Gericht | Schadensumfang und Begründung |
EuGH | |
NEU EuGH (3. Kammer) Urt. v. 11.4.2024 – C-741/21 = ZD 2024, 381 mAnm Roos/Rothkegel = MMR 2024, 552 mAnm Halim | 1. Art. 82 Abs. 1 DS-GVO ist dahin auszulegen, dass ein Verstoß gegen Bestimmungen dieser Verordnung, die der betroffenen Person Rechte verleihen, für sich genommen nicht ausreicht, um unabhängig vom Schweregrad des von dieser Person erlittenen Schadens einen „immateriellen Schaden“ im Sinne dieser Bestimmung darzustellen. 2. Art. 82 DS-GVO ist dahin auszulegen, dass es für eine Befreiung des Verantwortlichen von seiner Haftung nach Art. 82 Abs. 3 DS-GVO nicht ausreicht, dass er geltend macht, dass der in Rede stehende Schaden durch ein Fehlverhalten einer ihm iSv Art. 29 DS-GVO unterstellten Person verursacht wurde. 3. Art. 82 Abs. 1 DS-GVO ist dahin auszulegen, dass zur Bemessung des Betrags des auf diese Bestimmung gestützten Anspruchs auf Schadensersatz zum einen die in Art. 83 DS-GVO vorgesehenen Kriterien für die Festsetzung des Betrags von Geldbußen nicht entsprechend anzuwenden sind und zum anderen nicht zu berücksichtigen ist, dass die Person, die Schadensersatz verlangt, von mehreren Verstößen gegen die Verordnung betroffen ist, die sich auf denselben Verarbeitungsvorgang beziehen. |
EuGH (3. Kammer) Urt. v. 25.1.2024 – C-687/21 = ZD 2024, 334 – MediaMarktSaturn | 1. Die Art. 5, 24, 32 und 82 DS-GVO sind zusammen betrachtet dahin auszulegen, dass iRe auf Art. 82 DS-GVO gestützten Schadensersatzklage der Umstand, dass Mitarbeiter des für die Verarbeitung Verantwortlichen irrtümlich ein Dokument mit personenbezogenen Daten an einen unbefugten Dritten weitergegeben haben, für sich genommen nicht ausreicht, um davon auszugehen, dass die technischen und organisatorischen Maßnahmen, die der für die betreffende Verarbeitung Verantwortliche getroffen hat, nicht „geeignet“ iSd Art. 24 und 32 DS-GVO waren. 2. Art. 82 Abs. 1 DS-GVO ist dahin auszulegen, dass der in dieser Bestimmung vorgesehene Schadensersatzanspruch, insb. im Fall eines immateriellen Schadens, eine Ausgleichsfunktion hat, da eine auf sie gestützte Entschädigung in Geld es ermöglichen soll, den konkret aufgrund des Verstoßes gegen die DS-GVO erlittenen Schaden vollständig auszugleichen, und keine Straffunktion erfüllt. 3. Art. 82 DS-GVO ist dahin auszulegen, dass er nicht verlangt, dass die Schwere des von dem für die Verarbeitung Verantwortlichen begangenen Verstoßes für die Zwecke des Ersatzes eines Schadens auf der Grundlage dieser Bestimmung berücksichtigt wird. 4. Art. 82 Abs. 1 DS-GVO ist dahin auszulegen, dass die Person, die aufgrund dieser Bestimmung Schadensersatz verlangt, nicht nur den Verstoß gegen Bestimmungen der DS-GVO nachweisen muss, sondern auch, dass ihr dadurch ein materieller oder immaterieller Schaden entstanden ist. 5. Art. 82 Abs. 1 DS-GVO ist dahin auszulegen, dass in einem Fall, in dem ein Dokument, das personenbezogene Daten enthält, an einen unbefugten Dritten weitergegeben wurde, der diese Daten erwiesenermaßen nicht zur Kenntnis genommen hat, nicht schon deshalb ein „immaterieller Schaden“ im Sinne dieser Bestimmung vorliegt, weil die betroffene Person befürchtet, dass im Anschluss an die Weitergabe, die es ermöglichte, vor der Rückgabe des Dokuments eine Kopie von ihm anzufertigen, in der Zukunft eine Weiterverbreitung oder gar ein Missbrauch ihrer Daten stattfindet. |
BGH | |
NEU BGH Beschl. v. 6.2.2024 – VI ZR 365/22 | 0 EUR Die Kl. nimmt die beklagte Bundesrepublik Deutschland, soweit für das Revisionsverfahren noch von Interesse, auf Schadensersatz aus Art. 82 DS-GVO in Anspruch. Das LG hat die Klage ab-, das OLG die Berufung der Kl. zurückgewiesen. Der Kl. ist Wiedereinsetzung in die versäumte Rechtsmittelbegründungsfrist zu gewähren, weil sie die Frist zur Begründung der Revision ohne Verschulden versäumt, die Wiedereinsetzung innerhalb eines Monats nach Behebung des Hindernisses beantragt und zugleich die versäumte Revisionsbegründung nachgeholt hat. |
Oberlandesgerichte | |
NEU OLG Oldenburg Urt. v. 21.5.2024 – 13 U 100/23 | 0 EUR Ein Schadensersatzanspruch gem. Art. 82 DS-GVO setzt einen Verstoß gegen die DS-GVO, den Eintritt eines Schadens und einen Kausalzusammenhang zwischen Verstoß und Schaden voraus. Vorliegend hat die Bekl. zwar gegen die DS-GVO verstoßen, indessen hat der Kl. keinen kausalen Schaden erlitten. Der erforderliche Verstoß gegen die DS-GVO liegt vor. Dabei kann die von den unterschiedlichen Wortlauten in Art. 82 Abs. 1 DS-GVO („wegen eines Verstoßes gegen diese Verordnung“) und Art. 82 Abs. 2 DS-GVO („eine nicht dieser Verordnung entsprechende Verarbeitung“) ausgehende Streitfrage, ob bereits jeder Verstoß gegen die DS-GVO oder erst eine verordnungswidrige Datenverarbeitung einen Schadensersatzanspruch nach Art. 82 DS-GVO begründet, dahinstehen. Da die Bekl. personenbezogene Daten des Kl. ohne die nach Art. 6 Abs. 1 DS-GVO erforderliche Rechtsgrundlage verarbeitet hat, liegt nicht nur ein Verstoß gegen die DS-GVO, sondern auch eine verordnungswidrige Datenverarbeitung vor. Ob die Bekl. darüber hinaus die weiteren, von dem Kl. geltend gemachten Datenschutzrechtsverstöße begangen hat, kann offenbleiben, da der in Art. 82 Abs. 1 DS-GVO vorgesehene Schadensersatzanspruch ausschließlich eine Ausgleichsfunktion, jedoch keine abschreckende oder Straffunktion erfüllt und daher das Vorliegen mehrerer Verstöße nicht zu einer Erhöhung des Schadensersatzes führt. Der Kl. hat allerdings keinen Schaden erlitten. Nach Erwägungsgrund 146 S. 3 DS-GVO ist der Begriff des Schadens weit und unter Berücksichtigung der Ziele der DS-GVO (vgl. Art. 1 DS-GVO) auszulegen. Die Darlegungs- und Beweislast für das Vorliegen eines Schadens trifft den Kl. Der Kl. hat jedoch nicht nachgewiesen, aufgrund des Verstoßes der Bekl. gegen die DS-GVO einen immateriellen Schaden erlitten zu haben. Entgegen der Auffassung des Kl. stellt der Verlust der Kontrolle über personenbezogene Daten als solcher noch keinen ersatzfähigen Schaden dar. Soweit der Kl. als Beleg für seine Auffassung Erwägungsgrund 75 und 85 DS-VGO anführt, ist zu berücksichtigen, dass die Erwägungsgründe keinen normativen Charakter haben, sondern lediglich als Auslegungshilfe in Betracht kommen. Dabei haben Erwägungsgrund 75 und 85 DS-GVO für die Auslegung des Schadensbegriffs in Art. 82 Abs. 1 DS-GVO nur eine begrenzte Aussagekraft, da sie sich nicht auf Art. 82 DS-GVO, sondern auf Art. 24 DS-GVO bzw. Art. 33 DS-GVO beziehen. Davon abgesehen folgt aus der Rspr. des EuGH, dass der bloße Kontrollverlust keinen immateriellen Schaden iSd Art. 82 DS-GVO begründet. Die entsprechende Vorlagefrage hat der EuGH dahingehend beschieden, dass der Kontrollverlust zwar grds. einen Schaden darstellen könne, der Anspruchsteller jedoch nachweisen müsse, dass die negativen Folgen eines Verstoßes einen immateriellen Schaden darstellen. Das nationale Gericht müsse, wenn sich eine Person auf die Befürchtung berufe, ihre personenbezogenen Daten könnten in Zukunft missbräuchlich verwendet werden, prüfen, ob diese Befürchtung unter den gegebenen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden könne. Danach ist der Verlust der Kontrolle über die eigenen Daten eine negative Folge, die zwar grds. einen Ersatzanspruch begründen kann, der Anspruchsteller bleibt jedoch in der Pflicht, darzulegen und ggf. zu beweisen, dass der Kontrollverlust zu einem immateriellen Schaden wie begründeten Ängsten und Befürchtungen eines Missbrauchs der Daten durch Dritte geführt hat. Ein folgenloser Kontrollverlust stellt hingegen keinen (immateriellen) Schaden dar. Aus dem Urteil des EuGH v. 14.12.2023 – C-340/21 [ZD 2024, 150 mAnm Ligocki/Sosna = MMR 2024, 231 mAnm Kohl/Rothkegel] folgt nichts anderes. Soweit der EuGH darin unter Verweis auf Erwägungsgrund 85 S. 1 DS-GVO ausgeführt hat, dass der Unionsgesetzgeber unter den Begriff des Schadens insb. den bloßen „Verlust der Kontrolle“ über die eigenen Daten infolge eines Verstoßes gegen die DS-GVO habe fassen wollen, hat er dies als Argument dafür angeführt, dass die Annahme eines Schadens nicht den Missbrauch personenbezogener Daten voraussetzt, sondern insoweit die Befürchtung eines solchen Missbrauchs auf Seiten des Betroffenen ausreichen kann. Eine Aussage über die Qualität des Kontrollverlusts als Schaden hat er damit nicht getroffen. Soweit der Kl. behauptet, großes Unwohlsein und große Sorge wegen eines möglichen Missbrauchs seiner personenbezogenen Daten verspürt zu haben, hat er seiner Darlegungslast genügt. Die durch einen Datenschutzrechtsverstoß hervorgerufene Befürchtung des Betroffenen, dass seine personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, kann einen immateriellen Schaden iSd Art. 82 Abs. 1 DS-GVO darstellen. Allerdings bleibt das Gericht gehalten zu prüfen, ob die Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann. Nach Anhörung des Kl. steht nicht zur Überzeugung des Senats fest, dass dieser infolge des Scraping-Vorfalls tatsächlich Ängste und Sorgen wegen eines möglichen Missbrauchs seiner Mobilfunknummer empfunden hat. Im Gegenteil geht der Senat vielmehr davon aus, dass dies nicht der Fall ist. Der Kl. hat bei seiner Anhörung weder den Eindruck vermittelt noch ausdrücklich bekundet, über das Abgreifen seiner Mobilfunknummer beunruhigt zu sein. Ebenso wenig hat ihn der Scraping-Vorfall zu einem Wechsel seiner Mobilfunknummer veranlasst. Ob der Kl. seine Suchbarkeits-Einstellung nach dem Scraping-Vorfall geändert hat, konnte er nicht sicher sagen. Vielmehr hat er eingeräumt, dass ihm die Unterscheidung zwischen Zielgruppen- und Suchbarkeits-Einstellung trotz ihrer schriftsätzlichen Thematisierung in dem vorliegenden Verfahren nicht richtig geläufig ist. Angesichts dieser Umstände ist der Senat nicht davon überzeugt, dass der Kl. tatsächlich Ängste und Sorgen wegen seiner abgegriffenen Mobilfunknummer empfindet. Schließlich begründet auch der von dem Kl. geschilderte Erhalt von Spam-Anrufen und -SMS nicht den geltend gemachten Schadensersatzanspruch. Abgesehen davon, dass der unerwünschte Erhalt von Spam-Anrufen und -SMS im Internetzeitalter gewissermaßen zum allgemeinen Lebensrisiko zählt, steht der ursächliche Zusammenhang zwischen dem Scraping-Vorfall und den Spam-Anrufen und -SMS nicht zur Überzeugung des Senats fest. Da der Kl. bekundet hat, mit seiner Mobilfunknummer auch bei EE und FF registriert zu sein, sind für den Erhalt der Spam-Anrufe auch andere Ursachen als der Scraping-Vorfall bei DD denkbar. Soweit der Kl. es für erforderlich erachtet, dem EuGH gem. Art. 267 Abs. 3 AEUV verschiedene Fragen zur Auslegung von Art. 82 DS-GVO und von Art. 15 DS-GVO zur Vorabentscheidung vorzulegen, sind die von ihm genannten Fragen entweder nicht klärungsbedürftig oder nicht entscheidungserheblich. Konkret hält der Kl. für klärungsbedürftig, ob die betroffene Person im Fall einer verordnungswidrigen Datenverarbeitung die Darlegungs- und Beweislast für den Schadenseintritt, die Schadenshöhe und die Kausalität zwischen Schaden und Rechtsverstoß trägt, ob der Kontrollverlust der betroffenen Person über ihre personenbezogenen Daten für sich genommen einen immateriellen Schaden begründet und ob bei der Bemessung der Höhe des Schadensersatzes berücksichtigt werden kann, dass dem nach Art. 82 DS-GVO zu gewährenden Schadensersatz im Einzelfall eine abschreckende Wirkung und damit der Charakter eines Straf-Schadensersatzes zukommt. Hinsichtlich Art. 15 DS-GVO hält es der Kl. für erforderlich, dem EuGH Fragen hinsichtlich der Erfüllung des Auskunftsanspruchs sowie hinsichtlich offenkundig unbegründeter oder exzessiver Anträge nach Art. 12 Abs. 5 DS-GVO zur Vorabentscheidung vorzulegen. Die Auslegung von Art. 82 DS-GVO wirft hinsichtlich der Darlegungs- und Beweislast keine klärungsbedürftigen Fragen auf („acte clair“). Art. 82 DS-GVO enthält keine allgemeinen Vorgaben zur Verteilung der Darlegungs- und Beweislast bei der Geltendmachung datenschutzrechtlicher Schadensersatzansprüche. Art. 82 Abs. 3 DS-GVO betrifft nur das Verschulden des Verantwortlichen für das schadenstiftende Ereignis, ohne dass sich daraus Aussagen zur allgemeinen Beweislastverteilung ableiten ließen. Ferner ergibt eine Gesamtbetrachtung der Art. 5, 24 und 32 DS-GVO, dass der Verantwortliche die Beweislast für die Einhaltung der datenschutzrechtlichen Sicherheitsanforderungen bei der Datenverarbeitung trägt. Darüber hinausgehende Vorgaben zur Beweislastverteilung bei der Geltendmachung datenschutzrechtlicher Schadensersatzansprüche enthält die DS-GVO nicht. Mangels unionsrechtlicher Vorschriften ist auf das mitgliedstaatliche Recht zurückzugreifen. Nach deutschem Recht trägt der Anspruchsteller die Darlegungs- und Beweislast für die anspruchsbegründenden Tatsachen. Mithin trägt der Betroffene die Darlegungs- und Beweislast für Schadenseintritt, Schadenshöhe und Kausalität zwischen Schaden und Rechtsverstoß. Für den Eintritt eines immateriellen Schadens hat das der EuGH ausdrücklich festgestellt. Hinsichtlich der Frage, ob der Kontrollverlust der betroffenen Person über ihre personenbezogenen Daten bereits für sich genommen einen immateriellen Schaden begründet, besteht aufgrund des Urteils des EuGH v. 14.12.2023 – C-456/22 [= ZD 2024, 208] ebenfalls kein Klärungsbedarf mehr („acte éclairé“). Wie bereits ausgeführt folgt aus dem Urteil, dass der Verlust der Kontrolle über die eigenen Daten eine negative Folge ist, die zwar grds. einen Ersatzanspruch begründen kann, der Anspruchsteller aber zugleich nicht von der Pflicht entbunden ist, darzulegen und gegebenenfalls zu beweisen, dass der Kontrollverlust im konkreten Fall auch tatsächlich zu einem immateriellen Schaden wie Ängsten und Befürchtungen vor einem Missbrauch der Daten durch Dritte geführt hat. Darauf weisen auch die von dem Kl. angeführten Literaturmeinungen hin, die die Frage, ob der Kontrollverlust bereits für sich genommen einen Schaden darstellt, weiterhin für klärungsbedürftig erachten. Aus der vom EuGH hervorgehobenen Erforderlichkeit eines Schadensnachweises im Einzelfall folgt für den Senat zweifelsfrei, dass der Kontrollverlust allein noch keinen Schaden darstellt. Die von dem Kl. hinsichtlich der Funktion des Schadensersatzes nach Art. 82 Abs. 1 DS-GVO aufgeworfene Frage ist ebenfalls geklärt. Diesbezüglich hat der EuGH festgestellt, dass der in Art. 82 Abs. 1 DS-GVO vorgesehene Schadensersatzanspruch eine Ausgleichsfunktion, jedoch keine abschreckende oder Straffunktion erfüllt. Soweit der BGH dem EuGH die Frage zur Vorabentscheidung vorgelegt hat, ob bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens der Grad des Verschuldens des Verantwortlichen ein relevantes Kriterium darstellt, ist diese Frage vorliegend nicht entscheidungserheblich. |
NEU OLG Oldenburg Urt. v. 14.5.2024 – 13 U 114/23 | 250 EUR Der mit dem Klageantrag zu 1. geltend gemachte Schadensersatzanspruch steht der Kl. dem Grunde nach zu. Die Kl. hat aufgrund des Verstoßes der Bekl. gegen die DS-GVO einen Schaden erlitten. Nach Erwägungsgrund 146 S. 3 DS-GVO ist der Begriff des Schadens weit und unter Berücksichtigung der Ziele der DS-GVO (vgl. Art. 1 DS-GVO) auszulegen. Die Darlegungs- und Beweislast für das Vorliegen eines Schadens trifft die Kl. Der von der Kl. geschilderte Erhalt von Spam-SMS und in jüngerer Vergangenheit von Spam-Anrufen über DD vermag den geltend gemachten Schadensersatzanspruch allerdings nicht zu begründen. Abgesehen davon, dass der unerwünschte Erhalt von Spam-Nachrichten im Internetzeitalter gewissermaßen zum allgemeinen Lebensrisiko zählt, steht der ursächliche Zusammenhang zwischen dem Scraping-Vorfall und den Spam-SMS und -Anrufen nicht zur Überzeugung des Senats fest. Da die Kl. bekundet hat, auch auf anderen Internetplattformen wie EE aktiv und mit der fraglichen Nummer bei FF registriert zu sein, sind für den Erhalt der Spam-Nachrichten auch andere Ursachen als der Scraping-Vorfall bei CC denkbar. Aufgrund der Anhörung der Kl. steht jedoch zur Überzeugung des Senats fest, dass die Kl. infolge des Abgreifens ihrer Mobilfunknummer von ihrem CC-Profil in Sorge wegen eines möglichen Missbrauchs der Mobilfunknummer ist und somit einen immateriellen Schaden iSd Art. 82 Abs. 1 DS-GVO erlitten hat. Die Kl. hat ihre Befürchtungen hinsichtlich eines Missbrauchs der Mobilfunknummer nachvollziehbar geschildert. Sie hat ausgeführt, das Abschöpfen ihrer Mobilfunknummer als unangenehm zu empfinden und Angst zu verspüren. Sie befürchte, aus Versehen betrügerische Nachrichten anzuklicken, zumal sie aufgrund der Einnahme von Medikamenten gelegentlich „benebelt“, mit anderen Worten nicht voll konzentriert sei. Weiter hat sie plausibel geschildert, dass sie ein versehentliches Anklicken von Nachrichten durch ihre Kinder befürchte, die ihr Telefon für Telefonate mit den Großeltern nutzten. Diese Umstände belasteten sie umso stärker, als sie generell ein ängstlicher Mensch sei und unter ADS leide. Aufgrund dessen sowie des persönlichen Eindrucks, den der Senat von der Kl. iRd Anhörung gewonnen hat, ist der Senat davon überzeugt, dass sie tatsächlich in Sorge vor einem Missbrauch ihrer gescrapten Mobilfunknummer ist, seit sie von deren Abgreifen von ihrem CC-Profil erfahren hat. Da die Kl. bereits aufgrund ihrer Ängste vor einem Missbrauch ihrer gescrapten Mobilfunknummer einen (immateriellen) Schaden erlitten hat, kommt es auf die Frage, ob der Verlust der Kontrolle über personenbezogene Daten für sich genommen einen ersatzfähigen Schaden darstellt, nicht mehr entscheidungserheblich an. Der Datenschutzrechtsverstoß der Bekl. ist für die Befürchtungen, die die Kl. hinsichtlich eines Missbrauchs ihrer Mobilfunknummer empfindet, ursächlich. Die Suchbarkeit des Profils anhand der Telefonnummer ermöglichte es den Scrapern, das Nutzerprofil der Kl. anhand automatisch generierter Mobilfunknummern zu finden und durch die Verknüpfung der automatisch generierten Mobilfunknummer mit dem Nutzerprofil der Kl. deren Mobilfunknummer in Erfahrung zu bringen. Auf diese Weise konnten sie die Mobilfunknummer zusammen mit den öffentlich zugänglichen Nutzerdaten der Kl. im Darknet veröffentlichen, was bei der Kl. die Ängste und Sorgen wegen eines Missbrauchs ihrer Mobilfunknummer durch Dritte ausgelöst hat. Eine Haftungsbefreiung nach Art. 82 Abs. 3 DS-GVO kommt nicht in Betracht. Die Bekl. hat nicht dargelegt, dass sie für die rechtswidrige Verarbeitung der Mobilfunknummer der Kl. nicht verantwortlich war. Anhaltspunkte dafür sind auch sonst nicht ersichtlich. Die Höhe des Schadensersatzes bemisst sich mangels unionsrechtlicher Vorgaben nach dem Recht der Mitgliedstaaten. Folglich kommt vorliegend § 287 Abs. 1 S. 1 ZPO zur Anwendung. Danach hat das Gericht über die Höhe des Schadens unter Würdigung aller Umstände nach freier Überzeugung zu entscheiden. Dabei ist unter Berücksichtigung des Effektivitätsgrundsatzes zu gewährleisten, dass der Betroffene einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhält (Erwägungsgrund 146 S. 6 DS-GVO). In Anbetracht der Ausgleichsfunktion in Art. 82 DS-GVO ist eine Entschädigung als vollständig und wirksam anzusehen, wenn sie es ermöglicht, den aufgrund des Verstoßes gegen die DS-GVO konkret erlittenen Schaden in vollem Umfang auszugleichen, ohne dass ein solcher vollumfänglicher Ausgleich die Verhängung von Straf-Schadensersatz fordert. Der in Art. 82 Abs. 1 DS-GVO vorgesehene Schadensersatzanspruch hat eine Ausgleichsfunktion, erfüllt indessen keine abschreckende oder Straffunktion. Unter Berücksichtigung dieser Grundsätze bemisst der Senat den Schaden der Kl. auf 250 EUR. Dabei hat der Senat insb. berücksichtigt, dass die Mobilfunknummer kein hochsensibles Datum ist, das der Geheimhaltung unterliegt, sondern vielmehr auf eine gewisse Verbreitung angelegt ist. Der Umstand, dass die Kl. einen Wechsel ihrer Mobilfunknummer bisher nicht für erforderlich erachtet hat, zeigt überdies, dass sich ihre Ängste vor einem Datenmissbrauch in Grenzen halten. Ein anspruchsminderndes Mitverschulden liegt nicht vor. Soweit die Bekl. darauf hinweist, dass die Kl. die Suchbarkeit ihres Nutzerprofils über die Mobilfunknummer durch eine Änderung der Voreinstellung der Suchbarkeitsfunktion hätte ausschließen können, wurde bereits ausgeführt, dass die Kl. gemäß Art. 25 Abs. 2 DS-GVO auf datenschutzfreundliche Voreinstellungen vertrauen durfte, daher nicht zur Überprüfung der standardmäßigen Voreinstellungen verpflichtet war und es aus ihrer Sicht auch nicht nahelag, dass neben der Zielgruppenauswahl mit der Suchbarkeitsfunktion noch eine weitere für die Verarbeitung ihrer Mobilfunknummer relevante Einstellung vorzunehmen war. Soweit die Kl. es für erforderlich erachtet, dem EuGH gem. Art. 267 Abs. 3 AEUV verschiedene Fragen zur Auslegung von Art. 82 DS-GVO und von Art. 15 DS-GVO zur Vorabentscheidung vorzulegen, sind die von ihr genannten Fragen entweder nicht klärungsbedürftig oder nicht entscheidungserheblich. Konkret hält die Kl. für klärungsbedürftig, ob die betroffene Person im Fall einer verordnungswidrigen Datenverarbeitung die Darlegungs- und Beweislast für den Schadenseintritt, die Schadenshöhe und die Kausalität zwischen Schaden und Rechtsverstoß trägt, ob der Kontrollverlust der betroffenen Person hinsichtlich ihrer personenbezogenen Daten für sich genommen einen immateriellen Schaden begründet und ob bei der Bemessung der Höhe des Schadensersatzes berücksichtigt werden kann, dass dem nach Art. 82 DS-GVO zu gewährenden Schadensersatz im Einzelfall eine abschreckende Wirkung und damit der Charakter eines Straf-Schadensersatzes zukommt. Hinsichtlich Art. 15 DS-GVO hält es die Kl. für erforderlich, dem EuGH Fragen hinsichtlich der Erfüllung des Auskunftsanspruchs sowie hinsichtlich offenkundig unbegründeter oder exzessiver Anträge nach Art. 12 Abs. 5 DS-GVO zur Vorabentscheidung vorzulegen. Die Auslegung von Art. 82 DS-GVO wirft hinsichtlich der Darlegungs- und Beweislast keine klärungsbedürftigen Fragen auf („acte clair“). Art. 82 DS-GVO enthält keine allgemeinen Vorgaben zur Verteilung der Darlegungs- und Beweislast bei der Geltendmachung datenschutzrechtlicher Schadensersatzansprüche. Art. 82 Abs. 3 DS-GVO betrifft nur das Verschulden des Verantwortlichen für das schadenstiftende Ereignis, ohne dass sich daraus Aussagen zur allgemeinen Beweislastverteilung ableiten ließen. Ferner ergibt eine Gesamtbetrachtung der Art. 5, 24 und 32 DS-GVO, dass der Verantwortliche die Beweislast für die Einhaltung der datenschutzrechtlichen Sicherheitsanforderungen bei der Datenverarbeitung trägt. Darüber hinausgehende Vorgaben zur Beweislastverteilung bei der Geltendmachung datenschutzrechtlicher Schadensersatzansprüche enthält die DS-GVO nicht. Mangels unionsrechtlicher Vorschriften ist auf das mitgliedstaatliche Recht zurückzugreifen. Nach deutschem Recht trägt der Anspruchsteller die Darlegungs- und Beweislast für die anspruchsbegründenden Tatsachen. Mithin trägt der Betroffene die Darlegungs- und Beweislast für Schadenseintritt, Schadenshöhe und Kausalität zwischen Schaden und Rechtsverstoß. Für den Eintritt eines immateriellen Schadens hat das der EuGH ausdrücklich festgestellt. Die Frage, ob der Kontrollverlust der betroffenen Person über ihre personenbezogenen Daten bereits für sich genommen einen immateriellen Schaden begründet, ist vorliegend – wie bereits ausgeführt – nicht entscheidungserheblich. Die von der Kl. hinsichtlich der Funktion des Schadensersatzes nach Art. 82 Abs. 1 DS-GVO aufgeworfene Frage ist ebenfalls geklärt. Diesbezüglich hat der EuGH festgestellt, dass der in Art. 82 Abs. 1 DS-GVO vorgesehene Schadensersatzanspruch eine Ausgleichsfunktion, jedoch keine abschreckende oder Straffunktion erfüllt. Soweit der BGH dem EuGH die Frage zur Vorabentscheidung vorgelegt hat, ob bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens der Grad des Verschuldens des Verantwortlichen ein relevantes Kriterium darstellt, ist diese Frage vorliegend nicht entscheidungserheblich. Es ist von der Kl. weder dargelegt noch sonst ersichtlich, dass der Bekl. ein grobfahrlässiges oder gar vorsätzliches Verhalten zur Last fällt, das sich schmerzensgelderhöhend auswirken könnte. |
