| Gericht | Schadensumfang und Begründung |
| EuGH | |
| NEU EuGH (8. Kammer) Urt. v. 4.10.2024 – C-507/23 = ZD 2025, 22 mAnm R. Schneider | 1. Art. 82 Abs. 1 DS-GVO ist iVm Art. 8 Abs. 1 GRCh dahin auszulegen, dass ein Verstoß gegen Bestimmungen dieser Verordnung für sich genommen nicht ausreicht, um einen „Schaden“ iSv Art. 82 Abs. 1 DS-GVO darzustellen.
2. Art. 82 Abs. 1 DS-GVO ist dahin auszulegen, dass eine Entschuldigung einen angemessenen Ersatz eines immateriellen Schadens auf der Grundlage dieser Bestimmung darstellen kann, insbesondere, wenn es nicht möglich ist, die Lage vor dem Eintritt des Schadens wiederherzustellen, sofern diese Form des Schadensersatzes geeignet ist, den der betroffenen Person entstandenen Schaden in vollem Umfang auszugleichen.
3. Art. 82 Abs. 1 DS-GVO ist dahin auszulegen, dass er der Möglichkeit entgegensteht, die Haltung und die Beweggründe des Verantwortlichen zu berücksichtigen, um der betroffenen Person gegebenenfalls einen Schadensersatz zu gewähren, der geringer ist als der Schaden, der ihr konkret entstanden ist. |
| NEU EuGH (1. Kammer) Urt. v. 4.10.2024 – C-200/23 = ZD 2025, 87 | 5. Art. 82 Abs. 1 DS-GVO ist dahin auszulegen, dass ein zeitlich begrenzter Verlust der Kontrolle der betroffenen Person über ihre personenbezogenen Daten aufgrund der durch Online-Bereitstellung im Handelsregister eines Mitgliedstaats bewirkten öffentlichen Zugänglichmachung dieser Daten ausreichen kann, um einen „immateriellen Schaden“ zu verursachen, sofern diese Person nachweist, dass sie tatsächlich einen solchen Schaden – so geringfügig er auch sein mag – erlitten hat, ohne dass dieser Begriff des immateriellen Schadens den Nachweis zusätzlicher spürbarer negativer Folgen erfordert.
6. Art. 82 Abs. 3 DS-GVO ist dahin auszulegen, dass eine auf der Grundlage von Art. 58 Abs. 3 lit. b DS-GVO abgegebene Stellungnahme der Aufsichtsbehörde eines Mitgliedstaats nicht ausreicht, um die mit der Führung des Handelsregisters dieses Mitgliedstaats betraute Stelle, die „Verantwortlicher“ iSv Art. 4 Nr. 7 dieser Verordnung ist, von der Haftung nach Art. 82 Abs. 2 dieser Verordnung zu befreien. |
| NEU EuGH (3. Kammer) Urt. v. 20.6.2024 – C-590/22 - PS (Adresse erronée) = ZD 2024, 519 mAnm Pauly/Kienle | 1. Art. 82 Abs. 1 DS-GVO ist dahin auszulegen, dass ein Verstoß gegen diese Verordnung für sich genommen nicht ausreicht, um einen Anspruch auf Schadensersatz nach dieser Bestimmung zu begründen. Die betroffene Person muss auch das Vorliegen eines durch diesen Verstoß verursachten Schadens nachweisen, ohne dass dieser Schaden jedoch einen gewissen Schweregrad erreichen müsste.
2. Art. 82 Abs. 1 DS-GVO ist dahin auszulegen, dass die Befürchtung einer Person, dass ihre personenbezogenen Daten aufgrund eines Verstoßes gegen diese Verordnung an Dritte weitergegeben wurden, ohne dass nachgewiesen werden kann, dass dies tatsächlich der Fall war, ausreicht, um einen Schadensersatzanspruch zu begründen, sofern diese Befürchtung samt ihrer negativen Folgen ordnungsgemäß nachgewiesen ist.
3. Art. 82 Abs. 1 DS-GVO ist dahin auszulegen, dass bei der Bemessung des Betrags des auf diese Bestimmung gestützten Anspruchs auf Schadensersatz zum einen die in Art. 83 dieser Verordnung vorgesehenen Kriterien für die Festsetzung des Betrags von Geldbußen nicht entsprechend anzuwenden sind und zum anderen diesem Anspruch auf Schadensersatz keine Abschreckungsfunktion beizumessen ist.
4. Art. 82 Abs. 1 DS-GVO ist dahin auszulegen, dass bei der Bemessung des Betrags des auf diese Bestimmung gestützten Anspruchs auf Schadensersatz zugleich verwirklichte Verstöße gegen nationale Vorschriften, die sich auf den Schutz personenbezogener Daten beziehen, aber nicht bezwecken, die Bestimmungen dieser Verordnung zu präzisieren, nicht zu berücksichtigen sind. |
| NEU EuGH (3. Kammer) Urt. v. 20.6.2024 – C-182/22 u. C-189/22 - Scalable Capital GmbH = ZD 2024, 515 mAnm Pauly/Kienle | 1. Art. 82 Abs. 1 DS-GVO ist dahin auszulegen, dass der in dieser Bestimmung vorgesehene Schadensersatzanspruch ausschließlich eine Ausgleichsfunktion erfüllt, da eine auf diese Bestimmung gestützte Entschädigung in Geld es ermöglichen soll, den erlittenen Schaden in vollem Umfang auszugleichen.
2. Art. 82 Abs. 1 DS-GVO ist dahin auszulegen, dass er nicht verlangt, dass der Grad der Schwere und die etwaige Vorsätzlichkeit des von dem für die Verarbeitung Verantwortlichen begangenen Verstoßes gegen diese Verordnung für die Zwecke des Ersatzes eines Schadens auf der Grundlage dieser Bestimmung berücksichtigt werden.
3. Art. 82 Abs. 1 DS-GVO ist dahin auszulegen, dass iRd Festlegung der Höhe des aufgrund des Anspruchs auf Ersatz eines immateriellen Schadens geschuldeten Schadensersatzes davon auszugehen ist, dass ein solcher durch eine Verletzung des Schutzes personenbezogener Daten verursachter Schaden seiner Natur nach nicht weniger schwerwiegend ist als eine Körperverletzung.
4. Art. 82 Abs. 1 DS-GVO ist dahin auszulegen, dass wenn ein Schaden gegeben ist, ein nationales Gericht bei fehlender Schwere des Schadens diesen ausgleichen kann, indem es der betroffenen Person einen geringfügigen Schadensersatz zuspricht, sofern dieser Schadensersatz geeignet ist, den entstandenen Schaden in vollem Umfang auszugleichen.
5. Art. 82 Abs. 1 DS-GVO ist im Licht von Erwägungsgrund 75 und 85 DS-GVO dahin auszulegen, dass der Begriff „Identitätsdiebstahl“ nur dann erfüllt ist und einen Anspruch auf Ersatz des immateriellen Schadens nach dieser Bestimmung begründet, wenn ein Dritter die Identität einer Person, die von einem Diebstahl personenbezogener Daten betroffen ist, tatsächlich angenommen hat. Jedoch kann der Ersatz eines durch den Diebstahl personenbezogener Daten verursachten immateriellen Schadens nach der genannten Vorschrift nicht auf die Fälle beschränkt werden, in denen nachgewiesen wird, dass ein solcher Diebstahl von Daten anschließend zu einem Identitätsdiebstahl oder ‑betrug geführt hat. |
| EuGH (3. Kammer) Urt. v. 11.4.2024 – C-741/21 = ZD 2024, 381 mAnm Roos/Rothkegel = MMR 2024, 552 mAnm Halim | 1. Art. 82 Abs. 1 DS-GVO ist dahin auszulegen, dass ein Verstoß gegen Bestimmungen dieser Verordnung, die der betroffenen Person Rechte verleihen, für sich genommen nicht ausreicht, um unabhängig vom Schweregrad des von dieser Person erlittenen Schadens einen „immateriellen Schaden“ im Sinne dieser Bestimmung darzustellen.
2. Art. 82 DS-GVO ist dahin auszulegen, dass es für eine Befreiung des Verantwortlichen von seiner Haftung nach Art. 82 Abs. 3 DS-GVO nicht ausreicht, dass er geltend macht, dass der in Rede stehende Schaden durch ein Fehlverhalten einer ihm iSv Art. 29 DS-GVO unterstellten Person verursacht wurde.
3. Art. 82 Abs. 1 DS-GVO ist dahin auszulegen, dass zur Bemessung des Betrags des auf diese Bestimmung gestützten Anspruchs auf Schadensersatz zum einen die in Art. 83 DS-GVO vorgesehenen Kriterien für die Festsetzung des Betrags von Geldbußen nicht entsprechend anzuwenden sind und zum anderen nicht zu berücksichtigen ist, dass die Person, die Schadensersatz verlangt, von mehreren Verstößen gegen die Verordnung betroffen ist, die sich auf denselben Verarbeitungsvorgang beziehen. |
| EuGH (3. Kammer) Urt. v. 25.1.2024 – C-687/21 = ZD 2024, 334 – MediaMarktSaturn | 1. Die Art. 5, 24, 32 und 82 DS-GVO sind zusammen betrachtet dahin auszulegen, dass iRe auf Art. 82 DS-GVO gestützten Schadensersatzklage der Umstand, dass Mitarbeiter des für die Verarbeitung Verantwortlichen irrtümlich ein Dokument mit personenbezogenen Daten an einen unbefugten Dritten weitergegeben haben, für sich genommen nicht ausreicht, um davon auszugehen, dass die technischen und organisatorischen Maßnahmen, die der für die betreffende Verarbeitung Verantwortliche getroffen hat, nicht „geeignet“ iSd Art. 24 und 32 DS-GVO waren.
2. Art. 82 Abs. 1 DS-GVO ist dahin auszulegen, dass der in dieser Bestimmung vorgesehene Schadensersatzanspruch, insb. im Fall eines immateriellen Schadens, eine Ausgleichsfunktion hat, da eine auf sie gestützte Entschädigung in Geld es ermöglichen soll, den konkret aufgrund des Verstoßes gegen die DS-GVO erlittenen Schaden vollständig auszugleichen, und keine Straffunktion erfüllt.
3. Art. 82 DS-GVO ist dahin auszulegen, dass er nicht verlangt, dass die Schwere des von dem für die Verarbeitung Verantwortlichen begangenen Verstoßes für die Zwecke des Ersatzes eines Schadens auf der Grundlage dieser Bestimmung berücksichtigt wird.
4. Art. 82 Abs. 1 DS-GVO ist dahin auszulegen, dass die Person, die aufgrund dieser Bestimmung Schadensersatz verlangt, nicht nur den Verstoß gegen Bestimmungen der DS-GVO nachweisen muss, sondern auch, dass ihr dadurch ein materieller oder immaterieller Schaden entstanden ist.
5. Art. 82 Abs. 1 DS-GVO ist dahin auszulegen, dass in einem Fall, in dem ein Dokument, das personenbezogene Daten enthält, an einen unbefugten Dritten weitergegeben wurde, der diese Daten erwiesenermaßen nicht zur Kenntnis genommen hat, nicht schon deshalb ein „immaterieller Schaden“ im Sinne dieser Bestimmung vorliegt, weil die betroffene Person befürchtet, dass im Anschluss an die Weitergabe, die es ermöglichte, vor der Rückgabe des Dokuments eine Kopie von ihm anzufertigen, in der Zukunft eine Weiterverbreitung oder gar ein Missbrauch ihrer Daten stattfindet. |
| BGH | |
| NEU BGH Urt. v. 18.11.2024 - VI ZR 10/24 = ZD 2025, 162 mAnm Horn | Leitentscheidungsverfahren Im Ergebnis zutreffend ist das Berufungsgericht davon ausgegangen, dass der Kl. mit seinem Antrag auf Zahlung eines immateriellen Schadensersatzes iHv 1.000 EUR nicht mehrere selbständige, auf verschiedene Datenschutzverstöße gestützte prozessuale Ansprüche alternativ geltend macht, sondern vielmehr einen einheitlichen Anspruch auf Ersatz eines immateriellen Schadens, der sich aus mehreren Datenschutzverstößen der Bekl. ergeben soll. Soweit das Berufungsgericht allerdings den Antrag des Kl. auf Zahlung eines immateriellen Schadensersatzanspruches dahingehend ausgelegt hat, dass dieser einen Betrag von 500 EUR für den Scraping-Vorfall und einen weiteren Betrag von 500 EUR für eine unzureichende Auskunft der Bekl. geltend mache, begegnet diese Aufspaltung des einheitlichen Antrags Bedenken. Nach der Rspr. des EuGH erfordert ein Schadensersatzanspruch iSd Art. 82 Abs. 1 DS-GVO einen Verstoß gegen die DS-GVO, das Vorliegen eines materiellen oder immateriellen Schadens sowie einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind. Die Darlegungs- und Beweislast für diese Voraussetzungen trifft die Person, die auf der Grundlage von Art. 82 Abs. 1 DS-GVO den Ersatz eines (immateriellen) Schadens verlangt. Nicht nachzuweisen hat die betroffene Person iRe Schadensersatzanspruches nach Art. 82 Abs. 1 DS-GVO ein Verschulden des Verantwortlichen. Art. 82 DS-GVO sieht vielmehr eine Haftung für vermutetes Verschulden vor, die Exkulpation obliegt nach Art. 82 Abs. 3 DS-GVO dem Verantwortlichen. Der erforderliche Verstoß gegen die DS-GVO ist revisionsrechtlich zu unterstellen, nachdem das Berufungsgericht letztlich offengelassen hat, ob eine Verletzung insbesondere von Art. 5 Abs. 1 Buchst, b, Art. 25 Abs. 2, Art. 32 Abs. 1 DS-GVO vorliegt, und deshalb die hierzu erforderlichen Feststellungen nicht getroffen hat. Dabei bedarf es im Streitfall keiner Entscheidung, ob ein Verstoß gegen die DS-GVO iSd Art. 82 Abs. 1 DS-GVO nicht nur die unrechtmäßige Verarbeitung von personenbezogenen Daten erfasst, wie es Art. 82 Abs. 2 S. 1 DS-GVO und Erwägungsgrund 146 S. 1 DS-GVO nahelegen, oder ob grds. auch bloße Verstöße gegen abstrakte Pflichten des Verantwortlichen außerhalb eines konkreten Verarbeitungsvorgangs haftungsbegründend sein können. Denn angesichts des umfassenden Verarbeitungsbegriffs des Art. 4 Nr. 2 DS-GVO wäre auch bei einem engeren Verständnis des Art. 82 Abs. 1 DS-GVO in Bezug auf den hier inmitten stehenden Scraping-Vorfall ohne Weiteres von einer Datenverarbeitung der Bekl. in Form der Speicherung, des Abfragens, der Offenlegung durch Übermittlung, der Bereitstellung und Verknüpfung auszugehen. Entsprechend hat der EuGH bereits entschieden, dass bei Verstößen gegen die Vorschriften der Art. 5 bis 11 DS-GVO, mithin des zweiten Kapitels der DS-GVO, die Grundsätze für die Verarbeitung von Daten aufstellen, zugleich eine unrechtmäßige Datenverarbeitung vorliegt. Bedenken gegen die Anwendbarkeit des Art. 82 Abs. 1 DS-GVO auf Verstöße gegen Art. 5 DS-GVO bestehen daher nicht. Aber auch für Verstöße gegen Vorschriften aus dem vierten Kapitel der DS-GVO (Art. 24 bis 43 DS-GVO) hat der EuGH zu einzelnen Vorschriften bereits angenommen, dass ein Schadensersatzanspruch aus Art. 82 DS-GVO möglich ist. Es kommt in diesem Zusammenhang auch nicht darauf an, ob einer oder mehrere Verstöße gegen die DS-GVO festgestellt werden können, da der in Art. 82 Abs. 1 DS-GVO vorgesehene Schadensersatzanspruch ausschließlich eine Ausgleichsfunktion, jedoch keine Abschreckungs- oder Straffunktion erfüllt und daher das Vorliegen mehrerer Verstöße nicht zu einer Erhöhung des Schadensersatzes führt. Soweit der Kl. seinen Anspruch zusätzlich auf einen Verstoß gegen Benachrichtigungs- und Meldepflichten stützt, fehlt es mit dem Berufungsgericht jedenfalls an der Ursächlichkeit für den geltend gemachten Schaden. Das Vorliegen eines immateriellen Schadens kann mit der Begründung des Berufungsgerichts nicht verneint werden. Der Begriff des "immateriellen Schadens" ist in Ermangelung eines Verweises in Art. 82 Abs. 1 DS-GVO auf das innerstaatliche Recht der Mitgliedstaaten im Sinne dieser Bestimmung autonom unionsrechtlich zu definieren. Dabei soll nach Erwägungsgrund 146 S. 3 DS-GVO der Begriff des Schadens weit ausgelegt werden, in einer Art und Weise, die den Zielen dieser Verordnung in vollem Umfang entspricht. Der bloße Verstoß gegen die Bestimmungen der DS-GVO reicht nach der Rspr. des EuGH jedoch nicht aus, um einen Schadensersatzanspruch zu begründen, vielmehr ist darüber hinaus - iSd eigenständigen Anspruchsvoraussetzung - der Eintritt eines Schadens (durch diesen Verstoß) erforderlich. Weiter hat der EuGH ausgeführt, dass Art. 82 Abs. 1 DS-GVO einer nationalen Regelung oder Praxis entgegensteht, die den Ersatz eines immateriellen Schadens iSd Bestimmung davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Schwere oder Erheblichkeit erreicht hat. Allerdings hat der EuGH auch erklärt, dass diese Person nach Art. 82 Abs. 1 DS-GVO verpflichtet ist, nachzuweisen, dass sie tatsächlich einen materiellen oder immateriellen Schaden erlitten hat. Die Ablehnung einer Erheblichkeitsschwelle bedeutet nicht, dass eine Person, die von einem Verstoß gegen die DS-GVO betroffen ist, der für sie negative Folgen gehabt hat, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden iSv Art. 82 dieser Verordnung darstellen. Schließlich hat der EuGH in seiner jüngeren Rspr. unter Bezugnahme auf Erwägungsgrund 85 DS-GVO (vgl. ferner Erwägungsgrund 75 DS-GVO) klargestellt, dass schon der - selbst kurzzeitige - Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden darstellen kann, ohne dass dieser Begriff des "immateriellen Schadens" den Nachweis zusätzlicher spürbarer negativer Folgen erfordert. Im ersten S. des 85. Erwägungsgrundes der DS-GVO heißt es, dass ”[e]ine Verletzung des Schutzes personenbezogener Daten ... - wenn nicht rechtzeitig und angemessen reagiert wird - einen physischen, materiellen oder immateriellen Schaden für natürliche Personen nach sich ziehen [kann], wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste ... oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person". Aus dieser beispielhaften Aufzählung der "Schäden", die den betroffenen Personen entstehen können, geht nach der Rspr. des EuGH hervor, dass der Unionsgesetzgeber unter den Begriff „Schaden" insb. auch den bloßen Verlust der Kontrolle („the mere loss of control", „la simple perte de contrôle") über ihre eigenen Daten infolge eines Verstoßes gegen die DS-GVO fassen wollte, selbst wenn konkret keine missbräuchliche Verwendung der betreffenden Daten zum Nachteil dieser Personen erfolgt sein sollte. Freilich muss auch insoweit die betroffene Person den Nachweis erbringen, dass sie einen solchen - d.h. in einem bloßen Kontrollverlust als solchem bestehenden - Schaden erlitten hat. Ist dieser Nachweis erbracht, steht der Kontrollverlust also fest, stellt dieser selbst den immateriellen Schaden dar und es bedarf keiner sich daraus entwickelnden besonderen Befürchtungen oder Ängste der betroffenen Person; diese wären lediglich geeignet, den eingetretenen immateriellen Schaden noch zu vertiefen oder zu vergrößern. Aber auch dann, wenn ein Kontrollverlust nicht nachgewiesen werden kann, reicht die begründete Befürchtung einer Person, dass ihre personenbezogenen Daten aufgrund eines Verstoßes gegen die Verordnung von Dritten missbräuchlich verwendet werden, aus, um einen Schadensersatzanspruch zu begründen. Die Befürchtung samt ihrer negativen Folgen muss dabei ordnungsgemäß nachgewiesen sein. Demgegenüber genügt die bloße Behauptung einer Befürchtung ohne nachgewiesene negative Folgen ebenso wenig wie ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten. Der Betroffene, der Ersatz des immateriellen Schadens verlangt, muss folglich geltend machen (und ggf. nachweisen), dass der Verstoß gegen die DS-GVO negative Folgen für ihn gehabt hat, die einen immateriellen Schaden darstellen. Für eine ordnungsgemäße Darlegung muss das Gericht nach allgemeinen Grundsätzen anhand des Parteivortrags beurteilen können, ob die gesetzlichen Voraussetzungen der an eine Behauptung geknüpften Rechtsfolgen erfüllt sind. Ein Sachvortrag zur Begründung eines Anspruchs ist demnach bereits dann schlüssig und erheblich, wenn die Partei Tatsachen vorträgt, die iVm einem Rechtssatz geeignet und erforderlich sind, das geltend gemachte Recht als in der Person der Partei entstanden erscheinen zu lassen. Die Angabe näherer Einzelheiten ist nicht erforderlich, soweit diese für die Rechtsfolgen nicht von Bedeutung sind. Das Gericht muss nur in die Lage versetzt werden, aufgrund des tatsächlichen Vorbringens der Partei zu entscheiden, ob die gesetzlichen Voraussetzungen für das Bestehen des geltend gemachten Rechts vorliegen. Sind diese Anforderungen erfüllt, ist es Sache des Tatrichters, in die Beweisaufnahme einzutreten und dabei gegebenenfalls die benannten Zeugen oder die zu vernehmende Partei nach weiteren Einzelheiten zu befragen oder einem Sachverständigen die beweiserheblichen Streitfragen zu unterbreiten. Nach diesen Grundsätzen durfte das Berufungsgericht den Vortrag des Kl. zu einem Schaden in Gestalt von Kontrollverlust nicht schon als per se unzureichend für die Annahme eines immateriellen Schadens iSv Art. 82 Abs. 1 DS-GVO ansehen. Soweit das Berufungsgericht darüber hinaus den Vortrag des Kl. zu einem weitergehenden Schaden in Gestalt von Angst, Sorge und Unwohlsein wegen Spam-SMS und -Anrufen, sowie in Gestalt von aufgewandter Zeit und Mühe in der Auseinandersetzung mit dem Scraping-Vorfall und dem Schutz vor künftigem Missbrauch für zu unsubstantiiert gehalten hat, hat es die Darlegungsanforderungen überspannt. Zwar ist dem Berufungsgericht zuzugestehen, dass es in Prozessen wie denen wegen des Scraping-Vorfalls bei der Bekl. nicht selten zu beobachten ist, dass "standardisierte", offenbar aus Textbausteinen zusammengesetzte Schriftsätze eingereicht werden, denen es teilweise am Bezug zum konkreten Fall und dem ihm zu Grunde liegenden spezifischen Sachverhalt fehlen mag. Für die Schlüssigkeit seiner Schadensersatzklage muss der Betroffene jedoch nur darlegen, dass und in welcher Weise gerade er von dem Scraping-Vor-fall betroffen war und welche Folgen dies für ihn hatte. Hierbei ist mit der Revision zu berücksichtigen, dass bei einem einheitlichen Vorgang wie dem hier vorliegenden Scraping-Vorfall, bei dem vergleichbare Daten von Millionen Nutzern abgegriffen und ins Internet gestellt wurden, auch der Vortrag der Betroffenen zu den ihnen hieraus erwachsenden individuellen Folgen jedenfalls im Ausgangspunkt notwendig vergleichbare Züge trägt. Das Risiko der Nichterweislichkeit - auch in Bezug auf das konkrete Ausmaß eines etwaigen Schadens - verbleibt freilich beim Anspruchsteller. Diesen Darlegungserfordernissen hat das Vorbringen des Kl. genüge getan. Der Scraping-Vorfall bei der Bekl. als solcher steht ebenso fest wie die anschließende Veröffentlichung der abgegriffenen Daten im Internet. Wie die Revision zu Recht rügt, hatte der Kl. bereits erstinstanzlich den Inhalt des von den Scrapern geleakten, auf ihn bezogenen Datensatzes in Form eines wörtlichen Zitats wiedergegeben und geltend gemacht, es handele sich um seine Telefonnummer, seine Nutzer-ID bei Facebook, seinen Vor- und Nachnamen, sein Geschlecht sowie seine Arbeitsstätte. Zum Kontrollverlust hat der Kl. angegeben, seine Telefonnummer stets bewusst und zielgerichtet weiterzugeben und diese nicht wähl- und grundlos der Öffentlichkeit, wie etwa im Internet, zugänglich zu machen. Zu den weitergehenden Folgen hat der Kl. vorgetragen, wegen des Scraping-Vorfalls in einem Zustand großen Unwohlseins und großer Sorge über möglichen Missbrauch der ihn betreffenden Daten verblieben zu sein. Dies manifestiere sich unter anderem in einem verstärkten Misstrauen bezüglich E-Mails und Anrufen von unbekannten Nummern und Adressen. Seit dem Vorfall erhalte er unregelmäßig unbekannte Kontaktversuche via SMS und E-Mail. Diese enthielten Nachrichten mit offensichtlichen Betrugsversuchen und Phishing-Attacken. Das habe dazu geführt, dass er nur noch mit äußerster Vorsicht auf jegliche E-Mails und Nachrichten reagieren könne und jedes Mal einen Betrug fürchte und Unsicherheit verspüre. Zur aufgewendeten Zeit und Mühe trug der Kl. vor, er habe sich mit dem „Datenleak" auseinandersetzen, den Sachverhalt ermitteln, sich um eine Auskunft der Bekl. kümmern und selbst weitere Maßnahmen ergreifen müssen. Dieses Vorbringen genügt sowohl hinsichtlich des eingetretenen Kontrollverlustes bezüglich seiner oben genannten Daten als auch hinsichtlich der sich hieraus entwickelnden besonderen Befürchtungen und Bemühungen den Anforderungen an einen hinreichend substantiierten Klagevortrag. Insb. war der Kl. nicht gehalten, im Einzelnen auszuführen, welchen anderen Personen er seine Daten – insb. seine Telefonnummer - offengelegt hat. Es genügt jedenfalls, wenn er wie hier angibt, dies zuvor bewusst und ausgewählt getan zu haben, d.h. die Daten nicht allgemein veröffentlicht zu haben. Die Darlegungslast wird auch nicht dadurch erhöht, dass die Telefonnummer im Vergleich zu den in Art. 9 DS-GVO genannten besonders sensiblen Daten weniger geheimhaltungsbedürftig ist. Dieser Umstand mag sich zwar auf die Höhe eines etwaigen Schadensersatzanspruches auswirken, beeinflusst die prozessuale Darlegungslast zum Anspruch dem Grunde nach hingegen nicht. Das Risiko, auch Dritte könnten seine Telefonnummer nicht datenschutzkonform verarbeiten, steht - solange sich dieses nicht unstreitig vor dem Eintritt des Scraping-Vorfalls verwirklicht hatte - der Darlegung eines Kontrollverlusts nicht entgegen. Insoweit unterscheidet sich der durch das Scraping und die dauerhafte Preisgabe der mit dem Namen des Kl. verknüpften Telefonnummer im Internet behauptete Kontrollverlust wesentlich von den Risiken, die mit einer bewussten und zielgerichteten Weitergabe der Telefonnummer an bestimmte Empfänger verbunden sind. Soweit das Berufungsgericht darüber hinaus in Bezug auf die "immer öffentlichen" personenbezogenen Daten des Kl. (Name, Geschlecht und Nutzer-ID) einen Schaden abgelehnt hat, weil sich der Kl. durch seine im Zuge der Registrierung auf der Plattform der Bekl. erklärte Zustimmung mit den dort geltenden Nutzungsbedingungen damit einverstanden erklärt habe, dass diese Daten in die Öffentlichkeit gelangen, hält auch diese Begründung einer revisionsrechtlichen Überprüfung nicht stand. Hinreichende Feststellungen zu den zum Registrierungszeitpunkt des Kl. geltenden Nutzungsbedingungen und deren konkreter Einbindung in das Registrierungsverfahren hat das Berufungsgericht nicht getroffen. Dies wäre jedoch erforderlich gewesen, um die Wirksamkeit einer etwaigen Einwilligung des Kl. nach Art. 6 Abs. 1 UAbs. 1 Buchst, a DS-GVO zu prüfen. Die Rechtsfehler sind auch entscheidungserheblich. Es kann nicht ausgeschlossen werden, dass das Berufungsgericht, hätte es den Schadensbegriff iSd jüngeren Rspr. des EuGH ausgelegt und die Anforderungen an die Substantiierung des klagebegründenden Vortrags nicht in unzulässigerweise überspannt, zu dem Ergebnis gelangt wäre, dass der Kl. durch den Scraping-Vorfall einen immateriellen Schaden - ob nun allein in Gestalt des Kontrollverlustes als solchem oder darüber hinaus auch in Gestalt der geltend gemachten psychischen Beeinträchtigungen - erlitten hat. Soweit das Berufungsgericht die Voraussetzungen eines Anspruchs des Kl. auf Ersatz vorgerichtlicher Rechtsanwaltskosten aus Art. 82 Abs. 1 DS-GVO für nicht gegeben erachtet hat, hält das angefochtene Urteil der revisionsrechtlichen Nachprüfung in Ansehung der vorstehenden Ausführungen ebenfalls nicht stand. Die Kosten der Rechtsverfolgung und deshalb auch die Kosten eines mit der Sache befassten Rechtsanwalts gehören, soweit sie zur Wahrnehmung der Rechte erforderlich und zweckmäßig waren, grds. zu dem wegen einer unerlaubten Handlung zu ersetzenden Schaden. Dabei ist maßgeblich, wie sich die voraussichtliche Abwicklung des Schadensfalls aus der Sicht des Geschädigten darstellt. Ist die Verantwortlichkeit für den Schaden und damit die Haftung von vornherein nach Grund und Höhe derart klar, dass aus der Sicht des Geschädigten kein vernünftiger Zweifel daran bestehen kann, dass der Schädiger ohne weiteres seiner Ersatzpflicht nachkommen werde, so wird es grds. nicht erforderlich sein, schon für die erstmalige Geltendmachung des Schadens ggü. dem Schädiger einen Rechtsanwalt hinzuzuziehen. In derart einfach gelagerten Fällen kann der Geschädigte grds. den Schaden selbst geltend machen, so dass sich die sofortige Einschaltung eines Rechtsanwalts nur unter besonderen Voraussetzungen als erforderlich erweisen kann, wenn etwa der Geschädigte aus Mangel an geschäftlicher Gewandtheit oder sonstigen Gründen wie etwa Krankheit oder Abwesenheit nicht in der Lage ist, den Schaden selbst anzumelden. Nach diesen Maßstäben kann auf der Grundlage der bisherigen Feststellungen des Berufungsgerichts ein materiell-rechtlicher Kostenerstattungsanspruch aus Art. 82 Abs. 1 DS-GVO für die anwaltliche Tätigkeit nicht verneint werden. Soweit das Berufungsgericht auch im Falle eines etwaigen Hauptanspruches die anwaltliche Beauftragung für die Geltendmachung eines Auskunftsanspruchs für nicht erforderlich erachtet hat, wird es sich mit den Voraussetzungen der Erforderlichkeit der Beauftragung eines Rechtsanwalts auch mit Blick auf die weiteren bereits in diesem Schreiben geltend gemachten Schadensersatz- und Unterlassungsansprüche zu befassen haben. Dabei wird auch zu berücksichtigen sein, dass zum Zeitpunkt des genannten Schreibens eine Vielzahl von Rechtsfragen in Zusammenhang mit Art. 82 DS-GVO weder durch den Gerichtshof noch durch die nationalen Gerichte geklärt war. Es besteht entgegen der Ansicht der Revision keine Veranlassung, das vorliegende Verfahren im Hinblick auf die noch zu Art. 82 DS-GVO anhängigen Vorabentscheidungsersuchen auszusetzen. Hinsichtlich der Frage, ob der Kontrollverlust der betroffenen Person über ihre personenbezogenen Daten bereits für sich genommen einen immateriellen Schaden begründet, besteht aufgrund der Entscheidungen des Gerichtshofes v. 14.12.2023 - C-340/21 [= ZD 2024, 150 mAnm Sosna/Ligocki = MMR 2024, 231 mAnm Kohl/Rothkegel ]und C-456/22 [= ZD 2024,208], v. 25.1.2024 - C-687/21 [ZD 2024, 334], v. 11.4.2024 - C-741/21 [= ZD 2024, 381 mAnm Moos/Rothkegel = MMR 2024, 552 mAnm Halim], v. 20.6.2024 - C-590/22 [= ZD 2024, 519 mAnm Pauly/Kienle] und C-182/22 [= ZD 2024, 515 mAnm Pauly/Kienle] und v. 4.10.2024 - C-200/23 [= ZD 2025, 87] kein Klärungsbedarf mehr. Die Rechtslage ist durch die Rspr. des EuGH in einer Weise geklärt, dass für einen vernünftigen Zweifel keinerlei Raum bleibt („acte eclaire"). Die vom Senat weiter vorgelegte Frage, ob Art. 82 Abs. 1 DS-GVO dahingehend auszulegen ist, dass für die Annahme eines immateriellen Schadens iSd Bestimmung bloße negative Gefühle wie zB Ärger, Unmut, Unzufriedenheit, Sorge und Angst, die an sich Teil des allgemeinen Lebensrisikos und oft des täglichen Erlebens sind, genügen oder ob für die Annahme eines Schadens ein über diese Gefühle hinausgehender Nachteil für die betroffene natürliche Person erforderlich ist, ist angesichts des im vorliegenden Fall geltend gemachten Kontrollverlustes als haftungsbegründendem Schaden auf der Grundlage der bisherigen Feststellungen nur iRd haftungsausfüllenden Kausalität und Schadenshöhe relevant. Auch insoweit geht der Senat aber davon aus, dass seine Frage durch die zwischenzeitliche Rspr. des EuGH. Sollte das Berufungsgericht im wiedereröffneten Berufungsverfahren einen Anspruch aus Art. 82 Abs. 1 DS-GVO dem Grunde nach bejahen, wird es bei der Ermittlung der dann festzustellenden Höhe des immateriellen Schadens zudem von Folgendem auszugehen haben: Die DS-GVO enthält keine Bestimmung über die Bemessung des aus Art. 82 Abs. 1 DS-GVO geschuldeten Schadensersatzes. Insb. können aufgrund des unterschiedlichen Zwecks der Vorschriften nicht die in Art. 83 DS-GVO genannten Kriterien herangezogen werden. Die Bemessung richtet sich vielmehr entsprechend dem Grundsatz der Verfahrensautonomie nach den innerstaatlichen Vorschriften über den Umfang der finanziellen Entschädigung. In Deutschland ist somit insbesondere die Verfahrensvorschrift des § 287 ZPO anzuwenden. Die innerstaatliche Verfahrensautonomie bei der Ermittlung des nach Art. 82 DS-GVO zu ersetzenden Schadens unterliegt freilich mehreren aus dem Unionsrecht folgenden Einschränkungen. Die Modalitäten der Schadensermittlung dürfen bei einem - wie im Streitfall - unter das Unionsrecht fallenden Sachverhalt nicht ungünstiger sein als diejenigen, die gleichartige Sachverhalte regeln, die dem innerstaatlichen Recht unterliegen (Äquivalenzgrundsatz). Auch dürfen sie die Ausübung der durch das Unionsrecht verliehenen Rechte nicht praktisch unmöglich machen oder übermäßig erschweren (Effektivitätsgrundsatz). In Anbetracht der Ausgleichsfunktion des in Art. 82 DS-GVO vorgesehenen Schadensersatzanspruchs, wie sie in Erwägungsgrund 146 S. 6 DS-GVO zum Ausdruck kommt, ist eine auf Art. 82 DS-GVO gestützte Entschädigung in Geld als „vollständig und wirksam" anzusehen, wenn sie es ermöglicht, den aufgrund des Verstoßes gegen diese Verordnung konkret erlittenen Schaden in vollem Umfang auszugleichen; eine Abschreckungs- oder Straffunktion soll der Anspruch aus Art. 82 Abs. 1 DS-GVO dagegen nicht erfüllen. Folglich darf weder die Schwere des Verstoßes gegen die DS-GVO, durch den der betreffende Schaden entstanden ist, berücksichtigt werden, noch der Umstand, ob ein Verantwortlicher mehrere Verstöße ggü. derselben Person begangen und ob er vorsätzlich gehandelt hat. Im Ergebnis soll die Höhe der Entschädigung zwar nicht hinter dem vollständigen Ausgleich des Schadens Zurückbleiben, sie darf aber auch nicht in einer Höhe bemessen werden, die über den vollständigen Ersatz des Schadens hinausginge. Ist der Schaden gering, ist daher auch ein Schadensersatz in nur geringer Höhe zuzusprechen. Dies gilt auch unter Berücksichtigung des Umstandes, dass der durch eine Verletzung des Schutzes personenbezogener Daten verursachte immaterielle Schaden seiner Natur nach nicht weniger schwerwiegend ist als eine Körperverletzung. Daraus ergeben sich Vorgaben sowohl in Bezug auf die Untergrenze als auch auf die Obergrenze des nach Art. 82 Abs. 1 DS-GVO zu gewährenden Schadensersatzes, die das Schätzungsermessen des Tatgerichts (§ 287 ZPO) rechtlich begrenzen. Ist nach den Feststellungen des Gerichts allein ein Schaden in Form eines Kontrollverlusts an personenbezogenen Daten gegeben, weil weitere Schäden nicht nachgewiesen sind, hat der Tatrichter bei der Schätzung des Schadens insb. die etwaige Sensibilität der konkret betroffenen personenbezogenen Daten (vgl. Art. 9 Abs. 1 DS.GVO) und deren typischerweise zweckgemäße Verwendung zu berücksichtigen. Weiter hat er die Art des Kontrollverlusts (begrenzter/unbegrenzter Empfängerkreis), die Dauer des Kontrollverlusts und die Möglichkeit der Wiedererlangung der Kontrolle etwa durch Entfernung einer Veröffentlichung aus dem Internet (inkl. Archiven) oder Änderung des personenbezogenen Datums (zB Rufnummernwechsel; neue Kreditkartennummer) in den Blick zu nehmen. Als Anhalt für einen noch effektiven Ausgleich könnte in den Fällen, in denen die Wiedererlangung der Kontrolle mit verhältnismäßigem Aufwand möglich wäre, etwa der hypothetische Aufwand für die Wiedererlangung der Kontrolle (hier insbesondere eines Rufnummernwechsels) dienen. Äußerst zweifelhaft erscheint daher, ob hier eine Festsetzung in "gegebenenfalls nur einstelliger Höhe" mit dem Effektivitätsgrundsatz zu vereinbaren wäre. Dagegen hätte der Senat von Rechtswegen keine Bedenken, den notwendigen Ausgleich für den eingetretenen Kontrollverlust als solchem in einem Fall wie dem streitgegenständlichen in einer Größenordnung von 100 € zu bemessen. Macht der Betroffene psychische Beeinträchtigungen geltend, die über die mit dem eingetretenen Kontrollverlust für jedermann unmittelbar zusammenhängenden Unannehmlichkeiten hinausgehen, ist das Tatgericht gegebenenfalls gehalten, den Betroffenen anzuhören, um die notwendigen Feststellungen hierzu treffen zu können. Ausgehend davon wird es gegebenenfalls einen Betrag als Ausgleich festzusetzen haben, der über dem im Falle eines bloßen Kontrollverlustes zuzusprechenden Betrag liegt. |
| BGH Beschl. v. 6.2.2024 – VI ZR 365/22 | 0 EUR Die Kl. nimmt die beklagte Bundesrepublik Deutschland, soweit für das Revisionsverfahren noch von Interesse, auf Schadensersatz aus Art. 82 DS-GVO in Anspruch. Das LG hat die Klage ab-, das OLG die Berufung der Kl. zurückgewiesen. Der Kl. ist Wiedereinsetzung in die versäumte Rechtsmittelbegründungsfrist zu gewähren, weil sie die Frist zur Begründung der Revision ohne Verschulden versäumt, die Wiedereinsetzung innerhalb eines Monats nach Behebung des Hindernisses beantragt und zugleich die versäumte Revisionsbegründung nachgeholt hat. |
| Oberlandesgerichte | |
| NEU OLG Dresden Urt. v. 10.12.2024 - 4 U 808/24 | 100 EUR Der Klagepartei steht lediglich in der aus dem Tenor ersichtlichen Höhe ein Anspruch auf immateriellen Schadensersatz gem. Art. 82 DS-GVO zu. Die Bekl. hat bei der Verarbeitung der Daten gegen die Bestimmungen der DS-GVO verstoßen, hieraus ist der Klagepartei auch kausal ein Kontrollverlust erwachsen. Eine Einwilligung in die Verwendbarkeit der Telefonnummer der Klagepartei iRd Suchfunktion ist nicht erfolgt. Für einen immateriellen Schaden infolge von psychischen Beeinträchtigungen ist die Klagepartei beweisfällig geblieben. Die Bekl. hat in mehrfacher Hinsicht bei der Datenverarbeitung gegen die DS-GVO verstoßen. Sie hat gegen das Gebot der datenschutzfreundlichen Voreinstellung nach Art. 25 Abs. 2 DS-GVO verstoßen. Die Handynummer wurde ohne rechtfertigenden Grund nach Art. 6 DS-GVO verarbeitet. Offenbleiben kann, ob sie ausreichende technische und organisatorische Maßnahmen nach Art. 24, 32 DS-GVO ergriffen hat und ob sie ihrer Benachrichtigungspflicht aus Art. 34, 25 DS-GVO und ihrer Auskunftspflicht aus Art. 15 DS-GVO nachgekommen ist. Hiernach bedarf es keiner Entscheidung, ob ein Verstoß gegen die DS-GVO iSd Art. 82 Abs. 1 DS-GVO nicht nur die unrechtmäßige Verarbeitung von personenbezogenen Daten erfasst, wie es Art. 82 Abs. 2 S. 1 DS-GVO und Erwägungsgrund 146 S. 1 DS-GVO nahelegen, oder ob grds. auch bloße Verstöße gegen abstrakte Pflichten des Verantwortlichen außerhalb eines konkreten Verarbeitungsvorgangs haftungsbegründend sein können. Denn angesichts des umfassenden Verarbeitungsbegriffs des Art. 4 Nr. 2 DS-GVO wäre auch bei einem engeren Verständnis des Art. 82 Abs. 1 DS-GVO in Bezug auf den hier inmitten stehenden Scraping-Vorfall ohne Weiteres von einer Datenverarbeitung der Bekl. in Form der Speicherung, des Abfragens, der Offenlegung durch Übermittlung, der Bereitstellung und Verknüpfung auszugehen. Offenbleiben kann ebenfalls, ob die Bekl. ihre Benachrichtigungspflicht aus Art. 34 DS-GVO ggü. der Klagepartei, aus Art. 33 DS-GVO ggü. der Aufsichtsbehörde oder die Auskunftspflicht nach Art. 15 DS-GVO verletzt hat, denn ein kausaler Schaden der Klagepartei, der auf der Verletzung von Benachrichtigungspflichten beruhen könnte, ist nicht ersichtlich. Die Klagepartei hat nicht dargelegt, welcher Schaden ihr daraus entstanden sein soll. Der Kontrollverlust und die Veröffentlichung der Daten und die nach der Behauptung der Klagepartei darauf beruhenden ungebetenen Anrufe sowie Spam-SMS und Spam-E-Mails können nur auf den Scraping Vorfall und nicht auf der Verletzung von Benachrichtigungs- und Auskunftspflichten zurückzuführen sein. Unabhängig davon kann ein Schadensersatzanspruch nach Art. 82 DS-GVO ohnehin nicht auf die Verletzung der vorgenannten Pflichten gestützt werden, da keine „Verarbeitung personenbezogener Daten“ vorliegt. Nach der Rspr. des EuGH setzt der Anspruch die Verarbeitung personenbezogener Daten unter Verstoß gegen die Bestimmung der DS-GVO voraus. Dies belegt auch die Formulierung in Erwägungsgrund Nr. 146, wonach Schäden ersetzt werden, die „aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht“. Aus den aufgeführten Verstößen gegen die DS-GVO ist der Klagepartei aber kein über den bloßen Kontrollverlust hinausgehender kausaler immaterieller Schaden gem. Art. 82 DS-GVO entstanden. Ihr obliegt die Darlegungs- und Beweislast für den bei ihr eingetretenen Schaden sowie den Kausalzusammenhang zwischen der rechtswidrigen Verarbeitung der Daten und dem Schaden. Art. 82 Abs. 2 DS-GVO, der die Haftungsregelung, deren Grundsatz in Abs. 1 dieses Artikels festgelegt ist, präzisiert, übernimmt die drei Voraussetzungen für die Entstehung des Schadensersatzanspruchs, nämlich eine Verarbeitung personenbezogener Daten unter Verstoß gegen die Bestimmungen der DS-GVO, ein der betroffenen Person entstandener Schaden und ein Kausalzusammenhang zwischen der rechtswidrigen Verarbeitung und diesem Schaden. Der europäische Gerichtshof stützt sich auf den 146. Erwägungsgrund, der auf „Schäden“ abstellt, „die einer Person aufgrund einer Verarbeitung entstehen“. Zwar muss der Schaden nicht eine gewisse Erheblichkeit erreichen, jedoch besteht ein Nachweiserfordernis für immaterielle Schäden durch die betroffene Person. Allerdings muss der Schaden tatsächlich und sicher entstanden sein. Hierbei hat der EuGH in einem behaupteten Verlust des Vertrauens in eine Institution keinen ersatzfähigen immateriellen Schaden gesehen. Durch den Kontrollverlust der Mobiltelefonnummer und deren missbräuchliche Verwendung ist kein materieller Schaden eingetreten. Dies behauptet die Klagepartei auch nicht. Allerdings hat im vorliegenden Fall der Kontrollverlust der Daten zu einem immateriellen Schaden iSv Art. 82 DS-GVO bei der Klagepartei geführt. Soweit der Senat bislang in ständiger Rspr. die Auffassung vertreten hat, es liefe dem Erfordernis eines konkreten Schadens zuwider, würde man hierfür bereits einen abstrakten "Kontrollverlust" des Plattformnutzers ausreichen lassen, ohne dass dieser zusätzlich glaubhaft mache, wegen dieses Zustands in Angst oder Sorge geraten zu sein, hält er hieran nach der neuesten Rspr. des BGH nicht mehr fest. Soweit die Daten der Klagepartei ohnehin öffentlich einsehbar sind - wie Vor- und Nachname, Geschlecht und Nutzer ID - liegt aber auch nach diesen Maßstäben schon objektiv kein Kontrollverlust vor. Denn diese Daten sind mit der Registrierung anzugeben und zwingend stets öffentlich und für jedermann weltweit einsehbar. Auch ohne Scraping ist ein Auslesen dieser Daten und deren Verbreitung im Internet jederzeit möglich. Mit der Registrierung bei der Bekl. standen diese stets öffentlichen Daten nicht mehr unter der ausschließlichen Kontrolle der Klagepartei. Sie hat vielmehr bewusst auf die Kontrolle verzichtet. Dem Erfordernis eines konkreten Schadens liefe es zuwider, würde man auch in Bezug auf diese Daten einen Kontrollverlust jedes Plattformnutzers ausreichen lassen. Durch das Scraping dieser vom Nutzer freiwillig zur Verfügung gestellten Daten wird der bereits durch die Anmeldung eingetretene Kontrollverlust nach Auffassung des Senats nicht in einer Weise vertieft, dass hieraus ein konkreter immaterieller Schaden abgeleitet werden könnte. Eine Betroffenheit auch ihrer E-Mail Anschrift hat die Kl., die in der mündlichen Verhandlung vor dem Senat einräumen musste, die in der Klageschrift benannte E-Mail Anschrift xxx@xxx.com sei von Spam-Nachrichten nicht betroffen gewesen, demgegenüber nicht bewiesen. Nach der von der Bekl. vorgelegten Anlage B 16 ist vielmehr davon auszugehen, dass diese nicht Gegenstand des Scraping-Vorfalls war. Durch den Datenschutzverstoß der Bekl. erfolgte ein Kontrollverlust der Klagepartei vielmehr allein im Hinblick auf die bei der Registrierung eingesetztes Telefonnummer und die Verknüpfung mit Namen und F.-ID der Klagepartei. Das Risiko, auch Dritte könnten ihre Telefonnummer nicht datenschutzkonform verarbeiten, steht - solange sich dieses nicht unstreitig vor dem Eintritt des Scraping-Vorfalls verwirklicht hatte - der Darlegung eines Kontrollverlusts nicht entgegen. Insoweit unterscheidet sich der durch das Scraping und die dauerhafte Preisgabe der mit dem Namen einer Partei verknüpften Telefonnummer im Internet behauptete Kontrollverlust wesentlich von den Risiken, die mit einer bewussten und zielgerichteten Weitergabe der Telefonnummer an bestimmte Empfänger verbunden sind. Für die hierauf bezogene Schadensschätzung ist insbesondere die etwaige Sensibilität der konkret betroffenen personenbezogenen Daten (vgl. Art. 9 Abs. 1 DS-GVO) und deren typischerweise zweckgemäße Verwendung zu berücksichtigen. Weiter ist die Art des Kontrollverlusts (begrenzter/unbegrenzter Empfängerkreis), die Dauer des Kontrollverlusts und die Möglichkeit der Wiedererlangung der Kontrolle etwa durch Entfernung einer Veröffentlichung aus dem Internet (inkl. Archiven) oder Änderung des personenbezogenen Datums (zB Rufnummernwechsel; neue Kreditkartennummer) in den Blick zu nehmen. Als Anhalt für einen noch effektiven Ausgleich kann den Fällen, in denen die Wiedererlangung der Kontrolle mit verhältnismäßigem Aufwand möglichwäre, etwa der hypothetische Aufwand für die Wiedererlangung der Kontrolle (hier insb. eines Rufnummernwechsels) dienen. Im Urt. v. 18.11.2024 hat der BGH die Schätzung eines solchen Aufwands in einer Größenordnung von 100 EUR für angemessen erachtet. Diesen Betrag hält der Senat auch im Streitfall für angemessen. Mit der Telefonnummer und der durch das Scraping erfolgten Verknüpfung mit einem bestimmten Namen ist lediglich eine Kontaktaufnahme mit der betroffenen Person möglich. Ein Missbrauch drängt sich unter den gegebenen Umständen nicht auf. Die Telefonnummer kann zwar auch missbräuchlich zur Übersendung von Spam-SMS oder betrügerischen Anrufen genutzt werden, jedoch kann ein materieller Schaden erst dann entstehen, wenn bei einer Spam-SMS der mitgesendete Link verwendet wird oder die betroffene Person auf den Anruf reagiert, dem betrügerischen Anrufer Auskunft gibt oder auf dessen Aufforderung Geld überweist. Eine besondere Sensibilität der konkret betroffenen Daten ist nicht erkennbar. Ihrer Funktion entsprechend dienen sie vielmehr zur Kontaktaufnahme mit Dritten und werden im alltäglichen und geschäftlichen Leben regelmäßig Dritten zugänglich gemacht. Zu berücksichtigen ist darüber hinaus, dass auch bei der Klagepartei ein Rufnummernwechsel, der dem eingetretenen Kontrollverlust entgegenwirken würde, ohne weiteres möglich und nicht erkennbar wäre, dass die Daten an einen unbegrenzten Empfängerkreis abgeflossen sind. In der Gesamtwürdigung dieser Umstände hält auch der Senat den bloßen Kontrollverlust mit Zahlung einer immateriellen Entschädigung iHv 100 EUR für abgegolten. Eine höhere immaterielle Entschädigung war auch nicht aufgrund von individuellen psychischen Beeinträchtigungen der Klagepartei durch den Scraping-Vorfall geboten. Unabhängig vom Nachweis eines Kontrollverlusts reicht für einen Anspruch auf einen immateriellen Schadensersatz zwar auch die begründete Befürchtung einer Person, dass ihre personenbezogenen Daten aufgrund eines Verstoßes gegen die Verordnung von Dritten missbräuchlich verwendet werden, aus, um einen Schadensersatzanspruch zu begründen. Die Befürchtung samt ihrer negativen Folgen muss dabei ordnungsgemäß nachgewiesen sein. Demgegenüber genügt die bloße Behauptung einer Befürchtung ohne nachgewiesene negative Folgen ebenso wenig wie ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten. Sind derartige psychische Beeinträchtigungen infolge einer Anhörung des Betroffenen nachgewiesen, ist der Entschädigungsbetrag in einer Höhe festzusetzen, die über dem im Falle eines bloßen Kontrollverlustes zuzusprechenden Betrag liegt. Eine solche konkrete emotionale Beeinträchtigung der Klagepartei ist zur Überzeugung des Senates hier indes nicht eingetreten. Die schriftsätzlich allgemeine gehaltene Behauptung der Klagepartei, sie sei in einen Zustand großen Unwohlseins und Sorge über einen möglichen Missbrauch geraten, geht über alltägliche Empfindungen, die keine begründete Befürchtung rechtfertigen, nicht hinaus. Den Schluss auf einen realen und sicheren emotionalen Schaden erlaubt sie nicht. Da im Allgemeinen jeder Verstoß gegen eine Norm über den Schutz personenbezogener Daten zu einer negativen Reaktion der betroffenen Person führen kann und ein Schadensersatz, der sich aus einem bloßen Unmutsgefühl wegen der Nichtbeachtung des Rechts durch einen anderen ergibt, einem „Schadensersatz ohne Schaden“ recht nahe kommt, der nicht von Art. 82 erfasst ist, reicht demgegenüber allein die bloße Beunruhigung wegen des Diebstahls der eigenen personenbezogenen Daten nicht aus. Im vorliegenden Fall hat die Kl. keinen emotionalen Schaden, der auf den Scraping-Vorfall zurückzuführen ist, glaubhaft gemacht. Besondere Sorgen und Ängste wegen eines Datenmissbrauches hat sie nicht geschildert, sondern hat vielmehr maßgeblich auf den mit der Bereinigung der Spam-Eingänge verbundenen Aufwand abgestellt, den sie ggü. dem Senat als "störend" qualifiziert hat. Es tritt hinzu, dass sie dieses Störgefühl vorrangig mit den Spam-Eingängen unter ihrer GMXAdressse verbunden hat, die indes nicht bei der Registrierung angegeben wurde und daher nicht Gegenstand des Scraping-Vorfalls war. Die unter der streitgegenständliche Handy-Nummer eingehenden Spam-Anrufe und -SMS seien jedoch von vornherein ausgefiltert worden; woraus sich gleichwohl eine emotionale Beeinträchtigung ergeben soll, kann der Senat unter diesen Umständen nicht erkennen, zumal der Kl. der Scraping- Vorfall auch keine Veranlassung geboten hat, ihre Rufnummer zu ändern. Hat die betroffene Person aber schon keinen Anlass gesehen, die Handynummer zu ändern, kann ihre Befürchtung eines Missbrauches regelmäßig nicht als begründet angesehen werden. Nach diesen Maßstäben kann ein materiell-rechtlicher Kostenerstattungsanspruch aus Art. 82 Abs. 1 DS-GVO für die anwaltliche Tätigkeit in Fallgestaltungen des Scraping-Komplexes im Grundsatz nicht verneint werden. |
| NEU OLG Stuttgart Urt. v. 4.12.2024 – 4 U 97/24 | 0 EUR Scraping-Sachverhalt. Es kann vorliegend nicht ausreichend sicher festgestellt werden, dass der Abgriff der Daten erst nach dem Inkrafttreten der DS-GVO (am 25.05.2018) stattgefunden hat. |
| NEU OLG Hamm Urt. v. 28.11.2024 – I-7 U 52/24 | 0 EUR Wie OLG Hamm Urt. v. 5.11.2024 - 7 U 52/24. |
| NEU OLG Hamm Urt. v. 29.11.2024 – I-25 U 25/24 | 0 EUR Wie OLG Hamm Urt. v. 29.11.2024 – I-25 U 12/24. |
| NEU OLG Hamm Urt. v. 29.11.2024 – I-25 U 12/24 | 0 EUR Einen Anspruch auf Ersatz eines immateriellen Schadens kann der Kl. weder auf Art. 82 Abs. 1 DS-GVO noch auf Vorschriften des nationalen Recht mit Erfolg stützen. Ein Schadensersatzanspruch aus Art. 82 Abs. 1 DS-GVO setzt voraus, dass die Bekl. gegen Vorschriften der Verordnung schuldhaft verstoßen hat und dem Kl. dadurch ein Schaden entstanden ist. Die Bekl. hat als Verantwortliche iSd Art. 4 Nr. 7 DS-GVO gegen ihre aus den Vorschriften der DS-GVO folgenden Datenschutzpflichten verstoßen. Sie hat den ihr gem. Art. 5 Abs. 2 DS-GVO obliegenden Nachweis für die Einhaltung der in Art. 5 Abs. 1 lit. a, Art. 6 Abs. 1 UAbs. 1 DS-GVO enthaltenen Grundsätze der Datenverarbeitung nicht erbracht. Keiner Entscheidung bedarf es, ob die Bekl. gegen weitere Vorschriften der Datenschutz-Grundverordnung verstoßen hat. Denn der in Art. 82 Abs. 1 DS-GVO vorgesehene Schadensersatzanspruch erfüllt ausschließlich eine Ausgleichsfunktion, jedoch keine Abschreckungs- oder Straffunktion. Das etwaige Vorliegen weiterer Datenschutzverstöße führt daher nicht zu einer Erhöhung des zu gewährenden Schadensersatzes. Soweit der Kl. zusätzlich einen Verstoß gegen Meldepflichten der Bekl. aus Art. 33 DS-GVO anführt, ist ein aus einer Nicht- oder Schlechterfüllung folgender Schaden weder geltend gemacht noch sonst ersichtlich. Das gilt auch für einen etwaigen Verstoß gegen das in Art. 15 DS-GVO normierte Auskunftsrecht. Dieses ist Gegenstand des Antrags zu 4). In Bezug auf Art. 82 Abs. 1 DS-GVO verbleibt daher nur ein etwaiger Schaden aufgrund einer Nicht- oder Schlechterfüllung, den der Kl. indes ebenfalls nicht geltend und der auch nicht ersichtlich ist. Nach der Rspr. des EuGH reicht der bloße Verstoß gegen die Bestimmungen der Datenschutz-Grundverordnung nicht aus, um einen Schadensersatzanspruch der betroffenen Person zu begründen. Vielmehr sind darüber hinaus der Eintritt eines Schadens und auch das Vorliegen eines Kausalzusammenhangs zwischen dem Schaden und dem Datenschutzverstoß erforderlich. Die Darlegungs- und Beweislast liegt insofern bei der betroffenen Person, die auf der Grundlage von Art. 82 Abs. 1 DS-GVO den Ersatz eines Schadens verlangt. Ein immaterieller Schaden ergibt sich vorliegend weder aus einem Kontrollverlust noch vertiefend oder allein aus begründeten Befürchtungen oder Ängsten des Kl. vor einer missbräuchlichen Verwendung seiner personenbezogenen Daten. Schon der – selbst kurzzeitige – Verlust der Kontrolle über personenbezogene Daten kann nach der Rechtsprechung des Europäischen Gerichtshofs einen immateriellen Schaden iSv Art. 82 Abs. 1 DS-GVO darstellen, ohne dass es zusätzlicher spürbarer negativer Folgen bedarf. Das entbindet die betroffene Person jedoch nicht davon, den Nachweis zu erbringen, dass sie einen solchen, in einem bloßen Kontrollverlust zu sehenden Schaden erlitten hat. Erst wenn dieser Nachweis erbracht ist, der Kontrollverlust also feststeht, stellt dieser selbst den immateriellen Schaden dar und es bedarf keiner sich daraus entwickelnden besonderen Befürchtungen oder Ängste der betroffenen Person. Diese wären lediglich geeignet, den eingetretenen immateriellen Schaden noch zu vertiefen. Vorliegend hat der Kl. weder den Eintritt eines Kontrollverlustes noch dessen Ursachenzusammenhang mit dem Verstoß der Bekl. gegen die Vorschriften der DS-GVO zur Überzeugung des Senats nachgewiesen. Wie bereits dem Wortlaut des Begriffs „Kontrollverlust“ zu entnehmen ist, setzt dieser voraus, dass die betroffene Person zunächst die Kontrolle über das konkrete personenbezogene Datum hatte und sie diese Kontrolle später gegen ihren Willen durch den (streitgegenständlichen) Datenschutzverstoß verloren hat. Folglich muss die betroffene Person, weil sie die Darlegungslast für durch den Verstoß gegen die Datenschutz-Grundverordnung erlittene negative Folgen trifft, darlegen, dass sie die Hoheit über die Daten nicht schon zuvor verloren hatte. Ist ein Kontrollverlust – wie hier – nicht nachgewiesen, reicht die begründete Befürchtung einer Person, dass ihre personenbezogenen Daten aufgrund eines Verstoßes gegen die Datenschutz-Grundverordnung von Dritten missbräuchlich verwendet werden, für die Begründung eines immateriellen Schadens aus. Die Befürchtung samt ihrer negativen Folgen muss dabei aber ordnungsgemäß nachgewiesen sein. Die bloße Behauptung einer Befürchtung ohne nachgewiesene negative Folgen genügt ebenso wenig wie ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten. Nach Maßgabe dieser Grundsätze lässt sich ein immaterieller Schaden im vorgenannten Sinne nicht feststellen. Den von ihm schriftsätzlich beschriebenen Zustand großen Unwohlseins und großer Sorge über einen möglichen Missbrauch der ihn betreffenden personenbezogenen Daten und auch die behaupteten negativen Folgen hat der Kl. nicht zur Überzeugung des Senats nachgewiesen. Dahingehende tragfähige Anhaltspunkte hat auch seine persönliche Anhörung nicht ergeben. Bei seiner Anhörung vor dem Senat hat der Kl. ausgeführt, dass er bereits seit vielen Jahren regelmäßig im Internet kontrolliere, ob er in irgendwelchen Datenbanken auftauche. Auf diese Weise habe er über die Eingabe seiner Mobilfunknummer auch von dem „Datenleck“ bei F. erfahren. Daraufhin habe er sich Online über seine Rechte informiert und zeitnah die Suchbarkeitseinstellung bei F. auf „niemand“ gesetzt. Anrufe von unbekannten Rufnummern nehme er nicht mehr an, angezeigte Rufnummern „google“ er. Der Kl. hat sich nach seinen Schilderungen als durchaus erfahren im Umgang mit sozialen Medien und dem Schutz seiner persönlichen Daten gezeigt sowie eine gefestigte Handhabung ggü. betrügerischen Kontaktversuchen beschrieben. Konkrete Befürchtungen und Sorgen hat iRd mit ihm geführten Gesprächs auch der vom Kläger gewonnene persönliche Eindruck nicht ergeben. Vielmehr hat sich der Kl. als durchaus sicher im Auftreten und Verhalten ggü. einer möglichen missbräuchlichen Verwendung seiner Daten gezeigt. Mangels Bestehens der mit der Klage verfolgten Ansprüche gem. den Anträgen zu 1) bis 4) kann der Kl. die Erstattung vorgerichtlich angefallener Rechtsanwaltskosten nebst Zinsen weder aus Art. 82 Abs. 1 DS-GVO noch aus anderen Vorschriften beanspruchen. Hinsichtlich der Vorlagefragen zu Nr. 1), a) ein dauerhafter Kontrollverlust stelle keinen Schaden dar, b) es reiche nicht aus, wenn keine persönliche psychologische Beeinträchtigung festzustellen sei und c) es reiche nicht aus, wenn aufgrund Datenverstoßes unbefugte Dritte die Daten weltweit unkontrolliert verarbeiten, ergibt sich aus der bereits vorliegenden Rspr. des EuGH und liegt auch der Entscheidung des Senats zugrunde, dass ein Kontrollverlust einen Schaden iSv Art. 82 Abs. 1 DS-GVO grds. darstellen kann. Dass eine weltweit unkontrollierte Datenverarbeitung durch unbefugte Dritte nicht bereits stets ausreicht, entspricht der Rechtsprechung des Europäischen Gerichtshofs. |
| NEU OLG Hamm Urt. v. 22.11.2024 – I-25 U 33/24 | 0 EUR Ähnlich wie OLG Hamm Urt. v. 5.11.2024 - 7 U 52/24. |
| NEU OLG Schleswig-Holstein Urt. v. 22.11.2024 – 17 U 2/24 | 0 EUR Entgegen der Ansicht des LG kann der Kl. von der Bekl. allerdings nicht die Zahlung von Schmerzensgeld beanspruchen. Als Anspruchsgrundlage kommt Art. 82 Abs. 1 DS-GVO in Betracht. Art. 82 Abs. 1 DS-GVO eröffnet einen direkten eigenen deliktischen Schadensersatzanspruch mit Verschuldensvermutung, wobei der Verantwortliche nach Abs. 3 den Entlastungsbeweis führen kann. Die Datenübermittlung an die SCHUFA verstieß gegen die DS-GVO, denn sie war - wie bereits zum Widerrufsanspruch ausgeführt - nicht gem. Art. 6 Abs. 1 DS-GVO rechtmäßig. Die Bekl. hat sich auch nicht iSd Art. 82 Abs. 3 DS-GVO entlastet. Sie kann nicht damit gehört werden, dass sie von den Einzelheiten der Vertragsbeziehung keine Kenntnis gehabt habe, dass der Kl. die Forderung ggü. der A. GmbH bestritten habe. IRd Kaufs der Forderung zur Eintreibung hätte es nämlich ihr oblegen, sich über alle wesentlichen Vorgänge im Zusammenhang mit der Forderung zu informieren. Gerade weil die zulässige Einmeldung bei der SCHUFA von Fälligkeit, Bestreiten, Unterrichtung etc abhängig ist, ist es fahrlässig, die Einmeldung vorzunehmen, ohne sich über solche relevanten Umstände Kenntnis zu verschaffen. Gleiches gilt für ihren Einwand, sie habe von dem Zugang ihrer Mahnungen mit Unterrichtung ausgehen dürfen. Dem Kl. ist aber aufgrund des Verstoßes kein Schaden entstanden. Der Anspruch aus Art. 82 Abs. 2 DS-GVO erfüllt im Fall eines immateriellen Schadens eine Ausgleichsfunktion und keine Straffunktion, da die Entschädigung es ermöglichen soll, den Verstoß gegen die Verordnung vollständig auszugleichen. Eine Erheblichkeitsschwelle oder Bagatellgrenze muss dabei nicht überschritten werden. Nach Erwägungsgrund 146 S. 3 zur DS-GVO soll der Begriff des Schadens weit auf eine Art und Weise ausgelegt werden, die den Zielen der Verordnung in vollem Umfang entspricht; die Betroffenen sollen einen vollständigen und wirksamen Schadensersatzanspruch erhalten. Grds. soll schon die Befürchtung des Anspruchsberechtigten genügen, dass seine Daten aufgrund des Verstoßes in Zukunft von Dritten missbraucht werden. Die betroffene Person kann durch den kurzzeitigen Verlust der Kontrolle über personenbezogene Daten einen „immateriellen Schaden“ i.S.v. Art. 82 Abs. 1 DS-GVO erleiden, der einen Schadensersatzanspruch begründet, sofern diese Person den Nachweis erbringt, dass sie tatsächlich einen solchen Schaden – so geringfügig er auch sein mag – erlitten hat. Andererseits reicht der bloße Verstoß gegen die Bestimmungen der DS-GVO nicht aus, um auf dieser Grundlage einen Schadensersatzanspruch zu begründen. Nach diesen Kriterien fehlt es an der hinreichenden Darlegung eines immateriellen Schadens, der durch die rechtswidrige Datenübermittlung verursacht ist. Der Kl. schätzt die Auswirkungen der durch die Bekl. veranlassten Eintragung auf seine Bonität als erheblich ein: In den Augen von Gläubigern oder Vertragspartnern gelte er aufgrund dieses Eintrages als zahlungsunfähig, und es bestünden massive Beeinträchtigungen iRd Einschätzung seiner Kreditwürdigkeit durch Dritte. Er hat seine Einschätzung durch Schriftverkehr unterlegt, aus dem sich ergibt, dass verschiedentlich Vertragsanbahnungen offenbar wegen seiner SCHUFA-Bonitätsbewertung scheiterten. Aus den vom Kl. vorgetragenen Fällen ergibt sich indes nicht, dass gerade der durch die Bekl. veranlasste Eintrag bei der SCHUFA zum Scheitern der Vertragsabschlüsse führte. Mit dem LG ist der Senat vielmehr der Überzeugung, dass weder der sich aus der SCHUFA-Auskunft vom 18. Oktober 2023 ergebende niedrige Basisscore von 20,22 noch die dadurch verursachten Bedenken potentieller Vertragspartner des Kl. allein auf der streitgegenständlichen Meldung der Bekl. beruhen können. Denn der Bonitätsscore des Kl. war auch - und sicher wesentlich - durch die weiteren Umstände beeinflusst, dass der Kl. zuvor einmal die Abgabe der Vermögensauskunft verweigert, später die Vermögensauskunft abgegeben und ein Verbraucherinsolvenzverfahren durchlaufen hatte, ohne dass daran die Bekl. in irgendeiner Form beteiligt war. Dafür, dass es um die Bonität des Kl. auch abseits des streitgegenständlichen Negativeintrags schlecht bestellt war, sprechen auch die zahlreichen „Konditionenanfrage(n) zu einer Kreditanfrage“. Schließlich stellt sich im vorliegenden Fall auch nicht die Gefahr des Verlusts der Kontrolle über die personenbezogenen Daten des Kl. Anders als in den insoweit einschlägigen Fällen, in denen personenbezogene Daten an einen nicht näher identifizierbaren und kaum eingrenzbaren Kreis von Unbefugten gelangt sind und der Betroffene dadurch einen Kontrollverlust im Sinne einer Hilflosigkeit oder eines „Beobachtetwerdens“ erleidet, ist hier der Empfänger der Daten, die SCHUFA, bekannt. Die Voraussetzungen, unter denen von dort Auskünfte erteilt werden, sind klar geregelt, und es ist nachvollziehbar, wem ggü. sie erteilt werden. Im Vergleich zu sonstigen personenbezogenen Daten, deren unbefugte Weitergabe als Ursache für einen materiellen oder immateriellen Schaden in Betracht kommt, etwa Gesundheitsdaten, Adressdaten, private Bilder oder E-Mails, sind die streitigen Forderungsdaten – unabhängig von den behandelten Auswirkungen auf die Kreditwürdigkeit – von eher mittlerer Sensibilität. Der Kl. kann allerdings von der Bekl. aus Art. 82 Abs. 1 DS-GVO als Schadensersatz die Zahlung von Rechtsanwaltsgebühren iHv 280,60 EUR verlangen. Der Ersatzanspruch folgt aus der rechtswidrigen Einmeldung der Forderung; erst dadurch ist die Einschaltung des klägerischen Prozessbevollmächtigten erforderlich geworden. Die Gebühren richten sich nach dem Wert des Beseitigungs- bzw. Widerrufsanspruchs, da der Kl. vorgerichtlich ein Schmerzensgeld nicht geltend gemacht hatte. |
| NEU OLG Frankfurt/M. Urt. v. 14.11.2024 – 16 U 52/23 | 0 EUR Ebenso wenig liegen die Voraussetzungen für einen immateriellen Schadensersatzanspruch nach Art. 82 DS-GVO vor. In der etwaigen Weiternutzung der bei der Bekl. vorhandenen Daten des Kl. während der teilweisen Sperre seines Kontos liegt kein Verstoß gegen zwingende Vorgaben der DS-GVO. Diese beruhte nämlich - wie weiter unten ausgeführt - auf der vom Kl. vorab erteilten Zustimmung zu den Nutzungsbedingungen der Bekl. (Art. 6 Abs. 1 lit. a DS-GVO), welche nicht daran geknüpft ist, dass auch die Bekl. ihren vertraglichen Verpflichtungen nachkommt, und daher auch Zeiträume umfasst, in denen das klägerische Konto gesperrt ist. Die zeitweise Teilsperrung des Nutzerkontos des Kl. stellt bereits keine Verarbeitung von dessen Daten i.S. von Art. 4 Nr. 2 DS-GVO dar. Aus diesem Grund ist nicht ersichtlich, dass die teilweise Sperrung der Nutzungsmöglichkeiten des Dienstes gegen Vorschriften der DS-GVO verstoßen hat. Allenfalls hat es sich um eine Einschränkung der Verarbeitung i.S. von Art. 4 Ziffer 3 DS-GVO gehandelt, weil hierdurch die Erhebung und weitere Verarbeitung der klägerischen Daten verhindert wird. Aus der DS-GVO ergibt sich jedoch kein Anspruch des Kl., dass seine als Posts (Mitteilungen/Kommentare) eingegebenen Daten von der Bekl. weiterverarbeitet und für andere Nutzer zugänglich gemacht werden. Ein solcher Anspruch ergibt sich allein auf vertraglicher Grundlage. Auch sonst ist nicht ersichtlich, gegen welche Vorschrift der DS-GVO die Bekl. durch die teilweise Sperrung des Nutzerkontos verstoßen haben sollte. Durch die Löschung der Beiträge ist dem Kl. kein immaterieller Schaden i.S. des Art. 82 DS-GVO entstanden, weshalb dahingestellt bleiben kann, ob die Löschung eines Textbeitrages überhaupt als eine Datenverarbeitung i.S. von Art. 4 DS-GVO zu qualifizieren ist. Art. 82 DS-GVO kann nicht dahin ausgelegt werden, dass er einen Schadensersatzanspruch bereits bei jeder individuell empfundenen Unannehmlichkeit oder bei Bagatellverstößen ohne ernsthafte Beeinträchtigung für das Selbstbild oder Ansehen einer Person begründet. Auch wenn in der Literatur unter Bezug auf Erwägungsgrund 146 der DS-GVO vereinzelt die Auffassung vertreten wird, eine wirksame Durchsetzung europäischer Datenschutzrechte erfordere einen Abschreckungseffekt und den Verzicht auf die nach bisherigem Recht geltende Erheblichkeitsschwelle, rechtfertigt dies keinen Ausgleich immaterieller Bagatellschäden. Das Datenschutzrecht schützt zwar per se ein subjektives Recht, das einen starken Bezug zum persönlichen Empfinden des Einzelnen hat. Dennoch ist Art. 82 DS-GVO nicht so auszulegen, dass er einen Schadensersatzanspruch bereits bei jeder individuell empfundenen Unannehmlichkeit oder bei Bagatellverstößen ohne ernsthafte Beeinträchtigung für das Selbstbild oder Ansehen einer Person begründet. Insb. kann der Hinweis auf einen „vollständigen und wirksamen Schadensersatz“ in Erwägungsgrund 146 der DS-GVO nicht in diesem Sinne verstanden werden. Die Wahrung des Rechts auf informationelle Selbstbestimmung als Bestandteil des allgemeinen Persönlichkeitsrechts nach Art. 2 Abs. 1 GG und des Schutzes personenbezogener Daten nach Art. 8 GRCh gebieten einen solchen Ausgleich regelmäßig nicht. Anders mag dies in den Fällen sein, in denen der datenschutzrechtliche Verstoß eine Vielzahl von Personen in gleicher Weise betrifft und Ausdruck einer bewussten, rechtswidrigen und im großen Stil betriebenen Kommerzialisierung ist. So liegen die Dinge hier indes nicht. Demnach muss es um eine objektiv nachvollziehbare Beeinträchtigung von persönlichkeitsbezogenen Belangen gehen, die zwar jetzt nicht mehr „besonders schwerwiegend“ sein, aber trotzdem für den Betroffenen ein gewisses Gewicht haben muss. Gegen eine weitere Ausdehnung des immateriellen Schadensersatzes auf Bagatellschäden spricht auch das erhebliche Missbrauchsrisiko, das mit der Schaffung eines auf Rechtsfolgenseite nahezu voraussetzungslosen Geldentschädigungsanspruchs gerade im Bereich des Datenschutzrechts einherginge. Angesichts dessen sowie der damit verbundenen vollständigen Abkehr von der bisher geltenden Rechtslage wäre zu erwarten gewesen, dass eine solche Änderung im Verordnungstext oder in den Erwägungsgründen einen deutlichen Ausdruck gefunden hätte. Dies ist jedoch nicht der Fall. Der Kl. hat eine Beeinträchtigung von ausreichendem Gewicht nicht vorgetragen. Die behauptete Hemmung in der Persönlichkeitsentfaltung durch die Unterdrückung eines einzelnen Posts hat allenfalls Bagatellcharakter, was die Zuerkennung eines immateriellen Schadensersatzes nicht rechtfertigt. Dabei ist der Beweggrund der Bekl. bei Vornahme einer Löschung zu berücksichtigen. Diese erfolgt seitens der Bekl. zur Beseitigung von angenommener „Hassrede“ mit der Intention, das Persönlichkeitsrecht anderer Nutzer zu schützen. Bejahte man bereits in solchen Fällen einen Schadensersatzanspruch, entstünde ein unangemessenes Spannungsverhältnis zwischen der Löschungspflicht des Portalbetreibers bei Kenntnis von rechtswidrigen Inhalten einerseits und dem hiermit verbundenen unverhältnismäßigen Schadensersatzrisiko andererseits. Die Bekl. wäre bereits dann Schadensersatzansprüchen ausgesetzt, wenn sie eine unzutreffende Interessenabwägung im Rahmen ihrer Löschungspflicht vorgenommen hätte. Dem Kl. ist auch kein nach Art. 82 Abs. 1 DS-GVO zu ersetzender materieller Schaden entstanden. Als materieller Schaden im Sinne dieser Vorschrift ist der beim Betroffenen eingetretene materielle Schaden gem. §§ 249 ff. BGB zu ersetzen. Ein materieller Schaden besteht aus der Differenz zwischen zwei Vermögenslagen des Geschädigten: Der tatsächlich durch das Schadensereignis geschaffenen und der unter Ausschaltung dieses Ereignisses gedachten. Allein das Vorliegen einer unzulässigen Verarbeitung genügt nicht. Dass der Kl. durch die Entfernung seiner Posts eine Vermögensminderung erfahren hätte, ist weder vorgetragen noch ersichtlich. Der zeitweiligen Einschränkung der privaten Kommunikationsmöglichkeit auf sozialem Netzwerk1 kommt für sich genommenen kein Vermögenswert zu; sie stellt daher keinen Schaden in diesem Sinne dar. Das bloße Affektionsinteresse ist gem. den bürgerlich rechtlichen Schadensersatzvorschriften nicht ersetzbar. IÜ wird auf die Ausführungen oben unter b) aa) verwiesen. |
| NEU OLG Schleswig-Holstein Urt. v. 8.11.2024 – 1 U 70/22 | 0 EUR Ebenso wenig liegen die Voraussetzungen für einen immateriellen Schadensersatzanspruch nach Art. 82 DS-GVO vor. Es kann dahinstehen, ob die unberechtigten Maßnahmen auch gegen Vorschriften der DS-GVO verstoßen haben. Jedenfalls ist dem Kl. kein immaterieller Schaden iSd Art. 82 DS-GVO entstanden. Art. 82 DS-GVO begründet keinen Schadensersatzanspruch bei jedwedem Verstoß. Der Schadensbegriff nach der DS-GVO ist zwar autonom und weit auszulegen; ein Schaden kann nicht nur materiell, sondern auch immateriell sein; eine Erheblichkeitsschwelle gibt es nicht. Es muss aber vom Anspruchsberechtigten nachgewiesen werden, dass der Verstoß gegen die DS-GVO negative Folgen gehabt hat, welche einen jedenfalls immateriellen Schaden nach sich gezogen haben. Die DS-GVO nennt in Erwägungsgrund 75 als Beispiele für eine möglicherweise einen (immateriellen) Schaden und damit die Schadensersatzpflicht auslösende Verarbeitung den Identitätsdiebstahl, die Rufschädigung, den Verlust der Vertraulichkeit oder anderen wirtschaftlichen oder gesellschaftlichen Schaden. Solche Beeinträchtigungen sind nicht dargelegt. |
| NEU OLG Hamm Beschl. v. 6.11.2024 – 7 U 100/24 | 0 EUR Die Klage hat bezüglich des Antrags zu 1 schon allein deshalb keinen Erfolg, da die Kl. trotz Hinweises des LG im Termin v. 3.7.2024 mit Gewährung eines Schriftsatznachlasses und trotz entsprechenden Hinweises des LG im angefochtenen Urteil (auch mit der Berufungsbegründung) nicht dazu vorträgt, welche konkreten personenbezogenen Daten verloren gegangen sein sollen. Allein aufgrund des Verlustes der - auch durch ein Generieren erstellbaren – E-Mail-Adresse und des Verlustes der - irrelevanten - Bestellnummer lässt sich kein Kontrollverlust oder immaterieller Schaden feststellen, zumal die Kl. selbst darauf verweist, dass ihre Email-Adresse bereits zuvor im Rahmen anderer "Datenlecks" - E., Juni 2020, wobei darauf hinzuweisen ist, dass insoweit unter dem Aktenzeichen 7 U 67/24 ein Parallelverfahren anhängig ist, und C., November 2015 - abhandengekommen ist. Diese maßgeblichen personenbezogenen Daten kann und muss auch nicht die Bekl. namenhaft machen, zumal sie diese nach ihrem Auskunftsschreiben vom 21.07.2023 auch insgesamt nicht mehr vorhält. Vor diesem Hintergrund kommt es nicht darauf an, dass ein Kontrollverlust allein auch nicht ausreichte, einen Schadensersatzanspruch zu begründen, und dass die Kl. völlig unzureichend und nicht individualisiert darlegt, dass sie über den (vermeintlichen) Kontrollverlust hinaus weitergehend beeinträchtigt ist. |
| NEU OLG Hamm Urt. v. 5.11.2024 – 7 U 83/24 | 0 EUR Ähnlich wie OLG Hamm Urt. v. 5.11.2024 - 7 U 52/24. |
| NEU OLG Hamm Urt. v. 5.11.2024 - 7 U 52/24 | 0 EUR Der Kl. steht gegen die Bekl. kein Anspruch auf Ersatz immateriellen Schadens wegen des geltend gemachten Datenverlustes zu. Ein solcher Anspruch folgt insb. nicht aus Art. 82 Abs. 1, Abs. 2 DS-GVO. Danach hat jede Person, der wegen eines Verstoßes gegen diese Verordnung oder auch nur – worauf es im vorliegenden Fall nicht ankommt, da dies im Hinblick auf die feststellbaren kausalen Verstöße gegen die DS-GVO der Fall ist – wegen Verarbeitung personenbezogener Daten unter Verstoß gegen die Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Die Bekl. hat als Verantwortliche in mehrfacher Hinsicht gegen die Datenschutzgrundverordnung verstoßen. Die Bekl. hat gegen Art. 5 Abs. 1 lit. a, Art. 6 Abs. 1 UAbs. 1, Art. 5 Abs. 1 lit. b, Art. 25 Abs. 1 und Abs. 2, Art. 5 Abs. 1 lit. f und Art. 32 DS-GVO verstoßen. Hiervon muss der Senat jedenfalls ausgehen, da die Bekl. Verstöße gegen diese Vorschriften nicht konkret ausgeräumt hat, obwohl ihr das nach Art. 5 Abs. 2 DS-GVO oblegen hat. Soweit die Bekl. – unter Berufung auf Entscheidungen des EuGH – annimmt, die Beweislast für das Vorliegen eines Verstoßes liege bei dem Betroffenen, so trifft diese Ansicht nicht zu. Zwar liegt die Beweislast für die tatbestandlichen Voraussetzungen einer Anspruchsgrundlage grds. beim Anspruchsteller; allein dies besagt die von der Bekl. zitierte Entscheidung des Gerichtshofs. Art. 5 Abs. 2 DS-GVO regelt nach zutreffender Ansicht aber im Rahmen seines Anwendungsbereichs – also bei Verstößen gegen Art. 5 Abs. 1 DS-GVO – auch die Beweislast im zivilrechtlichen Verfahren. Ein auf diese Verstöße der Bekl. gegen die Bestimmungen der Datenschutzgrundverordnung zurückzuführender immaterieller Schaden der Kl. lässt sich jedenfalls nicht feststellen. Nach der Rspr. des Gerichtshofs muss ein Schaden neben den Verstoß gegen die Datenschutzgrundverordnung treten, um einen Anspruch auf Schadensersatz auszulösen; der immaterielle Schaden besteht nicht schon in der Verletzung der Vorschriften der Datenschutzgrundverordnung. Ein solcher Schaden ergibt sich vorliegend weder aus einem Kontrollverlust noch vertiefend oder allein aus sonstigen Befürchtungen, Sorgen oder ähnlichem oder aus Spam-Kontakten und ihren Folgen. Ein Schaden allein aufgrund eines Kontrollverlustes ist nicht feststellbar. Allerdings stellt der von der Kl. geltend gemachte Kontrollverlust für sich gesehen einen immateriellen Schaden dar. Jedoch liegt ein Kontrollverlust bei der Kl. nicht vor. Wie der Bundesgerichtshof nach Verkündung des vorliegenden Urteils entschieden hat, stellt der – selbst kurzzeitige – Verlust der Kontrolle über Daten einen „immateriellen Schaden“ iSv Art. 82 Abs. 1 DS-GVO dar, ohne dass es sich daraus entwickelnder besonderer Befürchtungen oder Ängste der betroffenen Person bedarf; solche zusätzlichen spürbaren negativen Folgen wären lediglich geeignet, den eingetretenen immateriellen Schaden noch zu vertiefen oder zu vergrößern. Ebensowenig ist erforderlich, dass es im konkreten Einzelfall zu einer missbräuchlichen Verwendung der betreffenden Daten gekommen ist. Der Senat schließt sich dieser Auslegung der DS-GVO und der Rspr. des EuGH unter Aufgabe seiner bisherigen Rspr. an. Im vorliegenden Einzelfall scheitert ein Anspruch – im Hinblick auf den betroffenen Namen, das Geschlecht und die Mobilfunknummer – daran, dass die Kl. einen Kontrollverlust – wenn auch pauschal – zwar ausreichend dargelegt, aber nicht bewiesen hat. Wie bereits dem Wortlaut des Begriffs „Kontrollverlust“ zu entnehmen ist, setzt dieser voraus, dass der Betroffene zunächst die Kontrolle über das konkrete personenbezogene Datum – der Gerichtshof spricht insoweit von Datenhoheit – hatte und diese Kontrolle später gegen seinen Willen infolge des (streitgegenständlichen) Datenschutzverstoßes verloren hat. Folglich muss der potenziell Geschädigte, eben weil ihn die Darlegungslast für durch den Verstoß gegen die DS-GVO erlittene negative Folgen trifft, darlegen, dass er die Hoheit über die Daten nicht schon zuvor verloren hatte. Dies gilt insb. bei Daten, bei denen es sich – wie etwa bei dem Namen, dem jedenfalls im europäischen Kulturkreis fast immer aus dem Vornamen ableitbaren Geschlecht und der Telefonnummer – nicht um ein per se sensibles oder der Geheimhaltung unterliegendes personenbezogenes Datum handelt, sondern im Gegenteil um ein Identifizierungsmerkmal. Im Hinblick auf die Telefonnummer ist dabei von Bedeutung, dass es sich um ein solches Datum handelt, das nach seiner Zweckbestimmung dem Betroffenen ermöglichen soll, in Kontakt mit anderen, identifizierbaren Personen zu treten und das daher im täglichen Leben auch solchen anderen Personen oft in großem Umfang zugänglich gemacht wird. In solchen Fällen ist der Betroffene gehalten, dazu vorzutragen, wie er im Allgemeinen im privaten, geschäftlichen und/oder beruflichen Umfeld mit diesen Daten vor dem streitgegenständlichen Scraping-Vorfall umgegangen ist. Die Kl. ist dieser Darlegungslast zwar schriftsätzlich zunächst nachgekommen, indem sie hat vortragen lassen, „die Klägerseite behauptet, ihre Rufnummer ‘in üblichem Umfang‘ zu nutzen, konkret diese Rufnummer nicht an unbekannte Dritte herauszugeben und soweit es um Internetdienste geht, diese iRd Zwei-Faktor-Authentifizierung zu nutzen“. Die persönliche Anhörung der Kl. gem. § 141 ZPO hat allerdings diesen schriftsätzlichen Vortrag so nicht bestätigt. Auch Befürchtungen der missbräuchlichen Verwendung ihrer Daten seitens der Kl., die einen – von der Kl. zu beweisenden – immateriellen Schaden darstellen können, wenn damit einhergehend negative Folgen vorliegen, sind nicht feststellbar. Allerdings genügt – wie der Bundesgerichtshof nach Verkündung des vorliegenden Urteils entschieden hat – die pauschale und in einer Vielzahl von Fällen gleichlautende Behauptung von Angst, Sorge und Unwohlsein wegen Spam-SMS und -Anrufen sowie von aufgewandter Zeit und Mühe in der Auseinandersetzung mit dem Scraping-Vorfall sowie dem Schutz vor künftigem Missbrauch, den prozessualen Darlegungsanforderungen. Der Senat schließt sich dieser Auslegung der DS-GVO und der Rspr. des EuGH unter Aufgabe seiner bisherigen Rspr. an. In Würdigung der (fehlenden) Angaben der Kl. im Rahmen ihrer persönlichen Anhörung zu inneren Empfindungen in Abweichung zum schriftsätzlichen Vortrag ist der Senat davon überzeugt, dass ein immaterieller Schaden in Form der begründeten Befürchtung der missbräuchlichen Datenverwendung mit negativen Folgen bei der Kl. nicht vorliegt. Sollte an den in Rede stehenden Daten – entgegen der Ansicht des Senats – ein Kontrollverlust eingetreten sein, so stünde zur Überzeugung des Senats fest, dass dieser Kontrollverlust auf Datenschutzverstößen der Bekl. beruhte. Ein angemessener Anspruch auf Ersatz dieses immateriellen Schadens nach Art. 82 Abs. 1 DS-GVO beliefe sich unter Abwägung aller Umstände des Einzelfalls auf 100 EUR. Dieser Betrag ist zum Ausgleich eines etwaigen Schadens erforderlich, aber auch ausreichend und entspricht der Billigkeit (vgl. § 253 Abs. 2 BGB). Die Bemessung des Schadensersatzes richtet sich entsprechend dem Grundsatz der Verfahrensautonomie nach den innerstaatlichen Vorschriften über den Umfang der finanziellen Entschädigung, in Deutschland also nach § 287 ZPO unter Berücksichtigung mehrerer unionsrechtlicher Einschränkungen insb. nach der Ausgleichsfunktion des Art. 82 DS-GVO. Vor diesem Hintergrund ist in die zur Bemessung des Schadensersatzes vorzunehmende Abwägung einzustellen, dass der Kl. ein – unterstellter – immaterieller Schaden entstanden ist, der in einem Kontrollverlust – aber auch nur in diesem – besteht. Insb. ist nach dem Gesagten nicht die Befürchtung vor Datenmissbrauch zu kompensieren, da eine solche Befürchtung zur Überzeugung des Senats widerlegt ist. Der Kontrollverlust beschränkt sich dabei auf nicht sonderlich sensible Daten, sondern solche der Sozialsphäre der Kl. Die Mobiltelefonnummer ist – solange die Nummer nicht (fast vollständig) geheim gehalten wird – auf Kontaktaufnahme gerichtet. Gelangt sie in die Hand von Dritten, die nach dem Willen der Kl. nicht in ihren Besitz gelangen sollen, wiegt dies entsprechend nicht so schwer wie der Kontrollverlust über Daten, die von vornherein auf Geheimhaltung – wie etwa Arztdaten – angelegt sind. Dennoch ist zu berücksichtigen, dass die in Rede stehenden Daten der Kl. auf einer insgesamt ca. 533 Millionen Datensätze umfassenden Liste im Darknet veröffentlicht worden sind, was einen Missbrauch durch Kriminelle nicht unwahrscheinlich macht – wobei das persönliche Risiko, für einen Missbrauchsversuch ausgewählt zu werden, wiederum durch die Vielzahl der Datensätze sowie die Methode der Rufnummerngenerierung relativiert wird. Nach der Rspr. des Gerichtshofes kommt dem in Art. 82 Abs. 1 DS-GVO niedergelegten Schadensersatzanspruch ausschließlich eine Ausgleichsfunktion zu. Er erfüllt keine Abschreckungs- oder gar Straffunktion, weshalb auch das Vorliegen mehrerer auf denselben Verarbeitungsvorgang bezogener Verstöße nicht zu einer Erhöhung des Schadensersatzes führt. Diese Wertung würde unterlaufen, wenn unterschiedliche, aber sämtlich auf den Scraping-Vorfall bezogene Datenschutzverstöße in gesonderte Lebenssachverhalte aufgespalten würden und damit kumulativ geltend gemacht werden könnten. |
| NEU OLG Düsseldorf Urt. v. 31.10.2024 - 16 U 47/23 | 0 EUR Der auf Ersatz eines immateriellen Schadens gerichtete Klageantrag ist zulässig, aber unbegründet. Dem Kl. steht gegen die Bekl. kein Anspruch auf Schadensersatz nach Art. 82 Abs. 1 DS-GVO zu. Entgegen der Ansicht der Bekl. begegnet der Antrag nicht schon Bestimmtheitsbedenken. Wie der Kl. klargestellt hat, stützt er sein Klagebegehren nicht auf eine unzulässige Häufung alternativer Klagegründe oder Streitgegenstände. Vielmehr geht es ihm um den Ersatz eines immateriellen Schadens, der sich aus mehreren Datenschutzverstößen der Bekl. ergeben haben soll. Insoweit nimmt der Kl. auf den einen von ihm beschriebenen Scraping-Vorfall Bezug, von dem er im Jahr 2019 betroffen war. Damit liegt dem geltend gemachten Schadensersatzanspruch aber ein eindeutig abgrenzbarer, einheitlicher Lebenssachverhalt und damit ein einheitlicher Streitgegenstand zugrunde. Da es bei Klagen, die auf Ersatz immaterieller Schäden gerichtet sind, keiner Bezifferung des Anspruchs bedarf, sondern vielmehr ausreicht, wenn vom Kl. eine Mindestvorstellung mitgeteilt wird, auf die sich der Ersatzbetrag belaufen soll, konnte der Kl. seinen Antrag auch wie geschehen unter Nennung eines Mindestbetrags formulieren. Der zulässige Antrag ist jedoch unbegründet. Gemäß Art. 82 Abs. 1 DS-GVO setzt ein Schadensersatzanspruch nach dieser Vorschrift einen Verstoß des Verantwortlichen gegen die DS-GVO, den Eintritt eines Schadens sowie einen Kausalzusammenhang zwischen dem Verstoß und dem Schaden voraus. Zwar hat die Bekl. entgegen der Ansicht des LG gegen die DS-GVO verstoßen, der Kl. hat dadurch aber keinen ersatzfähigen Schaden erlitten. Der von Art. 82 Abs. 1 DS-GVO verlangte Verstoß gegen die DS-GVO liegt vor. Dabei kann hier dahinstehen, ob jeder Verstoß gegen materielle oder formelle Bestimmungen der DS-GVO oder erst eine verordnungswidrige Datenverarbeitung iSv Art. 82 Abs. 2 S. 1 DS-GVO einen Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO begründen kann. Da die Bekl. – wie noch auszuführen ist – personenbezogene Daten des Kl. ohne die nach Art. 6 Abs. 1 DS-GVO erforderliche Rechtsgrundlage verarbeitet hat, liegt nicht nur ein Verstoß gegen die DS-GVO, sondern auch eine verordnungswidrige Datenverarbeitung vor. Zwar ist damit ein Datenschutzverstoß der Bekl. jedenfalls wegen der Bereitstellung der Mobilfunknummer als personenbezogenes Datum des Kl. zu bejahen. Insofern kommt es für einen Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO auch nicht darauf an, ob der Bekl. wegen dieses Datenverarbeitungsvorgangs über den einen festgestellten Datenschutzverstoß hinaus noch weitere Datenschutzverstöße anzulasten sind. Das Vorliegen mehrerer Datenschutzverstöße durch ein und denselben Verarbeitungsvorgang bleibt auf die Höhe eines etwaigen Schadensersatzanspruchs ohne Auswirkungen. Es kann jedoch nicht festgestellt werden, dass der Kl. durch den vorgenannten Datenschutzverstoß der Bekl. einen Schaden iSv Art. 82 Abs. 1 DS-GVO erlitten hat. Nach der Rspr. des EuGH sind die in Art. 82 Abs. 1 DS-GVO enthaltenen Begriffe „materieller oder immaterieller Schaden“ sowie „Schadensersatz“ autonom und einheitlich auszulegen, weil die DS-GVO für sie nicht auf das Recht der Mitgliedstaaten verweist. Maßgeblich ist danach das Begriffsverständnis, wie es in der Rspr. des Gerichtshofs ausgeformt worden ist. Die Darlegungs- und Beweislast für das Vorliegen eines Schadens auf der Grundlage dieses Begriffsverständnisses trifft nach dieser Rspr. sodann den jeweiligen Kl. Hiernach hat der Kl. einen ihm entstandenen Schaden bereits nicht ausreichend dargelegt. Entgegen der Auffassung des Kl. liegt in dem Verlust der Kontrolle über personenbezogene Daten als solches noch kein ersatzfähiger Schaden. Hiergegen kann der Kl. nicht schon mit Erfolg Erwägungsgrund 75 und 85 DS-GVO anführen. Zwar wird in Erwägungsgrund 85 DS-GVO der Verlust der Kontrolle über personenbezogene Daten als Beispielsfall eines Schadens aufgeführt. Insoweit ist aber zu beachten, dass die Erwägungsgründe keinen normativen Charakter haben, sondern nur als Auslegungshilfe der Bestimmungen der Verordnung dienen. Nach der insoweit für den Senat maßgeblichen Auslegung des Art. 82 Abs. 1 DS-GVO durch den EuGH begründet der bloße Kontrollverlust keinen immateriellen Schaden im Sinne der Vorschrift. Zwar soll der Begriff des Schadens, der der betroffenen Person entstehen kann, auch den bloßen „Verlust der Kontrolle“ über ihre eigenen Daten infolge des Verstoßes gegen die DS-GVO erfassen können. Insofern kann sich ein immaterieller Schaden auch aus dem nur kurzzeitigen Verlust der Kontrolle über personenbezogene Daten ergeben. Daraus folgt jedoch nicht, dass eine Person, die von einem Verstoß gegen Vorschriften der DS-GVO betroffen ist, der für sie negative Folgen gehabt hat, vom Nachweis befreit wäre, dass diese Folgen – zu denen der Senat nach seinem Verständnis dieser Rspr. auch den Kontrollverlust zählt – einen immateriellen Schaden darstellen. Insb. kann ein rein hypothetisches Risiko der missbräuchlichen Verwendung personenbezogener Daten durch einen unbefugten Dritten nicht zu einer Entschädigung führen. Wenn sich eine Person auf die Befürchtung beruft, ihre personenbezogenen Daten könnten zukünftig missbräuchlich verwendet werden, muss das nationale Gericht prüfen, ob diese Befürchtung unter den gegebenen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann. Zudem kommt nach Art. 82 Abs. 1 DS-GVO ein Schadensersatzanspruch wegen einer solchen begründeten Befürchtung nur in Betracht, wenn diese Befürchtung samt ihrer negativen Folgen ordnungsgemäß nachgewiesen ist. Nach dieser Rspr. stellt ein folgenloser Kontrollverlust keinen immateriellen Schaden dar. Hiervon abgesehen hat der Kl. hinsichtlich eines Teils der Daten aus dem Leak-Datensatz auch keinen Kontrollverlust erlitten. Die A.-ID, sein Name und sein Geschlecht waren ohnehin öffentliche, für jedermann auf A. und von außerhalb der Plattform einsehbare Angaben, so dass insoweit ein Kontrollverlust iSd Situation, in der der Betroffene seine personenbezogenen Daten nicht mehr beherrschen kann, zum Zeitpunkt des Datenabgriffs schon längst eingetreten war. Soweit der Kl. behauptet, infolge des Scraping-Vorfalls in einen Zustand großen Unwohlseins und großer Sorge über einen etwaigen Missbrauch seiner Daten geraten zu sein und ein Gefühl des Kontrollverlusts, des Beobachtetwerdens und der Hilflosigkeit verspürt zu haben, ist sein Vortrag nicht geeignet, einen immateriellen Schaden darzulegen. Zwar können entsprechende Empfindungen grds. einen immateriellen Schaden iSv Art. 82 Abs. 1 DS-GVO darstellen. Mit den Ausführungen in seinen Schriftsätzen legt der Kl. eine entsprechende individuelle Betroffenheit jedoch nicht dar. Wie der Senat aus einer Vielzahl bei ihm anhängiger Parallelverfahren und auch aus dem Vorbringen der Parteien weiß, handelt es sich bei den betreffenden Formulierungen lediglich um Textbausteine, die wortlautidentisch vieltausendfach Verwendung gefunden haben. Sie lassen infolgedessen keinen Rückschluss auf individuelle Empfindungen des Kl. zu. |
| NEU OLG Düsseldorf Urt. v. 31.10.2024 – 16 U 45/23 | 0 EUR Wie OLG Düsseldorf Urt. v. 31.10.2024 - 16 U 47/23. |
| NEU OLG Dresden Urt. v. 15.10.2024 – 4 U 422/24 | 0 EUR Wie OLG Dresden Urt. v. 10.10.2024 – 4 U 683/24. |
| NEU OLG Dresden Urt. v. 15.10.2024 – 4 U 940/24= ZD 2025, 103 mAnm Steiger | 0 EUR Wie OLG Dresden Urt. v. 10.10.2024 – 4 U 683/24. |
| NEU OLG Dresden Urt. v. 10.10.2024 – 4 U 683/24 | 0 EUR Der Klagepartei steht kein Anspruch auf immateriellen Schadensersatz gem. Art. 82 DS-GVO zu. Zwar hat die Bekl. selbst gegen ihre aus der DS-GVO resultierenden Pflichten zur Überwachung ihres externen Dienstleisters verstoßen. Ob die Bekl. darüber hinaus gegen ihre eigenen Pflichten zur Einhaltung technischer Sicherheitsstandards gem. Art. 24, 25 32 DS-GVO verstoßen hat, kann vor diesem Hintergrund offenbleiben. Der behauptete Verstoß gegen die der Bekl. nach Art. 33; 34 DS-GVO obliegenden Informationspflichten hätte vorliegend keine Auswirkungen auf den begehrten Schadensersatz. Die Bekl. kann sich hinsichtlich ihres eigenen Verstoßes gegen ihre Kontrollpflichten nach Art 28 DS-GVO auch nicht gem. Art. 82 Abs. 3 DS-GVO entlasten. Aus dem Datenschutzverstoß der Bekl. ist der Klagepartei aber kein kausaler Schaden entstanden, denn einen ihm durch den streitgegenständlichen Datenverlust entstandenen emotionalen Schaden hat der Kl. nicht glaubhaft gemacht. Die Bekl. ist der Klagepartei dem Grunde nach gem. Art. 82 DS-GVO zum Schadensersatz verpflichtet. Der Verantwortliche und Auftragsverarbeiter haftet im Grundsatz nach Art. 82 DS-GVO für das Handeln seiner Auftragsverarbeiter und dessen Mitarbeiter jedenfalls dann, wenn dem Mitarbeiter erst durch die ihm vom Verantwortlichen oder Auftragsverarbeiter übertragene Tätigkeit die Gelegenheit gegeben wurde, auf die Rechtsgüter der betroffenen Person einzuwirken. Der Verantwortliche haftet auch, wenn der Auftragsverarbeiter die Weisungen des Verantwortlichen ausführt und dadurch ein Schaden entsteht. Missachtet der Auftragsverarbeiter eine rechtmäßige Weisung des Verantwortlichen, haftet der Verantwortliche auch hierfür. Zwar besteht in diesem Fall auch eine Haftung des Auftragsdatenverarbeiters. Der Verantwortliche kann den Betroffenen aber nicht auf dessen vorrangige Inanspruchnahme verweisen, weil dies einem „wirksamen Schadensersatz“ iSd Art. 82 Abs. 4 DS-GVO (vgl. auch Erwägungsgrund 146 S. 6) entgegenstünde. Ein Abschieben der Haftung auf den Auftragsverarbeiter widerspricht auch dem Grundgedanken der Auftragsverarbeitung, wonach der Verantwortliche zwar ohne Weiteres Dritte einschalten darf, aber ggü. der betroffenen Person verantwortlich bleibt. Der Auftragsverarbeiter ist letztlich – mit einigen formalen und inhaltlichen Anforderungen, die aus der fehlenden arbeitsrechtlichen Weisungsbefugnis und tatsächlichen Kontrollmöglichkeit herrühren – wie ein sonstiger Mitarbeiter zu behandeln. Die Bekl. hat gegen die ihr obliegende Pflicht zur sorgfältigen Überwachung des von ihr beauftragten externen Auftragsdatenverarbeiters verstoßen, Art. 28, 32 DS-GVO. Anders wäre dies lediglich dann, wenn der Auftragsdatenverarbeiter selbst unredlich gehandelt und die Daten deshalb nicht gelöscht hätte, um sie selbst später weiter zu veräußern oder für eigenen Zwecke zu verarbeiten. Anhaltspunkte für einen solchen Verdacht sind von der hierfür beweisbelasteten Bekl. indes nicht aufgezeigt worden. Nur in einem solchen Fall käme auch ein Auftragsverarbeiterexzess gem. Art. 82 Abs. 3 DS-GVO in Betracht, der die Verantwortlichkeit der Bekl. entfallen ließe. Das bloß versehentliche Nichtlöschen der Daten, das noch dazu durch eine unzureichende Kontrolle seitens der Bekl. maßgeblich erleichtert wurde, hält sich jedoch noch iRd Erwartbaren und erfüllt damit die Voraussetzungen des Art. 82 Abs. 3 DS-GVO nicht. Offenbleiben kann ebenfalls, ob die Bekl. ihre Benachrichtigungspflicht aus Art. 34 DS-GVO ggü. der Klagepartei, aus Art. 33 DS-GVO ggü. der Aufsichtsbehörde oder die Auskunftspflicht nach Art. 15 DS-GVO verletzt hat, denn ein kausaler Schaden der Klagepartei, der auf der Verletzung von Benachrichtigungspflichten beruhen könnte, ist nicht ersichtlich. Die Klagepartei hat nicht dargelegt, welcher Schaden ihr daraus entstanden sein soll. Der Kontrollverlust und die Veröffentlichung der Daten und die nach der Behauptung der Klagepartei darauf beruhenden ungebetenen Spam-E-Mails können nur auf dem Hacking-Vorfall und nicht auf der Verletzung von Benachrichtigungs- und Auskunftspflichten zurückzuführen sein. Unabhängig davon kann ein Schadensersatzanspruch nach Art. 82 DS-GVO ohnehin nicht auf die Verletzung der vorgenannten Pflichten gestützt werden, da keine „Verarbeitung personenbezogener Daten“ vorliegt. Nach der Rspr. des EuGH setzt der Anspruch die Verarbeitung personenbezogener Daten unter Verstoß gegen die Bestimmung der DS-GVO voraus. Dies belegt auch die Formulierung in Erwägungsgrund Nr. 146, wonach Schäden ersetzt werden, die „aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht“. Die Bekl. kann sich nicht nach Art. 82 Abs. 3 DS-GVO exkulpieren. Der Verantwortliche oder der Auftragsverarbeiter wird nach dem Wortlaut dieser Vorschrift von der Haftung gem. Abs. 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. „Nicht verantwortlich“ bedeutet, dass den Verantwortlichen bzw. den Auftragsverarbeiter keinerlei Verschulden an dem Ereignis trifft, das den Schaden auslöste. „In keinerlei Hinsicht“ bedeutet, dass der Verantwortliche bzw. der Auftragsverarbeiter nachweist, er habe alle Sorgfaltspflichten erfüllt und damit ihm nicht die geringste Fahrlässigkeit vorgeworfen werden kann. Hält er zB alle erforderlichen technischen und organisatorischen Datensicherungsmaßnahmen ein und kommt es dennoch zu einem unbefugten Datenzugriff, kann dies ihm nicht angelastet werden. Die Haftung des Verantwortlichen für das Verhalten eines Auftragsverarbeiters erstreckt sich grds. nicht auf die Fälle, in denen der Auftragsverarbeiter personenbezogene Daten für eigene Zwecke verarbeitet hat oder diese Daten auf eine Weise verarbeitet hat, die nicht mit dem Rahmen oder den Modalitäten der Verarbeitung, wie sie vom Verantwortlichen festgelegt wurden, vereinbar ist oder auf eine Weise, bei der vernünftigerweise nicht davon ausgegangen werden kann, dass der Verantwortliche ihr zugestimmt hätte EuGH Urt. v. 5.12.2023 – C-683/21 [= ZD 2024, 209 mAnm R. Schneider] Rn. 85. Vorliegend hat der Auftragsdatenverarbeiter zwar sowohl gegen allgemeine Regeln der DS-GVO als auch gegen ihre - entsprechenden - vertraglichen Pflichten verstoßen. Ungeachtet vertraglicher Verpflichtungen ist der Auftragsverarbeiter bereits nach der DS-GVO iRd Auftragsverarbeitung grds. nicht berechtigt, die im Auftrag verarbeiteten Daten für eigene Zwecke bzw. für die Zwecke Dritter zu verarbeiten. Darüber hinaus hat der Auftragsverarbeiter die Rückgabe- und Löschpflichten nach Beendigung des Auftrags zu beachten. Wie oben ausgeführt, käme die Bekl. allerdings nur dann in den Genuss der Haftungsprivilegierung nach Art. 82 Abs. 3 DS-GVO, wenn ihr selbst keinerlei Fahrlässigkeit vorzuwerfen wäre. Dies ist vorliegend angesichts des eigenen Pflichtenverstoßes der Bekl. nicht der Fall. Dem kann auch nicht das fehlende Zugriffsrecht der Bekl. nach Ablauf des Auftragsverarbeitungsverhältnisses entgegengehalten werden; wie aufgezeigt standen hier nämlich der Bekl. die in Nr. 9, 10 des Nachtrags geregelten nachwirkenden Kontrollmöglichkeiten offen. Der Kl. kann aus den angeführten Verstößen der Bekl. gegen die DS-GVO keinen Anspruch auf Ersatz immateriellen Schadens herleiten. Der Klagepartei obliegt die Darlegungs- und Beweislast für den bei ihr eingetretenen Schaden sowie den Kausalzusammenhang zwischen der rechtswidrigen Verarbeitung der Daten und dem Schaden. Dieser Beweis ist nicht erbracht worden. Art. 82 Abs. 2 DS-GVO, der die Haftungsregelung, deren Grundsatz in Abs. 1 dieses Artikels festgelegt ist, präzisiert, übernimmt die drei Voraussetzungen für die Entstehung des Schadensersatzanspruchs, nämlich eine Verarbeitung personenbezogener Daten unter Verstoß gegen die Bestimmungen der DS-GVO, ein der betroffenen Person entstandener Schaden und ein Kausalzusammenhang zwischen der rechtswidrigen Verarbeitung und diesem Schaden. Der europäische Gerichtshof stützt sich auf den 146. Erwägungsgrund, der auf „Schäden“ abstellt, „die einer Person aufgrund einer Verarbeitung entstehen“. Zwar muss der Schaden nicht eine gewisse Erheblichkeit erreichen, jedoch besteht ein Nachweiserfordernis für immaterielle Schäden durch die betroffene Person. Allerdings muss der Schaden tatsächlich und sicher entstanden sein. Hierbei hat der EuGH in einem behaupteten Verlust des Vertrauens in eine Institution keinen ersatzfähigen immateriellen Schaden gesehen. Der Kontrollverlust der Daten und deren Veröffentlichung im Darknet hat im vorliegenden Fall zu keinem immateriellen Schaden iSv Art. 82 DS-GVO bei der Klagepartei geführt. Ob vorliegend die Klägerpartei durch den Hinweis auf die Seite „h.......com“ ihrer Darlegungs- und Beweislast hinsichtlich der entwendeten Daten nachgekommen ist, kann offenbleiben, denn der - unterstellte - Kontrollverlust über diese Datenpunkte begründet im vorliegenden Fall für die Klagepartei keinen Schadensersatzanspruch. Nach der Rechtsprechung des EuGH (EuGH Urt. v. 20.6.2024 – C-590/22 [= ZD 2024, 519 mAnm Pauly/Kienle] - juris; v. 14.12.2023 - C - 340/21 [= ZD 2024, 150 mAnm Sosna/Ligocki = MMR 2024 231, mAnm Kohl/Rothkegel] - juris) kann der Kontrollverlust grds. einen immateriellen Schaden begründen. Aus dieser beispielhaften Aufzählung im Erwägungsgrund Nr. 85 der „Schäden“, die den betroffenen Personen entstehen können geht hervor, dass der Unionsgesetzgeber unter den Begriff „Schaden“ insb. auch den bloßen „Verlust der Kontrolle“ über ihre eigenen Daten infolge eines Verstoßes gegen die DS-GVO fassen wollte, selbst wenn konkret keine missbräuchliche Verwendung der betreffenden Daten zum Nachteil dieser Personen erfolgt sein sollte. Allerdings muss eine Person, die von einem Verstoß gegen die DS-GVO betroffen ist, der für sie negative Folgen gehabt hat, nachweisen, dass diese Folgen einen immateriellen Schaden iSv Art. 82 DS-GVO darstellen. Wenn sich eine Person, die auf dieser Grundlage Schadensersatz fordert, auf die Befürchtung beruft, dass ihre personenbezogenen Daten in Zukunft aufgrund eines solchen Verstoßes missbräuchlich verwendet werden, ist aber gleichwohl zu prüfen, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann. An dem Erfordernis eines kausalen Schadens hat der EuGH festgehalten. Dies deckt sich mit der Funktion des aus Art. 82 Abs. 1 DS-GVO folgenden Anspruchs auf Schadensersatz, einen konkreten Schaden auszugleichen. Ließe man einen für den Betroffenen folgenlosen Kontrollverlust als immateriellen Schaden zu, müsste die Höhe des Schadensersatzes konsequent Null betragen. Denn für die Bemessung des Ersatzes des immateriellen Schadens kommt es letztlich im Hinblick auf die Ausgleichsfunktion des Art. 82 Abs. 1 DS-GVO nur auf die konkreten Auswirkungen für die betroffene Person an, nicht aber bspw. auf Strafzwecke, Schwere des Verschuldens, Schwere des Verstoßes gegen die DS-GVO oder die Anzahl der Verstöße gegen die Datenschutzgrundverordnung im Hinblick auf einen Vorgang. Dafür sprechen zudem systematische Gründe. So wird in der Auslegung anderer Normen, die einen immateriellen Schaden voraussetzen, dieser als eine negative innere Tatsache des Geschädigten angesehen, zB die Trauer über den Verlust eines nahen Angehörigen; hingegen wird der Verlust des nahen Angehörigen als solcher nicht als Schaden anerkannt. Wenn aber schon der Verlust eines Angehörigen an sich zur Begründung eines immateriellen Schadens nicht ausreicht, dann ist dies aus Wertungsgesichtspunkten erst recht nicht beim Verlust der Kontrolle über Daten der Fall. |
| NEU OLG Dresden Urt. v. 10.9.2024 – 4 U 602/24 | 0 EUR Wie OLG Dresden Urt. v. 10.10.2024 – 4 U 683/24. |
| NEU OLG Dresden Urt. v. 17.9.2024 – 4 U 506/24 | 0 EUR Vorliegend ist der Auskunftsantrag auf eine objektiv unmögliche Leistung gerichtet, weil er Auskünfte über eine unbefugte Veröffentlichung im Jahre 2019 verlangt. Lediglich die Datensätze stammten aus dem Jahr 2019. Die Bekl. hat vorgetragen, dass der Datenverlust im Jahre 2022 erfolgte, so dass Auskünfte über einen vorherigen - nicht bekannten - unbefugten Datenhack im Jahre 2019 nicht möglich sind. Da die Klagepartei die volle Beweislast für den Kontrollverlust ihrer Daten trägt, hätte es ihr im Falle des Bestreitenwollens oblegen, substantiiert und unter Beweisantritt für das Gegenteil zu einer illegalen Weitergabe bereits im Jahre 2019 vorzutragen. Dies ist nicht erfolgt. Unabhängig davon ist die verlangte Auskunft auch insoweit unmöglich und damit nach § 275 BGB nicht geschuldet, als sie auf Herausgabe und Mitteilung von Daten gerichtet ist, über die die Bekl. nicht verfügt. Erfüllt iSd § 362 Abs. 1 BGB ist ein Auskunftsanspruch grds. dann, wenn die Angaben nach dem erklärten Willen des Schuldners die Auskunft im geschuldeten Gesamtumfang darstellen. Wird die Auskunft in dieser Form erteilt, steht ihre etwaige inhaltliche Unrichtigkeit einer Erfüllung nicht entgegen. Der Verdacht, dass die erteilte Auskunft unvollständig oder unrichtig ist, kann einen Anspruch auf Auskunft in weitergehendem Umfang nicht begründen. Wesentlich für die Erfüllung des Auskunftsanspruchs ist daher die - gegebenenfalls konkludente - Erklärung des Auskunftsschuldners, dass die Auskunft vollständig ist. Die Annahme eines derartigen Erklärungsinhalts setzt demnach voraus, dass die erteilte Auskunft erkennbar den Gegenstand des berechtigten Auskunftsbegehrens vollständig abdecken soll. Daran fehlt es zB dann, wenn sich der Auskunftspflichtige hinsichtlich einer bestimmten Kategorie von Auskunftsgegenständen nicht erklärt hat, etwa weil er irrigerweise davon ausgeht, er sei hinsichtlich dieser Gegenstände nicht zur Auskunft verpflichtet. Dann kann der Auskunftsberechtigte eine Ergänzung der Auskunft verlangen. Vorliegend hat der Kl. zwar ein vorgerichtliches Auskunftsgesuch vorgelegt das die Bekl. nicht beantwortet hat. Die Bekl. hat aber unwidersprochen vorgetragen, dass sie ein solches Schreiben vom Kl. niemals erhalten hat. Der Kl. ist dieser Behauptung nicht entgegengetreten, so dass erstmalig für die Bekl. wahrnehmbar das Auskunftsersuchen mit der Klage erfolgte. |
| NEU OLG Dresden Urt. v. 3.9.2024 – 4 U 480/24 | 100 EUR Der Klagepartei steht lediglich ein Anspruch auf Ersatz eines immateriellen Schadens aus Art. 82 DS-GVO iHv 100 EUR zu. Der Zahlungsantrag ist hinreichend bestimmt gem. § 253 ZPO. Dem steht nicht entgegen, dass der geltend gemachte Schadensersatzanspruch auf mehrere behauptete Verstöße gestützt wird. Entgegen der Ansicht der Bekl. liegt keine Häufung unzulässiger alternativer Klagegründe bzw. Streitgegenstände vor. Der Streitgegenstand wird durch den Klageantrag, in dem sich die vom Kl. in Anspruch genommene Rechtsfolge konkretisiert, und den Lebenssachverhalt bestimmt, aus dem der Kl. die begehrte Rechtsfolge herleitet (§ 253 Abs. 2 Nr. 2 ZPO). Zum Anspruchsgrund sind alle Tatsachen zu rechnen, die bei einer natürlichen, vom Standpunkt der Parteien ausgehenden und den Sachverhalt seinem Wesen nach erfassenden Betrachtung zu dem zur Entscheidung gestellten Tatsachenkomplex gehören, den der Kl. zur Stützung seines Rechtsschutzbegehrens dem Gericht vorträgt. Die Bekl. hat in mehrfacher Hinsicht bei der Datenverarbeitung gegen die DS-GVO verstoßen. Sie hat gegen das Gebot der datenschutzfreundlichen Voreinstellung nach Art. 25 Abs. 2 DS-GVO verstoßen. Die Handynummer wurde ohne rechtfertigenden Grund nach Art. 6 DS-GVO verarbeitet. Offenbleiben kann, ob sie ausreichende technische und organisatorische Maßnahmen nach Art. 24, 32 DS-GVO ergriffen hat und ob sie ihrer Benachrichtigungspflicht aus Art. 34, 25 DS-GVO und ihrer Auskunftspflicht aus Art. 15 DS-GVO nachgekommen ist. Offenbleiben kann ebenfalls, ob die Bekl. ihre Benachrichtigungspflicht aus Art. 34 DS-GVO ggü. der Klagepartei, aus Art. 33 DS-GVO ggü. der Aufsichtsbehörde oder die Auskunftspflicht nach Art. 15 DS-GVO verletzt hat, denn ein kausaler Schaden der Klagepartei, der auf der Verletzung von Benachrichtigungspflichten beruhen könnte, ist nicht ersichtlich. Unabhängig davon kann ein Schadensersatzanspruch nach Art. 82 DS-GVO ohnehin nicht auf die Verletzung der vorgenannten Pflichten gestützt werden, da keine „Verarbeitung personenbezogener Daten“ vorliegt. Nach der Rspr. des EuGH setzt der Anspruch die Verarbeitung personenbezogener Daten unter Verstoß gegen die Bestimmung der DS-GVO voraus. Dies belegt auch die Formulierung in Erwägungsgrund Nr. 146, wonach Schäden ersetzt werden, die „aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht“. Art. 82 Abs. 2 DS-GVO, der die Haftungsregelung, deren Grundsatz in Abs. 1 dieses Artikels festgelegt ist, präzisiert, übernimmt die drei Voraussetzungen für die Entstehung des Schadensersatzanspruchs, nämlich eine Verarbeitung personenbezogener Daten unter Verstoß gegen die Bestimmungen der DS-GVO, ein der betroffenen Person entstandener Schaden und ein Kausalzusammenhang zwischen der rechtswidrigen Verarbeitung und diesem Schaden. Der EuGH stützt sich auf Erwägungsgrund 146 DS-GVO, der auf „Schäden“ abstellt, „die einer Person aufgrund einer Verarbeitung entstehen“. Zwar muss der Schaden nicht eine gewisse Erheblichkeit erreichen, jedoch besteht ein Nachweiserfordernis für immaterielle Schäden durch die betroffene Person. Der Schaden muss tatsächlich und sicher entstanden sein. Durch den Kontrollverlust der Mobiltelefonnummer und deren Veröffentlichung im Darknet ist kein materieller Schaden eingetreten. Dies behauptet die Klagepartei auch nicht. Der Kontrollverlust der Daten und deren Veröffentlichung im Darknet hat im vorliegenden Fall zu einem - wenngleich nur geringfügigen - immateriellen Schaden iSv Art. 82 DS-GVO bei der Klagepartei geführt. Nach der Rspr. des EuGH kann der Kontrollverlust grds. einen immateriellen Schaden begründen. Aus dieser beispielhaften Aufzählung im Erwägungsgrund Nr. 85 der „Schäden“, die den betroffenen Personen entstehen können geht hervor, dass der Unionsgesetzgeber unter den Begriff „Schaden“ insbesondere auch den bloßen „Verlust der Kontrolle“ über ihre eigenen Daten infolge eines Verstoßes gegen die DS-GVO fassen wollte, selbst wenn konkret keine missbräuchliche Verwendung der betreffenden Daten zum Nachteil dieser Personen erfolgt sein sollte. Allerdings muss eine Person, die von einem Verstoß gegen die DS-GVO betroffen ist, der für sie negative Folgen gehabt hat, nachweisen, dass diese Folgen einen immateriellen Schaden iSv Art. 82 DS-GVO darstellen. Wenn sich eine Person, die auf dieser Grundlage Schadensersatz fordert, auf die Befürchtung beruft, dass ihre personenbezogenen Daten in Zukunft aufgrund eines solchen Verstoßes missbräuchlich verwendet werden, ist aber gleichwohl zu prüfen, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann. An dem Erfordernis eines kausalen Schadens hat der EuGH festgehalten. Dies deckt sich mit der Funktion des aus Art. 82 Abs.1 DS-GVO folgenden Anspruches auf Schadensersatz, einen konkreten Schaden auszugleichen. Ließe man einen für den Betroffenen folgenlosen Kontrollverlust als immateriellen Schaden zu, müsste die Höhe des Schadensersatzes konsequent auf null EUR lauten. Denn für die Bemessung des Ersatzes des immateriellen Schadens kommt es letztlich im Hinblick auf die Ausgleichsfunktion des Art. 82 Abs. 1 DS-GVO nur auf die konkreten Auswirkungen für die betroffene Person an, nicht aber zB auf Strafzwecke, Schwere des Verschuldens, Schwere des Verstoßes gegen die DS-GVO oder die Anzahl der Verstöße gegen die Datenschutzgrundverordnung. Die betroffene Person muss die Tatsachen, die dazu führen können, dass ein „tatsächlich erlittener immaterieller Schaden“ infolge der Verletzung des Schutzes personenbezogener Daten anerkannt werden kann, genau und nicht nur allgemein darlegen, auch wenn er nicht eine im Voraus festgelegte Schwelle von besonderer Schwere erreicht. Entscheidend ist, dass es sich nicht um eine bloße subjektive Wahrnehmung handelt, die veränderlich ist und auch vom Charakter und von persönlichen Faktoren abhängt, sondern um die Objektivierung einer, wenn auch geringfügigen aber nachweisbaren Beeinträchtigung der physischen oder psychischen Sphäre oder des Beziehungslebens einer Person; die Art der betroffenen personenbezogenen Daten und die Bedeutung, die sie im Leben der betroffenen Person haben und vielleicht auch die Wahrnehmung, die die Gesellschaft zu diesem Zeitpunkt von dieser spezifischen, mit der Datenverletzung verbundenen Beeinträchtigung hat. Unter Berücksichtigung der Umstände kann die Befürchtung der Klagepartei, dass die Daten missbräuchlich verwendet werden, nicht als unbegründet angesehen werden. Der Kl. hat einen immateriellen Schaden nachgewiesen. Er hat vor dem LG eine zwar kurzzeitige, jedoch störende Beeinträchtigung mit andauernden Telefonaten geschildert, der er nur durch Wechsel seiner Telefonnummer habe entgehen können. Der – selbst kurzzeitige – Verlust der Kontrolle über personenbezogene Daten kann einen „immateriellen Schaden“ iSv Art. 82 Abs. 1 DS-GVO darstellen, der einen Schadensersatzanspruch begründet, sofern die betroffene Person den Nachweis erbringt, dass sie tatsächlich einen solchen Schaden – so geringfügig er auch sein mag – erlitten hat, wobei der bloße Verstoß gegen die Bestimmungen der DS-GVO nicht ausreicht, um auf dieser Grundlage einen Schadensersatzanspruch zu begründen. Mit 100 Euro ist der immaterielle Schaden des Kl. angemessen ausgeglichen. Dem Schadensersatzanspruch kommt keine Straffunktion zu. |
| NEU OLG Celle Beschl. v. 20.8.2024 - 5 W 89/24 | 0 EUR Die gem. § 68 Abs. 1 GKG statthafte und auch iÜ zulässige Beschwerde der Bekl. hat keinen Erfolg. Allerdings hat der Senat in der jüngeren Vergangenheit mehrfach entschieden, dass in Verfahren, in denen eine Rechtsanwaltskanzlei massenhaft Verfahren anhängig gemacht hat, in denen sie für ihre jeweiligen Mandanten Ansprüche aus der DS-GVO verfolgt, in der Regel davon ausgegangen werden kann, dass es den jeweiligen Klageparteien in erster Linie nur auf den mit der Klage verfolgten immateriellen Schadensersatzanspruch ankommt und die mit den Klagen ergänzend verfolgten Feststellungs-, Auskunfts- und/oder Unterlassungsklagen nur ein geringer Wert beizumessen ist, weil derartige Klageanträge in erster Linie "der Anreicherung des Prozessstoffs ohne ein wesentliches eigenes materielles Interesse der jeweiligen Klagepartei dienen". |
| NEU OLG Koblenz Beschl. v. 31.7.2024 – 4 U 238/23 | 0 EUR Ein Unterlassungsanspruch aus Art. 82 DS-GVO scheidet aus, weil dieser einen konkreten entstandenen Schaden voraussetzt, den der Kl. nicht dargelegt hat. |
| NEU OLG Hamm Urt. v. 24.7.2024 – 11 U 69/23 | 600 EUR Der Kl. stehen aufgrund des Datenschutzverstoßes vom 00.00.2021 aus abgetretenem Recht der Zedenten K. und W. Schadensersatzansprüche in Höhe von insgesamt 600 EUR gem. Art. 82 Abs. 1, 2 DS-GVO gegen die Bekl. zu. Der von der Kl. unter Vorlage der schriftlichen Abtretungsverträge behauptete Abschluss von Abtretungsverträgen mit 532 Zedenten ist von ihr jedenfalls bzgl. der Zedenten K. und W. bewiesen worden. Die insoweit von dem Senat als Zeugen angehörten Zedenten haben jeweils glaubhaft bestätigt, dass die ihnen vorgehaltene Unterschrift unter den jeweiligen Abtretungsverträgen von ihnen stammt und sie die Abtretungsverträge abschließen wollten. Die Zedenten K. und W. konnten ihre Ansprüche aus Art. 82 Abs. 1, 2 DS-GVO auch wirksam an die Kl. abtreten. Ein Verstoß gegen einen Abtretungsausschluss nach § 399 Var. 1 BGB, wonach insbesondere höchstpersönliche Ansprüche nicht abgetreten werden können, liegt nicht vor. Zwar wird teilweise die Auffassung vertreten, dass es sich bei einem Anspruch aus Art. 82 Abs.1, 2 DS-GVO um einen höchstpersönlichen Anspruch handelt, weil dort die Genugtuung sowie eine Kompensation mittels einer Entschädigung für die Persönlichkeitsrechtsverletzung im Vordergrund stehe, die nur ggü. der betroffenen Person zur Linderung führen könne. Überwiegend wird dies jedoch abweichend beurteilt. So handele es sich bei Art 82 Abs. 1, 2 DS-GVO um einen eigenständigen deliktischen Anspruch, der dem allgemeinen nationalen Haftungsregime des BGB unterliege, was auch für die Übertragbarkeit des Anspruchs gelte. Eine Persönlichkeitsverletzung sei gerade keine Anspruchsvoraussetzung. Art. 82 Abs. 1, 2 DS-GVO diene auch der Vermeidung von zukünftigen Verstößen, sodass ihm ein spezialpräventiver Charakter und damit auch eine objektive Aufgabe zukomme. Zudem verfolge die DS-GVO das Ziel, einen "vollständigen und wirksamen Schadensersatz" zu gewährleisten, sodass auch die Notwendigkeit der tatsächlichen Durchsetzbarkeit dieses Anspruchs im Vordergrund stehe. Die Rspr. des BGH zu schweren Persönlichkeitsverletzungen sei auf Art. 82 DS-GVO nicht übertragbar. Die Wirksamkeit dieses Schadensersatzes iSv Erwägungsgrund 146 S. 6 DS-GVO wäre wesentlich beeinträchtigt, wenn der Anspruch nicht zum Zwecke der Geltendmachung an Dritte übertragen werden könnte. Der Senat schließt sich im Ergebnis der letztgenannten Auffassung an. Nach § 399 Var. 1 BGB ist eine Forderung nicht übertragbar, wenn die Leistung an einen anderen als den ursprünglichen Gläubiger nicht ohne Veränderung ihres Inhalts erfolgen kann. Dies ist dann anzunehmen, wenn die Leistung auf höchstpersönlichen Ansprüchen des Berechtigten beruht, die er nur selbst erheben kann, oder wenn ein Gläubigerwechsel zwar rechtlich vorstellbar, das Interesse des leistenden Schuldners an der Beibehaltung einer bestimmten Gläubigerperson aber besonders schutzwürdig ist, oder wenn ohne Veränderung des Leistungsinhalts die dem Gläubiger gebührende Leistung mit seiner Person derart verknüpft ist, dass die Leistung an einen anderen Gläubiger als eine andere Leistung erschiene. In allen diesen drei Fallgruppen ist die Abtretbarkeit ausgeschlossen, weil andernfalls die Identität der abgetretenen Forderung nicht gewahrt bliebe. Ansprüche wegen immaterieller Schäden sind nach der Rspr. des BGH seit dem 1. Juli 1990 uneingeschränkt übertragbar und pfändbar, nachdem durch das Gesetz zur Änderung des BGB und anderer Gesetze vom 14. März 1990 (BGBl. I S. 478) § 847 Abs. 1 S. 2 BGB aF gestrichen wurde. Ob dies auch für Ansprüche wegen Verletzung des Persönlichkeitsrechts gilt, ist noch nicht höchstrichterlich entschieden, vom BGH in Bezug auf einen Anspruch aus § 15 Abs. 2 AGG jedoch bejaht worden. Nach Auffassung des Senats handelt es sich bei Art. 82 Abs. 1, 2 DS-GVO nicht um einen höchstpersönlichen Anspruch. Anspruchsvoraussetzung ist ein Datenschutzverstoß, durch den der Anspruchsteller persönlich betroffen sein muss. Anders als bei einer Verletzung des Allgemeinen Persönlichkeitsrecht steht hier nicht der Genugtuungsgedanke im Vordergrund, sondern es soll der aufgrund eines Verstoßes gegen die DS-GVO entstandene Schaden vollständig und wirksam finanziell entschädigt werden, womit eine Ausgleichsfunktion verbunden ist. Darüber hinaus erfüllt Art. 82 DS-GVO einen weiteren Normzweck, mit dem ihm eine spezial- und auch generalpräventive Aufgabe zukommt, indem er dazu beitragen soll, dass innerhalb der Union ein gleichmäßiges und hohes Schutzniveau von natürlichen Personen bei der Verarbeitung personenbezogener Daten gewährleistet und ein Anreiz für die Einhaltung der DS-GVO geschaffen wird. Schließlich enthält Art. 82 DS-GVO eine eigenständige Anspruchsgrundlage für einen Ersatzanspruch, sodass die Grundsätze, die für einen Anspruch auf Geldentschädigung wegen einer Verletzung des Allgemeinen Persönlichkeitsrechts gelten, nicht anzuwenden sind. Insbesondere ist nicht erforderlich, dass es sich um einen schwerwiegenden Eingriff handelt; der EuGH hat eine Erheblichkeitsschwelle ausdrücklich verneint. Grds. ist daher jeder Datenschutzverstoß geeignet, einen Schadensersatzanspruch aus Art. 82 Abs. 1, 2 DS-GVO zu begründen. Die Abtretungsverträge sind zudem nicht gem. §§ 134 BGB, 3 RDG nichtig. Die Abtretungsverträge sind auch nicht deshalb nichtig, weil sie sittenwidrige Rechtsgeschäfte darstellen würden, § 138 BGB. Das Geltendmachen der abgetretenen Forderungen ggü. der Bekl. stellt sich auch nicht als rechtsmissbräuchlich dar, § 242 BGB. Aus abgetretenem Recht stehen der Kl. Ansprüche auf Ersatz des immateriellen Schadens in Höhe von insgesamt 600 EUR aus Art. 82 Abs. 1, 2 DS-GVO (iVm Art. 288 Abs. 2 AEUV) gegen die Bekl. zu. Der Anspruch aus Art. 82 Abs. 1, 2 DS-GVO wird auch nicht durch § 839 BGB, Art. 34 GG verdrängt. IÜ hat Art. 82 Abs. 2 DS-GVO - der die in Art. 82 Abs. 1 DS-GVO grds. normierte Haftungsregelung präzisiert - drei Voraussetzungen für die Entstehung des Schadensersatzanspruchs, nämlich erstens eine Verarbeitung personenbezogener Daten iSd Art. 5 Abs. 1 lit. a Var. 1, Art. 6 Abs. 1 UAbs. 1 lit. a, Art. 7 iVm Art. 4 Nr. 1 und 2 DS-GVO unter schuldhaftem Verstoß gegen die Bestimmungen der DS-GVO, zweitens einen der betroffenen Person entstandenen Schaden und drittens einen Kausalzusammenhang zwischen der rechtswidrigen Verarbeitung und diesem Schaden. Zunächst lassen sich Verstöße der Bekl. gegen die DS-GVO im Zuge einer Datenverarbeitung feststellen. Als Verstoß kommen materielle und formelle Verstöße in Betracht. Nach Wortlaut und Zielrichtung der Norm muss kein Verstoß gegen in der DS-GVO geregelte Datenschutzbestimmungen vorliegen; es genügt vielmehr ein Verstoß gegen die Verordnung selbst. Insoweit ist darauf hinzuweisen, dass nach Art. 5 Abs. 2 DS-GVO die Bekl. die Darlegungs- und Beweislast dahin trifft, die betroffenen personenbezogenen Daten entsprechend der DS-GVO verarbeitet und nicht gegen die in Art. 5 Abs. 1 DS-GVO normierten Grundsätze verstoßen zu haben. Indem ein Mitarbeiter der Bekl. die E-Mail mit den anliegenden Excel-Tabellen versandte, hat die Bekl. zunächst gegen Art. 5 Abs. 1 lit. a und f DS-GVO verstoßen, weil personenbezogene Daten der Zedenten verarbeitet wurden, ohne dass ein Rechtfertigungsgrund nach Art. 6 Abs. 1 UAbs. 1 DS-GVO vorlag. Der Versand der E-Mail mit den Excel-Tabellen als Anhang war insbesondere nicht zur Vertragszweckerfüllung erforderlich (Art. 6 Abs. 1 UAbs. 1 lit. b DS-GVO), lag nicht im berechtigten Interesse der Bekl. (Art. 6 Abs. 1 UAbs. 1 lit. f DS-GVO) und war auch nicht von einer wirksamen Einwilligung der Zedenten gedeckt (Art. 6 Abs. 1 UAbs. 1 lit. a DS-GVO). Darüber hinaus hat die Bekl. durch den Versand der E-Mail gegen Art. 9 Abs. 1 DS-GVO verstoßen. Der Versand der E-Mail mit den Excel-Tabellen stellt zudem einen Verstoß gegen Art. 24, 32 DS-GVO dar. Nach der Rspr. des EuGH ist einer kombinierten Analyse der verschiedenen Bestimmungen von Art. 82 DS-GVO zu entnehmen, dass dieser Artikel ein Haftungsregime für Verschulden vorsieht, bei dem die Beweislast nicht der Person obliegt, der ein Schaden entstanden ist, sondern dem Verantwortlichen. Die allgemeinen Grundsätze des § 278 BGB und der Mitarbeiterhaftung gelten auch hier. Eine Entlastung setzt daher auch voraus, dass die beteiligten Mitarbeiter keinerlei Verschulden trifft. Das Versenden der E-Mail ohne das vorherige Entfernen der angehängten Excel-Dateien ist zumindest als fahrlässig iSv § 276 Abs. 2 BGB einzustufen. Bei Beachtung der gebotenen Sorgfalt wäre vor dem Absenden der E-Mail zunächst die angehängte Datei bemerkt und dann noch entfernt worden. Die von der DS-GVO verwandten Begriffe "immaterieller" und "materieller" Schaden sind unionsautonom auszulegen und setzen nach dem Wortlaut der Norm, der Systematik und dem Telos des Art. 82 Abs. 2, Abs. 1 DS-GVO sowie der Art. 77-84 DS-GVO und den Erwägungsgrund 75, 85 und 146 DS-GVO einen über den schlichten Verstoß gegen die DS-GVO hinausgehenden Schaden voraus. Es ist daher iRd haftungsbegründenden Tatbestands des Art. 82 Abs. 1, Abs. 2 DS-GVO zunächst zwischen einem haftungsrelevanten Datenschutzverstoß einerseits und einem Schaden andererseits zu differenzieren. Beide sind nicht deckungsgleich, sondern selbstständige Voraussetzungen iRd Art. 82 DS-GVO, die kumulativ vorliegen müssen. Ein solcher Schaden setzt jedoch nicht voraus, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat. Gleichwohl bedeutet dies nicht, dass die aus dem Datenschutzverstoß resultierenden negativen Folgen per se einen haftungsbegründenden Schaden darstellen; denn der EuGH führt hierzu explizit aus, dass diese Auslegung nicht bedeutet, "dass eine Person, die von einem Verstoß gegen die DS-GVO betroffen ist, der für sie negative Folgen gehabt hat, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden iSv Art. 82 DS-GVO darstellen. Entsprechend stellt der EuGH auch darauf ab, dass die finanzielle Entschädigung als "vollständig und wirksam" iSd Erwägungsgrund 146 S. 6 DS-GVO anzusehen ist, wenn der "konkret erlittene Schaden" vollständig ausgeglichen wird. Die Annahme eines solchen konkreten Schadens setzt in unionsautonomer Auslegung nach der Rspr. des EuGH voraus, dass dieser "tatsächlich und sicher" besteht. Die Darlegungs- und Beweislast, dass den jeweiligen Zedenten ein über den Datenschutzverstoß hinausgehender Schaden entstanden ist, trägt die Kl. Einen materiellen Schaden macht die Kl. nicht geltend. Ein immaterieller Schaden kann sowohl auf objektiven als auch auf persönlich empfundenen bzw. psychologischen Beeinträchtigungen beruhen. Soweit die Kl. als immateriellen Schaden einen durch den Versand der E-Mail mit den anhängenden Excel-Tabellen eingetretenen Kontrollverlust bzgl. der Daten sämtlicher Zedenten geltend macht, ist der Kl. zwar zuzugeben, dass nach der Rspr. des EuGH ein Kontrollverlust grds. einen immateriellen Schaden darstellen kann. Insoweit hat der EuGH bereits mehrfach darauf hingewiesen, dass der 85. Erwägungsgrund der DS-GVO ausdrücklich den "Verlust der Kontrolle" zu den Schäden zählt, die durch eine Verletzung personenbezogener Daten verursacht werden können. Soweit die Kl. insbesondere gestützt auf die zitierte Rspr. des EuGH und die Senatsrechtsprechung in dem Urt. v. 20.1.2023 - 11 U 88/22 [= ZD 2024, 104] - die Auffassung vertritt, dass bereits in dem unmittelbar mit dem Datenschutzverstoß einhergehenden Kontrollverlust ein Schaden zu sehen sei, hält der Senat an dieser Auffassung mit Blick auf die nach dem Senatsurteil v. 20.1.2023 ergangene, auszugsweise zitierte Rspr. des EuGH, mit welcher der EuGH die Auslegung von Art. 82 DS-GVO und insb. die Frage, unter welchen Voraussetzungen ein Schaden iSd Norm angenommen werden kann, fortwährend konkretisiert hat, nicht länger fest. Insofern ist hervorzuheben, dass der EuGH - wie bereits ausgeführt wurde - mittlerweile wiederholt entschieden hat, dass der haftungsrelevante Verstoß gegen Vorschriften der DS-GVO einerseits und ein kausal auf dem Datenschutzverstoß beruhender Schaden andererseits eigenständige Voraussetzungen des haftungsbegründenden Tatbestands von Art. 82 Abs. 1, Abs. 2 DS-GVO sind, die kumulativ vorliegen müssen, und dass der Verlust der Kontrolle über personenbezogene Daten einen "immateriellen Schaden" iSv Art. 82 Abs. 1 dieser Verordnung darstellen kann, der einen Schadensersatzanspruch begründet, sofern die betroffene Person den Nachweis erbringt, dass sie tatsächlich einen solchen Schaden - so geringfügig er auch sein mag - erlitten hat. Mit der wiederholten Verwendung des Wortes "kann" hat der EuGH deutlich gemacht, dass auch ein Kontrollverlust nicht per se einen (immateriellen) Schaden darstellt, sondern gerade auch insoweit ein über den Datenschutzverstoß hinausgehender Schaden konkret nachzuweisen ist. Insofern hat der EuGH ausgeführt, dass zwar der Annahme, dass die Veröffentlichung personenbezogener Daten im Internet und der daraus kurzzeitig resultierende Kontrollverlust den betroffenen Personen ein immaterieller Schaden entstehen könne, nichts entgegenstehe, jedoch müssten die betroffenen Personen den Nachweis erbringen, dass sie tatsächlich einen solchen Schaden erlitten haben. Diese Auffassung klarstellend bestätigt hat der EuGH in seiner Entscheidung vom 20.6.2024, - C-590/22 [= ZD 2024, 519 mAnm Pauly/Kienle] Rn. 33 ff. Nach der Entscheidung ist Art. 82 Abs. 1 DS-GVO dahin auszulegen, dass die Befürchtung einer Person, dass ihre personenbezogenen Daten aufgrund eines Verstoßes gegen diese Verordnung an Dritte weitergegeben wurden, ohne dass nachgewiesen werden kann, dass dies tatsächlich der Fall war, ausreicht, um einen Schadensersatzanspruch zu begründen, sofern diese Befürchtung samt ihrer negativen Folgen ordnungsgemäß nachgewiesen ist, während die bloße Behauptung einer Befürchtung ohne nachgewiesene negative Folgen nicht zu einem Schadensersatz nach dieser Vorschrift führen kann. Vor dem Hintergrund dieser Rspr. des EuGH schließt sich der Senat der Auffassung des 7. Zivilsenats des OLG Hamm an, wonach bei einem zwangsläufig zu einem Kontrollverlust führenden Datenschutzverstoß allein aus diesem Kontrollverlust noch kein tatsächlicher Schaden im konkreten Einzelfall resultiert, wenn bzw. weil dieser automatisch bei jedem vom festgestellten Verstoß gegen die DS-GVO Betroffenen in Form der Offenlegung/Zugänglichmachung von Daten eintritt. Ein Schaden liegt in solchen Fällen erst dann vor, wenn über den Kontrollverlust als Realisierung des generellen Risikos hinaus im konkreten Einzelfall ein tatsächlicher materieller oder immaterieller Schaden entstanden ist. Nach diesen Maßstäben ist im vorliegenden Fall in dem durch den Versand der E-Mail unmittelbar entstandenen Kontrollverlust ein Schaden iSv Art. 82 Abs. 1, Abs. 2 DS-GVO nicht zu sehen, weil der objektive Kontrollverlust an sich hier lediglich die zwangsläufige und generelle Folge der unrechtmäßigen bzw. unzureichend geschützten Datenverarbeitung durch die Bekl. ist und ein darüber hinausgehender Schaden allein in dem Verlust der Hoheit über die eigenen personenbezogenen Daten noch keinen Schaden darstellt. Hinzu kommen muss bei einem immateriellen Schaden eine weitergehende Beeinträchtigung des vom Kontrollverlust betroffenen Geschädigten, die auch in der bloßen Befürchtung bestehen kann, dass Daten aufgrund des Kontrollverlusts weitergegeben wurden, wobei diese Befürchtung nachgewiesen sein muss. Soweit die Kl. sich des Weiteren auf einen bei sämtlichen Zedenten entstandenen, über den reinen Kontrollverlust hinausgehenden immateriellen Schaden in Form einer unbefugten Nutzung der Daten durch Dritte, eine öffentliche Bloßstellung, einer Veröffentlichung bzw. Veräußerung der Daten im Darknet sowie eines allgemein bestehenden Risikos einer jederzeit möglichen Weitergabe und späteren Verwendung der Daten beruft, vermag der Senat hierin einen immateriellen Schaden ebenfalls nicht zu erkennen. Soweit die Kl. in Bezug auf 34 Zedenten konkret zu einem über den unmittelbaren Kontrollverlust hinausgehenden Schaden vorgetragen hat, vermochte sie nach dem Ergebnis der vor dem Senat durchgeführten Beweisaufnahme einen über den unmittelbar mit dem Datenschutzverstoß verbundenen Kontrollverlust hinaus eingetretenen haftungsbegründenden Schaden nur hinsichtlich der Zedenten K. und W. mit dem Beweismaß des § 286 ZPO zu beweisen. Den Zedenten K. und W. ist zur vollen Überzeugung des Senats (§ 286 ZPO) ein kausal auf dem Datenschutzverstoß beruhender immaterieller Schaden entstanden. Die volle Überzeugung des Gerichts erfordert keine absolute oder unumstößliche Gewissheit und auch keine an Sicherheit grenzende Wahrscheinlichkeit, sondern nur einen für das praktische Leben brauchbaren Grad von Gewissheit, der Zweifeln Schweigen gebietet. Dem Zeugen K. ist ein solcher Schaden in Form von unerwünschten Spam-Anrufen und der konkreten und berechtigten Sorge, dass Rechtsradikale bzw. Impfgegner seine Daten erhalten könnten, entstanden. |
| NEU OLG Frankfurt/M. Beschl. v. 11.7.2024 – 6 W 36/24 | 0 EUR Der Streitwert bei Verfahren, in denen wegen des Facebook-Datenlecks auf Grundlage der DS-GVO Ansprüche auf Schadensersatz, Unterlassung, Auskunft und Schadensersatzfeststellung geltend gemacht werden, beträgt im Regelfall 3.000 EUR. Dementsprechend ist Art. 82 Abs. 1 DS-GVO dahin auszulegen, dass der in dieser Bestimmung vorgesehene Schadensersatzanspruch, insb. im Fall eines immateriellen Schadens, ausschließlich eine Ausgleichsfunktion erfüllt, da eine auf diese Bestimmung gestützte finanzielle Entschädigung es ermöglichen soll, den konkret aufgrund des Verstoßes gegen die DS-GVO erlittenen Schaden in vollem Umfang auszugleichen, und keine Abschreckungs- oder Straffunktion erfüllt. |
| NEU OLG Frankfurt/M. Beschl. v. 2.7.2024 – 6 U 41/24 = ZD 2025, 167 | 0 EUR Es kann dahinstehen, ob der Anwendungsbereich von Art. 82 Abs. 1 DS-GVO auf Schäden infolge der reinen Datenverarbeitung iSv Art. 4 Nr. 2 DS-GVO begrenzt ist und daher ein Verstoß gegen Art. 15 (oder Art. 34) DS-GVO überhaupt einen Schadensersatzanspruch zur Folge hat. Der Kl. hat das Vorliegen eines Schadens nämlich nicht substantiiert vorgetragen. Auch wenn - wie Erwägungsgrund 146 DS-GVO unterstreicht - der Schadensbegriff im Ansatz weit zu verstehen ist, ergibt schon die Zählung der Tatbestandsmerkmale des Art. 82 Abs. 1 DS-GVO eine Anzahl von drei (so auch EuGH C-300/21 [= ZD 2023, 446 mAnm Mekat/Ligocki – Österreichische Post]), nämlich (1) Verstoß, (2) Schaden, (3) Kausalität. Der Verstoß (Herbeiführung des Kontrollverlustes an den Daten) ist schon deshalb nicht bereits der Schaden und führt auch nicht „automatisch“ zu einem Schaden. Da die Erwägungsgründe besagen, dass der Schaden "erlitten" sein muss, kann der Kontrollverlust (als rein objektiver Befund) nicht für sich allein bereits der Schaden sein. Dergleichen hat insbesondere der EuGH nicht postuliert, sondern im Gegenteil (EuGH 5.12.2023 - C-807/21 [= ZD 2024, 203 mAnm von dem Bussche]) den „Verlust der Kontrolle“ in Erwägungsgrund 85 DS-GVO als Beispiel für Umstände gesehen, die „erhebliche wirtschaftliche oder gesellschaftliche Nachteile“ darstellen können. Daraus leitet der EuGH aber gerade nicht her, dass schon der Kontrollverlust ohne weiteres der Schaden „sei“, sondern lediglich: dass der Schaden nicht eine bereits eingetretene „missbräuchliche Verwendung der betreffenden Daten zum Nachteil“ der betroffenen Person voraussetzt, sondern die Befürchtung (Rn. 81) zukünftiger missbräuchlicher Verwendung ausreichen kann (vgl. auch EuGH, Urt. v. 20.6.2024 – C-590/22 [= ZD 2024, 519 mAnm Pauly/Kienle], Rn. 32 f.). Ein Schadensersatzanspruch besteht auch bei einem Kontrollverlust über personenbezogenen Daten nur, sofern die betroffene Person darlegt und bei Bedarf nachweist, dass sie tatsächlich einen Schaden - so geringfügig er auch sein mag - erlitten hat, Die Fokussierung des EuGH auf den Begriff der „Befürchtung“ (englisch: „fear“, französisch: „crainte“) wäre überflüssig, wenn in dem objektiven Vorgang des Kontrollverlustes bereits ein Schaden iSv § 82 Abs. 1 DS-GVO läge. Vorliegend ist das LG zutreffend zum Schluss gelangt, dass nach dem Klägervortrag ein (hier unterstellter) Verstoß der Bekl. in keiner Weise irgendeine persönlich erlebte belastende Folge kausal verursacht hat. Wie gezeigt, ist der bloße Kontrollverlust als solcher nicht „der“ Schaden des Art. 82 Abs. 1 DS-GVO. Er führt auch nicht etwa gleichsam „automatisch“ zu „einem Zustand, in dem sich die Klägerseite berechtigt wie nachvollziehbar in Sorge um den Verbleib sowie einen möglichen Missbrauch ihrer Daten“ befinden würde: Die für Art. 82 Abs. 1 DS-GVO erforderliche Befürchtung (deutlicher englisch „fear“ und französisch „crainte“, also blanke „Furcht“) besteht nicht allein in einer logischen Gedankenoperation des Betrachters oder der Klagepartei, sondern wäre ein (negatives) Gefühl der Klagepartei, das bestritten und von dieser zu beweisen war - und anhand objektiver Umstände nachvollziehbar sein muss. Jedenfalls hat das LG zu Recht den klägerischen Vortrag als pauschal und substanzlos angesehen (“Zustand des Unwohlseins und der Sorge des Datenmissbrauchs“). Das ist angesichts des formelhaften und erkennbar nicht individualisierten Zuschnitts dieses Vorbringens nicht zu beanstanden; hiergegen erinnert die Berufungsbegründung auch nichts. Hinzu kommt, dass nicht nachvollziehbar ist, wieso im Fall einer mutmaßlichen Verletzung der Auskunftspflicht - in der bisher überhaupt kein Indiz für einen Datenabfluss bestanden hat - der „Zustand des Unwohlseins und der Sorge des Datenmissbrauchs“ gegeben sein kann. Da sich die Bemessung der Höhe des Schadensersatzes nach nationalem Recht richtet, ist ein Anspruch auf Schadensersatz insoweit auch wegen überwiegenden Mitverschuldens (§ 254 BGB) ausgeschlossen, da der Kl. von der naheliegenden Möglichkeit, sich über das Selbstbedienungstool zu informieren, keinen Gebrauch gemacht hat. Eine Rechtsgrundlage für den Ersatz der außergerichtlichen Kosten ist nicht ersichtlich. Insbesondere lag kein Verzug vor. Die Beauftragung des Prozessbevollmächtigten des Kl. erfolgt vor der erstmaligen Geltendmachung des Rechts aus Art. 15 DS-GVO ggü. der Bekl. Ein möglicher Verzug der Bekl. - der wegen Art. 12 Abs. 3 DS-GVO vor Ablauf einer Monatsfrist wegen der von der Bekl. geschilderten Vielzahlt von Anfragen schwer zu begründen ist - wäre daher nicht kausal für den geltend gemachten Schaden in Form der Beauftragung des Prozessbevollmächtigten des Kl. |
