausgeführt, ist eine Weitergabe der Daten an die ehemaligen Vermieter durch den Bekl. nicht erwiesen. In Bezug auf Rechtsanwalt … durfte der Bekl. darauf vertrauen, dass dieser als Rechtsanwalt die Unterlagen unter Berücksichtigung seiner berufs- und standesrechtlichen Pflichten nicht weitergeben würde.

OLG Koblenz Urt. v. 13.2.2023 – 12 U 2194/21 = ZD 2024, 41

0 EUR Soweit der Kl. Schadensersatz für ihm durch die vermeintlich unberechtigte(n) Einmeldung(en) nach seiner Behauptung entstandene Schäden verlangt, vermag der Senat einen anspruchsbegründenden Sachverhalt nicht zu erkennen. Voraussetzung für eine Entschädigung in Geld der Nachweis eines konkreten (auch immateriellen) Schadens ist. Der Schaden muss erlitten sein, dh entstanden sein und nicht nur befürchtet werden. Hieran fehlt es im vorliegenden Fall; jedenfalls hat der Kl. zur Überzeugung des Senats einen solchen ihm entstandenen Schaden nicht dargelegt. Soweit der Kl. vorträgt, es habe ein Scheitern einer Immobilienfinanzierung gedroht, ist festzuhalten, dass ein solcher Schaden glücklicherweise offenbar nicht eingetreten ist. Ein lediglich drohender oder von dem Betroffenen befürchteter materieller Schaden reicht für sich genommen nicht, wenn sich hieraus keine Weiterungen – wie vorliegend nicht erkennbar und von dem Kl. auch nicht substantiiert vorgetragen – ergeben. Für die Frage, ob ein ausgleichsfähiger Schaden vorliegt, sind jedoch – wie bei der Bemessung des immateriellen Schadens nach nationalem Recht (vgl. zB § 253 BGB) auch – entsprechend den Ausführungen des Generalsanwalts in seinen Schlussanträgen die tatsächlichen individuellen Verhältnisse des „Geschädigten“ zu berücksichtigen; es ist darauf abzustellen, wie sich das „Schadensereignis“ konkret bei ihm ausgewirkt hat. Insoweit genügt der Kl. seiner Darlegungslast nicht, wenn er unter Hinweis auf die Entscheidung des 5. Zivilsenats des OLG Koblenz vorträgt, die unberechtigt weitergegebenen Daten seien geeignet gewesen, seine Kreditwürdigkeit erheblich herabzusetzen und seine Teilhabe am Wirtschaftsleben zu erschweren und „diese allgemein vorgetragenen potentiellen Schwierigkeiten bei der Teilhabe am Wirtschaftsleben … sind ausreichend, einen … bereits entstandenen – und nicht erst zu befürchtenden … – immateriellen Schaden iSd Ausgleichsfunktion darzulegen“. Gleiches gilt in Bezug auf die Behauptung des Kl., er habe „ca. 20 Stunden in Schriftverkehr, Telefonate usw. investiert“. Unabhängig von der Tatsache, dass auch diese pauschale Behauptung nicht mit Substanz gefüllt ist, sind im vorliegenden Fall jedenfalls die besonderen Umstände (wird nachfolgend ausgeführt) zu berücksichtigen, die der Sache hier ein eigenes Gepräge verleihen und sie damit entgegen den den vorgenannten Entscheidungen jeweils zugrundeliegenden Sachverhalten einer abweichenden rechtlichen Bewertung zuführen. Dabei hat der Senat durchaus Verständnis für die Argumentation des Kl., der unter Berufung auf die in diesem Zusammenhang auszugsweise zitierte Entscheidung des OLG Nürnberg, in der es heißt: „…und hierbei insb. der über die zweimalige Kündigung ihres Dispositionskredits hinausgehenden Sorgen und Probleme mit ihrer Hausbank, die die Kl. mit ihrem Schriftsatz v. 17.2.2022 konkret und umfassend dargelegt hat, ist ein Schadensersatz von … angemessen“, die Auffassung vertritt, schon der allgemeine Lauf der Dinge bringe es mit sich, dass bestehende Ungereimtheiten mit der kreditführenden Bank stets zu Unannehmlichkeiten führten, die einen finanziellen Ausgleich in Form von Schadensersatz verdienten. Diese Rechtsauffassung wird in ihrer Tendenz auch in der Entscheidung des OLG Frankfurt deutlich, wenn es dort heißt: „Die Verletzung von Persönlichkeitsrechten zeichnet sich gerade dadurch aus, dass nicht zwangsläufig eine bilanzierungsfähige Vermögensminderung auf Seiten des Verletzten eintritt, sondern oft ausschließlich seelischer oder moralischer Unbill und Aufwendung der Ressource Zeit.“ Die „ungefilterte“ Übernahme dieser rechtlichen Feststellung würde jedoch die Besonderheiten des vorliegenden Falles außer Acht lassen und der Wertigkeit des von dem Kl. behaupteten Verstoßes der Bekl. gegen die datenschutzrechtlichen Grundsätzen nicht gerecht werden. Wie bereits ausgeführt, resultierte das vermeintliche Unrecht, das dem Kl. infolge der Einmeldung an die SCHUFA widerfahren ist bzw. sein könnte, nicht daraus, dass die Bekl. die titulierte Verbindlichkeit überhaupt gemeldet hat, sondern ist allenfalls darin zu sehen, dass dem Kl. nicht ausreichend Gelegenheit gegeben wurde, dieser Maßnahme entgegenzuwirken, weil er – nach seiner Behauptung – nicht frühzeitig vorgewarnt und über die Folgen aufgeklärt worden sein soll. Dass es zu dieser „einmeldefähigen“ Sollstellung hier überhaupt gekommen ist, ist indes nicht der Bekl. zuzuschreiben, sondern dem Kl., der einen Ausgleich der Forderung erst nach deren Titulierung vorgenommen hat. Bei dieser Sachlage erscheint es dem Senat selbst unter Berücksichtigung eines von dem BAG zugrundegelegten spezial- bzw. generalpräventiven Charakters des Art. 82 Abs. 1 DS-GVO (so das BAG) und unter Berücksichtigung einer dieser unionsrechtlichen Bestimmung (vermeintlich) immanenten Genugtuungsfunktion für den Betroffenen im vorliegenden Fall nicht vertretbar, jede Unannehmlichkeit und Mühewaltung als anspruchsbegründenden Schaden zu werten. Dass es in Fällen von Säumnis bei der Tilgung von Verbindlichkeiten auch zu persönlichem Ärger und zu Komplikationen im Verhältnis zu den Gläubigern und/oder kreditführenden Instituten kommen kann mit der Folge, dass die Behebung einer solchen Situation ein gewisses Maß an finanziellem und/oder zeitlichem Aufwand erfordert, stellt ein allgemeines Lebensrisiko dar, dessen Bewältigung nicht schon nach einem niederschwelligen schadensrechtlichen Ausgleich verlangt. Selbst wenn der Kl. daher – nicht substantiiert, in einer der Beweisaufnahme zugänglichen Weise – behauptet, er habe ca. 20 Stunden aufwenden müssen, um eine drohende Kündigung seines Kredits abzuwenden und sich gegen sonstige nachteilige wirtschaftliche Folgen zu wehren, ist dieser Aufwand angesichts der besonderen Umstände des hier zu beurteilenden Sachverhalts nicht schadensersatzbewehrt. Dabei sieht sich der Senat auch im Einklang mit der Bewertung durch den Generalanwalt in seinen Schlussanträgen v. 6.10.2022. Nach allem ist ein Anspruch des Kl. auf Schadensersatz vorliegend nicht gegeben.

OLG Hamm Urt. v. 20.1.2023 – 11 U 88/22 = ZD 2024, 104

100 EUR Die Klage ist zulässig, insb. auch hinsichtlich eines Anspruchs aus Art. 82 Abs. 1 DS-GVO. Art. 82 DS-GVO, der gem. Art. 288 Abs. 2 AEUV unmittelbar gilt, wird entgegen der Auffassung der Bekl. auch nicht durch § 839 BGB verdrängt. Es liegt auch ein Verstoß gegen die DS-GVO iSv Art. 82 Abs. 1 DS-GVO vor. Nach Wortlaut und Zielrichtung der Norm muss kein Verstoß gegen in der DS-GVO geregelte Datenschutzbestimmungen vorliegen; es genügt vielmehr ein Verstoß gegen die Verordnung selbst. Im Hinblick auf Erwägungsgrund 146 S. 1 zur DS-GVO muss allerdings bei einer Verarbeitung gegen die DS-GVO verstoßen worden sein. Die Beweislast für einen solchen Verstoß obliegt grundsätzlich dem Anspruchsteller, wobei die allgemeine Rechenschaftspflicht nach Art. 5 Abs. 2 DS-GVO zu Erleichterungen führen kann. Es liegt ein Verstoß gegen Art. 5 Abs. 1 lit. a DS-GVO vor. Es liegt auch ein Verstoß gegen Art. 5 Abs. 1 lit. f DS-GVO vor. Zudem liegt ein Verstoß gegen Art. 9 Abs. 1 DS-GVO vor. Ob auch ein Verstoß gegen Art. 32 Abs. 1 DS-GVO gegeben ist, den das LG bejaht hat, kann der Senat offen lassen. Ein eventueller Verstoß hätte ein geringes Gewicht und fiele neben den Verstößen gegen Art. 5 Abs. 1 lit. a und f und 9 Abs. 1 DS-GVO nicht ins Gewicht. Die Bekl. ist nicht gem. Art. 82 Abs. 3 DS-GVO von der Haftung befreit. Gem. Art. 82 Abs. 3 DS-GVO wird der Anspruchsverpflichtete von der Haftung befreit, wenn er in keinerlei Hinsicht für den schadensverursachenden Umstand verantwortlich ist. Verantwortung ist hier das Verschulden iSd deutschen Rechtsterminologie und nicht die datenschutzrechtliche Verantwortung. Das Verschulden wird nach dem Wortlaut der Norm grundsätzlich vermutet. Die allgemeinen Grundsätze des § 278 BGB gelten auch hier. Die Absendung der E-­Mail ohne das vorherige Entfernen der angehängten Excel-Datei ist zumindest als fahrlässig iSv § 276 Abs. 2 BGB einzustufen. Bei Beachtung der gebotenen Sorgfalt wäre vor dem Absenden der E-­Mail zunächst die angehängte Datei bemerkt und dann noch entfernt worden. Für das Verhalten ihrer Mitarbeiter haftet die Bekl. als Verantwortliche, ohne sich entlasten zu können. Soweit die Auffassung vertreten wird, Art. 82 Abs. 1 DS-GVO regle einen Fall verschuldensunabhängiger Haftung, kommt es auf die Entscheidung dieser Frage für den vorliegenden Fall nicht an, da von einem fahrlässigen und damit auch schuldhaften Verstoß auszugehen ist. Entgegen der Auffassung der Bekl. kann sie sich auch nicht unter Verweis auf § 831 Abs. 1 S. 2 BGB entlasten. Denn diese Exkulpationsregel ist nach Auffassung des Senats nicht anzuwenden. Zwar mag die Einordnung des Anspruchs aus Art. 82 DS-GVO als deliktischer Anspruch dafür sprechen, die allgemeinen Regeln des deutschen Deliktsrechts ergänzend heranzuziehen. Allerdings spricht bereits der Wortlaut von Art. 82 Abs. 3 DS-GVO dagegen. Dieser lässt eine Entlastung des Verantwortlichen oder Auftragsverarbeiters nur dann zu, wenn er in keinerlei Hinsicht für den Umstand, durch den der Schaden entstanden ist, verantwortlich ist. Hiernach genügt es nicht, dass der Verantwortliche bei einer arbeitsteilig organisierten Datenverarbeitung seine mit der Datenverarbeitung befassten Mitarbeiter sorgfältig aussucht und überwacht. Deswegen sind bei der Beurteilung dieser Frage auch die datenschutzrechtlichen Sonderregelungen mit ihren Organisationspflichten in den Blick zu nehmen, die auf diese Weise ausgehebelt werden könnten. Dies wäre mit dem von Art. 82 DS-GVO beabsichtigten wirkungsvollen und umfassenden Schadenersatz iSv Erwägungsgrund 146 S. 3 zur DS-GVO nicht zu vereinbaren. Dem Kl. ist auch ein immaterieller Schaden entstanden. Einen solchen sieht der Kl. insb. in dem mit dem Versand der Excel-Datei verbundenen Kontrollverlust seiner in der Datei aufgeführten personenbezogenen Daten und dem späteren Erhalt einer Phishing-E-­Mail am 18.8.2021, den er auf diesen Kontrollverlust zurückführt. Der Begriff des immateriellen Schadens iSv Art. 82 Abs. 1 DS-GVO ist – europarechtlich autonom und unter Berücksichtigung der in den Erwägungsgründen zur DS-GVO niedergelegten Zielsetzungen – weit auszulegen. Der Eintritt eines Schadens setzt auch nicht voraus, dass dem Betroffenen durch den Verstoß gegen die DS-GVO ein spürbarer Nachteil entstanden ist oder es zu einer objektiv nachvollziehbaren Beeinträchtigung von persönlichkeitsbezogenen Belangen mit gewissem Gewicht gekommen ist. Insoweit wird vertreten, dass für einen Bagatellverstoß ohne ernsthafte Beeinträchtigung bzw. für eine bloß individuell empfundene Unannehmlichkeit kein Schmerzensgeld zu gewähren sei. Ausgehend von dem bereits dargestellten Schadensbegriff gelten bei der Bemessung der Schadenshöhe die iRv § 253 BGB entwickelten Grundsätze; der Schaden ist nach § 287 ZPO zu schätzen. Eine wie auch immer geartete Sanktionswirkung neben dem Ausgleich eines konkret entstandenen immateriellen Schadens ist daher bei der Bemessung der dem Kl. zustehenden Entschädigung nicht in Betracht zu ziehen. Insoweit bestimmt Art. 83 DS-GVO, dass die zuständige Aufsichtsbehörde im Falle eines Verstoßes gegen die DS-GVO neben einem etwaigen individuellen Anspruch auf Schadenersatz nach Art. 82 Abs. 1 DS-GVO eine Geldbuße verhängen kann. Unter Beachtung der vorstehenden Erwägungen hält der Senat bei einer Gesamtbetrachtung des vorliegenden Falles und seiner Besonderheiten im Hinblick auf den eingetretenen dauerhaften Kontrollverlust und den Erhalt einer unerwünschten E-­Mail den durch das LG zuerkannten Betrag iHv 100 EUR für angemessen, aber auch ausreichend, um den beim Kl. eingetretenen immateriellen Schaden nach Maßgabe des in der DS-GVO geregelten Schadensersatzanspruchs zu kompensieren. Ein weitergehender Anspruch folgt auch nicht aus § 839 Abs. 1 S. 1 BGB iVm Art. 34 S. 1 GG, der grundsätzlich neben einem Anspruch nach Art. 82 Abs. 1 DS-GVO in Betracht kommt. Die Revision ist zuzulassen, da bislang eine höchstrichterliche Klärung der für den vorliegenden Fall der Geltendmachung eines Anspruchs auf immateriellen Schadensersatz nach Art. 82 Abs. 1 DS-GVO maßgeblichen Fragen – soweit ersichtlich – noch nicht erfolgt ist.

Landgerichte

NEU LG Stuttgart Urt. v. 24.1.2024 – 27 O 92/23

0 EUR Der von der Kl. geltend gemachte Schadensersatzanspruch gem. Art. 82 DS-GVO setzt zunächst voraus, dass eine Verletzung des Schutzes personenbezogener Daten der Kl. vorgelegen hat. Dies erfordert, dass der Twitter-Account der Kl. von dem API-Bug betroffen gewesen ist, wobei ihre Betroffenheit von der Kl. zur vollen Überzeugung des Gerichts nachzuweisen ist (§ 286 ZPO). Diesen Nachweis hat die Kl. nicht geführt. Der Beweisantritt der Kl. besteht darin, dass die von dem australischen Sicherheitsforscher Tony Hunt betriebene Internetplattform https:///haveibeenpwned.com unter Eingabe der E-­Mail-Adresse der Kl. ihre Betroffenheit ausweise. Dem Beweisangebot der Kl., diese Internetseite in Augenschein zu nehmen und die E-­Mail-Adresse a[…]@aol.com einzugeben, ist das Gericht nachgegangen, wie in der mündlichen Verhandlung erörtert worden ist. Es trifft demnach zu, dass die Internetseite https:///haveibeenpwned.com die Betroffenheit der Kl. von dem API-Bug bei Twitter ausweist, was die Bekl. auch nicht ausdrücklich bestritten hat. Hieraus ergibt sich aber nicht der Vollbeweis, dass die Angaben auf der Internetseite https:///haveibeenpwned.com zutreffend sind und die Kl. von dem API-Bug tatsächlich betroffen ist. Soweit die Kl. immateriellen Schadenersatz wegen verzögerter Auskunftserteilung verlangt, ist ein solcher Anspruch schon nicht schlüssig vorgetragen. Selbst wenn zugunsten der Kl. unterstellt wird, dass ihr gegen die Bekl. ein Auskunftsanspruch aus Art. 15 DS-GVO zugestanden hat, die Bekl. mit der Auskunftserteilung in Verzug geraten ist und die Vorschrift des Art. 82 Abs. 1 DS-GVO auch den Verzugsschaden wegen verzögerter Auskunftserteilung erfasst, ist jedenfalls ein Schaden der Kl., der gerade auf die unterbliebene Auskunftserteilung zurückgeht, nicht dargelegt. Die Kl. begründet ihren immateriellen Schaden allein mit der Lästigkeit des erhöhten Spamaufkommens sowie der Sorge um die Sicherheit ihrer Daten. Dieser immaterielle Schaden ist nach dem Vorbringen der Kl. durch das von Hackern ausgenutzte Datenleck bei Twitter entstanden. Dass neben diesem immateriellen Schaden ein abgrenzbarer anderer immaterieller Schaden durch die verzögerte Auskunftserteilung entstanden wäre, ist weder schlüssig vorgetragen noch ersichtlich.

NEU LG Lübeck Urt. v. 7.12.2023 – 15 O 73/23

500 EUR Der Antrag zu 1., soweit er immateriellen Schadensersatz wegen Datenschutzverstößen im Zusammenhang mit dem Scraping von Daten im Jahr 2019 betrifft, ist in Höhe von 500 EUR begründet. Die Kl. kann von der Bekl. aus Art. 82 DS-GVO Zahlung von 500 EUR verlangen. Es sind mehrere haftungsbegründende Verstöße der Bekl. gegen die einschlägigen Bestimmungen der DS-GVO festzustellen. Zum ersten liegt eine rechtswidrige Verarbeitung von Daten der Kl. durch die Bekl. vor. Des Weiteren stellt das Gericht einen unzureichenden Schutz der streitgegenständlichen Daten der Kl. durch die Bekl. fest. Die Bekl. hat gegen ihre Pflichten aus Art. 32 DS-GVO zur Ergreifung geeigneter technischer und organisatorischer Schutzmaßnahmen verstoßen. Jedoch wäre eine derartige Verletzung von Art. 25 DS-GVO jedenfalls nicht vom Schutzbereich des Art. 82 DS-GVO umfasst und kann daher keine Schadensersatzansprüche auslösen. Systematisch folgt dies bereits aus dem Umstand, dass Art. 82 Abs. 2 DS-GVO voraussetzt, dass der Schaden „durch eine Verarbeitung“ ausgelöst wurde, während Art. 25 DS-GVO Verhaltenspflichten normiert, die vor jeder konkreten Datenverarbeitung liegen und die generellen Voreinstellungen betreffen. Durch ein derartiges Verständnis der Art. 2582 DS-GVO wird der Wirkungsbereich des Art. 25 DS-GVO dabei auch nicht in unzulässiger Weise eingeschränkt. Vielmehr werden eventuelle Verstöße gegen Art. 25 DS-GVO bei diesem Verständnis auf Verschuldensebene relevant und hindern ggf. eine Entlastung des Normverpflichteten. Das vermag Gericht auch keine weiteren haftungsbegründenden Verstöße der Bekl. gegen die DS-GVO im Hinblick auf die vorgetragenen Verletzungen von Informationspflichten zu erkennen. Es kann offenbleiben, ob – was nahe liegt – die Bekl. ihre Meldepflichten aus Art. 3334 DS-GVO verletzt und weder die Aufsichtsbehörde gem. Art. 33 DS-GVO noch die Kl. entsprechend ihrer unverzüglich zu erfüllenden Verpflichtung aus Art. 34 Abs. 1 DS-GVO informiert hat. Auf entsprechende Verstöße lässt sich ein immaterieller Schadensersatzanspruch vorliegend jedenfalls nicht stützen, weil nicht zur Überzeugung der Kammer festgestellt werden kann, dass die etwaige Verletzung dieser Pflichten für den geltend gemachten Schaden der Kl. überhaupt (mit-)kausal geworden ist und diesen zumindest vertieft hat. Soweit nach den obigen Ausführungen haftungsbegründende Verletzungen der DS-GVO vorliegen, sind diese auch von der Bekl. zu vertreten. Dabei kann für das vorliegende Verfahren dahinstehen, ob Art. 82 DS-GVO eine verschuldensunabhängige Haftung begründet, eine Gefährdungshaftung mit der bloßen Möglichkeit der rechtsvernichtenden Einwendung fehlenden Verschuldens oder ob mit der wohl h. M. angenommen werden kann, Art. 82 Abs. 3 DS-GVO enthalte ein Verschuldenserfordernis iSd gängigen deutschen Terminologie mit einer entsprechenden Vermutung zu Lasten des Normverletzers und einer bei dem Verpflichteten liegenden Beweislast, dass weder Vorsatz noch Fahrlässigkeit vorlag. Denn selbst wenn Art. 82 DS-GVO eine Exkulpationsmöglichkeit nach gängiger deutscher Terminologie zukommen würde, wäre der Bekl. eine Exkulpation nicht gelungen. Des Weiteren liegt auch ein ersatzfähiger Schaden iSv Art. 82 Abs. 1 DS-GVO vor. Ein immaterieller Schaden iSd Art. 82 DS-GVO liegt zur Überzeugung der Kammer jedenfalls immer dann vor, wenn ein Verstoß gegen die DS-GVO in der Folge zu einer konkreten, vom Verstoß selbst unterscheidbaren Rechtsgutverletzung geführt hat. Der Schaden beruht kausal auf den oben festgestellten Verstößen. Es gelten für die Bemessung der Höhe des immateriellen Schadens die Grundsätze des § 253 BGB. Auch herangezogen werden können dabei die Kriterien des Art. 83 Abs. 2 DS-GVO. Der Antrag zu 1., soweit er immateriellen Schadensersatz im Zusammenhang mit der etwaigen Verletzung des Auskunftsanspruchs der Kl. gem. Art. 15 DS-GVO betrifft, ist unbegründet. Die Kl. kann von der Bekl. aus Art. 82 DS-GVO insoweit keine Zahlung immateriellen Schadensersatzes verlangen. Es lässt sich bereits eine Verletzung des Auskunftsanspruches durch die Bekl. nicht feststellen. Die vorgerichtlichen Rechtsanwaltskosten sind Teil des gem. Art. 82 Abs. 1 DS-GVO zu ersetzenden Schadens.

NEU LG Freiburg Urt. v. 24.11.2023 – 10 O 3710/22

800 EUR Die Kl. hat gegen die Bekl. gem. Art. 82 Abs. 1 DS-GVO Anspruch auf immateriellen Schadenersatz iHv 800 EUR auf Grund der Verletzung von Vorschriften der DS-GVO. Der Maßstab für Verstöße gegen die DS-GVO iSd Art. 82 Abs. 1 DS-GVO ist weit zu fassen. Es kommen materielle wie formelle Verstöße in Betracht. Auch ist nicht allein auf die Datenverarbeitung abzustellen. Vielmehr können sämtliche Maßnahmen, so auch Vorbereitungsmaßnahmen, einen entsprechenden Anspruch begründen. Dies ergibt sich aus dem Wortlaut des Art. 82 Abs. 1 DG-SVO selbst, der allgemein von „Verstoß gegen die DS-GVO“ spricht und damit jeglichen Verstoß einschließt. Etwas Anderes folgt nicht etwa aus Erwägungsgrund 146 S. 1. Soweit dort von Schäden, die einer Person auf Grund einer „Verarbeitung“ entstehen, die mit dieser Verordnung nicht im Einklang steht, die Rede ist, ist dies nicht etwa dahingehend aufzufassen, dass nur Verstöße bei der Verarbeitung von Daten im engeren Sinne gemeint sind. Dies widerspräche dem in Art. 1 Abs. 2 DS-GVO postulierten Ziel der Verordnung, die Grundrechte und Grundfreiheiten natürlicher Personen und insb. deren Recht auf Schutz personenbezogener Daten zu schützen. Vielmehr bezieht sich die gesamte DS-GVO auf die Verarbeitung von Daten und stellt Regeln auf, die bei der dem sachlichen Anwendungsbereich gem. Art. 2 unterfallenden Datenverarbeitung einzuhalten sind. Der EuGH hat aus der Rechenschaftspflicht aus Art. 5 Abs. 2 DS-GVO nunmehr dem Verantwortlichen ausdrücklich die Darlegungs- und Beweislast für die Rechtsmäßigkeit der Datenverarbeitung gem. Art. 6 Abs. 1 DS-GVO auferlegt. Eine Eingrenzung folgt auch nicht aus dem Wortlaut von Art. 82 Abs. 2-5 DS-GVO dadurch, dass diese jeweils wörtlich auf die Verarbeitung abstellen. Diese Absätze des Art. 82 DS-GVO dienen lediglich der Abgrenzung der Haftung mehrerer Anspruchsgegner im Innenverhältnis, weil dort auf die Auftragsverarbeiter betreffenden Pflichten abgestellt wird und nicht auf die durch sie getätigten Verarbeitungsschritte. Auch dass die letztliche Haftung bei mehreren Anspruchsgegnern von der Verantwortlichkeit für den jeweils verletzten Umstand abhängt, Art. 82 Abs. 3 DS-GVO, also erneut nicht auf eine konkrete Verarbeitungstätigkeit abgestellt wird, spricht gegen eine Eingrenzung des Art. 82 Abs. 1 DS-GVO. Auch die englische und französische Sprachfassung verwenden entsprechende Formulierungen in den jeweiligen Absätzen. Vor diesem Hintergrund sind die wörtlichen Bezüge „durch eine Verarbeitung“ in Abs. 2 sowie „auf Grund einer Verarbeitung“ so zu verstehen, dass diese lediglich auf einen Bezug zu einer Verarbeitung deuten. Das ist auch schon deswegen konsequent, weil die Anwendung der DS-GVO selbst eine Verarbeitung voraussetzt, Art. 2 Abs. 1 DS-GVO. Keine Vorschrift der DS-GVO inkl. des Art. 82 Abs. 1 DS-GVO ist überhaupt anwendbar, solange überhaupt gar keine Verarbeitung stattfindet. In diesem Verständnis ist es aber auch nur konsequent, dass diese vorhergehenden und nachfolgenden Pflichten der DS-GVO in Bezug auf eine Verarbeitung die Schadensersatzpflicht ebenso auslösen. Diese Auslegung entspricht auch dem in Art. 1 Abs. 2 DS-GVO postulierten Ziel, die Grundrechte und Grundfreiheiten natürlicher Personen und insb. deren Recht auf Schutz personenbezogener Daten zu schützen. Verstoß gegen Art. 13 DS-GVO (Informationspflicht) und Art. 6 DS-GVO (Rechtmäßigkeit der Verarbeitung), indem sie entgegen Art. 5 Abs. 1 lit. a, Art. 6 Abs. 1 lit. a DS-GVO die Zuordnung von Name zu Telefonnummer und Facebook ID (Telefonnummernzuordnung) und weiterer Daten gegenüber Dritten offenlegt hat. Die Bekl. hat zudem gegen die Verpflichtung gem. Artt. 24, 32, 5 Abs. 1f) DS-GVO, die Sicherheit der Verarbeitung zu gewährleisten, verstoßen, indem sie keine ausreichend geeigneten technischen und organisatorischen Maßnahmen getroffen hat, um die personenbezogenen Daten der Kl., namentlich ihre Facebook-ID, Vorname, Nachname und Arbeitgeber gegen unbefugten Zugriff zu schützen. Die Bekl. hat überdies gegen das in Art. 25 Abs. 2 DS-GVO normierte Gebot, Datenschutz durch datenschutzfreundliche Voreinstellungen zu gewährleisten, verstoßen, indem sie standardmäßig die Suchbarkeit der Nutzer über deren Telefonnummer „für alle“ voreingestellt hat. Ein Verstoß gegen diese Vorschrift kann zu einem Schadenersatzanspruch iSd Art. 82 DS-GVO führen, weil aus der Verletzung der sich aus Art. 25 DS-GVO ergebenden Pflichten eine Erhöhung der Gefahr eines Schadenseintritts resultiert. Der Mindestinhalt der Meldung ist in Art. 33 Abs. 3 DS-GVO festgelegt. Dem ist die Bekl. vorliegend nicht nachgekommen. Ob auch ein Verstoß gegen Art. 34 Abs. 1 DS-GVO vorliegt, kann hier offenbleiben. Ob die Bekl. dem vorgerichtlichen Auskunftsersuchen der Kl. über ihre personenbezogenen Daten nicht in ausreichendem Maße nachgekommen ist und dadurch gegen Art. 15 DS-GVO verstoßen hat, kann dahinstehen. Denn die Ungewissheit über die Verarbeitung der eigenen Daten deckt sich mit dem Schaden durch den eigentlichen Verstoß. Ein eigenständiger Schadensersatzanspruch auf Grund einer Verletzung der Auskunftspflicht kommt nur in Betracht, wenn die fehlende Auskunft einen Schaden zumindest verschärft hat. Dies ist hier nicht zu erkennen, weil die Kl. nicht ansatzweise darlegt welche Schritte sie bei einer ausreichenden Auskunft vorgenommen hätte und wie das einen Schaden vermindert hätte. Die Bekl. kann sich nicht gem. Art. 82 Abs. 3 DS-GVO, der das Verschulden widerleglich vermutet, exkulpieren. Soweit in der Vorschrift von der Verantwortlichkeit für den Schaden die Rede ist, ist dies iSv Verschulden aufzufassen. Art. 82 Abs. 3 DS-GVO ordnet eine Beweislastumkehr hinsichtlich des Verschuldens an. Der Anspruchsverpflichtete kann sich daher nur entlasten, indem er beweist, dass er die am Maßstab des Stands der Technik und im Verkehr, d. h. am allgemeinen Schutzinteresse orientierte erforderliche Sorgfalt iSv § 276 Abs. 2 BGB angewendet hat. Der Kl. ist durch die Verstöße der Bekl. gegen die genannten Vorschriften DS-GVO ein immaterieller Schaden iSd Art. 82 Abs. 1 DS-GVO entstanden. Der Begriff des Schadens ist gem. Erwägungsgrund 146 S. 3 DS-GVO weit auf eine Art und Weise auszulegen, die den Zielen dieser Verordnung in vollem Umfang entspricht. Für einen Schadensersatzanspruch nach Art. 82 DS-GVO reicht allerdings der bloße Verstoß gegen die Bestimmungen der DS-GVO nicht aus. Es muss ein Schaden vorliegen. Der Ersatz eines immateriellen Schadens nach Art. 82 DS-GVO ist aber nicht davon abhängig, dass der entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht, so dass auch Bagatellschäden einen Schadensersatzanspruch begründen. Deshalb kann ein Schaden auch bereits in einem unguten Gefühl, in der Angst und Besorgnis liegen, dass personenbezogene Daten Unbefugten bekannt geworden sind, wenn die Gefahr besteht, dass die Daten unbefugt weiterverwendet werden. So führen die Erwägungsgründe 75 und 85 als möglichen Schaden unter anderem den Verlust, die personenbezogenen Daten kontrollieren zu können, auf. Das Gericht schließt sich dabei dem Verständnis des Generalanwaltes im Verfahren gegen die Österreichische Post AG der Bedeutung des erwähnten Kontrollverlustes an. Danach verursacht der Verlust über die Kontrolle der Daten nicht zwangsläufig einen Schaden. Vielmehr adressiert die Erwähnung des Kontrollverlustes in den Erwägungsgründen – in sprachlicher Unschärfe – die möglichen Folgen dieses Verlusts wie etwa Angst oder Besorgnis, was mit den Daten geschehen könnte. Der EuGH hat in seiner hierzu ergangenen Entscheidung dieser Auffassung des Generalanwalts nicht widersprochen, sondern nur betont, dass über den auf dem DS-GVO beruhenden Datenverlust als solches ein immaterieller Schaden des Betroffenen festgestellt werden muss. Im streitgegenständlichen Fall trat der immaterielle Schaden durch die auf Grund des Scrapings beim Kl. nachvollziehbar ausgelöste Besorgnis bzgl. des weiteren Schicksals seiner persönlichen Daten ein, die damit – als ein mit seiner Telefonnummer verknüpfter Datensatz – im Netz kursierten. Denn dadurch erlitt er einen Kontrollverlust über seine Daten, der vorliegend mit dem subjektiv besorgniserregenden Risiko einherging, dass diese Daten etwa durch Identitätsdiebstahl unbefugt und schadensträchtig genutzt werden. Zu dieser allgemeinen Besorgnis treten die in der informatorischen Anhörung glaubhaft geschilderten Spam-Anrufe (ca. zwei bis drei Anrufe pro Woche) und SMS-Nachrichten (ca. ein bis zwei SMS pro Woche), die ihn wahnsinnig stören. Die erforderliche Kausalität zwischen den Verstößen der Bekl. gegen die DS-GVO und dem Schaden der Kl. liegt vor. Bei der Bestimmung des vom Kl. in das Ermessen des Gerichts gestellten Höhe des Schadenersatzes gem. § 287 Abs. 1 S. 1 ZPO sind alle Umstände des Einzelfalls zu würdigen. Die Kriterien des Art. 83 Abs. 2 DS-GVO, die Anhaltspunkte für die Höhe der von der Aufsichtsbehörde zu verhängenden Geldbuße geben sollen, können auch für die Bemessung des immateriellen Schadenersatzes herangezogen werden. Schadensersatzforderungen sollen abschrecken und weitere Verstöße unattraktiv machen. Bei der Festsetzung der Höhe des Schadensersatzes sind die mitgliedstaatlichen Vorschriften unter Berücksichtigung des unionsrechtlichen Effektivitätsgebots und Äquivalenzgebots anzuwenden. In Anbetracht der Ausgleichsfunktion des in Art. 82 DS-GVO vorgesehenen Schadenersatzanspruchs ist eine auf diese Bestimmung gestützte finanzielle Entschädigung „vollständig und wirksam“, wenn sie es ermöglicht, den auf Grund des Verstoßes gegen diese Verordnung konkret erlittenen Schaden in vollem Umfang auszugleichen, ohne dass ein vollumfänglicher Ausgleich die Verhängung von Strafschadenersatz erfordert. Die DS-GVO selbst enthält keine weiteren Bemessungsgrundsätze. Allerdings kann die Fluggastrechte-Verordnung als erster Anhaltspunkt dienen, die einen Ausgleichsanspruch i. H. v. 250 bis 600 EUR vorsieht. Die Fluggastrechte-Verordnung betrifft zwar einen gänzlich anders gelagerten Sachverhalt und gleicht auch nicht den Eingriff in das Recht zur informationellen Selbstbestimmung aus. Aber auch dieser Ausgleichsanspruch dient vorrangig dem Ausgleich eines immateriellen Schadens. Die Kl. hat gem. Art. 82 DS-GVO auch Anspruch auf Feststellung der Ersatzpflicht der Beklagten für materielle Schäden, die aus dem von der Bekl. nach dem Gesagten mitzuverantwortenden Scraping-Vorfall ggf. entstanden sind oder noch entstehen werden. Die vorgerichtlichen Rechtsanwaltskosten sind als Teil des zu ersetzenden Schadens gem. Art. 82 Abs. 1 DS-GVO zu erstatten.

NEU LG Stuttgart Urt. v. 22.11.2023 – 18 O 17/23

0 EUR Ein Schadensersatzanspruch setzt das Vorliegen eines „Schadens“ ebenso wie das Vorliegen eines Verstoßes gegen die DS-GVO und eines Kausalzusammenhangs zwischen Verstoß und Schaden voraus, „wobei diese drei Voraussetzungen kumulativ sind“. Das bedeutet, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadensersatzanspruch zu begründen. Dementsprechend ist der Eintritt eines Schadens auf Grund des Datenvorfalls Voraussetzung dafür, dass ein Anspruch besteht. Ein materieller Schaden ist vorliegend nicht gegeben. Auch ein immaterieller Schaden liegt hier nicht vor. Es fehlt hier bereits am notwendigen Nachweis eines Kausalzusammenhangs, der sich grds. nach § 286 ZPO richtet. Es kann dahinstehen, welche Anforderungen an den entsprechenden Kausalnachweis zu stellen sind, um den Anspruch nicht von vornherein leerlaufen zu lassen. So – was vorliegend nicht zu entscheiden ist – könnte ein enger zeitlicher Zusammenhang zwischen Datenvorfall und unberechtigter Datenverwendung als hinreichender Nachweis ausreichend sein. Im vorliegenden Fall besteht ein solcher zeitlicher Zusammenhang aber gerade nicht. Wie die Kl. selbst ausführt, gab es vorliegend im Jahr 2020 drei Datenvorfälle, wobei der letzte im November 2020 sich ereignete. Die klägerseits behauptete missbräuchliche Verwendung der Daten erfolgte aber erst Anfang November 2022, somit über zwei Jahre nach dem ersten Datenvorfall und knapp zwei Jahre nach dem letzten Datenvorfall, selbst wenn man diesen Zeitpunkt zu Gunsten der Kl. zugrunde legen würde, sind es gleichwohl knapp zwei Jahre. Dieser Zeitraum ist jedenfalls zu lang, um einen Kausalitätsnachweis zu dem streitgegenständlichen Datenvorfall zu begründen. Die entsprechenden Daten sind auch anderen bekannt, so zB der Bank der Kl., teilweise sind die Daten zB die Adresse der Kl. öffentlich zugänglich über die Internetauskunft, jedenfalls auch im Familien und Freundes- und Bekanntenkreis bekannt (Handynummer/E-­Mail-Adresse), sodass ein Nachweis, dass die Täter bei PPoder D… die Daten aus dem Datenvorfall bei der Bekl. erlangt haben, im Konkreten nicht möglich ist. Des Weiteren reicht der Vortrag nicht aus, um einen immateriellen Schaden, der, wie dargelegt, eingetreten sein muss, bei der Kl. zu begründen. Es ist unstreitig nicht zu einem Identitätsdiebstahl gekommen. Dass – als solches grds. nachvollziehbare – diffuse Gefühl des Kontrollverlustes stellt aber keinen immateriellen Schaden iSv Art. 82 DS-GVO dar. Auch spricht gegen den Eintritt eines immateriellen Schadens, dass die Kl. nach wie vor Kunde bei der Bekl. ist und insofern in ihrer Anhörung auch das Vertrauen geäußert hat, dass die Bekl. alles getan hat, um entsprechende Datenverstöße zukünftig zu unterbinden. Der Antrag Ziffer 4 ist offensichtlich unbegründet. Auch hier fehlt es jedenfalls am Eintritt eines – immateriellen – Schadens. Es ist nicht einmal ansatzweise vorgetragen, dass die Kl. auf Grund der behaupteten verspäteten Auskunft eine Beeinträchtigung in irgendeiner Form erfahren hat. Der entsprechende Anspruch ist vielmehr abwegig. Die Kl. wurde unstreitig im Jahr 2020 von dem Datenvorfall unterrichtet. Gleichwohl hat sie auch hier nicht im zeitlichen Zusammenhang Auskunft bei der Bekl. begehrt, sondern dies erfolgte vielmehr erstmalig mit anwaltlicher E-­Mail vom 12.12.2022. Insofern wurde eine Frist von einem Monat ab Zugang des Schreibens gesetzt. Die Bekl. hat sodann noch im Dezember Auskunft erteilt. Die Kl. hat sodann nicht mehr substantiiert Stellung genommen. Sie hat daher nicht mal ansatzweise dargelegt, warum die Auskunft ungenügend gewesen sein sollte. Dementsprechend trägt die Kl. auch die Kosten, soweit der Rechtsstreit teilweise für erledigt erklärt wurde. Der Auskunftsanspruch war bereits erfüllt und von vornherein unbegründet.

NEU LG Nürnberg Fürth Urt. v. 21.11.2023 – 10 O 3710/22

250 EUR Scraping-Sachverhalt. Wie LG Nürnberg-Fürth Urt. v. 20.10.2023 – 10 O 1510/22.

NEU LG Stuttgart Urt. v. 3.11.2023 – 52 O 14/23

200 EUR Scraping-Sachverhalt.

NEU LG Arnsberg Urt. v. 31.10.2023 – 7 O 691/22

0 EUR Der Kl. hat keinen Anspruch auf immateriellen Schadensersatz (in geltend gemachter Höhe von mindestens 2.000 EUR) als Ausgleich für angebliche Datenschutzverstöße und die angebliche Ermöglichung der unbefugten Ermittlung der Telefonnummer sowie weiterer personenbezogener Daten des Kl. Insb. ergibt sich ein Anspruch nicht aus Art. 82 Abs. 1 DS-GVO. Nach der Rspr. des EuGHs gibt es drei Voraussetzungen für die Entstehung eines Schadensersatzanspruchs nach Art. 82 DS-GVO, nämlich ein Verstoß gegen die Bestimmungen der DS-GVO, ein der betroffenen Person entstandener Schaden und ein Kausalzusammenhang zwischen Verstoß und Schaden. Es fehlt es an einem ersatzfähigen Schaden des Kl. iSd Art. 82 Abs. 1 DS-GVO. Es oblag dem Kl., einen über die angeblichen Datenschutzverstöße und über den damit mittelbar einhergehenden Kontrollverlust hinausgehenden immateriellen Schaden in Form einer persönlichen / psychologischen Beeinträchtigung auf Grund der Datenschutzverstöße und des Kontrollverlustes darzulegen. Der bloße Verstoß gegen die Vorschriften der DS-GVO reicht nicht aus, um einen Schadensersatzanspruch zu begründen. Es bedarf darüber hinaus der Darlegung und des Nachweises eines konkreten Schadens. Ein bestimmter Grad an Erheblichkeit muss hierbei nicht erreicht werden. Der nicht näher konkretisierte Klagevortrag dazu, der Kl. habe Gefühle eines Kontrollverlusts, eines Beobachtetwerdens und einer Hilflosigkeit, insgesamt also das Gefühl der Angst entwickelt, reicht zur Darlegung persönlich belastender Folgen der Datenschutzverletzung nicht aus, weil hiermit nicht genug Beweisanzeichen objektiver Art vorgetragen sind, in denen sich solche Gefühle widerspiegeln, und zwar bezogen auf den konkreten Einzelfall. Es fehlt jeglicher konkret-individuelle Vortrag dazu, wann, wie häufig und auf welchem Weg der Kl. konkret von Missbrauchsversuchen betroffen war und vor allem wie er darauf jeweils reagiert hat oder wie er unabhängig von diesen Versuchen allein durch die Veröffentlichung des Leak-Datensatzes betroffen war. Darüber hinaus fehlt es vorliegend auch an einer Kausalität. Es besteht auch kein Schadensersatzanspruch des Kl. gegen die Beklagte wegen Nichterteilung einer den gesetzlichen Anforderungen entsprechenden außergerichtlichen Datenauskunft. Denn die Bekl. ist ihrer Auskunftspflicht außergerichtlich ausreichend nachgekommen. Mangels Anspruchs in der Hauptsache besteht auch kein Anspruch auf Freistellung von außergerichtlichen Rechtsanwaltskosten gem. § 280 Abs. 1 BGB oder aus Art. 82 Abs. 1 DS-GVO.