NEU Saarländisches OLG Urt. v. 3.5.2024 – 5 U 72/23 | 0 EUR Mit Recht hat das LG angenommen, dass dem Kl. ein Schadensersatzanspruch aus Art. 82 Abs. 1 DS-GVO jedenfalls deshalb nicht zusteht, weil ihm weder ein materieller noch ein immaterieller Schaden durch den streitgegenständlichen Scraping-Vorfall entstanden ist. Daher kann offenbleiben, inwieweit der Bekl. in Zusammenhang mit dem Scraping-Vorfall Verstöße gegen die DS-GVO vorzuwerfen sind. Voraussetzungen dieses Anspruchs sind also ein Verstoß des Verantwortlichen gegen die DS-GVO und ein kausal auf diese Pflichtverletzung zurückzuführender materieller oder immaterieller Schaden des Betroffenen, der für diese Anspruchsvoraussetzungen die Beweislast trägt. Dabei hat derjenige, der geltend macht, von negativen Folgen eines Verstoßes gegen die DS-GVO betroffen zu sein, nachzuweisen, dass diese Folgen einen immateriellen Schaden iSv Art. 82 DS-GVO darstellen. Beruft er sich auf die Befürchtung, seine personenbezogenen Daten könnten aufgrund des Verstoßes missbräuchlich verwendet werden, hat das nationale Gericht zu prüfen, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann. Der bloße „Kontrollverlust“ als solcher rechtfertigt einen Schadensersatzanspruch nicht. Auch wenn ein immaterieller Schaden nach Art. 82 Abs. 1 DS-GVO nicht nur dann ersatzfähig ist, wenn eine gewisse „Erheblichkeitsschwelle“ überschritten ist, muss der Betroffene gleichwohl den Nachweis führen, dass tatsächlich ein Schaden eingetreten ist. Das ist vorliegend dem Kl., wie das LG zutreffend entschieden hat, nicht gelungen. Zwar hat der Kl. schriftsätzlich vortragen lassen, er habe sich in der Folge des Verlustes der Kontrolle über seine Daten in einem Zustand großen Unwohlseins und großer Sorge über möglichen Missbrauch seiner Daten befunden und er sei zudem Kontakt- und Betrugsversuchen via Spam-Mails und Spam-SMS ausgesetzt gewesen. Dieser Vortrag, der von den klägerischen Prozessbevollmächtigten in Parallelverfahren gleichlautend für eine Vielzahl von Nutzern des Netzwerks der Bekl. gehalten wird, hat sich in der persönlichen Anhörung des Kl. durch das LG indes nicht bestätigt. Von den auch in der Berufungsbegründung erneut behaupteten Ängsten oder Sorgen berichtete der Kl. nichts, sondern lediglich von lästigen Anrufen und SMS auf seinem Mobiltelefon. Ob der Kl. diese Anrufe und SMS aber gerade wegen des Scraping-Vorfalls erhalten hat, steht jedoch nicht fest, und diesen Nachweis müsste der für einen auf den Scraping-Vorfall zurückzuführenden Schaden beweisbelastete Kl. erbringen. Davon abgesehen ist die hierdurch für den Kl. entstandene Belastung augenscheinlich äußerst gering, weil er deswegen weder seine Telefonnummer ändern will noch die unmittelbare Notwendigkeit sah, die Einstellungen zu seiner Privatsphäre auf F. zu ändern; letzteres hat er erst „einige Wochen“ vor seiner Anhörung durch das LG getan, was iÜ die Annahme nahelegt, dass dies ausschließlich prozessbedingt geschehen ist. |
NEU OLG München Urt. v. 24.4.2024 – 34 U 2306/23e | 0 EUR Es kann dahinstehen, ob der Bekl. Verstöße gegen Art. 25 Abs. 1 oder Art. 32 DS-GVO vorzuwerfen sind. Ein Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO scheidet jedenfalls aus, da der Kl. einen darauf beruhenden Schaden nicht nachgewiesen hat. Ob der Kl. zu Recht Verstöße gegen die DS-GVO geltend macht, kann genauso offenbleiben wie die Frage, ob die Bekl. ihrer Pflicht zur Schaffung eines angemessenen Schutzniveaus durch geeignete technische und organisatorische Schutzmaßnahmen unter Berücksichtigung des Standes der Technik (Art. 32 DS-GVO) nachgekommen ist. Denn der Kl. hat einen kausal auf diesen Verstößen beruhenden Schaden nicht nachweisen können. Nach Art. 82 DS-GVO ist Schadensersatz zu leisten, wenn der Nachweis eines Verstoßes gegen die DS-GVO, eines tatsächlich erlittenen materiellen oder immateriellen Schadens und eines Kausalzusammenhangs zwischen dem Verstoß und dem Schaden erbracht wird; der bloße Verstoß gegen Bestimmungen der DS-GVO reicht demnach nicht aus*). Die Darlegungs- und Beweislast trägt insoweit die betroffene Person. Dass er infolge von Verstößen gegen die DS-GVO materielle Schäden erlitten hat, wird vom Kl. bereits nicht behauptet. Ein immaterieller Schaden des Kl. ist nicht festzustellen hinsichtlich derjenigen Daten, deren Angabe für die Registrierung auf der Plattform der Bekl. zwingend erforderlich und auf seinem Profil als „immer öffentlich“ eingestellt waren wie Vor- und Nachname, das Geschlecht und die ID. Insofern liegt bereits kein „Kontrollverlust“ vor. Ein immaterieller Schaden ist – anders als die Klagepartei meint – nicht bereits in dem Kontrollverlust zu sehen, der durch das Scraping entstanden ist, sondern kann allenfalls Folge dieses Kontrollverlustes sein. Soweit die Klagepartei aus den Erwägungsgründen zur DS-GVO schließen möchte, dass bereits der Kontrollverlust als solcher einen immateriellen Schaden darstellt, greift auch diese Betrachtung zu kurz: Zwar scheint Erwägungsgrund 85 DS-GVO einen eingetretenen Kontrollverlust bereits als Schaden anzusehen. Dem steht aber Erwägungsgrund 83 DS-GVO entgegen, der die Risiken einer Verarbeitung persönlicher Daten anspricht und dabei deutlich unterscheidet zwischen den Folgen eines Verstoßes gegen die DS-GVO (u. a. Verlust von personenbezogenen Daten) auf der einen Seite und hieraus möglicherweise entstehenden physischen, materiellen oder immateriellen Schäden auf der anderen Seite. Nichts anderes ergibt sich aus dem Erwägungsgrund 75 DS-GVO. Der Begriff des „Kontrollverlusts“ wird dort zwar in einer längeren Aufzählung von Beispielen erwähnt, die zu einem Schaden führen können. Daraus ist aber gerade nicht zu folgern, dass jeder Kontrollverlust alleine bereits einen Schaden darstellt. Auch der EuGH hat zuletzt ausdrücklich entschieden, dass nicht schon deshalb ein „immaterieller Schaden“ iSd Art. 82 Abs. 1 DS-GVO vorliegt, weil die betroffene Person befürchtet, dass in der Zukunft eine Weiterverbreitung oder gar ein Missbrauch ihrer Daten stattfindet. |
NEU OLG Dresden Urt. v. 23.4.2024 – 4 U 3/24 | 0 EUR Schließlich hat der Kl. keinen Anspruch auf Schadensersatz wegen unbefugter Verarbeitung seiner Daten. Zwar stellt sein Name ein „Datum“ iSd Art. 4 Ziff. 1 DS-GVO dar und handelt es sich bei der unstreitigen Verwendung seines Namens für den Werbeflyer um eine „Verarbeitung“ iSd Art. 4 Ziff. 2 DS-GVO. Im Ergebnis der erforderlichen Abwägung der widerstreitenden Interessen liegt für die Namensverwendung auch kein Rechtfertigungsgrund nach Art. 6 DS-GVO vor. In Betracht kommt hier allein der Rechtfertigungsgrund der „Wahrung berechtigter Interessen“. Bei dieser Vorschrift handelt es sich um eine zentrale Abwägungsnorm in der DS-GVO. Vorliegend kann dies jedoch auch dahinstehen, weil jedenfalls der Schutzbereich dieser Vorschrift nicht betroffen ist. Das OLG Düsseldorf hat in einer Entscheidung v. 16.2.2021 – 16 U 269/20 [= ZD 2022, 47] bezogen auf die Namensnennung iRe wissenschaftlichen Gutachtens hierzu Folgendes ausgeführt: Ein Anspruch der Kl. gegen die Bekl. auf Ersatz eines immateriellen Schadens ergibt sich nicht aus Art. 82 Abs. 1 DS-GVO. Das wegen der Verletzung des allgemeinen Persönlichkeitsrechts auf die Zahlung von Schmerzensgeld gerichtete Rechtsschutzbegehren der Kl. ist nach dem Schutzzweck der Norm nicht von Art. 82 Abs. 1 DS-GVO gedeckt. Der Anspruch aus Art. 82 DS-GVO erfasst nach dem Schutzzweck der Norm nur solche Sachverhalte, in denen die Art der Informationserlangung gerügt wird und der Vorwurf einer intransparenten Datenverarbeitung im Raum steht, es also um das Recht auf informationelle Selbstbestimmung geht. Knüpft die Beeinträchtigung dagegen an das Ergebnis des Kommunikationsprozesses, nämlich die Veröffentlichung und Verbreitung der personenrelevanten Daten an, so ist allein der Schutzbereich des allgemeinen Persönlichkeitsrechts betroffen und eine Anwendung des Art. 82 DS-GVO kommt nicht in Betracht. Damit kommt es nicht darauf an, ob dem Kl. nach dem Begriffsverständnis der DS-GVO nach der Vorschrift des Art. 82 DS-GVO ein solcher entstanden ist, denn diese Vorschrift hält der Senat vorliegend, also im Bereich der politischen Auseinandersetzung bereits nicht für einschlägig. |
NEU OLG Dresden Urt. v. 16.4.2024 – 4 U 213/24 | 0 EUR Wie OLG Dresden Urt. v. 23.1.2024 – 4 U 1313/23 [= ZD 2024, 480 (Ls.)]. |
NEU OLG Celle Urt. v. 4.4.2024 – 5 U 31/23 | 0 EUR Der – vom LG iHv 300 EUR zugesprochene – immaterielle Schadensersatz gem. Art. 82 Abs. 1 DS-GVO steht dem Kl. nicht zu. Es kann dahinstehen, ob der Anwendungsbereich von Art. 82 Abs. 1 DS-GVO vorliegend in zeitlicher und sachlicher Hinsicht eröffnet ist, die Bekl. gegen Vorschriften der DS-GVO verstoßen hat und derartige Vorschriften vom Grundsatz her geeignet sind, einen Schadensersatzanspruch iSv Art. 82 Abs. 1 DS-GVO zu begründen. Denn jedenfalls hat der Senat nach der durchgeführten Anhörung des Kl. nicht die hinreichende Überzeugung davon gewinnen können, dass dem Kl. infolge einer solchen – unterstellten – Pflichtverletzung der Bekl. ein immaterieller Schaden iSv Art. 82 Abs. 1 DS-GVO entstanden ist. Die Argumentation des LG wäre allerdings vom Ansatz her richtig, wenn bereits der bloße objektive Umstand des Vorliegens eines „Kontrollverlustes“ ausreichen würde, um einen immateriellen Schaden iSv Art. 82 Abs. 1 DS-GVO zu begründen. Nach dem Verständnis des Senats von der (bisherigen) Rspr. des EuGH ist das allerdings nicht der Fall. Allerdings könnte man die Formulierungen in Rn. 82 des Urteils des EuGH v. 14.12.2023 – C-340/21 [= ZD 2024, 150 mAnm Ligocki/Sosna = MMR 2024, 231 mAnm Kohl/Rothkegel] ggf. so deuten, als wäre bereits der bloße, objektive „Verlust der Kontrolle“ über seine eigenen Daten (was auch immer darunter genau – jedenfalls dem Senat ist das nicht ganz klar – zu verstehen sein soll), ausreichend, um einen Schaden iSv Art. 82 Abs. 1 DS-GVO zu begründen. Gegen ein solches Verständnis sprechen aber aus Sicht des Senats die weiteren Ausführungen des EuGH in Rn. 85 und 86 der genannten Entscheidung. Denn die dortige Formulierung, dass für einen immateriellen Schaden iSd Art. 82 Abs. 1 DS-GVO die „Befürchtung, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten“ ausreichend sein soll, versteht jedenfalls der Senat so, als müsse zu diesem objektiven Umstand des „Verlustes der Hoheit über seine Daten“ noch zusätzlich ein „subjektives Element“, wie also eine „Befürchtung“, „Sorge“ oÄ hinzukommen. Auch die Ausführungen des BGH in seinem – allerdings zeitlich knapp vor der o. g. Entscheidung des EuGH verkündeten – BGH Beschl. v. 12.12.2023 – VI ZR 277/22 [= ZD 2024, 278] erwecken nach dem Verständnis des Senats den Eindruck, als erachte auch der BGH das Vorliegen von subjektiven Beeinträchtigungen wie „negativen Gefühlen“ oÄ als erforderlich, um einen Schaden iSd Art. 82 Abs. 1 DS-GVO zu begründen. Der Senat räumt allerdings ein, dass sich dieses Auslegungsverständnis aus den bisher zur Vorschrift des Art. 82 Abs. 1 ergangenen Entscheidungen des EuGH (C-300/21 [= ZD 2023, 446 mAnm Mekat/Ligocki] – Österreichische Post, C-340/21 [= ZD 2024, 150 mAnm Ligocki/Sosna = MMR 2024, 231 mAnm Kohl/Rothkegel], C-667/21 [= ZD 2024, 146], C-687/21 [= ZD 2024, 334] und C-456/22 [= ZD 2024, 208]) – zumindest aus seiner Sicht – keineswegs eindeutig ergibt. Diese bestehende Unsicherheit des Senats gründet sich darin, dass der EuGH in seiner Entscheidung v. 14.12.2023 lediglich die ihm gestellte Vorlagefrage zu beantworten hatte, mit der konkret angefragt worden ist, ob allein der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen Vorschriften der DS-GVO befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, einen „immateriellen Schaden“ iSv Art. 82 Abs. 1 DS-GVO darstellen kann. Allein diese Frage hat der EuGH in Rn. 75 – 86 seiner genannten Entscheidung beantwortet. Das schließt es aber nach dem Verständnis des Senats nicht (zwingend) aus, der (immaterielle) Schadensbegriff nach der Auslegung des EuGH noch weitergehend ist und sogar den bloßen objektiven „Kontrollverlust“ als solchen für einen (immateriellen) Schaden iSv Art. 82 Abs. 1 DS-GVO ausreichen lässt. Ob das der Fall ist, musste der EuGH in seiner vorgenannten Entscheidung nicht, zumindest nicht zwingend (weil nicht entscheidungserheblich), entscheiden (wenngleich dies iSd Rechtsklarheit natürlich wünschenswert gewesen wäre). Allein schon deshalb meint der Senat, dass es mindestens schon aus diesem Grund nicht in Betracht kommt, vergleichbare Berufungen wie die vorliegende entweder durch Beschluss nach § 522 Abs. 2 ZPO oder aber durch Urteil, in dem die Revision nicht zugelassen wird, zurückzuweisen, wie es in der obergerichtlichen Rspr. aber derzeit mitunter geschieht (wobei der Senat insoweit nicht verkennt, dass zumindest einzelne jener Entscheidungen zeitlich vor dem Urteil des EuGH vom 14.12.2023 – C-340/21 [= ZD 2024, 150 mAnm Ligocki/Sosna = MMR 2024, 231 mAnm Kohl/Rothkegel] ergangen sind). Der Senat möchte in diesem Rahmen noch anmerken, dass die Entscheidung des LG, dem Kl. ohne vorherige Anhörung nach § 141 ZPO einen Schadensersatzanspruch iHv 300 EUR zuzusprechen, aber auch dann verfahrensfehlerhaft gewesen wäre, wenn – wie das LG meint und entgegen dem vorstehend dargestellten Verständnis des Senats von der bisherigen Rspr. des EuGH – bereits der bloße objektive Umstand des „Kontrollverlustes“ ausreichend wäre, um einen Schaden iSv Art. 82 Abs. 1 DS-GVO zu begründen. Denn wie auch immer die Höhe eines Schadensersatzanspruches iSv Art. 82 Abs. 1 DS-GVO im Einzelnen zu bemessen ist, erscheint es zumindest dem Senat als eigentlich nicht anders denkbar, als dass die Höhe eines Schadensersatzes nach Art. 82 Abs. 1 DS-GVO sich nur individuell bemessen lässt, also abhängig davon, welche persönlichen Beeinträchtigungen die jeweilige betroffene Person durch den jeweiligen Verstoß gegen die DS-GVO tatsächlich erlitten hat. Mit anderen Worten: Es macht einen Unterschied, ob eine Person allein einen bloßen, objektiven „Kontrollverlust“ erlitten hat oder aber, ob zu diesem objektiven „Kontrollverlust“ noch darauf zurückzuführende „negative Gefühle“ wie zB Sorgen und/oder Ängste hinzugekommen sind. In dem letztgenannten Fall muss – zumindest aus Sicht des Senats eigentlich schon evident – ein Schadensersatz höher ausfallen, als in dem erstgenannten Fall. Indem aber das LG die Behauptung des Kl. zu solch „negativen Gefühlen“ ausdrücklich hat dahinstehen lassen, verletzt es den Anspruch des Kl. auf rechtliches Gehör. Der Kl. hat schriftsätzlich folgende „negativen Gefühle“ vorgetragen, die auf den objektiven „Kontrollverlust“ zurückzuführen sein sollen. Dieses – streitige – Vorbringen ist prozessual beachtlich. Die entgegenstehende Rechtsauffassung des OLG Hamm (Urt. v. 15.8.2023 – 7 U 19/23 [= ZD 2024, 36]; Beschl. v. 22.9.2023 – 7 U 77/23; Beschl. v. 27.12.2023 – 7 U 104/23), des OLG Köln (Urt. v. 7.12.2023 – 15 U 33/23 [= ZD 2024, 465]), des OLG Stuttgart (Urt. v. 22.11.2023 – 4 U 20/23 [= ZD 2024, 60 (Ls.)]) sowie des OLG München, Beschl. v. 23.1.2024 – 27 U 3696/23), wonach der vorgenannte Vortrag der dortigen Klagepartei (der – wie gerichtsbekannt ist – in sämtlichen der in vierstelliger Zahl bei Gerichten in Deutschland anhängigen Verfahren, die von den Prozessbevollmächtigten geführt werden, die auch den Kl. in dem vorliegenden Verfahren vertreten, identisch ist), aufgrund seiner Textbausteinmäßigkeit nicht hinreichend substantiiert sei, steht aus Sicht des Senats mit der stRspr des BGH nicht in Einklang. Nach dieser ist nämlich ein Sachvortrag zur Begründung eines Anspruchs bereits dann schlüssig und erheblich, wenn die Partei Tatsachen vorträgt, die in Verbindung mit einem Rechtssatz geeignet und erforderlich sind, das geltend gemachte Recht als in der Person der Partei entstanden erscheinen zu lassen. Die Angabe näherer Einzelheiten ist nicht erforderlich, soweit diese für die Rechtsfolgen nicht von Bedeutung sind. Das Gericht muss nur in die Lage versetzt werden, aufgrund des tatsächlichen Vorbringens der Partei zu entscheiden, ob die gesetzlichen Voraussetzungen für das Bestehen des geltend gemachten Rechts vorliegen. Sind diese Anforderungen erfüllt, ist es Sache des Tatrichters, in die Beweisaufnahme einzutreten und dabei ggf. die benannten Zeugen oder die zu vernehmende Partei nach weiteren Einzelheiten zu befragen. Gemessen daran gilt hier Folgendes: Zwar ist es vorliegend tatsächlich so, dass die Prozessbevollmächtigten des hiesigen Kl. in sämtlichen – zwischenzeitlich mehr als 6000 – Verfahren, die sie bei Gerichten in Deutschland in Verfahren der vorliegenden Art anhängig gemacht haben, zu den „negativen Gefühlen“, die mit dem „objektiven Kontrollverlust“ bei der jeweiligen Klagepartei einhergegangen sein sollen, wortwörtlich identisch vortragen. Indes ist dieser Aspekt allein iRe Beweiswürdigung zu berücksichtigen, nicht aber schon bei der Frage der Schlüssigkeit des Vortrags. Das führt der BGH zB auch in stRspr zu der Fallkonstellation der „Widersprüchlichkeit des Parteivortrags“ aus. Der Senat vermag nicht zu erkennen, dass und aus welchen Gründen dies bei der vorliegenden Fallkonstellation anders sein sollte. |
NEU OLG Dresden Urt. v. 2.4.2024 – 4 U 1743/23 | 0 EUR Wie OLG Dresden Urt. v. 23.1.2024 – 4 U 1313/23 [= ZD 2024, 480 (Ls.)]. |
