CHB_RSW_Logo_mit_Welle_trans
Zeitschrift für Datenschutz | Banner

Übersicht über den Schadensersatzanspruch nach Art. 82 DS-GVO im Jahr 2023

Dr. Kevin Leibold, LL. M., ist Rechtsanwalt; auf Twitter/X unter: @kleibold23.

ZD-Aktuell 2024, 01763   Hier findet sich eine von Dr. Kevin Leibold, LL. M., erstellte Übersicht über den Schadensersatzanspruch nach Art. 82 DS-GVO ab dem Jahr 2023 mit dem Stand vom 8.6.2024.

Die Vielzahl der Gerichtsentscheidungen hat es erforderlich gemacht, den Inhalt der Entscheidungen auf ein notwendiges Maß zu reduzieren und sich auf die Verwendung von Stichworten zu beschränken. Die Stichworte sollen als Anhaltspunkt für weitere Recherchen zu der jeweiligen Entscheidung dienen.

Vgl. zum Schadensersatzanspruch nach Art. 82 DS-GVO auch folgende Übersichten:

• Übersicht über den Schadensersatzanspruch nach Art. 82 DS-GVO im Jahr 2024, ZD-Aktuell 2024, 01762

• Übersicht über den Schadensersatzanspruch nach Art. 82 DS-GVO im Zeitraum 2018-2022 – Update, ZD-Aktuell 2024, 01764

• Übersicht über den Schadensersatzanspruch nach Art. 82 DS-GVO im Zeitraum 2018-2022 – Update, ZD-Aktuell 2024, 01532

• Übersicht über den Schadensersatzanspruch nach Art. 82 DS-GVO – im Zeitraum 2018-2022, ZD-Aktuell 2023, 01194

• Übersicht über den Schadensersatzanspruch nach Art. 82 DS-GVO beim Scraping, ZD-Aktuell 2023, 01195

Gericht

Schadensumfang und Begründung

EuGH

 

EuGH (3. Kammer) Urt. v. 21.12.2023 – C-667/21 = ZD 2024, 146 – Krankenversicherung Nordrhein

4. Art. 82 Abs. 1 DS-GVO ist dahin auszulegen, dass der in dieser Bestimmung vorgesehene Schadenersatzanspruch eine Ausgleichsfunktion hat, da eine auf diese Bestimmung gestützte Entschädigung in Geld ermöglichen soll, den konkret aufgrund des Verstoßes gegen diese Verordnung erlittenen Schaden vollständig zu ersetzen, und keine abschreckende oder Straffunktion erfüllt.

5. Art. 82 DS-GVO ist dahin auszulegen, dass zum einen die Haftung des Verantwortlichen vom Vorliegen eines ihm anzulastenden Verschuldens abhängt, das vermutet wird, wenn er nicht nachweist, dass die Handlung, die den Schaden verursacht hat, ihm nicht zurechenbar ist, und dass Art. 82 zum anderen nicht verlangt, dass der Grad dieses Verschuldens bei der Bemessung der Höhe des als Entschädigung für einen immateriellen Schaden auf der Grundlage dieser Bestimmung gewährten Schadenersatzes berücksichtigt wird.

EuGH (3. Kammer) Urt. v. 14.12.2023 – C-456/22 = ZD 2024, 208 – Gemeinde Ummendorf

Art. 82 Abs. 1 DS-GVO ist dahin auszulegen, dass er einer nationalen Rechtsvorschrift oder -praxis entgegensteht, die für einen durch einen Verstoß gegen diese Verordnung verursachten immateriellen Schaden eine „Bagatellgrenze“ vorsieht. Die betroffene Person muss den Nachweis erbringen, dass die Folgen dieses Verstoßes, die sie erlitten zu haben behauptet, ursächlich für einen Schaden waren, der sich von der bloßen Verletzung der Bestimmungen dieser Verordnung unterscheidet.

EuGH (3. Kammer) Urt. v. 14.12.2023 – C-340/21 = ZD 2024, 150 mAnm Ligocki/Sosna- Natsionalna agentsia za prihodite

5. Art. 82 Abs. 3 DS-GVO ist dahin auszulegen, dass der Verantwortliche von seiner nach Art. 82 Abs. 1 und 2 dieser Verordnung bestehenden Pflicht zum Ersatz des einer Person entstandenen Schadens nicht allein deshalb befreit werden kann, weil dieser Schaden die Folge einer unbefugten Offenlegung von bzw. eines unbefugten Zugangs zu personenbezogenen Daten durch „Dritte“ iSv Art. 4 Ziff. 10 DS-GVO ist, wobei der Verantwortliche dann nachweisen muss, dass er in keinerlei Hinsicht für den Umstand, durch den der betreffende Schaden eingetreten ist, verantwortlich ist.

6. Art. 82 Abs. 1 DS-GVO ist dahin auszulegen, dass allein der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen diese Verordnung befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, einen „immateriellen Schaden“ im Sinne dieser Bestimmung darstellen kann.

EuGH (3. Kammer) Urt. v. 4.5.2023 – C-300/21 –= ZD 2023, 446 mAnm Mekat/Ligocki] – Österreichische Post

0 EUR Art. 82 Abs. 1 DS-GVO ist dahin auszulegen, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadenersatzanspruch zu begründen. Art. 82 Abs. 1 DS-GVO ist dahin auszulegen, dass er einer nationalen Regelung oder Praxis entgegensteht, die den Ersatz eines immateriellen Schadens iSd Bestimmung davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat. Art. 82 DS-GVO ist dahin auszulegen, dass die nationalen Gerichte bei der Festsetzung der Höhe des Schadenersatzes, der aufgrund des in diesem Artikel verankerten Schadenersatzanspruchs geschuldet wird, die innerstaatlichen Vorschriften der einzelnen Mitgliedstaaten über den Umfang der finanziellen Entschädigung anzuwenden haben, sofern die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität beachtet werden.

BGH

 

BGH Beschl. v. 12.12.2023 – VI ZR 277/22 = ZD 2024, 278

0 EUR So hat sich der Senat auch mit dem Vorbringen in der Nichtzulassungsbeschwerdebegründung befasst, das Berufungsgericht sei von einer zu hohen Schwelle in Bezug auf die Darlegungslast bei immateriellen Schäden nach Art. 82 DS-GVO ausgegangen, ohne sich mit dem diesbezüglichen Meinungsstreit sowie den beim EuGH hierzu anhängigen Vorabentscheidungsverfahren auseinanderzusetzen und das Berufungsverfahren ggf. auszusetzen. Die Kl. hat insoweit die Zulassungsgründe der Verletzung des Anspruchs auf Gewährung rechtlichen Gehörs sowie der Rechtsfortbildung geltend gemacht und die Auffassung vertreten, der Senat müsse ggf. selbst die Frage dem EuGH zur Vorabentscheidung vorlegen oder das Verfahren bis zur Entscheidung des EuGH in anderen Vorabentscheidungsverfahren aussetzen. Der Senat hat das Urteil des EuGH v. 4.5.2023 – C-300/21 [= ZD 2023, 446 mAnm Mekat/Ligocki] – Österreichische Post abgewartet und in seine Entscheidung über die Nichtzulassungsbeschwerde einbezogen. Nach dem genannten Urteil ist Art. 82 Abs. 1 DS-GVO dahin auszulegen, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadenersatzanspruch zu begründen, sondern dass darüber hinaus der Eintritt eines Schadens erforderlich ist. Weiter hat der EuGH ausgeführt, dass Art. 82 Abs. 1 DS-GVO einer nationalen Regelung oder Praxis entgegensteht, die den Ersatz eines immateriellen Schadens iSd Bestimmung davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat. Allerdings hat der EuGH auch erklärt, dass die Ablehnung einer Erheblichkeitsschwelle nicht bedeutet, dass eine Person, die von einem Verstoß gegen die DS-GVO betroffen ist, der für sie negative Folgen gehabt hat, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden iSv Art. 82 DS-GVO darstellen. Auch wenn damit noch nicht alle Fragen geklärt sind, wie etwa die Frage, ob negative Gefühle, wie z. B. Ärger, Unmut, Unzufriedenheit, Sorgen und Ängste, bereits einen immateriellen Schaden iSd Norm darstellen, so steht doch inzwischen fest, dass der Betroffene, der Ersatz des immateriellen Schadens verlangt, jedenfalls geltend machen (und ggf. nachweisen) muss, dass der Verstoß gegen die DS-GVO negative Folgen für ihn gehabt hat, die einen immateriellen Schaden darstellen könnten. Diese negativen Folgen muss er also zumindest benennen, wie dies etwa der Kl. in dem dem Vorlagebeschluss des Senats v. 26.9.2023 – VI ZR 97/22 [= ZD 2024, 90 ] zugrunde liegenden Verfahren getan hat. Nach diesem Maßstab war es zulassungsrechtlich nicht zu beanstanden, dass das Berufungsgericht Vortrag der Kl. zu negativen Folgen, die einen immateriellen Schaden darstellen könnten, in den von ihm insoweit erwähnten Schriftsatz oder in den Erklärungen in der mündlichen Verhandlung nicht gesehen hat. Die Kl. hat ihre Klageerweiterung auf Schadensersatz „in angemessener Höhe, jedoch nicht unter 50.000 EUR", der Sache nach mit materiellen – wirtschaftlichen – Nachteilen begründet, die mit entsprechenden wirtschaftlichen Vorteilen für die Bekl. korrespondiert haben sollen und die sie mangels Kenntnis der Mails, die auf dem streitgegenständlichen E-­Mail-Account eingegangen seien, nicht beziffern könne. Negative Folgen, die eventuell einen (vom EuGH noch nicht näher definierten) immateriellen Schaden begründen könnten, enthält weder der Schriftsatz noch sind sie aus dem Sitzungsprotokoll ersichtlich; jedenfalls hat die Nichtzulassungsbeschwerde nicht aufgezeigt, dass und an welcher Stelle diesbezüglicher Vortrag gehalten und vom Berufungsgericht übergangen worden sein soll. Der Vortrag zu negativen Folgen immaterieller Art erst in der Nichtzulassungsbeschwerdebegründung vermochte eine Gehörsverletzung seitens des Berufungsgerichts nicht zu begründen.

BGH Beschl. v. 26.9.2023 – VI ZR 97/22 = ZD 2024, 80

0 EUR In seiner Entscheidung v. 4.5.2023 in der Rs. C-300/21 [= ZD 2023, 446 mAnm Mekat/Ligocki] – Österreichische Post hat der EuGH ausgeführt, dass Art. 82 Abs. 1 DS-GVO dahin auszulegen ist, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadenersatzanspruch zu begründen, sondern darüber hinaus der Eintritt eines Schadens erforderlich ist. Er hat weiter ausgeführt, dass Art. 82 Abs. 1 DS-GVO einer nationalen Regelung oder Praxis entgegensteht, die den Ersatz eines immateriellen Schadens iSd Bestimmung davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat. Allerdings hat der EuGH auch erklärt, dass die Ablehnung einer Erheblichkeitsschwelle nicht bedeutet, dass eine Person, die von einem Verstoß gegen die DS-GVO betroffen ist, der für sie negative Folgen gehabt hat, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden iSv Art. 82 DS-GVO darstellen. Der EuGH hat zur Auslegung von Art. 82 DS-GVO darüber hinaus u. a. auf die Erwägungsgründe 75 und 85 Bezug genommen. Darin wird der Begriff des Schadens konkretisiert durch einzeln aufgeführte Beispiele "oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person". Angesichts des im Streitfall vorliegenden Verstoßes gegen die DS-GVO und der von dem Betroffenen geltend gemachten Folgen, nämlich der Befürchtung der Weitergabe der Daten an in der gleichen Branche tätige Dritte, Kenntnis einer Person über Umstände, die der Diskretion unterliegen, Schmach wegen des Unterliegens in Gehaltsverhandlungen und der Kenntnis Dritter davon, stellt sich vor diesem Hintergrund die entscheidungserhebliche, über den Einzelfall hinaus bedeutsame und vom EuGH noch nicht geklärte Frage, ob Art. 82 Abs. 1 DS-GVO dahingehend auszulegen ist, dass derartige negative Gefühle, wie zB auch Ärger, Unmut, Unzufriedenheit, Sorge und Ängste vor weiteren Verstößen, Sorge vor einer Rufschädigung, die an sich Teil des allgemeinen Lebensrisikos und oft des täglichen Erlebens sind, bereits einen immateriellen Schaden iSd Norm darstellen. Weder Art. 82 DS-GVO noch die Erwägungsgründe zum Schadensersatz liefern eine eindeutige Antwort auf diese Frage. In seiner Entscheidung v. 4.5.2023 in der Rs. C-300/21 [= ZD 2023, 446 mAnm Mekat/Ligocki] – Österreichische Post hat der EuGH ausgeführt, dass die DS-GVO keine Bestimmung enthält, die sich den Regeln für die Bemessung des Schadenersatzes widmet, auf den eine betroffene Person iSv Art. 4 Ziff. 1 DS-GVO nach deren Art. 82 DS-GVO Anspruch hat, wenn ihr durch einen Verstoß gegen diese Verordnung ein Schaden entstanden ist. Daher seien die Ausgestaltung von Klageverfahren, die den Schutz der dem Einzelnen aus Art. 82 DS-GVO erwachsenden Rechte gewährleisten sollen, und insb. die Festlegung der Kriterien für die Ermittlung des Umfangs des in diesem Rahmen geschuldeten Schadenersatzes in Ermangelung einschlägiger unionsrechtlicher Vorschriften Aufgabe des Rechts des einzelnen Mitgliedstaats, wobei der Äquivalenz- und der Effektivitätsgrundsatz zu beachten seien. Was den Effektivitätsgrundsatz betrifft, hat der EuGH ausgeführt, dass es Sache der nationalen Gerichte ist, festzustellen, ob die im nationalen Recht vorgesehenen Modalitäten für die gerichtliche Festsetzung des Schadenersatzes, der aufgrund des in Art. 82 DS-GVO verankerten Schadenersatzanspruchs geschuldet wird, die Ausübung der durch das Unionsrecht und insb. durch diese Verordnung verliehenen Rechte nicht praktisch unmöglich machen oder übermäßig erschweren. Er hat in diesem Zusammenhang darauf hingewiesen, dass Erwägungsgrund 146 S. 6 DS-GVO besagt, dass dieses Instrument einen „vollständigen und wirksamen Schadenersatz für den erlittenen Schaden" sicherstellen soll und in Anbetracht der Ausgleichsfunktion des in Art. 82 DS-GVO vorgesehenen Schadenersatzanspruchs eine auf diese Bestimmung gestützte finanzielle Entschädigung als „vollständig und wirksam" anzusehen ist, wenn sie es ermöglicht, den aufgrund des Verstoßes gegen diese Verordnung konkret erlittenen Schaden in vollem Umfang auszugleichen, ohne dass ein solcher vollumfänglicher Ausgleich die Verhängung von Strafschadenersatz erfordert. Damit erscheint aber noch nicht hinreichend geklärt, ob bei der Bemessung der Höhe des nach Art. 82 Abs. 1 DS-GVO zu ersetzenden immateriellen Schadens der Grad des dem Verstoß gegen die DS-GVO zugrundeliegenden Verschuldens als relevantes Kriterium herangezogen werden dar. Nach nationalem Recht ist, wenn das Gesetz eine billige Entschädigung in Geld für immaterielle Schäden vorsieht (Schmerzensgeld), bei der Bemessung der Entschädigung zu berücksichtigen, dass das Schmerzensgeld eine doppelte Funktion hat: Es soll dem Geschädigten einen angemessenen Ausgleich bieten für diejenigen Schäden, die nicht vermögensrechtlicher Art sind (Ausgleichsfunktion). Es soll aber zugleich dem Gedanken Rechnung tragen, dass der Schädiger dem Geschädigten für das, was er ihm angetan hat, Genugtuung schuldet (Genugtuungsfunktion, stRspr zu § 253 BGB). Dabei steht zwar regelmäßig der Ausgleichsgedanke im Vordergrund. Da das Gesetz jedoch eine billige Entschädigung fordert, kann der Ausgleichszweck nicht allein maßgebend für das Ausmaß der Leistung sein. Das alleinige Abstellen auf den Ausgleichsgedanken ist unmöglich, weil sich immaterielle Schäden nicht und Ausgleichsmöglichkeiten nur beschränkt in Geld ausdrücken lassen. Die Genugtuungsfunktion bringt eine durch den Schadensfall hervorgerufene persönliche Beziehung zwischen Schädiger und Geschädigtem zum Ausdruck, die es aus der Natur der Sache heraus gebietet, alle Umstände des Falles in den Blick zu nehmen und, sofern sie dem einzelnen Schadensfall sein besonderes Gepräge geben, bei der Bestimmung der Leistung zu berücksichtigen. Zu diesen Umständen gehört auch der Grad des Verschuldens des Schädigers. Nach diesen Grundsätzen kommt nach Ansicht des Senats eine Berücksichtigung des Verschuldens bei der Bemessung der Höhe des nach Art. 82 Abs. 1 DS-GVO wegen eines erlittenen immateriellen Schadens zu leistenden Schadensersatzes unter Berücksichtigung des Effektivitätsgrundsatzes dann in Betracht, wenn diesem Schadensersatz auch eine Genugtuungsfunktion – die nach nationalem Rechtsverständnis nicht der Rechtfertigung eines Strafschadensersatzes dient – in vergleichbarer Weise wie dem Schmerzensgeld zukommt. Die Schlussanträge des GA v. 6.10.2022 in der Rs. C-300/21 deuten darauf hin, dass dies der Fall sein könnte. Allerdings hat der GA in seinen Schlussanträgen v. 25.5.2023 in der Rs. C-667/21 seine Auffassung, dass der Grad des Verschuldens für die Bemessung der Höhe des nach Art. 82 Abs. 1 DS-GVO zu ersetzenden immateriellen Schadens nicht von Bedeutung ist, u. a. damit begründet, dass der Schadensersatz „vollständig" sein müsse. Ist dem Kl. im Streitfall ein Unterlassungsanspruch auf unions- oder nationalrechtlicher Grundlage zuzusprechen, stellt sich die Frage, ob dieser Umstand bei der Bemessung der Höhe des immateriellen Schadensersatzes nach Art. 82 Abs. 1 DS-GVO – anspruchsmindernd – berücksichtigt werden kann. Nach dem nationalen Recht ist bei der Bemessung einer Geldentschädigung für ideelle Beeinträchtigungen bei der gebotenen Gesamtwürdigung auch ein erwirkter Unterlassungstitel zu berücksichtigen; der Titel und die damit verbundenen Vollstreckungsmöglichkeiten können den Geldentschädigungsanspruch beeinflussen und im Zweifel sogar ausschließen. Ob und ggf. inwieweit (nur Minderung oder auch völliger Ausschluss möglich?) diese Grundsätze bei Berücksichtigung des Effektivitätsgrundsatzes auf den Anspruch auf Ersatz immateriellen Schadens nach Art. 82 Abs. 1 DS-GVO übertragen werden können, erscheint fraglich und lässt sich anhand der bisherigen Rspr. des EuGH nicht eindeutig beantworten.

BGH Beschl. v. 9.1.2023 – VI ZR 365/22

0 EUR Die Kl. nimmt die beklagte Bundesrepublik Deutschland auf Schadensersatz in Anspruch. Das LG hat die Klage abgewiesen.

Oberlandesgerichte

 

OLG Hamburg Urt. v. 10.1.2024 – 13 U 70/23 = ZD 2024, 347

4.498,57 EUR Der Kl. hat gegen die Bekl. Anspruch auf Ersatz immateriellen Schadens gem. Art. 82 Abs. 1, Abs. 2 S. 1 DS-GVO iHv insgesamt 4.000 EUR. Die Bekl. hat als „Verantwortlicher" iSd. Art. 4 Ziff. 7 DS-GVO gegen ihre Pflichten aus Art. 56 iVm Art. 4 Ziff. 2 DS-GVO verstoßen, indem sie ihre Forderungen gegen den Kl. zweimal an die SCHUFA gemeldet hat, obwohl die Voraussetzungen hierfür nicht vorlagen. Zur Begründung wird auf die zutreffenden Ausführungen des Landgerichts Bezug genommen, welchen sich das Berufungsgericht vollen Umfangs anschließt. Hierdurch ist dem Kl. auch ein ersatzfähiger

immaterieller Schaden entstanden. Das LG hat sorgfältig und überzeugend begründet, dass der Kl. durch die zweifache unberechtigte Meldung an die Schufa eine Beeinträchtigung seines sozialen Ansehens durch die

Darstellung als unzuverlässiger Schuldner hinnehmen musste. Der Kl. hat zudem belegt, dass sich aus der Auskunft der Schufa und der verschlechterten Einschätzung des Bonitätsrisikos konkrete negative Konsequenzen in Bezug auf die Gewährung eines Kredits sowie die Sperrung seiner Kreditkarte ergeben haben.

OLG Hamm Beschl. v. 21.12.2023 – 7 U 137/23 = ZD 2024, 464

0 EUR Mit Blick auf den vorliegend fehlenden kausalen immateriellen Schaden folgen die Ausführungen im Hinweisbeschluss des Senats der Rspr. des EuGH (Urt. v. 14.12.2023 – C-340/21 [= ZD 2024, 150 mAnm Ligocki/Sosna]). Danach hat der Kl. als Person, die von einem Verstoß gegen die DS-GVO betroffen ist, der für sie negative Folgen gehabt hat, nachzuweisen, dass diese Folgen einen immateriellen Schaden iSv Art. 82 DS-GVO darstellen. Dem folgend sieht der Senat somit den Kl. zutreffend in der Pflicht, den Indizienbeweis zum Eintritt eines kausalen immateriellen Schadens zu führen. Indem der Senat sich mit den vom Kl. dargelegten Indizien befasst und diese (hier als nicht den Eintritt eines kausalen immateriellen Schadens tragend) würdigt, setzt der Senat schlicht die weitere Vorgabe des EuGH um; denn danach ist das angerufene nationale Gericht, wenn sich eine Person auf die Befürchtung beruft, dass ihre personenbezogenen Daten in Zukunft aufgrund eines solchen Verstoßes missbräuchlich verwendet werden, gehalten zu prüfen, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann. Mit Blick auf das Tatbestandsmerkmal „Eintritt eines kausalen immateriellen Schadens“ iSd Art. 82 Abs. 1 DS-GVO bietet der vorliegende Einzelfall keinen Anhaltspunkt für die Annahme einer weiteren klärungsbedürftigen und klärungsfähigen Rechtsfrage; vielmehr ist die streitgegenständliche Rechtsfrage zur fehlenden Qualität der negativen Folge eines bloßen Kontrollverlusts als immaterieller Schaden durch die aufgezeigten aktuellen Entscheidungen des EuGH geklärt.

OLG München Entscheidung v. 13.12.2023 – 31 U 1786/23e = ZD 2024, 402

0 EUR Eine Aussetzung des Verfahrens (analog) § 148 ZPO im Hinblick auf den Vorlagebeschluss des BGH v. 26.9.2023 im Verfahren mit dem Az. VI ZR 97/22 ist nicht veranlasst. Die dortige Vorlagefrage Ziff. 4 ist wie folgt formuliert: „Ist Art. 82 Abs. 1 DS-GVO dahingehend auszulegen, dass für die Annahme eines immateriellen Schadens im Sinne dieser Bestimmung bloße negative Gefühle wie zB Ärger, Unmut, Unzufriedenheit, Sorge und Angst, die an sich Teil des allgemeinen Lebensrisikos und oft des täglichen Erlebens sind, genügen? Oder ist für die Annahme eines Schadens ein über diese Gefühle hinausgehender Nachteil für die betroffene natürliche Person erforderlich?“ Diese Frage knüpft an die Entscheidung des EuGH v. 4.5.2023 in der Rs. C-300/21 [= ZD 2023, 446 mAnm Mekat/Ligocki] – Österreichische Post an, in der der EuGH ausgeführt hat, dass Art. 82 Abs. 1 DS-GVO dahin auszulegen sei, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreiche, um einen Schadenersatzanspruch zu begründen, sondern darüber hinaus der Eintritt eines konkreten Schadens erforderlich sei. Weiter hat der EuGH ausgeführt, dass Art. 82 Abs. 1 DS-GVO einer nationalen Regelung oder Praxis entgegenstehe, die den Ersatz eines immateriellen Schadens iSd Bestimmung davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat. Allerdings hat der EuGH auch erklärt, dass die Ablehnung einer Erheblichkeitsschwelle nicht bedeute, dass eine Person, die von einem Verstoß gegen die DS-GVO betroffen ist, der für sie negative Folgen gehabt hat, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden iSv Art. 82 DS-GVO darstellen. Der dem Vorlagebeschluss des BGH zugrundeliegende Sachverhalt ist allerdings eine spezielle Konstellation, die sich von dem hier zugrundeliegenden Sachverhalt unterscheidet. Im dortigen Fall ging es um Weitergabe von personenbezogenen Daten iRe Bewerbungsprozesses über das Online-Portal X., in dessen Zuge eine Mitarbeiterin der dortigen Bekl. über den Messenger-Dienst des Portals eine nur für den dortigen Kl. bestimmte Nachricht auch an eine dritte, nicht am Bewerbungsprozess beteiligte Person versandt hatte. Der BGH formulierte seine Vorlagefrage in Bezug auf die „Befürchtung der Weitergabe der Daten an in der gleichen Branche tätige Dritte, Kenntnis einer Person über Umstände, die der Diskretion unterliegen, Schmach wegen des Unterliegens in Gehaltsverhandlungen und der Kenntnis Dritter davon“. Das ist mit der hiesigen Sachverhaltskonstellation nicht zu vergleichen. Entscheidungserheblich ist iÜ, dass vorliegend die Kausalität zwischen dem Datenvorfall und der behaupteten großen Zahl von erhaltenen E-­Mails, Nachrichten und Anrufen nicht feststeht. Es ist nämlich unstreitig geblieben, dass der Kl. bei mindestens drei weiteren (früheren) Gelegenheiten Opfer eines „Datenvorfalls“ wurde, bei dem sein Vor- und Nachname, die E-­Mail-Adresse sowie die Telefonnummer abgegriffen wurden. Dem Umstand, dass der Kl. befürchtet, er könne in der Zukunft Opfer eines konkreten Missbrauchs seiner Daten werden, trägt das angefochtene Urteil insoweit Rechnung, als es die Verpflichtung der Bekl. feststellt, dem Kl. etwaige künftige materielle Schäden zu ersetzen, die ihm durch den unbefugten Zugriff Dritter auf das Datenarchiv der Bekl. entstanden sind.

NEU OLG Dresden Urt. v. 12.12.2023 – 4 U 1049/23

0 EUR Einen Schadensersatzanspruch kann der Kl. auch nicht mit Erfolg auf Art. 82 DS-GVO stützen. Dieser hängt von einer Verarbeitung personenbezogener Daten unter Verstoß gegen die Bestimmungen der DS-GVO ab. Erforderlich ist daneben ein Kausalzusammenhang zwischen der rechtswidrigen Verarbeitung und einem konkreten Schaden. Für einen immateriellen Schaden besteht ein Nachweiserfordernis durch die betroffene Person. Der Schaden muss tatsächlich und sicher entstanden sein. Dazu ist – wie bereits ausgeführt – nichts vorgetragen worden. Der bloße Datenverlust stellt keinen Schaden dar. Der Kontrollverlust über die Daten stellt keinen immateriellen Schaden iSv Art. 82 DS-GVO dar.

OLG Köln Urt. v. 7.12.2023 – 15 U 108/23 = ZD 2024, 240 (Ls.)

0 EUR Scraping-Sachverhalt. Wie OLG Köln Urt. v. 7.12.2023 – 15 U 33/23 [= ZD 2024, 465].

OLG Köln Urt. v. 7.12.2023 – 15 U 99/23 = ZD 2024, 462

0 EUR Scraping-Sachverhalt. Wie OLG Köln Urt. v. 7.12.2023 – 15 U 33/23 [= ZD 2024, 465].

OLG Köln Urt. v. 7.12.2023 – 15 U 67/23 = ZD 2024, 180 (Ls.)

0 EUR Scraping-Sachverhalt. Wie OLG Köln Urt. v. 7.12.2023 – 15 U 33/23 [= ZD 2024, 465].

OLG Köln Urt. v. 7.12.2023 – 15 U 33/23 = ZD 2024, 465

0 EUR Der Antrag ist unbegründet, da dem Kl. der geltend gemachte Schadensersatz weder aus Art. 82 Abs. 1 DS-GVO noch aus einer anderen Anspruchsgrundlage zusteht. Der Bekl. dürften darüber hinaus auch Verstöße gegen Art. 5 Abs. 1 lit. b, 25 Abs. 2, Art. 32 Abs. 1 DS-GVO vorzuwerfen sein, weil sie keine geeigneten technischen und organisatorischen Maßnahmen getroffen hat, die sicherstellen konnten, dass durch die von ihr gewählten Voreinstellungen iRd Suchbarkeit des Profils mithilfe der Telefonnummer und das Zur-Verfügung-Stellen des CIT nur solche personenbezogenen Daten des Kl. verarbeitet wurden, die für den jeweiligen bestimmten Verarbeitungszweck erforderlich waren. Weiter dürfte durch die unterlassene bzw. verspätete Meldung des Vorfalls ggü. dem Kl. und der irischen Datenschutzbehörde auch ein Verstoß gegen Art. 33 Abs. 1 bzw. Art. 34 Abs. 1 DS-GVO vorliegen. Ob und welche Verstöße der Bekl. gegen die DS-GVO vorzuwerfen sind, kann an dieser Stelle allerdings letztlich offen bleiben. Denn es ist aus prozessualen Gründen davon auszugehen, dass dem Kl. jedenfalls kein immaterieller Schaden durch diese – insofern zu seinen Gunsten als vorliegend unterstellten – Datenschutzverstöße der Bekl. entstanden ist. In Bezug auf die sich aus Art. 82 DS-GVO grds. ergebenden Vorgaben für die Zuerkennung von Schadensersatzansprüchen wegen immaterieller Schäden verweist der Senat auf die Ausführungen in den Urteilen der OLG Hamm v. 15.8.2023 – 7 U 19/23 [= ZD 2024, 36] – und Stuttgart v. 22.11.2023 – 4 U 20/23 [= ZD 2024, 60 (Ls.)]. Diesen Anforderungen genügt das Klägervorbringen nicht. Der Kl. macht geltend, dass er durch den Scraping-Vorfall einen Kontrollverlust erlitten habe, dass er Angst, Unwohlsein, Misstrauen und Sorge empfinde sowie durch Anrufe, SMS und E-­Mails belästigt werde. Daneben habe er eine Komfort- und Zeiteinbuße erlitten, weil er sich mit den Folgen des Datenlecks habe auseinandersetzen müssen, und er habe Zeit und Mühe aufgewendet, um sich vor drohendem (weiteren) Missbrauch zu schützen. Mit diesen Angaben rügt der Kl. zwar mehr als einen bloßen Verstoß der Bekl. gegen die Vorschriften der DS-GVO. Sein Vortrag reicht jedoch nicht aus, um einen bei ihm entstandenen immateriellen Schaden iSv Art. 82 Abs. 1 DS-GVO anzunehmen, der nach der Rspr. des EuGH nicht nach dem Recht der Mitgliedstaaten, sondern als autonomer Begriff des Unionsrechts einheitlich unionsrechtlichen auszulegen ist. Selbst wenn man vorliegend zugunsten des Kl. unterstellt, dass er durch den Scraping-Vorfall tatsächlich einen Kontrollverlust über seine Telefonnummer erlitten hat, weil diese Nummer in Verbindung mit seinem Vornamen nunmehr durch die Veröffentlichung im sog. Darknet jedenfalls auch einem Personenkreis bekannt geworden ist, dem er sie selbst gerade so nicht mitteilen wollte, liegt damit noch kein immaterieller Schaden iSv Art. 82 Abs. 1 DS-GVO vor. Soweit der Kl. seinen Schadensersatzanspruch schließlich auf eine Verletzung von Art. 15 DS-GVO im Hinblick auf eine vermeintlich unzureichende Auskunft der Bekl. über den Scraping-Vorfall stützt, greift auch dies nicht durch. Dabei kann auch hier dahinstehen, ob ein Verstoß gegen diese Vorschrift in den Schutzbereich von Art. 82 DS-GVO fällt. Denn die Bekl. hat im Hinblick auf die vom Kl. geforderte Auskunft ihre Verpflichtung aus Art. 15 DS-GVO nicht verletzt, da sie weder eine verspätete noch eine unvollständige Auskunft erteilt hat.

OLG Dresden Urt. v. 5.12.2023 – 4 U 709/23

0 EUR Der Kl. steht kein Anspruch auf Ersatz eines immateriellen Schadens aus Art. 82 DS-GVO zu. Die Bekl. hat zwar bei der Verarbeitung der Daten gegen die Bestimmungen der DS-GVO verstoßen, jedoch ist der Kl. daraus kein kausaler Schaden entstanden. Die Bekl. hat in mehrfacher Hinsicht bei der Datenverarbeitung gegen die DS-GVO verstoßen. Sie hat gegen das Gebot der datenschutzfreundlichen Voreinstellung nach Art. 25 Abs. 2 DS-GVO verstoßen. Die Handynummer wurde ohne rechtfertigenden Grund nach Art. 6 DS-GVO verarbeitet. Offenbleiben kann, ob sie ausreichende technische und organisatorische Maßnahmen nach Art. 2432 DS-GVO ergriffen hat und ob sie ihrer Benachrichtigungspflicht aus Art. 3425 DS-GVO und ihrer Auskunftspflicht aus Art. 15 DS-GVO nachgekommen ist. Denn ein kausaler Schaden der Kl., der auf der Verletzung von Benachrichtigungspflichten beruhen könnte, ist nicht ersichtlich. Die Kl. hat nicht dargelegt, welcher Schaden ihr daraus entstanden sein soll. Der Kontrollverlust und die Veröffentlichung der Daten und die nach der Behauptung der Kl. darauf beruhenden ungebetenen Anrufe sowie Spam SMS und Spam E-­Mails können nur auf dem Scraping Vorfall und nicht auf der Verletzung von Benachrichtigungs- und Auskunftspflichten zurückzuführen sein. Unabhängig davon kann ein Schadensersatzanspruch nach Art. 82 DS-GVO ohnehin nicht auf die Verletzung der vorgenannten Pflichten gestützt werden, da keine „Verarbeitung personenbezogener Daten“ vorliegt. Nach der Rspr. des EuGH setzt der Anspruch die Verarbeitung personenbezogener Daten unter Verstoß gegen die Bestimmung der DS-GVO voraus. Dies belegt auch die Formulierung in Erwägungsgrund 146 DS-GVO, wonach Schäden ersetzt werden, die „aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht“. Aus den aufgeführten Verstößen gegen die DS-GVO ist der Kl. aber kein kausaler immaterieller Schaden gem. Art. 82 DS-GVO entstanden. Ihr obliegt die Darlegungs- und Beweislast für den bei ihr eingetretenen Schaden sowie den Kausalzusammenhang zwischen der rechtswidrigen Verarbeitung der Daten und diesem Schaden. Dieser Beweis ist nicht erbracht worden. Art. 82 Abs. 2 DS-GVO, der die Haftungsregelung, deren Grundsatz in Absatz 1 dieses Artikels festgelegt ist, präzisiert, übernimmt die drei Voraussetzungen für die Entstehung des Schadenersatzanspruchs, nämlich eine Verarbeitung personenbezogener Daten unter Verstoß gegen die Bestimmungen der DS-GVO, ein der betroffenen Person entstandener Schaden und ein Kausalzusammenhang zwischen der rechtswidrigen Verarbeitung und diesem Schaden. Der EuGH stützt sich auf den Erwägungsgrund 146 DS-GVO, der auf „Schäden“ abstellt, „die einer Person aufgrund einer Verarbeitung entstehen“. Zwar muss der Schaden nicht eine gewisse Erheblichkeit erreichen, jedoch besteht ein Nachweiserfordernis für immaterielle Schäden durch die betroffene Person. Allerdings muss der Schaden tatsächlich und sicher entstanden sein. Hierbei hat der EuGH in einem behaupteten Verlust des Vertrauens in eine Institution keinen ersatzfähigen immateriellen Schaden gesehen. Der Kontrollverlust über die Daten (zB Handynummer) stellt keinen immateriellen Schaden iSv Art. 82 DS-GVO dar. Dem Einzelnen die Kontrolle über seine Daten möglichst umfassend zu belassen bzw. dies zu gewährleisten, ist hierfür von grundlegender Bedeutung. Realisiert sich das generelle Risiko, dessen Eintritt verhindert werden soll, kommt es zwangsläufig zum Kontrollverlust. Daraus allein resultiert aber deshalb noch kein tatsächlicher Schaden im konkreten Einzelfall, wenn bzw. – hier eben – weil dieser automatisch bei jedem vom festgestellten Verstoß gegen die DS-GVO Betroffenen in Form der Offenlegung / Zugänglichmachung von Daten eintritt. Daraus folgt, dass es über den Kontrollverlust als Realisierung des generellen Risikos hinaus eines tatsächlichen materiellen oder immateriellen Schadens im konkreten Einzelfall bedarf. Würde man bei jedem Kontrollverlust der personenbezogenen Daten einen immateriellen Schaden annehmen, würde praktisch jeder Datenschutzverstoß zu einem Schaden führen. Kann daher allein der Kontrollverlust über die gescrapten Daten keinen immateriellen Schaden begründen muss die Klagepartei darlegen und beweisen, dass es aus diesem Grund zu einer Rufschädigung, Diskriminierung oder zu persönlichen oder psychologischen Beeinträchtigungen gekommen ist. Damit deckt sich, dass der völlige Kontrollverlust als solcher nicht per se ein immaterieller Schaden ist; denn stellt ein unkontrollierter Datenverlust im konkreten Einzelfall wegen des Werts der Daten eine in Geld messbare Einbuße dar, so ist dies unzweifelhaft ein Vermögensschaden. Die Revision war gem. § 543 Abs. 2 Nr. 2 ZPO zuzulassen, weil die Frage, ob der bloße Kontrollverlust einen Schadensersatz nach Art. 82 DS-GVO begründet, höchstrichterlich noch nicht geklärt und in einer Vielzahl von Fällen entscheidungserheblich ist. Es sind Tausende von Parallelverfahren in Deutschland anhängig.

OLG Dresden Urt. v. 5.12.2023 – 4 U 1094/23

0 EUR Scraping-Sachverhalt. Wie OLG Dresden Urt. v. 5.12.2023 – 4 U 709/23.

NEU OLG Oldenburg Hinweisbeschl. v. 4.12.2023 – 13 U 43/23 = ZD 2024, 360 (Ls.)

0 EUR Das LG ist zutreffend davon ausgegangen, dass ein Schadenersatzanspruch gem. Art. 82 DS-GVO neben dem Rechtsverstoß den Eintritt eines Schadens voraussetzt. Die Darlegungs- und Beweislast trifft insoweit den Kl. Dass der Kl. tatsächlich infolge des Scraping-Vorfalls Ängste oder Sorgen empfunden hat, hat das LG auf der Grundlage seiner Bekundungen in der persönlichen Anhörung jedoch nicht festzustellen vermocht. Diese Beweiswürdigung begegnet keinen Bedenken. Der Kl. hat nach eigenem Bekunden nicht den hier fraglichen Scraping-Vorfall zum Anlass genommen, seine Kontoeinstellungen bei der von der Bekl. betriebenen Plattform zu verändern. Auslöser hierfür war vielmehr ein nicht näher dargestellter Erpressungsversuch nach einem Online-Videochat. Darüber hinaus hat der Kl. seine persönlichen Daten einschließlich der Telefonnummer jedenfalls auch ggü. mehreren Onlineshops offengelegt. Die von ihm geschilderten Spam-SMS, Spam-Anrufe oder Ping-Anrufe haben ihm bis zum Termin der Anhörung keine Veranlassung gegeben, seine Telefonnummer zu wechseln. Soweit die Textnachrichten betrügerischen Inhalts waren, war dies nach eigenem Bekunden des Kl. sofort ersichtlich. Angesichts dieser Ausführungen ist nicht zu beanstanden, dass das LG nicht mit hinreichender Wahrscheinlichkeit festzustellen vermochte, dass der Kl. gerade aufgrund des Scraping-Vorfalls unter Ängsten oder Sorgen leidet. Auch soweit er zur Begründung etwaiger Bedenken auf das Erscheinen der Polizei an seiner Wohnanschrift abgestellt hat, hat das LG diesem Umstand keine entscheidende Bedeutung beigemessen, da die entsprechenden Daten nicht in dem im Internet veröffentlichten Datensatz enthalten waren. Soweit dieser Umstand tatsächlich zu einer Besorgnis des Kl. geführt haben sollte, fehlt es mithin an einem ursächlichen Zusammenhang zwischen dem Scraping-Vorfall und den Bedenken des Kl. Ein solcher Kausalzusammenhang ist jedoch erforderlich. Der Ersatz immateriellen Schadens gem. Art. 82 DS-GVO ist vom Erreichen oder Überschreiten einer solchen Erheblichkeitsschwelle nicht abhängig. Das LG hat jedoch Sorgen und Befürchtungen des Kl. als Folge des Scraping-Vorfalls nicht etwa als unerheblich eingestuft, sondern insgesamt nicht mit ausreichender Sicherheit festzustellen vermocht. Eine andere Bewertung ist auch nicht geboten wegen des vom Kl. behaupteten Kontrollverlusts bzgl. seiner Daten als solchem. IRd haftungsbegründenden Tatbestandes des Art. 82 Abs. 2, Abs. 1 DS-GVO ist zwischen dem haftungsrelevanten Datenschutzverstoß einerseits und einem materiellen oder immateriellen Schaden andererseits zu differenzieren. Beide sind nicht deckungsgleich, sondern selbstständige Voraussetzungen eines Ersatzanspruchs gem. Art. 82 DS. GVO. Die aus dem Datenschutzverstoß resultierenden negativen Folgen stellen daher nicht für sich genommen bereits einen ersatzfähigen Schaden dar. Vielmehr muss eine Person, die von einem Verstoß gegen die Regelungen der DS-GVO betroffen ist, den Nachweis führen, dass die negativen Folgen dieses Verstoßes zu einem (immateriellen) Schaden geführt haben. Der vom Kl. angeführte Kontrollverlust durch die Verknüpfung seiner Telefonnummer mit den stets öffentlich zugänglichen persönlichen Daten stellt lediglich die zwangsläufige und generelle negative Folge der rechtmäßigen oder ggf. unzureichend geschützten Datenverarbeitung durch die Bekl. dar. Zur Begründung eines Anspruchs hätte es weiter der Darlegung und des Beweises des daraus resultierenden materiellen oder immateriellen Schadens bedurft, woran es fehlt. Das LG hat mithin den Zahlungsantrag mangels Schadens zu Recht abgewiesen. Bei der Verletzung eines absolut geschützten Rechtsguts iSd § 823 Abs. 1 BGB reicht für die Annahme des Feststellungsinteresses die Möglichkeit weiterer materieller oder immaterieller Schäden aus. Dies gilt auch bei der Verletzung des allgemeinen Persönlichkeitsrechts als einem absolut geschützten Rechtsgut. Dieser Maßstab ist unter dem Gesichtspunkt von Äquivalenz und Effektivität auf den Fall der Verletzung des nach Art. 82 DS-GVO geschützten Rechtsguts Datenschutz als europarechtliche Ausformung des deutschen allgemeinen Persönlichkeitsrechts zu übertragen.

OLG Stuttgart Urt. v. 22.11.2023 – 4 U 20/23 = ZD 2023, 60 (Ls.)

0 EUR Scraping-Sachverhalt. Die Tatsache, dass sich der Kl. beim Schadenersatzanspruch auf das kumulative Zusammenwirken mehrerer Verstöße beruft, führt nicht zur Unbestimmtheit des Antrags. Die Berufung des Kl. hat keinen Erfolg. Das LG hat im Ergebnis zutreffend einen Anspruch auf Schadenersatz aus Art. 82 DS-GVO verneint. Der Abgriff der Daten hat zwar einen (endgültigen) Kontrollverlust ausgelöst, aufgrund der Schilderungen des Kl. kann aber keine Überzeugung dahingehend gewonnen werden, dass der Kl. eine spürbare immaterielle Beeinträchtigung erlitten hat. Art. 82 DS-GVO erfasst materielle und immaterielle Schäden. Art. 82 DS-GVO kommt insoweit auch eine Kompensationsfunktion zu. Eine wirtschaftliche Betrachtung zur Ermittlung des immateriellen Schadens verbietet sich. Da der Schaden ausdrücklich „erlitten“ werden muss (Erwägungsgrund 146 DS-GVO), nach dem Wortlaut von Art. 82 Abs. 1 DS-GVO verlangt wird, dass der Schaden „entstanden ist“, ist erforderlich, dass dieser tatsächlich entstanden sein muss und nicht lediglich befürchtet wird. Ein bloß abstrakter Kontrollverlust genügt danach nicht. Bzgl. der Höhe des Schadensersatzes sind bei Beachtung des Äquivalenz- und Effektivitätsgrundsatzes alle Umstände des Einzelfalles zu würdigen, wobei iRv § 287 ZPO ein weiter Ermessensspielraum besteht. Primärer Maßstab sind die erlittenen Beeinträchtigungen, die Bedeutung und Tragweite des Eingriffs sowie Anlass und Beweggrund des Handelnden. In Rspr. und Lit. wird auch ein differenzierter und eingeschränkter Rückgriff auf Art. 83 Abs. 2 DS-GVO vorgeschlagen. Abzustellen ist danach darauf, welche Daten konkret abgeflossen sind und welche Folgen dies haben kann beziehungsweise hat. Je intimer, finanziell bedrohlicher, potentiell ehrverletzender oder kränkender und persönlich wichtiger (Eingriff in das Familienleben oder das berufliche Umfeld) die abgeflossenen Daten sind, desto höher ist der immaterielle Schaden zu bemessen. Neben der Schwere des Eingriffs ist auch die Dauer des Verstoßes ein Bemessungskriterium. Da das maßgebliche deutsche Recht für die Bemessung keinen Strafschadenersatz anerkennt, kann nicht auf einen Strafcharakter abgestellt werden. Eine wie auch immer geartete Sanktionswirkung darf deshalb für die Bemessung der Entschädigung keine Rolle spielen. Schon allein deshalb kann – entgegen der Auffassung des Kl. – auch nicht an die Kriterien aus Art. 83 DS-GVO angeknüpft werden. Wegen der generalpräventiven Wirkung des immateriellen Schadenersatzes ist es im Hinblick auf die Ziele der DS-GVO (Art. 1 DS-GVO) geboten, auch kleinere Verstöße ohne Anerkennung einer Bagatellgrenze zu sanktionieren. Art. 82 DS-GVO erfasst jedweden Verstoß gegen die DS-GVO. Der Anspruch auf Schadenersatz nach Art. 82 Abs. 1 DS-GVO setzt nicht voraus, dass eine Schutznorm verletzt wird oder eine rechtswidrige Datenverarbeitung vorliegt, es genügt jede Verletzung materieller oder formeller Bestimmungen der DS-GVO. Soweit in der Lit. ausgeführt wird, die Entscheidungen des EuGH v. 24.2.2022 – C-175/20 [= ZD 2022, 271] und des BVerwG v. 2.3.2022 – 6 C 7.20 [= ZD 2022, 522 ] führten nicht zu einer Änderung der Beweislast, da es nicht um den Nachweis gehe, ob die die Vorgaben aus Art. 5 Abs. 1 DS-GVO eingehalten wurden, sondern um die Feststellung des Vorliegens eines Verstoßes gegen die DS-GVO ist diese Argumentation nicht überzeugend. Denn die Einhaltung beziehungsweise Nichteinhaltung der Vorgaben aus Art. 5 Abs. 1 DS-GVO (und der daran anknüpfenden speziellen Pflichten) beantwortet gleichzeitig auch die Frage, ob ein Verstoß gegen die Verpflichtungen aus der DS-GVO vorliegt. Die Beweislast für eine rechtmäßige Datenverarbeitung liegt danach bei der Bekl. Die Bekl. trifft jedenfalls eine sekundäre Darlegungs- und Behauptungslast, denn der Kl. hat naturgemäß keinen Einblick in die Datenverarbeitungsvorgänge bei der Bekl., die hierzu unschwer vortragen kann. Da es sich bei Art. 82 DS-GVO um einen eigenständigen deliktischen Schadenersatzanspruch handelt, nach den Vorgaben des EuGH die Festlegung der Kriterien für die Ermittlung des Umfangs des iRv Art. 82 Abs. 1 DS-GVO geschuldeten Schadensersatzes in der Aufgabe des jeweiligen Mitgliedsstaats liegt, wobei der Äquivalenz- und Effektivitätsgrundsatz zu beachten sind, können mit dem OLG Schleswig die Rechtsverfolgungskosten als Teil des nach Art. 82 DS-GVO zu ersetzenden Schadens angesehen werden.

KG Berlin Urt. v. 22.11.2023 – 28 U 5/23 = ZD 2024, 220 mAnm Baier

0 EUR Einem Schadensersatzanspruch nach Art. 82 DS-GVO steht auch entgegen, dass die Kl. – trotz des konkreten Hinweises des Senats mit der Bestimmung des Berufungstermins – nicht in konkret-individueller Weise vorgetragen hat, wann, wie häufig und auf welchem Weg die hiesige Zedenten konkret von Missbrauchsversuchen betroffen war und vor allem wie sie darauf jeweils reagiert haben oder wie sie unabhängig von diesen Versuchen allein durch die Veröffentlichung des Leak-Datensatzes betroffen waren. Dabei gilt: Der Begriff des „Schadens" ist autonom und unionsrechtlich einheitlich zu

definieren. Der Wortlaut des Art. 82 DS-GVO spricht nur von materiellem und immateriellem Schaden, ohne eine Erheblichkeitsschwelle zu erwähnen. Das Ziel der DS-GVO, einen umfassenden Schutz der Datenschutzgrundrechte auf einem gleichmäßigen und hohen Niveau zu gewährleisten, erfordert ein weites Begriffsverständnis und schließt eine Erheblichkeitsschwelle aus. Gleichwohl muss die betroffene Person die für sie negativen Folgen eines DS-GVO-Verstoßes aber nachweisen. Deshalb bedarf es der Darlegung eines konkreten (tatsächlichen) immateriellen Schadens, der über den durch die unrechtmäßige Datenverarbeitung ohnehin eingetretenen Kontrollverlust hinausgeht und der vom Betroffenen individuell darzulegen ist. Einen solchen konkret individuellen Vortrag kann dem Vorbringen der Kl. nicht entnommen werden. Ihr Vortrag erschöpft sich in allgemeinen Darstellungen der Folgen der Offenbarung von personenbezogenen Daten. Dies reicht mit Blick auf den hiesigen Sachverhalt nicht aus, um schlüssig zum (immateriellen) Schaden der Zedenten vorzutragen.

OLG Hamm Urt. V. 17.11.2023 – 7 U 71/23

0 EUR Der Senat ist nicht bewusst oder auch nur unbewusst, was der Kl. auch nicht aufzeigt, von der Rspr. des Gerichtshofs (ohne Vorlagebereitschaft) abgewichen, sondern hat sich – insb. hinsichtlich der Frage des kausalen Schadens – vollständig an der Rspr. des Gerichtshofs orientiert und diese auf die jeweils vorliegenden – durch stereotypen Vortrag gleichartigen – Einzelfälle angewandt. Die herangezogene Rspr. des Gerichtshofs ist auch nicht in einem entscheidungserheblichen Punkt unvollständig. Sie ist nicht unvollständig bzgl. der Frage, ob ein bloßer Kontrollverlust einen tatsächlichen und sicheren Schaden darstellt. Sie ist nicht unvollständig bzgl. der Frage, wen die Darlegungs- und Beweislast für den Schadenseintritt trifft. Insb. führt der EuGH explizit aus, dass eine Person, die von einem Verstoß gegen die DS-GVO betroffen ist, der für sie negative Folgen gehabt hat, nicht vom Nachweis befreit ist, dass diese Folgen einen immateriellen Schaden iSv Art. 82 DS-GVO darstellen. Die Vorlagefrage 4 aus dem Beschl. des BGH v. 26.9.2023 – VI ZR 97/22 [= ZD 2024, 90] ändert hieran nichts, weil es vorliegend bereits an der Darlegung und dem Nachweis haftungsbegründend kausaler negativer Gefühle fehlt. Der BGH verweist zudem ausweislich Rn. 32 seines Beschlusses auch darauf, dass negative Folgen – also hier der Kontrollverlust, der im Verfahren vor dem Bundesgerichtshof gar nicht als schadensbegründender Umstand vorgetragen worden war (Rn. 5) – als solche nicht ausreichen, sondern diese Folgen zugleich einen immateriellen Schaden darstellen müssen. Der Qualifikation eines Kontrollverlustes als immaterieller Schaden infolge der Veröffentlichung im Darknet steht in diesem Einzelfall jedenfalls entgegen, dass der Kl. sich trotz der von der Bekl. erteilten Auskunft v. 18.7.2022 erst aufgrund des Anrufs seines Prozessbevollmächtigten spät im laufenden Verfahren veranlasst gesehen hat, die Suchbarkeitseinstellungen einschränkend zu verändern und sich bis heute nicht gehalten gesehen hat, seine Mobilfunktelefonnummer zu wechseln; denn damit wird jeglicher Indizwirkung der Boden entzogen.

OLG Karlsruhe Urt. v. 7.11.2023 – 19 U 23/23 = ZD 2024, 406

0 EUR Der Kl. hat gegen die Bekl. keinen Anspruch auf immateriellen Schadensersatz gem. Art. 82 Abs. 1 DS-GVO. Voraussetzung für das Bestehen eines derartigen Schadensersatzanspruchs gem. Art. 82 Abs. 1 DS-GVO ist, dass ein Verstoß gegen die DS-GVO kausal einen immateriellen Schaden herbeigeführt hat. Ein Verstoß gegen diese Verordnung iSv Art. 82 Abs. 1 DS-GVO liegt in zweierlei Hinsicht vor: einmal nutzte unstreitig ein Support-Mitarbeiter von S. unberechtigt den für ihn bestehenden Zugang, um auf die Datensätze u. a. der Bekl. für eigene Zwecke zuzugreifen und diese zu exportieren. Zudem nutzten unbekannte Hacker eine fehlerhafte Konfiguration des API-Schlüssels in der Zeit vom 25. bis 28.6.2020 zu einem Angriff auf die Kundendaten der Bekl. Mehr als die „unbefugte Offenlegung“ von oder der „unbefugte Zugang“ zu personenbezogenen Daten iSv Art. 4 Ziff. 12 DS-GVO erfordert das Vorliegen eines „Verstoßes gegen diese Verordnung“ nicht. Der Kl. hat keinen Anspruch auf Ersatz eines immateriellen Schadens, weil der Senat das Vorliegen eines solchen nicht für überwiegend wahrscheinlich hält. Für einen Anspruch auf Schadensersatz gem. Art. 82 Abs. 1 DS-GVO wegen eines immateriellen Schadens reicht das bloße Vorliegen eines Verstoßes gegen die Bestimmungen der Verordnung nicht aus, sondern der betroffenen Person muss tatsächlich ein Schaden entstanden sein. Ein bestimmter Grad an Erheblichkeit muss dabei nicht erreicht werden, doch muss die betroffene Person nachweisen, dass sie negative Folgen erlitten hat und dass diese Folgen einen immateriellen Schaden iSd DS-GVO darstellen. Die Tatsache, dass der Missbrauch personenbezogener Daten nur möglich und nicht bereits eingetreten ist, reicht aus, um davon auszugehen, dass die betroffene Person einen durch den Verstoß gegen die Verordnung verursachten immateriellen Schaden erlitten haben kann, sofern die betroffene Person nachweist, dass die Befürchtung eines solchen Missbrauchs ihr tatsächlich und konkret einen realen und sicheren emotionalen Schaden zugefügt hat. Ein potenzieller oder hypothetischer Schaden oder die bloße Beunruhigung wegen des Diebstahls der eigenen personenbezogenen Daten reicht nicht aus. Ob der Kl. einen derartigen realen und sicheren emotionalen Schaden erlitten hat, ist am Beweismaß des § 287 ZPO zu messen. § 287 ZPO ist insoweit anzuwenden, weil sich der geltend gemachte immaterielle Schaden als Folge der Rechtsgutsverletzung in Gestalt der Verletzung der Grundrechte des Kl. auf Achtung des Privat- und Familienlebens aus Art. 7 GRCh und auf Schutz personenbezogener Daten aus Art. 8 GRCh darstellt. Nach der ständigen Rspr. EuGH ist es mangels einschlägiger unionsrechtlicher Vorschriften nach dem Grundsatz der Verfahrensautonomie Sache der innerstaatlichen Rechtsordnung jedes Mitgliedstaats, die Verfahrensmodalitäten für Klagen, die den Schutz der dem Einzelnen aus dem Unionsrecht erwachsenden Rechte gewährleisten sollen, zu regeln, wobei die betreffenden Anforderungen jedoch nicht ungünstiger sein dürfen als diejenigen, die gleichartige, dem innerstaatlichen Recht unterliegende Sachverhalte regeln (Äquivalenzgrundsatz), und die Ausübung der durch das Unionsrecht verliehenen Rechte nicht praktisch unmöglich machen oder übermäßig erschweren dürfen (Effektivitätsgrundsatz). Aufgrund der durchgeführten Anhörung des Kl. hält der Senat es nicht für überwiegend wahrscheinlich (§ 287 ZPO), dass der Kl. einen immateriellen Schaden erlitten hat. Der Kl. hat im Rahmen seiner informatorischen Anhörung angegeben, ihm sei „mulmig“ geworden, als er von dem Datenleck erfahren habe, weil ihm bewusst sei, dass Datenschutzverstöße erhebliche Schäden verursachen könnten. Er müsse, wenn er Phishing-E-­Mails bekomme, immer aufpassen, keinen Fehler zu machen. Aus diesen Angaben geht ein realer und sicherer emotionaler Schaden nicht hervor, sondern lediglich ein gewisses Unbehagen des Kl. und die empfundene Notwendigkeit zu erhöhter Aufmerksamkeit im Umgang mit Phishing-E-­Mails. Eine derartige bloße Beunruhigung stellt keinen immateriellen Schaden iSd Art. 82 DS-GVO dar. Gegen das Vorliegen eines realen und sicheren emotionalen Schadens spricht zudem der Umstand, dass der Kl. nach Bekanntwerden der Veröffentlichung seiner Daten weder seine E-­Mail-Adresse noch seine Mobilnummer geändert hat. Beides ist zwar mit ggf. durchaus erheblichem Aufwand verbunden insb. im Hinblick darauf, regelmäßige Kommunikations- bzw. Vertragspartner über die Änderungen zu informieren. Im Fall des Vorliegens eines realen und sicheren emotionalen Schadens wäre dies im Hinblick auf die geltend gemachten Risiken in Gestalt von Betrugs- und Erpressungsversuchen indes eine naheliegende und wirkungsvolle Abwehrmaßnahme. Dass der Kl. wegen des hiermit verbundenen Aufwands von einer Änderung der E-­Mail-Adresse und/oder Mobilnummer abgesehen hat, spricht dafür, dass ihn die geltend gemachten Risiken gerade nicht in einer Art und Weise beeinträchtigen, die mehr als eine bloße Beunruhigung darstellt. Schließlich begründet auch der vom Kl. angeführte Kontrollverlust über seine Daten nicht schon für sich genommen einen immateriellen Schaden. Insb. stellt der Besitz von Daten, die die betroffene Person identifizierbar machen, für sich genommen keinen Identitätsdiebstahl dar. Selbst dann, wenn man das Vorliegen eines immateriellen Schadens zugunsten des Kl. unterstellt, hält der Senat es nicht für überwiegend wahrscheinlich (§ 287 ZPO), dass ein derartiger Schaden auf die Verletzung der Grundrechte des Kl. gem. Art. 7, Art. 8 GRCh zurückzuführen ist, also die haftungsausfüllende Kausalität gegeben ist. Ob eine unterstellte unzureichende Sicherung der Daten, die nicht den Anforderungen der Art. 24 Abs. 1, Art. 32 Abs. 1 DS-GVO entsprochen hat, den von Dritten rechtswidrig erlangten Zugang zu den Daten des Kl., hierauf beruhende Phishing-Anrufe und Phishing-E-­Mails und damit auch den vom Kl. geltend gemachten Schaden kausal herbeigeführt hat, ist zwischen den Parteien streitig. Die Darlegungs- und Beweislast für diese haftungsausfüllende Kausalität liegt beim Kl. Die DS-GVO enthält hinsichtlich der Beweislast für die Kausalität keine ausdrückliche Regelung. Ob insoweit nationales Prozessrecht Anwendung findet oder ob im Hinblick auf Erwägungsgrund 146 DS-GVO, wonach die betroffenen Personen einen „vollständigen und wirksamen Schadensersatz“ erhalten sollten bzw. im Hinblick auf den Effektivitätsgrundsatz im Allgemeinen die Darlegungs- und Beweislast für die fehlende Kausalität die verantwortliche Person trifft, ist in Rspr. und Lit. umstritten. Überwiegend wird unter Anwendung des jeweiligen nationalen Beweisrechts die Person, die den Schadensersatzanspruch geltend macht, hinsichtlich der Kausalität des „Verstoßes gegen diese Verordnung“ iSv Art. 82 Abs. 1 DS-GVO für den geltend gemachten Schaden als darlegungs- und beweisbelastet angesehen. Demgegenüber wird vertreten, den Verantwortlichen treffe die Darlegungs- und Beweislast für das Fehlen einer derartigen Kausalität. Der Senat folgt der Auffassung des Generalanwalts Pitruzzella in seinen Schlussanträgen v. 27.4.2023 – C-340/21), wonach die betroffene Person nachweisen muss, dass ein kausaler Zusammenhang zwischen dem Verstoß gegen die Verordnung und dem ihr entstandenen Schaden besteht. Es handelt sich dabei um eine der Voraussetzungen, die sich auch aus der ständigen Rspr. des EuGH und des Gerichts zur außervertraglichen Haftung der Union ergeben. Die Bekl. ist zudem gem. Art. 82 Abs. 3 DS-GVO von der Haftung befreit. Art. 82 Abs. 3 der DS-GVO befreit den Verantwortlichen von der Haftung, „wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist“. Eine wörtliche Auslegung dieser Bestimmung läuft darauf hinaus, dass jedes fahrlässige (Mit-)Verschulden oder Versehen des Verantwortlichen ausreicht, um die Anwendung der Befreiung auszuschließen. Dabei kann die verantwortliche Person von ihrer Haftung nicht allein deshalb befreit werden, weil der Umstand, auf den der Verstoß zurückzuführen ist, von einer Person außerhalb ihres Kontrollbereichs herbeigeführt wurde. Andererseits stellt nicht schon das Vorliegen einer Systemverletzung einen Beweis dafür dar, dass die von der verantwortlichen Person ergriffenen Maßnahmen nicht iSv Art. 32 DS-GVO geeignet waren. Ob es sich bei der X um einen Auftragsverarbeiter iSv Art. 28 DS-GVO handelt, ist dabei im Hinblick darauf ohne Belang, dass die Bekl., wie vorstehend ausgeführt, auch für das Verhalten von anderen Dritten verantwortlich sein kann. § 278 BGB ist unter Berücksichtigung des Umstands nicht anwendbar, dass der Begriff der Verantwortlichkeit in Art. 82 DS-GVO – ebenso wie dessen übrige Tatbestandsmerkmale – autonom auszulegen ist, um die einheitliche Anwendung in allen Mitgliedstaaten zu sichern. Gründe für die Zulassung der Revision (§ 543 Abs. 2 ZPO) oder für eine Vorlage gem. Art. 267 AEUV liegen nicht vor. Soweit der Senat iRd Prüfung des geltend gemachten Anspruchs auf immateriellen Schadensersatz Art. 82 DS-GVO zu den umstrittenen Fragen der Kausalität und der Verantwortlichkeit auslegt, zu denen noch keine Entscheidung gem. Art. 267 AEUV vorliegt, ist die vorgenommene Auslegung nicht entscheidungserheblich. Die Abweisung des geltend gemachten Anspruchs auf immateriellen Schadensersatz wird selbständig dadurch getragen, dass der Kl. das Vorliegen eines derartigen Schadens nicht bewiesen hat. Die Auslegung von Art. 82 DS-GVO hinsichtlich des Merkmals „immaterieller Schaden“ ihrerseits ist durch die Entscheidung des EuGH v. 4.5.2023 – C-300/21 [= ZD 2023, 446 mAnm Mekat/Ligocki] – Österreichische Post, die der Senat seiner Entscheidung zugrunde gelegt hat, hinreichend geklärt (acte éclairée).

OLG Hamm Beschl. v. 18.10.2023 – 7 U 77/23

0 EUR Die Vorlagefrage 4 aus dem Beschl. des BGH v. 26.9.2023 – VI ZR 97/22) ändert an dem Umstand, dass durch die Rspr. des EuGH geklärt ist, dass der Kontrollverlust allein keinen Schaden darstellt, nichts, weil es bei der Vorlagefrage des BGH gerade nicht darum geht (ein Kontrollverlust liegt im dortigen Verfahren unzweifelhaft vor und gleichwohl stellt der BGH seine Frage) und es vorliegend – anders als im Falle des BGH – bereits an der Darlegung und dem Nachweis haftungsbegründend kausaler negativer Gefühle fehlt. Eine Aussetzung des vorliegenden Verfahrens ist deshalb weiterhin nicht veranlasst.

OLG Hamm Beschl. v. 22.9.2023 – 7 U 77/23

0 EUR Der Antrag ist unbegründet, da auch hier weder dargelegt noch ersichtlich ist, welcher konkrete (zusätzliche) immaterielle Schaden durch die vermeintlich mangelhafte Auskunft entstanden sein sollte. Auch insoweit hat die persönliche Anhörung des Kl. vor dem LG keinerlei Anhaltspunkte für eine persönliche Beeinträchtigung ergeben. Die pauschale behauptete Ungewissheit über die Verarbeitung nach der erteilten Auskunft ist nicht nachvollziehbar.

OLG München Verfügung v. 14.9.2023 – 14 U 3190/23e

0 EUR Das Ersturteil arbeitet überzeugend heraus, dass der Bekl. eine schadenskausale Pflichtverletzung, die in den Anwendungsbereich des Art. 82 DS-GVO fiele, nicht angelastet werden kann. Der Schadensbegriff reicht im Prinzip weit, setzt aber eine fühlbare reale Beeinträchtigung voraus. An dieser fehlt es hier. Erwägungsgrund 85 besagt nicht, dass jeder Kontrollverlust ein Schaden ist.

OLG Dresden Beschl. v. 29.8.2023 – 4 U 1078/23

1.500 EUR Für die Bemessung des immateriellen Schadensersatzanspruches wegen einer Datenschutzverletzung ist auf die im Erwägungsgrund 146 der DS-GVO genannten Faktoren abzustellen. Für die Herbeiführung einer rechtswidrigen Schufa-Eintragung kann die immaterielle Entschädigung mit 1.500 EUR bemessen werden.

OLG Karlsruhe Beschl. v. 24.8.2023 – 19 U 28/23 = ZD 2023, 742

1.054,10 EUR Anspruch auf materielle Schäden. Der Kl. hat gegen den Bekl. gem. Art. 82 Abs. 1 DS-GVO einen Anspruch auf Schadensersatz wegen der materiellen Schäden, die ihm durch die verordnungswidrige Übersendung des Schreibens v. 5.12.2018 an den Rechtsanwalt der Frau W.-B. entstanden sind. Da er geltend macht, dass der Schaden noch in der Entwicklung begriffen sei, kann er gem. § 256 Abs. 1 ZPO die Feststellung des Bestehens dieser Ersatzpflicht verlangen. Ohne Bedeutung für das Bestehen der Ersatzpflicht dem Grunde nach ist dabei der vom Bekl. hervorgehobene Umstand, dass der Kl. selbst die im Schreiben enthaltenen, ansehensbeeinträchtigenden Informationen an zahlreiche Dritte weitergegeben hat. Die Frage, ob ein konkreter geltend gemachter Schaden tatsächlich auf den Versand des Schreibens durch den Bekl. zurückzuführen ist, wird ggf. in einem sich anschließenden Leistungsverfahren zu klären sein. Der Anspruch des Kl. auf materiellen Schadensersatz gem. Art. 82 Abs. 1 DS-GVO umfasst auch die Erstattung der dem Kl. entstandenen vorgerichtlichen Rechtsanwaltskosten.

OLG Hamm Urt. v. 15.8.2023 – 7 U 19/23 = ZD 2024, 36

0 EUR Ein Anspruch aus Art. 82 Abs. 2, Abs. 1 DS-GVO (iVm Art. 288 Abs. 2 AEUV) besteht nicht. Ein Anspruch aus Art. 82 Abs. 2, Abs. 1 DS-GVO setzt zunächst voraus, dass diese Regelung zeitlich, sachlich und räumlich anwendbar ist. IÜ hat Art. 82 Abs. 2 DS-GVO, der die Haftungsregelung, deren Grundsatz in Abs. 1 dieses Artikels festgelegt ist, präzisiert, drei Voraussetzungen für die Entstehung des Schadensersatzanspruchs, nämlich eine Verarbeitung personenbezogener Daten unter Verstoß gegen die Bestimmungen der DS-GVO, einen der betroffenen Person entstandenen Schaden und einen Kausalzusammenhang zwischen der rechtswidrigen Verarbeitung und diesem Schaden. Obwohl es sich bei dem für die Haftung nach Art. 82 DS-GVO erforderlichen Verstoß gegen die DS-GVO im Zuge der Datenverarbeitung um eine anspruchsbegründende Voraussetzung handelt, ist nicht die Kl. für einen solchen Verstoß darlegungs- und beweisbelastet. Die DS-GVO enthält indes in Art. 5 Abs. 2 DS-GVO eine spezifische Beweislastregelung. Er muss damit also generell nach dem in Art. 5 Abs. 2 DS-GVO verankerten Grundsatz der Rechenschaftspflicht nachweisen können, dass er die in Abs. 1 dieses Artikels festgelegten Grundsätze für die Verarbeitung personenbezogener Daten einhält. Konkret nicht ausgeräumt hat die Bekl. neben Verstößen gegen Art. 5 Abs. 1 lit. a, Art. 6 Abs. 1 UAbs. 1 DS-GVO zudem auch solche gegen Art. 5 Abs. 1 lit. b, Art. 25 Abs. 1 und Abs. 2 DS-GVO und Art. 5 Abs. 1 lit. f, Art. 32 DS-GVO. Es oblag der Kl., einen über die Datenschutzverstöße und über den damit mittelbar einhergehenden Kontrollverlust hinausgehenden immateriellen Schaden in Form einer persönlichen / psychologischen Beeinträchtigung aufgrund der Datenschutzverstöße und des Kontrollverlustes darzulegen. Der von der Kl. ins Feld geführte „völlige Kontrollverlust“ rechtfertigt als solcher keine Entschädigungsverpflichtung. Auch wenn es keine Erheblichkeitsschwelle gibt, so bedeutet dies indes nicht, dass die aus dem Datenschutzverstoß resultierenden negativen Folgen per se einen haftungsbegründenden Schaden darstellen. Die Annahme eines solchen konkreten Schadens setzt in unionsautonomer Auslegung nach ständiger Rspr. des EuGH voraus, dass dieser „tatsächlich und sicher“ besteht. Schließlich hat die Kl. auch die erforderliche Kausalität zwischen Verarbeitungsverstoß und vermeintlich immateriellem Schaden nicht dargelegt und bewiesen. Mangels feststellbaren Schadens kann dahinstehen, dass die Bekl. den Entschuldigungsnachweis nach Art. 82 Abs. 3 DS-GVO bereits mangels hinreichender Darlegung nicht geführt hätte. Denn wie die vorstehenden Ausführungen zu den Verstößen gegen die DS-GVO zeigen, hätte die Bekl. in jedem dieser Fälle vermeidend tätig werden können. Diese Rspr. zum allgemeinen Persönlichkeitsrecht ist unter dem Gesichtspunkt von Äquivalenz und Effektivität auf den vorliegenden Fall der Verletzung des nach Art. 82 DS-GVO absolut geschützten Rechtsguts Datenschutz als (abschließende) europarechtliche Ausformung des deutschen allgemeinen Persönlichkeitsrechts zu übertragen.

OLG Köln Urt. v. 11.8.2023 – 15 U 149/22 = ZD 2024, 99

0 EUR Das LG hat zu Recht angenommen, dass der Kl. ein Anspruch auf Ersatz eines immateriellen Schadens gem. Art. 82 Abs. 1 DS-GVO nicht zusteht. Zwar hat der Senat entschieden, dass Verstöße gegen Auskunftspflichten aus Art. 15 DS-GVO Grundlage für einen Ersatzanspruch gem. Art. 82 Abs. 1 DS-GVO sein können. Das LG hat aber zutreffend ausgeführt, dass im Streitfall jeglicher nachvollziehbare Vortrag dazu fehlt, dass der Kl. ein immaterieller Schaden entstanden ist. Ein solcher Vortrag ist auch nicht entbehrlich. Denn der EuGH hat mit Urt. v. 4.5.2023 – C-300/21 [= ZD 2023, 446 mAnm Mekat/Ligocki] – Österreichische Post entschieden, dass der bloße Verstoß gegen Bestimmungen der DS-GVO nicht ausreicht, um einen Schadensersatzanspruch zu begründen. Vielmehr muss die von einem Verstoß gegen die DS-GVO betroffene Person nachweisen, dass der Verstoß für sie negative Folgen gehabt hat und diese Folgen einen immateriellen Schaden darstellen, wobei es dann nicht auf einen bestimmten Grad an Erheblichkeit ankommt. Im Streitfall hat die Kl. den ihr obliegenden Nachweis eines immateriellen Schadens auch im Berufungsverfahren nicht erbracht. Die Berufungsbegründung enthält zwar abstrakte Ausführungen zur Funktion des Anspruchs aus Art. 82 Abs. 1 DS-GVO und zu einem ohnmächtigen Kontrollverlust der betroffenen Person im Falle der Nichterfüllung einer verlangten Auskunft. Diese Ausführungen haben aber keinen konkreten Bezug zum Streitfall. IÜ verweist die Berufung lediglich auf den Zeitablauf seit dem vorgerichtlichen Auskunftsverlangen und eine fortgesetzte Erfüllungsverweigerung der Bekl., ohne irgendwelche negativen Folgen des geltend gemachten Verstoßes gegen Art. 15 DS-GVO für die Kl. aufzuzeigen.

OLG Köln Urt. v. 10.8.2023 – 15 U 78/22 = ZD 2024, 103

0 EUR Ansprüche des Kl. aus Art. 82 Abs. 1 DS-GVO bestehen nicht. Zwar hat der Senat entschieden, dass Verstöße gegen Auskunftspflichten aus Art. 15 DS-GVO Grundlage für einen Ersatzanspruch gem. Art. 82 Abs. 1 DS-GVO sein können. Das LG hat aber zutreffend ausgeführt, dass im Streitfall gerade kein immaterieller Schaden des Kl. erkennbar ist. Auch in Ansehung der Tatsache, dass es nach der zwischenzeitlich vorliegenden Rspr. des EuGH keinen sog. „Bagatellvorbehalt“ und keine „Erheblichkeitsschwelle“ bei Art. 82 Abs. 1 DS-GVO gibt, bedeutet dies gerade nicht, dass eine Person, die von einem Verstoß gegen die DS-GVO betroffen ist, der für sie negative Folgen gehabt haben soll, vollständig vom Nachweis befreit wäre, dass überhaupt solche Folgen bei ihr vorliegen und einen immateriellen Schaden iSv Art. 82 DS-GVO darstellen. Mit Blick auf den Kl. ist dazu bis zuletzt aber nichts ersichtlich. Dem Kl. ist keine belastende Unsicherheit über den Fortgang eines anderen, für ihn wichtigen gerichtlichen Verfahrens entstanden. Denn der Haftpflichtprozess war ohne weiteres auch ohne die weitere Auskunftserteilung durch die Bekl. als bloßem Haftpflichtversicherer des Schädigers ohne weiteres schon lange problemlos führbar. Die im Regressprozess gegen den Versicherungsnehmer der Bekl. vom Kl. eingereichte Klageschrift datiert v. 31.12.2017 und das Auskunftsverlangen wurde erst am 20.6.2020 kurz vor der mündlichen Verhandlung v. 8.7.2020 in erster Instanz des Haftpflichtprozesses konkret geltend gemacht. Auch ein – wie auch immer gelagerter – „Kontrollverlust“ mit entsprechenden immateriellen Folgen für den Kl. ist weder vorgetragen noch ersichtlich. Was den Haftungsprozess angeht, lag zudem ohnehin von Anfang an klar auf der Hand, dass selbst eine weitergehende Beauskunftung von etwaigen in internen Vermerken und/oder Anwaltskorrespondenz enthaltenen personenbezogen Daten des Kl. und die Übergabe von etwaigen (u. U. teilgeschwärzten) Kopien davon mit Blick auf Art. 15 Abs. 4 DS-GVO dem Kl. jedenfalls nicht ohne weiteres einen tiefergehenden Einblick in eine wie auch immer gelagerte „Verteidigungsstrategie“ der Bekl. im Haftpflichtprozess hätte eröffnen können. Soweit im Schriftsatz v. 9.9.2021 nur vage angedeutet worden ist, dass der Kl. durch die verzögerte Auskunft der Bekl. jedenfalls ein Führen von Verhandlungen im Haftungsprozess nicht ausreichend habe nachweisen können, ist das schon in sich nicht schlüssig, weil er an solchen Verhandlungen – sonst wären es keine – zwangsläufig selbst beteiligt gewesen sein muss. Es ist weder dargetan noch sonst ersichtlich, welche unter Art. 15 Abs. 1 bzw. Abs. 3 DS-GVO fallenden Auskünfte/Unterlagen für den Kl. noch hätten relevant werden sollen; all dies erläutert auch die Berufung nicht mehr weiter.

OLG Köln Urt. v. 10.8.2023 – 15 U 184/22 = ZD 2024, 100 mAnm Riemer

0 EUR Das Schadensersatzbegehren iSd Art. 82 Abs. 1 DS-GVO, welches mit der Berufung unter Anpassung der Mindestbetragsvorstellungen weiterverfolgt wird, hat das LG hier zu Recht abgewiesen. Die Kammer hat zu Recht angenommen, dass der Kl. ein Anspruch auf Ersatz eines immateriellen Schadens gem. Art. 82 Abs. 1 DS-GVO nicht zusteht. Zwar hat der Senat entschieden, dass Verstöße gegen Auskunftspflichten aus Art. 15 DS-GVO durchaus eine Grundlage für einen Ersatzanspruch gem. Art. 82 Abs. 1 DS-GVO sein können. Das LG hat indes zutreffend ausgeführt, dass im Streitfall jeglicher nachvollziehbare Vortrag dazu fehlt, dass und warum der Kl. ein immaterieller Schaden entstanden sein sollte. Ein solcher Vortrag ist auch nicht entbehrlich. Denn der EuGH hat mit Urt. v. 4.5.2023 – C-300/21 [= ZD 2023, 446 mAnm Mekat/Ligocki] – Österreichische Post entschieden, dass jedenfalls der bloße Verstoß gegen Bestimmungen der DS-GVO nicht ausreicht, um einen Schadensersatzanspruch zu begründen. Vielmehr muss die von einem Verstoß gegen die DS-GVO betroffene Person nachweisen, dass der Verstoß für sie negative Folgen gehabt hat und diese Folgen einen immateriellen Schaden darstellen, wobei es dann nicht auf eine Erheblichkeit ankommt. Diesen ihr obliegenden Nachweis hat die Kl. trotz des Hinweises des Landgerichts v. 12.8.2022 – auch bis zuletzt im Berufungsverfahren nicht erbracht. Allein eine lange Verzögerung und ein unterstellter „böser Wille“ machen keinen „Schaden“ aus.

NEU OLG Hamm Urt. v. 21.7.2023 – 12 U 53/22

0 EUR Ein Schadensersatzanspruch folgt ferner nicht aus Art. 82 DS-GVO. Es fehlt bereits an der Darlegung des Kl., inwiefern durch einen Verstoß der Bekl. gegen Vorschriften der DS-GVO ein Schaden verursacht worden sein soll. Der bloße Verstoß gegen die DS-GVO ist nicht mit dem Eintritt eines – auch immateriellen – Schadens gleichzusetzen.

OLG Brandenburg Urt. v. 26.5.2023 – 7 U 166/22 = ZD 2023, 556

0 EUR Die Bekl. ist für die Verarbeitung der unrichtigen Daten nicht verantwortlich, Art. 82 Abs. 3 DS-GVO. Die Bekl. erhielt von ihrer Vertragspartnerin unrichtige Informationen.

OLG Köln Urt. v. 4.5.2023 – 15 U 3/23

1.500 EUR Der Anspruch des Kl. ergibt sich jedoch dem Grunde nach aus Art. 82 Abs. 1 DS-GVO, der im Zeitpunkt der ersten unstreitigen Verwendung des Namens im Jahre 2019 bereits in Kraft war (Art. 99 DS-GVO) und auf den vom Kl. geltend gemachten Anspruch mangels eines für die Bekl. eingreifenden Medienprivilegs – der Versandkatalog ist keine journalistische Tätigkeit gem. Art. 85 DS-GVO iSd Rspr. des EuGH. Der Senat ist weiter der Auffassung, dass jedenfalls in Fällen wie dem vorliegenden, also bei einem Eingriff in die vermögenswerten Bestandteile des allgemeinen Persönlichkeitsrechts des Betroffenen durch Verwendung derselben in einem kommerziellen Kontext, der Anspruch auf Ersatz des materiellen Schadens nach Art. 82 Abs. 1 DS-GVO auch die fiktive Lizenzgebühr umfassen kann (Lizenzanalogie). In Erwägungsgrund 146 S. 6 ist die Zielsetzung enthalten, der betroffenen Person einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden zukommen zu lassen. Insofern erscheint es vorzugswürdig, dass der autonom auszulegende Schadensbegriff des Art. 82 Abs. 1 DS-GVO insoweit für eine Ausgestaltung offen ist und mangels konkreter Regeln im Unionsrecht auch mitgliedstaatliche Rechtsgrundsätze – und damit hier die Grundsätze der sog. dreifachen Schadensberechnung – zur Berechnung des ersatzfähigen materiellen Schadens herangezogen werden können, wobei allerdings die Vorgaben des Äquivalenz- und Effektivitätsgrundsatzes hinsichtlich Haftungshöchstbetrag und etwaigem Strafschadensersatz zu beachten sind. Im Fall einer nach Art. 82 Abs. 1 DS-GVO als Schadensersatz zu zahlenden fiktiven Lizenzgebühr ist deren Höhe vom Tatgericht gem. der prozessrechtlichen nationalen Regelung des § 287 Abs. 2 ZPO zu schätzen. Zu fragen ist, was vernünftige Vertragspartner als Vergütung für die vom Verletzer vorgenommenen Benutzungshandlungen vereinbart hätten. IRd Ermittlung des objektiven Werts der Benutzungsberechtigung, der für die Bemessung der Lizenzgebühr maßgebend ist, müssen die gesamten relevanten Umstände des Einzelfalls in Betracht gezogen und umfassend gewürdigt werden. Zum anderen liegt der Sinn und Zweck des Anspruchs auf Ersatz jedenfalls des materiellen Schadens nach Art. 82 Abs. 1 DS-GVO – um den es hier allein geht – ausweislich des Erwägungsgrunds 146 in einem schlichten Ausgleich der an den vermögenswerten Rechtspositionen des Betroffenen eingetretenen Beeinträchtigungen und nicht etwa in einer über diese reine Kompensation noch hinausgehenden „Bestrafung“ des Verletzers, wozu auf Seiten der Bekl., die sich im Hinblick auf die verworrene tatsächliche Situation rund um die Einwilligung zur Veröffentlichung von Name und Zitat letztlich subjektiv als berechtigt angesehen hat, den Versandkatalog mit den personenbezogenen Daten des Kl. zu versehen, iÜ auch kein Anlass besteht.

OLG Köln Beschl. v. 26.4.2023 – 15 U 24/23

0 EUR Auch wenn man auf die DS-GVO abstellen wollte, gelten zudem die Grundsätze der bereicherungsrechtlichen Haftung auf eine sog. Lizenzanalogie über §§ 812 ff. BGB wegen Eingriffs in die vermögenswerten Bestandteile des Persönlichkeitsrechts fort. Schon mit Blick auf Erwägungsgrund 146 S. 4 DS-GVO ist die Regelung in Art. 82 DS-GVO selbst im Bereich von Schadensersatzansprüchen keinesfalls abschließend, sondern konkurriert mit anderen nationalen Ansprüchen, was erst recht (und auch im Lichte des Art 79 Abs. 1 DS-GVO) für sonstige Ansprüche und Ausgleichsinstrumentarien des nationalen Rechts im Fall rechtswidriger Eingriffe in das Persönlichkeitsrecht gelten muss. Ob man ansonsten iRd Art. 82 DS-GVO bei einer unterstellt rechtswidrigen Datenverarbeitung den materiellen Schaden generell wahlweise auch im Wege einer Lizenzanalogie berechnen könnte, ob jedenfalls bei Eingriffen in die vermögenswerten Bestandteile des allgemeinen Persönlichkeitsrechts sogar ein Rückgriff auf die Grundsätze der sog. dreifachen Schadensberechnung möglich ist oder ob etwa im Lichte von Art. 13 der Richtlinie 2004/48/EG – Enforcement-RL – die allerdings als solche das allgemeine Persönlichkeitsrecht nicht als Immaterialrechtsgut erfasst und harmonisiert) – jedenfalls bei kommerzieller Ausnutzung vermögenswerter Persönlichkeitsrechtsbestandteile statt einer konkreten Berechnung eines materiellen oder immateriellen Schadens stets zumindest die Lizenzanalogie als eine besondere Form der Schadenspauschalierung eröffnet ist, bedarf hier mangels Entscheidungserheblichkeit keiner Klärung. Dies gilt auch für die weitere und vom Senat schon im Hinweisbeschluss v. 17.11.2022- 15 U 133/22, n. v. offen gelassene Frage, ob über Art. 82 DS-GVO und dem danach ggf. auch zu zahlenden immateriellen Schadensersatz wegen der Präventionsfunktion des Art. 82 Abs. 1 DS-GVO im Einzelfall flankierend höhere Lizenzanalogien denkbar sein könnten. Denn der konkret ausgeurteilte Betrag ist auch schon ohne solche „Zuschläge" mit dem LG über die §§ 812 ff. BGB gerechtfertigt, so dass es darauf nicht mehr für die Entscheidung des Senats ankommt.

OLG Frankfurt Urt. v. 30.3.2023 – 16 U 22/22 = ZD 2023, 459

0 EUR Der vom Kl. geltend gemacht Unterlassungsanspruch ergibt sich nicht aus Art. 82 DS-GVO. Zwar kann sich unter Umständen – jedenfalls nach deutschem Verständnis der Schadensrestitution iSv § 249 Abs. 1 BGB – aus einem Schadensersatzanspruch auch ein Unterlassungsanspruch ergeben. Allerdings sind die Voraussetzungen dafür hier nicht gegeben. Der Kl. hat schon einen konkreten Schaden, der ihm durch die Weiterleitung der Daten als Folge der von ihm vorgetragenen dreimaligen Aufrufe der Webseite der Bekl. entstanden sein soll, nicht dargelegt. Ein Anspruch setzt aber die Entstehung eines – unter Umständen auch immateriellen – Schadens voraus. Der GA führt in seinen Schlussanträgen v. 6.10.2022 zu dem beim EuGH anhängigen Verfahren C-300/21 [= ZD 2023, 446 mAnm Mekat/Ligocki] – Österreichische Post Rn. 117 dementsprechend aus: „Für die Anerkennung eines Anspruchs auf Ersatz des Schadens, den eine Person infolge eines Verstoßes gegen die genannte Verordnung erlitten hat, reicht die bloße Verletzung der Norm als solche nicht aus, wenn mit ihr keine entsprechenden materiellen oder immateriellen Schäden einhergehen. Der in der VO 2016/679 geregelte Ersatz immaterieller Schäden erstreckt sich nicht auf bloßen Ärger, zu dem die Verletzung ihrer Vorschriften bei der betroffenen Person geführt haben mag.“ Zum anderen, und das ist entscheidend, kann sich aus dem Gesichtspunkt des Schadensersatzes nur dann ein Unterlassungsanspruch ergeben, wenn die erfolgte Verletzungshandlung noch andauert oder der pflichtwidrig geschaffene Zustand fortdauert. Der Kl. verlangt hier jedoch nicht die Beseitigung von Datenweitergaben, welche anlässlich der drei behaupteten Nutzungen der Website erfolgt sind, oder die Beseitigung von deren Folgen, sondern die Unterlassung von Datenübermittlungen bei einer künftigen Nutzung der Online-Shop-Seite der Bekl. Es handelt es insofern um einen vorbeugenden Unterlassungsanspruch.

OLG München Entscheidung v. 23.3.2023 – 5 W 194/23e = ZD 2023, 618

0 EUR Die Frage, ob ein Verstoß gegen die DS-GVO für das Entstehen eines Schadensersatzanspruchs gem. Art. 82 Abs. 1 DS-GVO ausreicht oder es darüber hinaus der Darlegung und des Nachweises eines konkreten Schadens bedarf, ist in Rspr. und Lit. umstritten. In der Kommentarliteratur wird zT vertreten, dass mit der Verletzung datenschutzrechtlicher Normen letztlich immer ein immaterieller Schaden einhergeht, soweit es nicht um reine Formfehler wie Verstöße gegen Dokumentationspflichten geht. Nach anderer Ansicht reicht der Verstoß alleine nicht aus, sondern muss auch ein Schaden eingetreten sein, der schlüssig darzulegen ist, wobei bloße Unannehmlichkeiten oder Bagatellschäden auszuschließen sind. Auch in der Rspr. gibt es hierzu divergierende Entscheidungen. Das Bundesverfassungsgericht hat vor diesem Hintergrund festgestellt, dass es mangels Klärung des Schadensbegriffs in Art. 82 Abs. 1 DS-GVO mit dem Recht auf den gesetzlichen Richter (Art. 101 Abs. 1 S. 2 GG) unvereinbar ist, wenn ein letztinstanzliches Gericht bei Entscheidungserheblichkeit dieser Frage seiner Vorlagepflicht an den EuGH entgegen Art. 267 Abs. 3 AEUV nicht nachkommt. Das BAG hat zwischenzeitlich u. a. im Hinblick auf Art. 82 Abs. 1 DS-GVO den EuGH um Vorabentscheidung gem. Art. 267 AEUV ersucht und hierbei die Ansicht vertreten, dass bereits die Verletzung der DS-GVO selbst zu einem auszugleichenden immateriellen Schaden führt. Vorliegend durfte daher der Bekl. Prozesskostenhilfe im Hinblick auf die mit Schriftsatz v. 7.12.2021 angekündigte widerklagende Verfolgung immaterieller Schadensersatzansprüche nicht versagt werden. Der Beschluss des LG München I v. 25.1.2023 war daher im Umfang der sofortigen Beschwerde aufzuheben und Prozesskostenhilfe auch insoweit zu bewilligen, § 572 ZPO.

OLG Düsseldorf Urt. v. 9.3.2023 – 16 U 154/21 = ZD 2023, 750

0 EUR Dem Kl. steht, wie das LG ebenfalls im Ergebnis und mit zT überzeugender Begründung ausgeführt hat, auch kein Anspruch aus Art. 82 DS-GVO gegen die Bekl. auf Ersatz des von ihm geltend gemachten immateriellen Schadens wegen einer verzögerlichen und unvollständigen Datenauskunftserteilung zu. Die Voraussetzungen für einen Geldentschädigungsanspruch in Bezug auf einen dem Kl. zugefügten immateriellen Schaden liegen nach Auffassung des Senats nicht vor, da es jedenfalls an der Darlegung des Eintritts eines Schadens bei dem Kl. fehlt, worauf bereits das LG im Rahmen seiner Entscheidung zumindest auch abgestellt hat. Die Frage, ob bereits der Datenschutzverstoß als solcher für das Entstehen eines Schadensersatzanspruchs ausreicht oder es darüber hinaus der Darlegung und des Nachweises eines konkreten (auch: immateriellen) Schadens bedarf, ist in Rspr. und Lit. umstritten. Sowohl der ÖOGH (Vorabentscheidungsersuchen v. 12.5.2021, ZD 2021, S. 631, wobei der ÖOGH die Auffassung vertritt, es sei der Nachweis eines Schadens erforderlich) als auch das Bundesarbeitsgericht (Vorabentscheidungsersuchen v. 26.8.2021 – 8 AZR 253/20-A, wobei das BAG den Nachweis eines Schadens nicht für notwendig hält) haben die hiermit zusammenhängenden Fragen dem EuGH zur Vorabentscheidung vorgelegt. Der Senat folgt im Ergebnis der Auffassung, wonach über den festgestellten Verstoß gegen die Vorschriften des DS-GVO hinaus Voraussetzung für eine Entschädigung in Geld der Nachweis eines konkreten (auch immateriellen) Schadens ist. Hierfür spricht zunächst bereits der Wortlaut von Art. 82 Abs. 1 DS-GVO, der über den Verstoß hinaus ausdrücklich die Entstehung eins Schadens („…Schaden entstanden ist“) voraussetzt. Dieser Differenzierung im Wortlaut hätte es nicht bedurft, wenn bereits der Verstoß als solcher konstitutiv für den Anspruch wäre. Hätte der Verordnungsgeber eine nur an den Rechtsverstoß anknüpfende, vom Nachweis eines konkreten Schadens unabhängige Zahlungspflicht anordnen wollen, hätte es zudem demgegenüber nahegelegen, dies – wie zB im Luftverkehrsrecht gem. Art. 7 Abs. 1 FluggastrechteVO (EG) 261/2004 – durch Pauschalen zu regeln. In dem Erwägungsgrund 146 S. 3 zu der DS-GVO heißt es zwar, dass der Begriff des Schadens im Lichte der Rspr. des EuGH weit auf eine Art und Weise ausgelegt werden soll, die den Zielen der Verordnung in vollem Umfang entspricht. Der Anspruch soll nach Erwägungsgrund 146 S. 6 sicherstellen, dass die betroffenen Personen einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten. Das schließt ein, dass Schadensersatzforderungen abschrecken und weitere Verstöße unattraktiv machen sollen. Der Begriff des Schadens in Art. 82 DS-GVO ist autonom auszulegen, mithin kommt es nicht darauf an, ob ein bestimmter Schaden nach nationalem Recht als Schaden angesehen werden könnte. Auch hiernach ist der Schaden jedoch nicht mit der zugrunde liegenden Rechtsgutsverletzung gleichzusetzen. Denn ausdrücklich muss der Schaden „erlitten“ werden, woraus folgt, dass dieser tatsächlich entstanden sein muss und nicht lediglich befürchtet wird. Der bloße Verstoß gegen Bestimmungen der DS-GVO reicht daher nicht aus. Das Vorliegen eines konkreten – immateriellen – Schadens, etwa Ängste oder starken Stress, hat der Kl. vorliegend nicht dargetan. Soweit der Kl. im Rahmen seiner Klageerweiterung mit Schriftsatz v. 7.4.2021 vorträgt, erschöpfen sich seine Ausführungen in der Darlegung des Datenschutzverstoßes – also einer verzögerlichen und seiner Ansicht nach unvollständigen Datenauskunftserteilung – ohne irgendwelche hierdurch bedingte Einbußen oder Beeinträchtigungen immaterieller Art aufzuzeigen. Diesen Vortrag ergänzt der Kl. auch zweitinstanzlich nicht. Vielmehr beruft er sich auch in der Berufungsbegründung letztlich auf seine – von dem Senat aus den vorstehend dargestellten Erwägungen nicht geteilte – Ansicht, wonach allein der Datenschutzverstoß in der vorliegenden Konstellation einen Schaden begründe. Ergänzend verweist er auf seinen – wie dargestellt – bereits erstinstanzlich unzureichenden Vortrag. Nichts anderes gilt, soweit er im Schriftsatz v. 21.1.2023 einen „Kontrollverlust über die Daten“ als Schaden anführt. Dies stellt lediglich eine Umschreibung des von ihm geltend gemachten Gesetzesverstoßes dar, aber keinen davon zu unterscheidenden Schaden immaterieller oder materieller Art. Da sich die Ausführungen des Kl. letztlich im Wesentlichen auf die Darlegung seiner abweichenden Rechtsauffassung, unter Bezugnahme auf Rspr. und Lit. beschränken, aber keinerlei Tatsachenvortrag enthalten, der geeignet wäre, einen etwaigen immateriellen Schaden konkret des Kl. zu belegen, vermag der Senat, der – ebenso wie das LG – zum Erfordernis der Darlegung eines Schadens eine vom Kl. abweichende Rechtsauffassung vertritt, auch keine Verletzung dessen Anspruchs auf Gewährung rechtlichen Gehörs zu erkennen. Auf den konkreten Umfang des Auskunftsanspruchs gem. Art. 15 Abs. 13 DS-GVO und darauf, ob entgegen dem LG die unter Berücksichtigung der in Art. 12 Abs. 3 S. 1 DS-GVO verzögerliche Aukunftserteilung eine taugliche Verletzungshandlung iSd Art. 82 Abs. 1 DS-GVO darstellt, kommt es nach dem Vorstehenden an dieser Stelle mithin nicht entscheidungserheblich an. Hinsichtlich der datenschutzrechtlichen Ansprüche des Kl. auf Zahlung eines Schadenersatzes liegt eine grundsätzliche Bedeutung iSd § 543 Abs. 2 Ziff. 1 ZPO vor, da die Voraussetzungen des Geldentschädigungsanspruchs nach Art. 82 Abs. 1 DS-GVO und das Verständnis dieser Vorschrift bislang nicht höchstrichterlich geklärt sind und sich nicht unmittelbar aus den Regelungen der DS-GVO ergeben.

KG Beschl. v. 17.2.2023 – 10 U 146/22 = ZD 2023, 464

0 EUR Dem Kl. steht ggü. dem Bekl. der auf Art. 82 Abs. 1 DS-GVO gestützte Schadenersatzanspruch wegen mehrerer geltend gemachter Datenschutzverstöße nicht zu. Zur Begründung, warum die Berufung offensichtlich unbegründet ist, nimmt der Senat gem. § 522 Abs. 2 S. 3 ZPO Bezug auf seine Verfügung v. 4.1.2023. Dort heißt es u. a.: „Mit dem LG ist davon auszugehen, dass dem Kl. auch wegen der Weitergabe von Daten an Rechtsanwalt … kein Anspruch aus Art. 82 Abs. 1, Abs. 2 S. 1 DS-GVO zusteht. Der Senat schließt sich der Begründung des Landgerichts an, dass die Datenverarbeitung nach Art. 6 Abs. 1 UAbs. 1 lit. f DS-GVO zulässig war. Die Berufung könnte insoweit iÜ unzulässig sein, da das LG die Abweisung dieses Anspruches auf eine weitere Begründung gestützt hat, nämlich an der fehlenden Darlegung eines kausal verursachten Schadens. Mit dieser weiteren Begründung setzt sich die Berufung aber nicht auseinander. Hat das Erstgericht die Abweisung der Klage auf mehrere voneinander unabhängige, selbstständig tragende rechtliche Erwägungen gestützt, muss die Berufungsbegründung indes jede dieser Erwägungen angreifen. Mit dem LG ist ferner davon auszugehen, dass dem Kl. auch wegen der Weitergabe von Daten an die Eheleute … kein Anspruch aus Art. 82 Abs. 1, Abs. 2 S. 1 DS-GVO zusteht. Zum einen, weil nicht erwiesen ist, dass der Bekl. die medizinischen Unterlagen des Kl. den Eheleuten … übergeben hat. Zum anderen, weil der Bekl. darauf vertrauen durfte, dass Rechtsanwalt … die medizinischen Unterlagen nicht für andere Zwecke einsetzt. Die Berufung könnte insoweit iÜ auch an dieser Stelle unzulässig sein, da das LG die Abweisung dieses Anspruches auf eine weitere Begründung gestützt hat, nämlich an der fehlenden Darlegung eines kausal verursachten Schadens. Mit dieser weiteren Begründung setzt sich die Berufung aber nicht auseinander. Hat das Erstgericht die Abweisung der Klage auf mehrere voneinander unabhängige, selbstständig tragende rechtliche Erwägungen gestützt, muss die Berufungsbegründung indes jede dieser Erwägungen angreifen. IÜ bestehen Bedenken wegen der Fassung des Hauptantrages. Zwar hat der Kl. für die von ihm beantragte Geldentschädigung eine Größenordnung angegeben. Nach der ständigen Rspr. des BGH müsste der Kl. für seine offene Antragstellung aber zusätzlich auch die Berechnungs- bzw. Schätzungsgrundlagen umfassend darlegen. Hieran dürfte es fehlen. Der Kl. hat zu diesen Hinweisen mit Schriftsatz v. 31.1.2023 Stellung genommen. Diese Stellungnahme führt zu keiner anderen Bewertung. Hinsichtlich der vom Kl. beanstandeten Datenschutzverstöße durch Beiträge auf dem vom Bekl. betriebenen Blog auf dessen Internetseite kann sich der Bekl. auf das Medienprivileg berufen, weil er die Beiträge zu journalistischen Zwecken veröffentlicht hat. Soweit der Kl. hierzu unter Bezugnahme auf das Gutachten der Berliner Beauftragten für Datenschutz und Informationsfreiheit eine andere Auffassung vertritt, ist der Senat an deren rechtliche Beurteilung nicht gebunden. Vielmehr hat er das Vorliegen der Voraussetzungen für den geltend gemachten Schadenersatzanspruch nach Art. 82 Abs. 1 DS-GVO eigenständig zu prüfen. Die Auffassung des Kl., er habe erstinstanzlich zu den entstandenen Schäden ausreichend vorgetragen, dass er durch die Weitergabe der Gesundheitsdaten an seine Vermieter „öffentlich bloßgestellt“ worden sei, was eine „entsprechende Kompensation indiziere“, genügt dies nicht, um hinreichend nachvollziehbar darzulegen, dass der Schaden in der mit dem Antrag zu Ziffer 1. geltend gemachten Höhe liegt. Selbst wenn zu seinen Gunsten angenommen wird, dass es für die Zuerkennung eines Schadenersatzanspruchs der bloße – hier gerade nicht vorliegende – Verstoß gegen die „datenschutzrechtliche Gesetze“ ausreiche, lässt sich daraus jedenfalls die angemessene Höhe nicht herleiten. Solche Angaben lassen sich auch nicht dem erstinstanzlichen Vortrag entnehmen, worauf der Senat mit der Verfügung v. 4.1.2023 hingewiesen hat. Soweit der Kl. meint, für die Höhe des Schadenersatzanspruchs sei zu berücksichtigen, dass durch den Bekl. medizinische Daten an die Eheleute … bzw. deren Anwalt gelangt seien, genügt dies nicht. Wie ausgeführt, ist eine Weitergabe der Daten an die ehemaligen Vermieter durch den Bekl. nicht erwiesen. In Bezug auf Rechtsanwalt … durfte der Bekl. darauf vertrauen, dass dieser als Rechtsanwalt die Unterlagen unter Berücksichtigung seiner berufs- und standesrechtlichen Pflichten nicht weitergeben würde.

OLG Koblenz Urt. v. 13.2.2023 – 12 U 2194/21 = ZD 2024, 41

0 EUR Soweit der Kl. Schadensersatz für ihm durch die vermeintlich unberechtigte(n) Einmeldung(en) nach seiner Behauptung entstandene Schäden verlangt, vermag der Senat einen anspruchsbegründenden Sachverhalt nicht zu erkennen. Voraussetzung für eine Entschädigung in Geld der Nachweis eines konkreten (auch immateriellen) Schadens ist. Der Schaden muss erlitten sein, dh entstanden sein und nicht nur befürchtet werden. Hieran fehlt es im vorliegenden Fall; jedenfalls hat der Kl. zur Überzeugung des Senats einen solchen ihm entstandenen Schaden nicht dargelegt. Soweit der Kl. vorträgt, es habe ein Scheitern einer Immobilienfinanzierung gedroht, ist festzuhalten, dass ein solcher Schaden glücklicherweise offenbar nicht eingetreten ist. Ein lediglich drohender oder von dem Betroffenen befürchteter materieller Schaden reicht für sich genommen nicht, wenn sich hieraus keine Weiterungen – wie vorliegend nicht erkennbar und von dem Kl. auch nicht substantiiert vorgetragen – ergeben. Für die Frage, ob ein ausgleichsfähiger Schaden vorliegt, sind jedoch – wie bei der Bemessung des immateriellen Schadens nach nationalem Recht (vgl. zB § 253 BGB) auch – entsprechend den Ausführungen des Generalsanwalts in seinen Schlussanträgen die tatsächlichen individuellen Verhältnisse des „Geschädigten“ zu berücksichtigen; es ist darauf abzustellen, wie sich das „Schadensereignis“ konkret bei ihm ausgewirkt hat. Insoweit genügt der Kl. seiner Darlegungslast nicht, wenn er unter Hinweis auf die Entscheidung des 5. Zivilsenats des OLG Koblenz vorträgt, die unberechtigt weitergegebenen Daten seien geeignet gewesen, seine Kreditwürdigkeit erheblich herabzusetzen und seine Teilhabe am Wirtschaftsleben zu erschweren und „diese allgemein vorgetragenen potentiellen Schwierigkeiten bei der Teilhabe am Wirtschaftsleben … sind ausreichend, einen … bereits entstandenen – und nicht erst zu befürchtenden … – immateriellen Schaden iSd Ausgleichsfunktion darzulegen“. Gleiches gilt in Bezug auf die Behauptung des Kl., er habe „ca. 20 Stunden in Schriftverkehr, Telefonate usw. investiert“. Unabhängig von der Tatsache, dass auch diese pauschale Behauptung nicht mit Substanz gefüllt ist, sind im vorliegenden Fall jedenfalls die besonderen Umstände (wird nachfolgend ausgeführt) zu berücksichtigen, die der Sache hier ein eigenes Gepräge verleihen und sie damit entgegen den den vorgenannten Entscheidungen jeweils zugrundeliegenden Sachverhalten einer abweichenden rechtlichen Bewertung zuführen. Dabei hat der Senat durchaus Verständnis für die Argumentation des Kl., der unter Berufung auf die in diesem Zusammenhang auszugsweise zitierte Entscheidung des OLG Nürnberg, in der es heißt: „…und hierbei insb. der über die zweimalige Kündigung ihres Dispositionskredits hinausgehenden Sorgen und Probleme mit ihrer Hausbank, die die Kl. mit ihrem Schriftsatz v. 17.2.2022 konkret und umfassend dargelegt hat, ist ein Schadensersatz von … angemessen“, die Auffassung vertritt, schon der allgemeine Lauf der Dinge bringe es mit sich, dass bestehende Ungereimtheiten mit der kreditführenden Bank stets zu Unannehmlichkeiten führten, die einen finanziellen Ausgleich in Form von Schadensersatz verdienten. Diese Rechtsauffassung wird in ihrer Tendenz auch in der Entscheidung des OLG Frankfurt deutlich, wenn es dort heißt: „Die Verletzung von Persönlichkeitsrechten zeichnet sich gerade dadurch aus, dass nicht zwangsläufig eine bilanzierungsfähige Vermögensminderung auf Seiten des Verletzten eintritt, sondern oft ausschließlich seelischer oder moralischer Unbill und Aufwendung der Ressource Zeit.“ Die „ungefilterte“ Übernahme dieser rechtlichen Feststellung würde jedoch die Besonderheiten des vorliegenden Falles außer Acht lassen und der Wertigkeit des von dem Kl. behaupteten Verstoßes der Bekl. gegen die datenschutzrechtlichen Grundsätzen nicht gerecht werden. Wie bereits ausgeführt, resultierte das vermeintliche Unrecht, das dem Kl. infolge der Einmeldung an die SCHUFA widerfahren ist bzw. sein könnte, nicht daraus, dass die Bekl. die titulierte Verbindlichkeit überhaupt gemeldet hat, sondern ist allenfalls darin zu sehen, dass dem Kl. nicht ausreichend Gelegenheit gegeben wurde, dieser Maßnahme entgegenzuwirken, weil er – nach seiner Behauptung – nicht frühzeitig vorgewarnt und über die Folgen aufgeklärt worden sein soll. Dass es zu dieser „einmeldefähigen“ Sollstellung hier überhaupt gekommen ist, ist indes nicht der Bekl. zuzuschreiben, sondern dem Kl., der einen Ausgleich der Forderung erst nach deren Titulierung vorgenommen hat. Bei dieser Sachlage erscheint es dem Senat selbst unter Berücksichtigung eines von dem BAG zugrundegelegten spezial- bzw. generalpräventiven Charakters des Art. 82 Abs. 1 DS-GVO (so das BAG) und unter Berücksichtigung einer dieser unionsrechtlichen Bestimmung (vermeintlich) immanenten Genugtuungsfunktion für den Betroffenen im vorliegenden Fall nicht vertretbar, jede Unannehmlichkeit und Mühewaltung als anspruchsbegründenden Schaden zu werten. Dass es in Fällen von Säumnis bei der Tilgung von Verbindlichkeiten auch zu persönlichem Ärger und zu Komplikationen im Verhältnis zu den Gläubigern und/oder kreditführenden Instituten kommen kann mit der Folge, dass die Behebung einer solchen Situation ein gewisses Maß an finanziellem und/oder zeitlichem Aufwand erfordert, stellt ein allgemeines Lebensrisiko dar, dessen Bewältigung nicht schon nach einem niederschwelligen schadensrechtlichen Ausgleich verlangt. Selbst wenn der Kl. daher – nicht substantiiert, in einer der Beweisaufnahme zugänglichen Weise – behauptet, er habe ca. 20 Stunden aufwenden müssen, um eine drohende Kündigung seines Kredits abzuwenden und sich gegen sonstige nachteilige wirtschaftliche Folgen zu wehren, ist dieser Aufwand angesichts der besonderen Umstände des hier zu beurteilenden Sachverhalts nicht schadensersatzbewehrt. Dabei sieht sich der Senat auch im Einklang mit der Bewertung durch den GA in seinen Schlussanträgen v. 6.10.2022. Nach allem ist ein Anspruch des Kl. auf Schadensersatz vorliegend nicht gegeben.

OLG Hamm Urt. v. 20.1.2023 – 11 U 88/22 = ZD 2024, 104

100 EUR Die Klage ist zulässig, insb. auch hinsichtlich eines Anspruchs aus Art. 82 Abs. 1 DS-GVO. Art. 82 DS-GVO, der gem. Art. 288 Abs. 2 AEUV unmittelbar gilt, wird entgegen der Auffassung der Bekl. auch nicht durch § 839 BGB verdrängt. Es liegt auch ein Verstoß gegen die DS-GVO iSv Art. 82 Abs. 1 DS-GVO vor. Nach Wortlaut und Zielrichtung der Norm muss kein Verstoß gegen in der DS-GVO geregelte Datenschutzbestimmungen vorliegen; es genügt vielmehr ein Verstoß gegen die Verordnung selbst. Im Hinblick auf Erwägungsgrund 146 S. 1 DS-GVO muss allerdings bei einer Verarbeitung gegen die DS-GVO verstoßen worden sein. Die Beweislast für einen solchen Verstoß obliegt grundsätzlich dem Anspruchsteller, wobei die allgemeine Rechenschaftspflicht nach Art. 5 Abs. 2 DS-GVO zu Erleichterungen führen kann. Es liegt ein Verstoß gegen Art. 5 Abs. 1 lit. a DS-GVO vor. Es liegt auch ein Verstoß gegen Art. 5 Abs. 1 lit. f DS-GVO vor. Zudem liegt ein Verstoß gegen Art. 9 Abs. 1 DS-GVO vor. Ob auch ein Verstoß gegen Art. 32 Abs. 1 DS-GVO gegeben ist, den das LG bejaht hat, kann der Senat offen lassen. Ein eventueller Verstoß hätte ein geringes Gewicht und fiele neben den Verstößen gegen Art. 5 Abs. 1 lit. a und f und 9 Abs. 1 DS-GVO nicht ins Gewicht. Die Bekl. ist nicht gem. Art. 82 Abs. 3 DS-GVO von der Haftung befreit. Gem. Art. 82 Abs. 3 DS-GVO wird der Anspruchsverpflichtete von der Haftung befreit, wenn er in keinerlei Hinsicht für den schadensverursachenden Umstand verantwortlich ist. Verantwortung ist hier das Verschulden iSd deutschen Rechtsterminologie und nicht die datenschutzrechtliche Verantwortung. Das Verschulden wird nach dem Wortlaut der Norm grundsätzlich vermutet. Die allgemeinen Grundsätze des § 278 BGB gelten auch hier. Die Absendung der E-­Mail ohne das vorherige Entfernen der angehängten Excel-Datei ist zumindest als fahrlässig iSv § 276 Abs. 2 BGB einzustufen. Bei Beachtung der gebotenen Sorgfalt wäre vor dem Absenden der E-­Mail zunächst die angehängte Datei bemerkt und dann noch entfernt worden. Für das Verhalten ihrer Mitarbeiter haftet die Bekl. als Verantwortliche, ohne sich entlasten zu können. Soweit die Auffassung vertreten wird, Art. 82 Abs. 1 DS-GVO regle einen Fall verschuldensunabhängiger Haftung, kommt es auf die Entscheidung dieser Frage für den vorliegenden Fall nicht an, da von einem fahrlässigen und damit auch schuldhaften Verstoß auszugehen ist. Entgegen der Auffassung der Bekl. kann sie sich auch nicht unter Verweis auf § 831 Abs. 1 S. 2 BGB entlasten. Denn diese Exkulpationsregel ist nach Auffassung des Senats nicht anzuwenden. Zwar mag die Einordnung des Anspruchs aus Art. 82 DS-GVO als deliktischer Anspruch dafür sprechen, die allgemeinen Regeln des deutschen Deliktsrechts ergänzend heranzuziehen. Allerdings spricht bereits der Wortlaut von Art. 82 Abs. 3 DS-GVO dagegen. Dieser lässt eine Entlastung des Verantwortlichen oder Auftragsverarbeiters nur dann zu, wenn er in keinerlei Hinsicht für den Umstand, durch den der Schaden entstanden ist, verantwortlich ist. Hiernach genügt es nicht, dass der Verantwortliche bei einer arbeitsteilig organisierten Datenverarbeitung seine mit der Datenverarbeitung befassten Mitarbeiter sorgfältig aussucht und überwacht. Deswegen sind bei der Beurteilung dieser Frage auch die datenschutzrechtlichen Sonderregelungen mit ihren Organisationspflichten in den Blick zu nehmen, die auf diese Weise ausgehebelt werden könnten. Dies wäre mit dem von Art. 82 DS-GVO beabsichtigten wirkungsvollen und umfassenden Schadenersatz iSv Erwägungsgrund 146 S. 3 DS-GVO nicht zu vereinbaren. Dem Kl. ist auch ein immaterieller Schaden entstanden. Einen solchen sieht der Kl. insb. in dem mit dem Versand der Excel-Datei verbundenen Kontrollverlust seiner in der Datei aufgeführten personenbezogenen Daten und dem späteren Erhalt einer Phishing-E-­Mail am 18.8.2021, den er auf diesen Kontrollverlust zurückführt. Der Begriff des immateriellen Schadens iSv Art. 82 Abs. 1 DS-GVO ist – europarechtlich autonom und unter Berücksichtigung der in den Erwägungsgründen zur DS-GVO niedergelegten Zielsetzungen – weit auszulegen. Der Eintritt eines Schadens setzt auch nicht voraus, dass dem Betroffenen durch den Verstoß gegen die DS-GVO ein spürbarer Nachteil entstanden ist oder es zu einer objektiv nachvollziehbaren Beeinträchtigung von persönlichkeitsbezogenen Belangen mit gewissem Gewicht gekommen ist. Insoweit wird vertreten, dass für einen Bagatellverstoß ohne ernsthafte Beeinträchtigung bzw. für eine bloß individuell empfundene Unannehmlichkeit kein Schmerzensgeld zu gewähren sei. Ausgehend von dem bereits dargestellten Schadensbegriff gelten bei der Bemessung der Schadenshöhe die iRv § 253 BGB entwickelten Grundsätze; der Schaden ist nach § 287 ZPO zu schätzen. Eine wie auch immer geartete Sanktionswirkung neben dem Ausgleich eines konkret entstandenen immateriellen Schadens ist daher bei der Bemessung der dem Kl. zustehenden Entschädigung nicht in Betracht zu ziehen. Insoweit bestimmt Art. 83 DS-GVO, dass die zuständige Aufsichtsbehörde im Falle eines Verstoßes gegen die DS-GVO neben einem etwaigen individuellen Anspruch auf Schadenersatz nach Art. 82 Abs. 1 DS-GVO eine Geldbuße verhängen kann. Unter Beachtung der vorstehenden Erwägungen hält der Senat bei einer Gesamtbetrachtung des vorliegenden Falles und seiner Besonderheiten im Hinblick auf den eingetretenen dauerhaften Kontrollverlust und den Erhalt einer unerwünschten E-­Mail den durch das LG zuerkannten Betrag iHv 100 EUR für angemessen, aber auch ausreichend, um den beim Kl. eingetretenen immateriellen Schaden nach Maßgabe des in der DS-GVO geregelten Schadensersatzanspruchs zu kompensieren. Ein weitergehender Anspruch folgt auch nicht aus § 839 Abs. 1 S. 1 BGB iVm Art. 34 S. 1 GG, der grundsätzlich neben einem Anspruch nach Art. 82 Abs. 1 DS-GVO in Betracht kommt. Die Revision ist zuzulassen, da bislang eine höchstrichterliche Klärung der für den vorliegenden Fall der Geltendmachung eines Anspruchs auf immateriellen Schadensersatz nach Art. 82 Abs. 1 DS-GVO maßgeblichen Fragen – soweit ersichtlich – noch nicht erfolgt ist.

Landgerichte

 

LG Stuttgart Urt. v. 24.1.2024 – 27 O 92/23 = ZD 2024, 348 mAnm Splittgerber/Berchtold

0 EUR Der von der Kl. geltend gemachte Schadensersatzanspruch gem. Art. 82 DS-GVO setzt zunächst voraus, dass eine Verletzung des Schutzes personenbezogener Daten der Kl. vorgelegen hat. Dies erfordert, dass der Twitter-Account der Kl. von dem API-Bug betroffen gewesen ist, wobei ihre Betroffenheit von der Kl. zur vollen Überzeugung des Gerichts nachzuweisen ist (§ 286 ZPO). Diesen Nachweis hat die Kl. nicht geführt. Der Beweisantritt der Kl. besteht darin, dass die von dem australischen Sicherheitsforscher Tony Hunt betriebene Internetplattform https:///haveibeenpwned.com unter Eingabe der E-­Mail-Adresse der Kl. ihre Betroffenheit ausweise. Dem Beweisangebot der Kl., diese Internetseite in Augenschein zu nehmen und die E-­Mail-Adresse a[…]@aol.com einzugeben, ist das Gericht nachgegangen, wie in der mündlichen Verhandlung erörtert worden ist. Es trifft demnach zu, dass die Internetseite https:///haveibeenpwned.com die Betroffenheit der Kl. von dem API-Bug bei Twitter ausweist, was die Bekl. auch nicht ausdrücklich bestritten hat. Hieraus ergibt sich aber nicht der Vollbeweis, dass die Angaben auf der Internetseite https:///haveibeenpwned.com zutreffend sind und die Kl. von dem API-Bug tatsächlich betroffen ist. Soweit die Kl. immateriellen Schadenersatz wegen verzögerter Auskunftserteilung verlangt, ist ein solcher Anspruch schon nicht schlüssig vorgetragen. Selbst wenn zugunsten der Kl. unterstellt wird, dass ihr gegen die Bekl. ein Auskunftsanspruch aus Art. 15 DS-GVO zugestanden hat, die Bekl. mit der Auskunftserteilung in Verzug geraten ist und die Vorschrift des Art. 82 Abs. 1 DS-GVO auch den Verzugsschaden wegen verzögerter Auskunftserteilung erfasst, ist jedenfalls ein Schaden der Kl., der gerade auf die unterbliebene Auskunftserteilung zurückgeht, nicht dargelegt. Die Kl. begründet ihren immateriellen Schaden allein mit der Lästigkeit des erhöhten Spamaufkommens sowie der Sorge um die Sicherheit ihrer Daten. Dieser immaterielle Schaden ist nach dem Vorbringen der Kl. durch das von Hackern ausgenutzte Datenleck bei Twitter entstanden. Dass neben diesem immateriellen Schaden ein abgrenzbarer anderer immaterieller Schaden durch die verzögerte Auskunftserteilung entstanden wäre, ist weder schlüssig vorgetragen noch ersichtlich.

NEU LG Lüneburg Urt. v. 7.12.2023 – 5 O 6/23

500 EUR (+ 540,50 EUR außergerichtliche Rechtsanwaltskosten) Dem Kl. steht gem. Art. 82 DS-GVO ein Anspruch auf Ersatz immateriellen Schadens zu, den die Kammer wie tenoriert bemisst. Die Bekl. hat gegen Bestimmungen der DS-GVO verstoßen, indem sie dem Kl. Werbeemails zugeschickt hat, ohne dass dies nach Art. 6 Abs.1 DS-GVO gerechtfertigt war. Der Kl. hatte seine zunächst erteilte Einwilligung zu dem Erhalt von Werbeemails zuvor unbestritten widerrufen. Die Bekl. konnte folglich keinen rechtfertigenden Tatbestand gem. Art. 6 Abs. 1 lit. a DS-GVO mehr für den Versand der streitgegenständlichen Werbeemails darlegen. Die Verstöße haben nach dem – insoweit auch unwidersprochen gebliebenen und damit zugestandenen (§ 138 Abs.3 ZPO) Vorbringen des Kl. – kausal zu einem immateriellen Schaden geführt. Der Begriff des immateriellen Schadens ist unionsrechtlich autonom und in allen Mitgliedstaaten einheitlich auszulegen. Dabei muss der Schaden des Kl. nicht eine gewisse Erheblichkeit erreicht haben. Nach der Rspr. des EuGH ist Art. 82 Abs. 1 DS-GVO dahin auszulegen, dass er einer nationalen Regelung oder Praxis entgegensteht, die den Ersatz eines immateriellen Schadens iSd Bestimmung davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat. Wenngleich der immaterielle Schaden nach Erwägungsgrund 146 DS-GVO tatsächlich entstanden sein muss und nicht lediglich befürchtet werden darf, ist nach Erwägungsgrund 146 S.3 DS-GVO der Schadensbegriff weit auszulegen. Der EuGH verlangt unter Bezugnahme auf den Effektivitätsgrundsatz, dass Schadensersatzforderungen abschrecken und weitere Verstöße unattraktiv machen sollen. Als immaterieller Schaden kommen Ängste, Stress, Komfort- und Zeiteinbußen in Betracht. Hier hat der Kl. unbestritten viermal ggü. der Bekl. erklärt, dass er keine weiteren Werbeemails wünscht. Zweimal ließ der Kl. dies sogar von seinem bevollmächtigten Rechtsanwalt erklären. Dennoch hat die Bekl. dem Kl. weiterhin Werbeemails geschickt. Der bei dem Kl. dadurch verursache Ärger, Zeitverlust und Eindruck des Kontrollverlusts stellt einen Schaden iSd Norm dar. Die negativen Auswirkungen des Verstoßes gegen die DS-GVO liegen darin, dass sich der Kl. mit der Abwehr der von ihm unerwünschten Werbung auseinandersetzen musste. Dies sogar mehrfach, da die Bekl. seinen Widerruf der Einwilligung mehrfach missachtete. Der Umstand, dass sogar der Prozessbevollmächtigte des Kl. die Bekl. zweimal erfolglos zum Unterlassen aufforderte, ist geeignet bei dem Kl. den belastenden Eindruck der Hilflosigkeit und des Kontrollverlustes in Bezug auf seine Datenverarbeitung zu führen. Die Frage, ob Art. 82 DS-GVO eine vom Verschulden abhängige oder unabhängige Anspruchsgrundlage darstellt, kann dahinstehen. Denn vorliegend ist nichts vorgetragen oder ersichtlich, was gegen ein Verschulden der Bekl. spricht. Bei der Bestimmung der Höhe des Schadensersatzes, die der Kl. in das Ermessen des Gerichts gestellt hat, sind gem. § 287 Abs.1 S. 1 ZPO alle Umstände des Einzelfalls würdigen, insb. Art, Intensität und Dauer der erlittenen Rechtsverletzung. Auch bei der Höhe des Schadens ist der Effektivitätsgrundsatz zu berücksichtigen. Das Amtsgericht Pfaffenhofen (AG Pfaffenhofen, Endurteil v. 9.9.2021 – 2 C 133/21) entschied in einem ähnlichen Fall: „Die Höhe des Anspruchs ist dabei nicht willkürlich, sondern auf der Grundlage der inhaltlichen Schwere und Dauer der Rechtsverletzung zu beurteilen, unter Berücksichtigung des Kontexts, der Umstände eines Verstoßes. Genugtuungs- und Vorbeugungsfunktion können bei der Bezifferung eine Rolle spielen. Einerseits darf die Höhe des Schadensersatzes keine Strafwirkung entfalten. Andererseits reicht ein künstlich niedrig bezifferter Betrag mit symbolischer Wirkung nicht aus, um die praktische Wirksamkeit des Unionsrechts sicherzustellen“ Dabei sprach das AG Pfaffenhofen dem Kl. 300 EUR für eine unerwünscht erhaltene Werbeemail zu, wobei in dem dortigen Fall die Bekl. die Emailadresse des Kl. gänzlich ohne dessen Einwilligung erhalten hatte. Das AG Diez (Urt. v. 17.4.2018 – 7 O 6829/17) erachtete in dem Fall eines Versandes einer Werbeemail, mit welcher die Bekl. am 25.5.2018, als die DS-GVO Gültigkeit erlangte, eben aus diesem Grund und unter Bezugnahme hierauf nach einer Einwilligung zum Newsletter-Bezug anfragte, einen Schadensersatzanspruch als unbegründet. In einem ähnlichen Fall lehnte das AG Goslar (Urt. v. 27.9.2019 – 28 C 7/19) einen Schadensersatzanspruch ab, da es sich auch in dem dortigen Fall um lediglich eine Werbeemail handelte: „Für das Gericht ist aufgrund des Vortrags des Kl. ein Schaden indes nicht ersichtlich. Es handelte sich lediglich um eine einzige Werbe-E-­Mail, die nicht zur Unzeit versandt wurde und aufgrund ihres äußeren Erscheinungsbildes deutlich zeigt, dass es sich um Werbung handelt, so dass ein längeres Befassen mit der E-­Mail nicht notwendig war.“ Im Interesse einer effektiven Abschreckung und einer Kompensierung des erlittenen Schadens ist das Verhalten der Bekl. in Form der mehrfachen Missachtung des ausdrücklich erklärten Willens des Kl. als schadensersatzerhöhend zu berücksichtigen. Schadensersatzerhöhend ist ebenfalls die Häufigkeit des Verstoßes zu berücksichtigen. In dem vorliegenden Fall hat der Kl. in einem Zeitraum von knapp vier Monaten insgesamt dreizehn Werbeemails von der Bekl. erhalten. Er erhielt dabei jeweils 4 bzw. 5 Werbeemails in kurzer Zeitabfolge, teilweise fast täglich. Zu berücksichtigen ist allerdings auch, dass die Auswirkungen des Verstoßes gegen die DS-GVO den Wirkungsbereich des Kl. nicht verlassen haben. Es wurde durch den Verstoß kein Bereich berührt, der etwa die Beziehung des Kl. zu Dritten berührt.

LG Lübeck Urt. v. 7.12.2023 – 15 O 73/23 = ZD 20240059

500 EUR Der Antrag zu 1., soweit er immateriellen Schadensersatz wegen Datenschutzverstößen im Zusammenhang mit dem Scraping von Daten im Jahr 2019 betrifft, ist in Höhe von 500 EUR begründet. Die Kl. kann von der Bekl. aus Art. 82 DS-GVO Zahlung von 500 EUR verlangen. Es sind mehrere haftungsbegründende Verstöße der Bekl. gegen die einschlägigen Bestimmungen der DS-GVO festzustellen. Zum ersten liegt eine rechtswidrige Verarbeitung von Daten der Kl. durch die Bekl. vor. Des Weiteren stellt das Gericht einen unzureichenden Schutz der streitgegenständlichen Daten der Kl. durch die Bekl. fest. Die Bekl. hat gegen ihre Pflichten aus Art. 32 DS-GVO zur Ergreifung geeigneter technischer und organisatorischer Schutzmaßnahmen verstoßen. Jedoch wäre eine derartige Verletzung von Art. 25 DS-GVO jedenfalls nicht vom Schutzbereich des Art. 82 DS-GVO umfasst und kann daher keine Schadensersatzansprüche auslösen. Systematisch folgt dies bereits aus dem Umstand, dass Art. 82 Abs. 2 DS-GVO voraussetzt, dass der Schaden „durch eine Verarbeitung“ ausgelöst wurde, während Art. 25 DS-GVO Verhaltenspflichten normiert, die vor jeder konkreten Datenverarbeitung liegen und die generellen Voreinstellungen betreffen. Durch ein derartiges Verständnis der Art. 2582 DS-GVO wird der Wirkungsbereich des Art. 25 DS-GVO dabei auch nicht in unzulässiger Weise eingeschränkt. Vielmehr werden eventuelle Verstöße gegen Art. 25 DS-GVO bei diesem Verständnis auf Verschuldensebene relevant und hindern ggf. eine Entlastung des Normverpflichteten. Das vermag Gericht auch keine weiteren haftungsbegründenden Verstöße der Bekl. gegen die DS-GVO im Hinblick auf die vorgetragenen Verletzungen von Informationspflichten zu erkennen. Es kann offenbleiben, ob – was nahe liegt – die Bekl. ihre Meldepflichten aus Art. 3334 DS-GVO verletzt und weder die Aufsichtsbehörde gem. Art. 33 DS-GVO noch die Kl. entsprechend ihrer unverzüglich zu erfüllenden Verpflichtung aus Art. 34 Abs. 1 DS-GVO informiert hat. Auf entsprechende Verstöße lässt sich ein immaterieller Schadensersatzanspruch vorliegend jedenfalls nicht stützen, weil nicht zur Überzeugung der Kammer festgestellt werden kann, dass die etwaige Verletzung dieser Pflichten für den geltend gemachten Schaden der Kl. überhaupt (mit-)kausal geworden ist und diesen zumindest vertieft hat. Soweit nach den obigen Ausführungen haftungsbegründende Verletzungen der DS-GVO vorliegen, sind diese auch von der Bekl. zu vertreten. Dabei kann für das vorliegende Verfahren dahinstehen, ob Art. 82 DS-GVO eine verschuldensunabhängige Haftung begründet, eine Gefährdungshaftung mit der bloßen Möglichkeit der rechtsvernichtenden Einwendung fehlenden Verschuldens oder ob mit der wohl h. M. angenommen werden kann, Art. 82 Abs. 3 DS-GVO enthalte ein Verschuldenserfordernis iSd gängigen deutschen Terminologie mit einer entsprechenden Vermutung zu Lasten des Normverletzers und einer bei dem Verpflichteten liegenden Beweislast, dass weder Vorsatz noch Fahrlässigkeit vorlag. Denn selbst wenn Art. 82 DS-GVO eine Exkulpationsmöglichkeit nach gängiger deutscher Terminologie zukommen würde, wäre der Bekl. eine Exkulpation nicht gelungen. Des Weiteren liegt auch ein ersatzfähiger Schaden iSv Art. 82 Abs. 1 DS-GVO vor. Ein immaterieller Schaden iSd Art. 82 DS-GVO liegt zur Überzeugung der Kammer jedenfalls immer dann vor, wenn ein Verstoß gegen die DS-GVO in der Folge zu einer konkreten, vom Verstoß selbst unterscheidbaren Rechtsgutverletzung geführt hat. Der Schaden beruht kausal auf den oben festgestellten Verstößen. Es gelten für die Bemessung der Höhe des immateriellen Schadens die Grundsätze des § 253 BGB. Auch herangezogen werden können dabei die Kriterien des Art. 83 Abs. 2 DS-GVO. Der Antrag zu 1., soweit er immateriellen Schadensersatz im Zusammenhang mit der etwaigen Verletzung des Auskunftsanspruchs der Kl. gem. Art. 15 DS-GVO betrifft, ist unbegründet. Die Kl. kann von der Bekl. aus Art. 82 DS-GVO insoweit keine Zahlung immateriellen Schadensersatzes verlangen. Es lässt sich bereits eine Verletzung des Auskunftsanspruches durch die Bekl. nicht feststellen. Die vorgerichtlichen Rechtsanwaltskosten sind Teil des gem. Art. 82 Abs. 1 DS-GVO zu ersetzenden Schadens.

LG Freiburg Urt. v. 24.11.2023 – 10 O 3710/22

800 EUR Die Kl. hat gegen die Bekl. gem. Art. 82 Abs. 1 DS-GVO Anspruch auf immateriellen Schadenersatz iHv 800 EUR aufgrund der Verletzung von Vorschriften der DS-GVO. Der Maßstab für Verstöße gegen die DS-GVO iSd Art. 82 Abs. 1 DS-GVO ist weit zu fassen. Es kommen materielle wie formelle Verstöße in Betracht. Auch ist nicht allein auf die Datenverarbeitung abzustellen. Vielmehr können sämtliche Maßnahmen, so auch Vorbereitungsmaßnahmen, einen entsprechenden Anspruch begründen. Dies ergibt sich aus dem Wortlaut des Art. 82 Abs. 1 DG-SVO selbst, der allgemein von „Verstoß gegen die DS-GVO“ spricht und damit jeglichen Verstoß einschließt. Etwas Anderes folgt nicht etwa aus Erwägungsgrund 146 S. 1. Soweit dort von Schäden, die einer Person aufgrund einer „Verarbeitung“ entstehen, die mit dieser Verordnung nicht im Einklang steht, die Rede ist, ist dies nicht etwa dahingehend aufzufassen, dass nur Verstöße bei der Verarbeitung von Daten im engeren Sinne gemeint sind. Dies widerspräche dem in Art. 1 Abs. 2 DS-GVO postulierten Ziel der Verordnung, die Grundrechte und Grundfreiheiten natürlicher Personen und insb. deren Recht auf Schutz personenbezogener Daten zu schützen. Vielmehr bezieht sich die gesamte DS-GVO auf die Verarbeitung von Daten und stellt Regeln auf, die bei der dem sachlichen Anwendungsbereich gem. Art. 2 unterfallenden Datenverarbeitung einzuhalten sind. Der EuGH hat aus der Rechenschaftspflicht aus Art. 5 Abs. 2 DS-GVO nunmehr dem Verantwortlichen ausdrücklich die Darlegungs- und Beweislast für die Rechtsmäßigkeit der Datenverarbeitung gem. Art. 6 Abs. 1 DS-GVO auferlegt. Eine Eingrenzung folgt auch nicht aus dem Wortlaut von Art. 82 Abs. 2-5 DS-GVO dadurch, dass diese jeweils wörtlich auf die Verarbeitung abstellen. Diese Absätze des Art. 82 DS-GVO dienen lediglich der Abgrenzung der Haftung mehrerer Anspruchsgegner im Innenverhältnis, weil dort auf die Auftragsverarbeiter betreffenden Pflichten abgestellt wird und nicht auf die durch sie getätigten Verarbeitungsschritte. Auch dass die letztliche Haftung bei mehreren Anspruchsgegnern von der Verantwortlichkeit für den jeweils verletzten Umstand abhängt, Art. 82 Abs. 3 DS-GVO, also erneut nicht auf eine konkrete Verarbeitungstätigkeit abgestellt wird, spricht gegen eine Eingrenzung des Art. 82 Abs. 1 DS-GVO. Auch die englische und französische Sprachfassung verwenden entsprechende Formulierungen in den jeweiligen Absätzen. Vor diesem Hintergrund sind die wörtlichen Bezüge „durch eine Verarbeitung“ in Abs. 2 sowie „aufgrund einer Verarbeitung“ so zu verstehen, dass diese lediglich auf einen Bezug zu einer Verarbeitung deuten. Das ist auch schon deswegen konsequent, weil die Anwendung der DS-GVO selbst eine Verarbeitung voraussetzt, Art. 2 Abs. 1 DS-GVO. Keine Vorschrift der DS-GVO inkl. des Art. 82 Abs. 1 DS-GVO ist überhaupt anwendbar, solange überhaupt gar keine Verarbeitung stattfindet. In diesem Verständnis ist es aber auch nur konsequent, dass diese vorhergehenden und nachfolgenden Pflichten der DS-GVO in Bezug auf eine Verarbeitung die Schadensersatzpflicht ebenso auslösen. Diese Auslegung entspricht auch dem in Art. 1 Abs. 2 DS-GVO postulierten Ziel, die Grundrechte und Grundfreiheiten natürlicher Personen und insb. deren Recht auf Schutz personenbezogener Daten zu schützen. Verstoß gegen Art. 13 DS-GVO (Informationspflicht) und Art. 6 DS-GVO (Rechtmäßigkeit der Verarbeitung), indem sie entgegen Art. 5 Abs. 1 lit. a, Art. 6 Abs. 1 lit. a DS-GVO die Zuordnung von Name zu Telefonnummer und Facebook ID (Telefonnummernzuordnung) und weiterer Daten ggü. Dritten offenlegt hat. Die Bekl. hat zudem gegen die Verpflichtung gem. Artt. 24, 32, 5 Abs. 1f) DS-GVO, die Sicherheit der Verarbeitung zu gewährleisten, verstoßen, indem sie keine ausreichend geeigneten technischen und organisatorischen Maßnahmen getroffen hat, um die personenbezogenen Daten der Kl., namentlich ihre Facebook-ID, Vorname, Nachname und Arbeitgeber gegen unbefugten Zugriff zu schützen. Die Bekl. hat überdies gegen das in Art. 25 Abs. 2 DS-GVO normierte Gebot, Datenschutz durch datenschutzfreundliche Voreinstellungen zu gewährleisten, verstoßen, indem sie standardmäßig die Suchbarkeit der Nutzer über deren Telefonnummer „für alle“ voreingestellt hat. Ein Verstoß gegen diese Vorschrift kann zu einem Schadenersatzanspruch iSd Art. 82 DS-GVO führen, weil aus der Verletzung der sich aus Art. 25 DS-GVO ergebenden Pflichten eine Erhöhung der Gefahr eines Schadenseintritts resultiert. Der Mindestinhalt der Meldung ist in Art. 33 Abs. 3 DS-GVO festgelegt. Dem ist die Bekl. vorliegend nicht nachgekommen. Ob auch ein Verstoß gegen Art. 34 Abs. 1 DS-GVO vorliegt, kann hier offenbleiben. Ob die Bekl. dem vorgerichtlichen Auskunftsersuchen der Kl. über ihre personenbezogenen Daten nicht in ausreichendem Maße nachgekommen ist und dadurch gegen Art. 15 DS-GVO verstoßen hat, kann dahinstehen. Denn die Ungewissheit über die Verarbeitung der eigenen Daten deckt sich mit dem Schaden durch den eigentlichen Verstoß. Ein eigenständiger Schadensersatzanspruch aufgrund einer Verletzung der Auskunftspflicht kommt nur in Betracht, wenn die fehlende Auskunft einen Schaden zumindest verschärft hat. Dies ist hier nicht zu erkennen, weil die Kl. nicht ansatzweise darlegt welche Schritte sie bei einer ausreichenden Auskunft vorgenommen hätte und wie das einen Schaden vermindert hätte. Die Bekl. kann sich nicht gem. Art. 82 Abs. 3 DS-GVO, der das Verschulden widerleglich vermutet, exkulpieren. Soweit in der Vorschrift von der Verantwortlichkeit für den Schaden die Rede ist, ist dies iSv Verschulden aufzufassen. Art. 82 Abs. 3 DS-GVO ordnet eine Beweislastumkehr hinsichtlich des Verschuldens an. Der Anspruchsverpflichtete kann sich daher nur entlasten, indem er beweist, dass er die am Maßstab des Stands der Technik und im Verkehr, dh am allgemeinen Schutzinteresse orientierte erforderliche Sorgfalt iSv § 276 Abs. 2 BGB angewendet hat. Der Kl. ist durch die Verstöße der Bekl. gegen die genannten Vorschriften DS-GVO ein immaterieller Schaden iSd Art. 82 Abs. 1 DS-GVO entstanden. Der Begriff des Schadens ist gem. Erwägungsgrund 146 S. 3 DS-GVO weit auf eine Art und Weise auszulegen, die den Zielen dieser Verordnung in vollem Umfang entspricht. Für einen Schadensersatzanspruch nach Art. 82 DS-GVO reicht allerdings der bloße Verstoß gegen die Bestimmungen der DS-GVO nicht aus. Es muss ein Schaden vorliegen. Der Ersatz eines immateriellen Schadens nach Art. 82 DS-GVO ist aber nicht davon abhängig, dass der entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht, so dass auch Bagatellschäden einen Schadensersatzanspruch begründen. Deshalb kann ein Schaden auch bereits in einem unguten Gefühl, in der Angst und Besorgnis liegen, dass personenbezogene Daten Unbefugten bekannt geworden sind, wenn die Gefahr besteht, dass die Daten unbefugt weiterverwendet werden. So führen die Erwägungsgründe 75 und 85 als möglichen Schaden u. a. den Verlust, die personenbezogenen Daten kontrollieren zu können, auf. Das Gericht schließt sich dabei dem Verständnis des Generalanwaltes im Verfahren gegen die Österreichische Post AG der Bedeutung des erwähnten Kontrollverlustes an. Danach verursacht der Verlust über die Kontrolle der Daten nicht zwangsläufig einen Schaden. Vielmehr adressiert die Erwähnung des Kontrollverlustes in den Erwägungsgründen – in sprachlicher Unschärfe – die möglichen Folgen dieses Verlusts wie etwa Angst oder Besorgnis, was mit den Daten geschehen könnte. Der EuGH hat in seiner hierzu ergangenen Entscheidung dieser Auffassung des Generalanwalts nicht widersprochen, sondern nur betont, dass über den auf dem DS-GVO beruhenden Datenverlust als solches ein immaterieller Schaden des Betroffenen festgestellt werden muss. Im streitgegenständlichen Fall trat der immaterielle Schaden durch die aufgrund des Scrapings beim Kl. nachvollziehbar ausgelöste Besorgnis bzgl. des weiteren Schicksals seiner persönlichen Daten ein, die damit – als ein mit seiner Telefonnummer verknüpfter Datensatz – im Netz kursierten. Denn dadurch erlitt er einen Kontrollverlust über seine Daten, der vorliegend mit dem subjektiv besorgniserregenden Risiko einherging, dass diese Daten etwa durch Identitätsdiebstahl unbefugt und schadensträchtig genutzt werden. Zu dieser allgemeinen Besorgnis treten die in der informatorischen Anhörung glaubhaft geschilderten Spam-Anrufe (ca. zwei bis drei Anrufe pro Woche) und SMS-Nachrichten (ca. ein bis zwei SMS pro Woche), die ihn wahnsinnig stören. Die erforderliche Kausalität zwischen den Verstößen der Bekl. gegen die DS-GVO und dem Schaden der Kl. liegt vor. Bei der Bestimmung des vom Kl. in das Ermessen des Gerichts gestellten Höhe des Schadenersatzes gem. § 287 Abs. 1 S. 1 ZPO sind alle Umstände des Einzelfalls zu würdigen. Die Kriterien des Art. 83 Abs. 2 DS-GVO, die Anhaltspunkte für die Höhe der von der Aufsichtsbehörde zu verhängenden Geldbuße geben sollen, können auch für die Bemessung des immateriellen Schadenersatzes herangezogen werden. Schadensersatzforderungen sollen abschrecken und weitere Verstöße unattraktiv machen. Bei der Festsetzung der Höhe des Schadensersatzes sind die mitgliedstaatlichen Vorschriften unter Berücksichtigung des unionsrechtlichen Effektivitätsgebots und Äquivalenzgebots anzuwenden. In Anbetracht der Ausgleichsfunktion des in Art. 82 DS-GVO vorgesehenen Schadenersatzanspruchs ist eine auf diese Bestimmung gestützte finanzielle Entschädigung „vollständig und wirksam“, wenn sie es ermöglicht, den aufgrund des Verstoßes gegen diese Verordnung konkret erlittenen Schaden in vollem Umfang auszugleichen, ohne dass ein vollumfänglicher Ausgleich die Verhängung von Strafschadenersatz erfordert. Die DS-GVO selbst enthält keine weiteren Bemessungsgrundsätze. Allerdings kann die Fluggastrechte-Verordnung als erster Anhaltspunkt dienen, die einen Ausgleichsanspruch i. H. v. 250 bis 600 EUR vorsieht. Die Fluggastrechte-Verordnung betrifft zwar einen gänzlich anders gelagerten Sachverhalt und gleicht auch nicht den Eingriff in das Recht zur informationellen Selbstbestimmung aus. Aber auch dieser Ausgleichsanspruch dient vorrangig dem Ausgleich eines immateriellen Schadens. Die Kl. hat gem. Art. 82 DS-GVO auch Anspruch auf Feststellung der Ersatzpflicht der Beklagten für materielle Schäden, die aus dem von der Bekl. nach dem Gesagten mitzuverantwortenden Scraping-Vorfall ggf. entstanden sind oder noch entstehen werden. Die vorgerichtlichen Rechtsanwaltskosten sind als Teil des zu ersetzenden Schadens gem. Art. 82 Abs. 1 DS-GVO zu erstatten.

