Unterlassung und Schadensersatz wegen Datenschutzverstoß
Das Oberlandesgericht Frankfurt am Main hat das viel besprochene Urteil des Landgerichts Darmstadt (13 O 244/19) hinsichtlich des Unterlassungsanspruchs aufrechterhalten und unserem Mandanten insofern Recht gegeben. Den weitergehenden Anspruch auf Zahlung eines Schadensersatzes nach Art. 82 DS-GVO hat es jedoch zurückgewiesen und das landgerichtliche Urteil dahingehend abgeändert.
Nachname, Geschlecht, laufendes Bewerbungsverfahren und Gehaltsvorstellung sind personenbezogene Daten
Ausgangspunkt des Rechtsstreits war eine Nachricht eines Unternehmens über das Online-Portal Xing, die auf eine Bewerbung unseres Mandaten Bezug nahm, jedoch zunächst nicht an ihn, sondern an einen Dritten gesendet wurde.
Die Nachricht beinhaltete nicht nur den Nachnamen unseres Mandanten, sondern offenbarte auch sein Geschlecht, den Umstand des laufenden Bewerbungsverfahrens sowie Angaben zu seiner Gehaltsvorstellung.
Bei dem Empfänger der Nachricht handelte es sich zufälligerweise um einen ehemaligen Kollegen des Mandanten, der diesen über die fehlgeleitete Nachricht in Kenntnis setzte und auch das Unternehmen darauf aufmerksam machte.
Wie das Oberlandesgericht nun bestätigte, handelt es sich bei diesen Angaben um personenbezogene Daten im Sinne der DSGVO. Dies insbesondere auch deswegen, weil der Name in der Legaldefinition des Art. 4 Nr. 1 DS-GVO, der beispielhaft Informationen benennt, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, sogar ausdrücklich erwähnt wird.
Unterlassungsanspruch folgt unmittelbar aus Art. 17 DS-GVO
Der unserem Mandanten hier wegen der Verletzung des Datenschutzes zustehende Unterlassungsanspruch folge dabei, entgegen der von dem beklagten Unternehmen vertretenen Auffassung, direkt aus Art. 17 Abs. 1 DS-GVO. Die DS-GVO gilt seit dem 25.05.2018 in jedem Mitgliedstaat unmittelbar und sei daher auch im vorliegenden Fall anwendbar. Das OLG Frankfurt verwies dabei auf die höchstrichterliche Rechtsprechung (BGH, Urteil vom 12.10.2021 – VI ZR 88/19 -, VI ZR 489/19-, jeweils Rn. 10, juris; BGH, Urteil vom 27.07.2020 – VI ZR 405/18, BGHZ 226, 285 Rn. 20,23; BSGE 127, 181 Rn. 13) und stellte klar, dass ein Rückgriff auf §§ 823 Abs. 1 i.V.m. 1004 BGB nicht erforderlich sei, um einen lückenlosen Individualrechtsschutz hinsichtlich der Verarbeitung personenbezogener Daten von natürlichen Personen zu gewährleisten. Auf die Frage, ob die DS-GVO in Bezug auf diese Ansprüche eine Sperrwirkung entfalte, kam es hier daher nicht an.
Den Einwand des beklagten Unternehmens, bei einem versehentlichen „Klick“ handele es sich nicht um eine Verarbeitung im Sinne der DS-GVO, hat das OLG zu Recht zurückgewiesen. Weder die Vornahme einer manuellen Handlung noch die Versendung an einen zufälligen Adressaten hindere die Annahme eines „Vorgangs“ im Sinne des Art. 4 Nr. 2 DS-GVO.
Die tatsächliche Vermutung der Widerholungsgefahr konnte die Beklagte mangels hinreichender, da nur teilweise abgegebener Unterlassungserklärung nicht widerlegen. Eine Erstbegehungsgefahr in Bezug auf die Daten, die nicht Gegenstand der Nachricht waren, ergebe sich nach der obergerichtlichen Wertung daraus, dass die Beklagte nichts unternehme, um Fehler dieser Art künftig zu vermeiden. Mögliche Maßnahmen seien etwa die Durchführung von Schulungen zum Thema Datenschutz insbesondere neuer Mitarbeiter oder die Vorgabe anderer Kommunikationswege, die das Risiko von Fehladressierungen verringere. Es genüge dafür nicht, dass sich die Beklagte die Einhaltung der Datenschutzvorschriften durch ihre Mitarbeiter durch eine Unterschrift bestätigen lasse.
OLG äußert sich zu den Voraussetzungen eines Schadensersatzanspruchs nach Art. 82 DS-GVO
Das Frankfurter Oberlandesgericht lehnte trotz der Anerkennung eines Verstoßes gegen Art. 17 DS-GVO sowie Art. 34 DS-GVO einen Schadensersatzanspruch des Klägers im Ergebnis ab, da es an der Darlegung des Schadenseintritts fehle und bezieht dadurch Stellung zu der umstrittenen Frage der Voraussetzungen des Schadensersatzanspruchs nach Art. 82 DS-GVO.
In Rechtsprechung und Literatur ist umstritten, ob bereits der Datenschutzverstoß als solcher für das Entstehen eines Schadensersatzanspruchs ausreicht oder es darüber hinaus der Darlegung und des Nachweises eines konkreten Schadens bedarf. Die damit zusammenhängenden Fragen haben der österreichische Oberste Gerichtshof sowie das Bundesarbeitsgericht unter Vertretung jeweils einer der Auffassungen dem Europäischen Gerichtshof im Mai bzw. August 2021 zur Vorabentscheidung vorgelegt.
Der Senat des Frankfurter Oberlandesgerichts schließt sich im Ergebnis der Auffassung an, die über die Feststellung eines Verstoßes gegen die DS-GVO hinaus den Nachweis eines konkreten (auch immateriellen) Schades erfordert.
Bereits der Wortlaut des Art. 82 Abs. 1 DS-GVO spreche für diese Annahme, weil er neben einem Verstoß die Entstehung eines Schadens („…Schaden entstanden ist.“) voraussetze. Anders als im Luftverkehrsrecht, der eine schadensunabhängige Zahlungspflicht durch Pauschalen enthalte, habe sich der Verordnungsgeber im Rahmen der DS-GVO bewusst dagegen entschieden.
Dem stehe auch der Erwägungsgrund 146, der eine weite Auslegung des Schadensbegriffs im Lichte der Rechtsprechung des Gerichtshofs und unter Berücksichtigung der Ziele der Verordnung fordere nicht entgegen. Der Begriff des Schadens in Art. 82 GS-GVO sei autonom auszulegen, sodass es nicht darauf ankomme, ob ein bestimmter Schaden nach nationalem Recht als Schaden angesehen werden könnte.
Daneben spreche der Umstand, dass weder Art. 82 DS-GVO noch dessen Erwägungsgründe einen Hinweis darauf enthalten, dass Bagatellschäden nicht auszugleichen wären, für die Annahme erhöhter Anforderungen an den Schadensersatzanspruch. Diese seien erforderlich, um ein Ausufern von Schadensersatzforderungen in allen Fällen von Datenschutzverstößen zu vermeiden.