NEU OLG Brandenburg Beschl. v. 5.3.2024 – 12 U 132/23 | 0 EUR Der Kl. hat einen Schadensersatzanspruch gegen die Bekl. aus Art. 82 Abs. 1 DS-GVO weiterhin nicht schlüssig vorgetragen. Der Senat hält auch unter Berücksichtigung des ergänzenden Klägervorbringens daran fest, dass die Bekl. jedenfalls mit dem Schreiben v. 17.2.2022 das Auskunftsbegehren des Kl. vollständig beauskunftet hat und allein eine vermeintlich verspätete, nach Ablauf der Frist des Art. 12 Abs. 3 S. 1 DS-GVO erteilte Auskunft einen Schadensersatzanspruch nicht rechtfertigt. Zudem handelt es sich bei einer Auskunft nicht um eine Verarbeitung personenbezogener Daten iSd Art. 4 Ziff. 2 DS-GVO. Der gegenteiligen Auffassung des OLG Köln in der vom Kl. zitierten Entscheidung v. 14.7.2022 – 15 U 137/21 [=ZD 2022, 617] vermag sich der Senat nach eigener Prüfung nicht anzuschließen. Letztlich kann dies dahinstehen, da der Kl. einen ihm durch eine vermeintlich unvollständige Auskunft der Bekl. entstandenen immateriellen Schaden, der eine Entschädigung in der geltend gemachten Höhe von 8.000 EUR rechtfertigen könnte, nicht hinreichend substantiiert dargelegt hat. Zwar ist der Ersatz eines immateriellen Schadens nach der Rspr. des EuGH (Urt. v. 4.5.2023 – C-300/21 [= ZD 2023, 443 mAnm Mekat/Ligocki] – Österreichische Post) nicht davon abhängig, dass dieser Schaden eine bestimmte Erheblichkeitsschwelle überschreitet. Diese Verneinung einer solchen Erheblichkeitsschwelle bedeutet jedoch nach den Ausführungen des EuGH in der vorzitierten Entscheidung nicht, dass eine Person, die von einem Verstoß gegen die DS-GVO betroffen ist, der für sie negative Folgen gehabt haben soll, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden iSv Art. 82 DS-GVO darstellen. An einem solchen Nachweis fehlt es jedoch nach wie vor. Der nur pauschal behauptete Kontrollverlust als solcher stellt schon per se keinen immateriellen Schaden dar. Soweit der Kl. „Ärger, Unwohlsein und Stress“ geltend macht, handelt es sich um persönliche oder psychische Beeinträchtigungen, hinsichtlich derer es erforderlich ist, dass der Kl. konkrete Indizien vortragen und unter Beweis stellen muss, die eine solche psychische Beeinträchtigung stützen können. Für einen vom Kl. behaupteten immateriellen Schaden in Form von Ärger, Unwohlsein und Stress müssen demnach jedenfalls auch objektive Beweisanzeichen vorhanden sein, da andernfalls die bloße Bekundung des Betroffenen, einen immateriellen Schaden in Form belastender Gefühle erlitten zu haben, für einen Ersatzanspruch ausreichen würde. Solche konkreten Umstände hat der Kl. jedoch nicht vorgetragen. Es bleibt auch unklar, über welche personenbezogenen Daten er die Kontrolle verloren haben will. Etwas anderes ergibt sich auch nicht aus der Entscheidung des EuGH v. 14.12.2023 – C-340/21 [= ZD 2024, 150 mAnm Ligocki/Sosna = MMR 2024, 231 mAnm Kohl/Rothkegel]). Der EuGH hat darin entschieden, dass Art. 82 Abs. 1 DS-GVO dahin auszulegen ist, dass der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen die DS-GVO befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden können, einen immateriellen Schaden darstellen kann. Danach ist das angerufene nationale Gericht, wenn sich eine Person auf die Befürchtung beruft, dass ihre personenbezogenen Daten in Zukunft aufgrund eines solchen Verstoßes missbräuchlich verwendet werden, gehalten zu prüfen, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann. Eine solche Befürchtung macht der Kl. im Streitfall jedoch nicht geltend; er hat zudem keine Umstände vorgetragen, die eine solche Prüfung ermöglichen würden. Der EuGH hat darüber hinaus bestätigt, dass die betroffene Person einen immateriellen Schaden nachweisen muss. |
NEU OLG Dresden Beschl. v. 1.3.2024 – 4 U 1550/23 = ZD 2024, 397 | 0 EUR Ergänzend ist anzuführen, dass dem Kl. auch aus keinem rechtlichen Gesichtspunkt ein Anspruch auf immateriellen Schadensersatz zusteht, insbesondere nicht aus Art. 82 DS-GVO. Denn der Kl. hat einen auf einem hier unterstellten Datenschutzverstoß beruhenden Schaden schon nicht nachweisen können. Nach Art. 82 DS-GVO ist Schadensersatz zu leisten, wenn der Nachweis eines Verstoßes gegen die DS-GVO, eines tatsächlich erlittenen materiellen oder immateriellen Schadens und eines Kausalzusammenhangs zwischen dem Verstoß und dem Schaden erbracht wird; der bloße Verstoß gegen Bestimmungen der DS-GVO reicht demnach nicht aus. Die Darlegungs- und Beweislast obliegt insoweit der betroffenen Person. Dass er infolge von Verstößen gegen das Datenschutzrecht materielle Schäden erlitten hat, wird vom Kl. nicht behauptet. Soweit der Kl. behauptet, er sei höchst verwundert und auch überaus verunsichert und verärgert und habe das beklemmende Gefühl gehabt, die Kontrolle über seine Daten zu verlieren, ist damit schon nicht hinreichend der Eintritt eines immateriellen Schadens dargelegt. Da der Erwägungsgrund 146 S. 3 DS-GVO für eine weite Auslegung des Begriffs des Schadens in Art. 82 Abs. 1 DS-GVO spricht, braucht ein immaterieller Schaden, den die betroffene Person erlitten hat, zwar keinen bestimmten Grad an Erheblichkeit zu erreichen und sind auch immaterielle „Bagatellschäden“ dem Grunde nach nicht ausgeschlossen. Allerdings muss gleichwohl geprüft werden, ob die Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann. Die betroffene Person muss auch in einem solchen Fall den Nachweis erbringen, dass sie tatsächlich einen über die bloße Verletzung der Bestimmungen dieser Verordnung hinausgehenden Schaden – so geringfügig er auch sein mag – erlitten hat. Dass bereits ein bloßer Kontrollverlust ohne eine solche aus den gegebenen Umständen ableitbare Befürchtung ausreichend wäre, um daraus einen immateriellen Schaden abzuleiten, lässt sich Erwägungsgrund 75 und 85 DS-GVO nicht entnehmen. |
NEU OLG Oldenburg Beschl. v. 20.2.2024 – 13 U 43/23 = ZD 2024, 360 (Ls.) | 0 EUR Der Kl. führt in seiner Stellungnahme zum Hinweisbeschluss unter Verweis auf das Urt. EuGH v. 14.12.2023 – C-340/21 [= ZD 2024, 150 mAnm Ligocki/Sosna = MMR 2024, 231 mAnm Kohl/Rothkegel] aus, dass Art. 82 Abs. 1 DS-GVO iVm Erwägungsgrund 85 und 146 DS-GVO dahin auszulegen sei, dass im Falle der Verletzung des Schutzes personenbezogener Daten bereits bloße Sorgen, Befürchtungen und Ängste vor einem möglichen künftigen Missbrauch der Daten unter den Begriff des immateriellen Schadens fielen, auch wenn ein solcher Missbrauch und ein weiterer Schaden der Person nicht festgestellt werden könnten. Ausreichend sei die Angst, dass eine missbräuchliche Verwendung in Zukunft erfolgen könne. Aus der beispielhaften Aufzählung des Schadensbegriffs in Erwägungsgrund 85 DS-GVO gehe hervor, dass der Unionsgesetzgeber unter den Begriff des „Schadens“ insb. den bloßen „Verlust der Kontrolle“ über die eigenen Daten infolge eines Verstoßes gegen die DS-GVO habe fassen wollen, selbst wenn keine missbräuchliche Verwendung zum Nachteil des Betroffenen erfolgt sei. Die Gewährleistung des angestrebten hohen Schutzniveaus für natürliche Personen gebiete daher eine Auslegung von Art. 82 Abs. 1 DS-GVO dahingehend, dass allein der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen die DS-GVO befürchte, ihre personenbezogenen Daten könnten durch Dritte missbräuchlich verwendet werden, einen immateriellen Schaden darstelle. Unter Befürchtung sei bereits die Erwartung einer unangenehmen Sache zu verstehen. Derartige Befürchtungen habe auch die Klägerseite. Der Schaden werde zudem bereits durch den erlittenen Kontrollverlust begründet. Diese Ausführungen rechtfertigen eine andere Beurteilung des Falles nicht. Der Senat folgt dem Kl. darin, dass mit der angeführten Entscheidung des EuGH die Frage, ob Sorgen, Befürchtungen und Ängste des Betroffenen für sich genommen bereits einen immateriellen Schaden iSd Art. 82 Abs. 1 DS-GVO darstellen, iSd Kl. beantwortet ist. Wie sich weiter bereits aus dem Urteil des EuGH v. 4.5.2023 – C-300/21 [= ZD 2023, 446 mAnm Mekat/Ligocki] – Österreichische Post, dort Rn. 44 ff. ergibt, setzt eine Ersatzpflicht gem. Art. 82 Abs. 1 DS-GVO nicht voraus, dass dabei eine Erheblichkeitsschwelle überschritten werden müsste. Im vorliegenden Fall beruht die Abweisung der Klage, namentlich des auf Kompensation des immateriellen Schadens gerichtete Zahlungsantrags jedoch auf dem Umstand, dass die Einzelrichterin derartige Sorgen, Befürchtungen oder Ängste des Kl. nach dessen persönlicher Anhörung nicht festzustellen vermochte. Diese Würdigung des Anhörungsergebnisses lässt, wie der Senat bereits im Hinweisbeschluss dargelegt hat, keine Rechtsfehler zum Nachteil des Kl. erkennen. Soweit der Kl. – erneut – anführt, der erlittene Kontrollverlust stelle bereits für sich genommen einen Schaden dar, ist ihm ebenfalls nicht zu folgen. Entgegen der Auffassung des Kl. ergibt sich aus dem Urteil des EuGH v. 14.12.2023 nichts Anderes. Zwar hat das Gericht dort ausgeführt, dass der Unionsgesetzgeber unter den Begriff des Schadens insbesondere den bloßen „Verlust der Kontrolle“ über die eigenen Daten infolge des Verstoßes gegen die DS-GVO habe fassen wollen (EuGH, Urt. v. 14.12.2023 – C-340/21 [= ZD 2024, 150 mAnm Ligocki/Sosna = MMR 2024, 231 mAnm Kohl/Rothkegel] Rn. 82). Weiter hat die Kammer jedoch klargestellt, dass die Person, die einen Anspruch auf Art. 82 Abs. 1 DS-GVO stütze, nachweisen müsse, dass die negativen Folgen eines Verstoßes auch einen immateriellen Schaden darstellen. Insb. müsse das nationale Gericht, wenn sich eine Person auf die Befürchtung berufe, ihre personenbezogenen Daten könnten in Zukunft missbräuchlich verwendet werden, prüfen, ob diese Befürchtung unter den gegebenen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden könne. Danach ist der Verlust der Kontrolle über die eigenen Daten ein Umstand, der zwar grds. einen Ersatzanspruch begründen kann, der Anspruchsteller bleibt jedoch in der Pflicht, die negativen Folgen in Form eines materiellen oder immateriellen Schadens darzulegen und ggf. zu beweisen. Ohne die Darlegung solcher negativen Folgen kann weder eine Kompensation von materiellen Nachteilen aus einem Datenverlust, noch eine Kompensation immaterieller Nachteile erfolgen. Der Senat sieht sich daher in seiner im Hinweisbeschluss dargelegten Auffassung durch die angeführte Entscheidung des EuGH v. 14.12.2023 bestätigt, die die Notwendigkeit betont, dass der Kl. nachzuweisen habe, dass negative Folgen auch einen immateriellen Schaden darstellen. Ein folgenloser Kontrollverlust stellt hingegen keinen (immateriellen) Schaden dar. |
NEU OLG Dresden Urt. v. 20.2.2024 – 4 U 1634/23 | 0 EUR Wie OLG Dresden Urt. v. 23.1.2024 – 4 U 1313/23 [= ZD 2024, 480 (Ls.)]. |
NEU OLG Dresden Urt. v. 20.2.2024 – 4 U 1608/23 | 0 EUR Wie OLG Dresden Urt. v. 23.1.2024 – 4 U 1313/23 [= ZD 2024, 480 (Ls.)]. |
NEU OLG Brandenburg Beschl. v. 1.2.2024 – 2 W 2/24 | 0 EUR Ebenfalls in Betracht kommt eine Haftung aus Datenschutzrecht. Denkbar ist einerseits ein Anspruch aus Art. 82 Abs. 1 DS-GVO. Art. 82 DS-GVO gewährt Schadensersatz auch in Form einer billigen Entschädigung für Nichtvermögensschäden infolge einer nicht der Verordnung entsprechenden Datenverarbeitung. Die Zulässigkeit der Datenverarbeitung bestimmt sich, soweit es an einer – hier fehlenden – wirksamen Einwilligung der Betroffenen fehlt, unter anderem nach Art. 6 Abs. 1 UAbs. 1 lit. e DS-GVO. Danach ist die Verarbeitung der Daten der Betroffenen nur rechtmäßig, wenn die Verarbeitung für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Ob eine Aufgabe im öffentlichen Interesse besteht, die eine Verarbeitung personenbezogene Daten erfordert, bestimmt dabei nicht der Verantwortliche. Die Vorschrift ist daher nur eine Scharniernorm für die Berücksichtigung des eigentlichen Erlaubnistatbestands in der Rechtsgrundlage für die Verarbeitung. Die Datenverarbeitung muss durch die gesetzliche Rechtsgrundlage erlaubt werden, die sie nur zulässt, wenn sie für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt. In vergleichbarer Weise stellt Art. 56 der Richtlinie und in ihrer Umsetzung § 43 BbgPJMDSG auf die Erforderlichkeit der Datenverarbeitung ab, und gewährt Schadensersatz auch in Form einer billigen Entschädigung in Geld, wenn die Datenverarbeitung diesen Voraussetzungen nicht genügte. Die (nicht gelöschte) Ausschreibung einer Person zur Fahndung in einem polizeilichen Informationssystem stellt nach Wegfall des Fahndungsgrundes eine nicht mehr erforderliche und damit rechtswidrige Datenverarbeitung dar. Nach beiden Rechtsakten wird das Verschulden bzw. die Verantwortlichkeit des Datenverarbeitenden vermutet, der sich aber entlasten kann. Der Anspruch aus Art. 82 Abs. 1 DS-GVO ist aber auch dann, wenn er sich gegen eine Behörde richtet, kein Anspruch aus der Verletzung einer Amtspflicht iSV Art. 34 S. 1 GG, da es sich hierbei nicht um eine auf die Anstellungskörperschaft übergeleitete Haftung eines Amtsträgers handelt, sondern um eine originäre Haftung der Behörde selbst. Denn durch Art. 34 S. 1 GG wird der Staat zwar zum Haftungssubjekt, nicht aber zum Zurechnungssubjekt. Der Anspruch aus Art. 82 Abs. 1 DS-GVO richtet sich aber gegen den Verantwortlichen oder den Auftragsverarbeiter und damit nicht gegen die Institution und nicht gegen den einzelnen Mitarbeiter oder Bediensteten. Zudem soll nach Unionsrecht der Schadensersatzanspruch unbeschadet von Schadensersatzforderungen aufgrund von Verstößen gegen andere Vorschriften des Unionsrechts oder des Rechts der Mitgliedstaaten gegeben sein). Für den Anspruch aus § 43 BbgPJMDSG gilt nichts anderes. Auch er richtet sich unmittelbar gegen den „Verantwortlichen“ iSd § 2 Nr. 7 BbgPJMDSG, das heißt gegen die öffentliche Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. Das ist nicht der einzelne Bedienstete. |
NEU OLG Brandenburg Beschl. v. 1.2.2024 – 1 W 3/24 = ZD 2024, 401 | 0 EUR Auch aus verfassungsrechtlichen Gründen ergibt sich keine Zuständigkeit der ordentlichen Gerichte für den geltend gemachten Schadensersatzanspruch. Es handelt sich bei dem hier geltend gemachten Anspruch nach der DS-GVO nicht um einen Amtshaftungsanspruch iSd Art. 34 S. 1 GG. Verletzt jemand in Ausübung eines ihm anvertrauten öffentlichen Amtes die ihm einem Dritten ggü. obliegende Amtspflicht, so trifft nach Art. 34 S. 1 GG die Verantwortlichkeit grds. den Staat oder die Körperschaft, in deren Dienst er steht. Art. 34 S. 3 GG verbietet es, für Amtshaftungsansprüche die Zuständigkeit der allgemeinen ordentlichen Gerichte auszuschließen. Der Anspruch aus Art. 82 Abs. 1 DS-GVO ist jedoch auch dann, wenn er sich gegen eine Behörde oder deren Dienstleister richtet, kein Anspruch aus der Verletzung von Amtspflichten iSd Art. 34 S. 1 GG, da es sich nicht um eine auf die Behörde übergeleitete Haftung des Amtsträgers, sondern um eine originäre Haftung der Behörde handelt. |
NEU OLG Dresden Urt. v. 30.1.2024 – 4 U 1396/23 | 0 EUR Liegt der Datenschutzverstoß (hier „Scraping") bereits mehrere Jahre zurück und sind die Schaltflächen, die diesen ermöglicht haben, zwischenzeitlich geändert worden, reicht die bloß theoretische Möglichkeit, dass es in Zukunft zu einem Schaden kommen könnte, für ein Feststellungsinteresse nicht aus. Auch ein Rechtsschutzinteresse für einen weitergehenden Unterlassungsanspruch besteht dann nicht. Für die erstmalige außergerichtlich Geltendmachung eines Auskunftsanspruchs ggü. einem sozialen Netzwerk ist die anwaltliche Beauftragung nicht erforderlich, außergerichtliche Kosten für dessen Inanspruchnahme sind daher nicht erstattungsfähig. |
NEU OLG Dresden Urt. v. 30.1.2024 – 4 U 1398/23 | 0 EUR Wie OLG Dresden Urt. v. 23.1.2024 – 4 U 1313/23 [= ZD 2024, 480 (Ls.)]. |
NEU OLG Dresden Urt. v. 30.1.2024 – 4 U 1481/23 | 0 EUR Wie OLG Dresden Urt. v. 23.1.2024 – 4 U 1313/23 [= ZD 2024, 480 (Ls.)]. |
NEU OLG Dresden Urt. v. 30.1.2024 – 4 U 1168/23 | 0 EUR Wie OLG Dresden Urt. v. 23.1.2024 – 4 U 1313/23 [= ZD 2024, 480 (Ls.)]. |
NEU OLG Dresden Urt. v. 23.1.2024 – 4 U 1313/23 = ZD 2024, 480 (Ls.) | 0 EUR Dem Kl. steht kein Anspruch auf immateriellen Schadensersatz gem. Art. 82 DS-GVO zu. Ob der Bekl. ein Verstoß gegen Melde- und Benachrichtigungspflichten nach Art. 33, 34 DS-GVO zur Last fällt, kann ebenfalls dahinstehen. Ebenso braucht hier nicht entschieden zu werden, ob ein solcher Verstoß überhaupt Grundlage für einen Schadensersatzanspruch nach Art. 82 DS-GVO sein könnte. In Rspr. und Lit. wird insofern zwar die Auffassung vertreten, die Formulierung in Art. 82 Abs. 1 DS-GVO „wegen eines Verstoßes gegen diese Verordnung“ sei vor dem Hintergrund des Erwägungsgrund 146 DS-GVO weit auszulegen. Art. 82 Abs. 2 S. 1 DS-GVO erfasse jede nicht mit der Verordnung in Einklang stehende Verarbeitung. Zumindest für Verstöße gegen die Melde- und Benachrichtigungspflichten legt jedoch bereits deren Wortlaut nahe, dass diese als rein objektivrechtliche Pflichten zu verstehen sein sollen, die keinen individualschützenden Charakter haben und daher als Schadensersatzgrundlage nicht in Betracht kommen. Dies entspricht auch der Rspr. des EuGH, der zu Art. 17, 18 DS-GVO bereits entschieden hat, dass nicht jeder Verstoß gegen Vorschriften der DS-GVO die Datenverarbeitung mit der Folge von Ansprüchen auf Löschen oder Einschränkung der Verarbeitung unrechtmäßig macht. Dies kann jedoch auch dahinstehen, nachdem sich weder dem Klage- noch dem Berufungsvorbringen entnehmen lässt, dass der eingetretene Schaden durch eine rechtzeitige Erfüllung dieser Pflichten noch hätte verhindert werden können. Nach Art. 82 der DS-GVO ist Schadensersatz zu leisten, wenn der Nachweis eines Verstoßes gegen die DS-GVO, eines tatsächlich erlittenen materiellen oder immateriellen Schadens und eines Kausalzusammenhangs zwischen dem Verstoß und dem Schaden erbracht wird; der bloße Verstoß gegen Bestimmungen der DS-GVO reicht demnach nicht aus. Die Darlegungs- und Beweislast obliegt insoweit der betroffenen Person. Ein Schadensersatzanspruch ist aber auch nicht gegeben, soweit der Kl. als Folge von der Bekl. anzulastenden Datenschutzverstößen immaterielle Schäden in Form eines Verlusts der Kontrolle über die ihn betreffenden personenbezogenen Daten verbunden mit dem Gefühl des Kontrollverlusts, des Beobachtetwerdens, der Hilflosigkeit und der Angst erlitten haben will. Unabhängig davon rechtfertigt die Verletzung der Auskunftspflicht nach Art. 15 DS-GVO keinen Schadensersatzanspruch, weil nicht ersichtlich ist, welcher Schaden der Klagepartei daraus entstanden sein soll. |
NEU OLG Brandenburg Beschl. v. 11.1.2024 – 12 U 132/23 | 0 EUR Die Klage ist unbegründet. Der Kl. hat einen Anspruch auf Schadensersatz aus Art. 82 iVm Art. 12 Abs. 1, 14, 15 Abs. 1 S. 2 DS-GVO nicht schlüssig dargetan. Ein Verstoß gegen die Bestimmungen der DS-GVO für sich allein genommen reicht nicht aus, um einen Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO zu begründen. Die Entstehung des Schadensersatzanspruchs setzt vielmehr kumulativ eine Verarbeitung personenbezogener Daten unter Verstoß gegen die Bestimmungen der DS-GVO, einen der betroffenen Person entstandenen Schaden und einen Kausalzusammenhang zwischen der rechtswidrigen Verarbeitung und diesem Schaden voraus. Die Verarbeitung personenbezogener Daten ist in Art. 4 Ziff. 2 DS-GVO definiert. Die Erteilung einer Auskunft über die personenbezogenen Daten nach Art. 15 Abs. 1 S. 2 DS-GVO stellt danach keine Verarbeitung dar, so dass schon aus diesem Grunde kein Anspruch besteht. Eine angeblich schlechte Lesbarkeit der Information nach Art. 14 DS-GVO vermag einen Schadensersatzanspruch ebenfalls nicht zu begründen. Zum einen hat die Bekl. bestritten, dass dem Kl. die Information in einer nicht lesbaren Form zur Verfügung gestellt wurde, ohne dass der Kl. für seine Behauptung Beweis angetreten hat. Zum anderen würde eine schlechte Lesbarkeit, wie ausgeführt, nicht ohne Weiteres zu einem Schadensersatzanspruch führen. Schließlich scheitert ein Schadensersatzanspruch des Kl. auch daran, dass er einen ihm durch eine fehlerhafte oder zu spät erteilte Auskunft kausal entstandenen Schaden nicht ansatzweise dargelegt hat. Zwar hängt der Schadensersatzanspruch nicht davon ab, dass der betreffende Schaden eine gewisse Erheblichkeit erreicht. Dies bedeutet jedoch nicht, dass eine Person, die von einem Verstoß gegen die DS-GVO betroffen ist, der für sie negative Folgen gehabt hat, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden iSv Art. 82 DS-GVO darstellen. Dabei hat die anspruchstellende Partei im Rechtsstreit die Entstehung eines materiellen oder immateriellen Schadens substantiiert darzulegen. Während der Kl. in erster Instanz noch behauptet hat, er habe im Jahre 2022 keine Online-Käufe tätigen können und er habe vergeblich versucht, ein Girokonto zu eröffnen, ohne dass daraus eine Kausalität eines Verstoßes der Bekl. gegen Bestimmungen der DS-GVO ersichtlich geworden ist, behauptet er in zweiter Instanz nur noch pauschal Ärger, Unwohlsein und Stress. Konkrete gesundheitliche Beeinträchtigungen werden nicht vorgetragen. Ebenso wenig ist ersichtlich, weshalb diese pauschalen Angaben einen Schadensersatz in der beantragten Höhe rechtfertigen sollen. |
OLG Hamburg Urt. v. 10.1.2024 – 13 U 70/23 = ZD 2024, 347 | 4.498,57 EUR Der Kl. hat gegen die Bekl. Anspruch auf Ersatz immateriellen Schadens gem. Art. 82 Abs. 1, Abs. 2 S. 1 DS-GVO iHv insgesamt 4.000 EUR. Die Bekl. hat als „Verantwortlicher" iSd Art. 4 Ziff. 7 DS-GVO gegen ihre Pflichten aus Art. 5, 6 iVm Art. 4 Ziff. 2 DS-GVO verstoßen, indem sie ihre Forderungen gegen den Kl. zweimal an die SCHUFA gemeldet hat, obwohl die Voraussetzungen hierfür nicht vorlagen. Zur Begründung wird auf die zutreffenden Ausführungen des LG Bezug genommen, welchen sich das Berufungsgericht vollen Umfangs anschließt. Hierdurch ist dem Kl. auch ein ersatzfähiger immaterieller Schaden entstanden. Das LG hat sorgfältig und überzeugend begründet, dass der Kl. durch die zweifache unberechtigte Meldung an die Schufa eine Beeinträchtigung seines sozialen Ansehens durch die Darstellung als unzuverlässiger Schuldner hinnehmen musste. Der Kl. hat zudem belegt, dass sich aus der Auskunft der Schufa und der verschlechterten Einschätzung des Bonitätsrisikos konkrete negative Konsequenzen in Bezug auf die Gewährung eines Kredits sowie die Sperrung seiner Kreditkarte ergeben haben. |