LG Stuttgart Urt. v. 22.11.2023 – 18 O 17/23

0 EUR Ein Schadensersatzanspruch setzt das Vorliegen eines „Schadens“ ebenso wie das Vorliegen eines Verstoßes gegen die DS-GVO und eines Kausalzusammenhangs zwischen Verstoß und Schaden voraus, „wobei diese drei Voraussetzungen kumulativ sind“. Das bedeutet, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadensersatzanspruch zu begründen. Dementsprechend ist der Eintritt eines Schadens aufgrund des Datenvorfalls Voraussetzung dafür, dass ein Anspruch besteht. Ein materieller Schaden ist vorliegend nicht gegeben. Auch ein immaterieller Schaden liegt hier nicht vor. Es fehlt hier bereits am notwendigen Nachweis eines Kausalzusammenhangs, der sich grds. nach § 286 ZPO richtet. Es kann dahinstehen, welche Anforderungen an den entsprechenden Kausalnachweis zu stellen sind, um den Anspruch nicht von vornherein leerlaufen zu lassen. So – was vorliegend nicht zu entscheiden ist – könnte ein enger zeitlicher Zusammenhang zwischen Datenvorfall und unberechtigter Datenverwendung als hinreichender Nachweis ausreichend sein. Im vorliegenden Fall besteht ein solcher zeitlicher Zusammenhang aber gerade nicht. Wie die Kl. selbst ausführt, gab es vorliegend im Jahr 2020 drei Datenvorfälle, wobei der letzte im November 2020 sich ereignete. Die klägerseits behauptete missbräuchliche Verwendung der Daten erfolgte aber erst Anfang November 2022, somit über zwei Jahre nach dem ersten Datenvorfall und knapp zwei Jahre nach dem letzten Datenvorfall, selbst wenn man diesen Zeitpunkt zu Gunsten der Kl. zugrunde legen würde, sind es gleichwohl knapp zwei Jahre. Dieser Zeitraum ist jedenfalls zu lang, um einen Kausalitätsnachweis zu dem streitgegenständlichen Datenvorfall zu begründen. Die entsprechenden Daten sind auch anderen bekannt, so zB der Bank der Kl., teilweise sind die Daten zB die Adresse der Kl. öffentlich zugänglich über die Internetauskunft, jedenfalls auch im Familien und Freundes- und Bekanntenkreis bekannt (Handynummer/E-­Mail-Adresse), sodass ein Nachweis, dass die Täter bei PPoder D… die Daten aus dem Datenvorfall bei der Bekl. erlangt haben, im Konkreten nicht möglich ist. Des Weiteren reicht der Vortrag nicht aus, um einen immateriellen Schaden, der, wie dargelegt, eingetreten sein muss, bei der Kl. zu begründen. Es ist unstreitig nicht zu einem Identitätsdiebstahl gekommen. Dass – als solches grds. nachvollziehbare – diffuse Gefühl des Kontrollverlustes stellt aber keinen immateriellen Schaden iSv Art. 82 DS-GVO dar. Auch spricht gegen den Eintritt eines immateriellen Schadens, dass die Kl. nach wie vor Kunde bei der Bekl. ist und insofern in ihrer Anhörung auch das Vertrauen geäußert hat, dass die Bekl. alles getan hat, um entsprechende Datenverstöße zukünftig zu unterbinden. Der Antrag Ziffer 4 ist offensichtlich unbegründet. Auch hier fehlt es jedenfalls am Eintritt eines – immateriellen – Schadens. Es ist nicht einmal ansatzweise vorgetragen, dass die Kl. aufgrund der behaupteten verspäteten Auskunft eine Beeinträchtigung in irgendeiner Form erfahren hat. Der entsprechende Anspruch ist vielmehr abwegig. Die Kl. wurde unstreitig im Jahr 2020 von dem Datenvorfall unterrichtet. Gleichwohl hat sie auch hier nicht im zeitlichen Zusammenhang Auskunft bei der Bekl. begehrt, sondern dies erfolgte vielmehr erstmalig mit anwaltlicher E-­Mail v. 12.12.2022. Insofern wurde eine Frist von einem Monat ab Zugang des Schreibens gesetzt. Die Bekl. hat sodann noch im Dezember Auskunft erteilt. Die Kl. hat sodann nicht mehr substantiiert Stellung genommen. Sie hat daher nicht mal ansatzweise dargelegt, warum die Auskunft ungenügend gewesen sein sollte. Dementsprechend trägt die Kl. auch die Kosten, soweit der Rechtsstreit teilweise für erledigt erklärt wurde. Der Auskunftsanspruch war bereits erfüllt und von vornherein unbegründet.

LG Nürnberg Fürth Urt. v. 21.11.2023 – 10 O 3710/22

250 EUR Scraping-Sachverhalt. Wie LG Nürnberg-Fürth Urt. v. 20.10.2023 – 10 O 1510/22.

LG Stuttgart Urt. v. 3.11.2023 – 52 O 14/23

200 EUR Scraping-Sachverhalt.

LG Arnsberg Urt. v. 31.10.2023 – 7 O 691/22

0 EUR Der Kl. hat keinen Anspruch auf immateriellen Schadensersatz (in geltend gemachter Höhe von mindestens 2.000 EUR) als Ausgleich für angebliche Datenschutzverstöße und die angebliche Ermöglichung der unbefugten Ermittlung der Telefonnummer sowie weiterer personenbezogener Daten des Kl. Insb. ergibt sich ein Anspruch nicht aus Art. 82 Abs. 1 DS-GVO. Nach der Rspr. des EuGHs gibt es drei Voraussetzungen für die Entstehung eines Schadensersatzanspruchs nach Art. 82 DS-GVO, nämlich ein Verstoß gegen die Bestimmungen der DS-GVO, ein der betroffenen Person entstandener Schaden und ein Kausalzusammenhang zwischen Verstoß und Schaden. Es fehlt es an einem ersatzfähigen Schaden des Kl. iSd Art. 82 Abs. 1 DS-GVO. Es oblag dem Kl., einen über die angeblichen Datenschutzverstöße und über den damit mittelbar einhergehenden Kontrollverlust hinausgehenden immateriellen Schaden in Form einer persönlichen / psychologischen Beeinträchtigung aufgrund der Datenschutzverstöße und des Kontrollverlustes darzulegen. Der bloße Verstoß gegen die Vorschriften der DS-GVO reicht nicht aus, um einen Schadensersatzanspruch zu begründen. Es bedarf darüber hinaus der Darlegung und des Nachweises eines konkreten Schadens. Ein bestimmter Grad an Erheblichkeit muss hierbei nicht erreicht werden. Der nicht näher konkretisierte Klagevortrag dazu, der Kl. habe Gefühle eines Kontrollverlusts, eines Beobachtetwerdens und einer Hilflosigkeit, insgesamt also das Gefühl der Angst entwickelt, reicht zur Darlegung persönlich belastender Folgen der Datenschutzverletzung nicht aus, weil hiermit nicht genug Beweisanzeichen objektiver Art vorgetragen sind, in denen sich solche Gefühle widerspiegeln, und zwar bezogen auf den konkreten Einzelfall. Es fehlt jeglicher konkret-individuelle Vortrag dazu, wann, wie häufig und auf welchem Weg der Kl. konkret von Missbrauchsversuchen betroffen war und vor allem wie er darauf jeweils reagiert hat oder wie er unabhängig von diesen Versuchen allein durch die Veröffentlichung des Leak-Datensatzes betroffen war. Darüber hinaus fehlt es vorliegend auch an einer Kausalität. Es besteht auch kein Schadensersatzanspruch des Kl. gegen die Beklagte wegen Nichterteilung einer den gesetzlichen Anforderungen entsprechenden außergerichtlichen Datenauskunft. Denn die Bekl. ist ihrer Auskunftspflicht außergerichtlich ausreichend nachgekommen. Mangels Anspruchs in der Hauptsache besteht auch kein Anspruch auf Freistellung von außergerichtlichen Rechtsanwaltskosten gem. § 280 Abs. 1 BGB oder aus Art. 82 Abs. 1 DS-GVO.

LG Berlin Urt. v. 31.10.2023 – 27 O 315/22

0 EUR Einen Anspruch auf Schadensersatz aus Art. 82 Abs. 1 DS-GVO hat der Kl. nicht. Es kann dabei offenbleiben, ob in der Sperre überhaupt ein Verstoß gegen die DS-GVO liegt. Denn ein Verstoß gegen die Regeln der DS-GVO allein reicht für einen Schadensersatzanspruch nicht aus. Vielmehr muss ein konkreter Schaden eingetreten sein. Hierfür hat der Kl. nichts vorgetragen.

LG Mannheim Schlussurt. v. 31.10.2023 – 10 O 80/23 = ZD 2024, 291

500 EUR Die Kl. hat einen Anspruch gegen die Bekl. aus Art. 82 DS-GVO auf immateriellen Schadensersatz iHv 500 EUR. Dabei ist der Schaden nicht mit der zugrundeliegenden Rechtsgutverletzung gleichzusetzen. Vielmehr ist Voraussetzung für eine Entschädigung in Geld, das über den festgestellten Verstoß gegen die Vorschriften der DS-GVO hinaus der Nachweis eines konkreten (auch immateriellen Schadens) erbracht wird. Hierfür spricht bereits der Wortlaut von Art. 82 Abs. 1 DS-GVO, der über den Verstoß hinaus ausdrücklich die Entstehung eines Schadens (“…Schaden entstanden ist“) voraussetzt. Der Schaden muss „erlitten“ werden, woraus folgt, dass dieser tatsächlich entstanden sein muss und nicht lediglich befürchtet wird. Der größte Teil des klägerischen Vortrags beschränkt sich auf die Darlegung des Datenschutzverstoßes und abstrakte Ausführungen zu den Voraussetzungen und Rechtsfolgen eines Schadensersatzanspruches aus Art. 82 DS-GVO. So trägt die Kl. ausführlich dazu vor, welche Folgen eines Verstoßes gegen die DS-GVO in Betracht kommen, ohne dies in konkreten Zusammenhang mit der Kl. zu bringen; soweit ersichtlich wird zB nicht behauptet, dass die Kl. konkret Ängste oder Stress erlitten habe. Lediglich soweit es um Kontrollverlust und Zeiteinbußen der Kl. geht, erfolgt konkreter Vortrag, wenn vorgetragen wird: „Die erkennbaren Auswirkungen lagen vielmehr darin, dass die Kl. sich mit der Abwehr der von ihr unerwünschten Werbung und der Herkunft der Daten habe auseinandersetzen müssen. Gerade letzteres sei geeignet, zu einem durchaus belastenden Eindruck des Kontrollverlusts zu führen.“ Auch die Zeiteinbuße der Kl. wird konkret dargestellt, wenn vorgetragen wird, dass diese sich mit den Anrufen und deren Abwehr habe beschäftigen müssen anstatt ihrer Arbeit nachzugehen oder Freizeit zu haben. Dass insoweit ein Schaden bei der Kl. tatsächlich entstanden ist, bestreitet die Bekl. nicht, wenn sie lediglich zur Intensität des Eingriffes vorträgt und zB behauptet, die Entscheidungsfreiheit der Kl. sei durch den Anruf nicht erheblich beeinträchtigt. Eine Bezugnahme auf die Gründe eines Urteils in einem anderen Verfahren ist insoweit nicht behelflich, insb. da sich dieses Urteil zum Entstehen eines Schadens gar nicht verhält. Im Hinblick auf die obige Darstellung zum klägerischen Vortrag zu einem von der Kl. erlittenen Schaden hält das Gericht allerdings einen Betrag von 500 EUR für angemessen, aber auch völlig ausreichend als Kompensation. Mit der Zahlung dieses Betrags ist die „Belästigung“ der Kl. abgegolten; für das Gericht ist einsichtig, dass die Belastung mit ungewollten Anrufen nervt und belastet, hier geht es allerdings nicht um zahlreiche Anrufe und die Kl. hat auch nicht dargetan, dass sie in erheblichem Maße betroffen war. Soweit von einem Kontrollverlust der Kl. auszugehen ist, betraf dies – wie die Kl. selbst einräumt – nur einen begrenzten Bereich. Der Verlust hielt sich – wie die Kl. formuliert – im „eigenen“ Bereich. Der klägerische Anspruch ist auch nicht verjährt. Die einjährige Verjährungsfrist von § 11 Abs. 1 UWG kann vorliegend keine Anwendung finden, da ein Anspruchsgegner nicht nach § 11 Abs. 1 UWG privilegiert werden darf, wenn sein Verhalten sowohl gegen § 823 BGB und gegen die Normen der DS-GVO als auch gegen wettbewerbsrechtliche Normen verstößt. Dass die Regelverjährungsfrist nach §§ 195199 Abs. 1 BGB abgelaufen sein könnte, ist im Hinblick darauf, dass die Ansprüche auf Geschehnisse im Jahr 2021 gestützt werden, nicht ersichtlich. Die Beklagte kann sich daher nicht auf das Leistungsverweigerungsrecht nach § 214 Abs. 1 BGB berufen. Die Kl. hat Anspruch auf Ersatz ihrer außergerichtlichen Rechtsverfolgungskosten.

LG Nürnberg-Fürth Urt. v. 30.10.2023 – 10 O 133/23

250 EUR Scraping-Sachverhalt. Wie LG Nürnberg-Fürth Urt. v. 20.10.2023 – 10 O 1510/22.

LG Nürnberg-Fürth Urt. v. 30.10.2023 – 10 O 2852/22

250 EUR Scraping-Sachverhalt. Wie LG Nürnberg-Fürth Urt. v. 20.10.2023 – 10 O 1510/22.

LG Nürnberg-Fürth Urt. v. 20.10.2023 – 10 O 3586/22

250 EUR Scraping-Sachverhalt. Wie LG Nürnberg-Fürth Urt. v. 20.10.2023 – 10 O 1510/22.

LG Nürnberg-Fürth Urt. v. 20.10.2023 – 10 O 3248/22

250 EUR Scraping-Sachverhalt. Wie LG Nürnberg-Fürth Urt. v. 20.10.2023 – 10 O 1510/22.

LG Nürnberg-Fürth Urt. v. 20.10.2023 – 10 O 3026/22

250 EUR Scraping-Sachverhalt. Wie LG Nürnberg-Fürth Urt. v. 20.10.2023 – 10 O 1510/22.

LG Nürnberg-Fürth Urt. v. 20.10.2023 – 10 O 1510/22 = ZD 2024, 116 (Ls.)

250 EUR Der Kl. hat gegen die Bekl. einen Schadensersatzanspruch iHv 250 EUR gem. Art. 82 DS-GVO. Die Bekl. hat gegen Art. 5 Abs. 1 lit. a, Art. 6 Abs. 1 UAbs. 1 DS-GVO verstoßen, da sie vorliegend nicht den Nachweis einer rechtmäßigen Verarbeitung der Telefonnummer der Kl. gem. Art. 6 Abs. 1 UAbs. 1 DS-GVO erbringt. Ein Verstoß gegen Art. 5 Abs. 1 lit. a, Art. 6 Abs. 1 DS-GVO kann Schadensersatzansprüche nach Art. 82 DS-GVO begründen. Die Bekl. ist ihrer Verpflichtung zur Information über die Verarbeitung der Telefonnummer der Kl. gem. Art. 5 Abs. 1, Art. 13 DS-GVO nicht hinreichend nachgekommen. Eine Verletzung von den gem. Art. 13 DS-GVO bestehenden Informations- und Aufklärungspflichten ist vom Anwendungsbereich des Art. 82 DS-GVO erfasst. Die Bekl. hat gegen Art. 32. Abs. 1, Art. 24, Art. 5 Abs. 1 lit. f DS-GVO verstoßen, da sie keine hinreichenden technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten der Kl. getroffen hat. Bezüglich der Einhaltung der technischen und organisatorischen Maßnahmen ist die Bekl. im Zuge ihrer Rechenschaftspflicht aus Art. 5 Abs. 2 DS-GVO darlegungs- und beweisbelastet. Eine Verletzung von Art. 32 DS-GVO ist dabei generell vom Schutzbereich des Art. 82 DS-GVO umfasst. Die Bekl. hat vorliegend aus einer ex-ante Sicht keine hinreichenden technischen und organisatorischen Maßnahmen angemessen zum Risiko während des Zeitraums des Scraping-Vorfalls dargelegt und nachgewiesen. Ob ein Verstoß gegen Art. 25 DS-GVO vorliegt, kann vorliegend wegen seines organisatorischen Charakters und der Unanwendbarkeit des Art. 82 DS-GVO auf organisatorische Normen der DS-GVO offenbleiben. Allein aus einem Verstoß gegen Art. 25 DS-GVO kann wegen seines organisatorischen Charakters ein Anspruch nach Art. 82 Abs. 1 DS-GVO nicht begründet werden. Die Vorschrift entfaltet bereits vor dem eigentlichen Beginn der Datenverarbeitung ihren Regelungscharakter. Zu diesem, einer tatsächlichen Datenverarbeitung vorgelagerten Zeitpunkt, entfaltet die DS-GVO jedoch nach Art. 2 Abs. 1 DS-GVO noch keine Wirkung. Die Anwendbarkeit der DS-GVO setzt vielmehr eine tatsächliche Verarbeitung personenbezogener Daten voraus. Ein Anspruch aus Art. 82 DS-GVO setzt daher darüber hinaus voraus, dass weitere Verstöße gegen die DS-GVO vorliegen. Die Kl. ist der ihr obliegenden Darlegungslast bzgl. eines Schadens hinsichtlich etwaiger Verstöße gegen Art. 33 DS-GVO und Art. 34 DS-GVO nicht nachgekommen. Deshalb kann es vorliegend offenbleiben, ob ein Verstoß gegen Art. 33 DS-GVO und Art. 34 DS-GVO vorliegt und dieser vom Anwendungsbereich des Art. 82 DS-GVO umfasst ist. Hinsichtlich etwaiger Verstöße gegen Art. 3334 DS-GVO schließt sich das Gericht den Ausführungen des OLG Hamm an. Die Kl. hat einen kausalen Schaden durch den Kontrollverlust über ihre gescrapten personenbezogenen Daten erlitten. Für einen weitergehenden Schaden bleibt die Kl. darlegungs- und beweisfällig. Die Darlegungs- und Beweislast für einen kausalen Schaden nach Art. 82 DS-GVO trägt nach allgemeinen zivilprozessualen Grundsätzen der Anspruchsberechtigte. Der EuGH führt zur Darlegungs- und Beweislast aus, „dass eine Person, die von einem Verstoß gegen die DS-GVO betroffen ist, der für sie negative Folgen gehabt hat, [nicht] vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden iSv Art. 82 DS-GVO darstellen“. Daraus folgt, dass ein Betroffener eines Verstoßes gegen die DS-GVO einen immateriellen Schaden darlegen und beweisen muss. Eine Beweislastumkehr ist in Art. 82 Abs. 3 DS-GVO dem Wortlaut nach ausdrücklich nur bzgl. des Tatbestandsmerkmals des Verschuldens vorgesehen. Der Schadensbegriff des Art. 82 DS-GVO ist unionsrechtlich auszulegen und setzt nach dem Wortlaut der Norm, der Systematik und Telos des Art. 82 Abs. 2, Abs. 1 DS-GVO sowie der Art. 77 ff. DS-GVO und den Erwägungsgründen 75, 85 und 146 DS-GVO einen über den schlichten Verstoß gegen die DS-GVO hinausgehenden Schaden voraus. Ein Schaden iSd Art. 82 DS-GVO kann nach dem Wortlaut materieller oder immaterieller Art sein. Ein immaterieller Schaden liegt dabei jedoch noch nicht in der bloßen Verletzung einer Norm der DS-GVO. Ein solcher Schaden setzt nach Wortlaut, Erwägungsgründen 10, 146 DS-GVO und dem Telos nicht voraus, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat. Insoweit soll der Schadensersatzanspruch auch abschreckende Wirkung entfalten und eine wirksame Sanktionierung sein. Der Verantwortliche haftet lediglich für kausal durch die rechtswidrige Verarbeitung verursachte Schäden. Eine Mitursächlichkeit des Verstoßes gegen die DS-GVO genügt. Für die Frage der haftungsbegründenden Kausalität gilt § 286 ZPO. § 286 ZPO erfordert keine absolute oder unumstößliche Gewissheit und auch keine an Sicherheit grenzende Wahrscheinlichkeit, sondern nur einen für das praktische Leben brauchbaren Grad von Gewissheit, der Zweifeln Schweigen gebietet. Die Bekl. kann sich vorliegend auch nicht gem. Art. 82 Abs. 3 DS-GVO exkulpieren. Bei der Bemessung der Höhe des Schadensersatzes kann § 253 BGB herangezogen werden, sofern die unionsrechtlichen Grundsätze der Äquivalenz und Effektivität beachtet werden. Dabei können die Kriterien des Art. 83 Abs. 2 DS-GVO herangezogen werden. Der Ersatz vorgerichtlicher Rechtsanwaltskosten ist von Art. 82 Abs. 1 DS-GVO umfasst.

LG Itzehoe Urt. v. 18.10.2023 – 10 O 48/23

500 EUR Der Antrag, soweit er immateriellen Schadensersatz wegen Datenschutzverstößen im Zusammenhang mit dem Scraping von Daten im Jahr 2019 betrifft, ist in Höhe von 500 EUR begründet. Die Kl. kann von der Bekl. aus Art. 82 DS-GVO Zahlung von 500 EUR verlangen. Zum einen liegt eine rechtswidrige Verarbeitung von Daten der Kl. durch die Bekl. vor. Eine Verletzung von Art. 32 DS-GVO ist dabei generell vom Schutzbereich des Art. 82 DS-GVO umfasst. Ein Verstoß kann daher die Schadensersatzpflicht nach Art. 82 DS-GVO begründen. Es liegt auch ein derartiger, haftungsbegründender Verstoß vor. Jedoch wäre eine Verletzung von Art. 25 DS-GVO jedenfalls nicht vom Schutzbereich des Art. 82 DS-GVO umfasst und kann daher keine Schadensersatzansprüche auslösen. Soweit nach den obigen Ausführungen haftungsbegründende Verletzungen der DS-GVO vorliegen, sind diese auch von der Bekl. zu vertreten. Grds. ermöglicht Art. 82 Abs. 1 DS-GVO den Ersatz materieller und immaterieller Schäden. Ein materieller Vermögensschaden iSv § 249 BGB wurde von der Kl. nicht vorgetragen. Sie beruft sich jedoch erfolgreich auf das Vorliegen eines immateriellen Schadens. Ein immaterieller Schaden liegt dabei zwar nicht schon in der bloßen Verletzung einer Norm der DS-GVO. Jedoch liegt ein immaterieller Schaden vor, wenn infolge der Verletzung der Norm der DS-GVO ein absolut geschütztes Rechtsgut der geschädigten Person verletzt wurde. In Betracht kommt insoweit etwa eine Verletzung des Rechts auf körperliche Unversehrtheit ebenso wie eine Verletzung des Rechts auf informationelle Selbstbestimmung als besondere und ebenfalls absolut geschützte Ausprägung des allgemeinen Persönlichkeitsrechts. Entsprechend ist insbesondere auch in der deutschen Rspr. anerkannt, dass eine Verletzung des allgemeinen Persönlichkeitsrechts einen Schaden iSd Art. 82 DS-GVO darstellen kann. Streitig war bis zuletzt nur, ob diese Verletzung eine gewisse Erheblichkeitsschwelle überschreiten muss oder ob zumindest „ganz unerhebliche“ Verletzungen iSe Bagatelle ausscheiden sollten – wobei diese Frage nunmehr durch den EuGH dahingehend beantwortet wurde, dass keine Erheblichkeitsprüfung durchzuführen ist. Der Schaden beruht kausal auf den oben festgestellten Verstößen. Es gelten für die Bemessung der Höhe des immateriellen Schadens die Grundsätze des § 253 BGB. Auch herangezogen werden können dabei die Kriterien des Art. 83 Abs. 2 DS-GVO. Die vorgerichtlichen Rechtsanwaltskosten sind Teil des gem. Art. 82 Abs. 1 DS-GVO zu ersetzenden Schadens.

LG Hannover Urt. v. 16.10.2023 – 18 O 60/22

300 EUR Scraping-Sachverhalt. Wie LG Hannover Urt. v. 14.8.2023 – 18 O 89/22.

LG Traunstein Urt. v. 11.10.2023 – 9 O 155/23

0 EUR Scraping-Sachverhalt. Kein Anspruch auf Schadensersatz, da auch bei unterstellter Anwendung von Art. 82 DS-GVO und festgestellten Verstößen gegen die DS-GVO, diese Verstöße nicht kausal für einen Schaden waren.

LG Ulm Urt. v. 11.10.2023 – 4 O 173/23

500 EUR Scraping-Sachverhalt. Wie LG Ulm Urt. v. 16.2.2023 – 4 O 86/22.

LG Lüneburg Urt. v. 2.10.2023 – 3 O 193/22

300 EUR Scraping-Sachverhalt. Wie LG Lüneburg Urt. v. 24.1.2023 – 3 O 116/22.

LG Lüneburg Urt. v. 2.10.2023 – 3 O 180/22

300 EUR Scraping-Sachverhalt. Wie LG Lüneburg Urt. v. 24.1.2023 – 3 O 116/22.

LG Lüneburg Urt. v. 2.10.2023 – 3 O 17/23

300 EUR Scraping-Sachverhalt. Wie LG Lüneburg Urt. v. 24.1.2023 – 3 O 116/22.

LG Lüneburg Urt. v. 2.10.2023 – 3 O 9/23

300 EUR Scraping-Sachverhalt. Wie LG Lüneburg Urt. v. 24.1.2023 – 3 O 116/22.

LG Lüneburg Urt. v. 2.10.2023 – 3 O 3/23

300 EUR Scraping-Sachverhalt. Wie LG Lüneburg Urt. v. 24.1.2023 – 3 O 116/22.

NEU LG Chemnitz Endurt. v. 29.9.2023 – 1 O 284/23 = ZD 2024, 240 (Ls.)

500 EUR Dem Kl. steht gegen die Bekl. ein Schadensersatzanspruch iHv 500 EUR gem. Art. 82 Abs. 1 DS-GVO zu. Der Ansicht der Bekl., dass iRd Anwendungsbereiches von Art. 82 Abs. 1 DS-GVO eng auf den Begriff der „Datenverarbeitung“ abzustellen ist, ist nicht zu folgen. Der Wortlaut des Art. 82 Abs. 1 DS-GVO „Verstoß gegen die Verordnung“ ist grds. weit gefasst und dementsprechend auch so zu verstehen. Vom Schutzbereich des Art. 82 Abs. 1 sind folglich alle formellen und materiellen Verstöße umfasst, ohne dass es auf die Datenverarbeitung als solche ankommt. Eine andere Ansicht würde dem insoweit eindeutigen Wortlaut des Art. 82 Abs. 1 DS-GVO und dessen Schutzzweck, dem umfangreichen Schutz der Betroffenen, entgegenstehen. Dies trifft auch auf die Verletzung des Art. 25 Abs. 2 DS-GVO durch die Bekl. zu. Die Bekl. hat im Zusammenhang mit dem streitgegenständlichen „Scraping-Vorfall“ als Verantwortliche iSd Art. 4 Ziff. 7 DS-GVO gegen Art. 131425 Abs. 23233 und 34 DS-GVO verstoßen. Der Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO dient nicht nur dem Ausgleich erlittenen Schadens, sondern auch repressiven und präventiven Zwecken, indem er Verstöße sanktioniert, weiteren Verstößen präventiv vorbeugt und vor zukünftigen Verstößen abschreckt. Es kann vorliegend dahinstehen, ob für eine Ersatzpflicht nach Art. 82 Abs. 1 DS-GVO bereits ein Verstoß gegen eine Norm der DS-GVO genügt, oder ein konkreter Schaden des Kl. vorliegen muss. Der Kl. erlitt nach Ansicht des Einzelrichters einen Schaden in Form eines Kontrollverlustes über seine während des „Scraping-Vorfalls“ abgegriffenen Daten. Dabei kann nicht vom Betroffenen erwartet werden, dass er konkrete Angaben dazu macht, wie sich der Kontrollverlust auf seine persönliche Lebensgestaltung ausgewirkt hat. Der Ersatz vorgerichtlicher Rechtsanwaltskosten ist von Art. 82 Abs. 1 DS-GVO umfasst.

LG Hof Urt. v. 29.9.2023 – 33 O 99/22

500 EUR Der Antrag ist im Umfang von 500 EUR begründet, soweit die Kl. immateriellen Schadensersatz wegen Datenschutzverstößen im Zusammenhang mit dem Scraping von Daten aus dem Jahr 2019 geltend macht. Denn es sind mehrere haftungsbegründende Verstöße der Bekl. gegen die einschlägigen Bestimmungen der DS-GVO zu bejahen. Die rechtswidrige Datenverarbeitung kann sodann – wie hier – Schadensersatzansprüche nach Art. 82 DS-GVO auslösen. Darüber hinaus ist die Bekl. auch der ihr nach Art. 13 DS-GVO auferlegten Informations- und Aufklärungspflicht nicht in vollständigem Umfang nachgekommen. Über die vorstehend bereits festgestellten Verstöße gegen die Datenschutz-Grundverordnung hinaus, hat die Bekl. zudem gegen ihre Pflichten aus Art. 32 DS-GVO zur Ergreifung geeigneter technischer und organisatorischer Schutzmaßnahmen verstoßen, was wiederum eine Schadensersatzpflicht nach Art. 82 DS-GVO begründen kann. Ob die Bekl. auch den Grundsatz „privacy by design“ bzw. „privacy by default“ (also der datenschutzfreundlichen Voreinstellungen) verletzt hat, kann wegen der bereits bejahten Verstöße gegen die Datenschutz-Grundverordnung dahinstehen. Allein aus einem Verstoß gegen Art. 25 DS-GVO kann wegen des rein organisatorischen Charakters dieser Norm ohnehin ein Anspruch nach Art. 82 Abs. 1 DS-GVO nicht begründet werden. Aus eben diesen Erwägungen heraus kann auch offenbleiben, ob die Bekl. nach dem relevanten „Scraping-Vorfall“ ihre Meldepflichten aus Art. 3334 DS-GVO verletzt und weder die Aufsichtsbehörde gem. Art. 33 DS-GVO noch die betroffene Nutzer entsprechend ihrer Verpflichtung aus Art. 34 Abs. 1 DS-GVO informiert hat. Denn auch auf diese – wohl zu bejahenden – Verstöße lässt sich ein immaterieller Schadensersatzanspruch vorliegend nicht stützen, weil nicht überzeugend angenommen werden kann, dass die etwaige Verletzung dieser Pflichten für den geltend gemachten Schaden der Klagepartei überhaupt noch (mit-)kausal geworden ist oder diesen zumindest vertieft hat. Die ihr nach Art. 82 Abs. 3 DS-GVO eingeräumte Möglichkeit zur Exkulpation ist nicht gelungen. Sie hat jedoch einen immateriellen Schaden erlitten. Ein solcher liegt zwar nicht schon vor bei der bloßen Verletzung einer Norm der DS-GVO), wohl aber bei Verletzung absolut geschützter Rechtsgüter durch Verstöße gegen die DS-GVO. Die Vorschriften der §§ 249 ff. BGB können insofern herangezogen werden. In Betracht kommt etwa eine Verletzung des Rechts auf körperliche Unversehrtheit ebenso wie eine Verletzung des Rechts auf informationelle Selbstbestimmung als besondere und ebenfalls absolut geschützte Ausprägung des allgemeinen Persönlichkeitsrechts. Das hier befasste Gericht schließt sich der zwischenzeitlich auch überwiegend vertretenen Auffassung an, wonach die erlittene Verletzung eine gewisse Erheblichkeitsschwelle nicht überschreiten muss. Der Schaden beruht auch kausal auf den oben festgestellten Verstößen; es wird auf die jeweils dort dargelegten Kausalitätserwägungen Bezug genommen. Unzweifelhaft wäre es nicht zum Abgreifen der Daten der Kl. und zu deren Verbreitung im Darknet gekommen, wenn die Bekl. die oben aufgeführten Datenschutz-Verstöße nicht begangen hätte. Dem Gericht steht bei der Bemessung des Schadensersatzes gem. § 287 ZPO ein Ermessen zu. Die vorgerichtlichen Rechtsanwaltskosten sind dabei Teil des gem. Art. 82 Abs. 1 DS-GVO zu ersetzenden Schadens.

LG Göttingen Urt. v. 29.9.2023 – 10 O 41/22

400 EUR Der Kl. hat einen Anspruch auf Zahlung eines Schmerzensgeldes iHv 400 EUR aus Art. 82 DS-GVO. Ein Datenschutzverstoß ergibt sich aus der Voreinstellung in Bezug auf die (weitere) Speicherung der Telefonnummer ab dem 25.5.2018. Es liegt ein Verstoß gegen Art. 25 DS-GVO bei der Datenverarbeitung vor. Zwar kann ein Verstoß gegen Art. 25 DS-GVO unmittelbar nicht zur Auslösung der Haftung nach Art. 82 DS-GVO führen, da Art. 25 DS-GVO in erster Linie eine organisatorische Verpflichtung für den Verantwortlichen darstellt. Eine Datenverarbeitung liegt aber unzweifelhaft mit dem andauernden weiteren Vorhalten der Telefonnummer vor. Hierbei liegt auch kein Erlaubnistatbestand nach Art. 6 DS-GVO vor. Die Frage, ob das bloße Gefühl eines „Kontrollverlustes“ für die Bejahung eines Anspruchs auf immateriellen Schadensersatz schon ausreicht, bedarf hier daher keiner Entscheidung. Der eine Haftung ausschließende Nachweis nach Art. 82 Abs. 3 DS-GVO ist der Bekl. nicht gelungen. Ein weiterer haftungsbegründender bzw. haftungsverschärfender Datenschutzverstoß ergibt sich nicht daraus, dass der genannte Verstoß gegen Art. 25 DS-GVO, der sich im April 2018 realisiert hatte, entgegen Art. 3334 DS-GVO nicht der Datenschutzaufsicht gemeldet worden ist. Es ist vom Kl. nicht dargetan und auch sonst nicht ersichtlich, dass der Kl. im Falle rechtzeitiger Unterrichtung der Datenschutzaufsicht weniger Spam-Anrufe bekommen hätte. Insb. ist nicht ersichtlich, dass die Datenschutzaufsicht, auf die unbekannten Dritten oder auf diejenigen, denen die Datensätze für die Spam-Anrufe überlassen worden sind, hätte einwirken können. Der Höhe nach ist ein Betrag von 400 EUR zum Ausgleich der erlittenen und zu erwartenden immateriellen Schäden angemessen. Bei der Bestimmung des vom Kl. in das Ermessen des Gerichts gestellten Höhe des Schadenersatzes gem. § 287 Abs. 1 ZPO waren auf der einen Seite die Unannehmlichkeiten durch die Spam-Anrufe und damit einhergehend der Zugriff der Anrufer auf Nummer und Namen des Kl. zu berücksichtigen. Auf der anderen Seite war die Möglichkeit des Kl., seine Handynummer zu wechseln, zu berücksichtigen sowie der (nur) fahrlässige Datenschutzverstoß. Zudem war das Maß an Pflichtwidrigkeit herabgesetzt wegen der von der Bekl. ergriffenen – wenn auch nicht ausreichenden – Maßnahmen in Gestalt der Bot-Erkennung und technischen Übertragungsbeschränkung. Ferner handelt es sich bei den abgegriffenen Daten zwar um personenbezogene Daten, aber nicht um personenbezogene Daten einer besonderen Kategorie nach Art. 9 DS-GVO. Ein Mitverschulden des Kl. durch Beibehaltung der Voreinstellung liegt nicht vor. Es ist gerade der Zweck des Art. 25 Abs. 1 S. 3 DS-GVO, Voreinstellungen datenminimierend auszugestalten, weil Nutzer typischerweise wenig Veranlassung haben, diese später noch einmal zu verändern. Nachdem dem Kl. der Schadensersatzanspruch aus Art. 82 DS-GVO dem Grunde nach zusteht, ist auch auf den Klageantrag zu 2) begründet, da es ohne Weiteres möglich ist, dass der Kl. neben immateriellen Schäden künftig auch materielle Einbußen erleiden kann. Eine darüber hinausgehende gewisse Wahrscheinlichkeit des Schadenseintritts ist nicht erforderlich. Als weiteren Posten des ihm zustehenden materiellen Schadensersatzanspruchs nach Art. 82 DS-GVO kann der Kl. auch die Erstattung angefallener vorgerichtlicher

Rechtsanwaltsgebühren beanspruchen.

LG Hannover Urt. v. 28.9.2023 – 13 O 63/23

500 EUR Scraping-Sachverhalt. Wie LG Hannover Urt. v. 17.8.2023 – 13 O 1/23.

LG Bayreuth Urt. v. 21.9.2023 – 31 O 312/23

100 EUR Scraping-Sachverhalt. Wie LG Bayreuth Urt. v. 22.6.2023 – 31 O 40/23.

LG Wiesbaden Urt. v. 21.9.2023 – 3 O 50/23

600 EUR Der Kl. steht gegen die Bekl. ein Anspruch auf Schadenersatz iHv 600 EUR aus Art. 82 Abs. 1 DS-GVO zu. Diese Anspruchsvoraussetzungen sind gegeben. Die Bekl. hat gegen Art. 25 Abs. 2 DS-GVO, gegen Art. 13 Abs. 1c DS-GVO, gegen Art. 23, gegen Art. 24 i. V. m. Art. 25 Abs. 1c DS-GVO, gegen Art. 33 DS-GVO und gegen Art. 34 Abs. 1 DS-GVO verstoßen.

NEU LG Freiburg (Breisgau) Urt. v. 20.9.2023 – 8 O 50/23 = ZD 2024, 240 (Ls.)

300 EUR (+ 453,87 EUR vorgerichtliche Rechtsanwaltskosten) Scraping-Sachverhalt. Wie LG Freiburg im Breisgau Urt. v. 14.9.2023 – 8 O 9/23.

LG Freiburg Urt. v. 20.9.2023 – 8 O 63/23

0 EUR Ein Schadensersatzanspruch gem. Art. 82 DS-GVO besteht nicht, weil kein Schaden entstanden ist und im übrigen auch kein Datenschutzverstoß vorliegt. Für die Bejahung eines Schadensersatzanspruches reicht es bereits nicht aus, dass lediglich ein Verstoß gegen eine Bestimmung der DS-GVO vorliegt. Vielmehr muss ein wirklicher Schaden in materieller oder immaterieller Hinsicht entstanden sein, der über den Verstoß als solchen hinausgeht. Ein Schadensersatzanspruch soll allein eine tatsächliche Beeinträchtigung beim Geschädigten ausgleichen und nicht darüber hinaus gehen. Ein solcher Schaden konnte bei der Kl. nicht festgestellt werden. Die Kl. ließ vortragen, dass sie aufgrund des Schreibens der Bekl. überaus verunsichert gewesen sei. Selbst bei tatsächlich vorliegender Verunsicherung der Kl., reicht eine solche nicht aus, einen immateriellen Schaden zu begründen. Es handelt sich lediglich um ein einzelnes Schreiben, das auch keine unrichtigen Angaben enthält. In der persönlichen Anhörung der Kl. ist deutlich geworden, dass diese sich in erster Linie über die verlustreiche Anlageentscheidung ärgert. Auf die Idee der vorliegenden Klage haben sie erst die Klägervertreter gebracht. Der dem vorliegenden Verfahren in Wahrheit zugrundeliegenden Interessenwiderstreit besteht in dem Wettbewerbsverhältnis zwischen Klägervertreterin und Bekl. Das kann aber keine Beeinträchtigung der Kl. selbst iSd Art. 82 DS-GVO begründen, weil der Kl. für UWG Ansprüche die Klagebefugnis aus § 8 Abs. 3 UWG fehlt. Aus guten Gründen hat der Gesetzgeber das Vorgehen gegen solche Werbemaßnahmen auf Mitbewerber und Verbraucherverbände beschränkt. Es liegt zudem bereits kein Datenschutzverstoß iSd Art. 82 DS-GVO vor, weil die Datenverarbeitung durch die Bekl. rechtmäßig war. Dies folgt nicht aus Art. 6 Abs. 1 S. 1 lit. b DS-GVO, weil keine Vertragsbeziehung zwischen den Darlehensgebern der V…besteht. Die Rechtfertigung ergibt sich aber aus Art. 6 Abs. 1 S. 1 lit. f DS-GVO.

LG Freiburg Urt. v. 20.9.2023 – 8 O 32/23

100 EUR Scraping-Sachverhalt. Wie LG Freiburg im Breisgau Urt. v. 14.9.2023 – 8 O 9/23.

LG Freiburg Urt. v. 20.9.2023 – 8 O 28/23

200 EUR Scraping-Sachverhalt. Wie LG Freiburg im Breisgau Urt. v. 14.9.2023 – 8 O 9/23.

LG Freiburg Urt. v. 20.9.2023 – 8 O 23/23

300 EUR Scraping-Sachverhalt. Wie LG Freiburg im Breisgau Urt. v. 14.9.2023 – 8 O 9/23.

LG Freiburg Urt. v. 20.9.2023 – 8 O 20/23

100 EUR Scraping-Sachverhalt. Wie LG Freiburg im Breisgau Urt. v. 14.9.2023 – 8 O 9/23.

LG Freiburg Urt. v. 15.9.2023 – 8 O 184/22 = ZD 2024, 117 (Ls.)

500 EUR Die Kl. hat gegen die Bekl. gem. Art. 82 Abs. 1 DS-GVO wegen des Scraping-Sachverhalts einen Anspruch auf immateriellen Schadenersatz iHv 500 EUR aufgrund der Verletzung von Vorschriften der DS-GVO. Der Maßstab für Verstöße gegen die DS-GVO iSd Art. 82 Abs. 1 DS-GVO ist weit zu fassen. Es kommen materielle wie formelle Verstöße in Betracht. Auch ist nicht allein auf die Datenverarbeitung abzustellen, sondern sämtliche Maßnahmen, so auch Vorbereitungsmaßnahmen, können einen entsprechenden Anspruch begründen. Der Bekl. kann sich nicht gem. Art. 82 Abs. 3 DS-GVO, der das Verschulden widerleglich vermutet, exkulpieren. Soweit in der Vorschrift von der Verantwortlichkeit für den Schaden die Rede ist, ist dies iSv Verschulden aufzufassen. Art. 82 Abs. 3 DS-GVO ordnet eine Beweislastumkehr hinsichtlich des Verschuldens an. Der Anspruchsverpflichtete kann sich daher nur entlasten, indem er beweist, dass er die am Maßstab des Stands der Technik und im Verkehr, dh am allgemeinen Schutzinteresse orientierte erforderliche Sorgfalt iSv § 276 Abs. 2 BGB angewendet hat. Der Ersatz eines immateriellen Schadens nach Art 82 DS-GVO ist aber nicht davon abhängig, dass der entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht, so dass auch Bagatellschäden einen Schadensersatzanspruch begründen. Deshalb kann ein Schaden auch bereits in einem unguten Gefühl, in der Angst und Besorgnis liegen, dass personenbezogene Daten Unbefugten bekannt geworden sind, wenn die Gefahr besteht, dass die Daten unbefugt weiterverwendet werden. Die erforderliche Kausalität zwischen den Verstößen der Bekl. gegen die DS-GVO und dem Schaden der Klagepartei liegt vor. Bei der Bestimmung des vom Kl. in das Ermessen des Gerichts gestellten Höhe des Schadenersatzes gem. § 287 Abs. 1 S. 1 ZPO sind alle Umstände des Einzelfalls zu würdigen. Die Kriterien des Art. 83 Abs. 2 DS-GVO, die Anhaltspunkte für die Höhe der von der Aufsichtsbehörde zu verhängenden Geldbuße geben sollen, können auch für die Bemessung des immateriellen Schadenersatzes herangezogen werden. Die vorgerichtlichen Rechtsanwaltskosten sind als Teil des zu ersetzenden Schadens gem. Art. 82 Abs. 1 DS-GVO zu erstatten.

LG Freiburg Urt. v. 15.9.2023 – 8 O 21/23

0 EUR Der Verlust über die Kontrolle der Daten ist nicht zwangsläufig ein immaterieller Schaden iSd Art. 82 DS-GVO, sondern hierdurch muss Angst oder Besorgnis beim Betroffenen entstehen, was mit den Daten geschehen könnte. Dies muss das Gericht feststellen. Die bloße Verärgerung über den Datenschutzverstoß als solchen genügt für die Annahme eines immateriellen Schadens nicht. Der Maßstab für Verstöße gegen die DS-GVO iSd Art. 82 Abs. 1 DS-GVO ist weit zu fassen. Es kommen materielle wie formelle Verstöße in Betracht. Auch ist nicht allein auf die Datenverarbeitung abzustellen, sondern sämtliche Maßnahmen, so auch Vorbereitungsmaßnahmen, können einen entsprechenden Anspruch begründen. Ein Verstoß gegen Art. 25 Abs. 2 DS-GVO kann zu einem Schadenersatzanspruch führen, weil aus der Verletzung der sich aus Art. 25 DS-GVO ergebenden Pflichten eine Erhöhung der Gefahr eines Schadenseintritts resultiert. Soweit in der Vorschrift von der Verantwortlichkeit für den Schaden die Rede ist, ist dies iSv Verschulden aufzufassen. Art. 82 Abs. 3 DS-GVO ordnet eine Beweislastumkehr hinsichtlich des Verschuldens an. Die vorgerichtlichen Rechtsanwaltskosten sind als Teil des zu ersetzenden Schadens gem. Art. 82 Abs. 1 DS-GVO zu erstatten.

LG Freiburg im Breisgau Urt. v. 15.9.2023 – 8 O 14/23

300 EUR Scraping-Sachverhalt. Wie LG Freiburg im Breisgau Urt. v. 14.9.2023 – 8 O 9/23.

LG Freiburg im Breisgau Urt. v. 15.9.2023 – 8 O 10/23

300 EUR Scraping-Sachverhalt. Wie LG Freiburg im Breisgau Urt. v. 14.9.2023 – 8 O 9/23.

LG Freiburg im Breisgau Urt. v. 14.9.2023 – 8 O 9/23

300 EUR Der Maßstab für Verstöße gegen die DS-GVO iSd Art. 82 Abs. 1 DS-GVO ist weit zu fassen. Es kommen materielle wie formelle Verstöße in Betracht. Auch ist nicht allein auf die Datenverarbeitung abzustellen, sondern sämtliche Maßnahmen, so auch Vorbereitungsmaßnahmen, können einen entsprechenden Anspruch begründen. Die Bekl. hat gegen die gem. Art. 13 Abs. 1 lit. c DS-GVO bestehende Informationspflicht bei Erhebung von personenbezogenen Daten verstoßen, indem sie die Kl. bei der Anmeldung auf der Facebook-Plattform nicht ausreichend über die Zwecke informiert hat, für die ihre Telefonnummer verwendet werden sollte. Da die vom Kl. gegebene Einwilligung in die Verarbeitung seiner Telefonnummer nicht ausreichend informiert erteilt wurde, weil insb. die Zwecke der Verarbeitung nicht transparent vermittelt wurden, verstieß diese gegen Art. 6 Abs. 1 DS-GVO. Die Bekl. hat zudem gegen die Verpflichtung gem. Artt. 24325 Abs. 1 lit. f DS-GVO, die Sicherheit der Verarbeitung zu gewährleisten, verstoßen. Die Bekl. hat überdies gegen in Art. 25 Abs. 2 DS-GVO das Gebot, Datenschutz durch datenschutzfreundliche Voreinstellungen zu gewährleisten, verstoßen, indem sie standardmäßig die Suchbarkeit der Nutzer über deren Telefonnummer „für alle“ voreingestellt hat. Ein Verstoß gegen diese Vorschrift kann zu einem Schadenersatzanspruch iSd Art. 82 DS-GVO führen, weil aus der Verletzung der sich aus Art. 25 DS-GVO ergebenden Pflichten eine Erhöhung der Gefahr eines Schadenseintritts resultiert. Die Bekl. hat auch gegen Art. 33 Abs. 1 DS-GVO verstoßen. Ob die Bekl. dem vorgerichtlichen Auskunftsersuchen der Kl. über ihre personenbezogenen Daten nicht in ausreichendem Maße nachgekommen ist und dadurch gegen Art. 15 DS-GVO verstoßen hat kann dahinstehen. Denn die Ungewissheit über die Verarbeitung der eigenen Daten deckt sich mit dem Schaden durch den eigentlichen Verstoß. Ein eigenständiger Schadensersatzanspruch aufgrund einer Verletzung der Auskunftspflicht kommt nur in Betracht, wenn die fehlende Auskunft einen Schaden zumindest verschärft hat. Dies ist hier nicht zu erkennen, weil die Klagepartei nicht ansatzweise darlegt welche Schritte sie bei einer ausreichenden Auskunft vorgenommen hätte und wie das einen Schaden vermindert hätte. Der Bekl. kann sich nicht gem. Art. 82 Abs. 3 DS-GVO, der das Verschulden widerleglich vermutet, exkulpieren. Soweit in der Vorschrift von der Verantwortlichkeit für den Schaden die Rede ist, ist dies iSv Verschulden aufzufassen. Art. 82 Abs. 3 DS-GVO ordnet eine Beweislastumkehr hinsichtlich des Verschuldens an. Der Begriff des Schadens ist gem. Erwägungsgrund 146 S. 3 DS-GVO weit auf eine Art und Weise auszulegen, die den Zielen dieser Verordnung in vollem Umfang entspricht. Für einen Schadensersatzanspruch nach Art. 82 DS-GVO reicht allerdings der bloße Verstoß gegen die Bestimmungen der DS-GVO nicht aus. Es muss ein Schaden vorliegen. Der Ersatz eines immateriellen Schadens nach Art 82 DS-GVO ist aber nicht davon abhängig, dass der entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht, so dass auch Bagatellschäden einen Schadensersatzanspruch begründen. Das Gericht schließt sich dabei dem Verständnis des Generalanwaltes im Verfahren gegen die Österreichische Post AG der Bedeutung des erwähnten Kontrollverlustes an. Danach verursacht der Verlust über die Kontrolle der Daten nicht zwangsläufig einen Schaden. Vielmehr adressiert die Erwähnung des Kontrollverlustes in den Erwägungsgründen – in sprachlicher Unschärfe – die möglichen Folgen dieses Verlusts wie etwa Angst oder Besorgnis, was mit den Daten geschehen könnte. Im streitgegenständlichen Fall trat der immaterielle Schaden durch die aufgrund des Scrapings bei der Kl. nachvollziehbar ausgelöste Besorgnis bzgl. des weiteren Schicksals seiner persönlichen Daten ein, die damit – als ein mit seiner Telefonnummer verknüpfter Datensatz – im Netz kursierten. Denn dadurch erlitt diese einen Kontrollverlust über ihre Daten, der vorliegend mit dem subjektiv besorgniserregenden Risiko einherging, dass diese Daten etwa durch Identitätsdiebstahl unbefugt und schadensträchtig genutzt werden. Die erforderliche Kausalität zwischen den Verstößen der Bekl. gegen die DS-GVO und dem Schaden der Kl. liegt vor. Bei der Bestimmung des vom Kl. in das Ermessen des Gerichts gestellten Höhe des Schadenersatzes gem. § 287 Abs. 1 S. 1 ZPO sind alle Umstände des Einzelfalls zu würdigen. Die Kriterien des Art. 83 Abs. 2 DS-GVO, die Anhaltspunkte für die Höhe der von der Aufsichtsbehörde zu verhängenden Geldbuße geben sollen, können auch für die Bemessung des immateriellen Schadenersatzes herangezogen werden. Bei der Festsetzung der Höhe des Schadensersatzes sind die mitgliedstaatlichen Vorschriften unter Berücksichtigung des unionsrechtlichen Effektivitätsgebots und Äquivalenzgebots anzuwenden. Die DS-GVO selbst enthält keine weiteren Bemessungsgrundsätze. Allerdings kann die Fluggastrechte-Verordnung als erster Anhaltspunkt dienen, die einen Ausgleichsanspruch iHv 250 bis 600 EUR vorsieht. Die vorgerichtlichen Rechtsanwaltskosten sind als Teil des zu ersetzenden Schadens gem. Art. 82 Abs. 1 DS-GVO zu erstatten.

LG Aachen Urt. v. 14.9.2023 – 12 O 354/22

300 EUR Dem Kl. steht gegen die Bekl. einen Anspruch auf Schadensersatz iHv 300 EUR aus Art. 82 Abs. 1 DS-GVO zu. Die Bekl. hat als Verantwortliche iSd Art. 4 Ziff. 7 DS-GVO gegen mehrere Vorschriften aus der DS-GVO verstoßen. Konkret verstieß die Bekl. gegen Art. 25 Abs. 2 DS-GVO, gegen Art. 13 Abs. 1 lit. c DS-GVO, gegen Art. 32245 Abs. 1 lit. f DS-GVO, gegen Art. 33 DS-GVO (und gegen Art. 34 Abs. 1 DS-GVO. Durch diese Verstöße ist dem Kl. ein immaterieller Schaden entstanden. Die Verstöße gegen die DS-GVO sind auch kausal für den bei dem Kl. entstandenen Schaden. Die Bekl. handelte auch schuldhaft. Der Kl. hat sich auch kein Mitverschulden nach § 254 Abs. 1 BGB anrechnen zu lassen. Der Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO dient nicht nur dem Ausgleich erlittenen Schadens, sondern auch repressiven und präventiven Zwecken, indem er Verstöße sanktioniert, weiteren Verstößen präventiv vorbeugt und vor zukünftigen Verstößen abschreckt. Würde ein Schaden erst dann angenommen werden, wenn es durch das Abgreifen der Daten zu einer vertieften vermögens- oder persönlichkeitsrechtlichen Verletzung des Betroffenen kommt, würde das dem weit auszulegenden Schadensbegriff und dem damit verbundenen individuellen Ausgleichsanspruch entgegenstehen. Als weitere Schäden in diesem Zusammenhang kommen zudem Angst, Stress und Zeiteinbußen in Betracht. Es kann vorliegend dahinstehen, ob für eine Ersatzpflicht nach Art. 82 Abs. 1 DS-GVO bereits ein Verstoß gegen eine Norm der DS-GVO genügt, oder ein konkreter Schaden des Kl. vorliegen muss. Die Kammer geht davon aus, dass Kl. eine Vielzahl von belästigenden Anrufen erhalten hat, auch zur Nachtzeit, die er als Eingriff in seine Lebensführung empfunden hat. Auf Grund des in der mündlichen Verhandlung gewonnenen Eindrucks von dem Kl., hält die Kammer diesen für insgesamt glaubwürdig und seine Aussage für glaubhaft. Er war keineswegs bemüht, die standardisierten Formulierungen der Klage zu wiederholen. Vielmehr schilderte er das, was ihn gestört hat, ohne Übertreibungen und ohne erkennbaren Blick auf das, was ihrem Begehren vermeintlich dienlicher sein könnte. Ihm war anzumerken, dass ihn die Gesamtsituation ihn erheblich belastet (hat). Das zeigt sich iÜ auch daran, dass der Kl. sich gerade wegen der Störungen eine weitere private Nummer zugelegt hat. Die Verstöße gegen die DS-GVO durch die Bekl. können nicht hinweg gedacht werden, ohne dass der Schaden des Kl. entfiele. Erst durch diese Verstöße war es den unbekannten Scrapern möglich, personenbezogene Daten des Kl. abzugreifen. Die Bekl. handelte hinsichtlich der festgestellten Verstöße auch schuldhaft. Sie kann sich hinsichtlich der einzelnen Verstöße nicht nach Art. 82 Abs. 3 DS-GVO entlasten. Bei der Bemessungshöhe des immateriellen Schadensersatzes nach Art. 82 Abs. 1 DS-GVO können dabei die Grundlagen des Art. 83 Abs. 2 DS-GVO herangezogen werden.

LG Paderborn Urt. v. 4.9.2023 – 4 O 100/23

400 EUR Scraping-Sachverhalt.

LG Verden Urt. v. 1.9.2023 – 2 O 115/22

1.000 EUR Dem Kl. ist ein Schaden entstanden. Ihm ist zwar unstreitig bisher kein materieller Schaden entstanden, wohl ein immaterieller Schaden. Ein immaterieller Schaden liegt vor, wenn aufgrund eines Verstoßes gegen die DS-GVO ein absolut geschütztes Rechtsgut der geschädigten Person verletzt wurde. Vorliegend wurde das allgemeine Persönlichkeitsrecht in der Ausprägung des Rechts auf informationelle Selbstbestimmung verletzt. Das Recht auf informationelle Selbstbestimmung enthält die Befugnis des Einzelnen, grundsätzlich selbst zu entscheiden, wann und innerhalb welcher Grenzen persönliche Lebenssachverhalte offenbart werden. Dieses Recht des Kl. wurde verletzt. Die Daten des Kl., insb. seine auf der Plattform der Beklagten nicht veröffentlichte Mobilnummer, wurden im Internet gemeinsam mit den Daten einer Vielzahl anderer Nutzer der Bekl. veröffentlicht. Über diese Veröffentlichung, der aufgrund des Vorliegens eines „Datenpakets“ mit Daten vieler Personen ein höherer Nutzwert für kriminell handelnde Dritte zukommt, hatte der Kl. keine Kontrolle. Sie verletzt daher sein Recht auf informationelle Selbstbestimmung. Ob diese Verletzung „erheblich“ ist, ist nicht von Relevanz. Der EuGH hat entschieden, dass keine Erheblichkeitsprüfung durchzuführen ist. Die Bekl. hat weiter gegen Bestimmungen der DS-GVO verstoßen. Die Bekl. hat gegen die DS-GVO verstoßen, weil sie Daten des Kl., namentlich seine Telefonnummer, ohne seine Einwilligung verarbeitet hat. Die Bekl. hat ferner gegen die Vorgaben zur Gewährleistung einer angemessenen Sicherheit bei der Verarbeitung der personenbezogenen Daten nach Art. 5 Abs. 1 lit. f DS-GVO verstoßen. Die Bekl. hat schließlich gegen die Verpflichtung zur Vornahme datenschutzfreundlicher Voreinstellungen nach Art. 25 Abs. 2 DS-GVO verstoßen. Demgegenüber hat die Bekl. nicht gegen die Transparenzpflichten aus Artt. 5 Abs. 1 lit. a, 1314 DS-GVO verstoßen. Auch ein möglicher Verstoß der Bekl. gegen die Auskunftspflicht nach Art. 15 DS-GVO ist für den Schadensersatzanspruch nach Art. 82 DS-GVO irrelevant. Es würde jedenfalls an der Kausalität des Verstoßes für den vermeintlichen Schaden in Gestalt der Datenveröffentlichung fehlen. Der Schaden liegt in einer rechtswidrigen Datenverarbeitung begründet, nicht jedoch in einer unterlassenen oder verspäteten Auskunft über die erhobenen Daten als solche. Eine Haftungsbefreiung der Bekl. nach Art. 82 Abs. 3 DS-GVO kommt nicht in Betracht. Dass die Bekl. in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist, ist nicht festzustellen. Erforderlich hierfür wäre der Nachweis der Bekl., dass sie sämtliche Sorgfaltsanforderungen erfüllt hat und ihr nicht die geringste Fahrlässigkeit vorzuwerfen ist. Die Höhe des Schadensersatzes beziffert das Gericht mit 1.000 EUR, wobei es diesen Betrag für angemessen, aber auch für ausreichend hält, um den immateriellen Schaden auszugleichen und gleichzeitig der erforderlichen Abschreckungswirkung Rechnung zu tragen sowie dabei die besonderen Umstände des Falles zu würdigen. Dem Gericht steht insoweit gem. § 287 ZPO ein Ermessen zu. Das Gewicht der Rechtsverletzung sowie der objektive Umfang der Beeinträchtigung der betroffenen Person sind angemessen zu berücksichtigen. Danach ist einerseits in die Bemessung des Schadensersatzes mit einzubeziehen, dass der Bekl. mehrere Verstöße gegen die DS-GVO vorzuwerfen sind, wobei aber jeweils kein Vorsatz festgestellt werden kann. Die Beeinträchtigung des Kl. selbst bewegt sich eher im Bagatellbereich. Dies schon deswegen, weil überwiegend ohnehin öffentlich einsehbare Daten über seine Person betroffen waren. Andererseits wurden diese Daten aber durch die Telefonnummer angereichert und sind aus diesem Grunde für kriminell agierende Personen von höherem Nutzwert. Auch werden Daten in einem umfangreichen Datenpaket eher Ausgangspunkt krimineller Aktivitäten sein als in einem Einzelkonto auf facebook veröffentlichte Daten. Berücksichtigt man diesen Aspekt sowie zusätzlich die erforderliche Abschreckungswirkung des Schadensersatzes, erscheinen 1.000 EUR angemessen. Der Kl. kann von der Bekl. auch die Feststellung der Ersatzpflicht für mögliche künftige Schäden verlangen. Der Kl. hat einen Anspruch auf Zahlung vorgerichtlicher Rechtsanwaltskosten iHv 159,94 EUR. Der Kl. kann aufgrund von Art. 82 Abs. 1 DS-GVO den Ersatz vorgerichtlich aufgewendeter Rechtsanwaltskosten zur Anspruchsdurchsetzung als Schaden geltend machen.

LG Paderborn Urt. v. 25.8.2023 – 3 O 236/22

100 EUR Scraping-Sachverhalt. Wie Paderborn Urt. v. 24.2.2023 – 3 O 220/22.

LG Duisburg Urt. v. 24.8.2023 – 8 O 86/22

250 EUR Die Kl. hat gegen die Bekl. einen Anspruch auf immateriellen Schadensersatz iHv 25 EUR gem. Art. 82 Abs. 1 DS-GVO. Ein auf Art. 82 Abs. 1 DS-GVO gestützter Schadensersatzanspruch kann grds. auf jeder Vorschrift der DS-GVO beruhen. Der Rahmen möglicher Verstöße, die geeignet sind, eine Schadensersatzpflicht auszulösen, ist weit zu ziehen. Dies ergibt sich zum einen aus dem Wortlaut des Art. 82 Abs. 1 DS-GVO, der allgemein von einem „Verstoß gegen die DS-GVO“ spricht. Zum anderen spricht der Zweck der Vorschrift, welcher der Umsetzung des Grundziels der DS-GVO dient, indem er Betroffenen einen Schadensersatzanspruch an die Hand gibt, für eine weite Auslegung. Gemäß Art. 1 Abs. 2 DS-GVO soll die Verordnung die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten schützen. Dieses Recht kann durch jeden Verstoß gegen die DS-GVO berührt werden und ist dementsprechend vor jedem Verstoß zu schützen. Eine Einschränkung wegen des Wortlauts des Art. 82 Abs. 2 DS-GVO ist nicht angezeigt. Dieser regelt die Haftung der an der Verarbeitung personenbezogener Daten Beteiligten, ohne dass hierdurch der Anwendungsbereich des Art. 82 Abs. 1 DS-GVO auf Verstöße bei der „Verarbeitung“ beschränkt wird. Dass die Folgen eines „Verstoßes“ gegen die DS-GVO und die Verantwortlichkeit für die „Verarbeitung“ in getrennten Absätzen des Art. 82 DS-GVO geregelt sind, zeigt gerade, dass der Gesetzgeber hierbei eine bewusste terminologische Unterscheidung getroffen hat. Eine Einschränkung widerspräche auch dem oben genannten Schutzzweck der Vorschrift. Die Bekl. hat gegen die Art. 25 Abs. 25 Abs. 1 lit. a und Art. 13 DS-GVO verstoßen. Auf einen Verstoß gegen die Artt. 3334 und 15 DS-GVO kann die Kl. hingegen keine Schadensersatzansprüche stützen. Die Kl. kann einen Schadensersatzanspruch auch nicht auf die Artt. 32 und 5 Abs. 1 lit. f DS-GVO wegen mangelnder Schutzmaßnahmen gegen die Ausnutzung der Systeme der Bekl. stützen. Die Kl. trägt als Anspruchstellerin die Darlegungs- und Beweislast hinsichtlich eines Verstoßes der Bekl. gegen diese Vorschriften. Die Bekl. hat sich hinsichtlich der Verstöße gegen die DS-GVO nicht entlastet. Sie trägt die Darlegungs- und Beweislast dafür, weder vorsätzlich gehandelt noch die ihr obliegende Sorgfalt, § 276 BGB, außer Acht gelassen zu haben (vgl. Art. 82 Abs. 3 DS-GVO). Eine entsprechende Entlastung ist ihr nicht gelungen. Der Kl. ist durch die Verstöße der Bekl. gegen die DS-GVO ein immaterieller Schaden entstanden, den die Kammer mit 250 EUR beziffert. Dieser Schaden besteht in dem Kontrollverlust hinsichtlich ihrer personenbezogenen Daten, der der Kl. infolge der Verstöße der Bekl. gegen die DS-GVO entstanden ist. Das durch die DS-GVO geschützte Selbstbestimmungsrecht hinsichtlich der eigenen personenbezogenen Daten ist mit jedem Kontrollverlust über diese verletzt. Ein solcher Kontrollverlust zu Lasten der Kl. liegt vor, denn dass die Daten der Kl. iRd Scraping-Vorfalls abgegriffen wurden, ist zwischen den Parteien unstreitig. Dieser Schaden ist auch kausal auf die Verstöße der Bekl. gegen die Artt. 25 Abs. 25 Abs. 1 lit. a und 13 DS-GVO zurückzuführen. Bei der Bestimmung der von der Kl. in das Ermessen des Gerichts gestellten Höhe des Schadenersatzes gem. § 287 Abs. 1 S. 1 ZPO sind alle Umstände des Einzelfalls zu würdigen. Die Kriterien des Art. 83 Abs. 2 DS-GVO, die Anhaltspunkte für die Höhe einer von der Aufsichtsbehörde zu verhängenden Geldbuße geben, können auch für die Bemessung des immateriellen Schadenersatzes herangezogen werden.

LG Hannover Urt. v. 17.8.2023 – 13 O 1/23

500 EUR Die Kammer ist mit der erforderlichen Gewissheit nach dem Maßstab des § 286 ZPO davon überzeugt, dass der Kl. in der fraglichen Zeit ein Konto bei der Bekl. unterhielt, das von dem „Scraping-Vorfall“ betroffen war. Weiter hat die Bekl. gegen Art. 25 Abs. 2 DS-GVO verstoßen. Soweit zwar einerseits nicht allein der bloße Verstoß gegen die Bestimmungen der DS-GVO zur Begründung eines Schadensersatzanspruchs ausreicht, so bedarf der erlittene Schaden andererseits nicht eines bestimmten Grades an Erheblichkeit. Die aufgezeigten Verstöße gegen die DS-GVO sind auch kausal für den vom Kl. erlittenen Schaden. Die Kammer hält auch nach Anhörung des Kl. und dem dabei gewonnenen Eindruck in Ausübung des ihr durch § 287 ZPO eingeräumten Ermessens ein Schmerzensgeld von 500 EUR für angemessen, aber auch ausreichend, um einerseits der Ausgleichs- und Genugtuungsfunktion zu genügen und andererseits der auch generalpräventiven Funktion des immateriellen Schadensersatzes hinreichend Rechnung zu tragen. Bei der Bemessung der Schadensersatzhöhe hat die Kammer daneben auch die gesetzgeberisch beabsichtigte abschreckende Wirkung des Schadensersatzes berücksichtigt. Andererseits war aber auch zu berücksichtigen, dass das Allgemeininteresse im Schwerpunkt nach Art. 83 DS-GVO durch die Verhängung von Bußgeldern gewahrt wird.

LG Erfurt Urt. v. 14.8.2023 – 3 O 580/22 (2)

500 EUR Scraping-Sachverhalt. Wie LG Lübeck Urt. v. 25.5.2023 – 15 O 74/22.

LG Hannover Urt. v. 14.8.2023 – 18 O 157/22

500 EUR Scraping-Sachverhalt. Wie LG Hannover Urt. v. 14.8.2023 – 18 O 89/22.

LG Hannover Urt. v. 14.8.2023 – 18 O 96/22

500 EUR Scraping-Sachverhalt. Wie LG Hannover Urt. v. 14.8.2023 – 18 O 89/22.

LG Hannover Urt. v. 14.8.2023 – 18 O 89/22 = ZD 2024, 117 (Ls.)

500 EUR Scraping-Sachverhalt. Da die Bemessung der Höhe des Schmerzensgeldes in das Ermessen des Gerichts gestellt ist, ist die Stellung eines unbezifferten Zahlungsantrags ausnahmsweise zulässig. Ein Verstoß gegen den in § 253 Abs. 2 Nr. 2 ZPO normierten Bestimmtheitsgrundsatz liegt dann nicht vor, wenn die Bestimmung des Betrages von einer gerichtlichen Schätzung nach § 287 ZPO oder vom billigen Ermessen des Gerichts abhängig ist. Die nötige Bestimmtheit soll hier dadurch erreicht werden, dass der Kl. in der Klagebegründung die Berechnungs- bzw. Schätzgrundlagen umfassend darzulegen und die Größenordnung seiner Vorstellungen anzugeben hat. Der Kl. hat gegen die Bekl. einen Anspruch auf Schadensersatz aus Art. 82 DS-GVO iHv 500 EUR. Eine Pflichtverletzung der Bekl. idS ist gegeben. Zum einen liegt ein Verstoß gegen Art. 13 DS-GVO vor. Bei der Vorschrift des Art. 13 DS-GVO handelt es sich um eine solche, die zu dem Kreis der eine Schadensersatzpflicht gem. Art. 82 DS-GVO auslösenden Vorschriften zählt. Die Kammer schließt sich der Rechtsauffassung an, nach der der Kreis derjenigen Pflichten, deren Verletzung gem. Art. 82 DS-GVO Schadensersatzpflichten auslösen, auch die Verletzung von Informations- und Aufklärungspflichten erfasst. Daneben liegt ein Verstoß gegen Art. 25 Abs. 1 DS-GVO vor. Zudem liegt ein Verstoß gegen Art. 25 Abs. 2 DS-GVO vor. Der Kl. hat auch einen Schaden erlitten. Das Vorliegen eines Schadens stellt eine eigenständige Tatbestandsvoraussetzung des Art. 82 DS-GVO dar. Ein Verzicht auf das – eigenständige – Erfordernis eines Schadens widerspräche dem Wortlaut des Art. 82 Abs. 1 DS-GVO. Nach dieser Bestimmung wird der Schadensersatz gerade deshalb gewährt, weil zuvor ein Schaden entstanden ist. Es ist daher eindeutig erforderlich, dass der natürlichen Person durch einen Verstoß gegen die DS-GVO ein Schaden entstanden ist. Damit kommt es vorliegend auf den positiven Nachweis eines über den bloßen Verstoß gegen die DS-GVO hinausgehenden „Schadens“ an. Der Begriff des Schadens iSv Art. 82 Abs. 1 DS-GVO ist – europarechtlich autonom und unter Berücksichtigung der in den Erwägungsgründen zur DS-GVO niedergelegten Zielsetzungen – auszulegen. Bereits der Kontrollverlust über die Daten stellt nach dieser europarechtlich-autonomen Auslegung einen Schaden iSd Art. 82 DS-GVO dar. Ist der Kontrollverlust über die Daten damit dem Grunde nach als Schaden einzuordnen, kommt nicht in Betracht, den Sachverhalt nunmehr noch einer Prüfung anhand einer „Erheblichkeitsschwelle“ zu unterziehen. Weil der Begriff des Schadens in Art. 82 DS-GVO ein autonom-europarechtlicher ist, darf im Besonderen nicht auf nationale Erheblichkeitsschwellen oder andere Einschränkungen rekurriert werden. Es ist daher zB nicht zu verlangen, dass es durch den Datenrechtsverstoß etwa zu einer ernsthaften Beeinträchtigung für das Selbstbild oder Ansehen einer Person kommt. Die iHv Höhe von 500 EUR als immaterieller Schadensersatz angemessen. Bei der Bemessung des Schmerzensgeldes hat die Kammer im Rahmen ihres durch § 287 ZPO eingeräumten Ermessens ein Schmerzensgeld von 500 EUR € für erforderlich, aber auch ausreichend erachtet. Die Kammer hat sich für die Bemessung an den Grundsätzen des § 253 BGB sowie den Kriterien des Art. 83 Abs. 2 DS-GVO orientiert. Darunter zählen u. a. die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung, der Grad des Verschuldens, Maßnahmen zur Minderung des entstandenen Schadens, frühere Verstöße sowie die Kategorien der betroffenen personenbezogenen Daten und die betroffenen Kategorien personenbezogener Daten zur Ermittlung. Der Klagantrag zu Ziffer 5 (Anwaltskosten) ist im tenorierten Umfang begründet. Dieser Anspruch ergibt sich unmittelbar aus Art. 82 Abs. 1 DS-GVO (iVm § 249 Abs. 1 BGB)

LG Hannover Urt. v. 14.8.2023 – 18 O 81/22

500 EUR Scraping-Sachverhalt. Wie LG Hannover Urt. v. 14.8.2023 – 18 O 89/22.

LG Hannover Urt. v. 14.8.2023 – 18 O 48/22

500 EUR Scraping-Sachverhalt. Wie LG Hannover Urt. v. 14.8.2023 – 18 O 89/22.

LG Bonn Urt. v. 8.8.2023 – 13 O 245/22

250 EUR Die Kl. hat gegen die Bekl. einen Anspruch auf Schadensersatz in Form eines Schmerzensgeldes iHv 250 EUR (Art. 82 Abs. 1 DS-GVO). Indem die Bekl. es unterlassen hat, das Contact-Import-Tool technisch so abzusichern, dass automatisierte Abrufe mit beliebigen Ziffernfolgen ausgeschlossen gewesen sind, hat sie gegen ihre Pflicht zur "Integrität und Vertraulichkeit" gem. Art. 5 Abs. 1 lit. f, Art. 25 Abs. 1 und 2 sowie Art. 32 Abs. 1 DS-GVO verstoßen. Durch den Verstoß ist es zu einer unzulässigen Datenverarbeitung iSd Art. 6 Abs. 1 DS-GVO gekommen. Sowohl für die Verletzung der Integritäts- und Vertraulichkeitspflicht als auch die hierdurch ermöglichte unzulässige Datenverarbeitung ist die Bekl. iSd Art. 82 Abs. 2 und 3 DS-GVO "verantwortlich". Maßgeblich hierfür ist, wem die Verstöße zuzurechnen sind. Dabei erfolgt die Zurechnung der Verletzung der Integritäts- und Vertraulichkeitspflicht bereits daraus, dass es das eigene Unterlassen der Bekl. gewesen ist, das die Pflichtverletzung begründet. Die unzulässige Datenverarbeitung ist zwar nicht unmittelbar durch die Bekl. erfolgt, sondern stellt ein Verhalten der Unbekannten dar. Dieses ist der Bekl. jedoch infolge des Verstoßes gegen die Integritäts- und Vertraulichkeitspflicht zurechenbar, da durch deren Verletzung die unzulässige Datenverarbeitung unmittelbar ermöglicht worden ist. Es ist gerade Sinn und Zweck der Integritäts- und Vertraulichkeitspflicht, unzulässige Datenverarbeitungen zu verhindern. Nicht mehr zuzurechnen sind der Bekl. nach diesem Maßstab die durch die Unbekannten und ggf. sonstige Dritte weitergehenden Datenverarbeitungen, wie etwa die im April 2021 erfolgte Veröffentlichung der verknüpften Daten und deren Weiterverwendung. Die Kl. hat insoweit nicht ausreichend dargelegt, dass diese durch der Bekl. mögliche und zumutbare Maßnahmen, deren Unterlassen ihrerseits Verstöße gegen die DS-GVO dargestellt hätten, hätten verhindert werden können. Der Kl. ist auch ein Schaden in Form eines Kontrollverlustes über ihre Daten entstanden. Bei der Verknüpfung einer Mobiltelefonnummer mit sonstigen personenbezogenen Daten handelt es sich um eine sensible Kombination, da zum einen dem Mobiltelefon heutzutage eine besondere Funktion bei der Erstellung und Absicherung von Benutzerkonten bzw. allgemein der Abwicklung von privaten und geschäftlichen Kontakten zukommt und damit das Risiko u. a. von sog. Identitätsdiebstahl erhöht wird, und die Verknüpfung zum anderen eine deutlich zielgerichtetere Kontaktaufnahme mit der Kl. zu unlauteren Zwecken ermöglicht. Das Schmerzensgeld muss nach Sinn und Zweck der DS-GVO abschreckend sein und sich an Ausgleichs- und Genugtuungsfunktion orientieren, wobei es auf die konkreten Umstände des Einzelfalls ankommt und der Katalog des Art. 83 Abs. 2 DS-GVO Berücksichtigung finden kann. Hierbei ist schmerzensgelderhöhend zu berücksichtigen, dass es sich bei der streitgegenständlichen Verknüpfung – wie iRd Schadens ausgeführt – um eine sensible Kombination mit hohem Missbrauchspotential handelt. Schmerzensgeldmindernd ist zu berücksichtigen, dass es sich sämtlich um Daten aus der – grds. am wenigstens schutzwürdigen – Sozialsphäre der Kl. nach der insoweit maßgeblichen Rspr. des BVerfG zum allgemeinen Persönlichkeitsrecht handelt. Weiter ist zu berücksichtigen, dass sich die Kl. ihrer Daten in Kenntnis des Geschäftsmodells der Bekl. und damit – anders als etwa im Falle von Gesundheitsdaten, die im Zuge ärztlicher Behandlungen notwendigerweise erhoben werden – freiwillig begeben hat (wenn auch – wie ausgeführt – nicht zu dem Zweck der streitgegenständlichen Verarbeitung).

LG Frankfurt a. M. Urt. v. 4.8.2023 – 2-27 O 194/22

1.000 EUR Dem Kl. steht gegen die Bekl. ein Anspruch auf Schadensersatz nach Art. 82 Abs. 1 DS-GVO iHv 1000 EUR zu. Dem Kl. ist ein Schaden entstanden. Ihm ist zwar unstreitig bisher kein materieller Schaden entstanden, wohl ein immaterieller Schaden. Ein immaterieller Schaden liegt vor, wenn aufgrund eines Verstoßes gegen die DS-GVO ein absolut geschütztes Rechtsgut der geschädigten Person verletzt wurde. Vorliegend wurde das allgemeine Persönlichkeitsrecht in der Ausprägung des Rechts auf informationelle Selbstbestimmung verletzt. Das Recht auf informationelle Selbstbestimmung enthält die Befugnis des Einzelnen, grds. selbst zu entscheiden, wann und innerhalb welcher Grenzen persönliche Lebenssachverhalte offenbart werden. Dieses Recht des Kl. wurde verletzt. Die Daten des Kl., insb. seine auf der Plattform der Bekl. nicht veröffentlichte Mobilnummer, wurden im Internet gemeinsam mit den Daten einer Vielzahl anderer Nutzer:innen der Bekl. veröffentlicht. Über diese Veröffentlichung, der aufgrund des Vorliegens eines „Datenpakets“ mit Daten vieler Personen ein höherer Nutzwert für kriminell handelnde Dritte zukommt, hatte der Kl. keine Kontrolle. Sie verletzt daher sein Recht auf informationelle Selbstbestimmung. Ob diese Verletzung „erheblich“ ist, ist nicht von Relevanz. Der EuGH hat entschieden, dass keine Erheblichkeitsprüfung durchzuführen ist. Die Bekl. hat gegen die DS-GVO verstoßen, weil sie Daten des Kl., namentlich seine Telefonnummer, ohne seine Einwilligung verarbeitet hat. Die Bekl. hat ferner gegen die Vorgaben zur Gewährleistung einer angemessenen Sicherheit bei der Verarbeitung der personenbezogenen Daten nach Art. 5 Abs. 1 lit. f DS-GVO verstoßen. Die Bekl. hat schließlich gegen die Verpflichtung zur Vornahme datenschutzfreundlicher Voreinstellungen nach Art. 25 Abs. 2 DS-GVO verstoßen. Ob die Bekl. ihre Meldepflichten aus Art. 3334 DS-GVO verletzt hat, kann offenbleiben. Denn ein etwaiger Verstoß der Bekl. könnte jedenfalls nicht haftungsbegründend sein. Es kann nicht festgestellt werden, dass die etwaige Verletzung dieser Pflichten für den geltend gemachten Schaden des Kl. überhaupt (mit-)kausal geworden ist und diesen zumindest vertieft hat. Vielmehr ist das streitgegenständliche Scraping der Daten mit der öffentlichen Einstellung der Daten im Internet erstmals offenbar geworden. Auch ein möglicher Verstoß der Bekl. gegen die Auskunftspflicht nach Art. 15 DS-GVO ist für den Schadensersatzanspruch nach Art. 82 DS-GVO irrelevant. Es würde jedenfalls an der Kausalität des Verstoßes für den vermeintlichen Schaden in Gestalt der Datenveröffentlichung fehlen. Der Schaden liegt in einer rechtswidrigen Datenverarbeitung begründet, nicht jedoch in einer unterlassenen oder verspäteten Auskunft über die erhobenen Daten als solche. Kausal für den Schaden des Kl. sind demgegenüber die rechtswidrige Verarbeitung der Telefonnummer des Kl. sowie die Verstöße der Bekl. gegen Artt. 25 Abs. 232 DS-GVO. Eine Haftungsbefreiung der Bekl. nach Art. 82 Abs. 3 DS-GVO findet nicht statt. Dass die Bekl. in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist, ist nicht festzustellen. Erforderlich hierfür wäre der Nachweis der Bekl., dass sie sämtliche Sorgfaltsanforderungen erfüllt hat und ihr nicht die geringste Fahrlässigkeit vorzuwerfen ist. Die konkrete Konfiguration der Voreinstellungen in den Profilen war ebenso wie die technischen Funktionen zur Nutzung der Mobilnummern von der Bekl. im Rahmen ihres Geschäftsbetriebes offenkundig bewusst wie geschehen verfasst. Insoweit liegt entsprechend zumindest Fährlässigkeit vor. Auch das Fehlen von ausreichenden technischen Schutzmechanismen begründet einen Fahrlässigkeitsvorwurf. Dabei fällt ins Gewicht, dass die Methode des Scrapings nach dem eigenen Beklagtenvorbringen eine „gängige Taktik“ zur Datenabgreifung darstellte, mithin im Wesentlichen bekannt war. Nutzen Dritte bereits erkannte oder erkennbare Angriffswege, um auf Daten zuzugreifen, kann die Nichtverantwortlichkeit des Verantwortlichen regelmäßig nicht nachgewiesen werden. Die Höhe des Schadensersatzes beziffert das Gericht mit 1000 EUR, wobei es diesen Betrag für angemessen, aber auch für ausreichend hält, um den immateriellen Schaden auszugleichen und gleichzeitig der erforderlichen Abschreckungswirkung Rechnung zu tragen sowie dabei die besonderen Umstände des Falles zu würdigen. Dem Gericht steht insoweit gem. § 287 ZPO ein Ermessen zu. Das Gewicht der Rechtsverletzung sowie der objektive Umfang der Beeinträchtigung der betroffenen Person sind angemessen zu berücksichtigen. Der Kl. kann von der Bekl. auch die Feststellung der Ersatzpflicht für mögliche künftige Schäden verlangen. Die grundsätzliche Ersatzpflicht aus Art. 82 Abs. 1 DS-GVO ist gegeben. Der Kl. hat Anspruch auf Zahlung vorgerichtlicher Rechtsanwaltskosten.

LG Berlin Urt. v. 3.8.2023 – 8 O 77/22

500 EUR Dem Kl. steht gegen die Bekl. ein Anspruch auf Schadensersatz in Form eines Schmerzensgeldes für seinen immateriellen Schaden zu, wobei das Gericht diesen mit 500 EUR bemisst. Die Bekl. verursachte eine nicht dieser Verordnung entsprechende Verarbeitung. Dabei verstieß die Bekl. kumulativ gegen mehrere Vorschriften der DS-GVO, nämlich jedenfalls gegen Art. 13 Abs. 1 lit. c DS-GVO, Art. 24; 32; 5 Abs. 1 lit. f DS-GVO, Art. 24 Abs. 2; 25 Abs. 1; 5 Abs. 1 lit. a, b, c, f DS-GVO; Art. 25 Abs. 2; 5 Abs. 1 lit. a, b, c, f DS-GVO. Dem Kl. ist im Zusammenhang mit dem Scraping-Vorfall auch ein nach Art. 82 DS-GVO ersatzfähiger – immaterieller – Schaden kausal entstanden. Der Schaden muss nach dem Wortlaut der Norm tatsächlich entstanden sein und ist damit nicht mit der zugrundeliegenden Rechtsgutverletzung gleichzusetzen. Für die Ersatzpflicht genügt demnach nicht allein ein Verstoß gegen die DS-GVO, sondern es muss auch ein Schaden eingetreten sein. Der Begriff des Schadens ist nach dem Erwägungsgrund 146 S. 3 DS-GVO weit auszulegen, sodass die Betroffenen einen wirksamen Ersatz bekommen. Es handelt sich um einen autonomen Begriff des Unionsrechts, der in allen Mitgliedstaaten einheitlich auszulegen ist. Dabei kommt es insb. auf die Ziele und den Sachzusammenhang der Verordnung an. Soweit zwar einerseits nicht allein der bloße Verstoß gegen die Bestimmungen der DS-GVO zur Begründung eines Schadensersatzanspruchs ausreicht, so bedarf der erlittene Schaden andererseits nicht eines bestimmten Grades an Erheblichkeit. Der Schaden kann bereits etwa in dem unguten Gefühl liegen, dass personenbezogene Daten Unbefugten bekannt geworden sind, insbesondere, wenn nicht ausgeschlossen ist, dass die Daten unbefugt weiterverwendet werden. Er kann bereits in der Ungewissheit darüber bestehen, ob personenbezogene Daten an Unbefugte gelangt sind. So können unbefugte Datenverarbeitungen zu einem Gefühl des Beobachtetwerdens und der Hilflosigkeit führen, was die betroffenen Personen letztzlich zu einem Objekt der Datenverarbeitung degradiert. In Erwägungsgrund 7585 der DS-GVO werden ausdrücklich der Kontrollverlust und die „unbefugte Aufhebung der Pseudonomysierung“ als „insbesondere“ zu erwartende Schäden genannt. Bei den genannten Beeinträchtigungen kann es sich denklogisch nur um immaterielle Schäden handeln. Spezifische Angaben, wie konkret sich der Kontrollverlust auf die Persönlichkeit und auf das Leben der betroffenen Person ausgewirkt hat, sind nicht erforderlich. Als mögliche Schäden kommen zB auch Ängste, Stress, sowie Komfort- und Zeiteinbußen in Betracht, die sich vor allem nach den im konkreten Fall erforderlichen Abhilfemaßnahmen richten. Hier hat der Kl. einen Schaden erlitten. Seine öffentlichen Profildaten wurden mit seiner Telefonnummer verknüpft und so im Zusammenhang mit dem Datenscraping im Internet veröffentlicht. Soweit die Bekl. entwendet, dass die von dem Kl. vorgetragenen Belästigungen insb. durch häufige Anrufe und SMS nicht notwendigerweise auf die mit dem Scraping-Vorfall verbundenen Veröffentlichungen der klägerischen Daten zurückzuführen sind, hindert dies einen Anspruch des Kl. nicht. Denn der Kl. hat nachvollziehbar zum Ausdruck gebracht, dass er die Sorge hegt, dass diese Belästigungen auf den Scraping-Vorfall zurückzuführen sind. Er schilderte gleichfalls, dass er aufgrund dieser starken Belästigungen sein Verhalten änderte, nämlich dass er bei der Annahme von Anrufen zögert und eine Unsicherheit empfindet, bei eigentlich ordnungsgemäßen Nachrichten zB zu Paketzustellungen. Diese von dem Kl. im Rahmen seiner persönlichen Anhörung im Termin gemachten Angaben haben das Gericht überzeugt; es hält diese für glaubhaft. Dabei kommt es im Ergebnis nicht darauf an, wozu die ohne Einverständnis des Kl. zugänglich gemachten Daten tatsächlich von den „Scrapern“ oder unbefugten Dritten verwendet wurden. Der Schaden ist kausal auf die Verletzungen der Datenschutzgrundverordnung zurückzuführen. Hierzu genügt eine Mitursächlichkeit. Es muss nach der allgemeinen Lebenserfahrung davon ausgegangen werden können, dass dieser Schaden auch auf die Verletzungen zurückzuführen ist. Der Bekl. gelingt es nicht, sich mit Blick auf den Scraping-Vorfall nach Art. 82 Abs. 3 DS-GVO zu entlasten. Hierfür müsste sie nachweisen, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. Unabhängig davon, ob man den Begriff der Verantwortlichkeit mit Teilen der Rspr. und der Lit. mit dem Begriff des Verschuldens gleichsetzt oder Art. 82 DS-GVO als Gefährdungshaftungstatbestand versteht kann sich die Bekl. nicht entlasten. Ein Mitverschulden des Geschädigten, kann – anders als nach § 254 BGB – den Anspruch nicht mindern, denn nach Art. 82 Abs. 3 DS-GVO ist ein Haftungsausschluss nur dann möglich, wenn dem Verantwortlichen der Schaden „in keiner Hinsicht“ zur Last gelegt werden kann. Dies ist hier nach Vorstehendem nicht der Fall. Das Gericht hält nach Anhörung des Kl. und dem dabei gewonnenen Eindruck in Ausübung des ihm durch § 287 ZPO eingeräumten Ermessens ein Schmerzensgeld von 500 EUR für unter Berücksichtigung der Unionsgrundsätze der Äquivalenz und Effektivität für angemessen, aber auch ausreichend. Hiermit trägt es einerseits der Ausgleichs- und Genugtuungsfunktion und andererseits der auch generalpräventiven Funktion des immateriellen Schadensersatzes hinreichend Rechnung. Bei der Bemessung der Schadensersatzhöhe hat das Gericht daneben auch die gesetzgeberisch beabsichtigte abschreckende Wirkung des Schadensersatzes bedacht. Andererseits hat es aber auch berücksichtigt, dass das Allgemeininteresse im Schwerpunkt nach Art. 83 DS-GVO durch die Verhängung von Bußgeldern gewahrt wird. Dem Kl. steht jedoch gegen die Bekl. der in der mündlichen Verhandlung hilfsweise beantragte Anspruch auf Freistellung von den vorgerichtlichen Anwaltskosten zu (Art. 82 Abs. 1 DS-GVO). Die betroffenen Personen sollen einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten, wobei nach den Erwägungsgründen eine weite Auslegung vorgenommen werden soll, der Schadensersatz muss daher mehr als symbolisch sein. Dazu kann auch der Ersatz vorgerichtlicher Rechtsanwaltskosten handeln. Der Prozessbevollmächtigte des Kl. ist hier zur Durchsetzung der Schadensersatzansprüche des Kl. gem. der DS-GVO und damit zur zweckentsprechenden Rechtsverfolgung tätig geworden und was angesichts der Komplexität des Datenschutzrechts auch verhältnismäßig war. Daher kommt es nicht mehr darauf an, ob die vorgerichtlichen Rechtsanwaltskosten auch aus Verzug gem. §§ 286 Abs. 1, 2 Nr. 3; 280 S. 1 und S. 2 BGB geltend gemacht werden können, wofür jedoch das Schreiben des jetzigen Prozessbevollmächtigten vom Mai 2021 sprechen. Bei einem teilweisen Obsiegen kann der Kl. grds. die Rechtsanwaltskosten nur einfordern, soweit er mit dem vorgerichtlich geltend gemachten Anspruch später vor Gericht durchdringt.

LG Stuttgart Urt. v. 3.8.2023 – 54 O 8/23

400 EUR Scraping-Sachverhalt. Wie LG Stuttgart Urt. v. 28.3.2023 – 54 O 165/22.

LG Chemnitz Urt. v. 28.7.2023 – 1 O 878/22

500 EUR Scraping-Sachverhalt. Wie LG Chemnitz Urt. v. 19.6.2023 – 1 O 746/22.

LG Berlin Urt. v. 28.7.2023 – 14 O 149/22

1.000 EUR Dem Kl. steht gegen die Bekl. ein Anspruch auf Schadensersatz in Form eines Schmerzensgeldes iHv 1000 EUR zu. Für die erfolgte Verarbeitung fehlt es bereits an einer tauglichen Rechtsgrundlage. Die Bekl. hat des Weiteren gegen ihre datenschutzrechtlichen Aufklärungs- und Schutzpflichten verstoßen. Der Bekl. fällt bereits ein Verstoß gegen die Transparenzpflichten aus Art. 5 Abs. 1 lit. a, 1314 DS-GVO zur Last. Die Bekl. hat überdies gegen die Verpflichtung zum Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen aus Art. 25 DS-GVO verstoßen. Der Verstoß gegen Art. 25 Abs. 2 DS-GVO ist auch dazu geeignet, einen Ersatzanspruch nach Art. 82 DS-GVO auszulösen, da aus der Verletzung der sich aus Art. 25 DS-GVO ergebenden Pflichten eine Erhöhung der Gefahr eines Schadens resultieren kann. Die Bekl. hat auch gegen ihre Pflichten aus Art. 3224 DS-GVO zur Ergreifung geeigneter technischer und organisatorischer Schutzmaßnahmen verstoßen. Es kann dahinstehen, ob die Bekl. auch gegen ihre Pflichten aus Art. 33 (Meldung an die Aufsichtsbehörde), Art. 34 (Information des Kl.) und Art. 15 (Auskunftserteilung) DS-GVO verstoßen hat. Zum einen folgt aus diesen Verstößen letztlich kein weitergehender Unrechtsgehalt als aus den bereits dargelegten Verstößen. Zum anderen hätten auch eine ordnungsgemäße Meldung der Verstöße an die Aufsichtsbehörde nach Art. 33 DS-GVO, eine Benachrichtigung des Kl. über die Verstöße nach Art. 34 DS-GVO und die Erteilung einer ordnungsgemäßen Auskunft über die verarbeiteten Daten nach Art. 15 DS-GVO den beim Kl. aufgrund des Scraping-Vorfalls verursachten Schaden nicht mehr mindern können. Etwaige Verstöße sind für den eingetretenen Schaden mithin nicht kausal. Die Bekl. kann sich mit Blick auf den Scraping-Vorfall nicht nach Art. 82 Abs. 3 DS-GVO entlasten. Insofern kann dahinstehen, ob überhaupt ein Verschulden erforderlich ist bzw. ob die Haftung nach Art. 82 DS-GVO zur Sicherstellung eines möglichst wirksamen Schadensersatzes als Gefährdungshaftung gestaltet ist. Der Bekl. ist bereits nach ihrem eigenen Vorbringen eine Entlastung, hinsichtlich derer ihr die Darlegungs- und Beweislast obliegt, nicht gelungen. Dem Kl. ist im Zusammenhang mit dem Scraping-Vorfall auch ein nach Art. 82 DS-GVO ersatzfähiger – immaterieller – Schaden entstanden, für den die Verstöße der Bekl. gegen die DS-GVO kausal waren. Nach richterlichem Ermessen gem. § 287 Abs. 1 ZPO ist dem Kl. für die erlittenen immateriellen Schäden ein Schmerzensgeld iHv 1000 EUR zuzusprechen (§ 287 Abs. 1 S. 1 ZPO). Es kann dahinstehen, ob ein Mitverschulden des Geschädigten iRv Art. 82 DS-GVO zu berücksichtigen ist. Das Gericht hält ein Schmerzensgeld iHv 1.000 EUR für angemessen, aber auch ausreichend, um sowohl dessen Ausgleichs- und Genugtuungsfunktion als auch dessen generalpräventiver Funktion des immateriellen Schadensersatzes hinreichend Rechnung zu tragen. Nachdem dem Kl. ein Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO zusteht, ist auch auf den Klageantrag zu Ziffer 2 zu erkennen. Es ist nicht ausgeschlossen, dass der Kl. künftig infolge der Verstöße der Bekl. gegen die DS-GVO – auch – materielle Schäden erleidet.

LG Ravensburg Urt. v. 26.7.2023 – 5 O 100/22

500 EUR Dem Kl. steht gegen die Bekl. einen Anspruch auf immateriellen Schadensersatz iHv 500 EUR aus Art. 82 Abs. 1 DS-GVO zu. Grund und damit unabdingbare Voraussetzung der Haftung ist eine Pflichtverletzung, wenngleich es auf einen Schutznormcharakter der verletzten Vorschrift nicht ankommt, der Begriff der Pflichtverletzung also denkbar weit gefasst ist und letztlich jede Verletzung materieller oder formeller Bestimmungen der Verordnung einschließt. Die Bekl. ist der ihr nach Art. 13 DS-GVO auferlegten Informations- und Aufklärungspflicht nicht in vollständigem Umfang nachgekommen. Zudem hat die Bekl. als Verantwortliche aufgrund unzureichender Sicherheitsmaßnahmen bzgl. der Nutzung des CIT auch gegen Art. 32245 Abs. 1 lit. f) DS-GVO verstoßen. Die Bekl. hat auch gegen Art. 33 DS-GVO verstoßen. Die Bekl. hat zudem auch gegen Art. 34 DS-GVO verstoßen, da sie den Kl. nicht über den Scraping-Vorfall informiert hat. Da sich aus einem Verstoß gegen Art. 25 DS-GVO wegen seines organisatorischen Charakters ein Anspruch auf Schadensersatz nach Art. 82 DS-GVO nicht begründen lässt, kann dahinstehen, ob zudem noch ein Verstoß der Bekl. gegen Art. 25 DS-GVO vorliegt. Die Bekl. kann sich auch nicht gem. Art. 82 Abs. 3 DS-GVO exkulpieren. Die Bekl. kann nicht nachweisen, dass sie kein Verschulden trifft. Das wäre nämlich nur dann der Fall, wenn sie sämtliche Sorgfaltsanforderungen erfüllt hätte und ihr nicht die geringste Fahrlässigkeit vorzuwerfen wäre. Hält der Anspruchsgegner etwa sämtliche erforderlichen Sicherheitsmaßnahmen (Art. 32 DS-GVO) ein und kommt es dennoch zu einem unbefugten Datenzugriff, fehlt es an einem Verschulden. War der Angriffsweg dagegen bekannt oder auch nur erkennbar, ist der Entlastungsbeweis nicht geführt. Da die nach Art. 32 DS-GVO erforderlichen Sicherheitsmaßnahmen von der Bekl. nicht eingehalten wurden, steht gerade nicht fest, dass die Bekl. kein Verschulden treffe. Dem Kl. ist auch ein kausaler immaterieller Schaden iSd Art. 82 DS-GVO entstanden. Die vorgerichtlichen Rechtsanwaltskosten sind als Teil des zu ersetzenden Schadens gem. Art. 82 Abs. 1 DS-GVO zu erstatten.

LG Bayreuth Urt. v. 26.7.2023 – 31 O 276/22

100 EUR Scraping-Sachverhalt. Wie LG Bayreuth Urt. v. 22.6.2023 – 31 O 40/23.

LG Hannover Urt. v. 24.7.2023 – 13 O 63/22

2x 500 EUR Scraping-Sachverhalt. Wie LG Hannover Urt. v. 17.8.2023 – 13 O 1/23.

LG Düsseldorf Urt. v. 19.7.2023 – 12 O 83/22

0 EUR Dem Kl. steht kein Anspruch auf Zahlung eines immateriellen Schadensersatzes iHv mindestens 1.000 EUR gem. Art. 82 Abs. 1 DS-GVO zu. Der Anwendungsbereich des Art. 82 Abs. 1 DS-GVO erfasst die Verletzung von Auskunftsansprüchen und Informationspflichten nicht. Da die Art. 13141533 und 34 DS-GVO „lediglich“ Auskunftsansprüche bzw. Informationspflichten über die Verarbeitung enthalten, nicht aber die Verarbeitung personenbezogener Daten als solche zum Gegenstand haben, können Verstöße gegen diese Vorschriften keinen Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO auslösen. Dies wird durch das Urt. des EuGH v. 4.5.2023 – C-300/21 [= ZD 2023, 446 mAnm Mekat/Ligocki] – Österreichische Post gestützt. In diesem betont der EuGH, dass der Art. 82 DS-GVO die Haftungsregelung des Art. 82 DS-GVO präziseren. Er führt aus: „Art. 82 Abs. 2 DS-GVO, der die Haftungsregelung, deren Grundsatz in Abs. 1 dieses Artikels festgelegt ist, präzisiert, übernimmt nämlich die drei Voraussetzungen für die Entstehung des Schadenersatzanspruchs, nämlich eine Verarbeitung personenbezogener Daten unter Verstoß gegen die Bestimmungen der DS-GVO, ein der betroffenen Person entstandener Schaden und ein Kausalzusammenhang zwischen der rechtswidrigen Verarbeitung und diesem Schaden.“ Weiter nimmt er Bezug auf Erwägungsgrund 7585146 DS-GVO. In diesen wird ebenfalls auf Schäden, die auf einer Datenverarbeitung beruhen, abgestellt. Da der EuGH weiter ausführt, dass nicht bei jeder Verarbeitung ein Schaden eintreten muss, ergibt sich hieraus, dass er selbst davon ausgeht, dass die Verarbeitung von Daten jedenfalls Voraussetzung des Schadensersatzanspruchs ist. Es kann an dieser Stelle dahinstehen, ob die Bekl. die personenbezogenen Daten des Kl. nicht im ausreichenden Maße gegen Scraping schützte (Art. 5 lit. f, 3224 DS-GVO). Ebenfalls nicht entscheidungserheblich ist die Frage, ob die Voreinstellungen der Bekl. gegen das in Art. 25 DS-GVO verankerte Prinzip „Privacy by Design“ bzw. „Privacy by default“ verstoßen haben. Die Kammer vermochte das Vorliegen eines kausal auf diesen Verstößen beruhenden immateriellen Schadens iSd Art. 82 DS-GVO nicht festzustellen. Voraussetzung für das Bestehen eines Schadensersatzanspruchs nach Art. 82 DS-GVO ist das Vorliegen eines Verstoßes gegen die Vorschriften der DS-GVO, eines Schadens sowie eines Kausalzusammenhangs zwischen dem Verstoß und dem geltend gemachten Schaden. Der Schaden liegt also nicht in der rechtswidrigen Informationsverarbeitung selbst, sondern muss sich von ihr unterscheiden und kausal auf diese zurückgehen. Der Kl. hat dazu einen konkreten – auch immateriellen – Schaden darzulegen. Der Begriff soll zur Gewährung eines wirksamen Ersatzes nach dem Erwägungsgrund 146 S. 3 DS-GVO weit ausgelegt werden. Beispielhaft aufgezählt werden folgende Nichtvermögens- und Vermögensschäden: Diskriminierung, Identitätsdiebstahl oder -betrug, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten, unbefugte Aufhebung der Pseudonymisierung oder andere gesellschaftliche Nachteile, die an sich schon ein immaterieller Schaden sind, sich zudem zu einem materiellen Schaden verwirklichen können; des Weiteren finanzielle Verluste oder andere erhebliche wirtschaftliche Nachteile (Erwägungsgründe 7585 DS-GVO). Eine Erheblichkeitsschwelle muss dabei nicht überschritten werden. Der Schaden muss auch wirklich „erlitten“ sein (Erwägungsgrund 146 S. 6 DS-GVO). Es muss ein realer und sicherer emotionaler Schaden eingetreten sein. Empirisch führt nämlich jeder Verstoß gegen eine Datenschutzvorschrift zu einer negativen Reaktion der betroffenen Person. Nicht jeder Datenschutzverstoß soll jedoch einen Schadensersatzanspruch auslösen. Ein immaterieller Schadensersatz für ein bloßes Gefühl des Unwohlseins käme einer Entschädigung ohne Schaden gleich. Dass nicht alle negativen Folgen eines Verstoßes gegen die DS-GVO einen immateriellen Schaden iSd Art. 82 DS-GVO darstellen, ergibt sich auch aus den Ausführungen des EuGHs, dass das Nichtbestehen einer Erheblichkeitsschwelle nicht bedeute, dass eine Person, die von einem Verstoß gegen die DS-GVO betroffen ist, der für sie negative Folgen gehabt hat, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden iSd Art. 82 DS-GVO darstellen. Die Kammer schließt sich dabei den überzeugenden Ausführungen des GA N. an. Dieser stellt entscheidend darauf ab, dass es sich bei dem immateriellen Schaden nicht um eine bloße subjektive Wahrnehmung handelt, die veränderlich ist und vom Charakter und von persönlichen Faktoren abhängt, sondern um die Objektivierung einer, wenn auch geringfügigen, aber nachweisbaren Beeinträchtigung der physischen oder psychischen Sphäre oder des Beziehungslebens einer Person sowie auf die Art der betroffenen Daten und die Bedeutung, die die Daten im Leben des Kl. haben und vielleicht auch die Wahrnehmung, die die Gesellschaft zu diesem Zeitpunkt von dieser spezifischen mit der Datenverletzung verbundenen Beeinträchtigung hat. Dass der K. einen derart erheblichen Kontrollverlust über seine Daten erlitten hat, dass er in einem Zustand großen Unwohlseins und Sorge über den möglichen Missbrauch der Daten verblieb, hat sich iRd persönlichen Anhörung des Kl. nicht bestätigt. Der Anspruch auf Ersatz der vorgerichtlichen Rechtsanwaltskosten iHv 354,62 EUR besteht weder nach Art. 82 Abs. 1 DS-GVO noch nach §§ 280286 BGB.

LG Hannover Urt. v. 13.7.2023 – 13 O 80/22

500 EUR Scraping-Sachverhalt. Wie LG Hannover Urt. v. 17.8.2023 – 13 O 1/23.

LG Hannover Urt. v. 13.7.2023 – 13 O 62/22

500 EUR Scraping-Sachverhalt. Wie LG Hannover Urt. v. 17.8.2023 – 13 O 1/23.

LG Bielefeld Urt. v. 7.7.2023 – 4 O 275/22 = ZD 2023, 756

0 EUR Die Kl. hat gegen die Bekl. keinen Anspruch auf Zahlung eines immateriellen Schadensersatzes aus Art. 82 Abs. 1 DS-GVO oder einer anderen denkbaren Anspruchsgrundlage wegen des Kopierens ihres Personalausweises in der Praxis der Bekl. Denn jedenfalls fehlt es am Eintritt eines immateriellen Schadens. Eine Erheblichkeitsschwelle für das Vorliegen eines solchen Schadens ergibt sich gerade nicht aus der DS-GVO. Bagatellschäden sind nicht auszuschließen. Zu verlangen ist aber jedenfalls, dass ein konkreter immaterieller Schaden auch tatsächlich eingetreten ("entstanden") ist. Die in den Schriftsätzen formelhaft beschriebenen Ängste und Sorgen, das Unwohlsein sowie die Verunsicherung der Kl. haben sich in der persönlichen Anhörung iRd mündlichen Verhandlung nicht bestätigt.

LG Stuttgart Urt. v. 6.7.2023 – 46 O 343/22

400 EUR Die Bekl. hat gegen Pflichten der DS-GVO verstoßen, indem sie die technischen Voraussetzungen schuf, über eine Abfrage zufälliger Nummern die Telefonnummer mit dem Nutzerkonto des Kl. zu verknüpfen, ohne dass hierfür eine Einwilligung vorlag. Die Bekl. hat hierbei insb. gegen ihre Pflicht gem. Art. 32 DS-GVO verstoßen, geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten zu treffen, gegen die Verpflichtung datensparsamer Grundeinstellungen nach Art. 25 Abs. 2 DS-GVO sowie im Anschluss gegen ihre Meldepflichten nach Artt. 3334 DS-GVO. Eine Haftung der Bekl. entfällt nicht gem. Art. 82 Abs. 3 DS-GVO. Voraussetzung eines Schadens ist, dass über den Verstoß gegen eine Norm der DS-GVO hinaus ein feststellbarer Schaden beim KI. eingetreten ist. Nicht erforderlich ist hingegen, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat. Der Kl. hat einen konkreten, mit dem Daten-Scraping in Zusammenhang stehenden Schaden behauptet. Diesen hat zur Überzeugung des Gerichts der Sohn des Kl. iRd persönlichen Anhörung nachvollziehbar erläutert. Die streitgegenständlichen Verstöße gegen Privacy by Default, Datenverarbeitungssicherheit und Meldepflichten nach Art. 3334 DS-GVO waren ursächlich für den beim Kl. eingetretenen immateriellen Schaden. Dem Kl. erachtet einen gem. § 287 Abs. 1 S. 1 ZPO zu schätzenden immateriellen Schadensersatz iHv 400 EUR für gerechtfertigt. Für die Höhe des Schmerzensgeldes ist für das Gericht von entscheidender Bedeutung, dass sich aus dem Scraping-Vorfall kein materieller Schaden des Kl. realisiert hat. Mit zunehmendem Zeitablauf verlieren die gescrapten Daten an Aktualität. Der Kl. ist vorgewarnt und in der Lage, entweder seine Kontaktdaten zu ändern oder missbräuchlichen Kontaktaufnahmen zu widerstehen. Somit verbleibt ein spürbares, jedoch nicht überwältigendes Lästigkeitsmoment des Datenverlustes, welches den Kl. beeinträchtigt. Der Kl. hat keinen Anspruch auf Ersatz außergerichtlicher Rechtsanwaltskosten. IRd ihm zustehenden materiellen Schadensersatzanspruchs nach Art. 82 Abs. 1 DS-GVO kann der Kl. zwar grds. Erstattung vorgerichtlich angefallener Rechtsanwaltsgebühren beanspruchen. Vorliegend fehlt es jedoch an einer schlüssigen Darlegung des Schadens.

LG Münster Urt. v. 4.7.2023 – 16 O 238/22 = ZD 2024, 292

579,17 EUR Dem Kl. steht gegen die Bekl. ein Anspruch auf Ersatz der von ihm geltend gemachten vorgerichtlichen Rechtsanwaltskosten iHv 579,17 EUR aus Art. 82 Abs. 1 DS-GVO, § 249 BGB sowie §§ 280 Abs. 1286 Abs. 1249 BGB zu.

LG Hannover Urt. v. 3.7.2023 – 13 O 177/22

500 EUR Scraping-Sachverhalt. Wie LG Hannover Urt. v. 17.8.2023 – 13 O 1/23.

LG Bonn Urt. v. 30.6.2023 – 10 O 257/22

500 EUR Scraping-Sachverhalt.

LG Siegen Urt. v. 30.6.2023 – 5 O 188/22

500 EUR Scraping-Sachverhalt. Wie LG Siegen Urt. v. 30.6.2023 – 5 O 169/22.

LG Siegen Urt. v. 30.6.2023 – 5 O 169/22

500 EUR Die Bekl. als Verantwortliche iSv Art. 4 Ziff. 7 DS-GVO hat gegen ihr nach der DS-GVO obliegende Pflichten verstoßen. Sie hat zum einen im Hinblick auf die Suchbarkeit des Kl. über dessen Telefonnummer datenschutzunfreundliche Voreinstellungen getroffen und damit gegen Art. 25 DS-GVO verstoßen. Zum anderen hat sie den Kl. nicht ausreichend darüber aufgeklärt, dass die Angabe seiner Telefonnummer zunächst automatisch zur Folge hat, dass sein Facebook-Profil von jedermann nach Eingabe dieser Telefonnummer gefunden werden kann, und damit gegen Art. 13 DS-GVO verstoßen. Schließlich hat sie nicht schlüssig dargelegt, dass sie im Zeitpunkt des Abschöpfens der klägerischen Daten bei dem Scraping-Vorfall ausreichende Sicherheitsvorkehrungen getroffen hätte, um den nach ihren Nutzungsbedingungen untersagten Scraping-Vorfall zu verhindern und die ihr von den Nutzern anvertrauten Daten hinreichend zu schützen, sodass sie auch gegen Art. 24 und 32 DS-GVO verstoßen hat. Dem Kl. ist hierdurch auch ein kausaler Schaden entstanden. Dieser Kontrollverlust ist bereits ausreichend, um einen Schaden des Kl. iSd Vorschrift anzunehmen. Auch die Entscheidung des EuGH v. 4.5.2023 – C-300/21 [= ZD 2023, 446 mAnm Mekat/Ligocki] – Österreichische Post, wonach für einen Schadensersatzanspruch nach Art. 82 DS-GVO zwar ein Schaden erforderlich sei, für diesen aber gerade keine Erheblichkeitsschwelle gelte, steht dieser Auslegung nicht entgegen. Für eine Enthaftung der Bekl. nach Art. 82 Abs. 2 DS-GVO ist weder ein Umstand vorgetragen noch sonst ersichtlich. Für die Bemessung von Schadensersatzansprüchen nach Art. 82 Abs. 1 DS-GVO enthält die DS-GVO nur wenige Vorgaben. Aus dem Nebeneinander von materiellem und immateriellem Schaden folgt, dass auch solche Schäden auszugleichen sind, die sich nicht unmittelbar in Geld bemessen lassen. Hiernach hat sich der Schadensersatz auch bei immateriellen Schäden zuerst am Ziel des Schadensausgleichs zu orientieren, darüber hinaus spielt auch die Genugtuungsfunktion eine Rolle. Die vorgerichtlichen Rechtsanwaltskosten sind iHv 280,60 EUR als Teil des Schadens gem. Art. 82 Abs. 1 DS-GVO zu ersetzen.

LG Hannover Urt. v. 29.6.2023 – 13 O 17/23

100 EUR Scraping-Sachverhalt. Wie LG Hannover Urt. v. 17.8.2023 – 13 O 1/23.

LG Ulm Urt. v. 29.6.2023 – 4 O 261/22

500 EUR Scraping-Sachverhalt. LG Ulm Urt. v. 25.5.2023 – 4 O 118/22

LG Ulm Urt. v. 26.6.2023 – 4 O 7/23

500 EUR Scraping-Sachverhalt. Wie LG Ulm Urt. v. 16.2.2023 – 4 O 86/22.

LG Hannover Urt. v. 22.6.2023 – 13 O 139/22

500 EUR Scraping-Sachverhalt. Wie LG Hannover Urt. v. 17.8.2023 – 13 O 1/23.

LG Hannover Urt. v. 22.6.2023 – 13 O 89/22

500 EUR Scraping-Sachverhalt. Wie LG Hannover Urt. v. 17.8.2023 – 13 O 1/23.

LG Hannover Urt. v. 22.6.2023 – 13 O 85/22

500 EUR Scraping-Sachverhalt. Wie LG Hannover Urt. v. 17.8.2023 – 13 O 1/23.

LG Hannover Urt. v. 22.6.2023 – 13 O 77/22

500 EUR Scraping-Sachverhalt. Wie LG Hannover Urt. v. 17.8.2023 – 13 O 1/23.

LG Bayreuth Urt. v. 22.6.2023 – 31 O 326/22

100 EUR Scraping-Sachverhalt. Wie LG Bayreuth Urt. v. 22.6.2023 – 31 O 40/23.

LG Bayreuth Urt. v. 22.6.2023 – 31 O 40/23

100 EUR Scraping-Sachverhalt.

LG Stuttgart Urt. v. 22.6.2023 – 54 O 56/22

600 EUR Scraping-Sachverhalt. Wie LG Stuttgart Urt. v. 27.4.2023 – 54 O 9/23.

LG Deggendorf Urt. v. 20.6.2023 – 33 O 461/22 = ZD 2023, 639 (Ls.)

0 EUR Die Kl. hat keinen Anspruch auf Ersatz immaterieller Schäden gem. Art. 82 Abs. 1 DS-GVO. Es liegt kein Verstoß gegen die DS-GVO vor. Ob die Bekl. gegen die Vorgaben des Art. 25 DS-GVO verstoßen hat, kann dahinstehen. Denn selbst ein unterstellter Verstoß könnte keinen Schadensersatzanspruch nach Art. 82 DS-GVO begründen. Allein aus einem Verstoß gegen Art. 25 DS-GVO kann wegen seines organisatorischen Charakters ein Anspruch nach Art. 82 Abs. 1 DS-GVO nicht begründet werden. Die Anwendbarkeit der DS-GVO setzt vielmehr eine tatsächliche Verarbeitung personenbezogener Daten voraus. Ungeachtet eines etwaigen Verstoßes gegen die DS-GVO fehlt es jedenfalls (auch) an einem ersatzfähigen Schaden iSd Art. 82 Abs. 1 DS-GVO. Für den immateriellen Schadensersatz gelten dabei die iRv § 253 BGB entwickelten Grundsätze; die Ermittlung obliegt dem Gericht nach § 287 ZPO. Es können für die Bemessung die Kriterien des Art. 83 Abs. 2 DS-GVO herangezogen werden, zB die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie die betroffenen Kategorien personenbezogener Daten. Zu berücksichtigen ist auch, dass die beabsichtigte abschreckende Wirkung nur durch für den Anspruchsverpflichtenden empfindliche Schmerzensgelder erreicht wird, insbesondere wenn eine Kommerzialisierung fehlt. Ein genereller Ausschluss von Bagatellfällen ist damit nicht zu vereinbaren. Die Pflicht zur Erstattung immaterieller Schäden ist daher nicht auf schwere Schäden beschränkt. Bestätigt wurde dies jüngst durch eine Entscheidung des EuGH, wonach der Ersatz eines immateriellen Schadens iSd Art. 82 Abs. 1 DS-GVO nicht davon abhängig gemacht werden kann, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat.

LG Saarbrücken Urt. v. 20.6.2023 – 4 O 168/22

0 EUR Ein entsprechender Anspruch ergibt sich nicht aus Art. 82 Abs. 1 DS-GVO. Der sachliche Anwendungsbereich ist hinsichtlich der klägerseits behaupteten verspäteten Auskunftserteilung gem. Art. 3334 DS-GVO und der Verpflichtung zu datenschutzfreundlichen Voreinstellungen gem. Art. 25 Abs. 2 DS-GVO nicht eröffnet. Denn Art. 82 Abs. 2 S. 1 DS-GVO setzt eine nicht der DS-GVO entsprechende Verarbeitung voraus. Dem unterfällt die verspätete Mitteilung gem. Art. 3334 DS-GVO jedoch nicht. Die verspätete Auskunft findet sich schon nicht im Katalog des Art. 4 Ziff. 2 DS-GVO. Sie steht den dort explizit aufgeführten Beispielen auch nicht gleich. Der klägerische Vorwurf liegt vorliegend in einem Unterlassen der Benachrichtigung, mithin im Unterlassen eines Datenverarbeitungsvorganges. Würde man das Unterlassen der Datenverarbeitung dem positiven Tun insoweit gleichstellen, so würde der Begriff der Verarbeitung praktisch nicht mehr abgrenzbar. Auch ein möglicher Verstoß gegen die Pflicht aus Art. 25 Abs. 2 DS-GVO ist vom Anwendungsbereich des Art. 82 Abs. 1 DS-GVO nicht erfasst. Denn die Norm stellt in erster Linie eine organisatorische Verpflichtung der Verantwortlichen dar; als bloße Verfahrensvorschrift ist die Einhaltung daher keine Voraussetzung für die Rechtmäßigkeit eines Verarbeitungsvorgangs. Die Verpflichtung gem. Art. 25 Abs. 2 DS-GVO betrifft einen Zeitpunkt vor der eigentlichen Datenverarbeitung und entfaltet daher bereits vor dem eigentlichen Beginn der Datenverarbeitung ihren Regelungscharakter. Zwar besteht ein enger Zusammenhang zum Grundsatz der Datenminimierung gem. Art. 5 Abs. 1 lit. c) DS-GVO. Da aber auch eine nicht datenminimierte Verarbeitung rechtmäßig sein kann, sofern dies für die Datenverarbeitung erforderlich ist, ist die Rechtmäßigkeit einer Verarbeitung vorrangig nach den jeweils geltenden Regeln, bei der die Erforderlichkeit geprüft wird, zu beurteilen und erst danach ist Art. 25 Abs. 2 DS-GVO iRd sich dann ergebenden Optionen bei den Voreinstellungen zu berücksichtigen. Soweit der Anwendungsbereich eröffnet ist, fehlt es an einer Verletzung von Vorschriften der DS-GVO. Zunächst scheidet ein Verstoß gegen Art. 5 Abs. 1 lit. a), 1314 DS-GVO aus. Auch einen Verstoß gegen Art. 5 Abs. 1 lit. f) DS-GVO durch einen unzureichenden Schutz der Daten der Nutzer vermag die Kammer vorliegend nicht festzustellen. Auch ein Verstoß gegen den datenschutzrechtlichen Grundsatz „privacy by default“ datenschutzfreundliche Voreinstellungen) gem. Art. 25 Abs. 2 DS-GVO ist zu verneinen. Es fehlt vorliegend jedenfalls an einem kausalen Schaden in der Person der Kl. Einen solchen hat die Kl. – der insoweit die Darlegungs- und Beweislast obliegt – jedenfalls nicht zur Überzeugung der Kammer nachgewiesen. Bei der Schadensberechnung unterliegt das Gericht nicht den Anforderungen des Strengbeweises nach § 286 ZPO. Vielmehr kann das Gericht gem. § 287 Abs. 1 S. 1 BGB auch zu einer Schätzung greifen. Die Schätzung darf nicht völlig abstrakt erfolgen, sondern muss dem jeweiligen Einzelfall Rechnung tragen. Sie darf nicht mangels greifbarer, vom Kl. vorzutragender Anhaltspunkte „völlig in der Luft hängen“. Die Frage, ob bereits der Datenschutzverstoß als solcher für das Entstehen eines Schadensersatzanspruchs ausreicht oder es darüber hinaus der Darlegung und des Nachweises eines konkreten (auch: immateriellen) Schadens bedarf, war in Rspr. und Lit. umstritten. Die Kammer hält die Auffassung für vorzugswürdig, wonach über den festgestellten Verstoß gegen die Vorschriften der DS-GVO hinaus Voraussetzung für eine Entschädigung in Geld der Nachweis eines konkreten (auch immateriellen) Schadens ist. Für diese Auffassung spricht schon der Wortlaut des Art. 82 Abs. 1 DS-GVO, der explizit einen entstandenen materiellen oder immateriellen Schaden voraussetzt. Hätte der Verordnungsgeber eine nur an den Rechtsverstoß anknüpfende, vom Nachweis eines konkreten Schadens unabhängige Zahlungspflicht anordnen wollen, hätte es demgegenüber nahegelegen, dies – wie zB im Luftverkehrsrecht gem. Art. 7 Abs. 1 FluggastrechteVO (VO (EG) 261/2004) – durch Pauschalen zu regeln. In diesem Sinne hat nunmehr auch der EuGH mit Urt. v. 4.5.2023 – C-300/21 [= ZD 2023, 446 mAnm Mekat/Ligocki] – Österreichische Post entschieden. Zugleich hat der EuGH entschieden, dass keine Grenze dergestalt zu ziehen ist, dass – in Anlehnung an die deutsche Dogmatik – lediglich ein erheblicher Schaden ausgleichspflichtig ist. Ein Schaden ist aber ausgehend von den aufgezeigten Parametern vorliegend auch bei Außerachtlassung der Erheblichkeitsschwelle durch die Kammer nicht feststellbar. Der EuGH hat in der zitierten Entscheidung keine konkrete Untergrenze des Schadens definiert. Gleichwohl setzt er eine solche denklogisch voraus, denn zugleich postulierte der EuGH – wie bereits dargetan –, dass nicht jeder Verstoß gegen die Regelungen der DS-GVO einen Schadensersatzanspruch nach sich ziehe. Ein Schaden als eigenständiges Tatbestandsmerkmal sei stets erforderlich. Ein potenzieller Schaden wäre jedenfalls auch nicht kausal auf das Scraping-Ereignis rückführbar. Das Vorliegen eines konkreten, immateriellen Schadens, wozu auch Ängste, Sorgen, Stress sowie Komfort- und Zeiteinbußen zählen, hat die Kl. nicht hinreichend dargetan. Die Kl. schilderte ein Gefühl der Belästigung durch erhaltene Spam-Mails. Sie hat angegeben, dass sie zunächst aus den Medien erfahren, dass Daten abhanden gekommen seien. Kurz danach sei es bei ihr losgegangen mit Spam-Anrufen, mit Bots und auch mit Stöhnanrufen. Sie habe 20-30 Anrufe pro Tag erhalten. Sie sei gestresst gewesen aufgrund der Anrufe, habe zugleich aber auch Angst gehabt nicht ans Telefon zu gehen, da ihr Großvater zur selben Zeit im Krankenhaus gelegen habe. Im Hinblick auf die Vielzahl der Anrufe sei es auch zu Konflikten mit ihrem Arbeitgeber gekommen. Besserung sei erst durch ein neu erworbenes Google Pixel Smartphone eingetreten, das in der Lage gewesen sei, Spamanrufe automatisch herauszufiltern. Hierin kann das Gericht keinen Schaden erblicken. Das bloße Gefühl einer geringen Belästigung vermag einen solchen nicht zu begründen. Der Empfang von Spam in einem gewissen Umfang stellt eine übliche Belastung dar, die bei Nutzung des Internets unter Verwendung eigener Daten gerichtsbekannt regelmäßig auftritt.

LG Heidelberg Urt. v. 20.6.2023 – 7 O 3/23

250 EUR Scraping-Sachverhalt. Wie LG Heidelberg Urt. v. 31.3.2023 – 7 O 10/22.

LG Stendal Urt. v. 20.6.2023 – 23 O 193/22

500 EUR Scraping-Sachverhalt.

LG Ulm Urt. v. 20.6.2023 – 4 O 187/22

500 EUR Scraping-Sachverhalt. Wie LG Ulm Urt. v. 16.2.2023 – 4 O 86/22.

LG Ulm Urt. v. 20.6.2023 – 4 O 380/22

500 EUR Scraping-Sachverhalt. Wie LG Ulm Urt. v. 16.2.2023 – 4 O 86/22.

LG Hamburg Urt. v. 19.6.2023 – 325 O 111/22

500 EUR Scraping-Sachverhalt. Der Schadensersatzanspruch ist teilweise begründet. Die Bekl. hat gegen Pflichten der Datenschutzgrundverordnung verstoßen. Die Einstellungen der Bekl. bzgl. der ihr ggü. angegebenen Telefonnnummern verstießen gegen das in Art. 25 Abs. 2 DS-GVO vorgesehene Prinzip der „Privacy by Default“. Zudem hat die Bekl. gegen die Schutzpflichten aus Art. 5 lit. f und Art. 32 DS-GVO verstoßen. Nach Art. 82 Abs. 1 DS-GVO führt jeder Verstoß gegen die Verordnung der zu einem materiellen oder immateriellen Schaden geführt hat, zu einem Anspruch auf Schadensersatz gegen den Verantwortlichen. Zwar wird mit Rücksicht auf Art. 82 Abs. 2 DS-GVO argumentiert, dass nur Schäden, die iRe Verarbeitung entstanden seien, Gegenstand einer Ersatzpflicht nach Art. 82 DS-GVO sein könnten. Dies überzeugt schon systematisch nicht, denn auch bei einem umfassenderen Verständnis der Haftungsgrundlage aus Absatz 1 hätte der Verordnungsgeber in Absatz 2 festlegen können, wie im Fall einer Verarbeitung die Haftung zwischen dem Verantwortlichen und dem Auftragsverarbeiter aufzuteilen ist. Der Umstand, dass die Telefonnummer der Kl. ohne deren Willen im Darknet veröffentlicht wurde, stellt einen Schaden iSd Art. 82 DS-GVO dar. Zumindest die Möglichkeit eines Missbrauchs des Kontaktimportprogramms ist für den Schadenseintritt kausal. Denn ohne diese Möglichkeit hätten die Dritten die öffentlich nicht einsehbare Telefonnummer der Kl. nicht auslesen können. Nach Art. 82 Abs. 3 DS-GVO obliegt es der Bekl. als Verantwortlicher für die Datenverarbeitung, sich von der Haftung zu befreien, indem sie nachweist, dass sie in keiner Weise für den eingetretenen Schaden verantwortlich ist. Ein solcher Nachweis ist ihr nicht gelungen. Insb. trifft die Kl. nicht unter dem Gesichtspunkt ein Mitverschulden, dass sie bei umfassender Befassung mit den Datenschutzmöglichkeiten der Bekl. hätte erkennen können, dass sie die Suchbarkeit über die Telefonnummer „durch alle“ abwählen konnte.

LG Hamburg Urt. v. 19.6.2023 – 325 O 56/22

500 EUR Scraping-Sachverhalt. Wie LG Hamburg Urt. v. 19.6.2023 – 325 O 111/22.

LG Darmstadt Urt. v. 19.6.2023 – 27 O 194/22 = ZD 2024, 117 (Ls.)

0 EUR Der Kl. hat gegen die Bekl. keinen Anspruch auf Ersatz immateriellen Schadens nach Art. 82 Abs. 1 DS-GVO. Das Gericht hat bereits erheblich Zweifel daran, ob es sich bei dem Großteil der durch den Kl. bei F. angegebenen Informationen um „personenbezogene Daten“ iSv Art. 4 Ziff. 1 DS-GVO handelt. Keine personenbezogenen Daten sind dabei solche Informationen, die anonymisiert sind, also infolge ihrer Veränderung unter Aufhebung des Personenbezugs entweder keine Re-Identifizierung der betroffenen Person (mehr) zulassen oder ein Personenbezug nur mit einem unverhältnismäßigen Aufwand an Zeit, Kosten und Arbeitskraft wiederhergestellt werden kann. Der Kl. hat im Rahmen angegeben, bei F. keinen Klarnamen angegeben, sondern seinen Namen lediglich abgekürzt zu haben mit „“. Damit hat der Kl. aber den Bezug des dort angegebenen Namens zu seiner Person soweit aufgehoben, dass eine Identifizierung seiner Person praktisch ausgeschlossen ist. Dies gilt auch im Hinblick auf seine eMail-Adresse, die ebenfalls keinen Klarnamen enthält („) und damit aus sich heraus ebenso wenig Rückschlüsse auf die tatsächliche Person des Kl. zulässt. Jedenfalls fehlt aber es an einem ersatzfähigen Schaden des Kl. iSv Art. 82 Abs. 1 DS-GVO. Nach Erwägungsgrund 146 S. 3 DS-GVO ist der Schadensbegriff weit auszulegen. Der Schaden muss demnach indes „erlitten“, also tatsächlich entstanden sein. Ein bloßer Verstoß gegen die DS-GVO bei der Datenverarbeitung reicht insofern für einen Anspruch auf Ersatz immaterieller Schäden nicht aus. Es muss vielmehr eine kausal hierauf beruhende spürbare Beeinträchtigung des Geschädigten in persönlichkeitsbezogenen Belangen hinzutreten, um von einem Schaden sprechen zu können. Gemessen hieran ist ein Schaden des Kl. nicht ersichtlich. Soweit der Kl. behauptet, einen „Kontrollverlust über seine Daten“ erlitten zu haben und daher an großem Unwohlsein und großer Sorge über möglichen Missbrauch der ihn betreffenden Daten zu leiden, kann das Gericht dies schon nicht feststellen. Das Gericht geht insofern nicht mit hinreichender Wahrscheinlichkeit davon aus, dass der Kl. unter den in der Klageschrift beschriebenen Ängsten und Sorgen tatsächlich leidet. Obiter dicta sei Folgendes angemerkt: In Zusammenschau mit dem Vorstehenden bestehen auch erhebliche Zweifel an der Kausalität des Scraping-Vorfalls mit den Spam-Anrufen und – SMS. So hat der Kl. zwar ausgeführt, im Jahr 2021 erstmalig Spam-Anrufe und -SMS bekommen zu haben, die nach der Deaktivierung seines Kontos indes aufgehört und erst im Jahr 2023 – ohne die erneute Angabe in sozialen Medien – erneut begonnen haben. Da die Handynummer des Kl. nach seinem Vortrag indes im Internet frei zugänglich gewesen sei, ist nicht nachvollziehbar, warum die vorgetragenen Spam-Anrufe und -SMS mit der Deaktivierung des F.-Profils aufhören und danach erneut ohne Reaktivierung des Profils beginnen sollten. Zudem erklärte der Kl., die mit seinem ehemaligen F.-Konto verknüpfte Handynummer schon eine lange Zeit – bis zu 20 Jahre – zu nutzen. Es ist daher unschwer vorstellbar, dass er diese Nummer an vielen Stellen analog und digital als Kontakt hinterlassen hat und es damit ebenso vielfältige Möglichkeiten gibt, wie Unbekannte an dessen Nummer gelangt sein könnten, nicht zuletzt auch durch Datenlecks bei Dritten, denen der Kl. seine Nummer einmal gegeben hat. Zuletzt hat der Kl. angegeben, „sensible Daten“ auf für lediglich ihn selbst sichtbar bzw. nur für Freunde sichtbar eingestellt zu haben. Damit steht schon in Zweifel, ob und in welchem Umfang überhaupt „stets öffentliche“ persönliche Informationen des Kl. – wie etwa Namen, Wohnort und ähnliches – iRd Scrapings abgeschöpft wurden.

LG Chemnitz Urt. v. 19.6.2023 – 1 O 746/22

300 EUR Der Ansicht der Bekl., dass iRd Anwendungsbereiches von Art. 82 Abs. 1 DS-GVO eng auf den Begriff der „Datenverarbeitung“ abzustellen ist, ist nicht zu folgen. Der Wortlaut des Art. 82 Abs. 1 DS-GVO „Verstoß gegen die Verordnung“ ist grds. weit gefasst und dementsprechend auch so zu verstehen. Vom Schutzbereich des Art. 82 Abs. 1 sind folglich alle formellen und materiellen Verstöße umfasst, ohne dass es auf die Datenverarbeitung als solche ankommt. Eine andere Ansicht würde dem insoweit eindeutigen Wortlaut des Art. 82 Abs. 1 DS-GVO und dessen Schutzzweck, dem umfangreichen Schutz der Betroffenen, entgegenstehen. Dies trifft auch auf die Verletzung des Art. 25 Abs. 2 DS-GVO durch die Bekl. zu. Die Bekl. hat im Zusammenhang mit dem streitgegenständlichen „Scraping-Vorfall“ als Verantwortliche iSd Art. 4 Ziff. 7 DS-GVO gegen Art. 131425 Abs. 23233 und 34 DS-GVO verstoßen. Der Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO dient nicht nur dem Ausgleich erlittenen Schadens, sondern auch repressiven und präventiven Zwecken, indem er Verstöße sanktioniert, weiteren Verstößen präventiv vorbeugt und vor zukünftigen Verstößen abschreckt. Es kann vorliegend dahinstehen, ob für eine Ersatzpflicht nach Art. 82 Abs. 1 DS-GVO bereits ein Verstoß gegen eine Norm der DS-GVO genügt oder ein konkreter Schaden des Kl. vorliegen muss. Der Kl. erlitt nach Ansicht des Einzelrichters einen Schaden in Form eines Kontrollverlustes über seine während des „Scraping-Vorfalls“ abgegriffenen Daten. Darüber hinaus sieht Art. 82 DS-GVO eine etwaige Bagatellgrenze nicht vor. Eine alleinige Kausalität der Verstöße ist dabei nicht erforderlich, Mitursächlichkeit ist ausreichend. Der Ersatz vorgerichtlicher Rechtsanwaltskosten ist von Art. 82 Abs. 1 DS-GVO umfasst.

LG Chemnitz Urt. v. 19.6.2023 – 1 O 845/22

700 EUR Scraping-Sachverhalt. Wie LG Chemnitz Urt. v. 19.6.2023 – 1 O 746/22.

LG Ingolstadt Urt. v. 16.6.2023 – 85 O 1810/22

1.000 EUR Die Kl. hat einen Anspruch auf Ersatz ihres immateriellen Schadens iHv 1.000 EUR aus Art. 82 Abs. 1, Abs. 2 S. 1 DS-GVO. Zur Überzeugung des Gerichts hat die Bekl. als Verantwortliche iSd Art. 4 Ziff. 7 DS-GVO gegen mehrere Vorschriften aus der DS-GVO verstoßen. Nach Art. 82 Abs. 1 DS-GVO ist für eine Schadensersatzpflicht ein Verstoß gegen die DS-GVO erforderlich. Da der sachliche Anwendungsbereich der DSVO nach deren Art. 2 Abs. 1 jedoch nur für die Datenverarbeitung eröffnet ist, ist ein Verstoß in Form einer gegen die Vorschriften der DS-GVO erfolgten Datenverarbeitung erforderlich. Art. 82 Abs. 1, Abs. 2 S. 1 und S. 2 DS-GVO beinhalten daher lediglich die Klarstellung, dass der Verantwortliche für alle – durch entsprechende Verstöße verursachte – Schäden haftet, während der Auftragsverwalter nur unter weiteren Voraussetzungen für Schäden haftet. Eine Einschränkung hinsichtlich der – eine Haftung nach Art. 82 Abs. 1 DS-GVO begründenden – Verstöße liegt hierin jedoch nicht. Die Bekl. hat gegen die Verpflichtung aus Art. 25 Abs. 2 DS-GVO verstoßen (“privacy by default“). Ein Verstoß gegen Art. 25 Abs. 2 DS-GVO kann einen Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO begründen, Art. 25 DS-GVO ist mithin vom Schutzbereich des Art. 82 DS-GVO umfasst. Darüber hinaus ist die Bekl. auch ihrer Informations- und Aufklärungspflicht gem. Art. 13 DS-GVO jedenfalls nicht in vollem Umfang nachgekommen. Schließlich hat die Bekl. noch gegen Art. 32245 Abs. 1 lit. f DS-GVO verstoßen, da sie keine zureichenden Sicherheitsmaßnahmen hinsichtlich der Nutzung des „Contact-Importer-Tools“ getroffen hat. Ferner liegt auch ein ersatzfähiger Schaden iSv Art. 82 Abs. 1 DS-GVO vor. Der Begriff des Schadens ist ein autonomer Begriff des Unionsrechts, welcher in allen Mitgliedstaaten einheitlich auszulegen ist. Er ist nach dem Erwägungsgrund 146 S. 3 im Lichte der Rspr. des EuGH weit und auf eine Art und Weise auszulegen, die den Zielen der Verordnung in vollem Umfang entspricht. Grds. ermöglicht Art. 82 Abs. 1 DS-GVO den Ersatz materieller und immaterieller Schäden. Dabei genügt ein Verstoß gegen die DS-GVO allein jedoch noch nicht für die Annahme eines Schadens. Vielmehr ist der Schaden als ein neben dem Verstoß gegen die DS-GVO eigenständiges Kriterium gesondert festzustellen. Es bedarf mithin des Nachweises eines konkret entstandenen Schadens. In den Erwägungsgründen 75 und 85 wird der Kontrollverlust über die personenbezogenen Daten als Beispiel für das Vorliegen eines solchen Schadens aufgeführt. Schließlich darf der Schadensersatz nicht davon abhängig gemacht werden, dass der entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat. Der Schadensbegriff des Art. 82 Abs. 1 DS-GVO umfasst mithin auch „Bagatellschäden“. Die oben bezeichneten Verstöße der Bekl. gegen die DS-GVO waren zur Überzeugung des Gerichts auch kausal für den Schaden der Kl. Durch den von der Kl. geschilderten engen zeitlichen Zusammenhang zwischen dem Scraping-Vorfall und dem Beginn der belästigenden Anrufe und E-­Mails ist das Gericht ferner davon überzeugt, dass letztere kausal auf den Scraping-Vorfall zurückzuführen sind. Eine Exkulpation der Bekl. nach Art. 82 Abs. 3 DS-GVO gelingt nicht. IRd ihr zustehenden materiellen Schadensersatzanspruchs nach Art. 82 Abs. 1 DS-GVO kann die Kl. auch die Erstattung vorgerichtlich angefallener Rechtsanwaltsgebühren beanspruchen.