| NEU OLG Stuttgart Urt. v. 26.6.2024 – 4 U 114/23 | 0 EUR Das LG hat dem Kl. schließlich zu Unrecht einen Anspruch auf Ersatz erlittener immaterieller Schäden nach Art. 82 Abs. 1 DS-GVO in Höhe von 600 EUR zugesprochen. Dabei kann offenbleiben, ob und inwieweit die Bekl. gegen die Vorgaben der DS-GVO verstoßen hat, denn nach dem eigenen Vortrag des Kl. - unter besonderer Berücksichtigung seiner Angaben im Rahmen seiner persönlichen Anhörung vor dem LG - verbleiben begründete Zweifel, ob die von ihm geschilderten Beeinträchtigungen auf den bei der Bekl. erfolgten Datenabgriff zurückgeführt werden können. Ein Schadensersatzanspruch gem. Art. 82 DS-GVO setzt einen Verstoß gegen die DS-GVO, den Eintritt eines Schadens sowie einen Kausalzusammenhang zwischen Verstoß und Schaden voraus. Dabei kann auch die durch einen Rechtsverstoß hervorgerufene Befürchtung einer missbräuchlichen Verwendung der eigenen personenbezogenen Daten einen immateriellen Schaden iSd Art. 82 DS-GVO darstellen. Hieraus folgt eine Dreistufigkeit der Prüfung (Verstoß gegen DS-GVO -> negative Folge als immaterieller Schaden -> der Schaden muss auf den Verstoß gegen die DS-GVO zurückzuführen sein), wobei der Kl. jedenfalls den Eintritt des Schadens und den Kausalzusammenhang dieses Schadens mit dem Verstoß gegen die DS-GVO nachzuweisen hat. In der Klageschrift seiner Prozessbevollmächtigten finden sich zu den vom Kl. als erlitten behaupteten Beeinträchtigungen - wie nahezu wortgleich in einer Vielzahl von denselben Prozessbevollmächtigten geführten Parallelverfahren - folgende Ausführungen: Die Klägerseite erlitt deswegen einen erheblichen Kontrollverlust über ihre Daten und verblieb in einem Zustand großen Unwohlseins und großer Sorge über möglichen Missbrauch ihrer sie betreffender Daten. Dies manifestierte sich unter anderem in einem verstärkten Misstrauen bezüglich E-Mails und Anrufen von unbekannten Nummern und Adressen. Darüber hinaus erhält die Klägerseite seit dem Vorfall unregelmäßig unbekannte Kontaktversuche via SMS und E-Mail. Diese enthalten Nachrichten mit offensichtlichen Betrugsversuchen und potenziellen Virenlinks. Oft werden auch bekannte Plattformen oder Zahlungsdienstleister wie Axxx oder Pxxx impersoniert und durch Angabe der entwendeten Daten versucht, ein gesteigertes Vertrauen zu erwecken. Das hat dazu geführt, dass die Klägerseite nur noch mit äußerster Vorsicht auf jegliche Emails und Nachrichten reagieren kann und jedes Mal einen Betrug fürchtet und Unsicherheit verspürt. Dieser pauschal gehaltene Vortrag hat sich in der persönlichen Anhörung des Kl. vor dem LG dann allerdings nicht bestätigt. Zunächst ergab die Anhörung des Kl. den in der Klageschrift unerwähnten - aber durchaus relevanten - Umstand, dass der Kl. schon im Jahr 2020 (und damit vor der behaupteten Veröffentlichung der Daten im Darknet) seine Telefonnummer und seine Mailadresse geändert hatte. Auch von einem Zustand "großen Unwohlseins oder großer Sorge" vor einem möglichen Missbrauch seiner Daten war in keiner Weise die Rede, sondern der Kl. schilderte auf Frage nach den Beeinträchtigungen im Wesentlichen Anrufe in englischer oder in anderen Sprachen, die er nicht verstanden habe und über die er sich geärgert habe, zumal er selbst Ärger mit seinem Chef bekommen habe, der gemeint habe, er telefoniere zu viel. Dieser Ärger sei dann auch der Grund gewesen, die Telefonnummer und die Mailadresse zu ändern. Von irgendwelchen Sorgen und Ängsten hat der Kl. nicht berichtet, so dass nach seinem eigenen Vorbringen - das für den Senat maßgeblich ist, zumal sich die Berufungserwiderung wiederum nicht ansatzweise zu dem persönlichen Vorbringen des Kl. in der mündlichen Verhandlung verhält - die vom Kl. behaupteten Beeinträchtigungen allein in den für ihn "ärgerlichen" Anrufen, SMS und E-Mails zu sehen sind. |
| NEU OLG Stuttgart Urt. v. 26.6.2024 – 4 U 172/23 | 0 EUR Wie OLG Stuttgart Urt. v. 26.6.2024 – 4 U 114/23 |
| NEU OLG Hamm Urt. v. 21.6.2024 – 7 U 154/23 = ZD 2025, 60 (Ls.) | 0 EUR Der Kl. steht gegen die Bekl. kein Anspruch auf Ersatz immateriellen Schadens wegen des geltend gemachten Datenverlustes zu. Ein solcher Anspruch folgt insb. nicht aus Art. 82 Abs. 1 DS-GVO. Die Bekl. hat als Verantwortliche in mehrfacher Hinsicht gegen die Datenschutzgrundverordnung verstoßen. Die Bekl. hat gegen Art. 5 Abs. 1 lit. a, Art. 6 Abs. 1 UAbs. 1, Art. 5 Abs. 1 lit. b, Art. 25 Abs. 1 und Abs. 2, Art. 5 Abs. 1 lit. f und Art. 32 DS-GVO verstoßen. Hiervon muss der Senat jedenfalls ausgehen, da die Bekl. Verstöße gegen diese Vorschriften nicht konkret ausgeräumt hat, obwohl ihr das nach Art. 5 Abs. 2 DS-GVO oblegen hat. Soweit die Bekl. - unter Berufung auf Entscheidungen des Gerichtshofs der Europäischen Union (im Folgenden: Gerichtshof) - annimmt, die Beweislast für das Vorliegen eines Verstoßes liege bei dem Betroffenen, so trifft diese Ansicht nicht zu. Zwar liegt die Beweislast für die tatbestandlichen Voraussetzungen einer Anspruchsgrundlage grds. beim Anspruchsteller; allein dies besagt die von der Bekl. zitierte Entscheidung des Gerichtshofs. Art. 5 Abs. 2 DS-GVO regelt nach zutreffender Ansicht aber im Rahmen seines Anwendungsbereichs - also bei Verstößen gegen Art. 5 Abs. 1 DS-GVO - auch die Beweislast im zivilrechtlichen Verfahren. Ein auf diese Verstöße der Bekl. gegen die Bestimmungen der Datenschutzgrundverordnung zurückzuführender immaterieller Schaden der Kl. lässt sich jedenfalls nicht feststellen. Nach der Rspr. des Gerichtshofs muss ein Schaden neben den Verstoß gegen die Datenschutzgrundverordnung treten, um einen Anspruch auf Schadensersatz auszulösen; der immaterielle Schaden besteht nicht schon in der Verletzung der Vorschriften der Datenschutzgrundverordnung. Soweit sich die Kl. schriftsätzlich auf die Befürchtung der missbräuchlichen Verwendung ihrer Daten, die nach Rspr. des Gerichtshofs einen - zu beweisenden - immateriellen Schaden darstellt, wenn damit einhergehend negative Folgen vorliegen, beruft, kann dahinstehen, ob auch die pauschale, ersichtlich nicht auf den vorliegenden Einzelfall zugeschnittene, sondern in einer Vielzahl gleichgelagerter Verfahren wortgleiche stereotype Benennung einer solchen negativen Folge schon der klägerischen Darlegungslast genügt. Soweit ersichtlich, ist dies nur für auf den Streitfall bezogenen Vortrag höchstrichterlich bejaht worden. Daher hat der Senat zur Sachverhaltsaufklärung die Kl. persönlich gem. § 141 ZPO zur schriftsätzlich vorgetragenen inneren Tatsache, ihren Empfindungen, angehört - zumal auch Erklärungen der persönlich angehörten Partei als "Inhalt der Verhandlungen" gem. § 286 Abs. 1 S. 1 ZPO in die richterliche Überzeugungsbildung einzubeziehen sind. In Würdigung der (fehlenden) Angaben der Kl. im Rahmen ihrer persönlichen Anhörung zu inneren Empfindungen in Abweichung zum schriftsätzlichen Vortrag ist der Senat davon überzeugt, dass ein immaterieller Schaden in Form der Befürchtung der missbräuchlichen Datenverwendung mit negativen Folgen bei der Kl. nicht vorliegt. Die Kl. hat in ihrer persönlichen Anhörung weder geschildert, sich vor Datenmissbrauch zu fürchten, noch Beweisanzeichen dargelegt, die auf eine Furcht schließen lassen. Das Ergebnis der Anhörung hat den Senat vielmehr davon überzeugt (§ 286 ZPO), dass eine solche Furcht bei der Kl. nicht vorhanden ist. Die Kl. hat beim Senat den Eindruck hinterlassen, eine selbstbewusste und erfahrene Frau zu sein, die genau weiß, wie sie sich bei Betrugsversuchen zu verhalten hat, und etwaigen Betrügern ohne Furcht entgegentritt. Davon zeugt die Einlassung der Kl. in ihrer Anhörung vor dem Senat, dass sie bei Anrufen, die sie auf den Datenverlust bei der Bekl. zurückführt, nicht mit einem sofortigen Gesprächsabbruch reagiere, sondern mit einer weiteren Unterhaltung, die sie mit dem Ziel führe, herauszufinden, wie weit die Gesprächspartner gingen. Zudem weiß die Kl., dass sie durch die Frage, woher der Gesprächspartner ihre Telefonnummer habe, schnell zum Gesprächsabbruch bewegen kann. Schließlich lässt der Umstand, dass die Kl. beruflich mit der Datenschutzgrundverordnung zu tun hat, auf einen professionellen Umgang mit dem Datenverlust schließen und gerade nicht auf einen furchtbesetzten. Unabhängig davon spricht der Umstand, dass die Kl. trotz des von ihr behaupteten Mehraufkommens an Spam-Anrufen und -SMS dennoch ihre Telefonnummer behalten hat, indiziell gegen die Annahme von Furcht vor Datenmissbrauch. Vor dem Hintergrund, dass sich schon keine Befürchtung feststellen lässt, erklärt sich auch plausibel, dass die Kl. - wie es erforderlich gewesen wäre - keinerlei Angaben zu negativen Folgen einer vermeintlichen Befürchtung gemacht hat. Soweit die Kl. den Erhalt von Spam-Anrufen und -SMS iRd immateriellen Schadens geltend macht, steht nicht fest, dass die Spam-Anrufe und -SMS zumindest mitursächlich auf den Datenschutzverstößen der Bekl., die zu 533 Millionen generierter Datensätze geführt haben, beruhen. Die Kl. hat weder hinreichend dargelegt noch - selbst gemessen am Maßstab des § 287 ZPO - bewiesen, dass diese auf den streitgegenständlichen Scraping-Vorfall zurückzuführen sind. Es ist dem Senat aus eigener Anschauung hinreichend bekannt, dass es auch, ohne vom streitgegenständlichen Scraping-Vorfall betroffen zu sein, regelmäßig zu Spam-Kontakten kommen kann bzw. kommt. Den notwendigen Kausalitätsnachweis kann die Kl. daher mit ihrem diesbezüglichen unter Beweis gestellten Vortrag nicht führen. Zudem ist der Vortrag der Kl. auch insoweit schon nicht schlüssig, als der Empfang von Spam als solcher - ohne weitere negativen Folgen - bereits keinen immateriellen Schaden darstellt. Solche negativen Folgen sind weder von der Kl. dargetan noch sonst ersichtlich. Sie selbst hat von Ärger oder anderen negativen Alltagsgefühlen aufgrund des Spam-Aufkommens in ihrer persönlichen Anhörung nicht berichtet. Unabhängig davon, dass Beunruhigung, Ärger, Unmut und Zorn als solche schon keinen immateriellen Schaden darstellen, würde es bereits an der Darlegung durch die Kl. fehlen, warum der Ärger jedenfalls mitursächlich auf die Datenschutzverstöße - und nicht nur auf die Spam-Anrufe und -Nachrichten, von denen nicht feststeht, dass sie ihrerseits auf Datenschutzverstößen beruhen - zurückzuführen ist. Der von der Kl. geltend gemachte Kontrollverlust stellt für sich gesehen keinen immateriellen Schaden dar. Unabhängig davon liegt ein Kontrollverlust bei der Kl. nicht vor. Nach mittlerweile gefestigter Rspr. des Gerichtshofes kann der - selbst kurzzeitige - Verlust der Kontrolle über Daten einen "immateriellen Schaden" iSv Art. 82 Abs. 1 DS-GVO darstellen, sofern die betroffene Person den Nachweis erbringt, dass sie tatsächlich einen solchen Schaden - so geringfügig er auch sein mag - erlitten hat. Daraus folgt aber nicht, dass ein Kontrollverlust per se einen immateriellen Schaden darstellt, wie der Senat bereits in seinem Urt. v. 15.8.2023 ausgeführt hat. Vielmehr bedarf es eines über die Datenschutzverstöße und über den damit mittelbar einhergehenden Kontrollverlust hinausgehenden immateriellen Schadens in Form einer persönlichen / psychologischen Beeinträchtigung aufgrund des auf einem Datenschutzverstoß beruhenden Kontrollverlustes. Nachdem der Gerichtshof mit Blick auf die Befürchtung eines Kontrollverlustes oder einer missbräuchlichen Verwendung von Daten die bloße Befürchtung ohne nachgewiesene negative Folgen nicht als ausreichend zur Begründung eines immateriellen Schadens qualifiziert hat, kann für den Kontrollverlust nichts anderes gelten. Auch dieser kann ohne nachgewiesene negative Folgen nicht zu einem Anspruch auf Schadensersatz führen. Ebenso wie materielle Folgen eines Kontrollverlustes (wie zB die Kosten eines Rufnummernwechsels) der Darlegung und des Nachweises bedürfen, erfordert ein immaterieller Schaden die Darlegung und den Nachweis, dass der Kontrollverlust zu persönlichen / psychologischen Beeinträchtigungen geführt hat. Dies deckt sich mit dem Befund, dass der aus Art. 82 Abs. 1 DS-GVO folgende Anspruch auf Schadensersatz lediglich die Funktion hat, einen konkreten Schaden zu auszugleichen. Ließe man einen für den Betroffenen folgenlosen Kontrollverlust als immateriellen Schaden zu, müsste die Höhe des Schadensersatzes konsequent auf null EUR lauten. Denn für die Bemessung des Ersatzes des immateriellen Schadens kommt es letztlich im Hinblick auf die Ausgleichsfunktion des Art. 82 Abs. 1 DS-GVO nur auf die konkreten Auswirkungen für die betroffene Person an, nicht aber - dazu ausführlich sogleich - bspw. auf Strafzwecke, Schwere des Verschuldens, Schwere des Verstoßes gegen die DS-GVO oder die Anzahl der Verstöße gegen die Datenschutzgrundverordnung im Hinblick auf einen Vorgang. Auch systematische Gründe sprechen gegen die Annahme, ein Kontrollverlust stelle per se einen immateriellen Schaden dar. Zwar gibt es kein den §§ 249 ff. BGB vergleichbares europäisches allgemeines Schadensrecht. Doch setzt eine Vielzahl von Normen einen immateriellen Schaden voraus. Gemeinsam ist diesen Vorschriften in der Auslegung, dass als immaterieller Schaden eine negative innere Tatsache des Geschädigten angesehen wird, etwa die Trauer durch den Verlust eines nahen Angehörigen; hingegen wird der Verlust des nahen Angehörigen als solcher nicht als Schaden erwähnt. Wenn schon der Verlust eines Angehörigen an sich zur Begründung eines immateriellen Schadens nicht ausreicht, dann ist dies aus Wertungsgesichtspunkten erst recht nicht beim Verlust der Kontrolle über Daten der Fall. Unabhängig davon scheitert ein Anspruch - jedenfalls im Hinblick auf Namen, Land, Geschlecht und Mobilfunknummer - daran, dass die Kl. einen Kontrollverlust nicht hinreichend dargelegt hat. Wie bereits dem Wortlaut des Begriffs "Kontrollverlust" zu entnehmen ist, setzt dieser voraus, dass der Betroffene zunächst die Kontrolle über das konkrete personenbezogene Datum - der Gerichtshof spricht insoweit von Datenhoheit - hatte und diese Kontrolle später gegen seinen Willen durch den streitgegenständlichen Datenschutzverstoß verloren hat. Dabei muss der potenziell Geschädigte darlegen, dass er die Hoheit über die Daten nicht schon zuvor verloren hatte. Dies gilt jedenfalls bei Daten, bei denen es sich - wie etwa bei dem Namen, dem jedenfalls im europäischen Kulturkreis fast immer aus dem Vornamen ableitbaren Geschlecht und der Telefonnummer - nicht um ein per se sensibles oder der Geheimhaltung unterliegendes personenbezogenes Datum handelt, sondern im Gegenteil um ein Identifizierungsmerkmal. Im Hinblick auf die Telefonnummer ist dabei von Bedeutung, dass es sich um ein solches Datum handelt, das nach seiner Zweckbestimmung dem Betroffenen ermöglichen soll, in Kontakt mit anderen, identifizierbaren Personen zu treten und das daher im täglichen Leben auch solchen anderen Personen oft in großem Umfang zugänglich gemacht wird. In solchen Fällen ist der Betroffene gehalten, dazu vorzutragen, wie er im privaten, geschäftlichen und/oder beruflichen Umfeld mit diesen Daten vor dem streitgegenständlichen Scraping-Vorfall umgegangen ist, ob und unter welchen Bedingungen er sie an wen weitergegeben hat und dass insofern durch die Veröffentlichung nach dem Scraping-Vorfall tatsächlich ein Verlust der zuvor über diese Daten durch ihn noch ausgeübten Kontrolle eingetreten ist. Die Kl. ist dieser Darlegungslast nicht nur nicht nachgekommen, sondern hat in ihrer persönlichen Anhörung Umstände vorgetragen, die darauf hindeuten, dass ein Kontrollverlust bereits vor dem streitgegenständlichen Scraping-Vorfall stattgefunden hat. Ein weiterer immaterieller Schaden ist von der Kl. nicht geltend gemacht worden noch sonst ersichtlich. Dies gilt vor allem im Hinblick auf solche immateriellen Schäden, die auf etwaigen Verletzungen der Pflichten der Bekl. aus Art. 15, 33 und 34 DS-GVO beruhen könnten. Sollte an den in Rede stehenden Daten - entgegen der Ansicht des Senats - ein Kontrollverlust eingetreten sein und sollte es sich dabei - ebenfalls entgegen der Ansicht des Senats - bereits um einen immateriellen Schaden handeln, so stünde zur Überzeugung des Senats fest, dass dieser Kontrollverlust auf Datenschutzverstößen der Bekl. beruhte. Ein angemessener Anspruch auf Ersatz dieses immateriellen Schadens nach Art. 82 Abs. 1 DS-GVO beliefe sich unter Abwägung aller Umstände des Einzelfalls auf 100 EUR. Dieser Betrag ist zum Ausgleich eines etwaigen Schadens erforderlich, aber auch ausreichend und entspricht der Billigkeit. Bei der – grds. nach nationalem Recht vorzunehmenden - Bemessung der Höhe des Schadensersatzes sind iRd Billigkeit alle dafür relevanten Umstände des Einzelfalls – insb. Art, Intensität und Dauer der erlittenen Rechtsverletzung - in eine Gesamtbetrachtung unter Berücksichtigung der Funktion des Art. 82 Abs. 1 DS-GVO einzubeziehen und gegeneinander abzuwägen. Was die Bemessung der Höhe des etwaigen gem. Art. 82 DS-GVO geschuldeten Schadensersatzes betrifft, haben die nationalen Gerichte in Ermangelung einer Bestimmung mit diesem Gegenstand in der DS-GVO die innerstaatlichen Vorschriften der einzelnen Mitgliedstaaten über den Umfang der finanziellen Entschädigung anzuwenden, sofern die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität beachtet werden, weswegen der aus § 253 Abs. 2 BGB stammende - unter den unionsrechtlichen Grundsätzen der Äquivalenz und Effektivität auszulegende - Grundsatz der Billigkeit zur Bemessung der Höhe des Schadensersatzes als Maßstab heranzuziehen ist. Art. 82 Abs. 1 DS-GVO ist nach der Rspr. des Gerichtshofs dahingehend auszulegen, dass der in dieser Bestimmung vorgesehene Schadensersatzanspruch – insb, im Fall des immateriellen Schadens - ausschließlich eine Ausgleichsfunktion erfüllt, hingegen keine Straf- oder Abschreckungsfunktion. Eine auf diese Bestimmung gestützte Entschädigung in Geld soll es ermöglichen, den konkret aufgrund des Verstoßes gegen die DS-GVO erlittenen Schaden in vollem Umfang auszugleichen. Art. 82 DS-GVO hat - anders als andere, ebenfalls in Kapitel VIII enthaltene Bestimmungen, und zwar ihre Art. 83 und 84, die im Wesentlichen einen Strafzweck haben, da sie die Verhängung von Geldbußen und anderen Sanktionen erlauben - keine Straffunktion. Das Verhältnis zwischen den in Art. 82 DS-GVO und den in den Art. 83 und 84 DS-GVO enthaltenen Vorschriften zeigt, dass zwischen diesen beiden Kategorien von Bestimmungen ein Unterschied besteht, sie einander aber als Anreiz zur Einhaltung der Datenschutzgrundverordnung auch ergänzen, wobei das Recht jeder Person, den Ersatz eines Schadens zu verlangen, die Durchsetzungskraft der in dieser Verordnung vorgesehenen Schutzvorschriften erhöht und geeignet ist, von der Wiederholung rechtswidriger Verhaltensweisen abzuschrecken. Im Lichte des europarechtlichen Effektivitätsgrundsatzes (vgl. Art. 4 Abs. 3 EUV) muss die Höhe dennoch so bestimmt werden, dass sie den Schaden tatsächlich in vollem Umfang auszugleichen in der Lage ist. Dies kann auch ein Schadensersatz in geringer Höhe sein. Nicht zu berücksichtigen ist im Hinblick auf die ausschließliche Ausgleichsfunktion des in Art. 82 Abs. 1 DS-GVO verankerten Schadensersatzanspruchs hingegen die Schwere des Verschuldens oder ein etwaiger Vorsatz sowie die Schwere des Verstoßes gegen die Datenschutzgrundverordnung sowie die Anzahl der Verstöße gegen die Datenschutzgrundverordnung im Hinblick auf einen Vorgang. Vor diesem Hintergrund ist in die zur Bemessung des Schadensersatzes vorzunehmende Abwägung einzustellen, dass der Kl. ein - unterstellter -immaterieller Schaden entstanden ist, der in einem Kontrollverlust - aber auch nur in diesem - besteht. Insbesondere ist nach dem Gesagten nicht die Befürchtung vor Datenmissbrauch zu kompensieren, da eine solche Befürchtung zur Überzeugung des Senats widerlegt ist. Der Kontrollverlust beschränkt sich dabei auf nicht sonderlich sensible Daten, sondern solche der Sozialsphäre der Kl.. Der Name der Kl. als solcher ist auch anderweitig im Internet auffindbar, wie sie selbst bekundet hat. Auch wenn dies für die Telefonnummer nach den Bekundungen der Kl. nicht gilt, so ist die Telefonnummer doch auf Kommunikation mit anderen angelegt. Gelangt sie in die Hand von Dritten, die nach dem Willen der Kl. nicht in ihren Besitz gelangen sollen, wiegt dies entsprechend nicht so schwer wie der Kontrollverlust über Daten, die von vornherein auf Geheimhaltung - wie etwa Arztdaten - angelegt sind. Dennoch ist zu berücksichtigen, dass die in Rede stehenden Daten der Kl. auf einer insgesamt ca. 533 Millionen Datensätze umfassenden Liste im Darknet veröffentlicht worden sind, was einen Missbrauch durch Kriminelle wahrscheinlicher als bei zusammenhangloser Erwähnung auf einer Homepage im Internet erscheinen ließ - wobei das persönliche Risiko, für einen Missbrauchsversuch ausgewählt zu werden, wiederum durch die Vielzahl der Datensätze relativiert wird. |
| NEU OLG Stuttgart Urt. v. 19.6.2024 – 4 U 132/23 | 0 EUR Wie OLG Stuttgart Urt. v. 26.6.2024 – 4 U 114/23 |
| NEU OLG Dresden Beschl. v. 18.6.2024 – 4 U 156/24 = ZD 2024, 699 | 0 EUR Der Kl. ist unstreitig nicht Nutzer der von der Bekl. betriebenen Webseite Gravatar. Er ist nicht aktivlegitimiert. Eine Betroffenheit von dem Scraping Ereignis im Oktober 2020 bei Gravatar ist schon nicht schlüssig dargetan. Aus dem von dem Kl. vorgetragenen Auszug aus der Webseite von Gravatar ergibt sich nicht, dass ein Datenaustausch zwischen Gravatar und der vom Kl. genutzten Webseite WordPress.com stattfindet. Unabhängig von der fehlenden Aktivlegitimation des Kl. hat er auch nicht schlüssig vorgetragen, von einem Scarping bei der Bekl. betroffen zu sein. Ob eine positive Meldung hinsichtlich der e-mail Adresse auf der website „haveIbeenpwnd.com„ ausreicht, kann hier offenbleiben, jedenfalls lässt die Vorlage des screen shots der Seite „haveIbeenpwnd.com“, keinerlei Rückschlüsse darauf zu, wo und wann ein Datenleck aufgetreten ist. Der Kl. ist schließlich bei zahlreichen anderen sozialen Medien - wie facebook, instagram, tiktok, twitter und pinterest - registriert. |
| NEU OLG Bamberg Urt. v. 11.6.2024 – 10 U 58/23 e = ZD 2025, 107 | 0 EUR Das LG hat der Kl. zu Unrecht einen Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO zugebilligt. Es hat insoweit in mehrfacher Hinsicht die Rechtslage und die Vorgaben des EuGH verkannt. Richtigerweise ist bereits kein „immaterieller Schaden“, den die Kl. erlitten hätte, feststellbar. Daher kann der Senat dahinstehen lassen, ob die Bekl. schuldhaft gegen Vorschriften der DS-GVO verstoßen hat. Der Senat folgt hinsichtlich der Auslegung von Art. 82 DS-GVO der Rspr. des EuGH, denn die DS-GVO verweist für den Sinn und die Tragweite der in Art. 82 DS-GVO enthaltenen Begriffe, insb. in Bezug auf die Begriffe „materieller oder immaterieller Schaden“ und „Schadensersatz“, nicht auf das Recht der Mitgliedstaaten. Daraus folgt, dass diese Begriffe für die Anwendung der DS-GVO als autonome Begriffe des Unionsrechts anzusehen sind, die in allen Mitgliedstaaten einheitlich auszulegen sind. Unterstellt es wäre - wie nicht - ein von der Kl. erlittener „immaterieller Schaden“ iSd Art. 82 Abs. 1 DS-GVO feststellbar, hätte das LG diesen jedenfalls der Höhe nach rechtsfehlerhaft bemessen, sodass das angegriffene Ersturteil schon aus diesem Grund keinen Bestand haben könnte. Um den Betrag der als Ausgleich geschuldeten finanziellen Entschädigung festzulegen, ist allein der von der betroffenen Person konkret erlittene Schaden zu berücksichtigen. Art. 82 DS-GVO hat entgegen der Ansicht des LG keine abschreckende Funktion oder gar Straffunktion, sondern nur eine Ausgleichsfunktion. Die Vorschrift soll lediglich ermöglichen, den konkret aufgrund des Verstoßes gegen die DS-GVO erlittenen Schaden vollständig auszugleichen. Auch der Umstand, dass der Verantwortliche mehrere Verstöße ggü. derselben betroffenen Person begangen hat, ist - anders als das LG meint - kein relevantes Kriterium für die Bemessung des zu gewährenden Schadensersatzes. Allerdings ist bereits die Annahme des LG, die Kl. habe einen von ihr erlittenen „immateriellen Schaden“ iSv Art. 82 Abs. 1 DS-GVO nachgewiesen, unrichtig. Schon aus dem Wortlaut von Art. 82 DS-GVO geht klar hervor, dass das Vorliegen eines „Schadens“ nur eine von drei kumulativen Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadensersatzanspruch darstellt, ebenso wie das Vorliegen eines Verstoßes gegen die DS-GVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß. Daher eröffnet nicht bereits jeder „Verstoß“ gegen die Bestimmungen der DS-GVO für sich genommen den Schadensersatzanspruch der betroffenen Person. Selbst wenn die verletzte Bestimmung der DS-GVO natürlichen Personen Rechte gewähren sollte, kann ein solcher Verstoß für sich genommen keinen „immateriellen Schaden“ iSd Verordnung darstellen. Die Haftung des Verantwortlichen hängt weiter vom Vorliegen eines ihm anzulastenden Verschuldens ab, das vermutet wird, wenn er nicht nachweist, dass die Handlung, die den Schaden verursacht hat, ihm nicht zurechenbar ist. Der Begriff „immaterieller Schaden“ iSv Art. 82 Abs. 1 DS-GVO ist weit zu verstehen. Für die Annahme eines Schadens ist deshalb nicht erforderlich, dass dieser eine wie auch immer geartete Erheblichkeitsschwelle, einen bestimmten Grad an Erheblichkeit oder einen gewissen Schweregrad erreicht. Die Haftung nach Art. 82 Abs. 1 DS-GVO darf daher nicht davon abhängig gemacht werden, dass der Nachteil spürbar oder die Beeinträchtigung objektiv sein muss. Allerdings bedeutet der Verzicht auf eine Erheblichkeitsschwelle nicht, dass eine Person, die von einem Verstoß gegen die DS-GVO betroffen ist, der für sie negative Folgen gehabt hat, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden iSv Art. 82 DS-GVO darstellen, denn der bloße Verstoß gegen die Bestimmungen dieser Verordnung reicht nicht aus, um einen Schadensersatzanspruch zu begründen. Die Person, die auf der Grundlage von Art. 82 Abs. 1 DS-GVO den Ersatz eines immateriellen Schadens verlangt, muss deshalb nicht nur den Verstoß gegen Bestimmungen dieser Verordnung nachweisen, sondern auch, dass ihr durch diesen Verstoß tatsächlich ein materieller oder „immaterieller Schaden“ entstanden ist, so geringfügig er auch sein mag. Es bedarf „eindeutiger und präziser Beweise“ dafür, dass die betroffene Person einen solchen Schaden erlitten hat. Die betroffene Person muss schließlich den Nachweis erbringen, dass die Folgen des Verstoßes ursächlich für den ihr entstandenen Schaden waren. Da die DS-GVO keine Bestimmung enthält, die sich den Regeln für die Bemessung des Schadensersatzanspruchs nach Art. 82 Abs. 1 DS-GVO widmet, sind die Ausgestaltung von Klageverfahren und insb. die Festlegung der Kriterien für die Ermittlung des Umfangs des in diesem Rahmen geschuldeten Schadensersatzes in Ermangelung einschlägiger unionsrechtlicher Vorschriften Aufgabe des Rechts des einzelnen Mitgliedstaats. Folglich sind bei der Feststellung und Festsetzung der Höhe des Schadensersatzes die innerstaatlichen Vorschriften der Mitgliedstaaten anzuwenden, sofern dabei die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität beachtet werden, die Ausübung der durch das Unionsrecht verliehenen Rechte also nicht praktisch unmöglich gemacht oder übermäßig erschwert wird. Soweit es sich bei dem behaupteten „immateriellen Schaden“ um innere Tatsachen handelt, können diese nach der gefestigten Rspr. des BGH in Zivilsachen nur aus äußeren Tatsachen gefolgert werden, sind also regelmäßig nur durch Indizien dem Beweis zugänglich. Die Beweislast für auf innere Tatsachen bezogene Voraussetzungen einer Rechtsfolge wird nach den allgemeinen zivilprozessualen Grundsätzen der Partei auferlegt, die daraus eine ihr günstige Rechtsfolge herleitet. Der Tatrichter ist grds. darin frei (§ 286 ZPO), welche Beweiskraft er den Indizien im Einzelnen und in einer Gesamtschau für seine Überzeugungsbildung beimisst, solange er alle Umstände vollständig berücksichtigt und bei der Würdigung nicht gegen Denk- oder Erfahrungssätze verstößt. Dies zugrunde gelegt hat die Kl. einen von ihr erlittenen „immateriellen Schaden“ iSv Art. 82 Abs. 1 DS-GVO nicht nachgewiesen. Nach Auffassung des Senats kann die Frage, ob eine betroffene Person einen „immateriellen Schaden“ iSv Art. 82 Abs. 1 DS-GVO erlitten hat, nur anhand der Umstände des konkreten Einzelfalls festgestellt werden. Dies wiederum setzt konkreten, auf den Einzelfall bezogenen Sachvortrag dazu voraus, dass und aufgrund welcher Umstände die Klagepartei einen „immateriellen Schaden“ erlitten hat. Diesen Voraussetzungen wird das schriftsätzliche Vorbringen der Kl. nicht gerecht. Dieses besteht gerichtsbekannt aus Textbausteinen, welche die Prozessbevollmächtigten der Kl. in einer Vielzahl von anhängigen Verfahren in identischer Form verwendet haben, und das sich in pauschalen, nicht auf die konkrete Person der Kl. bezogenen Behauptungen erschöpft. Der Senat vermag seiner Entscheidung daher nur den Vortrag der Kl. in ihrer informatorischen Anhörung vor dem LG, den diese zur Konkretisierung des unzureichenden schriftsätzlichen Vorbringens gehalten hat, sowie die Angaben des nach § 141 Abs. 3 S. 2 ZPO bevollmächtigten Klägervertreters im Senatstermin zugrunde zu legen. Danach steht noch nicht einmal fest, dass die von der Kl. vor dem LG dargestellten negativen Gefühle bei ihr fortbestehen. Die Kl., deren persönliches Erscheinen der Senat zur Wahrung ihres Anspruchs auf rechtliches Gehör und zur weiteren Sachverhaltsaufklärung angeordnet hat, ist zum Senatstermin unentschuldigt nicht erschienen. Sie hat sich trotz mehrfachen Hinweises des Senats auf die Bedeutung ihres Erscheinens damit begnügt, ihren Prozessbevollmächtigten eine Vollmacht nach § 141 Abs. 3 S. 2 ZPO zu erteilen. Allerdings konnte der Prozessbevollmächtigte der Kl. die Fragen des Senats überwiegend gar nicht oder nur unter Hinweis auf seine „Erfahrungen“ aus Parallelverfahren beantworten. Insb. zu der Frage, ob die von der Kl. beschriebenen negativen Gefühle fortbestehen, konnte der Prozessbevollmächtigte nur spekulieren, dass, wenn dem nicht so wäre, die Kl. ihre Klage zurückgenommen hätte. Aktuelle Informationen von der Kl. hatte er hierzu allerdings nicht erhalten und diese Frage auch mit der Kl. nicht persönlich erörtert. Daher ist nach der Überzeugung des Senats noch nicht einmal nachgewiesen, dass im Zeitpunkt des Senatstermins die negativen Gefühle der Kl. fortbestehen, sodass schon aus diesem Grund kein „immaterieller Schaden“ festzustellen ist. Allerdings würden, anders als das LG meint, auch die in erster Instanz von der Kl. gemachten Angaben nicht die Annahme eines „immateriellen Schadens“ rechtfertigen. Die Kl. hat im Rahmen ihrer informatorischen Anhörung zunächst angegeben, sie habe ab Ende 2019 „komische SMS’en“ und „Phishing-SMS“ erhalten, was sich durch 2020 durchgezogen habe. Zudem habe sie „Werbeanrufe“ erhalten. Dies habe sich, wie der Klägervertreter im Senatstermin unter Bezugnahme auf die Anlage K 4 klargestellt hat, vereinzelt auch noch in den Jahren 2022 und 2023 ereignet. Weiter hat die Kl. dargelegt, aus diesen „merkwürdigen SMS’en und Anrufen“ haben sie ihre „Betroffenheit mitbekommen“. Weiteres wurde in diesem Zusammenhang nicht geschildert. Nach der Rspr. des EuGH reicht allerdings der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht aus, um einen Schadensersatzanspruch zu begründen, ebenso genügt nicht, dass dieser Verstoß „negative Folgen“ für die betroffene Person gehabt hat. Die betroffene Person muss vielmehr darüber hinaus auch nachweisen, dass diese „negativen Folgen“ einen immateriellen Schaden iSv Art. 82 DS-GVO darstellen. Im Rahmen ihrer Anhörung hat die Kl. jedoch lediglich geschildert, sie habe aufgrund der unerwünschten Kontaktaufnahme auf ihre „Betroffenheit“ geschlossen. Damit und mit diesen ungewollten SMS und Anrufen hat sie die für sie entstandenen „negativen Folgen“ des - unterstellten - Verstoßes der Bekl. gegen die Vorschriften der DS-GVO nachgewiesen. Sie hat jedoch weder dargelegt noch nachgewiesen, dass sie durch diese „negative Folge“ des - unterstellten - Verstoßes einen weitergehenden „Schaden“ erlitten hätte. Somit hat die Kl. nur die Folgen des DS-GVO-Verstoßes, nicht aber die weitere Tatbestandsvoraussetzung eines erlittenen Schadens dargelegt. Deshalb ist es auch unerheblich, dass nach der Darstellung der Kl. einzelne Anrufe dem gescrapten Datensatz zugeordnet werden können. Die Kl. hat weiter angegeben, sie sei „bedrückt, dass die Daten jetzt im Darknet verfügbar“ seien. Die „Tatsache des Vorhandenseins der Daten im Darknet“ beunruhige sie, denn Sicherheit sei ihr „wichtig“. Daher hinterlasse das „Ganze ein sehr bitteres Gefühl“ bei ihr. Der Senat versteht diese Einlassung der Kl. so, dass diese damit sinngemäß den Verlust der Kontrolle über ihre Daten beklagte. Unbeschadet davon, dass - wie dargelegt - bereits nicht nachgewiesen ist, dass diese Sorge überhaupt fortbesteht, wäre sie im zur Entscheidung gestellten Fall nicht geeignet, einen „immateriellen Schaden“ zu begründen. Auch wenn der Senat im Einklang mit der Rspr. des EuGH den bloßen „Verlust der Kontrolle“ über die eigenen Daten infolge eines Verstoßes gegen die DS-GVO als möglichen „immateriellen Schaden“ grds. genügen lässt, ist gleichwohl aufgrund der tatsächlichen Besonderheiten des Streitfalls ein „immaterieller Schaden“ nicht dargetan. Vom „Scraping“ betroffen sind die Handynummer der Kl., ihre Facebook-ID, ihr Geschlecht und das von ihr verwendete Pseudonym „xxxxxxxx“. Die Feststellung des LG, es sei der „Name“ der Kl. betroffen, erweist sich insoweit auf Grundlage des unstreitigen Parteivorbringens als unzutreffend. |
| NEU KG Urt. v. 4.6.2024 – 21 U 3/24 = ZD 2024, 600 (Ls.) | 0 EUR Ein Schadensersatzanspruch aus Art. 82 Abs. 1 DS-GVO scheitert jedenfalls daran, dass dem Kl. kein kausaler immaterieller Schaden entstanden ist. Ob der Bekl. im Zusammenhang mit dem streitgegenständlichen Scraping-Vorfall überhaupt Verstöße gegen relevante, d. h. vom Schutzbereich des Art. 82 Abs. 1 DS-GVO erfasste Regelungen der DS-GVO vorzuwerfen sind, kann daher dahinstehen. Wie der EuGH in mittlerweile gefestigter Rspr. entschieden hat, muss ein auf diese Vorschrift gestützter Schadensersatzanspruch drei kumulative Voraussetzungen erfüllen: Es muss eine Verarbeitung personenbezogener Daten unter Verstoß gegen Bestimmungen der DS-GVO erfolgt, der betroffenen Person ein (materieller oder immaterieller) Schaden entstanden und ein Kausalzusammenhang zwischen der rechtswidrigen Verarbeitung und diesem Schaden gegeben sein. Art. 82 Abs. 1 DS-GVO verlangt zwar nicht, dass der geltend gemachte Schaden einen gewissen Grad an Erheblichkeit oder eine bestimmte Schwere erreicht hat. Daher kann zur Bejahung eines immateriellen Schadens bereits die begründete Befürchtung einer Person ausreichen, ihre personenbezogenen Daten könnten aufgrund eines eingetretenen Verstoßes gegen die DS-GVO in Zukunft missbräuchlich von Dritten verwendet werden. Allerdings muss der Anspruchsteller zur Überzeugung des angerufenen nationalen Gerichts nachweisen, dass eine solche Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann. Diesen Nachweis zu erbringen, ist dem Kl. im vorliegenden Fall nicht gelungen. Er hat im Rahmen seiner persönlichen Anhörung zwar unter anderem dargetan, er sei um den Missbrauch seiner Daten besorgt gewesen, seitdem er etwa ab April 2021 E-Mails oder SMS mit betrügerischem Inhalt sowie Anrufe mit unbekannter Nummer erhalten habe, bei denen die Anrufer ihn von Beginn an mit seinem Namen angesprochen hätten. Zugleich ist aber in der mündlichen Berufungsverhandlung offenbar geworden, dass der technisch durchaus versiert auftretende Kl. trotz Kenntnis der Umstände des Scraping-Vorfalls die Such- und Sichtbarkeit seiner Daten auf der Plattform der Bekl. unbeschränkt gelassen und damit dem Zugriff Dritter (weiterhin) preisgegeben hat. Bei dieser Sachlage vermochte sich der Senat aber nicht die erforderliche Überzeugung zu verschaffen, dass dem sich derart sorglos verhaltenden Kl. überhaupt an der Vertraulichkeit und der Kontrolle seiner personenbezogenen Daten gelegen ist. Die in Ziffer 1. aufgeworfenen Fragestellungen zu den Voraussetzungen eines immateriellen Schadens hat der EuGH bereits umfassend beantwortet. So reicht der Eintritt eines Kontrollverlusts über personenbezogene Daten für sich genommen nicht aus, um einen immateriellen Schaden zu bejahen. Aus diesem Grund haben die nationalen Gerichte im jeweiligen Einzelfall, nämlich unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person, zu überprüfen, ob ein immaterieller Schaden vom Anspruchsteller nachgewiesen ist. In Bezug auf die Frage in Ziffer 2. ist zwischenzeitlich geklärt, dass dem Schadensersatz nach Art. 82 Abs. 1 DS-GVO keine Abschreckungs- oder Straffunktion zukommt. Was die Vorlagefragen in Ziffer anbelangt, hat der EuGH bereits entschieden, dass eine absolut unmögliche Leistung nicht verlangt werden kann. Die Vorlagefrage in Ziffer ist für den hier zu entscheidenden Rechtsstreit ohne Relevanz, weil der Senat den Auskunftsanspruch nicht nach den dort formulierten Kriterien abgelehnt hat. |
| NEU KG Urt. v. 4.6.2024 – 21 U 137/23 | 0 EUR Wie KG Urt. v. 4.6.2024 – 21 U 3/24. |
| OLG Oldenburg Urt. v. 21.5.2024 – 13 U 100/23 = ZD 2024, 540 (Ls.) | 0 EUR Ein Schadensersatzanspruch gem. Art. 82 DS-GVO setzt einen Verstoß gegen die DS-GVO, den Eintritt eines Schadens und einen Kausalzusammenhang zwischen Verstoß und Schaden voraus. Vorliegend hat die Bekl. zwar gegen die DS-GVO verstoßen, indessen hat der Kl. keinen kausalen Schaden erlitten. Der erforderliche Verstoß gegen die DS-GVO liegt vor. Dabei kann die von den unterschiedlichen Wortlauten in Art. 82 Abs. 1 DS-GVO („wegen eines Verstoßes gegen diese Verordnung“) und Art. 82 Abs. 2 DS-GVO („eine nicht dieser Verordnung entsprechende Verarbeitung“) ausgehende Streitfrage, ob bereits jeder Verstoß gegen die DS-GVO oder erst eine verordnungswidrige Datenverarbeitung einen Schadensersatzanspruch nach Art. 82 DS-GVO begründet, dahinstehen. Da die Bekl. personenbezogene Daten des Kl. ohne die nach Art. 6 Abs. 1 DS-GVO erforderliche Rechtsgrundlage verarbeitet hat, liegt nicht nur ein Verstoß gegen die DS-GVO, sondern auch eine verordnungswidrige Datenverarbeitung vor. Ob die Bekl. darüber hinaus die weiteren, von dem Kl. geltend gemachten Datenschutzrechtsverstöße begangen hat, kann offenbleiben, da der in Art. 82 Abs. 1 DS-GVO vorgesehene Schadensersatzanspruch ausschließlich eine Ausgleichsfunktion, jedoch keine abschreckende oder Straffunktion erfüllt und daher das Vorliegen mehrerer Verstöße nicht zu einer Erhöhung des Schadensersatzes führt. Der Kl. hat allerdings keinen Schaden erlitten. Nach Erwägungsgrund 146 S. 3 DS-GVO ist der Begriff des Schadens weit und unter Berücksichtigung der Ziele der DS-GVO (vgl. Art. 1 DS-GVO) auszulegen. Die Darlegungs- und Beweislast für das Vorliegen eines Schadens trifft den Kl. Der Kl. hat jedoch nicht nachgewiesen, aufgrund des Verstoßes der Bekl. gegen die DS-GVO einen immateriellen Schaden erlitten zu haben. Entgegen der Auffassung des Kl. stellt der Verlust der Kontrolle über personenbezogene Daten als solcher noch keinen ersatzfähigen Schaden dar. Soweit der Kl. als Beleg für seine Auffassung Erwägungsgrund 75 und 85 DS-VGO anführt, ist zu berücksichtigen, dass die Erwägungsgründe keinen normativen Charakter haben, sondern lediglich als Auslegungshilfe in Betracht kommen. Dabei haben Erwägungsgrund 75 und 85 DS-GVO für die Auslegung des Schadensbegriffs in Art. 82 Abs. 1 DS-GVO nur eine begrenzte Aussagekraft, da sie sich nicht auf Art. 82 DS-GVO, sondern auf Art. 24 DS-GVO bzw. Art. 33 DS-GVO beziehen. Davon abgesehen folgt aus der Rspr. des EuGH, dass der bloße Kontrollverlust keinen immateriellen Schaden iSd Art. 82 DS-GVO begründet. Die entsprechende Vorlagefrage hat der EuGH dahingehend beschieden, dass der Kontrollverlust zwar grds. einen Schaden darstellen könne, der Anspruchsteller jedoch nachweisen müsse, dass die negativen Folgen eines Verstoßes einen immateriellen Schaden darstellen. Das nationale Gericht müsse, wenn sich eine Person auf die Befürchtung berufe, ihre personenbezogenen Daten könnten in Zukunft missbräuchlich verwendet werden, prüfen, ob diese Befürchtung unter den gegebenen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden könne. Danach ist der Verlust der Kontrolle über die eigenen Daten eine negative Folge, die zwar grds. einen Ersatzanspruch begründen kann, der Anspruchsteller bleibt jedoch in der Pflicht, darzulegen und ggf. zu beweisen, dass der Kontrollverlust zu einem immateriellen Schaden wie begründeten Ängsten und Befürchtungen eines Missbrauchs der Daten durch Dritte geführt hat. Ein folgenloser Kontrollverlust stellt hingegen keinen (immateriellen) Schaden dar. Aus dem Urt. des EuGH v. 14.12.2023 – C-340/21 [ZD 2024, 150 mAnm Ligocki/Sosna = MMR 2024, 231 mAnm Kohl/Rothkegel] folgt nichts anderes. Soweit der EuGH darin unter Verweis auf Erwägungsgrund 85 S. 1 DS-GVO ausgeführt hat, dass der Unionsgesetzgeber unter den Begriff des Schadens insb. den bloßen „Verlust der Kontrolle“ über die eigenen Daten infolge eines Verstoßes gegen die DS-GVO habe fassen wollen, hat er dies als Argument dafür angeführt, dass die Annahme eines Schadens nicht den Missbrauch personenbezogener Daten voraussetzt, sondern insoweit die Befürchtung eines solchen Missbrauchs auf Seiten des Betroffenen ausreichen kann. Eine Aussage über die Qualität des Kontrollverlusts als Schaden hat er damit nicht getroffen. Soweit der Kl. behauptet, großes Unwohlsein und große Sorge wegen eines möglichen Missbrauchs seiner personenbezogenen Daten verspürt zu haben, hat er seiner Darlegungslast genügt. Die durch einen Datenschutzrechtsverstoß hervorgerufene Befürchtung des Betroffenen, dass seine personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, kann einen immateriellen Schaden iSd Art. 82 Abs. 1 DS-GVO darstellen. Allerdings bleibt das Gericht gehalten zu prüfen, ob die Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann. Nach Anhörung des Kl. steht nicht zur Überzeugung des Senats fest, dass dieser infolge des Scraping-Vorfalls tatsächlich Ängste und Sorgen wegen eines möglichen Missbrauchs seiner Mobilfunknummer empfunden hat. Im Gegenteil geht der Senat vielmehr davon aus, dass dies nicht der Fall ist. Der Kl. hat bei seiner Anhörung weder den Eindruck vermittelt noch ausdrücklich bekundet, über das Abgreifen seiner Mobilfunknummer beunruhigt zu sein. Ebenso wenig hat ihn der Scraping-Vorfall zu einem Wechsel seiner Mobilfunknummer veranlasst. Ob der Kl. seine Suchbarkeits-Einstellung nach dem Scraping-Vorfall geändert hat, konnte er nicht sicher sagen. Vielmehr hat er eingeräumt, dass ihm die Unterscheidung zwischen Zielgruppen- und Suchbarkeits-Einstellung trotz ihrer schriftsätzlichen Thematisierung in dem vorliegenden Verfahren nicht richtig geläufig ist. Angesichts dieser Umstände ist der Senat nicht davon überzeugt, dass der Kl. tatsächlich Ängste und Sorgen wegen seiner abgegriffenen Mobilfunknummer empfindet. Schließlich begründet auch der von dem Kl. geschilderte Erhalt von Spam-Anrufen und -SMS nicht den geltend gemachten Schadensersatzanspruch. Abgesehen davon, dass der unerwünschte Erhalt von Spam-Anrufen und -SMS im Internetzeitalter gewissermaßen zum allgemeinen Lebensrisiko zählt, steht der ursächliche Zusammenhang zwischen dem Scraping-Vorfall und den Spam-Anrufen und -SMS nicht zur Überzeugung des Senats fest. Da der Kl. bekundet hat, mit seiner Mobilfunknummer auch bei EE und FF registriert zu sein, sind für den Erhalt der Spam-Anrufe auch andere Ursachen als der Scraping-Vorfall bei DD denkbar. Soweit der Kl. es für erforderlich erachtet, dem EuGH gem. Art. 267 Abs. 3 AEUV verschiedene Fragen zur Auslegung von Art. 82 DS-GVO und von Art. 15 DS-GVO zur Vorabentscheidung vorzulegen, sind die von ihm genannten Fragen entweder nicht klärungsbedürftig oder nicht entscheidungserheblich. Konkret hält der Kl. für klärungsbedürftig, ob die betroffene Person im Fall einer verordnungswidrigen Datenverarbeitung die Darlegungs- und Beweislast für den Schadenseintritt, die Schadenshöhe und die Kausalität zwischen Schaden und Rechtsverstoß trägt, ob der Kontrollverlust der betroffenen Person über ihre personenbezogenen Daten für sich genommen einen immateriellen Schaden begründet und ob bei der Bemessung der Höhe des Schadensersatzes berücksichtigt werden kann, dass dem nach Art. 82 DS-GVO zu gewährenden Schadensersatz im Einzelfall eine abschreckende Wirkung und damit der Charakter eines Straf-Schadensersatzes zukommt. Hinsichtlich Art. 15 DS-GVO hält es der Kl. für erforderlich, dem EuGH Fragen hinsichtlich der Erfüllung des Auskunftsanspruchs sowie hinsichtlich offenkundig unbegründeter oder exzessiver Anträge nach Art. 12 Abs. 5 DS-GVO zur Vorabentscheidung vorzulegen. Die Auslegung von Art. 82 DS-GVO wirft hinsichtlich der Darlegungs- und Beweislast keine klärungsbedürftigen Fragen auf („acte clair“). Art. 82 DS-GVO enthält keine allgemeinen Vorgaben zur Verteilung der Darlegungs- und Beweislast bei der Geltendmachung datenschutzrechtlicher Schadensersatzansprüche. Art. 82 Abs. 3 DS-GVO betrifft nur das Verschulden des Verantwortlichen für das schadenstiftende Ereignis, ohne dass sich daraus Aussagen zur allgemeinen Beweislastverteilung ableiten ließen. Ferner ergibt eine Gesamtbetrachtung der Art. 5, 24 und 32 DS-GVO, dass der Verantwortliche die Beweislast für die Einhaltung der datenschutzrechtlichen Sicherheitsanforderungen bei der Datenverarbeitung trägt. Darüber hinausgehende Vorgaben zur Beweislastverteilung bei der Geltendmachung datenschutzrechtlicher Schadensersatzansprüche enthält die DS-GVO nicht. Mangels unionsrechtlicher Vorschriften ist auf das mitgliedstaatliche Recht zurückzugreifen. Nach deutschem Recht trägt der Anspruchsteller die Darlegungs- und Beweislast für die anspruchsbegründenden Tatsachen. Mithin trägt der Betroffene die Darlegungs- und Beweislast für Schadenseintritt, Schadenshöhe und Kausalität zwischen Schaden und Rechtsverstoß. Für den Eintritt eines immateriellen Schadens hat das der EuGH ausdrücklich festgestellt. Hinsichtlich der Frage, ob der Kontrollverlust der betroffenen Person über ihre personenbezogenen Daten bereits für sich genommen einen immateriellen Schaden begründet, besteht aufgrund des Urt. des EuGH v. 14.12.2023 – C-456/22 [= ZD 2024, 208] ebenfalls kein Klärungsbedarf mehr („acte éclairé“). Wie bereits ausgeführt folgt aus dem Urteil, dass der Verlust der Kontrolle über die eigenen Daten eine negative Folge ist, die zwar grds. einen Ersatzanspruch begründen kann, der Anspruchsteller aber zugleich nicht von der Pflicht entbunden ist, darzulegen und gegebenenfalls zu beweisen, dass der Kontrollverlust im konkreten Fall auch tatsächlich zu einem immateriellen Schaden wie Ängsten und Befürchtungen vor einem Missbrauch der Daten durch Dritte geführt hat. Darauf weisen auch die von dem Kl. angeführten Literaturmeinungen hin, die die Frage, ob der Kontrollverlust bereits für sich genommen einen Schaden darstellt, weiterhin für klärungsbedürftig erachten. Aus der vom EuGH hervorgehobenen Erforderlichkeit eines Schadensnachweises im Einzelfall folgt für den Senat zweifelsfrei, dass der Kontrollverlust allein noch keinen Schaden darstellt. Die von dem Kl. hinsichtlich der Funktion des Schadensersatzes nach Art. 82 Abs. 1 DS-GVO aufgeworfene Frage ist ebenfalls geklärt. Diesbezüglich hat der EuGH festgestellt, dass der in Art. 82 Abs. 1 DS-GVO vorgesehene Schadensersatzanspruch eine Ausgleichsfunktion, jedoch keine abschreckende oder Straffunktion erfüllt. Soweit der BGH dem EuGH die Frage zur Vorabentscheidung vorgelegt hat, ob bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens der Grad des Verschuldens des Verantwortlichen ein relevantes Kriterium darstellt, ist diese Frage vorliegend nicht entscheidungserheblich. |
| NEU OLG Hamm Beschl. v. 14.5.2024 - 7 U 14/24 = ZD 2024, 638 | 0 EUR Im Hinblick auf den zulässigen Klageantrag zu 1 ist ein auf mögliche Verstöße gegen die DS-GVO zurückzuführender immaterieller Schaden nicht hinreichend dargelegt. Im vorliegenden Fall ist schon nicht von einem bloßen Kontrollverlust auszugehen, letztlich vermutet der Kl. lediglich einen solchen. Zwar hat er behauptet, seine Daten seien vom API-bug bei der Bekl. betroffen gewesen. Dies hat die Bekl. allerdings bestritten. Der Kl. hat sich daraufhin in seiner Replik hierzu mit Nichtwissen erklärt. Dies ist unzulässig. Eine Erklärung mit Nichtwissen nach § 138 Abs. 4 ZPO steht nur dem Gegner der beweisbelasteten Partei zu. Für das Vorliegen der tatsächlichen Voraussetzungen des Art. 82 Abs. 1 DS-GVO ist der Anspruchsteller – hier also der Kl. – darlegungs- und beweisbelastet. Anders als die Berufung meint, ist von einer Beweislastumkehr nicht auszugehen. Unabhängig davon ist die Behauptung des Kl. auch deswegen unbeachtlich, weil er keinerlei Anhaltspunkte dafür vorträgt, warum er davon ausgeht, dass er vom API-Bug bei der Bekl. betroffen gewesen sein soll. Die Bekl. hat unstreitig betroffene Nutzer über den Vorfall informiert. Der Kl. gehörte nicht zu diesem Kreis. Dem Kl. hätte es daher oblegen darzulegen, warum er dennoch vermutet, vom Vorfall betroffen zu sein, ohne dass die Bekl. ihn informiert hätte. Soweit der Kl. mit dem auch im Berufungsrechtszug weiterverfolgten Klageantrag zu 2 einen immateriellen Schadensersatzanspruch wegen der Nichterteilung einer den gesetzlichen Anforderungen entsprechenden außergerichtlichen Datenauskunft geltend macht, fehlt es schon an klägerischen Berufungsangriffen. Zweifel an der Richtigkeit des LGlichen Urteils bestehen auch iÜ nicht. Unabhängig von der Frage, ob die Bekl. die geltend gemachte Auskunft nicht den gesetzlichen Anforderungen entsprechend erteilt hat, ist kein spezifisch auf der möglicherweise nicht rechtmäßig erteilten Auskunft beruhender Schaden erkennbar. Der Kl., der bereits bei Geltendmachung des Auskunftsanspruchs am 10.3.2023 von einem Datenleck bei der Bekl. wusste, legt nicht dar, wie sich der Sachverhalt anders entwickelt hätte, wenn die Bekl. die Auskunft innerhalb der mit Schreiben vom 10.3.2023 gesetzten Frist von zehn Tagen erfüllt hätte. Die schlichte Behauptung, hierdurch sei eine Vertiefung des Schadens eingetreten, reicht dafür nicht aus. |
| OLG Oldenburg Urt. v. 14.5.2024 – 13 U 114/23 = ZD 2024, 721 | 250 EUR Der mit dem Klageantrag zu 1. geltend gemachte Schadensersatzanspruch steht der Kl. dem Grunde nach zu. Die Kl. hat aufgrund des Verstoßes der Bekl. gegen die DS-GVO einen Schaden erlitten. Nach Erwägungsgrund 146 S. 3 DS-GVO ist der Begriff des Schadens weit und unter Berücksichtigung der Ziele der DS-GVO (vgl. Art. 1 DS-GVO) auszulegen. Die Darlegungs- und Beweislast für das Vorliegen eines Schadens trifft die Kl. Der von der Kl. geschilderte Erhalt von Spam-SMS und in jüngerer Vergangenheit von Spam-Anrufen über DD vermag den geltend gemachten Schadensersatzanspruch allerdings nicht zu begründen. Abgesehen davon, dass der unerwünschte Erhalt von Spam-Nachrichten im Internetzeitalter gewissermaßen zum allgemeinen Lebensrisiko zählt, steht der ursächliche Zusammenhang zwischen dem Scraping-Vorfall und den Spam-SMS und -Anrufen nicht zur Überzeugung des Senats fest. Da die Kl. bekundet hat, auch auf anderen Internetplattformen wie EE aktiv und mit der fraglichen Nummer bei FF registriert zu sein, sind für den Erhalt der Spam-Nachrichten auch andere Ursachen als der Scraping-Vorfall bei CC denkbar. Aufgrund der Anhörung der Kl. steht jedoch zur Überzeugung des Senats fest, dass die Kl. infolge des Abgreifens ihrer Mobilfunknummer von ihrem CC-Profil in Sorge wegen eines möglichen Missbrauchs der Mobilfunknummer ist und somit einen immateriellen Schaden iSd Art. 82 Abs. 1 DS-GVO erlitten hat. Die Kl. hat ihre Befürchtungen hinsichtlich eines Missbrauchs der Mobilfunknummer nachvollziehbar geschildert. Sie hat ausgeführt, das Abschöpfen ihrer Mobilfunknummer als unangenehm zu empfinden und Angst zu verspüren. Sie befürchte, aus Versehen betrügerische Nachrichten anzuklicken, zumal sie aufgrund der Einnahme von Medikamenten gelegentlich „benebelt“, mit anderen Worten nicht voll konzentriert sei. Weiter hat sie plausibel geschildert, dass sie ein versehentliches Anklicken von Nachrichten durch ihre Kinder befürchte, die ihr Telefon für Telefonate mit den Großeltern nutzten. Diese Umstände belasteten sie umso stärker, als sie generell ein ängstlicher Mensch sei und unter ADS leide. Aufgrund dessen sowie des persönlichen Eindrucks, den der Senat von der Kl. iRd Anhörung gewonnen hat, ist der Senat davon überzeugt, dass sie tatsächlich in Sorge vor einem Missbrauch ihrer gescrapten Mobilfunknummer ist, seit sie von deren Abgreifen von ihrem CC-Profil erfahren hat. Da die Kl. bereits aufgrund ihrer Ängste vor einem Missbrauch ihrer gescrapten Mobilfunknummer einen (immateriellen) Schaden erlitten hat, kommt es auf die Frage, ob der Verlust der Kontrolle über personenbezogene Daten für sich genommen einen ersatzfähigen Schaden darstellt, nicht mehr entscheidungserheblich an. Der Datenschutzrechtsverstoß der Bekl. ist für die Befürchtungen, die die Kl. hinsichtlich eines Missbrauchs ihrer Mobilfunknummer empfindet, ursächlich. Die Suchbarkeit des Profils anhand der Telefonnummer ermöglichte es den Scrapern, das Nutzerprofil der Kl. anhand automatisch generierter Mobilfunknummern zu finden und durch die Verknüpfung der automatisch generierten Mobilfunknummer mit dem Nutzerprofil der Kl. deren Mobilfunknummer in Erfahrung zu bringen. Auf diese Weise konnten sie die Mobilfunknummer zusammen mit den öffentlich zugänglichen Nutzerdaten der Kl. im Darknet veröffentlichen, was bei der Kl. die Ängste und Sorgen wegen eines Missbrauchs ihrer Mobilfunknummer durch Dritte ausgelöst hat. Eine Haftungsbefreiung nach Art. 82 Abs. 3 DS-GVO kommt nicht in Betracht. Die Bekl. hat nicht dargelegt, dass sie für die rechtswidrige Verarbeitung der Mobilfunknummer der Kl. nicht verantwortlich war. Anhaltspunkte dafür sind auch sonst nicht ersichtlich. Die Höhe des Schadensersatzes bemisst sich mangels unionsrechtlicher Vorgaben nach dem Recht der Mitgliedstaaten. Folglich kommt vorliegend § 287 Abs. 1 S. 1 ZPO zur Anwendung. Danach hat das Gericht über die Höhe des Schadens unter Würdigung aller Umstände nach freier Überzeugung zu entscheiden. Dabei ist unter Berücksichtigung des Effektivitätsgrundsatzes zu gewährleisten, dass der Betroffene einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhält (Erwägungsgrund 146 S. 6 DS-GVO). In Anbetracht der Ausgleichsfunktion in Art. 82 DS-GVO ist eine Entschädigung als vollständig und wirksam anzusehen, wenn sie es ermöglicht, den aufgrund des Verstoßes gegen die DS-GVO konkret erlittenen Schaden in vollem Umfang auszugleichen, ohne dass ein solcher vollumfänglicher Ausgleich die Verhängung von Straf-Schadensersatz fordert. Der in Art. 82 Abs. 1 DS-GVO vorgesehene Schadensersatzanspruch hat eine Ausgleichsfunktion, erfüllt indessen keine abschreckende oder Straffunktion. Unter Berücksichtigung dieser Grundsätze bemisst der Senat den Schaden der Kl. auf 250 EUR. Dabei hat der Senat insb. berücksichtigt, dass die Mobilfunknummer kein hochsensibles Datum ist, das der Geheimhaltung unterliegt, sondern vielmehr auf eine gewisse Verbreitung angelegt ist. Der Umstand, dass die Kl. einen Wechsel ihrer Mobilfunknummer bisher nicht für erforderlich erachtet hat, zeigt überdies, dass sich ihre Ängste vor einem Datenmissbrauch in Grenzen halten. Ein anspruchsminderndes Mitverschulden liegt nicht vor. Soweit die Bekl. darauf hinweist, dass die Kl. die Suchbarkeit ihres Nutzerprofils über die Mobilfunknummer durch eine Änderung der Voreinstellung der Suchbarkeitsfunktion hätte ausschließen können, wurde bereits ausgeführt, dass die Kl. gem. Art. 25 Abs. 2 DS-GVO auf datenschutzfreundliche Voreinstellungen vertrauen durfte, daher nicht zur Überprüfung der standardmäßigen Voreinstellungen verpflichtet war und es aus ihrer Sicht auch nicht nahelag, dass neben der Zielgruppenauswahl mit der Suchbarkeitsfunktion noch eine weitere für die Verarbeitung ihrer Mobilfunknummer relevante Einstellung vorzunehmen war. Soweit die Kl. es für erforderlich erachtet, dem EuGH gem. Art. 267 Abs. 3 AEUV verschiedene Fragen zur Auslegung von Art. 82 DS-GVO und von Art. 15 DS-GVO zur Vorabentscheidung vorzulegen, sind die von ihr genannten Fragen entweder nicht klärungsbedürftig oder nicht entscheidungserheblich. Konkret hält die Kl. für klärungsbedürftig, ob die betroffene Person im Fall einer verordnungswidrigen Datenverarbeitung die Darlegungs- und Beweislast für den Schadenseintritt, die Schadenshöhe und die Kausalität zwischen Schaden und Rechtsverstoß trägt, ob der Kontrollverlust der betroffenen Person hinsichtlich ihrer personenbezogenen Daten für sich genommen einen immateriellen Schaden begründet und ob bei der Bemessung der Höhe des Schadensersatzes berücksichtigt werden kann, dass dem nach Art. 82 DS-GVO zu gewährenden Schadensersatz im Einzelfall eine abschreckende Wirkung und damit der Charakter eines Straf-Schadensersatzes zukommt. Hinsichtlich Art. 15 DS-GVO hält es die Kl. für erforderlich, dem EuGH Fragen hinsichtlich der Erfüllung des Auskunftsanspruchs sowie hinsichtlich offenkundig unbegründeter oder exzessiver Anträge nach Art. 12 Abs. 5 DS-GVO zur Vorabentscheidung vorzulegen. Die Auslegung von Art. 82 DS-GVO wirft hinsichtlich der Darlegungs- und Beweislast keine klärungsbedürftigen Fragen auf („acte clair“). Art. 82 DS-GVO enthält keine allgemeinen Vorgaben zur Verteilung der Darlegungs- und Beweislast bei der Geltendmachung datenschutzrechtlicher Schadensersatzansprüche. Art. 82 Abs. 3 DS-GVO betrifft nur das Verschulden des Verantwortlichen für das schadenstiftende Ereignis, ohne dass sich daraus Aussagen zur allgemeinen Beweislastverteilung ableiten ließen. Ferner ergibt eine Gesamtbetrachtung der Art. 5, 24 und 32 DS-GVO, dass der Verantwortliche die Beweislast für die Einhaltung der datenschutzrechtlichen Sicherheitsanforderungen bei der Datenverarbeitung trägt. Darüber hinausgehende Vorgaben zur Beweislastverteilung bei der Geltendmachung datenschutzrechtlicher Schadensersatzansprüche enthält die DS-GVO nicht. Mangels unionsrechtlicher Vorschriften ist auf das mitgliedstaatliche Recht zurückzugreifen. Nach deutschem Recht trägt der Anspruchsteller die Darlegungs- und Beweislast für die anspruchsbegründenden Tatsachen. Mithin trägt der Betroffene die Darlegungs- und Beweislast für Schadenseintritt, Schadenshöhe und Kausalität zwischen Schaden und Rechtsverstoß. Für den Eintritt eines immateriellen Schadens hat das der EuGH ausdrücklich festgestellt. Die Frage, ob der Kontrollverlust der betroffenen Person über ihre personenbezogenen Daten bereits für sich genommen einen immateriellen Schaden begründet, ist vorliegend – wie bereits ausgeführt – nicht entscheidungserheblich. Die von der Kl. hinsichtlich der Funktion des Schadensersatzes nach Art. 82 Abs. 1 DS-GVO aufgeworfene Frage ist ebenfalls geklärt. Diesbezüglich hat der EuGH festgestellt, dass der in Art. 82 Abs. 1 DS-GVO vorgesehene Schadensersatzanspruch eine Ausgleichsfunktion, jedoch keine abschreckende oder Straffunktion erfüllt. Soweit der BGH dem EuGH die Frage zur Vorabentscheidung vorgelegt hat, ob bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens der Grad des Verschuldens des Verantwortlichen ein relevantes Kriterium darstellt, ist diese Frage vorliegend nicht entscheidungserheblich. Es ist von der Kl. weder dargelegt noch sonst ersichtlich, dass der Bekl. ein grobfahrlässiges oder gar vorsätzliches Verhalten zur Last fällt, das sich schmerzensgelderhöhend auswirken könnte. |
| Saarländisches OLG Urt. v. 3.5.2024 – 5 U 72/23 ZD 2024, 660 (Ls.) | 0 EUR Mit Recht hat das LG angenommen, dass dem Kl. ein Schadensersatzanspruch aus Art. 82 Abs. 1 DS-GVO jedenfalls deshalb nicht zusteht, weil ihm weder ein materieller noch ein immaterieller Schaden durch den streitgegenständlichen Scraping-Vorfall entstanden ist. Daher kann offenbleiben, inwieweit der Bekl. in Zusammenhang mit dem Scraping-Vorfall Verstöße gegen die DS-GVO vorzuwerfen sind. Voraussetzungen dieses Anspruchs sind also ein Verstoß des Verantwortlichen gegen die DS-GVO und ein kausal auf diese Pflichtverletzung zurückzuführender materieller oder immaterieller Schaden des Betroffenen, der für diese Anspruchsvoraussetzungen die Beweislast trägt. Dabei hat derjenige, der geltend macht, von negativen Folgen eines Verstoßes gegen die DS-GVO betroffen zu sein, nachzuweisen, dass diese Folgen einen immateriellen Schaden iSv Art. 82 DS-GVO darstellen. Beruft er sich auf die Befürchtung, seine personenbezogenen Daten könnten aufgrund des Verstoßes missbräuchlich verwendet werden, hat das nationale Gericht zu prüfen, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann. Der bloße „Kontrollverlust“ als solcher rechtfertigt einen Schadensersatzanspruch nicht. Auch wenn ein immaterieller Schaden nach Art. 82 Abs. 1 DS-GVO nicht nur dann ersatzfähig ist, wenn eine gewisse „Erheblichkeitsschwelle“ überschritten ist, muss der Betroffene gleichwohl den Nachweis führen, dass tatsächlich ein Schaden eingetreten ist. Das ist vorliegend dem Kl., wie das LG zutreffend entschieden hat, nicht gelungen. Zwar hat der Kl. schriftsätzlich vortragen lassen, er habe sich in der Folge des Verlustes der Kontrolle über seine Daten in einem Zustand großen Unwohlseins und großer Sorge über möglichen Missbrauch seiner Daten befunden und er sei zudem Kontakt- und Betrugsversuchen via Spam-Mails und Spam-SMS ausgesetzt gewesen. Dieser Vortrag, der von den klägerischen Prozessbevollmächtigten in Parallelverfahren gleichlautend für eine Vielzahl von Nutzern des Netzwerks der Bekl. gehalten wird, hat sich in der persönlichen Anhörung des Kl. durch das LG indes nicht bestätigt. Von den auch in der Berufungsbegründung erneut behaupteten Ängsten oder Sorgen berichtete der Kl. nichts, sondern lediglich von lästigen Anrufen und SMS auf seinem Mobiltelefon. Ob der Kl. diese Anrufe und SMS aber gerade wegen des Scraping-Vorfalls erhalten hat, steht jedoch nicht fest, und diesen Nachweis müsste der für einen auf den Scraping-Vorfall zurückzuführenden Schaden beweisbelastete Kl. erbringen. Davon abgesehen ist die hierdurch für den Kl. entstandene Belastung augenscheinlich äußerst gering, weil er deswegen weder seine Telefonnummer ändern will noch die unmittelbare Notwendigkeit sah, die Einstellungen zu seiner Privatsphäre auf F. zu ändern; letzteres hat er erst „einige Wochen“ vor seiner Anhörung durch das LG getan, was iÜ die Annahme nahelegt, dass dies ausschließlich prozessbedingt geschehen ist. |
| NEU OLG Oldenburg Urt. v. 30.4.2024 – 13 U 109/23 | 250 EUR Wie OLG Oldenburg Urt. v. 14.5.2024 – 13 U 114/23. |
| NEU OLG Oldenburg Urt. v. 30.4.2024 – 13 U 108/23 | 250 EUR Wie OLG Oldenburg Urt. v. 14.5.2024 – 13 U 114/23. |
| NEU OLG Oldenburg Urt. v. 30.4.2024 – 13 U 89/23 = ZD 2024, 480 (Ls.) | 250 EUR Wie OLG Oldenburg Urt. v. 14.5.2024 – 13 U 114/23. |
| NEU OLG Dresden Urt. v. 30.4.2024 - 4 U 1969/23 | 0 EUR Wie OLG Dresden Urt. v. 23.1.2024 - 4 U 1313/23 [= ZD 2024, 480 (Ls.)]. |
| OLG München Urt. v. 24.4.2024 – 34 U 2306/23 e = ZD 2024, 530 | 0 EUR Es kann dahinstehen, ob der Bekl. Verstöße gegen Art. 25 Abs. 1 oder Art. 32 DS-GVO vorzuwerfen sind. Ein Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO scheidet jedenfalls aus, da der Kl. einen darauf beruhenden Schaden nicht nachgewiesen hat. Ob der Kl. zu Recht Verstöße gegen die DS-GVO geltend macht, kann genauso offenbleiben wie die Frage, ob die Bekl. ihrer Pflicht zur Schaffung eines angemessenen Schutzniveaus durch geeignete technische und organisatorische Schutzmaßnahmen unter Berücksichtigung des Standes der Technik (Art. 32 DS-GVO) nachgekommen ist. Denn der Kl. hat einen kausal auf diesen Verstößen beruhenden Schaden nicht nachweisen können. Nach Art. 82 DS-GVO ist Schadensersatz zu leisten, wenn der Nachweis eines Verstoßes gegen die DS-GVO, eines tatsächlich erlittenen materiellen oder immateriellen Schadens und eines Kausalzusammenhangs zwischen dem Verstoß und dem Schaden erbracht wird; der bloße Verstoß gegen Bestimmungen der DS-GVO reicht demnach nicht aus*). Die Darlegungs- und Beweislast trägt insoweit die betroffene Person. Dass er infolge von Verstößen gegen die DS-GVO materielle Schäden erlitten hat, wird vom Kl. bereits nicht behauptet. Ein immaterieller Schaden des Kl. ist nicht festzustellen hinsichtlich derjenigen Daten, deren Angabe für die Registrierung auf der Plattform der Bekl. zwingend erforderlich und auf seinem Profil als „immer öffentlich“ eingestellt waren wie Vor- und Nachname, das Geschlecht und die ID. Insofern liegt bereits kein „Kontrollverlust“ vor. Ein immaterieller Schaden ist – anders als die Klagepartei meint – nicht bereits in dem Kontrollverlust zu sehen, der durch das Scraping entstanden ist, sondern kann allenfalls Folge dieses Kontrollverlustes sein. Soweit die Klagepartei aus den Erwägungsgründen zur DS-GVO schließen möchte, dass bereits der Kontrollverlust als solcher einen immateriellen Schaden darstellt, greift auch diese Betrachtung zu kurz: Zwar scheint Erwägungsgrund 85 DS-GVO einen eingetretenen Kontrollverlust bereits als Schaden anzusehen. Dem steht aber Erwägungsgrund 83 DS-GVO entgegen, der die Risiken einer Verarbeitung persönlicher Daten anspricht und dabei deutlich unterscheidet zwischen den Folgen eines Verstoßes gegen die DS-GVO (u.a. Verlust von personenbezogenen Daten) auf der einen Seite und hieraus möglicherweise entstehenden physischen, materiellen oder immateriellen Schäden auf der anderen Seite. Nichts anderes ergibt sich aus dem Erwägungsgrund 75 DS-GVO. Der Begriff des „Kontrollverlusts“ wird dort zwar in einer längeren Aufzählung von Beispielen erwähnt, die zu einem Schaden führen können. Daraus ist aber gerade nicht zu folgern, dass jeder Kontrollverlust alleine bereits einen Schaden darstellt. Auch der EuGH hat zuletzt ausdrücklich entschieden, dass nicht schon deshalb ein „immaterieller Schaden“ iSd Art. 82 Abs. 1 DS-GVO vorliegt, weil die betroffene Person befürchtet, dass in der Zukunft eine Weiterverbreitung oder gar ein Missbrauch ihrer Daten stattfindet. |
| OLG Dresden Urt. v. 23.4.2024 – 4 U 3/24 0 ZD 2024, 639 | 0 EUR Schließlich hat der Kl. keinen Anspruch auf Schadensersatz wegen unbefugter Verarbeitung seiner Daten. Zwar stellt sein Name ein „Datum“ iSd Art. 4 Nr. 1 DS-GVO dar und handelt es sich bei der unstreitigen Verwendung seines Namens für den Werbeflyer um eine „Verarbeitung“ iSd Art. 4 Nr. 2 DS-GVO. Im Ergebnis der erforderlichen Abwägung der widerstreitenden Interessen liegt für die Namensverwendung auch kein Rechtfertigungsgrund nach Art. 6 DS-GVO vor. In Betracht kommt hier allein der Rechtfertigungsgrund der „Wahrung berechtigter Interessen“. Bei dieser Vorschrift handelt es sich um eine zentrale Abwägungsnorm in der DS-GVO. Vorliegend kann dies jedoch auch dahinstehen, weil jedenfalls der Schutzbereich dieser Vorschrift nicht betroffen ist. Das OLG Düsseldorf hat in einer Entscheidung v. 16.2.2021 - 16 U 269/20 [= ZD 2022, 47] bezogen auf die Namensnennung iRe wissenschaftlichen Gutachtens hierzu Folgendes ausgeführt: Ein Anspruch der Kl. gegen die Bekl. auf Ersatz eines immateriellen Schadens ergibt sich nicht aus Art. 82 Abs. 1 DS-GVO. Das wegen der Verletzung des allgemeinen Persönlichkeitsrechts auf die Zahlung von Schmerzensgeld gerichtete Rechtsschutzbegehren der Kl. ist nach dem Schutzzweck der Norm nicht von Art. 82 Abs. 1 DS-GVO gedeckt. Der Anspruch aus Art. 82 DS-GVO erfasst nach dem Schutzzweck der Norm nur solche Sachverhalte, in denen die Art der Informationserlangung gerügt wird und der Vorwurf einer intransparenten Datenverarbeitung im Raum steht, es also um das Recht auf informationelle Selbstbestimmung geht. Knüpft die Beeinträchtigung dagegen an das Ergebnis des Kommunikationsprozesses, nämlich die Veröffentlichung und Verbreitung der personenrelevanten Daten an, so ist allein der Schutzbereich des allgemeinen Persönlichkeitsrechts betroffen und eine Anwendung des Art. 82 DS-GVO kommt nicht in Betracht. Damit kommt es nicht darauf an, ob dem Kl. nach dem Begriffsverständnis der DS-GVO nach der Vorschrift des Art. 82 DS-GVO ein solcher entstanden ist, denn diese Vorschrift hält der Senat vorliegend, also im Bereich der politischen Auseinandersetzung bereits nicht für einschlägig. |
| OLG Dresden Urt. v. 16.4.2024 – 4 U 213/24 | 0 EUR Wie OLG Dresden Urt. v. 23.1.2024 - 4 U 1313/23 [= ZD 2024, 480 (Ls.)]. |
| OLG Celle Urt. v. 4.4.2024 – 5 U 31/23 | 0 EUR Der – vom LG iHv 300 EUR zugesprochene – immaterielle Schadensersatz gem. Art. 82 Abs. 1 DS-GVO steht dem Kl. nicht zu. Es kann dahinstehen, ob der Anwendungsbereich von Art. 82 Abs. 1 DS-GVO vorliegend in zeitlicher und sachlicher Hinsicht eröffnet ist, die Bekl. gegen Vorschriften der DS-GVO verstoßen hat und derartige Vorschriften vom Grundsatz her geeignet sind, einen Schadensersatzanspruch iSv Art. 82 Abs. 1 DS-GVO zu begründen. Denn jedenfalls hat der Senat nach der durchgeführten Anhörung des Kl. nicht die hinreichende Überzeugung davon gewinnen können, dass dem Kl. infolge einer solchen – unterstellten – Pflichtverletzung der Bekl. ein immaterieller Schaden iSv Art. 82 Abs. 1 DS-GVO entstanden ist. Die Argumentation des LG wäre allerdings vom Ansatz her richtig, wenn bereits der bloße objektive Umstand des Vorliegens eines „Kontrollverlustes“ ausreichen würde, um einen immateriellen Schaden iSv Art. 82 Abs. 1 DS-GVO zu begründen. Nach dem Verständnis des Senats von der (bisherigen) Rspr. des EuGH ist das allerdings nicht der Fall. Allerdings könnte man die Formulierungen in Rn. 82 des Urt. des EuGH v. 14.12.2023 - C-340/21 [= ZD 2024, 150 mAnm Ligocki/Sosna = MMR 2024, 231 mAnm Kohl/Rothkegel] ggf. so deuten, als wäre bereits der bloße, objektive „Verlust der Kontrolle“ über seine eigenen Daten (was auch immer darunter genau – jedenfalls dem Senat ist das nicht ganz klar - zu verstehen sein soll), ausreichend, um einen Schaden iSv Art. 82 Abs. 1 DS-GVO zu begründen. Gegen ein solches Verständnis sprechen aber aus Sicht des Senats die weiteren Ausführungen des EuGH in Rn. 85 und 86 der genannten Entscheidung. Denn die dortige Formulierung, dass für einen immateriellen Schaden iSd Art. 82 Abs. 1 DS-GVO die „Befürchtung, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten“ ausreichend sein soll, versteht jedenfalls der Senat so, als müsse zu diesem objektiven Umstand des „Verlustes der Hoheit über seine Daten“ noch zusätzlich ein „subjektives Element“, wie also eine „Befürchtung“, „Sorge“ oÄ hinzukommen. Auch die Ausführungen des BGH in seinem – allerdings zeitlich knapp vor der o.g. Entscheidung des EuGH verkündeten – BGH Beschl. v. 12.12.2023 - VI ZR 277/22 [= ZD 2024, 278] erwecken nach dem Verständnis des Senats den Eindruck, als erachte auch der BGH das Vorliegen von subjektiven Beeinträchtigungen wie „negativen Gefühlen“ oÄ als erforderlich, um einen Schaden iSd Art. 82 Abs. 1 DS-GVO zu begründen. Der Senat räumt allerdings ein, dass sich dieses Auslegungsverständnis aus den bisher zur Vorschrift des Art. 82 Abs. 1 ergangenen Entscheidungen des EuGH (C-300/21 [= ZD 2023, 446 mAnm Mekat/Ligocki] - Österreichische Post, C-340/21 [= ZD 2024, 150 mAnm Ligocki/Sosna = MMR 2024, 231 mAnm Kohl/Rothkegel], C-667/21 [= ZD 2024, 146], C-687/21 [= ZD 2024, 334] und C-456/22 [= ZD 2024, 208]) – zumindest aus seiner Sicht - keineswegs eindeutig ergibt. Diese bestehende Unsicherheit des Senats gründet sich darin, dass der EuGH in seiner Entscheidung v. 14.12.2023 lediglich die ihm gestellte Vorlagefrage zu beantworten hatte, mit der konkret angefragt worden ist, ob allein der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen Vorschriften der DS-GVO befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, einen „immateriellen Schaden“ iSv Art. 82 Abs. 1 DS-GVO darstellen kann. Allein diese Frage hat der EuGH in Rn. 75 - 86 seiner genannten Entscheidung beantwortet. Das schließt es aber nach dem Verständnis des Senats nicht (zwingend) aus, der (immaterielle) Schadensbegriff nach der Auslegung des EuGH noch weitergehend ist und sogar den bloßen objektiven „Kontrollverlust“ als solchen für einen (immateriellen) Schaden iSv Art. 82 Abs. 1 DS-GVO ausreichen lässt. Ob das der Fall ist, musste der EuGH in seiner vorgenannten Entscheidung nicht, zumindest nicht zwingend (weil nicht entscheidungserheblich), entscheiden (wenngleich dies iSd Rechtsklarheit natürlich wünschenswert gewesen wäre). Allein schon deshalb meint der Senat, dass es mindestens schon aus diesem Grund nicht in Betracht kommt, vergleichbare Berufungen wie die vorliegende entweder durch Beschluss nach § 522 Abs. 2 ZPO oder aber durch Urteil, in dem die Revision nicht zugelassen wird, zurückzuweisen, wie es in der obergerichtlichen Rspr. aber derzeit mitunter geschieht (wobei der Senat insoweit nicht verkennt, dass zumindest einzelne jener Entscheidungen zeitlich vor dem Urt. des EuGH v. 14.12.2023 - C-340/21 [= ZD 2024, 150 mAnm Ligocki/Sosna = MMR 2024, 231 mAnm Kohl/Rothkegel] ergangen sind). Der Senat möchte in diesem Rahmen noch anmerken, dass die Entscheidung des LG, dem Kl. ohne vorherige Anhörung nach § 141 ZPO einen Schadensersatzanspruch iHv 300 EUR zuzusprechen, aber auch dann verfahrensfehlerhaft gewesen wäre, wenn – wie das LG meint und entgegen dem vorstehend dargestellten Verständnis des Senats von der bisherigen Rspr. des EuGH – bereits der bloße objektive Umstand des „Kontrollverlustes“ ausreichend wäre, um einen Schaden iSv Art. 82 Abs. 1 DS-GVO zu begründen. Denn wie auch immer die Höhe eines Schadensersatzanspruches iSv Art. 82 Abs. 1 DS-GVO im Einzelnen zu bemessen ist, erscheint es zumindest dem Senat als eigentlich nicht anders denkbar, als dass die Höhe eines Schadensersatzes nach Art. 82 Abs. 1 DS-GVO sich nur individuell bemessen lässt, also abhängig davon, welche persönlichen Beeinträchtigungen die jeweilige betroffene Person durch den jeweiligen Verstoß gegen die DS-GVO tatsächlich erlitten hat. Mit anderen Worten: Es macht einen Unterschied, ob eine Person allein einen bloßen, objektiven „Kontrollverlust“ erlitten hat oder aber, ob zu diesem objektiven „Kontrollverlust“ noch darauf zurückzuführende „negative Gefühle“ wie zB Sorgen und/oder Ängste hinzugekommen sind. In dem letztgenannten Fall muss – zumindest aus Sicht des Senats eigentlich schon evident – ein Schadensersatz höher ausfallen, als in dem erstgenannten Fall. Indem aber das LG die Behauptung des Kl. zu solch „negativen Gefühlen“ ausdrücklich hat dahinstehen lassen, verletzt es den Anspruch des Kl. auf rechtliches Gehör. Der Kl. hat schriftsätzlich folgende „negativen Gefühle“ vorgetragen, die auf den objektiven „Kontrollverlust“ zurückzuführen sein sollen. Dieses – streitige – Vorbringen ist prozessual beachtlich. Die entgegenstehende Rechtsauffassung des OLG Hamm (Urt. v. 15.8.2023 – 7 U 19/23 [= ZD 2024, 36]; Beschl. v. 22.9.2023 – 7 U 77/23; Beschl. v. 27.12.2023 – 7 U 104/23), des OLG Köln (Urt. v. 7.12.2023 – 15 U 33/23 [= ZD 2024, 465]), des OLG Stuttgart (Urt. v. 22.11.2023 – 4 U 20/23 [= ZD 2024, 60 (Ls.)]) sowie des OLG München, Beschl. v. 23.1.2024 – 27 U 3696/23), wonach der vorgenannte Vortrag der dortigen Klagepartei (der – wie gerichtsbekannt ist - in sämtlichen der in vierstelliger Zahl bei Gerichten in Deutschland anhängigen Verfahren, die von den Prozessbevollmächtigten geführt werden, die auch den Kl. in dem vorliegenden Verfahren vertreten, identisch ist), aufgrund seiner Textbausteinmäßigkeit nicht hinreichend substantiiert sei, steht aus Sicht des Senats mit der stRspr des BGH nicht in Einklang. Nach dieser ist nämlich ein Sachvortrag zur Begründung eines Anspruchs bereits dann schlüssig und erheblich, wenn die Partei Tatsachen vorträgt, die iVm einem Rechtssatz geeignet und erforderlich sind, das geltend gemachte Recht als in der Person der Partei entstanden erscheinen zu lassen. Die Angabe näherer Einzelheiten ist nicht erforderlich, soweit diese für die Rechtsfolgen nicht von Bedeutung sind. Das Gericht muss nur in die Lage versetzt werden, aufgrund des tatsächlichen Vorbringens der Partei zu entscheiden, ob die gesetzlichen Voraussetzungen für das Bestehen des geltend gemachten Rechts vorliegen. Sind diese Anforderungen erfüllt, ist es Sache des Tatrichters, in die Beweisaufnahme einzutreten und dabei ggf. die benannten Zeugen oder die zu vernehmende Partei nach weiteren Einzelheiten zu befragen. Gemessen daran gilt hier Folgendes: Zwar ist es vorliegend tatsächlich so, dass die Prozessbevollmächtigten des hiesigen Kl. in sämtlichen – zwischenzeitlich mehr als 6000 – Verfahren, die sie bei Gerichten in Deutschland in Verfahren der vorliegenden Art anhängig gemacht haben, zu den „negativen Gefühlen“, die mit dem „objektiven Kontrollverlust“ bei der jeweiligen Klagepartei einhergegangen sein sollen, wortwörtlich identisch vortragen. Indes ist dieser Aspekt allein iRe Beweiswürdigung zu berücksichtigen, nicht aber schon bei der Frage der Schlüssigkeit des Vortrags. Das führt der BGH zB auch in stRspr zu der Fallkonstellation der „Widersprüchlichkeit des Parteivortrags“ aus. Der Senat vermag nicht zu erkennen, dass und aus welchen Gründen dies bei der vorliegenden Fallkonstellation anders sein sollte. |
| NEU OLG Dresden Endurt. v. 2.4.2024 – 4 U 1743/23 | 0 EUR Wie OLG Dresden Urt. v. 23.1.2024 - 4 U 1313/23. |
| OLG Dresden Urt. v. 2.4.2024 – 4 U 1743/23 | 0 EUR Wie OLG Dresden Urt. v. 23.1.2024 - 4 U 1313/23 [= ZD 2024, 480 (Ls.)]. |
| OLG Brandenburg Beschl. v. 5.3.2024 – 12 U 132/23 = ZD 2024, 532 | 0 EUR Der Kl. hat einen Schadensersatzanspruch gegen die Bekl. aus Art. 82 Abs. 1 DS-GVO weiterhin nicht schlüssig vorgetragen. Der Senat hält auch unter Berücksichtigung des ergänzenden Klägervorbringens daran fest, dass die Bekl. jedenfalls mit dem Schreiben v. 17.2.2022 das Auskunftsbegehren des Kl. vollständig beauskunftet hat und allein eine vermeintlich verspätete, nach Ablauf der Frist des Art. 12 Abs. 3 S. 1 DS-GVO erteilte Auskunft einen Schadensersatzanspruch nicht rechtfertigt. Zudem handelt es sich bei einer Auskunft nicht um eine Verarbeitung personenbezogener Daten iSd Art. 4 Nr. 2 DS-GVO. Der gegenteiligen Auffassung des OLG Köln in der vom Kl. zitierten Entscheidung v. 14.7.2022 - 15 U 137/21 [=ZD 2022, 617] vermag sich der Senat nach eigener Prüfung nicht anzuschließen. Letztlich kann dies dahinstehen, da der Kl. einen ihm durch eine vermeintlich unvollständige Auskunft der Bekl. entstandenen immateriellen Schaden, der eine Entschädigung in der geltend gemachten Höhe von 8.000 EUR rechtfertigen könnte, nicht hinreichend substantiiert dargelegt hat. Zwar ist der Ersatz eines immateriellen Schadens nach der Rspr. des EuGH (Urt. v. 4.5.2023 - C-300/21 [= ZD 2023, 443 mAnm Mekat/Ligocki] - Österreichische Post) nicht davon abhängig, dass dieser Schaden eine bestimmte Erheblichkeitsschwelle überschreitet. Diese Verneinung einer solchen Erheblichkeitsschwelle bedeutet jedoch nach den Ausführungen des EuGH in der vorzitierten Entscheidung nicht, dass eine Person, die von einem Verstoß gegen die DS-GVO betroffen ist, der für sie negative Folgen gehabt haben soll, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden iSv Art. 82 DS-GVO darstellen. An einem solchen Nachweis fehlt es jedoch nach wie vor. Der nur pauschal behauptete Kontrollverlust als solcher stellt schon per se keinen immateriellen Schaden dar. Soweit der Kl. „Ärger, Unwohlsein und Stress“ geltend macht, handelt es sich um persönliche oder psychische Beeinträchtigungen, hinsichtlich derer es erforderlich ist, dass der Kl. konkrete Indizien vortragen und unter Beweis stellen muss, die eine solche psychische Beeinträchtigung stützen können. Für einen vom Kl. behaupteten immateriellen Schaden in Form von Ärger, Unwohlsein und Stress müssen demnach jedenfalls auch objektive Beweisanzeichen vorhanden sein, da andernfalls die bloße Bekundung des Betroffenen, einen immateriellen Schaden in Form belastender Gefühle erlitten zu haben, für einen Ersatzanspruch ausreichen würde. Solche konkreten Umstände hat der Kl. jedoch nicht vorgetragen. Es bleibt auch unklar, über welche personenbezogenen Daten er die Kontrolle verloren haben will. Etwas anderes ergibt sich auch nicht aus der Entscheidung des EuGH v. 14.12.2023 - C-340/21 [= ZD 2024, 150 mAnm Ligocki/Sosna = MMR 2024, 231 mAnm Kohl/Rothkegel]). Der EuGH hat darin entschieden, dass Art. 82 Abs. 1 DS-GVO dahin auszulegen ist, dass der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen die DS-GVO befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden können, einen immateriellen Schaden darstellen kann. Danach ist das angerufene nationale Gericht, wenn sich eine Person auf die Befürchtung beruft, dass ihre personenbezogenen Daten in Zukunft aufgrund eines solchen Verstoßes missbräuchlich verwendet werden, gehalten zu prüfen, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann. Eine solche Befürchtung macht der Kl. im Streitfall jedoch nicht geltend; er hat zudem keine Umstände vorgetragen, die eine solche Prüfung ermöglichen würden. Der EuGH hat darüber hinaus bestätigt, dass die betroffene Person einen immateriellen Schaden nachweisen muss. |
| OLG Dresden Beschl. v. 1.3.2024 – 4 U 1550/23 = ZD 2024, 397 | 0 EUR Ergänzend ist anzuführen, dass dem Kl. auch aus keinem rechtlichen Gesichtspunkt ein Anspruch auf immateriellen Schadensersatz zusteht, insbesondere nicht aus Art. 82 DS-GVO. Denn der Kl. hat einen auf einem hier unterstellten Datenschutzverstoß beruhenden Schaden schon nicht nachweisen können. Nach Art. 82 DS-GVO ist Schadensersatz zu leisten, wenn der Nachweis eines Verstoßes gegen die DS-GVO, eines tatsächlich erlittenen materiellen oder immateriellen Schadens und eines Kausalzusammenhangs zwischen dem Verstoß und dem Schaden erbracht wird; der bloße Verstoß gegen Bestimmungen der DS-GVO reicht demnach nicht aus. Die Darlegungs- und Beweislast obliegt insoweit der betroffenen Person. Dass er infolge von Verstößen gegen das Datenschutzrecht materielle Schäden erlitten hat, wird vom Kl. nicht behauptet. Soweit der Kl. behauptet, er sei höchst verwundert und auch überaus verunsichert und verärgert und habe das beklemmende Gefühl gehabt, die Kontrolle über seine Daten zu verlieren, ist damit schon nicht hinreichend der Eintritt eines immateriellen Schadens dargelegt. Da der Erwägungsgrund 146 S. 3 DS-GVO für eine weite Auslegung des Begriffs des Schadens in Art. 82 Abs. 1 DS-GVO spricht, braucht ein immaterieller Schaden, den die betroffene Person erlitten hat, zwar keinen bestimmten Grad an Erheblichkeit zu erreichen und sind auch immaterielle „Bagatellschäden“ dem Grunde nach nicht ausgeschlossen. Allerdings muss gleichwohl geprüft werden, ob die Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann. Die betroffene Person muss auch in einem solchen Fall den Nachweis erbringen, dass sie tatsächlich einen über die bloße Verletzung der Bestimmungen dieser Verordnung hinausgehenden Schaden – so geringfügig er auch sein mag - erlitten hat. Dass bereits ein bloßer Kontrollverlust ohne eine solche aus den gegebenen Umständen ableitbare Befürchtung ausreichend wäre, um daraus einen immateriellen Schaden abzuleiten, lässt sich Erwägungsgrund 75 und 85 DS-GVO nicht entnehmen. |
| OLG Oldenburg Beschl. v. 20.2.2024 – 13 U 43/23 = ZD 2024, 360 (Ls.) | 0 EUR Der Kl. führt in seiner Stellungnahme zum Hinweisbeschluss unter Verweis auf das Urt. EuGH v. 14.12.2023 - C-340/21 [= ZD 2024, 150 mAnm Ligocki/Sosna = MMR 2024, 231 mAnm Kohl/Rothkegel] aus, dass Art. 82 Abs. 1 DS-GVO iVm Erwägungsgrund 85 und 146 DS-GVO dahin auszulegen sei, dass im Falle der Verletzung des Schutzes personenbezogener Daten bereits bloße Sorgen, Befürchtungen und Ängste vor einem möglichen künftigen Missbrauch der Daten unter den Begriff des immateriellen Schadens fielen, auch wenn ein solcher Missbrauch und ein weiterer Schaden der Person nicht festgestellt werden könnten. Ausreichend sei die Angst, dass eine missbräuchliche Verwendung in Zukunft erfolgen könne. Aus der beispielhaften Aufzählung des Schadensbegriffs in Erwägungsgrund 85 DS-GVO gehe hervor, dass der Unionsgesetzgeber unter den Begriff des „Schadens“ insb. den bloßen „Verlust der Kontrolle“ über die eigenen Daten infolge eines Verstoßes gegen die DS-GVO habe fassen wollen, selbst wenn keine missbräuchliche Verwendung zum Nachteil des Betroffenen erfolgt sei. Die Gewährleistung des angestrebten hohen Schutzniveaus für natürliche Personen gebiete daher eine Auslegung von Art. 82 Abs. 1 DS-GVO dahingehend, dass allein der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen die DS-GVO befürchte, ihre personenbezogenen Daten könnten durch Dritte missbräuchlich verwendet werden, einen immateriellen Schaden darstelle. Unter Befürchtung sei bereits die Erwartung einer unangenehmen Sache zu verstehen. Derartige Befürchtungen habe auch die Klägerseite. Der Schaden werde zudem bereits durch den erlittenen Kontrollverlust begründet. Diese Ausführungen rechtfertigen eine andere Beurteilung des Falles nicht. Der Senat folgt dem Kl. darin, dass mit der angeführten Entscheidung des EuGH die Frage, ob Sorgen, Befürchtungen und Ängste des Betroffenen für sich genommen bereits einen immateriellen Schaden iSd Art. 82 Abs. 1 DS-GVO darstellen, iSd Kl. beantwortet ist. Wie sich weiter bereits aus dem Urt. des EuGH v. 4.5.2023 - C-300/21 [= ZD 2023, 446 mAnm Mekat/Ligocki] – Österreichische Post, dort Rn. 44 ff. ergibt, setzt eine Ersatzpflicht gem. Art. 82 Abs. 1 DS-GVO nicht voraus, dass dabei eine Erheblichkeitsschwelle überschritten werden müsste. Im vorliegenden Fall beruht die Abweisung der Klage, namentlich des auf Kompensation des immateriellen Schadens gerichtete Zahlungsantrags jedoch auf dem Umstand, dass die Einzelrichterin derartige Sorgen, Befürchtungen oder Ängste des Kl. nach dessen persönlicher Anhörung nicht festzustellen vermochte. Diese Würdigung des Anhörungsergebnisses lässt, wie der Senat bereits im Hinweisbeschluss dargelegt hat, keine Rechtsfehler zum Nachteil des Kl. erkennen. Soweit der Kl. – erneut – anführt, der erlittene Kontrollverlust stelle bereits für sich genommen einen Schaden dar, ist ihm ebenfalls nicht zu folgen. Entgegen der Auffassung des Kl. ergibt sich aus dem Urt. des EuGH v. 14.12.2023 nichts Anderes. Zwar hat das Gericht dort ausgeführt, dass der Unionsgesetzgeber unter den Begriff des Schadens insbesondere den bloßen „Verlust der Kontrolle“ über die eigenen Daten infolge des Verstoßes gegen die DS-GVO habe fassen wollen (EuGH, Urt. v. 14.12.2023 - C-340/21 [= ZD 2024, 150 mAnm Ligocki/Sosna = MMR 2024, 231 mAnm Kohl/Rothkegel] Rn. 82). Weiter hat die Kammer jedoch klargestellt, dass die Person, die einen Anspruch auf Art. 82 Abs. 1 DS-GVO stütze, nachweisen müsse, dass die negativen Folgen eines Verstoßes auch einen immateriellen Schaden darstellen. Insb. müsse das nationale Gericht, wenn sich eine Person auf die Befürchtung berufe, ihre personenbezogenen Daten könnten in Zukunft missbräuchlich verwendet werden, prüfen, ob diese Befürchtung unter den gegebenen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden könne. Danach ist der Verlust der Kontrolle über die eigenen Daten ein Umstand, der zwar grds. einen Ersatzanspruch begründen kann, der Anspruchsteller bleibt jedoch in der Pflicht, die negativen Folgen in Form eines materiellen oder immateriellen Schadens darzulegen und ggf. zu beweisen. Ohne die Darlegung solcher negativen Folgen kann weder eine Kompensation von materiellen Nachteilen aus einem Datenverlust, noch eine Kompensation immaterieller Nachteile erfolgen. Der Senat sieht sich daher in seiner im Hinweisbeschluss dargelegten Auffassung durch die angeführte Entscheidung des EuGH v. 14.12.2023 bestätigt, die die Notwendigkeit betont, dass der Kl. nachzuweisen habe, dass negative Folgen auch einen immateriellen Schaden darstellen. Ein folgenloser Kontrollverlust stellt hingegen keinen (immateriellen) Schaden dar. |
| OLG Dresden Urt. v. 20.2.2024 – 4 U 1634/23 | 0 EUR Wie OLG Dresden Urt. v. 23.1.2024 - 4 U 1313/23 [= ZD 2024, 480 (Ls.)]. |
| OLG Dresden Urt. v. 20.2.2024 – 4 U 1608/23 | 0 EUR Wie OLG Dresden Urt. v. 23.1.2024 - 4 U 1313/23 [= ZD 2024, 480 (Ls.)]. |
| OLG Brandenburg Beschl. v. 1.2.2024 – 2 W 2/24 = ZD 2024, 640 | 0 EUR Ebenfalls in Betracht kommt eine Haftung aus Datenschutzrecht. Denkbar ist einerseits ein Anspruch aus Art. 82 Abs. 1 DS-GVO. Art. 82 DS-GVO gewährt Schadensersatz auch in Form einer billigen Entschädigung für Nichtvermögensschäden infolge einer nicht der Verordnung entsprechenden Datenverarbeitung. Die Zulässigkeit der Datenverarbeitung bestimmt sich, soweit es an einer – hier fehlenden – wirksamen Einwilligung der Betroffenen fehlt, unter anderem nach Art. 6 Abs. 1 UAbs. 1 lit. e DS-GVO. Danach ist die Verarbeitung der Daten der Betroffenen nur rechtmäßig, wenn die Verarbeitung für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Ob eine Aufgabe im öffentlichen Interesse besteht, die eine Verarbeitung personenbezogene Daten erfordert, bestimmt dabei nicht der Verantwortliche. Die Vorschrift ist daher nur eine Scharniernorm für die Berücksichtigung des eigentlichen Erlaubnistatbestands in der Rechtsgrundlage für die Verarbeitung. Die Datenverarbeitung muss durch die gesetzliche Rechtsgrundlage erlaubt werden, die sie nur zulässt, wenn sie für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt. In vergleichbarer Weise stellt Art. 56 der Richtlinie und in ihrer Umsetzung § 43 BbgPJMDSG auf die Erforderlichkeit der Datenverarbeitung ab, und gewährt Schadensersatz auch in Form einer billigen Entschädigung in Geld, wenn die Datenverarbeitung diesen Voraussetzungen nicht genügte. Die (nicht gelöschte) Ausschreibung einer Person zur Fahndung in einem polizeilichen Informationssystem stellt nach Wegfall des Fahndungsgrundes eine nicht mehr erforderliche und damit rechtswidrige Datenverarbeitung dar. Nach beiden Rechtsakten wird das Verschulden bzw. die Verantwortlichkeit des Datenverarbeitenden vermutet, der sich aber entlasten kann. Der Anspruch aus Art. 82 Abs. 1 DS-GVO ist aber auch dann, wenn er sich gegen eine Behörde richtet, kein Anspruch aus der Verletzung einer Amtspflicht iSV Art. 34 S. 1 GG, da es sich hierbei nicht um eine auf die Anstellungskörperschaft übergeleitete Haftung eines Amtsträgers handelt, sondern um eine originäre Haftung der Behörde selbst. Denn durch Art. 34 S. 1 GG wird der Staat zwar zum Haftungssubjekt, nicht aber zum Zurechnungssubjekt. Der Anspruch aus Art. 82 Abs. 1 DS-GVO richtet sich aber gegen den Verantwortlichen oder den Auftragsverarbeiter und damit nicht gegen die Institution und nicht gegen den einzelnen Mitarbeiter oder Bediensteten. Zudem soll nach Unionsrecht der Schadensersatzanspruch unbeschadet von Schadensersatzforderungen aufgrund von Verstößen gegen andere Vorschriften des Unionsrechts oder des Rechts der Mitgliedstaaten gegeben sein). Für den Anspruch aus § 43 BbgPJMDSG gilt nichts anderes. Auch er richtet sich unmittelbar gegen den „Verantwortlichen“ iSd § 2 Nr. 7 BbgPJMDSG, das heißt gegen die öffentliche Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. Das ist nicht der einzelne Bedienstete. |
| OLG Brandenburg Beschl. v. 1.2.2024 – 1 W 3/24 = ZD 2024, 401 | 0 EUR Auch aus verfassungsrechtlichen Gründen ergibt sich keine Zuständigkeit der ordentlichen Gerichte für den geltend gemachten Schadensersatzanspruch. Es handelt sich bei dem hier geltend gemachten Anspruch nach der DS-GVO nicht um einen Amtshaftungsanspruch iSd Art. 34 S. 1 GG. Verletzt jemand in Ausübung eines ihm anvertrauten öffentlichen Amtes die ihm einem Dritten ggü. obliegende Amtspflicht, so trifft nach Art. 34 S. 1 GG die Verantwortlichkeit grds. den Staat oder die Körperschaft, in deren Dienst er steht. Art. 34 S. 3 GG verbietet es, für Amtshaftungsansprüche die Zuständigkeit der allgemeinen ordentlichen Gerichte auszuschließen. Der Anspruch aus Art. 82 Abs. 1 DS-GVO ist jedoch auch dann, wenn er sich gegen eine Behörde oder deren Dienstleister richtet, kein Anspruch aus der Verletzung von Amtspflichten iSd Art. 34 S. 1 GG, da es sich nicht um eine auf die Behörde übergeleitete Haftung des Amtsträgers, sondern um eine originäre Haftung der Behörde handelt. |
| OLG Dresden Urt. v. 30.1.2024 – 4 U 1396/23 | 0 EUR Liegt der Datenschutzverstoß (hier „Scraping") bereits mehrere Jahre zurück und sind die Schaltflächen, die diesen ermöglicht haben, zwischenzeitlich geändert worden, reicht die bloß theoretische Möglichkeit, dass es in Zukunft zu einem Schaden kommen könnte, für ein Feststellungsinteresse nicht aus. Auch ein Rechtsschutzinteresse für einen weitergehenden Unterlassungsanspruch besteht dann nicht. Für die erstmalige außergerichtlich Geltendmachung eines Auskunftsanspruchs ggü. einem sozialen Netzwerk ist die anwaltliche Beauftragung nicht erforderlich, außergerichtliche Kosten für dessen Inanspruchnahme sind daher nicht erstattungsfähig. |
| OLG Dresden Urt. v. 30.1.2024 – 4 U 1398/23 | 0 EUR Wie OLG Dresden Urt. v. 23.1.2024 - 4 U 1313/23 [= ZD 2024, 480 (Ls.)]. |
| OLG Dresden Urt. v. 30.1.2024 – 4 U 1481/23 | 0 EUR Wie OLG Dresden Urt. v. 23.1.2024 - 4 U 1313/23 [= ZD 2024, 480 (Ls.)]. |
| OLG Dresden Urt. v. 30.1.2024 – 4 U 1168/23 | 0 EUR Wie OLG Dresden Urt. v. 23.1.2024 - 4 U 1313/23 [= ZD 2024, 480 (Ls.)]. |
| OLG Dresden Urt. v. 23.1.2024 –4 U 1313/23 = ZD 2024, 480 (Ls.) | 0 EUR Dem Kl. steht kein Anspruch auf immateriellen Schadensersatz gem. Art. 82 DS-GVO zu. Ob der Bekl. ein Verstoß gegen Melde- und Benachrichtigungspflichten nach Art. 33, 34 DS-GVO zur Last fällt, kann ebenfalls dahinstehen. Ebenso braucht hier nicht entschieden zu werden, ob ein solcher Verstoß überhaupt Grundlage für einen Schadensersatzanspruch nach Art. 82 DS-GVO sein könnte. In Rspr. und lit. wird insofern zwar die Auffassung vertreten, die Formulierung in Art. 82 Abs. 1 DS-GVO „wegen eines Verstoßes gegen diese Verordnung“ sei vor dem Hintergrund des Erwägungsgrund 146 DS-GVO weit auszulegen. Art. 82 Abs. 2 S. 1 DS-GVO erfasse jede nicht mit der Verordnung in Einklang stehende Verarbeitung. Zumindest für Verstöße gegen die Melde- und Benachrichtigungspflichten legt jedoch bereits deren Wortlaut nahe, dass diese als rein objektivrechtliche Pflichten zu verstehen sein sollen, die keinen individualschützenden Charakter haben und daher als Schadensersatzgrundlage nicht in Betracht kommen. Dies entspricht auch der Rspr. des EuGH, der zu Art. 17, 18 DS-GVO bereits entschieden hat, dass nicht jeder Verstoß gegen Vorschriften der DS-GVO die Datenverarbeitung mit der Folge von Ansprüchen auf Löschen oder Einschränkung der Verarbeitung unrechtmäßig macht. Dies kann jedoch auch dahinstehen, nachdem sich weder dem Klage- noch dem Berufungsvorbringen entnehmen lässt, dass der eingetretene Schaden durch eine rechtzeitige Erfüllung dieser Pflichten noch hätte verhindert werden können. Nach Art. 82 der DS-GVO ist Schadensersatz zu leisten, wenn der Nachweis eines Verstoßes gegen die DS-GVO, eines tatsächlich erlittenen materiellen oder immateriellen Schadens und eines Kausalzusammenhangs zwischen dem Verstoß und dem Schaden erbracht wird; der bloße Verstoß gegen Bestimmungen der DS-GVO reicht demnach nicht aus. Die Darlegungs- und Beweislast obliegt insoweit der betroffenen Person. Ein Schadensersatzanspruch ist aber auch nicht gegeben, soweit der Kl. als Folge von der Bekl. anzulastenden Datenschutzverstößen immaterielle Schäden in Form eines Verlusts der Kontrolle über die ihn betreffenden personenbezogenen Daten verbunden mit dem Gefühl des Kontrollverlusts, des Beobachtetwerdens, der Hilflosigkeit und der Angst erlitten haben will. Unabhängig davon rechtfertigt die Verletzung der Auskunftspflicht nach Art. 15 DS-GVO keinen Schadensersatzanspruch, weil nicht ersichtlich ist, welcher Schaden der Klagepartei daraus entstanden sein soll. |
| OLG Brandenburg Beschl. v. 11.1.2024 – 12 U 132/23 = ZD 2024, 532 | 0 EUR Die Klage ist unbegründet. Der Kl. hat einen Anspruch auf Schadensersatz aus Art. 82 iVm Art. 12 Abs. 1, 14, 15 Abs. 1 S. 2 DS-GVO nicht schlüssig dargetan. Ein Verstoß gegen die Bestimmungen der DS-GVO für sich allein genommen reicht nicht aus, um einen Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO zu begründen. Die Entstehung des Schadensersatzanspruchs setzt vielmehr kumulativ eine Verarbeitung personenbezogener Daten unter Verstoß gegen die Bestimmungen der DS-GVO, einen der betroffenen Person entstandenen Schaden und einen Kausalzusammenhang zwischen der rechtswidrigen Verarbeitung und diesem Schaden voraus. Die Verarbeitung personenbezogener Daten ist in Art. 4 Nr. 2 DS-GVO definiert. Die Erteilung einer Auskunft über die personenbezogenen Daten nach Art. 15 Abs. 1 S. 2 DS-GVO stellt danach keine Verarbeitung dar, so dass schon aus diesem Grunde kein Anspruch besteht. Eine angeblich schlechte Lesbarkeit der Information nach Art. 14 DS-GVO vermag einen Schadensersatzanspruch ebenfalls nicht zu begründen. Zum einen hat die Bekl. bestritten, dass dem Kl. die Information in einer nicht lesbaren Form zur Verfügung gestellt wurde, ohne dass der Kl. für seine Behauptung Beweis angetreten hat. Zum anderen würde eine schlechte Lesbarkeit, wie ausgeführt, nicht ohne Weiteres zu einem Schadensersatzanspruch führen. Schließlich scheitert ein Schadensersatzanspruch des Kl. auch daran, dass er einen ihm durch eine fehlerhafte oder zu spät erteilte Auskunft kausal entstandenen Schaden nicht ansatzweise dargelegt hat. Zwar hängt der Schadensersatzanspruch nicht davon ab, dass der betreffende Schaden eine gewisse Erheblichkeit erreicht. Dies bedeutet jedoch nicht, dass eine Person, die von einem Verstoß gegen die DS-GVO betroffen ist, der für sie negative Folgen gehabt hat, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden iSv Art. 82 DS-GVO darstellen. Dabei hat die anspruchstellende Partei im Rechtsstreit die Entstehung eines materiellen oder immateriellen Schadens substantiiert darzulegen. Während der Kl. in erster Instanz noch behauptet hat, er habe im Jahre 2022 keine Online-Käufe tätigen können und er habe vergeblich versucht, ein Girokonto zu eröffnen, ohne dass daraus eine Kausalität eines Verstoßes der Bekl. gegen Bestimmungen der DS-GVO ersichtlich geworden ist, behauptet er in zweiter Instanz nur noch pauschal Ärger, Unwohlsein und Stress. Konkrete gesundheitliche Beeinträchtigungen werden nicht vorgetragen. Ebenso wenig ist ersichtlich, weshalb diese pauschalen Angaben einen Schadensersatz in der beantragten Höhe rechtfertigen sollen. |
| OLG Hamburg Urt. v. 10.1.2024 – 13 U 70/23 = ZD 2024, 347 | 4.498,57 EUR Der Kl. hat gegen die Bekl. Anspruch auf Ersatz immateriellen Schadens gem. Art. 82 Abs. 1, Abs. 2 S. 1 DS-GVO iHv insgesamt 4.000 EUR. Die Bekl. hat als „Verantwortlicher" iSd Art. 4 Nr. 7 DS-GVO gegen ihre Pflichten aus Art. 5, 6 iVm Art. 4 Nr. 2 DS-GVO verstoßen, indem sie ihre Forderungen gegen den Kl. zweimal an die SCHUFA gemeldet hat, obwohl die Voraussetzungen hierfür nicht vorlagen. Zur Begründung wird auf die zutreffenden Ausführungen des LG Bezug genommen, welchen sich das Berufungsgericht vollen Umfangs anschließt. Hierdurch ist dem Kl. auch ein ersatzfähiger
immaterieller Schaden entstanden. Das LG hat sorgfältig und überzeugend begründet, dass der Kl. durch die zweifache unberechtigte Meldung an die SCHUFA eine Beeinträchtigung seines sozialen Ansehens durch die
Darstellung als unzuverlässiger Schuldner hinnehmen musste. Der Kl. hat zudem belegt, dass sich aus der Auskunft der SCHUFA und der verschlechterten Einschätzung des Bonitätsrisikos konkrete negative Konsequenzen in Bezug auf die Gewährung eines Kredits sowie die Sperrung seiner Kreditkarte ergeben haben. |
| LGe | |
| NEU LG Frankfurt/O. Urt. v. 29.11.2024 – 11 O 9/24 | 0 EUR Dem Kl. steht gegen die Bekl. der geltend gemachte Anspruch auf Zahlung eines immateriellen Schadensersatzes aus Art. 82 Abs. 1 DS-GVO oder einer anderen denkbaren Anspruchsgrundlage nicht zu. Der allein vom Kl. vorgetragene und nach seinem Vortrag denkbare Verstoß der Bekl. gegen Art. 6 Abs. 1 S. 1 lit. f DS-GVO liegt nicht vor. Abgesehen von diesen Erwägungen mangelt es überdies an einem ersatzfähigen Schaden des Kl. iSd Art. 82 Abs. 1 DS-GVO. Auch wenn keine Erheblichkeitsschwelle für das Vorliegen eines Schadens zu fordern ist und Bagatellschäden nicht auszuschließen sind, muss sich aus dem Vortrag eines Kl. doch wenigstens ein solcher Schaden ergeben. Der formelhafte nicht auf die Person des Kl. individualisierte Vortrag genügt hierfür nicht. Die Behauptung des Kl., bei ihm habe sich nach Erhalt der Auskunft der S. wegen der Positivmitteilung der Bekl. ein Gefühl des Kontrollverlustes und der großen Sorge, auch in Bezug auf die Beurteilung seiner Bonität eingestellt, ist schlichtweg konstruiert. Da in Deutschland jeder Erwachsene üblicherweise über einen Mobilfunkvertrag verfügt, hebt die Information, dass der Kl. auch einen Mobilfunkvertrag abgeschlossen hat, ihn in keiner Weise von Millionen anderer in Deutschland lebender Erwachsenen ab. Damit kann diese Information anderen Teilnehmern am Wirtschaftsverkehr wie Banken und Versicherungen auch keinen Anlass geben zu kritischer Nachfrage. Soweit der Kl. einen „objektiv falschen“ bzw. einen „beeinflussten“ SCHUFA-Score oder auch eine „Veränderung in der Bonitätsbewertung“ bzw. eine „unrichtige Einstufung der Zahlungsausfallwahrscheinlichkeit“ geltend macht, überzeugt auch dies nicht: Da der Kl. den Mobilfunkvertrag abgeschlossen hatte, die Meldung inhaltlich also richtig war, konnte ein unter ihrer Einbeziehung gebildeter Score nicht objektiv falsch sein. |
| NEU LG Freiburg/Br. Urt. v. 27.11.2024 – 8 O 21/24 | 0 EUR Der Klagepartei steht kein Anspruch auf Zahlung immateriellen Schadensersatzes aus Art. 82 Abs. 1 DS-GVO oder einer anderen denkbaren Anspruchsgrundlage gegen die Bekl. zu. Der Maßstab für Verstöße gegen die DSGVO iSd Art. 82 Abs. 1 DS-GVO ist dabei weit zu fassen. Allerdings müssen die Verstöße kausal für den – materiellen oder immateriellen – Schaden gewesen sein. Die Bekl. hat nicht gegen die DS-GVO verstoßen. Entgegen der Auffassung der Klagepartei hat die Bekl. die personenbezogenen Daten nicht unrechtmäßig übermittelt. Die Übermittlung der Positivdaten an die S. Holding AG war gem. Art. 6 Abs. 1 S. 1 lit. f DS-GVO rechtmäßig. Der Klagepartei ist außerdem kein immaterieller Schaden iSd Art. 82 Abs. 1 DS-GVO entstanden. Der Begriff des Schadens ist gem. Erwägungsgrund 146 S. 3 DS-GVO weit auf eine Art und Weise auszulegen, die den Zielen dieser Verordnung in vollem Umfang entspricht. Für einen Schadensersatzanspruch nach Art. 82 DS-GVO reicht allerdings der bloße Verstoß gegen die Bestimmungen der DS-GVO nicht aus. Es muss ein Schaden vorliegen. Der Ersatz eines immateriellen Schadens nach Art 82 DS-GVO ist aber nicht davon abhängig, dass der entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht, so dass auch Bagatellschäden einen Schadensersatzanspruch begründen können. Nach der für die Auslegung des Art. 82 Abs. 1 DS-GVO maßgeblichen Rspr. des EuGH kann auch der bloße und kurzzeitige Verlust der Kontrolle über eigene personenbezogene Daten infolge eines Verstoßes gegen die DS-GVO ein immaterieller Schaden iSd Norm sein. Weder muss insoweit eine konkrete missbräuchliche Verwendung dieser Daten zum Nachteil des Betroffenen erfolgt sein noch bedarf es sonstiger zusätzlicher spürbarer negativer Folgen. Daneben kann der Schaden auch darin liegen, dass der Kl. Angst vor einer missbräuchlichen Verwendung seiner personenbezogenen Daten durch Dritte hat. Dabei ist das Gericht gehalten, zu prüfen, ob diese Befürchtung unter den gegebenen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann. Der Verstoß gegen die DS-GVO muss außerdem kausal für den entstandenen Schaden gewesen sein. Für den Nachweis der Kausalität zwischen Datenschutzverstoß und Schaden genügt dabei die überwiegende Wahrscheinlichkeit iSd § 287 ZPO, weil es um die Frage der haftungsausfüllenden Kausalität geht. Haftungsbegründend ist nämlich bereits der Datenschutzverstoß als solcher und der darauf beruhende unbefugte Zugriff auf personenbezogene Daten, weil damit die Verletzung des Rechtsguts, hier des Grundrechts auf Sicherheit der persönlichen Daten (Art. 8 Charta der Grundrechte der Europäischen Union, Art. 16 Abs. 1 AEUV, DS-GVO ERW 1, 2) bzw. auf informationelle Selbstbestimmung (Art. 2 Abs. 1 GG), vollendet ist. Im streitgegenständlichen Fall sieht es das Gericht nicht als überwiegend wahrscheinlich an, dass der Klagepartei ein immaterieller Schaden zugefügt wurde. Die Klagepartei hat die Kontrolle über eigene personenbezogene Daten nicht verloren. Die Bekl. hat den Namen der Klagepartei und die Information über den Vertragsschluss nur an die S. übermittelt und nicht etwa auf einer frei zugänglichen Liste im Internet. Einen mit der Datenweitergabe an die S. verbundenen Kontrollverlust, Stress, Existenzsorge und Unruhe hat die Klagepartei nicht hinreichend schlüssig vorgetragen und nachgewiesen. Bei den von der Bekl. übermittelten Positivdaten handelt es sich lediglich um einen von vielen Einträgen in der S.-Auskunft der Klagepartei. Neben der Meldung der Bekl. finden sich eine Vielzahl weiterer gemeldeter Positivdaten bezogen auf die Eröffnung verschiedener Giro- und Kreditkartenkonten sowie eines Bauspardarlehens. Die S.-Auskunft des Kl. weist einen überdurchschnittlich guten Basisscore von 98,41 („sehr geringes Risiko“) aus. Die Klagepartei hat nicht überzeugend erläutert, warum sie ihre Sorgen und Ängste gerade aufgrund der Meldung der Positivdaten durch die Bekl., nicht aber aufgrund der anderen gemeldeten Positivdaten erfahren hat. Für das Gericht ist nicht nachvollziehbar, dass gerade die Information über den Abschluss eine Mobilfunkvertrags – eines Vertrages, über den nahezu jede erwachsene Person in Deutschland verfügen dürfte – zu besonderen Ängsten oder besonderem Stress hätten führen sollen. Denn wie bereits dargelegt führen Positiveinträge in der Regel nur zu einer negativen Veränderung des S.-Scores, wenn eine Person viele ähnliche Verträge innerhalb eines kurzen Zeitraums abschließt, da dies auf eine kurzfristig hohe finanzielle Belastung der Person schließen lässt, was bei der Klagepartei aber nicht der Fall ist. |
| NEU LG Münster Urt. v. 25.11.2024 – 014 O 78/24 | 0 EUR Die Kl. hat keinen Anspruch auf Schmerzensgeld aus Art. 82 Abs. 1 DS-GVO, da weder ein Verstoß gegen die DS-GVO, noch ein Schaden vorliegt. Die Weitergabe der streitgegenständlichen Positivdaten an Wirtschaftsauskunfteien, insb. an die S. Holding AG, durch die Bekl., war nach Art. 6 Abs. 1 S. 1 lit. f DS-GVO gerechtfertigt. Zwar kommt es auf die Frage, ob der Kl. überhaupt ein immaterieller Schaden entstanden ist, nach dem Vorstehenden nicht mehr an. Gleichwohl sei angemerkt, dass nicht schon allein ein Verstoß gegen die Datenschutzgrundverordnung für die Kl. einen immateriellen Schaden darstellt. Der BGH entschied zwar zwischenzeitlich, dass schon allein der Kontrollverlust über die eigenen Daten für einen Anspruch auf immateriellen Schadensersatz grds. ausreichen könne. Vorliegend konnte indes noch nicht einmal ein solcher Kontrollverlust festgestellt werden. Anders als in den sog. Scraping Fällen, in denen unbekannte Dritte personenbezogene Daten unrechtmäßig erlangten und deren Verbleib teils ungeklärt ist, sind in hiesigem Fall die konkret betroffenen Daten sowie deren Verbleib weitgehend geklärt. Die Kammer vermochte nach der informatorischen Anhörung der Kl. auch keinen immateriellen Schaden bei der Kl. festzustellen. Es ist für das Gericht schon nicht nachvollziehbar, worauf die Kl. die Annahme stützt, dass die Weitergabe der Positivdaten zu einem Schaden geführt haben soll oder führen könnte. Die Information über den Vertragsabschluss ist nach Ansicht des Gerichts völlig neutral zu werten. Vielmehr wäre es in der heutigen Zeit eher ungewöhnlich und daher auffällig, als volljährige Person keinen eigenen Mobilfunkvertrag abgeschlossen zu haben. Zudem bleibt festzustellen, dass im vorliegenden Fall die Bonitätssorgen der Kl. bereits deshalb nicht verständlich sind, da die vorgelegte S. Auskunft vom 16.10.2023 der Kl. einen sehr guten Basisscore von 98,17% von theoretisch möglichen 100 % attestiert. Der ausgesprochen gute Wert belegt, dass die Datenweitergabe zu keiner Beeinträchtigung geführt haben kann. Dass negative Folgen ausblieben, zeigt auch die S. Auskunft, wonach die Kl. auch nach dem streitgegenständlichen Eintrag weitere Vertragspartner fand, die ihre Bonität offensichtlich positiv annahmen. Schließlich hinterließ die Kl. einen persönlichen Eindruck, der gerade nicht von den in der Klageschrift aufgeführten Nachteilen wie Ängsten, Stress und Komforteinbußen geprägt war. Die bloße, glaubhafte und nachvollziehbare Angabe der Kl., dass ihre Erwartung, mit ihren Daten werde verantwortungsbewusst umgegangen, enttäuscht worden sei und dass sie die Eintragung stutzig machte, stellt kein Gefühl dar, was annähernd Schadenscharakter hat. Gleiches gilt für die – aus Sicht des Gerichts unbegründete - Sorge, dass möglicherweise irgendwann in der Zukunft der Eintrag vielleicht zu einem Nachteil führen könnte. |
| NEU LG Osnabrück Urt. v. 22.11.2024 – 11 O 1034/24 | 0 EUR Dem Kl. steht kein Schadensersatzanspruch gegen die Bekl. gem. Art. 82 Abs. 1 DS-GVO zu. Es kann dabei dahingestellt bleiben, ob tatsächlich ein Verstoß gegen die DS-GVO vorliegt, da der Kl. einen Schaden schon nicht hinreichend darlegen konnte. Nach der informatorischen Anhörung der Klagepartei in der mündlichen Verhandlung konnte keine Überzeugung dahingehend gebildet werden, dass die Klagepartei eine Beeinträchtigung erlitten hat, die einen immateriellen Schaden begründet. Selbst ein bloßer Kontrollverlust konnte nicht hinreichend dargelegt werden. Der Kl. hat in seiner informatorischen Anhörung immer wieder darauf abgestellt, dass er es von dem Mitarbeiter der Bank sehr grenzüberschreitend und irritierend gefunden habe, dass er auf seinen V. Vertrag angesprochen worden sei. Er habe es zutiefst unangenehm empfunden. Dies habe er zum Anlass genommen, die Sache erstmal zu klären und sein Bauvorhaben hinten an zu stellen. Einen – als Minimum geforderten – Kontrollverlust hat der Kl. hiermit jedoch nicht dargelegt. Vielmehr hat er in der informatorischen Anhörung seine Empörung über das Vorgehen zum Ausdruck gebracht. Dies wurde auch dadurch deutlich, dass er äußerte, dass ihn die anderen Eintragungen nicht so gestört haben, da dort ein Kreditrahmen „hinterhänge“ und dies nachvollziehbar sei. Es ging ihm dementsprechend vielmehr um die fehlende Nachvollziehbarkeit des Vorgehens an sich als um einen persönlichen „Verlust der Kontrolle“. Darüber hinaus war ihm zum Zeitpunkt der mündlichen Verhandlung nicht einmal bekannt, ob die Daten weiterhin vorhanden sind, was ebenfalls gegen einen erlittenen Kontrollverlust spricht. |
| NEU LG München II Urt. v. 21.11.2024 - 6 O 31/24 | 0 EUR Dem Kl. steht kein Anspruch auf Zahlung eines immateriellen Schadensersatzes aus Art. 82 Abs. 1 DS-GVO oder einer anderen denkbaren Anspruchsgrundlage gegen die Bekl. zu. Es erscheint bereits zweifelhaft, ob überhaupt ein Verstoß gegen die Bestimmungen der DS-GVO vorliegt. Dies kann jedoch letztlich dahinstehen. Das Gericht kann nicht feststellen, dass die Klagepartei einen kausal auf die behaupteten Verstöße zurückzuführenden Schaden erlitten hat. Es obliegt der Klagepartei, die Ursächlichkeit darzulegen und ggf. zu beweisen. Der EuGH hat am 04.05.2023 entschieden, dass Art. 82 DS-GVO dahin auszulegen ist, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadensersatzanspruch zu begründen. Auch aus der – bislang nur durch Pressemitteilung bekannten – aktuellen Rspr. des BGH (Urt. v. 18.11.2024 – VI ZR 10/24 [= ZD 2025, 162 mAnm Horn]) zu einem Fall von Daten „Scraping“ ergibt sich kein anderes Ergebnis. Dem vom BGH behandelten Fall lag bereits eine grundlegend andere Konstellation, nämlich das unwillentliche Abgreifen von Daten, zugrunde. Vorliegend wurden die Daten von Beklagtenseite, wie bereits bei Vertragsabschluss mitgeteilt, übermittelt. Aus dem Wortlaut von Art. 82 Abs. 1 DS-GVO geht klar hervor, dass das Vorliegen eines Schadens eine der Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadensersatzanspruch darstellt, ebenso wie das Vorliegen eines Verstoßes gegen die DS-GVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ erfüllt sein müssen. Es kann daher nicht davon ausgegangen werden, dass jeder Verstoß gegen die Bestimmungen der DS-GVO für sich genommen den Schadensersatzanspruch der betroffenen Person iSv Art. 4 Nr. 1 dieser Verordnung eröffnet. Eine solche Auslegung liefe dem Wortlaut von Art. 82 Abs. 1 DS-GVO zuwider. Selbst wenn ein abstrakter „Kontrollverlust“ nach aktueller höchstrichterlicher Rspr. allein für einen immateriellen Schaden iSd Art. 82 DS-GVO ausreichend sein sollte, so trägt für eine darüberhinausgehende Beeinträchtigung der Anspruchsteller die Beweislast. Auch unter Berücksichtigung eines weiten Verständnisses des immateriellen Schadens, das ausdrücklich auch Bagatellschäden einschließt, vermag der formelhafte, nicht individuelle Vortrag der Klagepartei, das Tatbestandsmerkmal des Schadens nicht schlüssig auszufüllen. Der diesbezügliche Vortrag ist pauschal und wird in zahlreichen weiteren Klagen inhaltsgleich verwendet. Eine persönliche Anhörung des Kl. in der mündlichen Verhandlung war nicht möglich, da der persönlich geladene Kl. nicht erschien. Die Klagepartei hat schriftsätzlich vorgetragen, bei ihr habe sich nach Kenntnis von Weitergabe der Daten ein Gefühl des Kontrollverlustes und der großen Sorge, insb. auch in Bezug auf die Bonität eingestellt. Der Kl. wurde bereits bei Vertragsabschluss darauf hingewiesen, dass die Daten im Zusammenhang mit dem Vertragsabschluss an die S. und C. GmbH übermittelt würden. Die Ängste des Kl., dass erneut Daten „ohne sein Wissen“ übermittelt würden, lässt sich nicht zuletzt vor diesem Hintergrund nicht nachvollziehen. Die von Klageseite eher pauschal behaupteten Beeinträchtigungen des Kl. lassen sich ebenfalls nicht nachvollziehen. Es ist gerichtsbekannt, dass mindestens ein weiteres, Verfahren des Kl. im Zusammenhang mit angeblichen Datenschutzverstößen in dieser Kammer des LG anhängig war, in welchem der Kl. in der mündlichen Verhandlung angab, unter massivem Unwohlsein und Beeinträchtigungen aufgrund des dortigen angeblichen Verstoßes zu leiden. Es lässt sich nicht nachvollziehen, wie der Kl. das dortige Unwohlsein und die Sorge um seine Daten von dem hiesigen Verfahren abgrenzt. Es ist damit auch nicht nachvollziehbar, ob das geschilderte Unwohlsein kausal auf den hier geschilderten angeblichen Verstoß zurückgeht und nicht bereits aufgrund des behaupteten Verstoßes aus dem Parallelverfahren bestand und herrührte. |
| NEU LG Traunstein Urt. v. 18.11.2024 - 3 O 1037/24 | 0 EUR Die nach Klageänderung mit Schriftsatz vom 18.09.2024 uneingeschränkt zulässige Klage ist unbegründet. Der Kl. hat in die Datenverarbeitung eingewilligt. Darüberhinaus führt Verjährung zur Unbegründetheit der Klage. Ein Verstoß gegen die DS-GVO liegt nicht vor, denn der Kl. hat in die Datenverarbeitung eingewilligt (Art. 6 Abs. 1 S. 1 a DS-GVO). Damit kommen schon aus diesem Grund weder Schadensersatzansprüche noch Unterlassungsansprüche in Betracht. Ohnehin sind etwaige Ansprüche jedoch auch am 31.12.2021 verjährt, §§ 195, 199 Abs. 1, 5 BGB. Die gem. § 195 BGB dreijährige Verjährungsfrist begann mit Ablauf des 31.12.2018, da gem. § 199 Abs. 1 Nr.2 BGB der Schluss des Jahres, in dem der Kl. Kenntnis von den anspruchsbegründenden Umständen erlangt, maßgeblich ist. Die Bekl. hat hinsichtlich der Schadensersatzansprüche die Einrede der Verjährung erhoben. |
| NEU LG Duisburg Urt. v. 18.11.2024 – 12 O 154/23 | 0 EUR Die Klagepartei hat unter keinem rechtlichen Gesichtspunkt einen Anspruch auf Ersatz eines immateriellen Schadens als Ausgleich für Datenschutzverstöße gegen die Bekl. Der Anspruch ergibt sich weder aus Art. 82 Abs. 1 DS-GVO noch aus einer vertraglichen oder deliktischen Haftung der Bekl. nach Normen des BGB. Der Klagepartei stehen keine Ansprüche gegen die Bekl. zu, da die Voraussetzungen des Art. 82 Abs. 1 DS-GVO nicht erfüllt sind. Der Bekl. ist kein Verstoß gegen die DS-GVO zur Last zu legen. Die bei der Bekl. erfolgte Verarbeitung der personenbezogenen Daten der Klagepartei erfolgte aufgrund einer wirksamen Einwilligung der Klagepartei gem. Art. 6 Abs. 1 UAbs. 1 lit. a, 7, 5 Abs. 1 lit. a Var. 1 DS-GVO. Darüber hinaus fehlt es auch an einem ersatzfähigen immateriellen Schaden der Klagepartei. Ein Anspruch auf Schadensersatz nach Art. 82 DS-GVO setzt neben der Verletzung einer Vorschrift der DS-GVO auch einen hierauf beruhenden Schaden voraus, der durch den Anspruchsteller darzulegen und notfalls zu beweisen ist. Aus dem Wortlaut des Art. 82 Abs. 1 DS-GVO geht hervor, dass der betroffenen Person ein materieller oder immaterieller Schaden entstanden sein muss. Auch der Erwägungsgrund 146 der DS-GVO sieht insoweit vor, dass solche Schäden ersetzt werden sollen, die einer Person aufgrund einer Verarbeitung entstehen. Des Weiteren ergibt sich aus den im Erwägungsgrund 75 der DS-GVO aufgezählten möglichen immateriellen Schäden, dass der Verordnungsgeber den Datenschutzverstößen unterschiedliche Schadensfolgen zuschreibt, was denknotwendig ebenfalls gegen die Gleichsetzung eines Datenschutzverstoßes mit einem Schadenseintritt spricht. Der Begriff des Schadens ist nach dem Erwägungsgrund 146 der DS-GVO unter Berücksichtigung der Ziele der DS-GVO weit auszulegen. Danach soll der Anspruch einen vollständigen und wirksamen Ersatz des erlittenen Schadens sicherstellen. Schadensersatzforderungen sollen abschrecken und weitere Verstöße der Verantwortlichen unattraktiv machen. Der Schadensbegriff ist autonom auszulegen; es kommt nicht darauf an, ob bestimme Schadenspositionen im nationalen Recht als Schaden anerkannt sind. Insofern ist auch die bisherige deutsche Rspr. zu immateriellen Schäden nicht anwendbar, wonach nur schwerwiegende Persönlichkeitsverletzungen zu einem ersatzfähigen Schadensersatz führen. Der Erwägungsgrund 75 der DS-GVO nennt als mögliche immaterielle Schäden eine Diskriminierung, den „Identitätsdiebstahl“ oder -betrug, eine Rufschädigung, einen Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten. Als Bewertungskriterien können zudem die in Art. 83 DS-GVO genannten Kriterien der Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie die betroffenen Kategorien personenbezogener Daten herangezogen werden. Ein genereller Ausschluss von Bagatellschäden ist im Lichte dieser Erwägungsgründe nicht vertretbar. Dies wird auch aus Art. 4 Abs. 3 AEUV abgeleitet, der die Mitgliedsstaaten dazu anhält, Verstöße wirksam mit Sanktionen zu belegen, da nur so eine effektive Durchsetzbarkeit des EU-Rechts und damit auch der DS-GVO erzielt werden könne. Der Schaden ist demnach zwar weit zu verstehen, er muss jedoch auch wirklich erlitten, das heißt spürbar, objektiv nachvollziehbar und von gewissem Gewicht sein. Art. 82 Abs. 1 DS-GVO ist dahin auszulegen, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung gerade nicht ausreicht, um einen Schadensersatzanspruch zu begründen. Vielmehr muss die Klagepartei einen konkreten immateriellen oder materiellen Schaden darlegen und beweisen, ebenso wie das Vorliegen eines Verstoßes gegen die DS-GVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ vorliegen müssen. Die Klagepartei hat einen solchen erlittenen und spürbaren immateriellen Schaden nicht hinreichend dargelegt. Soweit sie vorträgt, es bestehe Besorgnis über die Weitergabe ihrer persönlichen Daten durch den Mobilfunkanbieter an eine Auskunftei, genügt dies nicht. Auch die weiteren Behauptungen, diese Handlung habe ein Gefühl des Kontrollverlusts hervorgerufen und sie fühle sich hilflos und der Macht der Auskunfteien ausgeliefert, die finanzielle Identität sei von einem Scoring abhängig, über das keinerlei Kontrolle bestehe, sie leide unter großem Unwohlsein, die Klagepartei fühle sich stigmatisiert und in ihrer persönlichen Integrität verletzt durch die Art und Weise, wie ihre finanzielle Identität bewertet werde, genügen nicht zur Darlegung eines Schadens. Ein etwaiger "Kontrollverlust" stellt schon keinen Schaden dar, ist aber zudem auch nicht eingetreten, da die klagende Partei es selbst in der Hand hatte, ob die Daten an die S. weitergegeben werden. Sie hat der Einmeldung ausdrücklich zugestimmt. Hätte sie dies nicht gewollt, hätte sie von einem Vertragsschluss mit der Bekl. Abstand nehmen müssen. Andere negative Auswirkungen der Positivmeldung sind nicht ersichtlich. Zum einen geht bei der heutzutage gegebenen Verbreitung des Mobilfunks ohnehin jeder potentielle Vertragspartner davon aus, dass sein Gegenüber einen Handy-Vertrag abgeschlossen hat. Im Gegenteil würde eher das Nicht-Vorhandensein eines Mobilfunk-Anschlusses Fragen bzgl. der Bonität aufwerfen. Denn der potentielle Vertragspartner müsste gerade in dem Fall Zweifel an der Liquidität und Bonität haben, wenn sein Gegenüber noch nicht einmal einen Handy-Vertrag abschließen konnte. Ob die nationalen Regelungen über eine vertragliche oder deliktische Schadensersatzverpflichtung neben der DS-GVO Anwendung finden, kann vorliegend dahinstehen, da die Voraussetzungen für einen vertraglichen oder deliktischen Schadensersatzanspruch iSd BGB jedenfalls nicht vorliegen. |
| NEU LG Mönchengladbach Urt. v. 18.11.2024 – 10 O 183/23 | 0 EUR Dem Kl. der Anspruch auf immateriellen Schadensersatz iHv 5.000 EUR gem. Art. 82 DS-GVO nicht zu. Vorliegend kann dahinstehen, ob ein Verstoß gegen die Bestimmungen der DS-GVO, namentlich gegen Art. 6 DS-GVO, vorliegt. Denn das Gericht kann nicht feststellen, dass der Kl. einen kausal auf die behaupteten Verstöße zurückzuführenden Schaden erlitten hat. Die Darlegungs- und Beweislast für die haftungsbegründenden Voraussetzungen trägt nach den allgemeinen zivilprozessualen Grundsätzen der Anspruchsberechtigte, hier der Kl. Ein auf Datenschutzverstöße der Bekl. zurückzuführender immaterieller Schaden ist bereits nicht hinreichend dargelegt. Eine Beweislastumkehr ist in Art. 82 Abs. 3 DS-GVO ausdrücklich nur bezüglich des Gesichtspunkts des Verschuldens vorgesehen. Nach dem ausdrücklichen Wortlaut der Vorschrift muss der Schaden „erlitten“ werden, woraus sich ergibt, dass dieser tatsächlich entstanden sein muss und nicht lediglich befürchtet wird. Der Begriff des Schadens ist strikt zu Trennen von dem Begriff des Datenschutzverstoßes. Läge bei jedem DS-GVO-Verstoß automatisch ein immaterieller Schaden vor, wäre der Schaden als Anspruchsvoraussetzung überflüssig. Zwar ist der Begriff des Schadens nach dem Erwägungsgrund 146 S. 3 zur DS-GVO weit auszulegen, so dass die Betroffenen einen wirksamen Schutz bekommen. Aber auch zur Geltendmachung eines Anspruchs auf Ersatz immaterieller Schäden genügt die Behauptung eines Verstoßes gegen die Vorschriften der DS-GVO ohne Vorbringen zu einem hierdurch entstandenen immateriellen Schaden nicht. Es bedarf vielmehr der Darlegung, dass der Verstoß konkrete negative Folgen für den Betroffenen hatte, die einen immateriellen Schaden darstellen. Ein abstrakter „Kontrollverlust“ allein oder die Auflistung generell-abstrakter Gefahren ohne konkrete Darlegung persönlicher oder psychologischer Beeinträchtigungen reichen allein für einen immateriellen Schaden iSd Art. 82 DS-GVO nicht aus. Nach diesen Maßstäben wird ein kausaler Schaden von dem Kl. bereits nicht einmal im Ansatz plausibel und damit schlüssig dargelegt. Grds. können zwar auch Ängste, Sorgen und Stress einen immateriellen Schaden darstellen. Die Ausführungen in der Klageschrift beschränken sich indes auf formelhafte Äußerungen ohne konkreten Bezug zum Kl. So wird in der Klageschrift allgemein auf die Gefühle von Kontrollverlust, Sorge, Beunruhigung, Angst, Unwohlsein, Stress und Unruhe verwiesen, ohne dass näher ausgeführt wird, wie sich diese Gefühle konkret bei dem Kl. geäußert haben sollen und welche genauen Folgen dies ggf. für sein Leben im konkreten Einzelfall haben soll. Dem Gericht ist überdies aus Parallelverfahren bekannt, dass die Prozessbevollmächtigten des Kl. in allen Verfahren gegen die Bekl. exakt dieselben Sorgen, Ängste usw. durch die Nutzung von Textbausteinen schildern. Ungeachtet der Pauschalität, mit der diese Allgemeinplätze vorgetragen werden, ist nicht im geringsten nachvollziehbar, warum die Weitergabe von Positivdaten zu diesen negativen Gefühlen führen, insb. Sorge hinsichtlich der eigenen Bonität auslösen soll. Ein Grund hierfür wäre allenfalls dann erkennbar, wenn entsprechende Negativdaten weitergeleitet würden. Die bloße Information, dass der Kl. bei der Bekl. einen Mobilfunkvertrag abgeschlossen hat, konnte bestenfalls ein Indiz für seine mutmaßliche Zahlungsfähigkeit bieten, weil er sich damit jedenfalls zu einer Zahlung verpflichtete. Ausweislich der von Beklagtenseite vorgelegten Statistiken gibt es in Deutschland knapp 170 Millionen Mobilfunkanschlüsse und rund 98% aller Haushalte verfügen über mindestens einen solchen Anschluss. Der Umstand, dass auch der Kl. Inhaber eines Mobilfunkanschlusses ist, hebt ihn folglich in keiner Weise von dem Rest der Bevölkerung ab und kann daher auch keinen Einfluss auf seinen Bonitätsscore haben. Gleiches gilt für den Umstand, dass dieser Anschluss bei der Bekl. besteht, da diese nach einer vom Gericht recherchierten Statistik der Datenbank S. über die Marktanteile der Netzbetreiber an den Mobilfunkanschlüssen in Deutschland das Unternehmen mit den meisten Mobilfunkanschlüssen ist. Die fehlende Beeinflussung der Bonität wird auch in aller Deutlichkeit dadurch belegt, dass der Basisscore des Kl. ausweislich der selbst vorgelegten S.-Auskunft vom 06.09.2023 bei 98,9% und damit nach den unwidersprochenen Angaben des Beklagtenvertreters im Termin in der höchstmöglichen Kategorie liegt. Aus diesem Grund ist ebenfalls nicht ersichtlich, warum der Kl. in Sorge darüber sein sollte, ob etwaige in der Zukunft notwendige Kredite für Immobilien oder Fahrzeuge gewährt und bedient werden können. Unabhängig davon, dass dieser zumindest etwas individualisierte Vortrag beklagtenseits bestritten, klägerseits aber nicht unter Beweis gestellt wurde, ist er dennoch insoweit unschlüssig, da nicht klar ist, inwiefern diese Gefühle des Kl. mit der von der Bekl. veranlassten Eintragung zusammenhängen. Sollte der Kl. in der Vergangenheit tatsächlich einmal Schwierigkeiten aufgrund eines schlechten Bonitätsscores gehabt haben, erscheint es vielmehr naheliegend, dass dies auf seine zum damaligen Zeitpunkt offenbar eingeschränkten finanziellen Möglichkeiten und eine entsprechend mangelnde Zahlungsmoral zurück zu führen ist. Dass sich so etwas wiederholen könnte, mag Anlass zur Sorge sein, hat allerdings nichts mit der Übermittlung der Positivdaten durch die Bekl. zu tun. Auch das von Klägerseite vorgetragene Gefühl des Kontrollverlustes steht nicht im Zusammenhang mit der Übermittlung der Vertragsdaten an die S. Der Kl. scheint sich hierbei vor allem wegen der Verarbeitung ihrer Daten durch die S. zu fürchten, weil nicht klar sei, wer sonst noch auf die Daten zugreifen und sie missbrauchen könne. Damit bezieht er sich jedoch auf einen anderen Datenverarbeitungsvorgang. Denn eine vermeintlich intransparente Datenverarbeitung durch die S. betreffen nicht die konkrete streitgegenständliche Datenübertragung der Bekl. |