Landgerichte | |
NEU LG Traunstein Urt. v. 3.6.2024 – 9 O 2353/23 | 0 EUR Die Klagepartei hat keinen Anspruch auf Schmerzensgeld aus Art. 82 Abs. 1 DS-GVO. Das LG Frankfurt/M. hat zu einem solchen Anspruch in einem Parallelverfahren mit vergleichbarem Sachverhalt in seinem Urt. v. 19.3.2024 – 10 O 691/23 Rn. 19–23, 25), zutreffend Folgendes ausgeführt: „Es kann dahinstehen, ob ein Verstoß gegen die Bestimmungen der DS-GVO vorliegt. Denn das Gericht kann nicht feststellen, dass der Kl. einen kausal auf die behaupteten Verstöße zurückzuführenden Schaden erlitten hat. Nach allgemeinen Grundsätzen obliegt es dem Kl., die Mitursächlichkeit darzulegen und ggf. zu beweisen. Der EuGH hat am 4.5.2023 entschieden, dass Art. 82 DS-GVO dahin auszulegen ist, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadensersatzanspruch zu begründen. Es geht aus dem Wortlaut von Art. 82 Abs. 1 DS-GVO klar hervor, dass das Vorliegen eines ‚Schadens‘ eine der Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadensersatzanspruch darstellt, ebenso wie das Vorliegen eines Verstoßes gegen die DS-GVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind. Daher kann nicht davon ausgegangen werden, dass jeder Verstoß gegen die Bestimmungen der DS-GVO für sich genommen den Schadensersatzanspruch der betroffenen Person iSv Art. 4 Ziff. 1 DS-GVO eröffnet. Eine solche Auslegung liefe dem Wortlaut von Art. 82 Abs. 1 DS-GVO zuwider. Ein abstrakter ‚Kontrollverlust‘ reicht allein für einen immateriellen Schaden iSd Art. 82 DS-GVO nicht aus, für eine darüberhinausgehende Beeinträchtigung trägt der Anspruchsteller die Beweislast. Die Darlegungslast für den Eintritt des konkreten immateriellen Schadens liegt jedoch beim Betroffenen und kann bei behaupteten persönlichen/psychologischen Beeinträchtigungen nur durch die Darlegung konkret-individueller – und nicht wie hier in einer Vielzahl von Fällen gleichartiger – dem Beweis zugänglicher Indizien erfüllt werden. Dass bloße negative Gefühle wie Unmut, Unzufriedenheit, Sorge und Angst, die an sich Teil des allgemeinen Lebensrisikos und oft des täglichen Erlebens sind, Grundlage für einen Schadensersatzanspruch sein können, hält das Gericht jedenfalls dann für nicht gerechtfertigt, wenn -wie hier – kein Einfluss auf die Lebensführung ersichtlich und damit ein konkreter Rückschluss von äußeren Umständen auf diese inneren Tatsachen nicht möglich ist.“ Diesen überzeugenden Ausführungen schließt sich die Kammer an. Vorliegend stellen sich zudem erhebliche Zweifel an einem immateriellen Schaden des Kl. auch deshalb, weil er im Rahmen seiner informatorischen Anhörung angegeben hat, dass er sich gedacht hat, „wenn die Kanzlei das dann anschieben will, dass ich dann da mit dabei bin.“ Bestimmend für die Klage scheint nicht die Sorge um seine Daten, sondern ein anderes Ziel zu sein. Insb. auch weil die Klagepartei nicht angeben konnte, welche Daten überhaupt konkret weitergegeben wurde, konnte sich das Gericht keine Überzeugung davon bilden, dass ein immaterieller Schaden bei ihr eingetreten ist. Eine irgendwie geartete spürbar tatsächliche Beeinträchtigung persönlichkeitsbezogener Belange von einigem Gewicht hat der Kl. nicht dargetan und ist für das Gericht nicht ansatzweise erkennbar. |
NEU LG Bonn Urt. v. 3.5.2024 – 19 O 221/23 | 0 EUR Es kann dahinstehen, ob der Bekl. Verstöße gegen Art. 25 Abs. 1 oder Art. 32 DS-GVO wegen der Übermittlung sog. Positivdaten vorzuwerfen sind. Ein Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO scheidet jedenfalls deshalb aus, weil der Kl. einen darauf beruhenden Schaden nicht substantiiert dargelegt und nachgewiesen hat. Nach Art. 82 DS-GVO ist Schadensersatz zu leisten, wenn ein Verstoß gegen die DS-GVO dargelegt und ggf. nachgewiesen wird sowie ein tatsächlich erlittener materieller oder immaterieller Schaden und ein Kausalzusammenhang zwischen dem Verstoß und dem Schaden; der bloße Verstoß gegen Bestimmungen der DS-GVO oder die Möglichkeit eines Schadenseintritts reicht demnach nicht aus. Die Darlegungs- und Beweislast trägt insoweit der Anspruchsteller. Dass er infolge von Verstößen gegen die DS-GVO materielle Schäden erlitten habe, wird vom Kl. bereits nicht behauptet. Ein Schadensersatzanspruch ist auch nicht gegeben, soweit der Kl. als Folge von der Bekl. anzulastenden Datenschutzverstößen immaterielle Schäden in Form eines „Kontrollverlusts“ über die ihn betreffenden personenbezogenen Daten, verbunden mit dem Gefühl großen Unwohlseins, Stress und Sorge erlitten haben will. Der Kontrollverlust stellt für sich genommen nicht bereits einen immateriellen Schaden dar. Ein reines „Befürchten“ von Nachteilen ist kein Schaden iSd DS-GVO. Soweit der Kl. in der Klageschrift und der Replik seine entsprechenden Befürchtungen beschrieben hat, handelt es sich um pauschale Angaben und eine Abfolge von Textbausteinen, die sich (wie gerichtsbekannt ist) in einer Vielzahl von parallel gelagerten Verfahren der Klägerkanzlei wortgleich finden. Dass sämtliche der von den Klägervertretern vertretenen Kl. ein identisches subjektives und individuelles Erleben haben und identische Empfindungen des Unwohlseins und der Sorge, erscheint der Kammer nicht glaubhaft. Auch im Rahmen seiner persönlichen Anhörung konnte der Kl. nicht näher angeben, inwieweit das Gefühl des Kontrollverlusts, des Unwohlseins und der Sorge gerade darauf gegründet ist, dass Dritte davon erfahren könnten, dass er einen Mobilfunkvertrag mit der Bekl. hat und sich ihr ggü. vertragstreu verhält. |
NEU LG Mainz Urt. v. 2.5.2024 – 2 O 204/23 | 0 EUR Der auf die Verurteilung der Bekl. zur Zahlung eines Schmerzensgeldes gerichtete Klageantrag zu 1) ist zulässig aber unbegründet. Ein Schadensersatzanspruch der Kl. gem. Art. 82 Abs. 1 DS-GVO scheitert – jedenfalls – daran, dass die Kl. keinen Schaden dargelegt und nachgewiesen hat. Der Begriff des Schadens ist gem. Erwägungsgrund 146 S. 3 DS-GVO weit auf eine Art und Weise auszulegen, die den Zielen dieser Verordnung in vollem Umfang entspricht. Für einen Schadensersatzanspruch nach Art. 82 DS-GVO reicht allerdings der bloße Verstoß gegen die Bestimmungen der DS-GVO nicht aus. Der Ersatz eines immateriellen Schadens nach Art. 82 DS-GVO ist dabei nicht davon abhängig, dass der entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht, so dass auch Bagatellschäden einen Schadensersatzanspruch begründen können. Nach der Rspr. des EuGH kann dieser Schaden auch darin liegen, dass der Kl. Angst vor einer missbräuchlichen Verwendung seiner personenbezogenen Daten durch Dritte hat. Dabei ist das Gericht gehalten, zu prüfen, ob diese Befürchtung unter den gegebenen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann. Die Kl. hat in der Klageschrift vorgetragen, bei ihr habe sich ein Gefühl des Kontrollverlustes und der großen Sorge, insb. auch auf eigene die Bonität, eingestellt. Das Gefühl des Kontrollverlusts sei geprägt von der Angst, einer unberechtigten Übermittlung an eine Auskunftei wie der S2. AG ausgesetzt zu sein und beunruhige sie bis zum heutigen Tag. Sie lebe mit der ständigen Angst vor – mindestens – unangenehmen Rückfragen in Bezug auf das allgemeine Verhalten im Wirtschaftsverkehr oder einer Verfälschung des Sch.-Scores. Bei diesen geschilderten Beeinträchtigungen handelt es sich um psychische Folgen des Datenschutzverstoßes der Bekl., die als solche nur von ihr selbst wahrgenommen werden können. Um daraus einen Schaden ableiten zu können, also einen Nachteil des Betroffenen, der iSv Erwägungsgrund 146 DS-GVO konkret „erlitten“ wurde und damit über die reine Behauptung des entsprechenden Gefühls hinausgeht, muss die Kl. konkrete Indizien vortragen und unter Beweis stellen, die eine solche psychische Beeinträchtigung ihrer Person stützen können. Dies bedeutet, dass für die von der Kl. behaupteten immateriellen Schäden in Form von Angst und Sorge jedenfalls auch objektive Beweisanzeichen vorhanden sein müssen, da andernfalls die bloße Bekundung des Betroffenen, einen immateriellen Schaden in Form belastender Gefühle erlitten zu haben, für einen Ersatzanspruch ausreichen würde. Hieran fehlt es vorliegend, weil die Kl. auch im Rahmen ihrer persönlichen Anhörung keine derartigen objektiven Beweisanzeichen aufzeigen konnte. Sie hat vielmehr glaubhaft angegeben, dass sie erst in Folge der Kontaktaufnahme mit der von ihr beauftragten Anwaltskanzlei die Sch.-Auskunft angefordert und sich damit auseinandergesetzt habe, was das für sie bedeute. Sie wisse nicht, was der Eintrag bei der Sch. für sie bedeute und das sei eine Unsicherheit. Die möglichen Auswirkungen der Meldung schafften Unsicherheiten und sie sei in Sorge. Das Verfahren sei für sie wichtig, weil sie geklärt haben wolle, dass das keine Belanglosigkeit sei und es von Bedeutung sei, dass einfach Daten weitergegeben würden. Aufgrund der Impulse ihrer Anwaltskanzlei habe sie sich Gedanken gemacht, was die Sch.-Auskunft für sie bedeute. Sie sei hinsichtlich der Datenweitergabe jetzt vorsichtiger geworden und entscheide bewusster, welche Felder sie zB bei der Registrierung im Internet ankreuze. Hinreichende objektive Beweisanzeichen in ihrer Person für eine tatsächliche immaterielle Beeinträchtigung vermag das Gericht hierin nicht zu erkennen. |
NEU LG Offenburg Urt. v. 2.5.2024 – 3 O 196/23 | 0 EUR Der Kl. hat ggü. der Bekl. keinen Anspruch auf die Leistung eines Ersatzes für immaterielle Schäden nach Art. 82 Abs. 1 DS-GVO. Dahinstehen kann dabei, ob die Bekl. Verstöße gegen die DS-GVO begangen hat, ob die entsprechenden etwaigen Verstöße von der Schadensersatzpflicht aus Art. 82 Abs. 1 DS-GVO erfasst sind und ob für die Auslösung einer Schadensersatzpflicht nach dieser Norm eine erhebliche Beeinträchtigung erforderlich ist. Denn dem Kl. steht aus etwaigen Verstößen der Bekl. gegen die DS-GVO kein immaterieller Schadensersatzanspruch zu. Voraussetzung für sämtliche klägerischen Anspruchsgrundlagen, welche den Schadensersatzanspruch tragen würden, ist, dass tatsächlich ein Schaden entstanden ist. Ein solcher Schaden setzt – entgegen möglicherweise bestehendem innerstaatlichen Recht – nach Wortlaut, Erwägungsgrund 10, 146 DS-GVO und Telos einen bestimmten Grad an Erheblichkeit nicht voraus. Auch wenn es keine Erheblichkeitsschwelle gibt, so bedeutet dies indes nicht, dass die aus dem Datenschutzverstoß resultierenden negativen Folgen per se einen haftungsbegründenden Schaden darstellen; denn der EuGH führt hierzu explizit aus, dass diese Auslegung nicht bedeutet, „dass eine Person, die von einem Verstoß gegen die DS-GVO betroffen ist, der für sie negative Folgen gehabt hat, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden iSv Art. 82 DS-GVO darstellen“. Nur „konkret erlittenen Schäden“ müssen vollständig ausgeglichen werden müssen. Die Annahme eines solchen konkreten Schadens setzt nach stRspr des EuGH voraus, dass dieser „tatsächlich und sicher“ besteht. Entsprechend sieht der die Frage des Schadensersatzes allein betreffende Erwägungsgrund 75 DS-GVO auch nur vor, dass ein Schaden entstehen „könnte“, nicht aber in jedem Fall eintritt. Realisiert sich das generelle Risiko, dessen Eintritt verhindert werden soll, kommt es zwangsläufig zum Kontrollverlust. Daraus allein resultiert aber deshalb noch kein tatsächlicher Schaden im konkreten Einzelfall, wenn bzw. – hier eben – weil dieser automatisch bei jedem vom festgestellten Verstoß gegen die DS-GVO Betroffenen in Form der Offenlegung / Zugänglichmachung von Daten eintritt. Das Vorhandensein eines tatsächlichen Schadens in Gestalt einer durch den Kl. tatsächlich empfundenen Beeinträchtigung ist nach erfolgter informatorischer Anhörung des Kl. nicht ersichtlich. Der schriftsätzliche Vortrag des Kl., er empfinde ein ungutes Gefühl der permanenten Überwachung durch die Bekl., stellt einen Standardvortrag dar, den die Prozessbevollmächtigten der Kl. in zahlreichen gleichgelagerten Fällen stets identisch vortragen. Der Kl. hat ein solches ungutes Gefühl der permanenten Überwachung und diesbezügliche Sorgen in seiner Anhörung aber gar nicht erwähnt, sondern nur angegeben, er finde die personalisierte Werbung nicht okay, da man damit zum Kaufen verleitet werden solle. Etwas „nicht-okay-finden“ genügt aber nicht zur Annahme eines immateriellen Schadens, zumal auch nicht festgestellt werden kann, ob dies vom Kl. tatsächlich so empfunden wurde oder ob er dies nur äußert, um einer Klage zum Erfolg zu verhelfen, die allein aus Bereicherungsabsicht ohne Vorliegen irgendeiner Beeinträchtigung erhoben wurde. Gleiches gilt für die schriftsätzliche Behauptung die aus Klägersicht unzureichende Auskunft der Bekl. habe den Kl. belastet. Das wurde vom Kl. nicht erwähnt und ist auch nicht ansatzweise nachvollziehbar. Mangels eines Anspruchs in der Hauptsache besteht auch kein Anspruch auf Erstattung vorgerichtlicher Rechtsverfolgungskosten sowie Verzinsung. |
NEU LG Amberg Urt. v. 30.4.2024 – 13 O 432/23 | 0 EUR Es besteht kein Anspruch der Kl. auf Zahlung eines immateriellen Schadensersatzes gem. Art. 82 Abs. 1 DS-GVO. Nach dem klägerischen Vortrag liegt schon kein kausaler Schaden vor. Nach dem ausdrücklichen Wortlaut des Art. 82 Abs. 1 DS-GVO muss ein Schaden tatsächlich „entstanden“ sein. Zwar ist der Schadensbegriff der DS-GVO nach dem Erwägungsgrund 146 S. 3 DS-GVO weit auszulegen. Schadensersatzforderungen sollen abschrecken und weitere Verstöße unattraktiv machen. Darüber hinaus soll gewährleistet werden, dass die tatsächlich Betroffenen wirksamen Ersatz erlangen. Ein bloßer Verstoß gegen die Vorschriften der DS-GVO alleine reicht jedoch nicht aus, um einen Anspruch auf Schadensersatz zu begründen. Erforderlich ist vielmehr die konkrete Darlegung eines individuellen Schadens. Nach der Rspr. des EuGH (Urt. v. 4.5.2023 – C-300/21 21 [=ZD 2023, 446 mAnm Mekat/Ligocki] – Österreichische Post) ist der Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO an drei kumulative Voraussetzungen geknüpft, nämlich an einen Verstoß gegen die DS-GVO, das Vorliegen eines materiellen oder immateriellen Schadens und einen ursächlichen Zusammenhang zwischen Schaden und Verstoß. Es fehlt an der Kausalität. Der geltend gemachte Schaden muss gerade durch die vermeintlichen Verstöße gegen die DS-GVO verursacht worden sein. Bezüglich der Kausalität ist die Klagepartei nach allgemeinen Grundsätzen darlegungs- und beweispflichtig. Der vorliegende Fall unterscheidet sich von den „Scraping-Fällen“ deutlich. Auch besteht kein Anspruch der Kl. auf immateriellen Schadensersatz für die Nichterteilung einer der gesetzlichen Anforderungen entsprechenden außergerichtlichen Datenauskunft. Dieser Anspruch scheitert bereits daran, dass Art. 15 DS-GVO, auf den die Klagepartei ihren vermeintlichen Anspruch stützt, nicht vom Anwendungsbereich des Art. 82 DS-GVO erfasst ist. Jedenfalls aber besteht der geltend gemachte Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO deshalb nicht, weil ein Verstoß gegen Art. 15 DS-GVO hier nicht vorliegt. |
NEU LG Stade Urt. v. 30.4.2024 – 4 O 316/23 | 0 EUR Dem Kl. steht der mit Ziff. 1 der Klage geltend gemachte Anspruch auf Schmerzensgeld iHv 5.000 EUR aus Art. 82 Abs. 1 DS-GVO wegen eines Verstoßes der Bekl. gegen Art. 6 DS-GVO nicht zu. Es kann dahinstehen, ob die Bekl. als datenschutzrechtlich Verantwortliche durch die Einmeldung der Positivdaten bei der SCHUFA Vorgaben der DS-GVO verletzt hat, da es jedenfalls an der Darlegung eines kausalen Schadens des Kl. fehlt. Es gehört nämlich zur Vortragslast des Kl., einen über die etwaigen Datenschutzverstöße und über den damit mittelbar einhergehenden Kontrollverlust hinausgehenden immateriellen Schaden in Form einer persönlichen bzw. psychologischen Beeinträchtigung aufgrund der Datenschutzverstöße und des Kontrollverlustes darzulegen und ggf. zu beweisen. Ein solcher Schaden setzt zwar nicht voraus, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat. Dies bedeutet indes nicht, dass die aus einem etwaigen Datenschutzverstoß resultierenden negativen Folgen per se einen zu einer Ersatzzahlung führenden Schaden darstellen. Die Annahme eines solchen konkreten Schadens verlangt nach stRspr des EuGH vielmehr, dass dieser „tatsächlich und sicher“ besteht. Dies hat der EuGH auch in der von der Klägerseite genannten neueren Entscheidung nochmals klargestellt. Es verbleibt auch nach dieser Entscheidung des EuGH vom 14.12.2023 insoweit also bei der Darlegungs- und Beweislast für den Kl. Das bloße pauschale und nicht substantiierte Berufen auf eine abstrakte Befürchtung reicht daher auch hiernach weiterhin nicht zur Darlegung eines immateriellen Schadens aus. Ein kausaler immaterieller Schaden ist nach diesen Maßstäben nicht bewiesen. Folgen mit Krankheitswert auf Seiten des Kl. infolge eines etwaigen Datenschutzverstoßes der Bekl. werden schon nicht behauptet. Auch in seiner persönlichen Anhörung hat der Kl. verneint, wegen des Vorfalls in ärztlicher Behandlung zu sein. Daher kommt es auf das Vorliegen innerer, dem Beweis nur eingeschränkt zugänglicher Tatsachen an, auf die nur mittelbar aus auf äußeren Tatsachen basierenden Indizien geschlossen werden kann. Mit Blick auf die subjektiven Folgen eines Datenschutzverstoßes im Einzelfall ist es deshalb erforderlich, dass der Betroffene Umstände darlegt und beweist, in denen sich seine erlebten Empfindungen widerspiegeln, und dass nach der Lebenserfahrung der Datenschutzverstoß mit seinen Folgen Einfluss auf das subjektive Empfinden hat. Aufgrund dieser Angaben kommt die Kammer nicht zu der Überzeugung, dass der Kl. einen über den Kontrollverlust hinausgehenden immateriellen Schaden in Form einer persönlichen bzw. psychologischen Beeinträchtigung erlitten hat. Die beschriebene Unsicherheit in Bezug auf die Weitergabe von persönlichen Daten stellt gerade keine psychologische Beeinträchtigung dar, die ein Maß erreicht, das einen Schmerzensgeldanspruch entstehen lassen würde. Es ist hier nicht ersichtlich, dass der vermeintliche Datenschutzverstoß Einfluss auf die Lebensführung des Kl. hatte. Dies insbesondere vor dem Hintergrund, dass der Kl. auch nach der hiesigen Einmeldung unstreitig insbesondere Finanzierungsverträge abschloss und sein Schufa-Score zum Zeitpunkt der Auskunftserteilung mit 98,16 % in einem positiven Bereich lag. |
NEU LG Frankfurt a. M. Urt. v. 24.4.2024 – 2-06 O 30/24 | 0 EUR Der Kl. hat gegen die Bekl. keinen Anspruch auf Schadensersatz aus Art. 82 VO (EU) 2016/679 (nachfolgend: DS-GVO). Für einen Schadensersatzanspruch nach Art. 82 DS-GVO sind drei Voraussetzungen erforderlich. Neben einem Verstoß gegen Vorschriften der DS-GVO muss ein Schaden eingetreten sein und zwischen dem Verstoß und dem Schaden muss eine Kausalität bestehen. Dabei muss der Schaden (insb. bei immateriellen Schäden) für dessen Ersatzfähigkeit nicht einen gewissen Grad an Erheblichkeit erreicht haben. Auch der kurzzeitige Verlust der Kontrolle über personenbezogene Daten kann einen immateriellen Schaden iSv Art. 82 Abs. 1 DS-GVO begründen, sofern der Betroffene den Nachweis erbringt, dass sie tatsächlich einen solchen Schaden erlitten hat, wobei der bloße Verstoß gegen Bestimmungen der DS-GVO insoweit nicht genügt. Für die Annahme eines Schadens ist dabei nicht maßgeblich, ob eine missbräuchliche Verwendung personenbezogener Daten durch Dritte bereits erfolgt ist oder ob der Schaden mit der Angst verknüpft ist, dass eine solche Verwendung in Zukunft erfolgen könnte. Den Nachweis, dass die negativen Folgen einen immateriellen Schaden iSv Art. 82 DS-GVO darstellen, trägt die vom Verstoß betroffene Person. Für die Ermittlung des Schadens gibt der EuGH den nationalen Gerichten folgendes auf: „Insb. muss das angerufene nationale Gericht, wenn sich eine Person, die auf dieser Grundlage Schadensersatz fordert, auf die Befürchtung beruft, dass ihre personenbezogenen Daten in Zukunft aufgrund eines solchen Verstoßes missbräuchlich verwendet werden, prüfen, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann.“ Daraus, dass der EuGH sich auf „Befürchtungen“ beruft, kann überdies gefolgert werden, dass neben dem (objektiven) Verlust der Kontrolle über personenbezogene Daten ein subjektives Element vorliegen muss, um einen Schaden zu bejahen. Auch in der jüngsten Entscheidung hat der EuGH bestätigt, dass der (kurzzeitige) Verlust über die Kontrolle einen immateriellen Schadensersatzanspruch begründet, sofern die betroffene Person den Nachweis erbringt, tatsächlich einen solchen erlitten zu haben. Es kann dahinstehen, ob neben dem „Kontrollverlust“ noch weitere Voraussetzungen hinzutreten müssen, dass man einen Schaden bejahen kann. Denn aus den EuGH-Entscheidung folgt jedenfalls, dass selbst beim (kurzzeitigen) Verlust der Kontrolle über personenbezogene Daten ein immaterieller Schaden nur dann bejaht werden kann, sofern der Kl. den Nachweis erbringt, dass er einen solchen Schaden erlitten hat. Der geltend gemachte Schadensersatzanspruch ist zu verneinen, weil es dem Kl. nicht gelungen ist, den Nachweis iSd EuGH-Rechtsprechung zu erbringen, dass er aufgrund des Verlusts der Kontrolle über personenbezogene Daten einen immateriellen Schaden erlitten hat. Dabei ist zu berücksichtigen, dass der Kontrollverlust (als Schaden) nicht mit der Verletzung von Vorschriften der DS-GVO gleichgestellt werden kann, weil damit lediglich allenfalls die objektive Seite des Kontrollverlusts bejaht werden könnte. Nachdem die Kammer den Kl. informatorisch angehört hat, gelangt sie unter Würdigung des gesamten Prozessstoffes nicht gem. § 286 Abs. 1 S. 1 ZPO zu der Überzeugung, dass unter den gegebenen besonderen Umständen die Befürchtungen des Kl. als begründet angesehen werden kann und dass dem Kl. durch die Einmeldung von Positivdaten an die SCHUFA ein immaterieller kausaler Schaden entstanden ist. Widersprüche zwischen dem Vorbringen aus der Anhörung und dem Parteivortrag können frei gewürdigt werden, wobei das Vorbringen des Kl. aus der informatorischen Anhörungen dem hierzu in Widerspruch stehenden schriftsätzlichen Vortrag seines Prozessbevollmächtigten idR – so auch im Streitfall – vorgeht. Die Kammer kann nicht feststellen, dass der Kl. aufgrund eines Kontrollverlusts an Existenzängsten, Stress oder allgemeinem Unwohlsein leidet. Schließlich kann eine Kausalität nicht bejaht werden. |