LG Duisburg Urt. v. 15.6.2023 – 8 O 87/22

250 EUR Scraping-Sachverhalt. Wie LG Duisburg Urt. v. 24.8.2023 – 8 O 86/22.

LG Hannover Urt. v. 15.6.2023 – 13 O 90/22

500 EUR Scraping-Sachverhalt. Wie LG Hannover Urt. v. 17.8.2023 – 13 O 1/23.

LG Hannover Urt. v. 15.6.2023 – 13 O 69/22

500 EUR Scraping-Sachverhalt. Wie LG Hannover Urt. v. 17.8.2023 – 13 O 1/23.

LG Duisburg Urt. v. 14.6.2023 – 10 O 126/22 = ZD 2023, 640 (Ls.)

0 EUR Die klägerische Partei hat unter keinem rechtlichen Gesichtspunkt einen Anspruch auf Ersatz eines immateriellen Schadens gegen die Bekl. Der Anspruch ergibt sich weder aus Art. 82 Abs. 1 DS-GVO noch aus einer vertraglichen oder deliktischen Haftung der Bekl. nach Normen des BGB. Ein nach Art. 82 Abs. 1 DS-GVO erforderlicher Verstoß gegen die DS-GVO ist nicht festzustellen. Teilweise dürfte der Anwendungsbereich des Art. 82 DS-GVO für die durch die Kl. geltend gemachten Verstöße bereits nicht eröffnet sein, jedenfalls aber ist der Bekl. kein Verstoß gegen die DS-GVO zur Last zu legen. Insoweit ist umstritten, wer die Darlegungs- und Beweislast für das Vorliegen der Pflichtverletzung trägt. Aus Sicht der Kammer sprechen gute Gründe dafür, die Darlegungs- und Beweislast nach allgemeinen schadensrechtlichen Grundsätzen dem Anspruchsteller aufzuerlegen. Die in Art. 82 Abs. 3 DS-GVO geregelte Beweislastverteilung – Beweislast des Verantwortlichen – bezieht sich seinem Wortlaut nach einzig auf das Verschulden des Verantwortlichen ggü. den Behörden und nicht auf den zugrundeliegenden DS-GVO-Verstoß. Auch aus der in Art. 5 Abs. 2 DS-GVO statuierten Rechenschaftspflicht des Verantwortlichen kann nicht auf eine diesbezügliche Beweislastumkehr geschlossen werden. Andernfalls würde hierdurch auf einem Umweg der Verantwortliche ggü. jedem Betroffenen rechenschaftspflichtig, wobei die DS-GVO dem Betroffenen aber gerade nur eingeschränkte Rechte zugesteht, wie z. B. das Auskunftsrecht aus Art. 15 DS-GVO. Das Prozessrecht bietet darüber hinaus hinreichend Möglichkeiten, einer unter Umständen bestehenden Darlegungs- und Beweisnot des Anspruchstellers – gerade im Hinblick auf Vorgänge, in welche der Betroffene keinen Einblick hat – zu begegnen, wie z. B. die aus der DS-GVO folgenden Informationsrechte oder aber die Begründung einer sekundären Darlegungslast der Verantwortlichen. Soweit die Kl. sich im Rahmen ihres Schadensersatzbegehrens auf Informationspflichtverletzungen (Artt. 1314 DS-GVO), Meldepflichtverletzungen (Art. 33 DS-GVO) und unterlassene Auskünfte (Artt. 1534 DS-GVO) der Bekl. beruft, sind diese bereits nicht vom Anwendungsbereich der Art. 82 DS-GVO umfasst, da es sich hierbei nicht um eine Verarbeitung personenbezogener Daten iSd Art. 4 Ziff. 2 DS-GVO handelt. Der Anwendungsbereich des Art. 82 Abs. 1 DS-GVO umfasst allein solche Verstöße gegen die DS-GVO, die auf einer Verarbeitung personenbezogener Daten iSd Art. 4 Ziff. 2 DS-GVO beruhen, Art. 82 Abs. 2 S. 1 DS-GVO. Auch wenn der Wortlaut des Art. 82 Abs. 1 DS-GVO allein auf einen Verstoß „gegen diese Verordnung“ Bezug nimmt, ergibt sich aus Art. 82 Abs. 2 DS-GVO eindeutig, dass eine Haftung nur für solche Schäden entstehen soll, die durch eine nicht der DS-GVO entsprechenden Verarbeitung verursacht wurden. Diese Auslegung steht auch im Einklang mit den Erwägungsgründen 146 und 75 der DS-GVO. Der Erwägungsgrund 146 stellt auf eine Verarbeitung der personenbezogenen Daten ab. Der Erwägungsgrund 75 beschreibt beispielhaft Risiken, die aus der Verarbeitung personenbezogener Daten resultieren und aus denen materielle und immaterielle Schäden entstehen können, welche gerade über Art. 82 Abs. 1 DS-GVO Ersatz finden sollen. Darüber hinaus fehlt es an einem ersatzfähigen immateriellen Schaden der Kl. Nach Auffassung der Kammer setzt ein Anspruch auf Schadensersatz nach Art. 82 DS-GVO neben der Verletzung einer Vorschrift der DS-GVO auch einen hierauf beruhenden Schaden voraus, der durch den Anspruchsteller darzulegen und notfalls zu beweisen. Als Bewertungskriterien können zudem die in Art. 83 DS-GVO genannten Kriterien der Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie die betroffenen Kategorien personenbezogener Daten herangezogen werden. Ein genereller Ausschluss von Bagatellschäden ist im Lichte der Erwägungsgründe nicht vertretbar.

LG Ravensburg Urt. v. 13.6.2023 – 2 O 228/22 = ZD 2024, 468

1.000 EUR Dem Kl. steht gegen die Bekl. als Verantwortliche iSv Art. 4 Ziff. 7 DS-GVO anzusehen ist ein Anspruch auf immateriellen Schadensersatz iHv 1.000 EUR aus Art. 82 Abs. 1 DS-GVO aufgrund von verschiedenen Verstößen gegen die DS-GVO zu. Die Bekl. hat gegen Art. 32 Abs. 1 DS-GVO verstoßen, da sie den Datensatz des Kl. nicht genügend gegen einen Angriff durch „Web-Scraping“ geschützt hat. Durch Verwendung von „Sicherheitscaptchas“ wäre ein Angriff durch maschinelles Abfragen von Daten mittels Eingabe von Nummernfolgen verhindert oder jedenfalls wesentlich erschwert worden. Die Bekl. hat nicht konkret behauptet, dass insoweit konkret „Sicherheitscaptchas“ verwendet wurden. Die Bekl. hat auch nicht konkret vorgetragen, dass sie gleichwertige Maßnahmen ergriffen hat, um die nahliegende Möglichkeit des Missbrauchs des CIT (Contact-Import-Tool) zu verhindern. Die nach dem Vorbringen der Bekl. erfolgten Übertragungsbeschränkungen, die die Anzahl von Anfragen reduzieren, die pro Nutzer oder einer bestimmten IP-Adresse in einem bestimmten Zeitraum gemacht werden können, war offenkundig unzureichend. Außerdem hat die Bekl. gegen Art. 33 Abs. 1 DS-GVO verstoßen, indem sie, wie der Kl. vorträgt, den Datenschutzverstoß nicht unverzüglich innerhalb von 72 Stunden nach Bekanntwerden bei der zuständigen Behörde gemeldet hat, und außerdem gegen Art. 34 Abs. 1 DS-GVO, indem sie den Kl. nicht unverzüglich nach Bekanntwerden informiert hat. Die Bekl. hat diesen Vortrag nicht qualifiziert bestritten, so dass der entsprechende Vortrag des Kl. gem. § 138 Abs. 3 ZPO als zugestanden gilt. Durch die unbefugte Veröffentlichung seiner personenbezogenen Daten hat der Kl. einen ersatzfähigen Schaden erlitten. Zwar ist ein bloßer Verstoß gegen die DS-GVO nicht ausreichend, um einen Schadenersatzanspruch gem. Art. 82 Abs. 1 DS-GVO zu begründen. Der Kl. ist jedoch konkret und individuell geschädigt worden, denn seine persönlichen Daten sind infolge des Verstoßes tatsächlich an unbefugte Personen abgeflossen und in einem öffentlichen Forum ins Internet gestellt worden. Dieser Schaden durch Datenverlust an unbefugte Dritte ist auch erheblich genug für die Zuerkennung eines Schadenersatzanspruchs. Denn der Ersatz eines immateriellen Schadens ist nicht davon abhängig, dass eine bestimmte Erheblichkeitsschwelle erreicht ist. Bei einer Gesamtwürdigung ist zu berücksichtigen, dass unterschiedliche Datenschutzverstöße vorliegen, nämlich einerseits der unzureichende Schutz im Vorfeld des Datenabflusses und andererseits die fehlende Information im Anschluss daran. Letzteres ist ebenfalls gravierend. Der Geschädigte hat ein erhebliches Interesse daran, dass er selbst und die zuständige Behörde frühzeitig von einem Verstoß in Kenntnis gesetzt werden. Insgesamt war ein maßvoller Schadenersatzbetrag von 1.000 EUR festzusetzen. Der mit dem Klageantrag Ziff. 2 geltend gemachte Schadenersatzanspruch gem. Art. 82 Abs. 1 DS-GVO besteht nicht. Es kann dahingestellt bleiben, ob die Bekl. gegen Art. 15 Abs. 1 DS-GVO verstoßen hat, indem sie eine ungenügende Auskunft erteilt hat. Ein solcher Verstoß kann schon deshalb keinen Schadenersatzanspruch begründen, weil dadurch kein zusätzlicher immaterieller Schaden des Kl. entstanden ist. IRd materiellen Schadensersatzanspruchs nach Art. 82 Abs. 1 DS-GVO kann der Kl. auch die Freistellung vom Anspruch der Prozessbevollmächtigten des Kl. auf Bezahlung vorgerichtlich angefallener Rechtsanwaltsgebühren beanspruchen. Verzugseintritt ist dazu nicht notwendig, denn der Anspruch auf Schadenersatz entsteht mit der Verletzungshandlung. Verzugszinsen kann der Kl. insoweit nicht verlangen, denn für einen etwaigen Zahlungsverzug ist er selbst verantwortlich.

LG Stralsund Urt. v. 9.6.2023 – 6 O 181/22 = ZD 2024, 117 (Ls.)

0 EUR Der Antrag zu 1.) war mangels Eintritts eines Schadens abzuweisen. Das LG Essen hatte hierzu bereit mit Urt. v. 10.11.2022 – 6 O 111/22 ausgeführt. Auch eine Verletzung des Auskunftsrechts nach Art. 15 DS-GVO vermag eine Pflichtverletzung nach Art. 82 DS-GVO und somit einen Schadensersatzanspruch zu begründen. Nach dem Wortlaut der Norm ist der Haftungstatbestand somit nicht auf bloße Datenverarbeitungsvorgänge beschränkt. Zwar heißt es im Erwägungsgrund 146 DS-GVO, dass der Verantwortliche oder der Auftragsverarbeiter solche Schäden ersetzen sollen, die einer Person aufgrund einer Verarbeitung entstehen. Im Wortlaut der Rechtsverordnung findet diese Einschränkung jedoch keine Erwähnung. Es spricht auch nichts dafür, dass Art. 82 Abs.1 DS-GVO durch Art. 82 Abs. 2 DS-GVO, dieser benennt ausdrücklich die Datenverarbeitung, eingeschränkt werden soll. Hätte der Verordnungsgeber eine solche Einschränkung tatsächlich gewollt, hätte er bereits in Abs. 1 nicht den „Verstoß gegen die Verordnung“, sondern wie in Abs. 2 die „Verarbeitung“ sanktioniert. Darüber hinaus meint „Verarbeitung“ gem. Art. 4 Ziff. 2 DS-GVO auch die Offenlegung durch Übermittlung worunter auch die Auskunft zu erfassen ist. Erforderlich für einen Schadensersatzanspruch ist aber neben dem Eintritt eines solchen Schadens die Ursächlichkeit der Pflichtverletzung für den eingetretenen Schaden. Da der Schaden gerade durch den Rechtsverstoß entstanden sein muss genügt es nicht, dass der Schaden durch eine Verarbeitung entstanden ist, in deren Rahmen es zu einem Rechtsverstoß gekommen ist. Die Klagepartei vermochte nicht zu beweisen, dass ihr aufgrund einer etwaigen Auskunftspflichtverletzung überhaupt ein Schaden entstanden ist. Gemäß § 286 Abs. 1 ZPO hat das Gericht unter Berücksichtigung des gesamten Inhalts der Verhandlungen und des Ergebnisses einer etwaigen Beweisaufnahme nach freier Überzeugung zu entscheiden, ob eine tatsächliche Behauptung für wahr oder für nicht wahr zu erachten sei. Dabei dürfen keine "unerfüllbaren Beweisanforderungen" gestellt werden, und das Gericht darf keine unumstößliche Gewissheit bei der Prüfung verlangen, ob eine Behauptung wahr und erwiesen ist. Der Richter darf und muss sich aber in tatsächlich zweifelhaften Fällen mit einem für das praktische Leben brauchbaren Grad von Gewissheit begnügen, der den Zweifeln Schweigen gebietet, ohne sie völlig auszuschließen.

LG Augsburg Urt. v. 9.6.2023 – 022 O 2669/22 = ZD 2024, 118 (Ls.)

0 EUR Die Klage ist bereits unschlüssig, da die von der Kl. geschilderten SMS und Anrufe von Anfang bis Mitte 2019 jedenfalls nicht kausal auf das Datenscraping bei der Bekl. zurückzuführen sind. Der Kl. stünde gegen die Bekl. jedoch auch sonst kein Anspruch auf Zahlung eines immateriellen Schadensersatzes zu. Auf der Grundlage des klägerischen Vorbringens würde es bereits an einem Verstoß gegen die Bestimmungen der DS-GVO fehlen. Ein Verstoß gegen die Transparenzpflichten aus Artt. 5 Abs. 1 lit. a), 1314 DS-GVO liegt nicht vor. Es liegt auch kein Verstoß gegen die Datenschutzpflichten aus Artt. 5 1 lit. f), 32 DS-GVO vor. Die Bekl. hat auch nicht gegen die Pflicht zu datenschutzfreundlichen Voreinstellungen gem. Art. 25 Abs. 12 DS-GVO verstoßen. Schließlich ist der Bekl. kein Verstoß gegen die Meldepflicht nach Art. 33 DS-GVO vorzuwerfen, da es schon an einem meldepflichtigen Verstoß gegen die DS-GVO fehlt. Endlich liegt auch kein Verstoß gegen die Auskunftspflicht der Bekl. nach Art. 15 DS-GVO vor. Weiter würde es an einem immateriellen Schaden der Kl. fehlen. Zu den Anspruchsvoraussetzungen des Art. 82 Abs. 1 DS-GVO zählt neben dem Verstoß gegen die DS-GVO auch der Eintritt eines immateriellen Schadens. In Anbetracht der Erwägungsgründe 7585146 und 148 der DS-GVO hatte der Verordnungsgeber insoweit Diskriminierung, Identitätsdiebstahl, Identitätsbetrug, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden persönlichen Daten oder gesellschaftliche Nachteile ohne den Ausschluss von Bagatellschäden im Blick. Hinsichtlich eines möglichen künftigen Missbrauchs personenbezogener Daten wird ein immaterieller Schaden aber nur dann zu begründen sein, wenn es sich um einen realen und sicheren emotionalen Schaden handelt und nicht nur um ein Ärgernis oder eine Unannehmlichkeit. Gemessen an diesen Maßstäben ist ein immaterieller Schaden der Kl. zu verneinen. Die Kl. wurde bisher unstreitig nicht Opfer eines Identitätsdiebstahls; ihr Account bei F. wurde auch nicht durch unbekannte Dritte übernommen.

LG Erfurt Urt. v. 9.6.2023 – 3 O 348/22

500 EUR Scraping-Sachverhalt. Wie LG Lübeck Urt. v. 25.5.2023 – 15 O 74/22.

LG Hannover Urt. v. 8.6.2023 – 13 O 94/22

500 EUR Scraping-Sachverhalt. Wie LG Hannover Urt. v. 17.8.2023 – 13 O 1/23.

LG Hannover Urt. v. 8.6.2023 – 13 O 84/22

500 EUR Scraping-Sachverhalt. Wie LG Hannover Urt. v. 17.8.2023 – 13 O 1/23.

LG Hannover Urt. v. 8.6.2023 – 13 O 83/22

500 EUR Scraping-Sachverhalt. Wie LG Hannover Urt. v. 17.8.2023 – 13 O 1/23.

LG Hannover Urt. v. 8.6.2023 – 13 O 58/22

500 EUR Scraping-Sachverhalt. Wie LG Hannover Urt. v. 17.8.2023 – 13 O 1/23.

LG Bonn Urt. v. 7.6.2023 – 13 O 126/22

250 EUR Der Kl. hat gegen die Bekl. einen Anspruch auf Schadensersatz in Form eines Schmerzensgeldes in Höhe von 250 EUR (Art. 82 Abs. 1 DS-GVO). Indem die Bekl. es unterlassen hat, das A-B-Tool technisch so abzusichern, dass automatisierte Abrufe mit beliebigen Ziffernfolgen ausgeschlossen gewesen sind, hat sie gegen ihre Pflicht zur "Integrität und Vertraulichkeit" gem. Art. 5 Abs. 1 lit. f), Art. 25 Abs. 1 und 2 sowie Art. 32 Abs. 1 DS-GVO verstoßen. Durch den Verstoß ist es zu einer unzulässigen Datenverarbeitung iSd Art. 6 Abs. 1 DS-GVO gekommen. Sowohl für die Verletzung der Integritäts- und Vertraulichkeitspflicht als auch die hierdurch ermöglichte unzulässige Datenverarbeitung ist die Bekl. i. S. d. Art. 82 Abs. 2 und 3 DS-GVO "verantwortlich". Maßgeblich hierfür ist, wem die Verstöße zuzurechnen sind. Dabei erfolgt die Zurechnung der Verletzung der Integritäts- und Vertraulichkeitspflicht bereits daraus, dass es das eigene Unterlassen der Bekl. gewesen ist, das die Pflichtverletzung begründet. Die unzulässige Datenverarbeitung ist zwar nicht unmittelbar durch die Bekl. erfolgt, sondern stellt ein Verhalten der Unbekannten dar. Dieses ist der Bekl. jedoch infolge des Verstoßes gegen die Integritäts- und Vertraulichkeitspflicht zurechenbar, da durch deren Verletzung die unzulässige Datenverarbeitung unmittelbar ermöglicht worden ist. Dem Kl. ist auch ein abstrakter Schaden in Form der Beeinträchtigung der grds. ihm zustehenden Kontrolle über seine Daten bzgl. seiner Mobilfunknummer und der hiermit wie dargestellt verknüpften Daten entstanden (von einem Kontrollverlust zu sprechen, geht indes zu weit). Eine konkrete Kausalität für die behaupteten konkreten Beeinträchtigungen zu Lasten der Bekl. kann daher nicht bejaht werden, sondern nur dahingehend, dass die Datenschutzverstöße der Bekl. zu einer Beeinträchtigung der Kontrolle des Kl. über seine Daten mit der abstrakten Folge des potentiellen Missbrauchs (durch Dritte) geführt hat. Auch dies ist allerdings ein Schaden, der ein Schmerzensgeld rechtfertigt – wenn auch nur ein vergleichsweise geringes. Das Schmerzensgeld muss nach Sinn und Zweck der DS-GVO abschreckend sein und sich an Ausgleichs- und Genugtuungsfunktion orientieren, wobei es auf die konkreten Umstände des Einzelfalls ankommt und der Katalog des Art. 83 Abs. 2 DS-GVO Berücksichtigung finden kann. Hierbei ist schmerzensgelderhöhend zu berücksichtigen, dass es sich bei der streitgegenständlichen Verknüpfung – wie iRd Schadens ausgeführt – um eine sensible Kombination mit hohem Missbrauchspotential handelt. Das Gericht verkennt dabei nicht, dass sämtliche Daten des Kl. – mit Ausnahme der Mobiltelefonnummer – ohnehin für Dritte öffentlich einsehbar und damit beliebig kopierbar, weiterverwendbar und missbrauchbar gewesen sind. Schmerzensgeldmindernd ist zu berücksichtigen, dass es sich sämtlich um Daten aus der – grds. am wenigstens schutzwürdigen – Sozialsphäre des Kl. nach der insoweit maßgeblichen Rspr. des BVerfG zum allgemeinen Persönlichkeitsrecht handelt.

LG Berlin Urt. v. 7.6.2023 – 26 O 240/22

0 EUR Ein Entschädigungsanspruch ist nicht begründet. Dabei braucht nicht abschließend entschieden zu werden, ob der Bekl. ein Verstoß gegen (den Kl. zu Entschädigung berechtigende) Regelungen der DS-GVO, insb. das Verhältnis zwischen den Parteien bestimmende Grundsätze von Treu und Glauben, Transparenz, damit verbundene Informationspflichten (Art. 51314 DS-GVO) und Verpflichtungen, als Datenverarbeiter unter Berücksichtigung des Standes der Technik und der Interessen der Beteiligten (also auch des zwar informierten aber nur durchschnittlich aufmerksamen und sorgsamen Nutzers) geeignete technische und organisatorische Maßnahmen zum Schutz der ihr anvertrauten Daten zu treffen, vorzuwerfen ist. Es kann auch offenbleiben, ob die Bekl. dadurch, dass das von ihr bereitgestellte Instrumentarium (insb. das CIT) das Scraping durch Dritte, die dieses Instrumentarium für eigene Zwecke missbrauchten, begünstigt hat. Ebenso kann schließlich dahinstehen, welche Bedeutung es dabei haben könnte, dass die Bekl. einen durchschnittlich informierten, aufmerksamen und verständigen Nutzer erwarten konnte. Denn unabhängig hiervon fehlt es hier jedenfalls an einer ausreichenden Darlegung eines hierdurch verursachten Schadens. Dass ein Anspruch nach Art. 82 DS-GVO einen Schaden voraussetzt, hat der EuGH in seinem Urt. v. 4.5.2023 – C-300/21 [= ZD 2023, 446 mAnm Mekat/Ligocki] – Österreichische Post, auf das Bezug genommen wird, überzeugend ausgeführt. Soweit der Kl. geltend macht, er habe einen Kontrollverlust über seine Daten erlitten, stellt das allein einen zur Entschädigung berechtigenden Schaden nicht dar, weil eine solche Betrachtung im Widerspruch zu Wortlaut des Art. 82 DS-GVO und Systematik der Vorschriften der DS-GVO stünde. Ein Verstoß gegen die DS-GVO besteht stets darin, dass Daten entgegen der durch den Nutzer erteilten Einwilligung verarbeitet oder – wie hier geltend gemacht – aufgrund technischer Einstellungen dem unbefugten Zugriff Dritter ausgesetzt sind. In jedem dieser Fälle erfährt der Nutzer durch den Verstoß gegen die DS-GVO einen Verlust an Kontrolle über die Verwendung seiner Daten, die nicht (mehr) entsprechend seiner Einwilligung, durch die seine Kontrolle definiert wird, verarbeitet werden. Besteht aber der Verstoß gegen die DS-GVO, den der Kl. der Bekl. vorwirft, gerade darin, dass die Bekl. seine Daten nicht ausreichend geschützt hat und diese so, (wie auch die auf Unterlassung einer Verwendung entgegen seiner Einwilligung gerichteten Anträgen des Kl. ergeben) anders als vom Kl. gewollt, durch Dritte erlangt worden sind, sie also durch den Verstoß seiner Kontrolle entzogen werden, macht das deutlich, dass ein Kontrollverlust allein noch keinen (messbaren) Schaden darstellen kann. Da ein Verstoß gegen die DS-GVO immer einen Kontrollverlust desjenigen bedeutet, der seine Daten dem Datenverarbeiter anvertraut hat, kann nicht gleichzeitig der Kontrollverlust für sich genommen ein Schaden sein. Ist danach ein konkreter Schaden erforderlich, ist der Kl. als derjenige, der von dem Verstoß gegen die DS-GVO betroffen ist, darlegungsbelastet dafür, dass die behaupteten negativen Folgen einen immateriellen Schaden darstellen (Art. 82 Abs. 3 DS-GVO). Die DS-GVO – wie sich auch aus Erwägungsgrund 75 ergibt – begründet keine reine Gefährdungshaftung. Bloßer Ärger und Zorn stellt einen Schaden nicht dar.

LG Bamberg Urt. v. 6.6.2023 – 42 O 782/22 = ZD 2023, 637 (Ls.)

0 EUR Der Kl. hat unter keinem rechtlichen Gesichtspunkt einen Anspruch auf immateriellen Schadenersatz in geltend gemachter Höhe von 1.000 EUR. Ein Anspruch gegen die Bekl. ergibt sich weder aus nationalen Vorschriften noch aus Art. 82 DS-GVO. Es fehlt sowohl an einer schadenersatzauslösenden Pflichtverletzung der Bekl. iSv Art. 82 DS-GVO als auch an einem ersatzfähigen Schaden. Soweit der Kl. der Bekl. mehrere Verstöße vorwirft, nämlich ungenügende Information und Aufklärung über die Verarbeitung der ihn betreffenden Daten durch ungenügende Aufklärung zur Verwendung und Geheimhaltung der Telefonnummer (Art. 5 Abs. 1 lit. a DS-GVO), unmittelbaren Verstoß gegen Art. 1314 DS-GVO, die konkrete Informationspflichten enthielten, die seitens der Bekl. nicht eingehalten worden seien, ungenügender Schutz der personenbezogenen Daten der Nutzer von F. (Art. 242532 DS-GVO), fehlerhafte, weil nicht datenschutzfreundlichste Voreinstellung (Art. 25 Abs. 2 DS-GVO), nicht erfolgte Information der zuständigen Aufsichtsbehörde (Art. 3334 DS-GVO) und unvollständige Auskunftserteilung nach Art. 15 DS-GVO, da nicht mitgeteilt worden sei, welchen Empfängern die Daten des Kl. durch Ausnutzung des Kontakt-Import Tools zugänglich gemacht worden seien (Art. 3334 DS-GVO), sind solche Verstöße schon nicht vom Schutzzweck des Art. 82 DS-GVO umfasst. Ausreichend ist nicht ein Verstoß gegen jegliche Vorgabe der DS-GVO, sondern aus Art. 82 Abs. 2 DS-GVO ergibt sich, dass Schutzgegenstand der Vorschrift, die verletzt wurde, die Datenverarbeitung selbst sein muss. Art. 82 Abs. 1 DS-GVO ist demgegenüber lediglich als generelle Umschreibung bzw. Klarstellung der Haftungsverpflichtung von allen Anspruchsverpflichteten zu verstehen. Anknüpfungspunkt für eine Haftung ist also eine der Verordnung nicht entsprechende Verarbeitung iSd Art. 4 Ziff. 2 DS-GVO. Dies steht im Einklang mit Erwägungsgrund 146, wonach der Verantwortliche oder der Auftragsverarbeiter Schäden, die einer Person aufgrund einer Verarbeitung entstehen, die mit der DS-GVO nicht im Einklang stehen, ersetzen sollte. Benachrichtigungs-­, Aufklärungs- und Informationspflichten nach Art. 5 Abs. 1 lit. a DS-GVO, nach Art. 131415 DS-GVO und nach Art. 3334 DS-GVO stellen keine Datenverarbeitung dar, so dass Verstöße gegen diese Normen von Art. 82 Abs. 12 DS-GVO nicht umfasst sind. Schließlich lässt sich auch von vornherein aus Art. 24 DS-GVO kein subjektives Recht herleiten. Selbiges gilt für Art. 25 DS-GVO. Unabhängig davon fehlt es an einem ersatzfähigen Schaden des Kl. iSd Art. 82 Abs. 1 DS-GVO. Für den immateriellen Schadensersatz gelten dabei die iRv § 253 BGB entwickelten Grundsätze; die Ermittlung obliegt dem Gericht nach § 287 ZPO. Es können für die Bemessung die Kriterien des Art. 83 Abs. 2 DS-GVO herangezogen werden, zB die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie die betroffenen Kategorien personenbezogener Daten. Zu berücksichtigen ist auch, dass die beabsichtigte abschreckende Wirkung nur durch für den Anspruchsverpflichtenden empfindliche Schmerzensgelder erreicht wird, insbesondere wenn eine Kommerzialisierung fehlt. Ein genereller Ausschluss von Bagatellfällen ist damit nicht zu vereinbaren. Die Pflicht zur Erstattung immaterieller Schäden ist daher nicht nur auf schwere Schäden beschränkt. Ein genereller Ausschluss von Bagatellschäden ist im Lichte dieser Erwägungsgründe nicht vertretbar. Dies wird auch aus Art. 4 Abs. 3 AEUV abgeleitet, der die Mitgliedsstaaten dazu anhält, Verstöße wirksam mit Sanktionen zu belegen, denn nur so könne man eine effektive Durchsetzbarkeit des EU-Rechts und damit auch der DS-GVO erzielen. Allein eine Verletzung des Datenschutzrechts als solche begründet allerdings nicht bereits für sich gesehen einen Schadensersatzanspruch für betroffene Personen. Die Verletzungshandlung muss in jedem Fall auch zu einer konkreten, nicht nur völlig unbedeutenden oder empfundenen Verletzung von Persönlichkeitsrechten der betroffenen Personen geführt haben. Verletzung und Schaden sind nicht gleichzusetzen. Es ist zwar eine schwere Verletzung des Persönlichkeitsrechts nicht (mehr) erforderlich. Andererseits ist auch weiterhin nicht für einen Bagatellverstoß ohne ernsthafte Beeinträchtigung bzw. für jede bloß individuelle empfundene Unannehmlichkeit ein Schmerzensgeld zu gewähren; vielmehr muss dem Betroffenen ein spürbarer Nachteil entstanden sein und es muss um eine objektiv nachvollziehbare, mit gewissem Gewicht erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen gehen.

LG Tübingen Urt. v. 6.6.2023 – 7 O 144/22 = ZD 2023, 639 (Ls.)

0 EUR Dem Kl. steht kein Anspruch auf Zahlung eines Schadensersatzes iHv 1.000 EUR gem. Art. 82 Abs. 1 DS-GVO zu. Der sachliche Anwendungsbereich des Art. 82 DS-GVO ist bezogen auf die Geltendmachung behaupteter verspäteter Auskunftsansprüche gem. Art. 15 DS-GVO und Art. 34 DS-GVO nicht eröffnet. Denn Art. 82 Abs. 1 DS-GVO legt fest, dass jeder Person, der wegen eines Verstoßes gegen die DS-GVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter hat. Art. 82 Abs. 2 DS-GVO regelt den anspruchsbegründenden Sachverhalt. Anknüpfungspunkt für eine Haftung ist eine der Verordnung nicht entsprechende Verarbeitung iSd Art. 4 Ziff. 2 DS-GVO. Der Schutzbereich des Art. 82 DS-GVO als hier maßgebliche Anspruchsgrundlage umfasst ebenso wenig Verstöße gegen Art. 34 DS-GVO. Schließlich lässt sich auch von vornherein aus Art. 24 DS-GVO kein subjektives Recht herleiten. Daher kann auch dahin stehen, ob Verstöße etwa gegen Artikel 1314 und 34 DS-GVO durch die Bekl. erfolgten, da auch sie nicht unter den Schutzbereich des Art. 82 DS-GVO fallen, weil auch sie „lediglich“ Informationspflichten über die Verarbeitung enthalten, nicht aber die Verarbeitung als solche zum Gegenstand haben.

LG Halle Urt. v. 5.6.2023 – 4 O 250/22

400 EUR Scraping-Sachverhalt. Dem Kl. steht gegen die Bekl. ein Anspruch gem. Art. 82 Abs. 1 DS-GVO zu, da diese schuldhaft die Anforderungen an die rechtmäßige Datenverarbeitung iSv Art. 6 Abs. 1 S. 1 DS-GVO nicht eingehalten hat. Diesen Anforderungen hat die Bekl. jedoch gerade nicht genügt. Während ein Verstoß gegen Art. 13 Abs. 1 lit. c i. V. m. Art. 5 Abs. 1 lit. a nicht zu erkennen ist, hat die Bekl. bei der Datenverarbeitung sowohl gegen Art. 24, 25 Abs. 1, 32 Abs. 1 Hs. 1, Abs. 2i.V. m. Art. 5 Abs. 1 lit. f DS-GVO als auch gegen Art. 25 Abs. 2 DS-GVO verstoßen. Die Verletzung von Art. 25 Abs. 2 DS-GVO kann auch einen Schadensersatzanspruch gem. Art. 82 Abs. 1 DS-GVO begründen. Entgegen der Auffassung des Kl. begründet nicht schon jeder Verstoß gegen die DS-GVO einen Schadensersatzanspruch. Vielmehr folgt bereits aus dem Wortlaut des Art. 82 Abs. 1 DS-GVO und den Erwägungsgründen 75, 85 und 146 der DS-GVO, dass der Schaden ein eigenständiges Tatbestandsmerkmal darstellt, der der Feststellung durch das erkennende Gericht bedarf. Andererseits folgt insb. aus der gebotenen weiten Auslegung des Schadensbegriffs in Art. 82 Abs. 1 DS-GVO entsprechend der Ziele der DS-GVO (Erwägungsgrund 146 S.3 der DS-GVO), dass die Ersatzfähigkeit nicht auf solche immateriellen Schäden beschränkt ist, die eine wie auch immer geartete Erheblichkeitsschwelle überschreiten. Die Verletzung von Vorschriften über die Datenverarbeitung war ursächlich für den festgestellten Schaden. Dabei schadet es der Zurechenbarkeit von Schäden nicht per se, wenn auch Dritte – wie vorliegend – bei der Schadensentstehung mitwirken. Vielmehr genügt es, wenn die hier von der Bekl. gesetzten Verursachungsbeiträge mitursächlich waren und auch in einem Adäquanzzusammenhang stehen. In Anwendung des § 287 Abs. 1 ZPO ist die Kammer davon überzeugt, dass zureichende Anhaltspunkte für einen adäquaten Kausalzusammenhang mit den vorgenannten Verstößen vorliegen. Ausgangspunkt für die Bemessung der Höhe ist – wie auch iRd § 253 Abs. 2 BGB – die Ausgleichs- und Genugtuungsfunktion des immateriellen Schadensersatzes, deren Schwerpunkt auf dem Ausgleich der erlittenen Einbußen liegt. Der Kl. hat Anspruch auf Ersatz seiner vorgerichtlichen Anwaltskosten gem. Art. 82 Abs. 1 DS-GVO, da sich dieser zur Rechtsverfolgung zunächst im Wege eines Auskunftsersuchens in Vorbereitung des späteren Klageverfahrens anwaltlicher Hilfe bediente und die Inanspruchnahme sachkundiger Personen in Anbetracht der Komplexität der Materie auch notwendig war.

LG Bochum Urt. v. 5.6.2023 – 6 O 86/22

0 EUR Ein Anspruch gegen die Bekl. ergibt sich weder aus Art. 82 Abs. 1 DS-GVO noch aus sonstigen Vorschriften. Hier lassen sich weder schadensersatzrelevante und – auslösende Pflichtverletzungen der Bekl. noch ein diesbezüglicher Schaden feststellen. Zwar verkennt der erkennende Einzelrichter nicht, dass die Voraussetzungen der relevanten Grundlagen und Normen von den erstinstanzlichen Gerichten unterschiedlich ausgelegt werden und eine Vielzahl an Gerichten beide Voraussetzungen bejahen und damit entsprechenden Klagen stattgegeben haben. Die Kammer hält jedoch die von einer Vielzahl von anderen Gerichten vertretene Gegenmeinung für zutreffend, die diesbezügliche Klagen abgewiesen haben, weil weder die Voraussetzung einer schadensersatzbegründenden Pflichtverletzung der Bekl. noch ein diesbezüglicher Schaden gegeben bzw. feststellbar ist. Demnach steht dem Kl. nach Meinung des erkennenden Einzelrichters kein Anspruch auf Schadenersatz zu. Zunächst einmal lässt sich eine schadensersatzbegründende Pflichtverletzung der Bekl. nicht feststellen, da die von dem Kl. geltend gemachten Verstöße der Bekl. gegen mehrere Vorschriften und Grundsätze der DS-GVO nicht gegeben sind. Ausgehend davon, dass stets ein gewisses Risiko, dass über technische Programme selbst gewählte Freigaben ausgenutzt und missbraucht werden, bei einer Internetnutzung verbleibt, ist dies hier nicht von der Bekl., sondern vom Kl. zu tragen, der sich eigenverantwortlich zur Nutzung des sozialen Netzwerks entschlossen hat und nach Zustimmung zur Datenschutzrichtlinie und nach Bereitstellung von Hilfestellungsmöglichkeiten danach eigenverantwortlich und selbst entschieden hat, wie und in welchem Umfang er die Angebote nutzt. Unabhängig von der Frage, ob die Kl. vom geltend gemachten Verstöße überhaupt alle vom Anwendungsbereich des Art. 82 Abs. 1 DS-GVO erfasst sind, was dahingestellt bleiben kann, sind hier bereits schadenersatzrelevante und -auslösende Pflichtverletzung der Bekl. bzgl. der gerügten Verstöße nicht gegeben, so dass allein deshalb ein Schadensersatzanspruch gem. Art. 82 Abs. 1 DS-GVO ausscheidet, so dass auch die streitige Frage dahingestellt bleiben kann, welche konkreten Daten des Kl. von dem Scraping jenseits des Namens, der Benutzer-ID, des Geschlechts und der Mobilnummer des Kl. tatsächlich betroffen waren.

LG München I Urt. v. 5.6.2023 – 15 O 4501/22 = ZD 2024, 118 (Ls.)

0 EUR Die Kl. hat keinen Anspruch auf Zahlung eines immateriellen Schadensersatzes aus Art. 82 Abs. 1 DS-GVO oder einer anderen denkbaren Anspruchsgrundlage. Denn jedenfalls fehlt es am Eintritt eines immateriellen Schadens, der sich kausal auf den Scraping-Vorfall zurückführen lässt. Das Merkmal des immateriellen Schadens ist autonom auszulegen. Erwägungsgrund 146 S. 3 DS-GVO sieht vor, dass der Begriff des Schadens im Lichte der Rspr. des EuGH weit auf eine Art und Weise ausgelegt werden soll, die den Zielen dieser Verordnung in vollem Umfang entspricht. Eine Erheblichkeitsschwelle für das Vorliegen eines solchen Schadens ergibt sich gerade nicht aus der DS-GVO. Bagatellschäden sind nicht auszuschließen. Zu verlangen ist aber jedenfalls, dass ein konkreter immaterieller Schaden auch tatsachlich eingetreten („entstanden“) ist. Diesen muss die Kl. darlegen und ggf. beweisen. Auch und gerade unter Berücksichtigung eines weiten Verständnisses des immateriellen Schadens, das ausdrücklich auch Bagatellschaden einschließt, kann das Gericht nicht erkennen (§ 287 Abs. 1 ZPO), dass die Kl. im vorliegenden Fall einen solchen Schaden tatsachlich erlitten hat. Zwar schilderte der Kl. einerseits, vermehrt Spam-E-­Mails, SMS und Anrufe erhalten habe. Allerdings schilderte der Kl. andererseits auch, dass er trotz des Vorfalls und trotz der Kontaktaufnahmeversuche weiterhin die Plattform weiter nutze.

LG Detmold Urt. v. 2.6.2023 – 02 O 184/22 = ZD 2023, 638 (Ls.)

0 EUR Der verfolgte Schmerzensgeldanspruch besteht unter keinem rechtlichen Gesichtspunkt. Ein Anspruch aus Art. 82 Abs. 1 DS-GVO kommt nicht in Betracht. Aus Sicht der Kammer mangelt es bereits an einem Verstoß gegen die DS-GVO wie auch an einem bei dem Kl. eingetretenen Schaden. Auch der Anwendungsbereich der DS-GVO ist aus Sicht der Kammer nicht für jeden der geltend gemachten Verstöße eröffnet. Es liegt kein Verstoß gegen Art. 5 Abs. 1 lit. f) DS-GVO vor, da die Bekl. nicht gegen die sie treffende Obliegenheit, personenbezogene Daten vor unbefugter oder unrechtmäßiger Verarbeitung zu schützen, verstoßen hat. Ein Verstoß gegen Art. 2432 DS-GVO ist ebenso nicht gegeben. Nach Auffassung der Kammer liegt auch kein Verstoß gegen Art. 25 DS-GVO vor. Soweit der Kl. der Bekl. weitere Verstöße gegen die DS-GVO vorwirft, nämlich ungenügende Information und Aufklärung über die Verarbeitung der sie betreffenden Daten durch ungenügende Aufklärung zur Verwendung und Geheimhaltung der Telefonnummer (Art. 5 Abs. 1 lit. a), einen unmittelbaren Verstoß gegen Art. 1314 DS-GVO, die konkrete Informationspflichten enthalten, die seitens der Bekl. nicht eingehalten worden seien, unvollständige Auskunftserteilung nach Art. 15 DS-GVO, da nicht mitgeteilt worden sei, welchen Empfängern ihre Daten zugänglich gemacht worden seien (Art. 3334 DS-GVO), sind solche Verstöße bereits weder vom Schutzzweck des Art. 82 DS-GVO noch von dessen sachlichen Anwendungsbereich umfasst. Art. 82 Abs. 1 DS-GVO erfasst nur solche Pflichtverstöße, die iRe „Verarbeitung" geschehen, was sich aus dem Wortlaut des Art. 82 Abs. 2 DS-GVO ergibt ("durch eine nicht dieser Verordnung entsprechende Verarbeitung"). Art. 5 Abs. 1 lit. a, 131415 DS-GVO begründen Informationspflichten ggü. betroffenen Personen. Auch Art. 3334 DS-GVO begründen eine Pflicht zur Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde (Art. 33 DS-GVO) bzw. die Pflicht zur Benachrichtigung der betroffenen Person (Art. 34 DS-GVO). Die Erteilung von Informationen über die Verarbeitung personenbezogener Daten, die Benachrichtigung über eine Verletzung des Schutzes personenbezogener Daten ggü. Nutzern und die Erteilung einer beantragten Auskunft stellen jedoch keine Verarbeitungen iSv Art. 4 Ziff. 2 DS-GVO dar, sodass sich aus ihrer etwaigen Verletzung kein Anspruch aus Art. 82 Abs. 1 DS-GVO ableiten lässt. IÜ fehlt es auch an einem Schaden iSv Art. 82 Abs. 1 DS-GVO. Anders als der Kl. meint, genügt nicht allein der Verstoß gegen die DS-GVO, um einen Ausgleich / eine Kompensation verlangen zu können. Dies widerspricht dem Schadensrecht, unabhängig vom Wortlaut des Art. 82 Abs. 1 DS-GVO. Ein Schadens- und auch Schmerzensgeldanspruch setzt stets einen immateriellen oder materiellen Schaden voraus. Verletzung und Schaden sind nicht gleichzusetzen. Es ist nicht für jede bloß individuell empfundene Unannehmlichkeit ein Schmerzensgeld zu gewähren; vielmehr muss dem Betroffenen ein spürbarer Nachteil entstanden sein und es muss um eine objektiv nachvollziehbare, mit gewissem Gewicht erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen gehen. Allein der Kontrollverlust des Kl. über seine Daten stellt keinen Schaden dar.

LG Ingolstadt Urt. v. 1.6.2023 – 81 O 549/22

0 EUR Die Voraussetzungen für den vom Kl. geltend gemachten Geldentschädigungsanspruch in Bezug auf einen ihm zugefügten immateriellen Schaden liegen nicht vor. Das Gericht konnte sich auf Grundlage des schriftsätzlichen Vorbringens iVm der persönlichen Anhörung des Kl. keine Überzeugung vom Vorhandensein eines immateriellen Schadens bilden. Der Begriff des Schadens ist autonom auszulegen, ohne dass es darauf ankommt, ob ein bestimmter Schaden nach nationalem Recht als Schaden angesehen werden könnte. Nach Auffassung der Kammer ist für den erforderlichen Schadenseintritt der bloße Verstoß gegen Bestimmungen der DS-GVO nicht ausreichend. Der Schaden ist nicht mit der zugrundeliegenden Rechtsgutsverletzung gleich zu setzen. Es bedarf vielmehr des Nachweises eines von der zugrunde liegenden Rechtsgutsverletzung zu unterscheidenden konkret entstandenen Schadens. Hierfür spricht bereits der Wortlaut von Art. 82 Abs. 1 DS-GVO, der über den Verstoß hinaus ausdrücklich die Entstehung eines Schadens voraussetzt. Umgekehrt führt der fehlende Hinweis in den Vorschriften der DS-GVO und den maßgeblichen Erwägungsgründen darauf, dass Bagatellschäden nicht auszugleichen wären, dazu, dass der Nachweis eines tatsächlich erlittenen Schadens erforderlich ist, um ein vom Verordnungsgeber nicht gewolltes Ausufern von Schadensersatzforderungen in allen Fällen eines – tatsächlich für den Betroffenen folgenlosen – Datenschutzverstoßes zu vermeiden. Auch die Aufzählung der durch die Datenschutzverletzung möglichen Schäden im Erwägungsgrund 85 S. 1 macht deutlich, dass der Schaden mit der Datenschutzverletzung nicht identisch ist, zumal durchaus denkbar ist, dass eine Datenschutzverletzung nicht zum Eintritt eines der benannten Schäden führt. Vor diesem Hintergrund muss in jedem Einzelfall betrachtet werden, ob ein Schaden überhaupt entstanden ist. Gegen eine Ausdehnung des immateriellen Schadensersatzes spricht auch das erhebliche Missbrauchsrisiko, das mit der Schaffung eines lediglich auf einen Verstoß gegen Vorschriften der DS-GVO beschränkten und im übrigen voraussetzungslosen Schmerzensgeldanspruchs gerade im Bereich des Datenschutzrechts einherginge. Bei der Beurteilung, ob ein konkreter (immaterieller) Schaden entstanden ist, hat das Gericht einzelfallbezogen zu beurteilen, ob durch die DS-GVO-Verletzung eine durchschnittlich im Datenschutz sensibilisierte Person solch negative Gefühle entwickeln würde, die über jene hinausgehen, welche man automatisch entwickelt, wenn ein Gesetz zu seinen Ungunsten verletzt wird. Der Geschädigte muss daher einen solchen Nachteil erlitten haben, dem infolge der Beeinträchtigung der Interessen ein Gewicht zukommen muss. Nicht schon jeder, allein durch die Verletzung an sich hervorgerufene Ärger oder sonstige Gefühlsschaden ist auszugleichen, sondern nur ein darüberhinausgehendes besonderes immaterielles Interesse. Entscheidend ist, dass die Datenschutzverletzung über eine individuell empfundene Unannehmlichkeit hinausgeht oder das Selbstbild oder Ansehen einer Person ernsthaft beeinträchtigt. Unter Anwendung der vorstehenden Grundsätze konnte sich das Gericht vom Vorhandensein eines dem Kl. entstandenen konkreten immateriellen Schadens keine Überzeugung bilden. Dem pauschalen Vorbringen zufolge hat die Kl. „einen erheblichen Kontrollverlust über ihre Daten erlitten“ und verbleibt „in einem Zustand großen Unwohlseins und Sorge über möglichen Missbrauch ihrer Daten“ was sich u. a. in einem „verstärkten Misstrauen bzgl. E-­Mail zum anrufen von unbekannten Nummern und Adressen, aber auch in der ständigen Sorge, dass die veröffentlichten Daten von Kriminellen für unlautere Zwecke verwendet werden könnten“ manifestiert habe. Die Verwendung der männlichen und weiblichen Personalpronomina liegt nahe, dass es sich auch bei diesem Sachvortrag um einen Textbaustein handelt, der über das streitgegenständliche Verfahren hinaus Verwendung findet und damit nicht geeignet ist, einen konkreten Schaden des Kl. zu beschreiben. Soweit die Kl. weitere Daten des Kl. von dem Scraping-Vorfall betroffen sieht, liegt bereits ein substantiierter Sachvortrag dazu, welche konkreten Daten der Kl. überdies in seinem F.Profil eingestellt haben will, die er nicht öffentlich zugänglich machen wollte, nicht vor.

LG Hagen Urt. v. 31.5.2023 – 6 O 65/22

350 EUR Dem Kl. steht gegen die Bekl. ein Anspruch auf Schadensersatz iHv 350 EUR aus Art. 82 Abs. 1 DS-GVO zu. Die Bekl. ist der ihr nach Art. 13 DS-GVO auferlegten Informations- und Aufklärungspflicht nicht in vollständigem Umfang nachgekommen. Ein Schadensersatzanspruch nach Art. 82 DS-GVO kann nur dann begründet werden, wenn nach dessen Absatz 2 Satz 1 ein Schaden durch eine nicht dieser Verordnung entsprechenden Verarbeitung verursacht wurde, auch wenn Art. 82 Abs. 1 DS-GVO vom Wortlaut her jeden Verstoß gegen die Verordnung ausreichen lässt. Dass nur Verstöße relevant sein sollten, die bei der Datenverarbeitung unterlaufen, ergibt sich aus dem Umstand, dass ansonsten die Verordnung einen umfassenden Schadensersatzanspruch konstatieren würde, für den allerdings niemand voll umfänglich einzutreten hätte. Dies ergibt sich zudem aus der Systematik, wonach Abs. 3 der Regelung eine Exkulpation für die Haftung nach Abs. 2 der Norm vorsieht. Die Bekl. als Verantwortliche iSd Art. 4 Ziff. 7 DS-GVO verstieß aufgrund unzureichender Sicherheitsmaßnahmen bzgl. der Nutzung des CIT auch gegen Art. 32245 Abs. 1 lit. f DS-GVO. Die Bekl. hat zudem ihre Meldepflicht aus Art. 33 DS-GVO verletzt. Das vorstehend Gesagte gilt auch hinsichtlich eines Verstoßes gegen Art. 34 Abs. 1 DS-GVO, nachdem die Bekl. auch den Kl. als betroffene Person unverzüglich hätte benachrichtigen müssen. Die Bekl. verstößt mit ihren Voreinstellungen zur Sichtbarkeit zumindest hinsichtlich der E-­Mail-Adresse und zur Suchbarkeit über die Telefonnummer der Benutzer der Facebook-Plattform auch gegen Art. 25 DS-GVO. Ob die Bekl. dem Auskunftsersuchen der Kl. über ihre personenbezogenen Daten nicht in ausreichendem Maße nachgekommen ist und dadurch gegen Art. 15 DS-GVO verstoßen hat kann dahinstehen, da ein etwaiger Verstoß keinen Schadensersatzanspruch nach Art. 82 DS-GVO auslöst. Die Norm spricht zwar demjenigen einen Schadensersatzanspruch zu, der wegen eines Verstoßes gegen diese DS-GVO einen Schaden erlitten hat. Gemäß Art. 82 Abs. 2 DS-GVO haften die Verantwortlichen – insoweit konkretisierend – jedoch nur für den Schaden, der durch eine nicht der DS-GVO entsprechende Verarbeitung entstanden ist. Die Bekl. kann sich nicht gem. Art. 82 Abs. 3 DS-GVO, der das Verschulden widerleglich vermutet, exkulpieren. Soweit in der Vorschrift von der Verantwortlichkeit für den Schaden die Rede ist, ist dies iSv Verschulden aufzufassen. Art. 82 Abs. 3 DS-GVO ordnet eine Beweislastumkehr hinsichtlich des Verschuldens an. Der Anspruchsverpflichtete kann sich daher nur entlasten, indem er beweist, dass er die am Maßstab des Stands der Technik und im Verkehr, dh am allgemeinen Schutzinteresse orientierte erforderliche Sorgfalt iSv § 276 Abs. 2 BGB angewendet hat. Ein bloßer Datenschutzverstoß als solcher genügt für das Entstehen des Schadensersatzanspruches nicht. Vielmehr folgt bereits aus dem Wortlaut der Vorschrift, dass der Verordnungsgeber keine allein an den Rechtsverstoß anknüpfende Zahlungspflicht begründen wollte. Auch der EuGH stellt auf das Erfordernis eines konkreten Schadens ab. Allerdings können – abweichend von anderen Bereichen des Rechts – auch Bagatellschäden eine Ersatzpflicht hervorrufen. Denn eine Erheblichkeitsschwelle ist Art. 82 DS-GVO nicht zu entnehmen. Eine spürbare Beeinträchtigung ist durch den Kl. nachvollziehbar in der mündlichen Verhandlung geschildert worden. Er konnte sowohl das ungute Gefühl als auch den zusätzlichen Aufwand schildern, den er durch eine Vielzahl von unseriösen Anrufen und Kontaktaufnahmen via SMS durch unbekannte Nummern seit dem Scrapingvorfall hat. Die erforderliche Kausalität zwischen den Verstößen der Bekl. gegen die DS-GVO und dem Schaden des Kl. liegt vor. Bei der Bestimmung des vom Kl. in das Ermessen des Gerichts gestellten Höhe des Schadenersatzes gem. § 287 Abs. 1 S. 1 ZPO sind alle Umstände des Einzelfalls zu würdigen. Die Kriterien des Art. 83 Abs. 2 DS-GVO, die Anhaltspunkte für die Höhe der von der Aufsichtsbehörde zu verhängenden Geldbuße geben sollen, können auch für die Bemessung des immateriellen Schadenersatzes herangezogen werden. Die vorgerichtlichen Rechtsanwaltskosten sind als Teil des zu ersetzenden Schadens gem. Art. 82 Abs. 1 DS-GVO zu erstatten.

LG München I Urt. v. 31.5.2023 – 18 O 4509/22

0 EUR Dem Kl. steht kein Anspruch auf Schadensersatz gem. Art. 82 DS-GVO zu. Bezogen auf die Geltendmachung behaupteter verspäteter Auskunftsansprüche gem. Art. 15 DS-GVO und Art. 34 DS-GVO ist bereits der sachliche Anwendungsbereich des Art. 82 DS-GVO nicht eröffnet. Gemäß Art. 2 Abs. 1 DS-GVO umfasst der sachliche Anwendungsbereich die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Anknüpfungspunkt für eine Haftung ist eine der Verordnung nicht entsprechende Verarbeitung iSd Art. 4 Ziff. 2 DS-GVO. Die behauptete Verletzung von bloßen Benachrichtigungspflichten bzw. Informationsrechte sind hiervon jedoch nicht erfasst. Dasselbe gilt für Verstöße gegen Art. 34 DS-GVO. Letztlich lässt sich aus Art. 24 und 25 DS-GVO von vorneherein kein subjektives Recht herleiten. Unabhängig von obigen Ausführungen, fehlt es – selbst bei unterstellten Pflichtverstößen der Bekl. gegen die DS-GVO – jedenfalls an einem ersatzfähigen Schaden des Kl. iSd Art. 82 Abs. 1 DS-GVO. Bereits nach dem Wortlaut des Art. 82 DS-GVO muss dem Anspruchsberechtigten ein Schaden entstanden sein. Er darf also nicht lediglich befürchtet werden. Der Schaden muss gem. Art. 82 Abs. 5 DS-GVO „erlitten“ sein, was heißt, er muss „spürbar“, objektiv nachvollziehbar und von gewissem Gewicht sein. Allein eine Verletzung des Datenschutzrechts reicht nicht aus. Zwar soll der Begriff des Schadens nach dem Erwägungsgrund 146 S. 3 weit ausgelegt werden; auch sind reine Bagatellschäden grds. ersatzfähig. In den Erwägungsgrund 75 und 85 DS-GVO werden hierbei einige mögliche Schäden aufgezählt, darunter Identitätsdiebstahl, finanzielle Verluste, Rufschädigung, aber auch der Verlust der Kontrolle über die eigenen Daten sowie die Erstellung unzulässiger Persönlichkeitsprofile. Allerdings hat der Kl. für das Gericht (§ 287 ZPO) auch unter Berücksichtigung dieser weiten Auslegung und gemessen an den vorgenannten Grundsätzen nicht hinreichend dargelegt, dass der Kl. einen ersatzfähigen, „spürbaren“ Schaden erlitten hat. Der Kl. hat in seinen Schriftsätzen formelhaft und pauschal vortragen lassen, dass er einen erheblichen Kontrollverlust über seine Daten erlitten habe und deshalb unter großem Unwohlsein und Sorge leide sowie einen Missbrauch befürchte. Auch lässt er vortragen, vermehrt unbekannte Kontaktversuche via SMS und E-­Mail zu erhalten. Der Vortrag ist Teil einer Klageschrift und Replik, die mit dem gleichen Inhalt in einer Vielzahl von Verfahren rechtshängig wurden. Letztlich fehlt es auch an einer Kausalität für einen – hier nicht festzustellenden – Schaden. Der Kl. scheint hierbei selbst an einer Kausalität zu zweifeln.

LG Köln Urt. v. 31.5.2023 – 28 O 138/22

0 EUR Dem Kl. steht kein Anspruch auf Ersatz immateriellen Schadens gegen die Bekl. nach Art. 82 Abs.1 DS-GVO zu. Dabei kann offen bleiben, ob der Bekl. Verstöße gegen die DS-GVO iSd Art. 82 Abs. 1 DS-GVO vorzuwerfen sind, denn der Kl. hat diesbezüglich jedoch nicht vorgetragen, dass ihm ein Schaden entstanden ist. Art. 82 Abs. 1 DS-GVO ist dahin auszulegen, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadenersatzanspruch zu begründen. Vielmehr muss der Kl. einen konkreten immateriellen oder materiellen Schaden darlegen und beweisen. Die nationalen Gerichte haben bei der Festsetzung der Höhe des Schadenersatzes die innerstaatlichen Vorschriften der einzelnen Mitgliedstaaten über den Umfang der finanziellen Entschädigung anzuwenden, sofern die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität beachtet werden. Art. 82 Abs. 1 DS-GVO setzt nach seinem Wortlaut jedoch voraus, dass der betroffenen Person ein materieller oder immaterieller Schaden entstanden ist. Erwägungsgrund 146 S. 1 DS-GVO spricht von Schäden, "die einer Person aufgrund einer Verarbeitung entstehen". Mit diesem Wortlaut ist eine Auslegung der Norm, nach der die Entstehung eines immateriellen Schadens nicht Tatbestandsvoraussetzung ist, nicht zu vereinbaren. Bei einer solchen Auslegung würde ein reiner Strafschadensersatz iSe „punitive damage" vorliegen, der der kontinentaleuropäischen Zivilrechtsordnung fremd ist. Es wäre auch nicht zu erklären, warum bei einem immateriellen Schaden die Darlegung eines tatsächlichen entstandenen Schadens entbehrlich sein sollte, bei einem materiellen Schaden hingegen nicht. Auf das Erfordernis eines tatsächlich entstandenen immateriellen Schadens kann daher nicht verzichtet werden. "Bloßer Ärger" oder "emotionales Ungemach", zu dem die Verletzung der Vorschriften der DS-GVO bei der betroffenen Person geführt haben mag, reicht als solcher nicht bereits als immaterieller Schaden aus. Einen über bloßen Ärger bzw. bloßes Unwohlsein hinausgehenden Schaden hat der Kl. jedoch nicht dargelegt, und ein solcher ist auch nicht ersichtlich.

LG Aachen Urt. v. 26.5.2023 – 8 O 267/22 ZD 2023, 632 (Ls.)

0 EUR Die Kl. hat gegen die Bekl. keinen Anspruch auf immateriellen Schadensersatz, weder aus Art. 82 Abs. 1 DS-GVO noch aus einer anderen Anspruchsgrundlage. Nach Auffassung der Kammer ist der sachliche Anwendungsbereich des Art. 82 Abs. 1 DS-GVO eröffnet, auch soweit hier die Verletzung von Informationspflichten geltend gemacht und der Schmerzensgeldanspruch zumindest auch darauf gestützt wird. Aus dem Wortlaut der Vorschrift ergibt sich gerade nicht dass Art. 82 Abs. 1 DS-GVO durch Art. 82 Abs. 2 DS-GVO konkretisiert und eingeschränkt werden soll, so dass nur Pflichtverletzungen im Zusammenhang mit einer Verarbeitung von Daten den Schadensersatzanspruch auslösen könnten. Auf der Grundlage des klägerischen Vorbringens ist jedoch ein Verstoß der Bekl. gegen die DS-GVO nicht festzustellen. Unabhängig davon, ob überhaupt ein Verstoß gegen Vorschriften der DS-GVO vorliegt, scheitert ein Anspruch aus Art. 82 Abs. 1 DS-GVO aber jedenfalls daran, dass hier kein restitutionsfähiger (immaterieller) Schaden vorliegt. Für den immateriellen Schadensersatz gelten dabei die iRv § 253 BGB entwickelten Grundsätze; die Ermittlung obliegt dem Gericht nach § 287 ZPO. Es können für die Bemessung die Kriterien des Art. 83 Abs. 2 DS-GVO herangezogen werden, zB die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie die betroffenen Kategorien personenbezogener Daten. Zu berücksichtigen ist auch, dass die beabsichtigte abschreckende Wirkung nur durch für den Anspruchsverpflichtenden empfindliche Schmerzensgelder erreicht wird, insb. wenn eine Kommerzialisierung fehlt. Ein genereller Ausschluss von Bagatellfällen ist damit nicht zu vereinbaren. Die Pflicht zur Erstattung immaterieller Schäden ist daher nicht auf schwere Schäden beschränkt. Allein eine Verletzung des Datenschutzrechts als solche begründet allerdings nicht bereits für sich gesehen einen Schadensersatzanspruch für betroffene Personen. Die Verletzungshandlung muss in jedem Fall auch zu einer konkreten Verletzung von Persönlichkeitsrechten der betroffenen Personen geführt haben. Die Verletzung der Vorschriften der DS-GVO ist nicht mit einem Schadenseintritt gleichzusetzen. Es ist zwar keine schwere Verletzung des Persönlichkeitsrechts erforderlich. Andererseits ist aber auch weiterhin nicht für jede im Grunde nicht spürbare Beeinträchtigung bzw. für jede bloß individuelle empfundene Unannehmlichkeit ein Schmerzensgeld zu gewähren. Vielmehr muss dem Betroffenen ein spürbarer Nachteil entstanden sein und es muss um eine objektiv nachvollziehbare, tatsächlich erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen gehen. Nach Auffassung der Kammer hat Art. 82 Abs. 1 DS-GVO zwei eigene, separate Voraussetzungen, nämlich: (1.) einen Verstoß gegen die DS-GVO und (2.) einen tatsächlich eingetretenen materiellen oder immateriellen Schaden. Läge bei jedem DS-GVO-Verstoß automatisch ein immaterieller Schaden vor, wäre der Schaden als Anspruchsvoraussetzung überflüssig. Auf die Frage des konkreten Schadens kommt es hier aber deshalb nicht entscheidungserheblich an, weil die Klage auch aus anderen Gründen ohne Erfolg bleibt, da schon kein Verstoß gegen die DS-GVO festgestellt werden kann und iÜ die Kl. die Betroffenheit ihres Kontos auch nicht ausreichend dargelegt hat.

LG Paderborn Urt. v. 26.5.2023 – 3 O 307/22

500 EUR Scraping-Sachverhalt. Wie LG Paderborn Urt. v. 24.2.2023 – 3 O 220/22.

LG Stuttgart Urt. v. 26.5.2023 – 24 O 65/22

1.000 EUR Scraping-Sachverhalt. Wie LG Paderborn Urt. v. 19.12.2022 – 2 O 236/22.

LG Stuttgart Urt. v. 25.5.2023 – 51 O 76/22

300 EUR Scraping-Sachverhalt. Wie LG Stuttgart Urt. v. 25.5.2023 – 51 O 75/22.

LG Stuttgart Urt. v. 25.5.2023 – 51 O 75/22

300 EUR Grund und damit unabdingbare Voraussetzung der Haftung ist eine Pflichtverletzung, wenngleich es auf einen Schutznormcharakter der verletzten Vorschrift nicht ankommt, der Begriff der Pflichtverletzung also denkbar weit gefasst ist und letztlich jede Verletzung materieller oder formeller Bestimmungen der Verordnung einschließt. Insofern ist ein relevanter Verstoß der Beklagten darin zu sehen, dass diese gegen die sich aus Art. 25 Abs. 2 DS-GVO ergebende Verpflichtung des „privacy by default“ verstoßen hat. Darüber hinaus ist die Bekl. der ihr nach Art. 13 DS-GVO auferlegten Informations- und Aufklärungspflicht nicht in vollständigem Umfang nachgekommen. Die Bekl. kann sich mit Blick auf den Daten-Scraping-Vorfall nicht nach Art. 82 Abs. 3 DS-GVO exkulpieren. Auf Grund der nach Auffassung der Kl. unzureichenden Auskunft im Zusammenhang mit dem Daten-Scraping-Vorfall steht dieser ein Anspruch auf immateriellen Schadensersatz dagegen nicht zu. Zwar kann auch eine bloße Verletzung einer Auskunftspflicht nach Art. 15 DS-GVO insoweit einen Schadensersatzanspruch begründen. Hier ist indes davon auszugehen, dass die Information der Kl., deren Anspruch nach Art. 15 DS-GVO erfüllt hat. Der Kl. ist im Zusammenhang mit dem Daten-Scraping-Vorfall auch ein nach Art. 82 DS-GVO ersatzfähiger – immaterieller – Schaden entstanden, für den die Verstöße der Bekl. gegen die DS-GVO kausal waren. Der Begriff des Schadens ist gem. Erwägungsgrund 146 S. 3 DS-GVO weit auf eine Art und Weise auszulegen, die den Zielen dieser Verordnung in vollem Umfang entspricht. Auch Bagatellschäden können eine Ersatzpflicht hervorrufen. Denn eine Erheblichkeitsschwelle ist weder Art. 82 DS-GVO noch den Erwägungsgründen zu entnehmen. Erwägungsgrund 148 S. 2 sieht lediglich vor, dass (ausnahmsweise) bei geringfügigen Verstößen auf die Verhängung einer Geldbuße verzichtet werden kann. Die Schwere eines Schadens wirkt sich nur iRd Festlegung der Schadenshöhe aus. Ein etwaiges Mitverschulden der Kl. (§ 254 BGB) deswegen, weil sie die Datenschutzeinstellungen ihres Facebook-Profils nicht geändert hat und dadurch auch den Zugriff der Daten-Scraper mit ermöglicht hat, tritt hinter die Verstöße der Bekl. vollkommen zurück. IRd ihr zustehenden materiellen Schadensersatzanspruchs nach Art. 82 Abs. 1 DS-GVO kann die Kl. auch die Erstattung vorgerichtlich angefallener Rechtsanwaltsgebühren beanspruchen.

LG Ulm Urt. v. 25.5.2023 – 4 O 124/22

400 EUR Die Kl. hat gegen die Bekl. einen Anspruch auf Ersatz des immateriellen Schadens nach Art. 82 Abs. 1 DS-GVO. Die Bekl. hat entgegen Art. 6 Abs. 1 DS-GVO den Nachnamen und die Mobilfunknummer der Kl., bei denen es sich um personenbezogene Daten nach Art. 4 Ziff. 1 DS-GVO handelt, verarbeitet, in dem sie bei Abfrage der Mobilfunknummer durch das CIT den Namen (jedenfalls Nachnamen) der Kl. mitteilte. Hierfür lag keine Einwilligung der Kl. vor. Der Kl. ist auch ein immaterieller Schaden iSd Art. 82 Abs. 1 DS-GVO entstanden. Zwar ist umstritten, ob sich schon aus dem Erwägungsgrund 85 der DS-GVO folgt, dass jedenfalls der Kontrollverlust über die Daten einen immateriellen Schaden darstellt (Wortlaut: „… immateriellen Schaden für natürliche Personen nach sich ziehen, wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten…“). Nach Erwägungsgrund 146 S. 3 der DS-GVO muss aber der Begriff des Schadens so ausgelegt werden, dass er den Zielen der Verordnung entspricht. Der Schadensersatzanspruch muss daher weitere Verstöße unattraktiv machen. Eine schwerwiegende Persönlichkeitsrechtsverletzung ist daher nicht erforderlich. Der Schaden muss auch keine „Erheblichkeitsschwelle“ überschreiten. Deshalb kann ein Schaden auch bereits in einem unguten Gefühl liegen, dass personenbezogene Daten Unbefugten bekannt geworden sind. Aber jedenfalls, wenn durch die unbefugte Verarbeitung eine Aufhebung der Pseudonymisierung erfolgt und hierdurch die Gefahr eintritt, dass die Daten zu betrügerischen Maßnahmen verwendet werden könne, liegt nach Erwägungsgrund 75 der DS-GVO ein immaterieller Schaden vor. Die Höhe des Anspruchs ist bei immateriellen Schäden nicht willkürlich, sondern auf der Grundlage der inhaltlichen Schwere und Dauer der Rechtsverletzung zu beurteilen. Ein künstlich niedrig bezifferter Betrag mit symbolischer Wirkung reicht nicht aus, um die praktische Wirksamkeit des Unionsrechts sicherzustellen. Andererseits reichen. Andererseits sind „bloßer Ärger“ oder Bagatellen nicht mit Geldansprüchen auszugleichen.

LG Ulm Urt. v. 25.5.2023 – 4 O 118/22

300 EUR Der Kl. hat einen Schadensersatzanspruch gegen die Bekl. iHv 300 EUR gem. Art. 82 Abs. 1 DS-GVO, da die Bekl. gegen Art. 13 DS-GVO, Art. 32245 Abs. 1f DS-GVO, Art. 33 DS-GVO und Art. 34 DS-GVO verstoßen hat. Die Bekl. kann sich nicht exkulpieren. Es ist dem Kl. ein kausaler immaterieller Schaden entstanden, der mit einem angemessenen Schmerzensgeld iHv 300 EUR abzugelten ist. Nicht jeder Verstoß gegen die DS-GVO reicht nicht aus, um einen Anspruch gem. Art. 82 DS-GVO zu begründen, erforderlich ist jedenfalls auch ein darauf beruhender kausaler Schaden. Da sich aus einem Verstoß gegen Art. 25 DS-GVO wegen seines organisatorischen Charakters ein Anspruch auf Schadensersatz nach Art. 82 DS-GVO nicht begründen lässt, kann dahinstehen, ob zudem noch ein Verstoß der Bekl. gegen Art. 25 DS-GVO vorliegt. Die Bekl. kann sich auch nicht gem. Art. 82 Abs. 3 DS-GVO exkulpieren. Unabhängig davon, ob man den Begriff der Verantwortlichkeit mit Teilen der Rspr. und der Lit, mit dem Begriff des Verschuldens gleichgesetzt oder Art. 82 DS-GVO als Gefährdungshaftungstatbestand versteht kann sich die Bekl. nicht entlasten. Die Bekl. kann nicht nachweisen, dass sie kein Verschulden für den „Scraping“-Vorfall trifft. Hierfür muss der Verantwortliche oder Auftragsverarbeiter den Vollbeweis führen, dass er sämtliche Vorschriften der DS-GVO eingehalten hat. Wie oben ausgeführt, hat die Bekl. jedoch gegen die DS-GVO, insbesondere gegen Art. 32 DS-GVO, verstoßen, weshalb ihr eine Exkulpation nicht gelingen kann. Nicht ausdrücklich gesetzlich geregelt ist, wen die Beweislast hinsichtlich der Kausalität des Verstoßes für den Schaden trifft, es ist jedoch von einer Beweislastumkehr zu Lasten des Schädigers auszugehen. Für den immateriellen Schadensersatz gelten die für § 253 BGB entwickelten Grundsätze, die Ermittlung obliegt dem Gericht nach § 287 ZPO, da die DS-GVO insoweit keine Verfahrensmodalitäten regelt. Es können – müssen aber nicht – für die Bemessung die Kriterien des Art. 83 Abs. 2 herangezogen werden. Eine Straf- oder Abschreckungswirkung war bei Ermittlung der Schadenshöhe nicht zu berücksichtigten. Nach den Grundsätzen der Schadensbemessung ist der Schadensersatz in Ansehung der tatsächlich erlittenen Beeinträchtigung(en) festzusetzen. Systematik, Wortlaut und Zielsetzung von Art. 82 DS-GVO stehen an der Prävention orientierten Zuschlägen oder Strafzielsetzungen entgegen. Der Zuspruch von immateriellem Schadensersatz außerhalb der Kompensationsfunktion würde zu einer Überkompensation und damit einer Bereicherung des Anspruchstellers führen; darüber hinaus drohte die Entstehung von Fehlanreizen zu einem kommerziellen Missbrauch des Schadensersatzes. Zudem kann auch bezweifelt werden, ob eine Schadensersatzforderung im dreistelligen Bereich in der Lage ist, eine Straf- bzw. Abschreckungswirkung bei einem der größten Konzerne weltweit (der Jahresumsatz des Meta-Konzerns belief sich im Jahr 2022 auf 116,6 Milliarden US-Dollar) zu entfalten. Eine Erheblichkeitsschwelle muss nicht erreicht werden. Der Schadensersatzanspruch umfasst auch materielle Schäden. Auf Grund des Datenverlustes können auch künftige materielle Schäden nicht ausgeschlossen werden. Der Kl. kann die vorgerichtlichen Rechtsanwaltskosten gem. Art. 82 Abs. 1 DS-GVO von der Bekl. erstattet verlangen.

LG Lübeck Urt. v. 25.5.2023 – 15 O 143/22

500 EUR Scraping-Sachverhalt. Wie LG Lübeck Urt. v. 25.5.2023 – 15 O 105/22.

LG Lübeck Urt. v. 25.5.2023 – 15 O 132/22

500 EUR Scraping-Sachverhalt. Wie LG Lübeck Urt. v. 25.5.2023 – 15 O 105/22.

LG Lübeck Urt. v. 25.5.2023 – 15 O 126/22

500 EUR Scraping-Sachverhalt. Wie LG Lübeck Urt. v. 25.5.2023 – 15 O 105/22.

LG Lübeck Urt. v. 25.5.2023 – 15 O 109/22

500 EUR Scraping-Sachverhalt. Wie LG Lübeck Urt. v. 25.5.2023 – 15 O 105/22.

LG Lübeck Urt. v. 25.5.2023 – 15 O 107/22

500 EUR Scraping-Sachverhalt. Wie LG Lübeck Urt. v. 25.5.2023 – 15 O 105/22.

LG Lübeck Urt. v. 25.5.2023 – 15 O 105/22

500 EUR Der Antrag zu 1., soweit er immateriellen Schadensersatz wegen Datenschutzverstößen im Zusammenhang mit dem Scraping von Daten im Jahr 2019 betrifft, ist in Höhe von 500 EUR begründet. Die Kl. kann von der Bekl. aus Art. 82 DS-GVO Zahlung von 500 EUR verlangen. Es sind mehrere haftungsbegründende Verstöße der Bekl. gegen die einschlägigen Bestimmungen der DS-GVO festzustellen. Zum ersten liegt eine rechtswidrige Verarbeitung von Daten der Kl. durch die Bekl. vor. Die rechtswidrige Datenverarbeitung kann Schadensersatzansprüche nach Art. 82 DS-GVO auslösen. Des Weiteren stellt das Gericht einen unzureichenden Schutz der streitgegenständlichen Daten der Kl. durch die Bekl. fest. Die Bekl. hat gegen ihre Pflichten aus Art. 32 DS-GVO zur Ergreifung geeigneter technischer und organisatorischer Schutzmaßnahmen verstoßen. Jedoch wäre eine derartige Verletzung von Art. 25 DS-GVO jedenfalls nicht vom Schutzbereich des Art. 82 DS-GVO umfasst und kann daher keine Schadensersatzansprüche auslösen. Systematisch folgt dies bereits aus dem Umstand, dass Art. 82 Abs. 2 DS-GVO voraussetzt, dass der Schaden „durch eine Verarbeitung “ ausgelöst wurde, während Art. 25 DS-GVO Verhaltenspflichten normiert, die vor jeder konkreten Datenverarbeitung liegen und die generellen Voreinstellungen betreffen. Durch ein derartiges Verständnis der Art. 2582 DS-GVO wird der Wirkungsbereich des Art. 25 DS-GVO dabei auch nicht in unzulässiger Weise eingeschränkt. Vielmehr werden eventuelle Verstöße gegen Art. 25 DS-GVO bei diesem Verständnis auf Verschuldensebene relevant und hindern ggf. eine Entlastung des Normverpflichteten. Dabei kann für das vorliegende Verfahren dahinstehen, ob Art. 82 DS-GVO eine verschuldensunabhängige Haftung begründet, eine Gefährdungshaftung mit der bloßen Möglichkeit der rechtsvernichtenden Einwendung fehlenden Verschuldens oder ob mit der wohl h. M. angenommen werden kann, Art. 82 Abs. 3 DS-GVO enthalte ein Verschuldenserfordernis iSd gängigen deutschen Terminologie mit einer entsprechenden Vermutung zu Lasten des Normverletzers und einer bei dem Verpflichteten liegenden Beweislast, dass weder Vorsatz noch Fahrlässigkeit vorlag. Grds. ermöglicht Art. 82 Abs. 1 DS-GVO den Ersatz materieller und immaterieller Schäden. Ein materieller Vermögensschaden iSv § 249 BGB wurde von der Kl. nicht vorgetragen. Sie beruft sich jedoch erfolgreich auf das Vorliegen eines immateriellen Schadens. Ein immaterieller Schaden liegt dabei zwar nicht schon in der bloßen Verletzung einer Norm der DS-GVO. Jedoch liegt ein immaterieller Schaden vor, wenn infolge der Verletzung der Norm der DS-GVO ein absolut geschütztes Rechtsgut der geschädigten Person verletzt wurde. In Betracht kommt insoweit etwa eine Verletzung des Rechts auf körperliche Unversehrtheit ebenso wie eine Verletzung des Rechts auf informationelle Selbstbestimmung als besondere und ebenfalls absolut geschützte Ausprägung des allgemeinen Persönlichkeitsrechts. Der Schaden beruht kausal auf den oben festgestellten Verstößen. Es gelten für die Bemessung der Höhe des immateriellen Schadens die Grundsätze des § 253 BGB. Auch herangezogen werden können dabei die Kriterien des Art. 83 Abs. 2 DS-GVO.

LG Lübeck Urt. v. 25.5.2023 – 15 O 74/22

500 EUR Scraping-Sachverhalt. Eine für die Bejahung eines Schadens ausreichende Verletzung des allgemeinen Persönlichkeitsrechts in der Ausprägung des Rechts auf informationelle Selbstbestimmung liegt vor. Dieses Recht der Kl. wurde und wird bis heute fortlaufend verletzt. Infolge der Verstöße gegen die einschlägigen Bestimmungen der DS-GVO gelangten die streitgegenständlichen Daten inzwischen unstreitig auf jedenfalls eine online betriebene Seite, auf der sie rechtswidrig und massenhaft zum weiteren Vertrieb angeboten werden und damit fortgesetzt das geschützte Recht der Kl. verletzen, selbst zu entscheiden, wo und ob sie diese Daten offenbaren möchte. Wie sich die Kl. dabei fühlt, ist für das Vorliegen eines Schadens unerheblich, da ein solcher bereits in der tatsächlich stattfindenden (und nicht nur befürchteten) Persönlichkeitsrechtsverletzung durch Dritte liegt. Ein Abstellen auf die emotionale Befindlichkeit der Kl. wäre nur dann erheblich, wenn die Rechtsgutverletzung maßgeblich in einer Verletzung des Rechts auf körperliche Unversehrtheit zu sehen wäre. Dies ist jedoch nicht der Fall. Eine Verletzung von Art. 32 DS-GVO ist generell vom Schutzbereich des Art. 82 DS-GVO umfasst. Verletzung von Art. 25 DS-GVO ist nicht vom Schutzbereich des Art. 82 DS-GVO umfasst und kann daher keine Schadensersatzansprüche auslösen. Die vorgerichtlichen Rechtsanwaltskosten sind Teil des gem. Art. 82 Abs. 1 DS-GVO zu ersetzenden Schadens.

LG Köln Urt. v. 24.5.2023 – 28 O 198/22

0 EUR Dem Kl. steht kein Anspruch auf Ersatz immateriellen Schadens gegen die Bekl. nach Art. 82 Abs.1 DS-GVO zu. Dabei kann offen bleiben, ob der Bekl. Verstöße gegen die DS-GVO iSd Art. 82 Abs. 1 DS-GVO vorzuwerfen sind, denn der Kl. hat diesbezüglich jedoch nicht vorgetragen, dass ihm ein Schaden entstanden ist. Nach der zu dieser Frage ergangenen Entscheidung des EuGH (Urt. v. 4.5.2023 – C-300/21 [= ZD 2023, 446 mAnm Mekat/Ligocki] – Österreichische Post) gilt Folgendes: Art. 82 Abs. 1 DS-GVO ist dahin auszulegen, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadenersatzanspruch zu begründen. Vielmehr muss der Kl. einen konkreten immateriellen oder materiellen Schaden darlegen und beweisen. Die nationalen Gerichte haben bei der Festsetzung der Höhe des Schadenersatzes die innerstaatlichen Vorschriften der einzelnen Mitgliedstaaten über den Umfang der finanziellen Entschädigung anzuwenden, sofern die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität beachtet werden. Einen über bloßen Ärger bzw. bloßes Unwohlsein hinausgehenden Schaden hat der Kl. jedoch nicht dargelegt, und ein solcher ist auch nicht ersichtlich. Soweit der Kl. vorträgt, er habe einen erheblichen Kontrollverlust über seine Daten erlitten und verbleibe in einem Zustand des Unwohlseins und der Sorge über möglichen Missbrauch seiner Daten, was zu verstärktem Misstrauen bzgl. E-­Mails und Kontaktversuchen etwa durch Anrufe oder SMS führe, wird dies damit begründet, dass der Kl., der seine Telefonnummer stets bewusst und zielgerichtet weitergebe und diese nicht wahl- und grundlos der Öffentlichkeit zugänglich mache, seit dem Vorfall Anrufe mit Vorwahlen aus afrikanischen oder "zT" osteuropäischen Ländern erhalten habe und bei dem Versuch, diese Anrufer zu erreichen, immer auf einem Anrufbeantworter "gelandet" sei.

LG Dortmund Urt. v. 22.5.2023 – 24 O 20/23 = ZD 2023, 772 (Ls.)

0 EUR Ein Anspruch des Kl. auf Zahlung eines immateriellen Schadensersatzes ergibt sich nicht aus Art. 82 Abs. 1 DS-GVO. Ein Verstoß gegen die Bestimmungen der DS-GVO liegt hingegen nicht vor, sodass auch offenbleiben kann, ob die Art. 13141524253234 DS-GVO in den Schutzbereich des Art. 82 DS-GVO fallen. IÜ mangelt es an einem ersatzfähigen Schaden des Kl. iSd Art. 82 Abs. 1 DS-GVO. Der Eintritt des Schadens muss dabei iSd § 287 ZPO als überwiegend wahrscheinlich dargetan werden. Dabei kann dahinstehen, wie der Schadensbegriff des Art. 82 Abs. 1 DS-GVO konkret zu verstehen ist. Denn es ist es dem Kl. bereits nicht gelungen, jedweden Ansatzpunkt für einen ersatzfähigen Schaden hinreichend konkret darzulegen.

LG Stuttgart Urt. v. 17.5.2023 – 8 O 38/23

400 EUR Dem Kl. steht gegen die Bekl. ein Anspruch auf Schadensersatz gem. Art. 82 Abs. 1 DS-GVO zu. Die Anspruchsvoraussetzungen des Art. 82 Abs. 1 DS-GVO sind vorliegend erfüllt. Die Bekl. hat jedenfalls gegen Art. 25 Abs. 2 DS-GVO sowie Art. 13 Abs. 1 lit. c DS-GVO verstoßen. Der Kl. ist ein immaterieller Schaden entstanden, für welchen die Verstöße gegen die DS-GVO kausal waren. Die Bekl. kann sich hinsichtlich der genannten Verstöße gegen die DS-GVO nicht exkulpieren, ein Mitverschulden muss sich die Klagepartei nicht anrechnen lassen. Der immaterielle Schadensersatzanspruch ist im vorliegenden Fall mit 400 EUR zu bemessen. Grund und damit unabdingbare Voraussetzung der Haftung ist eine Pflichtverletzung, wenngleich es auf einen Schutznormcharakter der verletzten Vorschrift nicht ankommt, der Begriff der Pflichtverletzung also denkbar weit gefasst ist und letztlich jede Verletzung materieller oder formeller Bestimmungen der Verordnung einschließt. Ein Verstoß gegen Art. 25 Abs. 2 DS-GVO vermag iVm Art. 82 Abs. DS-GVO einen Schadensersatzanspruch begründen. Die Gegenauffassung, nach der ein auf Art. 25 Abs. 2 DS-GVO gestützter Schadensersatzanspruch wegen seines organisatorischen Charakters nicht in Betracht kommt, vermag nicht zu überzeugen. Art. 82 Abs. 1 DS-GVO setzt schlicht einen Verstoß gegen die DS-GVO voraus, der vorliegend zu bejahen ist. Dass Art. 25 Abs. 2 DS-GVO bereits vor dem eigentlichen Beginn der Datenverarbeitung ihren Regelungscharakter entfaltet, ändert daran nichts. Haftungsbegründend kann eine Datenverarbeitung nämlich auch dann sein, wenn bei dem eigentlichen Verarbeitungsvorgang vor- oder nachgelagerte Pflichten verletzt werden. Auch solcherlei Pflichtverstöße können eine Schadensersatzpflicht begründen, wenn diese im Zusammenhang mit einer Datenverarbeitung stehen – und dies letztlich zu einem Schaden auf Seiten der betroffenen Person geführt hat. Vielmehr kann aus der Verletzung der sich aus Art. 25 DS-GVO ergebenden Pflichten eine Erhöhung der Gefahr eines Schadens resultieren, was vorliegend ohne weiteres ersichtlich ist: Denn hätten die Voreinstellung den Anforderungen von Art. 25 Abs. 2 DS-GVO entsprochen, wäre ein Abgreifen der Mobiltelefonnummer des Kl. so, wie letztlich geschehen, nicht ohne weiteres möglich gewesen. Eine Beschränkung von Art. 82 DS-GVO auf unmittelbar mit der tatsächlichen Datenverarbeitung im Zusammenhang stehende Pflichten nach der DS-GVO vermag daher nicht zu überzeugen. Der Begriff des Schadens ist gem. Erwägungsgrund 146 S. 3 DS-GVO weit und unter Berücksichtigung der Ziele der DS-GVO auszulegen. Er erfasst sowohl materielle als auch immaterielle Schäden. Der Anspruch soll „einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten“ (vgl. Erwägungsgrund 146 S. 6), der Schadensersatz soll – gerade vor dem Hintergrund des Auslegungsziels des effet utile – abschrecken und weitere Verstöße unattraktiv machen. Da der Schadensbegriff des Art. 82 DS-GVO europarechtlich-autonom auszulegen ist, kommt es iÜ auch nicht darauf an, ob bestimmte Schadenspositionen im nationalen Recht nicht als Schaden angesehen werden. Vor diesem Hintergrund kann der Schaden bereits in der Ungewissheit bestehen, ob personenbezogene Daten an Unbefugte gelangt sind. Da die Daten des Kl. vorliegend unstreitig an Dritte gelangt sind, ein Kontrollverlust also konkret eingetreten ist, ist ein Schaden iSv Art. 82 DS-GVO zweifellos gegeben. Die festgestellten Verstöße gegen die DS-GVO sind kausal für den bei dem Kl. entstandenen Schaden. Der Verantwortliche haftet nach Art. 82 DS-GVO nur für kausal durch die rechtswidrige Verarbeitung verursachte Schäden, eine Mitursächlichkeit des Verstoßes genügt jedoch. Die Bekl. kann sich hinsichtlich der festgestellten Verstöße auch nicht nach Art. 82 Abs. 3 DS-GVO exkulpieren. Insofern kann dahinstehen, ob überhaupt ein Verschulden erforderlich ist bzw. ob die Haftung nach Art. 82 DS-GVO zur Sicherstellung eines möglichst wirksamen Schadensersatzes als Gefährdungshaftung gestaltet ist. Denn der Bekl. ist bereits nach ihrem eigenen Vorbringen eine Entlastung, hinsichtlich derer ihr die Darlegungs- und Beweislast obliegt, nicht gelungen. Denn dies wäre nur dann der Fall, wenn sie sämtliche Sorgfaltsanforderungen erfüllt hat und ihr nicht die geringste Fahrlässigkeit vorzuwerfen ist. Die Kl. muss sich auch kein Mitverschulden nach § 254 Abs. 1 BGB anrechnen lassen, weil er die Datenschutzeinstellungen seines Facebook-Profils nicht rechtzeitig geändert und dadurch auch den Zugriff der Daten-Scraper mit ermöglicht hat. Insoweit kann dahinstehen, ob ein Mitverschulden des Geschädigten iRv Art. 82 DS-GVO überhaupt zu berücksichtigen ist. Denn jedenfalls würde ein etwaiges Mitverschulden des Kl. (§ 254 BGB) hinter die Verstöße der Bekl. zurücktreten. Bei der Schadensbemessung ist der Ausgleichs- und Genugtuungsfunktion sowie der generalpräventiven Funktion des immateriellen Schadensersatzes Rechnung zu tragen. Zum einen ist – mit Blick auf den generalpräventiven Auftrag des Art. 82 DS-GVO – vorliegend zu berücksichtigen, dass die Art und Weise der Datenerhebung durch die Bekl. systematisch gegen die Vorgaben der DS-GVO verstößt, um damit Sinn und Zweck der von ihr betriebenen Facebook-Plattform zu fördern. Zuletzt unstreitig kam es bei der Kl. zu einem Abgreifen personenbezogener Daten und einem hiermit einhergehenden Kontrollverlust, der weitere Beeinträchtigungen durch unerwünschte Spam-Anrufe und sonstige Kontaktversuche befürchten lässt, zumal sich die abgegriffenen Daten nicht löschen lassen und diese daher potentiell dauerhaft verfügbar sind. Zudem konnte Kl. im Rahmen seiner persönlichen Anhörung zur Überzeugung des Gerichtes glaubhaft darlegen, dass er in Folge dieses Datenverlustes für einen Zeitraum von ungefähr drei Monaten unerwünschte – und unangenehme – Anrufe im Zwei-Wochen-Takt gab, zudem weiterhin Spam-Nachrichten, vereinzelte Anrufe sowie unerwünschte E-­Mails, die jedoch von dem Kl. als nicht übermäßig störend, vielmehr als „normal“ wahrgenommen werden und daher nicht besonders ins Gewicht fallen. Andererseits ist auch der Umfang der bei dem Kl. abgegriffenen Daten zu berücksichtigen, der im Grunde für den Kl. noch überschaubar ist. In der Gesamtabwägung erscheint daher ein Schadensersatz in Höhe von 400 EUR angemessen. Der Anspruch auf vorgerichtliche Rechtsanwaltskosten folgt aus Art. 82 Abs. 1 DS-GVO.

LG Stuttgart Urt. v. 17.5.2023 – 8 O 16/23

800 EUR Dem Kl. steht gegen die Bekl. ein Anspruch auf Schadensersatz gem. Art. 82 Abs. 1 DS-GVO zu. Die Anspruchsvoraussetzungen des Art. 82 Abs. 1 DS-GVO sind vorliegend erfüllt. Die Bekl. hat jedenfalls gegen Art. 25 Abs. 2 DS-GVO sowie Art. 13 Abs. 1 lit. c DS-GVO verstoßen. Der Kl. ist ein immaterieller Schaden entstanden, für welchen die Verstöße gegen die DS-GVO kausal waren. Die Bekl. kann sich hinsichtlich der genannten Verstöße gegen die DS-GVO nicht exkulpieren, ein Mitverschulden muss sich die Kl. nicht anrechnen lassen. Der immaterielle Schadensersatzanspruch ist im vorliegenden Fall mit 800 EUR zu bemessen. Grund und damit unabdingbare Voraussetzung der Haftung ist eine Pflichtverletzung, wenngleich es auf einen Schutznormcharakter der verletzten Vorschrift nicht ankommt, der Begriff der Pflichtverletzung also denkbar weit gefasst ist und letztlich jede Verletzung materieller oder formeller Bestimmungen der Verordnung einschließt. Der Kl. ist zudem als weitere Tatbestandsvoraussetzung ein Schaden iSv Art. 82 DS-GVO entstanden. Die Bekl. kann sich hinsichtlich der festgestellten Verstöße auch nicht nach Art. 82 Abs. 3 DS-GVO exkulpieren. Insofern kann dahinstehen, ob überhaupt ein Verschulden erforderlich ist bzw. ob die Haftung nach Art. 82 DS-GVO zur Sicherstellung eines möglichst wirksamen Schadensersatzes als Gefährdungshaftung gestaltet ist. Denn der Bekl. ist bereits nach ihrem eigenen Vorbringen eine Entlastung, hinsichtlich derer ihr die Darlegungs- und Beweislast obliegt, nicht gelungen. Denn dies wäre nur dann der Fall, wenn sie sämtliche Sorgfaltsanforderungen erfüllt hat und ihr nicht die geringste Fahrlässigkeit vorzuwerfen ist. Dies ist vorliegend indes nicht der Fall. Die Kl. muss sich auch kein Mitverschulden nach § 254 Abs. 1 BGB anrechnen lassen, weil er die Datenschutzeinstellungen seines Facebook-Profils nicht geändert und dadurch auch den Zugriff der Daten-Scraper mit ermöglicht hat. Insoweit kann dahinstehen, ob ein Mitverschulden des Geschädigten iRv Art. 82 DS-GVO überhaupt zu berücksichtigen ist. Bei der Schadensbemessung ist der Ausgleichs- und Genugtuungsfunktion sowie der generalpräventiven Funktion des immateriellen Schadensersatzes Rechnung zu tragen. Es ist nicht ausgeschlossen, dass der Kl. künftig infolge der Verstöße der Bekl. gegen die DS-GVO auch materielle Schäden erleidet.

LG Chemnitz Urt. v. 16.5.2023 – 1 O 757/22

250 EUR Scraping-Sachverhalt. Wie LG Chemnitz Urt. v. 19.6.2023 – 1 O 746/22.

LG Trier Urt. v. 16.5.2023 – 3 O 137/23

400 EUR Scraping-Sachverhalt.

LG Regensburg Endurt. v. 11.5.2023 – 72 O 1413/22 KOIN = ZD 2023, 638 (Ls.)

0 EUR Die Kl. hat insb. keinen Anspruch auf Ersatz immaterieller Schäden gem. Art. 82 Abs. 1 DS-GVO. Es liegt kein Verstoß gegen die DS-GVO vor. Ein Verstoß gegen Art. 5 Abs. 1 lit. a DS-GVO liegt nicht vor. Zudem liegt auch kein Verstoß gegen Art. 32 DS-GVO bzw. Art. 5 Abs. 1 lit. f DS-GVO vor. Ob die Bekl. gegen die Vorgaben des Art. 25 DS-GVO verstoßen hat, kann dahinstehen. Denn selbst ein unterstellter Verstoß führte nicht zu einem Schadensersatzanspruch nach Art. 82 DS-GVO. Die Vorschrift entfaltet bereits vor dem eigentlichen Beginn der Datenverarbeitung ihren Regelungscharakter. Zu diesem, einer tatsächlichen Datenverarbeitung vorgelagerten Zeitpunkt entfaltet die DS-GVO jedoch nach Art. 2 Abs. 1 DS-GVO noch keine Wirkung. Die Anwendbarkeit der DS-GVO setzt vielmehr eine tatsächliche Verarbeitung personenbezogener Daten voraus. Ein Anspruch aus Art. 82 DS-GVO kommt daher nur in Betracht, wenn weitere Verstöße gegen die DS-GVO vorliegen. Zudem besteht kein Schadenersatzanspruch infolge eines etwaigen Verstoßes gegen Art. 33 DS-GVO. Zwar wird nicht verkannt, dass ein derartiger Verstoß grds. eine Schadensersatzpflicht gem. Art. 82 DS-GVO begründen kann. Dessen ungeachtet fehlt es jedenfalls an der erforderlichen Kausalität zwischen Rechtsverstoß und Schaden. Für den vom Kl. vorgetragenen Schaden ist es ohne Relevanz, ob der Scraping-Vorfall pflichtgemäß gemeldet wurde oder nicht. Die Daten waren ohnehin schon durch Dritte gesammelt worden und es sind keine Anhaltspunkte ersichtlich, dass aufgrund der Meldung an die Aufsichtsbehörde die Folgen irgendwie hätten reduziert werden können. Auch eine etwaige Verletzung der Auskunftspflicht (vgl. Art. 15 DS-GVO) in Bezug auf das Auskunftsersuchen der Kl. vermag keinen Anspruch der Kl. aus Art. 82 DS-GVO zu begründen. Ungeachtet eines etwaigen Verstoßes gegen die DS-GVO fehlt es jedenfalls (auch) an einem ersatzfähigen Schaden iSd Art. 82 Abs. 1 DS-GVO. Für den immateriellen Schadensersatz gelten dabei die iRv § 253 BGB entwickelten Grundsätze; die Ermittlung obliegt dem Gericht nach § 287 ZPO. Es können für die Bemessung die Kriterien des Art. 83 Abs. 2 DS-GVO herangezogen werden, zB die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie die betroffenen Kategorien personenbezogener Daten. Zu berücksichtigen ist auch, dass die beabsichtigte abschreckende Wirkung nur durch für den Anspruchsverpflichtenden empfindliche Schmerzensgelder erreicht wird, insbesondere wenn eine Kommerzialisierung fehlt. Ein genereller Ausschluss von Bagatellfällen ist damit nicht zu vereinbaren. Die Pflicht zur Erstattung immaterieller Schäden ist daher nicht auf schwere Schäden beschränkt. Bestätigt wurde dies jüngst durch eine Entscheidung des EuGH, wonach der Ersatz eines immateriellen Schadens iSd Art. 82 Abs. 1 DS-GVO nicht davon abhängig gemacht werden kann, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat. Ein genereller Ausschluss von Bagatellschäden ist im Lichte der Erwägungsgründe nicht vertretbar. Allein eine etwaige Verletzung des Datenschutzrechts als solche begründete allerdings nicht bereits für sich gesehen einen Schadensersatzanspruch für betroffene Personen. Die Verletzungshandlung muss in jedem Fall auch zu einer konkreten Verletzung von Persönlichkeitsrechten der betroffenen Personen geführt haben. Die Verletzung der Vorschriften der DS-GVO ist nicht mit einem Schadenseintritt gleichzusetzen. Es ist zwar keine schwere Verletzung des Persönlichkeitsrechts erforderlich. Andererseits ist aber auch weiterhin nicht für jede im Grunde nicht spürbare Beeinträchtigung bzw. für jede bloß individuelle empfundene Unannehmlichkeit ein Schmerzensgeld zu gewähren. Vielmehr muss dem Betroffenen ein spürbarer Nachteil entstanden sein und es muss um eine objektiv nachvollziehbare, tatsächlich erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen gehen. Diese Grundsätze erfuhren jüngst Bestätigung durch eine Entscheidung des EuGH; danach reicht der bloße Verstoß gegen Bestimmungen der DS-GVO nicht aus, um einen Schadensersatzanspruch zu begründen. Denn die gesonderte Erwähnung eines „Schadens“ und eines „Verstoßes“ in Art. 82 Abs. 1 DS-GVO wäre überflüssig, wenn der Gesetzgeber davon ausgegangen wäre, dass ein Verstoß gegen die Bestimmungen der DS-GVO für sich allein in jedem Fall ausreichend wäre, um einen Schadenersatzanspruch zu begründen. Ferner kann im Ergebnis dahinstehen, ob neben Art. 82 Abs. 1 DS-GVO auch nationales Recht anwendbar ist, oder das nationale Recht von den europarechtlichen Vorschriften der DS-GVO verdrängt wird.

LG Regensburg Urt. v. 11.5.2023 – 72 O 731/22 KOIN

0 EUR Die Kl. hat keinen Anspruch auf Ersatz immaterieller Schäden gem. Art. 82 Abs. 1 DS-GVO. Allerdings liegt schon kein Verstoß gegen die DS-GVO vor. Ob die Bekl. gegen die Vorgaben des Art. 25 DS-GVO verstoßen hat, kann dahinstehen. Denn selbst ein unterstellter Verstoß führte nicht zu einem Schadensersatzanspruch nach Art. 82 DS-GVO. Zudem besteht kein Schadenersatzanspruch infolge eines etwaigen Verstoßes gegen Art. 33 DS-GVO. Zwar wird nicht verkannt, dass ein derartiger Verstoß grds. eine Schadensersatzpflicht gem. Art. 82 DS-GVO begründen kann. Auch eine etwaige Verletzung der Auskunftspflicht (vgl. Art. 15 DS-GVO) in Bezug auf das Auskunftsersuchen der Kl. vermag keinen Anspruch der Kl. aus Art. 82 DS-GVO zu begründen. Denn selbst eine unterstellte Auskunftspflichtverletzung konnte schon in zeitlicher Hinsicht nicht für den Scrapingvorfall und damit auch nicht für die behaupteten, dadurch verursachten Beeinträchtigungen der Kl. kausal werden. Ungeachtet eines etwaigen Verstoßes gegen die DS-GVO fehlt es jedenfalls (auch) an einem ersatzfähigen Schaden iSd Art. 82 Abs. 1 DS-GVO. Für den immateriellen Schadensersatz gelten dabei die iRv § 253 BGB entwickelten Grundsätze; die Ermittlung obliegt dem Gericht nach § 287 ZPO. Bemessungskriterien werden dargestellt. Als Schaden iSd DS-GVO kann nicht das vom Kl. behauptete erhöhte Spam-SMS-Aufkommen gewertet werden.

LG Stuttgart Urt. v. 11.5.2023 – 15 O 148/22

500 EUR Scraping-Sachverhalt.

LG Stuttgart Urt. v. 11.5.2023 – 15 O 149/22

500 EUR Scraping-Sachverhalt.

LG Bückeburg Urt. v. 10.5.2023 – 1 O 84/22 = ZD 2024, 118 (Ls.)

0 EUR Dem Kl. steht gegen die Bekl. kein Anspruch auf Ersatz immateriellen Schadens aus Art. 82 DS-GVO zu. Ein Pflichtverstoß der Bekl. ist nicht ersichtlich. Voraussetzung für einen Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO ist, dass der Schaden durch eine nicht der DS-GVO entsprechende Verarbeitung verursacht wurde. Ein Verstoß gegen Art. 25 Abs. 2 DS-GVO ist vom Anwendungsbereich des Art. 82 Abs. 1 DS-GVO nicht erfasst. Denn die Norm stellt in erster Linie eine organisatorische Verpflichtung der Verantwortlichen dar; als bloße Verfahrensvorschrift ist die Einhaltung daher keine Voraussetzung für die Rechtmäßigkeit eines Verarbeitungsvorgangs. Gleiches gilt für die Art. 1314 und Art. 3334 der DS-GVO. Diese begründen Informationspflichten ggü. betroffenen Personen bzw. begründen Pflicht zur Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde (Art. 33 DS-GVO) bzw. die Pflicht zur Benachrichtigung der betroffenen Person (Art. 34 DS-GVO). Die Erteilung von Informationen über die Verarbeitung personenbezogener Daten, die Benachrichtigung über eine Verletzung des Schutzes personenbezogener Daten ggü. Nutzern und die Erteilung eine beantragte Auskunft sind aber keine Verarbeitungen iSv Art. 4 Ziff. 2 DS-GVO. Ein etwaiger Verstoß gegen diese Normen führt nicht zu einem Schadensersatzanspruch gem. Art. 82 Abs. 1 DS-GVO. Es ist auch kein Verstoß der Bekl. gegen das in Art. 2425 Abs. 2 DS-GVO verankerte Prinzip „Privacy by default“ gegeben. Jedenfalls fehlt es an der Darlegung eines immateriellen Schadens. Denn ein Datenschutzverstoß als solcher reicht für das Entstehen eines Schadensersatzanspruchs nach Art. 82 Abs. 1 DS-GVO nicht aus. Es bedarf darüber hinaus der Darlegung und des Nachweises eines konkreten – auch immateriellen – Schadens. Das folgt bereits aus dem Wortlaut der Vorschrift, die zwischen Verstoß und wegen des Verstoßes entstandenem Schaden differenziert Die Verletzungshandlung muss in jedem Fall auch zu einer konkreten, nicht nur völlig unbedeutenden oder empfundenen Verletzung von Persönlichkeitsrechten der betroffenen Personen geführt haben.

LG Frankfurt/Main Beschl. v. 10.5.2023 – 2-13 T 33/23 = ZD 2024, 413

0 EUR Der Anspruch nach Art. 82 DS-GVO ist individueller Natur und daher von dem Beeinträchtigten geltend zu machen und nicht von der Gemeinschaft.

LG Bonn Urt. v. 10.5.2023 – 3 O 201/22 = ZD 2023, 635 (Ls.)

0 EUR Der Kl. hat gegen die Bekl. keinen Anspruch auf Zahlung eines Schmerzensgeldes. Ein solcher Anspruch ergibt sich insb. nicht aus Art. 82 Abs. 1 DS-GVO. Insoweit bedurfte es keiner Entscheidung darüber, ob der Anwendungsbereich des Art. 82 DS-GVO im vorliegenden Fall eröffnet ist und ob eine Pflichtverletzung iSd Art. 82 DS-GVO durch Verstoß gegen die Vorschriften der DS-GVO (insb. Art. 32, Art. 24, Art. 25 Abs. 2, Art. 33, Art. 35, Art. 15 DS-GVO) vorliegt, da es jedenfalls an einem ersatzfähigen Schaden des Kl. fehlt. Für einen von dem Kl. geltend gemachten immateriellen Schadenersatz in Geld gelten dabei die im Zusammenhang mit § 253 Abs. 2 BGB entwickelten Grundsätze, sodass die Ermittlung des Schadens nach § 287 ZPO dem Gericht obliegt. Der Begriff des Schadens ist jedoch autonom, das heißt iRd DS-GVO nach deren Erwägungsgrund 146 S. 3 DS-GVO im Lichte der Rspr. des EuGH weit und auf eine Art und Weise auszulegen, die den Zielen der Verordnung in vollem Umfang entspricht. Schadenersatzforderungen sollen abschrecken und weitere Verstöße unattraktiv machen. Im Lichte dieser Erwägungen ist die Pflicht aus Art. 82 Abs. 1 DS-GVO zur Erstattung immaterieller Schäden entgegen § 8 Abs. 2 BDSG aF nicht nur auf schwere Verletzungen des Persönlichkeitsrechts des Betroffenen beschränkt. Gleichzeitig ist auch ein genereller Ausschluss von Bagatellschäden nicht vertretbar, da die beabsichtigte abschreckende Wirkung für den Anspruchsverpflichteten nur durch empfindliche Schmerzensgelder erreicht werden kann. Ein bloßer Datenschutzverstoß als solcher genügt für das Entstehen eines Schadenersatzanspruchs jedoch nicht, sondern es bedarf darüber hinaus der Darlegung und des Nachweises eines konkreten (auch: immateriellen) Schadens. Für das Erfordernis, neben einem Verstoß gegen die Regelungen der DS-GVO den Eintritt eines konkreten Schadens nachzuweisen, spricht dabei zunächst bereits der Wortlaut von Art. 82 Abs. 1 DS-GVO, der über den Verstoß hinaus ausdrücklich die Entstehung eines Schadens („…Schaden entstanden ist“) voraussetzt. Dies entspricht letztlich auch der Rechtsauffassung des EuGH, der in seinem Urt. v. 4.5.2023 – C-300/21 [= ZD 2023, 446 mAnm Mekat/Ligocki] – Österreichische Post, ausgeführt hat, dass Art. 82 Abs. 1 DS-GVO dahingehend auszulegen ist, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadenersatzanspruch zu begründen. Dass der EuGH in dem genannten Urteil darüber hinaus festgestellt hat, dass Art. 82 Abs. 1 DS-GVO dahin auszulegen ist, dass er einer nationalen Regelung oder Praxis entgegensteht, die den Ersatz eines immateriellen Schadens iSd Bestimmung davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat, bedeutet – worauf der EuGH ausdrücklich hinweist – nicht, dass eine Person, die von einem Verstoß gegen die DS-GVO betroffen ist, der für sie negative Folgen gehabt hat, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden iSd Art. 82 DS-GVO darstellen. Vielmehr hat auch der EuGH darauf abgestellt, dass ein konkreter Schaden im jeweiligen Einzelfall festzustellen ist. Auf dieser Grundlage konnte das Gericht einen konkreten Schaden in Form einer spürbaren, über ein bloßes Ärgernis und/oder eine bloß individuell empfundene Unannehmlichkeit hinausgehenden Beeinträchtigung von persönlichen Belangen des Kl., die zudem nachweislich auf den streitgegenständlichen Scraping-Vorfall zurückzuführen sein müsste, nicht erkennen.

LG Lüneburg Urt. v. 9.5.2023 – 3 O 151/22

300 EUR Scraping-Sachverhalt.

LG Lüneburg Urt. v. 9.5.2023 – 3 O 119/22

300 EUR Scraping-Sachverhalt.

LG Offenburg Urt. v. 5.5.2023 – 3 O 311/22 = ZD 2024, 118 (Ls.)

0 EUR Der Kl. hat keinen Anspruch auf Zahlung eines immateriellen Schadensersatzes aus Art. 82 Abs. 1 DS-GVO oder einer anderen denkbaren Anspruchsgrundlage. Unabhängig vom Vorliegen der Anspruchsvoraussetzungen iÜ, fehlt es jedenfalls am Eintritt eines immateriellen Schadens. Das Merkmal des immateriellen Schadens ist autonom auszulegen. Erwägungsgrund 146 S. 3 DS-GVO sieht vor, dass der Begriff des Schadens im Lichte der Rspr. des EuGH weit auf eine Art und Weise ausgelegt werden soll, die den Zielen dieser Verordnung in vollem Umfang entspricht. Ein nationales Verständnis zum Begriff des Schadens – etwa eine enge Auslegung – ist mithin nicht angezeigt. Dabei ist davon auszugehen, dass der Schaden iSd Art. 82 Abs. 1 DS-GVO nicht bereits in der Verletzung der DS-GVO als solcher liegt, sondern vielmehr ein auf einem Verstoß gegen die DS-GVO beruhender Schaden darzulegen ist. Eine Erheblichkeitsschwelle für das Vorliegen eines solchen Schadens ergibt sich aus der DS-GVO nicht. Bagatellschäden sind daher nicht auszuschließen. Zu verlangen ist aber jedenfalls, dass ein konkreter immaterieller Schaden auch tatsächlich eingetreten („entstanden“) ist.

LG Ulm Urt. v. 4.5.2023 – 4 O 115/22

350 EUR Scraping-Sachverhalt.

LG Kiel Urt. v. 4.5.2023 – 6 O 314/22 = ZD 2023, 640 (Ls.)

0 EUR Ein Anspruch des Kl. auf Zahlung eines immateriellen Schadensersatzes ergibt sich nicht aus Art. 82 Abs. 1 DS-GVO. Ein Verstoß gegen die Bestimmungen der DS-GVO liegt nicht vor, sodass auch offenbleiben kann, ob die Artt. 13141524253234 DS-GVO in den Schutzbereich des Art. 82 DS-GVO fallen. IÜ mangelt es an einem ersatzfähigen Schaden des Kl. iSd Art. 82 Abs. 1 DS-GVO. Der Eintritt des Schadens muss dabei iSd § 287 ZPO als überwiegend wahrscheinlich dargetan werden. Auch wenn der Schadensbegriff im Lichte des Erwägungsgrundes 146 S. 3 der DS-GVO weit zu verstehen ist, so ist es dem Kl. nicht gelungen, diesen unter Zugrundelegung des vorbezeichneten Maßstabs hinreichend konkret darzulegen. Der Kl. benennt zwar als immaterielle Schadenspositionen Ängste, unter denen er leide, die daraus resultierten, dass er einen erheblichen Kontrollverlust über seine Daten erlitten habe und deshalb großem Unwohlsein und Sorgen in Bezug auf einen potentiellen Missbrauch seiner Daten durch Dritte ausgesetzt sei. Zudem sei es seit dem Scraping-Vorfall zu einem Anstieg an offenkundigen Betrugsversuchen in Form von Phishing-Mails und Anrufen gekommen. Das Gericht kann nicht mit hinreichender Wahrscheinlichkeit davon ausgehen, dass der Kl. unter den in der Klageschrift beschriebenen Ängsten und Sorgen tatsachlich leidet.

LG Paderborn Urt. v. 2.5.2023 – 2 O 406/22

500 EUR Scraping-Sachverhalt.

LG Augsburg Urt. v. 2.5.2023 – 031 O 1709/22 = ZD 2023, 639 (Ls.)

0 EUR Dem Kl. steht gegen die Bekl. kein Anspruch auf Zahlung eines immateriellen Schadensersatzes zu. Es fehlt auf der Grundlage des klägerischen Vorbringens bereits an einem Verstoß gegen die Bestimmungen der DS-GVO. Ein Verstoß gegen die Transparenzpflichten aus Artt. 5 Abs. 1 lit. a, 1314 DS-GVO liegt nicht vor. Es liegt auch kein Verstoß gegen die Datenschutzpflichten aus Artt. 5 Abs. 1 lit. f, 32 DS-GVO vor. Die Bekl. hat auch nicht gegen die Pflicht zu datenschutzfreundlichen Voreinstellungen gem. Art. 25 Abs. 12 DS-GVO verstoßen. Schließlich ist der Bekl. kein Verstoß gegen die Meldepflicht nach Art. 33 DS-GVO vorzuwerfen, da es schon an einem meldepflichtigen Verstoß gegen die DS-GVO fehlt. Endlich liegt auch kein Verstoß gegen die Auskunftspflicht der Bekl. nach Art. 15 DS-GVO vor. Es fehlt ferner an einem immateriellen Schaden des Kl. Zu den Anspruchsvoraussetzungen des Art. 82 Abs. 1 DS-GVO zählt neben dem Verstoß gegen die DS-GVO auch der Eintritt eines immateriellen Schadens. Hinsichtlich eines möglichen künftigen Missbrauchs personenbezogener Daten wird ein immaterieller Schaden aber nur dann zu begründen sein, wenn es sich um einen realen und sicheren emotionalen Schaden handelt und nicht nur um ein Ärgernis oder eine Unannehmlichkeit.

LG Konstanz Urt. v. 28.4.2023 – D 6 O 98/22 = ZD 2023, 636 (Ls.)

0 EUR Dem Kl. steht gegen die Bekl. unter keinen rechtlichen Gesichtspunkten ein Schadensersatzanspruch gerichtete auf die Erstattung immateriellen Schadens zu. Ob vorliegend der sachliche Anwendungsbereich des Art. 82 Abs. 1 DS-GVO für klägerseits behaupteten Verletzungen der DS-GVO durch die Bekl. eröffnet ist und ob in diesem Falle der Bekl. zudem ein Verstoß gegen die DS-GVO anzulasten wäre, kann vorliegend dahinstehen, denn der Kl. konnte nicht nachweisen, dass ihm auch bei unterstellten Verstößen der Bekl. gegen die DS-GVO hieraus resultierend ein Schaden entstanden ist. Es fehlt bereits am Eintritt eines ersatzfähigen Schadens des Kl. iSd Art. 82 Abs. 1 DS-GVO. Nach den Erwägungsgründen der europäischen Grundrechtscharta ist der Schadensbegriff weit auszulegen. Schadenersatzforderungen sollen abschrecken und weitere Verstöße unattraktiv machen. Darüber hinaus sollen die betroffenen Personen einen vollständigen und wirksame Kompensation für den erlittenen Schaden erhalten. Zwar ist nach der DS-GVO im Vergleich zum alten Recht eine schwere Verletzung des Persönlichkeitsrechts nicht mehr erforderlich und auch der EuGH erteilt in seinem aktuellen Urt. v. 4.5.2023 – C-300/21 [= ZD 2023, 446 mAnm Mekat/Ligocki] – Österreichische Post der teilweise vertretenen Ansicht, dass Bagatellschäden per se nicht ausgleichspflichtig sind und eine Erheblichkeitsschwelle überschritten sein müsse, eine Absage. Gleichwohl vermag aber allein eine Verletzung des Datenschutzrechts als solche nicht bereits aus generalpräventiven Gründen für sich gesehen einen Schadensersatzanspruch für betroffene Personen rechtfertigen. Die Verletzungshandlung muss in jedem Fall auch zu einer konkret erlittenen, nicht nur empfundenen Verletzung von Persönlichkeitsrechten der betroffenen Personen geführt haben. Verletzung und Schaden sind insoweit nicht gleichzusetzen. Vielmehr geht bereits aus dem Wortlaut der Bestimmung klar hervor, dass das Vorliegen eines „Schadens“ eine der Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadenersatzanspruch darstellt, ebenso wie das Vorliegen eines Verstoßes gegen die DS-GVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind. Hiernach muss dem Betroffenen ein spürbarer Nachteil tatsächlich entstanden sein und es muss um eine objektiv nachvollziehbare Beeinträchtigung von persönlichkeitsbezogenen Belangen gehen. Das Datenschutzrecht schützt zwar per se ein subjektives Recht, das einen starken Bezug zum persönlichen Empfinden des Einzelnen hat. Dennoch ist Art. 82 nicht so auszulegen, dass die Norm einen Schadensersatzanspruch bereits bei jeder individuell empfundenen Unannehmlichkeit ohne ernsthafte Beeinträchtigung für das Selbstbild oder Ansehen einer Person begründet. Gemessen an diesen Grundsätzen hat der Kl. schon keine spürbare Beeinträchtigung von persönlichen Belangen dargelegt. Würde der konkrete Nachweis einer möglichen Betroffenheit genügen, um eine Haftung zu begründen, käme dies einem sog. Strafschadensersatz („punitiv damage“) gleich, der im Haftungssystem des Art. 82 DS-GVO keine Grundlage findet. Vielmehr sind die Ausgleichsfunktion des Art. 82 DS-GVO und die Sanktionsfunktion des Art. 83 DS-GVO, der es Aufsichtsbehörden erlaubt, Bußgelder zu verhängen, strikt voneinander zu trennende Mittel für die Gewährleistung eines effektiven Datenschutzes. Letztlich konnte der Kl. seiner Darlegungs- und Beweislast in Bezug auf das Kausalitätserfordernis nicht nachkommen.

LG Detmold Urt. v. 28.4.2023 – 02 O 184/22 = ZD 2023, 638 (Ls.)

0 EUR Ein Anspruch aus Art. 82 Abs. 1 DS-GVO kommt nicht in Betracht. Aus Sicht der Kammer mangelt es bereits an einem Verstoß gegen die DS-GVO wie auch an einem bei dem Kl. eingetretenen Schaden. Auch der Anwendungsbereich der DS-GVO ist aus Sicht der Kammer nicht für jeden der geltend gemachten Verstöße eröffnet. Es liegt kein Verstoß gegen Art. 5 Abs. 1 lit. f DS-GVO vor, da die Bekl. nicht gegen die sie treffende Obliegenheit, personenbezogene Daten vor unbefugter oder unrechtmäßiger Verarbeitung zu schützen, verstoßen hat. Ein Verstoß gegen Art. 2432 DS-GVO ist ebenso nicht gegeben. Nach Auffassung der Kammer liegt auch kein Verstoß gegen Art. 25 DS-GVO vor. Soweit der Kl. der Bekl. weitere Verstöße gegen die DS-GVO vorwirft, nämlich ungenügende Information und Aufklärung über die Verarbeitung der sie betreffenden Daten durch ungenügende Aufklärung zur Verwendung und Geheimhaltung der Telefonnummer (Art. 5 Abs. 1 lit. a), einen unmittelbaren Verstoß gegen Art. 1314 DS-GVO, die konkrete Informationspflichten enthalten, die seitens der Bekl. nicht eingehalten worden seien, unvollständige Auskunftserteilung nach Art. 15 DS-GVO, da nicht mitgeteilt worden sei, welchen Empfängern ihre Daten zugänglich gemacht worden seien (Art. 3334 DS-GVO), sind solche Verstöße bereits weder vom Schutzzweck des Art. 82 DS-GVO noch von dessen sachlichen Anwendungsbereich umfasst. Art. 82 Abs. 1 DS-GVO erfasst nur solche Pflichtverstöße, die iRe „Verarbeitung“ geschehen, was sich aus dem Wortlaut des Art. 82 Abs. 2 DS-GVO ergibt („durch eine nicht dieser Verordnung entsprechende Verarbeitung“). IÜ fehlt es auch an einem Schaden iSv Art. 82 Abs. 1 DS-GVO. Anders als der Kl. meint, genügt nicht allein der Verstoß gegen die DS-GVO, um einen Ausgleich / eine Kompensation verlangen zu können. Dies widerspricht dem Schadensrecht, unabhängig vom Wortlaut des Art. 82 Abs. 1 DS-GVO. Ein Schadens- und auch Schmerzensgeldanspruch setzt stets einen immateriellen oder materiellen Schaden voraus. Dies lässt sich nach Auffassung der Kammer auch dem Wortlaut des Art. 82 Abs. 1 DS-GVO entnehmen, wonach sowohl ein Verstoß gegen diese (DS-GVO) Verordnung nötig ist, als auch ein daraus resultierender materieller oder immaterieller Schaden. Die Verletzungshandlung muss in jedem Fall zu einer konkreten, nicht nur völlig unbedeutenden oder empfundenen Verletzung von Persönlichkeitsrechten der betroffenen Person geführt haben. Verletzung und Schaden sind nicht gleichzusetzen. Es ist nicht für jede bloß individuell empfundene Unannehmlichkeit ein Schmerzensgeld zu gewähren; vielmehr muss dem Betroffenen ein spürbarer Nachteil entstanden sein und es muss um eine objektiv nachvollziehbare, mit gewissem Gewicht erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen gehen. Allein der Kontrollverlust des Kl. über seine Daten stellt keinen Schaden dar. Seine Sorge oder Angst um die verwendeten Daten und die Befürchtung, Opfer von Betrugsfällen oder Identitätsdiebstahl zu werden, kann zwar nicht gemessen werden, ist hierfür jedoch noch nicht ausreichend. Immerhin darf nicht außer Acht gelassen werden, dass jedenfalls Name, F.-ID und Geschlecht von ihm öffentlich bekanntgegeben wurden und damit bereits nicht mehr unter seiner ausschließlichen Kontrolle standen. Letztlich ist also insoweit überhaupt nicht mehr bekannt geworden als das, was von ihm selbst bereits im Internet veröffentlicht wurde. In Bezug auf die bekannt gewordene Telefonnummer mag ein gewisser Kontrollverlust vorliegen. Ob und inwieweit jedoch der Kontrolle über die Telefonnummer überhaupt ein Wert zukommt, mag bezweifelt werden. IÜ reicht für einen Schadensersatzanspruch ein bloßes Unmutsgefühl nach Auffassung der Kammer nicht aus. Dass der Erhalt dubioser Anrufe unbekannter Nummern und der Erhalt von Spamanrufen tatsächlich auf das Bekanntwerden seiner Telefonnummer zurückzuführen sind, ist nicht zwingend. Es ist bekannt, dass unerwünschte E-­Mails, SMS und Anrufe auch Personen erhalten, die keinen F.-Account haben oder Nutzer, die dort ihre Telefonnummer nicht hinterlegt haben. Dass der Kl. seit der Veröffentlichung seiner Daten unregelmäßig unbekannte Kontaktversuche via SMS und E-­Mail erhalte, die Nachrichten mit offensichtlichen Betrugsversuchen und potenziellen Virenlinks enthalten, ist allein nicht ausreichend, um einen sicheren Zusammenhang zu dem streitgegenständlichen Datenverlust herzustellen. Es ändert auch nichts an dem Erfordernis eines Datenschutzverstoßes seitens der Bekl. als vorgelagerter Voraussetzungen für einen Anspruch auf Schadensersatz.

LG Stuttgart Urt. v. 27.4.2023 – 54 O 9/23

600 EUR Scraping-Sachverhalt.

LG München Urt. v. 20.4.2023 – 15 O 6231/22

500 EUR Scraping-Sachverhalt.

LG München Urt. v. 20.4.2023 – 15 O 4507/22

600 EUR Scraping-Sachverhalt.

NEU LG Hamburg Urt. v. 19.4.2023 – 318 O 56/22

2.000 EUR Der Kl. hat gegen die Bekl. einen Anspruch auf Ersatz seines immateriellen Schadens iHv 2.000 EUR gem. Art. 82 Abs. 1 DS-GVO. Die Bekl. hat die sich aus Art. 56 iVm Art. 4 Ziff. 2 DS-GVO ergebenden Pflichten schuldhaft verletzt, indem sie eine Datenmitteilung an die SCHUFA veranlasste, obwohl das Interesse des Kl. an einer Nichtveröffentlichung seiner Daten hinsichtlich der zwischen den Parteien in Streit stehenden Forderung dem Interesse der Bekl. an einer Mitteilung überwog. Es lag kein berechtigtes Interesse der Bekl. oder eines Dritten iSv Art. 6 Abs. 1 lit. f DS-GVO vor. Die von der Bekl. geltend gemachte Forderung war zwischen den Parteien streitig und nicht tituliert, so dass eine Einmeldung an die SCHUFA nicht hätte erfolgen dürfen. Ausweislich der Schreiben des Kl. hat der Kl. urkundlich nachgewiesen, dass er die Forderung ggü. der Bekl. hinreichend bestritten hat. Hintergrund der Nichtbegleichung der durch die Bekl. gestellten Forderungen war nicht die fehlende Bonität des Kl. Vielmehr handelte es sich um eine streitige Forderung zwischen den Parteien, weil die Forderungen nach Ansicht des Kl. mit einem illegalen Onlineglücksspiel zusammenhingen. Dem Kl. ist durch die Negativmeldung ein immaterieller Schaden iHv 2.000 EUR entstanden. Der Schadensbegriff des Art. 82 Abs. 1 DS-GVO ist ein europarechtlicher Begriff und soll nach dem Erwägungsgrund 146 DS-GVO „im Lichte der Rspr. des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht“ und „die betroffenen Personen sollten einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten“. Der immaterielle Schadensersatzanspruch nach Art. 82 DS-GVO bestimmt sich der Höhe nach unter Berücksichtigung seiner Funktion zum Ausgleich, zur Genugtuung und zur Generalprävention. Daraus kann abgeleitet werden, dass der nach Artikel 82 Abs. 1 DS-GVO bereits weite – weil Ansprüche aus § 253 BGB bereits umfassende – Schadensbegriff im Zweifel nicht begrenzend auszulegen ist. Eine nicht von den Bestimmungen der DS-GVO gedeckte Übermittlung personenbezogener Daten stellt eine Verletzung des allgemeinen Persönlichkeitsrechts dar, das als sonstiges Recht iSd § 823 Abs. 1 BGB auch negatorischen Schutz nach allgemeinen Vorschriften genießt und im Lichte der europäischen Gesetzgebung auszulegen ist. Unter Anwendung dieser Grundsätze war dem Kl. vorliegend ein Schmerzensgeld iHv 2.000 EUR zuzuerkennen. Beim Kl. liegt eine spürbare Beeinträchtigung seines durch die DS-GVO geschützten Rechts an den eigenen persönlichen Daten vor. Auf die in der Rspr. und Lit. umstrittene Frage, ob eine Verletzung von Bestimmungen der DS-GVO ausreicht sowie ob eine gewisse Erheblichkeit für die Gewährung von Schadensersatz erforderlich ist, kommt es hier nicht an. Der Kl. hat plausibel dargelegt, durch die streitgegenständlichen sukzessiven SCHUFA Eintragungen eine massive Beeinträchtigung seines sozialen Ansehens iSd Einschätzung seiner Kreditwürdigkeit und wirtschaftlichen Leistungsfähigkeit durch Dritte erlitten zu haben. Die Negativeintragungen waren dazu geeignet, den Kl. ggü. potenziellen oder bestehenden Vertragspartnern als unzuverlässigen Schuldner darzustellen. Ebenso kann vorliegend bei der Bemessung des Schmerzensgelds nicht unberücksichtigt bleiben, dass die Bekl. die Schreiben des Kl. und sein hinreichendes Bestreiten der Forderung gänzlich ignorierte und die Einträge gleichwohl und entgegen ihrer eigenen Hinweise, eine Einmeldung nicht im Falle eines Bestreitens vorzunehmen, der SCHUFA meldete. Die Bekl. hat keine Maßnahmen zur Minderung vorgenommen. Vielmehr hat sie mehrfach die Aufforderung zum Widerruf der Meldung verweigert bzw. ignoriert. Soweit der Kl. weiter einen materiellen Schaden iHv 4.771,39 EUR geltend macht, war die Klage abzuweisen. Der Kl. hat einen etwaigen kausalen materiellen Schaden nicht hinreichend substantiiert dargetan.

LG Stuttgart Urt. v. 19.4.2023 – 53 O 129/22

0 EUR Ein Anspruch des Kl. aus Art. 82 DS-GVO scheitert an einer fehlenden schadensersatzauslösenden Pflichtverletzung der Bekl. Etwaige Verstöße gegen die Pflicht zur Information und Aufklärung über die Verwendung und Geheimhaltung der Telefonnummer iSv Art. 5 Abs. 1 lit. a DS-GVO sowie gegen Informationspflichten nach Art. 13, Art. 14 DS-GVO und die behauptete unvollständige Auskunftserteilung gem. Art. 15 DS-GVO sind bereits nicht vom Schutzzweck des Art. 82 DS-GVO erfasst, da Benachrichtigungspflichten keine Verarbeitung iSd Art. 4 Abs. 2 DS-GVO darstellen. Auch werden vom Schutzbereich des Art. 82 DS-GVO Verstöße gegen Art. 34 DS-GVO nicht erfasst.

LG Limburg Urt. v. 14.4.2023 – 1 O 171/22 = ZD 2023, 119 (Ls.)

0 EUR Der Kl. hat keinen Anspruch auf immateriellen Schadenersatz. Ein Anspruch gegen die Bekl. ergibt sich weder aus Art. 82 DS-GVO noch aus sonstigen Vorschriften. Dem Kl. ist es nicht gelungen, den Eintritt eines (eigenen) Schadens als überwiegend wahrscheinlich (§ 287 ZPO) nachzuweisen. Nach dem ausdrücklichen Wortlaut der Vorschrift muss der Schaden „erlitten“ werden, woraus sich ergibt, dass dieser tatsächlich entstanden sein muss und nicht lediglich befürchtet wird. Zwar ist der Begriff des Schadens nach dem Erwägungsgrund 146 S. 3 weit auszulegen, sodass die Betroffenen einen wirksamen Ersatz bekommen; nach Auffassung der Kammer reicht jedoch ein bloßer Verstoß gegen Vorschriften der DS-GVO nicht aus, um (immateriellen) Schadensersatz verlangen zu können. Es bedarf vielmehr der Darlegung eines konkreten (auch immateriellen) Schadens. Allerdings ist es nicht erforderlich, dass der eingetretene Schaden erheblich ist; mithin sind auch Bagatellschäden ersatzfähig. Das Vorliegen eines konkreten, immateriellen Schadens, wozu auch Ängste, Sorgen, Stress sowie Komfort- und Zeiteinbußen zählen, hat der Kl. nicht hinreichend dargetan. Er hat zwar ausführen lassen, dass er einen erheblichen Kontrollverlust über seine Daten erlitten habe und deshalb unter großem Unwohlsein und Sorgen leide sowie einen Missbrauch befürchte; nach dem Datenleck seien vermehrt Spam-Nachrichten und Spam-Anrufe eingegangen. Diese Angaben sind – hierauf hat die Bekl. hingewiesen – völlig unsubstantiiert. Dass der Kl. unter den von ihm beschriebenen Ängsten und Sorgen tatsächlich leidet, ist auf dieser Grundlage nicht festzustellen.

LG Kassel Urt. v. 6.4.2023 – 10 O 851/22 = ZD 2023, 635 (Ls.)

0 EUR Dem Kl. steht gegen die Bekl. kein Anspruch auf Zahlung eines immateriellen Schadensersatzes zu. Die Bekl. ist zwar als Verantwortliche iSv Art. 4 Ziff. 7 DS-GVO anzusehen. Sie hat jedoch nicht gegen die DS-GVO verstoßen.

LG Aachen Urt. v. 6.4.2023 – 8 O 154/22 = ZD 2023, 637 (Ls.)

0 EUR Der geltend gemachte Anspruch auf immateriellen Schadensersatz ergibt sich nicht aus Art. 82 Abs. 1 DS-GVO. Zwar ist hier der räumliche und sachliche Anwendungsbereich der DS-GVO bzw. des Art. 82 Abs. 1 DS-GVO eröffnet, jedoch ergibt sich aus dem klägerischen Vorbringen weder ein Verstoß der Bekl. gegen die Vorschriften der DS-GVO noch ein konkreter Schadenseintritt auf klägerischer Seite. Nach Auffassung der Kammer ist auch der sachliche Anwendungsbereich des Art. 82 Abs. 1 DS-GVO eröffnet, auch soweit hier die Verletzung von Informationspflichten geltend gemacht und der Schmerzensgeldanspruch zumindest auch darauf gestützt wird. Aus dem Wortlaut der Vorschrift ergibt sich gerade nicht dass Art. 82 Abs. 1 DS-GVO durch Art. 82 Abs. 2 DS-GVO konkretisiert und eingeschränkt werden soll, so dass nur Pflichtverletzungen im Zusammenhang mit einer Verarbeitung von Daten den Schadensersatzanspruch auslösen könnten. Auf der Grundlage des klägerischen Vorbringens bzw. des unstreitigen Sachverhalts ist jedoch ein Verstoß der Bekl. gegen die DS-GVO nicht festzustellen. Ein Verstoß gegen Art. 5 Abs. 1 lit. a DS-GVO liegt nicht vor. Es liegt ferner kein Verstoß gegen Art. 32 DS-GVO bzw. Art. 5 Abs. 1 lit. f DS-GVO vor. Die Bekl. hat auch nicht gegen das in Art. 2425 Abs. 2 DS-GVO verankerte Prinzip „Privacy by default“ verstoßen. Die Bekl. hat auch nicht eine etwaige Pflicht gem. Art. 33 DS-GVO verletzt, der zuständigen Aufsichtsbehörde einen Datenschutzverstoß zu melden. Schließich hat die Bekl. auch nicht gegen Art. 15 DS-GVO verstoßen, indem sie der Kl. keine bzw. unvollständige Auskünfte erteilt hätte. Unabhängig davon, ob hier überhaupt ein Verstoß gegen Vorschriften der DS-GVO vorliegt, scheitert ein Anspruch aus Art. 82 Abs. 1 DS-GVO aber jedenfalls daran, dass hier kein restitutionsfähiger (immaterieller) Schaden vorliegt. Für den immateriellen Schadensersatz gelten dabei die iRv § 253 BGB entwickelten Grundsätze; die Ermittlung obliegt dem Gericht nach § 287 ZPO. Es können für die Bemessung die Kriterien des Art. 83 Abs. 2 DS-GVO herangezogen werden, zB die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie die betroffenen Kategorien personenbezogener Daten. Zu berücksichtigen ist auch, dass die beabsichtigte abschreckende Wirkung nur durch für den Anspruchsverpflichtenden empfindliche Schmerzensgelder erreicht wird, insb. wenn eine Kommerzialisierung fehlt. Ein genereller Ausschluss von Bagatellfällen ist damit nicht zu vereinbaren. Die Pflicht zur Erstattung immaterieller Schäden ist daher nicht auf schwere Schäden beschränkt. Ein genereller Ausschluss von Bagatellschäden ist im Lichte der Erwägungsgründe nicht vertretbar. Allein eine Verletzung des Datenschutzrechts als solche begründet allerdings nicht bereits für sich gesehen einen Schadensersatzanspruch für betroffene Personen. Die Verletzungshandlung muss in jedem Fall auch zu einer konkreten Verletzung von Persönlichkeitsrechten der betroffenen Personen geführt haben. Die Verletzung der Vorschriften der DS-GVO ist nicht mit einem Schadenseintritt gleichzusetzen. Es ist zwar keine schwere Verletzung des Persönlichkeitsrechts erforderlich. Andererseits ist aber auch weiterhin nicht für jede im Grunde nicht spürbare Beeinträchtigung bzw. für jede bloß individuelle empfundene Unannehmlichkeit ein Schmerzensgeld zu gewähren. Vielmehr muss dem Betroffenen ein spürbarer Nachteil entstanden sein und es muss um eine objektiv nachvollziehbare, tatsächlich erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen gehen. Die bloße Gefährdung oder Befürchtung einer Gefährdung ist für die Annahme eines Schadens iSd DS-GVO nicht ausreichend. Nach Auffassung der Kammer hat Art. 82 Abs. 1 DS-GVO zwei eigene, separate Voraussetzungen, nämlich: (1.) einen Verstoß gegen die DS-GVO und (2.) einen tatsächlich eingetretenen materiellen oder immateriellen Schaden. Läge bei jedem DS-GVO-Verstoß automatisch ein immaterieller Schaden vor, wäre der Schaden als Anspruchsvoraussetzung überflüssig. Auf die Frage des konkreten Schadens kommt es hier aber deshalb nicht entscheidungserheblich an, weil die Klage auch aus anderen Gründen ohne Erfolg bleibt, da schon kein Verstoß gegen die DS-GVO festgestellt werden kann. Es kann im Ergebnis dahinstehen, ob neben Art. 82 Abs. 1 DS-GVO auch nationales Recht anwendbar ist, oder das nationale Recht von den europarechtlichen Vorschriften der DS-GVO verdrängt wird.

LG Gießen Urt. v. 5.4.2023 – 3 O 152/22 = ZD 2023, 636 (Ls.)

0 EUR Es besteht kein Anspruch auf Zahlung eines immateriellen Schadensersatzes gem. Art. 82 Abs. 1 DS-GVO. Dem Kl. ist es nicht gelungen, den Eintritt eines (eigenen) Schadens als überwiegend wahrscheinlich (§ 287 ZPO) nachzuweisen. Nach dem ausdrücklichen Wortlaut der Vorschrift muss der Schaden „erlitten“ werden, woraus sich ergibt, dass dieser tatsächlich entstanden sein muss und nicht lediglich befürchtet wird. Zwar ist der Begriff des Schadens nach dem Erwägungsgrund 146 S. 3 weit auszulegen, sodass die Betroffenen einen wirksamen Ersatz bekommen; nach Auffassung der Kammer reicht jedoch ein bloßer Verstoß gegen Vorschriften der DS-GVO nicht aus, um (immateriellen) Schadensersatz verlangen zu können. Es bedarf vielmehr der Darlegung eines konkreten (auch immateriellen) Schadens. Allerdings ist es nicht erforderlich, dass der eingetretene Schaden erheblich ist; mithin sind auch Bagatellschäden ersatzfähig. Das Vorliegen eines konkreten, immateriellen Schadens, wozu auch Ängste, Sorgen, Stress sowie Komfort- und Zeiteinbußen zählen, hat der Kl. nicht hinreichend dargetan. Er hat zwar ausführen lassen, dass er einen erheblichen Kontrollverlust über seine Daten erlitten habe und deshalb unter großem Unwohlsein und Sorgen leide sowie einen Missbrauch befürchte. Letztlich kann die Kammer aber nicht mit hinreichender Wahrscheinlichkeit davon ausgehen, dass der Kl. unter den von ihm beschriebenen Ängsten und Sorgen tatsächlich leidet. Dagegen spricht bereits der Umstand, dass es sich bei den gescrapten Daten des Kl. – mit Ausnahme der Mobilfunknummer – um Daten handelt, die immer auf der …-Seite öffentlich sind. Es ist diesen Daten immanent, dass sie jedem jederzeit zugänglich sind. Auf diesen Umstand weist die Bekl. ihre Nutzer auch ausdrücklich hin, sodass es für die Kammer nicht nachvollziehbar ist, weshalb eine „weitere Veröffentlichung“ dieser Daten, bei dem Kl. zu einem unguten Gefühl geführt haben sollte. Dagegen spricht weiterhin der Umstand, dass es sich offensichtlich um eine standardisierte Klageschrift handelt, die für eine Vielzahl von betroffenen Nutzern eingereicht wird. Ebenso kann die Kammer keinen konkreten immateriellen Schaden aus der Veröffentlichung der Mobilfunknummer ersehen. Erhebliche Zweifel an dem in der Klageschrift vorgetragenen Gemütszustand des Kl. ergeben sich bereits daraus, dass der Kl. die Mobilfunknummer angab, ohne von den auf der Website der Bekl. – leicht auffindbar – bereitgestellten Einschränkungsmöglichkeiten bzgl. der Suchbarkeitskriterien Gebrauch zu machen. Der klägerische Vortrag ist nicht hinreichend substantiiert und individualisiert, um den angeblichen immateriellen Schaden nachvollziehbar erscheinen zu lassen. Es ist weder vorgetragen noch ersichtlich, welche kriminellen oder auch nur lästigen Handlungen Dritte mit der Kombination aus immer öffentlich zugänglichen Daten des …-Nutzers (Name, Profil- und Titelbilder, Netzwerke, Geschlecht, Nutzername und Nutzer-ID) und der Handynummer begehen sollten. Diese Daten gehen nicht über einen bloßen „Telefonbucheintrag“ hinaus. Ein diffuses Bedrohungsgefühl vermag ohne nachvollziehbare Tatsachengrundlage keinen immateriellen Schaden zu begründen. Auf Grund der vorgenannten Ausführungen kam es auf die Frage, ob und inwieweit die Bekl. gegen die DS-GVO verstoßen hat, nicht an. Insb. ist es insoweit nicht von Belang, dass die für die Bekl. zuständige (irische) Datenschutzbehörde im November 2022 wegen des 533 Mio. Datensätze betreffenden Scrapings eine Geldbuße iHv 265 Mio. EUR gegen die Bekl. verhängt hat. Obiter dicta sei Folgendes angemerkt: Wollte man – entgegen der Auffassung der Kammer – jedem einzelnen betroffenen Nutzer zB einen Schadensersatzanspruch iHv von 100 EUR zuerkennen, würde dies in Summe einen Betrag iHv 53.300.000.000 (in Worten: dreiundfünfzig Milliarden dreihundert Millionen Euro) bedeuten. Dies stünde außer Verhältnis zur Schwere eines möglichen Datenschutzverstoßes der Bekl. Im Ergebnis liefe dies auf einen Strafschadensersatz (punitive damages) hinaus, der jedenfalls dem deutschen Zivilrecht fremd ist.