NEU LG Berlin Urt. v. 31.10.2023 – 27 O 315/22

0 EUR Einen Anspruch auf Schadensersatz aus Art. 82 Abs. 1 DS-GVO hat der Kl. nicht. Es kann dabei offenbleiben, ob in der Sperre überhaupt ein Verstoß gegen die DS-GVO liegt. Denn ein Verstoß gegen die Regeln der DS-GVO allein reicht für einen Schadensersatzanspruch nicht aus. Vielmehr muss ein konkreter Schaden eingetreten sein. Hierfür hat der Kl. nichts vorgetragen.

NEU LG Mannheim Schlussurt. v. 31.10.2023 – 10 O 80/23

500 EUR Die Kl. hat einen Anspruch gegen die Bekl. aus Art. 82 DS-GVO auf immateriellen Schadensersatz iHv 500 EUR. Dabei ist der Schaden nicht mit der zugrundeliegenden Rechtsgutverletzung gleichzusetzen. Vielmehr ist Voraussetzung für eine Entschädigung in Geld, das über den festgestellten Verstoß gegen die Vorschriften der DS-GVO hinaus der Nachweis eines konkreten (auch immateriellen Schadens) erbracht wird. Hierfür spricht bereits der Wortlaut von Art. 82 Abs. 1 DS-GVO, der über den Verstoß hinaus ausdrücklich die Entstehung eines Schadens (“…Schaden entstanden ist“) voraussetzt. Der Schaden muss „erlitten“ werden, woraus folgt, dass dieser tatsächlich entstanden sein muss und nicht lediglich befürchtet wird. Der größte Teil des klägerischen Vortrags beschränkt sich auf die Darlegung des Datenschutzverstoßes und abstrakte Ausführungen zu den Voraussetzungen und Rechtsfolgen eines Schadensersatzanspruches aus Art. 82 DS-GVO. So trägt die Kl. ausführlich dazu vor, welche Folgen eines Verstoßes gegen die DS-GVO in Betracht kommen, ohne dies in konkreten Zusammenhang mit der Kl. zu bringen; soweit ersichtlich wird zB nicht behauptet, dass die Kl. konkret Ängste oder Stress erlitten habe. Lediglich soweit es um Kontrollverlust und Zeiteinbußen der Kl. geht, erfolgt konkreter Vortrag, wenn vorgetragen wird: „Die erkennbaren Auswirkungen lagen vielmehr darin, dass die Kl. sich mit der Abwehr der von ihr unerwünschten Werbung und der Herkunft der Daten habe auseinandersetzen müssen. Gerade letzteres sei geeignet, zu einem durchaus belastenden Eindruck des Kontrollverlusts zu führen.“ Auch die Zeiteinbuße der Kl. wird konkret dargestellt, wenn vorgetragen wird, dass diese sich mit den Anrufen und deren Abwehr habe beschäftigen müssen anstatt ihrer Arbeit nachzugehen oder Freizeit zu haben. Dass insoweit ein Schaden bei der Kl. tatsächlich entstanden ist, bestreitet die Bekl. nicht, wenn sie lediglich zur Intensität des Eingriffes vorträgt und zB behauptet, die Entscheidungsfreiheit der Kl. sei durch den Anruf nicht erheblich beeinträchtigt. Eine Bezugnahme auf die Gründe eines Urteils in einem anderen Verfahren ist insoweit nicht behelflich, insb. da sich dieses Urteil zum Entstehen eines Schadens gar nicht verhält. Im Hinblick auf die obige Darstellung zum klägerischen Vortrag zu einem von der Kl. erlittenen Schaden hält das Gericht allerdings einen Betrag von 500 EUR für angemessen, aber auch völlig ausreichend als Kompensation. Mit der Zahlung dieses Betrags ist die „Belästigung“ der Kl. abgegolten; für das Gericht ist einsichtig, dass die Belastung mit ungewollten Anrufen nervt und belastet, hier geht es allerdings nicht um zahlreiche Anrufe und die Kl. hat auch nicht dargetan, dass sie in erheblichem Maße betroffen war. Soweit von einem Kontrollverlust der Kl. auszugehen ist, betraf dies – wie die Kl. selbst einräumt – nur einen begrenzten Bereich. Der Verlust hielt sich – wie die Kl. formuliert – im „eigenen“ Bereich. Der klägerische Anspruch ist auch nicht verjährt. Die einjährige Verjährungsfrist von § 11 Abs. 1 UWG kann vorliegend keine Anwendung finden, da ein Anspruchsgegner nicht nach § 11 Abs. 1 UWG privilegiert werden darf, wenn sein Verhalten sowohl gegen § 823 BGB und gegen die Normen der DS-GVO als auch gegen wettbewerbsrechtliche Normen verstößt. Dass die Regelverjährungsfrist nach §§ 195199 Abs. 1 BGB abgelaufen sein könnte, ist im Hinblick darauf, dass die Ansprüche auf Geschehnisse im Jahr 2021 gestützt werden, nicht ersichtlich. Die Beklagte kann sich daher nicht auf das Leistungsverweigerungsrecht nach § 214 Abs. 1 BGB berufen. Die Kl. hat Anspruch auf Ersatz ihrer außergerichtlichen Rechtsverfolgungskosten.

NEU LG Nürnberg-Fürth Urt. v. 30.10.2023 – 10 O 133/23

250 EUR Scraping-Sachverhalt. Wie LG Nürnberg-Fürth Urt. v. 20.10.2023 – 10 O 1510/22.

NEU LG Nürnberg-Fürth Urt. v. 30.10.2023 – 10 O 2852/22

250 EUR Scraping-Sachverhalt. Wie LG Nürnberg-Fürth Urt. v. 20.10.2023 – 10 O 1510/22.

NEU LG Nürnberg-Fürth Urt. v. 20.10.2023 – 10 O 3586/22

250 EUR Scraping-Sachverhalt. Wie LG Nürnberg-Fürth Urt. v. 20.10.2023 – 10 O 1510/22.

NEU LG Nürnberg-Fürth Urt. v. 20.10.2023 – 10 O 3248/22

250 EUR Scraping-Sachverhalt. Wie LG Nürnberg-Fürth Urt. v. 20.10.2023 – 10 O 1510/22.

NEU LG Nürnberg-Fürth Urt. v. 20.10.2023 – 10 O 3026/22

250 EUR Scraping-Sachverhalt. Wie LG Nürnberg-Fürth Urt. v. 20.10.2023 – 10 O 1510/22.

NEU LG Nürnberg-Fürth Urt. v. 20.10.2023 – 10 O 1510/22 = ZD 2024, 116 (Ls.)

250 EUR Der Kl. hat gegen die Bekl. einen Schadensersatzanspruch iHv 250 EUR gem. Art. 82 DS-GVO. Die Bekl. hat gegen Art. 5 Abs. 1 lit. a, Art. 6 Abs. 1 UAbs. 1 DS-GVO verstoßen, da sie vorliegend nicht den Nachweis einer rechtmäßigen Verarbeitung der Telefonnummer der Kl. gem. Art. 6 Abs. 1 UAbs. 1 DS-GVO erbringt. Ein Verstoß gegen Art. 5 Abs. 1 lit. a, Art. 6 Abs. 1 DS-GVO kann Schadensersatzansprüche nach Art. 82 DS-GVO begründen. Die Bekl. ist ihrer Verpflichtung zur Information über die Verarbeitung der Telefonnummer der Kl. gem. Art. 5 Abs. 1, Art. 13 DS-GVO nicht hinreichend nachgekommen. Eine Verletzung von den gem. Art. 13 DS-GVO bestehenden Informations- und Aufklärungspflichten ist vom Anwendungsbereich des Art. 82 DS-GVO erfasst. Die Bekl. hat gegen Art. 32. Abs. 1, Art. 24, Art. 5 Abs. 1 lit. f DS-GVO verstoßen, da sie keine hinreichenden technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten der Kl. getroffen hat. Bezüglich der Einhaltung der technischen und organisatorischen Maßnahmen ist die Bekl. im Zuge ihrer Rechenschaftspflicht aus Art. 5 Abs. 2 DS-GVO darlegungs- und beweisbelastet. Eine Verletzung von Art. 32 DS-GVO ist dabei generell vom Schutzbereich des Art. 82 DS-GVO umfasst. Die Bekl. hat vorliegend aus einer ex-ante Sicht keine hinreichenden technischen und organisatorischen Maßnahmen angemessen zum Risiko während des Zeitraums des Scraping-Vorfalls dargelegt und nachgewiesen. Ob ein Verstoß gegen Art. 25 DS-GVO vorliegt, kann vorliegend wegen seines organisatorischen Charakters und der Unanwendbarkeit des Art. 82 DS-GVO auf organisatorische Normen der DS-GVO offenbleiben. Allein aus einem Verstoß gegen Art. 25 DS-GVO kann wegen seines organisatorischen Charakters ein Anspruch nach Art. 82 Abs. 1 DS-GVO nicht begründet werden. Die Vorschrift entfaltet bereits vor dem eigentlichen Beginn der Datenverarbeitung ihren Regelungscharakter. Zu diesem, einer tatsächlichen Datenverarbeitung vorgelagerten Zeitpunkt, entfaltet die DS-GVO jedoch nach Art. 2 Abs. 1 DS-GVO noch keine Wirkung. Die Anwendbarkeit der DS-GVO setzt vielmehr eine tatsächliche Verarbeitung personenbezogener Daten voraus. Ein Anspruch aus Art. 82 DS-GVO setzt daher darüber hinaus voraus, dass weitere Verstöße gegen die DS-GVO vorliegen. Die Kl. ist der ihr obliegenden Darlegungslast bzgl. eines Schadens hinsichtlich etwaiger Verstöße gegen Art. 33 DS-GVO und Art. 34 DS-GVO nicht nachgekommen. Deshalb kann es vorliegend offenbleiben, ob ein Verstoß gegen Art. 33 DS-GVO und Art. 34 DS-GVO vorliegt und dieser vom Anwendungsbereich des Art. 82 DS-GVO umfasst ist. Hinsichtlich etwaiger Verstöße gegen Art. 3334 DS-GVO schließt sich das Gericht den Ausführungen des OLG Hamm an. Die Kl. hat einen kausalen Schaden durch den Kontrollverlust über ihre gescrapten personenbezogenen Daten erlitten. Für einen weitergehenden Schaden bleibt die Kl. darlegungs- und beweisfällig. Die Darlegungs- und Beweislast für einen kausalen Schaden nach Art. 82 DS-GVO trägt nach allgemeinen zivilprozessualen Grundsätzen der Anspruchsberechtigte. Der EuGH führt zur Darlegungs- und Beweislast aus, „dass eine Person, die von einem Verstoß gegen die DS-GVO betroffen ist, der für sie negative Folgen gehabt hat, [nicht] vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden iSv Art. 82 dieser Verordnung darstellen“. Daraus folgt, dass ein Betroffener eines Verstoßes gegen die DS-GVO einen immateriellen Schaden darlegen und beweisen muss. Eine Beweislastumkehr ist in Art. 82 Abs. 3 DS-GVO dem Wortlaut nach ausdrücklich nur bzgl. des Tatbestandsmerkmals des Verschuldens vorgesehen. Der Schadensbegriff des Art. 82 DS-GVO ist unionsrechtlich auszulegen und setzt nach dem Wortlaut der Norm, der Systematik und Telos des Art. 82 Abs. 2, Abs. 1 DS-GVO sowie der Art. 77 ff. DS-GVO und den Erwägungsgründen 75, 85 und 146 DS-GVO einen über den schlichten Verstoß gegen die DS-GVO hinausgehenden Schaden voraus. Ein Schaden iSd Art. 82 DS-GVO kann nach dem Wortlaut materieller oder immaterieller Art sein. Ein immaterieller Schaden liegt dabei jedoch noch nicht in der bloßen Verletzung einer Norm der DS-GVO. Ein solcher Schaden setzt nach Wortlaut, Erwägungsgründen 10, 146 DS-GVO und dem Telos nicht voraus, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat. Insoweit soll der Schadensersatzanspruch auch abschreckende Wirkung entfalten und eine wirksame Sanktionierung sein. Der Verantwortliche haftet lediglich für kausal durch die rechtswidrige Verarbeitung verursachte Schäden. Eine Mitursächlichkeit des Verstoßes gegen die DS-GVO genügt. Für die Frage der haftungsbegründenden Kausalität gilt § 286 ZPO. § 286 ZPO erfordert keine absolute oder unumstößliche Gewissheit und auch keine an Sicherheit grenzende Wahrscheinlichkeit, sondern nur einen für das praktische Leben brauchbaren Grad von Gewissheit, der Zweifeln Schweigen gebietet. Die Bekl. kann sich vorliegend auch nicht gem. Art. 82 Abs. 3 DS-GVO exkulpieren. Bei der Bemessung der Höhe des Schadensersatzes kann § 253 BGB herangezogen werden, sofern die unionsrechtlichen Grundsätze der Äquivalenz und Effektivität beachtet werden. Dabei können die Kriterien des Art. 83 Abs. 2 DS-GVO herangezogen werden. Der Ersatz vorgerichtlicher Rechtsanwaltskosten ist von Art. 82 Abs. 1 DS-GVO umfasst.

NEU LG Itzehoe Urt. v. 18.10.2023 – 10 O 48/23

500 EUR Der Antrag, soweit er immateriellen Schadensersatz wegen Datenschutzverstößen im Zusammenhang mit dem Scraping von Daten im Jahr 2019 betrifft, ist in Höhe von 500 EUR begründet. Die Kl. kann von der Bekl. aus Art. 82 DS-GVO Zahlung von 500 EUR verlangen. Zum einen liegt eine rechtswidrige Verarbeitung von Daten der Kl. durch die Bekl. vor. Eine Verletzung von Art. 32 DS-GVO ist dabei generell vom Schutzbereich des Art. 82 DS-GVO umfasst. Ein Verstoß kann daher die Schadensersatzpflicht nach Art. 82 DS-GVO begründen. Es liegt auch ein derartiger, haftungsbegründender Verstoß vor. Jedoch wäre eine Verletzung von Art. 25 DS-GVO jedenfalls nicht vom Schutzbereich des Art. 82 DS-GVO umfasst und kann daher keine Schadensersatzansprüche auslösen. Soweit nach den obigen Ausführungen haftungsbegründende Verletzungen der DS-GVO vorliegen, sind diese auch von der Bekl. zu vertreten. Grds. ermöglicht Art. 82 Abs. 1 DS-GVO den Ersatz materieller und immaterieller Schäden. Ein materieller Vermögensschaden iSv § 249 BGB wurde von der Kl. nicht vorgetragen. Sie beruft sich jedoch erfolgreich auf das Vorliegen eines immateriellen Schadens. Ein immaterieller Schaden liegt dabei zwar nicht schon in der bloßen Verletzung einer Norm der DS-GVO. Jedoch liegt ein immaterieller Schaden vor, wenn infolge der Verletzung der Norm der DS-GVO ein absolut geschütztes Rechtsgut der geschädigten Person verletzt wurde. In Betracht kommt insoweit etwa eine Verletzung des Rechts auf körperliche Unversehrtheit ebenso wie eine Verletzung des Rechts auf informationelle Selbstbestimmung als besondere und ebenfalls absolut geschützte Ausprägung des allgemeinen Persönlichkeitsrechts. Entsprechend ist insbesondere auch in der deutschen Rspr. anerkannt, dass eine Verletzung des allgemeinen Persönlichkeitsrechts einen Schaden iSd Art. 82 DS-GVO darstellen kann. Streitig war bis zuletzt nur, ob diese Verletzung eine gewisse Erheblichkeitsschwelle überschreiten muss oder ob zumindest „ganz unerhebliche“ Verletzungen im Sinne einer Bagatelle ausscheiden sollten – wobei diese Frage nunmehr durch den EuGH dahingehend beantwortet wurde, dass keine Erheblichkeitsprüfung durchzuführen ist. Der Schaden beruht kausal auf den oben festgestellten Verstößen. Es gelten für die Bemessung der Höhe des immateriellen Schadens die Grundsätze des § 253 BGB. Auch herangezogen werden können dabei die Kriterien des Art. 83 Abs. 2 DS-GVO. Die vorgerichtlichen Rechtsanwaltskosten sind Teil des gem. Art. 82 Abs. 1 DS-GVO zu ersetzenden Schadens.

NEU LG Hannover Urt. v. 16.10.2023 – 18 O 60/22

300 EUR Scraping-Sachverhalt. Wie LG Hannover Urt. v. 14.8.2023 – 18 O 89/22.

NEU LG Traunstein Urt. v. 11.10.2023 – 9 O 155/23

0 EUR Scraping-Sachverhalt. Kein Anspruch auf Schadensersatz, da auch bei unterstellter Anwendung von Art. 82 DS-GVO und festgestellten Verstößen gegen die DS-GVO, diese Verstöße nicht kausal für einen Schaden waren.

NEU LG Ulm Urt. v. 11.10.2023 – 4 O 173/23

500 EUR Scraping-Sachverhalt. Wie LG Ulm Urt. v. 16.2.2023 – 4 O 86/22.

NEU LG Lüneburg Urt. v. 2.10.2023 – 3 O 193/22

300 EUR Scraping-Sachverhalt. Wie LG Lüneburg Urt. v. 24.1.2023 – 3 O 116/22.

NEU LG Lüneburg Urt. v. 2.10.2023 – 3 O 180/22

300 EUR Scraping-Sachverhalt. Wie LG Lüneburg Urt. v. 24.1.2023 – 3 O 116/22.

NEU LG Lüneburg Urt. v. 2.10.2023 – 3 O 17/23

300 EUR Scraping-Sachverhalt. Wie LG Lüneburg Urt. v. 24.1.2023 – 3 O 116/22.

NEU LG Lüneburg Urt. v. 2.10.2023 – 3 O 9/23

300 EUR Scraping-Sachverhalt. Wie LG Lüneburg Urt. v. 24.1.2023 – 3 O 116/22.

NEU LG Lüneburg Urt. v. 2.10.2023 – 3 O 3/23

300 EUR Scraping-Sachverhalt. Wie LG Lüneburg Urt. v. 24.1.2023 – 3 O 116/22.

NEU LG Hof Urt. v. 29.9.2023 – 33 O 99/22

500 EUR Der Antrag ist im Umfang von 500 EUR begründet, soweit die Kl. immateriellen Schadensersatz wegen Datenschutzverstößen im Zusammenhang mit dem Scraping von Daten aus dem Jahr 2019 geltend macht. Denn es sind mehrere haftungsbegründende Verstöße der Bekl. gegen die einschlägigen Bestimmungen der DS-GVO zu bejahen. Die rechtswidrige Datenverarbeitung kann sodann – wie hier – Schadensersatzansprüche nach Art. 82 DS-GVO auslösen. Darüber hinaus ist die Bekl. auch der ihr nach Art. 13 DS-GVO auferlegten Informations- und Aufklärungspflicht nicht in vollständigem Umfang nachgekommen. Über die vorstehend bereits festgestellten Verstöße gegen die Datenschutz-Grundverordnung hinaus, hat die Bekl. zudem gegen ihre Pflichten aus Art. 32 DS-GVO zur Ergreifung geeigneter technischer und organisatorischer Schutzmaßnahmen verstoßen, was wiederum eine Schadensersatzpflicht nach Art. 82 DS-GVO begründen kann. Ob die Bekl. auch den Grundsatz „privacy by design“ bzw. „privacy by default“ (also der datenschutzfreundlichen Voreinstellungen) verletzt hat, kann wegen der bereits bejahten Verstöße gegen die Datenschutz-Grundverordnung dahinstehen. Allein aus einem Verstoß gegen Art. 25 DS-GVO kann wegen des rein organisatorischen Charakters dieser Norm ohnehin ein Anspruch nach Art. 82 Abs. 1 DS-GVO nicht begründet werden. Aus eben diesen Erwägungen heraus kann auch offenbleiben, ob die Bekl. nach dem relevanten „Scraping-Vorfall“ ihre Meldepflichten aus Art. 3334 DS-GVO verletzt und weder die Aufsichtsbehörde gem. Art. 33 DS-GVO noch die betroffene Nutzer entsprechend ihrer Verpflichtung aus Art. 34 Abs. 1 DS-GVO informiert hat. Denn auch auf diese – wohl zu bejahenden – Verstöße lässt sich ein immaterieller Schadensersatzanspruch vorliegend nicht stützen, weil nicht überzeugend angenommen werden kann, dass die etwaige Verletzung dieser Pflichten für den geltend gemachten Schaden der Klagepartei überhaupt noch (mit-)kausal geworden ist oder diesen zumindest vertieft hat. Die ihr nach Art. 82 Abs. 3 DS-GVO eingeräumte Möglichkeit zur Exkulpation ist nicht gelungen. Sie hat jedoch einen immateriellen Schaden erlitten. Ein solcher liegt zwar nicht schon vor bei der bloßen Verletzung einer Norm der DS-GVO), wohl aber bei Verletzung absolut geschützter Rechtsgüter durch Verstöße gegen die DS-GVO. Die Vorschriften der §§ 249 ff. BGB können insofern herangezogen werden. In Betracht kommt etwa eine Verletzung des Rechts auf körperliche Unversehrtheit ebenso wie eine Verletzung des Rechts auf informationelle Selbstbestimmung als besondere und ebenfalls absolut geschützte Ausprägung des allgemeinen Persönlichkeitsrechts. Das hier befasste Gericht schließt sich der zwischenzeitlich auch überwiegend vertretenen Auffassung an, wonach die erlittene Verletzung eine gewisse Erheblichkeitsschwelle nicht überschreiten muss. Der Schaden beruht auch kausal auf den oben festgestellten Verstößen; es wird auf die jeweils dort dargelegten Kausalitätserwägungen Bezug genommen. Unzweifelhaft wäre es nicht zum Abgreifen der Daten der Kl. und zu deren Verbreitung im Darknet gekommen, wenn die Bekl. die oben aufgeführten Datenschutz-Verstöße nicht begangen hätte. Dem Gericht steht bei der Bemessung des Schadensersatzes gem. § 287 ZPO ein Ermessen zu. Die vorgerichtlichen Rechtsanwaltskosten sind dabei Teil des gem. Art. 82 Abs. 1 DS-GVO zu ersetzenden Schadens.

NEU LG Göttingen Urt. v. 29.9.2023 – 10 O 41/22

400 EUR Der Kl. hat einen Anspruch auf Zahlung eines Schmerzensgeldes iHv 400 EUR aus Art. 82 DS-GVO. Ein Datenschutzverstoß ergibt sich aus der Voreinstellung in Bezug auf die (weitere) Speicherung der Telefonnummer ab dem 25.5.2018. Es liegt ein Verstoß gegen Art. 25 DS-GVO bei der Datenverarbeitung vor. Zwar kann ein Verstoß gegen Art. 25 DS-GVO unmittelbar nicht zur Auslösung der Haftung nach Art. 82 DS-GVO führen, da Art. 25 DS-GVO in erster Linie eine organisatorische Verpflichtung für den Verantwortlichen darstellt. Eine Datenverarbeitung liegt aber unzweifelhaft mit dem andauernden weiteren Vorhalten der Telefonnummer vor. Hierbei liegt auch kein Erlaubnistatbestand nach Art. 6 DS-GVO vor. Die Frage, ob das bloße Gefühl eines „Kontrollverlustes“ für die Bejahung eines Anspruchs auf immateriellen Schadensersatz schon ausreicht, bedarf hier daher keiner Entscheidung. Der eine Haftung ausschließende Nachweis nach Art. 82 Abs. 3 DS-GVO ist der Bekl. nicht gelungen. Ein weiterer haftungsbegründender bzw. haftungsverschärfender Datenschutzverstoß ergibt sich nicht daraus, dass der genannte Verstoß gegen Art. 25 DS-GVO, der sich im April 2018 realisiert hatte, entgegen Art. 3334 DS-GVO nicht der Datenschutzaufsicht gemeldet worden ist. Es ist vom Kl. nicht dargetan und auch sonst nicht ersichtlich, dass der Kl. im Falle rechtzeitiger Unterrichtung der Datenschutzaufsicht weniger Spam-Anrufe bekommen hätte. Insb. ist nicht ersichtlich, dass die Datenschutzaufsicht, auf die unbekannten Dritten oder auf diejenigen, denen die Datensätze für die Spam-Anrufe überlassen worden sind, hätte einwirken können. Der Höhe nach ist ein Betrag von 400 EUR zum Ausgleich der erlittenen und zu erwartenden immateriellen Schäden angemessen. Bei der Bestimmung des vom Kl. in das Ermessen des Gerichts gestellten Höhe des Schadenersatzes gem. § 287 Abs. 1 ZPO waren auf der einen Seite die Unannehmlichkeiten durch die Spam-Anrufe und damit einhergehend der Zugriff der Anrufer auf Nummer und Namen des Kl. zu berücksichtigen. Auf der anderen Seite war die Möglichkeit des Kl., seine Handynummer zu wechseln, zu berücksichtigen sowie der (nur) fahrlässige Datenschutzverstoß. Zudem war das Maß an Pflichtwidrigkeit herabgesetzt wegen der von der Bekl. ergriffenen – wenn auch nicht ausreichenden – Maßnahmen in Gestalt der Bot-Erkennung und technischen Übertragungsbeschränkung. Ferner handelt es sich bei den abgegriffenen Daten zwar um personenbezogene Daten, aber nicht um personenbezogene Daten einer besonderen Kategorie nach Art. 9 DS-GVO. Ein Mitverschulden des Kl. durch Beibehaltung der Voreinstellung liegt nicht vor. Es ist gerade der Zweck des Art. 25 Abs. 1 Satz 3 DS-GVO, Voreinstellungen datenminimierend auszugestalten, weil Nutzer typischerweise wenig Veranlassung haben, diese später noch einmal zu verändern. Nachdem dem Kl. der Schadensersatzanspruch aus Art. 82 DS-GVO dem Grunde nach zusteht, ist auch auf den Klageantrag zu 2) begründet, da es ohne Weiteres möglich ist, dass der Kl. neben immateriellen Schäden künftig auch materielle Einbußen erleiden kann. Eine darüber hinausgehende gewisse Wahrscheinlichkeit des Schadenseintritts ist nicht erforderlich. Als weiteren Posten des ihm zustehenden materiellen Schadensersatzanspruchs nach Art. 82 DS-GVO kann der Kl. auch die Erstattung angefallener vorgerichtlicher

Rechtsanwaltsgebühren beanspruchen.

NEU LG Hannover Urt. v. 28.9.2023 – 13 O 63/23

500 EUR Scraping-Sachverhalt. Wie LG Hannover Urt. v. 17.8.2023 – 13 O 1/23.

NEU LG Bayreuth Urt. v. 21.9.2023 – 31 O 312/23

100 EUR Scraping-Sachverhalt. Wie LG Bayreuth Urt. v. 22.6.2023 – 31 O 40/23.

NEU LG Wiesbaden Urt. v. 21.9.2023 – 3 O 50/23

600 EUR Der Kl. steht gegen die Bekl. ein Anspruch auf Schadenersatz iHv 600 EUR aus Art. 82 Abs. 1 DS-GVO zu. Diese Anspruchsvoraussetzungen sind gegeben. Die Bekl. hat gegen Art. 25 Abs. 2 DS-GVO, gegen Art. 13 Abs. 1c DS-GVO, gegen Art. 23, gegen Art. 24 i. V. m. Art. 25 Abs. 1c DS-GVO, gegen Art. 33 DS-GVO und gegen Art. 34 Abs. 1 DS-GVO verstoßen.

NEU LG Freiburg Urt. v. 20.9.2023 – 8 O 63/23

0 EUR Ein Schadensersatzanspruch gem. Art. 82 DS-GVO besteht nicht, weil kein Schaden entstanden ist und im übrigen auch kein Datenschutzverstoß vorliegt. Für die Bejahung eines Schadensersatzanspruches reicht es bereits nicht aus, dass lediglich ein Verstoß gegen eine Bestimmung der DS-GVO vorliegt. Vielmehr muss ein wirklicher Schaden in materieller oder immaterieller Hinsicht entstanden sein, der über den Verstoß als solchen hinausgeht. Ein Schadensersatzanspruch soll allein eine tatsächliche Beeinträchtigung beim Geschädigten ausgleichen und nicht darüber hinaus gehen. Ein solcher Schaden konnte bei der Kl. nicht festgestellt werden. Die Kl. ließ vortragen, dass sie auf Grund des Schreibens der Bekl. überaus verunsichert gewesen sei. Selbst bei tatsächlich vorliegender Verunsicherung der Kl., reicht eine solche nicht aus, einen immateriellen Schaden zu begründen. Es handelt sich lediglich um ein einzelnes Schreiben, das auch keine unrichtigen Angaben enthält. In der persönlichen Anhörung der Kl. ist deutlich geworden, dass diese sich in erster Linie über die verlustreiche Anlageentscheidung ärgert. Auf die Idee der vorliegenden Klage haben sie erst die Klägervertreter gebracht. Der dem vorliegenden Verfahren in Wahrheit zugrundeliegenden Interessenwiderstreit besteht in dem Wettbewerbsverhältnis zwischen Klägervertreterin und Bekl. Das kann aber keine Beeinträchtigung der Kl. selbst iSd Art. 82 DS-GVO begründen, weil der Kl. für UWG Ansprüche die Klagebefugnis aus § 8 Abs. 3 UWG fehlt. Aus guten Gründen hat der Gesetzgeber das Vorgehen gegen solche Werbemaßnahmen auf Mitbewerber und Verbraucherverbände beschränkt. Es liegt zudem bereits kein Datenschutzverstoß iSd Art. 82 DS-GVO vor, weil die Datenverarbeitung durch die Bekl. rechtmäßig war. Dies folgt nicht aus Art. 6 Abs. 1 S. 1 lit. b DS-GVO, weil keine Vertragsbeziehung zwischen den Darlehensgebern der V…besteht. Die Rechtfertigung ergibt sich aber aus Art. 6 Abs. 1 S. 1 lit. f DS-GVO.

NEU LG Freiburg Urt. v. 20.9.2023 – 8 O 32/23

100 EUR Scraping-Sachverhalt. Wie LG Freiburg im Breisgau Urt. v. 14.9.2023 – 8 O 9/23.

NEU LG Freiburg Urt. v. 20.9.2023 – 8 O 28/23

200 EUR Scraping-Sachverhalt. Wie LG Freiburg im Breisgau Urt. v. 14.9.2023 – 8 O 9/23.

NEU LG Freiburg Urt. v. 20.9.2023 – 8 O 23/23

300 EUR Scraping-Sachverhalt. Wie LG Freiburg im Breisgau Urt. v. 14.9.2023 – 8 O 9/23.

NEU LG Freiburg Urt. v. 20.9.2023 – 8 O 20/23

100 EUR Scraping-Sachverhalt. Wie LG Freiburg im Breisgau Urt. v. 14.9.2023 – 8 O 9/23.

LG Freiburg Urt. v. 15.9.2023 – 8 O 184/22 = ZD 2024, 117 (Ls.)

500 EUR Die Kl. hat gegen die Bekl. gem. Art. 82 Abs. 1 DS-GVO wegen des Scraping-Sachverhalts einen Anspruch auf immateriellen Schadenersatz iHv 500 EUR auf Grund der Verletzung von Vorschriften der DS-GVO. Der Maßstab für Verstöße gegen die DS-GVO iSd Art. 82 Abs. 1 DS-GVO ist weit zu fassen. Es kommen materielle wie formelle Verstöße in Betracht. Auch ist nicht allein auf die Datenverarbeitung abzustellen, sondern sämtliche Maßnahmen, so auch Vorbereitungsmaßnahmen, können einen entsprechenden Anspruch begründen. Der Bekl. kann sich nicht gem. Art. 82 Abs. 3 DS-GVO, der das Verschulden widerleglich vermutet, exkulpieren. Soweit in der Vorschrift von der Verantwortlichkeit für den Schaden die Rede ist, ist dies iSv Verschulden aufzufassen. Art. 82 Abs. 3 DS-GVO ordnet eine Beweislastumkehr hinsichtlich des Verschuldens an. Der Anspruchsverpflichtete kann sich daher nur entlasten, indem er beweist, dass er die am Maßstab des Stands der Technik und im Verkehr, dh am allgemeinen Schutzinteresse orientierte erforderliche Sorgfalt iSv § 276 Abs. 2 BGB angewendet hat. Der Ersatz eines immateriellen Schadens nach Art 82 DS-GVO ist aber nicht davon abhängig, dass der entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht, so dass auch Bagatellschäden einen Schadensersatzanspruch begründen. Deshalb kann ein Schaden auch bereits in einem unguten Gefühl, in der Angst und Besorgnis liegen, dass personenbezogene Daten Unbefugten bekannt geworden sind, wenn die Gefahr besteht, dass die Daten unbefugt weiterverwendet werden. Die erforderliche Kausalität zwischen den Verstößen der Bekl. gegen die DS-GVO und dem Schaden der Klagepartei liegt vor. Bei der Bestimmung des vom Kl. in das Ermessen des Gerichts gestellten Höhe des Schadenersatzes gem. § 287 Abs. 1 S. 1 ZPO sind alle Umstände des Einzelfalls zu würdigen. Die Kriterien des Art. 83 Abs. 2 DS-GVO, die Anhaltspunkte für die Höhe der von der Aufsichtsbehörde zu verhängenden Geldbuße geben sollen, können auch für die Bemessung des immateriellen Schadenersatzes herangezogen werden. Die vorgerichtlichen Rechtsanwaltskosten sind als Teil des zu ersetzenden Schadens gem. Art. 82 Abs. 1 DS-GVO zu erstatten.

LG Freiburg Urt. v. 15.9.2023 – 8 O 21/23

0 EUR Der Verlust über die Kontrolle der Daten ist nicht zwangsläufig ein immaterieller Schaden iSd Art. 82 DS-GVO, sondern hierdurch muss Angst oder Besorgnis beim Betroffenen entstehen, was mit den Daten geschehen könnte. Dies muss das Gericht feststellen. Die bloße Verärgerung über den Datenschutzverstoß als solchen genügt für die Annahme eines immateriellen Schadens nicht. Der Maßstab für Verstöße gegen die DS-GVO iSd Art. 82 Abs. 1 DS-GVO ist weit zu fassen. Es kommen materielle wie formelle Verstöße in Betracht. Auch ist nicht allein auf die Datenverarbeitung abzustellen, sondern sämtliche Maßnahmen, so auch Vorbereitungsmaßnahmen, können einen entsprechenden Anspruch begründen. Ein Verstoß gegen Art. 25 Abs. 2 DS-GVO kann zu einem Schadenersatzanspruch führen, weil aus der Verletzung der sich aus Art. 25 DS-GVO ergebenden Pflichten eine Erhöhung der Gefahr eines Schadenseintritts resultiert. Soweit in der Vorschrift von der Verantwortlichkeit für den Schaden die Rede ist, ist dies iSv Verschulden aufzufassen. Art. 82 Abs. 3 DS-GVO ordnet eine Beweislastumkehr hinsichtlich des Verschuldens an. Die vorgerichtlichen Rechtsanwaltskosten sind als Teil des zu ersetzenden Schadens gem. Art. 82 Abs. 1 DS-GVO zu erstatten.

NEU LG Freiburg im Breisgau Urt. v. 15.9.2023 – 8 O 14/23

300 EUR Scraping-Sachverhalt. Wie LG Freiburg im Breisgau Urt. v. 14.9.2023 – 8 O 9/23.

NEU LG Freiburg im Breisgau Urt. v. 15.9.2023 – 8 O 10/23

300 EUR Scraping-Sachverhalt. Wie LG Freiburg im Breisgau Urt. v. 14.9.2023 – 8 O 9/23.

NEU LG Freiburg im Breisgau Urt. v. 14.9.2023 – 8 O 9/23

300 EUR Der Maßstab für Verstöße gegen die DS-GVO iSd Art. 82 Abs. 1 DS-GVO ist weit zu fassen. Es kommen materielle wie formelle Verstöße in Betracht. Auch ist nicht allein auf die Datenverarbeitung abzustellen, sondern sämtliche Maßnahmen, so auch Vorbereitungsmaßnahmen, können einen entsprechenden Anspruch begründen. Die Bekl. hat gegen die gem. Art. 13 Abs. 1 lit. c DS-GVO bestehende Informationspflicht bei Erhebung von personenbezogenen Daten verstoßen, indem sie die Kl. bei der Anmeldung auf der Facebook-Plattform nicht ausreichend über die Zwecke informiert hat, für die ihre Telefonnummer verwendet werden sollte. Da die vom Kl. gegebene Einwilligung in die Verarbeitung seiner Telefonnummer nicht ausreichend informiert erteilt wurde, weil insb. die Zwecke der Verarbeitung nicht transparent vermittelt wurden, verstieß diese gegen Art. 6 Abs. 1 DS-GVO. Die Bekl. hat zudem gegen die Verpflichtung gem. Artt. 24325 Abs. 1 lit. f DS-GVO, die Sicherheit der Verarbeitung zu gewährleisten, verstoßen. Die Bekl. hat überdies gegen in Art. 25 Abs. 2 DS-GVO das Gebot, Datenschutz durch datenschutzfreundliche Voreinstellungen zu gewährleisten, verstoßen, indem sie standardmäßig die Suchbarkeit der Nutzer über deren Telefonnummer „für alle“ voreingestellt hat. Ein Verstoß gegen diese Vorschrift kann zu einem Schadenersatzanspruch iSd Art. 82 DS-GVO führen, weil aus der Verletzung der sich aus Art. 25 DS-GVO ergebenden Pflichten eine Erhöhung der Gefahr eines Schadenseintritts resultiert. Die Bekl. hat auch gegen Art. 33 Abs. 1 DS-GVO verstoßen. Ob die Bekl. dem vorgerichtlichen Auskunftsersuchen der Kl. über ihre personenbezogenen Daten nicht in ausreichendem Maße nachgekommen ist und dadurch gegen Art. 15 DS-GVO verstoßen hat kann dahinstehen. Denn die Ungewissheit über die Verarbeitung der eigenen Daten deckt sich mit dem Schaden durch den eigentlichen Verstoß. Ein eigenständiger Schadensersatzanspruch auf Grund einer Verletzung der Auskunftspflicht kommt nur in Betracht, wenn die fehlende Auskunft einen Schaden zumindest verschärft hat. Dies ist hier nicht zu erkennen, weil die Klagepartei nicht ansatzweise darlegt welche Schritte sie bei einer ausreichenden Auskunft vorgenommen hätte und wie das einen Schaden vermindert hätte. Der Bekl. kann sich nicht gem. Art. 82 Abs. 3 DS-GVO, der das Verschulden widerleglich vermutet, exkulpieren. Soweit in der Vorschrift von der Verantwortlichkeit für den Schaden die Rede ist, ist dies iSv Verschulden aufzufassen. Art. 82 Abs. 3 DS-GVO ordnet eine Beweislastumkehr hinsichtlich des Verschuldens an. Der Begriff des Schadens ist gem. Erwägungsgrund 146 S. 3 DS-GVO weit auf eine Art und Weise auszulegen, die den Zielen dieser Verordnung in vollem Umfang entspricht. Für einen Schadensersatzanspruch nach Art. 82 DS-GVO reicht allerdings der bloße Verstoß gegen die Bestimmungen der DS-GVO nicht aus. Es muss ein Schaden vorliegen. Der Ersatz eines immateriellen Schadens nach Art 82 DS-GVO ist aber nicht davon abhängig, dass der entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht, so dass auch Bagatellschäden einen Schadensersatzanspruch begründen. Das Gericht schließt sich dabei dem Verständnis des Generalanwaltes im Verfahren gegen die Österreichische Post AG der Bedeutung des erwähnten Kontrollverlustes an. Danach verursacht der Verlust über die Kontrolle der Daten nicht zwangsläufig einen Schaden. Vielmehr adressiert die Erwähnung des Kontrollverlustes in den Erwägungsgründen – in sprachlicher Unschärfe – die möglichen Folgen dieses Verlusts wie etwa Angst oder Besorgnis, was mit den Daten geschehen könnte. Im streitgegenständlichen Fall trat der immaterielle Schaden durch die auf Grund des Scrapings bei der Kl. nachvollziehbar ausgelöste Besorgnis bzgl. des weiteren Schicksals seiner persönlichen Daten ein, die damit – als ein mit seiner Telefonnummer verknüpfter Datensatz – im Netz kursierten. Denn dadurch erlitt diese einen Kontrollverlust über ihre Daten, der vorliegend mit dem subjektiv besorgniserregenden Risiko einherging, dass diese Daten etwa durch Identitätsdiebstahl unbefugt und schadensträchtig genutzt werden. Die erforderliche Kausalität zwischen den Verstößen der Bekl. gegen die DS-GVO und dem Schaden der Kl. liegt vor. Bei der Bestimmung des vom Kl. in das Ermessen des Gerichts gestellten Höhe des Schadenersatzes gem. § 287 Abs. 1 S. 1 ZPO sind alle Umstände des Einzelfalls zu würdigen. Die Kriterien des Art. 83 Abs. 2 DS-GVO, die Anhaltspunkte für die Höhe der von der Aufsichtsbehörde zu verhängenden Geldbuße geben sollen, können auch für die Bemessung des immateriellen Schadenersatzes herangezogen werden. Bei der Festsetzung der Höhe des Schadensersatzes sind die mitgliedstaatlichen Vorschriften unter Berücksichtigung des unionsrechtlichen Effektivitätsgebots und Äquivalenzgebots anzuwenden. Die DS-GVO selbst enthält keine weiteren Bemessungsgrundsätze. Allerdings kann die Fluggastrechte-Verordnung als erster Anhaltspunkt dienen, die einen Ausgleichsanspruch iHv 250 bis 600 EUR vorsieht. Die vorgerichtlichen Rechtsanwaltskosten sind als Teil des zu ersetzenden Schadens gem. Art. 82 Abs. 1 DS-GVO zu erstatten.