NEU LG München I Urt. v. 19.4.2024 – 31 O 2122/23 = ZD 2024, 409 | 0 EUR Der Kl. hat keinen Anspruch auf immateriellen Schadensersatz aus Art. 82 Abs. 1 DS-GVO. Denn es fehlt jedenfalls am Eintritt eines immateriellen Schadens, der sich kausal auf den streitgegenständlichen Datenschutzvorfall zurückführen lässt. Das Merkmal des immateriellen Schadens ist autonom auszulegen. Erwägungsgrund 146 S. 3 DS-GVO bestimmt, dass der Begriff des Schadens im Lichte der Rspr. des Gerichtshofs weit auf eine Art und Weise ausgelegt werden soll, die den Zielen dieser Verordnung in vollem Umfang entspricht. Erwägungsgrund 75 DS-GVO nennt etwa Identitätsdiebstahl, finanzielle Verluste, Rufschädigung oder den Verlust der Kontrolle personenbezogener Daten. Ein deutsches Verständnis bzw. eine enge Auslegung des Schadensbegriffs ist mithin nicht angezeigt. Eine Erheblichkeitsschwelle für das Vorliegen eines solchen Schadens ergibt sich aus der DS-GVO nicht. Bagatellschäden sind daher nicht auszuschließen. Erforderlich ist aber jedenfalls, dass ein konkreter immaterieller Schaden auch tatsächlich eingetreten („entstanden“ bzw. „erlitten“, vgl. Erwägungsgrund 146 S. 6 DS-GVO) ist. Ein bloßer Verstoß gegen die Bestimmungen der DS-GVO reicht nicht aus, um einen Schadensersatzanspruch zu begründen. Denn ein Schadensersatzanspruch setzt das Vorliegen eines „Schadens“ ebenso wie das Vorliegen eines Verstoßes gegen die DS-GVO und eines Kausalzusammenhangs zwischen Verstoß und Schaden voraus, „wobei diese drei Voraussetzungen kumulativ sind“. Die Klagepartei ist für den konkreten Schaden darlegungs- und ggf. beweispflichtig. Unter Zugrundelegung dieses Maßstabs hat der Kl. nicht zur Überzeugung des Gerichts dargelegt, dass bei ihm aufgrund eines möglichen Datenschutzverstoßes der Bekl tatsächlich ein immaterieller Schaden eingetreten ist. Die Ausführungen hierzu in der Klageschrift erschöpfen sich lediglich in allgemeinen formelhaften Wendungen, die mit identischem Inhalt in einer Vielzahl von Verfahren vorgebracht wurden und werden. Diesbezüglich wurde nur vorgetragen, der Kl. leide seither unter einem erhöhten Spamaufkommen, er lebe seither in Sorge vor einem Missbrauch seiner Daten und habe einen „anhaltenden Kontrollverlust über persönliche und sensible Daten“ erlitten. Die Kausalität zwischen Datenschutzverstoß und Schaden ist nach dem eindeutigen Wortlaut des Art. 82 Abs. 2 DS-GVO erforderlich. |
NEU LG Wiesbaden Urt. v. 16.4.2024 – 10 O 100/23 | 0 EUR Die Klage hinsichtlich des Antrags zu 1 (Schmerzensgeld) ist unbegründet. Ob hier ein Verstoß gegen Art. 6 Abs. 1 sowie Art. 5 Abs. 1 lit. a DS-GVO vorliegt, kann dahingestellt bleiben. Es fehlt jedoch an einem ersatzfähigen Schaden. Es war für das Gericht bei Durchlesen der Klageschrift schon nicht ersichtlich, inwieweit die Weitergabe von so genannten Positivdaten (oder nur Vertragsdaten?), nämlich dass der Kunde einen Mobilfunkvertrag abgeschlossen hat, zu einem immateriellen Schaden führen soll. Der diesbezügliche Sachvortrag ist pauschal und wird in zahlreichen weiteren Klagen inhaltsgleich verwendet. Angeblich habe der Kl. nach seiner Auskunft v. 14.10.2023 das Gefühl eines Kontrollverlustes und große Sorge auch in Bezug auf die eigene Bonität. Schon diese Aussage ist schlicht nicht nachvollziehbar, wenn die zitierte Information aus der S. Auskunft weiter gemeldet worden sind. Es ist für das Gericht nicht nachvollziehbar, wie Sorge hinsichtlich der eigenen Bonität entstehen kann. Ein Problem könnte doch allenfalls dann entstehen, wenn entsprechende Negativdaten weitergeleitet würden. Es ist genauso wenig ersichtlich, wie eine ständige Angst vor – mindestens – unangenehmen Rückfragen überhaupt erklärbar sein soll. Es scheint maßlos übertrieben, wenn diesbezüglich von einer „ständigen Angst“ gesprochen wird. Bei dem Begriff „Angst“ handelt es sich um eine Steigerung zum Begriff der Befürchtung. Es ist aber schon nicht plausibel, inwieweit überhaupt eine Befürchtung bestehen könnte, dass unangenehme Rückfragen erfolgen, wenn die angegebene Information aus der S. Auskunft weitergeleitet werden. Auch ist nicht nachvollziehbar, inwieweit die freie Entscheidung des Kl. im Hinblick auf neue Vertragsabschlüsse und freie Entfaltungsmöglichkeiten bei der weiteren Gestaltung des eigenen Lebens untergraben werden. Die Anhörung des Kl. in der mündlichen Verhandlung v. 11.4.2024 hat auch nichts davon zutage gefördert. Der Kl. vermochte auf Nachfrage schon nicht zu sagen, wie genau die Mitteilung der S. lautete, die Stein des Anstoßes war. Es entstand der Eindruck, dass er den Begriff „Positivdaten“ als Problem aufgeschnappt hat. Ob diese den Vertragsdaten entsprechen, konnte er aber auch nicht sagen. Eine irgendwie geartete spürbar tatsächliche Beeinträchtigung persönlichkeitsbezogener Belange von einigem Gewicht hat der Kl. nicht dargetan und ist für das Gericht nicht ansatzweise erkennbar. IÜ bleibt festzuhalten, dass der Kl. bereits beim Abschluss des Vertrages darauf hingewiesen worden ist, dass personenbezogene Daten an Auskunfteien übermittelt würden. Wenn dies ihn tatsächlich so belastet hätte oder belasten würde, hätte er konsequenterweise einen solchen Vertrag mit diesem Mobilfunkanbieter nicht abschließen dürfen oder ihn wenigstens nach der S.-Auskunft kündigen müssen. Da die Klage somit teilweise unzulässig, teilweise unbegründet ist, sind auch die geltend gemachten Anwaltskosten nicht zu erstatten. |
NEU LG Regensburg Urt. v. 15.4.2024 – 75 O 1040/23 | 0 EUR Die Klagepartei hat insbesondere keinen Anspruch auf Ersatz immaterieller Schäden gem. Art. 82 Abs. 1 DS-GVO. Es kann dahinstehen, ob ein Verstoß der Bekl. gegen Art. 6 oder 15 DS-GVO überhaupt vorliegt. Denn die Klagepartei hat nicht bewiesen, dass ihr tatsächlich ein immaterieller Schaden entstanden ist. Für den – hier geltend gemachten – immateriellen Schadensersatz gelten dabei die iRv § 253 BGB entwickelten Grundsätze; die Ermittlung obliegt dem Gericht nach § 287 ZPO. Es können für die Bemessung die Kriterien des Art. 83 Abs. 2 DS-GVO herangezogen werden, zB die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie die betroffenen Kategorien personenbezogener Daten. Zu berücksichtigen ist auch, dass die beabsichtigte abschreckende Wirkung nur durch für den Anspruchsverpflichtenden empfindliche Schmerzensgelder erreicht wird, insbesondere wenn eine Kommerzialisierung fehlt. Ein genereller Ausschluss von Bagatellfällen ist damit nicht zu vereinbaren. Die Pflicht zur Erstattung immaterieller Schäden ist daher nicht auf schwere Schäden beschränkt. Bestätigt wurde dies jüngst durch eine Entscheidung des EuGH, wonach der Ersatz eines immateriellen Schadens iSd Art. 82 Abs. 1 DS-GVO nicht davon abhängig gemacht werden kann, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat. Allein eine etwaige Verletzung des Datenschutzrechts als solche begründete allerdings nicht bereits für sich gesehen einen Schadensersatzanspruch für betroffene Personen. Die Verletzungshandlung muss in jedem Fall auch zu einer konkreten Verletzung von Persönlichkeitsrechten der betroffenen Personen geführt haben. Die Verletzung der Vorschriften der DS-GVO ist nicht mit einem Schadenseintritt gleichzusetzen. Es ist zwar keine schwere Verletzung des Persönlichkeitsrechts erforderlich. Andererseits ist aber auch weiterhin nicht für jede im Grunde nicht spürbare Beeinträchtigung bzw. für jede bloß individuell empfundene Unannehmlichkeit ein Schmerzensgeld zu gewähren. Vielmehr muss dem Betroffenen ein spürbarer Nachteil entstanden sein und es muss um eine objektiv nachvollziehbare, tatsächlich erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen gehen. Diese Grundsätze erfuhren jüngst Bestätigung durch eine Entscheidung des EuGH; danach reicht der bloße Verstoß gegen Bestimmungen der DS-GVO nicht aus, um einen Schadensersatzanspruch zu begründen. Gemessen an diesen Grundsätzen hat die Klagepartei schon keine ausreichend spürbare Beeinträchtigung von persönlichen Belangen dargelegt, für die Anhaltspunkte bestehen, dass sie kausal auf die hier streitgegenständliche Datenverarbeitung zur Schaltung personenbezogener Werbung sowie des diesbezüglichen Informationsverhaltens zurückzuführen sein könnte. Zu berücksichtigen sei auch, dass der Auskunftsanspruch nach Art. 15 DS-GVO durchaus erhebliche Relevanz für die weitere Durchsetzung von Forderungen aus dem streitgegenständlichen Datenschutzverstoß habe und die Klägerseite infolge der unzureichenden Auskunft in der Wahrnehmung ihrer berechtigten (Schadensersatz-) Ansprüche beschränkt werde. Selbst wenn kein eigenständiger Schaden durch die unzureichende Auskunft seitens der Bekl. angenommen werden sollte, so habe sich in jedem Fall der bereits bestehende Schaden hierdurch erheblich intensiviert. Denn die Beklagtenseite habe die Klägerseite nach dem streitgegenständlichen Vorfall völlig im Dunkeln darüber gelassen, welche ihrer personenbezogenen Daten an welche dritte Empfänger möglicherweise weitergegeben wurden. Auch konnte sie nicht konkret nachvollziehen, wie ihre Daten durch die Bekl. zur zielgerichteten Werbung benutzt worden seien. Diese Ausführungen sind zu pauschal und lassen nicht erkennen, inwiefern der behauptete Kontrollverlust einen Schaden darstellen soll, welcher über eine bloße negative Folge hinausreicht. Der Kl. hat in seiner informatorischen Anhörung ausgeführt, dass er ganz viel Spam bekomme. Es sei Werbung, welche in seinem Spam-Ordner lande. Er bekomme Kreditanfragen über seine E-Mail und auch über seine Telefonnummer. Diese E-Mail-Adresse nutze der Kl. seit etwa 2010. Der Kl. fühle sich betroffen von geleakten Daten. Er könne nicht zuordnen, was er über Facebook bekommen habe, weil er Facebook kaum noch nutze. Er nutze Facebook und Instagram seit ca. einem Jahr kaum noch. Auf Facebook habe er Nachrichten erhalten und Werbeanzeigen, zB Krypto und Kredite. Als Schaden iSd DS-GVO kann nicht das vom Kl. behauptete erhöhte Spam-Aufkommen gewertet werden. Es ist schon zweifelhaft, ob diese Behauptung überhaupt ausreichend konkret dargelegt ist, denn die Behauptung eines immensen Spam-Aufkommens ist äußerst pauschal. Für einen hinreichend substantiierten Vortrag bedürfte es der Darstellung bis zu welchem Zeitpunkt wie viele solcher Nachrichten auf dem Handy eingegangen sind und ab wann sich dieses in welcher Form konkret verändert hat. Letztlich kann dies dahinstehen, denn es ist bereits der Kausalzusammenhang zwischen diesem erhöhten Spam-Aufkommen und dem Verhalten der Bekl. (Datenverarbeitung zur Schaltung personenbezogener Werbung sowie des diesbezüglichen Informationsverhaltens) klägerseits nicht nachgewiesen worden. Denn unerwünschte SMS und Spam-Mails erhalten gerichtsbekannt auch Personen, die keinen Facebook-Account haben. Ferner kann im Ergebnis dahinstehen, ob neben Art. 82 Abs. 1 DS-GVO auch nationales Recht anwendbar ist, oder das nationale Recht von den europarechtlichen Vorschriften der DS-GVO verdrängt wird. Denn auch bei der Annahme eines Nebeneinanders hat die Klagepartei mangels restitutionsfähigen Schadens keinen Schadensersatzanspruch gegen die Bekl., weder aus §§ 280 Abs. 1, 253 Abs. 2 BGB noch aus einer anderen nationalen Schadensersatznorm. |
NEU LG Passau Urt. v. 9.4.2024 – 4 O 260/23 | 0 EUR Die Klagepartei hat keinen Schadensersatzanspruch gegen die Bekl. aus Art. 82 Abs. 1 DS-GVO. Es fehlt bereits an einem relevanten Verstoß gegen die Bestimmungen der DS-GVO. Die Pflichten zur Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde (Art. 33 DS-GVO) bzw. zur Benachrichtigung der hiervon betroffenen Person (Art. 34 DS-GVO) bzw. die Auskunftspflicht nach Art. 15 DS-GVO fallen nicht in den Schutzbereich des Art. 82 DS-GVO, da es sich um keine Pflichten iRd Datenverarbeitung (Art. 82 Abs. 2 S. 1 DS-GVO), sondern um dieser nachgelagerte Pflichten handelt. Jedenfalls kann durch etwaige Verletzung dieser Pflichten der Klagepartei kein zusätzlicher Schaden entstanden sein, nachdem der „Scraping“-Vorfall sich bereits ereignet hatte und der Klagepartei ohnehin keine effektiven Mittel zur Verfügung standen, der weiteren Verbreitung der Daten zu begegnen. Sofern die Datenschutzbehörden einen Verstoß der Bekl. gegen die Bestimmungen der DS-GVO bejahen sollte, entfaltet diese keine jedenfalls Bindungswirkung für das Gericht. Der Klagepartei ist zudem kein kausaler Schaden entstanden. Beweisbelastet für den Eintritt eines durch einen Verstoß gegen die DS-GVO verursachten Schadens ist nach allgemeinen Grundsätzen die Klagepartei. Ein Schaden resultiert nicht aus der bloßen Verletzung der DS-GVO, sondern diese muss zu einer tatsächlichen Beeinträchtigung führen. Zwar kann allein der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen diese Verordnung befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, einen „immateriellen Schaden“ im Sinne dieser Bestimmung darstellen. Der Nachweis eines kausalen Schadens ist auch nach dem Beweismaßstab des § 287 ZPO nicht geführt. Die persönliche Anhörung der Klagepartei hat ergeben, dass diese gehäuft dubiose Anrufe von Unbekannten, darunter auch von ausländischen Nummern und Spam-SMS sowie Nachrichten über WhatsApp erhalten. Nach ihrem eigenen Vortrag im Rahmen ihrer informatorischen Anhörung hat Klagepartei hat im Zeitraum 2005 bis 2018 eine private Stellenvermittlung betrieben und im Rahmen dieser Tätigkeit auf Anfrage der Unternehmen an diese weitergegeben. Für einen kausalen Zusammenhang mit dem durch den „Scraping“-Vorfall nach klägerischem Vortrag veröffentlichen Datensatz gibt es keinen Beleg. So ist es allgemein bekannt, dass auch Personen, die nicht bei „f“ angemeldet sind oder dort zumindest keine Telefonnummer hinterlegt haben, von Anrufen und Nachrichten, wie sie die Klagepartei beschreibt, geplagt werden. Soweit klägerseits ein Gefühl des Unwohlseins und Kontrollverlustes behauptet wird, bleibt der klägerische Vortrag so allgemein, dass daraus ein konkreter, der gerichtlichen Bewertung zugänglicher Schaden nicht abgeleitet werden kann. Zwar ist der Schadensbegriff weit zu verstehen, er muss jedoch auch wirklich „erlitten“, das heißt „spürbar“ und objektiv nachvollziehbar sein. Woraus dieser Schaden konkret rühren soll, ist aus dem Vortrag der Klagepartei nicht zu entnehmen. |
NEU LG Gießen Urt. v. 3.4.2024 – 9 O 523/23 | 0 EUR Dem Kl. steht kein Anspruch auf Zahlung eines immateriellen Schadensersatzes aus Art. 82 Abs. 1 DS-GVO oder einer anderen denkbaren Anspruchsgrundlage gegen die Bekl. zu. Der allein vom Kl. vorgetragene und aus dem Vortrag ersichtliche Verstoß der Bekl. gegen Art. 6 Abs. 1 S. 1 lit. f DS-GVO liegt nicht vor. Insoweit ist in Rspr. und Lit. streitig, ob die von der Bekl. vorgetragenen berechtigten Interessen, namentlich die Betrugsprävention, Überschuldungsprävention, Präzision der Ausfallrisikoprognosen, Validierung der bei der S. AG vorhandenen Daten, das Recht des Kl. auf informationelle Selbstbestimmung überwiegen. Die Kammer schließt sich der Ansicht an, die den Interessen der Bekl. vorliegend den Vorrang gibt. Dafür spricht insb., dass die vom LG München I aufgeführten milderen Maßnahmen, dem hochautomatisierten Massegeschäft der Telekommunikationsdienstleister nicht gerecht werden und infolgedessen vielleicht ein milderes, aber kein geeignetes Mittel zur Erreichung der legitimen Interessen der Bekl. sind. IÜ mangelt es an einem ersatzfähigen Schaden der Kl. iSd Art. 82 Abs. 1 DS-GVO. Das Merkmal des immateriellen Schadens ist autonom auszulegen. Erwägungsgrund 146 S. 3 DS-GVO sieht vor, dass der Begriff des Schadens im Lichte der Rspr. des EuGH weit auf eine Art und Weise ausgelegt werden soll, die den Zielen dieser Verordnung in vollem Umfang entspricht. Erwägungsgrund 75 DS-GVO nennt etwa Identitätsdiebstahl, finanzielle Verluste, Rufschädigung oder den Verlust der Kontrolle personenbezogener Daten. Ein deutsches Verständnis zum Begriff des Schadens – etwa eine enge Auslegung – ist mithin nicht angezeigt. Eine Erheblichkeitsschwelle für das Vorliegen eines solchen Schadens ergibt sich gerade nicht aus der DS-GVO. Bagatellschäden sind nicht auszuschließen. Zu verlangen ist aber jedenfalls, dass ein konkreter immaterieller Schaden auch tatsächlich eingetreten („entstanden“) ist. Diesen muss die Kl. darlegen und ggf. beweisen. Auch unter Berücksichtigung eines weiten Verständnisses des immateriellen Schadens, das ausdrücklich auch Bagatellschäden einschließt, vermag der formelhafte nicht individuelle Vortrag, das Tatbestandsmerkmal des Schadens nicht schlüssig auszufüllen. Die Behauptung, beim Kl. habe sich nach Erhalt der 10 Seiten langen Auskunft der S. AG mit 29 Einträgen, davon diversen über Einträge in das Schuldnerverzeichnis, ein Gefühl des Kontrollverlustes und der großen Sorge, insb. auch in Bezug auf die Bonität, aufgrund der Positivmitteilung der Bekl. und nicht etwa aufgrund der anderen negativen Eintragungen eingestellt, ist darüber hinaus so offensichtlich falsch, dass es sich nur um eine intentionale Falschbehauptung handeln kann. Die Bonität des Kl. ist deshalb und zu Recht schlecht, weil er in der Vergangenheit seine Verbindlichkeiten nicht bedient hat. Die Meldung der Bekl. war im konkreten Fall sicher nicht geeignet, die Bonität des Kl. weiter zu verschlechtern. |
NEU LG Frankfurt a. M. Urt. v. 19.3.2024 – 2-10 O 691/23 | 0 EUR Der Kl. hat gegen die Bekl. keinen Anspruch auf Zahlung eines immateriellen Schadensersatzes iHv 5.000 EUR aus Art. 82 Abs. 1 DS-GVO. Es kann dahinstehen, ob ein Verstoß gegen die Bestimmungen der DS-GVO vorliegt. Denn das Gericht kann nicht feststellen, dass der Kl. einen kausal auf die behaupteten Verstöße zurückzuführenden Schaden erlitten hat. Nach allgemeinen Grundsätzen obliegt es dem Kl., die Mitursächlichkeit darzulegen und ggf. zu beweisen. Der EuGH hat am 4.5.2023 entschieden, dass Art. 82 DS-GVO dahin auszulegen ist, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadensersatzanspruch zu begründen. Es geht aus dem Wortlaut von Art. 82 Abs. 1 DS-GVO klar hervor, dass das Vorliegen eines „Schadens“ eine der Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadensersatzanspruch darstellt, ebenso wie das Vorliegen eines Verstoßes gegen die DS-GVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind. Daher kann nicht davon ausgegangen werden, dass jeder Verstoß gegen die Bestimmungen der DS-GVO für sich genommen den Schadensersatzanspruch der betroffenen Person iSv Art. 4 Ziff. 1 DS-GVO eröffnet. Eine solche Auslegung liefe dem Wortlaut von Art. 82 Abs. 1 DS-GVO zuwider. Ein abstrakter „Kontrollverlust“ reicht allein für einen immateriellen Schaden iSd Art. 82 DS-GVO nicht aus, für eine darüberhinausgehende Beeinträchtigung trägt der Anspruchsteller die Beweislast. Der Kl. hat im Rahmen seiner persönlichen Anhörung ausgeführt, er sei von seinen Prozessbevollmächtigten nicht hinsichtlich seiner emotionalen Lage aufgrund des streitgegenständlichen Sachverhalts befragt worden. Diese hätten ihm keine persönlichen Fragen gestellt und er sei nicht von seinen Prozessbevollmächtigten gefragt worden, wie es ihm mit der Weitergabe der Daten in Bezug auf den Mobilfunkvertrag an die SCH gehe. Die Darlegungslast für den Eintritt des konkreten immateriellen Schadens liegt jedoch beim Betroffenen und kann bei behaupteten persönlichen/psychologischen Beeinträchtigungen nur durch die Darlegung konkret-individueller – und nicht wie hier in einer Vielzahl von Fällen gleichartiger – dem Beweis zugänglicher Indizien erfüllt werden. Dass bloße negative Gefühle wie Unmut, Unzufriedenheit, Sorge und Angst, die an sich Teil des allgemeinen Lebensrisikos und oft des täglichen Erlebens sind, Grundlage für einen Schadensersatzanspruch sein können, hält das Gericht jedenfalls dann für nicht gerechtfertigt, wenn – wie hier – kein Einfluss auf die Lebensführung ersichtlich und damit ein konkreter Rückschluss von äußeren Umständen auf diese inneren Tatsachen nicht möglich ist. |