Für eine Aussetzung des Verfahrens und Vorlage der Frage zum EuGH sah das OLG keine Veranlassung, da die maßgeblichen Fragen diesem bereits zur Vorabentscheidung vorliegen. Der Senat hat jedoch die Revision hinsichtlich der datenschutzrechtlichen Ansprüche des Klägers auf Zahlung eines Schadensersatzes zugelassen, da die Voraussetzungen des Geldentschädigungsanspruchs nach Art. 82 Abs. 1 DS-GVO und das Verständnis dieser Vorschrift bislang nicht höchstrichterlich geklärt ist und sich nicht unmittelbar aus den Regelungen der DS-GVO ergebe. Der Sache komme daher grundsätzliche Bedeutung im Sinne des § 543 Abs. 2 Ziffer 1 ZPO zu, sodass diese Frage vor dem BGH zu klären sein wird.
Die Frage des Bestehens des Unterlassungsanspruchs bedarf nach Ansicht des OLG indes keiner höchstrichterlichen Klärung mehr, da sie – anders, als die Gegenseite meint – inzwischen höchstrichterlich geklärt sei.
Das Urteil ist noch nicht rechtskräftig.
Lesen Sie hier das vollständige Urteil des Oberlandesgerichts Frankfurt am Main vom 02.02.2022, 13 U 206/20:
13 U 206/20 Verkündet laut Protokoll am 13 O 244/19 Landgericht Darmstadt 2’ März 2022 |
OBERLANDESGERICHT FRANKFURT AM MAIN
IM NAMEN DES VOLKES URTEIL |
ln dem Rechtsstreit […] |
Beklagte, Berufungsklägerin und Anschlussberufungsbeklagte,
Prozessbevollmächtigte: […] |
gegen |
[…] |
Kläger, Berufungsbeklagter und Anschlussberufungskläger, |
Prozessbevollmächtigte: Anwaltsbüro Media Kanzlei Frankfurt, Kaiserstraße 44, 60329 Frankfurt am Main, |
hat das Oberlandesgericht Frankfurt am Main -13. Zivilsenat mit Sitz in Darmstadt – aufgrund der mündlichen Verhandlung vom 2.2.2022 durch den Vorsitzenden Richter am Oberlandesgericht Dr. Maier, die Richterin am Oberlandesgericht Dr. Schmidt und die Richterin am Oberlandesgericht Ungeheuer für Recht erkannt: |
Auf die Berufung der Beklagten wird das am 26.5.2020 verkündete Urteil der 13. Zivilkammer des Landgerichts Darmstadt teilweise abgeändert und zur Klarstellung insgesamt wie folgt neu gefasst:
Die Beklagte wird verurteilt, es künftig zu unterlassen, personenbezogene Daten des Klägers, die im Zusammenhang mit seiner Bewerbung bei der Beklagten stehen, zu verarbeiten bzw. verarbeiten zu lassen, wenn dies geschieht wie in der Nachricht der Mitarbeiterin der Beklagten über das Portal XING an Herrn […] vom 23.10.2018. ‘
Die Beklagte wird verurteilt, an den Kläger außergerichtliche Rechtsverfolgungskosten in Höhe von 1.025,55 € € nebst Zinsen hieraus in Höhe von fünf Prozentpunkten über dem Basiszinssatz seit dem 5.3.2019 zu zahlen.
Im Übrigen wird die Klage abgewiesen und die weitergehende Berufung der Beklagten sowie die Anschlussberufung des Klägers werden zurückgewiesen.
Von den Kosten des Rechtsstreits beider Instanzen haben der Kläger 15 % und die Beklagte 85 % zu tragen.
Das Urteil ist vorläufig vollstreckbar. Dem jeweiligen Vollstreckungsschuldner wird nachgelassen, die Zwangsvollstreckung durch Leistung einer Sicherheit in Höhe von 120 % des aufgrund der Urteile vollstreckbaren Betrages abzuwenden, wenn nicht der jeweilige Vollstreckungsgläubiger vor der Vollstreckung eine Sicherheit in Höhe von 120 % des jeweils zu vollstreckenden Betrages leistet.
Die Revision wird zugelassen.
Der Streitwert für das Berufungsverfahren wird auf 17.500,- € festgesetzt.
Gründe: |
I. |
Der Kläger befand sich bei der Beklagten, einer Privatbank, in einem Bewerbungsprozess. Dieser fand über das Online-Portal Xing statt. Das Netzwerk ermöglicht es, Personen und Unternehmen zu folgen, Reaktionen und Beiträge zu hinterlassen sowie mediale Inhalte im Text-, Bild- und Videoformat zu veröffentlichen. Der Kläger hat dort seine Kontaktdaten nebst Lebenslauf eingestellt. Im Zusammenhang mit dem Bewerbungsprozess versandte eine Mitarbeiterin der Beklagten über den dortigen Messenger-Dienst am 23.10.2018 eine Nachricht, die eigentlich für den Klägerbestimmt war, an eine dritte, nicht am Bewerbungsprozess beteiligte Person. Die Nachricht hatte folgenden Inhalt:
„Lieber Herr […] ich hoffe es geht Ihnen gut! Unser Leiter – Herr […] – findet ihr Händler Profil sehr interessant, jedoch können wir Ihre Gehaltsvorstellungen nicht erfüllen. Er kann 80k + variable Vergütung anbieten. Wäre das unter diesen Gesichtspunkten weiterhin für Sie interessant? Ich freue mich von Ihnen zu hören und wünsche Ihnen einen guten Start in den Dienstag. Viele Grüße, […] l” (Anlage K 1, Bl. 13 d. A.).
Der Empfänger der Nachricht, Herr […], kannte den Kläger, da beide vor einiger Zeit innerhalb derselben Holding gearbeitet hatten. Herr […] leitete die Nachricht an den Kläger weiter und fragte in diesem Zusammenhang, ob es sich um eine Nachricht für den Kläger handele (,,du?‘) und ob dieser auf Stellensuche sei („suchst du?“). Herr […] machte den Kläger zudem darauf aufmerksam,
dass er die Versenderin auf den Fehler hingewiesen habe („ich habe sie auch angemault das das nicht geht“, „sie hat sich sehr nett entschuldigt“, „mehr weiß ich nicht“, „suchst du?“, Screenshot des Nachrichtenverlaufs zwischen Herrn […] und dem Kläger, Anlage K 2, Bl. 14 d. A.).
Die Beklagte verschickte die streitgegenständliche Nachricht auch an den Kläger. Im weiteren Bewerbungsprozess, der ein persönliches Gespräch einschloss, erwähnte der Kläger den dargestellten Sachverhalt zunächst nicht. Nachdem die Be- klagte dem Kläger am 10.12.2018 mitteilte, dass der Kläger für das Bewerbungsverfahren nicht weiter berücksichtigt werde, rügte der Kläger mit E-Mail vom 16.12.2018 die Versendung der Nachricht an Herrn […]. Er beanstandete eine Datenschutzverletzung und fragte an, wie die Beklagte hiermit umgehen wolle und ob weitere für ihn bestimmte Nachrichten an Dritte versandt worden seien (vgl. Anlage B 1, Bl. 57 ff. d. A.). Daraufhin meldete sich ein externer Datenschutzbeauftragter für die Beklagte bei dem Kläger. Er wies den Vorwurf eines Datenschutzverstoßes mangels Übermittlung sensibler Daten zurück und erklärte, es habe sich um einen Einzelfall gehandelt. Die Mitarbeiter seien im Rahmen einer internen Stellungnahme auf den sorgsamen und verantwortungsbewussten Umgang in der Kommunikation in Berufsnetzwerken hingewiesen worden (Anlage K 3 , Bl. 15 d. A.)