| NEU LG Oldenburg Urt. v. 15.11.2024 – 5 O 7/24 | 0 EUR Der Kl. hat gegen die Bekl. keinen Anspruch auf Zahlung eines immateriellen Schadensersatzes aus Art. 82 Abs. 1 DS-GVO oder einer anderen denkbaren Anspruchsgrundlage. Die Voraussetzungen des Art. 82 Abs. 1 DS-GVO liegen nicht vor. Für die Datenweitergabe an die S. hat die Bekl. eine Rechtsgrundlage nach Art. 6 Abs. 1 S. 1 lit f.) DS-GVO dargelegt. Ein Schadensersatzanspruch gem. Art. 82 DS-GVO setzt des Weiteren einen Verstoß gegen die DS.GVO, den Eintritt eines Schadens und einen Kausalzusammenhang zwischen Verstoß und Schaden voraus. Unabhängig von der Frage eines Verstoßes der Bekl. gegen Bestimmungen der DS-GVO scheitert ein solcher Anspruch jedenfalls daran, dass die Klagepartei keinen Schaden erlitten hat. Es steht zur Überzeugung der Kammer nicht fest, dass der Klagepartei aus der Datenweitergabe an die S. ein Schaden entstanden ist. Nach Erwägungsgrund 146 S. 3 DS-GVO ist der Begriff des Schadens weit und unter Berücksichtigung der Ziele der DS-GVO (vgl. Art. 1 DS-GVO) auszulegen. Die Darlegungs- und Beweislast für das Vorliegen eines Schadens trifft die Klagepartei. Die Klagepartei hat jedoch nicht nachgewiesen, aufgrund des Verstoßes der Bekl. gegen die DS-GVO einen immateriellen Schaden erlitten zu haben. Soweit die Klagepartei sich auf eine Rechtsgutverletzung und den bloßen Verlust der Kontrolle über ihre personenbezogenen Daten beruft, legt sie einen Schaden bereits nicht dar. Entgegen der Auffassung der Klagepartei stellt der Verlust der Kontrolle über personenbezogene Daten als solcher noch keinen ersatzfähigen Schaden dar. Soweit sie als Beleg für ihre Auffassung die Erwägungsgrund 75 und 85 DS-GVO anführt, ist zu berücksichtigen, dass die Erwägungsgründe keinen normativen Charakter haben, sondern lediglich als Auslegungshilfe in Betracht kommen. Dabei haben die Erwägungsgrund 75 und 85 DS-VGO für die Auslegung des Schadensbegriffs in Art. 82 Abs. 1 DS-GVO nur eine begrenzte Aussagekraft, da sie sich nicht auf Art. 82 DS-GVO, sondern auf Art. 24 DS-GVO bzw. Art. 33 DS-GVO beziehen. Ebenso wenig streitet das Urt. des EuGH v. 14.12.2023 - C-340/21 [= ZD 2024, 150 mAnm Ligocki/Sosna = MMR 2024, 231 mAnm Kohl/Rothkegel] für die Auffassung der Klagepartei, bereits der Kontrollverlust hinsichtlich personenbezogener Daten begründe einen Schaden iSd Art. 82 Abs. 1 DS-GVO. Soweit der EuGH unter Verweis auf Erwägungsgrund 85 S. 1 DS-GVO ausgeführt hat, dass der Unionsgesetzgeber unter den Begriff des Schadens insb. den bloßen „Verlust der Kontrolle“ über die eigenen Daten infolge eines Verstoßes gegen die DS-GVO habe fassen wollen, hat er dies als Argument dafür angeführt, dass die Annahme eines Schadens nicht den Missbrauch personenbezogener Daten voraussetzt, sondern insoweit die Befürchtung eines solchen Missbrauchs auf Seiten des Betroffenen ausreichen kann. Eine Aussage über die Qualität des Kontrollverlusts als Schaden hat er damit nicht getroffen. Aus den weiteren Ausführungen des Gerichtshofs lässt sich vielmehr ableiten, dass der bloße Kontrollverlust gerade keinen Schaden begründet. Der EuGH hat klargestellt, dass die Person, die einen Anspruch aus Art. 82 Abs. 1 DS-GVO geltend macht, nachweisen müsse, dass die negativen Folgen eines Verstoßes auch einen immateriellen Schaden darstellen. Insb. müsse das nationale Gericht, wenn sich eine Person auf die Befürchtung berufe, ihre personenbezogenen Daten könnten in Zukunft missbräuchlich verwendet werden, prüfen, ob diese Befürchtung unter den gegebenen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden könne. Danach ist der Verlust der Kontrolle über die eigenen Daten eine negative Folge, die zwar grds. einen Ersatzanspruch begründen kann, der Anspruchsteller bleibt jedoch in der Pflicht, darzulegen und ggf. zu beweisen, dass der Kontrollverlust zu einem immateriellen Schaden wie Ängsten und Befürchtungen eines Missbrauchs der Daten durch Dritte geführt hat. Ein folgenloser Kontrollverlust stellt hingegen keinen (immateriellen) Schaden dar. Soweit die Klagepartei in den schriftsätzlichen Ausführungen geltend macht, wegen der Datenweitergabe der Bekl. in Sorge über seine Bonität zu sein, und dazu ausführt, dass es sich nicht nur um einen einmaligen Datenschutzverstoß handele, sondern der Kontrollverlust über die Daten an die S. einen dauerhaften Einfluss auf den ausgewiesenen Score-Wert habe, weswegen die Klagepartei sich hilflos der Macht der Auskunfteien ausgeliefert fühle, was durch die Intransparenz und Komplexität des Score-Systems noch verstärkt werde und sich auf die Schlafqualität der Klagepartei auswirke, hat die Klagepartei ihrer Darlegungslast genügt. Die durch einen Datenschutzrechtsverstoß hervorgerufene Befürchtung des Betroffenen, dass ihre personenbezogenen Daten durch Dritte missbräuchlich – oder hier: zum Nachteil des Betroffenen bei der Bonitätsbewertung – verwendet werden könnten, kann einen immateriellen Schaden iSd Art. 82 Abs. 1 DS-GVO darstellen. Allerdings bleibt das Gericht gehalten zu prüfen, ob die Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann. |
| NEU LG Hannover Urt. v. 14.11.2024 – 13 O 33/24 | 0 EUR Der Kl. hat gegen die Bekl. keinen Anspruch auf Ersatz immateriellen Schadens aus Art. 82 Abs. 1 DS-GVO oder aus einer sonstigen Anspruchsgrundlage. Es kann dahinstehen, ob die Einmeldung des Vertragsverhältnisses eine Verletzung der DS-GVO darstellt. Jedenfalls ist dem Kl. dadurch kein Schaden entstanden. Selbst wenn allein ein Kontrollverlust über Daten einen immateriellen Schaden iSd Art. 82 Abs. 1 DS-GVO darstellen sollte, ist hier ein Kontrollverlust nicht dargelegt. Die Daten sind nur an einen beschränkten Kreis – an die Auskunfteien und ggf. deren Vertragspartner – gelangt. Insoweit kann der abgeschlossene Empfängerkreis objektiv nachvollzogen werden. Insoweit unterscheidet sich dieser Fall von Fällen, in denen Daten ins Internet bzw. ins sog. „Darknet“ gelangt sind. Soweit beim Kl. tatsächlich Befürchtungen hinsichtlich der Bonitätsbewertung bei weiteren Vertragsabschlüssen bestehen sollten, ist dies unbeachtlich. Insoweit ist bereits nicht konkret ersichtlich, weshalb sich die Einmeldung des Vertragsschlusses negativ auf seine Bonität auswirken sollte. Zwar hat der Schädiger nach deutschem Recht für seelisch bedingte Folgeschäden, auch wenn sie auf einer Fehlverarbeitung beruhen, haftungsrechtlich grds. einzustehen. Das gilt indes dann nicht, wenn das schädigende Ereignis ganz geringfügig ist (Bagatelle) und deshalb die psychische Reaktion im konkreten Fall nicht mehr verständlich ist, weil in einem groben Missverhältnis zu dem Anlass steht. So liegt der Fall hier. Etwaige Befürchtungen des Kl. im Hinblick auf seine Bonitätsbewertungen sind gänzlich unverständlich. Selbst wenn es sich bei der Einmeldung um einen Datenschutzverstoß handeln sollte, ist dieser als marginal anzusehen. Es handelt sich hier um eine Mitteilung des Abschlusses eines Telekommunikationsvertrages. Dies ist kein Umstand, der im Allgemeinen geheim zu halten gepflegt wird. Dass der Abschluss eines solchen Vertrages allein keinen signifikanten Einfluss auf die Bonitätsbewertung haben kann, liegt vor dem Hintergrund, dass in Deutschland in fast jedem Haushalt der Abschluss von Telekommunikationsverträgen – insbesondere Mobilfunkverträge – der Normalfall darstellt, auf der Hand. Unabhängig davon könnte die Bekl. die Leistung gem. §§ 214 Abs. 1, 195, 199 BGB verweigern, da Ansprüche des Kl. verjährt wären und die Bekl. sich auf die Einrede der Verjährung berufen hat. Art. 82 DS-GVO ist ein eigenständiger deliktischer Anspruch, der dem allgemeinen nationalen Haftungsregime des BGB iRd Effektivitätsgrundsatz unterliegt. Nach der Rspr. des Gerichtshofs der Union ist die DS-GVO gerade nicht abschließend, sondern es bedarf zur Ausfüllung des Rückgriffs auf das Recht der Mitgliedstaaten. Insbesondere die Ausgestaltung von Klageverfahren, die den Schutz der dem Einzelnen aus Art. 82 DS-GVO erwachsenden Rechte gewährleisten sollen und insbesondere die Festlegung der Kriterien für die Ermittlung des Umfangs des in diesem Rahmen geschuldeten Schadensersatzes in Ermangelung einschlägiger unionsrechtlicher Vorschriften Aufgabe des Rechts des einzelnen Mitgliedstaats, wobei der Äquivalenz- und der Effektivitätsgrundsatz zu beachten sind. Zu berücksichtigen sind ergänzend insbesondere auch die Regelungen der Verjährung. Nach der Rspr. des EuGH haben die nationalen Gerichte bei der Festsetzung der Höhe des Schadensersatzes, der aufgrund des in diesem Artikel verankerten Schadensersatzanspruchs geschuldet wird, die innerstaatlichen Vorschriften der einzelnen Mitgliedstaaten über den Umfang der finanziellen Entschädigung anzuwenden haben, sofern die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität beachtet werden. Dass die DS-GVO keine Bestimmung zur Verjährung von Ansprüchen enthält, lässt nicht den Schluss zu, dass Ansprüche aus der DS-GVO unverjährbar sind. Die Verjährung von Ansprüchen steht dem Äquivalenz- und Effektivitätsgrundsatz auch nicht entgegen. Der Effektivitätsgrundsatz wird jedenfalls durch eine Verjährungsfrist von drei Jahren nicht verletzt. Soweit eine kenntnisunabhängige Verjährung bei Datenschutzverstößen kritisch gesehen wird, weil diese regelmäßig lange Zeit unentdeckt bleiben, gibt es dafür keinen Anlass, wenn die Unkenntnis auf grober Fahrlässigkeit beruht. Insb. wenn die den Datenschutzverstoß begründenden Umstände vom Verletzer ggü. dem Verletzten angekündigt werden. Gemessen daran kann die Bekl. die Leistung gem. § 214 Abs. 1 BGB verweigern. Der Kl. wurde über die Einmeldung schon bei Abschluss des Vertrages mittels der bei Vertragsschluss zur Verfügung gestellten Anlage informiert. Ein etwaiger Kontrollverlust und damit ein Schaden wäre bereits im Jahr 2020 mit der Einmeldung der Daten an die S. eingetreten, wenn man der Rechtsauffassung des Kl. folgte. Dies hätte der Kl. aufgrund der Ankündigung ohne weiteres bereits im Jahr 2020 wissen können. Soweit er sich den ihm übergebenen Stapel nicht angeschaut hat, wie er iRd Anhörung geschildert hat, hat er grob fahrlässig keine Kenntnis von der Datenübermittelung gehabt. Unter Nr. 4 hat die Bekl. den Kl. darüber unterrichtet, dass iRd Vertragsverhältnisses erhobene personenbezogene Daten über die Beantragung, die Durchführung und Beendigung des Vertrags, wie bspw. Name, Geburtsdatum und IBAN der S. mitgeteilt werden. Deswegen begann die dreijährige Verjährungsfrist mit dem Ende des Jahres 2020 und endete mit dem Ablauf des Jahres 2023. Der Kl. hat die Klage mit Schriftsatz vom 29.01.2024 und damit erst nach Ablauf der Verjährungsfrist erhoben. |
| NEU LG Offenburg Urt. v. 14.11.2024 – 1 O 1/24 | 0 EUR Die Voraussetzungen für einen Schadensersatzanspruch aus Art. 82 Abs. 1 DS-GVO liegen nicht vor, da es jedenfalls aber an einem kausalen ersatzfähigen Schaden des Kl. fehlt. Ein Schadensersatzanspruch gem. Art. 82 Abs. 1 DS-GVO wird nicht allein dadurch begründet, dass ein Verstoß gegen die DS-GVO vorliegt. Vielmehr muss der Anspruchsteller das Vorliegen eines Schadens nachweisen, auch wenn ein immaterieller Schaden keinen bestimmten Grad an Erheblichkeit erreichen muss. Dabei kann auch die durch einen Datenschutzverstoß hervorgerufene Befürchtung des Betroffenen, dass seine Daten in Zukunft aufgrund des Verstoßes missbräuchlich verwendet werden könnten, als Schaden anzusehen sein, sofern diese Befürchtung unter den Umständen des Einzelfalls als begründet angesehen werden kann. Dass er einen materiellen Schaden erlitten habe, hat der Kl. nicht behauptet. Den behaupteten immateriellen Schaden hat er nicht nachgewiesen. Der schriftsätzliche Vortrag, dass er in seiner finanziellen Handlungsfreiheit beeinträchtigt sei, Angst vor Datenverlust habe, sich verfolgt und unsicher fühle, bei ihm eine große Unsicherheit und erhebliche Sorge dahingehend beständen, dass der Erhalt von Krediten und der Abschluss eines Mietvertrags nicht möglich seien, er ein beständiges Unbehagen und eine unangenehme Anspannung bei der im Alltag notwendigen Zurverfügungstellung persönlicher Daten verspüre und einen massiven Vertrauensverlust, nicht nur ggü. der Bekl., sondern allgemein ggü. Unternehmen, die Daten von Verbrauchern abfragten, habe, erfolgte offensichtlich ohne hinreichende Tatsachengrundlage. In der informatorischen Anhörung haben sich diese Behauptungen nicht bestätigt. Der Kl. hat zwar angegeben, er habe Angst, dass er in Zukunft zB nicht mehr kreditwürdig sei, doch verspüre er ansonsten keine Auswirkungen. Nach dem formelhaften schriftsätzlichen Vortrag konnte auch der Vortrag des Kl. im Rahmen seiner Anhörung im Termin das Gericht nicht davon überzeugen, dass ein Schaden iSd Art. 82 DS-GVO durch die Einmeldung eingetreten ist. Dass die Einmeldung der Bekl. den Kl. davon abhielte, Vertragsverhältnisse zu schließen aus Sorge vor etwaigen Konsequenzen, hat er in seiner persönlichen Anhörung nicht vorgetragen. Selbst wenn man die Zukunftsängste des Kl. im Hinblick auf seine Kreditwürdigkeit als wahr unterstellte, und weiter unterstellte, die Einmeldung wäre rechtswidrig, wäre die Einmeldung jedenfalls nur mitursächlich für die Entstehung dieser Ängste, die der Kl. hier als Schaden geltend macht. Diese Mitursächlichkeit würde jedoch durch ein Mitverschulden des Kl. nach § 254 BGB aufgewogen werden, sodass auch dann dem Kl. kein Schadensersatz zustünde. Denn das Gefühl des Kontrollverlusts speist sich bei dem Kl. - diesen Eindruck gewann das Gericht insbesondere in der mündlichen Verhandlung - hauptsächlich aus seiner selbstverschuldeten Unwissenheit. |
| NEU LG Aachen Urt. v. 13.11.2024 – 8 O 33/24 | 0 EUR Die Klagepartei hat keinen Anspruch auf Schmerzensgeld aus Art. 82 Abs. 1 DS-GVO. Das LG Frankfurt/M. hat zu einem solchen Anspruch in einem Parallelverfahren mit vergleichbarem Sachverhalt in seinem Urt. v. 19.3.2024 - 2-10 O 691/23 [= ZD 2024, 747] Rn. 19 - 23, 25), zutreffend Folgendes ausgeführt: Es kann dahinstehen, ob ein Verstoß gegen die Bestimmungen der DS-GVO vorliegt. Denn das Gericht kann nicht feststellen, dass der Kl. einen kausal auf die behaupteten Verstöße zurückzuführenden Schaden erlitten hat. Hier hat der Kl. insb. schon schriftsätzlich nicht im Einzelnen substantiiert dargelegt, inwiefern er konkret unter dem Vorfall leidet. Dass der immaterielle Schaden auch tatsächlich „erlitten“ wird, ist jedoch Voraussetzung für einen Schadensersatzanspruch nach Art. 82 DS-GVO. Der Kl. beschränkt sich vielmehr darauf, textbausteinartig zu behaupten, er leide unter Kontrollverlust und Sorge, ohne im Einzelnen auszuführen, wie sich dies bei ihm konkret äußert. Ein tatsächlicher immaterieller Schaden ist damit nicht greifbar vorgetragen. |
| NEU LG Amberg Urt. v. 13.11.2024 - 22 O 11/24 | 0 EUR Dem Kl. steht kein Schadensersatzanspruch aus Art. 82 DS-GVO gegen die Bekl. zu. Die Datenweitergabe der Bekl. war gerechtfertigt und es liegt weder ein kausaler Schaden des Kl., noch ein Verschulden der Bekl. vor. Die Datenweitergabe durch die Bekl. ist gem. Art. 6 Abs. 1 UAbs. 1 lit. f DS-GVO gerechtfertigt. Art. 82 DS-GVO setzt einen Verstoß gegen DS-GVO-Vorschriften voraus. Im Ausgangspunkt ist festzuhalten, dass es sich bei der vorliegenden Übermittlung von Positivdaten an die Sch. um eine Verarbeitung von Daten iSd Art. 4 Nr. 2 DS-GVO handelt. Nach dem der DS-GVO zugrunde liegenden präventiven Verbot mit Erlaubnisvorbehalt bedarf es deshalb der Rechtfertigung durch einen der in Art. 6 Abs. 1 UAbs. 1 DS-GVO aufgeführten Erlaubnistatbestände. Darüber hinaus ist ein immaterieller Schaden des Kl. iSd Art. 82 Abs. 1 DS-GVO nicht ersichtlich. Bei vernünftiger Betrachtung ist nicht nachvollziehbar, dass die streitgegenständliche Übermittlung von Positivdaten negative Auswirkungen auf den Kl. gehabt hat. Die Beweislast für das Vorliegen eines materiellen oder immateriellen Schadens trägt der Kl. als Anspruchsteller. Die von einem Verstoß gegen die DS-GVO betroffene Person muss den Nachweis führen, dass die geltend gemachten Folgen einen immateriellen Schaden iSd Verordnung darstellen. Nach diesen Grundsätzen hat sich vorliegend ein konkreter und individueller Schaden des Kl. nicht feststellen lassen. Schon aus dem Vortrag des Kl. selbst erschließt sich nicht, inwieweit die Weitergabe von sogenannten Positivdaten, nämlich, dass er als Kunde einen Mobilfunkvertrag abgeschlossen hat, zu einem immateriellen Schaden führen soll. Sein Sachvortrag dazu ist pauschal und wird – gerichtsbekannt – in zahlreichen weiteren Klagen zumeist wortgleich verwendet. Wie zahllose andere Antragsteller auch, hat der Kl. schriftsätzlich vorgetragen, bei ihm habe sich nach Erhalt der Sch. -Mitteilung vom 30.10.2023 unmittelbar das Gefühl des Kontrollverlustes und der großen Sorge, insbesondere auch in Bezug auf die eigene Bonität, eingestellt. Das Gefühl des Kontrollverlusts sei geprägt von der Angst, einer unberechtigten Übermittlung an eine Auskunftei wie der Sch. ausgesetzt zu sein und beunruhige ihn bis zum heutigen Tag. Seitdem lebe er mit der ständigen Angst vor – mindestens – unangenehmen Rückfragen in Bezug seine Bonität, sein allgemeines Verhalten im Wirtschaftsverkehr oder eine Verfälschung des Sch. -Scores. Es blieben Stress, ggf. Unruhe und ein allgemeines Unwohlsein im Alltag. Schon diese Befürchtungen sind in keiner Weise nachvollziehbar. Allein die Meldung des Abschlusses eines Mobilfunkvertrages bei der Sch. ist aus Sicht des Gerichts objektiv mit keinerlei negativen Bewertung der Bonität des Kl. verbunden. Diese Information ist für sich genommen – anders als ein sog. Negativeintrag – vollkommen neutral. Die von dem Kl. beschriebene Angst ist darüber hinaus bereits deswegen nicht nachvollziehbar, da überhaupt nicht klar ist, ob dieser Eintrag sich überhaupt auf den Bonitätsscore, den der Kl. noch nicht einmal selber beziffern kann, ausgewirkt hat. Die Worte „materieller oder immaterieller Schaden“ verweisen dabei nicht auf das Recht der Mitgliedstaaten, weshalb sie als autonome Begriffe des Unionsrechts anzusehen und in allen Mitgliedstaaten einheitlich auszulegen sind und eine einheitliche unionsrechtliche Definition erhalten müssen. Da ein bloßer Verstoß gegen die DS-GVO nicht ausreicht, muss konkret festgestellt werden, dass die (vom Kl. zu beweisenden) Folgen einen Schaden darstellen. Zudem beruht ein angeblicher Schaden auch nicht kausal auf einer vorgetragenen Verletzungshandlung der Bekl. Dass sich die Weitergabe der Positivdaten durch die Bekl. negativ auf den Bonitätsscore des Kl. ausgewirkt haben soll, ist nicht nachvollziehbar. Schließlich hat der Kl. – wie oben bereits ausgeführt – auch nach Abschluss des Mobilfunkvertrages noch Kredite in nicht unerheblicher Höhe bewilligt bekommen. Auch der Beweis des Verschuldens der Bekl. gelingt dem Kl. nicht. Hierzu ist anzumerken, dass es um jahrelang etablierte Praxis gehandelt hat, die Daten eines Mobilfunkvertrages an die Sch. weiterzugeben. Diese Praxis ist von den Datenschutzaufsichtsbehörden auch niche beanstandet worden. |
| NEU LG Görlitz Urt. v. 12.11.2024 – 1 O 69/24 | 0 EUR Dem Kl. steht gegen die Bekl. kein Anspruch auf Zahlung von Schadensersatz aus Art. 82 Abs. 1 DS-GVO zu. Dabei kann offenbleiben, ob die Bekl. durch die Übermittlung der Positivdaten im Streitfall deswegen gegen Art. 6 Abs. 1 DS-GVO verstoßen hat, weil die in dieser Norm genannten Bedingungen für eine rechtmäßige Verarbeitung personenbezogener Daten nicht gegeben sind. Denn der bloße Verstoß gegen die DS-GVO reicht nicht aus, um einen Anspruch aus Art. 82 Abs. 1 DS-GVO zu begründen, da das Vorliegen eines materiellen oder immateriellen Schadens ebenso eine Voraussetzung für diesen Schadensersatzanspruch ist wie das Vorliegen eines Verstoßes gegen die DS-GVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß. Im Streitfall fehlt es an einem durch den – unterstellten – Verstoß der Bekl. gegen die DS-GVO eingetretenen Schaden des Kl. Ein Schadensersatzanspruch gem. Art. 82 Abs. 1 DS-GVO wird nicht allein dadurch begründet, dass ein Verstoß gegen die DS-GVO vorliegt. Vielmehr muss der Anspruchsteller das Vorliegen eines Schadens nachweisen, auch wenn ein immaterieller Schaden keinen bestimmten Grad an Erheblichkeit erreichen muss. Dabei kann auch die durch einen Datenschutzverstoß hervorgerufene Befürchtung des Betroffenen, dass seine Daten in Zukunft aufgrund des Verstoßes missbräuchlich verwendet werden könnten, als Schaden anzusehen sein, sofern diese Befürchtung unter den Umständen des Einzelfalls als begründet angesehen werden kann. Dass er einen materiellen Schaden erlitten habe, hat der Kl. nicht behauptet. Den behaupteten immateriellen Schaden hat der Kl. nicht nachgewiesen. Soweit der Kl. schriftsätzlich vorgetragen hat, die streitgegenständliche Weiterleitung von Positivdaten an die S. habe bei ihm ein Gefühl des Kontrollverlustes und der großen Sorge, insb. auch auf die eigene Bonität, verursacht, reicht dies für den Eintritt eines immateriellen Schadens nicht aus. Eine immaterielle Beeinträchtigung des Kl. ist nicht festzustellen. Unstreitig verlief der Telekommunikationsvertrag zwischen den Parteien ohne besondere Vorkommnisse. Anhaltspunkte für Zweifel an der Bonität des Kl. lagen weder bei der Bekl. vor, noch wurden solche von der Bekl. der S. gemeldet. Den an die S. kommunizierten Abschluss eines Mobilfunkvertrages teilt der Kl. mit einem ganz erheblichen Teil der Bevölkerung, sodass schon aus diesem Grund nicht nachvollziehbar wäre, weshalb der Kl. aufgrund dieser Mitteilung an die S. bei künftigen Finanzierungsprojekten um seine Kreditwürdigkeit fürchten müsste. Überdies wäre die Sorge, die von der Bekl. der S. mitgeteilten Daten könnten unkontrolliert und damit missbräuchlich verwendet werden, nach den Umständen des Falles auch nicht begründet, weil für einen Zugriff Dritter auf die in der Vergangenheit bei der S. gespeicherten Daten jeder Anhaltspunkt fehlt. Die Sorge um einen möglichen Missbrauch der Daten wäre daher jedenfalls nicht begründet und würde aus diesem Grund keinen Schaden darstellen. |
| NEU LG Siegen Urt. v. 11.11.2024 – 8 O 43/24 | 0 EUR Die Kl. hat keinen Anspruch auf Ersatz eines immateriellen Schadens nebst Zinsen aus Art. 82 Abs. 2, Abs. 1 DS-GVO (iVm Art. 288 Abs. 2 AEUV). Jedoch ist die Verarbeitung der Daten durch die Bekl. gem. Art. 6 Abs. 1 S. 1 lit. f DS-GVO gerechtfertigt. Unabhängig davon und ohne, dass es noch streitentscheidend darauf ankäme, ist auch ein ursächlich auf dem Verhalten der Bekl. beruhender immaterieller Schaden der Kl. nicht schlüssig dargelegt. IRd haftungsausfüllenden Tatbestandes obliegt es der Kl., einen über die Datenschutzverstöße und über den damit mittelbar einhergehenden Kontrollverlust hinausgehenden immateriellen Schaden in Form einer persönlichen / psychologischen Beeinträchtigung aufgrund der Datenschutzverstöße und des Kontrollverlustes darzulegen, wobei gerade ein bloßer "völlige Kontrollverlust" als solcher keine Entschädigungsverpflichtung rechtfertigt. Insoweit ist der von der Kl. vorgetragene Kontrollverlust bereits nicht ausreichend, der darüber hinaus aus Sicht des Gerichts bereits nicht vorliegt. Der Kl. ist bzw. war bekannt, welche Daten von der Bekl. an die S. weitergeleitet worden sind und hätte diesem widersprechen könne. Ihr war daher bekannt, welche Daten von ihr aus welchen Gründen an wen weitergeleitet worden sind. Darüber hinaus sind die von der Bekl. übermittelten Daten bereits gelöscht worden. Dabei kann dahinstehen, ob dieser Umstand unstreitig ist, weil sich die Kl. hierzu nicht mit Nichtwissen erklären kann oder weil sie die Löschung in der mündlichen Verhandlung selber eingestanden hat. Soweit sich die Kl. auf Einschränkungen in ihrer rechtsgeschäftlichen Betätigung, namentlich die Angst vor unangenehmen Rückfragen und vor Erschwernissen bei Vertragsschlüssen bis zu einer schieren Existenzsorge, resultierend in Stress, Unruhe und tagtäglich allgemeinem Unwohlsein, beruft, so stimmen diese schriftsätzlichen Angaben zunächst nicht mit dem überein, was die Kl. im Rahmen ihrer persönlichen Anhörung geschildert hat. Der schriftsätzliche Vortrag erweckt daher den Eindruck eines Textbausteins, welcher nicht auf einer Schilderung des hiesigen Kl. beruht, so dass bereits fraglich ist, ob insoweit überhaupt hinreichend konkreter Vortrag vorliegt. |
| NEU LG Duisburg Urt. v. 8.11.2024 – 2 O 31/24 | 0 EUR Die klägerische Partei hat unter keinem rechtlichen Gesichtspunkt einen Anspruch auf Ersatz eines immateriellen Schadens als Ausgleich für Datenschutzverstöße gegen die Bekl. Der Anspruch ergibt sich weder aus Art. 82 Abs. 1 DS-GVO noch aus einer vertraglichen oder deliktischen Haftung der Bekl. nach Normen des BGB. Ansprüche der Klagepartei sind verjährt, §§ 195, 199 Abs. 1 BGB, denn die Partei hat von den den Anspruch begründenden Umständen und der Person des Schuldners bereits mit Abschluss des Vertrags Kenntnis erlangt oder hätte eine solche jedenfalls erlangen müssen. Die Bekl. hat in dem im 02.06.2020 geschlossenen Vertrag und den beigefügten Datenschutzhinweisen ausdrücklich mitgeteilt, dass u. a. die Beantragung und Durchführung der Geschäftsbeziehung an die S. gemeldet werden. Damit musste der Klagepartei klar sein, dass bereits der Vertragsschluss an sich eingemeldet wird. Selbst wenn man nicht von Verjährung ausgehen würde, so bestünden dennoch keine Ansprüche, da die Voraussetzungen des Art. 82 Abs. 1 DS-GVO nicht erfüllt sind. Der Bekl. ist kein Verstoß gegen die DS-GVO zur Last zu legen. Die bei der Bekl. erfolgte Verarbeitung der personenbezogenen Daten der Klagepartei erfolgte aufgrund einer wirksamen Einwilligung der Klagepartei gem. Art. 6 Abs. 1 UAbs. 1 lit. a, 7, 5 Abs. 1 lit. a Var. 1 DS-GVO. Darüber hinaus fehlt es auch an einem ersatzfähigen immateriellen Schaden der Klagepartei. Ein Anspruch auf Schadensersatz nach Art. 82 DS-GVO setzt neben der Verletzung einer Vorschrift der DS-GVO auch einen hierauf beruhenden Schaden voraus, der durch den Anspruchsteller darzulegen und notfalls zu beweisen ist. Aus dem Wortlaut des Art. 82 Abs. 1 DS-GVO geht hervor, dass der betroffenen Person ein materieller oder immaterieller Schaden entstanden sein muss. Auch der Erwägungsgrund 146 der DS-GVO sieht insoweit vor, dass solche Schäden ersetzt werden sollen, die einer Person aufgrund einer Verarbeitung entstehen. Des Weiteren ergibt sich aus den im Erwägungsgrund 75 der DS-GVO aufgezählten möglichen immateriellen Schäden, dass der Verordnungsgeber den Datenschutzverstößen unterschiedliche Schadensfolgen zuschreibt, was denknotwendig ebenfalls gegen die Gleichsetzung eines Datenschutzverstoßes mit einem Schadenseintritt spricht. Der Begriff des Schadens ist nach dem Erwägungsgrund 146 der DS-GVO unter Berücksichtigung der Ziele der DS-GVO weit auszulegen. Danach soll der Anspruch einen vollständigen und wirksamen Ersatz des erlittenen Schadens sicherstellen. Schadensersatzforderungen sollen abschrecken und weitere Verstöße der Verantwortlichen unattraktiv machen. Der Schadensbegriff ist autonom auszulegen; es kommt nicht darauf an, ob bestimme Schadenspositionen im nationalen Recht als Schaden anerkannt sind. Insofern ist auch die bisherige deutsche Rspr. zu immateriellen Schäden nicht anwendbar, wonach nur schwerwiegende Persönlichkeitsverletzungen zu einem ersatzfähigen Schadensersatz führen. Der Erwägungsgrund 75 der DS-GVO nennt als mögliche immaterielle Schäden eine Diskriminierung, den „Identitätsdiebstahl“ oder -betrug, eine Rufschädigung, einen Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten. Als Bewertungskriterien können zudem die in Art. 83 DS-GVO genannten Kriterien der Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie die betroffenen Kategorien personenbezogener Daten herangezogen werden. Ein genereller Ausschluss von Bagatellschäden ist im Lichte dieser Erwägungsgründe nicht vertretbar. Dies wird auch aus Art. 4 Abs. 3 AEUV abgeleitet, der die Mitgliedsstaaten dazu anhält, Verstöße wirksam mit Sanktionen zu belegen, da nur so eine effektive Durchsetzbarkeit des EU-Rechts und damit auch der DS-GVO erzielt werden könne. Der Schaden ist demnach zwar weit zu verstehen, er muss jedoch auch wirklich erlitten, das heißt spürbar, objektiv nachvollziehbar und von gewissem Gewicht sein. Art. 82 Abs. 1 DS-GVO ist dahin auszulegen, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung gerade nicht ausreicht, um einen Schadensersatzanspruch zu begründen. Vielmehr muss der Kl. einen konkreten immateriellen oder materiellen Schaden darlegen und beweisen, ebenso wie das Vorliegen eines Verstoßes gegen die DS-GVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ vorliegen müssen. Die Klagepartei hat einen solchen erlittenen und spürbaren immateriellen Schaden nicht hinreichend dargelegt. Soweit sie vorträgt, es bestehe Besorgnis über die Weitergabe ihrer persönlichen Daten durch den Mobilfunkanbieter an eine Auskunftei, genügt dies nicht. Auch die weiteren Behauptungen, diese Handlung habe ein Gefühl des Kontrollverlusts hervorgerufen und sie fühle sich hilflos und der Macht der Auskunfteien ausgeliefert, die finanzielle Identität sei von einem Scoring abhängig, über das keinerlei Kontrolle bestehe, sie leide unter großem Unwohlsein, die Klagepartei fühle sich stigmatisiert und in ihrer persönlichen Integrität verletzt durch die Art und Weise, wie ihre finanzielle Identität bewertet werde, sie fühle sich daher in der eigenen Haut unwohl, habe ein mulmiges Gefühl im Magen und dies raube ihr den Schlaf, genügen nicht zur Darlegung eines Schadens. Ein etwaiger "Kontrollverlust" stellt schon keinen Schaden dar, ist aber zudem auch nicht eingetreten, da die klagende Partei es selbst in der Hand hatte, ob die Daten an die S. weitergegeben werden. Sie hat der Einmeldung ausdrücklich zugestimmt. Hätte sie dies nicht gewollt, hätte sie von einem Vertragsschluss mit der Bekl. Abstand nehmen müssen. Andere negative Auswirkungen der Positivmeldung sind nicht ersichtlich. Zum einen geht bei der heutzutage gegebenen Verbreitung des Mobilfunks ohnehin jeder potenzielle Vertragspartner davon aus, dass sein Gegenüber einen Handy-Vertrag abgeschlossen hat. Im Gegenteil würde eher das Nicht-Vorhandensein eines Mobilfunk-Anschlusses Fragen bzgl. der Bonität aufwerfen. Denn der potenzielle Vertragspartner müsste gerade in dem Fall Zweifel an der Liquidität und Bonität haben, wenn sein Gegenüber noch nicht einmal einen Handy-Vertrag abschließen konnte. |
| NEU LG Osnabrück Urt. v. 7.11.2024 – 4 O 118/24 | 0 EUR Ein Anspruch auf Zahlung eines immateriellen Schadensersatzes aus Art. 82 Abs. 1 DS-GVO besteht nicht. Es kann dahinstehen, ob ein Verstoß gegen die Bestimmungen der DS-GVO, insb. gegen Art. 6 Abs. 1 S. 1 lit. f DS-GVO, vorliegt. Ein Schadensersatzanspruch gem. Art. 82 DS-GVO setzt neben einem Verstoß gegen die DS-GVO auch einen erlittenen Schaden materieller oder immaterieller Art voraus. Daran fehlt es vorliegend. Der Kl. hat nicht substantiiert dargelegt, dass ihm ein kausal auf die Meldung des Vertragsschlusses durch die Bekl. an die S. bzw. C. zurückzuführender Schaden entstanden ist. Der zur Aufklärung dieses Umstandes persönlich geladene Kl. ist zur Einspruchsverhandlung am 24.10.2024 unentschuldigt nicht erschienen. Zuzugestehen ist dem Kl., dass nach der Rspr. des EuGH der Ersatz eines immateriellen Schadens nicht davon abhängig ist, dass dieser Schaden eine bestimmte Erheblichkeitsschwelle überschreitet. Bagatellschäden sind nicht ausgeschlossen. Das Merkmal des immateriellen Schadens ist autonom auszulegen. Erwägungsgrund 146 zur DS-GVO sieht vor, dass der Begriff des Schadens im Lichte der Rspr. des EuGH weit auf eine Art und Weise ausgelegt werden soll, die den Zielen dieser Verordnung in vollem Umfang entspricht. Ein deutsches Verständnis zum Begriff des Schadens - etwa eine enge Auslegung - ist mithin nicht angezeigt. Die Verneinung einer Erheblichkeitsschwelle bedeutet jedoch nach den Ausführungen des EuGH in der vorzitierten Entscheidung nicht, dass eine Person, die von einem Verstoß gegen die DS-GVO betroffen ist, der für sie negative Folgen gehabt haben soll, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden iSv Art. 82 DS-GVO darstellen. Der bloße Verstoß gegen die Bestimmungen dieser Verordnung reicht nicht aus, um einen Schadensersatzanspruch zu begründen. Nach allgemeinen Grundsätzen obliegt es dem Kl., die (Mit-)Ursächlichkeit darzulegen und zu beweisen. Ein abstrakter „Kontrollverlust“ reicht für die Annahme eines immateriellen Schadens iSd Art. 82 DS-GVO nicht aus. Ein Schadensersatzanspruch wegen einer der DS-GVO nicht entsprechenden Datenverarbeitung scheidet aus, wenn bei der betroffenen Person ein konkreter (tatsächlicher), über den durch die unrechtmäßige Datenverarbeitung ohnehin eintretenden Kontrollverlust hinausgehender (immaterieller) Schaden nicht eingetreten ist. Für eine derartige weitergehende Beeinträchtigung trägt der Anspruchsteller die Beweislast. Der Klägervortrag lässt individualisierten Vortrag zu einem durch ihn erlittenen Schaden vermissen. Soweit die Klageschrift Ausführungen zum durch den Kl. erlittenen Schaden aufgrund von Bloßstellung, Kontrollverlust und Stigmatisierung enthält, handelt es sich dabei ersichtlich um abstrakte Ausführungen, die nicht die individuelle Situation des Kl. betreffen. Unstreitig wird in zahlreichen anhängigen gleichgelagerten Verfahren von den Klägervertretern der immaterielle Schaden – die Auswirkungen der behaupteten Rechtsverletzung – immer in identischer Weise geschildert. Auch am hiesigen Gericht sind und waren diverse Verfahren mit vergleichbaren Sachverhalten anhängig, die alle von derselben Anwaltskanzlei eingereicht worden sind. Eine stichprobenhafte Überprüfung der Klageschriften hat ergeben, dass in allen Verfahren, die der Überprüfung unterzogen wurden, eine wörtliche Übereinstimmung besteht, was belegt, dass hier mit Textbausteinen gearbeitet wird, statt eine individuelle Situation des Kl. darzustellen. Ein immaterieller Schaden, der über den mit dem bloßen Verstoß gegen die DS-GVO verbundenen Kontrollverlust hinausgeht, lässt sich abgesehen davon dem klägerischen Vortrag nicht entnehmen. Dass bloße negative Gefühle wie Unmut, Unzufriedenheit, Sorge und Angst, die an sich Teil des allgemeinen Lebensrisikos und oft des täglichen Erlebens sind, Grundlage für einen Schadensersatzanspruch sein können, hält das Gericht jedenfalls dann für nicht gerechtfertigt, wenn - wie hier - kein Einfluss auf die Lebensführung ersichtlich und damit ein konkreter Rückschluss von äußeren Umständen auf diese inneren Tatsachen nicht möglich ist. |
| NEU LG Neubrandenburg Urt. v. 7.11.2024 – 2 O 101/24 | 0 EUR Die Kl. hat gegen die Bekl. keinen Anspruch auf immateriellen Schadensersatz (Schmerzensgeld) aus Art. 82 DS-GVO. Andere Anspruchsgrundlagen, die hier ernsthaft in Betracht kommen könnten, sind nicht ersichtlich. Im Ergebnis kann dabei dahinstehen, ob die Weitergabe der Positivdaten der Kl. ohne deren ausdrückliche Einwilligung einen Verstoß gegen die Vorschriften der DS-GVO bedeutete. Ein Schadensersatzanspruch der Kl. gem. Art. 82 Abs. 1 DS-GVO scheitert - jedenfalls - daran, dass sie einen kausalen Schaden weder dargelegt, noch bewiesen hat. Nach der Rspr. des EUGH ist Art. 82 Abs. 1 DS-GVO dahin auszulegen, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadensersatzanspruch zu begründen. Vielmehr sind „Schaden“ und „Kausalität“ zwei weitere Anspruchsvoraussetzungen iSv Art. 82 Abs. 1 DS-GVO, die kumulativ vorliegen müssen. Der Ersatz eines immateriellen Schadens nach Art. 82 DS-GVO ist dabei zwar nicht davon abhängig, dass der entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht, sodass auch Bagatellschäden einen Schadensersatzanspruch begründen können. Es muss allerdings „tatsächlich und sicher“ ein konkret-individueller und kausal erlittener Schaden bestehen. Die betroffene Person muss also nachweisen, dass die Befürchtung eines solchen Missbrauchs ihr tatsächlich und konkret einen realen und sicheren emotionalen Schaden zugefügt hat. Ein abstrakter „Kontrollverlust“ allein reicht demnach für einen immateriellen Schaden iSd Art. 82 DS-GVO nicht aus. Gemessen an den genannten Kriterien ist die Kl. ihrer dahingehenden Darlegungs- und Beweislast nicht nachgekommen. Nach der Anhörung der Kl. in der mündlichen Verhandlung vom 19.09.2024 konnte sich das Gericht keine Überzeugung dahingehend bilden, dass die Kl. einen kausal auf die behaupteten Verstöße zurückzuführenden, tatsächlichen immateriellen Schaden erlitten hat. Die Kl. hat nicht überzeugend dargelegt, dass sie aufgrund des Eintrags durch die Bekl. unter echten immateriellen Beeinträchtigungen wie Ängsten, seelischem Leid oder sonstigen psychischen Beeinträchtigungen gelitten habe. Im Ergebnis fehlte es den klägerischen Äußerungen an substanziellen, objektiv nachvollziehbaren Anhaltspunkten dafür, dass die Übermittlung der Positivdaten des Mobilfunkvertrages an die S. durch die Bekl. zu einer spürbaren immateriellen Beeinträchtigung geführt habe. Dies gilt zunächst dafür, ob und inwieweit speziell die Kenntnisnahme des streitgegenständlichen Eintrags über den Abschluss eines Mobilfunkvertrags zu einer spürbaren Belastung geführt hätte. Es fehlt damit bereits an der Kausalität zwischen behauptetem Verstoß und behauptetem Schaden. Die Schilderungen der Kl. sind abstrakt und ohne Bezug zum beklagtenseits erfolgten Eintrag geblieben. Neben der Kausalität fehlt es darüber hinaus an der Darlegung eines konkreten Schadens. Bloße negative Gefühle wie Unmut, Unzufriedenheit und Sorge, die Teil des allgemeinen Lebensrisikos und des täglichen Erlebens sind, sind als Grundlage für einen Schadensersatzanspruch jedenfalls dann nicht ausreichend, wenn mangels weiterer Darlegung kein Einfluss auf die Lebensführung ersichtlich und damit auch kein konkreter Rückschluss von äußeren Umständen auf diese inneren Tatsachen möglich ist. |
| NEU LG Freiburg/Br. Urt. v. 7.11.2024 – 8 O 24/24 | 0 EUR Wie LG Freiburg/Br. Urt. v. 7.11.2024 – 8 O 56/24. |
| NEU LG Freiburg/Br. Urt. v. 7.11.2024 – 8 O 56/24 | 0 EUR Der Klagepartei steht kein Anspruch auf Zahlung immateriellen Schadensersatzes aus Art. 82 Abs. 1 DS-GVO oder einer anderen denkbaren Anspruchsgrundlage gegen die Bekl. zu. Der Maßstab für Verstöße gegen die DS-GVO iSd Art. 82 Abs. 1 DS-GVO ist dabei weit zu fassen. Allerdings müssen die Verstöße kausal für den – materiellen oder immateriellen – Schaden gewesen sein. Die Bekl. hat allerdings nicht gegen die DS-GVO verstoßen. Entgegen der Auffassung der Klagepartei hat die Bekl. die personenbezogenen Daten nicht unrechtmäßig übermittelt. Die Übermittlung der Positivdaten an die S. Holding AG war gem. Art. 6 Abs. 1 S. 1 lit. f DS-GVO rechtmäßig. IÜ ist der Klagepartei kein immaterieller Schaden iSd Art. 82 Abs. 1 DS-GVO entstanden. Art. 82 DS-GVO ist dahingehend auszulegen, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadensersatzanspruch zu begründen. Aus dem Wortlaut von Art. 82 Abs. 1 DS-GVO ergibt sich vielmehr eindeutig, dass neben einem Verstoß gegen die DS-GVO das Vorliegen eines Schadens und ein Kausalzusammenhang zwischen dem Schaden und dem Verstoß vorliegen müssen. Daher kann nicht davon ausgegangen werden, dass jeder Verstoß gegen die Bestimmungen der DS-GVO für sich genommen den Schadensersatzanspruch der betroffenen Person eröffnet. Eine solche Auslegung liefe dem Wortlaut von Art. 82 Abs. 1 DS-GVO zuwider. Der Begriff des Schadens ist gem. Erwägungsgrund 146 S. 3 DS-GVO weit auf eine Art und Weise auszulegen, die den Zielen der Verordnung in vollem Umfang entspricht. Erwägungsgrund 75 und 85 DS-GVO nennen zB immaterielle Schäden wie Diskriminierung, Identitätsdiebstahl oder -betrug, Rufschädigung oder andere gesellschaftliche Nachteile. Der Ersatz eines immateriellen Schadens nach Art. 82 DS-GVO ist nicht davon abhängig, dass der entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht, so dass auch Bagatellschäden einen Schadensersatzanspruch begründen können. Allein der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen die DS-GVO befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, muss aber keinen immateriellen Schaden iSv Art. 82 DS-GVO darstellen. Das Gericht hat im Einzelfall zu prüfen, ob ein konkreter immaterieller Schaden tatsächlich entstanden ist. Der Verstoß gegen die DS-GVO muss kausal für den entstandenen Schaden gewesen sein. Für den Nachweis der Kausalität zwischen Datenschutzverstoß und Schaden genügt die überwiegende Wahrscheinlichkeit iSd § 287 ZPO, weil es um die Frage der haftungsausfüllenden Kausalität geht. Haftungsbegründend wäre nämlich bereits der Datenschutzverstoß als solcher und die darauf – hier jedoch schon nicht bestehende – unrechtmäßige Übermittlung der personenbezogenen Daten, weil damit die Verletzung des Rechtsguts, hier des Grundrechts auf Schutz personenbezogener Daten (Art. 8 Charta der Grundrechte der Europäischen Union) bzw. auf informationelle Selbstbestimmung (Art. 2 Abs. 1 iVm Art. 1 Abs. 1 GG), vollendet ist. |
| NEU LG Bonn Urt. v. 6.11.2024 – 9 O 30/24 | 0 EUR Der Kl. hat gegen die Bekl. unter keinem rechtlichen Gesichtspunkt einen Anspruch auf Zahlung eines immateriellen Schadensersatzes i.H.v. 5.000 EUR. Ein solcher Anspruch folgt insb. nicht aus Art. 82 Abs. 1 DS-GVO. Es kann dahinstehen, ob der Bekl. Verstöße gegen Art. 25 Abs. 1 oder Art. 32 DS-GVO wegen der Übermittlung sog. Positivdaten vorzuwerfen sind. Ein Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO scheidet jedenfalls deshalb aus, weil der Kl. einen darauf beruhenden Schaden nicht substantiiert dargelegt und nachgewiesen hat. Nach Art. 82 der DS-GVO ist Schadensersatz zu leisten, wenn der Nachweis eines Verstoßes gegen die DS-GVO, eines tatsächlich erlittenen materiellen oder immateriellen Schadens und eines Kausalzusammenhangs zwischen dem Verstoß und dem Schaden erbracht wird, wobei der bloße Verstoß gegen Bestimmungen der DS-GVO als solche gerade nicht ausreicht. Die Darlegungs- und Beweislast obliegt insoweit der betroffenen Person. Die betroffene Person muss auch in einem solchen Fall den Nachweis erbringen, dass sie tatsächlich einen über die bloße Verletzung der Bestimmungen dieser Verordnung hinausgehenden Schaden – so geringfügig er auch sein mag - erlitten hat. Dies steht auch nach Anhörung des Kl. nicht mit der für eine Verurteilung erforderlichen Gewissheit fest. Soweit der Kl. schriftsätzlich seine entsprechenden Befürchtungen und starken Gefühle beschrieben hat, handelt es sich überwiegend um pauschale Angaben und eine Abfolge von Textbausteinen, die sich gerichtsbekannt in einer Vielzahl von parallel gelagerten Verfahren der Klägerkanzlei wortgleich finden. Dass sämtliche der von den Klägervertretern vertretenen Kl. ein identisches subjektives und individuelles Erleben haben und identische Empfindungen des Unwohlseins und der Sorge, erscheint der Kammer nicht glaubhaft. |
| NEU LG Bamberg Urt. v. 6.11.2024 - 12 O 44/24 | 0 EUR Die Klagepartei hat keinen Anspruch auf Schmerzensgeld aus Art. 82 Abs. 1 DS-GVO. Unabhängig von der Frage, ob überhaupt ein Verstoß gegen die DS-GVO vorliegt, fehlt es an einem ersatzfähigen immateriellen Schaden der Klagepartei. Der Anspruch auf Schadensersatz nach Art. 82 DS-GVO setzt neben der Verletzung einer Vorschrift der DS-GVO auch einen hierauf beruhenden Schaden voraus, der durch den Anspruchsteller darzulegen und notfalls zu beweisen ist. Aus dem Wortlaut des Art. 82 Abs. 1 DS-GVO geht hervor, dass der betroffenen Person ein materieller oder immaterieller Schaden entstanden sein muss. Auch der Erwägungsgrund 146 der DS-GVO sieht insoweit vor, dass solche Schäden ersetzt werden sollen, die einer Person aufgrund einer Verarbeitung entstehen. Des Weiteren ergibt sich aus den im Erwägungsgrund 75 der DS-GVO aufgezählten möglichen immateriellen Schäden, dass der Verordnungsgeber den Datenschutzverstößen unterschiedliche Schadensfolgen zuschreibt, was denknotwendig ebenfalls gegen die Gleichsetzung eines Datenschutzverstoßes mit einem Schadenseintritt spricht. Der Begriff des Schadens ist nach dem Erwägungsgrund 146 der DS-GVO unter Berücksichtigung der Ziele der DS-GVO weit auszulegen. Danach soll der Anspruch einen vollständigen und wirksamen Ersatz des erlittenen Schadens sicherstellen. Schadensersatzforderungen sollen abschrecken und weitere Verstöße der Verantwortlichen unattraktiv machen. Der Schadensbegriff ist autonom auszulegen; es kommt nicht darauf an, ob bestimme Schadenspositionen im nationalen Recht als Schaden anerkannt sind. Insofern ist auch die bisherige deutsche Rspr. zu immateriellen Schäden nicht anwendbar, wonach nur schwerwiegende Persönlichkeitsverletzungen zu einem ersatzfähigen Schadensersatz führen. Der Erwägungsgrund 75 der DS-GVO nennt als mögliche immaterielle Schäden eine Diskriminierung, den „Identitätsdiebstahl“ oder -betrug, eine Rufschädigung, einen Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten. Als Bewertungskriterien können zudem die in Art. 83 DS-GVO genannten Kriterien der Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie die betroffenen Kategorien personenbezogener Daten herangezogen werden. Ein genereller Ausschluss von Bagatellschäden ist im Lichte dieser Erwägungsgründe nicht vertretbar. Dies wird auch aus Art. 4 Abs. 3 AEUV abgeleitet, der die Mitgliedsstaaten dazu anhält, Verstöße wirksam mit Sanktionen zu belegen, da nur so eine effektive Durchsetzbarkeit des EU-Rechts und damit auch der DS-GVO erzielt werden könne. Der Schaden ist demnach zwar weit zu verstehen, er muss jedoch auch wirklich erlitten, das heißt spürbar, objektiv nachvollziehbar und von gewissem Gewicht sein. Diese Auslegung wird bestätigt durch die Entscheidung des EuGH v. 4.5.2023 - C-300/21 [= ZD 2023, 446 mAnm Mekat/Ligocki – Österreichische Post], wonach Art. 82 Abs. 1 DS-GVO dahin auszulegen ist, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung gerade nicht ausreicht, um einen Schadensersatzanspruch zu begründen. Gemessen an diesen Grundsätzen hat der Kl. einen solchen erlittenen und spürbaren immateriellen Schaden nicht hinreichend dargelegt. Soweit er vorträgt, es bestehe Besorgnis über die Weitergabe seiner persönlichen Daten durch den Mobilfunkanbieter an eine Auskunftei, genügt dies nicht. Auch die weiteren Behauptungen, diese Handlung habe ein Gefühl des Kontrollverlusts hervorgerufen und er fühle sich hilflos und der Macht der Auskunfteien ausgeliefert, die finanzielle Identität sei von einem Scoring abhängig, über das keinerlei Kontrolle bestehe, er leide unter großem Unwohlsein genügen nicht zur Darlegung eines Schadens. Ein etwaiger „Kontrollverlust“ stellt schon keinen Schaden dar. Andere negative Auswirkungen der Positivmeldung sind nicht ersichtlich. Zum einen geht bei der heutzutage gegebenen Verbreitung des Mobilfunks ohnehin jeder potenzielle Vertragspartner davon aus, dass sein Gegenüber einen Handy-Vertrag abgeschlossen hat. |
| NEU LG Siegen Urt. v. 5.11.2024 – 5 O 2/24 | 0 EUR Der Kl. hat keinen Anspruch auf Zahlung eines immateriellen Schadensersatzes aus Art. 82 Abs. 1 DS-GVO oder einer anderen denkbaren Anspruchsgrundlage. Dabei kann im Ergebnis dahinstehen, ob überhaupt Verstöße der Bekl. gegen die DS-GVO im Zuge der Datenweitergabe an die S. vorgelegen haben oder nicht. Denn jedenfalls fehlt es am Eintritt eines kausalen immateriellen Schadens. Das Merkmal des immateriellen Schadens ist autonom auszulegen. Erwägungsgrund 146 (und in diesem S. 3) zur DS-GVO sieht vor, dass der Begriff des Schadens im Lichte der Rspr. des Gerichtshofs weit auf eine Art und Weise ausgelegt werden soll, die den Zielen dieser Verordnung in vollem Umfang entspricht. Erwägungsgrund 75 zur DS-GVO nennt etwa Identitätsdiebstahl, finanzielle Verluste, Rufschädigung oder den Verlust der Kontrolle personenbezogener Daten. Ein deutsches Verständnis zum Begriff des Schadens – etwa eine enge Auslegung – ist mithin nicht angezeigt. Eine Erheblichkeitsschwelle für das Vorliegen eines solchen Schadens ergibt sich gerade nicht aus der DS-GVO. Bagatellschäden sind nicht auszuschließen. Zu verlangen ist aber jedenfalls, dass ein konkreter immaterieller Schaden auch tatsächlich eingetreten („entstanden") ist. Diesen muss der Kl. darlegen und ggf. beweisen. Es bedarf also über den Kontrollverlust als Realisierung des generellen Risikos hinaus eines tatsächlichen materiellen oder immateriellen Schadens im konkreten Einzelfall. Damit deckt sich, dass der völlige Kontrollverlust als solcher nicht per se ein immaterieller Schaden ist; denn stellt ein unkontrollierter Datenverlust im konkreten Einzelfall wegen des Werts der Daten eine in Geld messbare Einbuße dar, so ist dies unzweifelhaft ein Vermögensschaden. |
| NEU LG Berlin II Urt. v. 5.11.2024 – 37 O 198/24 | 0 EUR Es besteht kein Anspruch auf Ersatz eines immateriellen Schaden gegen die Bekl. Ein solcher kommt insbesondere im Hinblick auf Art. 82 Abs. 1 DS-GVO nicht in Betracht. Die Frage, ob der Bekl. mit Blick auf die Übermittlung der Positivdaten eine Verletzung der DS-GVO vorzuwerfen ist, kann unbeantwortet bleiben. Es mangelt jedenfalls an einem hinreichend dargelegten, immateriellen Schaden des Kl. Art. 82 Abs. 1 DS-GVO ist dahingehend auszulegen, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadensersatzanspruch zu begründen. Vielmehr ist der Eintritt eines konkreten Schadens erforderlich. Ein solcher liegt noch nicht vor, wenn ein Verstoß gegen die DS-GVO lediglich negative Folgen hat, sondern diese müssen einen Schaden iSd Art. 82 DS-GVO darstellen. Zwar kann nach der jüngsten Rspr. des EuGH allein die Befürchtung, dass personenbezogene Daten missbräuchlich verwendet werden könnten, einen immateriellen Schaden darstellen. Auch insoweit muss die betroffene Person aber nachweisen, dass der Verstoß für sie tatsächlich negative Folgen gehabt habe und dass diese einen immateriellen Schaden iSv Art. 82 DS-GVO darstellen. Insoweit hat das angerufene Gericht zu prüfen, ob die Befürchtung einer missbräuchlichen Verwendung der personenbezogenen Daten unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann. Auch der Europäische Gerichtshof bezieht sich auf die im Erwägungsgrund Nr. 85 der DS-GVO genannten Beispiele, welche unter anderem „Verlust der Kontrolle über ihre personenbezogenen Daten“, „Identitätsdiebstahl oder -betrug“ und „unbefugte Aufhebung der Pseudonymisierung“ aufführen. Hierbei ist es nach der bestehenden Rspr. des EuGH nicht erforderlich, dass eine Erheblichkeitsschwelle oder ein gewisser Grad der Schwere erreicht werden muss. Allerdings muss weiterhin ein Schaden vorgetragen werden. Dies ist der Fall, wenn die Befürchtung einer negativen Folge zur Überzeugung des angerufenen Gerichtes und im Hinblick auf die betroffene Person als begründet angesehen werden kann. Der EuGH unterstreicht ausdrücklich, dass die „bloße Behauptung einer Befürchtung ohne nachgewiesene negative Folgen daher nicht zu einem Schadensersatz nach dieser Vorschrift führen“ kann. |
| NEU LG Bochum Urt. v. 4.11.2024 – I-1 O 157/24 | 0 EUR Es besteht kein Anspruch auf immateriellen Schadensersatz aus Art. 82 DS-GVO. Es liegt bereits kein Verstoß gegen Normen der DS-GVO vor. Die Übermittlung der Daten an die S. war rechtmäßig. Es liegt jedenfalls der Rechtfertigungsgrund des Art 6 Abs. 1 lit. f DS-GVO vor. Nur ergänzend ist darauf hinzuweisen, dass auch kein Schaden vorliegt. Die Ausführungen in der Klageschrift sind insoweit oberflächlich und werden wortgleich in vielen anderen Verfahren verwendet. Sie lassen jede individuelle Schilderung der psychischen Verfassung des Kl. vermissen. Solche Schilderungen wären in Anbetracht des Umstands, dass ein erhebliches Schmerzensgeld iHv 5000 EUR für angemessen gehalten wird, jedoch zu erwarten gewesen. Die rein vorsorglich durchgeführte Anhörung des Kl. belegte ebenfalls keinen Schadenseintritt. Der Kl. schilderte allgemeine Sorgen, da man nicht wisse, was mit den der S. übermittelten Daten geschehe. Er mache sich Sorgen, dass er ggf. einen beabsichtigten Kredit für eine Haussanierung nicht erhalten werde, ohne erläutern zu können, warum die Übermittlung von Positivdaten seine Kreditwürdigkeit verschlechtern könnte. Auf den Vorhalt der Beklagtenvertreterin, dass die S. die Positivdaten bzgl. von Mobilfunkverträgen bereits wieder gelöscht habe, äußerte der Kl., er mache sich trotzdem Sorgen, könne aber nicht sagen, warum. Dies reicht nicht aus, um den Eintritt eines immateriellen Schadens zu belegen. |
| NEU LG Regensburg Urt. v. 4.11.2024 - 72 O 72/24 KOIN | 0 EUR Der Kl. hat keinen Anspruch auf Ersatz eines immateriellen Schadens aus Art. 82 Abs. 1 DS-GVO. Der Kl. konnte in seiner persönlichen Anhörung nicht bestätigen, dass er das Datenschutzmerkblatt erhalten hat. Aufgrund des Zeitablaufs wisse er es nicht mehr. Ob der Kl. eine Einwilligung iSv Art. 6 Abs. 1 lit. a DS-GVO erteilt hätte, selbst wenn er das Datenschutzmerkblatt zur Kenntnis genommen haben sollte, kann vorliegend dahinstehen. Denn das Gericht ist der Ansicht, dass die Betrugsprävention ein legitimes Interesse für die Verarbeitung von Daten nach Art. 6 Abs. 1 lit. f DS-GVO darstellt, da diese in Erwägungsgrund 47 ausdrücklich genannt wird. Es kann letztlich aber dahinstehen, ob ein Verstoß der Bekl. gegen Art. 5 und 6 DS-GVO überhaupt vorliegt. Denn die Klagepartei hat nicht bewiesen, dass ihr tatsächlich ein immaterieller Schaden entstanden ist. Für den – hier geltend gemachten – immateriellen Schadensersatz gelten dabei die im Rahmen von § 253 BGB entwickelten Grundsätze; die Ermittlung obliegt dem Gericht nach § 287 ZPO. Es können für die Bemessung die Kriterien des Art. 83 Abs. 2 DS-GVO herangezogen werden, zB die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie die betroffenen Kategorien personenbezogener Daten. Zu berücksichtigen ist auch, dass die beabsichtigte abschreckende Wirkung nur durch für den Anspruchsverpflichtenden empfindliche Schmerzensgelder erreicht wird, insbesondere wenn eine Kommerzialisierung fehlt. Ein genereller Ausschluss von Bagatellfällen ist damit nicht zu vereinbaren. Die Pflicht zur Erstattung immaterieller Schäden ist daher nicht auf schwere Schäden beschränkt. Bestätigt wurde dies jüngst durch eine Entscheidung des EuGH, wonach der Ersatz eines immateriellen Schadens iSd Art. 82 Abs. 1 DS-GVO nicht davon abhängig gemacht werden kann, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat. Nach den Erwägungsgründen der europäischen Grundrechtscharta ist der Schadensbegriff weit auszulegen (s. Erwägungsgrund Nr. 146, auch wenn er in der DS-GVO nicht näher definiert wird). Schadensersatzforderungen sollen abschrecken und weitere Verstöße unattraktiv machen. Darüber hinaus sollen die betroffenen Personen einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden haben. Dabei wird vor allem die abschreckende Wirkung des Schadensersatzes betont, welche insbesondere durch seine Höhe erzielt werden soll. Nach den Erwägungsgründen Nr. 75 kann ein Nichtvermögensschaden insbesondere durch Diskriminierung, Identitätsdiebstahl oder -betrug, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden persönlichen Daten oder gesellschaftliche Nachteile eintreten. Ein genereller Ausschluss von Bagatellschäden ist im Lichte dieser Erwägungsgründe nicht vertretbar. Dies wird auch aus Art. 4 Abs. 3 AEUV abgeleitet, der die Mitgliedsstaaten dazu anhält, Verstöße wirksam mit Sanktionen zu belegen, denn nur so könne man eine effektive Durchsetzbarkeit des EU-Rechts und damit auch der DS-GVO erzielen. Allein eine etwaige Verletzung des Datenschutzrechts als solche begründete allerdings nicht bereits für sich gesehen einen Schadensersatzanspruch für betroffene Personen. Die Verletzungshandlung muss in jedem Fall auch zu einer konkreten Verletzung von Persönlichkeitsrechten der betroffenen Personen geführt haben. Die Verletzung der Vorschriften der DS-GVO ist nicht mit einem Schadenseintritt gleichzusetzen. Es ist zwar keine schwere Verletzung des Persönlichkeitsrechts erforderlich. Andererseits ist aber auch weiterhin nicht für jede im Grunde nicht spürbare Beeinträchtigung bzw. für jede bloß individuell empfundene Unannehmlichkeit ein Schmerzensgeld zu gewähren. Vielmehr muss dem Betroffenen ein spürbarer Nachteil entstanden sein und es muss um eine objektiv nachvollziehbare, tatsächlich erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen gehen. Diese Grundsätze erfuhren Bestätigung durch eine Entscheidung des EuGH; danach reicht der bloße Verstoß gegen Bestimmungen der DS-GVO nicht aus, um einen Schadensersatzanspruch zu begründen. Denn die gesonderte Erwähnung eines „Schadens“ und eines „Verstoßes“ in Art. 82 Abs. 1 DS-GVO wäre überflüssig, wenn der Gesetzgeber davon ausgegangen wäre, dass ein Verstoß gegen die Bestimmungen der DS-GVO für sich allein in jedem Fall ausreichend wäre, um einen Schadensersatzanspruch zu begründen. Gemessen an diesen Grundsätzen hat der Kl. schon keine ausreichend spürbare Beeinträchtigung von persönlichen Belangen dargelegt, für die Anhaltspunkte bestehen, dass sie kausal auf die hier streitgegenständliche Weitergabe der Daten des TK-Vertrags durch die Bekl. zurückzuführen sein könnten. Die Klagepartei trägt vor, dass ein Kontrollverlust hinsichtlich ihrer personenbezogenen Daten eingetreten sei, der als erheblicher immaterieller Schaden iSd § 82 DS-GVO anzusehen sei. Die Positivdaten hätten einen konkreten Einfluss auf den Bonitätsscore des Kl. genommen. Die Übermittlung sei rechtswidrig erfolgt. Das LG Lüneburg (Urt. v. 14.7.2020 - 9 O 145/19 [= ZD 2021, 275]) habe in der unzulässigen Meldung eines (anderen) Kl. bei der S. einen Kontrollverlust und ein „Bloßgestelltsein“ gesehen. Das Gericht habe es dabei bereits ausreichen lassen, dass dem Kl. durch einen Eintrag „mittelbar eine potenzielle Stigmatisierung“ drohe. Kausalität sei gegeben wegen Mitursächlichkeit des Schadens. Die Beweislast trage die Bekl. unter Bezugnahme auf Erwägungsgrund 146 S. 2 DS-GVO. Diese Ausführungen sind zu pauschal und lassen nicht erkennen, inwiefern der behauptete Kontrollverlust einen Schaden darstellen soll, welcher über eine bloße negative Folge hinausreicht. Ferner kann im Ergebnis dahinstehen, ob neben Art. 82 Abs. 1 DS-GVO auch nationales Recht anwendbar ist, oder das nationale Recht von den europarechtlichen Vorschriften der DS-GVO verdrängt wird. |
| NEU LG Stralsund Urt. v. 4.11.2024 – 6 O 7/24 | 0 EUR Ein Schadensersatzanspruch gem. Art. 82 Abs. 1 DS-GVO wird nicht allein dadurch begründet, dass ein Verstoß gegen die DS-GVO vorliegt. Vielmehr muss der Anspruchsteller das Vorliegen eines Schadens nachweisen, auch wenn ein immaterieller Schaden keinen bestimmten Grad an Erheblichkeit erreichen muss. Dabei kann auch die durch einen Datenschutzverstoß hervorgerufene Befürchtung des Betroffenen, dass seine Daten in Zukunft aufgrund des Verstoßes missbräuchlich verwendet werden könnten, als Schaden anzusehen sein, sofern diese Befürchtung unter den Umständen des Einzelfalls als begründet angesehen werden kann. Dass er einen materiellen Schaden erlitten habe, hat der Kl. nicht behauptet. Den behaupteten immateriellen Schaden hat der Kl. nicht nachgewiesen. Soweit der Kl. schriftsätzlich vorgetragen hat, die streitgegenständliche Weiterleitung von Positivdaten an die S. habe bei ihm die ständige Angst vor unangenehmen Rückfragen, ein allgemeines Gefühl des Unwohlseins bis zur schieren Existenzsorge und ein Gefühl der Ohnmacht zur Folge gehabt, ist die Richtigkeit dieses Sachvortrags nicht bewiesen. Einer Parteivernahme hat die Bekl. widersprochen. Eine informelle Anhörung des Kl. war nicht möglich, da dieser zur mündlichen Verhandlung nicht erschienen ist. |
| NEU LG Bielefeld Urt. v. 31.10.2024 – 6 O 6/24 | 0 EUR Ein Anspruch aus Art. 82 Abs. 2, Abs. 1 DS-GVO besteht vorliegend nicht. Unabhängig von einem etwaigen Vorliegen von Verstößen gegen die DS-GVO hat der Kl. einen erlittenen immateriellen Schaden jedenfalls bereits nicht ansatzweise schlüssig dargelegt. Nach der überzeugenden Rspr. des OLG Hamm sind die von der DS-GVO verwandten Begriffe „immaterieller“ und „materieller“ Schaden unionsautonom auszulegen und setzen nach dem Wortlaut der Norm, der Systematik und Telos des Art. 82 Abs. 2, Abs. 1 DS-GVO sowie der Art. 77-84 DS-GVO und Erwägungsgrund 75, 85 und 146 DS-GVO einen über den schlichten Verstoß gegen die DS-GVO hinausgehenden Schaden voraus. Ein solcher Schaden setzt jedoch – entgegen möglicherweise bestehendem innerstaatlichen Recht – nach Wortlaut, Erwägungsgrund 10, 146 DS-GVO und telos nicht voraus, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat. Dies bedeutet jedoch wiederum nicht, dass die aus dem Datenschutzverstoß resultierenden negativen Folgen per se einen haftungsbegründenden Schaden darstellen. Der EuGH führt hierzu explizit aus, dass diese Auslegung nicht bedeutet, „dass eine Person, die von einem Verstoß gegen die DS-GVO betroffen ist, der für sie negative Folgen gehabt hat, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden iSv Art. 82 dieser Verordnung darstellen“. Entsprechend stellt der EuGH auch darauf ab, dass die „konkret erlittenen Schäden“ vollständig ausgeglichen werden müssen. Die Annahme eines solchen konkreten Schadens setzt in unionsautonomer Auslegung nach ständiger Rspr. des EuGH voraus, dass dieser „tatsächlich und sicher“ besteht. Diese Ansicht findet auch in den Erwägungsgründen der DS-GVO Stütze. Ein Kontrollverlust durch die Weitergabe durch die Bekl., betraf als generelles Risiko der (unrechtmäßigen) Verarbeitung alle Personen, die Vertragsbeziehungen mit der Bekl. unterhielten, gleichermaßen. Einem solchen generellen Risiko soll im Hinblick auf die Zielsetzung der DS-GVO, den unionsweiten Schutz personenbezogener Daten sicherzustellen (vgl. Erwägungsgrund 10 DS-GVO), durch die Minimierung der Verarbeitungsrisiken entgegengewirkt werden, um ein möglichst hohes Schutzniveau zu erreichen. Dem Einzelnen die Kontrolle über seine Daten möglichst umfassend zu belassen bzw. dies zu gewährleisten, ist hierfür von grundlegender Bedeutung. Realisiert sich das generelle Risiko, dessen Eintritt verhindert werden soll, kommt es zwangsläufig zum Kontrollverlust. Daraus allein resultiert aber deshalb noch kein tatsächlicher Schaden im konkreten Einzelfall, wenn – wie hier - dieser Kontrollverlust automatisch bei jedem vom festgestellten Verstoß gegen die DS-GVO Betroffenen in Form der Offenlegung / Zugänglichmachung vorliegt. Der Kontrollverlust war lediglich die zwangsläufige und generelle Folge. Daraus folgt, dass es über den Kontrollverlust als Realisierung des generellen Risikos hinaus eines tatsächlichen materiellen oder immateriellen Schadens im konkreten Einzelfall bedarf. Damit deckt sich, dass der völlige Kontrollverlust als solcher nicht per se ein immaterieller Schaden ist; denn stellt ein unkontrollierter Datenverlust im konkreten Einzelfall wegen des Werts der Daten eine in Geld messbare Einbuße dar, so ist dies unzweifelhaft ein Vermögensschaden. Gemessen an diesen Voraussetzungen hat der Kl. bereits nicht schlüssig dargelegt, einen über die reinen - behaupteten - Datenschutzverstöße und den damit mittelbar einhergehenden - behaupteten - Kontrollverlust hinausgehenden immateriellen Schaden in Form einer persönlichen / psychologischen Beeinträchtigung erlitten zu haben. Auf das Vorliegen innerer, dem Beweis nur eingeschränkt zugänglicher Tatsachen kann nur mittelbar aus in der Regel auf äußeren Tatsachen basierenden Indizien geschlossen werden. Mit Blick auf die subjektiven Folgen eines Datenschutzverstoßes im Einzelfall ist es deshalb ausreichend, aber auch erforderlich, dass der Betroffene Umstände darlegt, in denen sich seine erlebten Empfindungen widerspiegeln, und dass nach der Lebenserfahrung der Datenschutzverstoß mit seinen Folgen Einfluss auf das subjektive Empfinden hat. |
| NEU LG Mönchengladbach Urt. v. 31.10.2024 – 12 O 10/24 | 0 EUR Der Klagepartei steht kein Anspruch auf immateriellen Schadensersatz iHv 5.000 EUR gem. Art. 82 DS-GVO zu. Die Voraussetzungen liegen nicht vor. Es kann dahinstehen, ob ein Verstoß gegen die Bestimmungen der DS-GVO, namentlich gegen Art. 6 DS-GVO, vorliegt. Denn das Gericht kann nicht feststellen, dass der Kl. einen kausal auf die behaupteten Verstöße zurückzuführenden Schaden erlitten hat. Die Darlegungs- und Beweislast für die haftungsbegründenden Voraussetzungen trägt nach den allgemeinen zivilprozessualen Grundsätzen der Anspruchsberechtigte, hier der Klagepartei. Ein auf Datenschutzverstöße der Bekl. zurückzuführender immaterieller Schaden ist bereits nicht hinreichend dargelegt. Eine Beweislastumkehr ist in Art. 82 Abs. 3 ausdrücklich nur bezüglich des Gesichtspunkts des Verschuldens vorgesehen. Nach dem ausdrücklichen Wortlaut der Vorschrift muss der Schaden „erlitten“ werden, woraus sich ergibt, dass dieser tatsächlich entstanden sein muss und nicht lediglich befürchtet werden darf. Läge bei jedem DS-GVO-Verstoß automatisch ein immaterieller Schaden vor, wäre der Schaden als Anspruchsvoraussetzung überflüssig. Zwar ist der Begriff des Schadens nach dem Erwägungsgrund 146 S. 3 weit auszulegen, sodass die Betroffenen einen wirksamen Ersatz erhalten. Aber auch zur Geltendmachung eines Anspruchs auf Ersatz immaterieller Schäden genügt die Behauptung eines Verstoßes gegen die Vorschriften der DS-GVO ohne Vorbringen zu einem hierdurch entstandenen immateriellen Schaden nicht. Es bedarf vielmehr der Darlegung eines konkreten (auch immateriellen) Schadens. Der EuGH hat am 04.05.2023 entschieden, dass Art. 82 DS-GVO dahin auszulegen ist, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadensersatzanspruch zu begründen. Es geht aus dem Wortlaut von Art. 82 Abs. 1 DS-GVO klar hervor, dass das Vorliegen eines „Schadens“ eine der Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadensersatzanspruch darstellt, ebenso wie das Vorliegen eines Verstoßes gegen die DS-GVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind. Daher kann nicht davon ausgegangen werden, dass jeder Verstoß gegen die Bestimmungen der DS-GVO für sich genommen den Schadensersatzanspruch der betroffenen Person iSv Art. 4 Nr. 1 dieser Verordnung eröffnet. Eine solche Auslegung liefe dem Wortlaut von Art. 82 Abs. 1 DS-GVO zuwider. Ein abstrakter „Kontrollverlust“ allein oder die Auflistung generell-abstrakter Gefahren ohne konkrete Darlegung persönlicher oder psychologischer Beeinträchtigungen reichen allein für einen immateriellen Schaden iSd Art. 82 DS-GVO nicht aus. Für eine darüberhinausgehende Beeinträchtigung trägt der Anspruchsteller die Beweislast. Nach diesen Maßstäben wird ein kausaler Schaden von der Klagepartei bereits nicht einmal im Ansatz plausibel und damit schlüssig dargelegt. Grds. können zwar auch Ängste, Sorgen und Stress einen immateriellen Schaden darstellen. Die Klagepartei beruft sich allerdings pauschal darauf, sie habe einen erheblichen Kontrollverlust über ihre Daten erlitten und sei in einem Zustand großen Unwohlseins und großer Sorge, was sie bereits nicht weiter konkretisiert. Die Ausführungen in der Klageschrift beschränken sich auf textbausteinartige und formelhafte Äußerungen ohne konkreten Bezug zum Kl. So wird in der Klageschrift allgemein auf die Gefühle von Kontrollverlust, Sorge, Beunruhigung, Angst, Unwohlsein, Stress und Unruhe verwiesen, ohne dass näher ausgeführt wird, wie sich diese Gefühle konkret bei dem Kl. geäußert haben sollen und welche genauen Folgen dies ggf. für sein Leben im konkreten Einzelfall haben soll. Dem Gericht ist überdies aus Parallelverfahren bekannt, dass die Prozessbevollmächtigten des Kl. in allen Verfahren gegen die Bekl. exakt dieselben Sorgen, Ängste usw. durch die Nutzung von Textbausteinen schildern. Es war für das Gericht bei Durchlesen der Klageschrift auch schon nicht ersichtlich, inwieweit die Weitergabe von so genannten Positivdaten, nämlich, dass der Kunde einen Mobilfunkvertrag abgeschlossen hat, zu einem immateriellen Schaden führen soll. Da bereits die Voraussetzungen des Schadensersatzanspruchs aus Art. 82 DS-GVO, mangels konkreter Darlegung eines Schadens, nicht gegeben sind, kommt ein hergeleiteter Unterlassungsanspruch aus dieser Norm nicht in Betracht. |
| NEU LG Dortmund Urt. v. 30.10.2024 – 21 O 21/24 | 0 EUR Dem Kl. steht kein Anspruch auf Ersatz eines immateriellen Schadens gegen die Bekl. nach Art. 82 Abs.1 DS-GVO zu. Vorliegend scheidet ein Anspruch des Kl. ungeachtet der Frage, ob der Bekl. Verstöße gegen die DS-GVO iSd Art. 82 Abs. 1 DS-GVO vorzuwerfen sind, aus, weil der Kl. nach dem Ergebnis der Anhörung nicht hat nachweisen können, dass ihm ein immaterieller Schaden entstanden ist. Nach der Entscheidung des EuGH (Urt. v. 4.5.2023 - C-300/21 [= ZD 2023, 446 mAnm Mekat/Ligocki – Österreichische Post]) ist Art. 82 Abs. 1 DS-GVO dahin auszulegen, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadensersatzanspruch zu begründen. Vielmehr muss der Kl. einen konkreten immateriellen oder materiellen Schaden darlegen und beweisen, ebenso wie das Vorliegen eines Verstoßes gegen die DS-GVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind. Die nationalen Gerichte haben bei der Festsetzung der Höhe des Schadensersatzes die innerstaatlichen Vorschriften der einzelnen Mitgliedstaaten über den Umfang der finanziellen Entschädigung anzuwenden, sofern die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität beachtet werden. Erwägungsgrund 146 S. 3 DS-GVO spricht für eine weite Auslegung des Begriffs des Schadens in Art. 82 Abs. 1 DS-GVO. Damit ist etwa eine Erheblichkeitsschwelle in dem Sinne, dass immaterielle Bagatellschäden nicht ausgeglichen werden müssen, nicht zu vereinbaren. Mit Urt. v. 14.12.2023 (EuGH Urt. v. 14.12.2023 - C-340/21 [= ZD 2024, 150 mAnm Ligocki/Sosna = MMR 2024, 231 mAnm Kohl/Rothkegel]) hat der EuGH die Anforderungen an einen immateriellen Schaden weiter dahingehend konkretisiert, dass der Begriff „immaterieller Schaden" iSd Bestimmung keine Situationen umfasst, in denen sich eine betroffene Person nur auf ihre Befürchtung beruft, dass ihre Daten in Zukunft von Dritten missbräuchlich verwendet werden. Vielmehr muss eine Person, die von einem Verstoß gegen die DS-GVO betroffen ist, der für sie negative Folgen gehabt hat, nachweisen, dass diese Folgen einen immateriellen Schaden iSv Art. 82 DS-GVO darstellen. Insb. muss das angerufene nationale Gericht, wenn sich eine Person, die auf dieser Grundlage Schadensersatz fordert, auf die Befürchtung beruft, dass ihre personenbezogenen Daten in Zukunft aufgrund eines solchen Verstoßes missbräuchlich verwendet werden, prüfen, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann. Nur unter diesen Prämissen kann ein „Kontrollverlust" einen immateriellen Schaden iSv Art. 82 Abs. 1 DS-GVO darstellen. Darüber hinaus ist zu beachten, dass ein Kl., der sich auf psychische Folgen, die als solche nur von ihm selbst wahrgenommen werden können beruft, konkrete Indizien vortragen und unter Beweis stellen muss, die eine solche psychische Beeinträchtigung seiner Person stützen können. Die bloße Bekundung des Betroffenen, einen immateriellen Schaden in Form belastender Gefühle erlitten zu haben, reicht für einen Ersatzanspruch nicht aus, vielmehr ist das Vorliegen objektiver Beweisanzeichen zu fordern. Nach diesen Maßgaben hat der Kl. vorliegend einen immateriellen Schaden, der auf der streitgegenständlichen Datenübermittlung beruht, nicht nachweisen können. Soweit der Kl. schriftsätzlich behauptet, dass sich bei ihm, nach dem Lesen der S.-Auskunft vom 23.08.2023, unmittelbar ein Gefühl des Kontrollverlustes eingestellt habe und er seitdem mit der ständigen Angst vor - mindestens unangenehmen Rückfragen in Bezug auf seine Bonität, sein Verhalten im Wirtschaftsverkehr oder was auch immer lebe, ist dies schon nicht nachvollziehbar. |
| NEU LG Wuppertal Urt. v. 30.10.2024 – 6 O 46/24 | 0 EUR Der Kl. hat gegen die Bekl. unter keinem rechtlichen Gesichtspunkt einen Anspruch auf Zahlung eines Schadensersatzes, insb. nicht aus Art. 82 Abs. 1 DS-GVO. Es liegt bereits kein rechtswidriger Verstoß gegen die DS-GVO vor. Die Übermittlung der in Rede stehenden Positivdaten an die S. durch die Bekl. erfolgte rechtmäßig iSv Art. 6 Abs. 1 S. 1 lit. f DS-GVO. Unabhängig vom Vorliegen eines Datenschutzverstoßes lässt sich auch nicht feststellen, dass der Kl. einen ersatzfähigen Schaden iSd Art. 82 Abs. 1 DS-GVO erlitten hätte. Der diesbezügliche Vortrag des Kl. ist unsubstantiiert und unzureichend. Nach den Erwägungsgründen der DS-GVO ist der Schadensbegriff weit auszulegen (s. Erwägungsgrund 146 DS-GVO). Allein eine unterstellte Verletzung des Datenschutzrechts als solche begründet allerdings nicht bereits für sich gesehen einen Schadensersatzanspruch für betroffene Personen. Die Verletzungshandlung muss in jedem Fall auch zu einer konkreten, nicht nur völlig unbedeutenden oder empfundenen Verletzung von Persönlichkeitsrechten der betroffenen Person geführt haben. In Erwägungsgrund 75 und 85 DS-GVO werden einige mögliche Schäden aufgezählt, darunter Identitätsdiebstahl, finanzielle Verluste, Rufschädigung, aber auch der Verlust der Kontrolle über die eigenen Daten sowie die Erstellung unzulässiger Persönlichkeitsprofile. Grds. können zwar zu einem konkreten immateriellen Schaden auch Ängste, Sorgen, Stress sowie Komfort- und Zeiteinbußen zählen, und eine Erheblichkeitsschwelle muss nicht erreicht bzw. überschritten sein. Allerdings ist für einen immateriellen Schaden eine spürbare tatsächliche Beeinträchtigung persönlichkeitsbezogener Belange von einigem Gewicht erforderlich. Es genügen gerade nicht schlichte Unannehmlichkeiten ohne ernsthafte Beeinträchtigung persönlichkeitsrelevanter Belange für einen solchen Schaden. Der Schaden ist zwar weit zu verstehen, er muss jedoch auch wirklich „erlitten“ (Erwägungsgrund 146 S. 6 DS-GVO), das heißt „spürbar“, objektiv nachvollziehbar, von gewissem Gewicht sein, um bloße Unannehmlichkeiten auszuschließen. Der Kl. ist in Bezug auf den Schaden darlegungs- und beweisbelastet. Eine Person, die Schadensersatz gem. Art. 82 DS-GVO verlangt, muss nachweisen, dass ihr durch den Verstoß gegen die Bestimmungen der DS-GVO ein materieller oder immaterieller Schaden entstanden ist. Ein Verstoß gegen die Verordnung reicht für sich genommen nicht aus, um einen Anspruch auf Schadensersatz nach dieser Bestimmung zu begründen, sondern die betroffene Person muss auch das Vorliegen eines durch diesen Verstoß verursachten Schadens nachweisen, ohne dass dieser Schaden jedoch einen gewissen Schweregrad erreichen müsste. Dabei reicht bereits die Befürchtung einer Person aus, dass ihre personenbezogenen Daten aufgrund eines Verstoßes gegen diese Verordnung an Dritte weitergegeben wurden, ohne dass nachgewiesen werden kann, dass dies tatsächlich der Fall war, um einen Schadensersatzanspruch zu begründen, sofern diese Befürchtung samt ihren negativen Folgen ordnungsgemäß nachgewiesen ist. Der Geschädigte muss die negativen Folgen, die ein Verstoß gegen die DS-GVO nach sich zieht, zumindest benennen und ggfs. auch nachweisen. Ein mit einer unrechtmäßigen Datenverarbeitung als negative Folge einhergehender bloßer Kontrollverlust trägt als solcher nicht die Annahme eines immateriellen Schadens iRe Anspruchs aus Art. 82 DS-GVO; vielmehr bedarf es einer konkret-individuellen Darlegung der über den Kontrollverlust hinausgehenden, kausal auf den Verstoß zurückzuführenden persönlichen Beeinträchtigungen. Gemessen an diesen Grundsätzen hat der Kl. das Vorliegen eines immateriellen Schadens bereits nicht hinreichend substantiiert dargelegt. Der nicht näher konkretisierte und von der Bekl. bestrittene Klagevortrag, bei dem Kl. habe sich ein Gefühl der Unsicherheit, des Kontrollverlustes und der großen Sorge, insb. auch über die eigene Bonität, eingestellt, und die Sorge Stromanbieter, Vermieter etc könnten ihn in der Zukunft ablehnen – steigere sich zu einer schieren Existenzsorge, genügt für die substantiierte und schlüssige Darlegung eines immateriellen Schadens nicht. |
| NEU LG Köln Urt. v. 29.10.2024 – 21 O 5/24 | 0 EUR Wie LG Köln Urt. v. 23.10.2024 – 17 O 3/24. |
| NEU LG Braunschweig Urt. v. 28.10.2024 – 9 O 2884/23 | 0 EUR Der Kl. hat gegen die Bekl. keinen Anspruch auf Zahlung eines immateriellen Schadensersatzes aus Art. 82 Abs. 1 DS-GVO oder aus anderem Rechtsgrund. Die Darlegungs- und Beweislast für den Pflichtverstoß, den Schaden und die Kausalität liegt beim Kl. In gewissen Umfang kann die Bekl. dabei eine sekundäre Darlegungslast treffen. Ein einen Anspruch nach Art. 82 DS-GVO begründender Verstoß der Bekl. gegen die DS-GVO liegt nicht vor. Die durch den Kl. beanstandete Übermittlung der streitgegenständlichen Vertragsdaten an die S. war gem. Art. 6 Abs. 1 S. 1 lit. f DS-GVO rechtmäßig. Nach der informatorischen Anhörung des Kl. in der mündlichen Verhandlung vom 24.10.2024 konnte sich das Gericht zudem keine Überzeugung dahingehend bilden, dass der Kl. einen kausal auf die behaupteten Verstöße zurückzuführenden Schaden erlitten hat. Nach der jüngsten Rspr. des EuGH (v. 4.5.23 - C-300/21 [= ZD 2023, 446 mAnm Mekat/Ligocki – Österreichische Post]) eröffnet nicht jeder „Verstoß“ gegen die Bestimmungen der DS-GVO für sich genommen den Schadensersatzanspruch der betroffenen Person iSV Art. 4 Nr. 1 dieser Verordnung. Eine solche Auslegung liefe dem Wortlaut von Art. 82 Abs. 1 DS-GVO zuwider. Der Ersatz eines immateriellen Schadens darf aber andererseits nicht von einer Erheblichkeitsschwelle abhängig gemacht werden. Der „immaterielle Schaden“ muss keine „Bagatellgrenze“ überschreiten, damit dieser Schaden ersatzfähig ist. In EuGH ZD 2023, 446 mAnm Mekat/Ligocki], Rn. 58 verweist der EuGH zustimmend auf Nrn. 39, 49 und 53 der Schlussanträge des Generalanwalts. Ein „Strafschadensersatz“ sei nicht erforderlich. Es genüge, wenn „der konkret erlittene Schaden in vollem Umfang ausgeglichen“ wird. Es ist ein tatsächlich erlittener Schaden erforderlich. Ein abstrakter Kontrollverlust ist nicht ausreichend. |
| NEU LG Halle/S. Urt. v. 28.10.2024 – 4 O 180/24 | 0 EUR Der Kl. hat keinen Anspruch auf Zahlungen, insb. nicht aus Art. 82 Absätze 1 und 2 DS-GVO. Selbst wenn es Verstöße der Bekl. gegen die Vorgaben der DS-GVO im Zuge der Datenverarbeitung der Bekl. geben würde (was das LG dahingestellt bleiben lässt), fehlt es jedenfalls an einem für einen Schadensersatzanspruch erforderlichen Schaden. Zwar muss ein Schaden nicht "erheblich" sein, um den Anforderungen der Norm zu genügen. Für einen Schaden iSd Norm genügt aber eben nicht schon allein ein Verstoß gegen die Vorgaben und die implizit damit immer verbundenen abstrakten Risiken für den Datenschutz der davon betroffenen Personen. Ein Schaden ist damit nicht allein schon das Risiko eines Schadens und auch nicht die Sorge, es könne irgendwann einmal zu einem Schaden kommen. Hier hält das LG schon nicht für plausibel dargelegt, worin hier eine ernstliche Beeinträchtigung bestehen soll. Es ist bereits nicht ersichtlich, welche Inhalte denn eine Auskunft der Bekl. an die S. Holding AG über den zwischen den Parteien geschlossenen Vertrag ernsthafte Sorgen des Kl. ausgelöst haben soll, welche der Zuordnung als ernsthafter Schaden zugänglich sein soll. Gerade bei "Allerweltsdaten" wie darüber, dass ein Mobiltelefonvertrag existiert, liegt derart fern, dass aus der Übermittlung von Vertragsdaten kurz nach Vertragsschluss eine auch nur ernstliche Sorge entstanden ist. Vor diesem Hintergrund trägt bereits der Tatsachenvortrag des Kl. nicht die Annahme eines Schadens. Unabhängig dagegen spricht als Indiz auch deutlich dagegen, dass der Kl. ernstliche Sorgen über eine ihn beeinträchtigende Datenweitergabe der Bekl. hat, dass er sein Vertragsverhältnis mit der Bekl. weiterführt. Erst recht gilt dies, nachdem die S. Holding AG veröffentlicht hatte, Telekommunikationsdaten zu löschen. Darauf, ob die Bekl. berechtigt gewesen war, Daten an die S. Holding AG zu übermitteln, kommt es schon deshalb nach der materiell-rechtlichen Würdigung des LG gar nicht an. |
| NEU LG Stuttgart Urt. v. 24.10.2024 – 12 O 170/23 | 0 EUR Die Klagepartei hat keinen Anspruch gem. Klageantrag zu 6 auf eine angemessene Entschädigung in Geld bzw. Ersatz eines immateriellen Schadens iHv mindestens 5.000 EUR gem. Art. 82 Abs. 2, Abs. 1 DS-GVO, weil sie dessen Vorliegen nicht schlüssig dargelegt hat. Gleiches gilt für die Verursachung eines vermeintlichen immateriellen Schadens durch die nicht der DS-GVO entsprechende Datenverarbeitung seitens der Bekl. Gemäß Art. 82 Abs. 1 DS-GVO haftet der Verantwortliche für Schäden wegen „Verstößen gegen diese Verordnung“. Grund und damit unabdingbare Voraussetzung der Haftung ist eine Pflichtverletzung, wenngleich es auf einen Schutznormcharakter der verletzten Vorschrift nicht ankommt, der Begriff der Pflichtverletzung also denkbar weit gefasst ist und letztlich jede Verletzung materieller oder formeller Bestimmungen der Verordnung einschließt. Ein Verstoß gegen Art. 13 DS-GVO kann einen Schadensersatzanspruch nach Art. 82 DS-GVO nach sich ziehen. Der deliktische Schadensersatzanspruch gleicht nicht nur einen erlittenen Schaden aus. Vielmehr erfüllt er darüber hinaus generalrepressive und -präventive Zwecke. Die Haftung sanktioniert mittelbar Verstöße gegen die DS-GVO, beugt präventiv weiteren Verstößen vor, schreckt ab und schafft damit einen zusätzlichen Anreiz für Sicherungsmaßnahmen der Verantwortlichen. Der tatbestandsbegründende Verstoß gegen die DS-GVO ist jedoch weiterhin vom Anspruchssteller vorzutragen und ggf. zu beweisen. Der Verstoß alleine reicht nicht aus. Es muss auch ein Schaden eingetreten sein, der schlüssig darzulegen ist. Ein konkretisierter materieller oder immaterieller Schaden der Klagepartei ist weder vorgetragen worden, noch sonst ersichtlich. Es obliegt der Klagepartei, einen über die Datenschutzverstöße und über den damit mittelbar einhergehenden Kontrollverlust hinausgehenden immateriellen Schaden in Form einer persönlichen / psychologischen Beeinträchtigung aufgrund der Datenschutzverstöße und des Kontrollverlustes darzulegen. Das von der Klagepartei angeführte unangenehme Gefühl rechtfertigt als solcher keine Entschädigungsverpflichtung. Die Rspr. zu den Scraping Fällen ist auf vorliegende Kasuistik insoweit übertragbar, als beiden gemeinsam ist, dass Daten - jedenfalls aus klageparteilicher Sicht ungewollt - weiter geflossen sein sollen. Zu berücksichtigen ist hierbei jedoch, dass es sich bei den Scraping Vorwürfen um weitergehende personenbezogene Daten wie Name, Geschlecht, Emailadresse und weitere Kontaktdaten handelte und der Datenabfluss unstreitig war, während in casu die behauptete Datenverarbeitung mangels Einwilligung der Klagepartei gerade nicht erfolgt sein soll und die Klagepartei sich insb. durch das Geschäftsmodell der Bekl. im Allgemeinen bedroht fühlt. Das OLG Hamm führt hierzu folgendes aus (Urt. v. 15.8.2023 - 7 U 19/23 [=ZD 2024, 36]). Ein Kontrollverlust durch Scraping, also bei unbefugter Offenlegung / unbefugtem Zugänglichmachen, betraf als generelles Risiko der (unrechtmäßigen) Verarbeitung alle Personen, deren Daten ohne Rechtfertigungsgrund suchbar waren, gleichermaßen (vgl. allgemein Erwägungsgrund 7 S. 2 DS-GVO). Einem solchen generellen Risiko soll im Hinblick auf die Zielsetzung der DS-GVO, den unionsweiten Schutz personenbezogener Daten sicherzustellen (vgl. Erwägungsgrund 10 DS-GVO), durch die Minimierung der Verarbeitungsrisiken entgegengewirkt werden, um ein möglichst hohes Schutzniveau zu erreichen. Dem Einzelnen die Kontrolle über seine Daten möglichst umfassend zu belassen bzw. dies zu gewährleisten, ist hierfür von grundlegender Bedeutung. Realisiert sich das generelle Risiko, dessen Eintritt verhindert werden soll, kommt es zwangsläufig zum Kontrollverlust. Daraus allein resultiert aber deshalb noch kein tatsächlicher Schaden im konkreten Einzelfall, wenn dieser automatisch bei jedem vom festgestellten Verstoß gegen die DS-GVO Betroffenen in Form der Offenlegung / Zugänglichmachung von Daten eintritt. Der Kontrollverlust in Form des unkontrollierten Abrufs der Daten durch die Scraper und der anschließenden Veröffentlichung des Leak-Datensatzes im Darknet waren lediglich die zwangsläufige und generelle Folge der unrechtmäßigen bzw. unzureichend geschützten Datenverarbeitung durch die Bekl. Daraus folgt, dass es über den Kontrollverlust als Realisierung des generellen Risikos hinaus eines tatsächlichen materiellen oder immateriellen Schadens im konkreten Einzelfall bedarf. Damit deckt sich, dass der völlige Kontrollverlust als solcher nicht per se ein immaterieller Schaden ist. Denn stellt ein unkontrollierter Datenverlust im konkreten Einzelfall wegen des Werts der Daten eine in Geld messbare Einbuße dar, so ist dies unzweifelhaft ein Vermögensschaden. Dem schließt sich die Kammer an. Eine andere Auslegung würde zu einem dem deutschen Zivilrecht unbekannten Strafschadensersatzanspruch führen. Wäre dies vom deutschen Gesetzgeber gewollt gewesen, hätte das entsprechend im Zuge der Umsetzung der DS-GVO im deutschen Recht vorgesehen werden müssen. Das ist nicht erfolgt. Das OLG Hamm hielt mit Beschluss vom 21.12.2023 - I-7 U 137/23 mit Blick auf die Entscheidung des EuGH v. 14.12.2023 - C-340/21 [= ZD 2024, 150 mAnm Ligocki/Sosna = MMR 2024, 231 mAnm Kohl/Rothkegel] und das Urt. des OLG Stuttgart v. 22.11.2023 - 4 U 20/23 [= ZD 2024, 60 (Ls.)] daran fest, dass iRe Anspruchs aus Art. 82 DS-GVO ein mit einer unrechtmäßigen Datenverarbeitung als negative Folge einhergehender Kontrollverlust als solcher die Annahme eines immateriellen Schadens nicht trägt. Bei persönlichen / psychologischen Beeinträchtigungen handelt es sich, soweit keine krankhaften Störungen behauptet werden, um innere Vorgänge. Auf das Vorliegen innerer, dem Beweis nur eingeschränkt zugänglicher Tatsachen kann in der Regel nur mittelbar aus äußeren Tatsachen basierenden Indizien geschlossen werden. Mit Blick auf die subjektiven Folgen eines Datenschutzverstoßes im Einzelfall ist es deshalb ausreichend, aber auch erforderlich, dass der Betroffene Umstände darlegt, in denen sich seine erlebten Empfindungen widerspiegeln und dass nach der Lebenserfahrung der Datenschutzverstoß mit seinen Folgen Einfluss auf das subjektive Empfinden hat. Der Vortrag der Klagepartei zu dem ihr entstandenen Schaden erschöpft sich jedoch in Formelsätzen, die den Kontrollverlust mit den damit verbundenen Ängsten in den Mittelpunkt stellen. Alleine die pauschalen Hinweise der Klagepartei reicht für die Darlegung eines individuellen Schadens aber nicht aus. Der weitere Einwand der Klagepartei, dass eine Offenlegung des Surfverhaltens der Klagepartei letztlich zu einer Vertiefung des Schadens führe, da dann die Bekl. weitere Informationen über die Klagepartei erhalte, vermag nicht zu überzeugen. Wenn weder das Surfverhalten noch die individuelle Betroffenheit konkretisiert und damit auch individualisiert werden, sind letztlich alle Internetnutzer gleichermaßen betroffen. Darüber hinaus fehlt es an einer konkreten Darlegung der Ursächlichkeit des behaupteten Pflichtenverstoßes der Bekl. und dem behaupteten Schaden der Klagepartei. Bei der Kausalität zwischen der Datenverarbeitung unter Verstoß gegen die DS-GVO und dem (hier nunmehr unterstellten) Schaden in Form persönlicher / psychologischer Beeinträchtigungen durch den Kontrollverlust geht es entscheidend darum, ob die persönlichen / psychischen Folgen, die bei der Klagepartei eingetreten sind, auf die Datenschutzverstöße der Bekl. zurückzuführen sind und zwar entweder unmittelbar durch die negative Folge eines Kontrollverlustes oder erst weiter mittelbar durch verdächtige Kontaktversuche etc Auch insoweit trifft die Klagepartei die volle Darlegungs- und Beweislast. Es gilt für die hier betroffene Frage der haftungsbegründenden Kausalität der Beweismaßstab des § 286 ZPO. Dieser erfordert keine absolute oder unumstößliche Gewissheit und auch keine an Sicherheit grenzende Wahrscheinlichkeit, sondern nur einen für das praktische Leben brauchbaren Grad von Gewissheit, der Zweifeln Schweigen gebietet. Die Klagepartei hat gerade nicht substantiiert vorgetragen, dass sie Webseiten Dritter besucht hat und in der Folge von diesen Webseiten ungewollt personalisierte Werbung oder sonstige Ansprachen erhalten hat. |
| NEU LG Itzehoe Urt. v. 24.10.2024 – 10 O 3/24 | 0 EUR Der Klageantrag ist unbegründet, da der Klagepartei kein Anspruch auf Ersatz eines (immateriellen) Schadens gem. Art. 82 Abs. 1 DS-GVO iVm Art. 6 Abs. 1, 5 Abs. 1 a DS-GVO zusteht. Die Voraussetzungen für einen Schadensersatzanspruch aus Art. 82 Abs. 1 DS-GVO liegen jedoch nicht vor, da es bereits an einem Datenschutzverstoß der Bekl., jedenfalls aber an einem kausalen ersatzfähigen Schaden bei der Klagepartei fehlt. Die Bekl. hat mit der Einmeldung des Vertragsabschlusses nicht gegen Art. Art. 6 Abs. 1 bzw. Art. 5 Abs. 1 a DS-GVO verstoßen. Es kann dabei dahinstehen, ob die Klagepartei einer Einmeldung der Positivdaten bei der S. und C. im Vertrag mit der Bekl. zugestimmt hat oder durch das Merkblatt zum Datenschutz aus der Anlage B1 davon Kenntnis hatte, da die Einmeldung der Positivdaten jedenfalls nach der nach Art. 6 Abs. 1 lit. f DS-GVO vorzunehmenden Interessensabwägung rechtmäßig war. Selbst wenn man einen Datenschutzverstoß der Beklagtenseite unterstellt, ist der Klagepartei jedenfalls der Nachweis eines kausalen Schadens nicht gelungen. Die Klagepartei hat einen kausalen materiellen Schaden nicht dargelegt. Auch der Nachweis eines kausalen immateriellen Schadens ist der Klägerseite nicht gelungen. In Anbetracht von Erwägungsgrund 75, 85, 146 und 148 DS-GVO hatte der Verordnungsgeber als immateriellen Schaden insoweit Diskriminierung, Identitätsdiebstahl, Identitätsbetrug, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden persönlichen Daten oder gesellschaftliche Nachteile ohne den Ausschluss von Bagatellschäden im Blick. Hinsichtlich eines möglichen künftigen Missbrauchs personenbezogener Daten wird ein immaterieller Schaden aber nur dann zu begründen sein, wenn es sich um einen realen und sicheren emotionalen Schaden handelt und nicht nur um ein Ärgernis oder eine Unannehmlichkeit. Ein etwaiger Verstoß führt – unabhängig der Frage der Erheblichkeit – jedenfalls nicht per se zu einem Schaden. Ein konkreter Schaden ist im jeweiligen Einzelfall festzustellen. Ein tatsächlicher Schaden iSe physischen oder psychischen Beeinträchtigung liegt aber im vorliegenden Einzelfall gerade nicht vor. Der schriftsätzliche Vortrag, dass sich unmittelbar nach Erhalt der C.-Mitteilung ein Gefühl des Kontrollverlusts und der großen Sorge, insb. auch im Hinblick auf die eigene Bonität, eingestellt habe, dieses von der Angst geprägt gewesen sei, einer unberechtigten Übermittlung an eine Auskunftei und möglicherweise weiterer unberechtigter Übermittlungen ausgesetzt zu sein, und dies die Klagepartei bis zum heutigen Tag beunruhige, erfolgt offensichtlich ohne hinreichende Tatsachengrundlage. So ist dem Gericht dieser formelhafte, textbausteinartige Vortrag aus diversen Parallelverfahren wortgleich bekannt und daher zu pauschal um einen Schadensersatzanspruch begründen zu können. Zur Ersatzfähigkeit führt nach den Vorgaben des EuGH zu Art. 82 DS-GVO nur ein einzelfallbezogener Vortrag zum individuellen Schaden bei jedem einzelnen Betroffenen. Solchen Vortrag zeichnet aus, dass die Schadensschilderungen des einzelnen Kl. individualisiert in der den klägerischen Schriftsätzen wiedergegeben werden oder dieser zumindest in seiner mündlichen Anhörung eine derartige Schilderung abgibt. Der Kl. konnte mangels persönlichem Erscheinen nicht angehört werden. Der nach § 141 Abs. 3 ZPO bevollmächtigte Klägervertreter war zu einer Schilderung ebenso wenig in der Lage und hat- vom Gericht zu der individuellen Schädigung seines Mandanten gefragt- wiederum nur auf den unzureichenden schriftsätzlichen Vortrag Bezug genommen. Da bereits der klägerische schriftsätzliche Vortrag seinem Inhalt nach ungeeignet ist, einen Schadensersatzanspruch zu begründen, kann sowohl dahinstehen, ob der klägerische Vortrag, in Teilen verspätet gewesen ist und, ob die Schriftsätze der Beklagtenseite korrekt signiert sind. |
| NEU LG Köln Urt. v. 23.10.2024 – 17 O 3/24 | 0 EUR Dem Kl. steht unter keinem rechtlichen Gesichtspunkt ein Anspruch auf Ersatz immateriellen Schadens gegen die Bekl. zu, insb. nicht nach Art. 82 Abs.1 DS-GVO. Es kann dahinstehen, ob der Bekl. Verstöße gegen die DS-GVO iSd Art. 82 Abs. 1 DS-GVO vorzuwerfen sind, denn der Kl. hat diesbezüglich jedenfalls nicht hinreichend substantiiert dargelegt, dass ihm hierdurch ein Schaden entstanden ist. Art. 82 Abs. 1 DS-GVO ist dahin auszulegen, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadensersatzanspruch zu begründen. Vielmehr muss der Kl. einen konkreten immateriellen oder materiellen Schaden darlegen und beweisen, ebenso wie das Vorliegen eines Verstoßes gegen die DS-GVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind. Die nationalen Gerichte haben bei der Festsetzung der Höhe des Schadensersatzes, der aufgrund des in diesem Artikel verankerten Schadensersatzanspruchs geschuldet wird, die innerstaatlichen Vorschriften der einzelnen Mitgliedstaaten über den Umfang der finanziellen Entschädigung anzuwenden, sofern die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität beachtet werden. Einer nationalen Regelung oder Praxis, die den Ersatz eines immateriellen Schadens iSd Bestimmung davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat, steht Art. 82 Abs. 1 DS-GVO entgegen. Eine Auslegung von Art. 82 Abs. 1 DS-GVO dahin, dass der Begriff „immaterieller Schaden“ iSd Bestimmung keine Situationen umfasst, in denen sich eine betroffene Person nur auf ihre Befürchtung beruft, dass ihre Daten in Zukunft von Dritten missbräuchlich verwendet werden, wäre nicht mit der Gewährleistung eines hohen Schutzniveaus für natürliche Personen bei der Verarbeitung personenbezogener Daten in der Union vereinbar, die mit diesem Rechtsakt bezweckt wird. Allerdings ist darauf hinzuweisen, dass eine Person, die von einem Verstoß gegen die DS-GVO betroffen ist, der für sie negative Folgen gehabt hat, nachweisen muss, dass diese Folgen einen immateriellen Schaden iSv Art. 82 DS-GVO darstellen. Insb. muss das angerufene nationale Gericht, wenn sich eine Person, die auf dieser Grundlage Schadensersatz fordert, auf die Befürchtung beruft, dass ihre personenbezogenen Daten in Zukunft aufgrund eines solchen Verstoßes missbräuchlich verwendet werden, prüfen, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann. Nach alledem kann die Befürchtung, dass personenbezogene Daten durch Dritte missbräuchlich verwendet werden könnten, einen immateriellen Schaden iSv Art. 82 Abs. 1 DS-GVO darstellen. Einen immateriellen Schaden hat der Kl. auf dieser Grundlage vorliegend jedoch nicht dargelegt und ein solcher ist auch nicht ersichtlich. Ungeachtet dessen wäre ein bloßer Kontrollverlust für sich genommen noch nicht geeignet, einen immateriellen Schaden zu begründen, da es sich hierbei lediglich um die „negative Folge“ eines Datenschutzverstoßes handeln würde. In Fällen wie dem vorliegenden, in denen sich der geltend gemachte Kontrollverlust insbesondere auf die Information bezieht, der der Betroffene über einen Telekommunikationsvertrag verfügt, fehlt es an tatsächlichen Anhaltspunkten, die den Rückschluss darauf erlauben, dass der entsprechende Kontrollverlust über dieses personenbezogene Datum schon einen immateriellen Schaden darstellt. Der Umstand, dass eine Person Telekommunikationsdienstleistungen wahrnimmt ist aus Sicht des Gerichts letztlich eine im Alltagsleben völlig geläufige, nahezu selbstverständliche Information, welche ohnehin bei jeder Angabe der betroffenen Telefonnummer offengelegt wird. In diesem Zusammenhang ist auch zu berücksichtigen, dass sich die vom Kl. iRd persönlichen Anhörung geäußerten Bedenken in einer Zusammenschau primär auf die Verarbeitung der Daten durch die S. und die Mitteilung des sog. S.-Scores an potentielle Vertragspartner bezogen und weniger auf die Weitergabe der Positivdaten durch die Bekl. Auch nach Zusammenführung der schriftsätzlichen Ausführungen und der – im Verhältnis in ihrer Intensität abgeschwächten – persönlichen Schilderungen des Kl. ist ein immaterieller Schaden nicht hinreichend substantiiert vorgetragen. Bei den vom Kl. geschilderten Beeinträchtigungen handelt es sich um psychische Folgen eines etwaigen Datenschutzverstoßes der Bekl., die als solche nur von ihm selbst wahrgenommen werden können. Um daraus einen Schaden ableiten zu können, also einen Nachteil des Betroffenen, der iSv Erwägungsgrund 146 konkret „erlitten“ wurde und damit über die reine Behauptung des entsprechenden Gefühls hinausgeht, muss der Kl. konkrete Indizien vortragen und unter Beweis stellen, die eine solche psychische Beeinträchtigung ihrer Person stützen können. |
| NEU LG Gera Urt. v. 23.10.2024 – 3 O 45/24 | 0 EUR Dem Kl. steht der mit dem Klageantrag zu 1. geltend gemachte Anspruch auf Schmerzensgeld aus Art. 82 Abs. 1 DS-GVO wegen eines Verstoßes der Bekl. gegen Art. 6 DS-GVO nicht zu. Es kann dahinstehen, ob der Bekl. ein Datenschutzverstoß vorzuwerfen ist, da für das Gericht schon kein Schaden erkennbar ist. Der Eintritt des Schadens muss nach allgemeinen Grundsätzen (§ 287 ZPO) als überwiegend wahrscheinlich dargetan werden. Vorliegend ist es dem Kl. bereits nicht gelungen, jedweden Ansatzpunkt für einen ersatzfähigen Schaden hinreichend konkret darzulegen. Die Frage, ob ein Verstoß gegen die Vorgaben der DS-GVO per se zu einem Schadensersatzanspruch zugunsten betroffener Personen führt, hat der EuGH mit Urt. v. 4.5.2023 dahingehend entschieden, dass der bloße Verstoß gegen die Bestimmungen der DS-GVO nicht ausreichend ist, um einen Schadensersatzanspruch gem. Art. 82 DS-GVO zu begründen. Auf das Überschreiten einer Erheblichkeitsschwelle der Verletzung kommt es nach dem Urteil des EuGH hingegen nicht an, sodass in der Folge auch geringfügige Verletzungshandlungen zu einem zu ersetzenden Schadensersatzanspruch führen können. Auch der bloße Verlust der Kontrolle über die eigenen Daten kann dabei einen Schaden darstellen. Dies führt jedoch nach Angaben des EuGH nicht dazu, dass die von der Datenschutzverletzung betroffene Person - hier der Kl. - das Vorliegen eines konkret eingetretenen Schadens nicht darzulegen braucht. Der Kl. hat als Person, die von einem Verstoß gegen die DS-GVO betroffen ist, der für sie negative Folgen gehabt hat, nachzuweisen, dass diese Folgen einen immateriellen Schaden iSv Art. 82 DS-GVO darstellen. Die Annahme eines solchen Schadens setzt in unionsautonomer Auslegung nach ständiger Rspr. des EuGH voraus, dass dieser tatsächlich und sicher besteht. Weder in der Klageschrift noch in der Replik wurden die vorgetragenen Sorgen, Ängste und Zustände auf die konkrete Person des Kl. bezogen. Die Formulierungen bleiben pauschal und allgemein. Ausführungen dazu, wie sich die behaupteten Probleme beim Kl. konkret geäußert haben sollen, lassen die Schriftsätze der Klägerseite vermissen. Es ist für das Gericht auch nicht ersichtlich, dass der Kl. seine Lebensführung durch die Übermittlung der Positivdaten in irgendeiner Form anpassen musste. Vielmehr fällt auf, dass die Formulierungen aus der Klageschrift bezüglich des angeblich eingetretenen immateriellen Schadens in einer Vielzahl von weiteren Klagen benutzt wurden und benutzt werden. Es ist nicht nachvollziehbar, wie die Übermittlung von Positivdaten bei mehreren Menschen identische Sorgen, Ängste und Zustände auslösen sollen, ohne dass wegen des jeweiligen Einzelfalles differenziert wird. |
| NEU LG Bonn Urt. v. 21.10.2024 – 13 O 18/24 | 0 EUR Der Klageantrag zu 1) ist schon unbegründet, weil weder ein kausaler Schaden des Kl. schlüssig vorgetragen worden ist, der ein Schmerzensgeld nach dem Klageantrag zu 1) rechtfertigen könnte, noch hierfür tauglich Beweis angeboten worden ist. Insoweit wird zunächst auf das bereits erwähnte Urteil des OLG Köln (Urt. v. 29.3.2023 - 15 U 67/23 [=ZD 2024, 180 (Ls.)]) Bezug genommen. Soweit der Kl. behauptet, dass er infolge der Weitergabe der Positivdaten seitens der Bekl. an die S. H. AG und des dadurch (angeblich) bedingten schlechteren SCHUFA-Scorings einen schlechteren Zinssatz bei einem Immobiliendarlehen im Jahr 2021 erhalten habe, was seine finanzielle Zukunft maßgeblich beeinflusst habe, ist dieser Vortrag offenkundiger Unsinn, da sich aus der selbst vorgelegten Anlage K 3 ergibt, dass es insoweit um das Darlehen bei der Postbank aus Januar 2021 geht, während der hier in Rede stehende Telekommunikationsvertrag erst viele Monate später im Dezember 2021 geschlossen wurde und erst dann entsprechende Daten seitens der Bekl. mitgeteilt worden sein können (wie auch selbst in der Klageschrift vorgetragen worden ist). Die restlichen Behauptungen zu den angeblichen negativen – psychischen – Folgen für den Kl. sind im Ergebnis genauso unplausibel und unsubstantiiert. Dass ein schlechteres Scoring der SCHUFA, dessen Ausmaß der Kl. nicht einmal kennt, wie er eingeräumt hat, „Unwohlsein“, "Stress", "Unruhe", "Existenzsorge", „Schlafstörungen“, etc verursacht hätte, ist nicht nachvollziehbar. Hinzu kommt, dass der Kl. die negativen Auswirkungen konkret auf Nachfrage allein im Zusammenhang mit dem genannten Privatdarlehen und entsprechenden Äußerungen des Sachbearbeiters der Bank geschildert hat, und dieses Geschehen hat – wie ausgeführt wegen fehlender Kausalität – nicht im Ansatz etwas mit dem hier in Rede stehenden Telekommunikationsvertrag und infolge dessen weitergegebenen Daten zu tun. Zudem dürfte jedenfalls angesichts dessen, dass der Kl. nicht konkret dazu vorträgt, inwieweit die Positivdaten des hier in Rede stehenden Telekommunikationsvertrags überhaupt das SCHUFA-Scoring negativ verändert haben (womit die etwaige Beeinträchtigung nicht hinreichend konkret vorgetragen worden ist), davon auszugehen sein, dass die Weitergabe jedenfalls wegen Wahrnehmung berechtigter Interessen zur Betrugsprävention gem. Art. 6 Abs. 1 S. 1 lit. f DS-GVO zulässig gewesen ist. Es liegt ohnehin auf der Hand, dass eine vergleichsweise geringe monatliche Zahlungsverpflichtung durch einen Telekommunikationsvertrag keinen erheblichen negativen Einfluss auf das Scoring gehabt hat. |
| NEU LG Kempten Urt. v. 21.10.2024 - 64 O 8/24 | 0 EUR Der Kl. hat gegen die Bekl. keinen Anspruch auf Ersatz eines immateriellen Schadens gem. Art. 82 Abs. 1 DS-GVO. Vorliegend kann es dahinstehen, ob überhaupt ein Verstoß der Bekl. gegen die Bestimmungen der DS-GVO vorliegt. Insb. bedarf es keiner Klärung, ob die Weitergabe von Positivdaten durch die Bekl. an die S. durch Art. 6 Abs. 1 lit. f DS-GVO gerechtfertigt ist. Denn der Kl. hat nicht zur Überzeugung des Gerichts den ihm obliegenden Nachweis geführt, dass er einen kausal auf den behaupteten Verstoß zurückzuführenden Schaden erlitten hat. Art. 82 Abs. 1 DS-GVO ist nach ständiger Rspr. des EuGH dahin auszulegen, dass der bloße Verstoß gegen diese Verordnung nicht ausreicht, um einen Schadensersatzanspruch zu begründen. Insofern muss die Person, die auf der Grundlage von Art. 82 Abs. 1 DS-GVO den Ersatz eines immateriellen Schadens verlangt, nicht nur den Verstoß gegen Bestimmungen dieser Verordnung nachweisen, sondern auch, dass ihr durch diesen Verstoß ein solcher Schaden entstanden ist, der daher nicht allein aufgrund dieses Verstoßes vermutet werden kann. Der Kl. ist für das Vorliegen eines immateriellen Schadens beweisfällig geblieben. Die Weitergabe personenbezogener Daten und der daraus resultierende Verlust der Hoheit über diese Daten kann den betroffenen Personen einen „immateriellen Schaden“ iSv Art. 82 DS-GVO zufügen. Doch müssen diese Personen den Nachweis erbringen, dass sie tatsächlich einen solchen Schaden – so geringfügig er auch sein mag – erlitten haben. Insbesondere muss das angerufene nationale Gericht, wenn sich eine Person, die auf dieser Grundlage Schadensersatz fordert, auf die Befürchtung beruft, dass ihre personenbezogenen Daten in Zukunft aufgrund eines solchen Verstoßes missbräuchlich verwendet werden, prüfen, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann. Die Befürchtung eines möglichen künftigen Missbrauchs personenbezogener Daten stellt nur dann einen ersatzfähigen immateriellen Schaden dar, wenn die betroffene Person nachgewiesen hat, dass sie individuell einen realen und sicheren emotionalen Schaden erlitten hat. Diesen Umstand hat das angerufene nationale Gericht im Einzelfall zu prüfen. Bereits der schriftsätzliche Vortrag des Kl. lässt eine solche Befürchtung nicht erkennen. Es wird insofern lediglich auf den Kontrollverlust hinsichtlich der übermittelten Daten abgestellt. Näher spezifiziert wird dies lediglich mit der pauschalen Behauptung, dass die Datenübermittlung geeignet sei, der Klägerseite zukünftige Vertragsschlüsse erheblich zu erschweren. Aus diesem schon nicht substantiierten Sachvortrag, der den mit der Datenweitergabe eingetretenen generellen Kontrollverlust geltend macht, hat sich zunächst nur das generelle Risiko, dessen Eintritt durch die Regelungen der DS-GVO verhindert werden soll, verwirklicht. Daraus allein resultiert aber deshalb noch kein tatsächlicher Schaden im konkreten Einzelfall, weil dieser Kontrollverlust automatisch bei jedem vom festgestellten Verstoß gegen die DS-GVO Betroffenen in Form der Zugänglichmachung/Offenlegung von Daten eintritt. Auch der völlige Kontrollverlust als solcher ist nicht per se ein immaterieller Schaden ist; denn stellt ein unkontrollierter Datenverlust im konkreten Einzelfall wegen des Werts der Daten eine in Geld messbare Einbuße dar, so ist dies unzweifelhaft ein Vermögensschaden. Dies kann vorliegend im Hinblick auf die bloße Mitteilung an die Auskunfteien, dass der Kl. einen Handyvertrag abgeschlossen hat, allerdings nicht angenommen werden. Darüber hinaus kann bezüglich der Weitergabe iÜ auch nicht von einem völligen Kontrollverlust gesprochen werden, da die Daten nicht jedermann zugänglich gemacht wurden und es sich bei der Information, dass durch den Kl. ein Mobilfunkvertrag abgeschlossen wurde, um eine solche handelt, die nur für eine äußerst begrenzte Anzahl von Personen bzw. Unternehmen überhaupt eine Relevanz hat. Einen über den behaupteten Datenschutzverstoß und über den damit mittelbar einhergehenden Kontrollverlust hinausgehenden immateriellen Schaden in Form einer persönlichen/psychologischen Beeinträchtigung aufgrund des – behaupteten – Datenschutzverstoßes der Bekl. und des Kontrollverlustes hat der Kl. wiederum bereits nicht schlüssig dargelegt. Die pauschale Behauptung, dass die Datenübermittlung geeignet sei, der Klägerseite zukünftige Vertragsschlüsse erheblich zu erschweren, ist bereits nicht nachvollziehbar. Hier bleibt jedoch völlig unklar, warum dies vorliegend beim Kl. der Fall sein sollte. Ferner wird damit auch kein darauf beruhende Befürchtung im o.g. Sinne behauptete oder gar näher beschrieben. Auch ein materieller Schaden ist nicht ersichtlich. Entgegen der Ansicht der Klagepartei liegt ein solcher insbesondere nicht in den Kosten für die Einschaltung eines Rechtsanwalts. Vorgerichtliche Rechtsanwaltskosten können zwar grds. eine berücksichtigungsfähige Schadensposition darstellen. Dies gilt nach allgemeinen schadensrechtlichen Grundsätzen jedoch nur, wenn die Einschaltung eines Rechtsanwalts erforderlich und zweckmäßig war. Die ist aber dann nicht der Fall, wenn – wie hier – mangels Schadens gar keins Schadensersatzanspruch besteht. Der Ersatz vorgerichtlicher Rechtsanwaltskosten setzt daher einen Schaden voraus und kann diesen nicht erst begründen. Der vom Kl. geltend gemacht Unterlassungsanspruch ergibt sich auch nicht aus Art. 82 DS-GVO. Zwar kann sich unter Umständen aus einem Schadensersatzanspruch auch ein Unterlassungsanspruch ergeben; wobei dies allerdings nur dann der Fall ist, wenn die erfolgte Verletzungshandlung noch andauert oder der pflichtwidrig geschaffene Zustand fortdauert. Allerdings sind diese Voraussetzungen hier nicht gegeben. Wie bereits oben ausgeführt, hat der Kl. bereits keinen ihm entstandenen Schaden nachgewiesen. |
| NEU LG Erfurt Urt. v. 18.10.2024 – 2 O 442/24 | 0 EUR Der Kl. hat unter keinem rechtlichen Gesichtspunkt einen Anspruch auf Zahlung eines, mit dem Klageantrag zu 1.) geltend gemachten, immateriellen Schadensersatzes gegen die Bekl. Ein Schadensersatzanspruch des Kl. ergibt sich insb. nicht aus Art. 82 DS-GVO. Ob der Bekl. ein Verstoß gegen die DS-GVO anzulasten ist, kann indes dahinstehen. Denn hinsichtlich der gerügten Verstöße gegen Vorschriften der DS-GVO hat der Kl. keinen konkreten auf den Verstoß gegen diese Vorschriften zurückzuführenden Schaden dargelegt, noch ist ein solcher sonst ersichtlich. Nach der Rspr. des EuGH ist Art. 82 Abs. 1 DS-GVO dahin auszulegen, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadensersatzanspruch zu begründen. Ein Schaden iSd Art. 82 Abs. 1 DS-GVO setzt andererseits – entgegen möglicherweise bestehendem innerstaatlichem Recht – nach Wortlaut, Erwägungsgrund 10, 146 DS-GVO und Sinn und Zweck der Verordnung nicht voraus, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat. Diese Auslegung bedeutet jedoch nicht, dass eine Person, die von einem Verstoß gegen die DS-GVO betroffen ist, der für sie nachteilige Folgen gehabt hat, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden iSv Art. 82 dieser Verordnung darstellen. Entsprechend stellt der EuGH auch darauf ab, dass die „konkret erlittenen Schäden“ vollständig ausgeglichen werden müssen. Die Annahme eines solchen konkreten Schadens setzt in unionsautonomer Auslegung voraus, dass dieser „tatsächlich und sicher“ besteht. Soweit der EuGH mit Urt. v. 14.12.2023 festgestellt hat, dass auch die Befürchtung eines Missbrauchs der personenbezogenen Daten einen immateriellen Schaden iSd Art. 82 Abs. 1 DS-GVO darstellen kann, ist dies nicht als Verringerung der Anforderungen an einen immateriellen Schaden zu verstehen, sondern führt die bisherige Rspr. fort, da der EuGH auch hier weiterhin betont, dass eine von einem Verstoß gegen die DS-GVO betroffene Person, der für sie negative Folgen gehabt hat, nachweisen muss, dass diese Folgen einen immateriellen Schaden iSd Art. 82 DS-GVO darstellen. Ebenso genügt für den Schadenseintritt nicht allein, dass infolge der Pflichtverletzung ein unbefugter Zugriff auf personenbezogene Informationen tatsächlich erfolgt ist. Denn auch wenn es keine Erheblichkeitsschwelle für den Schadenseintritt gibt, so bedeutet dies nicht, dass die aus dem Datenschutzverstoß resultierenden negativen Folgen für sich bereits einen haftungsbegründenden Schaden darstellen; denn die Annahme eines konkret eingetretenen und ersatzfähigen Schadens setzt voraus, dass dieser tatsächlich und sicher besteht. Entsprechend sieht der die Frage des Schadensersatzes allein betreffende Erwägungsgrund 75 DS-GVO auch nur vor, dass ein Schaden entstehen könnte, wenn (u.a.) „die betroffene Person um ihre Rechte und Freiheiten gebracht oder daran gehindert wird, die sie betreffenden personenbezogenen Daten zu kontrollieren“. Mithin ist nicht bereits die Verletzung dieser (Kontroll-)Freiheit schadensbegründend. Es bedarf vielmehr des Eintritts eines über die diesem Kontrollverlust notwendigerweise stets innewohnenden Nachteile hinausgehenden konkret-individuellen tatsächlichen materiellen oder immateriellen Schadens. Unter Berücksichtigung dieses weiten Verständnisses des immateriellen Schadens, das ausdrücklich auch Bagatellschäden einschließt, vermag das Gericht nicht zu erkennen, dass der Kl. einen Schaden - so geringfügig er auch sein mag - tatsächlich erlitten hat. Es oblag dem Kl., einen über die Datenschutzverstöße und den damit einhergehenden Kontrollverlust hinausgehenden konkreten, immateriellen Schaden in Form einer persönlichen Beeinträchtigung aufgrund der Datenschutzverstöße und des Kontrollverlustes darzulegen und zu beweisen. Dies hat der Kl. nicht hinreichend dargetan. Für den haftungsbegründenden – hier immateriellen – Schaden gilt das strenge Beweismaß des § 286 ZPO, das die volle Überzeugung des Gerichts verlangt. Diese erfordert keine absolute oder unumstößliche Gewissheit und auch keine an Sicherheit grenzende Wahrscheinlichkeit, sondern nur einen für das praktische Leben brauchbaren Grad von Gewissheit, der Zweifeln Schweigen gebietet. Der Tatrichter muss aufgrund der Beweisaufnahme entscheiden, ob er die Behauptung für wahr oder nicht für wahr hält; er darf sich nicht mit einer bloßen, wenn auch erheblichen Wahrscheinlichkeit begnügen. Erst für die Bestimmung des Ausmaßes des einmal festgestellten Schadens kommt § 287 ZPO zur Anwendung, wonach für die Überzeugungsbildung eine hinreichende bzw. überwiegende Wahrscheinlichkeit genügen kann. Der Kl. hat auch die erforderliche Kausalität zwischen dem behaupteten Datenschutzverstoß und immateriellen Schaden nicht hinreichend dargelegt und bewiesen. Auch insoweit trifft den Kl. die volle Darlegungs- und Beweislast. Für die Frage der haftungsbegründenden Kausalität gilt hierbei ebenfalls das strenge Beweismaß des § 286 ZPO. |
| NEU LG Stuttgart Urt. v. 16.10.2024 – 27 O 60/24 | 0 EUR Der mit dem Klageantrag Nr. 1 geltend gemachte Schadensersatzanspruch besteht nicht. Allerdings hat die Bekl. durch die Übermittlung der Vertragsdaten des Kl. an die SCHUFA gegen die DS-GVO verstoßen. Die Übermittlung der sog. Positivdaten an die SCHUFA stellt eine „Verarbeitung“ der Daten dar (Art. 4 Nr. 2 DS-GVO) und bedarf daher der Rechtfertigung nach Art. 6 Abs. 1 S. 1 DS-GVO, was die Bekl. im rechtlichen Ausgangspunkt nicht in Abrede stellt. Die streitgegenständliche Unterrichtung der SCHUFA ist nicht durch die Wahrung berechtigter Interessen der Bekl. nach Art. 6 Abs. 1 S. 1 lit. f DS-GVO gerechtfertigt. Dem Kl. steht der mit dem Klageantrag Nr. 1 geltend gemachte Schadensersatzanspruch nicht zu, weil er den Eintritt eines Schadens nicht nachgewiesen hat. Ein Schadensersatzanspruch gem. Art. 82 Abs. 1 DS-GVO wird nicht allein dadurch begründet, dass ein Verstoß gegen die DS-GVO vorliegt. Vielmehr muss der Anspruchsteller das Vorliegen eines Schadens nachweisen, auch wenn ein immaterieller Schaden keinen bestimmten Grad an Erheblichkeit erreichen muss. Dabei kann auch die durch einen Datenschutzverstoß hervorgerufene Befürchtung des Betroffenen, dass seine Daten in Zukunft aufgrund des Verstoßes missbräuchlich verwendet werden könnten, als Schaden anzusehen sein, sofern diese Befürchtung unter den Umständen des Einzelfalls als begründet angesehen werden kann. Dass er einen materiellen Schaden erlitten habe, hat der Kl. nicht behauptet. Den behaupteten immateriellen Schaden hat der Kl. nicht nachgewiesen. Soweit der Kl. schriftsätzlich vorgetragen hat, die streitgegenständliche Weiterleitung von Positivdaten an die SCHUFA habe bei ihm die ständige Angst vor unangenehmen Rückfragen, ein allgemeines Gefühl des Unwohlseins bis zur schieren Existenzsorge und ein Gefühl der Ohnmacht zur Folge gehabt, ist die Richtigkeit dieses Sachvortrags nicht bewiesen. Vielmehr hat der Kl. diese Darlegungen iRd Parteianhörung überhaupt nicht bestätigt. Der schriftsätzliche Vortrag erweckt daher den Eindruck eines Textbausteins, welcher nicht auf einer Schilderung des hiesigen Kl. beruht. Ausweislich seiner insoweit durchaus glaubhaften Angaben iRd Parteianhörung hat sich der Kl. darüber geärgert, dass die Bekl. es sich leicht gemacht und Vertragsdaten an die SCHUFA weitergeleitet hat, ohne sich um eine Einwilligung zu bemühen, während der Kl. im Rahmen seiner beruflichen Tätigkeit viel Zeit und Mühe aufwenden muss, um datenschutzrechtlichen Anforderungen gerecht zu werden. Allein die Tatsache, dass der Kl. sich über den Datenschutzverstoß der Bekl. geärgert hat, begründet aber noch nicht das erforderliche Moment eines Schadens neben dem Datenschutzverstoß, welcher gerade nicht per se einen Schaden darstellt. Eine darüberhinausgehende immaterielle Beeinträchtigung des Kl. ist nicht festzustellen. Nachdem der streitgegenständliche Schadensersatzanspruch nicht besteht, kann der Kl. keinen Ersatz für die Kosten von dessen außergerichtlicher Geltendmachung fordern. |
| NEU LG Bochum Urt. v. 15.10.2024 – I-8 O 4/24 | 0 EUR Der Kl. hat gegen die Bekl. keinen Anspruch auf Zahlung eines immateriellen Schadensersatzes aus Art. 82 Abs. 1, 2 DS-GVO. Die Voraussetzungen des Art. 82 Abs. 1 DS-GVO sind nicht erfüllt. Ob hier ein Verstoß gegen Art. 6 Abs. 1 sowie Art. 5 Abs. 1 lit. a DS-GVO vorliegt, kann dahingestellt bleiben. Es fehlt nämlich schon an einem ersatzfähigen Schaden. Es ist für die Kammer nicht ersichtlich, inwieweit die Weitergabe von so genannten Positivdaten, nämlich Daten darüber, dass der Kunde einen Mobilfunkvertrag abgeschlossen hat, zu einem immateriellen Schaden führen soll. Der diesbezügliche Sachvortrag ist pauschal und wird in zahlreichen weiteren Klagen inhaltsgleich verwendet. Für den geltend gemachten immateriellen Schadensersatz gelten die im Rahmen von § 253 BGB entwickelten Grundsätze. Dabei hat die Kammer für den Eintritt des Schadens den Beweismaßstab des § 286 ZPO anzulegen. Die Ermittlung des Ausmaßes des – unterstellt – festgestellten Schadens obliegt dem Gericht nach § 287 ZPO, wobei Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie die konkret betroffenen personenbezogenen Daten zu berücksichtigen sind. Zwar ist ein genereller Ausschluss von Bagatellschäden im Lichte der Erwägungsgründe zur DS-GVO nicht vertretbar. Insoweit ist es nicht erforderlich, dass der eingetretene Schaden eine bestimmte Erheblichkeitsschwelle überschreitet; auch Bagatellschäden sind grds. ersatzfähig. Dies bedeutet aber nicht, dass die aus dem Datenschutzverstoß resultierenden negativen Folgen per se einen haftungsbegründenden Schaden darstellen; denn der EuGH führt hierzu explizit aus, dass diese Auslegung nicht bedeutet, „dass eine Person, die von einem Verstoß gegen die DS-GVO betroffen ist, der für sie negative Folgen gehabt hat, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden iSv Art. 82 dieser Verordnung darstellen". In diesem Sinne genügt ein bloßer Ärger über den Datenschutzverstoß oder Kontrollverlust an Daten oder ein subjektives Unmutsgefühl nicht, um einen immateriellen Schaden anzunehmen. Allein eine Verletzung des Datenschutzrechts begründet mithin für sich genommen noch nicht einen Schadensersatzanspruch für die betroffene Person, solange damit nicht im Einzelfall ein (immaterieller) Schaden verbunden ist, d. h. kausal negative Konsequenzen für den Betroffenen. Dafür spricht ferner der Wortlaut des Art. 82 Abs. 5 DS-GVO, nach dem der Schaden „erlitten“ sein muss. Das ist nur der Fall, wenn dieser wegen eines Verstoßes gegen die Verordnung (Art. 82 Abs. 1 DS-GVO) tatsächlich entstanden, spürbar und objektiv nachvollziehbar ist und nicht nur von dem Betroffenen befürchtet wird. Es bedarf dazu nach Auffassung der Kammer der Darlegung eines konkreten – auch immateriellen – Schadens. Einen solchen immateriellen Schaden, wozu auch Ängste, Sorgen, Stress sowie Komfort- und Zeiteinbußen zählen können, hat der Kl. indes nicht dargelegt. |
| NEU LG Bielefeld Urt. v. 15.10.2024 – 6 O 90/24 | 0 EUR Ein Anspruch aus Art. 82 Abs. 2, Abs. 1 DS-GVO besteht vorliegend nicht. Unabhängig von einem etwaigen Vorliegen von Verstößen gegen die DS-GVO hat der Kl. einen erlittenen immateriellen Schaden jedenfalls bereits nicht ansatzweise schlüssig dargelegt. Nach der überzeugenden Rechtsprechung des Oberlandesgerichts Hamm sind die von der DS-GVO verwandten Begriffe „immaterieller“ und „materieller“ Schaden unionsautonom auszulegen und setzen nach dem Wortlaut der Norm, der Systematik und Telos des Art. 82 Abs. 2, Abs. 1 DS-GVO sowie der Art. 77-84 DS-GVO und Erwägungsgrund 75, 85 und 146 DS-GVO einen über den schlichten Verstoß gegen die DS-GVO hinausgehenden Schaden voraus. Ein solcher Schaden setzt jedoch – entgegen möglicherweise bestehendem innerstaatlichen Recht – nach Wortlaut, Erwägungsgrund 10, 146 DS-GVO und telos nicht voraus, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat. Dies bedeutet jedoch wiederum nicht, dass die aus dem Datenschutzverstoß resultierenden negativen Folgen per se einen haftungsbegründenden Schaden darstellen. Der EuGH führt hierzu explizit aus, dass diese Auslegung nicht bedeutet, „dass eine Person, die von einem Verstoß gegen die DS-GVO betroffen ist, der für sie negative Folgen gehabt hat, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden iSv Art. 82 dieser Verordnung darstellen“. Entsprechend stellt der EuGH auch darauf ab, dass die „konkret erlittenen Schäden“ vollständig ausgeglichen werden müssen. Die Annahme eines solchen konkreten Schadens setzt in unionsautonomer Auslegung nach ständiger Rspr. des EuGH voraus, dass dieser „tatsächlich und sicher“ besteht. Diese Ansicht findet auch in den Erwägungsgründen der DG-GVO Stütze. Ein Kontrollverlust durch die Weitergabe durch die Bekl., betraf als generelles Risiko der (unrechtmäßigen) Verarbeitung alle Personen, die Vertragsbeziehungen mit der Bekl. unterhielten, gleichermaßen. Einem solchen generellen Risiko soll im Hinblick auf die Zielsetzung der DS-GVO, den unionsweiten Schutz personenbezogener Daten sicherzustellen (vgl. Erwägungsgrund 10 DS-GVO), durch die Minimierung der Verarbeitungsrisiken entgegengewirkt werden, um ein möglichst hohes Schutzniveau zu erreichen. Dem Einzelnen die Kontrolle über seine Daten möglichst umfassend zu belassen bzw. dies zu gewährleisten, ist hierfür von grundlegender Bedeutung. Realisiert sich das generelle Risiko, dessen Eintritt verhindert werden soll, kommt es zwangsläufig zum Kontrollverlust. Daraus allein resultiert aber deshalb noch kein tatsächlicher Schaden im konkreten Einzelfall, wenn – wie hier - dieser Kontrollverlust automatisch bei jedem vom festgestellten Verstoß gegen die DS-GVO Betroffenen in Form der Offenlegung / Zugänglichmachung vorliegt. Der Kontrollverlust war lediglich die zwangsläufige und generelle Folge. Daraus folgt, dass es über den Kontrollverlust als Realisierung des generellen Risikos hinaus eines tatsächlichen materiellen oder immateriellen Schadens im konkreten Einzelfall bedarf. Damit deckt sich, dass der völlige Kontrollverlust als solcher nicht per se ein immaterieller Schaden ist; denn stellt ein unkontrollierter Datenverlust im konkreten Einzelfall wegen des Werts der Daten eine in Geld messbare Einbuße dar, so ist dies unzweifelhaft ein Vermögensschaden. Gemessen an diesen Voraussetzungen hat der Kl. bereits nicht schlüssig dargelegt, einen über die reinen - behaupteten - Datenschutzverstöße und den damit mittelbar einhergehenden - behaupteten - Kontrollverlust hinausgehenden immateriellen Schaden in Form einer persönlichen / psychologischen Beeinträchtigung erlitten zu haben. Auf das Vorliegen innerer, dem Beweis nur eingeschränkt zugänglicher Tatsachen kann nur mittelbar aus in der Regel auf äußeren Tatsachen basierenden Indizien geschlossen werden. Mit Blick auf die subjektiven Folgen eines Datenschutzverstoßes im Einzelfall ist es deshalb ausreichend, aber auch erforderlich, dass der Betroffene Umstände darlegt, in denen sich seine erlebten Empfindungen widerspiegeln, und dass nach der Lebenserfahrung der Datenschutzverstoß mit seinen Folgen Einfluss auf das subjektive Empfinden hat. Der Kl. hat vorliegend schriftsätzlich lediglich pauschal und schematisch vorgetragen, einen Kontrollverlust über seine Daten erlitten zu haben und in einem Zustand von Unwohlsein und Sorge über eine mögliche Verwendung seiner Daten und im Hinblick auf seine Bonität verblieben zu sein. Mangels Darlegung der konkreten, im Einzelfall eingetretenen Missbrauchsfolgen lässt sich vorliegend aber gerade nicht einzelfallbezogen beurteilen, ob nach der Lebenserfahrung eine durchschnittlich im Datenschutz sensibilisierte Person solch negative Gefühle entwickeln würde, die nach klägerischer Behauptung über jene hinausgehen, welche man ganz automatisch entwickelt, wenn ein Gesetz zu seinen Ungunsten verletzt wird. Inwiefern es auf Seiten des Kl. zu einem Gefühl der "ständigen Angst" geführt haben soll - wie schriftsätzlich vorgetragen - weil aufgrund der mitgeteilten Positivdaten eine Verfälschung des SCHUFA-Scores gedroht hätte, ist vor diesem Hintergrund nicht nachvollziehbar. Insoweit divergiert dies auch von dem iRd persönlichen Anhörung des Kl. gewonnenen Eindrucks. Auf ein Gefühl der Angst oder des Kontrollverlustes bezog er sich hingegen nicht. Insoweit divergieren die schriftsätzlich vorgetragenen Folgen von denen, die der Kl. selber im Rahmen seiner persönlichen Anhörung behauptete. Die schriftsätzlich vorgetragenen Folgen des Kontrollverlusts und der psychischen Beeinträchtigungen ähneln in ihrer Darstellung hingegen vielmehr den behaupteten Folgen, die auch in einer Vielzahl vor der hiesigen Kammer anhängigen sog. "scraping"- oder "Datenleck"-Verfahren behauptetet werden. |
| NEU LG Bonn Urt. v. 11.10.2024 – 10 O 17/24 | 0 EUR Dem Kl. steht der geltend gemachte Anspruch auf Zahlung eines immateriellen Schadensersatzes iHv mindestens 5.000 EUR weder nach Art. 82 Abs. 1 DS-GVO noch aufgrund einer anderen Anspruchsgrundlage zu. Es kann dabei dahinstehen, ob die Bekl. durch die vorliegende Einmeldung gegen Art. 6 Abs. 1 S. 1 lit f DS-GVO verstoßen hat und mithin eine Verarbeitung der personenbezogenen Daten des Kl. iSe Weitergabe an die S. zur Wahrnehmung der berechtigten Interessen der Bekl. oder eines Dritten nicht erforderlich war und/oder eine Grundrechtsabwägung zu einem Überwiegen der Rechte des Kl. führt. Denn jedenfalls mangelt es am Vorliegen eines eigenen kausal durch die Einmeldung verursachten immateriellen Schadens, so dass ein Schadensersatzanspruch bereits aus diesem Grund ausscheidet. Für den geltend gemachten immateriellen Schadensersatz sind die Erwägungsgründe der europäischen Grundrechtscharta zu beachten, wonach der Schadensbegriff weit auszulegen ist (dazu Erwägungsgrund 146 DS-GVO). Betroffene sollen einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten, die abschreckende Wirkung des Schadensersatzes diene einem effektiven Rechtsschutz. Nach Erwägungsgrund Nr. 75 DS-GVO kann zB ein Nichtvermögensschaden durch Diskriminierung, Identitätsdiebstahl, Betrug, Rufschädigung, durch Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden persönlichen Daten oder durch gesellschaftliche Nachteile eintreten. Ein genereller Ausschluss von Bagatellschäden iRe Schadensersatzanspruches nach Art. 82 DS-GVO ist im Lichte dieser Erwägungsgründe nicht vertretbar, das Überschreiten einer „Erheblichkeitsschwelle“ mithin nicht notwendig. Gleichzeitig genügt aber ein bloßer Ärger über den Datenschutzverstoß oder ein subjektives Unmutsgefühl nicht, um einen immateriellen Schaden anzunehmen. Eine Verletzung des Datenschutzrechts begründet für sich allein genommen noch nicht einen Schadensersatzanspruch für die betroffene Person, solange damit nicht im Einzelfall ein (immaterieller) Schaden verbunden ist, dh kausale negative Konsequenzen für den Betroffenen, die im Einzelnen darzulegen und zu beweisen sind. Dafür spricht auch der Wortlaut des Art. 82 Abs. 5 DS-GVO, nach dem der Schaden „erlitten“ sein muss. Das ist nur der Fall, wenn dieser wegen eines Verstoßes gegen die Verordnung (Art. 82 Abs. 1 DS-GVO) tatsächlich entstanden, spürbar und objektiv nachvollziehbar ist und nicht nur von dem Betroffenen befürchtet wird. Das Vorliegen eines konkreten, immateriellen Schadens hat der Kl. im Ergebnis nicht hinreichend dargetan oder bewiesen. Dabei können bloße negative Gefühle wie Unmut, Unzufriedenheit, Sorge und Angst, die an sich Teil des allgemeinen Lebensrisikos und oft des täglichen Erlebens sind, Grundlage für einen Schadensersatzanspruch nach dem oben Ausgeführten nur dann sein, wenn sich ein tatsächlicher Einfluss auf die Lebensführung erkennen lässt und damit ein konkreter Rückschluss von äußeren Umständen auf diese inneren Tatsachen möglich ist. Das ist hier nicht der Fall. |