NEU LG Aachen Urt. v. 14.9.2023 – 12 O 354/22

300 EUR Dem Kl. steht gegen die Bekl. einen Anspruch auf Schadensersatz iHv 300 EUR aus Art. 82 Abs. 1 DS-GVO zu. Die Bekl. hat als Verantwortliche iSd Art. 4 Nr. 7 DS-GVO gegen mehrere Vorschriften aus der DS-GVO verstoßen. Konkret verstieß die Bekl. gegen Art. 25 Abs. 2 DS-GVO, gegen Art. 13 Abs. 1 lit. c DS-GVO, gegen Art. 32245 Abs. 1 lit. f DS-GVO, gegen Art. 33 DS-GVO (und gegen Art. 34 Abs. 1 DS-GVO. Durch diese Verstöße ist dem Kl. ein immaterieller Schaden entstanden. Die Verstöße gegen die DS-GVO sind auch kausal für den bei dem Kl. entstandenen Schaden. Die Bekl. handelte auch schuldhaft. Der Kl. hat sich auch kein Mitverschulden nach § 254 Abs. 1 BGB anrechnen zu lassen. Der Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO dient nicht nur dem Ausgleich erlittenen Schadens, sondern auch repressiven und präventiven Zwecken, indem er Verstöße sanktioniert, weiteren Verstößen präventiv vorbeugt und vor zukünftigen Verstößen abschreckt. Würde ein Schaden erst dann angenommen werden, wenn es durch das Abgreifen der Daten zu einer vertieften vermögens- oder persönlichkeitsrechtlichen Verletzung des Betroffenen kommt, würde das dem weit auszulegenden Schadensbegriff und dem damit verbundenen individuellen Ausgleichsanspruch entgegenstehen. Als weitere Schäden in diesem Zusammenhang kommen zudem Angst, Stress und Zeiteinbußen in Betracht. Es kann vorliegend dahinstehen, ob für eine Ersatzpflicht nach Art. 82 Abs. 1 DS-GVO bereits ein Verstoß gegen eine Norm der DS-GVO genügt, oder ein konkreter Schaden des Kl. vorliegen muss. Die Kammer geht davon aus, dass Kl. eine Vielzahl von belästigenden Anrufen erhalten hat, auch zur Nachtzeit, die er als Eingriff in seine Lebensführung empfunden hat. Auf Grund des in der mündlichen Verhandlung gewonnenen Eindrucks von dem Kl., hält die Kammer diesen für insgesamt glaubwürdig und seine Aussage für glaubhaft. Er war keineswegs bemüht, die standardisierten Formulierungen der Klage zu wiederholen. Vielmehr schilderte er das, was ihn gestört hat, ohne Übertreibungen und ohne erkennbaren Blick auf das, was ihrem Begehren vermeintlich dienlicher sein könnte. Ihm war anzumerken, dass ihn die Gesamtsituation ihn erheblich belastet (hat). Das zeigt sich iÜ auch daran, dass der Kl. sich gerade wegen der Störungen eine weitere private Nummer zugelegt hat. Die Verstöße gegen die DS-GVO durch die Bekl. können nicht hinweg gedacht werden, ohne dass der Schaden des Kl. entfiele. Erst durch diese Verstöße war es den unbekannten Scrapern möglich, personenbezogene Daten des Kl. abzugreifen. Die Bekl. handelte hinsichtlich der festgestellten Verstöße auch schuldhaft. Sie kann sich hinsichtlich der einzelnen Verstöße nicht nach Art. 82 Abs. 3 DS-GVO entlasten. Bei der Bemessungshöhe des immateriellen Schadensersatzes nach Art. 82 Abs. 1 DS-GVO können dabei die Grundlagen des Art. 83 Abs. 2 DS-GVO herangezogen werden.

NEU LG Paderborn Urt. v. 4.9.2023 – 4 O 100/23

400 EUR Scraping-Sachverhalt.

NEU LG Verden Urt. v. 1.9.2023 – 2 O 115/22

1.000 EUR Dem Kl. ist ein Schaden entstanden. Ihm ist zwar unstreitig bisher kein materieller Schaden entstanden, wohl ein immaterieller Schaden. Ein immaterieller Schaden liegt vor, wenn auf Grund eines Verstoßes gegen die DS-GVO ein absolut geschütztes Rechtsgut der geschädigten Person verletzt wurde. Vorliegend wurde das allgemeine Persönlichkeitsrecht in der Ausprägung des Rechts auf informationelle Selbstbestimmung verletzt. Das Recht auf informationelle Selbstbestimmung enthält die Befugnis des Einzelnen, grundsätzlich selbst zu entscheiden, wann und innerhalb welcher Grenzen persönliche Lebenssachverhalte offenbart werden. Dieses Recht des Kl. wurde verletzt. Die Daten des Kl., insb. seine auf der Plattform der Beklagten nicht veröffentlichte Mobilnummer, wurden im Internet gemeinsam mit den Daten einer Vielzahl anderer Nutzer der Bekl. veröffentlicht. Über diese Veröffentlichung, der auf Grund des Vorliegens eines „Datenpakets“ mit Daten vieler Personen ein höherer Nutzwert für kriminell handelnde Dritte zukommt, hatte der Kl. keine Kontrolle. Sie verletzt daher sein Recht auf informationelle Selbstbestimmung. Ob diese Verletzung „erheblich“ ist, ist nicht von Relevanz. Der EuGH hat entschieden, dass keine Erheblichkeitsprüfung durchzuführen ist. Die Bekl. hat weiter gegen Bestimmungen der DS-GVO verstoßen. Die Bekl. hat gegen die DS-GVO verstoßen, weil sie Daten des Kl., namentlich seine Telefonnummer, ohne seine Einwilligung verarbeitet hat. Die Bekl. hat ferner gegen die Vorgaben zur Gewährleistung einer angemessenen Sicherheit bei der Verarbeitung der personenbezogenen Daten nach Art. 5 Abs. 1 lit. f DS-GVO verstoßen. Die Bekl. hat schließlich gegen die Verpflichtung zur Vornahme datenschutzfreundlicher Voreinstellungen nach Art. 25 Abs. 2 DS-GVO verstoßen. Demgegenüber hat die Bekl. nicht gegen die Transparenzpflichten aus Artt. 5 Abs. 1 lit. a, 1314 DS-GVO verstoßen. Auch ein möglicher Verstoß der Bekl. gegen die Auskunftspflicht nach Art. 15 DS-GVO ist für den Schadensersatzanspruch nach Art. 82 DS-GVO irrelevant. Es würde jedenfalls an der Kausalität des Verstoßes für den vermeintlichen Schaden in Gestalt der Datenveröffentlichung fehlen. Der Schaden liegt in einer rechtswidrigen Datenverarbeitung begründet, nicht jedoch in einer unterlassenen oder verspäteten Auskunft über die erhobenen Daten als solche. Eine Haftungsbefreiung der Bekl. nach Art. 82 Abs. 3 DS-GVO kommt nicht in Betracht. Dass die Bekl. in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist, ist nicht festzustellen. Erforderlich hierfür wäre der Nachweis der Bekl., dass sie sämtliche Sorgfaltsanforderungen erfüllt hat und ihr nicht die geringste Fahrlässigkeit vorzuwerfen ist. Die Höhe des Schadensersatzes beziffert das Gericht mit 1.000 EUR, wobei es diesen Betrag für angemessen, aber auch für ausreichend hält, um den immateriellen Schaden auszugleichen und gleichzeitig der erforderlichen Abschreckungswirkung Rechnung zu tragen sowie dabei die besonderen Umstände des Falles zu würdigen. Dem Gericht steht insoweit gem. § 287 ZPO ein Ermessen zu. Das Gewicht der Rechtsverletzung sowie der objektive Umfang der Beeinträchtigung der betroffenen Person sind angemessen zu berücksichtigen. Danach ist einerseits in die Bemessung des Schadensersatzes mit einzubeziehen, dass der Bekl. mehrere Verstöße gegen die DS-GVO vorzuwerfen sind, wobei aber jeweils kein Vorsatz festgestellt werden kann. Die Beeinträchtigung des Kl. selbst bewegt sich eher im Bagatellbereich. Dies schon deswegen, weil überwiegend ohnehin öffentlich einsehbare Daten über seine Person betroffen waren. Andererseits wurden diese Daten aber durch die Telefonnummer angereichert und sind aus diesem Grunde für kriminell agierende Personen von höherem Nutzwert. Auch werden Daten in einem umfangreichen Datenpaket eher Ausgangspunkt krimineller Aktivitäten sein als in einem Einzelkonto auf facebook veröffentlichte Daten. Berücksichtigt man diesen Aspekt sowie zusätzlich die erforderliche Abschreckungswirkung des Schadensersatzes, erscheinen 1.000 EUR angemessen. Der Kl. kann von der Bekl. auch die Feststellung der Ersatzpflicht für mögliche künftige Schäden verlangen. Der Kl. hat einen Anspruch auf Zahlung vorgerichtlicher Rechtsanwaltskosten iHv 159,94 EUR. Der Kl. kann auf Grund von Art. 82 Abs. 1 DS-GVO den Ersatz vorgerichtlich aufgewendeter Rechtsanwaltskosten zur Anspruchsdurchsetzung als Schaden geltend machen.

NEU LG Paderborn Urt. v. 25.8.2023 – 3 O 236/22

100 EUR Scraping-Sachverhalt. Wie Paderborn Urt. v. 24.2.2023 – 3 O 220/22.

NEU LG Duisburg Urt. v. 24.8.2023 – 8 O 86/22

250 EUR Die Kl. hat gegen die Bekl. einen Anspruch auf immateriellen Schadensersatz iHv 25 EUR gem. Art. 82 Abs. 1 DS-GVO. Ein auf Art. 82 Abs. 1 DS-GVO gestützter Schadensersatzanspruch kann grds. auf jeder Vorschrift der DS-GVO beruhen. Der Rahmen möglicher Verstöße, die geeignet sind, eine Schadensersatzpflicht auszulösen, ist weit zu ziehen. Dies ergibt sich zum einen aus dem Wortlaut des Art. 82 Abs. 1 DS-GVO, der allgemein von einem „Verstoß gegen die DS-GVO“ spricht. Zum anderen spricht der Zweck der Vorschrift, welcher der Umsetzung des Grundziels der DS-GVO dient, indem er Betroffenen einen Schadensersatzanspruch an die Hand gibt, für eine weite Auslegung. Gemäß Art. 1 Abs. 2 DS-GVO soll die Verordnung die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten schützen. Dieses Recht kann durch jeden Verstoß gegen die DS-GVO berührt werden und ist dementsprechend vor jedem Verstoß zu schützen. Eine Einschränkung wegen des Wortlauts des Art. 82 Abs. 2 DS-GVO ist nicht angezeigt. Dieser regelt die Haftung der an der Verarbeitung personenbezogener Daten Beteiligten, ohne dass hierdurch der Anwendungsbereich des Art. 82 Abs. 1 DS-GVO auf Verstöße bei der „Verarbeitung“ beschränkt wird. Dass die Folgen eines „Verstoßes“ gegen die DS-GVO und die Verantwortlichkeit für die „Verarbeitung“ in getrennten Absätzen des Art. 82 DS-GVO geregelt sind, zeigt gerade, dass der Gesetzgeber hierbei eine bewusste terminologische Unterscheidung getroffen hat. Eine Einschränkung widerspräche auch dem oben genannten Schutzzweck der Vorschrift. Die Bekl. hat gegen die Art. 25 Abs. 25 Abs. 1 lit. a und Art. 13 DS-GVO verstoßen. Auf einen Verstoß gegen die Artt. 3334 und 15 DS-GVO kann die Kl. hingegen keine Schadensersatzansprüche stützen. Die Kl. kann einen Schadensersatzanspruch auch nicht auf die Artt. 32 und 5 Abs. 1 lit. f DS-GVO wegen mangelnder Schutzmaßnahmen gegen die Ausnutzung der Systeme der Bekl. stützen. Die Kl. trägt als Anspruchstellerin die Darlegungs- und Beweislast hinsichtlich eines Verstoßes der Bekl. gegen diese Vorschriften. Die Bekl. hat sich hinsichtlich der Verstöße gegen die DS-GVO nicht entlastet. Sie trägt die Darlegungs- und Beweislast dafür, weder vorsätzlich gehandelt noch die ihr obliegende Sorgfalt, § 276 BGB, außer Acht gelassen zu haben (vgl. Art. 82 Abs. 3 DS-GVO). Eine entsprechende Entlastung ist ihr nicht gelungen. Der Kl. ist durch die Verstöße der Bekl. gegen die DS-GVO ein immaterieller Schaden entstanden, den die Kammer mit 250 EUR beziffert. Dieser Schaden besteht in dem Kontrollverlust hinsichtlich ihrer personenbezogenen Daten, der der Kl. infolge der Verstöße der Bekl. gegen die DS-GVO entstanden ist. Das durch die DS-GVO geschützte Selbstbestimmungsrecht hinsichtlich der eigenen personenbezogenen Daten ist mit jedem Kontrollverlust über diese verletzt. Ein solcher Kontrollverlust zu Lasten der Kl. liegt vor, denn dass die Daten der Kl. iRd Scraping-Vorfalls abgegriffen wurden, ist zwischen den Parteien unstreitig. Dieser Schaden ist auch kausal auf die Verstöße der Bekl. gegen die Artt. 25 Abs. 25 Abs. 1 lit. a und 13 DS-GVO zurückzuführen. Bei der Bestimmung der von der Kl. in das Ermessen des Gerichts gestellten Höhe des Schadenersatzes gem. § 287 Abs. 1 S. 1 ZPO sind alle Umstände des Einzelfalls zu würdigen. Die Kriterien des Art. 83 Abs. 2 DS-GVO, die Anhaltspunkte für die Höhe einer von der Aufsichtsbehörde zu verhängenden Geldbuße geben, können auch für die Bemessung des immateriellen Schadenersatzes herangezogen werden.

NEU LG Hannover Urt. v. 17.8.2023 – 13 O 1/23

500 EUR Die Kammer ist mit der erforderlichen Gewissheit nach dem Maßstab des § 286 ZPO davon überzeugt, dass der Kl. in der fraglichen Zeit ein Konto bei der Bekl. unterhielt, das von dem „Scraping-Vorfall“ betroffen war. Weiter hat die Bekl. gegen Art. 25 Abs. 2 DS-GVO verstoßen. Soweit zwar einerseits nicht allein der bloße Verstoß gegen die Bestimmungen der DS-GVO zur Begründung eines Schadensersatzanspruchs ausreicht, so bedarf der erlittene Schaden andererseits nicht eines bestimmten Grades an Erheblichkeit. Die aufgezeigten Verstöße gegen die DS-GVO sind auch kausal für den vom Kl. erlittenen Schaden. Die Kammer hält auch nach Anhörung des Kl. und dem dabei gewonnenen Eindruck in Ausübung des ihr durch § 287 ZPO eingeräumten Ermessens ein Schmerzensgeld von 500 EUR für angemessen, aber auch ausreichend, um einerseits der Ausgleichs- und Genugtuungsfunktion zu genügen und andererseits der auch generalpräventiven Funktion des immateriellen Schadensersatzes hinreichend Rechnung zu tragen. Bei der Bemessung der Schadensersatzhöhe hat die Kammer daneben auch die gesetzgeberisch beabsichtigte abschreckende Wirkung des Schadensersatzes berücksichtigt. Andererseits war aber auch zu berücksichtigen, dass das Allgemeininteresse im Schwerpunkt nach Art. 83 DS-GVO durch die Verhängung von Bußgeldern gewahrt wird.

NEU LG Erfurt Urt. v. 14.8.2023 – 3 O 580/22 (2)

500 EUR Scraping-Sachverhalt. Wie LG Lübeck Urt. v. 25.5.2023 – 15 O 74/22.

NEU LG Hannover Urt. v. 14.8.2023 – 18 O 157/22

500 EUR Scraping-Sachverhalt. Wie LG Hannover Urt. v. 14.8.2023 – 18 O 89/22.

NEU LG Hannover Urt. v. 14.8.2023 – 18 O 96/22

500 EUR Scraping-Sachverhalt. Wie LG Hannover Urt. v. 14.8.2023 – 18 O 89/22.

NEU LG Hannover Urt. v. 14.8.2023 – 18 O 89/22 = ZD 2024, 117 (Ls.)

500 EUR Scraping-Sachverhalt. Da die Bemessung der Höhe des Schmerzensgeldes in das Ermessen des Gerichts gestellt ist, ist die Stellung eines unbezifferten Zahlungsantrags ausnahmsweise zulässig. Ein Verstoß gegen den in § 253 Abs. 2 Nr. 2 ZPO normierten Bestimmtheitsgrundsatz liegt dann nicht vor, wenn die Bestimmung des Betrages von einer gerichtlichen Schätzung nach § 287 ZPO oder vom billigen Ermessen des Gerichts abhängig ist. Die nötige Bestimmtheit soll hier dadurch erreicht werden, dass der Kl. in der Klagebegründung die Berechnungs- bzw. Schätzgrundlagen umfassend darzulegen und die Größenordnung seiner Vorstellungen anzugeben hat. Der Kl. hat gegen die Bekl. einen Anspruch auf Schadensersatz aus Art. 82 DS-GVO iHv 500 EUR. Eine Pflichtverletzung der Bekl. idS ist gegeben. Zum einen liegt ein Verstoß gegen Art. 13 DS-GVO vor. Bei der Vorschrift des Art. 13 DS-GVO handelt es sich um eine solche, die zu dem Kreis der eine Schadensersatzpflicht gem. Art. 82 DS-GVO auslösenden Vorschriften zählt. Die Kammer schließt sich der Rechtsauffassung an, nach der der Kreis derjenigen Pflichten, deren Verletzung gem. Art. 82 DS-GVO Schadensersatzpflichten auslösen, auch die Verletzung von Informations- und Aufklärungspflichten erfasst. Daneben liegt ein Verstoß gegen Art. 25 Abs. 1 DS-GVO vor. Zudem liegt ein Verstoß gegen Art. 25 Abs. 2 DS-GVO vor. Der Kl. hat auch einen Schaden erlitten. Das Vorliegen eines Schadens stellt eine eigenständige Tatbestandsvoraussetzung des Art. 82 DS-GVO dar. Ein Verzicht auf das – eigenständige – Erfordernis eines Schadens widerspräche dem Wortlaut des Art. 82 Abs. 1 DS-GVO. Nach dieser Bestimmung wird der Schadensersatz gerade deshalb gewährt, weil zuvor ein Schaden entstanden ist. Es ist daher eindeutig erforderlich, dass der natürlichen Person durch einen Verstoß gegen die DS-GVO ein Schaden entstanden ist. Damit kommt es vorliegend auf den positiven Nachweis eines über den bloßen Verstoß gegen die DS-GVO hinausgehenden „Schadens“ an. Der Begriff des Schadens iSv Art. 82 Abs. 1 DS-GVO ist – europarechtlich autonom und unter Berücksichtigung der in den Erwägungsgründen zur DS-GVO niedergelegten Zielsetzungen – auszulegen. Bereits der Kontrollverlust über die Daten stellt nach dieser europarechtlich-autonomen Auslegung einen Schaden iSd Art. 82 DS-GVO dar. Ist der Kontrollverlust über die Daten damit dem Grunde nach als Schaden einzuordnen, kommt nicht in Betracht, den Sachverhalt nunmehr noch einer Prüfung anhand einer „Erheblichkeitsschwelle“ zu unterziehen. Weil der Begriff des Schadens in Art. 82 DS-GVO ein autonom-europarechtlicher ist, darf im Besonderen nicht auf nationale Erheblichkeitsschwellen oder andere Einschränkungen rekurriert werden. Es ist daher zB nicht zu verlangen, dass es durch den Datenrechtsverstoß etwa zu einer ernsthaften Beeinträchtigung für das Selbstbild oder Ansehen einer Person kommt. Die iHv Höhe von 500 EUR als immaterieller Schadensersatz angemessen. Bei der Bemessung des Schmerzensgeldes hat die Kammer im Rahmen ihres durch § 287 ZPO eingeräumten Ermessens ein Schmerzensgeld von 500 EUR € für erforderlich, aber auch ausreichend erachtet. Die Kammer hat sich für die Bemessung an den Grundsätzen des § 253 BGB sowie den Kriterien des Art. 83 Abs. 2 DS-GVO orientiert. Darunter zählen u. a. die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung, der Grad des Verschuldens, Maßnahmen zur Minderung des entstandenen Schadens, frühere Verstöße sowie die Kategorien der betroffenen personenbezogenen Daten und die betroffenen Kategorien personenbezogener Daten zur Ermittlung. Der Klagantrag zu Ziffer 5 (Anwaltskosten) ist im tenorierten Umfang begründet. Dieser Anspruch ergibt sich unmittelbar aus Art. 82 Abs. 1 DS-GVO (iVm § 249 Abs. 1 BGB)

NEU LG Hannover Urt. v. 14.8.2023 – 18 O 81/22

500 EUR Scraping-Sachverhalt. Wie LG Hannover Urt. v. 14.8.2023 – 18 O 89/22.

NEU LG Hannover Urt. v. 14.8.2023 – 18 O 48/22

500 EUR Scraping-Sachverhalt. Wie LG Hannover Urt. v. 14.8.2023 – 18 O 89/22.

NEU LG Bonn Urt. v. 8.8.2023 – 13 O 245/22

250 EUR Die Kl. hat gegen die Bekl. einen Anspruch auf Schadensersatz in Form eines Schmerzensgeldes iHv 250 EUR (Art. 82 Abs. 1 DS-GVO). Indem die Bekl. es unterlassen hat, das Contact-Import-Tool technisch so abzusichern, dass automatisierte Abrufe mit beliebigen Ziffernfolgen ausgeschlossen gewesen sind, hat sie gegen ihre Pflicht zur "Integrität und Vertraulichkeit" gem. Art. 5 Abs. 1 lit. f, Art. 25 Abs. 1 und 2 sowie Art. 32 Abs. 1 DS-GVO verstoßen. Durch den Verstoß ist es zu einer unzulässigen Datenverarbeitung iSd Art. 6 Abs. 1 DS-GVO gekommen. Sowohl für die Verletzung der Integritäts- und Vertraulichkeitspflicht als auch die hierdurch ermöglichte unzulässige Datenverarbeitung ist die Bekl. iSd Art. 82 Abs. 2 und 3 DS-GVO "verantwortlich". Maßgeblich hierfür ist, wem die Verstöße zuzurechnen sind. Dabei erfolgt die Zurechnung der Verletzung der Integritäts- und Vertraulichkeitspflicht bereits daraus, dass es das eigene Unterlassen der Bekl. gewesen ist, das die Pflichtverletzung begründet. Die unzulässige Datenverarbeitung ist zwar nicht unmittelbar durch die Bekl. erfolgt, sondern stellt ein Verhalten der Unbekannten dar. Dieses ist der Bekl. jedoch infolge des Verstoßes gegen die Integritäts- und Vertraulichkeitspflicht zurechenbar, da durch deren Verletzung die unzulässige Datenverarbeitung unmittelbar ermöglicht worden ist. Es ist gerade Sinn und Zweck der Integritäts- und Vertraulichkeitspflicht, unzulässige Datenverarbeitungen zu verhindern. Nicht mehr zuzurechnen sind der Bekl. nach diesem Maßstab die durch die Unbekannten und ggf. sonstige Dritte weitergehenden Datenverarbeitungen, wie etwa die im April 2021 erfolgte Veröffentlichung der verknüpften Daten und deren Weiterverwendung. Die Kl. hat insoweit nicht ausreichend dargelegt, dass diese durch der Bekl. mögliche und zumutbare Maßnahmen, deren Unterlassen ihrerseits Verstöße gegen die DS-GVO dargestellt hätten, hätten verhindert werden können. Der Kl. ist auch ein Schaden in Form eines Kontrollverlustes über ihre Daten entstanden. Bei der Verknüpfung einer Mobiltelefonnummer mit sonstigen personenbezogenen Daten handelt es sich um eine sensible Kombination, da zum einen dem Mobiltelefon heutzutage eine besondere Funktion bei der Erstellung und Absicherung von Benutzerkonten bzw. allgemein der Abwicklung von privaten und geschäftlichen Kontakten zukommt und damit das Risiko u. a. von sog. Identitätsdiebstahl erhöht wird, und die Verknüpfung zum anderen eine deutlich zielgerichtetere Kontaktaufnahme mit der Kl. zu unlauteren Zwecken ermöglicht. Das Schmerzensgeld muss nach Sinn und Zweck der DS-GVO abschreckend sein und sich an Ausgleichs- und Genugtuungsfunktion orientieren, wobei es auf die konkreten Umstände des Einzelfalls ankommt und der Katalog des Art. 83 Abs. 2 DS-GVO Berücksichtigung finden kann. Hierbei ist schmerzensgelderhöhend zu berücksichtigen, dass es sich bei der streitgegenständlichen Verknüpfung – wie iRd Schadens ausgeführt – um eine sensible Kombination mit hohem Missbrauchspotential handelt. Schmerzensgeldmindernd ist zu berücksichtigen, dass es sich sämtlich um Daten aus der – grds. am wenigstens schutzwürdigen – Sozialsphäre der Kl. nach der insoweit maßgeblichen Rspr. des BVerfG zum allgemeinen Persönlichkeitsrecht handelt. Weiter ist zu berücksichtigen, dass sich die Kl. ihrer Daten in Kenntnis des Geschäftsmodells der Bekl. und damit – anders als etwa im Falle von Gesundheitsdaten, die im Zuge ärztlicher Behandlungen notwendigerweise erhoben werden – freiwillig begeben hat (wenn auch – wie ausgeführt – nicht zu dem Zweck der streitgegenständlichen Verarbeitung).

NEU LG Frankfurt a. M. Urt. v. 4.8.2023 – 2-27 O 194/22

1.000 EUR Dem Kl. steht gegen die Bekl. ein Anspruch auf Schadensersatz nach Art. 82 Abs. 1 DS-GVO iHv 1000 EUR zu. Dem Kl. ist ein Schaden entstanden. Ihm ist zwar unstreitig bisher kein materieller Schaden entstanden, wohl ein immaterieller Schaden. Ein immaterieller Schaden liegt vor, wenn auf Grund eines Verstoßes gegen die DS-GVO ein absolut geschütztes Rechtsgut der geschädigten Person verletzt wurde. Vorliegend wurde das allgemeine Persönlichkeitsrecht in der Ausprägung des Rechts auf informationelle Selbstbestimmung verletzt. Das Recht auf informationelle Selbstbestimmung enthält die Befugnis des Einzelnen, grds. selbst zu entscheiden, wann und innerhalb welcher Grenzen persönliche Lebenssachverhalte offenbart werden. Dieses Recht des Kl. wurde verletzt. Die Daten des Kl., insb. seine auf der Plattform der Bekl. nicht veröffentlichte Mobilnummer, wurden im Internet gemeinsam mit den Daten einer Vielzahl anderer Nutzer:innen der Bekl. veröffentlicht. Über diese Veröffentlichung, der auf Grund des Vorliegens eines „Datenpakets“ mit Daten vieler Personen ein höherer Nutzwert für kriminell handelnde Dritte zukommt, hatte der Kl. keine Kontrolle. Sie verletzt daher sein Recht auf informationelle Selbstbestimmung. Ob diese Verletzung „erheblich“ ist, ist nicht von Relevanz. Der EuGH hat entschieden, dass keine Erheblichkeitsprüfung durchzuführen ist. Die Bekl. hat gegen die DS-GVO verstoßen, weil sie Daten des Kl., namentlich seine Telefonnummer, ohne seine Einwilligung verarbeitet hat. Die Bekl. hat ferner gegen die Vorgaben zur Gewährleistung einer angemessenen Sicherheit bei der Verarbeitung der personenbezogenen Daten nach Art. 5 Abs. 1 lit. f DS-GVO verstoßen. Die Bekl. hat schließlich gegen die Verpflichtung zur Vornahme datenschutzfreundlicher Voreinstellungen nach Art. 25 Abs. 2 DS-GVO verstoßen. Ob die Bekl. ihre Meldepflichten aus Art. 3334 DS-GVO verletzt hat, kann offenbleiben. Denn ein etwaiger Verstoß der Bekl. könnte jedenfalls nicht haftungsbegründend sein. Es kann nicht festgestellt werden, dass die etwaige Verletzung dieser Pflichten für den geltend gemachten Schaden des Kl. überhaupt (mit-)kausal geworden ist und diesen zumindest vertieft hat. Vielmehr ist das streitgegenständliche Scraping der Daten mit der öffentlichen Einstellung der Daten im Internet erstmals offenbar geworden. Auch ein möglicher Verstoß der Bekl. gegen die Auskunftspflicht nach Art. 15 DS-GVO ist für den Schadensersatzanspruch nach Art. 82 DS-GVO irrelevant. Es würde jedenfalls an der Kausalität des Verstoßes für den vermeintlichen Schaden in Gestalt der Datenveröffentlichung fehlen. Der Schaden liegt in einer rechtswidrigen Datenverarbeitung begründet, nicht jedoch in einer unterlassenen oder verspäteten Auskunft über die erhobenen Daten als solche. Kausal für den Schaden des Kl. sind demgegenüber die rechtswidrige Verarbeitung der Telefonnummer des Kl. sowie die Verstöße der Bekl. gegen Artt. 25 Abs. 232 DS-GVO. Eine Haftungsbefreiung der Bekl. nach Art. 82 Abs. 3 DS-GVO findet nicht statt. Dass die Bekl. in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist, ist nicht festzustellen. Erforderlich hierfür wäre der Nachweis der Bekl., dass sie sämtliche Sorgfaltsanforderungen erfüllt hat und ihr nicht die geringste Fahrlässigkeit vorzuwerfen ist. Die konkrete Konfiguration der Voreinstellungen in den Profilen war ebenso wie die technischen Funktionen zur Nutzung der Mobilnummern von der Bekl. im Rahmen ihres Geschäftsbetriebes offenkundig bewusst wie geschehen verfasst. Insoweit liegt entsprechend zumindest Fährlässigkeit vor. Auch das Fehlen von ausreichenden technischen Schutzmechanismen begründet einen Fahrlässigkeitsvorwurf. Dabei fällt ins Gewicht, dass die Methode des Scrapings nach dem eigenen Beklagtenvorbringen eine „gängige Taktik“ zur Datenabgreifung darstellte, mithin im Wesentlichen bekannt war. Nutzen Dritte bereits erkannte oder erkennbare Angriffswege, um auf Daten zuzugreifen, kann die Nichtverantwortlichkeit des Verantwortlichen regelmäßig nicht nachgewiesen werden. Die Höhe des Schadensersatzes beziffert das Gericht mit 1000 EUR, wobei es diesen Betrag für angemessen, aber auch für ausreichend hält, um den immateriellen Schaden auszugleichen und gleichzeitig der erforderlichen Abschreckungswirkung Rechnung zu tragen sowie dabei die besonderen Umstände des Falles zu würdigen. Dem Gericht steht insoweit gem. § 287 ZPO ein Ermessen zu. Das Gewicht der Rechtsverletzung sowie der objektive Umfang der Beeinträchtigung der betroffenen Person sind angemessen zu berücksichtigen. Der Kl. kann von der Bekl. auch die Feststellung der Ersatzpflicht für mögliche künftige Schäden verlangen. Die grundsätzliche Ersatzpflicht aus Art. 82 Abs. 1 DS-GVO ist gegeben. Der Kl. hat Anspruch auf Zahlung vorgerichtlicher Rechtsanwaltskosten.

NEU LG Berlin Urt. v. 3.8.2023 – 8 O 77/22

500 EUR Dem Kl. steht gegen die Bekl. ein Anspruch auf Schadensersatz in Form eines Schmerzensgeldes für seinen immateriellen Schaden zu, wobei das Gericht diesen mit 500 EUR bemisst. Die Bekl. verursachte eine nicht dieser Verordnung entsprechende Verarbeitung. Dabei verstieß die Bekl. kumulativ gegen mehrere Vorschriften der DS-GVO, nämlich jedenfalls gegen Art. 13 Abs. 1 lit. c DS-GVO, Art. 24; 32; 5 Abs. 1 lit. f DS-GVO, Art. 24 Abs. 2; 25 Abs. 1; 5 Abs. 1 lit. a, b, c, f DS-GVO; Art. 25 Abs. 2; 5 Abs. 1 lit. a, b, c, f DS-GVO. Dem Kl. ist im Zusammenhang mit dem Scraping-Vorfall auch ein nach Art. 82 DS-GVO ersatzfähiger – immaterieller – Schaden kausal entstanden. Der Schaden muss nach dem Wortlaut der Norm tatsächlich entstanden sein und ist damit nicht mit der zugrundeliegenden Rechtsgutverletzung gleichzusetzen. Für die Ersatzpflicht genügt demnach nicht allein ein Verstoß gegen die DS-GVO, sondern es muss auch ein Schaden eingetreten sein. Der Begriff des Schadens ist nach dem Erwägungsgrund 146 S. 3 DS-GVO weit auszulegen, sodass die Betroffenen einen wirksamen Ersatz bekommen. Es handelt sich um einen autonomen Begriff des Unionsrechts, der in allen Mitgliedstaaten einheitlich auszulegen ist. Dabei kommt es insb. auf die Ziele und den Sachzusammenhang der Verordnung an. Soweit zwar einerseits nicht allein der bloße Verstoß gegen die Bestimmungen der DS-GVO zur Begründung eines Schadensersatzanspruchs ausreicht, so bedarf der erlittene Schaden andererseits nicht eines bestimmten Grades an Erheblichkeit. Der Schaden kann bereits etwa in dem unguten Gefühl liegen, dass personenbezogene Daten Unbefugten bekannt geworden sind, insbesondere, wenn nicht ausgeschlossen ist, dass die Daten unbefugt weiterverwendet werden. Er kann bereits in der Ungewissheit darüber bestehen, ob personenbezogene Daten an Unbefugte gelangt sind. So können unbefugte Datenverarbeitungen zu einem Gefühl des Beobachtetwerdens und der Hilflosigkeit führen, was die betroffenen Personen letztzlich zu einem Objekt der Datenverarbeitung degradiert. In Erwägungsgrund 7585 der DS-GVO werden ausdrücklich der Kontrollverlust und die „unbefugte Aufhebung der Pseudonomysierung“ als „insbesondere“ zu erwartende Schäden genannt. Bei den genannten Beeinträchtigungen kann es sich denklogisch nur um immaterielle Schäden handeln. Spezifische Angaben, wie konkret sich der Kontrollverlust auf die Persönlichkeit und auf das Leben der betroffenen Person ausgewirkt hat, sind nicht erforderlich. Als mögliche Schäden kommen zB auch Ängste, Stress, sowie Komfort- und Zeiteinbußen in Betracht, die sich vor allem nach den im konkreten Fall erforderlichen Abhilfemaßnahmen richten. Hier hat der Kl. einen Schaden erlitten. Seine öffentlichen Profildaten wurden mit seiner Telefonnummer verknüpft und so im Zusammenhang mit dem Datenscraping im Internet veröffentlicht. Soweit die Bekl. entwendet, dass die von dem Kl. vorgetragenen Belästigungen insb. durch häufige Anrufe und SMS nicht notwendigerweise auf die mit dem Scraping-Vorfall verbundenen Veröffentlichungen der klägerischen Daten zurückzuführen sind, hindert dies einen Anspruch des Kl. nicht. Denn der Kl. hat nachvollziehbar zum Ausdruck gebracht, dass er die Sorge hegt, dass diese Belästigungen auf den Scraping-Vorfall zurückzuführen sind. Er schilderte gleichfalls, dass er auf Grund dieser starken Belästigungen sein Verhalten änderte, nämlich dass er bei der Annahme von Anrufen zögert und eine Unsicherheit empfindet, bei eigentlich ordnungsgemäßen Nachrichten zB zu Paketzustellungen. Diese von dem Kl. im Rahmen seiner persönlichen Anhörung im Termin gemachten Angaben haben das Gericht überzeugt; es hält diese für glaubhaft. Dabei kommt es im Ergebnis nicht darauf an, wozu die ohne Einverständnis des Kl. zugänglich gemachten Daten tatsächlich von den „Scrapern“ oder unbefugten Dritten verwendet wurden. Der Schaden ist kausal auf die Verletzungen der Datenschutzgrundverordnung zurückzuführen. Hierzu genügt eine Mitursächlichkeit. Es muss nach der allgemeinen Lebenserfahrung davon ausgegangen werden können, dass dieser Schaden auch auf die Verletzungen zurückzuführen ist. Der Bekl. gelingt es nicht, sich mit Blick auf den Scraping-Vorfall nach Art. 82 Abs. 3 DS-GVO zu entlasten. Hierfür müsste sie nachweisen, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. Unabhängig davon, ob man den Begriff der Verantwortlichkeit mit Teilen der Rspr. und der Lit. mit dem Begriff des Verschuldens gleichsetzt oder Art. 82 DS-GVO als Gefährdungshaftungstatbestand versteht kann sich die Bekl. nicht entlasten. Ein Mitverschulden des Geschädigten, kann – anders als nach § 254 BGB – den Anspruch nicht mindern, denn nach Art. 82 Abs. 3 DS-GVO ist ein Haftungsausschluss nur dann möglich, wenn dem Verantwortlichen der Schaden „in keiner Hinsicht“ zur Last gelegt werden kann. Dies ist hier nach Vorstehendem nicht der Fall. Das Gericht hält nach Anhörung des Kl. und dem dabei gewonnenen Eindruck in Ausübung des ihm durch § 287 ZPO eingeräumten Ermessens ein Schmerzensgeld von 500 EUR für unter Berücksichtigung der Unionsgrundsätze der Äquivalenz und Effektivität für angemessen, aber auch ausreichend. Hiermit trägt es einerseits der Ausgleichs- und Genugtuungsfunktion und andererseits der auch generalpräventiven Funktion des immateriellen Schadensersatzes hinreichend Rechnung. Bei der Bemessung der Schadensersatzhöhe hat das Gericht daneben auch die gesetzgeberisch beabsichtigte abschreckende Wirkung des Schadensersatzes bedacht. Andererseits hat es aber auch berücksichtigt, dass das Allgemeininteresse im Schwerpunkt nach Art. 83 DS-GVO durch die Verhängung von Bußgeldern gewahrt wird. Dem Kl. steht jedoch gegen die Bekl. der in der mündlichen Verhandlung hilfsweise beantragte Anspruch auf Freistellung von den vorgerichtlichen Anwaltskosten zu (Art. 82 Abs. 1 DS-GVO). Die betroffenen Personen sollen einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten, wobei nach den Erwägungsgründen eine weite Auslegung vorgenommen werden soll, der Schadensersatz muss daher mehr als symbolisch sein. Dazu kann auch der Ersatz vorgerichtlicher Rechtsanwaltskosten handeln. Der Prozessbevollmächtigte des Kl. ist hier zur Durchsetzung der Schadensersatzansprüche des Kl. gem. der DS-GVO und damit zur zweckentsprechenden Rechtsverfolgung tätig geworden und was angesichts der Komplexität des Datenschutzrechts auch verhältnismäßig war. Daher kommt es nicht mehr darauf an, ob die vorgerichtlichen Rechtsanwaltskosten auch aus Verzug gem. §§ 286 Abs. 1, 2 Nr. 3; 280 S. 1 und S. 2 BGB geltend gemacht werden können, wofür jedoch das Schreiben des jetzigen Prozessbevollmächtigten vom Mai 2021 sprechen. Bei einem teilweisen Obsiegen kann der Kl. grds. die Rechtsanwaltskosten nur einfordern, soweit er mit dem vorgerichtlich geltend gemachten Anspruch später vor Gericht durchdringt.

NEU LG Stuttgart Urt. v. 3.8.2023 – 54 O 8/23

400 EUR Scraping-Sachverhalt. Wie LG Stuttgart Urt. v. 28.3.2023 – 54 O 165/22.

NEU LG Chemnitz Urt. v. 28.7.2023 – 1 O 878/22

500 EUR Scraping-Sachverhalt. Wie LG Chemnitz Urt. v. 19.6.2023 – 1 O 746/22.

NEU LG Berlin Urt. v. 28.7.2023 – 14 O 149/22

1.000 EUR Dem Kl. steht gegen die Bekl. ein Anspruch auf Schadensersatz in Form eines Schmerzensgeldes iHv 1000 EUR zu. Für die erfolgte Verarbeitung fehlt es bereits an einer tauglichen Rechtsgrundlage. Die Bekl. hat des Weiteren gegen ihre datenschutzrechtlichen Aufklärungs- und Schutzpflichten verstoßen. Der Bekl. fällt bereits ein Verstoß gegen die Transparenzpflichten aus Art. 5 Abs. 1 lit. a, 1314 DS-GVO zur Last. Die Bekl. hat überdies gegen die Verpflichtung zum Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen aus Art. 25 DS-GVO verstoßen. Der Verstoß gegen Art. 25 Abs. 2 DS-GVO ist auch dazu geeignet, einen Ersatzanspruch nach Art. 82 DS-GVO auszulösen, da aus der Verletzung der sich aus Art. 25 DS-GVO ergebenden Pflichten eine Erhöhung der Gefahr eines Schadens resultieren kann. Die Bekl. hat auch gegen ihre Pflichten aus Art. 3224 DS-GVO zur Ergreifung geeigneter technischer und organisatorischer Schutzmaßnahmen verstoßen. Es kann dahinstehen, ob die Bekl. auch gegen ihre Pflichten aus Art. 33 (Meldung an die Aufsichtsbehörde), Art. 34 (Information des Kl.) und Art. 15 (Auskunftserteilung) DS-GVO verstoßen hat. Zum einen folgt aus diesen Verstößen letztlich kein weitergehender Unrechtsgehalt als aus den bereits dargelegten Verstößen. Zum anderen hätten auch eine ordnungsgemäße Meldung der Verstöße an die Aufsichtsbehörde nach Art. 33 DS-GVO, eine Benachrichtigung des Kl. über die Verstöße nach Art. 34 DS-GVO und die Erteilung einer ordnungsgemäßen Auskunft über die verarbeiteten Daten nach Art. 15 DS-GVO den beim Kl. auf Grund des Scraping-Vorfalls verursachten Schaden nicht mehr mindern können. Etwaige Verstöße sind für den eingetretenen Schaden mithin nicht kausal. Die Bekl. kann sich mit Blick auf den Scraping-Vorfall nicht nach Art. 82 Abs. 3 DS-GVO entlasten. Insofern kann dahinstehen, ob überhaupt ein Verschulden erforderlich ist bzw. ob die Haftung nach Art. 82 DS-GVO zur Sicherstellung eines möglichst wirksamen Schadensersatzes als Gefährdungshaftung gestaltet ist. Der Bekl. ist bereits nach ihrem eigenen Vorbringen eine Entlastung, hinsichtlich derer ihr die Darlegungs- und Beweislast obliegt, nicht gelungen. Dem Kl. ist im Zusammenhang mit dem Scraping-Vorfall auch ein nach Art. 82 DS-GVO ersatzfähiger – immaterieller – Schaden entstanden, für den die Verstöße der Bekl. gegen die DS-GVO kausal waren. Nach richterlichem Ermessen gem. § 287 Abs. 1 ZPO ist dem Kl. für die erlittenen immateriellen Schäden ein Schmerzensgeld iHv 1000 EUR zuzusprechen (§ 287 Abs. 1 Satz 1 ZPO). Es kann dahinstehen, ob ein Mitverschulden des Geschädigten iRv Art. 82 DS-GVO zu berücksichtigen ist. Das Gericht hält ein Schmerzensgeld iHv 1.000 EUR für angemessen, aber auch ausreichend, um sowohl dessen Ausgleichs- und Genugtuungsfunktion als auch dessen generalpräventiver Funktion des immateriellen Schadensersatzes hinreichend Rechnung zu tragen. Nachdem dem Kl. ein Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO zusteht, ist auch auf den Klageantrag zu Ziffer 2 zu erkennen. Es ist nicht ausgeschlossen, dass der Kl. künftig infolge der Verstöße der Bekl. gegen die DS-GVO – auch – materielle Schäden erleidet.