Die Beklagte kontaktierte Herrn […] nach dem Vorfall und bat ihn darum, die Nachricht zu löschen und sie nicht weiter zu verbreiten.
Mit Schreiben vom 25.2.2019 forderte die spätere Prozessbevollmächtigte des Klägers die Beklagte unter Fristsetzung zur Abgabe einer strafbewehrten Unterlassungs- und Verpflichtungserklärung, zur Auskunft über die Datenverarbeitung, zur Leistung eines Schadensersatzes in Höhe von 2.500,- € sowie zur Erstattung der Rechtsverfolgungskosten aus einem Gegenstandswert von 17.500,- € auf (Anlage K4, Bl. 18 ff. d. A.).
Die Beklagte wies die Ansprüche mit Schreiben vom 4.3.2019 zurück und stellte einen Datenschutzverstoß und eine Schadensentstehung in Abrede. Dem Schreiben war eine strafbewehrte Unterlassungserklärung beigefügt hinsichtlich deren Inhalts auf Anlage K 5, Bl. 29 ff. d. A. Bezug genommen wird.
Der Kläger hat die Ansicht vertreten, bei den weitergeleiteten Daten handele es sich um personenbezogene Daten. Ihm stehe ein Unterlassungsanspruch aus § 823 Abs. 1 i.V.m. § 1004 BGB neben den Rechten der DS-GVO zu. Bei der Finanzbranche handele es sich um eine besonders sensible Branche. Es sei zu befürchten, dass der in der gleichen Branche tätige Herr […] die in der streitgegenständlichen Nachricht enthaltenen Daten weitergegeben habe oder sich als Konkurrent auf etwaige Stellen aus der Kenntnis der übermittelten Informationen im Bewerbungsprozess einen Vorteil habe verschaffen können.
Der Kläger hat beantragt,
- die Beklagte zu verurteilen, es künftig zu unterlassen, personenbezogene Daten über den Kläger, die im Zusammenhang mit seiner Bewerbung bei der Beklagten stehen, zu verarbeiten / verarbeiten zu lassen, wenn dies geschieht wie in der Nachricht über das Portal XING an Herrn [..] am 23. Oktober 2018,
- die Beklagte zu verurteilen, an den Kläger einen immateriellen Schadensersatz nebst Zinsen in Höhe von 5 Prozentpunkten über dem Basiszinssatz seit dem 05.03.2019 zu zahlen, dessen Höhe in das Ermessen des Gerichts gestellt wird, der mindestens aber EUR 2.500,00 beträgt,
- die Beklagte zu verurteilen, die Kosten der vorgerichtlichen Inanspruchnahme der Prozessbevollmächtigten des! Klägers in Höhe von EUR 1.100,51 € nebst Zinsen hieraus in Höhe von fünf Prozentpunkten über dem Basiszinssatz seit dem 05.03.2019 zu zahlen.
Die Beklagte hat beantragt,
die Klage abzuweisen.
Die Beklagte hat behauptet, Herrn […] sei es allein aufgrund der Nachricht nicht möglich gewesen, den Kläger zu identifizieren, dies sei nur durch die Mithilfe des Klägers gelungen. Sie hat gemeint, ein Anspruch auf Unterlassung bestehe nicht, da die DS-GVO einen solchen nicht beinhalte und gegenüber dem deutschen Recht eine Sperrwirkung entfalte. Zudem sei die abgegebene Unterlassungserklärung ausreichend, um die Wiederholungsgefahr zu beseitigen. Sie hat ferner behauptet, nach dem Vorfall seien ihre Mitarbeiter im Umgang mit personenbezogenen Daten sensibilisiert worden, wobei der inzwischen vergangene Zeitraum von über einem Jahr eine etwaige vermutete Wiederholungsgefahr widerlegen würde.
Die Beklagte hat die Ansicht vertreten, der Kläger verhalte sich rechtsmissbräuchlich, da er die Ansprüche aufgrund der fehlgeleiteten Nachricht erst geltend gemacht habe, nachdem er aus dem Bewerbungsprozess bei der Beklagten ausgeschieden sei.
Das Landgericht hat Beweis erhoben durch die Vernehmung des Zeugen […]. Hinsichtlich des Ergebnisses der Beweisaufnahme wird auf die Niederschrift des Sitzungsprotokolls vom 14.01.2020 (Bl. 88 ff. d. A.) Bezug genommen.
Das Landgericht hat der Klage teilweise stattgegeben und die Beklagte verurteilt,
es künftig zu unterlassen, personenbezogene Daten über den Kläger, die im Zusammenhang mit seiner Bewerbung bei der Beklagten stehen, in mit der Nachricht vom 23.10.2018 vergleichbarer Weise zu verarbeiten. Zudem hat es dem Kläger ein Schmerzensgeld in Höhe von 1.000,- € sowie den Ersatz der vorgerichtlichen Rechtsanwaltskosten zugesprochen. Zur Begründung hat es im Wesentlichen ausgeführt, dem Kläger stehe ein Anspruch auf zukünftige Unterlassung gegenüber der Beklagten gemäß §§ 823 Abs. 1 i.V.m. 1004 Abs. 1 S. 2 BGB i.V.m. Art. 6 DS-GVO zu, da ein solcher Unterlassungsanspruch mangels Sperrwirkung der DS-GVO geltend gemacht werden könne und dessen Voraussetzungen vorlägen. Die Versendung der Nachricht an Herrn […] stelle auch eine Beeinträchtigung des allgemeinen Persönlichkeitsrechts in der Ausprägung des Rechts auf informationelle Selbstbestimmung gem. Art. 1 Abs. 1 i.V.m. Art. 2 Abs. 1 GG dar.
Die Beklagte habe die Wiederholungsgefahr nicht auszuräumen vermocht. Ihre Unterlassungserklärung sei allein auf die konkrete Nachricht beschränkt. Zudem stehe nach dem Ergebnis der Beweisaufnahme nicht zur Überzeugung des Gerichts fest, dass Maßnahmen seitens der Beklagten ergriffen worden seien, aufgrund derer mit
der notwendigen Sicherheit etwaige zukünftige Rechtsverstöße nicht mehr eintreten würden. Der Zeuge […] habe nicht zur Überzeugung des Gerichts bringen können, dass Schulungsmaßnahmen oder anderweitige Vorkehrungen seitens der Beklagten getroffen worden seien.
Die Geltendmachung des Unterlassungsanspruchs durch den Kläger sei auch nicht rechtsmissbräuchlich, obwohl er den Verstoß der Beklagten erst gerügt habe, nachdem er erfahren habe, dass er nicht mehr für den Bewerbungsprozess berücksichtigt werde. Durch den weiteren Kontakt habe der Kläger nicht zum Ausdruck gebracht, dass er die Weiterleitung der Nachricht an unbeteiligte Dritte dulde, sondern lediglich den Kontakt aufrechterhalten, um sich eine berufliche Möglichkeit zu wahren. Die berechtigte Befürchtung, seine Bewerbungsaussichten zu gefährden, schließe eine Treuwidrigkeit gemäß § 242 BGB aus.