LG Paderborn Urt. v. 31.3.2023 – 2 O 308/22

500 EUR Scraping-Sachverhalt.

LG Heidelberg Urt. v. 31.3.2023 – 7 O 14/22

250 EUR Scraping-Sachverhalt. Wie LG Heidelberg Urt. v. 31.3.2023 – 7 O 10/22.

LG Heidelberg Urt. v. 31.3.2023 – 7 O 10/22

250 EUR Der Kl. hat gegen die Bekl. gem. Art. 82 Abs. 1 DS-GVO Anspruch auf immateriellen Schadenersatz iHv 250 EUR aufgrund der Verletzung von Vorschriften der DS-GVO. Der Maßstab für Verstöße gegen die DS-GVO iSd Art. 82 Abs. 1 DS-GVO ist weit zu fassen. Es kommen materielle wie formelle Verstöße in Betracht. Auch ist nicht allein auf die Datenverarbeitung abzustellen, sondern sämtliche Maßnahmen, so auch Vorbereitungsmaßnahmen, können einen entsprechenden Anspruch begründen. Dies ergibt sich aus dem Wortlaut des Art. 82 Abs. 1 DG-SVO selbst, der allgemein von „Verstoß gegen die DS-GVO“ spricht und damit jeglichen Verstoß einschließt. Etwas Anderes folgt nicht etwa aus Erwägungsgrund 146 S. 1. Soweit dort von Schäden, die einer Person aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht, die Rede ist, ist dies nicht etwa dahingehend aufzufassen, dass nur Verstöße bei der Verarbeitung von Daten im engeren Sinne gemeint sind. Dies widerspräche dem in Art. 1 Abs. 2 DS-GVO postulierten Ziel der Verordnung, die Grundrechte und Grundfreiheiten natürlicher Personen und insb. deren Recht auf Schutz personenbezogener Daten zu schützen. Vielmehr bezieht sich die gesamte DS-GVO auf die Verarbeitung von Daten und stellt Regeln auf, die bei der dem sachlichen Anwendungsbereich gem. Art. 2 unterfallenden Datenverarbeitung einzuhalten sind. Eine Begrenzung erfolgt iRd Kausalität. Die Bekl. hat gegen die gem. Art. 13 Abs. 1 lit. c DS-GVO bestehende Informationspflicht bei Erhebung von personenbezogenen Daten verstoßen, indem sie den Kl. bei der Anmeldung auf der F.-Plattform nicht ausreichend über die Zwecke, für die seine Telefonnummer verwendet werden sollte, informiert hat. Mangels hinreichender Information erfolge die Verarbeitung der Telefonnummer auch nicht rechtmäßig. Keine Verletzung der Informationspflicht ist – entgegen dem Verständnis des Kl. – hingegen in der mangelnden Aufklärung über die Möglichkeit missbräuchlichen Abgreifens von Daten. Die Bekl. hat zudem gegen die Verpflichtung gem. Artt. 24325 Abs. 1 lit. f DS-GVO, die Sicherheit der Verarbeitung zu gewährleisten, verstoßen, indem sie keine ausreichend geeigneten technischen und organisatorischen Maßnahmen getroffen hat, um die personenbezogenen Daten des Kl., namentlich seine F.-ID, seinen Vornamen und Namen, sein Geschlecht, seinen Geburts- und Wohnort sowie seinen Arbeitgeber, gegen unbefugten Zugriff zu schützen. Die Bekl. hat überdies gegen in Art. 25 Abs. 2 DS-GVO das Gebot, Datenschutz durch datenschutzfreundliche Voreinstellungen zu gewährleisten, verstoßen, indem sie standardmäßig die Suchbarkeit der Nutzer über deren Telefonnummer „für alle“ voreingestellt hat. Ein Verstoß gegen diese Vorschrift kann zu einem Schadenersatzanspruch iSd Art. 82 DS-GVO führen. Das Gericht teilt nicht die gegenteilige Ansicht, der zufolge es sich in erster Linie um eine organisatorische Verpflichtung handelt. Vielmehr kann aus der Verletzung der sich aus Art. 25 DS-GVO ergebenden Pflichten eine Erhöhung der Gefahr eines Schadens resultieren. Der Bekl. kann sich nicht gem. Art. 82 Abs. 3 DS-GVO, der das Verschulden widerleglich vermutet, exkulpieren. Soweit in der Vorschrift von der Verantwortlichkeit für den Schaden die Rede ist, ist dies iSv Verschulden aufzufassen. Der Anspruchsverpflichtete kann sich daher nur entlasten, indem er beweist, dass er die am Maßstab des Stands der Technik und im Verkehr, dh am allgemeinen Schutzinteresse orientierte erforderliche Sorgfalt iSv § 276 Abs. 2 BGB angewendet hat. Die Bekl. hat keinerlei Umstände angeführt, die sie hinsichtlich der unzureichend erteilten Informationen in Bezug auf die Verarbeitung der Telefonnummer, die fehlenden Sicherheitsmaßnahmen zur Vermeidung des automatisierten Abgreifens von Daten über das CIT mittels Telefonnummern und die datenschutzunfreundliche Standardeinstellung bei der Suchbarkeit über die Telefonnummer entlasten könnte. Dem Kl. ist durch die Verstöße der Bekl. gegen die genannten Vorschriften DS-GVO ein immaterieller Schaden iSd Art. 82 Abs. 1 DS-GVO entstanden. Der Begriff des Schadens ist gem. Erwägungsgrund 146 S. 3 DS-GVO weit auf eine Art und Weise auszulegen, die den Zielen dieser Verordnung in vollem Umfang entspricht. Allerdings ist er nicht mit der zugrundeliegenden Rechtsgutsverletzung gleichzusetzen; der bloße Verstoß gegen Bestimmungen der DS-GVO reicht daher nicht aus. Allerdings können auch Bagatellschäden eine Ersatzpflicht hervorrufen. Denn eine Erheblichkeitsschwelle ist weder Art. 82 DS-GVO noch den Erwägungsgründen zu entnehmen. Erwägungsgrund 148 S. 2 sieht lediglich vor, dass (ausnahmsweise) bei geringfügigen Verstößen auf die Verhängung einer Geldbuße verzichtet werden kann. Deshalb kann ein Schaden auch bereits in einem unguten Gefühl, in der Angst und Besorgnis liegen, dass personenbezogene Daten Unbefugten bekannt geworden sind, wenn die Gefahr besteht, dass die Daten unbefugt weiterverwendet werden. Die erforderliche Kausalität zwischen den Verstößen der Bekl. gegen die DS-GVO und dem Schaden des Kl. liegt vor. Soweit sich der Kl. auf die Verletzung der Meldepflicht nach Art. 33 DS-GVO ggü. der zuständigen Aufsichtsbehörde sowie der Pflicht zur Benachrichtigung der betroffenen Person nach Art. 34 DS-GVO beruft, sind zwar auch derartige Verstöße grds. geeignet, Schadenersatzansprüche auszulösen. Vorliegend kann die Verletzung der genannten Gebote indes dahinstehen, da ein daraus resultierender Schaden für den Kl. nicht erkennbar ist. Bei der Bestimmung des vom Kl. in das Ermessen des Gerichts gestellten Höhe des Schadenersatzes gem. § 287 Abs. 1 S. 1 ZPO sind alle Umstände des Einzelfalls zu würdigen. Die Kriterien des Art. 83 Abs. 2 DS-GVO, die Anhaltspunkte für die Höhe der von der Aufsichtsbehörde zu verhängenden Geldbuße geben sollen, können auch für die Bemessung des immateriellen Schadenersatzes herangezogen werden. Im streitgegenständlichen Fall hält das Gericht unter Berücksichtigung der Ausgleichs- und Genugtuungsfunktion sowie der generalpräventiven Funktion des immateriellen Schadenersatzes einen Betrag iHv 250 EUR erforderlich, aber auch ausreichend. Dabei fließt anspruchserhöhend ein, dass der Bekl. mehrere schadensursächliche Verstöße gegen die DS-GVO zur Last zu legen sind, wobei die den Zweck von F. fördernde Art der Datenerhebung die Regeln der DS-GVO nicht nur im Einzelfall, sondern systematisch und über einen längeren Zeitraum missachtet hat. Anspruchsmindernd ist zu berücksichtigen, dass der Kl. durch das Ausspähen seiner Daten in seiner Lebensführung nur wenig beeinträchtigt wurde und sich seine Sorge ersichtlich derart in Grenzen gehalten hat, dass er im Rahmen seiner persönlichen Abwägung von Vor- und Nachteilen davon abgesehen hat, seinen F.-Account aufzulösen, die dortigen Einstellungen zu seinem Schutz abzuändern oder seine Telefonnummer zu wechseln. Bei den gescrapten Daten handelt es sich zudem nicht um besonders sensible Informationen wie Gesundheits- oder Kontodaten. Die vorgerichtlichen Rechtsanwaltskosten sind als Teil des zu ersetzenden Schadens gem. Art. 82 Abs. 1 DS-GVO zu erstatten.

LG Heidelberg Urt. v. 31.3.2023 – 7 O 9/22

0 EUR Der Kl. hat gegen die Bekl. gem. Art. 82 Abs. 1 DS-GVO keinen Anspruch auf immateriellen Schadenersatz aufgrund der Verletzung von Vorschriften der DS-GVO. Denn es ist nicht feststellbar, dass ihm ein Schaden entstanden ist. Der Maßstab für Verstöße gegen die DS-GVO iSd Art. 82 Abs. 1 DS-GVO ist weit zu fassen. Es kommen materielle wie formelle Verstöße in Betracht. Auch ist nicht allein auf die Datenverarbeitung abzustellen, sondern sämtliche Maßnahmen, so auch Vorbereitungsmaßnahmen, können einen entsprechenden Anspruch begründen. Dies ergibt sich aus dem Wortlaut des Art. 82 Abs. 1 DG-SVO selbst, der allgemein von „Verstoß gegen die DS-GVO“ spricht und damit jeglichen Verstoß einschließt. Etwas Anderes folgt nicht etwa aus Erwägungsgrund 146 S. 1. Soweit dort von Schäden, die einer Person aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht, die Rede ist, ist dies nicht etwa dahingehend aufzufassen, dass nur Verstöße bei der Verarbeitung von Daten im engeren Sinne gemeint sind. Dies widerspräche dem in Art. 1 Abs. 2 DS-GVO postulierten Ziel der Verordnung, die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten zu schützen. Vielmehr bezieht sich die gesamte DS-GVO auf die Verarbeitung von Daten und stellt Regeln auf, die bei der dem sachlichen Anwendungsbereich gem. Art. 2 unterfallenden Datenverarbeitung einzuhalten sind. Eine Begrenzung erfolgt iRd Kausalität. Die Bekl. hat gegen die gem. Art. 13 Abs. 1 lit. c DS-GVO bestehende Informationspflicht bei Erhebung von personenbezogenen Daten verstoßen, indem sie den Kl. bei der Anmeldung auf der F.-Plattform nicht ausreichend über die Zwecke, für die seine Telefonnummer verwendet werden sollte, informiert hat. Mangels hinreichender Information erfolge die Verarbeitung der Telefonnummer auch nicht rechtmäßig. Die Bekl. hat zudem gegen die Verpflichtung gem. Artt. 24325 Abs. 1 lit. f DS-GVO, die Sicherheit der Verarbeitung zu gewährleisten, verstoßen, indem sie keine ausreichend geeigneten technischen und organisatorischen Maßnahmen getroffen hat, um die personenbezogenen Daten des Kl., namentlich seine F.-ID, seinen Namen und sein Geschlecht gegen unbefugten Zugriff zu schützen. Die Bekl. hat überdies gegen in Art. 25 Abs. 2 DS-GVO das Gebot, Datenschutz durch datenschutzfreundliche Voreinstellungen zu gewährleisten, verstoßen, indem sie standardmäßig die Suchbarkeit der Nutzer über deren Telefonnummer „für alle“ voreingestellt hat. Ein Verstoß gegen diese Vorschrift kann zu einem Schadenersatzanspruch iSd Art. 82 DS-GVO führen. Das Gericht teilt nicht die gegenteilige Ansicht, der zufolge es sich in erster Linie um eine organisatorische Verpflichtung handelt. Vielmehr kann aus der Verletzung der sich aus Art. 25 DS-GVO ergebenden Pflichten eine Erhöhung der Gefahr eines Schadens resultieren. Der Bekl. kann sich nicht gem. Art. 82 Abs. 3 DS-GVO, der das Verschulden widerleglich vermutet, exkulpieren. Soweit in der Vorschrift von der Verantwortlichkeit für den Schaden die Rede ist, ist dies iSv Verschulden aufzufassen. Der Anspruchsverpflichtete kann sich daher nur entlasten, indem er beweist, dass er die am Maßstab des Stands der Technik und im Verkehr, dh am allgemeinen Schutzinteresse orientierte erforderliche Sorgfalt iSv § 276 Abs. 2 BGB angewendet hat. Der Begriff des Schadens ist gem. Erwägungsgrund 146 S. 3 DS-GVO weit auf eine Art und Weise auszulegen, die den Zielen dieser Verordnung in vollem Umfang entspricht. Allerdings ist er nicht mit der zugrundeliegenden Rechtsgutsverletzung gleichzusetzen; der bloße Verstoß gegen Bestimmungen der DS-GVO reicht daher nicht aus. Allerdings können auch Bagatellschäden eine Ersatzpflicht hervorrufen. Denn eine Erheblichkeitsschwelle ist weder Art. 82 DS-GVO noch den Erwägungsgründen zu entnehmen. Erwägungsgrund 148 S. 2 sieht lediglich vor, dass (ausnahmsweise) bei geringfügigen Verstößen auf die Verhängung einer Geldbuße verzichtet werden kann. Die Schwere eines Schadens wirkt sich nur iRd Festlegung der Schadenshöhe aus. Deshalb kann ein Schaden auch bereits in einem unguten Gefühl, in der Angst und Besorgnis liegen, dass personenbezogene Daten Unbefugten bekannt geworden sind, wenn die Gefahr besteht, dass die Daten unbefugt weiterverwendet werden. Soweit sich der Kl. auf die Verletzung der Meldepflicht nach Art. 33 DS-GVO ggü. der zuständigen Aufsichtsbehörde sowie der Pflicht zur Benachrichtigung der betroffenen Person nach Art. 34 DS-GVO beruft, sind zwar auch derartige Verstöße grds. geeignet, Schadenersatzansprüche auszulösen. Vorliegend kann die Verletzung der genannten Gebote indes dahinstehen, da ein daraus resultierender Schaden für den Kl. ist nicht erkennbar ist. Nicht anderes gilt für einen etwaigen Verstoß gegen die Auskunftsverpflichtung. Der Feststellungsantrag ist indessen begründet. Der Kl. hat gem. Art. 82 DS-GVO Anspruch auf Feststellung der Ersatzpflicht der Bekl. für materielle Schäden, die aus dem von der Bekl. nach dem Gesagten mitzuverantwortenden Scraping-Vorfall ggf. entstanden sind oder noch entstehen werden.

LG München I Beschl. v. 30.3.2023 – 4 O 13063/22 = ZD 2023, 558

0 EUR Der Bekl. hatte gegen den Kl. auch keinen Schmerzensgeldanspruch, so dass der Kl. Feststellung verlangen kann, dass der insoweit berühmte Anspruch nicht besteht. Es fehlt bereits an den Voraussetzungen eines Anspruchs aus Art. 82 DS-GVO. Dieser setzt einen, ggf. auch immateriellen, Schaden des Anspruchsstellers voraus. Ein solcher Schaden lag hier aber offensichtlich nicht vor. In der Rspr. ist umstritten, inwieweit Angstgefühle oder Verunsicherung für sich genommen ausreichend sind, um einen Anspruch auf Schadensersatz aus Art. 82 DS-GVO zu begründen. Auf diese Frage kommt es hier jedoch nicht an, weil der Bekl. tatsächlich solche Gefühle aufgrund des Einsatzes eines automatisierten Programms gar nicht gehabt haben kann: Wer gar nicht weiß, welche Websites „in seinem Namen“ besucht werden, kann sich überhaupt nicht individuell Gedanken dazu machen, dass ihm aus der Übertragung seiner IP-Adresse Unannehmlichkeiten entstehen könnten. IÜ wäre ein etwaig doch gegebenener Schadensersatzanspruch aus Art. 82 DS-GVO oder aus § 823 Abs. 1 BGB oder aus anderer Rechtgrundlage auch wegen Rechtsmissbrauch, § 242 BGB ausgeschlossen. Der Bekl. ließ gezielt durch den Crawler Websites aufsuchen, gerade um behauptete Verletzungen seines allgemeinen Persönlichkeitsrechts zu begründen. Es ist aber nicht Sinn und Zweck des allgemeinen Persönlichkeitsrechts oder der Datenschutzvorgaben nach der DS-GVO, Personen eine Erwerbsquelle zu verschaffen wegen behaupteter Verletzungen ihres allgemeinen Persönlichkeitsrechts. Wer einen Verstoß gegen sein Persönlichkeitsrecht gezielt provoziert, um daraus hernach Ansprüche zu begründen, verstößt gegen das Verbot selbstwidersprüchlichen Verhaltens.

LG Bonn Urt. v. 30.3.2023 – 3 O 208/22 = ZD 2023, 638 (Ls.)

0 EUR Die Kl. hat gegen die Bekl. keinen Anspruch auf Zahlung eines Schmerzensgeldes in der geltend gemachten Höhe von 1.000 EUR. Ein solcher Anspruch ergibt sich insb. nicht aus Art. 82 Abs. 1 DS-GVO. Insoweit bedurfte es keiner Entscheidung darüber, ob der Anwendungsbereich des Art. 82 DS-GVO im gegebenen Fall eröffnet ist und ob eine Pflichtverletzung iSd Art. 82 DS-GVO durch Verstoß gegen die Vorschriften der DS-GVO (insb. Art. 322425 Abs. 2333515 DS-GVO) vorliegt, da es jedenfalls an einem ersatzfähigen Schaden der Kl. fehlt. Für einen von der Kl. geltend gemachten immateriellen Schadensersatz in Geld gelten dabei die im Zusammenhang mit § 253 Abs. 2 BGB entwickelten Grundsätze, sodass die Ermittlung des Schadens nach § 287 ZPO dem Gericht obliegt. Der Begriff des Schadens ist jedoch autonom, das heißt iRd DS-GVO nach deren Erwägungsgrund 146 S. 3 im Lichte der Rspr. des EuGH weit und auf eine Art und Weise auszulegen, die den Zielen der Verordnung in vollem Umfang entspricht. Schadenersatzforderungen sollen abschrecken und weitere Verstöße unattraktiv machen. Nach Erwägungsgrund 75 DS-GVO kann ein Schaden dann aus einer Verarbeitung personenbezogener Daten resultieren, wenn diese u. a. zu einer Diskriminierung, einem Identitätsdiebstahl oder -betrug, einem finanziellen Verlust, einer Rufschädigung oder anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen führt. Zusätzlich nennt Erwägungsgrund 85 DS-GVO daneben den Verlust der Kontrolle über personenbezogene Daten. Im Lichte dieser Erwägungen ist die Pflicht aus Art. 82 Abs. 1 DS-GVO zur Erstattung immaterieller Schäden entgegen § 8 Abs. 2 BDSG a. F. nicht nur auf schwere Verletzungen des Persönlichkeitsrechts des Betroffenen beschränkt. Gleichzeitig ist auch ein genereller Ausschluss von Bagatellschäden nicht vertretbar, da die beabsichtigte abschreckende Wirkung für den Anspruchsverpflichteten nur durch empfindliche Schmerzensgelder erreicht werden kann. Ein bloßer Datenschutzverstoß als solcher genügt für das Entstehen eines Schadensersatzanspruchs jedoch nicht, sondern es bedarf darüber hinaus der Darlegung und des Nachweises eines konkreten (auch: immateriellen) Schadens. Für das Erfordernis, neben einem Verstoß gegen die Regelungen der DS-GVO den Eintritt eines konkreten Schadens nachzuweisen, spricht dabei zunächst bereits der Wortlaut von Art. 82 Abs. 1 DS-GVO, der über den Verstoß hinaus ausdrücklich die Entstehung eines Schadens („…Schaden entstanden ist“) voraussetzt. Außerdem sieht Erwägungsgrund 146 S. 6 DS-GVO vor, dass die Betroffenen einen vollständigen und wirksamen Schadensersatz für den „erlittenen“ Schaden erhalten, woraus ebenfalls folgt, dass dem Betroffenen ein spürbarer Nachteil entstanden und eine objektiv nachvollziehbare, mit gewissem Gewicht erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen eingetreten sein muss. Würde man demgegenüber jedes Unwohlsein und jede Sorge unter den Schadensbegriff fassen, so würde dieser überdehnt und eine ausufernde Haftung begründet. Für einen Bagatellverstoß ohne ernsthafte Beeinträchtigung oder für eine bloß individuell empfundene Unannehmlichkeit ist daher ein Schmerzensgeld nicht zu gewähren. Diese Handhabung läuft entgegen der Auffassung der Kl. auch der Präventionsfunktion des Art. 82 DS-GVO und der hierfür erforderlichen Abschreckungswirkung nicht zuwider, da eine Sanktionierung entsprechender Datenschutzrechtsverstöße weiterhin im Wege des Art. 83 DS-GVO möglich bleibt.

LG Bonn Urt. v. 29.3.2023 – 13 O 125/22

250 EUR Scraping-Sachverhalt.

LG Detmold Urt. v. 28.3.2023 – 02 O 85/22 = ZD 2023, 637 (Ls.)

0 EUR Der verfolgte Schmerzensgeldanspruch besteht unter keinem rechtlichen Gesichtspunkt. Ein Anspruch aus Art. 82 Abs. 1 DS-GVO kommt nicht in Betracht. Aus Sicht der Kammer mangelt es bereits an einem Verstoß gegen die DS-GVO wie auch an einem bei der Kl. eingetretenen Schaden. Auch der Anwendungsbereich der DS-GVO ist aus Sicht der Kammer nicht für jeden der geltend gemachten Verstöße eröffnet. Es liegt kein Verstoß gegen Art. 5 Abs. 1 lit. f DS-GVO vor, da die Bekl. nicht gegen die sie treffende Obliegenheit, personenbezogene Daten vor unbefugter oder unrechtmäßiger Verarbeitung zu schützen, verstoßen hat. Ein Verstoß gegen Art. 2432 DS-GVO ist ebenso nicht gegeben. Nach Auffassung der Kammer liegt auch kein Verstoß gegen Art. 25 DS-GVO vor. Soweit die Kl. der Bekl. weitere Verstöße gegen die DS-GVO vorwirft, nämlich ungenügende Information und Aufklärung über die Verarbeitung der sie betreffenden Daten durch ungenügende Aufklärung zur Verwendung und Geheimhaltung der Telefonnummer (Art. 5 Abs. 1 lit. a), einen unmittelbaren Verstoß gegen Art. 1314 DS-GVO, die konkrete Informationspflichten enthalten, die seitens der Bekl. nicht eingehalten worden seien, unvollständige Auskunftserteilung nach Art. 15 DS-GVO, da nicht mitgeteilt worden sei, welchen Empfängern ihre Daten zugänglich gemacht worden seien (Art. 3334 DS-GVO) sind solche Verstöße bereits weder vom Schutzzweck des Art. 82 DS-GVO noch von dessen sachlichen Anwendungsbereich umfasst. Art. 82 Abs. 1 DS-GVO erfasst nur solche Pflichtverstöße, die iRe „Verarbeitung“ geschehen, was sich aus dem Wortlaut des Art. 82 Abs. 2 DS-GVO ergibt („durch eine nicht dieser Verordnung entsprechende Verarbeitung“). IÜ fehlt es auch an einem Schaden iSv Art. 82 Abs. 1 DS-GVO. Anders als die Kl. meint, genügt nicht allein der Verstoß gegen die DS-GVO, um einen Ausgleich / eine Kompensation verlangen zu können. Dies widerspricht dem Schadensrecht, unabhängig vom Wortlaut des Art. 82 Abs. 1 DS-GVO. Ein Schadens- und auch Schmerzensgeldanspruch setzt stets einen immateriellen oder materiellen Schaden voraus. Dies lässt sich nach Auffassung der Kammer auch dem Wortlaut des Art. 82 Abs. 1 DS-GVO entnehmen, wonach sowohl ein Verstoß gegen diese (DS-GVO) Verordnung nötig ist, als auch ein daraus resultierender materieller oder immaterieller Schaden. Die Verletzungshandlung muss in jedem Fall zu einer konkreten, nicht nur völlig unbedeutenden oder empfundenen Verletzung von Persönlichkeitsrechten der betroffenen Person geführt haben. Verletzung und Schaden sind nicht gleichzusetzen. Es ist nicht für jede bloß individuell empfundene Unannehmlichkeit ein Schmerzensgeld zu gewähren; vielmehr muss dem Betroffenen ein spürbarer Nachteil entstanden sein und es muss um eine objektiv nachvollziehbare, mit gewissem Gewicht erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen gehen. Allein der Kontrollverlust der Kl. über ihre Daten stellt keinen Schaden dar. Ihre Sorge oder Angst um die verwendeten Daten und die Befürchtung, Opfer von Betrugsfällen oder Identitätsdiebstahl zu werden, kann zwar nicht gemessen werden, ist hierfür jedoch noch nicht ausreichend. Immerhin darf nicht außer Acht gelassen werden, dass jedenfalls Name, F.-ID und Geschlecht von ihr öffentlich bekanntgegeben wurden und damit bereits nicht mehr unter ihrer ausschließlichen Kontrolle standen. Letztlich ist also insoweit überhaupt nicht mehr bekannt geworden als das, was von ihr selbst bereits im Internet veröffentlicht wurde. In Bezug auf die bekannt gewordene Telefonnummer mag ein gewisser Kontrollverlust vorliegen. Ob und inwieweit jedoch der Kontrolle über die Telefonnummer überhaupt ein Wert zukommt, mag bezweifelt werden. IÜ reicht für einen Schadensersatzanspruch ein bloßes Unmutsgefühl nach Auffassung der Kammer nicht aus.

LG Stuttgart Urt. v. 28.3.2023 – 54 O 165/22

600 EUR Dem Kl. steht gegen die Bekl. einen Anspruch auf Schadensersatz iHv 600 EUR aus Art. 82 Abs. 1 DS-GVO zu. Die Anspruchsvoraussetzungen des Art. 82 Abs. 1 DS-GVO sind im Streitfall gegeben. Die Bekl. hat gegen Art. 25 Abs. 2 DS-GVO, gegen Art. 13 Abs. 1 lit. c DS-GVO, gegen Art. 32245 Abs. 1 lit. f DS-GVO, gegen Art. 33 DS-GVO und gegen Art. 34 Abs. 1 DS-GVO verstoßen. Hingegen liegt ein Verstoß gegen Art. 15 DS-GVO nicht vor. Der Klagepartei ist ein immaterieller Schaden entstanden. Die Verstöße gegen die DS-GVO sind auch kausal für den bei dem Kl. entstandenen Schaden. Die Bekl. handelte auch schuldhaft. Die Kl. hat sich auch kein Mitverschulden nach § 254 Abs. 1 BGB anrechnen zu lassen. Infolgedessen steht der Kl. ein immaterieller Schadensersatzanspruch iHv 600 EUR zu.

LG Stuttgart Urt. v. 27.3.2023 – 27 O 100/22 = ZD 2023, 640 (Ls.)

0 EUR Die unbezifferte, lediglich mit einem Mindestbetrag erhobene Leistungsklage ist vor dem Hintergrund der Regelung des Art. 82 Abs. 1 DS-GVO, nach der ausdrücklich ein immaterieller Schadensersatz verlangt werden kann, zulässig. Der Kl. hat keinen Anspruch auf Zahlung eines immateriellen Schadensersatzes aus Art. 82 DS-GVO. Ob die Bekl. gegen die DS-GVO verstoßen hat, kann vorliegend dahingestellt bleiben. Denn selbst einen Verstoß unterstellt, hätte der Kl. keinen kausalen Schaden erlitten. Ob ein Kontrollverlust oder ein (gesteigertes) Unwohlsein überhaupt einen immateriellen Schaden darstellen und ob für das Vorliegen eines Schadens eine spürbare Beeinträchtigung zu fordern ist, ist vorliegend nicht entscheidend. Selbst unterstellt, dies wäre der Fall, müsste der Kl. weiterhin nachweisen, dass ihm in Folge eines Verstoßes gegen die DS-GVO dieser immaterielle Schaden entstanden ist. Die Verletzung der DS-GVO müsste folglich kausal sein für den von ihm behaupteten Schaden. Das anderslautende Verständnis, auf das sich der Kl. beruft und nach dem bereits die Verletzung der DS-GVO selbst zu einem auszugleichenden immateriellen Schaden führe teilt das Gericht nicht. Ein solches Verständnis gibt Art. 82 Abs. 1 DS-GVO nach Auffassung des Gerichts nicht her. Die Regelung setzt damit voraus, dass es auch Verstöße geben kann, die nicht in einem Schaden resultieren. Die Regelung spricht dafür, dass es gerade keinen Gleichklang gibt zwischen einem DS-GVO-Verstoß („Verstoß gegen diese Verordnung“) und dem immateriellen Schaden. Die Kausalität wäre nur dann zu bejahen, wenn der Kl. eine objektiv nachvollziehbare Beeinträchtigung erlitten hätte.

NEU LG Berlin Urt. v. 24.3.2023 – 38 O 221/22

0 EUR Die Kl. hat gegen die Bekl. keinen Anspruch auf Ersatz eines immateriellen Schadens in Höhe von mindestens 5.400 EUR. Der Anspruch ergibt sich aus keiner denkbaren Anspruchsgrundlage, insb. nicht aus Art. 82 DS-GVO. Entgegen der Auffassung der Bekl. handelt es sich bei dem immateriellen Schadensersatzanspruch nach Art. 82 DS-GVO nicht um einen höchstpersönlichen Anspruch, sodass eine Abtretung grds. möglich ist. Der Schadensersatzanspruch ist – unabhängig davon, ob es sich um einen materiellen oder einen immateriellen Schaden handelt – sowohl übertragbar als auch vererblich. Es kann jedoch dahingestellt bleiben, ob die in der Anlage K1 aufgeführten Betroffenen ihre Ansprüche auf Ersatz der immateriellen Schäden wirksam an die Kl. abgetreten haben und ob die Bekl. dem Stand der Technik entsprechende technische und organisatorische Maßnahmen der IT-Sicherheit implementiert hat, um personenbezogene Daten ihrer Kunden umfassend zu schützen. Das Gericht vermag der von der Kl. u. a. aufgeführten Rspr. nicht zu folgen, nach der bereits der Kontrollverlust einen erstattungsfähigen Schaden iSd Art. 82 DS-GVO begründet. Das Gericht folgt vielmehr der Ansicht, dass der von der Kl. behauptete Kontrollverlust der betroffenen Zedenten für sich allein keinen erstattungsfähigen Schaden iSd Art. 82 DS-GVO darstellt. In den Erwägungsgrund 75 und 85 DS-GVO werden einige mögliche Schäden aufgezählt, darunter Identitätsdiebstahl, finanzielle Verluste, Rufschädigung, aber auch der Verlust der Kontrolle über die eigenen Daten sowie die Erstellung unzulässiger Persönlichkeitsprofile. Zudem nennt Erwägungsgrund 75 auch die bloße Verarbeitung einer großen Menge personenbezogener Daten einer großen Anzahl von Personen. Einerseits ist eine schwere Verletzung des Persönlichkeitsrechts nicht (mehr) erforderlich. Andererseits ist auch weiterhin nicht für einen Bagatellverstoß ohne ernsthafte Beeinträchtigung bzw. für jede bloß individuell empfundene Unannehmlichkeit ein Schmerzensgeld zu gewähren; vielmehr muss dem Betroffenen ein spürbarer Nachteil entstanden sein und es muss um eine objektiv nachvollziehbare, mit gewissem Gewicht erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen gehen. Gemessen an diesen Grundsätzen hat die Kl. schon keine spürbare Beeinträchtigung – hervorgerufen durch Datenverlust – von persönlichen Belangen der Betroffenen dargelegt. Die Kl. behauptet pauschal, die Betroffenen hätten einen erheblichen Kontrollverlust über ihre Daten erlitten. Sie legt jedoch keine auf Tatsachen beruhenden Anhaltspunkte dafür vor, dass die abgezogenen Daten von den Hackern überhaupt entschlüsselt werden konnten bzw. dass ein Zugriff auf die F-I oder Mailadressen nach Vornahme der von der Bekl. empfohlenen Änderung der Passwörter überhaupt noch möglich ist. Die Kl. hat auf den erheblichen Beklagtenvortrag nicht plausibel dargetan und unter Beweis gestellt, dass auf den fraglichen Internet-Marktplätzen im D. W.überhaupt im Klartext einsehbare Passwörter veröffentlicht wurden. Schon dieser Umstand lässt die Angabe, Furcht vor einem Kontrollverlust über die Daten zu haben, unplausibel erscheinen. Unabhängig davon genügt aber selbst die Annahme nicht, dass die Betroffenen unter einer Furcht vor einem Kontrollverlust leiden, um einen Schaden iSd DS-GVO zu bejahen. Dadurch würde der Schadenbegriff aufgeweicht und ausgedehnt und es würde der konkrete Nachweis einer möglichen Betroffenheit genügen, um eine Haftung zu begründen. Dies käme einer reinen Gefährdungshaftung gleich und widerspricht letztlich auch dem Erwägungsgrund 75 DS-GVO. Der Erwägungsgrund 75 DS-GVO stützt die Auffassung, dass aus Risiken für die Rechte und Freiheiten natürlicher Personen physische, materielle oder immaterielle Schaden entstehen können. Insoweit sind Schäden aber kein zwangsweise Produkt aus einem Risiko für die Rechte und Freiheiten natürlicher Personen aus einer Verarbeitung personenbezogenen Daten, vielmehr sind diese nur fakultativ. Der Sinn der Verordnung wird aber nicht gewahrt, indem man jeglichem „Unwohlsein“ eine Schadensposition einräumt. Vielmehr muss zumindest ein ernsthaftes Risiko bestehen, dass die Daten missbraucht werden. Entgegen der Auffassung der Kl. kann ein Schadenersatzanspruch der Betroffenen nach Art. 82 DS-GVO hier zudem nicht aus einem Verstoß der Bekl. gegen ihre Pflicht aus Art. 34 Abs. 1 S. 1 DS-GVO zur unverzüglichen Benachrichtigung der Betroffenen von Datenschutzverletzungen hergeleitet werden. Die Bekl. hat in der Klageerwiderung detailliert dargetan und urkundlich belegt, welche Maßnahmen sie unmittelbar nach Kenntniserlangung der Veröffentlichung einzelner Nutzerdaten im D. W. ergriffen hat.

LG München I Endurt. v. 23.3.2023 – 26 O 1859/22 = ZD 2024, 50

0 EUR Der Kl. hat keinen Anspruch auf einen immateriellen Schadenersatz iHv 5.100 EUR gem. Art. 82 Abs. 1 DS-GVO. Denn auch wenn die Bekl., indem sie die Zugangsinformationen für die Fa. … nach Beendigung der vertraglichen Beziehungen nicht änderte und somit gegen Art. 32 Abs. 1 DS-GVO verstieß, so ist dem Kl. doch kein ursächlich auf die streitgegenständlichen Datenvorfälle zurückzuführender, immaterieller Schaden entstanden, der gem. Art. 82 Abs. 1 DS-GVO ersatzfähig wäre. Die Bekl. ist Verantwortliche iSv Art. 82 Abs. 14 Ziff. 7 DS-GVO, weil sie Kundendaten iRd Anmeldeprozesses abfragt und in einem Datenarchiv abspeichert. Auch sind die von den streitgegenständlichen Datenvorfällen erfassten Daten personenbezogene Daten iSv Art. 4 Ziff. 1 DS-GVO, weil sie den Kl. identifizierbar machen. Allerdings ist dem Kl. durch die streitgegenständlichen Datenvorfälle weder ein immaterieller noch ein materieller Schaden entstanden, der eine Ersatzpflicht nach Art. 82 Abs. 1 DS-GVO auslösen würde. Der Anspruch auf Schadenersatz setzt nach dem ausdrücklichen Wortlaut des Art. 82 Abs. 1 DS-GVO voraus, dass dem Betroffenen „wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist“. Die Darlegungs- und Beweislast dafür tritt – den allgemeinen zivilprozessualen Regeln, dass die klagende Partei grds. die den Anspruch begründenden Umstände beweisen muss – der Kl. Diesen Maßstab zugrunde gelegt, hat der Kl. nicht ausreichend dargetan, dass bei ihm ein materieller oder immaterieller Schaden eingetreten sei. Entgegen der Auffassung des Kl. kann ein Schaden auch nicht allein wegen des Verstoßes der Bekl. gegen Art. 32 DS-GVO angenommen werden, mit der Begründung, dass bereits der Verstoß gegen die DS-GVO an sich einen Schaden iSv Art. 82 Abs. 1 DS-GVO begründe. Aus den gleichen Erwägungen kann der Kl. auch keinen Schadenersatz gem. Art. 82 Abs. 1 DS-GVO wegen eines Verstoßes gegen Art. 34 Abs. 1 DS-GVO geltend machen. Und es kann auch dahingestellt bleiben, ob Art. 34 DS-GVO überhaupt in den Schutzbereich des Art. 82 Abs. 1 DS-GVO fällt. Demgegenüber erweist sich der Antrag auf Feststellung einer Ersatzpflicht für etwaige künftige materielle Schäden aufgrund der beiden Datenvorfälle vom August und Oktober 2020 gem. Art. 82 Abs. 1 DS-GVO als begründet. Wie oben ausgeführt, hat die Bekl. als Verantwortliche schuldhaft gegen Art. 32 Abs. 1 DS-GVO verstoßen. Erleidet der Kl. in Zukunft materielle Schäden durch den unbefugten Zugriff Dritter auf das Datenarchiv der Bekl., die damit kausal zu dem Verstoß der Bekl. gegen Art. 32 DS-GVO sind, so steht ihm gegen die Bekl. ein Schadensersatzanspruch gem. Art. 82 Abs. 1 DS-GVO zu. Die Möglichkeit des Eintritts materieller Schäden besteht und ist auch nicht gänzlich auszuschließen, weil die Daten des Kl. noch immer „verloren“ sind und damit potenziell missbraucht werden können. Auch wenn der Datenabgriff bereits im Jahr 2020 stattfand, ist unter dem Gesichtspunkt „Das Internet vergisst nicht“ nicht auszuschließen, dass die personenbezogenen Daten des Kl., die über den Datenvorfall erlangt wurden, in Zukunft missbraucht werden und so zu einem Schaden bei dem Kl. führen, zumal ein nicht unerheblicher Bestandteil an personenbezogenen Daten des Kl. betroffen ist.

LG Oldenburg Urt. v. 22.3.2023 – 5 O 1809/22

0 EUR Der Kl. hat entgegen seiner ihm nach § 138 Abs. 1 ZPO obliegenden Darlegungslast schon nicht ausreichend dargetan, dass er mit seinen bei … eingegebenen Daten persönlich von dem Scraping-Vorfall betroffen ist. Seine Darlegung beschränkt sich darauf, allgemein zu behaupten, dass ein Datensatz mit …Profilen von Nutzern veröffentlicht worden sei, welche die Mobilfunknummer und einige der Informationen wie Name, …ID, den Wohnort, Geburtsdatum und/oder Geburtsort, E-­Mail-Adresse beinhalte, und die Klagepartei nach einer eigenen Recherche festgestellt habe, dass mindestens eine Information von ihr (die Telefonnummer) im vorbenannten Datensatz enthalten ist und diese nunmehr öffentlich verfügbar und widerrechtlich zugänglich gemacht worden sei. Der Kl. sei also ein/e vom „Datenleck“ betroffene/r Nutzer/in.

LG München I Urt. v. 22.3.2023 – 26 O 1037/21 = MMR 2023, 602

0 EUR Dem Kl. steht auch kein Anspruch auf Schadensersatz oder Geldentschädigung nach Art. 82 Abs. 1 DS-GVO zu. Voraussetzung für einen Anspruch auf Ersatz materieller und immaterieller Schäden ist danach ein Verstoß gegen die DS-GVO. Ein solcher wurde nicht festgestellt. Auf die weiteren Voraussetzungen eines materiellen oder immateriellen Schadensersatzanspruchs kommt es daher schon nicht mehr an. Dem Kl. stehen mangels Verstoß gegen die DS-GVO keine Ansprüche zu. Dasselbe gilt für den geltend gemachte Anspruch auf Ersatz außergerichtlicher Rechtsanwaltskosten. Mangels Pflichtverletzung der Bekl. scheidet auch ein solcher Anspruch ebenfalls aus.

LG Frankfurt/M. Urt. v. 21.3.2023 – 2-18 O 114/22

500 EUR Der Klageantrag zu 1 ist hinreichend bestimmt. Der Antrag auf Zahlung eines in das Ermessen des Gerichts gestellten unbezifferten Betrages begegnet angesichts des begehrten Ersatzes für immaterielle Schäden keinen Bedenken. Der Kl. hat gegen die Bekl. einen Anspruch auf Schadensersatz gem. Art. 82 Abs. 1 DS-GVO iHv 500 EUR und kann die begehrte Feststellung der Ersatzpflicht für weitere künftige Schäden verlangen. Die Bekl. hat bei der Verarbeitung der klägerischen Daten zur Überzeugung des Gerichts diverse Verstöße gegen die DS-GVO begangen. Die Bekl. hat gegen Art. 13 Abs. 1 lit. c DS-GVO verstoßen. Die Verletzung des Art. 13 DS-GVO führt auch zu einer grundsätzlichen Ersatzpflicht nach Art. 82 DS-GVO, da sie im vorliegenden Fall unmittelbar auf die Rechtmäßigkeit der Datenerhebung ausstrahlt. Zwar ist bei einem Verstoß gegen Art. 13 Abs. 1 DS-GVO die Datenerhebung nicht zwangsläufig auch rechtswidrig; vielmehr kommt es auf eine Einzelfallbetrachtung an. Die Bekl. hat zudem gegen Art. 32 Abs. 1 DS-GVO verstoßen. Die Verletzung von Art. 32 DS-GVO ist vom Schutzbereich des Art. 82 DS-GVO auch umfasst; ein Verstoß kann die Schadensersatzpflicht auslösen. In der Konsequenz aus den beiden vorgenannten Verstößen folgt auch eine Verletzung der Meldepflicht aus Art. 33 DS-GVO durch die Bekl. Der Verstoß gegen Art. 33 DS-GVO kann auch zu einer Haftung nach Art. 82 DS-GVO führen. Das vorstehend Gesagte gilt auch hinsichtlich eines Verstoßes gegen Art. 34 Abs. 1 DS-GVO, nachdem die Bekl. auch den Kl. als betroffene Person unverzüglich hätte benachrichtigen müssen. IÜ kann es dahinstehen, ob der Bekl. auch ein Verstoß gegen Art. 25 DS-GVO vorzuwerfen ist, da ein solcher jedenfalls für sich genommen keinen Anspruch aus Art. 82 DS-GVO auslösen könnte, weil die Anforderungen des Art. 25 DS-GVO schon vor der eigentlichen Verarbeitung von Daten anknüpfen. Gleiches gilt für einen möglichen Verstoß gegen Art. 15 DS-GVO, da es sich hierbei nicht um einen Verstoß gegen Pflichten bei der Verarbeitung von personenbezogenen Daten handelt. Der Bekl. gelingt sodann nicht die Entlastung gem. Art. 82 Abs. 3 DS-GVO. Der Kl. hat auch einen immateriellen Schaden iSd Norm erlitten. Der Begriff des Schadens ist nach dem Erwägungsgrund 146 S. 3 weit auszulegen. Es soll ein vollständiger und wirksamer Ersatz des erlittenen Schadens sichergestellt werden. Dies beinhaltet auch eine Abschreckungswirkung des Schadensersatzes zur Wahrung des Effektivitätsgrundsatzes. Auf eine schwerwiegende Persönlichkeitsrechtsverletzung kommt es wegen der notwendigen unionsrechtlichen Auslegung des Schadensbegriffs nicht an. Allerdings erfordert die Ersatzpflicht das Vorhandensein eines konkreten Schadens über den bloßen Verstoß gegen die Vorschriften des DS-GVO hinaus. Dem Gericht steht insoweit gem. § 287 ZPO ein Ermessen zu. Die der Bekl. vorzuwerfenden DS-GVO-Verstöße sind für den Schaden iÜ kausal, wobei eine Mitursächlichkeit ausreicht. Bei einer ordnungsgemäßen umfänglichen Information des Kl. über die Implementierung des Kontaktimporttools hätte eine Einschränkung der Suchbarkeit des Profils und damit eine Umgehung der Verknüpfung von Mobilnummer und Profil stattfinden können. Nach gegenwärtigem allgemeinen Verständnis – entsprechend des Beklagtenvorbringens – waren Daten von Nutzern, deren Suchbarkeit eingeschränkt oder ausgestellt war, nicht vom Scraping-Vorfall betroffen. Dass der Kl. eine solche Einstellung bei umfassender Aufklärung vorgenommen hätte, ist nach seinem Vorbringen unter Würdigung nach allgemeiner Lebenserfahrung anzunehmen. Dass der Kl. seine Suchbarkeitseinstellung nach Kenntnis vom Scraping-Vorfall womöglich nicht oder nicht gleich geändert hat, steht dem nicht entgegen. Denn zu diesem Zeitpunkt hatte die Bekl. bereits neue, verbesserte Schutzvorkehrungen implementiert und kommuniziert, so dass die Entscheidung eines Nutzers auf einer neuen und fundierten Grundlage erfolgte. Überdies war auch die Nichteinhaltung des Art. 32 Abs. 1 DS-GVO ursächlich für den Schaden, da ein höheres angemessenes Schutzniveau zur Vermeidung von Scraping-Attacken eine solche bei praxisnaher Betrachtung und angesichts des Beklagtenvorbringens zu den von ihr im Nachgang zu diesem Vorfall ergriffenen Maßnahmen hätte vermeiden oder zumindest signifikant erschweren können. Insb. die Einschränkungen der Nutzung des Kontaktimporttools (etwa durch Begrenzung abrufbarer Nummern) oder die Einführung des „Social Connection Checks“ hätten das automatisierte Datenabgreifen ersichtlich verhindern können, da sie die uneingeschränkte und unkontrollierte Verknüpfung von wahllos zusammengestellten Mobilnummern mit jeweiligem Facebookprofil unattraktiv oder gar unmöglich gemacht hätte. Dies entspricht nicht zuletzt dem Beklagtenvorbringen zu der Effektivität der von ihr – im Nachgang zum hiesigen Vorfall – ergriffenen Maßnahmen. Gleiches gilt für die Verletzung der Meldepflichten, nachdem diese jedenfalls iSd Mitursächlichkeit bei rechtzeitiger Einhaltung eine Risikominimierung ermöglicht hätten, dies etwa durch zeitige Änderung von Telefonnummern, Passwörtern oder Profildaten. Insgesamt steht dem Kl. nach alledem der beantragte Schadensersatzanspruch aus Art. 82 Abs. 1 DS-GVO iHv 500 EUR zu. Der Kl. kann von der Bekl. auch die Feststellung der Ersatzpflicht für mögliche künftige Schäden verlangen. Die für eine solche Feststellung erforderliche Möglichkeit künftiger Schäden, liegt, wie beschrieben, hier vor. Insb. sind künftige materielle Schäden nicht schlechterdings ausgeschlossen, sollte es in Zukunft zu einer vermögensgefährdenden oder –schädigenden Nutzung der gewonnen Daten kommen. Der Kl. kann aufgrund von Art. 82 Abs. 1 DS-GVO den Ersatz vorgerichtlich aufgewendeter Rechtsanwaltskosten zur Anspruchsdurchsetzung als Schaden geltend machen.

LG Chemnitz Urt. v. 20.3.2023 – 1 O 429/22

500 EUR Ein Anspruch auf Schadensersatz iHv 500 EUR besteht gem. Art. 82 Abs. 1 DS-GVO. Die Bekl. hat gegen mehrere Art. der DS-GVO verstoßen, einschließlich Art. 25 Abs. 2, Art. 32, Art. 33 und Art. 34 Abs. 1 DS-GVO. Die Bekl. hat gegen ihre Pflichten zur Informations- und Aufklärungspflicht gem. Art. 13 DS-GVO verstoßen und hat unzureichende Sicherheitsmaßnahmen getroffen, um den "Scraping-Vorfall" zu verhindern. Die Verstöße gegen die DS-GVO haben dem Kl. einen immateriellen Schaden zugefügt, indem er das Unwohlsein empfunden hat, den Kontrollverlust über seine Daten erlitten zu haben. Der Kl. hat Anspruch auf Schadensersatz, da die Verstöße gegen die DS-GVO ohne die Verletzung des Kl. nicht denkbar wären. Die Bekl. hat auch gegen Art. 5 Abs. 1 lit. f DS-GVO verstoßen, indem sie die Telefonnummer des Kl. erhoben hat, ohne ihn ausreichend über die Zwecke der Erhebung und Verarbeitung zu informieren.

LG Trier Urt. v. 17.3.2023 – 2 O 50/22

500 EUR Entgegen der Auffassung der Bekl. ist der Klageantrag zu 1 hinreichend bestimmt. Die Kammer ist der Auffassung, dass der Anwendungsbereich des Art. 82 Abs. 1 DS-GVO nur eröffnet ist, wenn bei einer Verarbeitung von Daten gegen die DS-GVO verstoßen wurde. Nicht jeglicher Verstoß gegen Normen der DS-GVO begründet einen Anspruch auf Schadensersatz nach Art. 82 Abs. 1 DS-GVO. Es ist vielmehr erforderlich, dass der Verstoß iRe Verarbeitung personenbezogener Daten begangen wird. Der Begriff der Verarbeitung ist ausweislich der Legaldefinition des Art. 4 Ziff. 2 DS-GVO weit gefasst und schließt jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten ein. Hierbei verkennt die Kammer nicht, dass Teile der Lit. und der Rspr. unter Bezugnahme auf den weiten Wortlaut des Art. 82 Abs. 1 DS-GVO davon ausgehen, dass jeder materielle und formelle Verstoß gegen die Verordnung genügt, um eine Haftung nach dieser Norm auszulösen. Diese Auffassung verkennt aber, dass der sachliche Anwendungsbereich der Verordnung gem. Art. 2 DS-GVO auf die „Verarbeitung personenbezogener Daten“ beschränkt wird. Diese Auslegung steht in Einklang zu Art. 82 Abs. 2 DS-GVO und zu dem Erwägungsgrund 146 S. 1 der DS-GVO, aus der die eigentliche Zielsetzung des europäischen Gesetzgebers ersichtlich wird: Der Verantwortliche oder der Auftragsverarbeiter soll Schäden ersetzen, die einer Person aufgrund einer Verarbeitung entstehen, die mit der DS-GVO nicht in Einklang zu bringen sind. Vor diesem Hintergrund ist auch Art. 82 Abs. 1 DS-GVO idS auszulegen. Unter Berücksichtigung dessen ist die Kammer zu der Überzeugung gelangt, dass die Bekl. als Verantwortliche nach Art. 4 Ziff. 7 DS-GVO keine geeigneten organisatorischen Maßnahmen getroffen hat, um die personenbezogenen Daten des Kl. zu schützen. Über das Vorliegen der weiteren von dem Kl. behaupteten Verstöße der Bekl. gegen die DS-GVO brauchte die Kammer nicht mehr zu entscheiden. Auf Grund unzureichender Sicherheitsmaßnahmen bzgl. der Nutzung des Contact-Import-Tools (CIT) verstieß die Bekl. gegen Art. 32245 Abs. 1 lit. f DS-GVO. Nach der von der Kammer vertretenen Rechtsauffassung konnte offengelassen werden, ob die Bekl. gegen die von dem Kl. vorgetragenen weiteren Pflichten verstoßen hat (Art. 1315253334 DS-GVO), da selbst bei einem Verstoß der Anwendungsbereich des Art. 82 Abs. 1 DS-GVO nicht eröffnet wäre. Dem steht auch nicht entgegen, dass die irische Datenschutzbehörde unter Rückgriff auf Art. 25 DS-GVO ein Bußgeld gegen die Bekl. verhängt hat, da im hiesigen Verfahren der Individualanspruch eines Facebook-Nutzers gegen die Bekl. im Raum steht. Die Bekl. hat sich nicht von der Haftung exkulpiert (Art. 82 Abs. 3 DS-GVO). Der Bekl. gelingt vorliegend nämlich weder der Nachweis fehlenden Verschuldens noch des Vorliegens eines solchen Ausnahmefalls. Die Haftungsbefreiung greift bei der Annahme, dass ein Verschulden vorauszusetzen ist, nur dann ein, wenn der Verantwortliche sämtliche Sorgfaltsanforderungen erfüllt hat und ihm nicht die geringste Fahrlässigkeit vorzuwerfen ist. Die Bekl. hat aber fahrlässig gehandelt. Das Risiko von „Scraping“ war ihr bekannt. Dem Kl. ist ein immaterieller Schaden entstanden. Aus dem Wortlaut des Art. 82 DS-GVO folgt, dass der europäische Gesetzgeber nicht davon ausgeht, schon allein die Pflichtverletzung begründe den Schaden. Denn ein Anspruch besteht nur, wenn ein materieller oder immaterieller Schaden „entstanden“ ist. Dieser Unterscheidung hätte es nicht bedürft, wenn ein bloßer Pflichtenverstoß konstitutiv für den Anspruch wäre. Der Verstoß der Bekl. gegen die DS-GVO ist auch kausal für den Schaden des Kl. Es besteht kein Zweifel daran, dass der Kontrollverlust über die eigenen Daten, die der Kl. erlitten hat, auf das unzureichende technische Schutzniveau des sozialen Netzwerks zurückzuführen ist. Soweit verschiedentlich die Auffassung vertreten wird, dass unklar sei, ob etwaige Spam-Nachrichten oder Anrufe auf den „Scraping-Vorfall“ zurückgehen würden und deshalb die Kausalität zwischen Pflichtverletzung und Schaden verneint wird, wird verkannt, dass bei einem so engen Verständnis des Schadensbegriffs ein Kausalitätsnachweis faktisch nie zu führen wäre und damit der Schadensersatzanspruch des Art. 82 DS-GVO entgegen der gesetzgeberischen Konzeption entwertet würde. Der Schaden des Kl. war für die Bekl. auch vorhersehbar. Denn ein völlig atypischer Verlauf, der die Kausalität ausschließen würde, liegt nicht vor und wurde auch nicht vorgetragen. Die Kammer erachtet ein Schmerzensgeld iHv 500 EUR für angemessen. Art. 82 DS-GVO enthält keine Kriterien zur Bestimmung der Höhe des Anspruchs auf immateriellen Schadensersatz. Ausgangspunkt für dessen Bewertung ist der weit auszulegende europarechtliche Schadensbegriff, wobei die Ermittlung gem. § 287 ZPO der Kammer obliegt. Die Höhe des von der Kammer angesetzten immateriellen Schadensersatzanspruchs berücksichtigt den Grundsatz der Verhältnismäßigkeit. Unter Abwägung der genannten Gesichtspunkte erachtet die Kammer einen immateriellen Schadensersatzanspruch iHv 500 EUR für angemessen aber auch ausreichend. Der mit dem Antrag zu 2) geltend gemacht Feststellungsantrag ist begründet. Nach den Ausführungen unter B. I. steht dem Kl. ein Schadensersatzanspruch aus Art. 82 DS-GVO zu, der ein feststellungsfähiges Rechtsverhältnis darstellt. Da die Möglichkeit noch unbekannter materieller Schäden nicht auszuschließen ist, ist der Feststellungsantrag begründet. Der Kl. hat gegen die Bekl. einen Anspruch auf Zahlung der außergerichtlichen Rechtsanwaltskosten, allerdings nur unter Berücksichtigung eines Gegenstandswerts iHv 500 EUR. Bei einem teilweisen Obsiegen kann der Kl. grds. die Rechtsanwaltskosten nur einfordern, soweit er mit dem vorgerichtlich geltend gemachten Anspruch später vor Gericht durchdringt. Vorliegend dringt er mit dem Klageantrag zu 1 teilweise (Gegenstandswert: 500 EUR) durch. Zwar obsiegt er außerdem mit dem Klageantrag zu 2, allerdings wurde die Bekl. vorgerichtlich nicht aufgefordert, ihre Einstandspflicht für materielle Schäden anzuerkennen, so dass insoweit keine vergütungspflichtige Tätigkeit entfaltet wurde. Der Anspruch auf Zahlung der außergerichtlichen Rechtsanwaltskosten beläuft sich damit auf 90,96 EUR.

LG Trier Urt. v. 17.3.2023 – 2 O 99/22

500 EUR Wie LG Trier Urt. v. 17.3.2023 – 2 O 50/22.

LG Trier Urt. v. 17.3.2023 – 2 O 116/22

500 EUR Wie LG Trier Urt. v. 17.3.2023 – 2 O 50/22.

LG Aurich Urt. v. 17.3.2023 – 5 O 227/22 = = ZD 2023, 636 (Ls.)

0 EUR Dem Kl. steht gegen die Bekl. kein Anspruch auf Zahlung eines immateriellen Schadensersatzes zu. Ein Verstoß gegen die Bestimmungen der DS-GVO liegt nicht vor, sodass auch offenbleiben kann, ob die Art. 13141524253234 DS-GVO in den Schutzbereich des Art. 82 DS-GVO fallen. IÜ mangelt es an einem ersatzfähigen Schaden des Kl. iSd Art. 82 Abs. 1 DS-GVO. Der Eintritt des Schadens muss dabei iSd § 287 ZPO als überwiegend wahrscheinlich dargetan werden. Auch wenn der Schadensbegriff im Lichte des Erwägungsgrundes 146 S. 3 der DS-GVO weit zu verstehen ist, so ist es dem Kl. nicht gelungen, diesen unter Zugrundelegung des vorbezeichneten Maßstabs hinreichend konkret darzulegen. Der Kl. benennt zwar als immaterielle Schadenspositionen Ängste, unter denen er leide, die daraus resultierten, dass er einen erheblichen Kontrollverlust über seine Daten erlitten habe und deshalb großem Unwohlsein und Sorgen in Bezug auf einen potentiellen Missbrauch seiner Daten durch Dritte ausgesetzt sei. Zudem sei es seit dem Scraping-Vorfall zu einem Anstieg an offenkundigen Betrugsversuchen in Form von Phishing-Mails und Anrufen gekommen. Das Gericht kann nicht mit hinreichender Wahrscheinlichkeit davon ausgehen, dass der Kl. unter den in der Klageschrift beschriebenen Ängsten und Sorgen tatsächlich leidet.

LG Karlsruhe Urt. v. 16.3.2023 – 4 O 108/22

300 EUR Der Klageantrag zu 1 ist nicht unbestimmt. Vorliegend hat die Bekl. gegen die sich aus Art. 25 Abs. 2 DS-GVO ergebende Verpflichtung verstoßen. Der Einzelrichter folgt nicht der Auffassung, dass ein Verstoß gegen Art. 25 Abs. 2 DS-GVO einen Ersatzanspruch nicht auszulösen vermag. Vielmehr kann aus der Verletzung der sich aus Art. 25 DS-GVO ergebenden Pflichten eine Erhöhung der Gefahr eines Schadens resultieren. Das wird hier augenscheinlich dadurch, dass bei einer Voreinstellung, die mit Art. 25 Abs. 2 DS-GVO konform gewesen wäre, die Mobiltelefonnummer des Kl. und deren Verknüpfung mit dessen Facebook-Profil nicht ohne Weiteres durch die Scraper hätte „ermittelt“ werden können. Denn bei einer entsprechenden Voreinstellung wäre die Suchbarkeit anhand der Mobilfunknummer nicht jedermann eröffnet gewesen, sondern allenfalls einem – aufgrund einer individuellen Auswahl des Kl. begrenztem – Nutzerkreis. Die Bekl. kann sich mit Blick auf den Daten-Scraping-Vorfall nicht nach Art. 82 Abs. 3 DS-GVO entlasten. Insofern kann dahinstehen, ob überhaupt ein Verschulden erforderlich ist bzw. ob die Haftung nach Art. 82 DS-GVO zur Sicherstellung eines möglichst wirksamen Schadensersatzes als Gefährdungshaftung gestaltet ist. Denn der Bekl. ist bereits nach ihrem eigenen Vorbringen eine Entlastung, hinsichtlich derer ihr die Darlegungs- und Beweislast obliegt, nicht gelungen. Sie bringt vor, dass die Daten-Scraper Verfahren eingesetzt hätten, um in großem Umfang Daten mit automatisierten Tools und Methoden zu sammeln, was nach den Nutzungsbedingungen von Facebook untersagt gewesen sei. Damit räumt sie die technische Möglichkeit des Abgreifens von Daten durch die von ihr gewählte Architektur der Facebook- Plattform ein. Wenn aber der Bekl. bewusst ist, dass Daten-Scraper bestimmte Funktionen missbrauchen können, dann wäre es an der Bekl. gewesen, gerade das zu unterbinden. Auch wenn das dem eigenen Verständnis der Facebook-Plattform zuwiderlaufen mag, dem Interesse der Nutzer an der Wahrung ihrer datenschutzrechtlichen Belange entspräche das indes sehr wohl. IÜ liegt es auf der Hand, dass der vorliegend unzulässige „default“ hinsichtlich der allgemein zugänglichen Suchbarkeit per Telefonnummereingabe durch entsprechend sorgfältige Überprüfung anhand der Vorgaben des Art. 25 DS-GVO von der Bekl. mit überschaubarem Aufwand hätte erkannt und vermieden werden können. Hierdurch hätte – ohne eine durch den Nutzer veranlassten Änderung der dann datenschutzfreundlicheren Voreinstellung – das vorliegende „Scraping“ der Nutzerddaten und die Verknüpfung mit den Telefonnummern anhand der öffentlich zugänglichen Telefonnummernsuche nicht stattfinden können und es wäre nicht zum streitgegenständlichen „Datenleak“ gekommen. Insoweit verfängt auch der Einwand der Bekl. nicht, wonach nicht sie, sondern die „Scraper“ die Telefonnummern bereitgestellt und damit die Rufnummernsuche missbraucht hätten. Denn es wäre Sache der Bekl. gewesen, durch entsprechende datenschutzfreundliche Voreinstellungen ein solches automatisiertes Verfahren, wie es von den Scrapern angewendet wurden, von vornherein zu unterbinden. Dem Kl. ist im Zusammenhang mit dem Daten-Scraping-Vorfall auch ein nach Art. 82 DS-GVO ersatzfähiger – immaterieller – Schaden entstanden, für den die Verstöße der Bekl. gegen die DS-GVO kausal waren. Hierbei kann dahinstehen, ob ein Datenschutzverstoß als solcher für das Entstehen eines Schadensersatzanspruchs ausreicht oder es darüber hinaus der Darlegung und des Nachweises eines konkreten – auch immateriellen – Schadens bedarf. Denn ein solcher Schaden ist vom Kl. ausreichend dargetan worden und das Gericht ist aufgrund der persönlichen Anhörung des Kl. auch davon überzeugt, dass die – eine Bagatellgrenze überschreitenden Beeinträchtigungen – auch auf dem streitgegenständlichen „Datenleak“ beruhen. Der Kl. hat insoweit in lebendiger und zusammenhängender Schilderung berichtet, wie er auf das Datenleak aufmerksam geworden sei und in welchem Umfang er seit ca. 2-3 Jahren eine signifikant höhere Zahl an offensichtlichen betrügerisch motivierten Anrufen und SMS auf seine Mobilfunknummer erhalte. Diese Angaben waren nicht nur etwa allgemeiner Art und floskelhaft, sondern der Kl. schilderte im Einzelnen, welche Art von Anrufen und SMS unbekannter Herkunft er in jüngerer Zeit verstärkt erhalte (zB Anrufe vermeintliche Telefondienstleister oder sonstige Unternehmen mit der Zielrichtung der Preisgabe seiner Bankverbindung; offensichtlich betrügerische Zahlungsaufforderungen, Mahnungen angeblicher Zahlungsrückstände etc.; zT gebrochen Deutsch bzw. mit starkem osteuropäischem Akzent sprechende Anrufer). Seine Angabe waren auch deshalb glaubhaft, weil er sich keineswegs nur als „Opfer“ ruchloser Machenschaften darstellte, sondern – im Gegenteil – ungefragt auch Aspekte berichtete, die gegen eine schwere Verletzung seiner persönlichen Datenintegrität sprechen. So teilte er ungefragt mit, dass er derartige Anrufe und SMS zwar einerseits als lästig und bedenklich empfinde, andererseits aufgrund seines beruflichen Hintergrundes im IT-Bereich mit derartigen Betrugsversuchen umzugehen wisse und sich teilweise sogar darüber amüsiere – wenn er gut aufgelegt sei und Zeit habe, verwickle er die offensichtlich kriminell agierenden Anrufer sogar in Gespräche, in deren Verlauf diese irgendwann „entnervt“ aufgeben und den Anruf abbrechen würden. Andererseits verspüre er angesichts seiner nunmehr im Internet veröffentlichten Personendaten – insb. der mit ihm verknüpften Mobilfunknummer – schon ein Unwohlsein angesichts der Tatsache, dass seine Telefonnummer nun jedermann – auch osteuropäischen Kriminellen etc. – zugänglich sei. Auch sei die signifikant gestiegene Zahl an Anrufen und SMS nicht zu jedem Zeitpunkt amüsant, sondern nach den Umständen auch sehr lästig. In einer Gesamtschau der vom Kl. glaubhaft berichteten spürbaren Folgen bewertet das Gericht die Beeinträchtigungen als über eine Bagatellgrenze hinausgehend. Hiergegen spricht nicht, dass der Kl. bisher weder seine Mobilfunknummer gewechselt, noch seine Datenschutzeinstellungen bei Facebook geändert hat, was er freimütig einräumte. Denn für beides konnte er nachvollziehbare Gründe anführen. Das Gericht ist aufgrund der vom Kl. berichteten Anrufe und SMS, insb. deren signifikante Zunahme in einem mit dem streitgegenständlichen Leak korrespondierenden Zeitraum auch davon überzeugt, dass jedenfalls eine Mitursächlichkeit zwischen dem Datenleak im Jahr 2019 und den vielfältigen „Kontaktversuchen“ unbekannter Anrufer etc. besteht. Zum einen liegt ein zeitlicher Zusammenhang vor, zum anderen entsprechen die tatsächlichen Folgen (betrügerisch motivierte Anrufe, SMS) den mit der missbräuchlichen Veröffentlichung der Daten im Internet bzw. „Darknet“ evident intendierten kriminellen Zwecken. Der dem Kl. zuzuerkennende Schadensersatz für den erlittenen immateriellen Schaden ist entsprechend seinem Begehren für den lediglich als gerechtfertigt angesehen Ersatzanspruch wegen der Verstöße im Zusammenhang mit dem Daten-Scraping-Vorfall mit 300 EUR zu bemessen (§ 287 Abs. 1 S. 1 ZPO). Damit kann einerseits der Ausgleichs- und Genugtuungsfunktion genügt werden, andererseits der generalpräventiven Funktion des immateriellen Schadensersatzes hinreichend Rechnung getragen werden. Zum einen ist – mit Blick auf den generalpräventiven Auftrag des Art. 82 DS-GVO – insoweit zu berücksichtigen, dass die Art und Weise der Datenerhebung durch die Bekl. systematisch gegen die Vorgaben der DS-GVO verstößt, um damit Sinn und Zweck der von ihr betriebenen Facebook-Plattform zu fördern. Andererseits ist auch der Umfang der Daten des Kl., die abgegriffen worden sind, zu berücksichtigen. Hierunter ist seine Mobilfunknummer, die über den Vorfall nunmehr für die Allgemeinheit mit seinem Namen verbunden werden kann, ebenso auch das Profil bei Facebook, so dass der Kl. über diesen Weg kontaktiert werden kann. Letztgenannte Profildaten (Vor- und Name, Facebook ID und Geschlecht) hatte der Kl. allerdings ohnehin bereits vor dem streitgegenständlichen Vorfall im Grunde für jedermann zugänglich gemacht, indem diese Daten in seinem öffentlichen Facebook-Profil enthalten waren. Weitergehende Daten, die eine Kontaktaufnahme ermöglichen könnten, sind – nach derzeitigem Kenntnisstand – nicht „gescrapt“ worden. Daher ist der mögliche Schaden, auch die Gefahr eines Identitätsdiebstahls und des „social engineering“ beim Kl., ist damit – auch aufgrund dessen Versiertheit im Umgang mit den einschlägigen Gefahren – letztlich noch überschaubar. Der mit dem Klageantrag zu 2 geltend gemachte Feststellungsantrag ist ebenfalls begründet. Gem. vorstehender Ausführungen hat der Kl. ggü. der Bekl. wegen Verletzung der DS-GVO einen Anspruch auf Schadensersatz nach Art. 82 DS-GVO. Die jeweiligen Gesetzesverletzungen sind – wie bereits erörtert – zudem kausal für den Datenverlust des Kl.. Dass dem Kl. durch das Datenleak künftig noch (materielle) Schäden – etwa infolge erfolgreicher Phising-Anrufe unter Nutzung der veröffentlichten Mobilfunknummer – entstehen können, ist nach den konkreten Umständen zwar eher unwahrscheinlich, indes nicht ausgeschlossen. Die vorgerichtlichen Rechtsanwaltskosten sind als Teil des zu ersetzenden Schadens gem. Art. 82 Abs. 1 DS-GVO zu erstatten.

LG Fulda Urt. v. 14.3.2023 – 3 O 73/22

0 EUR Der Klageantrag zu 1 ist hinreichend bestimmt iSd § 253 Abs. 2 Ziff. 2 ZPO. Dem Kl. steht gegen die Bekl. kein Anspruch auf Ersatz immateriellen Schadens aus Art. 82 DS-GVO zu. Insoweit schießt sich die Kammer der Entscheidungen des LG Frankfurt/M. v. 27.1.2023 (2-27 O 158/22) und des LG Coburgs v. 8.2.2023 (14 O 224/22) an. Die verspätete Erteilung einer Datenauskunft gem. Art. 15 DS-GVO ist keine Verarbeitung personenbezogener Daten iSd Art. 4 Ziff. 2 DS-GVO. Der Kl. hat aus den aufgeführten Gründen auch keinen Anspruch auf immateriellen Schadenersatz aus Art. 82 DS-GVO wegen eines etwaigen Verstoßes der Bekl. gegen die in Art. 34 DS-GVO geregelte Benachrichtigungspflicht. Der Kl. kann den geltend gemachten Anspruch auf Ersatz immateriellen Schadens zudem nicht auf einen Verstoß gegen Art. 5 Abs. 1 lit. f, 32 Abs. 12 DS-GVO wegen unzureichender Sicherheitsvorkehrungen stützen. Zwar umfasst der Anknüpfungspunkt für den Verstoß gegen die DS-GVO nicht nur die Verletzung spezifischer Pflichten, sondern auch allgemeiner Vorgaben wie den Datenschutzgrundsätzen in Art. 5 DS-GVO oder den Anforderungen an die Datensicherheit nach Art. 32 DS-GVO, solange die Verletzung dieser Pflichten wiederum auf einer konkreten Verarbeitung beruhen bzw. sich auf eine solche auswirken. Jedoch hat die Bekl. nicht gegen die ihr dort auferlegte Obliegenheit, personenbezogene Daten vor unbefugter oder unrechtmäßiger Verarbeitung zu schützen, verstoßen. Verstöße gegen das in Art. 2425 Abs. 2 DS-GVO verankerte Prinzip „Privacy by default“ sind ebenfalls nicht feststellbar. Der Kl. kann den geltend gemachten Schadensersatz auch nicht auf eine Verletzung des Art. 35 DS-GVO durch die Bekl. wegen unterlassener Datenschutz-Folgenabschätzung stützen. Jedenfalls fehlt es aber an einem ersatzfähigen Schaden des Kl. iSd Art. 82 Abs. 1 DS-GVO. Zwar ist nach Erwägungsgrund 146 S. 3 DS-GVO der Schadensbegriff weit auszulegen; der wirksame Schadensersatz muss auch Abschreckungscharakter haben. Grundvoraussetzung ist jedoch nach Erwägungsgrund 146 DS-GVO, dass der immaterielle Schaden „erlitten“, also tatsächlich entstanden sein muss (und nicht lediglich befürchtet werden darf). Daraus folgt auch, dass ein bloßer Verstoß gegen die DS-GVO bei der Datenverarbeitung für einen Anspruch auf Ersatz immaterieller Schäden nicht ausreicht. Es muss eine kausal hierauf beruhende spürbare Beeinträchtigung des Geschädigten hinzutreten, um von einem Schaden sprechen zu können, zB eine benennbare und nachweisbare Persönlichkeitsverletzung wie etwa eine „Bloßstellung“. Nach diesen Grundsätzen, denen das Gericht folgt, ist ein Schaden des Kl. weder substantiiert vorgetragen noch ersichtlich. Der klägerseits behauptete „Kontrollverlust über seine Daten“ stellt keine spürbare Beeinträchtigung iSe Persönlichkeitsverletzung und damit keinen Schaden dar. Dasselbe gilt für einen behaupteten „Zustand großen Unwohlseins und Sorge über möglichen Missbrauch seiner Daten“. Die Behauptung, der Kl. habe vermehrt dubiose Nachrichten von unbekannten Adressen und Nummern erhalten, genügt ebenfalls nicht. Ferner gehört derartiges in der digitalisierten Welt mittlerweile zum allgemeinen Lebensrisiko, insb. dann, wenn man – wie der Kl. – durch Unterhaltung eines F.-Accounts seine personenbezogenen Daten ins Internet stellt. Angebliche Spam-E-­Mails und -nachrichten können damit genauso von Personen stammen, die legal durch Teilnahme an einem sozialen Netzwerk an E-­Mail-Adresse und Telefonnummer des Kl. gelangt sind.

LG Berlin Urt. v. 14.3.2023 – 56 O 75/22

250 EUR Der Klageantrag zu 1 ist hinreichend bestimmt. Der Anspruch auf Schadensersatz beruht auf Art. 82 Abs. 12 S. 1 DS-GVO. Die Bekl. hat die personenbezogenen Daten des Kl. nicht in einer den Vorgaben der DS-GVO entsprechenden Weise verarbeitet. Für die erfolgte Verarbeitung fehlt es bereits an einer tauglichen Rechtsgrundlage. Das Vorliegen einer solchen Rechtsgrundlage hat die Bekl. nicht dargetan. Der Bekl. fällt bereits ein Verstoß gegen die Transparenzpflichten aus Art. 5 Abs. 1 lit. a, 1314 DS-GVO zur Last. Die Bekl. hat überdies gegen die Verpflichtung zum Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen aus Art. 25 DS-GVO verstoßen. Der Verstoß gegen Art. 25 Abs. 2 DS-GVO ist auch dazu geeignet, einen Ersatzanspruch nach Art. 82 DS-GVO auszulösen, da aus der Verletzung der sich aus Art. 25 DS-GVO ergebenden Pflichten eine Erhöhung der Gefahr eines Schadens resultieren kann. Diese Gefahr hat sich vorliegend realisiert. Bei einer mit Art. 25 Abs. 2 DS-GVO konformen Voreinstellung wäre den unbekannten Dritten ein Abgreifen der Telefonnummer des Kl. nicht ohne Weiteres möglich gewesen. Die Bekl. hat auch gegen ihre Pflichten aus Art. 3224 DS-GVO zur Ergreifung geeigneter technischer und organisatorischer Schutzmaßnahmen verstoßen. Nach alledem liegt ein Verstoß gegen Art. 32245 Abs. 1 lit. f DS-GVO vor, der bei Vorliegen der übrigen Anspruchsvoraussetzungen einen Anspruch nach Art. 82 DS-GVO zur Folge hat. Es kann dahinstehen, ob die Bekl. auch gegen ihre Pflichten aus Art. 33 (Meldung an die Aufsichtsbehörde), Art. 34 (Information des Kl.) und Art. 15 (Auskunftserteilung) DS-GVO verstoßen hat. Zum einen folgt aus diesen Verstößen letztlich kein weitergehender Unrechtsgehalt als aus den bereits dargelegten Verstößen. Zum anderen hatten auch eine ordnungsgemäße Meldung der Verstöße an die Aufsichtsbehörde nach Art. 33 DS-GVO, eine Benachrichtigung des Kl. über die Verstöße nach Art. 34 DS-GVO und die Erteilung einer ordnungsgemäßen Auskunft über die verarbeiteten Daten nach Art. 15 DS-GVO den beim Kl. aufgrund des Scraping-Vorfalls verursachten Schäden nicht mehr mindern können. Etwaige Verstöße sind für den eingetretenen Schaden mithin nicht kausal. Die Bekl. kann sich mit Blick auf den Scraping-Vorfall nicht nach Art. 82 Abs. 3 DS-GVO entlasten. Insofern kann dahinstehen, ob überhaupt ein Verschulden erforderlich ist bzw. ob die Haftung nach Art. 82 DS-GVO zur Sicherstellung eines möglichst wirksamen Schadensersatzes als Gefährdungshaftung gestaltet ist. Der Bekl. ist bereits nach ihrem eigenen Vorbringen eine Entlastung, hinsichtlich derer ihr die Darlegungs- und Beweislast obliegt, nicht gelungen. Sie bringt vor, dass die Daten-Scraper Verfahren eingesetzt hatten, um in großem Umfang Daten mit automatisierten Tools und Methoden zu sammeln, was nach den Nutzungsbedingungen von Facebook untersagt gewesen sei. Damit räumt sie die technische Möglichkeit des Abgreifens von Daten durch die von ihr gewählte Architektur der Facebook-Plattform ein. Wenn aber der Bekl. bewusst ist, dass Daten-Scraper bestimmte Funktionen missbrauchen können, dann wäre es an der Bekl. gewesen, gerade das zu unterbinden – notfalls auch durch Deaktivierung des CIT. Auch wenn das dem eigenen Verständnis der Facebook-Plattform zuwiderlaufen mag – dem Interesse der Nutzer an der Wahrung ihrer datenschutzrechtlichen Belange entspräche das indes sehr wohl. Die Bekl. trägt überdies nichts Konkretes dazu vor, was sie gegen die ihr bekannte Möglichkeit unternommen haben will. Sie bringt nur – letztlich recht pauschal – vor, sie habe Maßnahmen getroffen, um das Risiko von Scraping zu unterbinden, und entwickle ihre eigenen Maßnahmen zur Bekämpfung von Scraping kontinuierlich und als Reaktion auf die sich ständig ändernden Techniken und Strategien weiter. Ebenso wenig konkret und nachvollziehbar ist die pauschale Feststellung der Bekl., in der Regel wurden lediglich die Methoden, mit denen auf die maßgeblichen Funktionen zugegriffen werden könne, beschränkt, um zu verhindern, dass die gesamte zugrundeliegende Funktion beseitigt werde. Anderes ergibt sich auch nicht aus der ergänzenden Darstellung der Klageerwiderung und des Schriftsatzes v. 25.1.2023, vielmehr gesteht die Bekl. zu, dass die zutreffende Reaktion zur Verhinderung des hier stattgefundenen Daten-Scraping gewesen sei, das Verknüpfen von Telefonnummern mit bestimmten Facebook-Nutzern durch das CIT zu verhindern. Das hatte sie – wie sie im Schriftsatz v. 25.1.2023 mitteilt – nicht gemacht, weil zunächst Scraping-Aktivitäten über das CIT nicht festgestellt worden seien. Das nach dem Vorbringen der Bekl. erfolgte Absenken der Übertragungsbeschränkungen war offenkundig unzureichend. Soweit die Bekl. darauf abstellt, es handele sich dabei um eine legitime, nützliche Nutzerfunktion, mag dies zwar nützlich und hilfreich für einzelne Nutzer sein, erforderlich ist es indes nicht. Auch der Hinweis, dass die Telefonnummern von den Daten-Scrapern „bereitgestellt“ worden sei, entlastet die Bekl. nicht. Wie bereits dargelegt, wurden die fiktiven Telefonnummern erst durch die Zuordnung über die Suchfunktion der Bekl. zu einzelnen Nutzerprofilen zu personenbezogenen Daten. Es wäre an der Bekl. gewesen, ein solch automatisiertes Verfahren zu verhindern. Dem Kl. ist im Zusammenhang mit dem Scraping-Vorfall auch ein nach Art. 82 DS-GVO ersatzfähiger – immaterieller – Schaden entstanden, für den die Verstöße der Bekl. gegen die DS-GVO kausal waren. Nach richterlichem Ermessen gem. § 287 Abs. 1 ZPO ist dem Kl. für die erlittenen immateriellen Schäden ein Schmerzensgeld iHv 250 EUR zu zuzusprechen (§ 287 Abs. 1 S. 1 ZPO). Es kann insofern dahinstehen, ob ein Datenschutzverstoß als solcher für das Entstehen eines Schadensersatzanspruchs ausreicht oder es darüber hinaus der Darlegung und des Nachweises eines konkreten – auch immateriellen – Schadens bedarf. Der Kl. hat einen konkreten, in Zusammenhang mit dem Scraping-Vorfall stehenden Schaden behauptet und zur Überzeugung des Gerichts im Rahmen seiner persönlichen Anhörung nachvollziehbar erläutert. Das Merkmal des immateriellen Schadens ist autonom auszulegen. Erwägungsgrund 146 S. 3 DS-GVO sieht vor, dass der Begriff des Schadens im Lichte der Rspr. des EuGH weit auf eine Art und Weise ausgelegt werden soll, die den Zielen dieser Verordnung in vollem Umfang entspricht. Damit ist insb. die Rspr. des EuGH in Bezug genommen, wonach der Schaden so bemessen werden muss, dass ihm eine hinreichend abschreckende Funktion im Hinblick auf den Schutz der betroffenen Rechtsgüter zukommt. Erwägungsgrund 75 DS-GVO nennt etwa Identitätsdiebstahl oder -betrug, finanzielle Verluste, Rufschädigung oder den Verlust der Kontrolle personenbezogener Daten. Ein nationales Verständnis zum Begriff des Schadens – etwa eine enge Auslegung – ist mithin nicht angezeigt. Ersatzfähig als Schaden sind grds. alle zurechenbaren Nachteile, die der Geschädigte an seinem Vermögen oder an sonstigen rechtlich geschützten Gütern erleidet. Der Schaden kann auch bereits etwa in dem unguten Gefühl liegen, dass personenbezogene Daten Unbefugten bekannt geworden sind, insb. wenn nicht ausgeschlossen ist, dass die Daten unbefugt weiterverwendet werden – ja bereits in der Ungewissheit, ob personenbezogene Daten an Unbefugte gelangt sind. So können unbefugte Datenverarbeitungen zu einem Gefühl des Beobachtetwerdens und der Hilfslosigkeit führen, was die betroffenen Personen letztlich zu einem reinen Objekt der Datenverarbeitung degradiert. Den Kontrollverlust nennt Erwägungsgrund 75 ausdrücklich als „insb.“ zu erwartenden Schaden; denknotwendig kann es sich dabei regelmäßig nur um einen immateriellen Schaden handeln. Spezifische Angaben, wie konkret sich der Kontrollverlust auf die Persönlichkeit und auf das Leben der betroffenen Person ausgewirkt hat, sind nicht erforderlich. Als mögliche Schäden kommen darüber hinaus zB auch Ängste, Stress sowie Komfort- und Zeiteinbußen in Betracht, die sich vor allem nach den im konkreten Fall erforderlichen Abhilfemaßnahmen richten. Gerade aktuelle Skandale unterstreichen die Aussage des Bundesverfassungsgerichts aus dem Volkszählungsurteil, dass es keine belanglosen Daten mehr gibt, weil gerade die vermeintlich harmlosen Einzelangaben genutzt werden, um biometrische Daten zu gewinnen, Persönlichkeitsprofile zu erstellen, Wahlen zu beeinflussen etc. Zwar ist der Bekl. darin recht zu geben, dass die von dem Kl. vorgetragenen Belästigungen durch Anrufe und SMSen nicht notwendigerweise auf die mit dem Scraping-Vorfall verbundene Veröffentlichung der klägerischen Daten zurückzufuhren sind. Der Kl. hat jedoch nachvollziehbar zum Ausdruck gebracht, dass er als nicht „besonders kommunikativer" Mensch ähnliche Belästigungen aufgrund des Scraping-Vorfalls befürchtet. Die diesbezüglichen Angaben des Kl. erachtet das Gericht als glaubhaft, er selbst wirkt glaubwürdig. Er räumte ohne Weiteres ein, dass er Verschiedenes nicht mehr genau wusste, und war keineswegs bemüht, die floskelhaften Formulierungen der Klage zu wiederholen, sondern schilderte das, was ihn gestört hat, ohne Übertreibung und ohne erkennbaren Blick auf das, was seinem Begehren vermeintlich dienlicher sein konnte. Die geschilderten Beeinträchtigungen des Kl. mögen nicht massiv sein. Aus Sicht des Gerichts sind sie jedoch – auch angesichts der Zugriffsmöglichkeit durch jedermann – nicht als so unerheblich zu qualifizieren, dass dem Kl. ein entsprechender Schadensersatzanspruch aufgrund der Geltendmachung eines sog. Bagatellschadens nicht zuzubilligen wäre. Einen Ausschluss vermeintlicher Bagatellschäden sieht das Gesetz auch gar nicht vor. Es wäre widersinnig, für denselben Verstoß auf der einen Seite hohe Geldbußen nach Art. 83 DS-GVO vorzusehen und auf der anderen Seite jeglichen Schaden bei der betroffenen Person zu verneinen. Im Gegenteil fehlt gerade bei den Erwägungsgründen zum Schadensersatz der in Erwägungsgrund 148 S. 2 zu findende Hinweis auf geringfügige Verstöße, bei denen ausnahmsweise auf die Verhängung einer Geldbuße verzichtet werden kann. Soweit es nicht um reine Formfehler wie Verstöße gegen Dokumentationspflichten geht, geht mit der Verletzung datenschutzrechtlicher Normen letztlich immer ein immaterieller Schaden einher. Der immaterielle Schaden kann auch allein darin liegen, dass personenbezogene Daten Dritten – unabhängig von der Frage, wozu sie von diesen verwendet werden konnten – ohne Einverständnis zugänglich gemacht wurden. Dies gebietet das sog. Effektivitätsgebots, das die Rspr. gem. Art. 4 Abs. 3 EUV dazu verpflichtet, der DS-GVO effektiv Wirkung zu verschaffen. Dabei ist auch – anders als von der Bekl. angenommen – anhand der im Internet veröffentlichen personenbezogenen Daten des Kl. unter Nennung seiner Facebook-ID und seiner bis zu diesem Zeitpunkt grds. nicht öffentlich zugänglichen Telefonnummer – zugrunde zu legen, dass auch die Telefonnummer des Kl. Gegenstand des Scraping-Vorfalls geworden ist. Die Verstöße sind schließlich für den eingetretenen Schaden auch kausal. Die Veröffentlichung der Telefonnummer des Kl. ist ohne die Verletzung der Pflichten der Bekl. nach Art. 6, Art. 25 Abs. 2 und Art. 13 DS-GVO nicht denkbar. Auf Grund des Verstoßes gegen die Verpflichtung eines Datenschutzes durch Voreinstellung und durch den unterbliebenen Hinweis auf die Auffindbarkeit der Telefonnummer bei Nutzung des CITs ist es erst möglich geworden, dass personenbezogene Daten von Dritten abgegriffen worden sind. Eine Mitursächlichkeit ist ausreichend, eine alleinige Kausalität nicht gefordert, daher ist insofern nicht erheblich, dass der Kl. nach der erstmaligen Anmeldung bei Facebook die Datenschutzeinstellungen nicht geändert hat. Es kann dahinstehen, ob ein Mitverschulden des Geschädigten iRv Art. 82 DS-GVO zu berücksichtigen ist. Ein etwaiges Mitverschulden des Kl. (§ 254 BGB), weil er die Datenschutzeinstellungen seines Facebook-Profils nicht geändert und den Zugriff durch die Daten-Scraper mit ermöglicht hat, tritt jedenfalls hinter den Verstößen der Bekl. zurück. Die Bekl. zielt mit ihren Voreinstellungen gerade darauf ab, dass Nutzer diese Einstellungen zur Förderung der Netzwerkaktivitäten beibehalten. Sie kann sich daher nicht, wenn sich die Gefahren, die sich durch ihr verordnungswidriges Verhalten ergeben, realisiert haben, darauf berufen, es sei am Kl. gewesen, dies iSd Schutzes seiner personenbezogenen Daten zu korrigieren. Das gilt umso mehr für das CIT, über dessen Funktionsweise und die damit verbundenen Gefahren seitens der Bekl. nicht hinreichend aufgeklärt wird. Das Gericht hält ein Schmerzensgeld iHv 250 EUR für angemessen, aber auch ausreichend, um sowohl dessen Ausgleichs- und Genugtuungsfunktion als auch dessen generalpräventiver Funktion des immateriellen Schadensersatzes hinreichend Rechnung zu tragen. Zum einen ist – mit Blick auf den generalpräventiven Auftrag des Art. 82 DS-GVO – insoweit zu berücksichtigen, dass die Art und Weise der Datenerhebung durch die Bekl. systematisch gegen die Vorgaben der DS-GVO verstößt, um damit Sinn und Zweck der von ihr betriebenen Facebook-Plattform zu fördern. Andererseits ist auch der Umfang der Daten des Kl., die abgegriffen worden sind, zu berücksichtigen. Die aufgrund des Scraping-Vorfalls erlangte Telefonnummer des Kl. ermöglicht, dass der Kl. ungewollt kontaktiert werden kann. Weitergehende Daten, die eine Kontaktaufnahme ermöglichen könnten, wurden – nach derzeitigem Kenntnisstand – jedoch nicht von Dritten gescrapt. Daher ist der mögliche Schaden, auch wenn die Gefahr eines Identitätsdiebstahls nicht ausgeschlossen werden kann, für den Kl. letztlich noch überschaubar.

LG Heilbronn Urt. v. 10.3.2023 – Ri 1 O 48/22 = ZD 2023, 637 (Ls.)

0 EUR Dem Kl. steht gegen die Bekl. kein Anspruch auf immateriellen Schadensersatz gem. Art. 82 Abs. 1 DS-GVO zu. Ein Verstoß gegen Vorschriften der DS-GVO, der einen Schadensersatzanspruch des Kl. gegen die Bekl. als Verantwortliche nach Art. 82 Abs. 1 DS-GVO begründen könnte, ist nicht festzustellen. Dahinstehen kann, ob die Bekl. wegen Verletzung von Informationspflichten, unzureichender Auskünfte, Meldungen oder Benachrichtigungen gegen Artt. 13141533 und 34 DS-GVO verstoßen hat. Verstöße gegen diese Vorschriften sind bereits nicht vom Schutzbereich des Art. 82 DS-GVO umfasst. Dies ergibt sich zwar nicht allein aus Art. 82 Abs. 1 DS-GVO, der auf einen Verstoß gegen die DS-GVO abstellt, folgt aber aus der klarstellenden Regelung in Art. 82 Abs. 2 DS-GVO, wonach jeder an einer Verarbeitung beteiligte Verantwortliche für den Schaden haftet, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. Daraus folgt, dass Anknüpfungspunkt für die Haftung eine der Verordnung nicht entsprechende Verarbeitung iSv Art. 4 Ziff. 2 DS-GVO ist. Dies steht auch im Einklang mit dem Erwägungsgrund 146 DS-GVO. Ein Schadensersatzanspruch gem. Art. 82 Abs. 1 DS-GVO scheitert auch an fehlenden Nachweis, dass durch einen – unterstellten – Verstoß beim Kl. ein Schaden verursacht wurde. Hinsichtlich des Eintritts eines Schadens durch den Rechtsverstoß ist der Ast. beweisbelastet. Die Verordnung bietet keine Grundlage für eine Beweiserleichterung. Dass Dritte mit unbefugt erlangten Daten regelmäßig versuchen, den Kl. per E-­Mail oder telefonisch zu erreichen ist nicht erwiesen. Es steht aber auch nicht fest, dass der Kl. mit Spam-Nachrichten, insb. in Form von verlinkten Textnachrichten, belästigt wird, die auf das Scraping bei der Bekl. zurückzuführen sind. IÜ dürfte bei einem einmaligen Kontaktversuch vor jedenfalls bald einem Jahr kaum eine auch bei Art. 82 DS-GVO zu beachtende Bagatellgrenze überschritten sein.

LG Bielefeld Urt. v. 10.3.2023 – 19 O 147/22= ZD 2023, 634 (Ls.)

0 EUR Der Zulässigkeit der Klage steht nicht die Unbestimmtheit (§ 253 Abs. 2 ZPO) entgegen. Es fehlt zunächst an einer schadenersatzauslösenden Pflichtverletzung der Bekl. Unabhängig davon fehlt es an einem ersatzfähigen Schaden des Kl. iSd Art. 82 Abs. 1 DS-GVO. Nach den Erwägungsgründen der europäischen Grundrechtscharta ist der Schadensbegriff weit auszulegen (s. Erwägungsgrund 146, auch wenn er in der DS-GVO nicht näher definiert wird). Allein eine unterstellte Verletzung des Datenschutzrechts als solche begründet allerdings nicht bereits für sich gesehen einen Schadensersatzanspruch für betroffene Personen. Die Verletzungshandlung muss in jedem Fall auch zu einer konkreten, nicht nur völlig unbedeutenden oder empfundenen Verletzung von Persönlichkeitsrechten der betroffenen Personen geführt haben. In den Erwägungsgründen Ziff. 75 und 85 werden einige mögliche Schäden aufgezählt, darunter Identitätsdiebstahl, finanzielle Verluste, Rufschädigung, aber auch der Verlust der Kontrolle über die eigenen Daten sowie die Erstellung unzulässiger Persönlichkeitsprofile. Der Schaden ist zwar weit zu verstehen, er muss jedoch auch wirklich „erlitten“ (Erwägungsgrund 146 S. 6), das heißt „spürbar“, objektiv nachvollziehbar, von gewissem Gewicht sein, um bloße Unannehmlichkeiten auszuschließen. Gemessen an diesen Grundsätzen hat der Kl. schon keine spürbare Beeinträchtigung – hervorgerufen durch Datenverlust – von persönlichen Belangen dargelegt. Der Kl. trägt vor, einen erheblichen Kontrollverlust über seine Daten erlitten und Sorge vor Missbrauch seiner Daten zu haben. Seit dem Scraping-Vorfall 2019 und Veröffentlichung im April 2021 auf der eingangs benannten Seite sei es zu einem Anstieg von SMS und Mails gekommen. Zugleich hat er aber im Rahmen seiner Anhörung gem. § 141 ZPO bekundet, seit Entdeckung des Scraping-Vorfalls im April 2021 nichts an seinen Profileinstellungen bei F. geändert zu haben oder sein F.-Konto gelöscht zu haben. Erst im Verfahren habe er die Suchbarkeitsfunktion der Telefonnummer geändert und daher bis dato selbst dafür gesorgt, dass seine Telefonnummer mit seinem Profil in Verbindung gebracht werden konnte. Schon dieser Umstand lässt die Angabe, Furcht vor einem Kontrollverlust über seine Daten zu haben, unplausibel erscheinen. Insb., da sich der Kl. als Informatiker auch nicht auf mangelnde Fachkenntnisse berufen kann. Die Möglichkeit der Weiterverarbeitung der Daten an sich kann nicht ausreichend sein, um einen genügenden Schaden annehmen zu können, insb. da dadurch nicht konkrete entstandene Konsequenzen beim Kl. vorgetragen werden. Die schriftsätzliche Argumentation, der Kl. sei verstärkt misstrauisch bzgl. Spam-E-­Mails, ist zudem zurückzuweisen. Die E-­Mail-Adresse des Kl. war nicht betroffen. Während dies in der Klageschrift noch behauptet wurde, hat sich dies aus der persönlichen Anhörung gerade nicht ergeben: Nach den Kenntnissen des Kl. sei die E-­Mail-Adresse nicht betroffen. Es passt zudem nicht zu den schriftsätzlichen Schilderungen des Kl. bzgl. des Scraping-Vorfalls. Es wäre völlig unklar, wie die Scraper an die E-­Mail-Adresse des Kl. gekommen sein sollten. Es bedurfte auch keiner Aussetzung des Verfahrens und Vorlage an den EuGH mit Blick auf die anstehende Entscheidung des EuGH zur Rs. C-300/21 [= ZD 2023, 446 mAnm Mekat/Ligocki] – Österreichische Post zu der Frage, ob es eines konkreten, messbaren Schadens bedarf. Da keine letztinstanzliche Entscheidung vorliegt, besteht keine Vorlagepflicht gem. Art. 267 Abs. 3 AEUV. Schließlich fehlt es vorliegend auch an einer Kausalität. Soweit der Kl. behauptet, er erhalte unerwünschte Anrufe und Nachrichten, so handelt es sich insoweit ebenfalls um eine Erscheinung, die bereits mit der Nutzung als solcher zusammenhängt. Selbst wenn beim Kl. tatsächlich derartige Anrufe erst seit April 2021 bestehen, so ist völlig unklar, worauf dies fußt. Es ist völlig unbekannt, ob und welche Daten der Kl. an anderer Stelle freigegeben hat und ob ein unberechtigter Datenzugriff an anderer Stelle zu diesem – zu Gunsten des Kl. als wahr unterstellten vermehrten unerwünschten SMS und Anruf-Aufkommens – geführt hat. Auch hat der Kl. erst im laufenden Verfahren die Suchbarkeitseinstellung geändert und nicht schon nach Erhalt der ersten Spamnachrichten oder -anrufe. Die Klage auf Feststellung einer Ersatzpflicht künftiger materieller und immaterieller Schäden ist mangels Vorliegens einer Pflichtverletzung und eines Schadens unbegründet.

LG Berlin Urt. v. 9.3.2023 – 65 O 92/22 = ZD 2023, 561

0 EUR Der Klageantrag zu 1 genügt den Bestimmtheitsanforderungen des § 253 Abs. 2 Ziff. 2 ZPO. Danach muss die Klageschrift die bestimmte Angabe des Gegenstandes und des Grundes des erhobenen Anspruchs, sowie einen bestimmten Antrag enthalten. Ebene diese Voraussetzungen liegen vor. Der Kl. hat insb. einen Mindestbetrag für die vom Gericht – ggf. – vorzunehmende Schätzung des immateriellen Schadens angegeben. Auch der Klageantrag zu 2 ist zulässig. Er ist den unter Ziff. 1 dargestellten Anforderungen gem. hinreichend bestimmt; bereits aus dem Inhalt des Klageantrags ergibt sich, dass der Kl. den Ersatz „künftiger“ Schäden begehrt, den er aus dem in der Klageschrift dargestellten Sachverhalt herleitet. Der Kl. hat keinen Anspruch auf immateriellen Schadensersatz iHv mindestens 1.000 EUR. Der Anspruch ergibt sich unter keinem rechtlichen Gesichtspunkt, insb. nicht aus Art. 82 Abs. 1 DS-GVO. Hier fehlt es an jedem Hinweis dafür, dass dem Kl. überhaupt ein immaterieller Schaden entstanden ist. Das Merkmal des immateriellen Schadens ist autonom auszulegen. Erwägungsgrund 146 S. 3 DS-GVO sieht vor, dass der Begriff des Schadens im Lichte der Rspr. des EuGH weit auf eine Art und Weise ausgelegt werden soll, die den Zielen dieser Verordnung in vollem Umfang entspricht. Erwägungsgrund 75 DS-GVO nennt etwa Identitätsdiebstahl, finanzielle Verluste, Rufschädigung oder den Verlust der Kontrolle personenbezogener Daten. Eine Erheblichkeitsschwelle für das Vorliegen eines Schadens ergibt sich zwar nicht aus der DS-GVO, Bagatellschäden sind daher nicht auszuschließen. Zu verlangen ist aber jedenfalls, dass ein konkreter immaterieller Schaden auch tatsächlich eingetreten („entstanden“) ist. Hierzu trägt der Kl. konkret nichts vor. Er beschränkt sich auf allgemeine Floskeln, die einen persönlichen Bezug bzw. einen Bezug zu dem geltend gemachten Schadenereignis vollständig vermissen lassen. Misstrauen ggü. E-­Mails und Anrufen von unbekannten Nummern und Adressen ist vollkommen unabhängig vom hier geltend gemachten Sachverhalt stets angezeigt; vor der Rufannahme oder dem Anklicken von Mails unbekannter Absender wird – allgemein bekannt, § 291 ZPO – regelmäßig gewarnt. Ebenso verhält es sich mit den vom Kl. nicht näher spezifizierten, „unregelmäßig unbekannten Kontaktversuchen“; auch solchen ist jedermann in unregelmäßigen Abständen – allgemein bekannt – ausgesetzt, ohne dass sich ein Bezug zur Bekl. Unabhängig davon müsste der Kl. sich ein die Ersatzpflicht der Bekl. ausschließendes Mitverschulden deshalb entgegenhalten lassen, weil er selbst – frei und autonom – entschieden hat, die Informationen zu seiner Person auf der Plattform der Bekl. öffentlich einsehbar zu stellen. Ein Mindestmaß an Information und Kenntnisnahme der erkennbaren, bereits aus der verwendeten Begrifflichkeit drängen sich die offenkundigen Unterschiede zwischen „Privatsphäre“-Einstellungen und der Einstellung „öffentlich“ auf. Wenn der Kl. davon absieht, sich näher zu informieren, geht eben dies zu seinen Lasten. herstellen ließe. Der Klageantrag zu 2 ist ebenfalls unbegründet. Es ergibt sich aus dem Vortrag des Kl. kein Anhaltspunkt dafür, dass ihm aus dem bereits mehrere Jahre zurückliegenden Ereignis jemals ein Schaden entstanden ist oder entstehen könnte.

LG Memmingen Urt. v. 9.3.2023 – 35 O 1036/22

0 EUR Der unbestimmte Klageantrag zu 1 der Klage führt nicht zu einer Unzulässigkeit. Ein Anspruch auf Ersatz des immateriellen Schadens in der geltend gemachten Höhe von 1.000 EUR steht der Klagepartei nicht zu. Der Anspruch auf Ersatz des immateriellen Schadens ergibt sich nicht aus Art. 82 DS-GVO. Der Anspruch ergibt sich bereits nicht aus Art. 82 DS-GVO, da der Schutzbereich nicht eröffnet ist. Art. 82 DS-GVO erfasst Verstöße, welche durch eine nicht der Verordnung der DS-GVO entsprechende Verarbeitung (von Daten) entstanden sind, vgl. Art. 82 Abs. 2 DS-GVO. Erforderlich ist daher von vornherein eine Verarbeitung von Daten iSv Art. 4 Ziff. 2 DS-GVO. Die von Klageseite vorgebrachten Verstöße gegen Art. 1314 DS-GVO, Art. 34 DS-GVO und Art. 15 DS-GVO betreffen einzig und allein Informationspflichten ggü. den betroffenen Personen. Die Information über die Verarbeitung von personenbezogenen Daten stellt aber keine Verarbeitung von personenbezogenen Daten iSv Art. 4 Ziff. 2 DS-GVO dar, sodass der Klageseite ein entsprechender Schadensersatzanspruch aus etwaigen (nicht vorliegenden) Verstößen nicht zustehen kann. Unabhängig von der Frage, ob der Schutzbereich eröffnet ist, scheitert der geltend gemachte Anspruch jedoch vorliegend an den entsprechenden Pflichtverletzungen der Bekl. Ein Verstoß gegen die Transparenzpflichten aus Art. 5 Abs. 1 lit. a, Art. 1314 DS-GVO fällt der Bekl. nicht zur Last. Es liegt auch kein Verstoß der Bekl. gegen Art. 24 Abs. 132 Abs. 1 DS-GVO vor. Auch ein Verstoß gegen Art. 25 Abs. 2 DS-GVO ist nicht gegeben. Ein Verstoß gegen Art. 33 DS-GVO liegt ebenfalls nicht vor. Auch ein Verstoß gegen Art. 35 DS-GVO ist nicht gegeben. Auch einen Verstoß gegen die Auskunftspflicht gem. Art. 15 DS-GVO kann die Kammer vorliegend nicht erkennen. Der geltend gemachte Schadensersatzanspruch scheitert darüber hinaus auch daran, dass ein ersatzfähiger Schaden iSv Art. 82 Abs. 1 DS-GVO nicht vorliegt. Der Eintritt des Schadens muss dabei iSd § 287 ZPO als überwiegend wahrscheinlich dargetan werden. Das Gericht verkennt dabei nicht, dass der Schadensbegriff im Lichte des Erwägungsgrundes Ziff. 146 der DS-GVO weit zu verstehen ist, sodass ein genereller Ausschluss von Bagatellschäden im Lichte dieser Erwägungsgründe nicht vertretbar ist. Dennoch muss jedenfalls ein Schaden tatsächlich „erlitten“ worden sein (Erwägungsgrund 146 S. 6), das heißt jedenfalls ersichtlich, spürbar, objektiv nachvollziehbar und von einem gewissen Gewicht sein. Dem Kl. ist es letztlich nicht gelungen, eine solche spürbare Beeinträchtigung unter Berücksichtigung der vorgenannten Umstände konkret darzulegen. Die Klageseite führt als immaterielle Schadenspositionen Ängste, unter denen der leide, die daraus resultierten, dass er einen erheblichen Kontrollverlust über seine Daten erlitten habe und deshalb großem Unwohlsein und Sorgen in Bezug auf einen potentiellen Missbrauch seiner Daten durch Dritte ausgesetzt sei. Zudem sei es seit dem Scraping-Vorfall zu einem Anstieg an offenkundigen Betrugsversuchen in Form von Phishing-Mails und Anrufen gekommen. Selbst bei Unterstellung der geschilderten Umstände als wahr, genügt dies den obigen Anforderungen jedoch nicht. Selbst Personen, die keinen F. Account nutzen und dort nicht ihre Mobilfunknummer hinterlegt haben, erhalten gerichtsbekannt unerwünschte E-­Mails und Nachrichten. Soweit die Klageseite vorbringt, dass nur den Wenigsten eine konkrete Schadendarstellung aufgrund der Reichweite und der Größe des Datenlecks gelingen dürfte und daher schon aufgrund einer bloßen Gefährdung einen Schaden annehmen will, kann sich die Kammer diesen Erwägungen nicht anschließen. Insgesamt erscheint ein Identitätsmissbrauch allein aufgrund einer Telefonnummer eher unwahrscheinlich. Insb. würde der Schadenbegriff so aufgeweicht und ausgedehnt und es würde der konkrete Nachweis einer möglichen Betroffenheit genügen, um eine Haftung zu begründen. Dies käme einer reinen Gefährdungshaftung gleich und widerspricht letztlich auch dem Erwägungsgrund 75. Eine Vorlagepflicht gem. Art. 267 Abs. 3 AEUV trifft das Gericht hierbei nicht, da sie nicht letztinstanzlich über die Sache entscheidet. Von der Möglichkeit zur Vorlage nach § 267 Abs. 2 AEUV macht die Kammer schon deshalb keinen Gebrauch, weil die Sache darüber hinaus bereits aus anderen Gründen keinen Erfolg hat. Zudem fehlt es an der Kausalität zwischen dem Vorwurf und dem in den Raum gestellten Schaden. Soweit der Kl. behauptet, er erhalte unerwünschte SMS und E-­Mails, so handelt es sich um ein „Phänomen“, das bereits mit der Nutzung des Internets als solcher zusammenhängt. Der Kammer ist bekannt, dass selbst Personen, welche keinen F. Account besitzen unerwünschte Anrufe und Nachrichten erhalten. Insb. sind Spam-E-­Mails mit Werbung oder Hinweis auf eine ausstehende Paketlieferung weit verbreitet. Auch Nachrichten, in welchen sich die Unbekannten Täter als Kind in Not mit neuer Handynummer ausgeben, sind üblich und gehen beinahe überall ein. Selbst wenn beim Kl. tatsächlich derartige Anrufe und Nachrichten seit April 2021 zugenommen haben mögen, so kann dies vielerlei Ursachen haben. Es ist völlig unklar und unbekannt, ob und welche Daten der Kl. an anderer Stelle freigegeben hat (zB im Rahmen weiter verbreiteter Phishing E-­Mails) und ob ein unberechtigter Datenzugriff an anderer Stelle zu dem vom Kl. behaupteten vermehrten unerwünschten Nachrichtenaufkommen geführt hat. Ausführungen zur Höhe des geltend gemachten Schmerzensgeld können daher aufgrund der vorgenannten Umstände unterbleiben. Das Verhältnis der Vorschriften der DS-GVO zu denen des materiellen Rechts kann dabei letztlich dahinstehen, da sich auch aus dem nationalen Recht kein Anspruch ergibt. Mangels Anspruch in der Hauptsache besteht auch kein Anspruch auf Zahlung außergerichtlicher Rechtsanwaltskosten gem. § 280 Abs. 1 BGB oder aus Art. 82 Abs. 1 DS-GVO.

LG Itzehoe Urt. v. 9.3.2023 – 10 O 87/22 = ZD 2023, 633 (Ls.)

0 EUR Die Klaganträge sind hinreichend bestimmt iSd § 253 Abs. 2 Ziff. 2 ZPO. Der Kl. hat keinen Anspruch auf Entschädigung aus Art. 82 DS-GVO. Ein Verstoß gegen die DS-GVO ist nicht feststellbar. Lediglich ergänzend kann auch ein kausaler Schaden nicht erkannt werden. Es ist nicht dargelegt, dass der Kl. einen Schaden erlitten hat, weil die Bekl. die verlangten Auskünfte nicht zur Zufriedenheit des Kl. erteilt hat. Dabei ist kein Strafschadensersatz auszusprechen, wie im Umkehrschluss aus Art. 83 DS-GVO folgt, wo von einer abschreckenden Geldbuße die Rede ist. Auch wenn nach dem Wortlaut des Art. 82 DS-GVO keine schwere Verletzung des Persönlichkeitsrechts vorliegen muss, reicht nicht bereits ein Verstoß gegen die DS-GVO selbst zur Begründung eines Schmerzensgeldanspruchs aus. Der Verstoß muss nach dem Wortlaut des Art. 82 DS-GVO eine Rechtsverletzung nach sich ziehen, die als immaterieller Schaden, entsprechend der in ErwG 75 aufgelisteten Beispiele, qualifiziert werden kann. Der als bloße Belästigung empfundene Verstoß gegen die DS-GVO selbst genügt nicht. Als Schaden iSd DS-GVO kann nicht das vom Kl. behauptete erhöhte Spam-SMS-Aufkommen gewertet werden. Es ist schon zweifelhaft, ob diese Behauptung überhaupt ausreichend konkret dargelegt ist, denn die Behauptung eines immensen Spam-Aufkommens ist äußerst pauschal. Für einen konkreten Vortrag bedarf es der Darstellung bis zu welchem Zeitpunkt wieviele solcher Nachrichten auf dem Handy eingegangen sind und ab wann sich dieses in welcher Form verändert hat. Der Vortrag, dass Lebenszeit aufgewendet werden musste, um diese Nachrichten zu löschen bzw. die Absender zu sperren, ist dementsprechend pauschal. Letztlich kann dies dahinstehen, denn es ist bereits der Kausalzusammenhang zwischen diesem und dem Scraping-Vorfall klägerseits nicht nachgewiesen worden. Unerwünschte Anrufe oder SMS erhalten gerichtsbekannt nämlich auch Personen, die keinen Facebook-Account haben. Der vom Kl. vorgetragene Kontrollverlust über seine persönlichen Daten und die damit verbundene Unsicherheit reichen nicht aus, um einen Schaden iSd DS-GVO zu begründen. Allein ein Verstoß gegen die DS-GVO begründet noch keine Haftung nach Art. 82 DS-GVO wie bereits ausgeführt. Das Gericht verkennt dabei nicht, dass der Schadensbegriff weit auszulegen ist, wie aus den Erwägungungsgründen der europäischen Grundrechtscharta folgt (Erwägungsgrund 146). Es ist aber erforderlich, dass – die hier allerdings nicht festgestellte – Verletzungshandlung zu einer konkreten, nicht nur völlig unbedeutenden oder empfundenen Verletzung von Persönlichkeitsrechten der betroffenen Person geführt hat. Es muss eine objektiv nachvollziehbare Beeinträchtigung von persönlichkeitsbezogenen Belangen vorliegen, ein Schaden tatsächlich „erlitten“ sein, nicht lediglich befürchtet werden. Das kann hier nicht festgestellt werden. Es bedarf vielmehr der Darlegung eines konkreten (auch immateriellen) Schadens. Dabei verkennt das Gericht nicht, dass es nicht erforderlich ist, dass der eingetretene Schaden erheblich ist; mithin sind auch Bagatellschäden ersatzfähig. Gleichwohl ist bei der Bewertung zu berücksichtigen, dass der Kl. selbst die Daten (Name, Geschlecht, Telefonnummer) preisgegeben hat bei seiner Anmeldung auf der von der Bekl. betriebenen Plattform. Ausgehend von diesen Maßstäben kann das Gericht keinen Schaden erkennen. Die textbausteinartigen Ausführungen, dass der Kl. unter Unwohlsein leide, sind angesichts des Umstands, dass er selbst seine Daten auf facebook öffentlich gemacht hat, nicht nachvollziehbar. Aus diesen Gründen hat der Kl. auch keinen Anspruch auf Erstattung der ihm vorprozessual entstandenen Rechtsanwaltskosten. Ein solcher Anspruch folgt weder aus § 280 Abs. 1 BGB noch aus Art. 82 Abs. 1 DS-GVO, da es in der Hauptsache bereits an einem Anspruch mangelt.

LG Baden-Baden Urt. v. 9.3.2023 – 3 O 248/22 = ZD 2023, 756

0 EUR Der Klageantrag 1 ist unbegründet. Die Klagepartei hat unter keinem rechtlichen Gesichtspunkt einen Anspruch auf immateriellen Schadensersatz in geltend gemachter Höhe. Ein Anspruch gegen die Bekl. ergibt sich weder aus Art. 82 Abs. 12 DS-GVO noch aus nationalen Vorschriften. Soweit die Klagepartei der Bekl. vorwirft, keine geeigneten technischen und organisatorischen Maßnahmen getroffen zu haben gem. Art. 25 Abs. 2 DS-GVO, über Datenschutzverletzungen weder die Klagepartei benachrichtigt noch diese bei der zuständigen Behörde gemeldet zu haben gem. Art. 3334 DS-GVO sowie sind solche Verstöße bereits nicht vom Schutzbereich des Art. 82 DS-GVO umfasst. Zunächst führt nicht jeder Verstoß gegen die DS-GVO zu einem Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO, auch wenn der Wortlaut der Norm insoweit offen formuliert ist. Voraussetzung ist vielmehr, dass der Schaden durch eine nicht der DS-GVO entsprechende Verarbeitung verursacht wurde. Denn Art. 82 Abs. 2 DS-GVO stellt klar, dass gerade die Verarbeitung selbst verordnungswidrig sein muss, da nur für Schäden gehaftet werden soll, die durch eine nicht der Verordnung entsprechenden Verarbeitung verursacht worden sind, und konkretisiert den Abs. 1 insofern. Ein Verstoß gegen Art. 25 Abs. 2 DS-GVO ist vom Anwendungsbereich des Art. 82 Abs. 1 DS-GVO nicht erfasst. Denn die Norm stellt in erster Linie eine organisatorische Verpflichtung der Verantwortlichen dar; als bloße Verfahrensvorschrift ist die Einhaltung daher keine Voraussetzung für die Rechtmäßigkeit eines Verarbeitungsvorgangs. Ein Verstoß gegen Art. 25 Abs. 2 DS-GVO führt daher nicht zur Rechtswidrigkeit der Verarbeitung und hat daher auch keine Auswirkung auf eine Verarbeitungsreihe. Ein Verstoß gegen die Art. 3334 DS-GVO ist ebenfalls nicht vom Anwendungsbereich des Art. 82 Abs. 1 DS-GVO erfasst. IÜ ist der Schutzbereich in Bezug auf die von der Klagepartei geltend gemachten Verstöße der Bekl. gegen Art. 13145 Abs. 1 lit. a DS-GVO sowie gegen Art. 25 Abs. 124 und 32 DS-GVO grds. eröffnet, da insofern mögliche Verstöße Auswirkungen auf die Rechtmäßigkeit einer Verordnung haben. Die Klagepartei hat den zeitlichen Anwendungsbereich der DS-GVO teilweise schon nicht aufgezeigt. Der Annahme eines Anspruchs auf Schadenersatz nach Art. 82 Abs. 1 und 2 DS-GVO steht bereits entgegen, dass die Klagepartei nicht ausreichend darlegt, wann der Scraping-Vorfall stattgefunden haben soll, sodass bereits nicht festzustellen ist, dass im Zeitpunkt des Scraping-Vorfalls und damit auch im Zeitpunkt der denklogisch vor dem Scraping-Vorfall liegenden behaupteten Verstöße der Bekl. die DS-GVO überhaupt bereits in zeitlicher Hinsicht gegolten hat. Die Nichtvornahme der gebotenen Information über die Datenverwendung bzw. Aufklärung über die Datenverwendung kann nur dann einen „Verstoß gegen eine Vorschrift der DS-GVO“ als Anspruchsvoraussetzung des Art. 82 DS-GVO darstellen, wenn im Zeitpunkt der Datenerhebung die DS-GVO bereits galt, mithin die Eingabe der Telefonnummer nach dem 24.5.2018 durch die Klagepartei auf der Plattform F. erfolgte. Davor bestanden keine Ge- und Verbote der DS-GVO, sodass eine vorher durchgeführte Datenverarbeitung bereits nicht gegen diese verstoßen konnte. Hinsichtlich des gerügten Verstoßes gegen Art. 2425 Abs. 1 DS-GVO infolge der behaupteten unzureichenden Schutzmaßnahmen durch die Bekl. gilt entsprechendes. Da nach nicht widerlegter Behauptung der Bekl. bereits im Januar 2018 das Datenscraping stattgefunden haben soll und dieses aufgrund unzureichender Schutzvorrichtungen möglich gewesen sein soll, liegt insoweit kein Verstoß gegen die DS-GVO im Zeitpunkt der gerügten Verletzung vor. Die Normen der DS-GVO galten erst ab dem 24.5.2018. Hinsichtlich des gerügten Verstoßes gegen Art. 25 Abs. 2 DS-GVO (datenschutzfreundliche Grundeinstellungen) gilt ebenso das oben Gesagte entsprechend. Die Klagepartei hat bereits nicht mitgeteilt, wann sie auf der Plattform F. ihre Telefonnummer erstmals angegeben haben will. Hat sie jedoch die Telefonnummer vor dem Inkrafttreten der DS-GVO angegeben, dann hat die Bekl. durch ihre Voreinstellungen unabhängig von der konkreten Ausgestaltung jedenfalls nicht gegen Art. 25 Abs. 2 DS-GVO verstoßen. Diese galt in diesem Fall nämlich noch nicht. Der Klagepartei steht ein Anspruch aus Art. 82 Abs. 1 und 2 DS-GVO unabhängig von dem zeitlichen und sachlichen Anwendungsbereich hinsichtlich der gerügten Verstöße auch deshalb nicht zu, weil die Kammer die behaupteten Verstöße bereits nicht festzustellen vermag. Zu den Verstößen im Einzelnen ist wie folgt auszuführen: Es liegt kein Verstoß der Bekl. gegen Art. 5 iVm Art. 13 und 14 DS-GVO wegen Verletzung der Aufklärungs- und Informationspflichten bei erstmaliger Verarbeitung der Daten vor. Die Bekl. hat nicht gegen ihre Pflicht zur Implementierung angemessener technischer und organisatorischer Maßnahmen gem. Art. 24, Art. 25 Abs. 1325 Abs. 2 lit. f DS-GVO verstoßen. Es liegt kein Verstoß gegen Art. 25 Abs. 2 DS-GVO und damit dem Gebot datenschutzfreundlicher Voreinstellungen vor. Die Bekl. hat nicht gegen ihre Meldepflicht aus Art. 33 DS-GVO oder ihre Benachrichtigungspflicht gem. Art. 34 Abs. 1 DS-GVO verstoßen. Die Klagepartei hat insb. nicht schlüssig aufgezeigt, dass die Voraussetzungen eines immateriellen Schadens iSd Art. 82 DS-GVO vorliegen. Allein eine Verletzung der DS-GVO als solche begründet nicht bereits für sich gesehen einen Schadensersatzanspruch für betroffene Personen. Bereits nach dem Wortlaut von Art. 82 DS-GVO setzt ein Anspruch auf Schadensersatz voraus, dass einer natürlichen Person wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist. Im Erwägungsgrund 146 S. 6 DS-GVO ist insoweit ausdrücklich von einem „erlittenen Schaden“ die Rede. Der Schaden ist daher nicht mit der zugrunde liegenden Verletzung der DS-GVO gleichzusetzen. Auch ein immaterieller Schaden muss daher konkret dargelegt werden. In den Erwägungsgründen Ziff. 75 und 85 werden einige mögliche Schäden aufgezählt, darunter Identitätsdiebstahl, finanzielle Verluste, Rufschädigung, aber auch der Verlust der Kontrolle über die eigenen Daten sowie die Erstellung unzulässiger Persönlichkeitsprofile. Für den hier geltend gemachten immateriellen Schadensersatz gelten dabei die iRv § 253 BGB entwickelten Grundsätze; die Ermittlung obliegt dem Gericht nach § 287 ZPO. Es können für die Bemessung die Kriterien des Art. 83 Abs. 2 DS-GVO herangezogen werden, zB die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung, den Grad des Verschuldens, Maßnahmen zur Minderung des entstandenen Schadens, frühere Verstöße sowie die Kategorie der betroffenen personenbezogenen Daten. Art. 4 Abs. 3 EUV hält die Mitgliedsstaaten dazu an, Verstöße wirksam mit Sanktionen zu belegen, denn nur so könne man eine effektive Durchsetzbarkeit des EU-Rechts und damit auch der DS-GVO erzielen. Zu berücksichtigen ist daher auch, dass die beabsichtigte abschreckende Wirkung nur durch empfindliche Schmerzensgelder erreicht wird. Ein genereller Ausschluss von Bagatellfällen ist damit nicht zu vereinbaren. Wenn auch der Schaden weit zu verstehen ist und die Pflicht zur Erstattung immaterieller Schäden nicht nur auf schwere Schäden beschränkt ist muss der Schaden doch konkret eingetreten und auch wirklich „erlitten“ sein (Erwägungsgrund 146 S. 6), er muss „spürbar“ und objektiv nachvollziehbar sein, um bloße Unannehmlichkeiten auszuschließen. Der Sinn der Verordnung wird nicht gewahrt, indem man jeglichem „Unwohlsein“ eine Schadensposition einräumt. Vielmehr muss zumindest ein ernsthaftes Risiko bestehen, dass die Daten missbraucht werden. Insoweit muss die Verletzungshandlung auch zu einer konkreten, nicht nur völlig unbedeutenden oder nur empfundenen Verletzung von Persönlichkeitsrechten der betroffenen Personen geführt haben. Die Darlegungs- und Beweislast für den Eintritt eines Schadens trägt die Klagepartei. Gemessen an diesen Grundsätzen hat die Klagepartei schon keine eigene konkrete immaterielle Beeinträchtigung von persönlichen Belangen schlüssig aufgezeigt. Die Klagepartei lässt pauschal und in einer Vielzahl von Verfahren formelhaft vortragen, einen erheblichen Kontrollverlust über die eigenen Daten erlitten und Sorge vor Missbrauch der eigenen Daten zu haben, weshalb sie sich in einem Zustand größten Unwohlseins und großer Sorge über möglichen Missbrauch ihrer sie betreffenden Daten befinde, ohne dies allerdings konkret nachvollziehbar aufzuzeigen. Formelhaft führt sie insoweit nur an, dass sich dies in einem verstärkten Misstrauen bzgl. E-­Mails und Anrufen von unbekannten Nummern und Adressen äußere, sie Ängste oder Stress verspüre oder sie nach Bekanntwerden des Vorfalls Zeit und Mühe habe aufwenden müssen. Ihr Vorbringen lässt jedoch jeglichen individuellen Bezug zur Klagepartei selbst und der sich konkret bei ihr zeigenden Beeinträchtigung vermissen und beschränkt sich auf die Wiedergabe einzelner Erwägungsgründe oder in der formelhaften Wiedergabe von Entscheidungsgründen aus immateriellen Schadensersatz zusprechenden Urteilen. Soweit die Klagepartei von einem unerwünscht erhöhten Anfall von E-­Mails, Anrufen und SMS-Nachrichten spricht und in Bezug auf die Nachrichten mit Anlage KGR 6 einen Screenshot der „unerwünschten Kontaktaufnahmen“ vorgelegt hat, ergibt sich hieraus nichts Anderes. Die darin erfassten Spam-Nachrichten zählen zur Höchstzeit fünf Nachrichten im gesamten Monat Oktober 2021, iÜ sind Spam-Nachrichten in unregelmäßigen, teilweise monatelangen Abständen verzeichnet. Dass aus dem Bekanntwerden einer Telefonnummer ein Identitätsmissbrauch entstehen kann, ist eher unwahrscheinlich. Insb. würde der Schadenbegriff so aufgeweicht und ausgedehnt und es würde der konkrete Nachweis einer möglichen Betroffenheit genügen, um eine Haftung zu begründen. Dies käme einer reinen Gefährdungshaftung gleich und widerspricht letztlich auch dem Erwägungsgrund 75. Schließlich ist nicht konkret aufgezeigt, dass und inwieweit sich die Klagepartei selbst mit dem im Streit stehenden Datenleak habe auseinandersetzen müssen, um die Hintergründe zu ermitteln, sich um eine Auskunft kümmern und weitere Maßnahmen ergreifen zu müssen, inwieweit sie „Zeit und Mühe“ aufgewandt habe, sich vor drohendem Missbrauch zu schützen. Nach dem Wortlaut von Art. 82 Abs. 1 DS-GVO („wegen“) ist zudem ein Kausalzusammenhang zwischen der Verletzungshandlung bzw. dem Verstoß gegen die DS-GVO und dem geltend gemachten Schaden erforderlich, wobei eine Mitursächlichkeit ausreichend ist. An der schlüssigen Darlegung dieser Kausalität fehlt es. Unerwünschte E-­Mails, SMS und Anrufe erhalten gerichtsbekannt auch Personen, die keinen F.-Account haben und die ihre Telefonnummer dort nicht hinterlegt haben, was bereits mit der Nutzung des Internets als solcher zusammenhängt. Es ist auch völlig unklar und unbekannt, ob und welche Daten die Klagepartei auch noch an anderer Stelle freigegeben hat und ob ausgeschlossen werden kann, dass die mit dem Screenshot Anlage KGR 6 vorgetragene Häufung von Spam-Nachrichten auf einer Freigabe der eigenen Daten an anderer Stelle beruht. Konkrete Umstände, die jedenfalls indiziell einen Rückschluss auf den im Streit stehenden Vorfall erlauben, sind von der Klagepartei nicht aufgezeigt und ergeben sich auch nicht aus dem vorgelegten Screenshot. Es fehlt überdies zumindest hinsichtlich des behaupteten Verstoßes gegen die Aufklärungs- und Informationspflicht (Art. 51314 DS-GVO) an der erforderlichen Kausalität des Verstoßes für den Schadenseintritt. Die spätestens seit Inanspruchnahme anwaltlicher Hilfe informierte und über die Verwendung ihrer Telefonnummer in Kenntnis gesetzte Klagepartei hat ausweislich der durch die Bekl. vorgelegten Anlage, deren Inhalt unstreitig ist, die Suchbarkeitseinstellungen seit dem Jahr 2017 nicht verändert. Dass die Klagepartei daher bei – unterstellt nicht ordnungsgemäßer Aufklärung und Information über die Datenverarbeitung in Bezug auf die angegebene Telefonnummer – gehöriger Information und Aufklärung ihre Einstellungen geändert oder die Telefonnummer schon nicht angegeben hätte, ist aufgrund des eigenen Verhaltens der Klagepartei zur Überzeugung der Kammer widerlegt. Der mit Klageantrag zu 2 geltend gemachte Schadensersatzanspruch wegen Nichterteilung der Auskunft gem. Art. 15 DS-GVO ist unbegründet. Ein Anspruch gegen die Bekl. ergibt sich weder aus Art. 82 Abs. 12 DS-GVO noch aus nationalen Vorschriften. Der sachliche Anwendungsbereich des Art. 82 Abs. 12 DS-GVO ist bereits für Verstöße gegen Art. 15 DS-GVO nicht eröffnet. Denn die bloße Verletzung von Informationsrechten nach dieser Norm führt nicht dazu, dass eine Datenverarbeitung, infolge derer das Informationsrecht entstanden ist, selbst verordnungswidrig ist. Zwar kann die Reaktion auf ein Auskunftsverlangen eine Datenverarbeitung darstellen, wenn insofern ein Abgleich personenbezogener Daten vorgenommen wird. Eine unrechtmäßige Datenverarbeitung infolge oder durch das Auskunftsverlangen selbst behauptet die Klagepartei jedoch bereits nicht. Vielmehr geht die Klagepartei von einem Schadensersatzanspruch wegen Nichterteilung der Auskunft aus. Die bloße Nichterteilung führt jedoch nicht zu einer rechtswidrigen Datenverarbeitung. Eine rechtswidrige Verarbeitung iRd Auskunftsverlangens wäre insofern auch für den geltend gemachten Schaden nicht kausal. Eine mögliche verspätete Erfüllung von Auskunftsansprüchen nach Art. 15 DS-GVO löst keinen Schadensersatzanspruch gem. Art. 82 DS-GVO aus. Überdies hat die Bekl. nicht gegen Art. 15 Abs. 1 DS-GVO verstoßen, indem sie der Klagepartei keine oder unvollständige Auskünfte erteilt hat. Danach hat die betroffene Person das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten sowie u. a. über die Verarbeitungszwecke (lit. a), Kategorien personenbezogener Daten, die verarbeitet werden (lit. b) sowie die Empfänger oder Kategorien von Empfängern, ggü. denen die personenbezogenen Daten offengelegt worden sind (lit. c). Mit Schreiben v. 29.7.2022 hat die Klagepartei die Bekl. zur Auskunft aufgefordert und konkrete Fragen im Zusammenhang „mit dem im April 2021 bekannt gewordenen Datenschutzvorfall“ gestellt. Diese Fragen betreffen lediglich die durch das Scraping betroffene Daten, nicht jedoch alle von der Bekl. verarbeiteten personenbezogenen Daten der Klagepartei. Die Bekl. hat mit Schreiben v. 29.8.2022 diese Auskunftspflicht erfüllt gem. § 362 Abs. 1 BGB, der Auskunftsanspruch der Klagepartei ist daher erloschen. Eine Erfüllung ist dann anzunehmen, wenn die Angaben nach dem erklärten Willen des Schuldners die Auskunft im geschuldeten Gesamtumfang darstellen. Wird die Auskunft in dieser Form erteilt, steht ihre etwaige inhaltliche Unrichtigkeit einer Erfüllung nicht entgegen. Die Bekl. hat in dem Auskunftsschreiben erklärt, dass sie keine Kopie der Rohdaten hält, welche die durch Scraping abgerufenen Daten enthalten. Auf Grundlage der bislang vorgenommenen Analysen sei es jedoch gelungen, der Nutzer-ID der Klagepartei die folgenden Datenkategorien zuzuordnen, die nach ihrem Verständnis in den Scraping abgerufenen Daten erscheinen und mit den auf dem F.-Profil der Klagepartei verfügbaren Informationen übereinstimmen: Nutzer-ID, Vorname, Nachname, Geschlecht. Darüber hinaus sei nach ihrem Verständnis die Telefonnummer nicht in den durch Scraping abgerufenen Daten enthalten. Damit hat die Bekl. zum Ausdruck gebracht, dass sie die Auskunft im geschuldeten Umfang erteilen wollte. In ihrem Schreiben hat die Bekl. zwar nicht beantwortet, welchen Empfängern die Daten der Klagepartei zugänglich gemacht worden sind, obwohl die Klagepartei mit Frage Ziff. 5 Auskunft darüber begehrt hat, von wem die Sicherheitslücke ausgenutzt wurde. Dies steht jedoch der konkludenten Erklärung des Auskunftsschuldners, dass die Auskunft im Auskunftsschreiben vollständig ist, nicht entgegen. Denn mit der Klageerwiderung hat die Bekl. erklärt, dass sie nicht dazu imstande ist die Fragen betreffend die Verarbeitungstätigkeiten Dritter zu beantworten. Damit hat die Bekl. zum Ausdruck gebracht, das Auskunftsbegehren der Klagepartei bereits zuvor vollständig erfüllt zu haben. Zudem fehlt, wie bereits oben ausgeführt, es an einer schlüssigen Darlegung des Schadens sowie der Kausalität. Inwieweit sich durch unterlassene Auskünfte der Bekl. ein vermeintlich hiernach bestehender Schaden noch weiter vertieft habe, ist nicht konkret aufgezeigt. Der Klageantrag zu 5 ist unbegründet. Mangels eines Anspruchs in der Hauptsache auf Schadensersatz gem. Art. 82 Abs. 1 DS-GVO oder § 280 Abs. 1 BGB hat die Klagepartei keinen Anspruch auf Ersatz außergerichtlicher Rechtsanwaltskosten. Ein Verzug der Beklagtenpartei mit dem vorgerichtlichen Auskunftsbegehren gem. Art. 15 Abs. 1 DS-GVO lag zumindest vor Anfall der Rechtsanwaltskosten noch nicht vor, da die Bekl. erst mit dem Schreiben in Anlage KGR 4, für das die Klagepartei die Rechtsanwaltsgebühren begehrt, zur Auskunft aufgefordert wurde.

LG Baden-Baden Urt. v. 9.3.2023 – 3 O 145/22 = ZD 2023, 636 (Ls.)

0 EUR Der Kl. steht gegen die Bekl., die als Verantwortliche iSv Art. 4 Ziff. 7 DS-GVO anzusehen ist, kein Anspruch auf Schadensersatz aus Art. 82 Abs. 12 DS-GVO zu. Der sachliche Anwendungsbereich des Art. 82 DS-GVO ist für die von der Kl. geltend gemachten Verstöße nur teilweise eröffnet. Soweit die Kl. der Bekl. vorwirft, keine geeigneten technischen und organisatorischen Maßnahmen getroffen zu haben gem. Art. 25 Abs. 2 DS-GVO, über Datenschutzverletzungen weder die Kl. benachrichtigt noch diese bei der zuständigen Behörde gemeldet zu haben gem. Artt. 3334 DS-GVO sowie unvollständig Auskunft gem. Art. 15 DS-GVO erteilt zu haben sind solche Verstöße bereits nicht vom Schutzbereich des Art. 82 DS-GVO umfasst. Zunächst führt nicht jeder Verstoß gegen die DS-GVO zu einem Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO, auch wenn der Wortlaut der Norm insoweit offen formuliert ist. Voraussetzung ist vielmehr, dass der Schaden durch eine nicht der DS-GVO entsprechende Verarbeitung verursacht wurde. Denn Art. 82 Abs. 2 DS-GVO stellt klar, dass gerade die Verarbeitung selbst verordnungswidrig sein muss, da nur für Schäden gehaftet werden soll, die durch eine nicht der Verordnung entsprechenden Verarbeitung verursacht worden sind, und konkretisiert den Abs. 1 insofern. Der Anwendungsbereich des Schadensersatzanspruchs gem. Art. 82 Abs. 1 DS-GVO ist demgemäß nur eröffnet, wenn ein Verstoß durch die Verarbeitung selbst in Betracht kommt, die verordnungswidrig sein muss. Es ist daher darauf abzustellen, ob eine Datenverarbeitung entgegen den Vorgaben der DS-GVO vorliegt. Der Anwendungsbereich des Art. 82 Abs. 1 DS-GVO erfasst auch Verarbeitungsreihen, bei denen durch einen einzelnen Verstoß die gesamte Verarbeitung rechtswidrig wird. Das vorwerfbare Verhalten muss daher nicht zwangsläufig die Verarbeitung selbst sein, sondern die Verarbeitung kann auch dadurch rechtswidrig werden, dass im Vorfeld Maßnahmen, die im engen Zusammenhang zur Verarbeitung stehen und Grundsätze der Datenverarbeitung betreffen, nicht getroffen wurden. Der Annahme eines Anspruchs auf Schadenersatz nach Art. 82 Abs. 1 und 2 DS-GVO steht bereits entgegen, dass die Kl. nicht ausreichend darlegt, wann der Scraping-Vorfall stattgefunden haben soll, sodass bereits nicht festzustellen ist, dass im Zeitpunkt des Scraping-Vorfalls und damit auch im Zeitpunkt der denklogisch vor dem Scraping-Vorfall liegenden behaupteten Verstöße der Bekl. die DS-GVO überhaupt bereits in zeitlicher Hinsicht gegolten hat. Der Kl. steht ein Anspruch aus Art. 82 Abs. 1 und 2 DS-GVO unabhängig von dem zeitlichen und sachlichen Anwendungsbereich hinsichtlich der gerügten Verstöße auch deshalb nicht zu, weil die Kammer die behaupteten Verstöße bereits nicht festzustellen vermag. Die Kl. hat insb. nicht schlüssig aufgezeigt, dass die Voraussetzungen eines immateriellen Schadens iSd Art. 82 DS-GVO vorliegen. Allein eine Verletzung der DS-GVO als solche begründet nicht bereits für sich gesehen einen Schadensersatzanspruch für betroffene Personen. Bereits nach dem Wortlaut von Art. 82 DS-GVO setzt ein Anspruch auf Schadensersatz voraus, dass einer natürlichen Person wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist. Für den hier geltend gemachten immateriellen Schadensersatz gelten dabei die iRv § 253 BGB entwickelten Grundsätze; die Ermittlung obliegt dem Gericht nach § 287 ZPO. Es können für die Bemessung die Kriterien des Art. 83 Abs. 2 DS-GVO herangezogen werden. Die Darlegungs- und Beweislast für den Eintritt eines Schadens trägt die Kl. Nach dem Wortlaut von Art. 82 Abs. 1 DS-GVO („wegen“) ist zudem ein Kausalzusammenhang zwischen der Verletzungshandlung bzw. dem Verstoß gegen die DS-GVO und dem geltend gemachten Schaden erforderlich, wobei eine Mitursächlichkeit ausreichend ist.

LG Kaiserslautern Urt. v. 9.3.2023 – 2 O 352/22

0 EUR Die Voraussetzungen eines Anspruchs nach Art. 82 DS-GVO liegen bereits dem Grunde nach nicht vor. Der Kl. kann sich iRv Art. 82 DS-GVO nicht mit Erfolg auf einen Verstoß gegen Auskunfts- oder Informationspflichten (Art. 1534 DS-GVO) berufen. Vor diesem Hintergrund setzt der Anwendungsbereich des Art. 82 DS-GVO eine Verarbeitung von Daten voraus. Die Verletzung von Auskunfts- oder Innformationspflichten kann einen Anspruch nach Art. 82 DS-GVO nicht begründen. Die Bekl. hat auch nicht gegen die sich aus Art. 32 DS-GVO ergebende Pflicht, die personenbezogenen Daten der Nutzer, inklusive des Kl., ausreichend zu schützen, verstoßen. Es ist auch nicht ersichtlich, dass dem Kl. durch den behaupteten Datenschutzverstoß ein Schaden iSd Art. 82 Abs. 1 DS-GVO entstanden ist. Zwar ist der Schadensbegriff des Art. 82 Abs. 1 DS-GVO weit auszulegen. Denn Schadensersatzforderungen sollen abschrecken und weitere Verstöße unattraktiv machen. Darüber hinaus sollen die betroffenen Personen einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden haben. Dabei wird vor allem die abschreckende Wirkung des Schadensersatzes betont, welche insb. durch seine Höhe erzielt werden soll. Nach den Erwägungsgrund 75 DS-GVO kann ein Nichtvermögensschaden durch Diskriminierung, Identitätsdiebstahl oder -betrug, Rufschädigung, Verluste der Vertraulichkeit von dem Berufsgeheimnis unterliegenden persönlichen Daten oder gesellschaftliche Nachteile eintreten. Ein genereller Ausschluss von Bagatellschäden ist im Lichte dieser Erwägungsgründe somit nicht vertretbar. Dies wird auch aus Art. 4 Abs. 3 AEUV abgeleitet, der die Mitgliedsstaaten dazu anhält, Verstöße wirksam mit Sanktionen zu belegen, denn nur so könne man eine effektive Durchsetzbarkeit des EU-Rechts und damit auch der DS-GVO erzielen. Allerdings ist es auch unter diesen Erwägungen zur Feststellung eines Schadens erforderlich, dass die behauptete Verletzungshandlung zu einer konkreten, nicht nur völlig unbedeutenden oder empfundenen Verletzung von Persönlichkeitsrechten der betroffenen Person geführt hat. Dem Betroffenen muss ein spürbarer Nachteil entstanden sein und es muss um eine objektiv nachvollziehbare, mit gewissem Gewicht erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen gehen. Die Annahme, dass der Kl. unter Furcht vor einem Kontrollverlust leidet, reicht zur Annahme eines Schadens iSd DS-GVO nicht aus. Der Kl. spricht allgemein von unerwünschten bzw. dem unerwünschten erhöhten Anfall von E-­Mails und Nachrichten. Unerwünschte E-­Mails und Anrufe erhalten gerichtsbekannt aber auch Personen, die keinen F.-Account haben und dort ihre Telefonnummer hinterlegt haben. Schließlich fehlt es vorliegend auch an einer Kausalität. Soweit der Kl. behauptet, er erhalte unerwünschte Anrufe, Nachrichten und E-­Mails, so handelt es sich insoweit ebenfalls um eine Erscheinung, die bereits mit der Nutzung des Internets als solcher zusammenhängt. Der Kammer ist insoweit aus eigener Anschauung bekannt, dass auch Personen ohne F.-Account unerwünschte Anrufe erhalten. Selbst wenn beim Kl. tatsächlich derartige Anrufe seit April 2021 zugenommen haben mögen, so kann dies vielerlei Ursachen haben. Es ist völlig unklar und unbekannt, ob und welche Daten der Kl. an anderer Stelle freigegeben hat und ob ein unberechtigter Datenzugriff an anderer Stelle zu diesem – zu Gunsten des Kl. als wahr unterstellten vermehrten unerwünschten E-­Mail und Anruf-Aufkommens – geführt hat. Das gleiche gilt für die Schilderungen des Kl. im Rahmen seiner informatorischen Anhörung, wonach ihm durch Dritte Payback-Punkte entwendet worden sein sollen.