NEU LG Ravensburg Urt. v. 26.7.2023 – 5 O 100/22

500 EUR Dem Kl. steht gegen die Bekl. einen Anspruch auf immateriellen Schadensersatz iHv 500 EUR aus Art. 82 Abs. 1 DS-GVO zu. Grund und damit unabdingbare Voraussetzung der Haftung ist eine Pflichtverletzung, wenngleich es auf einen Schutznormcharakter der verletzten Vorschrift nicht ankommt, der Begriff der Pflichtverletzung also denkbar weit gefasst ist und letztlich jede Verletzung materieller oder formeller Bestimmungen der Verordnung einschließt. Die Bekl. ist der ihr nach Art. 13 DS-GVO auferlegten Informations- und Aufklärungspflicht nicht in vollständigem Umfang nachgekommen. Zudem hat die Bekl. als Verantwortliche auf Grund unzureichender Sicherheitsmaßnahmen bzgl. der Nutzung des CIT auch gegen Art. 32245 Abs. 1 lit. f) DS-GVO verstoßen. Die Bekl. hat auch gegen Art. 33 DS-GVO verstoßen. Die Bekl. hat zudem auch gegen Art. 34 DS-GVO verstoßen, da sie den Kl. nicht über den Scraping-Vorfall informiert hat. Da sich aus einem Verstoß gegen Art. 25 DS-GVO wegen seines organisatorischen Charakters ein Anspruch auf Schadensersatz nach Art. 82 DS-GVO nicht begründen lässt, kann dahinstehen, ob zudem noch ein Verstoß der Bekl. gegen Art. 25 DS-GVO vorliegt. Die Bekl. kann sich auch nicht gem. Art. 82 Abs. 3 DS-GVO exkulpieren. Die Bekl. kann nicht nachweisen, dass sie kein Verschulden trifft. Das wäre nämlich nur dann der Fall, wenn sie sämtliche Sorgfaltsanforderungen erfüllt hätte und ihr nicht die geringste Fahrlässigkeit vorzuwerfen wäre. Hält der Anspruchsgegner etwa sämtliche erforderlichen Sicherheitsmaßnahmen (Art. 32 DS-GVO) ein und kommt es dennoch zu einem unbefugten Datenzugriff, fehlt es an einem Verschulden. War der Angriffsweg dagegen bekannt oder auch nur erkennbar, ist der Entlastungsbeweis nicht geführt. Da die nach Art. 32 DS-GVO erforderlichen Sicherheitsmaßnahmen von der Bekl. nicht eingehalten wurden, steht gerade nicht fest, dass die Bekl. kein Verschulden treffe. Dem Kl. ist auch ein kausaler immaterieller Schaden iSd Art. 82 DS-GVO entstanden. Die vorgerichtlichen Rechtsanwaltskosten sind als Teil des zu ersetzenden Schadens gem. Art. 82 Abs. 1 DS-GVO zu erstatten.

NEU LG Bayreuth Urt. v. 26.7.2023 – 31 O 276/22

100 EUR Scraping-Sachverhalt. Wie LG Bayreuth Urt. v. 22.6.2023 – 31 O 40/23.

NEU LG Hannover Urt. v. 24.7.2023 – 13 O 63/22

2x 500 EUR Scraping-Sachverhalt. Wie LG Hannover Urt. v. 17.8.2023 – 13 O 1/23.

NEU LG Düsseldorf Urt. v. 19.7.2023 – 12 O 83/22

0 EUR Dem Kl. steht kein Anspruch auf Zahlung eines immateriellen Schadensersatzes iHv mindestens 1.000 EUR gem. Art. 82 Abs. 1 DS-GVO zu. Der Anwendungsbereich des Art. 82 Abs. 1 DS-GVO erfasst die Verletzung von Auskunftsansprüchen und Informationspflichten nicht. Da die Art. 13141533 und 34 DS-GVO „lediglich“ Auskunftsansprüche bzw. Informationspflichten über die Verarbeitung enthalten, nicht aber die Verarbeitung personenbezogener Daten als solche zum Gegenstand haben, können Verstöße gegen diese Vorschriften keinen Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO auslösen. Dies wird durch das Urteil des EuGHs vom 4.5.2023 – C-300/21 gestützt. In diesem betont der EuGH, dass der Art. 82 DS-GVO die Haftungsregelung des Art. 82 präziseren. Er führt aus: „Art. 82 Abs. 2 DS-GVO, der die Haftungsregelung, deren Grundsatz in Abs. 1 dieses Artikels festgelegt ist, präzisiert, übernimmt nämlich die drei Voraussetzungen für die Entstehung des Schadenersatzanspruchs, nämlich eine Verarbeitung personenbezogener Daten unter Verstoß gegen die Bestimmungen der DS-GVO, ein der betroffenen Person entstandener Schaden und ein Kausalzusammenhang zwischen der rechtswidrigen Verarbeitung und diesem Schaden.“ Weiter nimmt er Bezug auf die Erwägungsgründe 75, 85, 146. In diesen wird ebenfalls auf Schäden, die auf einer Datenverarbeitung beruhen, abgestellt. Da der EuGH weiter ausführt, dass nicht bei jeder Verarbeitung ein Schaden eintreten muss, ergibt sich hieraus, dass er selbst davon ausgeht, dass die Verarbeitung von Daten jedenfalls Voraussetzung des Schadensersatzanspruchs ist. Es kann an dieser Stelle dahinstehen, ob die Bekl. die personenbezogenen Daten des Kl. nicht im ausreichenden Maße gegen Scraping schützte (Art. 5 lit. f), 3224 DS-GVO). Ebenfalls nicht entscheidungserheblich ist die Frage, ob die Voreinstellungen der Bekl. gegen das in Art. 25 DS-GVO verankerte Prinzip „Privacy by Design“ bzw. „Privacy by default“ verstoßen haben. Die Kammer vermochte das Vorliegen eines kausal auf diesen Verstößen beruhenden immateriellen Schadens iSd Art. 82 DS-GVO nicht festzustellen. Voraussetzung für das Bestehen eines Schadensersatzanspruchs nach Art. 82 DS-GVO ist das Vorliegen eines Verstoßes gegen die Vorschriften der DS-GVO, eines Schadens sowie eines Kausalzusammenhangs zwischen dem Verstoß und dem geltend gemachten Schaden. Der Schaden liegt also nicht in der rechtswidrigen Informationsverarbeitung selbst, sondern muss sich von ihr unterscheiden und kausal auf diese zurückgehen. Der Kl. hat dazu einen konkreten – auch immateriellen – Schaden darzulegen. Der Begriff soll zur Gewährung eines wirksamen Ersatzes nach dem Erwägungsgrund 146 S. 3 weit ausgelegt werden. Beispielhaft aufgezählt werden folgende Nichtvermögens- und Vermögensschäden: Diskriminierung, Identitätsdiebstahl oder -betrug, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten, unbefugte Aufhebung der Pseudonymisierung oder andere gesellschaftliche Nachteile, die an sich schon ein immaterieller Schaden sind, sich zudem zu einem materiellen Schaden verwirklichen können; des Weiteren finanzielle Verluste oder andere erhebliche wirtschaftliche Nachteile (Erwägungsgründe 75, 85). Eine Erheblichkeitsschwelle muss dabei nicht überschritten werden. Der Schaden muss auch wirklich „erlitten“ sein (ErwGr. 146 S. 6). Es muss ein realer und sicherer emotionaler Schaden eingetreten sein. Empirisch führt nämlich jeder Verstoß gegen eine Datenschutzvorschrift zu einer negativen Reaktion der betroffenen Person. Nicht jeder Datenschutzverstoß soll jedoch einen Schadensersatzanspruch auslösen. Ein immaterieller Schadensersatz für ein bloßes Gefühl des Unwohlseins käme einer Entschädigung ohne Schaden gleich. Dass nicht alle negativen Folgen eines Verstoßes gegen die DS-GVO einen immateriellen Schaden iSd Art. 82 darstellen, ergibt sich auch aus den Ausführungen des EuGHs, dass das Nichtbestehen einer Erheblichkeitsschwelle nicht bedeute, dass eine Person, die von einem Verstoß gegen die DS-GVO betroffen ist, der für sie negative Folgen gehabt hat, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden iSd Art. 82 darstellen. Die Kammer schließt sich dabei den überzeugenden Ausführungen des Generalanwalts N. an. Dieser stellt entscheidend darauf ab, dass es sich bei dem immateriellen Schaden nicht um eine bloße subjektive Wahrnehmung handelt, die veränderlich ist und vom Charakter und von persönlichen Faktoren abhängt, sondern um die Objektivierung einer, wenn auch geringfügigen, aber nachweisbaren Beeinträchtigung der physischen oder psychischen Sphäre oder des Beziehungslebens einer Person sowie auf die Art der betroffenen Daten und die Bedeutung, die die Daten im Leben des Kl. haben und vielleicht auch die Wahrnehmung, die die Gesellschaft zu diesem Zeitpunkt von dieser spezifischen mit der Datenverletzung verbundenen Beeinträchtigung hat. Dass der K. einen derart erheblichen Kontrollverlust über seine Daten erlitten hat, dass er in einem Zustand großen Unwohlseins und Sorge über den möglichen Missbrauch der Daten verblieb, hat sich iRd persönlichen Anhörung des Kl. nicht bestätigt. Der Anspruch auf Ersatz der vorgerichtlichen Rechtsanwaltskosten iHv 354,62 EUR besteht weder nach Art. 82 Abs. 1 DS-GVO noch nach §§ 280286 BGB.

NEU LG Hannover Urt. v. 13.7.2023 – 13 O 80/22

500 EUR Scraping-Sachverhalt. Wie LG Hannover Urt. v. 17.8.2023 – 13 O 1/23.

NEU LG Hannover Urt. v. 13.7.2023 – 13 O 62/22

500 EUR Scraping-Sachverhalt. Wie LG Hannover Urt. v. 17.8.2023 – 13 O 1/23.

LG Bielefeld Urt. v. 7.7.2023 – 4 O 275/22 = ZD 2023, 756

0 EUR Die Kl. hat gegen die Bekl. keinen Anspruch auf Zahlung eines immateriellen Schadensersatzes aus Art. 82 Abs. 1 DS-GVO oder einer anderen denkbaren Anspruchsgrundlage wegen des Kopierens ihres Personalausweises in der Praxis der Bekl. Denn jedenfalls fehlt es am Eintritt eines immateriellen Schadens. Eine Erheblichkeitsschwelle für das Vorliegen eines solchen Schadens ergibt sich gerade nicht aus der DS-GVO. Bagatellschäden sind nicht auszuschließen. Zu verlangen ist aber jedenfalls, dass ein konkreter immaterieller Schaden auch tatsächlich eingetreten ("entstanden") ist. Die in den Schriftsätzen formelhaft beschriebenen Ängste und Sorgen, das Unwohlsein sowie die Verunsicherung der Kl. haben sich in der persönlichen Anhörung iRd mündlichen Verhandlung nicht bestätigt.

NEU LG Stuttgart Urt. v. 6.7.2023 – 46 O 343/22

400 EUR Die Bekl. hat gegen Pflichten der DS-GVO verstoßen, indem sie die technischen Voraussetzungen schuf, über eine Abfrage zufälliger Nummern die Telefonnummer mit dem Nutzerkonto des Kl. zu verknüpfen, ohne dass hierfür eine Einwilligung vorlag. Die Bekl. hat hierbei insb. gegen ihre Pflicht gem. Art. 32 DS-GVO verstoßen, geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten zu treffen, gegen die Verpflichtung datensparsamer Grundeinstellungen nach Art. 25 Abs. 2 DS-GVO sowie im Anschluss gegen ihre Meldepflichten nach Artt. 3334 DS-GVO. Eine Haftung der Bekl. entfällt nicht gem. Art. 82 Abs. 3 DS-GVO. Voraussetzung eines Schadens ist, dass über den Verstoß gegen eine Norm der DS-GVO hinaus ein feststellbarer Schaden beim KI. eingetreten ist. Nicht erforderlich ist hingegen, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat. Der Kl. hat einen konkreten, mit dem Daten-Scraping in Zusammenhang stehenden Schaden behauptet. Diesen hat zur Überzeugung des Gerichts der Sohn des Kl. iRd persönlichen Anhörung nachvollziehbar erläutert. Die streitgegenständlichen Verstöße gegen Privacy by Default, Datenverarbeitungssicherheit und Meldepflichten nach Art. 3334 DS-GVO waren ursächlich für den beim Kl. eingetretenen immateriellen Schaden. Dem Kl. erachtet einen gem. § 287 Abs. 1 Satz 1 ZPO zu schätzenden immateriellen Schadensersatz iHv 400 EUR für gerechtfertigt. Für die Höhe des Schmerzensgeldes ist für das Gericht von entscheidender Bedeutung, dass sich aus dem Scraping-Vorfall kein materieller Schaden des Kl. realisiert hat. Mit zunehmendem Zeitablauf verlieren die gescrapten Daten an Aktualität. Der Kl. ist vorgewarnt und in der Lage, entweder seine Kontaktdaten zu ändern oder missbräuchlichen Kontaktaufnahmen zu widerstehen. Somit verbleibt ein spürbares, jedoch nicht überwältigendes Lästigkeitsmoment des Datenverlustes, welches den Kl. beeinträchtigt. Der Kl. hat keinen Anspruch auf Ersatz außergerichtlicher Rechtsanwaltskosten. IRd ihm zustehenden materiellen Schadensersatzanspruchs nach Art. 82 Abs. 1 DS-GVO kann der Kl. zwar grds. Erstattung vorgerichtlich angefallener Rechtsanwaltsgebühren beanspruchen. Vorliegend fehlt es jedoch an einer schlüssigen Darlegung des Schadens.

NEU LG Münster Urt. v. 4.7.2023 – 16 O 238/22

579,17 EUR Dem Kl. steht gegen die Bekl. ein Anspruch auf Ersatz der von ihm geltend gemachten vorgerichtlichen Rechtsanwaltskosten iHv 579,17 EUR aus Art. 82 Abs. 1 DS-GVO, § 249 BGB sowie §§ 280 Abs. 1286 Abs. 1249 BGB zu.

NEU LG Hannover Urt. v. 3.7.2023 – 13 O 177/22

500 EUR Scraping-Sachverhalt. Wie LG Hannover Urt. v. 17.8.2023 – 13 O 1/23.

NEU LG Bonn Urt. v. 30.6.2023 – 10 O 257/22

500 EUR Scraping-Sachverhalt.

NEU LG Siegen Urt. v. 30.6.2023 – 5 O 188/22

500 EUR Scraping-Sachverhalt. Wie LG Siegen Urt. v. 30.6.2023 – 5 O 169/22.

NEU LG Siegen Urt. v. 30.6.2023 – 5 O 169/22

500 EUR Die Bekl. als Verantwortliche iSv Art. 4 Nr. 7 DS-GVO hat gegen ihr nach der DS-GVO obliegende Pflichten verstoßen. Sie hat zum einen im Hinblick auf die Suchbarkeit des Kl. über dessen Telefonnummer datenschutzunfreundliche Voreinstellungen getroffen und damit gegen Art. 25 DS-GVO verstoßen. Zum anderen hat sie den Kl. nicht ausreichend darüber aufgeklärt, dass die Angabe seiner Telefonnummer zunächst automatisch zur Folge hat, dass sein Facebook-Profil von jedermann nach Eingabe dieser Telefonnummer gefunden werden kann, und damit gegen Art. 13 DS-GVO verstoßen. Schließlich hat sie nicht schlüssig dargelegt, dass sie im Zeitpunkt des Abschöpfens der klägerischen Daten bei dem Scraping-Vorfall ausreichende Sicherheitsvorkehrungen getroffen hätte, um den nach ihren Nutzungsbedingungen untersagten Scraping-Vorfall zu verhindern und die ihr von den Nutzern anvertrauten Daten hinreichend zu schützen, sodass sie auch gegen Art. 24 und 32 DS-GVO verstoßen hat. Dem Kl. ist hierdurch auch ein kausaler Schaden entstanden. Dieser Kontrollverlust ist bereits ausreichend, um einen Schaden des Kl. iSd Vorschrift anzunehmen. Auch die Entscheidung des EuGH vom 4. Mai 2023 (Rechtssache C-300/21), wonach für einen Schadensersatzanspruch nach Art. 82 DS-GVO zwar ein Schaden erforderlich sei, für diesen aber gerade keine Erheblichkeitsschwelle gelte, steht dieser Auslegung nicht entgegen. Für eine Enthaftung der Bekl. nach Art. 82 Abs. 2 DS-GVO ist weder ein Umstand vorgetragen noch sonst ersichtlich. Für die Bemessung von Schadensersatzansprüchen nach Art. 82 Abs. 1 DS-GVO enthält die DS-GVO nur wenige Vorgaben. Aus dem Nebeneinander von materiellem und immateriellem Schaden folgt, dass auch solche Schäden auszugleichen sind, die sich nicht unmittelbar in Geld bemessen lassen. Hiernach hat sich der Schadensersatz auch bei immateriellen Schäden zuerst am Ziel des Schadensausgleichs zu orientieren, darüber hinaus spielt auch die Genugtuungsfunktion eine Rolle. Die vorgerichtlichen Rechtsanwaltskosten sind in Höhe von 280,60 EUR als Teil des Schadens gem. Art. 82 Abs. 1 DS-GVO zu ersetzen.

NEU LG Hannover Urt. v. 29.6.2023 – 13 O 17/23

100 EUR Scraping-Sachverhalt. Wie LG Hannover Urt. v. 17.8.2023 – 13 O 1/23.

NEU LG Ulm Urt. v. 29.6.2023 – 4 O 261/22

500 EUR Scraping-Sachverhalt. LG Ulm Urt. v. 25.5.2023 – 4 O 118/22

NEU LG Ulm Urt. v. 26.6.2023 – 4 O 7/23

500 EUR Scraping-Sachverhalt. Wie LG Ulm Urt. v. 16.2.2023 – 4 O 86/22.

NEU LG Hannover Urt. v. 22.6.2023 – 13 O 139/22

500 EUR Scraping-Sachverhalt. Wie LG Hannover Urt. v. 17.8.2023 – 13 O 1/23.

NEU LG Hannover Urt. v. 22.6.2023 – 13 O 89/22

500 EUR Scraping-Sachverhalt. Wie LG Hannover Urt. v. 17.8.2023 – 13 O 1/23.

NEU LG Hannover Urt. v. 22.6.2023 – 13 O 85/22

500 EUR Scraping-Sachverhalt. Wie LG Hannover Urt. v. 17.8.2023 – 13 O 1/23.

NEU LG Hannover Urt. v. 22.6.2023 – 13 O 77/22

500 EUR Scraping-Sachverhalt. Wie LG Hannover Urt. v. 17.8.2023 – 13 O 1/23.

NEU LG Bayreuth Urt. v. 22.6.2023 – 31 O 326/22

100 EUR Scraping-Sachverhalt. Wie LG Bayreuth Urt. v. 22.6.2023 – 31 O 40/23.

NEU LG Bayreuth Urt. v. 22.6.2023 – 31 O 40/23

100 EUR Scraping-Sachverhalt.

NEU LG Stuttgart Urt. v. 22.6.2023 – 54 O 56/22

600 EUR Scraping-Sachverhalt. Wie LG Stuttgart Urt. v. 27.4.2023 – 54 O 9/23.

LG Deggendorf Urt. v. 20.6.2023 – 33 O 461/22 = ZD 2023, 639 (Ls.)

0 EUR Die Kl. hat keinen Anspruch auf Ersatz immaterieller Schäden gem. Art. 82 Abs. 1 DS-GVO. Es liegt kein Verstoß gegen die DS-GVO vor. Ob die Bekl. gegen die Vorgaben des Art. 25 DS-GVO verstoßen hat, kann dahinstehen. Denn selbst ein unterstellter Verstoß könnte keinen Schadensersatzanspruch nach Art. 82 DS-GVO begründen. Allein aus einem Verstoß gegen Art. 25 DS-GVO kann wegen seines organisatorischen Charakters ein Anspruch nach Art. 82 Abs. 1 DS-GVO nicht begründet werden. Die Anwendbarkeit der DS-GVO setzt vielmehr eine tatsächliche Verarbeitung personenbezogener Daten voraus. Ungeachtet eines etwaigen Verstoßes gegen die DS-GVO fehlt es jedenfalls (auch) an einem ersatzfähigen Schaden iSd Art. 82 Abs. 1 DS-GVO. Für den immateriellen Schadensersatz gelten dabei die iRv § 253 BGB entwickelten Grundsätze; die Ermittlung obliegt dem Gericht nach § 287 ZPO. Es können für die Bemessung die Kriterien des Art. 83 Abs. 2 DS-GVO herangezogen werden, zB die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie die betroffenen Kategorien personenbezogener Daten. Zu berücksichtigen ist auch, dass die beabsichtigte abschreckende Wirkung nur durch für den Anspruchsverpflichtenden empfindliche Schmerzensgelder erreicht wird, insbesondere wenn eine Kommerzialisierung fehlt. Ein genereller Ausschluss von Bagatellfällen ist damit nicht zu vereinbaren. Die Pflicht zur Erstattung immaterieller Schäden ist daher nicht auf schwere Schäden beschränkt. Bestätigt wurde dies jüngst durch eine Entscheidung des EuGH, wonach der Ersatz eines immateriellen Schadens iSd Art. 82 Abs. 1 DS-GVO nicht davon abhängig gemacht werden kann, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat.

LG Saarbrücken Urt. v. 20.6.2023 – 4 O 168/22

0 EUR Ein entsprechender Anspruch ergibt sich nicht aus Art. 82 Abs. 1 DS-GVO. Der sachliche Anwendungsbereich ist hinsichtlich der klägerseits behaupteten verspäteten Auskunftserteilung gem. Art. 3334 DS-GVO und der Verpflichtung zu datenschutzfreundlichen Voreinstellungen gem. Art. 25 Abs. 2 DS-GVO nicht eröffnet. Denn Art. 82 Abs. 2 S. 1 DS-GVO setzt eine nicht der DS-GVO entsprechende Verarbeitung voraus. Dem unterfällt die verspätete Mitteilung gem. Art. 3334 DS-GVO jedoch nicht. Die verspätete Auskunft findet sich schon nicht im Katalog des Art. 4 Nr. 2 DS-GVO. Sie steht den dort explizit aufgeführten Beispielen auch nicht gleich. Der klägerische Vorwurf liegt vorliegend in einem Unterlassen der Benachrichtigung, mithin im Unterlassen eines Datenverarbeitungsvorganges. Würde man das Unterlassen der Datenverarbeitung dem positiven Tun insoweit gleichstellen, so würde der Begriff der Verarbeitung praktisch nicht mehr abgrenzbar. Auch ein möglicher Verstoß gegen die Pflicht aus Art. 25 Abs. 2 DS-GVO ist vom Anwendungsbereich des Art. 82 Abs. 1 DS-GVO nicht erfasst. Denn die Norm stellt in erster Linie eine organisatorische Verpflichtung der Verantwortlichen dar; als bloße Verfahrensvorschrift ist die Einhaltung daher keine Voraussetzung für die Rechtmäßigkeit eines Verarbeitungsvorgangs. Die Verpflichtung gem. Art. 25 Abs. 2 DS-GVO betrifft einen Zeitpunkt vor der eigentlichen Datenverarbeitung und entfaltet daher bereits vor dem eigentlichen Beginn der Datenverarbeitung ihren Regelungscharakter. Zwar besteht ein enger Zusammenhang zum Grundsatz der Datenminimierung gem. Art. 5 Abs. 1 lit. c) DS-GVO. Da aber auch eine nicht datenminimierte Verarbeitung rechtmäßig sein kann, sofern dies für die Datenverarbeitung erforderlich ist, ist die Rechtmäßigkeit einer Verarbeitung vorrangig nach den jeweils geltenden Regeln, bei der die Erforderlichkeit geprüft wird, zu beurteilen und erst danach ist Art. 25 Abs. 2 DS-GVO iRd sich dann ergebenden Optionen bei den Voreinstellungen zu berücksichtigen. Soweit der Anwendungsbereich eröffnet ist, fehlt es an einer Verletzung von Vorschriften der DS-GVO. Zunächst scheidet ein Verstoß gegen Art. 5 Abs. 1 lit. a), 1314 DS-GVO aus. Auch einen Verstoß gegen Art. 5 Abs. 1 lit. f) DS-GVO durch einen unzureichenden Schutz der Daten der Nutzer vermag die Kammer vorliegend nicht festzustellen. Auch ein Verstoß gegen den datenschutzrechtlichen Grundsatz „privacy by default“ datenschutzfreundliche Voreinstellungen) gem. Art. 25 Abs. 2 DS-GVO ist zu verneinen. Es fehlt vorliegend jedenfalls an einem kausalen Schaden in der Person der Kl. Einen solchen hat die Kl. – der insoweit die Darlegungs- und Beweislast obliegt – jedenfalls nicht zur Überzeugung der Kammer nachgewiesen. Bei der Schadensberechnung unterliegt das Gericht nicht den Anforderungen des Strengbeweises nach § 286 ZPO. Vielmehr kann das Gericht gem. § 287 Abs. 1 S. 1 BGB auch zu einer Schätzung greifen. Die Schätzung darf nicht völlig abstrakt erfolgen, sondern muss dem jeweiligen Einzelfall Rechnung tragen. Sie darf nicht mangels greifbarer, vom Kl. vorzutragender Anhaltspunkte „völlig in der Luft hängen“. Die Frage, ob bereits der Datenschutzverstoß als solcher für das Entstehen eines Schadensersatzanspruchs ausreicht oder es darüber hinaus der Darlegung und des Nachweises eines konkreten (auch: immateriellen) Schadens bedarf, war in Rspr. und Lit. umstritten. Die Kammer hält die Auffassung für vorzugswürdig, wonach über den festgestellten Verstoß gegen die Vorschriften der DS-GVO hinaus Voraussetzung für eine Entschädigung in Geld der Nachweis eines konkreten (auch immateriellen) Schadens ist. Für diese Auffassung spricht schon der Wortlaut des Art. 82 Abs. 1 DS-GVO, der explizit einen entstandenen materiellen oder immateriellen Schaden voraussetzt. Hätte der Verordnungsgeber eine nur an den Rechtsverstoß anknüpfende, vom Nachweis eines konkreten Schadens unabhängige Zahlungspflicht anordnen wollen, hätte es demgegenüber nahegelegen, dies – wie zB im Luftverkehrsrecht gem. Art. 7 Abs. 1 FluggastrechteVO (EG) 261/2004 – durch Pauschalen zu regeln. In diesem Sinne hat nunmehr auch der EuGH mit Urt. v. 4.5.2023 zum Aktenzeichen C-300/21 entschieden. Zugleich hat der EuGH entschieden, dass keine Grenze dergestalt zu ziehen ist, dass – in Anlehnung an die deutsche Dogmatik – lediglich ein erheblicher Schaden ausgleichspflichtig ist. Ein Schaden ist aber ausgehend von den aufgezeigten Parametern vorliegend auch bei Außerachtlassung der Erheblichkeitsschwelle durch die Kammer nicht feststellbar. Der EuGH hat in der zitierten Entscheidung keine konkrete Untergrenze des Schadens definiert. Gleichwohl setzt er eine solche denklogisch voraus, denn zugleich postulierte der Gerichtshof – wie bereits dargetan –, dass nicht jeder Verstoß gegen die Regelungen der DS-GVO einen Schadensersatzanspruch nach sich ziehe. Ein Schaden als eigenständiges Tatbestandsmerkmal sei stets erforderlich. Ein potenzieller Schaden wäre jedenfalls auch nicht kausal auf das Scraping-Ereignis rückführbar. Das Vorliegen eines konkreten, immateriellen Schadens, wozu auch Ängste, Sorgen, Stress sowie Komfort- und Zeiteinbußen zählen, hat die Kl. nicht hinreichend dargetan. Die Kl. schilderte ein Gefühl der Belästigung durch erhaltene Spam-Mails. Sie hat angegeben, dass sie zunächst aus den Medien erfahren, dass Daten abhanden gekommen seien. Kurz danach sei es bei ihr losgegangen mit Spamanrufen, mit Bots und auch mit Stöhnanrufen. Sie habe 20-30 Anrufe pro Tag erhalten. Sie sei gestresst gewesen auf Grund der Anrufe, habe zugleich aber auch Angst gehabt nicht ans Telefon zu gehen, da ihr Großvater zur selben Zeit im Krankenhaus gelegen habe. Im Hinblick auf die Vielzahl der Anrufe sei es auch zu Konflikten mit ihrem Arbeitgeber gekommen. Besserung sei erst durch ein neu erworbenes Google Pixel Smartphone eingetreten, das in der Lage gewesen sei, Spamanrufe automatisch herauszufiltern. Hierin kann das Gericht keinen Schaden erblicken. Das bloße Gefühl einer geringen Belästigung vermag einen solchen nicht zu begründen. Der Empfang von Spam in einem gewissen Umfang stellt eine übliche Belastung dar, die bei Nutzung des Internets unter Verwendung eigener Daten gerichtsbekannt regelmäßig auftritt.

NEU LG Heidelberg Urt. v. 20.6.2023 – 7 O 3/23

250 EUR Scraping-Sachverhalt. Wie LG Heidelberg Urt. v. 31.3.2023 – 7 O 10/22.

NEU LG Stendal Urt. v. 20.6.2023 – 23 O 193/22

500 EUR Scraping-Sachverhalt.

NEU LG Ulm Urt. v. 20.6.2023 – 4 O 187/22

500 EUR Scraping-Sachverhalt. Wie LG Ulm Urt. v. 16.2.2023 – 4 O 86/22.

NEU LG Ulm Urt. v. 20.6.2023 – 4 O 380/22

500 EUR Scraping-Sachverhalt. Wie LG Ulm Urt. v. 16.2.2023 – 4 O 86/22.

NEU LG Hamburg Urt. v. 19.6.2023 – 325 O 111/22

500 EUR Scraping-Sachverhalt. Der Schadensersatzanspruch ist teilweise begründet. Die Bekl. hat gegen Pflichten der Datenschutzgrundverordnung verstoßen. Die Einstellungen der Bekl. bzgl. der ihr gegenüber angegebenen Telefonnnummern verstießen gegen das in Art. 25 Abs. 2 DS-GVO vorgesehene Prinzip der „Privacy by Default“. Zudem hat die Bekl. gegen die Schutzpflichten aus Art. 5 lit. f und Art. 32 DS-GVO verstoßen. Nach Art. 82 Abs. 1 DS-GVO führt jeder Verstoß gegen die Verordnung der zu einem materiellen oder immateriellen Schaden geführt hat, zu einem Anspruch auf Schadensersatz gegen den Verantwortlichen. Zwar wird mit Rücksicht auf Art. 82 Abs. 2 DS-GVO argumentiert, dass nur Schäden, die im Rahmen einer Verarbeitung entstanden seien, Gegenstand einer Ersatzpflicht nach Art. 82 DS-GVO sein könnten. Dies überzeugt schon systematisch nicht, denn auch bei einem umfassenderen Verständnis der Haftungsgrundlage aus Absatz 1 hätte der Verordnungsgeber in Absatz 2 festlegen können, wie im Fall einer Verarbeitung die Haftung zwischen dem Verantwortlichen und dem Auftragsverarbeiter aufzuteilen ist. Der Umstand, dass die Telefonnummer der Kl. ohne deren Willen im Darknet veröffentlicht wurde, stellt einen Schaden iSd Art. 82 DS-GVO dar. Zumindest die Möglichkeit eines Missbrauchs des Kontaktimportprogramms ist für den Schadenseintritt kausal. Denn ohne diese Möglichkeit hätten die Dritten die öffentlich nicht einsehbare Telefonnummer der Kl. nicht auslesen können. Nach Art. 82 Abs. 3 DS-GVO obliegt es der Bekl. als Verantwortlicher für die Datenverarbeitung, sich von der Haftung zu befreien, indem sie nachweist, dass sie in keiner Weise für den eingetretenen Schaden verantwortlich ist. Ein solcher Nachweis ist ihr nicht gelungen. Insb. trifft die Kl. nicht unter dem Gesichtspunkt ein Mitverschulden, dass sie bei umfassender Befassung mit den Datenschutzmöglichkeiten der Bekl. hätte erkennen können, dass sie die Suchbarkeit über die Telefonnummer „durch alle“ abwählen konnte.

NEU LG Hamburg Urt. v. 19.6.2023 – 325 O 56/22

500 EUR Scraping-Sachverhalt. Wie LG Hamburg Urt. v. 19.6.2023 – 325 O 111/22.

LG Darmstadt Urt. v. 19.6.2023 – 27 O 194/22 = ZD 2024, 117 (Ls.)

0 EUR Der Kl. hat gegen die Bekl. keinen Anspruch auf Ersatz immateriellen Schadens nach Art. 82 Abs. 1 DS-GVO. Das Gericht hat bereits erheblich Zweifel daran, ob es sich bei dem Großteil der durch den Kl. bei F. angegebenen Informationen um „personenbezogene Daten“ iSv Art. 4 Nr. 1 DS-GVO handelt. Keine personenbezogenen Daten sind dabei solche Informationen, die anonymisiert sind, also infolge ihrer Veränderung unter Aufhebung des Personenbezugs entweder keine Re-Identifizierung der betroffenen Person (mehr) zulassen oder ein Personenbezug nur mit einem unverhältnismäßigen Aufwand an Zeit, Kosten und Arbeitskraft wiederhergestellt werden kann. Der Kl. hat im Rahmen angegeben, bei F. keinen Klarnamen angegeben, sondern seinen Namen lediglich abgekürzt zu haben mit „“. Damit hat der Kl. aber den Bezug des dort angegebenen Namens zu seiner Person soweit aufgehoben, dass eine Identifizierung seiner Person praktisch ausgeschlossen ist. Dies gilt auch im Hinblick auf seine eMail-Adresse, die ebenfalls keinen Klarnamen enthält („) und damit aus sich heraus ebenso wenig Rückschlüsse auf die tatsächliche Person des Kl. zulässt. Jedenfalls fehlt aber es an einem ersatzfähigen Schaden des Kl. iSv Art. 82 Abs. 1 DS-GVO. Nach Erwägungsgrund 146 S. 3 DS-GVO ist der Schadensbegriff weit auszulegen. Der Schaden muss demnach indes „erlitten“, also tatsächlich entstanden sein. Ein bloßer Verstoß gegen die DS-GVO bei der Datenverarbeitung reicht insofern für einen Anspruch auf Ersatz immaterieller Schäden nicht aus. Es muss vielmehr eine kausal hierauf beruhende spürbare Beeinträchtigung des Geschädigten in persönlichkeitsbezogenen Belangen hinzutreten, um von einem Schaden sprechen zu können. Gemessen hieran ist ein Schaden des Kl. nicht ersichtlich. Soweit der Kl. behauptet, einen „Kontrollverlust über seine Daten“ erlitten zu haben und daher an großem Unwohlsein und großer Sorge über möglichen Missbrauch der ihn betreffenden Daten zu leiden, kann das Gericht dies schon nicht feststellen. Das Gericht geht insofern nicht mit hinreichender Wahrscheinlichkeit davon aus, dass der Kl. unter den in der Klageschrift beschriebenen Ängsten und Sorgen tatsächlich leidet. Obiter dicta sei Folgendes angemerkt: In Zusammenschau mit dem Vorstehenden bestehen auch erhebliche Zweifel an der Kausalität des Scraping-Vorfalls mit den Spam-Anrufen und – SMS. So hat der Kl. zwar ausgeführt, im Jahr 2021 erstmalig Spam-Anrufe und -SMS bekommen zu haben, die nach der Deaktivierung seines Kontos indes aufgehört und erst im Jahr 2023 – ohne die erneute Angabe in sozialen Medien – erneut begonnen haben. Da die Handynummer des Kl. nach seinem Vortrag indes im Internet frei zugänglich gewesen sei, ist nicht nachvollziehbar, warum die vorgetragenen Spam-Anrufe und -SMS mit der Deaktivierung des F.-Profils aufhören und danach erneut ohne Reaktivierung des Profils beginnen sollten. Zudem erklärte der Kl., die mit seinem ehemaligen F.-Konto verknüpfte Handynummer schon eine lange Zeit – bis zu 20 Jahre – zu nutzen. Es ist daher unschwer vorstellbar, dass er diese Nummer an vielen Stellen analog und digital als Kontakt hinterlassen hat und es damit ebenso vielfältige Möglichkeiten gibt, wie Unbekannte an dessen Nummer gelangt sein könnten, nicht zuletzt auch durch Datenlecks bei Dritten, denen der Kl. seine Nummer einmal gegeben hat. Zuletzt hat der Kl. angegeben, „sensible Daten“ auf für lediglich ihn selbst sichtbar bzw. nur für Freunde sichtbar eingestellt zu haben. Damit steht schon in Zweifel, ob und in welchem Umfang überhaupt „stets öffentliche“ persönliche Informationen des Kl. – wie etwa Namen, Wohnort und ähnliches – iRd Scrapings abgeschöpft wurden.

NEU LG Chemnitz Urt. v. 19.6.2023 – 1 O 746/22

300 EUR Der Ansicht der Bekl., dass iRd Anwendungsbereiches von Art. 82 Abs. 1 DS-GVO eng auf den Begriff der „Datenverarbeitung“ abzustellen ist, ist nicht zu folgen. Der Wortlaut des Art. 82 Abs. 1 DS-GVO „Verstoß gegen die Verordnung“ ist grds. weit gefasst und dementsprechend auch so zu verstehen. Vom Schutzbereich des Art. 82 Abs. 1 sind folglich alle formellen und materiellen Verstöße umfasst, ohne dass es auf die Datenverarbeitung als solche ankommt. Eine andere Ansicht würde dem insoweit eindeutigen Wortlaut des Art. 82 Abs. 1 DS-GVO und dessen Schutzzweck, dem umfangreichen Schutz der Betroffenen, entgegenstehen. Dies trifft auch auf die Verletzung des Art. 25 Abs. 2 DS-GVO durch die Bekl. zu. Die Bekl. hat im Zusammenhang mit dem streitgegenständlichen „Scraping-Vorfall“ als Verantwortliche iSd Art. 4 Nr. 7 DS-GVO gegen Art. 131425 Abs. 23233 und 34 DS-GVO verstoßen. Der Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO dient nicht nur dem Ausgleich erlittenen Schadens, sondern auch repressiven und präventiven Zwecken, indem er Verstöße sanktioniert, weiteren Verstößen präventiv vorbeugt und vor zukünftigen Verstößen abschreckt. Es kann vorliegend dahinstehen, ob für eine Ersatzpflicht nach Art. 82 Abs. 1 DS-GVO bereits ein Verstoß gegen eine Norm der DS-GVO genügt oder ein konkreter Schaden des Kl. vorliegen muss. Der Kl. erlitt nach Ansicht des Einzelrichters einen Schaden in Form eines Kontrollverlustes über seine während des „Scraping-Vorfalls“ abgegriffenen Daten. Darüber hinaus sieht Art. 82 DS-GVO eine etwaige Bagatellgrenze nicht vor. Eine alleinige Kausalität der Verstöße ist dabei nicht erforderlich, Mitursächlichkeit ist ausreichend. Der Ersatz vorgerichtlicher Rechtsanwaltskosten ist von Art. 82 Abs. 1 DS-GVO umfasst.

NEU LG Chemnitz Urt. v. 19.6.2023 – 1 O 845/22

700 EUR Scraping-Sachverhalt. Wie LG Chemnitz Urt. v. 19.6.2023 – 1 O 746/22.

NEU LG Ingolstadt Urt. v. 16.6.2023 – 85 O 1810/22

1.000 EUR Die Kl. hat einen Anspruch auf Ersatz ihres immateriellen Schadens iHv 1.000 EUR aus Art. 82 Abs. 1, Abs. 2 S. 1 DS-GVO. Zur Überzeugung des Gerichts hat die Bekl. als Verantwortliche iSd Art. 4 Nr. 7 DS-GVO gegen mehrere Vorschriften aus der DS-GVO verstoßen. Nach Art. 82 Abs. 1 DS-GVO ist für eine Schadensersatzpflicht ein Verstoß gegen die DS-GVO erforderlich. Da der sachliche Anwendungsbereich der DSVO nach deren Art. 2 Abs. 1 jedoch nur für die Datenverarbeitung eröffnet ist, ist ein Verstoß in Form einer gegen die Vorschriften der DS-GVO erfolgten Datenverarbeitung erforderlich. Art. 82 Abs. 1, Abs. 2 S. 1 und S. 2 DS-GVO beinhalten daher lediglich die Klarstellung, dass der Verantwortliche für alle – durch entsprechende Verstöße verursachte – Schäden haftet, während der Auftragsverwalter nur unter weiteren Voraussetzungen für Schäden haftet. Eine Einschränkung hinsichtlich der – eine Haftung nach Art. 82 Abs. 1 DS-GVO begründenden – Verstöße liegt hierin jedoch nicht. Die Bekl. hat gegen die Verpflichtung aus Art. 25 Abs. 2 DS-GVO verstoßen (“privacy by default“). Ein Verstoß gegen Art. 25 Abs. 2 DS-GVO kann einen Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO begründen, Art. 25 DS-GVO ist mithin vom Schutzbereich des Art. 82 DS-GVO umfasst. Darüber hinaus ist die Bekl. auch ihrer Informations- und Aufklärungspflicht gem. Art. 13 DS-GVO jedenfalls nicht in vollem Umfang nachgekommen. Schließlich hat die Bekl. noch gegen Art. 32245 Abs. 1 lit. f DS-GVO verstoßen, da sie keine zureichenden Sicherheitsmaßnahmen hinsichtlich der Nutzung des „Contact-Importer-Tools“ getroffen hat. Ferner liegt auch ein ersatzfähiger Schaden iSv Art. 82 Abs. 1 DS-GVO vor. Der Begriff des Schadens ist ein autonomer Begriff des Unionsrechts, welcher in allen Mitgliedstaaten einheitlich auszulegen ist. Er ist nach dem Erwägungsgrund 146 S. 3 im Lichte der Rspr. des EuGH weit und auf eine Art und Weise auszulegen, die den Zielen der Verordnung in vollem Umfang entspricht. Grds. ermöglicht Art. 82 Abs. 1 DS-GVO den Ersatz materieller und immaterieller Schäden. Dabei genügt ein Verstoß gegen die DS-GVO allein jedoch noch nicht für die Annahme eines Schadens. Vielmehr ist der Schaden als ein neben dem Verstoß gegen die DS-GVO eigenständiges Kriterium gesondert festzustellen. Es bedarf mithin des Nachweises eines konkret entstandenen Schadens. In den Erwägungsgründen 75 und 85 wird der Kontrollverlust über die personenbezogenen Daten als Beispiel für das Vorliegen eines solchen Schadens aufgeführt. Schließlich darf der Schadensersatz nicht davon abhängig gemacht werden, dass der entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat. Der Schadensbegriff des Art. 82 Abs. 1 DS-GVO umfasst mithin auch „Bagatellschäden“. Die oben bezeichneten Verstöße der Bekl. gegen die DS-GVO waren zur Überzeugung des Gerichts auch kausal für den Schaden der Kl. Durch den von der Kl. geschilderten engen zeitlichen Zusammenhang zwischen dem Scraping-Vorfall und dem Beginn der belästigenden Anrufe und E-­Mails ist das Gericht ferner davon überzeugt, dass letztere kausal auf den Scraping-Vorfall zurückzuführen sind. Eine Exkulpation der Bekl. nach Art. 82 Abs. 3 DS-GVO gelingt nicht. IRd ihr zustehenden materiellen Schadensersatzanspruchs nach Art. 82 Abs. 1 DS-GVO kann die Kl. auch die Erstattung vorgerichtlich angefallener Rechtsanwaltsgebühren beanspruchen.

NEU LG Duisburg Urt. v. 15.6.2023 – 8 O 87/22

250 EUR Scraping-Sachverhalt. Wie LG Duisburg Urt. v. 24.8.2023 – 8 O 86/22.

NEU LG Hannover Urt. v. 15.6.2023 – 13 O 90/22

500 EUR Scraping-Sachverhalt. Wie LG Hannover Urt. v. 17.8.2023 – 13 O 1/23.

NEU LG Hannover Urt. v. 15.6.2023 – 13 O 69/22

500 EUR Scraping-Sachverhalt. Wie LG Hannover Urt. v. 17.8.2023 – 13 O 1/23.

LG Duisburg Urt. v. 14.6.2023 – 10 O 126/22 = ZD 2023, 640 (Ls.)