Darüber hinaus bestehe vom Grunde her auch ein Anspruch auf Schadenersatz des Klägers gemäß Art. 82 Abs. 1 DS-GVO, da Verstöße gegen Art. 6 Abs. 1 lit. a DS-GVO und Art. 34 DS-GVO vorlägen. Die Beklagte habe auch gegen die Pflicht zur unverzüglichen Benachrichtigung verstoßen, da sie den Kläger erst im Dezember über die Fehlversendung informiert habe.
Durch die Versendung der Nachricht an einen unbeteiligten Dritten habe nicht nur eine hohe Wahrscheinlichkeit eines Schadenseintritts bestanden, vielmehr sei ein Schaden bereits eingetreten, in Folge des Kontrollverlusts des Klägers über die offengelegten Informationen. Es bestehe die Gefahr der Rufschädigung, wenn z.B. der derzeitige Arbeitgeber von der Bewerbung erfahre. Sofern der Kläger konkrete Nachteile nicht vorgetragen habe, spreche dies nicht gegen einen Anspruch auf Schmerzensgeld, da personenbezogene und insbesondere private Informationen, die nur den Kläger und die von ihm insoweit einbezogenen Personen wie die Beklagte betreffen, an einen unbeteiligten Dritten durch ein der Beklagten zurechenbares Fehlverhalten eines Mitarbeiters zur Kenntnis gelangt seien. Anders als bei der von der Beklagten angeführten Entscheidung des OLG Dresden sei damit eine Außenwirkung dieser Rechtsverletzung eingetreten und damit eine etwaige Bagatellgrenze jedenfalls überschritten.
Das Landgericht hat einen immateriellen Schadenersatz in Höhe von 1.000,- € für angemessen erachtet. Dazu hat es ausgeführt, die Informationen hätten zwar Außenwirkung entfaltet, jedoch seien die Informationen nur einer Person zugänglich gemacht worden und der Kläger habe keine weiteren beruflichen oder persönlichen Beeinträchtigungen erlitten.
Hiergegen hat die Beklagte mit Schriftsatz vom 27.7.2020 (Bl. 178 f. d. A.), eingegangen bei Gericht am gleichen Tag, Berufung eingelegt, die sie innerhalb der verlängerten – Berufungsbegründungsfrist mit Schriftsatz vom 20.10.2020 (Bl. 243 ff. d. A.) begründet hat. Darin wendet sich die Beklagte gegen die Verurteilung. Sie rügt die Annahme des Landgerichts, in der Nachricht seien personenbezogene Daten im Sinne von Art. 4 DS-GVO enthalten gewesen. Es fehle bereits an der notwendigen Identifizierbarkeit des Klägers. Auch eine unrechtmäßige Verarbeitung personenbezogener Daten liege nicht vor. Die DS-GVO sperre als höherrangiges Recht jegliche Anwendung des deutschen Rechts, sofern nicht eine Öffnungsklausel vorliege, was im Bereich der DS-GVO nicht der Fall sei. Folglich scheide ein Unterlassungsanspruch aus den §§ 823 Abs. 1 i.V.m. 1004 Abs. 1 S. 2 BGB aus. Die Entscheidung könne auch nicht auf Art. 6 Abs. 1 lit. a DS-GVO gestützt werden. Rechtsfehlerhaft sei auch die Zuerkennung eines Schadensersatzes i.H.v. 1.000,- €, da ein solcher einen Schaden voraussetze. Das Gericht habe aber ausdrücklich festgestellt, dass dem Kläger weder persönlich noch beruflich ein Nachteil entstanden sei. Insoweit sei die Entscheidung widersprüchlich und verstoße gegen Denkgesetze. Die Inanspruchnahme eines Anwalts sei nicht erforderlich gewesen und stehe auch nicht im mutmaßlichen Interesse der Beklagten. Schließlich sei das gesamte Verhalten des Klägers rechts-missbräuchlich. Es sei offensichtlich, dass er das Datenschutzrecht lediglich als Mittel anwende, um der Beklagten nach seinem Misserfolg im Bewerbungsverfahren einen Schaden zuzufügen.
Die Beklagte regt an, das Verfahren auszusetzen und die diesem Verfahren zugrunde liegenden Rechtsfragen dem EuGH zur Vorabentscheidung vorzulegen.
Wegen weiterer Einzelheiten der Berufungsbegründung wird auf den Schriftsatz vom 20.10.2020 (Bl. 243 ff. d. A.) Bezug genommen. Die Beklagte beantragt,
das Urteil des Landgerichts Darmstadt vom 26.05.2020 – Az. 13 O 244/19 abzuändern und die Klage insgesamt abzuweisen.
Der Kläger beantragt,
die Berufung zurückzuweisen.
Im Wege der Anschlussberufung beantragt er,
die Beklagte unter teilweiser Abänderung des Urteils des Landgerichts Darm-stadt vom 26.05.2020 zu Az.: 13 0 244/19 im Hinblick auf den zweiten Punkt
des Urteilstenors zu verurteilen, an den Kläger einen immateriellen Schadensersatz nebst Zinsen in Höhe von 5 Prozentpunkten über dem Basiszinssatz
seit dem 05.03.2019 zu zahlen, dessen Höhe in das Ermessen des Gerichts gestellt wird, der mindestens aber EUR 2.500,00 beträgt.
Die Beklagte beantragt,
die Anschlussberufung zurückzuweisen.
Der Kläger verteidigt das landgerichtliche Urteil, soweit es eine Verletzung der Vorgaben der DS-GVO sowie des Rechts auf informationelle Selbstbestimmung des Klägers angenommen und aufgrund dessen einen Unterlassungsanspruch des Klägers bejaht hat. Auch die Zuerkennung des von der IDS-GVO voraussetzungslos gewährten Schadensersatzanspruchs sowie die Erstattung der Rechtsverfolgungskosten seien nicht zu beanstanden. Allein die Höhe des Schadenersatzanspruchs beanstandet der Kläger im Rahmen seiner Anschlussberufung als zu niedrig.
Wegen weiterer Einzelheiten der Berufungserwiderung wird auf den Schriftsatz vom 21.1.2021 (Bl. 288 ff. d. A.) Bezug genommen.
II.
Die zulässige, insbesondere form- und fristgerecht eingelegte Berufung hat Erfolg, sofern sie sich gegen die Verurteilung zu einem immateriellen Schadenersatzanspruch richtet.
Hinsichtlich der Verurteilung im Hinblick auf den Unterlassungsanspruch ist die Berufung der Beklagten hingegen unbegründet.