| NEU LG Neuruppin Urt. v. 10.10.2024 – 2 O 13/24 | 0 EUR Der Kl. hat gegen die Bekl. keinen Anspruch auf Schadensersatz aus Art. 82 DS-GVO. Ein Verstoß gegen die DS-GVO liegt nicht vor, die beanstandete Übermittlung von Positivdaten war von Art. 6 Abs. 1 S. 1 lit. f DS-GVO gedeckt. IÜ ist die Klage auch deshalb unbegründet, weil dem Kl. keinen Schaden entstanden ist. Der Begriff des Schadens iSd Art. 82 Abs. 1 DS-GVO ist weit zu verstehen. Er wird unionsautonom ausgelegt, somit liegt Art. 82 Abs. 1 DS-GVO ein eigener Schadensbegriff zugrunde. Es besteht weder eine Erheblichkeitsschwelle noch eine Bagatellgrenze. Der Geschädigte muss nicht nur den Verstoß gegen Bestimmungen dieser Verordnung nachweisen, sondern auch, dass ihr durch diesen Verstoß ein solcher Schaden entstanden ist. Die bloße Behauptung einer Befürchtung ohne nachgewiesene negative Folgen kann daher nicht zu einem Schadensersatz nach dieser Vorschrift führen. Der Kl. hat schriftsätzlich u.a. vorgetragen, er empfinde aufgrund der Wichtigkeit des S.-Scorings für die Bonität und aufgrund der Undurchsichtigkeit der Auswirkungen der gemeldeten Positivdaten auf die S.-Bewertung einen Kontrollverlust mit großem Unwohlsein und großer Sorge. Er fühle sich in der freien Entscheidung im Hinblick auf Vertragsschlüsse behindert, was seine freie Entfaltungsmöglichkeit untergrabe. Der Kl. hat in der mündlichen Verhandlung im Rahmen seiner persönlichen Anhörung darüber hinaus u.a. geschildert, dass er sich Sorgen um seine Bonität gemacht habe und er der Meinung sei, dass man so nicht mit seinen Daten umgehen könne. Nach der S.-Auskunft sei er „schockiert“ und „fassungslos“ gewesen. Es sei so, dass er manchmal nicht einschlafen könne. Auch seine Familie würde darunter leiden, weil er mental nicht präsent und abgelenkt sei. Das Gericht konnte sich gleichwohl nicht davon überzeugen, dass der Kl. tatsächlich spürbare immaterielle Beeinträchtigungen erlitten hat, die kausal auf die Übermittlung der Positivdaten bei der Bekl. zurückzuführen sind. Die behaupteten Sorgen weisen keinen konkreten Bezug zur streitgegenständlichen Datenweitergabe auf. Der Kl. konnte trotz Nachfrage nicht plausibel begründen, warum er durch die schlichte Weitergabe der positiven Daten über das Bestehen eines Mobilfunkvertrages - wie ihn so ziemlich jeder hat - in Sorge um seine Bonität versetzt worden sein sollte. Dass dieser Umstand einen entscheidenden Faktor für die Verschlechterung des Scores des Kl. bei der S. dargestellt haben sollte, ist kaum vorstellbar. Dass der Kl. eine solche Vorstellung gehabt haben könnte, hat die Anhörung nicht ergeben. Soweit der Kl. lediglich über die Weitergabe der Daten an sich verärgert war, rechtfertigt dies keinen Schadensersatzanspruch. Soweit der Kl. seine Sorge unter anderem damit begründet hat, dass im Jahr 2016 ein Kredit abgelehnt worden sei, ergibt sich bereits daraus, dass die Datenweitergabe erst im Jahr 2020 stattfand, dass auch der Kl. nicht annehmen konnte, dass hier ein kausaler Zusammenhang bestehen könnte. Die Angaben des Kl. waren auch insoweit unplausibel als zum Zeitpunkt der S. - Auskunft der Score nicht - wie vom Kl. behauptet – bei ca. 90 % lag. Wie aus der Anlage K2 zur Klageschrift ersichtlich betrug der Basisscore am 06.10.2023 97,46 % von theoretisch möglichen 100 %, was eine Sorge des Kl. hinsichtlich seiner Bonität noch weniger plausibel erscheinen lässt. Nachvollziehbar ist zwar, dass den Kl. die starken Schwankungen seines Scores in der Vergangenheit irritiert haben, nicht nachvollziehbar ist allerdings die Annahme, dies könnte mit der Weitergabe der streitgegenständlichen Daten im Zusammenhang stehen bzw. der Kl. habe dies annehmen können. Auch wenn eine Erheblichkeits- oder Bagatellschwelle nicht angenommen werden darf, genügen die klägerseits geschilderten Gefühle - auch das behauptete Gefühl des Kontrollverlustes - für sich nicht zur Bejahung einer immateriellen Beeinträchtigung. Es handelt sich um (negative) Gefühle des Ärgers, die Teil des allgemeinen Lebensrisikos und des täglichen Erlebens sind, die aber noch keine Beeinträchtigung des Seelenlebens oder der Lebensqualität darstellen, die einen immateriellen Schaden iSd Art. 82 DS-GVO begründen könnten. Die Beweislast für das Vorliegen eines materiellen oder immateriellen Schadens trägt der Kl. als Anspruchsteller. Die von einem Verstoß gegen die DS-GVO betroffene Person muss den Nachweis führen, dass die geltend gemachten Folgen einen immateriellen Schaden im Sinne der Verordnung darstellen. Die Nichterweislichkeit eines Schadens geht zu seinen Lasten. |
| NEU LG Darmstadt Urt. v. 8.10.2024 – 30 O 12/24 | 0 EUR Dem Kl. stehen keine Schadensersatzansprüche ggü. der Bekl. aufgrund der Meldung des Vertragsschlusses über einen Mobilfunkvertrag zu. Eine solche Meldung stellt bereits keinen Verstoß gegen die DS-GVO dar, weil die Bekl. in ihren Datenschutzhinweisen auf diese Vorgehensweise hingewiesen hat und eine solche Meldung von Mobilfunkanbietern aus Gründen der Betrugsprävention nichts Ungewöhnliches ist. Soweit der Kl. innerhalb eines kurzen Zeitraums nicht ungewöhnlich viele Mobilfunkverträge auf einmal abschließt, ist auch nicht ersichtlich, inwieweit sich die Meldung eines Mobilfunkvertrages negativ auf die Bonitätsbewertung des Kl. auswirken soll. Auch der SCHUFA-Basisscorewertes von 98,37 ist ein sehr guter Wert, der in vielen anderen Verfahren gegen die S. als absolut erstrebenswert angesehen wird. Außerdem hat sich aus der Anhörung des Kl. auch nicht die Beeinträchtigung ergeben, die von seinen Anwälten prozessual behauptet wurde. Der Kl. hat zunächst angegeben, dass ihm bei Vertragsschluss mögliche Verstöße gegen die DS-GVO nicht so wichtig gewesen seien, sondern dass er bei der Durchsicht des Vertrages sich auf andere Kernthemen wie keinen Folgevertrag, keine Kostenfallen durch Zusatzdienste konzentriert hat. |
| NEU LG München I Urt. v. 7.10.2024 – 6 O 16784/23 | 0 EUR Ein Anspruch des Kl. auf Ersatz ihm entstandener immaterieller Schäden besteht nicht. Der Kl. hat keine Beeinträchtigung erlitten, die einen immateriellen Schaden begründet. Art. 82 Abs. 1 DS-GVO ist dahingehend auszulegen, dass der bloße Verstoß gegen die Bestimmungen der DS-GVO nicht ausreicht, um einen Schadensersatzanspruch zu begründen. Vielmehr muss der Kl. nach der Rspr. des EuGH einen konkreten immateriellen oder materiellen Schaden darlegen und beweisen, ebenso wie das Vorliegen eines Verstoßes gegen die DS-GVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind. Nach dem Urt. des EuGH v. 14.12.2023 - C-340/21 [= ZD 2024, 150 mAnm Sosna/Ligocki = MMR 2024, 231 mAnm Kohl/Rothkegel] kann auch ein Kontrollverlust einen Schaden nach Art. 82 DS-GVO darstellen. Das angerufene nationale Gericht hat nach dieser Entscheidung des EuGH dann, wenn sich eine Person auf eine Befürchtung beruft, dass ihre personenbezogenen Daten in Zukunft missbräuchlich verwendet werden, jedoch zu prüfen, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann. Unbegründete Befürchtungen erkennt der EuGH somit nicht als Schaden an. Die vom Kl. vorgetragenen Sorgen und Ängste, als er die Kopie seiner bei der S. gespeicherten Daten erhalten habe, haben sich hier unter Berücksichtigung sämtlicher Umstände des Einzelfalles und im Hinblick auf die Person des Kl. als unbegründet erwiesen. |
| NEU LG Berlin II Urt. v. 7.10.2024 – 61 O 143/24 | 0 EUR Dem Kl. steht gegen die Bekl. kein Anspruch auf Zahlung von Schadensersatz aus Art. 82 Abs. 1 DS-GVO zu. Dabei kann offenbleiben, ob die Bekl. durch die Übermittlung der Positivdaten an die S. im Streitfall deswegen gegen Art. 6 Abs. 1 DS-GVO verstoßen hat, weil die in dieser Norm genannten Bedingungen für eine rechtmäßige Verarbeitung personenbezogener Daten nicht gegeben sind. Denn der bloße Verstoß gegen die DS-GVO reicht nicht aus, um einen Anspruch aus Art. 82 Abs. 1 DS-GVO zu begründen, da das Vorliegen eines materiellen oder immateriellen Schadens ebenso eine Voraussetzung für diesen Schadensersatzanspruch ist wie das Vorliegen eines Verstoßes gegen die DS-GVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß. Im Streitfall fehlt es an einem durch den – unterstellten – Verstoß der Bekl. gegen die DS-GVO eingetretenen Schaden des Kl. Der Ersatz eines immateriellen Schadens iSd Art. 82 Abs. 1 DS-GVO, um den es nach dem Klageantrag zu 1. allein geht, ist allerdings nicht davon abhängig, dass der der betroffenen Person entstandene Schaden einen gewissen Schweregrad erreicht hat. Ein – selbst kurzzeitiger – Verlust der Kontrolle über personenbezogene Daten kann einen „immateriellen Schaden“ iSv Art. 82 Abs. 1 DS-GVO darstellen, der einen Schadensersatzanspruch begründet, sofern die betroffene Person den Nachweis erbringt, dass sie tatsächlich einen solchen Schaden – so geringfügig er auch sein mag – erlitten hat. Auch allein der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen die DS-GVO befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, kann einen „immateriellen Schaden“ iSd in Rede stehenden Bestimmung darstellen, wobei das Gericht zu prüfen hat, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann. Danach ist im Streitfall nicht der Nachweis erbracht, dass durch die Übermittlung der Positivdaten an die S. ein immaterieller Schaden des Kl. eingetreten ist. Dass der Kl. durch die Übermittlung dieser Daten einen auch nur kurzzeitigen oder geringfügigen Kontrollverlust über sie erlitten hätte, kann nicht festgestellt werden. Die zur Identifikation des Kl. notwendigen Daten (Name, Geburtsdatum und Anschrift) lagen der S. bereits vor deren Übermittlung durch die Bekl. aus anderen Quellen vor, sodass von vornherein nicht erkennbar ist, wie die Kontrolle des Kl. über sie infolge der Übermittlung beeinträchtigt worden sein könnte. Und Anhaltspunkte dafür, dass die Information darüber, dass der Kl. am 27. September 2019 einen Mobilfunkvertrag mit der Bekl. unter einer bestimmten Vertragsnummer abgeschlossen hat, bei der S. einem geringeren Schutz vor unberechtigter Verbreitung unterlegen hätte, als dies bei der Bekl. der Fall ist, bestehen nicht; ein fassbarer Kontrollverlust kann daher auch in dieser Hinsicht nicht festgestellt werden. |
| NEU LG Frankfurt/O. Urt. v. 7.10.2024 – 13 O 4/24 | 0 EUR Dem Kl. steht gegen die Bekl. der geltend gemachte Anspruch auf Zahlung eines immateriellen Schadensersatzes aus Art. 82 Abs. 1 DS-GVO oder einer anderen denkbaren Anspruchsgrundlage nicht zu. Der allein vom Kl. vorgetragene und nach seinem Vortrag denkbare Verstoß der Bekl. gegen Art 6 Abs. 1 S. 1 lit. f DS-GVO liegt nicht vor. Insoweit ist in Rspr. und lit. streitig, ob die von der Bekl. vorgetragenen berechtigten Interessen, namentlich die Betrugs- und Überschuldungsprävention, Präzision der Ausfallrisikoprognosen sowie die Validierung der bei der S. vorhandenen Daten das Recht des Kl. auf informationelle Selbstbestimmung überwiegen. Abgesehen von diesen Erwägungen mangelt es überdies an einem ersatzfähigen Schaden des Kl. iSd Art. 82 Abs. 1 DS-GVO. Auch wenn keine Erheblichkeitsschwelle für das Vorliegen eines Schadens zu fordern ist und Bagatellschäden nicht auszuschließen sind, muss sich aus dem Vortrag eines Kl. doch wenigstens ein solcher Schaden ergeben. Der formelhafte nicht auf die Person des Kl. individualisierte Vortrag genügt hierfür nicht. Die Behauptung des Kl., bei ihm habe sich nach Erhalt der Auskunft der S. wegen der Positivmitteilung der Bekl. ein Gefühl des Kontrollverlustes und der großen Sorge, auch in Bezug auf die Beurteilung seiner Bonität eingestellt, ist schlichtweg konstruiert. Da in D. jeder Erwachsene üblicherweise über einen Mobilfunkvertrag verfügt, hebt die Information, dass der Kl. auch einen Mobilfunkvertrag abgeschlossen hat, ihn in keiner Weise von Millionen anderer in D. lebender Erwachsenen ab. Damit kann diese Information anderen Teilnehmern am Wirtschaftsverkehr wie Banken und Versicherungen auch keinen Anlass geben zu kritischer Nachfrage. Soweit der Kl. einen „objektiv falschen“ bzw. einen „beeinflussten“ SCHUFA-Score oder auch eine „Veränderung in der Bonitätsbewertung“ bzw. eine „unrichtige Einstufung der Zahlungsausfallwahrscheinlichkeit“ geltend macht, überzeugt auch dies nicht: Da der Kl. den Mobilfunkvertrag abgeschlossen hatte, die Meldung inhaltlich also richtig war, konnte ein unter ihrer Einbeziehung gebildeter Score nicht objektiv falsch sein. |
| NEU LG Mönchengladbach Urt. v. 7.10.2024 – 1 O 55/24 | 0 EUR Die Klagepartei hat keinen Anspruch auf Zahlung eines immateriellen Schadensersatzes bzw. auf Feststellung der Ersatzpflicht für zukünftige Schäden aus Art. 82 Abs. 1 DS-GVO oder einer anderen Bekl. Anspruchsgrundlage gegen die Bekl. zu. Vorliegend ist die von der Beklagten vorgenommene Datenübermittlung von Art. 6 Abs. 1 UAbs. 1 lit. f. DS-GVO gedeckt. |
| NEU LG Lübeck Urt. v. 4.10.2024 – 15 O 216/23 | 350 EUR Der Klägerseite steht gegen die Bekl. ein Anspruch auf Zahlung von immateriellem Schadensersatz gem. Art. 82 Abs. 1 DS-GVO wegen Datenschutzverstößen im Zusammenhang mit dem unstreitigen Datenschutzvorfall bei der Unterauftragnehmerin der Klägerseite, zu. Dass die Daten der Klägerseite zunächst bei der Bekl. als standardmäßig vorgehaltene Kundendaten vorgehalten wurden, ist dabei als unstreitig zu behandeln. Dass die Daten sodann von der Bekl. an die O. herausgegeben und von dort abgegriffen und veröffentlicht wurden, stuft die Kammer ebenfalls als unstreitig ein. Dabei hat die Kammer eingehend gewürdigt, dass die Bekl. allerdings mit Nichtwissen bestreitet, dass die Daten veröffentlicht wurden. Der Bekl. steht es jedoch zur Überzeugung der Kammer nicht zu, die vorgetragene Veröffentlichung der Daten mit schlichtem Nichtwissen zu bestreiten. Die Klägerseite hat konkret vorgetragen, welche ihrer Datenpunkte auf welcher konkreten Seite im Darknet veröffentlicht wurden. Dies darf die Bekl. nicht mit Nichtwissen bestreiten. In der Rspr. des BGH ist insoweit geklärt, dass eine Erklärung mit Nichtwissen auch außerhalb des Bereichs der eigenen Handlungen und eigenen Wahrnehmung der Partei unzulässig ist, wenn und soweit eine Informationspflicht der Partei hinsichtlich der vom Gegner behaupteten Tatsachen besteht. Dies ist hier der Fall. Denn gem. Art. 33 Abs. 3 lit. c, Abs. 4 DS-GVO ist der Verantwortliche – hier mithin die Bekl. – im Falle einer Verletzung des Schutzes personenbezogener Daten verpflichtet, über die wahrscheinlichen Folgen der Verletzung des Schutzes der Daten ebenso zu informieren, wie über die Maßnahmen zur Behebung der Verletzung sowie zur Abmilderung der möglichen nachteiligen Auswirkungen. Diese Informationspflichten machen es erforderlich, dass sich die Bekl. ein eigenes Bild über die vorgetragenen Folgen des Vorfalles, die Wege der Verbreitung der Daten und hierauf aufbauend über etwaige Möglichkeiten zur Abmilderung der Folgen verschafft – zumal es einem weltweit tätigen Unternehmen wie der Bekl. ganz offenkundig technisch unproblematisch möglich ist, die entsprechenden Informationen beizuziehen. Dass es der Bekl. unzumutbar gewesen sein soll, auf der entsprechenden Seite im Darknet zu prüfen und zu sichern, welche konkreten Informationen dort verbreitet werden, ist nicht nachvollziehbar vorgetragen. Soweit die Bekl. insoweit ausführt, es sei ihr nicht zuzumuten, sich „in einem illegalen Forum anzumelden“ ist dieser Vortrag schon nicht einlassungsfähig. Zwischen den Parteien ist unstreitig, dass die Daten zum Download angeboten wurden. Dass dieser Download an unzumutbare Bedingungen oder Anmeldeprozedere geknüpft wurde, ist weder ersichtlich noch ansatzweise nachvollziehbar vorgetragen. Ebensowenig ist ersichtlich, inwieweit ein zur Beweissicherung, Strafverfolgung, Dokumentation und Unterrichtung der Betroffenen evident erforderlicher, kostenfreier Download der veruntreuten Daten dazu beigetragen haben sollte, „Kriminelle zu unterstützen“. Das Gericht ist jedoch überzeugt, dass bereits die Übertragung der streitgegenständlichen Daten von der Bekl. an die O. unter Verstoß gegen Bestimmungen der DS-GVO erfolgte. Fehlt es an diesen Voraussetzungen, so stellt sich auch die Übermittlung der Daten von dem Verantwortlichen an den Auftragsverarbeiter oder Unterauftragsverarbeiter als rechtswidrig dar. Eine automatische Verpflichtung der Konzerntochter durch einen Vertrag der Konzernmutter findet nicht statt, so dass auch vertragliche Datenschutzpflichten der Konzernmutter nicht ohne weiteres zugleich sämtliche Töchter verpflichten. Eine Begrenzung der Haftung findet vielmehr nach der Konzeption des Art. 82 DS-GVO nicht über den weiteren Begriff der „Beteiligung“, sondern über die Exkulpationsmöglichkeit des Art. 82 Abs. 3 DS-GVO statt. Soweit nach den obigen Ausführungen haftungsbegründende und der Bekl. zuzurechnende Verletzungen der DS-GVO vorliegen, sind diese auch von der Bekl. zu vertreten. Dabei kann für das vorliegende Verfahren dahinstehen, ob Art. 82 DS-GVO eine verschuldensunabhängige Haftung begründet, eine Gefährdungshaftung mit der bloßen Möglichkeit der rechtsvernichtenden Einwendung fehlenden Verschuldens oder ob mit der wohl h.M. angenommen werden kann, Art. 82 Abs. 3 DS-GVO enthalte ein Verschuldenserfordernis im Sinne der gängigen deutschen Terminologie mit einer entsprechenden Vermutung zu Lasten des Normverletzers und einer bei dem Verpflichteten liegenden Beweislast, dass weder Vorsatz noch Fahrlässigkeit vorlag. Denn selbst wenn Art. 82 DS-GVO eine Exkulpationsmöglichkeit nach gängiger deutscher Terminologie zukommen würde, wäre der Bekl. eine Exkulpation nicht gelungen. Im Hinblick auf die rechtwidrige Übertragung der Daten von der Bekl. auf O. sind keine Umstände ersichtlich, die die Bekl. entlasten könnten. Die Übertragung der Daten auf eine nicht hinreichend auf Datenschutzpflichten verpflichtete Drittfirma erfolgte jedenfalls fahrlässig. Insbesondere hätte die Bekl. bei pflichtgemäßer Kenntnis der einschlägigen Vorgaben der DS-GVO realisieren müssen, dass keinerlei vertragliche oder sonstige Verpflichtung der O. gem. Art. 28 Abs. 3 DS-GVO sichergestellt und eine Übergabe von personenbezogenen Daten an diese Firma mithin rechtswidrig war. Des Weiteren liegt auch ein ersatzfähiger Schaden iSv Art. 82 Abs. 1 DS-GVO vor. Grds. ermöglicht Art. 82 Abs. 1 DS-GVO den Ersatz materieller und immaterieller Schäden. Ein materieller Vermögensschaden wurde von der Klägerseite nicht vorgetragen. Sie beruft sich jedoch erfolgreich auf das Vorliegen eines immateriellen Schadens. Als Anknüpfungspunkte für einen immateriellen Schaden iSd Art. 82 DS-GVO sind hier die von der Klägerseite geschilderten Spam-Emails und Anrufe, die vorgetragenen Sorgen und Ängste in Folge des oben festgestellten Datenschutzverstoßes durch die Bekl., die Veröffentlichung der Daten der Klägerseite im Internet denkbar und/oder die Übermittlung von Daten der Klägerseite an die für den Datenschutzvorfall Verantwortlichen an sich. Auf die von der Klägerseite geschilderten Spam-Emails und die bei ihr eingehenden Anrufe kann sich die Klägerseite – und das Gericht erlaubt sich an dieser Stelle zu ergänzen: ganz offensichtlich – nicht berufen. Die Beklagtenseite hat insoweit nachvollziehbar bestritten, dass diese Emails und Anrufe etwas mit dem streitgegenständlichen Datenschutzvorfall zu tun haben und taugliche Beweisangebote der Klägerseite dafür, dass diese Anrufe bzw. Emails konkret durch den hier behandelten Datenschutzvorfall ermöglicht wurden, fehlen naturgemäß. Es ist insoweit dem Gericht aus eigener Anschauung bekannt, dass jedermann das Risiko trägt, Gegenstand derartiger Emails und Anrufe zu werden und entsprechend in keiner Weise nachvollzogen werden kann, aus welcher Quelle die hierfür Verantwortlichen die benötigten Daten, insb. die Emailkennung oder Telefonnummer beziehen. Vor diesem Hintergrund verbietet sich jedweder Anscheinsbeweis dahingehend, dass vorliegend der streitgegenständliche Datenschutzvorfall Quelle der benötigten Daten für die Anrufe bzw. Emails war. Dies gilt ausdrücklich auch im Hinblick auf eine etwaige zeitliche Koinzidenz der Anrufe/ Emails mit dem hier verhandelten Vorfall bei Deezer. Diese erhöht zwar die Wahrscheinlichkeit, dass ein Kausalzusammenhang bestehen könnte, bietet jedoch keinen hinreichenden Beweiswert, um diese Behauptung aus dem Reich der bloß irgendwie plausibel klingenden Spekulation in den Bereich des gerichtlichen Vollbeweises zu erheben. Vorliegend liegt ein Schaden iSv Art. 82 DS-GVO jedoch in den geltend gemachten Ängsten und Sorgen der Klägerseite begründet. Diese hat in der mündlichen Verhandlung hierzu nachvollziehbar ausgeführt, dass sie, nachdem ihr der streitgegenständliche Datenverlust bewusst geworden war, Angst habe und sich Sorgen mache. Aufgrund des streitgegenständlichen Vorfalles habe der Kl. Angst, dass seine Daten gestohlen werden könnten und dass in Zukunft so etwas wieder passiere. Er habe dadurch auch Angst, sich auf anderen Plattformen Benutzerkonten anzulegen und nutze wenn möglich nur noch Gast-Accounts. Die E-Mail-Adresse, die betroffen sei, nutze er auch im Alltag. Daher habe er Sorge, dass er doch mal auf einen Pishing-Angriff hineinfalle. Davon, dass diese – von der Beklagtenseite bestrittenen – Ängste tatsächlich vorliegen, ist das Gericht aufgrund der mündlichen Anhörung im Verhandlungstermin überzeugt. In der Rspr. ist insoweit anerkannt, dass das Gericht iRd freien Würdigung des Verhandlungsergebnisses den Behauptungen und Angaben einer Partei i.S.v. § 141 ZPO unter Umständen auch dann glauben und sein Urteil hierauf stützen kann, wenn diese ihre Richtigkeit sonst nicht beweisen kann. So liegt es hier. Die Aussagen der Klägerseite erachtet das Gericht für glaubhaft. Dabei waren an die Glaubhaftigkeit der Angaben schon im Ansatz keine überstiegenen Anforderungen zu stellen. Denn schon im Ansatz liegt es mehr als Nahe, dass sich die Klägerseite nach Bekanntwerden des Verlustes ihrer Daten bei der Bekl. Sorgen um deren Verbleib und um deren Verwendung durch die hierfür Verantwortlichen macht. Für die Kammer liegt es insoweit nahe, dass sich faktisch jedermann, der davon erführe, dass seine Daten Gegenstand eines offensichtlich kriminellen Angriffes waren, über deren Verbleib und über deren weitere Verwendung für illegitime Zwecke Sorgen machen würde. Es nimmt daher wenig Wunder, dass dies auch bei der Klägerseite der Fall war. Der Kl. führte nachvollziehbar aus, dass er sich aufgrund des streitgegenständlichen Vorfalles Sorgen mache. Ein Schaden iSv Art. 82 DS-GVO liegt auch nach neuerlicher Überprüfung durch die Kammer in der Veröffentlichung der streitgegenständlichen Daten der Klägerseite im Darknet. Unter welchen Voraussetzungen ein „immaterieller Schaden“ iSv Art. 82 Abs. 1 DS-GVO anzunehmen ist, richtet sich nach einer unionsrechtlichen und insoweit vom Recht der Mitgliedstaaten autonomen Auslegung dieses Begriffes. Maßgeblich sind für die Auslegung insbesondere der Wortlaut der betreffenden Bestimmung als auch der Zusammenhang in der sie sich einfügt. Aus dem Regelungszusammenhang ergibt sich vorliegend, dass der Begriff des „immateriellen Schadens“ weit auszulegen ist. Dies folgt insb. aus Erwägungsgrund 146 S. 3 DS-GVO, nach dem „der Begriff des Schadens… im Lichte der Rspr. des Gerichtshofes weit auf eine Art und Weise ausgelegt werden [soll], die den Zielen dieser Verordnung im vollen Umfang entspricht“. Das gleiche ergibt sich aus dem weiteren Regelungszusammenhang. Generell ist dem europäischen Recht – soweit nicht explizit anders angeordnet – eine Beschränkung des ersatzfähigen Schadens auf bestimmte, besonders geschützte Rechtsgüter fremd. Entsprechend gilt, dass eine Beschränkung des Schadensbegriffes auf bestimmte Rechtsgüter nicht stattfindet, mithin jedwede Beeinträchtigung irgendeines im Unionsrecht anerkannten Rechtsgutes Schadensersatzforderungen auszulösen vermag. Die europäische Rechtslage unterscheidet sich insoweit maßgeblich von der geläufigen deutschen Regelung nach §§ 253 BGB, nach der generell nur Vermögensschäden ersetzt werden und ansonsten allenfalls noch die Rechtsgüter der körperlichen Unversehrtheit, der Freiheit und der sexuellen Selbstbestimmung Schadensersatzansprüche auszulösen vermögen. Eine derartige – von dem Verstoß gegen die DS-GVO selbst – zu trennende Rechtsgutverletzung liegt hier vor. In der europäischen Rechtsordnung ist das Recht auf informationelle Selbstbestimmung als besondere und absolut geschützte Ausprägung des allgemeinen Persönlichkeitsrechts anerkannt. Es folgt unmittelbar aus Art. 8 der Europäischen Grundrechtscharta und ist dort ausdrücklich geschützt. Diese Bestimmung schützt insbesondere die Herrschaft über die eigenen Daten, und damit die Möglichkeit, Dritte von der Erhebung oder Verwendung dieser Daten auszuschließen. Der Schutz dieses Rechts ist dabei auch ausdrücklich Gegenstand gerade auch der DS-GVO. IRd Kausalitätsprüfung ist dabei grds. erforderlich, dass der fragliche Schaden gerade durch die festgestellten Rechtsverstöße erfolgt sein muss. Zu keiner Unterbrechung der Kausalität führt zuletzt der - bestrittene - Vortrag der Bekl., dass die Zusammenarbeit mit O. bereits beendet war, als der externe Datenzugriff erfolgte. Es gelten für die Bemessung der Höhe des immateriellen Schadens die Grundsätze des § 253 BGB. Auch herangezogen werden können dabei die Kriterien des Art. 83 Abs. 2 DS-GVO. |
| NEU LG Lüneburg Urt. v. 1.10.2024 – 2 O 355/23 | 0 EUR Dem Kl. steht kein Anspruch auf Zahlung immateriellen Schadensersatzes aus Art. 82 Abs. 1 DS-GVO oder einer anderen denkbaren Anspruchsgrundlage gegen die Bekl. zu. Die Übermittlung der den Vertragsschluss betreffenden Daten an die S. durch die Bekl. stellt eine Verarbeitung iSd Art. 6 DS-GVO dar. Die Rechtmäßigkeit der Verarbeitung ergibt sich nicht daraus, dass der Kl. gem. Art. 6 Abs. 1 lit. a DS-GVO in die Datenverarbeitung eingewilligt hätte. Die Rechtmäßigkeit der Verarbeitung folgt jedoch aus Art. 6 Abs. 1 lit. f DS-GVO. Unabhängig von der Frage eines Verstoßes der Bekl. gegen die Bestimmungen der DS-GVO scheitert ein Anspruch des Kl. vorliegend daran, dass ein auf dem vom Kl. angenommenen Verstoß beruhender Schaden – der nach den allgemeinen Grundsätzen vom Kl. darzulegen und ggf. zu beweisen ist – nicht zur Überzeugung des Gerichts feststeht. Der EuGH hat am 04.05.2023 entschieden, dass Art. 82 DS-GVO dahin auszulegen ist, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadensersatzanspruch zu begründen. Es geht aus dem Wortlaut von Art. 82 Abs. 1 DS-GVO klar hervor, dass das Vorliegen eines „Schadens“ eine der Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadensersatzanspruch darstellt, ebenso wie das Vorliegen eines Verstoßes gegen die DS-GVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind. Daher kann nicht davon ausgegangen werden, dass jeder Verstoß gegen die Bestimmungen der DS-GVO für sich genommen den Schadensersatzanspruch der betroffenen Person iSv Art. 4 Nr. 1 dieser Verordnung eröffnet. Eine solche Auslegung liefe dem Wortlaut von Art. 82 Abs. 1 DS-GVO zuwider. Insofern muss konkret festgestellt werden, dass die – vom Anspruchssteller zu beweisenden – Folgen einen Schaden darstellen. Auch wenn sich aus der DS-GVO keine „Erheblichkeitsschwelle“ ergibt und damit auch Bagatellschäden anspruchsbegründend sein können, ist zu verlangen, dass ein konkreter immaterieller Schaden auch tatsächlich eingetreten („entstanden“) ist. Dies auch vor dem Hintergrund, dass der EuGH entschieden hat, dass dem in Art. 82 Abs. 1 DS-GVO vorgesehene Schadensersatzanspruch ausschließlich eine Ausgleichsfunktion, nicht aber Sanktionscharakter, insb. keine generelle oder spezielle Abschreckungsfunktion zukommt. Ein rein abstrakter Kontrollverlust begründet allein noch nicht zwingend einen Schaden, sondern kann nach der Rspr. des EuGH einen Schaden darstellen. |
| NEU LG Lüneburg Urt. v. 1.10.2024 – 2 O 2/24 | 0 EUR Wie LG Lüneburg Urt. v. 1.10.2024 – 2 O 355/23. |
| NEU LG Itzehoe Urt. v. 30.9.2024 – 10 O 4/24 | 0 EUR Der Klageantrag ist unbegründet, da der Klagepartei kein Anspruch auf Ersatz eines (immateriellen) Schadens gem. Art. 82 Abs. 1 DS-GVO iVm Art. 6 Abs. 1, 5 Abs. 1 lit. a DS-GVO zusteht. Die Voraussetzungen für einen Schadensersatzanspruch aus Art. 82 Abs. 1 DS-GVO liegen jedoch nicht vor, da es bereits an einem Datenschutzverstoß der Bekl., jedenfalls aber an einem kausalen ersatzfähigen Schaden bei der Klagepartei fehlt. Die Bekl. hat mit der Einmeldung des Vertragsabschlusses nicht gegen Art. Art. 6 Abs. 1 bzw. Art. 5 Abs. 1 lit. a DS-GVO verstoßen. Es kann dabei dahinstehen, ob die Klagepartei einer Einmeldung der Positivdaten bei der S. und C. im Vertrag mit der Bekl. zugestimmt hat oder durch das Merkblatt zum Datenschutz aus der Anlage B1 A davon Kenntnis hatte, da die Einmeldung der Positivdaten jedenfalls nach der nach Art. 6 Abs. 1 lit. f DS-GVO vorzunehmenden Interessensabwägung rechtmäßig war. Selbst wenn man einen Datenschutzverstoß der Beklagtenseite unterstellt, ist der Klagepartei jedenfalls der Nachweis eines kausalen Schadens nicht gelungen. Die Klagepartei hat einen kausalen materiellen Schaden nicht dargelegt. Daran ändert auch der Vortrag der Klägerseite in ihrer informatorischen Anhörung nichts, wonach ihr im Januar 2024 ein Privatkredit mit Verweis des Kreditanbieters auf den schlechten SCHUFA-SCORE der Klagepartei verwehrt worden sei. Eine Ursächlichkeit der streitgegenständlichen Einmeldung durch die Bekl. ist bereits deshalb ausgeschlossen, da die streitgegenständlichen Positivdaten in diesem Zeitpunkt durch die S. nach ihrer unbestrittenen Pressemitteilung bereits wieder gelöscht worden sein dürften. Da die Klagepartei eine SCHUFA-Selbstauskunft nicht vorgelegt hat, kann zudem nicht ausgeschlossen werden, dass nicht weitere SCHUFA-Einträge den schlechten SCHUFA-SCORE der Klägerseite primär verursacht haben. Eine SCHUFA-Auskunft hat die Klägerseite nicht vorgelegt. Auch der Nachweis eines kausalen immateriellen Schadens ist der Klägerseite nicht gelungen. In Anbetracht von Erwägungsgrund 75, 85, 146 und 148 DS-GVO hatte der Verordnungsgeber als immateriellen Schaden insoweit Diskriminierung, Identitätsdiebstahl, Identitätsbetrug, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden persönlichen Daten oder gesellschaftliche Nachteile ohne den Ausschluss von Bagatellschäden im Blick. Hinsichtlich eines möglichen künftigen Missbrauchs personenbezogener Daten wird ein immaterieller Schaden aber nur dann zu begründen sein, wenn es sich um einen realen und sicheren emotionalen Schaden handelt und nicht nur um ein Ärgernis oder eine Unannehmlichkeit. Ein etwaiger Verstoß führt – unabhängig der Frage der Erheblichkeit – jedenfalls nicht per se zu einem Schaden. Ein konkreter Schaden ist im jeweiligen Einzelfall festzustellen. Ein tatsächlicher Schaden im Sinne einer physischen oder psychischen Beeinträchtigung liegt aber im vorliegenden Einzelfall gerade nicht vor. Der Vortrag, dass sich unmittelbar nach Erhalt der Crif-Mitteilung ein Gefühl des Kontrollverlusts und der großen Sorge, insbesondere auch im Hinblick auf die eigene Bonität, eingestellt habe, dieses von der Angst geprägt gewesen sei, einer unberechtigten Übermittlung an eine Auskunftei und möglicherweise weiterer unberechtigter Übermittlungen ausgesetzt zu sein, und dies die Klagepartei bis zum heutigen Tag beunruhige, erfolgte offensichtlich ohne hinreichende Tatsachengrundlage. |
| NEU LG Duisburg Urt. v. 26.9.2024 – 11 O 309/23 = ZD 2025, 43 | 0 EUR Die Klage ist unbegründet. Es liegt kein Verstoß gegen die DS-GVO vor, so dass ein Anspruch des Kl. gem. Art. 82 DS-GVO nicht in Betracht kommt. Die Übermittlung der Informationen über den Abschluss des Vertrages zwischen dem Kl. und der Bekl. an Wirtschaftsauskunfteien, insb. an die S. Holding AG, durch die Bekl., war nach Art. 6 Abs. 1 S. 1 lit. f DS-GVO gerechtfertigt. |
| NEU LG Duisburg Urt. v. 26.9.2024 – 11 O 24/24 | 0 EUR Wie LG Duisburg Urt. v. 26.9.2024 – 11 O 309/23. |
| NEU LG Kiel Urt. v. 25.9.2024 – 13 O 220/23 | 0 EUR Dem Kl. steht ein Anspruch gegen die Bekl. auf immateriellen Schadensersatz aus keinem rechtlichen Grund zu. Es fehlt vorliegend bereits an einem einen Schadensersatzanspruch des Kl. begründenden Verstoß der Bekl. gegen die Bestimmungen der DS-GVO. Die beanstandete Übermittlung von Positivdaten war von Art. 6 Abs. 1 S. 1 lit. f DS-GVO gedeckt, weshalb die geltend gemachten Ansprüche ausscheiden. Dessen ungeachtet fehlt es hier an einem ersatzfähigen Schaden des Kl. Die Beweislast für das Vorliegen eines materiellen oder immateriellen Schadens trägt der Kl. als Anspruchsteller. Die von einem Verstoß gegen die DS-GVO betroffene Person muss den Nachweis führen, dass die geltend gemachten Folgen einen immateriellen Schaden iSd Verordnung darstellen. Die Worte „materieller oder immaterieller Schaden“ verweisen dabei nicht auf das Recht der Mitgliedstaaten, weshalb sie als autonome Begriffe des Unionsrechts anzusehen und in allen Mitgliedstaaten einheitlich auszulegen sind und eine einheitliche unionsrechtliche Definition erhalten müssen. Da ein bloßer Verstoß gegen die DS-GVO nicht ausreicht, muss konkret festgestellt werden, dass die (vom Kl. zu beweisenden) Folgen einen Schaden darstellen. Nach diesen Grundsätzen hat sich vorliegend ein konkreter und individueller Schaden des Kl. nicht feststellen lassen. Schon aus dem Vortrag des Kl. selbst erschließt sich nicht, inwieweit die Weitergabe von sogenannten Positivdaten, nämlich, dass er als Kunde einen Mobilfunkvertrag abgeschlossen hat, zu einem immateriellen Schaden führen soll. Sein Sachvortrag dazu ist pauschal und wird - gerichtsbekannt - in zahlreichen weiteren Klagen zumeist wortgleich verwendet. |
| NEU LG Köln Urt. v. 20.9.2024 – 37 O 14/24 | 0 EUR Der Kl. steht gegen die Bekl. kein Anspruch auf Ersatz eines immateriellen Schadens aus Art. 82 Abs. 2, Abs. 1 DS-GVO zu. Zwar ist diese Regelung vorliegend zeitlich, sachlich und räumlich anwendbar. Die Bekl. hat auch personenbezogene Daten der Kl. verarbeitet iSd Art. 5 Abs. 1 DS-GVO, indem sie Namen, Anschrift und Geburtsdatum der Kl. sowie die Daten zum Vertragsschluss mit der Bekl. an die S. weitergegeben hat. Dies ist unstreitig geschehen; soweit die Kl. mit Nichtwissen bestreitet, dass die Bekl. nicht noch weitere Daten aus dem Vertragsverhältnis verarbeitet und an die S. weitergegeben hat, verkennt sie, dass sie diejenige ist, die die Tatbestandsvoraussetzungen ihres Schadensersatzanspruchs zunächst schlüssig darlegen muss. Die Bekl. wiederum kann nicht mit Nichtwissen bestreiten, dass die Kl. am 18.01.2022 eine Auskunft der S. mit dem von ihr behaupteten Inhalt erhalten hat, nachdem die Kl. eine Ausfertigung dieser Auskunft als Anlage K3 - wenn auch mit einem anderen als dem behaupteten Datum - vorgelegt hat. Es kann dahinstehen, ob die Datenverarbeitung durch die Bekl. unter Einhaltung der in der DS-GVO aufgestellten Grundsätze erfolgt ist oder nicht, was die Bekl. darzulegen hat. Denn jedenfalls fehlt es an der Darlegung eines Schadens, der kausal auf die Datenverarbeitung durch die Bekl. zurückzuführen ist. Diesen wiederum hat die Kl. schlüssig darzulegen. Zwar ist es richtig, dass der in der DS-GVO verwandte Begriff immaterieller Schaden unionsautonom auszulegen ist. Dennoch setzt ein Schadensersatzanspruch auch nach dieser Auslegung, nach der der eingetretene Schaden keinerlei Erheblichkeitsschwelle überschreiten muss, einen über den Verstoß gegen die DS-GVO hinausgehenden Schaden als eigenständiges Tatbestandsmerkmal voraus. Es ist folglich zwischen dem Verstoß selbst und dem hieraus resultierenden Schaden zu differenzieren. Beide Voraussetzungen müssen kummulativ vorliegen. Mit Urt. v. 14.12.2023 - C-340/21 [= ZD 2024, 150 mAnm Ligocki/Sosna = MMR 2024, 231 mAnm Kohl/Rothkegel] hat der EuGH die Anforderungen an einen immateriellen Schaden weiter konkretisiert. Eine Auslegung von Art. 82 Abs. 1 DS-GVO dahin, dass der Begriff „immaterieller Schaden“ iSd Bestimmung keine Situationen umfasst, in denen sich eine betroffene Person nur auf ihre Befürchtung beruft, dass ihre Daten in Zukunft von Dritten missbräuchlich verwendet werden, wäre danach nicht mit der Gewährleistung eines hohen Schutzniveaus für natürliche Personen bei der Verarbeitung personenbezogener Daten in der Union vereinbar, die mit diesem Rechtsakt bezweckt wird. Allerdings ist darauf hinzuweisen, dass eine Person, die von einem Verstoß gegen die DS-GVO betroffen ist, der für sie negative Folgen gehabt hat, nachweisen muss, dass diese Folgen einen immateriellen Schaden iSv Art. 82 DS-GVO darstellen. Insb. muss das angerufene nationale Gericht, wenn sich eine Person, die auf dieser Grundlage Schadensersatz fordert, auf die Befürchtung beruft, dass ihre personenbezogenen Daten in Zukunft aufgrund eines solchen Verstoßes missbräuchlich verwendet werden, prüfen, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann. Nach alledem kann ein „Kontrollverlust“ einen immateriellen Schaden iSv Art. 82 Abs. 1 DS-GVO darstellen. Einen immateriellen Schaden hat die Kl. vorliegend jedoch nicht dargelegt und ein solcher ist auch nicht ersichtlich. Soweit die Kl. ein Gefühl des Kontrollverlustes und der ständigen Angst vor - mindestens - unangenehmen Rückfragen in Bezug auf ihre Bonität und ihr Verhalten im Wirtschaftsverkehr vorträgt, ist dies nicht nachvollziehbar. Denn aus den Eintragen der Bekl. zu den bestehenden Mobilfunkverträgen ergeben sich keinerlei negative Rückschlüsse hinsichtlich der Liquidität der Kl. Vielmehr spricht dieses Dauerschuldverhältnis aus Sicht potentieller Vertragspartner dafür, dass die Kl. ihren bisherigen vertraglichen Verpflichtungen stets nachgekommen ist und macht sie somit zu einem attraktiven potentiellen Kunden/Vertragspartner. Soweit die Kl. weiter angibt, dass sie sich ständig frage, inwiefern die Datenweitergabe durch die Bekl. eine Auswirkung auf ihren S.-Score habe, ist zunächst darauf hinzuweisen, dass vorliegend kein Fall der Weitergabe falscher Daten gegeben ist, da die Bekl. lediglich - inhaltlich richtige - Rahmendaten zum Vertragsschluss übermittelt hat. Dass diese sich negativ auf den S.-Score der Kl. auswirken könnten, ist lediglich eine durch nichts belegte und nach dem Vorgesagten auch nicht plausible Behauptung der Kl. Eine rein subjektive Befürchtung der Kl., die keine Anknüpfungspunkte in objektiven Tatsachen hat, ist aber nicht geeignet, einen Schaden der Kl. zu begründen. |
| NEU LG Mannheim Urt. v. 13.9.2024 – 9 O 281/24 | 0 EUR Die Kl. kann von der Bekl. nicht den Ersatz eines immateriellen Schadens aus Art. 82 Abs. 1 DS-GVO verlangen, denn die Voraussetzungen der Vorschrift liegen hier nicht vor. Vorausgesetzt ist gem. Art. 82 Abs. 2 S. 1 DS-GVO eine Verarbeitung personenbezogener Daten unter Verstoß gegen die Bestimmungen der DS-GVO, ein dem Betroffenen entstandener Schaden und ein Kausalzusammenhang zwischen der rechtswidrigen Verarbeitung und dem Schaden. Es kann dahinstehen, ob die Voraussetzungen nach Art. 6 Abs. 1 Buchstabe f DS-GVO vorliegend erfüllt waren, denn jedenfalls liegt kein kausaler Schaden vor. Die Kl. beschreibt mit den Folgen des von ihr befürchteten Kontrollverlusts negative Folgen, nicht aber einen immateriellen Schaden. Die weitere Aufklärung iRd informatorischen Anhörung führt zu keiner anderen Beurteilung. Die Kl. hat ihren Vertrag bei der Bekl. nicht gleich am 11.10.2023, sondern erst im Juni 2024 gekündigt, so dass der Schock über die Übermittlung der Positivdaten nicht sonderlich groß gewesen sein kann. Die von der Kl. geschilderten negativen Erfahrungen mit S.-Einträgen sind nicht belegt. Was der Hintergrund für die Ablehnung der Eingehung von Mietverhältnissen war, ist nicht feststellbar. Das von der Kl. befürchtete Score lag durchweg über 90 %, nur einmal bei 82 %, ohne dass ein Zusammenhang zu einem Mietvertragsabschluss ersichtlich wäre. Stattdessen sind die Eingehung eines Rahmenkredits von 1.500 Euro am 18.01.2022, eines Kreditvertrags über 3.500 Euro am 18.05.2022, eines Rahmenkredits von 5.700 Euro am 01.02.2023, eines Kreditvertrags über 4.467 Euro am 02.06.2023, eines Leasingvertrags über 12.291 Euro nach dem 11.07.2023 gespeichert. Die Befürchtung, die Mitteilung, einen Mobilfunkvertrag zu unterhalten, könne sich negativ auswirken, ist nicht nachvollziehbar und wird auch von der Kl. nicht ernsthaft gehegt, denn sie geht selbst davon aus, dass es Leute gibt, bei denen es sich positiv, andere bei denen es sich negativ auswirkt. Ein Anspruch auf Unterlassung der Übermittlung von Daten an Dritte kann auch nicht aus Art. 82 DS-GVO iVm § 249 Abs. 1 BGB hergeleitet werden, denn die Schadensrestitution würde sich nur auf die Beseitigung bereits erfolgter Datenweitergaben, nicht aber auf die Unterlassung künftiger Datenübermittlungen richten. |
| NEU LG Duisburg Urt. v. 11.9.2024 – 10 O 8/24 | 0 EUR Die klägerische Partei hat unter keinem rechtlichen Gesichtspunkt einen Anspruch auf Ersatz eines immateriellen Schadens als Ausgleich für Datenschutzverstöße gegen die Bekl. Der Anspruch ergibt sich weder aus Art. 82 Abs. 1 DS-GVO noch aus einer vertraglichen oder deliktischen Haftung der Bekl. nach Normen des BGB. Ansprüche der Klagepartei sind verjährt, §§ 195, 199 Abs. 1 BGB, denn die Partei hat von den den Anspruch begründenden Umständen und der Person des Schuldners bereits mit Abschluss des Vertrags Kenntnis erlangt oder hätte eine solche jedenfalls erlangen müssen. Selbst wenn man aber nicht von Verjährung ausgehen würde, so bestünden dennoch keine Ansprüche. Die Voraussetzungen des Art. 82 Abs. 1 DS-GVO sind nicht erfüllt. Der Bekl. ist kein Verstoß gegen die DS-GVO zur Last zu legen. Die bei der Bekl. erfolgte Verarbeitung der personenbezogenen Daten der Klagepartei erfolgte aufgrund einer wirksamen Einwilligung der Klagepartei gem. Art. 6 Abs. 1 UAbs. 1 lit. a, 7, 5 Abs. 1 lit. a Var. 1 DS-GVO. Darüber hinaus fehlt es an einem ersatzfähigen immateriellen Schaden der Klagepartei. Nach Auffassung des Gerichts setzt ein Anspruch auf Schadensersatz nach Art. 82 DS-GVO neben der Verletzung einer Vorschrift der DS-GVO auch einen hierauf beruhenden Schaden voraus, der durch den Anspruchsteller darzulegen und notfalls zu beweisen ist. Aus dem Wortlaut des Art. 82 Abs. 1 DS-GVO geht hervor, dass der betroffenen Person ein materieller oder immaterieller Schaden entstanden sein muss. Auch der Erwägungsgrund 146 der DS-GVO sieht insoweit vor, dass solche Schäden ersetzt werden sollen, die einer Person aufgrund einer Verarbeitung entstehen. Des Weiteren ergibt sich aus den im Erwägungsgrund 75 der DS-GVO aufgezählten möglichen immateriellen Schäden, dass der Verordnungsgeber den Datenschutzverstößen unterschiedliche Schadensfolgen zuschreibt, was denknotwendig ebenfalls gegen die Gleichsetzung eines Datenschutzverstoßes mit einem Schadenseintritt spricht. Der Begriff des Schadens ist nach dem Erwägungsgrund 146 der DS-GVO unter Berücksichtigung der Ziele der DS-GVO weit auszulegen. Danach soll der Anspruch einen vollständigen und wirksamen Ersatz des erlittenen Schadens sicherstellen. Schadensersatzforderungen sollen abschrecken und weitere Verstöße der Verantwortlichen unattraktiv machen. Der Schadensbegriff ist autonom auszulegen; es kommt nicht darauf an, ob bestimme Schadenspositionen im nationalen Recht als Schaden anerkannt sind. Insofern ist auch die bisherige deutsche Rspr. zu immateriellen Schäden nicht anwendbar, wonach nur schwerwiegende Persönlichkeitsverletzungen zu einem ersatzfähigen Schadensersatz führen. Der Erwägungsgrund 75 der DS-GVO nennt als mögliche immaterielle Schäden eine Diskriminierung, den „Identitätsdiebstahl“ oder -betrug, eine Rufschädigung, einen Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten. Als Bewertungskriterien können zudem die in Art. 83 DS-GVO genannten Kriterien der Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie die betroffenen Kategorien personenbezogener Daten herangezogen werden. Ein genereller Ausschluss von Bagatellschäden ist im Lichte dieser Erwägungsgründe nicht vertretbar. Dies wird auch aus Art. 4 Abs. 3 AEUV abgeleitet, der die Mitgliedsstaaten dazu anhält, Verstöße wirksam mit Sanktionen zu belegen, da nur so eine effektive Durchsetzbarkeit des EU-Rechts und damit auch der DS-GVO erzielt werden könne. Der Schaden ist demnach zwar weit zu verstehen, er muss jedoch auch wirklich erlitten, das heißt spürbar, objektiv nachvollziehbar und von gewissem Gewicht sein. Diese Auslegung wird bestätigt durch die Entscheidung des EuGH v. 4.5.2023 - C-300/21, wonach Art. 82 Abs. 1 DS-GVO dahin auszulegen ist, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung gerade nicht ausreicht, um einen Schadensersatzanspruch zu begründen. Die Klagepartei hat einen solchen erlittenen und spürbaren immateriellen Schaden nicht hinreichend dargelegt. Soweit sie vorträgt, es bestehe Besorgnis über die Weitergabe ihrer persönlichen Daten durch den Mobilfunkanbieter an eine Auskunftei, genügt dies nicht. Auch die weiteren Behauptungen, diese Handlung habe ein Gefühl des Kontrollverlusts hervorgerufen und sie fühle sich hilflos und der Macht der Auskunfteien ausgeliefert, die finanzielle Identität sei von einem Scoring abhängig, über das keinerlei Kontrolle bestehe, sie leide unter großem Unwohlsein, die Klagepartei fühle sich stigmatisiert und in ihrer persönlichen Integrität verletzt durch die Art und Weise, wie ihre finanzielle Identität bewertet werde, genügen nicht zur Darlegung eines Schadens. Ein etwaiger "Kontrollverlust" stellt schon keinen Schaden dar, ist aber zudem auch nicht eingetreten, da die klagende Partei es selbst in der Hand hatte, ob die Daten an die S. weitergegeben werden. Sie hat der Einmeldung ausdrücklich zugestimmt. Hätte sie dies nicht gewollt, hätte sie von einem Vertragsschluss mit der Bekl. Abstand nehmen müssen. Andere negative Auswirkungen der Positivmeldung sind nicht ersichtlich. Zum einen geht bei der heutzutage gegebenen Verbreitung des Mobilfunks ohnehin jeder potentielle Vertragspartner davon aus, dass sein Gegenüber einen Handy-Vertrag abgeschlossen hat. Im Gegenteil würde eher das Nicht-Vorhandensein eines Mobilfunk-Anschlusses Fragen bzgl. der Bonität aufwerfen. Denn der potentielle Vertragspartner müsste gerade in dem Fall Zweifel an der Liquidität und Bonität haben, wenn sein Gegenüber noch nicht einmal einen Handy-Vertrag abschließen konnte. |
| NEU LG Kassel Urt. v. 6.9.2024 – 10 O 81/24 | 0 EUR Der Klagepartei steht kein Anspruch auf Ersatz immateriellen Schadens aus - dem insoweit abschließenden - Art. 82 I DS-GVO zur Seite. Es fehlt bereits an dem erforderlichen Verstoß gegen die Vorgaben der DS-GVO; jedenfalls aber konnte sich das Gericht nicht vom Vorliegen des behaupteten immateriellen Schadens überzeugen. |
| NEU LG Braunschweig Urt. v. 4.9.2024 – 9 O 2880/23 | 0 EUR Der Kl. hat gegen die Bekl. keinen Anspruch auf Zahlung eines immateriellen Schadensersatzes aus Art. 82 Abs. 1 DS-GVO oder aus anderem Rechtsgrund. Die Darlegungs- und Beweislast für den Pflichtverstoß, den Schaden und die Kausalität liegt beim Kl. Ein einen Anspruch nach Art. 82 DS-GVO begründender Verstoß der Bekl. gegen die DS-GVO liegt nicht vor. Die durch den Kl. beanstandete Übermittlung der streitgegenständlichen Vertragsdaten an die S. war gem. Art. 6 Abs. 1 S. 1 lit. f DS-GVO rechtmäßig. Nach der informatorischen Anhörung des Kl. in der mündlichen Verhandlung konnte sich die Kammer zudem keine Überzeugung dahingehend bilden, dass der Kl. einen kausal auf die behaupteten Verstöße zurückzuführenden Schaden erlitten hat. Nach der jüngsten Rspr. des EuGH eröffnet nicht jeder „Verstoß“ gegen die Bestimmungen der DS-GVO für sich genommen den Schadensersatzanspruch der betroffenen Person iSv Art. 4 Nr. 1 dieser Verordnung. Eine solche Auslegung liefe dem Wortlaut von Art. 82 Abs. 1 DS-GVO zuwider. Der Ersatz eines immateriellen Schadens darf aber andererseits nicht von einer Erheblichkeitsschwelle abhängig gemacht werden. Der „immaterielle Schaden“ muss keine „Bagatellgrenze“ überschreiten, damit dieser Schaden ersatzfähig ist. Auch wenn es keine Erheblichkeitsschwelle gibt, so bedeutet dies indes nicht, dass die aus dem Datenschutzverstoß resultierenden negativen Folgen per se einen haftungsbegründenden Schaden darstellen; denn der EuGH führt hierzu explizit aus, dass diese Auslegung nicht bedeutet, „dass eine Person, die von einem Verstoß gegen die DS-GVO betroffen ist, der für sie negative Folgen gehabt hat, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden iSv Art. 82 dieser Verordnung darstellen“. Die Annahme eines solchen konkreten Schadens setzt in unionsautonomer Auslegung nach ständiger Rspr. des EuGH voraus, dass dieser „tatsächlich und sicher“ besteht. Demnach ist Art. 82 nicht so auszulegen, dass er einen Schadensersatzanspruch bereits bei jeder individuell empfundenen Unannehmlichkeit ohne ernsthafte Beeinträchtigung für das Selbstbild oder Ansehen einer Person begründet. Es ist nicht Aufgabe des Schadensersatzrechts, persönliche Empfindlichkeit und eine Schmerzensgeldkultur zu unterstützen, die keinen Bezug zu greifbaren Nachteilen hat. Auch der „präventive“ Effekt von Schadensersatzansprüchen rechtfertigt nicht eine Kommerzialisierung von allgemeinen „Ängsten und Sorgen“. Wenn der Gesetzgeber dies gewollt hätte, hätte er sich vom Schadensersatzrecht lösen müssen. Art. 82 ist auch nicht als Strafschadensersatz falsch zu verstehen. Vielmehr muss es um eine objektiv nachvollziehbare Beeinträchtigung von persönlichkeitsbezogenen Belangen gehen, die zwar jetzt nicht mehr „besonders schwerwiegend“ sein muss, aber trotzdem für den oder die Betroffenen ein gewisses Gewicht haben muss. Es ist ein tatsächlich erlittener Schaden erforderlich. Ein abstrakter Kontrollverlust ist nicht ausreichend. Die bloße Behauptung einer Befürchtung ohne nachgewiesen negative Folgen führt nicht zu einem Schadensersatz. Die psychische Beeinträchtigung muss hinreichend konkret dargelegt und glaubhaft gemacht werden. Erforderlich ist hierfür, dass der Betroffene Umstände darlegt, in denen sich seine erlebten Empfindungen widerspiegeln und dass nach der Lebenserfahrung der Datenschutzverstoß mit seinen Folgen Einfluss auf das subjektive Empfinden hat. Dies folgt daraus, dass es sich bei solchen Umständen um innere, der Beweis nur eingeschränkt zugängliche Tatsachen handelt, auf die mittelbar aus äußeren Tatsachen geschlossen werden muss. Hierfür trägt der Anspruchsteller die Darlegungs- und Beweislast mit dem für § 286 ZPO erforderlichen Beweismaß, sodass erst eine Wahrscheinlichkeit ausreicht, die Zweifeln Schweigen gebietet, ohne diese indes endgültig auszuschließen. |
| NEU LG Paderborn Urt. v. 2.9.2024 – 3 O 96/24 | 0 EUR Der Kl. hat gegen die Bekl. keinen Anspruch auf Zahlung eines Schmerzensgeldes. Dieser Anspruch folgt weder aus Art. 82 Abs. 1 DS-GVO noch aus anderen Anspruchsgrundlagen. Es liegt bereits kein Verstoß der Bekl. gegen die DS-GVO durch Weitergabe der streitgegenständlichen Positivdaten an die S. Holding AG vor. Überdies mangelt es auch an einem ersatzfähigen Schaden des Kl. iSd Art. 82 Abs. 1 DS-GVO. Für einen Anspruch aus Art. 82 Abs. 1 DS-GVO genügt nicht allein ein Verstoß gegen die DS-GVO; vielmehr ist der darauf beruhende Eintritt eines konkreten materiellen oder immateriellen Schadens zwingende Voraussetzung. Eine Erheblichkeitsschwelle in dem Sinne, dass immaterielle Bagatellschäden nicht ausgeglichen werden müssten, existiert nicht. Die Darlegungs- und Beweislast für den Eintritt des Schadens sowie die (Mit-)Ursächlichkeit des DS-GVO-Verstoßes liegt beim Betroffenen. Bei behaupteten und bestrittenen persönlichen oder psychologischen Beeinträchtigungen ist allerdings auch iRd § 287 Abs. 1 ZPO die Darlegung konkret-individueller und dem Beweis zugänglicher Indizien erforderlich, da andernfalls die bloße Bekundung des Betroffenen, einen immateriellen Schaden in Form belastender Gefühle erlitten zu haben, für einen Ersatzanspruch ausreichen würde. |
| NEU LG Bonn Urt. v. 2.9.2024 – 20 O 84/24 | 0 EUR Insb. der Anspruch auf Zahlung immateriellen Schadensersatzes aus Art. 82 Abs. 1 DS-GVO steht dem Kl. nicht zu. Nach Auffassung der Kammer spricht vorliegend viel dafür, dass bereits keine rechtswidrige Datenverarbeitung stattgefunden hat und damit schon gar kein Verstoß vorliegt, auf den ein Schadensersatzanspruch aus Art. 82 Abs. 1 DS-GVO gestützt werden könnte. Ob die Übermittlung von sog. „Positivdaten“ an Wirtschaftsauskunfteien – d.h. bloße Informationen über den Abschluss, die Durchführung oder Beendigung eines Vertrags, wie hier (im Unterschied zu sog. „Negativdaten“, die Informationen über Zahlungsrückstände oder Verstöße gegen Zahlungsverpflichtungen beinhalten und damit auf bereits bestehende Zahlungsschwierigkeiten hindeuten) – diesen Voraussetzungen genügen kann, ist in Rspr. und lit. bislang umstritten. Jedenfalls werden beide Kategorien von Seiten der Wirtschaftsauskunfteien verwendet, um anhand statistisch-mathematischer Verfahren einen sog. „Score-Wert“ zu ermitteln, der wiederum eine Prognose erlaubt, ob eine Person einen Vertrag und laufende Zahlungsverpflichtungen mutmaßlich wird erfüllen können. Letztlich kann die Frage der Rechtswidrigkeit der Datenverarbeitung jedoch sogar dahinstehen. Denn selbst wenn man vom Vorliegen eines Datenschutzverstoßes ausgehen würde, stünde dem Kl dennoch kein Schadensersatzsatzspruch aus Art. 82 Abs. 1 DS-GVO zu. Denn die Kammer kann nicht feststellen, dass der Kl. einen kausal auf die behaupteten Verstöße zurückzuführenden Schaden erlitten hat. Aus dem Wortlaut von Art. 82 Abs. 1 DS-GVO geht klar hervor, dass das Vorliegen eines Schadens, der zudem kausal auf einen Verstoß gegen die DS-GVO zurückzuführen sein muss, eine der Voraussetzungen für den dort normierten Schadensersatzanspruch darstellt. Dabei hat der EuGH klargestellt, dass allein der Verstoß gegen Verordnung noch keinen ersatzfähigen Schaden zu begründen vermag. Vielmehr muss – über den Verstoß hinausgehend – ein konkreter Schaden dargelegt werden, der aber keine bestimmte Erheblichkeitsschwelle zu überschreiten braucht, die Zuerkennung eines Schadensersatzanspruches ist vielmehr auch bei geringen Schäden durchaus möglich. Vorliegend jedoch trägt der Kl. lediglich formelhaft und völlig pauschal vor, dass er einen Kontrollverlust erlitten habe und etwaige negative Folgen der Datenverarbeitung befürchte. Ein bloß abstrakter "Kontrollverlust" reicht allein jedoch nicht aus zur Annahme eines immateriellen Schadens iSd Art. 82 Abs. 1 DS-GVO. Für eine darüberhinausgehende, konkrete Beeinträchtigung trägt der Anspruchsteller die Darlegungs- und Beweislast. Dieser Darlegungslast wird zudem, auch bei behaupteten persönlichen/psychologischen Beeinträchtigungen, nur durch die Darlegung konkret-individueller – und nicht, wie hier, in einer Vielzahl von Fällen gleichartiger – dem Beweis zugänglicher Indizien Genüge getan. Dazu, inwieweit aber der hiesige Kl. – über den behaupteten Kontrollverlust und die Sorge um die eigene Bonität bzw. Angst vor einem nachteiligen Scoring hinausgehend – konkret beeinträchtigt worden sein soll durch die beanstandete Datenverarbeitung, wird jedoch gar nichts vorgetragen. Insbesondere gelingt es dem Kl. nicht, in nachvollziehbarer Art und Weise darzulegen, warum gerade die Übermittlung der Positivdaten, die ja gerade nicht auf eine negative Zahlungsbereitschaft oder -fähigkeit hinweisen, seine angebliche Angst vor einer Score-Verschlechterung begründen soll. Im Rahmen seiner persönlichen Anhörung hat der Kl. auf Befragen durch das Gericht angegeben, die zur Akte gereichte S.-Auskunft vom 09.09.2023 selbst, seither aber keine weitere S.-Auskunft angefordert zu haben. Seine Sorge vor einer Score-Verschlechterung kann demnach nicht allzu groß sein. Denn in dem Wissen um die Möglichkeit einer solchen Abfrage hätte nichts näher gelegen, als auch noch die – bis zum hier streitgegenständlichen Vertragsabschluss – in der Vergangenheit liegenden Score-Werte zu erfragen, um eine mögliche Beeinflussung durch besagte Positivmeldung nachvollziehen zu können. Zudem hätte es bei echter Sorge aus Sicht der Kammer nahe gelegen, die Entwicklung des Score-Wertes auch weiterhin im Blick behalten zu wollen und von Zeit zu Zeit erneut eine Auskunft von der S. anzufordern. Stattdessen wird weder in diesem Punkt ersichtlich, dass die angebliche Sorge Einfluss auf die Lebensführung des Klägers gehabt hätte, noch wurden andere äußere Umstände dargelegt, die einen Rückschluss auf die behaupteten inneren Tatsachen zugelassen hätten. Was bleibt, ist die Beschreibung bloßer negativer Gefühle von Sorge und Angst, die grds. Teil des allgemeinen Lebensrisikos bzw. des täglichen Erlebens sind. Sie allein können nach Auffassung der Kammer jedoch nicht Grundlage für den begehrten Schadensersatzanspruch sein. |
| NEU LG Rottweil Urt. v. 28.8.2024 – 3 O 2/24 | 0 EUR Dem Kl. steht weder ein Anspruch auf Zahlung immateriellen Schadensersatzes noch auf Unterlassung der Übermittlung von Positivdaten bzw. Ersatz von weiteren Schäden und von angefallenen Rechtsanwaltskosten zu. Vorliegend fehlt es bereits an einem Verstoß gegen die Bestimmungen der DS-GVO, aus welchem sich ein Schadensersatzanspruch des Kl. ergeben könnte. Der vom Kl. vorgetragene Verstoß der Bekl. gegen Art. 6 Abs. 1 S. 1 lit. f DS-GVO liegt nicht vor. IÜ mangelt es an einem ersatzfähigen Schaden des Kl. iSd Art. 82 Abs. 1 DS-GVO. Nach allgemeinen Grundsätzen obliegt es dem Kl., die (Mit-) Ursächlichkeit des - vermeintlichen - Verstoßes für die geltend gemachten Schäden darzulegen und ggf. zu beweisen. Der EuGH hat am 04.05.2023 entschieden, dass Art. 82 DS-GVO dahin auszulegen ist, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadensersatzanspruch zu begründen. Es geht aus dem Wortlaut von Art. 82 Abs. 1 DS-GVO klar hervor, dass das Vorliegen eines „Schadens“ eine der Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadensersatzanspruch darstellt, ebenso wie das Vorliegen eines Verstoßes gegen die DS-GVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind. Daher kann nicht davon ausgegangen werden, dass jeder Verstoß gegen die Bestimmungen der DS-GVO für sich genommen den Schadensersatzanspruch der betroffenen Person iSv Art. 4 Nr. 1 dieser Verordnung eröffnet. Eine solche Auslegung liefe dem Wortlaut von Art. 82 Abs. 1 DS-GVO zuwider. Insofern muss konkret festgestellt werden, dass die - vom Anspruchssteller zu beweisenden - Folgen einen Schaden darstellen. Eine Erheblichkeitsschwelle für das Vorliegen eines solchen Schadens ergibt sich dabei nicht aus der DS-GVO. Bagatellschäden sind folglich nicht auszuschließen. Zu verlangen ist aber jedenfalls, dass ein konkreter immaterieller Schaden auch tatsächlich eingetreten („entstanden“) ist. Ein abstrakter „Kontrollverlust“ allein reicht demnach für einen immateriellen Schaden im Sinne des Art. 82 DS-GVO nicht aus, für eine darüberhinausgehende Beeinträchtigung trägt der Anspruchsteller die Darlegungs- und Beweislast. Bloße negative Gefühle wie Unmut, Unzufriedenheit, Sorge und Angst, die an sich Teil des allgemeinen Lebensrisikos und oft des täglichen Erlebens sind, hält das Gericht als Grundlage für einen Schadensersatzanspruch jedenfalls dann für nicht ausreichend, wenn - wie hier - kein Einfluss auf die Lebensführung ersichtlich und damit ein konkreter Rückschluss von äußeren Umständen auf diese inneren Tatsachen nicht möglich ist. Hinsichtlich letzterer hat der Kl. dargelegt, dass es nach seiner Kenntnis keine Verträge o.ä. gibt, die aufgrund der Eintragung der Bekl. nicht mit ihm abgeschlossen worden wären. Er wolle lediglich vermeiden, dass so etwas in Zukunft passieren könne. |
| NEU LG Mosbach Beschl. v. 27.8.2024 – 2 O 89/23 | 0 EUR Der Antrag auf Zahlung eines Schmerzensgeldes und auf Unterlassung ist entgegen der Auffassung der Bekl. nach § 253 Abs. 2 Nr. 2 ZPO bestimmt genug. Da es bei Klagen auf Ausgleich immaterieller Schäden im Hinblick auf die Bemessung durch das Gericht nach billigem Ermessen grds. und wie hier – keiner Bezifferung der Leistungsklage bedarf, ist es auch ausreichend, dass die Klagepartei ihre Vorstellung des auszusprechenden Entschädigungsbetrages einheitlich auf einen Betrag Mindestbetrag veranschlagt. Dieser wurde vorliegend mit 1.000 EUR angegeben. Die Klagepartei trägt für Ihre Behauptung die volle Beweislast. Im Zivilrecht ist als Beweislastprinzip im Allgemeinen der Grundsatz anerkannt, das jede Partei, die den Eintritt einer Rechtsfolge geltend macht, die Voraussetzungen des ihr günstigen Rechtssatzes zu beweisen hat. Den Anspruchsteller trifft die Beweislast für die rechtsbegründenden Tatsachen, der Gegner muss den Beweis für rechtshemmende, rechtshindernde oder rechtsvernichtende Tatsachen erbringen. Die Beweislast für das Vorliegen eines materiellen oder immateriellen Schadens trägt die Klagepartei. Der EuGH hat in seinem Urt. v. 4.5.2023 - C-300/21 [= ZD 2023, 446 mAnm Mekat/Ligocki – Österreichische Post] insoweit ausdrücklich festgehalten, dass die von einem Verstoß gegen die DS-GVO betroffene Person den Nachweis führen muss, dass die geltend gemachten Folgen einen immateriellen Schaden iSd Verordnung darstellen. IRd informatorischen Anhörung gab der Kl. an, dass er viele Spam-E-Mails erhalte, sodass ihm ein Mehraufwand entstehe. Er gab außerdem an, dass er habe zustimmen müssen, um keine personalisierte Werbung angezeigt zu bekommen, oder eine Zahlung hätte leisten müssen. Er habe dann zugestimmt, obwohl er dies als Eingriff in seine Privatsphäre gesehen habe. Es sei immer mehr personalisierte Werbung angezeigt worden, sodass ein sehr persönliches Bild von ihm entstanden sei. Er habe Angst vor einem künftigen Datenleck, bei dem die Daten an die Öffentlichkeit gelangen könnten. Durch die personalisierte Werbung habe sich ein Unwohlsein bei ihm eingestellt. Der Kl. gab weiter an, dass er damals eine Zusammenfassung der Nutzungsbedingungen gelesen habe, er mit diesen ständig konfrontiert worden sei und es sich deshalb gezwungen gefühlt habe, zuzustimmen, um weiter am öffentlichen Leben teilhaben zu können. Es sei viel Druck ausgeübt worden. Er sei sich dann sehr gläsern vorgekommen, weil er auch in der Zukunft sein vergalten im Internet geändert habe. Die Klagepartei begründet ihren Anspruch damit, dass sie mit dem Geschäftsmodell der Bekl. personalisiert zu werben, nicht einverstanden sei. Dies allein führt zu keinem Schaden. Die Bekl. führt, wie es auch gerichtsbekannt ist, aus, dass ein derartiges Geschäftsmodell nicht ungewöhnlich ist. Die Plattformen der Bekl. werden Nutzern kostenlos bereitgestellt. Die Fähigkeit der Bekl., Nutzern ihre derzeitigen Dienste kostenlos bereitzustellen, hängt von Werbeeinnahmen ab. Dieses Geschäftsmodell ist üblich. So haben zB kostenfreie Zeitungen und frei empfangbare, private Fernsehsender ein ähnliches Geschäftsmodell: Sie versuchen, über Inhalte Leser oder Zuschauer zu gewinnen, denen dann auf Grundlage demografischer Merkmale/ Interessen der Zielgruppe relevante Werbung präsentiert wird (zB Werbung für Kreuzfahrten in Zeitschriften mit Zielgruppe im Rentenalter oder Werbung für schnell wechselnde modische Billigbekleidung in Werbepausen von TV-Realitysendungen, die primär von Frauen unter 30 geschaut werden). Schon dem gesunden Menschenverstand nach ist es offensichtlich, dass die Bekl. ihr Angebot nur deswegen kostenlos zur Verfügung stellen kann, weil sie Werbung verkauft. Dies ist weder ehrenrührig, noch verboten. Wenn die Klagepartei sich hierdurch unwohl fühlt, steht es ihr völlig frei die Angebote der Bekl. nicht zu nutzen oder für ein Angebot ohne Werbung zu bezahlen. Vor allem aber ist der Klägervortrag zu den erlittenen Beeinträchtigungen auch in sich widersprüchlich. Einerseits will die Klagepartei einen immateriellen Schaden durch die zielgerichtete Werbung für sich in Anspruch nehmen. Anderseits ist die Klagepartei nicht bereit ab November 2023 dafür im Abo-Modell zu zahlen, dass er keine Werbung mehr erhält. Es ist daher nicht glaubhaft, wenn die Anwälte des Kl. einerseits vortragen, der Kl. fühle sich durch persönliche Werbung beeinträchtigt, andererseits der Kl. dem dann später zugestimmt hat, weil er nicht bereit ist dafür zu zahlen, dass dieses Unwohlsein nicht mehr auftritt. Unerheblich ist auch, dass die irische Datenschutzbehörde entscheiden hat, dass die Datenverarbeitung durch die Bekl. rechtswidrig gewesen sein soll und ein Bußgeld verhängte. Zum einen ist die Entscheidung nicht rechtskräftig, weil die Bekl. Rechtsmittel eingelegt hat. Zum anderen binden Entscheidungen der Datenschutzbehörden Zivilgerichte nicht. Ein Gericht hat das Vorliegen der Voraussetzungen für den geltend gemachten Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO eigenständig zu prüfen. Schließlich gewährt Art. 82 DS-GVO keinen Sanktionsanspruch einer Einzelperson. Art. 82 DS-GVO hat anders als andere, ebenfalls in Kapitel VIII dieser Verordnung enthaltene Bestimmungen, etwa die Art. 83 und 84, die im Wesentlichen einen Strafzweck haben, da sie die Verhängung von Geldbußen bzw. anderen Sanktionen erlauben, keine Straffunktion, sondern eine Ausgleichsfunktion. Der Klagepartei steht mangels Hauptanspruch auch kein Anspruch auf Freistellung der Zahlung der vorgerichtlichen Rechtsanwaltskosten zu. |
| NEU LG Hildesheim Urt. v. 27.8.2024 – 3 O 331/23 | 0 EUR Der Kl. stehen die geltend gemachten Ansprüche auf Schadensersatz, Unterlassung und Feststellung nicht zu. Die Übermittlung der Positivdaten durch die Bekl. an die S. ist durch Art. 6 Abs. 1 f DS-GVO gerechtfertigt und ein Schaden der Kl. iSd Art. 82 Abs. 1 DS-GVO ist nicht nachgewiesen. Bei vernünftiger Betrachtung ist nicht nachvollziehbar, dass die streitgegenständliche Übermittlung von Positivdaten negative Auswirkungen auf die Kl. gehabt hat. Die Kammer vermag auch unter Berücksichtigung der persönlichen Anhörung der Kl. im Termin vom 13.08.2024 nicht zu erkennen, dass bei ihr eine berechtigte Sorge vor negativen Auswirkungen der Positivdatenübermittlung bestünde. So ist bereits nicht einsichtig, dass der Abschluss eines Mobilfunkvertrages nachteilige Auswirkungen auf die Beurteilung der Bonität der Kl. haben könnte. Über einen solchen Vertrag verfügt praktisch jeder Erwachsene in Deutschland, so dass keine stigmatisierende Wirkung besteht. Soweit die Kl. berichtet hat, in der Vergangenheit sei eine Kreditanfrage abgelehnt worden, ist ein ursächlicher Zusammenhang mit der Positivdatenübermittlung weder nachvollziehbar dargelegt noch aus Sicht der Kammer vorstellbar. Ein bloßer abstrakter „Kontrollverlust“ über die weitergegebenen Daten reicht nicht aus. Soweit die Kl. in Sorge sei, künftige Kreditanfragen, etwa für einen von ihr beabsichtigten Hauskauf, könnten abschlägig beschieden werden, ist nicht nachvollziehbar, dass diese Sorge auf der Übermittlung der – nach dem Vorbringen der Bekl. iÜ inzwischen gelöschten – Positivdaten beruht. |
| NEU LG Braunschweig Urt. v. 27.8.2024 – 9 O 3427/23 | 0 EUR Der Kl. hat gegen die Bekl. keinen Anspruch auf Zahlung eines immateriellen Schadensersatzes aus Art. 82 Abs. 1 DS-GVO oder aus anderem Rechtsgrund. Nach der ständigen Rspr. des EuGH verlangt ein solcher Schadensersatzanspruch kumulativ: einen Verstoß gegen Bestimmungen der DS-GVO, einen konkreten materiellen oder immateriellen Schaden und Kausalität zwischen dem Verstoß und dem Schaden. Die Darlegungs- und Beweislast für den Pflichtverstoß, den Schaden und die Kausalität liegt beim Kl. In gewissen Umfang kann die Bekl. dabei eine sekundäre Darlegungslast treffen. Ein einen Anspruch nach Art. 82 DS-GVO begründender Verstoß der Bekl. gegen die DS-GVO liegt nicht vor. Die durch den Kl. beanstandete Übermittlung der streitgegenständlichen Vertragsdaten an die SCHUFA war gem. Art. 6 Abs. 1 S. 1 lit. f DS-GVO rechtmäßig. Nach der informatorischen Anhörung des Kl. in der mündlichen Verhandlung konnte sich die Kammer zudem keine Überzeugung dahingehend bilden, dass der Kl. einen kausal auf die behaupteten Verstöße zurückzuführenden Schaden erlitten hat. Nach der jüngsten Rspr. des EuGH eröffnet nicht jeder „Verstoß“ gegen die Bestimmungen der DS-GVO für sich genommen den Schadensersatzanspruch der betroffenen Person iSv Art. 4 Nr. 1 dieser Verordnung. Eine solche Auslegung liefe dem Wortlaut von Art. 82 Abs. 1 DS-GVO zuwider. Der Ersatz eines immateriellen Schadens darf aber andererseits nicht von einer Erheblichkeitsschwelle abhängig gemacht werden. Der „immaterielle Schaden“ muss keine „Bagatellgrenze“ überschreiten, damit dieser Schaden ersatzfähig ist. Ein „Strafschadensersatz“ sei nicht erforderlich. Es genüge, wenn „der konkret erlittene Schaden in vollem Umfang ausgeglichen“ wird. Auch wenn es keine Erheblichkeitsschwelle gibt, so bedeutet dies indes nicht, dass die aus dem Datenschutzverstoß resultierenden negativen Folgen per se einen haftungsbegründenden Schaden darstellen; denn der EuGH führt hierzu explizit aus, dass diese Auslegung nicht bedeutet, „dass eine Person, die von einem Verstoß gegen die DS.GVO betroffen ist, der für sie negative Folgen gehabt hat, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden iSv Art. 82 dieser Verordnung darstellen“. Die Annahme eines solchen konkreten Schadens setzt in unionsautonomer Auslegung nach ständiger Rspr. des EuGH voraus, dass dieser „tatsächlich und sicher“ besteht. Demnach ist Art. 82 nicht so auszulegen, dass er einen Schadensersatzanspruch bereits bei jeder individuell empfundenen Unannehmlichkeit ohne ernsthafte Beeinträchtigung für das Selbstbild oder Ansehen einer Person begründet. Es ist nicht Aufgabe des Schadensersatzrechts, persönliche Empfindlichkeit und eine Schmerzensgeldkultur zu unterstützen, die keinen Bezug zu greifbaren Nachteilen hat. Auch der „präventive“ Effekt von Schadensersatzansprüchen rechtfertigt nicht eine Kommerzialisierung von allgemeinen „Ängsten und Sorgen“. Wenn der Gesetzgeber dies gewollt hätte, hätte er sich vom Schadensersatzrecht lösen müssen. Art. 82 ist auch nicht als Strafschadensersatz falsch zu verstehen. Vielmehr muss es um eine objektiv nachvollziehbare Beeinträchtigung von persönlichkeitsbezogenen Belangen gehen, die zwar jetzt nicht mehr „besonders schwerwiegend“ sein muss, aber trotzdem für den oder die Betroffenen ein gewisses Gewicht haben muss. Es ist ein tatsächlich erlittener Schaden erforderlich. Ein abstrakter Kontrollverlust ist nicht ausreichend. Die bloße Behauptung einer Befürchtung ohne nachgewiesen negative Folgen führt nicht zu einem Schadensersatz. Die psychische Beeinträchtigung muss hinreichend konkret dargelegt und glaubhaft gemacht werden. Erforderlich ist hierfür, dass der Betroffene Umstände darlegt, in denen sich seine erlebten Empfindungen widerspiegeln und dass nach der Lebenserfahrung der Datenschutzverstoß mit seinen Folgen Einfluss auf das subjektive Empfinden hat. Dies folgt daraus, dass es sich bei solchen Umständen um innere, der Beweis nur eingeschränkt zugängliche Tatsachen handelt, auf die mittelbar aus äußeren Tatsachen geschlossen werden muss. Hierfür trägt der Anspruchsteller die Darlegungs- und Beweislast mit dem für § 286 ZPO erforderlichen Beweismaß, sodass erst eine Wahrscheinlichkeit ausreicht, die Zweifeln Schweigen gebietet, ohne diese indes endgültig auszuschließen. Die Abhängigkeit seiner Bonität und finanziellen Identität von einem Scoring beeinträchtige die Schlafqualität des Kl. und führe zu ständigen Gedanken darüber, ob er seinen zukünftigen finanziellen Verpflichtungen noch nachkommen könne. Er mache sich Gedanken, ob er seinen Arbeitsplatz verliere. Der Vortrag erscheint insb. im Hinblick darauf unglaubhaft, dass der Kl. bereits beim Abschluss des Vertrages mit der Bekl. – unstreitig – darauf hingewiesen wurde, dass personenbezogene Daten an Auskunfteien übermittelt würden. Wenn dies ihn in dem erheblichen Ausmaß belasten würde, wie der Klägervertreter schriftsätzlich vorgetragen hat, hätte er einen Vertrag mit der Bekl. nicht abschließen oder ihn wenigstens nach der SCHUFA-Auskunft kündigen müssen. Der klägerische Vortrag reicht zudem auch für die Annahme einer Mitursächlichkeit etwaiger Datenschutzverstöße für die (hierfür unterstellten) persönlichen/ psychischen Beeinträchtigungen nicht aus. Die betroffene Person muss den Nachweis erbringen, dass die Folgen dieses Verstoßes, die sie erlitten zu haben behauptet, ursächlich für einen Schaden waren, der sich von der bloßen Verletzung der Bestimmungen dieser Verordnung unterscheidet. Ein Unterlassungsanspruch aus Art. 82 DS-GVO kommt nur dann in Betracht, wenn ein Verstoß gegen die DS-GVO vorliegt, der Betroffene einen Schaden erlitten hat und entweder die erfolgte Verletzungshandlung noch andauert oder der pflichtwidrig geschaffene Zustand fortdauert. Dies ist hier jedoch nicht der Fall, da die Kammer nicht festzustellen vermochte, dass die Klägerseite einen feststellbaren, kausalen Schaden erlitten hat. |
| NEU LG Aschaffenburg Urt. v. 26.8.2024 - 62 O 88/23 | 0 EUR Die Klagepartei hat insbesondere keinen Anspruch auf Ersatz immaterieller Schäden gem. Art. 82 Abs. 1 DS-GVO. Es kann dahinstehen, ob ein Verstoß der Bekl. gegen Art. 6 oder 15 DS-GVO überhaupt vorliegt. Denn die Klagepartei hat nicht bewiesen, dass ihr tatsächlich ein immaterieller Schaden entstanden ist. Für den – hier geltend gemachten – immateriellen Schadensersatz gelten dabei die im Rahmen von § 253 BGB entwickelten Grundsätze; die Ermittlung obliegt dem Gericht nach § 287 ZPO. Schadensersatzansprüche nach Artikel 82 Abs. 1 DS-GVO sind individuell zu prüfen. Es können für die Bemessung die Kriterien des Art. 83 Abs. 2 DS-GVO herangezogen werden, zB die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie die betroffenen Kategorien personenbezogener Daten. Zu berücksichtigen ist auch, dass die beabsichtigte abschreckende Wirkung nur durch für den Anspruchsverpflichtenden empfindliche Schmerzensgelder erreicht wird, insbesondere wenn eine Kommerzialisierung fehlt. Ein genereller Ausschluss von Bagatellfällen ist damit nicht zu vereinbaren. Die Pflicht zur Erstattung immaterieller Schäden ist daher nicht auf schwere Schäden beschränkt. Bestätigt wurde dies jüngst durch eine Entscheidung des EuGH, wonach der Ersatz eines immateriellen Schadens iSd Art. 82 Abs. 1 DS-GVO nicht davon abhängig gemacht werden kann, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat. Nach den Erwägungsgründen der europäischen Grundrechtscharta ist der Schadensbegriff weit auszulegen (s. Erwägungsgrund 146 DS-GVO, auch wenn er in der DS-GVO nicht näher definiert wird). Schadensersatzforderungen sollen abschrecken und weitere Verstöße unattraktiv machen. Darüber hinaus sollen die betroffenen Personen einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden haben. Dabei wird vor allem die abschreckende Wirkung des Schadensersatzes betont, welche insbesondere durch seine Höhe erzielt werden soll. Nach Erwägungsgrund 75 DS-GVO kann ein Nichtvermögensschaden insbesondere durch Diskriminierung, Identitätsdiebstahl oder -betrug, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden persönlichen Daten oder gesellschaftliche Nachteile eintreten. Ein genereller Ausschluss von Bagatellschäden ist im Lichte dieser Erwägungsgründe nicht vertretbar. Dies wird auch aus Art. 4 Abs. 3 AEUV abgeleitet, der die Mitgliedsstaaten dazu anhält, Verstöße wirksam mit Sanktionen zu belegen, denn nur so könne man eine effektive Durchsetzbarkeit des EU-Rechts und damit auch der DS-GVO erzielen. Allein eine etwaige Verletzung des Datenschutzrechts als solche begründete allerdings nicht bereits für sich gesehen einen Schadensersatzanspruch für betroffene Personen. Die Verletzungshandlung muss in jedem Fall auch zu einer konkreten Verletzung von Persönlichkeitsrechten der betroffenen Personen geführt haben. Die Verletzung der Vorschriften der DS-GVO ist nicht mit einem Schadenseintritt gleichzusetzen. Es ist zwar keine schwere Verletzung des Persönlichkeitsrechts erforderlich. Andererseits ist aber auch weiterhin nicht für jede im Grunde nicht spürbare Beeinträchtigung bzw. für jede bloß individuell empfundene Unannehmlichkeit ein Schmerzensgeld zu gewähren. Vielmehr muss dem Betroffenen ein spürbarer Nachteil entstanden sein und es muss um eine objektiv nachvollziehbare, tatsächlich erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen gehen. In Erwägungsgrund 75 und 85 DS-GVO werden einige mögliche Schäden aufgezählt, darunter Identitätsdiebstahl, finanzielle Verluste, Rufschädigung, aber auch der Verlust der Kontrolle über die eigenen Daten sowie die Erstellung unzulässiger Persönlichkeitsprofile. Zudem nennt Erwägungsgrund 75 DS-GVO auch die bloße Verarbeitung einer großen Menge personenbezogener Daten einer großen Anzahl von Personen. Der Schaden ist zwar weit zu verstehen, er muss jedoch auch wirklich „erlitten“ (Erwägungsgrund Nr. 146), das heißt „spürbar“, objektiv nachvollziehbar und tatsächlich eingetreten sein, um bloß abstrakte, nicht wirklich eingetretene Beeinträchtigungen auszuschließen. Diese Grundsätze erfuhren jüngst Bestätigung durch eine Entscheidung des EuGH; danach reicht der bloße Verstoß gegen Bestimmungen der DS-GVO nicht aus, um einen Schadensersatzanspruch zu begründen. Denn die gesonderte Erwähnung eines „Schadens“ und eines „Verstoßes“ in Art. 82 Abs. 1 DS-GVO wäre überflüssig, wenn der Gesetzgeber davon ausgegangen wäre, dass ein Verstoß gegen die Bestimmungen der DS-GVO für sich allein in jedem Fall ausreichend wäre, um einen Schadensersatzanspruch zu begründen. Die Klagepartei trägt vor, dass ein Kontrollverlust hinsichtlich ihrer personenbezogenen Daten eingetreten sei, der als erheblicher immaterieller Schaden iSd § 82 DS-GVO anzusehen sei. Zu berücksichtigen sei auch, dass der Auskunftsanspruch nach Art. 15 DS-GVO durchaus erhebliche Relevanz für die weitere Durchsetzung von Forderungen aus dem streitgegenständlichen Datenschutzverstoß habe und die Klägerseite infolge der unzureichenden Auskunft in der Wahrnehmung ihrer berechtigten (Schadensersatz-) Ansprüche beschränkt werde. Selbst wenn kein eigenständiger Schaden durch die unzureichende Auskunft seitens der Bekl. angenommen werden sollte, so habe sich in jedem Fall der bereits bestehende Schaden hierdurch erheblich intensiviert. Auch konnte sie nicht konkret nachvollziehen, wie ihre Daten durch die Bekl. zur zielgerichteten Werbung benutzt worden seien. Diese Ausführungen sind zu pauschal und lassen nicht erkennen, inwiefern der behauptete Kontrollverlust einen Schaden darstellen soll, welcher über eine bloße negative Folge hinausreicht. Das ungute Gefühl des Kl., an einem Geschäftsmodell der Bekl. mitzuwirken, mit dem man nicht einverstanden sei, begründet für sich noch keinen Schaden. |
| NEU LG Frankfurt/O. Urt. v. 23.8.2024 – 11 O 10/24 | 0 EUR Dem Kl. stehen gegen die Bekl. die geltend gemachten Ansprüche auf Zahlung eines immateriellen Schadensersatzes aus Art. 82 Abs. 1 DS-GVO oder einer anderen denkbaren Anspruchsgrundlage zu. Der allein vom Kl. vorgetragene und aus dem Vortrag ersichtliche Verstoß der Bekl. gegen Art 6 Abs. 1 S. 1 lit. f DS-GVO liegt nicht vor. IÜ mangelt es an einem ersatzfähigen Schaden der Kl. iSd Art. 82 Abs. 1 DS-GVO. Das Merkmal des immateriellen Schadens ist autonom auszulegen. Ein deutsches Verständnis zum Begriff des Schadens – etwa eine enge Auslegung – ist mithin nicht angezeigt. Eine Erheblichkeitsschwelle für das Vorliegen eines solchen Schadens ergibt sich gerade nicht aus der DS-GVO. Bagatellschäden sind nicht auszuschließen. Zu verlangen ist aber jedenfalls, dass ein konkreter immaterieller Schaden auch tatsächlich eingetreten („entstanden“) ist. Auch unter Berücksichtigung eines weiten Verständnisses des immateriellen Schadens, das ausdrücklich auch Bagatellschäden einschließt, vermag der formelhafte nicht individuelle Vortrag, das Tatbestandsmerkmal des Schadens nicht schlüssig auszufüllen. Die klägerische Behauptung, bei ihm habe sich nach Erhalt der Auskunft der S., ein Gefühl des Kontrollverlustes und der großen Sorge, insbesondere auch in Bezug auf die Bonität, aufgrund der Positivmitteilung der Bekl. und nicht etwa aufgrund der anderen negativen Eintragungen eingestellt, ist schlichtweg konstruiert. Denn im Schnitt verfügt jeder Bundesbürger über mehr als einen Mobilfunkvertrag. Die Information, dass der Kl. einen Mobilfunkvertrag abgeschlossen hat, hebt ihn folglich in keiner Weise von den übrigen Mitbürgern ab und gibt anderen Teilnehmern am Wirtschaftsverkehr wie Banken und Versicherungen folglich auch keinen Anlass zu kritischer Nachfrage. Soweit er einen „objektiv falschen“ bzw. einen „beeinflussten“ S.-Score oder auch eine „Veränderung in der Bonitätsbewertung“ bzw. eine „unrichtige Einstufung der Zahlungsausfallwahrscheinlichkeit“ geltend macht, überzeugt dies ebenfalls nicht, weil der S.-Score durch die Einmeldung des streitgegenständlichen Vertrages nicht objektiv falsch ist. |
| NEU LG Itzehoe Urt. v. 22.8.2024 – 10 O 2/24 | 0 EUR Der zulässige Klageantrag ist unbegründet, da der Klagepartei kein Anspruch auf Ersatz eine (immateriellen) Schadens gem. Art. 82 Abs. 1 DS-GVO iVm Art. 6 Abs. 1, 5 Abs. 1 lit. a DS-GVO zu. Die Voraussetzungen für einen Schadensersatzanspruch aus Art. 82 Abs. 1 DS-GVO liegen jedoch nicht vor, da es bereits an einem Datenschutzverstoß der Bekl., jedenfalls aber an einem kausalen ersatzfähigen Schaden bei der Klagepartei fehlt. Die Bekl. hat mit der Einmeldung des Vertragsabschlusses nicht gegen Art. Art. 6 Abs. 1 bzw. Art. 5 Abs. 1 lit. a DS-GVO verstoßen. Es kann dabei dahinstehen, ob die Klagepartei einer Einmeldung der Positivdaten bei der S. im Vertrag mit der Bekl. zugestimmt hat, da die Einmeldung der Positivdaten jedenfalls nach der nach Art. 6 Abs. 1 lit. f DS-GVO vorzunehmenden Interessensabwägung rechtmäßig war. Auch der Nachweis eines kausalen immateriellen Schadens ist der Klägerseite nicht gelungen. In Anbetracht von Erwägungsgrund 75, 85, 146 und 148 DS-GVO hatte der Verordnungsgeber als immateriellen Schaden insoweit Diskriminierung, Identitätsdiebstahl, Identitätsbetrug, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden persönlichen Daten oder gesellschaftliche Nachteile ohne den Ausschluss von Bagatellschäden im Blick. Hinsichtlich eines möglichen künftigen Missbrauchs personenbezogener Daten wird ein immaterieller Schaden aber nur dann zu begründen sein, wenn es sich um einen realen und sicheren emotionalen Schaden handelt und nicht nur um ein Ärgernis oder eine Unannehmlichkeit. Ein etwaiger Verstoß führt – unabhängig der Frage der Erheblichkeit – jedenfalls nicht per se zu einem Schaden. Ein konkreter Schaden ist im jeweiligen Einzelfall festzustellen. Ein tatsächlicher Schaden im Sinne einer physischen oder psychischen Beeinträchtigung liegt aber im vorliegenden Einzelfall gerade nicht vor. Gemessen an diesen Maßstäben ist ein immaterieller Schaden der Klagepartei zu verneinen. Der Vortrag, dass sich unmittelbar nach Erhalt der S.-Mitteilung ein Gefühl des Kontrollverlusts und der großen Sorge, insb. auch im Hinblick auf die eigene Bonität, eingestellt habe, dieses von der Angst geprägt gewesen sei, einer unberechtigten Übermittlung an eine Auskunftei wie die S. ausgesetzt zu sein, und dies die Klagepartei bis zum heutigen Tag beunruhige, weshalb sie mit der ständigen Angst vor unangenehmen Rückfragen in Bezug auf die eigene Bonität, das allgemeine Verhalten im Wirtschaftsverkehr oder einer Verfälschung des S.-Scores lebe, erfolgte offensichtlich ohne hinreichende Tatsachengrundlage. |
| NEU LG Dresden Urt. v. 16.8.2024 – 3 O 44/24 | 0 EUR Dem Kl. stehen in der Sache keine Ansprüche auf Schadensersatz namentlich aus § 82 Abs. 1 DS-GVO zu. Der Kl. war schon bei Vertragsschluss mit der Bekl. mehrfach, im Mobilfunkvertrag wie dem Merkblatt dazu und einer gesonderten „S.-Information“, in transparenter, verständlicher und leicht zugänglicher Sprache darüber informiert worden, dass sie personenbezogene Daten ihrer Kunden über das Zustandekommen und die Beendigung von Vertragsverhältnissen (Positivdaten) an Wirtschaftsauskunfteien wie die S. übermittelt – wie auch vorliegend geschehen (Name, Geburtsdatum, Anschrift, Datum des Vertragsschlusses, Vertragsnummer und – bei Beendigung des jeweiligen Mobilfunkvertrages – das Datum des Vertragsendes). Darauf, dass die S. angesichts des vereinbarten Zahlungsweges (Lastschrifteinzug) bereits über Bankkontodaten des Kl. vor Vertragsschluss verfügte, kommt es nicht entscheidungserheblich an. Diese Datenübermittlung ist erlaubt und verstößt nicht gegen die Vorgaben der DS-GVO. Ob darüber hinaus entsprechende Pflichtverstöße der Bekl. gegen Bestimmungen der DS-GVO vorliegen, kann dahinstehen. Denn jedenfalls ist ein auf mögliche Verstöße gegen die DS-GVO zurückzuführender immaterieller Schaden nicht hinreichend dargelegt und der Kl. hat keinen kausalen, auf eine solche Verletzung beruhenden Schaden nachgewiesen. Ein Kausalzusammenhang zwischen (behaupteter, bestrittener) rechtswidriger Datenverarbeitung und kausalem Schaden klagseits fehlt. Im vorliegenden Fall ist schon nicht von einem bloßen Kontrollverlust auszugehen; letztlich vermutet der Kl. lediglich einen solchen. Einen Schaden kann der Kl. damit nicht begründen. Die betroffene Person wie hier der Kl. muss die Tatsachen, die dazu führen können, dass ein „tatsächlich erlittener immaterieller Schaden“ infolge der Verletzung des Schutzes personenbezogener Daten anerkannt werden kann, genau und nicht nur allgemein darlegen, auch wenn er nicht eine im Voraus festgelegte Schwelle von besonderer Schwere erreicht. Entscheidend ist, dass es sich nicht um eine bloße subjektive Wahrnehmung handelt, die veränderlich ist und auch vom Charakter und von persönlichen Faktoren abhängt, sondern um die Objektivierung einer, wenn auch geringfügigen aber nachweisbaren Beeinträchtigung der physischen oder psychischen Sphäre oder des Beziehungslebens einer Person; die Art der betroffenen personenbezogenen Daten und die Bedeutung, die sie im Leben der betroffenen Person haben und vielleicht auch die Wahrnehmung, die die Gesellschaft zu diesem Zeitpunkt von dieser spezifischen, mit der Datenverletzung verbundenen Beeinträchtigung hat. Die Befürchtung (noch deutlicher: englisch „fear“ und französisch „crainte“), in der der EuGH einen materiellen Schaden erblickt, kann nur etwas sein, was der Geschädigte (a) persönlich erlebt und was ihn (b) seelisch belastet, mithin psychisch beeinträchtigt. Vermag das Tatgericht wie hier nichts dergleichen zu erkennen, so ist der Eintritt des immateriellen Schadens nicht überwiegend wahrscheinlich iSv § 287 Abs. 1 ZPO. |
| NEU LG Weiden Urt. v. 8.8.2024 - 15 O 573/23 | 0 EUR Der Kl. hat gegen die Bekl. keinen Anspruch auf Zahlung eines immateriellen Schadensersatzes iHv 4.000 EUR aus Art. 82 Abs. 1 DS-GVO. Das Gericht kann bereits nicht feststellen, dass der Kl. einen kausal auf die behaupteten Verstöße zurückzuführenden Schaden erlitten hat; die Verarbeitung selbst stellt zudem bereits keinen Verstoß gegen die DS-GVO dar, sondern ist von Art. 6 Abs. 1 lit. f DS-GVO gedeckte zulässige Datenverarbeitung. Eine – hier nicht – unzulässige Datenverarbeitung unterstellt, fehlt es darüber hinaus auch an einem durch die Datenweitergabe verursachten, ersatzfähigen Schaden des Kl. Der Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO erfüllt, insb. im Fall eines immateriellen Schadens, ausschließlich eine Ausgleichsfunktion. Eine auf diese Bestimmung gestützte finanzielle Entschädigung soll es ermöglichen, den konkret aufgrund des Verstoßes gegen die DS-GVO erlittenen Schaden in vollem Umfang auszugleichen; eine Abschreckungs- oder Straffunktion kommt dem Anspruch nicht zu. Das Ausmaß des Verschuldens spielt für die Höhe des Schadens keine Rolle. Die Darlegungslast für den Eintritt des konkreten immateriellen Schadens liegt beim Betroffenen und kann bei behaupteten persönlichen/psychologischen Beeinträchtigungen nur durch die Darlegung konkret-individueller – und nicht wie hier in einer Vielzahl von Fällen gleichartiger – dem Beweis zugänglicher Indizien erfüllt werden. Mit Blick auf die subjektiven Folgen eines Datenschutzverstoßes im Einzelfall ist es deshalb ausreichend, aber auch erforderlich, dass der Betroffene Umstände darlegt, in denen sich seine erlebten Empfindungen widerspiegeln, und dass nach der Lebenserfahrung der Datenschutzverstoß mit seinen Folgen Einfluss auf das subjektive Empfinden hat. Dass bloße negative Gefühle wie Unmut, Unzufriedenheit, Sorge und Angst, die an sich Teil des allgemeinen Lebensrisikos und oft des täglichen Erlebens sind, Grundlage für einen Schadensersatzanspruch sein können, hält das Gericht jedenfalls dann für nicht gerechtfertigt, wenn – wie hier – kein Einfluss auf die Lebensführung ersichtlich und damit ein konkreter Rückschluss von äußeren Umständen auf diese inneren Tatsachen nicht möglich ist. Ein abstrakter „Kontrollverlust“ reicht allein für einen immateriellen Schaden iSd Art. 82 DS-GVO nicht aus, für eine darüberhinausgehende Beeinträchtigung trägt der Anspruchsteller die Beweislast. Nach allgemeinen Grundsätzen obliegt es zudem dem Kl., die Mitursächlichkeit darzulegen und ggf. zu beweisen. Der EuGH hat am 04.05.2023 entschieden, dass Art. 82 DS-GVO dahin auszulegen ist, dass der bloße Verstoß gegen die Bestimmungen der DS-GVO nicht ausreicht, um einen Schadensersatzanspruch zu begründen. Es geht aus dem Wortlaut von Art. 82 Abs. 1 DS-GVO klar hervor, dass das Vorliegen eines „Schadens“ eine der Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadensersatzanspruch darstellt, ebenso wie das Vorliegen eines Verstoßes gegen die DS-GVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind. Daher kann nicht davon ausgegangen werden, dass jeder Verstoß gegen die Bestimmungen der DS-GVO für sich genommen den Schadensersatzanspruch der betroffenen Person iSv 4 Nr. 1 dieser Verordnung eröffnet. Eine solche Auslegung liefe dem Wortlaut von Art. 82 Abs. 1 DS-GVO zuwider. Obwohl bereits die Gegenseite mehrfach und schon seit der Klageerwiderung die fehlende Individualisierung gerügt und darauf hingewiesen hat, dass der Klagevortrag in allen von den klägerischen Prozessbevollmächtigten geführten Rechtsstreiten nahezu wortgleich sei, wurde der Vortrag des Kl. nicht maßgeblich substantiiert. Der Kl. hat erstmals im Rahmen seiner persönlichen Anhörung ausgeführt, er sei ca. Anfang 2010/2011 Betroffener eines Datendiebstahls beim Ordnungsamt Wiesbaden gewesen. Die Prozessbevollmächtigten haben dies aber nicht vorgetragen, sondern sich auf ihre allgemeinen und unspezifischen Ausführungen zur behaupteten Betroffenheit beschränkt. Zudem ist auch aus diesem Vortrag weder eine – sei es auch bagatellhafte – Beeinträchtigung des Kl. ersichtlich, noch weitergehend ein sonstiger Schaden. Der klägerische Vortrag reicht zudem auch für die Annahme einer Mitursächlichkeit etwaiger Datenschutzverstöße für die (hier unterstellten) persönlichen/psychischen Beeinträchtigungen bereits nicht aus. Der Kl. hat die streitgegenständliche S.-Auskunft – zumindest auszugsweise – vorgelegt. Insoweit ist weder vorgetragen noch nachvollziehbar, woraus sich die Beeinträchtigungen des Kl. und insb. die nach eigenem Vortrag umgehend eingetretenen persönlichen/psychischen Folgen ergeben sollen. Es kann schon nicht nachvollzogen werden, dass etwaige Sorgen des Kl. in Bezug auf seine Bonität spezifisch aufgrund der Meldung der Vertragsdaten durch die Bekl. in Bezug auf den Mobilfunkvertrag ausgelöst worden sein sollen. Das S.-Scoring des Kl. beträgt 99,56% von 100%. Dabei nimmt die streitgegenständliche Meldung ggü. mehreren Bank- und Kreditgeschäften bereits nach der vorgelegten Anlage eine deutlich untergeordnete Stellung ein. Weshalb sich aus dem Umstand der Eintragung konkret nachteilige Beeinträchtigungen des Kl. ergeben sollen, ist durch den pauschalen Vortrag nicht hinreichend nachvollziehbar geworden. Dies gilt erst recht vor dem Hintergrund, dass der Kl. nach eigenem Vortrag die S.-Auskunft erhalten hat. Die vermeintlich eingetretenen Beeinträchtigungen wurden durch die Prozessbevollmächtigten des Kl. bereits am folgenden Tag, mit Schreiben im Wesentlichen ggü. der Bekl. als eingetreten geltend gemacht. Hinzu tritt, wie bereits dem Wortlaut dieses Begriffes zu entnehmen ist, dass ein Kontrollverlust voraussetzt, dass der Betroffene zunächst die Kontrolle über das konkrete personenbezogene Datum hatte und diese Kontrolle später gegen seinen Willen verloren hat. Der Kl. hat jedoch nicht dargelegt, dass er vor dem streitgegenständlichen Vertragsschluss die Kontrolle hatte und diese erst durch die streitgegenständliche Weitergabe an die S. verloren gegangen ist. Er hat vielmehr zu dem angeblich erlittenen Kontrollverlust nur pauschal unter Verwendung von Textblöcken seiner Prozessbevollmächtigten vorgetragen. Eine solche Darlegung einer zunächst ausgeübten Kontrolle ist auch nicht entbehrlich. Schließlich bestand bereits seit 2017 zwischen den Parteien ein Vertragsverhältnis und wurde offenbar bereits 2017 der Vertragsschluss an die S. übermittelt; die erneute – streitgegenständliche – Einmeldung beruhte auf der Umstellung des Vertrags des Kl. Selbst bezogen auf den Umstand, dass es sich um die Weitergabe eines neuerlichen Datums, nämlich des entsprechenden neuen Vertrags mit der T. handelte, stellt für sich kein per se sensibles oder der Geheimhaltung unterliegendes personenbezogenes Datum dar. Dies folgt bereits aus dem Umstand, dass das Bestehen eines Vertrags mit der Bekl. – bereits ohne Nachschau bei der S. – ohne größere Nachprüfung erkennbar ist, wenn diese, wie es bei einer Telefonnummer offensichtlich üblich ist, Kenntnis von der Telefonnummer des Kl. erhält. Denn Telefonnummern sind Daten, die es nach ihrer Zweckbestimmung dem Betroffenen ermöglichen sollen, in Kontakt mit anderen Personen zu treten und werden daher im täglichen Leben auch solchen anderen Personen oft in großem Umfang zugänglich gemacht wird. Bereits aus der Mobilfunkvorwahl ist ohne weiteres erkennbar, mit welchem Mobilfunkanbieter ein zugrundeliegendes Vertragsverhältnis besteht. Auch deshalb ist ein Kontrollverlust des Kl. in Zweifel zu ziehen. |
| NEU LG Heilbronn Urt. v. 2.8.2024 – Bö 1 O 64/24 | 0 EUR Der Klagepartei steht der geltend gemachte Anspruch auf immateriellen Schadensersatz aus § 82 Abs. 1 DS-GVO nicht zu. Es kann offenbleiben, ob die Bekl. durch die Übermittlung der streitgegenständlichen Information an die S. gegen Art. 5 Abs. 1, 6 Abs. 1 DS-GVO verstoßen hat. Es fehlt jedenfalls an einem ersatzfähigen immateriellen Schaden der Klagepartei iSd Art. 82 Abs. 1 DS-GVO. Der EuGH hat mit Urt. v. 4.5.2023 vorgegeben, dass die Worte „materieller oder immaterieller Schaden“ nicht auf das Recht der Mitgliedstaaten verweisen, weshalb sie als autonome Begriffe des Unionsrechts anzusehen und in allen Mitgliedstaaten einheitlich auszulegen sind, eine einheitliche unionsrechtliche Definition erhalten müssen. Da ein bloßer Verstoß gegen die DS-GVO nicht ausreicht, muss konkret festgestellt werden, dass die (vom Anspruchssteller zu beweisenden) Folgen einen Schaden darstellen. Da der Schaden ausdrücklich „erlitten“ werden muss (Erwägungsgrund 146 DS-GVO), nach dem Wortlaut von Art. 82 Abs. 1 DS-GVO verlangt wird, dass der Schaden „entstanden ist“, ist erforderlich, dass dieser tatsächlich entstanden sein muss und nicht lediglich befürchtet wird. Ein bloß abstrakter Kontrollverlust genügt danach nicht. Das OLG Hamm hat in diesem Zusammenhang zutreffend darauf hingewiesen, dass mit der Realisierung der generellen Risiken im Zusammenhang mit der Verarbeitung personenbezogener Daten zwangsläufig ein Kontrollverlust verbunden ist, weil dieser bei jedem Verstoß in der Form einer Offenlegung oder Zugänglichmachung von Daten eintritt, weshalb eine tatsächliche materielle oder immaterielle Beeinträchtigung festzustellen ist. Auch wenn keine Erheblichkeitsschwelle gilt, muss eine über das allgemeine Lebensrisiko, alltägliche Lästigkeiten, ausgelöste negative Gefühle wie Ärger, subjektiv empfundene Unannehmlichkeiten, unspezifische Unlustgefühle, Sorgen und Ängste hinausgehende spürbare Beeinträchtigung vorliegen, muss ein tatsächlich entstandener immaterieller Nachteil festgestellt werden. Gemessen hieran ist ein immaterieller Schaden der Klagepartei nicht feststellbar. Der behauptete Kontrollverlust bezüglich der Daten stellt keinen Schaden im o. g. Sinne dar. Dasselbe gilt für einen behaupteten Zustand von Unwohlsein und Sorge über möglichen Missbrauch der Daten. Derartiges gehört in unserer digitalisierten Welt mittlerweile zum allgemeinen Lebensrisiko. Die Anhörung des Kl. führte ebenfalls nicht zu einer Überzeugungsbildung dahingehend, dass der Kl. tatsächlich immaterielle Beeinträchtigungen erlitten hat. Der Kl. berichtete, aufgrund der die Positivdaten enthaltenden S.-Auskunft sei es ihm nicht möglich gewesen, eine beabsichtigte Umschuldung eines Privatkredits zu erhalten. Ende dieses Jahres habe er ferner eigentlich einen Kfz-Leasing-Vertrag abschließen wollen. Er könne sich aber nicht vorstellen, dass das aufgrund der S.-Auskunft gelingen werde. Auch könne er aufgrund der negativen S.-Auskunft nicht unter das „Haftungsdach“ einer Versicherung kommen, die für etwaige im Zuge einer beruflichen Tätigkeit im Zusammenhang mit dem Verkauf von Finanzgeschäften verursachte Vermögensschäden aufkommen würde. Damit hat der Kl. gerade keine tatsächlichen und echten immateriellen Beeinträchtigungen geschildert, wie etwa Angstgefühle, seelisches Leid, seelische Auswirkungen, psychische Beeinträchtigungen oder auch nur ein irgendwie geartetes Unwohlsein oder eine andere, irgendwie spürbare seelische Beeinträchtigung. Auch wenn nach den Vorgaben des EuGH eine Erheblichkeits- oder Bagatellschwelle nicht angenommen werden darf, genügen die klägerseits geschilderten Gefühle nicht zur Bejahung einer immateriellen Beeinträchtigung. Es handelt sich um (negative) Gefühle, die noch keine Beeinträchtigung des Seelenlebens oder der Lebensqualität darstellen, die einen immateriellen Schaden iSd Art. 82 DS-GVO begründen können. Aus den Schilderungen der Klagepartei geht hervor, dass diese möglicherweise einen materiellen Schaden erlitten hat, worüber aber nicht zu befinden ist, nachdem ein solcher mit der Klage nicht geltend gemacht wird. Was schließlich die von der Klagepartei vorgetragenen Sorgen um ihre Kreditwürdigkeit beim etwaigen Abschluss künftiger Verträge, insbesondere eines Kfz-Leasing-Vertrags, angeht, können diese einen immateriellen Schaden nicht begründen. Wie bereits oben ausgeführt ist davon auszugehen, dass die S. gem. ihrer Mitteilung zwischenzeitlich die Telekommunikationsdaten (Positivdaten) aus dem Konto der Klagepartei gelöscht hat. Gegenteiliges wurde von der Klagepartei, die auch für den Schaden darlegungs- und beweisbelastet ist, nicht nachgewiesen. Die Sorge, künftig aufgrund der vormals gemeldeten Positivdaten nicht als kreditwürdig angesehen zu werden, ist somit als gänzlich unbegründet einzustufen. Mangels bestehender Hauptforderung stehen der Klägerseite auch die mit der Klage verfolgten Nebenforderungen (Zinsen, vorgerichtliche Rechtsanwaltskosten) nicht zu. |
| NEU LG Dessau-Roßlau Urt. v. 2.8.2024 – 2 O 67/24 | 0 EUR Der Kl. hat keinen Anspruch auf Zahlung eines immateriellen Schadensersatzes gegen die Bekl. Ob die Übermittlung der streitgegenständlichen Daten, die als solche in den sachlichen Anwendungsbereich der DS-GVO fallen, bereits wegen der Wahrnehmung berechtigter Interessen nach Art. 6 Abs. 1 UAbs. 1 lit. f DS-GVO gerechtfertigt ist, kann dahinstehen. Denn jedenfalls liegt ein konkreter kausal auf die behaupteten Verstöße zurückzuführender Schaden des Kl. nicht vor. aus Art. 82 Abs. 1 DS-GVO. Der EuGH hat in der Rs. Österreichische Post (Urt. v. 4.5.2023 – C-300/21 [= ZD 2023, 446 mAnm Mekat/Ligocki]) klargestellt, dass allein ein Verstoß gegen die Vorschriften der DS-GVO nicht bereits zu einem Schadensersatzanspruch der betroffenen Person führt, sondern darüber hinaus die Darlegung eines konkreten Schadens erforderlich ist. Dieser unterliegt zwar keiner Bagatell- oder Erheblichkeitsgrenze, ergibt sich aber auch nicht schon ohne Weiteres aus der Befürchtung wegen eines rein hypothetischen Risikos der Datenweitergabe in der Zukunft. Zwischen dem Verstoß und dem Schaden muss zudem Kausalität bestehen. Dieser Nachweis eines konkreten, auf der Einmeldung der Bekl. beruhenden Schadens ist dem Kl. nicht gelungen. Er hat in seiner persönlichen Anhörung, die das Gericht im Rahmen seiner Überzeugungsbildung als Teil des gesamten Prozessstoffes gem. § 286 Abs. 1 S. 1 ZPO würdigt, angegeben, dass er um das Jahr 2015/2016 bereits eine S.-Auskunft beantragt und erhalten hatte, um zu erfahren, welche Daten dort für ihn hinterlegt seien. Dabei sei er überrascht gewesen, das Daten seines damaligen Mobilfunkanbieters dort eingemeldet worden seien. Sorgen habe er sich aber nicht gemacht. Im Jahr 2023 habe er eine weitere Auskunft eingeholt, nachdem er ein Video des Rechtsanwalts S. zu dem Thema gesehen und die ihn nunmehr vertretende Anwaltskanzlei kontaktiert hatte. Da er den Wunsch hege, mit seiner Lebensgefährtin und für die gemeinsame Tochter ein Eigenheim zu erwerben, habe er Ängste, ob und zu welchen Konditionen er einen Kredit erhalten könne und wie sich diese Sachen auf den S.-Score auswirken würden. Er habe deswegen Probleme abends einzuschlafen. Zudem wisse er nicht, an wen die Daten möglicherweise noch weitergegeben worden seien, ob Firmen oder andere Dritte die Daten erhalten hätten. Der Kl. hat damit insgesamt im Schwerpunkt seine – durchaus nachvollziehbaren – Ängste um seine Bonität und seine Sorgen, sich und seiner Familie den Wunsch nach einer Immobilie nicht erfüllen zu können, sowie auch daraus resultierende Einschränkungen in der Lebensführung (in Gestalt von Schlafstörungen) geschildert. Aus dem Vortrag ergibt sich aber nicht nachvollziehbar, dass diese gerade auf die Einmeldung durch die Bekl. zurückzuführen sind. Denn der Kl. hat nach seinen eigenen Schilderungen bereits im Jahr 2015/2016 für sich selbst erkannt, das sein damaliger Mobilfunkanbieter Daten (wie die streitgegenständlichen) eingemeldet hatte. Er habe zu dem Zeitpunkt auch kurz recherchiert und festgestellt, dass bei dem Score von 97 „etwas vorgefallen sein muss“, das er sich jedoch nicht habe erklären können. Weil nichts Konkretes anstand, habe er sich aber nicht weiter gekümmert. Wenn aber dem Kl. bereits zu diesem frühen Zeitpunkt vor Augen stand, dass Daten aus seinem Mobilfunkvertrag bei der S. eingemeldet wurden und ihm augenscheinlich auch die Bedeutung des S.-Scores für seine Bonität so hinreichend bewusst war, dass er zum Wert recherchierte und er sogar eine ihm nicht erklärliche Negativkomponente wahrnahm, erschließt sich nicht, warum er nicht bereits zu diesem Zeitpunkt die beschriebenen Einschränkungen (Schlafstörungen) verspürte. Dazu kam es erst, als er sich (wiederum nachvollziehbar) angesichts seiner veränderten familiären Situation um seine Zukunft und Bonität zu sorgen begann. Ersichtlich führte nicht die konkrete Einmeldung der Bekl. zu den Beeinträchtigungen, die der Kl. verspürte, sondern seine allgemeine Sorge um seine Situation. Dafür spricht iÜ auch, dass der Kl. zum Einen angab, seinen aktuellen S.-Score nicht zu kennen und zum Anderen auch auf Vorhalt der Pressemitteilung der S. aus dem Jahr 2023 über die beabsichtigte Löschung aller Positivdaten keine Erleichterung (über den nach seinem Vortrag dann ja eliminierten Unsicherheitsfaktor bei der Score-Berechnung) oder andere Reaktion äußerte, wobei er iÜ davon ausging, dass die Daten auch (tatsächlich) gelöscht würden. Die weitere Aussage des Kl., er wisse zudem nicht, an wen die Daten noch weitergeleitet würden (und habe deswegen Ängste), hält das Gericht iÜ schon für sich nicht für glaubhaft. Der Kl. hat diese Angabe in der persönlichen Anhörung zweimal annährend wortgleich getätigt und jeweils an seine von Einzelheiten und emotionaler Wortwahl geprägten Schilderungen über die Sorge um seine Bonität wegen der Zukunft seiner Familie angehängt. Im Gegensatz zu jenen waren die Angaben detailarm und ließen keine kreative Wortwahl oder dergleichen erkennen. Da die Formulierung auch im schriftlichen Vortrag, zuletzt im Schriftsatz v. 18.7.2024, ähnlich wiedergegeben worden ist, hält das Gericht es für plausibel, dass der Kl. diese Angabe auf Anraten seiner Prozessbevollmächtigten übernommen und wiedergegeben hat, ohne eigenes Empfinden zu schildern. Aber selbst bei Unterstellung der Aussage als zutreffend, fehlte es an der Darlegung eines konkreten, auf der Einmeldung beruhenden Schadens. Denn der Kl. hat eindrücklich geschildert, dass seine Schlafstörungen auf Ängsten wegen der Bonität beruhen. Das auch die mögliche Datenweitergabe an Dritte ihn nicht schlafen ließen, hat er nicht dargelegt. Zuletzt hat der Kl. darüber hinaus auch nicht dargelegt, welche objektiven Anhaltspunkte er für eine missbräuchliche Verwendung der Daten durch Dritte habe. Die Befürchtung einer allein hypothetischen Datenweitergabe ohne konkrete objektive Anhaltspunkte reicht für die Annahme eines immateriellen Schadens aber auch nach Feststellung des EuGH gerade nicht aus. |
| NEU LG Kiel Urt. v. 2.8.2024 – 3 O 15/24 | 0 EUR Der Kl. steht kein Anspruch auf Ersatz eine (immateriellen) Schadens gem. Art. 82 Abs. 1 DS-GVO iVm Art. 6 Abs. 1, 5 Abs. 1 lit. a DS-GVO zu. Es fehlt bereits an einem ersatzfähigen Schaden, sodass die Frage, ob die Übermittlung der Positivdaten der Kl. an die S. einen Verstoß gegen die DS-GVO darstellt, offenbleiben kann. Wie die Kl. selbst einräumt, hat die Übermittlung der Positivdaten bislang keinerlei negative Konsequenzen für sie gehabt. Da es sich um den einzigen Mobilfunkvertrag der Kl. handelt, ist auch nicht anzunehmen, dass dieser ihren S.-SCORE bzw. ihre Kreditwürdigkeit in irgendeiner Weise herabsetzen könnte. Auch die von der Kl. behaupteten psychischen Auswirkungen liegen nicht vor. Ein Gefühl des Kontrollverlusts über die eigenen Daten ist schon deshalb nicht anzunehmen, weil die Daten nicht veröffentlicht worden sind. Aus welchem Grunde die Kl. Sorgen bis zu Existenzängsten haben will, ist für das Gericht in keiner Weise nachvollziehbar, da - wie bereits erwähnt - eine negative Beeinflussung der Kreditwürdigkeit der Kl. durch die streitgegenständliche Übermittlung von Positivdaten an die S. ausgeschlossen werden kann. Schließlich sind auch die von der Kl. behaupteten Anrufe mit betrügerischer Intention jedenfalls nicht auf die Übermittlung der Positivdaten zurückzuführen. Wie aus der Anlage K3 ersichtlich ist, wurde die Telefonnummer selbst nicht an die S. übermittelt. Ferner sind die Daten ohnehin nicht durch die S. veröffentlicht worden. Daher kommt es auf den Umstand, dass die Telefonnummer der Kl. im Internet veröffentlicht ist (https://t..de/fussball/fussball-f2-jugend/), nicht mehr an. |
| NEU LG Kassel Urt. v. 1.8.2024 – 10 O 1883/23 | 0 EUR Dem Kl. steht kein Anspruch auf Ersatz immateriellen Schadens aus - dem insoweit abschließenden - Art. 82 Abs. 1 DS-GVO zur Seite. Es dürfte bereits – was hier indes keiner Entscheidung bedarf - an dem erforderlichen Verstoß gegen die Vorgaben der DS-GVO fehlen; jedenfalls aber ist das Vorliegen des behaupteten immateriellen Schadens nicht ersichtlich. Eine Verletzung der aus der DS-GVO erwachsenden Pflichten der Bekl. hat die Kammer indes nicht feststellen können. Eine solche ergibt sich nicht aus Art. 5 Abs. 1 lit. a iVm 6 Abs. 1 DS-GVO ergeben; ein sonstiger Verstoß wird nicht behauptet. Unabhängig davon ist auch ein ursächlich auf dem Verhalten der Bekl. beruhender immaterieller Schaden des Kl. nicht dargelegt. Der Anspruch aus Art. 82 Abs. 1 DS-GVO setzt voraus, dass der Anspruchsteller gerade durch den behaupteten Rechtsverstoß einen – von ihm darzulegenden und erforderlichenfalls zu beweisenden – Schaden erlitten hat. Im Einzelnen gilt nach der jüngeren Rspr. des EuGH zum Schaden Folgendes: Art. 82 Abs. 1 DS-GVO ist dahin auszulegen, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadensersatzanspruch zu begründen. Vielmehr muss der Kl. einen konkreten immateriellen (oder materiellen) Schaden darlegen und beweisen, ebenso wie das Vorliegen eines Verstoßes gegen die DS-GVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind. Erwägungsgrund 146 S. 3 DS-GVO spricht für eine weite Auslegung des Begriffs des Schadens in Art. 82 Abs. 1 DS-GVO. Damit ist etwa eine Erheblichkeitsschwelle in dem Sinne, dass immaterielle Bagatellschäden nicht ausgeglichen werden müssen, nicht zu vereinbaren. Allerdings bedeutet diese Auslegung nicht, dass eine Person, die von einem Verstoß gegen die DS-GVO betroffen ist, der für sie negative Folgen gehabt hat, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden iSv Art. 82 dieser Verordnung darstellen. Aus den Ausführungen des EuGH folgt ohne Weiteres der Charakter des „Schadens“ als eigenständiges (vom Gläubiger darzulegendes und zu beweisendes) Tatbestandsmerkmal, welches gerade verschieden ist sowohl von einem DS-GVO-Verstoß als solchen wie auch von den primären „negativen Folgen“ eines solchen DS-GVO-Verstoßes. Mit Urt. v. 14.12.2023 - C-340/21 [= ZD 2024, 150 mAnm Ligocki/Sosna = MMR 2024, 231 mAnm Kohl/Rothkegel] hat der EuGH letztere Deutung ausdrücklich bekräftigt und zugleich die Anforderungen an einen immateriellen Schaden für den Fall weiter konkretisiert, dass der Schaden nach dem Vorbringen des Antragstellers maßgeblich in der Befürchtung künftiger missbräuchlicher Verwendung seiner personenbezogenen Daten liege („Kontrollverlust“): Eine Auslegung von Art. 82 Abs. 1 DS-GVO dahin, dass der Begriff „immaterieller Schaden" iSd Bestimmung keine Situationen umfasst, in denen sich eine betroffene Person nur auf ihre Befürchtung beruft, dass ihre Daten in Zukunft von Dritten missbräuchlich verwendet werden, wäre nicht mit der Gewährleistung eines hohen Schutzniveaus für natürliche Personen bei der Verarbeitung personenbezogener Daten in der Union vereinbar, die mit diesem Rechtsakt bezweckt wird. Allerdings ist darauf hinzuweisen, dass eine Person, die von einem Verstoß gegen die DS-GVO betroffen ist, der für sie negative Folgen gehabt hat, nachweisen muss, dass diese Folgen einen immateriellen Schaden iSv Art. 82 DS-GVO darstellen. Insb. muss das angerufene nationale Gericht, wenn sich eine Person, die auf dieser Grundlage Schadensersatz fordert, auf die Befürchtung beruft, dass ihre personenbezogenen Daten in Zukunft aufgrund eines solchen Verstoßes missbräuchlich verwendet werden, prüfen, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann. Nach alledem kann ein „Kontrollverlust" einen immateriellen Schaden iSv Art. 82 Abs. 1 DS-GVO darstellen. Daran gemessen hat der Kl. den Eintritt eines immateriellen Schadens nicht schlüssig darzulegen vermocht. Die Kammer folgt zunächst nicht der Ansicht des Kl., jede Verletzung eines absoluten Rechts stelle bereits einen Schaden iSd Art. 82 Abs. 1 DS-GVO dar. Denn denklogisch bedingt jede rechtswidrige Verarbeitung personenbezogener Daten eine Verletzung des Rechts auf Schutz personenbezogener Daten bzw. informationelle Selbstbestimmung, was das selbstständige Tatbestandsmerkmal eines Schadens jeden Gewichtes und jeder Trennschärfe berauben würde. Ein immaterieller Schaden ist auch mit Blick auf den immer wiederkehrenden „Kontrollverlust“ nicht schlüssig dargetan. Der EuGH hat konkretisiert, unter welchen Voraussetzungen ein solcher einen immateriellen Schaden darstellen kann (s.o.). Daneben sprechen Erwägungsgrund 75 und 85 DS-GVO von der Möglichkeit eines immateriellen Schadens, „wenn die betroffenen Personen um ihre Rechte und Freiheiten gebracht oder daran gehindert werden, die sie betreffenden personenbezogenen Daten zu kontrollieren“ (Erwägungsgrund 75 DS-GVO) bzw. einem „immateriellen Schaden für natürliche Personen ... wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten“ (Erwägungsgrund 85 DS-GVO). Daraus – zumal iVm. der einschlägigen Rspr. des EuGH – erhellt bereits, dass es nicht um bloß irgendein abstraktes Gefühl des „Kontrollverlustes“ geht, sondern dass sich dieser schon allein auf die personenbezogenen Daten der betroffenen Person beziehen muss. |
| NEU LG Wiesbaden Urt. v. 30.7.2024 – 4 O 11.24 | 0 EUR Mangels Verstoßes gegen die DS-GVO steht dem Kl. auch kein Anspruch auf Schmerzensgeld gem. §§ 253 BGB iVm § 82 DS-GVO gegen die Bekl. zu. Entgegen der durch den Klägervertreter dargelegten Rechtsansicht liegt ein Verstoß gegen die DS-GVO hier auch nicht darin, dass die Bekl. auch nach Widerspruch des Kl. dessen Daten entgegen Art. 21 Abs. 1 S. 2 DS-GVO weiter verarbeitete und verwendete. Ein Verstoß gegen Art. 21 Abs. 1 S. 2 DS-GVO lag nicht vor, da dem Kl. ein Widerspruchsrecht nicht zustand. Gemäß Art. 21 Abs. 1 S. 1 DS-GVO setzt ein Widerspruchsrecht der betroffenen Person voraus, dass diese Gründe darlegt, die aufgrund ihrer besonderen Situation gegen die Verarbeitung der Daten sprechen. Derartige Gründe hat der Kl. aus den vorstehend bereits näher dargelegten Gründen nicht dargetan. |
| NEU LG Augsburg Urt. v. 26.7.2024 - 123 O 4719/23 | 0 EUR Das Gericht sieht bereits keinen Verstoß der Beklagtenseite gegen Art. 6 Abs. 1 bzw. Art. 5 Abs. 1 lit. a DS-GVO, da die von der Bekl. vorgenommene Datenübermittlung nach der gem. Art. 6 Abs. 1 lit. f DS-GVO vorzunehmenden Interessenabwägung gerechtfertigt ist. Soweit die Klagepartei immateriellen Schadensersatz geltend macht, fehlt ferner an einem immateriellen Schaden der Klagepartei. Zu den Anspruchsvoraussetzungen des Art. 82 Abs. 1 DS-GVO zählt neben dem Verstoß gegen die DS-GVO auch der Eintritt eines immateriellen Schadens. In Anbetracht von Erwägungsgrund 75, 85, 146 und 148 DS-GVO hatte der Verordnungsgeber insoweit Diskriminierung, Identitätsdiebstahl, Identitätsbetrug, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden persönlichen Daten oder gesellschaftliche Nachteile ohne den Ausschluss von Bagatellschäden im Blick. Hinsichtlich eines möglichen künftigen Missbrauchs personenbezogener Daten wird ein immaterieller Schaden aber nur dann zu begründen sein, wenn es sich um einen realen und sicheren emotionalen Schaden handelt und nicht nur um ein Ärgernis oder eine Unannehmlichkeit. Ein etwaiger Verstoß führt – unabhängig der Frage der Erheblichkeit – jedenfalls nicht per se zu einem Schaden. Ein konkreter Schaden ist im jeweiligen Einzelfall festzustellen ist. Ein tatsächlicher Schaden iSd physischen oder psychischen Beeinträchtigung liegt aber im vorliegenden Einzelfall gerade nicht vor. Gemessen an diesen Maßstäben ist ein immaterieller Schaden der Klagepartei zu verneinen. Der Vortrag, dass sich unmittelbar nach Erhalt der SCHUFA-Mitteilung ein Gefühl des Kontrollverlusts und der großen Sorge, insb. auch im Hinblick auf die eigene Bonität, eingestellt habe, dieses von der Angst geprägt gewesen sei, einer unberechtigten Übermittlung an eine Auskunftei wie die SCHUFA ausgesetzt zu sein, und dies die Klagepartei bis zum heutigen Tag beunruhige, weshalb sie mit der ständigen Angst vor unangenehmen Rückfragen in Bezug auf die eigene Bonität, das allgemeine Verhalten im Wirtschaftsverkehr oder einer Verfälschung des SCHUFA-Scores lebe, erfolgte offensichtlich ohne hinreichende Tatsachengrundlage. Die Klagepartei schilderte im Rahmen ihrer informatorischen Anhörung zwar, immer wieder Spam-E-Mails und Spam-SMS zu erhalten und um die eigene Bonität besorgt zu sein. Sie gab jedoch auch an, noch keine direkten Beeinträchtigungen erfahren zu haben. Insb. hinsichtlich der Bonität erläuterte sie, dass sie nicht davon ausgehe, dass sich dieser eine SCHUFA-Eintrag allein, der auf Grundlage des Vertrages mit der Bekl. erfolgte, auf die Bonität negativ auswirke, vielmehr gehe sie davon aus, dass negative Auswirkungen eintreten könnten, wenn sie mehrere Verträge abschließe. Sie habe zwischenzeitlich einen weiteren Mobilfunkvertrag abgeschlossen, was reibungslos funktioniert habe. Des Weiteren konnte die Klagepartei auch keine Kausalität der Datenschutzverstöße der Bekl. für ihre – angeblich – erlittenen Schäden darlegen. Für die haftungsbegründende Kausalität trifft sie die volle Darlegungs- und Beweislast. Insb. bezüglich der Spam-E-Mails und Spam-SMS ist ein kausaler Zusammenhang zwischen diesen Anrufen und der SCHUFA-Mitteilung nicht ersichtlich. |
| NEU LG Neuruppin Urt. v. 25.7.2024 – 3 O 134/23 | 0 EUR Die Klage ist unbegründet. Dabei kann dahinstehen, ob ein Verstoß gegen Art. 5 Abs. 1 und 6 Abs. 1 DS-GVO vorliegt. Denn jedenfalls hat der Kl. einen immateriellen Schaden nicht hinreichend substantiiert dargelegt. Ein solcher Schaden liegt nicht bereits im Vorliegen eines Verstoßes gegen die DS-GVO selbst. Der Wortlaut des Art. 82 Abs. 1 DS-GVO differenziert zwischen einem Schaden einerseits und andererseits einem DS-GVO-Verstoß, auf dem der Schaden erst beruht. Immaterielle Schäden aufgrund des inneren Erlebens hat der Kl. - auch im Rahmen von § 287 ZPO - konkret darzulegen. Dem genügen allgemein gehaltene, pauschale und formelhafte Bekundungen nicht. Vielmehr obliegt es dem Kl., die Behauptung mit Leben zu füllen und zu individualisieren. Der Kl. schildert ein Gefühl des Kontrollverlustes. Er habe ein bedrückendes Gefühl, weil er nicht wisse, welche Daten bei der S. bei ihm vorliegen und es sich um so viele Daten handelt. Er befürchte, dass das negative Auswirkungen auf zukünftige Rechtsgeschäfte haben könne. Damit genügt er seiner Darlegungslast eines immateriellen Schadens iSv Art. 82 Abs. 1 DS-GVO nicht. Nach EuGH Urt. v. 14.12.2023 - C-340/21 [= ZD 2024, 150 mAnm Ligocki/Sosna = MMR 2024, 231 mAnm Kohl/Rothkegel], kann es zwar einen immateriellen Schaden darstellen, wenn eine betroffene Person infolge eines DS-GVO-Verstoßes befürchtet, ihre personenbezogenen Daten könnten durch Dritte missbräuchlich verwendet werden. Dass dies allerdings (nur) einen Schaden darstellen „kann“ zeigt, dass selbst dann das Vorliegen eines Schadens von weiter hinzutretenden Faktoren abhängig ist, zumindest in Form einer Bewertung der jeweiligen Umstände des Einzelfalles. Eine Bewertung als immaterieller Schaden iSv Art. 82 Abs. 1 DS-GVO setzt dann aber voraus, dass der Kl. die Ausprägungen des Einzelfalls darstellt, die dazu führen, dass sich die durch den EuGH erkannte Möglichkeit eines Schadens im Einzelfall auch zum Vorliegen eines Schadens konkretisiert hat. Dies ist nicht geschehen. Der Kl. gibt keinen hinreichend konkreten und objektiven Zusammenhang zwischen der Datenübermittlung durch die Bekl. und einer Beeinträchtigung seiner Lebensführung an. Er legt Probleme bei der Wohnungssuche nicht substantiiert dar; insb. nicht, wann dies der Fall gewesen sei und in welcher Weise sich dies geäußert habe. Auch bleibt unklar, inwiefern dies gerade auf die Datenweitergabe durch die Bekl. zurückzuführen sei. Dass Probleme bei der Wohnungssuche zwar nicht in der Vergangenheit, wohl aber in der Zukunft konkret zu befürchten seien, legt der Kl. ebenfalls nicht dar. Ähnliches gilt hinsichtlich der Kreditvergabe. Der Kl. hat schriftsätzlich ausgeführt, bei jedem Kredit belastet zu sein und Angst vor unangenehmen Rückfragen in Bezug auf die eigene Bonität, das allgemeine Verhalten im Wirtschaftsverkehr oder einer Verfälschung des S.-Scores zu haben. Jener Vortrag ist pauschal, allgemein gehalten und ohne jede Individualisierung, mithin ebenfalls unsubstantiiert. In der mündlichen Verhandlung hat er dies auch nicht hinreichend substantiiert. Eine nur ungenügende Konkretisierung hat der Vortrag dahingehend erfahren, dass der Kl. selbstständig sei und daher ohnehin nicht leicht an Kredite komme. Er hat jedoch auch ausgeführt, zwischenzeitlich keine Kredite beantragt zu haben. Inwiefern gerade die Weitergabe der Bekl. zu konkreten Ängsten geführt habe, trägt er nicht vor. Nach schweren Existenzängsten befragt, hat er diese ebenfalls nicht glaubhaft dargelegt, sondern sich relativierend geäußert, allgemein nicht zu wissen, was die Zukunft bringen wird. Diese Sorge ist jedoch unspezifiziert und weist selbst, wenn der Vortrag als hinreichend substantiiert zu werten wäre, keinen konkreten Bezug zur streitgegenständlichen Datenweitergabe auf. Er unterfällt deshalb jedenfalls dem allgemeinen Lebensrisiko. |
| NEU LG Bonn Urt. v. 24.7.2024 – 45 O 93/24 | 0 EUR Die mit der Klage geltend gemachten Ansprüche des Kl. sind nicht gegeben. Es kann bereits dahinstehen, ob der Bekl. Verstöße gegen Art. 25 Abs. 1 oder Art. 32 DS-GVO wegen der Übermittlung sog. Positivdaten vorzuwerfen sind. Ein Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO scheidet jedenfalls deshalb aus, weil der Kl. einen darauf beruhenden Schaden nicht substantiiert dargelegt und nachgewiesen hat. Nach Art. 82 DS-GVO ist Schadensersatz zu leisten, wenn ein Verstoß gegen die DS-GVO dargelegt und ggf. nachgewiesen wird sowie ein tatsächlich erlittener materieller oder immaterieller Schadens und ein Kausalzusammenhang zwischen dem Verstoß und dem Schaden; der bloße Verstoß gegen Bestimmungen der DS-GVO oder die Möglichkeit eines Schadenseintritts reicht demnach nicht aus; die Darlegungs- und Beweislast trägt insoweit der Anspruchsteller. Dass er infolge von Verstößen gegen die DS-GVO materielle Schäden erlitten habe, wird vom Kl. bereits nicht behauptet. Sein Vorbringen bzgl. der versagten Eröffnung eines Kontos ist nicht mit entsprechendem Vortrag verbunden, dass bzw. welche materiellen Schäden ihm hierdurch entstanden sein sollen; zudem findet in den Klageanträgen ein materieller Schaden keine Berücksichtigung. Ein Schadensersatzanspruch ist auch nicht gegeben, soweit der Kl. als Folge von der Bekl. anzulastenden Datenschutzverstößen immaterielle Schäden in Form eines „Kontrollverlusts“ über die ihn betreffenden personenbezogenen Daten erlitten haben will. Der Kontrollverlust stellt für sich genommen nicht bereits einen immateriellen Schaden dar. Ein reines „Befürchten“ von Nachteilen ist kein Schaden iSd DS-GVO. Soweit der Kl. in der Klageschrift und der Replik seine entsprechenden Befürchtungen beschrieben hat, handelt es sich um pauschale Angaben und eine Abfolge von Textbausteinen, die sich (wie gerichtsbekannt ist) in einer Vielzahl von parallel gelagerten Verfahren wortgleich finden. Dass sämtliche Kl., die sich von Verstößen gegen die DS-GVO betroffen fühlen, ein identisches subjektives und individuelles Erleben haben und identische Empfindungen des Unwohlseins und der Sorge, erscheint der Kammer nicht glaubhaft. Auch im Rahmen seiner persönlichen Anhörung konnte der Kl. nicht näher angeben, inwieweit das Gefühl des Kontrollverlusts, des Unwohlseins und der Sorge gerade darauf gegründet ist, dass Dritte davon erfahren könnten, dass er einen Mobilfunkvertrag mit der Bekl. hat und sich ihr ggü. vertragstreu verhält. Ein konkreter, objektiver Zusammenhang zwischen der Datenübermittlung der Bekl. und der Lebensführung des Klägers wurde - bis auf den vermeintlichen versagten Abschluss eines Vertrages über die Eröffnung eines Bankkontos - nicht behauptet, so dass ein Rückschluss von derartigen Umständen auf sein inneres Erleben nicht möglich ist. Vielmehr hat der Kl. ausdrücklich erklärt, dass er bisher keine Nachteile durch den Eintrag betreffend das Vertragsverhältnis mit der Bekl. erlitten habe. Insb. hat sich seine angebliche Befürchtung bisher nicht realisiert, dass seine Bonität in Zweifel gezogen wurde. Seinen S. Score von 96% halte er für eher gut. Soweit er erklärt hat, dass ihm dies dennoch Sorgen bereite, etwa im Hinblick auf die abgelehnte Eröffnung eines Bankkontos bei einer Internetbank oder bei der möglichen Finanzierung eines Fahrzeugkaufs, hat er diese Befürchtungen nicht hinreichend begründet. Dass die behauptete verweigerte Eröffnung eines Bankkontos auf die Übermittlung der Positivdaten an die S. zurückzuführen ist, ist nicht belegt. Der Verweis der Bekl. auf die weiteren Einträge, insbesondere über die Einrichtung eines Pfändungsschutzkontos, zeigt naheliegende weitere Möglichkeiten auf. Die von dem Kl. geäußerten Sorgen sind nicht geeignet, einen immateriellen Schaden darzulegen, denn sie sind durch nichts belegt und objektiv nicht nachvollziehbar. Selbst wenn es Wirtschaftsteilnehmer gäbe, die potentiellen Vertragspartnern mit Positiveinträgen skeptischer gegenüberträten als solchen ohne Einträge und diese benachteiligen würden, so beruht dieses Verhalten nicht kausal auf der Mitteilung der Vertragsdaten des Kl. an die S.. Es läge - das Vorliegen eines Datenschutzverstoßes zugunsten des Kl. unterstellt - ein atypischer und damit nicht der Bekl. zurechenbarer Kausalverlauf vor. |
| NEU LG Detmold Urt. v. 23.7.2024 – 02 O 221/23 | 0 EUR Bei der Verletzung von absoluten Rechtsgütern reicht bereits die Möglichkeit weiterer materieller oder immaterieller Schäden für die Annahme eines Feststellungsinteresses aus. Das nach Art. 82 DS-GVO absolut geschützte Datenschutzrecht stellt hierbei eine europarechtliche Ausformung des deutschen allgemeinen Persönlichkeitsrechts dar. Der Kl. hat ggü. der Bekl. keinen Anspruch auf Ersatz des geltend gemachten immateriellen Schadens. Es fehlt vorliegend zumindest an einem Schaden iSd Art. 82 DS-GVO. Der Begriff des Schadens ist laut Erwägungsgrund 146 DS-GVO weit auszulegen. Gleichwohl reicht der bloße Verstoß gegen Vorschriften der DS-GVO nicht für eine Haftungsbegründung aus. Vielmehr muss ein Schaden tatsächlich, so geringfügig er auch sein mag, entstanden sein. Art. 82 DS-GVO wird keine Straf-, sondern eine Ausgleichsfunktion zugewiesen. Darlegungs- und beweisbelastet ist insoweit der Kl.. Prüfungsmaßstab ist das strenge Beweismaß des § 286 ZPO. Das Beweismaß des § 286 ZPO erfordert keine absolute oder unumstößliche Gewissheit und auch keine an Sicherheit grenzende Wahrscheinlichkeit, sondern nur einen für das praktische Leben brauchbaren Grad von Gewissheit, der Zweifeln Schweigen gebietet. Ein Schaden materieller Natur, zB schlechtere Kreditkonditionen in der Vergangenheit, werden nicht vorgetragen. Auch einen immateriellen Schaden hat der Kl. nicht substantiiert vorgetragen. Bei einem immateriellen Schaden handelt es sich um einen inneren Vorgang, auf welchen durch die Aussage des Betroffenen und durch objektive Beweisanzeichen geschlossen werden muss. Soweit der Kl. einen Kontrollverlust geltend macht, kann ein solcher einen Schaden iSd Art. 82 DS-GVO darstellen. Ein Schaden kann hiernach selbst darin bestehen kann, dass jemand befürchtet, dass seine Daten von Dritten in Zukunft missbräuchlich verwendet werden könnten. Anhaltspunkte für einen Kontrollverlust hat der Kl. jedoch nicht dargetan, eine dahingehende Befürchtung hat der Kl. ebenfalls nicht substantiiert vorgetragen. |
| NEU LG Hagen (Westfalen) Urt. v. 22.7.2024 – 3 O 196/23 | 0 EUR Dem Kl. steht kein Anspruch auf Zahlung immateriellen Schadensersatzes aus Art. 82 Abs. 1 DS-GVO oder einer anderen denkbaren Anspruchsgrundlage gegen die Bekl. zu. Es liegt eine Rechtsgrundlage zur Verarbeitung vor. IÜ mangelt es an einem ersatzfähigen Schaden des Kl. iSd Art. 82 Abs. 1 DS-GVO. Nach der informatorischen Anhörung des Kl. in der mündlichen Verhandlung konnte sich die Kammer keine Überzeugung dahingehend bilden, dass der Kl. einen kausal auf die behaupteten Verstöße zurückzuführenden Schaden erlitten hat. Nach allgemeinen Grundsätzen obliegt es dem Kl., die (Mit-) Ursächlichkeit des – vermeintlichen – Verstoßes für die geltend gemachten Schäden darzulegen und ggf. zu beweisen. Der EuGH hat am 04.05.2023 entschieden, dass Art. 82 DS-GVO dahin auszulegen ist, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadensersatzanspruch zu begründen. Es geht aus dem Wortlaut von Art. 82 Abs. 1 DS-GVO klar hervor, dass das Vorliegen eines „Schadens“ eine der Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadensersatzanspruch darstellt, ebenso wie das Vorliegen eines Verstoßes gegen die DS-GVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind. Daher kann nicht davon ausgegangen werden, dass jeder Verstoß gegen die Bestimmungen der DS-GVO für sich genommen den Schadensersatzanspruch der betroffenen Person iSv Art. 4 Nr. 1 DS-GVO eröffnet. Eine solche Auslegung liefe dem Wortlaut von Art. 82 Abs. 1 DS-GVO zuwider. Insofern muss konkret festgestellt werden, dass die – vom Anspruchssteller zu beweisenden – Folgen einen Schaden darstellen. Eine „Erheblichkeitsschwelle“ für das Vorliegen eines solchen Schadens ergibt sich dabei nicht aus der DS-GVO. Bagatellschäden sind folglich nicht auszuschließen. Zu verlangen ist aber jedenfalls, dass ein konkreter immaterieller Schaden auch tatsächlich eingetreten („entstanden“) ist. Ein abstrakter „Kontrollverlust“ allein reicht demnach für einen immateriellen Schaden iSd Art. 82 DS.GVO nicht aus, für eine darüberhinausgehende Beeinträchtigung trägt der Anspruchsteller die Darlegungs- und Beweislast. Nach dem in § 286 ZPO normierten Grundsatz der freien Beweiswürdigung ist ein Beweis erbracht, wenn das Gericht unter Berücksichtigung des gesamten Inhalts der Verhandlung und des Ergebnisses einer etwaigen Beweisaufnahme von der Richtigkeit einer Tatsachenbehauptung überzeugt ist. Dabei muss der Grad der Überzeugung keine absolute Gewissheit und auch keine an Sicherheit grenzende Wahrscheinlichkeit erreichen. Vielmehr genügt ein für das praktische Leben brauchbarer Grad an Gewissheit, der vernünftigen Zweifeln schweigen gebietet. Dies ist hier der Fall. In der mündlichen Verhandlung hat der Kl nicht überzeugend dargelegt, dass er aufgrund der Einmeldung der Positivdaten durch die Bekl. unter echten immateriellen Beeinträchtigungen wie zB Angstgefühlen, seelischem Leid, seelischen Auswirkungen, psychischen Beeinträchtigungen oder anderen, irgendwie spürbaren seelischen Beeinträchtigungen gelitten habe. |
| NEU LG Passau Urt. v. 19.7.2024 – 1 O 64/24 | 0 EUR Die im Streit stehende Datenübermittlung ist nach Art. 6 Abs. 1 lit. f DS-GVO gerechtfertigt, weil sie zur Wahrung der berechtigten Interessen der Bekl. und Dritter erforderlich ist und die Interessen oder Grundrechte und Grundfreiheiten des Kl., die den Schutz personenbezogener Daten erfordern, nicht überwiegen. Dem Kl. stehen aufgrund der Rechtmäßigkeit der Datenübermittlung keine Ansprüche auf Schadensersatz oder Unterlassung zu. Auch der Feststellungsantrag ist unbegründet. Gleiches gilt für die geltend gemachten Nebenforderungen. Ein Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO scheitert zudem am Vorliegen eines Schadens. Das Gericht hält es nach informatorischer Anhörung des Kl. nicht für glaubhaft, dass er durch die Datenübermittlung in irgendeiner Weise merkbar beeinträchtigt worden sein will. Die Auskunft der S. Holding AG für den Kl. enthält eine Vielzahl von Einträgen. Dass gerade der hier in Rede stehende Eintrag den Kl. stören sollte, ist nicht nachvollziehbar. Ausweislich der Auskunft betrug der Basisscore des Kl. zum 1.7.2023 98,21%. Die zuletzt am 20.8.2023 an eine Bank übermittelte Auskunft hatte das Prädikat „sehr geringes Risiko“. Auch insoweit sind die klägerischen Behauptungen eines Unwohlseins oder Kontrollverlustes für das Gericht nicht glaubhaft. |