0 EUR Die klägerische Partei hat unter keinem rechtlichen Gesichtspunkt einen Anspruch auf Ersatz eines immateriellen Schadens gegen die Bekl. Der Anspruch ergibt sich weder aus Art. 82 Abs. 1 DS-GVO noch aus einer vertraglichen oder deliktischen Haftung der Bekl. nach Normen des BGB. Ein nach Art. 82 Abs. 1 DS-GVO erforderlicher Verstoß gegen die DS-GVO ist nicht festzustellen. Teilweise dürfte der Anwendungsbereich des Art. 82 DS-GVO für die durch die Kl. geltend gemachten Verstöße bereits nicht eröffnet sein, jedenfalls aber ist der Bekl. kein Verstoß gegen die DS-GVO zur Last zu legen. Insoweit ist umstritten, wer die Darlegungs- und Beweislast für das Vorliegen der Pflichtverletzung trägt. Aus Sicht der Kammer sprechen gute Gründe dafür, die Darlegungs- und Beweislast nach allgemeinen schadensrechtlichen Grundsätzen dem Anspruchsteller aufzuerlegen. Die in Art. 82 Abs. 3 DS-GVO geregelte Beweislastverteilung – Beweislast des Verantwortlichen – bezieht sich seinem Wortlaut nach einzig auf das Verschulden des Verantwortlichen gegenüber den Behörden und nicht auf den zugrundeliegenden DS-GVO-Verstoß. Auch aus der in Art. 5 Abs. 2 DS-GVO statuierten Rechenschaftspflicht des Verantwortlichen kann nicht auf eine diesbezügliche Beweislastumkehr geschlossen werden. Andernfalls würde hierdurch auf einem Umweg der Verantwortliche gegenüber jedem Betroffenen rechenschaftspflichtig, wobei die DS-GVO dem Betroffenen aber gerade nur eingeschränkte Rechte zugesteht, wie z. B. das Auskunftsrecht aus Art. 15 DS-GVO. Das Prozessrecht bietet darüber hinaus hinreichend Möglichkeiten, einer unter Umständen bestehenden Darlegungs- und Beweisnot des Anspruchstellers – gerade im Hinblick auf Vorgänge, in welche der Betroffene keinen Einblick hat – zu begegnen, wie z. B. die aus der DS-GVO folgenden Informationsrechte oder aber die Begründung einer sekundären Darlegungslast der Verantwortlichen. Soweit die Kl. sich im Rahmen ihres Schadensersatzbegehrens auf Informationspflichtverletzungen (Artt. 1314 DS-GVO), Meldepflichtverletzungen (Art. 33 DS-GVO) und unterlassene Auskünfte (Artt. 1534 DS-GVO) der Bekl. beruft, sind diese bereits nicht vom Anwendungsbereich der Art. 82 DS-GVO umfasst, da es sich hierbei nicht um eine Verarbeitung personenbezogener Daten iSd Art. 4 Nr. 2 DS-GVO handelt. Der Anwendungsbereich des Art. 82 Abs. 1 DS-GVO umfasst allein solche Verstöße gegen die DS-GVO, die auf einer Verarbeitung personenbezogener Daten iSd Art. 4 Nr. 2 DS-GVO beruhen, Art. 82 Abs. 2 S. 1 DS-GVO. Auch wenn der Wortlaut des Art. 82 Abs. 1 DS-GVO allein auf einen Verstoß „gegen diese Verordnung“ Bezug nimmt, ergibt sich aus Art. 82 Abs. 2 DS-GVO eindeutig, dass eine Haftung nur für solche Schäden entstehen soll, die durch eine nicht der DS-GVO entsprechenden Verarbeitung verursacht wurden. Diese Auslegung steht auch im Einklang mit den Erwägungsgründen 146 und 75 der DS-GVO. Der Erwägungsgrund 146 stellt auf eine Verarbeitung der personenbezogenen Daten ab. Der Erwägungsgrund 75 beschreibt beispielhaft Risiken, die aus der Verarbeitung personenbezogener Daten resultieren und aus denen materielle und immaterielle Schäden entstehen können, welche gerade über Art. 82 Abs. 1 DS-GVO Ersatz finden sollen. Darüber hinaus fehlt es an einem ersatzfähigen immateriellen Schaden der Kl. Nach Auffassung der Kammer setzt ein Anspruch auf Schadensersatz nach Art. 82 DS-GVO neben der Verletzung einer Vorschrift der DS-GVO auch einen hierauf beruhenden Schaden voraus, der durch den Anspruchsteller darzulegen und notfalls zu beweisen. Als Bewertungskriterien können zudem die in Art. 83 DS-GVO genannten Kriterien der Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie die betroffenen Kategorien personenbezogener Daten herangezogen werden. Ein genereller Ausschluss von Bagatellschäden ist im Lichte der Erwägungsgründe nicht vertretbar.

LG Ravensburg Urt. v. 13.6.2023 – 2 O 228/22

1.000 EUR Dem Kl. steht gegen die Bekl. als Verantwortliche iSv Art. 4 Nr. 7 DS-GVO anzusehen ist ein Anspruch auf immateriellen Schadensersatz iHv 1.000 EUR aus Art. 82 Abs. 1 DS-GVO auf Grund von verschiedenen Verstößen gegen die DS-GVO zu. Die Bekl. hat gegen Art. 32 Abs. 1 DS-GVO verstoßen, da sie den Datensatz des Kl. nicht genügend gegen einen Angriff durch „Web-Scraping“ geschützt hat. Durch Verwendung von „Sicherheitscaptchas“ wäre ein Angriff durch maschinelles Abfragen von Daten mittels Eingabe von Nummernfolgen verhindert oder jedenfalls wesentlich erschwert worden. Die Bekl. hat nicht konkret behauptet, dass insoweit konkret „Sicherheitscaptchas“ verwendet wurden. Die Bekl. hat auch nicht konkret vorgetragen, dass sie gleichwertige Maßnahmen ergriffen hat, um die nahliegende Möglichkeit des Missbrauchs des CIT (Contact-Import-Tool) zu verhindern. Die nach dem Vorbringen der Bekl. erfolgten Übertragungsbeschränkungen, die die Anzahl von Anfragen reduzieren, die pro Nutzer oder einer bestimmten IP-Adresse in einem bestimmten Zeitraum gemacht werden können, war offenkundig unzureichend. Außerdem hat die Bekl. gegen Art. 33 Abs. 1 DS-GVO verstoßen, indem sie, wie der Kl. vorträgt, den Datenschutzverstoß nicht unverzüglich innerhalb von 72 Stunden nach Bekanntwerden bei der zuständigen Behörde gemeldet hat, und außerdem gegen Art. 34 Abs. 1 DS-GVO, indem sie den Kl. nicht unverzüglich nach Bekanntwerden informiert hat. Die Bekl. hat diesen Vortrag nicht qualifiziert bestritten, so dass der entsprechende Vortrag des Kl. gem. § 138 Abs. 3 ZPO als zugestanden gilt. Durch die unbefugte Veröffentlichung seiner personenbezogenen Daten hat der Kl. einen ersatzfähigen Schaden erlitten. Zwar ist ein bloßer Verstoß gegen die DS-GVO nicht ausreichend, um einen Schadenersatzanspruch gem. Art. 82 Abs. 1 DS-GVO zu begründen. Der Kl. ist jedoch konkret und individuell geschädigt worden, denn seine persönlichen Daten sind infolge des Verstoßes tatsächlich an unbefugte Personen abgeflossen und in einem öffentlichen Forum ins Internet gestellt worden. Dieser Schaden durch Datenverlust an unbefugte Dritte ist auch erheblich genug für die Zuerkennung eines Schadenersatzanspruchs. Denn der Ersatz eines immateriellen Schadens ist nicht davon abhängig, dass eine bestimmte Erheblichkeitsschwelle erreicht ist. Bei einer Gesamtwürdigung ist zu berücksichtigen, dass unterschiedliche Datenschutzverstöße vorliegen, nämlich einerseits der unzureichende Schutz im Vorfeld des Datenabflusses und andererseits die fehlende Information im Anschluss daran. Letzteres ist ebenfalls gravierend. Der Geschädigte hat ein erhebliches Interesse daran, dass er selbst und die zuständige Behörde frühzeitig von einem Verstoß in Kenntnis gesetzt werden. Insgesamt war ein maßvoller Schadenersatzbetrag von 1.000 EUR festzusetzen. Der mit dem Klageantrag Ziff. 2 geltend gemachte Schadenersatzanspruch gem. Art. 82 Abs. 1 DS-GVO besteht nicht. Es kann dahingestellt bleiben, ob die Bekl. gegen Art. 15 Abs. 1 DS-GVO verstoßen hat, indem sie eine ungenügende Auskunft erteilt hat. Ein solcher Verstoß kann schon deshalb keinen Schadenersatzanspruch begründen, weil dadurch kein zusätzlicher immaterieller Schaden des Kl. entstanden ist. IRd materiellen Schadensersatzanspruchs nach Art. 82 Abs. 1 DS-GVO kann der Kl. auch die Freistellung vom Anspruch der Prozessbevollmächtigten des Kl. auf Bezahlung vorgerichtlich angefallener Rechtsanwaltsgebühren beanspruchen. Verzugseintritt ist dazu nicht notwendig, denn der Anspruch auf Schadenersatz entsteht mit der Verletzungshandlung. Verzugszinsen kann der Kl. insoweit nicht verlangen, denn für einen etwaigen Zahlungsverzug ist er selbst verantwortlich.

LG Stralsund Urt. v. 9.6.2023 – 6 O 181/22 = ZD 2024, 117 (Ls.)

0 EUR Der Antrag zu 1.) war mangels Eintritts eines Schadens abzuweisen. Das LG Essen hatte hierzu bereit mit Urt. v. 10.11.2022 – 6 O 111/22 ausgeführt. Auch eine Verletzung des Auskunftsrechts nach Art. 15 DS-GVO vermag eine Pflichtverletzung nach Art. 82 DS-GVO und somit einen Schadensersatzanspruch zu begründen. Nach dem Wortlaut der Norm ist der Haftungstatbestand somit nicht auf bloße Datenverarbeitungsvorgänge beschränkt. Zwar heißt es im Erwägungsgrund Nr. 146, dass der Verantwortliche oder der Auftragsverarbeiter solche Schäden ersetzen sollen, die einer Person auf Grund einer Verarbeitung entstehen. Im Wortlaut der Rechtsverordnung findet diese Einschränkung jedoch keine Erwähnung. Es spricht auch nichts dafür, dass Art. 82 Abs.1 DS-GVO durch Art. 82 Abs. 2 DS-GVO, dieser benennt ausdrücklich die Datenverarbeitung, eingeschränkt werden soll. Hätte der Verordnungsgeber eine solche Einschränkung tatsächlich gewollt, hätte er bereits in Abs. 1 nicht den „Verstoß gegen die Verordnung“, sondern wie in Abs. 2 die „Verarbeitung“ sanktioniert. Darüber hinaus meint „Verarbeitung“ gem. Art. 4 Nr. 2 DS-GVO auch die Offenlegung durch Übermittlung worunter auch die Auskunft zu erfassen ist. Erforderlich für einen Schadensersatzanspruch ist aber neben dem Eintritt eines solchen Schadens die Ursächlichkeit der Pflichtverletzung für den eingetretenen Schaden. Da der Schaden gerade durch den Rechtsverstoß entstanden sein muss genügt es nicht, dass der Schaden durch eine Verarbeitung entstanden ist, in deren Rahmen es zu einem Rechtsverstoß gekommen ist. Die Klagepartei vermochte nicht zu beweisen, dass ihr auf Grund einer etwaigen Auskunftspflichtverletzung überhaupt ein Schaden entstanden ist. Gemäß § 286 Abs. 1 ZPO hat das Gericht unter Berücksichtigung des gesamten Inhalts der Verhandlungen und des Ergebnisses einer etwaigen Beweisaufnahme nach freier Überzeugung zu entscheiden, ob eine tatsächliche Behauptung für wahr oder für nicht wahr zu erachten sei. Dabei dürfen keine "unerfüllbaren Beweisanforderungen" gestellt werden, und das Gericht darf keine unumstößliche Gewissheit bei der Prüfung verlangen, ob eine Behauptung wahr und erwiesen ist. Der Richter darf und muss sich aber in tatsächlich zweifelhaften Fällen mit einem für das praktische Leben brauchbaren Grad von Gewissheit begnügen, der den Zweifeln Schweigen gebietet, ohne sie völlig auszuschließen.

LG Augsburg Urt. v. 9.6.2023 – 022 O 2669/22 = ZD 2024, 118 (Ls.)

0 EUR Die Klage ist bereits unschlüssig, da die von der Kl. geschilderten SMS und Anrufe von Anfang bis Mitte 2019 jedenfalls nicht kausal auf das Datenscraping bei der Bekl. zurückzuführen sind. Der Kl. stünde gegen die Bekl. jedoch auch sonst kein Anspruch auf Zahlung eines immateriellen Schadensersatzes zu. Auf der Grundlage des klägerischen Vorbringens würde es bereits an einem Verstoß gegen die Bestimmungen der DS-GVO fehlen. Ein Verstoß gegen die Transparenzpflichten aus Artt. 5 Abs. 1 lit. a), 1314 DS-GVO liegt nicht vor. Es liegt auch kein Verstoß gegen die Datenschutzpflichten aus Artt. 5 1 lit. f), 32 DS-GVO vor. Die Bekl. hat auch nicht gegen die Pflicht zu datenschutzfreundlichen Voreinstellungen gem. Art. 25 Abs. 12 DS-GVO verstoßen. Schließlich ist der Bekl. kein Verstoß gegen die Meldepflicht nach Art. 33 DS-GVO vorzuwerfen, da es schon an einem meldepflichtigen Verstoß gegen die DS-GVO fehlt. Endlich liegt auch kein Verstoß gegen die Auskunftspflicht der Bekl. nach Art. 15 DS-GVO vor. Weiter würde es an einem immateriellen Schaden der Kl. fehlen. Zu den Anspruchsvoraussetzungen des Art. 82 Abs. 1 DS-GVO zählt neben dem Verstoß gegen die DS-GVO auch der Eintritt eines immateriellen Schadens. In Anbetracht der Erwägungsgründe 7585146 und 148 der DS-GVO hatte der Verordnungsgeber insoweit Diskriminierung, Identitätsdiebstahl, Identitätsbetrug, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden persönlichen Daten oder gesellschaftliche Nachteile ohne den Ausschluss von Bagatellschäden im Blick. Hinsichtlich eines möglichen künftigen Missbrauchs personenbezogener Daten wird ein immaterieller Schaden aber nur dann zu begründen sein, wenn es sich um einen realen und sicheren emotionalen Schaden handelt und nicht nur um ein Ärgernis oder eine Unannehmlichkeit. Gemessen an diesen Maßstäben ist ein immaterieller Schaden der Kl. zu verneinen. Die Kl. wurde bisher unstreitig nicht Opfer eines Identitätsdiebstahls; ihr Account bei F. wurde auch nicht durch unbekannte Dritte übernommen.

NEU LG Erfurt Urt. v. 9.6.2023 – 3 O 348/22

500 EUR Scraping-Sachverhalt. Wie LG Lübeck Urt. v. 25.5.2023 – 15 O 74/22.

NEU LG Hannover Urt. v. 8.6.2023 – 13 O 94/22

500 EUR Scraping-Sachverhalt. Wie LG Hannover Urt. v. 17.8.2023 – 13 O 1/23.

NEU LG Hannover Urt. v. 8.6.2023 – 13 O 84/22

500 EUR Scraping-Sachverhalt. Wie LG Hannover Urt. v. 17.8.2023 – 13 O 1/23.

NEU LG Hannover Urt. v. 8.6.2023 – 13 O 83/22

500 EUR Scraping-Sachverhalt. Wie LG Hannover Urt. v. 17.8.2023 – 13 O 1/23.

NEU LG Hannover Urt. v. 8.6.2023 – 13 O 58/22

500 EUR Scraping-Sachverhalt. Wie LG Hannover Urt. v. 17.8.2023 – 13 O 1/23.

LG Bonn Urt. v. 7.6.2023 – 13 O 126/22

250 EUR Der Kl. hat gegen die Bekl. einen Anspruch auf Schadensersatz in Form eines Schmerzensgeldes in Höhe von 250 EUR (Art. 82 Abs. 1 DS-GVO). Indem die Bekl. es unterlassen hat, das A-B-Tool technisch so abzusichern, dass automatisierte Abrufe mit beliebigen Ziffernfolgen ausgeschlossen gewesen sind, hat sie gegen ihre Pflicht zur "Integrität und Vertraulichkeit" gem. Art. 5 Abs. 1 lit. f), Art. 25 Abs. 1 und 2 sowie Art. 32 Abs. 1 DS-GVO verstoßen. Durch den Verstoß ist es zu einer unzulässigen Datenverarbeitung iSd Art. 6 Abs. 1 DS-GVO gekommen. Sowohl für die Verletzung der Integritäts- und Vertraulichkeitspflicht als auch die hierdurch ermöglichte unzulässige Datenverarbeitung ist die Bekl. i. S. d. Art. 82 Abs. 2 und 3 DS-GVO "verantwortlich". Maßgeblich hierfür ist, wem die Verstöße zuzurechnen sind. Dabei erfolgt die Zurechnung der Verletzung der Integritäts- und Vertraulichkeitspflicht bereits daraus, dass es das eigene Unterlassen der Bekl. gewesen ist, das die Pflichtverletzung begründet. Die unzulässige Datenverarbeitung ist zwar nicht unmittelbar durch die Bekl. erfolgt, sondern stellt ein Verhalten der Unbekannten dar. Dieses ist der Bekl. jedoch infolge des Verstoßes gegen die Integritäts- und Vertraulichkeitspflicht zurechenbar, da durch deren Verletzung die unzulässige Datenverarbeitung unmittelbar ermöglicht worden ist. Dem Kl. ist auch ein abstrakter Schaden in Form der Beeinträchtigung der grds. ihm zustehenden Kontrolle über seine Daten bzgl. seiner Mobilfunknummer und der hiermit wie dargestellt verknüpften Daten entstanden (von einem Kontrollverlust zu sprechen, geht indes zu weit). Eine konkrete Kausalität für die behaupteten konkreten Beeinträchtigungen zu Lasten der Bekl. kann daher nicht bejaht werden, sondern nur dahingehend, dass die Datenschutzverstöße der Bekl. zu einer Beeinträchtigung der Kontrolle des Kl. über seine Daten mit der abstrakten Folge des potentiellen Missbrauchs (durch Dritte) geführt hat. Auch dies ist allerdings ein Schaden, der ein Schmerzensgeld rechtfertigt – wenn auch nur ein vergleichsweise geringes. Das Schmerzensgeld muss nach Sinn und Zweck der DS-GVO abschreckend sein und sich an Ausgleichs- und Genugtuungsfunktion orientieren, wobei es auf die konkreten Umstände des Einzelfalls ankommt und der Katalog des Art. 83 Abs. 2 DS-GVO Berücksichtigung finden kann. Hierbei ist schmerzensgelderhöhend zu berücksichtigen, dass es sich bei der streitgegenständlichen Verknüpfung – wie iRd Schadens ausgeführt – um eine sensible Kombination mit hohem Missbrauchspotential handelt. Das Gericht verkennt dabei nicht, dass sämtliche Daten des Kl. – mit Ausnahme der Mobiltelefonnummer – ohnehin für Dritte öffentlich einsehbar und damit beliebig kopierbar, weiterverwendbar und missbrauchbar gewesen sind. Schmerzensgeldmindernd ist zu berücksichtigen, dass es sich sämtlich um Daten aus der – grds. am wenigstens schutzwürdigen – Sozialsphäre des Kl. nach der insoweit maßgeblichen Rspr. des BVerfG zum allgemeinen Persönlichkeitsrecht handelt.

LG Berlin Urt. v. 7.6.2023 – 26 O 240/22

0 EUR Ein Entschädigungsanspruch ist nicht begründet. Dabei braucht nicht abschließend entschieden zu werden, ob der Bekl. ein Verstoß gegen (den Kl. zu Entschädigung berechtigende) Regelungen der DS-GVO, insb. das Verhältnis zwischen den Parteien bestimmende Grundsätze von Treu und Glauben, Transparenz, damit verbundene Informationspflichten (Art. 51314 DS-GVO) und Verpflichtungen, als Datenverarbeiter unter Berücksichtigung des Standes der Technik und der Interessen der Beteiligten (also auch des zwar informierten aber nur durchschnittlich aufmerksamen und sorgsamen Nutzers) geeignete technische und organisatorische Maßnahmen zum Schutz der ihr anvertrauten Daten zu treffen, vorzuwerfen ist. Es kann auch offenbleiben, ob die Bekl. dadurch, dass das von ihr bereitgestellte Instrumentarium (insb. das CIT) das Scraping durch Dritte, die dieses Instrumentarium für eigene Zwecke missbrauchten, begünstigt hat. Ebenso kann schließlich dahinstehen, welche Bedeutung es dabei haben könnte, dass die Bekl. einen durchschnittlich informierten, aufmerksamen und verständigen Nutzer erwarten konnte. Denn unabhängig hiervon fehlt es hier jedenfalls an einer ausreichenden Darlegung eines hierdurch verursachten Schadens. Dass ein Anspruch nach Art. 82 DS-GVO einen Schaden voraussetzt, hat der EuGH in seinem Urt. v. 4.5.2023 (C-300/21), auf das Bezug genommen wird, überzeugend ausgeführt. Soweit der Kl. geltend macht, er habe einen Kontrollverlust über seine Daten erlitten, stellt das allein einen zur Entschädigung berechtigenden Schaden nicht dar, weil eine solche Betrachtung im Widerspruch zu Wortlaut des Art. 82 DS-GVO und Systematik der Vorschriften der DS-GVO stünde. Ein Verstoß gegen die DS-GVO besteht stets darin, dass Daten entgegen der durch den Nutzer erteilten Einwilligung verarbeitet oder – wie hier geltend gemacht – auf Grund technischer Einstellungen dem unbefugten Zugriff Dritter ausgesetzt sind. In jedem dieser Fälle erfährt der Nutzer durch den Verstoß gegen die DS-GVO einen Verlust an Kontrolle über die Verwendung seiner Daten, die nicht (mehr) entsprechend seiner Einwilligung, durch die seine Kontrolle definiert wird, verarbeitet werden. Besteht aber der Verstoß gegen die DS-GVO, den der Kl. der Bekl. vorwirft, gerade darin, dass die Bekl. seine Daten nicht ausreichend geschützt hat und diese so, (wie auch die auf Unterlassung einer Verwendung entgegen seiner Einwilligung gerichteten Anträgen des Kl. ergeben) anders als vom Kl. gewollt, durch Dritte erlangt worden sind, sie also durch den Verstoß seiner Kontrolle entzogen werden, macht das deutlich, dass ein Kontrollverlust allein noch keinen (messbaren) Schaden darstellen kann. Da ein Verstoß gegen die DS-GVO immer einen Kontrollverlust desjenigen bedeutet, der seine Daten dem Datenverarbeiter anvertraut hat, kann nicht gleichzeitig der Kontrollverlust für sich genommen ein Schaden sein. Ist danach ein konkreter Schaden erforderlich, ist der Kl. als derjenige, der von dem Verstoß gegen die DS-GVO betroffen ist, darlegungsbelastet dafür, dass die behaupteten negativen Folgen einen immateriellen Schaden darstellen (Art. 82 Abs. 3 DS-GVO). Die DS-GVO – wie sich auch aus Erwägungsgrund 75 ergibt – begründet keine reine Gefährdungshaftung. Bloßer Ärger und Zorn stellt einen Schaden nicht dar.

LG Bamberg Urt. v. 6.6.2023 – 42 O 782/22 = ZD 2023, 637 (Ls.)

0 EUR Der Kl. hat unter keinem rechtlichen Gesichtspunkt einen Anspruch auf immateriellen Schadenersatz in geltend gemachter Höhe von 1.000 EUR. Ein Anspruch gegen die Bekl. ergibt sich weder aus nationalen Vorschriften noch aus Art. 82 DS-GVO. Es fehlt sowohl an einer schadenersatzauslösenden Pflichtverletzung der Bekl. iSv Art. 82 DS-GVO als auch an einem ersatzfähigen Schaden. Soweit der Kl. der Bekl. mehrere Verstöße vorwirft, nämlich ungenügende Information und Aufklärung über die Verarbeitung der ihn betreffenden Daten durch ungenügende Aufklärung zur Verwendung und Geheimhaltung der Telefonnummer (Art. 5 Abs. 1 lit. a DS-GVO), unmittelbaren Verstoß gegen Art. 1314 DS-GVO, die konkrete Informationspflichten enthielten, die seitens der Bekl. nicht eingehalten worden seien, ungenügender Schutz der personenbezogenen Daten der Nutzer von F. (Art. 242532 DS-GVO), fehlerhafte, weil nicht datenschutzfreundlichste Voreinstellung (Art. 25 Abs. 2 DS-GVO), nicht erfolgte Information der zuständigen Aufsichtsbehörde (Art. 3334 DS-GVO) und unvollständige Auskunftserteilung nach Art. 15 DS-GVO, da nicht mitgeteilt worden sei, welchen Empfängern die Daten des Kl. durch Ausnutzung des Kontakt-Import Tools zugänglich gemacht worden seien (Art. 3334 DS-GVO), sind solche Verstöße schon nicht vom Schutzzweck des Art. 82 DS-GVO umfasst. Ausreichend ist nicht ein Verstoß gegen jegliche Vorgabe der DS-GVO, sondern aus Art. 82 Abs. 2 DS-GVO ergibt sich, dass Schutzgegenstand der Vorschrift, die verletzt wurde, die Datenverarbeitung selbst sein muss. Art. 82 Abs. 1 DS-GVO ist demgegenüber lediglich als generelle Umschreibung bzw. Klarstellung der Haftungsverpflichtung von allen Anspruchsverpflichteten zu verstehen. Anknüpfungspunkt für eine Haftung ist also eine der Verordnung nicht entsprechende Verarbeitung iSd Art. 4 Nr. 2 DS-GVO. Dies steht im Einklang mit Erwägungsgrund 146, wonach der Verantwortliche oder der Auftragsverarbeiter Schäden, die einer Person auf Grund einer Verarbeitung entstehen, die mit der DS-GVO nicht im Einklang stehen, ersetzen sollte. Benachrichtigungs-­, Aufklärungs- und Informationspflichten nach Art. 5 Abs. 1 lit. a DS-GVO, nach Art. 131415 DS-GVO und nach Art. 3334 DS-GVO stellen keine Datenverarbeitung dar, so dass Verstöße gegen diese Normen von Art. 82 Abs. 12 DS-GVO nicht umfasst sind. Schließlich lässt sich auch von vornherein aus Art. 24 DS-GVO kein subjektives Recht herleiten. Selbiges gilt für Art. 25 DS-GVO. Unabhängig davon fehlt es an einem ersatzfähigen Schaden des Kl. iSd Art. 82 Abs. 1 DS-GVO. Für den immateriellen Schadensersatz gelten dabei die iRv § 253 BGB entwickelten Grundsätze; die Ermittlung obliegt dem Gericht nach § 287 ZPO. Es können für die Bemessung die Kriterien des Art. 83 Abs. 2 DS-GVO herangezogen werden, zB die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie die betroffenen Kategorien personenbezogener Daten. Zu berücksichtigen ist auch, dass die beabsichtigte abschreckende Wirkung nur durch für den Anspruchsverpflichtenden empfindliche Schmerzensgelder erreicht wird, insbesondere wenn eine Kommerzialisierung fehlt. Ein genereller Ausschluss von Bagatellfällen ist damit nicht zu vereinbaren. Die Pflicht zur Erstattung immaterieller Schäden ist daher nicht nur auf schwere Schäden beschränkt. Ein genereller Ausschluss von Bagatellschäden ist im Lichte dieser Erwägungsgründe nicht vertretbar. Dies wird auch aus Art. 4 Abs. 3 AEUV abgeleitet, der die Mitgliedsstaaten dazu anhält, Verstöße wirksam mit Sanktionen zu belegen, denn nur so könne man eine effektive Durchsetzbarkeit des EU-Rechts und damit auch der DS-GVO erzielen. Allein eine Verletzung des Datenschutzrechts als solche begründet allerdings nicht bereits für sich gesehen einen Schadensersatzanspruch für betroffene Personen. Die Verletzungshandlung muss in jedem Fall auch zu einer konkreten, nicht nur völlig unbedeutenden oder empfundenen Verletzung von Persönlichkeitsrechten der betroffenen Personen geführt haben. Verletzung und Schaden sind nicht gleichzusetzen. Es ist zwar eine schwere Verletzung des Persönlichkeitsrechts nicht (mehr) erforderlich. Andererseits ist auch weiterhin nicht für einen Bagatellverstoß ohne ernsthafte Beeinträchtigung bzw. für jede bloß individuelle empfundene Unannehmlichkeit ein Schmerzensgeld zu gewähren; vielmehr muss dem Betroffenen ein spürbarer Nachteil entstanden sein und es muss um eine objektiv nachvollziehbare, mit gewissem Gewicht erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen gehen.

LG Tübingen Urt. v. 6.6.2023 – 7 O 144/22 = ZD 2023, 639 (Ls.)

0 EUR Dem Kl. steht kein Anspruch auf Zahlung eines Schadensersatzes iHv 1.000 EUR gem. Art. 82 Abs. 1 DS-GVO zu. Der sachliche Anwendungsbereich des Art. 82 DS-GVO ist bezogen auf die Geltendmachung behaupteter verspäteter Auskunftsansprüche gem. Art. 15 DS-GVO und Art. 34 DS-GVO nicht eröffnet. Denn Art. 82 Abs. 1 DS-GVO legt fest, dass jeder Person, der wegen eines Verstoßes gegen die DS-GVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter hat. Art. 82 Abs. 2 DS-GVO regelt den anspruchsbegründenden Sachverhalt. Anknüpfungspunkt für eine Haftung ist eine der Verordnung nicht entsprechende Verarbeitung iSd Art. 4 Nr. 2 DS-GVO. Der Schutzbereich des Art. 82 DS-GVO als hier maßgebliche Anspruchsgrundlage umfasst ebenso wenig Verstöße gegen Art. 34 DS-GVO. Schließlich lässt sich auch von vornherein aus Art. 24 DS-GVO kein subjektives Recht herleiten. Daher kann auch dahin stehen, ob Verstöße etwa gegen Artikel 1314 und 34 DS-GVO durch die Bekl. erfolgten, da auch sie nicht unter den Schutzbereich des Art. 82 DS-GVO fallen, weil auch sie „lediglich“ Informationspflichten über die Verarbeitung enthalten, nicht aber die Verarbeitung als solche zum Gegenstand haben.

NEU LG Halle Urt. v. 5.6.2023 – 4 O 250/22

400 EUR Scraping-Sachverhalt. Dem Kl. steht gegen die Bekl. ein Anspruch gem. Art. 82 Abs. 1 DS-GVO zu, da diese schuldhaft die Anforderungen an die rechtmäßige Datenverarbeitung iSv Art. 6 Abs. 1 S. 1 DS-GVO nicht eingehalten hat. Diesen Anforderungen hat die Bekl. jedoch gerade nicht genügt. Während ein Verstoß gegen Art. 13 Abs. 1 lit. c i. V. m. Art. 5 Abs. 1 lit. a nicht zu erkennen ist, hat die Bekl. bei der Datenverarbeitung sowohl gegen Art. 24, 25 Abs. 1, 32 Abs. 1 Hs. 1, Abs. 2i.V. m. Art. 5 Abs. 1 lit. f DS-GVO als auch gegen Art. 25 Abs. 2 DS-GVO verstoßen. Die Verletzung von Art. 25 Abs. 2 DS-GVO kann auch einen Schadensersatzanspruch gem. Art. 82 Abs. 1 DS-GVO begründen. Entgegen der Auffassung des Kl. begründet nicht schon jeder Verstoß gegen die DS-GVO einen Schadensersatzanspruch. Vielmehr folgt bereits aus dem Wortlaut des Art. 82 Abs. 1 DS-GVO und den Erwägungsgründen 75, 85 und 146 der DS-GVO, dass der Schaden ein eigenständiges Tatbestandsmerkmal darstellt, der der Feststellung durch das erkennende Gericht bedarf. Andererseits folgt insb. aus der gebotenen weiten Auslegung des Schadensbegriffs in Art. 82 Abs. 1 DS-GVO entsprechend der Ziele der DS-GVO (Erwägungsgrund 146 S.3 der DS-GVO), dass die Ersatzfähigkeit nicht auf solche immateriellen Schäden beschränkt ist, die eine wie auch immer geartete Erheblichkeitsschwelle überschreiten. Die Verletzung von Vorschriften über die Datenverarbeitung war ursächlich für den festgestellten Schaden. Dabei schadet es der Zurechenbarkeit von Schäden nicht per se, wenn auch Dritte – wie vorliegend – bei der Schadensentstehung mitwirken. Vielmehr genügt es, wenn die hier von der Bekl. gesetzten Verursachungsbeiträge mitursächlich waren und auch in einem Adäquanzzusammenhang stehen. In Anwendung des § 287 Abs. 1 ZPO ist die Kammer davon überzeugt, dass zureichende Anhaltspunkte für einen adäquaten Kausalzusammenhang mit den vorgenannten Verstößen vorliegen. Ausgangspunkt für die Bemessung der Höhe ist – wie auch iRd § 253 Abs. 2 BGB – die Ausgleichs- und Genugtuungsfunktion des immateriellen Schadensersatzes, deren Schwerpunkt auf dem Ausgleich der erlittenen Einbußen liegt. Der Kl. hat Anspruch auf Ersatz seiner vorgerichtlichen Anwaltskosten gem. Art. 82 Abs. 1 DS-GVO, da sich dieser zur Rechtsverfolgung zunächst im Wege eines Auskunftsersuchens in Vorbereitung des späteren Klageverfahrens anwaltlicher Hilfe bediente und die Inanspruchnahme sachkundiger Personen in Anbetracht der Komplexität der Materie auch notwendig war.

LG Bochum Urt. v. 5.6.2023 – 6 O 86/22

0 EUR Ein Anspruch gegen die Bekl. ergibt sich weder aus Art. 82 Abs. 1 DS-GVO noch aus sonstigen Vorschriften. Hier lassen sich weder schadensersatzrelevante und – auslösende Pflichtverletzungen der Bekl. noch ein diesbezüglicher Schaden feststellen. Zwar verkennt der erkennende Einzelrichter nicht, dass die Voraussetzungen der relevanten Grundlagen und Normen von den erstinstanzlichen Gerichten unterschiedlich ausgelegt werden und eine Vielzahl an Gerichten beide Voraussetzungen bejahen und damit entsprechenden Klagen stattgegeben haben. Die Kammer hält jedoch die von einer Vielzahl von anderen Gerichten vertretene Gegenmeinung für zutreffend, die diesbezügliche Klagen abgewiesen haben, weil weder die Voraussetzung einer schadensersatzbegründenden Pflichtverletzung der Bekl. noch ein diesbezüglicher Schaden gegeben bzw. feststellbar ist. Demnach steht dem Kl. nach Meinung des erkennenden Einzelrichters kein Anspruch auf Schadenersatz zu. Zunächst einmal lässt sich eine schadensersatzbegründende Pflichtverletzung der Bekl. nicht feststellen, da die von dem Kl. geltend gemachten Verstöße der Bekl. gegen mehrere Vorschriften und Grundsätze der DS-GVO nicht gegeben sind. Ausgehend davon, dass stets ein gewisses Risiko, dass über technische Programme selbst gewählte Freigaben ausgenutzt und missbraucht werden, bei einer Internetnutzung verbleibt, ist dies hier nicht von der Bekl., sondern vom Kl. zu tragen, der sich eigenverantwortlich zur Nutzung des sozialen Netzwerks entschlossen hat und nach Zustimmung zur Datenschutzrichtlinie und nach Bereitstellung von Hilfestellungsmöglichkeiten danach eigenverantwortlich und selbst entschieden hat, wie und in welchem Umfang er die Angebote nutzt. Unabhängig von der Frage, ob die Kl. vom geltend gemachten Verstöße überhaupt alle vom Anwendungsbereich des Art. 82 Abs. 1 DS-GVO erfasst sind, was dahingestellt bleiben kann, sind hier bereits schadenersatzrelevante und -auslösende Pflichtverletzung der Bekl. bzgl. der gerügten Verstöße nicht gegeben, so dass allein deshalb ein Schadensersatzanspruch gem. Art. 82 Abs. 1 DS-GVO ausscheidet, so dass auch die streitige Frage dahingestellt bleiben kann, welche konkreten Daten des Kl. von dem Scraping jenseits des Namens, der Benutzer-ID, des Geschlechts und der Mobilnummer des Kl. tatsächlich betroffen waren.

LG München I Urt. v. 5.6.2023 – 15 O 4501/22 = ZD 2024, 118 (Ls.)

0 EUR Die Kl. hat keinen Anspruch auf Zahlung eines immateriellen Schadensersatzes aus Art. 82 Abs. 1 DS-GVO oder einer anderen denkbaren Anspruchsgrundlage. Denn jedenfalls fehlt es am Eintritt eines immateriellen Schadens, der sich kausal auf den Scraping-Vorfall zurückführen lässt. Das Merkmal des immateriellen Schadens ist autonom auszulegen. Erwägungsgrund 146 (und in diesem S. 3) zur DS-GVO sieht vor, dass der Begriff des Schadens im Lichte der Rspr. des EuGH weit auf eine Art und Weise ausgelegt werden soll, die den Zielen dieser Verordnung in vollem Umfang entspricht. Eine Erheblichkeitsschwelle für das Vorliegen eines solchen Schadens ergibt sich gerade nicht aus der DS-GVO. Bagatellschäden sind nicht auszuschließen. Zu verlangen ist aber jedenfalls, dass ein konkreter immaterieller Schaden auch tatsachlich eingetreten („entstanden“) ist. Diesen muss die Kl. darlegen und ggf. beweisen. Auch und gerade unter Berücksichtigung eines weiten Verständnisses des immateriellen Schadens, das ausdrücklich auch Bagatellschaden einschließt, kann das Gericht nicht erkennen (§ 287 Abs. 1 ZPO), dass die Kl. im vorliegenden Fall einen solchen Schaden tatsachlich erlitten hat. Zwar schilderte der Kl. einerseits, vermehrt Spam-E-­Mails, SMS und Anrufe erhalten habe. Allerdings schilderte der Kl. andererseits auch, dass er trotz des Vorfalls und trotz der Kontaktaufnahmeversuche weiterhin die Plattform weiter nutze.

LG Detmold Urt. v. 2.6.2023 – 02 O 184/22 = ZD 2023, 638 (Ls.)

0 EUR Der verfolgte Schmerzensgeldanspruch besteht unter keinem rechtlichen Gesichtspunkt. Ein Anspruch aus Art. 82 Abs. 1 DS-GVO kommt nicht in Betracht. Aus Sicht der Kammer mangelt es bereits an einem Verstoß gegen die DS-GVO wie auch an einem bei dem Kl. eingetretenen Schaden. Auch der Anwendungsbereich der DS-GVO ist aus Sicht der Kammer nicht für jeden der geltend gemachten Verstöße eröffnet. Es liegt kein Verstoß gegen Art. 5 Abs. 1 lit. f) DS-GVO vor, da die Bekl. nicht gegen die sie treffende Obliegenheit, personenbezogene Daten vor unbefugter oder unrechtmäßiger Verarbeitung zu schützen, verstoßen hat. Ein Verstoß gegen Art. 2432 DS-GVO ist ebenso nicht gegeben. Nach Auffassung der Kammer liegt auch kein Verstoß gegen Art. 25 DS-GVO vor. Soweit der Kl. der Bekl. weitere Verstöße gegen die DS-GVO vorwirft, nämlich ungenügende Information und Aufklärung über die Verarbeitung der sie betreffenden Daten durch ungenügende Aufklärung zur Verwendung und Geheimhaltung der Telefonnummer (Art. 5 Abs. 1 lit. a), einen unmittelbaren Verstoß gegen Art. 1314 DS-GVO, die konkrete Informationspflichten enthalten, die seitens der Bekl. nicht eingehalten worden seien, unvollständige Auskunftserteilung nach Art. 15 DS-GVO, da nicht mitgeteilt worden sei, welchen Empfängern ihre Daten zugänglich gemacht worden seien (Art. 3334 DS-GVO), sind solche Verstöße bereits weder vom Schutzzweck des Art. 82 DS-GVO noch von dessen sachlichen Anwendungsbereich umfasst. Art. 82 Abs. 1 DS-GVO erfasst nur solche Pflichtverstöße, die im Rahmen einer "Verarbeitung" geschehen, was sich aus dem Wortlaut des Art. 82 Abs. 2 DS-GVO ergibt ("durch eine nicht dieser Verordnung entsprechende Verarbeitung"). Art. 5 Abs. 1 lit. a, 131415 DS-GVO begründen Informationspflichten gegenüber betroffenen Personen. Auch Art. 3334 DS-GVO begründen eine Pflicht zur Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde (Art. 33 DS-GVO) bzw. die Pflicht zur Benachrichtigung der betroffenen Person (Art. 34 DS-GVO). Die Erteilung von Informationen über die Verarbeitung personenbezogener Daten, die Benachrichtigung über eine Verletzung des Schutzes personenbezogener Daten gegenüber Nutzern und die Erteilung einer beantragten Auskunft stellen jedoch keine Verarbeitungen iSv Art. 4 Nr. 2 DS-GVO dar, sodass sich aus ihrer etwaigen Verletzung kein Anspruch aus Art. 82 Abs. 1 DS-GVO ableiten lässt. IÜ fehlt es auch an einem Schaden iSv Art. 82 Abs. 1 DS-GVO. Anders als der Kl. meint, genügt nicht allein der Verstoß gegen die DS-GVO, um einen Ausgleich / eine Kompensation verlangen zu können. Dies widerspricht dem Schadensrecht, unabhängig vom Wortlaut des Art. 82 Abs. 1 DS-GVO. Ein Schadens- und auch Schmerzensgeldanspruch setzt stets einen immateriellen oder materiellen Schaden voraus. Verletzung und Schaden sind nicht gleichzusetzen. Es ist nicht für jede bloß individuell empfundene Unannehmlichkeit ein Schmerzensgeld zu gewähren; vielmehr muss dem Betroffenen ein spürbarer Nachteil entstanden sein und es muss um eine objektiv nachvollziehbare, mit gewissem Gewicht erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen gehen. Allein der Kontrollverlust des Kl. über seine Daten stellt keinen Schaden dar.