Dem Kläger steht ein Anspruch gegen die Beklagte auf Unterlassung der Verarbeitung seiner personenbezogenen Daten zu, sofern diese in der Form erfolgt wie mit der Nachricht vom 23.10.2018 an einen Dritten. Dies ergibt sich aus Art. 17 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung dir Richtlinie 95/46/EG (Datenschutz-Grundverordnung, ABI. 2016 L 119 S. 1, berichtigt in ABI. 2016 L 314 S. 72 und ABI. 2018 L 127 S. 2; im Folgenden: DS-GVO), wie zwischenzeitlich höchstrichterlich geklärt wurde (vgl. BGH, Urteile vom 12.10.2021 – VI ZR 488/19 -,VI ZR 489/19 -, jeweils Rn. 10, juris; BGH, Urteil vom 27. Juli 2020 – VI ZR 405/18, BGHZ 226, 285 Rn. 20, 23 [zur Auslistung]; BSGE 127, 18 Rn. 13), so dass ein Rückgriff auf §§ 823 Abs. 1 i.V.m. 1004 BGB nicht erforderlich ist, um einen lückenlosen Individualrechtsschutz hinsichtlich der Verarbeitung personenbezogener Daten von natürlichen Personen zu gewährleisten (so noch: OLG Dresden, Urteil vom 14. Dezember 2021 – 4 U 1278/21 -, Rn. 47, juris; OLG München, Urteil vom 19. Januar 2021 – 18 U 7243/19 Pre -, Rn. 62, 65, juris).
Die Voraussetzungen des sich aus Art. 17 Abs. 1 DS-GVO (auch) ergebenden Unterlassungsanspruchs sind erfüllt.
Die DS-GVO ist vorliegend anwendbar, da sie seit dem 25.5.2018 (Art.; 99 Abs. 2 DS-GVO) unmittelbar in jedem Mitgliedstaat der Europäischen Union Geltung erlangt hat (BGH, Urteil vom 27. Juli 2020 -VI ZR 405/18 -, BGHZ 226, 2ß*5-310, Rn. 110-13).
Die Beklagte hat durch die Übermittlung der Nachricht vom 23.10.2018 „personen- bezogene Daten“ des Klägers im Sinne von Art. Art. 4 Nr. 1 DS-GVO an einen Dritten offenbart. Insoweit sind der Name, das Geschlecht, die Tatsache des laufenden Bewerbungsverfahrens und die Gehaltsvorstellung des Klägers als personenbezogene Daten anzusehen.
Sofern die Beklagte dies hinsichtlich der Anrede „Herr […]“ verneint, vermag der Senat dem nicht zu folgen, da der Name in der Legaldefinition sogar ausdrücklich erwähnt wird. Art. 4 Nr. 1 DS-GVO benennt beispielhaft Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, der Name wird im Rahmen der alternativen Aufzählung an erster Stelle aufgeführt.
Nach der Definition sind „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen; zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann. Der Begriff der “personenbezogenen Daten” nach Art. 4 DS-GVO ist damit weit gefasst und umfasst nach der Legaldefinition alle Informationen, die sich auf eine identifizierbare natürliche Person beziehen.
Unter die Vorschrift fallen damit neben Identifikationsmerkmalen und äußeren Merkmalen auch sachliche Informationen wie etwa Vermögens- und Eigentums-verhältnisse, Kommunikations- und Vertragsbeziehungen und alle sonstigen Beziehungen der betroffenen Person zu Dritten und ihrer Umwelt (Klar/Kühling in Kühling/Buchner, DS-GVO/BDSG, Art. 4 DS-GVO Rn. 8; Ernst in Paal/Pauly, DS-GVO/BDSG, 3. Auflage 2021, Art. 4 Rn. 14; OLG Köln, Urteil vom |26. Juli 2019 – -20 U 75/18 -, Rn. 304, juris).
Die hier offenbarten Informationen, nämlich der Nachname des Klägers und sein der Anrede zu entnehmendes Geschlecht, sowie die aus der Nachricht herauslesbaren Angaben, insbesondere die Tatsache eines laufenden Bewerbungsprozesses bei der Beklagten, stellen persönliche Informationen dar. Auch die Gehaltsvorstellung des Klägers, die sich aus der angegebenen Gehaltsobergrenze der Beklagten rückschließen lässt, stellt eine sachliche Information dar. Dabei kann die Angabe „80k + variable Vergütung“ nicht mit Angaben in einer Stellenanzeige gleichgesetzt werden, wie es die Berufung meint. Eine dahingehende Interpretation lässt den Kontext der Nachricht außer Acht. Dort wird ausdrücklich erwähnt, dass die Gehaltsvorstellungen des Klägers nicht erfüllt werden können und im Anschluss äußert die Beklagte ihrerseits eine Gehaltsobergrenze. Aus diesen beiden Angaben lassen sich Rückschlüsse auf die Gehaltsvorstellungen des Klägers ziehen.
Auch die Identifizierbarkeit ist zu bejahen. Dies gilt auch dann, wenn der Nachname häufig vorkommen sollte. Sofern die Beklagte einwendet, das Landgericht habe die Anlage B 3 und die darin aufgeführten weiteren Nutzer der Plattform Xing mit gleichem Nachnamen nicht hinreichend gewürdigt, verhilft dies der Berufung nicht zum Erfolg. Insoweit kann als zutreffend unterstellt werden, dass auf der Plattform Xing mehrere Personen den Nachnamen des Klägers tragen, dies hindert jedoch die Identifizierbarkeit nicht. Es ist insbesondere nicht erforderlich, dass sich alle zur
Identifizierung der betreffenden Person erforderlichen Informationen in den Händen einer einzigen Person befinden (vgl. EuGH, Urteil vom 20. Dezember 2017 – Rs. C- 434/16, NJW 2018, 767, Nowak). Der Nachname ist ein gängiges Identifikationsmerkmal, es ist nicht erforderlich, dass die Identifikation „zweifelsfrei“ ermöglicht wird, eine dahingehende Voraussetzung, die die Beklagte postulieren will, besteht nicht, da eine solche Einschränkung dem Text der Verordnung nicht zu entnehmen ist.
Zudem ist es vorliegend dem Dritten unmittelbar gelungen, den Kläger zu identifizieren, da er sich nach Erhalt der Nachricht direkt an diesen gewandt hat. Auf die Frage, ob dem Adressaten der Nachricht die Identifikation des Klägers aufgrund der übermittelten Angaben möglich war, oder ob er, wie es die Berufung meint, auf dessen Antwort angewiesen war, kommt es für die Qualifikation als „personenbezogene Daten“ i.S. d. Art. 4 Nr. 1 DS-GVO nicht an (zu Namensangaben: BGH, Urteil vom Oktober 2021 – VI ZR 489/19 -, Rn. 26, juris; zu Name, Geschlecht, Religion und Sprache: EuGH, Urteil vom 17.07.2014 – Rs. C-141/12; Rs. C-372/12, CR 2015
103, 104).
Die Versendung einer Nachricht, fällt, sofern sie – wie hier – personenbezogene Daten enthält, in den sachlichen Anwendungsbereich der Datenschutz-Grundverordnung (Art. 2 Abs. 1 DS-GVO).
Die Beklagte ist verantwortliche Stelle für die Verarbeitung von Daten und damit “Verantwortlicher” im Sinne von Art. 4 Nr. 7 DS-GVO (Ernst in: Paal/Pauly, a.a.O., Art. 4 Rn. 55).
Indem die Beklagte die Daten im Rahmen des Bewerbungsverfahrens erhebt, erfasst, ordnet, speichert und gegenüber Dritten offenlegt, “verarbeitet” sie diese Daten im Sinne von Art. 4 Nr. 2 DS-GVO. Danach ist eine „Verarbeitung“ jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben,
das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
Die Übermittlung der Nachricht mit den enthaltenen personenbezogenen Daten des Klägers an einen unbeteiligten Dritten stellt eine Verarbeitung seiner Daten in Form der beispielhaft genannten „Offenlegung durch Übermittlung“ dar.