LG München I Endurt. v. 9.3.2023 – 4 O 6009/22

0 EUR Der Kl. hat gegen die Bekl. keinen Anspruch auf Zahlung eines Betrags iHv 5.100 EUR als Schadensersatz bzw. eines niedrigeren oder höheren Betrags aus demselben Rechtsgrund. Es fehlt jedenfalls an einem nachgewiesenen materiellen oder immateriellen Schaden des Kl. iSv Art. 82 DS-GVO. Für den Schadenseintritt ist der Kl. beweisbelastet. Unabhängig von diesen Erwägungen erachtet es das Gericht auch für äußerst unwahrscheinlich, dass alle Kunden der Bekl., die von dem Datenschutzvorfall betroffen waren, die genau gleichen Ängste hatten oder in gleicher Weise mit aus dem Vorfall resultierenden Problemen konfrontiert waren. Der identische Sachvortrag dazu dürfte eher auf einer Arbeitsökonomisierung der Prozessbevollmächtigten des Kl., die gerichtsbekannt zahlreiche Kl. gegen die Bekl. vertreten, beruhen. Zuletzt gab auch die im Termin für den Kl. anwesende Rechtsanwältin an, ihr seien über die vorgetragenen Beeinträchtigungen hinaus keine konkreten Beeinträchtigungen bekannt. Anzufügen ist noch, dass nach zutreffender Auffassung der bloße DS-GVO-Verstoß selber noch nicht zu einem Ersatzanspruch nach Art. 82 DS-GVO führt. Eine abweichende Auffassung würde den Begriff des Schadens sowie von „Schadensersatz“ in Art. 82 Abs. 1 DS-GVO ad absurdum führen. Auch reicht ein bloßer Kontrollverlust über Daten führt einen Ersatzanspruch nicht aus. Hingegen hat der Kl. Anspruch auf Feststellung der grundsätzlichen Ersatzpflicht für zukünftige Schäden, welche aus dem Datenschutzvorfall bei der Bekl. resultieren. Der entsprechende Anspruch ergibt sich aus Art. 82 DS-GVO. Die Bekl. ist Verantwortliche iSv Art. 82 Abs. 14 Ziff. 7 DS-GVO, da sie Kundendaten iRd Anmeldeprozesses abfragt und in einem Datenarchiv abspeichert. Die Bekl. hat gegen Art. 32 Abs. 1 DS-GVO verstoßen. Das Verschulden der Bekl. ist ebenfalls gegeben, weil die Bekl. gehalten gewesen wäre, die Zugangsdaten nach Kündigung der Vertragsbeziehung mit der Fa. … zu verändern, was sie aber bewusst nicht getan hat. Die grundsätzliche Möglichkeit des Eintritts materieller Schäden besteht, da die Daten des Kl. noch immer „verloren“ sind und damit potenziell missbraucht werden könnten. Auch wenn der Datenabgriff bereits im Jahr 2020 stattfand, ist unter dem Gesichtspunkt „Das Internet vergisst nicht“ nicht ansatzweise ausgeschlossen, dass die personenbezogenen Daten des Kl., die über den Datenvorfall erlangt wurden, in Zukunft zu einem Schaden bei diesem führen. Der eingetretene Datenverlust betrifft einen nicht unerheblichen Bestandteil an personenbezogenen Daten des Kl. Für den Feststellungsantrag ist hingegen unerheblich, ob dem Kl. in einem etwaigen späteren Bezifferungsprozess tatsächlich der Nachweis gelingen würde, dass ihm entstandene Schäden gerade auf das Datenleck bei der Bekl. zurückzuführen sind.

LG Bonn Urt. v. 8.3.2023 – 17 O 165/22 = 2024, 118 (Ls.)

0 EUR Entgegen der Auffassung der Bekl. ist der Klageantrag zu 1 hinreichend bestimmt iSd § 253 Abs. 2 Ziff. 2 ZPO. Unabhängig davon, ob der Anwendungsbereich des Art. 82 DS-GVO überhaupt eröffnet ist und ob bereits keine Pflichtverletzung iSd Art. 82 DS-GVO durch Verstoß gegen die Vorschriften der DS-GVO (insb. Art. 322425 Abs. 2333515 DS-GVO) vorliegt, fehlt es jedenfalls an einem ersatzfähigen Schaden des Kl. Für den immateriellen Schadensersatz gelten die im Zusammenhang mit § 253 BGB entwickelten Grundsätze, die Ermittlung obliegt daher dem Gericht nach § 287 ZPO. Für die Bemessung können die Kriterien des Art. 83 Abs. 2 DS-GVO herangezogen werden. Dies umfasst die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung, der Grad des Verschuldens, Maßnahmen zur Minderung des entstandenen Schadens sowie die Kategorien der betroffenen personenbezogenen Daten. Darüber hinaus ist zu berücksichtigen, dass die beabsichtigte abschreckende Wirkung für den Anspruchsverpflichteten nur durch empfindliche Schmerzensgelder erreicht werden kann. Ein genereller Ausschluss von Bagatellfällen ist damit nicht zu vereinbaren. Dies lässt sich auch aus Art. 4 Abs. 3 EUV herleiten, wonach die Mitgliedstaaten Verstöße angemessen sanktionieren sollen. Ferner ist auch nach dem Erwägungsgrund 146 S. 3 der Schaden weit auszulegen. Allerdings reicht ein bloßer Datenschutzverstoß als solcher nicht aus, um einen Schadensersatzanspruch zu begründen. Die Betroffenen sollen nach dem Erwägungsgrund 146 S. 6 einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten. Der Schaden muss daher spürbar, objektiv nachvollziehbar und von gewissem Gewicht sein, um bloße Unannehmlichkeiten oder Bagatellschäden auszuschließen. Verletzung und Schaden sind nicht gleichzusetzen. Zwar ist eine schwere Verletzung des Persönlichkeitsrechts nicht erforderlich, andererseits ist für einen Bagatellverstoß ohne ernsthafte Beeinträchtigung oder für jede bloß individuelle empfundene Unannehmlichkeit ein Schmerzensgeld nicht zu gewähren; vielmehr muss dem Betroffenen ein spürbarer Nachteil entstanden sein und es muss um eine objektiv nachvollziehbar, mit gewissem Gewicht erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen gehen. Als Beispiele nennt der Erwägungsgrund 75 DS-GVO Identitätsdiebstahl oder – betrug, finanziellen Verlust oder Rufschädigung; Erwägungsgrund 85 DS-GVO nennt daneben auch den Verlust der Kontrolle über personenbezogene Daten. Würde man jedes Unwohlsein und jede Sorge unter den Schadensbegriff fassen, so würde der Schadensbegriff überdehnt und eine ausufernde Haftung begründet. Ausschlaggebend ist mithin das ernsthafte Risiko eines Datenmissbrauchs. Dies zugrunde gelegt konnte das Gericht keine spürbare Beeinträchtigung von persönlichen Belangen des Kl. erkennen. Er hat eine solche nicht hinreichend dargelegt. Der Kl. trägt lediglich schriftsätzlich vor, er habe einen erheblichen Kontrollverlust über seine Daten erlitten und leide unter großem Unwohlsein und großer Sorge vor einem möglichen Missbrauch seiner Daten. Er erhalte unregelmäßig E-­Mails sowie regelmäßig Anrufe von unbekannten Telefonnummern und SMS-Benachrichtigungen mit dubiosen Aufforderungen zum Anklicken von unbekannten Links. Die Auswirkungen der Ängste, des Stress, der Komfort- und Zeiteinbußen lägen darin, dass er sich mit dem Datenleak und der Herkunft der Daten habe auseinandersetzen müssen. Dies führe bei ihm zu dem Gefühl des Kontrollverlusts, des Beobachtetwerdens und der Hilflosigkeit. Er habe auch zusätzlich Zeit und Mühe aufgewendet, um sich vor drohendem (weiteren) Missbrauch zu schützen. Zunächst ist anzumerken, dass diese Ausführungen mit gleichem Wortlaut und Inhalt in einer Vielzahl weitere Verfahren vorgetragen werden. Diese formelhaft beschriebenen Ängste und Sorgen sowie das Unwohlsein haben sich zudem in der mündlichen Verhandlung nicht bestätigt. Der Kl. persönlich gehört hat in der mündlichen Verhandlung am 8.2.2023 lediglich angegeben, er habe vor dem Wechsel seiner Telefonnummer Werbeanrufe und SMS erhalten. Zudem erhalte ernach wie vor auch Spam-Mails. Dabei hat der Kl. selbst angegeben, er wisse nicht, ob dies in einem Zusammenhang mit dem Scraping-Vorfall stehe und hat erklärt, dass der Scraping-Vorfall für sich genommen auch nicht Anlass war, seine Handynummer zu wechseln. Zu einem Wechsel der Telefonnummer ist es nach den eigenen Angaben des Kl. lediglich gekommen, da der Kl. im Zuge eines Vertragswechsels, der aus Kostengründen erfolgte, sich auch zu einem Wechsel der Telefonnummer entschieden hat. Die pauschal und allgemein gehaltenen Erläuterungen des Kl. sind nicht ausreichend. Das von dem Kl. beschriebene Phänomen des Erhalts von Spam-Mails, unlauteren SMS und Werbeanrufen stellt ein allgemeines Lebensrisiko dar, dem auch Personen ausgesetzt sind, die Social-Media-Kanäle nicht nutzen. Es bleibt auch unklar, ob diese tatsächlich im Zusammenhang mit dem Scraping-Vorfall stehen. Es ist gerichtsbekannt, dass auch Inhaber von Mobilfunknummern, die niemals bei Facebook angemeldet waren, solche oder ähnliche Kontaktanfragen erhalten. IÜ ist ein geschärftes Bewusstsein beim Erhalt von SMS stets angezeigt. Zudem mag der Kl. mit seinem Vortrag, er habe einen Kontrollverlust erlitten nicht durchzudringen. Nach den eigenen Angaben des Kl. im Rahmen seiner persönlichen Anhörung sind lediglich seine Telefonnummer und E-­Mail-Adresse öffentlich gestellt worden. Dabei handelt es sich nicht um besonders sensible Daten. Sowohl die E-­Mail-Adresse als auch die Telefonnummer kann man wechseln und auch ein Identitätsmissbrauch aus dem Bekanntwerden der Telefonnummer erscheint äußerst unwahrscheinlich. IÜ war auch die Eingabe der Telefonnummer freiwillig. Unglaubhaft sind vor dem Hintergrund des Ergebnisses der persönlichen Anhörung des Kl. ferner dessen schriftsätzlichen Ausführungen, er sei voller Sorge und habe Angst. Nach den Konsequenzen und Beeinträchtigungen durch den Scraping-Vorfall befragt, hat der Kl. lediglich angegeben, mit ungewollten SMS, E-­Mails und Werbeanrufen konfrontiert gewesen zu sein. Das Auftreten von Ängsten und Sorgen hat der Kl. nicht geschildert. Zudem war der Kl. bis zum Schluss der mündlichen Verhandlung am 8.2.2023 bei Facebook angemeldet, wenngleich er Änderungen an seinen Profileinstellungen vorgenommen haben mag und hat zudem erklärt, neben Facebook auch die Socialmedia-Plattform Instagram zu nutzen. Schließlich ist nicht ersichtlich, dass der Kl. irgendwelche Komfort- und Zeiteinbußen im Zusammenhang mit dem Scraping-Vorfall erlitten hat. Er hat geschildert, er habe ein You-Tube-Video seiner Prozessbevollmächtigten über den Scraping-Vorfall gesehen und sodann ein Formular auf einer Internetseite genutzt, um zu prüfen, ob die eigene Nummer betroffen sei. Dies sei der Fall gewesen. Im Anschluss hätte er sodann seine Prozessbevollmächtigten mit der Klageerhebung beauftragt. Eine Vorlagepflicht nach Art. 267 AEUV bestand nicht. Nur anzumerken ist an dieser Stelle, dass es darüber hinaus auch an der erforderlichen Kausalität fehlt. Insoweit ist auf die Ausführungen in dem Urt. des LG Essen v. 10.11.2022 (Az. 6 O 111/22) hinzuweisen. Der Kl. selbst hat angegeben, nicht zu wissen, ob die vor Wechsel der Telefonnummer erhaltenen SMS und Werberufe sowie die nach wie vor bei ihm eingehenden Werbe-Emails auf den Scraping-Vorfall zurückzuführen seien. Mangels Vorliegens eines Schadens ist auch der Feststellungsantrag des Kl. unbegründet.

LG Detmold Urt. v. 7.3.2023 – 02 O 67/22 = ZD 2024, 119 (Ls.)

0 EUR Dem Kl. steht gegen die Bekl. kein Schmerzensgeldanspruch zu. Ein Anspruch aus Art. 82 Abs. 1 DS-GVO kommt nicht in Betracht. Es liegt kein Verstoß gegen Art. 5 Abs. 1 lit. f DS-GVO vor, da die Bekl. nicht gegen die sie treffende Obliegenheit, personenbezogene Daten vor unbefugter oder unrechtmäßiger Verarbeitung zu schützen, verstoßen hat. Ein Verstoß gegen Art. 2432 DS-GVO liegt gleichermaßen nicht vor. Nach Auffassung der Kammer liegt auch kein Verstoß gegen Art. 25 DS-GVO vor. Soweit der Kl. der Bekl. weitere Verstöße gegen die DS-GVO vorwirft, nämlich ungenügende Information und Aufklärung über die Verarbeitung der ihn betreffenden Daten durch ungenügende Aufklärung zur Verwendung und Geheimhaltung der Telefonnummer (Art. 5 Abs. 1 lit. a, unmittelbaren Verstoß gegen Art. 1314 DS-GVO, die konkrete Informationspflichten enthalten, die seitens der Bekl. nicht eingehalten worden seien, unvollständige Auskunftserteilung nach Art. 15 DS-GVO, da nicht mitgeteilt worden sei, welchen Empfängern seine Daten zugänglich gemacht worden seien (Art. 3334 DS-GVO) sind solche Verstöße bereits nicht vom Schutzzweck des Art. 82 DS-GVO umfasst. Art. 82 Abs. 1 DS-GVO erfasst nur solche Pflichtverstöße, die iRe „Verarbeitung“ geschehen, was sich aus dem Wortlaut des Art. 82 Abs. 2 DS-GVO ergibt („durch eine nicht dieser Verordnung entsprechende Verarbeitung“). Datenverarbeitung bezeichnet jedoch nur jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgehensreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. Art. 5 Abs. 1 lit. a, 131415 DS-GVO begründen Informationspflichten ggü. betroffenen Personen. Auch Art. 3334 DS-GVO begründen eine Pflicht zur Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde (Art. 33 DS-GVO) bzw. die Pflicht zur Benachrichtigung der betroffenen Person (Art. 34 DS-GVO). Die Erteilung von Informationen über die Verarbeitung personenbezogener Daten, die Benachrichtigung über eine Verletzung des Schutzes personenbezogener Daten ggü. Nutzern und die Erteilung einer beantragten Auskunft stellen jedoch keine Verarbeitungen iSv Art. 4 Ziff. 2 DS-GVO dar, sodass sich aus ihrer etwaigen Verletzung kein Anspruch aus Art. 82 Abs. 1 DS-GVO ableiten lässt. IÜ scheitert ein etwaiger Schadensersatzanspruch des Kl. auch am Fehlen eines Schadens iSv Art. 82 Abs. 1 DS-GVO. Anders als der Kl. meint, genügt nicht allein der Verstoß gegen die DS-GVO, um einen Ausgleich / eine Kompensation verlangen zu können. Das widerspricht dem Schadensrecht, unabhängig vom Wortlaut des Art. 82 Abs. 1 DS-GVO. Ein Schadens- und auch Schmerzensgeldanspruch setzt stets einen immateriellen oder materiellen Schaden voraus. Dies lässt sich nach Auffassung der Kammer auch dem Wortlaut des Art. 82 Abs. 1 DS-GVO entnehmen, wonach (1) ein Verstoß gegen diese Verordnung (DS-GVO) nötig ist, der (2) zu einem materiellen oder immateriellen Schaden geführt haben muss. Die – hier nicht feststellbare – Verletzungshandlung muss in jedem Fall zu einer konkreten, nicht nur völlig unbedeutenden oder empfundenen Verletzung von Persönlichkeitsrechen der betroffenen Person geführt haben. Allein der Kontrollverlust des Kl. über seine Daten stellt keinen Schaden dar. Seine Sorge oder Angst um die verwendeten Daten und die Befürchtung, Opfer von Betrugsfällen zu werden, kann zwar nicht gemessen werden, ist hierfür jedoch noch nicht ausreichend. Immerhin darf nicht außer Acht gelassen werden, dass jedenfalls Name, Facebook-ID und Geschlecht von ihm öffentlich bekanntgegeben wurden und damit bereits nicht mehr unter seiner ausschließlichen Kontrolle standen. Letztlich ist also insoweit überhaupt nicht mehr bekannt geworden als das, was von ihm selbst bereits im Internet veröffentlich wurde. Dass der Kl. insoweit keine über ein bloßes Unwohlsein gesteigerten Einschränkungen und Sorgen hinnehmen musste, zeigt auch der Umstand, dass er im Rahmen seiner Anhörung erklärt hat, noch immer bei „Facebook“ angemeldet zu sein. In Bezug auf die bekannt gewordene Telefonnummer mag ein gewisser Kontrollverlust vorliegen. Ob und inwieweit jedoch der Kontrolle über die Telefonnummer überhaupt ein Wert zukommt, mag bezweifelt werden. IÜ reicht ein Schadensersatzanspruch für ein bloßes Unmutsgefühl nach Auffassung der Kammer zu weit. Dass die vom Kl. vorgelegten SMS tatsächlich auf das Bekanntwerden seiner Telefonnummer zurückzuführen sind, ist nicht ersichtlich. Gleiches gilt für die von ihm dargestellten Telefonanrufe. Es ist bekannt, dass unerwünschte E-­Mails und Anrufe auch Personen erhalten, die keinen Facebook-Account haben und dort ihre Telefonnummer hinterlegt haben.

LG Berlin Urt. v. 7.3.2023 – 13 O 79/22 = ZD 2024, 119 (Ls.)

0 EUR Hinsichtlich des Antrags zu 1) war der dort als Mindestsatz begehrte Zahlbetrag in Ansatz zu bringen. Die Kl. hat keinen Anspruch auf Zahlung eines immateriellen Schadensersatzes. Dies gilt sowohl für Ansprüche gem. Art. 82 Abs. 12 DS-GVO als auch nach einer anderen denkbaren Anspruchsgrundlage. Dementsprechend ist auch der Zinsantrag unbegründet. Art. 82 Abs. 1 DS-GVO bestimmt, dass jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, einen Anspruch auf Schadenersatz gegen den Verantwortlichen hat. Abs. 2 S. 1 konkretisiert dies dahin, dass jeder an einer Verarbeitung beteiligte Verantwortliche für den Schaden haftet, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. Indes liegen diese Voraussetzungen hinsichtlich der von der Kl. gerügten Verstöße der Bekl. gegen die Vorgaben der DS- GVO nicht vor. Im Einzelnen: Soweit die Kl. den Anspruch aus Art. 82 Abs. 12 DS-GVO auf eine Verletzung von Art. 3224 DS-GVO stützt, fehlt es bereits an einem Verstoß der Bekl. gegen die diesbezüglichen Vorgaben des DS-GVO. Auch ein Verstoß gegen die Transparenzpflichten aus Art. 5 Abs. 1 lit. a, 1314 DS-GVO fällt der Bekl. nicht zur Last. Einen Schadensersatzanspruch kann die Kl. auch nicht auf den von ihr behaupteten Verstoß der Bekl. gegen die Vorgaben der Art. 33 (Meldung an die Aufsichtsbehörde), Art. 34 (Information der Kl.) sowie Art. 15 (Auskunftserteilung) DS-GVO stützen. Dabei kann dahinstehen, ob die Bekl. gegen diese Vorschriften verstoßen hat. Denn die Kl. legt bereits nicht da, dass ihr aufgrund einer unterstellten Verletzung ein kausaler Schaden entstanden sein kann. Das Merkmal des immateriellen Schadens ist autonom auszulegen. Erwägungsgrund 146 S. 3 DS-GVO sieht vor, dass der Begriff des Schadens im Lichte der Rspr. des EuGH weit auf eine Art und Weise ausgelegt werden soll, die den Zielen dieser Verordnung in vollem Umfang entspricht. Erwägungsgrund 75 DS-GVO nennt etwa Identitätsdiebstahl oder -betrug, finanzielle Verluste, Rufschädigung oder den Verlust der Kontrolle personenbezogener Daten. Ein nationales Verständnis zum Begriff des Schadens – etwa eine enge Auslegung – ist mithin nicht angezeigt. Dabei ist davon auszugehen, dass der Schaden im Sinn des Art. 82 Abs. 1 DS-GVO nicht bereits in der Verletzung der DS-GVO als solcher liegt, sondern vielmehr ein auf einem Verstoß gegen die DS-GVO beruhender Schaden darzulegen ist. Das Erfordernis eines zusätzlich zum Verstoß gegen die DS-GVO eintretenden Schadens folgt dabei bereits aus dem Wortlaut des Art. 82 Abs. 1 DS-GVO, der davon spricht, dass jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz hat. Die Regelung setzt damit voraus, dass es auch Verstöße geben kann, die nicht in einem Schaden resultieren, und lässt somit erkennen, dass es – unbeschadet des Umstands, dass auch Bagatellschäden erfasst werden – gerade keinen Gleichklang zwischen einem Verstoß gegen die DS-GVO und dem immateriellen Schaden gibt. Darlegungs- und beweisbelastet ist die Klägerseite. Nach diesem Maßstab ist im vorliegenden Fall logisch ausgeschlossen, dass der von der Kl. behauptete Schaden durch die unterstellte Verletzung der Vorgaben der Art. 3334 und 15 DS-GVO durch die Bekl. hervorgerufen worden ist. Die Kl. macht geltend, sie habe durch das Scraping und die Veröffentlichung der Daten einen erheblichen Kontrollverlust über ihre Daten erlitten und sei in einem Zustand großen Unwohlseins und großer Sorge über möglichen Missbrauch ihrer sie betreffenden Daten verblieben. Dies manifestiere sich u. a. in einem verstärkten Misstrauen bzgl. E-­Mails und Anrufen von unbekannten Nummern und Adressen. Sie erhalte seit dem Vorfall unregelmäßig unbekannte Kontaktversuche via SMS und E-­Mail und habe Stress, Komfort- und Zeiteinbußen erlitten. Der Vorfall habe zu einem Gefühl des Kontrollverlustes, des Beobachtetwerdens und der Hilfslosigkeit, mithin einem überschattenden Gefühl der Angst geführt. Diese hier zugunsten der Kl. zu unterstellenden Beeinträchtigungen können nicht durch Verstöße gegen die vorgenannten Normen verursacht worden sein, sondern allenfalls durch den Scraping-Vorfall an sich. Auf diesen konnten die hypothetischen Verstöße aber keinen Einfluss entfalten. Im Einzelnen: Ob die Bekl. ihre Meldepflicht an die Aufsichtsbehörde (vgl. Art. 33 DS-GVO) erfüllt oder nicht vermag nichts an dem Umstand zu ändern, dass die Daten der Kl. bereits abgegriffen worden sind und ins Darknet eingestellt werden konnten. Mithin kann der Umgang der Bekl. mit der Meldeverpflichtung auch keine Rolle für die von der Kl. behaupteten immateriellen Beeinträchtigungen haben. Nichts anderes gilt für die Information der Kl. über den Vorfall (vgl. Art. 34 DS-GVO). Wäre die Kl. noch früher oder umfassender informiert worden als mit dem Schreiben geschehen, hätte dies an dem Scraping-Vorfall und den zu unterstellenden eingetretenen Beeinträchtigungen nichts zugunsten der Kl. geändert – allenfalls wären bei einer früheren Information diese Umstände bei der Kl. zu einem noch früheren Zeitpunkt eingetreten, was das Ausmaß der Beeinträchtigung in zeitlicher Hinsicht sogar noch vertieft hätte. Entsprechendes gilt schließlich auch für die unterstellte Verletzung der Auskunftspflicht (vgl. Art. 15 DS-GVO) in Bezug auf das Auskunftsersuchen der Kl. v. 18.2.2022. Auch diese konnte schon in zeitlicher Hinsicht nicht für den Scrapingvorfall und mithin die behaupteten dadurch verursachten Beeinträchtigungen der Kl. kausal werden. Ob die Bekl. gegen die Vorgaben des Art. 25 DS-GVO verstößt, kann dahinstehen. Denn selbst ein unterstellter Verstoß führt nicht zu einem Schadensersatzanspruch nach Art. 82 DS-GVO. Allein aus einem Verstoß gegen Art. 25 DS-GVO kann wegen seines organisatorischen Charakters ein Anspruch nach Art. 82 Abs. 1 DS-GVO nicht begründet werden. Die Vorschrift entfaltet bereits vor dem eigentlichen Beginn der Datenverarbeitung ihren Regelungscharakter. Zu diesem, einer tatsächlichen Datenverarbeitung vorgelagerten Zeitpunkt entfaltet die DS-GVO jedoch nach Art. 2 Abs. 1 DS-GVO noch keine Wirkung. Die Anwendbarkeit der DS-GVO setzt vielmehr eine tatsächliche Verarbeitung personenbezogener Daten voraus. Ein Anspruch aus Art. 82 DS-GVO kommt daher nur in Betracht, wenn weitere Verstöße gegen die DS-GVO vorliegen. Das ist hier indes, wie vorstehend ausgeführt, gerade nicht der Fall. Der Feststellungsantrag ist entsprechend den vorstehenden Ausführungen unbegründet. Soweit die Vorschriften der Art. 3224513 und 14 DS-GVO betroffen sind, fällt der Bekl. kein Verstoß gegen die DS-GVO zur Last. Ein etwaiger Verstoß gegen Art. 25 DS-GVO ist nicht ohne Weiteres geeignet, einen Schadensersatzanspruch nach Art. 82 DS-GVO zu begründen. Hinsichtlich eines etwaigen Verstoßes gegen die Vorschriften der Art. 3334 und 15 DS-GVO hat die Kl. einen möglichen hierauf beruhenden Schaden nicht dargelegt.

LG Münster Urt. v. 7.3.2023 – 02 O 54/22 = ZD 2023, 689

0 EUR Der Klageantrag zu 1 ist hinreichend bestimmt. Dem Kl. steht kein Anspruch auf immateriellen Schadenersatz aus Art. 82 DS-GVO zu. Es fehlt an einer schadenersatzauslösenden Pflichtverletzung der Bekl. iSd DS-GVO. Soweit der Kl. der Bekl. mehrere Verstöße vorwirft, nämlich ungenügende Information und Aufklärung über die Verarbeitung der sie betreffenden Daten durch ungenügende Aufklärung zur Verwendung und Geheimhaltung der Telefonnummer (Art. 5 Abs. 1 lit. a DS-GVO), einen unmittelbaren Verstoß gegen Art. 1314 DS-GVO, die konkrete Informationspflichten enthielten, die seitens der Bekl. nicht eingehalten worden seien, einen ungenügenden Schutz der personenbezogenen Daten der Nutzer von F. (Art. 2432 DS-GVO), eine unvollständige Auskunftserteilung nach Art. 15 DS-GVO, da nicht mitgeteilt worden sei, welchen Empfängern die Daten des Kl.- durch Ausnutzung des Kontakt-Import Tools zugänglich gemacht worden seien (Art. 3334 DS-GVO), sind solche Verstöße schon nicht vom Schutzzweck des Art. 82 DS-GVO umfasst. Es kann daher auch offenbleiben – wenngleich hierfür sehr viel spricht –, ob sich der Kl. iRd Geltung der DS-GVO ein anspruchsausschließendes Mitverschulden gem. § 254 Abs. 2 BGB analog entgegenhalten lassen muss. Der Anwendungsbereich der DS-GVO ist eröffnet. Der sachliche Anwendungsbereich des Art. 82 DS-GVO ist zunächst bezogen auf die Geltendmachung behaupteter verspäteter Auskunftsansprüche gem. Art. 15 DS-GVO und Art. 34 DS-GVO nicht eröffnet. Der Schutzbereich des Art. 82 DS-GVO umfasst ebenso wenig Verstöße gegen Art. 34 DS-GVO. Schließlich lässt sich auch von vornherein aus Art. 24 und 25 DS-GVO kein subjektives Recht herleiten. Daher kann auch offenbleiben, ob Verstöße etwa gegen Art. 1314 und 34 DS-GVO durch die Bekl. erfolgten, da auch sie nicht unter den Schutzbereich des Art. 82 DS-GVO fallen, weil auch sie „lediglich“ Informationspflichten über die Verarbeitung enthalten, nicht aber die Verarbeitung als solche zum Gegenstand haben. Unabhängig von den vorstehenden Ausführungen unter 1.1 fehlt es aber ohnehin an entsprechenden Pflichtverstößen der Bekl. gegen Normen der DS-GVO, wenn man den Anwendungsbereich für eröffnet erachten sollte. Es ist kein Verstoß gegen Art. 5 Abs. 1 DS-GVO gegeben, weil es auch bei Informationspflichten der Rücksichtname auf den Grundsatz des Art. 5 Abs. 1 DS-GVO bedarf. Es ist kein Verstoß der Bekl. gegen ihre Pflicht, die personenbezogenen Daten der Nutzer, inklusive der des Kl., ausreichend gem. Art. 32 DS-GVO zu schützen, festzustellen. Es ist kein Verstoß der Bekl. gegen das in Art. 2425 Abs. 2 DS-GVO verankerte Prinzip „Privacy by default“ gegeben. Die Bekl. hat ihre Pflicht gem. Art. 33 DS-GVO, der zuständigen Aufsichtsbehörde den Datenschutzverstoß zu melden, nicht verletzt. Es ist kein Verstoß gegen Art. 35 DS-GVO gegeben mit der Behauptung, die Bekl. habe keine Datenschutz-Folgeabschätzung im Sinne dieser Vorschrift durchgeführt. Die Bekl. hat auch nicht gegen Art. 15 DS-GVO verstoßen, indem sie dem Kl. keine bzw. unvollständige Auskünfte erteilt hat. Unabhängig von den vorstehenden Ausführungen fehlt es (auch) an einem ersatzfähigen Schaden des Kl. iSd Art. 82 Abs. 1 DS-GVO. Für den immateriellen Schadensersatz gelten dabei die iRv § 253 BGB entwickelten Grundsätze; die Ermittlung obliegt dem Gericht nach § 287 ZPO. Für die Bemessung können die Kriterien des Art. 83 Abs. 2 DS-GVO herangezogen werden, zB die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie die betroffenen Kategorien personenbezogener Daten. Zu berücksichtigen ist auch, dass die beabsichtigte abschreckende Wirkung nur durch für den Anspruchsverpflichtenden empfindliche Schmerzensgelder erreicht wird, insb. wenn eine Kommerzialisierung fehlt. Ein genereller Ausschluss von Bagatellfällen ist damit nicht zu vereinbaren. Die Pflicht zur Erstattung immaterieller Schäden ist daher nicht nur auf schwere Schäden beschränkt. Nach den Erwägungsgründen der Europäischen Grundrechtscharta ist der Schadensbegriff weit auszulegen (s. Erwägungsgrund 146, auch wenn er in der DS-GVO nicht näher definiert wird). Schadenersatzforderungen sollen abschrecken und weitere Verstöße unattraktiv machen. Darüber hinaus sollen die betroffenen Personen einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden haben. Dabei wird vor allem die abschreckende Wirkung des Schadensersatzes betont, welche insb durch seine Höhe erzielt werden soll. Nach den Erwägungsgründen Ziff. 75 kann ein Nichtvermögensschaden durch Diskriminierung, Identitätsdiebstahl oder -betrug, Rufschädigung, Verluste der Vertraulichkeit von dem Berufsgeheimnis unterliegenden persönlichen Daten oder gesellschaftliche Nachteile eintreten. Ein genereller Ausschluss von Bagatellschäden ist im Lichte dieser Erwägungsgründe nicht vertretbar. Dies wird auch aus Art. 4 Abs. 3 AEUV abgeleitet, der die Mitgliedsstaaten dazu anhält, Verstöße wirksam mit Sanktionen zu belegen, denn nur so könne man eine effektive Durchsetzbarkeit des EU-Rechts und damit auch der DS-GVO erzielen. Allein eine Verletzung des Datenschutzrechts als solche begründet allerdings nicht bereits für sich gesehen einen Schadensersatzanspruch für betroffene Personen. Die Verletzungshandlung muss in jedem Fall auch zu einer konkreten, nicht nur völlig unbedeutenden oder empfundenen Verletzung von Persönlichkeitsrechten der betroffenen Personen geführt haben. Verletzung und Schaden sind nicht gleichzusetzen. Einerseits ist zwar eine schwere Verletzung des Persönlichkeitsrechts nicht (mehr) erforderlich, andererseits ist auch weiterhin nicht für einen Bagatellverstoß ohne ernsthafte Beeinträchtigung bzw. für jede bloß individuelle empfundene Unannehmlichkeit ein Schmerzensgeld zu gewähren. Dem Betroffenen muss vielmehr ein spürbarer Nachteil entstanden sein und es muss um eine objektiv nachvollziehbare, mit gewissem Gewicht erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen gehen. Der Schaden ist zwar weit zu verstehen, er muss jedoch auch wirklich „erlitten“ (Erwägungsgrund 146 S. 6), dh „spürbar“, objektiv nachvollziehbar und von gewissem Gewicht sein, um bloße Unannehmlichkeiten oder Bagatellschäden auszuschließen. Unter Anwendung dieser Maßstäbe hat der Kl. schon keine spürbare Beeinträchtigung von persönlichen Belangen, die durch Datenverlust hervorgerufen worden ist, dargelegt. Der Kl. trägt vor, einen erheblichen Kontrollverlust über seine Daten erlitten und Sorge vor Missbrauch seiner Daten zu haben. Seit dem Scraping-Vorfall 2019 und Veröffentlichung im April 2021 sei es zu einem Anstieg von SMS und Mails gekommen. Dies genügt nicht, um einen Schaden iSd DS-GVO zu bejahen. Der Kl. spricht lediglich allgemein von unerwünschten bzw. dem unerwünschten erhöhten Anfall von E-­Mails und Nachrichten. Unerwünschte E-­Mails und Anrufe erhalten gerichtsbekannt aber auch Personen, die keinen Facebook-Account haben und dort ihre Telefonnummer hinterlegt haben. Hierbei hat das Gericht auch berücksichtigt, dass die Möglichkeit besteht, eine Telefonnummer zu wechseln. Dass aus dem Bekanntwerden einer Telefonnummer ein Identitätsmissbrauch entstehen kann, ist eher unwahrscheinlich. Bei anderer Sichtweise genügte der konkrete Nachweis einer möglichen Betroffenheit, um eine Haftung zu begründen. Dies käme einer reinen Gefährdungshaftung gleich, was letztlich auch dem Erwägungsgrund 75 widerspräche. Es fehlt jedenfalls auch an einer Kausalität etwaiger – hier nicht festzustellender – Verstöße der Bekl. gegen die DS-GVO für einen – hier nicht festzustellenden – Schaden. Soweit der Kl. behauptet, er erhalte unerwünschte SMS und E-­Mails, so handelt es sich um eine Erscheinung, die bereits mit der Nutzung des Internets als solcher zusammenhängt. Dem Gericht ist aus eigener Anschauung bekannt, dass auch Personen ohne Facebook-Account unerwünschte Anrufe oder Nachrichten erhalten. Selbst wenn beim Kl. tatsächlich derartige Anrufe seit April 2021 zugenommen haben mögen, so kann dies vielerlei Ursachen haben. Es ist völlig unklar und unbekannt, ob und welche Daten der Kl. an anderer Stelle freigegeben hat und ob ein unberechtigter Datenzugriff an anderer Stelle zu dem vom Kl. behaupteten vermehrten unerwünschten Nachrichtenaufkommen geführt hat. Mangels Anspruch dem Grunde nach sind auch vertiefte Ausführungen zur Höhe des geltend gemachten Schadensersatzanspruchs entbehrlich. Zuzugestehen mag dem Kl. wegen des präventiven und sanktionellen Charakters des Schmerzensgeldanspruchs aus der DS-GVO sein, dass ein Schmerzensgeld iHv 1.000 EUR bei einem Verstoß nicht fernliegend wäre. Dies deckt sich auch mit dem europarechtlich weit gefassten Schadenbegriff, der nur bei einer entsprechenden Weite seiner intendierten Abschreckungswirkung gerecht werden kann. Es ist jedoch anzumerken, dass sich der Kammer mangels entsprechender Ausführungen schon nicht erschließt, warum außergerichtlich ein Schmerzensgeld iHv 500 EUR begehrt wurde und nunmehr bei gleichbleibender Argumentation im gerichtlichen Verfahren 1.000 EUR begehrt werden.

LG Osnabrück Urt. v. 3.3.2023 – 11 O 834/22

0 EUR Der Klageantrag zu 1 ist hinreichend bestimmt (§ 253 Abs. 2 Ziff. 2 ZPO). Unabhängig von einem etwaigen Verstoß gegen Vorschriften der DS-GVO, fehlt es jedenfalls am Eintritt eines immateriellen Schadens. Nach Art. 82 Abs. 1 DS-GVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Die Frage, ob bereits der Datenschutzverstoß als solcher für das Entstehen eines Schadensersatzanspruchs ausreicht oder es darüber hinaus der Darlegung und des Nachweises eines konkreten (auch: immateriellen) Schadens bedarf, ist in Rspr. und Lit. umstritten. Die Kammer folgt der Auffassung, wonach über den festgestellten Verstoß gegen die Vorschriften des DS-GVO hinaus Voraussetzung für eine Entschädigung in Geld der Nachweis eines konkreten (auch immateriellen) Schadens ist. Hierfür spricht zunächst bereits der Wortlaut von Art. 82 Abs. 1 DS-GVO, der über den Verstoß hinaus ausdrücklich die Entstehung eines Schadens („…Schaden entstanden ist“) voraussetzt. Hätte der Verordnungsgeber eine nur an den Rechtsverstoß anknüpfende, vom Nachweis eines konkreten Schadens unabhängige Zahlungspflicht anordnen wollen, hätte es demgegenüber nahegelegen, dies – wie zB im Luftverkehrsrecht gem. Art. 7 Abs. 1 FluggastrechteVO (EG) 261/2004 – durch Pauschalen zu regeln. In dem Erwägungsgrund 146 S. 3 zu der DS-GVO heißt es zwar, dass der Begriff des Schadens im Lichte der Rspr. des Gerichtshofs weit auf eine Art und Weise ausgelegt werden soll, die den Zielen der Verordnung in vollem Umfang entspricht. Der Anspruch soll nach Erwägungsgrund 146 S. 6 sicherstellen, dass die betroffenen Personen einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten. Das schließt ein, dass Schadensersatzforderungen abschrecken und weitere Verstöße unattraktiv machen sollen. Der Begriff des Schadens in Art. 82 DS-GVO ist autonom auszulegen, mithin kommt es nicht darauf an, ob ein bestimmter Schaden nach nationalem Recht als Schaden angesehen werden könnte. Auch hiernach ist der Schaden jedoch nicht mit der zugrundeliegenden Rechtsgutsverletzung gleichzusetzen. Denn ausdrücklich muss der Schaden „erlitten“ werden, woraus folgt, dass dieser tatsächlich entstanden sein muss und nicht lediglich befürchtet wird. Der bloße Verstoß gegen Bestimmungen der DS-GVO reicht daher nicht aus. Das Erfordernis des Nachweises eines tatsächlich erlittenen Schadens ist auch der Sache nach erforderlich, um ein vom Verordnungsgeber nicht gewolltes Ausufern von Schadensersatzforderungen in allen Fällen eines – tatsächlich für den Betroffenen folgenlosen – Datenschutzverstoßes zu vermeiden. Auch der GA beim EuGH legt Art. 82 Abs. 1 DS-GVO dahin aus, dass eine Auslegung, die den Begriff „Verstoß“ automatisch, ohne Erfordernis eines Schadens, mit dem Begriff „Ausgleich“ in Verbindung bringe, nicht mit dem Wortlaut von Art. 82 der DS-GVO im Einklang stehe. Es könne nicht bereits aus einem Verstoß gegen die DS-GVO, der zu einem Kontrollverlust über Daten geführt habe, auf einen ersatzfähigen Schaden geschlossen werden. Die DS-GVO sehe zudem keinen Strafschadensersatz vor, der ggf. unabhängig von einem konkret erlittenen Schaden als Sanktion für einen festgestellten Datenschutzverstoß zugesprochen werden könne. Der in Art. 82 Abs. 1 der DS-GVO vorgesehene Anspruch auf Schadensersatz sei nicht das geeignete Instrument, um gegen Verstöße bei der Verarbeitung personenbezogener Daten vorzugehen, wenn sie bei der betroffenen Person lediglich zu Zorn oder Ärger führten. Im Allgemeinen werde jeder Verstoß gegen eine Norm über den Schutz personenbezogener Daten zu einer negativen Reaktion der betroffenen Person führen. Ein Schadensersatz, der sich aus einem bloßen Unmutsgefühl wegen der Nichtbeachtung des Rechts durch einen anderen ergäbe, würde letztlich zur Zuerkennung eines nach dem System der DS-GVO gerade nicht vorgesehenen Schadensersatzes ohne Schaden führen. Für den – hier geltend gemachten – immateriellen Schadensersatz gelten dabei die iRv § 253 BGB entwickelten Grundsätze; die Ermittlung obliegt dem Gericht nach § 287 ZPO. Es können für die Bemessung die Kriterien des Art. 83 Abs. 2 DS-GVO herangezogen werden, zB die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie die betroffenen Kategorien personenbezogener Daten. Zu berücksichtigen ist auch, dass die beabsichtigte abschreckende Wirkung nur durch für den Anspruchsverpflichtenden empfindliche Schmerzensgelder erreicht wird, insb. wenn eine Kommerzialisierung fehlt. Ein genereller Ausschluss von Bagatellfällen ist damit nicht zu vereinbaren. Die Pflicht zur Erstattung immaterieller Schäden ist daher nicht nur auf schwere Schäden beschränkt. Nach den Erwägungsgründen der europäischen Grundrechtscharta ist der Schadensbegriff weit auszulegen (s. Erwägungsgrund 146). Schadenersatzforderungen sollen abschrecken und weitere Verstöße unattraktiv machen. Darüber hinaus sollen die betroffenen Personen einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden haben. Dabei wird vor allem die abschreckende Wirkung des Schadensersatzes betont, welche insb. durch seine Höhe erzielt werden soll. Nach dem Erwägungsgrund 75 kann ein Nichtvermögensschaden durch Diskriminierung, Identitätsdiebstahl oder -betrug, Rufschädigung, Verluste der Vertraulichkeit von dem Berufsgeheimnis unterliegenden persönlichen Daten oder gesellschaftliche Nachteile eintreten. Ein genereller Ausschluss von Bagatellschäden ist im Lichte dieser Erwägungsgründe nicht vertretbar. Dies wird auch aus Art. 4 Abs. 3 AEUV abgeleitet, der die Mitgliedsstaaten dazu anhält, Verstöße wirksam mit Sanktionen zu belegen, denn nur so könne man eine effektive Durchsetzbarkeit des EU-Rechts und damit auch der DS-GVO erzielen. Demgegenüber begründet – wie bereits ausgeführt – allein eine Verletzung des Datenschutzrechts als solche nicht bereits für sich gesehen einen Schadensersatzanspruch für betroffene Personen. Die Verletzungshandlung muss in jedem Fall auch zu einer konkreten, nicht nur völlig unbedeutenden oder empfundenen Verletzung von Persönlichkeitsrechten der betroffenen Personen geführt haben. Es ist zwar eine schwere Verletzung des Persönlichkeitsrechts nicht (mehr) erforderlich. Andererseits ist auch weiterhin nicht für einen Verstoß ohne ernsthafte Beeinträchtigung bzw. für jede bloß individuelle empfundene Unannehmlichkeit ein Schmerzensgeld zu gewähren; vielmehr muss dem Betroffenen ein spürbarer Nachteil entstanden sein und es muss um eine objektiv nachvollziehbare, mit gewissem Gewicht erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen gehen. In den Erwägungsgründen Ziff. 75 und 85 werden einige mögliche Schäden aufgezählt, darunter unter den bereits genannten Kategorien des Identitätsdiebstahls und der Rufschädigung, auch finanzielle Verluste, der Verlust der Kontrolle über die eigenen Daten sowie die Erstellung unzulässiger Persönlichkeitsprofile. Zudem nennt Erwägungsgrund 75 auch die bloße Verarbeitung einer großen Menge personenbezogener Daten einer großen Anzahl von Personen. Der Schaden ist zwar weit zu verstehen, er muss jedoch auch wirklich „erlitten“ (Erwägungsgrund 146 S. 6), das heißt „spürbar“, objektiv nachvollziehbar, von gewissem Gewicht sein, um bloße Unannehmlichkeiten auszuschließen. Gemessen an diesen Grundsätzen hat der Kl. schon keine spürbare Beeinträchtigung – hervorgerufen durch Datenverlust – von persönlichen Belangen dargelegt. Der Kl. trägt vor, einen erheblichen Kontrollverlust über seine Daten erlitten und Sorge vor dem Missbrauch seiner Daten zu haben. Seit dem Scraping-Vorfall 2019 und Veröffentlichung im April 2021 auf der eingangs benannten Seite sei es zu einem Anstieg von SMS und E-­Mails gekommen. Insoweit ist zunächst festzuhalten, dass alle Daten mit Ausnahme der Handynummer aus dem öffentlichen Profil des Kl. „abgelesen“ wurden. Der Kl. hat diese Daten also bereitwillig selbst auf der Plattform eingetragen. Ein Identitätsdiebstahl hat insoweit nicht stattgefunden. Soweit diese Daten öffentlich waren, standen sie vielmehr bereits bei ihrer Eingabe nicht mehr unter der ausschließlichen klägerischen Kontrolle. Ein Kontrollverlust kann sich daraus gerade nicht ergeben. Ebenso wenig folgt ein solcher Identitätsdiebstahl oder Kontrollverlust in Bezug auf die Mobilfunknummer aus dem streitgegenständlichen Scraping-Vorfall. Zwischen den Parteien ist unstreitig, dass die Mobilfunknummer des Kl. nicht aus seinem Facebook-Profil ausgelesen, sondern von den unbekannt gebliebenen „Scrapern“ im Wege einer massenhaften Generierung von Zahlenfolgen erzeugt worden war; der diesbezügliche Datenverlust beruht mithin auf einem nicht von der Bekl. zu verantwortenden Handeln Dritter. Dass schließlich gerade aufgrund der im Wege des Scrapings hergestellten Verknüpfung der öffentlich verfügbaren Daten des Kl. mit dessen Mobilfunknummer ein darüberhinausgehender Kontrollverlust eingetreten ist, ergibt sich aus dem Vorbringen des Kl. nicht. So nimmt der Kl., wie bereits ausgeführt, lediglich in allgemeiner Form Bezug auf einen Anstieg unerwünschter Nachrichten; dass es hier jedoch über seine – womöglich rein „maschinell“ erzeugte – Mobilfunknummer hinaus zu einer Nutzung seiner persönlichen Daten kommt und mithin die durch das Scraping erzeugte Verknüpfung in irgendeiner Form zum Tragen kommt, hat der Kl. nicht dargelegt. Legt man die Angaben des Kl. zugrunde, können zudem die behaupteten E-­Mails und Anrufe bereits nicht mit einer vernünftigen Zweifeln Schweigen gebietenden Sicherheit dem hiesigen Scraping-Vorfall zugeordnet werden. Der Kl. spricht lediglich allgemein von unerwünschten bzw. dem unerwünschten erhöhten Anfall von E-­Mails und Nachrichten. Insoweit ist vorliegend zunächst zu würdigen, dass auch nach dem Vorbringen des Kl. lediglich seine Mobilfunknummer Gegenstand des Scraping-Vorfalls war, nicht dagegen seine E-­Mail-Adresse. Da der Kl. hier weder in qualitativer noch in quantitativer Hinsicht zwischen den behaupteten unerwünschten E-­Mails bzw. SMS differenziert, ist nach seinem Vortrag nicht erkennbar, in welchem Ausmaß etwaige unerwünschte Nachrichten tatsächlich mit dem streitgegenständlichen Vorfall in Verbindung stehen. Unerwünschte E-­Mails und Anrufe erhalten gerichtsbekannt zudem auch in großer Zahl Personen, die keinen Facebook-Account haben und dort ihre Telefonnummer hinterlegt haben; die Ursachen für das Erlangen insb. der Mobilfunknummer durch Dritte in einer digital vernetzen Welt sind ausgesprochen vielfältig. Gerade in Hinblick auf die Mobilfunknummer kann dies – wie auch vorliegend – auch auf eine rein technische Erzeugung von Nummernfolgen zurückzuführen sein. Ein danach allein verbleibender etwaiger Zustand großen Unwohlseins und großer Sorge über den Missbrauch seiner Daten genügt jedoch – wie bereits ausgeführt – gerade nicht, um einen Schaden des Kl. iSv Art. 82 Abs. 1 DS-GVO zu begründen. Nach alledem steht dem Kl. kein immaterieller Schadensersatzanspruch zu. Der Feststellungsantrag zu Ziff. 2) ist unbegründet, weil der Eintritt künftiger Schäden – mangels Vorliegen eines Schadens – bereits nicht hinreichend wahrscheinlich ist.

LG Heilbronn Urt. v. 3.3.2023 – Bö 1 O 78/22

0 EUR Entgegen der Auffassung der Bekl. liegen dem Klageantrag zu 1 nicht zwei eigenständige Streitgegenstände zugrunde. Dem Kl. steht gegen die Bekl. kein Anspruch auf Zahlung immateriellen Schadensersatzes gem. Art. 82 Abs. 1 DS-GVO zu. Gem. Art. 82 Abs. 1 DS-GVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Ein Verstoß gegen Vorschriften der DS-GVO, der einen Schadensersatzanspruch des Kl. gegen die Bekl. nach Art. 82 Abs. 1 DS-GVO begründen würde, kann nicht festgestellt werden. Dahinstehen kann, ob die Bekl. gegen Art. 13141533 und 34 DS-GVO verstoßen hat. Verstöße gegen diese Vorschriften sind bereits nicht vom Schutzbereich des Art. 82 DS-GVO umfasst. Dies ergibt sich zwar nicht unmittelbar aus Art. 82 Abs. 1 DS-GVO, folgt aber aus dem Zusammenspiel dieser Norm mit Art. 82 Abs. 2 DS-GVO. Gem. Art. 82 Abs. 2 S. 1 DS-GVO haftet jeder an einer Verarbeitung beteiligte Verantwortliche für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. Daraus folgt, dass gerade die Verarbeitung selbst verordnungswidrig sein muss und nur für Schäden gehaftet werden soll, die durch eine nicht der DS-GVO entsprechende Verarbeitung verursacht wurden. Dies ergibt sich zudem aus Erwägungsgrund 146 S. 1 DS-GVO, welcher vorsieht: „Der Verantwortliche oder der Auftragsverarbeiter sollte Schäden, die einer Person aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht, ersetzen.“ Die bloße Verletzung von Informationsrechten der betroffenen Person aus Art. 12 bis 15 DS-GVO führt daher nicht dazu, dass eine Datenverarbeitung, infolge derer das Informationsrecht entstanden ist, selbst verordnungswidrig ist und löst dementsprechend keine Schadensersatzansprüche nach Art. 82 DS-GVO aus. Ebensowenig erfasst Art. 82 DS-GVO Verstöße gegen die Melde- und Benachrichtigungspflichten nach Art. 3334 DS-GVO. Ein Verstoß gegen Art. 5 Abs. 1 lit. a DS-GVO iVm Art. 13 DS-GVO liegt nicht vor. Ein Verstoß gegen Art. 5 Abs. 1 lit. f DS-GVO iVm Art. 32 DS-GVO ist nicht feststellbar. Der Kl. trägt entgegen seiner Ansicht nach allgemeinen zivilprozessualen Grundsätzen die Darlegungs- und Beweislast für eine haftungsbegründende Pflichtverletzung der Bekl. Nichts anderes ergibt sich aus Art. 5 Abs. 2 DS-GVO, weil die DS-GVO kein Beweisrecht enthält, sondern insoweit die Beweisregeln des jeweiligen nationalen Prozessrechts gelten. Die Bekl. trifft freilich eine sekundäre Darlegungslast. Ferner liegt auch kein Verstoß der Bekl. gegen Art. 25 DS-GVO vor. Schließlich liegt auch kein Verstoß gegen Art. 6 Abs. 1 lit. a, 7 Abs. 2 DS-GVO vor. Da nach alledem schon kein zum Schadensersatz gem. Art. 82 Abs. 1 DS-GVO verpflichtender Verstoß der Bekl. gegen Vorschriften der DS-GVO gegeben ist, kann auf sich beruhen, ob dem Kl. ein ersatzfähiger Schaden iSd Art. 82 Abs. 1 DS-GVO entstanden ist und dieser kausal auf die vermeintlichen Pflichtverletzungen der Bekl. zurückgeführt werden kann. Insb. kann offen bleiben, ob Daten des Kl. überhaupt von dem streitgegenständlichen Scraping-Vorfall betroffen sind. Nachdem wie dargelegt dem Kl. bereits dem Grunde nach kein Schadensersatzanspruch gegen die Bekl. gem. Art. 82 Abs. 1 DS-GVO zusteht, ist auch der Klageantrag zu 2 (Feststellungsantrag) unbegründet.

LG Frankfurt/M. Urt. v. 2.3.2023 – 2-03 O 164/22

0 EUR Gem. § 253 Abs. 2 Ziff. 2 ZPO wird der Streitgegenstand durch das Rechtsschutzbegehren (Antrag) und den Lebenssachverhalt (Anspruchsgrund) bestimmt, aus dem der Kl. die begehrte Rechtsfolge herleitet. Dem Kl. steht gegen die Bekl. kein Anspruch auf Ersatz eines materiellen oder immateriellen Schadens nach Art. 82 Abs. 1 DS-GVO oder nach nationalen Vorschriften zu. Es erscheint schon zweifelhaft, ob die vom Kl. geltend gemachten Datenschutzverstöße vorliegen. Ein Verstoß gegen die Transparenzpflichten aus Art. 5 Abs. 1 lit. a, 1314 DS-GVO liegt nicht vor. Der Anspruch ist unbegründet, soweit der Kl. den Verstoß gegen Art. 15 DS-GVO geltend macht. Denn die Bekl. hat nicht gegen ihre Verpflichtung aus Art. 15 Abs. 1 DS-GVO verstoßen. Die Bekl. ist ihrer Verpflichtung zur Auskunftserteilung hinreichend nachgekommen. Mit Anwaltsschreiben v. 25.11.2021 hat die Bekl. umfassend die Zwecke, zu denen personenbezogene Daten des Kl. verarbeitet werden, angegeben. Außerdem wurden die Kategorien personenbezogener Daten, die von der Bekl. erfasst und verarbeitet werden sowie die Quellen und Kategorien der Empfänger, an die die Informationen weitergegen werden können, angegeben. Der Kl. kann darüber hinaus nicht Auskunft darüber verlangen, „welche Daten durch welche Empfänger zu welchem Zeitpunkt bei der Bekl. durch Scraping oder durch Anwendung des Kontaktimporttools erlangt werden konnten“, verlangen. Nach der neusten Entscheidung des EuGH ist der Anspruch aus Art. 15 Abs. 1 lit. c DS-GVO eingeschränkt, wenn die Identität der konkreten Empfänger (noch) nicht bekannt sind. So liegt der Fall hier. Die Bekl. hat mitgeteilt, dass sie keine Rohdaten habe und über die Verarbeitungstätigkeiten Dritter keine Angaben machen könne. Es kann dahinstehen, ob damit bereits kein Anspruch besteht oder der Anspruch im Wege einer Nullauskunft erloschen ist. In keinem Fall liegt ein Verstoß gegen Art. 15 DS-GVO vor. Selbst wenn die geltend gemachten Datenschutzverstöße unterstellt werden würden, fehlt es an der erforderlichen Kausalität. Der Verstoß gegen die DS-GVO muss kausal für den Schaden sein. Der gegenteiligen Auffassung des Kl. kann nicht gefolgt werden. Nach dem Wortlaut der Vorschrift ist der Schaden, der „wegen eines Verstoßes“ entsteht, zu ersetzen, der auf einen Ursachenzusammenhang hindeutet. Da für den Begriff der Kausalität keine unionsrechtliche Regelung besteht, sind im Grundsatz die nationalen Rechtsordnungen maßgeblich, wobei der Äquivalenz- und der Effektivitätsgrundsatz zu beachten sind. Vor diesem Hintergrund ist zur Gewährleistung der vollen Wirksamkeit der europarechtlichen Vorschrift ein „unmittelbarer Ursachenzusammenhang“ nicht zu fordern. Es genügt eine „Mitursächlichkeit“ des Verstoßes. Die Kammer kann nicht feststellen, dass die klägerseits vorgetragenen Verstöße für die Störung und Belästigung des Kl. mitursächlich geworden sind. Nach allgemeinen Grundsätzen obliegt es dem Kl. die Mitursächlichkeit darzulegen und ggf. zu beweisen. Die DS-GVO selbst sieht insoweit keine Beweiserleichterung vor; insb. bezieht sich Art. 82 Abs. 3 DS-GVO nur auf das Verschulden und nicht auf die Kausalität. Soweit sich der Kl. auf ein Editorial von Hense (ZD 2022, 413) und auf ein EuGH Urt. v. 24.2.2022 bezieht, ergibt sich nichts anderes. Nach dem EuGH obliegt es dem Datenverarbeiter aufgrund der Rechenschaftspflicht nach Art. 5 Abs. 2 DS-GVO nachzuweisen, dass die Vorschriften der DS-GVO eingehalten wurden. Daraus folgt aber noch nicht, dass aus einem – unterstellten – Verstoß auch ein kausaler Schaden herrührt. Nach § 286 Abs. 1 ZPO hat das Tatgericht den gesamten Inhalt der Verhandlung einschließlich die Äußerung bei der Anhörung gem. § 141 ZPO zu würdigen. Der Kl. hat im Rahmen seiner informatorischen Anhörung angegeben, dass die Anrufe seit drei Jahren bestehen. Insb. hat der Kl. selbst im Rahmen seiner informatorischen Anhörung angegeben, dass seine Handy-Nummer bis vor acht bis neun Jahren nicht auf privat gestellt war und dass sein Account vor drei bis vier Jahren gehackt worden war. Die geltend gemachten Datenschutzverstöße wären nur dann kausal, wenn ausgeschlossen werden kann, dass die entsprechenden Daten weder über den hier nicht streitgegenständlichen Hackangriff noch durch die öffentliche Preisgabe durch den Kl. erfolgt wäre. Beides kann der Kl. nicht ausschließen. Insb. traten die Belästigungen bereits vor Veröffentlichung des Datensatzes auf, nämlich vor drei Jahren, während die Daten vor zwei Jahren (April 2021) veröffentlicht wurden. Das spricht gegen eine Kausalität mit dem Scraping-Vorfall. Überdies genügt das klägerische Vorbringen nebst Erklärungen iRd Anhörung nicht, um einen immateriellen Schaden iSd Art. 82 Abs. 1 DS-GVO zu begründen. Auch wenn der unionsrechtliche Begriff des Schadens iSd Art. 82 Abs. 1 DS-GVO noch nicht geklärt ist, kann selbst unter Zugrundelegung eines weiten Schadensbegriffs ein Schaden nicht festgestellt werden. Der Kl. gibt zwar insb. Ängste und das Gefühl des Kontrollverlustes an. Die Kammer ist aber nach Anhörung des Kl. nicht in dem nach §§ 286287 ZPO erforderlichen Maße davon überzeugt, dass der Kl. tatsächlich unter solchen Ängsten leidet. Vielmehr kann die Kammer lediglich eine „Störung“ im Alltag feststellen, die als solche für die Annahme eines Schadens nicht genügt. Denn auf die explizite Frage, wie sich der Kl. „fühle“, antwortete er lediglich damit, dass die Anrufe stören. Gegen Angstgefühle spricht auch der Umstand, dass der Kl. im Rahmen seiner Anhörung angegeben hat, dass er Gespräche nicht sofort abbricht, sondern „normal fortführt“. Insb. hat der Kl. bzgl. Spam-E-­Mails und Spam SMS-Nachrichten selbst ausgeführt, dass sie nicht wegen F. kommen.

LG Hamburg Urt. v. 1.3.2023 – 316 O 188/22

0 EUR Der Klageantrag zu 1 ist entgegen der Auffassung der Bekl. iSv § 253 Abs. 2 Ziff. 2 ZPO hinreichend bestimmt. Ein Anspruch gegen die Bekl. ergibt sich weder aus nationalen Vorschriften noch aus Art. 82 DS-GVO. Der Kl. hat gegen die Bekl. keinen Anspruch aus Art. 82 Abs. 1 DS-GVO. Nach dieser Vorschrift hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Es kann dahinstehen, ob die Pflichtverletzungen vorliegen, die der Kl. der Bekl. vorwirft, namentlich Verstöße gegen Art. 5 Abs. 1a DS-GVO, Art. 1314 DS-GVO, Art. 2432 DS-GVO sowie Art. 15 DS-GVO. Denn ein Datenschutzverstoß als solcher reicht für das Entstehen eines Schadensersatzanspruchs nach Art. 82 Abs. 1 DS-GVO nicht aus. Es bedarf darüber hinaus der Darlegung und des Nachweises eines konkreten – auch immateriellen – Schadens. Das folgt bereits aus dem Wortlaut der Vorschrift, die zwischen Verstoß und wegen des Verstoßes entstandenem Schaden differenziert. Vorliegend fehlt es an der substantiierten Darlegung eines Schadens. Zwar werden auch Bagatellschäden von der Vorschrift erfasst, eine Erheblichkeitsschwelle muss nicht erreicht bzw. überschritten werden. Der Kl. hat jedoch lediglich vorgetragen, er habe durch die unbefugte Veröffentlichung seiner personenbezogenen Daten einen erheblichen Kontrollverlust über seine Daten erlitten und verbleibe in einem Zustand großen Unwohlseins und Sorge über möglichen Missbrauch seiner Daten. Dies manifestiere sich u. a. in einem verstärkten Misstrauen bzgl. E-­Mails und Anrufen von unbekannten Nummern und Adressen, aber auch in der ständigen Sorge, dass die veröffentlichten Daten von Kriminellen für unlautere Zwecke verwendet werden könnten. Seit April 2021 erhalte er vermehrt dubiose Nachrichten und E-­Mails der oben beschriebenen Art. Die abgegriffenen und veröffentlichten Daten bedeuteten für ihn ein hohes Risiko und Unsicherheit, wer die Daten zu welchen Zwecken unbefugt benutze. Die negativen Folgen könnten vielfältig sein und schwere Nachteile mit sich bringen, angefangen von vermehrter Belästigung durch Spam- und Werbemails bzw. Spam- und Werbenachrichten an die Mobilfunknummer, über die Zusendung von Viren, einen möglichen Identitätsdiebstahl bis hin zu vermögenswirksamen Handlungen im Namen und zu Lasten des Kl. Hierbei handelt es sich lediglich um pauschale Behauptungen und abstrakte Befürchtungen. Zu Anzahl und Art der Nachrichten von unbekannten Nummern und E-­Mail-Adressen macht der Kl. keine konkreten Angaben. Auch soweit der Kl. ergänzend vorträgt, er habe Zeit und Mühe aufgewendet, um sich vor drohendem (weiteren) Missbrauch zu schützen, er habe Stress und Ängste und ein Gefühl des Beobachtetwerdens verspürt, handelt es sich lediglich um allgemeine, nicht auf die konkrete Person des Kl. und seinen Umgang mit dem Vorfall bezogene Ausführungen.

LG Stuttgart Urt. v. 28.2.2023 – 24 O 56/22

1.000 EUR Die unbezifferte, lediglich mit einem Mindestbetrag erhobene Leistungsklage ist vor dem Hintergrund der Regelung des Art. 82 Abs. 1 DS-GVO, nach der ausdrücklich immaterieller Schadensersatz verlangt werden kann, ebenfalls zulässig. Der Kl. hat einen Anspruch aus Art. 82 Abs. 1 DS-GVO auf Ersatz immateriellen Schadens iHv 1.000 EUR gegen die Bekl. Der Kl. ist als Inhaber des streitgegenständlichen Facebook-Profils von einem Scraping-Vorfall betroffen und es liegen seitens der Bekl. mehrere Verstöße gegen die DS-GVO vor, welche in diesem Zusammenhang zur Auslösung einer entsprechenden Schadensersatzpflicht geeignet sind. Der Kl. ist Inhaber des streitgegenständlichen Facebook-Profils. Zwar mag es zutreffend sein, dass das streitgegenständliche Facebook-Profil nicht mit der vom Kl. ursprünglich genannten E-­Mail-Adresse verknüpft ist, wie die Bekl. vorträgt. Der Kl. hat zu einem späteren Zeitpunkt aber dargelegt, dass das streitgegenständliche Facebook-Profil mit seiner Handynummer verknüpft ist. Bereits dies hat die Bekl. nicht mehr substantiiert bestritten, sondern lediglich eingewandt, die Inhaberschaft am streitgegenständlichen Facebook-Profil sei aufgrund der widersprüchlichen Angaben des Kl. nicht zweifelsfrei aufklärbar und sie werde im Verfahren keine Auskünfte erteilen, um keinen Datenschutzverstoß zu begehen. Überdies hat der Kl. sich iRd mündlichen Verhandlung an seinem Handy auch in das streitgegenständliche Facebook-Profil eingeloggt, was seine Inhaberschaft nach Überzeugung des Gerichts selbst im Falle eines substantiierten Bestreitens durch die Bekl. belegen würde. Die Bekl. hat zudem nicht substantiiert bestritten, dass die vom Kl. genannten personenbezogenen Daten vom Scraping-Vorfall betroffen waren und im Darknet von jedermann abgerufen werden können. Die Bekl. hat zudem mehrere Verstöße gegen die DS-GVO begangen, welche zur Auslösung einer entsprechenden Schadensersatzpflicht geeignet sind. Es fehlt bereits eine ordnungsgemäße, ausreichende Belehrung des Kl. durch die Bekl. zum Zeitpunkt der Datenerhebung hinsichtlich der Mobilfunknummer des Kl. gem. Art. 13 DS-GVO. Zudem liegt ein datenschutzrechtlicher Verstoß der Bekl., der die Schadensersatzpflicht nach Art. 82 Abs. 1 DS-GVO auslöst, gem. Art. 32245 Abs. 1 lit. f DS-GVO vor. Es kann dahinstehen, ob die Bekl. außerdem Melde-­, Benachrichtigungs- und Transparenzpflichten aus Art. 3334 und 25 DS-GVO verletzte und ob eine etwaige Verletzung dieser Vorschriften geeignet wäre, eine Schadensersatzpflicht gem. Art. 82 Abs. 1 DS-GVO auszulösen, da die Bekl. bereits aus den dargelegten Verstößen gegen Art. 1332245 Abs. 1 lit. f DS-GVO haftet. Die Bekl. kann sich im Hinblick auf die oben dargelegten Datenschutzverstöße auch nicht mit Erfolg gem. Art. 82 Abs. 3 DS-GVO exkulpieren. Eine solche Exkulpation wäre nur möglich, wenn die Bekl. sämtliche Sorgfaltsanforderungen erfüllt hätte und ihr nicht die geringste Fahrlässigkeit vorzuwerfen wäre. Dies kann im vorliegenden Fall bereits wegen des Verstoßes der Bekl. gegen Art. 13 DS-GVO ausgeschlossen werden, weil die Bekl. insoweit nichts vorbringt, was nicht zumindest leichte Fahrlässigkeit hinsichtlich des fehlenden Hinweises auf die Verarbeitung der Mobilfunknummer des Kl. durch das Contact-Import-Tool (CIT)vermuten lässt. Auch im Hinblick auf die unzureichenden Sicherheitsmaßnahmen gem. Art. 32 DS-GVO konnte die Bekl. nicht jegliche Verantwortung ihrerseits widerlegen. Vielmehr nutzten unbekannte Dritte bereits erkannte oder erkennbare Angriffswege, um auf Daten zuzugreifen, sodass die Nichtverantwortlichkeit des Verantwortlichen nicht nachgewiesen werden kann. Scraping ist ausweislich des Beklagtenvorbringens „eine gängige Taktik“. Es war jedenfalls erkennbar, dass das CIT durch Scraping ausgenutzt werden kann. Dies begründet sich bereits aus dem Umstand, dass die Bekl. selbst Schutzmaßnahmen behauptet und somit von der Notwendigkeit dieser ausgeht. IÜ behauptet die Bekl. das Vorliegen ganz ungewöhnlicher Kausalverläufe, einen Fall höherer Gewalt oder ein weit überwiegendes eigenes Fehlverhalten des Kl. nicht. Dem Kl. steht aufgrund der vorstehenden Ausführungen ein Anspruch auf immateriellen Schadensersatz zu, der der Höhe nach mit 1.000 EUR zu bemessen war. Hierbei kann es auch dahinstehen, ob iRd Art. 82 Abs. 1 DS-GVO ein über den datenschutzrechtlichen Verstoß des Verantwortlichen hinausgehender Schaden erforderlich ist oder ob bei bloßen Bagatellfällen der Schadensersatz jedenfalls zu verneinen ist. Denn der Kl. hat jedenfalls einen konkreten Schaden, welcher nicht lediglich eine Bagatelle darstellt, dargelegt. Ein solcher Schaden iSd Art. 82 Abs. 1 DS-GVO ist bereits dann anzunehmen, wenn die datenschutzwidrige Verarbeitung dazu führt, dass die betroffene Person um ihre Rechte und Freiheiten gebracht oder daran gehindert wird, die sie betreffenden personenbezogen Daten zu kontrollieren. Dass aufgrund des Scraping-Vorfalls lediglich personenbezogene Daten veröffentlicht wurden, die der Kl. öffentlich auf seinem Facebook-Profil preisgab und welche dort für jedermann einsehbar waren, steht einem Schaden nicht entgegen. Auch der Umstand, dass die Mobilfunknummer von den Unbekannten ermittelt wurde und nicht aus dem Datenbestand der Bekl. abgeschöpft wurde, schließt einen Schaden nicht aus. Entscheidend ist nämlich die Verbindung zwischen der Mobilfunknummer und den sonstigen personenbezogenen Daten, welche den Unbekannten nur aufgrund der Datenschutzverstöße der Bekl. im Zusammenhang mit dem CIT ermöglicht wurde. Gerade diese Korrelation zwischen der nicht durch den Kl. veröffentlichten Mobilfunknummer und den sonstigen öffentlich auf dem Profil des Kl. einsehbaren personenbezogenen Daten war nur aufgrund der Möglichkeit der rechtswidrigen Nutzung des CIT möglich. Dies muss sich die Bekl. vorwerfen lassen, da sie zum Schutz der Daten der Nutzer ihrer Plattform dazu verpflichtet war, einen entsprechenden Vorfall zu verhindern. Hierauf beruht der datenschutzrechtlich relevante Schaden des Kl. Denn dem Kl. kam es entscheidend darauf an, dass seine Mobilfunknummer nicht mit den sonstigen personenbezogenen Daten auf seinem Facebook-Profil in Verbindung gebracht werden konnte. Im Zuge der Abschöpfung und Veröffentlichung der Daten fand eine Korrelation mit der Mobilfunknummer des Kl. statt, was nicht nur dazu führte, dass etwaige Facebook-Kontakte des Kl. die Möglichkeit hatten, die private Mobilfunknummer des Kl. zu erfahren und diese seinem Facebook-Profil zuzuordnen, sondern auch sonstige Dritte, welche damit potentiell auch die Möglichkeit hatten und haben, diese Informationen für kriminelle Zwecke ggü. dem Kl. zu nutzen. Ein solcher Kontrollverlust stellt einen erheblichen Schaden iSd Art. 82 Abs. 1 DS-GVO dar. Von untergeordneter Bedeutung ist dabei die Tatsache, dass der Kl. nicht seinen Klarnamen, sondern das Pseudonym „Kobra Kahn“ bei Facebook verwendete. Denn in einem Klammerzusatz findet sich auch der richtige, bürgerliche Namen des Kl. Was das Gewicht des immateriellen Schadens und den hierauf basierenden Schadensersatzanspruch des Kl. anbelangt, ist zu berücksichtigen, dass der Bekl. eine Löschung der veröffentlichten personenbezogenen Daten nicht möglich ist und realistischerweise auch künftig nicht möglich sein wird. Denn diese personenbezogenen Daten kursieren frei und potentiell auf ewige Zeit im Internet. Der Kl. hat auch plausibel und glaubhaft Beeinträchtigungen durch Spam-Nachrichten, insb. durch Spam-SMS, dargelegt, welche im kausalen Zusammenhang mit der Veröffentlichung ihrer personenbezogenen Daten stehen können. Auch in Zukunft kann mit einer erhöhten Anzahl an entsprechenden Nachrichten aufgrund dessen gerechnet werden. IRd ihm zustehenden Anspruchs auf immateriellen Schadensersatz kann der Kl. auch die Erstattung vorgerichtlicher Rechtsanwaltsgebühren beanspruchen.

LG Offenburg Urt. v. 28.2.2023 – 2 O 98/22

0 EUR Der Klageantrag zu 1 ist hinreichend bestimmt, § 253 Abs. 2 Ziff. 2 ZPO. Der Kl. hat keinen Anspruch auf Zahlung eines immateriellen Schadensersatzes aus Art. 82 Abs. 1 DS-GVO oder einer anderen denkbaren Anspruchsgrundlage. Unabhängig vom Vorliegen der Anspruchsvoraussetzungen iÜ, fehlt es jedenfalls am Eintritt eines immateriellen Schadens. Nach Art. 82 Abs. 1 DS-GVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Kontrovers diskutiert wird, unter welchen Voraussetzungen ein ersatzfähiger immaterieller Schadensersatz entsteht und sodann gewährt werden kann. Das Merkmal des immateriellen Schadens ist autonom auszulegen. Erwägungsgrund 146 S. 3 DS-GVO sieht vor, dass der Begriff des Schadens im Lichte der Rspr. des EuGH weit auf eine Art und Weise ausgelegt werden soll, die den Zielen dieser Verordnung in vollem Umfang entspricht. Erwägungsgrund 75 DS-GVO nennt etwa Identitätsdiebstahl, finanzielle Verluste, Rufschädigung oder den Verlust der Kontrolle personenbezogener Daten. Ein nationales Verständnis zum Begriff des Schadens – etwa eine enge Auslegung – ist mithin nicht angezeigt. Dabei ist davon auszugehen, dass der Schaden im Sinn des Art. 82 Abs. 1 DS-GVO nicht bereits in der Verletzung der DS-GVO als solcher liegt, sondern vielmehr ein auf einem Verstoß gegen die DS-GVO beruhender Schaden darzulegen ist. Das Erfordernis eines zusätzlich zum Verstoß gegen die DS-GVO eintretenden Schadens folgt dabei bereits aus dem Wortlaut des Art. 82 Abs. 1 DS-GVO, der davon spricht, dass jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz hat. Die Regelung setzt damit voraus, dass es auch Verstöße geben kann, die nicht in einem Schaden resultieren, und lässt somit erkennen, dass es gerade keinen Gleichklang gibt zwischen einem Verstoß gegen die DS-GVO und dem immateriellen Schaden. Eine Erheblichkeitsschwelle für das Vorliegen eines solchen Schadens ergibt sich aus der DS-GVO nicht. Bagatellschäden sind daher nicht auszuschließen. Zu verlangen ist aber jedenfalls, dass ein konkreter immaterieller Schaden auch tatsächlich eingetreten („entstanden“) ist. Diesen muss der Kl. darlegen und ggf. beweisen. Auch und gerade unter Berücksichtigung eines weiten Verständnisses des immateriellen Schadens, das ausdrücklich auch Bagatellschäden einschließt, kann das Gericht nicht erkennen (§ 287 Abs. 1 ZPO), dass der Kl. einen solchen Schaden tatsächlich erlitten hat. Die in den Schriftsätzen beschriebenen formelhaften Ängste und Sorgen, das Unwohlsein, die aufgewendete Zeit und der Stress haben sich in der persönlichen Anhörung in der mündlichen Verhandlung nicht gezeigt. Sie sind Teil einer Klageschrift und Replik, die mit dem gleichen Inhalt in einer Vielzahl von Verfahren rechtshängig wurden. Schon deswegen war der persönliche Eindruck des erkennenden Gerichts vom Kl. in seiner Anhörung in der mündlichen Verhandlung entscheidend. In dieser hat der Kl. zunächst geschildert, er habe sich spätestens im Jahr 2001 auf F. angemeldet. Sein F.-Konto bestehe bis heute noch, wobei er dieses noch lediglich sporadisch nutze. Es ist festzuhalten, dass alle Daten – bis auf die Handynummer – aus dem öffentlichen Profil des Kl. „abgelesen“ wurden, die der Kl. bereitwillig dort selbst eingetragen hat. Ein Identitätsdiebstahl hat insoweit nicht stattgefunden. Soweit diese Daten öffentlich waren, standen sie bereits bei ihrer Eingabe nicht mehr unter der ausschließlichen klägerischen Kontrolle. Das Gefühl eines Kontrollverlustes kann sich daraus gerade nicht nachvollziehbar ergeben. Soweit die Kl. schriftsätzlich Ängste und Misstrauen bzgl. Spam-E-­Mails und Spam-SMS dargelegt hat, ist unklar, ob diese E-­Mails und SMS tatsächlich im Zusammenhang mit dem Scraping-Vorfall verschickt wurden. Es ist gerichtsbekannt, dass auch Inhaber von Mobilfunknummern, die niemals bei F. angemeldet waren, Spam-E-­Mails und Spam-SMS enthalten. Zumal ein geschärftes Bewusstsein beim Erhalt von E-­Mail und SMS sowie ein sorgsamer Umgang mit persönlichen Daten, wie ihn auch der Kl. bei seiner Anhörung geschildert hat, stets angezeigt ist. Bezüglich der E-­Mail-Adresse lässt sich iÜ schon gar nicht feststellen, ob diese überhaupt von dem Scraping-Vorfall betroffen ist. Während dies in der Klage noch behauptet wurde – was die Bekl. bestritten hat –, ergibt sich aus dem mit der Replik mitgeteilten Datensatz, dass dieser die E-­Mail-Adresse des Kl. nicht umfasst. Das Gericht konnte nicht erkennen, dass der Kl. sich tatsächlich „beobachtet“ gefühlt habe. Er wirkte nicht hilflos oder sah sich zu einem reinen Objekt der Datenverarbeitung degradiert. Das Gericht hält schriftsätzlich behauptete Sorgen und Ängste des Kl. nicht für glaubhaft. Der Kl. war bis zum Schluss der mündlichen Verhandlung auf F. angemeldet. Erkennbare Konsequenzen hat er nicht gezogen. So kann mit den Angaben des Kl. bei seiner persönlichen Anhörung eine Verhaltensänderung des Kl. bzgl. der Nutzung von Internet, E-­Mail oder SMS im Hinblick auf seine Betroffenheit von dem Scraping-Vorfall gerade nicht festgestellt werden. Im Hinblick auf die schriftsätzlichen Behauptungen ist ein solches Verhalten aber nicht plausibel. Der Kl. hat, und das ist mitentscheidend, entsprechende Suchbarkeitseinstellungen bzgl. seiner Handynummer bis zum Schluss der mündlichen Verhandlung überhaupt nicht geändert oder aber seine Handynummer aus den Nutzereinstellungen entfernt. So hat der Kl. in der mündlichen Verhandlung bekundet, er habe nach Kenntnis der Betroffenheit von dem Scraping-Vorfall sich die „Nutzereinstellungen“ seines F.-Kontos angesehen. Die Einstellung bzgl. der Handynummer sei so gewesen, dass eine Sichtbarkeit nur für ihn gegeben sei. Dies bezieht sich auf die Profileinstellungen. Eine Änderung der Einstellungen habe der Kl. nicht vorgenommen. Damit wurde auch eine Änderung der Suchbarkeitseinstellungen nicht vorgenommen. Selbst wenn dem Kl. vor Klageeinreichung – wie behauptet – die Einstellungsmöglichkeiten auf F. nicht intuitiv und nachvollziehbar vorgekommen sein sollten, hätte er die verschiedenen Einstellungsmöglichkeiten nunmehr mittels Klageerwiderung und eigener Replik nachvollziehen können müssen. Schließlich hat er die unterschiedlichen Suchbarkeitseinstellungen selbst vortragen lassen. Das Gericht ist nicht davon überzeugt, dass der Kl. überhaupt irgendwelche Komfort- und Zeiteinbußen im Zusammenhang mit dem Scraping-Vorfall erlitten hat. Anders als schriftsätzlich vorgetragen, musste sich der Kl. gerade nicht mit der Bekl. selbst auseinandersetzen. Er musste insb. nicht selbst um Auskunft bitten oder weitere Nachforschungen bzgl. des Scraping-Vorfalls anstellen und hat dies auch nicht getan. Er musste auch nicht den Sachverhalt ermitteln. Er hat geschildert, dass ihn der Scraping-Vorfall, nachdem er aus den Medien von ihm erfahren habe, zunächst nicht näher interessiert habe. Zu einem späteren Zeitpunkt sei er auf die Internetseite der Kanzlei seiner nunmehrigen Prozessbevollmächtigten aufmerksam geworden und habe ein auf der Internetseite angebotenes Abfrageformular genutzt, um zu überprüfen, ob die eigene Handynummer betroffen sei. Dies sei der Fall gewesen. Sodann habe er den Auftrag zur Klageerhebung entweder online oder telefonisch erteilt. Die weitere Kommunikation mit seinen Prozessbevollmächtigten sei per E-­Mail erfolgt. Er sei seitens seiner Prozessbevollmächtigten über den Sachstand informiert worden; ein- oder zweimal habe er von sich aus nach dem Bearbeitungsstand gefragt. Am Vortag der mündlichen Verhandlung habe er ein Telefonat mit seinen Prozessbevollmächtigten geführt. Nach alledem kann das Gericht einen für den Kl. konkret entstandenen immateriellen Schaden nicht erkennen (§ 287 Abs. 1 ZPO). Auf Grund der vorgenannten Ausführungen kommt es auf die Frage, ob und inwieweit die Bekl. gegen die DS-GVO verstoßen hat, nicht an. Insb. ist es insoweit nicht von Belang, dass die für die Bekl. zuständige irische Datenschutzbehörde – wie der Kl. mit Schriftsatz v. 13.12.2022 vorträgt – im November 2022 wegen des 533 Mio. Datensätze betreffenden Scraping-Vorfalls eine Geldbuße iHv 265 Mio. € gegen die Bekl. verhängt hat. Eine Vorlagepflicht nach Art. 267 Abs. 2 und Abs. 3 AEUV bestand nicht.

LG Münster Urt. v. 27.2.2023 – 017 O 344/22

0 EUR Die Kl. hat keinen Schmerzensgeldanspruch aus Art. 5 Abs. 1 lit. f DS-GVO. Die Bekl. hat nicht gegen die ihr dort auferlegte Obliegenheit, personenbezogene Daten vor unbefugter oder unrechtmäßiger Verarbeitung zu schützen, verstoßen. Soweit es um das Abrufen der immer öffentlich zugängigen Informationen des F. …-Profils der Kl. geht, sind diese zwar von Dritten erhoben (gescrapt) und damit verarbeitet worden iSd Art. 4 Ziff. 2 DS-GVO. Allerdings war die Bekl. nicht verpflichtet, diese Daten vor der Verarbeitung durch Dritte zu schützen, da diese Daten nicht unbefugt bzw. unrechtmäßig verarbeitet worden sind. Es handelt sich bei den gescapten personenbezogenen Daten der Kl. um Daten, die für jedermann ohne Zugangskontrolle oder Überwindung technischer Zugangsbeschränkungen abrufbar sind. Damit erfolgte die Erhebung der Daten als solche nicht unbefugt bzw. unrechtmäßig. Auch soweit der Kl. im Zeitpunkt der Registrierung die Standarteinstellungen auf der F. …-Plattform nicht bekannt gewesen sein sollten, weil sie diese nicht umfassend gewertet hat, rechtfertigt dies nicht die Annahme, die Bekl. habe gegen ihr obliegende Schutzpflichten verstoßen. Denn die Bekl. durfte davon ausgehen, dass die Nutzerin die ihr zur Verfügung gestellten Informationen zur Kenntnis nimmt. Unstreitig hat die Bekl. die Kl., bevor sich diese auf der F. …-Plattform registrieren konnte, auf ihre Datenverwendungsrichtlinien hingewiesen. Sie hätte die Standardeinstellungen ändern können. Der von den Scrapern unter Nutzung des Contect-Import-Pools hergestellte Abgleich zwischen der von ihnen manipulativ hergestellten unzähligen hochgeladenen Telefonnummern und dem Nutzerkonto der Kl. stellte zwar eine Verarbeitung iSd DS-GVO dar. Dieser Verstoß ist jedoch nicht der Bekl. zuzurechnen. Die war nicht verpflichtet, das F. …-Konto der Kl. vor deren Auffinden über die Telefonnummer des Kl. zu schützen, da der von den Scrapern hergestellte Abgleich als solcher nicht unbefugt bzw. unrechtmäßig war. Allein die Tatsache, dass der Kl. nach ihrem Vorbringen nicht bekannt war, dass alle Personen über ihre Telefonnummer ihr F. …-Konto finden könnten, hat nicht zur Folge, dass die Bekl. verpflichtet war, Schutzmaßnahmen zu ergreifen, die das F. …-Konto der Kl. vor einem Auffinden über ihre Telefonnummer schützen. Denn die Bekl. musste annehmen, dass der Kl. bekannt ist, dass ihr F. …-Konto über ihre Telefonnummer für jedermann aufzufinden ist. Denn sie musste vor der Registrierung bestätigen, die Datenverwendungsrichtlinien der Bekl. gelesen zu haben. Diese enthalten die Information, dass es die Bekl. allen Personen, die über ihre Telefonnummer verfügen, gestattet, den Nutzer auf F. … zu finden. Weiter heißt es, dass der Nutzer über seine Privatsphäre Einstellungen auswählen kann, wer mit Hilfe der Telefonnummer des Nutzers nach diesem suchen kann. Die Kl. hatte es also in der Hand, über die Privatsphäre Einstellungen auszuwählen, wer mit Hilfe der Telefonnummer des Nutzers nach diesem suchen kann. Ein Schadensersatzanspruch der Kl. folgt auch nicht aus Art. 32 Abs. 1 iVm Abs. 2 der DS-GVO. In Art. 32 Abs. 1 i. V. m. Abs. 2 DS-GVO wird der allgemeine Grundsatz der Integrität und Vertraulichkeit aus Art. 5 Abs. 1 lit. f DS-GVO näher definiert. Hiernach wird verlangt, dass Verarbeitungsprozesse ein angemessenes Schutzniveau für die Sicherheit personenbezogener Daten gewährleisten, um damit angemessenen Systemdatenschutz sicherzustellen. Hierdurch sollen personenbezogene Daten durch geeignete technische und organisatorische Maßnahmen u. a. davor geschützt werden, dass Dritte diese unbefugt oder unrechtmäßig verarbeiten. Gegen diese sich hieraus ergebene Verpflichtung hat die Bekl. nicht verstoßen. Insb. war sie aus den vorgenannten Gründen nicht verpflichtet, weitere Schutzmaßnahmen zu treffen, um die Erhebung der immer öffentlich zugänglichen Information des F. …-Profils der Kl. durch Dritte und eine Verknüpfung mit der von ihr hochgeladenen Telefonnummer u. a. zu dem Zweck, sie auffindbar zu machen, zu verhindern. Der Kl. hat keinen Anspruch gegen die Bekl. auf Schadensersatz in Form eines Schmerzensgeldes aus Art. 82 DS-GVO. Eine schadensersatzauslösende Pflichtverletzung der Bekl. iSd DS-GVO liegt nicht vor. Gem. Art. 82 Abs. 1 DS-GVO steht jeder Person, der wegen eines Verstoßes gegen die DS-GVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter vor. Danach haftet jeder an einer Datenverarbeitung beteiligte Verantwortliche für den Schaden, der durch eine nicht dieser Verordnung entsprechenden Verarbeitung verursacht wurde. Abzustellen ist daher auf eine der Verordnung nicht entsprechende Verarbeitung iSd Art. 4 Abs. 2 DS-GVO. Die verspätete Erteilung einer Datenauskunft ist aber keine Verarbeitung personenbezogener Daten iSd Art. 4 Ziff. 2 DS-GVO. Datenverarbeitung bezeichnet gem. Art. 4 Ziff. 2 DS-GVO nur den Vorgang im Zusammenhang mit personenbezogenen Daten wie das Erheben, Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. Die Verletzung von Benachrichtigungspflichten ist hierdurch jedoch nicht erfasst. Die Kl. hat auch keinen Anspruch gegen die Bekl. auf Schadensersatz in Form eines Schmerzensgeldes aus Art. 82 DS-GVO. Eine schadensersatzauslösende Pflichtverletzung der Bekl. iSd DS-GVO liegt nicht vor. Gem. Art. 82 Abs. 1 DS-GVO steht jeder Person, der wegen eines Verstoßes gegen die DS-GVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter vor. Danach haftet jeder an einer Datenverarbeitung beteiligte Verantwortliche für den Schaden, der durch eine nicht dieser Verordnung entsprechenden Verarbeitung verursacht wurde. Abzustellen ist daher auf eine der Verordnung nicht entsprechende Verarbeitung iSd Art. 4 Abs. 2 DS-GVO. Außerdem hat die Kl. auch keinen ersatzfähigen Schaden oder eine schmerzensgeldauslösende Beeinträchtigung substantiiert vorgetragen. Ihr Vortrag, aufgrund des erlittenen Kontrollverlusts über ihre Daten sei sie in einem Zustand großen Unwohlseins verblieben und in großer Sorge über möglichen Missbrauch ihrer sie betreffenden Daten, reicht nicht aus für die Zuerkennung von Schadensersatz und Schmerzensgeld in der geltend gemachten Höhe. Sie hat hierzu lediglich vorgetragen, dies manifestiere sich u. a. in einem verstärkten Misstrauen bzgl. E-­Mails und Anrufen von unbekannten Nummern und Adressen. Wieweit dieses Misstrauen über dasjenige Misstrauen hinausgeht, das ggü. E-­Mails und Anrufern von unbekannten Kontakten ohnehin angemessen ist, hat sie nicht dargelegt. Soweit sie behauptet, sie erhalte seit dem Vorfall unregelmäßig unbekannte Kontaktversuche via SMS und E-­Mail, mag dies ein zeitlicher Zusammenhang sein. Einen kausalen Zusammenhang mit ihren bei F. … „gescrapten“ Daten hat sie nicht herstellen können. Ihr Vortrag, diese Kontaktaufnahmen enthielten Nachrichten mit offensichtlichen Betrugsversuchen und potentiellen Virenlinks ist ebenfalls pauschal und ersetzt keinen substantiierten Sachvortrag. Schließlich hat sie nicht einmal konkret dazu vorgetragen, welche ihrer Daten konkret auf den entsprechenden Portalen veröffentlicht wurden. Da bereits kein Verstoß der Bekl. gegen die DS-GVO vorliegt, steht der Kl. auch nicht die Feststellung zu, dass die Bekl. verpflichtet ist, der Kl. weitere künftige Schäden zu ersetzen.

LG Itzehoe Urt. v. 27.2.2023 – 10 O 159/22

0 EUR Der Zulässigkeit der Klage steht nicht die Unbestimmtheit des Klageantrags zu 1 entgegen, § 253 Abs. 2 ZPO. Dem Kl. steht gegen die Bekl. kein Anspruch auf Zahlung eines immateriellen Schadensersatzes zu. Ein solcher folgt nicht aus Art. 82 Abs. 1 DS-GVO. Ein Schadensersatzanspruch nach Art. 82 DS-GVO kann nur dann begründet werden, wenn ein Schaden durch eine nicht dieser Verordnung entsprechenden Verarbeitung verursacht wurde, Art. 82 Abs. 2 S. 1 DS-GVO. Nach dieser Vorschrift hat jede Person, der wegen eines Verstoßes gegen die DS-GVO ein materieller oder immaterieller Schaden entstanden ist, einen Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Verantwortlicher idS ist gem. Art. 4 Ziff. 7 DS-GVO jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden. Zwar ergibt sich aus dem Vortrag der Bekl., dass sich diese als Verantwortliche im Sinne dieser Norm ansieht. Ein Verstoß gegen die Bestimmungen der DS-GVO liegt aber nicht vor. Daher kann auch offenbleiben, ob die Art. 513141524253234 DS-GVO in den Schutzbereich des Art. 82 DS-GVO fallen. Ungeachtet dieser Ausführungen zu einem möglichen Verstoß gegen Vorgaben der DS-GVO, steht dem Kl. jedenfalls auch mangels Schaden kein Anspruch auf Zahlung eines immateriellen Schadensersatzes gem. Art. 82 Abs. 1 DS-GVO zu. Es ist dem Kl. nicht gelungen, den Eintritt eines (eigenen) Schadens als überwiegend wahrscheinlich (§ 287 ZPO) nachzuweisen. Nach dem ausdrücklichen Wortlaut der Vorschrift muss der Schaden „erlitten“ werden, woraus sich ergibt, dass dieser tatsächlich entstanden sein muss und nicht lediglich befürchtet wird. Zwar ist der Begriff des Schadens nach dem Erwägungsgrund 146 S. 3 weit auszulegen, sodass die Betroffenen einen wirksamen Ersatz bekommen; nach Auffassung des Gerichts reicht jedoch ein bloßer Verstoß gegen Vorschriften der DS-GVO nicht aus, um (immateriellen) Schadensersatz verlangen zu können. Es bedarf vielmehr der Darlegung eines konkreten (auch immateriellen) Schadens. Allerdings ist es nicht erforderlich, dass der eingetretene Schaden erheblich ist; mithin sind auch Bagatellschäden ersatzfähig. Ausgehend von diesen Maßstäben gelangt das Gericht nicht zu der nach § 286 ZPO erforderlichen Überzeugung, dass der Kl. unter den in der Klageschrift beschriebenen Ängsten und Sorgen tatsächlich „leidet“. Der Kl. äußerte zwar auch in der mündlichen Verhandlung, dass er unter Ängsten leide, die daraus resultierten, dass er einen erheblichen Kontrollverlust über seine Daten erlitten habe und deshalb großem Unwohlsein und Sorgen in Bezug auf einen potentiellen Missbrauch seiner Daten durch Dritte ausgesetzt sei. Dieser Vortrag ist jedoch zu pauschal. Der Kl. hat keine näheren Angaben dazu gemacht, wie sich diese Ängste konkret äußern und zu einer Beeinträchtigung seinerseits führen. Vielmehr spricht gegen die Annahme eines Schadens, dass der Kl. auf Nachfrage des Gerichts in der mündlichen Verhandlung angab, dass sich seine Ängste nicht in körperlichen Symptomen niederschlagen würden. Zudem hat er bekundet, seit Entdeckung des Scraping-Vorfalls nichts an seinen Profileinstellungen bei Facebook geändert zu haben. Auch dieser Umstand lässt den klägerischen Vortrag, Furcht vor einem Kontrollverlust über seine Daten zu haben, unplausibel erscheinen. Als Schaden iSd DS-GVO kann auch nicht das vom Kl. behauptete erhöhte Mail- und SMS-Aufkommen gewertet werden. Hier ist bereits der Kausalzusammenhang zwischen diesem und dem Scraping-Vorfall klägerseits nicht nachgewiesen worden. Unerwünschte E-­Mails und Anrufe erhalten gerichtsbekannt nämlich auch Personen, die keinen Facebook-Account haben und dort ihre Telefonnummer oder E-­Mail-Adresse hinterlegt haben. Selbst bei Wahrunterstellung der Kausalität mangelt es dennoch an der Darlegung einer konkreten Schadensposition. Der Kl. hat insofern nur bekundet, er müsse Zeit für das Löschen von Mails und SMS sowie das Blockieren der Absender aufwenden. In welchem Umfang dies erforderlich ist, hat der Kl. jedoch nicht dargelegt und bewiesen. Der Kl. hat keinen Anspruch auf Erstattung vorgerichtlicher Rechtsanwaltskosten aus § 280 Abs. 1 BGB oder aus Art. 82 Abs. 1 DS-GVO, da es in der Hauptsache bereits an einem Anspruch mangelt.

LG Halle Urt. v. 24.2.2023 – 3 O 177/22

0 EUR Dem Kl. steht kein Anspruch auf Zahlung von Schmerzensgeld aus Art. 82 DS-GVO zu. Insoweit fehlt es bereits an einer schadensersatzauslösenden Pflichtverletzung der Bekl. iSd DS-GVO. Ein Verstoß gegen Art. 5 Abs. 1 DS-GVO liegt schon deshalb nicht vor, weil es auch bei Informationspflichten der Rücksichtnahme auf den Grundsatz des Art. 5 Abs. 1 DS-GVO bedarf. Demnach müssen personenbezogene Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden. Dieser Grundsatz der Transparenz überträgt sich dann in die Informations- und Aufklärungspflicht nach Art. 13 DS-GVO. Die Aufklärung über die Zwecke der Verarbeitung muss insb. für den Nutzer klar verständlich und nachvollziehbar sein. Das ist vorliegend der Fall. Bei dieser Abwägung war auch maßgeblich darauf abzustellen, dass die Nutzung der Plattform als solche freiwillig ist. Es liegt auch kein Verstoß der Bekl. gegen die in Art. 32 DS-GVO statuierte Pflicht zum ausreichenden Schutz der personenbezogenen Daten der Nutzer vor. Art. 32 DS-GVO verlangt lediglich ein angemessenes Schutzniveau. Von daher war die Bekl. nicht verpflichtet, Schutzmaßnahmen zu treffen, um die Erhebung der immer öffentlich zugänglichen Informationen des Profils des Kl. zu verhindern. Der Betreiber einer Social-Media-Plattform ist insoweit nicht verpflichtet, Nutzerdaten vor der Verarbeitung durch Scraper zu schützen, soweit die Daten – wie hier – für jedermann ohne Zugangskontrolle ober Überwindung technischer Zugangsbeschränkungen abrufbar sind und dies dem Nutzer bekannt ist; die Erhebung dieser Daten als solche erfolgte daher nicht unrechtmäßig. Das Risiko, dass über technische Programme selbst gewählte Freigaben personenbezogener Daten ausgenutzt und missbraucht werden, ist bei der Internetnutzung vom Nutzer zu tragen, wenn sich dieser eigenverantwortlich zur Nutzung entschlossen hat und – wie hier – selbst entscheiden konnte, wie weit er die Angebote nutzt. Darüber hinaus liegt auch kein Verstoß der Bekl. gegen Art. 2425 Abs. 2 DS-GVO vor. Die Bekl. hat im vorliegenden Rechtsstreit detailliert und damit ausreichend dargelegt, dass sie technische Maßnahmen ergriffen hat, um Scraping zu erschweren, indem sie nämlich u. a. eine Hürde implementiert hat, die bewirkt, dass Abfragen in gewissem Umfang von ein- und derselben Adresse IP-Adresse in einem bestimmten Zeitraum nicht möglich sind bzw. gestoppt werden. Zudem ist das Vorliegen eines konkreten, immateriellen Schadens, wozu auch Ängste, Sorgen, Stress sowie Komfort – und Zeiteinbußen zählen, nicht ersichtlich. Der Kl. hat zwar ausgeführt, dass er einen erheblichen Kontrollverlust über seine Daten erlitten habe und deshalb unter großem Unwohlsein und Sorgen leide. Gegen das tatsächliche Vorliegen und die Plausibilität der vom Kl. behaupteten Beeinträchtigungen spricht jedoch bereits der Umstand, dass es sich bei den gescrapten Daten des Kl. um Daten handelt, die immer öffentlich sind. Es ist diesen Daten gerade immanent, dass sie jedem und jederzeit zugänglich sind. Von daher ist nicht nachvollziehbar, weshalb eine weitere Veröffentlichung dieser Daten beim Kl. zu einem unguten Gefühl geführt haben sollte. Dementsprechend stehen dem Kl. auch die erhobenen Nebenforderungen auf Erstattung vorgerichtlich angefallenen Rechtsanwaltshonorars und Zahlung von Zinsen nicht zu.

LG Verden Urt. v. 24.2.2023 – 1 O 205/22

0 EUR Die Klageanträge zu Ziffern 1 und 3 sind auch hinreichend bestimmt. Der klagenden Partei steht weder aus Art. 82 Abs. 1 DS-GVO noch aus einer anderen rechtlichen Grundlage ein Anspruch auf Zahlung eines immateriellen Schadensersatzes zu. Soweit die klagende Partei Verstöße der Bekl. gegen Art. 5 Abs. 1 lit. a DS-GVO durch ungenügende Information und Aufklärung, insb. zur Verwendung und Geheimhaltung ihrer Telefonnummer, einen unmittelbaren Verstoß gegen Art. 13 und 14 DS-GVO durch Nichteinhaltung konkreter Informationspflichten und eine unzureichende Auskunftserteilung als weiteren Pflichtenverstoß gegen Art. 15 DS-GVO geltend macht, ist von vornherein für keinen der behaupteten Verstöße der Anwendungsbereich des Art. 82 DS-GVO eröffnet. Gem. Art. 82 Abs. 2 S. 1 DS-GVO haftet jeder an einer Verarbeitung beteiligte Verantwortliche für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. Die verspätete Erteilung einer Datenauskunft stellt jedoch keine Verarbeitung personenbezogener Daten iSd Art. 4 Ziff. 2 DS-GVO dar. Die Verletzung von Benachrichtigungs- und Informationspflichten ist hiervon nicht umfasst. Dasselbe gilt für die behaupteten Verstöße gegen Art. 131425 und 34 DS-GVO, da auch sie lediglich Informationspflichten über die Verarbeitung enthalten, jedoch die Verarbeitung nicht selbst zum Gegenstand haben. Doch selbst wenn man den Anwendungsbereich des Art. 82 DS-GVO bei den hier behaupteten Verstößen eröffnet sähe, scheitert ein Schadensersatzanspruch daran, dass Pflichtenverstöße der Bekl. nicht vorliegen. Der Bekl. fällt ein Verstoß gegen die Transparenzpflichten aus Art. 5 Abs. 1 lit. a, 13 und 14 DS-GVO nicht zur Last. Auch ein Verstoß gegen Art. 32 DS-GVO ist der Bekl. nicht anzulasten. Ein Verstoß gegen Art. 35 DS-GVO liegt ebenfalls nicht vor. Die Bekl. hat auch nicht gegen Art. 15 und 13 DS-GVO verstoßen. Ein Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO scheitert zudem an einem ersatzfähigen Schaden. Soweit die klagende Partei den Rechtsstandpunkt vertritt, dass zulasten der Bekl. eine vollständige Darlegungs- und Beweislastumkehr eingetreten sei, teilt das Gericht diese Auffassung nicht. Die klagende Partei muss darlegen und beweisen, dass sie einen Schaden „erlitten“ hat und diesen nicht lediglich befürchtet. Zwar ist der Begriff des Schadens weit auszulegen. Nach Auffassung des Gerichts reicht jedoch nicht jeder Verstoß gegen die Vorschriften der DS-GVO, sondern es bedarf der Darlegung eines konkreten (auch immateriellen) Schadens. Insoweit hat die klagende Partei lediglich ausgeführt, dass sie einen erheblichen Kontrollverlust bzgl. ihrer Daten erlitten habe und deshalb unter großem Unwohlsein leide und einen Missbrauch ihrer Daten befürchte. Das sind lediglich Ängste und Sorgen, die keinen Schaden im o. g. Sinne darstellen. Soweit die klagende Partei vorträgt, sie erhalte seither vermehrt E-­Mails und Anrufe unbekannter Personen, genügt auch das nicht. Derartiges gehört mittlerweile zum Risiko eines jeden Nutzers digitaler Medien. Davon ist schon jede Person betroffen, die ein E-­Mail Postfach unterhält, unabhängig davon, ob sie einen Facebook Account hat oder nicht. Gerade die freiwillige Nutzung sozialer Netzwerke erhöht insoweit aber das Risiko. Dies ist nicht der Bekl. anzulasten.

LG Paderborn Urt. v. 24.2.2023 – 3 O 220/22

1.000 EUR Der Klageantrag zu 1 ist zulässig; dieser ist entgegen der Auffassung der Bekl. insb. hinreichend bestimmt. Der Kl. hat die Möglichkeit des Eintritts zukünftiger materieller Schäden hinreichend dargelegt. Dem Kl. steht gegen die Bekl. einen Anspruch auf Schadensersatz iHv 1.000 EUR aus Art. 82 Abs. 1 DS-GVO zu. Nach dieser Vorschrift hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Zur Überzeugung der Kammer hat die Bekl. als Verantwortliche iSd Art. 4 Ziff. 7 DS-GVO gegen mehrere Vorschriften aus der DS-GVO verstoßen. Die Bekl. ist der ihr nach Art. 13 DS-GVO auferlegten Informations- und Aufklärungspflicht nicht in vollständigem Umfang nachgekommen. Die Kammer vermochte nicht festzustellen, dass die Bekl. den Kl. zum Zeitpunkt der Datenerhebung seiner Mobilfunknummer hinreichend über die Zwecke der Verarbeitung seiner Mobilfunknummer aufgeklärt hat. Die Verletzung der nach Art. 13 DS-GVO bestehenden Informations- und Aufklärungspflichten ist vom Anwendungsbereich des Schadensersatzanspruches des Art. 82 DS-GVO erfasst. Ein Schadensersatzanspruch nach Art. 82 DS-GVO kann nur dann begründet werden, wenn nach dessen Absatz 2 S. 1 ein Schaden durch eine nicht dieser Verordnung entsprechenden Verarbeitung verursacht wurde. Entsprechend der Legaldefinition des Art. 4 Ziffer 2 DS-GVO entstehen die Informations- und Aufklärungspflichten des Art. 13 DS-GVO bereits mit der Erhebung personenbezogener Daten. Bereits zu diesem Zeitpunkt hat der Verantwortliche – wie noch auszuführen sein wird – ggü. dem Betroffenen umfangreiche Informationspflichten zu erfüllen. Bildet – wie hier – die Einwilligung des Betroffenen nach Art. 6 Abs. 1 lit. a DS-GVO die Grundlage des Datenerhebungs- und somit auch des Datenverarbeitungsvorganges, kann eine solche Einwilligung unter Berücksichtigung der in der DS-GVO vorherrschenden Grundsätze einer fairen und transparenten Verarbeitung von personenbezogenen Daten keinen Bestand haben, wenn dem Betroffenen nicht bereits bei Datenerhebung sämtliche nach Art. 13 DS-GVO erforderlichen Informationen mitgeteilt werden. Die Bekl. als Verantwortliche iSd Art. 4 Ziff. 7 DS-GVO verstieß aufgrund unzureichender Sicherheitsmaßnahmen bzgl. der Nutzung des CIT auch gegen Art. 32245 Abs. 1 lit. f DS-GVO. Die Bekl. hat zudem ihre Meldepflicht aus Art. 33 DS-GVO verletzt. Schließlich ist ein Verstoß gegen die Meldepflicht geeignet, für den Verantwortlichen eine Haftung und eine Schadensersatzpflicht gem. Art. 82 DS-GVO zu begründen. Denn die Vorschrift dient sowohl dem Schutz des Betroffenen, als auch der Ermöglichung von Maßnahmen zur Eindämmung und Ahndung der Rechtsverletzung durch die Aufsichtsbehörde. Insofern genügt bereits ein solch formeller Verstoß gegen die DS-GVO zur Begründung eines Schadensersatzanspruchs dem Grunde nach. Auch ein Verstoß gegen Art. 34 Abs. 1 DS-GVO liegt vor. Auch ein Verstoß gegen diese Vorschrift ist geeignet, einen Schadensersatzanspruch zu begründen. Die Bekl. verstößt mit ihren Grundeinstellungen zur Sichtbarkeit zumindest hinsichtlich der E-­Mail-Adresse und zur Suchbarkeit über die Telefonnummer der Benutzer der Facebook-Plattform gegen Art. 25 DS-GVO. Dies verhilft der Kl. indes jedoch nicht zu einem Anspruch gem. Art. 82 Abs. 1 DS-GVO. Allein aus einem Verstoß gegen Art. 25 DS-GVO kann wegen seines organisatorischen Charakters ein Anspruch nach Art. 82 Abs. 1 DS-GVO jedoch nicht begründet werden. Die Vorschrift entfaltet bereits vor dem eigentlichen Beginn der Datenverarbeitung ihren Regelungscharakter. Zu diesem, einer tatsächlichen Datenverarbeitung vorgelagerten Zeitpunkt entfaltet die DS-GVO jedoch nach Art. 2 Abs. 1 DS-GVO noch keine Wirkung. Die Anwendbarkeit der DS-GVO setzt vielmehr eine tatsächliche Verarbeitung personenbezogener Daten voraus. Ein Anspruch aus Art. 82 DS-GVO setzt daher darüber hinaus voraus, dass weitere Verstöße gegen die DS-GVO vorliegen. Ob die Bekl. dem Auskunftsersuchen der Kl. über ihre personenbezogenen Daten nicht in ausreichendem Maße nachgekommen ist und dadurch gegen Art. 15 DS-GVO verstoßen hat – worauf die Kammer im Klageantrag zu 4 noch näher eingehen wird – kann dahinstehen, da ein etwaiger Verstoß keinen Schadensersatzanspruch nach Art. 82 DS-GVO auslöst. Die Norm spricht zwar demjenigen einen Schadensersatzanspruch zu, der wegen eines Verstoßes gegen diese DS-GVO einen Schaden erlitten hat. Gem. Art. 82 Abs. 2 DS-GVO haften die Verantwortlichen – insoweit konkretisierend – jedoch nur für den Schaden, der durch eine nicht der DS-GVO entsprechende Verarbeitung entstanden ist. Dies steht im Einklang mit Erwägungsgrund 146 S. 1, in dem es lautet „Der Verantwortliche oder der Auftragsverarbeiter sollte Schäden, die einer Person aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht, ersetzen.“ Daher kommt nur ein Verstoß durch die Verarbeitung selbst in Betracht, die verordnungswidrig sein muss, um einen Schadensersatzanspruch auszulösen. Auf Grund von anderen Verstößen, die nicht durch eine der DS-GVO zuwiderlaufende Verarbeitung verursacht worden sind, kommt eine Haftung nach Art. 82 Abs. 1 DS-GVO nicht in Betracht. Datenverarbeitung bezeichnet gem. Art. 4 Ziff. 2 DS-GVO nur jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. Daran gemessen stellt eine – nach Auffassung des Kl. – nicht ausreichende Auskunftserteilung keine Verarbeitung personenbezogener Daten iSd DS-GVO dar. Der Bekl. gelingt zur Abwendung des Anspruchs auch nicht die Exkulpation gem. Art. 82 Abs. 3 DS-GVO. Demnach gelingt eine Befreiung nur, wenn der Verantwortliche oder der Auftragsverarbeiter nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. Damit wird die Verantwortlichkeit der Bekl. widerleglich vermutet. Zwar ist der Begriff der Verantwortlichkeit iSd Art. 82 Abs. 3 DS-GVO nicht näher definiert. So wird dieser vorwiegend mit dem Begriff des Verschuldens gleichgesetzt. Teilweise wird dies hingegen nicht angenommen mit der Folge, dass Art. 82 DS-GVO möglicherweise als Gefährdungshaftungstatbestand zu begreifen sei, sodass dem Verantwortlichen oder Auftragsverarbeiter unabhängig von jedwedem Verschulden lediglich ganz ungewöhnliche Kausalverläufe, die jeder Lebenserfahrung widersprechen, sowie Fälle höherer Gewalt und weit überwiegenden eigenen Fehlverhaltens der betroffenen Person nicht anzulasten seien. Hierauf kommt es vorliegend jedoch nicht an. Denn der Bekl. gelingt weder der Nachweis fehlenden Verschuldens noch des Vorliegens ganz ungewöhnlicher Kausalverläufe, eines Falles höherer Gewalt oder weit überwiegenden eigenen Fehlverhaltens des Kl. Die Bekl. kann nicht nachweisen, dass sie im vorliegenden Fall kein Verschulden trifft. Das wäre nur dann der Fall, wenn sie sämtliche Sorgfaltsanforderungen erfüllt hat und ihm nicht die geringste Fahrlässigkeit vorzuwerfen ist. Das Verschulden wird vorliegend bereits allein dadurch indiziert, dass sich ein Verstoß der Bekl. gegen Art. 25 DS-GVO feststellen lässt. Denn jedenfalls wohnt einem Verstoß gegen Art. 25 DS-GVO praktisch immer eine Erhöhung der Gefahr eines Schadens inne. Eine Exkulpation ist dann nicht bzw. nur unter erschwerten Bedingungen möglich. Soweit die Bekl. hierzu vorträgt, dass sie ihre Pflichten aus der DS-GVO nicht verletzt hat, verfängt dies aufgrund der obigen Ausführungen bereits nicht. Auch der Verweis der Bekl. auf fehlende Rspr., aufsichtsbehördliche Leitlinien oder Literatur hinsichtlich des Umgangs mit Scraping-Sachverhalten verhilft dieser nicht zu einer Exkulpation. Es lässt sich hieraus schon nicht entnehmen, dass die Bekl. sämtliche Sorgfaltsanforderungen erfüllt hat oder ihr nicht die geringste Fahrlässigkeit vorzuwerfen ist. Vielmehr nutzten Dritte bereits erkannte oder erkennbare Angriffswege, um auf Daten zuzugreifen, sodass die Nichtverantwortlichkeit des Verantwortlichen nicht nachgewiesen werden kann. Scraping ist ausweislich des Beklagtenvorbringens „eine gängige Taktik“. Es war jedenfalls erkennbar, dass das CIT durch Scraping ausgenutzt werden kann. Dies begründet sich bereits aus dem Umstand, dass die Bekl. selbst Schutzmaßnahmen behauptet und somit von der Notwendigkeit dieser ausgeht. IÜ behauptet die Bekl. das Vorliegen ganz ungewöhnlicher Kausalverläufe, einen Fall höherer Gewalt oder ein weit überwiegendes eigenes Fehlverhalten des Kl. nicht. Dem Kl. ist nach Auffassung des Gerichts ein immaterieller Schaden iSd Art. 82 DS-GVO entstanden. Ein bloßer Datenschutzverstoß als solcher genügt für das Entstehen des Schadensersatzanspruches nicht. Vielmehr folgt bereits aus dem Wortlaut der Vorschrift, dass der Verordnungsgeber keine allein an den Rechtsverstoß anknüpfende Zahlungspflicht begründen wollte. So stellt auch der GA in seinen Schlussanträgen iRd Vorabentscheidungsersuchens des österreichischen Obersten Gerichtshofs v. 12.5.2021 auf das Erfordernis eines konkreten Schadens ab. Der Begriff des Schadens ist nach dem Erwägungsgrund 146 S. 3 DS-GVO im Lichte der Rspr. des EuGH weit und auf eine Art und Weise auszulegen, die den Zielen der Verordnung in vollem Umfang entspricht. Die Ziele der DS-GVO bestehen dabei u. a. darin, den Risiken für die Rechte und Freiheit natürlicher Personen zu begegnen, die – mit unterschiedlicher Eintrittswahrscheinlichkeit und Schwere – aus einer Verarbeitung personenbezogener Daten hervorgehen und zu einem immateriellen Schaden führen können. In den Erwägungsgründen 75 und 85 wird der Kontrollverlust über die personenbezogenen Daten gerade als ein Beispiel für das Vorliegen eines solchen Schadens aufgeführt. Ein derartiger Kontrollverlust ist aus Sicht des Kl. eingetreten, da jedenfalls seine Telefonnummer, Facebook-ID, sein Name und Geschlecht im sog. „Darknet“ auf einer für jedermann abrufbaren Datenbank veröffentlicht wurden. Soweit die Bekl. die Veröffentlichung der Daten im „Darknet“ mit Nichtwissen bestreitet, kann sie damit nicht gehört werden. IÜ tritt der Kontrollverlust– unabhängig von der Veröffentlichung im „Darknet“ – bereits durch den „Scraping“-Vorfall und das damit verbundene Abschöpfen der Daten ein. Unerheblich ist, dass der Name, das Geschlecht und die Facebook-ID nach den Nutzereinstellungen des Kl. öffentlich waren. Denn jedenfalls die Verknüpfung mit seiner Telefonnummer war bis dahin nicht hergestellt. Darüber hinaus sieht Erwägungsgrund 75 vor, dass ein immaterieller Schaden auch dann anzunehmen ist, wenn die Verarbeitung eine große Menge personenbezogener Daten und eine große Anzahl von Personen betrifft. Auch dies ist aufgrund der Tatsache, dass iRd „Scraping“-Vorfall die Daten von Millionen von Facebook-Nutzern veröffentlicht wurden, anzunehmen. Ob eine erhebliche Beeinträchtigung etwa in Form eines schwerwiegenden Persönlichkeitseingriffs vorliegen muss ist umstritten, kann aber im Ergebnis dahinstehen. Zwar geht auch der GA in seinen Schlussanträgen davon aus, dass es den nationalen Gerichten obliegt herauszuarbeiten, wann ein subjektives Unmutsgefühl die Grenze zwischen bloßem nicht ersatzfähigem Ärger und echtem ersatzfähigen immateriellen Schaden überschreitet. Vorliegend handelt es jedoch nicht um einen bloßen Bagatellschaden. Denn durch die Veröffentlichung der personenbezogenen Daten des Kl. im „Darknet“ ist die Weiterverarbeitung durch einen unbegrenzten und unbestimmten Personenkreis, insb. auch für den gezielten Missbrauch etwa in Form von Betrugsanrufen, ermöglicht. Die gem. den vorstehenden Ausführungen festgestellten Gesetzesverletzungen sind kausal für den bei dem Kl. entstandenen Schaden. Der Verantwortliche haftet lediglich für kausal durch die rechtswidrige Verarbeitung verursachte Schäden. Eine Mitursächlichkeit des Verstoßes genügt. Die Verletzung der Informations- und Aufklärungspflichten des Art. 13 Abs. 1 lit. c DS-GVO ist kausal für den bei dem Kl. entstandenen Schaden. Gem. vorstehender Erwägungen hat die Bekl. den Kl. bereits bei Erhebung seiner Mobilfunknummer nur unzureichend über die Verwendung seiner Mobilfunknummer im Hinblick auf das CIT aufgeklärt, sodass bezogen auf die Mobilfunknummer eine rechtswidrige Verarbeitung vorliegt. Diese ist auch kausal für den beim Kl. entstandenen Schaden, da es durch die Verwendung des CIT zu einem Kontrollverlust auf Seiten des Kl. kam. Auch der Verstoß gegen Art. 32245 Abs. 1 lit. f DS-GVO ist für den eingetretenen Schaden kausal, denn durch die unzureichenden Schutzmaßnahmen ermöglichte bzw. erleichterte der Bekl. ein Ausnutzen des CIT durch „Scraping“. Dieses hat einen Kontrollverlust über die personenbezogenen Daten zur Folge. Der Schaden beruht zudem kausal auf einem Verstoß gegen Art. 33 und Art 34 DS-GVO. Zwar ist der geltend gemachte Kontrollverlust bereits durch das „Scraping“ der Daten erstmals eingetreten. Durch die unterlassene Benachrichtigung des Kl. wurde ihm jedoch die Möglichkeit genommen, geeignete Maßnahmen zu ergreifen, um das Risiko des Missbrauchs seiner Daten zu minimieren. Auch die zuständige Datenschutzbehörde konnte mangels rechtzeitiger Meldung keine Schritte zur Risikominimierung und Absicherung der Daten einleiten. Die Kammer hält ein Schmerzensgeld von 1.000 EUR für angemessen, aber auch ausreichend, um einerseits der Ausgleichs- und Genugtuungsfunktion zu genügen, und andererseits der generalpräventiven Funktion des immateriellen Schadensersatzes hinreichend Rechnung zu tragen. Dabei hat das Gericht von dem ihm gem. § 287 Abs. 1 ZPO eingeräumten Ermessen Gebrauch gemacht. Unter Berücksichtigung des Erwägungsgrundes 146 S. 6 soll die betroffene Person einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten. Zur Bemessung der Höhe des immateriellen Schadensersatzes können die Kriterien des Art. 83 Abs. 2 DS-GVO herangezogen werden. Nach dieser Vorschrift sind für die Ermittlung der Höhe einer Geldbuße u. a. die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung, der Grad des Verschuldens, Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens, frühere einschlägige Verstöße sowie die Kategorien der betroffenen personenbezogenen Daten zu betrachten. Je intimer, finanziell bedrohlicher, potentiell ehrverletzender oder kränkender und persönlich wichtiger die abgeflossenen Daten sind, desto höher muss der immaterielle Schaden ausfallen. Darüber hinaus ist zu berücksichtigen, dass dem Schadensersatzanspruch unter Berücksichtigung der Erwägungsgründe 75 und 85 eine abschreckende Wirkung zukommen und der DS-GVO durch eine empfindliche Anspruchshöhe zu einer effektiven Geltung verhelfen soll. Wenn es zu vielen Fällen von Rechtsverstößen durch den gleichen Verantwortlichen kommt, kann die Abschreckung allerdings auch in der Breite der Schadensersatzpflicht, dh in der Summe aller immateriellen Ersatzansprüche gesehen werden. Wesentlich sind am Ende allerdings die konkreten Umstände des Einzelfalles. Vorliegend hat das Gericht seiner Entscheidung zugrunde gelegt, dass sich die Bekl. mehrere Verstöße gegen die DS-GVO vorwerfen lassen muss, die einen sehr weitgehenden Kontrollverlust der personenbezogenen Daten des Kl. ermöglicht und begünstigt haben. Berücksichtigung gefunden hat insb., dass der Kl. den „Scraping“-Vorfall zum Anlass genommen hat, seine von dem „Scraping“-Vorfall betroffene Handynummer, die im Zeitraum v. 2.3.2014 bis zum 26.3.2021 mit seinem Facebook-Profil verknüpft war, zu ändern. Die Kammer verkennt nicht, dass der Kl. nach wie vor aktiver Nutzer der Plattform Facebook ist. Allerdings war der Entscheidung positiv zugrunde zu legen, dass der Kl. nicht nur seine von dem „Scraping“-Vorfall betroffene Handynummer gewechselt, sondern darüber hinaus gleichzeitig eine Überprüfung der „Suchbarkeits-Einstellung“ durch den Kl. erfolgt ist. Weiter hat der Kl. im Rahmen seiner persönlichen Anhörung nachvollziehbar ausgeführt, dass er vor dem Wechsel seiner Handynummer täglich zwischen 2 bis 10 Spamanrufe erhalten habe, wobei er immer mit seinem Nachnamen angesprochen worden sei und die nunmehr unter Verwendung der neuen Handynummer nicht mehr erfolgten. Diese Umstände verdeutlichen, dass der objektive Kontrollverlust der personenbezogenen Daten den Kl. jedenfalls subjektiv so stark getroffen hat, dass dieser durch den streitgegenständlichen „Scraping-Vorfall“ aktiv dazu angehalten wurde, selbst Konsequenzen zu ziehen und einem möglichen Missbrauch der Daten in Zukunft aktiv entgegenzutreten. Dem steht nicht entgegen, dass der Kl. sein Facebook-Profil seit dem 26.3.2021 mit seiner neuen Handynummer verknüpft hat. Der Kl. hat im Rahmen seiner persönlichen Anhörung nachvollziehbar zum Ausdruck gebracht, die Verknüpfung der neuen Handynummer aufgrund der damit verbundenen Funktionalitäten – wie zB das Suchen und Auffinden unter Freunden – vorgenommen zu haben. Der mit dem Klageantrag zu 2 geltend gemachte Feststellungsantrag ist auch begründet. Gem. vorstehender Ausführungen hat der Kl. ggü. der Bekl. wegen Verletzung der DS-GVO einen Anspruch auf Schadensersatz nach Art. 82 DS-GVO. Die jeweiligen Gesetzesverletzungen sind – wie bereits erörtert – zudem kausal für den unkontrollierten Datenverlust des Kl. Die vorgerichtlichen Rechtsanwaltskosten sind als Teil des zu ersetzenden Schadens gem. Art. 82 Abs. 1 DS-GVO zu erstatten. Auf Grund der Schwierigkeit der Sach- und Rechtslage war die Hinzuziehung eines Rechtsanwalts zur effektiven Durchsetzung der klägerischen Ansprüche erforderlich und notwendig. Ausgehend von einem Wert des berechtigten Verlangens des Kl. von bis zu 4.000 EUR zum Zeitpunkt der außergerichtlichen Tätigkeit ergibt dies Kosten iHv 453,87 EUR. Der Zinsanspruch folgt aus §§ 288291 BGB.

LG Bonn Urt. v. 23.2.2023 – 10 O 142/22

0 EUR Der Klageantrags zu 1 ist zulässig und nicht unbestimmt iSv § 253 Abs. 2 ZPO. Dem Kl. steht kein Anspruch auf Zahlung eines immateriellen Schadensersatzes iHv 1.000 EUR gem. Art. 82 Abs. 1 DS-GVO oder einer anderen Anspruchsgrundlage zu. Dabei kann bereits dahinstehen, ob überhaupt ein Verstoß der Bekl. gegen die DS-GVO vorliegt, der als schadensersatzauslösende Pflichtverletzung innerhalb des Schutzzwecks des Art. 82 DS-GVO liegt. Denn dem Kl. ist es auch nach seiner persönlichen Anhörung in der mündlichen Verhandlung jedenfalls nicht gelungen, den Eintritt eines (eigenen) kausal verursachten Schadens als überwiegend wahrscheinlich (§ 287 ZPO) nachzuweisen. Für den geltend gemachten immateriellen Schadensersatz gelten die iRv § 253 BGB entwickelten Grundsätze. Die Ermittlung obliegt dem Gericht nach § 287 ZPO, wobei Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie die konkret betroffenen personenbezogenen Daten zu berücksichtigen sind. Auch sind in diesem Zusammenhang die Erwägungsgründen der europäischen Grundrechtscharta zu beachten, wonach der Schadensbegriff weit auszulegen ist (dazu Erwägungsgrund 146). Darüber hinaus sollen die betroffenen Personen einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten. Insoweit wird die abschreckende Wirkung des Schadensersatzes betont und ein effektiver Rechtsschutz in den Vordergrund gerückt. Nach dem Erwägungsgrund Ziff. 75 DS-GVO kann zB ein Nichtvermögensschaden durch Diskriminierung, Identitätsdiebstahl, Betrug, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden persönlichen Daten oder gesellschaftliche Nachteile eintreten. Einerseits ist ein genereller Ausschluss von Bagatellschäden im Lichte dieser Erwägungsgründe nicht vertretbar, andererseits genügt ein bloßer Ärger über den Datenschutzverstoß oder Kontrollverlust an Daten oder ein subjektives Unmutsgefühl nicht, um einen immateriellen Schaden anzunehmen. Allein eine Verletzung des Datenschutzrechts begründet ebenfalls entgegen der Auffassung der Klagepartei für sich genommen noch nicht einen Schadensersatzanspruch für die betroffene Person, solange damit nicht im Einzelfall ein (immaterieller) Schaden verbunden ist, dh kausal negative Konsequenzen für den Betroffenen. Das Gericht folgt hier den Ausführungen des Schlussantrags des Generalanwalts in dem Verfahren vor dem EuGH – C-300/21 [= ZD 2023, 446 mAnm Mekat/Ligocki] – Österreichische Post. Dafür spricht auch der Wortlaut des Art. 82 Abs. 5 DS-GVO, nach dem der Schaden „erlitten“ sein muss. Das ist nur der Fall, wenn dieser wegen eines Verstoßes gegen die Verordnung (Art. 82 Abs. 1 DS-GVO) tatsächlich entstanden, spürbar und objektiv nachvollziehbar ist und nicht nur von dem Betroffenen befürchtet wird. Es bedarf dazu nach Auffassung des Gerichts der Darlegung eines konkreten (auch immateriellen) Schadens. Allerdings ist es nicht erforderlich, dass der eingetretene Schaden eine bestimmte Erheblichkeitsschwelle überschreitet, denn auch Bagatellschäden sind grundsätzlich ersatzfähig. Das Vorliegen eines konkreten, immateriellen Schadens, wozu auch Ängste, Sorgen, Stress sowie Komfort- und Zeiteinbußen zählen, hat der Kl. im Ergebnis nicht hinreichend dargetan noch bewiesen. Er hat zwar iRd Klageschrift ausführen lassen, dass er einen erheblichen Kontrollverlust über seine Daten erlitten habe und deshalb unter großem Unwohlsein und Sorgen leide sowie einen Missbrauch befürchte; letztlich geht das Gericht aber nicht mit hinreichender Wahrscheinlichkeit davon aus, dass der Kl. unter den in der Klageschrift beschriebenen Ängsten und Sorgen tatsächlich kausal verursacht durch das Abgreifen persönlicher Daten iRd hier streitgegenständlichen „Datenlecks“ leidet. Dagegen spricht bereits der Umstand, dass es sich bei den „gescrapten“ Daten des Kl. mit – Ausnahme der Mobilfunknummer – um Daten handelt, die immer öffentlich sind. Es ist diesen Daten gerade immanent, dass sie jedem und jederzeit zugänglich sind. Dies wird auch nach den Angaben des Kl. in der mündlichen Verhandlung grundsätzlich so gewünscht, da er ja schließlich aus diesem Grund auf F. nach wie vor aktiv ist, um „gefunden“ zu werden und sein hobby auszuüben. Auf diesen Umstand weist die Bekl. ihre Nutzer auch ausdrücklich hin (dazu im einzelnen Ausführungen im Hilfebereich zu „Was sind öffentliche Informationen auf F.“, sodass nicht nachvollziehbar ist, weshalb eine „weitere Veröffentlichung“ dieser Daten nach dem sog. Scraping bei dem Kl. zu einem unguten Gefühl und/oder verstärkter Unsicherheit geführt haben sollte. Dagegen spricht auch der Umstand, dass es sich offensichtlich um eine standardisierte Klageschrift handelt, die für eine Vielzahl von betroffenen Nutzern eingereicht worden ist und jeweils die gleichen „Symptome“ der Unsicherheit und Sorge beklagt werden. Auch wurde vorgetragen, dass sich der Kl. aufgrund des Vorfalles mit betrügerischen E-­Mails auseinandersetzen müsse, obwohl die E-­Mail-Adresse – nach dem Vortrag der Kl. und auch auf ausdrücklich Nachfrage bestätigt in der mündlichen Verhandlung gar nicht „gescrapt“ worden ist; dh seine E-­Mail-Adresse ist durch den streitgegenständlichen Vorfall überhaupt nicht öffentlich verbreitet worden. Das Gericht ist aber auch nach der Anhörung des Kl. in der mündlichen Verhandlung nicht zu der Überzeugung gekommen, dass dem Kl. wegen des Scraping-Vorfalls betreffend die Veröffentlichung der Mobilfunknummer ein konkreter immaterieller Schaden entstanden ist. Dabei ist zunächst zu berücksichtigen, dass auch die Angabe der Mobilfunknummer bei der Anmeldung auf F. freiwillig erfolgt und nicht für die Registrierung erforderlich ist. Die Bekl. hat das belegt durch Vorlage der entsprechenden Informationen zu Privatsphäre-Einstellungen, die der Anmelder sich bei dem Anmeldevorgang ohne Probleme beschaffen kann und auf die auch ausreichend klar hingewiesen wird. Für die Privatsphäre-Einstellung „Suchbarkeit“ konnte der Kl. in dem relevanten Zeitraum festlegen, dass nur „Freunde von Freunden“ oder „Freunde“ das Profil finden können, auch wenn erst ab Mai 2019 den Nutzern die Option „Nur ich“ zur Verfügung stand. Dennoch hat der Kl. seine Telefonnummer angegeben und die Suchbarkeit jedenfalls bis zum 13.11.2018 gar nicht beschränkt, obwohl eine Beschränkung auf „Freunde“ möglich gewesen wäre. Dies steht für das Gericht aufgrund des Screen-Shots mit ausreichender Wahrscheinlichkeit fest, die Vernünftigen Zweifeln Schweigen gebietet. Soweit der Kl. in der mündlichen Verhandlung demgegenüber angegeben hat, er habe bereits 2012 bestimmte Einstellungen auf „nur für mich“ und andere auf „nur für Freunde“ geändert, da er in einem sicherheitsrelevanten Bereich der Bundeswehr gearbeitet habe, so blieb dies Angabe insoweit vage, als er nicht mitteilte, welche Einstellungen er denn hinsichtlich welcher Daten geändert haben will. Soweit er angab, er bezweifele, dass die von Beklagtenseite erläuterten Einstellungsmöglichkeiten auch bereits 2008 bestanden, genügen derartige Zweifel nicht, denn die Anmeldung hat er selbst vorgenommen und die Umstände unterliegen damit seiner eigenen Wahrnehmung. Angesichts des konkreten Vortrags der Bekl., dass diese Einstellungen der Privatsphäre so zu jeder Zeit wie in der Klageerwiderung geltend gemacht und mit Unterlagen belegt bestanden, hätte es eines konkreten Gegenvortrags bedurft. So hat der Kl. auch lediglich ausgeführt, dass die Bekl. im Jahr 2008 „suggeriert“ habe, die Angabe der Telefonnummer sei verpflichtend; das wiederum spricht aber dafür, dass auch im Jahr 2008 eine Verpflichtung bei Anmeldung tatsächlich nicht bestand. Soweit sich der Kl. darauf beruft, die Informationen der Bekl. seien unübersichtlich und nicht verständlich, ist das bereits nicht glaubhaft, da der Kl. angegeben hat, selbst im IT-Bereich zu arbeiten und sich erkennbar gut mit den Möglichkeiten der Sicherung von Daten auskannte. Dass er die Erklärungen der Bekl. zu den Einstellungen der Privatsphäre zur „Suchbarkeit“ danach nicht verstanden haben will, ist für das Gericht nicht nachvollziehbar. Dass der Kl. die Telefonnummer angab, spricht eher dafür, dass er zum Zeitpunkt der Anmeldung auf F. jedenfalls noch kein besonderes Interesse daran hatte, die Möglichkeit einer Verbreitung seiner Mobilfunknummer zu kontrollieren. Soweit der Kl. zu der Veröffentlichung der Telefonnummer aufgrund des Scraping-Vorfalls bzgl. des konkreten Schadens in der mündlichen Verhandlung angegeben hat, er habe danach „eigentlich schlagartig ab 2019“ vermehrt typische Telefonanrufe von CIA oder BKA oder DHL-SMS ca. alle 3-4 Wochen erhalten, hat die Bekl. dieses Vorbringen bestritten. Geeignete Beweise hat der Kl. dafür nicht vorgelegt. Insb. die Anlage K 7 kann dafür nicht als Beleg dienen, da es sich insoweit um Telefonanrufe aus September/Oktober 2021 handelt, bei denen ein konkreter Zusammenhang zu dem behaupteten „Datenleck“ nicht ersichtlich ist. Insoweit wurde auch in der mündlichen Verhandlung bereits darauf hingewiesen, dass Anrufe von unbekannten Telefonnummern gerichtsbekannt auch ohne Registrierung bei F. nicht unüblich sind und auf vielerlei Ursachen beruhen können. Eine kausale Schädigung auch immaterieller Art lässt sich dadurch nicht belegen.

LG Krefeld Urt. v. 22.2.2023 – 7 O 113/22 = ZD 2023, 634 (Ls.)

0 EUR Der Klageantrag zu 1 ist – entgegen der Ansicht der Bekl. – hinreichend iSd § 253 Abs. 2 Ziff. 2 ZPO bestimmt. Der Kl. hat schon nicht ausreichend dargelegt, dass er von dem streitgegenständlichen Scraping-Vorfall betroffen ist. Dem Kl. steht kein Anspruch auf Zahlung eines immateriellen Schadensersatzes gem. Art. 82 Abs. 1 DS-GVO zu. Die Norm statuiert auf Tatbestandsebene das Vorliegen eines Verstoßes gegen die DS-GVO, den Eintritt eines materiellen oder immateriellen Schadens und die Kausalität der beiden Voraussetzungen („wegen“). Zwar ist der sachliche (Art. 2 DS-GVO) und räumliche (Art. 3 DS-GVO) Anwendungsbereich der Verordnung im konkreten Fall der Nutzung einer social-media Plattform in der Europäischen Union eröffnet. Es liegt auch ein Verstoß seitens der Bekl. gegen Art. 25 Abs. 1 und 2 DS-GVO vor. Dem Kl. ist es jedoch nicht gelungen, den Eintritt eines ihm entstandenen kausalen Schadens als überwiegend wahrscheinlich iSd § 287 ZPO nachzuweisen. Der Kl. kann den geltend gemachten Schmerzensgeldanspruch nicht auf einen Verstoß gegen Art. 5 Abs. 1 lit. a i. V. m. Art. 12 und 1314 DS-GVO stützen. Es liegt auch kein Verstoß gegen Art. 3224 DS-GVO vor. Auch ein Verstoß der Bekl. gegen die in Art. 33 und 34 DS-GVO geregelte Benachrichtigungspflicht kommt nicht in Betracht. Ein Verstoß liegt auch nicht wegen verspäteter Erfüllung des Auskunftsanspruchs des Art. 15 DS-GVO vor. Ein Verstoß gegen Art. 25 Abs. 2 DS-GVO liegt nicht vor. Dem Kl. ist es auch nicht gelungen, den Eintritt eines ihm entstandenen kausalen Schadens als überwiegend wahrscheinlich iSd § 287 ZPO nachzuweisen. Für den immateriellen Schadensersatz gelten dabei die iRv § 253 BGB entwickelten Grundsätze; die Ermittlung obliegt dem Gericht nach § 287 ZPO. Nach dem ausdrücklichen Wortlaut des geltend gemachten Art. 82 DS-GVO muss der Schaden „entstanden“ sein, woraus sich ergibt, dass ein bloßes Befürchten desselben nicht ausreicht. Voraussetzung ist somit der tatsächliche Schadenseintritt. Der einfache Verstoß gegen die Vorschriften der DS-GVO reicht nicht schon aus. Zwar ist der Begriff des Schadens nach den Erwägungen der DS-GVO (Erwägungsgrund 146 S. 3) weit auszulegen; es bedarf hierfür aber der zusätzlichen Darlegung eines konkreten (auch immateriellen) Schadens. Nicht erforderlich ist demgegenüber, dass der eingetretene Schaden erheblich ist. Betrachtet man bei teleologischer Auslegung die Erwägungen des Verordnungsgebers, wird deutlich, dass der Schadensbegriff des Art. 82 DS-GVO so extensiv zu verstehen ist, dass auch Bagatellschäden erfasst sind. Für die Annahme eines immateriellen Schadens in einer solchen Konstellation könnten zwar Erwägungsgrund 75 S. 1 und 85 S. 1 DS-GVO sprechen, die explizit auf den Kontrollverlust über personenbezogene Daten Bezug nehmen. Bei näherer Betrachtung stellt sich eine solche Schlussfolgerung aber als voreilig dar: Erwägungsgrund 85 DS-GVO nimmt bereits systematisch nicht auf Art. 82 DS-GVO, sondern auf Art. 34 DS-GVO Bezug, so dass seine Aussagekraft für die Auslegung des Schadensbegriffs stark eingeschränkt ist. In Erwägungsgrund 75 DS-GVO wird der Verlust der Kontrolle über personenbezogene Daten zudem (nur) als ein „Risiko“ bezeichnet, also gerade nicht per se mit einem (immateriellen) Schaden gleichgesetzt. Vielmehr ist für die Annahme eines immateriellen Schadens zu fordern, dass der Tatsachenvortrag der betroffenen Person das Vorliegen einer immateriellen Beeinträchtigung trägt, die über den schlichten Kontrollverlust hinausgeht. Bloß unspezifische Behauptungen und reine Unannehmlichkeiten werden hierbei nicht genügen. Denn Erwägungsgrund 75 S. 1 DS-GVO fordert nach Wortlaut und Systematik das Vorliegen eines (physischen, materiellen oder immateriellen) Schadens, der hinsichtlich seines Gewichts zu „erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen führen kann“. Zwar wurden die klägerischen Daten, die dieser einem gewissen Nutzerkreis der Plattform zugänglich machte, durch den Scraping-Vorfall abgegriffen und allgemein-zugänglich im Internet veröffentlicht; gegen einen Kontrollverlust spricht aber bereits der Umstand, dass es sich bei den „gescrapten“ Daten des Kl. mit – Ausnahme der Mobilfunknummer – um Daten handelt, die immer öffentlich sind. Es ist diesen Daten daher gerade immanent, dass sie jedem und jederzeit zugänglich sind. Auf diesen Umstand weist die Bekl. ihre Nutzer auch ausdrücklich hin, sodass es für die Kammer nicht nachvollziehbar ist, weshalb eine „weitere Veröffentlichung“ dieser Daten, bei dem Kl. zu Kontrollverlust geführt haben sollte. Neben einem mangelnden Kontrollverlust des Kl. beziehen sich die Erwägungsgründe allerdings auch nur auf Regelbeispiele, sodass weitere immaterielle Schadensbilder wie etwa ein allgemeines Unwohlsein grundsätzlich denkbar sind. Das Vorliegen eines solchen konkreten, immateriellen Schadens, wozu immer auch körperliche Manifestationen durch Ängste, Sorgen, Stress sowie Komfort- und Zeiteinbußen zählen, hat der Kl. allerdings nicht hinreichend dargetan. Er hat zwar iRd Klageschrift ausgeführt, dass er unter großem Unwohlsein und Sorgen leide sowie einen Missbrauch befürchte. Letztlich kann die Kammer aber nicht mit hinreichender Wahrscheinlichkeit davon ausgehen, dass sich die vom Kl. unter den in der Klageschrift beschriebenen Ängsten und Sorgen auch tatsächlich iSe immateriellen Schadens manifestiert haben. Der in der Verordnung geregelte Ersatz immaterieller Schäden erstreckt sich auch nicht auf bloßen Ärger, zu dem die Verletzung ihrer Vorschriften bei der betroffenen Person geführt haben mag. Es ist vielmehr Sache der nationalen Gerichte, herauszuarbeiten, wann das subjektive Unmutsgefühl aufgrund seiner Merkmale im Einzelfall als immaterieller Schaden angesehen werden kann. Ebenso kann die Kammer keinen konkreten immateriellen Schaden aus der Veröffentlichung der Mobilfunknummer ersehen. Zweifel an dem in der Klageschrift vorgetragenem Gemütszustand des Kl. ergeben sich für das Gericht diesbezüglich bereits aus dem Umstand, dass die Eingabe der Mobilfunknummer freiwillig erfolgte, mithin für die Registrierung nicht erforderlich war. Dass der Kl. diese gleichwohl trotzdem angab, spricht dafür, dass sein allgemeines psychisches Wohlbefinden wohl nicht von der möglichst restriktiven Geheimhaltung seiner Mobilfunknummer abhängig ist. Dies umso mehr vor dem Hintergrund, dass es sich bei dem betroffenen Mobil-Telefon um ein Diensttelefon handelt und der Kl. selbst in der IT-Branche tätig ist und eigenem Bekunden nach die Sicherheitsinteressen kennt. Daneben wurde der Kl. in den Suchbarkeits- und Kontaktierungseinstellungen ausdrücklich darauf hingewiesen, dass sein Profil anhand der von ihm angegebenen Telefonnummer auffindbar war. Zudem hat der Kl. nicht ausreichend dargelegt, dass seine Telefonnummer durch den Scraping-Vorfall abgegriffen wurde. IÜ erhalten gerichtsbekannt auch Personen unerwünschte E-­Mails und Anrufe, die keinen Account bei der Bekl. haben und dort ihre Telefonnummer hinterlegt haben, was auch gegen eine eventuelle Kausalität des Schadens spricht. In seiner informatorischen Anhörung ist auch nicht deutlich geworden, dass er durch den Vorfall erheblich iSd obigen Ausführungen betroffen war. So gab er an, eine Video der Kanzlei der Prozessbevollmächtigten auf Youtube gesehen zu haben. Er danach sei bei ihm der Verdacht aufgekommen, dass die vielen Phishing-Links und -SMS im Zusammenhang mit der Bekl. stehen könnten. Über einen Wechsel seiner Telefonnummer habe er nicht nachgedacht. Es könne, so der Kl., "nicht sein, dass das mein Problem ist, wenn dort Datenlecks bestehen". IÜ hätte ein solcher Wechsel wegen der vielen Kundenkontakte auf seinem Handy auch aus seiner Sicht nicht in Relation zu dem Vorfall gestanden. Hinsichtlich des Verstoßes gegen Art. 25 DS-GVO fehlt es zudem am notwendigen Zusammenhang mit einer konkreten Datenverarbeitung. Schließlich hat der Kl. auch ein Verschulden des Bekl. hinsichtlich des Scraping-Vorfalls nicht ausreichend dargelegt. Der Anspruch auf Ersatz vorgerichtlicher Rechtsanwaltskosten sowie der Zinsanspruch teilen das Schicksal der Hauptforderungen.