| NEU LG München I Urt. v. 18.7.2024 – 3 O 13245/23 | 0 EUR Ein Anspruch des Kl. auf Ersatz ihm entstandener immaterieller Schäden besteht nicht. Der Kl. hat keine Beeinträchtigung erlitten, die einen immateriellen Schaden begründet. Art. 82 Abs. 1 DS-GVO ist dahingehend auszulegen, dass der bloße Verstoß gegen die Bestimmungen der DS-GVO nicht ausreicht, um einen Schadensersatzanspruch zu begründen. Vielmehr muss der Kl. nach der Rspr. des EuGH einen konkreten immateriellen oder materiellen Schaden darlegen und beweisen, ebenso wie das Vorliegen eines Verstoßes gegen die DS-GVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind. Nach dem Urt. des EuGH v. 14.12.2023 - C-340/21 [= ZD 2024, 150 mAnm Sosna/Ligocki = MMR 2024, 231 mAnm Kohl/Rothkegel] kann auch ein Kontrollverlust einen Schaden nach Art. 82 DS-GVO darstellen. Das angerufene nationale Gericht hat nach dieser Entscheidung des EuGH dann, wenn sich eine Person auf eine Befürchtung beruft, dass ihre personenbezogenen Daten in Zukunft missbräuchlich verwendet werden, jedoch zu prüfen, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann. Unbegründete Befürchtungen erkennt der EuGH somit nicht als Schaden an. Die vom Kl. vorgetragenen Sorgen und Ängste, als er die Kopie seiner bei der S. gespeicherten Daten erhalten habe, haben sich hier unter Berücksichtigung sämtlicher Umstände des Einzelfalles und im Hinblick auf die Person des Kl. als unbegründet erwiesen. |
| NEU LG Hagen (Westfalen) Urt. v. 17.7.2024 – 2 O 14/24 | 0 EUR Der Kl. hat gegen die Bekl. keinen Anspruch auf Zahlung eines immateriellen Schadensersatzes aus Art. 82 Abs. 1, 2 DS-GVO. Die Voraussetzungen des Art. 82 Abs. 1 DS-GVO sind nicht erfüllt. Es liegt insbesondere kein Verstoß gegen Art. 6 Abs. 1, Art. 5 Abs. 1 lit. a DS-GVO vor. Die Übermittlung der Vertragsdaten durch die Bekl. konnte auf die Rechtsgrundlage des Art. 6 Abs. 1 lit. f DS-GVO gestützt werden, sie war mithin rechtmäßig. Unabhängig davon, ob die Bekl. gegen Vorschriften der DS-GVO verstoßen hat, fehlt es jedenfalls auch schon an einem Schaden des Kl. Für den geltend gemachten immateriellen Schadensersatz gelten die im Rahmen von § 253 BGB entwickelten Grundsätze. Dabei hat die Kammer für den Eintritt des Schadens den Beweismaßstab des § 286 ZPO anzulegen. Die Ermittlung des Ausmaßes des – unterstellt – festgestellten Schadens obliegt dem Gericht nach § 287 ZPO, wobei Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie die konkret betroffenen personenbezogenen Daten zu berücksichtigen sind. Zwar ist ein genereller Ausschluss von Bagatellschäden im Lichte der Erwägungsgründe zur DS-GVO nicht vertretbar. Insoweit ist es nicht erforderlich, dass der eingetretene Schaden eine bestimmte Erheblichkeitsschwelle überschreitet; auch Bagatellschäden sind grds. ersatzfähig. Dies bedeutet aber nicht, dass die aus dem Datenschutzverstoß resultierenden negativen Folgen per se einen haftungsbegründenden Schaden darstellen; denn der EuGH führt hierzu explizit aus, dass diese Auslegung nicht bedeutet, „dass eine Person, die von einem Verstoß gegen die DS-GVO betroffen ist, der für sie negative Folgen gehabt hat, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden iSv Art. 82 dieser Verordnung darstellen. In diesem Sinne genügt ein bloßer Ärger über den Datenschutzverstoß oder Kontrollverlust an Daten oder ein subjektives Unmutsgefühl nicht, um einen immateriellen Schaden anzunehmen. Allein eine Verletzung des Datenschutzrechts begründet mithin für sich genommen noch nicht einen Schadensersatzanspruch für die betroffene Person, solange damit nicht im Einzelfall ein (immaterieller) Schaden verbunden ist, d.h. kausal negative Konsequenzen für den Betroffenen. Dafür spricht ferner der Wortlaut des Art. 82 Abs. 5 DS-GVO, nach dem der Schaden „erlitten“ sein muss. Das ist nur der Fall, wenn dieser wegen eines Verstoßes gegen die Verordnung (Art. 82 Abs. 1 DS-GVO) tatsächlich entstanden, spürbar und objektiv nachvollziehbar ist und nicht nur von dem Betroffenen befürchtet wird. Es bedarf dazu nach Auffassung der Kammer der Darlegung eines konkreten – auch immateriellen – Schadens. Einen solchen immateriellen Schaden, wozu auch Ängste, Sorgen, Stress sowie Komfort- und Zeiteinbußen zählen können, hat der Kl. indes nicht dargelegt. |
| NEU LG Leipzig Urt. v. 12.7.2024 – 04 O 40/24 | 0 EUR Der Kl. hat keinen Anspruch auf Schmerzensgeld aus Art. 82 Abs. 1 DS-GVO, da eine tatsächliche immaterielle Beeinträchtigung der Klagepartei nicht feststellbar ist: Nach dem Urt. des EuGH v. 4.5.2023 - C-300/21 [= ZD 2023, 446 mAnm Mekat/Ligocki – Österreichische Post] ist Art. 82 I DS-GVO dahingehend auszulegen, dass der bloße Verstoß gegen die Bestimmungen der Verordnungen nicht ausreicht, um einen Schadensersatzanspruch zu begründen, vielmehr muss der Kl. einen konkreten immateriellen oder materiellen Schaden darlegen und beweisen, ebenso wie das Vorliegen eines Verstoßes gegen die DS-GVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ vorliegen müssen. Mit Urt. v. 14.12.2023 – C-340/21 [= ZD 2024, 150 mAnm Ligocki/Sosna = MMR 2024, 231 mAnm Kohl/Rothkegel] hat der EuGH die Voraussetzungen für die Geltendmachung eines immateriellen Schadens weiter konkretisiert. Danach wäre eine Auslegung von Art. 82 Abs. 1 DS-GVO dahin, dass der Begriff „immaterieller Schaden“ iSd DS-GVO keine Situation umfasse, in denen sich eine betroffene Person nur auf ihre Befürchtung beruft, dass ihre Daten in Zukunft von Dritten missbräuchlich verwendet werden, nicht mit der Gewährleistung eines hohen Schutzniveaus für natürliche Personen bei der Verarbeitung personenbezogener Daten in der Union vereinbar, welche mit diesem Rechtsakte bezweckt werde. Allerdings müsse eine Person, die von einem Verstoß gegen die DS-GVO betroffen ist, der für sie negative Folgen gehabt hat, nachweisen, dass diese Folgen einen immateriellen Schaden iSv Art. 82 DS-GVO darstellen. Vor diesem Hintergrund hat der Kl. vorliegend einen entsprechenden immateriellen Schaden schon nicht hinreichend substantiiert dargelegt, geschweige denn bewiesen: Der entsprechende Vortrag in der Klageschrift beschränkt sich insoweit - worauf die Bekl. zurecht hingewiesen hat - auf die Wiedergabe von (in zahlreichen weiteren Parallelverfahren wortgleich verwendeten) pauschalen Begriffen, wie „Kontrollverlust“ und „ständige Angst“, welche nicht näher mit verifizierbaren Tatsachenbehauptungen unterlegt werden. |
| NEU LG Heilbronn Urt. v. 12.7.2024 – Zw 1 O 10/24 | 0 EUR Der Kl. hat keinen immateriellen Schadensersatzanspruch gegen die Bekl. aus Art. 82 Abs. 1 DS-GVO. Es kann offenbleiben, ob die Bekl. durch die Übermittlung der streitgegenständlichen Information an die S. gegen Art. 5 Abs. 1, 6 Abs. 1 DS-GVO verstoßen hat. Es fehlt jedenfalls an einem kausalen, immateriellen Schaden des Kl. Ein Verstoß gegen die Bestimmungen der DS-GVO für sich allein genommen reicht nicht aus, um einen Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO zu begründen. Die Entstehung des Schadensersatzanspruchs setzt vielmehr kumulativ eine Verarbeitung personenbezogener Daten unter Verstoß gegen die Bestimmungen der DS-GVO, einen der betroffenen Person entstandenen Schaden und einen Kausalzusammenhang zwischen der rechtswidrigen Verarbeitung und diesem Schaden voraus. Art. 82 Abs. 1 DS-GVO ist dahin auszulegen, dass ein Verstoß gegen Bestimmungen dieser Verordnung, die der betroffenen Person Rechte verleihen, für sich genommen nicht ausreicht, um unabhängig vom Schweregrad des von dieser Person erlittenen Schadens einen „immateriellen Schaden“ im Sinne dieser Bestimmung darzustellen. Angesichts der weiten Formulierungen der Erwägungsgründe, wonach bereits eine Diskriminierung, die Rufschädigung, der Verlust der Vertraulichkeit oder der (eingetretene) Verlust der Kontrolle über die personenbezogenen Daten einen (immateriellen) Schaden begründen können, kann ggf. beim tatsächlichen Vorliegen entsprechender immaterieller Beeinträchtigungen ein Schaden anzunehmen sei. Hierzu muss eine über das allgemeine Lebensrisiko, alltägliche Lästigkeiten, ausgelöste negative Gefühle wie Ärger, subjektiv empfundene Unannehmlichkeiten, unspezifische Unlustgefühle, Sorgen und Ängste hinausgehende spürbare Beeinträchtigung vorliegen, dargelegt und festgestellt werden. Mit Blick auf die subjektiven Folgen eines Datenschutzverstoßes im Einzelfall ist es deshalb ausreichend, aber auch erforderlich, dass der Betroffene Umstände darlegt, in denen sich seine erlebten Empfindungen widerspiegeln, und dass nach der Lebenserfahrung der Datenschutzverstoß mit seinen Folgen Einfluss auf das subjektive Empfinden hat. Die Darlegungs- und Beweislast für den Eintritt des konkreten Schadens liegt beim Betroffenen und kann bei behaupteten persönlichen / psychologischen Beeinträchtigungen nur durch die Darlegung konkret-individueller - und nicht in einer Vielzahl von Fällen gleichartiger -, dem Beweis zugänglicher Indizien erfüllt werden. Der Beweis ist nach dem Maßstab des § 286 ZPO zu führen. Die Prozessbevollmächtigten des Kl. haben im schriftlichen Vorverfahren, inhaltlich identisch mit den zahlreichen anderen beim Gericht anhängigen Verfahren, lediglich abstrakt und damit nicht ausreichend substantiiert für den konkreten Einzelfall vorgetragen, der Kl. habe ein Gefühl des Kontrollverlustes erlitten und sei in der großen Sorge bzgl. der Einstufung der Bonität durch die S. verblieben und lebe seither mit der ständigen Angst vor unangenehmen Rückfragen in Bezug auf die Bonität, was ihn beim Abschluss von Verträgen beeinträchtigen würde. Damit ist zunächst festzustellen, dass der klägerseits behauptete Kontrollverlust bzgl. der Daten keinen Schaden im o. g. Sinne darstellt. Dasselbe gilt für einen behaupteten Zustand von Unwohlsein und Sorge über möglichen Missbrauch der Daten. Derartiges gehört in unserer digitalisierten Welt mittlerweile zum allgemeinen Lebensrisiko. Nachdem die S. gem. ihrer Mitteilung vom 19.10.2023 zwischenzeitlich die Telekommunikationsdaten (Positivdaten) aus den Konten löscht, ist davon auszugehen, dass sie diese auch nicht mehr (negativ) in den Bonitäts-Score einfließen lässt. Ein Unterlassungsanspruch aus Art. 82 DS-GVO kommt nur dann in Betracht, wenn der Betroffene einen Schaden erlitten hat und entweder die erfolgte Verletzungshandlung noch andauert oder der pflichtwidrig geschaffene Zustand fortdauert. Dies ist hier jedoch nicht der Fall, die Klägerseite hat keinen feststellbaren Schaden erlitten. |
| NEU LG München I Versäumnisurt. v. 12.7.2024 – 14 O 4314/24 | 5.000 EUR Die Bekl. hat gegen Art. 6 DS-GVO verstoßen, da sie rechtswidrig personenbezogene Daten der Klägerseite verarbeitete, indem sie diese Daten Dritten zugänglich gemacht hat. |
| NEU LG Aachen Urt. v. 11.7.2024 – 1 O 388/23 | 0 EUR Dem Kl. steht kein Schadensersatzanspruch gegen die Bekl. gem. Art. 82 Abs. 1 DS-GVO, da eine tatsächliche immaterielle Beeinträchtigung der Klagepartei nicht feststellbar war. Nach der informatorischen Anhörung der Klagepartei konnte keine Überzeugung dahingehend gebildet werden, dass die Klagepartei eine Beeinträchtigung erlitten hat, die einen immateriellen Schaden begründet. Der insoweit darlegungs- und beweisbelastete Kl. hat einen restitutionsfähigen konkreten, auf einen behaupteten Datenschutzverstoß der Bekl. zurückzuführenden Schaden bereits nicht hinreichend dargelegt. Für den – hier geltend gemachten – immateriellen Schadensersatz gelten die im Rahmen von § 253 BGB entwickelten Grundsätze. Dessen Ermittlung obliegt dem Gericht nach § 287 ZPO. Es können für die Bemessung die Kriterien des Art. 83 Abs. 2 DS-GVO herangezogen werden, zB die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie die betroffenen Kategorien personenbezogener Daten. Zu berücksichtigen ist auch, dass die beabsichtigte abschreckende Wirkung nur durch für den Anspruchsverpflichtenden empfindliche Schmerzensgelder erreicht wird, insbesondere wenn eine Kommerzialisierung fehlt. Ein genereller Ausschluss von Bagatellfällen ist damit nicht zu vereinbaren. Die Pflicht zur Erstattung immaterieller Schäden ist daher nicht auf schwere Schäden beschränkt. Nach den Erwägungsgründen der europäischen Grundrechtscharta ist der Schadensbegriff weit auszulegen (s. Erwägungsgrund 146 DS-GVO), auch wenn er in der DS-GVO nicht näher definiert wird. Schadensersatzforderungen sollen abschrecken und weitere Verstöße unattraktiv machen. Darüber hinaus sollen die betroffenen Personen einen vollständigen und wirksamen Ersatz für den erlittenen Schaden erhalten. Dabei wird vor allem die abschreckende Wirkung des Schadensersatzes betont, welche insbesondere durch seine Höhe erzielt werden soll. Nach Erwägungsgrund 75 DS-GVO kann ein Nichtvermögensschaden insbesondere durch Diskriminierung, Identitätsdiebstahl oder -betrug, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden persönlichen Daten oder gesellschaftliche Nachteile eintreten. Ein genereller Ausschluss von Bagatellschäden ist im Lichte dieser Erwägungsgründe nicht vertretbar. Dies wird auch aus Art. 4 Abs. 3 AEUV abgeleitet, der die Mitgliedsstaaten dazu anhält, Verstöße wirksam mit Sanktionen zu belegen, denn nur so könne man eine effektive Durchsetzbarkeit des EU-Rechts und damit auch der DS-GVO erzielen. Allein eine behauptete Verletzung des Datenschutzrechts als solche begründet allerdings nicht bereits für sich gesehen einen Schadensersatzanspruch für betroffene Personen. Die Verletzungshandlung muss in jedem Fall auch zu einer konkreten Verletzung von Persönlichkeitsrechten der betroffenen Personen geführt haben. Die Verletzung der Vorschriften der DS-GVO ist nicht mit einem Schadenseintritt gleichzusetzen. Es ist zwar keine schwere Verletzung des Persönlichkeitsrechts erforderlich. Andererseits ist aber auch weiterhin nicht für jede im Grunde nicht spürbare Beeinträchtigung bzw. für jede bloß individuelle empfundene Unannehmlichkeit ein Schmerzensgeld zu gewähren. Vielmehr muss dem Betroffenen ein spürbarer Nachteil entstanden sein und es muss um eine objektiv nachvollziehbare, tatsächlich erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen gehen. In Erwägungsgrund 75 und 85 DS-GVO werden einige mögliche Schäden aufgezählt, darunter Identitätsdiebstahl, finanzielle Verluste, Rufschädigung, aber auch der Verlust der Kontrolle über die eigenen Daten sowie die Erstellung unzulässiger Persönlichkeitsprofile. Zudem nennt Erwägungsgrund Nr. 75 auch die bloße Verarbeitung einer großen Menge personenbezogener Daten einer großen Anzahl von Personen. Der Schaden ist zwar weit zu verstehen, er muss jedoch auch tatsächlich „erlitten“ (Erwägungsgrund Nr. 146), das heißt „spürbar“, objektiv nachvollziehbar und tatsächlich eingetreten sein, um bloß abstrakte, nicht wirklich eingetretene Beeinträchtigungen auszuschließen. Gemessen an diesen Grundsätzen hat der Kl. schon keine spürbare Beeinträchtigung von persönlichen Belangen – hervorgerufen durch die Meldung der Positivdaten – dargelegt, für die hinreichende Anhaltspunkte bestehen, dass sie kausal auf die hier streitgegenständliche Meldung der Positivdaten zurückzuführen sein könnte. In der mündlichen Verhandlung hat der Kl. nicht überzeugend dargelegt, dass er aufgrund der Meldung seiner Positivdaten unter immateriellen Beeinträchtigungen wie zB Angstgefühlen, seelischem Leid oder spürbare seelische Beeinträchtigung erlitten hat. Er sei erschrocken und enttäuscht gewesen, dass er bei der SCH. erfasst sei, weil er nicht vertragsbrüchig geworden sei. Es sei für ihn ein beklemmendes Gefühl, dass Positivdaten von mir an die SCH. gemeldet wurden. Ich bin auch besorgt, dass die Daten an dritte Personen gelangen, die dann damit illegale Dinge tun. Er habe auch auch Angst bzw. Sorge betreffend seine Bonität. Dies ist indes nicht nachvollziehbar, da der Kl. – wenn er doch um seine Bonität besorgt sein will – auf Nachfrage einräumte, seinen Bonitätsscore nicht zu kennen. Eine ernsthafte Sorge kann danach mit der Meldung seiner Positivdaten an die SCH. Holding AG nicht verbunden sein, zumal der Bonitätscore von 98,05 auch in der Sache keinerlei Anlass zur Sorge bietet. Angesichts dessen besteht auch für die Mutmaßung des Kl., seine Suche nach einer Mietwohnung habe aufgrund des Verstoßes möglicherweise länger gedauert, keine Grundlage. Eine spürbare immaterielle Beeinträchtigung des Kl. konnte anhand dieser Angaben nicht festgestellt werden. |
| NEU LG Frankfurt/M. Urt. v. 11.7.2024 – 2-10 O 35/24 | 0 EUR Der Kl. hat gegen die Bekl. keinen Anspruch auf Zahlung eines immateriellen Schadensersatzes iHv 4.000 EUR aus Art. 82 Abs. 1 DS-GVO. Es kann dahinstehen, ob ein Verstoß gegen die Bestimmungen der DS-GVO vorliegt. Denn das Gericht kann nicht feststellen, dass der Kl. einen kausal auf die behaupteten Verstöße zurückzuführenden Schaden erlitten hat. Nach allgemeinen Grundsätzen obliegt es dem Kl., eine Schädigung darzulegen und ggf. zu beweisen. Der EuGH hat am 04.05.2023 entschieden, dass Art. 82 DS-GVO dahin auszulegen ist, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadensersatzanspruch zu begründen. Es geht aus dem Wortlaut von Art. 82 Abs. 1 DSG-VO klar hervor, dass das Vorliegen eines „Schadens“ eine der Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadensersatzanspruch darstellt, ebenso wie das Vorliegen eines Verstoßes gegen die DS-GVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ vorliegen müssen. Daher kann nicht davon ausgegangen werden, dass jeder Verstoß gegen die Bestimmungen der DS-GVO für sich genommen den Schadensersatzanspruch der betroffenen Person iSv Art. 4 Nr. 1 dieser Verordnung eröffnet. Eine solche Auslegung liefe dem Wortlaut von Art. 82 Abs. 1 DS-GVO zuwider. Ein abstrakter "Kontrollverlust" reicht allein für einen immateriellen Schaden iSd Art. 82 DS-GVO nicht aus, für eine darüberhinausgehende Beeinträchtigung trägt der Anspruchsteller die Beweislast. Die erforderliche Darlegung kann bei behaupteten persönlichen/psychologischen Beeinträchtigungen nur durch die Darlegung konkretindividueller – und nicht wie hier in einer Vielzahl von Fällen gleichartiger – dem Beweis zugänglicher Indizien erfüllt werden. Dass bloße negative Gefühle wie Unmut, Unzufriedenheit, Sorge und Angst, die an sich Teil des allgemeinen Lebensrisikos und oft des täglichen Erlebens sind, Grundlage für einen Schadensersatzanspruch sein können, hält das Gericht jedenfalls dann für nicht gerechtfertigt, wenn – wie hier – kein Einfluss auf die Lebensführung ersichtlich und damit ein konkreter Rückschluss von äußeren Umständen auf diese inneren Tatsachen nicht möglich ist. Der klägerische Vortrag reicht zur Schadensentstehung durch etwaige Datenschutzverstöße nicht aus. Trotz entsprechender dezidierte Rüge der Bekl., welche die Erteilung eines weiteren gerichtlichen Hinweises entbehrlich macht, hat sich der Kl. darauf beschränkt, pauschal einen „erheblichen Kontrollverlust“ und eine „ständige Angst“ betreffend seine Bonitätsbewertung zu beklagen. Ein irgend gearteter Vorgang, der diese Sorge konkretisieren könnte, ist nicht mitgeteilt. Bei solchen behaupteten psychologischen Beeinträchtigungen handelt es sich um innere Vorgänge hinsichtlich derer es erforderlich ist, dass der Betroffene Umstände dargelegt, in denen sich die erlebten Empfindungen wiederspiegeln. Ein individueller Vortrag dazu, wann, auf welche Weise sich die Datenweitergabe durch die Bekl. spürbar auf den Kl. ausgewirkt hätte, ist nicht gehalten. Dass überhaupt ein konkret individueller Anlass besteht, der es rechtfertigen würde, die von dem Kl. behauptete Sorge eines Kontrollverlustes zu begründen, ist nicht dargetan. In welcher Weise ein „Kontrollverlust“ eine spürbare psychische Beeinträchtigung verursacht haben soll, wird nicht erläutert. Das Gericht vermag in der schlichten Weitergabe von Daten zu Abschluss und Bestand eines alltäglichen Mobilfunkvertrages keinen Anlass zu erkennen, unter maßgeblichen Ängsten zu leiden. Dass eine Person einen derartigen Vertrag geschlossen hat, offenbart sie vielfach täglich allein dadurch, dass sie das Telefon bestimmungsgemäß nutzt. Durch die Nutzung und Verbreitung der Telefonnummer offenbart der Nutzer das bestehende Vertragsverhältnis. Die Telefonnummer lässt dabei regelmäßig Rückschlüsse auf den jeweiligen Provider zu. Bei dieser Sachlage ist es fernliegend, einen „Kontrollverlust“ hinsichtlich des Datums des Bestehens eines Mobilfunkvertrages maßgeblich auf eine Meldung an die S. zurückzuführen. Eine Verursachung von Angstgefühlen erscheint wenig plausibel. Auch eine spürbare Verschlechterung der Bonitätsbewertung des Klägers infolge der Weitergabe der streitgegenständlichen Daten bzw. eine diesbezügliche begründete Angst ist nicht ausgeführt. So ist insbesondere kein Fall mitgeteilt, in welchem dem Kl. der Abschluss eines angestrebten Rechtsgeschäfts aufgrund der Meldung der Bekl. erschwert oder unmöglich geworden wäre. Mangels hinreichender Darlegung eines erkennbaren Schadens ist der auf Schadensersatz gerichtete Antrag damit unbegründet. |
| NEU LG Neuruppin Urt. v. 11.7.2024 – 3 O 5/24 | 0 EUR Die Klage ist unbegründet. Dabei kann dahinstehen, ob ein Verstoß gegen Art. 5 Abs. 1 und 6 Abs. 1 DS-GVO vorliegt. Denn jedenfalls hat der Kl. einen immateriellen Schaden nicht hinreichend substantiiert dargelegt. Ein solcher Schaden liegt nicht bereits im Vorliegen eines Verstoßes gegen die DS-GVO selbst. Der Wortlaut des Art. 82 Abs. 1 DS-GVO differenziert zwischen einem Schaden einerseits und andererseits einem DS-GVO-Verstoß, auf dem der Schaden erst beruht. Immaterielle Schäden aufgrund des inneren Erlebens hat der Kl. - auch im Rahmen von § 287 ZPO - konkret darzulegen. Dem genügen allgemein gehaltene, pauschale und formelhafte Bekundungen nicht. Vielmehr obliegt es dem Kl., die Behauptung mit Leben zu füllen und zu individualisieren. Der Kl. schildert ein Gefühl des Kontrollverlustes. Er habe ein bedrückendes Gefühl, weil er nicht wisse, welche Daten bei der S. bei ihm vorliegen und es sich um so viele Daten handelt. Er befürchte, dass das negative Auswirkungen auf zukünftige Rechtsgeschäfte haben könnte. Damit genügt er seiner Darlegungslast eines immateriellen Schadens iSv Art. 82 Abs. 1 DS-GVO nicht. Nach EuGH Urt. v. 14.12.2023 – C-340/21 [= ZD 2024, 150 mAnm Ligocki/Sosna = MMR 2024, 231 mAnm Kohl/Rothkegel], kann es zwar einen immateriellen Schaden darstellen, wenn eine betroffene Person infolge eines DS-GVO-Verstoßes befürchtet, ihre personenbezogenen Daten könnten durch Dritte missbräuchlich verwendet werden. Dass dies allerdings (nur) einen Schaden darstellen „kann“ zeigt, dass selbst dann das Vorliegen eines Schadens von weiter hinzutretenden Faktoren abhängig ist, zumindest in Form einer Bewertung der jeweiligen Umstände des Einzelfalles. Eine Bewertung als immaterieller Schaden iSv Art. 82 Abs. 1 DS-GVO setzt dann aber voraus, dass der Kl. die Ausprägungen des Einzelfalls darstellt, die dazu führen, dass sich die durch den EuGH erkannte Möglichkeit eines Schadens im Einzelfall auch zum Vorliegen eines Schadens konkretisiert hat. Dies ist nicht geschehen. Der Kl. gibt keinen hinreichend konkreten und objektiven Zusammenhang zwischen der Datenübermittlung durch die Bekl. und einer Beeinträchtigung seiner Lebensführung an. Soweit der Kl. behauptet, er habe Probleme bei der Wohnungssuche gehabt, ist sein Vortrag unsubstantiiert. Er legt insb. nicht dar, wann dies der Fall gewesen sei und in welcher Weise sich dies geäußert habe. Ferner bleibt unklar, inwiefern dies gerade auf die Datenweitergabe durch die Bekl. zurückzuführen war. Dass Probleme bei der Wohnungssuche zwar nicht in der Vergangenheit, wohl aber in der Zukunft konkret zu befürchten seien, legt der Kl. nicht dar. Es wird bereits nicht dargelegt, dass eine Wohnungssuche konkret bevorstehe. Ähnliches gilt hinsichtlich der Kreditvergabe. Der Kl. hat schriftsätzlich ausgeführt, bei jedem Kredit belastet zu sein und Angst vor unangenehmen Rückfragen in Bezug auf die eigene Bonität, das allgemeine Verhalten im Wirtschaftsverkehr oder einer Verfälschung des S.-Scores zu haben. Jener Vortrag ist pauschal, allgemein gehalten und ohne jede Individualisierung, mithin ebenfalls unsubstantiiert. In der mündlichen Verhandlung hat er dies konkretisiert und dargelegt, im Jahr 2023 einen Kredit beantragt und erhalten zu haben. Hierbei sei sein S.-Score seitens des Kreditgebers zur Sprache gebracht worden. Einen Schaden iSv Art. 82 Abs. 1 DS-GVO begründet dies jedoch nicht. Dass er den Kredit erhalten habe, lässt nicht darauf schließen, dass er aufgrund einer Bewertung anhand der Datenweitergabe durch die Bekl. Nachteile bei der Kreditvergabe zu befürchten hatte. Ob er die Nachfrage nach seinem S.-Score dennoch subjektiv als belastend empfunden habe, und inwiefern sich dies ggf. geäußert oder ihn in seiner Lebensführung beeinträchtigt habe, geht aus seinem Vortrag, auch dem aus der mündlichen Verhandlung, nicht hervor. |
| NEU LG Heilbronn Urt. v. 10.7.2024 – I 5 O 290/23 | 0 EUR Der geltend gemachte Schadensersatzanspruch gem. Art. 82 DS-GVO besteht nicht. Der Schadensersatzanspruch gem. Art. 82 DS-GVO verlangt eine Verletzung der Vorschriften der DS-GVO. Eine solche liegt hier jedoch nicht vor. Zwar erteilte der Kl. keine ausdrückliche Einwilligung zur Weitergabe seiner personenbezogenen Daten, einer solchen bedurfte es vorliegend jedoch nicht. Die Weitergabe personenbezogener Daten durch die Bekl. an die S. Holding AG war gem. Art. 6 Abs. 1 lit. f DS-GVO rechtmäßig. Dem Kl. ist auch kein Schaden entstanden. Der Schadensersatzanspruch gem. Art. 82 Abs. 1 DS-GVO verlangt einen Schaden, der kausal durch die Verletzung der DS-GVO verursacht wurde. Zunächst liegt keine Verletzung der DS-GVO vor. Ein Kausalzusammenhang zu einem dem Kl. entstanden Schaden kann daher mithin Kl. vorliegen. Zudem mangelt es aber auch am Schaden. Zwar trägt der Kl. vor, er leide, seitdem er von der Einmeldung seiner personenbezogenen Daten an die S. erfahren hat, an einem Gefühl des Kontrollverlustes und der ständigen Angst vor negativen Auswirkungen auf die Beurteilung seiner Kreditwürdigkeit. Dies manifestiert sich jedoch nicht physisch. Das vom Kl. dargelegte Unwohlsein ist zudem nicht glaubhaft. Die vom Kl. behaupteten psychischen Auswirkungen werden gerichtsbekannt wortgleich in zahlreichen anderen Verfahren von Kl. geltend gemacht. Das Vorbringen ist pauschal, unsubstantiiert und völlig unglaubhaft. Es ist nicht nachvollziehbar, weshalb die bloße Kenntnis darüber, dass der Abschluss eines Mobilfunkvertrages an die S. gemeldet wurde und bei deren Auskunft Dritten bekannt wird, irgendwelche - gar existentiellen - Sorgen oder Ängste auslösen könnte. Der Kl. hat dies auch in seiner Anhörung nicht überzeugend plausibilisieren können. Lediglich die vom Kl. persönlich vorgebrachten Bedenken hinsichtlich der künftigen Beurteilung seiner Kreditwürdigkeit erscheinen überhaupt glaubhaft. In diesen Bedenken ist jedoch kein Schaden zu erkennen. Ein materieller Schaden wird zu Recht nicht geltend gemacht. |
| NEU LG Kassel Urt. v. 10.7.2024 – 10 O 1939/23 | 0 EUR Der Klagepartei steht gegen die Bekl. kein Anspruch auf Schadensersatz gem. Art. 82 Abs. 1 DS-GVO zu. Zwischen den Parteien ist unstreitig, dass die Bekl. die Positivdaten der Klagepartei über den Abschluss des Mobilfunkvertrages an die S. weitergeleitet hat. Diese Verarbeitung stellt jedoch keinen Verstoß gegen Art. 5 Abs. 1 lit. a DS-GVO und Art. 6 Abs. 1 DS-GVO dar, da sie gem. Art. 6 Abs. 1 lit. f DS-GVO gerechtfertigt ist. Rein vorsorglich fehlt es vorliegend außerdem an einem Schaden der Klagepartei. Die Klagepartei führt wortreich, aber in allerhöchstem Maße floskelhaft und pauschal aus, worin ihr immaterieller Schaden liegen soll. Ein immaterieller Schaden soll bestehen aufgrund der die Verletzung ihrer Grundrechte als solche, des Kontrollverlusts über die Auswirkungen der Verarbeitung, der empfundenen Einschränkung in ihrer wirtschaftlichen Betätigung (Angst vor Rückfragen, vor Erschwernissen bei Vertragsschlüssen, Zwang, sich ggfs. nach einem nicht bekannten Vorbild konform verhalten zu müssen, Existenzsorge) und der Sorge um die eigene Bonität, daher Stress, Unruhe und tagtäglich allgemeines Unwohlsein. Abzulehnen ist die Ansicht der Klagepartei, jede Verletzung eines absoluten Rechts stelle bereits einen Schaden iSd Norm dar. Denn denklogisch bedingt jede rechtswidrige Verarbeitung personenbezogener Daten eine Verletzung des Rechts auf Schutz personenbezogener Daten bzw. informationelle Selbstbestimmung, was das Tatbestandsmerkmal des Schadens weitgehend überflüssig machen würde. Immer wieder ist die Rede von einem „Kontrollverlust“ der Klagepartei. Was damit gemeint ist, wird nur an ansatzweise ausgeführt. Erwägungsgrund 75 und 85 DS-GVO sprechen von „immateriellen Schaden ..., wenn die betroffenen Personen um ihre Rechte und Freiheiten gebracht oder daran gehindert werden, die sie betreffenden personenbezogenen Daten zu kontrollieren“ bzw. „immateriellen Schaden für natürliche Personen ... wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten“. Es geht also nicht um einen bloß irgendwie gearteten „Kontrollverlust“, sondern denjenigen bezogen allein auf die Daten der betroffenen Person. Einen solchen legt die Klagepartei nicht plausibel dar. Bei den empfundenen Einschränkungen der Klagepartei im wirtschaftlichen Leben in Form der behaupteten Ängste und Sorgen handelt es sich in der Sache um Befürchtungen von konkreten negativen Auswirkungen der Einmeldung. Der EuGH hat entschieden (Rs. C-340/21 [= ZD 2024, 150 mAnm Ligocki/Sosna = MMR 2024, 231 mAnm Kohl/Rothkegel] Rn. 75 ff.), dass die Annahme eines immateriellen im Grundsatz auch dann möglich sein muss, wenn der Betroffene „lediglich“ die Befürchtung hat, dass seine Daten in Zukunft von Dritten missbräuchlich verwendet werden. Allerdings sei darauf hinzuweisen, dass eine Person, die von einem Verstoß gegen die DS-GVO betroffen ist, der für sie negative Folgen gehabt hat, nachweisen muss, dass diese Folgen einen immateriellen Schaden iSv Art. 82 DS-GVO darstellen. Insb. müsse das angerufene nationale Gericht, wenn sich eine Person, die auf dieser Grundlage Schadensersatz fordert, auf die Befürchtung beruft, dass ihre personenbezogenen Daten in Zukunft aufgrund eines solchen Verstoßes missbräuchlich verwendet werden, prüfen, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann. Da es sich auch vorliegend um (behauptete) bloße Befürchtungen handelt, kann hier nichts Anderes gelten. Es ist also zu prüfen, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann. Dabei erfordert die Auslegung des EuGH, dass die betroffene Person konkreten, individualisierten Vortrag zu einer irgendwie nachvollziehbaren Genese ihrer Befürchtung hält. Daran fehlt es hier aber, da nicht ersichtlich sein dürfte, inwiefern die Einmeldung die Klagepartei in ihrer „freien Entscheidung im Hinblick auf neue Vertragsabschlüsse und untergraben damit die freien Entfaltungsmöglichkeiten bei der weiteren Gestaltung des eigenen Lebens“ behindern soll, wieso sie davon ausgeht, dass sie ihren Score mehr als nur ganz marginal negativ beeinflusst haben soll, und was für unangenehme „Rückfrage“ sie sich von wem aufgrund eines Mobilfunkvertrages bei einem großen, seriösen Anbieter vorstellt usw. |
| NEU LG Paderborn Urt. v. 8.7.2024 – 2 O 134/24 | 0 EUR Der Antrag ist unbegründet. Die begehrte Entschädigung steht dem Kl. nicht zu; denn er hat einen erlittenen immateriellen Schaden bereits nicht schlüssig dargelegt, jedenfalls aber auch nicht bewiesen. Ferner hat sie auch die erforderliche Kausalität zwischen Verarbeitungsverstoß und vermeintlich immateriellem Schaden nicht dargelegt und bewiesen. Ob Datenschutzverstöße der Bekl. anzunehmen sind, kann an dieser Stelle dahinstehen. Denn es oblag dem Kl., einen über etwaige Datenschutzverstöße und über den damit mittelbar einhergehenden Kontrollverlust hinausgehenden immateriellen Schaden in Form einer persönlichen / psychologischen Beeinträchtigung aufgrund der Datenschutzverstöße und des Kontrollverlustes darzulegen. Der von ihm ins Feld geführte „Kontrollverlust“ rechtfertigt als solcher keine Entschädigungsverpflichtung. Die von der DS-GVO verwandten Begriffe „immaterieller“ und „materieller“ Schaden sind unionsautonom auszulegen und setzen – entgegen dem Ansatz der Kl. – nach dem Wortlaut der Norm, der Systematik und Telos des Art. 82 Abs. 2, Abs. 1 DS-GVO sowie der Art. 77-84 DS-GVO und Erwägungsgrund 75, 85 und 146 DS-GVO einen über den schlichten Verstoß gegen die DS-GVO hinausgehenden Schaden voraus. Das heißt, dass iRd haftungsbegründenden Tatbestands des Art. 82 Abs. 2, Abs. 1 DS-GVO zunächst zwischen einem haftungsrelevanten Datenschutzverstoß einerseits und einem – materiellen oder immateriellen – Schaden andererseits zu differenzieren ist. Beide sind nicht deckungsgleich, sondern selbständige Voraussetzungen iRd Art. 82 DS-GVO, die kumulativ vorliegen müssen. Ein solcher Schaden setzt jedoch – entgegen möglicherweise bestehendem innerstaatlichen Recht – nach Wortlaut, Erwägungsgrund 10, 146 DS-GVO und Telos nicht voraus, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat. Auch wenn es keine Erheblichkeitsschwelle gibt, so bedeutet dies indes nicht, dass die aus dem Datenschutzverstoß resultierenden negativen Folgen per se einen haftungsbegründenden Schaden darstellen; denn der EuGH führt hierzu explizit aus, dass diese Auslegung nicht bedeutet, „dass eine Person, die von einem Verstoß gegen die DS-GVO betroffen ist, der für sie negative Folgen gehabt hat, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden iSv Art. 82 dieser Verordnung darstellen“. Entsprechend stellt der EuGH auch darauf ab, dass die „konkret erlittenen Schäden“ vollständig ausgeglichen werden müssen. Die Annahme eines solchen konkreten Schadens setzt in unionsautonomer Auslegung nach ständiger Rspr. des EuGH voraus, dass dieser „tatsächlich und sicher“ besteht. Entsprechend sieht der die Frage des Schadensersatzes allein betreffende Erwägungsgrund 75 DS-GVO auch nur vor, dass ein Schaden entstehen „könnte“, nicht aber in jedem Fall eintritt, „wenn“ u. a. „die betroffene Person um ihre Rechte und Freiheiten gebracht oder daran gehindert wird, die sie betreffenden personenbezogenen Daten zu kontrollieren“. In Erwägungsgrund 85 DS-GVO hingegen geht es im Kern um die Informationspflichten und nicht um den Schadensersatzanspruch. Etwas anderes gebietet auch Erwägungsgrund 146 S. 6 DS-GVO nicht, der „nur“ einen vollständigen und wirksamen Schadensersatz für den – konkret-individuell – „erlittenen“ Schaden fordert, während Art. 83 Abs. 1 und Art. 84 Abs. 1 S. 2 DS-GVO aus generell-abstrakter Perspektive nicht nur wirksame und verhältnismäßige, sondern auch abschreckende Maßnahmen einfordern. Ein Kontrollverlust durch die Übermittlung von Positivdaten betraf als generelles Risiko der (unrechtmäßigen) Übermittlung alle Personen, deren Daten ohne Rechtfertigungsgrund übermittelt wurden, gleichermaßen (vgl. allgemein Erwägungsgrund 7 S. 2 DS-GVO). Einem solchen generellen Risiko soll im Hinblick auf die Zielsetzung der DS-GVO, den unionsweiten Schutz personenbezogener Daten sicherzustellen (vgl. Erwägungsgrund 10 DS-GVO), durch die Minimierung der Verarbeitungsrisiken entgegengewirkt werden, um ein möglichst hohes Schutzniveau zu erreichen. Dem Einzelnen die Kontrolle über seine Daten möglichst umfassend zu belassen bzw. dies zu gewährleisten, ist hierfür von grundlegender Bedeutung. Realisiert sich das generelle Risiko, dessen Eintritt verhindert werden soll, kommt es zwangsläufig zum Kontrollverlust. Daraus allein resultiert aber deshalb noch kein tatsächlicher Schaden im konkreten Einzelfall, wenn bzw. – hier eben – weil dieser automatisch bei jedem vom festgestellten Verstoß gegen die DS-GVO Betroffenen in Form der Offenlegung / Zugänglichmachung von Daten eintritt. Es bedarf für eines über den Kontrollverlust als Realisierung des generellen Risikos hinaus eines tatsächlichen materiellen oder immateriellen Schadens im konkreten Einzelfall. Damit deckt sich, dass der völlige Kontrollverlust als solcher nicht per se ein immaterieller Schaden ist; denn stellt ein unkontrollierter Datenverlust im konkreten Einzelfall wegen des Werts der Daten eine in Geld messbare Einbuße dar, so ist dies unzweifelhaft ein Vermögensschaden. Abgesehen davon ist weder dargetan noch sonst ersichtlich, worin der von der Kl. reklamierte „Kontrollverlust“ durch die Übermittlung der Positivdaten überhaupt liegen sollte. Einen über die Datenschutzverstöße und über den damit mittelbar einhergehenden Kontrollverlust hinausgehenden immateriellen Schaden in Form einer persönlichen / psychologischen Beeinträchtigung aufgrund der Datenschutzverstöße und des Kontrollverlustes hat der Kl. bereits nicht schlüssig dargelegt. Bei persönlichen / psychologischen Beeinträchtigungen handelt es sich, soweit – wie hier – keine krankhaften Störungen behauptet werden, um innere Vorgänge. Auf das Vorliegen innerer, dem Beweis nur eingeschränkt zugänglicher Tatsachen kann nur mittelbar aus in der Regel auf äußeren Tatsachen basierenden Indizien geschlossen werden. Mit Blick auf die subjektiven Folgen eines Datenschutzverstoßes im Einzelfall ist es deshalb ausreichend, aber auch erforderlich, dass der Betroffene Umstände darlegt, in denen sich seine erlebten Empfindungen widerspiegeln, und dass nach der Lebenserfahrung der Datenschutzverstoß mit seinen Folgen Einfluss auf das subjektive Empfinden hat. Der Vortrag, dass der durch die Übermittlung der Daten entstandene Kontrollverlust dem Kl. Sorgen verursacht habe, reicht zur Darlegung persönlich belastender Folgen der Datenschutzverletzung nicht aus, weil hiermit nicht genug Beweisanzeichen objektiver Art vorgetragen sind, in denen sich solche Gefühle bzw. der Aufwand widerspiegeln, und zwar bezogen auf den konkreten Einzelfall. Allein die Darstellung, dass der Kl. mit der ständigen Angst vor – mindestens – unangenehmen Rückfragen in Bezug auf die eigene Bonität und das allgemeine Verhalten im Wirtschaftsverkehr lebe und er Angst vor einer Verfälschung des S.-Scores habe, lässt nicht darauf schließen, dass nach der Lebenserfahrung eine im Datenschutz sensibilisierte Person negative Gefühle und gesundheitliche Auswirkungen entwickeln würde, welche über jene hinausgehen, welche man automatisch entwickelt, wenn ein Gesetz zu seinen Ungunsten verletzt wird. Das tatsächliche Vorliegen eines immateriellen Schadens ist auch sonst nicht ersichtlich. Nach der Rspr. des EuGH muss ein Kl., wenn er – wie hier – keine Angaben gemacht hat, mit denen das Vorliegen seines immateriellen Schadens belegt und dessen Umfang bestimmt werden könnte, zumindest nachweisen, dass das gerügte Verhalten so schwerwiegend war, dass ihm dadurch ein derartiger Schaden entstehen konnte. Es entspricht indes schon nicht der allgemeinen Lebenserfahrung, dass das Bekanntwerden des Abschlusses eines Mobilfunkvertrages, auch wenn es ungewollt erfolgt ist, regelmäßig / erfahrungsgemäß zu persönlichen / psychologischen Beeinträchtigungen führt. Einen schlüssigen Vortrag des Kl. unterstellt, wäre dieser jedenfalls nicht bewiesen. Nach dem Grundsatz der Verfahrensautonomie unter Berücksichtigung des Äquivalenz- und Effektivitätsgrundsatzes gilt mit Blick auf den haftungsbegründenden – hier immateriellen – Schaden das strenge Beweismaß des § 286 ZPO, das die volle Überzeugung des Gerichts verlangt. |
| NEU LG Traunstein Urt. v. 8.7.2024 - 9 O 173/24 = ZD 2024, 701 | 0 EUR Für einen Schadensersatzanspruch aus Art. 82 DS-GVO fehlt es zudem an einem kausalen Schaden der Klagepartei. Diese gab im Rahmen ihrer informatorischen Anhörung lediglich an, dass sie erst durch die Klägervertreter auf etwaige Datenschutzverstöße im Zusammenhang mit der Übermittlung von Daten bzw. dem Messenger gebracht worden sei. Erst auf Hinweis des Gerichtes wurde ihr offenbar, dass die hiesige Klage sich nicht auf die Scraping-Fälle bezieht. So liegt der Fall hier: allein die iRd informatorischen Anhörung (erst) auf Vorhalt ihres Prozessbevollmächtigten angegebene „große Sorge“ (nachdem zunächst angegeben wurde, dass man es „auch schlimm findet“) stellt keinen immateriellen Schaden dar. |
| NEU LG Augsburg Endurt. v. 5.7.2024 – 041 O 3703/23 | 0 EUR Die Klagepartei hat nicht bewiesen, dass die Verarbeitung der Daten unrechtmäßig war. Abgesehen davon steht dem Kl. ein Anspruch gegen die Bekl. auf immateriellen Schadensersatz aber auch aus anderen Gründen nicht zu. Der Kl. hat bei seiner mündlichen Anhörung angegeben: Er habe sich im Internet schlau gemacht und mitbekommen, dass die Bekl. mit der SCHUFA zusammen gearbeitet habe. Das habe dazu geführt, dass er sich in seinen Rechten diesbezüglich gestört fühle. Er fühle sich beeinträchtigt, durch die Positivdaten könne man sein Kaufverhalten und sein Vertragsverhalten im Internet und im Leben ablesen und dadurch vielleicht zukünftige Verträge ablehnen. Firmen, die bei der SCHUFA Auskünfte verlangen, könnten Daten über ihn erlangen, obwohl es dafür nicht bestimmt sei. Zu einer eventuellen körperlichen oder seelischen Belastung gab der Kl. erst auf Nachfrage an, sich seelisch belastet zu fühlen. Und zwar in der Sorge, dass seine Bonität gefährdet sein könnte aufgrund der Datensammlung. Abgesehen davon, dass die erst auf Nachfrage genannten Umstände ohnehin nicht überzeugen können, weil der Kl. diese noch nicht einmal von sich aus erwähnt hat, beschreibt selbst die Gesamtheit der vom Kl. genannten Umstände keinen immateriellen Schaden, der zu ersetzen wäre. |
| NEU LG Ellwangen Urt. v. 5.7.2024 – 1 O 2/24 | 0 EUR Der Kl. hat gegen die Bekl. keinen Anspruch auf Schadensersatz aus Art. 82 DS-GVO. Die beanstandete Übermittlung von Positivdaten war von Art. 6 Abs. 1 S. 1 lit. f DS-GVO gedeckt, weshalb die geltend gemachten Ansprüche ausscheiden. Jedenfalls hat der Kl. keinen Schaden dargetan. Die Beweislast für das Vorliegen eines materiellen oder immateriellen Schadens trägt der Kl. als Anspruchsteller. Die von einem Verstoß gegen die DS-GVO betroffene Person muss den Nachweis führen, dass die geltend gemachten Folgen einen immateriellen Schaden iSd Verordnung darstellen. Die Worte „materieller oder immaterieller Schaden“ verweisen dabei nicht auf das Recht der Mitgliedstaaten, weshalb sie als autonome Begriffe des Unionsrechts anzusehen und in allen Mitgliedstaaten einheitlich auszulegen sind und eine einheitliche unionsrechtliche Definition erhalten müssen. Da ein bloßer Verstoß gegen die DS-GVO nicht ausreicht, muss konkret festgestellt werden, dass die (vom Anspruchssteller zu beweisenden) Folgen einen Schaden darstellen. Für das Vorliegen eines Schadens besteht keine Erheblichkeits- oder Bagatellschwelle, weil der Wortlaut von Art. 82 Abs. 1 DS-GVO keine entsprechende Einschränkung enthält, Erwägungsgrund 146 S. 3 DS-GVO eine weite Auslegung des Schadensbegriffs verlangt, die Beschränkung auf Schäden mit einer gewissen Erheblichkeit aber hierzu im Widerspruch steht und Erwägungsgrund 146 S. 3 DS-GVO den Zielen der DS-GVO bei der Definition des Begriffs „Schaden“ „den Zielen dieser Verordnung in vollem Umfang“ zu entsprechen ist. Wegen fehlender unionsrechtlicher Vorschriften liegt die Festlegung der Kriterien für die Ermittlung des Umfangs des im Rahmen von Art. 82 Abs. 1 DS-GVO geschuldeten Schadensersatzes in der Aufgabe des jeweiligen Mitgliedsstaats, wobei der Äquivalenz- und Effektivitätsgrundsatz zu beachten sind. Das OLG Hamm hat in diesem Zusammenhang zutreffend darauf hingewiesen, dass mit der Realisierung der generellen Risiken im Zusammenhang mit der Verarbeitung personenbezogener Daten zwangsläufig ein Kontrollverlust verbunden ist, weil dieser bei jedem Verstoß in der Form einer Offenlegung oder Zugänglichmachung von Daten eintritt, weshalb eine tatsächliche materielle oder immaterielle Beeinträchtigung festzustellen ist. Auch wenn keine Erheblichkeitsschwelle gilt, muss eine über das allgemeine Lebensrisiko, alltägliche Lästigkeiten, ausgelöste negative Gefühle wie Ärger, subjektiv empfundene Unannehmlichkeiten, unspezifische Unlustgefühle, Sorgen und Ängste hinausgehende spürbare Beeinträchtigung vorliegen, muss ein tatsächlich entstandener immaterieller Nachteil festgestellt werden. Dem entspricht, dass nach der Rspr. des EuGH ein zu ersetzender Schaden tatsächlich und sicher entstanden sein muss. Für – den hier relevanten – immateriellen Schaden kann allgemein ausgeführt werden, dass Verletzungen und Beeinträchtigungen des Persönlichkeitsrechts gemeint sind. Ein bloß abstrakter Kontrollverlust genügt deshalb nicht. Mit Blick auf die subjektiven Folgen eines Datenschutzverstoßes im Einzelfall ist es deshalb ausreichend, aber auch erforderlich, dass der Betroffene Umstände darlegt, in denen sich seine erlebten Empfindungen widerspiegeln, und dass nach der Lebenserfahrung der Datenschutzverstoß mit seinen Folgen Einfluss auf das subjektive Empfinden hat. Der schriftsätzliche Vortrag des Kl. hierzu ist unzureichend. Der Kl. hat inhaltlich lediglich abstrakt und damit nicht ausreichend substantiiert für den konkreten Einzelfall vorgetragen, es bestehe aufgrund der Wichtigkeit des SCHUFA-Scorings für die Bonität und aufgrund der Undurchsichtigkeit der Auswirkungen der gemeldeten Positivdaten auf die SCHUFA-Bewertung eine Stigmatisierung, sodass der Kl. bloßgestellt und somit geschädigt wird. Allein die Übermittlung der Positivdaten ist auch entgegen der Ansicht des Kl. nicht bereits für sich genommen ein immaterieller Schaden. Auch die Schilderungen in der mündlichen Verhandlung durch den Prozessvertreter reichen nicht. Damit lässt sich nicht feststellen, dass der Kl. tatsächlich spürbare immaterielle Beeinträchtigungen erlitten hat, die kausal auf die Übermittlung der Positivdaten bei der Bekl. zurückzuführen sind. Auch wenn nach den Vorgaben des EuGH eine Erheblichkeits- oder Bagatellschwelle nicht angenommen werden darf, genügen die klägerseits geschilderten abstrakten Umstände und ein etwaiger Verstoß als solcher nicht zur Bejahung einer immateriellen Beeinträchtigung. Es handelt sich teils nur um (negative) Gefühle des Ärgers, die Teil des allgemeinen Lebensrisikos und des täglichen Erlebens sind, die aber noch keine Beeinträchtigung des Seelenlebens oder der Lebensqualität darstellen, die einen immateriellen Schaden iSd Art. 82 DS-GVO begründen könnten. Der Feststellungsantrag zur Schadensersatzpflicht nach Art. 82 DS-GVO ist unbegründet. Der Anspruch auf Feststellung beim Schmerzensgeld als immaterieller Schaden ist begründet bei einer nicht eben entfernt liegenden Möglichkeit künftiger Verwirklichung der Schadensersatzpflicht durch das Auftreten weiterer, bisher noch nicht voraussehbarer und erkennbarer Leiden oder bei einer noch nicht abschließend überschaubaren weiteren Entwicklung des Krankheitsverlaufs. Die Feststellungsklage ist bei noch nicht voraussehbaren und erkennbaren weiteren Beeinträchtigungen oder bei einer noch nicht abschließend überschaubaren weiteren Entwicklung begründet. |
| NEU LG Heilbronn Urt. v. 5.7.2024 – Bu 1 O 43/24 | 0 EUR Der Klagepartei steht i. E. kein Anspruch auf Schadensersatz zu, insb. nicht aus Art. 82 Abs. 1 DS-GVO zu. Es kann offenbleiben, ob die Bekl. durch die Übermittlung der streitgegenständlichen Information an die S. gegen Art. 5 Abs. 1, 6 Abs. 1 DS-GVO verstoßen hat. Es fehlt jedenfalls an einem ersatzfähigen Schaden der Klagepartei iSd Art. 82 Abs. 1 DS-GVO. Ein Verstoß gegen die Bestimmungen der DS-GVO für sich allein genommen reicht nicht aus, um einen Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO zu begründen. Die Entstehung des Schadensersatzanspruchs setzt vielmehr kumulativ eine Verarbeitung personenbezogener Daten unter Verstoß gegen die Bestimmungen der DS-GVO, einen der betroffenen Person entstandenen Schaden und einen Kausalzusammenhang zwischen der rechtswidrigen Verarbeitung und diesem Schaden voraus. Art. 82 Abs. 1 DS-GVO ist dahin auszulegen, dass ein Verstoß gegen Bestimmungen dieser Verordnung, die der betroffenen Person Rechte verleihen, für sich genommen nicht ausreicht, um unabhängig vom Schweregrad des von dieser Person erlittenen Schadens einen „immateriellen Schaden“ iSd Bestimmung darzustellen. Angesichts der weiten Formulierungen der Erwägungsgründe, wonach bereits eine Diskriminierung, die Rufschädigung, der Verlust der Vertraulichkeit oder der (eingetretene) Verlust der Kontrolle über die personenbezogenen Daten einen (immateriellen) Schaden begründen können, kann ggf. beim tatsächlichen Vorliegen entsprechender immaterieller Beeinträchtigungen ein Schaden anzunehmen sein. Hierzu muss eine über das allgemeine Lebensrisiko, alltägliche Lästigkeiten, ausgelöste negative Gefühle wie Ärger, subjektiv empfundene Unannehmlichkeiten, unspezifische Unlustgefühle, Sorgen und Ängste hinausgehende spürbare Beeinträchtigung vorliegen, dargelegt und festgestellt werden. Mit Blick auf die subjektiven Folgen eines Datenschutzverstoßes im Einzelfall ist es deshalb ausreichend, aber auch erforderlich, dass der Betroffene Umstände darlegt, in denen sich seine erlebten Empfindungen widerspiegeln, und dass nach der Lebenserfahrung der Datenschutzverstoß mit seinen Folgen Einfluss auf das subjektive Empfinden hat. Die Darlegungs- und Beweislast für den Eintritt des konkreten Schadens liegt beim Betroffenen und kann bei behaupteten persönlichen / psychologischen Beeinträchtigungen nur durch die Darlegung konkret-individueller - und nicht in einer Vielzahl von Fällen gleichartiger -, dem Beweis zugänglicher Indizien erfüllt werden. Der Beweis ist nach dem Maßstab des § 286 ZPO zu führen. Gemessen hieran ist ein Schaden der Klagepartei nicht feststellbar. Der behauptete Kontrollverlust bzgl. der Daten stellt keinen Schaden im o. g. Sinne dar. Dasselbe gilt für einen behaupteten Zustand von Unwohlsein und Sorge über möglichen Missbrauch der Daten. Derartiges gehört in unserer digitalisierten Welt mittlerweile zum allgemeinen Lebensrisiko. Nachdem die S. gem. ihrer Mitteilung vom 19.10.2023 zwischenzeitlich die Telekommunikationsdaten (Positivdaten) aus den Konten löscht, ist davon auszugehen, dass sie diese auch nicht mehr (negativ) in den Bonitäts-Score einfließen lässt; jedenfalls behauptete die Klagepartei nichts Gegenteiliges. Damit stellen auch die von der Klagepartei vorgetragenen Sorgen um ihre Kreditwürdigkeit beim etwaigen Abschluss künftiger Verträge keinen Schaden im o. g. Sinne dar. Die Anhörung der Klagepartei führte ebenfalls nicht zu einer Überzeugungsbildung dahingehend, dass tatsächlich immaterielle Beeinträchtigungen vorliegen. Ein Unterlassungsanspruch aus Art. 82 DS-GVO kommt nur dann in Betracht, wenn der Betroffene einen Schaden erlitten hat und entweder die erfolgte Verletzungshandlung noch andauert oder der pflichtwidrig geschaffene Zustand fortdauert. |
| NEU LG Dortmund Urt. v. 3.7.2024 - 6 O 277/23 | 0 EUR Der Kl. steht der mit dem Klageantrag zu 1) verfolgte immaterielle Schadensersatzanspruch nebst Zinsen nicht zu. Der Anspruch der Kl. folgt insb. nicht aus § 82 Abs. 1 DS-GVO. Die Kl. hat schon nicht schlüssig dargelegt, dass der Anwendungsbereich der DS-GVO eröffnet ist. Mangels Vortrag der Kl., welche Daten von ihr iRd Kaufvertragsschlusses angegeben worden sind, ist nicht nachvollziehbar, ob es sich bei den streitgegenständlichen Daten überhaupt um personenbezogene Daten iSd Art. 2 Abs. 1 DS-GVO handelt. IÜ ist der Vortrag der Kl., wonach die Bekl. Schutzpflichten in technischer bzw. organisatorischer Hinsicht nach Art. 5 Abs. 1 lit. f, 32 DS-GVO verletzt habe, nicht hinreichend substantiiert. Die Darlegungs- und Beweislast für einen solchen Verstoß gegen die DS-GVO trägt die Kl. Dabei verkennt das Gericht nicht, dass nach dem Urt. des EuGH v. 14.12.2023 - C-340/21 [= ZD 2024, 150 mAnm Ligocki/Sosna = MMR 2024, 231 mAnm Kohl/Rothkegel] iRe auf Art. 82 DS-GVO gestützten Schadensersatzklage der für die betreffende Verarbeitung Verantwortliche die Beweislast dafür trägt, dass die von ihm getroffenen Sicherheitsmaßnahmen iSv Art. 32 dieser Verordnung geeignet waren. Die Kl. hat jedoch nicht nachvollziehbar dargelegt, dass die Bekl. Verantwortliche iSd Art. 4 Nr. 7 DS-GVO ist. Dass die Bekl. hier über die Zwecke und Mittel der Verarbeitung der beim Buchungsprozess einzugebenden Daten entschieden hat, wird von der Klägerseite nicht nachvollziehbar dargelegt. Vielmehr ist davon auszugehen, dass die Bekl. lediglich das von der D1-Gruppe entwickelte IT-Systeme für die Verarbeitung der Daten zur Verfügung stellt, sodass die Bekl. lediglich als Auftragsverarbeiterin iSd Art. 4 Nr. 8 DS-GVO zu qualifizieren ist. Eine entsprechende Anwendung der Entscheidung des EuGH auf die Auftragsverarbeiterin kommt nicht in Betracht. Der EuGH begründet die den Verantwortlichen treffende Beweislast mit dem in Art. 5 Abs. 2 VO (EU) 2016/679 formulierten und in Art. 24 dieser Verordnung konkretisierten Grundsatz der Rechenschaftspflicht des Verantwortlichen. Eine solche Rechenschaftspflicht sieht die DS-GVO jedoch nicht für den Auftragsverarbeiter vor. Soweit die Kl. ihren Schadensersatzanspruch auf eine Verletzung der Meldepflicht nach Art. 33 DS-GVO sowie eine Verletzung der Benachrichtigungspflicht nach Art. 34 DS-GVO stützt, so ist die Bekl. jedenfalls nicht passivlegitimiert. Sowohl die Verpflichtung aus Art. 33 Abs. 1 S. 1 DS-GVO als auch die Verpflichtung aus Art. 34 DS-GVO trifft lediglich den Verantwortlichen iSd Art. 4 Nr. 7 DS-GVO. Dass die Bekl. Verantwortliche in diesem Sinne ist, hat die Kl. nicht dargetan. Insoweit wird auf die obigen Ausführungen Bezug genommen. Zuletzt hat die Kl. auch nicht hinreichend substantiiert dargelegt, dass ihr durch den behaupteten Verstoß gegen die DS-GVO ein kausaler Schaden entstanden ist. Es oblag der Kl., einen über die behaupteten Datenschutzverstöße und über den damit mittelbar einhergehenden Kontrollverlust hinausgehenden immateriellen Schaden in Form einer persönlichen/psychologischen Beeinträchtigung aufgrund der Datenschutzverstöße und des Kontrollverlusts darzulegen. Der von der Kl. angeführte Kontrollverlust für sich genommen rechtfertigt einen Ersatzanspruch nicht. Denn dieses Risiko folgt notwendig aus dem ungewünschten Datenverlust. Der Vortrag der Klägerseite zu einem erlittenen Schaden muss konkret und individuell sein. Auf formelhaft und in einer Vielzahl von Verfahren gleichlautend vorgetragene Ängste und Sorgen kann nicht abgestellt werden. Diesen Anforderungen genügt das klägerische Vorbringen nicht. Die Ausführungen der Klägerseite beschränken sich auf floskelhafte Behauptungen. Der für einen substantiierten Vortrag erforderliche Bezug zu der konkret klagenden Partei fehlt gänzlich. Angesichts des nicht ansatzweise substantiierten Vorbringens zum Schaden bestand auch keine Veranlassung dafür, die Kl. im Verhandlungstermin persönlich anzuhören. Jedenfalls hat die insoweit darlegungs- und beweisbelastete Kl. die erforderliche Kausalität zwischen dem behaupteten Verstoß gegen die DS-GVO und dem vermeintlichen Schaden nicht dargelegt und bewiesen. Dies insb. im Hinblick darauf, dass sich dem als Anlage 1 zur Klageschrift zur Gerichtsakte gereichtem sog. Betroffenheitsnachweis entnehmen lässt, dass die Kl. auch von Datenlecks auf anderen Webseiten betroffen gewesen ist. Es fehlt bereits an einem Verstoß der Bekl. gegen Art. 15 Abs. 1 DS-GVO. Denn die aus Art. 15 I DS-GVO resultierende Verpflichtung zur Auskunftserteilung trifft lediglich den Verantwortlichen. Die Bekl. ist jedoch nicht als Verantwortliche idS zu qualifizieren. Insoweit wird Bezug genommen auf die obigen Ausführungen. |
| NEU LG Oldenburg Urt. v. 3.7.2024 – 5 O 2960/23 | 0 EUR Der Kl. hat gegen die Bekl. keinen Anspruch auf Zahlung eines immateriellen Schadensersatzes aus Art. 82 Abs. 1 DS-GVO oder einer anderen denkbaren Anspruchsgrundlage. Dessen Voraussetzungen liegen nicht vor. Ein Verstoß der Bekl. gegen den Grundsatz der Rechtmäßigkeit der Datenverarbeitung gem. Art. 5, 6 DS-GVO ist nach Auffassung der Kammer nicht gegeben. Ein Schadensersatzanspruch gem. Art. 82 DS-GVO setzt zudem den Eintritt eines Schadens und einen Kausalzusammenhang zwischen Verstoß und Schaden voraus. Unabhängig von der Frage eines Verstoßes der Bekl. gegen Bestimmungen der DS-GVO scheitert ein solcher Anspruch vorliegend jedenfalls daran, dass die Klagepartei keinen Schaden erlitten hat. Es steht zur Überzeugung der Kammer nicht fest, dass der Klagepartei aus der Datenweitergabe an die SCHUFA ein Schaden entstanden ist. Nach Erwägungsgrund 146 S. 3 DS-GVO ist der Begriff des Schadens weit und unter Berücksichtigung der Ziele der Datenschutzgrundverordnung (vgl. Art. 1 DS-GVO) auszulegen. Die Darlegungs- und Beweislast für das Vorliegen eines Schadens trifft die Klagepartei. Die Klagepartei hat jedoch nicht nachgewiesen, aufgrund des Verstoßes der Bekl. gegen die Datenschutzgrundverordnung einen immateriellen Schaden erlitten zu haben. Soweit die Klagepartei sich in den Schriftsätzen auf eine Rechtsgutsverletzung und den bloßen Verlust der Kontrolle über ihre personenbezogenen Daten beruft, legt sie einen Schaden bereits nicht dar. Entgegen der Auffassung der Klagepartei stellt der Verlust der Kontrolle über personenbezogene Daten als solcher noch keinen ersatzfähigen Schaden dar. Soweit sie als Beleg für ihre Auffassung Erwägungsgrund 75 und 85 DS-VGO anführt, ist zu berücksichtigen, dass die Erwägungsgründe keinen normativen Charakter haben, sondern lediglich als Auslegungshilfe in Betracht kommen. Dabei haben die Erwägungsgrund 75 und 85 DS-GVO für die Auslegung des Schadensbegriffs in Art. 82 Abs. 1 DS-GVO nur eine begrenzte Aussagekraft, da sie sich nicht auf Art. 82 DS-GVO, sondern auf Art. 24 DS-GVO bzw. Art. 33 DS-GVO beziehen. Ebenso wenig streitet das Urt. des EuGH v. 14.12.2023 für die Auffassung der Klagepartei, bereits der Kontrollverlust hinsichtlich personenbezogener Daten begründe einen Schaden iSd Art. 82 Abs. 1 DS-GVO. Soweit der EuGH unter Verweis auf Erwägungsgrund 85 S. 1 DS-GVO ausgeführt hat, dass der Unionsgesetzgeber unter den Begriff des Schadens insb. den bloßen „Verlust der Kontrolle“ über die eigenen Daten infolge eines Verstoßes gegen die DS-GVO habe fassen wollen, hat er dies als Argument dafür angeführt, dass die Annahme eines Schadens nicht den Missbrauch personenbezogener Daten voraussetzt, sondern insoweit die Befürchtung eines solchen Missbrauchs auf Seiten des Betroffenen ausreichen kann. Eine Aussage über die Qualität des Kontrollverlusts als Schaden hat er damit nicht getroffen. Aus den weiteren Ausführungen des Gerichtshofs lässt sich vielmehr ableiten, dass der bloße Kontrollverlust gerade keinen Schaden begründet. Der EuGH hat klargestellt, dass die Person, die einen Anspruch aus Art. 82 Abs. 1 DS-GVO geltend macht, nachweisen müsse, dass die negativen Folgen eines Verstoßes auch einen immateriellen Schaden darstellen. Insb. müsse das nationale Gericht, wenn sich eine Person auf die Befürchtung berufe, ihre personenbezogenen Daten könnten in Zukunft missbräuchlich verwendet werden, prüfen, ob diese Befürchtung unter den gegebenen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden könne. Danach ist der Verlust der Kontrolle über die eigenen Daten eine negative Folge, die zwar grds. einen Ersatzanspruch begründen kann, der Anspruchsteller bleibt jedoch in der Pflicht, darzulegen und ggf. zu beweisen, dass der Kontrollverlust zu einem immateriellen Schaden wie Ängsten und Befürchtungen eines Missbrauchs der Daten durch Dritte geführt hat. Ein folgenloser Kontrollverlust stellt hingegen keinen (immateriellen) Schaden dar. Soweit der Kl. in den schriftsätzlichen Ausführungen geltend macht, wegen der Datenweitergabe der Bekl. in Sorge über seine Bonität zu sein, und dazu ausführt, dass es sich nicht nur um einen einmaligen Datenschutzverstoß handele, sondern der Kontrollverlust über die Daten an die SCHUFA einen dauerhaften Einfluss auf den ausgewiesenen Score-Wert habe, dieser Einfluss jedoch für die Betroffenen zu keinem Zeitpunkt nachvollziehbar sei und daher dauerhaft die Möglichkeit bestehe, dass die Bonität der Betroffenen von Vertragspartnern aufgrund einer datenschutzwidrigen Datenverarbeitung durch die Bekl. schlechter bewertet werde, als sie tatsächlich sei, das Gefühl des Kontrollverlusts sei geprägt von der Angst, einer unberechtigten Übermittlung an eine Auskunftei wie der SCHUFA ausgesetzt zu sein, das beunruhige den Kl. bis zum heutigen Tag, seitdem lebe er mit der ständigen Angst vor – mindestens – unangenehmen Rückfragen in Bezug auf die eigene Bonität, das allgemeine Verhalten im Wirtschaftsverkehr oder einer Verfälschung des SCHUFA-Scores, hat sie ihrer Darlegungslast genügt. Die durch einen Datenschutzrechtsverstoß hervorgerufene Befürchtung des Betroffenen, dass seine personenbezogenen Daten durch Dritte missbräuchlich – oder hier: zum Nachteil des Betroffenen bei der Bonitätsbewertung – verwendet werden könnten, kann einen immateriellen Schaden iSd Art. 82 Abs. 1 DS-GVO darstellen. Allerdings bleibt das Gericht gehalten zu prüfen, ob die Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann. Um dies zu überprüfen, bedarf es einer persönlichen Anhörung des Kl.. Es steht danach nicht zur Überzeugung der Kammer fest, dass der Kl. infolge der Datenweitergabe an die SCHUFA tatsächlich Ängste und Sorgen wegen einer möglichen negativen Auswirkung auf die Bonität und das Scoring empfunden hat oder aktuell empfindet. Die für den Verhandlungstermin am 03.07.2024 gem. § 141 Abs. 1 ZPO angeordnete informatorische Anhörung des Kl. zum Zwecke seiner Befragung einer Betroffenheit durch Datenveröffentlichung konnte nicht zu einer Überzeugungsbildung dahingehend führen, dass der Kl. tatsächlich immaterielle Beeinträchtigungen erlitten hat. Die Anordnung begründet eine prozessuale Pflicht der Partei zum Erscheinen. Die Klagepartei erschien trotz erfolgter Ladung und – wie hier – ohne Mitteilung von Entschuldigungs- oder Verhinderungsgründen nicht zum Termin, sodass eine informatorische Anhörung aus vom Kl. selbst zu verantwortenden Gründen unterbleiben musste. Zwar trifft die Partei keine Erklärungspflicht; denn sie braucht sich ohnehin nicht auf den Prozess und zur Hauptsache einzulassen und kann deshalb auch nicht zur Aufklärung ihres Vorbringens gezwungen werden. Sie setzt sich allerdings den Nachteilen ihrer mangelnden Aktivität aus. Ihre Behauptungen sind unter Umständen unsubstanziiert, ihre Beweisanträge bleiben aus oder unbestimmt, ihr Nichterscheinen kann bei der Beweiswürdigung zu ihrem Nachteil gewertet werden (§ 286 ZPO), insb. dann, wenn sie – wie hier auf der Hand liegend – keinen instruierten Vertreter zum Termin entsendet hat. Gemessen daran, lässt sich mangels einer durch das unentschuldigte Nichterscheinen zum Termin dokumentierten, so aufzufassenden Ablehnung des Kl., sich persönlich vor Gericht über die schriftsätzlich vorgetragenen Belastungen und Beeinträchtigungen durch die geltend gemachte Weitergabe von Daten an die SCHUFA zu erklären, gem. § 286 ZPO nicht feststellen, dass der Kl. dadurch tatsächlich spürbare immaterielle Beeinträchtigungen welcher Art und Intensität auch immer erlitten hat bzw. diese weiterhin erleidet. |
| NEU LG Offenburg Urt. v. 2.7.2024 – 3 O 387/23 | 0 EUR Dem Kl. steht der geltend gemachte Anspruch auf Schmerzensgeld aus Art. 82 Abs. 1 DS-GVO wegen eines Verstoßes der Bekl. gegen Art. 6 DS-GVO nicht zu. Es kann dahinstehen, ob der Bekl. ein Datenschutzverstoß dahingehend vorzuwerfen ist, dass sie Positivdaten des Kl. bei der SCHUFA gemeldet hat. Insoweit ist streitig, ob berechtigte Interessen das Recht des Mobilfunkkunden auf informationelle Selbstbestimmung überwiegen. Es fehlt jedenfalls an einem substantiiert dargelegten Schaden beim Kl. Die Annahme eines Schadens setzt zwar nicht voraus, dass dieser eine gewisse Erheblichkeit überschreitet. Jedoch muss der Schaden nach der Rspr. des EuGH tatsächlich und sicher bestehen. Der bloße Verstoß gegen die DS-GVO reicht nicht aus, um einen Schadensersatzanspruch zu begründen, da das Vorliegen eines materiellen oder immateriellen „Schadens“ eine der Voraussetzungen für den in Art. 82 Abs. 1 DS-GVO vorgesehenen Schadensersatzanspruch darstellt, ebenso wie das Vorliegen eines Verstoßes gegen die DS-GVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind. Das pauschale und nicht substantiierte Berufen auf abstrakte Befürchtungen, Ängste und Ohnmacht wegen eines Kontrollverlustes reicht nicht aus, um einen Schaden darzulegen. Es ist weder vorgetragen noch ersichtlich, dass sich der Kl. durch die Übermittlung der Positivdaten materielle Schäden erlitten hat. Bezüglich des immateriellen Schadens kommt auf das Vorliegen innerer Tatsachen an, die dem Beweis nur eingeschränkt zugänglich sind. Erforderlich ist, dass der Betroffene Umstände darlegt und beweist, in denen sich seine erlebten Empfindungen widerspiegeln, und dass nach der Lebenserfahrung der Datenschutzverstoß mit seinen Folgen Einfluss auf das subjektive Empfinden hat. Der Kl. hat in seiner informatorischen Anhörung keine konkreten negativen Auswirkungen für sich selber geschildert. Er hat gesagt, konkrete Auswirkungen habe er bisher noch nicht festgestellt. Es sei nicht so, dass er schon das im Vergnügen gewesen sei, bei der Bank einen großen Kredit abzufragen. Aber er denke in der Zukunft wird es schon Auswirkungen haben. Als größerer Kredit in der Zukunft könnte anstehen etwa ein Immobilienkauf. Seine Eltern haben ein Dreifamilienhaus, die mittlere Wohnung stehe in Aussicht, dass er diese erwerben würde. Er habe nicht versucht, gegen den niedrigen Score vorzugehen. Darüber hinaus ist es nicht ohne Weiteres nachvollziehbar, warum gerade die Meldung von Positivdaten zu Sorgen oder Ängsten wegen der eigenen Bonität führen sollen. Der Kl. hat nicht dargelegt, dass sein SCHUFA-Score gerade durch die Meldung der Bekl. an die SCHUFA verschlechtert wurde. Da ein Schadensersatzanspruch nach Art. 82 DS-GVO aus den oben dargelegten Gründen ausscheidet, kommt auch keine Feststellung der Haftung für weitere Schäden nicht in Betracht. Mangels Anspruch des Kl. aus Art. 82 Abs. 1 DS-GVO kommt eine Haftung für die geltend gemachten Rechtsverfolgungskosten sowie Rechtshängigkeitszinsen nicht in Betracht. |
| NEU LG Paderborn Urt. v. 1.7.2024 – 4 O 11/24 | 0 EUR Dem Kl. steht unter keinem rechtlichen Gesichtspunkt der geltend gemachte Anspruch auf immateriellen Schadensersatz zu. Die begehrte Entschädigung steht dem Kl. nicht zu; denn er hat einen erlittenen immateriellen Schaden bereits nicht schlüssig dargelegt, jedenfalls aber auch nicht bewiesen. Ferner hat er auch die erforderliche Kausalität zwischen Verarbeitungsverstoß und vermeintlich immateriellem Schaden nicht dargelegt und nachgewiesen. Ob Datenschutzverstöße der Bekl. anzunehmen sind, kann dahinstehen. Denn es oblag dem Kl., einen über etwaige Datenschutzverstöße und über den damit mittelbar einhergehenden Kontrollverlust hinausgehenden immateriellen Schaden in Form einer persönlichen / psychologischen Beeinträchtigung aufgrund der Datenschutzverstöße und des Kontrollverlustes darzulegen. Der von ihm ins Feld geführte „Kontrollverlust“ rechtfertigt als solcher keine Entschädigungsverpflichtung. Die von der DS-GVO verwandten Begriffe „immaterieller“ und „materieller“ Schaden sind unionsautonom auszulegen und setzen nach dem Wortlaut der Norm, der Systematik und Telos des Art. 82 Abs. 2, Abs. 1 DS-GVO sowie der Art. 77-84 DS-GVO und Erwägungsgrund 75, 85 und 146 DS-GVO einen über den schlichten Verstoß gegen die DS-GVO hinausgehenden Schaden voraus. Das heißt, dass iRd haftungsbegründenden Tatbestands des Art. 82 Abs. 2, Abs. 1 DS-GVO zunächst zwischen einem haftungsrelevanten Datenschutzverstoß einerseits und einem – materiellen oder immateriellen – Schaden andererseits zu differenzieren ist. Beide sind nicht deckungsgleich, sondern selbständige Voraussetzungen iRd Art. 82 DS-GVO, die kumulativ vorliegen müssen. Ein solcher Schaden setzt jedoch – entgegen möglicherweise bestehendem innerstaatlichen Recht – nach Wortlaut, Erwägungsgrund 10, 146 DS-GVO und Telos nicht voraus, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat. Auch wenn es keine Erheblichkeitsschwelle gibt, so bedeutet dies indes nicht, dass die aus dem Datenschutzverstoß resultierenden negativen Folgen per se einen haftungsbegründenden Schaden darstellen; denn der EuGH führt hierzu explizit aus, dass diese Auslegung nicht bedeutet, „dass eine Person, die von einem Verstoß gegen die DS-GVO betroffen ist, der für sie negative Folgen gehabt hat, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden iSv Art. 82 dieser Verordnung darstellen“. Entsprechend stellt der EuGH auch darauf ab, dass die „konkret erlittenen Schäden“ vollständig ausgeglichen werden müssen. Die Annahme eines solchen konkreten Schadens setzt in unionsautonomer Auslegung nach ständiger Rspr. des EuGH voraus, dass dieser „tatsächlich und sicher“ besteht. Entsprechend sieht der die Frage des Schadensersatzes allein betreffende Erwägungsgrund 75 DS-GVO auch nur vor, dass ein Schaden entstehen „könnte“, nicht aber in jedem Fall eintritt, „wenn“ u. a. „die betroffene Person um ihre Rechte und Freiheiten gebracht oder daran gehindert wird, die sie betreffenden personenbezogenen Daten zu kontrollieren“. In Erwägungsgrund 85 DS-GVO hingegen geht es im Kern um die Informationspflichten und nicht um den Schadensersatzanspruch. Etwas anderes gebietet auch Erwägungsgrund 146 S. 6 DS-GVO nicht, der „nur“ einen vollständigen und wirksamen Schadensersatz für den – konkret-individuell – „erlittenen“ Schaden fordert, während Art. 83 Abs. 1 und Art. 84 Abs. 1 S. 2 DS-GVO aus generell-abstrakter Perspektive nicht nur wirksame und verhältnismäßige, sondern auch abschreckende Maßnahmen einfordern. Ein Kontrollverlust durch die Übermittlung von Positivdaten betraf als generelles Risiko der (unrechtmäßigen) Übermittlung alle Personen, deren Daten ohne Rechtfertigungsgrund übermittelt wurden, gleichermaßen (vgl. allgemein Erwägungsgrund 7 S. 2 DS-GVO). Einem solchen generellen Risiko soll im Hinblick auf die Zielsetzung der DS-GVO, den unionsweiten Schutz personenbezogener Daten sicherzustellen (vgl. Erwägungsgrund 10 DS-GVO), durch die Minimierung der Verarbeitungsrisiken entgegengewirkt werden, um ein möglichst hohes Schutzniveau zu erreichen. Dem Einzelnen die Kontrolle über seine Daten möglichst umfassend zu belassen bzw. dies zu gewährleisten, ist hierfür von grundlegender Bedeutung. Realisiert sich das generelle Risiko, dessen Eintritt verhindert werden soll, kommt es zwangsläufig zum Kontrollverlust. Daraus allein resultiert aber deshalb noch kein tatsächlicher Schaden im konkreten Einzelfall, wenn bzw. dieser automatisch bei jedem vom festgestellten Verstoß gegen die DS-GVO Betroffenen in Form der Offenlegung / Zugänglichmachung von Daten eintritt. Es bedarf über den Kontrollverlust als Realisierung des generellen Risikos hinaus eines tatsächlichen materiellen oder immateriellen Schadens im konkreten Einzelfall. Damit deckt sich, dass der völlige Kontrollverlust als solcher nicht per se ein immaterieller Schaden ist; denn stellt ein unkontrollierter Datenverlust im konkreten Einzelfall wegen des Werts der Daten eine in Geld messbare Einbuße dar, so ist dies unzweifelhaft ein Vermögensschaden. Etwas anderes folgt auch nicht aus der Entscheidung des EuGH Urt. v. 14.12.2023 – C-340/21 [= ZD 2024, 150 mAnm Ligocki/Sosna = MMR 2024, 231 mAnm Kohl/Rothkegel]. Abgesehen davon ist weder dargetan noch sonst ersichtlich, worin der von dem Kl. reklamierte „Kontrollverlust“ durch die Übermittlung der sog. Positivdaten überhaupt liegen sollte. Einen über die Datenschutzverstöße und über den damit mittelbar einhergehenden Kontrollverlust hinausgehenden immateriellen Schaden in Form einer persönlichen / psychologischen Beeinträchtigung aufgrund der Datenschutzverstöße und des Kontrollverlustes hat der Kl. bereits nicht schlüssig dargelegt. Bei persönlichen / psychologischen Beeinträchtigungen handelt es sich, soweit – wie hier – keine krankhaften Störungen behauptet werden, um innere Vorgänge. Auf das Vorliegen innerer, dem Beweis nur eingeschränkt zugänglicher Tatsachen kann nur mittelbar aus in der Regel auf äußeren Tatsachen basierenden Indizien geschlossen werden. Mit Blick auf die subjektiven Folgen eines Datenschutzverstoßes im Einzelfall ist es deshalb ausreichend, aber auch erforderlich, dass der Betroffene Umstände darlegt, in denen sich seine erlebten Empfindungen widerspiegeln, und dass nach der Lebenserfahrung der Datenschutzverstoß mit seinen Folgen Einfluss auf das subjektive Empfinden hat. Der Vortrag, dass der durch die Datenübermittlung entstandene Kontrollverlust bei dem Kl. Sorgen verursacht habe, reicht zur Darlegung persönlich belastender Folgen der Datenschutzverletzung nicht aus, weil hiermit nicht genug Beweisanzeichen objektiver Art vorgetragen sind, in denen sich solche Gefühle bzw. der Aufwand widerspiegeln, und zwar bezogen auf den konkreten Einzelfall. Allein die Darstellung, dass der Kl. mit der ständigen Angst vor – mindestens – unangenehmen Rückfragen in Bezug auf die eigene Bonität und das allgemeine Verhalten im Wirtschaftsverkehr lebe und er Angst vor einer Verfälschung des SCHUFA-Scores habe, lässt nicht darauf schließen, dass nach der Lebenserfahrung eine durchschnittlich im Datenschutz sensibilisierte Person negative Gefühle und gesundheitliche Auswirkungen entwickeln würde, welche über jene hinausgehen, welche man automatisch entwickelt, wenn ein Gesetz zu seinen Ungunsten verletzt wird. Das tatsächliche Vorliegen eines immateriellen Schadens ist auch sonst nicht ersichtlich. Nach der Rspr. des EuGH muss ein Kl., wenn er – wie hier – keine Angaben gemacht hat, mit denen das Vorliegen seines immateriellen Schadens belegt und dessen Umfang bestimmt werden könnte, zumindest nachweisen, dass das gerügte Verhalten so schwerwiegend war, dass ihm dadurch ein derartiger Schaden entstehen konnte. Es entspricht indes schon nicht der allgemeinen Lebenserfahrung, dass das Bekanntwerden des Abschlusses eines Mobilfunkvertrages bei der SCHUFA, auch wenn es ungewollt erfolgt ist, regelmäßig / erfahrungsgemäß zu persönlichen / psychologischen Beeinträchtigungen führt. Einen schlüssigen Vortrag des Kl. unterstellt, wäre dieser jedenfalls nicht bewiesen. Nach dem Grundsatz der Verfahrensautonomie unter Berücksichtigung des Äquivalenz- und Effektivitätsgrundsatzes gilt mit Blick auf den haftungsbegründenden – hier immateriellen – Schaden das strenge Beweismaß des § 286 ZPO, das die volle Überzeugung des Gerichts verlangt. Diese erfordert keine absolute oder unumstößliche Gewissheit und auch keine an Sicherheit grenzende Wahrscheinlichkeit, sondern nur einen für das praktische Leben brauchbaren Grad von Gewissheit, der Zweifeln Schweigen gebietet. Der Tatrichter muss aufgrund der Beweisaufnahme entscheiden, ob er die Behauptung für wahr oder nicht für wahr hält; er darf sich nicht mit einer bloßen, wenn auch erheblichen Wahrscheinlichkeit begnügen. Mit Anlegung dieses Maßstabs wird auch der Äquivalenzgrundsatz eingehalten, da § 286 ZPO gleichermaßen im deutschen Recht angewandt wird und die Situation der vermeintlich geschädigten Partei im Anwendungsbereich der DS-GVO damit nicht ungünstiger ist. Dies gilt insb. vor dem Hintergrund, dass der Schaden im Einzelfall nach der gefestigten Rspr. des EuGH eben nicht nur tatsächlich, sondern auch „sicher“ sein muss. Erst für die Bestimmung des Ausmaßes des einmal festgestellten Schadens kommt § 287 ZPO zur Anwendung, wonach für die Überzeugungsbildung eine hinreichende bzw. überwiegende Wahrscheinlichkeit genügen kann. Schließlich hat der Kl. auch die erforderliche Kausalität zwischen Verarbeitungsverstoß und vermeintlich immateriellem Schaden nicht dargelegt und bewiesen. Bei der Kausalität zwischen der Datenverarbeitung unter Verstoß gegen die DS-GVO und dem (hier nunmehr unterstellten) Schaden in Form persönlicher / psychologischer Beeinträchtigungen durch den Kontrollverlust geht es entscheidend darum, ob die persönlichen / psychischen Folgen, die bei dem Kl. eingetreten sind, auf die Datenschutzverstöße der Bekl. zurückzuführen sind, und zwar entweder mittelbar durch die negative Folge eines Kontrollverlustes oder erst weiter mittelbar durch verdächtige Kontaktversuche etc Auch insoweit trifft den Kl. die volle Darlegungs- und Beweislast. Es gilt für die hier betroffene Frage der haftungsbegründenden Kausalität § 286 ZPO. Diese erfordert keine absolute oder unumstößliche Gewissheit und auch keine an Sicherheit grenzende Wahrscheinlichkeit, sondern nur einen für das praktische Leben brauchbaren Grad von Gewissheit, der Zweifeln Schweigen gebietet. Der Tatrichter muss aufgrund der Beweisaufnahme entscheiden, ob er die Behauptung für wahr oder nicht für wahr hält; er darf sich nicht mit einer bloßen, wenn auch erheblichen Wahrscheinlichkeit begnügen. |
| NEU LG Berlin II Urt. v. 28.6.2024 – 85 O 15/24 | 0 EUR Dem Kl. steht kein Anspruch auf Zahlung eines immateriellen Schadensersatzes aus Art. 82 Abs. 1 DS-GVO oder einer anderen denkbaren Anspruchsgrundlage gegen die Bekl. zu. Der allein vom Kl. vorgetragene und aus dem Vortrag ersichtliche Verstoß der Bekl. gegen Art. 6 Abs. 1 S. 1 lit. f DS-GVO liegt nicht vor. Unabhängig davon fehlt es hier iÜ an einem ersatzfähigen Schaden. Das Merkmal des immateriellen Schadens ist autonom auszulegen. Erwägungsgrund 146 (und in diesem S. 3) zur DS-GVO sieht vor, dass der Begriff des Schadens im Lichte der Rspr. des EuGH weit auf eine Art und Weise ausgelegt werden soll, die den Zielen dieser Verordnung in vollem Umfang entspricht. Erwägungsgrund 75 zur DS-GVO nennt etwa Identitätsdiebstahl, finanzielle Verluste, Rufschädigung oder den Verlust der Kontrolle personenbezogener Daten. Ein deutsches Verständnis zum Begriff des Schadens – etwa eine enge Auslegung – ist mithin nicht angezeigt. Eine Erheblichkeitsschwelle für das Vorliegen eines solchen Schadens ergibt sich gerade nicht aus der DS-GVO. Bagatellschäden sind nicht auszuschließen. Zu verlangen ist aber jedenfalls, dass ein konkreter immaterieller Schaden auch tatsächlich eingetreten („entstanden“) ist. Diesen muss die Kl. darlegen und ggf. beweisen. Es war für die Kammer bei Durchlesen der Klageschrift schon nicht ersichtlich, inwieweit die Weitergabe von so genannten Positivdaten (oder nur Vertragsdaten?), nämlich dass der Kunde einen Mobilfunkvertrag abgeschlossen hat, zu einem immateriellen Schaden führen soll. Der diesbezügliche Sachvortrag ist pauschal und wird in zahlreichen weiteren Klagen inhaltsgleich verwendet. Angeblich habe der Kl. nach Erhalt der SCHUFA Auskunft vom 27.10.2023 das Gefühl eines Kontrollverlustes und große Sorge auch in Bezug auf die eigene Bonität. Schon diese Aussage ist schlicht nicht nachvollziehbar, wenn die zitierte Information aus der SCHUFA Auskunft weiter gemeldet worden sind. Es ist für die Kammer nicht nachvollziehbar, wie Sorge hinsichtlich der eigenen Bonität entstehen kann. Ein Problem könnte doch allenfalls dann entstehen, wenn entsprechende Negativdaten weitergeleitet würden. Es ist genauso wenig ersichtlich, wie eine ständige Angst vor – mindestens – unangenehmen Rückfragen überhaupt erklärbar sein soll. Es scheint maßlos übertrieben, wenn diesbezüglich von einer „ständigen Angst“ gesprochen wird. Bei dem Begriff „Angst“ handelt es sich um eine Steigerung zum Begriff der Befürchtung. Es ist aber schon nicht plausibel, inwieweit überhaupt eine Befürchtung bestehen könnte, dass unangenehme Rückfragen erfolgen, wenn die angegebene Information aus der SCHUFA Auskunft weitergeleitet werden. Auch ist nicht nachvollziehbar, inwieweit die freie Entscheidung des Kl. im Hinblick auf neue Vertragsabschlüsse und freie Entfaltungsmöglichkeiten bei der weiteren Gestaltung des eigenen Lebens untergraben werden. IÜ ist gerichtsbekannt, dass Positivdaten – wie der Name schon sagt – sich positiv auf die Bonität auswirken, im Zweifel also zu einer besseren Bewertung der Bonität führt. Soweit der Kl. vorträgt, eine positive Bewertung sei für ihn negativ, weil er dann Kredite erhalten kann, obwohl er sie nicht bedienen kann, so ist sein Vortrag widersprüchlich und damit unbeachtlich. Leitet die Bekl. nämlich Positivdaten weiter, so ist dies nach der o.g. Argumentation für ihn schädlich, leitet die Bekl. hingegen die Positivdaten nicht weiter, so entsteht ihm dadurch ein Schaden, dass sein Score insgesamt schlechter ausfällt, was offensichtlich nicht seinem Interesse entsprechen kann. Unabhängig davon erkennt der Kl. mit seiner o.g. Argumentation an, dass Einträge in der SCHUFA Holding AG nicht nur seine potentiellen Vertragspartner schützt, sondern vielmehr ihn selbst vor wirtschaftlich ruinösen Entscheidungen. Dazu ist aber eine umfassende Information der SCHUFA Holding AG zwingend notwendig. Schließlich ist hier auch nicht ersichtlich, dass gerade die Weitergabe der streitgegenständlichen Positivdaten zu Kontrollverlust, Ängsten etc geführt haben. Die Behauptung, beim Kl. habe sich nach Erhalt der 7 Seiten langen Auskunft der SCHUFA Holding AG mit 29 Einträgen, ein Gefühl des Kontrollverlustes und der großen Sorge, insbesondere auch in Bezug auf die Bonität, aufgrund der Positivmitteilung der Bekl. und nicht etwa aufgrund der anderen Eintragungen eingestellt, ist darüber hinaus nicht nachvollziehbar. Die Bonität des Kl. ist allenfalls deshalb nicht zu 100% gut, weil er in der Vergangenheit etliche Kreditverträge geschlossen hat. Allein die schiere Menge an Krediverträgen verschlechtert gerichtsbekannt den Bonitätswert. |
| NEU LG Duisburg Urt. v. 28.6.2024 – 1 O 9/24 | 0 EUR Das Verhalten, auf dessen Grundlage der Kl. gem. Art. 82 DS-GVO Schadensersatz begehrt, stellt in Wahrheit keinen Verstoß gegen die DS-GVO dar, so daß ein Anspruch des Kl. gem. Art. 82 DS-GVO nicht in Betracht kommt. Die Übermittlung der Informationen über den Abschluß des hier infragestehenden probieren Vertrages zwischen dem Kl. und der Bekl. an Wirtschaftsauskunfteien, insb. an die S. Holding AG, durch die Bekl. war nach Art. 6 Abs. 1 S. 1 lit. f DS-GVO gerechtfertigt. Auf die Frage, ob dem Kl. überhaupt ein immaterieller Schaden entstanden ist, auf dessen Ersatz er nach Art. 82 DS-GVO Anspruch haben könnte, kommt es nach dem Vorstehenden nicht mehr an. Angemerkt sei dazu aber, dass nicht schon allein der seinerseits gesehene – in Wahrheit freilich nicht vorliegende – Verstoß gegen die DS-GVO für den Kl. einen immateriellen Schaden darstellt. Angemerkt sei weiter, dass sein Vorbringen zum sogenannten Kontrollverlust – andere können auf seine Daten zugreifen – nicht geeignet ist, nachvollziehbar das Entstehen eines immateriellen Schadens bei ihm darzulegen. Auf die hier infragestehenden Informationen wird bei Wirtschaftsauskunfteien nur derjenige zugreifen, der mit dem Kl. Geschäfte machen will, bei denen er dem Kl. im weitesten Sinne Kredit gewährt. Ist der Kl. ehrlich, muss er aber ohnehin bei jeder Kreditvergabe, bei der wie üblich nach seinem Einkommen und seinen monatlichen Belastungen gefragt wird, das Bestehen des hier infragestehenden Mobilfunkvertrags ggü. seinem potentiellen Kreditgeber angeben. Dieser erhält durch die Informationen eine Information, auf die er nicht ohnehin „Anspruch hätte“. Zu Recht weist die Bekl. darauf hin, dass der Kl., wenn er ehrlich ist, im Zuge einer Kreditvergabe auch seine Belastungen durch Kosten für einen Mobilfunkvertrag angeben muss. Seine in keiner Weise glaubhaften Ängste und Sorgen, die die Bekl. bestreitet, stehen nicht unter geeigneten Beweis. Die Voraussetzungen für eine Anhörung oder der Parteivernehmung des Kl. hierzu bestehen nicht. Es besteht keine derartige Wahrscheinlichkeit für das vorliegen dieser Ängste, dass ihr Vorliegen als „anbewiesen“ angesehen werden könnte. IÜ sind die seinerseits unglaubhafterweise geschilderten angeblichen erheblichen Ängste und Sorgen bei Lichte betrachtet derartig abseitig, dass entweder – so scheint es der EuGH möglicherweise zu sehen kein Schaden iSd Art. 82 DS-GVO vorliegt, weil die Befürchtungen in Wahrheit nicht begründet sind, oder – rechtsdogmatisch näherliegend und überzeugender – ihre Zurechnung zu dem – ohnehin nicht gegebenen – Datenschutzverstoß nicht möglich ist. Denn derartige Ängste aufgrund der Weitergabe der hier infragestehenden Daten des Kl. an die S. Holding AG wie vorliegend behauptet, wären, weil sie in der Realität nicht den leisesten nachvollziehbaren Grund finden, wenn sie denn tatsächlich vorliegen sollten, nur aufgrund eines derartig ungewöhnlichen und unwahrscheinlichen Kausalverlaufs entstanden, dass sie nicht mehr der Übermittlung der hier infragestehenden Daten durch die Bekl. zugerechnet werden könnten, so dass die Bekl. hierfür nicht verantwortlich wäre. Soweit der Kl. ausweislich seines Klageantrags zu 1. gar meint, die angemessene Entschädigung für seinen immateriellen Schaden sei mit mindestens 4.000 EUR zu beziffern, ist dies schon gar nicht mehr nachvollziehbar. Da der Bekl. ein Verstoß gegen die DS-GVO nicht zur Last liegt, besteht auch der mit dem Klageantrag zu 4. geltend gemachte Anspruch auf Erstattung von Rechtsverfolgungskosten nebst Zinsen nicht. Denn die Voraussetzungen des Art. 82 DS-GVO der einzigen insoweit in Betracht kommende Anspruchsgrundlage, liegen mangels Verstoßes gegen die DS-GVO nicht vor. |
| NEU LG Erfurt Urt. v. 25.6.2024 – 8 O 1244/23 | 0 EUR Der Kl. hat gegen die Bekl. keinen Anspruch auf immateriellen Schadensersatz (Schmerzensgeld) aus Art. 82 DS-GVO. Der Kl. hat das Vorliegen eines ersatzfähigen immateriellen Schadens weder dargelegt noch bewiesen. Nach der aktuellen Rspr. des EUGH (Urt. v. 4.5.2023 - C-300/21 [= ZD 2023, 446 mAnm Mekat/Ligocki – Österreichische Post] und Urt. v. 14.12.2023 - C-340/21 [= ZD 2024, 150 mAnm Ligocki/Sosna = MMR 2024, 231 mAnm Kohl/Rothkegel]) ist Art. 82 Abs. 1 DS-GVO dahin auszulegen, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadensersatzanspruch zu begründen. Vielmehr sind „Schaden“ und „Kausalität“ zwei weitere Anspruchsvoraussetzungen iSv Art. 82 Abs. 1 DS-GVO, die kumulativ vorliegen müssen. Ein Schaden iSd Art. 82 Abs. 1 DS-GVO setzt andererseits – entgegen möglicherweise bestehenden innerstaatlichem Recht – nach Wortlaut, Erwägungsgrund 10, 146 DS-GVO und Telos nicht voraus, dass der der betroffenen Person entstandene immaterielle Schaden einen bestimmten Grad an Erheblichkeit erreicht hat. Diese Auslegung bedeutet jedoch nicht, „dass eine Person, die von einem Verstoß gegen die DS-GVO betroffen ist, der für sie nachteilige Folgen gehabt hat, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden iSv Art. 82 dieser Verordnung darstellen“. Entsprechend stellt der EuGH auch darauf ab, dass die „konkret erlittenen Schäden“ vollständig ausgeglichen werden müssen. Die Annahme eines solchen konkreten Schadens setzt in unionsautonomer Auslegung voraus, dass dieser „tatsächlich und sicher“ besteht. Der schriftsätzliche Vortrag des Kl. zum Schaden beschränkt sich auf allgemein gehaltene Angaben, ohne dass dargelegt wird, wie sich der behauptete „Kontrollverlust“, die „große Sorge, insb. auch auf die eigene Bonität“, die „Angst, einer unberechtigten Übermittlung an eine Auskunftei wie der SCHUFA Holding AG ausgesetzt zu sein“ und die „Unruhe“ konkret äußern und zu welchen Symptomen sie konkret führen. Nach der Rspr. des EuGH muss ein Kl., wenn er – wie hier – keine Angaben gemacht hat, mit denen das Vorliegen seines immateriellen Schadens belegt und dessen Umfang bestimmt werden könnte, zumindest nachweisen, dass das gerügte Verhalten so schwerwiegend war, dass ihm dadurch ein derartiger Schaden entstehen konnte. Das hier gerügte Verhalten – die Weitergabe der Information über den Abschluss des Mobilfunkvertrages am 14.08.2018 – ist nicht so schwerwiegend, dass dem Kl. hierdurch ein konkreter Schaden entstehen könnte. Zunächst handelt es sich hierbei um eine Information, über die eine Vielzahl von Personen und Institutionen bereits verfügt. Der Kl. selbst gab auf Nachfrage in der mündlichen Verhandlung an, er schätze die Anzahl der Personen, die Kenntnis davon haben, dass er einen Mobilfunkvertrag habe, auf 200 bis 300 Personen. Es ist weder dargetan noch sonst ersichtlich, dass dem Kl. durch die Information über den Abschluss des Mobilfunkvertrages im Jahr 2018 ein konkreter Schaden entstehen könnte, so etwa anderen Teilnehmern am Wirtschaftsverkehr wie Banken oder Versicherungen Anlass geben könnte, die Bonität des Kl. zu hinterfragen. So heißt es hierzu in der Pressemitteilung der SCHUFA Holding AG vom 19.10.2023: „Insbesondere bei Menschen, die bereits langjährige Vertragsbeziehungen (mehr als 5 Jahre) zu einem Telekommunikationsunternehmen haben, wirkt sich die Information zu dem bestehenden Vertrag positiv auf den Bonitätsscore aus. Auch Personen, zu denen wenige oder keine weiteren Daten bei der SCHUFA vorlagen, profitierten von Informationen zu Vertragskonten im Telekommunikationsbereich. Sind allerdings zahlreiche Verträge von Unternehmen gemeldet, kann sich dies – statistisch gesehen – auch negativ auf den Bonitätsscore auswirken, denn mit jedem einzelnen Vertrag ist eine Zahlungsverpflichtung verbunden.“ Der am 14.08.2018, mithin vor nahezu 6 Jahren, abgeschlossene Mobilfunkvertrag zwischen dem Kl. und der Bekl. besteht unstreitig noch. Dass sich aus der von dem Kl. angeforderten Auskunft der SCHUFA zahlreiche gemeldete weitere Verträge von Unternehmen ergeben hätten und sich infolgedessen die Meldung des hier Mobilfunkvertrages mit der Bekl. negativ auf den Bonitätsscore ausgewirkt habe, behauptet der Kl. selbst nicht. |
| NEU LG Hannover Urt. v. 25.6.2024 – 18 O 267/23 | 0 EUR Unbegründet ist die Klage bzgl. des Antrags auf Schadensersatz, Art. 82 DS-GVO. Ein immaterieller Schaden besteht hier nicht in einem sog. „Kontrollverlust“ bzgl. der übermittelten Positivdaten. Insoweit geht die Kammer zwar davon aus, dass entsprechend dem 85. Erwägungsgrund der DS-GVO auch der „Verlust der Kontrolle“ bei personenbezogener, nach der DS-GVO geschützte Daten zu den Schäden zählt, die durch eine Verletzung personenbezogener Daten verursacht werden können. Ferner hat der Gerichtshof entschieden, dass der – selbst kurzzeitige – Verlust der Kontrolle über solche Daten einen „immateriellen Schaden“ iSv Art. 82 Abs. 1 dieser Verordnung darstellen kann, der einen Schadensersatzanspruch begründet, sofern die betroffene Person den Nachweis erbringt, dass sie tatsächlich einen solchen Schaden – so geringfügig er auch sein mag – erlitten hat. Der vorliegende Fall unterscheidet sich allerdings hinsichtlich der Frage des Kontrollverlusts von anderen von der Kammer entschiedenen Fällen, in welchen dieser Kontrollverlust bejaht wurde, namentlich wenn nach einem sog. „Datenleck“ bei einer datenspeichernden Einrichtung personenbezogene Daten frei im Internet bzw. im sog. Darknet kursierten und von jedermann eingesehen, heruntergeladen und vervielfältigt werden konnten. Hier waren die Positivdaten – zunächst einmal nur – bei der die … gespeichert. In welchem Umfang die Positivdaten bereits von Dritten, die sich an die Auskunftei gewandt haben, eingesehen wurden, ist nicht sicher. Jedenfalls ist bzgl. der Personen, die sich an die Auskunftei wenden, um namentlich Informationen über die Kreditwürdigkeit des Betroffenen zu erhalten, im Grundsatz davon auszugehen, dass damit einem konkreten Informationsinteresse gefolgt wird und betreffende Dritte die Daten daher nicht umfänglich und kopieren und anderweitig veröffentlichen. Dazu ist jedenfalls nichts bekannt. Daher ist im Grundsatz davon auszugehen, dass die Daten bei der die … gelöscht werden können und sich damit der Eingriff gleichsam wieder „einfangen lässt“. Ein immaterieller Schaden ergibt sich auch nicht aus sonstigen Belästigungen oder (psychischen, gesundheitlichen u.a.) Nachteilen, die der Kl. infolge der Übertragung der Daten hinsichtlich seines Mobilfunkvertrages erlitten hätte. Eine über die allgemeine Hypothese des Kl., mit der Anzahl der Verbindlichkeiten verschlechterten sich Chancen auf eine Kreditgewährung, hinausgehende Nachteilszufügung, die eine Grundlage für die Gewährung immateriellen Schadensersatzes bieten könnte, geht daraus nicht hervor. Es mangelt daher auch iÜ an einem (materiellen oder immateriellen) Schaden iSv Art. 82 DS-GVO. |
| NEU LG Konstanz Urt. v. 21.6.2024 – D 2 O 269/23 | 0 EUR Dem Kl. steht kein Anspruch auf Zahlung immateriellen Schadensersatzes aus Art. 82 Abs. 1 DS-GVO oder einer anderen denkbaren Anspruchsgrundlage gegen die Bekl. zu. Vorliegend fehlt es bereits an einem Verstoß gegen die Bestimmungen der DS-GVO, aus welchem sich ein Schadensersatzanspruch des Kl. ergeben könnte. Der vom Kl. vorgetragene Verstoß der Bekl. gegen Art. 6 Abs. 1 S. 1 lit. f DS-GVO liegt nicht vor. Insoweit ist in Rspr. und lit. streitig, ob die von der Bekl. vorgetragenen berechtigten Interessen, namentlich die Betrugsprävention, Überschuldungsprävention, Präzision der Ausfallrisikoprognosen, Validierung der bei der S. Holding AG vorhandenen Daten, das Recht des Kl. auf informationelle Selbstbestimmung überwiegen. IÜ mangelt es an einem ersatzfähigen Schaden des Kl. iSd Art. 82 Abs. 1 DS-GVO. Nach der informatorischen Anhörung des Kl. in der mündlichen Verhandlung konnte sich das Gericht keine Überzeugung dahingehend bilden, dass der Kl. einen kausal auf die behaupteten Verstöße zurückzuführenden Schaden erlitten hat. Nach allgemeinen Grundsätzen obliegt es dem Kl., die (Mit-) Ursächlichkeit des - vermeintlichen - Verstoßes für die geltend gemachten Schäden darzulegen und ggf. zu beweisen. Der EuGH hat am 04.05.2023 entschieden, dass Art. 82 DS-GVO dahin auszulegen ist, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadensersatzanspruch zu begründen. Es geht aus dem Wortlaut von Art. 82 Abs. 1 DS-GVO klar hervor, dass das Vorliegen eines „Schadens“ eine der Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadensersatzanspruch darstellt, ebenso wie das Vorliegen eines Verstoßes gegen die DS-GVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind. Daher kann nicht davon ausgegangen werden, dass jeder Verstoß gegen die Bestimmungen der DS-GVO für sich genommen den Schadensersatzanspruch der betroffenen Person iSv Art. 4 Nr. 1 dieser Verordnung eröffnet. Eine solche Auslegung liefe dem Wortlaut von Art. 82 Abs. 1 DS-GVO zuwider. Insofern muss konkret festgestellt werden, dass die - vom Anspruchssteller zu beweisenden - Folgen einen Schaden darstellen. Eine Erheblichkeitsschwelle für das Vorliegen eines solchen Schadens ergibt sich dabei nicht aus der DS-GVO. Bagatellschäden sind folglich nicht auszuschließen. Zu verlangen ist aber jedenfalls, dass ein konkreter immaterieller Schaden auch tatsächlich eingetreten („entstanden“) ist. Ein abstrakter „Kontrollverlust“ allein reicht demnach für einen immateriellen Schaden iSd Art. 82 DS-GVO nicht aus, für eine darüberhinausgehende Beeinträchtigung trägt der Anspruchsteller die Darlegungs- und Beweislast. In der mündlichen Verhandlung am 15.05.2024 hat der Kl. nicht überzeugend dargelegt, dass er aufgrund der Einmeldung der Positivdaten durch die Bekl. unter echten immateriellen Beeinträchtigungen wie zB Angstgefühlen, seelischem Leid, seelischen Auswirkungen, psychischen Beeinträchtigungen oder anderen, irgendwie spürbaren seelischen Beeinträchtigungen gelitten habe. Dabei ist zunächst festzuhalten, dass die Erkrankung unter dem sogenannten Asperger-Syndrom beim Kl. bereits Jahre zuvor diagnostiziert wurde, hier also keinesfalls ein Zusammenhang mit dem streitgegenständlichen Eintrag bzw. dessen Kenntnisnahme zu sehen ist. Bloße negative Gefühle wie Unmut, Unzufriedenheit, Sorge und Angst, die an sich Teil des allgemeinen Lebensrisikos und oft des täglichen Erlebens sind, hält das Gericht als Grundlage für einen Schadensersatzanspruch jedenfalls dann für nicht ausreichend, wenn - wie hier - kein Einfluss auf die Lebensführung ersichtlich und damit ein konkreter Rückschluss von äußeren Umständen auf diese inneren Tatsachen nicht möglich ist. |
| NEU LG Ansbach Urt. v. 20.6.2024 - 2 O 1111/23 | 0 EUR Ein Anspruch des Kl. auf Schadensersatz resultiert nicht aus Art. 82 DS-GVO. Dahingestellt bleiben kann, ob die Bekl. durch die Meldung des Mobilfunkvertragsschlusses an die SCHUFA gegen Vorschriften der DS-GVO verstoßen hat. Denn das Gericht konnte sich nicht davon überzeugen, dass die Bekl. durch den behaupteten Verstoß beim Kl. kausal einen Schaden verursacht hat. Der Begriff des Schadens in Art. 82 Abs. 1 DS-GVO ist europarechtskonform auszulegen. Der bloße Verstoß gegen Bestimmungen der DS-GVO begründet dabei entgegen der Auffassung des K. nicht bereits einen Schaden. Auch der kurzzeitige Verlust der Kontrolle über personenbezogene Daten kann jedoch zu einem immateriellen Schaden iSv Art. 82 Abs. 1 DS-GVO führen, wobei hierfür nicht maßgeblich ist, ob eine missbräuchliche Verwendung personenbezogener Daten durch Dritte bereits erfolgt ist. Die Darlegungs- und Beweislast dafür, dass die negativen Folgen einen immateriellen Schaden iSv Art. 82 DS-GVO darstellen, trägt die vom Verstoß betroffene Person. Der bloße objektive Umstand des Vorliegens eines Kontrollverlustes ist als solcher allein noch nicht ausreichend, um einen immateriellen Schaden iSv Art. 82 Abs. 1 DS-GVO zu begründen. Das Gericht hat den Kl. informatorisch angehört und den gesamten Prozessstoff gewürdigt. Es vermag sich im Ergebnis dessen nicht davon zu überzeugen, dass dem Kl. durch die Einmeldung von Positivdaten an die SCHUFA ein immaterieller kausaler Schaden entstanden ist. IRd informatorischen Anhörung hat der Kl. angegeben, wegen der Sache nicht an Schweißausbrüchen zu leiden; jedoch habe er die Sorge, ihm könne in den nächsten Jahren ein Kredit für einen Hausbau „wegen irgendwelcher Einträge bei der SCHUFA“ verweigert werden. Ihm sei in der jüngeren Vergangenheit bereits einmal wegen seines SCHUFA-Scores ein Kleinkredit verweigert worden, dies binnen zwei Sekunden; die Ablehnung habe auf einem Algorithmus beruht. An den konkreten Anlass für die Beantragung des Kleinkredits könne er sich nicht erinnern; dass dieser ihm aufgrund der damaligen Negativzinsen noch zusätzlich Geld in die Tasche gespült hätte, wäre ein „schöner Nebeneffekt“ gewesen. In der Klageschrift ist demgegenüber von Existenzsorge, Stress, Unwohlsein und Unruhe die Rede. In der Replik wird ebenfalls auf den abgelehnten Kredit eingegangen und ausgeführt, der Kl. habe Bedenken hinsichtlich der Sicherheit seiner Daten, insbesondere im Fall eines Hackerangriffs auf die Server der SCHUFA. |
| NEU LG Ravensburg Urt. v. 20.6.2024 – 4 O 91/24 = ZD 2024, 532 | 0 EUR Der Kl. hat gegen die Bekl. keinen Anspruch aus Art. 82 Abs. 1 DS-GVO auf Zahlung von immateriellen Schadensersatz. Der Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO hat nach der Rspr. des EuGH drei Voraussetzungen. Neben einem Verstoß gegen Vorschriften der DS-GVO muss ein Schaden eingetreten sein und zwischen dem Verstoß und dem Schaden muss eine Kausalität bestehen. Dabei muss der Schaden (insb. bei immateriellen Schäden) für dessen Ersatzfähigkeit nicht einen gewissen Grad an Erheblichkeit erreicht haben. Auch der kurzzeitige Verlust der Kontrolle über personenbezogene Daten kann einen immateriellen Schaden iSv Art. 82 Abs. 1 DS-GVO begründen, sofern der Betroffene den Nachweis erbringt, dass sie tatsächlich einen solchen Schaden erlitten hat, wobei der bloße Verstoß gegen Bestimmungen der DS-GVO insoweit nicht genügt. Für die Annahme eines Schadens ist dabei nicht maßgeblich, ob eine missbräuchliche Verwendung personenbezogener Daten durch Dritte bereits erfolgt ist oder ob der Schaden mit der Angst verknüpft ist, dass eine solche Verwendung in Zukunft erfolgen könnte. Den Nachweis, dass die negativen Folgen einen immateriellen Schaden iSv Art. 82 DS-GVO darstellen, trägt die vom Verstoß betroffene Person. Für die Ermittlung des Schadens gibt der EuGH den nationalen Gerichten folgendes auf: „Insbesondere muss das angerufene nationale Gericht, wenn sich eine Person, die auf dieser Grundlage Schadensersatz fordert, auf die Befürchtung beruft, dass ihre personenbezogenen Daten in Zukunft aufgrund eines solchen Verstoßes missbräuchlich verwendet werden, prüfen, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann.“ Danach ist der Verlust der Kontrolle über die eigenen Daten eine negative Folge, die zwar grds. einen Ersatzanspruch begründen kann, der Anspruchsteller bleibt jedoch in der Pflicht, darzulegen und ggf. zu beweisen, dass der Kontrollverlust zu einem immateriellen Schaden wie begründeten Ängsten und Befürchtungen eines Missbrauchs der Daten durch Dritte geführt hat. Ein folgenloser Kontrollverlust stellt hingegen keinen (immateriellen) Schaden dar. Diese Sichtweise deckt sich mit der jüngsten Entscheidung hat der EuGH bestätigt, dass der (kurzzeitige) Verlust über die Kontrolle einen immateriellen Schadensersatzanspruch begründet, sofern die betroffene Person den Nachweis erbringt, tatsächlich einen solchen erlitten zu haben. Das maßgebliche strenge Beweismaß des § 286 Abs. 1 ZPO erfordert volle Überzeugung des Tatgerichts. § 286 Abs. 1 ZPO fordert aber keinen naturwissenschaftlichen Kausalitätsnachweis und auch keine an Sicherheit grenzende Wahrscheinlichkeit; vielmehr genügt ein für das praktische Leben brauchbarer Grad von Gewissheit, der verbleibenden Zweifeln Schweigen gebietet, ohne sie völlig auszuschließen. Dabei ist es dem Tatrichter nach § 286 ZPO grds. erlaubt, allein aufgrund des Vortrags der Parteien und ohne Beweiserhebung festzustellen, was für wahr und was für nicht wahr zu erachten ist. Er kann dabei iRd freien Würdigung des Verhandlungsergebnisses den Behauptungen und Angaben (vgl. § 141 ZPO) einer Partei unter Umständen auch dann glauben, wenn diese ihre Richtigkeit sonst nicht – auch nicht mittels Parteivernehmung, weil es an der erforderlichen Anfangswahrscheinlichkeit fehlt – beweisen kann. Selbst wenn man unterstellte, dass die Einmeldung der Positivdaten durch die Bekl. nicht durch Art. 6 Abs. 1 S. 1 lit. F gerechtfertigt war, scheitert der Anspruch des Kl. daran, dass er in Anwendung der vorgenannten rechtlichen Maßstäbe keinen kausalen Schaden iSd Art 82 Abs. 1 DS-GVO erlitten hat. Denn dem Kl. ist nicht gem. § 286 ZPO der Nachweis gelungen, dass bei ihm aufgrund des Verlusts der Kontrolle über personenbezogene Daten einen immateriellen Schaden eingetreten ist. Nachdem es den Kl. in der mündlichen Verhandlung informatorisch angehört hat, kann das Gericht nicht feststellen, dass der Kl. aufgrund eines Kontrollverlustes über die streitgegenständlichen Positivdaten zu irgendeinem Zeitpunkt an Existenzängsten, Stress oder allgemeinem Unwohlsein gelitten hat oder gar noch heute leidet. |
| NEU LG Hildesheim Urt. v. 18.6.2024 – 3 O 18/24 | 0 EUR Der Kl. hat ggü. der Bekl. keinen Anspruch auf die Leistung eines Ersatzes für immaterielle Schäden nach Art. 82 Abs. 1 DS-GVO. Dahinstehen kann dabei, ob die Bekl. Verstöße gegen die DS-GVO begangen hat, ob die entsprechenden etwaigen Verstöße von der Schadensersatzpflicht aus Art. 82 Abs. 1 DS-GVO erfasst sind und ob für die Auslösung einer Schadensersatzpflicht nach dieser Norm eine erhebliche Beeinträchtigung erforderlich ist. In jedem Fall steht dem Kl. aus etwaig erfolgten Verstößen der Bekl. Für die Bemessung von Schadensersatzansprüchen nach Art. 82 Abs. 1 DS-GVO enthält die DS-GVO nur wenige Vorgaben. Aus dem Nebeneinander von materiellem und immateriellem Schaden folgt, dass auch solche Schäden auszugleichen sind, die sich nicht unmittelbar in Geld bemessen lassen. Nach Erwägungsgrund 146 S. 3 zu der Verordnung sollte der Begriff des Schadens im Lichte der Rspr. des EUGH zudem weit auf eine Art und Weise ausgelegt werden, die den Zielen der Verordnung in vollem Umfang entspricht. gegen die DS-GVO kein immaterieller Schadensausgleich zu. Nach Erwägungsgrund 146 S. 6 sollten die betroffenen Personen einen vollständigen und wirksamen Schadensersatz für erlittene Schäden erhalten. Nach dem ausdrücklichen Wortlaut der Vorschrift muss der Schaden hierbei „erlitten“ worden sein, woraus sich ergibt, dass dieser tatsächlich entstanden sein muss und nicht lediglich befürchtet wird. Zwar ist der Begriff des Schadens – wie dargestellt – weit auszulegen, sodass die Betroffenen einen wirksamen Ersatz bekommen; nach Auffassung der Kammer reicht jedoch ein bloßer Verstoß gegen Vorschriften der DS-GVO nicht aus, um (immateriellen) Schadensersatz verlangen zu können. Es bedarf vielmehr der Darlegung eines konkreten (auch immateriellen) Schadens. Ein solcher in Gestalt einer durch den Kl. tatsächlich empfundenen Beeinträchtigung, welche mit einem Schmerzensgeld zu vergelten wäre, ist nach erfolgter informatorischer Anhörung des Kl. nicht ersichtlich. Der Kl. führte allein aus, es gehe ihm mit dem Wissen um die Einmeldung „nicht so gut“, weil er nicht ausschließen könne, dass sich die Meldung der Bekl. negativ auf den S.-Score auswirken könne. Ferner könne er nicht sicher sein, ob er günstigere Konditionen bei Abschluss eines zurückliegenden Darlehensvertrages hinsichtlich der Finanzierung einer Immobilie erhalten hätte, wäre der S.-Score bei hinweg denken der ein Meldung der Bekl. günstiger gewesen. Schließlich verärgere ihn den Umstand, dass die Bekl. seine Daten an die S. gemeldet habe, obwohl er keinen negativen Zahlungsauffälligkeiten an den Tag gelegt habe. Diese von dem Kl. geschilderten Beeinträchtigungen – ihr Zutreffen unterstellt – sind nicht geeignet, einen Schmerzensgeldanspruch zu begründen. Ihnen kommt kein Gewicht zu, welches durch eine Geldzahlung auszugleichen wäre. Hierbei verkennt die Kammer nicht, dass die Zuerkennung eines Schmerzensgeldes auf der Grundlage des § 82 Abs. 1 DS-GVO nicht von der Überschreitung einer Erheblichkeitsschwelle der erlittenen Beeinträchtigung abhängig ist. Gleichwohl ist ein Schmerzensgeld seiner Höhe nach an der durch den jeweiligen Kl. empfundenen Einschränkung seiner Lebensqualität zu orientieren. Hieran gemessen ist nach dem konkreten Eindruck der Kammer von dem Kl. iRd mündlichen Verhandlung von so einer geringen Beeinträchtigung auszugehen, dass die monetäre Abbildung der „Leiden“ des Klägers bei null liegt. Mangels eines Anspruchs in der Hauptsache besteht auch kein Anspruch auf Verzinsung oder die Erstattung vorgerichtliche Rechtsverfolgungskosten. |
| NEU LG Passau Urt. v. 17.6.2024 - 1 O 121/24 | 0 EUR Die Klagepartei hat keinen Schadensersatzanspruch gegen die Bekl. aus Art. 82 Abs. 1 DS-GVO. Es fehlt bereits an einem relevanten Verstoß gegen die Bestimmungen der DS-GVO. Der Klagepartei ist zudem kein kausaler Schaden entstanden. Beweisbelastet für den Eintritt eines durch einen Verstoß gegen die DS-GVO verursachten Schadens ist nach allgemeinen Grundsätzen die Klagepartei. Entgegen der Auffassung der Klagepartei resultiert dabei kein Schaden aus der bloßen Verletzung der DS-GVO, sondern diese muss zu einer tatsächlichen Beeinträchtigung der Klagepartei führen. Der Nachweis eines kausalen Schadens ist auch nach dem Beweismaßstab des § 287 ZPO nicht geführt. Die persönliche Anhörung der Klagepartei hat ergeben, dass diese gehäuft dubiose Anrufe und Kurzmitteilungen erhält. Ihre Telefonnummer hat die Klagepartei auch bei anderen Dienstleistern hinterlegt. Für einen kausalen Zusammenhang mit dem durch den „Scraping“-Vorfall nach klägerischem Vortrag veröffentlichen Datensatz gibt es keinen Beleg. So ist es allgemein bekannt, dass auch Personen, die nicht bei „f.“ angemeldet sind oder dort zumindest keine Telefonnummer hinterlegt haben, von Anrufen und Nachrichten, wie sie die Klagepartei beschreibt, geplagt werden. Soweit klägerseits ein Gefühl des Unwohlseins und Kontrollverlustes behauptet wird, bleibt der klägerische Vortrag so allgemein, dass daraus ein konkreter, der gerichtlichen Bewertung zugänglicher Schaden nicht abgeleitet werden kann. Zwar ist der Schadensbegriff weit zu verstehen, er muss jedoch auch wirklich „erlitten“, das heißt „spürbar“ und objektiv nachvollziehbar sein. Woraus dieser Schaden konkret rühren soll, ist aus dem Vortrag der Klagepartei nicht zu entnehmen. Da die Bekl. ihre Auskunftspflicht nicht verletzt hat, hat die Klagepartei auch keinen Anspruch auf Schadensersatz wegen Nichterteilung der Auskunft aus Art. 82 DS-GVO. IÜ ist auch insoweit nicht ersichtlich, worin der Schaden der Klagepartei liegen sollte. |
| NEU LG Leipzig Endurt. v. 17.6.2024 – 04 O 2552/23 | 0 EUR Unabhängig davon, dass eine Begründetheit des geltend gemachten Schadensersatzanspruches schon deshalb fraglich erscheint, weil kaum nach vollziehbar ist, dass der bloße Umstand der Meldung, das der Kl. einen Mobilfunkvertrag bei der Bekl. abgeschlossen haben soll, diesen in ständige Angstzustände versetzt haben soll, scheitern sämtliche geltend gemachte Ansprüche bereits dran, dass der Kl. trotz Bestreitens der Bekl. weder nachgewiesen hat, das er überhaupt einen Mobilfunkvertrag mit der Bekl. abgeschlossen hat, noch, das er eine Auskunft der SCHUFA erhalten hat, in dem diese ihm mitgeteilt haben soll, das die Bekl. dieser den Abschluss eines Mobilfunkvertrages mit dem Kl. gemeldet habe: Trotz der entsprechenden substantiierten Bestreitens der Bekl. in der Klageerwiderung hat der Kl. bis zuletzt weder ein entsprechendes Auskunftsschreiben der SCHUFA vorgelegt (trotz entsprechender Ankündigung, dies im Falle des Bestreitens zu tun) noch insb. Vertragsunterlagen zur Akte gereicht, aus denen sich ergibt, das tatsächlich der Kl. mit der Bekl. überhaupt einen Mobilfunkvertrag abgeschlossen hatte. |
| NEU LG Osnabrück Urt. v. 13.6.2024 – 2 O 2739/23 | 0 EUR Ein Schadensersatzanspruch folgt insb. nicht aus Art. 82 Abs. 1 DS-GVO. Dabei kann dahinstehen, ob die Bekl. mit der Übermittlung der Daten an die Sch. gegen Art. 5, 6 DS-GVO verstoßen hat oder ob überwiegende berechtigte Interessen bestehen, die eine solche Weitergabe rechtfertigen. Ein Schadensersatzanspruch gem. Art. 82 DS-GVO setzt neben einem Verstoß gegen die GSGVO auch einen erlittenen Schaden materieller oder immaterieller Art voraus. Einen solchen hat die Kl. hier nicht substantiiert dargetan. Soweit die Klageschrift immaterielle Beeinträchtigungen geltend macht, handelt es sich dabei ersichtlich um abstrakte Ausführungen, die nicht die individuelle Situation der Kl. betreffen. Die Bekl. hatte bereits auf die Ausführungen des OLG Celle in der Entscheidung vom 09.01.2024 hingewiesen (5 U 77/23), wonach in zahlreichen anhängigen Verfahren der immaterielle Schaden – die Auswirkungen der behaupteten Rechtsverletzung – immer in identischer Weise geschildert werden. Die Kl. ist dem nicht entgegengetreten, so dass diese Behauptung als unstreitig anzusehen ist. Auch am hiesigen Gericht sind diverse Verfahren mit vergleichbaren Sachverhalten anhängig, die alle von derselben Anwaltskanzlei eingereicht worden sind. Eine stichprobenhafte Überprüfung der Klageschriften hat ergeben, dass in allen Verfahren, die der Überprüfung unterzogen wurden (9 O 58/24, 5 O 440/24, 5 O 926/24, 11 O 1034/24) eine wörtliche Übereinstimmung besteht, was belegt, dass hier mit Textbausteinen gearbeitet wird statt eine individuelle Situation der Kl. darzustellen. Eine konkrete immaterielle Beeinträchtigung ist daher nicht dargelegt. Sie ist nach dem Ablauf der Ereignisse auch nicht zu erwarten. Zum einen hat die Bekl. in den Vertragsunterlagen darauf hingewiesen, dass entsprechende Daten an die Sch. übermittelt werden, so dass die Kl. nicht überrascht oder erschüttert gewesen sein kann. Zum anderen hat die Sch. bereits einen Tag, nachdem die Kl. die Sch.-Auskunft über die Speicherung der Positivdaten erhalten hatte, öffentlich bekanntgegeben, dass sie diese Daten löschen werde. Von einer nachhaltigen immateriellen Beeinträchtigung der Kl. kann bei dieser Sachlage nicht ausgegangen werden. Bemerkenswert ist zunächst, dass die Kl. einen Sachverhalt vorgetragen hat, der in die Klageschrift keinerlei Eingang gefunden hat, dass ihr nämlich ein Darlehen abgelehnt worden sei, weil sie einen zu niedrigen Sch. Score gehabt habe und sie dies auf die Eintragung der V. Daten zurückführe, da sie nach der Löschung der Daten dann das gewünschte Darlehen erhalten habe. Diese Angaben der Kl. können der Bewertung allerdings bereits deshalb nicht zugrunde gelegt werden, weil sie von der Gegenseite zulässig mit Nichtwissen bestritten worden sind und es keinerlei objektivierbaren Unterlagen gibt, die diese Angaben der Kl. stützen könnten. Es kann daher nicht davon ausgegangen werden, dass die Kl. durch die Speicherung der Positivdaten tatsächlich einen Schaden erlitten hat oder ein Darlehen deshalb nicht bewilligt wurde. Ein Unterlassungsanspruch ergibt sich vorliegend auch nicht aus Art. 82 DS-GVO. Zwar kann grds. aus einem Schadensersatzanspruch auch ein Unterlassungsanspruch folgen. Ein aus einem Schadensersatzanspruch folgender Unterlassungsanspruch setzt aber immer einen konkreten Schaden voraus, den die Kl. hier schon nicht dargetan hat. Die Verletzung der Norm als solche reicht nicht aus. |
| NEU LG Hanau Urt. v. 13.6.2024 – 9 O 217/24 | 0 EUR Der Kl. steht insb. kein Anspruch auf Zahlung von Schadensersatz für einen immateriellen Schaden aus Art. 82 Abs. 1 DS-GVO oder einer anderen Anspruchsgrundlage zu. Ein Verstoß der Bekl. gegen die DS-GVO hat die Kl. iRd ihr obliegenden Beweises nicht dargelegt. Insb. liegt kein Verstoß gegen Art. 6 Abs. 1 S. 1 lit. f DS-GVO vor. Berücksichtigungsfähig ist insoweit grds. jedes rechtliche, wirtschaftliche oder ideelle Interesse, das von der Rechtsordnung gebilligt ist, also auch jenes der Einmeldung zur Verhinderung von Betrugsstraftaten. Eine Ausgestaltung des Umgangs mit Positivdaten in Form eines berechtigten Interesses der Bekl. an solchen Straftaten ist nachvollziehbar. Demgegenüber steht das weniger wiegende Interesse des Betroffenen der Datenübermittlung von Daten und Informationen, welche lediglich Notwendige solche darstellen. Die Information des Bestehens eines Mobilfunkvertrags ist mithin keine solche Information von (höchst) persönlicher Art. Im Ergebnis ist von einem überwiegenden Interesse im Sinne einer Zulässigkeit der Datenübermittlung auszugehen. Auch hat die Kl. jedoch – selbst einen Verstoß unterstellt – jedenfalls den ihr obliegenden Beweis des Eintritts eines erlittenen, immateriellen Schadens nicht schlüssig dargelegt. Im Lichte des Erwägungsgrund 146 DS-GVO ist der Schadensbegriff weit zu verstehen. Voraussetzung ist jedoch, dass der immaterielle Schaden „erlitten“, also tatsächlich entstanden sein muss und nicht lediglich befürchtet werden darf. Dass der Schaden „erlitten“ wurde, erfordert beim Betroffenen einen entstandenen, spürbaren Nachteil und eine objektiv nachvollziehbare, mit gewissem Gewicht erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen. Würde demgegenüber jedes Unwohlsein und jede Sorge unter den Schadensbegriff fallen, so würde dieser überdehnt und eine ausufernde Haftung begründet. Ein Schmerzensgeld ist daher nicht für einen Bagatellverstoß ohne ernsthafte Beeinträchtigung oder für eine bloß individuell empfundene Unannehmlichkeit zu gewähren. Die Darlegungslast für den Eintritt des konkreten immateriellen Schadens liegt beim Betroffenen und kann bei behaupteten persönlichen/psychologischen Beeinträchtigungen nur durch die Darlegung konkret-individueller – und nicht wie hier in einer Vielzahl von Fällen gleichartiger – dem Beweis zugänglicher Indizien erfüllt werden. Auch der EuGH hat im Urt. v. 14.12.2023 betont, dass die Nachweispflicht für auf der DS-GVO beruhenden Schäden sowohl in Bezug auf die Höhe des Schadens als auch in Bezug auf die Kausalität auf Klägerseite liegt. Dieser ihr obliegenden Darlegungslast ist die Kl. nicht nachgekommen. Die Kl. ist unstreitig ihren Zahlungspflichten aus dem Telekommunikationsvertrag zwischen den Parteien nachgekommen. Insofern besteht bereits kein Anlass, die Bonität der Kl. – wie ihrem Vortrag nach von ihr befürchtet – in Zweifel zu ziehen. Aus der Information des Abschlusses eines Mobilfunkvertrages geht vielmehr hervor, dass die Kl. zahlungsfähig ist, da sie sich durch Abschluss des Mobilfunkvertrages mit der Bekl. zur Zahlung des vereinbarten Entgelts verpflichtete. Allenfalls im Falle der Übermittlung von Negativdaten wäre denkbar, dass Sorgen oder Ängste entstehen könnten. Dies ist jedoch weder vorgetragen oder sonst ersichtlich. Darüber hinaus ist bereits nicht nachvollziehbar, warum die Tatsache des Bestehens eines Mobilfunkvertrages, welchen eine Vielzahl aller Bürger mit einem Mobilfunkanbieter abgeschlossen haben, einen negativen Einfluss auf eine mögliche Bonität der Kl. haben soll und die Übermittlung – ein solches unterstellt – ein negatives Gefühl auslösen sollte. Denn das Bestehen eines Mobilfunkvertrages betrifft die Mehrheit aller Bürger und stellt per se keine Tatsache dar, aus der negative Schlüsse gezogen werden könnten. Eine – den klägerischen Vortrag unterstellt – Belastung iSv Ängsten oder Sorge hätte darüber hinaus durch einfachen Nichtabschluss des Vertrages – oder zu einem späteren Zeitpunkt die Kündigung des Vertrages – entgegengewirkt werden können. Der pauschale Vortrag der Klägerseite ohne konkrete Darlegung psychologischer oder persönlicher Beeinträchtigungen genüg jedenfalls nicht. Solche Beeinträchtigungen psychischer oder gesundheitlicher Art hat die Kl. auch schon nicht behauptet. Bloße negative Gefühle wie Unmut, Unzufriedenheit, Sorge und Angst, die an sich Teil des allgemeinen Lebensrisikos und oft des täglichen Erlebens sind, die Grundlage für einen Schadensersatzanspruch sein können, sind jedenfalls dann nicht gerechtfertigt, wenn keinerlei Einfluss auf die Lebensführung ersichtlich und damit ein konkreter Rückschluss von äußeren Umständen auf diese inneren Tatsachen nicht möglich ist. Hierzu erfolgt kein konkreter Vortrag. Auch kann eine Mitursächlichkeit etwaiger Datenschutzverstöße für die vorgetragene Beeinträchtigung nicht festgestellt werden. Mangels bestehenden Hauptanspruchs besteht auch kein Anspruch auf Erstattung vorgerichtlicher Rechtsanwaltskosten. Die einen solchen Antrag zugrunde liegenden Tatsachen wurden nicht vorgetragen. |
| NEU LG Memmingen Urt. v. 13.6.2024 - 24 O 1624/23 | 0 EUR Dem Kl. steht kein Anspruch auf Ersatz des (immateriellen) Schadens gem. Art. 82 Abs. 1 DS-GVO iVm Art. 6 Abs. 1, 5 Abs. 1 lit. a DS-GVO zu. Vorliegend fehlt es bereits an einem ersatzfähigen Schaden des Klägers iSv Art. 82 Abs. 1 DS-GVO, sodass über die weiteren Umstände nicht zu entscheiden war. Nachdem die Kammer den Kl. informatorisch angehört hat, gelangt sie unter Würdigung des gesamten Prozessstoffes nicht gem. § 286 Abs. 1 S. 1 ZPO zu der Überzeugung, dass unter den gegebenen besonderen Umständen die Befürchtungen des Kl. als begründet angesehen werden kann und dass dem Kl. durch die Einmeldung von Positivdaten an die SCHUFA ein immaterieller kausaler Schaden entstanden ist. Die Kammer konnte iRd informatorischen Anhörung nicht die Überzeugung gewinnen, dass der Kl. aufgrund eines Kontrollverlusts an Existenzängsten, Stress oder allgemeinem Unwohlsein leidet. Dass bloße negative Gefühle wie Unmut, Unzufriedenheit, Sorge und Angst, die an sich Teil des allgemeinen Lebensrisikos und oft des täglichen Erlebens sind, Grundlage für einen Schadensersatzanspruch sein können, hält das Gericht jedenfalls dann für nicht gerechtfertigt, wenn kein Einfluss auf die Lebensführung ersichtlich und damit ein konkreter Rückschluss von äußeren Umständen auf diese inneren Tatsachen nicht möglich ist. |
| NEU LG Lüneburg Urt. v. 13.6.2024 – 10 O 222/23 | 0 EUR Der Kl. hat keinen Anspruch auf immateriellen Schadensersatz gem. Art. 82 DS-GVO. Jedenfalls fehlt es an einem erstattungsfähigen Schaden. Zwar kann auch der Kontrollverlust über die eigenen Daten einen Schadensersatz begründen. Im vorliegenden Fall ist diese abstrakte Darstellung indes nicht geeignet, um bei dem Kl. einen Schaden annehmen zu können. Der Kl. trägt kein konkretes Ereignis vor, bei dem sich gezeigt habe, dass aufgrund der Mitteilung der Daten durch die Bekl. ein Nachteil für den Bekl. eingetreten sei. Der Nachteil erschöpft sich mithin in dem abstrakten Unwohlsein, bis hin zur behaupteten schieren Existenzsorge des Kl., dass ggf. zukünftig ein Vertragsschluss nicht oder nur zu schlechteren Bedingungen zustande kommen könnte. Indes: Der Kl. erhielt am 13.10.2023 die auf den 4.10.2023 datierende Auskunft der S., durch die er von der Mitteilung der Bekl. an die S. erfuhr. Bereits eine Woche später erging die Erklärung der S., dass Daten zum Abschluss von Mobilfunkverträgen gelöscht werden. Aus dieser Erklärung ging auch hervor, welche Bedeutung den Mitteilungen über Vertragsabschlüsse mit Mobilfunkverträgen zukommt – nämlich nur marginale. Schließlich konnte der Kl. der Erklärung der S. ebenfalls entnehmen unter welchen Voraussetzungen der Abschluss von Mobilfunkverträgen nachteilige Folgen für die Bewertung des Kreditausfallrisikos hat. Voraussetzungen, die bei dem Kl. nicht vorliegen. Für den Zeitraum dieser Woche ist nicht ersichtlich, dass der Kontrollverlust über die eigenen Daten bei dem Kl. mehr als ein Unwohlsein ausgelöst haben kann, was mit entsprechender Argumentation auch für den zurückliegenden Zeitraum gilt. Dass eine Steigerung dieses Unwohlseins bis hin zur schieren Existenzsorge innerhalb einer Woche stattgefunden haben kann, ohne dass der Kl. auch nur die geringste konkrete Absicht hegte, in naher Zukunft einen Vertrag mit einem kreditorischen Gläubiger zu schließen, ergibt sich weder aus dem Vortrag des Kl. noch ist es sonst ersichtlich oder naheliegend. Selbst wenn der Kl. von der Presseerklärung vom 19.10.2023 noch nicht sogleich Kenntnis erlangt haben sollte, so hatte er diese Kenntnis spätestens Mitte November mit Klagerhebung, iRder er diese Presseerklärung vortragen lässt. Ein erstattungsfähiger Schaden ist selbst bei Annahme dieser Zeitspanne nicht ersichtlich. Über ein zeitlich sehr überschaubares Unwohlsein geht die Beeinträchtigung des Kl. nicht hinaus. Die Schwelle zum erstattungsfähigen Schaden ist damit nicht erreicht, worauf die Kammer bereits iRd Zustellungsverfügung hingewiesen hat. |
| NEU LG Ulm Urt. v. 13.6.2024 – 6 O 20/24 | 0 EUR Der Kl. hat keinen Anspruch auf Schadensersatz gem. Art. 82 DS-GVO. Denn er hat jedenfalls keinen kausalen Schaden aufgrund eines möglichen Verstoßes der Bekl. nachgewiesen. Es kann daher offen bleiben, inwieweit der Bekl. überhaupt ein Verstoß gegen die DS-GVO zur Last gelegt werden kann. Bei Feststellung eines Schadens ist zu berücksichtigen, dass der bloße Verstoß gegen die DS-GVO nicht ausreicht, um einen Schadensersatzanspruch zu begründen, da das Vorliegen eines materiellen oder immateriellen Schadens eine der Voraussetzungen für den in Art. 82 Abs. 1 DS-GVO vorgesehenen Schadensersatzanspruch darstellt, ebenso wie das Vorliegen eines Verstoßes gegen die DS-GVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind. Ein gewisser Schweregrad des Schadens ist hingegen nicht erforderlich. Selbst ein kurzzeitiger Verlust der Kontrolle über solche Daten kann einen „immateriellen Schaden“ iSv Art. 82 Abs. 1 DS-GVO darstellen, sofern die betroffene Person den Nachweis erbringt, dass sie tatsächlich einen solchen Schaden erlitten hat. Der Begriff des immateriellen Schadens umfasst auch Situationen, in denen sich eine betroffene Person nur auf ihre Befürchtung beruft, dass ihre Daten in Zukunft von Dritten missbräuchlich verwendet werden. Allerdings beinhaltet dies die Prüfung, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann. Hiernach konnte das Gericht keinen kausalen Schaden feststellen. Zum einen kann das Gericht nicht feststellen, dass die vom Kl. geäußerten Befürchtungen bezüglich künftiger negativer Folgen im Hinblick auf seine Bonität wegen der Mitteilung der Bekl. im vorliegenden Fall als begründet angesehen werden können. |
| NEU LG Tübingen Urt. v. 12.6.2024 – 4 O 359/23 | 0 EUR Die Kl. hat keinen Anspruch auf Schmerzensgeld aus Art. 82 Abs. 1 DS-GVO, auch wenn sog. Positivdaten an die S. übermittelt worden sind. Positivdaten sind Informationen über das Zustandekommen und die Beendigung eines Vertrags, d.h. Informationen, die keine negativen Zahlungserfahrungen oder sonstiges nicht vertragsgemäßes Verhalten zum Inhalt haben. Dabei kann offen bleiben, ob überhaupt ein Verstoß gegen die Bestimmungen der DS-GVO vorliegt. Denn es fehlt jedenfalls an einem konkreten immateriellen Schaden der Kl. Das LG Frankfurt/M. hat zu einem solchen Anspruch in einem Parallelverfahren mit vergleichbarem Sachverhalt in seinem Urt. v. 19.3.2024 - 2-10 0 691/23 [= ZD 2024, 747] zutreffend Folgendes ausgeführt. Diesen überzeugenden Ausführungen schließt sich das erkennende Gericht an. Auch im vorliegenden Fall wurde kein individueller Schaden schlüssig dargelegt, sondern ein abstrakter Vortrag gehalten, wie er wortgleich in zahlreichen anderen Verfahren vorgetragen worden ist. |
| NEU LG Darmstadt Urt. v. 12.6.2024 – 2 O 18/24 | 0 EUR Es liegt kein Verstoß gegen die Vorschriften der DS-GVO vor, insb. liegen die Voraussetzungen des Art. 82 Abs. 1 DS-GVO nicht vor. Es liegt insbesondere auch kein Verstoß gegen Art. 6 Abs. 1, Art. 5 Abs. 1 lit. a DS-GVO vor. Die Übermittlung der Vertragsdaten durch die Bekl. konnte auf die Rechtsgrundlage des Art. 6 Abs. 1 lit. f DS-GVO gestützt werden, sie war mithin rechtmäßig. Die Entstehung eines kausalen Schadens bei dem Kl. ist nicht hinreichend substantiiert vorgetragen. Soweit der Kl. von einem Gefühl von Kontrollverlust, Angst vor Diskriminierung, Existenzsorgen spricht, so erscheinen diese Begriffe formelhaft und entbehren jeder Darlegung von Einzelheiten, wie sich Gefühle geäußert haben sollen. Dabei fehlt es völlig an Vortrag, in welcher Form sich Beweisanzeichen objektiver Art zeigen, in denen sich solche Gefühle widerspiegeln, und zwar bezogen auf den konkreten Einzelfall des Kl. Zum Zeitpunkt der Klage im hiesigen Verfahren lagen die behaupteten Datenschutzverstöße der Bekl. bereits mehrere Jahre zurück. Es fehlt an der hinreichend substantiierten Darlegung eines Schadens. Nach mittlerweile gefestigter Rspr. ist ein Verstoß gegen die DS-GVO nicht unmittelbar mit einem Schaden gleichzusetzen. Selbst wenn die Verarbeitung durch die Bekl. rechtswidrig gewesen wäre, so ergibt sich hieraus deshalb noch kein unmittelbarer Schaden der Klagepartei. Diesen muss sie vielmehr zusätzlich darlegen und beweisen, wobei sie auch in Bezug auf die Kausalität zwischen DS-GVO-Verstoß und Schaden beweisbelastet ist. Die Klagepartei genügt mithin nicht der ihr obliegenden Darlegungs- und Beweislast. Darüber hinaus kommt auch eine Anwendung von § 287 ZPO dann nicht in Betracht, wenn die jeweiligen Grundlagentatsachen für eine Ausübung des richterlichen Ermessens nicht schlüssig dargelegt sind. |