Die Berufung wendet ein, es handele sich vorliegend nicht um eine Verarbeitung, da mit dem versehentlichen „Klick“, mit dem die Nachricht an den falschen Empfänger geschickt wurde, eine manuelle Handlung vorgenommen worden sei. Ein solches manuelles Verklicken stelle bereits keinen „Vorgang“ im Sinne des Art. 4 Nr. 2DS-GVO dar. Dies ist abzulehnen, da die Legaldefinition auch Vorgänge ohne Hilfe automatisierter Verfahren benennt und damit das manuelle Handeln ausdrücklich einschließt.
Auch die Versendung an einen zufälligen Adressaten schadet dabei nicht. Insoweit hat der Europäische Gerichtshof mit Urteil vom 25.11.2021 zu Inbox-Werbung klargestellt, dass eine Verwendung … elektronischer Post für die Zwecke der Direktwerbung“ im Sinne der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rats vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) darstellt, ohne dass die Bestimmung der Empfänger dieser Nachrichten nach dem Zufallsprinzip von Bedeutung ist (EuGH, Urteil vom 25. November 2021 – C-102/20 -, juris). Dies gilt für die hier maßgebliche Nachricht in gleicher Weise.
Die Verarbeitung der personenbezogenen Daten des Klägers durch Versendung an einen in das Bewerbungsverfahren nicht eingebundene Dritten war unrechtmäßig und insbesondere nicht von einer Einwilligung des Klägers erfasst. Durch den Umstand des Bewerbungsverfahrens hat der Kläger weder in die Verarbeitung seiner personenbezogenen Daten durch Offenlegung gegenüber Dritten gemäß Art. 6 Abs. 1 a) DS-GVO eingewilligt noch sind die in Art. 6 b) bis f) genannten Voraussetzungen, etwa die Notwendigkeit der Weitergabe im Bewerbungsverfahren, diesbezüglich gegeben.
Auch die für eine Begründetheit des Unterlassungsanspruchs erforderliche Wiederholungsgefahr ist gegeben. Im Umfang des vorliegenden Datenschutzverstoßes besteht insofern eine tatsächliche Vermutung (Grüneberg/Herrler, BGB 81. Aufl., § 1004, Rn. 32), welche die Beklagte nicht widerlegt hat. Denn insofern vertritt sie weiterhin die Auffassung, dass es sich nicht um einen Datenschutzverstoß handelte, keine persönlichen Daten offenbart und eine Unterlassungserklärung im Umfang des Klageantrages von ihr nicht geschuldet ist (ebenso: OLG Dresden, Urteil vom 14. Dezember 2021 – 4 U 1278/21 -, Rn. 47, juris).
Soweit der Klageantrag auch Daten erfasst, die nicht Gegenstand der Nachricht vom 23.10.2018 waren, ergibt sich die insofern erforderliche Erstbegehungsgefahr aus dem unstreitigen bzw. bewiesenen Sachverhalt. Denn die Beklagte beruft sich auf ein fahrlässiges „Verklicken“ einer Mitarbeiterin im Rahmen der Kommunikation über Xing. Eine bewusste Auswahl hinsichtlich der weitergegebenen Daten erfolgte hierbei nicht, da die Weiterleitung an Herrn […] ja unbeabsichtigt geschah und die Mitarbeiterin, Frau […], meinte, die Nachricht an den Kläger zu senden, was datenschutzrechtlich unbedenklich gewesen wäre. Solange die Beklagte nichts unternimmt, Fehler dieser Art künftig zu vermeiden, besteht daher die Gefahr entsprechender Datenschutzverstöße. Soweit hierbei andere von dem Kläger mitgeteilte Daten betroffen sind, besteht eine erstmals ernsthaft drohende Beeinträchtigung, was für eine Unterlassungsanspruch ausreichend ist (Grüneberg/Herrler, a.a.O.).
Mangels hinreichender Unterlassungserklärung, der es im Regelfall zur Widerlegung der Wiederholungs- bzw. der Erstbegehungsgefahr bedarf (OLG München, Urteil vom 19.1.2021 -18 U 7243/19, Rn. 63 juris), besteht diese fort. Zwar läßt eine (ordnungsgemäße) Unterlassungsverpflichtungserklärung auch ohne Annahme durch den Gläubiger die Wiederholungsgefahr grundsätzlich entfallen; hierzu muss die Erklärung den Unterlassungsanspruch nach Inhalt und Umfang aber voll abdecken (BGH, Urteil vom 21.6.2005. VI ZR 122/04, Rn. 6, juris m.w.N.). Dies ist jedoch nicht der Fall, denn die strafbewehrte Unterlassungserklärung vom 4.3.2019 (Anlage K 5, Bl. 29 d.A.) beschränkte sich auf den genauen Wortlaut der streitgegenständlichen Nachricht. Vor neuen Verletzungshandlungen schützt sie daher nicht in ausreichender Weise.
Der Kläger muss nämlich insgesamt vor der rechtswidrigen Weitergabe seiner personenbezogenen Diese Gefahr besteht nicht nur im Hinblick auf die konkrete Nachricht, sondern auch hinsichtlich der Weitergabe seiner Angaben an Dritte in vergleichbarer Weise. Da die Begrenzung der Unterlassungserklärung auf den konkreten Wortlaut der Nachricht zu eng gefasst ist, ist die Berufung hinsichtlich des Unterlassungsanspruchs unbegründet.
Dass der konkrete Verstoß mit gleichem Wortlaut erneut erfolgen könnte, liegt angesichts der Individualität der Nachricht fern. Vergleichbare Verstöße hingegen, die bei nicht ausreichend sorgsamen Umgang mit persönlichen Daten drohen könnten sind nicht ausgeschlossen. Sofern die Berufung einwendet, eine Wiederholung sei ausgeschlossen, da es sich um ein Augenblicksversagen einer Mitarbeiterin gehandelt habe, ist dies für die Bewertung der Wiederholungsgefahr nach Auffassung des Senats nicht der entscheidende Gesichtspunkt. Es obliegt der Beklagten als Verantwortliche für die von ihr verarbeiteten personenbezogenen Daten, ihre Mitarbeiter im Umgang ausreichend zu schulen (so auch: Golland, DSB 2020[ 286-288; Gündel, Grundeigentum 2021, 1109-1111 ) sowie ggf. durchtechnische Maßnahmen vorhersehbare Fehlanwendungen zu vermeiden.