LG Ingolstadt Urt. v. 1.6.2023 – 81 O 549/22

0 EUR Die Voraussetzungen für den vom Kl. geltend gemachten Geldentschädigungsanspruch in Bezug auf einen ihm zugefügten immateriellen Schaden liegen nicht vor. Das Gericht konnte sich auf Grundlage des schriftsätzlichen Vorbringens iVm der persönlichen Anhörung des Kl. keine Überzeugung vom Vorhandensein eines immateriellen Schadens bilden. Der Begriff des Schadens ist autonom auszulegen, ohne dass es darauf ankommt, ob ein bestimmter Schaden nach nationalem Recht als Schaden angesehen werden könnte. Nach Auffassung der Kammer ist für den erforderlichen Schadenseintritt der bloße Verstoß gegen Bestimmungen der DS-GVO nicht ausreichend. Der Schaden ist nicht mit der zugrundeliegenden Rechtsgutsverletzung gleich zu setzen. Es bedarf vielmehr des Nachweises eines von der zugrunde liegenden Rechtsgutsverletzung zu unterscheidenden konkret entstandenen Schadens. Hierfür spricht bereits der Wortlaut von Art. 82 Abs. 1 DS-GVO, der über den Verstoß hinaus ausdrücklich die Entstehung eines Schadens voraussetzt. Umgekehrt führt der fehlende Hinweis in den Vorschriften der DS-GVO und den maßgeblichen Erwägungsgründen darauf, dass Bagatellschäden nicht auszugleichen wären, dazu, dass der Nachweis eines tatsächlich erlittenen Schadens erforderlich ist, um ein vom Verordnungsgeber nicht gewolltes Ausufern von Schadensersatzforderungen in allen Fällen eines – tatsächlich für den Betroffenen folgenlosen – Datenschutzverstoßes zu vermeiden. Auch die Aufzählung der durch die Datenschutzverletzung möglichen Schäden im Erwägungsgrund 85 S. 1 macht deutlich, dass der Schaden mit der Datenschutzverletzung nicht identisch ist, zumal durchaus denkbar ist, dass eine Datenschutzverletzung nicht zum Eintritt eines der benannten Schäden führt. Vor diesem Hintergrund muss in jedem Einzelfall betrachtet werden, ob ein Schaden überhaupt entstanden ist. Gegen eine Ausdehnung des immateriellen Schadensersatzes spricht auch das erhebliche Missbrauchsrisiko, das mit der Schaffung eines lediglich auf einen Verstoß gegen Vorschriften der DS-GVO beschränkten und im übrigen voraussetzungslosen Schmerzensgeldanspruchs gerade im Bereich des Datenschutzrechts einherginge. Bei der Beurteilung, ob ein konkreter (immaterieller) Schaden entstanden ist, hat das Gericht einzelfallbezogen zu beurteilen, ob durch die DS-GVO-Verletzung eine durchschnittlich im Datenschutz sensibilisierte Person solch negative Gefühle entwickeln würde, die über jene hinausgehen, welche man automatisch entwickelt, wenn ein Gesetz zu seinen Ungunsten verletzt wird. Der Geschädigte muss daher einen solchen Nachteil erlitten haben, dem infolge der Beeinträchtigung der Interessen ein Gewicht zukommen muss. Nicht schon jeder, allein durch die Verletzung an sich hervorgerufene Ärger oder sonstige Gefühlsschaden ist auszugleichen, sondern nur ein darüberhinausgehendes besonderes immaterielles Interesse. Entscheidend ist, dass die Datenschutzverletzung über eine individuell empfundene Unannehmlichkeit hinausgeht oder das Selbstbild oder Ansehen einer Person ernsthaft beeinträchtigt. Unter Anwendung der vorstehenden Grundsätze konnte sich das Gericht vom Vorhandensein eines dem Kl. entstandenen konkreten immateriellen Schadens keine Überzeugung bilden. Dem pauschalen Vorbringen zufolge hat die Kl. „einen erheblichen Kontrollverlust über ihre Daten erlitten“ und verbleibt „in einem Zustand großen Unwohlseins und Sorge über möglichen Missbrauch ihrer Daten“ was sich unter anderem in einem „verstärkten Misstrauen bzgl. E-­Mail zum anrufen von unbekannten Nummern und Adressen, aber auch in der ständigen Sorge, dass die veröffentlichten Daten von Kriminellen für unlautere Zwecke verwendet werden könnten“ manifestiert habe. Die Verwendung der männlichen und weiblichen Personalpronomina liegt nahe, dass es sich auch bei diesem Sachvortrag um einen Textbaustein handelt, der über das streitgegenständliche Verfahren hinaus Verwendung findet und damit nicht geeignet ist, einen konkreten Schaden des Kl. zu beschreiben. Soweit die Kl. weitere Daten des Kl. von dem Scraping-Vorfall betroffen sieht, liegt bereits ein substantiierter Sachvortrag dazu, welche konkreten Daten der Kl. überdies in seinem F.Profil eingestellt haben will, die er nicht öffentlich zugänglich machen wollte, nicht vor.

NEU LG Hagen Urt. v. 31.5.2023 – 6 O 65/22

350 EUR Dem Kl. steht gegen die Bekl. ein Anspruch auf Schadensersatz iHv 350 EUR aus Art. 82 Abs. 1 DS-GVO zu. Die Bekl. ist der ihr nach Art. 13 DS-GVO auferlegten Informations- und Aufklärungspflicht nicht in vollständigem Umfang nachgekommen. Ein Schadensersatzanspruch nach Art. 82 DS-GVO kann nur dann begründet werden, wenn nach dessen Absatz 2 Satz 1 ein Schaden durch eine nicht dieser Verordnung entsprechenden Verarbeitung verursacht wurde, auch wenn Art. 82 Abs. 1 DS-GVO vom Wortlaut her jeden Verstoß gegen die Verordnung ausreichen lässt. Dass nur Verstöße relevant sein sollten, die bei der Datenverarbeitung unterlaufen, ergibt sich aus dem Umstand, dass ansonsten die Verordnung einen umfassenden Schadensersatzanspruch konstatieren würde, für den allerdings niemand voll umfänglich einzutreten hätte. Dies ergibt sich zudem aus der Systematik, wonach Abs. 3 der Regelung eine Exkulpation für die Haftung nach Abs. 2 der Norm vorsieht. Die Bekl. als Verantwortliche iSd Art. 4 Nr. 7 DS-GVO verstieß auf Grund unzureichender Sicherheitsmaßnahmen bzgl. der Nutzung des CIT auch gegen Art. 32245 Abs. 1 lit. f DS-GVO. Die Bekl. hat zudem ihre Meldepflicht aus Art. 33 DS-GVO verletzt. Das vorstehend Gesagte gilt auch hinsichtlich eines Verstoßes gegen Art. 34 Abs. 1 DS-GVO, nachdem die Bekl. auch den Kl. als betroffene Person unverzüglich hätte benachrichtigen müssen. Die Bekl. verstößt mit ihren Voreinstellungen zur Sichtbarkeit zumindest hinsichtlich der E-­Mail-Adresse und zur Suchbarkeit über die Telefonnummer der Benutzer der Facebook-Plattform auch gegen Art. 25 DS-GVO. Ob die Bekl. dem Auskunftsersuchen der Kl. über ihre personenbezogenen Daten nicht in ausreichendem Maße nachgekommen ist und dadurch gegen Art. 15 DS-GVO verstoßen hat kann dahinstehen, da ein etwaiger Verstoß keinen Schadensersatzanspruch nach Art. 82 DS-GVO auslöst. Die Norm spricht zwar demjenigen einen Schadensersatzanspruch zu, der wegen eines Verstoßes gegen diese DS-GVO einen Schaden erlitten hat. Gemäß Art. 82 Abs. 2 DS-GVO haften die Verantwortlichen – insoweit konkretisierend – jedoch nur für den Schaden, der durch eine nicht der DS-GVO entsprechende Verarbeitung entstanden ist. Die Bekl. kann sich nicht gem. Art. 82 Abs. 3 DS-GVO, der das Verschulden widerleglich vermutet, exkulpieren. Soweit in der Vorschrift von der Verantwortlichkeit für den Schaden die Rede ist, ist dies iSv Verschulden aufzufassen. Art. 82 Abs. 3 DS-GVO ordnet eine Beweislastumkehr hinsichtlich des Verschuldens an. Der Anspruchsverpflichtete kann sich daher nur entlasten, indem er beweist, dass er die am Maßstab des Stands der Technik und im Verkehr, d. h. am allgemeinen Schutzinteresse orientierte erforderliche Sorgfalt iSv § 276 Abs. 2 BGB angewendet hat. Ein bloßer Datenschutzverstoß als solcher genügt für das Entstehen des Schadensersatzanspruches nicht. Vielmehr folgt bereits aus dem Wortlaut der Vorschrift, dass der Verordnungsgeber keine allein an den Rechtsverstoß anknüpfende Zahlungspflicht begründen wollte. Auch der EuGH stellt auf das Erfordernis eines konkreten Schadens ab. Allerdings können – abweichend von anderen Bereichen des Rechts – auch Bagatellschäden eine Ersatzpflicht hervorrufen. Denn eine Erheblichkeitsschwelle ist Art. 82 DS-GVO nicht zu entnehmen. Eine spürbare Beeinträchtigung ist durch den Kl. nachvollziehbar in der mündlichen Verhandlung geschildert worden. Er konnte sowohl das ungute Gefühl als auch den zusätzlichen Aufwand schildern, den er durch eine Vielzahl von unseriösen Anrufen und Kontaktaufnahmen via SMS durch unbekannte Nummern seit dem Scrapingvorfall hat. Die erforderliche Kausalität zwischen den Verstößen der Bekl. gegen die DS-GVO und dem Schaden des Kl. liegt vor. Bei der Bestimmung des vom Kl. in das Ermessen des Gerichts gestellten Höhe des Schadenersatzes gem. § 287 Abs. 1 S. 1 ZPO sind alle Umstände des Einzelfalls zu würdigen. Die Kriterien des Art. 83 Abs. 2 DS-GVO, die Anhaltspunkte für die Höhe der von der Aufsichtsbehörde zu verhängenden Geldbuße geben sollen, können auch für die Bemessung des immateriellen Schadenersatzes herangezogen werden. Die vorgerichtlichen Rechtsanwaltskosten sind als Teil des zu ersetzenden Schadens gem. Art. 82 Abs. 1 DS-GVO zu erstatten.

LG München I Urt. v. 31.5.2023 – 18 O 4509/22

0 EUR Dem Kl. steht kein Anspruch auf Schadensersatz gem. Art. 82 DS-GVO zu. Bezogen auf die Geltendmachung behaupteter verspäteter Auskunftsansprüche gem. Art. 15 DS-GVO und Art. 34 DS-GVO ist bereits der sachliche Anwendungsbereich des Art. 82 DS-GVO nicht eröffnet. Gemäß Art. 2 Abs. 1 DS-GVO umfasst der sachliche Anwendungsbereich die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Anknüpfungspunkt für eine Haftung ist eine der Verordnung nicht entsprechende Verarbeitung iSd Art. 4 Nr. 2 DS-GVO. Die behauptete Verletzung von bloßen Benachrichtigungspflichten bzw. Informationsrechte sind hiervon jedoch nicht erfasst. Dasselbe gilt für Verstöße gegen Art. 34 DS-GVO. Letztlich lässt sich aus Art. 24 und 25 DS-GVO von vorneherein kein subjektives Recht herleiten. Unabhängig von obigen Ausführungen, fehlt es – selbst bei unterstellten Pflichtverstößen der Bekl. gegen die DS-GVO – jedenfalls an einem ersatzfähigen Schaden des Kl. iSd Art. 82 Abs. 1 DS-GVO. Bereits nach dem Wortlaut des Art. 82 DS-GVO muss dem Anspruchsberechtigten ein Schaden entstanden sein. Er darf also nicht lediglich befürchtet werden. Der Schaden muss gem. Art. 82 Abs. 5 DS-GVO „erlitten“ sein, was heißt, er muss „spürbar“, objektiv nachvollziehbar und von gewissem Gewicht sein. Allein eine Verletzung des Datenschutzrechts reicht nicht aus. Zwar soll der Begriff des Schadens nach dem Erwägungsgrund 146 S. 3 weit ausgelegt werden; auch sind reine Bagatellschäden grds. ersatzfähig. In den Erwägungsgründen Nr. 75 und 85 werden hierbei einige mögliche Schäden aufgezählt, darunter Identitätsdiebstahl, finanzielle Verluste, Rufschädigung, aber auch der Verlust der Kontrolle über die eigenen Daten sowie die Erstellung unzulässiger Persönlichkeitsprofile. Allerdings hat der Kl. für das Gericht (§ 287 ZPO) auch unter Berücksichtigung dieser weiten Auslegung und gemessen an den vorgenannten Grundsätzen nicht hinreichend dargelegt, dass der Kl. einen ersatzfähigen, „spürbaren“ Schaden erlitten hat. Der Kl. hat in seinen Schriftsätzen formelhaft und pauschal vortragen lassen, dass er einen erheblichen Kontrollverlust über seine Daten erlitten habe und deshalb unter großem Unwohlsein und Sorge leide sowie einen Missbrauch befürchte. Auch lässt er vortragen, vermehrt unbekannte Kontaktversuche via SMS und E-­Mail zu erhalten. Der Vortrag ist Teil einer Klageschrift und Replik, die mit dem gleichen Inhalt in einer Vielzahl von Verfahren rechtshängig wurden. Letztlich fehlt es auch an einer Kausalität für einen – hier nicht festzustellenden – Schaden. Der Kl. scheint hierbei selbst an einer Kausalität zu zweifeln.

LG Köln Urt. v. 31.5.2023 – 28 O 138/22

0 EUR Dem Kl. steht kein Anspruch auf Ersatz immateriellen Schadens gegen die Bekl. nach Art. 82 Abs.1 DS-GVO zu. Dabei kann offen bleiben, ob der Bekl. Verstöße gegen die DS-GVO iSd Art. 82 Abs. 1 DS-GVO vorzuwerfen sind, denn der Kl. hat diesbezüglich jedoch nicht vorgetragen, dass ihm ein Schaden entstanden ist. Art. 82 Abs. 1 DS-GVO ist dahin auszulegen, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadenersatzanspruch zu begründen. Vielmehr muss der Kl. einen konkreten immateriellen oder materiellen Schaden darlegen und beweisen. Die nationalen Gerichte haben bei der Festsetzung der Höhe des Schadenersatzes die innerstaatlichen Vorschriften der einzelnen Mitgliedstaaten über den Umfang der finanziellen Entschädigung anzuwenden, sofern die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität beachtet werden. Art. 82 Abs. 1 DS-GVO setzt nach seinem Wortlaut jedoch voraus, dass der betroffenen Person ein materieller oder immaterieller Schaden entstanden ist. Erwägungsgrund 146 S. 1 DS-GVO spricht von Schäden, "die einer Person auf Grund einer Verarbeitung entstehen". Mit diesem Wortlaut ist eine Auslegung der Norm, nach der die Entstehung eines immateriellen Schadens nicht Tatbestandsvoraussetzung ist, nicht zu vereinbaren. Bei einer solchen Auslegung würde ein reiner Strafschadensersatz im Sinne eines "punitive damage" vorliegen, der der kontinentaleuropäischen Zivilrechtsordnung fremd ist. Es wäre auch nicht zu erklären, warum bei einem immateriellen Schaden die Darlegung eines tatsächlichen entstandenen Schadens entbehrlich sein sollte, bei einem materiellen Schaden hingegen nicht. Auf das Erfordernis eines tatsächlich entstandenen immateriellen Schadens kann daher nicht verzichtet werden. "Bloßer Ärger" oder "emotionales Ungemach", zu dem die Verletzung der Vorschriften der DS-GVO bei der betroffenen Person geführt haben mag, reicht als solcher nicht bereits als immaterieller Schaden aus. Einen über bloßen Ärger bzw. bloßes Unwohlsein hinausgehenden Schaden hat der Kl. jedoch nicht dargelegt, und ein solcher ist auch nicht ersichtlich.

LG Aachen Urt. v. 26.5.2023 – 8 O 267/22 ZD 2023, 632 (Ls.)

0 EUR Die Kl. hat gegen die Bekl. keinen Anspruch auf immateriellen Schadensersatz, weder aus Art. 82 Abs. 1 DS-GVO noch aus einer anderen Anspruchsgrundlage. Nach Auffassung der Kammer ist der sachliche Anwendungsbereich des Art. 82 Abs. 1 DS-GVO eröffnet, auch soweit hier die Verletzung von Informationspflichten geltend gemacht und der Schmerzensgeldanspruch zumindest auch darauf gestützt wird. Aus dem Wortlaut der Vorschrift ergibt sich gerade nicht dass Art. 82 Abs. 1 DS-GVO durch Art. 82 Abs. 2 DS-GVO konkretisiert und eingeschränkt werden soll, so dass nur Pflichtverletzungen im Zusammenhang mit einer Verarbeitung von Daten den Schadensersatzanspruch auslösen könnten. Auf der Grundlage des klägerischen Vorbringens ist jedoch ein Verstoß der Bekl. gegen die DS-GVO nicht festzustellen. Unabhängig davon, ob überhaupt ein Verstoß gegen Vorschriften der DS-GVO vorliegt, scheitert ein Anspruch aus Art. 82 Abs. 1 DS-GVO aber jedenfalls daran, dass hier kein restitutionsfähiger (immaterieller) Schaden vorliegt. Für den immateriellen Schadensersatz gelten dabei die iRv § 253 BGB entwickelten Grundsätze; die Ermittlung obliegt dem Gericht nach § 287 ZPO. Es können für die Bemessung die Kriterien des Art. 83 Abs. 2 DS-GVO herangezogen werden, zB die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie die betroffenen Kategorien personenbezogener Daten. Zu berücksichtigen ist auch, dass die beabsichtigte abschreckende Wirkung nur durch für den Anspruchsverpflichtenden empfindliche Schmerzensgelder erreicht wird, insb. wenn eine Kommerzialisierung fehlt. Ein genereller Ausschluss von Bagatellfällen ist damit nicht zu vereinbaren. Die Pflicht zur Erstattung immaterieller Schäden ist daher nicht auf schwere Schäden beschränkt. Allein eine Verletzung des Datenschutzrechts als solche begründet allerdings nicht bereits für sich gesehen einen Schadensersatzanspruch für betroffene Personen. Die Verletzungshandlung muss in jedem Fall auch zu einer konkreten Verletzung von Persönlichkeitsrechten der betroffenen Personen geführt haben. Die Verletzung der Vorschriften der DS-GVO ist nicht mit einem Schadenseintritt gleichzusetzen. Es ist zwar keine schwere Verletzung des Persönlichkeitsrechts erforderlich. Andererseits ist aber auch weiterhin nicht für jede im Grunde nicht spürbare Beeinträchtigung bzw. für jede bloß individuelle empfundene Unannehmlichkeit ein Schmerzensgeld zu gewähren. Vielmehr muss dem Betroffenen ein spürbarer Nachteil entstanden sein und es muss um eine objektiv nachvollziehbare, tatsächlich erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen gehen. Nach Auffassung der Kammer hat Art. 82 Abs. 1 DS-GVO zwei eigene, separate Voraussetzungen, nämlich: (1.) einen Verstoß gegen die DS-GVO und (2.) einen tatsächlich eingetretenen materiellen oder immateriellen Schaden. Läge bei jedem DS-GVO-Verstoß automatisch ein immaterieller Schaden vor, wäre der Schaden als Anspruchsvoraussetzung überflüssig. Auf die Frage des konkreten Schadens kommt es hier aber deshalb nicht entscheidungserheblich an, weil die Klage auch aus anderen Gründen ohne Erfolg bleibt, da schon kein Verstoß gegen die DS-GVO festgestellt werden kann und iÜ die Kl. die Betroffenheit ihres Kontos auch nicht ausreichend dargelegt hat.

NEU LG Paderborn Urt. v. 26.5.2023 – 3 O 307/22

500 EUR Scraping-Sachverhalt. Wie LG Paderborn Urt. v. 24.2.2023 – 3 O 220/22.

NEU LG Stuttgart Urt. v. 26.5.2023 – 24 O 65/22

1.000 EUR Scraping-Sachverhalt. Wie LG Paderborn Urt. v. 19.12.2022 – 2 O 236/22.

NEU LG Stuttgart Urt. v. 25.5.2023 – 51 O 76/22

300 EUR Scraping-Sachverhalt. Wie LG Stuttgart Urt. v. 25.5.2023 – 51 O 75/22.

NEU LG Stuttgart Urt. v. 25.5.2023 – 51 O 75/22

300 EUR Grund und damit unabdingbare Voraussetzung der Haftung ist eine Pflichtverletzung, wenngleich es auf einen Schutznormcharakter der verletzten Vorschrift nicht ankommt, der Begriff der Pflichtverletzung also denkbar weit gefasst ist und letztlich jede Verletzung materieller oder formeller Bestimmungen der Verordnung einschließt. Insofern ist ein relevanter Verstoß der Beklagten darin zu sehen, dass diese gegen die sich aus Art. 25 Abs. 2 DS-GVO ergebende Verpflichtung des „privacy by default“ verstoßen hat. Darüber hinaus ist die Bekl. der ihr nach Art. 13 DS-GVO auferlegten Informations- und Aufklärungspflicht nicht in vollständigem Umfang nachgekommen. Die Bekl. kann sich mit Blick auf den Daten-Scraping-Vorfall nicht nach Art. 82 Abs. 3 DS-GVO exkulpieren. Auf Grund der nach Auffassung der Kl. unzureichenden Auskunft im Zusammenhang mit dem Daten-Scraping-Vorfall steht dieser ein Anspruch auf immateriellen Schadensersatz dagegen nicht zu. Zwar kann auch eine bloße Verletzung einer Auskunftspflicht nach Art. 15 DS-GVO insoweit einen Schadensersatzanspruch begründen. Hier ist indes davon auszugehen, dass die Information der Kl., deren Anspruch nach Art. 15 DS-GVO erfüllt hat. Der Kl. ist im Zusammenhang mit dem Daten-Scraping-Vorfall auch ein nach Art. 82 DS-GVO ersatzfähiger – immaterieller – Schaden entstanden, für den die Verstöße der Bekl. gegen die DS-GVO kausal waren. Der Begriff des Schadens ist gem. Erwägungsgrund 146 S. 3 DS-GVO weit auf eine Art und Weise auszulegen, die den Zielen dieser Verordnung in vollem Umfang entspricht. Auch Bagatellschäden können eine Ersatzpflicht hervorrufen. Denn eine Erheblichkeitsschwelle ist weder Art. 82 DS-GVO noch den Erwägungsgründen zu entnehmen. Erwägungsgrund 148 S. 2 sieht lediglich vor, dass (ausnahmsweise) bei geringfügigen Verstößen auf die Verhängung einer Geldbuße verzichtet werden kann. Die Schwere eines Schadens wirkt sich nur iRd Festlegung der Schadenshöhe aus. Ein etwaiges Mitverschulden der Kl. (§ 254 BGB) deswegen, weil sie die Datenschutzeinstellungen ihres Facebook-Profils nicht geändert hat und dadurch auch den Zugriff der Daten-Scraper mit ermöglicht hat, tritt hinter die Verstöße der Bekl. vollkommen zurück. IRd ihr zustehenden materiellen Schadensersatzanspruchs nach Art. 82 Abs. 1 DS-GVO kann die Kl. auch die Erstattung vorgerichtlich angefallener Rechtsanwaltsgebühren beanspruchen.

NEU LG Ulm Urt. v. 25.5.2023 – 4 O 124/22

400 EUR Die Kl. hat gegen die Bekl. einen Anspruch auf Ersatz des immateriellen Schadens nach Art. 82 Abs. 1 DS-GVO. Die Bekl. hat entgegen Art. 6 Abs. 1 DS-GVO den Nachnamen und die Mobilfunknummer der Kl., bei denen es sich um personenbezogene Daten nach Art. 4 Nr. 1 DS-GVO handelt, verarbeitet, in dem sie bei Abfrage der Mobilfunknummer durch das CIT den Namen (jedenfalls Nachnamen) der Kl. mitteilte. Hierfür lag keine Einwilligung der Kl. vor. Der Kl. ist auch ein immaterieller Schaden iSd Art. 82 Abs. 1 DS-GVO entstanden. Zwar ist umstritten, ob sich schon aus dem Erwägungsgrund 85 der DS-GVO folgt, dass jedenfalls der Kontrollverlust über die Daten einen immateriellen Schaden darstellt (Wortlaut: „… immateriellen Schaden für natürliche Personen nach sich ziehen, wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten…“). Nach Erwägungsgrund 146 S. 3 der DS-GVO muss aber der Begriff des Schadens so ausgelegt werden, dass er den Zielen der Verordnung entspricht. Der Schadensersatzanspruch muss daher weitere Verstöße unattraktiv machen. Eine schwerwiegende Persönlichkeitsrechtsverletzung ist daher nicht erforderlich. Der Schaden muss auch keine „Erheblichkeitsschwelle“ überschreiten. Deshalb kann ein Schaden auch bereits in einem unguten Gefühl liegen, dass personenbezogene Daten Unbefugten bekannt geworden sind. Aber jedenfalls, wenn durch die unbefugte Verarbeitung eine Aufhebung der Pseudonymisierung erfolgt und hierdurch die Gefahr eintritt, dass die Daten zu betrügerischen Maßnahmen verwendet werden könne, liegt nach Erwägungsgrund 75 der DS-GVO ein immaterieller Schaden vor. Die Höhe des Anspruchs ist bei immateriellen Schäden nicht willkürlich, sondern auf der Grundlage der inhaltlichen Schwere und Dauer der Rechtsverletzung zu beurteilen. Ein künstlich niedrig bezifferter Betrag mit symbolischer Wirkung reicht nicht aus, um die praktische Wirksamkeit des Unionsrechts sicherzustellen. Andererseits reichen. Andererseits sind „bloßer Ärger“ oder Bagatellen nicht mit Geldansprüchen auszugleichen.

NEU LG Ulm Urt. v. 25.5.2023 – 4 O 118/22

300 EUR Der Kl. hat einen Schadensersatzanspruch gegen die Bekl. iHv 300 EUR gem. Art. 82 Abs. 1 DS-GVO, da die Bekl. gegen Art. 13 DS-GVO, Art. 32245 Abs. 1f DS-GVO, Art. 33 DS-GVO und Art. 34 DS-GVO verstoßen hat. Die Bekl. kann sich nicht exkulpieren. Es ist dem Kl. ein kausaler immaterieller Schaden entstanden, der mit einem angemessenen Schmerzensgeld iHv 300 EUR abzugelten ist. Nicht jeder Verstoß gegen die DS-GVO reicht nicht aus, um einen Anspruch gem. Art. 82 DS-GVO zu begründen, erforderlich ist jedenfalls auch ein darauf beruhender kausaler Schaden. Da sich aus einem Verstoß gegen Art. 25 DS-GVO wegen seines organisatorischen Charakters ein Anspruch auf Schadensersatz nach Art. 82 DS-GVO nicht begründen lässt, kann dahinstehen, ob zudem noch ein Verstoß der Bekl. gegen Art. 25 DS-GVO vorliegt. Die Bekl. kann sich auch nicht gem. Art. 82 Abs. 3 DS-GVO exkulpieren. Unabhängig davon, ob man den Begriff der Verantwortlichkeit mit Teilen der Rspr. und der Lit, mit dem Begriff des Verschuldens gleichgesetzt oder Art. 82 DS-GVO als Gefährdungshaftungstatbestand versteht kann sich die Bekl. nicht entlasten. Die Bekl. kann nicht nachweisen, dass sie kein Verschulden für den „Scraping“-Vorfall trifft. Hierfür muss der Verantwortliche oder Auftragsverarbeiter den Vollbeweis führen, dass er sämtliche Vorschriften der DS-GVO eingehalten hat. Wie oben ausgeführt, hat die Bekl. jedoch gegen die DS-GVO, insbesondere gegen Art. 32 DS-GVO, verstoßen, weshalb ihr eine Exkulpation nicht gelingen kann. Nicht ausdrücklich gesetzlich geregelt ist, wen die Beweislast hinsichtlich der Kausalität des Verstoßes für den Schaden trifft, es ist jedoch von einer Beweislastumkehr zu Lasten des Schädigers auszugehen. Für den immateriellen Schadensersatz gelten die für § 253 BGB entwickelten Grundsätze, die Ermittlung obliegt dem Gericht nach § 287 ZPO, da die DS-GVO insoweit keine Verfahrensmodalitäten regelt. Es können – müssen aber nicht – für die Bemessung die Kriterien des Art. 83 Abs. 2 herangezogen werden. Eine Straf- oder Abschreckungswirkung war bei Ermittlung der Schadenshöhe nicht zu berücksichtigten. Nach den Grundsätzen der Schadensbemessung ist der Schadensersatz in Ansehung der tatsächlich erlittenen Beeinträchtigung(en) festzusetzen. Systematik, Wortlaut und Zielsetzung von Art. 82 DS-GVO stehen an der Prävention orientierten Zuschlägen oder Strafzielsetzungen entgegen. Der Zuspruch von immateriellem Schadensersatz außerhalb der Kompensationsfunktion würde zu einer Überkompensation und damit einer Bereicherung des Anspruchstellers führen; darüber hinaus drohte die Entstehung von Fehlanreizen zu einem kommerziellen Missbrauch des Schadensersatzes. Zudem kann auch bezweifelt werden, ob eine Schadensersatzforderung im dreistelligen Bereich in der Lage ist, eine Straf- bzw. Abschreckungswirkung bei einem der größten Konzerne weltweit (der Jahresumsatz des Meta-Konzerns belief sich im Jahr 2022 auf 116,6 Milliarden US-Dollar) zu entfalten. Eine Erheblichkeitsschwelle muss nicht erreicht werden. Der Schadensersatzanspruch umfasst auch materielle Schäden. Auf Grund des Datenverlustes können auch künftige materielle Schäden nicht ausgeschlossen werden. Der Kl. kann die vorgerichtlichen Rechtsanwaltskosten gem. Art. 82 Abs. 1 DS-GVO von der Bekl. erstattet verlangen.

NEU LG Lübeck Urt. v. 25.5.2023 – 15 O 143/22

500 EUR Scraping-Sachverhalt. Wie LG Lübeck Urt. v. 25.5.2023 – 15 O 105/22.

NEU LG Lübeck Urt. v. 25.5.2023 – 15 O 132/22

500 EUR Scraping-Sachverhalt. Wie LG Lübeck Urt. v. 25.5.2023 – 15 O 105/22.

NEU LG Lübeck Urt. v. 25.5.2023 – 15 O 126/22

500 EUR Scraping-Sachverhalt. Wie LG Lübeck Urt. v. 25.5.2023 – 15 O 105/22.

NEU LG Lübeck Urt. v. 25.5.2023 – 15 O 109/22

500 EUR Scraping-Sachverhalt. Wie LG Lübeck Urt. v. 25.5.2023 – 15 O 105/22.

NEU LG Lübeck Urt. v. 25.5.2023 – 15 O 107/22

500 EUR Scraping-Sachverhalt. Wie LG Lübeck Urt. v. 25.5.2023 – 15 O 105/22.

NEU LG Lübeck Urt. v. 25.5.2023 – 15 O 105/22

500 EUR Der Antrag zu 1., soweit er immateriellen Schadensersatz wegen Datenschutzverstößen im Zusammenhang mit dem Scraping von Daten im Jahr 2019 betrifft, ist in Höhe von 500 EUR begründet. Die Kl. kann von der Bekl. aus Art. 82 DS-GVO Zahlung von 500 EUR verlangen. Es sind mehrere haftungsbegründende Verstöße der Bekl. gegen die einschlägigen Bestimmungen der DS-GVO festzustellen. Zum ersten liegt eine rechtswidrige Verarbeitung von Daten der Kl. durch die Bekl. vor. Die rechtswidrige Datenverarbeitung kann Schadensersatzansprüche nach Art. 82 DS-GVO auslösen. Des Weiteren stellt das Gericht einen unzureichenden Schutz der streitgegenständlichen Daten der Kl. durch die Bekl. fest. Die Bekl. hat gegen ihre Pflichten aus Art. 32 DS-GVO zur Ergreifung geeigneter technischer und organisatorischer Schutzmaßnahmen verstoßen. Jedoch wäre eine derartige Verletzung von Art. 25 DS-GVO jedenfalls nicht vom Schutzbereich des Art. 82 DS-GVO umfasst und kann daher keine Schadensersatzansprüche auslösen. Systematisch folgt dies bereits aus dem Umstand, dass Art. 82 Abs. 2 DS-GVO voraussetzt, dass der Schaden „durch eine Verarbeitung “ ausgelöst wurde, während Art. 25 DS-GVO Verhaltenspflichten normiert, die vor jeder konkreten Datenverarbeitung liegen und die generellen Voreinstellungen betreffen. Durch ein derartiges Verständnis der Art. 2582 DS-GVO wird der Wirkungsbereich des Art. 25 DS-GVO dabei auch nicht in unzulässiger Weise eingeschränkt. Vielmehr werden eventuelle Verstöße gegen Art. 25 DS-GVO bei diesem Verständnis auf Verschuldensebene relevant und hindern ggf. eine Entlastung des Normverpflichteten. Dabei kann für das vorliegende Verfahren dahinstehen, ob Art. 82 DS-GVO eine verschuldensunabhängige Haftung begründet, eine Gefährdungshaftung mit der bloßen Möglichkeit der rechtsvernichtenden Einwendung fehlenden Verschuldens oder ob mit der wohl h. M. angenommen werden kann, Art. 82 Abs. 3 DS-GVO enthalte ein Verschuldenserfordernis iSd gängigen deutschen Terminologie mit einer entsprechenden Vermutung zu Lasten des Normverletzers und einer bei dem Verpflichteten liegenden Beweislast, dass weder Vorsatz noch Fahrlässigkeit vorlag. Grds. ermöglicht Art. 82 Abs. 1 DS-GVO den Ersatz materieller und immaterieller Schäden. Ein materieller Vermögensschaden iSv § 249 BGB wurde von der Kl. nicht vorgetragen. Sie beruft sich jedoch erfolgreich auf das Vorliegen eines immateriellen Schadens. Ein immaterieller Schaden liegt dabei zwar nicht schon in der bloßen Verletzung einer Norm der DS-GVO. Jedoch liegt ein immaterieller Schaden vor, wenn infolge der Verletzung der Norm der DS-GVO ein absolut geschütztes Rechtsgut der geschädigten Person verletzt wurde. In Betracht kommt insoweit etwa eine Verletzung des Rechts auf körperliche Unversehrtheit ebenso wie eine Verletzung des Rechts auf informationelle Selbstbestimmung als besondere und ebenfalls absolut geschützte Ausprägung des allgemeinen Persönlichkeitsrechts. Der Schaden beruht kausal auf den oben festgestellten Verstößen. Es gelten für die Bemessung der Höhe des immateriellen Schadens die Grundsätze des § 253 BGB. Auch herangezogen werden können dabei die Kriterien des Art. 83 Abs. 2 DS-GVO.

LG Lübeck Urt. v. 25.5.2023 – 15 O 74/22

500 EUR Scraping-Sachverhalt. Eine für die Bejahung eines Schadens ausreichende Verletzung des allgemeinen Persönlichkeitsrechts in der Ausprägung des Rechts auf informationelle Selbstbestimmung liegt vor. Dieses Recht der Kl. wurde und wird bis heute fortlaufend verletzt. Infolge der Verstöße gegen die einschlägigen Bestimmungen der DS-GVO gelangten die streitgegenständlichen Daten inzwischen unstreitig auf jedenfalls eine online betriebene Seite, auf der sie rechtswidrig und massenhaft zum weiteren Vertrieb angeboten werden und damit fortgesetzt das geschützte Recht der Kl. verletzen, selbst zu entscheiden, wo und ob sie diese Daten offenbaren möchte. Wie sich die Kl. dabei fühlt, ist für das Vorliegen eines Schadens unerheblich, da ein solcher bereits in der tatsächlich stattfindenden (und nicht nur befürchteten) Persönlichkeitsrechtsverletzung durch Dritte liegt. Ein Abstellen auf die emotionale Befindlichkeit der Kl. wäre nur dann erheblich, wenn die Rechtsgutverletzung maßgeblich in einer Verletzung des Rechts auf körperliche Unversehrtheit zu sehen wäre. Dies ist jedoch nicht der Fall. Eine Verletzung von Art. 32 DS-GVO ist generell vom Schutzbereich des Art. 82 DS-GVO umfasst. Verletzung von Art. 25 DS-GVO ist nicht vom Schutzbereich des Art. 82 DS-GVO umfasst und kann daher keine Schadensersatzansprüche auslösen. Die vorgerichtlichen Rechtsanwaltskosten sind Teil des gem. Art. 82 Abs. 1 DS-GVO zu ersetzenden Schadens.

LG Köln Urt. v. 24.5.2023 – 28 O 198/22

0 EUR Dem Kl. steht kein Anspruch auf Ersatz immateriellen Schadens gegen die Bekl. nach Art. 82 Abs.1 DS-GVO zu. Dabei kann offen bleiben, ob der Bekl. Verstöße gegen die DS-GVO iSd Art. 82 Abs. 1 DS-GVO vorzuwerfen sind, denn der Kl. hat diesbezüglich jedoch nicht vorgetragen, dass ihm ein Schaden entstanden ist. Nach der zu dieser Frage ergangenen Entscheidung des EuGH (Urt. v. 4.5.2023 – C-300/21) gilt Folgendes: Art. 82 Abs. 1 DS-GVO ist dahin auszulegen, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadenersatzanspruch zu begründen. Vielmehr muss der Kl. einen konkreten immateriellen oder materiellen Schaden darlegen und beweisen. Die nationalen Gerichte haben bei der Festsetzung der Höhe des Schadenersatzes die innerstaatlichen Vorschriften der einzelnen Mitgliedstaaten über den Umfang der finanziellen Entschädigung anzuwenden, sofern die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität beachtet werden. Einen über bloßen Ärger bzw. bloßes Unwohlsein hinausgehenden Schaden hat der Kl. jedoch nicht dargelegt, und ein solcher ist auch nicht ersichtlich. Soweit der Kl. vorträgt, er habe einen erheblichen Kontrollverlust über seine Daten erlitten und verbleibe in einem Zustand des Unwohlseins und der Sorge über möglichen Missbrauch seiner Daten, was zu verstärktem Misstrauen bzgl. E-­Mails und Kontaktversuchen etwa durch Anrufe oder SMS führe, wird dies damit begründet, dass der Kl., der seine Telefonnummer stets bewusst und zielgerichtet weitergebe und diese nicht wahl- und grundlos der Öffentlichkeit zugänglich mache, seit dem Vorfall Anrufe mit Vorwahlen aus afrikanischen oder "zT" osteuropäischen Ländern erhalten habe und bei dem Versuch, diese Anrufer zu erreichen, immer auf einem Anrufbeantworter "gelandet" sei.

LG Dortmund Urt. v. 22.5.2023 – 24 O 20/23 = ZD 2023, 772 (Ls.)

0 EUR Ein Anspruch des Kl. auf Zahlung eines immateriellen Schadensersatzes ergibt sich nicht aus Art. 82 Abs. 1 DS-GVO. Ein Verstoß gegen die Bestimmungen der DS-GVO liegt hingegen nicht vor, sodass auch offenbleiben kann, ob die Art. 13141524253234 DS-GVO in den Schutzbereich des Art. 82 DS-GVO fallen. IÜ mangelt es an einem ersatzfähigen Schaden des Kl. iSd Art. 82 Abs. 1 DS-GVO. Der Eintritt des Schadens muss dabei iSd § 287 ZPO als überwiegend wahrscheinlich dargetan werden. Dabei kann dahinstehen, wie der Schadensbegriff des Art. 82 Abs. 1 DS-GVO konkret zu verstehen ist. Denn es ist es dem Kl. bereits nicht gelungen, jedweden Ansatzpunkt für einen ersatzfähigen Schaden hinreichend konkret darzulegen.

LG Stuttgart Urt. v. 17.5.2023 – 8 O 38/23

400 EUR Dem Kl. steht gegen die Bekl. ein Anspruch auf Schadensersatz gem. Art. 82 Abs. 1 DS-GVO zu. Die Anspruchsvoraussetzungen des Art. 82 Abs. 1 DS-GVO sind vorliegend erfüllt. Die Bekl. hat jedenfalls gegen Art. 25 Abs. 2 DS-GVO sowie Art. 13 Abs. 1 lit. c DS-GVO verstoßen. Der Kl. ist ein immaterieller Schaden entstanden, für welchen die Verstöße gegen die DS-GVO kausal waren. Die Bekl. kann sich hinsichtlich der genannten Verstöße gegen die DS-GVO nicht exkulpieren, ein Mitverschulden muss sich die Klagepartei nicht anrechnen lassen. Der immaterielle Schadensersatzanspruch ist im vorliegenden Fall mit 400 EUR zu bemessen. Grund und damit unabdingbare Voraussetzung der Haftung ist eine Pflichtverletzung, wenngleich es auf einen Schutznormcharakter der verletzten Vorschrift nicht ankommt, der Begriff der Pflichtverletzung also denkbar weit gefasst ist und letztlich jede Verletzung materieller oder formeller Bestimmungen der Verordnung einschließt. Ein Verstoß gegen Art. 25 Abs. 2 DS-GVO vermag iVm Art. 82 Abs. DS-GVO einen Schadensersatzanspruch begründen. Die Gegenauffassung, nach der ein auf Art. 25 Abs. 2 DS-GVO gestützter Schadensersatzanspruch wegen seines organisatorischen Charakters nicht in Betracht kommt, vermag nicht zu überzeugen. Art. 82 Abs. 1 DS-GVO setzt schlicht einen Verstoß gegen die DS-GVO voraus, der vorliegend zu bejahen ist. Dass Art. 25 Abs. 2 DS-GVO bereits vor dem eigentlichen Beginn der Datenverarbeitung ihren Regelungscharakter entfaltet, ändert daran nichts. Haftungsbegründend kann eine Datenverarbeitung nämlich auch dann sein, wenn bei dem eigentlichen Verarbeitungsvorgang vor- oder nachgelagerte Pflichten verletzt werden. Auch solcherlei Pflichtverstöße können eine Schadensersatzpflicht begründen, wenn diese im Zusammenhang mit einer Datenverarbeitung stehen – und dies letztlich zu einem Schaden auf Seiten der betroffenen Person geführt hat. Vielmehr kann aus der Verletzung der sich aus Art. 25 DS-GVO ergebenden Pflichten eine Erhöhung der Gefahr eines Schadens resultieren, was vorliegend ohne weiteres ersichtlich ist: Denn hätten die Voreinstellung den Anforderungen von Art. 25 Abs. 2 DS-GVO entsprochen, wäre ein Abgreifen der Mobiltelefonnummer des Kl. so, wie letztlich geschehen, nicht ohne weiteres möglich gewesen. Eine Beschränkung von Art. 82 DS-GVO auf unmittelbar mit der tatsächlichen Datenverarbeitung im Zusammenhang stehende Pflichten nach der DS-GVO vermag daher nicht zu überzeugen. Der Begriff des Schadens ist gem. Erwägungsgrund 146 S. 3 DS-GVO weit und unter Berücksichtigung der Ziele der DS-GVO auszulegen. Er erfasst sowohl materielle als auch immaterielle Schäden. Der Anspruch soll „einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten“ (vgl. Erwägungsgrund 146 S. 6), der Schadensersatz soll – gerade vor dem Hintergrund des Auslegungsziels des effet utile – abschrecken und weitere Verstöße unattraktiv machen. Da der Schadensbegriff des Art. 82 DS-GVO europarechtlich-autonom auszulegen ist, kommt es iÜ auch nicht darauf an, ob bestimmte Schadenspositionen im nationalen Recht nicht als Schaden angesehen werden. Vor diesem Hintergrund kann der Schaden bereits in der Ungewissheit bestehen, ob personenbezogene Daten an Unbefugte gelangt sind. Da die Daten des Kl. vorliegend unstreitig an Dritte gelangt sind, ein Kontrollverlust also konkret eingetreten ist, ist ein Schaden iSv Art. 82 DS-GVO zweifellos gegeben. Die festgestellten Verstöße gegen die DS-GVO sind kausal für den bei dem Kl. entstandenen Schaden. Der Verantwortliche haftet nach Art. 82 DS-GVO nur für kausal durch die rechtswidrige Verarbeitung verursachte Schäden, eine Mitursächlichkeit des Verstoßes genügt jedoch. Die Bekl. kann sich hinsichtlich der festgestellten Verstöße auch nicht nach Art. 82 Abs. 3 DS-GVO exkulpieren. Insofern kann dahinstehen, ob überhaupt ein Verschulden erforderlich ist bzw. ob die Haftung nach Art. 82 DS-GVO zur Sicherstellung eines möglichst wirksamen Schadensersatzes als Gefährdungshaftung gestaltet ist. Denn der Bekl. ist bereits nach ihrem eigenen Vorbringen eine Entlastung, hinsichtlich derer ihr die Darlegungs- und Beweislast obliegt, nicht gelungen. Denn dies wäre nur dann der Fall, wenn sie sämtliche Sorgfaltsanforderungen erfüllt hat und ihr nicht die geringste Fahrlässigkeit vorzuwerfen ist. Die Kl. muss sich auch kein Mitverschulden nach § 254 Abs. 1 BGB anrechnen lassen, weil er die Datenschutzeinstellungen seines Facebook-Profils nicht rechtzeitig geändert und dadurch auch den Zugriff der Daten-Scraper mit ermöglicht hat. Insoweit kann dahinstehen, ob ein Mitverschulden des Geschädigten iRv Art. 82 DS-GVO überhaupt zu berücksichtigen ist. Denn jedenfalls würde ein etwaiges Mitverschulden des Kl. (§ 254 BGB) hinter die Verstöße der Bekl. zurücktreten. Bei der Schadensbemessung ist der Ausgleichs- und Genugtuungsfunktion sowie der generalpräventiven Funktion des immateriellen Schadensersatzes Rechnung zu tragen. Zum einen ist – mit Blick auf den generalpräventiven Auftrag des Art. 82 DS-GVO – vorliegend zu berücksichtigen, dass die Art und Weise der Datenerhebung durch die Bekl. systematisch gegen die Vorgaben der DS-GVO verstößt, um damit Sinn und Zweck der von ihr betriebenen Facebook-Plattform zu fördern. Zuletzt unstreitig kam es bei der Kl. zu einem Abgreifen personenbezogener Daten und einem hiermit einhergehenden Kontrollverlust, der weitere Beeinträchtigungen durch unerwünschte Spam-Anrufe und sonstige Kontaktversuche befürchten lässt, zumal sich die abgegriffenen Daten nicht löschen lassen und diese daher potentiell dauerhaft verfügbar sind. Zudem konnte Kl. im Rahmen seiner persönlichen Anhörung zur Überzeugung des Gerichtes glaubhaft darlegen, dass er in Folge dieses Datenverlustes für einen Zeitraum von ungefähr drei Monaten unerwünschte – und unangenehme – Anrufe im Zwei-Wochen-Takt gab, zudem weiterhin Spam-Nachrichten, vereinzelte Anrufe sowie unerwünschte E-­Mails, die jedoch von dem Kl. als nicht übermäßig störend, vielmehr als „normal“ wahrgenommen werden und daher nicht besonders ins Gewicht fallen. Andererseits ist auch der Umfang der bei dem Kl. abgegriffenen Daten zu berücksichtigen, der im Grunde für den Kl. noch überschaubar ist. In der Gesamtabwägung erscheint daher ein Schadensersatz in Höhe von 400 EUR angemessen. Der Anspruch auf vorgerichtliche Rechtsanwaltskosten folgt aus Art. 82 Abs. 1 DS-GVO.