LG Bonn Urt. v. 22.2.2023 – 7 O 101/22

0 EUR Der Kl. hat keinen Anspruch auf Zahlung eines immateriellen Schadensersatzes aus Art. 82 Abs. 1 DS-GVO oder einer anderen in Betracht kommenden Anspruchsgrundlage. Denn jedenfalls fehlt es am Eintritt eines immateriellen Schadens. Materielle Schäden macht der Kl. schon nicht geltend. Der Begriff des immateriellen Schadens ist dabei unionsrechtlich autonom auszulegen. Ein deutsches Verständnis zum Begriff des Schadens – etwa eine enge Auslegung – ist mithin nicht angezeigt. Eine Erheblichkeitsschwelle für das Vorliegen eines solchen Schadens ergibt sich gerade nicht aus der DS-GVO. Bagatellschäden sind ebenfalls erfasst. Zu verlangen ist aber jedenfalls, dass ein konkreter immaterieller Schaden auch tatsächlich eingetreten („entstanden“) ist. Diesen muss der Kl. darlegen und ggf. beweisen. Diesen Beweis hat der Kl. vorliegend aber nicht geführt.

LG Hildesheim Urt. v. 21.2.2023 – 3 O 89/22 = ZD 2023, 635 (Ls.)

0 EUR Zwingende Prozessvoraussetzung für jede Klage ist ein allgemeines Rechtsschutzinteresse oder Rechtsschutzbedürfnis, dh ein schutzwürdiges Interesse an der gerichtlichen Geltendmachung des eingeklagten Rechts. Der Kl. hat ggü. der Bekl. keinen Anspruch auf die Leistung eines Ersatzes für immaterielle Schäden nach Art. 82 Abs. 1 DS-GVO. Dahinstehen kann dabei, ob die Bekl. Verstöße gegen die DS-GVO begangen hat, ob die entsprechenden etwaigen Verstöße von der Schadensersatzpflicht aus Art. 82 Abs. 1 DS-GVO erfasst sind und ob für die Auslösung einer Schadensersatzpflicht nach dieser Norm eine erhebliche Beeinträchtigung erforderlich ist. In jedem Fall steht dem Kl. aus etwaig erfolgten Verstößen der Bekl. gegen die DS-GVO kein immaterieller Schadensausgleich zu. Für die Bemessung von Schadensersatzansprüchen nach Art. 82 Abs. 1 DS-GVO enthält die DS-GVO nur wenige Vorgaben. Aus dem Nebeneinander von materiellem und immateriellem Schaden folgt, dass auch solche Schäden auszugleichen sind, die sich nicht unmittelbar in Geld bemessen lassen. Nach Erwägungsgrund 146 S. 3 zu der Verordnung sollte der Begriff des Schadens im Lichte der Rspr. des EuGH zudem weit auf eine Art und Weise ausgelegt werden, die den Zielen der Verordnung in vollem Umfang entspricht. Nach Erwägungsgrund 146 S. 6 sollten die betroffenen Personen einen vollständigen und wirksamen Schadensersatz für erlittene Schäden erhalten. Nach dem ausdrücklichen Wortlaut der Vorschrift muss der Schaden hierbei „erlitten“ worden sein, woraus sich ergibt, dass dieser tatsächlich entstanden sein muss und nicht lediglich befürchtet wird. Zwar ist der Begriff des Schadens – wie dargestellt – weit auszulegen, sodass die Betroffenen einen wirksamen Ersatz bekommen; nach Auffassung der Kammer reicht jedoch ein bloßer Verstoß gegen Vorschriften der DS-GVO nicht aus, um (immateriellen) Schadensersatz verlangen zu können. Es bedarf vielmehr der Darlegung eines konkreten (auch immateriellen) Schadens. Zwischen dem eingetretenen Schaden und einem etwaigen Verstoß des Datenverarbeiters gegen Normen der DS-GVO muss ein ursächlicher Zusammenhang bestehen, wobei eine Mitursächlichkeit ausreicht. Gerade einen solchen Zusammenhang vermochte der Kl. nicht aufzuzeigen. Dies gilt selbst dann, wenn man eine emotionale Betroffenheit durch den Scraping-Vorfall unterstellen und das Ausmaß der Betroffenheit für die Entstehung eines Anspruchs auf immateriellen Schadensausgleich ausreichen lassen würde. Soweit klägerseits eine emotionale Betroffenheit dadurch vorgetragen wird, dass der Kl. infolge des Scraping-Vorfalls mit einer Vielzahl von missbräuchlichen Kontaktaufnahme etwa über Telefon, per SMS oder Mail konfrontiert wurde, steht nicht mit hinreichender Sicherheit fest, dass die Kontaktaufnahme auf den konkreten Scraping-Vorfall zurückgeht. Die Beweislast auch für diese Voraussetzung obliegt dem Anspruchsberechtigten, dies entspricht den allgemeinen deliktischen Voraussetzungen. Eine Beweislastumkehr ist der Norm ausdrücklich nur bzgl. des Gesichtspunkts des Verschuldens zu entnehmen. Dieser Beweislast vermochte der Kl. nicht zur Überzeugung der Kammer zu genügen. Maßstab für die Überzeugungsbildung der Kammer ist der Grundsatz der freien Beweiswürdigung nach § 286 ZPO, der bedeutet, dass der Richter lediglich an die Denk-­, Natur-­, und Erfahrungsgesetze gebunden ist, ansonsten aber die im Prozess gewonnenen Erkenntnisse grds. ohne Bindung an gesetzliche Beweisregeln nach seiner individuellen Einschätzung bewerten darf. Der Vorgang der Überzeugungsbildung ist nicht von objektiven Kriterien abhängig, sondern beruht auf Erfahrungswissen und Judiz des erkennenden Richters. Als Beweismaß, dh Kriterium für das Bewiesensein der streitigen Behauptung erforderlich, aber auch ausreichend ist die persönliche richterliche Gewissheit, die den Zweifel schweigen gebietet, ohne sie völlig auszuschließen. An diesem Maßstab gemessen verbleiben der Kammer Zweifel daran, dass der Scraping-Vorfall Ursache für die (zugenommene) missbräuchliche Kontaktaufnahme unbekannter Dritter mit dem Kl. war. Hierbei sieht sie sehr wohl, dass der Kl. im Rahmen seiner informatorischen Anhörung angab, im Nachgang zu dem Scraping-Vorfall sei er durch Spam-Anrufe und -SMS kontaktiert worden. Der Kammer ist insoweit aus eigener Anschauung bekannt, dass auch Personen ohne F.-Account unerwünschte Anrufe oder Nachrichten erhalten. Selbst wenn beim Kl. tatsächlich derartige Anrufe seit April 2021 zugenommen haben mögen, so kann dies vielerlei Ursachen haben. In diesem Zusammenhang mag auch unterstellt werden, dass der Kl. im Internet iÜ umsichtig mit der Angabe von Daten umgeht und diese nicht bei einer Mehrzahl von Stellen angibt. Gleichwohl ist weder vorgetragen noch ersichtlich und iÜ auch lebensfern, dass der Kl. die streitgegenständlichen persönlichen Daten allein bei F. hinterlegte. Zweifel an einem ursächlichen Zusammenhang zwischen Scraping-Vorfall und den konkreten Kontaktaufnahmen weckt auch der Umstand, dass der Kl. in seiner informatorischen Anhörung angab, die Kontaktierungen erfolgten nicht personenbezogen an ihn adressiert. Sollte eine Kontaktierung gerade auf die abgeschöpften persönlichen Daten des Kl. zurückgehen, läge es näher, Nachrichten an ihn persönlich zu versenden. Soweit der Kl. schriftsätzlich vorträgt, er sei bereits durch den Verlust der Kontrolle über seine Daten infolge des Scraping-Vorfalls emotional beeinträchtigt worden, hat dies die informatorische Anhörung des Kl. nicht zur Überzeugung der Kammer bestätigen können. In dieser stellte der Kl. maßgeblich auf eine Belästigung durch unerwünschte Kontaktaufnahmen und sonstige konkreten Verwendungen seiner Daten unmittelbar im Zusammenhang mit seiner Person, nicht jedoch auf die Besorgnis ab, gescrapte Daten könnten an weitere Dritte verbreitet werden. Soweit der Kl. eine Verärgerung über die Möglichkeit des Geschehens des Scraping-Vorfalls und ein nicht näher differenziertes Unwohlsein hinsichtlich des Verbleibs seiner Daten empfand, ist dies nicht hinreichend zur Begründung eines immateriellen Schadensersatzanspruchs. Schließlich ließ sich der informatorischen Anhörung des Kl. in keiner Weise entnehmen, eine emotionale Betroffenheit habe sich aus dem behaupteten zögerlichen Aufklärungsverhalten der Bekl. über den Vorfall ergeben. Im Gegenteil war ein solches Verhalten in keiner Weise Gegenstand der klägerischen Ausführungen. Soweit der Kl. insoweit schriftsätzlich behauptet, eine zeitgerechte Information durch die Bekl. hätte ihm Gelegenheit gegeben, zeitnah Schritte zur Risikominimierung zu unternehmen, kann dies nicht nachvollzogen werden. Weder wird vorgetragen noch ist ersichtlich, in welcher Weise eine Risikominimierung hätte erfolgen können. Insb. wurden vorliegend anders als in typischen Hacking-Fällen keine Zugangsdaten oder Zahlungsinformationen abgeschöpft, woraufhin eine Änderung von Passwörtern oder Sperrung von Kreditkarten hätte erfolgen können. Im Gegenteil ist davon auszugehen, dass unabhängig von einer zeitgerechten Mitteilung durch die Bekl. und auch ggf. auch noch zum heutigen Zeitpunkt die Daten des Kl. unverändert in entsprechenden Foren abgerufen werden können.

LG Paderborn Urt. v. 20.2.2023 – 4 O 190/22

350 EUR Der Klageantrag zu 1 ist zulässig. Entgegen der Auffassung der Bekl. ist er insb. hinreichend bestimmt. Dem Kl. steht gegen die Bekl. einen Anspruch auf Schadensersatz iHv 350 EUR aus Art. 82 Abs. 1 DS-GVO zu. Nach dieser Vorschrift hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Zur Überzeugung der Kammer hat die Bekl. als Verantwortliche iSd Art. 4 Ziff. 7 DS-GVO gegen mehrere Vorschriften aus der DS-GVO verstoßen. Die Bekl. ist der ihr nach Art. 13 DS-GVO auferlegten Informations- und Aufklärungspflicht nicht in vollständigem Umfang nachgekommen. Die Kammer vermochte nicht festzustellen, dass die Bekl. den Kl. zum Zeitpunkt der Datenerhebung seiner Mobilfunknummer hinreichend über die Zwecke der Verarbeitung seiner Mobilfunknummer aufgeklärt hat. Die Verletzung der nach Art. 13 DS-GVO bestehenden Informations- und Aufklärungspflichten ist vom Anwendungsbereich des Schadensersatzanspruches des Art. 82 DS-GVO erfasst. Ein Schadensersatzanspruch nach Art. 82 DS-GVO kann nur dann begründet werden, wenn nach dessen Absatz 2 S. 1 ein Schaden durch eine nicht dieser Verordnung entsprechenden Verarbeitung verursacht wurde. Entsprechend der Legaldefinition des Art. 4 Ziffer 2 DS-GVO entstehen die Informations- und Aufklärungspflichten des Art. 13 DS-GVO bereits mit der Erhebung personenbezogener Daten. Bereits zu diesem Zeitpunkt hat der Verantwortliche – wie noch auszuführen sein wird – ggü. dem Betroffenen umfangreiche Informationspflichten zu erfüllen. Bildet – wie hier – die Einwilligung des Betroffenen nach Art. 6 Abs. 1 lit. a DS-GVO die Grundlage des Datenerhebungs- und somit auch des Datenverarbeitungsvorganges, kann eine solche Einwilligung unter Berücksichtigung der in der DS-GVO vorherrschenden Grundsätze einer fairen und transparenten Verarbeitung von personenbezogenen Daten keinen Bestand haben, wenn dem Betroffenen nicht bereits bei Datenerhebung sämtliche nach Art. 13 DS-GVO erforderlichen Informationen mitgeteilt werden. Die Bekl. als Verantwortliche iSd Art. 4 Ziff. 7 DS-GVO verstieß aufgrund unzureichender Sicherheitsmaßnahmen bzgl. der Nutzung des CIT auch gegen Art. 32245 Abs. 1 lit. f DS-GVO. Die Bekl. hat zudem ihre Meldepflicht aus Art. 33 DS-GVO verletzt. Schließlich ist ein Verstoß gegen die Meldepflicht geeignet, für den Verantwortlichen eine Haftung und eine Schadensersatzpflicht gem. Art. 82 DS-GVO zu begründen. Denn die Vorschrift dient sowohl dem Schutz des Betroffenen, als auch der Ermöglichung von Maßnahmen zur Eindämmung und Ahndung der Rechtsverletzung durch die Aufsichtsbehörde. Insofern genügt bereits ein solch formeller Verstoß gegen die DS-GVO zur Begründung eines Schadensersatzanspruchs dem Grunde nach. Auch ein Verstoß gegen Art. 34 Abs. 1 DS-GVO liegt vor. Auch ein Verstoß gegen diese Vorschrift ist geeignet, einen Schadensersatzanspruch zu begründen. Die Bekl. verstößt mit ihren Grundeinstellungen zur Sichtbarkeit zumindest hinsichtlich der Emailadresse und zur Suchbarkeit über die Telefonnummer der Benutzer der Facebook-Plattform gegen Art. 25 DS-GVO. Dies verhilft der Kl. indes jedoch nicht zu einem Anspruch gem. Art. 82 Abs. 1 DS-GVO. Allein aus einem Verstoß gegen Art. 25 DS-GVO kann wegen seines organisatorischen Charakters ein Anspruch nach Art. 82 Abs. 1 DS-GVO jedoch nicht begründet werden. Die Vorschrift entfaltet bereits vor dem eigentlichen Beginn der Datenverarbeitung ihren Regelungscharakter. Zu diesem, einer tatsächlichen Datenverarbeitung vorgelagerten Zeitpunkt, entfaltet die DS-GVO jedoch nach Art. 2 Abs. 1 DS-GVO noch keine Wirkung. Die Anwendbarkeit der DS-GVO setzt vielmehr eine tatsächliche Verarbeitung personenbezogener Daten voraus. Ein Anspruch aus Art. 82 DS-GVO setzt daher darüber hinaus voraus, dass weitere Verstöße gegen die DS-GVO vorliegen. Ob die Bekl. dem Auskunftsersuchen der Kl. über ihre personenbezogenen Daten nicht in ausreichendem Maße nachgekommen ist und dadurch gegen Art. 15 DS-GVO verstoßen hat – worauf die Kammer im Klageantrag zu 4 noch näher eingehen wird – kann dahinstehen, da ein etwaiger Verstoß keinen Schadensersatzanspruch nach Art. 82 DS-GVO auslöst. Die Norm spricht zwar demjenigen einen Schadensersatzanspruch zu, der wegen eines Verstoßes gegen diese DS-GVO einen Schaden erlitten hat. Gem. Art. 82 Abs. 2 DS-GVO haften die Verantwortlichen – insoweit konkretisierend – jedoch nur für den Schaden, der durch eine nicht der DS-GVO entsprechende Verarbeitung entstanden ist. Dies steht im Einklang mit Erwägungsgrund 146 S. 1, in dem es lautet „Der Verantwortliche oder der Auftragsverarbeiter sollte Schäden, die einer Person aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht, ersetzen.“ Daher kommt nur ein Verstoß durch die Verarbeitung selbst in Betracht, die verordnungswidrig sein muss, um einen Schadensersatzanspruch auszulösen. Auf Grund von anderen Verstößen, die nicht durch eine der DS-GVO zuwiderlaufende Verarbeitung verursacht worden sind, kommt eine Haftung nach Art. 82 Abs. 1 DS-GVO nicht in Betracht. Datenverarbeitung bezeichnet gem. Art. 4 Ziff. 2 DS-GVO nur jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. Daran gemessen stellt eine – nach Auffassung des Kl. – nicht ausreichende Auskunftserteilung keine Verarbeitung personenbezogener Daten iSd DS-GVO dar. Der Bekl. gelingt zur Abwendung des Anspruchs auch nicht die Exkulpation gem. Art. 82 Abs. 3 DS-GVO. Demnach gelingt eine Befreiung nur, wenn der Verantwortliche oder der Auftragsverarbeiter nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. Damit wird die Verantwortlichkeit der Bekl. widerleglich vermutet. Zwar ist der Begriff der Verantwortlichkeit iSd Art. 82 Abs. 3 DS-GVO nicht näher definiert. So wird dieser vorwiegend mit dem Begriff des Verschuldens gleichgesetzt. Teilweise wird dies hingegen nicht angenommen mit der Folge, dass Art. 82 DS-GVO möglicherweise als Gefährdungshaftungstatbestand zu begreifen sei, sodass dem Verantwortlichen oder Auftragsverarbeiter unabhängig von jedwedem Verschulden lediglich ganz ungewöhnliche Kausalverläufe, die jeder Lebenserfahrung widersprechen, sowie Fälle höherer Gewalt und weit überwiegenden eigenen Fehlverhaltens der betroffenen Person nicht anzulasten seien. Hierauf kommt es vorliegend jedoch nicht an. Denn der Bekl. gelingt weder der Nachweis fehlenden Verschuldens noch des Vorliegens ganz ungewöhnlicher Kausalverläufe, eines Falles höherer Gewalt oder weit überwiegenden eigenen Fehlverhaltens des Kl. Die Bekl. kann nicht nachweisen, dass sie im vorliegenden Fall kein Verschulden trifft. Das wäre nur dann der Fall, wenn sie sämtliche Sorgfaltsanforderungen erfüllt hat und ihm nicht die geringste Fahrlässigkeit vorzuwerfen ist. Das Verschulden wird vorliegend bereits allein dadurch indiziert, dass sich ein Verstoß der Bekl. gegen Art. 25 DS-GVO feststellen lässt. Denn jedenfalls wohnt einem Verstoß gegen Art. 25 DS-GVO praktisch immer eine Erhöhung der Gefahr eines Schadens inne. Eine Exkulpation ist dann nicht bzw. nur unter erschwerten Bedingungen möglich. Soweit die Bekl. hierzu vorträgt, dass sie ihre Pflichten aus der DS-GVO nicht verletzt hat, verfängt dies aufgrund der obigen Ausführungen bereits nicht. Auch der Verweis der Bekl. auf fehlende Rspr., aufsichtsbehördliche Leitlinien oder Lit. hinsichtlich des Umgangs mit Scraping-Sachverhalten verhilft dieser nicht zu einer Exkulpation. Es lässt sich hieraus schon nicht entnehmen, dass die Bekl. sämtliche Sorgfaltsanforderungen erfüllt hat oder ihr nicht die geringste Fahrlässigkeit vorzuwerfen ist. Vielmehr nutzten Dritte bereits erkannte oder erkennbare Angriffswege, um auf Daten zuzugreifen, sodass die Nichtverantwortlichkeit des Verantwortlichen nicht nachgewiesen werden kann. Scraping ist ausweislich des Beklagtenvorbringens „eine gängige Taktik“. Es war jedenfalls erkennbar, dass das CIT durch Scraping ausgenutzt werden kann. Dies begründet sich bereits aus dem Umstand, dass die Bekl. selbst Schutzmaßnahmen behauptet und somit von der Notwendigkeit dieser ausgeht. IÜ behauptet die Bekl. das Vorliegen ganz ungewöhnlicher Kausalverläufe, einen Fall höherer Gewalt oder ein weit überwiegendes eigenes Fehlverhalten des Kl. nicht. Dem Kl. ist nach Auffassung des Gerichts ein immaterieller Schaden iSd Art. 82 DS-GVO entstanden. Ein bloßer Datenschutzverstoß als solcher genügt für das Entstehen des Schadensersatzanspruches nicht. Vielmehr folgt bereits aus dem Wortlaut der Vorschrift, dass der Verordnungsgeber keine allein an den Rechtsverstoß anknüpfende Zahlungspflicht begründen wollte. So stellt auch der GA in seinen Schlussanträgen iRd Vorabentscheidungsersuchens des österreichischen Obersten Gerichtshofs v. 12.5.2021 auf das Erfordernis eines konkreten Schadens ab. Der Begriff des Schadens ist nach dem Erwägungsgrund 146 S. 3 im Lichte der Rspr. des EuGH weit und auf eine Art und Weise auszulegen, die den Zielen der Verordnung in vollem Umfang entspricht. Die Ziele der DS-GVO bestehen dabei u. a. darin, den Risiken für die Rechte und Freiheit natürlicher Personen zu begegnen, die – mit unterschiedlicher Eintrittswahrscheinlichkeit und Schwere – aus einer Verarbeitung personenbezogener Daten hervorgehen und zu einem immateriellen Schaden führen können. In den Erwägungsgründen 75 und 85 wird der Kontrollverlust über die personenbezogenen Daten gerade als ein Beispiel für das Vorliegen eines solchen Schadens aufgeführt. Ein derartiger Kontrollverlust ist aus Sicht des Kl. eingetreten, da jedenfalls seine Telefonnummer, Facebook-ID, sein Name und Geschlecht im sog. „Darknet“ auf einer für jedermann abrufbaren Datenbank veröffentlicht wurden. Soweit die Bekl. die Veröffentlichung der Daten im Darknet mit Nichtwissen bestreitet, kann sie damit nicht gehört werden. IÜ tritt der Kontrollverlust– unabhängig von der Veröffentlichung im „Darknet“ – bereits durch den „Scraping“-Vorfall und das damit verbundene Abschöpfen der Daten ein. Unerheblich ist, dass der Name, das Geschlecht und die Facebook-ID nach den Nutzereinstellungen des Kl. öffentlich waren. Denn jedenfalls die Verknüpfung mit seiner Telefonnummer war bis dahin nicht hergestellt. Darüber hinaus sieht Erwägungsgrund 75 vor, dass ein immaterieller Schaden auch dann anzunehmen ist, wenn die Verarbeitung eine große Menge personenbezogener Daten und eine große Anzahl von Personen betrifft. Auch dies ist aufgrund der Tatsache, dass iRd „Scraping“-Vorfall die Daten von Millionen von Facebook-Nutzern veröffentlicht wurden, anzunehmen. Ob eine erhebliche Beeinträchtigung etwa in Form eines schwerwiegenden Persönlichkeitseingriffs vorliegen muss ist umstritten, kann aber im Ergebnis dahinstehen. Zwar geht auch der GA in seinen Schlussanträgen davon aus, dass es den nationalen Gerichten obliegt herauszuarbeiten, wann ein subjektives Unmutsgefühl die Grenze zwischen bloßem nicht ersatzfähigem Ärger und echtem ersatzfähigen immateriellen Schaden überschreitet. Vorliegend handelt es jedoch nicht um einen bloßen Bagatellschaden. Denn durch die Veröffentlichung der personenbezogenen Daten des Kl. im „Darknet“ ist die Weiterverarbeitung durch einen unbegrenzten und unbestimmten Personenkreis, insb. auch für den gezielten Missbrauch etwa in Form von Betrugsanrufen, ermöglicht. Die Verletzung der Informations- und Aufklärungspflichten des Art. 13 Abs. 1 lit. c DS-GVO ist kausal für den bei dem Kl. entstandenen Schaden. Der Verantwortliche haftet lediglich für kausal durch die rechtswidrige Verarbeitung verursachte Schäden. Gem. vorstehender Erwägungen hat die Bekl. den Kl. bereits bei Erhebung seiner Mobilfunknummer nur unzureichend über die Verwendung seiner Mobilfunknummer im Hinblick auf das CIT aufgeklärt, sodass bezogen auf die Mobilfunknummer eine rechtswidrige Verarbeitung vorliegt. Diese ist auch kausal für den beim Kl. entstandenen Schaden, da es durch die Verwendung des CIT zu einem Kontrollverlust auf Seiten des Kl. kam. Auch der Verstoß gegen Art. 32245 Abs. 1 lit. f DS-GVO ist für den eingetretenen Schaden kausal, denn durch die unzureichenden Schutzmaßnahmen ermöglichte bzw. erleichterte die Bekl. ein Ausnutzen des CIT durch Scraping. Dieses hat einen Kontrollverlust über die personenbezogenen Daten zur Folge. Der Schaden beruht zudem kausal auf einem Verstoß gegen Art. 33 und Art 34 DS-GVO. Dabei ist zu beachten, dass bei der Auslegung europarechtlicher Regelungen eine effektive Anwendung des Europarechts zu gewährleisten ist. Eine Mitursächlichkeit des Verstoßes genügt. Zwar ist der geltend gemachte Kontrollverlust bereits durch das „Scraping“ der Daten erstmals eingetreten. Durch die unterlassene Benachrichtigung des Kl. wurde ihm jedoch die Möglichkeit genommen, geeignete Maßnahmen zu ergreifen, um das Risiko des Missbrauchs seiner Daten zu minimieren. Auch die zuständige Datenschutzbehörde konnte mangels rechtzeitiger Meldung keine Schritte zur Risikominimierung und Absicherung der Daten einleiten. Die Kammer hält ein Schmerzensgeld von 350 EUR für angemessen, aber auch ausreichend, um einerseits der Ausgleichs- und Genugtuungsfunktion zu genügen, und andererseits der generalpräventiven Funktion des immateriellen Schadensersatzes hinreichend Rechnung zu tragen. Dabei hat das Gericht von dem ihm gem. § 287 Abs. 1 ZPO eingeräumten Ermessen Gebrauch gemacht. Unter Berücksichtigung des Erwägungsgrundes 146 S. 6 soll die betroffene Person einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten. Zur Bemessung der Höhe des immateriellen Schadensersatzes können die Kriterien des Art. 83 Abs. 2 DS-GVO herangezogen werden. Nach dieser Vorschrift sind für die Ermittlung der Höhe einer Geldbuße u. a. die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung, der Grad des Verschuldens, Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens, frühere einschlägige Verstöße sowie die Kategorien der betroffenen personenbezogenen Daten zu betrachten. Je intimer, finanziell bedrohlicher, potentiell ehrverletzender oder kränkender und persönlich wichtiger die abgeflossenen Daten sind, desto höher muss der immaterielle Schaden ausfallen. Darüber hinaus ist zu berücksichtigen, dass dem Schadensersatzanspruch unter Berücksichtigung der Erwägungsgründe 75 und 85 eine abschreckende Wirkung zukommen und der DS-GVO durch eine empfindliche Anspruchshöhe zu einer effektiven Geltung verhelfen soll. Wenn es zu vielen Fällen von Rechtsverstößen durch den gleichen Verantwortlichen kommt, kann die Abschreckung allerdings auch in der Breite der Schadensersatzpflicht, dh in der Summe aller immateriellen Ersatzansprüche gesehen werden. Wesentlich sind am Ende allerdings die konkreten Umstände des Einzelfalles. Vorliegend hat das Gericht seiner Entscheidung zugrunde gelegt, dass sich die Bekl. mehrere Verstöße gegen die DS-GVO vorwerfen lassen muss, die eine sehr weitgehenden Kontrollverlust der personenbezogenen Daten des Kl. ermöglicht und begünstigt haben. Hinzu kommt, dass der Kl. plausibel und glaubhaft den Erhalt von Spam-Anrufen und Phishing-SMS mit vermögensschädigenden Inhalten geschildert hat. Im Rahmen seiner persönlichen Anhörung hat der Kl. erklärt, dass er derzeit zwei bis drei Nachrichten pro Woche erhalte. Vor dem Scraping-Vorfall habe er zwar auch schon gelegentlich Phishing-Nachrichten erhalten, jedoch habe die Häufigkeit deutlich zugenommen. Eine Reduzierung des klägerseits angegebenen Mindestbetrages war indes gerechtfertigt, da das Gericht iRd persönlichen Anhörung des Kl. keine besondere persönliche Betroffenheit feststellen konnte. So hat der Kl. keine besonderen Maßnahmen ergriffen, um seine Daten zu schützen. Zwar hat der Kl. im Rahmen seiner persönlichen Anhörung erklärt, dass er seine Passwörter geändert und seine Einstellungen auf möglichst privat eingestellt habe, er nutze Facebook jedoch weiterhin sowohl privat als auch im Rahmen seines Gewerbes. Generell wurde bei der Anhörung deutlich, dass der Kl. keine besonders hohe Sorgfalt auf den Schutz seiner privaten Daten zu verwenden scheint. So nutzt er sowohl für den privaten, als auch für den gewerblichen Bereich eine einheitliche Handynummer. Diese ist zudem auf der Internetseite seines Gewerbebetriebes veröffentlicht. Daneben besitzt der Kl. noch immer einen Account bei Instagram. Er ist also in einem weiteren sozialen Netzwerk aktiv, welches gewerbsmäßig Daten seiner Nutzer verarbeitet und verwertet. Der geltend gemachte Anspruch auf Rechtshängigkeitszinsen folgt aus §§ 288291 BGB. Der mit dem Antrag zu 2) geltend gemachte Feststellungsantrag ist auch begründet. Da der Antrag zu 1) begründet ist, ist mit Blick auf die vom Kl. gesetzte innerprozessuale Bedingung auch über den Antrag zu 2) zu entscheiden. Gem. vorstehender Ausführungen hat der Kl. ggü. der Bekl. wegen Verletzung der DS-GVO einen Anspruch auf Schadensersatz nach Art. 82 DS-GVO. Die jeweiligen Gesetzesverletzungen sind – wie bereits erörtert – zudem kausal für den unkontrollierten Datenverlust des Kl.

LG Memmingen Endurt. v. 16.2.2023 – 24 O 913/22

0 EUR Der unbestimmte Klageantrag in 1 der Klage führt nicht zu einer Unzulässigkeit. Vorliegend ist das Stellen eines unbezifferten Klageantrags ausnahmsweise zulässig, da die Bemessung der Höhe des Schmerzensgeldes in das Ermessen des Gerichts gestellt ist. Der Anspruch auf Ersatz des immateriellen Schadens ergibt sich nicht aus Art. 82 DS-GVO. Der Anspruch ergibt sich bereits nicht aus Art. 82 DS-GVO, da der Schutzbereich nicht eröffnet ist. Art. 82 DSG-VO erfasst Verstöße, welche durch eine nicht der Verordnung der DS-GVO entsprechende Verarbeitung (von Daten) entstanden sind, vgl. Art. 82 Abs. 2 DS-GVO. Erforderlich ist daher von vornherein eine Verarbeitung von Daten iSv Art. 4 Ziff. 2 DS-GVO. Gem. Art. 4 Ziff. 2 DS-GVO handelt es sich bei um jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. Soweit die Klageseite der Bekl. Verstöße gegen Informationspflichten vorwirft, kann sich hieraus somit bereits kein Anspruch aus Art. 82 DS-GVO ergeben, da es sich um keinen Verstoß im Hinblick auf die Verarbeitung von Daten handelt. Die von Klageseite vorgebrachten Verstöße gegen Art. 1314 DS-GVO, Art. 34 DS-GVO und Art. 15 DS-GVO betreffen einzig und allein Informationspflichten ggü. den betroffenen Personen. Die Information über die Verarbeitung von personenbezogenen Daten stellt aber keine Verarbeitung von personenbezogenen Daten iSv Art. 4 Ziff. 2 DS-GVO dar, sodass der Klageseite ein entsprechender Schadensersatzanspruch aus etwaigen (nicht vorliegenden) Verstößen nicht zustehen kann. Unabhängig von der Frage, ob der Schutzbereich eröffnet ist, scheitert der geltend gemachte Anspruch jedoch vorliegend an den entsprechenden Pflichtverletzungen der Bekl. Ein Verstoß gegen die Transparenzpflichten aus Art. 5 Abs. 1 lit. a, Art. 1314 DS-GVO fällt der Bekl. nicht zur Last. Es liegt auch kein Verstoß der Bekl. gegen Art. 24 Abs. 132 Abs. 1 DS-GVO vor. Auch ein Verstoß gegen Art. 25 Abs. 2 DS-GVO ist nicht gegeben. Ein Verstoß gegen Art. 33 DS-GVO liegt ebenfalls nicht vor. Auch ein Verstoß gegen Art. 35 DS-GVO ist nicht gegeben. Auch einen Verstoß gegen die Auskunftspflicht gem. Art. 15 DS-GVO kann die Kammer vorliegend nicht erkennen. Die betroffene Person hat gem. Art. 15 Abs. 1 lit. a und Abs. 1 lit. c DS-GVO das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob er betreffend den Nutzer personenbezogene Daten verarbeitet hat. Ist dies der Fall, so hat der Nutzer ein Recht auf Auskunft über diese personenbezogenen Daten und über die Verarbeitungszwecke (lit. a) und die Empfänger oder Kategorien von Empfängern (lit. c), ggü. denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden insb. bei Empfängern in Drittländern oder bei internationalen Organisationen. Das Schreiben der Bekl. informiert den Kl. insoweit umfassend. Damit ist der Anspruch insoweit erfüllt und erloschen (§ 362 Abs. 1 BGB). Nicht beantwortet wird durch die Bekl. in dem außergerichtlichen Schreiben einzig, welchen Empfängern die Daten des Kl. durch Ausnutzung des Kontakt-Import Tools iSd Art. 15 Abs. 1 lit. c DS-GVO zugänglich gemacht wurden. Das Scraping ist allerdings – wie vorstehend ausgeführt – von außen erfolgt und es nicht erkennbar, wer diese Daten gescrapt hat. Die begehrte Auskunftserteilung ist aufgrund des Vorganges des Scrapings unter Ausnutzung von Daten, die auf „öffentlich“ gestellt sind, unmöglich. Ebenso ist im Rechtssinne unmöglich (und es wird auch nicht näher dargelegt, wie die Bekl. dies mitteilen können soll) zu informieren, wann die Daten gescrapt wurden. Die Bekl. hat dem Kl. im Ergebnis also alle Informationen mitgeteilt, die ihr selbst bzgl. des Scraping-Vorfalls zur Verfügung standen. Weitere Angaben kann sie nicht machen. Die Bekl. ist folglich hierzu auch nicht verpflichtet. Der geltend gemachte Schadensersatzanspruch scheitert darüber hinaus auch daran, dass ein ersatzfähiger Schaden iSv Art. 82 Abs. 1 DS-GVO nicht vorliegt. Der Eintritt des Schadens muss dabei iSd § 287 ZPO als überwiegend wahrscheinlich dargetan werden. Das Gericht verkennt dabei nicht, dass der Schadensbegriff im Lichte des Erwägungsgrundes Ziff. 146 der DS-GVO weit zu verstehen ist, sodass ein genereller Ausschluss von Bagatellschäden im Lichte dieser Erwägungsgründe nicht vertretbar ist. Dennoch muss jedenfalls ein Schaden tatsächlich „erlitten“ worden sein (Erwägungsgrund 146 S. 6), das heißt jedenfalls ersichtlich, spürbar, objektiv nachvollziehbar und von einem gewissen Gewicht sein. Dem Kl. ist es letztlich nicht gelungen, eine solche spürbare Beeinträchtigung unter Berücksichtigung der vorgenannten Umstände konkret darzulegen. Die Klageseite führt als immaterielle Schadenspositionen Ängste, unter denen der leide, die daraus resultierten, dass er einen erheblichen Kontrollverlust über seine Daten erlitten habe und deshalb großem Unwohlsein und Sorgen in Bezug auf einen potentiellen Missbrauch seiner Daten durch Dritte ausgesetzt sei. Zudem sei es seit dem Scraping-Vorfall zu einem Anstieg an offenkundigen Betrugsversuchen in Form von Phishing-Mails und Anrufen gekommen. Gleichzeitig berichtet der Kl. iRd persönlichen Anhörung gem. § 141 ZPO in der mündlichen Verhandlung jedoch, dass er zum einen die Einstellungen nicht geändert hat, da er nicht gewusst haben will, wie dies funktionieren soll sowie, dass er weder auf eine unerwünschte Nachricht hin, Gelder an die vermeintlichen Betrüger bezahlt hat sowie, noch dass er bei der Polizei Anzeige erstattet hat hinsichtlich der Betrugsversuche zu seinen Lasten. Die Darstellung des Kl. lassen die in der Klageschrift geschilderten Ängste bereits unplausibel erscheinen. Selbst bei Unterstellung der geschilderten Umstände als wahr, genügt dies den obigen Anforderungen jedoch nicht. Selbst Personen, die keinen F. Account nutzen und dort nicht ihre Mobilfunknummer hinterlegt haben, erhalten gerichtsbekannt unerwünschte E-­Mails und Nachrichten. Soweit die Klageseite vorbringt, dass nur den Wenigsten eine konkrete Schadendarstellung aufgrund der Reichweite und der Größe des Datenlecks gelingen dürfte und daher schon aufgrund einer bloßen Gefährdung einen Schaden annehmen will, kann sich die Kammer diesen Erwägungen nicht anschließen. Insgesamt erscheint ein Identitätsmissbrauch allein aufgrund einer Telefonnummer eher unwahrscheinlich. Insb. würde der Schadenbegriff so aufgeweicht und ausgedehnt und es würde der konkrete Nachweis einer möglichen Betroffenheit genügen, um eine Haftung zu begründen. Dies käme einer reinen Gefährdungshaftung gleich und widerspricht letztlich auch dem Erwägungsgrund 75. Eine Vorlagepflicht gem. § 267 Abs. 3 AEUV trifft die Kammer hierbei nicht, da sie nicht letztinstanzlich über die Sache entscheidet. Von der Möglichkeit zur Vorlage nach § 267 Abs. 2 AEUV macht die Kammer schon deshalb keinen Gebrauch, weil die Sache darüber hinaus bereits aus anderen Gründen keinen Erfolg hat. Zudem fehlt es an der Kausalität zwischen dem Vorwurf und dem in den Raum gestellten Schaden. Soweit der Kl. behauptet, er erhalte unerwünschte SMS und E-­Mails, so handelt es sich um ein „Phänomen“, das bereits mit der Nutzung des Internets als solcher zusammenhängt. Der Kammer ist bekannt, dass selbst Personen, welche keinen F. Account besitzen unerwünschte Anrufe und Nachrichten erhalten. Insb. sind Spam-E-­Mails mit Werbung oder Hinweis auf eine ausstehende Paketlieferung weit verbreitet. Auch Nachrichten, in welchen sich die Unbekannten Täter als Kind in Not mit neuer Handynummer ausgeben, sind üblich und gehen beinahe überall ein. Selbst wenn beim Kl. tatsächlich derartige Anrufe und Nachrichten seit April 2021 zugenommen haben mögen, so kann dies vielerlei Ursachen haben. Es ist völlig unklar und unbekannt, ob und welche Daten der Kl. an anderer Stelle freigegeben hat (zB im Rahmen weiter verbreiteter Phishing E-­Mails) und ob ein unberechtigter Datenzugriff an anderer Stelle zu dem vom Kl. behaupteten vermehrten unerwünschten Nachrichtenaufkommen geführt hat. Ausführungen zur Höhe des geltend gemachten Schmerzensgeld können daher aufgrund der vorgenannten Umstände unterbleiben. Mangels Anspruch in der Hauptsache besteht auch kein Anspruch auf Zahlung außergerichtlicher Rechtsanwaltskosten gem. § 280 Abs. 1 BGB oder aus Art. 82 Abs. 1 DS-GVO.

LG Verden Urt. v. 16.2.2023 – 2 O 51/22 = ZD 2023, 640 (Ls.)

0 EUR Der Kl. hat sein Feststellungsinteresse gem. § 256 Abs. 2 ZPO hinreichend dargelegt. Dem Kl. steht kein Anspruch auf Ersatz immateriellen Schadens aus Art. 82 Abs. 1 DS-GVO zu. Es fehlt bereits an der Anwendbarkeit dieser Norm. Soweit der Kl. der Bekl. mehrere Verstöße vorwirft, etwa ungenügende Information und Aufklärung über die Verarbeitung der ihn betreffenden Daten durch ungenügende Aufklärung zur Verwendung und Geheimhaltung der Telefonnummer (Art. 5 Abs. 1 lit. a DS-GVO), unmittelbaren Verstoß gegen Art. 1314 DS-GVO, die Informationspflichten enthielten, die seitens der Bekl. nicht eingehalten worden seien, ungenügender Schutz der personenbezogenen Daten der Nutzer von F. (Art. 2432 DS-GVO), unvollständig Auskunftserteilung nach Art. 15 DS-GVO, da nicht mitgeteilt worden sei, welchen Empfängern die Daten des Kl. durch Ausnutzung des Kontakt-Import Tools zugänglich gemacht worden seien (Art. 3334 DS-GVO), sind solche Verstöße schon nicht vom Schutzzweck des Art. 82 DS-GVO umfasst. Der sachliche Anwendungsbereich des Art. 82 DS-GVO ist zunächst bezogen auf die Geltendmachung behaupteter verspäteter Auskunftsansprüche gem. Art. 15 DS-GVO und Art. 34 DS-GVO nicht eröffnet. Denn Art. 82 Abs. 1 DS-GVO legt fest, dass jeder Person, der wegen eines Verstoßes gegen die DS-GVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragverarbeiter hat. Art. 82 Abs. 2 DS-GVO regelt den anspruchsbegründenden Sachverhalt. Gem. Art. 82 Abs. 2 S. 1 DS-GVO haftet danach jeder an einer Verarbeitung beteiligte Verantwortliche für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. Gem. Art. 2 DS-GVO umfasst der sachliche Anwendungsbereich die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Anknüpfungspunkt für eine Haftung ist also eine der Verordnung nicht entsprechende Verarbeitung iSd Art. 4 Ziff. 2 DS-GVO. Dies steht im Einklang mit Erwägungsgrund 146, wonach der Verantwortliche oder der Auftragsverarbeiter Schäden, die einer Person aufgrund einer Verarbeitung entstehen, die mit der DS-GVO nicht im Einklang stehen, ersetzen sollte. Gem. Art. 4 Ziff. 1 DS-GVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insb. mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann. Die in jedem Fall veröffentlichten Informationen des Kl. umfassen den Namen, die Nutzer-ID sowie das Geschlecht, ohne die die Nutzung der Plattform der Bekl. nicht möglich ist, worauf direkt bei der Anmeldung hingewiesen wird. Damit ist es möglich, den Kl. zu identifizieren. Es handelt sich mithin um personenbezogene Daten. Die übrigen Daten wie Telefonnummer und E-­Mail-Adresse sind ebenfalls personenbezogen, aber nicht in jedem Fall öffentlich, worauf später noch näher einzugehen ist. Gem. Art. 4 Ziff. 2 DS-GVO ist Verarbeitung jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, durch den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. Die behauptete Verletzung von bloßen Benachrichtigungspflichten bzw. Informationsrechte ist hingegen nicht erfasst. Der Schutzbereich des Art. 82 DS-GVO umfasst ebenso wenig Verstöße gegen Art. 34 DS-GVO. Schließlich lässt sich auch von vornherein aus Art. 24 DS-GVO kein subjektives Recht herleiten, selbiges gilt für Art. 25 DS-GVO. Daher kann dahinstehen, ob Verstöße etwa gegen Art. 13, 14 und 34 durch die Bekl. erfolgten, da auch sie nicht unter den Schutzbereich des Art. 82 DS-GVO fallen, weil auch sie „lediglich“ Informationspflichten über die Verarbeitung enthalten, nicht aber die Verarbeitung als solche zum Gegenstand haben. Zudem fehlt es an entsprechenden Pflichtverstößen der Bekl. gegen Normen der DS-GVO. Es ist kein Verstoß gegen Art. 5 Abs. 1 DS-GVO feststellbar. Es liegt auch kein Verstoß nach Art. 32 DS-GVO vor. Die Bekl. hat auch nicht gegen das in Art. 2425 Abs. 2 DS-GVO verankerte Prinzip „Privacy by default“ verstoßen. Es liegt ferner kein Verstoß gegen Art. 35 DS-GVO vor. Auch hat die Bekl. nicht gegen Art. 15 DS-GVO verstoßen, indem sie dem Kl. keine bzw. unvollständige Auskünfte erteilt hat. Der Anspruch auf Auskunftserteilung ergibt sich aus Art. 15 Abs. 1 lit. a, c DS-GVO. Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und über die Verarbeitungszwecke (lit. a) und über die Empfänger oder Kategorien von Empfängern, ggü. denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden insb. bei Empfängern in Drittländern oder bei internationalen Organisationen (lit. c). Das Schreiben der Bekl. informiert den Kl. insoweit umfassend. Damit ist der Anspruch insoweit erfüllt und erloschen (§ 362 Abs. 1 BGB). Schließlich ist auch ein Verstoß gegen Art. 6 Abs. 113 Abs. 1 DS-GVO nicht feststellbar. Art. 82 Abs. 3 DS-GVO hilft dem Kl. nicht weiter. Die Beweislastumkehr gilt nach dessen eindeutigen Wortlaut nicht für den Schaden, der Eintritt eines solcher wird somit nicht vermutet. Jedenfalls fehlt es an einem ersatzfähigen Schaden des Kl. iSd Art. 82 Abs. 1 DS-GVO. Zwar ist nach Erwägungsgrund 146 S. 3 DS-GVO der Schadensbegriff weit auszulegen, der wirksame Schadensersatz muss auch Abschreckungscharakter haben. Grundvoraussetzung ist jedoch nach Erwägungsgrund 146 DS-GVO, dass der immaterielle Schaden „erlitten“, also tatsächlich entstanden sein muss (und nicht lediglich befürchtet werden darf). Daraus folgt auch, dass ein bloßer Verstoß gegen die DS-GVO bei der Datenverarbeitung für einen Anspruch auf Ersatz immaterieller Schäden nicht ausreicht. Es muss eine kausal hierauf beruhende spürbare Beeinträchtigung des Geschädigten hinzutreten, um von einem Schaden sprechen zu können, z. B. eine benennbare und nachweisbare Persönlichkeitsverletzung wie etwa eine „Bloßstellung“. Gemessen hieran ist ein Schaden des Kl. weder substantiiert vorgetragen noch ersichtlich. Der klägerseits behauptete „Kontrollverlust über seine Daten“ stellt keine spürbare Beeinträchtigung iSe Persönlichkeitsverletzung und damit keinen Schaden dar. Dasselbe gilt für einen behaupteten „Zustand großen Unwohlseins und Sorge über möglichen Missbrauch seiner Daten“. Die Behauptung, der Kl. habe seit April 2021 vermehrt dubiose E-­Mails und Nachrichten von unbekannten Adressen und Nummern erhalten, genügt ebenfalls nicht. Ferner gehört derartiges in unserer digitalisierten Welt mittlerweile zum allgemeinen Lebensrisiko, insb. dann, wenn man durch Unterhaltung eines F.-Accounts oder durch Teilnahme an anderen sog. sozialen Netzwerken freigiebig seine personenbezogenen Daten ins Internet stellt. Angebliche Spam-Mails und -nachrichten können damit genauso von Personen stammen, die legal durch Teilnahme an einem sozialen Netzwerk an E-­Mail-Adresse und Telefonnummer des Kl. gelangt sind.

LG Ulm Urt. v. 16.2.2023 – 4 O 86/22

500 EUR Klageantrag zu 1 ist – entgegen der Auffassung der Bekl. – hinreichend bestimmt iSd § 253 Abs. 2 Ziff. 2 ZPO. Dem Kl. steht gegen die Bekl. einen Anspruch auf Schadensersatz iHv 500 EUR aus Art. 82 Abs. 1 DS-GVO zu. Die Bekl. hat als Verantwortliche iSd Art. 4 Ziff. 7 DS-GVO gegen mehrere Vorschriften aus der DS-GVO verstoßen. Die Bekl. ist der ihr nach Art. 13 DS-GVO auferlegten Informations- und Aufklärungspflicht nicht in vollständigem Umfang nachgekommen. Denn es ist nicht feststellbar, dass die Bekl. den Kl. zum Zeitpunkt der Datenerhebung seiner Mobilfunknummer hinreichend über die Zwecke der Verarbeitung seiner Mobilfunknummer aufgeklärt hat. Die Verletzung der nach Art. 13 DS-GVO bestehenden Informations- und Aufklärungspflichten ist auch vom Anwendungsbereich des Schadensersatzanspruches des Art. 82 DS-GVO erfasst. Ein Schadensersatzanspruch nach Art. 82 DS-GVO kann nur dann begründet werden, wenn nach dessen Absatz 2 S. 1 ein Schaden durch eine nicht dieser Verordnung entsprechenden Verarbeitung verursacht wurde. Entsprechend der Legaldefinition des Art. 4 Ziffer 2 DS-GVO entstehen die Informations- und Aufklärungspflichten des Art. 13 DS-GVO bereits mit der Erhebung personenbezogener Daten. Bereits zu diesem Zeitpunkt hat der Verantwortliche ggü. dem Betroffenen umfangreiche Informationspflichten zu erfüllen. Bildet – wie hier – die Einwilligung des Betroffenen nach Art. 6 Abs. 1 lit. a DS-GVO die Grundlage des Datenerhebungs- und somit auch des Datenverarbeitungsvorganges, kann eine solche Einwilligung unter Berücksichtigung der in der DS-GVO vorherrschenden Grundsätze einer fairen und transparenten Verarbeitung von personenbezogenen Daten keinen Bestand haben, wenn dem Betroffenen nicht bereits bei Datenerhebung sämtliche nach Art. 13 DS-GVO erforderlichen Informationen mitgeteilt werden. Zudem hat die Bekl. als Verantwortliche aufgrund unzureichender Sicherheitsmaßnahmen bzgl. der Nutzung des CIT auch gegen Art. 32245 Abs. 1 lit. f DS-GVO verstoßen. Der Verstoß gegen Art. 32 DS-GVO ist auch vom Anwendungsbereich des Schadensersatzanspruches des Art. 82 DS-GVO erfasst. Zudem hat die Bekl. gegen Art. 33 DS-GVO verstoßen. Der Verstoß gegen Art. 33 DS-GVO, der auch dem Schutz des Betroffenen dient, ist auch geeignet eine Schadensersatzpflicht gem. Art. 82 DS-GVO zu begründen. Die Bekl. hat zudem auch gegen Art. 34 DS-GVO verstoßen, da sie den Kl. nicht über den Scraping-Vorfall informiert hat. Da sich aus einem Verstoß gegen Art. 25 DS-GVO wegen seines organisatorischen Charakters ein Anspruch auf Schadensersatz nach Art. 82 DS-GVO nicht begründen lässt, kann dahinstehen, ob zudem noch ein Verstoß der Bekl. gegen Art. 25 DS-GVO vorliegt. Die Bekl. kann sich auch nicht gem. Art. 82 Abs. 3 DS-GVO exkulpieren. Danach wird der Verantwortliche von der Haftung nach Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. Unabhängig davon, ob man den Begriff der Verantwortlichkeit mit Teilen der Rspr. und der Lit. mit dem Begriff des Verschuldens gleichgesetzt oder Art. 82 DS-GVO als Gefährdungshaftungstatbestand versteht, kann die Bekl. sich vorliegend nicht entlasten. Denn der Bekl. gelingt weder der Nachweis fehlenden Verschuldens noch des Vorliegens ganz ungewöhnlicher Kausalverläufe, eines Falles höherer Gewalt oder weit überwiegenden eigenen Fehlverhaltens des Kl. Die Bekl. kann nicht nachweisen, dass sie kein Verschulden trifft. Das wäre nämlich nur dann der Fall, wenn sie sämtliche Sorgfaltsanforderungen erfüllt hätte und ihr nicht die geringste Fahrlässigkeit vorzuwerfen wäre. Hält der Anspruchsgegner etwa sämtliche erforderlichen Sicherheitsmaßnahmen (Art. 32 DS-GVO) ein und kommt es dennoch zu einem unbefugten Datenzugriff, fehlt es an einem Verschulden. War der Angriffsweg dagegen bekannt oder auch nur erkennbar, ist der Entlastungsbeweis nicht geführt. Da vorliegend die nach Art. 32 DS-GVO erforderlichen Sicherheitsmaßnahmen von der Bekl. nicht eingehalten wurden, kann die Bekl. nicht nachweisen, dass sie kein Verschulden trifft. Dem Kl. ist auch ein kausaler immaterieller Schaden iSd Art. 82 DS-GVO entstanden. Die gem. den vorstehenden Ausführungen festgestellten Gesetzesverletzungen sind auch kausal für den beim Kl. entstandenen Schaden. Die Verletzung der Informations- und Aufklärungspflichten des Art. 13 Abs. 1 lit. c DS-GVO ist kausal für den bei dem Kl. entstandenen Schaden. Gem. vorstehender Erwägungen hat die Bekl. den Kl. bereits bei Erhebung seiner Mobilfunknummer nur unzureichend über die Verwendung seiner Mobilfunknummer im Hinblick auf das CIT aufgeklärt, sodass bezogen auf die Mobilfunknummer eine rechtswidrige Verarbeitung vorliegt. Diese ist auch kausal für den beim Kl. entstandenen Schaden, da es durch die Verwendung des CIT zu einem Kontrollverlust auf Seiten des Kl. kam. Auch der Verstoß gegen Art. 32245 Abs. 1 lit. f DS-GVO ist für den eingetretenen Schaden kausal, denn durch die unzureichenden Schutzmaßnahmen ermöglichte bzw. erleichterte der Bekl. ein Ausnutzen des CIT durch „Scraping“. Dieses hat einen Kontrollverlust über die personenbezogenen Daten zur Folge. Der Schaden beruht zudem kausal auf einem Verstoß gegen Art. 33 und Art. 34 DS-GVO. Zwar ist der geltend gemachte Kontrollverlust bereits durch das „Scraping“ der Daten erstmals eingetreten. Durch die unterlassene Benachrichtigung des Kl. wurde ihm jedoch die Möglichkeit genommen, geeignete Maßnahmen zu ergreifen, um das Risiko des Missbrauchs seiner Daten zu minimieren. Auch die zuständige Datenschutzbehörde konnte mangels rechtzeitiger Meldung keine Schritte zur Risikominimierung und Absicherung der Daten einleiten. Auch ein Schaden ist gegeben. Zwar genügt ein bloßer Datenschutzverstoß als solcher nicht für das Entstehen des Schadensersatzanspruches. Der Begriff des Schadens ist nach dem Erwägungsgrund 146 S. 3 im Lichte der Rspr. des EuGH allerdings weit und auf eine Art und Weise auszulegen, die den Zielen der Verordnung in vollem Umfang entspricht. Die Ziele der DS-GVO bestehen dabei u. a. darin, den Risiken für die Rechte und Freiheit natürlicher Personen zu begegnen, die – mit unterschiedlicher Eintrittswahrscheinlichkeit und Schwere – aus einer Verarbeitung personenbezogener Daten hervorgehen und zu einem immateriellen Schaden führen können. In den Erwägungsgründen 75 und 85 wird der Kontrollverlust über die personenbezogenen Daten als ein Beispiel für das Vorliegen eines solchen Schadens aufgeführt. Ein derartiger Kontrollverlust ist aus Sicht des Kl. eingetreten, da jedenfalls seine Telefonnummer, Nutzer-ID, sein Name und Geschlecht gescrapt wurden. Unerheblich ist dabei, dass der Name, das Geschlecht und die Nutzer-ID nach den Nutzereinstellungen des Kl. öffentlich waren. Denn jedenfalls die Verknüpfung mit seiner Telefonnummer war bis dahin nicht hergestellt. Dabei handelt es sich vorliegend auch nicht um einen bloßen Bagatellschaden. Denn durch das Scrapen der klägerischen Daten ist grds. die Weiterverarbeitung durch einen unbegrenzten und unbestimmten Personenkreis, insb. auch für den gezielten Missbrauch etwa in Form von Betrugsanrufen, ermöglicht. Dabei hält die erkennende Einzelrichterin im vorliegenden Einzelfall ein Schmerzensgeld iHv 500 EUR angemessen, aber auch ausreichend, um einerseits der Ausgleichs- und Genugtuungsfunktion zu genügen, und andererseits der generalpräventiven Funktion des immateriellen Schadensersatzes hinreichend Rechnung zu tragen. Vorliegend war zu berücksichtigen, dass sich die Bekl. mehrere Verstöße gegen die DS-GVO vorwerfen lassen muss, die einen sehr weitgehenden Kontrollverlust der personenbezogenen Daten des Kl. ermöglicht und begünstigt haben. Da jedoch – auch iRd informatorischen Anhörung – keine besondere persönliche Betroffenheit des Kl. festgestellt werden konnte, sind 500 EUR auch ausreichend. Auch der mit dem Klageantrag zu 2 geltend gemachte Feststellungsantrag ist begründet. Gem. vorstehender Ausführungen hat der Kl. ggü. der Bekl. wegen Verletzung der DS-GVO einen Anspruch auf Schadensersatz nach Art. 82 DS-GVO. Die jeweiligen Gesetzesverletzungen sind – wie bereits erörtert – zudem kausal für den unkontrollierten Datenverlust des Kl. Die vorgerichtlichen Rechtsanwaltskosten sind als Teil des zu ersetzenden Schadens gem. Art. 82 Abs. 1 DS-GVO zu erstatten. Auf Grund der Schwierigkeit der Sach- und Rechtslage war die Hinzuziehung eines Rechtsanwalts zur effektiven Durchsetzung der klägerischen Ansprüche erforderlich und notwendig. Ausgehend von einem Wert des berechtigten Verlangens des Kl. von 3.000 EUR zum Zeitpunkt der außergerichtlichen Tätigkeit ergibt dies Kosten iHv 367,23 EUR (1,3-fache Geschäftsgebühr nebst Pauschale nach Ziff. 7002 VV RVG zzgl. 19 % MwSt.).

LG Detmold Urt. v. 14.2.2023 – 02 O 67/22

0 EUR Dem Kl. steht gegen die Bekl. kein Schmerzensgeldanspruch zu. Ein Anspruch aus Art. 82 Abs. 1 DS-GVO kommt nicht in Betracht. Es liegt kein Verstoß gegen Art. 5 Abs. 1 lit. f DS-GVO vor, da die Bekl. nicht gegen die sie treffende Obliegenheit, personenbezogene Daten vor unbefugter oder unrechtmäßiger Verarbeitung zu schützen, verstoßen hat. Ein Verstoß gegen Art. 2432 DS-GVO liegt gleichermaßen nicht vor. Nach Auffassung der Kammer liegt auch kein Verstoß gegen Art. 25 DS-GVO vor. Soweit der Kl. der Bekl. weitere Verstöße gegen die DS-GVO vorwirft, nämlich ungenügende Information und Aufklärung über die Verarbeitung der ihn betreffenden Daten durch ungenügende Aufklärung zur Verwendung und Geheimhaltung der Telefonnummer (Art. 5 Abs. 1 lit. a), unmittelbaren Verstoß gegen Art. 1314 DS-GVO, die konkrete Informationspflichten enthalten, die seitens der Bekl. nicht eingehalten worden seien, unvollständige Auskunftserteilung nach Art. 15 DS-GVO, da nicht mitgeteilt worden sei, welchen Empfängern seine Daten zugänglich gemacht worden seien (Art. 3334 DS-GVO) sind solche Verstöße bereits nicht vom Schutzzweck des Art. 82 DS-GVO umfasst. Art. 82 Abs. 1 DS-GVO erfasst nur solche Pflichtverstöße, die iRe „Verarbeitung“ geschehen, was sich aus dem Wortlaut des Art. 82 Abs. 2 DS-GVO ergibt („durch eine nicht dieser Verordnung entsprechende Verarbeitung“). Art. 5 Abs. 1 lit. a, 131415 DS-GVO begründen Informationspflichten ggü. betroffenen Personen. Auch Art. 3334 DS-GVO begründen eine Pflicht zur Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde (Art. 33 DS-GVO) bzw. die Pflicht zur Benachrichtigung der betroffenen Person (Art. 34 DS-GVO). Die Erteilung von Informationen über die Verarbeitung personenbezogener Daten, die Benachrichtigung über eine Verletzung des Schutzes personenbezogener Daten ggü. Nutzern und die Erteilung einer beantragten Auskunft stellen jedoch keine Verarbeitungen iSv Art. 4 Ziff. 2 DS-GVO dar, sodass sich aus ihrer etwaigen Verletzung kein Anspruch aus Art. 82 Abs. 1 DS-GVO ableiten lässt. IÜ scheitert ein etwaiger Schadensersatzanspruch des Kl. auch am Fehlen eines Schadens iSv Art. 82 Abs. 1 DS-GVO. Anders als der Kl. meint, genügt nicht allein der Verstoß gegen die DS-GVO, um einen Ausgleich / eine Kompensation verlangen zu können. Das widerspricht dem Schadensrecht, unabhängig vom Wortlaut des Art. 82 Abs. 1 DS-GVO. Ein Schadens- und auch Schmerzensgeldanspruch setzt stets einen immateriellen oder materiellen Schaden voraus. Dies lässt sich nach Auffassung der Kammer auch dem Wortlaut des Art. 82 Abs. 1 DS-GVO entnehmen, wonach (1) ein Verstoß gegen diese (DS-GVO) Verordnung nötig ist, der (2) zu einem materiellen oder immateriellen Schaden geführt haben muss. Die – hier nicht feststellbare – Verletzungshandlung muss in jedem Fall zu einer konkreten, nicht nur völlig unbedeutenden oder empfundenen Verletzung von Persönlichkeitsrechen der betroffenen Person geführt haben. Allein der Kontrollverlust des Kl. über seine Daten stellt keinen Schaden dar. Seine Sorge oder Angst um die verwendeten Daten und die Befürchtung, Opfer von Betrugsfällen zu werden, kann zwar nicht gemessen werden, ist hierfür jedoch noch nicht ausreichend. Immerhin darf nicht außer Acht gelassen werden, dass jedenfalls Name, F.-ID und Geschlecht von ihm öffentlich bekanntgegeben wurden und damit bereits nicht mehr unter seiner ausschließlichen Kontrolle standen. Letztlich ist also insoweit überhaupt nicht mehr bekannt geworden als das, was von ihm selbst bereits im Internet veröffentlicht wurde. Dass der Kl. insoweit keine über ein bloßes Unwohlsein gesteigerten Einschränkungen und Sorgen hinnehmen musste, zeigt auch der Umstand, dass er im Rahmen seiner Anhörung erklärt hat, noch immer bei „F.“ angemeldet zu sein. In Bezug auf die bekannt gewordene Telefonnummer mag ein gewisser Kontrollverlust vorliegen. Ob und inwieweit jedoch der Kontrolle über die Telefonnummer überhaupt ein Wert zukommt, mag bezweifelt werden. IÜ reicht ein Schadensersatzanspruch für ein bloßes Unmutsgefühl nach Auffassung der Kammer zu weit. Dass die vom Kl. vorgelegten SMS tatsächlich auf das Bekanntwerden seiner Telefonnummer zurückzuführen sind, ist nicht ersichtlich. Gleiches gilt für die von ihm dargestellten Telefonanrufe. Es ist bekannt, dass unerwünschte E-­Mails und Anrufe auch Personen erhalten, die keinen F.-Account haben und dort ihre Telefonnummer hinterlegt haben.

LG Bonn Urt. v. 10.2.2023 – 3 O 77/22

0 EUR Entgegen der Auffassung der Bekl. ist der Klageantrag zu 1 iSd § 253 Abs. 2 Ziff. 2 ZPO hinreichend bestimmt. Der Kl. hat gegen die Bekl. keinen Anspruch auf Zahlung eines Schmerzensgeldes in der geltend gemachten Höhe von 1.000 EUR. Ein solcher Anspruch ergibt sich insb. nicht aus Art. 82 Abs. 1 DS-GVO. Insoweit bedurfte es keiner Entscheidung darüber, ob der Anwendungsbereich des Art. 82 DS-GVO im gegebenen Fall eröffnet ist und ob eine Pflichtverletzung iSd Art. 82 DS-GVO durch Verstoß gegen die Vorschriften der DS-GVO (insb. Art. 322425 Abs. 2333515 DS-GVO) vorliegt, da es jedenfalls an einem ersatzfähigen Schaden des Kl. fehlt. Gem. Art. 82 Abs. 1 DS-GVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen. Für einen von dem Kl. geltend gemachten immateriellen Schadensersatz in Geld gelten dabei die im Zusammenhang mit § 253 Abs. 2 BGB entwickelten Grundsätze, sodass die Ermittlung des Schadens nach § 287 ZPO dem Gericht obliegt. Der Begriff des Schadens ist jedoch autonom, das heißt iRd DS-GVO nach deren Erwägungsgrund 146 S. 3 im Lichte der Rspr. des EuGH weit und auf eine Art und Weise auszulegen, die den Zielen der Verordnung in vollem Umfang entspricht. Schadenersatzforderungen sollen abschrecken und weitere Verstöße unattraktiv machen. Nach Erwägungsgrund 75 DS-GVO kann ein Schaden dann aus einer Verarbeitung personenbezogener Daten resultieren, wenn diese u. a. zu einer Diskriminierung, einem Identitätsdiebstahl oder -betrug, einem finanziellen Verlust, einer Rufschädigung oder anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen führt. Zusätzlich nennt Erwägungsgrund 85 DS-GVO daneben den Verlust der Kontrolle über personenbezogene Daten. Im Lichte dieser Erwägungen ist die Pflicht aus Art. 82 Abs. 1 DS-GVO zur Erstattung immaterieller Schäden entgegen § 8 Abs. 2 BDSG a. F. nicht nur auf schwere Verletzungen des Persönlichkeitsrechts des Betroffenen beschränkt. Gleichzeitig ist auch ein genereller Ausschluss von Bagatellschäden nicht vertretbar, da die beabsichtigte abschreckende Wirkung für den Anspruchsverpflichteten nur durch empfindliche Schmerzensgelder erreicht werden kann. Ein bloßer Datenschutzverstoß als solcher genügt für das Entstehen eines Schadensersatzanspruchs jedoch nicht, sondern es bedarf darüber hinaus der Darlegung und des Nachweises eines konkreten (auch: immateriellen) Schadens. Für das Erfordernis, neben einem Verstoß gegen die Regelungen der DS-GVO den Eintritt eines konkreten Schadens nachzuweisen, spricht dabei zunächst bereits der Wortlaut von Art. 82 Abs. 1 DS-GVO, der über den Verstoß hinaus ausdrücklich die Entstehung eines Schadens („…Schaden entstanden ist“) voraussetzt. Außerdem sieht Erwägungsgrund 146 S. 6 DS-GVO vor, dass die Betroffenen einen vollständigen und wirksamen Schadensersatz für den „erlittenen“ Schaden erhalten, woraus ebenfalls folgt, dass dem Betroffenen ein spürbarer Nachteil entstanden und eine objektiv nachvollziehbare, mit gewissem Gewicht erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen eingetreten sein muss. Würde man demgegenüber jedes Unwohlsein und jede Sorge unter den Schadensbegriff fassen, so würde dieser überdehnt und eine ausufernde Haftung begründet. Für einen Bagatellverstoß ohne ernsthafte Beeinträchtigung oder für eine bloß individuell empfundene Unannehmlichkeit ist daher ein Schmerzensgeld nicht zu gewähren. Diese Handhabung läuft entgegen der Auffassung des Kl. auch der Präventionsfunktion des Art. 82 DS-GVO und der hierfür erforderlichen Abschreckungswirkung nicht zuwider, da eine Sanktionierung entsprechender Datenschutzrechtsverstöße weiterhin im Wege des Art. 83 DS-GVO möglich bleibt. Auf dieser Grundlage konnte das Gericht eine erforderliche spürbare Beeinträchtigung von persönlichen Belangen des Kl., die zudem auf den streitgegenständlichen Scraping-Vorfall zurückzuführen sein müsste, nicht erkennen. Der Kl. trägt lediglich vor, er habe einen erheblichen Kontrollverlust über seine Daten erlitten und leide unter großem Unwohlsein und großer Sorge vor einem möglichen Missbrauch seiner Daten. Dies manifestierte sich u. a. in einem verstärkten Misstrauen ggü. E-­Mails und Anrufen von unbekannten Nummern und Adressen. Der Kl. erhalte unregelmäßig Nachrichten per SMS und per E-­Mail, die offensichtliche Betrugsversuche und potenzielle Virenlinks enthalten würden. Dabei würden u. a. bekannte Plattformen oder Zahlungsdienstleister impersoniert und durch Angabe der entwendeten Daten versucht, ein gesteigertes Vertrauen zu erwecken. Besonders hervorzuheben sei, dass der Kl. regelmäßig E-­Mails seitens der Bekl. erhalte, aus welchen offensichtlich hervorgehe, dass Dritte versuchen das F.-Passwort des Kl. zurückzusetzten bzw. sich im Account des Kl. anzumelden. Vor diesem Hintergrund habe sich der Kl. mit dem Datenleak und der Herkunft der Daten auseinandersetzen müssen. Dass die benannten Daten in Kombination sogar im Darknet gehandelt würden, vergrößere die Ängste und den Stress des Kl. Dies führe bei ihm zu dem Gefühl des Kontrollverlusts, des Beobachtetwerdens und der Hilflosigkeit. Er habe auch zusätzlich Zeit und Mühe aufgewendet, um sich vor drohendem (weiteren) Missbrauch zu schützen. Hierzu ist zunächst anzumerken, dass die klägerischen Ausführungen gerichtsbekannt mit teils identischem Wortlaut und Inhalt in einer Vielzahl weiterer Verfahren u. a. auch vor der zuständigen Kammer vorgetragen werden, weswegen bereits fraglich erscheint, inwieweit Sie tatsächlich für den hiesigen Kl. Geltung beanspruchen. Soweit dieser im Anschluss an seinen schriftsätzlichen Vortrag in seiner persönlichen Anhörung vor der Kammer erklärt hat, er bekomme „vermehrt“ SMS von dubiosen Absendern, in denen es darum gehe, dass eine Sendung verschickt worden sei und er dies anhand eines Links bestätigen soll, hat er auf das Bestreiten der Bekl. weiteren Beweis nicht angetreten. Insb. befinden sich Screenshots oder eine anderweitige Dokumentation solcher Nachrichten nicht bei der Akte. Ungeachtet dessen lässt sich nicht im Ansatz verifizieren, ob die von dem Kl. behaupteten Nachrichten ganz oder zT im Zusammenhang mit dem streitgegenständlichen Scraping-Vorfall verschickt wurden. Gegen einen solchen Zusammenhang spricht vielmehr, dass ein Scraping von Daten auf der Plattform der Bekl. für den Versand solcher SMS soweit ersichtlich überhaupt nicht notwendig war, da die Telefonnummer des Kl. iRd Scraping unstreitig nicht „abgegriffen“, sondern vorab künstlich erzeugt wurde, um in der Folge weitere Daten mit dieser Nummer zu verknüpfen. Die von dem Kl. geschilderten betrügerischen Anfragen hätten demgegenüber, ohne dass es dazu weiterer Daten bedurft hätte, per SMS an die erzeugten Telefonnummern versandt werden können. Dementsprechend ist gerichtsbekannt, dass auch Personen, die entweder niemals bei F. angemeldet waren oder dort jedenfalls zu keinem Zeitpunkt ihre Mobilfunknummer hinterlegt hatten, solche oder ähnliche Kontaktanfragen erhalten. Dass die betreffenden Nachrichten zB anhand seines Namens oder seines Wohnortes personalisiert gewesen wären, hat der Kl. nicht vorgetragen. Dessen ungeachtet ist ein geschärftes Bewusstsein beim Erhalt von SMS stets angezeigt. Soweit der Kl. außerdem geschildert hat, er bekomme sehr häufig E-­Mails, dass jemand anhand seiner Telefonnummer sein F.-Konto zurücksetzen möchte, lässt sich den als Anlage K3 vorgelegten Ausdrucken bzw. Screenshots gerade nicht entnehmen, dass die betreffenden Anfragen „anhand seiner Telefonnummer“ gestellt bzw. mit seiner Telefonnummer ausgelöst worden wären. Hierzu ist wiederum gerichtsbekannt, das ein „Zurücksetzen“ des Passworts durch bloße Auswahl der Funktion „Passwort vergessen?“ in der Anmeldemaske zur Plattform der Bekl. ausgelöst werden kann. Um zuordnen zu können, zu welchem Account das Passwort zurücksetzt werden soll muss zusätzlich die dort hinterlegte E-­Mail-Adresse oder Telefonnummer eingegeben werden. In der Folge gilt aber wiederum, dass hierzu – wie bereits ausgeführt – ein vorheriges Scraping nicht notwendig ist, sondern die künstlich generierten Telefonnummern unmittelbar für eine entsprechende Vorgehensweise genutzt werden könnten. Hinzu kommt, worauf die Prozessbevollmächtigte der Bekl. in der mündlichen Verhandlung zutreffend verwiesen hat, dass eine Anfrage zum Zurücksetzen des Passwortes jederzeit auch von dem Kl. selbst oder jeglichem Dritten ausgelöst werden könnte, der die Telefonnummer oder E-­Mail-Adresse des Kl. kennt. Darüber hinaus werden die weiteren in der Anlage K3 mit Blatt 407 bis 410, 412 und 414 bis 416 vorgelegten Anfragen zT – auch insoweit gerichtsbekannt – bereits automatisch generiert, wenn sich Nutzer von einem anhand der IP-Adresse zu identifizierenden unüblichen Ort oder einem anderen internetfähigen Gerät anmelden. Insgesamt stellt sich aber auch dieses Phänomen als allgemeines Lebensrisiko dar und ist eher Beweis dafür, dass die Sicherungsmaßnahmen der Bekl. funktionieren, um einen unbefugten Zugang zu einem F.-Profil auch präventiv zu unterbinden. Der Vortrag des Kl., er habe einen Kontrollverlust erlitten, vermag daher unter Berücksichtigung aller Umstände des Einzelfalls nicht zu überzeugen. Dies gilt vor allem vor dem Hintergrund, dass sämtliche betroffenen Daten des Kl. mit Ausnahme seiner Mobilfunknummer auf der Plattform der Bekl. zu jeder Zeit öffentlich und damit auch jedermann jederzeit zugänglich sind. Sie wurden von dem Kl. selbst in Kenntnis dessen dort eingegeben, sodass es wenig plausibel erscheint, dass eine „weitere Veröffentlichung“ dieser Daten bei dem Kl. zu einem unguten Gefühl geführt haben sollte. Eine maßgebliche Änderung ist überdies auch mit der Verknüpfung zwischen diesen Daten und der Telefonnummer des Kl. nicht verbunden, zumal der Kl. keinerlei Folgen oder Beeinträchtigungen vorgetragen hat, die aus eben dieser Verknüpfung resultieren. Hinzu kommt, dass die Nutzung von Mobiltelefonen im täglichen Leben zwischenzeitlich allgegenwärtig ist, wobei die Inanspruchnahme einer Vielzahl damit verbundener Dienste die Angabe der Mobilfunknummer voraussetzt, die damit nicht (mehr) zu den besonders sensiblen persönlichen Daten gezählt werden kann. Gerade die Telefonnummer kann wechseln und auch ein Identitätsmissbrauch aus dem Bekanntwerden der Telefonnummer erscheint äußerst unwahrscheinlich. Schließlich ist auch die Eingabe der Telefonnummer seitens des Kl. im Ausgangspunkt freiwillig erfolgt. Zudem haben sich die schriftsätzlich formelhaft beschriebenen Ängste und Sorgen sowie das Unwohlsein in der mündlichen Verhandlung nicht bestätigt. Entsprechende Angaben wären aber unter Berücksichtigung des Einzelfalles auch nicht glaubhaft. Der Kl. war bis zum Schluss der mündlichen Verhandlung am 16.12.2022 bei F. angemeldet. Er hat ferner im Rahmen seiner persönlichen Anhörung ausdrücklich erklärt, seine Einstellungen bei F. seit dem sog. Scraping-Vorfall, der bereits im Jahr 2019, also vor beinahe vier Jahren stattfand und vor rund zwei Jahren öffentlich bekannt wurde, nicht geändert zu haben. Konsequenzen hat er mithin nicht gezogen. Er hat sich weder bei F. abgemeldet noch hat er angegeben, seine Mobilfunknummer bzw. auch nur die im Zentrum des Scraping stehende Einstellung zur Suchbarkeit seiner Telefonnummer geändert zu haben. Darüber hinaus hat er bekundet neben F. auch die – gerichtsbekannt ebenfalls von dem M. Konzern betriebene – Social-Media-Plattform Instagram zu nutzen. Schließlich ist nicht ersichtlich, dass der Kl. irgendwelche Komfort- und Zeiteinbußen im Zusammenhang mit dem Scraping-Vorfall erlitten hat. Er hat lediglich geschildert, aus den Medien „auf das Datenleck“ aufmerksam geworden zu sein und sodann ein Formular auf der Internetseite seiner heutigen Prozessbevollmächtigten genutzt zu haben, um zu prüfen, ob die eigene Nummer betroffen sei. Nachdem dies sei der Fall gewesen sei, habe er im Anschluss seine Prozessbevollmächtigten mit der Angelegenheit beauftragt. Mangels Bestehens der Hauptforderung ist die Klage auch hinsichtlich der geltend gemachten Nebenforderungen in Form von vorgerichtlich entstandenen Rechtsanwaltskosten und Zinsen unbegründet.

LG Aachen Urt. v. 10.2.2023 – 8 O 177/22

0 EUR Der Klageantrag zu 1 ist zulässig. Der geltend gemachte Anspruch auf immateriellen Schadensersatz ergibt sich nicht aus Art. 82 Abs. 1 DS-GVO. Zwar ist hier der räumliche und sachliche Anwendungsbereich der DS-GVO bzw. des Art. 82 Abs. 1 DS-GVO eröffnet, jedoch ergibt sich aus dem klägerischen Vorbringen weder ein Verstoß der Bekl. gegen die Vorschriften der DS-GVO noch ein konkreter Schadenseintritt auf klägerischer Seite. Nach Auffassung der Kammer ist – entgegen der Ansicht des LG Essen – auch der sachliche Anwendungsbereich des Art. 82 Abs. 1 DS-GVO eröffnet, auch soweit hier die Verletzung von Informationspflichten geltend gemacht und der Schmerzensgeldanspruch zumindest auch darauf gestützt wird. Aus dem Wortlaut der Vorschrift ergibt sich gerade nicht, dass Art. 82 Abs. 1 DS-GVO durch Art. 82 Abs. 2 DS-GVO konkretisiert und eingeschränkt werden soll, so dass nur Pflichtverletzungen im Zusammenhang mit einer den Schadensersatzanspruch auslösen könnten. Das OLG Köln hat hierzu in seinem Urt. v. 14.7.2022 (I-15 U 137/21) zutreffend wie folgt ausgeführt: „In Art. 82 Abs. 1 DS-GVO ist von einem „Verstoß gegen diese Verordnung“ die Rede und gerade nicht von einer verordnungswidrigen Datenverarbeitung. Die Auffassung des LG, dass diese in Art. 82 Abs. 1 DS-GVO enthaltene Regelung dann durch Art. 82 Abs. 2 DS-GVO konkretisiert – sprich: eingeschränkt – werden sollte, ist weder dem Gesamtkontext noch dem Sinn und Zweck oder aber der Entstehungsgeschichte der Norm mit hinreichender Sicherheit zu entnehmen. Zwar spricht auch Erwägungsgrund 146 davon, dass Schäden ersetzt werden sollen, die „einer Person aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht“. Allerdings ist der Begriff der Verarbeitung in Art. 4 Ziff. 2 DS-GVO weit gefasst und umfasst zB auch die „Offenlegung durch Übermittlung“, worunter letztlich auch die hier streitgegenständliche Auskunft zu fassen ist. Daneben ergibt sich aus Erwägungsgrund 60, dass die Grundsätze einer fairen und transparenten Verarbeitung es erforderlich machen, dass die betroffene Person über die Existenz des Verarbeitungsvorgangs und seine Zwecke unterrichtet wird. Dafür wird ihr (vgl. insoweit Erwägungsgrund 63 und 75) ein entsprechendes Auskunftsrecht („problemlos und in angemessenen Abständen“) zugebilligt, um sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können. Wenn aber in dieser Hinsicht der Schutz des Betroffenen gerade durch Auskunfts- und Informationsrechte gestärkt und damit für Fairness und Transparenz beim Verarbeitungsvorgang gesorgt werden soll, spricht dies entscheidend dafür, die Ersatzpflicht nach Art. 82 Abs. 1 DS-GVO auf jeden Verstoß gegen Regelungen der Verordnung anzuwenden.“ Diesen Erwägungen schließt sich die Kammer vollumfänglich an. Auf der Grundlage des klägerischen Vorbringens bzw. des unstreitigen Sachverhalts ist jedoch ein Verstoß der Bekl. gegen die DS-GVO nicht festzustellen. Ein Verstoß gegen Art. 5 Abs. 1 lit. a DS-GVO liegt nicht vor. Es liegt ferner kein Verstoß gegen Art. 32 DS-GVO bzw. Art. 5 Abs. 1 lit. f vor. Die Bekl. hat auch nicht gegen das in Art. 2425 Abs. 2 DS-GVO verankerte Prinzip „Privacy by default“ verstoßen. Die Bekl. hat auch nicht eine etwaige Pflicht gem. Art. 33 DS-GVO verletzt, der zuständigen Aufsichtsbehörde einen Datenschutzverstoß zu melden. Schließich hat die Bekl. auch nicht gegen Art. 15 DS-GVO verstoßen, indem sie der Klagepartei keine bzw. unvollständige Auskünfte erteilt hätte. Unabhängig davon, ob hier – von der Kammer verneint – überhaupt ein Verstoß gegen Vorschriften der DS-GVO vorliegt, scheitert ein Anspruch aus Art. 82 Abs. 1 DS-GVO aber jedenfalls daran, dass hier kein restitutionsfähiger (immaterieller) Schaden vorliegt. Für den – hier geltend gemachten – immateriellen Schadensersatz gelten dabei die iRv § 253 BGB entwickelten Grundsätze; die Ermittlung obliegt dem Gericht nach § 287 ZPO. Es können für die Bemessung die Kriterien des Art. 83 Abs. 2 DS-GVO herangezogen werden, zB die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie die betroffenen Kategorien personenbezogener Daten. Zu berücksichtigen ist auch, dass die beabsichtigte abschreckende Wirkung nur durch für den Anspruchsverpflichtenden empfindliche Schmerzensgelder erreicht wird, insb. wenn eine Kommerzialisierung fehlt. Ein genereller Ausschluss von Bagatellfällen ist damit nicht zu vereinbaren. Die Pflicht zur Erstattung immaterieller Schäden ist daher nicht auf schwere Schäden beschränkt. Nach den Erwägungsgründen der europäischen Grundrechtscharta ist der Schadensbegriff weit auszulegen (s. Erwägungsgrund Ziff. 146, auch wenn er in der DS-GVO nicht näher definiert wird). Schadenersatzforderungen sollen abschrecken und weitere Verstöße unattraktiv machen. Darüber hinaus sollen die betroffenen Personen einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden haben. Dabei wird vor allem die abschreckende Wirkung des Schadensersatzes betont, welche insb. durch seine Höhe erzielt werden soll. Nach den Erwägungsgründen Ziff. 75 kann ein Nichtvermögensschaden insb. durch Diskriminierung, Identitätsdiebstahl oder -betrug, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden persönlichen Daten oder gesellschaftliche Nachteile eintreten. Ein genereller Ausschluss von Bagatellschäden ist im Lichte dieser Erwägungsgründe nicht vertretbar. Dies wird auch aus Art. 4 Abs. 3 AEUV abgeleitet, der die Mitgliedsstaaten dazu anhält, Verstöße wirksam mit Sanktionen zu belegen, denn nur so könne man eine effektive Durchsetzbarkeit des EU-Rechts und damit auch der DS-GVO erzielen. Allein eine Verletzung des Datenschutzrechts als solche – die die Kammer nicht festzustellen vermochte – begründet allerdings nicht bereits für sich gesehen einen Schadensersatzanspruch für betroffene Personen. Die Verletzungshandlung muss in jedem Fall auch zu einer konkreten Verletzung von Persönlichkeitsrechten der betroffenen Personen geführt haben. Die Verletzung der Vorschriften der DS-GVO ist nicht mit einem Schadenseintritt gleichzusetzen. Es ist zwar keine schwere Verletzung des Persönlichkeitsrechts erforderlich. Andererseits ist aber auch weiterhin nicht für jede im Grunde nicht spürbare Beeinträchtigung bzw. für jede bloß individuelle empfundene Unannehmlichkeit ein Schmerzensgeld zu gewähren. Vielmehr muss dem Betroffenen ein spürbarer Nachteil entstanden sein und es muss um eine objektiv nachvollziehbare, tatsächlich erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen gehen. In den Erwägungsgründen 75 und 85 werden einige mögliche Schäden aufgezählt, darunter Identitätsdiebstahl, finanzielle Verluste, Rufschädigung, aber auch der Verlust der Kontrolle über die eigenen Daten sowie die Erstellung unzulässiger Persönlichkeitsprofile. Zudem nennt Erwägungsgrund 75 auch die bloße Verarbeitung einer großen Menge personenbezogener Daten einer großen Anzahl von Personen. Der Schaden ist zwar weit zu verstehen, er muss jedoch auch wirklich „erlitten“ (Erwägungsgrund 146), das heißt „spürbar“, objektiv nachvollziehbar und tatsächlich eingetreten sein, um bloß abstrakte, nicht wirklich eingetretene Beeinträchtigungen auszuschließen. Gemessen an diesen Grundsätzen hat die Klagepartei schon keine spürbare Beeinträchtigung – hervorgerufen durch Datenverlust – von persönlichen Belangen dargelegt, für die überhaupt Anhaltspunkte bestehen, dass sie kausal auf den hier streitgegenständlichen Scraping-Vorfall zurückzuführen sein könnte. Die Klagepartei trägt vor, einen erheblichen Kontrollverlust über ihre Daten erlitten und Sorge vor Missbrauch ihrer Daten zu haben. Seit dem Scraping-Vorfall 2019 und Veröffentlichung im April 2021 sei es zu einem Anstieg von unerwünschten Anrufen, SMS und E-­Mails gekommen. Dass die Klagepartei angeblich unter einer Furcht vor einem Kontrollverlust leidet, genügt indes nicht um einen Schaden iSd DS-GVO zu bejahen. Die Klagepartei spricht lediglich allgemein von unerwünschten bzw. dem unerwünschten erhöhten Anfall von E-­Mails, SMS und Anrufen. Unerwünschte E-­Mails und Anrufe erhalten gerichtsbekannt aber auch Personen, die keinen Facebook-Account haben und dort ihre Telefonnummer deshalb nicht hinterlegt haben. Außerdem fällt in diesem Zusammenhang auf, dass es sich offensichtlich um eine standardisierte Klageschrift handelt, die für eine Vielzahl von betroffenen Nutzern eingereicht wird. So ist zB vorgetragen, dass sich die hiesige Klagepartei aufgrund des Vorfalles mit betrügerischen E-­Mails auseinandersetzen müsse, obwohl die E-­Mail-Adresse – nach dem Vortrag der Kl. – gar nicht „gescrapt“ worden ist; sprich ihre E-­Mail-Adresse durch den Vorfall überhaupt nicht öffentlich verbreitet worden ist. Ferner kann die Kammer aber auch unabhängig von dieser Überlegung nicht mit hinreichender Wahrscheinlichkeit davonausgehen, dass die Klagepartei unter den in der Klageschrift beschriebenen Ängsten und Sorgen tatsächlich leidet. Dagegen spricht bereits der Umstand, dass es sich bei den „gescrapten“ Daten der Klagepartei mit – Ausnahme der Mobilfunknummer – um Daten handelt, die nach den Nutzungsbedingungen von Facebook immer (!) öffentlich sind. Es ist diesen Daten gerade immanent, dass sie jedem und jederzeit zugänglich sind. Auf diesen Umstand weist die Bekl. ihre Nutzer auch ausdrücklich hin, sodass es für die Kammer nicht nachvollziehbar ist, weshalb eine „weitere Veröffentlichung“ dieser Daten, bei der Klagepartei zu einem unguten Gefühl geführt haben sollte. Dieses ungute Gefühl hätte dann unmittelbar nach Registrierung auf Facebook schon gleichermaßen bestehen müssen und hat nichts mit dem hier streitgegenständlichen Scraping-Vorfall zu tun. Denn die betreffenden Daten waren schon vorher öffentliche Daten. Deshalb ergeben sich für die Kammer erhebliche Zweifel an dem in der Klageschrift vorgetragenem Gemütszustand der Klagepartei und dem Vortrag, dass dieser durch das Scraping hervorgerufen worden sein soll. Zu bedenken ist hier auch der Umstand, dass die Eingabe der Mobilfunknummer freiwillig erfolgte oder jedenfalls die Nummer freiwillig auf Facebook belassen wurde. Dass die Klagepartei diese gleichwohl trotzdem angab und trotz entsprechend verständlich Information in den Suchbarkeitseinstellungen nicht sperrte, spricht eher dafür, dass sie kein besonderes Interesse daran hatte, die Möglichkeit einer Verbreitung ihrer Mobilfunknummer zu kontrollieren. Hierfür spricht auch, dass die Klagepartei ihre Suchbarkeitseinstellungen auch im Nachgang zu dem hier streitgegenständlichen Scrapingvorfall erst am 3.8.2021 geändert hat. Die bloße Gefährdung oder Befürchtung einer Gefährdung ist für die Annahme eines Schadens iSd DS-GVO nicht ausreichend, auch nicht im Hinblick auf das Urteil des LG München v. 9.12.2021. Denn diese Rspr. ist nicht ohne Weiteres auf die vorliegende Konstellation übertragbar. Das LG München hat Schadensersatz aufgrund einer Gefährdung eines Identitätsmissbrauchs zugesprochen. In dem zu Grunde liegenden Fall wurden Daten veröffentlicht, nämlich „Personalien und Kontaktdaten, Daten zur gesetzlich erforderlichen Identifizierung des Kunden (etwa Ausweisdaten), die iRd Geeignetheitsprüfung erfassten Informationen, Daten bezogen auf Konto und/oder Wertpapierdepot (etwa Referenzkontoverbindung, Berichte, Wertpapierabrechnungen, Rechnungen) sowie steuerliche Daten (etwa Steueridentifikationsnummer)“. Vorliegend geht es um ein öffentliches Profil nebst Telefonnummer und damit deutlich weniger sensible Daten. Eine Telefonnummer kann man wechseln. Dass aus dem Bekanntwerden einer Telefonnummer ein Identitätsmissbrauch entstehen kann, ist eher unwahrscheinlich. Insb. würde der Schadenbegriff so aufgeweicht und ausgedehnt und es würde der konkrete Nachweis der bloßen Möglichkeit einer Betroffenheit genügen, um eine Haftung zu begründen. Dies käme einer reinen Gefährdungshaftung gleich und widerspricht letztlich auch dem Erwägungsgrund 75. Der Erwägungsgrund 75 stützt die Auffassung der Kammer, da aus Risiken für die Rechte und Freiheiten natürlicher Personen physische, materielle oder immaterielle Schaden lediglich entstehen können, aber nicht müssen. Insoweit sind Schäden gerade nicht zwangsweise Folge aus einem Risiko für die Rechte und Freiheiten natürlicher Personen aus einer Verarbeitung personenbezogenen Daten, vielmehr sind solche nur möglich. Der Sinn der Verordnung wird aber nicht gewahrt, indem man jeglichem „Unwohlsein“ eine Schadensposition einräumt. Vielmehr muss zumindest ein ernsthaftes und konkretes Risiko bestehen, dass die Daten missbraucht werden. Dies konnte die Kammer im Lichte des Klägervortrags nicht feststellen. Schließlich hat die Klagepartei auch nicht hinreichend substantiiert dargelegt, inwiefern bei ihr persönlich ein immaterieller Schaden eingetreten sein soll. Lediglich pauschal und nichtssagend wird vorgetragen, die Klagepartei leide unter Sorge vor Missbrauch und Furcht vor Kontrollverlust. Wie sich dies konkret in der Person der Klagepartei äußert und welche Symptome im Einzelnen in welcher Häufigkeit und Intensität auftreten, wird jedoch nicht ausgeführt. Auch im Rahmen seiner persönlichen Anhörung im Termin v. 13.1.2022 konnte der Kl. nicht zur Überzeugung der Kammer darlegen, dass er tatsächlich unter dem angeblichen Kontrollverlust seiner Daten und den schriftsätzlich behaupteten Folgen leidet. Der Kl. hat zwar betont, dass er mit seinen Daten relativ sorgsam umgehe und zur Reduzierung der mit der Zusendung von Spams etc. verbundenen Gefahren mehrere E-­Mail-Adressen habe, die er für unterschiedliche Zwecke einsetze. Dass die Einrichtung mehrerer E-­Mail-Anschriften erst als Folge des streitgegenständlichen Vorfalles erfolgt sei, hat der Kl. allerdings nicht vorgetragen. Der Kl. konnte zudem keinerlei überzeugende Erklärung dafür abgeben, aus welchen Gründen er – obwohl bereits durch seine berufliche Tätigkeit als IT-Systemadministrator für diese Themen sensibilisiert – weder im Zuge der Aktualisierung der Nutzungsbedingungen und der Datenrichtlinie im April 2018 Veranlassung gesehen hat, seine Einstellungen zu überprüfen noch das Bekanntwerden des streitgegenständlichen Vorfalls ihn dazu zeitnah veranlasst hat. Die Einstellung ist vielmehr erst am 3.8.21 geändert worden, nachdem er bereits die Bekl. außergerichtlich in Anspruch hat nehmen lassen. Es bedurfte auch keiner Aussetzung des Verfahrens und Vorlage an den EuGH nach § 148 ZPO mit Blick auf die anstehende Entscheidung des EuGH zur Rs. C-300/21 [= ZD 2023, 446 mAnm Mekat/Ligocki] – Österreichische Post zu der Frage, ob es iRd Art. 82 Abs. 1 DS-GVO eines konkreten, messbaren Schadens bedarf. Nach Auffassung der Kammer hat Art. 82 Abs. 1 DS-GVO zwei eigene, separate Voraussetzungen, nämlich: (1.) einen Verstoß gegen die DS-GVO und (2.) einen tatsächlich eingetretenen materiellen oder immateriellen Schaden. Läge bei jedem DS-GVO-Verstoß automatisch ein immaterieller Schaden vor, wäre der Schaden als Anspruchsvoraussetzung überflüssig. Auf die Frage des konkreten Schadens kommt es hier aber deshalb nicht entscheidungserheblich an, weil die Klage – wie ausgeführt – auch aus anderen Gründen ohne Erfolg bleibt, da schon kein Verstoß gegen die DS-GVO festgestellt werden kann. Da die Kammer außerdem im vorliegenden Falle nicht letztinstanzlich entscheidet, trifft sie keine Vorlagepflicht gem. Art. 267 Abs. 3 AEUV. Allenfalls wäre ihr eine Vorlagemöglichkeit gem. Art. 267 Abs. 2 AEUV eröffnet, zu der sie aus den nachfolgenden Gründen keinen Anlass sieht. Die Vorlage einer Auslegungsfrage an den EuGH ist dann nicht angezeigt, wenn die gerichtliche Anwendung des Gemeinschaftsrechts derart offenkundig ist, dass für einen vernünftigen Zweifel keinerlei Raum bleibt oder wenn es – wie hier und bereits ausgeführt – auf diese Frage nicht alleinentscheidend ankommt, da vorliegend ein Anspruch auch an anderen Voraussetzungen scheitert. Daher war die Kammer auch nach Ausübung pflichtgemäßen Ermessens nicht zur Vorlage verpflichtet. Es kann im Ergebnis dahinstehen, ob neben Art. 82 Abs. 1 DS-GVO auch nationales Recht anwendbar ist, oder das nationale Recht von den europarechtlichen Vorschriften der DS-GVO verdrängt wird. Denn auch bei der Annahme eines Nebeneinanders hat die Klagepartei mangels restitutionsfähigem Schaden keinen Schadensersatzanspruch gegen die Bekl., weder aus § 280 Abs. 1253 Abs. 2 BGB noch aus einer anderen nationalen Schadensersatz gewährenden Anspruchsgrundlage. Auf die obigen Ausführungen wird Bezug genommen.

LG Heilbronn Urt. v. 9.2.2023 – Aß 2 O 125/22 = ZD 2023, 634 (Ls.)

0 EUR Der Zahlungsantrag ist hinreichend bestimmt. Dem Kl. steht kein Anspruch auf Ersatz immateriellen Schadens aus Art. 82 Abs. 1 DS-GVO zu. Hieran scheitern die Klageanträge zu 1 und 2 a) Es fehlt bereits an der Anwendbarkeit dieser Norm. Soweit der Kl. der Bekl. mehrere Verstöße vorwirft, etwa ungenügende Information und Aufklärung über die Verarbeitung der ihn betreffenden Daten durch ungenügende Aufklärung zur Verwendung und Geheimhaltung der Telefonnummer (Art. 5 Abs. 1 lit. a DS-GVO), unmittelbaren Verstoß gegen Art. 1314 DS-GVO, die Informationspflichten enthielten, die seitens der Bekl. nicht eingehalten worden seien, ungenügender Schutz der personenbezogenen Daten der Nutzer von F. (Art. 2432 DS-GVO), unvollständig Auskunftserteilung nach Art. 15 DS-GVO, da nicht mitgeteilt worden sei, welchen Empfängern die Daten des Kl. durch Ausnutzung des Kontakt-Import-Tools zugänglich gemacht worden seien (Art. 3334 DS-GVO), sind solche Verstöße schon nicht vom Schutzzweck des Art. 82 DS-GVO umfasst. Der sachliche Anwendungsbereich des Art. 82 DS-GVO ist zunächst bezogen auf die Geltendmachung behaupteter verspäteter Auskunftsansprüche gem. Art. 15 DS-GVO und Art. 34 DS-GVO nicht eröffnet. Denn Art. 82 Abs. 1 DS-GVO legt fest, dass jeder Person, der wegen eines Verstoßes gegen die DS-GVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragverarbeiter hat. Art. 82 Abs. 2 DS-GVO regelt den anspruchsbegründenden Sachverhalt. Gem. Art. 82 Abs. 2 S. 1 DS-GVO haftet danach jeder an einer Verarbeitung beteiligte Verantwortliche für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. Gem. Art. 2 DS-GVO umfasst der sachliche Anwendungsbereich die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Anknüpfungspunkt für eine Haftung ist also eine der Verordnung nicht entsprechende Verarbeitung iSd Art. 4 Ziff. 2 DS-GVO. Dies steht im Einklang mit Erwägungsgrund 146, wonach der Verantwortliche oder der Auftragsverarbeiter Schäden, die einer Person aufgrund einer Verarbeitung entstehen, die mit der DS-GVO nicht im Einklang stehen, ersetzen sollte. Gem. Art. 4 Ziff. 1 DS-GVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insb. mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann. Die in jedem Fall veröffentlichten Informationen des Kl. umfassen den Namen, die Nutzer-ID sowie das Geschlecht, ohne die die Nutzung der Plattform der Bekl. nicht möglich ist, worauf direkt bei der Anmeldung hingewiesen wird. Damit ist es möglich, den Kl. zu identifizieren. Es handelt sich mithin um personenbezogene Daten. Die übrigen Daten wie Telefonnummer und E-­Mail-Adresse sind ebenfalls personenbezogen, aber nicht in jedem Fall öffentlich, worauf später noch näher einzugehen ist. Gem. Art. 4 Ziff. 2 DS-GVO ist Verarbeitung jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, durch den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. Die behauptete Verletzung von bloßen Benachrichtigungspflichten bzw. Informationsrechte ist hingegen nicht erfasst. Der Schutzbereich des Art. 82 DS-GVO umfasst ebenso wenig Verstöße gegen Art. 34 DS-GVO. Schließlich lässt sich auch von vornherein aus Art. 24 DS-GVO kein subjektives Recht herleiten, selbiges gilt für Art. 25 DS-GVO. Daher kann dahinstehen, ob Verstöße etwa gegen Art. 13, 14 und 34 durch die Bekl. erfolgten, da auch sie nicht unter den Schutzbereich des Art. 82 DS-GVO fallen, weil auch sie „lediglich“ Informationspflichten über die Verarbeitung enthalten, nicht aber die Verarbeitung als solche zum Gegenstand haben. Zudem fehlt es an entsprechenden Pflichtverstößen der Bekl. gegen Normen der DS-GVO. Es ist kein Verstoß gegen Art. 5 Abs. 1 DS-GVO feststellbar. Es liegt auch kein Verstoß nach Art. 32 DS-GVO vor. Die Bekl. hat auch nicht gegen das in Art. 2425 Abs. 2 DS-GVO verankerte Prinzip „Privacy by default“ verstoßen. Es liegt ferner kein Verstoß gegen Art. 35 DS-GVO vor. Auch hat die Bekl. nicht gegen Art. 15 DS-GVO verstoßen, indem sie dem Kl. keine bzw. unvollständige Auskünfte erteilt hat. Schließlich ist auch ein Verstoß gegen Art. 6 Abs. 113 Abs. 1 DS-GVO nicht feststellbar. Art. 82 Abs. 3 DS-GVO hilft dem Kl. nicht weiter. Die Beweislastumkehr gilt nach dessen eindeutigen Wortlaut nicht für den Schaden, der Eintritt eines solcher wird somit nicht vermutet. Jedenfalls was die Telefonnummer des Kl. betrifft, ist zudem eine Kausalität des Scraping-Vorfalls für die klägerseits vorgetragenen dubiosen SMS und Spam-E-­Mails nicht festzustellen. Denn aus Anlage B 17 geht hervor, dass der Kl. im Zeitraum des Scraping-Vorfalls in den Einstellungen seines F. Accounts seine Telefonnummer für jedermann („Everyone“) sichtbar gestellt hatte, also nicht lediglich für seine Freunde oder für niemanden („Only me“). Somit konnte in dem genannten Zeitraum bis zur Änderung der Einstellungen am 27.12.2019 jeder, der ebenfalls einen F.-Account unterhielt, die Telefonnummer des Kl. legal und ohne Scraping in Erfahrung bringen. Jedenfalls fehlt es an einem ersatzfähigen Schaden des Kl. iSd Art. 82 Abs. 1 DS-GVO. Zwar ist nach Erwägungsgrund 146 S. 3 DS-GVO der Schadensbegriff weit auszulegen, der wirksame Schadensersatz muss auch Abschreckungscharakter haben. Grundvoraussetzung ist jedoch nach Erwägungsgrund 146 DS-GVO, dass der immaterielle Schaden „erlitten“, also tatsächlich entstanden sein muss (und nicht lediglich befürchtet werden darf). Daraus folgt auch, dass ein bloßer Verstoß gegen die DS-GVO bei der Datenverarbeitung für einen Anspruch auf Ersatz immaterieller Schäden nicht ausreicht. Es muss eine kausal hierauf beruhende spürbare Beeinträchtigung des Geschädigten hinzutreten, um von einem Schaden sprechen zu können, z. B. eine benennbare und nachweisbare Persönlichkeitsverletzung wie etwa eine „Bloßstellung“. Gemessen hieran ist ein Schaden des Kl. weder substantiiert vorgetragen noch ersichtlich. Der klägerseits behauptete „Kontrollverlust über seine Daten“ stellt keine spürbare Beeinträchtigung iSe Persönlichkeitsverletzung und damit keinen Schaden dar. Dasselbe gilt für einen behaupteten „Zustand großen Unwohlseins und Sorge über möglichen Missbrauch seiner Daten“. Die Behauptung, der Kl. habe seit April 2021 vermehrt dubiose E-­Mails und Nachrichten von unbekannten Adressen und Nummern erhalten, genügt ebenfalls nicht. Ferner gehört derartiges in unserer digitalisierten Welt mittlerweile zum allgemeinen Lebensrisiko, insb. dann, wenn man – wie der Kl. – durch Unterhaltung eines F.-Accounts oder durch Teilnahme an anderen sog. sozialen Netzwerken freigiebig seine personenbezogenen Daten ins Internet stellt. Angebliche Spam-Mails und -nachrichten können damit genauso von Personen stammen, die legal durch Teilnahme an einem sozialen Netzwerk an E-­Mail-Adresse und Telefonnummer des Kl. gelangt sind.

LG München I Endurt. v. 9.2.2023 – 5 O 5853/22 = = ZD 2024, 52

0 EUR Der Kl. hat gegen die Bekl. keinen Anspruch auf Zahlung von mindestens 5.100 EUR nebst Zinsen hieraus iHv 5 Prozentpunkten über dem Basiszinssatz seit Rechtshängigkeit. Ein solcher ergibt sich nicht aus Art. 82 Abs. 1 DS-GVO, weitere Anspruchsgrundlagen sind vorliegend nicht ersichtlich. Die Bekl. hat zwar gegen die DS-GVO verstoßen, dem Kl. ist dadurch jedoch kein Schaden entstanden. Die Bekl. ist Verantwortliche iSv Art. 82 Abs. 14 Ziff. 7 DS-GVO, da sie Kundendaten iRd Anmeldeprozesses abfragt und in einem Datenarchiv abspeichert. Die Bekl. hat gegen Art. 32 Abs. 1 DS-GVO verstoßen. Dem Kl. ist jedoch durch den Datenvorfall weder ein materieller noch ein immaterieller Schaden iSd Art. 82 Abs. 1 DS-GVO entstanden. Für den Schadenseintritt ist die Kl. beweisbelastet, die einen konkret erlittenen Schaden iRd Schadensersatzanspruches darzulegen und zu beweisen hat. Der Kl. hat nicht substantiiert vorgetragen, dass er selbst Beeinträchtigungen erlitten habe, die über ein unkonkretes Gefühl des Kontrollverlustes über seine Daten hinausgingen. Insb. gelang es ihm nicht substantiiert vorzutragen, dass es zu einem Missbrauch seiner Daten kam oder dass seine Daten im Darknet angeboten worden seien. Dass andere von dem Datenvorfall betroffene Personen einen Schaden erlitten haben, bspw. durch das Erhalten von Spam-E-­Mails, kann keinen Schaden des Kl. begründen, da es an einem eigenen erlittenen Nachteil fehlt. Entgegen der Auffassung des Kl. kann ein Schaden auch nicht bereits wegen des Verstoßes der Bekl. gegen Art. 32 DS-GVO angenommen werden, mit der Begründung, dass bereits der Verstoß gegen die DS-GVO an sich einen Schaden iSv Art. 82 Abs. 1 DS-GVO begründe. Diese Auffassung ist mit dem Wortlaut des Art. 82 Abs. 1 DS-GVO nicht vereinbar. Nach dem Wortlaut besteht ein Schadensersatzanspruch, wenn einer Person wegen eines Verstoßes gegen die DS-GVO ein materieller oder immaterieller Schaden entstanden ist; das Vorliegen eines Verstoßes gegen die DS-GVO und der daraus entstandene Schaden sind folglich zwei unterschiedliche Tatbestandsmerkmale. Wenn jeder Verstoß gegen die DS-GVO an sich bereits einen Schaden und damit einen Anspruch auf Schadensersatz begründen würde, wäre es überflüssig, dass Art. 82 Abs. 1 DS-GVO das Vorliegen eines Schadens als Voraussetzung für den Schaderisersatzanspruch nennt. Der Schaden ist somit nicht mit der zugrundeliegenden Rechtsgutsverletzung gleichzusetzen. Denn ausdrücklich muss der Schaden „erlitten“ werden, woraus folgt, dass dieser tatsächlich entstanden sein muss und nicht lediglich befürchtet wird. Es bedarf somit des Nachweises eines konkreten (auch immateriellen) Schadens. Zudem würde diese Auffassung Verantwortliche iSd DS-GVO unbillig belasten. Der vorliegende Fall zeigt, dass bei einem Datenleck bei großen Unternehmen eine Vielzahl von Personen – hier 33.200 Kunden – betroffen sein kann. Würde jeder dieser Person bereits wegen eines Verstoßes gegen die DS-GVO ein Schadensersatz in fünfstelliger Höhe zustehen, ohne dass die Betroffenen konkrete Beeinträchtigungen erlitten haben müssen, würde dies für Unternehmen möglicherweise existenzbedrohende Zahlungsverpflichtungen nach sich ziehen, obwohl die Beeinträchtigungen der Rechte ihrer Kunden als eher gering einzustufen sind. Das Vorliegen eines konkreten immateriellen Schadens, wozu auch Ängste, Stress sowie Komfort- und Zeiteinbußen zählen, hat der Kl. nicht dargetan. Erleidet der Kl. in Zukunft materielle Schäden durch den unbefugten Zugriff Dritter auf das Datenarchiv der Bekl., die damit kausal zu dem Verstoß der Bekl. gegen Art. 32 DS-GVO sind, so steht ihm gegen die Bekl. ein Schadensersatzanspruch gem. Art. 82 Abs. 1 DS-GVO zu.

LG Coburg Urt. v. 8.2.2023 – 14 O 224/22= ZD 2023, 308 (Ls.)

0 EUR Dem Kl. steht kein Anspruch auf Ersatz immateriellen Schadens aus Art. 82 Abs. 1 DS-GVO zu. Es fehlt vorliegend bereits an der Anwendbarkeit dieser Norm. Soweit der Kl. der Bekl. mehrere Verstöße vorwirft, etwa ungenügende Information und Aufklärung über die Verarbeitung der ihn betreffenden Daten durch ungenügende Aufklärung zur Verwendung und Geheimhaltung der Telefonnummer (Art. 5 Abs. 1 lit. a DS-GVO), unmittelbaren Verstoß gegen Art. 1314 DS-GVO, die Informationspflichten enthielten, die seitens der Bekl. nicht eingehalten worden seien, ungenügender Schutz der personenbezogenen Daten der Nutzer von F. (Art. 2432 DS-GVO), unvollständig Auskunftserteilung nach Art. 15 DS-GVO, da nicht mitgeteilt worden sei, welchen Empfängern die Daten des Kl. durch Ausnutzung des Kontaktimport-Tools zugänglich gemacht worden seien (Art. 3334 DS-GVO), sind solche Verstöße schon nicht vom Schutzzweck des Art. 82 DS-GVO umfasst. Der sachliche Anwendungsbereich des Art. 82 DS-GVO ist zunächst hinsichtlich der behaupteten, verspäteten Auskunftsansprüche aus Art. 15 DS-GVO und Art. 34 DS-GVO nicht eröffnet. Anknüpfungspunkt für eine Haftung ist eine der Verordnung nicht entsprechende Verarbeitung iSd Art. 4 Ziff. 2 DS-GVO. Dies steht im Einklang mit Erwägungsgrund 146, wonach der Verantwortliche oder der Auftragsverarbeiter Schäden, die einer Person aufgrund einer Verarbeitung entstehen, die mit der DS-GVO nicht im Einklang stehen, ersetzen sollte. Vorliegend sind personenbezogene Daten des Kl. betroffen. Die in jedem Fall veröffentlichten Informationen des Kl. umfassen den Namen, die Nutzer-ID sowie das Geschlecht, ohne die die Nutzung der Plattform der Bekl. nicht möglich ist, worauf direkt bei der Anmeldung hingewiesen wird. Damit ist es möglich, den Kl. zu identifizieren. Es handelt sich mithin um personenbezogene Daten. Die übrigen Daten wie Telefonnummer und E-­Mail-Adresse sind ebenfalls personenbezogen. Diese sind jedoch nicht in jedem Fall öffentlich, worauf später noch näher einzugehen ist. Von Art. 82 DS-GVO ist jedoch nur die Verarbeitung von personenbezogenen Daten umfasst. Die behauptete Verletzung von bloßen Benachrichtigungspflichten bzw. Informationsrechten ist hingegen nicht erfasst. Der Schutzbereich des Art. 82 DS-GVO umfasst ebenso wenig Verstöße gegen Art. 34 DS-GVO. Auch aus Art. 24 und Art. 25 DS-GVO lässt sich von vornherein kein subjektives Recht herleiten. Somit kann dahinstehen, ob die Bekl. überhaupt gegen Art. 13, 14 und 34 verstoßen hat, da sie jedenfalls nicht unter den Schutzbereich des Art. 82 DS-GVO fallen, weil sie „lediglich“ Informationspflichten über die Verarbeitung enthalten, nicht aber die Verarbeitung als solche zum Gegenstand haben. Zudem sind vorliegend keine entsprechende Pflichtverstöße der Bekl. gegen Normen der DS-GVO nachgewiesen, selbst wenn man den Anwendungsbereich des Art. 82 DS-GVO als eröffnet ansehen wollte. Es ist kein Verstoß gegen Art. 5 Abs. 1 DS-GVO feststellbar. Es bedarf auch bei Informationspflichten der Rücksichtname auf den Grundsatz des Art. 5 Abs. 1 DS-GVO, wonach personenbezogene Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden müssen. Dieser Grundsatz der Transparenz überträgt sich in die Informations- und Aufklärungspflicht des Art. 13 DS-GVO. Die Aufklärung über die Zwecke der Verarbeitung muss insb. für den Nutzer klar verständlich und nachvollziehbar sein. Dies ist hier der Fall. Es liegt auch kein Verstoß nach Art. 32 DS-GVO vor. Verstöße gegen das in Art. 2425 Abs. 2 DS-GVO verankerte Prinzip „Privacy by default“ sind ebenfalls nicht feststellbar. Es liegt auch kein Verstoß gegen Art. 35 DS-GVO vor. Auch hat die Bekl. nicht gegen Art. 15 DS-GVO verstoßen, indem sie dem Kl. keine bzw. unvollständige Auskünfte erteilt hat. Schließlich ist auch ein Verstoß gegen Art. 6 Abs. 113 Abs. 1 DS-GVO nicht ersichtlich. Die Bekl. hat den Kl. ausreichend aufgeklärt gem. Art. 13 Abs. 1 DS-GVO, insb. über die Zwecke der Verarbeitung sowie deren Rechtsgrundlage und die etwaigen Empfänger oder Kategorien von Empfängern der personenbezogenen Daten. Der Kl. hat zudem mit der Zustimmung zu den Nutzungsbedingungen und der Datenrichtlinie die Einwilligung zu der Verarbeitung der ihn betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben gem. Art. 6 Abs. 1 S. 1 lit. a DS-GVO. Insb. wurden die Datenlinie sowie die Nutzungsbedingungen in einfach verständlicher Sprache abgefasst und sind einfach zugänglich, wenn auch mehrschichtig. Die Website der Bekl. weist den Nutzer sogar mehrfach darauf hin, dass man einen „Privatsphärecheck“ durchführen kann. Insoweit entspricht das Ersuchen der Einwilligung auch den Voraussetzungen des Art. 7 Abs. 2 DS-GVO. Wie bereits ausgeführt, sind bei Auslegung nach dem objektiven Empfängerhorizont gem. §§ 133157 BGB durchaus bei entsprechender Sorgfalt und Inanspruchnahme von Zeit die mehrschichtigen Hinweise nachvollziehbar. Jedenfalls hinsichtlich der Telefonnummer des Kl. ist zudem eine Kausalität des Scraping-Vorfalls für die klägerseits vorgetragenen dubiosen SMS und Spam-E-­Mails nicht nachgewiesen. Zunächst bleibt festzustellen, dass die Klagepartei die angebliche, von der Bekl. jedoch bestrittene Vielzahl dubioser SMS und Spam-E-­Mails nicht nachgewiesen hat. Denn aus Anlage geht hervor, dass der Kl. im Zeitraum des Scraping-Vorfalls in den Einstellungen seines Facebook Accounts seine Telefonnummer für jedermann („Everyone“) sichtbar gestellt hatte, also nicht lediglich für seine Freunde oder für niemanden („Only me“). Somit konnte in dem genannten Zeitraum jeder, der ebenfalls einen Facebook-Account unterhielt, die Telefonnummer des Kl. legal und ohne Scraping in Erfahrung bringen. Dass die vom Kl. vorgetragenen und vereinzelt bewiesenen Spam-SMS und Spam-Emails kausal auf dem Scraping-Vorfall beruhen, ist damit nicht nachgewiesen. Jedenfalls fehlt es aber an einem ersatzfähigen Schaden des Kl. iSd Art. 82 Abs. 1 DS-GVO. Zwar ist nach Erwägungsgrund 146 S. 3 DS-GVO der Schadensbegriff weit auszulegen; der wirksame Schadensersatz muss auch Abschreckungscharakter haben. Grundvoraussetzung ist jedoch nach Erwägungsgrund 146 DS-GVO, dass der immaterielle Schaden „erlitten“, also tatsächlich entstanden sein muss (und nicht lediglich befürchtet werden darf). Daraus folgt auch, dass ein bloßer Verstoß gegen die DS-GVO bei der Datenverarbeitung für einen Anspruch auf Ersatz immaterieller Schäden nicht ausreicht. Es muss eine kausal hierauf beruhende spürbare Beeinträchtigung des Geschädigten hinzutreten, um von einem Schaden sprechen zu können, zB eine benennbare und nachweisbare Persönlichkeitsverletzung wie etwa eine „Bloßstellung“. Nach diesen Grundsätzen, denen das Gericht folgt, ist ein Schaden des Kl. weder substantiiert vorgetragen noch ersichtlich. Der klägerseits behauptete „Kontrollverlust über seine Daten“ stellt keine spürbare Beeinträchtigung iSe Persönlichkeitsverletzung und damit keinen Schaden dar. Dasselbe gilt für einen behaupteten „Zustand großen Unwohlseins und Sorge über möglichen Missbrauch seiner Daten“. Die Behauptung, der Kl. habe seit April 2021 vermehrt dubiose E-­Mails und Nachrichten von unbekannten Adressen und Nummern erhalten, genügt ebenfalls nicht. Ferner gehört derartiges in der digitalisierten Welt mittlerweile zum allgemeinen Lebensrisiko, insb. dann, wenn man – wie der Kl. – durch Unterhaltung eines Facebook-Accounts oder durch Teilnahme an anderen sog. sozialen Netzwerken wie Instagram seine personenbezogenen Daten ins Internet stellt. Angebliche Spam-E-­Mails und -nachrichten können damit genauso von Personen stammen, die legal durch Teilnahme an einem sozialen Netzwerk an E-­Mail-Adresse und Telefonnummer des Kl. gelangt sind.

LG Mosbach Urt. v. 6.2.2023 – 2 O 113/22= ZD 2023, 308 (Ls.)

0 EUR Der Klageantrag zu 1 ist – entgegen der Ansicht der Bekl. – hinreichend bestimmt iSd § 253 Abs. 2 Ziff. 2 ZPO. Dem Kl. steht kein Anspruch auf Zahlung eines immateriellen Schadensersatzes gem. Art. 82 Abs. 1 DS-GVO zu. Es fehlt bereits an der Anwendbarkeit dieser Norm. Soweit der Kl. der Bekl. mehrere Verstöße vorwirft, etwa ungenügende Information und Aufklärung über die Verarbeitung der ihn betreffenden Daten durch ungenügende Aufklärung zur Verwendung und Geheimhaltung der Telefonnummer (Art. 5 Abs. 1 lit. a DS-GVO), unmittelbaren Verstoß gegen Art. 1314 DS-GVO, die lnformationspflichten enthielten, die seitens der Bekl. nicht eingehalten worden seien, ungenügender Schutz der personenbezogenen Daten der Nutzer von Facebook (Art. 2432 DS-GVO), unvollständige Auskunftserteilung nach Art. 15 DS-GVO, da nicht mitgeteilt worden sei, welchen Empfängern die Daten des Kl. durch Ausnutzung des Contact-Import-Tools zugänglich gemacht worden seien (Art. 3334 DS-GVO), sind solche Verstöße schon nicht vom Schutzzweck des Art. 82 DS-GVO umfasst. Der sachliche Anwendungsbereich des Art. 82 DS-GVO ist zunächst bezogen auf die Geltendmachung behaupteter verspäteter Auskunftsansprüche gem. Art. 15 DS-GVO und Art. 34 DS-GVO nicht eröffnet. Anknüpfungspunkt für eine Haftung ist eine der Verordnung nicht entsprechende Verarbeitung iSd Art. 4 Ziff. 2 DS-GVO. Dies steht im Einklang mit Erwägungsgrund 146, wonach der Verantwortliche oder der Auftragverarbeiter Schäden, die einer Person aufgrund einer Verarbeitung entstehen, die mit der DS-GVO nicht im Einklang stehen, ersetzen sollte. Die behauptete Verletzung von bloßen Benachrichtigungspflichten bzw. Informationsrechten ist hingegen nicht erfasst. Der Schutzbereich des Art. 82 DS-GVO umfasst ebenso wenig Verstöße gegen Art. 34 DS-GVO. Schließlich lässt sich auch von vornherein aus Art. 24 DS-GVO kein subjektives Recht herleiten, selbiges gilt für Art. 25 DS-GVO. Daher kann dahinstehen, ob Verstöße etwa gegen Arttikel 13, 14 und 34 durch die Bekl. erfolgten, da auch sie nicht unter den Schutzbereich des Art. 82 DS-GVO fallen, weil auch sie „lediglich“ lnformationspflichten über die Verarbeitung enthalten, nicht aber die Verarbeitung als solche zum Gegenstand haben. Zudem fehlt es an entsprechenden Pflichtverstößen der Bekl. gegen Normen der DS-GVO. Art. 82 Abs. 3 DS-GVO hilft dem Kl. nicht weiter. Die Beweislastumkehr gilt nach dessen eindeutigen Wortlaut nicht für den Schaden, der Eintritt eines solchen wird somit nicht vermutet. Jedenfalls was die Telefonnummer des Kl. betrifft, ist zudem eine Kausalität des Scrapingvorfalls für die klägerseits vorgetragenen dubiosen SMS und Anrufe nicht festzustellen. Denn aus dem Screenshot auf As. 95 geht hervor, dass der Kl. im Zeitraum des Scrapingvorfalls in den Einstellungen seines Accounts seine Telefonnummer für jedermann (“Everyone“) sichtbar gestellt hatte, also nicht lediglich für seine Freunde oder für niemanden. Somit konnte in dem genannten Zeitraum bis zur Änderung der Einstellungen am 20.7.2021 jeder, der ebenfalls einen Facebook-Account unterhielt, die Telefonnummer des Kl. legal und ohne Scraping in Erfahrung bringen. Jedenfalls fehlt es an einem ersatzfähigen Schaden des Kl. iSd Art. 82 Abs. 1 DS-GVO. Zwar ist nach Erwägungsgrund 146 S. 3 DS-GVO der Schadensbegriff weit auszulegen; der wirksame Schadensersatz muss auch Abschreckungscharakter haben. Grundvoraussetzung ist jedoch nach Erwägungsgrund 146 DS-GVO, dass der immaterielle Schaden „erlitten“, also tatsächlich entstanden sein muss (und nicht lediglich befürchtet werden darf). Daraus folgt auch, dass ein bloßer Verstoß gegen die DS-GVO bei der Datenverarbeitung für einen Anspruch auf Ersatz immaterieller Schäden nicht ausreicht. Es muss eine kausal hierauf beruhende spürbare Beeinträchtigung des Geschädigten hinzutreten, um von einem Schaden sprechen zu können. Gemessen hieran ist ein Schaden des Kl. weder substantiiert vorgetragen noch ersichtlich. Der klägerseits behauptete „Kontrollverlust über seine Daten“ stellt keine spürbare Beeinträchtigung iSe Persönlichkeitsverletzung und damit keinen Schaden dar. Dasselbe gilt für einen behaupteten „Zustand großen Unwohlseins und Sorge über möglichen Missbrauch seiner Daten“. Die Behauptung, der Kl. habe seit April 2021 vermehrt dubiose SMS und Anrufe von unbekannten Nummern erhalten, genügt nicht. Unerwünschte E-­Mails und Anrufe erhalten gerichtsbekannt auch Personen, die keinen Facebook-Account haben und dort ihre Telefonnummer hinterlegt haben. In unserer digitalisierten Welt gehört derartiges mittlerweile zum allgemeinen Lebensrisiko, insb. dann, wenn man – wie der Kl. – durch Unterhaltung eines Facebook- Accounts oder durch Teilnahme an anderen sog. sozialen Netzwerken seine personenbezogenen Daten ins Internet stellt. Angebliche Spam-Nachrichten können damit genauso von Personen stammen, die legal durch Teilnahme an einem sozialen Netzwerk an die Telefonnummer des Kl. gelangt sind.

LG Coburg Urt. v. 6.2.2023 – 2 O 113/22

0 EUR Der Klageantrag zu 1 ist – entgegen der Ansicht der Bekl. – hinreichend bestimmt iSd § 253 Abs. 2 Ziff. 2 ZPO. Dem Kl. steht kein Anspruch auf Zahlung eines immateriellen Schadensersatzes gem. Art. 82 Abs. 1 DS-GVO zu. Es fehlt bereits an der Anwendbarkeit dieser Norm. Soweit der Kl. der Bekl. mehrere Verstöße vorwirft, etwa ungenügende Information und Aufklärung über die Verarbeitung der ihn betreffenden Daten durch ungenügende Aufklärung zur Verwendung und Geheimhaltung der Telefonnummer (Art. 5 Abs. 1 lit. a DS-GVO), unmittelbaren Verstoß gegen Art. 1314 DS-GVO, die Informationspflichten enthielten, die seitens der Bekl. nicht eingehalten worden seien, ungenügender Schutz der personenbezogenen Daten der Nutzer von F. (Art. 2432 DS-GVO), unvollständige Auskunftserteilung nach Art. 15 DS-GVO, da nicht mitgeteilt worden sei, welchen Empfängern die Daten des Kl. durch Ausnutzung des Contact-Import-Tools zugänglich gemacht worden seien (Art. 3334 DS-GVO), sind solche Verstöße schon nicht vom Schutzzweck des Art. 82 DS-GVO umfasst. Der sachliche Anwendungsbereich des Art. 82 DS-GVO ist zunächst bezogen auf die Geltendmachung behaupteter verspäteter Auskunftsansprüche gem. Art. 15 DS-GVO und Art. 34 DS-GVO nicht eröffnet. Anknüpfungspunkt für eine Haftung ist eine der Verordnung nicht entsprechende Verarbeitung iSd Art. 4 Ziff. 2 DS-GVO. Dies steht im Einklang mit Erwägungsgrund 146, wonach der Verantwortliche oder der Auftragverarbeiter Schäden, die einer Person aufgrund einer Verarbeitung entstehen, die mit der DS-GVO nicht im Einklang stehen, ersetzen sollte. Die behauptete Verletzung von bloßen Benachrichtigungspflichten bzw. Informationsrechten ist hingegen nicht erfasst. Der Schutzbereich des Art. 82 DS-GVO umfasst ebenso wenig Verstöße gegen Art. 34 DS-GVO. Schließlich lässt sich auch von vornherein aus Art. 24 DS-GVO kein subjektives Recht herleiten, selbiges gilt für Art. 25 DS-GVO. Daher kann dahinstehen, ob Verstöße etwa gegen Art. 13, 14 und 34 durch die Bekl. erfolgten, da auch sie nicht unter den Schutzbereich des Art. 82 DS-GVO fallen, weil auch sie „lediglich“ Informationspflichten über die Verarbeitung enthalten, nicht aber die Verarbeitung als solche zum Gegenstand haben. Zudem fehlt es an entsprechenden Pflichtverstößen der Bekl. gegen Normen der DS-GVO. Art. 82 Abs. 3 DS-GVO hilft dem Kl. nicht weiter. Die Beweislastumkehr gilt nach dessen eindeutigen Wortlaut nicht für den Schaden, der Eintritt eines solchen wird somit nicht vermutet. Jedenfalls was die Telefonnummer des Kl. betrifft, ist zudem eine Kausalität des Scrapingvorfalls für die klägerseits vorgetragenen dubiosen SMS und Anrufe nicht festzustellen. Denn aus dem Screenshot geht hervor, dass der Kl. im Zeitraum des Scrapingvorfalls in den Einstellungen seines Accounts seine Telefonnummer für jedermann (“Everyone“) sichtbar gestellt hatte, also nicht lediglich für seine Freunde oder für niemanden. Somit konnte in dem genannten Zeitraum bis zur Änderung der Einstellungen am 20.7.2021 jeder, der ebenfalls einen F.-Account unterhielt, die Telefonnummer des Kl. legal und ohne Scraping in Erfahrung bringen. Jedenfalls fehlt es an einem ersatzfähigen Schaden des Kl. iSd Art. 82 Abs. 1 DS-GVO. Zwar ist nach Erwägungsgrund 146 S. 3 DS-GVO der Schadensbegriff weit auszulegen; der wirksame Schadensersatz muss auch Abschreckungscharakter haben. Grundvoraussetzung ist jedoch nach Erwägungsgrund 146 DS-GVO, dass der immaterielle Schaden „erlitten“, also tatsächlich entstanden sein muss (und nicht lediglich befürchtet werden darf). Daraus folgt auch, dass ein bloßer Verstoß gegen die DS-GVO bei der Datenverarbeitung für einen Anspruch auf Ersatz immaterieller Schäden nicht ausreicht. Es muss eine kausal hierauf beruhende spürbare Beeinträchtigung des Geschädigten hinzutreten, um von einem Schaden sprechen zu können. Gemessen hieran ist ein Schaden des Kl. weder substantiiert vorgetragen noch ersichtlich. Der klägerseits behauptete „Kontrollverlust über seine Daten“ stellt keine spürbare Beeinträchtigung iSe Persönlichkeitsverletzung und damit keinen Schaden dar. Dasselbe gilt für einen behaupteten „Zustand großen Unwohlseins und Sorge über möglichen Missbrauch seiner Daten“. Die Behauptung, der Kl. habe seit April 2021 vermehrt dubiose SMS und Anrufe von unbekannten Nummern erhalten, genügt nicht. Unerwünschte E-­Mails und Anrufe erhalten gerichtsbekannt auch Personen, die keinen F.-Account haben und dort ihre Telefonnummer hinterlegt haben. In unserer digitalisierten Welt gehört derartiges mittlerweile zum allgemeinen Lebensrisiko, insb. dann, wenn man – wie der Kl. – durch Unterhaltung eines F.-Accounts oder durch Teilnahme an anderen sog. sozialen Netzwerken seine personenbezogenen Daten ins Internet stellt. Angebliche Spam-Nachrichten können damit genauso von Personen stammen, die legal durch Teilnahme an einem sozialen Netzwerk an die Telefonnummer des Kl. gelangt sind.

LG Bonn Urt. v. 3.2.2023 – 2 O 170/22

0 EUR Entgegen der Auffassung der Bekl. ist der Klageantrag zu 1 hinreichend bestimmt iSd § 253 Abs. 2 Ziff. 2 ZPO. Unabhängig davon, ob der Anwendungsbereich des Art. 82 DS-GVO überhaupt eröffnet ist und ob bereits eine Pflichtverletzung iSd Art. 82 DS-GVO durch Verstoß gegen die Vorschriften der DS-GVO (insb. Art. 322425 Abs. 2333515 DS-GVO) vorliegt, fehlt es jedenfalls an einem ersatzfähigen Schaden des Kl. Für den immateriellen Schadensersatz gelten die im Zusammenhang mit § 253 BGB entwickelten Grundsätze, die Ermittlung obliegt daher dem Gericht nach § 287 ZPO. Für die Bemessung können die Kriterien des Art. 83 Abs. 2 DS-GVO herangezogen werden. Dies umfasst die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung, der Grad des Verschuldens, Maßnahmen zur Minderung des entstandenen Schadens sowie die Kategorien der betroffenen personenbezogenen Daten. Darüber hinaus ist zu berücksichtigen, dass die beabsichtigte abschreckende Wirkung für den Anspruchsverpflichteten nur durch empfindliche Schmerzensgelder erreicht werden kann. Ein genereller Ausschluss von Bagatellfällen ist damit nicht zu vereinbaren. Dies lässt sich auch aus Art. 4 Abs. 3 EUV herleiten, wonach die Mitgliedstaaten Verstöße angemessen sanktionieren sollen. Ferner ist auch nach dem Erwägungsgrund 146 S. 3 DS-GVO der Schaden weit auszulegen. Allerdings reicht ein bloßer Datenschutzverstoß als solcher nicht aus, um einen Schadensersatzanspruch zu begründen. Die Betroffenen sollen nach dem Erwägungsgrund 146 S. 6 DS-GVO einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten. Der Schaden muss daher spürbar, objektiv nachvollziehbar und von gewissem Gewicht sein, um bloße Unannehmlichkeiten oder Bagatellschäden auszuschließen. Verletzung und Schaden sind nicht gleichzusetzen. Zwar ist eine schwere Verletzung des Persönlichkeitsrechts nicht erforderlich, andererseits ist für einen Bagatellverstoß ohne ernsthafte Beeinträchtigung oder für jede bloß individuelle empfundene Unannehmlichkeit ein Schmerzensgeld nicht zu gewähren; vielmehr muss dem Betroffenen ein spürbarer Nachteil entstanden sein und es muss um eine objektiv nachvollziehbar, mit gewissem Gewicht erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen gehen. Als Beispiele nennt der Erwägungsgrund 75 DS-GVO Identitätsdiebstahl oder -betrug, finanziellen Verlust oder Rufschädigung; Erwägungsgrund 85 DS-GVO nennt daneben auch den Verlust der Kontrolle über personenbezogene Daten. Würde man jedes Unwohlsein und jede Sorge unter den Schadensbegriff fassen, so würde der Schadensbegriff überdehnt und eine ausufernde Haftung begründet. Ausschlaggebend ist mithin das ernsthafte Risiko eines Datenmissbrauchs. Dies zugrunde gelegt konnte das Gericht keine spürbare Beeinträchtigung von persönlichen Belangen des Kl. erkennen. Er hat eine solche nicht hinreichend dargelegt. Er trägt lediglich vor, er habe einen erheblichen Kontrollverlust über seine Daten erlitten und leide unter großem Unwohlsein und großer Sorge vor einem möglichen Missbrauch seiner Daten. Er habe mehr Spammails erhalten, dies allerdings zunächst nicht in Kohärenz mit dem hier streitgegenständlichen Vorfall gesetzt. Diesen Zusammenhang habe er erst gesehen, als er über ein Youtube-Video auf den streitgegenständlichen Vorfall aufmerksam geworden sei. Ferner habe er einmal einen Anruf einer älteren Dame erhalten, die er nicht kannte und ihn fragte, warum er sich nicht zurückmeldet habe. Aus diesem Vorfall habe er geschlossen, dass sich am Telefon jemand mit seiner Identität ausgegeben habe. Die Auswirkungen der Ängste, des Stress, der Komfort- und Zeiteinbußen lägen darin, dass sich der Kl. mit dem Datenleak und der Herkunft der Daten habe auseinandersetzen müssen. Dass die benannten Daten in Kombination sogar im Darknet gehandelt würden, vergrößere die Ängste und den Stress des Kl. Dies führe bei ihm zu dem Gefühl des Kontrollverlusts, des Beobachtetwerdens und der Hilflosigkeit. Er habe auch zusätzlich Zeit und Mühe aufgewendet, um sich vor drohendem (weiteren) Missbrauch zu schützen. Zunächst ist anzumerken, dass diese Ausführungen mit gleichem Wortlaut und Inhalt in einer Vielzahl weitere Verfahren vorgetragen werden. Zudem haben sich diese formelhaft beschriebenen Ängste und Sorgen sowie das Unwohlsein in der mündlichen Verhandlung nicht bestätigt. Denn der Kl. hat insb. bekundet, dass er gar nicht wisse, dass mittlerweile etwas an seinen Einstellungen geändert worden sei. Die pauschal und allgemein gehaltene Erläuterung des Kl., er erhalte ungewollte E-­Mails und SMS und Anrufe reicht zudem nicht. Vielmehr stellt sich dieses Phänomen als allgemeines Lebensrisiko dar, dem auch Personen ausgesetzt sind, die Social-Media-Kanäle nicht nutzen. Soweit der Kl. vorträgt, unregelmäßig E-­Mails und SMS erhalten zu haben, ist unklar, ob diese Mitteilungen tatsächlich im Zusammenhang mit dem Scraping-Vorfall verschickt wurden. Gleiches gilt, soweit der Kl. im Termin zur mündlichen Verhandlung von einem Vorfall berichtet, wonach sich ein Dritter mit seiner Identität ausgegeben hat. Es ist gerichtsbekannt, dass auch Inhaber von Mobilfunknummern, die niemals bei F. angemeldet waren, solche oder ähnliche Kontaktanfragen erhalten. IÜ ist ein geschärftes Bewusstsein beim Erhalt von SMS stets angezeigt. Zudem mag der Kl. mit seinem Vortrag, er habe einen Kontrollverlust erlitten nicht durchdringen. Es geht hier um über das Internet öffentlich zugängliches Profil und zwar auch dann, wenn, wie hier das Profil auf nicht öffentlich eingestellt ist. Denn stets für jedermann sichtbar sind Name, Geschlecht und Nutzer-ID. Ferner hat der Kl. seine Telefonnummer angegeben. Dabei handelt es sich bei diesen Angaben nicht um besonders sensible Daten. Gerade die Telefonnummer kann wechseln und auch ein Identitätsmissbrauch aus dem Bekanntwerden der Telefonnummer erscheint äußerst unwahrscheinlich. IÜ war auch die Eingabe der Telefonnummer freiwillig. Die weiteren betroffenen Daten des Kl. sind solche, die immer öffentlich und damit auch jedermann jederzeit zugänglich sind. Darauf wird ein Nutzer der Bekl. auch ausdrücklich hingewiesen. Es erscheint daher wenig plausibel, dass eine „weitere Veröffentlichung“ dieser Daten bei dem Kl. zu einem unguten Gefühl geführt haben soll. Nicht nachvollziehbar sind ferner die Ausführungen des Kl., er sei voller Sorge und habe Angst. Der Kl. war bis zum Schluss der mündlichen Verhandlung am 3.2.2023 bei F. angemeldet. Er hat ferner im Rahmen seiner Anhörung erklärt, dass er bisher nicht wüsste, ob er an seinen Einstellungen bei F. geändert habe. Drastische Konsequenzen hat er mithin nicht gezogen, obwohl er im Rahmen seiner Anhörung in der mündlichen Verhandlung erklärt hat, dass er wisse, wie er die Einstellungen ändern könne. Trotzdem ist sein Account seit 2013 auf „everyone“, dh „alle“ gestellt mit der Folge, dass sein F.-Account mithilfe seiner Telefonnummer gefunden werden kann. Er hat sich ferner weder bei F. abgemeldet noch hat er angegeben, seine Mobilfunknummer geändert zu haben. Darüber hinaus hat er bekundet neben F. auch die Plattform LinkedIn zu nutzen. Schließlich ist nicht ersichtlich, dass der Kl. irgendwelche Komfort- und Zeiteinbußen im Zusammenhang mit dem Scraping-Vorfall erlitten hat. Er hat geschildert, er habe etwa ein halbes Jahr nach dem streitgegenständlichen Vorfall berufsbedingt ein You-Tube-Video über den Scraping-Vorfall gesehen und habe durch Eingabe seiner Daten festgestellt, dass auch er betroffen sei. Dass und in welchem Umfang er durch vermehrt aufgetretene Spammails, die der Kl. nach seiner Anhörung im Termin zunächst nicht in Zusammenhang mit dem Scraping-Vorfall gesetzt hat, in zeitlicher Hinsicht beeinträchtigt war und an Komfort eingebüßt hat, erläutert er nicht näher und wird hier aus den Umständen auch nicht ersichtlich. Eine Vorlagepflicht nach Art. 267 AEUV bestand nicht. Nur anzumerken ist an dieser Stelle, dass es darüber hinaus auch an der erforderlichen Kausalität fehlt. Insoweit ist auf die Ausführungen in dem Urteil des LG Essen v. 10.11.2022 – 6 O 111/22 hinzuweisen. Mangels Vorliegens eines Schadens ist auch der auf Feststellung einer Ersatzpflicht künftiger materieller und immaterieller Schäden gerichtete Klageantrag zu 2 unbegründet. Mangels Anspruch in der Hauptsache besteht auch kein Anspruch auf Zahlung von Zinsen gem. §§ 291288 Abs. 1 BGB und außergerichtlichen Rechtsanwaltskosten gem. § 280 Abs. 1 BGB oder aus Art. 82 Abs. 1 DS-GVO.