NEU LG Mannheim Urt. v. 15.3.2024 – 1 O 99/23 | 50 EUR Dem Kl. steht ein Anspruch auf Schadensersatz gegen die Bekl. aus Art. 82 Abs. 1 DS-GVO zu. Die Bekl. hat gegen Art. 25 DS-GVO und Art. 32 DS-GVO verstoßen. Ein Verstoß gegen diese Vorgaben wird vom Schutzbereich des Art. 82 DS-GVO erfasst. Schon nach dem Wortlaut wird „ein Verstoß gegen diese Verordnung“ erfasst, ohne dies zu begrenzen. Dem Grunde nach reicht also jeglicher Verstoß gegen die DS-GVO aus, um einen Schadensersatz nach Art. 82 DS-GVO zu eröffnen. Ob diese Weite dadurch zu reduzieren ist, dass Verstöße nur dann und insoweit berücksichtigt werden, wenn diese „bei“ oder „im Rahmen“ einer Datenverarbeitung begangen werden, kann in Bezug auf Art. 25 DS-GVO und Art. 32 DS-GVO dahingestellt bleiben. Denn beide Verstöße wirken in der Datenverarbeitung fort. Ist die Voreinstellung entgegen Art. 25 DS-GVO nicht datensparsam gewählt, dann wirkt sich dieser Verstoß in einer Datenverarbeitung aus, die überhaupt erst wegen dieser nicht datensparsamen Voreinstellung möglich ist. Entsprechendes gilt, wenn eine Datenverarbeitung dadurch ermöglicht wird, dass die Verantwortliche entgegen Art. 32 DS-GVO keine Sicherheitsmaßnahmen nach dem Stand der Technik ergriffen hat. In beiden Fällen führt der Verstoß erst zu der (unbefugten) Datenverarbeitung. Unerheblich ist, dass es sich nicht – wie die Bekl. geltend macht – um „Hacking“ handeln soll, sondern um ein Datensammeln, da keine Sicherheitshürden überwunden wurden. Auf diese Begriffe stellt der Tatbestand des Art. 82 DS-GVO nicht ab. Jeder Verstoß gegen die DS-GVO soll zum Ersatz eines entstandenen Schadens führen. Damit ist (selbstverständlich) nicht allein der Fall gemeint, bei dem „Hacker“ Sicherheitshürden überwinden, um an personenbezogene Daten zu gelangen, sondern erst recht auch der Fall, dass es gar keine Sicherheitshürden gab, um an die Daten zu gelangen. Letzteres könnte allenfalls die Frage aufwerfen, ob auf (solche) Sicherheitshürden verzichtet werden konnte. Für den Anwendungsbereich des Art. 82 DS-GVO ist dies ohne Bedeutung. Es steht zur Überzeugung des Gerichtes fest, dass der Kl. von dem gegenständlichen Scraping-Vorfall betroffen ist und seine Daten auf eine Anfrage anhand einer sequentiell erstellten Nummer, die mit ihrer Telefonnummer übereinstimmte, übermittelt wurden. Soweit sich der Kl. auch auf Verstöße gegen Art. 13, 14 DS-GVO bzw. Art. 33, 34 DS-GVO stützt, ist dies für die Haftungsbegründung unerheblich. Denn der Kl. hat nicht schlüssig vorgetragen, dass ihr gerade durch diese (etwaigen) Verstöße, also eine fehlende, fehlerhafte oder nicht rechtzeitige Information der Bekl. des Kl. oder der Aufsichtsbehörden über den Scraping-Vorfall, ein Schaden entstanden wäre. Die Sorgen, Befürchtungen etc. sollen sich – lebensnah – nicht wegen dieser fehlerhaften Information gebildet haben, sondern wegen der Offenlegung der Daten. Ein Verstoß allein gegen die Vorschriften der DS-GVO reicht nicht aus, um einen Anspruch zu begründen. Denn schon nach dem Wortlaut des Art. 82 DS-GVO ist hierfür zudem ein „Schaden“ erforderlich. Der Begriff des materiellen oder immateriellen Schadens ist in der gesamten Europäischen Union autonom und einheitlich auszulegen. Allerdings bedeutet diese Auslegung nicht, dass eine Person, die von einem Verstoß gegen die DS-GVO betroffen ist, der für sie negative Folgen gehabt hat, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden iSv Art. 82 dieser Verordnung darstellen. Die Personen, die Schadensersatz nach Art. 82 Abs. 1 DS-GVO begehren, müssen also den Nachweis erbringen, dass sie tatsächlich einen solchen Schaden – so geringfügig er auch sein mag – erlitten haben. Insb. muss das angerufene nationale Gericht, wenn sich eine Person, die auf dieser Grundlage Schadensersatz fordert, auf die Befürchtung beruft, dass ihre personenbezogenen Daten in Zukunft aufgrund eines solchen Verstoßes missbräuchlich verwendet werden, prüfen, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann. An dieser Verteilung der Darlegungs- und Beweislast für einen Schaden, ändert die Formulierung des EuGH nichts wonach, der Verantwortliche nachweisen muss, dass er in keinerlei Hinsicht für den Umstand, durch den der betreffende Schaden eingetreten ist, verantwortlich ist. Dieser Halbsatz steht ersichtlich im Kontext einer Auslegung des Art. 82 Abs. 3 DS-GVO. Damit hebt der EuGH lediglich, aber immerhin hervor, dass eine punktuelle Entlastung des Verantwortlichen iRv Art. 82 Abs. 3 DS-GVO nicht ausreicht. Vielmehr darf er in „keinerlei Hinsicht“ für den Umstand, durch den der betreffende Schaden eingetreten ist, verantwortlich sein. Der Wortlaut der Formulierung des Europäischen Gerichtshofes setzt dabei voraus, dass durch einen Umstand ein Schaden eingetreten ist, lässt also die hierzu ergangene Rechtsprechung unberührt. Erst wenn durch einen Verstoß ein Schaden eingetreten ist (und dies bewiesen wurde), gelangt man zu der hiermit beantworteten Frage, welche Anforderungen an eine Entlastung nach Art. 82 Abs. 3 DS-GVO zu stellen sind. Ob der Kl. einen derartigen realen und sicheren emotionalen Schaden erlitten hat, ist am Beweismaß des § 287 ZPO zu messen. Die DS-GVO selbst enthält keine Bestimmung, die sich den Regeln für die Bemessung des Schadensersatzes widmet, auf den eine betroffene Person iSv Art. 4 Ziff. 1 DS-GVO nach Art. 82 DS-GVO Anspruch hat, wenn ihr durch einen Verstoß gegen diese Verordnung ein Schaden entstanden ist. Daher sind die Ausgestaltung von Klageverfahren, die den Schutz der dem Einzelnen aus Art. 82 DS-GVO erwachsenden Rechte gewährleisten sollen, und insbesondere die Festlegung der Kriterien für die Ermittlung des Umfangs des in diesem Rahmen geschuldeten Schadensersatzes in Ermangelung einschlägiger unionsrechtlicher Vorschriften Aufgabe des Rechts des einzelnen Mitgliedstaats, wobei der Äquivalenz- und der Effektivitätsgrundsatz zu beachten sind. Damit ist § 287 ZPO anzuwenden, der diesen Grundsätzen genügt. Denn der geltend gemachte immaterielle Schaden stellt sich insoweit als Folge der Rechtsgutsverletzung in Gestalt der Verletzung der Grundrechte des Kl. auf Schutz personenbezogener Daten aus Art. 8 GRCh dar. Das Gericht erachtet allerdings als überwiegend wahrscheinlich, dass der Kl. in Sorge ist um die Verwendung seiner Daten durch Unbefugte aufgrund der Offenlegung derselben als Folge der Verstöße der Bekl. gegen Art. 25 DS-GVO und Art. 32 DS-GVO. Der Kl. hat insoweit angegeben, dass er in Sorge um seine Daten sei. Es sei für ihn so, als habe er seinen Haustürschlüssel verloren. Das Ganze hänge wie ein Damoklesschwert über ihm. Er fürchte Identitätsdiebstahl oder ähnliches und dass er sich dann für die unbefugte Verwendung seiner Daten zB iRv Spoofing rechtfertigen müsse. Er wolle die Verantwortung für die Situation nicht bei sich haben. Ihm sei bekannt, das die „Leak-Liste“ gehandelt werde, sei deshalb aber nicht verärgert, sondern eben in Sorge. Selbstverständlich berücksichtigt das Gericht, dass der Kl. „in eigener Sache“ aussagt. Gleichwohl war seine Darstellung nicht überzogen, sondern differenziert. So berichtete er nicht von „schlaflosen Nächten“ wie noch schriftsätzlich vorgetragen. Auch berichtete er nicht von Ärger. Seine Sorge konnte er auf Nachfrage auch spezifizieren im Hinblick auf die verschiedenen Möglichkeiten diese unbefugt zu verwenden. Dabei zeigte sich, dass dem Kl. die technischen Zusammenhänge und Möglichkeiten bei der missbräuchlichen Verwendung seiner Daten bewusst sind. Gerade deshalb ist auch nachvollziehbar, dass sich der Kl. sorgt, da er die konkreten Gefahren kennt, die mit der Offenlegung seiner Daten verbunden sind. Trotz des Eigeninteresses des Kl. am Ausgang des Verfahrens reicht dies aus, um zumindest mit überwiegender Wahrscheinlichkeit davon auszugehen, dass der Kl. sich wirklich um den Umgang mit seinen offengelegten Daten sorgt. Was die Bemessung der Höhe des etwaigen gem. Art. 82 DS-GVO geschuldeten Schadensersatzes betrifft, haben die nationalen Gerichte, da die DS-GVO keine Bestimmung mit diesem Gegenstand enthält, bei seiner Bemessung die innerstaatlichen Vorschriften der einzelnen Mitgliedstaaten über den Umfang der finanziellen Entschädigung anzuwenden, sofern die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität beachtet werden. Dabei ist zu berücksichtigen, dass im 146. Erwägungsgrund zur DS-GVO festgestellt wird, dass die betroffenen Personen einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten sollten. Art. 82 DS-GVO hat – anders Art. 83 und 84 DS-GVO, die im Wesentlichen einen Strafzweck haben, da sie die Verhängung von Geldbußen und anderen Sanktionen erlauben – keine Straf-, sondern eine Ausgleichsfunktion. Das Verhältnis zwischen den in Art. 82 DS-GVO und den in ihren Art. 83 und 84 DS-GVO enthaltenen Vorschriften zeigt, dass zwischen diesen beiden Kategorien von Bestimmungen ein Unterschied besteht, sie einander aber auch als Anreiz zur Einhaltung der DS-GVO ergänzen, wobei das Recht jeder Person, den Ersatz eines Schadens zu verlangen, die Durchsetzungskraft der in dieser Verordnung vorgesehenen Schutzvorschriften erhöht und geeignet ist, von der Wiederholung rechtswidriger Verhaltensweisen abzuschrecken. Art. 82 DS-GVO verlangt in Anbetracht der Ausgleichsfunktion des darin verankerten Schadensersatzanspruchs – unabhängig davon um es um den Ersatz materieller oder immaterieller Schäden geht – nicht, dass die Schwere des Verstoßes gegen die Verordnung, den der für die Verarbeitung Verantwortliche begangen haben soll, bei der Bemessung des Betrags des zum Ausgleich eines immateriellen Schadens auf der Grundlage dieser Bestimmung gewährten Schadensersatzes berücksichtigt wird; er verlangt vielmehr, den Betrag so festzulegen, dass er den konkret aufgrund des Verstoßes gegen die DS-GVO erlittenen Schaden vollständig ausgleicht. Er darf nicht so hoch bemessen werden, dass er über den vollständigen Ersatz des Schadens hinausgeht. Ein Anspruch auf Schadensersatz gem. Art. 82 Abs. 1 DS-GVO wegen der unzureichenden oder verspäteten Auskunft nach Art. 15 DS-GVO des Kl. gegen die Bekl. besteht nicht. Die Auskunft war – wie soeben ausgeführt – nicht unzureichend. Soweit auch geltend gemacht werden soll, dass die Bekl. die Auskunft nicht unverzüglich oder binnen eines Monats erteilt haben sollte gem. Art. 12 Abs. 3 S. 1 DS-GVO ist ein hierdurch verursachter Schaden nicht schlüssig vorgetragen. Die Sorge des Kl. rührt nicht aus einer etwaig verspäteten Auskunft nach Art. 15 DS-GVO her, sondern aus der zuvor erfolgten Offenlegung seiner Daten. Ein Anspruch auf Ersatz vorgerichtlicher Rechtsanwaltskosten besteht nicht. |
NEU LG Mannheim Urt. v. 15.3.2024 – 1 O 93/23 | 0 EUR Wie LG Mannheim Urt. v. 15.3.2024 – 1 O 99/23, jedoch wurde hier kein Schaden dargelegt. Der Verlust der Unbeschwertheit bei der Nutzung sozialer Medien stellt keinen immateriellen Schaden iSv Art. 82 Abs. 1 DS-GVO dar. |
NEU LG München I Urt. v. 14.3.2024 – 44 O 3464/23 | 0 EUR Unabhängig davon, ob seitens der Bekl. überhaupt eine schadenskausale Pflichtverletzung, die in den Anwendungsbereich des Art. 82 DS-GVO fiele, angelastet werden kann, hat die Kl. jedenfalls das Vorliegen eines Schadens weder ausreichend dargelegt, noch bewiesen. Voraussetzung für sämtliche klägerischen Anspruchsgrundlagen, welche den Schadensersatzanspruch tragen würden, wäre nämlich, dass dem Kl. überhaupt ein kausaler Schaden entstanden ist. Das Gericht schließt sich den Ausführungen des OLG Hamm v. 15.8.2023 – 7 U 19/23 [= ZD 2024, 36] an. Der Kl. hat gegen die Bekl. einen Anspruch auf Feststellung der Ersatzpflicht künftiger materieller Schäden aufgrund des Datenschutzvorfalls im Oktober 2020 gem. Art. 82 Abs. 1 DS-GVO. Die Bekl. hat als Verantwortliche schuldhaft gegen Art. 32 Abs. 1 DS-GVO verstoßen. Die Beweislast hierfür liegt bei der Klägerseite; Art. 83 Abs. 3 DS-GVO bezieht sich nach dem eindeutigen Wortlaut nur auf die Verantwortlichkeit, nicht auf die Frage der haftungsbegründenden Handlung. Auch Art. 5 Abs. 2, 24 Abs. 1 DS-GVO beinhaltet keine generelle Beweislastumkehr. Indem die Bekl. die Zugangsdaten nach Beendigung der Vertragsbeziehung mit nicht änderte, schützte sie die Daten nicht angemessen vor einer unbefugten oder unrechtmäßigen Verarbeitung. Erleidet der Kl. in Zukunft materielle Schäden durch den unbefugten Zugriff Dritter auf das Datenarchiv der Bekl., die damit kausal zu dem Verstoß der Bekl. gegen Art. 32 DS-GVO sind, so steht ihr gegen die Bekl. ein Schadensersatzanspruch gemäß Art. 82 Abs. 1 DS-GVO zu. Anspruch auf vorgerichtliche Rechtsanwaltskosten hat der Kl. nicht. Die Bekl. befand sich nicht im Verzug mit einer Erklärung zu ihrer Haftung, als der Kl. seine nunmehrigen Prozessbevollmächtigten einschaltete. Vielmehr stammte bereits das erste Anschreiben an die Bekl. von den nunmehrigen Prozessbevollmächtigten, so dass die Kosten der Einschaltung der Prozessbevollmächtigten jedenfalls nicht verzugskausal sind. |
NEU LG Münster Urt. v. 7.3.2023 – 2 O 54/22 | 0 EUR Dem Kl. steht kein Anspruch auf immateriellen Schadensersatz aus Art. 82 DS-GVO zu. Es fehlt an einer schadensersatzauslösenden Pflichtverletzung der Bekl. iSd DS-GVO. Soweit der Kl. der Bekl. mehrere Verstöße vorwirft, nämlich ungenügende Information und Aufklärung über die Verarbeitung der sie betreffenden Daten durch ungenügende Aufklärung zur Verwendung und Geheimhaltung der Telefonnummer (Art. 5 Abs. 1 lit. a DS-GVO), einen unmittelbaren Verstoß gegen Art. 13, 14 DS-GVO, die konkrete Informationspflichten enthielten, die seitens der Bekl. nicht eingehalten worden seien, einen ungenügenden Schutz der personenbezogenen Daten der Nutzer von F. (Art. 24, 32 DS-GVO), eine unvollständige Auskunftserteilung nach Art. 15 DS-GVO, da nicht mitgeteilt worden sei, welchen Empfängern die Daten des Kl. durch Ausnutzung des Kontakt-Import Tools zugänglich gemacht worden seien (Art. 33, 34 DS-GVO), sind solche Verstöße schon nicht vom Schutzzweck des Art. 82 DS-GVO umfasst. Es kann daher auch offenbleiben – wenngleich hierfür sehr viel spricht –, ob sich der Kl. iRd Geltung der DS-GVO ein anspruchsausschließendes Mitverschulden gem. § 254 Abs. 2 BGB analog entgegenhalten lassen muss. |
NEU LG Hildesheim Urt. v. 5.3.2024 – 3 O 139/23 | 0 EUR Der Kl. hat ggü. der Bekl. keinen Anspruch auf die Leistung eines Ersatzes für immaterielle Schäden nach Art. 82 Abs. 1 DS-GVO. Dahinstehen kann dabei, ob die Bekl. Verstöße gegen die DS-GVO begangen hat, ob die entsprechenden etwaigen Verstöße von der Schadensersatzpflicht aus Art. 82 Abs. 1 DS-GVO erfasst sind und ob für die Auslösung einer Schadensersatzpflicht nach dieser Norm eine erhebliche Beeinträchtigung erforderlich ist. In jedem Fall steht dem Kl. aus etwaig erfolgten Verstößen der Bekl. gegen die DS-GVO kein immaterieller Schadensausgleich zu. Für die Bemessung von Schadensersatzansprüchen nach Art. 82 Abs. 1 DS-GVO enthält die DS-GVO nur wenige Vorgaben. Aus dem Nebeneinander von materiellem und immateriellem Schaden folgt, dass auch solche Schäden auszugleichen sind, die sich nicht unmittelbar in Geld bemessen lassen. Nach Erwägungsgrund 146 S. 3 DS-GVO sollte der Begriff des Schadens im Lichte der Rspr. des EuGH zudem weit auf eine Art und Weise ausgelegt werden, die den Zielen der Verordnung in vollem Umfang entspricht. Nach Erwägungsgrund 146 S. 6 DS-GVO sollten die betroffenen Personen einen vollständigen und wirksamen Schadensersatz für erlittene Schäden erhalten. Nach dem ausdrücklichen Wortlaut der Vorschrift muss der Schaden hierbei „erlitten“ worden sein, woraus sich ergibt, dass dieser tatsächlich entstanden sein muss und nicht lediglich befürchtet wird. Zwar ist der Begriff des Schadens – wie dargestellt – weit auszulegen, sodass die Betroffenen einen wirksamen Ersatz bekommen; nach Auffassung der Kammer reicht jedoch ein bloßer Verstoß gegen Vorschriften der DS-GVO nicht aus, um (immateriellen) Schadensersatz verlangen zu können. Es bedarf vielmehr der Darlegung eines konkreten (auch immateriellen) Schadens. Ein solcher in Gestalt einer durch den Kl. tatsächlich empfundenen Beeinträchtigung ist nach erfolgter informatorischer Anhörung des Kl. nicht ersichtlich. Soweit der Kl. ausführte, er befürchte eine Weitergabe der über ihn durch die Bekl. erhobenen Daten an werbetreibende Dritte, folgt hieraus kein Schmerzensgeldanspruch. Dies gilt bereits deshalb, weil das von dem Kl. befürchtete Verhalten der Bekl. nicht vorgenommen wird. So ist zwischen den Parteien unstreitig, die Bekl. gebe keine individualisierbaren Nutzerdaten an Werbetreibende weiter. Die bloße – tatsächlich unbegründete – Vorstellung einer Datenweitergabe vermag mangels Anknüpfung an ein etwaig der Bekl. vorwerfbares Verhalten keinen Schadensersatz zu begründen. Soweit der Kl. über den Erhalt von Spam-Anrufen klagt, ist dieser ebenfalls unstreitig nicht Symptom der Datennutzung durch die Bekl. Der schriftsätzliche Vortrag des Kl., er empfinde ein Unwohlsein dadurch, dass sich infolge personalisierter Werbung bei ihm das Gefühl einstelle, er sei bei seiner Bewegung im Internet unter ständiger „Beobachtung“ durch die Bekl., vermochte sich iRd informatorischen Anhörung seiner Person nicht zu bestätigen. Auch nach seiner emotionalen Betroffenheit gefragt stellte der Kl. allein auf die Besorgnis einer möglichen Weitergabe durch die Bekl. erhobener Daten ab. Es ließ sich in keiner Weise erkennen, dass er auch von der Art und Gestaltung der Werbeanzeigen bzw. einer sich aus ihnen ergebenden Implikation der ständigen Beobachtung benachteiligt würde. |
NEU LG Passau Urt. v. 16.2.2024 – 1 O 616/23 = ZD 2024, 411 | 0 EUR Die Klagepartei hat keinen Schadensersatzanspruch gegen die Bekl. aus Art. 82 Abs. 1 DS-GVO. Es fehlt bereits an einem relevanten Verstoß gegen die Bestimmungen der DS-GVO. Die Pflichten zur Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde (Art. 33 DS-GVO) bzw. zur Benachrichtigung der hiervon betroffenen Person (Art. 34 DS-GVO) bzw. die Auskunftspflicht nach Art. 15 DS-GVO fallen nicht in den Schutzbereich des Art. 82 DS-GVO, da es sich um keine Pflichten iRd Datenverarbeitung (Art. 82 Abs. 2 S. 1 DS-GVO), sondern um dieser nachgelagerte Pflichten handelt. Jedenfalls kann durch etwaige Verletzung dieser Pflichten der Klagepartei kein zusätzlicher Schaden entstanden sein, nachdem der „Scraping“-Vorfall sich bereits ereignet hatte und der Klagepartei ohnehin keine effektiven Mittel zur Verfügung standen, der weiteren Verbreitung der Daten zu begegnen. Sofern die Datenschutzbehörden einen Verstoß der Bekl. gegen die Bestimmungen der DS-GVO bejahen sollte, entfaltet diese keine jedenfalls Bindungswirkung für das Gericht. Der Klagepartei ist zudem kein kausaler Schaden entstanden. Beweisbelastet für den Eintritt eines durch einen Verstoß gegen die DS-GVO verursachten Schadens ist nach allgemeinen Grundsätzen die Klagepartei. Entgegen der Auffassung der Klagepartei resultiert dabei kein Schaden aus der bloßen Verletzung der DS-GVO, sondern diese muss zu einer tatsächlichen Beeinträchtigung der Klagepartei führen. Der Nachweis eines kausalen Schadens ist auch nach dem Beweismaßstab des § 287 ZPO nicht geführt. Die persönliche Anhörung der Klagepartei hat ergeben, dass diese gehäuft dubiose Nachrichten über E-Mail, SMS und F.-Messenger erhalten habe sowie Anrufe von Unbekannten, diese auch über WhatsApp, die die Klagepartei nicht beantwortet habe. Die Klagepartei hat ihre Telefonnummer und Anschrift auf der öffentlich zugänglichen Homepage hinterlegt. Die E-Mail-Adresse der Klagepartei ist schon nach ihrem eigenen Vortrag gar nicht in dem sie betreffenden Datensatz enthalten. Für einen kausalen Zusammenhang mit dem durch den „Scraping“-Vorfall nach klägerischem Vortrag veröffentlichen Datensatz gibt es keinen Beleg. So ist es allgemein bekannt, dass auch Personen, die nicht bei „f.“ angemeldet sind oder dort zumindest keine Telefonnummer hinterlegt haben, von Anrufen und Nachrichten, wie sie die Klagepartei beschreibt, geplagt werden. Soweit klägerseits ein Gefühl des Unwohlseins und Kontrollverlustes behauptet wird, bleibt der klägerische Vortrag so allgemein, dass daraus ein konkreter, der gerichtlichen Bewertung zugänglicher Schaden nicht abgeleitet werden kann. Zwar ist der Schadensbegriff weit zu verstehen, er muss jedoch auch wirklich „erlitten“, das heißt „spürbar“ und objektiv nachvollziehbar sein. Woraus dieser Schaden konkret rühren soll, ist aus dem Vortrag der Klagepartei nicht zu entnehmen. |