Insoweit hat das Landgericht richtigerweise Beweis erhoben durch Vernehmung des Zeugen […] zu den seitens der Beklagten im Zusammenhang mit dem Rechtsverstoß ergriffenen Maßnahmen. Es ist dabei zu der Überzeugung gelangt, dass keine Schulungsmaßnahmen oder anderweitige Vorkehrungen von der Beklagten hinsichtlich der betreffenden Mitarbeiterin oder deren Kollegen veranlasst worden sind, die mit der notwendigen Sicherheit etwaige künftige Rechtsverstöße vermeiden und damit die Vermutung widerlegen könnten. Das Landgericht hat festgestellt, dass der Zeuge nicht bestätigen konnte, dass alle relevanten Mitarbeiter hinsichtlich des Umgangs mit personenbezogenen Daten geschult worden seien. Zwischen der streitgegenständlichen Nachricht und der Benachrichtigung des Zeugen lag ein Zeitraum von mehr als sechs Wochen, so dass auch eine unverzügliche Reaktion auf den Datenschutzverstoß seitens der Beklagten nicht festgestellt werden konnte. Zudem hat die Beweisaufnahme ergeben, dass neue Mitarbeiter der Beklagten nicht im Hinblick auf die Problematik geschult werden, sondern lediglich eine Erklärung abgeben müssen, dass sie die Datenschutzbestimmungen einhalten werden.
Der Senat teilt die Einschätzung des Landgerichts, wonach diese Maßnahmen nicht ausreichen, um eine Wiederholungsgefahr auszuschließen, Denkbar wären Schulungsmaßnahmen zwecks Sensibilisierung der Mitabriet hinsichtlich konkreter Fehlerquellen oder die Vorgabe anderer Kommunikationswege als die direkt über das Portal Xing zugeleitete Nachricht, die ein hohes Risiko der Falschadressierung birgt. Die Berufung greift die Feststellungen des Landgerichts zum Ergebnis der durchgeführten Beweisaufnahme nicht an.
Die Wiederholungsgefahr entfällt schließlich auch nicht teilweise im Umfang der abgegebenen Erklärung. Zwar sind – im Falle einer sachlich teilbaren Wiederholungsgefahr – Teilunterwerfungserklärungserklärungen möglich (BGH, Urteil vom 21.6.2005, a.a.O). Dies ist vorliegend jedoch nicht in relevanter Weise gegeben. Denn ein nochmaliges Versenden der gleichen Nachricht, was allein Gegenstand der abgegebenen Unterlassungserklärung ist, steht nicht in Rede. Zwar sind Unterlassungserklärungen der Auslegung zugänglich. Eine Auslegung dahingehend, dass die Beklagte sich strafbewehrt zur Unterlassung jeder künftigen Verletzung der in der Nachricht vom 23.10.2018 gegenständlichen Daten (Nachname, Geschlecht, Umstand der Bewerbung, Gehaltsvorstellung) verpflichtet hat, lässt sich dieser aufgrund des ausdrücklich eng beschränkten Wortlauts jedoch nicht entnehmen. Hiergegen spricht zudem die von der Beklagten nach wie vor vertretenen Auffassung, es liege überhaupt kein Datenschutzverstoß vor und sie dürfe die genannten Daten daher weiterverarbeiten.
Die Geltendmachung des Anspruchs innerhalb eines angemessenen Zeitraums nach dem Verstoß ist nicht zu beanstanden. Das Abwarten des Bewerbungsprozesses ist nicht rechtsmissbräuchlich. Der Anspruchsinhaber darf die Durchsetzung seines Rechts zunächst zurückstellen, ohne dass die sich anschließende Geltendmachung als missbräuchlich darstellt. Die Enttäuschung über die Nichtberücksichtigung im Bewerbungsverfahren mag für die Geltendmachung des Unterlassungsanspruchs mitursächlich sein, den Einwand des Rechtsmissbrauchs vermag sie nicht auszulösen.
Im Hinblick auf den zugesprochenen Schadenersatzanspruch hat die Berufung der Beklagten Erfolg, zugleich ist der Anschlussberufung des Klägers der Erfolg zu versagen, da die Zahlungsklage unbegründet ist.
Dem Kläger steht kein Anspruch aus Art. 82 DS-GVO gegen die Beklagte auf Ersatz des von ihm geltend gemachten immateriellen Schadens im Zusammenhang mit der rechtswidrigen Datenverarbeitung zu.
Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde, Art. 82 Abs. 2 Satz 1 DSGVO. Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist, Art. 82 Abs. 3 DSGVO.
Die Voraussetzungen für einen Geldentschädigungsanspruch in Bezug auf einen dem Kläger zugefügten immateriellen Schaden liegen nach Auffassung des Senats nicht vor, da es jedenfalls an der Darlegung des Eintritts eines Schadens bei dem Kläger fehlt.
Zwar liegt, wie ausgeführt, ein Verstoß durch Übermittlung von personenbezogenen Daten an einen unbeteiligten Dritten vor. Zudem ist das Landgericht auch richtigerweise zusätzlich von einem Verstoß gegen Art. 34 Abs. 1 DS-GVO ausgegangen und hat ein durch die Verletzung des Schutzes personenbezogener Daten voraus-sichtlich hohes Risiko für die persönlichen Rechte und Freiheiten angenommen. Die Information des Klägers über den Datenschutzverstoß erfolgte nicht unverzüglich, sondern erst auf dessen Nachfrage.
Die Frage, ob bereits der Datenschutzverstoß als solcher für das Entstehen eines Schadensersatzanspruchs ausreicht oder es darüber hinaus der Darlegung und des Nachweises eines konkreten (auch: immateriellen) Schadens bedarf, ist in Rechtsprechung und Literatur umstritten (für ein Ausreichen des Eingriffs in das allgemeine Persönlichkeitsrecht: z.B. OLG München, Urteil vom 4.2.2019 -15 U 3688/18
-, juris, Rn. 19 ff., Ehmann/Selmayr/Nemitz, Datenschutz-Grundverordnung, 2. Aufl., Art. 82 DS-GVO Rn. 11-13; für das Erfordernis feines nachgewiesenen Schadens z.B. LAG Baden-Württemberg, Urt. v. 25.02.2021,17 Sa 37/20, zit. nach juris, Rn. 96, LG Karlsruhe, Urt. v. 02.08.2019, 8 O 26/19, zit. nach juris,Rn. 19, Ernst jurisPR-ITR 1/2021 Anm. 6 in einer Anmerkung zu dem vorliegend angefochtenen Urteil des Landgerichts Darmstadt v. 26.05.2020, 13 0 244/19, m.w.N.). Insbesondere von den Verfechtern eines Anspruchs ohne Nachweis eines konkreten Schadens wird zudem vertreten, dass die Beeinträchtigung über eine bloße Bagatellverletzung hinausgehen muss (vgl. hierzu die Quellenangaben bei Ernst,
a.a.O.).
Sowohl der österreichische Oberste Gerichtshof (Vorabentscheidungsersuchen vom 12.05.2021, ZD 2021, S. 631, wobei der Gerichtshof die Auffassung vertritt, es sei der Nachweis eines Schadens erforderlich) als auch das Bundesarbeitsgericht (Vorabentscheidungsersuchen vom 26.08.2021, 8 AZR 253/20-A, wobei das BAG den Nachweis eines Schadens nicht für notwendig hält) haben die hiermit zusammenhängenden Fragen dem Europäischen Gerichtshof zur Vorabentscheidung vorgelegt.