LG Bonn Urt. v. 3.2.2023 – 18 O 127/22

0 EUR Entgegen der Auffassung der Bekl. ist der Klageantrag zu 1 hinreichend bestimmt iSd § 253 Abs. 2 Ziff. 2 ZPO. Es kann hier dahinstehen, ob der Anwendungsbereich des Art. 82 DS-GVO überhaupt eröffnet ist und ob bereits keine Pflichtverletzung iSd Art. 82 DS-GVO durch Verstoß gegen die Vorschriften der DS-GVO (insb. Art. 322425 Abs. 2333515 DS-GVO) vorliegt. Denn es fehlt in dem hier konkreten Fall jedenfalls an Eintritt eines immateriellen Schadens. Der in Rede stehende Schadensersatzanspruch umfasst den physischen, materiellen und immateriellen Schaden. Für die konkrete Ermittlung ist das Gericht nach § 287 ZPO – entsprechend der Grundsätze des § 253 ZPO – befugt, eine Schätzung vorzunehmen. In diesem Zusammenhang können die Kriterien des Art. 83 Abs. 2 DS-GVO herangezogen werden. Die Norm stellt insoweit auf die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung, der Grad des Verschuldens, Maßnahmen zur Minderung des entstandenen Schadens sowie die Kategorien der betroffenen personenbezogenen Daten. Im Erwägungsgrund 75 sind außerdem beispielshaft Handlungen aufgezählt, die zum Schadensersatz führen können („… wenn die Verarbeitung zu einer Diskriminierung, einem Identitätsdiebstahl oder -betrug, einem finanziellen Verlust, einer Rufschädigung, einem Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten, der unbefugten Aufhebung der Pseudonymisierung oder anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen führen kann, wenn die betroffenen Personen um ihre Rechte und Freiheiten gebracht oder daran gehindert werden, die sie betreffenden personenbezogenen Daten zu kontrollieren…“). Der Schadensbegriff nach der DS-GVO ist weit und autonom auszulegen, vgl. Erwägungsgrund 146. Schadenersatzforderungen sollen abschrecken und weitere Verstöße unattraktiv machen. Hierbei ist zu berücksichtigen, dass die beabsichtigte abschreckende Wirkung für den Anspruchsverpflichteten nur durch empfindliche Schmerzensgelder erreicht werden kann. Dies lässt sich auch aus Art. 4 Abs. 3 EUV herleiten, wonach die Mitgliedstaaten Verstöße angemessen sanktionieren sollen. Zur Bejahung eines Schadens ist jedoch nicht allein ein Datenschutzverstoß ausreichend. Ausweislich Erwägungsgrund 146 Ziff. 6 muss der Schaden auch tatsächlich erlittenen Schaden sein. Insofern muss er „spürbar“, also objektiv nachvollziehbar und von gewissem Gewicht sein. Würde man jedes Unwohlsein und jede Sorge unter den Schadensbegriff fassen, so würde der Schadensbegriff überdehnt und eine ausufernde Haftung begründet. Ausschlaggebend ist mithin das ernsthafte Risiko eines Datenmissbrauchs. Auch unter Berücksichtigung dieser weiten Maßstäbe vermochte das Gericht eine erforderliche spürbare Beeinträchtigung und damit das Vorliegen eines Schadens der Kl. nicht zu erkennen, § 287 ZPO. Die Kl. beruft sich ohne Erfolg darauf, dass sie unter vergrößerter Angst, einer Hilflosigkeit bzw. eines Gefühls des Beobachtetwerdens leide. In diesem Zusammenhang sei zunächst angemerkt, dass es sich hierbei um eine floskelartige Beschreibung negativer Gefühle handelt, ohne dass diese weiter im Hinblick auf die Kl. individualisiert, dh substantiiert werden. Vielmehr kennt das Gericht diese Formulierungen aus einer Vielzahl weiterer Verfahren. Auch vermag das Gericht insofern nicht zu erkennen, dass die Kl. im Zusammenhang mit dem sog. Scraping Vorfall übermäßig viel Zeit investiert bzw. aufgewendet hat. Vielmehr ist aus den Schilderungen des Prozessbevollmächtigten der Kl. in der mündlichen Verhandlung ersichtlich geworden, dass die Kl. auf den YouTube Kanal der Kanzlei ihres Prozessbevollmächtigten auf den sog. Scraping Vorfall aufmerksam geworden ist und dann die entsprechende Mandatierung vorgenommen hat. Ein Vortrag zB dahingehend, dass die Kl. durch eigene Recherchen oder ähnliches sich intensiv im Rahmen ihrer Freizeit mit dem Themenkomplex befasst habe, liegt nicht vor. Sofern die Kl. sich hier darauf beruft, dass sie unter Kontrollverlust leide, vermag auch dies das Gericht nicht zu überzeugen. So ist in diesem Zusammenhang zu berücksichtigen, dass es um eine Telefonnummer sowie ein öffentliches Profil auf einer Social-Media-Plattform geht. Diese Daten sind – im Vergleich zu anderen Daten – nicht besonders sensibel. Außerdem ist ferner zu berücksichtigen, dass die Kl. ihre Telefonnummer im Ergebnis freiwillig angegeben hat. Dies lässt den Schluss zu, dass sie – entgegen ihres Vortrages – keinen derart großen Wert darauf gelegt hat, ihre Daten nur bei tatsächlicher Notwendigkeit anzugeben. Einen besonders zurückhaltenden Umgang mit den eigenen Daten vermag das Gericht also gerade nicht zu erkennen. Zudem ist die Kl. auch zum Zeitpunkt der mündlichen Verhandlung weiterhin bei der Plattform der Bekl. sowie auch weiterer sozialer Netzwerke angemeldet. Auch dies spricht insofern dafür, dass die Kl. nicht sonderlich zurückhaltend mit ihren Daten umgegangen ist. Zwar hat die Kl. ihre Suchbarkeitseinstellungen von „everyone“ zu „friends“ geändert. Dass dies aber in einem Zusammenhang mit dem Scraping Vorfall steht, ist mangels zeitlichen Zusammenhanges nicht zu erkennen und auch nicht vorgetragen. Auch der Einwand, dass die Kl. ungewollte E-­Mails und Anrufe erhalte, reicht zur Feststellung eines immateriellen Schadens nicht aus. Zunächst ist diesbezüglich anzuführen, dass dieser Vortrag sehr pauschal gehalten ist. Außerdem ist dieser Umstand letztlich auch als allgemeinen Lebensrisiko einzustufen, welchem auch solche Menschen ausgesetzt sind, die keine Social-Media-Plattformen nutzen. Letztlich ist festzuhalten, dass der Vortrag, dass die Kl. seit dem Vorfall auch vermehrt betrügerische E-­Mails erhalte dahingehend unwahrscheinlich, dass die E-­Mail Adresse bereits nach eigenen Angaben nicht von dem Vorfall betroffen gewesen ist. Jedenfalls scheitert die Annahme eines Schadens unter Berufen auf die zuvor genannten Aspekte in dem hier konkreten Fall daran, dass die Kl. auf der Internetseite ihre Telefonnummer unter Verknüpfung ihres Namens und ihrer Adresse im Impressum und damit für jedermann zugänglich und veröffentlich hat. Es stellt sich unter Berücksichtigung dessen als Verstoß gegen Treu und Glauben dar, wenn sich die Kl. einerseits unter Inanspruchnahme der Bekl. auf den Kontrollverlust ihrer Daten und die weiteren daraus resultierenden negativen Gefühle und Folgen beruft, andererseits gerade diese Daten jedoch ohne Weiteres im für jedermann zugänglichen Internet öffentlich macht, § 242 BGB. Das Gericht durfte diesen Umstand auch trotz des Bestreitens durch den Prozessbevollmächtigten der Kl. zugrunde legen. Denn es handelt sich hierbei um eine offenkundige Tatsache, § 291 ZPO. Hiernach bedürfen Tatsachen, die bei dem Gericht offenkundig sind, keines Beweises. Konkret ist die Tatsache allgemeinkundig. Allgemeinkundig ist eine Tatsache, die einer beliebig großen Anzahl von Menschen privat bekannt oder ohne Weiteres zuverlässig wahrnehmbar ist. Die Kenntnis darf sich das Gericht ohne Beteiligung der Parteien auch durch private Beobachtung verschaffen. Informationsquelle können Medien sein, auch das Internet, wenn es nur dazu benutzt wird, eine Tatsachenbehauptung der Parteien zu bestätigen oder zu widerlegen. So lag der Fall hier. Nach dem entsprechenden Vortrag der Prozessbevollmächtigten der Bekl. iRd mündlichen Verhandlung steht es für das Gericht fest, dass die zuvor genannte Internetseite und das dort enthaltene Impressum tatsächlich von der Kl. stammen. So stimmt zunächst der Name – der keinesfalls geläufig ist – mit dem hier angegebenen Namen der Kl. überein. Gleiches gilt auch für die Adresse der Kl. Auch sind die im Impressum enthaltene Telefonnummer und diejenige, die nach dem klägerischen Vortrag gescrapt wurde identisch. Konkret ist auf der Seite der Kl. die Telefonnummer angegeben. Im Rahmen ihres Vortrages in der Replik nennt die Kl. ebenfalls die Zahlenkombination wobei es sich hierbei gerade nach dem Vortrag der Kl. um ihre Telefonnummer handelt. Dass die Kl. mit nicht nachgelassenem Schriftsatz v. 22.2.2023 vorträgt, dass die Spams, die sie erhalten habe bereits vorher, nämlich in dem Zeitraum, in dem nach eigenen Angaben der Bekl. das Abgreifen erfolgt sei, begonnen hätten, vermag hieran nichts zu ändern. Denn selbst wenn das Gericht den nicht nachgelassenen Vortrag berücksichtigen würde, vermag dies an der obigen Bewertung nichts zu ändern. Denn der Vortrag erschöpft sich lediglich in einer pauschalen Behauptung ohne jegliche Substantiierung. Mangels Anspruch in der Hauptsache besteht auch keine Anspruch auf Zahlung von Rechtshängigkeitszinsen gem. §§ 291288 Abs. 1 BGB und außergerichtlichen Rechtsanwaltskosten gem. § 280 Abs. 1 BGB oder aus Art. 82 Abs. 1 DS-GVO.

LG Bonn Urt. v. 1.2.2023 – 7 O 101/22 = ZD 2023, 635 (Ls.)

0 EUR Der Klageantrag zu 1 ist hinreichend bestimmt, § 253 Abs. 2 Ziff. 2 ZPO. Der Kl. hat keinen Anspruch auf Zahlung eines immateriellen Schadensersatzes aus Art. 82 Abs. 1 DS-GVO oder einer anderen in Betracht kommenden Anspruchsgrundlage. Denn jedenfalls fehlt es am Eintritt eines immateriellen Schadens. Materielle Schäden macht der Kl. schon nicht geltend. Der Begriff des immateriellen Schadens ist dabei unionsrechtlich autonom auszulegen. Erwägungsgrund 146 DS-GVO sieht vor, dass der Begriff des Schadens im Lichte der Rspr. des EuGH weit auf eine Art und Weise ausgelegt werden soll, die den Zielen dieser Verordnung in vollem Umfang entspricht. Erwägungsgrund 75 DS-GVO nennt etwa Identitätsdiebstahl, finanzielle Verluste, Rufschädigung oder den Verlust der Kontrolle personenbezogener Daten. Ein deutsches Verständnis zum Begriff des Schadens – etwa eine enge Auslegung – ist mithin nicht angezeigt. Eine Erheblichkeitsschwelle für das Vorliegen eines solchen Schadens ergibt sich gerade nicht aus der DS-GVO. Bagatellschäden sind ebenfalls erfasst. Zu verlangen ist aber jedenfalls, dass ein konkreter immaterieller Schaden auch tatsächlich eingetreten („entstanden“) ist. Diesen Beweis hat der Kl. vorliegend aber nicht geführt. Der Kl. hat in seinen Schriftsätzen nur allgemeine Ausführungen dazu gemacht, welche Folgen der behauptete Datenschutzverstoß für ihn hatte. In Klageschrift und Replik werden Folgen für die Kl. umschrieben, etwa ein Zustand des Unwohlseins, der Sorge und des Kontrollverlustes. Zudem sei es vermehrt zu Spam und anderen dubiosen Nachrichten gekommen. Hierzu wird der Screenshot eines SMS vorgelegt, bei der es sich offenbar um eine sog. „Paketshop-Spam“ handelt. Auch die persönliche Anhörung des Kl. hat hierzu keine weiteren Aspekte oder Konkretisierungen ergeben, vielmehr konnte der Kl. auf konkretes Befragen der Kammer den schriftsätzlichen Vortrag schon gar nicht bestätigen. Er hat selbst keine Gefühlslage geschildert, die zu negativen Gefühlen bei der Nutzung des Internets oder sozialer Medien geführt hätte. Er hat zwar berichtet, Vorsichtsmaßnahmen einzuhalten und etwa einen Passwort-Manager zu benutzen. Hierbei handelt es sich aber um eine Maßnahme, die schon in der allgemeinen Medienberichterstattung stets empfohlen wird und die heutzutage gerichtsbekannt mit wenig Aufwand eingesetzt werden kann, schon allein aus dem Grund, dass mittlerweile jeder Internetnutzer eine Vielzahl von Passwörtern nutzt. Dass der Kl. hingegen eine Scheu vor der Nutzung des Internets oder der sozialen Medien entwickelt haben könnte, hat er nicht angegeben und auch die Kammer hat diesen Eindruck nicht gewonnen. Der Kl. erschien vielmehr als aufgeklärter Internetnutzer, der Gefahren kennt und ihnen adäquat begegnen kann, indem er etwa Nutzerkontoeinstellungen anpasst oder eine Zwei-Faktor-Authentifizierung nutzt. Beide Sicherheitsoptionen kannte der Kl. Er gab auch an, Dienste wie Onlinebanking und Paypal zu nutzen, die also Zugriff auf sein Konto erlauben. Sollte der Kl. wirklich in großer Sorge vor einem Datendiebstahl sein, wäre die Nutzung solcher Funktionen nicht zu erwarten. Auch einen Schaden in Form von Komfort- und Zeiteinbußen im Zusammenhang mit dem Vorfall hat der Kl. nicht erlitten. Anders als schriftsätzlich vorgetragen, musste sich der Kl. gerade nicht mit der Bekl. selbst auseinandersetzen. Er musste insb. nicht selbst um Auskunft bitten oder weitere Nachforschungen bzgl. des Scraping-Vorfalls anstellen und hat dies auch nicht getan. Er musste auch nicht den Sachverhalt ermitteln. Zudem hat der Kl. auch klargestellt, seine E-­Mail-Adresse sei nicht betroffen gewesen, wie es auch die Bekl. vorgetragen hat. Während dies in der Klage noch behauptet wurde hat sich dies aus der persönlichen Anhörung gerade nicht ergeben. Hinzu kommt, dass ein Kausalitätsnachweis nicht ansatzweise geführt werden kann. So hat der Kl. selbst in seiner Anhörung auch nicht behauptet, seit dem streitigen Vorfall vermehrt Spam und ähnliches über seine Handynummer erhalten zu haben. Im Gegenteil gab er an, seit 2021 habe es weniger Spam-Nachrichten per SMS gegeben. Zudem erklärte der Kl., die mit dem F.-Konto verknüpfte Handynummer schon eine lange Zeit – bis zu 15 Jahre – zu nutzen. Es ist daher unschwer vorstellbar, dass er diese Nummer an vielen Stellen analog und digital als Kontakt hinterlassen hat und es so vielfältige Möglichkeiten gibt, wie Unbekannte an dies Nummer gelangen könnten, nicht zuletzt auch durch Datenlecks bei Dritten, denen der Kl. seine Nummer einmal gegeben hat. Gerichtsbekannt sind solche Spam-SMS, wie der Kl. sie vorgelegt hat, weit verbreitet und werden auch Personen zugesandt, die die sozialen Medien und insb. F. nicht nutzen. Zuletzt hat der Kl. auch eingeräumt, F. weiterhin zu nutzen. Auch wenn er dies einschränkte, er sei nur passiver Nutzer und nutze die Seite eher zur Information, war ihm die so erzielbare Vernetzung mit Freunden – etwa durch Geburtstagserinnerungen – oder Organisationen aus seinem Umfeld doch wichtig. Der Kl. erklärte zwar, regelmäßig seine Konteneinstellungen zu prüfen, sah sich aber offenbar nicht veranlasst, die Nutzung einzustellen. Dies wäre zu erwarten gewesen, wenn eine große Sorge vor einem Missbrauch von Daten bestehen würde. Es ist zudem zu berücksichtigen, dass alle Daten – bis auf die Handynummer – aus dem öffentlichen Profil des Kl. „abgelesen“ wurden, die der Kl. bereitwillig dort selbst eingetragen hat. Ein Identitätsdiebstahl hat insoweit nicht stattgefunden. Soweit diese Daten öffentlich waren, standen sie bereits bei ihrer Eingabe nicht mehr unter der ausschließlichen klägerischen Kontrolle. Ein Kontrollverlust kann sich daraus gerade nicht ergeben. Eine Vorlagepflicht nach Art. 267 AEUV bestand nicht. Der Feststellungsantrag zu 2) ist unbegründet, weil der Eintritt künftiger Schäden – mangels Vorliegen eines Schadens – bereits nicht hinreichend wahrscheinlich ist.

LG Görlitz Endurt. v. 27.1.2023 – 1 O 101/22 = ZD 2023, 277

0 EUR Da die Bemessung der Höhe des Schmerzensgeldes in das Ermessen des Gerichts gestellt ist, ist die Stellung eines unbezifferten Zahlungsantrags ausnahmsweise zulässig. Es fehlt an einer schadenersatzauslösenden Pflichtverletzung der Bekl. iSd DS- GVO. Soweit der Kl. der Bekl. mehrere Verstöße vorwirft, nämlich – ungenügende Information und Aufklärung über die Verarbeitung der sie betreffenden Daten durch ungenügende Aufklärung zur Verwendung und Geheimhaltung der Telefonnummer (Art. 5 Abs. 1 lit. a DS-GVO), unmittelbaren Verstoß gegen Art. 1314 DS-GVO, die konkrete Informationspflichten enthielten, die seitens der Bekl. nicht eingehalten worden seien, ungenügender Schutz der personenbezogenen Daten der Nutzer von F. (Art. 2432 DS-GVO), unvollständige Auskunftserteilung nach Art. 15 DS-GVO, da nicht mitgeteilt worden sei, welchen Empfängern die Daten des Kl. durch Ausnutzung des Kontaktimporttools zugänglich gemacht worden seien (Art. 3334 DS-GVO) sind solche Verstöße schon nicht vom Schutzzweck des Art. 82 DS-GVO umfasst. Anknüpfungspunkt für eine Haftung ist eine der Verordnung nicht entsprechende Verarbeitung iSd Art. 4 Ziff. 2 DS-GVO. Die behauptete Verletzung von bloßen Benachrichtigungspflichten bzw. Informationsrechten ist hingegen nicht erfasst. Der Schutzbereich des Art. 82 DS-GVO als hier maßgebliche Anspruchsgrundlage umfasst ebensowenig Verstöße gegen Art. 34 DS-GVO. Schließlich lässt sich auch von vornherein aus Art. 24 DS-GVO kein entsprechendes subjektives Recht herleiten. Selbiges gilt für Art. 25 DS-GVO. Daher kann auch dahinstehen, ob Verstöße etwa gegen Art. 13, 14 und 34 durch die Bekl. erfolgten, da auch sie nicht unter den Schutzbereich des Art. 82 DS-GVO fallen, weil auch sie „lediglich“ Informationspflichten über die Verarbeitung enthalten, nicht aber die Verarbeitung als solche zum Gegenstand haben. Zudem wäre, selbst wenn man – entgegen der hier vertretenen Ansicht – den Anwendungsbereich des Art. 82 DS-GVO für eröffnet halten wollte, und auch zur Feststellung von Pflichtverstößen der Bekl. gegen Normen der DS-GVO gelangen würde, ein Schadensersatzanspruch des Kl. nicht gegeben. Nach Art. 82 DS-GVO muss ein solcher Schaden gerade durch die Datenverarbeitung eingetreten sein. Für das Vorliegen eines solchen Nachteils ist der Anspruchsteller – hier also der Kl. – darlegungs- und beweisbelastet. Es reicht dabei nicht aus, dass dargelegt und bewiesen wird, dass eine nicht über Art. 6 DS-GVO abgedeckte Datenverarbeitung erfolgt ist. Andernfalls würde mit jeder nicht gerechtfertigten Datenverarbeitung sogleich ein Anspruch entstehen und das selbst dann, wenn diese Verarbeitung für den Betroffenen keinerlei Nachteil mit sich gebracht haben sollte. Ein solches System würde die Grundprinzipien des Schadensrechtes völlig verkennen. Eine Schadensersatzpflicht soll nämlich vorrangig erlittenes Unrecht kompensieren und nicht als Bestrafung für den Handelnden fungieren. Bei der Höhe von Schmerzensgeld vermag dieser Bestrafungsaspekt zwar durchaus auch von Relevanz zu sein, nicht aber als Alleinstellungsmerkmal dienen. Andernfalls würde der Schadensersatzanspruch nach Art. 82 DS-GVO zu einer Art Straftatbestand im privatrechtlichen Kontext konvertiert. Diesbezüglich ist es dem Kl. nicht gelungen, den Eintritt eines (eigenen) Schadens als überwiegend wahrscheinlich (§ 287 ZPO) nachzuweisen. Nach dem ausdrücklichen Wortlaut der Vorschrift muss der Schaden „erlitten“ werden, woraus sich ergibt, dass dieser tatsächlich entstanden sein muss und nicht lediglich befürchtet wird. Zwar ist der Begriff des Schadens nach dem Erwägungsgrund 146 S. 3 weit auszulegen und ist es nicht erforderlich, dass der eingetretene Schaden erheblich ist. Nach Auffassung des Gerichts reicht jedoch ein bloßer Verstoß gegen Vorschriften der DS-GVO nicht aus, um (immateriellen) Schadensersatz verlangen zu können. Es bedarf vielmehr der Darlegung eines konkreten (auch immateriellen) Schadens. Das Vorliegen eines konkreten, immateriellen Schadens, wozu auch Ängste, Sorgen, Stress sowie Komfort- und Zeiteinbußen zählen, hat der Kl. jedoch nicht hinreichend dargetan. Er hat zwar iRd Klageschrift ausführen lassen, dass er einen erheblichen Kontrollverlust über seine Daten erlitten habe und deshalb unter großem Unwohlsein und Sorgen leide sowie einen Missbrauch befürchte. Daraus kann das Gericht jedoch nicht mit hinreichender Wahrscheinlichkeit herleiten, dass der Kl. unter den in der Klageschrift beschriebenen Ängsten und Sorgen tatsächlich leidet. Dagegen spricht bereits der Umstand, dass es sich bei den „gescrapten“ Daten des Kl. mit – Ausnahme der Mobilfunknummer – um Daten handelt, die immer (!) öffentlich sind. Es ist diesen Daten gerade immanent, dass sie jedem und jederzeit zugänglich zu sind. Auf diesen Umstand weist die Bekl. ihre Nutzer auch ausdrücklich hin, sodass es für das Gericht nicht nachvollziehbar ist, weshalb eine „weitere Veröffentlichung“ dieser Daten, bei dem Kl. zu einem unguten Gefühl geführt haben sollte. Auch konnte die Bekl. annehmen, dass dem Kl. bekannt ist, dass sein F.-Konto über seine Telefonnummer für jedermann aufzufinden ist. Der Kl. hat nämlich vor seiner Registrierung bestätigt, die Datenverwendungsrichtlinien der Bekl. gelesen zu haben. Diese enthalten unter der Überschrift „Auffinden deiner Person auf F.“ die Information, dass es die Bekl. allen Personen, die über die Telefonnummer des F.-Nutzers verfügen, gestattet, den Nutzer auf F. zu finden. Weiter heißt es, dass der Nutzer über seine Privatsphäre-Einstellungen auswählen kann, wer mithilfe der Telefonnummer des Nutzers nach diesem suchen kann. Der Kl. hatte es also in der Hand, unter Zuhilfenahme des jedem Nutzer der F.-Plattform zugänglichen Hilfebereichs die Suchbarkeits-Einstellungen für sein F.-Konto zu ändern und dahin anzupassen, dass nicht alle Personen, die seine Telefonnummer hochladen, sein F.-Konto auffinden. Ebenso kann das Gericht keinen konkreten immateriellen Schaden aus der Veröffentlichung der Mobilfunknummer ersehen. Erhebliche Zweifel an dem in der Klageschrift vorgetragenem Gemütszustand des Kl. ergeben sich für das Gericht diesbezüglich bereits aus dem Umstand, dass die Eingabe der Mobilfunknummer freiwillig erfolgte, mithin für die Registrierung nicht erforderlich war. Dass der Kl. diese gleichwohl trotzdem angab, spricht eher dafür, dass er kein besonderes Interesse daran hatte, die Möglichkeit einer Verbreitung seiner Mobilfunknummer zu kontrollieren, zumal auch diesbezüglich die Bekl. in ihren Einstellungen entsprechende Einschränkungsmöglichkeiten bereithält. Bezug nehmend auf die Ausführungen unter lit. a erweist sich auch der Antrag auf Feststellung einer Ersatzpflicht künftiger materieller und immaterieller Schäden mangels Vorliegen eines Schadens als unbegründet.

LG Frankfurt/M. Urt. v. 27.1.2023 – 2-27 O 158/22 = ZD 2023, 639 (Ls.)

0 EUR Dem Kl. steht gegen die Bekl. kein Anspruch auf Schadensersatz in Form eines Schmerzensgeldes aus Art. 82 DS-GVO zu. Insoweit schießt sich die Kammer der Entscheidungen des LG Essen (Az. 6 O 111/22v. 10.11.2022) und der des AG Straußberg (Az. 25 C 95/21v. 22.9.2022) an. Ein bloßer Verstoß gegen jegliche Vorgabe der DS-GVO begründet für die Verantwortlichen dem Wortlaut nach noch keine Haftung. Anknüpfungspunkt für eine Haftung ist eine der Verordnung nicht entsprechende Verarbeitung iSd Art. 4 Ziff. 2 DS-GVO. Der Vorwurf liegt darin, die Datenverarbeitung durchgeführt zu haben, ohne dass sämtliche in der DS-GVO statuierten Pflichten eingehalten wurden und deshalb ein Schaden entstanden ist. Das vorwerfbare Verhalten muss damit nicht zwangsläufig die Datenverarbeitung an sich sein. So wird häufig die Verarbeitung erst dadurch rechtswidrig, dass im Vorfeld Maßnahmen nicht ergriffen wurden, sodass die eigentlich verletzende Handlung bereits vor der Datenverarbeitung lag. Konsequenterweise kann daher bereits der Verstoß gegen solche Pflichten einen Anspruch auf Schadensersatz begründen. Verletzungshandlungen liegen damit vor, wenn die Rechte der betroffenen Personen oder Grundsätze der Datenverarbeitung nur unzureichend beachtet werden. Dies steht im Einklang mit Erwägungsgrund 146, wonach der Verantwortlicher oder der Auftragsverarbeiter Schäden, die einer Person aufgrund einer Verarbeitung entstehen, die mit der DS-GVO nicht im Einklang stehen, ersetzen sollte. Die verspätete Erteilung einer Datenauskunft gem. Art. 15 DS-GVO ist keine Verarbeitung personenbezogener Daten iSd Art. 4 Ziff. 2 DS-GVO. Die Verletzung von Auskunfts- oder Benachrichtigungspflicht im Nachgang an einen Verarbeitungsvorgang ist hingegen nicht erfasst. Denn diesen Pflichten fehlt es an dem verarbeitungsspezifischen Zusammenhang zu personenbezogenen Daten; die Begründung derartiger Pflichten setzt ihrerseits bereits zwingend einen Verarbeitungsvorgang voraus und begründet ihn nicht erst. Der Kl. hat aus den aufgeführten Gründen auch keinen Anspruch auf Schmerzensgeld aus Art. 82 DS-GVO wegen eines etwaigen Verstoßes der Bekl. gegen die in Art. 34 DS-GVO geregelte Benachrichtigungspflicht. Der Kl. kann den geltend gemachten Schmerzensgeldanspruch zudem nicht auf einen Verstoß gegen Art. 5 Abs. 1 lit. f, 32 Abs. 12 DS-GVO wegen unzureichender Sicherheitsvorkehrungen stützen. Zwar umfasst der Anknüpfungspunkt für den Verstoß gegen die DS-GVO nicht nur die Verletzung spezifischer Pflichten, sondern auch allgemeiner Vorgaben wie den Datenschutzgrundsätzen in Art. 5 DS-GVO oder den Anforderungen an die Datensicherheit nach Art. 32 DS-GVO, solange die Verletzung dieser Pflichten wiederum auf einer konkreten Verarbeitung beruhen bzw. sich auf eine solche auswirken. Jedoch hat die Bekl. nicht gegen die ihr dort auferlegte Obliegenheit, personenbezogene Daten vor unbefugter oder unrechtmäßiger Verarbeitung zu schützen, verstoßen. Art. 32 Abs. 1 iVm Abs. 2 DS-GVO formt den allgemeinen Grundsatz der Integrität und Vertraulichkeit aus Art. 5 Abs. 1 lit. f DS-GVO näher aus. Er verlangt Verarbeitungsprozessen ab, ein angemessenes Schutzniveau für die Sicherheit personenbezogener Daten zu gewährleisten, um damit angemessenen Systemdatenschutz sicherzustellen. Das Gebot soll personenbezogene Daten durch geeignete technische und organisatorische Maßnahmen u. a. davor schützen, dass Dritte diese unbefugt oder unrechtmäßig verarbeiten. Die immer öffentlich zugänglichen Informationen des Profils des Kl. sind zwar von Dritten erhoben (gescrapt) und verarbeitet worden iSd Art. 4 Ziff. 2 DS-GVO. Allerdings war die Bekl. nicht verpflichtet, diese Daten vor der Verarbeitung durch die Scraper zu schützen, da die Daten nicht unbefugt bzw. unrechtmäßig verarbeitet worden sind. Es handelt sich bei den unstreitig gescrapten personenbezogenen Daten des Kl., nämlich seinem Namen, seinem Geschlecht und seinem Benutzernamen, um Daten, die für jedermann ohne Zugangskontrolle oder Überwindung technischer Zugangsbeschränkungen wie Logins oder ähnlichem abrufbar sind. Die Erhebung dieser Daten als solche erfolgte daher nicht unbefugt bzw. unrechtmäßig. Auch das Vorbringen des Kl., ihm seien zum Zeitpunkt seiner Registrierung als Nutzer die Standardeinstellungen auf der F-Plattform nicht bekannt gewesen, rechtfertigt nicht die Annahme, die Bekl. habe gegen ihr obliegende Schutzpflichten verstoßen. Denn die Bekl. durfte und musste davon ausgehen, dass dem Kl. bekannt ist, dass sein Name, sein Geschlecht und sein Benutzername für jedermann abrufbar ist und hatte daher keine Veranlassung, diese Daten vor der Erhebung durch Dritte zu schützen. Die Bekl. hat nämlich den Kl., bevor dieser sich auf der F-Plattform registrieren konnte, auf ihre Datenrichtlinien hingewiesen und der Kl. hat diese mit seiner Registrierung bestätigt. Die streitgegenständlichen Datenrichtlinien der Bekl. enthielten die Information, dass u. a. der Name, das Geschlecht und der Nutzername des Nutzers immer öffentlich zugänglich sind und von jeder Person gesehen werden können. Dass nicht öffentlich zugängliche Informationen, nämlich Telefonnummer, Mailadresse, Wohnort (an anderer Stelle konkretisiert als „Bundesland, Land und Stadt“), Beziehungsstatus und „weitere korrelierende Daten“ des Kl. vom klägerischen Profil von Dritten erhoben worden sind, kann nicht festgestellt werden. Es fehlt es an einem substantiierten Vortrag des Kl., welche konkreten Daten erhoben worden sein sollen. Für seine dahingehende Behauptung tritt der Kl. darüber hinaus auch keinen tauglichen Beweis an. Die Inaugenscheinnahme der von ihm angegebenen öffentlich zugänglichen Datenbank mit Inhalt der entwendeten Daten ist als Beweismittel ungeeignet, da dort die durch das Scraping abgerufenen Daten lediglich abstrakt beschrieben werden; welche konkreten personenbezogenen Daten des Kl. – neben den immer öffentlich zugänglichen Informationen – erhoben worden sind, wird dort nicht angegeben. Der von den Scrapern unter Nutzung des Kontakt-Importers der F-Plattform hergestellte Abgleich zwischen der von ihnen generierten und hochgeladenen Telefonnummer des Kl. mit seinem Nutzerkonto stellt zwar eine Verarbeitung iSd DS-GVO dar. Jedoch war die Bekl. nicht verpflichtet, das Nutzerkonto des Kl. vor dessen Auffinden über die Telefonnummer des Kl. zu schützen. Der Kl. hat der Bekl. seine Telefonnummer bereitgestellt, die die Bekl. iRd Suchbarkeits-Einstellungen verwendete, um festzulegen, welche Personen das F-Konto des Kl. anhand dessen Telefonnummer finden können, nämlich alle Personen. Der von den Scrapern veranlasste Abgleich war folglich jeder Person, die – wie die Scraper – über die Telefonnummer des Kl. verfügte, möglich und ist isoliert betrachtet nicht unbefugt bzw. unrechtmäßig. Dass dem Kl. nach seinem Vorbringen nicht bekannt war, dass alle Personen über seine Telefonnummer sein F-Konto finden, hat nicht zur Folge, dass die Bekl. verpflichtet war, Schutzmaßnahmen zu ergreifen, die das F-Konto des Kl. vor einem Auffinden über seine Telefonnummer schützen. Denn die Bekl. musste annehmen, dass dem Kl. bekannt ist, dass sein F-Konto über seine Telefonnummer für jedermann aufzufinden ist, weil dieser vor seiner Registrierung bestätigte, die Datenrichtlinien der Bekl. gelesen zu haben. Diese enthalten unter der Überschrift „Wie kann ich festlegen, wer mich über meine E-­Mail-Adresse oder Handynummer auf F. finden kann?“ die Information, dass es die Bekl. allen Personen, die über die Telefonnummer des F-Nutzers verfügen, gestattet, den Nutzer zu finden. Weiter heißt es, dass der Nutzer über seine Privatsphäre-Einstellungen auswählen kann, wer mithilfe der Telefonnummer des Nutzers nach diesem suchen kann. Der Kl. hatte es also in der Hand, unter Zuhilfenahme des jedem Nutzer der F-Plattform zugänglichen Hilfebereichs die Suchbarkeits-Einstellungen für sein Nutzerkonto zu ändern und dahin anzupassen, dass nicht alle Personen, die seine Telefonnummer hochladen, sein Nutzerkonto auffinden. Der Kl. kann den geltend gemachten Schadensersatz auch nicht auf eine Verletzung des Art. 35 DS-GVO durch die Bekl. wegen unterlassener Datenschutz-Folgenabschätzung stützen. Mangels Verstoß gegen die DS-GVO besteht kein Anspruch des Kl. auf Feststellung hinsichtlich einer Ersatzpflicht der Bekl. mit Blick auf künftige Schäden. Das Gericht ist iÜ nicht gehalten, das vorliegende Verfahren bis zur Entscheidung des EuGH über das Vorabentscheidungsersuchen des AG München v. 3.3.2022 zum Az. 132 C 737/22 oder bis zur Entscheidung des EuGH über das Vorabentscheidungsersuchen des Österreichischen Obersten Gerichtshofs v. 15.4.2021 zum Az. 6 Ob 35/21x auszusetzen. Denn die dem EuGH vorgelegten Rechtsfragen sind im hiesigen Verfahren nicht entscheidungserheblich.

LG Stuttgart Beschl. v. 26.1.2023 – 24 O 52/22

1.000 EUR Klageantrag zu 1 ist auch hinreichend bestimmt, § 253 Abs. 2 Ziff. 2 ZPO. Die Klagepartei hat einen Anspruch aus Art. 82 Abs. 1 DS-GVO auf Ersatz immateriellen Schadens iHv 1.000 EUR gegen die Bekl. Es liegen seitens der Bekl. mehrere Verstöße gegen die DS-GVO vor, welche zur Auslösung einer entsprechenden Schadensersatzpflicht geeignet sind. So mangelt es an einer ordnungsgemäßen, ausreichenden Belehrung der Klagepartei durch die Bekl. im Zeitpunkt der Datenerhebung hinsichtlich der Mobilfunknummer der Klagepartei gem. Art. 13 DS-GVO. Die Kammer nimmt insoweit in rechtlicher Hinsicht Bezug auf die Ausführungen des LG Paderborn in dessen Urt. v. 19.12.2022 im dortigen Rechtsstreit 2 O 236/22, welche eine andere Klagepartei gegen die hiesige Bekl. führte und welchem ein in wesentlichen Teilen identischer, iÜ jedenfalls vergleichbarer Sachverhalt zugrunde lag. Ein datenschutzrechtlicher, die Schadensersatzpflicht gem. Art. 82 Abs. 1 DS-GVO auslösender Verstoß der Bekl. liegt zudem gem. Art. 32245 Abs. 1 lit. f DS-GVO vor. Auch diesbezüglich nimmt die Kammer auf die rechtlichen Ausführungen des LG Paderborn in dessen Urt. v. 19.12.2022 im dortigen Rechtsstreit 2 O 236/22 Bezug. Ob die Bekl. außerdem Melde-­, Benachrichtigungs- und Transparenzpflichten aus Art. 3334 und 25 DS-GVO verletzte und ob eine etwaige Verletzung dieser Vorschriften geeignet wäre, eine Schadensersatzpflicht gem. Art. 82 Abs. 1 DS-GVO auszulösen kann schließlich dahinstehen, da die Haftung bereits aus den dargelegten Verstößen gegen Art. 1332245 Abs. 1 lit. f DS-GVO begründet ist. Eine Exkulpation gem. Art. 82 Abs. 3 DS-GVO ist der Bekl. nicht gelungen. Das wäre nur dann der Fall, wenn sie sämtliche Sorgfaltsanforderungen erfüllt hat und ihr nicht die geringste Fahrlässigkeit vorzuwerfen ist. Dies kann bereits aufgrund des Verstoßes gegen Art. 13 DS-GVO ausgeschlossen werden. Die Bekl. bringt insoweit nichts vor, was nicht zumindest leichte Fahrlässigkeit hinsichtlich des fehlenden Hinweises auf die Verarbeitung der Mobilfunknummer der Klagepartei durch das CIT vermuten lasst. Auch bzgl. der unzureichenden Sicherheitsmalinahmen gem. Art. 32 DS-GVO konnte die Bekl. nicht jegliche Verantwortung ihrerseits widerlegen. Vielmehr nutzten Dritte bereits erkannte oder erkennbare Angriffswege, um auf Daten zuzugreifen, sodass die Nichtverantwortlichkeit des Verantwortlichen nicht nachgewiesen werden kann. Scraping ist ausweislich des Beklagtenvorbringens „eine gängige Taktik". Es war jedenfalls erkennbar, dass das CIT durch Scraping ausgenutzt werden kann. Dies begründet sich bereits aus dem Umstand, dass die Bekl. selbst Schutzmaßnahmen behauptet und somit von der Notwendigkeit dieser ausgeht. IÜ behauptet die Bekl. das Vorliegen ganz ungewöhnlicher Kausalverläufe, einen Fall höherer Gewalt oder ein weit überwiegendes eigenes Fehlverhalten des Kl. nicht. Die Klagepartei hat aufgrund der vorhergehenden Ausführungen einen Anspruch auf immateriellen Schadensersatz, welcher der Höhe nach mit 1.000 EUR zu bemessen war. Dabei kann dahinstehen, ob iRd Art. 82 Abs. 1 DS-GVO ein über den datenschutzrechtlichen Verstoß des Verantwortlichen hinausgehender Schaden erforderlich ist oder ob bei bloßen Bagatellfällen der Schadensersatz jedenfalls zu verneinen ist. Denn einen konkreten Schaden, welcher nicht lediglich eine Bagatelle darstellt, hat die Klagepartei jedenfalls dargelegt. Ein solcher Schaden iSd Art. 82 Abs. 1 DS-GVO ist bereits dann anzunehmen, wenn die datenschutzwidrige Verarbeitung dazu führt, dass die betroffene Person um ihre Rechte und Freiheiten gebracht oder daran gehindert wird, die sie betreffenden personenbezogen Daten zu kontrollieren. Dass aufgrund des Scraping-Vorfalls lediglich personenbezogene Daten veröffentlicht wurden, welche die Klagepartei öffentlich auf ihrem facebook-Profil zur Schau stellte und welche dort für jedermann einsehbar waren, steht einem Schaden nicht entgegen. Auch der Umstand, dass die Mobilfunknummer von den Unbekannten ermittelt wurde und nicht aus dem Datenbestand der Bekl. abgeschöpft wurde, schließt einen solchen nicht aus. Denn entscheidend ist die Verbindung zwischen der Mobilfunknummer und den sonstigen personenbezogenen Daten, welche den Unbekannten nur aufgrund der Datenschutzverstöße der Bekl. ermöglicht wurde. Gerade diese Korrelation zwischen der nicht durch die Klagepartei veröffentlichte Mobilfunknummer und den sonstigen öffentlich auf dem Profil der Klagepartei einsehbaren personenbezogenen Daten, war nur aufgrund der Möglichkeit der rechtswidrigen Nutzung des CIT möglich. Dies muss sich die Bekl. vorwerfen lassen, da sie zum Schutz der Daten der Nutzer ihrer Plattform dazu verpflichtet war, einen entsprechenden Vorfall zu verhindern und hierin gründet sich der eigentliche datenschutzrechtliche Schaden der Klagepartei. Denn dieser kam es entscheidend darauf an, dass ihre Mobilfunknummer nicht mit den sonstigen personenbezogenen Daten auf ihrem facebook-Profil korreliert werden konnte. Sie nutzte facebook unstreitig gerade dazu, um mit Menschen Kontakt aufzunehmen, denen sie ihre private Mobilfunknummer nicht preisgeben wollte. Im Zuge der Abschöpfung und Veröffentlichung der Daten fand eine Korrelation mit der Mobilfunknummer der Klagepartei statt, was nicht nur dazu führte, dass etwaige facebook-Kontakte der Klagepartei die Möglichkeit hatten, die private Mobilfunknummer der Klagepartei zu erfahren und diese seinem facebook-Profil zuzuordnen, sondern auch sonstige Dritte, welche damit potentiell auch die Möglichkeit haben, diese Informationen für kriminelle Zwecke ggü. der Klagepartei zu nutzen. Ein solcher Kontrollverlust stellt einen erheblichen Schaden iSd Art. 82 Abs. 1 DS-GVO dar. Von untergeordneter Bedeutung ist dabei die Tatsache, dass die Klagepartei nicht ihren Klarnamen, sondern das Pseudonym „Simon Austin" bei facebook verwendete. Denn bereits der zutreffende Vorname „Simon“ der Klagepartei ist ausreichend, um Betrugsversuche durch kriminelle Dritte zu ermöglichen und die Identität der Klagepartei in Verbindung mit dem auf facebook zur Schau gestellten Lichtbild, mit der Mobilfunknummer zu verknüpfen. Was die Höhe dieses immateriellen Schadens und den hierauf basierenden Schadensersatzanspruch der Klagepartei angeht, ist zu berücksichtigen, dass der Bekl. eine Löschung der veröffentlichten personenbezogenen Daten nicht möglich ist. Diese kursieren frei, potentiell auf ewige Zeit im Internet. Die Kl. hat auch plausibel und glaubhaft Beeinträchtigungen durch Spam-Nachrichten dargelegt, welche im kausalen Zusammenhang mit der Veröffentlichung ihrer personenbezogenen Daten stehen können. Auch in Zukunft kann mit einer erhöhten Anzahl an entsprechenden Nachrichten aufgrund dessen gerechnet werden. Nicht entscheidend ins Gewicht fällt hingegen, dass die Kl. ihre Privatsphäreeinstellungen bei facebook im Anschluss an die Entdeckung der Datenveröffentlichung nicht änderte. Denn sie hat hierzu glaubhaft vorgetragen, mit Hinblick auf den laufenden Rechtsstreit keine Veränderungen an ihrem Profil vornehmen zu wollen. Es ist für die Kammer durchaus plausibel, dass die Klagepartei als rechtlicher Laie eine etwaige Erschwernis der Beweisführung aufgrund einer Veränderung seiner Einstellung fürchtete und deshalb von einer solchen absah. Da weiter zu berücksichtigen war, dass der Kontrollverlust bzgl. dieser Daten ohnehin bereits eingetreten ist und nicht rückgängig gemachte werden kann erscheint eine nachträgliche Änderung der Profileinstellungen auch nicht dazu geeignet, den Kontrollverlust zu beseitigen. Effektiver erschiene hier ein Wechsel der Mobilfunknummer, welchen die Klagepartei ebenfalls nicht vornahm. Diesbezüglich legte sie jedoch dar, es handele sich bei der veröffentlichten um ihre erste Mobilfunknummer, welche sie nur äußerst ungern wechseln möchte, was der Kammer ebenfalls plausibel erscheint. Der Anspruch auf vorgerichtliche Rechtsanwaltskosten folgt ebenfalls aus Art. 82 Abs. 1 DS-GVO. Die Höhe war jedoch auf den tenorierten Betrag zu reduzieren, da die begründeten Ansprüche des Kl. nur einen Gegenstandswert von 1.000 EUR aufweisen.

LG Stuttgart Urt. v. 26.1.2023 – 53 O 95/22 = ZD 2023, 278

300 EUR Der Kl. stellt die Bemessung des Schmerzensgeldes, hinsichtlich dessen er eine Größenordnung seiner Vorstellungen angegeben hat, zulässigerweise in das Ermessen des Gerichts. Dem Kl. steht gegen die Bekl., die als Verantwortliche iSv Art. 4 Ziff. 7 DS-GVO anzusehen ist, ein Anspruch auf – immateriellen – Schadensersatz iHv 300 EUR aus Art. 82 Abs. 1 DS-GVO zu. Insofern ist ein relevanter Verstoß der Bekl. darin zu sehen, dass diese gegen die sich aus Art 25 Abs. 2 DS-GVO ergebende Verpflichtung verstoßen hat. IÜ ist nicht anzunehmen, dass ein Verstoß gegen Art. 25 Abs. 2 DS-GVO einen Ersatzanspruch nicht auszulösen vermag. Vielmehr kann aus der Verletzung der sich aus Art. 25 DS-GVO ergebenden Pflichten eine Erhöhung der Gefahr eines Schadens resultieren. Das wird hier augenscheinlich dadurch, dass bei einer Voreinstellung, die mit Art. 25 Abs. 2 DS-GVO konform gewesen wäre, ein Abgreifen der Mobiltelefonnummer des Kl. so, wie letztlich geschehen, nicht ohne Weiteres möglich gewesen wäre. Denn bei einer entsprechenden Voreinstellung wäre die Nummer nicht öffentlich zugänglich gewesen, sondern allenfalls aufgrund einer individuellen Auswahl des Kl. Darüber hinaus ist die Bekl. der ihr nach Art. 13 DS-GVO auferlegten Informations- und Aufklärungspflicht nicht in vollständigem Umfang nachgekommen. Ein Verstoß gegen Art. 13 DS-GVO kann – entgegen der Annahme der Bekl. – ohne Weiteres einen Schadensersatzanspruch nach Art. 82 DS-GVO nach sich ziehen. Ob die Bekl. im Vorfeld des Daten-Scraping-Vorfalls weitere Pflichtverletzungen in Ansehung der DS-GVO begangenen hat, kann für die hier zu treffende Entscheidung dahinstehen, da sich daraus weitere Konsequenzen für den dem Kl. insofern zuzubilligenden Schadensersatzanspruch nicht ergeben können. Denn es besteht sich hinsichtlich der vom Kl. der Bekl. vorgeworfenen Verstöße letztlich kein weitergehender Unrechtsgehalt als derjenige, der bereits aus den Verstößen gegen Art. 25 Abs. 2 DS-GVO und aus Art. 13 DS-GVO folgt. Die Bekl. kann sich mit Blick auf den Daten-Scraping-Vorfall nicht nach Art. 82 Abs. 3 DS-GVO entlasten. Insofern kann dahinstehen, ob überhaupt ein Verschulden erforderlich ist bzw. ob die Haftung nach Art. 82 DS-GVO zur Sicherstellung eines möglichst wirksamen Schadensersatzes als Gefährdungshaftung gestaltet ist. Denn der Bekl. ist bereits nach ihrem eigenen Vorbringen eine Entlastung, hinsichtlich derer ihr die Darlegungs- und Beweislast obliegt, nicht gelungen. Sie bringt vor, dass die Daten-Scraper Verfahren eingesetzt hätten, um in großem Umfang Daten mit automatisierten Tools und Methoden zu sammeln, was nach den Nutzungsbedingungen von Facebook untersagt gewesen sei. Damit räumt sie die technische Möglichkeit des Abgreifens von Daten durch die von ihr gewählte Architektur der Facebook-Plattform ein. Wenn aber der Bekl. bewusst ist, dass Daten-Scraper bestimmte Funktionen missbrauchen können, dann wäre es an der Bekl. gewesen, gerade das zu unterbinden. Auch wenn das dem eigenen Verständnis der Facebook-Plattform zuwiderlaufen mag, dem Interesse der Nutzer an der Wahrung ihrer datenschutzrechtlichen Belange entspräche das indes sehr wohl. Die Bekl. trägt überdies nichts Konkretes dazu vor, was sie gegen die ihr bekannte Möglichkeit unternommen haben will. Sie bringt nur – letztlich recht pauschal – vor, sie habe Maßnahmen getroffen, um das Risiko von Scraping zu unterbinden, und entwickle ihre eigenen Maßnahmen zur Bekämpfung von Scraping kontinuierlich und als Reaktion auf die sich ständig ändernden Techniken und Strategien weiter. Ebenso wenig konkret und nachvollziehbar ist die pauschale Feststellung der Bekl., in der Regel würden lediglich die Methoden, mit denen auf die maßgeblichen Funktionen zugegriffen werden könne, beschränkt, um zu verhindern, dass die gesamte zugrundeliegende Funktion beseitigt werde. Anderes ergibt sich auch nicht aus der ergänzenden Darstellung der Klageerwiderung und des Schriftsatzes v. 6.1.2023, vielmehr gesteht die Bekl. zu, dass die zutreffende Reaktion zur Verhinderung des hier stattgefundenen Daten-Scraping gewesen sei, das Verknüpfen von Telefonnummern mit bestimmten Facebook-Nutzern durch das Contact-Import-Tool zu verhindern. Das hatte sie – wie sie im Schriftsatz v. 6.1.2023 mitteilt – nicht gemacht, weil zunächst Scraping-Aktivitäten über das Contact-Import-Tool nicht festgestellt worden seien. Das nach dem Vorbringen der Bekl. erfolgte Absenken der Übertragungsbeschränkungen war offenkundig unzureichend. Soweit die Bekl. darauf abstellt, es handele sich dabei um eine legitime, nützliche Nutzerfunktion, mag dies zwar nützlich und hilfreich für einzelne Nutzer sein, erforderlich ist es indes nicht. Auch der Hinweis, dass die Telefonnummern von den Daten-Scrapern „bereitgestellt“ worden sei, entlastet die Bekl. nicht. Es wäre an ihr gewesen, ein solches automatisiertes Verfahren zu verhindern. Auf Grund der nach Auffassung des Kl. unzureichenden Auskunft im Zusammenhang mit dem Daten-Scraping-Vorfall steht diesem ein Anspruch auf immateriellen Schadensersatz dagegen nicht zu. Zwar kann auch eine bloße Verletzung einer Auskunftspflicht nach Art. 15 DS-GVO insoweit einen Schadensersatzanspruch begründen. Hier ist indes davon auszugehen, dass die Information des Kl., wie sie mit Schreiben v. 23.8.2021 erfolgt ist, dessen Anspruch nach Art. 15 DS-GVO erfüllt hat. Der Kl. hatte sich unter dem 4.6.2021 an die Bekl. „wegen der im April 2021 bekannt gewordenen Onlineveröffentlichung eines Datensatzes mit Facebook-Profilen von Nutzern“ gewandt und konkrete Fragen formuliert, hinsichtlich derer er eine Erklärung der Bekl. wünsche. Diese betreffen ausschließlich die abhanden gekommenen – gescrapten – personenbezogenen Daten und nicht die Frage, über welche personenbezogenen Daten die Bekl. überhaupt verfügt. Dieses Auskunftsverlangen, das sich aus Art. 15 DS-GVO ableiten lässt, hat die Bekl. mit dem Schreiben v. 23.8.2021 erfüllt. Eine Erfüllung ist dann anzunehmen, wenn die Angaben nach dem erklärten Willen des Schuldners die Auskunft im geschuldeten Gesamtumfang darstellen. Wird die Auskunft in dieser Form erteilt, steht ihre etwaige inhaltliche Unrichtigkeit einer Erfüllung nicht entgegen. Die Bekl. hat mitgeteilt, dass sie eine Kopie der Rohdaten, welche die durch Scraping abgerufenen Daten enthielten, nicht habe. Auf Grundlage der bislang vorgenommenen Analysen sei es ihr jedoch gelungen, der Nutzer-ID des Kl. die folgenden Datenkategorien zuzuordnen, die nach ihrem Verständnis in den durch Scraping abgerufenen Daten erschienen und mit den auf dem Facebook-Profil des Kl. verfügbaren Informationen übereinstimmten: Nutzer-ID, Vorname, Nachname, Land, Geschlecht. Dagegen sei die Telefonnummer „nach unserem Verständnis in den durch Scraping abgerufenen Daten enthalten“. Zudem hat die Bekl. erläutert, wie das Daten-Scraping erfolgte. Damit hat die Bekl. zum Ausdruck gebracht, dass sie die von ihr geschuldeten Angaben mitgeteilt hat. Darüber hinaus kann im hier zu beurteilenden Einzelfall nicht angenommen werden, dass – selbst wenn die Auskunft der Bekl. nicht ausreichend gewesen wäre – ein hierauf begründeter Schadensersatzanspruch bestünde. Der Kl. hat in seiner Anhörung im Termin v. 16.1.2023 eingestanden, dass er der Information der Bekl. eine Bedeutung nicht beigemessen hat. Dem Kl. ist im Zusammenhang mit dem Daten-Scraping-Vorfall auch ein nach Art. 82 DS-GVO ersatzfähiger – immaterieller – Schaden entstanden, für den die Verstöße der Bekl. gegen die DS-GVO kausal waren. Es kann insofern dahinstehen, ob ein Datenschutzverstoß als solcher für das Entstehen eines Schadensersatzanspruchs ausreicht oder es darüber hinaus der Darlegung und des Nachweises eines konkreten – auch immateriellen – Schadens bedarf. Der Kl. hat einen konkreten, mit dem Daten-Scraping in Zusammenhang stehenden Schaden behauptet und zur Überzeugung der Kammer im Rahmen seiner persönlichen Anhörung nachvollziehbar erläutert. Dabei sind die Angaben des Kl. glaubhaft, er selbst wirkt seinerseits glaubwürdig. Er räumt ohne Weiteres ein, dass er verschiedenes nicht mehr genau weiß, und ist keineswegs bemüht, die floskelhaften und letztlich nichtssagenden Formulierungen der Klage zu wiederholen, sondern schildert, das, was ihn gestört hat, ohne Übertreibung und ohne erkennbaren Blick auf das, was seinem Begehren vermeintlich dienlicher sein könnte. Danach ist davon auszugehen, dass der Kl. – jedenfalls – Ping-Anrufe erhalten hat, die auf den Daten-Scraping-Vorfall zurückzuführen sind. Zwar konnte er den genauen Zeitraum nicht (mehr) benennen, es ergibt sich aber aus seiner Schilderung, dass er über einen gewissen Zeitraum im Jahr 2021 mehrere solcher Anrufe erhalten hat. Eine nachvollziehbare andere Erklärung hierfür liegt – auch wenn es sich bei Ping-Anrufen um ein nicht nur vereinzeltes, nicht auf Nutzer der Facebook-Plattform begrenztes Phänomen handelt – nicht auf der Hand, zumal ein zeitlicher Zusammenhang mit der Veröffentlichung der gescrapten Daten ohne Weiteres herstellbar ist. Anders ist das indes hinsichtlich der auch vom Kl. angesprochenen Spam-E-­Mails, da diese ein allgemeines und vor allem sehr weit verbreitetes Phänomen darstellen und nicht notwendigerweise auf das Daten-Scraping zurückzuführen sind, zumal ein Abgreifen der E-­Mail-Adresse des Kl. nicht nachgewiesen ist. Darüber hinaus kann mit Blick auf die Anhörung des Kl. nicht davon ausgegangen werden, dass er Angst wegen eines Kontrollverlusts über seine Daten gehabt hätte, vielmehr ist eher das Gegenteil der Fall. Der Kl. hat – unstreitig – seine Voreinstellungen auf Facebook nicht geändert und letztlich hierfür zu keinem Zeitpunkt eine Veranlassung gesehen, weil ihm offenkundig die Nutzung der Plattform mit all ihren Funktionen wichtiger gewesen ist. Das wäre anders, stünde eine – in der Klage wiederum nur floskelhaft und ohne jeden Bezug zum konkreten Mandatsverhältnis behauptete – tatsächliche Sorge über einen Kontrollverlust im Raum. Nachdem mit Blick auf den Erwägungsgrund 75 der DS-GVO als Schaden ausreichend ist, dass die betroffenen Personen um ihre Rechte und Freiheiten gebracht oder daran gehindert werden, die sie betreffenden personenbezogenen Daten zu kontrollieren, erhellt sich ohne Weiteres, dass die sich aus seiner glaubhaften Schilderung ergebenden Konsequenzen des Daten-Scraping-Vorfalls eine über eine Bagatellgrenze hinausreichende Beeinträchtigung darstellen. Es ist mehr als eine bloße Bagatelle, wenn über mehrere Monate hinweg Ping-Anrufe erfolgen, die den Angerufenen immer wieder vor die Frage stellen, ob er die Nummer zurückrufen soll oder nicht. Es ist daher ohne Weiteres nachvollziehbar, wenn der Kl. hiervon „genervt“ gewesen ist. Dabei ist – anders als von der Bekl. angenommen – zugrunde zu legen, dass auch die Mobiltelefonnummer des Kl. Gegenstand des Daten-Scrapings geworden ist. Denn diese stand den Daten-Scrapern vorab nicht zur Verfügung, erst durch die Verbindung mit den weiteren Daten haben diese eine dem Kl. zuzuordnende Telefonnummer erlangt, nicht nur eine elf- oder zwölfstellige Zahl ohne jeden nachvollziehbaren Bezug zu einer Person. Das Scraping der Daten des Kl. ist ohne die Verletzung der Pflichten der Bekl. nach Art. 25 Abs. 2 DS-GVO und nach Art. 13 DS-GVO nicht denkbar. Auf Grund des Verstoßes gegen die Verpflichtung eines Datenschutzes durch Voreinstellung und durch den unterbliebenen Hinweis auf die Auffindbarkeit der Telefonnummer bei Nutzung des Contact-Import-Tools ist es erst möglich geworden, dass personenbezogene Daten von Dritten abgegriffen worden sind. Eine Mitursächlichkeit ist ausreichend, eine alleinige Kausalität nicht gefordert, daher ist insofern nicht erheblich, dass der Kl. nach der erstmaligen Anmeldung bei Facebook die Datenschutzeinstellungen nicht geändert hat. Ein etwaiges Mitverschulden des Kl. (§ 254 BGB) deswegen, weil er die Datenschutzeinstellungen seines Facebook-Profils nicht geändert hat und dadurch auch den Zugriff der Daten-Scraper mit ermöglicht hat, tritt hinter die Verstöße der Bekl. vollkommen zurück. Denn das Verhalten des Kl. – die von der Bekl. vorgegebenen Voreinstellungen zu belassen – ist gerade von der Bekl. intendiert und mit Blick auf den von ihr angenommenen Sinn und Zweck der Facebook-Plattform gewünscht. Dann aber kann die Bekl. sich, wenn sich die Gefahren, die sich durch ihr verordnungswidriges Verhalten ergeben, realisiert haben, nicht darauf berufen, es sei am Kl. dies iSd Schutzes seiner personenbezogenen Daten zu korrigieren. Das gilt umso mehr für das Contact-Import-Tool, über dessen Funktionsweise und die damit verbundenen Gefahren seitens der Bekl. nicht aufgeklärt wird. Vor diesem Hintergrund kann dahinstehen, ob ein Mitverschulden des Geschädigten iRv Art. 82 DS-GVO überhaupt zu berücksichtigen ist. Der dem Kl. zuzuerkennende Schadensersatz für den erlittenen immateriellen Schaden ist entsprechend seinem Begehren für den lediglich als gerechtfertigt angesehen Ersatzanspruch wegen der Verstöße im Zusammenhang mit dem Daten-Scraping-Vorfall mit 300 EUR zu bemessen. Damit kann einerseits der Ausgleichs- und Genugtuungsfunktion genügt werden, andererseits der generalpräventiven Funktion des immateriellen Schadensersatzes hinreichend Rechnung getragen werden. Zum einen ist – mit Blick auf den generalpräventiven Auftrag des Art. 82 DS-GVO – insoweit zu berücksichtigen, dass die Art und Weise der Datenerhebung durch die Bekl. systematisch gegen die Vorgaben der DS-GVO verstößt, um damit Sinn und Zweck der von ihr betriebenen Facebook-Plattform zu fördern. Andererseits ist auch der Umfang der Daten des Kl., die abgegriffen worden sind, zu berücksichtigen. Sicherlich ist die Telefonnummer darunter, die über den Vorfall mit seinem Namen verbunden werden kann, ebenso auch das Profil bei Facebook, so dass der Kl. über diesen Weg kontaktiert werden kann. Weitergehende Daten, die eine Kontaktaufnahme ermöglichen könnten, sind – nach derzeitigem Kenntnisstand – nicht von Dritten gescrapt worden. Daher ist der mögliche Schaden, auch wenn die Gefahr eines Identitätsdiebstahls nicht ausgeschlossen werden kann, im Grunde für den Kl. letztlich noch überschaubar. Das manifestiert sich auch in der persönlichen Anhörung des Kl., der – dem Daten-Scraping zuzuordnen – lediglich über Ping-Anrufe über einen Zeitraum von mehreren Monaten im Jahr 2021 berichtet. Das zugrunde legend und ausgehend von etwa 3 Ping-Anrufen pro Monat über einen Zeitraum eines 3/4 Jahres hinweg – eine Veröffentlichung der Daten erfolgte erst im April 2021 – ist ein Betrag von 300 Euro angemessen und ausreichend. Soweit in Rede steht, dass die Bekl. – was anzunehmen sein sollte – überdies ihre Meldepflicht aus Art. 33 DS-GVO verletzt hat und dass sie – was ebenfalls anzunehmen sein sollte – den Kl. nicht entsprechend ihrer unverzüglich zu erfüllenden Verpflichtung aus Art. 34 Abs. 1 DS-GVO informiert hat, lässt sich hierauf eine Erhöhung des dem Kl. zuzubilligenden Schadens nicht stützen. Durch die Verletzung dieser Pflichten hat sich der Schaden des Kl. nicht vertieft. Der maßgebliche Vorwurf an die Bekl. ergibt sich daraus, dass es möglich war, dass ein Daten-Scraping stattfand. Entscheidend ist insoweit aber, dass der Kl. aus dem späteren Wissen um die Verstöße und um die Möglichkeiten, die Profileinstellungen zu ändern, nicht gehandelt hat. Unstreitig – und vom Kl. im Rahmen seiner persönlichen Anhörung auch zugestanden – sind die maßgeblichen Einstellungen nicht geändert. Daraus wird deutlich, dass der Kl. der Auskunft und der Meldung als solcher ein entscheidendes Gewicht nicht beimisst, dann aber kann das auch nicht relevant für einen von ihm erlittenen Schaden sein. Nachdem dem Kl. ein Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO zusteht, ist auch auf den Klageantrag zu 2 zu erkennen. Es ist nicht ausgeschlossen, dass der Kl. künftig infolge der Verstöße der Bekl. gegen die DS-GVO – auch – materielle Schäden erleidet. IRd ihm zustehenden materiellen Schadensersatzanspruchs nach Art. 82 Abs. 1 DS-GVO kann der Kl. auch die Erstattung vorgerichtlich angefallener Rechtsanwaltsgebühren beanspruchen.

LG Ellwangen Urt. v. 25.1.2023 – 2 O 198/22 = ZD 2023, 758

0 EUR Da die Bemessung der Höhe des Schmerzensgeldes in das Ermessen des Gerichts gestellt ist, ist die Stellung eines unbezifferten Zahlungsantrags ausnahmsweise zulässig. Es fehlt an einer schadenersatzauslösenden Pflichtverletzung der Bekl. iSd DS-GVO. Soweit der Kl. der Bekl. mehrere Verstöße vorwirft, nämlich ungenügende Information und Aufklärung über die Verarbeitung der sie betreffenden Daten durch ungenügende Aufklärung zur Verwendung und Geheimhaltung der Telefonnummer (Art. 5 Abs. 1 lit. a DS-GVO), einen unmittelbaren Verstoß gegen Art. 1314 DS-GVO, die konkrete Informationspflichten enthielten, die seitens der Bekl. nicht eingehalten worden seien, einen ungenügenden Schutz der personenbezogenen Daten der Nutzer von F. (Art. 2432 DS-GVO), eine unvollständige Auskunftserteilung nach Art. 15 DS-GVO, da nicht mitgeteilt worden sei, welchen Empfängern die Daten des Kl. durch Ausnutzung des Kontakt-Import Tools zugänglich gemacht worden seien (Art. 3334 DS-GVO), sind solche Verstöße schon nicht vom Schutzzweck des Art. 82 DS-GVO umfasst. Es kann daher auch offenbleiben, ob sich der Kl. iRd Geltung der DS-GVO ein anspruchsausschließendes Mitverschulden gem. § 254 Abs. 2 BGB analog entgegenhalten lassen muss. Der sachliche Anwendungsbereich des Art. 82 DS-GVO ist zunächst bezogen auf die Geltendmachung behaupteter verspäteter Auskunftsansprüche gem. Art. 15 DS-GVO und Art. 34 DS-GVO nicht eröffnet. Die behauptete Verletzung von bloßen Benachrichtigungspflichten bzw. Informationsrechte ist hingegen nicht erfasst. Der Schutzbereich des Art. 82 DS-GVO umfasst ebenso wenig Verstöße gegen Art. 34 DS-GVO. Schließlich lässt sich auch von vornherein aus Art. 24 DS-GVO kein subjektives Recht herleiten. Selbiges gilt für Art. 25 DS-GVO. Daher kann auch offenbleiben, ob Verstöße etwa gegen Art. 1314 und 34 DS-GVO durch die Bekl. erfolgten, da auch sie nicht unter den Schutzbereich des Art. 82 DS-GVO fallen, weil auch sie „lediglich“ Informationspflichten über die Verarbeitung enthalten, nicht aber die Verarbeitung als solche zum Gegenstand haben. Unabhängig von den vorstehenden Ausführungen fehlt es aber ohnehin an entsprechenden Pflichtverstößen der Bekl. gegen Normen der DS-GVO, wenn man den Anwendungsbereich für eröffnet erachten sollte. Unabhängig von den vorstehenden Ausführungen fehlt es (auch) an einem ersatzfähigen Schaden des Kl. iSd Art. 82 Abs. 1 DS-GVO. Für den immateriellen Schadensersatz gelten dabei die iRv § 253 BGB entwickelten Grundsätze; die Ermittlung obliegt dem Gericht nach § 287 ZPO. Für die Bemessung können die Kriterien des Art. 83 Abs. 2 DS-GVO herangezogen werden, zB die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie die betroffenen Kategorien personenbezogener Daten. Zu berücksichtigen ist auch, dass die beabsichtigte abschreckende Wirkung nur durch für den Anspruchsverpflichtenden empfindliche Schmerzensgelder erreicht wird, insb. wenn eine Kommerzialisierung fehlt. Ein genereller Ausschluss von Bagatellfällen ist damit nicht zu vereinbaren. Die Pflicht zur Erstattung immaterieller Schäden ist daher nicht nur auf schwere Schäden beschränkt. Nach den Erwägungsgründen der Europäischen Grundrechtscharta ist der Schadensbegriff weit auszulegen (s. Erwägungsgrund 146, auch wenn er in der DS-GVO nicht näher definiert wird). Schadenersatzforderungen sollen abschrecken und weitere Verstöße unattraktiv machen. Darüber hinaus sollen die betroffenen Personen einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden haben. Dabei wird vor allem die abschreckende Wirkung des Schadensersatzes betont, welche insb. durch seine Höhe erzielt werden soll. Nach den Erwägungsgründen 75 kann ein Nichtvermögensschaden durch Diskriminierung, Identitätsdiebstahl oder -betrug, Rufschädigung, Verluste der Vertraulichkeit von dem Berufsgeheimnis unterliegenden persönlichen Daten oder gesellschaftliche Nachteile eintreten. Ein genereller Ausschluss von Bagatellschäden ist im Lichte dieser Erwägungsgründe nicht vertretbar. Dies wird auch aus Art. 4 Abs. 3 AEUV abgeleitet, der die Mitgliedsstaaten dazu anhält, Verstöße wirksam mit Sanktionen zu belegen, denn nur so könne man eine effektive Durchsetzbarkeit des EU-Rechts und damit auch der DS-GVO erzielen. Allein eine Verletzung des Datenschutzrechts als solche begründet allerdings nicht bereits für sich gesehen einen Schadensersatzanspruch für betroffene Personen. Die Verletzungshandlung muss in jedem Fall auch zu einer konkreten, nicht nur völlig unbedeutenden oder empfundenen Verletzung von Persönlichkeitsrechten der betroffenen Personen geführt haben. Verletzung und Schaden sind nicht gleichzusetzen. Einerseits ist zwar eine schwere Verletzung des Persönlichkeitsrechts nicht (mehr) erforderlich, andererseits ist auch weiterhin nicht für einen Bagatellverstoß ohne ernsthafte Beeinträchtigung bzw. für jede bloß individuelle empfundene Unannehmlichkeit ein Schmerzensgeld zu gewähren. Dem Betroffenen muss vielmehr ein spürbarer Nachteil entstanden sein und es muss um eine objektiv nachvollziehbare, mit gewissem Gewicht erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen gehen. Der Schaden ist zwar weit zu verstehen, er muss jedoch auch wirklich „erlitten“ (Erwägungsgrund 146 S. 6), dh „spürbar“, objektiv nachvollziehbar und von gewissem Gewicht sein, um bloße Unannehmlichkeiten oder Bagatellschäden auszuschließen. Unter Anwendung dieser Maßstäbe hat der Kl. schon keine spürbare Beeinträchtigung von persönlichen Belangen, die durch Datenverlust hervorgerufen worden ist, dargelegt. Der Kl. trägt vor, einen erheblichen Kontrollverlust über seine Daten erlitten und Sorge vor Missbrauch seiner Daten zu haben. Seit dem Scraping-Vorfall 2019 und Veröffentlichung im April 2021 auf der eingangs benannten Seite sei es zu einem Anstieg von SMS und Mails gekommen. Zugleich hat er aber im Rahmen seiner Anhörung gem. § 141 ZPO bekundet, seit Entdeckung des Scraping-Vorfalls im April 2021 nichts an seinen Profileinstellungen bei F. geändert zu haben. Schon dieser Umstand lässt die Angabe, Furcht vor einem Kontrollverlust über seine Daten zu haben, unplausibel erscheinen. Unabhängig davon genügt aber selbst die Annahme nicht, dass der Kl. unter einer Furcht vor einem Kontrollverlust leidet, um einen Schaden iSd DS-GVO zu bejahen. Der Kl. spricht lediglich allgemein von unerwünschten bzw. dem unerwünschten erhöhten Anfall von E-­Mails und Nachrichten. Unerwünschte E-­Mails und Anrufe erhalten gerichtsbekannt aber auch Personen, die keinen F.-Account haben und dort ihre Telefonnummer hinterlegt haben. Hierbei hat das Gericht auch berücksichtigt, dass die Möglichkeit besteht, eine Telefonnummer zu wechseln. Dass aus dem Bekanntwerden einer Telefonnummer ein Identitätsmissbrauch entstehen kann, ist eher unwahrscheinlich. Insb. würde der Schadenbegriff so aufgeweicht und ausgedehnt und es würde der konkrete Nachweis einer möglichen Betroffenheit genügen, um eine Haftung zu begründen. Dies käme einer reinen Gefährdungshaftung gleich und widerspricht letztlich auch dem Erwägungsgrund 75. Aus Risiken für die Rechte und Freiheiten natürlicher Personen können physische, materielle oder immaterielle Schäden entstehen. Schäden sind aber kein zwangsweises Produkt aus einem Risiko für die Rechte und Freiheiten natürlicher Personen aus einer Verarbeitung personenbezogener Daten, vielmehr sind diese nur fakultativ. Der Sinn der Verordnung wird aber nicht gewahrt, indem man jeglichem „Unwohlsein“ eine Schadensposition einräumt. Vielmehr muss zumindest ein ernsthaftes Risiko bestehen, dass die Daten missbraucht werden. Dies konnte das Gericht im vorliegenden Fall nicht feststellen, da der Kl. im Rahmen seiner informatorischen Anhörung selbst angegeben hat nichts an seinen Profileinstellungen bei F. geändert hat. Läge bei jedem DS-GVO-Verstoß automatisch ein immaterieller Schaden vor, wäre der Schaden als Anspruchsvoraussetzung überflüssig. Auf die Frage des konkreten Schadens kommt es aber deshalb nicht entscheidungserheblich an, weil die Klage auch aus anderen Gründen ohne Erfolg bleibt. Vorliegend scheitert das Klagebegehren nämlich auch an dem Umstand, dass die vom Kl. benannten Normen der DS-GVO schon keinen Schadenersatzanspruch nach Art. 82 DS-GVO auszulösen vermögen, selbst wenn man entgegen der hier vertretenen Ansicht einen oder mehrere Verstöße bejahen sollte. Es fehlt auch an einer Kausalität. Soweit der Kl. behauptet, er erhalte unerwünschte SMS und E-­Mails, so handelt es sich um eine Erscheinung, die bereits mit der Nutzung des Internets als solcher zusammenhängt. Dem Gericht ist aus eigener Anschauung bekannt, dass auch Personen ohne F.-Account unerwünschte Anrufe oder Nachrichten, zB im Spamordner unerwünschte Werbe-E-­Mails erhalten. Selbst wenn beim Kl. tatsächlich derartige Anrufe seit April 2021 zugenommen haben mögen, so kann dies vielerlei Ursachen haben. Es ist völlig unklar und unbekannt, ob und welche Daten der Kl. an anderer Stelle freigegeben hat und ob ein unberechtigter Datenzugriff an anderer Stelle zu dem vom Kl. behaupteten vermehrten unerwünschten Nachrichtenaufkommen geführt hat. Die Kausalität ist aber schon deshalb zu verneinen, weil der Kl. ausweislich seiner eigenen Angaben im Rahmen seiner persönlichen Anhörung gem. § 141 ZPO ausgeführt hat, bis heute keinerlei Änderungen in seinen Profileinstellungen oder sonstige Schutzmaßnahmen ergriffen zu haben. Dann aber ist nicht erkennbar, worin ein kausaler Schaden liegen soll. Soweit der Kl. meint, einen Schmerzensgeldanspruch auf einen Verstoß der Bekl. gegen Art. 34 DS-GVO stützen zu können, weil die Bekl. ihm verspätet Auskünfte erteilt hat, geht er bereits deshalb fehl, weil nicht erkennbar ist, was er unternommen hätte, wenn er eher besagte Auskunft von der Bekl. erhalten hätte. Denn der Kl. hat auch nach aus seiner Sicht verspäteter Auskunftserteilung keinerlei Maßnahmen zum Eigenschutz ergriffen. Da ein Anspruch bereits dem Grunde nach nicht besteht, sind Ausführungen zur Höhe des geltend gemachten Schadensersatzanspruchs (eigentlich) entbehrlich. Wegen des präventiven und sanktionellen Charakters des Schmerzensgeldanspruchs aus der DS-GVO mag es sein, dass ein Schmerzensgeld iHv 1.000 EUR bei einem Verstoß in Betracht kommt. Es erschließt sich jedoch nicht, warum außergerichtlich ein Schmerzensgeld iHv 500 EUR begehrt wurde und nunmehr bei gleichbleibender Argumentation im gerichtlichen Verfahren 1.000 EUR begehrt werden. Es kann vorliegend dahinstehen, ob die DS-GVO als unmittelbar geltendes europäisches Recht nationales Recht verdrängt oder ein Nebeneinander anzunehmen ist, da ein solcher Anspruch auch bei Annahme eines „Nebeneinander“ nicht besteht. Mangels Anspruch in der Hauptsache besteht kein Anspruch des Kl. gegen die Bekl. auf Zahlung außergerichtlicher Rechtsanwaltskosten gem. § 280 Abs. 1 BGB oder aus Art. 82 Abs. 1 DS-GVO.

LG Stuttgart Urt. v. 25.1.2023 – 53 O 129/22

0 EUR Ein Anspruch des Kl. aus Art. 82 DS-GVO scheitert an einer fehlenden schadensersatzauslösenden Pflichtverletzung der Bekl. Etwaige Verstöße gegen die Pflicht zur Information und Aufklärung über die Verwendung und Geheimhaltung der Telefonnummer iSv Art. 5 Abs. 1 lit. a DS-GVO sowie gegen Informationspflichten nach Art. 13, Art. 14 DS-GVO und die behauptete unvollständige Auskunftserteilung gem. Art. 15 DS-GVO sind bereits nicht vom Schutzzweck des Art. 82 DS-GVO erfasst, da Benachrichtigungspflichten keine Verarbeitung iSd Art. 4 Abs. 2 DS-GVO darstellen. Auch werden vom Schutzbereich des Art. 82 DS-GVO Verstöße gegen Art. 34 DS-GVO nicht erfasst. Dahinstehen kann somit, ob die geschilderten Beeinträchtigungen des Kl. einen ersatzfähigen Schaden begründen und in welcher Höhe. Auch kann die von der Bekl. bestrittene Kausalität zu den klägerseits geschilderten Beeinträchtigungen dahinstehen. Ebenso kann dahinstehen, ob die fehlende Prüfung und Änderung der Einstellungen im Nutzerprofils des Kl. nach ausdrücklichem Hinweis der Bekl. ein anspruchsausschließendes Mitverschulden gem. § 254 BGB begründen.

LG Limburg Urt. v. 24.1.2023 – 4 O 278/22 = ZD 2024, 116 (Ls.)

0 EUR Die Kammer macht sich die Begründung in dem Urteil des LG Gießen v. 3.11.2022 (Az. 5 O 195/22, GRUR-RS 2022, 30480) zu Eigen. Im Einzelnen gilt: Es besteht kein Anspruch auf Zahlung eines immateriellen Schadensersatzes gem. Art. 82 Abs. 1 DS-GVO. Dem Kl. ist es nicht gelungen, den Eintritt eines (eigenen) Schadens als überwiegend wahrscheinlich (§ 287 ZPO) nachzuweisen. Nach dem ausdrücklichen Wortlaut der Vorschrift muss der Schaden „erlitten“ werden, woraus sich ergibt, dass dieser tatsächlich entstanden sein muss und nicht lediglich befürchtet wird. Zwar ist der Begriff des Schadens nach dem Erwägungsgrund 146 S. 3 weit auszulegen, sodass die Betroffenen einen wirksamen Ersatz bekommen; nach Auffassung der Kammer reicht jedoch ein bloßer Verstoß gegen Vorschriften der DS-GVO nicht aus, um (immateriellen) Schadensersatz verlangen zu können. Es bedarf vielmehr der Darlegung eines konkreten (auch immateriellen) Schadens. Allerdings ist es nicht erforderlich, dass der eingetretene Schaden erheblich ist; mithin sind auch Bagatellschäden ersatzfähig. Das Vorliegen eines konkreten, immateriellen Schadens, wozu auch Ängste, Sorgen, Stress sowie Komfort- und Zeiteinbußen zählen, hat der Kl. nicht hinreichend dargetan. Er hat zwar ausführen lassen, dass er einen erheblichen Kontrollverlust über seine Daten erlitten habe und deshalb unter großem Unwohlsein und Sorgen leide sowie einen Missbrauch befürchte. Letztlich kann die Kammer aber nicht mit hinreichender Wahrscheinlichkeit davon ausgehen, dass der Kl. unter den von ihm beschriebenen Ängsten und Sorgen tatsächlich leidet. Dagegen spricht bereits der Umstand, dass es sich bei den gescrapten Daten des Kl. mit – Ausnahme der Mobilfunknummer – um Daten handelt, die immer auf der F.-Seite öffentlich sind. Es ist diesen Daten immanent, dass sie jedem jederzeit zugänglich zu sind. Auf diesen Umstand weist die Bekl. ihre Nutzer auch ausdrücklich hin, sodass es für die Kammer nicht nachvollziehbar ist, weshalb eine „weitere Veröffentlichung“ dieser Daten, bei dem Kl. zu einem unguten Gefühl geführt haben sollte. Dagegen spricht weiterhin der Umstand, dass es sich offensichtlich um eine standardisierte Klageschrift handelt, die für eine Vielzahl von betroffenen Nutzern eingereicht wird. So ist zB vorgetragen, dass sich der Kl. aufgrund des Vorfalls mit betrügerischen E-­Mails auseinandersetzen müsse, obwohl die E-­Mail-Adresse gar nicht gescrapt worden sein kann, weil der Kl. sie – unstreitig – nicht angegeben hat. Ebenso kann die Kammer keinen konkreten immateriellen Schaden aus der Veröffentlichung der Mobilfunknummer ersehen. Erhebliche Zweifel an dem in der Klageschrift vorgetragenen Gemütszustand des Kl. ergeben sich bereits daraus, dass der Kl. die Mobilfunknummer angab, ohne von den auf der Website der Bekl. – leicht auffindbar – bereitgestellten Einschränkungsmöglichkeiten bzgl. der Suchbarkeitskriterien zu machen. Der klägerische Vortrag ist nicht hinreichend substantiiert und individualisiert, um den angeblichen immateriellen Schaden nachvollziehbar erscheinen zu lassen. Es ist weder vorgetragen noch ersichtlich, welche kriminellen oder auch nur lästigen Handlungen Dritte mit der Kombination aus immer öffentlich zugänglichen Daten des F.-Nutzers (Name, Profil- und Titelbilder, Netzwerke, Geschlecht, Nutzername und Nutzer-ID) und der Handynummer begehen sollten. Diese Daten gehen nicht über einen bloßen „Telefonbucheintrag“ hinaus. Ein diffuses Bedrohungsgefühl vermag ohne nachvollziehbare Tatsachengrundlage keinen immateriellen Schaden zu begründen. Auf Grund der vorgenannten Ausführungen kam es auf die Frage, ob und inwieweit die Bekl. gegen die DS-GVO verstoßen hat, nicht an. Insb. ist es insoweit nicht von Belang, dass die für die Bekl. zuständige (irische) Datenschutzbehörde – wie der Kl. vorträgt – im November 2022 wegen des 533 Mio. Datensätze betreffenden Scrapings eine Geldbuße i. H. v. 265 Mio. EUR gegen die Bekl. verhängt hat. Obiter dicta sei Folgendes angemerkt: Wollte man – entgegen der Auffassung der Kammer – jedem einzelnen betroffenen Nutzer zB einen Schadensersatzanspruch iHv von 100 EUR zuerkennen, würde dies in Summe einen Betrag iHv 53.300.000.000 (in Worten: dreiundfünfzig Milliarden dreihundert Millionen Euro) bedeuten. Dies stünde außer Verhältnis zur Schwere eines möglichen Datenschutzverstoßes der Bekl. Im Ergebnis liefe dies auf einen Strafschadensersatz (punitive damages) hinaus, der jedenfalls dem deutschen Zivilrecht fremd ist. Auch der Klageantrag zu 2 ist unbegründet. Es ist weder vorgetragen noch ersichtlich, dass dem Kl. aufgrund der von den Scrapern destillierten Kombination aus immer öffentlich zugänglichen Daten (Name, Profil- und Titelbilder, Netzwerke, Geschlecht, Nutzername und Nutzer-ID) und der Handynummer irgendwelche materiellen künftigen Schäden überhaupt entstehen können.

LG Lüneburg Urt. v. 24.1.2023 – 3 O 85/22

0 EUR Die klagende Partei hat gegen die Bekl. keinen Anspruch auf immateriellen Schadensersatz iHv 1.000 EUR gem. Art. 82 Abs. 1 DS-GVO, weil ein ersatzfähiger Schaden der klagenden Partei nicht vorliegt. Der klagenden Partei obliegt es, den Schaden darzulegen und zu beweisen. Die Darlegungs- und Beweislast für die haftungsbegründenden Voraussetzungen und demnach auch den Eintritt eines Schadens trägt nach allgemeinen zivilprozessualen Grundsätzen der Anspruchsberechtigte. Eine Beweislastumkehr ist in Art. 82 Abs. 3 DS-GVO ausdrücklich nur bzgl. des Gesichtspunkts des Verschuldens vorgesehen, eine umfassende, bereichsspezifische Beweislastumkehr ist in der Verordnung nicht angelegt. Auch aus Art. 82 Abs. 3 DS-GVO iVm dem Erwägungsgrund 146 S. 2 DS-GVO folgt keine Beweislastumkehr für das Vorliegen eines Schadens. Nach dem klaren und eindeutigen Wortlaut sowohl des Art. 82 Abs. 3 DS-GVO als auch der Ausführungen im Erwägungsgrund 146 DS-GVO bezieht sich die darin niedergelegte Nachweisobliegenheit des Verantwortlichen allein auf seine Verantwortlichkeit für die Umstände, die den Schaden herbeigeführt haben, nicht aber – auch – auf den Schaden selbst. Der Schaden i. S. d. Art. 82 DS-GVO kann sowohl materiell als auch immateriell sein. Der Schadenbegriff wird dabei weit ausgelegt. Der Schaden muss erlitten worden, dh tatsächlich entstanden sein und darf nicht lediglich befürchtet werden. Um bloße Unannehmlichkeiten oder Bagatellschäden auszuschließen, wird gefordert, dass der Schaden „spürbar“, objektiv nachvollziehbar und von gewissem Gewicht sein muss. Gemessen an diesen Voraussetzungen hat die klagende Partei nämlich keinen ersatzfähigen Schaden erlitten. Die klagende Partei hat sämtliche Daten, die nach ihrem Vortrag durch den streitgegenständlichen Vorfall widerrechtlich erlangt wurden, selbst im Internet veröffentlicht.

LG Lüneburg Urt. v. 24.1.2023 – 3 O 116/22

300 EUR Der Klageantrag zu 1 ist hinreichend bestimmt iSd § 253 Abs. 2 Ziff. 2 ZPO. Die klagende Partei hat gegen die Bekl. einen Anspruch auf Zahlung eines immateriellen Schadensersatzes iHv 300 EUR gem. Art. 82 Abs. 1 DS-GVO. Die Bekl. hat gegen die DS-GVO verstoßen und den ihr obliegenden Exkulpationsnachweis nicht geführt. Die klagende Partei hat einen ersatzfähigen Schaden erlitten, der kausal auf die Verstöße der Bekl. zurückzuführen ist und den die Kammer mit 300 EUR beziffert. Die Bekl. hat keine geeigneten technischen und organisatorischen Maßnahmen getroffen, um die personenbezogenen Daten der klagenden Partei zu schützen. Über das Vorliegen der weiteren von der klagenden Partei behaupteten Verstöße der Bekl. gegen die DS-GVO braucht die Kammer nicht zu entscheiden. Die Bekl. hat gegen die ihr gem. Art. 25 Abs. 1 DS-GVO auferlegte Obliegenheit verstoßen, geeignete Maßnahmen zu treffen, um die Rechte der klagenden Partei und ihre personenbezogenen Daten zu schützen. Weiterhin hat die Bekl. gegen Art. 25 Abs. 2 DS-GVO verstoßen, indem sie keine geeigneten technischen und organisatorischen Maßnahmen getroffen hat, die sicherstellen würden, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden. Es kommt insoweit hier nicht darauf an, ob die Bekl. zudem auch gegen Art. 13143334 Abs. 1 und 2, Art. 15 DS-GVO verstoßen hat, indem sie (1) die klagende Partei nicht ausreichend iSd DS-GVO über die Verarbeitung der personenbezogenen Daten informierte, weiterhin (2) die klagende Partei nach dem Scraping-Vorfall nicht von der Verletzung des Schutzes der personenbezogenen Daten der klagenden Partei und auch die zuständige Datenschutzbehörde nicht benachrichtigte und (3) der klagenden Partei in nicht ausreichendem Maße Auskunft erteilt hat. Die Kammer ist der Auffassung, dass nicht jeglicher Verstoß gegen die DS-GVO anspruchsbegründend iSd Art. 82 Abs. 1 DS-GVO ist. Vielmehr ist erforderlich, dass der Verstoß iRe Verarbeitung der personenbezogenen Daten begangen worden ist. Zwar ist Art. 82 Abs. 1 DS-GVO dem Wortlaut nach weit gefasst, wenn als Voraussetzung dort lediglich ein Verstoß gegen die DS-GVO verlangt wird. Art. 82 Abs. 1 DS-GVO ist jedoch unter Berücksichtigung des Art. 82 Abs. 2 DS-GVO und des Erwägungsgrunds 146 DS-GVO dahingehend auszulegen, dass von der Schadensersatzpflicht nur solche Schäden umfasst sind, die aufgrund einer Verarbeitung entstehen. Das Verhalten der Bekl., durch welches sie möglicherweise ihre Auskunfts-­, Informations- oder Benachrichtigungspflichten verletzt hat, stellt evident keine Verarbeitung iSd o. g. Legaldefinition dar und löst deshalb auch keinen Schadensersatzanspruch gem. Art. 82 Abs. 1 DS-GVO aus. Ferner begründet ein bloßer Verstoß des Verantwortlichen gegen die DS-GVO, ohne dass eine Schadenfolge eintritt, keine Haftung. Einen konkreten ersatzfähigen Schaden durch die (vermeintliche) Verletzung der Auskunfts-­, der Informations- und der Benachrichtigungspflicht durch die Bekl. hat die klagende Partei nicht einmal behauptet. Die klagende Partei hat lediglich unsubstantiiert behauptet, dass sie bei zeitnaher Benachrichtigung durch die Bekl. „Schritte zur Risikominimierung und Absicherung“ ergriffen hätte. Selbst eine hinreichende Substantiierung dieser (bestrittenen) Behauptung unterstellt, wäre die klagende Partei mangels eines entsprechenden Beweisangebotes jedenfalls diesbezüglich beweisfällig geblieben. Die Bekl. hat sich nicht gem. Art. 82 Abs. 3 DS-GVO von der vermuteten Haftung befreit. Die Verantwortung des Anspruchsverpflichteten wird zunächst grds. vermutet. Der Begriff des Schadens iSd Art. 82 Abs. 1 DS-GVO ist nach dem Erwägungsgrund 146 S. 3 DS-GVO weit auszulegen. Die Auslegung soll den Zielen der DS-GVO in vollem Umfang entsprechen, auch dem Ziel der Sanktion und Prävention. Ausreichend ist gem. Art. 82 Abs. 1 DS-GVO auch ein immaterieller Schaden. Die Erwägungsgründe 75 und 85 DS-GVO zählen beispielhaft auf, welche konkreten Beeinträchtigungen einen immateriellen Schaden darstellen können, darunter der Verlust der Kontrolle über die eigenen Daten. Ob eine Erheblichkeitsschwelle erreicht bzw. überschritten sein muss und so genannte Bagatellschäden auszuschließen sind, kann im hiesigen Fall dahingestellt bleiben, weil die von der klagenden Partei geltend gemachte Beeinträchtigung über eine reine Bagatelle hinausgeht. Vorliegend erlitt die klagende Partei einen erheblichen Kontrollverlust über ihre personenbezogenen Daten durch die Offenbarung ihrer Telefonnummer, insb. auch, aber nicht nur durch die Verknüpfung dieser Telefonnummer mit weiteren personenbezogenen Daten wie Vor- und Nachname der klagenden Partei. Die abgegriffenen und veröffentlichen Daten bedeuten für die klagende Partei ein hohes Risiko, dass diese Daten unbefugt benutzt werden. Dies auch deshalb, weil die Daten im Darknet veröffentlicht wurden, welches bei entsprechender Kenntnis bekanntermaßen für jedermann zugänglich ist. Die negativen Folgen können dabei vielfältig sein und schwere Nachteile mit sich bringen, wie zB die Belästigung durch Spam- und Werbenachrichten, die Zusendung von Viren oder vermögenswirksame Handlungen zu Lasten der klagenden Partei, sodass ein Schadensersatzanspruch gerechtfertigt ist. Es liegt auch die erforderliche Kausalität zwischen dem Verstoß der Bekl. gegen die DS-GVO und dem Schaden der klagenden Partei vor. Der Schaden der klagenden Partei ist auf die genannten Verstöße der Bekl. zurückzuführen. Der Schaden der klagenden Partei war für die Bekl. auch vorhersehbar. Ein völlig atypischer Verlauf, der die Kausalität ausschließen würde, liegt gerade nicht vor. Ein Schadensersatz iHv 300 EUR ist vorliegend angemessen. Art. 82 Abs. 1 DS-GVO macht bzgl. der Höhe des Schadensersatzanspruchs keine Vorgaben, sodass die Ermittlung gem. § 287 ZPO dem Gericht obliegt. Für die Bemessung der Höhe des Schadensersatzes können die Kriterien des Art. 83 Abs. 2 DS-GVO herangezogen werden, wie etwa die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs und des Zwecks der betreffenden Verarbeitung, weiterhin das Ausmaß des von der klagenden Partei erlittenen Schadens sowie die betroffenen Kategorien personenbezogener Daten. Zudem ist das Ziel des Schadensersatzanspruchs nach Art. 82 Abs. 1 DS-GVO zu berücksichtigen, Verstöße gegen die DS-GVO effektiv und abschreckend zu sanktionieren. Wesentlich für die Bemessung der Höhe des Schadensersatzes sind die konkreten Umstände des Einzelfalls. Vorliegend muss bei der Bemessung der Höhe des immateriellen Schadensersatzes der klagenden Partei zunächst berücksichtigt werden, dass der Kontrollverlust über die Daten hier zwar tatsächlich eingetreten ist und die oben beispielhaft dargestellten Risiken für die klagende Partei birgt. Allerdings ist auch zu berücksichtigen, dass die Gefahr von Spam- oder Fishing-Mails, sowie von mit krimineller Intention geführten Telefongesprächen auch zum allgemeinen Lebensrisiko gehört, mit welcher auch ohne den Verstoß gegen die DS-GVO gerechnet werden muss. Eine gesunde Skepsis ggü. Mails und Anrufen ist damit in gewisser Weise ohnehin berechtigt. In ganz erheblichem Maße wirkt sich vorliegend auch aus, dass die klagende Partei den Kontrollverlust ihrer Daten durch einen Wechsel ihrer Telefonnummer, die mit vergleichsweise wenig Umständen und Kosten verbunden ist, beseitigen kann. Aus diesem Grunde hatte die Kammer der Behauptung der klagenden Partei, wonach diese unter psychischen Beeinträchtigungen wie einem Unwohlsein leide, nicht weiter nachzugehen. Berücksichtigt werden muss daneben für die Bemessung der Schadensersatzhöhe auch die gesetzgeberisch beabsichtigte abschreckende Wirkung des Schadensersatzes, wobei die Kammer die hohe Abschreckungswirkung insb. in der Gesamtsumme aller immateriellen Schadensersatzansprüche gegen die Bekl. erblickt und berücksichtigt, dass das Allgemeininteresse im Schwerpunkt nach Art. 83 DS-GVO durch die Verhängung von Bußgeldern gewahrt wird. Die Höhe des von der Kammer angesetzten immateriellen Schadensersatzanspruchs berücksichtigt danach auch den Grundsatz der Verhältnismäßigkeit. Unter Abwägung dieser gesamten Gesichtspunkte erachtet die Kammer einen (immateriellen) Schadensersatz iHv 300 EUR für angemessen, aber auch ausreichend. Der Feststellungsantrag zu Ziff. 2 ist im tenorierten Umfang begründet. Er war im Hinblick auf das festgestellte Schadensereignis wie erfolgt zu präzisieren, weil er ansonsten zu weit gefasst gewesen wäre. Ein zulässiger Feststellungsantrag ist begründet, wenn die sachlichen und rechtlichen Voraussetzungen eines Schadensersatzanspruchs vorliegen, also ein haftungsrechtlich relevanter Tatbestand gegeben ist, der zu möglichen künftigen Schäden führen kann. Es bedarf iRd Begründetheit – entgegen der Auffassung der Bekl. – keiner darüberhinausgehender gewissen Wahrscheinlichkeit des Schadenseintritts. An der Erforderlichkeit eines solchen zusätzlichen Begründungselements hat der BGH – jedenfalls für den Fall, dass Gegenstand der Feststellungsklage ein befürchteter Folgeschaden aus der Verletzung eines deliktsrechtlich geschützten absoluten Rechtsguts ist Zweifel geäußert. Streitgegenständlich sind die nicht von den Bestimmungen der DS-GVO gedeckten Übermittlungen oder Verarbeitungen personenbezogener Daten, welche eine Verletzung des allgemeinen Persönlichkeitsrechts als sonstiges Recht iSd § 823 Abs. 1 BGB darstellen können. Die erkennende Kammer schließt sich diesbezüglich der vom BGH vertretenen Ansicht ausdrücklich an. Demnach reicht vorliegend bereits die Möglichkeit eines Schadens aus. Es liegen, wie dargelegt, die Voraussetzungen des Schadensersatzanspruches aus Art. 82 Abs. 1 DS-GVO vor. Auch die Möglichkeit künftiger materieller Schäden ist zu bejahen. Diese Möglichkeit folgt wie bereits angeführt daraus, dass nicht absehbar ist, welche Dritte möglicherweise Zugriff auf die Daten erhalten haben und für welche kriminellen Zwecke diese möglicherweise missbraucht werden. Es erscheint eben nicht von vorneherein ausgeschlossen, dass die klagende Partei zB betrügerische Anrufe erhält, welche sich durch Ausgabe als Bankmitarbeiter Zugriff zu sensiblen Kontodaten der klagenden Partei erschleichen. Als Teil des der klagenden Partei zustehenden Schadensersatzanspruchs hat sie gegen die Bekl. des Weiteren einen Anspruch auf Zahlung der außergerichtlichen Rechtsanwaltskosten, allerdings nur nach einem Gegenstandswert iHv bis zu 300 EUR, so dass sich ein Anspruch iHv 99,60 EUR (1,3 Geschäftsgebühr iHv 63,70 EUR zzgl. Auslagenpauschale iHv 20 EUR zzgl. Mwst. iHv 15,90 EUR) ergibt. Außergerichtlich ist als Schadensersatz nur der immaterielle Schaden geltend gemacht worden.

LG Lüneburg Urt. v. 24.1.2023 – 3 O 83/22

300 EUR Wie LG Lüneburg Urt. v. 24.1.2023 – 3 O 116/22.

LG Lüneburg Urt. v. 24.1.2023 – 3 O 82/22

300 EUR Wie LG Lüneburg Urt. v. 24.1.2023 – 3 O 116/22.

LG Lüneburg Urt. v. 24.1.2023 – 3 O 81/22

300 EUR Wie LG Lüneburg Urt. v. 24.1.2023 – 3 O 116/22.

LG Lüneburg Urt. v. 24.1.2023 – 3 O 74/22

300 EUR Wie LG Lüneburg Urt. v. 24.1.2023 – 3 O 116/22.

LG Lüneburg Urt. v. 24.1.2023 – 3 O 37/22

300 EUR Wie LG Lüneburg Urt. v. 24.1.2023 – 3 O 116/22.

LG Heilbronn Urt. v. 13.1.2023 – Bu 8 O 131/22 = ZD 2023, 280

0 EUR Dem Kl. steht kein Anspruch auf Ersatz immateriellen Schadens aus Art. 82 Abs. 1 DS-GVO zu. Hieran scheitern die Klageanträge Z. 1 und 2. a. Es fehlt bereits an der Anwendbarkeit dieser Norm. Soweit der Kl. der Bekl. mehrere Verstöße vorwirft, etwa ungenügende Information und Aufklärung über die Verarbeitung der ihn betreffenden Daten durch ungenügende Aufklärung zur Verwendung und Geheimhaltung der Telefonnummer (Art. 5 Abs. 1 lit. a DS-GVO), unmittelbaren Verstoß gegen Art. 1314 DS-GVO, die Informationspflichten enthielten, die seitens der Bekl. nicht eingehalten worden seien, ungenügender Schutz der personenbezogenen Daten der Nutzer von F. (Art. 2432 DS-GVO), unvollständig Auskunftserteilung nach Art. 15 DS-GVO, da nicht mitgeteilt worden sei, welchen Empfängern die Daten des Kl. durch Ausnutzung des Kontakt-Import Tools zugänglich gemacht worden seien (Art. 3334 DS-GVO), sind solche Verstöße schon nicht vom Schutzzweck des Art. 82 DS-GVO umfasst. Der sachliche Anwendungsbereich des Art. 82 DS-GVO ist zunächst bezogen auf die Geltendmachung behaupteter verspäteter Auskunftsansprüche gem. Art. 15 DS-GVO und Art. 34 DS-GVO nicht eröffnet. Anknüpfungspunkt für eine Haftung ist also eine der Verordnung nicht entsprechende Verarbeitung iSd Art. 4 Ziff. 2 DS-GVO. Dies steht im Einklang mit Erwägungsgrund 146, wonach der Verantwortliche oder der Auftragverarbeiter Schäden, die einer Person aufgrund einer Verarbeitung entstehen, die mit der DS-GVO nicht im Einklang stehen, ersetzen sollte. Die behauptete Verletzung von bloßen Benachrichtigungspflichten bzw. Informationsrechte ist hingegen nicht erfasst. Der Schutzbereich des Art. 82 DS-GVO umfasst ebenso wenig Verstöße gegen Art. 34 DS-GVO. Schließlich lässt sich auch von vornherein aus Art. 24 DS-GVO kein subjektives Recht herleiten, selbiges gilt für Art. 25 DS-GVO. Daher kann dahinstehen, ob Verstöße etwa gegen Art. 13, 14 und 34 durch die Bekl. erfolgten, da auch sie nicht unter den Schutzbereich des Art. 82 DS-GVO fallen, weil auch sie „lediglich“ Informationspflichten über die Verarbeitung enthalten, nicht aber die Verarbeitung als solche zum Gegenstand haben. Zudem fehlt es an entsprechenden Pflichtverstößen der Bekl. gegen Normen der DS-GVO. Art. 82 Abs. 3 DS-GVO hilft dem Kl. nicht weiter. Die Beweislastumkehr gilt nach dessen eindeutigen Wortlaut nicht für den Schaden, der Eintritt eines solcher wird somit nicht vermutet. Jedenfalls was die Telefonnummer des Kl. betrifft, ist zudem eine Kausalität des Scraping-Vorfalls für die klägerseits vorgetragenen dubiosen SMS und Spam-E-­Mails nicht festzustellen. Denn aus Anlage B 17 geht hervor, dass der Kl. im Zeitraum des Scraping-Vorfalls in den Einstellungen seines F. Accounts seine Telefonnummer für jedermann („Everyone“) sichtbar gestellt hatte, also nicht lediglich für seine Freunde oder für niemanden („Only me“). Somit konnte in dem genannten Zeitraum bis zur Änderung der Einstellungen am 27.12.2019 jeder, der ebenfalls einen F.-Account unterhielt, die Telefonnummer des Kl. legal und ohne Scraping in Erfahrung bringen. Jedenfalls fehlt es an einem ersatzfähigen Schaden des Kl. iSd Art. 82 Abs. 1 DS-GVO. Zwar ist nach Erwägungsgrund 146 S. 3 DS-GVO der Schadensbegriff weit auszulegen, der wirksame Schadensersatz muss auch Abschreckungscharakter haben. Grundvoraussetzung ist jedoch nach Erwägungsgrund 146 DS-GVO, dass der immaterielle Schaden „erlitten“, also tatsächlich entstanden sein muss (und nicht lediglich befürchtet werden darf). Daraus folgt auch, dass ein bloßer Verstoß gegen die DS-GVO bei der Datenverarbeitung für einen Anspruch auf Ersatz immaterieller Schäden nicht ausreicht. Es muss eine kausal hierauf beruhende spürbare Beeinträchtigung des Geschädigten hinzutreten, um von einem Schaden sprechen zu können, z. B. eine benennbare und nachweisbare Persönlichkeitsverletzung wie etwa eine „Bloßstellung“. Gemessen hieran ist ein Schaden des Kl. weder substantiiert vorgetragen noch ersichtlich. Der klägerseits behauptete „Kontrollverlust über seine Daten“ stellt keine spürbare Beeinträchtigung iSe Persönlichkeitsverletzung und damit keinen Schaden dar. Dasselbe gilt für einen behaupteten „Zustand großen Unwohlseins und Sorge über möglichen Missbrauch seiner Daten“. Die Behauptung, der Kl. habe seit April 2021 vermehrt dubiose E-­Mails und Nachrichten von unbekannten Adressen und Nummern erhalten, genügt ebenfalls nicht. Ferner gehört derartiges in unserer digitalisierten Welt mittlerweile zum allgemeinen Lebensrisiko, insb. dann, wenn man – wie der Kl. – durch Unterhaltung eines F.-Accounts oder durch Teilnahme an anderen sog. sozialen Netzwerken freigiebig seine personenbezogenen Daten ins Internet stellt. Angebliche Spam-Mails und -nachrichten können damit genauso von Personen stammen, die legal durch Teilnahme an einem sozialen Netzwerk an E-­Mail-Adresse und Telefonnummer des Kl. gelangt sind.

LG Kiel Urt. v. 12.1.2023 – 6 O 154/22 = ZD 2023, 282 mAnm Ebner

0 EUR Der Schmerzensgeldantrag verstößt der Höhe nach nicht gegen den Bestimmtheitsgrundsatz des § 253 Abs. 2 Ziff. 2 ZPO, da der Kl. sowohl in der Klagebegründung als auch im Klageantrag zu 1 einen Mindestbetrag von 1.000 EUR angegeben hat. Dem Kl. steht gegen die Bekl. kein Anspruch auf Zahlung eines immateriellen Schadensersatzes zu. Ein Anspruch des Kl. auf Zahlung eines immateriellen Schadensersatzes ergibt sich nicht aus Art. 82 Abs. 1 DS-GVO. Zwar ergibt sich aus dem Vortrag der Bekl., dass sich diese als Verantwortliche iSd Norm ansieht. Ein Verstoß gegen die Bestimmungen der DS-GVO liegt hingegen nicht vor, sodass auch offenbleiben kann, ob die Art. 13141524253234 DS-GVO in den Schutzbereich des Art. 82 DS-GVO fallen. IÜ mangelt es an einem ersatzfähigen Schaden des Kl. iSd Art. 82 Abs. 1 DS-GVO. Der Eintritt des Schadens muss dabei iSd § 287 ZPO als überwiegend wahrscheinlich dargetan werden. Auch wenn der Schadensbegriff im Lichte des Erwägungsgrundes 146 S. 3 der DS-GVO weit zu verstehen ist, so ist es dem Kl. nicht gelungen, diesen unter Zugrundelegung des vorbezeichneten Maßstabs hinreichend konkret darzulegen. Der Kl. benennt zwar als immaterielle Schadenspositionen Ängste, unter denen er leide, die daraus resultierten, dass er einen erheblichen Kontrollverlust über seine Daten erlitten habe und deshalb großem Unwohlsein und Sorgen in Bezug auf einen potentiellen Missbrauch seiner Daten durch Dritte ausgesetzt sei. Zudem sei es seit dem Scraping-Vorfall zu einem Anstieg an offenkundigen Betrugsversuchen in Form von Phishing-Mails und Anrufen gekommen. Das Gericht kann nicht mit hinreichender Wahrscheinlichkeit davon ausgehen, dass der Kl. unter den in der Klageschrift beschriebenen Ängsten und Sorgen tatsächlich leidet. Gegen das Vorliegen der von dem Kl. behaupteten Ängste spricht entscheidend, dass es sich bei den gescrapten Daten des Kl. um solche handelt, die immer öffentlich sichtbar sind. Es ist diesen Daten gerade immanent, dass sie jedem und jederzeit zugänglich sind. Hierauf wird der Kl. auch durch die Bekl. hingewiesen, sodass nicht nachvollziehbar ist, weshalb eine „weitere Veröffentlichung“ dieser Daten bei dem Kl. zu einem unguten Gefühl geführt haben sollte. In diesem Sinne kann schon nicht von einer Veröffentlichung der Daten durch Dritte gesprochen werden, die der Kl. selbst öffentlich zugänglich gemacht hat. Allenfalls entspricht die Korrellation der öffentlich einsehbaren Daten mit der Telefonnummer und das anschließende Publizieren eines derartig erstellten „Profils“ durch Dritte einem derartigen Verständnis. Die Ermöglichung eines derartigen Umstandes beruht aber gerade nicht auf einem Vorgehen, das der Bekl. zuzurechnen ist, sondern vielmehr auf den Suchbarkeitseinstellungen des Kl., die er jederzeit hätte ändern können. Weiterhin ist die Eingabe der Telefonnummer freiwillig und für die Registrierung nicht erforderlich gewesen. Trotzdem hat der Kl. seine Telefonnummer eingegeben. Wäre dem Kl. an der größtmöglichen Geheimhaltung seiner Telefonnummer gelegen, so hätte er sich darauf beschränken können, nur die notwendigen Informationen, also die für die Registrierung erforderliche E-­Mail, preiszugeben. Dass der Kl. tatsächlich nicht an den beschriebenen Ängsten und Sorgen leidet, ergibt sich nach Auffassung des Gerichts schließlich daraus, dass bei einer – durch den Kl. selbst dargestellten – Offenkundigkeit der Betrugsversuche ein Risiko, tatsächlich das Opfer eines derartigen Betruges zu werden, nicht vorhanden ist. Es ist ein Leichtes für den Kl., zu erkennen, dass Dritte mit derartigen Maßnahmen kriminelle Zwecke verfolgen. Darüber hinaus stehen die fragwürdigen E-­Mails schon gar nicht im Zusammenhang mit dem Scraping-Vorfall, da die E-­Mail-Adresse des Kl. nicht veröffentlicht wurde. Weiterhin hat der Kl. keinen Anspruch auf Erstattung vorgerichtlicher Rechtsanwaltskosten aus § 280 Abs. 1 BGB oder aus Art. 82 Abs. 1 DS-GVO, da es in der Hauptsache bereits an einem Anspruch mangelt.

LG Krefeld Urt. v. 11.1.2023 – 7 O 113/22

= ZD 2023, 634 (Ls.)

0 EUR Der Kl. hat schon nicht ausreichend dargelegt, dass er von dem streitgegenständlichen Scraping-Vorfall betroffen ist. Dem Kl. steht kein Anspruch auf Zahlung eines immateriellen Schadensersatzes gem. Art. 82 Abs. 1 DS-GVO zu. Die Norm statuiert auf Tatbestandsebene das Vorliegen eines Verstoßes gegen die DS-GVO, den Eintritt eines materiellen oder immateriellen Schadens und die Kausalität der beiden Voraussetzungen („wegen“). Es liegt ein Verstoß seitens der Bekl. gegen Art. 25 Abs. 1 und 2 DS-GVO vor. Dem Kl. ist es jedoch nicht gelungen, den Eintritt eines ihm entstandenen kausalen Schadens als überwiegend wahrscheinlich iSd § 287 ZPO nachzuweisen. Der Kl. kann den geltend gemachten Schmerzensgeldanspruch nicht auf einen Verstoß gegen Art. 5 Abs. 1 lit. a iVm Art. 12 und 1314 DS-GVO stützen. Das in Art. 5 Abs. 1 lit. a DS-GVO allgemein normierte und in Art. 1314 DS-GVO speziell ausgeformte Transparenzprinzip im Umfang mit personenbezogenen Daten (Art. 4 Abs. 1 DS-GVO) durch den Verarbeiter wurde hier nicht verletzt. Es liegt auch kein Verstoß gegen Art. 3224 DS-GVO vor. Auch ein Verstoß der Bekl. gegen die in Art. 33 und 34 DS-GVO geregelte Benachrichtigungspflicht kommt nicht in Betracht. Ein Verstoß liegt auch nicht wegen verspäteter Erfüllung des Auskunftsanspruchs des Art. 15 DS-GVO vor. Ein Verstoß gegen Art. 25 Abs. 2 DS-GVO liegt nicht vor. Dem Kl. ist es auch nicht gelungen, den Eintritt eines ihm entstandenen kausalen Schadens als überwiegend wahrscheinlich iSd § 287 ZPO nachzuweisen. Für den – hier geltend gemachten – immateriellen Schadensersatz gelten dabei die iRv § 253 BGB entwickelten Grundsätze; die Ermittlung obliegt dem Gericht nach § 287 ZPO. Es ist vielmehr Sache der nationalen Gerichte, herauszuarbeiten, wann das subjektive Unmutsgefühl aufgrund seiner Merkmale im Einzelfall als immaterieller Schaden angesehen werden kann. Ebenso kann die Kammer keinen konkreten immateriellen Schaden aus der Veröffentlichung der Mobilfunknummer ersehen. Zweifel an dem in der Klageschrift vorgetragenem Gemütszustand des Kl. ergeben sich für das Gericht diesbezüglich bereits aus dem Umstand, dass die Eingabe der Mobilfunknummer freiwillig erfolgte, mithin für die Registrierung nicht erforderlich war. Dass der Kl. diese gleichwohl trotzdem angab, spricht dafür, dass sein allgemeines psychisches Wohlbefinden wohl nicht von der möglichst restriktiven Geheimhaltung seiner Mobilfunknummer abhängig ist. Dies umso mehr vor dem Hintergrund, dass es sich bei dem betroffenen Mobil-Telefon um ein Diensttelefon handelt und der Kl. selbst in der IT-Branche tätig ist und eigenem Bekunden nach die Sicherheitsinteressen kennt. Daneben wurde der Kl. in den Suchbarkeits- und Kontaktierungseinstellungen ausdrücklich darauf hingewiesen, dass sein Profil anhand der von ihm angegebenen Telefonnummer auffindbar war. Zudem hat der Kl. nicht ausreichend dargelegt, dass seine Telefonnummer durch den Scraping-Vorfall abgegriffen wurde. IÜ erhalten gerichtsbekannt auch Personen unerwünschte E-­Mails und Anrufe, die keinen Account bei der Bekl. haben und dort ihre Telefonnummer hinterlegt haben, was auch gegen eine eventuelle Kausalität des Schadens spricht. In seiner informatorischen Anhörung ist auch nicht deutlich geworden, dass er durch den Vorfall erheblich iSd obigen Ausführungen betroffen war. So gab er an, eine Video der Kanzlei der Prozessbevollmächtigten auf Youtube gesehen zu haben. Er danach sei bei ihm der Verdacht aufgekommen, dass die vielen Phishing-Links und -SMS im Zusammenhang mit der Bekl. stehen könnten. Über einen Wechsel seiner Telefonnummer habe er nicht nachgedacht. Es könne, so der Kl., „nicht sein, dass das mein Problem ist, wenn dort Datenlecks bestehen“. IÜ hätte ein solcher Wechsel wegen der vielen Kundenkontakte auf seinem Handy auch aus seiner Sicht nicht in Relation zu dem Vorfall gestanden. Hinsichtlich des Verstoßes gegen Art. 25 DS-GVO fehlt es zudem am notwendigen Zusammenhang mit einer konkreten Datenverarbeitung. Schließlich hat der Kl. auch ein Verschulden des Bekl. hinsichtlich des Scraping-Vorfalls nicht ausreichend dargelegt. Selbst wenn man vorliegend einem Nebeneinander von europäischem Recht und nationalem Recht annimmt, fehlt es nach den obigen Ausführungen an einem Schaden iSd § 249 BGB. Das nationale Schadensrecht verlangt gerade eine spürbare Beeinträchtigung. Eine solche ist angesichts der vorstehenden Ausführungen, die hier sinngemäß gelten, zu verneinen.

LG Mönchengladbach Urt. v. 10.1.2023 – 3 O 87/22 = ZD 2023, 636 (Ls.)

0 EUR Der Kl. steht kein Anspruch auf immateriellen Schadensersatz nach Art. 82 DS-GVO zu. Die Voraussetzungen liegen nicht vor. Die Darlegungs- und Beweislast für die haftungsbegründenden Voraussetzungen trägt nach allgemeinen zivilprozessualen Grundsätzen der Anspruchsberechtigte, hier die Kl. Eine Beweislastumkehr ist in Abs. 3 ausdrücklich nur bzgl. des Gesichtspunkts des Verschuldens vorgesehen. Nach dem ausdrücklichen Wortlaut der Vorschrift muss der Schaden „erlitten“ werden, woraus sich ergibt, dass dieser tatsächlich entstanden sein muss und nicht lediglich befürchtet wird. Läge bei jedem DS-GVO-Verstoß automatisch ein immaterieller Schaden vor, wäre der Schaden als Anspruchsvoraussetzung überflüssig. Zwar ist der Begriff des Schadens nach dem Erwägungsgrund 146 S. 3 weit auszulegen, sodass die Betroffenen einen wirksamen Ersatz bekommen. Aber auch zur Geltendmachung eines Anspruchs auf Ersatz immaterieller Schäden genügt die Behauptung eines Verstoßes gegen die Vorschriften der DS-GVO ohne Vorbringen zu einem hierdurch entstandenen immateriellen Schaden nicht. Es bedarf vielmehr der Darlegung eines konkreten (auch immateriellen) Schadens. Ein solcher wird von der Kl. bereits nicht ausreichend dargelegt. Grds. können zwar auch Ängste, Sorgen und Stress einen immateriellen Schaden darstellen. Die Kl. beruft sich allerdings pauschal darauf, sie habe einen erheblichen Kontrollverlust über ihre Daten erlitten und sei in einem Zustand großen Unwohlseins und großer Sorge über möglichen Missbrauch ihrer Daten, was sie bereits nicht weiter konkretisiert. Gegen einen solchen erheblichen Kontrollverlust spricht bereits, dass – zugunsten der Kl. an dieser Stelle unterstellt – die für jeden abrufbare Datenbank die der Kl. zuzuordnenden Daten in der Form „…“ enthält, dann handelt es sich dabei größtenteils um ohnehin öffentlich einsehbare Daten auf F. mit Ausnahme der Telefonnummer. Die Angabe der Telefonnummer ist dabei ausweislich der Registrierungsabbildung nicht zwingend für das Anlegen eines Nutzerkontos bei f. Soweit sich die Kl. darauf beruft, dass sich ihr Unwohlsein in einem verstärkten Misstrauen bzgl. E-­Mails und Anrufen von unbekannten Nummern und Adressen manifestiere, ist ein vorsichtiger Umfang mit den Medien ohnehin grds. angebracht. Unabhängig von dem konkretem Vorfall sind Betrugsmaschen im Internet und am Telefon verbreitet. Zum anderen legt die Kl. auch bereits keine konkreten Vorfälle dar. Soweit sie sich auf erhaltene E-­Mails bezieht, kann deren Ursache ohnehin nicht in den gescapten, veröffentlichten Daten liegen, weil sich die E-­Mail-Adresse der Kl. schon nach eigenem Vortrag gar nicht unter den veröffentlichten Daten befindet. Dass die Kl. zudem „jedes Mal einen Betrug fürchtet und Unsicherheit verspürt“ erscheint angesichts der Pauschalität nicht glaubhaft. Offen bleibt auch, welche Maßnahmen die Kl. nach ihrem Vortrag ergreifen musste. Darüber hinaus kommt es nicht darauf an, ob der Bekl. datenschutzrechtliche Verstöße anzulasten sind. Ein Schadensersatzanspruch folgt auch nicht aus einer verzögerten Antwort auf das Auskunftsgesuch der Kl. gem. Art. 15 DS-GVO. Danach die betroffene Person das Recht, von dem Verantwortlichen Auskunft zu verlangen. Die Kl. konnte weder vorgerichtlich noch in diesem Rechtsstreit nachweisen, dass sie die betroffene Person ist, zu deren F.-Konto sie Auskunft verlangt. Mit Schreiben v. 9.9.2021 hat die Bekl. die Kl. Auskunft auf Grundlage der von der Kl. mitgeteilten Informationen zum behauptet betroffenen F.-Konto dergestalt erteilt, dass die Identifikation der Kl. anhand der zur Verfügung gestellten Informationen nicht möglich sei und Bereitstellung zusätzlicher Informationen gebeten. Dabei ist die Bekl. ihrer Verpflichtung nach Art. 12 Abs. 6 DS-GVO nachgekommen. Der Verantwortliche hat zu prüfen, ob es sich beim Auskunftsbegehrenden um die betroffene Person handelt, wie Art. 12 Abs. 6 DS-GVO festlegt, da Art. 15 DS-GVO nur die Auskunft an die betroffene Person erfasst. Bestehen Zweifel an der Identität der betroffenen Person, so können gem. Art. 12 Abs. 6 DS-GVO iVm Art. 11 DS-GVO weitere Informationen angefordert werden. Dem ist die Kl. aber erst – beiläufig – in der Replik nachgekommen, indem sie dort ihre F.-ID mitgeteilt hat. Anschließend hat die Bekl. mit Schreiben v. 12.12.2022 die begehrte Auskunft erteilt und den Anspruch der Kl. erfüllt, wobei der Kl. selbst unter Bezug auf die Datenbank bereits bekannt war, welche Daten von ihr veröffentlicht wurden.

LG Hamburg Urt. v. 3.1.2023 – 322 O 112/22 = ZD 2023, 562

0 EUR Die Klage ist zulässig. Die Klaganträge sind hinreichend bestimmt. Eine streitwertmäßige Unzuständigkeit wurde nicht gerügt. Ein Feststellungsinteresse ist nach der BGH- Rspr. nur für iÜ begründete Klagen erforderlich. Die Klage ist jedoch unbegründet. Der Kl. hat keinen der mit den Klaganträgen geltend gemachten Ansprüche, insb. nicht aus den §§ 1004823 Abs. 1823 Abs. 2 BGB iVm DS-GVO. Die geltend gemachten Ansprüche des Kl. scheitert bereits daran, dass der Kl. keinen Beweis dafür angetreten hat, dass er zur fraglichen Zeit einen Account bei der Bekl. hatte, so dass nicht sicher ist, dass er vom Scraping betroffen war. Ob dies daran liegt, dass der Kl. seinen Account gelöscht haben will, kann dahinstehen, da der Kl. auch für das Löschen keinen Beweis angetreten hat. Die Ansprüche des Kl. scheitern darüber hinaus auch bereits daran, dass ein überwiegendes Mitverschulden des Kl. vorliegt. Der Kl. wusste, dass seine Daten von ihm öffentlich gestellt worden waren. Dadurch war der Kl. damit einverstanden, dass jedermann darauf Zugriff nahm. Zwar sahen die Nutzungsbedingungen von F. ein Verbot des Scrapens vor. Das diente jedoch nicht dem Schutz gerade des Kl. Ob der Dritte neben dem Zugriff auf Daten des Kl. auch auf Daten weiterer F.-Nutzer zugriff, war für eine Beeinträchtigung der Interessen des Kl. einerlei. Der Effekt für den Kl. wäre der gleiche, wenn der Dritte ausschließlich auf die Daten des Kl. zugegriffen hätte. Wenn der Kl. seine Daten vor Dritten hätte schützen wollen, so hätte er dies tun können. Er hat jedoch keinerlei diesbezügliche Anstrengungen seinerseits vorgetragen, so dass es unerheblich ist, ob die diesbezüglichen Optionen leicht oder schwer zu finden waren.

Amtsgerichte

 

AG Düsseldorf Urt. v. 24.8.2023 – 51 C 206/23 = ZD 2024, 350

500 EUR Indem die Kl. die dem Beklagten nach Art. 15 DS-GVO zustehenden Ansprüche nicht erfüllt, führt dies zu einem Schadensersatzanspruch. Der Umstand, dass der Bekl. systematisch Verstöße gegen die DS-GVO in Bezug

auf seine Person verfolgt, ist bei der Höhe des Schadenersatzes zu berücksichtigen, führt aber nicht dazu, dass dies einen Anspruch wegen rechtsmissbräuchlichen Handelns ausschließt. Ein immaterieller Schadensersatz dient der Genugtuung, soll aber keine Einnahmequelle darstellen. Weiter kommt es bei der Höhe des Betrages nicht darauf an, wie wirtschaftlich potent der Anspruchsgegner ist. Der immaterielle Schadensersatzanspruch des geschädigten hat insoweit keine Straffunktion, so dass es auf eines „abschreckende" Wirkung nicht ankommt. Eine Erhöhung kommt auch nicht unter dem Gesichtspunkt in Betracht, dass die Kl. sich – rechtlich unbegründet – weigert die Auskunft zu erteilen und verlangten Daten herauszugeben. Dies wäre nur der Fall, wenn die Kl. mit den Daten weiterarbeiten würde, insb. sie seit dem spätestens 2.6.2023 an weitere Dritte weitergegeben hätte weitergeben würde und allein damit den Schaden des Bekl. vertiefen würde. Dies ist aber nicht ersichtlich.

AG München, Endurt. v. 3.8.2023 – 241 C 10374/23 = ZD 2024, 54

0 EUR Der Kl. hat keinen Anspruch auf Ersatz immateriellen Schadens iHv mindestens 1.000 EUR gegen die Bekl. gem. Art. 82 DS-GVO. Die Darlegungs- und Beweislast für die haftungsbegründenden Voraussetzungen trägt der Anspruchsberechtigte. Trotz Hinweis des Gerichts in der mündlichen Verhandlung hat der Kl. weder dargelegt, welche Pflichtverletzung nach der DS-GVO er der Bekl. vorwirft, noch welcher konkrete, immaterielle Schaden hierdurch eingetreten sein soll. Aus dem Schreiben v. 19.10.202 folgt nicht ein vorheriger Verstoß der Bekl. gegen die DS-GVO. Die Benachrichtigungspflicht gem. Art. 34 DS-GVO setzt eine „Verletzung des Schutzes personenbezogener Daten“ gem. Art. 4 Ziff. 12 DS-GVO voraus. Auf ein Verschulden oder eine Mitverursachung durch den Verantwortlichen kommt es hierbei nicht an. Selbst wenn ein Verstoß gegen die DS-GVO vorgelegen hätte, führt der Datenschutzverstoß an sich nicht zu einem Ersatzanspruch nach Art. 82 DS-GVO, da der „Verstoß gegen diese Verordnung“ und der „Schaden“ zwei unterschiedliche Tatbestandsmerkmale der Vorschrift sind. Auch reicht der bloße Kontrollverlust über Daten nicht für das Vorliegen eines Schadens aus.

AG Essen Urt. v. 2.5.2023 – 130 C 135/21 = ZD 2024, 109

600 EUR Der Kl. hat Anspruch auf Schadensersatz gem. Art. 82 Abs. 1 DS-GVO. Vorliegend hat der Bekl. unter der Bezeichnung „Europäischer Verein für Verbraucherschutz“ an die ihm über die Datenpanne der Stadt E… bekannt gewordene E-­Mail Adresse des Kl. ohne dessen Einwilligung eine E-­Mail gesendet. Damit hat er die E-­Mail Adresse, die zu den personenbezogenen Daten iSd DS-GVO gehört, verwendet. Die Verarbeitung war auch nicht rechtmäßig iSd Art. 6 DS-GVO. Ein Verschulden des Bekl. als Verantwortlichen wird nach Art. 82 Abs. 3 DS-GVO vermutet. Tatsachen, die diese Vermutung widerlegen würden, hat der Bekl. nicht vorgetragen. Dem Kl. steht aufgrund der zuvor dargestellten Haftung dem Grunde nach ein Schadensersatzanspruch aufgrund immateriellen Schadens zu. Materielle Schäden macht der Kl. nicht geltend. Der Betriff des immateriellen Schadens iSd Art. 82 Abs. 1 DS-GVO ist weit auszulegen. Die Definition des immateriellen Schadens iSd Art. 82 Abs. 1 DS-GVO ist in Rspr. und Lit. in den Einzelheiten umstritten. Grds. muss der Schaden, und zwar auch der immaterielle Schaden, entstanden sein. Das OLG Hamm verweist dabei auf den Erwägungsgrund 146 DS-GVO. Auch ein immaterieller Schaden ist daher konkret darzulegen. Nach der o. g. Rspr. des OLG Hamm ist dem Wortlaut des Art. 82 Abs. 1 DS-GVO nicht zu entnehmen, dass wie von einzelnen Gerichten angenommen, eine Erheblichkeitsschwelle erreicht bzw. überschritten sein muss. Ein immaterieller Schaden ist damit grds. auszugleichen, auch wenn er im Einzelfall nur zu einer geringfügigen Beeinträchtigung geführt hat. Zu den zu ersetzenden Schäden gehören auch Angst oder Schrecken. Der Kl. hat hier konkret einen immateriellen Schaden vorgetragen. Er sei durch die E-­Mail in Angst und Schrecken versetzt worden. Da die zuvor durch die Datenpanne der Stadt E… noch abstrakt ausgelöste Angst vor Datenmissbrauch sich nunmehr konkret dargestellt habe. Ebenso habe sich das Gefühl des Kontrollverlustes hierdurch verstärkt. Die von dem Bekl. in Frage gestellten Emotionen des Kl. hat dieser in seiner persönlichen Anhörung nachvollziehbar und ausführlich geschildert. Zwar hat das Gericht hier nicht verkannt, dass es sich bei den Angaben des Kl. um bloßen Parteivortrag und gerade nicht um ein Beweismittel handelt, das Gericht ist jedoch auch berechtigt, bei seiner Überzeugungsbildung die Angaben aus einer Parteianhörung ebenfalls als Erkenntnisquelle heranzuziehen. Da es sich vorliegend zudem um innere Tatsachen handelt, die dem äußeren Beweis nicht zugänglich sind, war das Gericht letztendlich gehalten, seine Feststellungen auf den Parteivortrag sowie die Anhörung des Kl. zu stützen. In seiner Anhörung hat der Kl. beschrieben, dass sich die bereits durch die Information der Stadt E… ausgelöste Sorge bzw. Angst davor, was mit den Daten wohl passieren werde, durch die E-­Mail des Bekl. konkreter geworden ist. Er habe dadurch gesehen, dass die Daten tatsächlich missbraucht werden. Gleiches beschrieb der Kl. hinsichtlich des bereits zuvor eingetretenen Kontrollverlusts über die eigenen Daten. Was für das Gericht nachvollziehbar und plausibel ist. Ein weiterer Schaden liegt darin, dass sich der Kl. mit der Abwehr der unerwünschten Werbung befassen musste. Nicht gefolgt ist das Gericht dem Kl., sofern er sich darauf berufen hat, dass er sich auch damit befassen musste, woher der Bekl. seine Daten hatte. Zum einen hat der Bekl. ihn selbst darauf hingewiesen, dass ihm die Liste aus der Datenpanne bekannt geworden ist, zum anderen war er ja bereits zuvor von der Stadt E… über die Datenpanne informiert worden, so dass er sich die Herkunft ohne Weiteres erschließen konnte. Der vom Kl. geltend gemachte immaterielle Schaden ist eine kausale Folge des Verstoßes gegen die DS-GVO des Bekl. Soweit dieser die Ursächlichkeit der Angst und des Kontrollverlustes des Kl. in Frage gestellt hat, kann dies dahinstehen. Denn es genügt bereits die Mitursächlichkeit, erforderlich ist nicht, dass der Verstoß für den Schaden allein ursächlich geworden ist. Zwar hat auch der Kl. in seiner persönlichen Anhörung bestätigt, dass diese Empfindungen bereits durch die Information über den Datenschutzvorfall der Stadt E… ausgelöst worden sind, dass aber aus der zuvor nur abstrakten Gefahr auf einmal eine konkrete wurde. Die E-­Mail des Bekl. hat also den Schaden noch verstärkt, so dass die erforderliche Mitursächlichkeit vorliegt. Dies war für den Bekl. nach Auffassung des Gerichts auch vorhersehbar. Der dargestellte Schadenseintritt rechtfertigt einen Schadensersatzanspruch des Kl. nach Art. 82 DS-GVO iHv 600 EUR. Bei der Bemessung der Schadenshöhe gelten die iRv § 253 BGB entwickelten Grundsätze; der Schaden ist nach § 287 ZPO zu schätzen. Dabei sind hinsichtlich des Art. 82 DS-GVO allgemein die Art, die Schwere und die Dauer, des Verstoßes, der Grad des Verschuldens, Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens, frühere einschlägige Verstöße, Auswirkungen für die Betroffenen sowie die Kategorien der betroffenen personenbezogenen Daten in die Erwägungen einzubeziehen. Nach Erwägungsgrund 146 DS-GVO soll der Begriff des Schadens im Lichte der Rspr. des EuGH weit und auf eine Art und Weise ausgelegt werden, „die den Zielen dieser Verordnung in vollem Umfang entspricht“. Nach dem Effektivitätsprinzip (effet utile) ist insoweit auch eine abschreckende Sanktion nicht ausgeschlossen. Dies bedeutet aber nicht, dass die Geldentschädigung zwingend „Strafcharakter“ haben muss, sondern die Höhe des Anspruchs muss auf der Basis des Effektivitätsprinzips eine abschreckende Wirkung haben. Zunächst ist hier zu berücksichtigen, dass der Bekl. allein die E-­Mail Adresse des Kl. verwendet hat, keine anderen personenbezogenen Daten des Kl. Zudem hat er diese nicht an andere weiter gegeben, sondern sie dazu verwendet, den Kl. über seine E-­Mail Adresse ohne dessen Einwilligung zu kontaktieren. Eine Weiterverbreitung durch den Bekl. ist mithin nicht erfolgt. Unter Beachtung der vorstehenden Erwägungen hält das Gericht bei einer Gesamtbetrachtung des vorliegenden Falles den zuerkannten Betrag iHv 600 EUR für angemessen, aber auch ausreichend. Dem steht auch nicht das Urteil des LG Heidelberg entgegen, dass für den Erhalt einer unerwünschten Werbe E-­Mail lediglich eine Entschädigung iHv 25 EUR zugesprochen hat. Anders als vorliegend hat das LG Heidelberg nicht über die Höhe eines angemessenen immateriellen Schadens entscheiden, sondern vielmehr dem dortigen Kl. einen materiellen Schaden für die erforderlichen Kosten für die Abwehr der unerbetenen Werbung angelehnt an die allgemein anerkannte Kostenpauschale bei Verkehrsunfällen zugesprochen. Soweit das LG einen immateriellen Schaden abgelehnt hat, ist die Sache ebenso nicht vergleichbar mit dem hiesigen Fall, da der dortige Kl. nicht zuvor Betroffener einer Datenschutzpanne gewesen ist, wie es aber vorliegend der Fall war. Der Anspruch des Kl. ist nicht aufgrund der Hilfsaufrechnung des Bekl. gem. § 389 BGB erloschen. Dem Bekl. steht kein Anspruch auf Schadensersatz gegen den Kl. zu, und zwar weder gem. Art. 82 Abs. 1 DS-GVO noch gem. § 97 Abs. 2 UrhG. Ein Anspruch aus Art. 82 Abs. 1 DS-GVO scheitert bereits daran, dass der persönliche Anwendungsbereich gem. Art. 2 Abs. 1 DS-GVO nicht eröffnet ist. Denn der Bekl. hat nicht unter Beweis gestellt, dass der Kl. seine Schriftsätze aus dem hiesigen Verfahren allein zu dem Zwecke weitergeleitet hat, dem Bekl. zu schaden bzw. der Stadt E… „Munition“ gegen ihn zu verschaffen. Dafür dass der persönliche Anwendungsbereich des Art. 2 Abs. 1 DS-GVO eröffnet ist, trägt aber gerade der Anspruchsteller die Beweislast. Letztendlich ist der Bekl. dem Vortrag des Kl., er habe die Schriftsätze zwecks Einholung einer Zweitmeinung weitergeleitet, auch nicht entgegen getreten, so dass dies als zugestanden gilt. Da die Weiterleitung damit nicht iRd beruflichen oder wirtschaftlichen Tätigkeit des Kl. erfolgt ist, ist der Anwendungsbereich nicht eröffnet, Art. 2 Abs. 2 lit. c DS-GVO.

AG München Urt. v. 11.4.2023 – 142 C 14677/22

500 EUR Scraping-Sachverhalt.

AG Siegen Urt. v. 30.3.2023 – 14 C 624/22

500 EUR Scraping-Sachverhalt.

AG Kleve Urt. v. 24.3.2023 – 36 C 44/22

500 EUR Scraping-Sachverhalt.

AG Ludwigsburg Urt. v. 28.2.2023 – 8 C 1361/22

0 EUR Der Widerkläger hat gegen die Widerbeklagte keinen Anspruch auf Unterlassung gem. § 823 Abs. 1 iVm § 1004 Abs. 1 S. 2 BGB analog und auf Schadensersatz gem. Art. 82 Abs. 1 DS-GVO wegen der dynamischen Einbindung von X. Fonts auf der Webseite der Widerbeklagten. Den vom Widerkläger geltend gemachten Ansprüchen steht der Einwand des Rechtsmissbrauchs gem. § 242 BGB entgegen. Die Rechtsausübung ist rechtsmissbräuchlich, wenn ihr kein schutzwürdiges Eigeninteresse zugrunde liegt. Das Interesse ist jedenfalls dann nicht schutzwürdig, wenn mit der Geltendmachung des Anspruchs überwiegend sachfremde, für sich gesehen nicht schutzwürdige Interessen und Ziele verfolgt und diese als beherrschendes Motiv der Verfahrenseinleitung erscheinen, wobei eine Gesamtwürdigung aller Umstände zu erfolgen hat. In § 8c Abs. 2 Ziff. 1 UWG ist geregelt, dass eine rechtsmissbräuchliche Geltendmachung im Zweifel anzunehmen ist, wenn die Geltendmachung der Ansprüche vorwiegend dazu dient, gegen den Zuwiderhandelnden einen Anspruch auf Ersatz von Aufwendungen oder von Kosten der Rechtsverfolgung oder die Zahlung einer Vertragsstrafe entstehen zu lassen. Diese Regelung entspricht im Wesentlichen dem § 8 Abs. 4 Abs. 1 UWG, der allerdings die Vertragsstrafe nicht erwähnte.

AG Köln Urt. v. 15.2.2023 – 123 C 195/22

0 EUR Ein Anspruch des Kl. auf Zahlung eines immateriellen Schadensersatzes gem. Art. 82 Abs. 1 DS-GVO besteht nicht. Dieser scheitert bereits daran, dass ein Schaden nicht dargelegt ist. Allein dass der Kl. auf die Datenauskunft "warten" musste, kann auch nach dem Schadensmaßstab der DS-GVO keinen ersatzfähigen Schaden begründen. Es muss auch bei einem immateriellen Schaden eine Beeinträchtigung eingetreten sein, die unabhängig von einer Erheblichkeitsschwelle wenigstens spürbar sein muss. Andernfalls scheidet ein "Schaden" begrifflich schon aus. Eine solche Spürbarkeit kann dem Vorbringen des Kl. schon nicht entnommen werden.

AG München Urt. v. 8.2.2023 – 178 C 13527/22 = ZD 2023, 635 (Ls.)

0 EUR Dem Kl. steht kein Anspruch auf Zahlung eines immateriellen Schadensersatzes gem. Art. 82 DS-GVO bzw. § 280 Abs. 1 BGB iVm dem Nutzungsvertrag oder einer anderen Anspruchsgrundlage zu. Auf Grund der gem. § 141 ZPO erfolgten persönlichen Anhörung des Kl. in der Sitzung ist das Gericht davon überzeugt, dass jedenfalls kein Schaden – der zu einer datenschutzrechtlichen Verletzung oder sonstiger Pflichtverletzung hinzukommen muss und nicht gleichgesetzt werden kann – vorliegt, sodass die anderen im Streit stehenden Rechtsfragen hier nicht entschieden werden müssen. Inwieweit der schriftsätzliche Vortrag der Klägervertreter mit der persönlichen Einlassung des Kl. in der mündlichen Verhandlung in Einklang zu bringen ist, ist hier nicht weiter zu diskutieren. Es ist damit unerheblich, ob es sich beim schriftsätzlichen klägerischen Vortrag um Textbausteine handelt, die in hunderten von Klagen – wie die Beklagtenvertreter vortragen – verwendet werden oder nicht. Für das Gericht ist die persönliche Einlassung des Kl. (§ 141 ZPO) in der mündlichen Verhandlung maßgeblich, die es gem. §§ 286287 ZPO seiner rechtlichen Bewertung zugrunde legt und daraus ergibt sich Folgendes: Der Kl. hat persönlich auf Nachfrage des Gerichtes erläutert, ihm habe der Vorfall keine schlaflosen Nächte bereitet, er sei noch nicht einmal aufgeregt gewesen, nachdem er von dem Vorfall Kenntnis erlangt hatte und habe auch nicht seine Einstellungen bei Facebook nachträglich geändert. Insgesamt sei ihm nur unwohl, weil er befürchte, seine Telefonnummer, die im Internet auffindbar ist, könnte für anonyme Anrufe benutzt werden. Dieser Aspekt wurde zudem vom Klägervertreter in der Sitzung an späterer Stelle nochmals aufgegriffen, der betont hat, der Vorfall sei ärgerlich, aber tue dem Kl. nicht weh, dieser habe aber ein ungutes Gefühl bzgl. künftiger Schäden. Der Kl. hat diesen Vortrag seines Prozessbevollmächtigten in der mündlichen Verhandlung auch bestätigt. Ein allgemeines und nicht weiter greifbares Unwohlsein alleine in der dargelegten Form genügt dem Gericht jedoch nicht, um von einem immateriellen Schaden ausgehen zu können, da damit die notwendige spürbare Beeinträchtigung nicht festgestellt werden kann. IÜ fehlt es auch an der Kausalität zwischen behaupteten Datenschutzverstößen und einem Schaden, selbst wenn man diesen anders, etwa allein in Form von Spam Nachrichten und Anrufen und damit letztlich in einem Kontrollverlust über die eigenen Daten begründen wollte. Der Kl. hat in seiner mündlichen Anhörung erklärt, dass er auch weitere soziale Netzwerke im Internet nutzte und nutzt – er selbst hat fünf weitere aufgezählt – so dass das Gericht nicht davon überzeugt ist, der behauptete Vorfall sei ursächlich für das Auffinden der Daten des Kl. im Internet und für behauptete vermehrte Spam Nachrichten und Anrufe – bis auf die Telefonnummer, waren es bei Facebook zudem öffentlich auffindbare Daten, die so vom Kl. hinterlegt wurden. Der Kl. selbst hat hier auch glaubhaft und lebensnah in der mündlichen Verhandlung erläutert, er könne es selbst nicht sagen, ob vermehrte Spam Nachrichten und anonyme Anrufe vom „Facebook-Vorfall“ herrühren.

AG Waldbröl Urt. v. 12.1.2023 – 3 C 100/22 = ZD 2023, 420 (Ls.)