NEU LG Freiburg (Breisgau) Urt. v. 8.2.2024 – 8 O 212/23 | 100 EUR Die Bemessung des immateriellen Schadensersatzes stellt die Klagepartei zulässig in das Ermessen des Gerichts. Der unbezifferte Klageantrag ist zulässig, wenn statt der Bezifferung mindestens die Größenordnung des Betrags, den der Kl. sich vorstellt, angegeben wird. Die Klagepartei hat gegen die Bekl. einen Anspruch auf immateriellen Schadensersatz iHv 100 EUR gem. Art. 82 Abs. 1 DS-GVO aufgrund der Verletzung von Vorschriften der DS-GVO. Die Bekl. hat personenbezogene Daten (Twitter-ID, Name, Handynummer, Telefonnummer etc) iSd Art. 4 Abs. 1 Ziff. 1 DS-GVO gem. Art. 4 Abs. 1 Ziff. 2 DS-GVO verarbeitet, weil sie diese bezogen auf die Person der Klagepartei iRd von ihr betriebenen Plattform Twitter gespeichert und sie die Verbindung der klagenden Partei mit ihrer Telefonnummer auch Dritten ggü. durch die Schaffung dieser Abfragemöglichkeit offengelegt hat. Die Bekl. ist Verantwortliche iSd Art. 4 Ziff. 7 DS-GVO. Zwar trägt nach allgemeinen Grundsätzen derjenige, der einen Anspruch aus Art. 82 DS-GVO geltend macht, grds. die volle Darlegungs- und Beweislast für die anspruchsbegründenden Tatsachen, dh auch für die eigene Betroffenheit von einem DS-GVO-Verstoß. Nach stRspr ist es jedoch in bestimmten Fällen Sache der Gegenpartei, sich iRd ihr nach § 138 Abs. 2 ZPO obliegenden Erklärungspflicht zu den Behauptungen der beweispflichtigen Partei substantiiert zu äußern. Eine sekundäre Darlegungslast trifft den Prozessgegner der primär darlegungsbelasteten Partei insbesondere dann, wenn diese keine nähere Kenntnis der maßgeblichen Umstände und auch keine Möglichkeit zur weiteren Sachaufklärung hat, während der Bestreitende alle wesentlichen Tatsachen kennt und es ihm unschwer möglich und zumutbar ist, nähere Angaben zu machen. Genügt der Anspruchsgegner seiner sekundären Darlegungslast nicht, gilt die Behauptung des Anspruchstellers nach § 138 Abs. 3 ZPO als zugestanden. Die Bekl. hat als Verantwortliche gegen mehrere Vorschriften der DS-GVO verstoßen. Sie hat sich nicht exkulpieren können. Der Maßstab für Verstöße gegen die DS-GVO iSd Art. 82 Abs. 1 DS-GVO ist weit zu fassen. Es kommen materielle wie formelle Verstöße in Betracht. Auch ist nicht allein auf die Datenverarbeitung abzustellen, sondern sämtliche Maßnahmen, so auch Vorbereitungsmaßnahmen, können einen entsprechenden Anspruch begründen. Dies ergibt sich aus dem Wortlaut des Art. 82 Abs. 1 DS-GVO selbst, der allgemein von „Verstoß gegen die DS-GVO“ spricht und damit jeglichen Verstoß einschließt. Etwas anderes folgt nicht etwa aus Erwägungsgrund 146 S. 1 DS-GVO. Soweit dort von Schäden, die einer Person aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht, die Rede ist, ist dies nicht etwa dahingehend aufzufassen, dass nur Verstöße bei der Verarbeitung von Daten im engeren Sinne gemeint sind. Dies widerspräche dem in Art. 1 Abs. 2 DS-GVO postulierten Ziel der Verordnung, die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten zu schützen. Vielmehr bezieht sich die gesamte DS-GVO auf die Verarbeitung von Daten und stellt Regeln auf, die bei der dem sachlichen Anwendungsbereich gemäß Art. 2 unterfallenden Datenverarbeitung einzuhalten sind. Der EuGH hat aus der Rechenschaftspflicht aus Art. 5 Abs. 2 DS-GVO nunmehr dem Verantwortlichen ausdrücklich die Darlegungs- und Beweislast für die Rechtsmäßigkeit der Datenverarbeitung gem. Art. 6 Abs. 1 DS-GVO auferlegt. Eine Eingrenzung folgt auch nicht aus dem Wortlaut von Art. 82 Abs. 2-5 DS-GVO dadurch, dass diese jeweils wörtlich auf die Verarbeitung abstellen. Diese Absätze des Art. 82 DS-GVO dienen lediglich der Abgrenzung der Haftung mehrerer Anspruchsgegner im Innenverhältnis, weil dort auf die die Auftragsverarbeiter betreffenden Pflichten abgestellt wird und nicht auf die durch sie getätigten Verarbeitungsschritte. Auch, dass die letztliche Haftung bei mehreren Anspruchsgegnern von der Verantwortlichkeit für den jeweils verletzten Umstand abhängt, Art. 82 Abs. 3 DS-GVO, also erneut nicht auf eine konkrete Verarbeitungstätigkeit abgestellt wird, spricht gegen eine Eingrenzung des Art. 82 Abs. 1 DS-GVO. Auch die englische und französische Sprachfassung verwenden entsprechende Formulierungen in den jeweiligen Absätzen. Vor diesem Hintergrund sind die wörtlichen Bezüge „durch eine Verarbeitung“ in Absatz 2 sowie „aufgrund einer Verarbeitung“ so zu verstehen, dass diese lediglich auf einen Bezug zu einer Verarbeitung deuten. Das ist auch schon deswegen konsequent, weil die Anwendung der DS-GVO selbst eine Verarbeitung voraussetzt, Art. 2 Abs. 1 DS-GVO. Keine Vorschrift der DS-GVO inkl. des Art. 82 Abs. 1 DS-GVO ist überhaupt anwendbar, solange überhaupt gar keine Verarbeitung stattfindet. In diesem Verständnis ist es aber auch nur konsequent, dass diese vorhergehenden und nachfolgenden Pflichten der DS-GVO in Bezug auf eine Verarbeitung die Schadensersatzpflicht ebenso auslösen. Diese Auslegung entspricht auch dem in Art. 1 Abs. 2 DS-GVO postulierten Ziel, die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten zu schützen. Die Bekl. hat gegen die Verpflichtung gem. Art. 24, 32, 5 Abs. 1 lit. f DS-GVO, die Sicherheit der Verarbeitung zu gewährleisten, verstoßen. Ob die Bekl. dem vorgerichtlichen Auskunftsersuchen der Klägerseite über ihre personenbezogenen Daten nicht in ausreichendem Maße nachgekommen ist und dadurch gegen Art. 15 DS-GVO verstoßen hat, kann ebenfalls dahinstehen. Denn die Ungewissheit über die Verarbeitung der eigenen Daten deckt sich mit dem Schaden durch den eigentlichen Verstoß. Ein eigenständiger Schadensersatzanspruch aufgrund einer Verletzung der Auskunftspflicht kommt nur in Betracht, wenn die fehlende Auskunft einen Schaden zumindest verschärft hat. Dies ist hier nicht zu erkennen, weil die Klagepartei nicht ansatzweise darlegt, welche Schritte sie bei einer ausreichenden Auskunft vorgenommen hätte und wie das einen Schaden vermindert hätte. Die Bekl. kann sich nicht gemäß Art. 82 Abs. 3 DS-GVO, der das Verschulden widerleglich vermutet, exkulpieren. Soweit in der Vorschrift von der Verantwortlichkeit für den Schaden die Rede ist, ist dies iSv Verschulden aufzufassen. Art. 82 Abs. 3 DS-GVO ordnet eine Beweislastumkehr hinsichtlich des Verschuldens an. Der Anspruchsverpflichtete kann sich daher nur entlasten, indem er beweist, dass er die am Maßstab des Stands der Technik und im Verkehr, dh am allgemeinen Schutzinteresse orientierte, erforderliche Sorgfalt iSv § 276 Abs. 2 BGB angewendet hat. Im streitgegenständlichen Fall ist das Gericht davon überzeugt, dass dem Kl. nach Maßgabe dessen ein kausal auf die Verstöße der Bekl. zurückzuführender immaterieller Schaden zugefügt wurde. Bei der Bestimmung des von der Klagepartei in das Ermessen des Gerichts gestellten Höhe des Schadensersatzes gem. § 287 Abs. 1 S. 1 ZPO sind alle Umstände des Einzelfalls zu würdigen. Die Kriterien des Art. 83 Abs. 2 DS-GVO, die Anhaltspunkte für die Höhe der von der Aufsichtsbehörde zu verhängenden Geldbuße geben sollen, können auch für die Bemessung des immateriellen Schadensersatzes herangezogen werden. Der Klagepartei steht der mit dem Klageantrag Ziff. 2 geltend gemachte Schadensersatzanspruch ggü. der Bekl. nicht zu. Ein solcher Anspruch ergibt sich im vorliegenden Fall nicht aus Art. 82 Abs. 1 DS-GVO iVm Art. 15 DS-GVO, da die Klagepartei einen eingetretenen Schaden nicht dargelegt hat. Insb. wurde nicht vorgetragen, was eine frühere Auskunft der Bekl. nach Art. 15 DS-GVO konkret an dem Schaden der Klagepartei geändert hätte. Die Klagepartei hat gem. Art. 82 DS-GVO auch Anspruch auf Feststellung der Ersatzpflicht der Bekl. für materielle Schäden, die aus dem von der Bekl. nach dem Gesagten mitzuverantwortenden Scraping-Vorfall / Zugriff auf das Datenarchiv der Bekl. ggf. entstanden sind oder noch entstehen werden. Die Klagepartei kann von der Bekl. verlangen, dass sie die Klagepartei von vorgerichtlichen Rechtsanwaltskosten freistellt. Die vorgerichtlichen Rechtsanwaltskosten sind als Teil des zu ersetzenden Schadens gem. Art. 82 Abs. 1 DS-GVO zu erstatten. Aufgrund der Schwierigkeit der Sach- und Rechtslage war die Hinzuziehung eines Rechtsanwalts zur effektiven Durchsetzung der klägerischen Ansprüche erforderlich und notwendig. Unter Zugrundelegung des Wertes des berechtigten Verlangens der Klagepartei von 1.100 EUR (100 EUR immaterieller Schadensersatz, 500 EUR Feststellungsantrag plus – vorgerichtlich noch berechtigt – 500 EUR Auskunft) zum Zeitpunkt der außergerichtlichen Tätigkeit führt dies zu berechtigten außergerichtlichen Kosten iHv 220,27 EUR (1,3-fache Geschäftsgebühr nebst Pauschale nach Nr. 7002 VV RVG zzgl. 19 % MwSt. aus Gegenstandswert 1.100 EUR). Die beantragten Zinsen seit Rechtshängigkeit stehen der Klagepartei indes nicht zu, weil der Freistellungsanspruch keine Geldschuld iSV § 291 S. 1 BGB ist. |
NEU LG Dortmund Urt. v. 24.1.2024 – 3 O 37/23 | 0 EUR Ein Anspruch des Kl. auf Zahlung eines immateriellen Schadensersatzes ergibt sich nicht aus Art. 82 Abs. 1 DS-GVO. Es kann letztlich dahingestellt bleiben, ob der Bekl. Verstöße gegen die Bestimmungen der DS-GVO anzulasten sind, insb. ob die Bekl., die die Darlegungslast dahin trifft, die betroffenen personenbezogenen Daten des Kl. entsprechend der DS-GVO verarbeitet zu haben, namentlich Verstöße gegen Art. 5 Abs. 1 lit. a und Art. 6 Abs. 1 UAbs. 1 DS-GVO, gegen Art. 5 Abs. 1 lit. b und Art. 25 Abs. 1 u. Abs. 2 DS-GVO sowie gegen Art. 5 Abs. 1 lit. f und Art. 32 DS-GVO konkret ausgeräumt hat. Jedenfalls mangelt es an einem ersatzfähigen Schaden des Kl. iSd Art. 82 Abs. 1 DS-GVO. Ein auf die – möglichen – Verstöße zurückzuführender immaterieller Schaden ist bereits nicht hinreichend dargelegt. Der Kl. hat zu seinem individuellen immateriellen Schaden keinerlei konkreten Vortrag gehalten. Der bemühte Kontrollverlust allein oder die Auflistung generell-abstrakter Gefahren ohne Darlegung persönlicher und/oder psychologischer Beeinträchtigungen genügen nicht. Eine persönliche Anhörung des Kl. musste vor diesem Hintergrund schon nicht erfolgen. Auch ist nicht hinreichend dargelegt, dass die behaupteten Kontaktversuche auf das streitgegenständliche Scraping zurückzuführen sind. Der Eintritt des Schadens muss nach allgemeinen Grundsätzen (§ 287 ZPO) als überwiegend wahrscheinlich dargetan werden. Dabei kann offenbleiben, wie der Schadensbegriff des Art. 82 Abs. 1 DS-GVO konkret zu verstehen ist; denn es ist es dem Kl. bereits nicht gelungen, jedweden Ansatzpunkt für einen ersatzfähigen Schaden hinreichend konkret darzulegen. Nur hilfsweise sei bemerkt, dass der Klageantrag zu Ziff. 5. auf Zahlung vorgerichtlicher Rechtsanwaltskosten auch unbegründet wäre. Ein solcher Anspruch ergibt sich weder aus § 280 Abs. 1 BGB noch aus Art. 82 Abs. 1 DS-GVO, da es in der Hauptsache bereits an einem Anspruch mangelt. Aus demselben Grund besteht auch kein Zinsanspruch des Kl. aus § 291 BGB. Das zwischenzeitlich ergangene Urteil des EuGH v. 14.12.2023 – C-340/21 [= ZD 2024, 150 mAnm Ligocki/Sosna = MMR 2024, 231 mAnm Kohl/Rothkegel]) gibt dem Gericht keine Veranlassung zur Aufgabe seiner Rechtsauffassung, dass iRe Anspruchs aus Art. 82 DS-GVO ein mit einer unrechtmäßigen Datenverarbeitung als negative Folge einhergehender Kontrollverlust als solcher die Annahme eines immateriellen Schadens nicht trägt. |
LG Stuttgart Urt. v. 24.1.2024 – 27 O 92/23 = ZD 2024, 348 mAnm Splittgerber/Berchtold | 0 EUR Der von der Kl. geltend gemachte Schadensersatzanspruch gem. Art. 82 DS-GVO setzt zunächst voraus, dass eine Verletzung des Schutzes personenbezogener Daten der Kl. vorgelegen hat. Dies erfordert, dass der Twitter-Account der Kl. von dem API-Bug betroffen gewesen ist, wobei ihre Betroffenheit von der Kl. zur vollen Überzeugung des Gerichts nachzuweisen ist (§ 286 ZPO). Diesen Nachweis hat die Kl. nicht geführt. Der Beweisantritt der Kl. besteht darin, dass die von dem australischen Sicherheitsforscher Tony Hunt betriebene Internetplattform https:///haveibeenpwned.com unter Eingabe der E-Mail-Adresse der Kl. ihre Betroffenheit ausweise. Dem Beweisangebot der Kl., diese Internetseite in Augenschein zu nehmen und die E-Mail-Adresse a[…]@aol.com einzugeben, ist das Gericht nachgegangen, wie in der mündlichen Verhandlung erörtert worden ist. Es trifft demnach zu, dass die Internetseite https:///haveibeenpwned.com die Betroffenheit der Kl. von dem API-Bug bei Twitter ausweist, was die Bekl. auch nicht ausdrücklich bestritten hat. Hieraus ergibt sich aber nicht der Vollbeweis, dass die Angaben auf der Internetseite https:///haveibeenpwned.com zutreffend sind und die Kl. von dem API-Bug tatsächlich betroffen ist. Soweit die Kl. immateriellen Schadensersatz wegen verzögerter Auskunftserteilung verlangt, ist ein solcher Anspruch schon nicht schlüssig vorgetragen. Selbst wenn zugunsten der Kl. unterstellt wird, dass ihr gegen die Bekl. ein Auskunftsanspruch aus Art. 15 DS-GVO zugestanden hat, die Bekl. mit der Auskunftserteilung in Verzug geraten ist und die Vorschrift des Art. 82 Abs. 1 DS-GVO auch den Verzugsschaden wegen verzögerter Auskunftserteilung erfasst, ist jedenfalls ein Schaden der Kl., der gerade auf die unterbliebene Auskunftserteilung zurückgeht, nicht dargelegt. Die Kl. begründet ihren immateriellen Schaden allein mit der Lästigkeit des erhöhten Spamaufkommens sowie der Sorge um die Sicherheit ihrer Daten. Dieser immaterielle Schaden ist nach dem Vorbringen der Kl. durch das von Hackern ausgenutzte Datenleck bei Twitter entstanden. Dass neben diesem immateriellen Schaden ein abgrenzbarer anderer immaterieller Schaden durch die verzögerte Auskunftserteilung entstanden wäre, ist weder schlüssig vorgetragen noch ersichtlich. |
NEU LG Ravensburg Urt. v. 11.1.2024 – 4 O 271/23 | 0 EUR Da die Bekl. nicht gegen die DS-GVO verstoßen hat und die Datenverarbeitung auch sonst rechtmäßig ist scheidet ein Anspruch des Kl. auf Schadensersatz nach Art. 82 Abs. 1 DS-GVO aus. |
Amtsgerichte | |
NEU AG Lörrach Urt. v. 5.2.2024 – 3 C 661/23 | 713,76 EUR Der Kl. hat gegen die Bekl. einen Anspruch auf Schadensersatz in Höhe seiner vorgerichtlichen Anwaltskosten iHv 713,76 EUR. Dieser Anspruch richtet sich nach § 257 BGB auf Freistellung. Der Anspruch gründet für verschiedene Streitgegenstände auf verschiedenen Anspruchsgrundlagen. Hinsichtlich der Rechtsanwaltsgebühren ist der Streitwert aber einheitlich zu bestimmen, woraus sich die Schadenshöhe ergibt. Wegen der vorgerichtlichen Aufforderung zur Datenauskunft nach Art. 15 DS-GVO hat der Kl. gegen die Bekl. einen Anspruch auf Ersatz der vorgerichtlichen Anwaltskosten aus Art. 82 DS-GVO. Die Bekl. hat gegen Art. 6 DS-GVO verstoßen, indem sie die personenbezogenen Daten des Kl. ohne Rechtfertigung verarbeitet hat. Die Bekl. erhielt die Daten des Kl. ohne sein Wissen und Wollen. Die erlangten Daten benutzte die Bekl., um den Kl. anzurufen und einen Vertragsschluss anzubieten. Die Telefondaten und die Personalien des Kl. sind personenbezogene Daten nach Art. 4 Ziff. 1 DS-GVO. Indem die Bekl. die Daten erhalten hat und bei sich selbst gespeichert hat, liegt eine Verarbeitung nach Art. 4 Ziff. 2 DS-GVO vor. Die Daten wurden anschließend für den Anruf und die Vertragsanbahnung verwendet, womit eine weitere Verarbeitung vorliegt. Solch eine Verarbeitung ist nur unter den Voraussetzungen des Art. 6 Abs. 1 DS-GVO rechtmäßig. Die Bekl. hat keinen Fall davon vorgetragen. Insb. hat sie nicht vorgetragen, dass der Kl. zu solch einer Verarbeitung zugestimmt hat. Soweit in der mündlichen Verhandlung erörtert wurde, woher die Bekl. die Daten hat und der Sohn des Kl. informatorisch angehört wurde, konnte er nicht bestätigen, dass er ggü. der a. GmbH eine Einwilligung erteilt hat. Es ist auch nicht ersichtlich, dass unter einer Abwägung der Interessen die Verarbeitung gerechtfertigt war (Art. 6 Abs. 1 lit. f DS-GVO). Damit liegt ein Verstoß gegen eine konkrete Datenschutzbestimmung vor. Es kommt also nicht darauf an, ob auch anderweitige Verstöße ausreichen. Soweit auch die a. GmbH für die rechtswidrige Verarbeitung der personenbezogenen Daten verantwortlich war, ändert dies nichts daran, dass die Bekl. nach Art. 82 Abs. 4 DS-GVO auch alleine für den gesamten Schaden haftet. Die Bekl. konnte sich auch nicht nach Art. 82 Abs. 3 DS-GVO exkulpieren, weil die Bekl. sowohl für die Speicherung als auch für die Verwendung selbst verantwortlich ist. Als Schaden kann der Kl. die vorgerichtlichen Anwaltskosten für die Geltendmachung des Anspruchs aus Art. 15 DS-GVO geltend machen. Hinsichtlich der Schadenshöhe hat der EuGH festgestellt, dass sich dieser grds. nach den nationalen Vorschriften ergibt. Dies darf allerdings nicht gegen die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität verstoßen. Dahingehend ist zu berücksichtigen, dass die DS-GVO einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden sicherstellen soll. Damit ist kein Strafschadensersatz gefordert. Allerdings erfordert Sinn und Zweck der DS-GVO eine weite Auslegung des Schadensbegriffs. Hinsichtlich entstandener Rechtsanwaltskosten ist es iRv § 249 BGB anerkannt, dass diese ersetzt werden müssen, wenn man sich vorprozessual anwaltlicher Hilfe bedient hat, um einen Schadensersatzanspruch geltend zu machen. Der Kl. macht aber Rechtsanwaltskosten geltend, weil er sich zur Durchsetzung seines Anspruchs aus Art. 15 DS-GVO eines Anwalts bedient hat, was keinen Schadensersatzanspruch beinhaltet. Ein Schaden müsste sich damit aus den allgemeinen Grundsätzen der §§ 249 ff. BGB ergeben. Nach der Differenzhypothese sind die Güterlagen mit und ohne schädigendes Ereignis zu bewerten. Danach kann ein Schaden angenommen werden, weil das schädigende Ereignis die Erlangung der Daten durch die Bekl. und deren Verwendung ist. Ohne dieses Ereignis, hätte der Kl. niemals einen Anspruch aus Art. 15 DS-GVO geltend machen wollen. Die Beauftragung eines Anwalts geschah nach dem schädigenden Ereignis und basiert auf einem eigenen Willensentschluss des Kl. Es handelt sich aber trotzdem um einen unfreiwilligen Schaden und keine Aufwendung als freiwilliges Vermögensopfer. Ein Schaden bei freiwilligen Vermögensopfern liegt vor, wenn sie aus Sicht eines verständigen Menschen in der Lage des Geschädigten erforderlich sind, um die Folgen einer Rechtsgutsverletzung zu beseitigen. Das ist vorliegend der Fall. Die Rechtsgutsverletzung ist die rechtswidrige Datenverarbeitung. Für den Kl. war es erforderlich, zunächst das Ausmaß dieser Rechtsgutsverletzung in Erfahrung zu bringen, um sich anschließend um die Schadensbehebung zu bemühen. Für die Durchsetzung des Anspruches aus Art. 15 DS-GVO war auch die Einschaltung eines Anwalts erforderlich. Dem Kl. war es nicht nach § 254 BGB zuzumuten den Anspruch selbst zu verfolgen. Es kann nicht erwartet werden, dass ein juristischer Laie die Regelungen und Ansprüche aus der DS-GVO kennt, um diese selbst durchzusetzen. Auch in der Lit. wird angenommen, dass vorgerichtliche Anwaltskosten ein Schaden sein können. Auch in der Rspr. wird dies angenommen. Da ein Schaden nach deutschem Recht angenommen werden kann, liegt auch kein Verstoß gegen die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität vor, da einer weiten Auslegung von Art. 82 DS-GVO Rechnung getragen wird. Die Rechtsfrage ist auch nicht dem EuGH im Wege eines Vorabentscheidungsverfahrens vorzulegen. In der zitierten Entscheidung hat er bereits explizit entschieden, dass für die Schadenshöhe das nationale Recht anwendbar ist, dies aber nicht gegen die eigenständigen Anforderungen von Art. 82 DS-GVO verstoßen darf. Diese Grundsätze wurden hier beachtet. Eine weitergehende Auslegung von EU-Recht noch ungeklärter Fragen ist nicht veranlasst. |
NEU AG Goslar Urt. v. 22.1.2024 – 28 C 7/19 | 25 EUR Der Kl. hat einen Anspruch auf Zahlung von 25 EUR gegen den Bekl. aus Art. 82 Abs. 1 DS-GVO. Zwar ist der Antrag des Kl. auf die Zahlung eines angemessenen Schmerzensgeldes gerichtet, jedoch stützt der Kl. seinen Anspruch auf Art. 82 DS-GVO, eine Norm des europäischen Rechts. Maßgeblich sind damit nicht die deutschen Begrifflichkeiten, sondern die des europäischen Rechts bzw. die der DS-GVO. Der Begriff „Schmerzensgeld" findet jedoch in Art. 82 DS-GVO und auch den übrigen Normen der DS-GVO keine Verwendung. Art. 82 Abs. 1 DS-GVO normiert lediglich einen „Anspruch auf Schadensersatz" für jede Person, der wegen eines Verstoßes gegen die DS-GVO „ein materieller oder immaterieller Schaden" entstanden ist. Der Antrag des Kl. ist daher im Lichte dieses auf die DS-GVO gestützten Anspruchsbegehrens des Kl. auszulegen und dahin zu verstehen, dass er die Zahlung von Schadensersatz begehrt. Nach Auslegung des Begehrens des Kl. in diesem Lichte steht dem Kl. nach Überzeugung des Gerichts ein Schadensersatzanspruch gem. Art. 82 Abs. 1 DS-GVO iHv 25 EUR zu. Dem Kl. ist dadurch ein Schaden entständen, dass er sich mit den unerwünschten Werbemails der Bekl. auseinandersetzen, sich um eine Auskunft von der Bekl. mittels eines Schreibens bemühen und die unerwünschte E-Mail löschen musste. Eine den Kl. beeinträchtigende Außenwirkung des Verstoßes iSd Gefahr einer Schädigung des Ansehens oder Berufs oder einer diskriminierenden Wirkung ggü. Dritten ist dagegen nicht ersichtlich. |
Landesarbeitsgerichte | |