| NEU LG Hanau Urt. v. 11.6.2024 – 9 O 1424/23 | 0 EUR Dem Kl. steht insbesondere kein Anspruch auf Zahlung von Schadensersatz für einen immateriellen Schaden aus Art. 82 Abs. 1 DS-GVO oder einer anderen Anspruchsgrundlage zu. Die Voraussetzungen eines Verstoßes gegen die DS.GVO und den Eintritt eines Schadens hat grds. die anspruchstellende Klägerseite zu beweisen. Die DS-GVO enthält kein Beweisrecht; es gelten insoweit die Beweisregeln des jeweiligen nationalen Prozessrechts. Auch aus dem Umstand, dass typischerweise der Betroffene keinen Einblick in die Verarbeitungsabläufe von Verantwortlichen und Auftragsverarbeitern hat, sind keine Beweislastumkehr oder Beweiserleichterungen herzuleiten. Der Umstand mangelnden Einblicks des Anspruchstellers in interne Vorgänge beim Anspruchsgegner ist eine generelle Erscheinung und nicht kennzeichnend gerade für das Verhältnis von Betroffenem und Verpflichtetem iSd DS-GVO. Auf dieser Grundlage wird es einem durch einen potenziellen Datenschutzverstoß Geschädigten dennoch nicht unmöglich gemacht oder übermäßig erschwert, seinen Anspruch durchzusetzen. Eine sekundäre Darlegungslast trifft den Prozessgegner der primär darlegungsbelasteten Partei, wenn diese keine nähere Kenntnis der maßgeblichen Umstände und auch keine Möglichkeit zur weiteren Sachaufklärung hat, während der Bestreitende alle wesentlichen Tatsachen kennt und es ihm unschwer möglich und zumutbar ist, nähere Angaben zu machen. Mehr verlangt der Effektivitätsgrundsatz nicht, ansonsten bestünde eine Art Gefährdungshaftung, die der Verordnungsgeber offensichtlich nicht einführen wollte. Die Bekl. ist dieser sekundären Darlegungslast auch nachgekommen. Das Gericht kann im Ergebnis bereits einen Verstoß gegen die DS-GVO nicht feststellen. Abgesehen davon, dass der Beklagtenvertreter in der mündlichen Verhandlung unwidersprochen darauf hingewiesen hat, dass das dem Kl. bei Abschluss des Mobilfunkvertrags überreichte Datenschutzblatt einen Hinweis auf eine Übermittlung des Vertragsschlusses an die SCHUFA beinhaltet habe, so dass eine Einwilligung im Raum steht, liegt auch ein Verstoß der Bekl. gegen Art. 6 Abs. 1 S. 1 lit. f DS-GVO nach Auffassung des Gerichts nicht vor. Berücksichtigungsfähig ist insoweit grds. jedes rechtliche, wirtschaftliche oder ideelle Interesse, das von der Rechtsordnung gebilligt ist. Diesbezüglich hat die Bekl. dargelegt, dass die Einmeldung zur Verhinderung von Betrugsstraftaten iSd solidarischen Systems der verantwortlichen Kreditvergabe erforderlich sei, zumal die Bekl. nach dem Marktstandard im Mobilfunkbereich, des sog. Postpaid-Vertrags, in Vorleistung treten muss. Im Ergebnis kann es iÜ dahinstehen, ob ein Verstoß gegen die Bestimmungen der DS-GVO vorliegt, denn das Gericht kann jedenfalls nicht feststellen, dass der Kl. einen kausal auf die behaupteten Verstöße zurückzuführenden Schaden erlitten hat. Insofern fehlt es an einem ersatzfähigen Schaden des Kl. iSd Art. 82 Abs. 1 DS-GVO. Es oblag dem Kl., einen über die behaupteten Datenschutzverstöße und über den damit mittelbar einhergehenden Kontrollverlust hinausgehenden immateriellen Schaden in Form einer persönlichen/psychologischen Beeinträchtigung darzulegen. Der von dem Kl. ins Feld geführte völlige Kontrollverlust rechtfertigt als solcher keine Entschädigungsverpflichtung. Der Eintritt des Schadens muss dabei iSd § 287 ZPO als überwiegend wahrscheinlich dargetan werden. Auch wenn der Schadensbegriff iRd DS-GVO weit zu verstehen ist, ist es dem Kl. nicht gelungen, einen solchen hinreichend konkret darzulegen, worauf die Bekl. mehrfach hingewiesen hat. Dabei ist zunächst davon auszugehen, dass der Schaden iSd Art. 82 Abs. 1 DS-GVO nicht bereits in einer Verletzung der DS-GVO als solcher liegt, sondern vielmehr ein auf einem Verstoß gegen die DS-GVO beruhender Schaden darzulegen ist. Das Erfordernis eines zusätzlich zu einem Verstoß gegen die DS-GVO eintretenden Schadens folgt dabei bereits aus dem Wortlaut des Art. 82 Abs. 1 DS-GVO, der davon spricht, dass jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz hat. Die Regelung setzt damit voraus, dass es auch Verstöße geben kann, die nicht in einem Schaden resultieren, und lässt somit erkennen, dass es gerade keinen Gleichklang zwischen einem Verstoß gegen die DS-GVO und dem immateriellen Schaden gibt. In dem Erwägungsgrund 146 S. 3 DS-GVO heißt es zwar, dass der Begriff des Schadens im Lichte der Rspr. des Gerichtshofs weit auf eine Art und Weise ausgelegt werden soll, die den Zielen der Verordnung in vollem Umfang entspricht. Auch hiernach ist der Schaden jedoch nicht mit der zugrundeliegenden Rechtsgutsverletzung gleichzusetzen. Denn ausdrücklich muss der Schaden „erlitten“ werden, woraus folgt, dass dieser tatsächlich entstanden sein muss und nicht lediglich befürchtet wird. Der bloße Verstoß gegen Bestimmungen der DS-GVO reicht daher nicht aus. Das Erfordernis des Nachweises eines tatsächlich erlittenen Schadens ist zudem auch der Sache nach erforderlich, um ein vom Verordnungsgeber nicht gewolltes Ausufern von Schadensersatzforderungen in allen Fällen eines – tatsächlich für den Betroffenen folgenlosen – Datenschutzverstoßes zu vermeiden. Eine Erheblichkeitsschwelle für das Vorliegen eines solchen Schadens ergibt sich zwar aus der DS-GVO nicht, so dass Bagatellschäden nicht grds. auszuschließen sind. Zu verlangen ist aber jedenfalls, dass ein konkreter immaterieller Schaden auch tatsächlich eingetreten („entstanden“) ist. Diesen muss der Kl. darlegen und ggf. beweisen. Etwas Anderes ergibt sich auch nicht aus der Entscheidung des EuGH v. 14.12.2023 - C-340/21 [= ZD 2024, 150 mAnm Ligocki/Sosna = MMR 2024, 231 mAnm Kohl/Rothkegel], wonach Art. 82 Abs. 1 DS-GVO dahin auszulegen ist, dass der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen die DS-GVO befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden können, einen immateriellen Schaden darstellen kann. Dies bedeutet nicht, dass ein entsprechender Schaden dann in jedem Fall einer „Befürchtung“ quasi automatisch angenommen werden muss. Vielmehr soll das angerufene nationale Gericht, wenn sich eine Person auf die Befürchtung beruft, dass ihre personenbezogenen Daten in Zukunft aufgrund eines solchen Verstoßes missbräuchlich verwendet werden, gehalten sein zu prüfen, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann. Der EuGH hat darüber hinaus bestätigt, dass die betroffene Person einen immateriellen Schaden nachweisen muss, und nicht jedes hypothetische Risiko zu einer Entschädigung führen kann. Nachdem das Gericht den Kl. informatorisch angehört hat, gelangt es unter Würdigung des gesamten Prozessstoffes nicht gem. § 286 Abs. 1 S. 1 ZPO zu der Überzeugung, dass die vorgebrachten Befürchtungen des Kl. als begründet angesehen werden könnten und dass dem Kl. durch die Einmeldung von Daten an die SCHUFA ein immaterieller kausaler Schaden entstanden sein könnte. Der Kl. benennt insoweit als immaterielle Schadenspositionen Ängste, unter denen er leide, die daraus resultierten, dass er einen erheblichen Kontrollverlust über seine Daten erlitten habe und Sorgen in Bezug auf seine Bonität ausgesetzt sei. Das Gericht kann auf dieser Grundlage nicht mit hinreichender Wahrscheinlichkeit davon ausgehen, dass der Kl. tatsächlich einen entsprechenden immateriellen Schaden zur Rechtfertigung eines Schmerzensgeldbegehrens erlitten hat. Bei persönlichen / psychologischen Beeinträchtigungen handelt es sich, soweit – wie hier – keine krankhaften Störungen behauptet werden, um innere Vorgänge. Auf das Vorliegen innerer, dem Beweis nur eingeschränkt zugänglicher Tatsachen kann nur mittelbar aus in der Regel auf äußeren Tatsachen basierenden Indizien geschlossen werden. Konkretindividueller Vortrag dazu, wann, wie häufig und auf welchem Weg der Kl. konkret von negativen Auswirkungen betroffen war, und wie er darauf jeweils reagiert hat, enthält der schriftliche Klagevortrag nicht. Es entspricht auch schon nicht der allgemeinen Lebenserfahrung, dass eine Datenübertragung bzgl. eines Mobilfunkvertrags an die SCHUFA, auch wenn sie ungewollt erfolgt ist, regelmäßig/erfahrungsgemäß zu persönlichen/psychologischen Beeinträchtigungen führt. Es ist vielmehr nicht nachvollziehbar, warum die Tatsache des Bestehens eines Mobilfunkvertrages einen negativen Einfluss auf eine mögliche Bonität des Kl. haben soll und die Übermittlung ein negatives Gefühl auslösen sollte, denn das Bestehen eines Mobilfunkvertrages betrifft die Mehrheit aller Bürger und stellt per se keine Tatsache dar, aus der negative Schlüsse gezogen werden könnten. Etwas Anderes folgt auch nicht aus der persönlichen Anhörung des Kl. in der mündlichen Verhandlung. Im Rahmen seiner persönlichen Anhörung hat der Kl. mitgeteilt, er sei generell kein „Fan“ davon, dass Daten herausgegeben werden. Er erhalte nach Kenntniserlangung von der Datenübertragung an die SCHUFA vermehrt Spam-E-Mails und ähnliche unerwünschte Kontaktversuche, die er einem Verhalten der Bekl. zuschreibt, weil er seine Telefonnummer ansonsten, etwa bei der Benutzung von social media, nicht angegeben habe. Weitere Beeinträchtigungen seines Lebens hat der Kl. ausdrücklich verneint. Sorgen in Bezug auf seine Bonität oder gar Existenzängste, wie die Klageschrift sie pauschal in den Raum stellt, hat der Kl. gerade nicht bestätigt. Auch nach dem persönlichen Eindruck des Gerichts in der mündlichen Verhandlung wirkte der Kl. nicht ängstlich oder in relevanter Form psychisch durch die Einmeldung des Abschlusses seines Mobilfunkvertrags beeinträchtigt. Soweit der Kl. eine Zunahme von Spam-E-Mails u.ä. angibt, ist nicht ersichtlich, wie diese auf die hier streitgegenständliche Einmeldung bei der SCHUFA zurückzuführen sein soll, die keine allgemeine Veröffentlichung beinhaltet. Auf dieser Grundlage kann das Gericht eine zum Schadensersatz berechtigende Einwirkung auf den Kl. nicht erkennen. Bloße negative Gefühle wie Unmut, Unzufriedenheit, Sorge und Angst, die an sich Teil des allgemeinen Lebensrisikos und oft des täglichen Erlebens sind, können Grundlage für einen Schadensersatzanspruch jedenfalls dann nicht berechtigtermaßen sein, wenn – wie hier – kein Einfluss auf die Lebensführung ersichtlich ist und damit kein konkreter Rückschluss von äußeren Umständen auf diese inneren Tatsachen gezogen werden kann. Schließlich hat der Kl. auch die erforderliche Kausalität zwischen dem behaupteten Verarbeitungsverstoß und einem vermeintlichen immateriellen Schaden nicht dargelegt und bewiesen. Auch insoweit trifft der Kl. die volle Darlegungs- und Beweislast. Es gilt für die hier betroffene Frage der haftungsbegründenden Kausalität § 286 ZPO. Eine Zunahme von Spam-E-Mails u.ä. kann – wie oben dargelegt – auf eine Einmeldung bei der SCHUFA nicht nachvollziehbar zurückgeführt werden. Unklar bleibt zudem, wie und wo der Kl. ansonsten im Internet aktiv war; so nutzt er etwa auch social media. Spam-Emails etc werden iRd Nutzung moderner Technologien iÜ praktisch von jedem erhalten, wobei die Empfindung eines erhöhten Aufkommens bei dem Kl. auch dadurch ausgelöst worden sein kann, dass er – wie er selbst für möglich gehalten hat – infolge der Kenntnis von dem streitgegenständlichen Sachverhalt ein höheres Bewusstsein hierfür entwickelt hat. Der Bonitätsscore des Kl. betrug 99,11%, so dass auch insoweit keine negativen Konsequenzen ersichtlich sind. Das Gericht ist auch nicht davon überzeugt, dass der Kl. irgendwelche Komfort- und Zeiteinbußen im Zusammenhang mit der streitgegenständlichen Einmeldung erlitten hat. Er musste sich nicht selbst mit der Bekl. auseinandersetzen oder irgendwelche Nachforschungen anstellen. Nach alledem kann das Gericht einen für den Kl. konkret entstandenen immateriellen Schaden nicht erkennen (§ 287 Abs. 1 ZPO). |
| NEU LG Ellwangen Urt. v. 10.6.2024 – 6 O 17/24 | 0 EUR Der Kl. hat gegen die Bekl. keinen Anspruch auf Schadensersatz aus Art. 82 DS-GVO. Die beanstandete Übermittlung von Positivdaten war von Art. 6 Abs. 1 S. 1 lit. f DS-GVO gedeckt. Das Gericht schließt sich der Auffassung an, wonach die Interessen der Bekl. den Vorrang haben. Ein milderes Mittel ist mit der zutreffenden Argumentation des LG Gießen nicht ersichtlich. Jedenfalls hat der Kl. keinen Schaden dargetan. Die Beweislast für das Vorliegen eines materiellen oder immateriellen Schadens trägt der Kl. als Anspruchsteller. Die von einem Verstoß gegen die DS-GVO betroffene Person muss den Nachweis führen, dass die geltend gemachten Folgen einen immateriellen Schaden iSd Verordnung darstellen. Die Worte „materieller oder immaterieller Schaden“ verweisen dabei nicht auf das Recht der Mitgliedstaaten, weshalb sie als autonome Begriffe des Unionsrechts anzusehen und in allen Mitgliedstaaten einheitlich auszulegen sind und eine einheitliche unionsrechtliche Definition erhalten müssen. Da ein bloßer Verstoß gegen die DS-GVO nicht ausreicht, muss konkret festgestellt werden, dass die (vom Anspruchssteller zu beweisenden) Folgen einen Schaden darstellen. Für das Vorliegen eines Schadens besteht keine Erheblichkeits- oder Bagatellschwelle, weil der Wortlaut von Art. 82 Abs. 1 DS-GVO keine entsprechende Einschränkung enthält, S. 3 des 146. Erwägungsgrundes eine weite Auslegung des Schadensbegriffs verlangt, die Beschränkung auf Schäden mit einer gewissen Erheblichkeit aber hierzu im Widerspruch steht und nach S. 3 des Erwägungsgrundes 146 den Zielen der DS-GVO bei der Definition des Begriffs „Schaden“ „den Zielen dieser Verordnung in vollem Umfang“ zu entsprechen ist. Wegen fehlender unionsrechtlicher Vorschriften liegt die Festlegung der Kriterien für die Ermittlung des Umfangs des im Rahmen von Art. 82 Abs. 1 DS-GVO geschuldeten Schadensersatzes in der Aufgabe des jeweiligen Mitgliedsstaats, wobei der Äquivalenz- und Effektivitätsgrundsatz zu beachten sind. Ein bloß abstrakter Kontrollverlust genügt nicht. Der schriftsätzliche Vortrag des Kl. hierzu ist unzureichend. Der Kl. hat inhaltlich lediglich abstrakt und damit nicht ausreichend substantiiert für den konkreten Einzelfall vorgetragen, es bestehe aufgrund der Wichtigkeit des S.-Scorings für die Bonität und aufgrund der Undurchsichtigkeit der Auswirkungen der gemeldeten Positivdaten auf die S.-Bewertung ein erheblicher Kontrollverlust mit großem Unwohlsein und großer Sorge. Er empfinde Stress, Unruhe und allgemeines Unwohlsein. Er fühle sich in der freien Entscheidung im Hinblick auf Vertragsschlüsse behindert, was seine freie Entfaltungsmöglichkeit untergrabe. Die Anhörung des Kl. konnte nicht zu einer Überzeugungsbildung dahingehend führen, dass der Kl. tatsächlich immaterielle Beeinträchtigungen erlitten hat. Der Kl. hat in der mündlichen Verhandlung im Wesentlichen lediglich geschildert, dass er generell der Meinung sei, dass eine Übermittlung des Abschlusses des Mobilfunkvertrages an die S. nicht hätte stattfinden dürfen. Er ärgere sich darüber, dass er im beruflichen Umfeld mit Daten vorsichtig umgehen müsse, die Bekl. hingegen einfach ohne unübersehbaren Hinweis Daten an die S. übermittelt habe. Der Kl. war im Rahmen seiner Anhörung nicht in der Lage, tatsächliche und echte immaterielle Beeinträchtigungen zu schildern, etwa Angstgefühle, seelisches Leid, seelische Auswirkungen, psychische Beeinträchtigungen oder auch nur ein irgendwie geartetes Unwohlsein infolge der Datenübermittlung. Soweit er auf Angststörungen hinwies, bestanden diese nach seinem Vortrag bereits lange vor dem hier streitgegenständlichen Vorfall. Auch wenn nach den Vorgaben des Europäischen Gerichtshofs eine Erheblichkeits- oder Bagatellschwelle nicht angenommen werden darf, genügen die klägerseits geschilderten Gefühle nicht zur Bejahung einer immateriellen Beeinträchtigung. Es handelt sich um (negative) Gefühle des Ärgers, die Teil des allgemeinen Lebensrisikos und des täglichen Erlebens sind, die aber noch keine Beeinträchtigung des Seelenlebens oder der Lebensqualität darstellen, die einen immateriellen Schaden iSd Art. 82 DS-GVO begründen könnten. Der Feststellungsantrag zur Schadensersatzpflicht nach Art. 82 DS-GVO ist unbegründet. Der Anspruch auf Feststellung beim Schmerzensgeld als immaterieller Schaden ist begründet bei einer nicht eben entfernt liegenden Möglichkeit künftiger Verwirklichung der Schadensersatzpflicht durch das Auftreten weiterer, bisher noch nicht voraussehbarer und erkennbarer Leiden oder bei einer noch nicht abschließend überschaubaren weiteren Entwicklung des Krankheitsverlaufs. Die Feststellungsklage ist bei noch nicht voraussehbaren und erkennbaren weiteren Beeinträchtigungen oder bei einer noch nicht abschließend überschaubaren weiteren Entwicklung begründet. |
| NEU LG Mannheim Urt. v. 7.6.2024 – 9 O 381/23 | 0 EUR Der Kl. kann von der Bekl. nicht den Ersatz eines immateriellen Schadens aus Art. 82 Abs. 1 DS-GVO verlangen, denn die Voraussetzungen der Vorschrift liegen hier nicht vor. Vorausgesetzt ist gem. Art. 82 Abs. 2 S. 1 DS-GVO eine Verarbeitung personenbezogener Daten unter Verstoß gegen die Bestimmungen der DS-GVO, ein dem Betroffenen entstandener Schaden und ein Kausalzusammenhang zwischen der rechtswidrigen Verarbeitung und dem Schaden. Es kann dahinstehen, ob die Voraussetzungen nach Art. 6 Abs. 1 Buchstabe f DS-GVO vorliegend erfüllt waren, denn jedenfalls liegt kein kausaler Schaden vor. Der Kl. beschreibt mit den Folgen des von ihm befürchteten Kontrollverlusts negative Folgen, nicht aber einen immateriellen Schaden. Die weitere Aufklärung iRd informatorischen Anhörung führt zu keiner anderen Beurteilung. Die von dem Kl. geschilderten negativen Erfahrungen mit S.-Einträgen liegen lange zurück und betreffen die Zeit, als er mit 18 oder 19 Jahren versuchte, einen Autokredit aufzunehmen. Nach der Meldung des Mobilfunkvertrages 2021 hat der Kl. einen Autokredit 2022 erhalten. Die Befürchtung, die Mitteilung, einen Mobilfunkvertrag zu unterhalten, könne sich negativ auf eine künftige Immobiliensuche und -finanzierung auswirken, ist nicht nachvollziehbar und wird auch vom Kl. nicht ernsthaft gehegt, denn er geht selbst davon aus, dass es nicht ungewöhnlich ist, einen Mobilfunkvertrag zu unterhalten. Ein Anspruch auf Unterlassung der Übermittlung von Daten an Dritte kann auch nicht aus Art. 82 DS-GVO iVm § 249 Abs. 1 BGB hergeleitet werden, denn die Schadensrestitution würde sich nur auf die Beseitigung bereits erfolgter Datenweitergaben, nicht aber auf die Unterlassung künftiger Datenübermittlungen richten. |
| NEU LG Augsburg Endurt. v. 6.6.2024 – 114 O 4038/23 | 0 EUR Das Gericht sieht bereits keinen Verstoß der Beklagtenseite gegen Art. 6 Abs. 1 bzw. Art. 5 Abs. 1 lit. a DS-GVO, da die von der Bekl. vorgenommene Datenübermittlung nach der gem. Art. 6 Abs. 1 lit. f DS-GVO vorzunehmenden Interessenabwägung gerechtfertigt ist. Soweit die Kl. immateriellen Schadensersatz geltend macht, ist darüber hinaus auch ein ersatzpflichtiger Schaden nicht hinreichend substantiiert dargetan. Der Vortrag, dass sich unmittelbar nach Erhalt der SCHUFA-Mitteilung ein Gefühl des Kontrollverlusts und der großen Sorge, insb. auch im Hinblick auf die eigene Bonität, eingestellt habe, dieses von der Angst geprägt gewesen sei, einer unberechtigten Übermittlung an eine Auskunftei wie die SCHUFA ausgesetzt zu sein, und dies die Klagepartei bis zum heutigen Tag beunruhige, weshalb sie mit der ständigen Angst vor unangenehmen Rückfragen in Bezug auf die eigene Bonität, das allgemeine Verhalten im Wirtschaftsverkehr oder einer Verfälschung des SCHUFA-Scores lebe, erfolgte offensichtlich ohne hinreichende Tatsachengrundlage rein ins Blaue hinein. Die Kl. schilderte im Rahmen ihrer informatorischen Anhörung zwar Verärgerung über das Verhalten der Bekl. und darüber, immer wieder Spam-Anrufe zu erhalten, aber keinerlei Beunruhigung hinsichtlich der eigenen Bonität. Sie bestätigte darüber hinaus auf Nachfrage, von ihren Parteivertretern nach derartigen Gefühlen und Ängsten nie gefragt worden zu sein. Auf den erstmals in der mündlichen Verhandlung vorgebrachten neuen Vortrag, die Kl. leide an einer Depressionserkrankung, welche auf den Erhalt der SCHUFA-Mitteilung zurückzuführen oder durch diese jedenfalls verschlimmert worden sei, war bereits deshalb nicht mehr einzugehen, weil dieses Vorbringen gem. § 296 Abs. 1 ZPO verspätet ist. Es ist kein Grund ersichtlich, weshalb dieses Vorbringen nicht bereits in der Klageschrift hätte erfolgen können. Die Einholung der von der Kl. im Termin angebotenen und aufgrund des Bestreitens der Beklagtenseite erforderlichen Beweismittel hätte den Rechtsstreit erheblich verzögert. |
| NEU LG Leipzig Urt. v. 6.6.2024 – 04 O 2394/23 | 0 EUR Die Kl. hat gegen die Bekl. keinen Anspruch aus Art 82 Abs. 1 DS-GVO auf Schadensersatz. Der Kl. ist nicht wegen eines Verstoßes gegen die DS-GVO ein materieller oder immaterieller Schaden entstanden. Die für den Eintritt eines Schadens beweisbelastete Kl. hat nicht ausreichend dargelegt und bewiesen, dass ihr durch die am 08.08.2021 von der Bekl. erfolgten Übermittlung der Einmeldungen der Vertragsdaten des mit der Bekl. geschlossenen Mobilfunkvertrags ein behaupteter immaterieller Schaden entstanden ist. Nach dem EuGH ist Art. 82 Abs. 1 DS-GVO dahin auszulegen, dass ein Verstoß gegen Bestimmungen dieser Verordnung, die der betroffenen Person Rechte verleihen, für sich genommen nicht ausreicht, um unabhängig vom Schweregrad des von dieser Person erlittenen Schadens einen „immateriellen Schaden“ iSd Bestimmung darzustellen. Der EuGH führt in dieser Entscheidung aus, dass die Person, die auf der Grundlage von Art. 82 Abs. 1 DS-GVO den Ersatz eines immateriellen Schadens verlangt, nicht nur den Verstoß gegen Bestimmungen dieser Verordnung nachweisen, sondern auch, dass ihr durch diesen Verstoß ein solcher Schaden entstanden ist. Hierzu ist nach dem EuGH festzustellen, dass der Gerichtshof Art. 82 Abs. 1 DS-GVO dahin ausgelegt hat, dass er einer nationalen Vorschrift oder Praxis entgegensteht, die den Ersatz eines immateriellen Schadens im Sinne dieser Bestimmung davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen gewissen Schweregrad erreicht hat, wobei er hervorgehoben hat, dass diese Person gleichwohl den Nachweis erbringen muss, dass ihr durch den Verstoß gegen diese Verordnung ein solcher immaterieller Schaden entstanden ist. Selbst wenn die verletzte Bestimmung der DS-GVO natürlichen Personen Rechte gewähren sollte, kann ein solcher Verstoß für sich genommen keinen „immateriellen Schaden“ iSd Verordnung darstellen. Gemessen an diesen Grundsätzen ist davon auszugehen, dass die Kl. für den geltend gemachten Schadensersatz beweisen muss, dass ihr durch die Übermittlung der Vertragsdaten der behauptete immaterielle Schaden entstanden sei. Dies ist ihr nicht gelungen. |
| NEU LG Frankenthal Urt. v. 4.6.2024 – 3 O 300/23 = ZD 2025, 44 | 0 EUR Die Kl. haben darüber hinaus keinen Anspruch gegen die Bekl. auf Zahlung eines Schmerzensgeldes iHv mindestens 1.000 EUR gem. Art. 82 Abs. 1 DS-GVO. Für die Begründung eines solchen Anspruchs durch Art. 82 Abs. 1 DS-GVO bedarf es zum einen eines einschlägigen Verstoßes gegen die Verordnung, dies genügt aber nicht, sondern es muss auch ein konkreter immaterieller Schaden dargelegt und bewiesen werden. Vorliegend lässt sich zwar ein Verstoß gegen die Vorschriften der DS-GVO feststellen, dieser ist jedoch für den behaupteten immateriellen Schaden der Kl. nicht kausal geworden. IÜ fehlt es auch an der Darlegung eines tatsächlich entstandenen immateriellen Schadens der Kl. Die Bekl. hat vorliegend ausschließlich gegen Art. 7 Abs. 3 S. 3 DS-GVO verstoßen; weitere Verstöße liegen nicht vor. Es fehlt darüber hinaus an einem materiellen Schaden der Kl.. Hinsichtlich des Verstoßes gegen Art. 7 Abs. 3 S. 3 DS-GVO scheitert der von Klägerseite geltend gemachte Anspruch auf Schmerzensgeld bereits daran, dass der Verstoß nicht kausal für den behaupteten Schaden der Kl. war. Denn für das Vorliegen von Kausalität hätte es der Darlegung bedurft, dass die Kl. bereits zu einem früheren Zeitpunkt von ihrem Widerrufsrecht Gebrauch gemacht hätten, wären sie von der Bekl. über das Bestehen eines solchen ordnungsgemäß belehrt worden. An entsprechendem Vortrag hierzu fehlt es gänzlich. Eines entsprechenden gerichtlichen Hinweises bedurfte es zudem nicht, da unter Berücksichtigung der eigenen Angaben der Kl. in der mündlichen Verhandlung vom 30.04.2024 gerade nicht davon ausgegangen werden kann, dass ein Widerruf tatsächlich früher erklärt worden wäre. Denn die Kl. gaben insofern an, dass sie bei Fertigung der Lichtbildaufnahmen sowohl mit deren Erstellung als auch mit deren nachträglicher Nutzung zu Zwecken des Hausverkaufs einverstanden gewesen seien und dass sie erst nach Ansprache von mehreren, sowohl bekannten als auch ihnen unbekannten Personen über die Einsichtnahme Fremder in ihre Wohnräumlichkeiten erschrocken gewesen seien. Insofern ist der maßgebliche Anlass für den Entschluss der Kl., von der Veröffentlichung der Lichtbildaufnahmen ihrer Räumlichkeiten Abstand zu nehmen, die Ansprache durch Dritte auf ihre Wohnsituation, weshalb bis zu diesem Zeitpunkt ein Widerruf ohnehin nicht erfolgt wäre. Darüber hinaus ist jedoch auch nicht ersichtlich, welcher spezifische Schaden den Kl. gerade aus der verspäteten - tatsächlich nicht erfolgten - Erklärung des Widerrufs entstanden sein soll. Unabhängig davon haben die Kl. jedoch letztlich auch nicht dargelegt, dass ihnen überhaupt ein materieller oder immaterieller Schaden entstanden ist. Nach jüngster Rspr. des EuGH reicht es insofern nicht aus, dass ein bloßer Verstoß des Verantwortlichen gegen die Vorschriften der DS-GVO vorliegt, da das Vorliegen eines materiellen oder immateriellen Schadens nach dem Wortlaut des Art. 82 Abs. 1 DS-GVO ebenso Voraussetzung für das Vorliegen des Schadensersatzanspruches ist. Mithin bedarf es der schlüssigen Darlegung eines über den Datenschutzverstoß hinausgehenden immateriellen Schadens in Form einer persönlichen und/oder psychologischen Beeinträchtigung aufgrund des entsprechenden Datenschutzverstoßes. Bei persönlichen und psychologischen Beeinträchtigungen handelt es sich, soweit – wie hier – keine krankhaften Störungen behauptet werden, um innere Vorgänge. Auf das Vorliegen innerer, dem Beweis nur eingeschränkt zugänglicher Tatsachen kann dabei nur mittelbar aus in der Regel auf äußeren Tatsachen basierenden Indizien geschlossen werden. Mit Blick auf die subjektiven Folgen eines Datenschutzverstoßes im Einzelfall ist es deshalb ausreichend, aber auch erforderlich, dass der Betroffene Umstände darlegt, in denen sich seine erlebten Empfindungen widerspiegeln, und dass nach der Lebenserfahrung der Datenschutzverstoß mit seinen Folgen Einfluss auf das subjektive Empfinden hat. Im Hinblick hierauf fehlt es an einer hinreichenden Schadensdarlegung durch die Kl. Die Angaben der Klägerseite, sie seien durch die Veröffentlichung der Fotos sozusagen „demaskiert“ worden, weshalb ein diffuses Gefühl des Beobachtetseins entstanden sei, reicht in dieser pauschalen Form zur Darlegung persönlich belastender Folgen der Datenschutzverletzung nicht aus, weil hiermit nicht genug Beweisanzeichen objektiver Art vorgetragen sind, in denen sich entsprechende Gefühle der Kl., die zudem nicht einmal ansatzweise beschrieben sind, widerspiegeln. Diesbezügliche Bedenken hatte das Gericht unter in Bezug genommener Rspr. des EuGH auch iRd Erörterung mit den Parteien geäußert. Dass dies keinen Eingang ins Protokoll gefunden hat, beruht lediglich auf einem Versehen. |
| LG Traunstein Urt. v. 3.6.2024 – 9 O 2353/23 = ZD 2024, 737 | 0 EUR Die Klagepartei hat keinen Anspruch auf Schmerzensgeld aus Art. 82 Abs. 1 DS-GVO. Das LG Frankfurt/M. hat zu einem solchen Anspruch in einem Parallelverfahren mit vergleichbarem Sachverhalt in seinem Urt. v. 19.3.2024 - 10 O 691/23 Rn. 19–23, 25), zutreffend Folgendes ausgeführt: „Es kann dahinstehen, ob ein Verstoß gegen die Bestimmungen der DS-GVO vorliegt. Denn das Gericht kann nicht feststellen, dass der Kl. einen kausal auf die behaupteten Verstöße zurückzuführenden Schaden erlitten hat. Nach allgemeinen Grundsätzen obliegt es dem Kl., die Mitursächlichkeit darzulegen und ggf. zu beweisen. Der EuGH hat am 4.5.2023 entschieden, dass Art. 82 DS-GVO dahin auszulegen ist, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadensersatzanspruch zu begründen. Es geht aus dem Wortlaut von Art. 82 Abs. 1 DS-GVO klar hervor, dass das Vorliegen eines ‚Schadens‘ eine der Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadensersatzanspruch darstellt, ebenso wie das Vorliegen eines Verstoßes gegen die DS-GVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind. Daher kann nicht davon ausgegangen werden, dass jeder Verstoß gegen die Bestimmungen der DS-GVO für sich genommen den Schadensersatzanspruch der betroffenen Person iSv Art. 4 Nr. 1 DS-GVO eröffnet. Eine solche Auslegung liefe dem Wortlaut von Art. 82 Abs. 1 DS-GVO zuwider. Ein abstrakter ‚Kontrollverlust‘ reicht allein für einen immateriellen Schaden iSd Art. 82 DS-GVO nicht aus, für eine darüberhinausgehende Beeinträchtigung trägt der Anspruchsteller die Beweislast. Die Darlegungslast für den Eintritt des konkreten immateriellen Schadens liegt jedoch beim Betroffenen und kann bei behaupteten persönlichen/psychologischen Beeinträchtigungen nur durch die Darlegung konkret-individueller – und nicht wie hier in einer Vielzahl von Fällen gleichartiger - dem Beweis zugänglicher Indizien erfüllt werden. Dass bloße negative Gefühle wie Unmut, Unzufriedenheit, Sorge und Angst, die an sich Teil des allgemeinen Lebensrisikos und oft des täglichen Erlebens sind, Grundlage für einen Schadensersatzanspruch sein können, hält das Gericht jedenfalls dann für nicht gerechtfertigt, wenn -wie hier – kein Einfluss auf die Lebensführung ersichtlich und damit ein konkreter Rückschluss von äußeren Umständen auf diese inneren Tatsachen nicht möglich ist.“ Diesen überzeugenden Ausführungen schließt sich die Kammer an. Vorliegend stellen sich zudem erhebliche Zweifel an einem immateriellen Schaden des Kl. auch deshalb, weil er im Rahmen seiner informatorischen Anhörung angegeben hat, dass er sich gedacht hat, „wenn die Kanzlei das dann anschieben will, dass ich dann da mit dabei bin.“ Bestimmend für die Klage scheint nicht die Sorge um seine Daten, sondern ein anderes Ziel zu sein. Insb. auch weil die Klagepartei nicht angeben konnte, welche Daten überhaupt konkret weitergegeben wurde, konnte sich das Gericht keine Überzeugung davon bilden, dass ein immaterieller Schaden bei ihr eingetreten ist. Eine irgendwie geartete spürbar tatsächliche Beeinträchtigung persönlichkeitsbezogener Belange von einigem Gewicht hat der Kl. nicht dargetan und ist für das Gericht nicht ansatzweise erkennbar. |
| NEU LG Gießen Urt. v. 31.5.2024 – 9 O 530/23 | 0 EUR Dem Kl. steht kein Anspruch auf Zahlung eines immateriellen Schadensersatzes aus Art. 82 Abs. 1 DS-GVO oder einer anderen denkbaren Anspruchsgrundlage gegen die Bekl. zu. Der allein vom Kl. vorgetragene und aus dem Vortrag ersichtliche Verstoß der Bekl. gegen Art. 6 Abs. 1 S. 1 lit. f DS-GVO liegt nicht vor. IÜ mangelt es an einem ersatzfähigen Schaden des Kl. iSd Art. 82 Abs. 1 DS-GVO. Das Merkmal des immateriellen Schadens ist autonom auszulegen. Erwägungsgrund 146 (und in diesem S. 3) zur DS-GVO sieht vor, dass der Begriff des Schadens im Lichte der Rspr. des EuGH weit auf eine Art und Weise ausgelegt werden soll, die den Zielen dieser Verordnung in vollem Umfang entspricht. Erwägungsgrund 75 zur DS-GVO nennt etwa Identitätsdiebstahl, finanzielle Verluste, Rufschädigung oder den Verlust der Kontrolle personenbezogener Daten. Ein deutsches Verständnis zum Begriff des Schadens – etwa eine enge Auslegung – ist mithin nicht angezeigt. Eine Erheblichkeitsschwelle für das Vorliegen eines solchen Schadens ergibt sich gerade nicht aus der DS-GVO. Bagatellschäden sind nicht auszuschließen. Zu verlangen ist aber jedenfalls, dass ein konkreter immaterieller Schaden auch tatsächlich eingetreten („entstanden“) ist. Diesen muss der Kl. darlegen und ggf. beweisen. Auch unter Berücksichtigung eines weiten Verständnisses des immateriellen Schadens, das ausdrücklich auch Bagatellschäden einschließt, vermag der formelhafte nicht individuelle Vortrag, das Tatbestandsmerkmal des Schadens nicht schlüssig auszufüllen. Die Behauptung, beim Kl. habe sich nach Erhalt der 5 Seiten langen Auskunft der SCHUFA-Holding AG mit 14 Einträgen, davon Eintragungen über Zahlungsstörungen, ein Gefühl des Kontrollverlustes und der großen Sorge, insb. auch in Bezug auf die Bonität, aufgrund der Positivmitteilung der Bekl. und nicht etwa aufgrund der anderen – auch negativen – Eintragungen eingestellt, ist nicht nachvollziehbar. Der Kl. hat in der Vergangenheit andere Verbindlichkeiten nicht bedient. Aus diesen Grund ist seine Bonität schlecht. Es ist nicht ersichtlich, dass die Meldung der Bekl. im konkreten Fall geeignet gewesen wäre, die Bonität des Kl. zu verschlechtern. Zumal er erklärtermaßen seinen Zahlungsverpflichtungen in Bezug auf den Vertrag mit der Bekl. stets nachgekommen ist. |
| NEU LG Ulm Urt. v. 27.5.2024 – 2 O 8/24 = ZD 2024, 738 | 0 EUR Die Klagepartei hat keinen Schadensersatzanspruch gegen die Bekl. gem. Art. 82 Abs. 1 DS-GVO, da eine tatsächliche immaterielle Beeinträchtigung der Klagepartei nicht feststellbar war. Nach der informatorischen Anhörung der Klagepartei in der mündlichen Verhandlung vom 08.05.2024 konnte keine Überzeugung dahingehend gebildet werden, dass die Klagepartei eine Beeinträchtigung erlitten hat, die einen immateriellen Schaden begründet. Art. 82 DS-GVO erfasst auch immaterielle Schäden. Der EuGH hat mit Urt. v.4.5.2023 vorgegeben, dass die Worte „materieller oder immaterieller Schaden“ nicht auf das Recht der Mitgliedstaaten verweisen, weshalb sie als autonome Begriffe des Unionsrechts anzusehen und in allen Mitgliedstaaten einheitlich auszulegen sind und eine einheitliche unionsrechtliche Definition erhalten müssen. Da ein bloßer Verstoß gegen die DS-GVO nicht ausreicht, muss konkret festgestellt werden, dass die – vom Anspruchssteller zu beweisenden – Folgen einen Schaden darstellen. Für immateriellen Schaden kann allgemein ausgeführt werden, dass auch insoweit Verletzungen und Beeinträchtigungen des Persönlichkeitsrechts gemeint sind. Als materielle oder immaterielle Schäden kann angesehen werden, wenn die Verarbeitung zu einer Diskriminierung, einem Identitätsdiebstahl oder -betrug, einem finanziellen Verlust, einer Rufschädigung, einem Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten, der unbefugten Aufhebung der Pseudonymisierung oder anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen führen kann, wenn die betroffenen Personen um ihre Rechte und Freiheiten gebracht oder daran gehindert werden, die sie betreffenden personenbezogenen Daten zu kontrollieren. Es kann darauf abgestellt werden, dass die Verletzung einen physischen, materiellen oder immateriellen Schaden für natürliche Personen nach sich ziehen muss. Der Begriff des Schadens soll weit ausgelegt werden, die betroffene Person soll einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten. Art. 82 DS-GVO kommt insoweit auch eine Kompensationsfunktion zu. Eine wirtschaftliche Betrachtung zur Ermittlung des immateriellen Schadens verbietet sich. Da der Schaden ausdrücklich „erlitten“ werden muss und nach dem Wortlaut von Art. 82 Abs. 1 DS-GVO verlangt wird, dass der Schaden „entstanden ist“, ist erforderlich, dass dieser tatsächlich entstanden sein muss und nicht lediglich befürchtet wird. Angesichts der weiten Formulierungen der Erwägungsgründe kann ggf. beim tatsächlichen Vorliegen entsprechender immaterieller Beeinträchtigungen ein entsprechender Schaden anzunehmen sein. In der mit dem eingetretenen Verlust der Datenkontrolle verbundenen seelisch belastenden Ungewissheit über das Schicksal ihrer Daten kann ein immaterieller Schaden iSv Art. 82 Abs. 1 DS-GVO liegen. Hierzu ist weiter auszuführen, dass mit dem Begriff des immateriellen Schadens in den meisten Rechtsordnungen Schäden wie seelisches Leid oder Beeinträchtigungen der Lebensqualität erfasst werden und der EuGH ein vergleichbares Schadensverständnis auch für das Unionsprimärrecht vertritt. Der Gerichtshof verlangt zwar, dass ein Schaden tatsächlich und sicher sein muss auch ein lang anhaltender Zustand belastender Ungewissheit kann aber bereits einen immateriellen Schaden darstellen. Europarechtlich genügt eine immaterielle Beeinträchtigung, wozu auch der Verlust der Vertraulichkeit und (jedenfalls) der konkret eingetretene Verlust der Kontrolle bezüglich der relevanten personenbezogenen Daten gehört. Doch selbst der Generalanwalt lässt die unspezifische Behauptung, durch den Kontrollverlust einen immateriellen Schaden erlitten zu haben, zu Recht nicht genügen, weil er die Objektivierung einer nachweisbaren Beeinträchtigung verlangt. Insb. stellt er klar, dass die bloße Beunruhigung aus seiner Sicht noch nicht genügt. Ein bloß abstrakter Kontrollverlust genügt danach nicht. Mit Blick auf die subjektiven Folgen eines Datenschutzverstoßes im Einzelfall ist es deshalb ausreichend, aber auch erforderlich, dass der Betroffene Umstände darlegt, in denen sich seine erlebten Empfindungen widerspiegeln, und dass nach der Lebenserfahrung der Datenschutzverstoß mit seinen Folgen Einfluss auf das subjektive Empfinden hat. Mit Urt. v. 4.5.2023 hat der EuGH vorgegeben, dass wegen fehlender unionsrechtlicher Vorschriften die Festlegung der Kriterien für die Ermittlung des Umfangs des im Rahmen von Art. 82 Abs. 1 DS-GVO geschuldeten Schadensersatzes in der Aufgabe des jeweiligen Mitgliedsstaats liegt, wobei der Äquivalenz- und Effektivitätsgrundsatz zu beachten sind. Der Ausgleich immaterieller Schäden nach deutschem Recht stellt neben dem Ausgleich und der Genugtuungsfunktion auch auf präventive Aspekte ab. Bezüglich der Höhe des Schadensersatzes sind bei Beachtung des Äquivalenz- und Effektivitätsgrundsatzes alle Umstände des Einzelfalles zu würdigen, wobei im Rahmen von § 287 ZPO ein weiter Ermessensspielraum besteht. Primärer Maßstab sind die erlittenen Beeinträchtigungen, die Bedeutung und Tragweite des Eingriffs sowie Anlass und Beweggrund des Handelnden. Wegen der generalpräventiven Wirkung des immateriellen Schadensersatzes ist es im Hinblick auf die Ziele der DS-GVO (Art. 1 DS-GVO) geboten, auch kleinere Verstöße ohne Anerkennung einer Bagatellgrenze zu sanktionieren. Die Beweislast für das Vorliegen eines materiellen oder immateriellen Schadens trägt die Klagepartei als Anspruchsteller. In der mündlichen Verhandlung am 08.05.2024 hat die Klagepartei nicht überzeugend dargelegt, dass er aufgrund des Datenlecks unter echten immateriellen Beeinträchtigungen wie zB Angstgefühle, seelisches Leid, seelische Auswirkungen, psychische Beeinträchtigungen oder auch nur ein irgendwie geartetes Unwohlsein infolge der Belästigungen oder eine andere, irgendwie spürbare seelische Beeinträchtigung gelitten hat. Die Klagepartei erzählte bei der Anhörung am 8.5.2024, die Datenspeicherung bei der ... habe keine Auswirkungen für ihn gehabt, es habe ihm aber nicht gefallen, dass hier seine Daten gespeichert werden. Weiter erzählte der Kl., dass die ... seine Bonität in der Auskunft v. 12.10.2023 mit sehr gut bewertet habe. Der Kl. berichtete, es habe ihn beschäftigt, dass seine Daten irgendwo landen und er nicht wisse wo, dies sei aber ein allgemeines Problem und nicht auf diesen Fall bezogen. Auf Frage erklärte die Klagepartei, er habe keine Kenntnis von der Pressemitteilung der ... v. 19.10.2023 gehabt, nach der die ... angekündigt habe, die Positivdaten von Telekommunikationsunternehmen demnächst zu löschen. Auf weitere Nachfrage berichtete die Klagepartei, diese Pressemitteilung sei ihr weder in Klageschrift, der Klageerwiderung und den Anlagen zur Klageerwiderung aufgefallen, er sei diese im Detail nicht so durchgegangen. |
| NEU LG Aachen Urt. v. 25.5.2024 – 12 O 29/24 | 0 EUR Wie LG Aachen Urt. v. 21.5.2024 – 12 O 69/24. |
| NEU LG Freiburg/Br. Urt. v. 24.5.2024 – 8 O 304/23 = ZD 2024, 534 | 0 EUR Die Bemessung des immateriellen Schadensersatzes stellt die Klagepartei zulässig in das Ermessen des Gerichts. Der unbezifferte Klageantrag ist zulässig, wenn statt der Bezifferung mindestens die Größenordnung des Betrags, den der Kl. sich vorstellt, angegeben wird. Dem ist die Klagepartei nachgekommen, indem sie in Klageantrag einen Mindestbetrag iHv 2.500 EUR genannt hat. Es liegt auch keine unzulässige alternative Klagehäufung vor. Ein Schadensersatzanspruch gem. Art. 82 DS-GVO setzt voraus, dass eine Verletzung des Schutzes personenbezogener Daten der Klagepartei vorgelegen hat. Dies erfordert, dass ihr Twitter-Account von dem API-Bug 2021 betroffen gewesen ist und es handelt sich hierbei um eine Frage der haftungsbegründenden Kausalität. Diese Betroffenheit ist von der Klagepartei somit zur vollen Überzeugung des Gerichts mit dem Beweismaß des § 286 ZPO nachzuweisen. Vorliegend hat die Klagepartei diesen Nachweis nicht erbracht. Der Beweisantritt des Kl. besteht darin, dass – was vom Grundsatz her unstreitig ist - die von dem australischen Sicherheitsforscher Tony Hunt betriebene Internetplattform https:///haveibeenpwned.com unter Eingabe der E-Mail-Adresse der Kl. XXXX mitteilt, dass der Kl. vom API-Bug der Bekl. 2021 betroffen sei. Hieraus ergibt sich – jedenfalls im vorliegenden Fall - aber nicht der Vollbeweis, dass die Angaben auf der Internetseite https:///haveibeenpwned.com zutreffend sind und die Kl. von dem API-Bug tatsächlich betroffen ist. |
| NEU LG Traunstein Endurt. v. 22.5.2024 – 6 O 2465/23 | 0 EUR Die Kl. hat keinen Schadensersatzanspruch aus Art. 82 DS-GVO bzw. § 21 AGG oder § 823 Abs. 1 BGB iVm § 249 Abs. 2 S. 1 BGB iHv mindestens 5.000 EUR. Ein Anspruch auf Schadensersatz aus Art. 82 DS-GVO besteht nicht, da die Bekl. keine datenschutzrechtlichen Vorgaben bei ihrem Scoring-Verfahren verletzt hat. Darüber hinaus hat die Kl. ohnehin nicht dargelegt, dass ihr durch die Beauskunftung der Bekl. konkret ein Schaden entstanden ist. Die Kl. ist insoweit darlegungs- und beweispflichtig. Pauschal stützt die Kl. ihren Schadensersatzanspruch auf wirtschaftliche Nachteile aufgrund der Ablehnung von Vertragsabschlüssen infolge der Beauftragung durch die Bekl. Als Beispiel führt die Kl. lediglich wieder die Ablehnung des Kreditantrag durch die ... S.A. an. Trotz entsprechender Ankündigung und obwohl diese Thematik ausführlich in der mündlichen Verhandlung erörtert wurde, hat die Kl. keine weiteren Ablehnungsentscheidungen, bei denen die Auskunft durch die Bekl. maßgeblich für die Entscheidung war, vorgelegt. Auch die als Anlage K 12 war vorgelegte Kreditablehnung kann nach Überzeugung des Gerichts wie bereits ausgeführt nicht wesentlich auf eine entsprechende Auskunft durch die Bekl. gestützt worden, sondern auf negative Erfahrungen der Bank mit der Kl. im Hinblick auf deren Zahlungsfähigkeit. |
| NEU LG Aachen Urt. v. 21.5.2024 – 12 O 69/24 = ZD 2024, 741 | 0 EUR Dem Kl. steht der geltend gemachte Anspruch auf Schmerzensgeld aus Art. 82 Abs. 1 DS-GVO wegen eines Verstoßes der Bekl. gegen Art. 6 DS-GVO nicht zu. Es kann dahinstehen, ob der Bekl. ein Datenschutzverstoß dahingehend vorzuwerfen ist, dass sie Positivdaten des Kl. bei der S. gemeldet hat. Es fehlt an einem substantiiert dargelegten Schaden beim Kl. Der Kl. hat nach Überzeugung des Gerichts keinen immateriellen Schaden gem. Art. 82 Abs. 1 DS-GVO erlitten. Es obliegt dem Kl., einen immateriellen Schaden, der über den bloßen Datenschutzverstoß und den damit verbundenen Kontrollverlust über seine Daten hinausgeht, darzulegen und zu beweisen. Die Annahme eines Schadens setzt zwar nicht voraus, dass er eine gewisse Erheblichkeit überschreitet, wie der Europäische Gerichtshof festgestellt hat (EuGH Urt. v. 4.5.2023 – C-300/21, ZD 2023, 446 [= ZD 2023, 446 mAnm Mekat/Ligocki – Österreichische Post] Rn. 51). Jedoch muss der Schaden nach der Rspr. des EuGH tatsächlich und sicher bestehen. Das pauschale und nicht substantiierte Berufen auf abstrakte Befürchtungen, Ängste und Ohnmacht wegen eines Kontrollverlustes, welche textbausteinmäßig vorgetragen werden, reicht nicht aus, um einen Schaden darzulegen. Zunächst ist darauf hinzuweisen, dass der EuGH entgegen der Klägeransicht festgestellt hat, dass es für einen Schadensersatzanspruch mehr als einen Verstoß gegen die DS-GVO bedarf. Dazu heißt es: „Insofern muss die Person, die auf der Grundlage von Art.82 DSG-VO den Ersatz eines immateriellen Schadens verlangt, nicht nur den Verstoß gegen Bestimmungen dieser Verordnung nachweisen, sondern auch, dass ihr durch diesen Verstoß ein solcher Schaden entstanden ist.“ Es ist weder vorgetragen noch ersichtlich, dass sich der Kl. durch die Übermittlung der Positivdaten materielle Schäden erlitten hat, kommt es bezüglich des immateriellen Schadens auf das Vorliegen innerer Tatsachen an, die dem Beweis nur eingeschränkt zugänglich sind. Das OLG Hamm fordert dahingehend, dass der Betroffene Umstände darlegt und beweist, in denen sich seine erlebten Empfindungen widerspiegeln, und dass nach der Lebenserfahrung der Datenschutzverstoß mit seinen Folgen Einfluss auf das subjektive Empfinden hat. Daran fehlt es. Weder in der Klageschrift noch in der Replik wurden die vorgetragenen Sorgen, Ängste und Zustände auf die konkrete Person des Kl. bezogen. Die Formulierungen bleiben pauschal und allgemein. Ausführungen dazu, wie sich die behaupteten Probleme beim Kl. konkret geäußert haben sollen, lassen die Schriftsätze der Klägerseite vermissen. Es ist für das Gericht auch nicht ersichtlich, dass der Kl. seine Lebensführung durch die Übermittlung der Positivdaten in irgendeiner Form anpassen musste. Vielmehr fällt auf, dass die Formulierungen aus der Klageschrift bezüglich des angeblich eingetretenen immateriellen Schadens in einer Vielzahl von weiteren Klagen benutzt wurden und benutzt werden. Es ist nicht nachvollziehbar, wie die Übermittlung von Positivdaten bei mehreren Menschen identische Sorgen, Ängste und Zustände auslösen sollen, ohne dass wegen des jeweiligen Einzelfalles differenziert wird. In der persönlichen Anhörung durch das Gericht gem. § 141 ZPO im Parallelverfahren, in dem der Kl. gegen ein anderes Telekommunikationsunternehmen wegen der Übermittlung von Positivdaten klagt und dessen Akten Gegenstand des vorliegenden Verfahrens geworden sind, konnte der Kl. keine objektiven Beweiszeichen aufzeigen. Auf Nachfrage durch das Gericht erklärte er, dass er zwar allgemein etwas dagegen habe, dass seine Daten gesammelt werden. Jedoch hätte ihn dies nur persönlich geärgert und nicht im eigentlichen Sinne verletzt. Das persönliche Ärgernis über die Weitergabe der Daten vermag noch keinen Schmerzensgeldanspruch zu begründen. Darüber hinaus ist es nicht einleuchtend, warum gerade die Meldung von Positivdaten zu Sorgen oder Ängsten wegen der eigenen Bonität führen sollen. Der Kl. Der Annahme eines immateriellen Schadens wegen eines Kontrollverlustes steht der Umstand entgegen, dass der Kl. bei dem Vertragsschluss mit der Bekl. durch das Merkblatt zum Datenschutz auf die Übermittlung der Positivdaten an die S. hingewiesen wurde. Mangels Anspruch des Kl. aus Art. 82 Abs. 1 DS-GVO kommt eine Haftung für die mit dem Klageantrag zu 4) geltend gemachten Rechtsverfolgungskosten sowie Rechtshängigkeitszinsen nicht in Betracht. |
| NEU LG Nürnberg-Fürth Urt. v. 15.5.2024 – 10 O 5104/23 | 0 EUR Die Klagepartei hat ggü. der Bekl. keinen Anspruch auf Schadensersatz gem. Art. 82 DS-GVO. Ob ein der Bekl. zurechenbarer Verstoß gegen die DS-GVO gegeben ist kann vorliegend dahinstehen, da jedenfalls kein kausaler Schaden aufgrund einer Verletzung der DS-GVO von der Bekl. hinreichend dargelegt ist oder ein solcher vorliegt. Ein für einen Schaden ursächlicher Verstoß gegen Art. 32 DS-GVO liegt nicht vor. Selbst unter der Annahme einer Verletzung von Art. 32 DS-GVO, bleibt die Klägerseite den Nachweis eine kausalen Schadens gem. Art. 82 DS-GVO fällig. Der Verantwortliche haftet lediglich für kausal durch die rechtswidrige Verarbeitung verursachte Schäden. Eine Mitursächlichkeit des Verstoßes gegen die DS-GVO genügt. Die Klagepartei trägt die Darlegungs- und Beweislast für die Kausalität nach allgemeinen zivilprozessualen Grundsätzen. Für die Frage der haftungsbegründenden Kausalität gilt § 286 ZPO. § 286 ZPO erfordert keine absolute oder unumstößliche Gewissheit und au =ch keine an Sicherheit grenzende Wahrscheinlichkeit, sondern nur einen für das praktische Leben brauchbaren Grad von Gewissheit, der Zweifeln Schweigen gebietet. Die insoweit notwendige volle Überzeugung kann sich die Kammer ggf. auch allein durch eine Parteianhörung nach § 141 ZPO verschaffen. Ein solcher brauchbarer Grad an Gewissheit, der Zweifeln Schweigen gebietet, liegt zur Überzeugung des Gerichts nicht vor. Die Klagepartei bleibt selbst bei Annahme eines Verstoßes gegen die DS-GVO und eines Schadens in Form eines Kontrollverlustes beweisfällig für einen auf einer Verletzung der DS-GVO beruhenden Schaden. Grds. ist das Gericht der Überzeugung, dass ein Kontrollverlust über personenbezogenen Daten einen immateriellen Schaden darstellen kann. Der Schadensbegriff des Art. 82 DS-GVO ist unionsrechtlich auszulegen und setzt nach dem Wortlaut der Norm, der Systematik und Telos des Art. 82 Abs. 2, Abs. 1 DS-GVO sowie der Art. 77 ff. DS-GVO und den Erwägungsgrund 75, 85 und 146 DS-GVO einen über den schlichten Verstoß gegen die DS-GVO hinausgehenden Schaden voraus. Ein Schaden iSd Art. 82 DS-GVO kann nach dem Wortlaut materieller oder immaterieller Art sein. Ein immaterieller Schaden liegt dabei jedoch noch nicht in der bloßen Verletzung einer Norm der DS-GVO. Ein solcher Schaden setzt nach Wortlaut, Erwägungsgrund 10, 146 DS-GVO und dem Telos nicht voraus, dass der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat. Hierbei ist zu beachten, dass nach Erwägungsgrund 146 der DS-GVO der Schadensbegriff weit und den Zielen der DS-GVO entsprechend ausgelegt werden soll. So wird aus Erwägungsgrund 7 der DS-GVO das Ziel ersichtlich, dass natürliche Personen die Kontrolle über ihre eigenen Daten besitzen sollten. Einen Schaden erst dann anzunehmen, wenn es etwa zu einer mit einer unrechtmäßigen Zugänglichmachung von Daten liegenden (öffentlichen) „Bloßstellung“, einem Identitätsdiebstahl, einer Weitergabe intimer Informationen oder einer anderen „ernsthaften Beeinträchtigung für das Selbstbild oder Ansehen einer Person“ kommt, und ein „besonderes immaterielles Interesse“ zu verlangen, das über den allein durch die Verletzung an sich hervorgerufenen Ärger oder sonstige Gefühlsschäden hinausgeht, verkennt den autonom und nach Erwägungsgrund 146 ausdrücklich weit auszulegenden Begriff des Schadens. Mit dem Wort „insbesondere“ in Erwägungsgrund 75 bringt der europäische Gesetzgeber zum Ausdruck, dass er eine nicht abschließende Aufzählung von für ihn möglich gehaltenen Schadensereignissen im Erwägungsgrund 75 getroffen hat und bereits in einem Kontrollverlust den eingetretenen Schaden sieht. Dies wird an den anderen aufgezählten Fallgruppen deutlich. So sind eine Diskriminierung, ein Identitätsdiebstahl oder -betrug, ein finanzieller Verlust, eine Rufschädigung, ein Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten, die unbefugten Aufhebung der Pseudonymisierung oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile bereits ein materieller oder immaterieller Schaden. Es erschließt sich nicht, warum sich bei einem Kontrollverlust ein (immaterieller) Schaden erst bei der betroffenen Person in Form einer emotionalen Betroffenheit zeigen muss. Die Klagepartei bleibt vorliegend jedoch den Nachweis fällig, dass selbst bei Annahme einer Verletzung von Art. 32 DS-GVO und eines Schadens iSd Kontrollverlusts, dieser kausal auf eine Verletzung von Art. 32 DS-GVO zurückzuführen ist. Der Schaden muss gerade durch den Rechtsverstoß entstanden sein. Es genügt nicht, dass der Schaden durch eine Verarbeitung entstanden ist, in deren Rahmen es zu einem Rechtsverstoß gekommen ist. Zwar umfasst der Begriff der Verarbeitung nach Art. 4 Nr. 2 DS.GVO nicht nur einzelne Vorgänge der Datenverarbeitung, sondern auch Vorgangsreihen, sodass denkbar wäre, dass ein einzelner Verstoß in diesem Zusammenhang die gesamte Vorgangsreihe „infiziert“. Art. 82 Abs. 1 DS.GVO macht aber deutlich, dass der Schaden „wegen eines Verstoßes gegen diese Verordnung“ entstanden sein muss, also gerade der Rechtsverstoß zu dem Schaden geführt haben muss. Insoweit gilt die conditio-sine-qua-non-Formel. Nach dem EuGH ist eine unbefugte Offenlegung von bzw. ein unbefugter Zugang zu personenbezogenen Daten durch Dritte iSv Art. 4 Nr. 10 DS-GVO allein nicht ausreichend, um anzunehmen, dass die technischen und organisatorischen Maßnahmen, die der für die betreffende Verarbeitung Verantwortliche getroffen hat, nicht geeignet iSd Art. 24, 32 DS-GVO waren. Allein der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen die DS-GVO befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, kann grds. einen „immateriellen Schaden“ iSd Art. 82 DS-GVO darstellen. Die Klagepartei ist der ihr obliegenden Darlegungs- und Beweislast hinsichtlich eines Schadens wegen etwaiger Verstöße gegen Art. 15 DS-GVO, Art. 33 DS-GVO und Art. 34 DS-GVO nicht hinreichend nachgekommen. |
| NEU LG Bochum Urt. v. 15.5.2024 - 5 O 334/23 = ZD 2024, 600 (Ls.) | 0 EUR Dem Kl. steht zunächst kein Anspruch auf immateriellen Schadensersatz für die vermeintlichen Datenschutzverstöße der Bekl. zu. Ein solcher Anspruch gegen die Bekl. ergibt sich weder aus Art. 82 Abs. 1 noch aufgrund vertraglicher Grundlage oder aufgrund sonstiger Vorschriften. Insoweit kann dahinstehen, ob bzw. inwieweit eine Verletzung der P. durch die Bekl. ggü. dem Kl. vorliegt. Denn jedenfalls fehlt ein ersatzfähiger Schaden des Kl. Der bloße Verstoß gegen Bestimmungen der P. reicht nicht aus, um einen Schadensersatzanspruch zu begründen, vielmehr ist daneben ein der betroffenen Person entstandener Schaden und ein Kausalzusammenhang zwischen der rechtwidrigen Verarbeitung personenbezogener Daten und diesem Schaden erforderlich. |
| NEU LG Lübeck Hinweisbeschl. v. 8.5.2024 – 15 O 224/23 = ZD 2024, 480 (Ls.) | 0 EUR Anknüpfungspunkt für die Haftung nach Art. 82 DS-GVO ist grds. ein (schadensursächlicher) Datenverarbeitungsvorgang. Da die Klägerseite insoweit keine hinreichenden Einblicke in die Datenverarbeitungsvorgänge bei der Bekl. hat, durch diese sekundär darlegungsbelastet sein, welcher Datenverarbeitungsvorgang zu der Veröffentlichung der Daten im D. geführt hat. Dieser Darlegungslast dürfte die Bekl. grds. nachgekommen sein, indem sie einen in sich schlüssigen Vorgang dargelegt hat, der Ober den Auftragsdatenverarbeiter O. zu der rechtswidrigen Verbreitung der Daten führte. Bei dieser Sachlage dürfte es sodann nunmehr Sache der Klägerseite sein, unmissverständlich zu erklären, ob sie sich auf diesen Vorgang als Anknüpfungspunkt für die Haftung der Bekl. stützen möchte, oder ob sie einen abweichenden Vorgang darlegen (und beweisen) möchte. Dem wird der klägerische Vortrag nicht gerecht, da in der Replik einerseits an den Beklagtenvortrag angeknüpft und einzelne Bestandteile erörtert werden, andererseits aber mit Nichtwissen bestritten wird, dass die Bekl. selbst Adressat des Cyberangriffs gewesen sei.“ Der Kammer erschließt sich insoweit nicht, auf welchen Datenverarbeitungsvorgang die Klägerseite nunmehr haftungsbegründend anknüpfen will: auf eine Datenverarbeitung bei der Bekl.? Auf eine Datenverarbeitung bei dem Auftragsverarbeiter, wie von der Bekl. dargelegt? Auf eines von beiden (welches?) und hilfsweise auf das andere (welches?)? Eine Klarstellung erscheint insoweit schon prozessual zwingend erforderlich, da sich die rechtlichen Anforderungen im Weiteren je nach Anknüpfungspunkt erheblich unterscheiden.“ Sollte die Klägerseite an die Datenverarbeitung bei dem Auftragsverarbeiter anknüpfen, wie von Beklagtenseite vorgetragen, hält die Kammer nicht mehr an ihrem im Termin geäußerten Hinweis fest, dass die Kammer insoweit keine Beteiligung der Bekl. an dem (schadensauslösenden) Datenverarbeitungsvorgang bei dem Auftragsverarbeiter zu erkennen vermag – und zwar selbst dann, wenn dieser wie von Beklagtenseite vorgetragen, in einem weisungswidrigen Verhalten dortiger Angestellter liegen sollte. Der Begriff der Beteiligung dürfte weiter zu verstehen sein als bisher von der Kammer angenommen. In der einschlägigen Literatur ist insoweit weitgehend Konsens, dass eine Beteiligung im Sinne der Verordnung nicht zwingend voraussetzt, dass der Verantwortliche selbst an dem letztlich schadensauslösenden Vorgang direkt mitgewirkt hat. Vielmehr soll es grds. genügen, wenn er iSd conditio sine qua non an der Vorgangsreihe beteiligt war, die letztlich die schädigende Handlung ermöglicht hat. |
| NEU LG Heidelberg Urt. v. 6.5.2024 – 4 O 5/24 | 0 EUR Der Kl. hat gegen die Bekl. keinen Anspruch auf Schadensersatz. Der Klägerseite ist der Nachweis eines materiellen oder immateriellen Schadens nicht gelungen. Ein Anspruch ergibt sich nicht aus Art. 82 DS-GVO. Für einen Schadensersatzanspruch nach Art. 82 DS-GVO bedarf es neben einem Verstoß gegen Vorschriften der DS-GVO des Eintritts eines hierauf beruhenden Schadens. Dabei muss der Schaden (insb. bei immateriellen Schäden) für dessen Ersatzfähigkeit zwar nicht einen gewissen Grad an Erheblichkeit erreicht haben, aber über den Eintritt einer reinen Rechtsverletzung hinausgehen. Den Nachweis, dass die negativen Folgen einen immateriellen Schaden iSv Art. 82 DS-GVO darstellen, trägt die vom Verstoß betroffene Person. Dabei muss das angerufene nationale Gericht nach den Vorgaben des EuGH, wenn sich der Kl. auf die Befürchtung beruft, dass seine personenbezogenen Daten in Zukunft aufgrund eines solchen Verstoßes missbräuchlich verwendet werden, prüfen, ob diese Befürchtung unter den gegebenen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann. Der Begriff des Schadens in Art. 82 DS-GVO ist nach allgemeiner Meinung autonom auszulegen. Erwägungsgrund 75 zur DS-GVO nennt etwa Identitätsdiebstahl, finanzielle Verluste, Rufschädigung oder den Verlust der Kontrolle personenbezogener Daten. Ein national restriktives Verständnis zum Begriff des Schadens ist mithin nicht zulässig. Eine Erheblichkeitsschwelle für das Vorliegen eines Schadens ergibt sich ebenfalls nicht aus der DS-GVO. Bagatellschäden sind nicht auszuschließen. Zu verlangen ist aber jedenfalls, dass ein konkreter immaterieller Schaden auch tatsächlich eingetreten („entstanden“) ist. Auch der kurzzeitige Verlust der Kontrolle über personenbezogene Daten kann einen immateriellen Schaden iSv Art. 82 Abs. 1 DS-GVO begründen, wobei aber der bloße Verstoß gegen Bestimmungen der DS-GVO nicht genügt. Für die Annahme eines Schadens ist es auch nicht maßgeblich, ob eine missbräuchliche Verwendung personenbezogener Daten durch Dritte bereits erfolgt ist oder ob der Schaden mit der Angst verknüpft ist, dass eine solche Verwendung in Zukunft erfolgen könnte. Gemessen an diesen Kriterien ist der geltend gemachte Schadensersatzanspruch zu verneinen, weil es dem Kl. nicht gelungen ist, den Nachweis iSd EuGH-Rspr. zu erbringen, dass er einen immateriellen Schaden erlitten hat. Der Kl. selbst hat im Rahmen seiner informatorischen Anhörung bekundet, dass die Ausführungen in der Klageschrift nicht zutreffend sind. Zwar habe er sich unwohl gefühlt, dass sein Handyvertrag der SCH. übermittelt wurde, das Gefühl eines „Kontrollverlustes“ oder „schiere Existenzsorge“, wie in der Klageschrift behauptet, habe er jedoch nicht. Soweit der Kl. – erstmals im Rahmen seiner informatorischen Anhörung – ausgeführt hat, er sei deswegen in besonderem Maß von der Datenübermittlung betroffen gewesen, weil er iRe Kreditanfrage bei der Postbank auf die zwei Handyverträge angesprochen wurde, zudem Schwierigkeiten hatte, Kredite zu bekommen und eine Wohnung zu finden, ist die Klägerseite trotz antragsgemäß eingeräumter Schriftsatzfrist für dieses ausdrücklich bestrittene beweisfällig geblieben, eine Stellungnahme von Klägerseite blieb insgesamt aus. Allein das Ergebnis der Anhörung des Kl. genügt vorliegend nicht, eine hinreichende Überzeugung für das Vorhandensein eines immateriellen Schadens zu gewinnen. So spricht bereits das gesamte prozessuale Verhalten der Klägerseite, insb. die Widersprüchlichkeit von Klagevortrag und Aussage des Kl. sowie das bewusste Unterlassen jedweder Konkretisierung oder Stellungnahme gegen die Richtigkeit der klägerischen Behauptungen. Somit verbleibt es allein bei dem Gefühl des Ärgers darüber, dass – objektiv wie auch subjektiv nicht ansatzweise sensible – geringfügige Daten (Vertragsabschluss nebst Kundenkontonummer) an die SCH. gemeldet worden sind. Damit aber ist ein Schaden auch nach den insofern äußert niederschwelligen Vorgaben des EuGH nicht erkennbar. Denn wenn dieser auch postuliert, dass eine Erheblichkeitsschwelle nicht erforderlich sei, so erkennt er doch zumindest, dass zu dem reinen Verstoß gegen die DS-GVO noch irgendeine konkrete Beeinträchtigung hinzukommen muss, um einen Schadensersatzanspruch zu begründen. Eine solche Beeinträchtigung kann aber nicht bereits darin liegen, dass der Verstoß das Missfallen des Betroffenen erregt, da andernfalls der Begriff des Schadens letztlich obsolet wäre (wovon [wohl] auch der EuGH nicht ausgeht). Es wäre also zumindest eine objektiv nachvollziehbare emotionale Beeinträchtigung, etwa bei einer Weitergabe sensibler Daten oder eine subjektiv besondere Disposition des von dem Verstoß Betroffenen (Vorschädigungen, psychiatrische Beeinträchtigungen, etc) erforderlich. Beides ist hier aber nicht gegeben, bzw. konnte durch die Klägerseite – schon mangels Beweisantritts – nicht nachgewiesen werden. Allein der Wunsch nach Monetarisierung eines niederschwelligen Verstoßes gegen die DS-GVO kann einen Schaden ebenfalls nicht begründen. Damit kann die Frage, ob ein Verstoß der Bekl. gegen Art. 6 Abs. 1 S. 1 lit. f DS-GVO überhaupt vorliegt, offen bleiben. Allerdings dürften gewisse Zweifel an der Zulässigkeit der Datenübermittlung durch die Bekl. ohne Einwilligung des Kl. bestehen, da bei einer Übermittlung nach Vertragsschluss kaum erkannt werden kann, welche erheblichen finanziellen Risiken auf Beklagtenseite Vorrang vor den Interessen des Kl. erhalten müssten. |
| LG Bonn Urt. v. 3.5.2024 – 19 O 221/23 = ZD 2024, 742 | 0 EUR Es kann dahinstehen, ob der Bekl. Verstöße gegen Art. 25 Abs. 1 oder Art. 32 DS-GVO wegen der Übermittlung sog. Positivdaten vorzuwerfen sind. Ein Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO scheidet jedenfalls deshalb aus, weil der Kl. einen darauf beruhenden Schaden nicht substantiiert dargelegt und nachgewiesen hat. Nach Art. 82 DS-GVO ist Schadensersatz zu leisten, wenn ein Verstoß gegen die DS-GVO dargelegt und ggf. nachgewiesen wird sowie ein tatsächlich erlittener materieller oder immaterieller Schaden und ein Kausalzusammenhang zwischen dem Verstoß und dem Schaden; der bloße Verstoß gegen Bestimmungen der DS-GVO oder die Möglichkeit eines Schadenseintritts reicht demnach nicht aus. Die Darlegungs- und Beweislast trägt insoweit der Anspruchsteller. Dass er infolge von Verstößen gegen die DS-GVO materielle Schäden erlitten habe, wird vom Kl. bereits nicht behauptet. Ein Schadensersatzanspruch ist auch nicht gegeben, soweit der Kl. als Folge von der Bekl. anzulastenden Datenschutzverstößen immaterielle Schäden in Form eines „Kontrollverlusts“ über die ihn betreffenden personenbezogenen Daten, verbunden mit dem Gefühl großen Unwohlseins, Stress und Sorge erlitten haben will. Der Kontrollverlust stellt für sich genommen nicht bereits einen immateriellen Schaden dar. Ein reines „Befürchten“ von Nachteilen ist kein Schaden iSd DS-GVO. Soweit der Kl. in der Klageschrift und der Replik seine entsprechenden Befürchtungen beschrieben hat, handelt es sich um pauschale Angaben und eine Abfolge von Textbausteinen, die sich (wie gerichtsbekannt ist) in einer Vielzahl von parallel gelagerten Verfahren der Klägerkanzlei wortgleich finden. Dass sämtliche der von den Klägervertretern vertretenen Kl. ein identisches subjektives und individuelles Erleben haben und identische Empfindungen des Unwohlseins und der Sorge, erscheint der Kammer nicht glaubhaft. Auch im Rahmen seiner persönlichen Anhörung konnte der Kl. nicht näher angeben, inwieweit das Gefühl des Kontrollverlusts, des Unwohlseins und der Sorge gerade darauf gegründet ist, dass Dritte davon erfahren könnten, dass er einen Mobilfunkvertrag mit der Bekl. hat und sich ihr ggü. vertragstreu verhält. |
| LG Mainz Urt. v. 2.5.2024 – 2 O 204/23 = ZD 2024, 743 | 0 EUR Der auf die Verurteilung der Bekl. zur Zahlung eines Schmerzensgeldes gerichtete Klageantrag zu 1) ist zulässig aber unbegründet. Ein Schadensersatzanspruch der Kl. gem. Art. 82 Abs. 1 DS-GVO scheitert – jedenfalls – daran, dass die Kl. keinen Schaden dargelegt und nachgewiesen hat. Der Begriff des Schadens ist gem. Erwägungsgrund 146 S. 3 DS-GVO weit auf eine Art und Weise auszulegen, die den Zielen dieser Verordnung in vollem Umfang entspricht. Für einen Schadensersatzanspruch nach Art. 82 DS-GVO reicht allerdings der bloße Verstoß gegen die Bestimmungen der DS-GVO nicht aus. Der Ersatz eines immateriellen Schadens nach Art. 82 DS-GVO ist dabei nicht davon abhängig, dass der entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht, so dass auch Bagatellschäden einen Schadensersatzanspruch begründen können. Nach der Rspr. des EuGH kann dieser Schaden auch darin liegen, dass der Kl. Angst vor einer missbräuchlichen Verwendung seiner personenbezogenen Daten durch Dritte hat. Dabei ist das Gericht gehalten, zu prüfen, ob diese Befürchtung unter den gegebenen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann. Die Kl. hat in der Klageschrift vorgetragen, bei ihr habe sich ein Gefühl des Kontrollverlustes und der großen Sorge, insb. auch auf eigene die Bonität, eingestellt. Das Gefühl des Kontrollverlusts sei geprägt von der Angst, einer unberechtigten Übermittlung an eine Auskunftei wie der S2. AG ausgesetzt zu sein und beunruhige sie bis zum heutigen Tag. Sie lebe mit der ständigen Angst vor – mindestens – unangenehmen Rückfragen in Bezug auf das allgemeine Verhalten im Wirtschaftsverkehr oder einer Verfälschung des Sch.-Scores. Bei diesen geschilderten Beeinträchtigungen handelt es sich um psychische Folgen des Datenschutzverstoßes der Bekl., die als solche nur von ihr selbst wahrgenommen werden können. Um daraus einen Schaden ableiten zu können, also einen Nachteil des Betroffenen, der iSv Erwägungsgrund 146 DS-GVO konkret „erlitten“ wurde und damit über die reine Behauptung des entsprechenden Gefühls hinausgeht, muss die Kl. konkrete Indizien vortragen und unter Beweis stellen, die eine solche psychische Beeinträchtigung ihrer Person stützen können. Dies bedeutet, dass für die von der Kl. behaupteten immateriellen Schäden in Form von Angst und Sorge jedenfalls auch objektive Beweisanzeichen vorhanden sein müssen, da andernfalls die bloße Bekundung des Betroffenen, einen immateriellen Schaden in Form belastender Gefühle erlitten zu haben, für einen Ersatzanspruch ausreichen würde. Hieran fehlt es vorliegend, weil die Kl. auch im Rahmen ihrer persönlichen Anhörung keine derartigen objektiven Beweisanzeichen aufzeigen konnte. Sie hat vielmehr glaubhaft angegeben, dass sie erst in Folge der Kontaktaufnahme mit der von ihr beauftragten Anwaltskanzlei die Sch.-Auskunft angefordert und sich damit auseinandergesetzt habe, was das für sie bedeute. Sie wisse nicht, was der Eintrag bei der Sch. für sie bedeute und das sei eine Unsicherheit. Die möglichen Auswirkungen der Meldung schafften Unsicherheiten und sie sei in Sorge. Das Verfahren sei für sie wichtig, weil sie geklärt haben wolle, dass das keine Belanglosigkeit sei und es von Bedeutung sei, dass einfach Daten weitergegeben würden. Aufgrund der Impulse ihrer Anwaltskanzlei habe sie sich Gedanken gemacht, was die Sch.-Auskunft für sie bedeute. Sie sei hinsichtlich der Datenweitergabe jetzt vorsichtiger geworden und entscheide bewusster, welche Felder sie zB bei der Registrierung im Internet ankreuze. Hinreichende objektive Beweisanzeichen in ihrer Person für eine tatsächliche immaterielle Beeinträchtigung vermag das Gericht hierin nicht zu erkennen. |
| LG Offenburg Urt. v. 2.5.2024 – 3 O 196/23 | 0 EUR Der Kl. hat ggü. der Bekl. keinen Anspruch auf die Leistung eines Ersatzes für immaterielle Schäden nach Art. 82 Abs. 1 DS-GVO. Dahinstehen kann dabei, ob die Bekl. Verstöße gegen die DS-GVO begangen hat, ob die entsprechenden etwaigen Verstöße von der Schadensersatzpflicht aus Art. 82 Abs. 1 DS-GVO erfasst sind und ob für die Auslösung einer Schadensersatzpflicht nach dieser Norm eine erhebliche Beeinträchtigung erforderlich ist. Denn dem Kl. steht aus etwaigen Verstößen der Bekl. gegen die DS-GVO kein immaterieller Schadensersatzanspruch zu. Voraussetzung für sämtliche klägerischen Anspruchsgrundlagen, welche den Schadensersatzanspruch tragen würden, ist, dass tatsächlich ein Schaden entstanden ist. Ein solcher Schaden setzt – entgegen möglicherweise bestehendem innerstaatlichen Recht – nach Wortlaut, Erwägungsgrund 10, 146 DS-GVO und Telos einen bestimmten Grad an Erheblichkeit nicht voraus. Auch wenn es keine Erheblichkeitsschwelle gibt, so bedeutet dies indes nicht, dass die aus dem Datenschutzverstoß resultierenden negativen Folgen per se einen haftungsbegründenden Schaden darstellen; denn der EuGH führt hierzu explizit aus, dass diese Auslegung nicht bedeutet, „dass eine Person, die von einem Verstoß gegen die DS-GVO betroffen ist, der für sie negative Folgen gehabt hat, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden iSv Art. 82 DS-GVO darstellen“. Nur „konkret erlittenen Schäden“ müssen vollständig ausgeglichen werden müssen. Die Annahme eines solchen konkreten Schadens setzt nach stRspr des EuGH voraus, dass dieser „tatsächlich und sicher“ besteht. Entsprechend sieht der die Frage des Schadensersatzes allein betreffende Erwägungsgrund 75 DS-GVO auch nur vor, dass ein Schaden entstehen „könnte“, nicht aber in jedem Fall eintritt. Realisiert sich das generelle Risiko, dessen Eintritt verhindert werden soll, kommt es zwangsläufig zum Kontrollverlust. Daraus allein resultiert aber deshalb noch kein tatsächlicher Schaden im konkreten Einzelfall, wenn bzw. – hier eben – weil dieser automatisch bei jedem vom festgestellten Verstoß gegen die DS-GVO Betroffenen in Form der Offenlegung / Zugänglichmachung von Daten eintritt. Das Vorhandensein eines tatsächlichen Schadens in Gestalt einer durch den Kl. tatsächlich empfundenen Beeinträchtigung ist nach erfolgter informatorischer Anhörung des Kl. nicht ersichtlich. Der schriftsätzliche Vortrag des Kl., er empfinde ein ungutes Gefühl der permanenten Überwachung durch die Bekl., stellt einen Standardvortrag dar, den die Prozessbevollmächtigten der Kl. in zahlreichen gleichgelagerten Fällen stets identisch vortragen. Der Kl. hat ein solches ungutes Gefühl der permanenten Überwachung und diesbezügliche Sorgen in seiner Anhörung aber gar nicht erwähnt, sondern nur angegeben, er finde die personalisierte Werbung nicht okay, da man damit zum Kaufen verleitet werden solle. Etwas „nicht-okay-finden“ genügt aber nicht zur Annahme eines immateriellen Schadens, zumal auch nicht festgestellt werden kann, ob dies vom Kl. tatsächlich so empfunden wurde oder ob er dies nur äußert, um einer Klage zum Erfolg zu verhelfen, die allein aus Bereicherungsabsicht ohne Vorliegen irgendeiner Beeinträchtigung erhoben wurde. Gleiches gilt für die schriftsätzliche Behauptung die aus Klägersicht unzureichende Auskunft der Bekl. habe den Kl. belastet. Das wurde vom Kl. nicht erwähnt und ist auch nicht ansatzweise nachvollziehbar. Mangels eines Anspruchs in der Hauptsache besteht auch kein Anspruch auf Erstattung vorgerichtlicher Rechtsverfolgungskosten sowie Verzinsung. |
| LG Amberg Urt. v. 30.4.2024 - 13 O 432/23 | 0 EUR Es besteht kein Anspruch der Kl. auf Zahlung eines immateriellen Schadensersatzes gem. Art. 82 Abs. 1 DS-GVO. Nach dem klägerischen Vortrag liegt schon kein kausaler Schaden vor. Nach dem ausdrücklichen Wortlaut des Art. 82 Abs. 1 DS-GVO muss ein Schaden tatsächlich „entstanden“ sein. Zwar ist der Schadensbegriff der DS-GVO nach dem Erwägungsgrund 146 S. 3 DS-GVO weit auszulegen. Schadensersatzforderungen sollen abschrecken und weitere Verstöße unattraktiv machen. Darüber hinaus soll gewährleistet werden, dass die tatsächlich Betroffenen wirksamen Ersatz erlangen. Ein bloßer Verstoß gegen die Vorschriften der DS-GVO alleine reicht jedoch nicht aus, um einen Anspruch auf Schadensersatz zu begründen. Erforderlich ist vielmehr die konkrete Darlegung eines individuellen Schadens. Nach der Rspr. des EuGH (Urt. v. 4.5.2023 - C-300/21 21 [=ZD 2023, 446 mAnm Mekat/Ligocki] - Österreichische Post) ist der Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO an drei kumulative Voraussetzungen geknüpft, nämlich an einen Verstoß gegen die DS-GVO, das Vorliegen eines materiellen oder immateriellen Schadens und einen ursächlichen Zusammenhang zwischen Schaden und Verstoß. Es fehlt an der Kausalität. Der geltend gemachte Schaden muss gerade durch die vermeintlichen Verstöße gegen die DS-GVO verursacht worden sein. Bezüglich der Kausalität ist die Klagepartei nach allgemeinen Grundsätzen darlegungs- und beweispflichtig. Der vorliegende Fall unterscheidet sich von den „Scraping-Fällen“ deutlich. Auch besteht kein Anspruch der Kl. auf immateriellen Schadensersatz für die Nichterteilung einer der gesetzlichen Anforderungen entsprechenden außergerichtlichen Datenauskunft. Dieser Anspruch scheitert bereits daran, dass Art. 15 DS-GVO, auf den die Klagepartei ihren vermeintlichen Anspruch stützt, nicht vom Anwendungsbereich des Art. 82 DS-GVO erfasst ist. Jedenfalls aber besteht der geltend gemachte Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO deshalb nicht, weil ein Verstoß gegen Art. 15 DS-GVO hier nicht vorliegt. |
| LG Stade Urt. v. 30.4.2024 – 4 O 316/23 | 0 EUR Dem Kl. steht der mit Nr. 1 der Klage geltend gemachte Anspruch auf Schmerzensgeld iHv 5.000 EUR aus Art. 82 Abs. 1 DS-GVO wegen eines Verstoßes der Bekl. gegen Art. 6 DS-GVO nicht zu. Es kann dahinstehen, ob die Bekl. als datenschutzrechtlich Verantwortliche durch die Einmeldung der Positivdaten bei der SCHUFA Vorgaben der DS-GVO verletzt hat, da es jedenfalls an der Darlegung eines kausalen Schadens des Kl. fehlt. Es gehört nämlich zur Vortragslast des Kl., einen über die etwaigen Datenschutzverstöße und über den damit mittelbar einhergehenden Kontrollverlust hinausgehenden immateriellen Schaden in Form einer persönlichen bzw. psychologischen Beeinträchtigung aufgrund der Datenschutzverstöße und des Kontrollverlustes darzulegen und ggf. zu beweisen. Ein solcher Schaden setzt zwar nicht voraus, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat. Dies bedeutet indes nicht, dass die aus einem etwaigen Datenschutzverstoß resultierenden negativen Folgen per se einen zu einer Ersatzzahlung führenden Schaden darstellen. Die Annahme eines solchen konkreten Schadens verlangt nach stRspr des EuGH vielmehr, dass dieser „tatsächlich und sicher“ besteht. Dies hat der EuGH auch in der von der Klägerseite genannten neueren Entscheidung nochmals klargestellt. Es verbleibt auch nach dieser Entscheidung des EuGH vom 14.12.2023 insoweit also bei der Darlegungs- und Beweislast für den Kl. Das bloße pauschale und nicht substantiierte Berufen auf eine abstrakte Befürchtung reicht daher auch hiernach weiterhin nicht zur Darlegung eines immateriellen Schadens aus. Ein kausaler immaterieller Schaden ist nach diesen Maßstäben nicht bewiesen. Folgen mit Krankheitswert auf Seiten des Kl. infolge eines etwaigen Datenschutzverstoßes der Bekl. werden schon nicht behauptet. Auch in seiner persönlichen Anhörung hat der Kl. verneint, wegen des Vorfalls in ärztlicher Behandlung zu sein. Daher kommt es auf das Vorliegen innerer, dem Beweis nur eingeschränkt zugänglicher Tatsachen an, auf die nur mittelbar aus auf äußeren Tatsachen basierenden Indizien geschlossen werden kann. Mit Blick auf die subjektiven Folgen eines Datenschutzverstoßes im Einzelfall ist es deshalb erforderlich, dass der Betroffene Umstände darlegt und beweist, in denen sich seine erlebten Empfindungen widerspiegeln, und dass nach der Lebenserfahrung der Datenschutzverstoß mit seinen Folgen Einfluss auf das subjektive Empfinden hat. Aufgrund dieser Angaben kommt die Kammer nicht zu der Überzeugung, dass der Kl. einen über den Kontrollverlust hinausgehenden immateriellen Schaden in Form einer persönlichen bzw. psychologischen Beeinträchtigung erlitten hat. Die beschriebene Unsicherheit in Bezug auf die Weitergabe von persönlichen Daten stellt gerade keine psychologische Beeinträchtigung dar, die ein Maß erreicht, das einen Schmerzensgeldanspruch entstehen lassen würde. Es ist hier nicht ersichtlich, dass der vermeintliche Datenschutzverstoß Einfluss auf die Lebensführung des Kl. hatte. Dies insbesondere vor dem Hintergrund, dass der Kl. auch nach der hiesigen Einmeldung unstreitig insbesondere Finanzierungsverträge abschloss und sein SCHUFA-Score zum Zeitpunkt der Auskunftserteilung mit 98,16% in einem positiven Bereich lag. |
| NEU LG Cottbus Urt. v. 25.4.2024 – 4 O 29/23 | 0 EUR Dem Kl. steht gegen die Bekl. kein Anspruch auf Zahlung eines immateriellen Schadensersatzes aus Art. 82 Abs. 1 DS-GVO zu. Der bloße Verstoß gegen Bestimmungen der DS-GVO reicht demnach nicht aus. Es kann letztlich dahingestellt bleiben, ob der Bekl. Verstöße gegen die DS-GVO anzulasten sind, insb. ob die Bekl., die die Darlegungslast dahin trifft, die betroffenen personenbezogenen Daten des Klägers entsprechend der DS-GVO verarbeitet zu haben, namentlich Verstöße gegen Art. 5 Abs. 1 lit. a und Art. 6 Abs. 1 UAbs. 1 DS-GVO, gegen Art. 5 Abs. 1 lit. b und Art. 25 Abs. 1 u. Abs. 2 DS-GVO sowie gegen Art. 5 Abs. 1 lit. f und Art. 32 DS-GVO konkret ausgeräumt hat. Jedenfalls mangelt es an einem ersatzfähigen Schaden des Kl. iSd Art. 82 Abs. 1 DS-GVO, der über ein bloßes „Ärgernis“ bzw. eine „Unannehmlichkeit“, „Lästigkeit“ hinausgeht. Ein auf die - möglichen - Verstöße zurückzuführender individueller immaterieller Schaden ist bereits nicht hinreichend dargelegt. Der pauschal angeführte erhebliche Kontrollverlust allein oder die Auflistung generell-abstrakter Gefahren ohne Darlegung persönlicher und / oder psychologischer Beeinträchtigungen genügen nicht. Auch während der Anhörung des Kl. konnte dieser die erforderliche individuell-konkrete seelische Betroffenheit, die über eine Unannehmlichkeit hinausgeht, nicht aufzeigen. Es steht zudem nicht mit der gem. § 286 Abs. 1 ZPO erforderlichen Gewissheit zur Überzeugung der Einzelrichterin fest, dass die behaupteten Kontaktversuche auf das streitgegenständliche Scraping zurückzuführen sind. Der Eintritt des Schadens muss nach allgemeinen Grundsätzen (§ 287 ZPO) als überwiegend wahrscheinlich dargetan werden. Dabei kann offenbleiben, wie der Schadensbegriff des Art. 82 Abs. 1 DS-GVO konkret zu verstehen ist; denn es ist dem Kl. bereits nicht gelungen, jedweden Ansatzpunkt für einen ersatzfähigen Schaden hinreichend konkret darzulegen. Eine Überzeugung des Gerichts über die behaupteten Folgen, die den Erfordernissen des § 286 ZPO genügt, konnte nicht hergestellt werden. Gemäß § 286 Abs. 1 ZPO hat das Gericht unter Berücksichtigung des gesamten Inhalts der Verhandlungen und des Ergebnisses einer etwaigen Beweisaufnahme nach freier Überzeugung zu entscheiden, ob eine tatsächliche Behauptung für wahr oder für nicht wahr zu erachten ist, wobei eine Behauptung bewiesen ist, wenn das Gericht von ihrer Wahrheit überzeugt ist, ohne dabei unerfüllbare Anforderungen zu stellen. Die nach § 286 ZPO erforderliche Überzeugung des Richters erfordert keine absolute oder unumstößliche Gewissheit und auch keine „an Sicherheit grenzende Wahrscheinlichkeit“, sondern nur einen für das praktische Leben brauchbaren Grad von Gewissheit, der Zweifeln Schweigen gebietet. Der Einzelrichterin verbleiben hier vernünftige Zweifel an der Wahrheit der Behauptung, dass dem Kl. hier ein immaterieller Schaden entstanden ist, der auf die Folgen des Scrapings zurückzuführen ist. Die schriftsätzlich pauschal beschriebenen Ängste iSe tatsächlichen, echten immateriellen (seelischen) Beeinträchtigung haben sich in der Parteianhörung nicht bestätigt. Ein bloßes „Ärgernis“ oder Unannehmlichkeiten genügen nicht. Zwar hat der Kl. iRd mündlichen Verhandlung geschildert, dass er die unerwünschten Anrufe fremder Nummern zunächst als besorgniserregend empfunden habe, weil ihm dort durch eine KI-Stimme gesagt worden sei, dass von Inter- / oder Europol ein Strafverfolgungsverfahren gegen ihn betrieben werde. Durch Internetrecherche konnte er dann aber schnell herausfinden, dass diese Anrufe „fakes“ waren und nicht wirklich die Strafverfolgungsbehörden dahinter steckten. Das Gefühl des Kontrollverlusts oder großen Unwohlseins ließ sich indes nicht bestätigen. |
| NEU LG Cottbus Urt. v. 25.4.2024 – 4 O 159/23 | 0 EUR Wie LG Cottbus Urt. v. 25.4.2024 – 4 O 29/23. |
| LG Frankfurt/M. Urt. v. 24.4.2024 – 2-06 O 30/24 = ZD 2024, 744 | 0 EUR Der Kl. hat gegen die Bekl. keinen Anspruch auf Schadensersatz aus Art. 82 VO (EU) 2016/679 (nachfolgend: DS-GVO). Für einen Schadensersatzanspruch nach Art. 82 DS-GVO sind drei Voraussetzungen erforderlich. Neben einem Verstoß gegen Vorschriften der DS-GVO muss ein Schaden eingetreten sein und zwischen dem Verstoß und dem Schaden muss eine Kausalität bestehen. Dabei muss der Schaden (insb. bei immateriellen Schäden) für dessen Ersatzfähigkeit nicht einen gewissen Grad an Erheblichkeit erreicht haben. Auch der kurzzeitige Verlust der Kontrolle über personenbezogene Daten kann einen immateriellen Schaden iSv Art. 82 Abs. 1 DS-GVO begründen, sofern der Betroffene den Nachweis erbringt, dass sie tatsächlich einen solchen Schaden erlitten hat, wobei der bloße Verstoß gegen Bestimmungen der DS-GVO insoweit nicht genügt. Für die Annahme eines Schadens ist dabei nicht maßgeblich, ob eine missbräuchliche Verwendung personenbezogener Daten durch Dritte bereits erfolgt ist oder ob der Schaden mit der Angst verknüpft ist, dass eine solche Verwendung in Zukunft erfolgen könnte. Den Nachweis, dass die negativen Folgen einen immateriellen Schaden iSv Art. 82 DS-GVO darstellen, trägt die vom Verstoß betroffene Person. Für die Ermittlung des Schadens gibt der EuGH den nationalen Gerichten folgendes auf: „Insb. muss das angerufene nationale Gericht, wenn sich eine Person, die auf dieser Grundlage Schadensersatz fordert, auf die Befürchtung beruft, dass ihre personenbezogenen Daten in Zukunft aufgrund eines solchen Verstoßes missbräuchlich verwendet werden, prüfen, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann.“ Daraus, dass der EuGH sich auf „Befürchtungen“ beruft, kann überdies gefolgert werden, dass neben dem (objektiven) Verlust der Kontrolle über personenbezogene Daten ein subjektives Element vorliegen muss, um einen Schaden zu bejahen. Auch in der jüngsten Entscheidung hat der EuGH bestätigt, dass der (kurzzeitige) Verlust über die Kontrolle einen immateriellen Schadensersatzanspruch begründet, sofern die betroffene Person den Nachweis erbringt, tatsächlich einen solchen erlitten zu haben. Es kann dahinstehen, ob neben dem „Kontrollverlust“ noch weitere Voraussetzungen hinzutreten müssen, dass man einen Schaden bejahen kann. Denn aus den EuGH-Entscheidung folgt jedenfalls, dass selbst beim (kurzzeitigen) Verlust der Kontrolle über personenbezogene Daten ein immaterieller Schaden nur dann bejaht werden kann, sofern der Kl. den Nachweis erbringt, dass er einen solchen Schaden erlitten hat. Der geltend gemachte Schadensersatzanspruch ist zu verneinen, weil es dem Kl. nicht gelungen ist, den Nachweis iSd EuGH-Rechtsprechung zu erbringen, dass er aufgrund des Verlusts der Kontrolle über personenbezogene Daten einen immateriellen Schaden erlitten hat. Dabei ist zu berücksichtigen, dass der Kontrollverlust (als Schaden) nicht mit der Verletzung von Vorschriften der DS-GVO gleichgestellt werden kann, weil damit lediglich allenfalls die objektive Seite des Kontrollverlusts bejaht werden könnte. Nachdem die Kammer den Kl. informatorisch angehört hat, gelangt sie unter Würdigung des gesamten Prozessstoffes nicht gem. § 286 Abs. 1 S. 1 ZPO zu der Überzeugung, dass unter den gegebenen besonderen Umständen die Befürchtungen des Kl. als begründet angesehen werden kann und dass dem Kl. durch die Einmeldung von Positivdaten an die SCHUFA ein immaterieller kausaler Schaden entstanden ist. Widersprüche zwischen dem Vorbringen aus der Anhörung und dem Parteivortrag können frei gewürdigt werden, wobei das Vorbringen des Kl. aus der informatorischen Anhörungen dem hierzu in Widerspruch stehenden schriftsätzlichen Vortrag seines Prozessbevollmächtigten idR – so auch im Streitfall – vorgeht. Die Kammer kann nicht feststellen, dass der Kl. aufgrund eines Kontrollverlusts an Existenzängsten, Stress oder allgemeinem Unwohlsein leidet. Schließlich kann eine Kausalität nicht bejaht werden. |
| NEU LG Bochum Urt. v. 22.4.2024 – 8 O 433/23 | 0 EUR Dem Kl. steht zunächst kein Anspruch auf immateriellen Schadensersatz entsprechen dem Klageantrag zu 1. für die vermeintlichen Datenschutzverstöße der Bekl. zu. Ein solcher Anspruch gegen die Bekl. ergibt sich weder aus Art. 82 Abs. 1 DS-GVO noch aufgrund vertraglicher Grundlage oder aufgrund sonstiger Vorschriften. Dabei kann dahinstehen, ob - was in der bisherigen instanzgerichtlichen Rspr. in einer Vielzahl von Parallelverfahren bundesweit unterschiedlich beurteilt wird - das Vorgehen der Bekl., insb. die Ausgestaltung des Registrierungsprozesses, die Erhebung und Verarbeitung personenbezogener Daten der Nutzerinnen und Nutzer und der Umstand, dass einige der so gewonnenen personenbezogenen Daten dem massenhaften Zugriff Dritter ausgesetzt waren, in der von der Kl. behaupteten Weise gegen die DS-GVO verstößt. Einen bzw. mehrere solcher Verstöße hat zuletzt das auch für die hiesige Kammer als Berufungsgericht zuständige OLG Hamm mit seiner Entscheidung vom 15.08.2023, 7 U 19/23, bejaht. Jedenfalls scheitern aber die geltend gemachten Ansprüche auf Gewährung eines immateriellen Schadensersatzes an einer ausreichenden Darlegung eines (kausalen) ersatzfähigen Schadens des Kl. Nach den Erwägungsgründen der europäischen Grundrechtscharta ist der Schadensbegriff zwar weit auszulegen (s. Erwägungsgrund 146 DS-GVO, auch wenn er in der DS-GVO nicht näher definiert wird), allein eine unterstellte Verletzung des Datenschutzrechts als solche begründet allerdings nicht schon für sich gesehen einen Schadensersatzanspruch für betroffene Personen, was der EUGH in seiner Entscheidung v. 4.5.2023 eindeutig bestätigt hat. Anderenfalls würde der mit der Vorschrift des Art. 82 Abs. 1 DS-GVO angestrebte Nachteilsausgleich zu einem reinen Sanktionierungsinstrument für Datenschutzverstöße umgedeutet. Auch wenn nach dieser vorgenannten Entscheidung keine Erheblichkeitsschwelle für die Bejahung eines Schadens iSd Art. 82 Abs. 1 DS-GVO existiert, enthebt dies einen Kl. jedoch nicht davon, konkrete Umstände in seinem individuellen Einzelfall vorzutragen, aus denen sich eine Beeinträchtigung gerade bei ihm ergibt, die zudem kausal auf den etwaigen Datenschutzverstoß zurückzuführen sein muss. Daran fehlt es hier. |
| LG München I Urt. v. 19.4.2024 – 31 O 2122/23 = ZD 2024, 409 | 0 EUR Der Kl. hat keinen Anspruch auf immateriellen Schadensersatz aus Art. 82 Abs. 1 DS-GVO. Denn es fehlt jedenfalls am Eintritt eines immateriellen Schadens, der sich kausal auf den streitgegenständlichen Datenschutzvorfall zurückführen lässt. Das Merkmal des immateriellen Schadens ist autonom auszulegen. Erwägungsgrund 146 S. 3 DS-GVO bestimmt, dass der Begriff des Schadens im Lichte der Rspr. des Gerichtshofs weit auf eine Art und Weise ausgelegt werden soll, die den Zielen dieser Verordnung in vollem Umfang entspricht. Erwägungsgrund 75 DS-GVO nennt etwa Identitätsdiebstahl, finanzielle Verluste, Rufschädigung oder den Verlust der Kontrolle personenbezogener Daten. Ein deutsches Verständnis bzw. eine enge Auslegung des Schadensbegriffs ist mithin nicht angezeigt. Eine Erheblichkeitsschwelle für das Vorliegen eines solchen Schadens ergibt sich aus der DS-GVO nicht. Bagatellschäden sind daher nicht auszuschließen. Erforderlich ist aber jedenfalls, dass ein konkreter immaterieller Schaden auch tatsächlich eingetreten („entstanden“ bzw. „erlitten“, vgl. Erwägungsgrund 146 S. 6 DS-GVO) ist. Ein bloßer Verstoß gegen die Bestimmungen der DS-GVO reicht nicht aus, um einen Schadensersatzanspruch zu begründen. Denn ein Schadensersatzanspruch setzt das Vorliegen eines „Schadens“ ebenso wie das Vorliegen eines Verstoßes gegen die DS-GVO und eines Kausalzusammenhangs zwischen Verstoß und Schaden voraus, „wobei diese drei Voraussetzungen kumulativ sind“. Die Klagepartei ist für den konkreten Schaden darlegungs- und ggf. beweispflichtig. Unter Zugrundelegung dieses Maßstabs hat der Kl. nicht zur Überzeugung des Gerichts dargelegt, dass bei ihm aufgrund eines möglichen Datenschutzverstoßes der Bekl tatsächlich ein immaterieller Schaden eingetreten ist. Die Ausführungen hierzu in der Klageschrift erschöpfen sich lediglich in allgemeinen formelhaften Wendungen, die mit identischem Inhalt in einer Vielzahl von Verfahren vorgebracht wurden und werden. Diesbezüglich wurde nur vorgetragen, der Kl. leide seither unter einem erhöhten Spamaufkommen, er lebe seither in Sorge vor einem Missbrauch seiner Daten und habe einen „anhaltenden Kontrollverlust über persönliche und sensible Daten“ erlitten. Die Kausalität zwischen Datenschutzverstoß und Schaden ist nach dem eindeutigen Wortlaut des Art. 82 Abs. 2 DS-GVO erforderlich. |
| NEU LG Köln Urt. v. 19.4.2024 - 12 S 4/23 | 0 EUR Ein Anspruch auf Ersatz eines immateriellen Schadens aus Art. 82 DS-GVO besteht nicht. Der EuGH hat zwischenzeitlich entschieden, dass Art. 82 Abs. 1 DS-GVO dahingehend auszulegen ist, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadensersatzanspruch zu begründen. Zwar hat der EUGH gleichzeitig entschieden, dass Art. 82 Abs. 1 DS-GVO dahingehend auszulegen ist, dass er einer nationalen Regelung oder Praxis entgegensteht, die den Ersatz eines immateriellen Schadens iSd Bestimmung davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat. Allerdings bedeutet diese Auslegung nicht, dass eine Person, die von einem Verstoß gegen die DS-GVO betroffen ist, der für sie negative Folgen gehabt hat, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden iSv Art. 82 DS-GVO darstellen. Der Gerichtshof hat diese Bestimmung dahingehend ausgelegt, dass der bloße Verstoß gegen die DS-GVO nicht ausreicht, um einen Schadensersatzanspruch zu begründen, nachdem er u.a. hervorgehoben hat, dass das Vorliegen eines „Schadens“, der entstanden ist, eine der Voraussetzungen für den in Art. 82 Abs. 1 DS-GVO vorgesehenen Schadensersatzanspruch darstellt, ebenso wie das Vorliegen eines Verstoßes gegen diese Verordnung und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind. Der Kl. legt einen irgendwie gearteten immateriellen Schaden nicht dar. Das bloße längere Zuwarten auf die Erteilung der Auskunft bzw. die „verspätete Auskunft“ kann einen solchen nach der o.g. Entscheidung des EuGH keinesfalls darstellen, da dies bei einem Verstoß gegen die DS-GVO immanent ist und nicht über den bloßen Verstoß hinausgeht. Ein dadurch bedingter, angeblich erlittener „Kontrollverlust“ hinsichtlich der eigenen Daten kann vor diesem Hintergrund ebenfalls nicht ausreichen, da nicht dargelegt und ersichtlich ist, dass dieser über die Umstände hinausgeht, die mit jedem einfachen Verstoß gegen die Bestimmungen der DS-GVO für den Betroffenen verbunden sind. Insofern bedurfte es auch keiner weiteren Vorlagefrage an den EuGH. Es handelt sich im Hinblick auf die oben zitierte bereits ergangene Rechtsprechung um einen acte claire im Sinne des Art 99 der Verfahrensordnung des Gerichtshofs der Europäischen Union. Im Gegensatz dazu hat der Kl. in BGH, EuGH-Vorlage vom 26. September 2023 – VI ZR 97/22 , über den abstrakten Kontrollverlust hinaus weitere negative Gefühle aufgrund der besonderen Umstände dieses Einzelfalles (Weitergabe der Daten an Dritte) dargelegt, die den BGH zu einer weiteren Vorlagefrage in dieser Hinsicht veranlasst haben. So liegt der Fall hier nicht. |
| NEU LG Ravensburg Urt. v. 16.4.2024 – 2 O 140/23 = ZD 2024, 746 | 1.000 EUR Dem Kl. steht gegen die Bekl. als Verantwortliche iSv Art. 4 Nr. 7 DS-GVO anzusehen ist ein Anspruch auf immateriellen Schadensersatz iHv 1.000 EUR aus Art. 82 Abs. 1 DS-GVO aufgrund von verschiedenen Verstößen gegen die DS-GVO zu. Die Bekl. hat gegen Art. 32 Abs. 1 DS-GVO verstoßen, da sie den Datensatz des Klägers nicht genügend gegen einen Angriff durch „Web-Scraping“ geschützt hat. Durch Verwendung von „Sicherheitscaptchas“ wäre ein Angriff durch maschinelles Abfragen von Daten mittels Eingabe von Nummernfolgen verhindert oder jedenfalls wesentlich erschwert worden. Die Bekl. hat nicht konkret behauptet, dass sie bei dem CIT (Contact-Import-Tool) konkret „Sicherheitscaptchas“ verwendet hat. Außerdem hat die Bekl. gegen Art. 33 Abs. 1 DS-GVO verstoßen, indem sie den Datenschutzverstoß nicht unverzüglich innerhalb von 72 Stunden nach Bekanntwerden bei der zuständigen Behörde gemeldet hat, und außerdem gegen Art. 34 Abs. 1 DS-GVO, indem sie den Kl. nicht unverzüglich nach Bekanntwerden informiert hat. Durch die unbefugte Veröffentlichung seiner personenbezogenen Daten hat der Kl. einen ersatzfähigen Schaden erlitten. Zwar ist ein bloßer Verstoß gegen die DS-GVO nicht ausreichend, um einen Schadensersatzanspruch gem. Art. 82 Abs. 1 DS-GVO zu begründen. Andererseits ist der Ersatz eines immateriellen Schadens aber auch nicht davon abhängig, dass eine bestimmte Erheblichkeitsschwelle erreicht ist. Im Urt. v. 14.12.2023 - C-340/21 [= ZD 2024, 150 mAnm Sosna/Ligocki = MMR 2024, 231 mAnm Kohl/Rothkegel] hat der EuGH ergänzend ausgeführt, dass allein der Umstand, dass eine Person befürchtet, ihre personenbezogenen Daten könnten missbräuchlich verwendet werden, einen immateriellen Schaden darstellen kann. Nach diesen Maßstäben hat der Kl. einen ersatzfähigen immateriellen Schaden erlitten. Der Kl. ist konkret und individuell geschädigt worden, denn seine persönlichen Daten einschließlich durch die Methode des Scraping zuordenbarer Telefonnummer sind infolge des Verstoßes tatsächlich an unbefugte Personen gelangt. Außerdem hatte der Kl. im Zeitraum danach befürchtet, dass seine Daten missbraucht werden. Dies ergibt sich aus seinen glaubhaften Angaben in der informatorischen Vernehmung in der mündlichen Verhandlung. Er hat gut nachvollziehbar angegeben, dass er aufgrund von Handy- und Facebook-Anrufen unbekannter Dritter, die am Telefon nichts gesprochen hatten, Angst bekommen hat und wegen seiner Befürchtungen die Telefonnummer gewechselt hat. Bei einer Gesamtwürdigung ist zu berücksichtigen, dass unterschiedliche Datenschutzverstöße vorliegen, nämlich einerseits der unzureichende Schutz im Vorfeld des Datenabflusses und andererseits die fehlende Information im Anschluss daran. Letzteres ist ebenfalls gravierend. Der Geschädigte hat ein erhebliches Interesse daran, dass er selbst und die zuständige Behörde frühzeitig von einem Verstoß in Kenntnis gesetzt werden. Insgesamt war ein maßvoller Schadensersatzbetrag von 1.000 EUR festzusetzen. Der mit dem Klageantrag Nr. 4 geltend gemachte Schadensersatzanspruch gem. Art. 82 Abs. 1 DS-GVO besteht nicht. Es kann dahingestellt bleiben, ob die Bekl. gegen Art. 15 Abs. 1 DS-GVO verstoßen hat, indem sie eine ungenügende Auskunft erteilt hat. Ein solcher Verstoß kann schon deshalb keinen Schadensersatzanspruch begründen, weil dadurch kein zusätzlicher immaterieller Schaden des Kl. entstanden ist. IRd materiellen Schadensersatzanspruchs nach Art. 82 Abs. 1 DS-GVO kann der Kl. auch die Freistellung vom Anspruch der Prozessbevollmächtigten des Kl. auf Bezahlung vorgerichtlich angefallener Rechtsanwaltsgebühren beanspruchen. Verzugseintritt ist dazu nicht notwendig, denn der Anspruch auf Schadensersatz entsteht mit der Verletzungshandlung. Ausgehend von den in Ansatz zu bringenden Gegenstandswerten für die jeweiligen Klageanträge Nr. 1 und Nr. 4 mit einem Wert von 2.500 EUR ergibt sich eine 1,3-Anwaltsgebühr inkl. MwSt. und Postpauschale von 220,27 EUR. Eine Verzinsung kann der Kl. insoweit nicht verlangen. Soweit der Kl. dem Prozessbevollmächtigten Verzugszinsen erstatten muss, hätte er dies im Rahmen seiner Schadensminderungspflicht durch rechtzeitige Zahlung abwenden können. |
| LG Wiesbaden Urt. v. 16.4.2024 – 10 O 100/23 | 0 EUR Die Klage hinsichtlich des Antrags zu 1 (Schmerzensgeld) ist unbegründet. Ob hier ein Verstoß gegen Art. 6 Abs. 1 sowie Art. 5 Abs. 1 lit. a DS-GVO vorliegt, kann dahingestellt bleiben. Es fehlt jedoch an einem ersatzfähigen Schaden. Es war für das Gericht bei Durchlesen der Klageschrift schon nicht ersichtlich, inwieweit die Weitergabe von so genannten Positivdaten (oder nur Vertragsdaten?), nämlich dass der Kunde einen Mobilfunkvertrag abgeschlossen hat, zu einem immateriellen Schaden führen soll. Der diesbezügliche Sachvortrag ist pauschal und wird in zahlreichen weiteren Klagen inhaltsgleich verwendet. Angeblich habe der Kl. nach seiner Auskunft v. 14.10.2023 das Gefühl eines Kontrollverlustes und große Sorge auch in Bezug auf die eigene Bonität. Schon diese Aussage ist schlicht nicht nachvollziehbar, wenn die zitierte Information aus der S. Auskunft weiter gemeldet worden sind. Es ist für das Gericht nicht nachvollziehbar, wie Sorge hinsichtlich der eigenen Bonität entstehen kann. Ein Problem könnte doch allenfalls dann entstehen, wenn entsprechende Negativdaten weitergeleitet würden. Es ist genauso wenig ersichtlich, wie eine ständige Angst vor - mindestens - unangenehmen Rückfragen überhaupt erklärbar sein soll. Es scheint maßlos übertrieben, wenn diesbezüglich von einer „ständigen Angst“ gesprochen wird. Bei dem Begriff „Angst“ handelt es sich um eine Steigerung zum Begriff der Befürchtung. Es ist aber schon nicht plausibel, inwieweit überhaupt eine Befürchtung bestehen könnte, dass unangenehme Rückfragen erfolgen, wenn die angegebene Information aus der S. Auskunft weitergeleitet werden. Auch ist nicht nachvollziehbar, inwieweit die freie Entscheidung des Kl. im Hinblick auf neue Vertragsabschlüsse und freie Entfaltungsmöglichkeiten bei der weiteren Gestaltung des eigenen Lebens untergraben werden. Die Anhörung des Kl. in der mündlichen Verhandlung v. 11.4.2024 hat auch nichts davon zutage gefördert. Der Kl. vermochte auf Nachfrage schon nicht zu sagen, wie genau die Mitteilung der S. lautete, die Stein des Anstoßes war. Es entstand der Eindruck, dass er den Begriff „Positivdaten“ als Problem aufgeschnappt hat. Ob diese den Vertragsdaten entsprechen, konnte er aber auch nicht sagen. Eine irgendwie geartete spürbar tatsächliche Beeinträchtigung persönlichkeitsbezogener Belange von einigem Gewicht hat der Kl. nicht dargetan und ist für das Gericht nicht ansatzweise erkennbar. IÜ bleibt festzuhalten, dass der Kl. bereits beim Abschluss des Vertrages darauf hingewiesen worden ist, dass personenbezogene Daten an Auskunfteien übermittelt würden. Wenn dies ihn tatsächlich so belastet hätte oder belasten würde, hätte er konsequenterweise einen solchen Vertrag mit diesem Mobilfunkanbieter nicht abschließen dürfen oder ihn wenigstens nach der S.-Auskunft kündigen müssen. Da die Klage somit teilweise unzulässig, teilweise unbegründet ist, sind auch die geltend gemachten Anwaltskosten nicht zu erstatten. |
| LG Regensburg Urt. v. 15.4.2024 – 75 O 1040/23 = ZD 2024, 588 | 0 EUR Die Klagepartei hat insbesondere keinen Anspruch auf Ersatz immaterieller Schäden gem. Art. 82 Abs. 1 DS-GVO. Es kann dahinstehen, ob ein Verstoß der Bekl. gegen Art. 6 oder 15 DS-GVO überhaupt vorliegt. Denn die Klagepartei hat nicht bewiesen, dass ihr tatsächlich ein immaterieller Schaden entstanden ist. Für den – hier geltend gemachten – immateriellen Schadensersatz gelten dabei die iRv § 253 BGB entwickelten Grundsätze; die Ermittlung obliegt dem Gericht nach § 287 ZPO. Es können für die Bemessung die Kriterien des Art. 83 Abs. 2 DS-GVO herangezogen werden, zB die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie die betroffenen Kategorien personenbezogener Daten. Zu berücksichtigen ist auch, dass die beabsichtigte abschreckende Wirkung nur durch für den Anspruchsverpflichtenden empfindliche Schmerzensgelder erreicht wird, insbesondere wenn eine Kommerzialisierung fehlt. Ein genereller Ausschluss von Bagatellfällen ist damit nicht zu vereinbaren. Die Pflicht zur Erstattung immaterieller Schäden ist daher nicht auf schwere Schäden beschränkt. Bestätigt wurde dies jüngst durch eine Entscheidung des EuGH, wonach der Ersatz eines immateriellen Schadens iSd Art. 82 Abs. 1 DS-GVO nicht davon abhängig gemacht werden kann, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat. Allein eine etwaige Verletzung des Datenschutzrechts als solche begründete allerdings nicht bereits für sich gesehen einen Schadensersatzanspruch für betroffene Personen. Die Verletzungshandlung muss in jedem Fall auch zu einer konkreten Verletzung von Persönlichkeitsrechten der betroffenen Personen geführt haben. Die Verletzung der Vorschriften der DS-GVO ist nicht mit einem Schadenseintritt gleichzusetzen. Es ist zwar keine schwere Verletzung des Persönlichkeitsrechts erforderlich. Andererseits ist aber auch weiterhin nicht für jede im Grunde nicht spürbare Beeinträchtigung bzw. für jede bloß individuell empfundene Unannehmlichkeit ein Schmerzensgeld zu gewähren. Vielmehr muss dem Betroffenen ein spürbarer Nachteil entstanden sein und es muss um eine objektiv nachvollziehbare, tatsächlich erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen gehen. Diese Grundsätze erfuhren jüngst Bestätigung durch eine Entscheidung des EuGH; danach reicht der bloße Verstoß gegen Bestimmungen der DS-GVO nicht aus, um einen Schadensersatzanspruch zu begründen. Gemessen an diesen Grundsätzen hat die Klagepartei schon keine ausreichend spürbare Beeinträchtigung von persönlichen Belangen dargelegt, für die Anhaltspunkte bestehen, dass sie kausal auf die hier streitgegenständliche Datenverarbeitung zur Schaltung personenbezogener Werbung sowie des diesbezüglichen Informationsverhaltens zurückzuführen sein könnte. Zu berücksichtigen sei auch, dass der Auskunftsanspruch nach Art. 15 DS-GVO durchaus erhebliche Relevanz für die weitere Durchsetzung von Forderungen aus dem streitgegenständlichen Datenschutzverstoß habe und die Klägerseite infolge der unzureichenden Auskunft in der Wahrnehmung ihrer berechtigten (Schadensersatz-) Ansprüche beschränkt werde. Selbst wenn kein eigenständiger Schaden durch die unzureichende Auskunft seitens der Bekl. angenommen werden sollte, so habe sich in jedem Fall der bereits bestehende Schaden hierdurch erheblich intensiviert. Denn die Beklagtenseite habe die Klägerseite nach dem streitgegenständlichen Vorfall völlig im Dunkeln darüber gelassen, welche ihrer personenbezogenen Daten an welche dritte Empfänger möglicherweise weitergegeben wurden. Auch konnte sie nicht konkret nachvollziehen, wie ihre Daten durch die Bekl. zur zielgerichteten Werbung benutzt worden seien. Diese Ausführungen sind zu pauschal und lassen nicht erkennen, inwiefern der behauptete Kontrollverlust einen Schaden darstellen soll, welcher über eine bloße negative Folge hinausreicht. Der Kl. hat in seiner informatorischen Anhörung ausgeführt, dass er ganz viel Spam bekomme. Es sei Werbung, welche in seinem Spam-Ordner lande. Er bekomme Kreditanfragen über seine E-Mail und auch über seine Telefonnummer. Diese E-Mail-Adresse nutze der Kl. seit etwa 2010. Der Kl. fühle sich betroffen von geleakten Daten. Er könne nicht zuordnen, was er über Facebook bekommen habe, weil er Facebook kaum noch nutze. Er nutze Facebook und Instagram seit ca. einem Jahr kaum noch. Auf Facebook habe er Nachrichten erhalten und Werbeanzeigen, zB Krypto und Kredite. Als Schaden iSd DS-GVO kann nicht das vom Kl. behauptete erhöhte Spam-Aufkommen gewertet werden. Es ist schon zweifelhaft, ob diese Behauptung überhaupt ausreichend konkret dargelegt ist, denn die Behauptung eines immensen Spam-Aufkommens ist äußerst pauschal. Für einen hinreichend substantiierten Vortrag bedürfte es der Darstellung bis zu welchem Zeitpunkt wie viele solcher Nachrichten auf dem Handy eingegangen sind und ab wann sich dieses in welcher Form konkret verändert hat. Letztlich kann dies dahinstehen, denn es ist bereits der Kausalzusammenhang zwischen diesem erhöhten Spam-Aufkommen und dem Verhalten der Bekl. (Datenverarbeitung zur Schaltung personenbezogener Werbung sowie des diesbezüglichen Informationsverhaltens) klägerseits nicht nachgewiesen worden. Denn unerwünschte SMS und Spam-Mails erhalten gerichtsbekannt auch Personen, die keinen Facebook-Account haben. Ferner kann im Ergebnis dahinstehen, ob neben Art. 82 Abs. 1 DS-GVO auch nationales Recht anwendbar ist, oder das nationale Recht von den europarechtlichen Vorschriften der DS-GVO verdrängt wird. Denn auch bei der Annahme eines Nebeneinanders hat die Klagepartei mangels restitutionsfähigen Schadens keinen Schadensersatzanspruch gegen die Bekl., weder aus §§ 280 Abs. 1, 253 Abs. 2 BGB noch aus einer anderen nationalen Schadensersatznorm. |
| NEU LG Köln Urt. v. 10.4.2024 - 28 O 395/23 | 0 EUR Dem Kl. steht kein Anspruch auf Ersatz eines immateriellen Schadens gegen die Bekl. nach Art. 82 Abs. 1 DS-GVO zu. Dabei kann an dieser Stelle offenbleiben, ob der Bekl. Verstöße gegen die DS-GVO iSd Art. 82 Abs. 1 DS-GVO vorzuwerfen sind, denn der Kl. hat diesbezüglich nicht hinreichend substanziiert dargelegt, dass ihm ein Schaden entstanden ist. Art. 82 Abs. 1 DS-GVO ist dahin auszulegen, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadensersatzanspruch zu begründen. Vielmehr muss der Kl. einen konkreten immateriellen oder materiellen Schaden darlegen und beweisen, ebenso wie das Vorliegen eines Verstoßes gegen die DS-GVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind. Die nationalen Gerichte haben bei der Festsetzung der Höhe des Schadensersatzes die innerstaatlichen Vorschriften der einzelnen Mitgliedstaaten über den Umfang der finanziellen Entschädigung anzuwenden, sofern die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität beachtet werden. Erwägungsgrund 146 S. 3 DS-GVO spricht für eine weite Auslegung des Begriffs des Schadens in Art. 82 Abs. 1 DS-GVO. Damit ist etwa eine Erheblichkeitsschwelle in dem Sinne, dass immaterielle Bagatellschäden nicht ausgeglichen werden müssen, nicht zu vereinbaren. Eine Auslegung von Art. 82 Abs. 1 DS-GVO dahin, dass der Begriff „immaterieller Schaden“ iSd Bestimmung keine Situationen umfasst, in denen sich eine betroffene Person nur auf ihre Befürchtung beruft, dass ihre Daten in Zukunft von Dritten missbräuchlich verwendet werden, wäre nicht mit der Gewährleistung eines hohen Schutzniveaus für natürliche Personen bei der Verarbeitung personenbezogener Daten in der Union vereinbar, die mit diesem Rechtsakt bezweckt wird. Allerdings ist darauf hinzuweisen, dass eine Person, die von einem Verstoß gegen die DS-GVO betroffen ist, der für sie negative Folgen gehabt hat, nachweisen muss, dass diese Folgen einen immateriellen Schaden iSv Art. 82 DS-GVO darstellen. Insbesondere muss das angerufene nationale Gericht, wenn sich eine Person, die auf dieser Grundlage Schadensersatz fordert, auf die Befürchtung beruft, dass ihre personenbezogenen Daten in Zukunft aufgrund eines solchen Verstoßes missbräuchlich verwendet werden, prüfen, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann. Nach alledem kann ein „Kontrollverlust“ einen immateriellen Schaden iSv Art. 82 Abs. 1 DS-GVO darstellen. Einen immateriellen Schaden hat der Kl. vorliegend jedoch nicht dargelegt und ein solcher ist auch nicht ersichtlich. Der Kl. trägt hierzu vor, dass sich bei ihm, nachdem er das Auskunftsschreiben der Bekl. durchgelesen habe, unmittelbar ein Gefühl des Kontrollverlustes eingestellt habe. Seitdem lebe er mit der ständigen Angst vor - mindestens - unangenehmen Rückfragen in Bezug auf seine Bonität, sein Verhalten im Wirtschaftsverkehr oder was auch immer. Er frage sich ständig, inwiefern es eine Auswirkung auf ihn oder seinen O.-Score haben kann, zB dass er eine Handy-SIM-Karte bei einem sog. Billig-Anbieter habe oder dass überhaupt mehrere Mobilfunknummern auf ihn angemeldet seien oder inwiefern es von einer wie auch immer gearteten Norm abweiche, häufigere Providerwechsel durchzuführen. Ihm sei bekannt, dass eine O.-Auskunft und der dort errechnete O.-Score weitreichende Folgen bezüglich der Kreditwürdigkeit, des gesellschaftlichen Standings, der Wohnungsvergabe, Banken, Versandhäuser, Telekommunikationsunternehmen und vielen weiteren Auswahlkriterien habe. Er verstehe daher nicht, aus welchem Grund die Bekl. die gesetzlichen Vorgaben nicht beachtete und diese Daten an die O. übermittele. Dass der O.-Score, dessen konkrete Berechnung sowieso schon nicht öffentlich bekannt sei und daher für Besorgnis sorge, aus diesen unrechtmäßig weitergeleiteten Daten berechnet werde, habe für noch stärkere Sorgen gesorgt. Er habe große Sorge, wenn die Bekl. rechtswidrig Daten verarbeite. Aus dieser Angst resultiere ein starkes Gefühl der Hilflosigkeit und des Verlustes der Kontrolle über seine eigenen Daten. Der Gedanke an die Fremdbestimmtheit in Bezug auf seine Daten lasse den Kl. nicht mehr los. Vor allem vor dem Hintergrund, dass Daten in der aktuellen Zeit als wertvolles Gut gehandelt werden, hätten sich nach und nach immer mehr Gefühle der Angst ein sowie Beklemmungen eingestellt. Die Sorge, dass fremde Personen die Daten für allerlei Zwecke, gegebenenfalls illegale, nutzen, lasse den Kl. nicht zur Ruhe kommen. Er mache sich Gedanken über die Ausmaße der unerlaubten Datenweitergabe, Datenübermittlungen an Drittstaaten und Datennutzung für illegale Zwecke. Gerade durch diese Vorkenntnis habe sich beim Kl. ein intensives Gefühl des Unwohlseins und des psychischen und physischen Drucks eingestellt, das er als körperlichen Schaden wahrnahm. Soweit der Kl. behauptet, dass sich bei ihm, nachdem er das Auskunftsschreiben der Bekl. durchgelesen habe, unmittelbar ein Gefühl des Kontrollverlustes eingestellt habe und er seitdem mit der ständigen Angst vor - mindestens - unangenehmen Rückfragen in Bezug auf seine Bonität, sein Verhalten im Wirtschaftsverkehr oder was auch immer lebe, ist dies nicht nachvollziehbar. Denn aus dem Eintragen der Bekl. zu den bestehenden Mobilfunkverträgen ergeben sich keinerlei negative Rückschlüsse hinsichtlich der Liquidität des Kl. Vielmehr sprechen diese Dauerschuldverhältnisse aus Sicht potentieller Vertragspartner dafür, dass der Kl. seinen bisherigen vertraglichen Verpflichtungen stets nachgekommen ist und machen ihn somit zu einem attraktiven potentiellen Kunden/Vertragspartner. Soweit der Kl. weiter angibt, dass er sich ständig frage, inwiefern es eine Auswirkung auf ihn oder seinen O.-Score haben kann, zB dass er eine Handy-SIM-Karte bei einem sog. Billig-Anbieter habe oder dass überhaupt mehrere Mobilfunknummern auf ihn angemeldet seien oder inwiefern es von einer wie auch immer gearteten Norm abweiche, häufigere Providerwechsel durchzuführen, ergibt sich aus der Auskunft der O. vom 03.11.2022, dass der Scorewert am 04.10.2022 der Basisscore 99,29 % von theoretisch möglichen 100 % beträgt. Der Auskunft vom 12.12.2022 ist der gleiche Wert zu entnehmen. Damit ist für den Kl. klar ersichtlich, dass er über einen sehr hohen Scorewert verfügt, weshalb der Eintrag bezüglich der S. keine negativen Auswirkungen auf den Scorewert haben konnten. Soweit der Kl. weiter in der mündlichen Verhandlung vorgetragen hat, der Schaden liege bereits in der Verletzung des Rechts auf informationelle Selbstbestimmung, so vermag der Kl. hiermit ebenfalls nicht durchzudringen. Eine derartige Auslegung des Schadensbegriffs liefe im Ergebnis darauf hinaus, dass bereits der Verstoß gegen die Vorschriften der DS-GVO einen Schaden iSd Art. 82 DS-GVO darstellen würde. Denn die Vorschriften der DS-GVO schützen gerade das Recht auf informationelle Selbstbestimmung, sodass mit jedem Verstoß auch eine Verletzung des Rechts auf informationelle Selbstbestimmung einhergeht. Dies reicht jedoch gerade nicht aus, um einen Schadensersatzanspruch zu begründen. Ein Schadensersatz wegen unvollständiger Auskunft scheitert schon daran, dass eine Verletzung des Auskunftsanspruchs nicht gegeben ist. |
| LG Passau Urt. v. 9.4.2024 – 4 O 260/23 | 0 EUR Die Klagepartei hat keinen Schadensersatzanspruch gegen die Bekl. aus Art. 82 Abs. 1 DS-GVO. Es fehlt bereits an einem relevanten Verstoß gegen die Bestimmungen der DS-GVO. Die Pflichten zur Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde (Art. 33 DS-GVO) bzw. zur Benachrichtigung der hiervon betroffenen Person (Art. 34 DS-GVO) bzw. die Auskunftspflicht nach Art. 15 DS-GVO fallen nicht in den Schutzbereich des Art. 82 DS-GVO, da es sich um keine Pflichten iRd Datenverarbeitung (Art. 82 Abs. 2 S. 1 DS-GVO), sondern um dieser nachgelagerte Pflichten handelt. Jedenfalls kann durch etwaige Verletzung dieser Pflichten der Klagepartei kein zusätzlicher Schaden entstanden sein, nachdem der „Scraping“-Vorfall sich bereits ereignet hatte und der Klagepartei ohnehin keine effektiven Mittel zur Verfügung standen, der weiteren Verbreitung der Daten zu begegnen. Sofern die Datenschutzbehörden einen Verstoß der Bekl. gegen die Bestimmungen der DS-GVO bejahen sollte, entfaltet diese keine jedenfalls Bindungswirkung für das Gericht. Der Klagepartei ist zudem kein kausaler Schaden entstanden. Beweisbelastet für den Eintritt eines durch einen Verstoß gegen die DS-GVO verursachten Schadens ist nach allgemeinen Grundsätzen die Klagepartei. Ein Schaden resultiert nicht aus der bloßen Verletzung der DS-GVO, sondern diese muss zu einer tatsächlichen Beeinträchtigung führen. Zwar kann allein der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen diese Verordnung befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, einen „immateriellen Schaden“ im Sinne dieser Bestimmung darstellen. Der Nachweis eines kausalen Schadens ist auch nach dem Beweismaßstab des § 287 ZPO nicht geführt. Die persönliche Anhörung der Klagepartei hat ergeben, dass diese gehäuft dubiose Anrufe von Unbekannten, darunter auch von ausländischen Nummern und Spam-SMS sowie Nachrichten über WhatsApp erhalten. Nach ihrem eigenen Vortrag im Rahmen ihrer informatorischen Anhörung hat Klagepartei hat im Zeitraum 2005 bis 2018 eine private Stellenvermittlung betrieben und im Rahmen dieser Tätigkeit auf Anfrage der Unternehmen an diese weitergegeben. Für einen kausalen Zusammenhang mit dem durch den „Scraping“-Vorfall nach klägerischem Vortrag veröffentlichen Datensatz gibt es keinen Beleg. So ist es allgemein bekannt, dass auch Personen, die nicht bei „f“ angemeldet sind oder dort zumindest keine Telefonnummer hinterlegt haben, von Anrufen und Nachrichten, wie sie die Klagepartei beschreibt, geplagt werden. Soweit klägerseits ein Gefühl des Unwohlseins und Kontrollverlustes behauptet wird, bleibt der klägerische Vortrag so allgemein, dass daraus ein konkreter, der gerichtlichen Bewertung zugänglicher Schaden nicht abgeleitet werden kann. Zwar ist der Schadensbegriff weit zu verstehen, er muss jedoch auch wirklich „erlitten“, das heißt „spürbar“ und objektiv nachvollziehbar sein. Woraus dieser Schaden konkret rühren soll, ist aus dem Vortrag der Klagepartei nicht zu entnehmen. |
| NEU LG Mainz Urt. v. 4.4.2024 – 2 O 204/23 | 0 EUR Der auf die Verurteilung der Bekl. zur Zahlung eines Schmerzensgeldes gerichtete Klageantrag ist zulässig aber unbegründet. Ein Schadensersatzanspruch der Kl. gem. Art. 82 Abs. 1 DS-GVO scheitert - jedenfalls - daran, dass die Kl. keinen Schaden dargelegt und nachgewiesen hat. Der Begriff des Schadens ist gem. Erwägungsgrund 146 S. 3 DS-GVO weit auf eine Art und Weise auszulegen, die den Zielen dieser Verordnung in vollem Umfang entspricht. Für einen Schadensersatzanspruch nach Art. 82 DS-GVO reicht allerdings der bloße Verstoß gegen die Bestimmungen der DS-GVO nicht aus. Der Ersatz eines immateriellen Schadens nach Art 82 DS-GVO ist dabei nicht davon abhängig, dass der entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht, so dass auch Bagatellschäden einen Schadensersatzanspruch begründen können. Nach der Rspr. des EuGH kann dieser Schaden auch darin liegen, dass der Kl. Angst vor einer missbräuchlichen Verwendung seiner personenbezogenen Daten durch Dritte hat. Dabei ist das Gericht gehalten, zu prüfen, ob diese Befürchtung unter den gegebenen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann. Die Kl. hat in der Klageschrift vorgetragen, bei ihr habe sich ein Gefühl des Kontrollverlustes und der großen Sorge, insb. auch auf eigene die Bonität, eingestellt. Das Gefühl des Kontrollverlusts sei geprägt von der Angst, einer unberechtigten Übermittlung an eine Auskunftei wie der S. Holding AG ausgesetzt zu sein und beunruhige sie bis zum heutigen Tag. Sie lebe mit der ständigen Angst vor - mindestens - unangenehmen Rückfragen im Bezug auf das allgemeine Verhalten im Wirtschaftsverkehr oder einer Verfälschung des S.-Scores. Bei diesen geschilderten Beeinträchtigungen handelt es sich um psychische Folgen des Datenschutzverstoßes der Bekl., die als solche nur von ihr selbst wahrgenommen werden können. Um daraus einen Schaden ableiten zu können, also einen Nachteil des Betroffenen, der iSv Erwägungsgrund 146 konkret "erlitten" wurde und damit über die reine Behauptung des entsprechenden Gefühls hinausgeht, muss die Kl. konkrete Indizien vortragen und unter Beweis stellen, die eine solche psychische Beeinträchtigung ihrer Person stützen können. Dies bedeutet, dass für die von der Kl. behaupteten immateriellen Schäden in Form von Angst und Sorge jedenfalls auch objektive Beweisanzeichen vorhanden sein müssen, da andernfalls die bloße Bekundung des Betroffenen, einen immateriellen Schaden in Form belastender Gefühle erlitten zu haben, für einen Ersatzanspruch ausreichen würde. Hieran fehlt es vorliegend, weil die Kl. auch im Rahmen ihrer persönlichen Anhörung keine derartigen objektiven Beweisanzeichen aufzeigen konnte. Sie hat vielmehr glaubhaft angegeben, dass sie erst in Folge der Kontaktaufnahme mit der von ihr beauftragten Anwaltskanzlei die S.-Auskunft angefordert und sich damit auseinandergesetzt habe, was das für sie bedeute. Sie wisse nicht, was der Eintrag bei der S. für sie bedeute und das sei eine Unsicherheit. Die möglichen Auswirkungen der Meldung schafften Unsicherheiten und sie sei in Sorge. Das Verfahren sei für sie wichtig, weil sie geklärt haben wolle, dass das keine Belanglosigkeit sei und es von Bedeutung sei, dass einfach Daten weitergegeben würden. Aufgrund der Impulse ihrer Anwaltskanzlei habe sie sich Gedanken gemacht, was die S.-Auskunft für sie bedeute. Sie sei hinsichtlich der Datenweitergabe jetzt vorsichtiger geworden und entscheide bewusster, welche Felder sie zB bei der Registrierung im Internet ankreuze. |
| LG Gießen Urt. v. 3.4.2024 – 9 O 523/23 = ZD 2024, 589 | 0 EUR Dem Kl. steht kein Anspruch auf Zahlung eines immateriellen Schadensersatzes aus Art. 82 Abs. 1 DS-GVO oder einer anderen denkbaren Anspruchsgrundlage gegen die Bekl. zu. Der allein vom Kl. vorgetragene und aus dem Vortrag ersichtliche Verstoß der Bekl. gegen Art. 6 Abs. 1 S. 1 lit. f DS-GVO liegt nicht vor. Insoweit ist in Rspr. und lit. streitig, ob die von der Bekl. vorgetragenen berechtigten Interessen, namentlich die Betrugsprävention, Überschuldungsprävention, Präzision der Ausfallrisikoprognosen, Validierung der bei der S. AG vorhandenen Daten, das Recht des Kl. auf informationelle Selbstbestimmung überwiegen. Die Kammer schließt sich der Ansicht an, die den Interessen der Bekl. vorliegend den Vorrang gibt. Dafür spricht insb., dass die vom LG München I aufgeführten milderen Maßnahmen, dem hochautomatisierten Massegeschäft der Telekommunikationsdienstleister nicht gerecht werden und infolgedessen vielleicht ein milderes, aber kein geeignetes Mittel zur Erreichung der legitimen Interessen der Bekl. sind. IÜ mangelt es an einem ersatzfähigen Schaden der Kl. iSd Art. 82 Abs. 1 DS-GVO. Das Merkmal des immateriellen Schadens ist autonom auszulegen. Erwägungsgrund 146 S. 3 DS-GVO sieht vor, dass der Begriff des Schadens im Lichte der Rspr. des EuGH weit auf eine Art und Weise ausgelegt werden soll, die den Zielen dieser Verordnung in vollem Umfang entspricht. Erwägungsgrund 75 DS-GVO nennt etwa Identitätsdiebstahl, finanzielle Verluste, Rufschädigung oder den Verlust der Kontrolle personenbezogener Daten. Ein deutsches Verständnis zum Begriff des Schadens – etwa eine enge Auslegung – ist mithin nicht angezeigt. Eine Erheblichkeitsschwelle für das Vorliegen eines solchen Schadens ergibt sich gerade nicht aus der DS-GVO. Bagatellschäden sind nicht auszuschließen. Zu verlangen ist aber jedenfalls, dass ein konkreter immaterieller Schaden auch tatsächlich eingetreten („entstanden“) ist. Diesen muss die Kl. darlegen und ggf. beweisen. Auch unter Berücksichtigung eines weiten Verständnisses des immateriellen Schadens, das ausdrücklich auch Bagatellschäden einschließt, vermag der formelhafte nicht individuelle Vortrag, das Tatbestandsmerkmal des Schadens nicht schlüssig auszufüllen. Die Behauptung, beim Kl. habe sich nach Erhalt der 10 Seiten langen Auskunft der S. AG mit 29 Einträgen, davon diversen über Einträge in das Schuldnerverzeichnis, ein Gefühl des Kontrollverlustes und der großen Sorge, insb. auch in Bezug auf die Bonität, aufgrund der Positivmitteilung der Bekl. und nicht etwa aufgrund der anderen negativen Eintragungen eingestellt, ist darüber hinaus so offensichtlich falsch, dass es sich nur um eine intentionale Falschbehauptung handeln kann. Die Bonität des Kl. ist deshalb und zu Recht schlecht, weil er in der Vergangenheit seine Verbindlichkeiten nicht bedient hat. Die Meldung der Bekl. war im konkreten Fall sicher nicht geeignet, die Bonität des Kl. weiter zu verschlechtern. |
| NEU LG Bonn Urt. v. 28.3.2024 – 19 O 221/23 = ZD 2024, 742 | 0 EUR Es kann dahinstehen, ob der Bekl. Verstöße gegen Art. 25 Abs. 1 oder Art. 32 DS-GVO wegen der Übermittlung sog. Positivdaten vorzuwerfen sind. Ein Schadensersatzanspruch nach Art. 82 ab. 1 DS-GVO scheidet jedenfalls deshalb aus, weil der Kl. einen darauf beruhenden Schaden nicht substantiiert dargelegt und nachgewiesen hat. Nach Art. 82 DS-GVO ist Schadensersatz zu leisten, wenn ein Verstoß gegen die DS-GVO dargelegt und ggf. nachgewiesen wird sowie ein tatsächlich erlittener materieller oder immaterieller Schadens und ein Kausalzusammenhang zwischen dem Verstoß und dem Schaden; der bloße Verstoß gegen Bestimmungen der DS-GVO oder die Möglichkeit eines Schadenseintritts reicht demnach nicht aus. Die Darlegungs- und Beweislast trägt insoweit der Anspruchsteller. Dass er infolge von Verstößen gegen die DS-GVO materielle Schäden erlitten habe, wird vom Kl. bereits nicht behauptet. Ein Schadensersatzanspruch ist auch nicht gegeben, soweit der Kl. als Folge von der Bekl. anzulastenden Datenschutzverstößen immaterielle Schäden in Form eines „Kontrollverlusts“ über die ihn betreffenden personenbezogenen Daten, verbunden mit dem Gefühl großen Unwohlseins, Stress und Sorge erlitten haben will. Der Kontrollverlust stellt für sich genommen nicht bereits einen immateriellen Schaden dar. Ein reines „Befürchten“ von Nachteilen ist kein Schaden iSd DS-GVO. Soweit der Kl. in der Klageschrift und der Replik seine entsprechenden Befürchtungen beschrieben hat, handelt es sich um pauschale Angaben und eine Abfolge von Textbausteinen, die sich (wie gerichtsbekannt ist) in einer Vielzahl von parallel gelagerten Verfahren der Klägerkanzlei wortgleich finden. Dass sämtliche der von den Klägervertretern vertretenen Kl. ein identisches subjektives und individuelles Erleben haben und identische Empfindungen des Unwohlseins und der Sorge, erscheint der Kammer nicht glaubhaft. Auch im Rahmen seiner persönlichen Anhörung konnte der Kl. nicht näher angeben, inwieweit das Gefühl des Kontrollverlusts, des Unwohlseins und der Sorge gerade darauf gegründet ist, dass Dritte davon erfahren könnten, dass er einen Mobilfunkvertrag mit der Bekl. hat und sich ihr ggü. vertragstreu verhält. Ein konkreter, objektiver Zusammenhang zwischen der Datenübermittlung der Bekl. und der Lebensführung des Kl. wurde nicht behauptet, so dass ein Rückschluss von derartigen Umständen auf sein inneres Erleben nicht möglich ist. Vielmehr hat der Kl. ausdrücklich erklärt, dass er bisher keine Nachteile durch den Eintrag betreffend das Vertragsverhältnis mit der Bekl. erlitten habe. Insb. hat sich seine angebliche Befürchtung bisher nicht realisiert, dass seine Bonität in Zweifel gezogen wurde. Sein S.-Score von 99,11 % sei gut, und dass es nicht 100 % seien, hänge vermutlich mit seinem Hauskauf und der diesbezüglichen Finanzierung zusammen. |
| NEU LG Lüneburg Urt. v. 21.3.2024 – 6 O 167/23 | 200 EUR Die klagende Partei hat gegen die Bekl. einen Anspruch auf Zahlung eines immateriellen Schadensersatzes iHv 200 EUR gem. § 82 Abs. 1 DS-GVO. Nach Art. 82 Abs. 1 DS-GVO ist für eine Schadensersatzpflicht ein Verstoß gegen die DS-GVO erforderlich. Da der sachliche Anwendungsbereich der DS-GVO nach deren Art. 2 Abs. 1 jedoch nur für die Datenverarbeitung eröffnet ist, ist ein Verstoß in Form einer gegen die Vorschriften der DS-GVO erfolgten Datenverarbeitung erforderlich. Art. 82 Abs. 1, Abs. 2 S. 1 und S. 2 DS-GVO beinhalten daher lediglich die Klarstellung, dass der Verantwortliche für alle - durch entsprechende Verstöße verursachte - Schäden haftet, während der Auftragsverwalter nur unter weiteren Voraussetzungen für Schäden haftet. Eine Einschränkung hinsichtlich der - eine Haftung nach Art. 82 Abs. 1 DS-GVO begründenden - Verstöße liegt hierin jedoch nicht. Die Bekl. hat keine hinreichenden Sicherheitsmaßnahmen zur Verhinderung des streitgegenständlichen „Scraping-Vorfalls“ vorgehalten und somit gegen Art. 32, 24, 5 Abs. 1 lit. f DS-GVO verstoßen. Nicht jeglicher Verstoß gegen die DS-GVO ist anspruchsbegründend iSd Art. 82 Abs. 1 DS-GVO ist. Vielmehr ist erforderlich, dass der Verstoß iRe Verarbeitung der personenbezogenen Daten begangen worden ist. Zwar ist Art. 82 Abs. 1 DS-GVO dem Wortlaut nach weit gefasst, wenn als Voraussetzung dort lediglich ein Verstoß gegen die DS-GVO verlangt wird. Art. 82 Abs. 1 DS-GVO ist jedoch unter Berücksichtigung des Art. 82 Abs. 2 DS-GVO und des Erwägungsgrund 146 DS-GVO dahingehend auszulegen, dass von der Schadensersatzpflicht nur solche Schäden umfasst sind, die aufgrund einer Verarbeitung entstehen. Dies folgt zum einen aus dem Wortlaut des Absatzes 2 des Art. 82 DS-GVO, der die Anspruchsverpflichtung regelt, und explizit auf eine Verarbeitung Bezug nimmt. Anknüpfungspunkt für eine Haftung ist also eine der Verordnung nicht entsprechende Verarbeitung iSd Art. 4 Nr. 2 DS-GVO. Dies steht im Einklang mit dem Wortlaut des Erwägungsgrundes 146 DS-GVO, wonach der Verantwortliche oder der Auftragsverarbeiter Schäden, die einer Person aufgrund einer Verarbeitung entstehen, die mit der DS-GVO nicht im Einklang stehen, ersetzen sollte. Daher kommt nur ein Verstoß durch die Verarbeitung selbst in Betracht, die verordnungswidrig sein muss, um einen Schadensersatzanspruch auszulösen. Das Verhalten der Bekl., durch welches sie möglicherweise ihre Auskunfts-, Informations- oder Benachrichtigungspflichten verletzt hat, stellt evident keine Verarbeitung iSd oben genannten Legaldefinition dar und löst deshalb auch keinen Schadensersatzanspruch gem. Art. 82 Abs. 1 DS-GVO aus. Ferner begründet ein bloßer Verstoß des Verantwortlichen gegen die DS-GVO, ohne dass eine Schadenfolge eintritt, keine Haftung. Einen konkreten ersatzfähigen Schaden durch die (vermeintliche) Verletzung der Auskunfts-, der Informations- und der Benachrichtigungspflicht durch die Bekl. hat die klagende Partei nicht einmal behauptet. So hat sie weder vorgetragen, dass ihr inzwischen ein materieller Schaden entstanden ist, noch welche Sicherheitsmaßnahmen sie nach Kenntnis eingeleitet hat. Auch ist nicht dargelegt, wie die klagende Partei wirkungsvoller einer mutmaßlichen Bedrohung hätte begegnen können, wenn sie frühzeitiger informiert worden wäre. Dies auch angesichts der aus der Anhörung ersichtlich gewordenen Tatsache, dass er seine E-Mail-Adresse nach Bekanntwerden nicht änderte. Die Bekl. hat sich nicht gem. Art. 82 Abs. 3 DS-GVO von der vermuteten Haftung befreit. Die Verantwortung des Anspruchsverpflichteten wird zunächst grds. vermutet. Nach Art. 82 Abs. 3 DS-GVO wird der Anspruchsverpflichtete von der Haftung befreit, wenn er in keinerlei Hinsicht für den schadensverursachenden Umstand verantwortlich ist. Der Begriff der Verantwortlichkeit wird nicht definiert. Es kann vorliegend dahingestellt bleiben, ob dieser Begriff mit dem Begriff des Verschuldens nach der deutschen Rechtsterminologie gleichzusetzen ist oder ob Art. 82 DS-GVO als Gefährdungshaftungstatbestand zu verstehen ist, mit der Folge, dass eine Haftung des Verantwortlichen nur bei atypischen Kausalverläufen oder bei höherer Gewalt entfiele. Der Bekl. gelingt vorliegend nämlich weder der Nachweis fehlenden Verschuldens noch des Vorliegens ganz ungewöhnlicher Kausalverläufe, eines Falles höherer Gewalt oder weit überwiegenden eigenen Fehlverhaltens der klagenden Partei gelungen. Die Haftungsbefreiung greift bei Annahme, dass ein Verschulden vorauszusetzen ist, nur dann ein, wenn der Verantwortliche sämtliche Sorgfaltsanforderungen erfüllt hat und ihm nicht die geringste Fahrlässigkeit vorzuwerfen ist. Wie bereits oben dargestellt, hat die Bekl. in Kenntnis der Gefahr eines Sraping-Vorfalls keine geeigneten Schutzmaßnahmen getroffen, was zumindest fahrlässig gewesen ist. Ein ungewöhnlicher Kausalverlauf wird schon nicht behauptet. Ebenso kann sie sich auch nicht mit dem Verweis auf das Fehlverhalten des externen Dienstleisters M. S., Ltd der Haftung entziehen, da ein solches gem. Art. 82 Abs. 4 zu einer gesamtschuldnerischen Haftung führt, sodass auch die Bekl. aufgrund der schadensverursachenden Datenverarbeitung auf den Ersatz des gesamten Schadens in Anspruch genommen werden kann. Die klagende Partei erlitt durch das Verhalten der Bekl. einen konkreten ersatzfähigen immateriellen Schaden. Zunächst geht das Gericht davon aus, dass die Daten der klagenden Partei zu den entwendeten Daten gehören und diese im Darknet angeboten wurden. Unstreitig hat sich die klagende Partei im Jahre 2016 bei der Bekl. angemeldet und sich vor 2019 nicht wieder abgemeldet, so dass ihre Daten 2019 bei der Bekl. gespeichert gewesen sind. Mit E-Mail vom 19.06. hat die Bekl. selbst angegeben, dass sie persönliche Daten des Kl. gespeichert habe. Zudem hat die klagende Partei dargelegt, dass die Daten der klagenden Partei im Darknet angeboten worden sind, ohne dass die Bekl. dies mit Substanz bestritten hat. Das Gericht geht zudem davon aus, dass die klagende Partei einen immateriellen Schaden erlitten hat. Der Begriff des Schadens iSd Art. 82 Abs. 1 DS-GVO ist nach dem Erwägungsgrund 146 S. 3 DS-GVO weit auszulegen. Die Auslegung soll den Zielen der DS-GVO in vollem Umfang entsprechen, auch dem Ziel der Sanktion und Prävention. Ausreichend ist gem. Art. 82 Abs. 1 DS-GVO auch ein immaterieller Schaden. Erwägungsgrund 75 und 85 DS-GVO zählen beispielhaft auf, welche konkreten Beeinträchtigungen einen immateriellen Schaden darstellen können, darunter der Verlust der Kontrolle über die eigenen Daten. Allein der Umstand, dass eine betroffene Person in Folge eines Verstoßes gegen die DS-GVO befürchtet, dass Ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, kann einen „immateriellen Schaden“ iSd DS-GVO darstellen. Eine Erheblichkeitsschwelle muss nicht überschritten werden. Vorliegend erlitt die klagende Partei einen Kontrollverlust über ihre personenbezogenen Daten durch die Offenbarung ihrer E-Mail-Adresse, insb. auch, aber nicht nur durch die Verknüpfung dieser E-Mail-Adresse mit weiteren personenbezogenen Daten wie Vor- und Nachname und Geburtsdatum der klagenden Partei. Die abgegriffenen und veröffentlichen Daten bedeuten für die klagende Partei ein hohes Risiko, dass diese Daten unbefugt benutzt werden. Dies auch deshalb, weil die Daten im Darknet veröffentlicht wurden, welches bei entsprechender Kenntnis bekanntermaßen für jedermann zugänglich ist. Die negativen Folgen können dabei vielfältig sein und schwere Nachteile mit sich bringen, wie zB die Belästigung durch Spam- und Werbenachrichten, die Zusendung von Viren oder vermögenswirksame Handlungen zu Lasten der klagenden Partei, sodass ein Schadensersatzanspruch gerechtfertigt ist. Nach dem Grundsatz der Verfahrensautonomie unter Berücksichtigung des Äquivalenz- und Effektivitätsgrundsatzes gilt mit Blick auf den haftungsbegründenden hier immateriellen - Schaden das strenge Beweismaß des § 286 ZPO, das die volle Überzeugung des Gerichts verlangt. Diese erfordert keine absolute oder unumstößliche Gewissheit und auch keine an Sicherheit grenzende Wahrscheinlichkeit, sondern nur einen für das praktische Leben brauchbaren Grad von Gewissheit, der Zweifeln Schweigen gebietet. Der Tatrichter muss aufgrund der Beweisaufnahme entscheiden, ob er die Behauptung für wahr oder nicht für wahr hält; er darf sich nicht mit einer bloßen, wenn auch erheblichen Wahrscheinlichkeit begnügen. Es liegt auch die erforderliche Kausalität zwischen dem Verstoß der Bekl. gegen die DS-GVO und dem Schaden der klagenden Partei vor. Auch der immaterielle Schaden ist ursächlich auf die Datenschutzverstöße zurückzuführen, wobei eine Mitursächlichkeit ausreicht. Ein Schadensersatz iHv 200 EUR ist vorliegend angemessen. Art. 82 Abs. 1 DS-GVO macht bezüglich der Höhe des Schadensersatzanspruchs keine Vorgaben, sodass die Ermittlung gem. § 287 ZPO dem Gericht obliegt. Für die Bemessung der Höhe des Schadensersatzes können die Kriterien des Art. 83 Abs. 2 DS-GVO herangezogen werden, wie etwa die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs und des Zwecks der betreffenden Verarbeitung, weiterhin das Ausmaß des von der klagenden Partei erlittenen Schadens sowie die betroffenen Kategorien personenbezogener Daten. Zudem ist das Ziel des Schadensersatzanspruchs nach Art. 82 Abs. 1 DS-GVO zu berücksichtigen, Verstöße gegen die DS-GVO effektiv und abschreckend zu sanktionieren. Wesentlich für die Bemessung der Höhe des Schadensersatzes sind die konkreten Umstände des Einzelfalls. Vorliegend muss bei der Bemessung der Höhe des immateriellen Schadensersatzes der klagenden Partei zunächst berücksichtigt werden, dass der Kontrollverlust über die Daten hier zwar tatsächlich eingetreten ist und die oben beispielhaft dargestellten Risiken für die klagende Partei birgt. Allerdings ist auch zu berücksichtigen, dass die Gefahr von Spam- oder Phishing-Mails auch zum allgemeinen Lebensrisiko gehört, mit welcher auch ohne den Verstoß gegen die DS-GVO gerechnet werden muss. Eine gesunde Skepsis ggü. E-Mails ist damit in gewisser Weise ohnehin angezeigt. Schmerzensgeldmindernd ist zu berücksichtigen, dass es sich sämtlich um Daten aus der - grds. am wenigsten schutzwürdigen - Sozialsphäre der klagenden Partei nach der Rechtsprechung des Bundesverfassungsgerichts zum allgemeinen Persönlichkeitsrecht handelt. Höhere Schmerzensgelder werden insbesondere dann ausgeurteilt, wenn sensiblere Daten, wie bspw. Gesundheitsdaten, betroffen waren. Ferner war zu berücksichtigen, dass die Bekl. lediglich fahrlässig gehandelt hat und selbst Opfer eines Datendiebstahls durch kriminell handelnde Dritte wurde. Berücksichtigt werden muss daneben für die Bemessung der Schadensersatzhöhe auch die gesetzgeberisch beabsichtigte abschreckende Wirkung des Schadensersatzes, wobei die Kammer die hohe Abschreckungswirkung insbesondere in der Gesamtsumme aller immateriellen Schadensersatzansprüche gegen die Bekl. erblickt und berücksichtigt, dass das Allgemeininteresse im Schwerpunkt nach Art. 83 DS-GVO durch die Verhängung von Bußgeldern gewahrt wird. Die Höhe des von der Kammer angesetzten immateriellen Schadensersatzanspruchs berücksichtigt danach auch den Grundsatz der Verhältnismäßigkeit. Unter Abwägung dieser gesamten Gesichtspunkte erachtet das Gericht den ausgeurteilten (immateriellen) Schadensersatz iHv 200 EUR für angemessen, aber auch ausreichend. Als Teil des der klagenden Partei zustehenden Schadensersatzanspruchs hat sie gegen die Bekl. des Weiteren einen Anspruch auf Freistellung von den außergerichtlichen Rechtsanwaltskosten, allerdings nur nach einem Gegenstandswert iHv 700 EUR, so dass sich ein Anspruch iHv 159,94 EUR (1,3 Geschäftsgebühr zzgl. Auslagenpauschale iHv 20 EUR zzgl. Mwst) ergibt. Vorgerichtlich sind als berechtigte Ansprüche nur der immaterielle Schaden (Wert: 200 EUR) und Auskunft (Wert: 250 EUR) sowie Feststellung (Wert: 250 EUR) verlangt worden. |