0 EUR Der Klageantrag zu 1 ist hinreichend bestimmt iSd § 253 Abs. 2 Ziff. 2 ZPO. Der Klageantrag zu 1 stellt die Höhe des geltend gemachten Schmerzensgeldanspruchs in das Ermessen des Gerichts und gibt sogar eine Mindesthöhe von 1.000 EUR an. Der Kl. hat keinen Anspruch auf Zahlung eines immateriellen Schadensersatzes in Höhe der mindestens geltend gemachten 1.000 EUR gegen die Bekl. Ein solcher Anspruch ergibt sich weder aus dem unionsrechtlichen Schadensersatzanspruch aus Art. 82 Abs. 1 DS-GVO noch aus anderen denkbaren nationalen Anspruchsgrundlagen. Zur Begründung eines Anspruchs aus Art. 82 Abs. 1 DS-GVO fehlt es jedenfalls an einem Schaden des Kl. Der Kl. hat keine tatsächlichen Anknüpfungspunkte dargelegt, die nach einer an den Maßstäben des § 287 Abs. 1 S. 1 ZPO orientierten Bewertung auf einen ersatzfähigen immateriellen Schaden iSd Art. 82 Abs. 1 DS-GVO hindeuten. Art. 82 DS-GVO setzt den Nachweis des Eintritts eines konkreten (immateriellen) Schadens voraus. Eine bloße Rechtsverletzung iSd DS-GVO reicht nicht allein zur Begründung eines individuellen Schadensersatzanspruchs aus. Nach Ansicht des Gerichts setzt der Anspruch aus Art. 82 Abs. 1 DS-GVO den Nachweis eines konkreten immateriellen Schadens voraus. Die bloße Verletzung einer datenschutzrechtlichen Vorschrift begründet allein noch keinen Schadensersatzanspruch. Es muss der Nachweis eines konkret erlittenen Schadens geführt werden. Ein bloßes Ärgernis über einen Rechtsverstoß reicht nicht aus. Dies ergibt sich schon aus dem Wortlaut des Art. 82 Abs. 1 DS-GVO. Art. 82 Abs. 1 DS-GVO setzt voraus, dass ein Schaden „entstanden“ ist. Die DS-GVO trennt also zwischen Rechtsverstoß und einem „entstandenen“ Schaden. Weiterhin spricht Erwägungsgrund 146 S. 6 für diese Auslegung. Der Schaden muss nach S. 6 des Erwägungsgrundes 146 „erlitten“ worden sein. Auch die Verwendung des Wortes „erlitten“ spricht für eine eigenständige Bedeutung des Schadensbegriffs und dafür, dass der Rechtsverstoß in einer Weise für den Anspruchssteller eine spürbare Beeinträchtigung darstellt. In anderen Worten muss der Rechtsverstoß also zu einer objektiv nachvollziehbaren Beeinträchtigung führen. Den Kl. trifft hinsichtlich des Schadenseintritts die Darlegungs- und Beweislast. Art. 82 DS-GVO sieht keine Beweislastumkehr in Bezug auf den eingetretenen Schaden vor. Dies ergibt sich allein aus einem Umkehrschluss aus der Regelung des Art. 82 Abs. 3 DS-GVO. Etwas anderes ergibt sich auch nicht aus der allgemeinen Rechenschaftspflicht aus Art. 5 Abs. 2 DS-GVO. Im Ergebnis kann die Frage, ob die allgemeine Rechenschaftspflicht in Art. 5 Abs. 2 möglicherweise eine Beweislastumkehr begründet sogar offen bleiben, weil sich die Rechenschaftspflicht aus Art. 5 Abs. 2 DS-GVO nur auf den Rechtsverstoß selbst bezieht. Selbst wenn man also eine Beweislastumkehr in Art. 5 Abs. 2 DS-GVO hineinliest, so greift sie zumindest nicht für den Schadensnachweis. Denn der Nachweis über den Schaden ist – wie oben dargestellt – von der bloßen Rechtsverletzung zu trennen und eine Regelung über den Schadensnachweis trifft Art. 5 DS-GVO in jedem Falle nicht. Soweit der Kl. behauptet, er habe durch den Scraping-Vorfall die Angst vor einem Kontrollverlust über seine Daten erlitten, so ist diese Behauptung unplausibel. Die abgerufenen Daten waren bereits vor dem Scraping-Vorfall öffentlich zugänglich. Daran hat der streitgegenständliche Vorfall nichts geändert. Auch vor dem Vorfall waren die Daten bereits für die Allgemeinheit zugänglich und abrufbar. Es liegt insofern durch das Scraping keine Verschlechterung der Position des Kl. vor. Ein Kontrollverlust kann sich hieraus nicht ergeben, weil der Kl. schon vor dem Vorfall die Kontrolle über die Daten insofern abgegeben hatte. Auch hinsichtlich der Telefonnummer ergibt sich diesbezüglich keine andere Bewertung. Der Kl. hat seine Telefonnummer freiwillig iRd Registrierung hinterlegt. Eine Individualisierbarkeit der persönlichen Empfindungen ist jedoch elementar für die Bewertung nach § 287 ZPO, ob ein immaterieller Schaden beim Kl. vorliegt, denn es reicht für den Schadensersatzanspruch aus Art. 82 Abs. 1 DS-GVO nicht aus, dass eine bloße objektive Rechtsverletzung festgestellt wird. Die Ausführungen des Kl. erschöpfen sich in formelhaften pauschalen Ausführungen, ohne jeglichen persönlichen Bezug oder konkrete Beschreibungen dazu, wie sich die Ängste, Sorgen und das Unwohlsein konkret äußern. Es ist unstreitig zwischen den Parteien, dass die Klageschrift und auch die Replik des Kl. auf standardisierten Schriftsätzen beruhen, die die Prozessbevollmächtigten des Kl. – wiederum unbestritten – in hunderten von Klagen gegen die Bekl. verwenden. Die Schriftsätze enthalten keine Individualisierung, die den Schluss auf einen tatsächlich erlittenen Schaden in Form einer spürbaren persönlichen Beeinträchtigung zulässt. Die Behauptungen des Kl., er habe sich mit dem „Datenleak“ auseinandersetzen, den Sachverhalt ermitteln und um Auskunft von der Bekl. kümmern müssen, begründen ebenfalls keinen ersatzfähigen Schadensposten. Es kann offen bleiben, ob der Kl. diesbezüglich überhaupt eine hinreichend substantiierte und damit anknüpfungsfähige Tatsachengrundlage vorgetragen hat. Denn der klägerische Vortrag bezieht sich lediglich auf vermeintlich getätigte Aufwendungen, die – wenn sie tatsächlich angefallen wären – nur als Begleitschaden und deshalb zumindest nicht ohne ersatzfähigen Hauptschaden zu ersetzen wären. Aufwendungen sind iRd Schadensersatzes nur ersatzfähig, wenn sie zur Beseitigung eines Hauptschadens getätigt werden. Das heißt, Aufwendungen müssen im Hinblick auf ein zumindest konkret drohendes Hauptschadenschadensereignis aufgewendet werden. Außerdem werden Aufwendung zur Betreibung einer Rechtsverfolgung ersetzt, wenn sich diese ebenfalls auf einen zu ersetzenden Hauptschaden bezieht. Vorliegend fehlt es an einem solchen ersatzfähigen Hauptschaden.

Landesarbeitsgerichte

 

NEU LAG Düsseldorf Urt. v. 28.11.2023 – 3 Sa 285/23 = ZD 2024, 473 mAnm Walchner

0 EUR Dem Kl. steht gegen die Bekl. kein Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO, der einzigen hier in Betracht kommenden Anspruchsgrundlage, wegen verspäteter und inhaltlich unvollständiger Erfüllung seines Auskunftsanspruchs aus Art. 1512 Abs. 3 DS-GVO zu. Denn weder erfasst der Schadensersatzanspruch aus Art. 82 Abs. 1 DS-GVO von vornherein den Fall einer verspäteten und zunächst unvollständigen Auskunftserteilung noch hat der Kl. – unabhängig hiervon und die Entscheidung damit eigenständig tragend – einen ihm konkret entstandenen immateriellen Schaden schlüssig dazulegen vermocht. Die Berufungskammer folgt dem Arbeitsgericht noch in seiner Einschätzung, dass weder das Auskunftsersuchen des Kl. noch die Geltendmachung von Schadensersatz rechtsmissbräuchlich erfolgten. Auch im Bereich des Datenschutzrechts ist anerkannt, dass die missbräuchliche oder betrügerische Berufung auf Unionsrecht nicht gestattet ist. Rechtsmissbrauch in diesem Sinne verlangt aber das Vorliegen eines objektiven und eines subjektiven Tatbestandsmerkmals. Objektiv muss sich aus einer Gesamtwürdigung der Umstände ergeben, dass trotz formaler Einhaltung der von der Unionsregelung vorgesehenen Bedingungen das Ziel dieser Regelung nicht erreicht wird. Hinsichtlich des subjektiven Tatbestandsmerkmals muss aus einer Reihe objektiver Anhaltspunkte ersichtlich sein, dass wesentlicher Zweck der fraglichen Handlungen die Erlangung eines ungerechtfertigten Vorteils ist. Denn das Missbrauchsverbot greift nicht, wenn die fraglichen Handlungen eine andere Erklärung haben können als nur die Erlangung eines (ungerechtfertigten) Vorteils. In Anwendung dieser Grundsätze sind keine hinreichenden Anhaltspunkte für die Annahme eines rechtsmissbräuchlichen Auskunftsersuchens des Kl. und einer nachfolgend rechtsmissbräuchlichen Geltendmachung von Schadensersatz ersichtlich. Es mag eigentümlich anmuten, dass nach nur einmonatigem Bestand eines Arbeitsverhältnisses, welches zudem viele Jahre zurückliegt, zudem nach im Jahr 2020 bereits erteilter, inhaltlich recht unspektakulärer Datenauskunft und ohne nähere Anhaltspunkte für eine nicht rechtskonforme Datennutzung und -verarbeitung durch die Bekl. gleichwohl durch den Kl. nur zwei Jahre später erneut ein Auskunftsersuchen gestellt wird. Auffällig ist darüber hinaus, dass der Kl. erkennbar professionell und als Nichtjurist gleichwohl rechtlich sehr gewandt jedenfalls im Datenschutzrecht auftritt, wie sich dem außergerichtlichen und erstinstanzlichen Schriftverkehr deutlich entnehmen lässt. All dies begründet aber keinen Rechtsmissbrauch. Denn zum einen ist zu berücksichtigen, dass Art. 15 DS-GVO kein besonderes rechtliches Interesse an der begehrten Auskunft voraussetzt, sondern per se der Durchsetzung des – wie der Kl. zu Recht betont – Grundrechts aus Art. 8 Abs. 1, Abs. 2 S. 2 GRCh dient. Weder das Auskunftsverlangen des Kl. als solches noch, dass es im Hinblick auf ein Jahre zurückliegendes Arbeitsverhältnis von kurzer Dauer geltend gemacht wurde noch, dass es im Jahr 2022 neuerlich geltend gemacht wurde begründet mithin einen Rechtsmissbrauchseinwand. Das Ziel der DS-GVO, dem Kl. die Überprüfung einer rechtskonformen Datenverarbeitung seiner personenbezogenen Daten durch die Bekl. zu ermöglichen, kann erreicht werden und kann auch nach zwei Jahren eine neuerliche Auskunft erfordern. Immerhin werden fortlaufend weiter gewisse Daten des Kl. – wenn auch rechtmäßig, worüber hier kein Streit besteht – bei der Bekl. zur Erfüllung gesetzlicher Pflichten gespeichert, damit hat der Kl. aber auch fortlaufend weiter in angemessenem zeitlichem Abstand ein rechtlich schützenswertes Interesse an einer Auskunftserteilung, um die weiterhin rechtskonforme Datenverarbeitung zu überprüfen. Dass es dem Kl. von vornherein mit seinem Auskunftsverlangen allein auch die Geltendmachung von Schadensersatzansprüchen angekommen wäre, ist nicht ersichtlich. Sein professionelles Auftreten als solches lässt diesen Schluss nicht zu. Im Gegenteil muss sich die Bekl. hier durchaus Vorhalten lassen, dass sie bei wiederholter Antragstellung des Kl., dem sehr begrenzten Datenbestand, der über ihn noch vorhanden ist und der bereits zwei Jahre zuvor ja erteilten Auskunft mit gewisser Leichtigkeit das Ersuchen in kürzester Zeit hätte erfüllen und sich damit auch gleich den vorliegenden Prozess hätte ersparen können. Abgesehen hiervon: Selbst wenn es der Kl. darauf anlegt, vielfach verantwortliche Stellen, bei denen Daten über ihn gespeichert sind, auf Auskunft in Anspruch zu nehmen, um die Einhaltung der gesetzlichen Vorschriften zu überprüfen und im Falle der Nichteinhaltung weitere Rechte geltend zu machen, kann Rechtsmissbrauch damit nicht begründet werden. Denn was der Kl. dann macht, ist Rechtsgebrauch und nicht dessen Missbrauch. Wie schon im Anwendungsbereich des AGG sind es nicht selten die professionell agierenden Kl., die wichtige Rechtsfragen einer höchstrichterlichen Klärung zuführen und dem Ziel – dort effektiver Schutz vor Diskriminierung, hier effektiver Schutz personenbezogener Daten – der europäischen Richtlinien bzw. hier der Datenschutz-Grundverordnung dienen. Die Annahme, der Kl. versuche allein, sich hier einen ungerechtfertigten Vorteil zu verschaffen, hat damit keine objektiv feststellbare Tatsachengrundlage. Dass zudem die speziellen Voraussetzungen eines offenkundig unbegründeten oder exzessiven Auskunftsersuchens iSv Art. 12 Abs. 5 DS-GVO nicht vorliegen, hat das Arbeitsgericht ebenfalls zutreffend festgestellt. Offensichtlich unbegründet war das Auskunftsersuchen des Kl. nicht und die einmalige Wiederholung erfüllt schon begrifflich nicht die Voraussetzung einer „häufigen“ Wiederholung iSv Art. 12 Abs. 5 S. 2 DS-GVO. Nach Ablauf von zwei Jahren kann das einmal wiederholte Verlangen auch iÜ nicht als exzessiv betrachtet werden. Entgegen der Rechtsansicht von Kl. und Arbeitsgericht scheitert der hier geltend gemachte Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO jedoch von vornherein daran, dass es bei einer verspäteten oder unvollständigen Datenauskunft nach Art. 12 Abs. 315 DS-GVO an einer Datenverarbeitung iSv Art. 4 Ziff. 2 DS-GVO fehlt, die wiederum aber Voraussetzung für den Anspruch auf immateriellen Schadensersatz gem. Art. 82 Abs. 1 DS-GVO ist. Nach Erwägungsgrund 146 DS-GVO soll damit erreicht werden, dass der Verantwortliche oder der Auftragsverarbeiter Schäden, die einer Person aufgrund einer Verarbeitung entstehen, die mit der DS-GVO nicht in Einklang steht, ersetzen. Auch der weitere Text des Erwägungsgrundes 146 nimmt erkennbar durchweg Bezug auf Schäden durch eine nicht rechtskonforme Datenverarbeitung. Teilweise wird bereits aus dem unmittelbaren Wortlaut von Art. 82 Abs. 1 DS-GVO und der Zielrichtung hergeleitet, dass der Schadensersatzanspruch umfassend sämtliche Rechtsverstöße gegen die Verordnung erfasse, gleichgültig ob diesen eine Datenverarbeitung iSd Legaldefinition des Art. 4 Ziff. 2 DS-GVO zugrunde liege. Demgegenüber wird eingewandt, dass schon aus Erwägungsgrund 146 S. 1 DS-GVO, aber auch aus Art. 82 Abs. 2 DS-GVO und aus der Entstehungsgeschichte folge, dass nur eine gegen die Verordnung verstoßende Datenverarbeitung Schadensersatzansprüche nach Art. 82 DS-GVO auslösen könne und hierunter insbesondere nicht die verspätete oder unvollständige Datenauskunft nach Art. 15 DS-GVO falle. Der letztgenannten Ansicht ist zu folgen. Wie das LAG Nürnberg bereits zutreffend ausgeführt hat, „sind bei der Auslegung einer Unionsvorschrift nicht nur der Wortlaut, sondern auch ihr Zusammenhang und die Ziele zu berücksichtigen, die mit der Regelung, zu der sie gehört, verfolgt werden. Die Entstehungsgeschichte einer unionsrechtlichen Vorschrift kann ebenfalls relevante Anhaltspunkte für deren Auslegung liefern. Unter Berücksichtigung dieser Grundsätze folgt insbesondere aus dem Erwägungsgrund 146 DS-GVO, welcher eine grundsätzlich geeignete und wichtige Orientierungshilfe der Auslegung darstellt, dass der Schadensersatzanspruch auf Verstöße gegen eine rechtswidrige Datenverarbeitung iSv Art. 4 Ziff. 2 DS-GVO begrenzt ist und verspätete, falsche oder gar gänzlich unterbliebene Auskünfte an eine Person gem. Art. 15 Abs. 1 DS-GVO somit nicht haftungsauslösend sind. Für dieses Auslegungsergebnis spricht nicht nur der Wortlaut des Erwägungsgrundes 146, welcher ebenso wie der die Haftungsverpflichtung konkretisierende Art. 82 Abs. 2 DS-GVO stets nur eine gegen die DS-GVO verstoßende „Datenverarbeitung“ erwähnt, sondern auch die Entstehungsgeschichte des Art. 82 DS-GVO. Die entsprechende ursprüngliche Regelung in Art. 71 des Kommissionsentwurfes (KOM (2012) 11) sah bezüglich der Schadensersatzpflicht noch vor: „Jede Person, der wegen einer rechtswidrigen Verarbeitung oder einer anderen mit dieser Verordnung nicht zu vereinbarenden Handlung ein Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den für die Verarbeitung Verantwortlichen oder gegen den Auftragsverarbeiter.“ Dieser Entwurf ging damit vom Wortlaut ursprünglich ersichtlich weiter als z. B. die spätere Fassung des Vorschlags des Parlaments (Drs. 9565/15), welche im Entwurf zu Art. 77 DS-GVO die Schadensersatzpflicht nur auf Schäden bezog, die einer Person aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht. Der ursprüngliche Erwägungsgrund 118 (KOM (2012) 11) bzw. der spätere Erwägungsgrund 146 selbst beschränkten sich insoweit vom Wortlaut her von Anfang an nur auf eine rechtswidrige bzw. eine gegen die Verordnung verstoßende Datenverarbeitung. Somit verbleibt es nach zutreffender Auffassung in der vorliegenden Konstellation der Verletzung der Auskunftspflicht nach Art. 15 DS-GVO nur bei der möglichen Sanktionsfolge nach Art. 83 Abs. 5b) DS-GVO. Dem schließt sich die erkennende Berufungskammer vollinhaltlich an. Aus Sicht der erkennenden Berufungskammer entspricht diese Auffassung auch der nunmehr aktuellen Rspr. des EuGH. Dieser stellt nämlich in der Entscheidung v. 4.5.2023 – C-300/21 [= ZD 2023, 446 mAnm Mekat/Ligocki] – Österreichische Post ausdrücklich klar, dass Art. 82 Abs. 2 DS-GVO die Haftungsregelung, deren Grundsatz in Art. 82 Abs. 1 DS-GVO festgelegt ist, dahingehend präzisiert, dass die drei Voraussetzungen für den Schadensersatzanspruch bestehen in einer Verarbeitung personenbezogener Daten unter Verstoß gegen die Bestimmungen der DS-GVO, einem der betroffenen Person entstandenen Schaden sowie einem Kausalzusammenhang zwischen der rechtswidrigen Verarbeitung und diesem Schaden. Dabei bezieht sich auch der EuGH auf die diese Auslegung bestätigenden Erläuterungen in Erwägungsgrund 146 DS-GVO, aber auch Erwägungsgrund 75 und 85 DS-GVO, die allesamt auf eine verordnungswidrige Datenverarbeitung Bezug nehmen. Die verspätete und/oder unvollständige Datenauskunft nach Art. 12 Abs. 315 DS-GVO stellt keine verordnungswidrige Datenverarbeitung dar, die einen Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO auslösen könnte. Die Nichterteilung einer Datenauskunft lässt sich selbst unter die Tatbestandsmerkmale dieses recht umfassenden Begriffs der Datenverarbeitung nicht subsumieren. Wird eine Datenauskunft nicht erteilt, stellt dies für sich genommen eben keine Verarbeitung, sondern deren Gegenteil, eine Nichtverarbeitung von Daten dar. Unterlässt die verantwortliche Stelle die Auskunftserteilung an den Betroffenen, dann werden dessen personenbezogene Daten hierdurch weder erhoben, erfasst, organisiert, geordnet, gespeichert, angepasst, verändert, ausgelesen, abgefragt, verwendet, offengelegt oder sonst bereitgestellt Sie werden dann auch nicht abgeglichen, verknüpft, eingeschränkt, gelöscht oder vernichtet. Vielmehr wird all dies gerade unterlassen. Die verspätete oder unvollständige Auskunftserteilung geht gleichfalls nicht mit einer Datenverarbeitung einher. Es handelt sich weder um eine Offenlegung durch Übermittlung, denn mit dieser ist das Bekanntgeben personenbezogener Daten an Empfänger iSv Art. 4 Ziff. 19 DS-GVO oder Dritte iSv Art. 4 Ziff. 10 DS-GVO gemeint und zu beiden Personengruppen zählt der Betroffene nicht, noch handelt es sich um eine Verwendung. Selbst wenn man dies anders sähe und die Auskunftserteilung unter den Auffangbegriff der Verwendung von personenbezogenen Daten subsumierte, fehlte jedenfalls der Kausalzusammenhang zu einem etwaigen Schaden. Denn ein solcher wäre allenfalls denkbar, wenn eine Datenauskunft unzutreffend, also inhaltlich falsch erteilt würde. Dieser Fall liegt hier nicht vor. Wendet sich der Kl. jedoch wie hier nicht gegen eine inhaltlich falsche Auskunft, sondern gegen deren verspätete und unvollständige Erteilung, dann ist die Verarbeitung als solche nicht kausal für einen Schaden des Kl. Der von ihm geltend gemachte Schaden bezieht sich vielmehr – erneut – auf die vorübergehende bzw. teilweise Unterlassung einer Verarbeitung seiner personenbezogenen Daten. Nicht die Auskunft als solche – so man in ihr eine Verarbeitung sieht – ist ursächlich für eine Beeinträchtigung bzw. einen materiellen oder immateriellen Nachteil des Kl., sondern das Unterlassen der fristgerechten und vollständigen Auskunftserteilung. Den Verspätungsschaden kann der Kl. jedoch nicht über Art. 82 Abs. 1 DS-GVO liquidieren, sondern allenfalls über § 286 BGB. Nach dieser Norm wiederum steht ihm allerdings kein immaterieller Schadensersatz zu und einen materiellen Verspätungsschaden macht der Kl. nicht geltend. Um es abschließend nochmals klarzustellen: Der von der DS-GVO bezweckte effektive Schutz der personenbezogenen Daten des Kl. wird durch diese, aus Sicht der Berufungskammer aus Wortlaut, Systematik und Entstehungsgeschichte zwingend folgende Auslegung des Art. 82 DS-GVO nicht in Frage gestellt. Das Auskunftsrecht aus Art. 12 Abs. 315 DS-GVO steht ihm fraglos zu und kann zum einen bei Nichtbeachtung klageweise eingefordert werden, zum anderen können materielle Verzögerungsschäden über § 286 BGB liquidiert werden. Hinzu tritt das Ordnungswidrigkeiten recht mit der Sanktion aus Art. 83 Abs. 5 lit. b DS-GVO. Sollte sich zudem aus einer – ob nun fristgerecht oder nachträglich erteilten – Datenauskunft ergeben, dass tatsächlich eine verordnungswidrige Verarbeitung erfolgt (ist), besteht der materielle wie immaterielle Schäden umfassende Ersatzanspruch aus Art. 82 Abs. 1 DS-GVO uneingeschränkt. Was der Kl. hier jedoch geltend macht, ist kein Schaden durch eine verordnungswidrige Datenverarbeitung, sondern ein (angeblicher) Schaden durch das unterlassene bzw. verspätete Verarbeiten personenbezogener Daten. Dieser Fall fällt nicht in den Anwendungsbereich des Art. 82 DS-GVO. Unabhängig von den Ausführungen unter II. 2 und damit die Entscheidung eigenständig tragend scheidet ein Anspruch des Kl. auf Ersatz eines immateriellen Schadens nach Art. 82 Abs. 1 DS-GVO aber auch aus, weil er einen solchen Schaden nicht schlüssig dargelegt hat. Zwar hat der EuGH in der bereits zitierten Entscheidung v. 4.5.2023 – C-300/21 [= ZD 2023, 446 mAnm Mekat/Ligocki] – Österreichische Post ausgeführt, dass der Ersatz eines immateriellen Schadens nicht von einer Erheblichkeitsschwelle abhängig gemacht werden darf. Zugleich hat der EuGH aber auch betont, dass diese Auslegung nicht bedeutet, dass eine Person, die von einem Verstoß gegen die DS-GVO betroffen ist, der für sie negative Folgen gehabt hat, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden iSv Art. 82 DS-GVO darstellen. Nicht bereits jeder noch so niedrigschwellige Verstoß gegen die DS-GVO begründet mithin per se bereits einen immateriellen Schaden, sondern der Schaden als solcher ist schlüssig zu begründen. Dabei genügen – auch wenn ein Kontrollverlust einen immateriellen Schaden an sich durchaus zu begründen vermag, wie sich bereits aus den Erwägungsgrund 75 und 85 DS-GVO ergibt – keine Pauschalbehauptungen und Allgemeinplätze, vielmehr ist nachvollziehbar zu begründen, worin der immaterielle Schaden bestehen soll. Soll der behauptete Schaden – wie hier geltend gemacht – in einem „Regelschaden“ des Kontrollverlustes bestehen, ist über das Regelhafte hinaus gleichwohl individuell zu begründen, welchen konkreten Kontrollverlust der Kl. befürchtet. Anderenfalls bliebe es bei bloßen Leerformeln. Diese konkrete Darlegung eines immateriellen Schadens ist durch den Kl. nicht erfolgt, wie die Bekl. zu Recht rügt. So fehlen jegliche Angaben des Kl., zu zB welchen der wenigen überhaupt noch über ihn gespeicherten personenbezogenen Daten er angesichts der erst nach zwei Monaten statt zwei Wochen und damit – davon geht auch die Berufungskammer aus – verspätet erteilten Auskunft einen Kontrollverlust aus welchem Grund erlitten habe. Selbst der Kl. behauptet ja nicht – und dies, obwohl er offenkundig nicht viel von seinem als „milliardenschwerer Miethai“ verunglimpften, kurzzeitigen früheren Arbeitgeber hält — einen gesetzwidrigen Datenabfluss oder eine unzulässige Datenspeicherung. Er hatte 2020 bereits eine Auskunft erhalten, zu der er ebenfalls nicht behauptet, sie sei falsch gewesen oder habe irgendwie schon damals befürchten lassen, dass die Bekl. – um erneut die Worte des Kl. zu zitieren – „Schindluder“ mit seinen Daten betreibe. Warum also sollte die hier lediglich etwas verspätet, aber unstreitig auch nach dem Berufungsvorbringen des Kl. jedenfalls am 1.12.2022 vollständig erteilte Auskunft nunmehr konkret einen Kontrollverlust ausgelöst haben? Diese Frage bleibt unbeantwortet, das Vorbringen des Kl. erschöpft sich insoweit in Allgemeinplätzen. Gleiches gilt für die allgemein vorgebrachte Emotion des Kl. zu einer Angst vor einem „Schindludertreiben“ der Bekl. mit seinen Daten und für seine Behauptung, von deren Verhalten genervt zu sein. Ärger und Frust als Pauschalbehauptung vermögen einen konkreten immateriellen Schaden nicht zu begründen. Auch wenn das Überschreiten einer Erheblichkeitsschwelle bei der Schadensdarlegung nicht gefordert wird, bleibt die Anforderung bestehen, den Schaden auch im niedrigschwelligen Bereich jedenfalls konkret und nicht mit Allgemeinplätzen zu begründen. Diese Anforderung erfüllt das Vorbringen des Kl. nicht. Die von ihm ebenfalls nicht näher erläuterte „Angst“ vor einem „Schindludertreiben“ der Bekl. mit seinen Daten wird in keiner Weise nachvollziehbar begründet. Warum treibt den Kl. angeblich diese Angst um, wo die Bekl. doch in den sechs Jahren zuvor auch unstreitig kein „Schindluder“ mit den Daten seines für ganze vier Wochen im Jahr 2016 bestandenen Arbeitsverhältnisses betrieben hat? Solange dies für die Berufungskammer nicht ansatzweise aus dem Vorbringen des Kl. klar wird, würde es „Schindluder“ auf Klägerseite Tür und Tor öffnen, wollte man aufgrund solcher Pauschalbehauptungen immateriellen Schadensersatz – noch dazu in einer Höhe von sage und schreibe 10.000 EUR – zusprechen. Das ist nicht Sinn und Zweck der DS-GVO und führte allenfalls zu einer Diskreditierung eines sinnvollen und notwendigen gesetzgeberischen Ansinnens, indem mit vermeintlichen, durch nichts spezifizierten und erläuterten Verlustängsten aus dem Datenschutz eine massenhaft nutzbare Einnahmequelle gemacht würde. Soweit der Kl. schließlich als immateriellen Schaden eine Einschränkung in seinen Rechten aus Art. 16171821 DS-GVO behauptet, begründet auch dies keine schlüssige Schadensdarlegung. Denn dass insoweit Berichtigungsansprüche, Löschungsrechte, ein Recht auf Einschränkung der Datenverarbeitung oder auch auf Widerspruch gegen eine Datenverarbeitung überhaupt begründet wären, ist weder dargelegt noch ersichtlich. Eine konkrete Darlegung wäre dem Kl. aber seit 1.12.2022 und damit im vorliegenden gerichtlichen Verfahren problemlos möglich gewesen.

LAG Köln Beschl. v. 8.11.2023 – 9 Ta 134/23 = ZD 2024, 180

0 EUR Dasselbe gilt für den vom Kl. geltend gemachten Entschädigungsanspruch wegen der verzögerten Erteilung der Auskunft, den er auf Art. 82 Abs. 1 DS-GVO stützt. Der Anspruch aus Art. 82 Abs. 1 DS-GVO ist auch dann, wenn er sich gegen eine Behörde richtet, kein Anspruch aus der Verletzung einer Amtspflicht, für den gem. Art. 34 S. 3 GG der ordentliche Rechtsweg nicht ausgeschlossen werden dürfte. Denn bei dem Entschädigungsanspruch geht es nicht um eine auf die Anstellungskörperschaft übergeleitete Haftung eines Amtsträgers, sondern um eine originäre Haftung der Behörde selbst. Der Anspruch aus Art. 82 Abs. 1 DS-GVO richtet sich nämlich gegen den Verantwortlichen. Verantwortlicher ist gem. Art. 4 Ziff. 7 DS-GVO die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über Zweck und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Der Begriff des Verantwortlichen ist daher institutionell zu verstehen. Werden in einer Behörde Daten verarbeitet, ist damit nicht der jeweilige Amtsträger persönlich Verantwortlicher iSv Art. 4 Ziff. 7 DS-GVO und damit auch nicht Adressat des Anspruchs. Dieser richtet sich vielmehr unmittelbar gegen den Staat bzw. die jeweilige Anstellungskörperschaft. Damit handelt es sich um einen ggü. den in Art. 34 GG erfassten Amtshaftungsansprüchen grundlegend anders gearteten Anspruch.

NEU LAG Baden-Württemberg Urt. v. 27.10.2023 – 7 Sa 35/23

0 EUR Soweit die Kl. auch zweitinstanzlich Schadenersatz begehrt, ist ergänzend auszuführen, dass ein solcher jedenfalls auch verjährt wäre. Letzteres gilt unabhängig davon, ob ein solcher Anspruch auf Art. 82 Abs. 1 DS-GVO oder auf § 48 Abs. 1 DSG-EKD gestützt wird. Die Verjährungsvorschriften nach §§ 194ff BGB finden sowohl auf Art. 82 Abs. 1 DS-GVO als auch auf § 48 Abs. 1 DSG-EKD Anwendung. Nach der ständigen Rspr. des EuGH ist es mangels einschlägiger unionsrechtlicher Vorschriften nach dem Grundsatz der Verfahrensautonomie Sache der innerstaatlichen Rechtsordnung jedes Mitgliedstaats, die Verfahrensmodalitäten für Klagen, die den Schutz der dem Einzelnen aus dem Unionsrecht erwachsenden Rechte gewährleisten sollen, zu regeln, wobei die betreffenden Anforderungen jedoch nicht ungünstiger sein dürfen als diejenigen, die gleichartige, dem innerstaatlichen Recht unterliegende Sachverhalte regeln (Äquivalenzgrundsatz), und die Ausübung der durch das Unionsrecht verliehenen Rechte nicht praktisch unmöglich machen oder übermäßig erschweren dürfen. Danach ist die von der Bekl. erhobene Einrede der Verjährung begründet. Die regelmäßige Verjährungsfrist beträgt für Schadenersatzansprüche, beruhen sie auf einer Pflichtverletzung oder einer unerlaubten Handlung, nach § 195 BGB drei Jahre. Der subjektivierte Beginn des Laufs der Verjährungsfrist nach § 199 Abs. 1 Nr. 2 BGB (Gläubigerkenntnis) trägt dem unionsrechtlich gebotenen Grundsatz der Effektivität insofern Rechnung, als die Durchsetzung des in Rede stehende Schadenersatzanspruchs von der Kenntnis der den Anspruch begründenden Umständen abhängt. Der Äquivalenzgrundsatz ist insofern gewahrt, als die Durchsetzung des Schadenersatzanspruchs nach Art. 82 Abs. 1 DS-GVO dem gleichen Verjährungsregime unterworfen ist wie sonstige Schadenersatzansprüche nach nationalem Recht. Auf die Höchstfristen nach § 199 Abs. 2 und 3 BGB kommt es dann nicht an, wenn die Verjährung bereits nach Abs. 1 vollendet worden ist.

LAG Mecklenburg-Vorpommern Urt. v. 17.10.2023 – 2 Sa 61/23

0 EUR Der Antrag auf Zahlung einer Entschädigung nach Art. 82 Abs. 1 DS-GVO ist ebenfalls unbegründet. Dem Kl. steht insoweit ein Anspruch gegen den Bekl. nicht zu. Es kann dahinstehen, ob der Bekl. zu Lasten des Klägers einen Verstoß gegen die DS-GVO begangen hat, ob zB ein Verstoß gegen Art. 15 Abs. 1 DS-GVO vorliegt, weil der Bekl. dem Kl. nicht sämtliche der in dieser Vorschrift vorgeschriebenen Auskünfte erteilt bzw. diese – weil nicht binnen Monatsfrist – verspätet erteilt hat. Der Kl. hat nämlich nicht darzustellen vermocht, dass ihm aus einem etwaigen derartigen Verstoß gegen die DS-GVO ein immaterieller oder materieller Schaden erwachsen ist. Der Eintritt eines materiellen oder immateriellen Schadens ist jedoch Voraussetzung für einen Entschädigungsanspruch. Art. 82 Abs. 1 DS-GVO ist nämlich dahin auszulegen, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadensersatzanspruch zu begründen. Zudem handelt es sich nicht um einen von dem Vorliegen eines konkreten Schadens losgelösten Strafschadenersatz. Die reine Sanktionierung von Verstößen ist davon losgelöst durch die Geldbußen nach Art. 83 DS-GVO und weiteren Sanktionsmöglichkeiten nach Art. 84 DS-GVO geregelt. Dem klägerischen Vorbringen ist die Darlegung eines konkreten immateriellen Schadens jedoch nicht zu entnehmen. Der Kl. hat sich vielmehr auf den Standpunkt gestellt, dass allein ein Verstoß gegen die Vorschriften der DS-GVO einen Schadensersatzanspruch gem. Art. 82 Abs. 1 DS-GVO nach sich ziehe. Auch auf den ausdrücklichen Hinweis des Bekl. auf die Rspr. des EuGHs (Urt. v. 4.5.2023 – C-300/21 [= ZD 2023, 446 mAnm Mekat/Ligocki] – Österreichische Post) hat der Kl. dem danach bestehenden Erfordernis der Darlegung eines konkreten immateriellen Schadens nicht durch entsprechendes Tatsachenvorbringen genüge getan. Ein Entschädigungsanspruch nach Art. 82 Abs. 1 DS-GVO kann ihm somit nicht zugesprochen werden.

LAG Baden-Württemberg Urt. v. 28.7.2023 – 9 Sa 73/21 = ZD 2024, 228

2.500 EUR Verantwortlicher iSd Art. 4 Ziff. 7 DS-GVO kann neben dem Arbeitgeber auch eine Person sein, die sich als "Inhaber" eines Betriebes ausgibt und eigenverantwortliche Entscheidungen über die Verarbeitung von personenbezogenen Daten trifft. Er haftet dann auf Zahlung einer Entschädigung nach Art. 82 Abs. 1 DS-GVO mit dem Arbeitgeber gesamtschuldnerisch. Ein Anspruch auf Zahlung einer Entschädigung nach Art. 82 DS-GVO setzt nicht voraus, dass ein Auskunftsanspruch ggü. dem zur Auskunftserteilung Verpflichteten iSd Rspr. des BAG geltend gemacht wurde. Es reicht aus, dass der Verpflichtete erkennen kann, dass der Arbeitnehmer seine Rechte nach Art. 15 Abs. 1 DS-GVO geltend macht. Nimmt der Arbeitgeber dem Arbeitnehmer einen diesem gehörenden USB – Stick mit persönlichen Daten weg und liest diesen aus und sichert die Daten, hat er Auskunft zu erteilen, welche Daten er ausgelesen und gesichert hat. Im Fall der Verletzung dieser Auskunftspflicht haftet er auf Schadensersatz nach Art. 82 DS-GVO.

LAG Baden-Württemberg Urt. v. 27.7.2023 – 3 Sa 33/22

10.000 EUR Die verspätete Auskunftserteilung auf ein Verlangen nach Art. 15 Abs. 1 DS-GVO stellt als solche keinen immateriellen Schaden dar. Ein bloßer Verstoß gegen die Vorgaben der DS-GVO genügt nicht, um einen Schadensersatzanspruch gem. Art. 82 Abs. 1 DS-GVO zu begründen. Art. 82 Abs. 1 DS-GVO enthält auch keine Vermutung dahingehend, dass der mit einem Verstoß gegen die DS-GVO einhergehende Kontrollverlust über die eigenen Daten als solcher zu einem ersatzfähigen immateriellen Schaden führt. Ein Antrag gem. Art. 15 Abs. 1 S. 1 Hs. 2 DS-GVO auf Auskunftserteilung über "sämtliche personenbezogenen Daten" genügt regelmäßig nicht dem Bestimmtheitserfordernis des § 253 Abs. 2 Nr. 2 ZPO.

LAG Düsseldorf Urt. v. 26.4.2023 – 12 Sa 18/23

1.500 EUR Die Bekl. ist verpflichtet, dem Kl. gem. Art. 82 Abs. 1 DS-GVO eine Entschädigung iHv 1.500 EUR zu zahlen. Eine weitergehende Entschädigung steht dem Kl. nicht zu. Einen solchen Anspruch macht der Kl. hier geltend, auch wenn er im Antrag von einem Schmerzensgeld spricht. Damit bringt er nur zum Ausdruck, dass es ihm insoweit nicht um einen materiellen Schadensersatz geht, sondern den davon zu unterscheidenden immateriellen Schadensersatz gem. Art. 82 Abs. 1 DS-GVO, welchen die Kammer als Entschädigung bezeichnet hat. Davon geht der Kl. zuletzt ausdrücklich aus, wenn er sich zur Begründung seines Begehrens auf Art. 82 Abs. 1 DS-GVO stützt und ausführt, dass es insoweit auf eine schwerwiegende Persönlichkeitsverletzung nicht ankomme und die Observation durch einen Detektiv einen immateriellen Schaden iSv Art. 82 DS-GVO darstelle. Die Bekl. hat das Klagebegehren genauso verstanden, geht indes davon aus, dass die Datenverarbeitung durch sie rechtmäßig erfolgt sei und insb. alleine ein Verstoß gegen die DS-GVO keinen Schaden darstelle. Es liegt der für Art. 82 DS-GVO erforderliche Verstoß gegen deren Bestimmungen vor, weil die Detektivüberwachung des Kl. als Datenverarbeitung im vorliegenden Fall unverhältnismäßig und damit rechtswidrig war. Die Kammer geht dabei zunächst unter Bezugnahme auf den Erwägungsgrund aus 146 S. 5 DS-GVO davon aus, dass für einen Verstoß „gegen die Verordnung" auch ein Verstoß gegen die erlassenen delegierten Rechtsakte und Durchführungsrechtsakte sowie präzisierenden Rechtsvorschriften der Mitgliedstaaten ausreicht. Hier liegt ein Verstoß gegen § 26 Abs. 1 BDSG vor, weil die Überwachung des Kl. unverhältnismäßig war. § 26 Abs. 1 BDSG regelt die Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses. Es soll sich um eine Vorschrift auf der Grundlage von Art. 88 DS-GVO handeln. Ein Verstoß gegen § 26 Abs. 1 BDSG bedeutet daher zugleich einen Verstoß gegen die DS-GVO, weil das nationale Recht die DS-GVO insoweit nur ausgestaltet. Es kann offenbleiben, ob § 26 Abs. 1 BDSG unangewendet bleiben muss, weil er den Vorgaben von Art. 88 Abs. 2 DS-GVO nicht entspricht und auch nicht den Anforderungen von Art. 6 Abs. 3 DS-GVO genügt. Wäre dem so, dann würde die Verarbeitung personenbezogener Daten im Beschäftigungskontext im privaten Bereich unmittelbar durch die Bestimmungen der DS-GVO geregelt. Ggfs. kämen hier Art. 6 Abs. 1 S. 1 lit. b DS-GVO in Betracht, wenn die Verarbeitung für die Erfüllung eines Vertrags erforderlich ist oder aber Art. 6 Abs. 1 S. 1 lit. f DS-GVO. Die Datenverarbeitung in Form der Detektivüberwachung des Kl. war nicht erforderlich und zugleich unverhältnismäßig. Die Datenverarbeitung wurde nicht auf das notwendige Maß beschränkt. Die erkennende Kammer hält im konkreten Fall eine Entschädigung von 1.500 EUR für angemessen. Ein höherer Anspruch steht dem Kl. nicht zu. Entgegen der Ansicht der Bekl. scheidet ein Anspruch auf Ersatz des immateriellen Schadens des Kl. nicht deshalb aus, weil es hier um einen bloßen Verstoß gegen die Bestimmungen der DS-GVO geht, der alleine nicht zur Begründung des Schadensersatzes ausreiche. Richtig ist allerdings, dass der EuGH in seinem Urt. v. 4.5.2023 C-300/21 [= ZD 2023, 446 mAnm Mekat/Ligocki] – Österreichische Post inzwischen ausgeführt hat, dass Art. 82 Abs. 1 DS-GVO dahin auszulegen ist, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen immateriellen Schadensersatzanspruch zu begründen. Anderseits hat der EuGH in der genannten Entscheidung erkannt, dass der Begriff des immateriellen Schadens autonom und unionsrechtlich einheitlich zu definieren ist. Dabei sie die betroffene Person nicht von dem Nachweis befreit, dass der Verstoß gegen die DS-GVO für sie negative Folgen gehabt habe, welche einen immateriellen Schaden darstellen. Anderseits sei keine Voraussetzung, dass der der betroffenen Person entstandene immaterielle Schaden einen bestimmten Grad an Erheblichkeit erreicht hat. Der Kl. hat auch unter Anwendung dieser Grundsätze einen eigenen immateriellen Schaden im Sinne negativer Folgen dargelegt. Zunächst bedarf es nicht mehr der Feststellung einer schwerwiegenden Persönlichkeitsrechtsverletzung. Eine solche Erheblichkeitsschwelle stellt Art. 82 Abs. 1 DS-GVO nicht auf. Entgegen der Ansicht der Bekl. liegt in der verdeckten Überwachung des Kl. durch die Detektei mit den von ihm angefertigten Bildern nicht nur ein bloßer, nicht für einen Anspruch aus Art. 82 Abs. 1 DS-GVO genügender Verstoß gegen die Bestimmungen der DS-GVO vor. Die verdeckte Observierung durch einen Detektiv wird zutreffend selbst als immaterieller Schaden eingeordnet. Entgegen der Ansicht des Arbeitsgerichts ist es zur Überzeugung der erkennenden Kammer unerheblich, dass die Überwachung des Kl. für diesen zunächst unbemerkt erfolgte. Dies ändert nichts daran, dass bereits in der Überwachung selbst eine negative Einbuße iSd vom EuGH geforderten negativen Folge der unzulässigen Datenverarbeitung gegeben ist. Durch die Observierung wird der Kl. selbst zum bloßen Objekt der Datenverarbeitung. Er verliert die Kontrolle über die eigenen Daten in Form der Beobachtung und der Ablichtung. Bereits dies stellt zur Überzeugung der Kammer einen immateriellen Schaden dar. Zutreffend wird darauf hingewiesen, dass als Aspekt des Schadens in Erwägungsgrund 75 der DS-GVO der Kontrollverlust ausdrücklich genannt ist, nämlich dann, wenn die betroffenen Personen um ihre Rechte und Freiheiten gebracht oder daran gehindert werden, die sie betreffenden personenbezogenen Daten zu kontrollieren. Dies gilt nach dem 75. Erwägungsgrund insb. dann, wenn wie hier Gesundheitsdaten erhoben werden sollen um Aspekte der Arbeitsleistung zu bewerten. Art. 82 DS-GVO ist dahingehend auszulegen, dass die nationalen Gerichte bei der Festsetzung der Höhe des Schadensersatzes, der aufgrund des in diesem Artikel verankerten Schadensersatzanspruchs geschuldet wird, die innerstaatlichen Vorschriften der einzelnen Mitgliedstaaten über den Umfang der finanziellen Entschädigung anzuwenden haben, sofern die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität beachtet werden. Der Grad des Verschuldens des Verantwortlichen ist dabei für die Bemessung der Höhe des nach Art. 82 Abs. 1 DS-GVO zu ersetzenden immateriellen Schadens nicht von Bedeutung. Mangels einschlägiger unionsrechtlicher Vorschriften ist die Höhe des Schadens gem. § 287 Abs. 1 S. 1 ZPO zu bestimmen, wonach alle Umstände des Einzelfalls zu würdigen sind. Art. 82 DS-GVO regelt selbst keine Verfahrensmodalitäten zur Durchsetzung des Schadensersatzanspruchs. Art. 79 Abs. 1 DS-GVO sieht lediglich vor, dass jede betroffene Person das Recht auf einen wirksamen gerichtlichen Rechtsbehelf hat, wenn sie der Ansicht ist, dass die ihr aufgrund der DS-GVO zustehenden Rechte infolge einer nicht mit ihr im Einklang stehenden Verarbeitung ihrer personenbezogenen Daten verletzt wurden. Dem Äquivalenz- oder Effektivitätsgrundsatz ist durch die Anwendung von § 287 Abs. 1 S. 1 ZPO Rechnung getragen. Die Bestimmung findet im nationalen Recht ebenso bei der Durchsetzung anderer Ansprüche auf immateriellen Schadensersatz Anwendung. Für die Bemessung der Höhe des immateriellen Schadens sind dabei als einem wichtigen Faktor auf die Intensität der Persönlichkeitsrechtsverletzung abzustellen. In welchen konkreten Situationen erfolgte die Beobachtung. Handelte es sich um Bildaufzeichnungen aus der Intim- oder Privatsphäre oder solche aus der Öffentlichkeitssphäre (zB Straße und Waschsalon). Wurde lediglich beobachtet oder aber wurden die Beobachtungen durch Bild- und/oder Videoaufnahme festgehalten? Wem ggü. wurden die Daten weitergegeben. Handelte es sich um Dritte oder wurden Auszüge lediglich in einem gerichtlichen Verfahren präsentiert? Zu berücksichtigen ist weiter, dass der Anspruch aus Art. 82 Abs. 1 DS-GVO auch einen präventiven Charakter hat und damit auch eine Abschreckungsfunktion erfüllen muss, was sich letztlich aus dem Aspekt der Effektivität ableiten lässt. Bereits ein Betrag von 1.000 EUR kann dabei nicht nur symbolischen, sondern auch abschreckenden Charakter haben. Der immaterielle Schaden nach Art. 82 Abs. 1 DS-GVO hat zudem keinen erkennbaren Bezug zur Höhe eines dem Gläubiger zustehenden Arbeitsentgelts, so dass keine Anhaltspunkte dafür bestehen, dass es sich dabei um ein relevantes Bemessungskriterium für die Höhe des Schadensersatzes handeln könnte.

LAG Schleswig-Holstein Urt. v. 21.2.2023 – 1 Sa 148/22 = ZD 2023, 703

0 EUR Dem Kl. steht keine Entschädigung nach Art. 82 Abs. 1 DS-GVO zu. Allerdings hat die Bekl. jedenfalls nicht alle zugunsten des Kl. bestehenden Vorschriften der DS-GVO eingehalten. Jedoch steht auch dem Entschädigungsanspruch nach Art. 82 Abs. 1 DS-GVO der Einwand des Rechtsmissbrauchs entgegen. Die Bekl. hat in einigen Punkten zum Nachteil des Kl. gegen die DS-GVO verstoßen. Zunächst einmal liegt ein Verstoß gegen Art. 15 Abs. 1 DS-GVO vor. Die Bekl. hat dem Kl. nicht sämtliche der in dieser Vorschrift vorgeschriebenen Auskünfte erteilt. Allerdings hat die Bekl. durch ihren Prozessbevollmächtigten vorgerichtlich mit Schreiben v. 21.9.2021 und im gerichtlichen Verfahren mit Schriftsatz v. 24./30.1.2022 ausdrücklich Auskunft darüber erteilt, welche Informationen sie über den Kl. gespeichert hat und darüber hinaus angegeben, weitere Daten seien über ihn nicht gespeichert worden. Damit hat sie den Auskunftsanspruch im Hinblick auf Art. 15 Abs. 1 lit. a bis d DS-GVO erfüllt. Nicht informiert worden ist der Kl. aber über das Recht auf Berichtigung oder Löschung nach Art. 15 Abs. 1 lit. e DS-GVO sowie das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde (Art. 15 Abs. 1 lit. f DS-GVO). Im Hinblick auf Verstöße gegen Art. 15 Abs. 1 lit. g und lit. h DS-GVO hat der Kl. nichts dazu vorgetragen, dass eine entsprechende Auskunftsverpflichtung besteht. Soweit es um die Datenerhebung bei Dritten geht (lit. g), hat die Bekl. mitgeteilt, von wem sie auf welche Weise die in der Anlage H2 festgehaltenen Informationen über den Kl. erlangt hat. Es ist nicht ersichtlich, dass die darüber hinaus noch etwas Ergänzendes mitteilen könnte. Das hat der Kl. auch nicht behauptet. Vergleichbares gilt für die Auskunft nach lit. h. Die Bekl. hat angegeben, welche Daten sie wie verarbeitet hat; eine automatisierte Entscheidungsfindung hat erkennbar bei ihr nicht stattgefunden. Der Kl. hat hierzu nichts weiter vorgetragen, aber den Auskunftsanspruch auch nicht für erledigt erklärt. Daneben hat die Bekl. gegen die Informationsansprüche des Kl. aus Art. 13 Abs. 1 und 2 DS-GVO verstoßen, da sie die dort genannten Informationen dem Kl. nicht zum Zeitpunkt ihrer Erhebung bereits mitgeteilt hat. Die weiteren vom Kl. in der Berufungsbegründung gerügte Verstöße gegen die DS-GVO liegen demgegenüber nicht vor. Ein Entschädigungsanspruch nach Art. 82 Abs. 1 DS-GVO steht dem Kl. jedoch deshalb nicht zu, da er auch insoweit rechtsmissbräuchlich iSd § 242 BGB handelt. Zu den Fällen des Rechtsmissbrauchs gehören auch die Konstellationen, in denen ein Recht ausgeübt wird als Vorwand für die Erreichung vertragsfremder oder unlauterer Zwecke. Nach Überzeugung des Gerichts dient hier die Geltendmachung der Auskunftsrechte durch den Kl. allein der Erreichung unlauterer Zwecke, nämlich dazu, die Bekl. zur Zahlung einer Entschädigung zu veranlassen. Dies wird belegt durch das Vorgehen des Kl. im Zusammenhang mit dem Entschädigungsbegehren nach dem AGG. Der Kl. hat seine Auskunftsansprüche zeitgleich mit der Entschädigungsklage geltend gemacht. Das Geltungsmachungsschreiben ist offensichtlich aus anderen Schreiben zusammenkopiert. Das zeigt sich schon daran, dass er sich in seinem Geltendmachungsschreiben auf eine streitgegenständliche Bewerbung vor dem Arbeitsgericht K… bezieht. Ferner wird in dem Geltendmachungsschreiben Auskunft über eine Personalakte mit allen Eintragungen bei der Firma K… C… I… GmbH verlangt, gegen die der Kl. ersichtlich vor dem Arbeitsgericht K… zum im Anspruchsschreiben genannten Aktenzeichen einen Rechtstreit führt. Das belegt aus Sicht des Gerichts, dass es der Kl. mit dem Auskunftsverlangen allein darum geht, Druck auf die Bekl. auszuüben, um eine möglichst hohe Entschädigung zu erlangen und dass er dieses Vorgehen systematisch betreibt. Das Auskunftsbegehren erweist sich damit zugleich als Teil einer auf die Zahlung eines möglichst hohen Geldbetrags gerichtete „Gesamtstrategie“ des Kl.. Das wird von der Rechtsordnung nicht gedeckt. Für einen Rechtsmissbrauch des Kl. spricht daneben, dass seine Auskunftsbegehren auch offensichtlich überschießend und unverhältnismäßig sind. Tatsächlich haben die Parteien gerade einmal fünf E-­Mails ausgetauscht, drei hat der Kl. geschrieben, zwei die Bekl.. Die Kl. hat auf das Auskunftsbegehren des Kl. innerhalb einer Woche geantwortet. Trotzdem hat der Kl. sämtliche Auskunftsansprüche mit der Klagerweiterung v. 3.10.2021 noch einmal unverändert eingeklagt. Auch das spricht dafür, dass es dem Kl. nur darum ging, der Bekl. möglichst lästig zu fallen und Arbeit zu bereiten, um sie damit zur Zahlung einer Entschädigung zu veranlassen.

LAG Hessen Urt. v. 27.1.2023 – 14 Sa 359/22 = ZD 2023, 772 (Ls.)

2.000 EUR Zurecht hat das Arbeitsgericht den Bekl. wegen Verletzung der Auskunftspflicht nach Art. 15 Abs. 1 DS-GVO zur Leistung von Schadensersatz nach Art. 82 Abs. 1 DS-GVO verurteilt. Auch die Höhe des insoweit zuerkannten Schadensersatzes ist nicht zugunsten des Bekl. abzuändern. Mit der Verletzung des Auskunftsrechts der Kl. hat der Bekl. iSd Art. 82 Abs. 1 DS-GVO gegen diese Verordnung verstoßen. Dem steht aus Sicht der Kammer nicht entgegen, dass der Erwägungsgrund 146 S. 1 DS-GVO nur von solchen Schäden spricht, „die einer Person aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht“. Die Nichterfüllung oder nicht vollständige Erfüllung des Auskunftsanspruchs nach Art. 15 Abs. 1 DS-GVO muss danach für sich genommen nicht gleichbedeutend sein mit einer verordnungswidrigen „Verarbeitung“. Nach Auffassung der Kammer kann der Erwägungsgrund 146 DS-GVO aber nicht dazu führen, Art. 82 DS-GVO hinsichtlich der Tatbestandsmerkmale dergestalt einzuschränken, dass gerade nicht jeder Verstoß gegen die Verordnung zu Schadensersatzansprüchen führen kann, sondern nur solche, die eine Datenverarbeitung zum Gegenstand haben. Der Zweck der Erwägungsgründe liegt in der Veranschaulichung, Begründung und Rechtfertigung der ihnen nachfolgenden gesetzlichen Regelungen. Sie dienen daher zwar als Kriterien der Auslegung und stellen für diese wichtige Orientierungshilfen dar, sie entfalten aber gerade keine originäre Bindungswirkung und nehmen die eigentliche Auslegung weder vorweg noch schränken sie diese über Gebühr ein. Angesichts des Wortlauts des Art. 82 Abs. 1 DS-GVO und der Bedeutung des Auskunftsanspruchs insofern, als dieser häufig dem Betroffenen erst diejenigen Informationen verschafft, die ihm sodann die Geltendmachung weiter Ansprüche ermöglichen, ist Art. 82 Abs. 1 DS-GVO dahingehend auszulegen, dass ein Verstoß gegen die Auskunftspflichten den Tatbestand des Art. 82 Abs. 1 DS-GVO erfüllt und grds. geeignet ist, Schadensersatzpflichten zu begründen. Hierfür spricht auch, dass der Erwägungsgrund 75 DS-GVO ausdrücklich anerkennt, dass gerade die fehlende Möglichkeit des Betroffenen, die verarbeiteten Daten zur kontrollieren, Risiken für seine Rechte und Freiheiten begründet. Dem Anspruch der Kl. steht auch nicht entgegen, dass sie keinen konkreten Nachweis eines Schadens erbracht hätte. Der Rechtsanspruch auf immateriellen Schadenersatz nach Art. 82 Abs. 1 DS-GVO erfordert über eine Verletzung der DS-GVO hinaus nicht zusätzlich, dass die verletzte Person einen (weiteren) von ihr erlittenen immateriellen Schaden darlegt. Ein die Zusprechung von Schadensersatz bedingender Schaden ist bereits deshalb zu bejahen, weil die Kl. im Ungewissen ist, welche personenbezogenen Daten der Bekl. von ihr im Einzelnen in welcher Weise verarbeitet. Es bedarf auch nicht eines bestimmten Gewichts des eingetretenen Schadens – dieses ist vielmehr bei der Schadenshöhe zu berücksichtigen. Die Kammer schließt sich insofern der Auffassung an, dass eine Erheblichkeitsschwelle von Verstößen gegen die DS-GVO als Voraussetzung für die Entstehung eines Schadensersatzanspruchs nicht besteht, weil sich eine solche weder aus der DS-GVO selbst noch aus den Erwägungsgründen ergibt und der Erwägungsgrund 146 DS-GVO gegen die Annahme einer solchen spricht. Auch insoweit ist zu berücksichtigen, dass der Erwägungsgrund 75 DS-GVO der Möglichkeit der Betroffenen, ihre personenbezogenen Daten zur kontrollieren, ein besonderes Gewicht beimisst. Die Kl. hat die Höhe des Schadensersatzes in das Ermessen des Gerichts gestellt. Insofern findet mangels einschlägiger unionsrechtlicher Vorschriften § 287 Abs. 1 S. 2 ZPO Anwendung. Bei der Bestimmung des Schadensersatzes nach § 287 Abs. 1 S. 2 ZPO sind alle Umstände des Einzelfalls zu würdigen. Dazu gehören jedenfalls die Schwere und Dauer des Verstoßes, der Grad des Verschuldens des Verantwortlichen und die Intensität des eingetretenen Schadens beim Betroffenen. Nach dem Erwägungsgrund 146 DS-GVO soll die betroffene Person einen vollständigen und wirksamen Schadensersatz erhalten. Bei Berücksichtigung der genannten Maßstäbe ist die Festsetzung des immateriellen Schadensersatzes mit EUR 1.000 nicht ermessensfehlerhaft zu hoch bemessen. Der Bekl. hat besonders schwer gegen Art. 15 Abs. 1 DS-GVO verstoßen, er hat nämlich nicht nur eine unzureichende Auskunft erteilt, sondern das Auskunftsbegehren der Kl. vollständig ignoriert und zwar besonders hartnäckig, indem er nicht nur auf das Aufforderungsschreiben v. 27.9.2021 hin, sondern auch im weiteren erstinstanzlichen Verfahrensverlauf seit der Klageerweiterung v. 2.11.2021 keine Auskunft erteilt hat. Sein Verschulden wiegt insofern besonders schwer, weil er sich als habilitierter Jurist und Rechtsanwalt über seine Verpflichtungen nach Art. 15 Abs. 1 DS-GVO im Klaren gewesen sein muss, sich die notwendigen Kenntnisse aber jedenfalls leicht hätte verschaffen können. Seine Argumentation, er sei nicht Adressat des Auskunftsschreibens, vermag ihn nicht zu entlasten, im Gegenteil. Der Bekl. bemüht hier erkennbar ein formales und insb. nach der Klagerweiterung fernliegendes Argument und macht damit deutlich, seine rechtlichen Verpflichtungen ohne nachvollziehbare Gründe nicht erfüllen zu wollen. Bei der Bewertung des Gewichts des immateriellen Schadens, der aus der Ungewissheit der Kl. über Art und Umfang der Verarbeitung ihrer persönlichen Daten resultiert, ist zu berücksichtigen, dass der Bekl. ihr ggü. eine außerordentliche, fristlose Kündigung ausgesprochen hat und unstreitig ein Strafverfahren gegen sie anstrengt. Bei einer derart belastenden Beendigung des Arbeitsverhältnisses sind mit der Ungewissheit über die Verarbeitung der persönlichen Daten für den Arbeitnehmer naturgemäß größere Unsicherheiten und Sorgen verbunden, als bei einer einvernehmlichen Beendigung. Die Kammer vertritt nicht die Auffassung, dass hier zulasten der Kl. zu berücksichtigen ist, dass diese bisher den Auskunftsanspruch nicht gerichtlich geltend gemacht hat. Vor dem Hintergrund der insoweit bestehenden prozessualen Risiken, nämlich der objektiven Unsicherheit betreffend die Voraussetzungen eines § 253 Abs. 2 ZPO entsprechenden Antrags, aber auch im Hinblick darauf, die ohnehin extrem konfliktbelastete Situation der Parteien nicht weiter zu eskalieren, stellt dies aus Sicht der Kammer im konkret zu beurteilenden Fall keinen einen geringeren Schadensersatzanspruch bedingenden Umstand dar. Die Berufung hat aber Erfolg soweit sie sich gegen die Verurteilung des Bekl. zur Leistung von Schadensersatz iHv 1.000 EUR wegen Verletzung von Art. 13 DS-GVO richtet. Der Klageerweiterungsschriftsatz enthält keinerlei Begründung des Antrags, sondern setzt sich lediglich unter II. mit der Verletzung des Art. 15 Abs. 3 DS-GVO und mit der Verletzung von Art. 15 Abs. 12 DS-GVO auseinander. Erwähnt wird auch Art. 6 Abs. 1 DS-GVO. Ausführungen zu Art. 13 DS-GVO finden sich dagegen nicht.

LAG Baden-Württemberg Urt. v. 27.1.2023 – 12 Sa 56/21 = ZD 2023, 696 mAnm Stück

3.000 EUR Dem Kl. steht eine Entschädigung gem. Art. 82 Abs. 1 DS-GVO zu. Dies hat das Arbeitsgericht dem Grunde nach zutreffend erkannt. Lediglich im Hinblick auf die Höhe hält die Kammer die Orientierung an einem Bruttomonatsgehalt für unzutreffend. Vorliegend stützt der Kl. seinen Anspruch auf die Auswertung seiner WhatsApp-Nachrichten durch die Bekl. Insoweit ist der Kl. eine betroffene Person. Die Bekl. ist anspruchsverpflichtet. Danach ist die Bekl. als juristische Person und Arbeitgeberin des Kl. Verantwortliche, da sie die personenbezogenen Daten verarbeitet. Ein Verstoß gegen die Verordnung iSd Art. 82 Abs. 1 DS-GVO ist gegeben. Dafür ist zunächst jeglicher Verstoß gegen eine Vorschrift der DS-GVO einschließlich der Formvorschriften ausreichend. Gemäß Erwägungsgrund 146 S. 5 DS-GVO sind auch solche Rechtsvorschriften der Mitgliedstaaten erfasst, welche die DS-GVO „präzisieren“. Dazu zählen alle Rechtsvorschriften des innerstaatlichen Rechts, welche datenschutzrechtliche Regelungen enthalten, um eine Öffnungsklausel der DS-GVO auszufüllen. Hierher gehört auch ein Verstoß gegen § 26 BDSG, der iRd Öffnungsklausel des Art. 88 DS-GVO erlassen wurde. Die Bekl. hat durch die Auswertung der WhatsApp-Nachrichten des Kl. und ihrer Einführung im Kündigungsschutzprozess gegen § 26 BDSG verstoßen. Ein Verstoß iSd Art. 82 Abs. 1 DS-GVO liegt mithin vor. Dem Kl. ist auch ein immaterieller Schaden entstanden. Die Kammer folgt insoweit zwar der zutreffenden Rechtsansicht des Generalanwalts beim EuGH Campos Sánchez-Bordona, wonach für die Anerkennung eines Anspruchs auf Ersatz des Schadens, den eine Person infolge eines Verstoßes gegen datenschutzrechtliche Vorschriften erlitten hat, die bloße Verletzung der Norm als solche nicht ausreicht, wenn mit ihr keine entsprechenden materiellen oder immateriellen Schäden einhergehen. Denn der Tatbestand des Art. 82 Abs. 1 DS-GVO enthält eindeutig zwei Merkmale (Verstoß und Schaden), die beide erfüllt sein müssen. Deshalb kann nicht darauf verzichtet werden, einen erlittenen immateriellen Schaden festzustellen. Das können außer Aufwand an Zeit und Mühe zur Beendigung der Rechtsverletzung auch daraus resultierende Gefühlsbeeinträchtigungen, wie Ängste, Stress, Leidenszustände sein. Der bloße „Ärger“ über den Kontrollverlust an den Daten, ein schieres „Unmutsgefühl“ wegen der Nichtbeachtung des Rechts durch einen anderen, sind aber nicht ausreichend. Die Schwelle für das Vorliegen eines immateriellen Schadens ist hier (deutlich) überschritten, weshalb die Beantwortung der insoweit noch anhängigen Vorlagefragen beim EuGH für den vorliegenden Fall ohne Relevanz ist. Der Kl. hatte nicht nur den bloßen Verlust der Herrschaft über seine Daten zu ertragen und sich allein hierüber geärgert. Vielmehr wurden sehr persönliche Daten von der Bekl. – wie etwa vertrauliche Nachrichten an seinen Bruder und seine Freunde – über einen erheblichen Zeitraum nicht nur ausgewertet, sondern anschließend von der Bekl. im Arbeitsgerichtsprozess eingebracht, um die Kündigung des Arbeitsverhältnisses zu rechtfertigen. Aus der rechtswidrigen Verarbeitung der Daten sind dem Kl. mithin konkrete Gefährdungen erwachsen, insb. der drohende Verlust seines Arbeitsplatzes mit allen einhergehenden materiellen und immateriellen Auswirkungen. Von einem unerheblichen Verstoß, der bloßen unbeachtlichen Ärger oder ein schieres Unmutsgefühl hervorgerufen hat, kann danach nicht ausgegangen werden. Bei der Bemessung der Höhe eines Schadenersatzanspruchs nach § 287 Abs. 1 ZPO steht den Tatsachengerichten ein weiter Ermessensspielraum zu, innerhalb dessen sie die Besonderheiten jedes einzelnen Falls zu berücksichtigen haben. Das vom Kl. und vom Arbeitsgericht herangezogene Kriterium der Lohnhöhe spielt bei der Bemessung des Schadensersatzes aus Art. 82 Abs. 1 DS-GVO nach zutreffender Ansicht keine Rolle. Der immaterielle Schaden nach Art. 82 Abs. 1 DS-GVO hat – anders als eine Entschädigung nach § 15 Abs. 2 AGG – keinen erkennbaren Bezug zur Höhe eines dem Gläubiger zustehenden Arbeitsentgelts, so dass keine Anhaltspunkte dafür bestehen, dass es sich dabei um ein relevantes Bemessungskriterium für die Höhe des Schadenersatzes handeln könnte. Es ist weiter zu beachten, dass der erlittene immaterielle Schaden voll kompensatorisch auszugleichen ist. Dabei spielt es vorliegend eine Rolle, dass der Datenverstoß der Bekl. erhebliche potentielle Konsequenzen für den Kl. hatte, namentlich den drohenden Verlust seines Arbeitsplatzes infolge einer außerordentlichen Kündigung. Zudem hat die Bekl. den bereits in der Auswertung der WhatsApp-Nachrichten liegenden Verstoß durch die Zitierung und Vorlage der Daten im Prozess perpetuiert. Die von der Bekl. zitierten Nachrichten geschrieben an den Bruder (G4), den Freund und Trauzeugen (…) sowie die weiteren Freunde sind erkennbar privater Natur. Durch das Einbringen in den Prozess hat die Bekl. wiederholt gezeigt, dass sie die berechtigte Privatheitserwartung des Kl. im Hinblick auf seine Daten nicht respektiert. Dennoch erscheint der Kammer die vom ArbG zuerkannte Entschädigung (7.500 EUR) – die sich irrtümlich am Monatsgehalt des Kl. orientierte – im Ergebnis als zu hoch. Denn iRd Art. 82 Abs. 1 DS-GVO ist auch die Relation zu Schmerzensgeldern betreffend Verletzungen der körperlichen Integrität im Blick zu behalten. Etwaige Spannungslagen und Zielkonflikte sind dahingehend aufzulösen, dass (immaterielle) Schäden, die im Zuge von Datenschutzverletzungen entstehen, zwar vollständig kompensiert werden müssen, aber zugleich durch (zu) hohe, überkompensatorische Schadensersatzpflichten auch keine falschen Anreizwirkungen erzeugt werden dürfen. Ein Schmerzensgeld in ungefähr der Höhe, wie es das Arbeitsgericht als zutreffend erachtet hat, wurde für eine Verletzung der körperlichen Integrität in Form einer Schädelfraktur und eines Schädelhirntraumas mit Narbe am Kopf und verbleibenden Kopfschmerzen nach vier Jahren als angemessen angesehen Die vom Kl. geforderte Summe (22.500 EUR) hat das OLG Frankfurt/M. unlängst nicht einmal in einem Fall zugesprochen, in dem ein junger Mann eine doppelte Wirbelsäulenfraktur und Bandscheibenverletzung mit psychischen Beeinträchtigungen in Form posttraumatischer Belastungsstörungen erlitt, weshalb er seine bisherige berufliche Tätigkeit aufgeben musste und auch seine bislang ausgeübten sportlichen Freizeitaktivitäten nicht mehr verrichten konnte. Vergleichbare Schmerzen hat der Kl. durch den Datenschutzverstoß nicht erlitten. Hinzu kommt, dass der iRd Art. 82 Abs. 1 DS-GVO bei der Bemessung der Entschädigung umstrittene Aspekt eines Präventionszwecks der Norm vorliegend keine maßgebliche Rolle spielt. Denn eine hinreichende general- und spezialpräventive Wirkung geht von dem vorliegenden Urteil bereits aufgrund des angenommenen umfassenden Sachvortragverwertungsverbots im Kündigungsschutzverfahren mit der Folge erheblicher Annahmeverzugslohnverpflichtungen aus. Da zudem ein arbeitsvertraglicher Pflichtverstoß wegen des Verwertungsverbots nicht angenommen werden kann, dürfte dies – vorbehaltlich der Entscheidung des zuständigen Landgerichts Heidelberg – auch erhebliche negative finanzielle Auswirkungen für die Bekl. in der dortigen gesellschaftsrechtlichen Auseinandersetzung haben. Auch wenn diese spürbaren negativen Folgen des Datenschutzverstoßes für die Bekl. den immateriellen Schaden des Kl. nicht entfallen lassen, bedarf es für dessen Kompensation eine wesentliche Erhöhung der Entschädigung aus Gründen der präventiven Verhaltenssteuerung nicht. Unter Abwägung aller Umstände erscheint der Kammer ein Betrag in Höhe von 3.000 EUR als ausreichend. Dieser Betrag ist fühlbar und hat nicht nur symbolischen Charakter. Auch bei Bejahung eines eigenen Präventionszwecks von Art. 82 Abs. 1 DS-GVO ist eine Entschädigung in Höhe von 3.000 EUR im vorliegenden Fall ausreichend.

LAG Nürnberg Urt. v. 25.1.2023 – 4 Sa 201/ 22 = ZD 2023, 413

0 EUR Der Kl. steht gegen die Bekl. bereits dem Grunde nach kein Anspruch auf immateriellen Schadensersatz gem. Art. 82 Abs. 12 DS-GVO zu. Nach einer Auffassung ist Art. 82 Abs. 1 DS-GVO in Anbetracht des Wortlautes und der Zielrichtung weit auszulegen und erfasse als haftungsrelevante Verletzungshandlung jeglichen Verstoß gegen die DS-GVO und somit auch Fälle jenseits einer unrechtmäßigen Datenverarbeitung. Nach anderer Auffassung ist Art. 82 Abs. 1 DS-GVO hingegen einschränkend auszulegen. Diese Auffassung begründet ihre Ansicht mit dem Erwägungsgrund 146. Dessen Einleitungssatz lautet: „Der Verantwortliche oder der Auftragsverarbeiter sollte Schäden, die einer Person aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht, ersetzen.“ Da es sich bei der Frage der Erfüllung der Auskunftsverpflichtung aber um keine Datenverarbeitung iSd Legaldefinition des Art. 4 Ziff. 2 DS-GVO handele, scheide ein Verstoß gegen Art. 15 DS-GVO als haftungsrelevante Handlung daher bereits dem Grunde nach aus. Der Ansicht der einschränkenden Auslegung ist nach Auffassung der Kammer der Vorzug zu geben. Bei der Auslegung einer Unionsvorschrift sind nicht nur der Wortlaut, sondern auch ihr Zusammenhang und die Ziele zu berücksichtigen, die mit der Regelung, zu der sie gehört, verfolgt werden. Die Entstehungsgeschichte einer unionsrechtlichen Vorschrift kann ebenfalls relevante Anhaltspunkte für deren Auslegung liefern. Unter Berücksichtigung dieser Grundsätze folgt insb. aus dem Erwägungsgrund 146 DS-GVO, welcher eine grds. geeignete und wichtige Orientierungshilfe der Auslegung darstellt, dass der Schadensersatzanspruch auf Verstöße gegen eine rechtswidrige Datenverarbeitung iSv Art. 4 Ziff. 2 DS-GVO begrenzt ist und verspätete, falsche oder gar gänzlich unterbliebene Auskünfte an eine Person gem. Art. 15 Abs. 1 DS-GVO somit nicht haftungsauslösend sind. Für dieses Auslegungsergebnis spricht nicht nur der Wortlaut des Erwägungsgrundes 146, welcher ebenso wie der die Haftungsverpflichtung konkretisierende Art. 82 Abs. 2 DS-GVO stets nur eine gegen die DS-GVO verstoßende „Datenverarbeitung“ erwähnt, sondern auch die Entstehungsgeschichte des Art. 82 DS-GVO. Die entsprechende ursprüngliche Regelung in Art. 77 des Kommissionsentwurfes (KOM (2012) 11) sah bzgl. der Schadensersatzpflicht noch vor: „Jede Person, der wegen einer rechtswidrigen Verarbeitung oder einer anderen mit dieser Verordnung nicht zu vereinbarenden Handlung ein Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den für die Verarbeitung Verantwortlichen oder gegen den Auftragsverarbeiter.“ Dieser Entwurf ging damit vom Wortlaut ursprünglich ersichtlich weiter als zB die spätere Fassung des Vorschlags des Parlaments (Drs. 9565/15), welche im Entwurf zu Art. 77 DS-GVO die Schadensersatzpflicht nur auf Schäden bezog, die einer Person aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht. Der ursprüngliche Erwägungsgrund 118 (KOM (2012) 11) bzw. der spätere Erwägungsgrund 146 selbst beschränkten sich insoweit vom Wortlaut her von Anfang an nur auf eine rechtswidrige bzw. eine gegen die Verordnung verstoßende Datenverarbeitung. Somit verbleibt es nach zutreffender Auffassung in der vorliegenden Konstellation der Verletzung der Auskunftspflicht nach Art. 15 DS-GVO nur bei der möglichen Sanktionsfolge nach Art. 83 Abs. 5b) DS-GVO.

Arbeitsgerichte

 

ArbG Suhl Urt. v. 20.12.2023 – 6 Ca 704/23

0 EUR Dem Kl. steht kein Anspruch aus Art. 82 DS-GVO gegen die Bekl. auf Ersatz des von ihm geltend gemachten immateriellen Schadens zu. Die Voraussetzungen für einen Schadensersatzanspruch liegen nicht vor, da es jedenfalls an der Darlegung des Eintritts eines Schadens bei dem Kl. fehlt. Ein Verstoß gegen Art. 5 DS-GVO wegen des Versands der unverschlüsselten E-­Mail liegt vor. Dies wurde auch vom Thüringer Landesbeauftragen für den Datenschutz und die Informationsfreiheit bestätigt. Ob die Weiterleitung der Daten an den Betriebsrat und die monierte unvollständige Auskunftserteilung ebenfalls Verstöße gegen Regelungen der DS-GVO darstellen, kann vorliegend dahinstehen. Denn der Kl. hat bereits keinen Schaden dargelegt. Soweit der Kl. der Auffassung ist, bereits ein Verstoß gegen die DS-GVO genüge für das Entstehen eines Schadensersatzanspruches, kann dem nicht gefolgt werden. Es ist zwar zutreffend, dass die Frage, ob bereits der Datenschutzverstoß als solcher für das Entstehen eines Schadensersatzanspruchs ausreicht oder es darüber hinaus der Darlegung und des Nachweises eines konkreten (auch: immateriellen) Schadens bedarf, in Rspr. und Lit. umstritten ist. Sowohl der ÖOGH als auch das Bundesarbeitsgericht haben die hiermit zusammenhängenden Fragen dem EuGH zur Vorabentscheidung vorgelegt. Auf das Vorabentscheidungsersuchen des ÖOGH entschied jedoch nunmehr unter dem 4.5.2023 der EuGH, dass Art. 82 Abs.1 DS-GVO so auszulegen ist, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadensersatzanspruch zu begründen. Mit diesen Ausführungen wird nunmehr die Auffassung der Kammer bestätigt, dass für einen Anspruch auf Schadensersatz nach Art. 82 DS-GVO neben einem Verstoß auch ein Schaden sowie ein Kausalzusammenhang zwischen Verstoß und Schaden erforderlich ist. Der Kl. hat einen etwaigen immateriellen Schaden darzulegen und ggf. nachzuweisen. Das Erfordernis des Nachweises eines tatsächlich erlittenen Schadens ist auch der Sache nach erforderlich, um ein vom Verordnungsgeber nicht gewolltes Ausufern von Schadensersatzforderungen in allen Fällen eines – tatsächlich für den Betroffenen folgenlosen – Datenschutzverstoßes zu vermeiden. Das Vorliegen eines konkreten immateriellen Schadens hat der Kl. nicht ausreichend dargetan. Im vorliegenden Fall ist nicht ersichtlich, inwieweit der Kl. einen Kontrollverlust erlitten haben will. Es ist nicht ersichtlich, dass der Kl. daran gehindert wurde, die ihn betreffenden personenbezogenen Daten zu kontrollieren. Darüber hinaus stellt nach Auffassung der Kammer ein bloßer, abstrakter Kontrollverlust auch keinen konkreten immateriellen Schaden dar.

ArbG Suhl Urt. v. 20.12.2023 – 6 Ca 54/23

0 EUR Dem Kl. steht kein Anspruch aus Art. 82 DS-GVO gegen die Bekl. auf Ersatz des von ihm geltend gemachten immateriellen Schadens zu. Die Voraussetzungen für einen Schadensersatzanspruch liegen hier schon deshalb nicht vor, da es jedenfalls an der Darlegung des Eintritts eines Schadens bei dem Kl. fehlt. Insoweit kann dahinstehen, ob die Mitteilung der Nationalität des Kl. an den Betriebsrat tatsächlich einen Verstoß gegen Art. 5 DS-GVO darstellt. Allein ein Verstoß gegen die DS-GVO genügt jedenfalls für das Entstehen eines Schadensersatzanspruches nicht. Auf das Vorabentscheidungsersuchen des ÖOGH entschied jedoch nunmehr am 4.5.2023 – C-300/21 [= ZD 2023, 446 mAnm Mekat/Ligocki] – Österreichische Post – der EuGH, dass Art 82 Abs.1 DS-GVO so auszulegen ist, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadensersatzanspruch zu begründen. Dem folgt die Kammer, zumal das Erfordernis des Nachweises eines tatsächlich erlittenen Schadens auch der Sache nach erforderlich ist, um ein vom Verordnungsgeber nicht gewolltes Ausufern von Schadensersatzforderungen in allen Fällen eines – tatsächlich für den Betroffenen folgenlosen – Datenschutzverstoßes zu vermeiden. Danach ist für einen Anspruch auf Schadensersatz nach Art. 82 DS-GVO neben einem Verstoß auch ein Schaden sowie ein Kausalzusammenhang zwischen Verstoß und Schaden erforderlich ist. Der Kl. hat einen etwaigen immateriellen Schaden lediglich behauptet, aber keinen konkreten immateriellen Schaden dargetan.

ArbG Hamburg Urt. v. 14.11.2023 – 19 Ca 223/23

0 EUR Der Kl. hat keinen Anspruch auf immateriellen Schadensersatz gem. Art. 82 DS-GVO. Der EuGH hat in seiner Entscheidung v. 4.5.2023 – C-300/21 [= ZD 2023, 446 mAnm Mekat/Ligocki] -Österreichische Post die Voraussetzungen für einen Anspruch auf materiellen und immateriellen Schadenersatz klargestellt. Erforderlich ist hiernach ein Verstoß gegen die DS-GVO, ein erlittener Schaden und eine Kausalität zwischen Datenschutzverstoß und Schaden. Zwar ist die Bekl. dem Datenkopie- und Auskunftsverlangen des Kl. nach Art. 15 DS-GVO nicht innerhalb der Monatsfrist des Art. 12 Abs. 3 S. 1 DS-GVO nachgekommen und hat somit gegen Bestimmungen der DS-GVO verstoßen. Der Kl. hat jedoch nicht darzulegen vermocht, dass ihm aufgrund der verspäteten Datenkopie- und Auskunftserteilung ein konkreter immaterieller Schaden entstanden ist. Der bloße Verstoß gegen die Vorgaben der DS-GVO genügt für sich genommen nicht, um einen Schadensersatzanspruch gem. Art. 82 Abs. 1 DS-GVO zu begründen. Dafür spricht schon der Wortlaut des Art. 82 Abs. 1 DS-GVO, wonach Personen, denen ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz haben. Zwar soll nach Erwägungsgrund 146 S. 3 der DS-GVO der Begriff des Schadens im Lichte der Rspr. des EuGH weit auf eine Art und Weise ausgelegt werden, die den Zielen der DS-GVO in vollem Umfang entspricht. Ein weites Verständnis des Schadensbegriffs bedeutet aber nicht, dass vom Vorliegen eines konkreten Schadens gänzlich abzusehen ist. Verspätete, gänzlich unterbliebene oder falsche Auskünfte an eine Person gem. Art. 15 Abs. 1 DS-GVO als solche sind somit nicht haftungsauslösend. Dieses Auslegungsergebnis steht auch im Einklang mit der jüngeren Rspr. des EuGH, der in seinem Urt. v. 4.5.2023 – C-300/21 [= ZD 2023, 446 mAnm Mekat/Ligocki] – Österreichische Post) ausdrücklich darauf erkannt hat, dass nicht jeder Verstoß gegen die Bestimmungen der DS-GVO für sich genommen einen Schadensersatzanspruch der betroffenen Person eröffne. Der EuGH hat vielmehr klargestellt, dass das Vorliegen eines Schadens eine der zwingenden Voraussetzungen für den in Art. 82 DS-GVO vorgesehenen Schadensersatzanspruch ist, auch wenn der Schaden keine gewisse Erheblichkeitsschwelle überschreiten muss. Der so verstandene Schaden muss vom Anspruchsteller dargelegt werden. Denn dieser trägt die Darlegungs- und Beweislast dafür, dass die negativen Folgen des Verstoßes gegen die DS-GVO zu einem immateriellen Schaden iSv Art. 82 Abs. 1 DS-GVO geführt haben. Art. 82 Abs. 1 DS-GVO enthält auch nicht etwa eine Vermutung dahingehend, dass der mit einem Verstoß gegen die DS-GVO einhergehende Kontrollverlust über die eigenen Daten als solcher zu einem ersatzfähigen immateriellen Schaden führt. Die erkennende Kammer schließt sich im Grundsatz den überzeugenden Ausführungen der 3. Kammer des LAG Baden-Württemberg in ihrem Urt. v. 27.7.2023 – 3 Sa 33/22 an, wonach die erforderliche Feststellung des Vorliegens eines ersatzfähigen Schadens einen klägerseitigen Vortrag, der sich diesbezüglich darauf beschränkt, dass der Kl. um seine Rechte und Freiheiten gebracht wurde, die ihn betreffenden personenbezogenen Daten zu kontrollieren („Kontrollverlust“), nicht zulässt. Denn bei solchen Ausführungen handelt es sich um eine bloße Leerformel ohne inhaltliche Substanz und gerade nicht um die erforderliche Darlegung eines auch nur geringfügigen konkreten immateriellen Schadens. Selbiges gilt aus Sicht der erkennenden Kammer erst recht, sofern der Kl. neben dem vorgeblichen Kontrollverlust noch auf eine „Einschränkung in seinen Rechten“ als weiteren Regelschaden iSd Erwägungsgrundes 85 der DS-GVO verweist. Auch hierbei handelt es sich gerade nicht um die erforderliche Darlegung eines konkreten immateriellen Schadens. Eine Einschränkung in eigenen Rechten dürfte zudem bei ausnahmslos jedem Verstoß gegen Bestimmungen der DS.GVO vorliegen, sodass, wenn man eine Einschränkung in eigenen Rechten als immateriellen Schaden genügen ließe, die vom EuGH betonte Differenzierung zwischen dem Rechtsverstoß auf der einen Seite und dem Schaden auf der anderen Seite faktisch niemals zum Tragen käme. Schließlich behauptet der Kl. noch, er habe auch „emotionales Ungemach“ als weiteren Schaden erlitten. Der gesamte Sachverhalt rufe bei ihm ein erhebliches Maß an Unwohlsein und genervt sein hervor. Auch bei diesen Ausführungen handelt es sich aus Sicht der erkennenden Kammer um bloße Schlagworte ohne die erforderliche inhaltliche Substanz. IÜ hat der Kl. im Hinblick auf diesen beklagtenseitig bestrittenen Vortrag auch keinen Beweis angeboten.

ArbG Duisburg Urt. v. 3.11.2023 – 5 Ca 877/23 = ZD 2024, 231

750 EUR Der Kl. hat gegen die Bekl. Anspruch auf Zahlung einer Geldentschädigung in Höhe von 750 EUR aus Art. 82 Abs. 1 DS-GVO. Ein darüberhinausgehender Anspruch besteht nicht. Die Bekl. hat iRd Auskunftserteilung gegen die DS-GVO verstoßen. Hierdurch ist dem Kl. auch ein Schaden entstanden. Die Bekl. hat gegen Art. 12 Abs. 3 DS-GVO verstoßen. Die Vorgabe in Art. 12 Abs. 3 DS-GVO bedeutet, dass der Verantwortliche alle Anträge der betroffenen Person, mit denen diese ein Betroffenenrecht geltend macht, beschleunigt behandeln muss. Art. 12 Abs. 3 errichtet für die Positivantwort und die Negativantwort gleichermaßen eine Pflicht zur unverzüglichen Unterrichtung. Die Pflicht zur unverzüglichen Positivantwort impliziert, dass der Verantwortliche das Betroffenenrecht selbst gleichfalls unverzüglich zu erfüllen hat. Als Höchstfrist legen beide Normen einen Monat ab Antragseingang fest. Diese Höchstfrist darf nicht routinemäßig, sondern nur in schwierigeren Fällen ausgeschöpft werden. Dabei ist unter unverzüglich, angelehnt an § 121 BGB, "ohne schuldhaftes Zögern" zu verstehen. Da "unverzüglich" weder "sofort" bedeutet noch damit eine starre Zeitvorgabe verbunden ist, kommt es auf eine verständige Abwägung der beiderseitigen Interessen an. Nach einer Zeitspanne von mehr als einer Woche ist aber ohne das Vorliegen besonderer Umstände grds. keine Unverzüglichkeit mehr gegeben. Die Bekl. hat die Auskunft nach Ablauf von 19 Kalendertagen erteilt. Besondere Umstände, welche diese Bearbeitungsfrist hinreichend rechtfertigen, sind nach Auffassung der Kammer nicht gegeben. Dies gilt auch, wenn man berücksichtigt, dass nach dem Vortrag der Bekl. unter Berücksichtigung von Wochenenden, Feiertagen und Brückentagen ggf. nur neun Arbeitstage zwischen der Anfrage und der Bearbeitung lagen. Besondere Umstände, welche einen besonderen Bearbeitungsaufwand oder eine verlängerte Bearbeitungsspanne zu rechtfertigen vermögen, liegen nämlich nicht vor. Dem Auskunftsverlangen wohnt keine besondere Komplexität inne. Es handelt sich um eine zurückliegende Bewerbung und damit vom Umfang her um einen überschaubaren Vorgang. Bedenkt man, dass letztlich keine Daten gespeichert waren, entfällt mithin auch das ggf. aufwendige Sichten und Sortieren der Daten und deren Zusammenstellung. Es sind keine Anhaltspunkte ersichtlich, vor welchem Hintergrund für den bloßen Suchvorgang an sich mehr als eine Woche benötigt wurde. Der konkrete Ablauf des Bearbeitungsvorgangs (und evtl. Hindernisse) wurden nicht dargelegt. Im Termin zur mündlichen Verhandlung konnte nach Frage der Kammer nicht im Einzelnen dargelegt werden, wie und durch welche Schritte der "Suchvorgang" nach Eingang einer Betroffenenanfrage bei der Bekl. durchgeführt wird und wie der normale Ablauf ist. Nach Auffassung der Kammer kann auch die Tatsache dahinstehen, dass es sich um eine sechs Jahre alte Bewerbung handelte. Die Frage einer objektiven Dringlichkeit ist nicht Voraussetzung des Betroffenenrechts nach Art. 12 DS-GVO. Eine entsprechende subjektive Bewertung durch die Bekl. vermag an der Frist des Art. 12 Abs. 3 DS-GVO nichts zu ändern. Zudem hat die Bekl. auch nicht dargelegt, in welchem Verhältnis sie die Anfrage ihrer Bewertung nach zu ggf. anderen vorliegenden Anfragen, welche nicht allesamt in der vorliegenden Bearbeitungszeit abgearbeitet werden könnten, gestanden hat. Auch der Einwand der Bekl., von dem einzelnen Mitarbeiter als Sachbearbeiter könne man nicht verlangen, dass er Kenntnis davon hat, dass es nicht ausreiche, einen entsprechenden Antrag innerhalb von zwei Wochen zu bearbeiten, vermag nicht zu überzeugen. Es ist vielmehr Sache der Bekl. als Arbeitgeber eine Organisationsstruktur zu schaffen, welche die rechtzeitige Bearbeitung der Anfragen im System ermöglicht. Dem Kl. ist durch den Verstoß auch ein immaterieller Schaden entstanden durch einen temporären Kontrollverlust bzgl. seiner Daten. Der Begriff des Schadens ist auf eine Art auszulegen, die den Zielen der DS-GVO in vollem Umfang entspricht. Ein immaterieller Schaden entsteht daher nicht nur in den "auf der Hand liegenden Fällen", wenn die datenschutzwidrige Verarbeitung zu einer Diskriminierung, einem Verlust der Vertraulichkeit, einer Rufschädigung oder anderen gesellschaftlichen Nachteilen führt, sondern auch, wenn die betroffene Person um ihre Rechte und Freiheiten gebracht oder daran gehindert wird, die sie betreffenden personenbezogenen Daten zu kontrollieren (EG 75). Der Kl. hat durch die verspätete Auskunft einen Kontrollverlust hinsichtlich seiner Daten erlitten. Dieser ist als immaterieller Schaden zu qualifizieren. Durch die verspätete Auskunft war der Kl. im Ungewissen und ihm die weitere Prüfung verwehrt, ob und ggf. wie die Bekl. seine personenbezogenen Daten verarbeitet. Die Schwere des immateriellen Schadens ist für die Begründung der Haftung nach Art. 82 Abs. 1 DS-GVO irrelevant und wirkt sich nur noch bei der Höhe des Anspruchs aus. An einem Kontrollverlust des Kl. fehlt es entgegen dem Vortrag der Bekl. auch nicht deswegen, weil die Bekl. nach ihrem Vortrag an einen "Code of Conduct" bzgl. der Löschung von Daten gebunden ist. Dies kann dahinstehen und auch ob der Kl. eine etwaige Kenntnis von dem strittigen Umstand hat. Die betroffene Person soll einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten. Verstöße müssen effektiv sanktioniert werden, damit die DS-GVO wirken kann, was vor allem durch Schadensersatz in abschreckender Höhe erreicht wird. Gerichte können sich bei der Bemessung des immateriellen Schadensersatzes auch an Art. 83 Abs. 2 DS-GVO orientieren, so dass als Zumessungskriterien ua Art, Schwere, Dauer des Verstoßes, Grad des Verschuldens, Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens, frühere einschlägige Verstöße sowie die Kategorien der betroffenen personenbezogenen Daten betrachtet werden können. Nach diesen Grundsätzen hält die Kammer einen Schadenersatz in Höhe von 750 EUR für angemessen. Auf der einen Seite ist die Finanzkraft der Bekl. zu berücksichtigen. Auf der anderen Seite ist zu berücksichtigen, dass die Bekl. den gebotenen Zeitraum des Art. 12 Abs. 3 DS-GVO nicht in erheblichem Maße überschritten hat und die Auskunft auf die erste Erinnerung des Kl. direkt erteilt hat. Es handelt sich soweit ersichtlich um einen erstmaligen Verstoß. Zudem geht die Kammer davon aus, dass für die Bekl. bereits die Verurteilung wegen eines festgestellten Datenschutzverstoßes an sich eine abschreckende Wirkung hat, da sie geschäftlich mit der Erteilung von Auskünften und Personendaten zu tun hat. Die Festsetzung eines Schadenersatzes iHv 750 EUR wird daher trotz der finanziellen Situation der Bekl. als hinreichend abschreckend und angemessen angesehen. Die Klage des Kl. ist entgegen der Auffassung der Bekl. auch nicht rechtsmissbräuchlich.

ArbG Duisburg Beschl. v. 18.8.2023 – 5 Ca 877/23 = ZD 2024, 231

0 EUR Der Kl. begehrt die Zahlung eines Schadensersatzes nach der DS-GVO. Das nach Behauptung des Kl. verletzte Auskunftsbegehren liegt dabei inhaltlich in einer Bewerbung des Kl. aus dem Jahre 2017 begründet. Die Bewerbung des Kl. stellt eine „Verhandlung über die Eingehung eines Arbeitsverhältnisses" iSd § 2 Abs. 1 Nr. 3 lit. c ArbGG dar. Zwar ist das Recht aus Art. 15 DS-GVO nicht an das Vorliegen einer arbeitsrechtlichen Beziehung geknüpft. Liegt eine solche jedoch vor, ist ein arbeitsrechtlicher Bezug gegeben, welcher die Zuständigkeit der Arbeitsgerichte begründet. Der ordentliche Rechtsweg kommt bzgl. Ansprüchen aus der DS-GVO hingehen in Betracht, wenn der geltend gemachte Anspruch nach dem anspruchsbegründenden Sachverhalt auf einem anderen, nicht mit dem Arbeitsverhältnis im Zusammenhang stehenden Rechtsverhältnis beruht. Dies ist hier nicht der Fall. Dem arbeitsrechtlichem Bezug steht entgegen der Auffassung der Bekl. nicht entgegen, dass die Bewerbung des Kl. sieben Jahre zurückliegt. Dies ändert nichts am inhaltlichen Sachzusammenhang.

ArbG Gießen Urt. v. 7.6.2023 – 2 Ca 327/22 = ZD 2023, 632 (Ls.)

0 EUR Der zulässige Antrag zu 5) (Antrag auf immateriellen Schadensersatz) ist unbegründet. Der Kl. hat mit der aktuellen Rspr. des EuGH, der sich das erkennende Gericht anschließt, keinen Anspruch auf einen immateriellen Schadensersatz gem. Art. 82 Abs. 1 DS-GVO wegen Nichterfüllung seiner Ansprüche aus Art. 15 Abs. 13 DS-GVO. Denn Art. 82 Abs. 1 DS-GVO ist dahingehend auszulegen, dass der bloße Verstoß gegen die Bestimmungen der DS-GVO nicht ausreicht, um einen Schadensersatzanspruch zu begründen.

ArbG Duisburg Urt. v. 23.3.2023 – 3 Ca 44/23 = ZD 2024, 57

10.000 EUR Der Kl. hat gegen die Bekl. Anspruch auf Schadensersatz iHv 10.000 EUR aus Art. 82 Abs. 1 DS-GVO nebst Zinsen. Denn die Bekl. hat in mehrfacher Hinsicht vorsätzlich gegen die DS-GVO verstoßen und ist daher zur Zahlung einer Geldentschädigung in ausgeurteilter Höhe verpflichtet. Die Bekl. hat zum einen gegen die Vorgabe aus Art. 12 Abs. 3 S. 1 DS-GVO verstoßen, wonach die beantragten Informationen nach Art. 15 DS-GVO unverzüglich nach Eingang des Antrags zur Verfügung zu stellen sind, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags. Die Bekl. hat außerdem gegen Art. 15 Abs. 1 lit. c DS-GVO verstoßen als sie dem Kl. die konkreten Empfänger seiner personenbezogenen Daten zunächst gar nicht und mit Schreiben v. 1.12.2022 sodann unzureichend mitgeteilt hat. Die Bekl. hat darüber hinaus gegen Art. 15 Abs. 1 lit. d DS-GVO verstoßen, als sie dem Kl. die geplante Dauer für die Speicherung der jeweiligen personenbezogenen Daten weder im Schreiben vom 27.10.2022, noch im Schreiben v. 11.11.2022 mitgeteilt hat. Die Bekl. hat nicht dargetan, für die Verstöße nicht verantwortlich zu sein, so dass gem. Art. 82 Abs. 3 DS-GVO eine Haftung entfiele. Insb. kann sich die Bekl. nicht darauf zurückziehen, dass dem Kl. die streitgegenständlichen Informationen aufgrund der in 2020 bereits erteilten Auskunft bekannt waren. Denn der Kl. kann in angemessenen Abständen wiederholt Auskunft darüber verlangen, welche Daten der Verantwortliche noch über den Betroffenen verarbeitet. Das Auskunftsverlangen ist nach Ablauf von zwei Jahren unproblematisch in angemessenem Abstand geltend gemacht worden und ob die Auskünfte mit denen in 2020 erteilten Auskünften deckungsgleich sind, ergibt sich für den Kl. ja erst nach erfolgter wiederholter Prüfung und Auskunft der Bekl. Verursacht durch die genannten Verstöße hat der Kl. einen immateriellen Schaden iSd Art. 82 Abs. 1 DS-GVO erlitten, der einen Entschädigungsanspruch des Kl. auslöst und zwar unabhängig von der Erheblichkeit des Schadens. Hierzu im Einzelnen: Der Begriff des Schadens ist weit auf eine Art und Weise auszulegen, die den Zielen der DS-GVO in vollem Umfang entspricht. Ein immaterieller Schaden entsteht nicht nur in den "auf der Hand liegenden Fällen", wenn die datenschutzwidrige Verarbeitung zu einer Diskriminierung, einem Verlust der Vertraulichkeit, einer Rufschädigung oder anderen gesellschaftlichen Nachteilen führt, sondern auch, wenn die betroffene Person um ihre Rechte und Freiheiten gebracht oder daran gehindert wird, die sie betreffenden personenbezogenen Daten zu kontrollieren (Erwägungsgrund 75 DS-GVO). Das erkennende Gericht teilt insofern nicht die Auffassung der Bekl. und des OLG Koblenz (Urt. v. 13.2.2023 – 12 U 2194/21), die auf die Schlussanträge des Generalanwalts beim EuGH in Sachen C-300/21 [= ZD 2023, 446 mAnm Mekat/Ligocki] – Österreichische Post verweisen und den Nachweis eines konkreten Schadens verlangen. Vielmehr schließt sich die erkennende Kammer insoweit der überzeugenden Auffassung des BAG (Urteil v. 26.8.2021 – 8 AZR 253/20) an. Unabhängig von der Frage, ob über die bloße Rechtsverletzung hinaus ein weiterer immaterieller Schaden dargelegt werden muss oder nicht, hat der Kl. jedenfalls vorliegend durch die unzureichende und deutlich verspätete Auskunft der Bekl. einen Kontrollverlust erlitten, der als weiterer immaterieller Schaden zu qualifizieren ist und insofern einen Schaden iSv Art. 82 Abs. 1 DS-GVO darstellt. Indem die Bekl. die Vorgaben aus Art. 15 iVm Art. 12 DS-GVO verletzt hat, hat sie das Auskunftsrecht des Kl. — das zentrale Betroffenenrecht — beeinträchtigt. Verletzt ist zugleich ein europäisches Grundrecht des Kl.; Art. 8 Abs. 2 S. 2 GRCh gewährleistet das Auskunftsrecht ausdrücklich. Durch die monatelang verspätete, dann unzureichende Auskunft war der Kl. im Ungewissen und ihm die Prüfung verwehrt, dann nur eingeschränkt möglich, ob und wie die Bekl. seine personenbezogenen Daten verarbeitet. Die Schwere des immateriellen Schadens ist für die Begründung der Haftung nach Art. 82 Abs. 1 DS-GVO irrelevant und wirkt sich nur noch bei der Höhe des Anspruchs aus. Es kommt also entgegen der Ansicht der Bekl. auf anspruchsbegründender Ebene nicht darauf an, ob eine gewisse Erheblichkeit gegeben ist. Insofern beruft sich der Kl. zurecht auf den Beschl. des BVerfG v. 14.1.2021 – 1 BvR 2853/19 [= ZD 2021, 266 mAnm Blasek] in dem das BVerfG ausführt, dass das Merkmal der Erheblichkeit weder unmittelbar in der DS-GVO als Voraussetzung aufgeführt, noch vom EuGH verwendet wird. Zum Ersatz dieses immateriellen Schadens hält die Kammer einen Betrag in Höhe von 10.000 EUR für geboten: Die betroffene Person soll einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten. Verstöße müssen effektiv sanktioniert werden, damit die DS-GVO wirken kann, was vor allem durch Schadensersatz in abschreckender Höhe erreicht wird. Gerichte können sich bei der Bemessung des immateriellen Schadensersatzes auch an Art. 83 Abs. 2 DS-GVO orientieren, so dass als Zumessungskriterien u. a. Art, Schwere, Dauer des Verstoßes, Grad des Verschuldens, Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens, frühere einschlägige Verstöße sowie die Kategorien der betroffenen personenbezogenen Daten betrachtet werden können. Die Mitgliedstaaten — auch die erkennende Kammer – sind nach dem Gedanken des Art. 4 Abs. 3 EUV verpflichtet, der DS-GVO zur Wirkung zu verhelfen. Diesen Grundsätzen entsprechend muss die Bekl. einen Schadensersatz iHv insgesamt 10.000 EUR zahlen. Dabei hat die Kammer berücksichtigt, dass der europäische Verordnungsgeber das verletzte Recht als bedeutsam einordnet, wie sich neben Art. 8 Abs. 2 S. 2 GRCh auch an der Zuordnung der Art. 12 ff. DS-GVO zu dem Katalog des § 83 Abs. 5 BDSG zeigt. Es handelt sich eben nicht nur um ein einfaches Arbeitspapier. Weiter hielt der Verstoß einige Monate an, in denen der Kl. über die Datenverarbeitung durch die Bekl. im Ungewissen war. Außerdem sind die Anforderungen an die zu erteilende Auskunft nicht nur zeitlich, sondern auch inhaltlich verletzt. Überdies war der nach Vortrag des Kl. beträchtliche Umsatz der Bekl. zu berücksichtigen. Da der Schadensersatz eine angemessene Wirkung erzielen soll, hängt dessen Höhe nicht nur vom eingetretenen immateriellen Schaden, sondern auch von dem nach Art. 4 Ziff. 7 DS-GVO Verantwortlichen und dessen Finanzkraft ab. Mit anderen Worten: Die Verletzung der Auskunftspflicht aus Art. 15 DS-GVO durch einen finanzschwächeren Verantwortlichen würde zu geringerem Schadensersatz führen. Besonders schwer wog nach Auffassung der Kammer bei der Höhe der Geldentschädigung aber das vorsätzliche Verhalten der Bekl.: Nach Überzeugung der Kammer erteilte die Bekl. die begehrte bewusst und gewollt sowohl verspätet als auch unzureichend und intransparent. Es wäre für die Bekl. zunächst ein Leichtes gewesen, über den Zeitpunkt der Auskunftserteilung mit dem Kl. in Kommunikation zu treten. Denn der Kl. hatte der Bekl. eine gut zweiwöchige Frist zur Auskunftserteilung gesetzt – was angesichts der Rspr. des BAG zur Wochenfrist iRe „unverzüglichen" Auskunftserteilung durchaus als großzügig zu bewerten ist. Die Bekl. beantwortete das Auskunftsgesuch des Kl. v. 1.10.2022 aber nicht innerhalb dieser Frist und bat auch nicht um Verlängerung derselben. Dies wäre aber angezeigt gewesen, wenn die von der Bekl. vorgetragene eingehende Prüfung des Auskunftsverlangens absehbar war. Allein dieser Umstand zeigt bereits, dass die Bekl. vorsätzlich gegen den Beschleunigungsgrundsatz der DS-GVO verstoßen hat. Dasselbe vorsätzliche Verhalten hat die Kammer bei den inhaltlichen Verstößen der Bekl. gegen die DS-GVO festgestellt: Auf Grund des Schreibens der Bekl. ist die Kammer zu der Überzeugung gelangt, dass die Bekl. dem Kl. ein berechtigtes Interesse an der Auskunftserteilung absprach und daher meinte, inhaltlich nicht entsprechend der Regeln der DS-GVO antworten zu müssen. Denn wie sollen Antwortsätze wie folgende verstanden werden: "In der Regel sind diese Betroffenen (gemeint sind ehemalige Mitarbeiter) nicht an den konkreten Empfängern interessiert. Insoweit bitten wir Sie Ihr Auskunftsersuchen zu spezifizieren und die Kategorien anzugeben, für die Sie die Information über den konkreten Empfänger benötigen. … Soweit Sie spezifizieren wollen, welcher Empfänger der Daten für Sie von Interesse ist und einen Grund angeben, weshalb Sie bereits archivierte Unterlagen (z. B. Arbeitsvertrag) benötigen, stehen wir gerne zur Verfügung." Die Bekl. meint offensichtlich, dass nicht etwa sie zur umfassenden und transparenten Information verpflichtet ist, sondern dass erst einmal der Kl. konkret begründen müsse, wie seine Interessenlage ist und welche Informationen und Empfänger seiner Daten ihn aus welchem Grund besonders interessieren. Dies zeigt sich auch im Verlauf des Verfahrens, während dessen die Bekl. sich pauschal auf rechtsmissbräuchliches Verhalten des Kl. beruft und ihm anscheinend seine Rechte aus der DS-GVO absprechen möchte. Dabei verkennt die Bekl. völlig, dass sie fremde Daten, nämlich die des Kl. als rechtmäßiger Inhaber dieser Daten, verarbeitet und speichert und daher die Regeln der DS-GVO einhalten muss. Mit anderen Worten: Es sind nicht ihre Daten, die sie verarbeitet und speichert, und daher ist sie demjenigen, dessen Daten sie verarbeitet und speichert, Rechenschaft schuldig iRd DS-GVO. Dass der Kl. mehr Interesse an seinen Daten hat als andere ehemalige Mitarbeiter, spielt für die Rechte des Kl. keine Rolle. Es bleibt jedem Dateninhaber selbst überlassen, wieviel Kontrolle er über seine Daten ausüben möchte. Das liegt nicht im Entscheidungsspielraum der Bekl. Wenig hilfreich ist in diesem Zusammenhang auch der mehrfache Hinweis der Bekl. darauf, dass die Parteien lediglich einige Tage in einem Arbeitsverhältnis verbunden waren und dass dieses kurze Arbeitsverhältnis bereits seit Jahren beendet sei. Die Bekl. scheint der Auffassung zu sein, dass der Kl. besonders wenig Anspruch auf beschleunigte und umfassende Auskunftserteilung habe, da ja schließlich das sehr kurze Arbeitsverhältnis bereits lange beendet sei. Nach Auffassung der Kammer ist das Gegenteil der Fall: Denn obwohl die Parteien nur sehr kurz und vor mehreren Jahren in einem Vertragsverhältnis verbunden waren, verarbeitet die Bekl. noch immer eine nicht unerhebliche Anzahl relevanter personenbezogener Daten des Kl. wie Bankverbindung, Adresse, Sozialversicherungsnummer etc. Warum sollte der Kl. ohne Kontrolle einfach so darauf vertrauen müssen, dass die Bekl. die personenbezogenen Daten verantwortungsvoll und iSd DS-GVO verarbeitet, obwohl die Parteien innerhalb des zeitlich kurz bemessenen Arbeitsverhältnisses kaum ein gegenseitiges Vertrauen in die Redlichkeit des jeweils anderen aufbauen konnten. Mit anderen Worten: Warum sollte eine kurze Vertragsbeziehung das Interesse des Vertragspartners an der ordnungsgemäßen Verarbeitung und Löschung seiner Daten mindern? Umgekehrt wäre die Argumentation stringent: Je länger das Vertragsverhältnis beendet ist, desto größer ist das berechtigte Interesse des Dateninhabers, dass der Verwender der Daten diese (endlich) löscht. Jedenfalls führt die Kürze der Vertragsbeziehung und der in der Vergangenheit liegende Zeitpunkt derselben auf keinen Fall zu einer Minderung des Schadenersatzanspruchs des Kl. Unter Berücksichtigung all dessen hat die Kammer für die beiden inhaltlichen Verstöße gegen Art. 15 Abs. 1 DS-GVO jeweils 2500 EUR Entschädigung angesetzt und für die vorsätzliche verspätete Auskunft 5000 EUR.

ArbG Oldenburg Urt. v. 9.2.2023 – 3 Ca 150/21 = ZD 2023, 704

10.000 EUR Der Kl. kann von der Bekl. immateriellen Schadensersatz iHv insgesamt 10.000 EUR für den Zeitraum 1.6.2021 – 31.1.2023 gem. Art. 82 Abs. 1 DS-GVO verlangen. Die Bekl. kam diesem Auskunftsverlagen entgegen der sie treffenden Verpflichtung nicht nach. Auf das Auskunftsersuchen des Kl. ist die Bekl. erstmals durch Übersendung des Anlagenkonvoluts am 5.2.2023 sowie in den nachfolgenden Schriftsätzen v. 6.2. und 7.2.2023 eingegangen. Die Bekl. hat damit nicht die zur Erfüllung der Auskunftsansprüche sich aus Art. 12 Abs. 3 S. 1 DS-GVO ergebende Monatsfrist gewahrt. Der Klägervertreter hätte mit einer Erfüllung der Auskunftsansprüche gem. Art. 12 Abs. 3 S. 1 DS-GVO bis zum 19.5.2021 rechnen dürfen mit der Folge, dass immaterielle Schadensersatzanspräche ab diesem Zeitpunkt entstehen könnten. Der Kl. macht immateriellen Schadensersatz iHv 500 EUR für jeden Monat wegen der Nichterfüllung seines auf Art. 15 Abs. 1 HS 2, Abs. 2 DS-GVO gestützten Auskunftsverlangens geltend ohne näher darzulegen, worin genau der ihm entstandene immaterielle Schaden iSv Art. 82 Abs. 1 DS-GVO liegen soll. Nach Auffassung des Senats führt demnach bereits die Verletzung der DS-GVO selbst zu einem auszugleichenden immateriellen Schaden. Das BAG hat sich im Nachgang zu dem genannten Vorabentscheidungsersuchen in seiner Entscheidung v. 5.5.2022 (2 AZR 363/21) dahingehend geäußert, dass zugunsten der Kl. unterstellt werden kann, dass dem Anspruch nach Art. 82 Abs. 1 DS-GVO Präventionscharakter und eine Abschreckungsfunktion zukomme. Die Kammer hält dies für überzeugend und schließt sich den Ausführungen des BAG an. Zwar ist das BAG in der Entscheidung v. 5.5.2022 davon ausgegangen, dass die vom Berufungsgericht mit 1.000 EUR festgesetzte Schadenshöhe mit 1.000 EUR hinreichende abschreckende Wirkung habe. Das BAG hat dies in Rn. 20 jedoch mit der relativ geringen Bedeutung der Beeinträchtigung der Kl. durch die nicht vollständige Erfüllung ihres Auskunftsanspruchs begründet, da es der Kl. maßgeblich um Arbeitsaufzeichnungen gegangen sei. Der Kl. sei es maßgeblich nicht um Auskunft über ihre übrigen bei der Bekl. gespeicherten personenbezogenen Daten gegangen. Letzteres hat jedoch der Kl. ggü. der Bekl. geltend gemacht. Der Kl. verlangt Auskunft über sämtliche seiner bei der Bekl. verarbeiteten personenbezogenen Daten sowie Auskunft zu den sich aus Art. 15 Abs. 1 Hs. 2, Abs. 2 DS-GVO ergebenden Informationen. Das Auskunftsinteresse des Kl. übersteigt dasjenige der Kl. in dem dem BAG zur Beurteilung unterbreiteten Sachverhalt in bedeutendem Maße, weshalb die Kammer Schadensersatz iHv insgesamt 1.000 EUR im Hinblick auf die erforderliche Abschreckungsfunktion des Schadensersatzanspruchs nach Art. 82 Abs. 1 DS-GVO für deutlich zu gering erachtet hat. Bei der Bemessung der Höhe des Schadensersatzes hat die Kammer berücksichtigt, dass die Bekl. erstmals durch Übersendung des Anlagenkonvolutes am 5.2.2023 den Versuch unternommen hat, ihren Auskunftsverpflichtungen nach Art. 15 Abs. 1 Hs. 2, Abs. 2 DS-GVO nachzukommen. Jedenfalls bis zu diesem Zeitpunkt hat die Bekl. über ganze 20 Monate hinweg die sie treffende Auskunftspflicht nicht erfüllt, weshalb die Kammer den vom Kl. in Ansatz gebrachten Schaden iHv 500 EUR pro Monat für nicht unangemessen erachtet hat.

ArbG Dresden Urt. v. 11.1.2023 – 4 Ca 688/22 = ZD 2023, 469

2.500 EUR Die Bekl. ist zu verurteilen, an die Kl. eine Entschädigung iHv 2.500 EUR zu zahlen. Gem. Art. 12 Abs. 3 DS-GVO stellt der Verantwortliche der betroffenen Person Informationen über die auf Antrag gem. den Artikeln 15 bis 22 ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrages zur Verfügung. Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist. Die Kl. hat ihr Auskunftsersuchen mit Schreiben v. 17.3.2022 gestellt. Die 1-Monats-Frist wäre folglich am 18.4.2022 abgelaufen. Mit Schriftsatz v. 19.4.2022 hat die Kl. ihr Auskunftsverlangen im Klagewege geltend gemacht. Hierauf hat die Bekl. erstmals mit Schriftsatz v. 16.6.2022 reagiert und in Aussicht gestellt, dass Auskunft erteilt werde. Sodann hat die Bekl. mit Schreiben v. 28.6.2022 eine Auskunft erteilt, die die Kl. jedoch nicht für vollständig hält. Hieraus ergibt sich der Tatbestand der nicht rechtzeitigen und nicht vollständigen Auskunftserteilung, welcher einen Schadensersatzanspruch iSv Art. 82 DS-GVO zur Folge hat. Gem. Absatz 1 des Art. 82 hat jede Person, die wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Gem. Art. 83 Abs. 2 und 5 lit. b ist eine Geldbuße je nach den Umständen des Einzelfalles nach den Kriterien der Buchstaben a bis k des Absatzes 2 festzulegen, wenn die Rechte der betroffenen Person gem. den Art. 12 bis 22 verletzt wurden. Das Gericht hält eine Geldbuße iHv 2.500 EUR für angemessen. Gem. Art. 83 Abs. 1 soll die Geldbuße in jedem Einzelfall wirksam, verhältnismäßig und abschreckend sein. Das Gericht hält deshalb einen Betrag von 1.000 EUR für gerechtfertigt, nach dem die Bekl. ohne rechtfertigende Gründe die Auskunft deutlich verfristet erteilt hat und einen weiteren Betrag iHv 1.500 EUR für berechtigt, nachdem die erteilte Auskunft unvollständig war.

Finanzgerichte

 

BFH – IX R 11/23

0 EUR Unter welchen Voraussetzungen und in welchem Umfang gewährt Art. 82 der DS-GVO einen Anspruch auf Ersatz von (immateriellen) Schäden?

NEU BFH – IX R 10/23

0 EUR Unter welchen Voraussetzungen und in welchem Umfang gewährt Art. 82 der DS-GVO einen Anspruch auf Ersatz von (immateriellen) Schäden?

FG Berlin-Brandenburg Urt. v. 29.3.2023 – 16 K 16036/22

0 EUR Da hinsichtlich des begehrten Schadensersatzes iHv 50.000 EUR verschiedene Begründungen geliefert werden, ist die Klage auch insoweit unzulässig. Die Kl. begründet ihren Schadensersatzanspruch iHv 50.000 EUR aus der Falschauskunft und aus der Verwertung der Patientendaten, aus der staatrechtswidrigen Tatprovokation des Bekl. und verschiedenen anderen im Antrag genannten Gesichtspunkten. Wenn wegen verschiedener schädigender Ereignisse Schadenersatz verlangt wird, handelt es sich um verschiedene Streitgegenstände. Soweit die Kl. vorgetragen hat, dass der Gegenstand des Klagebegehrens die Verletzung des Datenschutzes aus der DS-GVO und der AO unter allen Gesichtspunkten der DS-GVO sei, kann auch darin kein zulässiger Klageantrag gesehen werden, denn der diesbezügliche Vortrag ist vollkommen unsubstantiiert und die Grenzen der Entscheidungsbefugnis des Gerichts sind nicht klar. Im Ergebnis beruft sich die Kl. auf eine allgemeine Rechtswidrigkeit des Handelns des Bekl.

FG Berlin-Brandenburg Urt. v. 9.3.2023 – 16 K 16155/21 = ZD 2023, 705

0 EUR Der Finanzrechtsweg ist für den Schadenersatzanspruch aus Art. 82 DS-GVO gem. § 33 Abs. 1 Nr. 4 FGO iVm § 32i Abs. 2 S. 1 AO eröffnet. Eine auf Schmerzensgeld gerichtete Klage ist als allgemeine Leistungsklage iSv § 40 Abs. 1, 3. Fall FGO statthaft. Bedenken bestehen, ob der Gegenstand des Klagebegehrens hinreichend bezeichnet ist. Es könnte unklar sein, wegen was genau Schmerzensgeld verlangt wird (schädigendes Ereignis), worin der Schaden bestehen soll und ob ein Kausalzusammenhang zwischen schädigendem Ereignis und Schaden besteht. Es könnte weiter unklar sein, welches Rechtsgut wie beeinträchtigt wurde. Im Ergebnis hält der Senat die Klage für gerade noch zulässig, da sich aus dem schriftsätzlichen Vorbringen des Kl. und seinem Vortrag in der mündlichen Verhandlung jedenfalls in grob umrissenen Zügen ergibt, was der Kl. begehrt und worauf er sein Begehren stützt. Dem Kl. steht mangels Schadens kein Anspruch aus Art. 82 DS-GVO gegen den Bekl. auf Ersatz eines -materiellen oder immateriellen- Schadens wegen Verstoßes gegen die DS-GVO zu. Die Frage, ob bereits der Datenschutzverstoß als solcher für das Entstehen eines Schadenersatzanspruchs ausreicht oder es darüber hinaus der Darlegung und des Nachweises eines konkreten (auch: immateriellen) Schadens bedarf, ist in Rspr. und Lit. umstritten. Der Senat folgt der Auffassung, wonach über den festgestellten Verstoß gegen die Vorschriften des DS-GVO hinaus auch der Nachweis eines konkreten (immateriellen) Schadens Voraussetzung für eine Entschädigung in Geld ist. Nach Maßgabe dieser Grundsätze hat der Kl. das Vorliegen eines konkreten – materiellen oder immateriellen – Schadens nicht zur Überzeugung des Senats dargetan.

FG Berlin-Brandenburg Urt. v. 9.3.2023 – 16 K 16034/22

0 EUR Die Kl. hat gegen den Bekl. mangels Vorliegens eines Schadens keinen Anspruch auf Schadenersatz aus Art. 82 Abs. 1 DS-GVO. Die Frage, ob bereits der Datenschutzverstoß als solcher für das Entstehen eines Schadenersatzanspruchs ausreicht oder es darüber hinaus der Darlegung und des Nachweises eines konkreten (auch: immateriellen) Schadens bedarf, ist in Rspr. und Lit. umstritten. Der Senat folgt der Auffassung, wonach über den festgestellten Verstoß gegen die Vorschriften des DS-GVO hinaus auch der Nachweis eines konkreten (immateriellen) Schadens Voraussetzung für eine Entschädigung in Geld ist. In der bloßen Möglichkeit des Bekanntwerdens einer Telefonnummer vermag der Senat keinen Schaden zu erkennen. Auch soweit die Kl. in der mündlichen Verhandlung durch ihren Vertreter hat vortragen lassen, dass ihr ein zivilrechtlicher Ersatzanspruch drohe, würde dieser jedenfalls ebenfalls einen Schaden voraussetzen. In dem bloßen Bekanntwerden einer Mobilfunktelefonnummer vermag das Gericht jedoch nicht einmal einen Bagatellschaden zu erkennen. Hinzu kommt, dass der Vortrag in der mündlichen Verhandlung, dass es sich um eine der Geheimhaltung unterliegenden Nummer handeln würde, ohne jede Glaubhaftmachung oder gar Beweis geblieben ist. Es ist darüber hinaus nicht einmal ansatzweise dargelegt worden, wie diese Nummer, die doch der Geheimhaltung unterliegen sollte, in die Aufzeichnungen der Kl. geraten konnte. Die entsprechende Information müsste also schon vorher durch den Nutzer der entsprechenden Telefonnummer freiwillig und dann natürlich unzulässig bekannt gegeben worden sein. Alternativ denkbar wäre, dass B…, der auch vorliegend für die Kl. auftritt, unter Nutzung dieser Nummer bei der Bekl. angerufen hat, was dann ebenfalls unzulässig gewesen wäre und bedeuten würde, dass er selbst freiwillig und unzulässig seine angebliche Geheimnummer offenbart hätte. Auch aus dem übrigen Akteninhalt vermag der Senat einen ersatzfähigen -materiellen oder immateriellen- Schaden nicht zu erkennen.

FG Berlin-Brandenburg Urt. v. 1.3.2023 – 16 K 16150/21 = ZD 2023, 706

0 EUR Der Finanzrechtsweg ist für den Schadenersatzanspruch aus Art. 82 DS-GVO gem. § 33 Abs. 1 Nr. 4 FGO i. V. m. § 32i Abs. 2 S. 1 AO eröffnet. Die Klage ist nicht begründet, da der Kl. gegen den Bekl. keinen Anspruch auf Schmerzensgeld aus Art. 82 Abs. 1 DS-GVO hat. Dem Kl. steht kein Anspruch aus Art. 82 DS-GVO gegen den Bekl. auf Ersatz des von ihm geltend gemachten immateriellen Schadens (Schmerzensgeld) wegen verzögerter oder unzureichender Erfüllung der Auskunftspflicht nach Art. 15 DS-GVO zu. Im Streitfall fehlt es bereits an einem Verstoß gegen die DS-GVO durch den Bekl. als Verantwortlichen iSv Art. 4 Ziff. 7 DS-GVO. Denn der Kl. hat keinen Anspruch auf Zurverfügungstellung von Kopien personenbezogener Daten in Gestalt von (elektronischen) Doppeln ganzer Akten durch das beklagte Finanzamt. Selbst wenn in dem Verhalten des Bekl. ein Verstoß gegen die Auskunftspflicht nach Art. 15 DS-GVO zu sehen sein sollte, liegen nach Überzeugung des Senats die Voraussetzungen für einen Geldentschädigungsanspruch (Schmerzensgeld) in Bezug auf einen dem Kl. zugefügten immateriellen Schaden nicht vor, da es an der Darlegung des Eintritts eines Schadens bei dem Kl. fehlt. Die Frage, ob bereits der Datenschutzverstoß als solcher für das Entstehen eines Schadensersatzanspruchs ausreicht oder es darüber hinaus der Darlegung und des Nachweises eines konkreten (auch: immateriellen) Schadens bedarf, ist in Rspr. und Lit. umstritten. Der Senat folgt der Auffassung, wonach über den festgestellten Verstoß gegen die Vorschriften des DS-GVO hinaus auch der Nachweis eines konkreten (immateriellen) Schadens Voraussetzung für eine Entschädigung in Geld ist. Hierfür spricht zunächst bereits der Wortlaut von Art. 82 Abs. 1 DS-GVO, der über den Verstoß hinaus ausdrücklich die Entstehung eins Schadens („…Schaden entstanden ist“) voraussetzt. Den vom Kl. benannte immaterielle Schaden aufgrund vermeintlicher Ungewissheit über die Verarbeitung der personenbezogenen Daten und eines daher damit einhergehenden Kontrollverlustes auf Seiten des Kl. vermag der Senat nicht zu erkennen. Selbst wenn ein solcher vorläge, begründete dieser keinen ersatzfähigen – immateriellen – Schaden.

Verwaltungsgerichte

 

VG Köln Urt. v. 23.2.2023 – 13 K 278/21 = ZD 2024, 420 (Ls.)

1.000 EUR Eine Zuständigkeit der Verwaltungsgerichte folgt auch nicht aus Art. 82 Abs. 6i.V. m. Art. 79 Abs. 2 DS-GVO. Art. 82 Abs. 6 DS-GVO verweist hinsichtlich der Zuständigkeit auf Art. 79 Abs. 2 DS-GVO. Die Zuständigkeit der Verwaltungsgerichte folgt auch nicht aus dem Umstand, dass diese für Klagen nach Art. 79 Abs. 1 DS-GVO betreffend behördliche Verstöße gegen die DS-GVO gem. § 40 Abs. 1 S. 1 VwGO als öffentlich- rechtliche Streitigkeit (innerstaatlich) zuständig sind. Die dazu vertretene Ansicht, die als Konsequenz des Art. 82 Abs. 6 DS-GVO dieselbe (innerstaatliche) gerichtliche Zuständigkeit für das Recht auf Schadensersatz wie für alle anderen Ansprüche gegen den Verantwortlichen oder Auftragsverarbeiter sieht, überzeugt nicht. Der Verweis des Art. 82 Abs. 6 DS-GVO auf Art. 79 Abs. 2 DS-GVO erfasst nur die (der innerstaatlichen Zuständigkeit vorgelagerten) Frage der Zuständigkeit des Mitgliedstaates, die von Art. 79 Abs. 2 DS-GVO geregelt wird. Art. 82 Abs. 2, Art. 79 Abs. 2 DS-GVO bestimmen demnach allein welcher Mitgliedstaat zuständig ist und mithin welche nationale Rechtsordnung Anwendung findet. Dem Kl. steht ggü. der Bekl. ein Anspruch auf Zahlung eines Schmerzensgeldes iHv 1.000 EUR zu. Das Bundesverwaltungsamt hat bei der Verarbeitung der personenbezogenen Daten des Kl. jedenfalls gegen Art. 9 Abs. 1 DS-GVO verstoßen. Bei den Beihilfebelegen handelt es sich nicht nur um (einfache) personenbezogene Daten, sondern um besonders sensible Gesundheitsdaten iSv Art. 4 Ziff. 15, Art. 9 Abs. 1 DS-GVO. Die Versendung dieser Gesundheitsdaten an einen Dritten war gesetzlich verboten. Ein Ausnahmegrund liegt nicht vor; insbesondere hat der Kl. in die Versendung nicht ausdrücklich eingewilligt, Art. 9 Abs. 2 lit. a DS-GVO. Wegen dieses Verstoßes ist dem Kl. ein immaterieller Schaden entstanden. Art. 82 Abs. 1 DS-GVO erfasst ausdrücklich nicht nur materielle, sondern auch immaterielle Schäden. Der Schadensbegriff ist – wie sich aus Erwägungsgrund 146 S. 3 der DS-GVO ergibt – weit auszulegen. Zudem ist die Verarbeitung von personenbezogenen Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen oder religiöse oder weltanschauliche Überzeugungen hervorgehen, sowie von genetischen Daten, Gesundheitsdaten oder das Sexualleben oder strafrechtliche Verurteilungen betreffenden Daten als ein Schaden anzusehen. Die – zwischen den Beteiligten mittlerweile unstreitige – unzulässige Versendung der Beihilfebelege des Kl. an den Dritten begründet einen immateriellen Schaden. Das entspricht dem weiten Schadensverständnis des europäischen Gesetzgebers und deckt sich mit den Wertungen des Erwägungsgrunds 75 der DS-GVO. Dass der Kl. diesen Schaden vorliegend nicht näher spezifiziert hat, ist unerheblich. Die ihm entstandenen Nachteile sind offenkundig und bedürfen keiner genaueren Erläuterung. So liegt ein immaterieller Schaden bereits darin begründet, dass der Dritte aufgrund des Fehlversands durch Bundesverwaltungsamt zwangsläufig einen Einblick in die Beihilfebelege des Kl. genommen hat. Diese Gesundheitsdaten erfahren nach Art. 9 Abs. 1 DS-GVO einen besonderen Schutz. Sie enthalten Informationen über die engere Privatsphäre bis zur Intimsphäre des Kl. Ihre Offenbarung ggü. dem Dritten führt bei dem Betroffenen zu einem Verlust an Vertraulichkeit und einer Bloßstellung. Dass die Offenbarung ggü. einer einzelnen, dem Kl. bislang unbekannten Person erfolgte, steht der Annahme einer Bloßstellung nicht entgegen. Hinzu kommt das der Kenntnisgabe immanente Risiko, dass der Dritte die sensiblen Daten zum Nachteil des Kl. weiterverbreitet. Die Bekl. hat auch nicht nachgewiesen, dass das Bundesverwaltungsamt für die Umstände des Schadenseintritt in keinerlei Hinsicht verantwortlich gewesen ist, Art. 82 Abs. 3 DS-GVO. Der Fehlversand der Beihilfebelege des Kl. beruhte vielmehr auf einem Büroversehen innerhalb der Poststelle des Bundesverwaltungsamtes und damit auf Fahrlässigkeit. Diese Fahrlässigkeit des handelnden Mitarbeiters muss sich die Bekl. zurechnen lassen. Inwiefern Art. 82 Abs. 1 DS- GVO darüber hinaus voraussetzt, dass der Schaden eine Bagatell- oder Erheblichkeitsschwelle überschreitet, bedarf vorliegend keiner Entscheidung. Denn der immaterielle Schaden des Kl. stellt sich als erheblich dar. Die Beeinträchtigungen des Kl. gehen über ein bloß ungutes Gefühl bzw. das diffuse Gefühl eines Kontrollverlustes hinaus. Sie ermöglichen einen weitreichenden Einblick in die Krankheitsbilder des Kl., welche aus den auf den Arztrechnungen festgehaltenen Leistungen und den Diagnosen, die sowohl den psychischen als auch den physischen Bereich betreffen, abgeleitet werden können. Das Wissen über die Gesundheitsdaten des Kl. könnte von dem Dritten leicht dazu genutzt werden, den Kl. in seinem beruflichen, gesellschaftlichen oder privaten Umfeld zu diskreditieren. Bezüglich der Höhe des immateriellen Schadens hält das Gericht einen Betrag von 1.000 EUR für angemessen, aber auch ausreichend. Die Ermittlung der Schadenshöhe obliegt dem Gericht – mangels einschlägiger unionsrechtlicher Vorschriften – nach § 173 S. 1 Hs 1 VwGO iVm § 287 Abs. 1 S. 1 ZPO. Das Gericht hat über die Schadenshöhe unter Würdigung aller Umstände nach freier Überzeugung zu entscheiden. Für die Bemessung des immateriellen Schadensersatzes können die Kriterien des Art. 83 Abs. 2 DS-GVO herangezogen werden. Unter Abwägung der maßgeblichen Gesichtspunkte erachtet das Gericht eine Schadensersatzzahlung in Höhe von 1.000 EUR für angemessen und ausreichend. Dieser Geldbetrag schafft Ausgleich für den erlittenen immateriellen Schaden des Kl. Der Betrag berücksichtigt zu Lasten der Bekl., dass es sich bei den fehlversendeten Daten um besonders sensible Gesundheitsdaten des Kl. iSv Art. 9 Abs. 1 DS-GVO gehandelt hat. Insofern wiegt der Verstoß besonders schwer. Ein Mitverschulden fällt dem Kl. nicht zur Last. Allerdings ist mildernd zu berücksichtigen, dass die Daten aufgrund des Fehlversands lediglich einer einzelnen dem Kl. unbekannten Person offengelegt worden sind. Dafür, dass die Daten darüber hinaus weiteren Personen bekannt gemacht worden sind, ist nichts ersichtlich. Insofern ist davon auszugehen, dass sich das Risiko einer Weiterverbreitung der Gesundheitsdaten des Kl. durch den Dritten nicht verwirklicht hat. Soweit dieses Risiko nach der Rücksendung der Beihilfebelege noch fortbesteht, schätzt das Gericht es als äußerst gering ein. Das Bundesverwaltungsamt hat die Beihilfebelege unverzüglich von dem Dritten zurückverlangt und an den Kl. zurückgegeben, nachdem es den Fehlversand bemerkt hatte; dem entsprechenden Vorbringen der Bekl. ist der Kl. nicht entgegengetreten. Der Kl. hat dem Gericht auch keine persönlichen Folgen dargelegt, die über den Vertraulichkeitsverlust und die Bloßstellung hinausgehen, welche schon allgemein anzuerkennen sind. Insofern sind die Folgen des Verstoßes für den Kl. begrenzt. Die Genugtuungsfunktion des Schadensersatzanspruchs fällt demgegenüber in diesem Fall nicht ins Gewicht. Der Fehlversand der Beihilfebelege beruht lediglich auf einfacher Fahrlässigkeit; grobe Fahrlässigkeit oder gar Vorsatz erkennt das Gericht darin nicht. Auch eine Abschreckungsfunktion braucht der Schadensersatz in diesem Fall nicht zu erfüllen, sodass es nicht darauf ankommt, ob eine solche iRd Art. 82 Abs. 1 DS-GVO überhaupt anzuerkennen ist. Die ermittelte Schadenshöhe von 1.000 EUR stellt sich schließlich auch im vergleichenden Blick auf bislang von den Zivil- und Arbeitsgerichten nach Art. 82 Abs. 1 DS-GVO ausgeurteilte Schmerzensgelder als angemessen dar. Deutlich höhere Beträge von 2.000 EUR bis 5.000 EUR sind zuerkannt worden, wenn es sich um schwerwiegende vorsätzliche Verstöße gegen die DS-GVO handelte, wie die Sammlung und Übermittlung von Beschäftigtendaten in einer Klinik, den Identitätsdiebstahl oder das Ausspähen durch ein Detektivbüro. Deutlich niedrigere Beträge um die 500 EUR sind bislang zugesprochen worden, wenn der Verstoß weniger sensible Daten betraf, wie bei der fehlerhaften Versendung eines Kontoabschlusses. Die vom Kl. zusätzlich geltend gemachten vorgerichtlichen Rechtsanwaltskosten sind im tenorierten Umfang aus Art. 82 Abs. 1 DS-GVO iVm den zu § 249 Abs. 1 BGB entwickelten Grundsätzen begründet. Die Inanspruchnahme eines Rechtsanwalts war für den Kl. zur Durchsetzung seines Schadensersatzanspruchs aus Art. 82 Abs. 1 DS-GVO angesichts der schwierigen und unübersichtlichen Rechtslage erforderlich und zweckmäßig. Allerdings sind die vorgerichtlichen Rechtsanwaltskosten nicht aufgrund des Gegenstandswerts von 3.000 EUR zu berechnen. Dem Anspruch ist vielmehr der Wert zugrunde zu legen, der dem berechtigten Schadensersatzanspruch entspricht.

Sozialgerichte

 

NEU LSG Nordrhein-Westfalen Urt. v. 3.8.2023 – L 7 AS 1044/22

0 EUR Der Anwendungsbereich des Schadensersatzanspruchs gem. Art 82 Abs 1 DS-GVO ist nur eröffnet, wenn ein Verstoß durch die Verarbeitung selbst in Betracht kommt, die verordnungswidrig sein muss.

BSG Beschl. v. 6.3.2023 – B 1 SF 1/22 R = ZD 2023, 623

0 EUR Für Schadenersatzansprüche nach der DS-GVO wegen datenschutzrechtlicher Verstöße iRe der Sozialgerichtsbarkeit zugewiesenen Rechtsverhältnisses ist der Sozialrechtsweg eröffnet. Jedenfalls ist der Schadenersatzanspruch nach Art. 82 Abs. 1 DS-GVO kein Amtshaftungsanspruch, für den Art. 34 S. 3 GG den ordentlichen Rechtsweg garantiert. Nach Art. 82 Abs. 6 DS-GVO sind mit Gerichtsverfahren zur Inanspruchnahme des Rechts auf Schadensersatz die Gerichte zu befassen, die nach den in Art. 79 Abs. 2 DS-GVO genannten Rechtsvorschriften des Mitgliedstaats zuständig sind. Es kann dahinstehen, ob Art. 79 Abs. 2 DS-GVO auch den innerstaatlichen Rechtsweg dahingehend determiniert, dass eine Rechtswegspaltung verhindert werden soll oder es sich lediglich um eine Regelung der internationalen Zuständigkeit handelt. Denn Art. 34 S. 3 GG ist vorliegend von vornherein nicht einschlägig. Nach der erstgenannten Auffassung träte Art. 34 S. 3 GG sogar im Wege des Anwendungsvorrangs hinter Art. 82 Abs. 6 DS-GVO zurück. Der Amtshaftungsanspruch iSd § 839 Abs. 1 BGB ist von dem Schadenersatzanspruch aus Art. 82 Abs. 1 DS-GVO zu unterscheiden. Dabei kann dahinstehen, ob ein Verstoß gegen datenschutzrechtliche Vorschriften zugleich auch eine Amtspflichtverletzung darstellt. Jedenfalls tritt der Anspruch aus Art. 82 Abs. 1 DS-GVO als eigenständiger Anspruch zu einem etwaigen Amtshaftungsanspruch hinzu und wird nicht durch diesen verdrängt. Der Amtshaftungsanspruch nach § 839 Abs. 1 BGB iVm Art. 34 S. 1 GG und der Schadenersatzanspruch nach Art. 82 Abs. 1 DS-GVO können danach zwar in Anspruchskonkurrenz nebeneinandertreten, an der Zuständigkeit der Gerichte der Sozialgerichtsbarkeit für den Streit um Ansprüche aus Art. 82 Abs. 1 DS-GVO ändert dies aber nichts. Der Schadenersatzanspruch aus Art. 82 Abs. 1 DS-GVO ist schon deshalb kein Amtshaftungsanspruch iSd Art. 34 S. 1 und 3 GG, weil er sich nicht gegen einen Amtswalter richtet und sodann auf den Staat übergeleitet wird, sondern unmittelbar gegen den Verantwortlichen.

SG München Urt. v. 26.1.2023 – S 38 KA 72/22

0 EUR Der Schadensersatzanspruch richtet sich gegen den/die Verantwortlichen oder gegen den/die Auftragsverarbeiter (Art. 82 Abs. 1, Abs. 2 DS-GVO). Wenn der Vertragszahnarzt als Verantwortlicher in Anspruch genommen wird, ist er seinerseits mit Einwendungen nicht abgeschnitten. So kann er sich nach Art. 82 Abs. 3 DS-GVO exkulpieren, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. Insofern kann er weder für einen Schaden haftbar gemacht werden, der nicht in seiner Sphäre entstanden ist, noch kann er für einen Schaden haftbar gemacht werden, der zwar in seiner Sphäre entstanden ist, den er aber bei bestimmungsgemäßem Anschluss an die TU, bestimmungsgemäßer Nutzung, ordentlicher Wartung und Beachtung der erforderlichen Datenschutzmaßnahmen (zB Absicherung der Hard- und Software) nicht zu vertreten hat.

SG München Urt. v. 26.1.2023 – S 38 KA 190/20

0 EUR Wie SG München Urt. v. 26.1.2023 – S 38 KA 72/22.

Anwaltsgerichtshof

 

NEU Anwaltsgerichtshof Berlin Urt. v. 15.11.2023 – II AGH 8/20

0 EUR Dem Kl. steht auch kein Anspruch auf immateriellen Schadensersatz gegen die Bekl. aus Art. 82 Abs. 1 DS-GVO zu. Diese Voraussetzungen liegen nicht vor. Die Bekl. hat nicht gegen Vorschriften der DS-GVO verstoßen.

Österreich

 

NEU ÖOGH Entscheidung v. 20.12.2023 – 6Ob206/23x

500 EUR Die Rechtsansicht der Vorinstanzen, es stehe dem Kl. ein immaterieller Schadenersatzanspruch von 500 EUR zu, ist vor dem Hintergrund der Rspr. des EuGH (C-300/21 [= ZD 2023, 446 mAnm Mekat/Ligocki] – Österreichische Post) sowie unter Zugrundelegung der Feststellungen, dass der Kl. wegen Anfragen von Personen, die ihn aufgrund der Postings der Bekl. mit dieser in Verbindung bringen, „massiv genervt“ ist und sich deshalb auch schon im Krankenstand befand, nicht korrekturbedürftig. Die Ausführungen der Bekl. zur fehlenden Adäquanz verstoßen gegen das Neuerungsverbot. Im Übrigen ist ein Schaden schon dann adäquat herbeigeführt, wenn seine Ursache – wie hier – ihrer allgemeinen Natur nach für die Herbeiführung eines derartigen Erfolgs nicht als völlig ungeeignet erscheinen muss und nicht nur infolge einer ganz außergewöhnlichen Verkettung von Umständen zu einer Bedingung des Schadens wurde.

 

Anzeigen:

ZD 4Wochen Testabonnement

beck-online DatenschutzR

Teilen:

Menü