NEU LAG Rheinland-Pfalz Urt. v. 8.2.2024 – 5 Sa 154/23 | 0 EUR Die Kl. hat keinen Anspruch auf immateriellen Schadensersatz nach Art. 82 Abs. 1 DS-GVO, weil die Bekl. ihrem Auskunftsverlangen nach Art. 15 Abs. 1 DS-GVO nicht innerhalb der Monatsfrist des Art. 12 Abs. 3 S. 1 DS-GVO nachgekommen ist. Ein Schadensersatzanspruch folgt auch nicht daraus, dass die Bekl. der Kl. die nach § 15 Abs. 3 S. 1 DS-GVO geforderte Datenkopie nicht bereits mit ihrer Auskunft zur Verfügung gestellt hat. Die nicht fristgerechte Auskunftserteilung allein, führt zu keinem immateriellen Schadensersatzanspruch. Die Berufungskammer teilt die Rechtsansicht anderer Landesarbeitsgerichte, dass der bloße Verstoß gegen die Vorgaben der DS-GVO nicht genügt, um einen Schadensersatzanspruch gem. Art. 82 Abs. 1 DS-GVO zu begründen. Dafür spricht der Wortlaut des Art. 82 Abs. 1 DS-GVO, wonach Personen, denen materieller oder immaterieller „Schaden“ entstanden ist, Anspruch auf Schadensersatz haben. Zwar soll nach Erwägungsgrund 146 S. 3 DS-GVO der Begriff des Schadens im Lichte der Rspr. des EuGH auf eine Art und Weise weit ausgelegt werden, die den Zielen der DS-GVO in vollem Umfang entspricht. Ein weites Verständnis des Schadensbegriffs bedeutet aber nicht, dass vom Vorliegen eines konkreten Schadens gänzlich abzusehen ist. Verspätete Auskünfte an eine Person gem. Art. 15 Abs. 1 DS-GVO als solche sind somit nicht haftungsauslösend. Der von der Kl. angeführte „Kontrollverlust“ über ihre personenbezogenen Daten stellt keinen ersatzfähigen immateriellen Schaden dar Im Streitfall ist zudem nicht erkennbar, worin der „Kontrollverlust“ der Kl. bestanden haben soll. Die Bekl. weist zutreffend darauf hin, dass die Daten der Kl. nicht „außer Kontrolle“ geraten seien, sondern für Zwecke des Beschäftigungsverhältnisses verarbeitet wurden, § 26 BDSG. Hierauf kann sich die Bekl. – entgegen der Ansicht der Kl. – im Berufungsverfahren berufen. Die Rüge einer „Verspätung möglicher Verteidigungshandlungen“ ist rechtlich nicht tragfähig. Es stellt auch keinen ersatzfähigen immateriellen Schaden dar, dass sich die Kl. über die nicht fristgerechte Antwort der Bekl. auf ihr Auskunftsverlangen geärgert hat. „Bloßer Ärger“ des Betroffenen genügt genauso wenig wie das „bloße Warten“ auf die Auskunft, um einen immateriellen Schaden annehmen zu können. Dieses Auslegungsergebnis steht im Einklang mit der Rspr. des EuGH, der in seinem Urt. v. 4.5.2023 – C-300/21 [= ZD 2023, 446 mAnm Mekat/Ligocki] – Österreichische Post) betont hat, dass ein Schadensersatzanspruch das Vorliegen eines „Schadens“ erfordere. Der bloße Verstoß gegen die DS-GVO reiche daher nicht aus, um einen Schadensersatzanspruch der betroffenen Person zu begründen. Ein Schadensersatzanspruch hänge zwar nicht davon ab, dass der betreffende Schaden eine gewisse Erheblichkeit erreiche. Das bedeute allerdings nicht, dass eine Person, die von einem Verstoß gegen die DS-GVO betroffen sei, der für sie negative Folgen gehabt habe, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden iSv Art. 82 DS-GVO darstellen. Im Streitfall ist es der Kl. nicht gelungen, einen durch die verzögerte Auskunftserteilung entstandenen immateriellen Schaden iSd Norm darzulegen. Die Kl. macht geltend, dass das Arbeitsverhältnis seit Jahren belastet sei; sie bezieht sich auf ihre Ausführungen im weiteren Rechtsstreit ArbG Mainz Urt. v. 1.6.2023 – 6 Ca 738/22 – (LAG Rheinland-Pfalz Urt. v. 8.2.2024 – 5 Sa 155/23). Dort verlangt sie von der Bekl. u. a. ein angemessenes Schmerzensgeld von mind. 30.000 EUR wegen Benachteiligung und Mobbings. Die um 18 Tage verspätete Antwort der Bekl. auf ihr Auskunftsbegehren betrachtet die Kl. als einen weiteren „Baustein“, um sie in ihrer Ehre und ihrer Persönlichkeit zu verletzen. Die Bekl. habe ihr das „klare Signal“ übermittelt, dass man sich mit ihren Anliegen nicht beschäftige, und wenn, nur unzureichend, unvollständig und nicht fristgerecht. Damit hat die Kl. keinen kausalen Schaden durch die verspätete Auskunftserteilung dargelegt. Dasselbe gilt, soweit sie auf die zwei Abmahnungen der Bekl. mit Datum v. 29.6.2022 abhebt. Es ist objektiv nicht nachvollziehbar, weshalb die nach Art. 12 Abs. 3 S. 1 DS-GVO um 18 Tage verspätete Antwort der Bekl. auf ein Auskunftsbegehren, das sich im reinen Wortlaut des Art. 15 Abs. 1 Hs. 2 DS-GVO erschöpfte, zu einer „Demütigung “ der Kl. geführt haben könnte. Auch eine Verletzung der Ehre oder des Persönlichkeitsrechts der Kl. ist bei der gebotenen objektiven Betrachtungsweise, dh ohne Rücksicht auf das subjektive Empfinden der Kl., nicht erkennbar. Soweit die Kl. geltend macht, sie sei wegen der psychischen Belastung, ausgelöst durch die nicht fristgerechte Auskunft der Bekl., in der Zeit v. 12.7. bis 14.9.2002 arbeitsunfähig erkrankt, ist ein Kausalzusammenhang nicht gegeben. Die Bekl. ist nicht zum Schadensersatz verpflichtet, weil sie der Kl. nicht bereits mit der erteilten Auskunft v. 30.8.2022 die geforderte Datenkopie nach Art. 15 Abs. 3 S. 1 DS-GVO zur Verfügung gestellt hat. Es fehlt bereits an einer Pflichtverletzung der Bekl. Die Kl. hat sich in ihrem schriftlichen Auskunftsbegehren v. 13.7.2022 auf eine bloße Wiederholung des Normwortlauts des Art. 15 Abs. 1 Hs. 2 DS-GVO beschränkt. Ansonsten hat sie – unbestimmt – verlangt, ihr eine Kopie ihrer personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung zu stellen. Dies genügt für einen Anspruch aus Art. 15 Abs. 3 S. 1 DS-GVO grds. nicht. Die bloße Wiederholung des Wortlauts der Norm lässt nicht erkennen, von welchen personenbezogenen Daten eine Kopie verlangt wird. Erst wenn die geforderte Auskunft vorliegt, kann die betroffene Person beschreiben, von welchen konkret verarbeiteten personenbezogenen Daten eine Kopie verlangt wird. |
Arbeitsgerichte | |
NEU ArbG Mainz Urt. v. 8.4.2024 – 8 Ca 1474/23 | 5.000 EUR Der Kl. hat einen Anspruch auf den begehrten Schadensersatz aus Art. 82 Abs. 1 iVm Art. 15 DS-GVO. Der Kl. hatte ein Recht auf Erteilung der in Art. 15 Abs. 1 lit. a bis h DS-GVO genannten Informationen, welcher zunächst nicht erfüllt wurde. Die Nennung einer E-Mail-Adresse, über welche man die fraglichen Auskünfte erhalten könne, ersetzt nicht die Erteilung derselben. Der dem Kl. entstandene „Schaden“ ist zwar schwindend gering, gleichwohl hält die Kammer die begehrten 5.000 EUR für einen angemessenen Betrag, weil Verfahren der vorliegenden Art auch eine präventive Funktion haben sollen. Datenschutzrechtliche Bestimmungen werden nicht ernst genommen, wenn ein Verstoß gegen sie keine empfindlichen Folgen zeitigt. Es kommt also weniger darauf an, wie sehr der Kl. „gelitten“ hat, als vielmehr darauf, bei welchem Betrag ein entsprechender Leidensdruck bei der Bekl. entsteht. Diese Erwägungen ergeben sich auch aus Art. 83 DS-GVO für die Verhängung von Geldbußen, der an mehreren Stellen auf den Jahresumsatz eines Unternehmens abstellt. Auch ein Zivilprozess der vorliegenden Art dient der Aufrechterhaltung der Rechtsordnung, ganz wie es Rudolf von Jhering bereits 1872 in seiner Schrift „Der Kampf ums Recht“ formulierte: „Wer sein Recht behauptet, verteidigt innerhalb des engen Raumes desselben das Recht. Das Interesse und die Folgen dieser seiner Handlungsweise gehen daher über seine Person weit hinaus. Das allgemeine Interesse, welches sich an sie knüpft, ist nicht bloß das Ideale, dass die Autorität und Majestät des Gesetzes sich behaupte, sondern es ist das sehr reale, höchst praktische, welches jedem fühlbar wird, und das jeder begreift, der für ersteres auch nicht das geringste Verständnis besitzt, nämlich dies, dass die feste Ordnung des Verkehrslebens an der jeder zu seinem Teil interessiert ist, gesichert und aufrechterhalten werde.“ |
NEU ArbG Düsseldorf Urt. v. 15.2.2024 – 2 Ca 4416/23 | 0 EUR Ein Anspruch auf eine Geldentschädigung folgt nicht aus Art. 82 Abs. 1 DS-GVO. Auf die Frage, ob Art. 82 Abs. 1 DS-GVO auf haftungsbegründender Ebene lediglich einen Verordnungsverstoß oder einen Verarbeitungsverstoß erfordert und ob die Berufung des Kl. auf einen Verordnungsverstoß rechtsmissbräuchlich ist, kommt es für den streitgegenständlichen Anspruch nicht an. Der in Art. 82 Abs. 1 DS-GVO vorgesehene Schadensersatzanspruch soll (anders als verschiedene deutsche Gerichte bislang angenommen haben) keine abschreckende Wirkung haben oder gar Straffunktionen erfüllen, sondern als echter Schadensersatzanspruch lediglich eine Ausgleichsfunktion haben. Es geht daher bei Art. 82 Abs. 1 DS-GVO nicht um einen Strafschadensersatz für einen objektiven Verstoß gegen Datenschutzbestimmungen. Der Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO setzt, so bestätigte der EuGH zuletzt seine bisherige Rspr., daher neben einem Rechtsverstoß auch einen kausalen Schaden voraus. Der bloße Verstoß gegen die Bestimmungen der DS-GVO reicht daher nicht aus, um einen Schadensersatzanspruch zu begründen. Vielmehr muss es zusätzlich zu negativen Folgen für den Betroffenen gekommen sein, die einen Schaden darstellen. Dabei betont der EuGH zuletzt mehrfach, dass der Begriff „Schaden“ dabei keine Erheblichkeitsschwelle bzw. Bagatellgrenze kennt. Ein Schaden sei ein Schaden, „so geringfügig er auch sein mag“. Auch „Angst“ bzw. „Befürchtungen“, dass es zu einem Missbrauch der betroffenen Daten kommen könnte, können potenziell Schäden iSv Art. 82 Abs.1 DS-GVO sein. Eine Person, die von einem Verstoß gegen die DS-GVO betroffen ist, der für sie nachteilige Folgen gehabt hat, muss jedoch den Nachweis erbringen, dass diese Folgen einen immateriellen Schaden iSv Art. 82 DS-GVO darstellen. Denn „Befürchtungen“ sind nur dann ein Schaden iSv Art. 82 Abs. 1 DS-GVO, wenn sie „unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden“ können. Insb. muss das angerufene nationale Gericht, wenn sich eine Person, die auf dieser Grundlage Schadensersatz fordert, auf die Befürchtung beruft, dass ihre personenbezogenen Daten in Zukunft aufgrund eines solchen Verstoßes missbräuchlich verwendet werden, prüfen, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann. Ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten führt nicht zu einer Entschädigung. Daher obliegt es demjenigen, der eine auf Art. 82 Abs. 1 DS-GVO gestützte Schadensersatzklage erhebt, das Vorliegen eines solchen Schadens nachzuweisen. Dasselbe gilt auch für die erforderliche Konkretisierung eines Kontrollverlusts. Nachdem dies in den Instanzgerichten bisher unterschiedlich entschieden wurde, stellt der EuGH nun klar, dass es sich um eine hinreichend begründete und nachzuweisende Befürchtung handeln muss. Die letzten Entscheidungen des EuGH sind zwar umfangreich, lassen aber letztlich weiterhin die Frage offen, ab welchem Punkt ein negatives Gefühl in einen ersatzfähigen Schaden umschlägt. Der BGH hat diese Frage mit Beschl. v. 26.9.2023 zum EuGH vorgelegt und dabei darauf hingewiesen, dass „bloße negative Gefühle wie zum Beispiel Ärger, Unmut, Unzufriedenheit, Sorge und Angst, an sich Teil des allgemeinen Lebensrisikos und oft des täglichen Erlebens sind“. Das Verfahren ist beim EuGH unter dem Az. C-655/23 anhängig. Mehrere deutsche Instanzgerichte haben sich mit bereits mit der Frage befasst, welche Darlegungslast einen Kl. trifft, der einen nach einem Datenschutzverstoß entstandenen „Gefühlsschaden“ liquidieren will. Das OLG Hamm entschied, dass ein Kl. hierfür „Umstände darlegen muss, in denen sich seine erlebten Empfindungen widerspiegeln“. Außerdem muss „nach der Lebenserfahrung der Datenschutzverstoß mit seinen Folgen Auswirkungen auf das subjektive Empfinden“ haben. Der Auffassung des OLG Hamm haben sich das OLG Dresden, das OLG Köln und das OLG Stuttgart angeschlossen. Jedenfalls ergibt sich aus der letzten Entscheidung des EuGH v. 25.1.2024, dass es sich bei einem Schaden um eine hinreichend begründete und nachzuweisende Befürchtung handeln muss und die bloße Behauptung eines „Kontrollverlustes“ nicht ausreichend ist. Gemessen an diesen Voraussetzungen hat der Kl. die danach erforderlichen tatbestandlichen Voraussetzungen des Schadens und der Kausalität (zwischen Rechtsverstoß und Schaden) nicht hinreichend konkret dargelegt. Der Kl. beruft sich vornehmlich auf einen Kontrollverlust hinsichtlich seiner persönlichen Daten durch die nicht rechtzeitige Auskunftserteilung der Bekl. nach Art. 15 DS–GVO. Zwar kann auch ein bloßer Kontrollverlust aufgrund der nicht vorhandenen Erheblichkeitsschwelle einen Schaden iSv Art. 82 Abs. 1 DS-GVO darstellen. Da es sich bei dem Schaden jedoch um ein echtes Tatbestandsmerkmal handelt, kann es für eine Anspruchsgrundlage nicht ausreichen, den Kontrollverlust lediglich pauschal zu behaupten. Ein Tatbestandsmerkmal, das Rechtsfolgen auslöst, zeichnet sich dadurch aus, dass es bestimmte Voraussetzungen hat, die einer rechtlichen Überprüfung zugänglich sind. Daher genügt es nicht, nur einen Kontrollverlust anzuzeigen, ohne auf die konkreten Umstände einzugehen, wann dieser wie eingetreten ist und sich in welchem Umfang und bis zu welchem Zeitpunkt (nachgeholte Auskunftserteilung?) auswirkt. Die Darlegung der Voraussetzungen eines echten Tatbestandsmerkmals, das eine Rechtsfolge auslöst, erfordert mehr als bestimmte von der Rechtsprechung angeführte Beispielsfälle einfach nur zu zitieren. Denn dann würde der Anspruch auf einen Schadensersatzanspruch nach Art. 82 Abs. 1 DS–GVO allein davon abhängen, ob der jeweilige Kl. in der Lage ist, ein von der Rspr. genanntes Regelbeispiel für einen Schaden als Schlagwort aus den Urteilsgründen herauszukopieren oder abzuschreiben. Entgegen der vom Kl. im Termin zur mündlichen Verhandlung geäußerten Rechtsauffassung stellt sich die Rechtslage auch bei Verletzung des Auskunftsanspruchs nach Art. 15 Abs. 1 und 3 DS–GVO nicht anders da. Zwar ist offensichtlich, dass bis zu einer entsprechenden Auskunftserteilung die spätere Klagepartei keine Kenntnis von der Verwendung und Verarbeitung der überlassenen personenbezogenen Daten hat. Wenn es nicht gleichwohl der konkreten Darlegung eines Schadens und der Kausalität bedürfte, wäre der Verstoß gegen die Auskunftsverpflichtung aus Art. 15 DS–GVO stärker sanktioniert als gegen jede andere schwerwiegendere Verletzung nach demselben Regelwerk wie zum Beispiel die illegale Weitergabe persönlicher Daten an Dritte oder der unkontrollierte Verlust personenbezogener Daten. Der EuGH differenziert allerdings nicht zwischen den verschiedenen Rechtsverstößen gegen Vorschriften der DS-GVO. Daher bedarf es auch bei einer Verletzung der Auskunftspflicht nach Art. 15 DS-GVO der Darlegung aller Tatbestandsvoraussetzungen. Das Bedürfnis für eine Ausnahme ist nicht erkennbar. Im Ergebnis stellt ein bloßer, abstrakter Kontrollverlust des Kl. keinen konkreten immateriellen Schaden dar. Die Klage ist auch unbegründet, da der Kl. – was das Urteil als Begründung selbstständig trägt – keinen Beweis antritt. Der Kl. ist hinsichtlich der beiden Tatbestandsmerkmale, Schaden und Kausalität (zwischen Rechtsverstoß und Schaden) beweisfällig geblieben. |
NEU ArbG Hannover Urt. v. 23.1.2024 – 1 Ca 121/23 | 250 EUR Die Bekl. hat seine personenbezogenen Daten verarbeitet. Bei den — von dem Kl. iRd Bewerbungsverfahrens mitgeteilten — Bewerbungsunterlagen handelt es sich um personenbezogene Daten des Kl. iSv Art. 4 Ziff. 1 DS-GVO, denn die Informationen zu seinen persönlichen Daten wie Name, Kontaktdaten und beruflicher Werdegang beziehen sich auf ihn als identifizierte Person. Die Bekl. hat diese Daten verarbeitet iSv Art. 4 Ziff. 2 DS-GVO, denn sie hat sie erfasst und gespeichert. Damit haftet sie grds. als für die Verarbeitung dieser Daten verantwortliche Stelle, welche über die Zwecke und Mittel der Datenverarbeitung im Bewerbungsverfahren entscheidet (Art. 4 Ziff. 4 DSG-VO). Die Bekl. hat iSv Art. 82 Abs. 1 DS-GVO gegen die DS-GVO verstoßen. Als Verstoß in diesem Sinne kommt nach Auffassung der Kammer und anders als die Bekl. meint jeder Verstoß gegen die DS-GVO in Betracht und nicht lediglich solche Verstöße bei der Verarbeitung selbst. Daher kann auch ein Verstoß gegen die Auskunftspflicht und die Pflicht zur Erteilung einer Datenkopie gem. Art. 15 DS-GVO einen zum Schadensersatz verpflichtenden Verstoß darstellen. IÜ stellt die Auskunftserteilung eine Offenlegung durch Übermittlung dar und ist damit ihrerseits eine Datenverarbeitung iSv Art. 4 Ziff. 2 DS-GVO. Die Bekl. hat gegen Art. 15 Abs. 1d, Abs. 3 iVm Art. 12 Abs. 1 und Abs. 3 DS-GVO verstoßen. Der Kl. hat hierdurch einen immateriellen Schaden erlitten, denn er war nach seinem von der Bekl. nicht konkret bestrittenen und deshalb von der Kammer gemäß § 138 Abs. 3 ZPO zugrunde zulegendem Vortrag durch die nur unzureichend erteilte Auskunft massiv genervt. Dieser negative emotionale Zustand stellt nach Auffassung der Kammer einen (immateriellen) Schaden dar. Für den Schadensersatz kommt es nur darauf, ob ein von dem ihm zugrundeliegenden Verstoß zu unterscheidender, kausaler Schaden tatsächlich eingetreten ist, nicht auf dessen Erheblichkeit. Daher kann sich die Kammer nicht der Einschätzung der Bekl. anschließen, die bloße Verärgerung reiche nicht aus. Denn Ärger ist ein — wenngleich auch geringer – erlittener Nachteil. Wollte man bestimmte negative Emotionen ohne weitergehende Folgen von vornherein nicht als immaterielle Schäden gelten lassen, würde dies einer grds. nicht angezeigten Erheblichkeitsprüfung gleichkommen. Einen Schaden durch Kontrollverlust hat der Kl. demgegenüber nicht erlitten. Denn der Schaden muss sich von der bloßen Verletzung der Bestimmungen der DS-GVO unterscheiden. Bei einer nur verspäteten aber letztlich vollständigen Auskunft tritt jedoch über den Verstoß gegen die zeitlichen Vorgaben der DS-GVO für die Auskunftserteilung kein weitergehender Nachteil ein. Den Einwand es Rechtsmissbrauchs erachtet die Kammer nicht für durchgreifend. Allein aus dem Umstand, dass der Kl. in mehreren Fällen seine gesetzlichen Rechte nach der DS-GVO wahrnimmt und dass es ihm dabei im Falle der Bekl. auch um Kenntnis der Ablehnungsgründe ging, folgt noch kein rechtsmissbräuchliches Verhalten. Dass der Kl. den Kostendruck ausnutzt, um einen Vergleich zu erzielen, lässt sich angesichts seiner Ablehnung des gerichtlichen Vergleichsvorschlags nicht erkennen. Der Anspruch besteht jedoch nicht in Höhe des zuletzt von dem Kl. angegebenen Mindestbetrags von 2.000 EUR, sondern lediglich iHv 250 EUR. Bei der Bemessung dieses Betrags waren für die Kammer folgende Erwägungen maßgeblich: Anders als der Kl. meint, fällt der Bekl. hier kein schwerwiegender Verstoß zur Last. Sie hat den Anspruch des Kl. auf Erteilung einer Auskunft und Datenkopie im Ergebnis erschöpfend und vollständig erfüllt. Etwas anderes behauptet auch der Kl. nicht. Sie hat die Auskunft lediglich teilweise nicht unverzüglich bzw. innerhalb der Monatsfrist erteilt. Die Verspätung betraf zudem nur die konkret berechnete Löschfrist, die Bekl. hatte jedoch bereits mit der ersten, rechtzeitigen Auskunft erste Angaben hierzu, wenngleich auch nicht hinreichend transparent, gemacht. Ferner waren die dem Kl. übermittelten Datenkopien unvollständig. Beide noch fehlenden Informationen hat die Bekl. zwar nicht unverzüglich übermittelt. Jedoch hat sie andererseits die Auskunft auch nicht für einen erheblichen Zeitraum verzögert, sondern die Verspätung beschränkt sich bezogen auf den Zeitpunkt der ursprünglich erteilten, unvollständigen Auskunft auf einen verhältnismäßig kurzen Zeitraum von etwa drei Wochen. Damit einher geht, dass auch der von dem Kl. subjektiv empfundene Kontrollverlust nur über diesen Zeitraum von drei Wochen eingetreten ist. Das emotionale Ungemach, welches durch die verspätete Auskunfterteilung bei dem Kl. in Form eines massiven Genervtseins als einem negativen Gefühlszustand eingetreten ist, kann deshalb auch lediglich für diese Dauer bei der Bemessung des Entschädigungsanspruchs wegen der verspätet erteilten Auskunft berücksichtigt werden. Soweit der Kl. darüber hinaus aufgrund des mit dem vorliegenden Verfahren verbundenen Zeitaufwands genervt gewesen sein mag, werden derartige mit der Rechtsverfolgung ggf. einhergehende Zustände den Rechtsschutzsuchenden von der Zivilprozessordnung und dem Arbeitsgerichtsgesetz entschädigungslos zugemutet. Nach dem Verständnis der Kammer gebietet auch die DS-GVO keine andere Bewertung. Zwar kann auch das Verhalten bei der Schadensregulierung bei der Bemessung eines Schmerzensgeldes eine Rolle spielen. Jedoch vermag die Kammer in der von der Bekl. betriebenen Rechtsverteidigung mit vertretbaren und auch in der Lit. und Rspr. vertretenen Argumenten keinen die Erhöhung des zugesprochenen Betrages rechtfertigenden Umstand zu erkennen. Die Wirtschaftskraft der Bekl. war bei der Bemessung des Entschädigungsbetrags nicht zu berücksichtigen. Sie hat keinen Bezug zu dem von dem Kl. erlittenen Schaden. Der in Art. 82 Abs. 1 DS-GVO vorgesehene Schadensersatzanspruch hat lediglich eine Ausgleichsfunktion in Bezug auf den konkret aufgrund des Verstoßes erlittenen Schaden. Er erfüllt demgegenüber keine abschreckende oder Straffunktion. Der Höhe nach hat die Kammer sich hinsichtlich der der Bekl. allein zur Last zu legenden, teilweise verzögerten Auskunftserteilung an dem Urteil des LAG Niedersachen v. 22.10.2021 – 16 Sa 761/20 [= ZD 2022, 61)] Rn. 200) orientiert. Angesichts des genervten Zustandes des Kl., der nur für einen vergleichsweise kurzen Zeitraum durch die um etwa drei Wochen verspätete Auskunftserteilung verursacht worden sein kann, hält die Kammer bei Würdigung aller Gesamtumständen den Betrag von 250 EUR für angemessen und ausreichend, um dieses emotionale Ungemach des Kl. auszugleichen. |
Finanzgerichte | |
Verwaltungsgerichte | |
Sozialgerichte |