| LG Frankfurt/M. Urt. v. 19.3.2024 – 2-10 O 691/23 = ZD 2024, 747 | 0 EUR Der Kl. hat gegen die Bekl. keinen Anspruch auf Zahlung eines immateriellen Schadensersatzes iHv 5.000 EUR aus Art. 82 Abs. 1 DS-GVO. Es kann dahinstehen, ob ein Verstoß gegen die Bestimmungen der DS-GVO vorliegt. Denn das Gericht kann nicht feststellen, dass der Kl. einen kausal auf die behaupteten Verstöße zurückzuführenden Schaden erlitten hat. Nach allgemeinen Grundsätzen obliegt es dem Kl., die Mitursächlichkeit darzulegen und ggf. zu beweisen. Der EuGH hat am 4.5.2023 entschieden, dass Art. 82 DS-GVO dahin auszulegen ist, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadensersatzanspruch zu begründen. Es geht aus dem Wortlaut von Art. 82 Abs. 1 DS-GVO klar hervor, dass das Vorliegen eines „Schadens“ eine der Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadensersatzanspruch darstellt, ebenso wie das Vorliegen eines Verstoßes gegen die DS-GVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind. Daher kann nicht davon ausgegangen werden, dass jeder Verstoß gegen die Bestimmungen der DS-GVO für sich genommen den Schadensersatzanspruch der betroffenen Person iSv Art. 4 Nr. 1 DS-GVO eröffnet. Eine solche Auslegung liefe dem Wortlaut von Art. 82 Abs. 1 DS-GVO zuwider. Ein abstrakter „Kontrollverlust“ reicht allein für einen immateriellen Schaden iSd Art. 82 DS-GVO nicht aus, für eine darüberhinausgehende Beeinträchtigung trägt der Anspruchsteller die Beweislast. Der Kl. hat im Rahmen seiner persönlichen Anhörung ausgeführt, er sei von seinen Prozessbevollmächtigten nicht hinsichtlich seiner emotionalen Lage aufgrund des streitgegenständlichen Sachverhalts befragt worden. Diese hätten ihm keine persönlichen Fragen gestellt und er sei nicht von seinen Prozessbevollmächtigten gefragt worden, wie es ihm mit der Weitergabe der Daten in Bezug auf den Mobilfunkvertrag an die SCH gehe. Die Darlegungslast für den Eintritt des konkreten immateriellen Schadens liegt jedoch beim Betroffenen und kann bei behaupteten persönlichen/psychologischen Beeinträchtigungen nur durch die Darlegung konkret-individueller – und nicht wie hier in einer Vielzahl von Fällen gleichartiger – dem Beweis zugänglicher Indizien erfüllt werden. Dass bloße negative Gefühle wie Unmut, Unzufriedenheit, Sorge und Angst, die an sich Teil des allgemeinen Lebensrisikos und oft des täglichen Erlebens sind, Grundlage für einen Schadensersatzanspruch sein können, hält das Gericht jedenfalls dann für nicht gerechtfertigt, wenn – wie hier – kein Einfluss auf die Lebensführung ersichtlich und damit ein konkreter Rückschluss von äußeren Umständen auf diese inneren Tatsachen nicht möglich ist. |
| LG Mannheim Urt. v. 15.3.2024 – 1 O 99/23 | 50 EUR Dem Kl. steht ein Anspruch auf Schadensersatz gegen die Bekl. aus Art. 82 Abs. 1 DS-GVO zu. Die Bekl. hat gegen Art. 25 DS-GVO und Art. 32 DS-GVO verstoßen. Ein Verstoß gegen diese Vorgaben wird vom Schutzbereich des Art. 82 DS-GVO erfasst. Schon nach dem Wortlaut wird „ein Verstoß gegen diese Verordnung“ erfasst, ohne dies zu begrenzen. Dem Grunde nach reicht also jeglicher Verstoß gegen die DS-GVO aus, um einen Schadensersatz nach Art. 82 DS-GVO zu eröffnen. Ob diese Weite dadurch zu reduzieren ist, dass Verstöße nur dann und insoweit berücksichtigt werden, wenn diese „bei“ oder „im Rahmen“ einer Datenverarbeitung begangen werden, kann in Bezug auf Art. 25 DS-GVO und Art. 32 DS-GVO dahingestellt bleiben. Denn beide Verstöße wirken in der Datenverarbeitung fort. Ist die Voreinstellung entgegen Art. 25 DS-GVO nicht datensparsam gewählt, dann wirkt sich dieser Verstoß in einer Datenverarbeitung aus, die überhaupt erst wegen dieser nicht datensparsamen Voreinstellung möglich ist. Entsprechendes gilt, wenn eine Datenverarbeitung dadurch ermöglicht wird, dass die Verantwortliche entgegen Art. 32 DS-GVO keine Sicherheitsmaßnahmen nach dem Stand der Technik ergriffen hat. In beiden Fällen führt der Verstoß erst zu der (unbefugten) Datenverarbeitung. Unerheblich ist, dass es sich nicht – wie die Bekl. geltend macht – um „Hacking“ handeln soll, sondern um ein Datensammeln, da keine Sicherheitshürden überwunden wurden. Auf diese Begriffe stellt der Tatbestand des Art. 82 DS-GVO nicht ab. Jeder Verstoß gegen die DS-GVO soll zum Ersatz eines entstandenen Schadens führen. Damit ist (selbstverständlich) nicht allein der Fall gemeint, bei dem „Hacker“ Sicherheitshürden überwinden, um an personenbezogene Daten zu gelangen, sondern erst recht auch der Fall, dass es gar keine Sicherheitshürden gab, um an die Daten zu gelangen. Letzteres könnte allenfalls die Frage aufwerfen, ob auf (solche) Sicherheitshürden verzichtet werden konnte. Für den Anwendungsbereich des Art. 82 DS-GVO ist dies ohne Bedeutung. Es steht zur Überzeugung des Gerichtes fest, dass der Kl. von dem gegenständlichen Scraping-Vorfall betroffen ist und seine Daten auf eine Anfrage anhand einer sequentiell erstellten Nummer, die mit ihrer Telefonnummer übereinstimmte, übermittelt wurden. Soweit sich der Kl. auch auf Verstöße gegen Art. 13, 14 DS-GVO bzw. Art. 33, 34 DS-GVO stützt, ist dies für die Haftungsbegründung unerheblich. Denn der Kl. hat nicht schlüssig vorgetragen, dass ihr gerade durch diese (etwaigen) Verstöße, also eine fehlende, fehlerhafte oder nicht rechtzeitige Information der Bekl. des Kl. oder der Aufsichtsbehörden über den Scraping-Vorfall, ein Schaden entstanden wäre. Die Sorgen, Befürchtungen etc sollen sich – lebensnah – nicht wegen dieser fehlerhaften Information gebildet haben, sondern wegen der Offenlegung der Daten. Ein Verstoß allein gegen die Vorschriften der DS-GVO reicht nicht aus, um einen Anspruch zu begründen. Denn schon nach dem Wortlaut des Art. 82 DS-GVO ist hierfür zudem ein „Schaden“ erforderlich. Der Begriff des materiellen oder immateriellen Schadens ist in der gesamten Europäischen Union autonom und einheitlich auszulegen. Allerdings bedeutet diese Auslegung nicht, dass eine Person, die von einem Verstoß gegen die DS-GVO betroffen ist, der für sie negative Folgen gehabt hat, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden iSv Art. 82 dieser Verordnung darstellen. Die Personen, die Schadensersatz nach Art. 82 Abs. 1 DS-GVO begehren, müssen also den Nachweis erbringen, dass sie tatsächlich einen solchen Schaden – so geringfügig er auch sein mag – erlitten haben. Insb. muss das angerufene nationale Gericht, wenn sich eine Person, die auf dieser Grundlage Schadensersatz fordert, auf die Befürchtung beruft, dass ihre personenbezogenen Daten in Zukunft aufgrund eines solchen Verstoßes missbräuchlich verwendet werden, prüfen, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann. An dieser Verteilung der Darlegungs- und Beweislast für einen Schaden, ändert die Formulierung des EuGH nichts wonach, der Verantwortliche nachweisen muss, dass er in keinerlei Hinsicht für den Umstand, durch den der betreffende Schaden eingetreten ist, verantwortlich ist. Dieser Halbsatz steht ersichtlich im Kontext einer Auslegung des Art. 82 Abs. 3 DS-GVO. Damit hebt der EuGH lediglich, aber immerhin hervor, dass eine punktuelle Entlastung des Verantwortlichen iRv Art. 82 Abs. 3 DS-GVO nicht ausreicht. Vielmehr darf er in „keinerlei Hinsicht“ für den Umstand, durch den der betreffende Schaden eingetreten ist, verantwortlich sein. Der Wortlaut der Formulierung des Europäischen Gerichtshofes setzt dabei voraus, dass durch einen Umstand ein Schaden eingetreten ist, lässt also die hierzu ergangene Rechtsprechung unberührt. Erst wenn durch einen Verstoß ein Schaden eingetreten ist (und dies bewiesen wurde), gelangt man zu der hiermit beantworteten Frage, welche Anforderungen an eine Entlastung nach Art. 82 Abs. 3 DS-GVO zu stellen sind. Ob der Kl. einen derartigen realen und sicheren emotionalen Schaden erlitten hat, ist am Beweismaß des § 287 ZPO zu messen. Die DS-GVO selbst enthält keine Bestimmung, die sich den Regeln für die Bemessung des Schadensersatzes widmet, auf den eine betroffene Person iSv Art. 4 Nr. 1 DS-GVO nach Art. 82 DS-GVO Anspruch hat, wenn ihr durch einen Verstoß gegen diese Verordnung ein Schaden entstanden ist. Daher sind die Ausgestaltung von Klageverfahren, die den Schutz der dem Einzelnen aus Art. 82 DS-GVO erwachsenden Rechte gewährleisten sollen, und insbesondere die Festlegung der Kriterien für die Ermittlung des Umfangs des in diesem Rahmen geschuldeten Schadensersatzes in Ermangelung einschlägiger unionsrechtlicher Vorschriften Aufgabe des Rechts des einzelnen Mitgliedstaats, wobei der Äquivalenz- und der Effektivitätsgrundsatz zu beachten sind. Damit ist § 287 ZPO anzuwenden, der diesen Grundsätzen genügt. Denn der geltend gemachte immaterielle Schaden stellt sich insoweit als Folge der Rechtsgutsverletzung in Gestalt der Verletzung der Grundrechte des Kl. auf Schutz personenbezogener Daten aus Art. 8 GRCh dar. Das Gericht erachtet allerdings als überwiegend wahrscheinlich, dass der Kl. in Sorge ist um die Verwendung seiner Daten durch Unbefugte aufgrund der Offenlegung derselben als Folge der Verstöße der Bekl. gegen Art. 25 DS-GVO und Art. 32 DS-GVO. Der Kl. hat insoweit angegeben, dass er in Sorge um seine Daten sei. Es sei für ihn so, als habe er seinen Haustürschlüssel verloren. Das Ganze hänge wie ein Damoklesschwert über ihm. Er fürchte Identitätsdiebstahl oder ähnliches und dass er sich dann für die unbefugte Verwendung seiner Daten zB iRv Spoofing rechtfertigen müsse. Er wolle die Verantwortung für die Situation nicht bei sich haben. Ihm sei bekannt, das die „Leak-Liste“ gehandelt werde, sei deshalb aber nicht verärgert, sondern eben in Sorge. Selbstverständlich berücksichtigt das Gericht, dass der Kl. „in eigener Sache“ aussagt. Gleichwohl war seine Darstellung nicht überzogen, sondern differenziert. So berichtete er nicht von „schlaflosen Nächten“ wie noch schriftsätzlich vorgetragen. Auch berichtete er nicht von Ärger. Seine Sorge konnte er auf Nachfrage auch spezifizieren im Hinblick auf die verschiedenen Möglichkeiten diese unbefugt zu verwenden. Dabei zeigte sich, dass dem Kl. die technischen Zusammenhänge und Möglichkeiten bei der missbräuchlichen Verwendung seiner Daten bewusst sind. Gerade deshalb ist auch nachvollziehbar, dass sich der Kl. sorgt, da er die konkreten Gefahren kennt, die mit der Offenlegung seiner Daten verbunden sind. Trotz des Eigeninteresses des Kl. am Ausgang des Verfahrens reicht dies aus, um zumindest mit überwiegender Wahrscheinlichkeit davon auszugehen, dass der Kl. sich wirklich um den Umgang mit seinen offengelegten Daten sorgt. Was die Bemessung der Höhe des etwaigen gem. Art. 82 DS-GVO geschuldeten Schadensersatzes betrifft, haben die nationalen Gerichte, da die DS-GVO keine Bestimmung mit diesem Gegenstand enthält, bei seiner Bemessung die innerstaatlichen Vorschriften der einzelnen Mitgliedstaaten über den Umfang der finanziellen Entschädigung anzuwenden, sofern die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität beachtet werden. Dabei ist zu berücksichtigen, dass im 146. Erwägungsgrund zur DS-GVO festgestellt wird, dass die betroffenen Personen einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten sollten. Art. 82 DS-GVO hat – anders Art. 83 und 84 DS-GVO, die im Wesentlichen einen Strafzweck haben, da sie die Verhängung von Geldbußen und anderen Sanktionen erlauben – keine Straf-, sondern eine Ausgleichsfunktion. Das Verhältnis zwischen den in Art. 82 DS-GVO und den in ihren Art. 83 und 84 DS-GVO enthaltenen Vorschriften zeigt, dass zwischen diesen beiden Kategorien von Bestimmungen ein Unterschied besteht, sie einander aber auch als Anreiz zur Einhaltung der DS-GVO ergänzen, wobei das Recht jeder Person, den Ersatz eines Schadens zu verlangen, die Durchsetzungskraft der in dieser Verordnung vorgesehenen Schutzvorschriften erhöht und geeignet ist, von der Wiederholung rechtswidriger Verhaltensweisen abzuschrecken. Art. 82 DS-GVO verlangt in Anbetracht der Ausgleichsfunktion des darin verankerten Schadensersatzanspruchs – unabhängig davon um es um den Ersatz materieller oder immaterieller Schäden geht – nicht, dass die Schwere des Verstoßes gegen die Verordnung, den der für die Verarbeitung Verantwortliche begangen haben soll, bei der Bemessung des Betrags des zum Ausgleich eines immateriellen Schadens auf der Grundlage dieser Bestimmung gewährten Schadensersatzes berücksichtigt wird; er verlangt vielmehr, den Betrag so festzulegen, dass er den konkret aufgrund des Verstoßes gegen die DS-GVO erlittenen Schaden vollständig ausgleicht. Er darf nicht so hoch bemessen werden, dass er über den vollständigen Ersatz des Schadens hinausgeht. Ein Anspruch auf Schadensersatz gem. Art. 82 Abs. 1 DS-GVO wegen der unzureichenden oder verspäteten Auskunft nach Art. 15 DS-GVO des Kl. gegen die Bekl. besteht nicht. Die Auskunft war – wie soeben ausgeführt – nicht unzureichend. Soweit auch geltend gemacht werden soll, dass die Bekl. die Auskunft nicht unverzüglich oder binnen eines Monats erteilt haben sollte gem. Art. 12 Abs. 3 S. 1 DS-GVO ist ein hierdurch verursachter Schaden nicht schlüssig vorgetragen. Die Sorge des Kl. rührt nicht aus einer etwaig verspäteten Auskunft nach Art. 15 DS-GVO her, sondern aus der zuvor erfolgten Offenlegung seiner Daten. Ein Anspruch auf Ersatz vorgerichtlicher Rechtsanwaltskosten besteht nicht. |
| LG Mannheim Urt. v. 15.3.2024 – 1 O 93/23 | 0 EUR Wie LG Mannheim Urt. v. 15.3.2024 – 1 O 99/23, jedoch wurde hier kein Schaden dargelegt. Der Verlust der Unbeschwertheit bei der Nutzung sozialer Medien stellt keinen immateriellen Schaden iSv Art. 82 Abs. 1 DS-GVO dar. |
| LG München I Urt. v. 14.3.2024 – 44 O 3464/23 | 0 EUR Unabhängig davon, ob seitens der Bekl. überhaupt eine schadenskausale Pflichtverletzung, die in den Anwendungsbereich des Art. 82 DS-GVO fiele, angelastet werden kann, hat die Kl. jedenfalls das Vorliegen eines Schadens weder ausreichend dargelegt, noch bewiesen. Voraussetzung für sämtliche klägerischen Anspruchsgrundlagen, welche den Schadensersatzanspruch tragen würden, wäre nämlich, dass dem Kl. überhaupt ein kausaler Schaden entstanden ist. Das Gericht schließt sich den Ausführungen des OLG Hamm v. 15.8.2023 – 7 U 19/23 [= ZD 2024, 36] an. Der Kl. hat gegen die Bekl. einen Anspruch auf Feststellung der Ersatzpflicht künftiger materieller Schäden aufgrund des Datenschutzvorfalls im Oktober 2020 gem. Art. 82 Abs. 1 DS-GVO. Die Bekl. hat als Verantwortliche schuldhaft gegen Art. 32 Abs. 1 DS-GVO verstoßen. Die Beweislast hierfür liegt bei der Klägerseite; Art. 83 Abs. 3 DS-GVO bezieht sich nach dem eindeutigen Wortlaut nur auf die Verantwortlichkeit, nicht auf die Frage der haftungsbegründenden Handlung. Auch Art. 5 Abs. 2, 24 Abs. 1 DS-GVO beinhaltet keine generelle Beweislastumkehr. Indem die Bekl. die Zugangsdaten nach Beendigung der Vertragsbeziehung mit nicht änderte, schützte sie die Daten nicht angemessen vor einer unbefugten oder unrechtmäßigen Verarbeitung. Erleidet der Kl. in Zukunft materielle Schäden durch den unbefugten Zugriff Dritter auf das Datenarchiv der Bekl., die damit kausal zu dem Verstoß der Bekl. gegen Art. 32 DS-GVO sind, so steht ihr gegen die Bekl. ein Schadensersatzanspruch gem. Art. 82 Abs. 1 DS-GVO zu. Anspruch auf vorgerichtliche Rechtsanwaltskosten hat der Kl. nicht. Die Bekl. befand sich nicht im Verzug mit einer Erklärung zu ihrer Haftung, als der Kl. seine nunmehrigen Prozessbevollmächtigten einschaltete. Vielmehr stammte bereits das erste Anschreiben an die Bekl. von den nunmehrigen Prozessbevollmächtigten, so dass die Kosten der Einschaltung der Prozessbevollmächtigten jedenfalls nicht verzugskausal sind. |
| LG Münster Urt. v. 7.3.2023 – 2 O 54/22 | 0 EUR Dem Kl. steht kein Anspruch auf immateriellen Schadensersatz aus Art. 82 DS-GVO zu. Es fehlt an einer schadensersatzauslösenden Pflichtverletzung der Bekl. iSd DS-GVO. Soweit der Kl. der Bekl. mehrere Verstöße vorwirft, nämlich ungenügende Information und Aufklärung über die Verarbeitung der sie betreffenden Daten durch ungenügende Aufklärung zur Verwendung und Geheimhaltung der Telefonnummer (Art. 5 Abs. 1 lit. a DS-GVO), einen unmittelbaren Verstoß gegen Art. 13, 14 DS-GVO, die konkrete Informationspflichten enthielten, die seitens der Bekl. nicht eingehalten worden seien, einen ungenügenden Schutz der personenbezogenen Daten der Nutzer von F. (Art. 24, 32 DS-GVO), eine unvollständige Auskunftserteilung nach Art. 15 DS-GVO, da nicht mitgeteilt worden sei, welchen Empfängern die Daten des Kl. durch Ausnutzung des Kontakt-Import Tools zugänglich gemacht worden seien (Art. 33, 34 DS-GVO), sind solche Verstöße schon nicht vom Schutzzweck des Art. 82 DS-GVO umfasst. Es kann daher auch offenbleiben – wenngleich hierfür sehr viel spricht –, ob sich der Kl. iRd Geltung der DS-GVO ein anspruchsausschließendes Mitverschulden gem. § 254 Abs. 2 BGB analog entgegenhalten lassen muss. |
| LG Hildesheim Urt. v. 5.3.2024 – 3 O 139/23 = ZD 2024, 643 | 0 EUR Der Kl. hat ggü. der Bekl. keinen Anspruch auf die Leistung eines Ersatzes für immaterielle Schäden nach Art. 82 Abs. 1 DS-GVO. Dahinstehen kann dabei, ob die Bekl. Verstöße gegen die DS-GVO begangen hat, ob die entsprechenden etwaigen Verstöße von der Schadensersatzpflicht aus Art. 82 Abs. 1 DS-GVO erfasst sind und ob für die Auslösung einer Schadensersatzpflicht nach dieser Norm eine erhebliche Beeinträchtigung erforderlich ist. In jedem Fall steht dem Kl. aus etwaig erfolgten Verstößen der Bekl. gegen die DS-GVO kein immaterieller Schadensausgleich zu. Für die Bemessung von Schadensersatzansprüchen nach Art. 82 Abs. 1 DS-GVO enthält die DS-GVO nur wenige Vorgaben. Aus dem Nebeneinander von materiellem und immateriellem Schaden folgt, dass auch solche Schäden auszugleichen sind, die sich nicht unmittelbar in Geld bemessen lassen. Nach Erwägungsgrund 146 S. 3 DS-GVO sollte der Begriff des Schadens im Lichte der Rspr. des EuGH zudem weit auf eine Art und Weise ausgelegt werden, die den Zielen der Verordnung in vollem Umfang entspricht. Nach Erwägungsgrund 146 S. 6 DS-GVO sollten die betroffenen Personen einen vollständigen und wirksamen Schadensersatz für erlittene Schäden erhalten. Nach dem ausdrücklichen Wortlaut der Vorschrift muss der Schaden hierbei „erlitten“ worden sein, woraus sich ergibt, dass dieser tatsächlich entstanden sein muss und nicht lediglich befürchtet wird. Zwar ist der Begriff des Schadens – wie dargestellt – weit auszulegen, sodass die Betroffenen einen wirksamen Ersatz bekommen; nach Auffassung der Kammer reicht jedoch ein bloßer Verstoß gegen Vorschriften der DS-GVO nicht aus, um (immateriellen) Schadensersatz verlangen zu können. Es bedarf vielmehr der Darlegung eines konkreten (auch immateriellen) Schadens. Ein solcher in Gestalt einer durch den Kl. tatsächlich empfundenen Beeinträchtigung ist nach erfolgter informatorischer Anhörung des Kl. nicht ersichtlich. Soweit der Kl. ausführte, er befürchte eine Weitergabe der über ihn durch die Bekl. erhobenen Daten an werbetreibende Dritte, folgt hieraus kein Schmerzensgeldanspruch. Dies gilt bereits deshalb, weil das von dem Kl. befürchtete Verhalten der Bekl. nicht vorgenommen wird. So ist zwischen den Parteien unstreitig, die Bekl. gebe keine individualisierbaren Nutzerdaten an Werbetreibende weiter. Die bloße – tatsächlich unbegründete – Vorstellung einer Datenweitergabe vermag mangels Anknüpfung an ein etwaig der Bekl. vorwerfbares Verhalten keinen Schadensersatz zu begründen. Soweit der Kl. über den Erhalt von Spam-Anrufen klagt, ist dieser ebenfalls unstreitig nicht Symptom der Datennutzung durch die Bekl. Der schriftsätzliche Vortrag des Kl., er empfinde ein Unwohlsein dadurch, dass sich infolge personalisierter Werbung bei ihm das Gefühl einstelle, er sei bei seiner Bewegung im Internet unter ständiger „Beobachtung“ durch die Bekl., vermochte sich iRd informatorischen Anhörung seiner Person nicht zu bestätigen. Auch nach seiner emotionalen Betroffenheit gefragt stellte der Kl. allein auf die Besorgnis einer möglichen Weitergabe durch die Bekl. erhobener Daten ab. Es ließ sich in keiner Weise erkennen, dass er auch von der Art und Gestaltung der Werbeanzeigen bzw. einer sich aus ihnen ergebenden Implikation der ständigen Beobachtung benachteiligt würde. |
| LG Passau Urt. v. 16.2.2024 – 1 O 616/23 = ZD 2024, 411 | 0 EUR Die Klagepartei hat keinen Schadensersatzanspruch gegen die Bekl. aus Art. 82 Abs. 1 DS-GVO. Es fehlt bereits an einem relevanten Verstoß gegen die Bestimmungen der DS-GVO. Die Pflichten zur Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde (Art. 33 DS-GVO) bzw. zur Benachrichtigung der hiervon betroffenen Person (Art. 34 DS-GVO) bzw. die Auskunftspflicht nach Art. 15 DS-GVO fallen nicht in den Schutzbereich des Art. 82 DS-GVO, da es sich um keine Pflichten iRd Datenverarbeitung (Art. 82 Abs. 2 S. 1 DS-GVO), sondern um dieser nachgelagerte Pflichten handelt. Jedenfalls kann durch etwaige Verletzung dieser Pflichten der Klagepartei kein zusätzlicher Schaden entstanden sein, nachdem der „Scraping“-Vorfall sich bereits ereignet hatte und der Klagepartei ohnehin keine effektiven Mittel zur Verfügung standen, der weiteren Verbreitung der Daten zu begegnen. Sofern die Datenschutzbehörden einen Verstoß der Bekl. gegen die Bestimmungen der DS-GVO bejahen sollte, entfaltet diese keine jedenfalls Bindungswirkung für das Gericht. Der Klagepartei ist zudem kein kausaler Schaden entstanden. Beweisbelastet für den Eintritt eines durch einen Verstoß gegen die DS-GVO verursachten Schadens ist nach allgemeinen Grundsätzen die Klagepartei. Entgegen der Auffassung der Klagepartei resultiert dabei kein Schaden aus der bloßen Verletzung der DS-GVO, sondern diese muss zu einer tatsächlichen Beeinträchtigung der Klagepartei führen. Der Nachweis eines kausalen Schadens ist auch nach dem Beweismaßstab des § 287 ZPO nicht geführt. Die persönliche Anhörung der Klagepartei hat ergeben, dass diese gehäuft dubiose Nachrichten über E-Mail, SMS und F.-Messenger erhalten habe sowie Anrufe von Unbekannten, diese auch über WhatsApp, die die Klagepartei nicht beantwortet habe. Die Klagepartei hat ihre Telefonnummer und Anschrift auf der öffentlich zugänglichen Homepage hinterlegt. Die E-Mail-Adresse der Klagepartei ist schon nach ihrem eigenen Vortrag gar nicht in dem sie betreffenden Datensatz enthalten. Für einen kausalen Zusammenhang mit dem durch den „Scraping“-Vorfall nach klägerischem Vortrag veröffentlichen Datensatz gibt es keinen Beleg. So ist es allgemein bekannt, dass auch Personen, die nicht bei „f.“ angemeldet sind oder dort zumindest keine Telefonnummer hinterlegt haben, von Anrufen und Nachrichten, wie sie die Klagepartei beschreibt, geplagt werden. Soweit klägerseits ein Gefühl des Unwohlseins und Kontrollverlustes behauptet wird, bleibt der klägerische Vortrag so allgemein, dass daraus ein konkreter, der gerichtlichen Bewertung zugänglicher Schaden nicht abgeleitet werden kann. Zwar ist der Schadensbegriff weit zu verstehen, er muss jedoch auch wirklich „erlitten“, das heißt „spürbar“ und objektiv nachvollziehbar sein. Woraus dieser Schaden konkret rühren soll, ist aus dem Vortrag der Klagepartei nicht zu entnehmen. |
| NEU LG Lübeck Urt. v. 16.2.2024 – 15 O 214/23 | 0 EUR Ein Anspruch auf Zahlung von immateriellen Schadensersatz gem. Art. 82 Abs. 1 DS-GVO wegen Datenschutzverstößen im Zusammenhang mit dem unstreitigen API-Bug 2021, wie ihn die Klägerseite gegen die Bekl. geltend macht, besteht nicht. Grds. gilt im Anwendungsbereich der DS-GVO, dass jede Datenverarbeitung rechtswidrig ist, wenn nicht eine der in Art. 6 DS-GVO genannten Bedingungen für eine rechtmäßige Datenverarbeitung erfüllt ist. Die rechtswidrige Datenverarbeitung kann sodann Schadensersatzansprüche nach Art. 82 DS-GVO auslösen. Der Anwendungsbereich der DS-GVO ist hier zwar eröffnet, auf Basis des streitigen Vorbringens der Parteien ist es allerdings nicht als durch die Klägerseite bewiesen anzusehen, dass diese von dem streitgegenständlichen API-Bug betroffen ist. Nach Art. 82 der DS-GVO ist Schadensersatz zu leisten, wenn der Nachweis eines Verstoßes gegen die DS-GVO, eines tatsächlich erlittenen materiellen oder immateriellen Schadens und eines Kausalzusammenhangs zwischen dem Verstoß und dem Schaden erbracht wird; der bloße Verstoß gegen Bestimmungen der DS-GVO reicht demnach nicht aus. Ein Schadensersatzanspruch gem. Art. 82 DS-GVO setzt zunächst voraus, dass eine Verletzung des Schutzes personenbezogener Daten der Klägerseite vorgelegen hat. Dazu ist es erforderlich, dass der Twitter-Account der Klägerseite von dem API-Bug 2021 betroffen gewesen ist. Die Betroffenheit ist dabei von der Klägerseite zur vollen Überzeugung des Gerichts nachzuweisen, § 286 ZPO. Diesen Nachweis hat die Klägerseite nicht geführt. Die Darlegungs- und Beweislast obliegt insoweit der betroffenen Person. Es kann dahingestellt bleiben, ob die Bekl. eine sekundäre Darlegungslast hinsichtlich der klägerseits aufgestellten Behauptung der Betroffenheit trifft, da sie dieser jedenfalls Genüge getan hätte. Der Beweisantritt der Kl. besteht darin, dass die von dem australischen Sicherheitsforscher ……betriebene Internetplattform https:///haveibeenpwned.com unter Eingabe der E-Mail-Adresse der Klägerseite ihre Betroffenheit ausweise. Der Aufbau dieser Internetseite ist der Kammer bekannt. Aus der Anlage K5 ist ersichtlich, was die Website bei Eingabe der klägerischen E-Mail-Adresse, mit der diese sich bei dem Twitter-Dienst registriert hat, für ein Ergebnis auswirft. Es trifft danach zu, dass die Internetseite https:///haveibeenpwned.com die Betroffenheit der Kl. von dem API-Bug bei Twitter ausweist, was die Bekl. auch nicht ausdrücklich bestritten hat. Hieraus ergibt sich aber nicht der Vollbeweis, dass die Angaben auf der Internetseite https:///haveibeenpwned.com zutreffend sind und die Klägerseite von dem streitgegenständlichen API-Bug 2021 tatsächlich betroffen ist. Es ist nicht bekannt, auf welcher Grundlage der Betreiber der Internetseite https:///haveibeenpwned.com ….(oder…..) die Betroffenheit individueller Nutzer ermittelt. Mit dem, was dort auf der Internetseite https:///haveibeenpwned.com als Ergebnis ausgeworfen ist, ist damit lediglich dargetan, was ……behauptet. Damit ist aber gerade nicht der Nachweis geführt, dass die Klägerseite tatsächlich von dem streitgegenständlichen API-Bug betroffen ist. Es dürfte auch nicht Sinn und Zweck dieser Internetseite sein, einen gerichtsfesten Beweis für die Betroffenheit des jeweiligen Nutzers, der seine E-Mail-Adresse dort eingibt, zu erbringen. Schließlich genügt auch der Verweis des Bundesamtes für Sicherheit in der Informationstechnik in einer Pressemitteilung auf die Internetseite https:///haveibeenpwned.com, nicht für den Vollbeweis, dass die Angaben auf der Internetseite https:///haveibeenpwned.com richtig sind. Auch die schriftsätzlichen Angaben der Klägerseite, sie sei aufgrund das Datenlecks einer Vielzahl von Spam-E-Mails ausgesetzt, genügen zum Nachweis ihrer Betroffenheit von dem API-Bug nicht. Es erfolgt kein Vortrag der Klägerseite, ab wann sie vermehrt Spam-Nachrichten erhalte. Zudem begründet allein ein vermehrtes Spamaufkommen nicht den Nachweis, hierfür müsse ein Datenleck bei Twitter ursächlich sein. Entgegen dem Vorbringen der Klägerseite erfolgt auch keine Umkehr der Beweislast zulasten der Bekl.. Allenfalls träfe die Beklagtenseite eine sekundäre Darlegungslast. Ein Anspruch der Klägerseite gegen die Bekl. auf Zahlung von immateriellen Schadensersatz folgt auch nicht daraus, dass sie befürchte, ihre personenbezogenen Daten werden aufgrund eines Verstoßes gegen die DS-GVO in Zukunft von Dritten missbräuchlich verwendet. Zutreffend ist zwar, dass der Erwägungsgrund 146 S. 3 DS-GVO für eine weite Auslegung des Begriffs des Schadens in Art. 82 Abs. 1 DS-GVO spricht und ein immaterieller Schaden, den die betroffene Person erlitten hat, keinen bestimmten Grad an Erheblichkeit zu erreichen braucht, weshalb auch immaterielle „Bagatellschäden“ dem Grunde nach nicht ausgeschlossen sind. So kann auch die Veröffentlichung personenbezogener Daten im Internet und der daraus resultierende kurzzeitige Verlust der Hoheit über diese Daten einen immateriellen Schaden darstellen, selbst wenn konkret keine missbräuchliche Verwendung der betreffenden Daten zum Nachteil dieser Personen erfolgt sein sollte. Allerdings muss gleichwohl geprüft werden, ob die Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann. Erforderlich ist insoweit – wie oben ausgeführt – dass die Person, die den Schadensersatz geltend macht, überhaupt betroffen ist. Hiervon ist im Streitfall nicht auszugehen. Der von der Klägerseite geltend gemachte immaterielle Schadensersatzanspruch wegen verzögerter Auskunftserteilung besteht nicht, da ein solcher Schadensersatzanspruch bereits nicht schlüssig vorgetragen wurde. Selbst bei Unterstellung zugunsten der Klägerseite, dass ihr gegen die Bekl. ein Auskunftsanspruch gem. Art. 15 DS-GVO zugestanden hat, die Bekl. mit der Erteilung dieser Auskunft in Verzug geraten ist und die Vorschrift des Art. 82 Abs. 1 DS-GVO auch den Verzugsschaden wegen verzögerter Auskunftserteilung erfasst, ist jedenfalls ein Schaden der Klägerseite, der insbesondere gerade auf die unterbliebene Auskunftserteilung zurückgeht, nicht dargelegt. So hat die Klägerseite nicht dargelegt, was sich an dem Schaden geändert hätte, hätte die Bekl. früher die Auskunft nach Art. 15 DS-GVO erteilt. Da der Klägerseite kein Anspruch in der Sache zusteht, kommt auch der geltend gemachte Anspruch auf Freistellung von den vorgerichtlichen Anwaltskosten, die zwar grds. als Teil des zu ersetzenden Schadens gem. Art. 82 Abs. 1 DS-GVO erstattungsfähig sind, in Betracht. |
| LG Freiburg/Br. Urt. v. 8.2.2024 – 8 O 212/23 = ZD 2024, 535 | 100 EUR Die Bemessung des immateriellen Schadensersatzes stellt die Klagepartei zulässig in das Ermessen des Gerichts. Der unbezifferte Klageantrag ist zulässig, wenn statt der Bezifferung mindestens die Größenordnung des Betrags, den der Kl. sich vorstellt, angegeben wird. Die Klagepartei hat gegen die Bekl. einen Anspruch auf immateriellen Schadensersatz iHv 100 EUR gem. Art. 82 Abs. 1 DS-GVO aufgrund der Verletzung von Vorschriften der DS-GVO. Die Bekl. hat personenbezogene Daten (Twitter-ID, Name, Handynummer, Telefonnummer etc) iSd Art. 4 Abs. 1 Nr. 1 DS-GVO gem. Art. 4 Abs. 1 Nr. 2 DS-GVO verarbeitet, weil sie diese bezogen auf die Person der Klagepartei iRd von ihr betriebenen Plattform Twitter gespeichert und sie die Verbindung der klagenden Partei mit ihrer Telefonnummer auch Dritten ggü. durch die Schaffung dieser Abfragemöglichkeit offengelegt hat. Die Bekl. ist Verantwortliche iSd Art. 4 Nr. 7 DS-GVO. Zwar trägt nach allgemeinen Grundsätzen derjenige, der einen Anspruch aus Art. 82 DS-GVO geltend macht, grds. die volle Darlegungs- und Beweislast für die anspruchsbegründenden Tatsachen, dh auch für die eigene Betroffenheit von einem DS-GVO-Verstoß. Nach stRspr ist es jedoch in bestimmten Fällen Sache der Gegenpartei, sich iRd ihr nach § 138 Abs. 2 ZPO obliegenden Erklärungspflicht zu den Behauptungen der beweispflichtigen Partei substantiiert zu äußern. Eine sekundäre Darlegungslast trifft den Prozessgegner der primär darlegungsbelasteten Partei insbesondere dann, wenn diese keine nähere Kenntnis der maßgeblichen Umstände und auch keine Möglichkeit zur weiteren Sachaufklärung hat, während der Bestreitende alle wesentlichen Tatsachen kennt und es ihm unschwer möglich und zumutbar ist, nähere Angaben zu machen. Genügt der Anspruchsgegner seiner sekundären Darlegungslast nicht, gilt die Behauptung des Anspruchstellers nach § 138 Abs. 3 ZPO als zugestanden. Die Bekl. hat als Verantwortliche gegen mehrere Vorschriften der DS-GVO verstoßen. Sie hat sich nicht exkulpieren können. Der Maßstab für Verstöße gegen die DS-GVO iSd Art. 82 Abs. 1 DS-GVO ist weit zu fassen. Es kommen materielle wie formelle Verstöße in Betracht. Auch ist nicht allein auf die Datenverarbeitung abzustellen, sondern sämtliche Maßnahmen, so auch Vorbereitungsmaßnahmen, können einen entsprechenden Anspruch begründen. Dies ergibt sich aus dem Wortlaut des Art. 82 Abs. 1 DS-GVO selbst, der allgemein von „Verstoß gegen die DS-GVO“ spricht und damit jeglichen Verstoß einschließt. Etwas anderes folgt nicht etwa aus Erwägungsgrund 146 S. 1 DS-GVO. Soweit dort von Schäden, die einer Person aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht, die Rede ist, ist dies nicht etwa dahingehend aufzufassen, dass nur Verstöße bei der Verarbeitung von Daten im engeren Sinne gemeint sind. Dies widerspräche dem in Art. 1 Abs. 2 DS-GVO postulierten Ziel der Verordnung, die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten zu schützen. Vielmehr bezieht sich die gesamte DS-GVO auf die Verarbeitung von Daten und stellt Regeln auf, die bei der dem sachlichen Anwendungsbereich gem. Art. 2 unterfallenden Datenverarbeitung einzuhalten sind. Der EuGH hat aus der Rechenschaftspflicht aus Art. 5 Abs. 2 DS-GVO nunmehr dem Verantwortlichen ausdrücklich die Darlegungs- und Beweislast für die Rechtsmäßigkeit der Datenverarbeitung gem. Art. 6 Abs. 1 DS-GVO auferlegt. Eine Eingrenzung folgt auch nicht aus dem Wortlaut von Art. 82 Abs. 2-5 DS-GVO dadurch, dass diese jeweils wörtlich auf die Verarbeitung abstellen. Diese Absätze des Art. 82 DS-GVO dienen lediglich der Abgrenzung der Haftung mehrerer Anspruchsgegner im Innenverhältnis, weil dort auf die die Auftragsverarbeiter betreffenden Pflichten abgestellt wird und nicht auf die durch sie getätigten Verarbeitungsschritte. Auch, dass die letztliche Haftung bei mehreren Anspruchsgegnern von der Verantwortlichkeit für den jeweils verletzten Umstand abhängt, Art. 82 Abs. 3 DS-GVO, also erneut nicht auf eine konkrete Verarbeitungstätigkeit abgestellt wird, spricht gegen eine Eingrenzung des Art. 82 Abs. 1 DS-GVO. Auch die englische und französische Sprachfassung verwenden entsprechende Formulierungen in den jeweiligen Absätzen. Vor diesem Hintergrund sind die wörtlichen Bezüge „durch eine Verarbeitung“ in Abs. 2 sowie „aufgrund einer Verarbeitung“ so zu verstehen, dass diese lediglich auf einen Bezug zu einer Verarbeitung deuten. Das ist auch schon deswegen konsequent, weil die Anwendung der DS-GVO selbst eine Verarbeitung voraussetzt, Art. 2 Abs. 1 DS-GVO. Keine Vorschrift der DS-GVO inkl. des Art. 82 Abs. 1 DS-GVO ist überhaupt anwendbar, solange überhaupt gar keine Verarbeitung stattfindet. In diesem Verständnis ist es aber auch nur konsequent, dass diese vorhergehenden und nachfolgenden Pflichten der DS-GVO in Bezug auf eine Verarbeitung die Schadensersatzpflicht ebenso auslösen. Diese Auslegung entspricht auch dem in Art. 1 Abs. 2 DS-GVO postulierten Ziel, die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten zu schützen. Die Bekl. hat gegen die Verpflichtung gem. Art. 24, 32, 5 Abs. 1 lit. f DS-GVO, die Sicherheit der Verarbeitung zu gewährleisten, verstoßen. Ob die Bekl. dem vorgerichtlichen Auskunftsersuchen der Klägerseite über ihre personenbezogenen Daten nicht in ausreichendem Maße nachgekommen ist und dadurch gegen Art. 15 DS-GVO verstoßen hat, kann ebenfalls dahinstehen. Denn die Ungewissheit über die Verarbeitung der eigenen Daten deckt sich mit dem Schaden durch den eigentlichen Verstoß. Ein eigenständiger Schadensersatzanspruch aufgrund einer Verletzung der Auskunftspflicht kommt nur in Betracht, wenn die fehlende Auskunft einen Schaden zumindest verschärft hat. Dies ist hier nicht zu erkennen, weil die Klagepartei nicht ansatzweise darlegt, welche Schritte sie bei einer ausreichenden Auskunft vorgenommen hätte und wie das einen Schaden vermindert hätte. Die Bekl. kann sich nicht gem. Art. 82 Abs. 3 DS-GVO, der das Verschulden widerleglich vermutet, exkulpieren. Soweit in der Vorschrift von der Verantwortlichkeit für den Schaden die Rede ist, ist dies iSv Verschulden aufzufassen. Art. 82 Abs. 3 DS-GVO ordnet eine Beweislastumkehr hinsichtlich des Verschuldens an. Der Anspruchsverpflichtete kann sich daher nur entlasten, indem er beweist, dass er die am Maßstab des Stands der Technik und im Verkehr, dh am allgemeinen Schutzinteresse orientierte, erforderliche Sorgfalt iSv § 276 Abs. 2 BGB angewendet hat. Im streitgegenständlichen Fall ist das Gericht davon überzeugt, dass dem Kl. nach Maßgabe dessen ein kausal auf die Verstöße der Bekl. zurückzuführender immaterieller Schaden zugefügt wurde. Bei der Bestimmung des von der Klagepartei in das Ermessen des Gerichts gestellten Höhe des Schadensersatzes gem. § 287 Abs. 1 S. 1 ZPO sind alle Umstände des Einzelfalls zu würdigen. Die Kriterien des Art. 83 Abs. 2 DS-GVO, die Anhaltspunkte für die Höhe der von der Aufsichtsbehörde zu verhängenden Geldbuße geben sollen, können auch für die Bemessung des immateriellen Schadensersatzes herangezogen werden. Der Klagepartei steht der mit dem Klageantrag Nr. 2 geltend gemachte Schadensersatzanspruch ggü. der Bekl. nicht zu. Ein solcher Anspruch ergibt sich im vorliegenden Fall nicht aus Art. 82 Abs. 1 DS-GVO iVm Art. 15 DS-GVO, da die Klagepartei einen eingetretenen Schaden nicht dargelegt hat. Insb. wurde nicht vorgetragen, was eine frühere Auskunft der Bekl. nach Art. 15 DS-GVO konkret an dem Schaden der Klagepartei geändert hätte. Die Klagepartei hat gem. Art. 82 DS-GVO auch Anspruch auf Feststellung der Ersatzpflicht der Bekl. für materielle Schäden, die aus dem von der Bekl. nach dem Gesagten mitzuverantwortenden Scraping-Vorfall / Zugriff auf das Datenarchiv der Bekl. ggf. entstanden sind oder noch entstehen werden. Die Klagepartei kann von der Bekl. verlangen, dass sie die Klagepartei von vorgerichtlichen Rechtsanwaltskosten freistellt. Die vorgerichtlichen Rechtsanwaltskosten sind als Teil des zu ersetzenden Schadens gem. Art. 82 Abs. 1 DS-GVO zu erstatten. Aufgrund der Schwierigkeit der Sach- und Rechtslage war die Hinzuziehung eines Rechtsanwalts zur effektiven Durchsetzung der klägerischen Ansprüche erforderlich und notwendig. Unter Zugrundelegung des Wertes des berechtigten Verlangens der Klagepartei von 1.100 EUR (100 EUR immaterieller Schadensersatz, 500 EUR Feststellungsantrag plus – vorgerichtlich noch berechtigt – 500 EUR Auskunft) zum Zeitpunkt der außergerichtlichen Tätigkeit führt dies zu berechtigten außergerichtlichen Kosten iHv 220,27 EUR (1,3-fache Geschäftsgebühr nebst Pauschale nach Nr. 7002 VV RVG zzgl. 19% MwSt. aus Gegenstandswert 1.100 EUR). Die beantragten Zinsen seit Rechtshängigkeit stehen der Klagepartei indes nicht zu, weil der Freistellungsanspruch keine Geldschuld iSV § 291 S. 1 BGB ist. |
| NEU LG Gießen Urt. v. 2.2.2024 – 9 O 462/23 | 0 EUR Der Kl. hat gegen die Bekl. aus keinem rechtlichen Gesichtspunkt Anspruch auf Schadensersatz bzw. eine billige Entschädigung in Geld. Die Kammer hatte gem. § 138 Abs. 3 ZPO von dem von der Bekl. geschilderten Sachverhalt, wie es zu dem Datendiebstahl kam, auszugehen, weil der insoweit darlegungs und beweisbelastete Kl. diesem Vortrag nicht substantiiert entgegengetreten ist. Dabei war auch zu berücksichtigen, dass nichts dafür spricht, dass Daten im Jahr 2019 bei der Bekl. gestohlen wurden, aber erst im Jahr 2022 zum Verkauf angeboten wurden. Der Wert von personenbezogenen Daten, die für Betrugszwecke geeignet sind, wie insbesondere E-Mail-Adressen ist je höher, desto aktueller Datensatz ist. Es sind vor diesem Hintergrund keine Gründe dargetan oder ersichtlich, warum Kriminelle drei Jahre mit dem Angebot erbeuteter Daten zuwarten sollten. Die Bekl. hat gemessen an diesem Sachverhalt nicht gegen geltendes Datenschutzrecht verstoßen. Darüber hinaus ist ihr der Datendiebstahl bei einem ehemaligen Vertragspartner nicht zuzurechnen. Ein möglicher Kausalzusammenhang zwischen der Überlassung der Daten an den ehemaligen Vertragspartner durch die Bekl. und dem Datenverlust wurde durch das selbstständige, dazwischentretende Ereignis der unbefugten Überführung der Daten in eine Testumgebung unterbrochen. Auf die Frage, ob der Bekl. durch den Datenverlust einen Schaden erlitten hat, kommt es vor diesem Hintergrund nicht an. |
| NEU LG Frankfurt/M. Urt. v. 2.2.2024 - 2-17 O 559/23 | 0 EUR Dem Kl. steht ein Anspruch auf Schadensersatz aus Art. 82 Abs. 1 DS-GVO gegen die Bekl. nicht zu. Erforderlich ist das Vorliegen eines konkreten materiellen oder immateriellen Schadens. Ein bloßer Verstoß des Verantwortlichen oder des Auftragsverarbeiters gegen die Vorschriften der DS-GVO reicht nicht aus, um einen Anspruch zu begründen. Die bloße Betroffenheit von einem Verstoß ist damit nicht kongruent mit der Feststellung eines Schadens. Auszugleichen sind demnach die „konkret erlittenen Schäden", die „tatsächlich und sicher" bestehen. Die Feststellung dieses Schadens obliegt dabei den nationalen Gerichten. Stellt das Gericht einen Schaden fest, ist der Anspruch auch nicht von der Überschreitung einer „Erheblichkeitsschwelle" abhängig. Hiervon unabhängig zu betrachten ist die Frage, ab wann abstrakt-negative Empfindungen sich zu einem Schaden verdichten. Erforderlich aber auch ausreichend für die Annahme eines Schadens ist demnach der Eintritt eines objektiv nachvollziehbaren und spürbarer Nachteils, der persönlichkeitsrechtliche Belange negativ beeinträchtigt. Anders als die Klägerseite meint, reicht hierfür auch nicht etwa der Eintritt eines Kontrollverlustes über die personenbezogenen Daten aus. In dem Kontrollverlust realisiert sich vielmehr das generelle Risiko, dessen Eintritt durch die DS-GVO als zentrale Zielsetzung verhindert werden soll. Die Regelungen der DS-GVO kontrollieren den Umgang mit personenbezogenen Daten; ein Verstoß zieht einen Kontrollverlust zwangsläufig nach sich. Auch der Eintritt eines Kontrollverlustes ist damit nicht kongruent mit dem Vorliegen eines materiellen oder immateriellen Schadens. Anders als die Klägerseite dies für sich in Anspruch nimmt, ergibt sich auch keine andere Bewertung aus der Entscheidung des EuGH v. 14.12.2023 - C-340/21 [= ZD 2024, 150 mAnm Ligocki/Sosna = MMR 2024, 231 mAnm Kohl/Rothkegel]. Soweit der EuGH dort entschieden hat, dass Art. 82 DS-GVO dahin auszulegen ist, dass „allein der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen diese Verordnung befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, einen „immateriellen Schaden" im Sinne dieser Bestimmung darstellen kann." ergibt sich hieraus nichts Neues. Es ist vielmehr kein Grund ersichtlich, wieso bei der Untersuchung des Bestehens eines Anspruches willkürlich ein bestimmter potenzieller Auslöser keine Berücksichtigung finden sollte. Eben dies stellt auch der EuGH fest, wenn er ausführt, dass der Wortlaut von Art. 82 Abs. 1 DS-GVO nicht ausschließt, dass sich der Betroffene zur Begründung eines Schadensersatzanspruches auf Befürchtungen eines Missbrauchs seiner personenbezogenen Daten in der Zukunft beruft. Hiervon gänzlich unberührt bleibt die Frage, ob ein derartiger Schaden tatsächlich aufgrund der behaupteten negativen Folgen (etwa der Sorge zukünftigen Datenmissbrauchs) angenommen werden kann. Diese Entscheidung obliegt, wie dargelegt, allein dem nationalen Gericht. Letzteres hat bereits darüber zu befinden, ob die möglicherweise erheblich bestrittene negative Folge (Sorge des Anspruchstellers vor zukünftigem Missbrauch) überhaupt für wahr zu erkennen ist, ob sich hieraus ein Schaden ergibt und ggf. ob der Schaden kausal auf den oder die Verstöße zurückzuführen ist. Ein derartiger Schaden muss weiter bei der Verarbeitung personenbezogener Daten entstanden sein, wobei das anspruchsauslösende Verhalten nicht zwingend die Verarbeitung an sich darstellen muss. Der Vorwurf liegt vielmehr in der Vornahme einer Datenverarbeitung, die nicht durch die Einhaltung der auf die Umstände der Verarbeitung Einfluss nehmenden Vorschriften der DS-GVO flankiert wurde, was zu einer Beeinträchtigung des Schutzes natürlicher Personen führt. Denn nach Art. 82 Abs. 2 DS-GVO besteht ein Anspruch gegen jeden „an einer Verarbeitung beteiligte[n] Verantwortliche[n]"; der Zusammenhang zur Verarbeitung wird insofern vorausgesetzt. Nichts Anderes ergibt sich aus dem Erwägungsgrund 146. Nach allgemeinen Grundsätzen ist dabei der Kl. mit der Darlegung und ggf. dem Beweis der Anspruchsvoraussetzungen belastet. Dieser Grundsatz findet nach der Rspr. des EuGH auch dann Anwendung, wenn der maßgebliche unionsrechtliche Rechtsakt keine spezifischen Bestimmungen zu einer abweichenden Verteilung der Darlegungs- und Beweislast enthält, sofern nur damit die Wirksamkeit des Unionsrechts nicht beeinträchtigt und die Einhaltung der sich aus dem Unionsrecht ergebenden Verpflichtungen sichergestellt wird. Indes enthält die DS-GVO in Art. 5 Abs. 2 eine Regelung, wonach der Verantwortliche die Einhaltung der Vorgaben des Art. 5 Abs. 1 DS-GVO (Grundsätze für die Verarbeitung personenbezogener Daten) nachweisen können muss. Ob sich hieraus eine umfassende unionsrechtliche Anordnung zur Beweislastverteilung ergibt oder es sich etwa nur um die Auferlegung einer Dokumentationspflicht zur Vereinfachung und Steigerung der Effektivität aufsichtsrechtlicher Maßnahmen handelt, ist nunmehr durch den EuGH in der Rs. C-340/21 [= ZD 2024, 150 mAnm Ligocki/Sosna = MMR 2024, 231 mAnm Kohl/Rothkegel] dahingehend entschieden worden, dass die Beweislast für die Einhaltung der Grundsätze (hier Art. 32 DS-GVO) dem Verantwortlichen obliegt. Ob dieses Ergebnis in Anbetracht der fehlenden Differenzierung zwischen Zivil, Bußgeld- und Strafverfahren in zuletzt genannten Fällen mit höherrangigem Unionsrecht (Art. 48 Abs. 1 GRCh) vereinbar wäre bedarf hier keiner Entscheidung. Ob die Bekl. mangels hinreichender Kontrollmaßnahmen der Mitarbeiter ihres Auftragsverarbeiters bzw. des Auftragsverarbeiter selbst gegen die Maßgaben des Art. 32 Abs. 1 lit. b, Abs. 4 DS-GVO verstoßen hat oder aber ein mit den gebotenen Maßnahmen nicht zu verhindernder Exzess eines Mitarbeiters vorliegt, bedarf vorliegend keiner Entscheidung. Denn ein Verstoß der Bekl. gegen die DS-GVO kann zu Gunsten des Kl. für wahr unterstellt werden. Dass dem Kl. kausal aus dem - hier unterstellten - Verstoß gegen Art. 32 DS-GVO ein immaterieller Schaden entstanden ist, kann nicht festgestellt werden. Die Beweislast für den Eintritt des konkreten immateriellen Schadens liegt beim Betroffenen, wobei für die Frage der haftungsbegründenden Kausalität das Beweismaß des § 286 ZPO anzuwenden ist. Die insoweit notwendige volle Überzeugung kann sich die Kammer ggf. auch allein durch eine Parteianhörung nach § 141 ZPO verschaffen. Diese Überzeugung vermochte die Kammer nicht zu erlangen. Auch vermag die Kammer nicht festzustellen, dass bei dem Lö- aus Sorge vor dem zukünftigen Missbrauch seiner personenbezogenen Daten ein Schaden entstanden ist. Der Kl. behauptet zwar weiter, dass es ihn „beschäftigen" würde, dass seine Daten nun „unterwegs" seien. Unter Beachtung der besonderen Umstände des Falles und der betroffenen Person kann diese Sorge indes nicht als einen Schaden begründend angenommen werden. Jedenfalls jedoch konnte sich die Kammer keine Überzeugung davon verschaffen, dass ein etwa anzunehmender Schaden auf das streitgegenständliche Datenleck zurückzuführen ist. Ein Anspruch aus Art. 82 DS-GVO wegen eines vermeintlichen Verstoßes gegen Art. 15 DS-GVO scheidet bereits grds. aus. Die fehlende oder unzureichende Erteilung einer nach Art. 15 DS-GVO geschuldeten Auskunft stellt keinen Verarbeitungsvorgang iSd Art. 4 Nr. DS-GVO dar; vielmehr handelt es sich um eine dem Verarbeitungsvorgang nachgehende Verpflichtung. |
| NEU LG Aachen Urt. v. 25.1.2024 – 12 O 247/23 | 1.000 EUR Dem Kl. steht gegen die Bekl. einen Anspruch auf Schadensersatz iHv 1000 EUR aus Art. 82 Abs. 1 DS-GVO zu. Die Bekl. hat als Verantwortliche iSd Art. 4 Nr. 7 DS-GVO gegen mehrere Vorschriften aus der DS-GVO verstoßen. Konkret verstieß die Bekl. gegen Art. 32, 34 DS-GVO. Durch diese Verstöße ist dem Kl. ein immaterieller Schaden entstanden. Die Verstöße gegen die DS-GVO sind auch kausal für den bei dem Kl. entstandenen Schaden. Die Bekl. handelte auch schuldhaft. Der Kl. hat sich auch kein Mitverschulden nach § 254 Abs. 1 BGB anrechnen zu lassen. Nach Art. 82 Abs. 1 DS-GVO ist für eine Schadensersatzpflicht ein Verstoß gegen die DS-GVO erforderlich. Da der sachliche Anwendungsbereich der DS-GVO nach deren Art. 2 Abs. 1 jedoch nur für die Datenverarbeitung eröffnet ist, ist ein Verstoß in Form einer gegen die Vorschriften der DS-GVO erfolgten Datenverarbeitung erforderlich. Art. 82 Abs. 1, Abs. 2 S. 1 und S. 2 DS-GVO beinhalten daher lediglich die Klarstellung, dass der Verantwortliche für alle - durch entsprechende Verstöße verursachte - Schäden haftet, während der Auftragsverwalter nur unter weiteren Voraussetzungen für Schäden haftet. Eine Einschränkung hinsichtlich der - eine Haftung nach Art. 82 Abs. 1 DS-GVO begründenden - Verstöße liegt hierin jedoch nicht. Die Bekl. hat weiter keine hinreichenden Sicherheitsmaßnahmen zur Verhinderung des streitgegenständlichen "Scraping-Vorfalls" mittels des CIT vorgehalten und somit gegen Art. 32, 24, 5 Abs. 1 lit. f DS-GVO verstoßen. Dem Kl. ist nach Auffassung des Gerichts ein immaterieller Schaden iHv 1000 EUR gem. Art. 82 Abs. 1 DS-GVO entstanden. Der Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO dient nicht nur dem Ausgleich erlittenen Schadens, sondern auch repressiven und präventiven Zwecken, indem er Verstöße sanktioniert, weiteren Verstößen präventiv vorbeugt und vor zukünftigen Verstößen abschreckt. Der Erwägungsgrund 75 zur DS-GVO benennt den Kontrollverlust ausdrücklich als zu erwartendes Risiko der Verarbeitung personenbezogener Daten, das zu einem Schaden bei den Betroffenen führt, indem es dort heißt: "Die Risiken für die Rechte und Freiheiten natürlicher Personen - mit unterschiedlicher Eintrittswahrscheinlichkeit und Schwere - können aus einer Verarbeitung personenbezogener Daten hervorgehen, die zu einem physischen, materiellen oder immateriellen Schaden führen könnte, insbesondere (...) wenn die betroffenen Personen (...) daran gehindert werden, die sie betreffenden personenbezogenen Daten zu kontrollieren". Würde ein Schaden erst dann angenommen werden, wenn es durch das Abgreifen der Daten zu einer vertieften vermögens- oder persönlichkeitsrechtlichen Verletzung des Betroffenen kommt, würde das dem weit auszulegenden Schadensbegriff und dem damit verbundenen individuellen Ausgleichsanspruch entgegenstehen. Als weitere Schäden in diesem Zusammenhang kommen zudem Angst, Stress und Zeiteinbußen in Betracht. Es kann vorliegend dahinstehen, ob für eine Ersatzpflicht nach Art. 82 Abs. 1 DS-GVO bereits ein Verstoß gegen eine Norm der DS-GVO genügt, oder ein konkreter Schaden des Kl. vorliegen muss. Die Verstöße gegen die DS-GVO durch die Bekl. können nicht hinweg gedacht werden, ohne dass der Schaden des Kl. entfiele. Erst durch diese Verstöße war es den unbekannten Scrapern möglich, personenbezogene Daten des Kl. abzugreifen. Die Bekl. handelte hinsichtlich der festgestellten Verstöße auch schuldhaft. Sie kann sich hinsichtlich der einzelnen Verstöße nicht nach Art. 82 Abs. 3 DS-GVO entlasten. Danach gelingt eine Befreiung nur, wenn der Verantwortliche oder der Auftragsverarbeiter nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. Damit wird die Verantwortlichkeit der Bekl. widerleglich vermutet. Hier ist der Bekl. weder der Nachweis fehlenden Verschuldens noch des Vorliegens ganz ungewöhnlicher Kausalverläufe, eines Falles höherer Gewalt oder weit überwiegenden eigenen Fehlverhaltens des Kl. Ebenso kann sie sich auch nicht mit dem Verweis auf das Fehlverhalten des externen Dienstleisters T. N., Ltd der Haftung entziehen, da ein solches gem. Art. 82 Abs. 4 zu einer gesamtschuldnerischen Haftung führt, sodass auch die Bekl. aufgrund der schadensverursachenden Datenverarbeitung auf den Ersatz des gesamten Schadens in Anspruch genommen werden kann. Der vom Kl. erlittene immaterielle Schaden war vorliegend auf 1000 EUR zu bemessen. Diese Summe erachtet des Gerichts iRd von ihm ausgeübten Ermessens nach § 287 Abs. 1 ZPO als ausreichend, um sowohl der Ausgleichs- und Genugtuungsfunktion des Schadensersatzes gerecht zu werden und außerdem als hinreichend, um dem präventiven Charakter der Norm zu genügen. Der Schadensersatz der DS-GVO soll dem Betroffenen einen vollständigen und zugleich wirksamen Ersatz für den von ihm erlittenen Schaden bringen. Bei der Bemessungshöhe des immateriellen Schadensersatzes nach Art. 82 Abs. 1 DS-GVO können dabei die Grundlagen des Art. 83 Abs. 2 DS-GVO herangezogen werden. Demnach sind u.a. Art, Schwere und Dauer des Verstoßes und die Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind, zu berücksichtigen. Unter Berücksichtigung von Erwägungsgrund 75 und 85 DS-GVO muss weiter beachtet werden, dass dem Schadensersatzanspruch auch eine abschreckende Wirkung ggü. dem Verantwortlichen zukommen soll, um somit eine effektive Durchsetzung der DS-GVO sicherzustellen. Schließlich sind auch die konkreten Umstände des maßgeblichen Einzelfalls zu berücksichtigen. Der Kl. macht geltend, dass er nach Bekanntwerden des Datenlecks in einem Zustand von Unwohlsein und Sorge über einen möglichen Missbrauch seiner Daten, insb. unter Berücksichtig der vielfältigen Missbrauchsmöglichkeiten verbleibt. Er hat in der Zeit nach dem Auftreten des Datenlecks unbekannte Kontaktversuche und Spamnachrichten per E-Mail erhalten. Dieser Kontrollverlust über seine Daten soll der Schmerzensgeldanspruch durch die Festsetzung einer angemessenen Höhe widerspiegeln. Die Erstattungsfähigkeit der außergerichtlichen anwaltlichen Kosten folgt aus Art. 82 Abs. 1 DS-GVO iVm §§ 249 ff. BGB. Die Inanspruchnahme eines Rechtsanwalts zur Durchsetzung etwaiger Rechte infolge des Verstoßes gegen die DS-GVO war für den Kl. angesichts der oben geschilderten unübersichtlichen Rechtslage erforderlich und zweckmäßig. |
| LG Dortmund Urt. v. 24.1.2024 – 3 O 37/23 = ZD 2024, 660 (Ls.) | 0 EUR Ein Anspruch des Kl. auf Zahlung eines immateriellen Schadensersatzes ergibt sich nicht aus Art. 82 Abs. 1 DS-GVO. Es kann letztlich dahingestellt bleiben, ob der Bekl. Verstöße gegen die Bestimmungen der DS-GVO anzulasten sind, insb. ob die Bekl., die die Darlegungslast dahin trifft, die betroffenen personenbezogenen Daten des Kl. entsprechend der DS-GVO verarbeitet zu haben, namentlich Verstöße gegen Art. 5 Abs. 1 lit. a und Art. 6 Abs. 1 UAbs. 1 DS-GVO, gegen Art. 5 Abs. 1 lit. b und Art. 25 Abs. 1 u. Abs. 2 DS-GVO sowie gegen Art. 5 Abs. 1 lit. f und Art. 32 DS-GVO konkret ausgeräumt hat. Jedenfalls mangelt es an einem ersatzfähigen Schaden des Kl. iSd Art. 82 Abs. 1 DS-GVO. Ein auf die – möglichen – Verstöße zurückzuführender immaterieller Schaden ist bereits nicht hinreichend dargelegt. Der Kl. hat zu seinem individuellen immateriellen Schaden keinerlei konkreten Vortrag gehalten. Der bemühte Kontrollverlust allein oder die Auflistung generell-abstrakter Gefahren ohne Darlegung persönlicher und/oder psychologischer Beeinträchtigungen genügen nicht. Eine persönliche Anhörung des Kl. musste vor diesem Hintergrund schon nicht erfolgen. Auch ist nicht hinreichend dargelegt, dass die behaupteten Kontaktversuche auf das streitgegenständliche Scraping zurückzuführen sind. Der Eintritt des Schadens muss nach allgemeinen Grundsätzen (§ 287 ZPO) als überwiegend wahrscheinlich dargetan werden. Dabei kann offenbleiben, wie der Schadensbegriff des Art. 82 Abs. 1 DS-GVO konkret zu verstehen ist; denn es ist es dem Kl. bereits nicht gelungen, jedweden Ansatzpunkt für einen ersatzfähigen Schaden hinreichend konkret darzulegen. Nur hilfsweise sei bemerkt, dass der Klageantrag zu Nr. 5. auf Zahlung vorgerichtlicher Rechtsanwaltskosten auch unbegründet wäre. Ein solcher Anspruch ergibt sich weder aus § 280 Abs. 1 BGB noch aus Art. 82 Abs. 1 DS-GVO, da es in der Hauptsache bereits an einem Anspruch mangelt. Aus demselben Grund besteht auch kein Zinsanspruch des Kl. aus § 291 BGB. Das zwischenzeitlich ergangene Urt. des EuGH v. 14.12.2023 - C-340/21 [= ZD 2024, 150 mAnm Ligocki/Sosna = MMR 2024, 231 mAnm Kohl/Rothkegel]) gibt dem Gericht keine Veranlassung zur Aufgabe seiner Rechtsauffassung, dass iRe Anspruchs aus Art. 82 DS-GVO ein mit einer unrechtmäßigen Datenverarbeitung als negative Folge einhergehender Kontrollverlust als solcher die Annahme eines immateriellen Schadens nicht trägt. |
| LG Stuttgart Urt. v. 24.1.2024 – 27 O 92/23 = ZD 2024, 348 mAnm Splittgerber/Berchtold | 0 EUR Der von der Kl. geltend gemachte Schadensersatzanspruch gem. Art. 82 DS-GVO setzt zunächst voraus, dass eine Verletzung des Schutzes personenbezogener Daten der Kl. vorgelegen hat. Dies erfordert, dass der Twitter-Account der Kl. von dem API-Bug betroffen gewesen ist, wobei ihre Betroffenheit von der Kl. zur vollen Überzeugung des Gerichts nachzuweisen ist (§ 286 ZPO). Diesen Nachweis hat die Kl. nicht geführt. Der Beweisantritt der Kl. besteht darin, dass die von dem australischen Sicherheitsforscher Tony Hunt betriebene Internetplattform https:///haveibeenpwned.com unter Eingabe der E-Mail-Adresse der Kl. ihre Betroffenheit ausweise. Dem Beweisangebot der Kl., diese Internetseite in Augenschein zu nehmen und die E-Mail-Adresse a...@aol.com einzugeben, ist das Gericht nachgegangen, wie in der mündlichen Verhandlung erörtert worden ist. Es trifft demnach zu, dass die Internetseite https:///haveibeenpwned.com die Betroffenheit der Kl. von dem API-Bug bei Twitter ausweist, was die Bekl. auch nicht ausdrücklich bestritten hat. Hieraus ergibt sich aber nicht der Vollbeweis, dass die Angaben auf der Internetseite https:///haveibeenpwned.com zutreffend sind und die Kl. von dem API-Bug tatsächlich betroffen ist. Soweit die Kl. immateriellen Schadensersatz wegen verzögerter Auskunftserteilung verlangt, ist ein solcher Anspruch schon nicht schlüssig vorgetragen. Selbst wenn zugunsten der Kl. unterstellt wird, dass ihr gegen die Bekl. ein Auskunftsanspruch aus Art. 15 DS-GVO zugestanden hat, die Bekl. mit der Auskunftserteilung in Verzug geraten ist und die Vorschrift des Art. 82 Abs. 1 DS-GVO auch den Verzugsschaden wegen verzögerter Auskunftserteilung erfasst, ist jedenfalls ein Schaden der Kl., der gerade auf die unterbliebene Auskunftserteilung zurückgeht, nicht dargelegt. Die Kl. begründet ihren immateriellen Schaden allein mit der Lästigkeit des erhöhten Spamaufkommens sowie der Sorge um die Sicherheit ihrer Daten. Dieser immaterielle Schaden ist nach dem Vorbringen der Kl. durch das von Hackern ausgenutzte Datenleck bei Twitter entstanden. Dass neben diesem immateriellen Schaden ein abgrenzbarer anderer immaterieller Schaden durch die verzögerte Auskunftserteilung entstanden wäre, ist weder schlüssig vorgetragen noch ersichtlich. |
| LG Ravensburg Urt. v. 11.1.2024 – 4 O 271/23 | 0 EUR Da die Bekl. nicht gegen die DS-GVO verstoßen hat und die Datenverarbeitung auch sonst rechtmäßig ist scheidet ein Anspruch des Kl. auf Schadensersatz nach Art. 82 Abs. 1 DS-GVO aus. |
| AGe | |
| NEU AG Lörrach Urt. v. 28.10.2024 – 3 C 112/24 = ZD 2025, 108 | 0 EUR Der Klageantrag Nr. 2 ist keine unzulässige alternative Klagehäufung. Bei der alternativen Klagehäufung wird ein einheitliches rechtliches Begehren auf verschiedene Klagegründe gestützt. Es muss vorgegeben werden, in welcher Reihenfolge die Klagegründe geprüft werden sollen. Die Erwägungen des BGH beziehen sich dabei nicht nur auf den gewerblichen Rechtsschutz, sondern auch auf allgemeine Erwägungen, nämlich auf den Rechtsgedanken der Waffengleichheit. Außerdem hat der BGH diese Rspr. auch schon auf andere Rechtsgebiete übertragen. Es handelt sich hier aber viel mehr um eine kumulative Klagehäufung. Es werden zwei verschieden Ansprüche geltend gemacht, die sich jeweils auf unterschiedliche Daten beziehen, nämlich Daten die lediglich für eine personalisierte Werbung notwendig sind und Daten, die auch zur Nutzung der Dienste der Bekl. notwendig sind. Das sind zwei verschiedene Begehren, die unabhängig voneinander verfolgt werden. Auch in der übrigen Instanzrechtsprechung wurde dieser Antrag bislang nicht beanstandet. Der Klageantrag Nr. 1 wird als einheitliches Begehren auf zwei verschiedene Klagegründe gestützt. Die 1.500 EUR werden einmal als immaterieller Schaden iRd Art. 82 DS-GVO und den nationalen Schadensersatzansprüchen und einmal als Herausgabe der Bereicherung aus Eingriffskondiktion verlangt. Die Bereicherung und der Schaden sind zwei verschiedene Klagegegenstände, weshalb eine alternative Klagehäufung vorliegt. Wenn das Gericht nun ausschließlich über die Bereicherung entscheidet und die Prüfung iÜ zum Schaden auslässt (oder umgekehrt), weil damit die Klage schon begründet wäre, dann wäre über den Anspruch auf Schadensersatz gar nicht entschieden und die Bekl. bliebe im Ungewissen, ob der Kl. den nicht beschiedenen Streitgegenstand in einem weiteren Prozess aufgreifen kann oder wird. Damit wäre die Bekl. der Willkür des Gerichts ausgesetzt, welcher Anspruch geprüft wird. Das wäre keine hinreichend bestimmte Klage iSd § 253 Abs. 2 Nr. 2 ZPO. Dies ist unzulässig, wenn zwei verschiedene Streitgegenstände vorliegen, weil dann unklar ist, worüber tatsächlich entschieden wird oder wurde. |
| NEU AG Darmstadt Urt. v. 8.10.2024 – 308 C 38/24 | 0 EUR Die Kl. hat gegen die Bekl. keinen Anspruch auf Zahlung eines immateriellen Schadensersatzes iHv 5.000 EUR aus Art. 82 Abs. 1 DS-GVO. Es kann dahinstehen, ob ein Verstoß gegen die Bestimmungen der DS-GVO vorliegt. Denn das Gericht kann nicht feststellen, dass der Kl. einen kausal auf die behaupteten Verstöße zurückzuführenden Schaden erlitten hat. Nach allgemein Grundsätzen obliegt es der Kl., die Mitursächlichkeit darzulegen und ggf. zu beweisen. Nach mittlerweile gefestigter Rspr. ist ein Verstoß gegen die DS-GVO nicht unmittelbar mit einem Schaden gleichzusetzen. Es geht aus dem Wortlaut von Art. 82 Abs. 1 DS-GVO klar hervor, dass das Vorliegen eines Schadens eine der Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadensersatzanspruch darstellt, ebenso wie das Vorliegen eines Verstoßes gegen die DS-GVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind. Allerdings ergibt sich keine Erheblichkeitsschwelle für das Vorliegen eines Schadens, es können auch Bagatellschäden umfasst sein. Zu verlangen ist aber jedenfalls, dass ein konkreter immaterieller Schaden auch tatsächlich eingetreten ist. Diesen muss der Kl. zunächst darlegen. Auch unter Berücksichtigung eines weiten Verständnisses des immateriellen Schadens, dass ausdrücklich auch Bagatellschäden einschließt, vermag der formelhafte klägerische Vortrag das Tatbestandsmerkmal des Schadens nicht schlüssig auszufüllen. Ein abstrakter Kontrollverlust reicht allein für einen immateriellen Schaden nicht aus. Für eine darüberhinausgehende Beeinträchtigung trägt die Kl. als diejenige, die den Anspruch geltend macht, die Beweislast. Es ist nicht ersichtlich, dass bei der Kl. ein Gefühl des Kontrollverlustes, der Ohnmacht oder der großen Sorge konkret bezogen auf die Mitteilung durch die Bekl. eingetreten ist. |
| NEU AG Köln Urt. v. 6.9.2024 - 153 C 95/24 | 0 EUR Die Kl. hat keinen Anspruch auf das geltend gemachte Schmerzensgeld iHv 100 EUR für jeden Monat, in dem die Bekl. die begehrte Auskunft verweigert hat, mindestens jedoch 800 EUR. Dieser Anspruch ergibt sich insbesondere nicht aus Art. 82 Abs. 1 DS-GVO. Zum einen liegt bereits kein Verstoß gegen die DS-GVO vor, zum anderen hat die Kl. einen ersatzfähigen immateriellen Schaden schon nicht dargelegt. Sie trägt vor, ihr immaterieller Schaden bestünde darin, dass sie einen erheblichen Kontrollverlust über ihre Daten erlitten habe und in einem Zustand großen Unwohlseins und Sorge über möglichen Missbrauch ihrer Daten verbleibe. Der Umstand, dass die Bekl. den geltend gemachten Auskunftsanspruch ignoriert habe, erfülle die Kl. mit großem Unwohlsein, denn die Bekl. verfüge insoweit über einen enormen Informationsvorsprung. Auch fühle sich die Kl. damit unwohl, dass die Bekl. im laufenden Prozess zu jedem Zeitpunkt AGB`s habe nachschieben können, aus denen sich vermeintlich ergeben hätte, dass die Umbuchungsgebühr zulässig gewesen wäre. Ferner hätte sie auch die mutmaßlich existierenden Audioaufzeichnungen der Umbuchung des Rückfluges beliebig in den Prozess einbringen könne, um nachzuweisen, dass diese gar nicht vorgenommen wurde. Indes rechtfertigt all dies keine Schadensersatzpflicht. Denn der Kontrollverlust ist Voraussetzung dafür, dass ein Verstoß gegen die DS-GVO vorliegt. Vor diesem Kontrollverlust soll die Datenschutzverordnung gerade schützen. Der Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO setzt aber, wie sich aus seinem Wortlaut ergibt, mehr voraus, nämlich einen immateriellen Schaden. Erst dann, wenn resultierend aus dem Kontrollverlust, nämlich aus dem Verstoß gegen die DS-GVO, zusätzlich ein immaterieller Schaden entstanden ist, besteht ein Anspruch auf Schadensersatz. Der Kontrollverlust alleine, d.h. der Verstoß gegen die DS-GVO, reicht hierfür nicht. Dass die Kl. einen über den Kontrollverlust hinausgehenden immateriellen Schaden in Form von psychischen oder psychiatrisch relevanten Beeinträchtigungen erlitten hat, ist nicht ersichtlich. |
| NEU AG Meppen Urt. v. 6.8.2024 – 3 C 153/24 | 0 EUR Die Kl. hat keinen Anspruch auf immateriellen Schadensersatz aus Art. 82 Abs. 1 DS-GVO. Unabhängig von einem etwaigen Verstoß gegen Vorschriften der DS-GVO fehlt es jedenfalls am Eintritt eines immateriellen Schadens. Die Frage, ob bereits der Datenschutzverstoß als solcher für das Entstehen eines Schadensersatzanspruchs ausreicht oder es darüber hinaus der Darlegung und des Nachweises eines konkreten (auch: immateriellen) Schadens bedarf, ist in Rspr. und lit. umstritten. Das Gericht folgt der Auffassung, wonach über den festgestellten Verstoß gegen die Vorschriften des DS-GVO hinaus Voraussetzung für eine Entschädigung in Geld der Nachweis eines konkreten (auch immateriellen) Schadens ist. Hierfür spricht zunächst bereits der Wortlaut von Art. 82 Abs. 1 DS-GVO, der über den Verstoß hinaus ausdrücklich die Entstehung eines Schadens („… Schaden entstanden ist") voraussetzt. Hätte der Verordnungsgeber eine nur an den Rechtsverstoß anknüpfende, vom Nachweis eines konkreten Schadens unabhängige Zahlungspflicht anordnen wollen, hätte es demgegenüber nahegelegen, dies - wie zB im Luftverkehrsrecht gem. Art. 7 Abs. 1 FluggastrechteVO (EG) 261/2004 - durch Pauschalen zu regeln. In dem Erwägungsgrund 146 S. 3 DS-GVO heißt es zwar, dass der Begriff des Schadens im Lichte der Rspr. des Gerichtshofs weit auf eine Art und Weise ausgelegt werden soll, die den Zielen der Verordnung in vollem Umfang entspricht. Der Anspruch soll nach Erwägungsgrund 146 S. 6 DS-GVO sicherstellen, dass die betroffenen Personen einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten. Das schließt ein, dass Schadensersatzforderungen abschrecken und weitere Verstöße unattraktiv machen sollen. Der Begriff des Schadens in Art. 82 DS-GVO ist autonom auszulegen, mithin kommt es nicht darauf an, ob ein bestimmter Schaden nach nationalem Recht als Schaden angesehen werden könnte. Auch hiernach ist der Schaden jedoch nicht mit der zugrundeliegenden Rechtsgutsverletzung gleichzusetzen. Denn ausdrücklich muss der Schaden „erlitten" werden, woraus folgt, dass dieser tatsächlich entstanden sein muss und nicht lediglich befürchtet wird. Der bloße Verstoß gegen Bestimmungen der DS-GVO reicht daher nicht aus. Das Erfordernis des Nachweises eines tatsächlich erlittenen Schadens ist auch der Sache nach erforderlich, um ein vom Verordnungsgeber nicht gewolltes Ausufern von Schadensersatzforderungen in allen Fällen eines – tatsächlich für den Betroffenen folgenlosen – Datenschutzverstoßes zu vermeiden. Auch der Generalanwalt beim EuGH legt Art. 82 Abs. 1 DS-GVO dahin aus, dass eine Auslegung, die den Begriff „Verstoß“ automatisch, ohne Erfordernis eines Schadens, mit dem Begriff „Ausgleich“ in Verbindung bringe, nicht mit dem Wortlaut von Art. 82 der DS-GVO im Einklang stehe. Es könne nicht bereits aus einem Verstoß gegen die DS-GVO, der zu einem Kontrollverlust über Daten geführt habe, auf einen ersatzfähigen Schaden geschlossen werden. Die DS-GVO sehe zudem keinen Strafschadensersatz vor, der ggf. unabhängig von einem konkret erlittenen Schaden als Sanktion für einen festgestellten Datenschutzverstoß zugesprochen werden könne. Der in Art. 82 Abs. 1 der DS-GVO vorgesehene Anspruch auf Schadensersatz sei nicht das geeignete Instrument, um gegen Verstöße bei der Verarbeitung personenbezogener Daten vorzugehen, wenn sie bei der betroffenen Person lediglich zu Zorn oder Ärger führten. Im Allgemeinen werde jeder Verstoß gegen eine Norm über den Schutz personenbezogener Daten zu einer negativen Reaktion der betroffenen Person führen. Ein Schadensersatz, der sich aus einem bloßen Unmutsgefühl wegen der Nichtbeachtung des Rechts durch einen anderen ergäbe, würde letztlich zur Zuerkennung eines nach dem System der DS-GVO gerade nicht vorgesehenen Schadensersatzes ohne Schaden führen. Nunmehr hat auch der EuGH in seinem Urt. v. 4.5.2023 - C-300/21 [= ZD 2023, 446 mAnm Mekat/Ligocki – Österreichische Post] entschieden, dass Art. 82 Abs. 1 DS-GVO dahin auszulegen ist, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadensersatzanspruch zu begründen. Zum einen gehe aus dem Wortlaut dieser Bestimmung klar hervor, dass das Vorliegen eines „Schadens“ eine der Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadensersatzanspruch darstelle, ebenso wie das Vorliegen eines Verstoßes gegen die DS-GVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ seien. Daher könne nicht davon ausgegangen werden, dass jeder „Verstoß“ gegen die Bestimmungen der DS-GVO für sich genommen den Schadensersatzanspruch der betroffenen Person iSv Art. 4 Nr. 1 DS-GVO eröffne. Eine solche Auslegung liefe dem Wortlaut von Art. 82 Abs. 1 DS-GVO zuwider. Zum anderen sei hervorzuheben, dass die gesonderte Erwähnung eines „Schadens“ und eines „Verstoßes“ in Art. 82 Abs. 1 DS-GVO überflüssig wäre, wenn der Unionsgesetzgeber davon ausgegangen wäre, dass ein Verstoß gegen die Bestimmungen der DS-GVO für sich allein in jedem Fall ausreichend wäre, um einen Schadensersatzanspruch zu begründen. Diese Auslegung werde auch durch die Erläuterungen in Erwägungsgrund 75, 85 und 146 DS-GVO bestätigt. Zum einen beziehe sich der Erwägungsgrund 146 DS-GVO, der speziell den in Art. 82 Abs. 1 DS-GVO vorgesehenen Schadensersatzanspruch betrifft, in seinem ersten S. auf „Schäden, die einer Person aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht“. Zum anderen heiße es in den Erwägungsgrund 75 und 85 DS-GVO, dass „[d]ie Risiken … aus einer Verarbeitung personenbezogener Daten hervorgehen [können], die zu einem … Schaden führen könnte“ bzw. dass eine „Verletzung des Schutzes personenbezogener Daten … einen … Schaden … nach sich ziehen [kann]“. Daraus ergebe sich erstens, dass der Eintritt eines Schadens iRe solchen Verarbeitung nur potenziell sei, zweitens, dass ein Verstoß gegen die DS-GVO nicht zwangsläufig zu einem Schaden führe, und drittens, dass ein Kausalzusammenhang zwischen dem fraglichen Verstoß und dem der betroffenen Person entstandenen Schaden bestehen müsse, um einen Schadensersatzanspruch zu begründen. Mithin reicht der bloße Verstoß gegen Art. 82 Abs. 1 DS-GVO nicht aus, um einen immateriellen Schadensersatzanspruch zu begründen. Es ist Schadensersatz zu leisten, wenn der Nachweis eines Verstoßes gegen die DS-GVO, eines tatsächlich erlittenen materiellen oder immateriellen Schadens und eines Kausalzusammenhangs zwischen dem Verstoß und dem Schaden erbracht wird. Für das Vorliegen einer Verletzung des Schutzes personenbezogener Daten der Kl. ist danach erforderlich, dass ihr T-Account von dem API-Bug in 2021 betroffen gewesen ist. Diese Frage der haftungsbegründenden Kausalität hat die Kl. darzulegen und mit dem Beweismaßstab des § 286 ZPO zur Überzeugung des Gerichts nachzuweisen. Der Kl. als vermeintlich Betroffenen hätte es daher oblegen, nachzuweisen, dass objektiv ein Verstoß gegen die Bestimmungen der DS-GVO vorliegt und dass er in subjektiver Hinsicht tatsächlich von dem Verstoß betroffen ist. Für den – hier geltend gemachten – immateriellen Schadensersatz gelten dabei die im Rahmen von § 253 BGB entwickelten Grundsätze; die Ermittlung obliegt dem Gericht nach § 287 ZPO. Es können für die Bemessung die Kriterien des Art. 83 Abs. 2 DS-GVO herangezogen werden, zB die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie die betroffenen Kategorien personenbezogener Daten. Zu berücksichtigen ist auch, dass die beabsichtigte abschreckende Wirkung nur durch für den Anspruchsverpflichtenden empfindliche Schmerzensgelder erreicht wird, insbesondere wenn eine Kommerzialisierung fehlt. Ein genereller Ausschluss von Bagatellfällen ist damit nicht zu vereinbaren. Die Pflicht zur Erstattung immaterieller Schäden ist daher nicht nur auf schwere Schäden beschränkt. Ein genereller Ausschluss von Bagatellschäden ist im Lichte dieser Erwägungsgründe nicht vertretbar. |
| NEU AG Lichtenberg Urt. v. 19.6.2024 – 14 C 108/23 | 100 EUR Dem Kl. steht ein Anspruch auf Ersatz immateriellen Schadens gem. Art. 82 Abs. 1 DS-GVO iHv 100 EUR zu. Voraussetzung für das Bestehen eines Schadensersatzanspruchs nach Art. 82 Abs. 1 DS-GVO ist, dass ein Verstoß gegen die DS-GVO kausal einen immateriellen Schaden herbeigeführt hat. Die DS-GVO ist zeitlich, sachlich und räumlich anwendbar. Von der Bekl. wurden personenbezogene Daten des Kl. unter Verstoß gegen die Bestimmungen der DS-GVO verarbeitet. Die Bekl. hat sich nicht mit Erfolg exkulpiert (Art. 82 Abs. 3 DS-GVO). Dem Bekl. ist zudem ein immaterieller Schaden entstanden. Die Bekl. hat gegen die DS-GVO verstoßen. Art. 82 DS-GVO erfasst jedweden Verstoß gegen die DS-GVO. Der Anspruch auf Schadensersatz nach Art. 82 Abs. 1 DS-GVO setzt nicht voraus, dass eine Schutznorm verletzt wird oder eine rechtswidrige Datenverarbeitung vorliegt, es genügt entgegen der Ansicht der Bekl. jede Verletzung materieller oder formeller Bestimmungen der DS-GVO. Grds. trägt der Anspruchsteller die Beweislast für die tatbestandsbegründenden Umstände iRd Art. 82 DS-GVO. Dennoch ist nicht der Kl. für den für die Haftung nach Art. 82 DS-GVO erforderlichen Verstoß gegen die DS-GVO im Zuge der Datenverarbeitung darlegungs- und beweisbelastet. Denn die DS-GVO enthält in Art. 5 Abs. 2 DS-GVO eine spezifische Beweislastregelung, wonach der für die Datenverarbeitung Verantwortliche für die Einhaltung der in Art. 5 Abs. 1 DS-GVO enthaltenen Grundsätze der Datenverarbeitung verantwortlich ist und deren Einhaltung nachweisen können muss. Der für die betreffende Verarbeitung Verantwortliche trägt auch die Beweislast dafür, dass die von ihm getroffenen Sicherheitsmaßnahmen iSv Art. 32 DS-GVO geeignet waren. Mit der Belassung der Voreinstellung "alle" in der Suchfunktion hat sie gegen Art. 5 Abs. 1 lit. a, b, Art. 6 Abs. 1 UAbs. 1 DS-GVO und Art. 25 Abs. 2 DS-GVO verstoßen. Die Bekl. als die für die Datenverarbeitung Verantwortliche hat weder schlüssig dargelegt noch bewiesen, dass ihre streitgegenständliche, zum Scraping-Vorfall beim Kl. führende Verarbeitung entgegen dem klägerischen Vorbringen nicht gegen die in Art. 5 Abs. 1 lit. a, b, Art. 6 Abs. 1 UAbs. 1 DS-GVO, Art. 25 Abs. 1, Abs. 2 DS-GVO normierten Grundsätze verstoßen hat. In Art. 25 Abs. 1 DS-GVO wird der Verantwortliche verpflichtet, geeignete technische und organisatorische Maßnahmen umzusetzen. Dabei wird die Möglichkeit der Abwägung eröffnet. Die Norm gibt die Möglichkeit, Umstände wie den Stand der Technik, die Implementierungskosten und auch Risiken für die Rechte und Freiheiten natürlicher Personen mit in die Abwägung bei der Wahl der Maßnahmen einzubeziehen. Dem Kl. ist auch ein kausaler immaterieller Schaden entstanden. Nach der Rspr. des EuGH sind die Worte „materieller oder immaterieller Schaden“ als autonome Begriffe des Unionsrechts anzusehen und in allen Mitgliedstaaten einheitlich auszulegen. Zum immateriellen Schaden hat der EuGH ausgeführt, dass Art. 82 Abs. 1 DS-GVO dahin auszulegen sei, dass er einer nationalen Regelung oder Praxis entgegenstehe, die den Ersatz eines immateriellen Schadens iSd Bestimmung davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat. Der EuGH hat ferner ausgeführt, dass Art. 82 Abs. 1 DS-GVO dahin auszulegen sei, dass allein der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen die DS-GVO befürchtet, ihre personenbezogenen Daten könnten durch Dritte missbräuchlich verwendet werden, einen „immateriellen Schaden“ im Sinne dieser Bestimmung darstellen könne. Die betroffene Person müsse damit nicht nachweisen, dass Dritte diese Daten vor Erhebung ihrer Schadensersatzklage unrechtmäßig verwendet haben. Der EuGH hat ausgeführt, dass der Unionsgesetzgeber unter den Begriff „Schaden“ iSv Art. 82 Abs. 1 DS-GVO auch den bloßen „Verlust der Kontrolle“ über die eigenen Daten durch einen DS-GVO-Verstoß sowie die Furcht vor Datenmissbrauch fassen wollte, selbst wenn konkret keine missbräuchliche Verwendung der betreffenden Daten zum Nachteil dieser Personen erfolgt sein sollte. Zudem kann nach Ansicht des EuGH allein der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen die DS-GVO befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, einen „immateriellen Schaden“ im Sinne dieser Bestimmung darstellen. Auch hat der Gerichtshof entschieden, dass grds. der – selbst kurzzeitige – Verlust der Kontrolle über solche Daten einen „immateriellen Schaden“ iSv Art. 82 Abs. 1 DS-GVO darstellen kann. Indes betont der EuGH, dass im Rahmen von Art. 82 DS-GVO der bloße Verstoß gegen die DS-GVO nicht ausreicht, um einen Schadensersatzanspruch zu begründen. Vielmehr müssten Betroffene auch einen konkret erlittenen Schaden nachweisen. Das angerufene nationale Gericht müsse jedoch, wenn sich eine Person, die auf dieser Grundlage Schadensersatz fordert, auf die Befürchtung beruft, dass ihre personenbezogenen Daten in Zukunft aufgrund eines solchen Verstoßes missbräuchlich verwendet werden, prüfen, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann. Allerdings muss eine Person, die von einem Verstoß gegen die DS-GVO betroffen ist, der für sie negative Folgen gehabt hat, nachweisen, dass diese Folgen einen immateriellen Schaden iSv Art. 82 DS-GVO darstellen. Hinsichtlich des haftungsbegründenden immateriellen Schadens gilt das Beweismaß des § 286 ZPO, das die volle Überzeugung des Gerichts verlangt. Diese erfordert keine absolute oder unumstößliche Gewissheit und auch keine an Sicherheit grenzende Wahrscheinlichkeit, sondern nur einen für das praktische Leben brauchbaren Grad von Gewissheit, der Zweifeln Schweigen gebietet. Diese Überzeugung hat das Gericht erlangt. Der Vortrag des Kl. ist diesbezüglich hinreichend. Zwar ist der Vortrag des Kl. nicht widerspruchsfrei. So wird vorgetragen, dass die Mail-Adresse nicht abgegriffen wurde. Der Fragebogen stellt auf Beeinträchtigungen durch E-Mails ab und auch Screenshots sollen angebliche Beeinträchtigungen durch E-Mails durch das Scraping zeigen, die aber durch den Scraping-Vorfall nicht entstanden sein können. Dies bereits deswegen nicht, weil die Mail-Adresse nach dem Vortrag der Bekl., der nicht bestritten wird, nicht Teil der gescrapten Daten war. Zudem weist der von der Bekl. eingereichte Screenshot des Profils des Kl. zumindest seinen dortigen Namen als XXX und nicht XXX aus. Die vom Kl. vorgelegten Spam-E-Mails enthalten allerdings nicht diesen Namen. Im Klageantrag wird trotzdem auf eine angebliche Ermöglichung der unbefugten Ermittlung der E-Mail-Adresse abgestellt. Diese Umstände lassen den Vortrag in dieser Hinsicht widersprüchlich erscheinen. Nach Auffassung des Gerichts ist es entgegen des Vortrags der Klägerseite auch durchaus relevant, dass die E-Mail-Adresse nicht Teil des Scrapings war, da sich ein signifikanter Teil des Vortrages des Kl. hierauf bezieht. Des Weiteren sind im Fragebogen keine Beeinträchtigungen durch SMS angegeben, obwohl solche ebenfalls vorgetragen werden. Es erscheint auch nicht fernliegend, dass die Ausführungen zum Schaden pauschal für mehrere Kl. verwendetet werden und der Fragebogen mittels suggestiver Formulierungen ebenfalls pauschale Ergebnisse erzeugen soll. Dafür spricht neben dem Abstellen auf die E-Mails im Fragebogen und der Erwähnung von angeblichen Beeinträchtigungen durch SMS der Umstand, dass die Klägervertreterin ihrer Angabe nach mehr als 1.000 Mandanten gegen die Bekl. vertritt. Dafür würde auch sprechen, dass nach Ausführungen der Bekl. in Parallelverfahren im Fragebogen nahezu identische Antworten gegeben würden. Zudem wird pauschal von der „Klägerpartei“ gesprochen. Auch an anderen Stellen des klägerischen Vorbringens gibt es Widersprüche. So ist zB teilweise die Rede von einem Unterlassungsanspruch, der sich aber nicht in den gestellten Anträgen findet. Indes sind mit den Ausführungen des Kl. jedoch genug Beweisanzeichen objektiver Art vorgetragen in denen sich dessen Gefühle bzw. der Aufwand hinsichtlich des Scrapings und dessen Folgen widerspiegeln, und zwar bezogen auf den konkreten Einzelfall. Der Vortrag ist hier hinreichend konkret-individuell. Diese Überzeugung hat das Gericht vorliegend aufgrund der detailreichen und nachvollziehbaren Angaben des Kl. – auch nach seiner persönlichen Anhörung –, die ein realistisches Bild schaffen, erlangt. So wird unter anderem schriftsätzlich vorgetragen, dass der Kl. durch die unbefugte Veröffentlichung seiner personenbezogenen Daten einen Kontrollverlust über seine Daten erlitten habe und in einem Zustand großen Unwohlseins und Sorge über möglichen Missbrauch seiner Daten verbleibe. Dies habe sich u.a. in einem verstärkten Misstrauen bezüglich E-Mails und Anrufen und SMS von unbekannten Nummern manifestiert. Es sei irrelevant, dass die E-Mails nicht Teil des Scraping-Vorfalles gewesen waren. Das habe der Kl. als Laie nicht gewusst und sich in der digitalen Welt nicht mehr in gleichem Maß wie vorher frei und unbelastet bewegen können. Die Schwelle reiner Verärgerung über den Datenkontrollverlust sei überschritten worden. Er habe sich mit dem Datenleck und der Herkunft der Daten auseinandersetzen müssen. Dass die Daten im Darknet gehandelt wurden, habe seinen Stress und seine Angst vergrößert. Es habe das Gefühl des Kontrollverlusts, Beobachtetwerdens und der Hilflosigkeit, also ein überschattendes Gefühlt der Angst, vorgelegen. Der Kl. erhalte regelmäßig Anrufe von unbekannten Telefonnummern und SMS-Benachrichtigungen mit unseriösen Aufforderungen zum Anklicken von Links, die suggerierten, es würde sich hier um Warenbestellungen oder beauftragte Dienstleistungen handeln. In dem vom Kl. ausgefüllten und unterschriebenen Fragebogen sind unter anderem im Hinblick auf die Frage, welche Art von Belästigungen erfahren werden, die Felder „Anrufe“ und „E-Mail“ angekreuzt. Das Feld „SMS“ ist nicht angekreuzt. Auf die Frage, wann „der extreme Spam-Anstieg“ begonnen hat, wurde angegeben „Ende 2019“. Auf die Frage, der Häufigkeit wurden die Felder „täglich“, „wöchentlich“, „auch nachts und spät abends“ angekreuzt. Auf dem Fragebogen ist zudem angekreuzt, dass eine praktische und psychologische Beeinträchtigung gegeben sei. Es wird erläutert, dass man bei Anrufen aufpassen müsse, was sich negativ auf das Arbeitsleben auswirke und man bei Fake-E-Mails aufpassen müsse, nichts anzuklicken. Man müsste ständig E-Mails als Spam markieren und Telefonnummern blockieren. Hinsichtlich der Bemessung der Höhe des etwaigen gem. Art. 82 DS-GVO geschuldeten Schadensersatzes haben nationale Gerichte die innerstaatlichen Vorschriften der einzelnen Mitgliedstaaten über den Umfang der finanziellen Entschädigung anzuwenden, sofern die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität beachtet werden. Zu beachten ist in diesem Zusammenhang, dass der 146. Erwägungsgrund zur DS-GVO fordert, dass die betroffenen Personen einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten sollten. Art. 82 DS-GVO verlangt, dass der Schadensersatz den konkret aufgrund des Verstoßes gegen die DS-GVO erlittenen Schaden vollständig ausgleicht. Unter Berücksichtigung dieser Erwägungen hält das Gericht einen Schadensersatz für immaterielle Schäden iHv 100 EUR angemessen. Die Zahl und Schwere der Verstöße ist entgegen der Ansicht des Kl. aufgrund der Ausgleichsfunktion des Schadensersatzanspruches nach Art. 82 DS-GVO, der anders als Art. 83 und 84 DS-GVO keinen Strafzweck verfolgt, unbeachtlich. Zu berücksichtigen ist, dass der Kl. zwar Maßnahmen hinsichtlich des Filterns von Spam getroffen hat und eine weitere E-Mail-Adresse eingerichtet hat, aber zB einen Wechsel der Telefonnummer – der auch beruflich, wenn auch mit Aufwand, möglich wäre – nicht vorgenommen hat. Zwar hat er versucht, die Einstellungen seines Profils entsprechend restriktiv vorzunehmen und ihm ist nach seinen Ausführungen die Hoheit über seine Daten wichtig. Indes zeigt das Gesamtbild, dass der Kl. offenbar keine derart gravierenden Folgen spürt, die zu stärkeren Maßnahmen seinerseits führen würden. Des Weiteren fällt der Vortrag hinsichtlich von Spam-E-Mails sowie der neu eingerichteten Mailadresse weniger ins Gewicht, da die E-Mail-Adresse wie erläutert nicht Teil der gescrapten Daten war. Ein Identitätsdiebstahl ist zudem lediglich aufgrund der Verknüpfung eines Namens und einer Telefonnummer nicht zu befürchten. Der Kl. machte außerdem zu möglichem Missbrauch der Daten – auch bei der persönlichen Anhörung – keine detaillierten Ausführungen, wie etwa zu den Szenarien, die er hier fürchtet oder den technischen Zusammenhängen bzw. Dingen, die eine Furcht oder einen Ärger darlegen würden. Auch das spricht gegen eine entsprechend große Beeinträchtigung in dieser Hinsicht. Die Schadensersatzsumme ist nicht nur rein symbolisch und erfüllt daher die Ausgleichsfunktion des Art. 82 DS-GVO. Dass derart geringe Schadenssummen im deutschen Recht untypisch sind, liegt darin begründet, dass nach nationalem Recht und der hierzu ergangenen Rechtsprechung Bagatellverletzungen für die Begründung des haftungsrechtlichen Zusammenhangs unzureichend sind und damit entschädigungslos bleiben können. Art. 82 Abs. 1 DS-GVO steht jedoch einer Auslegung entgegen, die für einen durch einen Verstoß gegen diese Verordnung verursachten immateriellen Schaden eine Erheblichkeitsschwelle vorsieht. Daher kann aus einer niedrig erscheinenden Schadenssumme nicht geschlossen werden, dass diese nur symbolisch ist und daher der Ausgleichsfunktion nicht gerecht würde. Ein geringerer immaterieller Schaden erfordert vielmehr einen entsprechend geringen Ausgleich. |
| NEU AG Köln Hinweisbeschl. v. 29.5.2024 – 156 C 853/23 | 200 EUR Der Kl. dürfte auch einen Anspruch auf Schmerzensgeld nach Art. 82 Abs. 1 DS-GVO haben. Soweit die Bekl. der Auffassung ist, dass eine Auskunftserteilung nach Art. 15 Abs. 1 DS-GVO keine Verarbeitung nach Art. 4 Nr. 2 DS-GVO darstelle, so ist dem nicht zu folgen. Denn laut der Rspr. des OLG Köln ist die Ersatzpflicht nach Art. 82 Abs. 1 DS-GVO auf jeden Verstoß gegen Regelungen der Verordnung anzuwenden. Die Bekl. dürfte von der Haftung gem. Art. 82 Abs. 3 DS-GVO auch nicht befreit sein. Die Bekl. trägt vor, dass eine aufgrund menschlichen Verhaltens zurückgeführte Unachtsamkeit zu dem Fehler geführt habe. Dieses Vorbringen erscheint bereits nicht erheblich. Denn es ist zu beachten, dass der EuGH in seiner Entscheidung vom 11.4.2024 - C-741/21 klargestellt hat, dass der Einwand, dass ein Mitarbeiter den Fehler begangen habe, den Verantwortlichen nicht per se exkulpieren könne. Es sei Sache des Verantwortlichen, sich zu vergewissern, dass seine Weisungen von seinen Arbeitnehmern korrekt ausgeführt werden. Daher könne sich der Verantwortliche nicht einfach dadurch nach Art. 82 Abs. 3 DS-GVO von seiner Haftung befreien, dass er sich auf Fahrlässigkeit oder Fehlverhalten einer ihm unterstellten Person beruft. Zu beachten dürfte ebenso sein, dass die Bekl. jedenfalls nachdem sie wusste, welche Daten des Kl. sie verarbeitete, es ihr möglich gewesen, eine Auskunft zu erteilen. Dies hat sie jedoch abgelehnt. Der Kl. dürfte einen immateriellen Schaden ausreichend substantiiert behauptet haben. Dabei muss der Schaden keine Erheblichkeitsschwelle überwinden. Indes kann es durch eine Verletzung personenbezogener Daten zu einem in dem Erwägungsgrund 35 angeführten Schaden kommen. Der Verlust der Kontrolle über solche Daten kann einen immateriellen Schaden iSv Art. 82 Abs. 1 DS-GVO darstellen, der einen Schadensersatzanspruch begründet, sofern die betroffene Person den Nachweis erbringt, dass sie tatsächlich einen solchen Schaden so geringfügig er auch sein mag erlitten hat. Der Kontrollverlust wird in Erwägungsgrund 35 DS-GVO benannt. Auch die Einschränkung der Betroffenenrechte ist ausreichend dargelegt. Das erlittene emotionale Ungemach hat der Kl. dagegen nicht substantiiert dargelegt, um insofern auf einen Schaden zu schließen. Die DS-GVO enthält keine Bestimmung über die Bemessung des Schadensersatzes. Folglich haben die nationalen Gerichte zum Zweck dieser Bemessung nach dem Grundsatz der Verfahrensautonomie die innerstaatlichen Vorschriften der einzelnen Mitgliedstaaten über den Umfang der finanziellen Entschädigung anzuwenden, sofern die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität beachtet werden, wie sie von der ständigen Rspr. des Gerichtshofs definiert werden. Der Schadensersatz hat keine Straf-, sondern eine Ausgleichsfunktion. Art. 83, 84 DS-GVO sind für die Bemessung nicht relevant. Der Schadensersatz soll es ermöglichen, den aufgrund des Verstoßes gegen diese Verordnung konkret erlittenen Schaden in vollem Umfang auszugleichen, ohne dass ein solcher vollumfänglicher Ausgleich die Verhängung von Strafschadensersatz erfordert. Unter dieser Maßgabe erscheint nach derzeitiger vorläufiger Würdigung ein Betrag von 150 bis maximal 400 EUR als ausreichend und angemessen. IRd Vergleichsvorschlags wurde ein Abschlag genommen hinsichtlich der etwaigen Beweisaufnahme und 200 EUR vorgeschlagen. Bei der obigen Bemessung wurde ein (noch zu beweisender) Kontrollverlust des Klägers und eine Einschränkung seiner Betroffenenrechte erkannt. Entscheidend bei der Bemessung wurde die Tatsache der Dauer des Rechtsverstoßes angesehen. Denn die Bekl. hat seit der Anfrage am 27.5.2023 keine korrekte Auskunft erteilt. Ein darüber hinausgehender Schmerzensgeldanspruch bis 2.000 EUR kann nicht erkannt werden. Der Kontrollverlust des Kl. wurde aufgrund der Kenntnis von der Datenschutzerklärung als nicht derart schwerwiegend erachtet. Auch die Einschränkung seiner Betroffenenrechte erscheint nicht als derart gravierend betroffen. Soweit der Kl. vorträgt, dass der Schaden darauf beruhe, dass er nicht wisse, welche der eigenen Daten genau verarbeitet werde und daher keine weiteren Rechte geltend machen könne, verfängt dies nicht. Denn der Kl. wusste, dass die Bekl. nur seine E-Mail-Adresse als Daten verwendete. Darauf wies er die Bekl. im anwaltlichen Schreiben vom 11.7.2023 auch ausdrücklich hin. Ein Rechtsmissbrauch, der den Anspruch ausschließen würde, kann nicht erkannt werden. In der Rechtsfolge setzt Art. 12 Abs. 5 S. 2 DS-GVO voraus, dass die Weigerung kommuniziert werden muss oder ein Entgelt verlangt werden muss. Beides ist hier nicht erfolgt. Auch erscheinen die Voraussetzungen von § 242 BGB, sofern anwendbar, nicht gegeben. Aus den zur Akte gereichten Nachweisen ergibt sich bisher zur Überzeugung des Gerichts nicht ausreichend, wie viele Anfragen tatsächlich im Umlauf sind und insb. ergibt sich eine eindeutige subjektive Missbrauchsabsicht des Kl. nicht. |
| AG Lörrach Urt. v. 5.2.2024 – 3 C 661/23 = ZD 2024, 702 | 713,76 EUR Der Kl. hat gegen die Bekl. einen Anspruch auf Schadensersatz in Höhe seiner vorgerichtlichen Anwaltskosten iHv 713,76 EUR. Dieser Anspruch richtet sich nach § 257 BGB auf Freistellung. Der Anspruch gründet für verschiedene Streitgegenstände auf verschiedenen Anspruchsgrundlagen. Hinsichtlich der Rechtsanwaltsgebühren ist der Streitwert aber einheitlich zu bestimmen, woraus sich die Schadenshöhe ergibt. Wegen der vorgerichtlichen Aufforderung zur Datenauskunft nach Art. 15 DS-GVO hat der Kl. gegen die Bekl. einen Anspruch auf Ersatz der vorgerichtlichen Anwaltskosten aus Art. 82 DS-GVO. Die Bekl. hat gegen Art. 6 DS-GVO verstoßen, indem sie die personenbezogenen Daten des Kl. ohne Rechtfertigung verarbeitet hat. Die Bekl. erhielt die Daten des Kl. ohne sein Wissen und Wollen. Die erlangten Daten benutzte die Bekl., um den Kl. anzurufen und einen Vertragsschluss anzubieten. Die Telefondaten und die Personalien des Kl. sind personenbezogene Daten nach Art. 4 Nr. 1 DS-GVO. Indem die Bekl. die Daten erhalten hat und bei sich selbst gespeichert hat, liegt eine Verarbeitung nach Art. 4 Nr. 2 DS-GVO vor. Die Daten wurden anschließend für den Anruf und die Vertragsanbahnung verwendet, womit eine weitere Verarbeitung vorliegt. Solch eine Verarbeitung ist nur unter den Voraussetzungen des Art. 6 Abs. 1 DS-GVO rechtmäßig. Die Bekl. hat keinen Fall davon vorgetragen. Insb. hat sie nicht vorgetragen, dass der Kl. zu solch einer Verarbeitung zugestimmt hat. Soweit in der mündlichen Verhandlung erörtert wurde, woher die Bekl. die Daten hat und der Sohn des Kl. informatorisch angehört wurde, konnte er nicht bestätigen, dass er ggü. der a. GmbH eine Einwilligung erteilt hat. Es ist auch nicht ersichtlich, dass unter einer Abwägung der Interessen die Verarbeitung gerechtfertigt war (Art. 6 Abs. 1 lit. f DS-GVO). Damit liegt ein Verstoß gegen eine konkrete Datenschutzbestimmung vor. Es kommt also nicht darauf an, ob auch anderweitige Verstöße ausreichen. Soweit auch die a. GmbH für die rechtswidrige Verarbeitung der personenbezogenen Daten verantwortlich war, ändert dies nichts daran, dass die Bekl. nach Art. 82 Abs. 4 DS-GVO auch alleine für den gesamten Schaden haftet. Die Bekl. konnte sich auch nicht nach Art. 82 Abs. 3 DS-GVO exkulpieren, weil die Bekl. sowohl für die Speicherung als auch für die Verwendung selbst verantwortlich ist. Als Schaden kann der Kl. die vorgerichtlichen Anwaltskosten für die Geltendmachung des Anspruchs aus Art. 15 DS-GVO geltend machen. Hinsichtlich der Schadenshöhe hat der EuGH festgestellt, dass sich dieser grds. nach den nationalen Vorschriften ergibt. Dies darf allerdings nicht gegen die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität verstoßen. Dahingehend ist zu berücksichtigen, dass die DS-GVO einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden sicherstellen soll. Damit ist kein Strafschadensersatz gefordert. Allerdings erfordert Sinn und Zweck der DS-GVO eine weite Auslegung des Schadensbegriffs. Hinsichtlich entstandener Rechtsanwaltskosten ist es iRv § 249 BGB anerkannt, dass diese ersetzt werden müssen, wenn man sich vorprozessual anwaltlicher Hilfe bedient hat, um einen Schadensersatzanspruch geltend zu machen. Der Kl. macht aber Rechtsanwaltskosten geltend, weil er sich zur Durchsetzung seines Anspruchs aus Art. 15 DS-GVO eines Anwalts bedient hat, was keinen Schadensersatzanspruch beinhaltet. Ein Schaden müsste sich damit aus den allgemeinen Grundsätzen der §§ 249 ff. BGB ergeben. Nach der Differenzhypothese sind die Güterlagen mit und ohne schädigendes Ereignis zu bewerten. Danach kann ein Schaden angenommen werden, weil das schädigende Ereignis die Erlangung der Daten durch die Bekl. und deren Verwendung ist. Ohne dieses Ereignis, hätte der Kl. niemals einen Anspruch aus Art. 15 DS-GVO geltend machen wollen. Die Beauftragung eines Anwalts geschah nach dem schädigenden Ereignis und basiert auf einem eigenen Willensentschluss des Kl. Es handelt sich aber trotzdem um einen unfreiwilligen Schaden und keine Aufwendung als freiwilliges Vermögensopfer. Ein Schaden bei freiwilligen Vermögensopfern liegt vor, wenn sie aus Sicht eines verständigen Menschen in der Lage des Geschädigten erforderlich sind, um die Folgen einer Rechtsgutsverletzung zu beseitigen. Das ist vorliegend der Fall. Die Rechtsgutsverletzung ist die rechtswidrige Datenverarbeitung. Für den Kl. war es erforderlich, zunächst das Ausmaß dieser Rechtsgutsverletzung in Erfahrung zu bringen, um sich anschließend um die Schadensbehebung zu bemühen. Für die Durchsetzung des Anspruches aus Art. 15 DS-GVO war auch die Einschaltung eines Anwalts erforderlich. Dem Kl. war es nicht nach § 254 BGB zuzumuten den Anspruch selbst zu verfolgen. Es kann nicht erwartet werden, dass ein juristischer Laie die Regelungen und Ansprüche aus der DS-GVO kennt, um diese selbst durchzusetzen. Auch in der lit. wird angenommen, dass vorgerichtliche Anwaltskosten ein Schaden sein können. Auch in der Rspr. wird dies angenommen. Da ein Schaden nach deutschem Recht angenommen werden kann, liegt auch kein Verstoß gegen die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität vor, da einer weiten Auslegung von Art. 82 DS-GVO Rechnung getragen wird. Die Rechtsfrage ist auch nicht dem EuGH im Wege eines Vorabentscheidungsverfahrens vorzulegen. In der zitierten Entscheidung hat er bereits explizit entschieden, dass für die Schadenshöhe das nationale Recht anwendbar ist, dies aber nicht gegen die eigenständigen Anforderungen von Art. 82 DS-GVO verstoßen darf. Diese Grundsätze wurden hier beachtet. Eine weitergehende Auslegung von EU-Recht noch ungeklärter Fragen ist nicht veranlasst. |
| AG Goslar Urt. v. 22.1.2024 – 28 C 7/19 = ZD 2024, 771 | 25 EUR Der Kl. hat einen Anspruch auf Zahlung von 25 EUR gegen den Bekl. aus Art. 82 Abs. 1 DS-GVO. Zwar ist der Antrag des Kl. auf die Zahlung eines angemessenen Schmerzensgeldes gerichtet, jedoch stützt der Kl. seinen Anspruch auf Art. 82 DS-GVO, eine Norm des europäischen Rechts. Maßgeblich sind damit nicht die deutschen Begrifflichkeiten, sondern die des europäischen Rechts bzw. die der DS-GVO. Der Begriff „Schmerzensgeld" findet jedoch in Art. 82 DS-GVO und auch den übrigen Normen der DS-GVO keine Verwendung. Art. 82 Abs. 1 DS-GVO normiert lediglich einen „Anspruch auf Schadensersatz" für jede Person, der wegen eines Verstoßes gegen die DS-GVO „ein materieller oder immaterieller Schaden" entstanden ist. Der Antrag des Kl. ist daher im Lichte dieses auf die DS-GVO gestützten Anspruchsbegehrens des Kl. auszulegen und dahin zu verstehen, dass er die Zahlung von Schadensersatz begehrt. Nach Auslegung des Begehrens des Kl. in diesem Lichte steht dem Kl. nach Überzeugung des Gerichts ein Schadensersatzanspruch gem. Art. 82 Abs. 1 DS-GVO iHv 25 EUR zu. Dem Kl. ist dadurch ein Schaden entständen, dass er sich mit den unerwünschten Werbemails der Bekl. auseinandersetzen, sich um eine Auskunft von der Bekl. mittels eines Schreibens bemühen und die unerwünschte E-Mail löschen musste. Eine den Kl. beeinträchtigende Außenwirkung des Verstoßes iSd Gefahr einer Schädigung des Ansehens oder Berufs oder einer diskriminierenden Wirkung ggü. Dritten ist dagegen nicht ersichtlich. |
| BAG | |
| NEU BAG Urt. v. 17.10.2024 – 8 AZR 215/23 | 0 EUR Der Kl. hat - entgegen der Auffassung des Landesarbeitsgerichts - keinen Anspruch auf Ersatz eines immateriellen Schadens nach Art. 82 Abs. 1 DS-GVO gegen die Bekl. Dabei kann dahingestellt bleiben, ob hier eine Verletzung von Art. 15 DS-GVO vorliegt und ob dies einen Verstoß iSv. Art. 82 Abs. 1 DS-GVO darstellt. Der Kl. hat schon keinen Schaden dargelegt. Das Vorliegen eines „Schadens“ ist eine der drei Voraussetzungen für den in Art. 82 Abs. 1 DS-GVO vorgesehenen Schadensersatzanspruch, ebenso wie das Vorliegen eines Verstoßes gegen die DS-GVO und eines Kausalzusammenhangs zwischen dem erlittenen Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ vorliegen müssen. Der Schadensersatzanspruch hat, insb. im Fall eines immateriellen Schadens, eine Ausgleichsfunktion. Die auf Art. 82 Abs. 1 DS-GVO gestützte Entschädigung in Geld soll es ermöglichen, den konkret aufgrund des Verstoßes gegen die DS-GVO erlittenen Schaden vollständig auszugleichen, und erfüllt keine Abschreckungs- oder Straffunktion. Hinsichtlich der Darlegungs- und Beweislast hat der EuGH klargestellt, dass die Person, die auf der Grundlage von Art. 82 Abs. 1 DS-GVO den Ersatz eines immateriellen Schadens verlangt, nicht nur den Verstoß gegen Bestimmungen der Datenschutz-Grundverordnung nachweisen muss, sondern auch, dass ihr durch diesen Verstoß ein solcher Schaden entstanden ist. Der - selbst kurzzeitige - Verlust der Kontrolle über personenbezogene Daten kann einen immateriellen Schaden iSv Art. 82 Abs. 1 DS-GVO darstellen, der einen Schadensersatzanspruch begründet, sofern die betroffene Person den Nachweis erbringt, dass sie tatsächlich einen solchen Schaden - so geringfügig er auch sein mag - erlitten hat. Dabei können negative Gefühle („Befürchtung“) einen Anspruch auf Ersatz des immateriellen Schadens begründen. Das bloße Berufen auf eine bestimmte Gefühlslage reicht aber nicht aus. Das Gericht hat vielmehr zu prüfen, ob das Gefühl unter Berücksichtigung der konkreten Umstände „als begründet angesehen werden kann“. Dies setzt zwingend die Anwendung eines objektiven Maßstabs voraus. Ausgehend von diesen Grundsätzen hat das Landesarbeitsgericht, das allerdings die vorstehend angeführte Rspr. bei seiner Entscheidung noch nicht berücksichtigen konnte, zu Unrecht einen Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO dem Grunde nach angenommen. Besteht der Schaden in negativen Gefühlen, die für sich genommen nicht beweisbar sind, hat das nationale Gericht die Gesamtsituation und letztlich auch die Glaubwürdigkeit der jeweiligen Klagepartei auf der Grundlage eines substantiierten Sachvortrags zu beurteilen. Steht ein Verstoß gegen die DS-GVO iSv Art. 82 Abs. 1 DS-GVO nach richterlicher Beweiswürdigung iSv § 286 Abs. 1 ZPO zum Nachteil der Klagepartei als geschützter Person fest, mindert sich das Beweismaß bzgl. der Entstehung und der Höhe des Schadens nach § 287 Abs. 1 ZPO. Grds. ist die entsprechende Würdigung der Beweise dem Tatrichter vorbehalten. Revisionsrechtlich ist nur zu prüfen, ob die Beweiswürdigung in sich widerspruchsfrei und ohne Verletzung von Denkgesetzen und allgemeinen Erfahrungssätzen erfolgt ist, ob sie rechtlich möglich ist und ob das Berufungsgericht alle für die Beurteilung wesentlichen Umstände berücksichtigt hat. Das LAG hat allein die „erhebliche Unsicherheit“, die aus dem Auslesen des USB-Sticks und der Sicherung der Daten resultiere, für die Bejahung eines Schadensersatzanspruchs dem Grunde nach ausreichen lassen. Die Unsicherheit beziehe sich auf die Frage, welche Daten sich jetzt noch im Zugriff der beiden Bekl. befinden, wobei die Wegnahme des USB-Sticks eine solche „Beeinträchtigung“ indiziere. Diese Begründung steht im Widerspruch zu der angeführten neueren Rspr., wonach ein negatives Gefühl wie eine „Unsicherheit“ für sich genommen nicht ausreicht, um einen immateriellen Schadensersatzanspruch zu begründen. Aus den Besonderheiten des vorliegenden Falles ergibt sich nichts Abweichendes. Entgegen der Auffassung des Landesarbeitsgerichts kommt der Wegnahme des USB-Sticks bezogen auf einen Schaden wegen Verletzung der Auskunftspflicht keine Indizwirkung zu. Dabei kann zu Gunsten des Kl. unterstellt werden, dass sich der USB-Stick in seinem Eigentum befand und die Wegnahme durch den Bekl. zu 2. unberechtigt erfolgte. Selbst wenn dies der Fall wäre, stünde diese Rechtsverletzung in keinem Zusammenhang zur Verletzung der Auskunftspflicht nach Art. 15 DS-GVO, für deren Verletzung der Kl. Schadensersatz begehrt. Der Kl. weiß auch ohne Auskunft, welche seiner personenbezogenen Daten auf dem USB-Stick gespeichert waren. Er ist sich seit der - zu seinen Gunsten unterstellten - Wegnahme ausschließlich über deren Verarbeitung im Unklaren. Die Verweigerung der diesbezüglich verlangten Auskunft führt zu Befürchtungen, die bei einer nicht oder unvollständig erteilten Auskunft aber in der Natur der Sache liegen und für sich genommen nicht die Annahme eines Schadens rechtfertigen. Wäre das Berufen auf solche Befürchtungen für die Annahme eines Schadens bereits ausreichend, würde jeder Verstoß gegen Art. 15 DS-GVO - so ein Verstoß dagegen einen Anspruch nach Art. 82 Abs. 1 DS-GVO dem Grunde nach begründen könnte - praktisch in jedem Fall zu einem immateriellen Schaden führen. Die eigenständige Voraussetzung des Schadens würde damit bedeutungslos. Da Art. 82 Abs. 1 DS-GVO nach der Rspr. des EuGH keine Straffunktion zukommt, kann ein Schadensersatzanspruch auch nicht allein damit begründet werden, dass die Befürchtungen des Kl. durch eine rechtswidrige Handlung (unberechtigte Wegnahme eines USB-Sticks) ausgelöst wurden. Die Annahme eines immateriellen Schadens würde das Hinzutreten weiterer Umstände voraussetzen, zB das Begehen eines Datendiebstahls, der auf einen beabsichtigten Datenmissbrauch schließen lässt. Anhaltspunkte für ein solches Vorgehen der Bekl. sind dem Vortrag des Kl. aber gerade nicht zu entnehmen. Er hat allerdings andere Umstände vorgetragen, die die Annahme eines Schadens denkbar erscheinen lassen. Dies bezieht sich insb. auf die angeblichen Schlafstörungen und Angstzustände, die sich aus dem persönlichen Bezug der Daten auf dem USB-Stick und dem angeblich schlechten Ruf der Bekl., insb. des Bekl. zu 2., ergeben. Das Landesarbeitsgericht hat sich nach einer ausführlichen Anhörung des Kl. in der mündlichen Verhandlung vor der Berufungskammer mit diesem Vortrag in revisionsrechtlich nicht zu beanstandender Weise auseinandergesetzt. Demnach ist ein immaterieller Schaden nicht dargelegt. Das Landesarbeitsgericht hat angenommen, wegen der Unbestimmtheit der Aussagen des Kl. sei nicht nachvollziehbar, dass auf dem USB-Stick auch intime personenbezogene Daten gewesen sein sollen. IÜ ist das Berufungsgericht zu der Überzeugung gelangt, dass der Kl. „erheblich übertreibe und sein Vortrag insoweit nicht schlüssig“ sei. Die vom Kl. geschilderten „fortgesetzten erheblichen Schlafstörungen und Angstzustände“ seien „in dem geschilderten Umfang unschlüssig“. Der Kl. habe „insbesondere eingeräumt, dass er deswegen keine ärztliche Hilfe aufgesucht habe, sondern ‚lediglich erwäge, das einmal zu machen‘, nachdem die Schlafstörungen und Angstzustände allerdings mittlerweile seit drei Jahren anhielten“. Zudem habe der Kl. geschildert, dass seine Schlaflosigkeit und seine Angstzustände vor allem darauf beruhten, dass der Bekl. zu 2. im selben Ort wohne und er sich anscheinend vor ihm fürchte. Diese Furcht habe allerdings „nichts mit … einem Verstoß gegen Art. 15 DS-GVO und einer Entschädigung nach Art. 82 Abs. 1 DS-GVO zu tun, sondern stelle ein allgemeines Lebensrisiko des Kl. dar“. Das Landesarbeitsgericht ist mit diesen Ausführungen seiner Pflicht zur umfassenden Würdigung des Sachverhalts ohne revisiblen Rechtsfehler nachgekommen. Die Würdigung ist in sich widerspruchsfrei und verletzt weder Denkgesetze noch allgemeine Erfahrungssätze. Sie ist rechtlich möglich und berücksichtigt alle für die Beurteilung wesentlichen Umstände. Der Umstand, dass das Landesarbeitsgericht sich mit dem Vortrag des Kl. im Berufungsurteil anlässlich der Bemessung der Höhe des vermeintlichen Anspruchs auseinandergesetzt hat, ändert daran nichts. Die Würdigung des klägerischen Vortrags ist ebenso für die Beurteilung der Frage, ob ein Schadensersatzanspruch dem Grunde nach besteht, maßgeblich. Die vom LAG in Abrede gestellte Schlüssigkeit des klägerischen Vortrags sowie die angenommenen Übertreibungen beziehen sich auch auf die einzig möglichen Tatsachengrundlagen für einen Schadensersatzanspruch. |
| NEU BAG Urt. v. 25.7.2024 – 8 AZR 225/23 | 1.500 EUR Der nach Art. 82 Abs. 1 DS-GVO vorausgesetzte Verstoß gegen die DS-GVO liegt vor. Die Bekl. hat als Verantwortliche iRd Observation ohne Einwilligung des Kl. dessen Gesundheitsdaten verarbeitet. Dies war nicht erforderlich iSv Art. 9 Abs. 2 lit. b DS-GVO iVm § 26 Abs. 3 BDSG. Der Kl. hat - wovon das Landesarbeitsgericht in revisionsrechtlich nicht zu beanstandender Weise ausgegangen ist - durch die rechtswidrige Observation einen immateriellen Schaden iSv Art. 82 Abs. 1 DS-GVO erlitten. Die Anschlussrevision weist zutreffend darauf hin, dass das Vorliegen eines „Schadens“ eine der drei Voraussetzungen für den in Art. 82 Abs. 1 DS-GVO vorgesehenen Schadensersatzanspruch darstellt, ebenso wie das Vorliegen eines Verstoßes gegen die DS-GVO und eines Kausalzusammenhangs zwischen dem erlittenen Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ vorliegen müssen. Der Schadensersatzanspruch hat, insb. im Fall eines immateriellen Schadens, eine Ausgleichsfunktion. Die auf Art. 82 Abs. 1 DS-GVO gestützte Entschädigung in Geld soll es ermöglichen, den konkret aufgrund des Verstoßes gegen die DS-GVO erlittenen Schaden vollständig auszugleichen, und erfüllt keine Abschreckungs- oder Straffunktion. Hinsichtlich der Darlegungs- und Beweislast hat der EuGH klargestellt, dass die Person, die auf der Grundlage von Art. 82 Abs. 1 DS-GVO den Ersatz eines immateriellen Schadens verlangt, nicht nur den Verstoß gegen Bestimmungen der DS-GVO nachweisen muss, sondern auch, dass ihr durch diesen Verstoß ein solcher Schaden entstanden ist. Der - selbst kurzzeitige - Verlust der Kontrolle über personenbezogene Daten kann einen „immateriellen Schaden“ iSv Art. 82 Abs. 1 DS-GVO darstellen, der einen Schadensersatzanspruch begründet, sofern die betroffene Person den Nachweis erbringt, dass sie tatsächlich einen solchen Schaden - so geringfügig er auch sein mag - erlitten hat. Dabei können negative Gefühle („Befürchtung“) einen Anspruch auf Ersatz des immateriellen Schadens begründen. Das bloße Berufen auf eine bestimmte Gefühlslage reicht aber nicht aus. Das Gericht hat vielmehr zu prüfen, ob das Gefühl unter Berücksichtigung der konkreten Umstände „als begründet angesehen werden kann“. Dies setzt zwingend die Anwendung eines objektiven Maßstabs voraus. Das Landesarbeitsgericht hat zu Recht angenommen, der Schaden liege hier entsprechend dem Vortrag des Kl. in dem durch die Überwachung erlittenen Kontrollverlust und insb. im Verlust der Sicherheit vor Beobachtung im privaten Umfeld. Dieser Vortrag ist nicht unsubstantiiert, sondern steht in Bezug zu einer mehrtägigen Überwachung, die eine heimliche Beobachtung und Einschätzung der körperlichen Leistungsfähigkeit des Kl. umfasste und ihn auch im Außenbereich seines Wohnhauses betraf. In einer solchen Konstellation sind der Verlust von Kontrolle und die daraus folgende Befürchtung weiterer Überwachung selbsterklärend und bedürfen keiner weiteren näheren Darlegung. Die Höhe des nach Art. 82 Abs. 1 DS-GVO zu zahlenden Schadensersatzes ist durch das Landesarbeitsgericht ebenfalls frei von revisiblen Rechtsfehlern bestimmt worden. Bei der Bemessung der Höhe des nach Art. 82 Abs. 1 DS-GVO geschuldeten Schadensersatzes haben die nationalen Gerichte in Ermangelung einer Bestimmung in der DS-GVO die innerstaatlichen Vorschriften der einzelnen Mitgliedstaaten über den Umfang der finanziellen Entschädigung anzuwenden, sofern die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität beachtet werden. Art. 82 Abs. 1 DS-GVO verlangt dabei nicht, dass die Schwere des Verschuldens des Verantwortlichen bzw. des Auftragsverarbeiters berücksichtigt wird. Die Ausgleichsfunktion des in Art. 82 Abs. 1 DS-GVO verankerten Schadensersatzanspruchs schließt es sogar aus, dass eine etwaige Vorsätzlichkeit des Verstoßes gegen die DS-GVO bei der Bemessung des Schadensersatzes berücksichtigt wird. Der Betrag ist jedoch so festzulegen, dass er den konkret aufgrund des Verstoßes gegen die DS-GVO erlittenen Schaden in vollem Umfang ausgleicht. Bei der nach diesen Maßgaben vorzunehmenden Bemessung der Höhe eines Schadensersatzes steht den Tatsachengerichten nach § 287 Abs. 1 ZPO ein weiter Ermessensspielraum zu, innerhalb dessen sie die Besonderheiten jedes einzelnen Falls zu berücksichtigen haben. Die Festsetzung unterliegt nur der eingeschränkten Überprüfung durch das Revisionsgericht. Der ausgeurteilte Betrag von insgesamt 1.500 EUR ist auch unter Berücksichtigung der neueren Rspr. des EuGH, die das LAG bei seiner Entscheidung nicht kennen konnte, im Ergebnis angemessen. Die fehlerhafte Annahme einer Abschreckungsfunktion des Schadensersatzanspruchs, von der auch die Revision ausgeht, wirkt sich im Ergebnis nicht aus. Das Landesarbeitsgericht hat nachvollziehbar auf die Beobachtung und das Fotografieren des Kl. in seiner privaten Umgebung, auf die zeitliche Dimension und auf die Erhebung von Gesundheitsdaten abgestellt. Zu Gunsten der Bekl. hat es gewürdigt, dass diese den Detektivbericht nicht an Dritte gegeben und der Kl. weitere psychische Belastungen nicht dargelegt habe. Soweit die Revision auf die Höhe des Entgelts des Kl. und die angebliche Absicht der Bekl. zur Einsparung von Personalkosten abstellt, gilt auch in der hier vorliegenden Konstellation der Grundsatz, dass der immaterielle Schaden nach Art. 82 Abs. 1 DS-GVO keinen erkennbaren Bezug zur Höhe eines dem Gläubiger zustehenden Arbeitsentgelts hat. Auch das Vorbringen der Anschlussrevision zeigt keine revisiblen Rechtsfehler auf. Demnach habe das Landesarbeitsgericht nicht berücksichtigt, dass die Überwachung nur stichprobenartig erfolgt sei und keine „Videos oder ähnliche eingriffsintensivere Aufnahmen erstellt wurden“. Das Landesarbeitsgericht hat sich allerdings mit der Intensität der Ermittlungen in zeitlicher und technischer Hinsicht befasst. Die Anschlussrevision nimmt insoweit lediglich eine andere Wertung vor. Sie zeigt damit aber keinen revisiblen Rechtsfehler des Berufungsgerichts auf. |
| NEU BAG Urt. v. 20.6.2024 – 8 AZR 124/23 = ZD 2025, 174 | 0 EUR Die Kl. hat keinen Anspruch auf Ersatz eines immateriellen Schadens nach Art. 82 Abs. 1 DS-GVO. Das LAG hat seine Entscheidung allein damit begründet, die Verletzung der Rechte aus Art. 15 Abs. 1 und Abs. 3 DS-GVO stellten mangels Datenverarbeitung keinen Verstoß iSv Art. 82 Abs. 1 DS-GVO dar. Es kann vorliegend dahingestellt bleiben, ob dies zutrifft. Die Kl. hat schon keinen Schaden dargelegt. Das Erfordernis eines Schadens und der entsprechenden Darlegungslast der Klagepartei ist durch die jüngsten Entscheidungen des EuGH hinreichend geklärt. Aus dem Wortlaut des Art. 82 Abs. 1 DS-GVO geht klar hervor, dass das Vorliegen eines „Schadens“ eine der Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadensersatzanspruch darstellt, ebenso wie das Vorliegen eines Verstoßes gegen die DS-GVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind. Der Schadensersatzanspruch hat, insb. im Fall eines immateriellen Schadens, eine Ausgleichsfunktion, da eine auf Art. 82 Abs. 1 DS-GVO gestützte Entschädigung in Geld ermöglichen soll, den konkret aufgrund des Verstoßes gegen diese Verordnung erlittenen Schaden vollständig auszugleichen, und erfüllt keine Abschreckungs- oder Straffunktion. Der Schaden muss keinen bestimmten Grad an Erheblichkeit erreicht haben. Hinsichtlich der Darlegungs- und Beweislast hat der EuGH klargestellt, dass die Person, die auf der Grundlage von Art. 82 Abs. 1 DS-GVO den Ersatz eines immateriellen Schadens verlangt, nicht nur den Verstoß gegen Bestimmungen dieser Verordnung nachweisen muss, sondern auch, dass ihr durch diesen Verstoß ein solcher Schaden entstanden ist. Da der 85. Erwägungsgrund der Datenschutz-Grundverordnung ausdrücklich den „Verlust der Kontrolle“ zu den Schäden zählt, die durch eine Verletzung des Schutzes personenbezogener Daten verursacht werden können, hat der Gerichtshof entschieden, dass der - selbst kurzzeitige - Verlust der Kontrolle über solche Daten einen „immateriellen Schaden“ iSv Art. 82 Abs. 1 DS-GVO darstellen kann, der einen Schadensersatzanspruch begründet, sofern die betroffene Person den Nachweis erbringt, dass sie tatsächlich einen solchen Schaden - so geringfügig er auch sein mag - erlitten hat. Dabei kann die durch einen Verstoß gegen die DS-GVO ausgelöste Befürchtung einer betroffenen Person, ihre personenbezogenen Daten könnten von Dritten missbräuchlich verwendet werden, für sich genommen einen „immateriellen Schaden“ iSv Art. 82 Abs. 1 DS-GVO darstellen. Ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten kann jedoch nicht zu einer Entschädigung führen. Das angerufene nationale Gericht muss vielmehr prüfen, ob die Befürchtung der missbräuchlichen Datenverwendung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann. Vor dem Hintergrund dieser aktuellen Rspr. des EuGH zum Erfordernis eines Schadens und der entsprechenden Darlegungslast der Klagepartei kommt es nach Auffassung des Senats auf die Vorlage des BGH vom 26. September 2023 (VI ZR 97/22) nicht an. Der BGH hat dem EuGH die Frage gestellt, ob Art. 82 Abs. 1 DS-GVO dahin gehend auszulegen ist, dass für die Annahme eines immateriellen Schadens bloße negative Gefühle wie zB Ärger, Unmut, Unzufriedenheit, Sorge und Angst genügen oder ob für die Annahme eines Schadens ein über diese Gefühle hinausgehender Nachteil für die betroffene natürliche Person erforderlich ist. Diese Frage ist durch die nach der Vorlage des BGH ergangene Rspr. des EuGH jedenfalls bezogen auf die Sorge vor Datenverlust bzw. unrechtmäßiger Datenverwendung beantwortet. Nach der Rspr. des EuGH können negative Gefühle („Befürchtung“) in solchen Konstellationen einen Anspruch auf Ersatz des immateriellen Schadens begründen. Das bloße Berufen auf eine bestimmte Gefühlslage reicht aber nicht aus, denn das Gericht hat zu prüfen, ob das Gefühl unter Berücksichtigung der konkreten Umstände „als begründet angesehen werden kann“. Dies setzt zwingend die Anwendung eines objektiven Maßstabs voraus. Dabei ist ua. die objektive Bestimmung des Missbrauchsrisikos der Daten von Bedeutung. Dem steht nicht entgegen, dass Art. 82 Abs. 1 DS-GVO nach der Rspr. des EuGH nicht verlangt, dass ein erlittener Nachteil spürbar oder eine Beeinträchtigung objektiv sein muss. Damit hat der Gerichtshof nur klargestellt, dass es keine „Bagatellgrenze“ gibt. Der objektive Maßstab bzgl. des Vorliegens eines Schadens als solchen ist hiervon zu unterscheiden. Besteht der Schaden in negativen Gefühlen, die für sich genommen nicht beweisbar sind, hat das nationale Gericht die Gesamtsituation und letztlich auch die Glaubwürdigkeit der jeweiligen Klagepartei auf der Grundlage eines substantiierten Sachvortrags zu beurteilen. Steht ein Verstoß gegen die DS-GVO iSv Art. 82 Abs. 1 DS-GVO nach richterlicher Beweiswürdigung iSv § 286 Abs. 1 ZPO zum Nachteil der Klagepartei als geschützter Person fest, mindert sich das Beweismaß bzgl. der Entstehung und der Höhe des Schadens nach § 287 Abs. 1 ZPO. Ausgehend von diesen Grundsätzen hat die Kl. keinen Schaden iSv Art. 82 Abs. 1 DS-GVO dargelegt. Sie hat zwar ihre aus Unkenntnis der Datenverarbeitung resultierenden Befürchtungen unmissverständlich zum Ausdruck gebracht. Solche Befürchtungen liegen bei einer nicht oder unvollständig erteilten Auskunft jedoch in der Natur der Sache. Der Auskunftsanspruch soll die Durchsetzung von Rechten, ua. bezogen auf die Einschränkung der Datenverarbeitung, und ggf. die Inanspruchnahme von Rechtsmitteln ermöglichen. Die Nichterfüllung des Auskunftsanspruchs löst geradezu zwangsläufig die Sorge eines Verstoßes gegen sonstige Verpflichtungen aus der DS-GVO aus. Wäre das Berufen auf solche Befürchtungen jedoch für die Annahme eines Schadens bereits ausreichend, würde jeder Verstoß gegen Art. 15 DS-GVO - so ein Verstoß dagegen einen Anspruch nach Art. 82 Abs. 1 DS-GVO dem Grunde nach begründen könnte - praktisch in jedem Fall zu einem immateriellen Schaden führen. Die eigenständige Voraussetzung des Schadens würde damit bedeutungslos. Sie wäre stets erfüllt. Dies ist jedoch mit dem Normverständnis des Gerichtshofs von Art. 82 Abs. 1 DS-GVO ebenso wenig zu vereinbaren wie mit den Anforderungen des nationalen Prozessrechts, das die substantiierte Darlegung eines Schadens verlangt. Für eine solche Darlegung eines Schadens reicht auch die Hervorhebung besonderer Spannungen mit dem Auskunftsverpflichteten nicht aus. Die Kl. verweist insoweit nachvollziehbar darauf, dass die Bekl. die Erteilung einer Auskunft zunächst vorsätzlich verweigert und auf den Rechtsweg verwiesen habe. Damit wird aber kein immaterieller Schaden belegt, es verbleibt bei der grds.en Ungewissheit. Eine Straffunktion kommt dem Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO nicht zu. Dem kann - entgegen der Auffassung der Kl. - Art. 8 Abs. 2 GRCh nicht entgegengehalten werden. Zwar hat nach Art. 8 Abs. 2 S. 2 GRC jede Person das Recht, Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken. Aus dieser Norm lassen sich jedoch keine Vorgaben für den Schadenbegriff iSd Art. 82 Abs. 1 DS-GVO ableiten. |