NEU LG Stuttgart Urt. v. 17.5.2023 – 8 O 16/23

800 EUR Dem Kl. steht gegen die Bekl. ein Anspruch auf Schadensersatz gem. Art. 82 Abs. 1 DS-GVO zu. Die Anspruchsvoraussetzungen des Art. 82 Abs. 1 DS-GVO sind vorliegend erfüllt. Die Bekl. hat jedenfalls gegen Art. 25 Abs. 2 DS-GVO sowie Art. 13 Abs. 1 lit. c DS-GVO verstoßen. Der Kl. ist ein immaterieller Schaden entstanden, für welchen die Verstöße gegen die DS-GVO kausal waren. Die Bekl. kann sich hinsichtlich der genannten Verstöße gegen die DS-GVO nicht exkulpieren, ein Mitverschulden muss sich die Kl. nicht anrechnen lassen. Der immaterielle Schadensersatzanspruch ist im vorliegenden Fall mit 800 EUR zu bemessen. Grund und damit unabdingbare Voraussetzung der Haftung ist eine Pflichtverletzung, wenngleich es auf einen Schutznormcharakter der verletzten Vorschrift nicht ankommt, der Begriff der Pflichtverletzung also denkbar weit gefasst ist und letztlich jede Verletzung materieller oder formeller Bestimmungen der Verordnung einschließt. Der Kl. ist zudem als weitere Tatbestandsvoraussetzung ein Schaden iSv Art. 82 DS-GVO entstanden. Die Bekl. kann sich hinsichtlich der festgestellten Verstöße auch nicht nach Art. 82 Abs. 3 DS-GVO exkulpieren. Insofern kann dahinstehen, ob überhaupt ein Verschulden erforderlich ist bzw. ob die Haftung nach Art. 82 DS-GVO zur Sicherstellung eines möglichst wirksamen Schadensersatzes als Gefährdungshaftung gestaltet ist. Denn der Bekl. ist bereits nach ihrem eigenen Vorbringen eine Entlastung, hinsichtlich derer ihr die Darlegungs- und Beweislast obliegt, nicht gelungen. Denn dies wäre nur dann der Fall, wenn sie sämtliche Sorgfaltsanforderungen erfüllt hat und ihr nicht die geringste Fahrlässigkeit vorzuwerfen ist. Dies ist vorliegend indes nicht der Fall. Die Kl. muss sich auch kein Mitverschulden nach § 254 Abs. 1 BGB anrechnen lassen, weil er die Datenschutzeinstellungen seines Facebook-Profils nicht geändert und dadurch auch den Zugriff der Daten-Scraper mit ermöglicht hat. Insoweit kann dahinstehen, ob ein Mitverschulden des Geschädigten iRv Art. 82 DS-GVO überhaupt zu berücksichtigen ist. Bei der Schadensbemessung ist der Ausgleichs- und Genugtuungsfunktion sowie der generalpräventiven Funktion des immateriellen Schadensersatzes Rechnung zu tragen. Es ist nicht ausgeschlossen, dass der Kl. künftig infolge der Verstöße der Bekl. gegen die DS-GVO auch materielle Schäden erleidet.

NEU LG Chemnitz Urt. v. 16.5.2023 – 1 O 757/22

250 EUR Scraping-Sachverhalt. Wie LG Chemnitz Urt. v. 19.6.2023 – 1 O 746/22.

LG Trier Urt. v. 16.5.2023 – 3 O 137/23

400 EUR Scraping-Sachverhalt.

LG Regensburg Endurt. v. 11.5.2023 – 72 O 1413/22 KOIN = ZD 2023, 638 (Ls.)

0 EUR Die Kl. hat insb. keinen Anspruch auf Ersatz immaterieller Schäden gem. Art. 82 Abs. 1 DS-GVO. Es liegt kein Verstoß gegen die DS-GVO vor. Ein Verstoß gegen Art. 5 Abs. 1 lit. a DS-GVO liegt nicht vor. Zudem liegt auch kein Verstoß gegen Art. 32 DS-GVO bzw. Art. 5 Abs. 1 lit. f DS-GVO vor. Ob die Bekl. gegen die Vorgaben des Art. 25 DS-GVO verstoßen hat, kann dahinstehen. Denn selbst ein unterstellter Verstoß führte nicht zu einem Schadensersatzanspruch nach Art. 82 DS-GVO. Die Vorschrift entfaltet bereits vor dem eigentlichen Beginn der Datenverarbeitung ihren Regelungscharakter. Zu diesem, einer tatsächlichen Datenverarbeitung vorgelagerten Zeitpunkt entfaltet die DS-GVO jedoch nach Art. 2 Abs. 1 DS-GVO noch keine Wirkung. Die Anwendbarkeit der DS-GVO setzt vielmehr eine tatsächliche Verarbeitung personenbezogener Daten voraus. Ein Anspruch aus Art. 82 DS-GVO kommt daher nur in Betracht, wenn weitere Verstöße gegen die DS-GVO vorliegen. Zudem besteht kein Schadenersatzanspruch infolge eines etwaigen Verstoßes gegen Art. 33 DS-GVO. Zwar wird nicht verkannt, dass ein derartiger Verstoß grds. eine Schadensersatzpflicht gem. Art. 82 DS-GVO begründen kann. Dessen ungeachtet fehlt es jedenfalls an der erforderlichen Kausalität zwischen Rechtsverstoß und Schaden. Für den vom Kl. vorgetragenen Schaden ist es ohne Relevanz, ob der Scraping-Vorfall pflichtgemäß gemeldet wurde oder nicht. Die Daten waren ohnehin schon durch Dritte gesammelt worden und es sind keine Anhaltspunkte ersichtlich, dass auf Grund der Meldung an die Aufsichtsbehörde die Folgen irgendwie hätten reduziert werden können. Auch eine etwaige Verletzung der Auskunftspflicht (vgl. Art. 15 DS-GVO) in Bezug auf das Auskunftsersuchen der Kl. vermag keinen Anspruch der Kl. aus Art. 82 DS-GVO zu begründen. Ungeachtet eines etwaigen Verstoßes gegen die DS-GVO fehlt es jedenfalls (auch) an einem ersatzfähigen Schaden iSd Art. 82 Abs. 1 DS-GVO. Für den immateriellen Schadensersatz gelten dabei die iRv § 253 BGB entwickelten Grundsätze; die Ermittlung obliegt dem Gericht nach § 287 ZPO. Es können für die Bemessung die Kriterien des Art. 83 Abs. 2 DS-GVO herangezogen werden, zB die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie die betroffenen Kategorien personenbezogener Daten. Zu berücksichtigen ist auch, dass die beabsichtigte abschreckende Wirkung nur durch für den Anspruchsverpflichtenden empfindliche Schmerzensgelder erreicht wird, insbesondere wenn eine Kommerzialisierung fehlt. Ein genereller Ausschluss von Bagatellfällen ist damit nicht zu vereinbaren. Die Pflicht zur Erstattung immaterieller Schäden ist daher nicht auf schwere Schäden beschränkt. Bestätigt wurde dies jüngst durch eine Entscheidung des EuGH, wonach der Ersatz eines immateriellen Schadens iSd Art. 82 Abs. 1 DS-GVO nicht davon abhängig gemacht werden kann, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat. Ein genereller Ausschluss von Bagatellschäden ist im Lichte der Erwägungsgründe nicht vertretbar. Allein eine etwaige Verletzung des Datenschutzrechts als solche begründete allerdings nicht bereits für sich gesehen einen Schadensersatzanspruch für betroffene Personen. Die Verletzungshandlung muss in jedem Fall auch zu einer konkreten Verletzung von Persönlichkeitsrechten der betroffenen Personen geführt haben. Die Verletzung der Vorschriften der DS-GVO ist nicht mit einem Schadenseintritt gleichzusetzen. Es ist zwar keine schwere Verletzung des Persönlichkeitsrechts erforderlich. Andererseits ist aber auch weiterhin nicht für jede im Grunde nicht spürbare Beeinträchtigung bzw. für jede bloß individuelle empfundene Unannehmlichkeit ein Schmerzensgeld zu gewähren. Vielmehr muss dem Betroffenen ein spürbarer Nachteil entstanden sein und es muss um eine objektiv nachvollziehbare, tatsächlich erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen gehen. Diese Grundsätze erfuhren jüngst Bestätigung durch eine Entscheidung des EuGH; danach reicht der bloße Verstoß gegen Bestimmungen der DS-GVO nicht aus, um einen Schadensersatzanspruch zu begründen. Denn die gesonderte Erwähnung eines „Schadens“ und eines „Verstoßes“ in Art. 82 Abs. 1 DS-GVO wäre überflüssig, wenn der Gesetzgeber davon ausgegangen wäre, dass ein Verstoß gegen die Bestimmungen der DS-GVO für sich allein in jedem Fall ausreichend wäre, um einen Schadenersatzanspruch zu begründen. Ferner kann im Ergebnis dahinstehen, ob neben Art. 82 Abs. 1 DS-GVO auch nationales Recht anwendbar ist, oder das nationale Recht von den europarechtlichen Vorschriften der DS-GVO verdrängt wird.

LG Regensburg Urt. v. 11.5.2023 – 72 O 731/22 KOIN

0 EUR Die Kl. hat keinen Anspruch auf Ersatz immaterieller Schäden gem. Art. 82 Abs. 1 DS-GVO. Allerdings liegt schon kein Verstoß gegen die DS-GVO vor. Ob die Bekl. gegen die Vorgaben des Art. 25 DS-GVO verstoßen hat, kann dahinstehen. Denn selbst ein unterstellter Verstoß führte nicht zu einem Schadensersatzanspruch nach Art. 82 DS-GVO. Zudem besteht kein Schadenersatzanspruch infolge eines etwaigen Verstoßes gegen Art. 33 DS-GVO. Zwar wird nicht verkannt, dass ein derartiger Verstoß grds. eine Schadensersatzpflicht gem. Art. 82 DS-GVO begründen kann. Auch eine etwaige Verletzung der Auskunftspflicht (vgl. Art. 15 DS-GVO) in Bezug auf das Auskunftsersuchen der Kl. vermag keinen Anspruch der Kl. aus Art. 82 DS-GVO zu begründen. Denn selbst eine unterstellte Auskunftspflichtverletzung konnte schon in zeitlicher Hinsicht nicht für den Scrapingvorfall und damit auch nicht für die behaupteten, dadurch verursachten Beeinträchtigungen der Kl. kausal werden. Ungeachtet eines etwaigen Verstoßes gegen die DS-GVO fehlt es jedenfalls (auch) an einem ersatzfähigen Schaden iSd Art. 82 Abs. 1 DS-GVO. Für den immateriellen Schadensersatz gelten dabei die iRv § 253 BGB entwickelten Grundsätze; die Ermittlung obliegt dem Gericht nach § 287 ZPO. Bemessungskriterien werden dargestellt. Als Schaden iSd DS-GVO kann nicht das vom Kl. behauptete erhöhte Spam-SMS-Aufkommen gewertet werden.

LG Stuttgart Urt. v. 11.5.2023 – 15 O 148/22

500 EUR Scraping-Sachverhalt.

LG Stuttgart Urt. v. 11.5.2023 – 15 O 149/22

500 EUR Scraping-Sachverhalt.

LG Bückeburg Urt. v. 10.5.2023 – 1 O 84/22 = ZD 2024, 118 (Ls.)

0 EUR Dem Kl. steht gegen die Bekl. kein Anspruch auf Ersatz immateriellen Schadens aus Art. 82 DS-GVO zu. Ein Pflichtverstoß der Bekl. ist nicht ersichtlich. Voraussetzung für einen Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO ist, dass der Schaden durch eine nicht der DS-GVO entsprechende Verarbeitung verursacht wurde. Ein Verstoß gegen Art. 25 Abs. 2 DS-GVO ist vom Anwendungsbereich des Art. 82 Abs. 1 DS-GVO nicht erfasst. Denn die Norm stellt in erster Linie eine organisatorische Verpflichtung der Verantwortlichen dar; als bloße Verfahrensvorschrift ist die Einhaltung daher keine Voraussetzung für die Rechtmäßigkeit eines Verarbeitungsvorgangs. Gleiches gilt für die Art. 1314 und Art. 3334 der DS-GVO. Diese begründen Informationspflichten gegenüber betroffenen Personen bzw. begründen Pflicht zur Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde (Art. 33 DS-GVO) bzw. die Pflicht zur Benachrichtigung der betroffenen Person (Art. 34 DS-GVO). Die Erteilung von Informationen über die Verarbeitung personenbezogener Daten, die Benachrichtigung über eine Verletzung des Schutzes personenbezogener Daten gegenüber Nutzern und die Erteilung eine beantragte Auskunft sind aber keine Verarbeitungen iSv Art. 4 Nr. 2 DS-GVO. Ein etwaiger Verstoß gegen diese Normen führt nicht zu einem Schadensersatzanspruch gem. Art. 82 Abs. 1 DS-GVO. Es ist auch kein Verstoß der Bekl. gegen das in Art. 2425 Abs. 2 DS-GVO verankerte Prinzip „Privacy by default“ gegeben. Jedenfalls fehlt es an der Darlegung eines immateriellen Schadens. Denn ein Datenschutzverstoß als solcher reicht für das Entstehen eines Schadensersatzanspruchs nach Art. 82 Abs. 1 DS-GVO nicht aus. Es bedarf darüber hinaus der Darlegung und des Nachweises eines konkreten – auch immateriellen – Schadens. Das folgt bereits aus dem Wortlaut der Vorschrift, die zwischen Verstoß und wegen des Verstoßes entstandenem Schaden differenziert Die Verletzungshandlung muss in jedem Fall auch zu einer konkreten, nicht nur völlig unbedeutenden oder empfundenen Verletzung von Persönlichkeitsrechten der betroffenen Personen geführt haben.

LG Frankfurt/Main Beschl. v. 10.5.2023 – 2-13 T 33/23

0 EUR Der Anspruch nach Art. 82 DS-GVO ist individueller Natur und daher von dem Beeinträchtigten geltend zu machen und nicht von der Gemeinschaft.

LG Bonn Urt. v. 10.5.2023 – 3 O 201/22 = ZD 2023, 635 (Ls.)

0 EUR Der Kl. hat gegen die Bekl. keinen Anspruch auf Zahlung eines Schmerzensgeldes. Ein solcher Anspruch ergibt sich insb. nicht aus Art. 82 Abs. 1 DS-GVO. Insoweit bedurfte es keiner Entscheidung darüber, ob der Anwendungsbereich des Art. 82 DS-GVO im vorliegenden Fall eröffnet ist und ob eine Pflichtverletzung iSd Art. 82 DS-GVO durch Verstoß gegen die Vorschriften der DS-GVO (insb. Art. 32, Art. 24, Art. 25 Abs. 2, Art. 33, Art. 35, Art. 15 DS-GVO) vorliegt, da es jedenfalls an einem ersatzfähigen Schaden des Kl. fehlt. Für einen von dem Kl. geltend gemachten immateriellen Schadenersatz in Geld gelten dabei die im Zusammenhang mit § 253 Abs. 2 BGB entwickelten Grundsätze, sodass die Ermittlung des Schadens nach § 287 ZPO dem Gericht obliegt. Der Begriff des Schadens ist jedoch autonom, das heißt iRd DS-GVO nach deren Erwägungsgrund 146 Satz 3 im Lichte der Rspr. des EuGH weit und auf eine Art und Weise auszulegen, die den Zielen der Verordnung in vollem Umfang entspricht. Schadenersatzforderungen sollen abschrecken und weitere Verstöße unattraktiv machen. Im Lichte dieser Erwägungen ist die Pflicht aus Art. 82 Abs. 1 DS-GVO zur Erstattung immaterieller Schäden entgegen § 8 Abs. 2 BDSG a. F. nicht nur auf schwere Verletzungen des Persönlichkeitsrechts des Betroffenen beschränkt. Gleichzeitig ist auch ein genereller Ausschluss von Bagatellschäden nicht vertretbar, da die beabsichtigte abschreckende Wirkung für den Anspruchsverpflichteten nur durch empfindliche Schmerzensgelder erreicht werden kann. Ein bloßer Datenschutzverstoß als solcher genügt für das Entstehen eines Schadenersatzanspruchs jedoch nicht, sondern es bedarf darüber hinaus der Darlegung und des Nachweises eines konkreten (auch: immateriellen) Schadens. Für das Erfordernis, neben einem Verstoß gegen die Regelungen der DS-GVO den Eintritt eines konkreten Schadens nachzuweisen, spricht dabei zunächst bereits der Wortlaut von Art. 82 Abs. 1 DS-GVO, der über den Verstoß hinaus ausdrücklich die Entstehung eines Schadens („…Schaden entstanden ist“) voraussetzt. Dies entspricht letztlich auch der Rechtsauffassung des EuGH, der in seinem Urt. v. 4.5.2023 – C-300/21, ausgeführt hat, dass Art. 82 Abs. 1 DS-GVO dahingehend auszulegen ist, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadenersatzanspruch zu begründen. Dass der EuGH in dem genannten Urteil darüber hinaus festgestellt hat, dass Art. 82 Abs. 1 DS-GVO dahin auszulegen ist, dass er einer nationalen Regelung oder Praxis entgegensteht, die den Ersatz eines immateriellen Schadens iSd Bestimmung davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat, bedeutet – worauf der EuGH ausdrücklich hinweist – nicht, dass eine Person, die von einem Verstoß gegen die DS-GVO betroffen ist, der für sie negative Folgen gehabt hat, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden iSd Art. 82 DS-GVO darstellen. Vielmehr hat auch der EuGH darauf abgestellt, dass ein konkreter Schaden im jeweiligen Einzelfall festzustellen ist. Auf dieser Grundlage konnte das Gericht einen konkreten Schaden in Form einer spürbaren, über ein bloßes Ärgernis und/oder eine bloß individuell empfundene Unannehmlichkeit hinausgehenden Beeinträchtigung von persönlichen Belangen des Kl., die zudem nachweislich auf den streitgegenständlichen Scraping-Vorfall zurückzuführen sein müsste, nicht erkennen.

LG Lüneburg Urt. v. 9.5.2023 – 3 O 151/22

300 EUR Scraping-Sachverhalt.

LG Lüneburg Urt. v. 9.5.2023 – 3 O 119/22

300 EUR Scraping-Sachverhalt.

LG Offenburg Urt. v. 5.5.2023 – 3 O 311/22 = ZD 2024, 118 (Ls.)

0 EUR Der Kl. hat keinen Anspruch auf Zahlung eines immateriellen Schadensersatzes aus Art. 82 Abs. 1 DS-GVO oder einer anderen denkbaren Anspruchsgrundlage. Unabhängig vom Vorliegen der Anspruchsvoraussetzungen iÜ, fehlt es jedenfalls am Eintritt eines immateriellen Schadens. Das Merkmal des immateriellen Schadens ist autonom auszulegen. Erwägungsgrund 146 (und in diesem S. 3) zur DS-GVO sieht vor, dass der Begriff des Schadens im Lichte der Rspr. des EuGH weit auf eine Art und Weise ausgelegt werden soll, die den Zielen dieser Verordnung in vollem Umfang entspricht. Ein nationales Verständnis zum Begriff des Schadens – etwa eine enge Auslegung – ist mithin nicht angezeigt. Dabei ist davon auszugehen, dass der Schaden iSd Art. 82 Abs. 1 DS-GVO nicht bereits in der Verletzung der DS-GVO als solcher liegt, sondern vielmehr ein auf einem Verstoß gegen die DS-GVO beruhender Schaden darzulegen ist. Eine Erheblichkeitsschwelle für das Vorliegen eines solchen Schadens ergibt sich aus der DS-GVO nicht. Bagatellschäden sind daher nicht auszuschließen. Zu verlangen ist aber jedenfalls, dass ein konkreter immaterieller Schaden auch tatsächlich eingetreten („entstanden“) ist.

LG Ulm Urt. v. 4.5.2023 – 4 O 115/22

350 EUR Scraping-Sachverhalt.

LG Kiel Urt. v. 4.5.2023 – 6 O 314/22 = ZD 2023, 640 (Ls.)

0 EUR Ein Anspruch des Kl. auf Zahlung eines immateriellen Schadensersatzes ergibt sich nicht aus Art. 82 Abs. 1 DS-GVO. Ein Verstoß gegen die Bestimmungen der DS-GVO liegt nicht vor, sodass auch offenbleiben kann, ob die Artt. 13141524253234 DS-GVO in den Schutzbereich des Art. 82 DS-GVO fallen. IÜ mangelt es an einem ersatzfähigen Schaden des Kl. iSd Art. 82 Abs. 1 DS-GVO. Der Eintritt des Schadens muss dabei iSd § 287 ZPO als überwiegend wahrscheinlich dargetan werden. Auch wenn der Schadensbegriff im Lichte des Erwägungsgrundes 146 S. 3 der DS-GVO weit zu verstehen ist, so ist es dem Kl. nicht gelungen, diesen unter Zugrundelegung des vorbezeichneten Maßstabs hinreichend konkret darzulegen. Der Kl. benennt zwar als immaterielle Schadenspositionen Ängste, unter denen er leide, die daraus resultierten, dass er einen erheblichen Kontrollverlust über seine Daten erlitten habe und deshalb großem Unwohlsein und Sorgen in Bezug auf einen potentiellen Missbrauch seiner Daten durch Dritte ausgesetzt sei. Zudem sei es seit dem Scraping-Vorfall zu einem Anstieg an offenkundigen Betrugsversuchen in Form von Phishing-Mails und Anrufen gekommen. Das Gericht kann nicht mit hinreichender Wahrscheinlichkeit davon ausgehen, dass der Kl. unter den in der Klageschrift beschriebenen Ängsten und Sorgen tatsachlich leidet.

LG Paderborn Urt. v. 2.5.2023 – 2 O 406/22

500 EUR Scraping-Sachverhalt.

LG Augsburg Urt. v. 2.5.2023 – 031 O 1709/22 = ZD 2023, 639 (Ls.)

0 EUR Dem Kl. steht gegen die Bekl. kein Anspruch auf Zahlung eines immateriellen Schadensersatzes zu. Es fehlt auf der Grundlage des klägerischen Vorbringens bereits an einem Verstoß gegen die Bestimmungen der DS-GVO. Ein Verstoß gegen die Transparenzpflichten aus Artt. 5 Abs. 1 lit. a, 1314 DS-GVO liegt nicht vor. Es liegt auch kein Verstoß gegen die Datenschutzpflichten aus Artt. 5 Abs. 1 lit. f, 32 DS-GVO vor. Die Bekl. hat auch nicht gegen die Pflicht zu datenschutzfreundlichen Voreinstellungen gem. Art. 25 Abs. 12 DS-GVO verstoßen. Schließlich ist der Bekl. kein Verstoß gegen die Meldepflicht nach Art. 33 DS-GVO vorzuwerfen, da es schon an einem meldepflichtigen Verstoß gegen die DS-GVO fehlt. Endlich liegt auch kein Verstoß gegen die Auskunftspflicht der Bekl. nach Art. 15 DS-GVO vor. Es fehlt ferner an einem immateriellen Schaden des Kl. Zu den Anspruchsvoraussetzungen des Art. 82 Abs. 1 DS-GVO zählt neben dem Verstoß gegen die DS-GVO auch der Eintritt eines immateriellen Schadens. Hinsichtlich eines möglichen künftigen Missbrauchs personenbezogener Daten wird ein immaterieller Schaden aber nur dann zu begründen sein, wenn es sich um einen realen und sicheren emotionalen Schaden handelt und nicht nur um ein Ärgernis oder eine Unannehmlichkeit.

LG Konstanz Urt. v. 28.4.2023 – D 6 O 98/22 = ZD 2023, 636 (Ls.)

0 EUR Dem Kl. steht gegen die Bekl. unter keinen rechtlichen Gesichtspunkten ein Schadensersatzanspruch gerichtete auf die Erstattung immateriellen Schadens zu. Ob vorliegend der sachliche Anwendungsbereich des Art. 82 Abs. 1 DS-GVO für klägerseits behaupteten Verletzungen der DS-GVO durch die Bekl. eröffnet ist und ob in diesem Falle der Bekl. zudem ein Verstoß gegen die DS-GVO anzulasten wäre, kann vorliegend dahinstehen, denn der Kl. konnte nicht nachweisen, dass ihm auch bei unterstellten Verstößen der Bekl. gegen die DS-GVO hieraus resultierend ein Schaden entstanden ist. Es fehlt bereits am Eintritt eines ersatzfähigen Schadens des Kl. iSd Art. 82 Abs. 1 DS-GVO. Nach den Erwägungsgründen der europäischen Grundrechtscharta ist der Schadensbegriff weit auszulegen. Schadenersatzforderungen sollen abschrecken und weitere Verstöße unattraktiv machen. Darüber hinaus sollen die betroffenen Personen einen vollständigen und wirksame Kompensation für den erlittenen Schaden erhalten. Zwar ist nach der DS-GVO im Vergleich zum alten Recht eine schwere Verletzung des Persönlichkeitsrechts nicht mehr erforderlich und auch der EuGH erteilt in seinem aktuellen Urteil (v. 4.5.2023, C-300/21) der teilweise vertretenen Ansicht, dass Bagatellschäden per se nicht ausgleichspflichtig sind und eine Erheblichkeitsschwelle überschritten sein müsse, eine Absage. Gleichwohl vermag aber allein eine Verletzung des Datenschutzrechts als solche nicht bereits aus generalpräventiven Gründen für sich gesehen einen Schadensersatzanspruch für betroffene Personen rechtfertigen. Die Verletzungshandlung muss in jedem Fall auch zu einer konkret erlittenen, nicht nur empfundenen Verletzung von Persönlichkeitsrechten der betroffenen Personen geführt haben. Verletzung und Schaden sind insoweit nicht gleichzusetzen. Vielmehr geht bereits aus dem Wortlaut der Bestimmung klar hervor, dass das Vorliegen eines „Schadens“ eine der Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadenersatzanspruch darstellt, ebenso wie das Vorliegen eines Verstoßes gegen die DS-GVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind. Hiernach muss dem Betroffenen ein spürbarer Nachteil tatsächlich entstanden sein und es muss um eine objektiv nachvollziehbare Beeinträchtigung von persönlichkeitsbezogenen Belangen gehen. Das Datenschutzrecht schützt zwar per se ein subjektives Recht, das einen starken Bezug zum persönlichen Empfinden des Einzelnen hat. Dennoch ist Art. 82 nicht so auszulegen, dass die Norm einen Schadensersatzanspruch bereits bei jeder individuell empfundenen Unannehmlichkeit ohne ernsthafte Beeinträchtigung für das Selbstbild oder Ansehen einer Person begründet. Gemessen an diesen Grundsätzen hat der Kl. schon keine spürbare Beeinträchtigung von persönlichen Belangen dargelegt. Würde der konkrete Nachweis einer möglichen Betroffenheit genügen, um eine Haftung zu begründen, käme dies einem sog. Strafschadensersatz („punitiv damage“) gleich, der im Haftungssystem des Art. 82 DS-GVO keine Grundlage findet. Vielmehr sind die Ausgleichsfunktion des Art. 82 DS-GVO und die Sanktionsfunktion des Art. 83 DS-GVO, der es Aufsichtsbehörden erlaubt, Bußgelder zu verhängen, strikt voneinander zu trennende Mittel für die Gewährleistung eines effektiven Datenschutzes. Letztlich konnte der Kl. seiner Darlegungs- und Beweislast in Bezug auf das Kausalitätserfordernis nicht nachkommen.

LG Detmold Urt. v. 28.4.2023 – 02 O 184/22 = ZD 2023, 638 (Ls.)

0 EUR Ein Anspruch aus Art. 82 Abs. 1 DS-GVO kommt nicht in Betracht. Aus Sicht der Kammer mangelt es bereits an einem Verstoß gegen die DS-GVO wie auch an einem bei dem Kl. eingetretenen Schaden. Auch der Anwendungsbereich der DS-GVO ist aus Sicht der Kammer nicht für jeden der geltend gemachten Verstöße eröffnet. Es liegt kein Verstoß gegen Art. 5 Abs. 1 lit. f DS-GVO vor, da die Bekl. nicht gegen die sie treffende Obliegenheit, personenbezogene Daten vor unbefugter oder unrechtmäßiger Verarbeitung zu schützen, verstoßen hat. Ein Verstoß gegen Art. 2432 DS-GVO ist ebenso nicht gegeben. Nach Auffassung der Kammer liegt auch kein Verstoß gegen Art. 25 DS-GVO vor. Soweit der Kl. der Bekl. weitere Verstöße gegen die DS-GVO vorwirft, nämlich ungenügende Information und Aufklärung über die Verarbeitung der sie betreffenden Daten durch ungenügende Aufklärung zur Verwendung und Geheimhaltung der Telefonnummer (Art. 5 Abs. 1 lit. a), einen unmittelbaren Verstoß gegen Art. 1314 DS-GVO, die konkrete Informationspflichten enthalten, die seitens der Bekl. nicht eingehalten worden seien, unvollständige Auskunftserteilung nach Art. 15 DS-GVO, da nicht mitgeteilt worden sei, welchen Empfängern ihre Daten zugänglich gemacht worden seien (Art. 3334 DS-GVO), sind solche Verstöße bereits weder vom Schutzzweck des Art. 82 DS-GVO noch von dessen sachlichen Anwendungsbereich umfasst. Art. 82 Abs. 1 DS-GVO erfasst nur solche Pflichtverstöße, die im Rahmen einer „Verarbeitung“ geschehen, was sich aus dem Wortlaut des Art. 82 Abs. 2 DS-GVO ergibt („durch eine nicht dieser Verordnung entsprechende Verarbeitung“). IÜ fehlt es auch an einem Schaden iSv Art. 82 Abs. 1 DS-GVO. Anders als der Kl. meint, genügt nicht allein der Verstoß gegen die DS-GVO, um einen Ausgleich / eine Kompensation verlangen zu können. Dies widerspricht dem Schadensrecht, unabhängig vom Wortlaut des Art. 82 Abs. 1 DS-GVO. Ein Schadens- und auch Schmerzensgeldanspruch setzt stets einen immateriellen oder materiellen Schaden voraus. Dies lässt sich nach Auffassung der Kammer auch dem Wortlaut des Art. 82 Abs. 1 DS-GVO entnehmen, wonach sowohl ein Verstoß gegen diese (DS-GVO) Verordnung nötig ist, als auch ein daraus resultierender materieller oder immaterieller Schaden. Die Verletzungshandlung muss in jedem Fall zu einer konkreten, nicht nur völlig unbedeutenden oder empfundenen Verletzung von Persönlichkeitsrechten der betroffenen Person geführt haben. Verletzung und Schaden sind nicht gleichzusetzen. Es ist nicht für jede bloß individuell empfundene Unannehmlichkeit ein Schmerzensgeld zu gewähren; vielmehr muss dem Betroffenen ein spürbarer Nachteil entstanden sein und es muss um eine objektiv nachvollziehbare, mit gewissem Gewicht erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen gehen. Allein der Kontrollverlust des Kl. über seine Daten stellt keinen Schaden dar. Seine Sorge oder Angst um die verwendeten Daten und die Befürchtung, Opfer von Betrugsfällen oder Identitätsdiebstahl zu werden, kann zwar nicht gemessen werden, ist hierfür jedoch noch nicht ausreichend. Immerhin darf nicht außer Acht gelassen werden, dass jedenfalls Name, F.-ID und Geschlecht von ihm öffentlich bekanntgegeben wurden und damit bereits nicht mehr unter seiner ausschließlichen Kontrolle standen. Letztlich ist also insoweit überhaupt nicht mehr bekannt geworden als das, was von ihm selbst bereits im Internet veröffentlicht wurde. In Bezug auf die bekannt gewordene Telefonnummer mag ein gewisser Kontrollverlust vorliegen. Ob und inwieweit jedoch der Kontrolle über die Telefonnummer überhaupt ein Wert zukommt, mag bezweifelt werden. IÜ reicht für einen Schadensersatzanspruch ein bloßes Unmutsgefühl nach Auffassung der Kammer nicht aus. Dass der Erhalt dubioser Anrufe unbekannter Nummern und der Erhalt von Spamanrufen tatsächlich auf das Bekanntwerden seiner Telefonnummer zurückzuführen sind, ist nicht zwingend. Es ist bekannt, dass unerwünschte E-­Mails, SMS und Anrufe auch Personen erhalten, die keinen F.-Account haben oder Nutzer, die dort ihre Telefonnummer nicht hinterlegt haben. Dass der Kl. seit der Veröffentlichung seiner Daten unregelmäßig unbekannte Kontaktversuche via SMS und E-­Mail erhalte, die Nachrichten mit offensichtlichen Betrugsversuchen und potenziellen Virenlinks enthalten, ist allein nicht ausreichend, um einen sicheren Zusammenhang zu dem streitgegenständlichen Datenverlust herzustellen. Es ändert auch nichts an dem Erfordernis eines Datenschutzverstoßes seitens der Bekl. als vorgelagerter Voraussetzungen für einen Anspruch auf Schadensersatz.

LG Stuttgart Urt. v. 27.4.2023 – 54 O 9/23

600 EUR Scraping-Sachverhalt.

LG München Urt. v. 20.4.2023 – 15 O 6231/22

500 EUR Scraping-Sachverhalt.

LG München Urt. v. 20.4.2023 – 15 O 4507/22

600 EUR Scraping-Sachverhalt.

LG Stuttgart Urt. v. 19.4.2023 – 53 O 129/22

0 EUR Ein Anspruch des Kl. aus Art. 82 DS-GVO scheitert an einer fehlenden schadensersatzauslösenden Pflichtverletzung der Bekl. Etwaige Verstöße gegen die Pflicht zur Information und Aufklärung über die Verwendung und Geheimhaltung der Telefonnummer iSv Art. 5 Abs. 1 lit. a DS-GVO sowie gegen Informationspflichten nach Art. 13, Art. 14 DS-GVO und die behauptete unvollständige Auskunftserteilung gem. Art. 15 DS-GVO sind bereits nicht vom Schutzzweck des Art. 82 DS-GVO erfasst, da Benachrichtigungspflichten keine Verarbeitung iSd Art. 4 Abs. 2 DS-GVO darstellen. Auch werden vom Schutzbereich des Art. 82 DS-GVO Verstöße gegen Art. 34 DS-GVO nicht erfasst.

LG Limburg Urt. v. 14.4.2023 – 1 O 171/22 = ZD 2023, 119 (Ls.)

0 EUR Der Kl. hat keinen Anspruch auf immateriellen Schadenersatz. Ein Anspruch gegen die Bekl. ergibt sich weder aus Art. 82 DS-GVO noch aus sonstigen Vorschriften. Dem Kl. ist es nicht gelungen, den Eintritt eines (eigenen) Schadens als überwiegend wahrscheinlich (§ 287 ZPO) nachzuweisen. Nach dem ausdrücklichen Wortlaut der Vorschrift muss der Schaden „erlitten“ werden, woraus sich ergibt, dass dieser tatsächlich entstanden sein muss und nicht lediglich befürchtet wird. Zwar ist der Begriff des Schadens nach dem Erwägungsgrund 146 S. 3 weit auszulegen, sodass die Betroffenen einen wirksamen Ersatz bekommen; nach Auffassung der Kammer reicht jedoch ein bloßer Verstoß gegen Vorschriften der DS-GVO nicht aus, um (immateriellen) Schadensersatz verlangen zu können. Es bedarf vielmehr der Darlegung eines konkreten (auch immateriellen) Schadens. Allerdings ist es nicht erforderlich, dass der eingetretene Schaden erheblich ist; mithin sind auch Bagatellschäden ersatzfähig. Das Vorliegen eines konkreten, immateriellen Schadens, wozu auch Ängste, Sorgen, Stress sowie Komfort- und Zeiteinbußen zählen, hat der Kl. nicht hinreichend dargetan. Er hat zwar ausführen lassen, dass er einen erheblichen Kontrollverlust über seine Daten erlitten habe und deshalb unter großem Unwohlsein und Sorgen leide sowie einen Missbrauch befürchte; nach dem Datenleck seien vermehrt Spam-Nachrichten und Spam-Anrufe eingegangen. Diese Angaben sind – hierauf hat die Bekl. hingewiesen – völlig unsubstantiiert. Dass der Kl. unter den von ihm beschriebenen Ängsten und Sorgen tatsächlich leidet, ist auf dieser Grundlage nicht festzustellen.

LG Kassel Urt. v. 6.4.2023 – 10 O 851/22 = ZD 2023, 635 (Ls.)

0 EUR Dem Kl. steht gegen die Bekl. kein Anspruch auf Zahlung eines immateriellen Schadensersatzes zu. Die Bekl. ist zwar als Verantwortliche iSv Art. 4 Nr. 7 DS-GVO anzusehen. Sie hat jedoch nicht gegen die DS-GVO verstoßen.

LG Aachen Urt. v. 6.4.2023 – 8 O 154/22 = ZD 2023, 637 (Ls.)

0 EUR Der geltend gemachte Anspruch auf immateriellen Schadensersatz ergibt sich nicht aus Art. 82 Abs. 1 DS-GVO. Zwar ist hier der räumliche und sachliche Anwendungsbereich der DS-GVO bzw. des Art. 82 Abs. 1 DS-GVO eröffnet, jedoch ergibt sich aus dem klägerischen Vorbringen weder ein Verstoß der Bekl. gegen die Vorschriften der DS-GVO noch ein konkreter Schadenseintritt auf klägerischer Seite. Nach Auffassung der Kammer ist auch der sachliche Anwendungsbereich des Art. 82 Abs. 1 DS-GVO eröffnet, auch soweit hier die Verletzung von Informationspflichten geltend gemacht und der Schmerzensgeldanspruch zumindest auch darauf gestützt wird. Aus dem Wortlaut der Vorschrift ergibt sich gerade nicht dass Art. 82 Abs. 1 DS-GVO durch Art. 82 Abs. 2 DS-GVO konkretisiert und eingeschränkt werden soll, so dass nur Pflichtverletzungen im Zusammenhang mit einer Verarbeitung von Daten den Schadensersatzanspruch auslösen könnten. Auf der Grundlage des klägerischen Vorbringens bzw. des unstreitigen Sachverhalts ist jedoch ein Verstoß der Bekl. gegen die DS-GVO nicht festzustellen. Ein Verstoß gegen Art. 5 Abs. 1 lit. a DS-GVO liegt nicht vor. Es liegt ferner kein Verstoß gegen Art. 32 DS-GVO bzw. Art. 5 Abs. 1 lit. f DS-GVO vor. Die Bekl. hat auch nicht gegen das in Art. 2425 Abs. 2 DS-GVO verankerte Prinzip „Privacy by default“ verstoßen. Die Bekl. hat auch nicht eine etwaige Pflicht gem. Art. 33 DS-GVO verletzt, der zuständigen Aufsichtsbehörde einen Datenschutzverstoß zu melden. Schließich hat die Bekl. auch nicht gegen Art. 15 DS-GVO verstoßen, indem sie der Kl. keine bzw. unvollständige Auskünfte erteilt hätte. Unabhängig davon, ob hier überhaupt ein Verstoß gegen Vorschriften der DS-GVO vorliegt, scheitert ein Anspruch aus Art. 82 Abs. 1 DS-GVO aber jedenfalls daran, dass hier kein restitutionsfähiger (immaterieller) Schaden vorliegt. Für den immateriellen Schadensersatz gelten dabei die iRv § 253 BGB entwickelten Grundsätze; die Ermittlung obliegt dem Gericht nach § 287 ZPO. Es können für die Bemessung die Kriterien des Art. 83 Abs. 2 DS-GVO herangezogen werden, zB die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie die betroffenen Kategorien personenbezogener Daten. Zu berücksichtigen ist auch, dass die beabsichtigte abschreckende Wirkung nur durch für den Anspruchsverpflichtenden empfindliche Schmerzensgelder erreicht wird, insb. wenn eine Kommerzialisierung fehlt. Ein genereller Ausschluss von Bagatellfällen ist damit nicht zu vereinbaren. Die Pflicht zur Erstattung immaterieller Schäden ist daher nicht auf schwere Schäden beschränkt. Ein genereller Ausschluss von Bagatellschäden ist im Lichte der Erwägungsgründe nicht vertretbar. Allein eine Verletzung des Datenschutzrechts als solche begründet allerdings nicht bereits für sich gesehen einen Schadensersatzanspruch für betroffene Personen. Die Verletzungshandlung muss in jedem Fall auch zu einer konkreten Verletzung von Persönlichkeitsrechten der betroffenen Personen geführt haben. Die Verletzung der Vorschriften der DS-GVO ist nicht mit einem Schadenseintritt gleichzusetzen. Es ist zwar keine schwere Verletzung des Persönlichkeitsrechts erforderlich. Andererseits ist aber auch weiterhin nicht für jede im Grunde nicht spürbare Beeinträchtigung bzw. für jede bloß individuelle empfundene Unannehmlichkeit ein Schmerzensgeld zu gewähren. Vielmehr muss dem Betroffenen ein spürbarer Nachteil entstanden sein und es muss um eine objektiv nachvollziehbare, tatsächlich erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen gehen. Die bloße Gefährdung oder Befürchtung einer Gefährdung ist für die Annahme eines Schadens iSd DS-GVO nicht ausreichend. Nach Auffassung der Kammer hat Art. 82 Abs. 1 DS-GVO zwei eigene, separate Voraussetzungen, nämlich: (1.) einen Verstoß gegen die DS-GVO und (2.) einen tatsächlich eingetretenen materiellen oder immateriellen Schaden. Läge bei jedem DS-GVO-Verstoß automatisch ein immaterieller Schaden vor, wäre der Schaden als Anspruchsvoraussetzung überflüssig. Auf die Frage des konkreten Schadens kommt es hier aber deshalb nicht entscheidungserheblich an, weil die Klage auch aus anderen Gründen ohne Erfolg bleibt, da schon kein Verstoß gegen die DS-GVO festgestellt werden kann. Es kann im Ergebnis dahinstehen, ob neben Art. 82 Abs. 1 DS-GVO auch nationales Recht anwendbar ist, oder das nationale Recht von den europarechtlichen Vorschriften der DS-GVO verdrängt wird.