Der Senat folgt im Ergebnis der Auffassung, wonach über den festgestellten Verstoß gegen die Vorschriften des DS-GVO hinaus Voraussetzung für eine Entschädigung in Geld der Nachweis eines konkreten (auch immateriellen) Schadens ist. Hierfür spricht zunächst bereits der Wortlaut von Art. 82 Abs. 1 DS-GVO, der über den Verstoß hinaus ausdrücklich die Entstehung eins Schadens („…Schaden ent-
standen ist“) voraussetzt (Eichelberger, WRP 2021, 159-167; Wybitul/Brams, ZD 2020, 644-646). Hätte der Verordnungsgeber eine nur an den Rechtsverstoß anknüpfende, vom Nachweis eines konkreten Schadens unabhängige Zahlungspflicht anordnen wollen, hätte es demgegenüber nahegelegen, dies – wie z.B. im Luftverkehrsrecht gem. Art. 7 Abs. 1 FluggastrechteVO (EG) 261/2004 – durch Pauschalen
zu regeln (Eichelberger, aaO. Rn. 24). In dem Erwägungsgrund 146 S. 3 zu der DS-GVO heißt es zwar, dass der Begriff des Schadens im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden soll, die den Zielen der Verordnung in vollem Umfang entspricht. Der Anspruch soll nach Erwägungsgrund 146 S. 6 sicherstellen, dass die betroffenen Personen einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden enthalten. Das schließt ein, dass Schadensersatzforderungen abschrecken und weitere Verstöße unattraktiv machen sollen. Der Begriff des Schadens in Art. 82 DSGVO ist autonom auszulegen, mithin kommt es nicht darauf an, ob ein bestimmter Schaden nach nationalem Recht als Schaden angesehen werden könnte (Bergt in: Kühling/Buchner,
DS-GVO BDSG, 3. Aufl. 2020, Art. 82 Rn. 17; vgl. in diesem Zusammenhang auch: BVerfG 14.1.2021 -1 BvR 2853/19 – Rn. 20, juris).
Auch hiernach ist der Schaden jedoch nicht mit der zugrunde liegenden Rechtsgutsverletzung gleichzusetzen. Denn ausdrücklich muss der Schaden „erlitten“ werden, woraus folgt, dass dieser tatsächlich entstanden sein muss und nicht lediglich befürchtet wird (LAG Baden-Württemberg, Urte. v. 25.02.i021, 17 Sa 37/20, zit nach juris, Rn. 96 unter Bezug auf Frenzel in: Paal/Pauly, a.a.O., Art. 82, Rn. 10 und Klein GRUR-Prax 2020, 433). Der bloße Verstoß gegen Bestimmungen der DS-GVO reicht daher nicht aus.
Hinzu kommt schließlich, dass weder Art. 82 DS-GVO noch dessen Erwägungsgründe einen Hinweis darauf enthalten, dass geringfügige (Bagatellschäden) nicht auszugleichen wären; vielmehr sieht Erwägungsgrund 148 Satz 2 vor, dass lediglich ausnahmsweise bei geringfügigen Verstößen auf die Verhängung einer Geldbuße verzichtet werden kann (LAG Baden-Württemberg, a.aiO. m.w.N.).
Das Erfordernis des Nachweises eines tatsächlich erlittenen Schadens ist daher auch der Sache nach erforderlich, um ein vom Verordnungsgeber nicht gewolltes Ausufern von Schadensersatzforderungen in allen Fällen eines – tatsächlich für den Betroffenen folgenlosen – Datenschutzverstoßes zu vermeiden (so insbesondere auch Ernst, a.a.O.).
Das Vorliegen eines konkreten -immateriellen- Schadens, wozu auch Ängste, Stress sowie Komfort- und Zeiteinbußen zählen (Bergt in: Kühling/Buchner, DSGVO BDSG, 3. Auflage 2020, Rn. 18 b), hat der Kläger nicht dargetan. Der Vortrag in seinem auf einen entsprechenden Hinweis des Senats eingereichten Schriftsatz vom 11.1.2022 (Bl. 326 ff. d. A.) erschöpft sich in der – erneuten- Darlegung des Datenschutzverstoßes. Insofern führt der Kläger an, dass der Schaden nicht in dem bloßen, abstrakten Kontrollverlust über die offenbarten Daten, sondern in der Tatsache liege, dass nunmehr mindestens eine weitere Person, die den Kläger und potentielle wie ehemalige Arbeitgeber kenne, über Umstände Kenntnis habe, die der Diskretion unterlägen. Zudem empfinde der Kläger das „Unterliegen in den Gehaltsverhandlungen als Schmach, die er nicht an Dritte – vor allem nicht an potentiellen Konkurrenten – weitergegeben hätte.
Nähere Ausführungen zu einem Schaden erfolgen klägerseits nicht. Selbst bei Unterstellung einer „Schmach“, vermag der Senat diese nicht als einen immateriellen Schaden zu bewerten. Denn der Kläger hat schon nicht mitgeteilt, welche Größenordnung des Gehaltsrahmens angestrebt, ob die angebotene Summe, die durch variable Anteile ohnehin nicht die Obergrenze bildete und im noch laufenden Bewerbungsverfahren vorläufig war, mit einer Diskreditierung verbunden war.
Dem Kläger steht ein Anspruch auf Erstattung vorgerichtlicher Rechtsanwaltskosten aus dem Gegenstandswert der berechtigt geltend gemachten Unterlassungsansprüche und damit aus der Gebührenstufe bis 15.000,- € zu. Die Hinzuziehung eines Rechtsanwalts war notwendig, da es sich um schwierige Rechtsfragen handelt, für deren Klärung eine anwaltliche Beratung erforderlich ist. Der Anspruch beläuft sich gemäß §§ 2 Abs. 2, 13 RVG Nr. 2300 W RVG auf 1.029,35 €. Da die Anschlussberufung den erstinstanzlich zuerkannten Betrag von 1.025,55 € nicht angreift, hat es bei diesem zu verbleiben.
Entgegen der Ansicht der Beklagten ist der Senat nicht gehalten, das vorliegende Verfahren auszusetzen und die Sache dem EuGH zur Vorabentscheidung nach Art. 267 Abs. 2, 1 AEUV über die Auslegung von Art. 15 DS-GVO vorzulegen.
Die hier maßgeblichen Rechtsfragen liegen dem EuGH bereits in anhängigen Verfahren (BAG, EuGH-Vorlage vom 26. August 2021 – 8 AZR 253/20 (A) -, Rn. 33, juris; Vorabentscheidungsersuchen des Obersten Gerichtshofs (Österreich) eingereicht am 12. Mai 2021 – juris) vor. Zudem besteht eine Pflicht zur Vorlage nach Art. 267 Abs. 3 AEUV im vorliegenden Verfahren schön deshalb nicht, weil das vorliegende Urteil hier nicht als Entscheidung eines Gerichts ergeht, dessen Entscheidungen selbst im Sinne von Art. 267 Abs. 3 AEUV nicht mehr mit Rechtsmitteln innerstaatlichen Rechts angefochten werden können. Dem Kläger steht es infolge der diesbezüglich zuzulassenden Revision – dazu unten – frei, die Entscheidung durch den Bundesgerichtshof überprüfen zu lassen (s. OLG Köln, Urteil vom 26. Juli 2019 – I-20 U 75/18 -, Rn. 328, juris).
Die Kostenentscheidung folgt aus § 92 Abs. 1 ZPO.
Die Entscheidung zur vorläufigen Vollstreckbarkeit hat ihre Grundlage in §§ 708 Nr. 10, 711 ZPO.