| NEU BAG Urt. v. 20.6.2024 – 8 AZR 91/22 = ZD 2025, 50 | 0 EUR Das LAG hat das arbeitsgerichtliche Urteil auf die Berufung des Kl. zu Unrecht teilweise abgeändert und der Klage iHv 2.000 EUR zzgl. Zinsen stattgegeben. Die zulässige Klage ist insgesamt nicht begründet. Der Kl. hat gegen die Bekl. keinen Anspruch auf Ersatz eines immateriellen Schadens nach Art. 82 Abs. 1 DS-GVO. Insoweit kann dahinstehen, ob Art. 15 Abs. 1 DS-GVO durch das Recht auf Einsicht in die Personalakte nach § 83 Abs. 1 BetrVG im Arbeitsverhältnis verdrängt wird, ob eine Verletzung des Auskunftsanspruchs aus Art. 15 Abs. 1 und Abs. 3 DS-GVO überhaupt einen Anspruch aus Art. 82 Abs. 1 DS-GVO zu begründen vermag und ob der Kl. eine Verletzung seines Auskunftsanspruchs nach Art. 15 Abs. 1 DS-GVO, mit Blick auf die erteilten Auskünfte, überhaupt dargelegt hat. Der Kl. hat vorliegend - entgegen der Auffassung des Landesarbeitsgerichts - jedenfalls keinen Schaden iSv Art. 82 Abs. 1 DS-GVO dargelegt. Das Erfordernis eines Schadens und die entsprechende Darlegungslast der Klagepartei ist durch die jüngsten Entscheidungen des EuGH hinreichend geklärt. Aus dem Wortlaut des Art. 82 Abs. 1 DS-GVO geht klar hervor, dass das Vorliegen eines „Schadens“ eine der Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadensersatzanspruch darstellt, ebenso wie das Vorliegen eines Verstoßes gegen die DS-GVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind. Der Schadensersatzanspruch hat, insb. im Fall eines immateriellen Schadens, eine Ausgleichsfunktion, da eine auf Art. 82 Abs. 1 DS-GVO gestützte Entschädigung in Geld ermöglichen soll, den konkret aufgrund des Verstoßes gegen diese Verordnung erlittenen Schaden vollständig auszugleichen, und erfüllt keine Abschreckungs- oder Straffunktion. Der Schaden muss keinen bestimmten Grad an Erheblichkeit erreicht haben. Hinsichtlich der Darlegungs- und Beweislast hat der EuGH klargestellt, dass die Person, die auf der Grundlage von Art. 82 Abs. 1 DS-GVO den Ersatz eines immateriellen Schadens verlangt, nicht nur den Verstoß gegen Bestimmungen dieser Verordnung nachweisen muss, sondern auch, dass ihr durch diesen Verstoß ein solcher Schaden entstanden ist. Da der 85. Erwägungsgrund der DS-GVO ausdrücklich den „Verlust der Kontrolle“ zu den Schäden zählt, die durch eine Verletzung des Schutzes personenbezogener Daten verursacht werden können, hat der Gerichtshof entschieden, dass der - selbst kurzzeitige - Verlust der Kontrolle über solche Daten einen „immateriellen Schaden“ iSv Art. 82 Abs. 1 DS-GVO darstellen kann, der einen Schadensersatzanspruch begründet, sofern die betroffene Person den Nachweis erbringt, dass sie tatsächlich einen solchen Schaden - so geringfügig er auch sein mag - erlitten hat. Dabei kann die durch einen Verstoß gegen die DS-GVO ausgelöste Befürchtung einer betroffenen Person, ihre personenbezogenen Daten könnten von Dritten missbräuchlich verwendet werden, für sich genommen einen „immateriellen Schaden“ iS. Art. 82 Abs. 1 DS-GVO darstellen. Ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten kann jedoch nicht zu einer Entschädigung führen. Das angerufene nationale Gericht muss vielmehr prüfen, ob die Befürchtung der missbräuchlichen Datenverwendung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann. Vor dem Hintergrund dieser aktuellen Rspr. des EuGH zum Erfordernis eines Schadens und der entsprechenden Darlegungslast der Klagepartei kommt es nach Auffassung des Senats auf die Vorlage des BGH vom 26. September 2023 (VI ZR 97/22) nicht an. Der BGH hat dem EuGH die Frage gestellt, ob Art. 82 Abs. 1 DS-GVO dahin gehend auszulegen ist, dass für die Annahme eines immateriellen Schadens bloße negative Gefühle wie zB Ärger, Unmut, Unzufriedenheit, Sorge und Angst genügen oder ob für die Annahme eines Schadens ein über diese Gefühle hinausgehender Nachteil für die betroffene natürliche Person erforderlich ist. Diese Frage ist durch die nach der Vorlage des BGH ergangene Rspr. des EuGH jedenfalls bezogen auf die Sorge vor Datenverlust bzw. unrechtmäßiger Datenverwendung beantwortet. Nach der Rspr. des EuGH können negative Gefühle („Befürchtung“) in solchen Konstellationen einen Anspruch auf Ersatz des immateriellen Schadens begründen. Das bloße Berufen auf eine bestimmte Gefühlslage reicht aber nicht aus, denn das Gericht hat, wie dargestellt, zu prüfen, ob das Gefühl unter Berücksichtigung der konkreten Umstände „als begründet angesehen werden kann“. Dies setzt zwingend die Anwendung eines objektiven Maßstabs voraus. Dabei ist ua die objektive Bestimmung des Missbrauchsrisikos der Daten von Bedeutung. Dem steht nicht entgegen, dass Art. 82 Abs. 1 DS-GVO nach der Rspr. des EuGH nicht verlangt, dass ein erlittener Nachteil spürbar oder eine Beeinträchtigung objektiv sein muss. Damit hat der Gerichtshof nur klargestellt, dass es keine „Bagatellgrenze“ gibt. Der objektive Maßstab bzgl. des Vorliegens eines Schadens als solchen ist hiervon zu unterscheiden. Besteht der Schaden in negativen Gefühlen, die für sich genommen nicht beweisbar sind, hat das nationale Gericht die Gesamtsituation und letztlich auch die Glaubwürdigkeit der jeweiligen Klagepartei auf der Grundlage eines substantiierten Sachvortrags zu beurteilen. Steht ein Verstoß gegen die DS-GVO iSv Art. 82 Abs. 1 DS-GVO nach richterlicher Beweiswürdigung iSv § 286 Abs. 1 ZPO zum Nachteil der Klagepartei als geschützter Person fest, mindert sich das Beweismaß bzgl. der Entstehung und der Höhe des Schadens nach § 287 Abs. 1 ZPO. Der Kl. hat geltend gemacht, durch die jahrelang verspätete Auskunft bleibe er weiterhin über wesentliche Faktoren der Datenverarbeitung im Dunkeln und ihm sei die Prüfung verwehrt, ob und wie die Bekl. seine personenbezogenen Daten verarbeite. Ausgehend von der Rspr. des EuGH hat der Kl. damit keinen immateriellen Schaden dargelegt. Entgegen der Auffassung des LAG kann ein Schaden nicht allein mit der Begründung angenommen werden, durch eine Verletzung des Auskunftsanspruchs aus Art. 15 Abs. 1 DS-GVO - so ein Verstoß dagegen einen Anspruch nach Art. 82 Abs. 1 DS-GVO dem Grunde nach begründen könnte - trete ein Kontrollverlust ein, weil die Überprüfung verhindert werde, ob personenbezogene Daten rechtmäßig verarbeitet werden. Zwar dient der Auskunftsanspruch des Art. 15 Abs. 1 DS-GVO dem Zweck, Betroffenen die Ausübung der Rechte auf Berichtigung, Löschung, Einschränkung der Verarbeitung und Widerspruch gegen die Verarbeitung nach Art. 16 bis 18 und Art. 21 DS-GVO zu ermöglichen. Ein derartiger Kontrollverlust geht jedoch mit jeder Verletzung des Auskunftsanspruchs aus Art. 15 Abs. 1 DS-GVO zwingend einher. Er ist daher nicht geeignet einen von der bloßen Verletzung des Art. 15 Abs. 1 DS-GVO unterscheidbaren Schaden zu begründen. Die eigenständige Voraussetzung des Schadens würde damit bedeutungslos. Sie wäre stets erfüllt. Dies ist jedoch mit dem Normverständnis des Gerichtshofs von Art. 82 Abs. 1 DS-GVO ebenso wenig zu vereinbaren wie mit den Anforderungen des nationalen Prozessrechts, das die substantiierte Darlegung eines Schadens verlangt. Soweit der Kl. im Hinblick auf einen Verlust der Kontrolle vorträgt, ihm sei die Prüfung verwehrt, ob und wie die Bekl. seine personenbezogenen Daten verarbeite, legt er lediglich ein hypothetisches Risiko einer missbräuchlichen Verwendung dar. Ein objektiv erhöhtes Missbrauchsrisiko in Bezug auf die von dem Auskunftsanspruch betroffenen personenbezogenen Daten zeigt der Kl. gerade nicht auf. Anders als bei einem Datenleck verschlechtert sich durch die unterbliebene Auskunft die Sicherheit der Daten nicht unmittelbar. Es hätte in der vorliegenden Fallgestaltung ergänzender Darlegungen des Kl. bedurft, aus welchen Gründen ein mehr als nur hypothetisches Risiko einer missbräuchlichen Verwendung seiner personenbezogenen Daten bestehen soll. Soweit sich aus dem Vortrag des Kl. - andeutungsweise - negative Gefühle in Form einer Befürchtung der missbräuchlichen Datenverwendung ergeben, können diese unter den gegebenen Umständen nicht als begründet angesehen werden. Das bloße Berufen auf Befürchtungen dieser Art reicht nicht aus. Um zu prüfen, ob das Gefühl als begründet angesehen werden kann, ist ein objektiver Maßstab anzulegen. Dabei ist insb. das objektive Risiko eines Missbrauchs in den Blick zu nehmen, zu dem es vorliegend an ausreichenden Darlegungen fehlt. |
| NEU BAG Urt. v. 20.6.2024 - 8 AZR 253/20 | 0 EUR Der Kl. hat gegen den Bekl. keinen Anspruch auf die begehrte Geldentschädigung aus Art. 82 Abs. 1 DS-GVO. Nach der Rspr. des Gerichtshofs der Europäischen Union (im Folgenden Gerichtshof) hängt dieser Anspruch von drei Voraussetzungen ab. Es muss ein Verstoß gegen die DS-GVO, ein materieller oder immaterieller Schaden sowie ein Kausalzusammenhang zwischen dem Verstoß und dem Schaden vorliegen, und diese drei Voraussetzungen müssen kumulativ erfüllt sein. Hinsichtlich der Darlegungs- und Beweislast hat der Gerichtshof klargestellt, dass die Person, die auf der Grundlage von Art. 82 Abs. 1 DS-GVO den Ersatz eines immateriellen Schadens verlangt, das Vorliegen aller drei Voraussetzungen des Anspruchs nachweisen muss. Danach kann der Kl. aus Art. 82 Abs. 1 DS-GVO keinen immateriellen Schadensersatz beanspruchen. Es liegt - unter sämtlichen vom Kl. gerügten Gesichtspunkten - bereits kein Verstoß gegen Bestimmungen der DS-GVO vor. Die Verarbeitung der Gesundheitsdaten des Kl. im Zusammenhang mit der Erstellung der gutachtlichen Stellungnahme zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit des Kl. verstößt nicht gegen das Verarbeitungsverbot nach Art. 9 Abs. 1 DS-GVO. Sie erfüllt die besonderen, sich aus Art. 9 Abs. 2 lit. h iVm Art. 9 Abs. 3 DS-GVO ergebenden Rechtmäßigkeitsvoraussetzungen. Die Verarbeitung genügte auch den allgemeinen, sich aus Art. 6 Abs. 1 DS-GVO ergebenden Rechtmäßigkeitsanforderungen. Der Bekl. hat schließlich ausreichende Vorkehrungen zum Datenschutz getroffen. Insb. genügen die vom Bekl. insoweit getroffenen Maßnahmen den in Art. 5 Abs. 1 lit. a DS-GVO genannten und in Art. 32 Abs. 1 lit. a und b DS-GVO konkretisierten Grundsätzen der Integrität und der Vertraulichkeit. Da nach alledem ein Verstoß gegen die DS-GVO nicht zu erkennen ist, kann offenbleiben, ob das Vorbringen des Kl. zu den weiteren Voraussetzungen eines Anspruchs auf Schadensersatz nach Art. 82 Abs. 1 DS-GVO schlüssig ist, insb. ob nach den Anforderungen dieser Bestimmung ein Schaden hinreichend dargetan ist. |
| NEU BAG Beschl. v. 25.4.2024 – 8 AZR 209/21 (B) = ZD 2024, 703 | 0 EUR Der Vorlagebeschluss des Senats v. 22.9.2022 - 8 AZR 209/21 (A) -) war mit Blick auf die vorstehend genannten zwischenzeitlich ergangenen Urteile des Gerichtshofs in Bezug auf die Vorlagefragen 4 bis 6 aufzuheben. Die Auslegung von Art. 82 Abs. 1 DS-GVO ist insoweit durch die Rspr. des Gerichtshofs ausreichend geklärt. Mit der Vorlagefrage 4 hat der Senat den Gerichtshof um Beantwortung der Frage ersucht, ob Art. 82 Abs. 1 DS-GVO dahin auszulegen ist, dass Personen ein Recht auf Ersatz des immateriellen Schadens bereits dann haben, wenn ihre personenbezogenen Daten entgegen den Vorgaben der DS-GVO verarbeitet wurden oder ob der Anspruch auf Ersatz des immateriellen Schadens darüber hinaus voraussetzt, dass die betroffene Person einen von ihr erlittenen immateriellen Schaden - von einigem Gewicht - darlegt. Der Gerichtshof hat entschieden, dass aus dem Wortlaut des Art. 82 DS-GVO klar hervorgeht, dass das Vorliegen eines „Schadens“ eine der Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadensersatzanspruch darstellt, ebenso wie das Vorliegen eines Verstoßes gegen die DS-GVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind. Weiter hat der Gerichtshof entschieden, dass Art. 82 Abs. 1 DS-GVO dahin auszulegen ist, dass er einer nationalen Regelung oder Praxis entgegensteht, die den Ersatz eines immateriellen Schadens im Sinne dieser Bestimmung davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat. Die Vorlagefrage 5 entspricht wörtlich einer Vorlagefrage im Vorabentscheidungsersuchen - C-667/21 - des Senats (BAG 26. August 2021 - 8 AZR 253/20 (A)). Der Senat hat den Gerichtshof um Beantwortung der Frage ersucht, ob Art. 82 Abs. 1 DS-GVO spezial- bzw. generalpräventiven Charakter hat und ob dies bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DS-GVO zulasten des Verantwortlichen bzw. Auftragsverarbeiters berücksichtigt werden muss. Der Gerichtshof hat darauf geantwortet, dass Art. 82 Abs. 1 DS-GVO dahin auszulegen ist, dass der in dieser Bestimmung vorgesehene Schadensersatzanspruch, insb. im Fall eines immateriellen Schadens, eine Ausgleichsfunktion hat, da eine auf diese Bestimmung gestützte Entschädigung in Geld ermöglichen soll, den konkret aufgrund des Verstoßes gegen diese Verordnung erlittenen Schaden vollständig auszugleichen, und keine abschreckende oder Straffunktion erfüllt. Die Vorlagefrage 6 entspricht ebenfalls wörtlich einer Vorlagefrage im Vorabentscheidungsersuchen - C-667/21 - des Senats (BAG 26. August 2021 - 8 AZR 253/20 (A)). Der Senat hat den Gerichtshof um Beantwortung der Frage ersucht, ob es bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DS-GVO auf den Grad des Verschuldens des Verantwortlichen bzw. Auftragsverarbeiters ankommt, insb., ob ein nicht vorliegendes oder geringes Verschulden auf Seiten des Verantwortlichen bzw. Auftragsverarbeiters zu dessen Gunsten berücksichtigt werden darf. Der Gerichtshof hat darauf geantwortet, dass Art. 82 DS-GVO dahin auszulegen ist, dass zum einen die Haftung des Verantwortlichen vom Vorliegen eines ihm anzulastenden Verschuldens abhängt, das vermutet wird, wenn er nicht nachweist, dass die Handlung, die den Schaden verursacht hat, ihm nicht zurechenbar ist, und dass Art. 82 DS-GVO zum anderen nicht verlangt, dass der Grad dieses Verschuldens bei der Bemessung der Höhe des als Entschädigung für einen immateriellen Schaden auf der Grundlage dieser Bestimmung gewährten Schadensersatzes berücksichtigt wird. |
| Landesarbeitsgerichte | |
| NEU LAG Sachsen Urt. v. 19.8.2024 – 2 Sa 162/23 | 0 EUR Die Klage ist aber unbegründet, denn dem Kl. steht mangels feststellbaren Schadens ein Ersatz dafür aus Art. 82 Abs. 1 DS-GVO nicht zu. Schon nach dem Wortlaut der Norm ist damit neben einer Pflichtverletzung (= Verstoß gegen die Datenschutz-Grundverordnung) erforderlich, dass ein Schaden eingetreten ist. Es handelt sich um die im Schadensrecht üblichen, voneinander zu trennenden Anspruchsvoraussetzungen (neben weiteren wie Rechtswidrigkeit, Kausalität usw.). In lit. und Rspr. war diese Frage jedoch umstritten. Während insbesondere einige Arbeitsgerichte den bloßen Verstoß für ausreichend hielten, ging zB das Oberlandesgericht Innsbruck davon aus, dass das Tatbestandsmerkmal des erlittenen (immateriellen) Schadens nicht mit einer Verletzung von Normen der Datenschutz-Grundverordnung gleichzusetzen sei. Auch das Oberlandesgericht Brandenburg meinte, der Anspruchsteller habe das Vorliegen eines Schadens darzulegen und zu beweisen. In diesem Zusammenhang wurde auch diskutiert, ob eine gewisse Erheblichkeit des Schadens erforderlich sei, wofür die in Erwägungsgrund 85 der DS-GVO genannten immateriellen Schäden der Rufschädigung oder Diskriminierung angeführt werden können. Das Oberlandesgericht Dresden führt im Urteil vom 14. Dezember 2021 (4 U 1278/21, Rn. 52) dazu wie folgt aus. In der lit. wurde grds. dafür plädiert, den Schadensbegriff in der DS-GVO weit auszulegen, weil Schadensersatzforderungen abschrecken und weitere Verstöße unattraktiv machen sollen. Der EuGH hat mit Urt. v. 25.1.2024 – nochmals - klargestellt, dass die Person, die auf der Grundlage von Art. 82 Abs. 1 DS-GVO den Ersatz eines immateriellen Schadens verlangt, nicht nur den Verstoß gegen Bestimmungen dieser Verordnung nachweisen muss, sondern auch, dass ihr durch diesen Verstoß ein solcher Schaden entstanden ist. Schon zuvor u.a. im Urt. v. 14.12.2023 - C-340/21 [= ZD 2024, 150 mAnm Sosna/Ligocki = MMR 2024, 231 mAnm Kohl/Rothkegel] hatte der EuGH dazu ausgeführt, dass „allein der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen diese Verordnung befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, einen „immateriellen Schaden“ im Sinne dieser Bestimmung darstellen kann.“ Art. 82 Abs. 1 DS-GVO, so der EuGH, unterscheide nicht danach, ob der infolge eines erwiesenen Verstoßes gegen die Bestimmungen der DS-GVO von der betroffenen Person behauptete „immaterielle Schaden“ mit einer zum Zeitpunkt ihres Schadensersatzantrags bereits erfolgten missbräuchlichen Verwendung ihrer personenbezogenen Daten durch Dritte verbunden sei oder (nur) mit ihrer Angst verknüpft, dass eine solche Verwendung in Zukunft erfolgen könnte. Darauf aufbauend hat das BAF im Urt. v. 20.6.2024 – 8 AZR 124/23 [= ZD 2025, 174] Rn. 16 - 18) ausgeführt wie folgt. So liegt der Fall auch hier. Die Kl. hat zwar, nachdem sie erstinstanzlich geltend gemacht hatte, auf einen Schaden komme es nicht an, zweitinstanzlich behauptet, ein Schaden liege vor, weil sie durch die verspätete Nachweisführung der Bekl. erst zu einem deutlich verspäteten Zeitpunkt habe überprüfen können, ob und falls ja, welche Daten die Bekl. im Zusammenhang mit dem Infektionsschutzgesetz an Dritte übersandte. Es habe insoweit die Gefahr bestanden, dass die Bekl. ohne Rechtsgrund Gesundheitsdaten der Kl. an Dritte übersendet und die Kl. aus diesem Grund mit unberechtigten Forderungen im Rahmen ihres Arbeitsverhältnisses habe rechnen müssen. Mit Schriftsatz v. 6.9.2023 hat sie ihren Vortrag ergänzt und erklärt, bei ihr wären Sorgen und Ängste vor einem möglichen Datenmissbrauch gegeben gewesen. Im Termin der mündlichen Verhandlung hat der Prozessbevollmächtigte der Kl. dazu ausgeführt, Hintergrund sei gewesen, dass die Bekl. Nachweise bzgl. der Corona-Impfpflicht abgefordert habe, obwohl hierzu wegen des Genesenen-Status keine Veranlassung bestanden habe. Die Kl. habe mit ihrem Auskunftsgesuch daher wissen wollen, ob sich die Bekl. an die Spielregeln des § 20a Infektionsschutzgesetz gehalten habe. Da die Auskunft nicht erteilt worden sei, habe die Gefühlslage bestanden, dass das Gesundheitsamt jetzt auf sie (die Kl.) zukommen könne. Über diese Situation habe sie sich Gedanken gemacht. Mit der fristgerechten Vorlage der Datenkopie sei das vermeidbar gewesen. Die Bekl. ist dem entgegengetreten und hat Verspätung gerügt. Darauf kommt es aber nicht an, weil der Vortrag selbst mit Blick auf die erleichterten Anforderungen des § 287 ZPO nicht ausreichend ist. Zwar kann ein Schaden bereits in einem „unguten Gefühl“ des Betroffenen liegen, dass ihn betreffende personenbezogene Daten Unbefugten bekannt geworden sind, wenn nicht ausgeschlossen werden kann, dass die Daten unbefugt weiterverwendet werden. Davon kann aber hier schon nicht ausgegangen werden. Wie oben dargestellt, hat die Kammer zu prüfen, ob die Befürchtung unberechtigter Weitergabe von Daten unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann. Vorliegend hat die Bekl. (wohl) einen von der Kl. inhaltlich nicht näher beschriebenen Nachweis im Zusammenhang mit einer „einrichtungsbezogenen Impfpflicht“ angefordert. Der Prozessbevollmächtigte der Kl. hat dazu die Ansicht vertreten, eine Nachweispflicht zum 15.03.2022 fehle. Das übersieht den auch bei einem Genesenen-Status grds. erforderlichen Nachweis nach § 20a Abs. 2 Nr. 2 IfSG. Wieso sich aus der Anforderung eines gesetzlich vorgesehenen Nachweises die Befürchtung ergibt, Daten der Kl. könnten unberechtigt weitergegeben werden, erschließt sich aus dem Vortrag der Kl. nicht. Diese Befürchtung kann jedenfalls nicht über die immer bestehende Befürchtung hinausgehen, die eigenen Daten nicht unter Kontrolle zu haben. Insoweit handelt es sich um eine latente Gefahr, deren Befürchtung nicht als Schaden einer verletzten Pflicht zur Übermittlung von Datenkopien angesehen werden kann. Dabei ist auch zu berücksichtigen, dass die Bekl. die Auskunft als solche rechtzeitig erteilt hat (davon geht die Kl. im erstinstanzlichen Schriftsatz vom 16.09.2022 selbst aus) und lediglich die Vorlage der Datenkopie verspätet erfolgte. Es fragt sich, warum daraus ein Kontrollverlust über die Daten resultieren soll. Nachvollziehbar tritt ein solcher ein, wenn die Daten unter Missachtung der Vorschriften der DS-GVO herausgegeben werden. Dabei geht es aber nicht um die nicht gegebene Kontrolle der Verarbeitung, sondern um die verlorene Kontrolle über die Daten selbst. Schlussendlich weist die Bekl. zu Recht darauf hin, dass zwar eine Übermittlungspflicht ihrerseits wohl gegeben war, bei entsprechenden Ängsten oder Sorgen aber dennoch eine (ggfls. „zähneknirschende“) Abholung durch die Kl. zu erwarten gewesen wäre. In der oben bereits zitierten Entscheidung des Oberlandesgerichts Innsbruck hat dieses auf eine einzelfallbezogene Prüfung abgestellt, dahingehend, ob eine Verletzung der DS-GVO zu negativen Gefühlen bei einer „durchschnittlich im Datenschutz sensibilisierten Maßfigur („Otto Normalverbraucher“) führen würde, die über jene hinausgehen, welche man automatisch entwickelt, wenn ein Gesetz verletzt wird“. Das bei der Kl. entsprechende negative Gefühle bestanden, ist nur pauschal behauptet und iÜ von der Bekl. bestritten worden. Beweis hat die Kl. dafür nicht angeboten. |
| NEU LAG Düsseldorf Beschl. v. 1.7.2024 - 3 Ta 85/24 = ZD 2025, 117 | 0 EUR Dass eine bürgerliche Rechtsstreitigkeit zwischen Privatpersonen über zivilrechtliche Ansprüche auf immateriellen Schadensersatz aus Art. 82 Abs. 1 DS-GVO und § 823 Abs. 1 BGB vorliegt, ist offensichtlich, steht gänzlich außer Streit und bedarf keiner weitergehenden Begründung. Der von dem Kl. hier geltend gemachte immaterielle Schadensersatz ist auf der Grundlage desselben, einheitlichen Lebenssachverhalts und mithin innerhalb desselben Streitgegenstands nach seinem Vorbringen als solcher aus § 823 Abs. 1 BGB iVm Art. 1, 2 GG wegen einer Persönlichkeitsrechtsverletzung begründbar wie auch aus Art. 82 Abs. 1 DS-GVO wegen einer rechtswidrigen Datenverarbeitung. Ob der Anspruch begründet ist, ist hier nicht zu entscheiden. |
| NEU LAG Niedersachsen Urt. v. 28.5.2024 – 10 Sa 698/23 | 0 EUR Soweit die Hochschule bei der Vergabe der beiden Gutachtenaufträge Daten des Kl. an die Gutachter weitergab, liegt darin kein Verstoß, der zu einem Anspruch auf Schadensersatz oder Entschädigung führt. Die Voraussetzungen für einen Ersatzanspruch aus der Datenschutz-Grundverordnung sind nicht erfüllt; auch handelt es sich nicht, wie der Kl. geltend macht, um einen Teil einer gegen ihn gerichteten „Mobbing“-Strategie. Art. 82 Abs. 1 DS-GVO ist dahin auszulegen, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadensersatzanspruch zu begründen. Aus dem Wortlaut der Bestimmung geht klar hervor, dass das Vorliegen eines Schadens eine der Voraussetzungen für den Anspruch darstellt, ebenso wie das Vorliegen eines Verstoßes gegen die Datenschutz-Grundverordnung und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind. Auch wäre die gesonderte Erwähnung eines „Schadens“ und eines „Verstoßes“ in Art. 82 Abs. 1 DS-GVO überflüssig, wenn der Unionsgesetzgeber davon ausgegangen wäre, dass ein Verstoß gegen die Bestimmungen der Datenschutz-Grundverordnung für sich allein in jedem Fall ausreichend wäre, um einen Schadensersatzanspruch zu begründen. Einen Schaden irgendeiner Art, der ihm gerade durch die Weitergabe seiner Daten an die beiden Gutachter entstanden wäre, hat der Kl. indes nicht dargetan. Soweit er den Anspruch darauf stützt, bei dem Verstoß handle sich um einen Teil einer systematischen „Mobbing“-Strategie des beklagten Landes bzw. der Hochschulorgane, kann dem nicht gefolgt werden. Wie oben unter 1. ausgeführt, liegt in der Formulierung des Textes, mit dem sich die Hochschule von der Quellensammlung des Kl. distanzierte, zwar eine Verletzung seines allgemeinen Persönlichkeitsrechts. Es treten jedoch keine weiteren Umstände hinzu, die den Schluss zuließen, die Hochschule habe bezweckt oder bewirkt, dass seine Würde verletzt und ein von Einschüchterungen, Anfeindungen, Erniedrigungen, Entwürdigungen oder Beleidigungen gekennzeichnetes Umfeld geschaffen wurde. Der Datenschutzverstoß, der für sich genommen nicht zu einem Schaden führte, deutet auch im Lichte der zu beanstandenden Formulierung des Distanzierungstextes nicht auf ein zielgerichtetes Vorgehen in diesem Sinne hin. |
| NEU LAG Rheinland-Pfalz Urt. v. 24.5.2024 – 2 Sa 181/23 | 0 EUR Die Kl. hat hingegen keinen Anspruch nach § 82 Abs. 1 DS-GVO auf die begehrte Geldentschädigung wegen eines Verstoßes gegen die DS-GVO. Gemäß den zutreffenden Ausführungen des Arbeitsgerichts, denen das Berufungsgericht folgt (§ 69 Abs. 2 ArbGG), ergeben sich aus dem Vortrag der für die anspruchsbegründenden Voraussetzungen darlegungs- und beweisbelasteten Kl. keine Anhaltspunkte für die zur Anspruchsbegründung vorgebrachte heimliche Überwachung bzw. missbräuchliche Nutzung der bezeichneten Software und einen hierdurch verursachten immateriellen Schaden. Das Arbeitsgericht hat zutreffend darauf verwiesen, dass es sich bei der Software "Solar Winds Dame Ware" um eine klassische Fernwartungssoftware (Remote-Support) handelt, bei der dem Verwender die Einsichtnahme durch den Fernwartenden kenntlich gemacht wird. Soweit die Kl. ihr Notebook von einem Sachverständigen hat untersuchen lassen, ist dieser nach dem eigenen Vortrag der Kl. in ihrem Schriftsatz vom 21. September 2022 bei der Suche nach "Spionage-Software" zu einem negativen Ergebnis gelangt. Als Ergebnis seiner Untersuchung hat er lediglich das Programm "DameWare" des Herstellers "SolarWinds" festgestellt, mit dem verschiedene Überwachungs-Aktivitäten auf dem Notebook "potenziell" durchgeführt werden könnten, während iÜ "Spionage-Software" nicht gefunden worden sei. Allein die theoretische Möglichkeit, dass eine Software, die bestimmungsgemäß zur Fernwartung genutzt wird, auch zweckwidrig und missbräuchlich zur Überwachung eines Arbeitsnehmers hätte eingesetzt werden können, reicht zur Begründung des geltend gemachten Entschädigungsanspruchs nicht aus. Auch der Umstand, dass die Bekl. neben dem installierten Fernwartungsprogramm "Any Desk" noch die weitere Fernwartungslösung "Solar Winds Dame Ware" firmenweit auf allen Geräten einsetzt, lässt nicht darauf schließen, dass diese weitere Software missbräuchlich eingesetzt worden sein könnte. Der Kl. hat selbst mehrfach Unterstützung von der Bekl. aus der Ferne erhalten. Auch wenn der Kl. nur das auf ihrem Desktop befindliche Fernwartungsprogramm "Any Desk" bekannt gewesen sein sollte, begründet allein der Einsatz einer anderen Fernwartungssoftware keine Anhaltspunkte für eine gegen die DS-GVO verstoßende heimliche Überwachung der Kl. und einen hierdurch verursachten immateriellen Schaden. Entgegen der Ansicht der Kl. kommt in Bezug auf die anspruchsbegründenden Voraussetzungen des von ihr auf Art. 82 Abs. 1 DS-GVO gestützten Entschädigungsanspruchs im Streitfall keine Umkehr der Beweislast in Betracht. Vielmehr muss die Person, die aufgrund dieser Bestimmung Schadensersatz verlangt, nicht nur den Verstoß gegen Bestimmungen der DS-GVO nachweisen, sondern auch, dass ihr dadurch ein materieller oder immaterieller Schaden entstanden ist. Soweit die Kl. daher das Vorbringen der Bekl. unter Verweis auf eine Umkehr der Beweislast bestritten hat, ist dies unerheblich. Soweit die Kl. vorgebracht hat, dass am 19. Februar 2022 der sog. "Event-Log" gelöscht worden sein soll, hat die Bekl. darauf verwiesen, dass sie keine Event-Logs auf dem Rechner gelöscht habe und ggf. die Kl. die Löschung selbst vorgenommen haben müsse, nachdem das Gerät sich bis zu der am 29. März 2022 erfolgten Herausgabe ausschließlich in deren Zugriff befunden habe. Wer ggf. den sog. "Event-Log" gelöscht haben soll, kann nach dem eigenen Vortrag der Kl. im Nachhinein nicht mehr festgestellt werden. |
| NEU LAG Düsseldorf Urt. v. 10.4.2024 – 12 Sa 1007/23 = ZD 2024, 590 | 1.000 EUR Die Bekl. ist verpflichtet, ihm eine Entschädigung iHv 1.000 EUR gem. Art. 82 Abs. 1 DS-GVO zu zahlen, weil sie den Kl. entgegen Art. 14 Abs. 1 lit. d DS-GVO nicht über die Kategorie der von ihr iRd Auswahlverfahrens verarbeiteten Daten, nämlich der strafrechtlichen Verurteilung durch das LG München I, informiert hat. Aus den obigen Ausführungen ergibt sich, dass die Bekl. gegen Art. 14 Abs. 1 lit. d DS-GVO, mithin eine Vorschrift der DS-GVO, verstoßen hat. Sie hat den Kl. bezogen auf die Verarbeitung der strafrechtlichen Verurteilung durch das LG München I im Auswahlverfahren nicht informiert und diese Verurteilung ohne die rechtliche gebotene Information über die Datenkategorie jedenfalls hilfsweise ihrer Auswahlentscheidung dokumentiert zu Grunde gelegt. Es geht hier auch nicht um eine alleine stehende Informationspflicht. Vielmehr hat die Auskunftspflicht aus Art. 14 DS-GVO unmittelbaren Bezug zum Verarbeitungsvorgang. Sie stellt sicher, dass die Grundsätze einer fairen und transparenten Verarbeitung gewahrt sind, denn diese Grundsätze bedeuten, dass die betroffene Person über die Existenz des Verarbeitungsvorgangs und seine Zwecke unterrichtet wird (vgl. Erwägungsgrund 60 S. 1). Der Kl. hat verursacht durch die nicht erfolgte Information gem. Art. 14 Abs. 1 lit. d DS-GVO einen Schaden erlitten. Ein Anspruch auf Ersatz des immateriellen Schadens des Kl. scheidet nicht deshalb aus, weil es hier um einen bloßen Verstoß gegen die Bestimmungen der DS-GVO geht, der alleine nicht zur Begründung des Schadensersatzes ausreicht. Richtig ist allerdings, dass der EuGH in seinem Urt. v. 4.5.2023 - C-300/21 [= ZD 2023, 446 mAnm Mekat/Ligocki – Österreichische Post] ausgeführt hat, dass Art. 82 Abs. 1 DS-GVO dahin auszulegen ist, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen immateriellen Schadensersatzanspruch zu begründen. Anderseits hat der EuGH in der genannten Entscheidung erkannt, dass der Begriff des immateriellen Schadens autonom und unionsrechtlich einheitlich zu definieren ist. Dabei ist die betroffene Person nicht von dem Nachweis befreit, dass der Verstoß gegen die DS-GVO für sie negative Folgen gehabt habe, welche einen immateriellen Schaden darstellen. Anderseits sei keine Voraussetzung, dass der der betroffenen Person entstandene immaterielle Schaden einen bestimmten Grad an Erheblichkeit erreicht hat. Der Nachteil muss weder "spürbar" noch die Beeinträchtigung "objektiv" sein. Diese Auslegung ergibt sich aus dem dritten S. des 146. Erwägungsgrundes der DS-GVO, in dem es heißt, dass "[d]er Begriff des Schadens im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden [sollte], die den Zielen dieser Verordnung in vollem Umfang entspricht". Dies steht mit den Zielen der DS-GVO im Einklang, namentlich demjenigen, innerhalb der Union ein gleichmäßiges und hohes Niveau des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten zu gewährleisten. Schließlich hat der EuGH klargestellt, dass der Unionsgesetzgeber unter den Schadensbegriff insbesondere auch den bloßen "Verlust der Kontrolle" über die eigenen Daten infolge eines Verstoßes gegen die DS-GVO fassen wollte, selbst wenn konkret keine missbräuchliche Verwendung der betreffenden Daten zum Nachteil dieser Personen erfolgt sein sollte. Zur Begründung hat er auf den ersten S. des 85. Erwägungsgrundes der DS-GVO verwiesen. Denn dort wird in einer beispielhaften Aufzählung von möglichen materiellen oder immateriellen Schäden explizit der Verlust der Kontrolle über die eigenen personenbezogenen Daten genannt. Schließlich hat der EuGH ausgeführt, dass Art. 82 Abs. 1 DS-GVO dahin auszulegen ist, dass der in dieser Bestimmung vorgesehene Schadensersatzanspruch eine Ausgleichsfunktion hat, da eine auf diese Bestimmung gestützte Entschädigung in Geld ermöglichen soll, den konkret aufgrund des Verstoßes gegen diese Verordnung erlittenen Schaden vollständig auszugleichen, und keine abschreckende oder Straffunktion erfüllt. Soweit die Kammer in der Entscheidung vom 26.04.2023 - 12 Sa 18/23 von dem Erfordernis einer abschreckenden Wirkung ausgegangen ist, hält sie daran in Ansehung der jüngsten Rspr. des EuGH nicht fest. Der Kl. hat hier einen immateriellen Schaden dargelegt, der durch die fehlende Information verursacht worden ist. Die Bekl. hat ohne Mitteilung an den Kl. dessen nicht rechtskräftige strafrechtliche Verurteilung zur - und sei es nur hilfsweisen - Grundlage ihrer Datenverarbeitung im Auswahlprozess gemacht. Sie hat dies dokumentiert im Auswahlvermerk niedergelegt, ohne den Kl. über diese Datenkategorie zu informieren. Damit ist der Kl. zum bloßen Objekt der Datenverarbeitung geworden und hat einen erheblichen Kontrollverlust mit negativen Auswirkungen auf die Auswahlentscheidung erlitten. Diese mag objektiv im Ergebnis richtig sein, weil der Kl. ungeeignet war. Dies ändert aber nichts daran, dass er im Auswahlprozess bloßes Objekt der Datenverarbeitung war. Dies beeinträchtigt den Kl. auch in seinem allgemeinen Persönlichkeitsrecht. Es handelt sich außerdem um eine erheblich negative Tatsache, nämlich eine strafrechtliche Verurteilung. Es liegt ein erheblicher Kontrollverlust auf Seiten des Kl. vor. Bei Würdigung aller Umstände erachtet die erkennende Kammer im konkreten Fall eine Entschädigung von insgesamt 1.000 EUR für angemessen. Art. 82 DS-GVO ist dahingehend auszulegen, dass die nationalen Gerichte bei der Festsetzung der Höhe des Schadensersatzes, der aufgrund des in diesem Artikel verankerten Schadensersatzanspruchs geschuldet wird, die innerstaatlichen Vorschriften der einzelnen Mitgliedstaaten über den Umfang der finanziellen Entschädigung anzuwenden haben, sofern die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität beachtet werden. Der Grad des Verschuldens des Verantwortlichen ist dabei für die Bemessung der Höhe des nach Art. 82 Abs. 1 DS-GVO zu ersetzenden immateriellen Schadens nicht von Bedeutung. Mangels einschlägiger unionsrechtlicher Vorschriften ist die Höhe des Schadens gem. § 287 Abs. 1 S. 1 ZPO zu bestimmen, wonach alle Umstände des Einzelfalls zu würdigen sind. Art. 82 DS-GVO regelt selbst keine Verfahrensmodalitäten zur Durchsetzung des Schadensersatzanspruchs. Art. 79 Abs. 1 DS-GVO sieht lediglich vor, dass jede betroffene Person das Recht auf einen wirksamen gerichtlichen Rechtsbehelf hat, wenn sie der Ansicht ist, dass die ihr aufgrund der DS-GVO zustehenden Rechte infolge einer nicht mit ihr im Einklang stehenden Verarbeitung ihrer personenbezogenen Daten verletzt wurden. Dem Äquivalenz- oder Effektivitätsgrundsatz ist durch die Anwendung von § 287 Abs. 1 S. 1 ZPO Rechnung getragen. Die Bestimmung findet im nationalen Recht ebenso bei der Durchsetzung anderer Ansprüche auf immateriellen Schadensersatz Anwendung. Für die Bemessung der Höhe des immateriellen Schadens ist dabei als einem wichtigen Faktor auf die Intensität der Persönlichkeitsrechtsverletzung abzustellen. In Würdigung aller Umstände dieses Falles erachtet die Kammer eine Entschädigung von 1.000 EUR für angemessen. Dies ergibt sich insb. aus Folgendem: Die Kammer hat zunächst berücksichtigt, dass die Datenverarbeitung hier eine deutlich negative Tatsache über den Kl. betraf, nämlich dessen strafrechtliche Verurteilung, die zudem unrichtig wiedergegeben wurde (gewerbsmäßiger Betrug). Es ist weiter zu berücksichtigen, dass diese Verurteilung nicht rechtskräftig war. Die Information war noch deutlich wichtiger als bei einer rechtskräftigen Verurteilung, um dem Kl. die Möglichkeit zur Stellungnahme im Bewerbungsprozess zu gewähren. Schließlich hat die Bekl. den Kl. während des Bewerbungsverfahrens ohne Mitteilung an diesen aufgrund der damaligen Verurteilung für ungeeignet erachte. Dies machte ihn in erheblicher Weise zum bloßen Objekt der Datenverarbeitung und setzte seinen Achtungsanspruch als Person herab. Dies ist zugleich ein erheblicher Kontrollverlust. Insgesamt sind bei Würdigung aller Umstände 1.000 EUR zur Überzeugung der Kammer angemessen, um den erlittenen immateriellen Schaden auszugleichen. Dem Anspruch steht im konkreten Fall der Einwand des Rechtsmissbrauchs nicht entgegen. Selbst wenn der Kl. sich rechtsmissbräuchlich beworben haben sollte, ändert dies nichts daran, dass es der Bekl. verwehrt war, über ihn unter Verstoß gegen die DS-GVO Daten zu erheben. Unabhängig davon sieht die Kammer - wie den Parteien im Termin mitgeteilt - den Rechtsmissbrauch nicht. Der Kl. hat sich hier auf eine zu ihm im Grundsatz passende Stelle beworben und am Auswahlverfahren teilgenommen und sich der Fachaufgabe und dem Bewerbungsgespräch gestellt. Die von der Bekl. aufgezeigten Umstände begründen für diesen Fall nicht die Annahme einer Scheinbewerbung. |
| NEU LAG Hessen Urt. v. 8.3.2024 – 14 Sa 295/23 | 0 EUR Der auf die Zahlung von Schadensersatz gerichtete Antrag ist zulässig, aber unbegründet. Der Kl. steht kein Anspruch nach Art. 82 Abs. 1 DS-GVO zu. Dies gilt auch dann, wenn man annimmt, dass die Bekl. ihre Auskunfts- und Herausgabepflichten verletzt hat, weil sie – etwa im Hinblick auf die erst mit Schriftsatz vom 8. Dezember 2023 vorgelegte SMS-Korrespondenz zwischen der Kl. und Herrn A – die Frist des Art. 12 Abs. 3 DS-GVO zur Auskunftserteilung nicht eingehalten hat oder ihre Auskünfte – etwa im Hinblick auf die streitigen Behauptungen der Kl. im Berufungstermin vom 9. Februar 2024 – nicht vollständig sind. Der Rechtsanspruch auch auf immateriellen Schadensersatz – nur diesen macht die Kl. hier geltend – nach Art. 82 Abs. 1 DS-GVO erfordert dabei über eine Verletzung der DS-GVO hinaus zusätzlich, dass die verletzte Person einen von ihr aufgrund dieses Verstoßes erlittenen immateriellen Schaden darlegt. Der bloße Verstoß gegen Bestimmungen dieser Verordnung reicht nicht aus um einen Schadensersatzanspruch zu begründen. Dies folgt bereits aus dem Wortlaut von Art. 82 DS-GVO wonach „jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, … Anspruch auf Schadensersatz ...“ hat. Die gesonderte Erwähnung eines „Schadens“ und eines „Verstoßes“ in Artikel 82 Abs. 1 DS-GVO wäre überflüssig, wenn bereits ein Verstoß gegen die Bestimmungen der DS-GVO für sich allein in jedem Fall ausreichend wäre, um einen Schadensersatzanspruch zu begründen. Einen von der Bekl. kausal durch die Verletzung von Auskunfts- und Herausgabepflichten nach der DS-GVO verursachten immateriellen Schaden hat die Kl. nicht dargelegt. Sie hat sich lediglich abstrakt darauf berufen, dass ihr ein immaterieller Schaden entstanden sei. Hinsichtlich der Bemessung hat sie die Auffassung vertreten, dass Schwere und Dauer des Verstoßes, Verschuldensgrad, Maßnahmen zur Minderung des Schadens und früher einschlägige Verstöße sowie die Kategorien der betroffenen personenbezogenen Daten zu berücksichtigen seien, worin der ihr durch den Verstoß entstandene immaterielle Schaden konkret bestehen soll, hat sie jedoch nicht vorgetragen. Gleiches gilt für ihr zweitinstanzliches Vorbringen. In der Berufungsbegründung hat sich die Kl. lediglich darauf berufen, das Arbeitsgericht sei zu Unrecht davon ausgegangen, dass die Bekl. nicht gegen ihre Pflichten aus der DS-GVO verstoßen habe. |
| NEU LAG Düsseldorf Urt. v. 7.3.2024 – 11 Sa 808/23 = ZD 2024, 651 | 750 EUR Im Umfang eines Zahlungsbetrags in Höhe von 750 EUR war der Berufung antragsgemäß im Wege des Versäumnisteilurteils stattzugeben, da die Bekl. trotz ordnungsgemäßer Übersendung der Berufung, der Berufungsbegründung und der Ladung im Termin nicht erschienen ist. Die weitergehende Berufung war im Wege des unechten Versäumnis(schluss-)urteils zurückzuweisen. Das zugestandene Vorbringen des Kl. begründet den geltend gemachten Anspruch dem Grunde nach, allerdings nur iHv 750 EUR. Der Anspruch des Kl. ergibt sich aus Art. 82 Abs. 1 DS-GVO, da die Bekl. gegen die ihr aus Art. 15 Abs. 1, 2 und 4 DS-GVO obliegenden Pflichten verstoßen und hierdurch einen immateriellen Nachteil des Kl. verursacht hat. Seinen Anspruch kann der Kl. unmittelbar auf Art. 82 Abs. 1 DS-GVO stützen. Die Bekl. hat gegen Art. 15 Abs. 1, 2 und 3 iVm Art. 12 Abs. 3 Sätze 1 bis 3 DS-GVO verstoßen. Nach dem gem. § 539 Abs. 2 S. 1 ZPO zugestandenen Sachvortrag des Kl. hat dieser die Bekl. mit mehreren Schreiben v. 18.5.2023 sowie weiteren Erinnerungen vom 3.6.2023 und v. 18.6.2023 unter Fristsetzung aufgefordert, ihm umfassend Auskunft zu erteilen, ob und welche Daten sie zu seiner Person verarbeitet. Derartige personenbezogenen Daten hatte er der Bekl. zuvor, zuletzt im Dezember 2022, in Form seiner Bewerbungsunterlagen übersandt. Des Weiteren hat er verlangt, ihm eine Kopie sämtlicher Daten, die noch verarbeitet werden, zur Verfügung zu stellen. Indem die Bekl. auf dieses Verlangen des Kl. - bis zum Schluss der mündlichen Verhandlung zweiter Instanz - nicht reagiert hat, hat sie gegen die ihr aus Art. 15 Abs. 1, 2 und 3 iVm Art. 12 Abs. 3 DS-GVO obliegenden Pflichten verstoßen. Ein Verstoß gegen die Pflichten aus Art. 15 DS-GVO kann dem Grunde nach einen Anspruch auf Ersatz der materiellen und immateriellen Schäden nach Art. 82 Abs. 1 DS-GVO begründen. In Rspr. und Literatur wird allerdings zum Teil die Auffassung vertreten, derartige Verstöße gegen die Vorschriften der DS-GVO fielen nicht in den Anwendungsbereich von Art. 82 DS-GVO. Begründet wird diese Auslegung der Norm mit dem Erwägungsgrund 146, in dessen Einleitungssatz davon die Rede ist, dass Schäden, die einer Person aufgrund einer verordnungswidrigen "Verarbeitung" entstehen, zu ersetzen seien. Da es sich bei der Frage der Erfüllung der Auskunftsverpflichtung aber um keine Datenverarbeitung iSd Legaldefinition des Art. 4 Nr. 2 DS-GVO handele, scheide ein Verstoß gegen Art. 15 DS-GVO als haftungsrelevante Handlung bereits dem Grunde nach aus. Dem folgt die zur Entscheidung berufene Kammer nicht. Gegen ein derartig enges Verständnis der Norm spricht zum einen ihr Wortlaut: In Art. 82 Abs. 1 DS-GVO ist von einem "Verstoß gegen diese Verordnung" die Rede und gerade nicht von einer verordnungswidrigen Datenverarbeitung. Dass diese in Abs. 1 von Art. 82 DS-GVO enthaltene Regelung durch Abs. 2, in dem davon die Rede ist, dass der "an einer Verarbeitung beteiligte Verantwortliche" für den Schaden hafte, konkretisiert würde, ist weder dem Gesamtkontext noch dem Sinn und Zweck der Norm mit hinreichender Sicherheit zu entnehmen. Zwar spricht auch Erwägungsgrund 146 davon, dass Schäden ersetzt werden sollen, die "einer Person aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht". Allerdings ist der Begriff der Verarbeitung in Art. 4 Nr. 2 DS-GVO weit gefasst und umfasst zB auch die "Offenlegung durch Übermittlung", worunter auch eine Auskunft zu fassen ist. Daneben ergibt sich aus Erwägungsgrund 60 und 63 DS-GVO, dass die Grundsätze einer fairen und transparenten Verarbeitung es erforderlich machen, dass die betroffene Person über die Existenz des Verarbeitungsvorgangs und seine Zwecke unterrichtet wird, und dass ihr entsprechende Auskunftsrechte zustehen, um "der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können". Daraus folgt, dass mittels des Auskunftsanspruchs für Fairness und Transparenz beim Verarbeitungsvorgang gesorgt werden soll. Es liegt daher nahe, auch die Ersatzpflicht nach Art. 82 Abs. 1 DS-GVO auf einen Verstoß gegen das Auskunftsrecht anzuwenden. Dass Art. 82 Abs. 1 DS-GVO weit zu verstehen ist und auch verordnungswidriges Verhalten erfasst, das (noch) nicht mit einer Verarbeitung von Daten verbunden ist, bestätigt die jüngere Rspr. des EuGH. Zum einen ist in seinen Entscheidungen zu Art. 82 Abs. 1 DS-GVO ohne nähere Einschränkung davon die Rede, dass Anspruchsvoraussetzung ein Verstoß gegen "Bestimmungen dieser Verordnung" sei. Zum anderen hat der EuGH in einem Urteil zu den Folgen eines Verstoßes gegen die Pflicht zum Abschluss einer Datenschutzvereinbarung und zum Führen eines Verarbeitungsverzeichnisses zuletzt auch ausdrücklich klargestellt, dass auch ein Verstoß, der keine "unrechtmäßige Verarbeitung" darstellt, einen Anspruch auf Ersatz eines etwaig verursachten Schadens begründen kann. Nach dem als zugestanden geltenden Sachvortrag des Kl. ist ihm ein immaterieller Schaden entstanden, der kausal durch den Verstoß gegen die Pflichten aus Art. 15 Abs. 1, 2 und 3 DS-GVO verursacht wurde. Der Nachweis bzw. die unbestrittene oder als zugestanden geltende Darlegung eines immateriellen Schadens ist, wie das Arbeitsgericht insoweit zutreffend ausgeführt hat, nicht entbehrlich. Wie der EuGH mehrfach explizit festgestellt hat, genügt der Normenverstoß als solcher nicht. Vielmehr muss eine Person, die von einem Verstoß gegen die DS-GVO betroffen ist, der für sie nachteilige Folgen gehabt hat, den Nachweis erbringen, dass diese Folgen einen immateriellen Schaden iSv Art. 82 DS-GVO darstellen. Was einen immateriellen Schaden iSv Art. 82 Abs. 1 DS-GVO darstellt, ist durch eine autonome und einheitliche unionsrechtliche Definition zu bestimmen. Der Begriff des Schadens wird vom Unionsgesetzgeber weit verstanden. Der EuGH hat zuletzt klargestellt, dass ein bestimmter Grad an Erheblichkeit der Beeinträchtigung nicht erforderlich ist. Der Nachteil muss weder "spürbar" noch die Beeinträchtigung "objektiv" sein. Diese Auslegung ergibt sich aus dem dritten S. des 146. Erwägungsgrundes der DS-GVO, in dem es heißt, dass "[d]er Begriff des Schadens im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden [sollte], die den Zielen dieser Verordnung in vollem Umfang entspricht". Dies steht mit den Zielen der DS-GVO im Einklang, namentlich demjenigen, innerhalb der Union ein gleichmäßiges und hohes Niveau des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten zu gewährleisten. Weiter hat der EuGH festgestellt, dass nicht danach zu unterscheiden ist, ob der infolge eines erwiesenen Verstoßes gegen die Bestimmungen der DS-GVO von der betroffenen Person behauptete "immaterielle Schaden" mit einer zum Zeitpunkt ihres Schadensersatzantrags bereits erfolgten missbräuchlichen Verwendung ihrer personenbezogenen Daten durch Dritte verbunden ist oder ob er "nur" mit ihrer Angst verknüpft ist, dass eine solche Verwendung erst in Zukunft erfolgen könnte. Der Wortlaut von Art. 82 Abs. 1 DS-GVO schließt nicht aus, dass der in dieser Bestimmung enthaltene Begriff des immateriellen Schadens eine Situation umfasst, in der sich die betroffene Person auf ihre Befürchtung beruft, dass ihre personenbezogenen Daten aufgrund des eingetretenen Verstoßes gegen die DS-GVO in Zukunft von Dritten missbräuchlich verwendet werden. Diese weite Auslegung von Art. 82 Abs. 1 DS-GVO wird schließlich durch den 146. Erwägungsgrund und den darin niedergelegten Willen des Unionsgesetzgebers bestätigt. Ergänzend hat der EuGH klargestellt, dass der Unionsgesetzgeber unter den Schadensbegriff insbesondere auch den bloßen "Verlust der Kontrolle" über die eigenen Daten infolge eines Verstoßes gegen die DS-GVO fassen wollte, selbst wenn konkret keine missbräuchliche Verwendung der betreffenden Daten zum Nachteil dieser Personen erfolgt sein sollte. Zur Begründung hat er auf den ersten S. des 85. Erwägungsgrundes der DS-GVO verwiesen. Denn dort wird in einer beispielhaften Aufzählung von möglichen materiellen oder immateriellen Schäden explizit der Verlust der Kontrolle über die eigenen personenbezogenen Daten genannt. Hieraus ist allerdings entgegen der Auffassung des Kl. gerade nicht zu folgern, dass jeder Verstoß gegen Auskunftsansprüche aus der DS-GVO wegen des damit einhergehenden Kontrollverlusts und der Einschränkung von Rechten "automatisch" einen immateriellen Schaden verursacht, der über Art. 82 Abs. 1 DS-GVO zu ersetzen wäre. Zwar ist richtig, dass der EuGH in der zitierten Entscheidung den Kontrollverlust als einen in Erwägungsgrund 85 "beispielhaft" aufgezählten Schaden nennt. Der EuGH macht aber zugleich deutlich, dass die betroffene Person in jedem Einzelfall nachweisen muss, dass ihm durch den Kontrollverlust tatsächlich ein Schaden entstanden ist. Erläuternd führt der EuGH aus, dass zB dann, wenn der Betroffene die Befürchtung äußere, seine Daten könnten missbräuchlich verwendet werden, das Gericht zu prüfen habe, ob diese unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann. Bereits der kurzzeitige Verlust der Hoheit über personenbezogene Daten kann zwar einen Schaden verursachen - so geringfügig er auch sein mag. Es ist aber nachzuweisen, dass dieser auch tatsächlich eingetreten ist. Diese weitergehende Prüfung bzw. dieser Nachweis wäre überflüssig, wenn jede Nichterteilung einer Auskunft, also somit jeder Verstoß gegen Art. 15 DS-GVO, zwingend einen Schaden verursachen würde. Anders ausgedrückt: Empfindet der Betroffene trotz der Vorenthaltung von Informationen über seine Daten keinen Kontrollverlust oder ist das von ihm angegebene Gefühl nach den gegebenen Umständen nicht begründet, so scheidet ein Schadensersatzanspruch aus. Ausgehend von diesen Grundsätzen ist dem Kl. ein immaterieller Schaden entstanden, der durch den Verstoß der Bekl. gegen die DS-GVO verursacht wurde. Der Kl. hat geltend gemacht, durch den Verstoß der Bekl. gegen die ihr obliegenden Pflichten seien ihm immaterielle Nachteile entstanden. In der Berufungsbegründung hat er unter Bezugnahme auf andere gerichtliche Entscheidungen darauf hingewiesen, dass ein "ungutes Gefühl", ein Ärgernis sowie subjektive Empfindlichkeiten und Gefühle wie "Genervtsein", "Ängste, Sorgen und Stress sowie Komfort- und Zeiteinbußen" einen immateriellen Schaden darstellten. Nachdem das Gericht ihn darauf hingewiesen hat, dass aus dieser Bezugnahme nicht ganz deutlich werde, ob und - wenn ja - inwiefern er selbst die dargestellten Befürchtungen hege bzw. Gefühle empfinde, hat der Kl. seine Auffassung dargelegt, ein bloßer Hinweis auf den erlittenen Kontrollverlust genüge. Denn dieser stelle nach dem Verständnis des Verordnungsgebers bereits den immateriellen Schaden dar. Diese - unzutreffende - Rechtsansicht, entbindet die Kammer nicht davon, den weiteren Tatsachenvortrag des Kl. zu den Folgen des Pflichtverstoßes zu berücksichtigen und im Hinblick auf den Eintritt eines immateriellen Schadens zu bewerten: Bei verständiger Würdigung ist sein erst- und zweitinstanzliches Vorbringen auch ohne nähere Erläuterung dahin zu verstehen, dass der Kl. den durch die fehlende Auskunft eingetretenen Kontrollverlust als Nachteil empfindet, weil er nicht weiß, ob mit seinen Daten "redlich" - also rechtmäßig - umgegangen wird. Er hat hierzu bereits in der Klageschrift ausgeführt, dass er von der Bekl. "vorsätzlich im Unwissen" über seine Daten gelassen worden sei und daher nicht wissen könne, welche seiner Daten wie genau verarbeitet würden. Die Bekl. zeige durch ihr Verhalten, dass ihr der "Datenschutz egal" sei. Ergänzende Rechte auf Berichtigung, auf Löschung und auf Einschränkung der Verarbeitung oder auf Widerspruch könne er daher nicht ausüben. Weiter hat er in seinem Schriftsatz v. 19.2.2024 dargelegt, dass es sich bei der Bekl. offenbar um eine "dubiose Immobilienfirma" handele, die "die Rechte betroffener Personen mit Füßen" trete. Hierdurch werde der von ihm "empfundene Kontrollverlust" "verstärkt und unterstrichen". Zudem sei er durch das intransparente Verhalten der Bekl. in erheblichem Maß genervt. Denn er müsse Zeit, Aufwand und Geld investieren, um die Erfüllung seines Auskunfts- und Grundrechts aus Art. 15 DS-GVO bzw. Art. 8 Abs. 2 S. 2 GRCh zu erreichen. Mit diesen Ausführungen hat der Kl. nach dem Verständnis der Kammer (auch) eigene negative Gefühle sowie seine Befürchtung zum Ausdruck gebracht, dass die Bekl. nicht nur seine Rechte aus Art. 15 DS-GVO verletzen, sondern auch sonst mit seinen Daten missbräuchlich umgehen könnte. Dass er diese Befürchtungen hegt, hat der Kl. iRd mündlichen Verhandlung v. 7.3.2024 bestätigt. Diese Befürchtungen und Gefühle erscheinen unter Berücksichtigung der gegebenen besonderen Umstände als begründet. Zum Ersatz dieses immateriellen Schadens hält die Kammer einen Betrag iHv 750 EUR für geboten, aber auch ausreichend. Die über diesen Betrag hinausgehende Berufung ist unbegründet und war daher durch Schlussurteil zurückzuweisen. Der Kl. hat die Bemessung der Höhe des immateriellen Schadensersatzes in das Ermessen des Gerichts gestellt, § 287 Abs. 1 S. 1 ZPO. Auf dieser Grundlage war über die Höhe des Schadens unter Würdigung aller Umstände nach freier Überzeugung des Gerichts zu entscheiden. Nach der ständigen Rspr. des EuGH ist es mangels einschlägiger unionsrechtlicher Vorschriften nach dem Grundsatz der Verfahrensautonomie Sache der innerstaatlichen Rechtsordnung jedes Mitgliedstaats, die Verfahrensmodalitäten für Klagen, die den Schutz der dem Einzelnen aus dem Unionsrecht erwachsenden Rechte gewährleisten sollen, zu regeln, wobei die betreffenden Anforderungen jedoch nicht ungünstiger sein dürfen als diejenigen, die gleichartige, dem innerstaatlichen Recht unterliegende Sachverhalte regeln (Äquivalenzgrundsatz), und die Ausübung der durch das Unionsrecht verliehenen Rechte nicht praktisch unmöglich machen oder übermäßig erschweren dürfen (sog. Effektivitätsgrundsatz). Dies führt im Streitfall mangels einschlägiger unionsrechtlicher Vorschriften zur Anwendbarkeit von § 287 Abs. 1 S. 1 ZPO. Denn Art. 82 DS-GVO selbst regelt keine Verfahrensmodalitäten zur Durchsetzung des Schadensersatzanspruchs. Dabei hat die Kammer berücksichtigt, dass der europäische Verordnungsgeber das verletzte Recht auf Auskunftserteilung, wie sich insbesondere aus der Aufnahme des Art. 15 DS-GVO in den Katalog des Art. 83 Abs. 5 DS-GVO zeigt, per se als bedeutsam bewertet hat. |
| NEU LAG Baden-Württemberg Urt. v. 5.3.2024 – 15 Sa 45/23 = ZD 2025, 51 | 0 EUR Auch aus Art. 82 DS-GVO ergibt sich kein Anspruch des Kl. auf Schadensersatz gegen die Bekl. Weder würde sie für die von Herrn E. verursachten Schäden haften, falls ersatzfähige Schäden entstanden wären, noch hat der Kl. hier einen in Geld zu ersetzenden Schaden erlitten. Ein Verstoß gegen die DS-GVO liegt vor, wenn Daten einer Person ohne Rechtfertigung verarbeitet werden. Es kann hier unterstellt werden, dass diese Voraussetzung gegeben war, indem der Kl. in Ton und Bild erkennbar gefilmt und der Film gespeichert wurde. Ein der Haftung entgegenstehender Umstand iSv Art. 6 DS-GVO ist nicht zu verzeichnen, da weder ein Rechtfertigungsgrund, noch eine Einwilligung des Kl. vorlag. Für die weitere Prüfung unterstellt werden kann außerdem, dass die Bekl. die Verantwortliche iSv Art. 82 Abs. 1 DS-GVO war, da sich dies im Ergebnis nicht entscheidungserheblich auswirkt. Denn jedenfalls zwei weitere Voraussetzungen für eine Haftung der Bekl. auf Schadensersatz sind nicht erfüllt, die beide notwendig wären. Zum einen fehlt es an der notwendigen Beteiligung der Bekl. an dem Verstoß gegen die DS-GVO. Der EuGH hat den Wortlaut von Art. 82 Abs. 2 DS-GVO in der deutschen Sprachfassung dahin beurteilt, dass sich allein aus ihm nicht mit Sicherheit klären lasse, ob der fragliche Verstoß dem Verantwortlichen zuzurechnen sein müsse, damit dieser haftbar sei. Jedoch aus einer Analyse der spanischen, estnischen, griechischen, italienischen und rumänischen Sprachfassungen des Art. 82 Abs. 2 S. 1 DS-GVO leitet der EuGH ab, dass davon ausgegangen werde, dass der Verantwortliche an dem Verstoß, um den es geht, beteiligt gewesen sei. Art. 82 Abs. 3 DS-GVO stelle, so betrachtet, klar, dass der Verantwortliche von der Haftung gem. Abs. 2 befreit werde, wenn er nachweise, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten sei, verantwortlich sei. Einer kombinierten Analyse dieser verschiedenen Bestimmungen von Art. 82 DS-GVO sei somit zu entnehmen, dass dieser Artikel ein Haftungsregime für Verschulden vorsehe, bei dem die Beweislast nicht der Person obliege, der ein Schaden entstanden sei, sondern dem Verantwortlichen. Er müsse nachweisen, dass die Handlung, die den Schaden verursacht habe, ihm nicht zurechenbar sei. Hier geht die Berufungskammer auf der Basis des unstreitigen Sachverhalts davon aus, dass die Bekl. in keinerlei Weise für den Umstand der Entstehung und Speicherung der hier betroffenen Videoaufnahme des Kl. verantwortlich war. Diese Erwägungen sind auf die hier in Rede stehende datenschutzrechtliche Verantwortlichkeit übertragbar und stehen der erforderlichen Zurechenbarkeit der Handlung des Herrn E. zu der Bekl. entgehen. Unabhängig davon fehlt es für einen Ersatzanspruch aus Art. 82 DS-GVO am nötigen Schaden. Der Kl. verlangt keinen Ersatz für einen ihm etwa entstandenen materiellen Verlust und auch nicht für eine Verletzung seiner Gesundheit. Es geht ihm ausschließlich um einen aus seiner Sicht entstandenen immateriellen Schaden. Ein solcher wurde von ihm aber nicht hinreichend dargelegt und ist auch nicht aus den Umständen erkennbar. Der bloße Verstoß gegen die DS-GVO reicht nicht aus, um einen Schadensersatzanspruch zu begründen. Das Vorliegen eines „Schadens“ stellt nämlich eine der Voraussetzungen für den in Art. 82 Abs. 1 DS-GVO vorgesehenen Schadensersatzanspruch dar, ebenso wie das Vorliegen eines Verstoßes gegen die DS-GVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind. Speziell in Bezug auf immaterielle Schäden hat der EuGH, dem die Berufungskammer auch hierin folgt, entschieden, dass Art. 82 Abs. 1 DS-GVO einer nationalen Vorschrift oder Praxis entgegensteht, die den Ersatz des immateriellen Schadens iSd Bestimmung davon abhängig macht, dass der der betroffenen Person iSv Art. 4 Nr. 1 DS-GVO entstandene Schaden eine gewisse Schwere erreicht hat. Eine Person, die von einem Verstoß gegen die DS-GVO betroffen ist, muss jedoch den Nachweis erbringen, dass diese Folgen einen immateriellen Schaden iSv Art. 82 DS-GVO darstellen, da der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadensersatzanspruch zu begründen. Angesichts dessen, dass Art. 82 Abs. 1 DS-GVO nicht auf das innerstaatliche Recht der Mitgliedsstaaten verweist, muss der Begriff „immaterieller Schaden“ im Sinne dieser Bestimmung eine autonome und einheitliche unionsrechtliche Definition erhalten. Nicht nur aus dem Wortlaut von Art. 82 Abs. 1 DS-GVO im Licht von Erwägungsgrund 85 und 146 DS-GVO, wonach der Begriff „immaterieller Schaden“ iSv Art. 82 Abs. 1 weit zu verstehen ist, sondern auch aus dem mit der DS-GVO verfolgten Ziel der Gewährleistung eines einheitlichen Schutzniveaus für natürliche Personen bei der Verarbeitung personenbezogener Daten ergibt sich, dass die durch einen Verstoß gegen die DS-GVO ausgelöste Befürchtung einer betroffenen Person, ihre personenbezogenen Daten könnten von Dritten missbräuchlich verwendet werden, für sich genommen einen „immateriellen Schaden“ iSv Art. 82 Abs. 1 DS-GVO darstellen kann. Überdies kann die betroffene Person durch den kurzfristigen Verlust der Kontrolle über personenbezogene Daten einen „immateriellen Schaden“ iSv Art. 82 Abs. 1 DS-GVO erleiden, der einen Schadensersatzanspruch begründet, sofern diese Person nachweist, dass sie tatsächlich einen solchen Schaden - so geringfügig er auch sein mag - erlitten hat, wobei der bloße Verstoß gegen die Bestimmungen der DS-GVO nicht ausreicht, um auf dieser Grundlage einen Schadensersatzanspruch zu begründen. Der Begriff „immaterieller Schaden“ iSd Art. 82 Abs. 1 DS-GVO umfasst eine Situation, in der die betroffene Person die begründete Befürchtung hegt (was zu prüfen Sache des angerufenen nationalen Gerichts ist), dass einige ihrer personenbezogenen Daten künftig von Dritten weiterverbreitet oder missbräuchlich verwendet werden, weil ein Dokument, das diese Daten enthält, an einen unbefugten Dritten weitergegeben wurde, der in der Lage war, vor der Rückgabe des Dokuments Kopien von ihm anzufertigen. Gleichwohl obliegt es demjenigen, der eine auf Art. 82 DS-GVO gestützte Schadensersatzklage erhebt, das Vorliegen eines solchen Schadens nachzuweisen. Insb. kann ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten nicht zu einer Entschädigung führen. Dies ist der Fall, wenn kein Dritter die fraglichen personenbezogenen Daten zur Kenntnis genommen hat. Dies zugrundegelegt stellt allein der Kontrollverlust über Daten - hier in Gestalt der Filmaufnahme, von dessen Existenz der Kl. nichts wusste und für die er deshalb nicht kontrollieren konnte, wer sie etwa angesehen, kopiert oder weiterverbreitet hat - nicht selbst und gleichsam automatisch einen Schaden dar. Denn der Kontrollverlust ist nicht gleichbedeutend mit einem Schaden. Vielmehr „kann“ er - so die zitierten Ausführungen des EuGH - einen immateriellen Schaden bewirken. Er muss aber nicht in jedem Fall einen immateriellen Schaden bewirken. Ein immaterieller Schaden ist erst eingetreten, wenn die Befürchtung, dass Daten weiterverbreitet wurden und missbräuchlich verwendet wurden oder werden, objektiv begründet ist. Dafür ist aber der Anspruchsteller darlegungs- und beweisbelastet. Hier hat der Kl. keine hinreichenden Anhaltspunkte für eine derartige Gefahr vorgetragen, und auch objektiv gibt es keine derartigen Anhaltspunkte. Ein - bereits in der Vergangenheit liegender - Missbrauch der Aufnahmen hat weder unstreitig stattgefunden, noch hat der Kl. einen solchen konkret behauptet. Es besteht nach dem gesamten Geschehensablauf auch keine tatsächliche Vermutung dafür. Die Zahl derjenigen Personen, die in Kontakt mit der Filmaufnahme kamen, ist klein. Außer den unmittelbar betroffenen drei Arbeitnehmern und den seitens der Bekl. mit der Aufarbeitung befassten zwei Geschäftsführern sowie der Personalleiterin gehört dazu nur noch der Arbeitnehmer, der den Film später auf der Kamera entdeckt hat. Weder gibt es Anhaltspunkte dafür, dass Herr E. sich den Film heimlich angesehen hätte, noch gibt es Anhaltspunkte dafür, dass derjenige Arbeitnehmer, der den Film später auf der Kamera entdeckt hat, sich ihn „zum Vergnügen“ angesehen hätte (und nicht nur bis zu dem Punkt, an dem er entschied, den Vorgang zu melden), noch gibt es Anhaltspunkte dafür, dass Herr E. oder der andere Arbeitnehmer oder jemand aus der Personalabteilung oder der Geschäftsführung der Bekl. den Film zu einem anderen Zweck als dem, zu entscheiden, wie in dem Konflikt vorgegangen werden sollte, angeschaut hätte oder den Film gar verbreitet hätte. Auch für die Zukunft gibt es objektiv keinen Anlass zu der Befürchtung einer Weiterverbreitung oder eines Missbrauchs. Entsprechende Befürchtungen des Kl. wären, wenn er sie hegen sollte, objektiv unbegründet. Sein Ärger und sein Gefühl der Beklemmung und/oder des Unwohlseins über die unerkannte und unerwünschte Videoaufnahme sind sehr verständlich und sehr nachvollziehbar. Dieser Ärger und / oder dieses Gefühl bilden jedoch keinen in Geld ersatzfähigen Schaden iSv Art. 82 DS-GVO. Somit hat der Kl. keine Umstände dargelegt, die im Ergebnis zu dem erforderlichen „Nachweis“ eines immateriellen Schadens führen könnten, und ein solcher Schaden folgt auch nicht aus dem unstreitigen Sachverhalt. |
| LAG Rheinland-Pfalz Urt. v. 8.2.2024 – 5 Sa 154/23 = ZD 2024, 593 | 0 EUR Die Kl. hat keinen Anspruch auf immateriellen Schadensersatz nach Art. 82 Abs. 1 DS-GVO, weil die Bekl. ihrem Auskunftsverlangen nach Art. 15 Abs. 1 DS-GVO nicht innerhalb der Monatsfrist des Art. 12 Abs. 3 S. 1 DS-GVO nachgekommen ist. Ein Schadensersatzanspruch folgt auch nicht daraus, dass die Bekl. der Kl. die nach § 15 Abs. 3 S. 1 DS-GVO geforderte Datenkopie nicht bereits mit ihrer Auskunft zur Verfügung gestellt hat. Die nicht fristgerechte Auskunftserteilung allein, führt zu keinem immateriellen Schadensersatzanspruch. Die Berufungskammer teilt die Rechtsansicht anderer Landesarbeitsgerichte, dass der bloße Verstoß gegen die Vorgaben der DS-GVO nicht genügt, um einen Schadensersatzanspruch gem. Art. 82 Abs. 1 DS-GVO zu begründen. Dafür spricht der Wortlaut des Art. 82 Abs. 1 DS-GVO, wonach Personen, denen materieller oder immaterieller „Schaden“ entstanden ist, Anspruch auf Schadensersatz haben. Zwar soll nach Erwägungsgrund 146 S. 3 DS-GVO der Begriff des Schadens im Lichte der Rspr. des EuGH auf eine Art und Weise weit ausgelegt werden, die den Zielen der DS-GVO in vollem Umfang entspricht. Ein weites Verständnis des Schadensbegriffs bedeutet aber nicht, dass vom Vorliegen eines konkreten Schadens gänzlich abzusehen ist. Verspätete Auskünfte an eine Person gem. Art. 15 Abs. 1 DS-GVO als solche sind somit nicht haftungsauslösend. Der von der Kl. angeführte „Kontrollverlust“ über ihre personenbezogenen Daten stellt keinen ersatzfähigen immateriellen Schaden dar Im Streitfall ist zudem nicht erkennbar, worin der „Kontrollverlust“ der Kl. bestanden haben soll. Die Bekl. weist zutreffend darauf hin, dass die Daten der Kl. nicht „außer Kontrolle“ geraten seien, sondern für Zwecke des Beschäftigungsverhältnisses verarbeitet wurden, § 26 BDSG. Hierauf kann sich die Bekl. – entgegen der Ansicht der Kl. – im Berufungsverfahren berufen. Die Rüge einer „Verspätung möglicher Verteidigungshandlungen“ ist rechtlich nicht tragfähig. Es stellt auch keinen ersatzfähigen immateriellen Schaden dar, dass sich die Kl. über die nicht fristgerechte Antwort der Bekl. auf ihr Auskunftsverlangen geärgert hat. „Bloßer Ärger“ des Betroffenen genügt genauso wenig wie das „bloße Warten“ auf die Auskunft, um einen immateriellen Schaden annehmen zu können. Dieses Auslegungsergebnis steht im Einklang mit der Rspr. des EuGH, der in seinem Urt. v. 4.5.2023 - C-300/21 [= ZD 2023, 446 mAnm Mekat/Ligocki - Österreichische Post) betont hat, dass ein Schadensersatzanspruch das Vorliegen eines „Schadens“ erfordere. Der bloße Verstoß gegen die DS-GVO reiche daher nicht aus, um einen Schadensersatzanspruch der betroffenen Person zu begründen. Ein Schadensersatzanspruch hänge zwar nicht davon ab, dass der betreffende Schaden eine gewisse Erheblichkeit erreiche. Das bedeute allerdings nicht, dass eine Person, die von einem Verstoß gegen die DS-GVO betroffen sei, der für sie negative Folgen gehabt habe, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden iSv Art. 82 DS-GVO darstellen. Im Streitfall ist es der Kl. nicht gelungen, einen durch die verzögerte Auskunftserteilung entstandenen immateriellen Schaden iSd Norm darzulegen. Die Kl. macht geltend, dass das Arbeitsverhältnis seit Jahren belastet sei; sie bezieht sich auf ihre Ausführungen im weiteren Rechtsstreit ArbG Mainz Urt. v. 1.6.2023 - 6 Ca 738/22 - (LAG Rheinland-Pfalz Urt. v. 8.2.2024 - 5 Sa 155/23). Dort verlangt sie von der Bekl. u.a. ein angemessenes Schmerzensgeld von mind. 30.000 EUR wegen Benachteiligung und Mobbings. Die um 18 Tage verspätete Antwort der Bekl. auf ihr Auskunftsbegehren betrachtet die Kl. als einen weiteren „Baustein“, um sie in ihrer Ehre und ihrer Persönlichkeit zu verletzen. Die Bekl. habe ihr das „klare Signal“ übermittelt, dass man sich mit ihren Anliegen nicht beschäftige, und wenn, nur unzureichend, unvollständig und nicht fristgerecht. Damit hat die Kl. keinen kausalen Schaden durch die verspätete Auskunftserteilung dargelegt. Dasselbe gilt, soweit sie auf die zwei Abmahnungen der Bekl. mit Datum v. 29.6.2022 abhebt. Es ist objektiv nicht nachvollziehbar, weshalb die nach Art. 12 Abs. 3 S. 1 DS-GVO um 18 Tage verspätete Antwort der Bekl. auf ein Auskunftsbegehren, das sich im reinen Wortlaut des Art. 15 Abs. 1 Hs. 2 DS-GVO erschöpfte, zu einer „Demütigung “ der Kl. geführt haben könnte. Auch eine Verletzung der Ehre oder des Persönlichkeitsrechts der Kl. ist bei der gebotenen objektiven Betrachtungsweise, dh ohne Rücksicht auf das subjektive Empfinden der Kl., nicht erkennbar. Soweit die Kl. geltend macht, sie sei wegen der psychischen Belastung, ausgelöst durch die nicht fristgerechte Auskunft der Bekl., in der Zeit v. 12.7. bis 14.9.2002 arbeitsunfähig erkrankt, ist ein Kausalzusammenhang nicht gegeben. Die Bekl. ist nicht zum Schadensersatz verpflichtet, weil sie der Kl. nicht bereits mit der erteilten Auskunft v. 30.8.2022 die geforderte Datenkopie nach Art. 15 Abs. 3 S. 1 DS-GVO zur Verfügung gestellt hat. Es fehlt bereits an einer Pflichtverletzung der Bekl. Die Kl. hat sich in ihrem schriftlichen Auskunftsbegehren v. 13.7.2022 auf eine bloße Wiederholung des Normwortlauts des Art. 15 Abs. 1 Hs. 2 DS-GVO beschränkt. Ansonsten hat sie – unbestimmt – verlangt, ihr eine Kopie ihrer personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung zu stellen. Dies genügt für einen Anspruch aus Art. 15 Abs. 3 S. 1 DS-GVO grds. nicht. Die bloße Wiederholung des Wortlauts der Norm lässt nicht erkennen, von welchen personenbezogenen Daten eine Kopie verlangt wird. Erst wenn die geforderte Auskunft vorliegt, kann die betroffene Person beschreiben, von welchen konkret verarbeiteten personenbezogenen Daten eine Kopie verlangt wird. |
| Arbeitsgerichte | |
| NEU ArbG Bonn Urt. v. 20.11.2024 - 5 Ca 663/24 = ZD 2025, 176 mAnm Stück | 0 EUR Dem Kl. steht gegen den Bekl. auch kein Schadensersatzanspruch aus Art. 82 Abs. 1 DS-GVO zu. Die konkret dargelegte Datenweitergabe war unter Berücksichtigung der Ausführungen unter a) (2) – (8) gem. Art. 6 Abs. 1 S. 1 lit. b, f DS-GVO bzw. § 26 Abs. 1 S. 1 BDSG rechtmäßig, um dem Arbeitgeber eine möglichst aussagekräftige Basis zur Prüfung der Beschwerde gem. § 13 Abs. 1 AGG, § 84 Abs. 1 BetrVG zu verschaffen. Es fehlt an einem Verstoß des Bekl. gegen die DS-GVO. In den Anwendungsbereich von Art. 6 Abs. 1 lit. b DS-GVO fällt auch die Datenweitergabe zur Abwicklung und Beendigung eines Vertrags, hier in Form des Arbeitsvertrags des Kl. und von Frau N. zur Prüfung etwaiger Abhilfemaßnahmen insb. nach dem AGG durch den Arbeitgeber. Es ist zumindest angesichts des Bestreitens des Bekl. und seines Sachvortrags von dem Kl. nicht konkret vorgetragen und auch nicht unter Beweis gestellt worden, dass höchstpersönliche Daten aus seinem Intimbereich, die für eine Prüfung der Beschwerde irrelevant gewesen wären, anlasslos an die Personalabteilung weitergeleitet worden wären. Überdies hat der Kl. nicht dargelegt und auch nicht unter Beweis gestellt, dass der Bekl. bei der Weiterleitung an die Personalabteilung nicht in seiner Funktion als Betriebsratsmitglied gem. § 84 Abs. 1 S. 2 BetrVG gehandelt hätte, womit er gem. § 79a S. 2 BetrVG ohnehin nicht persönlich ggü. dem Kl. für die Einhaltung des Datenschutzrechts gehaftet hätte. Gemäß § 79a S. 2 BetrVG ist der Arbeitgeber der für die Verarbeitung Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften, soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet. Die Vorschrift privilegiert auch einzelne Betriebsratsmitglieder datenschutzrechtlich, soweit sie – wie hier der Bekl. gem. § 84 Abs. 1 S. 2 BetrVG – in Wahrnehmung des Betriebsratsamtes handeln. Der Anspruch aus Art. 82 Abs. 1 DS-GVO richtete sich, wenn er dem Grunde nach überhaupt bestanden hätte, gegen den Verantwortlichen oder den Auftragsverarbeiter, nach der gesetzlichen Zuweisung des § 79a BetrVG also gegen den Arbeitgeber. |
| NEU ArbG Duisburg Urt. v. 26.9.2024 - 3 Ca 77/24 | 10.000 EUR Der Kl. hat gegen die Bekl. einen Anspruch auf Entschädigung nach Art. 82 Abs. 1 DS-GVO in ausgeurteilter Höhe. Der Kl. ist für den geltend gemachten Anspruch aktivlegitimiert. Denn anspruchsberechtigt ist nach Art. 82 Abs. 1 DS-GVO jede Person, der wegen eines Verstoßes gegen die DS-GVO ein Schaden entstanden ist. Die Bekl. ist als Verantwortliche iSv Art. 4 Nr. 7 DS-GVO passivlegitimiert iSv 82 Abs. 1 DS-GVO. Es liegt auch ein Verstoß gegen die DS-GVO iSv Art. 82 Abs. 1 DS-GVO vor. Als Verstoß kommen materielle und formelle Verstöße in Betracht. Nach Wortlaut und Zielrichtung der Norm muss kein Verstoß gegen in der DS-GVO geregelte Datenschutzbestimmungen vorliegen; es genügt vielmehr ein Verstoß gegen die Verordnung selbst. Im Hinblick auf Erwägungsgrund 146 S. 1 zur DS-GVO muss allerdings bei einer Verarbeitung gegen die DS-GVO verstoßen worden sein. Die Beweislast für einen solchen Verstoß obliegt grds. dem Anspruchsteller, wobei die allgemeine Rechenschaftspflicht nach Art. 5 Abs. 2 DS-GVO zu Erleichterungen führen kann. Es liegt ein Verstoß gegen Art. 5 Abs. 1 lit. a DS-GVO vor. Danach müssen personenbezogene Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden. Die Verarbeitung der personenbezogenen Daten des Kl. über seinen aktuellen Gesundheitszustand, die in ihrem Versand als E-Mail an deren Empfänger zu erblicken ist, und damit ihre Offenlegung ggü. Dritten, war rechtswidrig. Denn die Verarbeitung ist nach Art. 6 Abs. 1 UAbs. 1 DS-GVO nur rechtmäßig, wenn mindestens eine der dort genannten Bedingungen erfüllt ist. Dies ist hier nicht ersichtlich. Weder lag eine Einwilligung des Kl. iSv Art. 6 Abs. 1 UAbs. 1 lit. a DS-GVO vor, noch war die Verarbeitung in Gestalt der Übermittlung als E-Mail für einen der in Art. 6 Abs. 1 UAbs. 1 lit. b bis f DS-GVO genannten Zwecke erforderlich. Eine Einwilligung des Kl. war insb. nicht in seiner eigenen E-Mail vom 11.5.2023 an einen ausgewählten Personenkreis zu sehen. Selbst wenn der vom Kl. gewählte Adressatenkreis in Teilen dem von der Bekl. gewählten Adressatenkreis in ihrem Schreiben vom 11.6.2023 entsprach, lag hierin unter keinen Umständen eine Einwilligung des Kl. ggü. der Bekl., Daten über seinen Gesundheitszustand zu versenden, und zwar weder ausdrücklich noch konkludent. Zudem liegt ein Verstoß gegen Art. 9 Abs. 1 DS-GVO vor. Nach dieser Vorschrift ist die Verarbeitung von Gesundheitsdaten untersagt, sofern nicht eine Ausnahme nach Art. 9 Abs. 2 DS-GVO vorliegt. Gemäß Erwägungsgrund 35 S. 1 zur DS-GVO sollen hierzu alle Daten gehören, die sich auf den Gesundheitszustand der betroffenen Person beziehen und aus denen Informationen über den früheren, gegenwärtigen und künftigen körperlichen oder geistigen Gesundheitszustand hervorgehen. Anknüpfungspunkt ist damit der Gesundheitszustand, nicht aber die Krankheit einer Person, weshalb auch die Feststellung, dass eine Person genesen oder überhaupt völlig gesund ist, vom Begriff der Gesundheitsdaten erfasst wird. Gesundheitsdaten sind hier die Informationen über den Zeitpunkt der andauernden Krankheit des Kl. sowie deren Ursachenzusammenhang in Bezug auf den geschilderten Konflikt mit dem geschäftsführenden Präsidium sowie die mittelbare Schlussfolgerung der Bekl., dass eine tatsächliche Arbeitsunfähigkeit nicht vorliege. Eine Ausnahme iSv Art. 9 Abs. 2 DS-GVO greift vorliegend nicht ein. Weder lag eine Einwilligung des Kl. iSv Art. 9 Abs. 2 lit. a DS-GVO vor, noch war die Verarbeitung in Gestalt der Übermittlung als Anhang zu der E-Mail für einen der in Art. 9 Abs. 2 lit. b bis j DS-GVO genannten Zwecke erforderlich. Der Kl. hat auch einen immateriellen Schaden iSv Art. 82 Abs. 1 DS-GVO erlitten. Der Begriff des immateriellen Schadens iSv Art. 82 Abs. 1 DS-GVO ist - europarechtlich autonom und unter Berücksichtigung der in den Erwägungsgründen zur DS-GVO niedergelegten Zielsetzungen - weit auszulegen. Der immaterielle Schaden braucht keine Erheblichkeitsgrenze zu erreichen, es muss jedoch ein über die Verletzung eines Rechts aus der DS-GVO vorliegender Schaden immaterieller Art dargelegt werden, der auf der Rechtsverletzung beruht. Auch ein immaterieller Schaden muss daher konkret dargelegt werden. Vorliegend liegt der immaterielle Schaden des Kl. darin begründet, dass sämtliche knapp 10.000 Mitglieder des X. e. V. von seiner Erkrankung, der Dauer seiner Erkrankung sowie des vermeintlichen Vortäuschens seiner Erkrankung Ende 2022 Kenntnis erlangt haben und ihn sogar in seiner Freizeit auf die Vorgänge ansprechen. Dadurch wurde seine Reputation beschädigt, sein Ruf geschwächt. Zum Ersatz dieses immateriellen Schadens hält die Kammer einen Betrag iHv 10.000 EUR für geboten: Art. 82 I DS-GVO ist nach Auffassung des EuGH unter Anwendung der geltenden Auslegungsgrundsätze dahin auszulegen, dass der in dieser Bestimmung vorgesehene Schadensersatzanspruch eine Ausgleichsfunktion hat, die eine auf diese Bestimmung gestützte Entschädigung in Geld ermöglichen soll, den konkret aufgrund des Verstoßes gegen diese Verordnung erlittenen Schaden vollständig auszugleichen, und keine abschreckende oder Straffunktion erfüllt. Vor diesem Hintergrund hält die erkennende Kammer eine Entschädigung in Höhe von 10.000 EUR für angemessen, aber auch ausreichend. Dabei hat die Kammer berücksichtigt, dass der europäische Verordnungsgeber das verletzte Recht als bedeutsam einordnet, was sich an der Zuordnung der Gesundheitsdaten zu den besonders sensiblen Daten in Art. 9 DS-GVO zeigt. Da keine abschreckende Funktion oder Straffunktion zu erfüllen ist, knüpft die Kammer den Betrag an das Ausmaß der Beeinträchtigung, nämlich die Kenntnisnahme von knapp 10.000 Vereinsmitgliedern an. Unberücksichtigt hat das Gericht den vorangegangenen Konflikt bzw. die Korrespondenz zwischen dem Kl. und der Bekl. als Präsidentin des X. e. V. gelassen. Denn dieser Umstand spielt für die Frage nach der Höhe des Entschädigungsanspruchs keine Rolle, sondern war bei der Frage relevant, ob der Kl. in die Verbreitung seiner Daten eingewilligt hat (was er nicht hat, siehe oben). Art. 82 Abs. 3 DS-GVO stellt, so betrachtet, klar, dass der Verantwortliche von der Haftung gem. Abs. 2 befreit wird, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. Ein entsprechender Nachweis wurde hier von der Bekl. nicht geführt. |
| NEU ArbG Augsburg Endurt. v. 27.6.2024 - 18 C 3234/23 | 0 EUR Dem Kl. stehen die geltend gemachten Ansprüche (Feststellung Erledigung, Entschädigung, vorgerichtliche Anwaltskosten) gegen die Bekl. nicht zu. Dem steht der allgemeine unionsrechtliche Missbrauchsvorbehalt entgegen. Das Gericht ist davon überzeugt, dass der Kl. sich allein zu dem Zweck auf den verschiedenen Newslettern angemeldet hat, in der Hoffnung, dass seine Auskunftsverlangen nach Art. 15 DS-GVO nicht ordnungsgemäß beantwortet werden, damit er anschließend Schadensersatz gem. Art. 82 Abs. 1 DS-GVO geltend machen kann. Einziges Motiv des Kl. war, sich eine Einnahmequelle zu schaffen. Dies ist rechtsmissbräuchlich. Der Kl. hat nicht lediglich legitime, datenschutzfremde Zwecke verfolgt, sondern ausschließlich illegitime und missbilligenswerte Zwecke. Die Überzeugung des Gerichts gründet sich zum einen auf die Anzahl der Newsletteranmeldungen im Zeitraum von Ende 2022 bis Oktober 2023. Die Beklagtenvertreterin hat insoweit 66 Fälle recherchiert in der sie und Kollegen Betroffene ggü. dem Kl. vertreten und in denen insgesamt 159.500 EUR Schadensersatz gefordert wurde. 5 Kollegen hätten ihr von 110 weiteren Fällen berichtet in denen Betroffene sich wegen des Kl. an Sie gewendet hätten. Berücksichtigt man, dass die Mehrzahl der Auskunftsverlangen ohne anwaltliche Hilfe ordnungsgemäß beantwortet wird, wird deutlich, dass der Kl. in hunderten von Fällen sich auf Newslettern angemeldet und Auskunftsverlangen gestellt haben muss. Die Betroffenen sind in so unterschiedlichen Bereichen tätig wie Kosmetik, Deko, Dartpfeile, Fitnessstudios, Fotoausrüstung, Wohnaccessoires, Küchengeräte, Tapeten und Bodenbeläge, Bistro und Weinbau, Metzgerei/Fischverkauf, Magierschule, Bitcoin, Plattform für klinische Studien, Bio Mode für Piloten, Fotoprodukte für Kinder...Auch einen dörflichen Fußballverein der Breitensport betreibt und 500 km vom Wohnort des Kl. entfernt liegt wurde angeschrieben zur Auskunft aufgefordert und erhielt anschließend ein Anwaltsschreiben. Die Anzahl der Newsletteranmeldungen iVm den völlig unterschiedlichen Tätigkeitsbereichen der Betroffenen zeigt dem Gericht, dass nicht das Interesse am Inhalt der Newsletter der Grund für die Anmeldung für den Kl. war. Dem Gericht ist bei der Vorbereitung auf die Terminierung ein Widerspruch aufgefallen: Warum meldet sich der nach eigenem Vortrag sehr datenschutzsensible Kl., der bei nicht ordnungsgemäßer Erfüllung seines Auskunftsverlangens Angst, Sorgen und emotionales Ungemach empfindet, immer wieder auf Newslettern an, obwohl er doch weiß, dass zum Teil seinen Auskunftsverlangen nicht ordnungsgemäß nachgekommen wird? Nachdem das Gericht davon ausgeht dass der Kl. kein Masochist ist, ergibt dieses Verhalten aber dann Sinn, wenn es dem Kl. darauf ankommt Geld zu verdienen und er hierfür Angst, Sorgen und emotionales Ungemach in Kauf nimmt. Um diesen Widerspruch aufzuklären hat das Gericht das persönliche Erscheinen des Kl. zur mündlichen Verhandlung angeordnet und den Kl. in der Ladung auch darauf hingewiesen, dass die persönliche Anhörung dazu dient die vorgetragene Datenschutzsensibilität und die Ängste und Sorgen die der Kl. empfunden haben will zu überprüfen. Im Termin zur mündlichen Verhandlung ist der Kl. unentschuldigt nicht erschienen. Der Klägervertreter konnte lediglich hierzu angeben, dass „sein Mandant nicht erscheinen wird ". Ein möglicher, plausibler Grund für das Nichterscheinen einer Partei trotz der Anordnung des persönlichen Erscheinens ist immer, dass diese ein schlechtes Gewissen hat. Die aufgrund des Akteninhalts zunächst vorläufige Überzeugung des Gerichts von der rechtsmissbräuchlichen Motivation des Kl. hat sich zur endgültigen Überzeugung verfestigt. Die Beschwerde des Klägervertreters bei der Datenschutzbehörde vom 31.07.2023 steht der Annahme eines Rechtsmissbrauchs nicht entgegen. Zwar ist diese Tätigkeit lediglich mit Anwaltskosten, nicht aber mit einem unmittelbaren Entschädigungsanspruch des Kl. verbunden. Auffallend ist jedoch, dass die Beschwerde erst eine Woche vor Klageerhebung erhoben wurde. Es liegt nahe, dass die Beschwerde somit aus taktischen Gründen erhoben wurde um die Erfolgsaussichten der Klage zu erhöhen. Die Frist des Art. 12 Abs. 4 DS-GVO steht dem Einwand des Rechtsmissbrauchs nicht entgegen. Diese Frist bezieht sich lediglich auf die in Art. 12 Abs. 5 genannten Gründe, nicht aber auf den allgemeinen Missbrauchstatbestand. |
| NEU ArbG Hannover Urt. v. 30.5.2024 – 2 Ca 325/23 = ZD 2024, 705 | 0 EUR Der Kl. hat keinen Anspruch auf Zahlung eines Schadensersatzes von mindestens 2.000 EUR. Die Voraussetzungen des Art. 82 Abs. 1 DS-GVO liegen nicht vor. Zwar hat die Bekl. gegen die in Art. 15 DS-GVO geregelten Auskunftspflichten verstoßen. Allerdings hat der Kl. keinen (immateriellen) Schaden als Folge der Verletzungshandlung dargelegt. Es kann bereits dahingestellt bleiben, ob in einer verspäteten Übermittlung der Datenkopien am 2.11.2023 ein Verstoß gegen die Datenschutzgrundverordnung seitens der Bekl. vorliegt. In Ansehung des Vortrags des Kl. fehlt es an einem durch die verspätete Auskunftserteilung eingetretenen immateriellen Schaden. Die Bekl. könnte mit einer verspäteten Übersendung von Datenkopien ergänzend zur Auskunft gegen Art. 15 Abs. 3 iVm Art. 12 Abs. 1 und Abs. 3 DS-GVO verstoßen haben. Es kann aufgrund der nachfolgenden Erwägungen dahinstehen, inwiefern die Erteilung von Datenkopien bereits Teil des datenschutzrechtlichen Auskunftsanspruchs ist oder eine davon losgelöste Anspruchsgrundlage darstellt. In Ansehung des Vortrags des Kl. hat dieser durch die Verletzung der Vorschriften der DS-GVO keinen immateriellen Schaden erlitten. Eine Person, die von einem Verstoß gegen die DS-GVO betroffen ist, der für sie nachteilige Folgen gehabt hat, muss den Nachweis erbringen, dass diese Folgen einen immateriellen Schaden iSv Art. 82 DS-GVO darstellen. Der bloße Verstoß gegen die Bestimmungen der Verordnung reicht nicht aus, um einen Schadensersatzanspruch zu begründen. Dabei kommt es nicht auf die Erheblichkeit des Schadens an. Der Eintritt des Schadens muss nach allgemeinen Grundsätzen (§ 287 ZPO) als überwiegend wahrscheinlich dargetan werden. Die Ausführungen eines Betroffenen zum Schaden müssen über eine bloße Leerformel hinausgehen und eine inhaltliche Substanz aufweisen. Ein Kontrollverlust kann einen immateriellen Schaden grds. begründen. Dies ergibt sich grds. aus Erwägungsgrund 75 und 85 DS-GVO. Art. 82 Abs. 1 DS-GVO enthält jedoch keine Vermutung dahingehend, dass der mit einem Verstoß gegen die Datenschutzgrundverordnung einhergehende Kontrollverlust über die eigenen Daten als solcher bereits zu einem ersatzfähigen immateriellen Schaden führt. Vielmehr ist prozessual ohne Pauschalbehauptungen und Allgemeinplätze, nachvollziehbar zu begründen, worin der immaterielle Schaden bestehen soll. Soll der behauptete Schaden in einem „Regelschaden“ des Kontrollverlustes bestehen, ist über das Regelhafte hinaus gleichwohl individuell zu begründen, welchen konkreten Kontrollverlust der Betroffene befürchtet. Anderenfalls bliebe es bei bloßen Leerformeln. Der Kl. hat keinen Schaden durch Kontrollverlust über die Verwendung einer Daten erlitten. Ein solcher müsste sich von der bloßen Verletzung der Bestimmungen der DS-GVO unterscheiden. Bei diesen Ausführungen des Kl. zum „Kontrollverlust“ handelt es sich um bloße Leerformelen ohne inhaltliche Substanz, welche nicht die Anforderungen an eine Darlegung eines auch nur geringfügigen konkreten immateriellen Schadens erfüllen. Er beschreibt allgemein, teils unter Zitierung des Schlussantrages des Generalanwalts des EuGH, dass der Schaden in einem Nicht- bzw. Unwissen über die eigenen Daten liegt. Es fehlt an jeder Darstellung der konkreten, hier streitgegenständlichen Situation nach Verletzung des Auskunftsverlangens. Der Kl. führt aus, dass eine Prüfung der Rechte „denklogisch“ nicht möglich gewesen sei. Dabei lässt er offen, ob er seine eigene Situation oder die einer dritten Person beschreibt. Der „betroffenen Person“ fehle „die Kenntnis über das Ob, Was und Warum“. Die Formulierung stellt nach Auffassung der Kammer eine Wiederholung der Rechtsaufassungen aus lit. und Rspr., und keinen substantiierten Vortrag zur Begründung seines Schadens im konkreten Einzelfall, dar. Es ist nicht erkennbar, ob der Kl. den abstrakt geschilderten Kontrollverlust tatsächlich erlitten hat und wenn ja, wie sich dieser im Einzelnen manifestiert hat. Dabei ist zu berücksichtigen, dass die Bekl. dem Auskunftsbegehren mit E-Mail vom 19.9.2023 nachkam. Darauf geht der Kl. in seiner Schadensbegründet überhaupt nicht ein. Es bleibt unklar, welchen Einfluss die einzelnen Antwortschreiben auf die Situation des Kl. gehabt haben und in welchem Verhältnis diese zu dem – nicht näher konkretisierten – Kontrollverlust stehen. Ein Schaden kann auch nicht auf den emotionalen Zustand einer „genervten Stimmung“ gestützt werden. Unabhängig von einer Einordnung dieses pauschalen Begriffs beruft sich der Kl. nicht direkt darauf, dass dieser emotionale Zustand bei ihm, in einer konkreten Situation, eingetreten sei. Er verweist lediglich auf Entscheidungen mit identischen Sachverhalten und zitiert diese in seinem Schriftsatz. Es fehlt auch hier an einer ausreichenden Konkretisierung und Bezugnahme auf den vorliegenden Lebenssachverhalt. |
| NEU ArbG Frankfurt/M. Urt. v. 24.5.2024 – 27 Ca 6316/23 = ZD 2025, 53 | 100 EUR Dem Kl. steht gegen die Bekl. ein Anspruch auf Schadensersatz aus Artikel 82 Abs. 1 DS-GVO iVm Artikel 15 Abs. 1 DS-GVO iVm Artikel 12 Abs. 3 DS-GVO zu, weil diese dem Auskunftsbegehren des Kl. nach Artikel 15 Abs. 1 DS-GVO nicht unverzüglich nach Artikel 12 Abs. 3 DS-GVO nachgekommen ist. Die Bekl. hat gegen die DS-GVO verstoßen. Dem Kl. stand ein Auskunftsanspruch nach Artikel 15 Abs. 1 DS-GVO zu. Die Bekl. hat das Auskunftsrecht des Kl. verletzt, indem sie nicht innerhalb der Frist des Art. 12 Abs. 3 DS-GVO auf sein Auskunftsbegehren im Schreiben vom 05.08.2023 reagiert hat. Es reicht aus, wenn der Verantwortliche als Anspruchsgegner erkennen kann, welche Auskünfte der Betroffene begehrt. Die nicht rechtzeitige Erteilung der Auskünfte und der damit verbundene Verstoß gegen die DS-GVO verpflichtet die Bekl. gem. Artikel 82 Abs. 1 DS-GVO zur Leistung von Schadensersatz wegen eines immateriellen Schadens des Kl. Angesichts des Wortlauts des Artikel 82 Abs. 1 DS-GVO und der Bedeutung des Auskunftsanspruchs insofern, als dieser häufig dem Betroffenen erst diejenigen Informationen verschafft, die ihm sodann die Geltendmachung weiter Ansprüche ermöglichen, ist Artikel 82 Abs. 1 DS-GVO dahingehend auszulegen, dass ein Verstoß gegen die Auskunftspflichten den Tatbestand des Artikel 82 Abs. 1 DS-GVO erfüllt und grds. geeignet ist, Schadensersatzpflichten zu begründen. Dem Anspruch des Kl. steht auch nicht entgegen, dass er keinen konkreten Nachweis eines Schadens erbracht hätte. Der Rechtsanspruch auf immateriellen Schadensersatz nach Art. 82 Abs. 1 DS-GVO erfordert über eine Verletzung der DS-GVO hinaus nicht zusätzlich, dass die verletzte Person einen (weiteren) von ihm erlittenen immateriellen Schaden darlegt. Ein die Zusprechung von Schadensersatz bedingender Schaden ist bereits deshalb zu bejahen, weil der Kl. — zumindest zeitweise - im Ungewissen war, welche personenbezogenen Daten die Bekl. von ihm im Einzelnen in welcher Weise verarbeitet. Es bedarf auch nicht eines bestimmten Gewichts des eingetretenen Schadens. Dieses ist vielmehr bei der Schadenshöhe zu berücksichtigen. Eine Erheblichkeitsschwelle von Verstößen gegen die DS-GVO als Voraussetzung für die Entstehung eines Schadensersatzanspruchs besteht nicht, weil sich eine solche weder aus der DS-GVO selbst noch aus den Erwägungsgründen ergibt. Der Möglichkeit des Betroffenen, seine personenbezogenen Daten zur kontrollieren, ist ein besonderes Gewicht beizumessen. Der Kl. hat die Höhe des Schadensersatzes in das Ermessen des Gerichts gestellt. Insofern findet mangels einschlägiger unionsrechtlicher Vorschriften § 287 Abs. 1 S. 2 ZPO Anwendung. Bei der Bestimmung des Schadensersatzes nach § 287 Abs. 1 S. 2 ZPO sind alle Umstände des Einzelfalls zu würdigen. Dazu gehören jedenfalls die Schwere und Dauer des Verstoßes, der Grad des Verschuldens des Verantwortlichen und die Intensität des eingetretenen Schadens beim Betroffenen. Nach dem Erwägungsgrund 146 DS-GVO soll die betroffene Person einen vollständigen und wirksamen Schadensersatz erhalten. Der Verschuldensgrad der Bekl. ist vorliegend sehr gering und die Intensität der Rechtsverletzung marginal. Der Kl. hat einen Kontrollverlust und eine Einschränkung seiner Rechte erfahren, war allerdings lediglich über einen Zeitraum von weniger als drei Monaten im Unklaren über die Verarbeitung seiner personenbezogenen Daten. Hinzu kommt, dass die Daten tatsächlich von der Bekl. in dieser Zeit nicht weiterverarbeitet wurden. Vielmehr hat ein einziger
Mitarbeiter der Bekl. die Bewerbungsunterlagen des Kl. gelesen, die Bewerbung als unseriös abgetan und sodann nichts weiter mit der E-Mail des Kl. veranlasst. Die Daten des Kl. lagen ausschließlich im E-Mail-Postfach des Mitarbeiters der Bekl.. Zudem handelt es sich bei Bewerbungsunterlagen auch nicht um solche Daten, die für den Betroffenen ehrverletzend, bloßstellend oder sonst hochsensibel sind, wie es zB bei Daten der Fall sein kann, die die Gesundheit betreffen. Eine Erhöhung des immateriellen Schadensersatzes war auch nicht angezeigt, um zukünftige Verstöße zu vermeiden. Die Bekl. hat das Auskunftsersuchen des Kl. nicht vorsätzlich unbeantwortet gelassen, sondern Herr … hat das Auskunftsersuchen schlichtweg übersehen. Ein höherer Schadensersatz ist daher bereits deshalb nicht angezeigt, weil die Bekl. nicht bewusst das Auskunftsersuchen ignoriert hat. Vielmehr ist das vorliegende Verfahren geeignet, bei der Bekl. den auch vom Schadensersatz erwünschten erzieherischen Effekt zu erzielen. |
| ArbG Mainz Urt. v. 8.4.2024 – 8 Ca 1474/23 = ZD 2024, 706 | 5.000 EUR Der Kl. hat einen Anspruch auf den begehrten Schadensersatz aus Art. 82 Abs. 1 iVm Art. 15 DS-GVO. Der Kl. hatte ein Recht auf Erteilung der in Art. 15 Abs. 1 lit. a bis h DS-GVO genannten Informationen, welcher zunächst nicht erfüllt wurde. Die Nennung einer E-Mail-Adresse, über welche man die fraglichen Auskünfte erhalten könne, ersetzt nicht die Erteilung derselben. Der dem Kl. entstandene „Schaden“ ist zwar schwindend gering, gleichwohl hält die Kammer die begehrten 5.000 EUR für einen angemessenen Betrag, weil Verfahren der vorliegenden Art auch eine präventive Funktion haben sollen. Datenschutzrechtliche Bestimmungen werden nicht ernst genommen, wenn ein Verstoß gegen sie keine empfindlichen Folgen zeitigt. Es kommt also weniger darauf an, wie sehr der Kl. „gelitten“ hat, als vielmehr darauf, bei welchem Betrag ein entsprechender Leidensdruck bei der Bekl. entsteht. Diese Erwägungen ergeben sich auch aus Art. 83 DS-GVO für die Verhängung von Geldbußen, der an mehreren Stellen auf den Jahresumsatz eines Unternehmens abstellt. Auch ein Zivilprozess der vorliegenden Art dient der Aufrechterhaltung der Rechtsordnung, ganz wie es Rudolf von Jhering bereits 1872 in seiner Schrift „Der Kampf ums Recht“ formulierte: „Wer sein Recht behauptet, verteidigt innerhalb des engen Raumes desselben das Recht. Das Interesse und die Folgen dieser seiner Handlungsweise gehen daher über seine Person weit hinaus. Das allgemeine Interesse, welches sich an sie knüpft, ist nicht bloß das Ideale, dass die Autorität und Majestät des Gesetzes sich behaupte, sondern es ist das sehr reale, höchst praktische, welches jedem fühlbar wird, und das jeder begreift, der für ersteres auch nicht das geringste Verständnis besitzt, nämlich dies, dass die feste Ordnung des Verkehrslebens an der jeder zu seinem Teil interessiert ist, gesichert und aufrechterhalten werde.“ |
| ArbG Düsseldorf Urt. v. 15.2.2024 – 2 Ca 4416/23 = ZD 2024, 595 | 0 EUR Ein Anspruch auf eine Geldentschädigung folgt nicht aus Art. 82 Abs. 1 DS-GVO. Auf die Frage, ob Art. 82 Abs. 1 DS-GVO auf haftungsbegründender Ebene lediglich einen Verordnungsverstoß oder einen Verarbeitungsverstoß erfordert und ob die Berufung des Kl. auf einen Verordnungsverstoß rechtsmissbräuchlich ist, kommt es für den streitgegenständlichen Anspruch nicht an. Der in Art. 82 Abs. 1 DS-GVO vorgesehene Schadensersatzanspruch soll (anders als verschiedene deutsche Gerichte bislang angenommen haben) keine abschreckende Wirkung haben oder gar Straffunktionen erfüllen, sondern als echter Schadensersatzanspruch lediglich eine Ausgleichsfunktion haben. Es geht daher bei Art. 82 Abs. 1 DS-GVO nicht um einen Strafschadensersatz für einen objektiven Verstoß gegen Datenschutzbestimmungen. Der Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO setzt, so bestätigte der EuGH zuletzt seine bisherige Rspr., daher neben einem Rechtsverstoß auch einen kausalen Schaden voraus. Der bloße Verstoß gegen die Bestimmungen der DS-GVO reicht daher nicht aus, um einen Schadensersatzanspruch zu begründen. Vielmehr muss es zusätzlich zu negativen Folgen für den Betroffenen gekommen sein, die einen Schaden darstellen. Dabei betont der EuGH zuletzt mehrfach, dass der Begriff „Schaden“ dabei keine Erheblichkeitsschwelle bzw. Bagatellgrenze kennt. Ein Schaden sei ein Schaden, „so geringfügig er auch sein mag“. Auch „Angst“ bzw. „Befürchtungen“, dass es zu einem Missbrauch der betroffenen Daten kommen könnte, können potenziell Schäden iSv Art. 82 Abs.1 DS-GVO sein. Eine Person, die von einem Verstoß gegen die DS-GVO betroffen ist, der für sie nachteilige Folgen gehabt hat, muss jedoch den Nachweis erbringen, dass diese Folgen einen immateriellen Schaden iSv Art. 82 DS-GVO darstellen. Denn „Befürchtungen“ sind nur dann ein Schaden iSv Art. 82 Abs. 1 DS-GVO, wenn sie „unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden“ können. Insb. muss das angerufene nationale Gericht, wenn sich eine Person, die auf dieser Grundlage Schadensersatz fordert, auf die Befürchtung beruft, dass ihre personenbezogenen Daten in Zukunft aufgrund eines solchen Verstoßes missbräuchlich verwendet werden, prüfen, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann. Ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten führt nicht zu einer Entschädigung. Daher obliegt es demjenigen, der eine auf Art. 82 Abs. 1 DS-GVO gestützte Schadensersatzklage erhebt, das Vorliegen eines solchen Schadens nachzuweisen. Dasselbe gilt auch für die erforderliche Konkretisierung eines Kontrollverlusts. Nachdem dies in den Instanzgerichten bisher unterschiedlich entschieden wurde, stellt der EuGH nun klar, dass es sich um eine hinreichend begründete und nachzuweisende Befürchtung handeln muss. Die letzten Entscheidungen des EuGH sind zwar umfangreich, lassen aber letztlich weiterhin die Frage offen, ab welchem Punkt ein negatives Gefühl in einen ersatzfähigen Schaden umschlägt. Der BGH hat diese Frage mit Beschl. v. 26.9.2023 zum EuGH vorgelegt und dabei darauf hingewiesen, dass „bloße negative Gefühle wie zB Ärger, Unmut, Unzufriedenheit, Sorge und Angst, an sich Teil des allgemeinen Lebensrisikos und oft des täglichen Erlebens sind“. Das Verfahren ist beim EuGH unter dem Az. C-655/23 anhängig. Mehrere deutsche Instanzgerichte haben sich mit bereits mit der Frage befasst, welche Darlegungslast einen Kl. trifft, der einen nach einem Datenschutzverstoß entstandenen „Gefühlsschaden“ liquidieren will. Das OLG Hamm entschied, dass ein Kl. hierfür „Umstände darlegen muss, in denen sich seine erlebten Empfindungen widerspiegeln“. Außerdem muss „nach der Lebenserfahrung der Datenschutzverstoß mit seinen Folgen Auswirkungen auf das subjektive Empfinden“ haben. Der Auffassung des OLG Hamm haben sich das OLG Dresden, das OLG Köln und das OLG Stuttgart angeschlossen. Jedenfalls ergibt sich aus der letzten Entscheidung des EuGH v. 25.1.2024, dass es sich bei einem Schaden um eine hinreichend begründete und nachzuweisende Befürchtung handeln muss und die bloße Behauptung eines „Kontrollverlustes“ nicht ausreichend ist. Gemessen an diesen Voraussetzungen hat der Kl. die danach erforderlichen tatbestandlichen Voraussetzungen des Schadens und der Kausalität (zwischen Rechtsverstoß und Schaden) nicht hinreichend konkret dargelegt. Der Kl. beruft sich vornehmlich auf einen Kontrollverlust hinsichtlich seiner persönlichen Daten durch die nicht rechtzeitige Auskunftserteilung der Bekl. nach Art. 15 DS–GVO. Zwar kann auch ein bloßer Kontrollverlust aufgrund der nicht vorhandenen Erheblichkeitsschwelle einen Schaden iSv Art. 82 Abs. 1 DS-GVO darstellen. Da es sich bei dem Schaden jedoch um ein echtes Tatbestandsmerkmal handelt, kann es für eine Anspruchsgrundlage nicht ausreichen, den Kontrollverlust lediglich pauschal zu behaupten. Ein Tatbestandsmerkmal, das Rechtsfolgen auslöst, zeichnet sich dadurch aus, dass es bestimmte Voraussetzungen hat, die einer rechtlichen Überprüfung zugänglich sind. Daher genügt es nicht, nur einen Kontrollverlust anzuzeigen, ohne auf die konkreten Umstände einzugehen, wann dieser wie eingetreten ist und sich in welchem Umfang und bis zu welchem Zeitpunkt (nachgeholte Auskunftserteilung?) auswirkt. Die Darlegung der Voraussetzungen eines echten Tatbestandsmerkmals, das eine Rechtsfolge auslöst, erfordert mehr als bestimmte von der Rechtsprechung angeführte Beispielsfälle einfach nur zu zitieren. Denn dann würde der Anspruch auf einen Schadensersatzanspruch nach Art. 82 Abs. 1 DS–GVO allein davon abhängen, ob der jeweilige Kl. in der Lage ist, ein von der Rspr. genanntes Regelbeispiel für einen Schaden als Schlagwort aus den Urteilsgründen herauszukopieren oder abzuschreiben. Entgegen der vom Kl. im Termin zur mündlichen Verhandlung geäußerten Rechtsauffassung stellt sich die Rechtslage auch bei Verletzung des Auskunftsanspruchs nach Art. 15 Abs. 1 und 3 DS–GVO nicht anders da. Zwar ist offensichtlich, dass bis zu einer entsprechenden Auskunftserteilung die spätere Klagepartei keine Kenntnis von der Verwendung und Verarbeitung der überlassenen personenbezogenen Daten hat. Wenn es nicht gleichwohl der konkreten Darlegung eines Schadens und der Kausalität bedürfte, wäre der Verstoß gegen die Auskunftsverpflichtung aus Art. 15 DS–GVO stärker sanktioniert als gegen jede andere schwerwiegendere Verletzung nach demselben Regelwerk wie zB die illegale Weitergabe persönlicher Daten an Dritte oder der unkontrollierte Verlust personenbezogener Daten. Der EuGH differenziert allerdings nicht zwischen den verschiedenen Rechtsverstößen gegen Vorschriften der DS-GVO. Daher bedarf es auch bei einer Verletzung der Auskunftspflicht nach Art. 15 DS-GVO der Darlegung aller Tatbestandsvoraussetzungen. Das Bedürfnis für eine Ausnahme ist nicht erkennbar. Im Ergebnis stellt ein bloßer, abstrakter Kontrollverlust des Kl. keinen konkreten immateriellen Schaden dar. Die Klage ist auch unbegründet, da der Kl. – was das Urteil als Begründung selbstständig trägt – keinen Beweis antritt. Der Kl. ist hinsichtlich der beiden Tatbestandsmerkmale, Schaden und Kausalität (zwischen Rechtsverstoß und Schaden) beweisfällig geblieben. |
| ArbG Hannover Urt. v. 23.1.2024 – 1 Ca 121/23 = ZD 2024, 707 | 250 EUR Die Bekl. hat seine personenbezogenen Daten verarbeitet. Bei den — von dem Kl. iRd Bewerbungsverfahrens mitgeteilten — Bewerbungsunterlagen handelt es sich um personenbezogene Daten des Kl. iSv Art. 4 Nr. 1 DS-GVO, denn die Informationen zu seinen persönlichen Daten wie Name, Kontaktdaten und beruflicher Werdegang beziehen sich auf ihn als identifizierte Person. Die Bekl. hat diese Daten verarbeitet iSv Art. 4 Nr. 2 DS-GVO, denn sie hat sie erfasst und gespeichert. Damit haftet sie grds. als für die Verarbeitung dieser Daten verantwortliche Stelle, welche über die Zwecke und Mittel der Datenverarbeitung im Bewerbungsverfahren entscheidet (Art. 4 Nr. 4 DSG-VO). Die Bekl. hat iSv Art. 82 Abs. 1 DS-GVO gegen die DS-GVO verstoßen. Als Verstoß in diesem Sinne kommt nach Auffassung der Kammer und anders als die Bekl. meint jeder Verstoß gegen die DS-GVO in Betracht und nicht lediglich solche Verstöße bei der Verarbeitung selbst. Daher kann auch ein Verstoß gegen die Auskunftspflicht und die Pflicht zur Erteilung einer Datenkopie gem. Art. 15 DS-GVO einen zum Schadensersatz verpflichtenden Verstoß darstellen. IÜ stellt die Auskunftserteilung eine Offenlegung durch Übermittlung dar und ist damit ihrerseits eine Datenverarbeitung iSv Art. 4 Nr. 2 DS-GVO. Die Bekl. hat gegen Art. 15 Abs. 1 d, Abs. 3 iVm Art. 12 Abs. 1 und Abs. 3 DS-GVO verstoßen. Der Kl. hat hierdurch einen immateriellen Schaden erlitten, denn er war nach seinem von der Bekl. nicht konkret bestrittenen und deshalb von der Kammer gem. § 138 Abs. 3 ZPO zugrunde zulegendem Vortrag durch die nur unzureichend erteilte Auskunft massiv genervt. Dieser negative emotionale Zustand stellt nach Auffassung der Kammer einen (immateriellen) Schaden dar. Für den Schadensersatz kommt es nur darauf, ob ein von dem ihm zugrundeliegenden Verstoß zu unterscheidender, kausaler Schaden tatsächlich eingetreten ist, nicht auf dessen Erheblichkeit. Daher kann sich die Kammer nicht der Einschätzung der Bekl. anschließen, die bloße Verärgerung reiche nicht aus. Denn Ärger ist ein — wenngleich auch geringer - erlittener Nachteil. Wollte man bestimmte negative Emotionen ohne weitergehende Folgen von vornherein nicht als immaterielle Schäden gelten lassen, würde dies einer grds. nicht angezeigten Erheblichkeitsprüfung gleichkommen. Einen Schaden durch Kontrollverlust hat der Kl. demgegenüber nicht erlitten. Denn der Schaden muss sich von der bloßen Verletzung der Bestimmungen der DS-GVO unterscheiden. Bei einer nur verspäteten aber letztlich vollständigen Auskunft tritt jedoch über den Verstoß gegen die zeitlichen Vorgaben der DS-GVO für die Auskunftserteilung kein weitergehender Nachteil ein. Den Einwand es Rechtsmissbrauchs erachtet die Kammer nicht für durchgreifend. Allein aus dem Umstand, dass der Kl. in mehreren Fällen seine gesetzlichen Rechte nach der DS-GVO wahrnimmt und dass es ihm dabei im Falle der Bekl. auch um Kenntnis der Ablehnungsgründe ging, folgt noch kein rechtsmissbräuchliches Verhalten. Dass der Kl. den Kostendruck ausnutzt, um einen Vergleich zu erzielen, lässt sich angesichts seiner Ablehnung des gerichtlichen Vergleichsvorschlags nicht erkennen. Der Anspruch besteht jedoch nicht in Höhe des zuletzt von dem Kl. angegebenen Mindestbetrags von 2.000 EUR, sondern lediglich iHv 250 EUR. Bei der Bemessung dieses Betrags waren für die Kammer folgende Erwägungen maßgeblich: Anders als der Kl. meint, fällt der Bekl. hier kein schwerwiegender Verstoß zur Last. Sie hat den Anspruch des Kl. auf Erteilung einer Auskunft und Datenkopie im Ergebnis erschöpfend und vollständig erfüllt. Etwas anderes behauptet auch der Kl. nicht. Sie hat die Auskunft lediglich teilweise nicht unverzüglich bzw. innerhalb der Monatsfrist erteilt. Die Verspätung betraf zudem nur die konkret berechnete Löschfrist, die Bekl. hatte jedoch bereits mit der ersten, rechtzeitigen Auskunft erste Angaben hierzu, wenngleich auch nicht hinreichend transparent, gemacht. Ferner waren die dem Kl. übermittelten Datenkopien unvollständig. Beide noch fehlenden Informationen hat die Bekl. zwar nicht unverzüglich übermittelt. Jedoch hat sie andererseits die Auskunft auch nicht für einen erheblichen Zeitraum verzögert, sondern die Verspätung beschränkt sich bezogen auf den Zeitpunkt der ursprünglich erteilten, unvollständigen Auskunft auf einen verhältnismäßig kurzen Zeitraum von etwa drei Wochen. Damit einher geht, dass auch der von dem Kl. subjektiv empfundene Kontrollverlust nur über diesen Zeitraum von drei Wochen eingetreten ist. Das emotionale Ungemach, welches durch die verspätete Auskunfterteilung bei dem Kl. in Form eines massiven Genervtseins als einem negativen Gefühlszustand eingetreten ist, kann deshalb auch lediglich für diese Dauer bei der Bemessung des Entschädigungsanspruchs wegen der verspätet erteilten Auskunft berücksichtigt werden. Soweit der Kl. darüber hinaus aufgrund des mit dem vorliegenden Verfahren verbundenen Zeitaufwands genervt gewesen sein mag, werden derartige mit der Rechtsverfolgung ggf. einhergehende Zustände den Rechtsschutzsuchenden von der Zivilprozessordnung und dem Arbeitsgerichtsgesetz entschädigungslos zugemutet. Nach dem Verständnis der Kammer gebietet auch die DS-GVO keine andere Bewertung. Zwar kann auch das Verhalten bei der Schadensregulierung bei der Bemessung eines Schmerzensgeldes eine Rolle spielen. Jedoch vermag die Kammer in der von der Bekl. betriebenen Rechtsverteidigung mit vertretbaren und auch in der lit. und Rspr. vertretenen Argumenten keinen die Erhöhung des zugesprochenen Betrages rechtfertigenden Umstand zu erkennen. Die Wirtschaftskraft der Bekl. war bei der Bemessung des Entschädigungsbetrags nicht zu berücksichtigen. Sie hat keinen Bezug zu dem von dem Kl. erlittenen Schaden. Der in Art. 82 Abs. 1 DS-GVO vorgesehene Schadensersatzanspruch hat lediglich eine Ausgleichsfunktion in Bezug auf den konkret aufgrund des Verstoßes erlittenen Schaden. Er erfüllt demgegenüber keine abschreckende oder Straffunktion. Der Höhe nach hat die Kammer sich hinsichtlich der der Bekl. allein zur Last zu legenden, teilweise verzögerten Auskunftserteilung an dem Urt. des LAG Niedersachen v. 22.10.2021 - 16 Sa 761/20 [= ZD 2022, 61)] Rn. 200) orientiert. Angesichts des genervten Zustandes des Kl., der nur für einen vergleichsweise kurzen Zeitraum durch die um etwa drei Wochen verspätete Auskunftserteilung verursacht worden sein kann, hält die Kammer bei Würdigung aller Gesamtumständen den Betrag von 250 EUR für angemessen und ausreichend, um dieses emotionale Ungemach des Kl. auszugleichen. |
| Finanzgerichte | |
| Verwaltungsgerichte | |
| NEU VG Stuttgart Urt. v. 20.6.2024 – 14 K 870/22 | 2.500 EUR Auch soweit der Anspruch auf Art. 82 Abs. 1 DS-GVO gestützt wird, ist der Verwaltungsrechtsweg eröffnet. Ob dies aus § 54 Abs. 1 BeamtStG als lex specialis ggü. § 40 Abs. 2 S. 1 VwGO folgt, kann offenbleiben, weil das Gericht den Rechtsstreit nach § 17 Abs. 2 S. 1 GVG unter allen in Betracht kommenden rechtlichen Gesichtspunkten entscheidet. Bei Art. 82 Abs. 1 DS-GVO handelt es sich nicht um einen Amtshaftungsanspruch iSd Art. 34 S. 3 GG bzw. § 17 Abs. 2 S. 2 GVG. Bei Art. 82 Abs. 1 DS-GVO handelt es sich um einen unmittelbar gegen den Verantwortlichen gerichteten Anspruch und nicht um einen mittelbar auf den Staat übergeleiteten Haftungsanspruch. Er unterfällt daher nicht dem Anwendungsbereich des Art. 34 S. 3 GG. Etwas Anderes folgt insbesondere nicht daraus, dass Art. 82 DS-GVO als „materieller Amtshaftungsanspruch“ gesehen werden könnte. Amtshaftung iSd Art. 34 S. 3 GG ist aus historischen Gründen ausschließlich die auf den Staat übergeleitete Haftung des Amtsträgers. Der Anspruch aus Art. 82 Abs. 1 DS-GVO tritt – wie auch neben andere Haftungsansprüche – in Anspruchskonkurrenz neben den Amtshaftungsanspruch aus Art. 34 S. 1 GG iVm § 839 BGB. Der Kl. hat einen Anspruch auf Schadensersatz gegen die Bekl. aus Art. 82 Abs. 1 DS-GVO. Dieser besteht jedoch nicht in der geltend gemachten Höhe, sondern lediglich im tenorierten Umfang. Bei Art. 82 Abs. 1 DS-GVO handelt es sich um eine eigenständige datenschutzrechtliche Haftungsnorm. Der Anspruch hängt von einem Verschulden des Verarbeiters ab, das vermutet wird; der Schaden muss adäquat-kausal auf dem Verstoß beruhen. Ein Verstoß gegen Art. 9 Abs. 1 DS-GVO liegt vor. Auch der Versand der vollständigen Personalakte an die Verfahrensbevollmächtigten der Bekl. stellt keinen Verstoß gegen die DS-GVO dar, da jedenfalls eine Rechtfertigung nach Art. 9 Abs. 2 lit. b, f und h DS-GVO vorliegt. Ob die Übermittlung der Personalakte dem sachlichen Anwendungsbereich der DS-GVO unterfällt, kann offenbleiben. Ein Verstoß gegen das Verbot der Verarbeitung von Gesundheitsdaten nach Art. 9 Abs. 1 DS-GVO liegt jedoch in der Bezugnahme auf das Zurruhesetzungsverfahren des Kl. in der Stellenausschreibung der Bekl. Eine Rechtfertigung folgt auch nicht daraus, dass nach dem Vortrag der Bekl. alle Empfänger der E-Mail zur Einhaltung der DS-GVO und zur Verschwiegenheit verpflichtet seien. Ein solcher Rechtfertigungsgrund existiert nicht und ginge auch zu weit. Der Datenschutzverstoß durch den Versand der Stellenausschreibung erfolgte schuldhaft. Die Bekl. ist insofern beweispflichtig und hat keine zu ihrer Exkulpation führenden Umstände vorgetragen. Dem Kl. ist durch den Datenschutzverstoß ein adäquat-kausaler immaterieller Schaden entstanden. Immaterieller Schaden iSd Art. 82 Abs. 1 DS-GVO ist jede konkrete immaterielle Beeinträchtigung insbesondere des Persönlichkeitsrechts, etwa in Form von psychischen Auswirkungen auf die betroffene Person. Anders als bei den nach nationalem Deliktsrecht ausgleichspflichtigen Beeinträchtigungen des allgemeinen Persönlichkeitsrechts ist kein besonders schwerwiegender Eingriff erforderlich. Der bloße Verlust der Kontrolle über die Daten ist im Regelfall selbst kein Schaden, kann aber zu immateriellen Schäden, wie begründeten Sorgen oder Unwohlsein aufgrund des Datenverlusts und der möglichen Weiterverbreitung führen. Ein immaterieller Schaden liegt jedenfalls vor, wenn der Betroffene durch die Datenweitergabe herabgewürdigt oder bloßgestellt wird. Der Kl. macht geltend, er sei durch die Stellenausschreibung als dienstunfähig herabgewürdigt worden. Der Ausgang des Zurruhesetzungsverfahrens sei vorweggenommen worden. Zudem habe er befürchten müssen, dass die – nicht als vertraulich gekennzeichnete – E-Mail an eine Vielzahl von (auch externen) Empfängern weitergeleitet werden könnte. Er sei auf der Straße von mindestens einer bei der Bekl. beschäftigten Person unvermittelt auf seinen Gesundheitszustand angesprochen worden. Bei diesen von ihm geschilderten psychischen Belastungen handelt es sich um immaterielle Beeinträchtigungen iSd Art. 82 Abs. 1 DS-GVO. Ob die E-Mail, wie von der Bekl. unwidersprochen vorgetragen, tatsächlich nicht extern weitergeleitet wurde, ist für die Schadensentstehung unbeachtlich. Es genügt die interne Herabwürdigung iVm der konkreten Gefahr der externen Weiterleitung sensibler Gesundheitsdaten und den damit zusammenhängenden – nicht unbegründeten – Befürchtungen des Kl. Der Datenschutzverstoß war auch kausal für den Schaden. Gerade durch den Versand der E-Mail wurden die Gesundheitsdaten des Kl. in die (jedenfalls interne) Öffentlichkeit getragen und kam es zu den Schadensfolgen. Dem Kl. steht damit eine Entschädigung zu. Maßstab für die Höhe der Entschädigung ist der Grad der Beeinträchtigung des allgemeinen Persönlichkeitsrechts durch den Datenschutzverstoß. Dafür sind neben dem Kontext und Umfang des Verstoßes die Art der betroffenen Daten sowie – im Fall der Datenweitergabe – der Empfängerkreis maßgeblich. Der Schadensersatz nach Art. 82 Abs. 1 DS-GVO hat keine general- oder spezialpräventive Funktion, die zuerkannte Schadenssumme muss keine abschreckende Wirkung entfalten und keine Straffunktion erfüllen. Vielmehr sollen nach dem Willen des Verordnungsgebers die konkret eingetretenen immateriellen Nachteile ausgeglichen werden. In der bisher zu Art. 82 DS-GVO ergangenen Rspr. werden für Datenschutzverstöße, die Gesundheitsdaten betreffen, in der Regel Entschädigungen zwischen 1.500 EUR und 2.000 EUR zugesprochen, weil es sich um besonders geschützte Daten handelt, die eine gewisse Schwere des Datenschutzverstoßes implizieren. Höhere Summen wurden – soweit ersichtlich – nur in besonders schwerwiegenden Fällen zugesprochen, wie der ungerechtfertigten Weitergabe sensibler Daten aus Arbeitsverhältnissen trotz heftigsten Widerspruchs. In weniger schwerwiegenden Fällen sind dagegen Entschädigungen im dreistelligen Bereich zugesprochen worden, insb. wenn keine Gesundheitsdaten betroffen sind. Nach diesen Maßstäben ist der dem Kl. entstandene immaterielle Schaden vorliegend auf 2.500 EUR zu bemessen. Es liegt lediglich ein schädigendes Ereignis vor. Bei dem Versand der Stellenausschreibung handelt es sich um eine einzige Verarbeitungs- und damit Verletzungshandlung, auch wenn der Versand zeitgleich an mehrere Personen erfolgte. Für einen einheitlichen Verarbeitungsvorgang entsteht die Schadensersatzpflicht nur einmal. Weitere Verletzungsfolgen, etwa den Empfang unerwünschter E-Mails oder konkrete Herabwürdigungen aufgrund des publik gewordenen Gesundheitszustands hat der Kl. nicht geltend gemacht. Durch den Versand der Personalakten, der ohnehin keinen Verstoß gegen die DS-GVO darstellt, ist dem Kl. kein Schaden entstanden, weil es durch das Berufsgeheimnis nach § 43a BRAO bereits an einem Kontrollverlust fehlt und die Verfahrensbevollmächtigten auch nach §§ 99, 100 VwGO Kenntnis von den Daten erhalten hätten. Bei der Preisgabe geschützter Daten in der Stellenausschreibung handelt es sich nach Überzeugung der Kammer um keinen ganz geringfügigen Verstoß. Dem liegt die Überlegung zugrunde, dass Gesundheitsdaten des Kl. betroffen sind, die nach Art. 9 Abs. 1 DS-GVO besonders geschützt sind. Für eine höhere Entschädigung mindestens im vierstelligen Bereich spricht zudem, dass das Ergebnis eines laufenden dienstrechtlichen Verfahrens vorweggenommen und der Kl. ggü. immerhin 83 Empfänger der E-Mail als dienstunfähig abgestempelt wurde, ohne dass sich die Dienstunfähigkeit letztlich bestätigt hat. Gegen einen besonders schwerwiegenden Verstoß spricht aber, dass die E-Mail lediglich intern an eine bestimmte Zahl von Empfängern versandt und – wie die Bekl. überzeugend vorgetragen hat – nicht extern weitergeleitet wurde. Alle Empfänger waren zudem als Amtsträger oder öffentlich Bedienstete zur Verschwiegenheit verpflichtet und über die Verpflichtungen nach der DS-GVO belehrt worden. Auch wenn die Belehrung lediglich deklaratorischer Natur war, hat die Bekl. dadurch doch immerhin Sicherungsmaßnahmen vorgesehen, die auch iRd Art. 9 Abs. 3 DS-GVO als adäquater Geheimnisschutz relevant wäre. Die Erwähnung des Zurruhesetzungsverfahrens war zwar nicht, wie von der Bekl. geltend gemacht, durch die beamtenrechtliche Fürsorgepflicht ggü. Bewerbern oder durch Hinweis- und Beratungspflichten gerechtfertigt. Andererseits geschahen die Erwähnungen aber auch nicht willkürlich. Das zeigen die Ausführungen der Verwaltung der Bekl. in der Beschlussvorlage für die Gemeinderatssitzung, dass Bewerber über die fehlende Möglichkeit einer direkten Einweisung in die Planstelle aufgeklärt worden seien. Zuletzt wurden keine detaillierten Informationen zum Gesundheitszustand des Kl. weitergegeben. Vielmehr wurde lediglich allgemein die Dienstunfähigkeit erwähnt, was gegen einen besonders schwerwiegenden Verstoß spricht. Ein weitergehender Entschädigungsanspruch folgt nicht aus einem Schadensersatzanspruch wegen Verletzung der beamtenrechtlichen Fürsorgepflicht. |
| Sozialgerichte | |
| NEU BSG Urt. v. 24.9.2024 – B 7 AS 15/23 R = ZD 2025, 110 mAnm Viehweger | 0 EUR Ein Anspruch auf Schadensersatz gegen den Bekl. nach Art. 82 DS-GVO besteht nicht. Gegenstand des Verfahrens ist neben den vorinstanzlichen Entscheidungen der Anspruch des Kl. auf Zahlung von Schadensersatz nach Art. 82 DS-GVO wegen eines Verstoßes gegen die VO sowie der hilfsweise geltend gemachte Anspruch auf Feststellung von Verstößen des Bekl. gegen Art. 12 Abs. 3 und Art. 15 Abs. 3 DS-GVO. Der Rechtsweg zu den Gerichten der Sozialgerichtsbarkeit ist eröffnet (§ 202 S. 1 SGG iVm § 17a Abs. 5 GVG). Den geltend gemachten Anspruch verfolgt der Kl. zulässigerweise mit der echten Leistungsklage (§ 54 Abs. 5 SGG), gerichtet auf die Zahlung von Schadensersatz. Nach Maßgabe des materiellen Rechts der DS-GVO besteht insoweit weder ein Über- bzw. Unterordnungsverhältnis der Beteiligten noch eine gesetzliche Ermächtigung des Bekl. zur einseitigen Regelung des streitigen Schadensersatzanspruchs durch Verwaltungsakt. Eine Verwaltungsentscheidung - erst recht nicht in Form eines Verwaltungsakts - vor Klageerhebung ist weder nach der DS-GVO noch nach nationalem Recht vorgesehen. Deshalb steht der Zulässigkeit der Klage (auch) nicht entgegen, dass der Kl. den Schadensersatzanspruch vorprozessual ggü. dem Bekl. nicht geltend gemacht hat. Rechtsgrundlage für den Schadensersatzanspruch ist Art. 82 DS-GVO. Die Regelungen der DS-GVO sind auf den vorliegenden Fall anwendbar. Im Verhältnis von klagendem Leistungsberechtigten und beklagtem Jobcenter kommt Art. 82 DS-GVO unmittelbare Geltung (Art. 288 Abs. 2 AEUV) zu. Die DS-GVO und damit auch Art. 82 DS-GVO findet vorliegend Anwendung. Aus der VO lässt sich kein Hinweis darauf entnehmen, dass über Anträge, die auf Auskunft über vor ihrem Inkrafttreten ab 25.5.2018 gespeicherte Daten gerichtet sind, noch nach altem Recht (§§ 7, 8 BDSG in der bis zum 24.5.2018 geltenden Fassung) zu entscheiden wäre. Sie beansprucht vielmehr nach Art. 99 Abs. 2 DS-GVO ab dem 25.5.2018 unmittelbar in allen Mitgliedstaaten uneingeschränkte Geltung und erfasst jede seit ihrem Geltungsbeginn aufgenommene oder - wie hier - fortgeführte Verarbeitung personenbezogener Daten (zB Speicherung), die in ihren sachlichen Anwendungsbereich fällt. Unter Berücksichtigung der engen Auslegung der Ausschlusstatbestände vom sachlichen Anwendungsbereich der DS-GVO durch den EuGH ist eine unmittelbare Anwendung der DS-GVO auch im Bereich des SGB II zu bejahen. Insb. greift der Ausschlusstatbestand des Art. 2 Abs. 2 lit. a DS-GVO nicht. Hiernach findet die VO keine Anwendung auf die Verarbeitung personenbezogener Daten iRe Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt. Ausgeschlossen ist damit nach der Rspr. des EuGH (nur) eine Verarbeitung von Daten iRe Tätigkeit, die der Wahrung der nationalen Sicherheit dient oder die derselben Kategorie zugeordnet werden kann. Die auf die Wahrung der nationalen Sicherheit abzielenden Tätigkeiten umfassen insbesondere solche, die den Schutz der grundlegenden Funktionen des Staates und der grundlegenden Interessen der Gesellschaft bezwecken. Ein solches Ziel verfolgt die Tätigkeit eines Jobcenters nicht (vgl. § 1 Abs 1 und 2 S. 1 SGB II). Die Voraussetzungen des Art. 82 Abs. 1 DS-GVO sind nicht erfüllt. Voraussetzung für die Entstehung des Schadensersatzanspruchs nach Art. 82 Abs. 1 DS-GVO ist nach ständiger Rspr. des EuGH eine Verarbeitung personenbezogener Daten unter Verstoß gegen die Bestimmungen der VO, ein der betroffenen Person entstandener Schaden und ein Kausalzusammenhang zwischen der rechtswidrigen Verarbeitung und diesem Schaden. Schadensersatzbegründend sind jedoch nur Verstöße gegen die VO bei der Datenverarbeitung. Die Erteilung einer Auskunft iSd Art. 15 DS-GVO stellt eine Datenverarbeitung dar. Der Bekl. hat jedenfalls dadurch gegen die VO verstoßen, dass er dem Kl. die begehrte Auskunft nicht innerhalb der Frist des Art. 12 Abs. 3 DS-GVO erteilt hat. Dem Kl. ist jedoch kein ersatzfähiger Schaden entstanden. Art. 82 Abs. 1 DS-GVO erfasst nur Verstöße, die durch eine nicht der DS-GVO entsprechende Datenverarbeitung iSd Art. 4 Nr. 2 DS-GVO verursacht worden sind; der bloße VO-Verstoß löst noch keinen Ersatzanspruch aus. Zwar ist der Wortlaut der Norm insoweit offen formuliert („wegen eines Verstoßes gegen diese Verordnung"). Das Erfordernis eines Verstoßes bei der Datenverarbeitung folgt jedoch systematischen Überlegungen. Nach Art. 82 Abs. 2 DS-GVO wird (nur) für einen Schaden gehaftet „der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde". Zudem wird in Erwägungsgrund 146 DS-GVO ausgeführt, dass der Verantwortliche Schäden ersetzen soll, die einer Person aufgrund einer Verarbeitung entstehen, die mit der DS-GVO nicht im Einklang stehen. Vorliegend begehrt der Kl. mit dem Auskunftsersuchen eine „Verarbeitung" in diesem Sinne. Das Erteilen von Auskunft und Informationen nach Art. 15 DS-GVO unterfällt dem Begriff der Datenverarbeitung iSd Art. 4 Nr. 2 DS-GVO. Dabei ist vor dem Hintergrund von Wortlaut, Systematik und der mit der DS-GVO verfolgten Ziele von einem weiten Verarbeitungsbegriff auszugehen. Art. 4 Nr. 2 DS-GVO erfasst bereits nach seinem Wortlaut "jeden" mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang und fügt regelbeispielhaft („wie") Tätigkeiten auf, die als Vorgang in diesem Sinn angesehen werden können. Die Aufzählung erfasst u.a. die Verwendung, Offenlegung durch Übermittlung, die Verbreitung und "[jede] andere Form der Bereitstellung". Schon seinem Wortlaut nach deckt der Begriff der "Verarbeitung" daher auch das Erteilen einer Auskunft an die betroffene Person ab. Zudem sprechen systematische Gründe für dieses Verständnis. Nicht nur Art. 82 DS-GVO, sondern auch die übrigen, in Kapitel VIII DS-GVO erfassten Vorschriften (Art. 77 ff. DS-GVO), knüpfen die jeweils geregelten Rechte und Rechtsbehelfe an eine verordnungswidrige Verarbeitung. So setzt zB das Recht auf Beschwerde bei der Aufsichtsbehörde nach Art. 77 DS-GVO u.a. die Ansicht der betroffenen Person voraus, „dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt". Art. 79 DS-GVO knüpft das Recht auf wirksamen gerichtlichen Rechtsbehelf an die Ansicht der betroffenen Person, „dass die ihr aufgrund dieser Verordnung zustehenden Rechte infolge einer nicht im Einklang mit dieser Verordnung stehenden Verarbeitung ihrer personenbezogenen Daten verletzt wurden". Erst ein Verständnis des Verarbeitungsbegriffs, der auch das Erteilen einer Auskunft als Verarbeitungsvorgang ansieht, verhilft mithin dem Auskunftsanspruch - im Vorfeld der Inanspruchnahme der weiteren, in der VO normierten Rechte - zur notwendigen Durchsetzungskraft. Dieses weite Begriffsverständnis wird durch die Ziele der VO, insb. des Art. 15 DS-GVO bestätigt. Die VO bezweckt insbesondere (vgl. Art. 1 DS-GVO; Erwägungsgrund 1, 10 DS-GVO) ein hohes Niveau des Schutzes der Grundrechte und Grundfreiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten zu gewährleisten. Die Grundsätze einer fairen und transparenten Verarbeitung machen es erforderlich, dass die betroffene Person über die Existenz des Verarbeitungsvorgangs und seine Zwecke unterrichtet wird (Erwägungsgrund 60 DS-GVO). (Erst) das Auskunftsrecht ermöglicht es einer betroffenen Person, sich einer (zuvor bereits erfolgten) Verarbeitung bewusst zu werden und deren Rechtmäßigkeit überprüfen zu können (vgl. auch Erwägungsgrund 63 DS-GVO). Damit wird der Schutz des Betroffenen gerade auch durch das Auskunftsrecht gestärkt und damit für Fairness und Transparenz beim Verarbeitungsvorgang gesorgt. Der Bekl. hat dem Kl. die begehrten Informationen verordnungswidrig nicht innerhalb der maßgeblichen Frist zur Verfügung gestellt. Nach Art. 12 Abs. 3 S. 1 DS-GVO stellt der Verantwortliche der betroffenen Person Informationen über die auf Antrag gem. den Art. 15 bis 22 ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung. Der Kl. hat die Informationen mithin ein knappes halbes Jahr nach Antragstellung und damit jedenfalls verspätet iSd Art. 12 Abs. 3 S. 1 DS-GVO erhalten. Ein Verstoß gegen die Rechte des Kl. durch die verspätete Erfüllung des Auskunftsverlangens stellt gleichermaßen einen Verstoß bei der Verarbeitung von Daten iSd Art. 82 Abs. 1 DS-GVO dar. Art. 12 DS-GVO führt die Regelungen zu Form, Sprache und Verfahren bezüglich der Informations- und Mitteilungspflichten einheitlich in einer eigenen, ausdrücklichen Regelung zusammen und legt damit für die Betroffenenrechte aus Art. 13 bis 22 DS-GVO die formellen Anforderungen an die Informationsgewährung fest. Damit erweitert Art. 12 DS-GVO die Betroffenenrechte um zusätzliche prozedurale Schutzvorkehrungen. Die Gründe, die für den weiten Verarbeitungsbegriff und die Subsumtion der Auskunft unter den Begriff der Verarbeitung sprechen, gelten für die einzuhaltende Frist gleichermaßen. Insb. die Grundsätze einer fairen und transparenten Verarbeitung machen es nicht nur erforderlich, dass die betroffene Person über die Existenz des Verarbeitungsvorgangs und seine Zwecke unterrichtet wird, sondern auch und gerade in der von Art. 12 Abs. 3 DS-GVO vorgesehenen Frist. Zur Erleichterung der Rechtswahrnehmung gehört auch ein effizientes Zeitmanagement beim Verantwortlichen. Dieses Gebot der schnellen Umsetzung der Betroffenenrechte liefe leer, wäre - auf der ersten Ebene - der Verstoß gegen die Fristen zur Auskunftserteilung nicht schadensersatzbewehrt. Ein ersatzfähiger Schaden ist dem Kl. indes nicht entstanden. Art. 82 Abs. 1 DS-GVO ist nach ständiger Rspr. des EuGH dahin auszulegen, dass der bloße Verstoß gegen die VO bei der Datenverarbeitung nicht ausreicht, um einen Schadensersatzanspruch zu begründen. Vielmehr muss auch ein konkreter materieller oder immaterieller Schaden vorliegen. Der Eintritt eines Schadens wird nicht vermutet. Vielmehr trägt die Person, die auf der Grundlage von Art. 82 DS-GVO den Ersatz eines immateriellen Schadens verlangt, die objektive Beweislast, dass ihr durch den Verstoß gegen die VO ein solcher Schaden entstanden ist. Der Zweck der DS-GVO, ein hohes Niveau des Schutzes der Grundrechte und Grundfreiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten zu gewährleisten, würde in sein Gegenteil verkehrt, wenn die pauschale Behauptung eines Nachteils ausreichen würde, um einen ersatzfähigen Schaden zu begründen. Seiner Ausgleichsfunktion wird der Schadensersatz gerecht, wenn er es ermöglicht, den aufgrund des Verstoßes gegen die VO konkret erlittenen Schaden in vollem Umfang auszugleichen; dann ist die auf Art 82 Abs 1 DS-GVO gestützte finanzielle Entschädigung als „vollständig und wirksam" anzusehen. Nicht erforderlich ist hingegen, dass der Schaden eine gewisse Erheblichkeitsschwelle übersteigt. Zwar kann eine betroffene Person einen konkreten immateriellen Schaden iSd Art. 82 Abs. 1 DS-GVO auch durch den Verlust der Kontrolle über ihre personenbezogenen Daten erleiden, wie sich aus Wortlaut, Systematik sowie Sinn und Zweck des Art. 82 DS-GVO ergibt. Unter einem Kontrollverlust versteht der EuGH dabei allerdings nur eine Situation, in der die betroffene Person die begründete Befürchtung hegt, dass einige ihrer personenbezogenen Daten künftig von Dritten weiterverbreitet oder missbräuchlich verwendet werden. Ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten genügt dafür nicht. Rein hypothetisch ist das Risiko zB dann, wenn kein Dritter die fraglichen personenbezogenen Daten zur Kenntnis genommen hat. Das Schadensverständnis der VO wird auch aus Erwägungsgrund 75 bzw. 85 S. 1 DS-GVO deutlich. Als Regelbeispiele, die einen physischen, materiellen oder immateriellen Schaden begründen können, werden u.a. benannt, wenn die Verarbeitung zu einer Diskriminierung, einem Identitätsdiebstahl oder -betrug, einem finanziellen Verlust, einer Rufschädigung, einem Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten, der unbefugten Aufhebung der Pseudonymisierung oder anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen führen kann, wenn die betroffenen Personen um ihre Rechte und Freiheiten gebracht oder daran gehindert werden, die sie betreffenden personenbezogenen Daten zu kontrollieren. Anhaltspunkte dafür, dass die vom Bekl. verarbeiteten Daten verordnungswidrig an einen Dritten gelangt sind oder dass eine der Situationen vorliegt, die den in den Erwägungsgründen regelbeispielhaft aufgeführten entspricht, trägt der Kl. weder vor noch ist eine solche Situation vom LSG festgestellt. Der Kl. meint zwar, in dem Zeitverzug zwischen Auskunftsersuchen und Auskunftserteilung liege ein Kontrollverlust begründet, weil er nicht gewusst habe, was mit seinen Daten geschehe. Damit beschreibt der Kl. aber lediglich - in anderen Worten - den Zeitverzug, nicht aber ein konkretes Risiko einer missbräuchlichen Verwendung seiner Daten durch Dritte als Grundlage eines immateriellen Schadens. Denn die Daten waren weiterhin beim Bekl. Entsprechendes gilt, wenn der Kl. erklärt, das Verfahren sei für weitere Verfahren wichtig, er sei im Ungewissen über die Verarbeitung seiner personenbezogenen Daten gehalten und ihm sei die Prüfung der Rechtmäßigkeit der Verarbeitung seiner personenbezogenen Daten unmöglich gemacht worden. |
| Verfassungsgerichtshof | |
| NEU VerfGH NRW Beschl. v. 10.9.2024 – 24/24.VB-1 = ZD 2025, 97 | 0 EUR Der Kl. legt nicht substanziiert dar, dass sich das LG bewusst gegen die Rspr. des EuGH gestellt haben könnte, der zufolge bereits der bloße Kontrollverlust ebenso wie auch die Einschränkung von Rechten der betroffenen Person als immaterieller Schaden ausreichend seien. Das LG hat vielmehr in seiner Entscheidung offengelassen, unter welchen Voraussetzungen ein Schaden anzunehmen sein kann. Es hat in diesem Zusammenhang ausdrücklich und ohne dieser zu widersprechen die Rspr. des EuGH zitiert, nach der Art. 82 Abs. 1 DS-GVO eine Bagatellgrenze für immaterielle Schäden ausschließt und auch die bloße Befürchtung des Missbrauchs personenbezogener Daten im Einzelfall als immaterieller Schaden anerkannt werden kann. Dass das LG dennoch einen Schaden als nicht dargelegt angesehen hat, beruht nicht auf der Annahme, der bloße Kontrollverlust und die Einschränkung der Rechte des Betroffenen kämen als immaterielle Schäden nicht in Frage. Das LG hat vielmehr angenommen, der tatsächliche Eintritt dieses - abstrakt möglichen - Schadens im konkreten Fall sei vom Beschwerdeführer darzulegen. Diesem Darlegungsgebot sei der Beschwerdeführer nicht nachgekommen. Der Beschwerdeführer hat nicht ansatzweise dargelegt, warum das LG damit spezifisches Verfassungsrecht verletzt haben könnte, etwa durch unerfüllbar hohe Anforderungen an die Darlegungslast. Ebenso wenig hat die Beschwerde substantiiert aufgezeigt, warum die Einschätzung des LG mittelbar die Rspr. des EuGH konterkarieren, also bewusst davon abweichen sollte. Auch der EuGH, der geringe Anforderungen an einen möglichen immateriellen Schaden iSd Art. 82 Abs. 1 DS-GVO stellt und den bloßen "Verlust der Kontrolle" über die eigenen Daten infolge eines Verstoßes gegen die Datenschutz-Grundverordnung ausreichen lässt, verlangt gleichzeitig den Nachweis der betroffenen Person, dass die Folgen des Verstoßes gegen die Datenschutz-Grundverordnung, die sie erlitten zu haben behauptet, ursächlich für einen Schaden waren, der sich von der bloßen Verletzung der Bestimmungen dieser Verordnung unterscheidet. So könne die Veröffentlichung personenbezogener Daten im Internet und der daraus resultierende kurzzeitige Verlust der Hoheit über diese Daten den betroffenen Personen einen "immateriellen Schaden" iSv Art. 82 Abs. 1 DS-GVO zufügen, der zum Schadensersatz berechtige, doch müssten diese Personen den Nachweis erbringen, dass sie tatsächlich einen solchen Schaden - so geringfügig er auch sein möge - erlitten hätten. Wenn sich eine Person, die auf dieser Grundlage Schadensersatz fordere, auf die Befürchtung berufe, dass ihre personenbezogenen Daten in Zukunft aufgrund eines solchen Verstoßes missbräuchlich verwendet würden, müsse das angerufene nationale Gericht prüfen, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden könne. Soweit der Beschwerdeführer rügt, das LG habe bei der Beantwortung der Frage, ob in Bezug auf Art. 82 DS-GVO grds. jeder Verordnungsverstoß haftungsbegründend in Frage komme oder ob ein Verarbeitungsverstoß erforderlich sei, gegen die Vorlagepflicht gem. Art. 267 Abs. 3 AEUV verstoßen und dadurch sein Recht auf den gesetzlichen Richter gem. Art. 4 Abs. 1 LV iVm Art. 101 Abs. 1 S. 2 GG verletzt, legt er bereits nicht dar, dass die Antwort auf diese Frage entscheidungserheblich war. Sowohl die unionsrechtliche Vorlagepflicht als auch die Annahme einer verfassungswidrigen Handhabung derselben setzen voraus, dass die unionsrechtliche Frage, deretwegen die Vorlagepflicht in Frage kommt, aus Sicht des entscheidenden nationalen Gerichts entscheidungserheblich ist). Dass dies hier nicht der Fall war, zeigt sich in der diese Frage ausdrücklich offenlassenden Formulierung im Beschluss des LG, selbst wenn man den Anwendungsbereich des Art. 82 DS-GVO hier eröffnet sähe, schiede ein Schadensersatzanspruch zudem deshalb aus, weil es dem Kl. auch unter Berücksichtigung der neuesten Urteile des Gerichtshofs der Europäischen Union nicht gelungen sei, einen Schaden hinreichend plausibel und substantiiert darzulegen. |