NEU LG Gießen Urt. v. 5.4.2023 – 3 O 152/22 = ZD 2023, 636 (Ls.)

0 EUR Es besteht kein Anspruch auf Zahlung eines immateriellen Schadensersatzes gem. Art. 82 Abs. 1 DS-GVO. Dem Kl. ist es nicht gelungen, den Eintritt eines (eigenen) Schadens als überwiegend wahrscheinlich (§ 287 ZPO) nachzuweisen. Nach dem ausdrücklichen Wortlaut der Vorschrift muss der Schaden „erlitten“ werden, woraus sich ergibt, dass dieser tatsächlich entstanden sein muss und nicht lediglich befürchtet wird. Zwar ist der Begriff des Schadens nach dem Erwägungsgrund 146 S. 3 weit auszulegen, sodass die Betroffenen einen wirksamen Ersatz bekommen; nach Auffassung der Kammer reicht jedoch ein bloßer Verstoß gegen Vorschriften der DS-GVO nicht aus, um (immateriellen) Schadensersatz verlangen zu können. Es bedarf vielmehr der Darlegung eines konkreten (auch immateriellen) Schadens. Allerdings ist es nicht erforderlich, dass der eingetretene Schaden erheblich ist; mithin sind auch Bagatellschäden ersatzfähig. Das Vorliegen eines konkreten, immateriellen Schadens, wozu auch Ängste, Sorgen, Stress sowie Komfort- und Zeiteinbußen zählen, hat der Kl. nicht hinreichend dargetan. Er hat zwar ausführen lassen, dass er einen erheblichen Kontrollverlust über seine Daten erlitten habe und deshalb unter großem Unwohlsein und Sorgen leide sowie einen Missbrauch befürchte. Letztlich kann die Kammer aber nicht mit hinreichender Wahrscheinlichkeit davon ausgehen, dass der Kl. unter den von ihm beschriebenen Ängsten und Sorgen tatsächlich leidet. Dagegen spricht bereits der Umstand, dass es sich bei den gescrapten Daten des Kl. – mit Ausnahme der Mobilfunknummer – um Daten handelt, die immer auf der …-Seite öffentlich sind. Es ist diesen Daten immanent, dass sie jedem jederzeit zugänglich sind. Auf diesen Umstand weist die Bekl. ihre Nutzer auch ausdrücklich hin, sodass es für die Kammer nicht nachvollziehbar ist, weshalb eine „weitere Veröffentlichung“ dieser Daten, bei dem Kl. zu einem unguten Gefühl geführt haben sollte. Dagegen spricht weiterhin der Umstand, dass es sich offensichtlich um eine standardisierte Klageschrift handelt, die für eine Vielzahl von betroffenen Nutzern eingereicht wird. Ebenso kann die Kammer keinen konkreten immateriellen Schaden aus der Veröffentlichung der Mobilfunknummer ersehen. Erhebliche Zweifel an dem in der Klageschrift vorgetragenen Gemütszustand des Kl. ergeben sich bereits daraus, dass der Kl. die Mobilfunknummer angab, ohne von den auf der Website der Bekl. – leicht auffindbar – bereitgestellten Einschränkungsmöglichkeiten bzgl. der Suchbarkeitskriterien Gebrauch zu machen. Der klägerische Vortrag ist nicht hinreichend substantiiert und individualisiert, um den angeblichen immateriellen Schaden nachvollziehbar erscheinen zu lassen. Es ist weder vorgetragen noch ersichtlich, welche kriminellen oder auch nur lästigen Handlungen Dritte mit der Kombination aus immer öffentlich zugänglichen Daten des …-Nutzers (Name, Profil- und Titelbilder, Netzwerke, Geschlecht, Nutzername und Nutzer-ID) und der Handynummer begehen sollten. Diese Daten gehen nicht über einen bloßen „Telefonbucheintrag“ hinaus. Ein diffuses Bedrohungsgefühl vermag ohne nachvollziehbare Tatsachengrundlage keinen immateriellen Schaden zu begründen. Auf Grund der vorgenannten Ausführungen kam es auf die Frage, ob und inwieweit die Bekl. gegen die DS-GVO verstoßen hat, nicht an. Insb. ist es insoweit nicht von Belang, dass die für die Bekl. zuständige (irische) Datenschutzbehörde im November 2022 wegen des 533 Mio. Datensätze betreffenden Scrapings eine Geldbuße iHv 265 Mio. EUR gegen die Bekl. verhängt hat. Obiter dicta sei Folgendes angemerkt: Wollte man – entgegen der Auffassung der Kammer – jedem einzelnen betroffenen Nutzer zB einen Schadensersatzanspruch iHv von 100 EUR zuerkennen, würde dies in Summe einen Betrag iHv 53.300.000.000 (in Worten: dreiundfünfzig Milliarden dreihundert Millionen Euro) bedeuten. Dies stünde außer Verhältnis zur Schwere eines möglichen Datenschutzverstoßes der Bekl. Im Ergebnis liefe dies auf einen Strafschadensersatz (punitive damages) hinaus, der jedenfalls dem deutschen Zivilrecht fremd ist.

LG Paderborn Urt. v. 31.3.2023 – 2 O 308/22

500 EUR Scraping-Sachverhalt.

LG Heidelberg Urt. v. 31.3.2023 – 7 O 14/22

250 EUR Scraping-Sachverhalt. Wie LG Heidelberg Urt. v. 31.3.2023 – 7 O 10/22.

LG Heidelberg Urt. v. 31.3.2023 – 7 O 10/22

250 EUR Der Kl. hat gegen die Bekl. gem. Art. 82 Abs. 1 DS-GVO Anspruch auf immateriellen Schadenersatz iHv 250 EUR auf Grund der Verletzung von Vorschriften der DS-GVO. Der Maßstab für Verstöße gegen die DS-GVO iSd Art. 82 Abs. 1 DS-GVO ist weit zu fassen. Es kommen materielle wie formelle Verstöße in Betracht. Auch ist nicht allein auf die Datenverarbeitung abzustellen, sondern sämtliche Maßnahmen, so auch Vorbereitungsmaßnahmen, können einen entsprechenden Anspruch begründen. Dies ergibt sich aus dem Wortlaut des Art. 82 Abs. 1 DG-SVO selbst, der allgemein von „Verstoß gegen die DS-GVO“ spricht und damit jeglichen Verstoß einschließt. Etwas Anderes folgt nicht etwa aus Erwägungsgrund 146 S. 1. Soweit dort von Schäden, die einer Person auf Grund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht, die Rede ist, ist dies nicht etwa dahingehend aufzufassen, dass nur Verstöße bei der Verarbeitung von Daten im engeren Sinne gemeint sind. Dies widerspräche dem in Art. 1 Abs. 2 DS-GVO postulierten Ziel der Verordnung, die Grundrechte und Grundfreiheiten natürlicher Personen und insb. deren Recht auf Schutz personenbezogener Daten zu schützen. Vielmehr bezieht sich die gesamte DS-GVO auf die Verarbeitung von Daten und stellt Regeln auf, die bei der dem sachlichen Anwendungsbereich gem. Art. 2 unterfallenden Datenverarbeitung einzuhalten sind. Eine Begrenzung erfolgt iRd Kausalität. Die Bekl. hat gegen die gem. Art. 13 Abs. 1 lit. c DS-GVO bestehende Informationspflicht bei Erhebung von personenbezogenen Daten verstoßen, indem sie den Kl. bei der Anmeldung auf der F.-Plattform nicht ausreichend über die Zwecke, für die seine Telefonnummer verwendet werden sollte, informiert hat. Mangels hinreichender Information erfolge die Verarbeitung der Telefonnummer auch nicht rechtmäßig. Keine Verletzung der Informationspflicht ist – entgegen dem Verständnis des Kl. – hingegen in der mangelnden Aufklärung über die Möglichkeit missbräuchlichen Abgreifens von Daten. Die Bekl. hat zudem gegen die Verpflichtung gem. Artt. 24325 Abs. 1 lit. f DS-GVO, die Sicherheit der Verarbeitung zu gewährleisten, verstoßen, indem sie keine ausreichend geeigneten technischen und organisatorischen Maßnahmen getroffen hat, um die personenbezogenen Daten des Kl., namentlich seine F.-ID, seinen Vornamen und Namen, sein Geschlecht, seinen Geburts- und Wohnort sowie seinen Arbeitgeber, gegen unbefugten Zugriff zu schützen. Die Bekl. hat überdies gegen in Art. 25 Abs. 2 DS-GVO das Gebot, Datenschutz durch datenschutzfreundliche Voreinstellungen zu gewährleisten, verstoßen, indem sie standardmäßig die Suchbarkeit der Nutzer über deren Telefonnummer „für alle“ voreingestellt hat. Ein Verstoß gegen diese Vorschrift kann zu einem Schadenersatzanspruch iSd Art. 82 DS-GVO führen. Das Gericht teilt nicht die gegenteilige Ansicht, der zufolge es sich in erster Linie um eine organisatorische Verpflichtung handelt. Vielmehr kann aus der Verletzung der sich aus Art. 25 DS-GVO ergebenden Pflichten eine Erhöhung der Gefahr eines Schadens resultieren. Der Bekl. kann sich nicht gem. Art. 82 Abs. 3 DS-GVO, der das Verschulden widerleglich vermutet, exkulpieren. Soweit in der Vorschrift von der Verantwortlichkeit für den Schaden die Rede ist, ist dies iSv Verschulden aufzufassen. Der Anspruchsverpflichtete kann sich daher nur entlasten, indem er beweist, dass er die am Maßstab des Stands der Technik und im Verkehr, dh am allgemeinen Schutzinteresse orientierte erforderliche Sorgfalt iSv § 276 Abs. 2 BGB angewendet hat. Die Bekl. hat keinerlei Umstände angeführt, die sie hinsichtlich der unzureichend erteilten Informationen in Bezug auf die Verarbeitung der Telefonnummer, die fehlenden Sicherheitsmaßnahmen zur Vermeidung des automatisierten Abgreifens von Daten über das CIT mittels Telefonnummern und die datenschutzunfreundliche Standardeinstellung bei der Suchbarkeit über die Telefonnummer entlasten könnte. Dem Kl. ist durch die Verstöße der Bekl. gegen die genannten Vorschriften DS-GVO ein immaterieller Schaden iSd Art. 82 Abs. 1 DS-GVO entstanden. Der Begriff des Schadens ist gem. Erwägungsgrund 146 S. 3 DS-GVO weit auf eine Art und Weise auszulegen, die den Zielen dieser Verordnung in vollem Umfang entspricht. Allerdings ist er nicht mit der zugrundeliegenden Rechtsgutsverletzung gleichzusetzen; der bloße Verstoß gegen Bestimmungen der DS-GVO reicht daher nicht aus. Allerdings können auch Bagatellschäden eine Ersatzpflicht hervorrufen. Denn eine Erheblichkeitsschwelle ist weder Art. 82 DS-GVO noch den Erwägungsgründen zu entnehmen. Erwägungsgrund 148 S. 2 sieht lediglich vor, dass (ausnahmsweise) bei geringfügigen Verstößen auf die Verhängung einer Geldbuße verzichtet werden kann. Deshalb kann ein Schaden auch bereits in einem unguten Gefühl, in der Angst und Besorgnis liegen, dass personenbezogene Daten Unbefugten bekannt geworden sind, wenn die Gefahr besteht, dass die Daten unbefugt weiterverwendet werden. Die erforderliche Kausalität zwischen den Verstößen der Bekl. gegen die DS-GVO und dem Schaden des Kl. liegt vor. Soweit sich der Kl. auf die Verletzung der Meldepflicht nach Art. 33 DS-GVO gegenüber der zuständigen Aufsichtsbehörde sowie der Pflicht zur Benachrichtigung der betroffenen Person nach Art. 34 DS-GVO beruft, sind zwar auch derartige Verstöße grds. geeignet, Schadenersatzansprüche auszulösen. Vorliegend kann die Verletzung der genannten Gebote indes dahinstehen, da ein daraus resultierender Schaden für den Kl. nicht erkennbar ist. Bei der Bestimmung des vom Kl. in das Ermessen des Gerichts gestellten Höhe des Schadenersatzes gem. § 287 Abs. 1 S. 1 ZPO sind alle Umstände des Einzelfalls zu würdigen. Die Kriterien des Art. 83 Abs. 2 DS-GVO, die Anhaltspunkte für die Höhe der von der Aufsichtsbehörde zu verhängenden Geldbuße geben sollen, können auch für die Bemessung des immateriellen Schadenersatzes herangezogen werden. Im streitgegenständlichen Fall hält das Gericht unter Berücksichtigung der Ausgleichs- und Genugtuungsfunktion sowie der generalpräventiven Funktion des immateriellen Schadenersatzes einen Betrag iHv 250 EUR erforderlich, aber auch ausreichend. Dabei fließt anspruchserhöhend ein, dass der Bekl. mehrere schadensursächliche Verstöße gegen die DS-GVO zur Last zu legen sind, wobei die den Zweck von F. fördernde Art der Datenerhebung die Regeln der DS-GVO nicht nur im Einzelfall, sondern systematisch und über einen längeren Zeitraum missachtet hat. Anspruchsmindernd ist zu berücksichtigen, dass der Kl. durch das Ausspähen seiner Daten in seiner Lebensführung nur wenig beeinträchtigt wurde und sich seine Sorge ersichtlich derart in Grenzen gehalten hat, dass er im Rahmen seiner persönlichen Abwägung von Vor- und Nachteilen davon abgesehen hat, seinen F.-Account aufzulösen, die dortigen Einstellungen zu seinem Schutz abzuändern oder seine Telefonnummer zu wechseln. Bei den gescrapten Daten handelt es sich zudem nicht um besonders sensible Informationen wie Gesundheits- oder Kontodaten. Die vorgerichtlichen Rechtsanwaltskosten sind als Teil des zu ersetzenden Schadens gem. Art. 82 Abs. 1 DS-GVO zu erstatten.

LG Heidelberg Urt. v. 31.3.2023 – 7 O 9/22

0 EUR Der Kl. hat gegen die Bekl. gem. Art. 82 Abs. 1 DS-GVO keinen Anspruch auf immateriellen Schadenersatz auf Grund der Verletzung von Vorschriften der DS-GVO. Denn es ist nicht feststellbar, dass ihm ein Schaden entstanden ist. Der Maßstab für Verstöße gegen die DS-GVO iSd Art. 82 Abs. 1 DS-GVO ist weit zu fassen. Es kommen materielle wie formelle Verstöße in Betracht. Auch ist nicht allein auf die Datenverarbeitung abzustellen, sondern sämtliche Maßnahmen, so auch Vorbereitungsmaßnahmen, können einen entsprechenden Anspruch begründen. Dies ergibt sich aus dem Wortlaut des Art. 82 Abs. 1 DG-SVO selbst, der allgemein von „Verstoß gegen die DS-GVO“ spricht und damit jeglichen Verstoß einschließt. Etwas Anderes folgt nicht etwa aus Erwägungsgrund 146 S. 1. Soweit dort von Schäden, die einer Person auf Grund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht, die Rede ist, ist dies nicht etwa dahingehend aufzufassen, dass nur Verstöße bei der Verarbeitung von Daten im engeren Sinne gemeint sind. Dies widerspräche dem in Art. 1 Abs. 2 DS-GVO postulierten Ziel der Verordnung, die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten zu schützen. Vielmehr bezieht sich die gesamte DS-GVO auf die Verarbeitung von Daten und stellt Regeln auf, die bei der dem sachlichen Anwendungsbereich gem. Art. 2 unterfallenden Datenverarbeitung einzuhalten sind. Eine Begrenzung erfolgt iRd Kausalität. Die Bekl. hat gegen die gem. Art. 13 Abs. 1 lit. c DS-GVO bestehende Informationspflicht bei Erhebung von personenbezogenen Daten verstoßen, indem sie den Kl. bei der Anmeldung auf der F.-Plattform nicht ausreichend über die Zwecke, für die seine Telefonnummer verwendet werden sollte, informiert hat. Mangels hinreichender Information erfolge die Verarbeitung der Telefonnummer auch nicht rechtmäßig. Die Bekl. hat zudem gegen die Verpflichtung gem. Artt. 24325 Abs. 1 lit. f DS-GVO, die Sicherheit der Verarbeitung zu gewährleisten, verstoßen, indem sie keine ausreichend geeigneten technischen und organisatorischen Maßnahmen getroffen hat, um die personenbezogenen Daten des Kl., namentlich seine F.-ID, seinen Namen und sein Geschlecht gegen unbefugten Zugriff zu schützen. Die Bekl. hat überdies gegen in Art. 25 Abs. 2 DS-GVO das Gebot, Datenschutz durch datenschutzfreundliche Voreinstellungen zu gewährleisten, verstoßen, indem sie standardmäßig die Suchbarkeit der Nutzer über deren Telefonnummer „für alle“ voreingestellt hat. Ein Verstoß gegen diese Vorschrift kann zu einem Schadenersatzanspruch iSd Art. 82 DS-GVO führen. Das Gericht teilt nicht die gegenteilige Ansicht, der zufolge es sich in erster Linie um eine organisatorische Verpflichtung handelt. Vielmehr kann aus der Verletzung der sich aus Art. 25 DS-GVO ergebenden Pflichten eine Erhöhung der Gefahr eines Schadens resultieren. Der Bekl. kann sich nicht gem. Art. 82 Abs. 3 DS-GVO, der das Verschulden widerleglich vermutet, exkulpieren. Soweit in der Vorschrift von der Verantwortlichkeit für den Schaden die Rede ist, ist dies iSv Verschulden aufzufassen. Der Anspruchsverpflichtete kann sich daher nur entlasten, indem er beweist, dass er die am Maßstab des Stands der Technik und im Verkehr, dh am allgemeinen Schutzinteresse orientierte erforderliche Sorgfalt iSv § 276 Abs. 2 BGB angewendet hat. Der Begriff des Schadens ist gem. Erwägungsgrund 146 S. 3 DS-GVO weit auf eine Art und Weise auszulegen, die den Zielen dieser Verordnung in vollem Umfang entspricht. Allerdings ist er nicht mit der zugrundeliegenden Rechtsgutsverletzung gleichzusetzen; der bloße Verstoß gegen Bestimmungen der DS-GVO reicht daher nicht aus. Allerdings können auch Bagatellschäden eine Ersatzpflicht hervorrufen. Denn eine Erheblichkeitsschwelle ist weder Art. 82 DS-GVO noch den Erwägungsgründen zu entnehmen. Erwägungsgrund 148 S. 2 sieht lediglich vor, dass (ausnahmsweise) bei geringfügigen Verstößen auf die Verhängung einer Geldbuße verzichtet werden kann. Die Schwere eines Schadens wirkt sich nur iRd Festlegung der Schadenshöhe aus. Deshalb kann ein Schaden auch bereits in einem unguten Gefühl, in der Angst und Besorgnis liegen, dass personenbezogene Daten Unbefugten bekannt geworden sind, wenn die Gefahr besteht, dass die Daten unbefugt weiterverwendet werden. Soweit sich der Kl. auf die Verletzung der Meldepflicht nach Art. 33 DS-GVO gegenüber der zuständigen Aufsichtsbehörde sowie der Pflicht zur Benachrichtigung der betroffenen Person nach Art. 34 DS-GVO beruft, sind zwar auch derartige Verstöße grds. geeignet, Schadenersatzansprüche auszulösen. Vorliegend kann die Verletzung der genannten Gebote indes dahinstehen, da ein daraus resultierender Schaden für den Kl. ist nicht erkennbar ist. Nicht anderes gilt für einen etwaigen Verstoß gegen die Auskunftsverpflichtung. Der Feststellungsantrag ist indessen begründet. Der Kl. hat gem. Art. 82 DS-GVO Anspruch auf Feststellung der Ersatzpflicht der Bekl. für materielle Schäden, die aus dem von der Bekl. nach dem Gesagten mitzuverantwortenden Scraping-Vorfall ggf. entstanden sind oder noch entstehen werden.

LG München I Beschl. v. 30.3.2023 – 4 O 13063/22 = ZD 2023, 558

0 EUR Der Bekl. hatte gegen den Kl. auch keinen Schmerzensgeldanspruch, so dass der Kl. Feststellung verlangen kann, dass der insoweit berühmte Anspruch nicht besteht. Es fehlt bereits an den Voraussetzungen eines Anspruchs aus Art. 82 DS-GVO. Dieser setzt einen, ggf. auch immateriellen, Schaden des Anspruchsstellers voraus. Ein solcher Schaden lag hier aber offensichtlich nicht vor. In der Rspr. ist umstritten, inwieweit Angstgefühle oder Verunsicherung für sich genommen ausreichend sind, um einen Anspruch auf Schadensersatz aus Art. 82 DS-GVO zu begründen. Auf diese Frage kommt es hier jedoch nicht an, weil der Bekl. tatsächlich solche Gefühle auf Grund des Einsatzes eines automatisierten Programms gar nicht gehabt haben kann: Wer gar nicht weiß, welche Websites „in seinem Namen“ besucht werden, kann sich überhaupt nicht individuell Gedanken dazu machen, dass ihm aus der Übertragung seiner IP-Adresse Unannehmlichkeiten entstehen könnten. IÜ wäre ein etwaig doch gegebenener Schadensersatzanspruch aus Art. 82 DS-GVO oder aus § 823 Abs. 1 BGB oder aus anderer Rechtgrundlage auch wegen Rechtsmissbrauch, § 242 BGB ausgeschlossen. Der Bekl. ließ gezielt durch den Crawler Websites aufsuchen, gerade um behauptete Verletzungen seines allgemeinen Persönlichkeitsrechts zu begründen. Es ist aber nicht Sinn und Zweck des allgemeinen Persönlichkeitsrechts oder der Datenschutzvorgaben nach der DS-GVO, Personen eine Erwerbsquelle zu verschaffen wegen behaupteter Verletzungen ihres allgemeinen Persönlichkeitsrechts. Wer einen Verstoß gegen sein Persönlichkeitsrecht gezielt provoziert, um daraus hernach Ansprüche zu begründen, verstößt gegen das Verbot selbstwidersprüchlichen Verhaltens.

LG Bonn Urt. v. 30.3.2023 – 3 O 208/22 = ZD 2023, 638 (Ls.)

0 EUR Die Kl. hat gegen die Bekl. keinen Anspruch auf Zahlung eines Schmerzensgeldes in der geltend gemachten Höhe von 1.000 EUR. Ein solcher Anspruch ergibt sich insb. nicht aus Art. 82 Abs. 1 DS-GVO. Insoweit bedurfte es keiner Entscheidung darüber, ob der Anwendungsbereich des Art. 82 DS-GVO im gegebenen Fall eröffnet ist und ob eine Pflichtverletzung iSd Art. 82 DS-GVO durch Verstoß gegen die Vorschriften der DS-GVO (insb. Art. 322425 Abs. 2333515 DS-GVO) vorliegt, da es jedenfalls an einem ersatzfähigen Schaden der Kl. fehlt. Für einen von der Kl. geltend gemachten immateriellen Schadensersatz in Geld gelten dabei die im Zusammenhang mit § 253 Abs. 2 BGB entwickelten Grundsätze, sodass die Ermittlung des Schadens nach § 287 ZPO dem Gericht obliegt. Der Begriff des Schadens ist jedoch autonom, das heißt iRd DS-GVO nach deren Erwägungsgrund 146 S. 3 im Lichte der Rspr. des EuGH weit und auf eine Art und Weise auszulegen, die den Zielen der Verordnung in vollem Umfang entspricht. Schadenersatzforderungen sollen abschrecken und weitere Verstöße unattraktiv machen. Nach Erwägungsgrund 75 DS-GVO kann ein Schaden dann aus einer Verarbeitung personenbezogener Daten resultieren, wenn diese u. a. zu einer Diskriminierung, einem Identitätsdiebstahl oder -betrug, einem finanziellen Verlust, einer Rufschädigung oder anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen führt. Zusätzlich nennt Erwägungsgrund 85 DS-GVO daneben den Verlust der Kontrolle über personenbezogene Daten. Im Lichte dieser Erwägungen ist die Pflicht aus Art. 82 Abs. 1 DS-GVO zur Erstattung immaterieller Schäden entgegen § 8 Abs. 2 BDSG a. F. nicht nur auf schwere Verletzungen des Persönlichkeitsrechts des Betroffenen beschränkt. Gleichzeitig ist auch ein genereller Ausschluss von Bagatellschäden nicht vertretbar, da die beabsichtigte abschreckende Wirkung für den Anspruchsverpflichteten nur durch empfindliche Schmerzensgelder erreicht werden kann. Ein bloßer Datenschutzverstoß als solcher genügt für das Entstehen eines Schadensersatzanspruchs jedoch nicht, sondern es bedarf darüber hinaus der Darlegung und des Nachweises eines konkreten (auch: immateriellen) Schadens. Für das Erfordernis, neben einem Verstoß gegen die Regelungen der DS-GVO den Eintritt eines konkreten Schadens nachzuweisen, spricht dabei zunächst bereits der Wortlaut von Art. 82 Abs. 1 DS-GVO, der über den Verstoß hinaus ausdrücklich die Entstehung eines Schadens („…Schaden entstanden ist“) voraussetzt. Außerdem sieht Erwägungsgrund 146 S. 6 DS-GVO vor, dass die Betroffenen einen vollständigen und wirksamen Schadensersatz für den „erlittenen“ Schaden erhalten, woraus ebenfalls folgt, dass dem Betroffenen ein spürbarer Nachteil entstanden und eine objektiv nachvollziehbare, mit gewissem Gewicht erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen eingetreten sein muss. Würde man demgegenüber jedes Unwohlsein und jede Sorge unter den Schadensbegriff fassen, so würde dieser überdehnt und eine ausufernde Haftung begründet. Für einen Bagatellverstoß ohne ernsthafte Beeinträchtigung oder für eine bloß individuell empfundene Unannehmlichkeit ist daher ein Schmerzensgeld nicht zu gewähren. Diese Handhabung läuft entgegen der Auffassung der Kl. auch der Präventionsfunktion des Art. 82 DS-GVO und der hierfür erforderlichen Abschreckungswirkung nicht zuwider, da eine Sanktionierung entsprechender Datenschutzrechtsverstöße weiterhin im Wege des Art. 83 DS-GVO möglich bleibt.

LG Bonn Urt. v. 29.3.2023 – 13 O 125/22

250 EUR Scraping-Sachverhalt.

LG Detmold Urt. v. 28.3.2023 – 02 O 85/22 = ZD 2023, 637 (Ls.)

0 EUR Der verfolgte Schmerzensgeldanspruch besteht unter keinem rechtlichen Gesichtspunkt. Ein Anspruch aus Art. 82 Abs. 1 DS-GVO kommt nicht in Betracht. Aus Sicht der Kammer mangelt es bereits an einem Verstoß gegen die DS-GVO wie auch an einem bei der Kl. eingetretenen Schaden. Auch der Anwendungsbereich der DS-GVO ist aus Sicht der Kammer nicht für jeden der geltend gemachten Verstöße eröffnet. Es liegt kein Verstoß gegen Art. 5 Abs. 1 lit. f DS-GVO vor, da die Bekl. nicht gegen die sie treffende Obliegenheit, personenbezogene Daten vor unbefugter oder unrechtmäßiger Verarbeitung zu schützen, verstoßen hat. Ein Verstoß gegen Art. 2432 DS-GVO ist ebenso nicht gegeben. Nach Auffassung der Kammer liegt auch kein Verstoß gegen Art. 25 DS-GVO vor. Soweit die Kl. der Bekl. weitere Verstöße gegen die DS-GVO vorwirft, nämlich ungenügende Information und Aufklärung über die Verarbeitung der sie betreffenden Daten durch ungenügende Aufklärung zur Verwendung und Geheimhaltung der Telefonnummer (Art. 5 Abs. 1 lit. a), einen unmittelbaren Verstoß gegen Art. 1314 DS-GVO, die konkrete Informationspflichten enthalten, die seitens der Bekl. nicht eingehalten worden seien, unvollständige Auskunftserteilung nach Art. 15 DS-GVO, da nicht mitgeteilt worden sei, welchen Empfängern ihre Daten zugänglich gemacht worden seien (Art. 3334 DS-GVO) sind solche Verstöße bereits weder vom Schutzzweck des Art. 82 DS-GVO noch von dessen sachlichen Anwendungsbereich umfasst. Art. 82 Abs. 1 DS-GVO erfasst nur solche Pflichtverstöße, die im Rahmen einer „Verarbeitung“ geschehen, was sich aus dem Wortlaut des Art. 82 Abs. 2 DS-GVO ergibt („durch eine nicht dieser Verordnung entsprechende Verarbeitung“). IÜ fehlt es auch an einem Schaden iSv Art. 82 Abs. 1 DS-GVO. Anders als die Kl. meint, genügt nicht allein der Verstoß gegen die DS-GVO, um einen Ausgleich / eine Kompensation verlangen zu können. Dies widerspricht dem Schadensrecht, unabhängig vom Wortlaut des Art. 82 Abs. 1 DS-GVO. Ein Schadens- und auch Schmerzensgeldanspruch setzt stets einen immateriellen oder materiellen Schaden voraus. Dies lässt sich nach Auffassung der Kammer auch dem Wortlaut des Art. 82 Abs. 1 DS-GVO entnehmen, wonach sowohl ein Verstoß gegen diese (DS-GVO) Verordnung nötig ist, als auch ein daraus resultierender materieller oder immaterieller Schaden. Die Verletzungshandlung muss in jedem Fall zu einer konkreten, nicht nur völlig unbedeutenden oder empfundenen Verletzung von Persönlichkeitsrechten der betroffenen Person geführt haben. Verletzung und Schaden sind nicht gleichzusetzen. Es ist nicht für jede bloß individuell empfundene Unannehmlichkeit ein Schmerzensgeld zu gewähren; vielmehr muss dem Betroffenen ein spürbarer Nachteil entstanden sein und es muss um eine objektiv nachvollziehbare, mit gewissem Gewicht erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen gehen. Allein der Kontrollverlust der Kl. über ihre Daten stellt keinen Schaden dar. Ihre Sorge oder Angst um die verwendeten Daten und die Befürchtung, Opfer von Betrugsfällen oder Identitätsdiebstahl zu werden, kann zwar nicht gemessen werden, ist hierfür jedoch noch nicht ausreichend. Immerhin darf nicht außer Acht gelassen werden, dass jedenfalls Name, F.-ID und Geschlecht von ihr öffentlich bekanntgegeben wurden und damit bereits nicht mehr unter ihrer ausschließlichen Kontrolle standen. Letztlich ist also insoweit überhaupt nicht mehr bekannt geworden als das, was von ihr selbst bereits im Internet veröffentlicht wurde. In Bezug auf die bekannt gewordene Telefonnummer mag ein gewisser Kontrollverlust vorliegen. Ob und inwieweit jedoch der Kontrolle über die Telefonnummer überhaupt ein Wert zukommt, mag bezweifelt werden. IÜ reicht für einen Schadensersatzanspruch ein bloßes Unmutsgefühl nach Auffassung der Kammer nicht aus.

LG Stuttgart Urt. v. 28.3.2023 – 54 O 165/22

600 EUR Dem Kl. steht gegen die Bekl. einen Anspruch auf Schadensersatz iHv 600 EUR aus Art. 82 Abs. 1 DS-GVO zu. Die Anspruchsvoraussetzungen des Art. 82 Abs. 1 DS-GVO sind im Streitfall gegeben. Die Bekl. hat gegen Art. 25 Abs. 2 DS-GVO, gegen Art. 13 Abs. 1 lit. c DS-GVO, gegen Art. 32245 Abs. 1 lit. f DS-GVO, gegen Art. 33 DS-GVO und gegen Art. 34 Abs. 1 DS-GVO verstoßen. Hingegen liegt ein Verstoß gegen Art. 15 DS-GVO nicht vor. Der Klagepartei ist ein immaterieller Schaden entstanden. Die Verstöße gegen die DS-GVO sind auch kausal für den bei dem Kl. entstandenen Schaden. Die Bekl. handelte auch schuldhaft. Die Kl. hat sich auch kein Mitverschulden nach § 254 Abs. 1 BGB anrechnen zu lassen. Infolgedessen steht der Kl. ein immaterieller Schadensersatzanspruch iHv 600 EUR zu.

LG Stuttgart Urt. v. 27.3.2023 – 27 O 100/22 = ZD 2023, 640 (Ls.)

0 EUR Die unbezifferte, lediglich mit einem Mindestbetrag erhobene Leistungsklage ist vor dem Hintergrund der Regelung des Art. 82 Abs. 1 DS-GVO, nach der ausdrücklich ein immaterieller Schadensersatz verlangt werden kann, zulässig. Der Kl. hat keinen Anspruch auf Zahlung eines immateriellen Schadensersatzes aus Art. 82 DS-GVO. Ob die Bekl. gegen die DS-GVO verstoßen hat, kann vorliegend dahingestellt bleiben. Denn selbst einen Verstoß unterstellt, hätte der Kl. keinen kausalen Schaden erlitten. Ob ein Kontrollverlust oder ein (gesteigertes) Unwohlsein überhaupt einen immateriellen Schaden darstellen und ob für das Vorliegen eines Schadens eine spürbare Beeinträchtigung zu fordern ist, ist vorliegend nicht entscheidend. Selbst unterstellt, dies wäre der Fall, müsste der Kl. weiterhin nachweisen, dass ihm in Folge eines Verstoßes gegen die DS-GVO dieser immaterielle Schaden entstanden ist. Die Verletzung der DS-GVO müsste folglich kausal sein für den von ihm behaupteten Schaden. Das anderslautende Verständnis, auf das sich der Kl. beruft und nach dem bereits die Verletzung der DS-GVO selbst zu einem auszugleichenden immateriellen Schaden führe teilt das Gericht nicht. Ein solches Verständnis gibt Art. 82 Abs. 1 DS-GVO nach Auffassung des Gerichts nicht her. Die Regelung setzt damit voraus, dass es auch Verstöße geben kann, die nicht in einem Schaden resultieren. Die Regelung spricht dafür, dass es gerade keinen Gleichklang gibt zwischen einem DS-GVO-Verstoß („Verstoß gegen diese Verordnung“) und dem immateriellen Schaden. Die Kausalität wäre nur dann zu bejahen, wenn der Kl. eine objektiv nachvollziehbare Beeinträchtigung erlitten hätte.

LG München I Endurt. v. 23.3.2023 – 26 O 1859/22 = ZD 2024, 50

0 EUR Der Kl. hat keinen Anspruch auf einen immateriellen Schadenersatz iHv 5.100 EUR gem. Art. 82 Abs. 1 DS-GVO. Denn auch wenn die Bekl., indem sie die Zugangsinformationen für die Fa. … nach Beendigung der vertraglichen Beziehungen nicht änderte und somit gegen Art. 32 Abs. 1 DS-GVO verstieß, so ist dem Kl. doch kein ursächlich auf die streitgegenständlichen Datenvorfälle zurückzuführender, immaterieller Schaden entstanden, der gem. Art. 82 Abs. 1 DS-GVO ersatzfähig wäre. Die Bekl. ist Verantwortliche iSv Art. 82 Abs. 14 Nr. 7 DS-GVO, weil sie Kundendaten iRd Anmeldeprozesses abfragt und in einem Datenarchiv abspeichert. Auch sind die von den streitgegenständlichen Datenvorfällen erfassten Daten personenbezogene Daten iSv Art. 4 Nr. 1 DS-GVO, weil sie den Kl. identifizierbar machen. Allerdings ist dem Kl. durch die streitgegenständlichen Datenvorfälle weder ein immaterieller noch ein materieller Schaden entstanden, der eine Ersatzpflicht nach Art. 82 Abs. 1 DS-GVO auslösen würde. Der Anspruch auf Schadenersatz setzt nach dem ausdrücklichen Wortlaut des Art. 82 Abs. 1 DS-GVO voraus, dass dem Betroffenen „wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist“. Die Darlegungs- und Beweislast dafür tritt – den allgemeinen zivilprozessualen Regeln, dass die klagende Partei grds. die den Anspruch begründenden Umstände beweisen muss – der Kl. Diesen Maßstab zugrunde gelegt, hat der Kl. nicht ausreichend dargetan, dass bei ihm ein materieller oder immaterieller Schaden eingetreten sei. Entgegen der Auffassung des Kl. kann ein Schaden auch nicht allein wegen des Verstoßes der Bekl. gegen Art. 32 DS-GVO angenommen werden, mit der Begründung, dass bereits der Verstoß gegen die DS-GVO an sich einen Schaden iSv Art. 82 Abs. 1 DS-GVO begründe. Aus den gleichen Erwägungen kann der Kl. auch keinen Schadenersatz gem. Art. 82 Abs. 1 DS-GVO wegen eines Verstoßes gegen Art. 34 Abs. 1 DS-GVO geltend machen. Und es kann auch dahingestellt bleiben, ob Art. 34 DS-GVO überhaupt in den Schutzbereich des Art. 82 Abs. 1 DS-GVO fällt. Demgegenüber erweist sich der Antrag auf Feststellung einer Ersatzpflicht für etwaige künftige materielle Schäden auf Grund der beiden Datenvorfälle vom August und Oktober 2020 gem. Art. 82 Abs. 1 DS-GVO als begründet. Wie oben ausgeführt, hat die Bekl. als Verantwortliche schuldhaft gegen Art. 32 Abs. 1 DS-GVO verstoßen. Erleidet der Kl. in Zukunft materielle Schäden durch den unbefugten Zugriff Dritter auf das Datenarchiv der Bekl., die damit kausal zu dem Verstoß der Bekl. gegen Art. 32 DS-GVO sind, so steht ihm gegen die Bekl. ein Schadensersatzanspruch gem. Art. 82 Abs. 1 DS-GVO zu. Die Möglichkeit des Eintritts materieller Schäden besteht und ist auch nicht gänzlich auszuschließen, weil die Daten des Kl. noch immer „verloren“ sind und damit potenziell missbraucht werden können. Auch wenn der Datenabgriff bereits im Jahr 2020 stattfand, ist unter dem Gesichtspunkt „Das Internet vergisst nicht“ nicht auszuschließen, dass die personenbezogenen Daten des Kl., die über den Datenvorfall erlangt wurden, in Zukunft missbraucht werden und so zu einem Schaden bei dem Kl. führen, zumal ein nicht unerheblicher Bestandteil an personenbezogenen Daten des Kl. betroffen ist.

LG Oldenburg Urt. v. 22.3.2023 – 5 O 1809/22

0 EUR Der Kl. hat entgegen seiner ihm nach § 138 Abs. 1 ZPO obliegenden Darlegungslast schon nicht ausreichend dargetan, dass er mit seinen bei … eingegebenen Daten persönlich von dem Scraping-Vorfall betroffen ist. Seine Darlegung beschränkt sich darauf, allgemein zu behaupten, dass ein Datensatz mit …Profilen von Nutzern veröffentlicht worden sei, welche die Mobilfunknummer und einige der Informationen wie Name, …ID, den Wohnort, Geburtsdatum und/oder Geburtsort, E-­Mail-Adresse beinhalte, und die Klagepartei nach einer eigenen Recherche festgestellt habe, dass mindestens eine Information von ihr (die Telefonnummer) im vorbenannten Datensatz enthalten ist und diese nunmehr öffentlich verfügbar und widerrechtlich zugänglich gemacht worden sei. Der Kl. sei also ein/e vom „Datenleck“ betroffene/r Nutzer/in.

LG München I Urt. v. 22.3.2023 – 26 O 1037/21 = MMR 2023, 602

0 EUR Dem Kl. steht auch kein Anspruch auf Schadensersatz oder Geldentschädigung nach Art. 82 Abs. 1 DS-GVO zu. Voraussetzung für einen Anspruch auf Ersatz materieller und immaterieller Schäden ist danach ein Verstoß gegen die DS-GVO. Ein solcher wurde nicht festgestellt. Auf die weiteren Voraussetzungen eines materiellen oder immateriellen Schadensersatzanspruchs kommt es daher schon nicht mehr an. Dem Kl. stehen mangels Verstoß gegen die DS-GVO keine Ansprüche zu. Dasselbe gilt für den geltend gemachte Anspruch auf Ersatz außergerichtlicher Rechtsanwaltskosten. Mangels Pflichtverletzung der Bekl. scheidet auch ein solcher Anspruch ebenfalls aus.

LG Frankfurt/M. Urt. v. 21.3.2023 – 2-18 O 114/22

500 EUR Der Klageantrag zu 1 ist hinreichend bestimmt. Der Antrag auf Zahlung eines in das Ermessen des Gerichts gestellten unbezifferten Betrages begegnet angesichts des begehrten Ersatzes für immaterielle Schäden keinen Bedenken. Der Kl. hat gegen die Bekl. einen Anspruch auf Schadensersatz gem. Art. 82 Abs. 1 DS-GVO iHv 500 EUR und kann die begehrte Feststellung der Ersatzpflicht für weitere künftige Schäden verlangen. Die Bekl. hat bei der Verarbeitung der klägerischen Daten zur Überzeugung des Gerichts diverse Verstöße gegen die DS-GVO begangen. Die Bekl. hat gegen Art. 13 Abs. 1 lit. c DS-GVO verstoßen. Die Verletzung des Art. 13 DS-GVO führt auch zu einer grundsätzlichen Ersatzpflicht nach Art. 82 DS-GVO, da sie im vorliegenden Fall unmittelbar auf die Rechtmäßigkeit der Datenerhebung ausstrahlt. Zwar ist bei einem Verstoß gegen Art. 13 Abs. 1 DS-GVO die Datenerhebung nicht zwangsläufig auch rechtswidrig; vielmehr kommt es auf eine Einzelfallbetrachtung an. Die Bekl. hat zudem gegen Art. 32 Abs. 1 DS-GVO verstoßen. Die Verletzung von Art. 32 DS-GVO ist vom Schutzbereich des Art.